Lancore Mikrotik Mtcna PDF

TREINAMENTO MIKROTIK
CERTIFICAO MTCNA
Produzido por: MKT Solutions

www.mktsolutions.net.br
Instrutor: Guilherme Ramires
AGENDA
Treinamento dirio das 09:00hs s 17:00hs
Coffe break as 10:30hs e as 15:00hs
Almoo as 13:00hs 1 hora de durao
ALGUMAS REGRAS IMPORTANTES

Por ser um curso oficial, o mesmo no poder ser filmado

ou gravado
Procure deixar seu aparelho celular desligado ou em modo

silencioso
Durante as explanaes evite as conversas paralelas. Elas

sero mais apropriadas nos laboratrios
Desabilite qualquer interface wireless ou dispositivo 3G

em seu laptop
ALGUMAS REGRAS IMPORTANTES

Perguntas so sempre bem vindas. Muitas vezes a sua

dvida a dvida de todos.
O acesso a internet ser disponibilizado para efeito

didtico dos laboratrios. Portanto evite o uso
inapropriado.
O certificado de participao somente ser concedido a

quem obtiver presena igual ou superior a 75%.
4
APRESENTE-SE A TURMA
Diga seu nome;
Sua empresa;
Seu conhecimento sobre o RouterOS;
Seu conhecimento com redes;
O que voc espera do curso;
Lembre-se de seu nmero: XY

5
OBJETIVOS DO CURSO
Prover um viso geral sobre o Mikrotik RouterOS e as

RouterBoards.
Mostrar de um modo geral todas ferramentas que o

Mikrotik RouterOS dispe para prover boas solues.
ONDE EST A MIKROTIK ?
ROUTERBOARDS
So hardwares criados pela Mikrotik;
Atualmente existe uma grande variedade de
RouterBoards.
MIKROTIK ROUTEROS
RouterOS o sistema operacional das RouterBoards e

que pode ser configurado como:
Um roteador dedicado
Controlador de banda
Firewall
Gerenciador de usurios
Dispositivo QoS personalizado
Qualquer dispositivo wirless 802.11a/b/g/n
Alm
das RouterBoards ele tambm pode ser

instalado em PCs.
INSTALAO DO ROUTEROS
O Mikrotik RouterOS pode ser instalado a partir de:

CD ISO bootvel imagem
Via rede com utilitrio Netinstall
10
ONDE OBTER O MIKROTIK ROUTEROS

Para obter os ltimos pacotes do Mikrotik RouterOS

basta acessar: http://www.mikrotik.com/download.html
L voc poder baixar as imagens .iso
Os pacotes combinados
E os pacotes individuais
11
INSTALANDO PELO CD
Inicie o PC com o modo boot pelo CD
12
PACOTES DO ROUTEROS
System: Pacote principal contendo os servios bsiscos e drivers. A rigor o

nico que obrigatrio
PPP: Suporte a servios PPP como PPPoE, L2TP, PPTP, etc..
DHCP: Cliente e Servidor DHCP
Advanced-tools: Ferramentas de diagnstico, netwatch e outros ultilitrios
Arlan: Suporte a uma antiga placa Aironet antiga arlan
Calea: Pacote para vigilncia de conexes (Exigido somente nos EUA)
GPS: Suporte a GPS ( tempo e posio )
HotSpot: Suporte a HotSpot
ISDN: Suporte as antigas conexes ISDN
LCD: Suporte a display LCD
NTP: Servidor de horrio oficial mundial
13
PACOTES DO ROUTEROS
Radiolan: Suporte a placa RadioLan
RouterBoard: Utilitrio para RouterBoards
Routing: Suporte a roteamento dinmico tipo RIP, OSPF, BGP
RSTP-BRIGE-TEST: Protocolo RSTP
Security: Suporte a ssh, IPSec e conexo segura do winbox
Synchronous: suporte a placas sncronas Moxa, Cyclades PC300, etc...
Telephony: Pacote de suporte a telefnia protocolo h.323
UPS: Suporte as no-breaks APC
User-Manager: Servio de autenticao User-Manager
Web-Proxy: Servio Web-Proxy
Wireless: Suporte a placas Atheros e PrismII
Wireless-legacy: Suporte as placas antigas Atheros, PrismII e Aironet
14
INSTALANDO PELO CD
Pode-se selecionar os pacotes desejados usando a barra de espaos ou a

para todos. Em seguida pressione i para instalar os pacotes selecionados.
Caso haja configuraes pode-se mant-las pressionando y.
15
INSTALAO COM NETINSTALL

Pode ser instalado em PC que boota via

rede(configurar na BIOS)
Pode ser baixado tambm em:

http://www.mikrotik.com/download.html
O netinstall um excelente recurso para reinstalar

em routerboards quando o sistema foi danificado ou
quando se perde a senha do equipamento.
16

Para se instalar em uma RouterBoard, inicialmente

temos que entrar via serial, com cabo null modem e os
seguintes parametros:
Velocidade: 115.200 bps
Bits de dados: 8
Bits de parada: 1
Controle de fluxo: hardware
17

Atribuir um IP para o Net

Booting na mesma faixa da
placa de rede da mquina
Coloque na mquina os
pacotes a serem instalados
Bootar e selecionar os
pacotes a serem instalados
18
PRIMEIRO ACESSO
O processo de instalao no configura IP no

Mikrotik. Portanto o primeiro acesso pode ser
feito das seguintes maneiras:
Direto no console (em pcs)
Via terminal
Via telnet de MAC, atravs de outro

Mikrotik ou sistema que suporte telnet de
MAC e esteja no mesmo barramento fsico
de rede
Via Winbox
19
CONECTANDO....
Cabo
Ethernet
Winbox
20
CONSOLE NO MIKROTIK
Atravs do console do Mikrotik possvel acessar todas

configuraes do sistema de forma hierrquica conforme os
exemplos abaixo:
Acessando o menu interface

[admin@MikroTik] > interface
[admin@MikroTik] interface > ethernet
Para retornar ao nvel anterior basta digitar ..
[admin@MikroTik] interface ethernet> ..
[admin@MikroTik] interface >
Para voltar ao raiz digite /
[admin@MikroTik] interface ethernet> /
[admin@MikroTik] >
21
CONSOLE NO MIKROTIK
? Mostra um help para o diretrio em que se esteja
? Aps um comando incompleto mostra as opes

disponveis para o comando
Comandos podem ser completados com a tecla TAB
Havendo mais de uma opo para o j digitado,

pressione TAB 2 vezes para mostrar as opes
disponveis
22
CONSOLE NO MIKROTIK
Comando PRINT mostra informaes de configurao:
23
CONSOLE NO MIKROTIK
possvel monitorar o status das interfaces com o seguinte comando:
[guilherme@MKT] > interface wireless monitor wlan1

status: running-ap
band: 5ghz
frequency: 5765MHz
noise-floor: -112dBm
overall-tx-ccq: 93%
registered-clients: 8
authenticated-clients: 8
current-ack-timeout: 33
nstreme: no
current-tx-powers:
6Mbps:21(21/21),9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21)
24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18)
24
CONSOLE NO MIKROTIK
Comandos para manipular regras

Comando Export

add, set, remove: adiciona, muda e remove regras;

disabled: desabilita regra sem deletar;
move: move a regra cuja a ordem influncia.
Exporta todas as configuraes do diretoria acima;

Pode ser copiado e colado em um editor de textos;
Pode ser exportado para arquivo.
Comando Import
Importa um arquivo de configurao criado pelo comando

export.
25
WINBOX
Winbox o utilitrio para administrao do Mikrotik em modo

grfico. Funciona em Windows. Para funcionar no Linux
necessrio a instalao do emulador Wine. A comunicao feita
pela porta TCP 8291 e caso voc habilite a opo Secure Mode a
comunicao ser criptografada.
Para baixar o winbox acesse o link:

http://www.mikrotik.com/download.html
26
ACESSANDO PELO WINBOX

possvel acessar o Mikrotik inicialmente sem endereo IP,

atravs do MAC da interface do dispositivo que est no
mesmo barramento fsico que o usurio. Para isso basta
clicar nos 3 pontos e selecione o MAC que aparecer.
27
CONFIGURAO EM MODO SEGURO

O Mikrotik permite o acesso ao sistema atravs do modo

seguro. Este modo permite desfazer as configuraes
modificadas caso a sesso seja perdida de forma automtica.
Para habilitar o modo seguro pressione CTRL+X.
28

Se um usurio entra em modo seguro, quando j h um nesse

modo, a seguinte mensagem ser dada:
Hijacking Safe Mode from someone unroll/release/dont take it
[u/r/d]
u desfaz todas as configuraes anteriores feitas em modo

seguro e pe a presente sesso em modo seguro
d deixa tudo como est
r mantm as configuraes no modo seguro e pe a sesso
em modo seguro. O outro usurio receber a seguinte
mensagem:
Safe Mode Released by another user
29

Todas configuraes so desfeitas caso voc perca comunicao

com o roteador, o terminal seja fechado clicando no x ou
pressionando CTRL+D.
Configuraes realizadas em modo seguro so marcadas com

uma Flag F, at que sejam aplicadas
possvel visualizar o histrico de modificaes atravs do

menu: /system history print
Obs.: O nmero mximo de registros em modo seguro de 100.

30
MANUTENO DO MIKROTIK
Atualizao
Gerenciando pacotes
Backup
Informaes sobre licenciamento

31
ATUALIZAES
As atualizaes podem ser feitas

a partir de um conjunto de
pacotes combinados ou
individuais.
Os arquivo tem extenso .npk e

para atualizar a verso basta
fazer o upload para o diretrio
raiz e efetuar um reboot.
O upload pode ser feito por FTP

ou copiando e colando pelo
Winbox.
32
PACOTES
Adicionar novas funcionalidades podem ser feitas

atravs de alguns pacotes que no fazem parte do
conjunto padro de pacotes combinado.
Esses arquivos tambm possuem extenso .npk e para

instal-los basta fazer o upload para o Mikrotik e
efetuar um reboot do sistema.
Alguns pacotes como User Manager e Multicast so

exemplos de pacotes adicionais que no fazem parte do
pacote padro.
33
PACOTES
Alguns pacotes podem ser habilitados e desabilitados

conforme sua necessidade.
Pacote desabilitado
Pacote marcado para
ser desabilitado
Pacote marcado para
ser habilitado
34
BACKUP
Para efetuar o backup

basta ir em Files e clicar
no boto Backup.
Para restaurar o backup

basta selecionar o arquivo
e clicar em Restore.
Este tipo de backup pode causar problemas de MAC

caso seja restaurado em outro hardware. Para efetuar
um backup por partes use o comando export.
35
LICENCIAMENTO
A chave gerada sobre

um software-id
fornecido pelo sistema.
A licena fica vinculada

ao HD ou Flash e/ou
placa me.
A formatao com
outras ferramentas
muda o software-id
causa a perda da
licena.
36
DVIDAS ???
37
NIVELAMENTO DE CONHECIMENTOS TCP/IP
38
MODELO OSI OPEN SYSTEM INTERCONNECTION

CAMADA 7 Aplicao: Comunicao com os programas. SNMP e TELNET.
CAMADA 6 Apresentao: Camada de traduo. Compresso e criptografia
CAMADA 5 Sesso: Estabelecimento das sesses TCP.
CAMADA 4 Transporte: Controle de fluxo, ordenao dos pacotes e correo de
erros
CAMADA 3 Rede: Associa endereo fsico ao endereo lgico
CAMADA 2 Enlace: Endereamento fsico. Detecta e corrige erros da camada 1
CAMADA 1 Fsica: Bits de dados
39
CAMADA I CAMADA FSICA

A camada fsica define as caractersticas tcnicas dos

dispositivos eltricos.
nesse nvel que so definidas as especificaes de

cabeamento estruturado, fibras pticas, etc... No caso
da wireless a camada I que define as modulaes,
frequncias e largura de banda das portadores.
40
CAMADA II - ENLACE
Camada responsvel pelo endereamento fsico,

controle de acesso ao meio e correes de erros da
camada I.
Endereamento fsico se faz pelos endereos MAC

(Controle de Acesso ao Meio) que so nicos no mundo e
que so atribudos aos dispositivos de rede.
Ethernets e PPP so exemplos de dispositivos que

trabalham em camada II.
41
ENDEREO MAC
o nico endereo fsico de um dispositivo de rede
usado para comunicao com a rede local
Exemplo de endereo MAC: 00:0C:42:00:00:00
42
CAMADA III - REDE

Responsvel pelo endereamento lgico dos pacotes.
Transforma endereos lgicos(endereos IPs) em endereos

fsicos de rede.
Determina que rota os pacotes iro seguir para atingir o

destino baseado em fatores tais como condies de trfego
de rede e prioridade.
43
ENDEREO IP
o endereo lgico de um dispositivo de rede
usado para comunicao entre redes
Exemplo de endereo ip: 200.200.0.1
44
SUB REDE
uma faixa de endereos IP que divide as redes em segmentos
Exemplo de sub rede: 255.255.255.0 ou /24
O endereo de REDE o primeiro IP da sub rede
O endereo de BROADCAST o ltimo IP da sub rede
Esses endereos so reservados e no podem ser usados

End. IP/Mscara
End. de Rede
End. Broadcast
192.168.0.1/24
192.168.0.0
192.168.0.255
192.168.0.1/25
192.168.0.0
192.168.0.127
192.168.0.1/26
192.168.0.0
192.168.0.63
192.168.0.200/26
192.168.0.192
192.168.0.255
45
ENDEREAMENTO CIDR
46
PROTOCOLO ARP (ADDRESS RESOLUTION PROTOCOL)

Utilizado para associar IPs com endereos fsicos.
Faz a intermediao entre a camada II e a camada III da
seguinte forma:
1.
O solicitante de ARP manda um pacote de broadcast com

informao do IP de destino, IP de origem e seu MAC,
perguntando sobre o MAC de destino.
2.
O host que tem o IP de destino responde fornecendo seu

MAC.
3.
Para minimizar o broadcast, o S.O mantm um tabela ARP

constando o par (IP MAC).
47
CAMADA IV - TRANSPORTE
Quando no lado do remetente responsvel por pegar os

dados das camadas superiores e dividir em pacotes para que
sejam transmitidos para a camada de rede.
No lado do destinatrio pega pega os pacotes recebidos da

camada de rede, remonta os dados originais e os envia para
camada superior.
Esto na camada IV: TCP, UDP, RTP

48
CAMADA IV - TRANSPORTE
Protocolo TCP:
O TCP um protocolo de transporte que executa importantes

funes para garantir que os dados sejam entregues de forma
confivel, ou seja, sem que os dados sejam corrompidos ou
alterados.
Protocolo UDP:
O UDP um protocolo no orientado a conexo e portanto mais

rpido que o TCP. Entretanto no garante a entrega dos dados.
49
CARACTERSTICAS DO PROTOCOLO TCP

Garante a entrega de data gramas IP.
Executa a segmentao e reagrupamento de grande blocos de dados

enviados pelos programas e garante o seqenciamento adequado e a
entrega ordenada de dados segmentados.
Verifica a integridade dos dados transmitidos usando clculos de soma

de verificao.
Envia mensagens positivas dependendo do recebimento bem-sucedido

dos dados. Ao usar confirmaes seletivas, tambm so enviadas
confirmaes negativas para os dados que no foram recebidos.
Oferece um mtodo preferencial de transporte de programas que devem

usar transmisso confivel de dados baseados em sesses, como banco de
50
dados cliente/servidor por exemplo.
PORTAS TCP
Protocolo
TCP
FTP
Porta 21
SSH
Porta 22
Telnet
Porta 23
WEB
Porta 80
O uso de portas, permite o funcionamento de vrios servios, ao

mesmo tempo, no mesmo computador, trocando informaes com
um ou mais servios/servidores.
51
Portas abaixo de 1024 so registradas para servios especiais.
DIFERENAS BSICAS ENTRE TCP E UDP

TCP
UDP
Servio orientado por conexo.
Servio sem conexo. No

estabelecida conexo entre os hosts.
Garante a entrega atravs do uso de

confirmao e entrega seqenciada
dos dados.
No garante ou no confirma
entrega dos dados.
Programas que usam TCP tem

garantia de transporte confivel de
dados.
Programas que usam UDP so

responsveis pela confiabilidade dos
dados.
Mais lento, usa mais recursos e

somente d suporte a ponto a ponto.
Rpido, exige poucos recursos e

oferece comunicao ponto a ponto e
multiponto.
52
ESTADO DAS CONEXES

possvel observar o estado das conexes no MikroTik no menu Connections.
53
DVIDAS ????
54
DIAGRAMA INICIAL
55
CONFIGURAO DO ROUTER
Adicione os ips as interfaces
56
Adicione a rota padro

3
1
4
2
57
Adicione o servidor DNS

1
3
2
4
58
Configurao da interface wireless
59
TESTE DE CONECTIVIDADE
Pingar a partir da RouterBoard o seguinte ip:

192.168.X.254
Pingar a partir da RouterBoard o seguinte endereo:

www.mikrotik.com;
Pingar a partir do notebook o seguinte ip: 192.168.X.254
Pingar a partir do notebook o seguinte endereo:

www.mikrotik.com;
Analisar os resultados
60
CORRIGIR O PROBLEMA DE CONECTIVIDADE

Diante do cenrio apresentado quais solues podemos

apresentar?
Adicionar rotas estticas;
Utilizar protocolos de roteamento dinmico;
Utilizar NAT(Network Address Translation).

