Escolar Documentos
Profissional Documentos
Cultura Documentos
Aprender Mikrotik Mtcna PDF
Aprender Mikrotik Mtcna PDF
CERTIFICAO MTCNA
Produzido por: MKT Solutions e Lancore Networks
www.mktsolutions.net.br
www.lancore.com.br
Instrutor: Guilherme Ramires
AGENDA
2
Algumas regras importantes
4
Apresente-se
se a turma
Lembre-se
se de seu nmero: XY
5
Objetivos do curso
6
Onde est a Mikrotik ?
7
RouterBoards
8
Mikrotik RouterOS
10
Onde obter o Mikrotik RouterOS
Para obter os ltimos pacotes do Mikrotik RouterOS
basta acessar:
http://www.mikrotik.com/download.html
Os pacotes combinados
E os pacotes individuais
11
Instalando pelo CD
Inicie o PC com o modo boot pelo CD
12
Pacotes do RouterOS
System: Pacote principal contendo os servios bsiscos e drivers. A rigor o nico que obrigatrio
PPP: Suporte a servios PPP como PPPoE,, L2TP, PPTP, etc..
DHCP: Cliente e Servidor DHCP
Advanced-tools: Ferramentas de diagnstico, netwatch e outros ultilitrios
Arlan: Suporte a uma antiga placa Aironet antiga arlan
Calea:: Pacote para vigilncia de conexes (Exigido somente nos EUA)
GPS: Suporte a GPS ( tempo e posio )
HotSpot: Suporte a HotSpot
ISDN: Suporte as antigas conexes ISDN
LCD: Suporte a display LCD
NTP: Servidor de horrio oficial mundial
13
Pacotes do RouterOS
Radiolan: Suporte a placa RadioLan
RouterBoard: Utilitrio para RouterBoards
Routing:: Suporte a roteamento dinmico tipo RIP, OSPF, BGP
RSTP-BRIGE-TEST: Protocolo RSTP
Security: Suporte a ssh, IPSec e conexo segura do winbox
Synchronous: suporte a placas sncronas Moxa,, Cyclades PC300, etc...
Telephony: Pacote de suporte a telefnia protocolo h.323
UPS: Suporte as no-breaks APC
User-Manager: Servio de autenticao User-Manager
Manager
Web-Proxy: Servio Web-Proxy
Wireless: Suporte a placas Atheros e PrismII
Wireless-legacy: Suporte as placas antigas Atheros,, PrismII e Aironet
14
Instalando pelo CD
Pode-se
se selecionar os pacotes desejados usando a barra de espaos ou a para
todos. Em seguida pressione i para instalar os pacotes selecionados. Caso haja
configuraes pode-se mant-laslas pressionando y.
15
Instalao com Netinstall
Pode ser instalado em PC que boota via rede(configurar
na BIOS)
16
Instalao com Netinstall
Para se instalar em uma RouterBoard,
RouterBoard
inicialmente temos que entrar via serial, com
cabo null modem e os seguintes parmetros:
Coloque na mquina os
pacotes a serem
instalados
Bootar e selecionar os
pacotes a serem
instalados
18
Primeiro acesso
O processo de instalao no configura IP no
Mikrotik. Portanto o primeiro acesso pode ser feito
das seguintes maneiras:
22
Console no Mikrotik
possvel monitorar o status das interfaces com o seguinte comando:
Comando Export
Exporta todas as configuraes do diretoria acima;
Pode ser copiado e colado em um editor de textos;
Pode ser exportado para arquivo.
Comando Import
Importa um arquivo de configurao criado pelo comando export.
24
WINBOX
Winbox o utilitrio para administrao do Mikrotik em modo grfico.
Funciona em Windows. Para funcionar no Linux necessrio a instalao
do emulador Wine.. A comunicao feita pela porta TCP 8291 e caso voc
habilite a opo Secure Mode a comunicao ser criptografada.
25
Acessando pelo WINBOX
possvel acessar o Mikrotik inicialmente sem endereo IP, atravs
do MAC da interface do dispositivo que est no mesmo barramento
fsico que o usurio. Para isso basta clicar nos 3 pontos e selecione o
MAC que aparecer.
26
Configurao em Modo Seguro
O Mikrotik permite o acesso ao sistema atravs do modo seguro. Este
modo permite desfazer as configuraes modificadas caso a sesso seja
perdida de forma automtica. Para habilitar o modo seguro pressione
CTRL+X.
27
Configurao em Modo Seguro
Se um usurio entra em modo seguro, quando j h um nesse
modo, a seguinte mensagem ser dada:
Hijacking Safe Mode from someone unroll/release/
/release/dont take it [u/r/d]
28
Configurao em Modo Seguro
Todas configuraes so desfeitas caso voc perca comunicao com o
roteador, o terminal seja fechado clicando no x ou pressionando
CTRL+D.
Configuraes realizadas em modo seguro no so sofrem marcaes na
lista de historico at serem confirmadas ou desfeitas. A flag U significa
que a ao no ser desfeita. A flag R significa que a ao foi desfeita.
possvel visualizar o histrico de modificaes atravs do menu:
/system history print
29
Manuteno do Mikrotik
Atualizao
Gerenciando pacotes
Backup
31
Pacotes
Adicionar novas funcionalidades podem ser feitas
atravs de alguns pacotes que no fazem parte do
conjunto padro de pacotes combinado.
Esses arquivos tambm possuem extenso .npk . e
para instal-los
los basta fazer o upload para o
Mikrotik e efetuar um reboot do sistema.
Alguns pacotes como User
User Manager e
Multicast so exemplos de pacotes adicionais
que no fazem parte do pacote padro.
32
Pacotes
Alguns pacotes podem ser habilitados e desabilitados
conforme sua necessidade.
Pacote desabilitado
33
Backup
36
Nivelamento de conhecimentos TCP/IP
37
Modelo OSI
(Open System Interconnection)
Interconnection
CAMADA 7 Aplicao: Comunicao com os programas. SNMP e TELNET.
38
Camada I Camada Fsica
A camada fsica define as caractersticas
tcnicas dos dispositivos eltricos.
41
Camada III - Rede
Responsvel pelo endereamento lgico dos
pacotes.
43
Sub Rede
uma faixa de endereos IP que divide as redes em segmentos
Exemplo de sub rede: 255.255.255.0 ou /24
O endereo de REDE o primeiro IP da sub rede
O endereo de BROADCAST o ltimo IP da sub rede
Esses endereos so reservados e no podem ser usados
End. IP/Mscara End. de Rede End. Broadcast
192.168.1.0/23 192.168.0.0 192.168.1.255
192.168.1.1/24 192.168.1.0 192.168.1.255
192.168.1.1/25 192.168.1.0 192.168.1.127
192.168.1.1/26 192.168.1.0 192.168.1.63
44
Endereamento CIDR
45
Protocolo ARP Address Resolution Protocol
46
Camada IV - Transporte
Quando no lado do remetente responsvel por
pegar os dados das camadas superiores e dividir em
pacotes para que sejam transmitidos para a camada
de rede.
Protocolo UDP:
O
O UDP um protocolo no orientado a conexo e
portanto mais rpido que o TCP. Entretanto no
garante a entrega dos dados.
48
Caractersticas do protocolo TCP
Garante a entrega de data gramas IP.
Executa a segmentao e reagrupamento de grande blocos de dados enviados
pelos programas e garante o seqenciamento adequado e a entrega ordenada de
dados segmentados.
Verifica a integridade dos dados transmitidos usando clculos de soma de
verificao.
