Escolar Documentos
Profissional Documentos
Cultura Documentos
Treinamento Mikrotik Mtcna PDF
Treinamento Mikrotik Mtcna PDF
CERTIFICAÇÃO – MTCNA
Produzido por: MKT Solutions e Lancore Networks
www.mktsolutions.net.br
www.lancore.com.br
Instrutor: Guilherme Ramires
AGENDA
2
Algumas regras importantes
4
Apresente-se
se a turma
• Lembre-se
se de seu número: XY
5
Objetivos do curso
6
Onde está a Mikrotik ?
7
RouterBoards
8
Mikrotik RouterOS
10
Onde obter o Mikrotik RouterOS
• Para obter os últimos pacotes do Mikrotik RouterOS
basta acessar:
http://www.mikrotik.com/download.html
• Os pacotes combinados
• E os pacotes individuais
11
Instalando pelo CD
• Inicie o PC com o modo boot pelo CD
12
Pacotes do RouterOS
• System: Pacote principal contendo os serviços básiscos e drivers. A rigor é o único que é obrigatório
• PPP: Suporte a serviços PPP como PPPoE,, L2TP, PPTP, etc..
• DHCP: Cliente e Servidor DHCP
• Advanced-tools: Ferramentas de diagnóstico, netwatch e outros ultilitários
• Arlan: Suporte a uma antiga placa Aironet – antiga arlan
• Calea:: Pacote para vigilância de conexões (Exigido somente nos EUA)
• GPS: Suporte a GPS ( tempo e posição )
• HotSpot: Suporte a HotSpot
• ISDN: Suporte as antigas conexões ISDN
• LCD: Suporte a display LCD
• NTP: Servidor de horário oficial mundial
13
Pacotes do RouterOS
• Radiolan: Suporte a placa RadioLan
• RouterBoard: Utilitário para RouterBoards
• Routing:: Suporte a roteamento dinâmico tipo RIP, OSPF, BGP
• RSTP-BRIGE-TEST: Protocolo RSTP
• Security: Suporte a ssh, IPSec e conexão segura do winbox
• Synchronous: suporte a placas síncronas Moxa,, Cyclades PC300, etc...
• Telephony: Pacote de suporte a telefônia – protocolo h.323
• UPS: Suporte as no-breaks APC
• User-Manager: Serviço de autenticação User-Manager
Manager
• Web-Proxy: Serviço Web-Proxy
• Wireless: Suporte a placas Atheros e PrismII
• Wireless-legacy: Suporte as placas antigas Atheros,, PrismII e Aironet
14
Instalando pelo CD
• Pode-se
se selecionar os pacotes desejados usando a barra de espaços ou “a” para
todos. Em seguida pressione “i” para instalar os pacotes selecionados. Caso haja
configurações pode-se mantê-laslas pressionando “y”.
15
Instalação com Netinstall
• Pode ser instalado em PC que boota via rede(configurar
na BIOS)
16
Instalação com Netinstall
• Para se instalar em uma RouterBoard,
RouterBoard
inicialmente temos que entrar via serial, com
cabo null modem e os seguintes parâmetros:
• Coloque na máquina os
pacotes a serem
instalados
• Bootar e selecionar os
pacotes a serem
instalados
18
Primeiro acesso
• O processo de instalação não configura IP no
Mikrotik. Portanto o primeiro acesso pode ser feito
das seguintes maneiras:
22
Console no Mikrotik
• É possível monitorar o status das interfaces com o seguinte comando:
• Comando Export
– Exporta todas as configurações do diretoria acima;
– Pode ser copiado e colado em um editor de textos;
– Pode ser exportado para arquivo.
• Comando Import
– Importa um arquivo de configuração criado pelo comando export.
24
WINBOX
• Winbox é o utilitário para administração do Mikrotik em modo gráfico.
Funciona em Windows. Para funcionar no Linux é necessário a instalação
do emulador Wine.. A comunicação é feita pela porta TCP 8291 e caso você
habilite a opção “Secure Mode”” a comunicação será criptografada.
25
Acessando pelo WINBOX
• É possível acessar o Mikrotik inicialmente sem endereço IP, através
do MAC da interface do dispositivo que está no mesmo barramento
físico que o usuário. Para isso basta clicar nos 3 pontos e selecione o
MAC que aparecerá.
26
Configuração em Modo Seguro
• O Mikrotik permite o acesso ao sistema através do “modo seguro”. Este
modo permite desfazer as configurações modificadas caso a sessão seja
perdida de forma automática. Para habilitar o modo seguro pressione
“CTRL+X”.
27
Configuração em Modo Seguro
• Se um usuário entra em modo seguro, quando já há um nesse
modo, a seguinte mensagem será dada:
“Hijacking Safe Mode from someone – unroll/release/
/release/dont take it [u/r/d]
28
Configuração em Modo Seguro
• Todas configurações são desfeitas caso você perca comunicação com o
roteador, o terminal seja fechado clicando no “x” ou pressionando
CTRL+D.
• Configurações realizadas em modo seguro não são sofrem marcações na
lista de historico até serem confirmadas ou desfeitas. A flag “U” significa
que a ação não será desfeita. A flag “R” significa que a ação foi desfeita.
• É possível visualizar o histórico de modificações através do menu:
/system history print
29
Manutenção do Mikrotik
• Atualização
• Gerenciando pacotes
• Backup
31
Pacotes
• Adicionar novas funcionalidades podem ser feitas
através de alguns pacotes que não fazem parte do
conjunto padrão de pacotes combinado.
• Esses arquivos também possuem extensão .npk . e
para instalá-los
los basta fazer o upload para o
Mikrotik e efetuar um reboot do sistema.
• Alguns pacotes como “User
User Manager” e
“Multicast”” são exemplos de pacotes adicionais
que não fazem parte do pacote padrão.
32
Pacotes
• Alguns pacotes podem ser habilitados e desabilitados
conforme sua necessidade.
Pacote desabilitado
33
Backup
36
Nivelamento de conhecimentos TCP/IP
37
Modelo OSI
(Open System Interconnection)
Interconnection
CAMADA 7 – Aplicação: Comunicação com os programas. SNMP e TELNET.
38
Camada I – Camada Física
• A camada física define as características
técnicas dos dispositivos elétricos.
41
Camada III - Rede
• Responsável pelo endereçamento lógico dos
pacotes.
43
Sub Rede
• É uma faixa de endereços IP que divide as redes em segmentos
• Exemplo de sub rede: 255.255.255.0 ou /24
• O endereço de REDE é o primeiro IP da sub rede
• O endereço de BROADCAST é o último IP da sub rede
• Esses endereços são reservados e não podem ser usados
End. IP/Máscara End. de Rede End. Broadcast
192.168.1.0/23 192.168.0.0 192.168.1.255
192.168.1.1/24 192.168.1.0 192.168.1.255
192.168.1.1/25 192.168.1.0 192.168.1.127
192.168.1.1/26 192.168.1.0 192.168.1.63
44
Endereçamento CIDR
45
Protocolo ARP – Address Resolution Protocol
46
Camada IV - Transporte
• Quando no lado do remetente é responsável por
pegar os dados das camadas superiores e dividir em
pacotes para que sejam transmitidos para a camada
de rede.
Protocolo UDP:
O
O UDP é um protocolo não orientado a conexão e
portanto é mais rápido que o TCP. Entretanto não
garante a entrega dos dados.
48
Características do protocolo TCP
Garante a entrega de data gramas IP.
Executa a segmentação e reagrupamento de grande blocos de dados enviados
pelos programas e garante o seqüenciamento adequado e a entrega ordenada de
dados segmentados.
Verifica a integridade dos dados transmitidos usando cálculos de soma de
verificação.
Envia mensagens positivas dependendo do recebimento bem-sucedido
bem dos dados.
Ao usar confirmações seletivas, também são enviadas confirmações negativas
para os dados que não foram recebidos.