61
UTILIZAO DO NAT
O mascaramento a tcnica que permite que vrios

hosts de uma rede compartilhem um mesmo endereo
IP de saida do roteador. No Mikrotik o mascaramento
feito atravs do Firewall na funcionalidade do NAT.
Todo e qualquer pacote de dados de uma rede possui

um endereo IP de origem e destino. Para mascarar o
endereo, o NAT faz a troca do endereo IP de origem.
Quando este pacote retorna ele encaminhando ao host
que o originou.
62
Adicionar uma regra de NAT, mascarando as

requisies que saem pela interface wlan1.
3
1
4
63
TESTE DE CONECTIVIDADE
Efetuar os testes de ping a partir do notebook;
Analisar os resultados;
Efetuar os eventuais reparos.
Aps a confirmao de que tudo est funcionando, faa

o backup da routerboard e armazene-o no notebook. Ele
ser usado ao longo do curso.
64
GERENCIANDO USURIOS

O acesso ao roteador pode ser controlado;

Pode-se criar usurios e/ou grupos diferentes;
1
65
GERENCIAMENTO DE USURIOS
Adicione um novo usurio com seu nome e d a ele

acesso Full
Mude a permisso do usurio admin para Read
Faa login com seu novo usurio.
66
ATUALIZANDO A ROUTERBOARD
Faa o download dos pacotes no seguinte endereo:

ftp://172.31.255.2
Faa o upload dos pacotes para sua RouterBoard
Reinicie a RouterBoard para que os pacotes novos

sejam instalados
Confira se os novos pacotes foram instalados com

sucesso.
67
WIRELESS NO MIKROTIK
68
CONFIGURAES FSICAS
Padro
IEEE
Frequncia
Tecnologia
Velocidades
802.11b
2.4 Ghz
DSSS
1, 2, 5.5 e 11 Mbps
802.11g
2.4 Ghz
OFDM
6, 9, 12, 18, 24, 36, 48 e 54

Mbps
802.11a
5 Ghz
OFDM
6, 9, 12, 18, 24, 36, 48 e 54

Mbps
802.11n
2.4 Ghz e 5 Ghz BQSP, QPSQ e

QAM
De 6.5Mbps at 600 Mbps
69
802.11B - DSSS
70
CANAIS NO INTERFERENTES EM 2.4 GHZ - DSSS
Canal 1
2.412
GHz
Canal 6
2.437
GHz
Canal 11
2.462
GHz
71
CONFIGURAES FSICAS 2.4GHZ

2.4Ghz-B: Modo
802.11b, que permite
velocidades de 1 11
Mbps e utiliza
espalhamento espectral.
2.4Ghz-only-G: Modo
802.11g, que permite
velocidades de 6 54
Mbps e utiliza OFDM.
2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado
para ser usado somente em processo de migrao.
72
CANAIS DO ESPECTRO DE 5GHZ
Em termos regulatrios a frequncia de 5Ghz dividida em 3 faixas:

Faixa baixa: 5150 a 5350 Mhz
Faixa mdia: 5470 a 5725 Mhz
Faixa alta:
5725 a 5850 Mhz
73
ASPECTOS LEGAIS DO ESPECTRO DE 5GHZ

Faixa Baixa
Freqncias
Faixa Mdia
Faixa Alta
5150-5250
5250-5350
5470-5725
5725-5850
Largura
100 Mhz
100 Mhz
255 Mhz
125 Mhz
Canais
4 canais
4 canais
11 canais
5 canais
Deteco de
radar
obrigatria
Deteco de
radar
obrigatria
74
CONFIGURAES FSICAS 5 GHZ

5Ghz: Modo 802.11a

opera nas trs faixas
permitidas com
velocidades que vo de
6Mbps a 54 Mbps.
O modo 5Ghz permite ainda as variaes de uso em 10Mhz e

5Mhz de largura de banda que permite selecionar freqncias
mais especificas, porm reduzindo a velocidade nominal.
Permite ainda a seleo do modo turbo ou a/n dependendo do

modelo do carto.
75
CANALIZAO EM 802.11A MODOS 5MHZ E 10MHZ
Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requer menor sensibilidade
Aumenta o nvel de potncia de tx
76
CANALIZAO EM 802.11A MODO TURBO
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requer maior sensibilidade
Diminui o nvel de potncia de tx
77
PADRO 802.11N
INDICE:
MIMO
Velocidades do 802.11n
Bonding do canal
Agregao dos frames
Configurao dos cartes
Potncia de TX em cartes N
Bridge transparente para links N utilizando MPLS/VPLS
78
MIMO
MIMO: Multiple Input and Multiple Output
SDM: Spatial Division Multiplexing

Streams espaciais mltiplas atravs de mltiplas antenas.
Configuraes de antenas mltiplas para receber e

transmitir:
1x1, 1x2, 1x3;
2x2, 2x3;
3x3
79
802.11N - VELOCIDADES NOMINAIS
80
802.11N - BONDING DOS CANAIS 2 X 20MHZ

Adiciona mais 20Mhz ao canal existente
O canal colocado abaixo ou acima da frequncia

principal
compatvel com os clientes legados de 20Mhz

Conexo feito no canal principal
Permite utilizar taxas maiores
81
802.11N AGREGAO DOS FRAMES

Combinando mltiplos frames de dados em um simples

frame diminui o overhead
Agregao de unidades de servio de dados MAC

MAC Protocol Data Units (AMPDU)
Usa Aknowledgement em bloco
Pode aumentar a latncia, por padro habilitado somente
para trfego de melhor esforo
Enviando e recebendo AMSDUs pode causar aumento

de processamento
82
CONFIGURANDO NO MIKROTIK
HT Tx Chains / HT Rx Chains:
No caso dos cartes n a
configurao da antena
ignorada.
HT AMSDU Limit: Mximo

AMSDU que o dispositivo pode
preparar.
HT AMSDU Threshold: Mximo

tamanho de frame que permitido
incluir em AMSDU.
83
HT Guard Interval: Intervalo de

guarda.
Any: Longo ou curto,
dependendo da velocidade de
transmisso.
Longo: Intervalo longo.
HT Extension Channel: Define

se ser usado a extenso adicional
de 20Mhz.
Below: Abaixo do canal
principal
Above: Acima do canal principal
HT AMPDU Priorities: Prioridades do frame para qual o AMPDU

deve ser negociado e utilizado.
84
Quando se utiliza 2 canais ao mesmo tempo, a potncia de

transmisso dobrada.
85
BRIDGE TRANSPARENTE EM ENLACES N

WDS no suporta agregao de frames e portanto no

prov a velocidade total da tecnologia n
EoIP incremente overhead
Para fazer bridge transparente com velocidades

maiores com menos overhead em enlaces n devemos
utilizar MPLS/VPLS.
86

Para se configurar a bridge transparente em enlaces n,

devemos estabelecer um link AP <-> Station e configure uma
rede ponto a ponto /30.

Ex.: 172.16.0.1/30(AP) e 172.16.0.2/30(Station)

Habilitar o LDP (Label Distribution Protocol) em ambos lados.
Adicionar a wlan1 a interface MPLS
87

Configurar o tnel VPLS em ambos os lados

Crie uma bridge entre a interface VPLS e a ethernet conectada
Confira o status do LDP e do tnel VPLS
88
BRIDGES VPLS - CONSIDERAES

O tnel VPLS incrementa o pacote. Se este pacote excede o

MPLS MTU da interface de saida, este ser fragmentado.
Se a interface ethernet suportar MPLS MTU de 1522 ou

superior, a fragmentao pode ser evitada alterando o
MTU da interface MPLS.
Uma lista completa sobre as MTU das RouterBoards pode

ser encontrada em:
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_Router
Boards
89
SETUP OUTDOOR PARA ENLACES N

Recomendaes segundo a Mikrotik:

Teste de canal separadamente antes de us-los ao mesmo

tempo.
Para operao em 2 canais, usar polarizaes diferentes
Quando utilizar antenas de polarizao dupla, a isolao

mnima recomendada da antena de 25dB.
90
ENLACES N
Estabelea um link N com seu vizinho
Teste a performance com um e dois canais
Crie uma bridge transparente usando VPLS

91
CONFIGURAES DE CAMADA FSICA - POTNCIAS

default: No altera a potncia original do carto

cards rates: Fixa mas respeita as variaes das taxas para cada
velocidade
all rates fixed: Fixa um valor para todas velocidades
manual: permite ajustar potncias diferentes para cada
velocidade
92
CONFIGURAES DE CAMADA FSICA - POTNCIAS
Quando a opo regulatory domain est habilitada, somente as frequncias

permitidas para o pas selecionado em Country estaro disponveis. Alm
disso o Mikrotik ajustar a potncia do rdio para atender a regulamentao
do pas, levando em conta o valor em dBi informado em Antenna Gain.
Para o Brasil esses ajustes s foram corrigidos a partir da verso 3.13
93
CONFIGURAES DA CAMADA FSICA SELEO DE

ANTENAS
Em cartes que tem duas saidas para

antenas, possvel escolher:
antena a: utiliza antena a(main) para tx e

rx
antena b: utiliza antena b(aux) para tx e rx
rx-a/tx-b: recepo em a e transmisso em

b
tx-a/rx-b: transmisso em b e recepo em

a
94
CONFIGURAES DA CAMADA FSICA DFS

no radar detect: escaneia o meio e

escolhe o canal em que for encontrado o
menor nmero de redes
radar detect: escaneia o meio e espera

1 minuto para entrar em operao no
canal escolhido se no for detectada a
ocupao do canal
Obs.: O modo DFS obrigatrio no

Brasil para as faixas de 5250-5250 e
5350-5725
95
CONFIGURAES DA CAMADA FSICA PROP. EXTENSIONS E

WMM
Proprietary Extensions: Opo com a

nica finalidade de dar compatibilidade com
chipsets Centrino.
WMM Support: QoS no meio fsico(802.11e)

enabled: permite que o outro dispositivo use

wmm
required: requer que o outro dispositivo use

wmm
disabled: desabilita a funo wmm
96
CONFIGURAES DA CAMADA FSICA AP E CLIENT TX RATE /

COMPRESSION
Defaul AP TX Rate: Taxa mxima que o

AP pode transmitir para cada um de seus
clientes. Funciona para qualquer cliente.
Default Client TX Rate: Taxa mxima
que o cliente pode transmitir para o AP.
S funciona para clientes Mikrotik.
Compression: Recurso de compresso em Hardware

disponvel em chipsets Atheros. Melhora o desempenho se o
cliente possuir este recurso e no afeta clientes que no
possuam o recurso. Porm este recurso incompatvel com
criptografia.
97
CONFIGURAES DA CAMADA FSICA DATA

RATES
A velocidade em uma rede wireless

definida pela modulao que os
dispositivos conseguem trabalhar.
Supported Rates: So as velocidades

de dados entre o AP e os clientes.
Basic Rates: So as velocidades que

os dispositivos se comunicam
independentemente do trfego de
dados (beacons, sincronismos, etc...)
98
CONFIGURAES DA CAMADA FSICA ACK

Dispositiv
o A
Dados
ACK
Dispositiv
o B
O ACK timeout o tempo que um dispositivo wireless

espera pelo pacote ack que deve ser transmitido para
confirmar toda transmisso wireless.
Dynamic: O Mikrotik calcula dinamicamente o Ack de cada

cliente mandando de tempos em tempos sucessivos pacotes com
Ack timouts diferentes e analisando as respostas.
indoors: Valor constante para redes indoors.
Pode-se tambm fixar valores manualmente.
99
CONFIGURAES DA CAMADA FSICA ACK

Tabela de valores referenciais para ACK Timeout
100
Obs.: Utilize a tabela somente para referncia inicial.
FERRAMENTAS DE SITE SURVEY - SCAN

A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
N -> Nstreme
Escaneia o meio.
Obs.: Qualquer operao de site survey causa queda das

conexes estabelecidas.
101
FERRAMENTAS DE SITE SURVEY USO DE

FREQUNCIAS
Mostra o uso das frequncias em

todo o espectro para site survey.
102
INTERFACE WIRELESS - ALINHAMENTO
Ferramenta de alinhamento com sinal sonoro

Colocar o MAC do AP remoto no campo Filter MAC Address
e Audio Monitor.
Rx Quality: Potncia em dBm do ltimo pacote recebido

Avg. Rx Quality: Potncia mdia dos pacotes recebidos
Last Rx: Tempo em segundos do ltimo pacote recebido
Tx Quality: Potncia do ltimo pacote transmitido
Last TX: Tempo em segundos do ltimo pacote transmitido
Correct: Nmero de pacotes recebidos sem erro
103
INTERFACE WIRELESS - SNIFFER

Ferramenta para sniffar

o ambiente wireless
captando e decifrando
pacotes.
Muito til para detectar

ataques do tipo deauth e
monkey jack.
Pode ser arquivado no

prprio Mikrotik ou
passado por streaming
para outro servidor com
protocolo TZSP.
104
INTERFACE WIRELESS - SNOOPER
Com a ferramenta snooper possvel monitorar a carga de

trfego em cada canal por estao e por rede.
Scaneia as frequncias definidas em scan-list da interface
105
INTERFACE WIRELESS - GERAL

Comportamento do protocolo ARP
disable: No responde a requisies

ARP. Clientes devem acessar atravs
de tabelas estticas.
proxy-arp: Passa seu prprio MAC
quando h uma requisio para algum
host interno ao roteador.
reply-only: Somente responde as
requisies. Endereos vizinhos so
resolvidos estaticamente.
106
INTERFACE WIRELESS MODO DE OPERAO
ap bridge: Modo de ponto de acesso. Repassa os MACs do meio

wireless de forma transparente para a rede cabeada.
bridge: O mesmo que o o modo ap bridge porm aceitando

somente um cliente.
station: Modo cliente de um ap. No pode ser colocado em

bridge com outras interfaces.
107
station pseudobridge: Estao que pode ser colocada em

modo bridge, porm sempre passa ao AP seu prprio MAC.
station pseudobridge clone: Modo idntico ao anterior,

porm passa ao AP um MAC pr determinado anteriormente.
station wds: Modo estao que pode ser colocado em bridge

com a interface ethernet e que passa os MACs de forma
transparente. necessrio que o AP esteja em modo wds.
108
alignment only: Modo utilizado para efetuar alinhamento de

antenas e monitorar sinal. Neste modo a interface wireless
escuta os pacotes que so mandados a ela por outros
dispositivos trabalhando no mesmo canal.
wds slave: Ser visto no tpico especifico de wds.
nstreme dual slave: Ser visto no tpico especifico de nstreme.
109
INTERFACE WIRELESS AP VIRTUAL
Com as interfaces virtuais podemos montar

vrias redes dando perfis de servio diferentes.
Name: Nome da rede virtual
MTU: Unidade mxima de transferncia(bytes)
MAC: Endereo MAC do novo AP
ARP: Modo de operao do protocolo ARP
Obs.: As demais configuraes so idnticas as
de um AP.
110
CAMADA FSICA - WIRELESS

Como trabalha o CSMA?

Redes ethernet
tradicionais utilizam o
mtodo CSMA/CD
(Colision Detection).
Redes wireless 802.11

utilizam o mtodo
CSMA/CA (Colision
Avoidance).
111
PROTOCOLO NSTREME - CONFIGURAO

Framer Policy
Dynamic size: O Mikrotik
determina.
Best fit: Agrupa at o valor em

Frame Limit sem fragmentar.
Exact Size: Agrupa at o valor em

Frame Limit fragmentando se
necessrio.
Enable Nstreme: Habilita o nstreme.