Envia mensagens positivas dependendo do recebimento bem-sucedido
bem dos dados.
Ao usar confirmaes seletivas, tambm so enviadas confirmaes negativas
para os dados que no foram recebidos.
Oferece um mtodo preferencial de transporte de programas que devem usar
transmisso confivel de dados baseados em sesses, como banco de dados
cliente/servidor por exemplo.
49
Diferenas bsicas entre TCP e UDP
TCP UDP
Servio sem conexo. No estabelecida
Servio orientado por conexo.
conexo entre os hosts.
51
Portas TCP
Protocolo
TCP
53
DIAGRAMA INICIAL
54
Configurao do Router
Adicione os ips as interfaces
3
1
56
Configurao do Router
Adicione o servidor DNS
1
57
Configurao do Router
Configurao da interface wireless
58
Teste de conectividade
Pingar a partir da RouterBoard o seguinte ip:
192.168.X.254
Pingar a partir da RouterBoard o seguinte endereo:
www.mikrotik.com;
Pingar a partir do notebook o seguinte ip:
192.168.X.254
Pingar a partir do notebook o seguinte endereo:
www.mikrotik.com;
Analisar os resultados
59
Corrigir o problema de conectividade
61
Adicionar uma regra de NAT, mascarando as
requisies que saem pela interface wlan1.
3
4
62
Teste de conectividade
2 64
Gerenciamento de usurios
67
Configuraes Fsicas
Padro IEEE Frequncia Tecnologia Velocidades
802.11n 2.4 Ghz e 5 Ghz BQSP, QPSQ e QAM De 6.5Mbps at 600 Mbps
68
802.11b - DSSS
69
Canais no interferentes em
2.4 Ghz - DSSS
Canal 1 Canal 6 Canal 11
70
Configuraes Fsicas 2.4Ghz
2.4Ghz-B: Modo 802.11b,
que permite velocidades de
1 11 Mbps e utiliza
espalhamento espectral.
2.4Ghz-only-G: Modo
802.11g, que permite
velocidades de 6 54 Mbps
e utiliza OFDM.
73
Configuraes Fsicas 5 Ghz
5Ghz: Modo 802.11a
opera nas trs faixas
permitidas com
velocidades que vo de
6Mbps a 54 Mbps.
Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requer menor sensibilidade
Aumenta o nvel de potncia de tx
75
Canalizao em 802.11a Modo Turbo
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requer maior sensibilidade
Diminui o nvel de potncia de tx
76
Padro 802.11n
INDICE:
MIMO
Velocidades do 802.11n
Bonding do canal
Agregao dos frames
Configurao dos cartes
Potncia de TX em cartes N
Bridge transparente para links N utilizando MPLS/VPLS
77
MIMO
MIMO: Multiple Input and Multiple Output
79
802.11n - Bonding dos canais 2 x 20Mhz
82
Configurando no Mikrotik
HT Guard Interval: Intervalo de guarda.
Any: Longo ou curto, dependendo
da velocidade de transmisso.
Longo: Intervalo longo.
86
Bridge transparente em enlaces N
Configurar o tnel VPLS em ambos os lados
Crie uma bridge entre a interface VPLS e a ethernet conectada
Confira o status do LDP e do tnel VPLS
87
Bridges VPLS - Consideraes
O tnel VPLS incrementa o pacote. Se este pacote
excede o MPLS MTU da interface de saida, este ser
fragmentado.
Se a interface ethernet suportar MPLS MTU de 1522
ou superior, a fragmentao pode ser evitada
alterando o MTU da interface MPLS.
88
Setup Outdoor para enlaces n
93
Configuraes da camada fsica DFS
no radar detect: escaneia o meio e
escolhe o canal em que for encontrado
o menor nmero de redes
radar detect:
detect escaneia o meio e espera
1 minuto para entrar em operao no
canal escolhido se no for detectada a
ocupao do canal
WMM Support:
Support QoS no meio fsico(802.11e)
95
Configuraes da camada fsica AP e
Client tx rate / Compression
Defaul AP TX Rate:: Taxa mxima que o AP pode
transmitir para cada um de seus clientes.
Funciona para qualquer cliente.
97
Configuraes da camada fsica ACK
Dados
Dispositivo Dispositivo
A B
ACK
B -> BSS
P -> Protegida
R -> Mikrotik
N -> Nstreme
Escaneia o meio.
101
Interface wireless - Alinhamento
103
Interface wireless - Snooper
105
Interface wireless Modo de operao
Prticas de RF recomendadas:
Use antenas de qualidade, Polarizaes diferentes, canais distantes e
mantenha uma boa distncia entre as antenas. 113
WDS & WDS MESH
114
WDS WIRELESS DISTRIBUTION SYSTEM
A Bridge usa o endereo MAC da porta ativa com menor nmero de porta.
A porta wireless est ativa somente quando existem hosts conectados a ela.
Para evitar que os MACs fiquem variando, possvel atribuir um MAC
manualmente.
118
WDS / WDS MESH
WDS Default Bridge: A bridge padro para as
interfaces wds.
WDS Mode
dynamic:: As interfaces wds so adicionada dinamicamente quando um
dispositivo wds encontra outro compatvel.
static:: As interfaces wds devem ser adicionadas manualmente apontando o
MAC da outra ponta.
(mesh): WDS com um algoritmo proprietrio para melhoria do link. S possui
compatibilidade com outros dispositivos Mikrotik.
119
WDS / MESH
Altere o modo de operao
da wireless para: ap-bridge
Obs.:: Essa uma boa opo para evitar que o cliente se associe a um AP
falso.
124
Segurana de Acesso em redes sem fio
125
Falsa segurana
Nome da rede escondido:
Pontos de acesso sem fio por padro fazem
o broadcast de seu SSID nos pacotes
chamados beacons. . Este comportamento
pode ser modificado no Mikrotik
habilitando a opo Hide SSID.
Pontos negativos:
SSID deve ser conhecido pelos clientes
Scanners passivos o descobrem facilmente
pelos pacotes de probe request
request dos
clientes.
126
Falsa segurana
Controle de MACs:
Descobrir MACs que trafegam no ar muito
simples com ferramentas apropriadas e inclusive o
Mikrotik como sniffer.
127
Falsa segurana
Criptografia WEP:
Wired Equivalent Privacy Foi o sistema de criptografia
inicialmente especificado no padro 802.11 e est baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo vrias ferramentas para quebrar
a chave, como:
Airodump
Airreplay
Aircrack
129
Fundamentos de Segurana
Privacidade
As informaes no podem ser legveis para terceiros.
Integridade
As informaes no podem ser alteradas quando em transito.
Autenticao
AP Cliente: O AP tem que garantir que o cliente quem diz
ser.
Cliente AP: O cliente tem que se certificar que est
conectando no AP correto. Um AP falso possibilita o chamado
ataque do homem do meio.
130
Privacidade e Integridade
Tanto a privacidade como a integridade so garantidos
por tcnicas de criptografia.
131
Chave WPA e WPA2 - PSK
A configurao da chave
WPA/WAP2-PSK muito simples
no Mikrotik.
132
Segurana de WPA / WPA2
Atualmente a nica maneira conhecida para se quebrar a
WPA-PSK
PSK somente por ataque de dicionrio.
134
Segurana de EAP-TLS
TLS sem certificados
O resultado da negociao annima resulta em uma
chave PMK que de conhecimento exclusivo das duas
partes. Depois disso toda a comunicao
criptografada por AES(WPA2) e o RC4(WPA).
Seria um mtodo muito seguro se no houvesse a
possibilidade de um atacante colocar um Mikrotik com
a mesma configurao e negociar a chave normalmente
como se fosse um cliente.