Oferece um método preferencial de transporte de programas que devem usar
transmissão confiável de dados baseados em sessões, como banco de dados
cliente/servidor por exemplo.
49
Diferenças básicas entre TCP e UDP
TCP UDP
Serviço sem conexão. Não é estabelecida
Serviço orientado por conexão.
conexão entre os hosts.
51
Portas TCP
Protocolo
TCP
53
DIAGRAMA INICIAL
54
Configuração do Router
• Adicione os ips as interfaces
3
1
56
Configuração do Router
• Adicione o servidor DNS
1
57
Configuração do Router
• Configuração da interface wireless
58
Teste de conectividade
• Pingar a partir da RouterBoard o seguinte ip:
192.168.X.254
• Pingar a partir da RouterBoard o seguinte endereço:
www.mikrotik.com;
• Pingar a partir do notebook o seguinte ip:
192.168.X.254
• Pingar a partir do notebook o seguinte endereço:
www.mikrotik.com;
• Analisar os resultados
59
Corrigir o problema de conectividade
61
• Adicionar uma regra de NAT, mascarando as
requisições que saem pela interface wlan1.
3
4
62
Teste de conectividade
2 64
Gerenciamento de usuários
67
Configurações Físicas
Padrão IEEE Frequência Tecnologia Velocidades
802.11n 2.4 Ghz e 5 Ghz BQSP, QPSQ e QAM De 6.5Mbps até 600 Mbps
68
802.11b - DSSS
69
Canais não interferentes em
2.4 Ghz - DSSS
Canal 1 Canal 6 Canal 11
70
Configurações Físicas – 2.4Ghz
• 2.4Ghz-B: Modo 802.11b,
que permite velocidades de
1 à 11 Mbps e utiliza
espalhamento espectral.
• 2.4Ghz-only-G: Modo
802.11g, que permite
velocidades de 6 à 54 Mbps
e utiliza OFDM.
73
Configurações Físicas – 5 Ghz
• 5Ghz: Modo 802.11a
opera nas três faixas
permitidas com
velocidades que vão de
6Mbps a 54 Mbps.
Menor troughput
Maior número de canais
Menor vulnerabilidade a interferências
Requer menor sensibilidade
Aumenta o nível de potência de tx
75
Canalização em 802.11a – Modo Turbo
Maior troughput
Menor número de canais
Maior vulnerabilidade a interferências
Requer maior sensibilidade
Diminui o nível de potência de tx
76
Padrão 802.11n
• INDICE:
MIMO
Velocidades do 802.11n
Bonding do canal
Agregação dos frames
Configuração dos cartões
Potência de TX em cartões N
Bridge transparente para links N utilizando MPLS/VPLS
77
MIMO
• MIMO: Multiple Input and Multiple Output
79
802.11n - Bonding dos canais 2 x 20Mhz
82
Configurando no Mikrotik
• HT Guard Interval: Intervalo de guarda.
– Any: Longo ou curto, dependendo
da velocidade de transmissão.
– Longo: Intervalo longo.
86
Bridge transparente em enlaces “N”
• Configurar o túnel VPLS em ambos os lados
• Crie uma bridge entre a interface VPLS e a ethernet conectada
• Confira o status do LDP e do túnel VPLS
87
Bridges VPLS - Considerações
• O túnel VPLS incrementa o pacote. Se este pacote
excede o MPLS MTU da interface de saida, este será
fragmentado.
• Se a interface ethernet suportar MPLS MTU de 1522
ou superior, a fragmentação pode ser evitada
alterando o MTU da interface MPLS.
88
Setup Outdoor para enlaces “n”
93
Configurações da camada física – DFS
• no radar detect: escaneia o meio e
escolhe o canal em que for encontrado
o menor número de redes
• radar detect:
detect escaneia o meio e espera
1 minuto para entrar em operação no
canal escolhido se não for detectada a
ocupação do canal
• WMM Support:
Support QoS no meio físico(802.11e)
95
Configurações da camada física – AP e
Client tx rate / Compression
• Defaul AP TX Rate:: Taxa máxima que o AP pode
transmitir para cada um de seus clientes.
Funciona para qualquer cliente.
97
Configurações da camada física – ACK
Dados
Dispositivo Dispositivo
“A” “B”
ACK
B -> BSS
P -> Protegida
R -> Mikrotik
N -> Nstreme
• Escaneia o meio.
101
Interface wireless - Alinhamento
103
Interface wireless - Snooper
105
Interface wireless – Modo de operação
Práticas de RF recomendadas:
Use antenas de qualidade, Polarizações diferentes, canais distantes e
mantenha uma boa distância entre as antenas. 113
WDS & WDS MESH
114
WDS – WIRELESS DISTRIBUTION SYSTEM
• A Bridge usa o endereço MAC da porta ativa com menor número de porta.
• A porta wireless está ativa somente quando existem hosts conectados a ela.
• Para evitar que os MACs fiquem variando, é possível atribuir um MAC
manualmente.
118
WDS / WDS MESH
• WDS Default Bridge: A bridge padrão para as
interfaces wds.
• WDS Mode
• dynamic:: As interfaces wds são adicionada dinamicamente quando um
dispositivo wds encontra outro compatível.
• static:: As interfaces wds devem ser adicionadas manualmente apontando o
MAC da outra ponta.
• (mesh): WDS com um algoritmo proprietário para melhoria do link. Só possui
compatibilidade com outros dispositivos Mikrotik.
119
WDS / MESH
• Altere o modo de operação
da wireless para: ap-bridge
Obs.:: Essa é uma boa opção para evitar que o cliente se associe a um AP
falso.
124
Segurança de Acesso em redes sem fio
125
Falsa segurança
• Nome da rede escondido:
– Pontos de acesso sem fio por padrão fazem
o broadcast de seu SSID nos pacotes
chamados “beacons”. ”. Este comportamento
pode ser modificado no Mikrotik
habilitando a opção “Hide SSID”.
• Pontos negativos:
– SSID deve ser conhecido pelos clientes
– Scanners passivos o descobrem facilmente
pelos pacotes de “probe request”
request dos
clientes.
126
Falsa segurança
• Controle de MACs:
– Descobrir MACs que trafegam no ar é muito
simples com ferramentas apropriadas e inclusive o
Mikrotik como sniffer.
127
Falsa segurança
• Criptografia WEP:
– “Wired Equivalent Privacy” – Foi o sistema de criptografia
inicialmente especificado no padrão 802.11 e está baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.
– Várias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo várias ferramentas para quebrar
a chave, como:
Airodump
Airreplay
Aircrack
129
Fundamentos de Segurança
Privacidade
As informações não podem ser legíveis para terceiros.
Integridade
As informações não podem ser alteradas quando em transito.
Autenticação
AP Cliente: O AP tem que garantir que o cliente é quem diz
ser.
Cliente AP: O cliente tem que se certificar que está
conectando no AP correto. Um AP falso possibilita o chamado
ataque do “homem do meio”.
130
Privacidade e Integridade
Tanto a privacidade como a integridade são garantidos
por técnicas de criptografia.
131
Chave WPA e WPA2 - PSK
• A configuração da chave
WPA/WAP2-PSK é muito simples
no Mikrotik.
132
Segurança de WPA / WPA2
• Atualmente a única maneira conhecida para se quebrar a
WPA-PSK
PSK é somente por ataque de dicionário.
134
Segurança de EAP-TLS
TLS sem certificados
• O resultado da negociação anônima resulta em uma
chave PMK que é de conhecimento exclusivo das duas
partes. Depois disso toda a comunicação é
criptografada por AES(WPA2) e o RC4(WPA).
• Seria um método muito seguro se não houvesse a
possibilidade de um atacante colocar um Mikrotik com
a mesma configuração e negociar a chave normalmente
como se fosse um cliente.
• Uma idéia para utilizar essa configuração de forma
segura é criando um túnel criptografado PPtP ou L2TP
entre os equipamentos depois de fechado o enlace.
