treinamento-mikrotik-mtcna
TRANSCRIPT
TREINAMENTO MIKROTIK
CERTIFICAÇÃO
Produzido por: MKT Solutionswww.mktsolutions.net.br
www.lancore.com.brInstrutor: Guilherme Ramires
TREINAMENTO MIKROTIK
CERTIFICAÇÃO – MTCNA
Solutions e Lancore Networkswww.mktsolutions.net.br
www.lancore.com.brInstrutor: Guilherme Ramires
AGENDA
• Treinamento diário das 09:00
• Coffe break as 10:30hs e as 16:00
• Almoço as 13:00hs – 1 hora de duração
AGENDA
Treinamento diário das 09:00hs às 18:00hs
e as 16:00hs
1 hora de duração
2
Algumas regras importantes
• Por ser um curso oficial, o mesmo não poderá ser filmado ou gravado
• Procure deixar seu aparelho celular desligado ou em modo silencioso
• Durante as explanações evite as conversas paralelas. Elas serão mais apropriadas nos laboratórios
• Desabilite qualquer interface wireless ou dispositivo 3G em seu laptop
Algumas regras importantes
Por ser um curso oficial, o mesmo não poderá ser filmado
Procure deixar seu aparelho celular desligado ou em modo
Durante as explanações evite as conversas paralelas. Elas serão mais apropriadas nos laboratórios
Desabilite qualquer interface wireless ou dispositivo 3G
3
Algumas regras importantes
• Perguntas são sempre bem vindas. Muitas vezes a sua dúvida é a dúvida de todos.
• O acesso a internet será disponibilizado para efeito didático dos laboratórios. Portanto evite o uso inapropriado.
• O certificado de participação somente será concedido a quem obtiver presença igual ou superior a 75%.
Algumas regras importantes
Perguntas são sempre bem vindas. Muitas vezes a sua dúvida é a dúvida de todos.
O acesso a internet será disponibilizado para efeito didático dos laboratórios. Portanto evite o uso
O certificado de participação somente será concedido a quem obtiver presença igual ou superior a 75%.
4
Apresente-se a turma
• Diga seu nome;• Sua empresa;• Seu conhecimento sobre o • Seu conhecimento com redes;• O que você espera do curso;
• Lembre-se de seu número: XY
se a turma
Seu conhecimento sobre o RouterOS;Seu conhecimento com redes;O que você espera do curso;
se de seu número: XY
5
Objetivos do curso
• Prover um visão geral sobre o Mikrotik as RouterBoards.
• Mostrar de um modo geral todas ferramentas que o Mikrotik RouterOS dispõe para prover boas soluções.
Objetivos do curso
Prover um visão geral sobre o Mikrotik RouterOS e
Mostrar de um modo geral todas ferramentas que o dispõe para prover boas
6
Onde está a Mikrotik ?Onde está a Mikrotik ?
7
RouterBoards
• São hardwares criados pela Mikrotik;
• Atualmente existe uma grande variedade de RouterBoards.
RouterBoards
São hardwares criados pela Mikrotik;
Atualmente existe uma grande variedade de
8
Mikrotik RouterOS
• RouterOS é o sistema operacional das RouterBoards e que pode ser configurado como:– Um roteador dedicado– Controlador de banda– Firewall– Gerenciador de usuários– Dispositivo QoS personalizado– Qualquer dispositivo wirless 802.11a/b/g/n
• Além das RouterBoards ele também pode ser instalado em PC’s.
RouterOS
é o sistema operacional das e que pode ser configurado como:
802.11a/b/g/n
ele também pode ser instalado em
9
Instalação do
• O Mikrotik RouterOS pode ser instalado a partir de:
– CD ISO bootável – imagem
– Via rede com utilitário Netinstall
Instalação do RouterOS
pode ser instalado a partir de:
imagem
Netinstall
10
Onde obter o Mikrotik
• Para obter os últimos pacotes do Mikrotik basta acessar: http://www.mikrotik.com/download.html
• Lá você poderá baixar as imagens “.
• Os pacotes combinados
• E os pacotes individuais
Onde obter o Mikrotik RouterOS
Para obter os últimos pacotes do Mikrotik RouterOS
http://www.mikrotik.com/download.html
Lá você poderá baixar as imagens “.iso”
11
Instalando pelo CD
• Inicie o PC com o modo boot pelo CD
Instalando pelo CD
Inicie o PC com o modo boot pelo CD
12
Pacotes do RouterOS• System: Pacote principal contendo os serviços básiscos
• PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc..
• DHCP: Cliente e Servidor DHCP
• Advanced-tools: Ferramentas de diagnóstico, netwatch
• Arlan: Suporte a uma antiga placa Aironet – antiga
• Calea: Pacote para vigilância de conexões (Exigido somente nos EUA)
• GPS: Suporte a GPS ( tempo e posição )
• HotSpot: Suporte a HotSpot
• ISDN: Suporte as antigas conexões ISDN
• LCD: Suporte a display LCD
• NTP: Servidor de horário oficial mundial
RouterOSbásiscos e drivers. A rigor é o único que é obrigatório
, L2TP, PPTP, etc..
netwatch e outros ultilitários
antiga arlan
: Pacote para vigilância de conexões (Exigido somente nos EUA)
13
Pacotes do RouterOS• Radiolan: Suporte a placa RadioLan
• RouterBoard: Utilitário para RouterBoards
• Routing: Suporte a roteamento dinâmico tipo RIP, OSPF, BGP
• RSTP-BRIGE-TEST: Protocolo RSTP
• Security: Suporte a ssh, IPSec e conexão segura do
• Synchronous: suporte a placas síncronas Moxa, Cyclades PC300, etc...
• Telephony: Pacote de suporte a telefônia – protocolo h.323
• UPS: Suporte as no-breaks APC
• User-Manager: Serviço de autenticação User-Manager
• Web-Proxy: Serviço Web-Proxy
• Wireless: Suporte a placas Atheros e PrismII
• Wireless-legacy: Suporte as placas antigas Atheros,
RouterOS
: Suporte a roteamento dinâmico tipo RIP, OSPF, BGP
e conexão segura do winbox
, Cyclades PC300, etc...
protocolo h.323
Manager
, PrismII e Aironet14
Instalando pelo CD• Pode-se selecionar os pacotes desejados usando a barra de espaços ou “a” para
todos. Em seguida pressione “i” para instalar os pacotes selecionados. Caso haja configurações pode-se mantê-las pressionando “y”.
Instalando pelo CDse selecionar os pacotes desejados usando a barra de espaços ou “a” para
todos. Em seguida pressione “i” para instalar os pacotes selecionados. Caso haja las pressionando “y”.
15
Instalação com
• Pode ser instalado em PC que boota via rede(configurar na BIOS)
• Pode ser baixado também em: http://www.mikrotik.com/download.html
• O netinstall é um excelente recurso para reinstalar em routerboards quando o sistema foi danificado ou quando se perde a senha do equipamento.
Instalação com Netinstall
via rede(configurar
http://www.mikrotik.com/download.html
é um excelente recurso para reinstalar em quando o sistema foi danificado ou quando
16
Instalação com
• Para se instalar em uma RouterBoardinicialmente temos que entrar via serial, com cabo null modem e os seguintes parâmetros:
– Velocidade: 115.200 bps
– Bits de dados: 8
– Bits de parada: 1
– Controle de fluxo: hardware
Instalação com Netinstall
RouterBoard, inicialmente temos que entrar via serial, com
modem e os seguintes parâmetros:
Controle de fluxo: hardware
17
Instalação com Netinstall
• Atribuir um IP para o Net Booting na mesma faixa da placa de rede da máquina
• Coloque na máquina os pacotes a serem instalados
• Bootar e selecionar os pacotes a serem instalados
Instalação com Netinstall
18
Primeiro acesso
• O processo de instalação não configura IP no Mikrotik. Portanto o primeiro acesso pode ser feito das seguintes maneiras:
– Direto no console (em pcs)
– Via terminal
– Via telnet de MAC, através de outro Mikrotik ou sistema que suporte telnet de MAC e esteja no mesmo barramento físico de rede
– Via Winbox
Primeiro acesso
O processo de instalação não configura IP no Mikrotik. Portanto o primeiro acesso pode ser feito
de MAC, através de outro Mikrotik ou sistema que suporte
de MAC e esteja no mesmo
19
Console no Mikrotik• Através do console do Mikrotik é possível acessar todas
configurações do sistema de forma hierárquica conforme os exemplos abaixo:
Acessando o menu “interface”[admin@MikroTik] > interface[admin@MikroTik] interface > ethernet
Para retornar ao nível anterior basta digitar ..[admin@MikroTik] interface ethernet> ..[admin@MikroTik] interface >
Para voltar ao raiz digite /[admin@MikroTik] interface ethernet> /[admin@MikroTik] >
Console no MikrotikAtravés do console do Mikrotik é possível acessar todas configurações do sistema de forma hierárquica conforme os exemplos abaixo:
Para retornar ao nível anterior basta digitar ..
20
Console no Mikrotik
• ? Mostra um help para o diretório em que se esteja
• ? Após um comando incompleto mostra as opções disponíveis para o comando
• Comandos podem ser completados com a tecla TAB
• Havendo mais de uma opção para o já digitado, pressione TAB 2 vezes para mostrar as opções disponíveis
Console no Mikrotik
? Mostra um help para o diretório em que se esteja
? Após um comando incompleto mostra as opções
Comandos podem ser completados com a tecla TAB
Havendo mais de uma opção para o já digitado, pressione TAB 2 vezes para mostrar as opções
21
Console no Mikrotik
• Comando PRINT mostra informações de configuração:
[admin@MikroTik] > interface ethernet> print
Flags: X - disabled, R - running, S - slave # NAME MTU MAC-ADDRESS ARP0 R ether1 1500 00:0C:42:34:F7:02 enabled
[admin@MikroTik] > interface ethernet> print0 R name="ether1" mtu=1500 l2mtu=1526 macauto-negotiation=yes full-duplex=yes speed=100Mbps
Console no Mikrotik
Comando PRINT mostra informações de configuração:
ARP MASTER-PORT SWITCHether1 1500 00:0C:42:34:F7:02 enabled
print detailmac-address=00:0C:42:34:F7:02 arp=enabled
duplex=yes speed=100Mbps
22
Console no Mikrotik• É possível monitorar o status das interfaces com o seguinte comando:
[guilherme@MKT] > interface wireless monitor wlan1status: running-apband: 5ghz
frequency: 5765MHznoise-floor: -112dBm
overall-tx-ccq: 93%registered-clients: 8
authenticated-clients: 8current-ack-timeout: 33
nstreme: nocurrent-tx-powers: 9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21) 24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18)
Console no MikrotikÉ possível monitorar o status das interfaces com o seguinte comando:
interface wireless monitor wlan1
: 9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21) 24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18)
23
Console no Mikrotik• Comandos para manipular regras
– add, set, remove: adiciona, muda e remove regras;
– disabled: desabilita regra sem deletar;
– move: move a regra cuja a ordem influência.
• Comando Export– Exporta todas as configurações do diretoria acima;
– Pode ser copiado e colado em um editor de textos;
– Pode ser exportado para arquivo.
• Comando Import– Importa um arquivo de configuração criado pelo comando export.
Console no Mikrotik
, set, remove: adiciona, muda e remove regras;
disabled: desabilita regra sem deletar;
move: move a regra cuja a ordem influência.
Exporta todas as configurações do diretoria acima;
Pode ser copiado e colado em um editor de textos;
Importa um arquivo de configuração criado pelo comando export.
24
WINBOX
• Winbox é o utilitário para administração do Mikrotik em modo gráfico. Funciona em Windows. Para funcionar no Linux é necessário a instalação do emulador Wine. A comunicação é feita pela porta TCP 8291 e caso você habilite a opção “Secure Mode” a comunicação será criptografada.
• Para baixar o winbox acesse o link: http://www.mikrotik.com/download.html
WINBOX
é o utilitário para administração do Mikrotik em modo gráfico. Funciona em Windows. Para funcionar no Linux é necessário a instalação
. A comunicação é feita pela porta TCP 8291 e caso você ” a comunicação será criptografada.
http://www.mikrotik.com/download.html
25
Acessando pelo WINBOX• É possível acessar o Mikrotik inicialmente sem endereço IP, através
do MAC da interface do dispositivo que está no mesmo barramento físico que o usuário. Para isso basta clicar nos 3 pontos e selecione o MAC que aparecerá.
Acessando pelo WINBOX• É possível acessar o Mikrotik inicialmente sem endereço IP, através
do MAC da interface do dispositivo que está no mesmo barramento físico que o usuário. Para isso basta clicar nos 3 pontos e selecione o MAC que aparecerá.
26
Configuração em Modo Seguro• O Mikrotik permite o acesso ao sistema através do “modo seguro”. Este
modo permite desfazer as configurações modificadas caso a sessão seja perdida de forma automática. Para habilitar o modo seguro pressione “CTRL+X”.
Configuração em Modo SeguroO Mikrotik permite o acesso ao sistema através do “modo seguro”. Este modo permite desfazer as configurações modificadas caso a sessão seja perdida de forma automática. Para habilitar o modo seguro pressione
27
Configuração em Modo Seguro• Se um usuário entra em modo seguro, quando já há um nesse
modo, a seguinte mensagem será dada:“Hijacking Safe Mode from someone – unroll/release/
u – desfaz todas as configurações anteriores feitas em modo seguro e põe a presente sessão em modo seguro
d – deixa tudo como está
r – mantém as configurações no modo seguro e põe a sessão em modo seguro. O outro usuário receberá a seguinte mensagem:
“Safe Mode Released by another user”
Configuração em Modo SeguroSe um usuário entra em modo seguro, quando já há um nesse modo, a seguinte mensagem será dada:
/release/dont take it [u/r/d]
desfaz todas as configurações anteriores feitas em modo seguro e põe a presente sessão em modo seguro
mantém as configurações no modo seguro e põe a sessão em modo seguro. O outro usuário receberá a seguinte
28
Configuração em Modo Seguro• Todas configurações são desfeitas caso você perca comunicação com o
roteador, o terminal seja fechado clicando no “x” ou pressionando CTRL+D.
• Configurações realizadas em modo seguro não são sofrem marcações na lista de historico até serem confirmadas ou desfeitas. A que a ação não será desfeita. A flag “R” significa que a ação foi desfeita.
• É possível visualizar o histórico de modificações através do menu:
/system history print
Obs.: O número máximo de registros em modo seguro é de 100.
Configuração em Modo SeguroTodas configurações são desfeitas caso você perca comunicação com o roteador, o terminal seja fechado clicando no “x” ou pressionando
Configurações realizadas em modo seguro não são sofrem marcações na até serem confirmadas ou desfeitas. A flag “U” significa
“R” significa que a ação foi desfeita.
É possível visualizar o histórico de modificações através do menu:
Obs.: O número máximo de registros em modo seguro é de 100.
29
Manutenção do Mikrotik
• Atualização
• Gerenciando pacotes
• Backup
• Informações sobre licenciamento
Manutenção do Mikrotik
Informações sobre licenciamento
30
Atualizações
• As atualizações podem ser feitas a partir de um conjunto de pacotes combinados ou individuais.
• Os arquivo tem extensão .npk e para atualizar a versão basta fazer o upload para o diretório raiz e efetuar um reboot.
• O upload pode ser feito por FTP ou copiando e colando pelo Winbox.
Atualizações
e para
para o diretório raiz e efetuar
pode ser feito por FTP ou
31
Pacotes• Adicionar novas funcionalidades podem ser feitas
através de alguns pacotes que não fazem parte do conjunto padrão de pacotes combinado.