Uma idia para utilizar essa configurao de forma
segura criando um tnel criptografado PPtP ou L2TP
entre os equipamentos depois de fechado o enlace.
135
Trabalhando com certificados
O mtodo EAP-TLS
EAP
tambm pode ser
usado com
certificados.
138
EAP-TLS sem Radius em ambos lados
Metodos TLS
dont verify certificate:: Requer um
certificado, porm no verifica.
no certificates:: Certificados so
negociados dinamicamente com o
algoritmo de Diffie Hellman.
verify certificate: Requer um
certificado e verifica se foi assinado
por uma CA.
139
WPAx com radius
140
EAP-TLS
TLS com certificado
EAP-TLS (EAP Transport Layer Security)
A configurao da parte do
cliente bem simples.
Selecione o mtodo EAP-TLS
TLS
Certifique-se que os
certificados esto instalados
e assinados pela CA.
Associe o novo perfil de
segurana a interface
wireless correspondente.
142
EAP-TLS com Radius em ambos lados
No lado do AP selecione o
mtodo EAP passthrough. .
Selecione o certificado
correspondente.
Obs.: Verifique sempre se o sistema est com o cliente NTP habilitado. Caso
a data do sistema no esteja correta, poder causar falha no uso de
certificados devido a data validade dos mesmos.
143
Segurana de EAP-TLS
TLS com Radius
Sem dvida este o mtodo mais seguro que podemos
obter. Entretanto existe um ponto que podemos levantar
como possvel fragilidade:
Ponto de fragilidade
Se um atacante tem acesso fsico ao link entre o AP e o Radius
ele pode tentar um ataque de fora bruta para descobrir a
PMK.
Uma forma de proteger este trecho usando um tnel L2TP.
144
Resumo dos metodos de
implantao e seus problemas.
WPA-PSK
Chaves
Chaves presentes nos clientes e acessveis aos operadores.
EPA-TLS
Mtodo
Mtodo seguro, porm tambm no disponvel na
maioria dos equipamentos. Em placas PCI possvel
implement-lo.
146
Mtodo alternativo com Mikrotik
A partir da verso 3 o Mikrotik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave configurada na Access List do AP
e vinculada ao MAC Address do cliente, possibilitando que cada um tenha
sua chave.
147
Mtodo alternativo com Mikrotik
Por outro lado, o Mikrotik permite que essas
chaves sejam distribudas por Radius, o que torna
esse mtodo muito interessante.
149
Configurando o Radius
Arquivo users: (/etc/freeradius)
#Sintaxe:
# MAC Cleartext-Password
Password:=MAC
# Mikrotik-Wireless
Wireless-Psk = Chave_Psk
000C42000001 Cleartext-Password
Password:=000C42000001
Mikrotik-Wireless
Wireless-Psk = 12341234
000C42000002 Cleartext-Password
Password:=000C43000002
Mikrotik-Wireless
Wireless-Psk = 2020202020ABC
150
Corrigindo o dicionrio de atributos
(/usr/share/freeradius/dictionary
dictionary.mikrotik)
152
Firewall
O firewall normalmente usado como ferramenta de segurana para
prevenir o acesso no autorizado a rede interna e/ou acesso ao roteador
em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de
entrada, de sada e passante.
Alm da segurana no firewall que sero desempenhadas diversas
funes importantes como a classificao e marcao de pacotes para
desenvolvimento de regras de QoS.
A classificao do trfego feita no firewall pode ser baseada em vrios
classificadores como endereos MAC, endereos IP, tipos de endereos IP,
portas, TOS, tamanho do pacotes, etc...
153
Firewall - Opes
Processo Local
Processo Local IN
OUT
Deciso de Deciso de
Roteamento Filtro Input Filtro Output Roteamento
Filtro Forward
160
Filter Rules Canais criados pelo usurio
REGRA REGRA
REGRA REGRA
REGRA REGRA
JUMP REGRA
REGRA REGRA
REGRA REGRA
REGRA REGRA
REGRA REGRA
163
Como funciona o canal criado pelo usurio
164
Firewall Address List
A address list contm uma lista de endereos IP que pode ser utilizada em
vrias partes do firewall.
Pode-se
se adicionar entradas de forma dinmica usando o filtro ou mangle
conforme abaixo:
Aes:
add dst to address list:: Adiciona o IP de destino lista.
add src to address list:: Adiciona o IP de origem lista.
Address List:: Nome da lista de endereos.
Timeout:: Porque quanto tempo a entrada permanecer na lista.
165
Firewall Tcnica do knock
knock
166
Firewall Tcnica do knock
knock
A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter
seu endereo IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que
estejam na lista libera_winbox
/ip firewall filter
168
Firewall Connection Track
O sistema de connection track o corao do
firewall. Ele obtm e mantm informaes sobre
todas conexes ativas.
Quando se desabilita a funo connection tracking
so perdidas as funcionalidades NAT e as marcaes
de pacotes que dependam de conexo. No entanto,
pacotes podem ser marcados de forma direta.
Connection track exigente de recursos de
hardware. Quando o equipamento trabalha somente
como bridge aconselhvel desabilit-la.
desabilit
169
Localizao da Connection Tracking
Conntrack Conntrack
Deciso de Deciso de
Filtro Input Filtro Output Roteamento
Roteamento
Filtro Forward
170
Firewall Connection Track
172
Princpios bsicos de proteo
Proteo do prprio roteador
Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente servios necessrios no prprio roteador.
Prevenir e controlar ataques e acessos no autorizado ao roteador.
173
Firewall Tratamento de conexes
176
Firewall Filtrando trfego indesejvel e
possveis ataques.
Controle de ICMP
Internet Control Message Protocol basicamente uma
ferramenta para diagnstico da rede e alguns tipos de
ICMP devem ser liberados obrigatoriamente.
Um roteador usa tipicamente apenas 5 tipos de
ICMP(type:code), que so:
Ping Mensagens (0:0) e (8:0)
Traceroute Mensagens (11:0) e (3:3)
PMTUD Mensagens (3:4)
Os outros tipos de ICMP podem ser bloqueados.
177
Firewall Filtrando trfego indesejvel
IPs Bogons:
Existem mais de 4 milhes de endereos IPV4.
Existem muitas ranges de IP restritos em rede pblicas.
Existem vrias ranges reservadas para propsitos especficos.
Uma lista atualizada de IPs bogons pode ser encontrada em:
http://www.team-cymru.org/Services/Bogons/bogon
cymru.org/Services/Bogons/bogon-dd.html
IPs Privados:
Muitos aplicativos mal configurados geram pacotes destinados a
IPs privados e uma boa prtica filtr-los.
filtr
178
Firewal Proteo bsica
Ping Flood:
180
Firewal Proteo bsica
Ataques DoS:
O principal objetivo do ataque de DoS o consumo de
recursos de CPU ou banda.
Usualmente o roteador inundado com requisies de
conexes TCP/SYN causando resposta de TCP/SYN-ACK
TCP/SYN e
a espera do pacote TCP/ACK.
Normalmente no intencional ou causada por vrus
em clientes.
Todos os IPs com mais de 15 conexes com o roteador
podem ser considerados atacantes.
181
Firewal Proteo bsica
Ataques DoS:
Se simplesmente descartamos as conexes,
permitiremos que o atacante crie uma nova conexo.
183
Firewal Proteo para ataques DoS
Com a ao tarpit
aceitamos a conexo e a
fechamos, no deixando
no entanto o atacante
trafegar.