135
Trabalhando com certificados
• O método EAP-TLS
EAP
também pode ser
usado com
certificados.
138
EAP-TLS sem Radius em ambos lados
• Metodos TLS
dont verify certificate:: Requer um
certificado, porém não verifica.
no certificates:: Certificados são
negociados dinamicamente com o
algoritmo de Diffie Hellman.
verify certificate: Requer um
certificado e verifica se foi assinado
por uma CA.
139
WPAx com radius
140
EAP-TLS
TLS com certificado
• EAP-TLS (EAP – Transport Layer Security)
• A configuração da parte do
cliente é bem simples.
– Selecione o método EAP-TLS
TLS
– Certifique-se que os
certificados estão instalados
e assinados pela CA.
– Associe o novo perfil de
segurança a interface
wireless correspondente.
142
EAP-TLS com Radius em ambos lados
• No lado do AP selecione o
método EAP “passthrough”. ”.
• Selecione o certificado
correspondente.
Obs.: Verifique sempre se o sistema está com o cliente NTP habilitado. Caso
a data do sistema não esteja correta, poderá causar falha no uso de
certificados devido a data validade dos mesmos.
143
Segurança de EAP-TLS
TLS com Radius
• Sem dúvida este é o método mais seguro que podemos
obter. Entretanto existe um ponto que podemos levantar
como possível fragilidade:
Ponto de fragilidade
– Se um atacante tem acesso físico ao link entre o AP e o Radius
ele pode tentar um ataque de força bruta para descobrir a
PMK.
– Uma forma de proteger este trecho é usando um túnel L2TP.
144
Resumo dos metodos de
implantação e seus problemas.
WPA-PSK
Chaves
Chaves presentes nos clientes e acessíveis aos operadores.
EPA-TLS
Método
Método seguro, porém também não disponível na
maioria dos equipamentos. Em placas PCI é possível
implementá-lo.
146
Método alternativo com Mikrotik
• A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP
e é vinculada ao MAC Address do cliente, possibilitando que cada um tenha
sua chave.
147
Método alternativo com Mikrotik
• Por outro lado, o Mikrotik permite que essas
chaves sejam distribuídas por Radius, o que torna
esse método muito interessante.
149
Configurando o Radius
Arquivo users: (/etc/freeradius)
#Sintaxe:
# MAC Cleartext-Password
Password:=“MAC”
# Mikrotik-Wireless
Wireless-Psk = “Chave_Psk”
000C42000001 Cleartext-Password
Password:=“000C42000001”
Mikrotik-Wireless
Wireless-Psk = “12341234”
000C42000002 Cleartext-Password
Password:=“000C43000002”
Mikrotik-Wireless
Wireless-Psk = “2020202020ABC”
150
Corrigindo o dicionário de atributos
(/usr/share/freeradius/dictionary
dictionary.mikrotik)
152
Firewall
• O firewall é normalmente usado como ferramenta de segurança para
prevenir o acesso não autorizado a rede interna e/ou acesso ao roteador
em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de
entrada, de saída e passante.
• Além da segurança é no firewall que serão desempenhadas diversas
funções importantes como a classificação e marcação de pacotes para
desenvolvimento de regras de QoS.
• A classificação do tráfego feita no firewall pode ser baseada em vários
classificadores como endereços MAC, endereços IP, tipos de endereços IP,
portas, TOS, tamanho do pacotes, etc...
153
Firewall - Opções
Processo Local
Processo Local IN
OUT
Decisão de Decisão de
Roteamento Filtro Input Filtro Output Roteamento
Filtro Forward
160
Filter Rules – Canais criados pelo usuário
REGRA REGRA
REGRA REGRA
REGRA REGRA
JUMP REGRA
REGRA REGRA
REGRA REGRA
REGRA REGRA
REGRA REGRA
163
Como funciona o canal criado pelo usuário
164
Firewall – Address List
• A address list contém uma lista de endereços IP que pode ser utilizada em
várias partes do firewall.
• Pode-se
se adicionar entradas de forma dinâmica usando o filtro ou mangle
conforme abaixo:
– Ações:
• add dst to address list:: Adiciona o IP de destino à lista.
• add src to address list:: Adiciona o IP de origem à lista.
– Address List:: Nome da lista de endereços.
– Timeout:: Porque quanto tempo a entrada permanecerá na lista.
165
Firewall – Técnica do “knock
“ knock”
166
Firewall – Técnica do “knock
“ knock”
• A técnica do “knock knock”” consiste em permitir acesso ao roteador somente após ter
seu endereço IP em uma determinada address list.
• Neste exemplo iremos restringir o acesso ao winbox somente a endereços IPs que
estejam na lista “libera_winbox”
/ip firewall filter
168
Firewall – Connection Track
O sistema de connection track é o coração do
firewall. Ele obtém e mantém informações sobre
todas conexões ativas.
Quando se desabilita a função “connection tracking”
são perdidas as funcionalidades NAT e as marcações
de pacotes que dependam de conexão. No entanto,
pacotes podem ser marcados de forma direta.
Connection track é exigente de recursos de
hardware. Quando o equipamento trabalha somente
como bridge é aconselhável desabilitá-la.
desabilitá
169
Localização da Connection Tracking
Conntrack Conntrack
Decisão de Decisão de
Filtro Input Filtro Output Roteamento
Roteamento
Filtro Forward
170
Firewall – Connection Track
172
Princípios básicos de proteção
Proteção do próprio roteador
Tratamento das conexões e eliminação de tráfego
prejudicial/inútil.
Permitir somente serviços necessários no próprio roteador.
Prevenir e controlar ataques e acessos não autorizado ao roteador.
173
Firewall – Tratamento de conexões
176
Firewall – Filtrando tráfego indesejável e
possíveis ataques.
• Controle de ICMP
– Internet Control Message Protocol é basicamente uma
ferramenta para diagnóstico da rede e alguns tipos de
ICMP devem ser liberados obrigatoriamente.
– Um roteador usa tipicamente apenas 5 tipos de
ICMP(type:code), que são:
• Ping – Mensagens (0:0) e (8:0)
• Traceroute – Mensagens (11:0) e (3:3)
• PMTUD – Mensagens (3:4)
• Os outros tipos de ICMP podem ser bloqueados.
177
Firewall – Filtrando tráfego indesejável
• IP’s Bogons:
– Existem mais de 4 milhões de endereços IPV4.
– Existem muitas ranges de IP restritos em rede públicas.
– Existem várias ranges reservadas para propósitos específicos.
– Uma lista atualizada de IP’s bogons pode ser encontrada em:
http://www.team-cymru.org/Services/Bogons/bogon
cymru.org/Services/Bogons/bogon-dd.html
• IP’s Privados:
– Muitos aplicativos mal configurados geram pacotes destinados a
IP’s privados e é uma boa prática filtrá-los.
filtrá
178
Firewal – Proteção básica
• Ping Flood:
180
Firewal – Proteção básica
• Ataques DoS:
– O principal objetivo do ataque de DoS é o consumo de
recursos de CPU ou banda.
– Usualmente o roteador é inundado com requisições de
conexões TCP/SYN causando resposta de TCP/SYN-ACK
TCP/SYN e
a espera do pacote TCP/ACK.
– Normalmente não é intencional ou é causada por vírus
em clientes.
– Todos os IP’s com mais de 15 conexões com o roteador
podem ser considerados atacantes.
181
Firewal – Proteção básica
• Ataques DoS:
– Se simplesmente descartamos as conexões,
permitiremos que o atacante crie uma nova conexão.
183
Firewal – Proteção para ataques DoS
• Com a ação “tarpit”
aceitamos a conexão e a
fechamos, não deixando
no entanto o atacante
trafegar.
184
Firewal – Proteção básica
• Ataque dDoS:
– Ataque de dDoS são bastante
parecidos com os de DoS,
porém partem de um grande
número de hosts infectados.
