Escolar Documentos
Profissional Documentos
Cultura Documentos
Modulo MTCTCE
(MikroTik Certified Traffic Control Engineer)
1- Introdução 1
Agenda
Treinamento das 08:30hs às 18:30hs
1- Introdução 2
Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.
1- Introdução 3
Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
1- Introdução 4
Objetivos do curso
Abordar todos os tópicos necessários para o
exame de certificação MTCTCE.
Prover um visão geral sobre os mecanismos
que o RouterOS oferece para controle de
tráfego.
1- Introdução 5
Winbox
Winbox é uma utilitário usado para acessar o
RouterOS via MAC ou IP.
Usuário padrão é “admin” e senha vazio.
1- Introdução 6
Primeiros passos
Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.
Caso você não tenha o utilitário winbox no seu
computador faça o seguinte:
– Altere seu computador para “Obter endereço IP
automaticamente”.
– Abra o navegador e digite 192.168.88.1.
– No menu a esquerda clique na ultima opção (logout).
– Agora na pagina de login , clique sobre o aplicativo
winbox e salve no seu computador.
1- Introdução 7
Resetando seu router
Abra o winbox clique em
Clique no endereço MAC ou IP.
No campo Login coloque “admin”.
No campo Password deixe em branco.
Clique em connect.
Nos Menus a esquerda clique em “New Terminal”.
Com terminal aberto digite:
– system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.
1- Introdução 8
Identificando seu roteador
1- Introdução 9
Diagrama da rede
1- Introdução 11
Identificando as interfaces
Identifique suas interfaces conforme a imagem abaixo.
1- Introdução 12
DHCP
Numa rede de Arquitetura TCP/IP, todo computador
tem que possuir um endereço IP distinto.
O DHCP (Dynamic Host Configuration Protocol ) é o
protocolo que provê um meio para alocar estes
endereços dinamicamente.
1- Introdução 13
DHCP
O servidor DHCP sempre escuta na porta UDP 67.
1- Introdução 14
Comunicação DHCP
1- Introdução 15
Comunicação DHCP
DHCP Discovery
src-mac=<client>, dst-mac=<broadcast>, protocol=udp, src-ip=0.0.0.0:68, dst-ip=255.255.255.255:67
DHCP Offer
src-mac=<DHCP-server>, dst-mac=<broadcast>, protocol=udp, src-ip=<DHCP-server>:67, dst-ip=255.255.255.255:67
DHCP Request
src-mac=<client>, dst-mac=<broadcast>, protocol=udp, src-ip=0.0.0.0:68, dst-ip=255.255.255.255:67
DHCP Acknowledgement
src-mac=<DHCP-server>, dst-mac=<broadcast>, protocol=udp, src-ip=<DHCP-server>:67, dst-ip=255.255.255.255:67
1- Introdução 16
Comunicação DHCP
IP = 10.1.1.1 IP = sem ip
MAC = AA:AA:AA:AA:AA:AA MAC = BB:BB:BB:BB:BB:BB
SCR DST
Port 68 67
SCR DST IP 0.0.0.0 255.255.255.255
Port 67 68
MAC BB:BB:BB:BB:BB:BB FF:FF:FF:FF:FF:FF
IP 10.1.1.1 255.255.255.255
SCR DST
Port 68 67
SCR DST
IP 0.0.0.0 255.255.255.255
Port 67 68
MAC BB:BB:BB:BB:BB:BB FF:FF:FF:FF:FF:FF
IP 10.1.1.1 255.255.255.255
1- Introdução 17
DHCP-CLIENT
O DHCP-CLIENT irá tentar localizar um DHCP-SERVER
para que possa obter endereço de IP automaticamente.
Adicione um DCHP-CLIENT em sua interface de wan.
1- Introdução 18
DHCP-SERVER
Para criar um servidor de DHCP você precisa de:
1- Introdução 19
Teste de conectividade
1. Pingar a partir da Routerboard o seguinte IP:172.25.X.254.
2. Pingar a partir do notebook o seguinte ip:
10.X.Y.1
3. Pingar a partir do notebook o seguinte endereço:
www.uol.com
4. Analisar os resultados.
1- Introdução 20
Outras Opções do DHCP Server
Src.address - especifica o endereço do servidor caso exista mais de um
endereço na interface do DHCP.