• Esses arquivos também possuem extensão .para instalá-los basta fazer o Mikrotik e efetuar um reboot
• Alguns pacotes como “User“Multicast” são exemplos de pacotes adicionais que não fazem parte do pacote padrão.
PacotesAdicionar novas funcionalidades podem ser feitas através de alguns pacotes que não fazem parte do conjunto padrão de pacotes combinado.
Esses arquivos também possuem extensão .npk e los basta fazer o upload para o
reboot do sistema.
User Manager” e ” são exemplos de pacotes adicionais
que não fazem parte do pacote padrão.
32
Pacotes
• Alguns pacotes podem ser habilitados e desabilitados conforme sua necessidade.
Pacotes
Alguns pacotes podem ser habilitados e desabilitados
33
Pacote desabilitado
Pacote marcado para ser desabilitado
Pacote marcado para ser habilitado
Backup
• Para efetuar o backup basta ir em Files e clicar no botão “Backup”.
• Para restaurar o backup basta selecionar o arquivo e clicar em “Restore”.
• Este tipo de backup pode causar problemas de MAC caso seja restaurado em outro hardware. Para efetuar um backup por partes use o comando “
Backup
Este tipo de backup pode causar problemas de MAC caso seja restaurado em outro hardware. Para efetuar um backup por partes use o comando “export”.
34
LicenciamentoLicenciamento• A chave é gerada sobre
um software-id fornecido pelo sistema.
• A licença fica vinculada ao HD ou Flash e/ou placa mãe.
• A formatação com outras ferramentas muda o software-id causa a perda da licença.
35
Dúvidas ???Dúvidas ???
36
Nivelamento de conhecimentos TCP/IPNivelamento de conhecimentos TCP/IP
37
Modelo OSI (Open System Interconnection
CAMADA 7 – Aplicação: Comunicação com os programas. SNMP e TELNET.
CAMADA 6 – Apresentação: Camada de tradução. Compressão e criptografia
CAMADA 5 – Sessão: Estabelecimento das sessões TCP.
CAMADA 4 – Transporte: Controle de fluxo, ordenação dos pacotes e correção de erros
CAMADA 3 – Rede: Associa endereço físico ao endereço
CAMADA 2 – Enlace: Endereçamento físico. Detecta e corrige erros da camada 1
CAMADA 1 – Física: Bits de dados
Modelo OSI Interconnection)
38
Aplicação: Comunicação com os programas. SNMP e TELNET.
Apresentação: Camada de tradução. Compressão e criptografia
Sessão: Estabelecimento das sessões TCP.
Transporte: Controle de fluxo, ordenação dos pacotes e correção de erros
Rede: Associa endereço físico ao endereço lógico
Enlace: Endereçamento físico. Detecta e corrige erros da camada 1
Camada I – Camada Física
• A camada física define as características técnicas dos dispositivos elétricos.
• É nesse nível que são definidas as especificações de cabeamento estruturado, fibras ópticas, etc... No caso da wireless é a camada I que define as modulações, frequências e largura de banda das portadores.
Camada Física
A camada física define as características técnicas dos dispositivos elétricos.
É nesse nível que são definidas as especificações de cabeamento estruturado, fibras ópticas, etc... No caso da wireless é a camada I que define as modulações,
e largura de banda das portadores.39
Camada II -
• Camada responsável pelo endereçamento físico, controle de acesso ao meio e correções de erros da camada I.
• Endereçamento físico se faz pelos endereços MAC (Controle de Acesso ao Meio) que são únicos no mundo e que são atribuídos aos dispositivos de rede.
• Ethernets e PPP são exemplos de dispositivos que trabalham em camada II.
Enlace
Camada responsável pelo endereçamento físico, controle de acesso ao meio e correções de erros da
Endereçamento físico se faz pelos endereços MAC (Controle de Acesso ao Meio) que são únicos no mundo e que são atribuídos aos dispositivos de rede.
Ethernets e PPP são exemplos de dispositivos que
40
Endereço MAC
• É o único endereço físico de um dispositivo de rede
• É usado para comunicação com a rede local
• Exemplo de endereço MAC: 00:0C:42:00:00:00
Endereço MAC
É o único endereço físico de um dispositivo de rede
É usado para comunicação com a rede local
Exemplo de endereço MAC: 00:0C:42:00:00:00
41
Camada III
• Responsável pelo endereçamento lógico dos pacotes.
• Transforma endereços lógicos(endereços endereços físicos de rede.
• Determina que rota os pacotes irão seguir para atingir o destino baseado em fatores tais como condições de tráfego de rede e prioridade.
Camada III - Rede
Responsável pelo endereçamento lógico dos
Transforma endereços lógicos(endereços IPs) em endereços físicos de rede.
Determina que rota os pacotes irão seguir para atingir o destino baseado em fatores tais como condições de tráfego de rede e prioridade.
42
Endereço IP
• É o endereço lógico de um dispositivo de rede
• É usado para comunicação entre redes
• Exemplo de endereço ip: 200.200.0.1
Endereço IP
É o endereço lógico de um dispositivo de rede
É usado para comunicação entre redes
: 200.200.0.1
43
Sub Rede• É uma faixa de endereços IP que divide as redes em segmentos
• Exemplo de sub rede: 255.255.255.0 ou /24
• O endereço de REDE é o primeiro IP da sub rede
• O endereço de BROADCAST é o último IP da sub rede
• Esses endereços são reservados e não podem ser usados
End. IP/Máscara End. de Rede
192.168.1.0/23 192.168.0.0
192.168.1.1/24 192.168.1.0
192.168.1.1/25 192.168.1.0
192.168.1.1/26 192.168.1.0
Sub RedeÉ uma faixa de endereços IP que divide as redes em segmentos
Exemplo de sub rede: 255.255.255.0 ou /24
O endereço de REDE é o primeiro IP da sub rede
O endereço de BROADCAST é o último IP da sub rede
Esses endereços são reservados e não podem ser usados
44
End. Broadcast
192.168.1.255
192.168.1.255
192.168.1.127
192.168.1.63
Endereçamento CIDREndereçamento CIDR
45
Protocolo ARP – Address
• Utilizado para associar IP’s com endereços físicos.• Faz a intermediação entre a camada II e a camada III da
seguinte forma:
1. O solicitante de ARP manda um pacote de broadcast com informação do IP de destino, IP de origem e seu MAC, perguntando sobre o MAC de destino.
2. O host que tem o IP de destino responde fornecendo seu MAC.
3. Para minimizar o broadcast, o S.O mantém um tabela ARP constando o par (IP – MAC).
Resolution Protocol
com endereços físicos.Faz a intermediação entre a camada II e a camada III da
O solicitante de ARP manda um pacote de broadcast com informação do IP de destino, IP de origem e seu MAC, perguntando sobre o MAC de destino.
O host que tem o IP de destino responde fornecendo seu MAC.
Para minimizar o broadcast, o S.O mantém um tabela ARP
46
Camada IV - Transporte
• Quando no lado do remetente é responsável por pegar os dados das camadas superiores e dividir em pacotes para que sejam transmitidos para a camada de rede.
• No lado do destinatário pega recebidos da camada de rede, remonta os dados originais e os envia para à camada superior.
Estão na camada IV: TCP, UDP, RTP
Transporte
Quando no lado do remetente é responsável por pegar os dados das camadas superiores e dividir em pacotes para que sejam transmitidos para a camada
No lado do destinatário pega pega os pacotes recebidos da camada de rede, remonta os dados originais e os envia para à camada superior.
Estão na camada IV: TCP, UDP, RTP
47
Camada IV - Transporte
Protocolo TCP:O TCP é um protocolo de transporte que executa
importantes funções para garantir que os dados sejam entregues de forma confiável, ou seja, sem que os dados sejam corrompidos ou alterados.
Protocolo UDP:O UDP é um protocolo não orientado a conexão e
portanto é mais rápido que o TCP. Entretanto não garante a entrega dos dados.
Transporte
O TCP é um protocolo de transporte que executa importantes funções para garantir que os dados sejam entregues de forma confiável, ou seja, sem que os dados sejam corrompidos ou alterados.
O UDP é um protocolo não orientado a conexão e portanto é mais rápido que o TCP. Entretanto não garante a entrega dos dados.
48
Características do protocolo TCP Garante a entrega de data gramas IP.
Executa a segmentação e reagrupamento de grande blocos de dados enviados pelos programas e garante o seqüenciamento adequado e a entrega ordenada de dados segmentados.
Verifica a integridade dos dados transmitidos usando cálculos de soma de verificação.
Envia mensagens positivas dependendo do recebimento bemAo usar confirmações seletivas, também são enviadas confirmações negativas para os dados que não foram recebidos.
Oferece um método preferencial de transporte de programas que devem usar transmissão confiável de dados baseados em sessões, como banco de dados cliente/servidor por exemplo.
Características do protocolo TCP
Executa a segmentação e reagrupamento de grande blocos de dados enviados pelos programas e garante o seqüenciamento adequado e a entrega ordenada de
Verifica a integridade dos dados transmitidos usando cálculos de soma de
Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados. Ao usar confirmações seletivas, também são enviadas confirmações negativas
Oferece um método preferencial de transporte de programas que devem usar transmissão confiável de dados baseados em sessões, como banco de dados
49
Diferenças básicas entre TCP e UDP
TCP
Serviço orientado por conexão.Serviço sem conexão.
Garante a entrega através do uso de confirmação e entrega seqüenciada dos
dados.
Programas que usam TCP tem garantia de transporte confiável de dados.
Mais lento, usa mais recursos e somente dá suporte a ponto a ponto.
Diferenças básicas entre TCP e UDP
50
UDP
Serviço sem conexão. Não é estabelecida conexão entre os hosts.
Não garante ou não confirma entregados dados.
Programas que usam UDP são responsáveis pela confiabilidade dos
dados.
Rápido, exige poucos recursos e oferece comunicação ponto a ponto e
multiponto.
Estado das conexões• É possível observar o estado das conexões no MikroTik no menu Connections.
Estado das conexõesÉ possível observar o estado das conexões no MikroTik no menu Connections.
51
Portas TCPProtocolo
TCP
FTP
Porta 21
SSH
Porta 22
O uso de portas, permite o funcionamento de vários serviços, ao mesmo tempo, no mesmo computador, trocando informações com um ou mais serviços/servidores.
Portas abaixo de 1024 são registradas para serviços especiais.
Portas TCPProtocolo
Telnet
Porta 23
WEB
Porta 80
52
O uso de portas, permite o funcionamento de vários serviços, ao mesmo tempo, no mesmo computador, trocando informações com um
Portas abaixo de 1024 são registradas para serviços especiais.
Dúvidas ????Dúvidas ????
53
DIAGRAMA INICIALDIAGRAMA INICIAL
54
Configuração do
• Adicione os ips as interfaces
Obs.: Atente para selecionar as interfaces corretas.
Configuração do Router
as interfaces
Obs.: Atente para selecionar as interfaces corretas.55
Configuração do
• Adicione a rota padrão
1
2
3
4
Configuração do Router
56
Configuração do
• Adicione o servidor DNS
2
1
4
Configuração do Router
57
3
Configuração do • Configuração da interface wireless
Configuração do RouterConfiguração da interface wireless
58
Teste de conectividade
• Pingar a partir da RouterBoard192.168.X.254
• Pingar a partir da RouterBoardwww.mikrotik.com;
• Pingar a partir do notebook o seguinte 192.168.X.254
• Pingar a partir do notebook o seguinte endereço: www.mikrotik.com;
• Analisar os resultados
Teste de conectividade
• Pingar a partir da RouterBoard o seguinte ip: 192.168.X.254
• Pingar a partir da RouterBoard o seguinte endereço: www.mikrotik.com;
• Pingar a partir do notebook o seguinte ip: 192.168.X.254
• Pingar a partir do notebook o seguinte endereço: www.mikrotik.com;
• Analisar os resultados59
Corrigir o problema de conectividade
• Diante do cenário apresentado quais soluções podemos apresentar?
– Adicionar rotas estáticas;
– Utilizar protocolos de roteamento dinâmico;
– Utilizar NAT(Network Address
Corrigir o problema de conectividade
Diante do cenário apresentado quais soluções
Utilizar protocolos de roteamento dinâmico;
Address Translation).
60
Utilização do NAT• O mascaramento é a técnica que permite que vários
hosts de uma rede compartilhem um mesmo endereço IP de saída do roteador. No Mikrotik o mascaramento é feito através do Firewall na funcionalidade do NAT.
• Todo e qualquer pacote de dados de uma rede possui um endereço IP de origem e destino. Para mascarar o endereço, o NAT faz a troca do endereço IP de origem. Quando este pacote retorna ele é encaminhando ao host que o originou.
Utilização do NATO mascaramento é a técnica que permite que vários hosts de uma rede compartilhem um mesmo endereço IP de saída do roteador. No Mikrotik o mascaramento é feito através do Firewall na funcionalidade do NAT.
Todo e qualquer pacote de dados de uma rede possui um endereço IP de origem e destino. Para mascarar o endereço, o NAT faz a troca do endereço IP de origem. Quando este pacote retorna ele é encaminhando ao
61
• Adicionar uma regra de NAT, mascarando as requisições que saem pela interface wlan1.
3
1
2
4
Adicionar uma regra de NAT, mascarando as requisições que saem pela interface wlan1.
62
Teste de conectividade
• Efetuar os testes de ping a partir do notebook;
• Analisar os resultados;
• Efetuar os eventuais reparos.
Após a confirmação de que tudo está funcionando, faça o backup da routerboard e armazeneEle será usado ao longo do curso.
Teste de conectividade
a partir do notebook;
Efetuar os eventuais reparos.
Após a confirmação de que tudo está funcionando, faça e armazene-o no notebook.
Ele será usado ao longo do curso.
63
Gerenciando usuários• O acesso ao roteador pode ser controlado;
• Pode-se criar usuários e/ou grupos diferentes;
1
2
Gerenciando usuáriosO acesso ao roteador pode ser controlado;
se criar usuários e/ou grupos diferentes;
64
Gerenciamento de usuários
• Adicione um novo usuário com seu nome e dê a ele acesso “Full”
• Mude a permissão do usuário “
• Faça login com seu novo usuário.
Gerenciamento de usuários
• Adicione um novo usuário com seu nome e dê a ele acesso “Full”
• Mude a permissão do usuário “admin” para “Read”
• Faça login com seu novo usuário.
65
Atualizando a RouterBoard
• Faça o download dos pacotes no seguinte endereço: ftp://172.31.254.2
• Faça o upload dos pacotes para sua
• Reinicie a RouterBoard para que os pacotes novos sejam instalados
• Confira se os novos pacotes foram instalados com sucesso.
Atualizando a RouterBoard
• Faça o download dos pacotes no seguinte endereço: ftp://172.31.254.2
• Faça o upload dos pacotes para sua RouterBoard
• Reinicie a RouterBoard para que os pacotes novos sejam instalados
• Confira se os novos pacotes foram instalados com sucesso.
66
Wireless no MikrotikWireless no Mikrotik
67
Configurações Físicas
Padrão IEEE Frequência Tecnologia
802.11b 2.4 Ghz DSSS
802.11g 2.4 Ghz OFDM
802.11a 5 Ghz OFDM
802.11n 2.4 Ghz e 5 Ghz BQSP, QPSQ e QAM
Configurações Físicas
Velocidades
1, 2, 5.5 e 11 Mbps
6, 9, 12, 18, 24, 36, 48 e 54 Mbps
6, 9, 12, 18, 24, 36, 48 e 54 Mbps
BQSP, QPSQ e QAM De 6.5Mbps até 600 Mbps
68
802.11b - DSSS
69
Canais não interferentes em 2.4 Ghz -
2.412 GHz 2.437 GHz
Canal 1 Canal 6
Canais não interferentes em DSSS
70
2.437 GHz 2.462 GHz
Canal 11
Configurações Físicas
• 2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado para ser usado somente em processo de migração.