187
Firewall NAT – Fluxo de pacotes
Interface de Interface de
Entrada Saida
Processo Local
Processo Local IN
OUT
Conntrack
Decisão de Decisão de
Filtro Input Filtro Output Roteamento
Roteamento
189
Firewall - NAT
• NAT (1:1): Serve para dar acesso bi-direcional
direcional a um determinado
endereço IP. Dessa forma, um endereço IP de rede local pode ser
acessado através de um IP público e vice-versa.
vice
190
Firewall - NAT
• Redirecionamento de portas:: O NAT nos possibilita redirecionar portas
para permitir acesso a serviços que rodem na rede interna. Dessa forma
podemos dar acesso a serviços de clientes sem utilização de endereço IP
público.
Redirecionamento Redirecionamento
para acesso ao para acesso ao
servidor WEB do servidor WEB do
cliente cliente
192.168.100.10 pela 192.168.100.20 pela
porta 6380. porta 6480.
191
Firewall - NAT
• NAT (1:1) com netmap: Com o netmap podemos criar o mesmo acesso
bi-direcional
direcional de rede para rede. Com isso podemos mapear, por
exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:
192
Firewall – NAT Helpers
194
Firewall – Mangle
• As regras de mangle são organizadas em canais e
obedecem as mesma regras gerais das regras de filtro
quanto a sintaxe.
• Também é possível criar canais pelo próprio usuário.
• Existem 5 canais padrão:
– prerouting:: Marca antes da fila “Global-in”;
“Global
– postrouting:: Marca antes da fila “Global-out”;
“
– input:: Marca antes do filtro “input”;
– output:: Marca antes do filtro “output”;
– forward:: Marca antes do filtro “forward”;
“
195
Firewall – Diagrama do Mangle
Mangle
Forward
196
Firewall – Mangle
As
As opções de marcações incluem:
mark-connection:: Marca apenas o primeiro pacote.
• Marcando conexões:
• Marcando rotas:
199
Firewall – Mangle
• Marcando pacotes:
200
Firewall – Mangle
• Marcando pacotes:
202
Firewall – Fluxo de pacotes
203
Firewall - Mangle
• Um bom exemplo da utilização do mangle é
marcando pacotes de conexões P2P.
204
Firewall - Mangle
207
QoS e Controle de banda
208
Conceitos básicos de Largura e Limite
de banda
• Largura de banda:: Em telecomunicações, a largura da banda ou apenas banda (também chamada de
débito) usualmente se refere à bitrate de uma rede de transferência de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominação banda, designada originalmente a um grupo de
frequências é justificada pelo fato de que o limite de transferência de dados de um meio está ligado à
largura da banda em hertz. O termo banda larga denota conexões com uma largura em hertz
relativamente alta, em contraste com a velocidade padrão em linhas analógicas convencionais (56
kbps), na chamada conexão discada.
• Limite de banda:: O limite de banda é o limite máximo de transferência de dados, onde também é
designada sua velocidade. Por exemplo, você pode ter uma conexão discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo é o limite de transferência de dados de sua conexão ou uma banda de
1Mbps, você conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar também o valor relativo a transferência de dados real, ou também
chamado de Taxa ou Velocidade de Transferência ou (throughput),
( que varia aproximadamente entre
10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
você conseguirá taxas de transferencia de no máximo 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, você conseguirá uma Taxa de Transferência de aproximadamente entre 25kbps a
30,7kbps
209
Traffic Shaping
• Traffic shaping é um termo da língua inglesa, utilizado para definir a prática de priorização
do tráfego de dados, através do condicionamento do débito de redes, a fim de otimizar o
uso da largura de banda disponível.
• O termo passou a ser mais conhecido e utilizado após a popularização do uso de
tecnologias "voz sobre ip" (VoIP),
), que permitem a conversação telefônica através da
internet. O uso desta tecnologia permite que a comunicação entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexões comuns.
• No Brasil, a prática passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituições protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gestão de dados que acompanham e analisam a utilização e
priorizam a navegação, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de serviço. A prática também é comumente
adotada para outros tipos de serviços, conhecidos por demandar grande utilização da
largura de banda, como os de transferência de arquivos, por exemplo, P2P e FTP.
• Os programas de traffic shaping podem ainda fazer logs dos hábitos de utilizadores,
capturar informações sobre IPs acedidos, ativar gravações automáticas a partir de
determinadas condutas, reduzir ou interferir na transferência de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.
210
Qualidade de Serviço
• No campo das telecomunicações e redes de computadores,
computadores o termo Qualidade de
Serviço (QoS)) pode tender para duas interpretações relacionadas, mas distintas.
• Em redes de comutação de circuitos,, refere-se
refere à probabilidade de sucesso em
estabelecer uma ligação a um destino. Em redes de comutação de pacotes refere-se à
garantia de largura de banda ou, como em muitos casos, é utilizada informalmente
para referir a probabilidade de um pacote circular entre dois pontos de rede.
• Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura
oferecer bastantes recursos, suficientes para o pico esperado, com uma margem de
segurança substancial. É simples e eficaz, mas na prática é assumido como
dispendioso, e tende a ser ineficaz se o valor de pico aumentar além do previsto:
reservar recursos gasta tempo. O segundo método é o de obrigar os provedores a
reservar os recursos, e apenas aceitar as reservas se os routers conseguirem
servi-las
las com confiabilidade. Naturalmente, as reservas podem ter um custo
monetário associado!
211
Qualidade de Serviço
• Os mecanismos para prover QoS no Mikrotik são:
– Limitar banda para certos IP’s,
IP’s subredes, protocolos,
serviços e outros parâmetros.
– Limitar tráfego P2P.
– Priorizar certos fluxos de dados em relação a outros.
– Utilizar burst’s para melhorar o desempenho web.
– Compartilhar banda disponível entre usuários de forma
ponderada dependendo da carga do canal.
– Utilização de WMM – Wireless Multimídia.
– MPLS – Multi Protocol Layer Switch
212
Qualidade de Serviço
• Os principais termos utilizados em QoS são:
– Queuing discipline(qdisc):: Disciplina de enfileiramento. É um
algoritmo que mantém e controla uma fila de pacotes. Ela
especifica a ordem dos pacotes que saem, podendo inclusive
reordená-los,
los, e determina quais pacotes serão descartados.
– Limit At ou CIR(Commited Information Rate): Taxa de dados
garantida. É a garantia de banda fornecida a um circuito ou link.
– Max Limit ou MIR(Maximal Information Rate): Taxa máxima de
dados que será fornecida. Ou seja, limite a partir do qual os
pacotes serão descartados.
– Priority:: É a ordem de importância que o tráfego é processado.
Pode-se
se determinar qual tipo de tráfego será processado
primeiro.
213
Filas - Queues
• Uma vez adicionada uma fila para uma interface física, a fila padrão da
interface, definida em queue interface, não será mantida. Isso significa que
quando um pacote não encontra qualquer filtro, ele é enviado através da
interface com prioridade máxima. 215
Tipos de filas
• As disciplinas de filas são utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas são classificadas pela sua influência no fluxo de
pacotes da seguinte forma:
– Schedulers:: (Re) ordenam pacotes de acordo com um determinado algoritmo e
descartam aqueles que se enquadram na disciplina. As disciplinas “schedulers”
“
são: PFIFO, BFIFO, SFQ, PCQ e RED.
216
Controle de tráfego
217
Controle de tráfego
• O controle de tráfego é implementado através de
dois mecanismos:
218
Controle de tráfego
O controle de tráfego é implementado internamente por 4
tipos de componentes:
Queuing Disciplines (qdisc):
Algoritmos que controlam o enfileiramento e envio de pacotes.
Ex.: FIFO.
Classes:
Representam entidades de classificação de pacotes.
Cada classe pode estar associada a um qdisc.
Filters:
Utilizados para classificar os pacotes e atribuí-los
atribuí as classes.
Policers:
Utilizados para evitar que o tráfego associado a cada filtro
ultrapasse limites pré-definidos.