Add ARP For Leases - permite adicionar entradas ARP para as leases
quando a interface está em modo ARP=reply-only.
1- Introdução 21
DHCP Networks
No menu DHCP Networks você pode configurar várias
opções para uma determinada rede.
1- Introdução 22
DHCP Options
Implementação de opções DHCP
– Subnet-Mask (option 1) - netmask
– Router (option 3) – gateway
– Domain-Server (option 6) - dns-server
– Domain-Name (option 15) – domain
– NTP-Servers (option 42) - ntp-server
– NETBIOS-Name-Server (option 44) - wins-server
1- Introdução 23
Opção DHCP customizada
Passar um rota via DHCP (opção 121)
Rota: dst-address=10.1.0.0/16 gateway=10.2.2.2
1- Introdução 24
Opção DHCP customizada
Passar um rota via DHCP (opção 121)
Rota: dst-address=10.1.0.0/16 gateway=10.2.2.2
1- Introdução 25
IP Address Pool
O IP address pools é usado para definir uma range de endereços
para distribuição dinâmica (DHCP, PPP, Hotspot).
Address pool não pode conter endereços já usados (como por exemplo
endereços estáticos)
1- Introdução 26
Como funciona o Address Pool
1- Introdução 27
Authoritative DHCP Server
O modo Authoritative permite que o servidor
DHCP responda a clientes desconhecidos com uma
menssagem de DHCPNak e em seguida solicita que o
cliente reinicie o lease(neste caso o cliente somente
enviará pedidos broadcasts se o pedido unicast para o
servidor falhar ao renovar a lease).
1- Introdução 28
Authoritative DHCP Server
Modos autoritativos:
– Yes: Responde imediatamente as requisições.
1- Introdução 29
DHCP Lease
Podemos acompanhar as
concessões do servidor de
DHCP no aba Leases.
Quando colocamos um
entrada estática no lease
temos varias opções que
podem ser utilizadas na
manipulação para um
MAC específico.
1- Introdução 30
DHCP Alerts
O RouterOS nos oferece uma
ferramenta para que
possamos identificar
servidores de DCHP que não
estão autorizados a funcionar
em um domínio de broadcast.
Após detectar um servidor
não autorizado podemos
executar uma ação como por
exemplo enviar um e-mail
informando o administrador.
1- Introdução 31
DHCP Relay
DHCP Relay é um proxy que é capaz de receber
requisições “DHCP discovery” e “DHCP request” e
reenviar estas requisições a um DHCP server.
1- Introdução 32
DNS Client e DNS Server
1- Introdução 33
DNS Client
O modo DNS client é utilizado quando algum
serviço do roteador precisa resolver nomes,
tais como:
– Ping
– Traceroute
– Web-proxy
– Hotspot
1- Introdução 34
DNS Server (cache)
Ao habilitar o check-box “Allow Remote
Requests”, estaremos habilitando nosso
roteador como um servidor (cache) de DNS ou
seja poderemos apontar o IP do roteador
como um servidor de DNS.
Servers: Servidores DNS a serem consultados.
Allow-remore-requests=yes: habilita o roteador para
funcionar como DNS Cache.
Cache-max-ttl: máximo tempo de vida do registro
guardado no cache.
Cache-size (512-10240): tamanho máximo do cache
DNS em KiB;
Cache-used: tamanho usado pelo cache DNS;
1- Introdução 35
Adcionando entradas estáticas no DNS
Podemos adicionar entradas estáticas no
RouterOS tanto IPv4 quanto IPv6.
1- Introdução 36
Particularidades do DNS
Caso você possua algum cliente PPP que esteja com a
opção use-peer-dns=yes fará com que o servidor primário
DNS seja alterado para o que for enviado pelo servidor PPP.
1- Introdução 37
Configuração básica
Configurando endereço de IP
Configurando mascara de sub-rede
Configurando DNS
Conectando seu router a um ponto de acesso
Configurando seu computador
Realizando testes de conectividade
1- Introdução 38
Configuração do roteador
Adicione os IPs nas interfaces
1- Introdução 39
Configuração do roteador
Adicione a rota padrão
1- Introdução 40
Configuração do roteador
Adicione o servidor DNS
Quando você checa a opção “Alow remote requests”, você
está habilitando seu router como um servidor de DNS.
