Você está na página 1de 382

Treinamento oficial Mikrotik

Modulo MTCNA
(MikroTik Certified Network Associate)
Agenda
Treinamento das 08:30hs às 18:30hs

Coffe break as 16:00hs

Almoço as 12:30hs – 1 hora de duração

1- Introdução 2
Importante
 Curso oficial: Proibido ser filmado ou gravado.
 Celular: Desligado ou em modo silencioso.
 Perguntas: Sempre bem vindas.
 Internet: Evite o uso inapropriado.
 Aprendizado: Busque absorver conceitos.

 Evite conversas paralelas.


 Deixe habilitado somente a interface ethernet de
seu computador.

1- Introdução 3
Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.

1- Introdução 4
Objetivos do curso
Abordar todos os tópicos necessários para o
exame de certificação MTCNA.
Prover um visão geral sobre o Mikrotik
RouterOS e as RouterBoards.
Fazer uma abordagem simples e objetiva com
a maioria das ferramentas que o Mikrotik
RouterOS dispõe para prover boas soluções.

1- Introdução 5
Onde está a Mikrotik ?

Mikrotik(MK): Empresa
Roterboard(RB):Hardware
RouterOS(ROS): Software

1- Introdução 6
Oque são Routerboards?
 Hardware criado pela Mikrotik.
 Atende desde usuários domésticos até grandes empresas.
 Hardware relativamente barato se comparado com outros
fabricantes.

1- Introdução 7
Nomenclatura das routerboards
Serie 400

RB 450 0 ou nenhuma wireless

5 interfaces ethernet

3 slots p/ wireless

Serie 400

RB 433
3 interfaces ethernet

1- Introdução 8
RouterOS
 RouterOS além de estar disponível para Routerboards
também pode ser instalado em hardware x86.
 RouterOS é o sistema operacional das Routerboards e que
pode ser configurado como:
 Roteador
 Controlador de conteúdo (Web-proxy)
 Controlador de banda (Queues)
 Controlador de fluxo para QoS(Firewall mangle + Queues)
 Firewall (camada 2,3 e 7)
 Access Point wireless 802.11a/b/g/n (o hardware deve possuir
wlan)
 Outros

1- Introdução 9
Winbox
Winbox é uma utilitário usado para acessar o
RouterOS via MAC ou IP.
Usuário padrão é “admin” e senha vazio.

1- Introdução 10
Primeiros passos
 Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.
 Caso você não tenha o utilitário winbox no seu
computador faça o seguinte:
– Altere seu computador para “Obter endereço IP
automaticamente”.
– Abra o navegador e digite 192.168.88.1.
– No menu a esquerda clique na ultima opção (logout).
– Agora na pagina de login , clique sobre o aplicativo
winbox e salve no seu computador.

1- Introdução 11
Resetando seu router
 Abra o winbox clique em
 Clique no endereço MAC ou IP.
 No campo Login coloque “admin”.
 No campo Password deixe em branco.
 Clique em connect.
 Nos Menus a esquerda clique em “New Terminal”.
 Com terminal aberto digite:
– system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.

1- Introdução 12
Identificando seu roteador

1- Introdução 13
Diagrama da rede

 Lembre-se de seu número: XY


1- Introdução 14
Configuração básica
Configurando endereço de IP
Configurando mascara de sub-rede
Configurando DNS
Conectando seu router a um ponto de acesso
Configurando seu computador
Realizando testes de conectividade

1- Introdução 15
Configuração do roteador
Adicione os IPs nas interfaces

1- Introdução 16
Configuração do roteador
Adicione a rota padrão

1- Introdução 17
Configuração do roteador
 Adicione o servidor DNS
 Quando você checa a opção “Alow remote requests”, você
está habilitando seu router como um servidor de DNS.

1- Introdução 18
Configuração do roteador
Configuração da interface wireless

1- Introdução 19
MNDP
MikroTik Neighbor Discovery protocol
Habilite a interface wlan em Discovery
Interface

1- Introdução 20
Configure seu Notebook

1- Introdução 21
Teste de conectividade
 Pingar a partir da Routerboard o seguinte ip:172.25.X.254.
 Pingar a partir da Routerboard o seguinte endereço:
www.uol.com
 Pingar a partir do notebook o seguinte ip:
10.X.Y.1
 Pingar a partir do notebook o seguinte endereço:
www.uol.com
 Analisar os resultados.

1- Introdução 22
Corrigir o problema de conectividade
Diante do cenário apresentado quais soluções
podemos apresentar?

Adicionar rotas estáticas.


Utilizar protocolos de roteamento dinâmico.
Utilizar NAT(Network Address Translation).

1- Introdução 23
Utilização do NAT
 O mascaramento é a técnica que permite que vários
hosts de uma rede compartilhem um mesmo endereço
IP de saída do roteador. No Mikrotik o mascaramento é
feito através do Firewall na funcionalidade do NAT.

 Todo e qualquer pacote de dados de uma rede possui


um endereço IP de origem e destino. Para mascarar o
endereço, o NAT faz a troca do endereço IP de origem.
Quando este pacote retorna ele é encaminhando ao
host que o originou.

1- Introdução 24
Adicionando uma regra de source nat
Adicionar uma regra de NAT, mascarando as
requisições que saem pela interface wlan1.

1- Introdução 25
Teste de conectividade
Efetuar os testes de ping a partir do notebook.
Analisar os resultados.
Efetuar os eventuais reparos.
Após a confirmação de que tudo está
funcionando, faça o backup da routerboard e
armazene-o no notebook. Ele será usado ao
longo do curso.

1- Introdução 26
Faça um backup
 Clique no menu Files e depois em Backup para salvar
sua configurações.
 Arraste o arquivo que foi gerado para seu computador.

1- Introdução 27
Instalação do RouterOS
Porque é importante saber instalar o
RouterOS?
 Necessário quando se deseja utilizar um hardware próprio.

 Assim como qualquer S.O. o RouterOS também pode


corromper o setor de inicialização (geralmente causado por
picos elétricos).

 Necessário quando se perde o usuário e senha de acesso ao


sistema.

1- Introdução 28
Instalação do RouterOS
 Assim como qualquer sistema operacional o RouterOS precisa
ser instalado(em routerboards já vem instalado por padrão) ,
as duas principais maneiras de instalar o ROS são:

ISO botável (imagem)


Via rede utilizando o Netinstall

1- Introdução 29
Download
http://www.mikrotik.com/download

1- Introdução 30
Download

 No link acima você pode fazer o download das imagens ISO ou


do arquivo contendo todos os pacotes.

 Sempre ao fazer o download fique atento a arquitetura de


hardware (mipsbe, mipsle,x86).

 Obs: Nunca instale versões de teste em roteadores em


produção sempre selecione versões estáveis.

1- Introdução 31
Instalando pela ISO
 Em caso de você estar utilizando uma maquina física grave a
ISO em um CD e ajuste a sequencia de boot para CD/DVD.

1- Introdução 32
Instalando via netinstall em
routerboards
 Para se instalar em uma Routerboard, inicialmente
temos que entrar na routerboard via cabo serial e
alterar a sequencia de inicialização para ethernet
(placa de rede).
 Dentro da Routerboad temos um tutorial
completo de como instalar o RouterOS em
Routerboards.

1- Introdução 33
Pacotes do RouterOS
 System: Pacote principal contendo os serviços básicos e drivers. A rigor é o único
que é obrigatório.
 PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc..
 DHCP: Cliente, Relay e Servidor DHCP.
 Advanced-tools: Ferramentas de diagnóstico, netwatch e outros utilitários.
 HotSpot: Suporte a HotSpot.
 NTP: Servidor de horário oficial mundial.
 IPv6: Suporte a endereçamento IPv6
 MPLS: Suporte a MPLS
 Routing: Suporte a roteamento dinâmico.
 Security : IPSEC, SSH, Secure WinBox.

Não é possível adicionar drivers ou qualquer outro tipo de pacote que não seja criado
diretamente pela Mikrotik.

1- Introdução 34
Gerenciando pacotes
Você pode habilitar e desabilitar pacotes em:

1- Introdução 35
Primeiro acesso
 Por padrão o processo de instalação não atribui nenhum
endereço de IP ao router então o primeiro acesso pode
ser feito por:

 Cabo serial (linha de comando)


 Teclado e monitor em x86 (linha de comando)
 Via mac-telnet (linha de comando)
 Winbox via MAC (interface gráfica)

1- Introdução 36
Mac-telnet

1- Introdução 37
Outros modos de acesso
Após configurar um endereço de IP no
RouterOS existem outros modos de acesso.
SSH
FTP
Telnet
Web

1- Introdução 38
SSH e telnet

1- Introdução 39
FTP
Usado para transferir arquivos.

1- Introdução 40
WEB
O acesso via web traz quase todas as funções
existentes no winbox.

1- Introdução 41
Upgrade do RouterOS
Faça download de Upgrade package (.npk).
Arraste para dentro de Files no winbox e
reinicie seu router.

4
1- Introdução
2 42
Atualizando a RB
 Confira a versão atual.
 Faça download do pacote .npk.
 Envie o pacote para sua Routerboard usando o
winbox ou via FTP.
 Reinicie o roteador.
 Confira se a nova versão foi instalada.
 Novas versões estão disponíveis no site.
http://www.mikrotik.com/download

4
1- Introdução
3 43
Atualizando a RB
 Certifique se que sua routerboard tem conectivade
com a internet.
 Cliquem em System=> Packages=> Check for Updates

1- Introdução 44
Upgrade de firmware
Para fazer upgrade de firmware clique em:

1- Introdução 45
Níveis de licença
 O RouterOS trabalha com níveis de licença isso significa que
cada nível lhe oferece um numero X de recursos.
 Quanto a atualização de versão
L3/4 = versão atual + 1 = pode ser usada
L5/6 = versão atual + 2 = pode ser usada
 A chave de licença é gerada sobre um software-id fornecido
pelo sistema.
 A licença fica vinculada ao HD ou Flash e/ou placa mãe.
 A formatação com outras ferramentas muda o software-id
causa a perda da licença.

1- Introdução 46
Níveis de licença

1- Introdução 47
NTP
As routerboard não tem fonte de alimentação
interna, logo toda vez que é reiniciada o
sistema perde a data e a hora, isso vem a ser
um grande problema quando é necessário
analisar os logs.
Para que seu equipamento fique
sempre com a data e hora correta
devemos usar o cliente NTP
(Network time protocol).

1- Introdução 48
Configurando Cliente NTP

1- Introdução 49
Ajustando fuso horário

1- Introdução 50
Backup
 Existem duas maneiras de se realizar backup do
sistema:
Backup comum = Salva todo o conteúdo do router em
um arquivo criptografado que não pode ser
editado(salva inclusive os usuários e senhas de login
no router).
Backup com comando export = Você pode exportar
um backup completo ou apenas uma parte. Com esse
tipo de backup o arquivo gerado não é criptografado e
pode ser aberto por qualquer editor de texto(não
exporta dados de usuários e senhas de login no
router).

1- Introdução 51
Backup comum

 Observe que o arquivo gerado recebe o


identificação do router mais as informações de
data e hora.
1- Introdução 52
Backup pelo comando export

 Para exportar as configurações para dentro de um


arquivo use opção “file” e dê um nome ao arquivo e
sempre use a opção “compact” para que seu arquivo
venha apenas com as informações necessárias(evita
exporta mac-address de um equipamento para outro).
1- Introdução 53
Localizando e editando backup

Após o comando
“export file=bkp_router_XY compact”
O arquivo gerado está no menu files.

Após transferir o arquivo para


sua maquina ele poderá ser
editado pelo bloco de notas.

1- Introdução 54
Backup
Faça os dois tipos de backup.
Arraste os dois backups para seu computador
e tente abrir com o bloco de notas e observe o
resultado
Agora acesse o link abaixo e faça o upload do
arquivo de backup criptografado.
http://mikrotikpasswordrecovery.com/

1- Introdução 55
Modo seguro
 O Mikrotik permite o acesso ao sistema através do “modo seguro”.
Este modo permite desfazer as configurações modificadas caso a
sessão seja perdida de forma automática. Para habilitar o modo
seguro pressione “CTRL+X” ou na parte superior clique em Safe
Mode.

1- Introdução 56
Modo seguro
 Se um usuário entra em modo seguro, quando já há
um nesse modo, a seguinte mensagem será dada:
“Hijacking Safe Mode from someone – unroll/release/
– u: desfaz todas as configurações anteriores feitas em modo
seguro e põe a presente sessão em modo seguro
– d: deixa tudo como está
– r: mantém as configurações no modo seguro e põe a
sessão em modo seguro. O outro usuário receberá a
seguinte mensagem:
“Safe Mode Released by another user”

1- Introdução 57
Dúvidas e perguntas ?

1- Introdução 58
Modelo OSI, TCP/IP
e
protocolos
2 - OSI, TCP/IP e protocolos 59
Um pouco de historia
1962 – Primeiras comunicações em rede.
1965 – Primeira comunicação WAN.
1969 – Desenvolvido o TCP.
1978 – Vários padrões de comunicação.
1981 – Inicio de discussões sobre padronizações.
1984 – Chegada do modelo OSI

Siglas
ISO - International Organization for Standardization
OSI - Open Systems Interconnection
2 - OSI, TCP/IP e protocolos 60
Modelo OSI vs TCP/IP
Modelo OSI Modelo TCP/IP
Modelo usado para estudos Modelo usado na prática

2 - OSI, TCP/IP e protocolos 61


Um pouco mais sobre o modelo OSI
 Os dados são gerados na camada de aplicação, e a partir
de então serão encapsulados camada por camada até
chegar a camada física onde serão transformados em
sinais (elétricos ,luminosos etc...)

 Em cada camada são adicionados cabeçalhos. Veja abaixo


os tipos de informações que são imputadas em cada
cabeçalho.

Cabeçalho possui porta (TCP/UDP) de origem e destino

Cabeçalho possui IP de origem e destino

Cabeçalho possui MAC de origem e destino

2 - OSI, TCP/IP e protocolos 62


Encapsulamento
Dados Camada 7 aplicação - Dados

Dados Camada 4 transporte - Portas

Dados Camada 3 rede - IP

Dados Camada 2 enlace - MAC

2 - OSI, TCP/IP e protocolos 63


PDU - Protocol data unit
Protocol data unit ou em português Unidade de
dados de protocolo em telecomunicações
descreve um bloco de dados que é transmitido
entre duas instâncias da mesma camada.

Camada PDU
Camada física Bit
Camada de enlace Quadro ou trama
Camada de rede Pacote
Camada de transporte Segmento

2 - OSI, TCP/IP e protocolos 64


1 - Camada física
 A camada física define as características técnicas
dos dispositivos elétricos.

 É nesse nível que são definidas as especificações


de cabeamento estruturado, fibras ópticas, etc...

 Banda, frequência e potencia são grandeza que


podemos alterar diretamente na camada 1.

2 - OSI, TCP/IP e protocolos 65


2 - Camada de enlace
 Camada responsável pelo endereçamento físico,
controle de acesso ao meio e correções de erros da
camada I.

 Endereçamento físico se faz pelos endereços MAC


(Controle de Acesso ao Meio) que são únicos no
mundo e que são atribuídos aos dispositivos de rede.

 Switchs, bridges ,ethernets e PPP são exemplos de


dispositivos que trabalham em camada II.

2 - OSI, TCP/IP e protocolos 66


Endereço MAC
É o único endereço físico de um dispositivo de
rede.
É usado para comunicação com a rede local.

Exemplo de endereço MAC:

00:0C:42:00:00:00

2 - OSI, TCP/IP e protocolos 67


3 - Camada de rede
Responsável pelo endereçamento lógico dos
pacotes.
Determina que rota os pacotes irão seguir para
atingir o destino baseado em fatores tais como
condições de tráfego de rede e prioridade.