219
Controle de tráfego – Tipos de fila
• PFIFO e BFIFO:: Estas disciplinas de filas são baseadas no algoritmo FIFO(First-in
FIFO(
First-out),
), ou seja, o primeiro que entra é o primeiro que sai. A diferença entre
PFIFO e BFIFO é que, um é medido em pacotes e o outro em bytes. Existe apenas
um parâmetro chamado Queue Size que determina a quantidade de dados em
uma fila FIFO pode conter. Todo pacote que não puder ser enfileirado (se fila
estiver cheia) será descartado. Tamanhos grandes de fila poderão aumentar a
latência. Em compensação provê melhor utilização do canal.
220
Controle de tráfego – Tipos de fila
• RED: Random Early Detection – Detecção Aleatória Antecipada é um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho
médio da fila. Quando o tamanho médio da fila atinge o valor configurado em min
threshould,, o RED escolhe um pacote para descartar. A probabilidade do número de
pacotes que serão descartados cresce na medida em que a média do tamanho da fila
cresce. Se o tamanho médio da fila atinge o max threshould, os pacotes são
descartados com a probabilidade máxima. Entretanto existem casos que o tamanho
real da fila é muito maior que o max threshould então todos os pacotes que
excederem o min threshould serão descartados.
• RED é indicado em links congestionados com altas taxas de dados. Como é muito
rápido funciona bem com TCP.
221
Controle de tráfego – Tipos de fila
• SFQ: Stochastic Fairness Queuing – Enfileiramento Estocástico “com justiça” é
uma disciplina que tem “justiça” assegurada por algoritmos de hashing e round
roubin.. O fluxo de pacotes pode ser identificado exclusivamente por 4 opções:
– src-address
– dst-address
– src-port
– dst-port
Os pacotes podem ser classificados em 1024 sub-filas,
sub e em seguida o algoritmo
round roubin distribui a banda disponível para estas sub-filas,
sub a cada “rodada”
configurada no parâmetro allot(bytes).
Não limita o tráfego. O objetivo é equalizar os fluxos de tráfegos(sessões TCP e
streaming UDP) quando o link(interface) está completamente cheio. Se o link não
está cheio, então não haverá fila e, portanto, qualquer efeito, a não ser quando
combinado com outras disciplinas (qdisc).
222
Controle de tráfego – Tipos de fila
• SFQ:: A fila que utiliza SFQ, pode conter 128 pacotes e há 1024 sub-filas
sub
disponíveis.
• É recomendado o uso de SFQ em links congestionados para garantir que
as conexões não degradem. SFQ é especialmente recomendado em
conexões wireless.
223
Controle de tráfego – Tipos de fila
• PCQ: Per Connection Queuing – Enfileiramento por conexão foi criado para resolver
algumas imperfeições do SFQ. É o único enfileiramento de baixo nível que pode fazer
limitação sendo uma melhoria do SFQ, sem a natureza “estocástica”. PCQ também
cria sub-filas considerando o parâmetro pcq-classifier.
pcq Cada sub-fila tem uma taxa de
transmissão estabelecida em rate e o tamanho máximo igual a limit. O tamanho total
de uma fila PCQ fica limitado ao configurado em total limit. No exemplo abaixo
vemos o uso do PCQ com pacotes classificados pelo endereço de origem.
224
Controle de tráfego – Tipos de fila
• PCQ:: Se os pacotes são classificados pelo endereço de origem, então todos os pacotes com
diferentes endereços serão organizados em sub-filas
sub diferentes. Nesse caso é possível fazer
a limitação ou equalização para cada sub-filafila com o parâmetro Rate. Neste ponto o mais
importante é decidir qual interface utilizar esse tipo de disciplina. Se utilizarmos na
interface local, todo o tráfego da interface pública será agrupado pelo endereço de origem.
O que não é interessante. Mas se for empregado na interface pública todo o tráfego dos
clientes será agrupado pelo endereço de origem, o que torna mais fácil equalizar o upload
dos clientes. O mesmo controle pode ser feito para o download, mas nesse caso o
classificador será o “dst. Address”” e configurado na interface local.
225
QoS - HTB
• Hierarchical Token Bucket é uma disciplina de enfileiramento hierárquico que é
usual para aplicar diferentes políticas para diferentes tipos de tráfego. O HTB
simula vários links em um único meio físico, permitindo o envio de diferentes tipos
de tráfego em diferentes links virtuais. Em outras palavras, o HTB é muito útil para
limitar download e upload de usuários em uma rede. Desta forma não existe
saturamento da largura de banda disponível no link físico. Além disso, no Mikrotik,
é utilizado para fazer QoS.
227
QoS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=8Mbps max-limit=10Mbps
Queue03 limit-at=2Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Exemplo de HTB Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
228
QoS - HTB
• Termos do HTB:
– Filter:: Um processo que classifica pacotes. Os filtros são responsáveis pela
classificação dos pacotes para que eles sejam colocados nas correspondentes
qdisc.. Todos os filtros são aplicados na fila raiz HTB e classificados diretamente
nas qdiscs,, sem atravessar a árvore HTB. Se um pacote não está classificado
em nenhuma das qdiscs,, é enviado a interface diretamente, por isso nenhuma
regra HTB é aplicada aos pacotes.
229
QoS - HTB
• Estados das classes HTB:
– Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que está
consumindo:
• Verde:: de 0% a 50% da banda disponível está em
uso.
• Amarelo:: de 51% a 75% da banda disponível está
em uso.
• Vermelho:: de 76% a 100% da banda disponível
está em uso. Neste ponto começam os descartes
de pacotes que se ultrapassam o max-limit.
230
QoS - HTB
• No Mikrotik as estruturas do HTB pode ser anexadas a quatro
locais diferentes.
– Interfaces:
• Global-in:: Representa todas as interfaces de entrada em geral(INGRESS
queue). As filas atreladas à Global--in recebem todo tráfego entrante no
roteador, antes da filtragem de pacotes.
• Global-out:: Representa todas as interfaces de saida em geral(EGRESS queue).
As filas atreladas à Global-out recebem todo tráfego que sai do roteador.
• Global-total:: Representa uma interface virtual através do qual se passa todo
fluxo de dados. Quando se associa uma politíca de filas à Global-total, a
limitação é feita em ambas direções. Por exemplo se configurarmos um total-
max-limit de 300kbps, teremos um total de download+upload
download+ de 300kbps,
podendo haver assimetria.
• Interface X:: Representa uma interface particular. Somente o tráfego que é
configurado para sair através desta interface passará através da fila HTB.
231
Interfaces virtuais e o Mangle
Mangle
Forward
232
Filas simples
Caso 1 Caso 2
237
Utilização do PCQ
238
Utilização do PCQ
239
Arvores de Fila
• Trabalhar com árvores de fila é uma maneira mais elaborada de administrar o
tráfego. Com elas é possível construir sob medida uma hierarquia de classes, onde
poderemos configurar as garantias e prioridades de cada fluxo em relação à
outros, determinando assim uma política de QoS para cada fluxo do roteador.
• Os filtros de árvores de filas são aplicados na interface especifica. Os filtros são
apenas marcas que o firewall faz no fluxo de pacotes na opção mangle. Os filtros
enxergam os pacotes na ordem em que eles chegam no roteador.
• A árvore de fila é também a única maneira para adicionar uma fila em uma
interface separada.
• Também é possível ter o dobro de enfileiramento. Ex: priorizando o tráfego global-
in e/ou global-out,, limitação por cliente na interface de saída. Se é configurado
filas simples e árvores de filas no mesmo roteador, as filas simples receberão o
tráfego primeiro e em seguida o classficarão.
classficarão
240
Arvores de Fila
• As árvores de fila são configuradas em
queue tree.
