Escolar Documentos
Profissional Documentos
Cultura Documentos
MTCNA 2017 Beta
MTCNA 2017 Beta
English:
This material is an effort intended to improve the level of knowledge of professionals
that work with Mikrotik RouterOS and should be used solely for self-study purposes.
Digital copies and/or any printed material contained in this presentation or derived
from it are property of MD Brasil TI & Telecom and cannot be used for any kind of
training, presentation or workshop, even non-commercial ones.
Reproduction of any part or picture requires previous written authorization of MD
Brasil. For information about how to obtain such authorization, please contact
mdbrasil@mdbrasil.com.br.
Portuguese:
Este material é um esforço que visa aprimorar o grau de conhecimento de
profissionais que trabalham com Mikrotik RouterOS e deve ser usado apenas com
objetivos de auto estudo.
Cópias digitais e/ou materiais impressos com conteúdo desta apresentação ou dela
derivados são de propriedade a MD Brasil TI & Telecom a não podem ser usados para
qualquer tipo de treinamento, apresentação ou seminário, mesmo os de finalidades
não comerciais.
A reprodução de qualquer parte ou figura requer prévia autorização por escrito da
MD Brasil. Para informações em como obter esta autorização, por favor contate
mdbrasil@mdbrasil.com.br.
Baixe os materiais:
- Apostilas e material adicional em PDF
- Versão mais recente do Winbox
- Duas versões do RouterOS
RouterOS:
Sistema operacional, baseado em Linux, que pode ser
instalado em arquitetura x86 e nas Routerboards;
SwitchOS:
Sistema operacional de equipamentos Mikrotik que
suportam somente switching;
Routerboard:
Marca registrada do hardware fabricado pela Mikrotik.
Essências do
MTCNA RouterOS
https://mikrotik.com/download
https://mikrotik.com/download
https://mikrotik.com/download
https://mikrotik.com/download
Princípios básicos:
- navegação por diretórios
- <tab>
- <tab> <tab>
- ?
- comando export / import
- history
(*) – O protocolo BGP está disponível na licença L3 apenas para RouterBOARDs. Para suporte ao BGP em outros
hardwares é necessário a licença L4 ou superior.
- Resetar os equipamentos
- Verificar a versão instalada
- Fazer upgrade (ou downgrade)
- Verificar versão do Firmware e atualizar, caso necessário
- Desabilitar pacotes desnecessários (na dúvida perguntar)
- Habilitar pacotes necessários (IPv6 por exemplo)
- Verificar o sucesso da operação
7 - Aplicação
6 - Apresentação 4 - Aplicação
5 - Sessão
4 - Transporte 3 - Transporte
3 - Rede 2 - Internet
2 - Enlace
1 – Acesso à rede
1 - Física
Revisão de IPv4
Início: 00000000.00000000.00000000.00000000
Final: 11111111.11111111.11111111.11111111
IP = 11000000.10101000.000000001.000000001
IP = 192.168.1.1
IP = 11000000.10101000.000000001.000000001
IP = 192.168.1.1
REDE HOST
1º octeto 2º octeto 3º octeto 4º octeto Classe A
REDE HOST
1º octeto 2º octeto 3º octeto 4º octeto Classe B
REDE HOST
1º octeto 2º octeto 3º octeto 4º octeto Classe C
11111111.11111111.11111111.00000000
11111111 = 2^7 + 2^6 + 2^5 + 2^4 + 2^3 + 2^2 +
2^1 = 255
11111111.11111111.11111111.11111100
decimal: 255.255.255.252 bitmask: /30
11111111.00000000.00000000.0000000
decimal: 255.0.0.0 bitmask: /8
Notação:
2001:0db8:0123:4567:89AB:CDEF:0123:4567
4 bits
2001:0db8:0123:4567:89AB:CDEF:0123:4567
16 bits
8 x 16 = 128 bits
Supressão de zeros
Exemplo:
2001:0db8:0123:4567:0000:0000:0000:0001
Exemplo:
2001:0db8:0000:0000:0010:0000:0000:0001
Possibilidade 1
2001:db8::10:0:0:0:1
Possibilidade 2
2001:db8:0:0:10::1
a) 2001:0db8:0120:0300:0000:0000:0000:0405
b) 2001:0db8:0000:abc0:0000:0000:0eff:03ag
c) 2001:0db8:0000:0000:1234:0000:0000:5678
a) 2001:0db8:12::ab0::ff0:4e5
b) 2001:db8:9:10:11::1
c) 2001:db8:9:10::
IPv4 IPv6
Espaço endereçamento 32 bits 128 bits
Endereços Possíveis 2^32 2^128
Formato do endereço 192.168.1.1 2001:db8:1:2:3:4:5:6
Tamanho do cabeçalho 20 bytes 40 bytes
Campos do cabeçalho 14 8
IPSec opcional recomendado
Possibilidades:
1) Rede totalmente em Bridge (camada 2)
- Somente um domínio de broadcast. Laptops irão
obter endereços IP diretamente do AP central;
2) Rede com NAT
- Laptops terão uma rede distinta da Wireless, rede
esta que será mascarada através de NAT;
3) Rede roteada
- Roteadores terão uma rede distinta da Wireless, e
seus endereços IP serão visualizados normalmente
Internet
Configurar a parte Wireless de
modo a conectar no ponto de
acesso.