184
Firewal Proteo bsica
Ataque dDoS:
Ataque de dDoS so bastante
parecidos com os de DoS,
porm partem de um grande
nmero de hosts infectados.
187
Firewall NAT Fluxo de pacotes
Interface de Interface de
Entrada Saida
Processo Local
Processo Local IN
OUT
Conntrack
Deciso de Deciso de
Filtro Input Filtro Output Roteamento
Roteamento
189
Firewall - NAT
NAT (1:1): Serve para dar acesso bi-direcional
direcional a um determinado
endereo IP. Dessa forma, um endereo IP de rede local pode ser
acessado atravs de um IP pblico e vice-versa.
vice
190
Firewall - NAT
Redirecionamento de portas:: O NAT nos possibilita redirecionar portas
para permitir acesso a servios que rodem na rede interna. Dessa forma
podemos dar acesso a servios de clientes sem utilizao de endereo IP
pblico.
Redirecionamento Redirecionamento
para acesso ao para acesso ao
servidor WEB do servidor WEB do
cliente cliente
192.168.100.10 pela 192.168.100.20 pela
porta 6380. porta 6480.
191
Firewall - NAT
NAT (1:1) com netmap: Com o netmap podemos criar o mesmo acesso
bi-direcional
direcional de rede para rede. Com isso podemos mapear, por
exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:
192
Firewall NAT Helpers
194
Firewall Mangle
As regras de mangle so organizadas em canais e
obedecem as mesma regras gerais das regras de filtro
quanto a sintaxe.
Tambm possvel criar canais pelo prprio usurio.
Existem 5 canais padro:
prerouting:: Marca antes da fila Global-in;
Global
postrouting:: Marca antes da fila Global-out;
input:: Marca antes do filtro input;
output:: Marca antes do filtro output;
forward:: Marca antes do filtro forward;
195
Firewall Diagrama do Mangle
Mangle
Forward
196
Firewall Mangle
As
As opes de marcaes incluem:
mark-connection:: Marca apenas o primeiro pacote.
Marcando conexes:
Marcando rotas:
199
Firewall Mangle
Marcando pacotes:
200
Firewall Mangle
Marcando pacotes:
202
Firewall Fluxo de pacotes
203
Firewall - Mangle
Um bom exemplo da utilizao do mangle
marcando pacotes de conexes P2P.
204
Firewall - Mangle
207
QoS e Controle de banda
208
Conceitos bsicos de Largura e Limite
de banda
Largura de banda:: Em telecomunicaes, a largura da banda ou apenas banda (tambm chamada de
dbito) usualmente se refere bitrate de uma rede de transferncia de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominao banda, designada originalmente a um grupo de
frequncias justificada pelo fato de que o limite de transferncia de dados de um meio est ligado
largura da banda em hertz. O termo banda larga denota conexes com uma largura em hertz
relativamente alta, em contraste com a velocidade padro em linhas analgicas convencionais (56
kbps), na chamada conexo discada.
Limite de banda:: O limite de banda o limite mximo de transferncia de dados, onde tambm
designada sua velocidade. Por exemplo, voc pode ter uma conexo discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo o limite de transferncia de dados de sua conexo ou uma banda de
1Mbps, voc conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar tambm o valor relativo a transferncia de dados real, ou tambm
chamado de Taxa ou Velocidade de Transferncia ou (throughput),
( que varia aproximadamente entre
10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
voc conseguir taxas de transferencia de no mximo 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, voc conseguir uma Taxa de Transferncia de aproximadamente entre 25kbps a
30,7kbps
209
Traffic Shaping
Traffic shaping um termo da lngua inglesa, utilizado para definir a prtica de priorizao
do trfego de dados, atravs do condicionamento do dbito de redes, a fim de otimizar o
uso da largura de banda disponvel.
O termo passou a ser mais conhecido e utilizado aps a popularizao do uso de
tecnologias "voz sobre ip" (VoIP),
), que permitem a conversao telefnica atravs da
internet. O uso desta tecnologia permite que a comunicao entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexes comuns.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituies protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gesto de dados que acompanham e analisam a utilizao e
priorizam a navegao, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de servio. A prtica tambm comumente
adotada para outros tipos de servios, conhecidos por demandar grande utilizao da
largura de banda, como os de transferncia de arquivos, por exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos de utilizadores,
capturar informaes sobre IPs acedidos, ativar gravaes automticas a partir de
determinadas condutas, reduzir ou interferir na transferncia de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.
210
Qualidade de Servio
No campo das telecomunicaes e redes de computadores,
computadores o termo Qualidade de
Servio (QoS)) pode tender para duas interpretaes relacionadas, mas distintas.
Em redes de comutao de circuitos,, refere-se
refere probabilidade de sucesso em
estabelecer uma ligao a um destino. Em redes de comutao de pacotes refere-se
garantia de largura de banda ou, como em muitos casos, utilizada informalmente
para referir a probabilidade de um pacote circular entre dois pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura
oferecer bastantes recursos, suficientes para o pico esperado, com uma margem de
segurana substancial. simples e eficaz, mas na prtica assumido como
dispendioso, e tende a ser ineficaz se o valor de pico aumentar alm do previsto:
reservar recursos gasta tempo. O segundo mtodo o de obrigar os provedores a
reservar os recursos, e apenas aceitar as reservas se os routers conseguirem
servi-las
las com confiabilidade. Naturalmente, as reservas podem ter um custo
monetrio associado!
211
Qualidade de Servio
Os mecanismos para prover QoS no Mikrotik so:
Limitar banda para certos IPs,
IPs subredes, protocolos,
servios e outros parmetros.
Limitar trfego P2P.
Priorizar certos fluxos de dados em relao a outros.
Utilizar bursts para melhorar o desempenho web.
Compartilhar banda disponvel entre usurios de forma
ponderada dependendo da carga do canal.
Utilizao de WMM Wireless Multimdia.
MPLS Multi Protocol Layer Switch
212
Qualidade de Servio
Os principais termos utilizados em QoS so:
Queuing discipline(qdisc):: Disciplina de enfileiramento. um
algoritmo que mantm e controla uma fila de pacotes. Ela
especifica a ordem dos pacotes que saem, podendo inclusive
reorden-los,
los, e determina quais pacotes sero descartados.
Limit At ou CIR(Commited Information Rate): Taxa de dados
garantida. a garantia de banda fornecida a um circuito ou link.
Max Limit ou MIR(Maximal Information Rate): Taxa mxima de
dados que ser fornecida. Ou seja, limite a partir do qual os
pacotes sero descartados.
Priority:: a ordem de importncia que o trfego processado.
Pode-se
se determinar qual tipo de trfego ser processado
primeiro.
213
Filas - Queues
Uma vez adicionada uma fila para uma interface fsica, a fila padro da
interface, definida em queue interface, no ser mantida. Isso significa que
quando um pacote no encontra qualquer filtro, ele enviado atravs da
interface com prioridade mxima. 215
Tipos de filas
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas so classificadas pela sua influncia no fluxo de
pacotes da seguinte forma:
Schedulers:: (Re) ordenam pacotes de acordo com um determinado algoritmo e
descartam aqueles que se enquadram na disciplina. As disciplinas schedulers
so: PFIFO, BFIFO, SFQ, PCQ e RED.
216
Controle de trfego
217
Controle de trfego
O controle de trfego implementado atravs de
dois mecanismos:
218
Controle de trfego
O controle de trfego implementado internamente por 4
tipos de componentes:
Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes.
Ex.: FIFO.
Classes:
Representam entidades de classificao de pacotes.