241
Arvores de Fila
QUEUE MARCA LIMIT-
LIMIT-AT MAX-LIMIT PRIORITY
Q1 C1 10M 30M 8
Q2 C2 1M 30M 8
Q3 C3 1M 30M 8
Q4 C4 1M 30M 8
Q5 C5 1M 30M 8
Obs.: O roteador não conseguirá garantir banda para Q1 o tempo todo. 242
Arvores de Fila
243
Arvores de Fila
245
Túneis e VPN
246
VPN
• Uma Rede Privada Virtual é uma rede de
comunicações privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituições, construídas em
cima de uma rede pública. O tráfego de
dados é levado pela rede pública utilizando
protocolos padrão, não necessariamente
seguros.
247
VPN
• As principais características da VPN são:
– Promover acesso seguro sobre meios físicos públicos
como a internet por exemplo.
– Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
– Promover acesso seguro a serviços em ambiente
corporativo de correio, impressoras, etc...
– Fazer com que o usuário, na prática, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurança definidos.
– A base da formação das VPNs é o tunelamento entre dois
pontos, porém tunelamento não é sinônimo de VPN.
248
Tunelamento
• A definição de tunelamento é a capacidade de criar túneis entre dois
hosts por onde trafegam dados.
• O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
– PPP (Point to Point Protocol)
– PPPoE (Point to Point Protocol over Ethernet)
– PPTP (Point to Point Tunneling Protocol)
Protocol
– L2TP (Layer 2 Tunneling Protocol)
– OVPN (Open Virtual Private Network)
– IPSec (IP Security)
– Túneis IPIP
– Túneis EoIP
– Túneis VPLS
– Túneis TE
249
PPP – Definições Comuns para os
serviços
• MTU/MRU:: Unidade máximas de transmissão/ recepção em
bytes. Normalmente o padrão ethernet permite 1500 bytes.
Em serviços PPP que precisam encapsular os pacotes, deve-
deve
se definir valores menores para evitar fragmentação.
252
PPPoE – Cliente e Servidor
• PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato da
rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui informações
sobre o remetente e o destinatário, desperdiçando mais banda. Cerca de 2% a
mais.
• Muito usado para autenticação de clientes com base em Login e Senha. O PPPoE
estabelece sessão e realiza autenticação com o provedor de acesso a internet.
• PPPoE por padrão não é criptografado. O método MPPE pode ser usado desde
que o cliente suporte este método.
253
PPPoE – Cliente e Servidor
• O cliente descobre o servidor através do protocolo
pppoe discovery que tem o nome do serviço a ser
utilizado.
254
Configuração do Servidor PPPoE
1. Primeiro crie um pool de IPs para o
PPPoE
PPPoE.
256
Configuração do Servidor PPPoE
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vão
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai
escutar.
257
Mais sobre perfis
Bridge: Bridge para associar ao perfil
Incoming/Outgoing
Outgoing Filter: Nome do canal do
firewall para pacotes entrando/saindo.
Address List:
List Lista de endereços IP para associar ao
perfil.
Use Compression/Encryption/Change
Compression TCP MSS:
caso estejam em default, vão associar ao valor que
está configurado no perfil default-profile.
258
Mais sobre perfis
Session Timeout: Duração máxima de uma
sessão PPPoE.
Idle Timeout: Período de ociosidade na
transmissão de uma sessão. Se não houver
tráfego IP dentro do período configurado, a
sessão é terminada.
Rate Limit:
Limit Limitação da velocidade na forma
rx-rate//tx-rate. Pode ser usado também na
forma rx-rate/tx-rate
rx rx-burst-rate/tx-burst-
rate rx--burst-threshould/tx-burst-threshould
burst-time
time priority rx-rate-min/tx-rate-min.
Only One:
One Permite apenas uma sessão para o
mesmo usuário.
259
Mais sobre o database
Service: Especifica o serviço disponível para este
cliente em particular.
Local/Remote
Remote Address: Endereço IP Local (servidor)
e remote(cliente)
(cliente) que poderão ser atribuídos a um
cliente em particular.
Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que 1500 bytes.
Até o momento não possuímos nenhuma maneira de alterar a MTU da interface sem fio de
clientes MS Windows. A opção One Session Per Host permite somente uma sessão por host(MAC
Address). Por fim, Max Sessions define o número máximo de sessões que o concentrador
suportará.
261
Segurança no PPPoE
• Para assegurar um servidor PPPoE pode-
se utilizar Filtros de Bridge, configurando
a entrada ou repasse dos protocolos
pppoe-discovery e pppoe-session e
descartando os demais.
262
Configurando o PPPoE Client
• O tráfego L2TP utiliza protocolo UDP tanto para controle como para pacote de
dados. A porta UDP 1701 é utilizada para o estabelecimento do link e o tráfego
em si utiliza qualquer porta UDP disponível, o que significa que o L2TP pode ser
usado com a maioria dos Firewalls e Routers,
Routers funcionando também através de
NAT.
264
Configuração do Servidor PPTP e L2TP
• Supondo que temos que unir as redes que estão por trás
dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta
criemos as interfaces IPIP em ambos, da seguinte forma:
269
Túneis IPIP
270
Túneis EoIP
• EoIP(Ethernet over IP) é um protocolo
proprietário Mikrotik para encapsula mento de
todo tipo de tráfego sobre o protocolo IP.
Quando habilitada a função de Bridge dos roteadores que estão interligados através de
um túnel EoIP,, todo o tráfego é passado de uma lado para o outro de forma
transparente mesmo roteado pela internet e por vários protocolos.
A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet através do protocolo GRE.
271
Túneis EoIP
272
Túneis EoIP
273
Dúvidas ????
274
HotSpot no Mikrotik
275
HotSpot
• HotSpot é um termo utilizado para se referir a uma área pública
onde está disponível um serviço de acesso a internet,
normalmente através de uma rede sem fio wi-fi. Aplicações
típicas incluem o acesso em Hotéis, Aeroportos, Shoppings,
Universidades, etc...
O conceito de HotSpot no entanto pode ser usado para dar acesso controlado a
uma rede qualquer, com ou sem fio, através de autenticação baseada em nome
de usuário e senha.
277
HotSpot
• Setup do HotSpot(cont.):
278
HotSpot
• Embora tenha sido uma configuração fácil e rápida, o Mikrotik se encarregou de
fazer o trabalho pesado, criando regras apropriadas no firewall, bem como uma fila
especifica para o HotSpot.
279
HotSpot – Detalhes do Servidor
Address Per MAC: Número de IPs permitidos para um
determinado MAC.
281
HotSpot – Perfil do Servidor
• Login by:
– MAC:: Usa o MAC dos clientes primeiro como nome do usuário.
Se existir na tabela de usuários local ou em um Radius,
Radius o cliente
é liberado sem usuário/senha.
– HTTP CHAP: Usa o método criptografado.
– HTTP PAP: Usa autenticação em texto plano.
– Cookie: Usa HTTP cookies para autenticar sem pedir
credenciais. Se o cliente não tiver mais o cookie ou se tiver
expirado ele de usar outro método.
– HTTPS:: Usa túnel SSL criptografado. Para que este método
funcione, um certificado válido deve ser importado para o
roteador.
– Trial:: Não requer autenticação por um determinado tempo.
• Split User Domain:: Corta o domínio do usuário no caso de usuario@hotspot.com
• HTTP Cookie Lifetime: Tempo de vida dos cookies..
282
HotSpot – Perfil do Servidor
• Use Radius: Utiliza servidor Radius para autenticação
dos usuários do hotspot.
283
HotSpot – Perfil de Usuários
• O Use Profile serve para dar tratamento
diferenciado a grupos de usuários, como
suporte, comercial, diretoria, etc...
Session Timeout: Tempo máximo permitido.
Idle Timeout/Keepalive:
Timeout/ Mesma explicação
anterior, no entanto agora somente para este
perfil de usuários.
Status Autorefresh:
Autorefresh Tempo de refresh da página
de Status do HotSpot.
284
HotSpot – Perfil de Usuários
• Os perfis de usuário podem conter os limites de velocidade de
forma completa.