Enable Polling: Habilita o mecanismo de polling. Recomendado.
Disable CSMA: Desabilita o Carrier Sense. Recomendado.
Framer Limit: Tamanho mximo do pacote em bytes.
112
PROTOCOLO NSTREME DUAL - CONFIGURAO
1 Colocar a interface em modo

nstreme dual slave.
2 Adicionar uma interface Nstreme
Dual e definir quem ser TX e quem ser
RX.
Obs.: Utilize sempre canais distantes.
113
PROTOCOLO NSTREME DUAL - CONFIGURAO
3 Verifique o MAC escolhido pela

interface Nstreme e informe no lado
oposto.
4 Criar uma bridge e adicionar as

interfaces ethernet e a interface Nstreme
Dual
Prticas de RF recomendadas:
Use antenas de qualidade, Polarizaes diferentes, canais distantes e
mantenha uma boa distncia entre as antenas.
114
WDS & WDS MESH
115
WDS WIRELESS DISTRIBUTION SYSTEM
WDS a melhor forma uma grande rea de cobertura

utilizando vrios APs e prover mobilidade sem a
necessidade de re-conexo dos usurios. Para isso todos os
APs devem ter o mesmo SSID e mesmo canal.
116
WDS E O PROTOCOLO STP
A mgica do wds s possvel por conta do protocolo STP. Para evitar o

looping na rede necessrio habilitar o protocolo STP ou RSTP. Ambos
protocolos trabalham de forma semelhante porm o RSTP mais rpido.
O RSTP inicialmente elege uma root bridge e utiliza o algoritmo

breadth-first search que quando encontra um MAC pela primeira vez,
torna o link ativo. Se encontra outra vez, torna o link desabilitado.
Normalmente habilitar o RSTP j suficiente para atingir os resultados.

No entanto possvel interferir no comportamento padro, modificando
custos, prioridades e etc...
117

Quanto menor a prioridade, maior a
chance de ser eleita como bridge root.
Quando os custos so iguais eleita a

porta com prioridade mais baixa.
O custo da porta permite um caminho
ser eleito em lugar do outro.
118
A Bridge usa o endereo MAC da porta ativa com menor nmero de porta.
A porta wireless est ativa somente quando existem hosts conectados a ela.
Para evitar que os MACs fiquem variando, possvel atribuir um MAC

manualmente.
119
WDS / WDS MESH
WDS Default Bridge: A bridge padro

para as interfaces wds.
WDS Default Cost: Custo da porta

bridge do link wds.
WDS Cost Range: Margem de custo que

pode ser ajustada com base no troughtput
do link.
WDS Mode
dynamic: As interfaces wds so adicionada dinamicamente quando um
dispositivo wds encontra outro compatvel.
dynamic mesh: O mesmo que dynamic, porm com um algoritmo proprietrio

para melhoria do link. S possui compatibilidade com outros dispositivos
Mikrotik.
static: As interfaces wds devem ser adicionadas manualmente apontando o

MAC da outra ponta.
static mesh: Mesmo que o anterior, porm usando o algoritmo proprietrio da

Mikrotik.
120
WDS / MESH
Crie as interfaces wds e d os

seguinte parmetros:
Name: Nome da rede wds.

Master Interface: Interface que o
wds funcionar. Podendo inclusive
ser uma interface virtual.
WDS Address: Endereo MAC da
interface wds que ser conectada.
121
WDS / MESH
Testar a transparncia do link com stations-wds
Utilizar Mesh com WDS-RSTP
Testar o modo WDS Slave
122
INTERFACE WIRELESS CONTROLE DE ACESSO
A Access List utilizada pelo AP para restringir

associaes de clientes. Esta lista contem os endereos
MAC de clientes e determina qual ao deve ser tomada
quando um cliente tenta conectar.
A comunicao entre clientes da mesma interface, virtual

ou real, tambm controlada na Access List.
123
INTERFACE WIRELESS CONTROLE DE ACESSO

O processo de associao ocorre
da seguinte forma:
1.
Um cliente tenta se associar a uma interface wlan;
2.
Seu MAC procurado na access list da interface wlan;
3.
Caso encontrado, a ao especifica ser tomada:

Authentication: Define se o cliente poder se associar ou

no;
Fowarding: Define se os clientes podero se comunicar.
124
INTERFACE WIRELESS ACCESS LIST

MAC Address: Endereo MAC a ser
liberado ou bloqueado.
Interface: Interface real ou virtual onde
ser feito o controle de acesso.
AP Tx Limit: Limite de trfego enviado
para o cliente.
Client Tx Limit: Limite de trfego enviado
do cliente para o AP.
Private Key: Chave wep criptografada.
Private Pre Shared Key: Chave WPA.
Management Protection Key: Chave usada para evitar ataques de
desautenticao. Somente compatvel com outros Mikrotiks.
125
INTERFACE WIRELESS CONNECT LIST

A Connect List tem a finalidade de listar
os APs que o Mikrotik configurado como
cliente pode se conectar.
MAC Address: MAC do AP a se conectar

SSID: Nome da rede
Area Prefix: String para conexo com AP de mesma rea
Security Profile: Definido nos perfis de segurana.
Obs.: Essa uma boa opo para evitar que o cliente se associe a um
AP falso.
126
SEGURANA DE ACESSO EM REDES SEM FIO
127
FALSA SEGURANA
Nome da rede escondido:

Pontos de acesso sem fio por padro fazem o

broadcast de seu SSID nos pacotes
chamados beacons. Este comportamento
pode ser modificado no Mikrotik habilitando
a opo Hide SSID.
Pontos negativos:
SSID deve ser conhecido pelos clientes
Scanners passivos o descobrem facilmente

pelos pacotes de probe request dos
clientes.
128
FALSA SEGURANA
Controle de MACs:
Descobrir MACs que trafegam no ar muito simples com

ferramentas apropriadas e inclusive o Mikrotik como sniffer.
Spoofar um MAC bem simples. Tanto usando windows,

linux ou Mikrotik.
129
FALSA SEGURANA
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia
inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para quebrar
a chave, como:

Airodump
Airreplay
Aircrack
Hoje com essas ferramentas bem simples quebrar a WEP.
130
EVOLUO DOS PADRES DE SEGURANA
131
FUNDAMENTOS DE SEGURANA
Privacidade
Integridade
As informaes no podem ser legveis para terceiros.
As informaes no podem ser alteradas quando em transito.
Autenticao
AP
Cliente: O AP tem que garantir que o cliente quem diz
ser.
Cliente
AP: O cliente tem que se certificar que est
conectando no AP correto. Um AP falso possibilita o chamado
ataque do homem do meio.
132
PRIVACIDADE E INTEGRIDADE
Tanto a privacidade como a integridade so garantidos
por tcnicas de criptografia.
O algoritmo de criptografia de dados em WPA o RC4,
porm implementado de uma forma bem mais segura que na
WEP. E na WPA2 utiliza-se o AES.
Para a integridade dos dados WPA usa TKIP(Algoritmo de

Hashing Michael) e WPA2 usa CCMP(Cipher Chaining
Message Authentication Check CBC MAC)
133
CHAVE WPA E WPA2 - PSK

A configurao da chave
WPA/WAP2-PSK muito simples
no Mikrotik.
Configure o modo de chave

dinmico e a chave prcombinada para cada tipo de
autenticao.
Obs.: As chaves so alfanumricas

de 8 at 64 caracteres.
134
SEGURANA DE WPA / WPA2

Atualmente a nica maneira conhecida para se quebrar a

WPA-PSK somente por ataque de dicionrio.
Como a chave mestra PMK combina uma contra-senha

com o SSID, escolhendo palavras fortes torna o sucesso de
fora bruta praticamente impossvel.
A maior fragilidade paras os WISPs que a chave se

encontra em texto plano nos computadores dos clientes ou
no prprio Mikrotik.
135
CONFIGURANDO EAP-TLS SEM CERTIFICADOS

Crie o perfil EAP-TLS e associe a interface
Wireless cliente.
136
SEGURANA DE EAP-TLS SEM CERTIFICADOS

O resultado da negociao annima resulta em uma chave

PMK que de conhecimento exclusivo das duas partes.
Depois disso toda a comunicao criptografada por
AES(WPA2) e o RC4(WPA).
Seria um mtodo muito seguro se no houvesse a

possibilidade de um atacante colocar um Mikrotik com a
mesma configurao e negociar a chave normalmente como se
fosse um cliente.
Uma idia para utilizar essa configurao de forma segura

criando um tnel criptografado PPtP ou L2TP entre os
equipamentos depois de fechado o enlace.
137
TRABALHANDO COM CERTIFICADOS

Certificado digital um arquivo que identifica de forma

inequvoca o seu proprietrio.
Certificados so criados por instituies emissoras chamadas

de CA (Certificate Authorities).
Os certificados podem ser:

Assinados por uma instituio acreditada (Verisign, Thawte,
etc...)
Certificados auto-assinados.
138
PASSOS PARA IMPLEMENTAO DE EAP-TLS COM

CERTIFICADOS AUTO ASSINADOS
1.
Crie a entidade certificadora(CA)
2.
Crie as requisies de Certificados
3.
Assinar as requisies na CA
4.
Importar os certificados assinados para os Mikrotiks
5.
Se necessrio, criar os certificados para mquinas

windows
139
EAP-TLS SEM RADIUS EM AMBOS LADOS

O metodo EAP-TLS
tambm pode ser usado
com certificados.
140
EAP-TLS SEM RADIUS EM AMBOS LADOS

Metodos TLS
dont verify certificate: Requer um

certificado, porm no verifica.
no certificates: Certificados so
negociados dinamicamente com o
algoritmo de Diffie Hellman.
verify certificate: Requer um certificado
e verifica se foi assinado por uma CA.
141
WPAX COM RADIUS
142
TIPOS DE EAP
EAP-TLS (EAP Transport Layer Security)

O Mikrotik suporta EAP-TLS tanto como cliente como AP e

ainda repassa esse mtodo para um Servidor Radius.
Prover maior nvel de segurana e necessita de certificados em

ambos lados(cliente e servidor).
O passo a passo completo para configurar um servidor Radius

pode ser encontrado em:
http://under-linux.org/wiki/Tutoriais/Wireless/freeradiusmikrotik
143
EAP-TLS COM RADIUS EM AMBOS LADOS

A configurao da parte do
cliente bem simples.
Selecione o mtodo EAP-TLS
Certifique-se que os certificados

esto instalados e assinados pela
CA.
Associe o novo perfil de

segurana a interface wireless
correspondente.
144
EAP-TLS COM RADIUS EM AMBOS LADOS

No lado do AP selecione o mtodo

EAP passthrough.
Selecione o certificado
correspondente.
Obs.: Verifique sempre se o sistema est com o cliente NTP

habilitado. Caso a data do sistema no esteja correta, poder
causar falha no uso de certificados devido a data validade dos
mesmos.
145
SEGURANA DE EAP-TLS COM RADIUS

Sem dvida este o mtodo mais seguro que podemos

obter. Entretanto existe um ponto que podemos levantar
como possvel fragilidade:
Ponto de
fragilidade
Se um atacante tem acesso fsico ao link entre o AP e o Radius

ele pode tentar um ataque de fora bruta para descobrir a PMK.
Uma forma de proteger este trecho usando um tnel L2TP.
146
RESUMO DOS METODOS DE IMPLANTAO

E SEUS PROBLEMAS.
WPA-PSK
Chaves presentes nos clientes e acessveis aos operadores.
Mtodo sem certificados

Passvel de invaso por equipamento que tambm opere nesse
modo.
Problemas com processador.
Mikrotik com Mikrotik com EAP-TLS

Mtodo seguro porm invivel economicamente e de implantao

147
praticamente impossvel em redes existentes.
RESUMO DOS METODOS DE IMPLANTAO E

SEUS PROBLEMAS.
Mikrotik com Radius

EAP-TLS e EAP-PEAP:
Sujeito ao ataque do homem do meio e pouco disponvel em

equipamentos atuais.
EPA-TLS
Mtodo seguro, porm tambm no disponvel na maioria dos

equipamentos. Em placas PCI possvel implement-lo.
148
MTODO ALTERNATIVO COM MIKROTIK

A partir da verso 3 o Mikrotik oferece a possibilidade de distribuir

uma chave WPA2 PSK por cliente. Essa chave configurada na
Access List do AP e vinculada ao MAC Address do cliente,
possibilitando que cada um tenha sua chave.
Obs.: Cadastrando as PSK na access list,

voltamos ao problema da chave ser
visvel a usurios do Mikrotik.
149

Por outro lado, o Mikrotik permite que essas chaves sejam

distribudas por Radius, o que torna esse mtodo muito
interessante.
Para isso necessrio:

Criar um perfil WPA2 qualquer;
Habilitar a autenticao via MAC no AP;
Ter a mesma chave configurada tanto no cliente como no Radius.
150

Configurando o perfil:
151
CONFIGURANDO O RADIUS
Arquivo users: (/etc/freeradius)
#Sintaxe:
# MAC
#
Cleartext-Password:=MAC
Mikrotik-Wireless-Psk = Chave_Psk
000C42000001
Cleartext-Password:=000C42000001
Mikrotik-Wireless-Psk = 12341234
000C42000002
Cleartext-Password:=000C43000002
Mikrotik-Wireless-Psk = 2020202020ABC
152
CORRIGINDO O DICIONRIO DE ATRIBUTOS

(/usr/share/freeradius/dictionary.mikrotik)
VENDOR
Mikrotik
14988
ATTRIBUTE
ATTRIBUTE
Mikrotik-Recv-Limit
Mikrotik-Xmit-Limit
1
2
integer
integer
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
ATTRIBUTE
Mikrotik-Group
Mikrotik-Wireless-Forward
Mikrotik-Wireless-Skip-Dot1x
Mikrotik-Wireless-Enc-Algo
Mikrotik-Wireless-Enc-Key
Mikrotik-Rate-Limit
8
Mikrotik-Realm
Mikrotik-Host-IP
Mikrotik-Mark-Id
Mikrotik-Advertise-URL
Mikrotik-Advertise-Interval
Mikrotik-Recv-Limit-Gigawords 14
Mikrotik-Xmit-Limit-Gigawords 15
3
4
5
6
7
string
9
10
11
12
13
integer
integer
string
integer
integer
integer
string
ATTRIBUTE
Mikrotik-Wireless-Psk
16
string
string
ipaddr
string
string
integer
153
FIREWALL NO MIKROTIK
154
FIREWALL
O firewall normalmente usado como ferramenta de segurana

para prevenir o acesso no autorizado a rede interna e/ou acesso
ao roteador em si, bloquear diversos tipos de ataques e controlar
o fluxo de dados de entrada, de sada e passante.
Alm da segurana no firewall que sero desempenhadas

diversas funes importantes como a classificao e marcao de
pacotes para desenvolvimento de regras de QoS.
A classificao do trfego feita no firewall pode ser baseada em

vrios classificadores como endereos MAC, endereos IP, tipos
de endereos IP, portas, TOS, tamanho do pacotes, etc...
155
FIREWALL - OPES
Filter Rules: Regras para filtro de pacotes.
NAT: Onde feito a traduo de endereos e portas.
Mangle: Marcao de pacotes, conexo e roteamento.
Service Ports: Onde so localizados os NAT Helpers.
Connections: Onde so localizadas as conexes existentes.