Cada classe pode estar associada a um qdisc.
Filters:
Utilizados para classificar os pacotes e atribu-los
atribu as classes.
Policers:
Utilizados para evitar que o trfego associado a cada filtro
ultrapasse limites pr-definidos.
219
Controle de trfego Tipos de fila
PFIFO e BFIFO:: Estas disciplinas de filas so baseadas no algoritmo FIFO(First-in
FIFO(
First-out),
), ou seja, o primeiro que entra o primeiro que sai. A diferena entre
PFIFO e BFIFO que, um medido em pacotes e o outro em bytes. Existe apenas
um parmetro chamado Queue Size que determina a quantidade de dados em
uma fila FIFO pode conter. Todo pacote que no puder ser enfileirado (se fila
estiver cheia) ser descartado. Tamanhos grandes de fila podero aumentar a
latncia. Em compensao prov melhor utilizao do canal.
220
Controle de trfego Tipos de fila
RED: Random Early Detection Deteco Aleatria Antecipada um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho
mdio da fila. Quando o tamanho mdio da fila atinge o valor configurado em min
threshould,, o RED escolhe um pacote para descartar. A probabilidade do nmero de
pacotes que sero descartados cresce na medida em que a mdia do tamanho da fila
cresce. Se o tamanho mdio da fila atinge o max threshould, os pacotes so
descartados com a probabilidade mxima. Entretanto existem casos que o tamanho
real da fila muito maior que o max threshould ento todos os pacotes que
excederem o min threshould sero descartados.
RED indicado em links congestionados com altas taxas de dados. Como muito
rpido funciona bem com TCP.
221
Controle de trfego Tipos de fila
SFQ: Stochastic Fairness Queuing Enfileiramento Estocstico com justia
uma disciplina que tem justia assegurada por algoritmos de hashing e round
roubin.. O fluxo de pacotes pode ser identificado exclusivamente por 4 opes:
src-address
dst-address
src-port
dst-port
Os pacotes podem ser classificados em 1024 sub-filas,
sub e em seguida o algoritmo
round roubin distribui a banda disponvel para estas sub-filas,
sub a cada rodada
configurada no parmetro allot(bytes).
No limita o trfego. O objetivo equalizar os fluxos de trfegos(sesses TCP e
streaming UDP) quando o link(interface) est completamente cheio. Se o link no
est cheio, ento no haver fila e, portanto, qualquer efeito, a no ser quando
combinado com outras disciplinas (qdisc).
222
Controle de trfego Tipos de fila
SFQ:: A fila que utiliza SFQ, pode conter 128 pacotes e h 1024 sub-filas
sub
disponveis.
recomendado o uso de SFQ em links congestionados para garantir que
as conexes no degradem. SFQ especialmente recomendado em
conexes wireless.
223
Controle de trfego Tipos de fila
PCQ: Per Connection Queuing Enfileiramento por conexo foi criado para resolver
algumas imperfeies do SFQ. o nico enfileiramento de baixo nvel que pode fazer
limitao sendo uma melhoria do SFQ, sem a natureza estocstica. PCQ tambm
cria sub-filas considerando o parmetro pcq-classifier.
pcq Cada sub-fila tem uma taxa de
transmisso estabelecida em rate e o tamanho mximo igual a limit. O tamanho total
de uma fila PCQ fica limitado ao configurado em total limit. No exemplo abaixo
vemos o uso do PCQ com pacotes classificados pelo endereo de origem.
224
Controle de trfego Tipos de fila
PCQ:: Se os pacotes so classificados pelo endereo de origem, ento todos os pacotes com
diferentes endereos sero organizados em sub-filas
sub diferentes. Nesse caso possvel fazer
a limitao ou equalizao para cada sub-filafila com o parmetro Rate. Neste ponto o mais
importante decidir qual interface utilizar esse tipo de disciplina. Se utilizarmos na
interface local, todo o trfego da interface pblica ser agrupado pelo endereo de origem.
O que no interessante. Mas se for empregado na interface pblica todo o trfego dos
clientes ser agrupado pelo endereo de origem, o que torna mais fcil equalizar o upload
dos clientes. O mesmo controle pode ser feito para o download, mas nesse caso o
classificador ser o dst. Address e configurado na interface local.
225
QoS - HTB
Hierarchical Token Bucket uma disciplina de enfileiramento hierrquico que
usual para aplicar diferentes polticas para diferentes tipos de trfego. O HTB
simula vrios links em um nico meio fsico, permitindo o envio de diferentes tipos
de trfego em diferentes links virtuais. Em outras palavras, o HTB muito til para
limitar download e upload de usurios em uma rede. Desta forma no existe
saturamento da largura de banda disponvel no link fsico. Alm disso, no Mikrotik,
utilizado para fazer QoS.
227
QoS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=8Mbps max-limit=10Mbps
Queue03 limit-at=2Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Exemplo de HTB Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
228
QoS - HTB
Termos do HTB:
Filter:: Um processo que classifica pacotes. Os filtros so responsveis pela
classificao dos pacotes para que eles sejam colocados nas correspondentes
qdisc.. Todos os filtros so aplicados na fila raiz HTB e classificados diretamente
nas qdiscs,, sem atravessar a rvore HTB. Se um pacote no est classificado
em nenhuma das qdiscs,, enviado a interface diretamente, por isso nenhuma
regra HTB aplicada aos pacotes.
229
QoS - HTB
Estados das classes HTB:
Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que est
consumindo:
Verde:: de 0% a 50% da banda disponvel est em
uso.
Amarelo:: de 51% a 75% da banda disponvel est
em uso.
Vermelho:: de 76% a 100% da banda disponvel
est em uso. Neste ponto comeam os descartes
de pacotes que se ultrapassam o max-limit.
230
QoS - HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro
locais diferentes.
Interfaces:
Global-in:: Representa todas as interfaces de entrada em geral(INGRESS
queue). As filas atreladas Global--in recebem todo trfego entrante no
roteador, antes da filtragem de pacotes.
Global-out:: Representa todas as interfaces de saida em geral(EGRESS queue).
As filas atreladas Global-out recebem todo trfego que sai do roteador.
Global-total:: Representa uma interface virtual atravs do qual se passa todo
fluxo de dados. Quando se associa uma politca de filas Global-total, a
limitao feita em ambas direes. Por exemplo se configurarmos um total-
max-limit de 300kbps, teremos um total de download+upload
download+ de 300kbps,
podendo haver assimetria.
Interface X:: Representa uma interface particular. Somente o trfego que
configurado para sair atravs desta interface passar atravs da fila HTB.
231
Interfaces virtuais e o Mangle
Mangle
Forward
232
Filas simples
Caso 1 Caso 2
237
Utilizao do PCQ
238
Utilizao do PCQ
239
Arvores de Fila
Trabalhar com rvores de fila uma maneira mais elaborada de administrar o
trfego. Com elas possvel construir sob medida uma hierarquia de classes, onde
poderemos configurar as garantias e prioridades de cada fluxo em relao
outros, determinando assim uma poltica de QoS para cada fluxo do roteador.
Os filtros de rvores de filas so aplicados na interface especifica. Os filtros so
apenas marcas que o firewall faz no fluxo de pacotes na opo mangle. Os filtros
enxergam os pacotes na ordem em que eles chegam no roteador.
A rvore de fila tambm a nica maneira para adicionar uma fila em uma
interface separada.
Tambm possvel ter o dobro de enfileiramento. Ex: priorizando o trfego global-
in e/ou global-out,, limitao por cliente na interface de sada. Se configurado
filas simples e rvores de filas no mesmo roteador, as filas simples recebero o
trfego primeiro e em seguida o classficaro.
classficaro
240
Arvores de Fila
As rvores de fila so configuradas em
queue tree.