1- Introdução 41
Configuração do roteador
Configuração da interface wireless
1- Introdução 42
Configure seu Notebook
1- Introdução 43
Teste de conectividade
Pingar a partir da Routerboard o seguinte ip:172.25.X.254.
Pingar a partir da Routerboard o seguinte endereço:
www.uol.com
Pingar a partir do notebook o seguinte ip:
10.X.Y.1
Pingar a partir do notebook o seguinte endereço:
www.uol.com
Analisar os resultados.
1- Introdução 44
Corrigir o problema de conectividade
Diante do cenário apresentado quais soluções
podemos apresentar?
1- Introdução 45
Adicionando uma regra de source nat
Adicionar uma regra de NAT, mascarando as
requisições que saem pela interface wlan1.
1- Introdução 46
Teste de conectividade
Efetuar os testes de ping a partir do notebook.
Analisar os resultados.
Efetuar os eventuais reparos.
Após a confirmação de que tudo está
funcionando, faça o backup da routerboard e
armazene-o no notebook. Ele será usado ao
longo do curso.
1- Introdução 47
Faça um backup
Clique no menu Files e depois em Backup para salvar
sua configurações.
Arraste o arquivo que foi gerado para seu computador.
1- Introdução 48
Dúvidas e perguntas ?
1- Introdução 49
Firewall no Mikrotik
2 - Firewall 50
Firewall
O firewall é normalmente usado como ferramenta de segurança
para prevenir o acesso não autorizado a rede interna e/ou
acesso ao roteador em si, bloquear diversos tipos de ataques e
controlar o fluxo de dados de entrada, de saída e passante.
2 - Firewall 51
Firewall - Opções
2 - Firewall 53
Princípios gerais
O firewall da Mikrotik é do tipo “default permit” ou
seja, por padrão aceita todos os pacotes.
Podemos mudar essa política através de regras.
2 - Firewall 54
Princípios gerais
As regras de Firewall são sempre
processadas por canal, na ordem que são
listadas, ou seja de cima para baixo
2 - Firewall 55
Processamento das regras
As regras de Firewall funcionam como
“expressões condicionais”.
“SE <condição>” “ENTÃO <ação>”
2 - Firewall 56
Processamento das regras
SE combina com os campos ENTÃO executa a ação.
2 - Firewall 57
Processamento das regras
Se um pacote não atende TODAS as condições de uma regra
ele passa para a regra seguinte. Não havendo mais nenhuma
regra que o pacote atende, por padrão ele é aceito
REGRA 1 – COMBINA?
SIM – PARA AQUI
NÃO – VAI PARA A REGRA 2
2 - Firewall 58
Processamento das regras
Quando um pacote atende a TODAS as condições da regra é
tomada uma ação com ele, não importando as regras que
estejam abaixo deste canal, pois estas NÃO serão
processadas
REGRA 1 – COMBINA?
SIM – TOME A AÇÃO E IGNORE AS DEMAIS REGRAS ABAIXO
2 - Firewall 59
Processamento das regras
Algumas exceções ao critério citado anteriormente
devem ser consideradas, como as ações de:
2 - Firewall 60
Firewall – Filter Rules
Forward
Input Input
Output Output
Forward
As regras são organizadas em canais(chain) e existem 3 canais
“default” de tabela filters.
INPUT: Responsável pelo tráfego que CHEGA no router;
OUTPUT: Responsável pelo tráfego que SAI do router;
FORWARD: Responsável pelo tráfego que PASSA pelo router.
2 - Firewall 61
Filters – Caso 1
2 - Firewall 62
Filters – Caso 2
1 2
2 - Firewall 63
Filters – Caso 3
1 2
Roteador 1 pingando o roteador 2
2 - Firewall 64
Fluxograma Filters
Decisão
Interface
de Canal Forward
roteamento Interface
chegada saída
Canal Output
Canal Input
Decisão
de
roteamento
Processo local
Ping,Traceroute, SSH
2 - Firewall 65
Firewall – Filters Rules
Algumas ações que podem ser tomadas nos filtros de
firewall:
passthrough: Contabiliza e passa adiante.
drop: Descarta o pacote silenciosamente.
reject: Descarta o pacote e responde com uma mensagem de
icmp ou tcp reset.
tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas
não aloca recursos.
2 - Firewall 66
Firewall – Address List
Além dos canais criados por padrão o administrador pode criar canais
próprios. Esta prática ajuda na organização do firewall.