2 - OSI, TCP/IP e protocolos 68


4 - Camada de transporte
 Quando no lado do remetente, é responsável por
pegar os dados das camadas superiores e dividir
em pacotes para que sejam transmitidos para a
camada de rede.

 No lado do destinatário, pega os pacotes


recebidos da camada de rede, remonta os dados
originais e os envia para à camada superior.

 Estão na camada IV: TCP, UDP, RTP

2 - OSI, TCP/IP e protocolos 69


Estado das conexões
 É possível observar o estado das conexões no Mikrotik no menu Connections
(IP=>Firewall=>Connections).
 Essa tabela também é conhecida como conntrack. Muito utilizada para analises
e debugs rápidos.

2 - OSI, TCP/IP e protocolos 70


5 - Camada de sessão
Administra e sincroniza diálogos entre dois
processos de aplicação.
Une duas entidades para um relacionamento
e mais tarde as desune. (ex. de união:
login/autenticação e desunião: logoff).
Controla troca de dados, delimita e sincroniza
operações em dados entre duas entidades.

2 - OSI, TCP/IP e protocolos 71


6 - Camada de apresentação
 A principal função da camada de apresentação é
assegurar que a informação seja transmitida de tal
forma que possa ser entendida e usada pelo
receptor.

 Este nível pode modificar a sintaxe da mensagem,


sempre preservando sua semântica.

 O nível de apresentação também é responsável por


outros aspectos da representação dos dados, como
criptografia e compressão de dados.

2 - OSI, TCP/IP e protocolos 72


7 - Camada de aplicação
Muito confundem aplicação com aplicativo.
Usuário interagem com o aplicativo e o
aplicativo interage com protocolos da camada
de aplicação( HTTP, SMTP, FTP, SSH, Telnet ...).

HTTP
HTTPS
DNS

2 - OSI, TCP/IP e protocolos 73


Protocolos

2 - OSI, TCP/IP e protocolos 74


Endereço IP
É o endereço lógico de um dispositivo de rede.

É usado para comunicação entre redes.

Endereço IPv4 é um numero de 32 bits divido


em 4 parte separado por pontos.

Exemplo de endereço IP: 200.200.0.1.

2 - OSI, TCP/IP e protocolos 75


Sub Rede
 Como o próprio no já diz (sub rede)é a uma parte de rede ou seja uma rede que foi
dividida.
 O tamanho de uma sub rede é determinado por sua máscara de sub rede.
 O endereço de IP geralmente é acompanhado da mascara de sub rede.
 Com esses dois dados (Endereço IP e mascara de sub rede) podemos dimensionar onde
começa e onde termina nossa sub rede.
 Exemplo de mascara de sub rede: 255.255.255.0 ou /24.
 O endereço de REDE é o primeiro IP da sub rede.
 O endereço de BROADCAST é o último IP da sub rede.
 Esses endereços(Rede e broadcast) são reservados e não podem ser usados.

End IP/Mas 10.1.2.3/8 10.1.2.3/16 10.1.2.3/24


End de Rede 10.0.0.0 10.1.0.0 10.1.2.0
End de Broadcast 10.255.255.255 10.1.255.255 10.1.2.255

2 - OSI, TCP/IP e protocolos 76


Protocolos - IP
 Usado para identificar logicamente um host.
 Possui endereços públicos e privados.
 Possui duas versões IPv4 (quase esgotado) e IPv6.

2 - OSI, TCP/IP e protocolos 77


Endereçamento CIDR

2 - OSI, TCP/IP e protocolos 78


Protocolos - ARP
 ARP – Address resolution protocol ou simplesmente
protocolo de resolução de endereços.
 Como o próprio nome sugere esse protocolo consegue
resolver(encontrar) o endereço MAC através do
endereço de IP e após feito isto o coloca em uma
tabela.

2 - OSI, TCP/IP e protocolos 79


Como ARP funciona
 Quando o dispositivo H1 precisa enviar dados para H2 que está no
mesmo segmento de rede , o dispositivo H1 precisa descobrir o
endereço MAC de H2.Então o protocolo ARP envia uma requisição para
todos os diapositivos(MSG-01).
 Então o host que com endereço de IP apropriado(H2) responde com o
dado solicitado (MSG-02).
 Então o dispositivo H1 recebe o endereço MAC e se prepara para o
próximo passo para transmitir dados para H2.
MSG-02
Sou eu e meu MAC
MSG-01 é 00:00:00:11:11:02
Quero saber o
MAC do host
com IP
10.11.11.2
10.11.11.2/24
00:00:00:11:11:02
10.11.11.1/24
00:00:00:11:11:01
10.11.11.3/24
00:00:00:11:11:03

2 - OSI, TCP/IP e protocolos 80


Protocolos - UDP / TCP

UDP TCP
Serviço sem conexão; nenhuma sessão é Serviço orientado por conexão; uma sessão
estabelecida entre os hosts. é estabelecida entre os hosts.
O UDP não garante ou confirma a entrega O TCP garante a entrega usando
nem sequencia os dados. confirmações e entrega sequenciada dos
dados.
O UDP é rápido, requer baixa sobrecarga e O TCP é mais lento, requer maior
pode oferecer suporte à comunicação sobrecarga e pode oferecer suporte apenas
ponto a ponto e de ponto a vários pontos. à comunicação ponto a ponto.

2 - OSI, TCP/IP e protocolos 81


Protocolos - ICMP
 Internet Control Message Protocol ou protocolo de
mensagens de controle da Internet é usado para relatar
erros e trocar informações de status e controle.
 Geralmente usamos aplicativos que utilizam o protocolo
ICMP para sabermos se um determinado host esta
alcançável e/ou qual é a rota para aquele host(ping e
tracert).

2 - OSI, TCP/IP e protocolos 82


Protocolos - DNS
 Domain Name System - Sistema de Nomes de
Domínios é utilizado para associar nomes a
números e vice-versa.

2 - OSI, TCP/IP e protocolos 83


DHCP

2 - OSI, TCP/IP e protocolos 84


Perguntas ?

2 - OSI, TCP/IP e protocolos 85


HotSpot no Mikrotik

3 - Hotspot 86
Estrutura do Hotspot
Servidor de hotspot (Servers)  Um server por interface.

 Defini como os usuário poderão logar.


 Usar Radius ou não.
Perfis do hotspot (Server Profiles)
 Definir o diretório que contém as páginas de
login.

 Defini velocidade de cada perfil (planos).


Perfis de usuário (User Profile)  Defini popups.
 Defini scripts.

 Defini usuário e senha


Usuários (Users)  Defini a qual plano o usuário esta
associado.

3 - Hotspot 87
HotSpot
 Geralmente usado em área pública como hotéis,
aeroportos, shoppings, universidades, etc...

 Acesso controlado a uma rede qualquer, com ou sem


fio,

 Autenticação baseada em nome de usuário e senha.

 Com HotSpot, um usuário que tente navegação pela


WEB é arremetido para uma página do HotSpot que
pede suas credencias, normalmente usuário e senha.

3 - Hotspot 88
HotSpot

3 - Hotspot 89
HotSpot
Apesar de ter sido bem simples a criação do
Hotspot o RouterOS criou algumas regras
necessárias para o funcionamento.

3 - Hotspot 90
HotSpot – Detalhes do Servidor
 Idle Timeout: Usado para detectar
clientes que estão logados e não
estão trafegando.

 Keepalive Timeout: Usado para


detectar clientes que estão logados
porém não estão mais acessíveis.

 Address Per MAC: Número de IPs


permitidos para um determinado
MAC.

3 - Hotspot 91
HotSpot – Perfil do Servidor
 HTML Directory: Diretório onde são
colocadas as páginas desse hotspot.

 HTTP Proxy/Port: Endereço e porta do


servidor de web proxy.

 SMTP Server: Endereço do servidor SMTP.

 Rate Limit: Usado para criar uma fila simples


para todo o hotspot. Esta fila vai após as filas
dinâmicas dos usuários.

3 - Hotspot 92
HotSpot – Perfil do Servidor
 Login by:
– MAC: Usa o MAC dos clientes primeiro como nome do usuário. Se
existir na tabela de usuários local ou em um Radius, o cliente é
liberado sem usuário/senha.

– HTTP CHAP: Usa o método criptografado.

– HTTP PAP: Usa autenticação em texto plano.

– Cookie: Usa HTTP cookies para autenticar sem pedir credenciais. Se


o cliente não tiver mais o cookie ou se tiver expirado ele de usar
outro método.

– HTTPS: Usa túnel SSL criptográfado. Para que este método funcione,
um certificado válido deve ser importado para o roteador.

– Trial: Não requer autenticação por um determinado tempo.

– Split User Domain: Corta o domínio do usuário no caso de


usuario@hotspot.com

– HTTP Cookie Lifetime: Tempo de vida dos cookies.

– MAC Cookie: Nova funcionalidade usada para facilitar a


acessibilidade para smartphones.
3 - Hotspot 93
Hotspot - Radius
 Remote Authentication Dial In User Service (RADIUS) é um
protocolo de rede que provê de forma centralizada
autenticação, autorização e contabilização(Accounting em
inglês).
Autenticação Roteador de borda

Internet

Roteadores buscando
autenticação no Radius
Servidor Radius 172.31.31.2

3 - Hotspot 94
Hotspot - Configurando Radius

3 - Hotspot 95
HotSpot – Perfil do Servidor
• Use Radius: Utiliza servidor Radius para
autenticação dos usuários do hotspot.

• Location ID e Location Name: Podem ser atribuídos


aqui e no Radius. Normalmente deixado em branco.

• Accounting: Usado para registrar o histórico de logins,


tráfego, desconexões, etc...

• Interim Update: Frequência do envio de informações


de accounting. 0 significa assim que ocorre o evento.

• Nas Port Type: Wireless, ethernet ou cabo.


Informação meramente para referência.

3 - Hotspot 96
HotSpot – Perfil de Usuários
 O User Profile serve para dar tratamento diferenciado a
grupos de usuários, como suporte, comercial, diretoria,
etc...
 Session Timeout: Tempo máximo
permitido.
 Idle Timeout/Keepalive: Mesma
explicação anterior, no entanto agora
somente para este perfil de usuários.
 Status Autorefresh: Tempo de
refresh da página de Status do
HotSpot.
 Shared Users: Número máximo de
clientes com o mesmo username.

3 - Hotspot 97
HotSpot – Perfil de Usuários
 Os perfis de usuário podem conter os limites de
velocidade de forma completa.
 Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx
burst-limit] [rxburstthreshold/tx-burst-threshold]
[rx-burst-time/tx-bursttime][priority]
[rx-limit-at/tx-limit-at]

Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k

 128k de upload / 256k de download


 256k de upload burst / 512k de download burst
 96k threshould de upload / 192k threshloud de
download
 8 segundos de burst
 6 de prioridade
 32k de garantia de upload / 64k de garantia de
download

3 - Hotspot 98
HotSpot – Perfil de Usuários
 Incoming Filter: Nome do firewall chain aplicado aos
pacotes que chegam do usuário deste perfil.

 Outgoing Filter: Nome do firewall chain aplicado aos


pacotes vão para o usuário deste perfil.

 Incoming Packet Mark: Marca colocada


automaticamente em pacotes oriundos de usuários
deste perfil.

 Outgoing Packet Mark: Marca colocada


automaticamente em pacotes que vão para usuários
deste perfil.

 Open Status Page: Mostra a página de status.


- http-login: para usuários que logam pela WEB.
- always: para todos usuários inclusive por MAC.

 Tranparent Proxy: Se deve usar proxy transparente.


3 - Hotspot 99
HotSpot – Perfil de Usuários
 Com a opção Advertise é possível enviar de
tempos em tempos “popups” para os usuários do
HotSpot.
 Advertise URL: Lista de páginas que serão
anunciadas. A lista é cíclica, ou seja, quando a última é mostrada,
começa-se novamente pela primeira.
 Advertise Interval: Intervalo de tempo de exibição de popups.
Depois da sequência terminada, usa sempre o intervalo.
 Advertise Timeout: Quanto tempo deve esperar
para o anúncio ser mostrado, antes de bloquear o
acesso a rede.
- Pode ser configurado um tempo.
- Nunca bloquear.
- Bloquear imediatamente.

3 - Hotspot 100
HotSpot – Perfil de Usuários
 O Mikrotik possui uma linguagem interna de scripts que podem ser
adicionados para serem executados em alguma situação especifica.

 No HotSpot é possível criar scripts que executem comandos a


medida que um usuário desse perfil conecta ou desconecta do
HotSpot.

 Os parâmetros que controlam essa execução são:


– On Login: Quando o cliente conecta ao HotSpot.
– On Logout: Quando o cliente desconecta do
HotSpot.

 Os scripts são adicionados no menu:


/system script

3 - Hotspot 101
HotSpot – Usuários

3 - Hotspot 102
HotSpot – Usuários
 Server: all para todos hotspots ou para um específico.
 Name: Nome do usuário. Se o modo Trial estiver ativado
o hotspot colocará automaticamente o nome “TMAC_
Address”. No caso de autenticação por MAC, o mesmo
deve ser adicionado como username sem senha.
 Address: Endereço IP caso queira vincular esse usuário
a um endereço fixo.
 MAC Address: Caso queira vincular esse usuário a um
endereço MAC especifico.
 Profile: Perfil onde o usuário herda as propriedades.
 Routes: Rotas que serão adicionadas ao cliente quando
se conectar. Sintaxe: “Endereço destino gateway
métrica”. Várias rotas separadas por vírgula podem ser
adicionadas.

3 - Hotspot 103
HotSpot – Usuários
 Limit Uptime: Limite máximo de
tempo de conexão para o usuário.
 Limit Bytes In: Limite máximo de
upload para o usuário.
 Limit Bytes Out: Limite máximo de
download para o usuário.
 Limit Bytes Total: Limite máximo
considerando o download + upload.
 Na aba das estatísticas é possível
acompanhar a utilização desses
limites.

3 - Hotspot 104
HotSpot – Active
 Mostra dados gerais e estatísticas de cada usuário conectado.

3 - Hotspot 105
HotSpot – Liberações especiais
 Para liberar acesso a internet para um
determinado host utilize sem necessidade de
autenticação IP Binding.

 Para liberar acesso a um determinado site sem


necessidade de autenticação utilize Walled
Garden.

 Para liberar acesso a um determinado IP ou porta


sem necessidade de autenticação utilize o
Walled Garden IP List.

3 - Hotspot 106
HotSpot – IP Bindings
 O Mikrotik por default tem habilitado o “universal client” que
é uma facilidade que aceita qualquer IP que esteja
configurado no cliente fazendo com ele um NAT 1:1.

 É possível também fazer traduções NAT estáticas com base no


IP original, ou IP da rede ou MAC do cliente. É possível
também permitir certos endereços “contornarem” a
autenticação do hotspot. Ou seja, sem ter que logar na rede
inicialmente.

 Também é possível fazer bloqueio de endereços.

3 - Hotspot 107
HotSpot – IP Bindings
 MAC Address: mac original do cliente.
 Address: Endereço IP do cliente.
 To Address: Endereço IP o qual o original deve ser
traduzido.
 Server: Servidor hotspot o qual a regra será aplicada.
 Type: Tipo do Binding.
- Regular: faz tradução regular 1:1
- Bypassed: faz tradução mas
dispensa o cliente de logar no
hotspot.
- Blocked: a tradução não será feita e
todos os pacotes serão bloqueados.

3 - Hotspot 108
HotSpot –Walled Garden
 Configurando um “walled garden” é possível oferecer ao usuário o
acesso a determinados serviços sem necessidade de autenticação.
Por exemplo em um aeroporto poderia se disponibilizar
informações sobre o tempo ou até mesmo disponibilizar os sites
dos principais prestadores de serviço para que o cliente possa
escolher qual plano quer comprar.
 Quando um usuário não logado no hotspot requisita um serviço do
walled garden o gateway não intercepta e, no caso do http,
redireciona a requisição para o destino ou um proxy.
 Para implementar o walled garden para requisições http, existe um
web proxy embarcado no Mikrotik, de forma que todas requisições
de usuários não autorizados passem de fato por esse proxy.
 Observar que o proxy embarcado no Mikrotik não tem a função de
cache, pelo menos por hora. Notar também que esse proxy faz
parte do pacote system e não requer o pacote web-proxy.