241
Arvores de Fila
QUEUE MARCA LIMIT-
LIMIT-AT MAX-LIMIT PRIORITY
Q1 C1 10M 30M 8
Q2 C2 1M 30M 8
Q3 C3 1M 30M 8
Q4 C4 1M 30M 8
Q5 C5 1M 30M 8
243
Arvores de Fila
245
Tneis e VPN
246
VPN
Uma Rede Privada Virtual uma rede de
comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.
247
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurana definidos.
A base da formao das VPNs o tunelamento entre dois
pontos, porm tunelamento no sinnimo de VPN.
248
Tunelamento
A definio de tunelamento a capacidade de criar tneis entre dois
hosts por onde trafegam dados.
O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol)
PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
Protocol
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
249
PPP Definies Comuns para os
servios
MTU/MRU:: Unidade mximas de transmisso/ recepo em
bytes. Normalmente o padro ethernet permite 1500 bytes.
Em servios PPP que precisam encapsular os pacotes, deve-
deve
se definir valores menores para evitar fragmentao.
252
PPPoE Cliente e Servidor
PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato da
rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui informaes
sobre o remetente e o destinatrio, desperdiando mais banda. Cerca de 2% a
mais.
Muito usado para autenticao de clientes com base em Login e Senha. O PPPoE
estabelece sesso e realiza autenticao com o provedor de acesso a internet.
PPPoE por padro no criptografado. O mtodo MPPE pode ser usado desde
que o cliente suporte este mtodo.
253
PPPoE Cliente e Servidor
O cliente descobre o servidor atravs do protocolo
pppoe discovery que tem o nome do servio a ser
utilizado.
254
Configurao do Servidor PPPoE
1. Primeiro crie um pool de IPs para o
PPPoE
PPPoE.
256
Configurao do Servidor PPPoE
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vo
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai
escutar.
257
Mais sobre perfis
Bridge: Bridge para associar ao perfil
Incoming/Outgoing
Outgoing Filter: Nome do canal do
firewall para pacotes entrando/saindo.
Address List:
List Lista de endereos IP para associar ao
perfil.
Use Compression/Encryption/Change
Compression TCP MSS:
caso estejam em default, vo associar ao valor que
est configurado no perfil default-profile.
258
Mais sobre perfis
Session Timeout: Durao mxima de uma
sesso PPPoE.
Idle Timeout: Perodo de ociosidade na
transmisso de uma sesso. Se no houver
trfego IP dentro do perodo configurado, a
sesso terminada.
Rate Limit:
Limit Limitao da velocidade na forma
rx-rate//tx-rate. Pode ser usado tambm na
forma rx-rate/tx-rate
rx rx-burst-rate/tx-burst-
rate rx--burst-threshould/tx-burst-threshould
burst-time
time priority rx-rate-min/tx-rate-min.
Only One:
One Permite apenas uma sesso para o
mesmo usurio.
259
Mais sobre o database
Service: Especifica o servio disponvel para este
cliente em particular.
Local/Remote
Remote Address: Endereo IP Local (servidor)
e remote(cliente)
(cliente) que podero ser atribudos a um
cliente em particular.
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que 1500 bytes.
At o momento no possumos nenhuma maneira de alterar a MTU da interface sem fio de
clientes MS Windows. A opo One Session Per Host permite somente uma sesso por host(MAC
Address). Por fim, Max Sessions define o nmero mximo de sesses que o concentrador
suportar.
261
Segurana no PPPoE
Para assegurar um servidor PPPoE pode-
se utilizar Filtros de Bridge, configurando
a entrada ou repasse dos protocolos
pppoe-discovery e pppoe-session e
descartando os demais.
262
Configurando o PPPoE Client
O trfego L2TP utiliza protocolo UDP tanto para controle como para pacote de
dados. A porta UDP 1701 utilizada para o estabelecimento do link e o trfego
em si utiliza qualquer porta UDP disponvel, o que significa que o L2TP pode ser
usado com a maioria dos Firewalls e Routers,
Routers funcionando tambm atravs de
NAT.
264
Configurao do Servidor PPTP e L2TP
Supondo que temos que unir as redes que esto por trs
dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta
criemos as interfaces IPIP em ambos, da seguinte forma:
269
Tneis IPIP
270
Tneis EoIP
EoIP(Ethernet over IP) um protocolo
proprietrio Mikrotik para encapsula mento de
todo tipo de trfego sobre o protocolo IP.
Quando habilitada a funo de Bridge dos roteadores que esto interligados atravs de
um tnel EoIP,, todo o trfego passado de uma lado para o outro de forma
transparente mesmo roteado pela internet e por vrios protocolos.
A interface criada pelo tnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet atravs do protocolo GRE.
271
Tneis EoIP
272
Tneis EoIP
273
Dvidas ????
274
HotSpot no Mikrotik
275
HotSpot
HotSpot um termo utilizado para se referir a uma rea pblica
onde est disponvel um servio de acesso a internet,
normalmente atravs de uma rede sem fio wi-fi. Aplicaes
tpicas incluem o acesso em Hotis, Aeroportos, Shoppings,
Universidades, etc...
O conceito de HotSpot no entanto pode ser usado para dar acesso controlado a
uma rede qualquer, com ou sem fio, atravs de autenticao baseada em nome
de usurio e senha.
277
HotSpot
Setup do HotSpot(cont.):
278
HotSpot
Embora tenha sido uma configurao fcil e rpida, o Mikrotik se encarregou de
fazer o trabalho pesado, criando regras apropriadas no firewall, bem como uma fila
especifica para o HotSpot.
279
HotSpot Detalhes do Servidor
Address Per MAC: Nmero de IPs permitidos para um
determinado MAC.
281
HotSpot Perfil do Servidor
Login by:
MAC:: Usa o MAC dos clientes primeiro como nome do usurio.
Se existir na tabela de usurios local ou em um Radius,
Radius o cliente
liberado sem usurio/senha.
HTTP CHAP: Usa o mtodo criptografado.
HTTP PAP: Usa autenticao em texto plano.
Cookie: Usa HTTP cookies para autenticar sem pedir
credenciais. Se o cliente no tiver mais o cookie ou se tiver
expirado ele de usar outro mtodo.
HTTPS:: Usa tnel SSL criptografado. Para que este mtodo
funcione, um certificado vlido deve ser importado para o
roteador.
Trial:: No requer autenticao por um determinado tempo.
Split User Domain:: Corta o domnio do usurio no caso de usuario@hotspot.com
HTTP Cookie Lifetime: Tempo de vida dos cookies..
282
HotSpot Perfil do Servidor
Use Radius: Utiliza servidor Radius para autenticao
dos usurios do hotspot.
283
HotSpot Perfil de Usurios
O Use Profile serve para dar tratamento
diferenciado a grupos de usurios, como
suporte, comercial, diretoria, etc...
Session Timeout: Tempo mximo permitido.
Idle Timeout/Keepalive:
Timeout/ Mesma explicao
anterior, no entanto agora somente para este
perfil de usurios.
Status Autorefresh:
Autorefresh Tempo de refresh da pgina
de Status do HotSpot.
284
HotSpot Perfil de Usurios
Os perfis de usurio podem conter os limites de velocidade de
forma completa.