Configurações Físicas – 2.4Ghz• 2.4Ghz-B: Modo 802.11b,
que permite velocidades de 1 à 11 Mbps e utiliza espalhamento espectral.
• 2.4Ghz-only-G: Modo 802.11g, que permite velocidades de 6 à 54 Mbpse utiliza OFDM.
71
Modo misto 802.11b e 802.11g recomendado para ser usado somente em processo de migração.
Canais do espectro de 5Ghz
• Em termos regulatórios a frequência
Faixa baixa: 5150 a 5350 Mhz
Faixa média: 5470 a 5725 Mhz
Faixa alta: 5725 a 5850 Mhz
Canais do espectro de 5Ghz
frequência de 5Ghz é dividida em 3 faixas:
72
Aspectos legais do espectro de 5Ghz
Faixa Baixa
Freqüências 5150-5250 5250-5350
Largura 100 Mhz 100 Mhz
Canais 4 canais 4 canais
Detecção de radar
obrigatória
Aspectos legais do espectro de 5Ghz
73
Faixa Média Faixa Alta
5350 5470-5725 5725-5850
Mhz 255 Mhz 125 Mhz
4 canais 11 canais 5 canais
Detecção de
obrigatória
Detecção de radar
obrigatória
Configurações Físicas
O modo 5Ghz permite ainda as variaçõeslargura de banda que permite selecionar freqüências mais especificas, porém reduzindo a velocidade nominal.
Permite ainda a seleção do modo turbo ou “a/n” dependendo do modelo do cartão.
Configurações Físicas – 5 Ghz
• 5Ghz: Modo 802.11a opera nas três faixas permitidas com velocidades que vão de 6Mbps a 54 Mbps.
74
as variações de uso em 10Mhz e 5Mhz de que permite selecionar freqüências mais especificas,
porém reduzindo a velocidade nominal.
Permite ainda a seleção do modo turbo ou “a/n” dependendo do
Canalização em 802.11a
Menor troughput
Maior número de canais
Menor vulnerabilidade a interferências
Requer menor sensibilidade
Aumenta o nível de potência de
Canalização em 802.11a – Modos 5Mhz e 10Mhz
Menor vulnerabilidade a interferências
Aumenta o nível de potência de tx75
Canalização em 802.11a
Maior troughput
Menor número de canais
Maior vulnerabilidade a interferências
Requer maior sensibilidade
Diminui o nível de potência de tx
Canalização em 802.11a – Modo Turbo
Maior vulnerabilidade a interferências
tx76
Padrão 802.11n
• INDICE:
MIMO
Velocidades do 802.11n
Bonding do canal
Agregação dos frames
Configuração dos cartões
Potência de TX em cartões N
Bridge transparente para links N utilizando MPLS/VPLS
Padrão 802.11n
transparente para links N utilizando MPLS/VPLS
77
MIMO• MIMO: Multiple Input and Multiple
• SDM: Spatial Division Multiplexing– Streams espaciais múltiplas através de múltiplas antenas.
• Configurações de antenas múltiplas para receber e transmitir:
1x1, 1x2, 1x3;
2x2, 2x3;
3x3
MIMOMultiple Output
Multiplexingespaciais múltiplas através de múltiplas antenas.
Configurações de antenas múltiplas para receber e
78
802.11n - Velocidades nominaisVelocidades nominais
79
802.11n - Bonding dos canais 2 x 20Mhz
Adiciona mais 20Mhz ao canal existente
O canal é colocado abaixo ou acima da principal
É compatível com os clientes “legados” de 20MhzConexão feito no canal principal
Permite utilizar taxas maiores
dos canais 2 x 20Mhz
Adiciona mais 20Mhz ao canal existente
O canal é colocado abaixo ou acima da frequência
É compatível com os clientes “legados” de 20MhzConexão feito no canal principal
Permite utilizar taxas maiores80
802.11n – Agregação dos frames
• Combina múltiplos frames de dados em um simples frame. O que diminui o overhead
• Agregação de unidade de dados protocolo MAC (AMPDU)– Aggregated MAC Protocol Data – Usa Acknowledgement em bloco– Pode aumentar a latência. Por padrão habilitado somente para
tráfego de melhor esforço
• Agregação de unidade de dados de serviços MAC (AMSDU)– Enviando e recebendo AMSDU’s
processamento, pois este é processado a nível de software.
Agregação dos frames
Combina múltiplos frames de dados em um simples frame. O
Agregação de unidade de dados protocolo MAC (AMPDU)Data Units
em blocoPode aumentar a latência. Por padrão habilitado somente para
Agregação de unidade de dados de serviços MAC (AMSDU)AMSDU’s causa aumento de
processamento, pois este é processado a nível de software.
81
Configurando no Mikrotik
• HT Tx Chains / HT Rx Chains:
No caso dos cartões “n” a configuração da antena é ignorada.
• HT AMSDU Limit: Máximo AMSDU que o dispositivo pode preparar.
• HT AMSDU Threshold: Máximo tamanho de frame que é permitido incluir em AMSDU.
Configurando no Mikrotik
82
Configurando no Mikrotik• HT Guard Interval: Intervalo de guarda.
– Any: Longo ou curto, dependendo da velocidade de transmissão.
– Longo: Intervalo longo.
• HT Extension Channel: Define se será usado a extensão adicional de 20Mhz.
– Below: Abaixo do canal principal
– Above: Acima do canal principal
• HT AMPDU Priorities: Prioridades do frame para qual o AMPDU deve ser negociado e utilizado.
Configurando no Mikrotik
83
Configurando no Mikrotik
• Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é dobrada.
Configurando no Mikrotik
Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é 84
Bridge transparente em enlaces “N”
• WDS não suporta agregação de frames e portanto não provê a velocidade total da tecnologia “n”
• EoIP incremente overhead
• Para fazer bridge transparente com velocidades maiores com menos overhead em enlaces “n” devemos utilizar MPLS/VPLS.
transparente em enlaces “N”
WDS não suporta agregação de frames e portanto não provê a velocidade total da tecnologia “n”
transparente com velocidades maiores com menos overhead em enlaces “n” devemos utilizar MPLS/VPLS.
85
Bridge transparente em enlaces “N”• Para se configurar a bridge transparente em enlaces “n”, devemos
estabelecer um link AP <-> Station e configure uma rede ponto a ponto /30.
– Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(
– Habilitar o LDP (Label Distribution Protocol
– Adicionar a wlan1 a interface MPLS
transparente em enlaces “N”transparente em enlaces “n”, devemos
e configure uma rede ponto a
Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(Station)
Protocol) em ambos lados.
86
Bridge transparente em enlaces “N”• Configurar o túnel VPLS em ambos os lados
• Crie uma bridge entre a interface VPLS e a ethernet conectada
• Confira o status do LDP e do túnel VPLS
transparente em enlaces “N”Configurar o túnel VPLS em ambos os lados
entre a interface VPLS e a ethernet conectada
87
Bridges VPLS - Considerações• O túnel VPLS incrementa o pacote. Se este pacote
excede o MPLS MTU da interface de fragmentado.
• Se a interface ethernet suportar MPLS MTU de 1522 ou superior, a fragmentação pode ser evitada alterando o MTU da interface MPLS.
• Uma lista completa sobre as MTU das pode ser encontrada em:
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards
ConsideraçõesO túnel VPLS incrementa o pacote. Se este pacote excede o MPLS MTU da interface de saida, este será
Se a interface ethernet suportar MPLS MTU de 1522 ou superior, a fragmentação pode ser evitada alterando o MTU da interface MPLS.
Uma lista completa sobre as MTU das RouterBoards
Maximum_Transmission_Unit_on_RouterBoards
88
Setup Outdoor para enlaces “n”
• Recomendações segundo a Mikrotik:
– Teste de canal separadamente antes de usámesmo tempo.
– Para operação em 2 canais, usar polarizações diferentes
– Quando utilizar antenas de polarização dupla, a isolação mínima recomendada da antena é de 25dB.
Setup Outdoor para enlaces “n”
Recomendações segundo a Mikrotik:
Teste de canal separadamente antes de usá-los ao
Para operação em 2 canais, usar polarizações
Quando utilizar antenas de polarização dupla, a isolação mínima recomendada da antena é de 25dB.
89
Enlaces “n”
Estabeleça um link “N” com seu vizinho
Teste a performance com um e dois canais
Crie uma bridge transparente usando VPLS
Enlaces “n”
Estabeleça um link “N” com seu vizinho
Teste a performance com um e dois canais
Crie uma bridge transparente usando VPLS
90
Configurações de camada física
• default: Não altera a potência original do cartão
• cards rates: Fixa mas respeita as variações das taxas para cada velocidade
• all rates fixed: Fixa um valor para todas velocidades
• manual: permite ajustar potências diferentes para cada velocidade
Configurações de camada física - Potências
: Não altera a potência original do cartão
: Fixa mas respeita as variações das taxas para cada velocidade
: Fixa um valor para todas velocidades
: permite ajustar potências diferentes para cada velocidade91
Configurações de camada física
• Quando a opção “regulatory domain” está habilitada, somente as permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o Mikrotik ajustará a potência do rádio para atender a regulamentação do país, levando em conta o valor em dBi informado em “
• Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.13
Configurações de camada física - Potências
” está habilitada, somente as frequênciaspermitidas para o país selecionado em “Country” estarão disponíveis. Além disso o Mikrotik ajustará a potência do rádio para atender a regulamentação do país,
informado em “Antenna Gain”.
Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.1392
Configurações da camada física
• Em cartões que tem duas para antenas, é possível escolher:
– antena a
– antena b
– rx-a/tx-
– tx-a/rx-
Configurações da camada física – Seleção de antena
Em cartões que tem duas saidaspara antenas, é possível escolher:
antena a: utiliza antena “a”(main) para tx e rx
antena b: utiliza antena “b”(aux) para tx e rx
-b: recepção em “a” e transmissão em “b”
-b: transmissão em “b” e recepção em “a”
93
Configurações da camada física
• no radar escolhe o canal em que for encontrado o menor número de redes
• radar detect1 minuto para entrar em operação no canal escolhido se não for detectada a ocupação do canal
• Obs.: O modo DFS é obrigatório no Brasil para as faixas de 52505350-5725
Configurações da camada física – DFS
no radar detect: escaneia o meio e escolhe o canal em que for encontrado o menor número de redes
detect: escaneia o meio e espera 1 minuto para entrar em operação no canal escolhido se não for detectada a ocupação do canal
: O modo DFS é obrigatório no Brasil para as faixas de 5250-5250 e
5725
94
Configurações da camada física
• Proprietaryfinalidade de dar compatibilidade com Centrino.
• WMM Support
– enabled: permite que o outro dispositivo use
– required: requer que o outro dispositivo use
– disabled: desabilita a função
Configurações da camada física – Prop. Extensions e WMM
Proprietary Extensions: Opção com a única finalidade de dar compatibilidade com chipsets
Support: QoS no meio físico(802.11e)
: permite que o outro dispositivo use wmm
: requer que o outro dispositivo use wmm
: desabilita a função wmm
95
Configurações da camada física Client tx rate /
• Defaul AP TX Rate: Taxa máxima que o AP pode transmitir para cada um de seus clientes. Funciona para qualquer cliente.
• Default Client TX Rate: Taxa máxima que o cliente pode transmitir para o AP. Só funciona para clientes Mikrotik.
• Compression: Recurso de compressão em Hardware disponível em chipsets Atheros. Melhora o desempenho se o cliente possuir este recurso e não afeta clientes que não possuam o recurso. Porém este recurso é incompatível com criptografia.
Configurações da camada física – AP e rate / Compression
: Taxa máxima que o AP pode transmitir para cada um de seus clientes.
: Taxa máxima que o cliente pode transmitir para o AP. Só funciona
96
: Recurso de compressão em Hardware disponível . Melhora o desempenho se o cliente possuir
este recurso e não afeta clientes que não possuam o recurso. Porém este recurso é incompatível com criptografia.
Configurações da camada física
• A velocidade em uma rede wireless é definida pela modulação que os dispositivos conseguem trabalhar.
Supported Rates: São as velocidades de dados entre o AP e os clientes.
Basic Rates: São as velocidades que os dispositivos se comunicam independentemente do tráfego de dados (beacons, sincronismos, etc...)
Configurações da camada física – Data Rates
A velocidade em uma rede wireless é
dispositivos conseguem trabalhar.
: São as velocidades de
: São as velocidades que os
independentemente do tráfego de dados
97
Configurações da camada física
• O ACK timeout é o tempo que um dispositivo wireless espera pelo pacote Ack que deve ser transmitido para confirmar toda transmissão wireless.
– Dynamic: O Mikrotik calcula dinamicamente o cliente mandando de tempos em tempos sucessivos pacotes com Ack timeouts diferentes e analisando as respostas.
– indoors: Valor constante para redes indoors.
– Pode-se também fixar valores manualmente.
Dispositivo “A”
Dados
ACK
Configurações da camada física – ACK
O ACK timeout é o tempo que um dispositivo wireless que deve ser transmitido para
confirmar toda transmissão wireless.
: O Mikrotik calcula dinamicamente o Ack de cada cliente mandando de tempos em tempos sucessivos pacotes
timeouts diferentes e analisando as respostas.
: Valor constante para redes indoors.
se também fixar valores manualmente.
98
Dispositivo “B”
Configurações da camada física • Tabela de valores referenciais para ACK Timeout
Obs.: Utilize a tabela somente para referência inicial.
Configurações da camada física – ACKTabela de valores referenciais para ACK Timeout
99Obs.: Utilize a tabela somente para referência inicial.
Ferramentas de Site
• Escaneia o meio.
Obs.: Qualquer operação de site conexões estabelecidas.
Ferramentas de Site Survey - Scan
Obs.: Qualquer operação de site survey causa queda das
100
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
N -> Nstreme
Ferramentas de Site Survey
• Mostra o uso das frequênciasem todo o espectro para site survey conforme a banda selecionada no menu wireless.
Survey – Uso de frequências
frequênciasem todo o espectro para site
conforme a banda
101
Interface wireless -
• Ferramenta de alinhamento com sinal sonoro– Colocar o MAC do AP remoto no campo Filtere Audio Monitor.
Rx Quality: Potência em dBm do último pacote recebido
Avg. Rx Quality: Potência média dos pacotes recebidos
Last Rx: Tempo em segundos do último pacote recebido
Tx Quality: Potência do último pacote transmitido
Last TX: Tempo em segundos do último pacote transmitido
Correct: Número de pacotes recebidos sem erro
- Alinhamento
Ferramenta de alinhamento com sinal sonoroFilter MAC Address
do último pacote recebido
: Potência média dos pacotes recebidos
: Tempo em segundos do último pacote recebido
: Potência do último pacote transmitido
: Tempo em segundos do último pacote transmitido
102
Interface wireless Interface wireless - Sniffer
• Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes.
• Muito útil para detectar ataques do tipo deauth e monkey jack.
• Pode ser arquivado no próprio Mikrotik ou passado por streaming para outro servidor com protocolo TZSP.
103
Interface wireless
• Com a ferramenta snooper é possível monitorar a carga de tráfego em cada canal por estação e por rede.
• Scaneia as frequências definidas em scan
Interface wireless - Snooper
é possível monitorar a carga de tráfego em cada canal por estação e por rede.
scan-list da interface104
Interface wireless
• Comportamento do protocolo ARP
enable: Aceita e responde requisições ARP.
disable: Não responde a requisições ARP. Clientes devem acessar através de tabelas estáticas.
proxy-arp: Passa seu próprio MAC quando há uma requisição para algum host interno ao roteador.
reply-only: Somente responde as requisições. Endereços vizinhos são resolvidos estaticamente.