Para criar um novo canal basta adicionar uma nova regra e dar o nome
desejado ao canal.
2 - Firewall 69
Firewall – Filters Rules
Ações relativas a canais
criados pelo usuário:
jump: Salta para um canal
definido em jump-target.
jump target: Nome do
canal para onde se deve
saltar.
return: Retorna para o
canal que chamou o jump.
2 - Firewall 70
Como funciona o canal criado pelo
usuário
2 - Firewall 71
Como funciona o canal criado pelo
usuário
2 - Firewall 72
Firewall
Protegendo o roteador
2 - Firewall 73
Princípios básicos de proteção
Proteção do próprio roteador :
Tratamento das conexões e eliminação de tráfego
prejudicial/inútil.
Permitir somente serviços necessários no próprio roteador.
Prevenir e controlar ataques e acessos não autorizado ao
roteador.
2 - Firewall 74
Firewall – Proteção básica
2 - Firewall 75
Firewall – Proteção básica
2 - Firewall 76
Firewal – Port Scan
Port Scan:
Consiste no escaneamento de portas TCP e/ou UDP.
A detecção de ataques somente é possível para o protocolo TCP.
Portas baixas (0 – 1023)
Portas altas (1024 – 65535)
2 - Firewall 77
Firewall – Técnica do “knock knock”
2 - Firewall 78
Firewall – Técnica do “knock knock”
A técnica do “knock knock” consiste em permitir acesso ao roteador somente após ter seu
endereço IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereços IP´s que estejam
na lista “libera_winbox”:
2 - Firewall 79
Firewall – Ping flood
Ping Flood consiste no envio de grandes volumes de mensagens
ICMP aleatórias.
2 - Firewall 80
Firewal – Evitando ping flood
2 - Firewall 81
Firewal – Ataques do tipo DoS
Ataques DoS:
2 - Firewall 82
Firewal – Ataques do tipo DoS
Se simplesmente descartamos as conexões,
permitiremos que o atacante crie uma nova conexão.
2 - Firewall 83
Firewal – Detectando um ataque DoS
Criar a lista de atacantes
para posteriormente
aplicarmos a supressão
adequada.
2 - Firewall 84
Firewal – Suprimindo um ataque DoS
Com a ação “tarpit”
aceitamos a conexão
e a fechamos, não
deixando no entanto
o atacante trafegar.
Essa regra deve ser
colocada antes da
regra de detecção ou
então a address list irá
reescrevê-la todo
tempo.
2 - Firewall 85
Firewal – DDoS
Ataque DDoS:
2 - Firewall 86
Bogons
Bogons são prefixos reservados (como 192.168.X.Y) ou são prefixos que não foram
disponibilizados para uso público.
Atualmente não há mais praticamente IPv4 prefixos sem uso, assim a lista de bogons
ficou bem curta.
/ip firewall address-list
add list="BOGONS" address=0.0.0.0/8
add list="BOGONS" address=10.0.0.0/8
add list="BOGONS" address=100.64.0.0/10
add list="BOGONS" address=127.0.0.0/8
add list="BOGONS" address=169.254.0.0/16
add list="BOGONS" address=172.16.0.0/12
add list="BOGONS" address=192.0.0.0/24
add list="BOGONS" address=192.0.2.0/24
add list="BOGONS" address=192.168.0.0/16
add list="BOGONS" address=198.18.0.0/15
add list="BOGONS" address=198.51.100.0/24
add list="BOGONS" address=203.0.113.0/24
add list="BOGONS" address=224.0.0.0/3
2 - Firewall 87
Firewall - NAT
2 - Firewall 88
Firewall - NAT
NAT – Network Address Translation é uma técnica que permite que
vários hosts em uma LAN usem um conjunto de endereços IP’s para
comunicação interna e outro para comunicação externa.
Existem dois tipos de NAT :
2 - Firewall 89
Firewall - NAT
As regras de NAT são organizadas em canais:
dstnat: Processa o tráfego enviado PARA o
roteador e ATRAVÉS do roteador, antes que ele
seja dividido em INPUT e/ou FORWARD.