Rate Limit: [rx--limit/tx-limit] [rx-burst-limit/tx-burst-limit] [rx-
burst-threshold
threshold/tx-burst-threshold] [rx-burst-time/tx-burst-
time] [priority]] [rx-limit-at/tx-limit-at]
[
286
HotSpot Perfil de Usurios
Com a opo Advertise possvel enviar de tempos
em tempos popups para os usurios do HotSpot.
Advertise URL:: Lista de pginas que sero
anunciadas. A lista cclica, ou seja, quando a ltima
mostrada, comea-se se novamente pela primeira.
288
HotSpot Usurios
289
HotSpot Usurios
Server: all para todos hotspots ou para um especfico.
Name:: Nome do usurio. Se o modo Trial estiver ativado o
hotspot colocar automaticamente o nome T-
MAC_Address. . No caso de autenticao por MAC, o mesmo
deve ser adicionado como username sem senha.
Address:: Endereo IP caso queira vincular esse usurio a um
endereo fixo.
MAC Address:: Caso queira vincular esse usurio a um
endereo MAC especifico.
Profile:: Perfil onde o usurio herda as propriedades.
Routes:: Rotas que sero adicionadas ao cliente quando se conectar. Sintaxe:
Endereo destino gateway metrica.. Vrias rotas separadas por vrgula podem ser
adicionadas.
290
HotSpot Usurios
Limit Uptime:: Limite mximo de tempo de conexo para o
usurio.
Limit Bytes In:: Limite mximo de upload para o usurio.
Limit Bytes Out:: Limite mximo de download para o
usurio.
Limit Bytes Total:: Limite mximo considerando o
download + upload.
upload
291
HotSpot Active
Mostra dados gerais e estatsticas de cada usurio conectado.
292
HotSpot IP Bindings
O Mikrotik por default tem habilitado o universal client que uma facilidade que
aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. Esta
facilidade denominada DAT na AP 2500 e eezee
no StarOS.
possivel tambm fazer tradues NAT estticas com base no IP original, ou IP da rede
ou MAC do cliente. possvel tambm permitir certos endereos contornarem a
autenticao do hotspot.. Ou seja, sem ter que logar na rede inicialmente. Tambm
possvel fazer bloqueio de endereos.
293
HotSpot IP Bindings
MAC Address: mac original do cliente.
Address:
Address Endereo IP do cliente.
Server
Server: Servidor hotspot o qual a regra
ser aplicada.
Type:
Type Tipo do Binding
Regular: faz traduo regular 1:1
Bypassed: faz traduo mas dispensa o
cliente de logar no hotspot.
Blocked: a traduo no ser feita e todos os
pacotes sero bloqueados.
294
HotSpot Ports
295
HotSpot Walled Garden
Configurando um walled garden possvel oferecer ao usurio o acesso a
determinados servios sem necessidade de autenticao. Por exemplo em um
aeroporto poderia se disponibilizar informaes sobre o tempo ou at mesmo
disponibilizar os sites dos principais prestadores de servio para que o cliente possa
escolher qual plano quer comprar.
Quando um usurio no logado no hotspot requisita um servio do walled garden o
gateway no intercepta e, no caso do http,, redireciona a requisio para o destino ou
um proxy.
Para implementar o walled garden para requisies http, existe um web proxy
embarcado no Mikrotik, de forma que todas requisies de usurios no autorizados
passem de fato por esse proxy.
Observar que o proxy embarcado no Mikrotik no tem a funo de cache, pelo menos
por hora. Notar tambm que esse proxy faz parte do pacote system e no requer o
pacote web-proxy.
296
HotSpot Walled Garden
importante salientar que o walled
garden no se destina somente a
servio WEB, mas qualquer servio
que se queira configurar. Para tanto
existem 2 menus distintos conforme
do figuras ao lado. Sendo o menu de
cima para HTTP e HTTPS e o de baixo
para outros servios e protocolos.
297
HotSpot Walled Garden
Action: Permite ou nega.
Server: Hotspot para o qual o walled garden vale.
Src.Address:: Endereo IP do usurio requisitante.
Dst. Address: Endereo IP do web server.
Method: Mtodo http ou https.
Dst. Host:: Nome do domnio do servidor de destino.
Dst. Port: Porta de destino do servidor.
Path: Caminho da requisio.
Obs.: Nos nomes dos domnios necessrio o nome completo, podendo ser usado
coringas. Tambm possvel utilizar expresses regulares devendo essas ser
iniciadas com (:)
298
HotSpot Walled Garden
Action:: Aceita, descarta ou rejeita o pacote.
299
HotSpot Cookies
300
Personalizando o HotSpot
As pginas do hotspot so completamente configurveis e alm
disso possvel criar conjuntos completamente diferentes das
pginas do hotspot para vrios perfis de usurios especificando
diferentes diretrios raiz.
302
Dvidas ????
303
Roteamento
O Mikrotik suporta dois tipos de roteamento:
Roteamento esttico: As rotas so criadas pelo usurio atravs de inseres pr-definidas
pr em
funo da topologia da rede.
Roteamento dinmico: As rotas so geradas automaticamente atravs de um protocolo de
roteamento dinmico ou de algum agregado de endereo IP.
304
Polticas de Roteamento
305
Polticas de Roteamento
306
Polticas de Roteamento
Exemplo de poltica de
roteamento.
308
Balanceamento de Carga com PCC
309
Balanceamento de Carga com PCC
O PCC uma forma de balancear o trfego de acordo com um critrio de
classificao pr-determinado
determinado das conexo. Os parametros de configurao so:
310
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
312
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
313
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
314
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
315
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
316
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Agora vamos criar as rotas baseadas nas marcaes de rotas. Iremos considerar que os 3
gateways internet so: 10.10.10.1, 20.20.20.1 e 30.30.30.1 317
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a mesma
operao para as demais interfaces. 318
Roteamento Dinmico
O Mikrotik suporta os seguintes protocolos:
RIP verso 1 e 2;
OSPF verso 2 e 3;
BGP verso 4.
319
Roteamento dinmico - BGP
O protocolo Open Shortest Path First,, um protocolo do tipo link state. Ele
usa o algoritmo de Dijkstra para calcular o caminho mais curto para todos os
destinos.
O OSPF distribui informaes de roteamento entre os roteadores que
participem de um mesmo AS(Autonomous
Autonomous System) e que tenha o protocolo
OSPF habilitado.
Para que isso acontea, todos os roteadores tem de ser configurados de uma
maneira coordenada e devem ter o mesmo MTU para todas as redes
anunciadas pelo protocolo OSPF.
O protocolo OSPF iniciado depois que adicionado um registro na lista de
redes. As rotas so aprendidas e instaladas nas tabelas de roteamento dos
roteadores.
321
Roteamento Dinmico - OSPF
O protocolo OSPF permite que vrios roteadores sejam agrupados entre si. Cada
grupo formado chamado de rea e cada rea roda uma cpia do algoritmo
bsico, e cada rea tem sua prpria base de dados do estado de seus roteadores.
A diviso em reas importante pois como a estrutura de uma rea s visvel
para os participantes desta, o trfego sensvelmente reduzido. Isso tambm
previne o recalculo das distncias por reas que no participam da rea que
promoveu alguma mudana de estado.
aconselhavel utilizar no entre 50 e 60 roteadores em cada rea.
323
OSPF - Redes
Aqui definimos as redes OSPF com os seguintes
parmetros:
Network: Endereo IP/Mascara, associado. Permite
definir uma ou mais interfaces associadas a uma rea.
Somente redes conectadas diretamente podem ser
adicionadas aqui.
324
OSPF - Opes
Router ID:
ID Geralmente o IP do roteador. Caso
no seja especificado o roteador usar o maior
IP que exista na interface.