Rate Limit: [rx--limit/tx-limit] [rx-burst-limit/tx-burst-limit] [rx-
burst-threshold
threshold/tx-burst-threshold] [rx-burst-time/tx-burst-
time] [priority]] [rx-limit-at/tx-limit-at]
[
286
HotSpot – Perfil de Usuários
• Com a opção Advertise é possível enviar de tempos
em tempos “popups”” para os usuários do HotSpot.
• Advertise URL:: Lista de páginas que serão
anunciadas. A lista é cíclica, ou seja, quando a última
é mostrada, começa-se se novamente pela primeira.
288
HotSpot – Usuários
289
HotSpot – Usuários
• Server: all para todos hotspots ou para um específico.
• Name:: Nome do usuário. Se o modo Trial estiver ativado o
hotspot colocará automaticamente o nome “T- “
MAC_Address”. ”. No caso de autenticação por MAC, o mesmo
deve ser adicionado como username sem senha.
• Address:: Endereço IP caso queira vincular esse usuário a um
endereço fixo.
• MAC Address:: Caso queira vincular esse usuário a um
endereço MAC especifico.
Profile:: Perfil onde o usuário herda as propriedades.
Routes:: Rotas que serão adicionadas ao cliente quando se conectar. Sintaxe:
“Endereço destino gateway metrica”.”. Várias rotas separadas por vírgula podem ser
adicionadas.
290
HotSpot – Usuários
• Limit Uptime:: Limite máximo de tempo de conexão para o
usuário.
• Limit Bytes In:: Limite máximo de upload para o usuário.
• Limit Bytes Out:: Limite máximo de download para o
usuário.
• Limit Bytes Total:: Limite máximo considerando o
download + upload.
upload
291
HotSpot – Active
• Mostra dados gerais e estatísticas de cada usuário conectado.
292
HotSpot – IP Bindings
O Mikrotik por default tem habilitado o “universal client” que é uma facilidade que
aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. Esta
facilidade é denominada “DAT” na AP 2500 e “eezee”
“ no StarOS.
É possivel também fazer traduções NAT estáticas com base no IP original, ou IP da rede
ou MAC do cliente. É possível também permitir certos endereços “contornarem” a
autenticação do hotspot.. Ou seja, sem ter que logar na rede inicialmente. Também é
possível fazer bloqueio de endereços.
293
HotSpot – IP Bindings
MAC Address: mac original do cliente.
Address:
Address Endereço IP do cliente.
Server
Server: Servidor hotspot o qual a regra
será aplicada.
Type:
Type Tipo do Binding
Regular: faz tradução regular 1:1
Bypassed: faz tradução mas dispensa o
cliente de logar no hotspot.
Blocked: a tradução não será feita e todos os
pacotes serão bloqueados.
294
HotSpot – Ports
295
HotSpot – Walled Garden
• Configurando um “walled garden”” é possível oferecer ao usuário o acesso a
determinados serviços sem necessidade de autenticação. Por exemplo em um
aeroporto poderia se disponibilizar informações sobre o tempo ou até mesmo
disponibilizar os sites dos principais prestadores de serviço para que o cliente possa
escolher qual plano quer comprar.
• Quando um usuário não logado no hotspot requisita um serviço do walled garden o
gateway não intercepta e, no caso do http,, redireciona a requisição para o destino ou
um proxy.
• Para implementar o walled garden para requisições http, existe um web proxy
embarcado no Mikrotik, de forma que todas requisições de usuários não autorizados
passem de fato por esse proxy.
• Observar que o proxy embarcado no Mikrotik não tem a função de cache, pelo menos
por hora. Notar também que esse proxy faz parte do pacote system e não requer o
pacote web-proxy.
296
HotSpot – Walled Garden
• É importante salientar que o walled
garden não se destina somente a
serviço WEB, mas qualquer serviço
que se queira configurar. Para tanto
existem 2 menus distintos conforme
do figuras ao lado. Sendo o menu de
cima para HTTP e HTTPS e o de baixo
para outros serviços e protocolos.
297
HotSpot – Walled Garden
• Action: Permite ou nega.
• Server: Hotspot para o qual o walled garden vale.
• Src.Address:: Endereço IP do usuário requisitante.
• Dst. Address: Endereço IP do web server.
• Method: Método http ou https.
• Dst. Host:: Nome do domínio do servidor de destino.
• Dst. Port: Porta de destino do servidor.
• Path: Caminho da requisição.
Obs.: Nos nomes dos domínios é necessário o nome completo, podendo ser usado
coringas. Também é possível utilizar expressões regulares devendo essas ser
iniciadas com (:)
298
HotSpot – Walled Garden
• Action:: Aceita, descarta ou rejeita o pacote.
299
HotSpot – Cookies
300
Personalizando o HotSpot
• As páginas do hotspot são completamente configuráveis e além
disso é possível criar conjuntos completamente diferentes das
páginas do hotspot para vários perfis de usuários especificando
diferentes diretórios raiz.
302
Dúvidas ????
303
Roteamento
• O Mikrotik suporta dois tipos de roteamento:
– Roteamento estático: As rotas são criadas pelo usuário através de inserções pré-definidas
pré em
função da topologia da rede.
– Roteamento dinâmico: As rotas são geradas automaticamente através de um protocolo de
roteamento dinâmico ou de algum agregado de endereço IP.
304
Políticas de Roteamento
305
Políticas de Roteamento
306
Políticas de Roteamento
• Exemplo de política de
roteamento.
308
Balanceamento de Carga com PCC
309
Balanceamento de Carga com PCC
• O PCC é uma forma de balancear o tráfego de acordo com um critério de
classificação pré-determinado
determinado das conexão. Os parametros de configuração são:
310
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
312
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
313
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
314
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
315
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
316
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Agora vamos criar as rotas baseadas nas marcações de rotas. Iremos considerar que os 3
gateways internet são: 10.10.10.1, 20.20.20.1 e 30.30.30.1 317
Balanceamento de Carga com PCC
Exemplo de PCC com 3 links
Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a mesma
operação para as demais interfaces. 318
Roteamento Dinâmico
• O Mikrotik suporta os seguintes protocolos:
– RIP versão 1 e 2;
– OSPF versão 2 e 3;
– BGP versão 4.
319
Roteamento dinâmico - BGP
• O protocolo Open Shortest Path First,, é um protocolo do tipo “link state”. Ele
usa o algoritmo de Dijkstra para calcular o caminho mais curto para todos os
destinos.
• O OSPF distribui informações de roteamento entre os roteadores que
participem de um mesmo AS(Autonomous
Autonomous System) e que tenha o protocolo
OSPF habilitado.
• Para que isso aconteça, todos os roteadores tem de ser configurados de uma
maneira coordenada e devem ter o mesmo MTU para todas as redes
anunciadas pelo protocolo OSPF.
• O protocolo OSPF é iniciado depois que é adicionado um registro na lista de
redes. As rotas são aprendidas e instaladas nas tabelas de roteamento dos
roteadores.
321
Roteamento Dinâmico - OSPF
• O protocolo OSPF permite que vários roteadores sejam agrupados entre si. Cada
grupo formado é chamado de área e cada área roda uma cópia do algoritmo
básico, e cada área tem sua própria base de dados do estado de seus roteadores.
• A divisão em áreas é importante pois como a estrutura de uma área só é visível
para os participantes desta, o tráfego é sensívelmente reduzido. Isso também
previne o “recalculo” das distâncias por áreas que não participam da área que
promoveu alguma mudança de estado.
• É aconselhavel utilizar no entre 50 e 60 roteadores em cada área.
323
OSPF - Redes
• Aqui definimos as redes OSPF com os seguintes
parâmetros:
– Network: Endereço IP/Mascara, associado. Permite
definir uma ou mais interfaces associadas a uma área.
Somente redes conectadas diretamente podem ser
adicionadas aqui.