Address List: Lista de endereos ips inseridos de forma dinmica ou
esttica e que podem ser utilizadas em vrias partes do firewall.
Layer 7 Protocols: Filtros de camada 7.
156
FIREWALL CANAIS DEFAULT

O Firewall opera por meio de regras. Uma regra uma

expresso lgica que diz ao roteador o que fazer com um
tipo particular de pacote.
Regras so organizadas em canais(chain) e existem 3

canais default.
INPUT: Responsvel pelo trfego que CHEGA no router;
OUTPUT: Responsvel pelo trfego que SAI do router;
FORWARD: Responsvel pelo trfego que PASSA pelo
router.
157
FIREWALL FLUXO DE PACOTES

Interface de
Entrada
Deciso de
Roteamento
Interface de
Saida
Processo Local
IN
Processo Local
OUT
Filtro Input
Filtro Output
Deciso de
Roteamento
Filtro Forward
Para maiores informaes acesse:
http://wiki.mikrotik.com/wiki/Manual:Packet_F
low
158
FIREWALL PRINCPIOS GERAIS
1.
As regras de firewall so sempre processadas por canal,

na ordem que so listadas de cima pra baixo.
2.
As regras de firewall funcionam como expresses lgicas

condicionais, ou seja: se <condio> ento <ao>.
3.
Se um pacote no atende TODAS condies de uma

regra, ele passa para a regra seguinte.
159
FIREWALL PRINCPIOS GERAIS

4.
Quando um pacote atende TODAS as condies da regra,

uma ao tomada com ele no importando as regras que
estejam abaixo nesse canal, pois elas no sero
processadas.
5.
Algumas excees ao critrio acima devem ser

consideradas como as aes de: passthrough, log e add to
address list.
6.
Um pacote que no se enquadre em qualquer regra do

canal, por padro ser aceito.
160
FIREWALL FILTERS RULES
As regras de filtro pode ser organizadas e mostradas da

seguinte forma:
all: Mostra todas as regras.
dynamic: Regras criadas dinamicamente por servios.
forward, input output: Regras referente a cada canal.
static: Regras criadas estaticamente pelos usurios.
161

Algumas aes que podem ser tomadas nos filtros de firewall:

passthrough: Contabiliza e passa adiante.
drop: Descarta o pacote silenciosamente.
reject: Descarta o pacote e responde com uma mensagem de icmp ou tcp
reset.
tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas no
aloca recursos.
162
FILTER RULES CANAIS CRIADOS PELO USURIO
Alm dos canais padro o administrador pode criar canais

prprios. Esta prtica ajuda na organizao do firewall.
Para utilizar o canal criado devemos desviar o fluxo
atravs de uma ao JUMP.
No exemplo acima podemos ver 3 novos canais criados.
Para criar um novo canal basta adicionar uma nova regra e
163
dar o nome desejado ao canal.

Aes relativas a canais criados pelo

usurio:
jump: Salta para um canal definido em
jump-target
jump target: Nome do canal para onde
se deve saltar
return: Retorna para o canal que

chamou o jump
164
COMO FUNCIONA O CANAL CRIADO PELO USURIO
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
JUMP
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
Canal
criado pelo
usurio
165
COMO FUNCIONA O CANAL CRIADO PELO USURIO
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
JUMP
RETURN
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
Caso exista
alguma regra de
RETURN, o
retorno feito de
forma antecipada e
as regras abaixo
sero ignoradas.
166
FIREWALL ADDRESS LIST
A address list contm uma lista de endereos IP que

pode ser utilizada em vrias partes do firewall.
Pode-se adicionar entradas de forma dinmica

usando o filtro ou mangle conforme abaixo:
Aes:

add dst to address list: Adiciona o IP de destino lista.

add src to address list: Adiciona o IP de origem lista.
Address List: Nome da lista de endereos.
Timeout: Porque quanto tempo a entrada

permanecer na lista.
167
FIREWALL TCNICA DO KNOCK KNOCK
168
FIREWALL TCNICA DO KNOCK KNOCK

A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter seu
endereo IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que estejam na
lista libera_winbox
/ip firewall filter

add chain=input protocol=tcp dst-port=2771 action=add-src-to-address-list address-list=knock \
address-list-timeout=15s comment="" disabled=no
add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add-src-to-address-list
\
address-list=libera_winbox address-list-timeout=15m comment="" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox action=accept
disabled=no
add chain=input protocol=tcp dst-port=8291 action=drop disbled=no
169
FIREWALL CONNECTION TRACK

Refere-se a habilidade do roteador em manter o estado da
informao relativa as conexes, tais como endereos IP de origem e
destino, as respectivas portas, estado da conexo, tipo de protocolos e
timeouts. Firewalls que fazem connection track so chamados de
statefull e so mais seguros que os que fazem processamentos
stateless.
170

O sistema de connection track o corao do firewall. Ele

obtm e mantm informaes sobre todas conexes ativas.
Quando se desabilita a funo connection tracking so

perdidas as funcionalidades NAT e as marcaes de
pacotes que dependam de conexo. No entanto, pacotes
podem ser marcados de forma direta.
Connection track exigente de recursos de hardware.

Quando o equipamento trabalha somente como bridge
aconselhvel desabilit-la.
171
LOCALIZAO DA CONNECTION TRACKING
Interface de
Entrada
Processo Local
IN
Conntrack
Deciso de
Roteamento
Processo Local
OUT
Interface de
Saida
Conntrack
Filtro Input
Filtro Output
Filtro Forward
Deciso de
Roteamento
172
Estado das conexes:

established: Significa que o pacote faz parte de uma conexo j
estabelecida anteriormente.
new: Significa que o pacote est iniciando uma nova conexo ou faz parte
de uma conexo que ainda no trafegou pacotes em ambas direes.
related: Significa que o pacote inicia uma nova conexo, porm est
associada a uma conexo existente.
invalid: Significa que o pacote no pertence a nenhuma conexo
173
existente e nem est iniciando outra.
FIREWALL
PROTEGENDO O ROTEADOR E OS CLIENTES
174
PRINCPIOS BSICOS DE PROTEO

Proteo do prprio roteador

Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente servios necessrios no prprio roteador.
Prevenir e controlar ataques e acessos no autorizado ao
roteador.
Proteo da rede interna

Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente os servios necessrios nos clientes.
Prevenir e controlar ataques e acesso no autorizado em clientes. 175
FIREWALL TRATAMENTO DE CONEXES
Regras do canal input

Descarta conexes invlidas.

Aceitar conexes estabelecidas.
Aceitar conexes relacionadas.
Aceitar todas conexes da rede interna.
Descartar o restante.
176
FIREWALL CONTROLE DE SERVIOS
Regras do canal input

Permitir acesso externo ao winbox.
Permitir acesso externo por SSH.
Permitir acesso externo ao FTP.
Realocar as regras.
177
FIREWALL FILTRANDO TRFEGO

PREJUDICIAL/INTIL
Bloquear portas mais comuns utilizadas por vrus.
Baixar lista com portas e protocolos utilizados por

vrus.
ftp://172.31.255.1/arquivos/virus.rsc
Importar o arquivo virus.rsc e criar um jump para que

as regras funcionem.
178
FIREWALL FILTRANDO TRFEGO INDESEJVEL E

POSSVEIS ATAQUES.
Controle de ICMP
Internet Control Message Protocol basicamente uma

ferramenta para diagnstico da rede e alguns tipos de ICMP
devem ser liberados obrigatoriamente.
Um roteador usa tipicamente apenas 5 tipos de

ICMP(type:code), que so:
Ping Mensagens (0:0) e (8:0)
Traceroute Mensagens (11:0) e (3:3)
PMTUD Mensagens (3:4)
Os outros tipos de ICMP podem ser bloqueados.
179
FIREWALL FILTRANDO TRFEGO INDESEJVEL

IPs Bogons:
Existem mais de 4 milhes de endereos IPV4.
Existem muitas ranges de IP restritos em rede pblicas.
Existem vrias ranges reservadas para propsitos
especficos.
Uma lista atualizada de IPs bogons pode ser encontrada em:
http://www.team-cymru.org/Services/Bogons/bogon-dd.html
IPs Privados:
Muitos aplicativos mal configurados geram pacotes

destinados a IPs privados e uma boa prtica filtr-los.
180
FIREWAL PROTEO BSICA

Ping Flood:
Ping Flood consiste no envio de

grandes volumes de mensagens
ICMP aleatrias.
possvel detectar essa condio

no Mikrotik criando uma regra
em firewall filter e podemos
associ-la a uma regra de log
para monitorar a origem do
ataque.
181

Port Scan:
Consiste no escaneamento de portas TCP e UDP.
A deteco de ataques somente possvel para o protocolo TCP.
Portas baixas (0 1023)
Portas altas (1024 65535)
182

Ataques DoS:
O principal objetivo do ataque de DoS o consumo de recursos

de CPU ou banda.
Usualmente o roteador inundado com requisies de

conexes TCP/SYN causando resposta de TCP/SYN-ACK e a
espera do pacote TCP/ACK.
Normalmente no intencional ou causada por vrus em

clientes.
Todos os IPs com mais de 15 conexes com o roteador podem

ser considerados atacantes.
183

Ataques DoS:
Se simplesmente descartamos as conexes, permitiremos que o

atacante crie uma nova conexo.
Para que isso no ocorra, podemos implementar a proteo em

dois estgios:
Deteco Criar uma lista de atacantes DoS com base em connection
limit.
Supresso Aplicando restries aos que forem detectados.
184
FIREWAL PROTEO PARA ATAQUES DOS

Criar a lista de atacantes para
posteriormente aplicarmos a
supresso adequada.
185
FIREWAL PROTEO PARA ATAQUES DOS

Com a ao tarpit
aceitamos a conexo e a
fechamos, no deixando no
entanto o atacante
trafegar.
Essa regra deve ser

colocada antes da regra de
deteco ou ento a
address list ir reescrevla todo tempo.
186

Ataque dDoS:
Ataque de dDoS so bastante

parecidos com os de DoS, porm
partem de um grande nmero de
hosts infectados.
A nica medida que podemos

tomar habilitar a opo TCP
SynCookie no Connection Track
do firewall.
187
FIREWALL - NAT
NAT Network Address Translation uma tcnica que permite

que vrios hosts em uma LAN usem um conjunto de endereos IPs
para comunicao interna e outro para comunicao externa.
Existem dois tipos de NAT.

Src NAT: Quando o roteador reescreve o IP ou porta de origem.
SRC
DST
SRC
NAT
Novo SRC
DST
Dst NAT: Quando o roteador reescreve o IP ou porta de

destino.
SRC
DST
DST
NAT
SRC
Novo DST
188
FIREWALL - NAT
As regras de NAT so organizadas em canais:

dstnat: Processa o trfego enviado PARA o roteador e

ATRAVS do roteador, antes que ele seja dividido em INPUT
e/ou FORWARD.
srcnat: Processa o trfego enviado A PARTIR do roteador e

ATRAVS do roteador, depois que ele sai de OUTPUT e/ou
FORWARD.
189
FIREWALL NAT FLUXO DE PACOTES

Interface de
Entrada
Conntrack
Interface de
Saida
Processo Local
IN
dstnat
Deciso de
Roteamento
Filtro Input
Processo Local
OUT
Conntrack
srcnat
Filtro Output
Deciso de
Roteamento
190
Filtro Forward
FIREWALL - NAT
Source NAT: A ao mascarade troca o endereo IP de origem de uma

determinada rede pelo endereo IP da interface de sada. Portanto se
temos, por exemplo, a interface ether2 com endereo IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trs da ether1, podemos fazer o
seguinte:
Desta forma, todos os endereos IPs da rede

local vo obter acesso a internet utilizando o
endereo IP 185.185.185.185
191
FIREWALL - NAT
NAT (1:1): Serve para dar acesso bi-direcional a um determinado

endereo IP. Dessa forma, um endereo IP de rede local pode ser
acessado atravs de um IP pblico e vice-versa.
192
FIREWALL - NAT
Redirecionamento de portas: O NAT nos possibilita redirecionar

portas para permitir acesso a servios que rodem na rede interna.
Dessa forma podemos dar acesso a servios de clientes sem utilizao
de endereo IP pblico.
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.10 pela
porta 6380.
Redirecionamento
para acesso ao
servidor WEB do
cliente
192.168.100.20 pela
porta 6480.
193
FIREWALL - NAT
NAT (1:1) com netmap: Com o netmap podemos criar o mesmo acesso
bi-direcional de rede para rede. Com isso podemos mapear, por
exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:
194
FIREWALL NAT HELPERS
Hosts atrs de uma rede nateada no possuem conectividade fima-fim verdadeira. Por isso alguns protocolos podem no funcionar
corretamente neste cenrio. Servios que requerem iniciao de
conexes TCP fora da rede, bem como protocolos stateless como
UDP, podem no funcionar. Para resolver este problema, a
implementao de NAT no Mikrotik prev alguns NAT Helpers
que tm a funo de auxiliar nesses servios.
195
FIREWALL MANGLE
O mangle no Mikrotik uma facilidade que permite a introduo de

marcas em pacotes IP ou em conexes, com base em um
determinado comportamento especifico.
As marcas introduzidas pelo mangle so utilizadas em

processamento futuro e delas fazem uso o controle de banda, QoS,
NAT, etc... Elas existem somente no roteador e portanto no so
passadas para fora.
Com o mangle tambm possvel manipular o determinados

campos do cabealho IP como o ToS, TTL, etc...
196
FIREWALL MANGLE
As regras de mangle so organizadas em canais e obedecem

as mesma regras gerais das regras de filtro quanto a
sintaxe.
Tambm possvel criar canais pelo prprio usurio.
Existem 5 canais padro:

prerouting: Marca antes da fila Global-in;

postrouting: Marca antes da fila Global-out;
input: Marca antes do filtro input;
output: Marca antes do filtro output;
forward: Marca antes do filtro forward;
197
FIREWALL DIAGRAMA DO MANGLE

Interface de
Entrada
Mangle
Prerouting
Processo Local
IN
Processo Local
OUT
Mangle Input
Mangle
Output
Deciso de
Roteamento
Deciso de
Roteamento
Mangle
Forward
Interface de
Saida
Mangle
Postrouting
198
FIREWALL MANGLE
As opes de marcaes incluem:

mark-connection: Marca apenas o primeiro pacote.
mark-packet: Marca todos os pacotes.
mark-routing: Marca pacotes para poltica de roteamento.
199
FIREWALL MANGLE
Marcando conexes:
Use mark-connection para identificar uma ou um grupo de

conexes com uma marca especifica de conexo.
Marcas de conexo so armazenadas na contrack.
S pode haver uma marca de conexo para cada conexo.
O uso da contrack facilita na associao de cada pacote a uma

conexo especfica.
200
FIREWALL MANGLE
Marcando pacotes:
Indiretamente: Usando a facilidade da connection tracking,

com base em marcas de conexo previamente criadas. Esta a
forma mais rpida e eficiente.
Diretamente: Sem o uso da connection tracking no

necessrio marcas de conexes anteriores e o roteador ir
comparar cada pacote com determinadas condies.
201
FIREWALL ESTRUTURA
202
FIREWALL FLUXO DE PACOTES
203
FIREWALL - MANGLE
Um bom exemplo da utilizao do mangle marcando

pacotes de conexes P2P.
Aps marcar a conexo, agora

precisamos marcar os pacotes
provenientes desta conexo.
204
FIREWALL - MANGLE
Com base na conexo j

marcada anteriormente,
podemos fazer as
marcaes dos pacotes.
Obs.: A marcao de P2P disponibilizada no Mikrotik no inclui os

programas que usam criptografia.
205
FIREWALL - MANGLE
possvel disponibilizar um modelo simples de QoS

utilizando o mangle. Para isso precisamos marcar os
seguintes fluxos:

Navegao http e https;

FTP
Email
MSN
ICMP
P2P
Demais servios
206
DVIDAS ???
207
QOS E CONTROLE DE BANDA
208
CONCEITOS BSICOS DE LARGURA E LIMITE DE