Grupo 2 Grupo 1
23 22 21 13 12 11
- Registration table
©Copyright md brasil - direitos reservados 47
Cenário I –
Rede em Bridge
- Conceito de Bridging
- Bridges “verdadeiras” e “falsas”
- Quando é necessário bridiging?
- Bridging no RouterOS;
- Diferenças dos modos station, station-
bridge, station-wds, pseudo-bridge, pseudo-
bridge-clone
Internet
O AP central distribuirá os IPs
diretamente para os notebooks
que receberão endereços na
faixa 192.168.100.0/24
Rede 192.168.100.0/24
Grupo 2 Grupo 1
23 22 21 13 12 11
- Lado AP
- Configurar equipamento para acesso à
Internet (IP, rota, DNS)
- Configurar DHCP-Server
- Lado Clientes
- Modo operação station-bridge
- Criar Bridge e inserir interfaces (portas)
- Configurar Laptops para obter IP
automaticamente
- Verificar os resultados e discutir cenário
Internet
0.0.0.0/0
Rede Rede
10.2.2.0/24 1.1.1.0/24
Internet
Agora os Laptops terão uma
rede distinta da rede Wireless
na faixa 10.10.XY.0/24
Rede 192.168.100.0/24
Grupo 2 Grupo 1
23 22 21 13 12 11
3) Configurando o NAT
- NAT de origem o destino?
- Configuração mínima do NAT
- testando a navegação
- melhorando a regra de NAT
Internet
Neste caso mantem-se os IPs
anteriores, porém eliminando o
NAT.
Rede 192.168.100.0/24
Grupo 2 Grupo 1
23 22 21 13 12 11
Rede roteada
Internet
0.0.0.0/0
Rede Rede
10.2.2.0/24 1.1.1.0/24
Rede roteada
Internet
Agregaremos agora endereços
IPv6 para o funcionamento com
os dois protocolos.
Rede 2001:db8:GR::/64
Grupo 2 Grupo 1
23 22 21 13 12 11
Redes 2001:db8:GR00/40 Redes 2001:db8:GR00/40
©Copyright md brasil - direitos reservados 60
Cenário IV
Rede com IPv6
Tecnologias e
Protocolos
suportados
Camada física
(frequência, largura de banda,
modulação)
64
Frequências
65
Camada Física
Frequências suportadas:
- Pode funcionar em qualquer banda suportada pelo
dispositivo Wireless (RouterOS somente o controla)
1 2 3 4 5 6 7 8 9 10 11 12 13
MD1302041311
67
Faixa de 2.4 GHz
22 MHz
20 MHz
5 GHz 2 GHz
71
Camada Física - Tecnologias
72
Camada Física
Tecnologias:
73
Camada Física
Tecnologias:
74
Camada Física
Tecnologia MIMO
75
Configuração de banda /
protocolo
78
Meio físico – largura de banda
Exemplos
Exemplos
84
Modulação
Modulações em 802.11a/b/g
Taxas suportadas:
empregadas para o tráfego
dos dados
Taxas básicas:
empregadas para frames de
controle/protocolo
Esquemas de Modulação
(MCS) em 802.11n
88
Acesso ao meio físico
Métodos suportados
Esperando para
- CSMA/CA – Carrier Sense Multiple transmitir
Access/Colision Avoidance
não
Canal Espera tempo
Livre? aleatório
Método no qual as estações
sim
“ouvem” o meio físico e não Espera tempo
transmitem caso ele esteja aleatório
contenção não
Transmite
Métodos suportados
- Polling AP
90
Acesso ao meio físico
Métodos suportados
91
Acesso ao meio físico no
RouterOS
Métodos
Nv2 TDMA
NStreme
Nstreme v2 (Nv2)
MAC a ser
informado ao
outro lado
95
Protocolos Suportados
Proprietários Nstreme
Nstreme dual
Nstreme v2 (Nv2)
96
Protocolos IEEE
6.5 a 300
802.11n 2.4 e 5 GHz OFDM/MIMO
mbps
OFDM/MIMO,
MU-MIMO,
802.11ac 5 GHz > 6 GHz
SDMA, até 160
MHz
Opções
unspecified
any