Interface wireless - Geral
Comportamento do protocolo ARP
: Não responde a requisições ARP. Clientes
Endereços vizinhos são resolvidos estaticamente.
105
Interface wireless – Modo de operação
• ap bridge: Modo de ponto de acesso. Repassa os wireless de forma transparente para a rede
• bridge: O mesmo que o o modo “apsomente um cliente.
• station: Modo cliente de um ap. Não pode ser colocado em bridge com outras interfaces.
Modo de operação
: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma transparente para a rede cabeada.
ap bridge” porém aceitando
: Modo cliente de um ap. Não pode ser colocado em
106
Interface wireless – Modo de operação
• station pseudobridge: Estação que pode ser colocada em modo bridge, porém sempre passa ao AP seu próprio MAC.
• station pseudobridge clone: Modo idêntico ao anterior, porém passa ao AP um MAC pré determinado anteriormente.
• station wds: Modo estação que pode ser colocado em com a interface ethernet e que passa os transparente. É necessário que o AP esteja em modo wds.
Modo de operação
: Estação que pode ser colocada em modo , porém sempre passa ao AP seu próprio MAC.
: Modo idêntico ao anterior, porém passa ao AP um MAC pré determinado anteriormente.
: Modo estação que pode ser colocado em bridgecom a interface ethernet e que passa os MACs de forma transparente. É necessário que o AP esteja em modo wds.
107
Interface wireless – Modo de operação
• alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal. Neste modo a interface wireless “escuta” os pacotes que são mandados a ela por outros dispositivos trabalhando no mesmo canal.
• wds slave: Adéqua suas configurações conforme outro AP com mesmo SSID.
• nstreme dual slave: Será visto no tópico especifico de
Modo de operação
: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal. Neste modo a interface wireless “escuta” os pacotes que são mandados a ela por outros dispositivos trabalhando no mesmo canal.
: Adéqua suas configurações conforme outro AP com
: Será visto no tópico especifico de nstreme.108
Interface wireless
Com as interfaces virtuais podemos montar várias redes dando perfis de serviço diferentes
Name: Nome da rede virtualMTU: Unidade máxima de transferência(bytes)MAC: Endereço MAC do novo APARP: Modo de operação do protocolo ARP
Obs.: As demais configurações são idênticas as de um AP.
Interface wireless – AP Virtual
Com as interfaces virtuais podemos montar várias redes dando perfis de serviço diferentes.
Name: Nome da rede virtualMTU: Unidade máxima de transferência(bytes)MAC: Endereço MAC do novo APARP: Modo de operação do protocolo ARP
Obs.: As demais configurações são idênticas as de um AP.
109
Camada Física Camada Física - Wireless• Como trabalha o CSMA?
– Redes ethernet tradicionais utilizam o método CSMA/CD (Colision Detection).
– Redes wireless 802.11 utilizam o método CSMA/CA (ColisionAvoidance).
110
Protocolo Nstreme
• Enable Nstreme: Habilita o nstreme.
• Enable Polling: Habilita o mecanismo de
• Disable CSMA: Desabilita o Carrier Sense
• Framer Limit: Tamanho máximo do pacote em bytes.
- Configuração
: Habilita o mecanismo de polling. Recomendado.
Sense. Recomendado.
: Tamanho máximo do pacote em bytes.111
Framer Policy Dynamic size: O Mikrotik determina.
Best fit: Agrupa até o valor em “Frame Limit” sem fragmentar.
Exact Size: Agrupa até o valor em “Frame Limit” fragmentando se necessário.
Protocolo Nstreme Dual
1 – Colocar a interface em modo “nstreme dual slave”.
2 – Adicionar uma interface NstremeDual e definir quem será TX e quem será RX.
Obs.: Utilize sempre canais distantes.
Dual - Configuração
112
Protocolo Nstreme Dual
3 – Verifique o MAC escolhido pela interface Nstreme e informe no lado oposto.
4 – Criar uma bridge e adicionar as interfaces ethernet e a interface Nstreme Dual
Práticas de RF recomendadas:
Use antenas de qualidade, Polarizações diferentes, canais distantes e mantenha uma boa distância entre as antenas.
Dual - Configuração
113
Use antenas de qualidade, Polarizações diferentes, canais distantes e mantenha uma boa distância entre as antenas.
WDS & WDS MESHWDS & WDS MESH
114
WDS – WIRELESS DISTRIBUTION SYSTEM
• WDS é a melhor forma garantir uma grande área de cobertura wireless utilizando vários mobilidade sem a necessidade de rePara tanto, todos os AP’s devem ter o mesmo SSID e mesmo canal.
WIRELESS DISTRIBUTION SYSTEM
WDS é a melhor forma garantir uma grande área de cobertura wireless utilizando vários APs e prover mobilidade sem a necessidade de re-conexão dos usuários.
devem ter o mesmo SSID e mesmo 115
WDS e o protocolo STP
• A “mágica” do wds só é possível por conta do protocolo STP. Para evitar o looping na rede é necessário habilitar o protocolo STP ou RSTP. Ambos protocolos trabalham de forma semelhante porém o RSTP é mais rápido.
• O RSTP inicialmente elege uma root bridgesearch” que quando encontra um MAC pela primeira vez, torna o link ativo. Se encontra outra vez, torna o link desabilitado.
• Normalmente habilitar o RSTP já é suficiente para atingir os resultados. No entanto é possível interferir no comportamento padrão, modificando custos, prioridades e etc...
WDS e o protocolo STP
A “mágica” do wds só é possível por conta do protocolo STP. Para evitar o na rede é necessário habilitar o protocolo STP ou RSTP. Ambos
protocolos trabalham de forma semelhante porém o RSTP é mais rápido.
bridge e utiliza o algoritmo “breadth-firstsearch” que quando encontra um MAC pela primeira vez, torna o link ativo. Se encontra outra vez, torna o link desabilitado.
Normalmente habilitar o RSTP já é suficiente para atingir os resultados. No entanto é possível interferir no comportamento padrão, modificando custos,
116
WDS e o protocolo STPQuanto menor a prioridade, maior a chance de ser eleita como
Quando os custos são iguais é eleita a porta com prioridade mais baixa.
O custo da porta permite um caminho ser eleito em lugar do outro.
WDS e o protocolo STPQuanto menor a prioridade, maior a chance de ser eleita como bridge root.
Quando os custos são iguais é eleita a porta com prioridade mais baixa.
O custo da porta permite um caminho ser eleito em lugar do outro.
117
WDS e o protocolo STP
• A Bridge usa o endereço MAC da porta ativa com menor número de porta.
• A porta wireless está ativa somente quando existem hosts conectados a ela.
• Para evitar que os MACs fiquem variando, é possível atribuir um MAC manualmente.
WDS e o protocolo STP
usa o endereço MAC da porta ativa com menor número de porta.
A porta wireless está ativa somente quando existem hosts conectados a ela.
fiquem variando, é possível atribuir um MAC
118
WDS / WDS MESH
• WDS Mode• dynamic: As interfaces wds são adicionada dinamicamente quando um
dispositivo wds encontra outro compatível.
• static: As interfaces wds devem ser adicionadas manualmente apontando o MAC da outra ponta.
• (mesh): WDS com um algoritmo proprietário para melhoria do link. Só possui compatibilidade com outros dispositivos Mikrotik.
WDS / WDS MESH• WDS Default Bridge: A bridge padrão para as
interfaces wds.
• WDS Default Cost: Custo da porta bridge do link wds.
• WDS Cost Range: Margem de custo que pode ser ajustada com base no troughtput do link.
119
: As interfaces wds são adicionada dinamicamente quando um dispositivo wds encontra outro compatível.
: As interfaces wds devem ser adicionadas manualmente apontando o
WDS com um algoritmo proprietário para melhoria do link. Só possui compatibilidade com outros dispositivos Mikrotik.
WDS / MESH• Altere o modo de operação
da wireless para: ap-bridge
WDS: Selecione o modo wds dynamic-mesh.
WDS Default Bridge: Selecione a bridge criada.
Obs:. Certifique-se que todos estão no canal 5180 e SSID: wds-lab.
WDS / MESH• Altere o modo de operação
da wireless para: ap-bridge
WDS: Selecione o modo wds dynamic-mesh.
WDS Default Bridge: Selecione a bridge criada.
Obs:. Certifique-se que todos estão no canal 5180 e SSID: wds-lab.
120
Interface Wireless – Controle de Acesso
• A Access List é utilizada pelo AP para restringir associações de clientes. Esta lista contem os endereços MAC de clientes e determina qual ação deve ser tomada quando um cliente tenta conectar.
• A comunicação entre clientes da mesma interface, virtual ou real, também é controlada na Access
Controle de Acesso
é utilizada pelo AP para restringir associações de clientes. Esta lista contem os endereços MAC de clientes e determina qual ação deve ser tomada quando um cliente tenta conectar.
A comunicação entre clientes da mesma interface, virtual ou real, também é controlada na Access List.
121
Interface Wireless – Controle de Acesso• O processo de associação ocorre da seguinte forma:
1. Um cliente tenta se associar a uma interface
2. Seu MAC é procurado na access
3. Caso encontrado, a ação especifica será tomada: Authentication: Define se o cliente poderá se associar ou
não; Fowarding: Define se os clientes poderão se comunicar.
Controle de AcessoO processo de associação ocorre
Um cliente tenta se associar a uma interface wlan;
access list da interface wlan;
Caso encontrado, a ação especifica será tomada:Authentication: Define se o cliente poderá se associar ou
: Define se os clientes poderão se comunicar. 122
Interface Wireless MAC Address: Endereço MAC a ser liberado ou bloqueado.
Interface: Interface real ou virtual onde será feito o controle de acesso.
AP Tx Limit: Limite de tráfego enviado para o cliente.
Client Tx Limit: Limite de tráfego enviado do cliente para o AP.
Private Key: Chave wep criptografada.
Private Pre Shared Key: Chave WPA.
Management Protection Key: Chave usada para evitar ataques de desautenticação. Somente compatível com outros
Interface Wireless – Access List: Endereço MAC a ser liberado
: Interface real ou virtual onde será
: Limite de tráfego enviado para o
: Limite de tráfego enviado do
123
: Chave usada para evitar ataques de . Somente compatível com outros Mikrotiks.
Interface Wireless
• A Connect List tem a finalidade de listaros APs que o Mikrotik configurado comocliente pode se conectar.
MAC Address: MAC do AP a se conectar
SSID: Nome da rede
Area Prefix: String para conexão com AP de mesma área
Security Profile: Definido nos perfis de segurança.
Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP falso.
Interface Wireless – Connect List
tem a finalidade de listarque o Mikrotik configurado como
: String para conexão com AP de mesma área
: Definido nos perfis de segurança.
: Essa é uma boa opção para evitar que o cliente se associe a um AP
124
Segurança de Acesso em redes sem fioSegurança de Acesso em redes sem fio
125
Falsa segurança• Nome da rede escondido:
– Pontos de acesso sem fio por padrão fazem o broadcast de seu SSID nos pacotes chamados “beacons”. Este comportamento pode ser modificado no Mikrotik habilitando a opção “Hide SSID”.
• Pontos negativos:– SSID deve ser conhecido pelos clientes
– Scanners passivos o descobrem facilmente pelos pacotes de “probe requestclientes.
Falsa segurança
Pontos de acesso sem fio por padrão fazem o broadcast de seu SSID nos pacotes
”. Este comportamento pode ser modificado no Mikrotik
SSID”.
SSID deve ser conhecido pelos clientes
Scanners passivos o descobrem facilmente request” dos
126
Falsa segurança
• Controle de MACs:
– Descobrir MACs que trafegam no ar é muito simples com ferramentas apropriadas e inclusive o Mikrotik como sniffer.
– Spoofar um MAC é bem simples. Tanto usando windows, linux ou Mikrotik.
Falsa segurança
que trafegam no ar é muito simples com ferramentas apropriadas e inclusive o
um MAC é bem simples. Tanto usando ou Mikrotik.
127
Falsa segurança
• Criptografia WEP:– “Wired Equivalent Privacy” – Foi o sistema de criptografia
inicialmente especificado no padrão 802.11 e está baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia.
– Várias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo várias ferramentas para quebrar a chave, como:AirodumpAirreplayAircrack
• Hoje com essas ferramentas é bem simples quebrar a WEP.
Falsa segurança
Foi o sistema de criptografia inicialmente especificado no padrão 802.11 e está baseado no compartilhamento de um segredo entre o ponto de acesso e os clientes, usando um algoritmo RC4 para a criptografia.Várias fragilidades da WEP foram reveladas ao longo do tempo e publicadas na internet, existindo várias ferramentas para quebrar
Hoje com essas ferramentas é bem simples quebrar a WEP.128
Evolução dos padrões de segurançaEvolução dos padrões de segurança
129
Fundamentos de Segurança
PrivacidadeAs informações não podem ser legíveis para terceiros.
IntegridadeAs informações não podem ser alteradas quando em transito.
AutenticaçãoAP Cliente: O AP tem que garantir que o cliente é quem diz
ser.Cliente AP: O cliente tem que se certificar que está
conectando no AP correto. Um AP falso possibilita o chamado ataque do “homem do meio”.
Fundamentos de Segurança
As informações não podem ser legíveis para terceiros.
As informações não podem ser alteradas quando em transito.
AP Cliente: O AP tem que garantir que o cliente é quem diz
Cliente AP: O cliente tem que se certificar que está conectando no AP correto. Um AP falso possibilita o chamado
130
Privacidade e Integridade
Tanto a privacidade como a integridade são garantidos por técnicas de criptografia.
O algoritmo de criptografia de dados em WPA é o RC4, porém implementado de uma forma bem mais segura que na WEP. E na WPA2 utiliza
Para a integridade dos dados WPA usa TKIP(Algoritmo de Hashing “Michael”) e WPA2 usa CCMP(Chaining Message Authentication
Privacidade e Integridade
Tanto a privacidade como a integridade são garantidos
O algoritmo de criptografia de dados em WPA é o RC4, porém implementado de uma forma bem mais segura que na WEP. E na WPA2 utiliza-se o AES.
Para a integridade dos dados WPA usa TKIP(Algoritmo “Michael”) e WPA2 usa CCMP(Cipher
Authentication Check – CBC – MAC)
131
Chave WPA e WPA2
• A configuração da chave WPA/WAP2-PSK é muito simples no Mikrotik.
• Configure o modo de chave dinâmico e a chave pré-combinada para cada tipo de autenticação.
Obs.: As chaves são alfanuméricas de 8 até 64 caracteres.
Chave WPA e WPA2 - PSK
combinada
Obs.: As chaves são alfanuméricas de
132
Segurança de WPA / WPA2
• Atualmente a única maneira conhecida para se quebrar a WPA-PSK é somente por ataque de dicionário.
• Como a chave mestra PMK combina uma contracom o SSID, escolhendo palavras fortes torna o sucesso de força bruta praticamente impossível.
• A maior fragilidade paras os WISP’sencontra em texto plano nos computadores dos clientes ou no próprio Mikrotik.
Segurança de WPA / WPA2
Atualmente a única maneira conhecida para se quebrar a PSK é somente por ataque de dicionário.
Como a chave mestra PMK combina uma contra-senha com o SSID, escolhendo palavras fortes torna o sucesso de força bruta praticamente impossível.
WISP’s é que a chave se encontra em texto plano nos computadores dos clientes
133
Configurando EAP-TLS –
Crie o perfil EAP-TLS e associe a interface Wireless cliente.
– Sem Certificados
134
Segurança de EAP-TLS sem certificados
• O resultado da negociação anônima resulta em uma chave PMK que é de conhecimento exclusivo das duas partes. Depois disso toda a comunicação é criptografada por AES(WPA2) e o RC4(WPA).