BANDA
Largura de banda: Em telecomunicaes, a largura da banda ou apenas banda (tambm

chamada de dbito) usualmente se refere bitrate de uma rede de transferncia de dados, ou
seja, a quantidade em bits/s que a rede suporta. A denominao banda, designada originalmente
a um grupo de frequncias justificada pelo fato de que o limite de transferncia de dados de um
meio est ligado largura da banda em hertz. O termo banda larga denota conexes com uma
largura em hertz relativamente alta, em contraste com a velocidade padro em linhas analgicas
convencionais (56 kbps), na chamada conexo discada.
Limite de banda: O limite de banda o limite mximo de transferncia de dados, onde tambm
designada sua velocidade. Por exemplo, voc pode ter uma conexo discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo o limite de transferncia de dados de sua conexo ou uma banda
de 1Mbps, voc conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes
por segundo. Nela podemos achar tambm o valor relativo a transferncia de dados real, ou
tambm chamado de Taxa ou Velocidade de Transferncia ou (throughput), que varia
aproximadamente entre 10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo,
numa velocidade de 56kbps, voc conseguir taxas de transferencia de no mximo 5,6 a 6,7 kbps
aproximadamente, enquanto numa banda de 256kbps, voc conseguir uma Taxa de
209
Transferncia de aproximadamente entre 25kbps a 30,7kbps
TRAFFIC SHAPING
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao do
trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o uso da
largura de banda disponvel.
O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de tecnologias "voz
sobre ip" (VoIP), que permitem a conversao telefnica atravs da internet. O uso desta
tecnologia permite que a comunicao entre localidades distintas tenham seus custos
drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de condenada por
algumas instituies protetoras dos direitos do consumidor. Estas empresas utilizam programas
de gesto de dados que acompanham e analisam a utilizao e priorizam a navegao,
bloqueando ou diminuindo o trafego de dados VoIP, assim prejudicando a qualidade do uso deste
tipo de servio. A prtica tambm comumente adotada para outros tipos de servios, conhecidos
por demandar grande utilizao da largura de banda, como os de transferncia de arquivos, por
exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores, capturar
informaes sobre IPs acedidos, ativar gravaes automticas a partir de determinadas
condutas, reduzir ou interferir na transferncia de dados de cada utilizador, bloqueando redes
peer-to-peer (P2P) ou FTP.
210
QUALIDADE DE SERVIO
No campo das telecomunicaes e redes de computadores, o termo Qualidade

de Servio (QoS) pode tender para duas interpretaes relacionadas, mas
distintas.
Em redes de comutao de circuitos, refere-se probabilidade de sucesso em

estabelecer uma ligao a um destino. Em redes de comutao de pacotes
refere-se garantia de largura de banda ou, como em muitos casos, utilizada
informalmente para referir a probabilidade de um pacote circular entre dois
pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira

procura oferecer bastantes recursos, suficientes para o pico esperado, com uma
margem de segurana substancial. simples e eficaz, mas na prtica
assumido como dispendioso, e tende a ser ineficaz se o valor de pico aumentar
alm do previsto: reservar recursos gasta tempo. O segundo mtodo o de
obrigar os provedores a reservar os recursos, e apenas aceitar as reservas

se os routers conseguirem servi-las com confiabilidade. Naturalmente, as
reservas podem ter um custo monetrio associado!
211
QUALIDADE DE SERVIO
Os mecanismos para prover QoS no Mikrotik so:

Limitar banda para certos IPs, subredes, protocolos, servios e

outros parmetros.
Limitar trfego P2P.
Priorizar certos fluxos de dados em relao a outros.
Utilizar bursts para melhorar o desempenho web.
Compartilhar banda disponvel entre usurios de forma
ponderada dependendo da carga do canal.
Utilizao de WMM Wireless Multimdia.
MPLS Multi Protocol Layer Switch
212
QUALIDADE DE SERVIO
Os principais termos utilizados em QoS so:

Queuing discipline(qdisc): Disciplina de enfileiramento. um
algoritmo que mantm e controla uma fila de pacotes. Ela especifica a
ordem dos pacotes que saem, podendo inclusive reorden-los, e
determina quais pacotes sero descartados.
Limit At ou CIR(Commited Information Rate): Taxa de dados
garantida. a garantia de banda fornecida a um circuito ou link.
Max Limit ou MIR(Maximal Information Rate): Taxa mxima de
dados que ser fornecida. Ou seja, limite a partir do qual os pacotes
sero descartados.
Priority: a ordem de importncia que o trfego processado. Pode-se
determinar qual tipo de trfego ser processado primeiro.
213
FILAS - QUEUES
Para ordenar e controlar o fluxo de dados, aplicada uma

poltica de enfileiramento aos pacotes que estejam deixando o
roteador. Ou seja: As filas so aplicadas na interface onde o
fluxo est saindo.
A limitao de banda feita mediante o descarte de pacotes. No

caso do protocolo TCP, os pacotes descartados sero reenviados,
de forma que no h com que se preocupar com relao a perda
de dados. O mesmo no vale para o UDP.
214
TIPOS DE FILAS
Antes de enviar os pacotes por uma interface, eles so processados por

uma disciplina de filas(queue types). Por padro as disciplinas de filas
so colocadas sob queue interface para cada interface fsica.
Uma vez adicionada uma fila para uma interface fsica, a fila padro
da interface, definida em queue interface, no ser mantida. Isso
significa que quando um pacote no encontra qualquer filtro, ele
enviado atravs da interface com prioridade mxima.
215
TIPOS DE FILAS
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar

pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas so classificadas pela sua influncia no fluxo de
pacotes da seguinte forma:
Schedulers: (Re) ordenam pacotes de acordo com um determinado algoritmo e

descartam aqueles que se enquadram na disciplina. As disciplinas schedulers
so: PFIFO, BFIFO, SFQ, PCQ e RED.
Shapers: Tambm fazem limitao. Esses so: PCQ e HTB.
216
CONTROLE DE TRFEGO
217
CONTROLE DE TRFEGO
O controle de trfego implementado atravs de dois

mecanismos:
Pacotes so policiados na entrada:

Pacotes indesejveis so descartados.
Pacotes so enfileirados na interface de sada:

Pacotes podem ser atrasados, descartados ou priorizados.
218
CONTROLE DE TRFEGO
O controle de trfego implementado internamente por 4

tipos de componentes:
Queuing Disciplines (qdisc):

Classes:

Representam entidades de classificao de pacotes.

Cada classe pode estar associada a um qdisc.
Filters:
Algoritmos que controlam o enfileiramento e envio de pacotes.

Ex.: FIFO.
Utilizados para classificar os pacotes e atribu-los as classes.
Policers:
Utilizados para evitar que o trfego associado a cada filtro ultrapasse

limites pr-definidos.
219
CONTROLE DE TRFEGO TIPOS DE FILA

PFIFO e BFIFO: Estas disciplinas de filas so baseadas no algoritmo

FIFO(First-in First-out), ou seja, o primeiro que entra o primeiro que
sai. A diferena entre PFIFO e BFIFO que, um medido em pacotes e
o outro em bytes. Existe apenas um parmetro chamado Queue Size
que determina a quantidade de dados em uma fila FIFO pode conter.
Todo pacote que no puder ser enfileirado (se fila estiver cheia) ser
descartado. Tamanhos grandes de fila podero aumentar a latncia.
Em compensao prov melhor utilizao do canal.
220

RED: Random Early Detection Deteco Aleatria Antecipada um

mecanismo de enfileiramento que tenta evitar o congestionamento do link
controlando o tamanho mdio da fila. Quando o tamanho mdio da fila atinge o
valor configurado em min threshould, o RED escolhe um pacote para
descartar. A probabilidade do nmero de pacotes que sero descartados cresce
na medida em que a mdia do tamanho da fila cresce. Se o tamanho mdio da
fila atinge o max threshould, os pacotes so descartados com a probabilidade
mxima. Entretanto existem casos que o tamanho real da fila muito maior que
o max threshould ento todos os pacotes que excederem o min threshould
sero descartados.
RED indicado em links congestionados com altas taxas de dados. Como

muito rpido funciona bem com TCP.
221

SFQ: Stochastic Fairness Queuing Enfileiramento Estocstico com

justia uma disciplina que tem justia assegurada por algoritmos de
hashing e round roubin. O fluxo de pacotes pode ser identificado
exclusivamente por 4 opes:
src-address
dst-address
src-port
dst-port
Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o

algoritmo round roubin distribui a banda disponvel para estas sub-filas,
a cada rodada configurada no parmetro allot(bytes).
No limita o trfego. O objetivo equalizar os fluxos de trfegos(sesses
TCP e streaming UDP) quando o link(interface) est completamente cheio.
Se o link no est cheio, ento no haver fila e, portanto, qualquer efeito, a
no ser quando combinado com outras disciplinas (qdisc).
222

SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e h 1024
sub-filas disponveis.
recomendado o uso de SFQ em links congestionados para
garantir que as conexes no degradem. SFQ especialmente
recomendado em conexes wireless.
223

PCQ: Per Connection Queuing Enfileiramento por conexo foi criado

para resolver algumas imperfeies do SFQ. o nico enfileiramento de
baixo nvel que pode fazer limitao sendo uma melhoria do SFQ, sem a
natureza estocstica. PCQ tambm cria sub-filas considerando o
parmetro pcq-classifier. Cada sub-fila tem uma taxa de transmisso
estabelecida em rate e o tamanho mximo igual a limit. O tamanho total
de uma fila PCQ fica limitado ao configurado em total limit. No exemplo
abaixo vemos o uso do PCQ com pacotes classificados pelo endereo de
origem.
224

PCQ: Se os pacotes so classificados pelo endereo de origem, ento todos os

pacotes com diferentes endereos sero organizados em sub-filas diferentes.
Nesse caso possvel fazer a limitao ou equalizao para cada sub-fila com o
parmetro Rate. Neste ponto o mais importante decidir qual interface utilizar
esse tipo de disciplina. Se utilizarmos na interface local, todo o trfego da
interface pblica ser agrupado pelo endereo de origem. O que no
interessante. Mas se for empregado na interface pblica todo o trfego dos
clientes ser agrupado pelo endereo de origem, o que torna mais fcil equalizar
o upload dos clientes. O mesmo controle pode ser feito para o download, mas
nesse caso o classificador ser o dst. Address e configurado na interface local.
225
QOS - HTB
Hierarchical Token Bucket uma disciplina de enfileiramento

hierrquico que usual para aplicar diferentes polticas para diferentes
tipos de trfego. O HTB simula vrios links em um nico meio fsico,
permitindo o envio de diferentes tipos de trfego em diferentes links
virtuais. Em outras palavras, o HTB muito til para limitar download e
upload de usurios em uma rede. Desta forma no existe saturamento da
largura de banda disponvel no link fsico. Alm disso, no Mikrotik,
utilizado para fazer QoS.
Cada class tem um pai e pode ter uma ou

mais filhas. As que no tem filhas so
colocadas no level 0, onde as filas so
mantidas e chamadas de leafs class.
Cada classe na hierarquia pode priorizar e
dar forma ao trfego.
226
QOS - HTB
Exemplo de HTB
Queue01 limit-at=0Mbps max-limit=10Mbps

priority=1
priority=3
priority=5
Queue03 ir receber 6Mbps
Obs.: Neste exemplo o HTB foi configurado de
modo que, satisfazendo todas as garantias, a fila
pai no possuir nenhuma capacidade para
distribuir mais banda caso seja solicitado por uma
filha.
227
QOS - HTB
Exemplo de HTB

priority=1
priority=3
priority=5
Obs.: Aps satisfazer todas garantias, o HTB
disponibilizar mais banda, at o mximo permitido
para a fila com maior prioridade. Mas, neste caso,
permitir-se uma reserva de 8M para as filas
Queue04 e Queue05, as quais, a que possuir maior
prioridade receber primeiro o adicional de banda,
pois a fila Queue2 possui garantia de banda 228
atribuida.
QOS - HTB
Termos do HTB:
Filter: Um processo que classifica pacotes. Os filtros so responsveis

pela classificao dos pacotes para que eles sejam colocados nas
correspondentes qdisc. Todos os filtros so aplicados na fila raiz HTB
e classificados diretamente nas qdiscs, sem atravessar a rvore HTB.
Se um pacote no est classificado em nenhuma das qdiscs, enviado
a interface diretamente, por isso nenhuma regra HTB aplicada aos
pacotes.
Level: Posio de uma classe na hierarquia.
Class: Algoritmo de limitao no fluxo de trfego para uma

determinada taxa. Ela no guarda quaisquer pacotes. Uma classe
pode conter uma ou mais sub-classes(inner class) ou apenas uma e
um qdisc(leaf classe).
229
QOS - HTB
Termos do HTB:
Inner Class: Uma classe que tenha uma ou mais classes filhas
ligada a ela. No armazenam quaisquer pacotes, ento qdiscs
no podem ser associadas a elas. S fazem limitao de trfego.
Definio de prioridade tambm ignorada.
Leaf class: Uma classe que tenha classe pai, mas ainda no tem
classe filha. Leaf class esto sempre localizadas no level 0 da
hierarquia.
Self feed: Uma sada fora da rvore HTB para a interface onde
todos os pacotes das classes ativas no seu nvel de hierarquia vo.
Existe uma self feed por level, cada uma constituda por 8 self
slots, que representam prioridades.
230
QOS - HTB
Termos do HTB:
Auto slot: Um elemento de uma self feed que corresponde a cada
prioridade. Existe um auto slot por nvel. Todas as classes ativas
no mesmo nvel, com a mesma prioridade, so anexados a um
auto slot que enviam os pacotes para fora.
Active class: Uma class que est associada a um auto slot em
determinado nvel.
Inner feed: Semelhante a uma self feed, constitudos de inner
self slots, presentes em cada classe interior. Existe um inner feed
por inner class.
Inner feed slot: Similar a auto slot. Cada inner feed
constitudo de inner slots os quais representam uma prioridade. 231
QOS - HTB
Estados das classes HTB:

Cada classe HTB pode estar em um dos 3 estados,

dependendo da banda que est consumindo:

Verde: de 0% a 50% da banda disponvel est em uso.

Amarelo: de 51% a 75% da banda disponvel est em
uso.
Vermelho: de 76% a 100% da banda disponvel est em
uso. Neste ponto comeam os descartes de pacotes que se
ultrapassam o max-limit.
232
QOS - HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro

locais diferentes.
Interfaces:
Global-in: Representa todas as interfaces de entrada em geral(INGRESS

queue). As filas atreladas Global-in recebem todo trfego entrante no
roteador, antes da filtragem de pacotes.
Global-out: Representa todas as interfaces de saida em geral(EGRESS
queue). As filas atreladas Global-out recebem todo trfego que sai do
roteador.
Global-total: Representa uma interface virtual atravs do qual se passa todo
fluxo de dados. Quando se associa uma politca de filas Global-total, a
limitao feita em ambas direes. Por exemplo se configurarmos um totalmax-limit de 300kbps, teremos um total de download+upload de 300kbps,
podendo haver assimetria.
Interface X: Representa uma interface particular. Somente o trfego que
configurado para sair atravs desta interface passar atravs da fila HTB.
233
INTERFACES VIRTUAIS E O MANGLE
Interface de
Entrada
Mangle
Prerouting
Global-in
Processo Local
IN
Processo Local
OUT
Interface de
Saida
Mangle Input
Mangle
Output
Global-out
Deciso de
Roteamento
Deciso de
Roteamento
Mangle
Prerouting
Mangle
Forward
234
FILAS SIMPLES
As principais propriedades configurveis de uma fila simples so:

Limite por direo de IP de origem ou destino

Interface do cliente
Tipo de fila
Limit-at, max-limit, priority e burst para download e upload
Horrio.
235
FILAS SIMPLES - BURST

Bursts so usados para

permitir altas taxas de
transferncia por um perodo
curto de tempo.
Os parmetros que controlam o burst so:

burst-limit: Limite mximo que o burst alcanar.
burst-time: Tempo que durar o burst.
burst-threshold: Patamar para comear a limitar.
max-limit: MIR
236
COMO FUNCIONA O BURST
max-limite=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
Inicialmente dado ao cliente a banda burst-limit=512kbps. O

algoritmo calcula a taxa mdia de consumo de banda durante o bursttime de 8 segundos.

Com 1 segundo a taxa mdia de 64kbps. Abaixo do threshold.