3 - Hotspot 109
HotSpot –Walled Garden
É importante salientar que o
walled garden não se destina
somente a serviço WEB, mas
qualquer serviço que se queira
configurar. Para tanto existem 2
menus distintos conforme do
figuras ao lado. Sendo o menu
de cima para HTTP e HTTPS e o
de baixo para outros serviços e
protocolos.

3 - Hotspot 110
HotSpot –Walled Garden
 Action: Permite ou nega.
 Server: Hotspot para o qual o walled garden
vale.
 Src.Address: Endereço IP do usuário
requisitante.
 Dst. Address: Endereço IP do web server.
 Method: Método http ou https.
 Dst. Host: Nome do domínio do servidor de
destino.
 Dst. Port: Porta de destino do servidor.
 Path: Caminho da requisição.
Obs.: Nos nomes dos domínios é necessário o nome completo, podendo ser usado
coringas. Também é possível utilizar expressões regulares devendo essas ser
iniciadas com (:)
3 - Hotspot 111
HotSpot –Walled Garden
 Action: Aceita, descarta ou rejeita o pacote.
 Server: Hotspot para o qual o walled garden
vale.
 Src. Address: Endereço IP do usuário
requisitante.
 Dst. Address: Endereço IP do web server.
 Protocol: Protocolo a ser escolhido na lista.
 Dst. Port: Porta TCP ou UDP que será
requisitada.
 Dst. Host: Nome do domínio do servidor de
destino.

3 - Hotspot 112
HotSpot – Cookies
 Quando configurado o login por cookies, estes
ficam armazenados no hotspot com nome do
usuário, MAC e tempo de validade.
 Enquanto estiverem válidos o usuário não precisa
efetuar o procedimento de login e senha.
 Podem ser deletados (-) forçando assim o usuário
a fazer o login novamente.

3 - Hotspot 113
HotSpot – Ports
 A facilidade NAT do hotspot causa problemas
com alguns protocolos incompatíveis com NAT.
Para que esses protocolos funcionem de forma
consistente, devem ser usados os módulos
“helpers”.

 No caso do NAT 1:1 o único problema é com


relação ao módulo de FTP que deve ser
configurado para usar as portas 20 e 21.

3 - Hotspot 114
Personalizando o HotSpot
 As páginas do hotspot são completamente configuráveis e além
disso é possível criar conjuntos completamente diferentes das
páginas do hotspot para vários perfis de usuários especificando
diferentes diretórios raiz.
 As principais páginas que são mostradas aos usuários são:
– redirect.html – redireciona o usuário a uma página
especifica.
– login.html – página de login que pede usuário e senha ao
cliente.
Esta página tem os seguintes parâmetros:
• Username/password.
• Dst – URL original que o usuário requisitou antes do redirecionamento e que
será aberta após a autenticação do usuário.
• Popup – Será aberta uma janela popup quando o usuário se logar com
sucesso.

3 - Hotspot 115
HotSpot com HTTPS
Para utilizar o hotspot com HTTPS é
necessário que se crie um certificado, assiná-
lo corretamente e em seguida importá-lo
através do menu /system certificates.

3 - Hotspot 116
Perguntas ?

3 - Hotspot 117
Web Proxy

4 - Web proxy 118


Web Proxy
Com o serviço de web proxy podemos fazer
cache de “objetos” da internet e com isso
economizar banda.

Também é possível utilizar o web proxy como


filtro de conteúdo sem a necessidade de fazer
cache.

4 - Web proxy 119


Web Proxy – Como usar
Basicamente podemos usar o proxy de duas
maneiras
– Não transparente: É necessário configurar o
endereço e porta do proxy nos computadores

– Transparente: Não é necessário alterar nenhum


configuração nos computadores(não tratar
conexões HTTPS).

4 - Web proxy 120


Habilitando nosso Web Proxy

4 - Web proxy 121


Web Proxy – Não transparente
 Precisamos configurar manualmente o endereço e
porta do servidor de Proxy em nosso navegador.

4 - Web proxy 122


Web Proxy - Access
 A lista de acesso permite
controlar conteúdo que será
permitido ou negado.

 As regras adicionadas nesta


lista são processadas de
forma semelhante que as
regras do firewall. Neste caso
as regras irão processar as
conexões e caso alguma
conexão receba um “match”
ela não será mais processada
pelas demais regras.

4 - Web proxy 123


Web Proxy - Access
 Src. Address: Endereço ip de origem.
 Dst. Address: Endereço ip de destino.
 Dst. Port: Porta ou lista de portas destino.
 Local Port: Porta correspondente do proxy.
 Dst. Host: Endereço IP ou nome de
destino.
 Path: Nome da página dentro do servidor.
 Method: Método HTTP usado nas
requisições.
 Action: Permite ou nega a regra.
 Redirect To: URL ao qual o usuário será
redirecionado caso a regra seja de
negação.
 Hits: Quantidade de vezes que a regra
sofreu “macth”.

4 - Web proxy 124


Web Proxy – Criando regras
Crie algumas regras de acesso que permitam e
neguem acesso a alguns sites.

Dica: Para bloquear


sites que contêm
uma palavra especifica
utilize : antes da palavra.

4 - Web proxy 125


Web Proxy – Dst. Host e Path
Dst. Host = Nome DNS ou IP utilizado para
acessar um determinado site (de vermelho).
Path = Caminho de uma página ou documento
dentro de um determinado site (de verde).

Exemplos:
http://wiki.mikrotik.com/wiki/Manual:IP/Proxy
http://www.mikrotik.com/thedude

4 - Web proxy 126


Web Proxy – Transparente
Redirecionando o fluxo HTTP para proxy
paralelo.

/ip firewall nat


add chain=dstnat protocol=tcp dst-port=80 action=dst-nat
to-addresses=10.10.10.254 to-ports=8080

4 - Web proxy 127


Web Proxy – Transparente
Redirecionando o fluxo HTTP para proxy local.

/ip firewall nat


add chain=dstnat protocol=tcp dst-port=80 action=redirect to-
ports=8080

4 - Web proxy 128


Web Proxy – Redirecionamento

4 - Web proxy 129


Web Proxy - Parâmetros
 Src. Address: Endereço IP do servidor proxy
caso você possua vários ips no mesmo
roteador.
 Port: Porta onde o servidor irá escuta.
 Parent Proxy: Servidor proxy pai usado em
um sistema de hierarquia de proxy.
 Parent Proxy Port: Porta do proxy pai.
 Cache Administrator: Identificação do
administrador do proxy(geralmente o email).
 Max Cache Size: Tamanho máximo do cache
em KiBytes.
 Cache On Disk: Indica se o cache será em
Disco ou em RAM.

4 - Web proxy 130


Web Proxy - Parâmetros
 Max Client Connections: Número máximo
de conexões simultâneas ao proxy.
 Max Server Connections: Número
máximo de conexões que o proxy fará a
um outro servidor proxy.
 Max Fresh Time: Tempo máximo que os
objetos que não possuem tempo padrão
definidos, serão considerados atuais.
 Serialize Connections: Habilita múltiplas
conexões entre o servidor e os clientes.
 Always From Cache: Ignore requisições de
atualização dos clientes caso o
objeto(conteúdo) for considerado atual.

4 - Web proxy 131


Web Proxy - Parâmetros
 Cache Hit DSCP (TOS): Adiciona
marca DSCP com o valor
configurado a pacotes que deram
hit no proxy.
 Cache Drive: Exibe o disco que o
proxy está usando para
armazenamento dos objetos.
Esses discos podem ser acessados
no menu: /system stores.

4 - Web proxy 132


Web Proxy - Status
 Uptime: Tempo que o proxy está rodando.
 Requests: Total de requisições ao proxy.
 Hits: Número de pedidos que foram
atendidos pelo cache do proxy.
 Cache Used: Espaço usado em disco ou RAM
usado pelo cache do proxy.
 Total RAM Used: Total de RAM usada pelo
proxy.

 Received From Servers: Total de dados em Kibytes recebidos de servidores


externos.
 Sent To Clients: Total de dados em Kibytes enviados ao clientes.
 Hits Sent To Clients: Total de dados em Kibytes enviados do cache hits aos
clientes.
4 - Web proxy 133
Web Proxy - Conexões
Aqui podemos a lista de conexões ativas no proxys
 Src. Address: Endereço IP das
conexões remotas.
 Dst. Address: Endereço destino
que está sendo requisitado.
 Protocol: Protocolo utilizado
pelo navegador.
 State: Status da conexão.
 Tx Bytes: Total de bytes
enviados.
 Rx Bytes: Total de bytes
recebidos remotamente.

4 - Web proxy 134


Web Proxy - Cache
A lista de cache define como as requisições
serão armazenadas ou não no cache do proxy.

Esta lista é manipulada da mesma forma que a


lista de acesso.

Os parâmetros de configuração das regras são


idênticas as regras da lista de acesso.

4 - Web proxy 135


Web Proxy - Direct
 A lista de acesso direto é utilizada quando um
Parent Proxy está configurado. Desta forma é
possível passar a requisição ao mesmo ou tentar
encaminhar a requisição diretamente ao servidor
de destino.

 Esta lista é manipulada da mesma forma que a


lista de acesso.

 Os parâmetros de configuração das regras são


idênticas as regras da lista de acesso.

4 - Web proxy 136


Web Proxy – Segurança
Quando habilitamos um servidor de Proxy, ele
pode ser usado por qualquer usuário, estando
este na sua rede interna ou externa.
Precisamos garantir que somente os clientes da
rede local terão acesso ao Proxy.

/ip firewall filter


add action=drop chain=input in-interface=interface-wan

4 - Web proxy 137


Web Proxy – Regras de Firewall
 Desviando o fluxo web para o proxy
– /ip firewall nat add chain=dstnat protocol=tcp dst-
port=80 action=redirect to-ports=8080

Protegendo o proxy contra acessos externos


não autorizados
– /ip firewall filter add chain=input protocol=tcp dst-
port=8080 ininterface= wan action=drop

4 - Web proxy 138


Perguntas ?

4 - Web proxy 139


Wireless no Mikrotik

5 - Wireless 140
Conceitos 802.11a/b/g/n
Nas interfaces wireless podemos alterar
alguns campos que irão definir caracterizas
físicas da transmissão:
Banda Frequência Largura de Canal

5 - Wireless 141
Configurações Físicas
Padrão IEEE Frequência Tecnologia Velocidade máx

802.11b 2.4Ghz DSSS 11 Mbps

802.11g 2.4Ghz DSSS e OFDM 54 Mbps

802.11a 5Ghz OFDM 54 Mbps

802.11n 2.4Ghz e 5 Ghz OFDM 600 Mbps

5 - Wireless 142
802.11b - DSSS

5 - Wireless 143
Canais não interferentes em
2.4 Ghz - DSSS

5 - Wireless 144
Canais do espectro de 5Ghz

• Em termos regulatórios a frequência de 5Ghz é dividida


em 3 faixas:

 Faixa baixa: 5150 a 5350 Mhz

 Faixa média: 5470 a 5725 Mhz

 Faixa alta: 5725 a 5850 Mhz

5 - Wireless 145
Canalização – 5Mhz e 10Mhz

 Menor troughput
 Maior número de canais
 Menor vulnerabilidade a interferências
 Requer menor sensibilidade
 Aumenta o nível de potência de tx

5 - Wireless 146
Canalização – Modo Turbo

 Maior troughput
 Menor número de canais
 Maior vulnerabilidade a interferências
 Requer maior sensibilidade
 Diminui o nível de potência de tx

5 - Wireless 147
Padrão 802.11n
 MIMO
 Velocidades do 802.11n
 Bonding do canal
 Agregação dos frames
 Configuração dos cartões
 Potência de TX em cartões N

5 - Wireless 148
MIMO
MIMO: Multiple Input and Multiple Output

5 - Wireless 149
802.11n - Velocidades nominais

5 - Wireless 150
802.11n - Bonding dos canais 2 x
20Mhz

Adiciona mais 20Mhz ao canal existente.


O canal é colocado abaixo ou acima da
frequência principal.
É compatível com os clientes “legados” de
20Mhz.
Conexão feita no canal principal.
Permite utilizar taxas maiores.

5 - Wireless 151
802.11n – Agregação dos frames
 Combina múltiplos frames de dados em um simples frame.
O que diminui o overhead.

 Agregação de unidade de dados protocolo MAC (AMPDU).


 Aggregated MAC Protocol Data Units.
 Usa Acknowledgement em bloco.
 Pode aumentar a latência. Por padrão habilitado somente para
tráfego de melhor esforço.

 Agregação de unidade de dados de serviços MAC (AMSDU).


 Enviando e recebendo AMSDU’s causa aumento de
processamento, pois este é processado a nível de software.

5 - Wireless 152
Configurando no Mikrotik

 HT Tx Chains / HT Rx
Chains: No caso dos cartões
“n” a configuração da
antena é ignorada.
 HT AMSDU Limit: Máximo
AMSDU que o dispositivo
pode preparar.
 HT AMSDU Threshold:
Máximo tamanho de frame
que é permitido incluir em
AMSDU.

5 - Wireless 153
Configurando no Mikrotik

 Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é


dobrada.

5 - Wireless 154
Bridge transparente em enlaces “N”

 WDS não suporta agregação de frames e


portanto não provê a velocidade total da
tecnologia “n”.

 EoIP incrementa overhead.

 Para fazer bridge transparente com velocidades


maiores com menos overhead em enlaces “n”
devemos utilizar MPLS/VPLS.

5 - Wireless 155
Potências

 default: Não altera a potência original do cartão.


 cards rates: Fixa mas respeita as variações das taxas para cada velocidade.
 all rates fixed: Fixa um valor para todas velocidades.
 manual: permite ajustar potências diferentes para cada velocidade.

5 - Wireless 156
Potências

 Quando a opção “regulatory domain” está habilitada, somente as frequências


permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o
Mikrotik ajustará a potência do rádio para atender a regulamentação do país,
levando em conta o valor em dBi informado em “Antenna Gain”.
 Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.13.

5 - Wireless 157
DFS

 no radar detect: escaneia o meio e


escolhe o canal em que for encontrado
o menor número de redes.
 radar detect: escaneia o meio e espera
1 minuto para entrar em operação no
canal escolhido se não for detectada a
ocupação do canal.
 Obs.: O modo DFS é obrigatório no
Brasil para as faixas de 5250-5250 e
5350-5725.

5 - Wireless 158
AP e Client tx rate

 Defaul AP TX Rate: Taxa máxima


que o AP pode transmitir para cada
um de seus clientes. Funciona para
qualquer cliente.

 Default Client TX Rate: Taxa


máxima que o
cliente pode transmitir para o AP.
Só funciona
para clientes Mikrotik.

5 - Wireless 159
Data Rates
 A velocidade em uma rede wireless é definida pela modulação que os dispositivos
conseguem trabalhar.

 Supported Rates: São as velocidades de dados entre o AP e os clientes.

 Basic Rates: São as velocidades que os dispositivos se comunicam independentemente


do tráfego de dados (beacons, sincronismos, etc...)

5 - Wireless 160
Ferramentas de Site Survey - Scan

A -> Ativa

B -> BSS

P -> Protegida

R -> Mikrotik

 Escaneia o meio. Obs.: Qualquer operação de site survey causa queda das
conexões estabelecidas.

5 - Wireless 161
Ferramentas de Site Survey – Uso de
frequências

 Mostra o uso das frequências


em todo o espectro para site
survey conforme a banda
selecionada no menu
wireless.