• Seria um método muito seguro se não houvesse a possibilidade de um atacante colocar um Mikrotik com a mesma configuração e negociar a chave normalmente como se fosse um cliente.
• Uma idéia para utilizar essa configuração de forma segura é criando um túnel criptografado entre os equipamentos depois de fechado o enlace.
TLS sem certificados
O resultado da negociação anônima resulta em uma chave PMK que é de conhecimento exclusivo das duas partes. Depois disso toda a comunicação é criptografada por AES(WPA2) e o RC4(WPA).
Seria um método muito seguro se não houvesse a possibilidade de um atacante colocar um Mikrotik com a mesma configuração e negociar a chave normalmente
Uma idéia para utilizar essa configuração de forma segura é criando um túnel criptografado PPtP ou L2TP entre os equipamentos depois de fechado o enlace.
135
Trabalhando com certificados
• Certificado digital é um arquivo que identifica de forma inequívoca o seu proprietário.
• Certificados são criados por instituições emissoras chamadas de CA (Certificate
• Os certificados podem ser:– Assinados por uma instituição “acreditada” (
Thawte, etc...)– Certificados auto-assinados.
Trabalhando com certificados
Certificado digital é um arquivo que identifica de forma inequívoca o seu proprietário.
Certificados são criados por instituições emissoras Certificate Authorities).
Os certificados podem ser:Assinados por uma instituição “acreditada” (Verisign,
assinados.136
Passos para implementação de EAPcom certificados auto Assinados
1. Crie a entidade certificadora(CA)
2. Crie as requisições de Certificados
3. Assinar as requisições na CA
4. Importar os certificados assinados para os
5. Se necessário, criar os certificados para máquinas
windows
Passos para implementação de EAP-TLS com certificados auto Assinados
Crie a entidade certificadora(CA)
Crie as requisições de Certificados
Importar os certificados assinados para os Mikrotiks
Se necessário, criar os certificados para máquinas
137
EAP-TLS sem Radius em ambos lados
• O método EAPtambém pode ser usado com certificados.
em ambos lados
O método EAP-TLS também pode ser usado com certificados.
138
EAP-TLS sem Radius em ambos lados
• Metodos TLS
dont verify certificate: Requer um certificado, porém não verifica.
no certificates: Certificados são negociados dinamicamente com o algoritmo de Diffie Hellman.
verify certificate: Requer um certificado e verifica se foi assinado por uma CA.
em ambos lados
: Requer um certificado, porém não verifica.
: Certificados são negociados dinamicamente com o
certificado e verifica se foi assinado
139
WPAx com com radius
140
EAP-TLS com certificado
• EAP-TLS (EAP – Transport Layer
– O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse método para um Servidor
– Prover maior nível de segurança e necessita de certificados em ambos lados(cliente e servidor).
– O passo a passo completo para configurar um servidor pode ser encontrado em: http://under-linux.org/wiki/Tutoriais/Wireless/freeradiusmikrotik
TLS com certificado
Layer Security)
TLS tanto como cliente como AP e ainda repassa esse método para um Servidor Radius.
Prover maior nível de segurança e necessita de certificados em ambos lados(cliente e servidor).
O passo a passo completo para configurar um servidor Radius
linux.org/wiki/Tutoriais/Wireless/freeradius-
141
EAP-TLS com Radius
• A configuração da parte do cliente é bem simples.
– Selecione o método EAP-TLS
– Certifique-se que os certificados estão instalados e assinados pela CA.
– Associe o novo perfil de segurança a interface wireless correspondente.
em ambos lados
A configuração da parte do
TLS
certificados estão instalados
142
EAP-TLS com Radius
• No lado do AP selecione o método EAP “passthrough”.
• Selecione o certificado correspondente.
Obs.: Verifique sempre se o sistema está com o cliente NTP habilitado. Caso a data do sistema não esteja correta, poderá causar falha no uso de certificados devido a data validade dos mesmos.
em ambos lados
”.
143
Obs.: Verifique sempre se o sistema está com o cliente NTP habilitado. Caso a data do sistema não esteja correta, poderá causar falha no uso de certificados devido a data validade dos mesmos.
Segurança de EAP-TLS com • Sem dúvida este é o método mais seguro que podemos
obter. Entretanto existe um ponto que podemos levantar como possível fragilidade:
– Se um atacante tem acesso físico ao link entre o AP e o ele pode tentar um ataque de força bruta para descobrir a PMK.
– Uma forma de proteger este trecho é usando um túnel L2TP.
TLS com RadiusSem dúvida este é o método mais seguro que podemos obter. Entretanto existe um ponto que podemos levantar
Se um atacante tem acesso físico ao link entre o AP e o Radiusele pode tentar um ataque de força bruta para descobrir a
Uma forma de proteger este trecho é usando um túnel L2TP.144
Ponto de fragilidade
Resumo dos metodosimplantação e seus problemas.
WPA-PSKChaves presentes nos clientes e acessíveis aos operadores.
Método sem certificadosPassível de invasão por equipamento que também opere
nesse modo.Problemas com processador.
Mikrotik com Mikrotik com EAPMétodo seguro porém inviável economicamente e de
implantação praticamente impossível em redes existentes.
metodos de implantação e seus problemas.
Chaves presentes nos clientes e acessíveis aos operadores.
Passível de invasão por equipamento que também opere
Problemas com processador.
Mikrotik com Mikrotik com EAP-TLSMétodo seguro porém inviável economicamente e de implantação praticamente impossível em redes existentes.
145
Resumo dos métodos de implantação e seus problemas.
Mikrotik com RadiusEAP-TLS e EAP-PEAP:Sujeito ao ataque do “homem do meio” e pouco disponível
em equipamentos atuais.
EPA-TLSMétodo seguro, porém também não disponível na
maioria dos equipamentos. Em placas PCI é possível implementá-lo.
Resumo dos métodos de implantação e seus problemas.
Sujeito ao ataque do “homem do meio” e pouco disponível
Método seguro, porém também não disponível na maioria dos equipamentos. Em placas PCI é possível
146
Método alternativo com Mikrotik
• A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma chave WPA2 PSK por cliente. Essa chave é configurada na Access e é vinculada ao MAC Address do cliente, possibilitando que cada um tenha sua chave.
Método alternativo com Mikrotik
A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP
do cliente, possibilitando que cada um tenha
147
Obs.: Cadastrando as PSK na access list, voltamos ao problema da chave ser visível a usuários do Mikrotik.
Método alternativo com Mikrotik
• Por outro lado, o Mikrotik permite que essas chaves sejam distribuídas por esse método muito interessante.
• Para isso é necessário:– Criar um perfil WPA2 qualquer;– Habilitar a autenticação via MAC no AP;– Ter a mesma chave configurada tanto no cliente como
no Radius.
Método alternativo com Mikrotik
Por outro lado, o Mikrotik permite que essas chaves sejam distribuídas por Radius, o que torna esse método muito interessante.
Criar um perfil WPA2 qualquer;Habilitar a autenticação via MAC no AP;Ter a mesma chave configurada tanto no cliente como
148
Método alternativo com Mikrotik
• Configurando o perfil:
Método alternativo com Mikrotik
149
Configurando o
Arquivo users: (/etc/freeradius)
#Sintaxe:
# MAC Cleartext-Password
# Mikrotik-Wireless
000C42000001 Cleartext-Password
Mikrotik-Wireless
000C42000002 Cleartext-Password
Mikrotik-Wireless
Configurando o Radius
Password:=“MAC”
Wireless-Psk = “Chave_Psk”
Password:=“000C42000001”
Wireless-Psk = “12341234”
Password:=“000C43000002”
Wireless-Psk = “2020202020ABC”
150
Corrigindo o dicionário de atributos
VENDOR Mikrotik
ATTRIBUTE Mikrotik-Recv-Limit 1ATTRIBUTE Mikrotik-Xmit-LimitATTRIBUTE Mikrotik-GroupATTRIBUTE Mikrotik-Wireless-ForwardATTRIBUTE Mikrotik-Wireless-Skip-Dot1xATTRIBUTE Mikrotik-Wireless-Enc-AlgoATTRIBUTE Mikrotik-Wireless-Enc-KeyATTRIBUTE Mikrotik-Rate-LimitATTRIBUTE Mikrotik-RealmATTRIBUTE Mikrotik-Host-IPATTRIBUTE Mikrotik-Mark-IdATTRIBUTE Mikrotik-Advertise-URLATTRIBUTE Mikrotik-Advertise-IntervalATTRIBUTE Mikrotik-Recv-Limit-Gigawords 14ATTRIBUTE Mikrotik-Xmit-Limit-Gigawords
ATTRIBUTE Mikrotik-Wireless-Psk
(/usr/share/freeradius/dictionary
Corrigindo o dicionário de atributos
14988
integer2 integer3 string4 integer5 integer6 integer7 string8 string9 string10 ipaddr11 string12 string13 integerinteger15 integer
16 string151
dictionary.mikrotik)
Firewall no MikrotikFirewall no Mikrotik
152
Firewall
• O firewall é normalmente usado como ferramenta de segurança para prevenir o acesso não autorizado a rede interna e/ou acesso ao roteador em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de entrada, de saída e passante.
• Além da segurança é no firewall que serão desempenhadas diversas funções importantes como a classificação e marcação de pacotes para desenvolvimento de regras de QoS.
• A classificação do tráfego feita no firewall pode ser baseada em vários classificadores como endereços MAC, endereços IP, tipos de endereços IP, portas, TOS, tamanho do pacotes, etc...
Firewall
O firewall é normalmente usado como ferramenta de segurança para prevenir o acesso não autorizado a rede interna e/ou acesso ao roteador em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de
Além da segurança é no firewall que serão desempenhadas diversas funções importantes como a classificação e marcação de pacotes para
A classificação do tráfego feita no firewall pode ser baseada em vários classificadores como endereços MAC, endereços IP, tipos de endereços IP, portas, TOS, tamanho do pacotes, etc...
153
Firewall - Opções
Filter Rules: Regras para filtro de pacotes.
NAT: Onde é feito a tradução de endereços e portas.
Mangle: Marcação de pacotes, conexão e roteamento.
Service Ports: Onde são localizados os NAT
Connections: Onde são localizadas as conexões existentes. Address List: Lista de endereços ips inseridos de forma dinâmica ou estática e
que podem ser utilizadas em várias partes do firewall.
Layer 7 Protocols: Filtros de camada 7.
Opções
: Regras para filtro de pacotes.
: Onde é feito a tradução de endereços e portas.
: Marcação de pacotes, conexão e roteamento.
: Onde são localizados os NAT Helpers.
: Onde são localizadas as conexões existentes.inseridos de forma dinâmica ou estática e
que podem ser utilizadas em várias partes do firewall.
154
Firewall – Canais default
• O Firewall opera por meio de regras. Uma regra é uma expressão lógica que diz ao roteador o que fazer com um tipo particular de pacote.
• Regras são organizadas em canais(canais “default”.
– INPUT: Responsável pelo tráfego que
– OUTPUT: Responsável pelo tráfego que
– FORWARD: Responsável pelo tráfego que
Canais default
O Firewall opera por meio de regras. Uma regra é uma expressão lógica que diz ao roteador o que fazer com um tipo particular de pacote.
Regras são organizadas em canais(chain) e existem 3
: Responsável pelo tráfego que CHEGA no router;
: Responsável pelo tráfego que SAI do router;
: Responsável pelo tráfego que PASSA pelo router.155
Firewall – Fluxo de pacotes
• Para maiores informações acesse:
http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Interface de Entrada
Filtro Forward
Processo Local IN
Filtro InputDecisão de
Roteamento
Fluxo de pacotes
Packet_Flow156
Interface de Saida
Forward
Processo Local OUT
Filtro OutputDecisão de
Roteamento
Firewall – Princípios gerais
1. As regras de firewall são sempre processadas por canal, na ordem que são listadas de cima pra baixo.
2. As regras de firewall funcionam como expressões lógicas condicionais, ou seja: “se <condição> então <ação>”.
3. Se um pacote não atende TODAS ele passa para a regra seguinte.
Princípios gerais
As regras de firewall são sempre processadas por canal, na ordem que são listadas de cima pra baixo.
As regras de firewall funcionam como expressões lógicas condicionais, ou seja: “se <condição> então <ação>”.
TODAS condições de uma regra, ele passa para a regra seguinte.
157
Firewall – Princípios gerais
4. Quando um pacote atende regra, uma ação é tomada com ele não importando as regras que estejam abaixo nesse canal, pois elas não serão processadas.
5. Algumas exceções ao critério acima devem ser consideradas como as ações de: ““add to address list”.
6. Um pacote que não se enquadre em qualquer regra do canal, por padrão será aceito.
Princípios gerais
Quando um pacote atende TODAS as condições da regra, uma ação é tomada com ele não importando as regras que estejam abaixo nesse canal, pois elas
Algumas exceções ao critério acima devem ser consideradas como as ações de: “passthrough”, log e
Um pacote que não se enquadre em qualquer regra do canal, por padrão será aceito.
158
Firewall – Filters
• As regras de filtro pode ser organizadas e mostradas da seguinte forma:
– all: Mostra todas as regras.– dynamic: Regras criadas dinamicamente por serviços.– forward, input output: Regras referente a cada canal.– static: Regras criadas estaticamente pelos usuários.
Filters Rules
As regras de filtro pode ser organizadas e mostradas da seguinte forma:
: Regras criadas dinamicamente por serviços.: Regras referente a cada canal.
: Regras criadas estaticamente pelos usuários.159
Firewall – Filters Algumas ações que podem ser tomadas nos filtros de firewall: passthrough: Contabiliza e passa adiante. drop: Descarta o pacote silenciosamente. reject: Descarta o pacote e responde com uma mensagem de
tcp reset. tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas não
aloca recursos.
Filters RulesAlgumas ações que podem ser tomadas nos filtros de firewall:
: Contabiliza e passa adiante.: Descarta o pacote silenciosamente.: Descarta o pacote e responde com uma mensagem de icmp ou
: Responde com SYN/ACK ao pacote TCP SYN entrante, mas não
160
Filter Rules – Canais criados pelo usuário
• Além dos canais padrão o administrador pode criar canais próprios. Esta prática ajuda na organização do firewall.
• Para utilizar o canal criado devemos “desviar” o fluxo através de uma ação JUMP.
• No exemplo acima podemos ver 3 novos canais criados.• Para criar um novo canal basta adicionar uma nova regra e
dar o nome desejado ao canal.
Canais criados pelo usuário
Além dos canais padrão o administrador pode criar canais próprios. Esta prática ajuda na organização do firewall.Para utilizar o canal criado devemos “desviar” o fluxo
No exemplo acima podemos ver 3 novos canais criados.Para criar um novo canal basta adicionar uma nova regra e dar o nome desejado ao canal.
161
Firewall – Filters
• Ações relativas a canais criados pelo usuário:
– jump: Salta para um canal definido em jump-target
– jump target: Nome do canal para onde se deve saltar
– return: Retorna para o canal que chamou o jump
Filters Rules
Ações relativas a canais criados
: Salta para um canal
: Nome do canal para
: Retorna para o canal que
162
Como funciona o canal criado pelo usuário
REGRA
REGRA
REGRA
JUMP
REGRA
REGRA
REGRA
REGRA
Como funciona o canal criado pelo usuário
163
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
REGRA
Canal criado pelo usuário
Como funciona o canal criado pelo usuário
REGRA
REGRA
REGRA
JUMP
REGRA
REGRA
REGRA
REGRA
Como funciona o canal criado pelo usuário
164
REGRA
REGRA
REGRA
RETURN
REGRA
REGRA
REGRA
REGRA
Caso exista alguma regra de RETURN, o retorno é feito de forma antecipada e as regras abaixo serão ignoradas.