Com 2 segundos a taxa mdia j de 128kbps. Ainda abaixo do threshold.
Com 3 segundos a taxa mdia de 192kbps. Ponto de inflexo onde acaba o burst.
A partir deste momento a taxa mxima do cliente passa a ser o maxlimit.
237
UTILIZAO DO PCQ
PCQ utilizado para equalizar cada usurio ou conexo em

particular.
Para utilizar o PCQ, um novo tipo de fila deve ser

adicionado com o argumento kind=pcq.
Devem ainda ser escolhidos os seguintes parmetros:

pcq-classifier
pcq-rate
238
UTILIZAO DO PCQ
Caso 1: Com o rate configurado como zero, as subqueues no so

limitadas, ou seja, elas podero usar a largura mxima de banda
disponvel em max-limit.
Caso 2: Se configurarmos um rate para a PCQ as subqueues

sero limitadas nesse rate, at o total de max-limit.
Caso 1
Caso 2
239
UTILIZAO DO PCQ
Nesse caso, com o rate da fila 128k,

no existe limit-at e tem um maxlimit de 512k, os clientes recebero a
banda da seguinte forma:
240
UTILIZAO DO PCQ
Nesse caso, com o rate da fila 0, no

existe limit-at e tem um max-limit de
512k, os clientes recebero a banda da
seguinte forma:
241
ARVORES DE FILA
Trabalhar com rvores de fila uma maneira mais elaborada de administrar

o trfego. Com elas possvel construir sob medida uma hierarquia de
classes, onde poderemos configurar as garantias e prioridades de cada fluxo
em relao outros, determinando assim uma poltica de QoS para cada
fluxo do roteador.
Os filtros de rvores de filas so aplicados na interface especifica. Os filtros

so apenas marcas que o firewall faz no fluxo de pacotes na opo mangle.
Os filtros enxergam os pacotes na ordem em que eles chegam no roteador.
A rvore de fila tambm a nica maneira para adicionar uma fila em uma
interface separada.
Tambm possvel ter o dobro de enfileiramento. Ex: priorizando o trfego

global-in e/ou global-out, limitao por cliente na interface de sada. Se
configurado filas simples e rvores de filas no mesmo roteador, as filas
simples recebero o trfego primeiro e em seguida o classficaro.
242
ARVORES DE FILA
As rvores de fila so configuradas

em queue tree.
Dentre as propriedades
configurveis podemos destacar:

Escolher uma marca de trfego feita no

firewall mangle;
parente-class ou interface de sada;
Tipo de fila;
Configuraes de limit-at, max-limit,
priority e burst.
243
ARVORES DE FILA
QUEUE
MARCA
LIMIT-AT
MAX-LIMIT
PRIORITY
Q1
C1
10M
30M
Q2
C2
1M
30M
Q3
C3
1M
30M
Q4
C4
1M
30M
Q5
C5
1M
30M
244
Obs.: O roteador no conseguir garantir banda para Q1 o tempo todo.
ARVORES DE FILA
Filas com parent (hierarquia).
245
ARVORES DE FILA
C1 possui maior prioridade, portanto consegue atingir o

max-limit. O restante da banda dividida entre as
outras leaf-queue.
246
DVIDAS???
247
TNEIS E VPN
248
VPN
Uma Rede Privada Virtual uma rede

de comunicaes privada normalmente
utilizada por uma empresa ou
conjunto de empresas e/ou instituies,
construdas em cima de uma rede
pblica. O trfego de dados levado
pela rede pblica utilizando protocolos
padro, no necessariamente seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que

fornecem confidencialidade, autenticao e integridade necessrias
para garantir a privacidade das comunicaes requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicaes seguras atravs de redes inseguras.
249
VPN
As principais caractersticas da VPN so:

Promover acesso seguro sobre meios fsicos pblicos como a

internet por exemplo.
Promover acesso seguro sobre linhas dedicadas, wireless, etc...
Promover acesso seguro a servios em ambiente corporativo de
correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da rede
corporativa remota recebendo IPs desta e perfis de segurana
definidos.
A base da formao das VPNs o tunelamento entre dois
pontos, porm tunelamento no sinnimo de VPN.
250
TUNELAMENTO
A definio de tunelamento a capacidade de criar tneis entre

dois hosts por onde trafegam dados.
O Mikrotik implementa diversos tipos de tunelamento, podendo

ser tanto servidor como cliente desses protocolos:

PPP (Point to Point Protocol)

PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
251
PPP DEFINIES COMUNS PARA OS SERVIOS

MTU/MRU: Unidade mximas de transmisso/

recepo em bytes. Normalmente o padro ethernet
permite 1500 bytes. Em servios PPP que precisam
encapsular os pacotes, deve-se definir valores
menores para evitar fragmentao.
Keepalive Timeout: Define o perodo de tempo em segundos aps o

qual o roteador comea a mandar pacotes de keepalive por segundo. Se
nenhuma reposta recebida pelo perodo de 2 vezes o definido em
keepalive timeout o cliente considerado desconectado.
Authentication: As formas de autenticao permitidas so:
Pap: Usurio e senha em texto plano sem criptografica.
Chap: Usurio e senha com criptografia.
Mschap1: Verso chap da Microsoft conf. RFC 2433
Mschap2: Verso chap da Microsoft conf. RFC 2759
252
PMTUD: Se durante uma comunicao alguma estao enviar

pacotes IP maiores que a rede suporte, ou seja, maiores que a MTU
do caminho, ento ser necessrio que haja algum mecanismo para
avisar que esta estao dever diminuir o tamanho dos pacotes
para que a comunicao ocorra com sucesso. O processo interativo
de envio de pacotes em determinados tamanhos, a resposta dos
roteadores intermediarios e a adequao dos pacotes posteriores
chamada Path MTU Discovery ou PMTUD. Normalmente esta
funcionalidade est presente em todos roteadores, sistemas Unix e
no Mikrotik ROS.
MRRU: Tamanho mximo do pacote, em bytes, que poder ser

recebido pelo link. Se um pacote ultrapassa esse valor ele ser
dividido em pacotes menores, permitindo o melhor
dimensionamento do tnel. Especificar o MRRU significa permitir
MP (Multilink PPP) sobre tnel simples. Essa configurao til
para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
253

Change MSS: Maximun Segment Size, tamanho mximo do segmento de

dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o tnel
est estabelecido deve ser fragmentado antes de envi-lo. Em alguns caso o
PMTUD est quebrado ou os roteadores no conseguem trocar informaes
de maneira eficiente e causam uma srie de problemas com transferncia
HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona ferramentas onde
possvel interferir e configurar uma diminuio do MSS dos prximos pacotes
atravs do tnel visando resolver o problema.
254
PPPOE CLIENTE E SERVIDOR

PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo

fato da rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui
informaes sobre o remetente e o destinatrio, desperdiando mais banda.
Cerca de 2% a mais.
Muito usado para autenticao de clientes com base em Login e Senha. O

PPPoE estabelece sesso e realiza autenticao com o provedor de acesso a
internet.
O cliente no tem IP configurado, o qual atribuido pelo Servidor

PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No Mikrotik no obrigatrio o uso de Radius pois o mesmo
permite criao e gerenciamento de usurios e senhas em uma tabela local.
PPPoE por padro no criptografado. O mtodo MPPE pode ser usado

desde que o cliente suporte este mtodo.
255
PPPOE CLIENTE E SERVIDOR

O cliente descobre o servidor atravs do

protocolo pppoe discovery que tem o nome do
servio a ser utilizado.
Precisa estar no mesmo barramento fsico ou

os dispositivos passarem pra frente as
requisies PPPoE usando pppoe relay.
No Mikrotik o valor padro do Keepalive Timeout 10, e funcionar bem

na maioria dos casos. Se configurarmos pra zero, o servidor no
desconectar os clientes at que os mesmos solicitem ou o servidor for
reiniciado.
256
CONFIGURAO DO SERVIDOR PPPOE

1.
Primeiro crie um pool de IPs para o

PPPoE.
/ip pool add name=pool-pppoe

ranges=172.16.0.2-172.16.0.254
2.
Adicione um perfil para o PPPoE onde:
Local Address = Endereo IP do concentrado.

Remote Address = Pool do pppoe.
/ppp profile local-address=172.16.0.1
name=perfil-pppoe remote-address=pool-pppoe
257

3.
Adicione um usurio e senha
/ppp secret add name=usuario password=123456

service=pppoe profile=perfil-pppoe
Obs.: Caso queira verificar o MAC-Address,
adicione em Caller ID. Esta opo no
obrigatria, mas um parametro a mais para
segurana.
258

4.
Adicione o Servidor PPoE
Service Name = Nome que os clientes

vo procurar (pppoe-discovery).
Interface = Interface onde o servidor
pppoe vai escutar.
/interface pppoe-server server add
authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10
max-mru=1480 max-mtu=1480 maxsessions=50 mrru=512 one-session-perhost=yes service-name="Servidor PPPoE"
259
MAIS SOBRE PERFIS

Bridge: Bridge para associar ao perfil
Incoming/Outgoing Filter: Nome do canal do

firewall para pacotes entrando/saindo.
Address List: Lista de endereos IP para

associar ao perfil.
DNS Server: Configurao dos servidores

DNS a atribuir aos clientes.
Use Compression/Encryption/Change TCP

MSS: caso estejam em default, vo associar
ao valor que est configurado no perfil
default-profile.
260
MAIS SOBRE PERFIS

Session Timeout: Durao mxima de

uma sesso PPPoE.
Idle Timeout: Perodo de ociosidade na
transmisso de uma sesso. Se no
houver trfego IP dentro do perodo
configurado, a sesso terminada.
Rate Limit: Limitao da velocidade na
forma rx-rate/tx-rate. Pode ser usado
tambm na forma rx-rate/tx-rate rx-burstrate/tx-burst-rate rx-burst-threshould/txburst-threshould burst-time priority rxrate-min/tx-rate-min.
261
Only One: Permite apenas uma sesso
para o mesmo usurio.
MAIS SOBRE O DATABASE

Service: Especifica o servio disponvel para

este cliente em particular.
Caller ID: MAC Address do cliente.
Local/Remote Address: Endereo IP Local

(servidor) e remote(cliente) que podero ser
atribudos a um cliente em particular.
Limits Bytes IN/Out: Quantidade em bytes

que o cliente pode trafegar por sesso PPPoE.
Routes: Rotas que so criadas do lado do

servidor para esse cliente especifico. Vrias
rotas podem ser adicionadas separadas por
vrgula.
262
MAIS SOBRE O PPOE SERVER

O concentrador PPPoE do Mikrotik suporta mltiplos
servidores para cada interface com diferentes nomes de
servio. Alm do nome do servio, o nome do concentrador
de acesso pode ser usado pelos clientes para identificar o
acesso em que se deve registrar. O nome do concentrador
a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o
PPPoE 1480 bytes. Em uma rede sem fio, o servidor
PPPoE pode ser configurado no AP. Para clientes
Mikrotik, a interface de rdio pode ser configurada com a
MTU em 1600 bytes e a MTU da interface PPPoE em
1500 bytes.
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que
1500 bytes. At o momento no possumos nenhuma maneira de alterar a MTU da
interface sem fio de clientes MS Windows. A opo One Session Per Host permite
somente uma sesso por host(MAC Address). Por fim, Max Sessions define o nmero 263
mximo de sesses que o concentrador suportar.
SEGURANA NO PPPOE
Para assegurar um servidor PPPoE

pode-se utilizar Filtros de Bridge,
configurando a entrada ou repasse
dos protocolos pppoe-discovery e
pppoe-session e descartando os
demais.
Mesmo que haja somente uma

interface, ainda sim possvel
utilizar os Filtros de Bridge,
bastando para tal, criar uma Bridge
e associar em Ports apenas esta
interface. Em seguida alterar no
264
PPPoE Server a interface de esculta.
CONFIGURANDO O PPPOE CLIENT

AC Name: Nome do concentrador. Deixando em branco conecta em qualquer um.

Service: Nome do servio designado no servidor PPPoE.
Dial On Demand: Disca sempre que gerado trfego de sada.
Add Default Route: Adiciona um rota padro(default).
User Peer DNS: Usa o DNS do servidor PPPoE.
265
PPTP E L2TP
L2TP Layer 2 Tunnel Protocol: Protocolo de tunelamento em camada

2 um protocolo de tunelamento seguro para transportar trfego IP
utilizando PPP. O protocolo L2TP trabalha na camada 2 de forma
criptografada ou no e permite enlaces entre dispositivos de redes
diferentes unidos por diferentes protocolos.
O trfego L2TP utiliza protocolo UDP tanto para controle como para
pacote de dados. A porta UDP 1701 utilizada para o estabelecimento
do link e o trfego em si utiliza qualquer porta UDP disponvel, o que
significa que o L2TP pode ser usado com a maioria dos Firewalls e
Routers, funcionando tambm atravs de NAT.
266
L2TP e PPTP possuem as mesma funcionalidades.
CONFIGURAO DO SERVIDOR PPTP E L2TP
Configure um pool, um perfil para o PPTP, adicione um usurio em

secrets e habilite o servidor PPTP conforme as figuras.
267
CONFIGURAO DO SERVIDOR PPTP E L2TP

Configure os servidores
PPTP e L2TP.
Atente para utilizar o
perfil correto.
Configure nos hosts
locais um cliente PPTP e
realize conexo com um
servidor da outra rede.
Ex.: Hosts do Setor1

conectam em Servidores do
Setor2 e vice-versa.
268
CONFIGURAO DO CLIENTE PPTP E L2TP
As configuraes para o cliente PPTP e L2TP so bem

simples, conforme observamos nas imagens.
269
TNEIS IPIP

IPIP um protocolo que encapsula pacotes IP sobre o prprio

protocolo IP baseado na RFC 2003. um protocolo simples que pode
ser usado pra interligar duas intranets atravs da internet usando 2
roteadores.
A interface do tnel IPIP aparece na lista de interfaces como se fosse
uma interface real.
Vrios roteadores comerciais, incluindo CISCO e roteadores baseados
em Linux suportam esse protocolo.
Um exemplo prtico de uso do IPIP seria a necessidade de monitorar
hosts atravs de um NAT, onde o tnel IPIP colocaria a rede privada
disponvel para o host que realiza o monitoramento, sem a
necessidade de criar usurio e senha como nas VPNs.
270
TNEIS IPIP
Supondo que temos que unir as redes que esto por trs
dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta
criemos as interfaces IPIP em ambos, da seguinte forma:
271
TNEIS IPIP
Agora precisamos atribuir os IPs as interfaces criadas.
Aps criado o tnel IPIP as redes fazem parte do

mesmo domnio de broadcast.
272
TNEIS EOIP
EoIP(Ethernet over IP) um protocolo

proprietrio Mikrotik para encapsula
mento de todo tipo de trfego sobre o
protocolo IP.
Quando habilitada a funo de Bridge dos roteadores que esto interligados

atravs de um tnel EoIP, todo o trfego passado de uma lado para o outro
de forma transparente mesmo roteado pela internet e por vrios protocolos.
O protocolo EoIP possibilita:
Interligao em bridge de LANs remotas atravs da internet.
Interligao em bridge de LANs atravs de tneis criptografados.
A interface criada pelo tnel EoIP suporta todas funcionalidades de uma

interface ethernet. Endereos IP e outros tneis podem ser configurados na 273
interface EoIP. O protocolo EoIP encapsula frames ethernet atravs do
protocolo GRE.
TNEIS EOIP

Criando um tnel EoIP entre as

redes por trs dos roteadores
10.0.0.1 e 22.63.11.6.
Os MACs devem ser diferentes e
estar entre o rage: 00-00-5E-80-0000 e 00-00-5E-FF-FF-FF, pois so
endereos reservados para essa
aplicao.
O MTU deve ser deixado em 1500
para evitar fragmentao.
274
O tnel ID deve ser igual para
ambos.
TNEIS EOIP
Adicione a interface EoIP a bridge,

juntamente com a interface que far
parte do mesmo dominio de
broadcast.
275
DVIDAS ????
276
HOTSPOT NO MIKROTIK
277
HOTSPOT
HotSpot um termo utilizado para se referir a uma rea

pblica onde est disponvel um servio de acesso a
internet, normalmente atravs de uma rede sem fio wi-fi.
Aplicaes tpicas incluem o acesso em Hotis,
Aeroportos, Shoppings, Universidades, etc...
O conceito de HotSpot no entanto pode ser usado para dar acesso

controlado a uma rede qualquer, com ou sem fio, atravs de
autenticao baseada em nome de usurio e senha.
Quando em uma rea de cobertura de um HotSpot, um usurio que

tente navegao pela WEB arremetido para uma pgina do HotSpot
que pede suas credencias, normalmente usurio e senha. Ao fornec-las
e sendo um cliente autorizado pelo HotSpot o usurio ganha acesso 278
internet podendo sua atividade ser controlada e bilhetada.
HOTSPOT
Setup do HotSpot:
1.
Escolha a interface que vai

ouvir o hotspot.
2.
Escolha o IP em que vai rodar

o hotspot e indique se a rede
ser mascarada.
3.
D um pool de endereos que

sero distribudos para os
usurios do hotspot.
4.
Selecione um certificado, caso

queira usar.
279
HOTSPOT

5.
6.
7.
8.
Setup do HotSpot(cont.):
Indique o endereo IP do
seu servidor smtp, caso
queira.
D o endereo IP dos
servidores DNS que iro
resolver os nomes para os
usurios do hotspot.
D o nome do DNS que ir
responder aos clientes ao
invs do IP.
Adicione um usurio
padro.
Feito. O HotSpot j est pronto

para ser usado.
280
HOTSPOT
Embora tenha sido uma configurao fcil e rpida, o Mikrotik se

encarregou de fazer o trabalho pesado, criando regras apropriadas no
firewall, bem como uma fila especifica para o HotSpot.
281
HOTSPOT DETALHES DO SERVIDOR

Address Per MAC: Nmero de IPs permitidos

para um determinado MAC.
Idle Timeout: Mximo perodo de tempo de

inatividade para clientes autorizados. utilizado
para detectar os clientes que esto conectados
mas no esto trafegando dados. Atingindo o
tempo configurado, o cliente retirado da lista
dos hosts autorizados. O tempo contabilizado
levando em considerao o momento da
desconexo menos o tempo configurado.
Keepalive Timeout: Utilizado para detectar se o computador do cliente est

ativo e respondendo. Caso nesse perodo de tempo o teste falhe, o usurio
tirado da tabela de hosts e o endereo IP que ele estava usando liberado. O
tempo contabilizado levando em considerao o momento da desconexo
menos o tempo configurado.
282
HOTSPOT PERFIL DO SERVIDOR

HTML Directory: Diretrio onde so colocadas

as pginas desse hotspot.
HTTP Proxy/Port: Endereo e porta do

servidor de web proxy.
SMTP Server: Endereo do servidor SMTP.
Rate Limit: Usado para criar uma fila simples

para todo o hotspot. Esta fila vai aps as filas
dinmicas dos usurios.
283

Login by:

MAC: Usa o MAC dos clientes primeiro como nome do

usurio. Se existir na tabela de usurios local ou em um
Radius, o cliente liberado sem usurio/senha.
HTTP CHAP: Usa o mtodo criptografado.
HTTP PAP: Usa autenticao em texto plano.
Cookie: Usa HTTP cookies para autenticar sem pedir
credenciais. Se o cliente no tiver mais o cookie ou se
tiver expirado ele de usar outro mtodo.
HTTPS: Usa tnel SSL criptografado. Para que este
mtodo funcione, um certificado vlido deve ser
importado para o roteador.
Trial: No requer autenticao por um determinado
tempo.
Split User Domain: Corta o domnio do usurio no caso de usuario@hotspot.com
HTTP Cookie Lifetime: Tempo de vida dos cookies.
284

Use Radius: Utiliza servidor Radius para

autenticao dos usurios do hotspot.
Location ID e Location Name: Podem ser

atribudos aqui ou no Radius. Normalmente
deixado em branco.
Accounting: Usado para registrar o histrico

de logins, trfego, desconexes, etc...
Interim Update: Freqncia do envio de

informaes de accounting. 0 significa assim que
ocorre o evento.
Nas Port Type: Wireless, ethernet ou cabo.