5 - Wireless 162
Interface wireless - Sniffer
 Ferramenta para sniffar
o ambiente wireless
captando e decifrando
pacotes.

 Muito útil para detectar


ataques.

 Pode ser arquivado no


próprio Mikrotik ou
passado por streaming
para outro servidor
com protocolo TZSP.

5 - Wireless 163
Interface wireless - Snooper

 Com a ferramenta snooper é possível monitorar a


carga de tráfego em cada canal por estação e por rede.
 Scaneia as frequências definidas em scan-list da
interface.
5 - Wireless 164
Interface wireless - Geral
 Comportamento do protocolo ARP.

 enable: Aceita e responde requisições


ARP.

 disable: Não responde a requisições


ARP. Clientes devem acessar através de
tabelas estáticas.

 proxy-arp: Passa seu próprio MAC


quando há uma requisição para algum
host interno ao roteador.

 reply-only: Somente responde as


requisições. Endereços vizinhos são
resolvidos estaticamente.

5 - Wireless 165
Interface wireless – Modo de operação

 ap bridge: Modo de ponto de acesso. Repassa os MACs do meio


wireless de forma transparente para a rede cabeada.

 bridge: O mesmo que o o modo “ap bridge” porém aceitando


somente um cliente.

 station: Modo cliente de um ap. Não pode ser colocado em bridge


com outras interfaces.

5 - Wireless 166
Interface wireless – Modo de operação

 station pseudobridge: Estação que pode ser colocada em modo


bridge, porém sempre passa ao AP seu próprio MAC.

 station pseudobridge clone: Modo idêntico ao anterior, porém


passa ao AP um MAC pré determinado anteriormente.

 station wds: Modo estação que pode ser colocado em bridge com a
interface ethernet e que passa os MACs de forma transparente. É
necessário que o AP esteja em modo wds.

5 - Wireless 167
Interface wireless – Modo de operação

 alignment only: Modo utilizado para efetuar alinhamento de antenas e


monitorar sinal. Neste modo a interface wireless “escuta” os pacotes que
são mandados a ela por outros dispositivos trabalhando no mesmo canal.
 wds slave: Adéqua suas configurações conforme outro AP com mesmo
SSID.
 nstreme dual slave: Será visto no tópico especifico de nstreme.
 station bridge: Faz um bridge transparente porém só pode ser usado para
se conectar a um AP Mikrotik.

5 - Wireless 168
Interface wireless – AP Virtual

 Com as interfaces virtuais podemos montar


várias redes dando perfis de serviço diferentes.
 Name: Nome da rede virtual.
 MTU: Unidade máxima de transferência(bytes).
 MAC: Endereço MAC do novo AP.
 ARP: Modo de operação do protocolo ARP.

Obs.: As demais configurações são idênticas as de


um AP.

5 - Wireless 169
Protocolo Nstreme Dual - Configuração

 Colocar a interface em modo


“nstreme dual slave”.

 Adicionar uma interface


Nstreme Dual e definir quem
será TX e quem será RX.

Obs.: Utilize sempre canais distantes.

5 - Wireless 170
Protocolo Nstreme Dual - Configuração

 Verifique o MAC escolhido pela


interface Nstreme e informe no
lado oposto.

 Criar uma bridge e adicionar as


interfaces ethernet e a
interface Nstreme Dual.

 Práticas de RF recomendadas:
 Use antenas de qualidade,
Polarizações diferentes, canais
distantes e mantenha uma boa
distância entre as antenas.

5 - Wireless 171
WDS & WDS MESH

5 - Wireless 172
WDS – WIRELESS DISTRIBUTION
SYSTEM

 WDS é a melhor forma garantir uma grande área de cobertura wireless


utilizando vários APs e prover mobilidade sem a necessidade de re- conexão
dos usuários. Para tanto, todos os AP’s devem ter o mesmo SSID e mesmo
canal.

5 - Wireless 173
WDS e o protocolo STP

 A “mágica” do wds só é possível por conta do protocolo STP. Para evitar o looping na
rede é necessário habilitar o protocolo STP ou RSTP. Ambos protocolos trabalham de
forma semelhante porém o RSTP é mais rápido.

 O RSTP inicialmente elege uma root bridge e utiliza o algoritmo “breadth-first search”
que quando encontra um MAC pela primeira vez, torna o link ativo. Se encontra outra
vez, torna o link desabilitado.

 Normalmente habilitar o RSTP já é suficiente para atingir os resultados. No entanto é


possível interferir no comportamento padrão, modificando custos, prioridades e etc...

5 - Wireless 174
WDS e o protocolo STP
Quanto menor a prioridade, maior a
chance de ser eleita como bridge root.

Quando os custos são iguais é eleita a


porta com prioridade mais baixa.

O custo da porta permite um caminho


ser eleito em lugar do outro.

5 - Wireless 175
WDS e o protocolo STP

 A Bridge usa o endereço MAC da porta ativa com


menor número de porta.
 A porta wireless está ativa somente quando existem
hosts conectados a ela.
 Para evitar que os MACs fiquem variando, é possível
atribuir um MAC manualmente.
5 - Wireless 176
WDS / WDS MESH
 WDS Default Bridge: A bridge padrão para as
interfaces wds.

 WDS Mode
 dynamic: As interfaces wds são adicionada dinamicamente quando um dispositivo
wds encontra outro compatível.
 static: As interfaces wds devem ser adicionadas manualmente apontando o MAC
da outra ponta.
 (mesh): WDS com um algoritmo proprietário para melhoria do link. Só possui
compatibilidade com outros dispositivos Mikrotik.

5 - Wireless 177
WDS / MESH

Altere o modo de operação da wireless para:


ap-bridge
WDS: Selecione o modo wds dynamic-mesh.
WDS Default Bridge: Selecione a bridge criada.

5 - Wireless 178
Criando a bridge
Crie um bridge e
altere o nome dela
para bridge-wds

Ative o protocolo
RSTP

5 - Wireless 179
Adicionando a WLAN na bridge

Adicione a interface wlan1 na bridge-wds

5 - Wireless 180
Configurando a WLAN

Altere as configurações
de sua wlan1 conforme a
imagem

Ative o WDS
conforme a imagem

5 - Wireless 181
Interface Wireless – Controle de
Acesso

 A Access List é utilizada pelo AP para restringir associações de


clientes. Esta lista contem os endereços MAC de clientes e
determina qual ação deve ser tomada quando um cliente tenta
conectar.

 A comunicação entre clientes da mesma interface, virtual ou real,


também pode ser controlada na Access List.

5 - Wireless 182
Interface Wireless – Controle de
Acesso

O processo de associação
ocorre da seguinte forma:

 Um cliente tenta se associar a uma interface wlan;

 Seu MAC é procurado na access list da interface wlan;

 Caso encontrado, a ação especifica será tomada:


 Authentication: Define se o cliente poderá se associar ou
não;
 Fowarding: Define se os clientes poderão se comunicar.

5 - Wireless 183
Interface Wireless – Access List
 MAC Address: Endereço MAC a ser
liberado ou bloqueado.
 Interface: Interface real ou virtual onde
será feito o controle de acesso.
 AP Tx Limit: Limite de tráfego enviado
para o cliente.
 Client Tx Limit: Limite de tráfego enviado
do cliente para o AP.
 Private Key: Chave wep criptografada.
 Private Pre Shared Key: Chave WPA.

 Management Protection Key: Chave usada para evitar ataques de


desautenticação. Somente compatível com outros Mikrotiks.

5 - Wireless 184
Interface Wireless – Connect List

 A Connect List tem a finalidade de listar os


APs que o Mikrotik configurado como
cliente pode se conectar.

 MAC Address: MAC do AP a se conectar.


 SSID: Nome da rede.
 Area Prefix: String para conexão com AP
de mesma área.
 Security Profile: Definido nos perfis de
segurança.

Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP
falso.

5 - Wireless 185
Segurança de Acesso em redes sem fio

5 - Wireless 186
Falsa segurança
 Nome da rede escondido:
 Pontos de acesso sem fio por padrão fazem
o broadcast de seu SSID nos pacotes
chamados “beacons”. Este comportamento
pode ser modificado no Mikrotik
habilitando a opção “Hide SSID”.

 Pontos negativos:
 SSID deve ser conhecido pelos clientes.
 Scanners passivos o descobrem facilmente
pelos pacotes de “probe request” dos
clientes.

5 - Wireless 187
Falsa segurança

Controle de MACs:

Descobrir MACs que trafegam no ar é muito


simples com ferramentas apropriadas e inclusive o
Mikrotik como sniffer.

Spoofar um MAC é bem simples. Tanto usando


windows, linux ou Mikrotik.

5 - Wireless 188
Falsa segurança
 Criptografia WEP:
 “Wired Equivalent Privacy” – Foi o sistema de criptografia
inicialmente especificado no padrão 802.11 e está baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
 Várias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo várias ferramentas para
quebrar a chave, como:
 Airodump.
 Airreplay.
 Aircrack.
 Hoje com essas ferramentas é bem simples quebrar a WEP.

5 - Wireless 189
Evolução dos padrões de segurança

5 - Wireless 190
Chave WPA e WPA2 - PSK
 A configuração da chave WPA/WAP2-
PSK é muito simples no Mikrotik.

 No menu wireless clique na Security


Profile e adicione um novo perfil

 Configure o modo de chave dinâmico e


a chave pré combinada para cada tipo
de autenticação.

 Em cada Wlan selecione o perfil de


segurança desejado.

Obs.: As chaves são alfanuméricas de 8 até


64 caracteres.

5 - Wireless 191
Segurança de WPA / WPA2

Atualmente a única maneira conhecida para


se quebrar a WPA-PSK é somente por ataque
de dicionário.

A maior fragilidade paras os WISP’s é que a


chave se encontra em texto plano nos
computadores dos clientes ou no próprio
Mikrotik.

5 - Wireless 192
Trabalhando com certificados
 Certificado digital é um arquivo que identifica de
forma inequívoca o seu proprietário.

 Certificados são criados por instituições emissoras


chamadas de CA (Certificate Authorities).

 Os certificados podem ser:


Assinados por uma instituição “acreditada”(Verisign,
Thawte, etc...).
Certificados auto assinados.

5 - Wireless 193
Passos para implementação de EAP-TLS
com certificados auto Assinados

 Criar a entidade certificadora(CA).

 Criar as requisições de Certificados.

 Assinar as requisições na CA.

 Importar os certificados assinados para os Mikrotiks.

 Se necessário, criar os certificados para máquinas


windows.
5 - Wireless 194
EAP-TLS sem Radius em ambos lados

O método EAP-TLS
também pode ser usado
com certificados.

5 - Wireless 195
WPAx com radius

5 - Wireless 196
Resumo dos métodos de
implantação e seus problemas
 WPA-PSK
 Chaves presentes nos clientes e acessíveis aos operadores.

 Método sem certificados


 Passível de invasão por equipamento que também opere
nesse modo.
 Problemas com processador.

 Mikrotik com Mikrotik com EAP-TLS


 Método seguro porém inviável economicamente e de
implantação praticamente impossível em redes existentes.

5 - Wireless 197
Método alternativo com Mikrotik
 A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP
e é vinculada ao MAC Address do cliente, possibilitando que cada um
tenha sua chave.

Obs.: Cadastrando as PSK na access list,


voltamos ao problema da chave ser
visível a usuários do Mikrotik.

5 - Wireless 198
Método alternativo com Mikrotik

 Por outro lado, o Mikrotik permite que essas


chaves sejam distribuídas por Radius, o que torna
esse método muito interessante.

 Para isso é necessário:


Criar um perfil WPA2 qualquer;
Habilitar a autenticação via MAC no AP;
Ter a mesma chave configurada tanto no cliente como
no Radius.

5 - Wireless 199
Método alternativo com Mikrotik

Configurando o perfil:

5 - Wireless 200
Perguntas ?

5 - Wireless 201
Roteamento

6 - Roteamento 202
O que é roteamento
 Em termos gerais, o
roteamento é o
processo de encaminhar
pacotes entre redes
conectadas.

Para redes baseadas em TCP/IP, o roteamento faz


parte do protocolo IP.
Para que o roteamento funcione ele trabalha em
combinação com outros serviços de protocolo.
6 - Roteamento 203
Quando o roteamento é utilizado?
 Sempre que um determinado host precisar se
comunicar como outro host/server que não
esteja na mesma sub-rede ele irá precisar de um
roteador (gateway) para alcançar seu destino.

192.168.1.201/24
192.168.1.1
192.168.20.1 192.168.20.2

192.168.1.200/24 Exemplo 1 Exemplo 2


Não necessita de roteamento Necessita de roteamento
Origem Destino Origem Destino
192.168.1.201 192.168.1.200 192.168.1.201 192.168.20.2

6 - Roteamento 204
Funcionamento padrão
192.168.1.200 192.168.1.1 187.15.15.134 8.8.8.8

Pacote IP
Origem Destino
192.168.1.99 8.8.8.8 Tabela de rotas
Tudo que for Encaminhe para
destinado a: o roteador:
• Quando um pacote chega a (Dst. Address) (Gateway)
um roteador e consulta sua 0.0.0.0/0 192.168.1.1

tabela de rotas para 10.10.10.0/24 192.168.4.1

encontrar a melhor rota 10.172.0.0/23 10.172.4.1

para o destino solicitado 8.8.0.0/16 10.172.5.1

6 - Roteamento 205
Na tabela de rotas
Para cada encaminhamento o roteador faz um
leitura completa da tabela de rotas.
Se o roteador encontrar mais de uma rota
para o destino solicitado ele sempre irá utilizar
a rota mais especifica.
Tabela de rotas
A rota defult será Dst. Address Gateway
utilizada sempre que 0.0.0.0/0 192.168.1.1

não houver uma rota 8.0.0.0/8 10.172.6.1


para o determinado 8.8.0.0/16 10.172.5.1
destino.
6 - Roteamento 206
Roteamento - LAB

10.10.1.0/30
10.10.2.0/30

10.10.3.0/30

172.25.1.0/24
172.25.2.0/24

10.10.4.0/30

6 - Roteamento 207
Roteamento

 O Mikrotik suporta dois tipos de roteamento:


 Roteamento estático: As rotas são criadas pelo usuário através
de inserções pré-definidas em função da topologia da rede.
 Roteamento dinâmico: As rotas são geradas automaticamente
através de um protocolo de roteamento dinâmico ou de algum
agregado de endereço IP.
 O Mikrotik também suporta ECMP(Equal Cost Multi Path)
que é um mecanismo que permite rotear pacotes através
de vários links e permite balancear cargas.
 É possível ainda no Mikrotik se estabelecer políticas de
roteamento dando tratamento diferenciado a vários tipos
de fluxos a critério do administrador.

6 - Roteamento 208
Políticas de Roteamento
 Existem algumas regras que devem ser seguidas
para se estabelecer uma política de roteamento:
As políticas podem ser por marca de pacotes, por
classes de endereços IP e portas.
As marcas dos pacotes devem ser adicionadas no
Firewall, no módulo Mangle com mark-routing.
Aos pacotes marcados será aplicada uma política de
roteamento, dirigindo-os para um determinado
gateway.
É possível utilizar política de roteamento quando se
utiliza NAT.

6 - Roteamento 209
Políticas de Roteamento

 Uma aplicação típica de políticas de roteamento é trabalhar com


dois um mais links direcionando o tráfego para ambos. Por exemplo
direcionando tráfego p2p por um link e tráfego web por outro.

 É impossível porém reconhecer o tráfego p2p a partir do primeiro


pacote, mas tão somente após a conexão estabelecida, o que
impede o funcionamento de programas p2p em casos de NAT de
origem.

 A estrátegia nesse caso é colocar como gateway default um link


“menos nobre”, marcar o tráfego “nobre” (http, dns, pop, etc.) e
desvia-lo pelo link nobre. Todas outras aplicações, incluindo o p2p
irão pelo link menos nobre.

6 - Roteamento 210
Políticas de Roteamento
 Exemplo de política de
roteamento.