Firewall – Address
• A address list contém uma lista de endereços IP que pode ser utilizada em várias partes do firewall.
• Pode-se adicionar entradas de forma dinâmica usando o filtro ou conforme abaixo:
– Ações:• add dst to address list: Adiciona o IP de destino à lista.• add src to address list: Adiciona o IP de origem à lista.
– Address List: Nome da lista de endereços.
– Timeout: Porque quanto tempo a entrada permanecerá na lista.
Address List
contém uma lista de endereços IP que pode ser utilizada em
se adicionar entradas de forma dinâmica usando o filtro ou mangle
: Adiciona o IP de destino à lista.: Adiciona o IP de origem à lista.
: Nome da lista de endereços.
: Porque quanto tempo a entrada permanecerá na lista.165
Firewall – Técnica do “Técnica do “knock knock”
166
Firewall – Técnica do “
• A técnica do “knock knock” consiste em permitir acesso ao roteador somente após ter seu endereço IP em uma determinada address
• Neste exemplo iremos restringir o acesso ao estejam na lista “libera_winbox”
/ip firewall filter
add chain=input protocol=tcp dst-port=2771 action=add
address-list-timeout=15s comment="" disabled=no
add chain=input protocol=tcp dst-port=7127 src-address
address-list=libera_winbox address-list-timeout=15m comment
add chain=input protocol=tcp dst-port=8291 src-address
add chain=input protocol=tcp dst-port=8291 action=drop
Técnica do “knock knock”
” consiste em permitir acesso ao roteador somente após ter address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereços IPs que
add-src-to-address-list address-list=knock \
address-list=knock action= add-src-to-address-list \
comment="" disabled=no
address-list=libera_winbox action=accept disabled=no
drop disbled=no
167
Firewall – Connection
Refere-se a habilidade do roteador em manter o estado da informação relativa as conexões, tais como endereços IP de origem e destino, as respectivas portas, estado da conexão, tipo de protocolos e timeouts. Firewalls que fazem connection “statefull” e são mais seguros que os que fazem processamentos “stateless”.
Connection Track
se a habilidade do roteador em manter o estado da informação relativa as conexões, tais como endereços IP de origem e destino, as respectivas portas, estado da conexão, tipo de protocolos e timeouts. Firewalls que fazem connection track são chamados de
” e são mais seguros que os que fazem processamentos
168
Firewall – Connection
O sistema de connection trackfirewall. Ele obtém e mantém informações sobre todas conexões ativas.
Quando se desabilita a função “connection são perdidas as funcionalidades NAT e as marcações de pacotes que dependam de conexão. No entanto, pacotes podem ser marcados de forma direta.
Connection track é exigente de recursos de hardware. Quando o equipamento trabalha somente como bridge é aconselhável desabilitá
Connection Track
track é o coração do firewall. Ele obtém e mantém informações sobre
Quando se desabilita a função “connection tracking” são perdidas as funcionalidades NAT e as marcações de pacotes que dependam de conexão. No entanto, pacotes podem ser marcados de forma direta.
é exigente de recursos de hardware. Quando o equipamento trabalha somente
é aconselhável desabilitá-la.169
Localização da Connection
Interface de Entrada
Filtro Forward
Processo Local IN
Filtro InputDecisão de Roteamento
Conntrack
Localização da Connection Tracking
170
Interface de Saida
Forward
Processo Local OUT
Filtro OutputDecisão de
Roteamento
Conntrack
Firewall – Connection
• Estado das conexões:– established: Significa que o pacote faz parte de uma conexão já
estabelecida anteriormente.– new: Significa que o pacote está iniciando uma nova conexão ou faz
parte de uma conexão que ainda não trafegou pacotes em ambas direções.
– related: Significa que o pacote inicia uma nova conexão, porém está associada a uma conexão existente.
– invalid: Significa que o pacote não pertence a nenhuma conexão existente e nem está iniciando outra.
Connection Track
: Significa que o pacote faz parte de uma conexão já
: Significa que o pacote está iniciando uma nova conexão ou faz parte de uma conexão que ainda não trafegou pacotes em ambas
: Significa que o pacote inicia uma nova conexão, porém está associada a uma conexão existente.
: Significa que o pacote não pertence a nenhuma conexão existente e nem está iniciando outra.
171
Firewall Protegendo o Roteador e os Clientes
Firewall Protegendo o Roteador e os Clientes
172
Princípios básicos de proteção Proteção do próprio roteadorTratamento das conexões e eliminação de tráfego
prejudicial/inútil.Permitir somente serviços necessários no próprio roteador.Prevenir e controlar ataques e acessos não autorizado ao roteador
Proteção da rede internaTratamento das conexões e eliminação de tráfego
prejudicial/inútil.Permitir somente os serviços necessários nos clientes.Prevenir e controlar ataques e acesso não autorizado em clientes.
Princípios básicos de proteção
Tratamento das conexões e eliminação de tráfego
Permitir somente serviços necessários no próprio roteador.Prevenir e controlar ataques e acessos não autorizado ao roteador.
Tratamento das conexões e eliminação de tráfego
Permitir somente os serviços necessários nos clientes.Prevenir e controlar ataques e acesso não autorizado em clientes.
173
Firewall – Tratamento de conexões
• Regras do canal input
– Descarta conexões inválidas.– Aceitar conexões estabelecidas.– Aceitar conexões relacionadas.– Aceitar todas conexões da rede interna.– Descartar o restante.
Firewall – Tratamento de conexões
• Regras do canal input
– Descarta conexões inválidas.– Aceitar conexões estabelecidas.– Aceitar conexões relacionadas.– Aceitar todas conexões da rede interna.– Descartar o restante.
174
Firewall – Controle de serviços
• Regras do canal input– Permitir acesso externo ao winbox– Permitir acesso externo por SSH.– Permitir acesso externo ao FTP.– Realocar as regras.
Firewall – Controle de serviços
• Regras do canal input– Permitir acesso externo ao winbox.– Permitir acesso externo por SSH.– Permitir acesso externo ao FTP.– Realocar as regras. 175
Firewall – Filtrando tráfego prejudicial/inútil
• Bloquear portas mais comuns utilizadas por vírus.
• Baixar lista com portas e protocolos utilizados por vírus.
ftp://172.31.254.1/virus.rsc
• Importar o arquivo virus.rscas regras funcionem.
Firewall – Filtrando tráfego prejudicial/inútil
• Bloquear portas mais comuns utilizadas por vírus.
• Baixar lista com portas e protocolos utilizados por vírus.
ftp://172.31.254.1/virus.rsc
• Importar o arquivo virus.rsc e criar um “jump” para que as regras funcionem.
176
Firewall – Filtrando tráfego indesejável e possíveis ataques.
• Controle de ICMP– Internet Control Message Protocol
ferramenta para diagnóstico da rede e alguns tipos de ICMP devem ser liberados obrigatoriamente.
– Um roteador usa tipicamente apenas 5 tipos de ICMP(type:code), que são:
• Ping – Mensagens (0:0) e (8:0)• Traceroute – Mensagens (11:0) e (3:3)• PMTUD – Mensagens (3:4)
• Os outros tipos de ICMP podem ser bloqueados.
Filtrando tráfego indesejável e possíveis ataques.
Protocol é basicamente uma ferramenta para diagnóstico da rede e alguns tipos de ICMP devem ser liberados obrigatoriamente.
Um roteador usa tipicamente apenas 5 tipos de
Mensagens (0:0) e (8:0)Mensagens (11:0) e (3:3)
Os outros tipos de ICMP podem ser bloqueados.177
Firewall – Filtrando tráfego indesejável
• IP’s Bogons:– Existem mais de 4 milhões de endereços IPV4.– Existem muitas ranges de IP restritos em rede públicas.– Existem várias ranges reservadas para propósitos específicos.– Uma lista atualizada de IP’s bogonshttp://www.team-cymru.org/Services/Bogons/bogon
• IP’s Privados:– Muitos aplicativos mal configurados geram pacotes destinados a
IP’s privados e é uma boa prática filtrá
Filtrando tráfego indesejável
Existem mais de 4 milhões de endereços IPV4.Existem muitas ranges de IP restritos em rede públicas.Existem várias ranges reservadas para propósitos específicos.
bogons pode ser encontrada em:cymru.org/Services/Bogons/bogon-dd.html
Muitos aplicativos mal configurados geram pacotes destinados a privados e é uma boa prática filtrá-los.
178
Firewal – Proteção básica
• Ping Flood:
– Ping Flood consiste no envio de grandes volumes de mensagens ICMP aleatórias.
– É possível detectar essa condição no Mikrotik criando uma regra em firewall filter e podemos associá-la a uma regra de log para monitorar a origem do ataque.
Proteção básica
consiste no envio
condição no Mikrotik criando e
para monitorar a
179
Firewal – Proteção básica
• Port Scan:– Consiste no scaneamento de portas TCP e/ou UDP.– A detecção de ataques somente é possível para o protocolo
TCP.– Portas baixas (0 – 1023)– Portas altas (1024 – 65535)
Proteção básica
de portas TCP e/ou UDP.A detecção de ataques somente é possível para o protocolo
180
Firewal – Proteção básica
• Ataques DoS:– O principal objetivo do ataque de
recursos de CPU ou banda.
– Usualmente o roteador é inundado com requisições de conexões TCP/SYN causando resposta de TCP/SYNa espera do pacote TCP/ACK.
– Normalmente não é intencional ou é causada por vírus em clientes.
– Todos os IP’s com mais de 15 conexões com o roteador podem ser considerados atacantes.
Proteção básica
O principal objetivo do ataque de DoS é o consumo de
Usualmente o roteador é inundado com requisições de conexões TCP/SYN causando resposta de TCP/SYN-ACK e a espera do pacote TCP/ACK.
Normalmente não é intencional ou é causada por vírus
com mais de 15 conexões com o roteador podem ser considerados atacantes.
181
Firewal – Proteção básica
• Ataques DoS:
– Se simplesmente descartamos as conexões, permitiremos que o atacante crie uma nova conexão.
– Para que isso não ocorra, podemos implementar a proteção em dois estágios:
• Detecção – Criar uma lista de atacantes “connection limit”.
• Supressão – Aplicando restrições aos que forem detectados.
Proteção básica
Se simplesmente descartamos as conexões, permitiremos que o atacante crie uma nova conexão.
Para que isso não ocorra, podemos implementar a
Criar uma lista de atacantes DoS com base em
Aplicando restrições aos que forem detectados.
182
Firewal – Proteção para ataques Proteção para ataques DoS
Criar a lista de atacantes para posteriormente aplicarmos a supressão adequada.
183
Firewal – Proteção para ataques
• Com a ação “tarpit” aceitamos a conexão e a fechamos, não deixando no entanto o atacante trafegar.
• Essa regra deve ser colocada antes da regra de detecção ou então a address list irá reescrevê-la todo tempo.
Proteção para ataques DoS
184
184
Firewal – Proteção básica
• Ataque dDoS:
– Ataque de dDoS são bastante parecidos com os de DoS, porém partem de um grande número de hosts infectados.
– A única medida que podemos tomar é habilitar a opção TCP SynCookie no Connection Track do firewall.
Proteção básica
são bastante
porém partem de um grande número de hosts infectados.
A única medida que podemos tomar é habilitar a opção TCP
185
Firewall -• NAT – Network Address Translation
vários hosts em uma LAN usem um conjunto de endereços comunicação interna e outro para comunicação externa.
• Existem dois tipos de NAT.– Src NAT: Quando o roteador reescreve o IP ou porta de origem.
– Dst NAT: Quando o roteador reescreve o IP ou porta de destino.
SRC DST SRC NAT
DST NATSRC DST
- NATTranslation é uma técnica que permite que
vários hosts em uma LAN usem um conjunto de endereços IP’s para comunicação interna e outro para comunicação externa.
NAT: Quando o roteador reescreve o IP ou porta de origem.
NAT: Quando o roteador reescreve o IP ou porta de destino.
186
Novo SRC DST
SRC Novo DST
Firewall -
As regras de NAT são organizadas em canais:
dstnat: Processa o tráfego enviado PARA o roteador e ATRAVÉS do roteador, antes que ele seja dividido em INPUT e/ou FORWARD.
srcnat: Processa o tráfego enviado A PARTIR do roteador e ATRAVÉS do roteador, depois que ele sai de OUTPUT e/ou FORWARD.
- NAT
As regras de NAT são organizadas em canais:
: Processa o tráfego enviado PARA o roteador e ATRAVÉS do roteador, antes que ele seja dividido em
: Processa o tráfego enviado A PARTIR do roteador e ATRAVÉS do roteador, depois que ele sai de OUTPUT e/ou FORWARD.
187
Firewall NAT – Fluxo de pacotes
Interface de Entrada
Filtro Forward
Processo Local IN
Filtro InputDecisão de Roteamento
Conntrack
dstnat
Fluxo de pacotes
188
Interface de Saida
Forward
Processo Local OUT
Filtro Output Decisão de Roteamento
Conntrack srcnat
Firewall -
• Source NAT: A ação “mascarade” troca o endereço IP de origem de uma determinada rede pelo endereço IP da interface de saída. Portanto se temos, por exemplo, a interface ether2 com endereço IP 185.185.185.185 e uma rede local 192.168.0.0/16 por trás da ether1, podemos fazer o seguinte:
Desta forma, todos os endereços vão obter acesso a internet utilizando o endereço IP 185.185.185.185
- NAT
” troca o endereço IP de origem de uma determinada rede pelo endereço IP da interface de saída. Portanto se temos, por exemplo, a interface ether2 com endereço IP 185.185.185.185 e uma rede local 192.168.0.0/16 por trás da ether1, podemos fazer o seguinte:
189
Desta forma, todos os endereços IPs da rede local vão obter acesso a internet utilizando o endereço IP 185.185.185.185
Firewall -
• NAT (1:1): Serve para dar acesso bi-direcional a um determinado endereço IP. Dessa forma, um endereço IP de rede local pode ser acessado através de um IP público e vice
- NAT
direcional a um determinado endereço IP. Dessa forma, um endereço IP de rede local pode ser acessado através de um IP público e vice-versa.
190
Firewall -
• Redirecionamento de portas: O NAT nos possibilita redirecionar portas para permitir acesso a serviços que rodem na rede interna. Dessa forma podemos dar acesso a serviços de clientes sem utilização de endereço IP público.
Redirecionamento para acesso ao servidor WEB do cliente 192.168.100.10 pela porta 6380.
- NAT
: O NAT nos possibilita redirecionar portas para permitir acesso a serviços que rodem na rede interna. Dessa forma podemos dar acesso a serviços de clientes sem utilização de endereço IP
191
Redirecionamento para acesso ao servidor WEB do cliente 192.168.100.20 pela porta 6480.
Firewall -
• NAT (1:1) com netmap: Com o netmapbi-direcional de rede para rede. Com isso podemos mapear, por exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:
- NAT
netmap podemos criar o mesmo acesso direcional de rede para rede. Com isso podemos mapear, por
exemplo, a rede 185.185.185.0/24 para a rede 192.168.100.0/24 assim:
192
Firewall – NAT
• Hosts atrás de uma rede nateada não possuem conectividade fim verdadeira. Por isso alguns protocolos podem não funcionar corretamente neste cenário. Serviços que requerem iniciação de conexões TCP fora da rede, bem como protocolos “UDP, podem não funcionar. Para resolver este problema, a implementação de NAT no Mikrotik prevê alguns “NAT têm a função de auxiliar nesses serviços.