325
OSPF - Opes
Redistribute Connected Routes: Caso habilitado, o
roteador ir distribuir todas as rotas relativas as redes que
estejam diretamente conectadas a ele.
Redistribute Static Routes: Caso habilitado, distribui as
rotas cadastradas de forma esttica em /ip / routes.
Redistribute RIP Routes: Caso habilitado, redistribui as
rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado, redistribui as
rotas aprendidas por BGP.
Na aba Metrics
Metrics possvel modificar as mtricas que
sero exportadas as diversas rotas.
326
OSPF
328
Web Proxy
O web proxy uma tima ferramenta para fazer cache de
objetos da internet e com isso economizar banda.
Tambm possvel utilizar o web proxy como filtro de
contedo sem a necessidade de fazer cache.
Como o web proxy escuta todos ips do router, muito
importante assegurar que somente clientes da rede local
iro acess-lo.
A boa prtica recomenda o uso de 20GB de cache para cada
1GB de memria RAM. Portanto com uma simples regra de
3 simples encontrar o valor ideal para a memria RAM do
seu equipamento.
329
Web Proxy - Parmetros
Src. Address:
Address Endero IP do servidor proxy caso
voc possua vrios ips no mesmo roteador.
Port: Porta onde o servidor ir escuta.
Parent Proxy: Servidor proxy pai usado em um
sistema de hierarquia de proxy.
Parent Proxy Port: Porta o parent proxy escuta.
Cache Administrator:
Administrator Identificao do
administrador do proxy.
Max Cache Size: Tamanho mximo do cache em
KiBytes.
Cache On Disk: Indica se o cache ser em Disco ou
em RAM.
330
Web Proxy - Parmetros
Max Client Connections: Nmero mximo de
conexes simultneas ao proxy.
Max Server Connections: Nmero mximo de
conexes que o proxy far a um outro servidor
proxy.
Max Fresh Time: Tempo mximo que os objetos que
no possuem tempo padro definidos, sero
considerados atuais.
Serialize Connections: Habilita mltiplas conexes
ao servidor para mltiplas conexes para os
clientes.
Always From Cache: Ignore requisies de
atualizao dos clientes caso o objeto ser
considerado atual.
331
Web Proxy - Parmetros
Cache Hit DSCP (TOS): Adiciona marca DSCP com o
valor configurado a pacotes que deram hit no proxy.
Cache Drive: Exibe o disco que o proxy est usando
para armazenamento dos objetos. Esses discos
podem ser acessados no menu: /system stores.
332
Web Proxy - Status
Uptime: Tempo que o proxy est rodando.
Requests Total de requisies ao proxy.
Requests:
Hits: Nmero de pedidos que foram atendidos pelo
cache do proxy.
Cache Used:
Used Espao usado em disco ou RAM usado
pelo cache do proxy.
Total RAM Used: Total de RAM usada pelo proxy.
334
Web Proxy - Access
A lista de acesso permite controlar
contedo que ser permitido ou no
para armazenamento no cache do proxy.
335
Web Proxy - Access
Src. Address: Endereo ip de origem
Dst. Address: Endereo ip de destino
Dst. Port: Porta ou lista de portas destino
Local Port: Porta correspondente do proxy
Dst. Host: Endereo ip ou DNS de destino
Path: Nome da pgina dentro do servidor
Method: Mtodo HTTP usado nas requisies
Action: Permite ou nega a regra
Redirect To: URL ao qual o usurio ser redirecionado
caso a regra seja de negao
Hits: Quantidade de vezes que a regra sofreu macth
336
Web Proxy - Cache
A lista de cache define como as requisies sero armazenadas ou no no
cache do proxy.
337
Web Proxy - Direct
A lista de acesso direto utilizada quando um Parent Proxy est
configurado. Desta forma possvel passar a requisio ao mesmo ou
tentar encaminhar a requisio diretamente ao servidor de destino.
338
Web Proxy Regras de Firewall
Para que o proxy funcione de forma correta e segura, necessrio criar
algumas regras no firewall nat e no firewall filter.
339
Web Proxy Regras de Firewall
Desviando o fluxo web para o proxy
/ip firewall nat add chain=dstnat protocol=tcp
protocol dst-port=80
action=redirect to-ports=8080
340
Exerccio final
341
Dvidas ????
342
The Dude O cara
343
The Dude O cara
No Windows:
Fazer o download, clicar no executvel e responder sim para
todas as perguntas.
No Linux:
Instalar o wine e a partir da proceder como no windows.
O espao em disco consumido pela The Dude considervel, entre outras coisas,
devido aos grficos e logs a serem armazenados. Assim, no caso de instalao em
Routerboards aconselhvel o uso daquelas que possuam armazenamento
adicional como:
RB 433UAH Aceita HD externo via USB
RB 450G Aceita MicroSD
RB 600 Aceita SD
RB 800 Aceita MicroSD
RB 1100 Aceita MicroSD
No aconselhvel a instalao em outras Routerboards por problemas de
perdas de dados devido a impossibilidade de efetuar backups. Problemas de
processamento tambm devem ser considerados.
347
The Dude - Comeando
348
The Dude - Comeando
O auto discovery permite que o servidor The Dude localize os dispositivos de seu
segmento de rede, atravs de provas de ping, arp, snmp, etc... E por servios
tambm.
Os outros segmentos de rede que tenham Mikrotiks podem ser mapeados por
seus vizinhos (neighbours).
Apesar de ser uma facilidade, no aconselhvel utilizar este recurso.
349
The Dude Adicionando dispositivos
350
The Dude Adicionando dispositivos
Em seguida descubra os servios que esto rodando nesse equipamento. Aps
isso o dispositivo estar criado.
351
The Dude Adicionando dispositivos
Clique no dispositivo criado para ajustar vrios
parmetros. Dentre esses os principais:
Nome de exibio
Tipo do dispositivo
352
The Dude Adicionando dispositivos
O The Dude possui vrios dispositivos pr-definidos,
pr mas pode-se criar
novos dispositivos personalizados para que o desenho realmente reflita a
realidade prtica.
Por razes de produtividade aconselhvel que todos os dispositivos
existentes na rede sejam criados com suas propriedades especificas antes
do desenho da rede, mas nada impede que isso seja feito depois.
353
The Dude Adicionando dispositivos
354
The Dude Criando links
Para criar links entre os dispositivos basta clicar no mapa com o boto
direito, selecionar Add Link e ligar os dois dispositivos informando:
Device:: Dispositivo que ir fornece as informaes do link.
Mastering type:: Informa como as informaes sero obtidas.
Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS, escolha a
interface que deseja monitorar a velocidade e estado do link.
Speed:: Informando a velocidade do link, ativado a sinalizao do estado do
mesmo baseando-se em cores.
Type:: Tipo de conexo fsica entre os dispositivos.
355
The Dude Notificaes
Efetue um duplo clique no dispositivo e v na guia Notifications.
Nela
voc pode informar o tipo de notificao que deseja receber.
356
The Dude Servios indesejveis
Com o The Dude podemos monitorar servios que no desejamos que estejam
ativos.
357
The Dude grficos
Podemos manipular a forma como os grficos iro ser apresentados para
identificar servios, estado dos links etc...
358
The Dude Efetuando Backups
As configuraes so salvas automaticamente na
medida em que so feitas. Para se ter um backup
externo use o export para gerar um arquivo .xml
. com
todas as configuraes que podero ser importadas
sempre que necessrio.
359
Dvidas ????
360
Laboratrio Final
Abram um terminal
361
OBRIGADO!