O roteador nesse caso terá 2


gateways com ECMP e check-
gateway. Dessa forma o tráfego
será balanceado e irá garantir o
failover da seguinte forma:

/ip route add dst-address=0.0.0.0/0


gateway=10.111.0.1,10.112.0.1 check-
gateway=ping

6 - Roteamento 211
Ex. de Política de Roteamento
1. Marcar pacotes da rede 192.168.10.0/24 como lan1 e
pacotes da rede 192.168.20.0/24 como lan2 da seguinte forma:
/ip firewall mangle add src-address=192.168.10.0/24
action=markrouting new-marking-routing=lan1 chain=prerouting
/ip firewall mangle add src-address=192.168.20.0/24
action=markrouting new-marking-routing=lan2 chain=prerouting

2. Rotear os pacotes da rede lan1 para o gateway 10.1110.0.1 e


os pacotes da rede lan2 para o gateway 10.112.0.1 usando as
correspondentes marcas de pacotes da seguinte forma:
/ip routes add gateway=10.111.0.1 routing-mark=lan1
checkgateway=ping
/ip routes add gateway=10.112.0.1 routing-mark=lan2
checkgateway=ping
/ip routes add gateway=10.111.0.1,10.112.0.1 check-gateway=ping

6 - Roteamento 212
Roteamento Dinâmico

6 - Roteamento 213
Roteamento Dinâmico

 O Mikrotik suporta os seguintes


protocolos:
 RIP versão 1 e 2;
 OSPF versão 2 e 3;
 BGP versão 4.

 O uso de protocolos de roteamento


dinâmico permite implementar
redundância e balanceamento de links
de forma automática e é uma forma de
se fazer uma rede semelhante as redes
conhecidas como Mesh, porém de forma
estática.

6 - Roteamento 214
Roteamento dinâmico - BGP
 O protocolo BGP é destinado a fazer
comunicação entre AS(Autonomos
System) diferentes, podendo ser
considerado como o coração da
internet.
 O BGP mantém uma tabela de
“prefixos” de rotas contendo
informações para se encontrar
determinadas redes entre os AS’s.
 A versão corrente do BGP no Mikrotik é
a 4, especificada na RFC 1771.

6 - Roteamento 215
Roteamento Dinâmico - OSPF

 O protocolo Open Shortest Path First, é um protocolo do


tipo “link state”. Ele usa o algoritmo de Dijkstra para
calcular o caminho mais curto para todos os destinos.
 O OSPF distribui informações de roteamento entre os
roteadores que participem de um mesmo
AS(Autonomous System) e que tenha o protocolo OSPF
habilitado.
 Para que isso aconteça, todos os roteadores tem de ser
configurados de uma maneira coordenada e devem ter o
mesmo MTU para todas as redes anunciadas pelo
protocolo OSPF.
 O protocolo OSPF é iniciado depois que é adicionado um
registro na lista de redes. As rotas são aprendidas e
instaladas nas tabelas de roteamento dos roteadores.

6 - Roteamento 216
Roteamento Dinâmico - OSPF
Tipos de roteadores em OSPF:
Roteadores internos a uma área.
Roteadores de backbone (área 0).
Roteadores de borda de área (ABR).
OS ABRs devem ficar entre dois roteadores e devem
tocar a área 0.
Roteadores de borda Autonomous System (ASBR).
São roteadores que participam do OSPF mas
fazem comunicação com um AS.

6 - Roteamento 217
OSPF - Áreas

 O protocolo OSPF permite que vários roteadores sejam agrupados


entre si. Cada grupo formado é chamado de área e cada área roda
uma cópia do algoritmo básico, e cada área tem sua própria base de
dados do estado de seus roteadores.
 A divisão em áreas é importante pois como a estrutura de uma área
só é visível para os participantes desta, o tráfego é sensivelmente
reduzido. Isso também previne o “recalculo” das distâncias por
áreas que não participam da área que promoveu alguma mudança
de estado.
 É aconselhável utilizar no entre 50 e 60 roteadores em cada área.

6 - Roteamento 218
OSPF - Redes

 Aqui definimos as redes OSPF


com os seguintes parâmetros:
Network: Endereço IP/Mascara,
associado. Permite definir uma ou
mais interfaces associadas a uma
área. Somente redes conectadas
diretamente podem ser adicionadas
aqui.
Area: Área do OSPF associada.

6 - Roteamento 219
OSPF - Opções

 Router ID: Geralmente o IP do roteador.


Caso não seja especificado o roteador usará
o maior IP que exista na interface.
 Redistribute Default Route:
 Never: nunca distribui rota padrão.
 If installed (as type 1): Envia com métrica 1
se tiver sido instalada como rota estática,
dhcp ou PPP.
 If installed (as type 2): Envia com métrica 2
se tiver sido instalada como rota estática,
dhcp ou PPP.
 Always (as type 1): Sempre, com métrica 1.
 Always (as type 2): Sempre, com métrica 2.

6 - Roteamento 220
OSPF - Opções
 Redistribute Connected Routes: Caso
habilitado, o roteador irá distribuir todas
as rotas relativas as redes que estejam
diretamente conectadas a ele.
 Redistribute Static Routes: Caso
habilitado, distribui as rotas cadastradas de
forma estática em /ip routes.
 Redistribute RIP Routes: Caso habilitado,
redistribui as rotas aprendidas por RIP.
 Redistribute BGP Routes: Caso habilitado,
redistribui as rotas aprendidas por BGP.
 Na aba “Metrics” é possível modificar as
métricas que serão exportadas as diversas
rotas.

6 - Roteamento 221
OSPF - LAB

10.10.1.0/30
10.10.2.0/30

10.10.3.0/30

172.25.1.0/24
10.10.4.0/30 172.25.2.0/24

6 - Roteamento 222
OSPF - LAB

10.10.1.0/30
10.10.2.0/30

10.10.3.0/30

172.25.1.0/24
10.10.4.0/30 172.25.2.0/24

6 - Roteamento 223
OSPF - LAB

10.10.1.0/30
10.10.2.0/30

10.10.3.0/30

172.25.1.0/24
10.10.4.0/30 172.25.2.0/24

6 - Roteamento 224
Perguntas ?

6 - Roteamento 225
Firewall no Mikrotik

7 - Firewall 226
Firewall
 O firewall é normalmente usado como ferramenta de segurança
para prevenir o acesso não autorizado a rede interna e/ou
acesso ao roteador em si, bloquear diversos tipos de ataques e
controlar o fluxo de dados de entrada, de saída e passante.

 Além da segurança é no firewall que serão desempenhadas


diversas funções importantes como a classificação e marcação
de pacotes para desenvolvimento de regras de QoS.

 A classificação do tráfego feita no firewall pode ser baseada em


vários classificadores como endereços MAC, endereços IP, tipos
de endereços IP, portas, TOS, tamanho do pacotes, etc...

7 - Firewall 227
Firewall - Opções

 Filter Rules: Regras para filtro de pacotes.

 NAT: Onde é feito a tradução de endereços e portas.

 Mangle: Marcação de pacotes, conexão e roteamento.

 Service Ports: Onde são localizados os NAT Helpers.

 Connections: Onde são localizadas as conexões existentes.

 Address List: Lista de endereços ips inseridos de forma dinâmica ou estática e


que podem ser utilizadas em várias partes do firewall.

 Layer 7 Protocols: Filtros de camada 7.


7 - Firewall 228
Estrutura do Firewall
Firewall

Tabela Filter Tabela NAT Tabela Mangle

Canal input Canal input


Canal SRCNAT
regras regras
regras
regras regras Canal Output
regras
Canal Output Canal DSTNAT
regras Canal Forward
regras
regras regras
regras
Canal Prerouting
Canal Forward
regras
regras
Canal Posrouting
regras
regras

7 - Firewall 229
Fluxo do Firewall
Chegada

Canal Prerouting

Decisão
Canal DSTNAT de Canal Forward
roteamento

Canal Output Canal Posrouting

Canal Input Canal SRCNAT


Decisão
de
roteamento Saída

Processo local

7 - Firewall 230
Firewall – Connection Track
 Refere-se a habilidade do roteador em manter o estado da
informação relativa as conexões, tais como endereços IP de origem
e destino, as respectivas portas, estado da conexão, tipo de
protocolos e timeouts. Firewalls que fazem connection track são
chamados de “statefull” e são mais seguros que os que fazem
processamentos “stateless”.

7 - Firewall 231
Firewall – Connection Track
 O sistema de connection tracking é o coração do
firewall. Ele obtém e mantém informações sobre todas
conexões ativas.

 Quando se desabilita a função “connection tracking” são


perdidas as funcionalidades NAT e as marcações de
pacotes que dependam de conexão. No entanto,
pacotes podem ser marcados de forma direta.

 Connection track é exigente de recursos de hardware.


Quando o equipamento trabalha somente como bridge
é aconselhável desabilitá-la.

7 - Firewall 232
Localização da Connection Tracking
Chegada

conntrack

Canal Prerouting
Decisão
Canal DSTNAT de Canal Forward
roteamento

Canal Output Canal Posrouting

conntrack Canal SRCNAT


Canal Input
Decisão Saída
de
roteamento

Processo local
7 - Firewall 233
Firewall – Connection Track

 Estado das conexões:

 established: Significa que o pacote faz parte de uma conexão já


estabelecida anteriormente.
 new: Significa que o pacote está iniciando uma nova conexão ou faz
parte de uma conexão que ainda não trafegou pacotes em ambas
direções.
 related: Significa que o pacote inicia uma nova conexão, porém está
associada a uma conexão existente.
 invalid: Significa que o pacote não pertence a nenhuma conexão
existente e nem está iniciando outra.
7 - Firewall 234
Firewall – Princípios gerais

 As regras de firewall são sempre processadas por canal, na


ordem que são listadas de cima pra baixo.

 As regras de firewall funcionam como expressões lógicas


condicionais, ou seja: “se <condição> então <ação>”.

 Se um pacote não atende TODAS condições de uma regra,


ele passa para a regra seguinte.

7 - Firewall 235
Processamento das regras
SE combina com os campos ENTÃO executa a ação.

SE IP de destino=8.8.8.8 ENTÃO execute Drop

SE proto=TCP e dst-port=80 ENTÃO executa Accept

7 - Firewall 236
Firewall – Princípios gerais
 Quando um pacote atende TODAS as condições
da regra, uma ação é tomada com ele, não
importando as regras que estejam abaixo nesse
canal, pois elas não serão processadas.

 Algumas exceções ao critério acima devem ser


consideradas como as ações de: “passthrough”,
log e “add to address list”.

 Um pacote que não se enquadre em qualquer


regra do canal, por padrão será aceito.

7 - Firewall 237
Firewall – Filter Rules

Forward

Input Output
 As regras são organizadas em canais(chain) e existem 3
canais “default” de tabela filters.
INPUT: Responsável pelo tráfego que CHEGA no router;
OUTPUT: Responsável pelo tráfego que SAI do router;
FORWARD: Responsável pelo tráfego que PASSA pelo router.

7 - Firewall 238
Firewall – Filters Rules
 Algumas ações que podem ser tomadas nos filtros de
firewall:
 passthrough: Contabiliza e passa adiante.
 drop: Descarta o pacote silenciosamente.
 reject: Descarta o pacote e responde com uma mensagem de
icmp ou tcp reset.
 tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas
não aloca recursos.

7 - Firewall 239
Firewall – Organização das regras

 As regras de filtro pode ser organizadas e


mostradas da seguinte forma:
all: Mostra todas as regras.
dynamic: Regras criadas dinamicamente por serviços.
forward, input output: Regras referente a cada canal.
static: Regras criadas estaticamente pelos usuários.
7 - Firewall 240
Filter Rules – Canais criados pelo usuário

 Além dos canais criados por padrão o administrador pode criar canais
próprios. Esta prática ajuda na organização do firewall.

 Para utilizar o canal criado devemos “desviar” o fluxo através de uma


ação JUMP.

 No exemplo acima podemos ver 3 novos canais criados.

 Para criar um novo canal basta adicionar uma nova regra e dar o nome
desejado ao canal.
7 - Firewall 241
Firewall – Filters Rules
Ações relativas a canais
criados pelo usuário:
jump: Salta para um canal
definido em jump-target.
jump target: Nome do
canal para onde se deve
saltar.
return: Retorna para o
canal que chamou o jump.

7 - Firewall 242
Como funciona o canal criado pelo
usuário

7 - Firewall 243
Como funciona o canal criado pelo
usuário

7 - Firewall 244
Firewall – Address List

 A address list contém uma lista de endereços IP


que pode ser utilizada em várias partes do firewall.
 Pode-se adicionar entradas de forma dinâmica
usando o filtro ou mangle conforme abaixo:
Action:
add dst to address list: Adiciona o IP de destino à lista.
add src to address list: Adiciona o IP de origem à lista.
Address List: Nome da lista de endereços.
Timeout: Por quanto tempo a entrada permanecerá na lista.
7 - Firewall 245
Firewall
Protegendo o roteador

7 - Firewall 246
Princípios básicos de proteção
 Proteção do próprio roteador :
 Tratamento das conexões e eliminação de tráfego
prejudicial/inútil.
 Permitir somente serviços necessários no próprio roteador.
 Prevenir e controlar ataques e acessos não autorizado ao
roteador.

 Proteção da rede interna :


 Tratamento das conexões e eliminação de tráfego
prejudicial/inútil.
 Prevenir e controlar ataques e acesso não autorizado em
clientes.

7 - Firewall 247
Firewall – Proteção básica

 Regras do canal input


 Descarta conexões inválidas.
 Aceitar conexões estabelecidas.
 Aceitar conexões relacionadas.
 Aceitar todas conexões da rede interna.
 Descartar o restante.

7 - Firewall 248
Firewall – Proteção básica

 Regras do canal input


 Permitir acesso externo ao winbox.
 Permitir acesso externo por SSH.
 Permitir acesso externo ao FTP.
 Realocar as regras.

7 - Firewall 249
Firewal – Port Scan
 Port Scan:
 Consiste no escaneamento de portas TCP e/ou UDP.
 A detecção de ataques somente é possível para o protocolo TCP.
 Portas baixas (0 – 1023)
 Portas altas (1024 – 65535)

7 - Firewall 250
Firewall – Técnica do “knock knock”

7 - Firewall 251
Firewall – Técnica do “knock knock”
 A técnica do “knock knock” consiste em permitir acesso ao roteador somente após ter seu
endereço IP em uma determinada address list.
 Neste exemplo iremos restringir o acesso ao winbox somente a endereços IP´s que estejam
na lista “libera_winbox”:

/ip firewall filter

add chain=input protocol=tcp dst-port=2771 action=add-src-to-address


list address-list=knock address-list-timeout=15s comment="" disabled=no

add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add


src-to-address-list address-list=libera_winbox address-list-timeout=15m
comment="" disabled=no

add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox


action=accept disabled=no

add chain=input protocol=tcp dst-port=8291 action=drop disbled=no

7 - Firewall 252
Firewall – Ping flood
 Ping Flood consiste no envio de grandes volumes de mensagens
ICMP aleatórias.

 Para evitar o Ping flood, podemos bloquear todo tráfego de


ICMP.

 Ao bloquear todo trafego de ICMP podemos ter problemas com


algumas aplicações (monitoramento e outros protocolos).

 Por isso é aconselhável colocarmos uma exceção permitindo um


pelo menos 30 mensagens de ICMP por segundo.

7 - Firewall 253
Firewal – Evitando ping flood

/ip firewall filter


add chain=input comment="Aceita 30 mensagens ICMP por segundo" limit=30,5 protocol=icmp
add action=drop chain=input comment="Dropa todo ICMP" protocol=icmp

7 - Firewall 254
Firewal – Ataques do tipo DoS
 Ataques DoS:

 O principal objetivo do ataque de DoS é o consumo de recursos


de CPU ou banda.