Informao meramente para referncia.
285
HOTSPOT PERFIL DE USURIOS

O Use Profile serve para dar tratamento

diferenciado a grupos de usurios, como
suporte, comercial, diretoria, etc...
Session Timeout: Tempo mximo
permitido.
Idle Timeout/Keepalive: Mesma

explicao anterior, no entanto agora
somente para este perfil de usurios.
Status Autorefresh: Tempo de refresh da

pgina de Status do HotSpot.
Shared Users: Nmero mximo de

clientes com o mesmo username.
286

Os perfis de usurio podem conter os limites de velocidade

de forma completa.
Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx-burstlimit] [rx-burst-threshold/tx-burst-threshold] [rx-bursttime/tx-burst-time] [priority] [rx-limit-at/tx-limit-at]
Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k

128k de upload / 256k de download
256k de upload burst / 512k de download burst
96k threshould de upload / 192k threshloud de download
8 segundos de burst
6 de prioridade
32k de garantia de upload / 64k de garantia de download
287

Incoming Filter: Nome do firewall chain aplicado

aos pacotes que chegam do usurio deste perfil.
Outgoing Filter: Nome do firewall chain aplicado
aos pacotes vo para o usurio deste perfil.
Incoming Packet Mark: Marca colocada
automaticamente em pacotes oriundos de usurios
deste perfil.
Outgoing Packet Mark: Marca colocada
automaticamente em pacotes que vo para usurios
deste perfil.
Open Status Page: Mostra a pgina de status

http-login: para usurios que logam pela WEB.

always: para todos usurios inclusive por MAC.
Tranparent Proxy: Se deve usar proxy

transparente.
288

Com a opo Advertise possvel enviar de

tempos em tempos popups para os usurios
do HotSpot.
Advertise URL: Lista de pginas que sero
anunciadas. A lista cclica, ou seja, quando a
ltima mostrada, comea-se novamente pela
primeira.
Advertise Interval: Intervalo de tempo de exibio de popups. Depois
da sequncia terminada, usa sempre o intervalo.
Advertise Timeout: Quanto tempo deve esperar para o anncio ser
mostrado, antes de bloquear o acesso a rede.

Pode ser configurado um tempo.

Nunca bloquear.
Bloquear imediatamente.
289

O Mikrotik possui uma linguagem interna de

scripts que podem ser adicionados para serem
executados em alguma situao especifica.
No HotSpot possvel criar scripts que

executem comandos a medida que um usurio
desse perfil conecta ou desconecta do HotSpot.
Os parmetros que controlam essa execuo so:

On Login: Quando o cliente conecta ao HotSpot.

On Logout: Quando o cliente desconecta do HotSpot.
Os scripts so adicionados no menu:

/system script
290
HOTSPOT USURIOS
291
HOTSPOT USURIOS

Server: all para todos hotspots ou para um especfico.

Name: Nome do usurio. Se o modo Trial estiver
ativado o hotspot colocar automaticamente o nome
T-MAC_Address. No caso de autenticao por MAC,
o mesmo deve ser adicionado como username sem
senha.
Address: Endereo IP caso queira vincular esse
usurio a um endereo fixo.
MAC Address: Caso queira vincular esse usurio a
um endereo MAC especifico.
Profile: Perfil onde o usurio herda as propriedades.

Routes: Rotas que sero adicionadas ao cliente quando se conectar.
Sintaxe: Endereo destino gateway metrica. Vrias rotas separadas por
vrgula podem ser adicionadas.
292
HOTSPOT USURIOS
Limit Uptime: Limite mximo de tempo de

conexo para o usurio.
Limit Bytes In: Limite mximo de upload para o
usurio.
Limit Bytes Out: Limite mximo de download
para o usurio.
Limit Bytes Total: Limite mximo considerando o
download + upload.
Na aba das estatsticas possvel acompanhar a
utilizao desses limites.
293
HOTSPOT ACTIVE
Mostra dados gerais e estatsticas de cada usurio conectado.
294
HOTSPOT IP BINDINGS
O Mikrotik por default tem habilitado o universal client que uma facilidade
que aceita qualquer IP que esteja configurado no cliente fazendo com ele um
NAT 1:1. Esta facilidade denominada DAT na AP 2500 e eezee no StarOS.
possivel tambm fazer tradues NAT estticas com base no IP original, ou IP
da rede ou MAC do cliente. possvel tambm permitir certos endereos
contornarem a autenticao do hotspot. Ou seja, sem ter que logar na rede
295
inicialmente. Tambm possvel fazer bloqueio de endereos.
HOTSPOT IP BINDINGS
MAC Address: mac original do

cliente.
Address: Endereo IP do cliente.
To Address: Endereo IP o qual o

original deve ser traduzido.
Server: Servidor hotspot o qual a

regra ser aplicada.
Type: Tipo do Binding

Regular: faz traduo regular 1:1

Bypassed: faz traduo mas dispensa o
cliente de logar no hotspot.
Blocked: a traduo no ser feita e 296
todos os pacotes sero bloqueados.
HOTSPOT PORTS
A facilidade NAT do hotspot causa

problemas com alguns protocolos
incompatveis com NAT. Para que
esses protocolos funcionem de
forma consistente, devem ser
usados os mdulos helpers.
No caso do NAT 1:1 o nico

problema com relao ao mdulo
de FTP que deve ser configurado
para usar as portas 20 e 21.
297
HOTSPOT WALLED GARDEN

Configurando um walled garden possvel oferecer ao usurio o acesso a

determinados servios sem necessidade de autenticao. Por exemplo em um
aeroporto poderia se disponibilizar informaes sobre o tempo ou at mesmo
disponibilizar os sites dos principais prestadores de servio para que o cliente
possa escolher qual plano quer comprar.
Quando um usurio no logado no hotspot requisita um servio do walled

garden o gateway no intercepta e, no caso do http, redireciona a requisio
para o destino ou um proxy.
Para implementar o walled garden para requisies http, existe um web

proxy embarcado no Mikrotik, de forma que todas requisies de usurios
no autorizados passem de fato por esse proxy.
Observar que o proxy embarcado no Mikrotik no tem a funo de cache,

pelo menos por hora. Notar tambm que esse proxy faz parte do pacote
system e no requer o pacote web-proxy.
298

importante salientar que o

walled garden no se destina
somente a servio WEB, mas
qualquer servio que se queira
configurar. Para tanto existem 2
menus distintos conforme do
figuras ao lado. Sendo o menu de
cima para HTTP e HTTPS e o de
baixo para outros servios e
protocolos.
299

Action: Permite ou nega.
Server: Hotspot para o qual o walled garden vale.
Src.Address: Endereo IP do usurio requisitante.
Dst. Address: Endereo IP do web server.
Method: Mtodo http ou https.
Dst. Host: Nome do domnio do servidor de destino.
Dst. Port: Porta de destino do servidor.
Path: Caminho da requisio.
Obs.: Nos nomes dos domnios necessrio o nome completo, podendo

ser usado coringas. Tambm possvel utilizar expresses regulares
devendo essas ser iniciadas com (:)
300

Action: Aceita, descarta ou rejeita o pacote.
Server: Hotspot para o qual o walled garden vale.
Src. Address: Endereo IP do usurio requisitante.
Dst. Address: Endereo IP do web server.
Protocol: Protocolo a ser escolhido na lista.
Dst. Port: Porta TCP ou UDP que ser requisitada.
Dst. Host: Nome do domnio do servidor de destino.

301
HOTSPOT COOKIES
Quando configurado o login por cookies, estes ficam armazenados

no hotspot com nome do usurio, MAC e tempo de validade.
Enquanto estiverem vlidos o usurio no precisa efetuar o
procedimento de login e senha.
Podem ser deletados (-) forando assim o usurio a fazer o login
novamente.
302
PERSONALIZANDO O HOTSPOT
As pginas do hotspot so completamente configurveis e

alm disso possvel criar conjuntos completamente
diferentes das pginas do hotspot para vrios perfis de
usurios especificando diferentes diretrios raiz.
As principais pginas que so mostradas aos usurios so:

redirect.html redireciona o usurio a uma pgina especifica.
login.html pgina de login que pede usurio e senha ao cliente. Esta
pgina tem os seguintes parmetros:

Username/password.
Dst URL original que o usurio requisitou antes do redirecionamento e que
ser aberta aps a autenticao do usurio.
Popup Ser aberta uma janela popup quando o usurio se logar com
sucesso.
303
HOTSPOT COM HTTPS
Para utilizar o hotspot com HTTPS necessrio que se crie

um certificado, assin-lo corretamente e em seguida importlo atravs do menu /system certificates.
304
DVIDAS ????
305
ROTEAMENTO
O Mikrotik suporta dois tipos de roteamento:

Roteamento esttico: As rotas so criadas pelo usurio atravs de inseres

pr-definidas em funo da topologia da rede.
Roteamento dinmico: As rotas so geradas automaticamente atravs de
um protocolo de roteamento dinmico ou de algum agregado de endereo
IP.
O Mikrotik tambm suporta ECMP(Equal Cost Multi Path) que

um mecanismo que permite rotear pacotes atravs de vrios links e
permite balancear cargas.
possvel ainda no Mikrotik se estabelecer polticas de roteamento

dando tratamento diferenciado a vrios tipos de fluxos a critrio do
administrador.
306
POLTICAS DE ROTEAMENTO
Existem algumas regras que devem ser seguidas para se

estabelecer uma poltica de roteamento:
As polticas podem ser por marca de pacotes, por classes de

endereos IP e portas.
As marcas dos pacotes devem ser adicionadas no Firewall, no

mdulo Mangle com mark-routing.
Aos pacotes marcados ser aplicada uma poltica de roteamento,

dirigindo-os para um determinado gateway.
possvel utilizar poltica de roteamento quando se utiliza NAT.

307
Uma aplicao tpica de polticas de roteamento trabalhar com

dois um mais links direcionando o trfego para ambos. Por
exemplo direcionando trfego p2p por um link e trfego web por
outro.
impossvel porm reconhecer o trfego p2p a partir do primeiro
pacote, mas to somente aps a conexo estabelecida, o que
impede o funcionamento de programas p2p em casos de NAT de
origem.
A estrtegia nesse caso colocar como gateway default um link
menos nobre, marcar o trfego nobre (http, dns, pop, etc.) e
desvia-lo pelo link nobre. Todas outras aplicaes, incluindo o p2p
308
iro pelo link menos nobre.
Exemplo de poltica de roteamento.
O roteador nesse caso ter 2 gateways

com ECMP e check-gateway. Dessa
forma o trfego ser balanceado e ir
garantir o failover da seguinte forma:
/ip route add dst-address=0.0.0.0/0
gateway=10.111.0.1,10.112.0.1 checkgateway=ping
309
EX. DE POLTICA DE ROTEAMENTO

Marcar pacotes da rede 192.168.10.0/24 como lan1 e
pacotes da rede 192.168.20.0/24 como lan2 da seguinte
forma:
1.
/ip firewall mangle add src-address=192.168.10.0/24 action=markrouting new-marking-routing=lan1 chain=prerouting

/ip firewall mangle add src-address=192.168.20.0/24 action=markrouting new-marking-routing=lan2 chain=prerouting
Rotear os pacotes da rede lan1 para o gateway

10.1110.0.1 e os pacotes da rede lan2 para o gateway
10.112.0.1 usando as correspondentes marcas de pacotes da
seguinte forma:
2.
/ip routes add gateway=10.111.0.1 routing-mark=lan1 checkgateway=ping

/ip routes add gateway=10.112.0.1 routing-mark=lan2 checkgateway=ping
/ip routes add gateway=10.111.0.1,10.112.0.1 check-gateway=ping
192.168.10.0/24
192.168.20.0/24
310
BALANCEAMENTO DE CARGA COM PCC
311

O PCC uma forma de balancear o trfego de acordo com um critrio de

classificao pr-determinado das conexo. Os parametros de configurao
so:
Classificador
Denominador
Contador
312
Obs.: O PCC s est disponvel no Mikrotik a partir da verso 3.24.

Exemplo de PCC com 3 links
Primeiro vamos marcar as conexes.

Atente para a interface de
entrada(clientes), o denominador(links)
e o contador que inicia em zero.
313

314

315

Agora vamos marcar as rotas com base

nas marcaes de conexes j feitas
anteriormente.
Atente agora para desmarcar a opo
passthrough.
316

317

318

Agora vamos criar as rotas baseadas nas marcaes de rotas. Iremos considerar
que os 3 gateways internet so: 10.10.10.1, 20.20.20.1 e 30.30.30.1
319

Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a

mesma operao para as demais interfaces.
320
ROTEAMENTO DINMICO
O Mikrotik suporta os seguintes protocolos:

RIP verso 1 e 2;
OSPF verso 2 e 3;
BGP verso 4.
O uso de protocolos de roteamento dinmico permite

implementar redundncia e balanceamento de links de
forma automtica e uma forma de se fazer uma rede
semelhante as redes conhecidas como Mesh, porm de forma
esttica.
321
ROTEAMENTO DINMICO - BGP
O protocolo BGP destinado a fazer comunicao entre

AS(Autonomos System) diferentes, podendo ser considerado
como o corao da internet.
O BGP mantm uma tabela de prefixos de rotas contendo
informaes para se encontrar determinadas redes entre os
ASs.
A verso corrente do BGP no Mikrotik a 4, especificada na
RFC 1771.
322
ROTEAMENTO DINMICO - OSPF
O protocolo Open Shortest Path First, um protocolo do tipo link

state. Ele usa o algoritmo de Dijkstra para calcular o caminho mais curto
para todos os destinos.
O OSPF distribui informaes de roteamento entre os roteadores que

participem de um mesmo AS(Autonomous System) e que tenha o protocolo
OSPF habilitado.
Para que isso acontea, todos os roteadores tem de ser configurados de

uma maneira coordenada e devem ter o mesmo MTU para todas as redes
anunciadas pelo protocolo OSPF.
O protocolo OSPF iniciado depois que adicionado um registro na lista

de redes. As rotas so aprendidas e instaladas nas tabelas de roteamento
dos roteadores.
323
ROTEAMENTO DINMICO - OSPF
Tipos de roteadores em OSPF:

Roteadores internos a uma rea
Roteadores de backbone (rea 0)
Roteadores de borda de rea (ABR)

OS ABRs devem ficar entre dois roteadores e devem tocar a rea 0
Roteadores de borda Autonomous System (ASBR)

So roteadores que participam do OSPF mas fazem comunicao

com um AS.
324
OSPF - OPES
Router ID: Geralmente o IP do roteador.