2 - Firewall 90
Firewall NAT – Fluxo de pacotes
Interface
chegada
Decisão
Canal DSTNAT de Canal Forward
roteamento Canal SRCNAT
Canal Output
Canal Input
Interface
Decisão saída
de
roteamento
Processo local
Ping,Traceroute, SSH
2 - Firewall 91
Firewall - SRCNAT
Source NAT: A ação “mascarade” troca o endereço IP
de origem de uma determinada rede pelo endereço IP
da interface de saída. Portanto se temos, por exemplo,
a interface ether5 com endereço IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trás da ether1,
podemos fazer o seguinte:
2 - Firewall 92
Firewall - DSTNAT
Redirecionamento de portas: O NAT nos
possibilita redirecionar portas para permitir
acesso a serviços que rodem na rede interna.
Dessa forma podemos dar acesso a serviços de
clientes sem utilização de endereço IP público.
Redirecionamento para
acesso ao servidor
WEB do cliente
192.168.1.200 pela
porta 80.
2 - Firewall 93
Firewall - NAT
NAT (1:1): Serve para dar acesso bi-direcional a
um determinado endereço IP. Dessa forma, um
endereço IP de rede local pode ser acessado
através de um IP público e vice-versa.
2 - Firewall 94
Firewall - NAT
NAT (1:1) com netmap: Com o netmap
podemos criar o mesmo acesso bi-birecional
de rede para rede. Com isso podemos mapear,
por exemplo, a rede 187.15.15.0/24 para a
rede 192.168.1.0/24 assim:
2 - Firewall 95
Firewall – NAT Helpers
2 - Firewall 96
Firewall – Mangle
O mangle no Mikrotik é uma facilidade que permite a
introdução de marcas em pacotes IP ou em conexões,
com base em um determinado comportamento
especifico.
As marcas introduzidas pelo mangle são utilizadas em
processamento futuro e delas fazem uso o controle de
banda, QoS, NAT, etc... Elas existem somente no
roteador e portanto não são passadas para fora.
Com o mangle também é possível manipular o
determinados campos do cabeçalho IP como o “ToS”,
TTL, etc...
2 - Firewall 97
Firewall – Mangle
As regras de mangle são organizadas em canais e
obedecem as mesma regras gerais das regras de
filtro quanto a sintaxe.
2 - Firewall 98
Firewall – Diagrama do Mangle
Interface
chegada
Canal Prerouting
Decisão
Canal DST-NAT de Canal Forward
roteamento
Canal Posrouting
Canal Output
Canal Input
Decisão
de Canal SRC-NAT
roteamento
Interface
Processo local saída
(Serviços locais do roteador)
Ping,Traceroute, SSH
2 - Firewall 99
Firewall – Mangle
Change-MSS: Altera o tamanho máximo
do segmento de um pacote.
2 - Firewall 100
Firewall – Mangle
As opções de marcações incluem:
mark-connection: Marca apenas o primeiro
pacote.
mark-packet: Marca todos os pacotes.
mark-routing: Marca pacotes para política de
roteamento.
Obs.: Cada pacote pode conter os 3 tipos de
marcas ao mesmo tempo. Porém não pode
conter 2 marcas do mesmo tipo.
2 - Firewall 101
Firewall – Mangle
Marcando rotas:
2 - Firewall 102
Firewall – Mangle
Marcando conexões:
Use mark-connection para identificar uma ou
um grupo de conexões com uma marca especifica
de conexão.
Marcas de conexão são armazenadas na contrack.
Só pode haver uma marca de conexão para cada
conexão.
O uso da contrack facilita na associação de cada
pacote a uma conexão específica.
2 - Firewall 103
Firewall – Mangle
Marcando pacotes:
Use mark-packet para identificar um fluxo
continuo de pacotes.
Marcas de pacotes são utilizadas para controle de
tráfego e estabelecimento de políticas de QoS.
2 - Firewall 104
Firewall – Mangle
Marcando pacotes:
Indiretamente: Usando a facilidade da connection
tracking, com base em marcas de conexão
previamente criadas. Esta é a forma mais rápida e
eficiente.
Diretamente: Sem o uso da connection tracking
não é necessário marcas de conexões anteriores e
o roteador irá comparar cada pacote com
determinadas condições.
2 - Firewall 105
Firewall - Mangle
Um bom exemplo da utilização do mangle é
marcando pacotes para elaboração de QoS.