324
OSPF - Opções
• Router ID:
ID Geralmente o IP do roteador. Caso
não seja especificado o roteador usará o maior
IP que exista na interface.
325
OSPF - Opções
• Redistribute Connected Routes: Caso habilitado, o
roteador irá distribuir todas as rotas relativas as redes que
estejam diretamente conectadas a ele.
• Redistribute Static Routes: Caso habilitado, distribui as
rotas cadastradas de forma estática em /ip / routes.
• Redistribute RIP Routes: Caso habilitado, redistribui as
rotas aprendidas por RIP.
• Redistribute BGP Routes: Caso habilitado, redistribui as
rotas aprendidas por BGP.
• Na aba “Metrics
Metrics” é possível modificar as métricas que
serão exportadas as diversas rotas.
326
OSPF
328
Web Proxy
• O web proxy é uma ótima ferramenta para fazer cache de
“objetos” da internet e com isso economizar banda.
• Também é possível utilizar o web proxy como filtro de
conteúdo sem a necessidade de fazer cache.
• Como o web proxy escuta todos ips do router, é muito
importante assegurar que somente clientes da rede local
irão acessá-lo.
• A boa prática recomenda o uso de 20GB de cache para cada
1GB de memória RAM. Portanto com uma simples regra de
3 é simples encontrar o valor ideal para a memória RAM do
seu equipamento.
329
Web Proxy - Parâmetros
• Src. Address:
Address Enderço IP do servidor proxy caso
você possua vários ips no mesmo roteador.
• Port: Porta onde o servidor irá escuta.
• Parent Proxy: Servidor proxy pai usado em um
sistema de hierarquia de proxy.
• Parent Proxy Port: Porta o parent proxy escuta.
• Cache Administrator:
Administrator Identificação do
administrador do proxy.
• Max Cache Size: Tamanho máximo do cache em
KiBytes.
• Cache On Disk: Indica se o cache será em Disco ou
em RAM.
330
Web Proxy - Parâmetros
• Max Client Connections: Número máximo de
conexões simultâneas ao proxy.
• Max Server Connections: Número máximo de
conexões que o proxy fará a um outro servidor
proxy.
• Max Fresh Time: Tempo máximo que os objetos que
não possuem tempo padrão definidos, serão
considerados atuais.
• Serialize Connections: Habilita múltiplas conexões
ao servidor para múltiplas conexões para os
clientes.
• Always From Cache: Ignore requisições de
atualização dos clientes caso o objeto será
considerado atual.
331
Web Proxy - Parâmetros
• Cache Hit DSCP (TOS): Adiciona marca DSCP com o
valor configurado a pacotes que deram hit no proxy.
• Cache Drive: Exibe o disco que o proxy está usando
para armazenamento dos objetos. Esses discos
podem ser acessados no menu: /system stores.
332
Web Proxy - Status
• Uptime: Tempo que o proxy está rodando.
• Requests Total de requisições ao proxy.
Requests:
• Hits: Número de pedidos que foram atendidos pelo
cache do proxy.
• Cache Used:
Used Espaço usado em disco ou RAM usado
pelo cache do proxy.
• Total RAM Used: Total de RAM usada pelo proxy.
334
Web Proxy - Access
A lista de acesso permite controlar
conteúdo que será permitido ou não
para armazenamento no cache do proxy.
335
Web Proxy - Access
Src. Address: Endereço ip de origem
Dst. Address: Endereço ip de destino
Dst. Port: Porta ou lista de portas destino
Local Port: Porta correspondente do proxy
Dst. Host: Endereço ip ou DNS de destino
Path: Nome da página dentro do servidor
Method: Método HTTP usado nas requisições
Action: Permite ou nega a regra
Redirect To: URL ao qual o usuário será redirecionado
caso a regra seja de negação
Hits: Quantidade de vezes que a regra sofreu “macth”
“
336
Web Proxy - Cache
A lista de cache define como as requisições serão armazenadas ou não no
cache do proxy.
337
Web Proxy - Direct
A lista de acesso direto é utilizada quando um Parent Proxy está
configurado. Desta forma é possível passar a requisição ao mesmo ou
tentar encaminhar a requisição diretamente ao servidor de destino.
338
Web Proxy – Regras de Firewall
Para que o proxy funcione de forma correta e segura, é necessário criar
algumas regras no “firewall nat”” e no “firewall filter”.
339
Web Proxy – Regras de Firewall
Desviando o fluxo web para o proxy
/ip firewall nat add chain=dstnat protocol=tcp
protocol dst-port=80
action=redirect to-ports=8080
340
Exercício final
341
Dúvidas ????
342
The Dude – O cara
343
The Dude – O cara
• No Windows:
– Fazer o download, clicar no executável e responder sim para
todas as perguntas.
• No Linux:
– Instalar o wine e a partir daí proceder como no windows.
• O espaço em disco consumido pela The Dude é considerável, entre outras coisas,
devido aos gráficos e logs a serem armazenados. Assim, no caso de instalação em
Routerboards é aconselhável o uso daquelas que possuam armazenamento
adicional como:
– RB 433UAH – Aceita HD externo via USB
– RB 450G – Aceita MicroSD
– RB 600 – Aceita SD
– RB 800 – Aceita MicroSD
– RB 1100 – Aceita MicroSD
• Não é aconselhável a instalação em outras Routerboards por problemas de
perdas de dados devido a impossibilidade de efetuar backups. Problemas de
processamento também devem ser considerados.
347
The Dude - Começando
348
The Dude - Começando
• O auto discovery permite que o servidor The Dude localize os dispositivos de seu
segmento de rede, através de provas de ping, arp, snmp, etc... E por serviços
também.
• Os outros segmentos de rede que tenham Mikrotiks podem ser mapeados por
seus vizinhos (neighbours).
• Apesar de ser uma “facilidade”, não é aconselhável utilizar este recurso.
349
The Dude – Adicionando dispositivos
350
The Dude – Adicionando dispositivos
• Em seguida descubra os serviços que estão rodando nesse equipamento. Após
isso o dispositivo estará criado.
351
The Dude – Adicionando dispositivos
• Clique no dispositivo criado para ajustar vários
parâmetros. Dentre esses os principais:
– Nome de exibição
– Tipo do dispositivo
352
The Dude – Adicionando dispositivos
• O The Dude possui vários dispositivos pré-definidos,
pré mas pode-se criar
novos dispositivos personalizados para que o desenho realmente reflita a
realidade prática.
• Por razões de produtividade é aconselhável que todos os dispositivos
existentes na rede sejam criados com suas propriedades especificas antes
do desenho da rede, mas nada impede que isso seja feito depois.
353
The Dude – Adicionando dispositivos
354
The Dude – Criando links
• Para criar links entre os dispositivos basta clicar no mapa com o botão
direito, selecionar Add Link e ligar os dois dispositivos informando:
– Device:: Dispositivo que irá fornece as informações do link.
– Mastering type:: Informa como as informações serão obtidas.
– Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS, escolha a
interface que deseja monitorar a velocidade e estado do link.
– Speed:: Informando a velocidade do link, é ativado a sinalização do estado do
mesmo baseando-se em cores.
– Type:: Tipo de conexão física entre os dispositivos.
355
The Dude – Notificações
• Efetue um duplo clique no dispositivo e vá na guia “Notifications”.
“ Nela
você pode informar o tipo de notificação que deseja receber.
356
The Dude – Serviços indesejáveis
• Com o The Dude podemos monitorar serviços que não desejamos que estejam
ativos.
357
The Dude – gráficos
• Podemos manipular a forma como os gráficos irão ser apresentados para
identificar serviços, estado dos links etc...
358
The Dude – Efetuando Backups
• As configurações são salvas automaticamente na
medida em que são feitas. Para se ter um backup
externo use o “export”” para gerar um arquivo .xml
. com
todas as configurações que poderão ser importadas
sempre que necessário.
359
Dúvidas ????
360
Laboratório Final
• Abram um terminal
361
OBRIGADO!