Caso no seja especificado o roteador usar
o maior IP que exista na interface.
Redistribute Default Route:

Never: nunca distribui rota padro.
If installed (as type 1): Envia com mtrica 1 se

tiver sido instalada como rota esttica, dhcp ou
PPP.
If installed (as type 2): Envia com mtrica 2 se

tiver sido instalada como rota esttica, dhcp ou
PPP.
Always (as type 1): Sempre, com mtrica 1.
Always (as type 2): Sempre, com mtrica 2.
325
OSPF - OPES
Redistribute Connected Routes: Caso habilitado,

o roteador ir distribuir todas as rotas relativas as
redes que estejam diretamente conectadas a ele.
Redistribute Static Routes: Caso habilitado,

distribui as rotas cadastradas de forma esttica em
/ip routes.
Redistribute RIP Routes: Caso habilitado,

redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado,

redistribui as rotas aprendidas por BGP.
Na aba Metrics possvel modificar as mtricas

que sero exportadas as diversas rotas.
326
OSPF - REAS
O protocolo OSPF permite que vrios roteadores sejam agrupados entre

si. Cada grupo formado chamado de rea e cada rea roda uma cpia
do algoritmo bsico, e cada rea tem sua prpria base de dados do
estado de seus roteadores.
A diviso em reas importante pois como a estrutura de uma rea s
visvel para os participantes desta, o trfego sensvelmente reduzido.
Isso tambm previne o recalculo das distncias por reas que no
participam da rea que promoveu alguma mudana de estado.
327
aconselhavel utilizar no entre 50 e 60 roteadores em cada rea.
OSPF - REDES
Aqui definimos as redes OSPF com os

seguintes parmetros:
Network: Endereo IP/Mascara, associado.

Permite definir uma ou mais interfaces
associadas a uma rea. Somente redes
conectadas diretamente podem ser adicionadas
aqui.
Area: rea do OSPF associada.
328
OSPF
Considerando nosso diagrama inicial, vamos aplicar o

OSPF em uma s rea e testar a funcionalidade.
329
DVIDAS ????
330
WEB PROXY
O web proxy uma tima ferramenta para fazer cache de
objetos da internet e com isso economizar banda.
Tambm possvel utilizar o web proxy como filtro de
contedo sem a necessidade de fazer cache.
Como o web proxy escuta todos ips do router, muito
importante assegurar que somente clientes da rede local
iro acess-lo.
A boa prtica recomenda o uso de 20GB de cache para cada
1GB de memria RAM. Portanto com uma simples regra de
3 simples encontrar o valor ideal para a memria RAM do
331
seu equipamento.
WEB PROXY - PARMETROS

Src. Address: Endero IP do servidor proxy

caso voc possua vrios ips no mesmo
roteador.
Port: Porta onde o servidor ir escuta.
Parent Proxy: Servidor proxy pai usado em
um sistema de hierarquia de proxy.
Parent Proxy Port: Porta o parent proxy
escuta.
Cache Administrator: Identificao do
administrador do proxy.
Max Cache Size: Tamanho mximo do cache
em KiBytes.
Cache On Disk: Indica se o cache ser em
332
Disco ou em RAM.

Max Client Connections: Nmero mximo

de conexes simultneas ao proxy.
Max Server Connections: Nmero mximo
de conexes que o proxy far a um outro
servidor proxy.
Max Fresh Time: Tempo mximo que os
objetos que no possuem tempo padro
definidos, sero considerados atuais.
Serialize Connections: Habilita mltiplas
conexes ao servidor para mltiplas conexes
para os clientes.
Always From Cache: Ignore requisies de
atualizao dos clientes caso o objeto ser
considerado atual.
333

Cache Hit DSCP (TOS): Adiciona marca

DSCP com o valor configurado a pacotes que
deram hit no proxy.
Cache Drive: Exibe o disco que o proxy est
usando para armazenamento dos objetos.
Esses discos podem ser acessados no menu:
/system stores.
334
WEB PROXY - STATUS

Uptime: Tempo que o proxy est rodando.

Requests: Total de requisies ao proxy.
Hits: Nmero de pedidos que foram atendidos
pelo cache do proxy.
Cache Used: Espao usado em disco ou RAM
usado pelo cache do proxy.
Total RAM Used: Total de RAM usada pelo
proxy.
Received From Servers: Total de dados em Kibytes recebidos de

servidores externos.
Sent To Clients: Total de dados em Kibytes enviados ao clientes.
Hits Sent To Clients: Total de dados em Kibytes enviados do cache
hits aos clientes.
335
WEB PROXY - CONEXES

Aqui podemos a lista de conexes ativas no proxys

Src. Address: Endereo IP das conexes remotas

Dst. Address: Endereo destino que est sendo requisitado
Protocol: Protocolo utilizado pelo navegador
State: Status da conexo
Tx Bytes: Total de bytes enviados
Rx Bytes: Total de bytes recebidos remotamente
336
WEB PROXY - ACCESS

A lista de acesso permite controlar

contedo que ser permitido ou no
para armazenamento no cache do
proxy.
As regras adicionadas nesta lista

so processadas de forma
semelhante que as regras do
firewall. Neste caso as regras iro
processar as conexes e caso
alguma conexo receba um match
ela no ser mais processada pelas
demais regras.
337
WEB PROXY - ACCESS

Src. Address: Endereo ip de origem

Dst. Address: Endereo ip de destino
Dst. Port: Porta ou lista de portas destino
Local Port: Porta correspondente do proxy
Dst. Host: Endereo ip ou DNS de destino
Path: Nome da pgina dentro do servidor
Method: Mtodo HTTP usado nas requisies
Action: Permite ou nega a regra
Redirect To: URL ao qual o usurio ser
redirecionado caso a regra seja de negao
Hits: Quantidade de vezes que a regra sofreu
macth
338
WEB PROXY - CACHE

A lista de cache define como as requisies sero armazenadas ou

no no cache do proxy.
Esta lista manipulada da mesma forma que a lista de acesso.
De forma anloga ao firewall, qualquer requisio que no esteja

na lista de regras, ser armazenada no cache.
Os parmetros de configurao das regras so idnticas as regras

da lista de acesso.
339
WEB PROXY - DIRECT

A lista de acesso direto utilizada quando um Parent Proxy est

configurado. Desta forma possvel passar a requisio ao mesmo
ou tentar encaminhar a requisio diretamente ao servidor de
destino.
Esta lista manipulada da mesma forma que a lista de acesso.
Diferentemente do firewall, qualquer requisio que no esteja na

lista de regras, ser por padro negada.
Os parmetros de configurao das regras so idnticas as regras

da lista de acesso.
340
WEB PROXY REGRAS DE FIREWALL

Para que o proxy funcione de forma correta e segura, necessrio

criar algumas regras no firewall nat e no firewall filter.
Primeiramente precisamos desviar o fluxo de pacotes com destino

a porta 80 para o servidor web proxy.
Em seguida precisamos garantir que somente os clientes da rede

local tero acesso ao servidor web proxy.
341
WEB PROXY REGRAS DE FIREWALL

Desviando o fluxo web para o proxy

/ip firewall nat add chain=dstnat protocol=tcp dstport=80 action=redirect to-ports=8080
Protegendo o proxy contra acessos externos no autorizados

/ip firewall filter add chain=input protocol=tcp dstport=8080 in-interface=wan action=drop
342
EXERCCIO FINAL
Abra
um New Terminal
Digite:
/system reset-configuration
343
DVIDAS ????
344
THE DUDE O CARA
345
THE DUDE O CARA
The Dude uma ferramenta de monitoramento que:

Fornece informaes acerca de quedas e restabelecimentos de

redes, servios, assim como uso de recursos de equipamentos.
Permite mapeamento da rede com grficos da topologia e
relacionamentos lgicos entre os dispositivos.
Notificaes via udio/video/email acerca de eventos.
Grfico de servios mostrando latncia, tempos de respostas de
DNS, utilizao de banda, informaes fsicas de links, etc...
Monitoramento de qualquer dispositivo que suporte o protocolo
SNMP.
346
THE DUDE O CARA
Possibilidade de utilizar ferramentas para acesso direto a

dispositivos da rede a partir do diagrama da mesma.
Acesso direto a dispositivos Mikrotik atravs do winbox.
Armazenamento de histrico de eventos(logs) de toda a
rede, com momentos de queda, restabelecimentos, etc...
Possibilidade de utilizar SNMP tambm para tomada de
decises atravs do SNMP Set.
(Vide: MUM Czech Republic 2009 Andrea Coppini)
347
INSTALANDO O THE DUDE

No Windows:
No Linux:
Fazer o download, clicar no executvel e responder sim para

todas as perguntas.
Instalar o wine e a partir da proceder como no windows.
Em Routerboard ou PC com Mikrotik:

Baixar o pacote referente a arquitetura especifca, enviar

para o Mikrotik via FTP ou Winbox e rebootar o roteador.
348
THE DUDE EM ROUTERBOARDS
O espao em disco consumido pela The Dude considervel, entre

outras coisas, devido aos grficos e logs a serem armazenados. Assim, no
caso de instalao em Routerboards aconselhvel o uso daquelas que
possuam armazenamento adicional como:

RB 433UAH Aceita HD externo via USB

RB 450G Aceita MicroSD
RB 600 Aceita SD
RB 800 Aceita MicroSD
RB 1100 Aceita MicroSD
No aconselhvel a instalao em outras Routerboards por problemas

de perdas de dados devido a impossibilidade de efetuar backups.
349
Problemas de processamento tambm devem ser considerados.
THE DUDE - COMEANDO
A instalao do The Dude sempre instala o cliente e o servidor e

no primeiro uso ele sempre ir tentar usar o Servidor
Local(localhost). Caso queira se conectar em outro servidor clique
no raio.
350
THE DUDE - COMEANDO
O auto discovery permite que o servidor The Dude localize os

dispositivos de seu segmento de rede, atravs de provas de ping, arp,
snmp, etc... E por servios tambm.
Os outros segmentos de rede que tenham Mikrotiks podem ser
mapeados por seus vizinhos (neighbours).
Apesar de ser uma facilidade, no aconselhvel utilizar este recurso.351
THE DUDE ADICIONANDO DISPOSITIVOS

O The Dude tem um wizard para criao de

dispositivos. Informe o IP e, se o dispositivo for
Mikrotik, marque a opo Router OS.
352

Em seguida descubra os servios que esto rodando nesse equipamento.

Aps isso o dispositivo estar criado.
353

Clique no dispositivo criado para ajustar vrios

parmetros. Dentre esses os principais:
Nome de exibio
Tipo do dispositivo
354

O The Dude possui vrios dispositivos pr-definidos, mas pode-se

criar novos dispositivos personalizados para que o desenho
realmente reflita a realidade prtica.
Por razes de produtividade aconselhvel que todos os
dispositivos existentes na rede sejam criados com suas
propriedades especificas antes do desenho da rede, mas nada
impede que isso seja feito depois.
355

Quando a rede possui elementos no configurveis por IP

como switchs L2, necessrio criar dispositivos estticos
para fazer as ligaes. Com isso possvel concluir o
diagrama da rede de forma mais realista e parecida com a
real.
356
THE DUDE CRIANDO LINKS
Para criar links entre os dispositivos basta clicar no mapa com o

boto direito, selecionar Add Link e ligar os dois dispositivos
informando:
Device: Dispositivo que ir fornece as informaes do link.
Mastering type: Informa como as informaes sero obtidas.
Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS,
escolha a interface que deseja monitorar a velocidade e estado do link.
Speed: Informando a velocidade do link, ativado a sinalizao do estado
do mesmo baseando-se em cores.
357
Type: Tipo de conexo fsica entre os dispositivos.

THE DUDE NOTIFICAES

Efetue um duplo clique no dispositivo e v na guia Notifications.

Nela voc pode informar o tipo de notificao que deseja receber.
358
THE DUDE SERVIOS INDESEJVEIS

Com o The Dude podemos monitorar servios que no desejamos que

estejam ativos.
359
THE DUDE GRFICOS

Podemos manipular a forma como os grficos iro ser

apresentados para identificar servios, estado dos links etc...
360
THE DUDE EFETUANDO BACKUPS

As configuraes so salvas automaticamente na

medida em que so feitas. Para se ter um backup
externo use o export para gerar um arquivo .xml com
todas as configuraes que podero ser importadas
sempre que necessrio.
361
DVIDAS ????
362
LABORATRIO FINAL
Abram um terminal
Executem: /system reset-configuration no-defaults=yes
363
OBRIGADO!
Guilherme Marques Ramires.

E-mail para contato: guilherme@mktsolutions.net.br
364

Lancore Mikrotik Mtcna PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Lancore Mikrotik Mtcna PDF

Enviado por

Direitos autorais:

Formatos disponíveis

TREINAMENTO MIKROTIK

Produzido por: MKT Solutions

Treinamento dirio das 09:00hs s 17:00hs

Coffe break as 10:30hs e as 15:00hs

Almoo as 13:00hs 1 hora de durao

ALGUMAS REGRAS IMPORTANTES

Por ser um curso oficial, o mesmo no poder ser filmado

Procure deixar seu aparelho celular desligado ou em modo

Durante as explanaes evite as conversas paralelas. Elas

Desabilite qualquer interface wireless ou dispositivo 3G

ALGUMAS REGRAS IMPORTANTES

Perguntas so sempre bem vindas. Muitas vezes a sua

O acesso a internet ser disponibilizado para efeito

O certificado de participao somente ser concedido a

Lembre-se de seu nmero: XY

Prover um viso geral sobre o Mikrotik RouterOS e as

Mostrar de um modo geral todas ferramentas que o

ONDE EST A MIKROTIK ?

RouterOS o sistema operacional das RouterBoards e

das RouterBoards ele tambm pode ser

O Mikrotik RouterOS pode ser instalado a partir de:

ONDE OBTER O MIKROTIK ROUTEROS

Para obter os ltimos pacotes do Mikrotik RouterOS

L voc poder baixar as imagens .iso

Inicie o PC com o modo boot pelo CD

System: Pacote principal contendo os servios bsiscos e drivers. A rigor o

PPP: Suporte a servios PPP como PPPoE, L2TP, PPTP, etc..

DHCP: Cliente e Servidor DHCP

Advanced-tools: Ferramentas de diagnstico, netwatch e outros ultilitrios

Arlan: Suporte a uma antiga placa Aironet antiga arlan

Calea: Pacote para vigilncia de conexes (Exigido somente nos EUA)

GPS: Suporte a GPS ( tempo e posio )

HotSpot: Suporte a HotSpot

ISDN: Suporte as antigas conexes ISDN

LCD: Suporte a display LCD

NTP: Servidor de horrio oficial mundial

Radiolan: Suporte a placa RadioLan

RouterBoard: Utilitrio para RouterBoards

Routing: Suporte a roteamento dinmico tipo RIP, OSPF, BGP

RSTP-BRIGE-TEST: Protocolo RSTP

Security: Suporte a ssh, IPSec e conexo segura do winbox

Synchronous: suporte a placas sncronas Moxa, Cyclades PC300, etc...

Telephony: Pacote de suporte a telefnia protocolo h.323

UPS: Suporte as no-breaks APC

User-Manager: Servio de autenticao User-Manager

Web-Proxy: Servio Web-Proxy

Wireless: Suporte a placas Atheros e PrismII

Wireless-legacy: Suporte as placas antigas Atheros, PrismII e Aironet

Pode-se selecionar os pacotes desejados usando a barra de espaos ou a

INSTALAO COM NETINSTALL

Pode ser instalado em PC que boota via

Pode ser baixado tambm em:

O netinstall um excelente recurso para reinstalar

INSTALAO COM NETINSTALL

Para se instalar em uma RouterBoard, inicialmente

INSTALAO COM NETINSTALL

Atribuir um IP para o Net

O processo de instalao no configura IP no

Direto no console (em pcs)

Via telnet de MAC, atravs de outro

Atravs do console do Mikrotik possvel acessar todas

Acessando o menu interface

? Mostra um help para o diretrio em que se esteja