 Usualmente o roteador é inundado com requisições de


conexões TCP/SYN causando resposta de TCP/SYN-ACK e a
espera do pacote TCP/ACK.

 O ataque pode ser intencional ou causado por vírus


em clientes.

 Todos os IP’s com mais de 15 conexões com o roteador


podem ser considerados atacantes.

7 - Firewall 255
Firewal – Ataques do tipo DoS
Se simplesmente descartamos as conexões,
permitiremos que o atacante crie uma nova conexão.

Para que isso não ocorra, podemos implementar a


proteção em dois estágios:

Detecção – Criar uma lista de atacantes DoS com base em


“connection limit”.

Supressão – Aplicando restrições aos que forem detectados.

7 - Firewall 256
Firewal – Detectando um ataque DoS
 Criar a lista de atacantes
para posteriormente
aplicarmos a supressão
adequada.

7 - Firewall 257
Firewal – Suprimindo um ataque DoS
Com a ação “tarpit”
aceitamos a conexão
e a fechamos, não
deixando no entanto
o atacante trafegar.
Essa regra deve ser
colocada antes da
regra de detecção ou
então a address list irá
reescrevê-la todo
tempo.
7 - Firewall 258
Firewal – DDoS
 Ataque DDoS:

 Ataque de DDoS são bastante


parecidos com os de
DoS,porém partem de um
grande número de hosts
infectados.

 A única medida que podemos


tomar é habilitar a opção TCP
SynCookie no Connection
Tracking do firewall.

7 - Firewall 259
Firewall - NAT

Tradução de endereços e portas

7 - Firewall 260
Firewall - NAT
 NAT – Network Address Translation é uma técnica que permite que
vários hosts em uma LAN usem um conjunto de endereços IP’s para
comunicação interna e outro para comunicação externa.
 Existem dois tipos de NAT :

 SRC NAT: O roteador faz alterações de IP ou porta de origem.

 DST NAT: O roteador faz alterações de IP ou porta de destino.

7 - Firewall 261
Firewall - NAT
As regras de NAT são organizadas em canais:
dstnat: Processa o tráfego enviado PARA o
roteador e ATRAVÉS do roteador, antes que ele
seja dividido em INPUT e/ou FORWARD.

srcnat: Processa o tráfego enviado A PARTIR do


roteador e ATRAVÉS do roteador, depois que ele
sai de OUTPUT e/ou FORWARD.

7 - Firewall 262
Firewall NAT – Fluxo de pacotes

7 - Firewall 263
Firewall - SRCNAT
 Source NAT: A ação “mascarade” troca o endereço IP
de origem de uma determinada rede pelo endereço IP
da interface de saída. Portanto se temos, por exemplo,
a interface ether5 com endereço IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trás da ether1,
podemos fazer o seguinte:

 Desta forma, todos os endereços IPs da rede local


vão obter acesso a internet utilizando o endereço
IP 185.185.185.185

7 - Firewall 264
Firewall - DSTNAT
 Redirecionamento de portas: O NAT nos
possibilita redirecionar portas para permitir
acesso a serviços que rodem na rede interna.
Dessa forma podemos dar acesso a serviços de
clientes sem utilização de endereço IP público.

 Redirecionamento para
acesso ao servidor
WEB do cliente
192.168.1.200 pela
porta 80.

7 - Firewall 265
Firewall - NAT
 NAT (1:1): Serve para dar acesso bi-direcional a
um determinado endereço IP. Dessa forma, um
endereço IP de rede local pode ser acessado
através de um IP público e vice-versa.

7 - Firewall 266
Firewall - NAT
NAT (1:1) com netmap: Com o netmap
podemos criar o mesmo acesso bi-birecional
de rede para rede. Com isso podemos mapear,
por exemplo, a rede 187.15.15.0/24 para a
rede 192.168.1.0/24 assim:

7 - Firewall 267
Firewall – NAT Helpers

 Hosts atrás de uma rede “nateada” não possuem conectividade


fim-afim verdadeira. Por isso alguns protocolos podem não
funcionar corretamente neste cenário. Serviços que requerem
iniciação de conexões TCP fora da rede, bem como protocolos
“stateless” como UDP, podem não funcionar. Para resolver este
problema, a implementação de NAT no Mikrotik prevê alguns
“NAT Helpers” que têm a função de auxiliar nesses serviços.

7 - Firewall 268
Firewall – Mangle
 O mangle no Mikrotik é uma facilidade que permite a
introdução de marcas em pacotes IP ou em conexões,
com base em um determinado comportamento
especifico.
 As marcas introduzidas pelo mangle são utilizadas em
processamento futuro e delas fazem uso o controle de
banda, QoS, NAT, etc... Elas existem somente no
roteador e portanto não são passadas para fora.
 Com o mangle também é possível manipular o
determinados campos do cabeçalho IP como o “ToS”,
TTL, etc...

7 - Firewall 269
Firewall – Mangle
 As regras de mangle são organizadas em canais e
obedecem as mesma regras gerais das regras de
filtro quanto a sintaxe.
 Também é possível criar canais pelo próprio
usuário.
 Existem 5 canais padrão:
prerouting: Marca antes da fila “Global-in”;
postrouting: Marca antes da fila “Global-out”;
input: Marca antes do filtro “input”;
output: Marca antes do filtro “output”;
forward: Marca antes do filtro “forward”;

7 - Firewall 270
Firewall – Diagrama do Mangle

7 - Firewall 271
Firewall – Mangle
As opções de marcações incluem:
mark-connection: Marca apenas o primeiro
pacote.
mark-packet: Marca todos os pacotes.
mark-routing: Marca pacotes para política de
roteamento.
Obs.: Cada pacote pode conter os 3 tipos de
marcas ao mesmo tempo. Porém não pode
conter 2 marcas do mesmo tipo.

7 - Firewall 272
Firewall – Mangle
Marcando rotas:

As marcas de roteamento são aproveitadas para


determinar políticas de roteamento.

A utilização dessas marcas será abordada no


tópico do roteamento.

7 - Firewall 273
Firewall – Mangle
Marcando conexões:
Use mark-connection para identificar uma ou
um grupo de conexões com uma marca especifica
de conexão.
Marcas de conexão são armazenadas na contrack.
Só pode haver uma marca de conexão para cada
conexão.
O uso da contrack facilita na associação de cada
pacote a uma conexão específica.

7 - Firewall 274
Firewall – Mangle

Marcando pacotes:
Use mark-packet para identificar um fluxo
continuo de pacotes.
Marcas de pacotes são utilizadas para controle de
tráfego e estabelecimento de políticas de QoS.

7 - Firewall 275
Firewall – Mangle
Marcando pacotes:
Indiretamente: Usando a facilidade da connection
tracking, com base em marcas de conexão
previamente criadas. Esta é a forma mais rápida e
eficiente.
Diretamente: Sem o uso da connection tracking
não é necessário marcas de conexões anteriores e
o roteador irá comparar cada pacote com
determinadas condições.

7 - Firewall 276
Firewall - Mangle
Um bom exemplo da utilização do mangle é
marcando pacotes para elaboração de QoS.

Após marcar a conexão, agora


Precisamos marcar os pacotes
provenientes desta conexão.

7 - Firewall 277
Firewall - Mangle
Obs.: A marcação de P2P
disponibilizada no Mikrotik não
inclui os programas
que usam criptografia.

Com base na conexão já


Marcada anteriormente,
podemos fazer as
marcações dos pacotes.

7 - Firewall 278
Perguntas ?

7 - Firewall 279
Failover

8 - Balance e Failover 280


Simulando um segundo link
Adicione uma VLAN
Adicione um IP para a VLAN

8 - Balance e Failover 281


Adicionando uma segunda rota

Não esquecer de criar uma nova regra de NAT.

8 - Balance e Failover 282


Definindo principal e backup
 Quando o router tem duas rotas com o endereço de
destino iguais o campo distace irá determinar qual rota
será usado para o encaminhamento de pacotes.

8 - Balance e Failover 283


Monitorando um host remoto
 Para que possamos saber se um link realmente está
fora devemos monitorar um host qualquer na internet.

 Devemos fazer com que o teste de monitoramento seja


encaminhado sempre por um único link, pois caso isso
não aconteça podemos ter um falso positivo.

 Como fazer com que um determinado host seja


acessado por um único link?

8 - Balance e Failover 284


Criando o script

8 - Balance e Failover 285


Balanceamento de Carga com PCC

8 - Balance e Failover 286


Balanceamento de Carga com PCC
 O PCC é uma forma de balancear o tráfego de acordo
com um critério de classificação pré-determinado das
conexão. Os parâmetros de configuração são:

Obs.: O PCC só está disponível no Mikrotik a partir da versão 3.24.

8 - Balance e Failover 287


Balanceamento de Carga com PCC

• A partir do classificador selecionado será


gerado um numerador que será divido pelo
denominador e o resto será levado em conta
para dizer se o pacote combina ou não com a
regra do firewall.

8 - Balance e Failover 288


Funcionamento do PCC
Classificador Denominador Contador

Regra que classifica para link 1


Regra que classifica para link 2

Exemplo 1 - Pacote IP  Número gerado pelo classificador => 192+168+1+99=460


Origem Destino  Dividindo o número gerado pelo denominador => 460/2 = 230 resto=0
 Resto da divisão é igual o numero do contador da regra 1 então o pacote é classificado na regra 1.
192.168.1.99 8.8.8.8

Exemplo 1 - Pacote IP  Número gerado pelo classificador => 192+168+1+10=371


Origem Destino  Dividindo o número gerado pelo denominador => 371/2 = 135 resto=1
 Resto da divisão é igual o numero do contador da regra 2 então o pacote é classificado na regra 2.
192.168.1.10 8.8.8.8

8 - Balance e Failover 289


Balanceamento de Carga com PCC
 Primeiro precisamos fazer marcas rota para que possamos
direcionar os pacotes por mais de um gateway.
 Poderíamos simplesmente marca as rotas , porém isso pode
consumir muito recurso de processamento do roteador.
 Para evitar o consumo excessivo de CPU primeiro marcamos a
conexão e depois marcamos a rota com base na conexão que já foi
marcada.
 Todas as marcações são feitas no mangle do firewall

8 - Balance e Failover 290


Balanceamento de Carga com PCC
Exemplo de PCC com 2 links

Primeiro vamos marcar as conexões. Atente para a redes dos clientes , o denominador
(links) e o contador que inicia em zero.

8 - Balance e Failover 291


Balanceamento de Carga com PCC
Exemplo de PCC com 2 links

8 - Balance e Failover 292


Balanceamento de Carga com PCC
Exemplo de PCC com 2 links

Agora vamos marcar as rotas com base nas


marcações de conexões já feitas
anteriormente. Atente agora para desmarcar
a opção “passthrough”.

8 - Balance e Failover 293


Balanceamento de Carga com PCC
Exemplo de PCC com 2 links

8 - Balance e Failover 294


Balanceamento de Carga com PCC
Exemplo de PCC com 2 links

Agora vamos criar as rotas baseadas nas marcações de rotas. Iremos considerar que os 2
gateways internet são: 10.10.10.1, 20.20.20.1

8 - Balance e Failover 295


Túneis e VPN

9 - Tuneis e VPN 296


VPN
• Uma Rede Privada Virtual é uma rede de
comunicações privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituições, construídas em
cima de uma rede pública. O tráfego de
dados é levado pela rede pública utilizando
protocolos padrão, não necessariamente
seguros.

• VPNs seguras usam protocolos de criptografia por tunelamento que


fornecem confidencialidade, autenticação e integridade necessárias
para garantir a privacidade das comunicações requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicações seguras através de redes inseguras.

9 - Tuneis e VPN 297


VPN
• As principais características da VPN são:
– Promover acesso seguro sobre meios físicos públicos
como a internet por exemplo.
– Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
– Promover acesso seguro a serviços em ambiente
corporativo de correio, impressoras, etc...
– Fazer com que o usuário, na prática, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurança definidos.
– A base da formação das VPNs é o tunelamento entre dois
pontos, porém tunelamento não é sinônimo de VPN.

9 - Tuneis e VPN 298


Tunelamento
• A definição de tunelamento é a capacidade de criar túneis entre dois
hosts por onde trafegam dados.
• O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
– PPP (Point to Point Protocol)
– PPPoE (Point to Point Protocol over Ethernet)
– PPTP (Point to Point Tunneling Protocol)
– L2TP (Layer 2 Tunneling Protocol)
– OVPN (Open Virtual Private Network)
– IPSec (IP Security)
– Túneis IPIP
– Túneis EoIP
– Túneis VPLS
– Túneis TE

9 - Tuneis e VPN 299


Site-to-site

9 - Tuneis e VPN 300


Conexão remota

9 - Tuneis e VPN 301


Endereçamento ponto a ponto /32
Geralmente usado em túneis
Pode ser usado para economia de IPs.

Router 1 Router 2

9 - Tuneis e VPN 302


PPP – Definições Comuns para os
serviços
• MTU/MRU: Unidade máximas de transmissão/ recepção em
bytes. Normalmente o padrão ethernet permite 1500 bytes.
Em serviços PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentação.

• Keepalive Timeout: Define o período de tempo em segundos após o qual


o roteador começa a mandar pacotes de keepalive por segundo. Se
nenhuma reposta é recebida pelo período de 2 vezes o definido em
keepalive timeout o cliente é considerado desconectado.

• Authentication: As formas de autenticação permitidas são:


– Pap: Usuário e senha em texto plano sem criptografica.
– Chap: Usuário e senha com criptografia.
– Mschap1: Versão chap da Microsoft conf. RFC 2433
– Mschap2: Versão chap da Microsoft conf. RFC 2759

9 - Tuneis e VPN 303


PPP – Definições Comuns para os
serviços
• PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então
será necessário que haja algum mecanismo para avisar que esta estação
deverá diminuir o tamanho dos pacotes para que a comunicação ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediarios e a adequação dos
pacotes posteriores é chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade está presente em todos roteadores,
sistemas Unix e no Mikrotik ROS.

• MRRU: Tamanho máximo do pacote, em bytes, que poderá ser recebido


pelo link. Se um pacote ultrapassa esse valor ele será dividido em pacotes
menores, permitindo o melhor dimensionamento do túnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre túnel simples. Essa
configuração é útil para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.

9 - Tuneis e VPN 304


PPP – Definições Comuns para os
serviços
Change MSS: Maximun Segment Size, tamanho máximo do segmento de
dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o
túnel está estabelecido deve ser fragmentado antes de enviá-lo. Em alguns
caso o PMTUD está quebrado ou os roteadores não conseguem trocar
informações de maneira eficiente e causam uma série de problemas com
transferência HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona
ferramentas onde é possível interferir e configurar uma diminuição do MSS
dos próximos pacotes através do túnel visando resolver o problema.

9 - Tuneis e VPN 305


PPPoE – Cliente e Servidor
• PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato
da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui
informações sobre o remetente e o destinatário, desperdiçando mais banda.
Cerca de 2% a mais.

• Muito usado para autenticação de clientes com base em Login e Senha. O


PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a
internet.

• O cliente não tem IP configurado, o qual é atribuído pelo Servidor


PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No Mikrotik não é obrigatório o uso de Radius pois o mesmo
permite criação e gerenciamento de usuários e senhas em uma tabela local.

• PPPoE por padrão não é criptografado. O método MPPE pode ser usado
desde que o cliente suporte este método.

9 - Tuneis e VPN 306


PPPoE – Cliente e Servidor
• O cliente descobre o servidor
através do protocolo pppoe
discovery que tem o nome do
serviço a ser utilizado.
• Precisa estar no mesmo
barramento físico ou os
dispositivos passarem pra
frente as requisições PPPoE
usando pppoe relay.

• No Mikrotik o valor padrão do Keepalive Timeout é 10, e funcionará


bem na maioria dos casos. Se configurarmos pra zero, o servidor
não desconectará os
clientes até que os mesmos solicitem ou o servidor for reiniciado.