NAT Helpers
não possuem conectividade fim-a-verdadeira. Por isso alguns protocolos podem não funcionar
corretamente neste cenário. Serviços que requerem iniciação de conexões TCP fora da rede, bem como protocolos “stateless” como UDP, podem não funcionar. Para resolver este problema, a implementação de NAT no Mikrotik prevê alguns “NAT Helpers” que têm a função de auxiliar nesses serviços.
193
Firewall – Mangle
• O mangle no Mikrotik é uma facilidade que permite a introdução de marcas em pacotes IP ou em conexões, com base em um determinado comportamento especifico.
• As marcas introduzidas pelo manglefuturo e delas fazem uso o controle de banda, existem somente no roteador e portanto não são passadas para fora.
• Com o mangle também é possível manipular o determinados campos do cabeçalho IP como o “ToS”, TTL, etc...
Mangle
no Mikrotik é uma facilidade que permite a introdução de marcas em pacotes IP ou em conexões, com base em um determinado
mangle são utilizadas em processamento futuro e delas fazem uso o controle de banda, QoS, NAT, etc... Elas existem somente no roteador e portanto não são passadas para fora.
também é possível manipular o determinados campos ”, TTL, etc...
194
Firewall – Mangle
• As regras de mangle são organizadas em canais e obedecem as mesma regras gerais das regras de filtro quanto a sintaxe.
• Também é possível criar canais pelo próprio usuário.
• Existem 5 canais padrão:– prerouting: Marca antes da fila “Global– postrouting: Marca antes da fila “– input: Marca antes do filtro “input”;– output: Marca antes do filtro “output”;– forward: Marca antes do filtro “
Mangle
são organizadas em canais e obedecem as mesma regras gerais das regras de filtro
Também é possível criar canais pelo próprio usuário.
: Marca antes da fila “Global-in”;: Marca antes da fila “Global-out”;
: Marca antes do filtro “input”;: Marca antes do filtro “output”;
: Marca antes do filtro “forward”;195
Firewall – Diagrama do
Interface de Entrada
MangleForward
Processo Local INProcesso Local
Mangle Input Mangle
Decisão de Roteamento
ManglePrerouting
Diagrama do Mangle
196
Interface de Saida
MangleForward
Processo Local OUT
Mangle Output
Decisão de Roteamento
ManglePostrouting
Firewall – Mangle
As opções de marcações incluem:
mark-connection: Marca apenas o primeiro pacote.
mark-packet: Marca todos os pacotes.
mark-routing: Marca pacotes para política de roteamento.
Obs.: Cada pacote pode conter os 3 tipos de marcas ao mesmo tempo. Porém não pode conter 2 marcas iguais.
Mangle
As opções de marcações incluem:
: Marca apenas o primeiro pacote.
: Marca todos os pacotes.
: Marca pacotes para política de roteamento.
Obs.: Cada pacote pode conter os 3 tipos de marcas ao mesmo tempo. Porém não pode conter 2 marcas iguais.
197
Firewall – Mangle
• Marcando conexões:
– Use mark-connection para identificar uma ou um grupo de conexões com uma marca especifica de conexão.
– Marcas de conexão são armazenadas na
– Só pode haver uma marca de conexão para cada conexão.
– O uso da contrack facilita na associação de cada pacote a uma conexão específica.
Mangle
para identificar uma ou um grupo de conexões com uma marca especifica de conexão.
Marcas de conexão são armazenadas na contrack.
Só pode haver uma marca de conexão para cada conexão.
facilita na associação de cada pacote a
198
Firewall – Mangle
• Marcando rotas:
– As marcas de roteamento são aproveitadas para determinar políticas de roteamento.
– A utilização dessas marcas será abordada no tópico do roteamento.
Mangle
As marcas de roteamento são aproveitadas para determinar políticas de roteamento.
A utilização dessas marcas será abordada no tópico
199
Firewall – Mangle
• Marcando pacotes:
– Use mark-packet para identificar um fluxo continuo de pacotes.
– Marcas de pacotes são utilizadas para controle de tráfego e estabelecimento de políticas de
Mangle
para identificar um fluxo continuo
Marcas de pacotes são utilizadas para controle de tráfego e estabelecimento de políticas de QoS.
200
Firewall – Mangle
• Marcando pacotes:
– Indiretamente: Usando a facilidade da connection tracking, com base em marcas de conexão previamente criadas. Esta é a forma mais rápida e eficiente.
– Diretamente: Sem o uso da connection necessário marcas de conexões anteriores e o roteador irá comparar cada pacote com determinadas condições.
Mangle
: Usando a facilidade da connection , com base em marcas de conexão previamente
criadas. Esta é a forma mais rápida e eficiente.
: Sem o uso da connection tracking não é necessário marcas de conexões anteriores e o roteador irá comparar cada pacote com determinadas condições.
201
Firewall – EstruturaEstrutura
202
Firewall – Fluxo de pacotesFluxo de pacotes
203
Firewall - Mangle
• Um bom exemplo da utilização do marcando pacotes de conexões P2P.
Após marcar a conexão, agora precisamos marcar os pacotes provenientes desta conexão.
Mangle
Um bom exemplo da utilização do mangle é marcando pacotes de conexões P2P.
204
Após marcar a conexão, agora precisamos marcar os pacotes provenientes desta conexão.
Firewall - Mangle
Obs.: A marcação de P2P disponibilizada no Mikrotik não inclui os programas que usam criptografia.
Mangle
205
Com base na conexão já marcada anteriormente, podemos fazer as marcações dos pacotes.
Obs.: A marcação de P2P disponibilizada no Mikrotik não inclui os programas
Firewall - Mangle
• É possível disponibilizar um modelo simples de utilizando o mangle. Para isso precisamos marcar os seguintes fluxos:– Navegação http e https;– FTP– Email– MSN– ICMP– P2P– Demais serviços
Firewall - Mangle
• É possível disponibilizar um modelo simples de QoSutilizando o mangle. Para isso precisamos marcar os seguintes fluxos:– Navegação http e https;– FTP– Email– MSN– ICMP– P2P– Demais serviços
206
Dúvidas ???Dúvidas ???
207
QoS e Controle de bandae Controle de banda
208
Conceitos básicos de Largura e Limite de banda
• Largura de banda: Em telecomunicações, a largura da banda ou apenas banda (também chamada de débito) usualmente se refere à bitrate de uma rede de transferência de dados, ou seja, a quantidade em bits/s que a rede suporta. A denominação banda, designada originalmente a um grupo de frequências é justificada pelo fato de que o limite de transferência de dados de um meio está ligado à largura da banda em hertz. O termo banda larga denota conexões com uma largura em hertz relativamente alta, em contraste com a velocidade padrão em linhas analógicas convencionais (56 kbps), na chamada conexão discada.
• Limite de banda: O limite de banda é o limite máximo de transferência de dados, onde também é designada sua velocidade. Por exemplo, você pode ter uma conexão discada de 56 kilobits (7 kbytes) por segundo é o limite de transferência de dados de sua conexão ou uma banda de 1Mbps, você conseguiria transportar cerca de 1 megabitsegundo. Nela podemos achar também o valor relativo a transferência de dados real, ou também chamado de Taxa ou Velocidade de Transferência ou (10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps, você conseguirá taxas de transferencia de no máximo 5,6 a 6,7 banda de 256kbps, você conseguirá uma Taxa de Transferência de aproximadamente entre 25kbps a 30,7kbps
Conceitos básicos de Largura e Limite de banda
: Em telecomunicações, a largura da banda ou apenas banda (também chamada de de uma rede de transferência de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominação banda, designada originalmente a um grupo de é justificada pelo fato de que o limite de transferência de dados de um meio está ligado à
largura da banda em hertz. O termo banda larga denota conexões com uma largura em hertz relativamente alta, em contraste com a velocidade padrão em linhas analógicas convencionais (56
: O limite de banda é o limite máximo de transferência de dados, onde também é designada sua velocidade. Por exemplo, você pode ter uma conexão discada de 56 kbps, onde 56
(7 kbytes) por segundo é o limite de transferência de dados de sua conexão ou uma banda de megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar também o valor relativo a transferência de dados real, ou também chamado de Taxa ou Velocidade de Transferência ou (throughput), que varia aproximadamente entre
de seu limite de banda. Por exemplo, numa velocidade de 56kbps, de no máximo 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, você conseguirá uma Taxa de Transferência de aproximadamente entre 25kbps a
209
Traffic Shaping• Traffic shaping é um termo da língua inglesa, utilizado para definir a prática de priorização
do tráfego de dados, através do condicionamento do uso da largura de banda disponível.
• O termo passou a ser mais conhecido e utilizado após a popularização do uso de tecnologias "voz sobre ip" (VoIP), que permitem a conversação telefônica através da internet. O uso desta tecnologia permite que a comunicação entre localidades distintas tenham seus custos drasticamente reduzidos, substituindo o uso das conexões comuns.
• No Brasil, a prática passou a ser adotada pelas empresas de telefonia, apesar de condenada por algumas instituições protetoras dos direitos do consumidor. Estas empresas utilizam programas de gestão de dados que acompanham e analisam a utilização e priorizam a navegação, bloqueando ou diminuindo o trafego de dados prejudicando a qualidade do uso deste tipo de serviço. A prática também é comumente adotada para outros tipos de serviços, conhecidos por demandar grande utilização da largura de banda, como os de transferência de arquivos, por exemplo,
• Os programas de traffic shaping podem ainda fazer capturar informações sobre IPs acedidos, ativar gravações automáticas a partir de determinadas condutas, reduzir ou interferir na transferência de dados de cada utilizador, bloqueando redes peer-to-peer (P2P) ou FTP.
Shapingé um termo da língua inglesa, utilizado para definir a prática de priorização
do tráfego de dados, através do condicionamento do débito de redes, a fim de otimizar o
O termo passou a ser mais conhecido e utilizado após a popularização do uso de ), que permitem a conversação telefônica através da
internet. O uso desta tecnologia permite que a comunicação entre localidades distintas tenham seus custos drasticamente reduzidos, substituindo o uso das conexões comuns.No Brasil, a prática passou a ser adotada pelas empresas de telefonia, apesar de condenada por algumas instituições protetoras dos direitos do consumidor. Estas empresas utilizam programas de gestão de dados que acompanham e analisam a utilização e priorizam a navegação, bloqueando ou diminuindo o trafego de dados VoIP, assim prejudicando a qualidade do uso deste tipo de serviço. A prática também é comumente adotada para outros tipos de serviços, conhecidos por demandar grande utilização da largura de banda, como os de transferência de arquivos, por exemplo, P2P e FTP.
podem ainda fazer logs dos hábitos de utilizadores, acedidos, ativar gravações automáticas a partir de
determinadas condutas, reduzir ou interferir na transferência de dados de cada utilizador,
210
Qualidade de Serviço
• No campo das telecomunicações e redes de computadoresServiço (QoS) pode tender para duas interpretações relacionadas, mas distintas.
• Em redes de comutação de circuitos, refereestabelecer uma ligação a um destino. Em redes de garantia de largura de banda ou, como em muitos casos, é utilizada informalmente para referir a probabilidade de um pacote circular entre dois pontos de rede.
• Existem, essencialmente, duas formas de oferecer garantias oferecer bastantes recursos, suficientes para o segurança substancial. É simples e eficaz, mas na prática é assumido como dispendioso, e tende a ser ineficaz se o valor de pico aumentar além do previsto: reservar recursos gasta tempo. O segundo método é o de obrigar os provedores a reservar os recursos, e apenas aceitar as reservas se os servi-las com confiabilidade. Naturalmente, as reservas podem ter um custo monetário associado!
Qualidade de Serviço
redes de computadores, o termo Qualidade de ) pode tender para duas interpretações relacionadas, mas distintas.
, refere-se à probabilidade de sucesso em estabelecer uma ligação a um destino. Em redes de comutação de pacotes refere-se à garantia de largura de banda ou, como em muitos casos, é utilizada informalmente
circular entre dois pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura recursos, suficientes para o pico esperado, com uma margem de
segurança substancial. É simples e eficaz, mas na prática é assumido como dispendioso, e tende a ser ineficaz se o valor de pico aumentar além do previsto:
O segundo método é o de obrigar os provedores a reservar os recursos, e apenas aceitar as reservas se os routers conseguirem
las com confiabilidade. Naturalmente, as reservas podem ter um custo
211
Qualidade de Serviço
• Os mecanismos para prover – Limitar banda para certos IP’s
serviços e outros parâmetros.– Limitar tráfego P2P.– Priorizar certos fluxos de dados em relação a outros.– Utilizar burst’s para melhorar o desempenho web.– Compartilhar banda disponível entre usuários de forma
ponderada dependendo da carga do canal.– Utilização de WMM – Wireless Multimídia.– MPLS – Multi Protocol Layer
Qualidade de Serviço
Os mecanismos para prover QoS no Mikrotik são:IP’s, subredes, protocolos,
serviços e outros parâmetros.
Priorizar certos fluxos de dados em relação a outros.para melhorar o desempenho web.
Compartilhar banda disponível entre usuários de forma ponderada dependendo da carga do canal.
Wireless Multimídia.Switch
212
Qualidade de Serviço
• Os principais termos utilizados em – Queuing discipline(qdisc): Disciplina de enfileiramento. É um
algoritmo que mantém e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem, podendo inclusive reordená-los, e determina quais pacotes serão descartados.
– Limit At ou CIR(Commited Informationgarantida. É a garantia de banda fornecida a um circuito ou link.
– Max Limit ou MIR(Maximal Informationdados que será fornecida. Ou seja, limite a partir do qual os pacotes serão descartados.
– Priority: É a ordem de importância que o tráfego é processado. Pode-se determinar qual tipo de tráfego será processado primeiro.
Qualidade de Serviço
Os principais termos utilizados em QoS são:: Disciplina de enfileiramento. É um
algoritmo que mantém e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem, podendo inclusive
los, e determina quais pacotes serão descartados.Information Rate): Taxa de dados
garantida. É a garantia de banda fornecida a um circuito ou link.Information Rate): Taxa máxima de
dados que será fornecida. Ou seja, limite a partir do qual os
: É a ordem de importância que o tráfego é processado. se determinar qual tipo de tráfego será processado
213
Filas - Queues
• Para ordenar e controlar o fluxo de dados, é aplicada uma política de enfileiramento aos pacotes que estejam roteador. Ou seja: “As filas são aplicadas na interface onde o fluxo está saindo.”
• A limitação de banda é feita mediante o descarte de pacotes. No caso do protocolo TCP, os pacotes descartados serão reenviados, de forma que não há com que se preocupar com relação a perda de dados. O mesmo não vale para o UDP.
Queues
Para ordenar e controlar o fluxo de dados, é aplicada uma política de enfileiramento aos pacotes que estejam deixando o roteador. Ou seja: “As filas são aplicadas na interface onde o
A limitação de banda é feita mediante o descarte de pacotes. No caso do protocolo TCP, os pacotes descartados serão reenviados, de forma que não há com que se preocupar com relação a perda de dados. O mesmo não vale para o UDP.
214
Tipos de filas• Antes de enviar os pacotes por uma interface, eles são processados por uma
disciplina de filas(queue types). Por padrão as disciplinas de filas são colocadas sob “queue interface” para cada interface física.
• Uma vez adicionada uma fila para uma interface física, a fila padrão da interface, definida em queue interface, não será mantida. Isso significa que quando um pacote não encontra qualquer filtro, ele é enviado através da interface com prioridade máxima.
Tipos de filasAntes de enviar os pacotes por uma interface, eles são processados por uma
). Por padrão as disciplinas de filas são interface” para cada interface física.
Uma vez adicionada uma fila para uma interface física, a fila padrão da interface, não será mantida. Isso significa que
quando um pacote não encontra qualquer filtro, ele é enviado através da
215
Tipos de filas• As disciplinas de filas são utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As disciplinas de filas são classificadas pela sua influência no fluxo de pacotes da seguinte forma:
– Schedulers: (Re) ordenam pacotes de acordo com um determinado algoritmo e descartam aqueles que se enquadram na disciplina. As disciplinas “são: PFIFO, BFIFO, SFQ, PCQ e RED.