2 - Firewall 106
Firewall - Mangle
Obs.: A marcação de P2P
disponibilizada no Mikrotik não
inclui os programas
que usam criptografia.
2 - Firewall 107
Firewall – Connection Track
2 - Firewall 109
Firewall – Connection Track
O sistema de connection tracking é o coração do
firewall. Ele obtém e mantém informações sobre todas
conexões ativas.
2 - Firewall 110
Localização da Connection Tracking
Chegada
conntrack
Canal Prerouting
Decisão
Canal DSTNAT de Canal Forward
roteamento
Processo local
2 - Firewall 111
Universal Plug-and-Play
O ROUTEROS permite a
configuração de UPNP, que
possibilita aos roteadores por trás
de NAT, que tenham suporte a esse
recurso, de “requisitarem” o
redirecionamento de portas ao
roteador dinamicamente.
2 - Firewall 113
Perguntas ?
2 - Firewall 114
Web Proxy
http://wiki.mikrotik.com/wiki/Manual:IP/Proxy
http://www.mikrotik.com/thedude
– www.mi?roti?.com
– www.mikrotik*
– * mikrotik*
172.25.X.254 172.25.10.254
1) Marcas de conexão
Utilizando o PCC
2) Marcas de roteamento
com base nas marcas de conexão criadas anteriormente
5 - QoS 161
Conceitos básicos de Largura e Limite
de banda
5 - QoS 163
Traffic Shaping
• Traffic shaping é um termo da língua inglesa, que
deveria definir a prática de priorização do tráfego de
dados, através de mecanismos de QoS, a fim de
otimizar o uso da largura de banda disponível. Porém
no Brasil, temos vários casos onde o traffic shapping é
usado para limitar alguns serviços em relação a
outros.
5 - QoS 165
Qualidade de Serviço
Os mecanismos para prover QoS no MikroTik são:
– Limitar banda para certos IP’s, sub-redes, protocolos,
serviços e outros parâmetros.
5 - QoS 166
Qualidade de Serviço
Os principais termos utilizados em QoS são:
– Queuing discipline(qdisc): Disciplina de enfileiramento. É um algoritmo
que mantém e controla uma fila de pacotes. Ela especifica a ordem dos
pacotes que saem, podendo inclusive reordená-los, e determina quais
pacotes serão descartados.
5 - QoS 167
Filas - Queues
Para ordenar e controlar o fluxo de dados, é aplicada uma
política de enfileiramento aos pacotes que estejam
deixando o roteador. Ou seja: “As filas são aplicadas na
interface onde o fluxo está saindo.”
5 - QoS 168
Tipos de filas
Antes de enviar os pacotes por uma interface, eles são processados por
uma disciplina de filas(queue types). Por padrão as disciplinas de filas são
colocadas sob “queue interface” para cada interface física.
Uma vez adicionada uma fila para uma interface física, a fila padrão da
interface, definida em queue interface, não será mantida. Isso significa
que quando um pacote não encontra qualquer filtro, ele é enviado através
da interface com prioridade máxima.
5 - QoS 169
Tipos de filas
As disciplinas de filas são utilizadas para (re)enfileirar e
(re)organizar pacotes na medida em que os mesmos chegam na
interface. As disciplinas de filas são classificadas pela sua influência
no fluxo de pacotes da seguinte forma:
– Schedulers: (Re) ordenam pacotes de acordo com um
determinado algoritmo e descartam aqueles que se enquadram
a disciplina. As disciplinas “schedulers” são: PFIFO, BFIFO, SFQ,
PCQ e RED.
– Shapers: Também fazem limitação. Esses são: PCQ e HTB.
5 - QoS 170
Controle de tráfego – Tipos de fila
PFIFO e BFIFO: Estas disciplinas de filas são baseadas no algoritmo FIFO(First-in
First-out), ou seja, o primeiro que entra é o primeiro que sai. A diferença entre
PFIFO e BFIFO é que, um é medido em pacotes e o outro em bytes. Existe apenas
um parâmetro chamado Queue Size que determina a quantidade de dados em
uma fila FIFO pode conter. Todo pacote que não puder ser enfileirado (se fila
estiver cheia) será descartado. Tamanhos grandes de fila poderão aumentar a latência.
Em compensação provê melhor utilização do canal.