802.11
nstreme
nv2
nv2-nsteme-802.11
nv2-nstreme
Valor AP Estação
Estabelece rede Conecta em nstreme* ou
Unspecified
nstreme* ou 802.11 802.11
Conecta em qualquer
any Idem acima
protocolo disponível
Estabelece rede Conecta apenas em rede
802.11
802.11 802.11
Estabelece rede Conecta apenas em rede
nstreme
nstreme nstreme
Valor AP Estação
Conecta apenas em rede
Nv2 Estabelece rede nv2
nv2
Procura nv2, depois por
nv2-nstreme- nstreme e finalmente por
Estabelece rede nv2
802.11 802.11 conectando-se na
que encontrar primeiro.
Procura por nv2, depois
por nstreme, conectando-
nv2-nstreme Estabelece rede nv2
se na que encontrar
primeiro.
101
Aspectos regulamentares do espectro de 5Ghz
Potências:
Exemplo: 24 dBi
EIRP
EIRP = 23 + 24 = 47 dBm
200
mw
Potências
Sistemas multiponto:
Sistemas multiponto:
Regulatory domain:
Configura-se o country e
ganho da antena (deveria
ajustar a potência do rádio
Superchannel:
Permite uso de todas
frequências suportadas pelo
cartão
Manipulação de Potências
111
Configurações de enlace
em camada 2
Configurações de bridge
ap-bridge:
Permite múltiplas conexões e pode funcionar como
bridge transparente;
bridge:
Permite apenas uma conexão e pode funcionar como
bridge transparente;
station:
Modo apenas estação. Não pode ser colocado em
bridge;
station-wds:
Modo estação que pode ser colocada em bridge. Pode
funcionar como bridge transparente desde que o outro
lado seja um AP ou bridge com suporte a WDS
ativado;
station-bridge:
Modo estação que pode ser colocada em bridge. Pode
funcionar como bridge transparente desde que o outro
lado seja um AP ou bridge Mikrotik com a opção bridge
habilitada (default) ;
station-pseudo-bridge:
Modo estação que pode ser colocada em bridge e que
faz a chamada bridge falsa, passando vários Ips atrás
de um mesmo MAC;
station-pseudo-bridge-clone:
Idêntica a anterior com a possibilidade de clonar um
MAC arbitrário;
Modo
Banda
119
Controle de acesso
e segurança
120
Controle de acesso e segurança
Access list
Access List:
Lista endereços MAC e as ações específicas para estes,
como autenticação, forwarding, criptografia individual, etc
default-authenticate:
Com essa opção habilitada aceita a
conexão de qualquer MAC;
default-forward:
Com essa opção habilitada permite
o encaminhamento dos pacotes
entre os clientes do mesmo cartão.
123
Controle de acesso e segurança
Connect list
Connect List:
Lista endereços MAC e as ações específicas para estes,
como autenticação, forwarding, criptografia individual, etc
default-authenticate:
É a política padrão da interface. Com essa opção habilitada
(default) aceita a conexão de qualquer MAC, desde que não
haja nada em contrário na Access List
Access List
Lista endereços MAC e as ações específicas para esses
MACs
127
Interface Wireless / Geral / Alinhamento
128
Correct – número de pacotes recebidos sem erro
Interface Wireless / Geral / Sniffer
Com a ferramenta Snooper é possível monitorar a carga de tráfego em cada canal, por estação e
por rede.
Escaneia as frequencias definidas em scan-list da interface
130
Configurações de camada 2