9 - Tuneis e VPN 307


Configuração do Servidor PPPoE
1. Primeiro crie um pool de IPs para o PPPoE.

/ip pool add name=pool-pppoe


ranges=172.16.0.2-172.16.0.254

2. Adicione um perfil para o PPPoE onde:


Local Address = Endereço IP do concentrado.
Remote Address = Pool do pppoe.

/ppp profile local-address=172.16.0.1


name=perfilpppoe remote-address=pool-pppoe

9 - Tuneis e VPN 308


Configuração do Servidor PPPoE

3. Adicione um usuário e senha

/ppp secret add name=usuario password=123456


service=pppoe profile=perfil-pppoe

Obs.: Caso queira verificar o MAC-Address,


adicione em Caller ID. Esta opção não é
obrigatória, mas é um parametro a mais para
segurança.

9 - Tuneis e VPN 309


Configuração do Servidor PPPoE
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vão
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai
escutar.

/interface pppoe-server server add


authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 maxmru=
1480 max-mtu=1480 max-sessions=50
mrru=512 one-session-per-host=yes servicename="
Servidor PPPoE"

9 - Tuneis e VPN 310


Mais sobre perfis
• Bridge: Bridge para associar ao perfil

• Incoming/Outgoing Filter: Nome do canal do


firewall para pacotes entrando/saindo.

• Address List: Lista de endereços IP para


associar ao perfil.

• DNS Server: Configuração dos servidores DNS a


atribuir aos clientes.

• Use Compression/Encryption/Change TCP MSS:


caso estejam em default, vão associar ao valor que
está configurado no perfil default-profile.

9 - Tuneis e VPN 311


Mais sobre perfis
• Session Timeout: Duração máxima de uma
sessão PPPoE.

• Idle Timeout: Período de ociosidade na


transmissão de uma sessão. Se não houver
tráfego IP dentro do período configurado, a
sessão é terminada.

• Rate Limit: Limitação da velocidade na forma


rx-rate/tx-rate. Pode ser usado também na
forma rx-rate/tx-rate rx-burst-rate/tx-burstrate
rx-burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.

• Only One: Permite apenas uma sessão para o


mesmo usuário.

9 - Tuneis e VPN 312


Mais sobre o database
• Service: Especifica o serviço disponível para este
cliente em particular.

• Caller ID: MAC Address do cliente.

• Local/Remote Address: Endereço IP Local (servidor)


e remote(cliente) que poderão ser atribuídos a um
cliente em particular.

• Limits Bytes IN/Out: Quantidade em bytes que o


cliente pode trafegar por sessão PPPoE.

• Routes: Rotas que são criadas do lado do servidor


para esse cliente especifico. Várias rotas podem ser
adicionadas separadas por vírgula.

9 - Tuneis e VPN 313


Mais sobre o PPoE Server
O concentrador PPPoE do Mikrotik suporta múltiplos servidores
para cada interface com diferentes nomes de serviço. Além do
nome do serviço, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador é a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes Mikrotik, a interface de rádio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.

Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que
1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da
interface sem fio de clientes MS Windows. A opção One Session Per Host permite
somente uma sessão por host(MAC Address). Por fim, Max Sessions define o número
máximo de sessões que o concentrador suportará.

9 - Tuneis e VPN 314


Configurando o PPPoE Client

• AC Name: Nome do concentrador. Deixando em branco conecta


em qualquer um.
• Service: Nome do serviço designado no servidor PPPoE.
• Dial On Demand: Disca sempre que é gerado tráfego de saída.
• Add Default Route: Adiciona um rota padrão(default).
• User Peer DNS: Usa o DNS do servidor PPPoE.
9 - Tuneis e VPN 315
PPTP e L2TP
• L2TP – Layer 2 Tunnel Protocol: Protocolo de tunelamento em
camada 2 é um protocolo de tunelamento seguro para transportar
tráfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de
forma criptografada ou não e permite enlaces entre dispositivos de
redes diferentes unidos por diferentes protocolos.

• O tráfego L2TP utiliza protocolo UDP tanto para controle como para
pacote de dados. A porta UDP 1701 é utilizada para o
estabelecimento do link e o tráfego em si utiliza qualquer porta
UDP disponível, o que significa que o L2TP pode ser usado com a
maioria dos Firewalls e Routers, funcionando também através de
NAT.

• L2TP e PPTP possuem as mesma funcionalidades.

9 - Tuneis e VPN 316


Configuração do Servidor PPTP e L2TP

• Configure um pool, um perfil para o PPTP, adicione um usuário em “secrets”


e habilite o servidor PPTP conforme as figuras.
9 - Tuneis e VPN 317
Configuração do Servidor PPTP e L2TP
• Configure os servidores
PPTP e L2TP.
• Atente para utilizar o
perfil correto.
• Configure nos hosts
locais um cliente PPTP e
realize conexão com um
servidor da outra rede.

Ex.: Hosts do Setor1


conectam em servidores do
Setor2 e vice-versa.

9 - Tuneis e VPN 318


Configuração do Servidor PPTP e L2TP

• As configurações para o cliente PPTP e L2TP são


bem simples, conforme observamos nas imagens.
9 - Tuneis e VPN 319
Túneis IPIP
• IPIP é um protocolo que encapsula pacotes IP sobre o próprio
protocolo IP baseado na RFC 2003. É um protocolo simples que
pode ser usado pra interligar duas intranets através da internet
usando 2 roteadores.

• A interface do túnel IPIP aparece na lista de interfaces como se


fosse uma interface real.

• Vários roteadores comerciais, incluindo CISCO e roteadores


baseados em Linux suportam esse protocolo.

• Um exemplo prático de uso do IPIP seria a necessidade de


monitorar hosts através de um NAT, onde o túnel IPIP colocaria a
rede privada disponível para o host que realiza o monitoramento,
sem a necessidade de criar usuário e senha como nas VPNs.

9 - Tuneis e VPN 320


Túneis IPIP

• Supondo que temos que unir as redes que


estão por trás dos roteadores 10.0.0.1 e
22.63.11.6. Para tanto basta criemos as
interfaces IPIP em ambos, da seguinte forma:
9 - Tuneis e VPN 321
Túneis IPIP
• Agora precisamos atribuir os IPs as interfaces
criadas.

• Após criado o túnel IPIP as redes fazem parte


do mesmo domínio de broadcast.

9 - Tuneis e VPN 322


Túneis EoIP

• EoIP(Ethernet over IP) é um protocolo


proprietário Mikrotik para encapsula mento
de todo tipo de tráfego sobre o protocolo IP.

• Quando habilitada a função de Bridge dos roteadores que estão interligados


através de um túnel EoIP, todo o tráfego é passado de uma lado para o outro de
forma transparente mesmo roteado pela internet e por vários protocolos.

• O protocolo EoIP possibilita:


- Interligação em bridge de LANs remotas através da internet.
- Interligação em bridge de LANs através de túneis criptografados.

• A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet através do protocolo GRE.

9 - Tuneis e VPN 323


Túneis EoIP
• Criando um túnel EoIP entre as
redes por trás dos roteadores
10.0.0.1 e 22.63.11.6.

• Os MACs devem ser diferentes


e estar entre o rage: 00-00-5E-
80-00-00 e 00-00-5E-FF-FF-FF,
pois são endereços reservados
para essa aplicação.

• O MTU deve ser deixado em


1500 para evitar fragmentação.

• O túnel ID deve ser igual para


ambos.

9 - Tuneis e VPN 324


Túneis EoIP

• Adicione a interface EoIP a bridge,


juntamente com a interface que fará
parte do mesmo domínio de broadcast.

9 - Tuneis e VPN 325


Perguntas ?

9 - Tuneis e VPN 326


QoS e Controle de banda

10 - QoS 327
Conceitos básicos de Largura e Limite
de banda
 Largura de banda: Em telecomunicações, a largura da banda ou apenas banda (também chamada
de débito) usualmente se refere à bitrate de uma rede de transferência de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominação banda, designada originalmente a um grupo de
frequências é justificada pelo fato de que o limite de transferência de dados de um meio está ligado à
largura da banda em hertz. O termo banda larga denota conexões com uma largura em hertz
relativamente alta, em contraste com a velocidade padrão em linhas analógicas convencionais (56
kbps), na chamada conexão discada.

 Limite de banda: O limite de banda é o limite máximo de transferência de dados, onde também é
designada sua velocidade. Por exemplo, você pode ter uma conexão discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo é o limite de transferência de dados de sua conexão ou uma banda de
1Mbps, você conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar também o valor relativo a transferência de dados real, ou também
chamado de Taxa ou Velocidade de Transferência ou (throughput), que varia aproximadamente entre
10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
você conseguirá taxas de transferencia de no máximo 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, você conseguirá uma Taxa de Transferência de aproximadamente entre 25kbps a
30,7kbps

10 - QoS 328
Traffic Shaping
• Traffic shaping é um termo da língua inglesa, utilizado para definir a prática de priorização
do tráfego de dados, através do condicionamento do débito de redes, a fim de otimizar o
uso da largura de banda disponível.
• O termo passou a ser mais conhecido e utilizado após a popularização do uso de
tecnologias "voz sobre ip" (VoIP), que permitem a conversação telefônica através da
internet. O uso desta tecnologia permite que a comunicação entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexões comuns.
• No Brasil, a prática passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituições protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gestão de dados que acompanham e analisam a utilização e
priorizam a navegação, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de serviço. A prática também é comumente
adotada para outros tipos de serviços, conhecidos por demandar grande utilização da
largura de banda, como os de transferência de arquivos, por exemplo, P2P e FTP.
• Os programas de traffic shaping podem ainda fazer logs dos hábitos de utilizadores,
capturar informações sobre IPs acedidos, ativar gravações automáticas a partir de
determinadas condutas, reduzir ou interferir na transferência de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.

10 - QoS 329
Qualidade de Serviço
• No campo das telecomunicações e redes de computadores, o termo Qualidade de
Serviço (QoS) pode tender para duas interpretações relacionadas, mas distintas.

• Em redes de comutação de circuitos, refere-se à probabilidade de sucesso em estabelecer


uma ligação a um destino. Em redes de comutação de pacotes refere-se à garantia de largura de banda
ou, como em muitos casos, é utilizada informalmente para referir a probabilidade de um pacote
circular entre dois pontos de rede.

• Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura


oferecer bastantes recursos, suficientes para o pico esperado, com uma margem de segurança
substancial. É simples e eficaz, mas na prática é assumido como dispendioso, e tende a ser ineficaz se o
valor de pico aumentar além do previsto: reservar recursos gasta tempo. O segundo método é o de
obrigar os provedores a reservar os recursos, e apenas aceitar as reservas se os routers conseguirem
servi-las com confiabilidade. Naturalmente, as reservas podem ter um custo monetário associado!

10 - QoS 330
Qualidade de Serviço
 Os mecanismos para prover QoS no Mikrotik são:
– Limitar banda para certos IP’s, subredes, protocolos,
serviços e outros parâmetros.
– Limitar tráfego P2P.
– Priorizar certos fluxos de dados em relação a outros.
– Utilizar burst’s para melhorar o desempenho web.
– Compartilhar banda disponível entre usuários de forma
ponderada dependendo da carga do canal.
– Utilização de WMM – Wireless Multimídia.
– MPLS – Multi Protocol Layer Switch

10 - QoS 331
Qualidade de Serviço
Os principais termos utilizados em QoS são:
– Queuing discipline(qdisc): Disciplina de enfileiramento. É um algoritmo
que mantém e controla uma fila de pacotes. Ela especifica a ordem dos
pacotes que saem, podendo inclusive reordená-los, e determina quais
pacotes serão descartados.

– Limit At ou CIR(Commited Information Rate): Taxa de dados garantida. É a


garantia de banda fornecida a um circuito ou link.

– Max Limit ou MIR(Maximal Information Rate): Taxa máxima de dados que


será fornecida. Ou seja, limite a partir do qual os pacotes serão descartados.
– Priority: É a ordem de importância que o tráfego é processado.
Pode-se determinar qual tipo de tráfego será processado
primeiro.

10 - QoS 332
Filas - Queues
 Para ordenar e controlar o fluxo de dados, é aplicada uma
política de enfileiramento aos pacotes que estejam
deixando o roteador. Ou seja: “As filas são aplicadas na
interface onde o fluxo está saindo.”

 A limitação de banda é feita mediante o descarte de


pacotes.
No caso do protocolo TCP, os pacotes descartados serão
reenviados, de forma que não há com que se preocupar com
relação a perda de dados. O mesmo não vale para o UDP.

10 - QoS 333
Tipos de filas
 Antes de enviar os pacotes por uma interface, eles são processados
por uma disciplina de filas(queue types). Por padrão as disciplinas
de filas são colocadas sob “queue interface” para cada interface
física.

 Uma vez adicionada uma fila para uma interface física, a fila padrão
da interface, definida em queue interface, não será mantida. Isso
significa que quando um pacote não encontra qualquer filtro, ele é
enviado através da interface com prioridade máxima.

10 - QoS 334
Tipos de filas
 As disciplinas de filas são utilizadas para (re)enfileirar e
(re)organizar pacotes na medida em que os mesmos chegam na
interface. As disciplinas de filas são classificadas pela sua influência
no fluxo de pacotes da seguinte forma:
– Schedulers: (Re) ordenam pacotes de acordo com um
determinado algoritmo e descartam aqueles que se enquadram
a disciplina. As disciplinas “schedulers” são: PFIFO, BFIFO, SFQ,
PCQ e RED.
– Shapers: Também fazem limitação. Esses são: PCQ e HTB.

10 - QoS 335
Controle de tráfego

10 - QoS 336
Controle de tráfego
O controle de tráfego é implementado através
de dois mecanismos:
– Pacotes são policiados na entrada:
• Pacotes indesejáveis são descartados.
– Pacotes são enfileirados na interface de
saída:
• Pacotes podem ser atrasados, descartados
ou priorizados.

10 - QoS 337
Controle de tráfego
 O controle de tráfego é implementado internamente por 4
tipos de componentes:
- Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes.
Ex.: FIFO.
- Classes:
Representam entidades de classificação de pacotes.
Cada classe pode estar associada a um qdisc.
- Filters:
Utilizados para classificar os pacotes e atribuí-los as classes.
- Policers: Utilizados para evitar que o tráfego associado a cada
filtro ultrapasse limites pré-definidos.

10 - QoS 338
Controle de tráfego – Tipos de fila
 PFIFO e BFIFO: Estas disciplinas de filas são baseadas no
algoritmo FIFO(First-in
First-out), ou seja, o primeiro que entra é o primeiro que sai. A
diferença entre
PFIFO e BFIFO é que, um é medido em pacotes e o outro em
bytes. Existe apenas
um parâmetro chamado Queue Size que determina a
quantidade de dados em
uma fila FIFO pode conter. Todo pacote que não puder ser
enfileirado (se fila
estiver cheia) será descartado. Tamanhos grandes de fila
poderão aumentar a latência. Em compensação provê melhor
utilização do canal.

10 - QoS 339
Controle de tráfego – Tipos de fila
 RED: Random Early Detection – Detecção Aleatória Antecipada é um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho
médio da fila. Quando o tamanho médio da fila atinge o valor configurado em min
threshould, o RED escolhe um pacote para descartar. A probabilidade do número de
pacotes que serão descartados cresce na medida em que a média do tamanho da fila
cresce. Se o tamanho médio da fila atinge o max threshould, os pacotes são
descartados com a probabilidade máxima. Entretanto existem casos que o tamanho
real da fila é muito maior que o max threshould então todos os pacotes que
excederem o min threshould serão descartados.
 RED é indicado em links congestionados com altas taxas de dados. Como é muito
rápido funciona bem com TCP.