5 - QoS 171
Controle de tráfego – Tipos de fila
RED: Random Early Detection – Detecção Aleatória Antecipada é um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho
médio da fila. Quando o tamanho médio da fila atinge o valor configurado em min
threshould, o RED escolhe um pacote para descartar. A probabilidade do número de
pacotes que serão descartados cresce na medida em que a média do tamanho da fila
cresce. Se o tamanho médio da fila atinge o max threshould, os pacotes são
descartados com a probabilidade máxima. Entretanto existem casos que o tamanho
real da fila é muito maior que o max threshould então todos os pacotes que chegam serão descartados.
RED é indicado em links congestionados com altas taxas de dados. Como é muito
rápido funciona bem com TCP.
Fila
Chegada
Teste de
Passou
descarte
Falhou
Saída
5 - QoS 172
Controle de tráfego – Tipos de fila
SFQ: Stochastic Fairness Queuing – Enfileiramento justo é uma disciplina que tem
“justiça” assegurada por algoritmos de hashing e roundroubin. O fluxo de pacotes
será identificado exclusivamente por 4 opções:
– src-address – dst-address – src-port – dst-port
5 - QoS 173
Controle de tráfego – Tipos de fila
• SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e
há 1024 sub-filas disponíveis.
5 - QoS 174
Controle de tráfego – Tipos de fila
PCQ: Per Connection Queuing – Enfileiramento por conexão foi
criado para resolver algumas imperfeições do SFQ. É o único
enfileiramento de baixo nível que pode fazer limitação sendo uma
melhoria do SFQ, sem a natureza “estocástica”. PCQ também cria
sub-filas considerando o parâmetro pcq-classifier. Cada sub-fila tem
uma taxa de transmissão estabelecida em rate e o tamanho
máximo igual a limit. O tamanho total de uma fila PCQ fica limitado
ao configurado em total limit. No exemplo abaixo vemos o uso do
PCQ com pacotes classificados pelo endereço de origem.
5 - QoS 175
Controle de tráfego – Tipos de fila
PCQ: Se os pacotes são classificados pelo endereço de origem, então todos os pacotes
com diferentes endereços serão organizados em sub-filas diferentes. Nesse caso é
possível fazer a limitação ou equalização para cada sub-fila com o parâmetro Rate.
Neste ponto o mais importante é decidir qual interface utilizar esse tipo de disciplina.
Se utilizarmos na interface local, todo o tráfego da interface pública será agrupado
pelo endereço de origem.O que não é interessante. Mas se for empregado na
interface pública todo o tráfego dos clientes será agrupado pelo endereço de origem,
o que torna mais fácil equalizar o upload dos clientes. O mesmo controle pode ser
feito para o download, mas nesse caso o classificador será o “dst. Address” e
configurado na interface local.
5 - QoS 176
Controle de tráfego
5 - QoS 177
Controle de tráfego
O controle de tráfego é implementado através de
dois mecanismos:
– Pacotes são policiados na entrada:
– Pacotes são enfileirados na interface de saída:
• Pacotes podem ser atrasados, descartados
ou priorizados.
5 - QoS 178
QoS - HTB
• Hierarchical Token Bucket é uma disciplina de enfileiramento hierárquico que é
usual para aplicar diferentes políticas para diferentes tipos de tráfego. O HTB
simula vários links em um único meio físico, permitindo o envio de diferentes tipos
de tráfego em diferentes links virtuais. Em outras palavras, o HTB é muito útil para
limitar download e upload de usuários em uma rede. Desta forma não existe
saturamento da largura de banda disponível no link físico. Além disso, no Mikrotik,
é utilizado para fazer QoS.
5 - QoS 179
QoS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=4Mbps max-limit=10Mbps
Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
5 - QoS 180
QoS - HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue02 limit-at=8Mbps max-limit=10Mbps
Queue03 limit-at=2Mbps max-limit=10Mbps priority=1
Queue04 limit-at=2Mbps max-limit=10Mbps priority=3
Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Queue03 irá receber 2Mbps
Queue04 irá receber 6Mbps
Queue05 irá receber 2Mbps
Exemplo de HTB Exemplo de HTB
228
Obs.: Após satisfazer todas garantias, o HTB disponibilizará
mais banda, até o máximo permitido para a fila com maior
prioridade. Mas, neste caso, permitirá-se uma reserva de
8M para as filas Queue04 e Queue05, as quais, a que
possuir maior prioridade receberá primeiro o adicional de
banda, pois a fila Queue2 possui garantia de banda
atribuída.
5 - QoS 181
QoS - HTB
Termos do HTB:
– Filter: Um processo que classifica pacotes. Os filtros são responsáveis pela
classificação dos pacotes para que eles sejam colocados nas correspondentes
qdisc. Todos os filtros são aplicados na fila raiz HTB e classificados diretamente
nas qdiscs, sem atravessar a árvore HTB. Se um pacote não está classificado
em nenhuma das qdiscs, é enviado a interface diretamente, por isso nenhuma
regra HTB é aplicada aos pacotes.
5 - QoS 182
QoS - HTB
Estados das classes HTB:
– Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que está
consumindo:
• Verde: de 0% a 50% da banda disponível está em
uso.
• Amarelo: de 51% a 75% da banda disponível está
em uso.
• Vermelho: de 76% a 100% da banda disponível
está em uso. Neste ponto começam os descartes
de pacotes que se ultrapassam o max-limit.
5 - QoS 183
QoS - HTB
No Mikrotik as estruturas do HTB pode ser anexadas a quatro
locais diferentes.
– Interfaces:
• Global-in: Representa todas as interfaces de entrada em geral(INGRESS
queue). As filas atreladas à Global-in recebem todo tráfego entrante no roteador,
antes da filtragem de pacotes.
• Global-out: Representa todas as interfaces de saida em geral(EGRESS queue).
As filas atreladas à Global-out recebem todo tráfego que sai do roteador.
• Global-total: Representa uma interface virtual através do qual se passa todo
fluxo de dados. Quando se associa uma politíca de filas à Global-total, a
limitação é feita em ambas direções. Por exemplo se configurarmos um
totalmax-
limit de 300kbps, teremos um total de download+upload de 300kbps,
podendo haver assimetria.
• Interface X: Representa uma interface particular. Somente o tráfego que é
configurado para sair através desta interface passará através da fila HTB.
5 - QoS 184
Interfaces virtuais e o Mangle
5 - QoS 185
Filas simples
5 - QoS 186
Filas simples - Burst
Bursts são usados para
permitir altas taxas de
transferência por um período
curto de tempo.
5 - QoS 187
Como funciona o Burst
max-limit=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
5 - QoS 188
Utilização do PCQ
PCQ é utilizado para equalizar cada usuário ou
conexão em particular.
5 - QoS 189
Utilização do PCQ
• Caso 1: Com o rate configurado como zero, as subqueues
não são limitadas, ou seja, elas poderão usar a largura máxima
de banda disponível em max-limit.
5 - QoS 190
Utilização do PCQ
5 - QoS 191
Utilização do PCQ
5 - QoS 192
Árvores de Fila
Trabalhar com árvores de fila é uma maneira mais elaborada de
administrar o tráfego. Com elas é possível construir sob medida uma
hierarquia de classes, onde poderemos configurar as garantias e
prioridades de cada fluxo em relação à outros, determinando assim uma
política de QoS para cada fluxo do roteador.
Os filtros de árvores de filas são aplicados na interface especifica. Os
filtros são apenas marcas que o firewall faz no fluxo de pacotes na opção
mangle. Os filtros enxergam os pacotes na ordem em que eles chegam no
roteador.
A árvore de fila é também a única maneira para adicionar uma fila em
uma interface separada.
Também é possível ter o dobro de enfileiramento. Ex: priorizando o
tráfego globalin e/ou global-out, limitação por cliente na interface de
saída. Se é configurado filas simples e árvores de filas no mesmo roteador,
as filas simples receberão o tráfego primeiro e em seguida o classificarão.
5 - QoS 193
Árvores de Fila
As árvores de fila são
configuradas em queue tree.
Dentre as propriedades
configuráveis podemos destacar:
– Escolher uma marca de tráfego
feita no firewall mangle;
– parente-class ou interface de
saída;
– Tipo de fila;
– Configurações de limit-at,
max-limit,priority e burst.
5 - QoS 194
Árvores de Fila
5 - QoS 195
Árvores de Fila
5 - QoS 196
Árvores de Fila
C1 possui maior prioridade, portanto
consegue atingir o max-limit. O restante da
banda é dividida entre as outras leaf-queue.
5 - QoS 197
Perguntas ?
5 - QoS 198