10 - QoS 340
Controle de tráfego – Tipos de fila
 SFQ: Stochastic Fairness Queuing – Enfileiramento Estocástico “com justiça” é
uma disciplina que tem “justiça” assegurada por algoritmos de hashing e round
roubin. O fluxo de pacotes pode ser identificado exclusivamente por 4 opções:
– src-address
– dst-address
– src-port
– dst-port
 Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o algoritmo
round roubin distribui a banda disponível para estas sub-filas, a cada “rodada”
configurada no parâmetro allot(bytes).
Não limita o tráfego. O objetivo é equalizar os fluxos de tráfegos(sessões TCP e
streaming UDP) quando o link(interface) está completamente cheio. Se o link não
está cheio, então não haverá fila e, portanto, qualquer efeito, a não ser quando
combinado com outras disciplinas (qdisc).

10 - QoS 341
Controle de tráfego – Tipos de fila
• SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e
há 1024 sub-filas disponíveis.

• É recomendado o uso de SFQ em links congestionados


para garantir que as conexões não degradem. SFQ é
especialmente recomendado em conexões wireless.

10 - QoS 342
Controle de tráfego – Tipos de fila
 PCQ: Per Connection Queuing – Enfileiramento por conexão foi
criado para resolver algumas imperfeições do SFQ. É o único
enfileiramento de baixo nível que pode fazer limitação sendo uma
melhoria do SFQ, sem a natureza “estocástica”. PCQ também cria
sub-filas considerando o parâmetro pcq-classifier. Cada sub-fila tem
uma taxa de transmissão estabelecida em rate e o tamanho
máximo igual a limit. O tamanho total de uma fila PCQ fica limitado
ao configurado em total limit. No exemplo abaixo vemos o uso do
PCQ com pacotes classificados pelo endereço de origem.

10 - QoS 343
Controle de tráfego – Tipos de fila
PCQ: Se os pacotes são classificados pelo endereço de origem, então todos os pacotes
com diferentes endereços serão organizados em sub-filas diferentes. Nesse caso é
possível fazer a limitação ou equalização para cada sub-fila com o parâmetro Rate.
Neste ponto o mais importante é decidir qual interface utilizar esse tipo de disciplina.
Se utilizarmos na interface local, todo o tráfego da interface pública será agrupado
pelo endereço de origem.O que não é interessante. Mas se for empregado na
interface pública todo o tráfego dos clientes será agrupado pelo endereço de origem,
o que torna mais fácil equalizar o upload dos clientes. O mesmo controle pode ser
feito para o download, mas nesse caso o classificador será o “dst. Address” e
configurado na interface local.

10 - QoS 344
QoS - HTB
• Hierarchical Token Bucket é uma disciplina de enfileiramento hierárquico que é
usual para aplicar diferentes políticas para diferentes tipos de tráfego. O HTB
simula vários links em um único meio físico, permitindo o envio de diferentes tipos
de tráfego em diferentes links virtuais. Em outras palavras, o HTB é muito útil para
limitar download e upload de usuários em uma rede. Desta forma não existe
saturamento da largura de banda disponível no link físico. Além disso, no Mikrotik,
é utilizado para fazer QoS.

Cada class tem um pai e pode ter uma ou mais


filhas. As que não tem filhas são colocadas no
level 0, onde as filas são mantidas e chamadas de
leafs class. Cada classe na hierarquia pode priorizar e
dar forma ao tráfego.

10 - QoS 345
QoS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=4Mbps max-limit=10Mbps
Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5

Queue03 irá receber 6Mbps


Queue04 irá receber 2Mbps
Queue05 irá receber 2Mbps
Exemplo de HTB
Obs.: Neste exemplo o HTB foi configurado de modo que,
satisfazendo todas as garantias, a fila pai não possuirá
nenhuma capacidade para distribuir mais banda caso seja
solicitado por uma filha.

10 - QoS 346
QoS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=8Mbps max-limit=10Mbps
Queue03 limit-at=2Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Queue03 irá receber 2Mbps
Queue04 irá receber 6Mbps
Queue05 irá receber 2Mbps
Exemplo de HTB Exemplo de HTB
228
Obs.: Após satisfazer todas garantias, o HTB disponibilizará
mais banda, até o máximo permitido para a fila com maior
prioridade. Mas, neste caso, permitirá-se uma reserva de
8M para as filas Queue04 e Queue05, as quais, a que
possuir maior prioridade receberá primeiro o adicional de
banda, pois a fila Queue2 possui garantia de banda
atribuída.

10 - QoS 347
QoS - HTB
 Termos do HTB:
– Filter: Um processo que classifica pacotes. Os filtros são responsáveis pela
classificação dos pacotes para que eles sejam colocados nas correspondentes
qdisc. Todos os filtros são aplicados na fila raiz HTB e classificados diretamente
nas qdiscs, sem atravessar a árvore HTB. Se um pacote não está classificado
em nenhuma das qdiscs, é enviado a interface diretamente, por isso nenhuma
regra HTB é aplicada aos pacotes.

– Level: Posição de uma classe na hierarquia.

– Class: Algoritmo de limitação no fluxo de tráfego para uma determinada taxa.


Ela não guarda quaisquer pacotes. Uma classe pode conter uma ou mais
subclasses(inner class) ou apenas uma e um qdisc(leaf classe).

10 - QoS 348
QoS - HTB
 Estados das classes HTB:
– Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que está
consumindo:
• Verde: de 0% a 50% da banda disponível está em
uso.
• Amarelo: de 51% a 75% da banda disponível está
em uso.
• Vermelho: de 76% a 100% da banda disponível
está em uso. Neste ponto começam os descartes
de pacotes que se ultrapassam o max-limit.

10 - QoS 349
QoS - HTB
 No Mikrotik as estruturas do HTB pode ser anexadas a quatro
locais diferentes.
– Interfaces:
• Global-in: Representa todas as interfaces de entrada em geral(INGRESS
queue). As filas atreladas à Global-in recebem todo tráfego entrante no roteador,
antes da filtragem de pacotes.
• Global-out: Representa todas as interfaces de saida em geral(EGRESS queue).
As filas atreladas à Global-out recebem todo tráfego que sai do roteador.
• Global-total: Representa uma interface virtual através do qual se passa todo
fluxo de dados. Quando se associa uma politíca de filas à Global-total, a
limitação é feita em ambas direções. Por exemplo se configurarmos um
totalmax-
limit de 300kbps, teremos um total de download+upload de 300kbps,
podendo haver assimetria.
• Interface X: Representa uma interface particular. Somente o tráfego que é
configurado para sair através desta interface passará através da fila HTB.

10 - QoS 350
Interfaces virtuais e o Mangle

10 - QoS 351
Filas simples

 As principais propriedades configuráveis de uma fila simples são:


– Limite por direção de IP de origem ou destino
– Interface do cliente
– Tipo de fila
– Limit-at, max-limit, priority e burst para download e upload
– Horário.

10 - QoS 352
Filas simples - Burst
 Bursts são usados para
permitir altas taxas de
transferência por um período
curto de tempo.

 Os parâmetros que controlam o burst são:


- burst-limit: Limite máximo que o burst alcançará.
- burst-time: Tempo que durará o burst.
- burst-threshold: Patamar para começar a limitar.
- max-limit: MIR

10 - QoS 353
Como funciona o Burst
 max-limite=256kbps
 burst-time=8s
 burst-threshold=192kbps
 burst-limit=512kbps

 Inicialmente é dado ao cliente a banda burst-limit=512kbps. O algoritmo


calcula a taxa média de consumo de banda durante o burst-time de 8
segundos.
– Com 1 segundo a taxa média é de 64kbps. Abaixo do threshold.
– Com 2 segundos a taxa média já é de 128kbps. Ainda abaixo do
threshold.
– Com 3 segundos a taxa média é de 192kbps. Ponto de inflexão onde
acaba o burst.
 A partir deste momento a taxa máxima do cliente passa a ser o max-limit.

10 - QoS 354
Utilização do PCQ
 PCQ é utilizado para equalizar cada usuário ou
conexão em particular.

 Para utilizar o PCQ, um novo tipo de fila deve ser


adicionado com o argumento kind=pcq.

Devem ainda ser escolhidos os seguintes
parâmetros:
– pcq-classifier
– pcq-rate

10 - QoS 355
Utilização do PCQ
• Caso 1: Com o rate configurado como zero, as subqueues
não são limitadas, ou seja, elas poderão usar a largura máxima
de banda disponível em max-limit.

• Caso 2: Se configurarmos um rate para a PCQ as subqueues


serão limitadas nesse rate, até o total de max-limit.

10 - QoS 356
Utilização do PCQ

 Nesse caso, com o rate da fila é


128k, não existe limit-at e tem um
max-limit de 512k, os clientes
receberão a banda da seguinte
forma:

10 - QoS 357
Utilização do PCQ

 Nesse caso, com o rate da fila é 0,


não existe limit-at e tem um max-
limit de 512k, os clientes receberão
a banda da seguinte forma:

10 - QoS 358
Árvores de Fila
 Trabalhar com árvores de fila é uma maneira mais elaborada de
administrar o tráfego. Com elas é possível construir sob medida uma
hierarquia de classes, onde poderemos configurar as garantias e
prioridades de cada fluxo em relação à outros, determinando assim uma
política de QoS para cada fluxo do roteador.
 Os filtros de árvores de filas são aplicados na interface especifica. Os
filtros são apenas marcas que o firewall faz no fluxo de pacotes na opção
mangle. Os filtros enxergam os pacotes na ordem em que eles chegam no
roteador.
 A árvore de fila é também a única maneira para adicionar uma fila em
uma interface separada.
 Também é possível ter o dobro de enfileiramento. Ex: priorizando o
tráfego globalin e/ou global-out, limitação por cliente na interface de
saída. Se é configurado filas simples e árvores de filas no mesmo roteador,
as filas simples receberão o tráfego primeiro e em seguida o classificarão.

10 - QoS 359
Árvores de Fila
 As árvores de fila são
configuradas em queue tree.

 Dentre as propriedades
configuráveis podemos destacar:
– Escolher uma marca de tráfego
feita no firewall mangle;
– parente-class ou interface de
saída;
– Tipo de fila;
– Configurações de limit-at,
max-limit,priority e burst.

10 - QoS 360
Árvores de Fila

Obs.: O roteador não conseguirá garantir banda para Q1 o tempo todo.

10 - QoS 361
Árvores de Fila

 Filas com parent (hierarquia).

10 - QoS 362
Árvores de Fila
C1 possui maior prioridade, portanto
consegue atingir o max-limit. O restante da
banda é dividida entre as outras leaf-queue.

10 - QoS 363
Perguntas ?

10 - QoS 364
The Dude – O cara

11 - The Dude 365


The Dude – O cara
 The Dude é uma ferramenta de monitoramento que:
 Fornece informações acerca de quedas e
restabelecimentos de redes, serviços, assim como uso de
recursos de equipamentos.
 Permite mapeamento da rede com gráficos da topologia e
relacionamentos lógicos entre os dispositivos.
 Notificações via áudio/video/email acerca de eventos.
 Gráfico de serviços mostrando latência, tempos de
respostas de DNS, utilização de banda, informações físicas
de links, etc...
 Monitoramento de qualquer dispositivo que suporte o
protocolo SNMP.

11 - The Dude 366


The Dude – O cara
 Possibilidade de utilizar ferramentas para acesso
direto a dispositivos da rede a partir do diagrama
da mesma.
 Acesso direto a dispositivos Mikrotik através do
winbox.
 Armazenamento de histórico de eventos(logs) de
toda a rede, com momentos de queda,
restabelecimentos, etc...
 Possibilidade de utilizar SNMP também para
tomada de decisões através do SNMP Set.

11 - The Dude 367


Instalando o The Dude
 No Windows:
Fazer o download, clicar no executável e responder
sim para todas as perguntas.
 No Linux:
Instalar o wine e a partir daí proceder como no
windows.
 Em Routerboard ou PC com Mikrotik:
Baixar o pacote referente a arquitetura especifica,
enviar para o Mikrotik via FTP ou Winbox e rebootar o
roteador.

11 - The Dude 368


The Dude em Routerboards
 O espaço em disco consumido pela The Dude é considerável, entre
outras coisas, devido aos gráficos e logs a serem armazenados.
Assim, no caso de instalação em Routerboards é aconselhável o uso
daquelas que possuam armazenamento adicional como:
 RB 433UAH – Aceita HD externo via USB
 RB 450G – Aceita MicroSD
 RB 600 – Aceita SD
 RB 800 – Aceita MicroSD
 RB 1100 – Aceita MicroSD

 Não é aconselhável a instalação em outras Routerboards por


problemas de perdas de dados devido a impossibilidade de efetuar
backups. Problemas de processamento também devem ser
considerados.

11 - The Dude 369


The Dude - Começando
A instalação do The Dude sempre instala o
cliente e o servidor e no primeiro uso ele
sempre irá tentar usar o Servidor
Local(localhost). Caso queira se conectar em
outro servidor clique no “raio”.

11 - The Dude 370


The Dude - Começando
 O auto discovery permite que o servidor The Dude
localize os dispositivos de seu segmento de rede,
através de provas de ping, arp, snmp, etc... E por
serviços também.
 Os outros segmentos de rede que tenham Mikrotiks
podem ser mapeados por seus vizinhos (neighbours).
 Apesar de ser uma “facilidade”, não é aconselhável
utilizar este recurso.

11 - The Dude 371


The Dude – Adicionando dispositivos
O The Dude tem um wizard para criação de
dispositivos. Informe o IP e, se o dispositivo
for Mikrotik, marque a opção “Router OS”.

11 - The Dude 372


The Dude – Adicionando dispositivos
Em seguida descubra os serviços que estão
rodando nesse equipamento. Após isso o
dispositivo estará criado.

11 - The Dude 373


The Dude – Adicionando dispositivos
Clique no dispositivo criado para ajustar vários
parâmetros. Dentre esses os principais:
Nome de exibição.
Tipo do dispositivo.

11 - The Dude 374


The Dude – Adicionando dispositivos
 O The Dude possui vários dispositivos pré-
definidos, mas pode-se criar novos dispositivos
personalizados para que o desenho realmente
reflita a realidade prática.
 Por razões de produtividade é aconselhável que
todos os dispositivos existentes na rede sejam
criados com suas propriedades especificas antes
do desenho da rede, mas nada impede que isso
seja feito depois.

11 - The Dude 375


The Dude – Adicionando dispositivos
Quando a rede possui elementos não
configuráveis por IP como switchs L2, é
necessário criar dispositivos estáticos para
fazer as ligações. Com isso é possível concluir
o diagrama da rede de forma mais realista e
parecida com a real.

11 - The Dude 376


The Dude – Criando links
 Para criar links entre os dispositivos basta clicar no mapa com o
botão direito, selecionar Add Link e ligar os dois dispositivos
informando:
 Device: Dispositivo que irá fornece as informações do link.
 Mastering type: Informa como as informações serão obtidas.
 Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS,
escolha a interface que deseja monitorar a velocidade e estado do
link.
 Speed: Informando a velocidade do link, é ativado a sinalização do
estado do mesmo baseando-se em cores.
 Type: Tipo de conexão física entre os dispositivos.

11 - The Dude 377


The Dude – Notificações
Efetue um duplo clique no dispositivo e vá na
guia “Notifications”. Nela você pode informar
o tipo de notificação que deseja receber.

11 - The Dude 378


The Dude – Serviços indesejáveis
Com o The Dude podemos monitorar serviços
que não desejamos que estejam ativos.

11 - The Dude 379


The Dude – gráficos
Podemos manipular a forma como os gráficos
irão ser apresentados para identificar serviços,
estado dos links etc...

11 - The Dude 380


The Dude – Efetuando Backups
As configurações são salvas automaticamente
na medida em que são feitas. Para se ter um
backup externo use o “export” para gerar um
arquivo .xml com todas as configurações que
poderão ser importadas sempre que
necessário.

11 - The Dude 381


Perguntas ?

11 - The Dude 382

Você também pode gostar