– Shapers: Também fazem limitação. Esses são: PCQ e HTB.
Tipos de filasAs disciplinas de filas são utilizadas para (re)enfileirar e (re)organizar pacotes na medida em que os mesmos chegam na interface. As disciplinas de filas são classificadas pela sua influência no fluxo de
: (Re) ordenam pacotes de acordo com um determinado algoritmo e descartam aqueles que se enquadram na disciplina. As disciplinas “schedulers”
: Também fazem limitação. Esses são: PCQ e HTB.
216
Controle de tráfegoControle de tráfego
217
Controle de tráfego
• O controle de tráfego é implementado através de dois mecanismos:
– Pacotes são policiados na entrada• Pacotes indesejáveis são descartados.
– Pacotes são enfileirados na interface de saída• Pacotes podem ser atrasados, descartados ou priorizados.
Controle de tráfego
O controle de tráfego é implementado através de
Pacotes são policiados na entrada:Pacotes indesejáveis são descartados.
Pacotes são enfileirados na interface de saída:Pacotes podem ser atrasados, descartados ou priorizados.
218
Controle de tráfego O controle de tráfego é implementado internamente por 4
tipos de componentes:
Queuing Disciplines (qdisc):Algoritmos que controlam o enfileiramento e envio de pacotes.Ex.: FIFO.
Classes:Representam entidades de classificação de pacotes.Cada classe pode estar associada a um
Filters:Utilizados para classificar os pacotes e atribuí
Policers:Utilizados para evitar que o tráfego associado a cada filtro
ultrapasse limites pré-definidos.
Controle de tráfegoO controle de tráfego é implementado internamente por 4
Algoritmos que controlam o enfileiramento e envio de pacotes.
Representam entidades de classificação de pacotes.Cada classe pode estar associada a um qdisc.
Utilizados para classificar os pacotes e atribuí-los as classes.
Utilizados para evitar que o tráfego associado a cada filtro
219
Controle de tráfego
• PFIFO e BFIFO: Estas disciplinas de filas são baseadas no algoritmo FIFO(First-out), ou seja, o primeiro que entra é o primeiro que sai. A diferença entre PFIFO e BFIFO é que, um é medido em pacotes e o outro em bytes. Existe apenas um parâmetro chamado Queue Size que determina a quantidade de dados em uma fila FIFO pode conter. Todo pacote que não puder ser enfileirado (se fila estiver cheia) será descartado. Tamanhos grandes de fila poderão aumentar a latência. Em compensação provê melhor utilização do canal.
Controle de tráfego – Tipos de fila
: Estas disciplinas de filas são baseadas no algoritmo FIFO(First-in), ou seja, o primeiro que entra é o primeiro que sai. A diferença entre
PFIFO e BFIFO é que, um é medido em pacotes e o outro em bytes. Existe apenas que determina a quantidade de dados em
uma fila FIFO pode conter. Todo pacote que não puder ser enfileirado (se fila estiver cheia) será descartado. Tamanhos grandes de fila poderão aumentar a latência. Em compensação provê melhor utilização do canal.
220
Controle de tráfego • RED: Random Early Detection – Detecção Aleatória Antecipada é um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho médio da fila. Quando o tamanho médio da fila atinge o valor configurado em threshould, o RED escolhe um pacote para descartar. A probabilidade do número de pacotes que serão descartados cresce na medida em que a média do tamanho da fila cresce. Se o tamanho médio da fila atinge o descartados com a probabilidade máxima. Entretanto existem casos que o tamanho real da fila é muito maior que o max threshouldexcederem o min threshould serão descartados.
• RED é indicado em links congestionados com altas taxas de dados. Como é muito rápido funciona bem com TCP.
Controle de tráfego – Tipos de filaDetecção Aleatória Antecipada é um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho médio da fila. Quando o tamanho médio da fila atinge o valor configurado em min
, o RED escolhe um pacote para descartar. A probabilidade do número de pacotes que serão descartados cresce na medida em que a média do tamanho da fila cresce. Se o tamanho médio da fila atinge o max threshould, os pacotes são descartados com a probabilidade máxima. Entretanto existem casos que o tamanho
threshould então todos os pacotes que serão descartados.
é indicado em links congestionados com altas taxas de dados. Como é muito
221
Controle de tráfego
• SFQ: Stochastic Fairness Queuing – Enfileiramento Estocástico “com justiça” é uma disciplina que tem “justiça” assegurada por algoritmos de roubin. O fluxo de pacotes pode ser identificado exclusivamente por 4 opções:– src-address– dst-address– src-port– dst-port
Os pacotes podem ser classificados em 1024 subround roubin distribui a banda disponível para estas subconfigurada no parâmetro allot(bytes). Não limita o tráfego. O objetivo é equalizar os fluxos de tráfegos(sessões TCP e streaming UDP) quando o link(interface) está completamente cheio. Se o link não está cheio, então não haverá fila e, portanto, qualquer efeito, a não ser quando combinado com outras disciplinas (qdisc).
Controle de tráfego – Tipos de fila
Enfileiramento Estocástico “com justiça” é uma disciplina que tem “justiça” assegurada por algoritmos de hashing e round
. O fluxo de pacotes pode ser identificado exclusivamente por 4 opções:
Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o algoritmo distribui a banda disponível para estas sub-filas, a cada “rodada”
Não limita o tráfego. O objetivo é equalizar os fluxos de tráfegos(sessões TCP e streaming UDP) quando o link(interface) está completamente cheio. Se o link não está cheio, então não haverá fila e, portanto, qualquer efeito, a não ser quando
222
Controle de tráfego
• SFQ: A fila que utiliza SFQ, pode conter 128 pacotes e há 1024 subdisponíveis.
• É recomendado o uso de SFQ em links congestionados para garantir que as conexões não degradem. SFQ é especialmente recomendado em conexões wireless.
Controle de tráfego – Tipos de fila
: A fila que utiliza SFQ, pode conter 128 pacotes e há 1024 sub-filas
É recomendado o uso de SFQ em links congestionados para garantir que as conexões não degradem. SFQ é especialmente recomendado em
223
Controle de tráfego • PCQ: Per Connection Queuing – Enfileiramento por conexão foi criado para resolver
algumas imperfeições do SFQ. É o único enfileiramento de baixo nível que pode fazer limitação sendo uma melhoria do SFQ, sem a natureza “estocástica”. PCQ também cria sub-filas considerando o parâmetro pcqtransmissão estabelecida em rate e o tamanho máximo igual a de uma fila PCQ fica limitado ao configurado em vemos o uso do PCQ com pacotes classificados pelo endereço de origem.
Controle de tráfego – Tipos de filaEnfileiramento por conexão foi criado para resolver
algumas imperfeições do SFQ. É o único enfileiramento de baixo nível que pode fazer limitação sendo uma melhoria do SFQ, sem a natureza “estocástica”. PCQ também
pcq-classifier. Cada sub-fila tem uma taxa de e o tamanho máximo igual a limit. O tamanho total
de uma fila PCQ fica limitado ao configurado em total limit. No exemplo abaixo vemos o uso do PCQ com pacotes classificados pelo endereço de origem.
224
Controle de tráfego • PCQ: Se os pacotes são classificados pelo endereço de origem, então todos os pacotes com
diferentes endereços serão organizados em suba limitação ou equalização para cada sub-fila com o parâmetro importante é decidir qual interface utilizar esse tipo de disciplina. Se utilizarmos na interface local, todo o tráfego da interface pública será agrupado pelo endereço de origem. O que não é interessante. Mas se for empregado na interface pública todo o tráfego dos clientes será agrupado pelo endereço de origem, o que torna mais fácil equalizar o dos clientes. O mesmo controle pode ser feito para o download, mas nesse caso o classificador será o “dst. Address” e configurado na interface local.
Controle de tráfego – Tipos de fila: Se os pacotes são classificados pelo endereço de origem, então todos os pacotes com
diferentes endereços serão organizados em sub-filas diferentes. Nesse caso é possível fazer fila com o parâmetro Rate. Neste ponto o mais
importante é decidir qual interface utilizar esse tipo de disciplina. Se utilizarmos na interface local, todo o tráfego da interface pública será agrupado pelo endereço de origem. O que não é interessante. Mas se for empregado na interface pública todo o tráfego dos clientes será agrupado pelo endereço de origem, o que torna mais fácil equalizar o uploaddos clientes. O mesmo controle pode ser feito para o download, mas nesse caso o
” e configurado na interface local.
225
QoS - HTB• Hierarchical Token Bucket é uma disciplina de enfileiramento hierárquico que é
usual para aplicar diferentes políticas para diferentes tipos de tráfego. O HTB simula vários links em um único meio físico, permitindo o envio de diferentes tipos de tráfego em diferentes links virtuais. Em outras palavras, o HTB é muito útil para limitar download e upload de usuários em uma rede. Desta forma não existe saturamento da largura de banda disponível no link físico. Além disso, no Mikrotik, é utilizado para fazer QoS.
Cada class tem um pai e pode ter uma ou mais filhas. As que não tem filhas são colocadas no level 0, onde as filas são mantidas e chamadas de leafs class. Cada classe na hierarquia pode priorizar e dar forma ao tráfego.
HTBé uma disciplina de enfileiramento hierárquico que é
usual para aplicar diferentes políticas para diferentes tipos de tráfego. O HTB simula vários links em um único meio físico, permitindo o envio de diferentes tipos de tráfego em diferentes links virtuais. Em outras palavras, o HTB é muito útil para
de usuários em uma rede. Desta forma não existe da largura de banda disponível no link físico. Além disso, no Mikrotik,
226
QoS - HTB
Exemplo de HTB
HTB
227
Queue01 limit-at=0Mbps max-limit=10Mbps Queue02 limit-at=4Mbps max-limit=10Mbps Queue03 limit-at=6Mbps max-limit=10Mbps priority=1 Queue04 limit-at=2Mbps max-limit=10Mbps priority=3 Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Queue03 irá receber 6Mbps Queue04 irá receber 2Mbps Queue05 irá receber 2Mbps
Obs.: Neste exemplo o HTB foi configurado de modo que, satisfazendo todas as garantias, a fila pai não possuirá nenhuma capacidade para distribuir mais banda caso seja solicitado por uma filha.
QoS - HTB
Exemplo de HTB
HTB
228
Queue01 limit-at=0Mbps max-limit=10Mbps Queue02 limit-at=8Mbps max-limit=10Mbps Queue03 limit-at=2Mbps max-limit=10Mbps priority=1 Queue04 limit-at=2Mbps max-limit=10Mbps priority=3 Queue05 limit-at=2Mbps max-limit=10Mbps priority=5
Queue03 irá receber 2Mbps Queue04 irá receber 6Mbps Queue05 irá receber 2Mbps
Obs.: Após satisfazer todas garantias, o HTB disponibilizará mais banda, até o máximo permitido para a fila com maior prioridade. Mas, neste caso, permitirá-se uma reserva de 8M para as filas Queue04 e Queue05, as quais, a que possuir maior prioridade receberá primeiro o adicional de banda, pois a fila Queue2 possui garantia de banda atribuida.
QoS - HTB
• Termos do HTB:– Filter: Um processo que classifica pacotes. Os filtros são responsáveis pela
classificação dos pacotes para que eles sejam colocados nas correspondentes qdisc. Todos os filtros são aplicados na fila raiz HTB e classificados diretamente nas qdiscs, sem atravessar a árvore HTB. Se um pacote não está classificado em nenhuma das qdiscs, é enviado a interface diretamente, por isso nenhuma regra HTB é aplicada aos pacotes.
– Level: Posição de uma classe na hierarquia.
– Class: Algoritmo de limitação no fluxo de tráfego para uma determinada taxa. Ela não guarda quaisquer pacotes. Uma classe pode conter uma ou mais subclasses(inner class) ou apenas uma e um
HTB
: Um processo que classifica pacotes. Os filtros são responsáveis pela classificação dos pacotes para que eles sejam colocados nas correspondentes
. Todos os filtros são aplicados na fila raiz HTB e classificados diretamente , sem atravessar a árvore HTB. Se um pacote não está classificado
, é enviado a interface diretamente, por isso nenhuma
: Posição de uma classe na hierarquia.
: Algoritmo de limitação no fluxo de tráfego para uma determinada taxa. Ela não guarda quaisquer pacotes. Uma classe pode conter uma ou mais sub-
) ou apenas uma e um qdisc(leaf classe).
229
QoS - HTB
• Estados das classes HTB:– Cada classe HTB pode estar em um dos 3
estados, dependendo da banda que está consumindo:
• Verde: de 0% a 50% da banda disponível está em uso.
• Amarelo: de 51% a 75% da banda disponível está em uso.
• Vermelho: de 76% a 100% da banda disponível está em uso. Neste ponto começam os descartes de pacotes que se ultrapassam o
HTB
Cada classe HTB pode estar em um dos 3 estados, dependendo da banda que está
: de 0% a 50% da banda disponível está em
: de 51% a 75% da banda disponível está
: de 76% a 100% da banda disponível está em uso. Neste ponto começam os descartes de pacotes que se ultrapassam o max-limit.
230
QoS - HTB• No Mikrotik as estruturas do HTB pode ser anexadas a quatro
locais diferentes.– Interfaces:
• Global-in: Representa todas as interfaces de entrada em geral(INGRESS queue). As filas atreladas à Global-roteador, antes da filtragem de pacotes.
• Global-out: Representa todas as interfaces de As filas atreladas à Global-out recebem todo tráfego que sai do roteador.
• Global-total: Representa uma interface virtual através do qual se passa todo fluxo de dados. Quando se associa uma limitação é feita em ambas direções. Por exemplo se configurarmos um max-limit de 300kbps, teremos um total de download+podendo haver assimetria.
• Interface X: Representa uma interface particular. Somente o tráfego que é configurado para sair através desta interface passará através da fila HTB.
HTBNo Mikrotik as estruturas do HTB pode ser anexadas a quatro
: Representa todas as interfaces de entrada em geral(INGRESS -in recebem todo tráfego entrante no
roteador, antes da filtragem de pacotes.: Representa todas as interfaces de saida em geral(EGRESS queue).
recebem todo tráfego que sai do roteador.: Representa uma interface virtual através do qual se passa todo
fluxo de dados. Quando se associa uma politíca de filas à Global-total, a limitação é feita em ambas direções. Por exemplo se configurarmos um total-
de 300kbps, teremos um total de download+upload de 300kbps,
: Representa uma interface particular. Somente o tráfego que é configurado para sair através desta interface passará através da fila HTB.
231
Interfaces virtuais e o
Interface de Entrada
MangleForward
Processo Local INProcesso Local
Mangle Input Mangle
Decisão de Roteamento
ManglePrerouting
Global-in
Interfaces virtuais e o Mangle
232
Interface de Saida
MangleForward
Processo Local OUT
Mangle Output
Decisão de Roteamento
ManglePosrouting
Global-out
Filas simples
• As principais propriedades configuráveis de uma fila simples são:– Limite por direção de IP de origem ou destino
– Interface do cliente
– Tipo de fila
– Limit-at, max-limit, priority e burst para download e
– Horário.
Filas simples
As principais propriedades configuráveis de uma fila simples são:Limite por direção de IP de origem ou destino
para download e upload
233
Filas simples
•
Os parâmetros que controlam o burst burst-limit: Limite máximo que o burst burst-time: Tempo que durará o burst burst-threshold: Patamar para começar a limitar. max-limit: MIR
Filas simples - Burst
• Bursts são usados para permitir altas taxas de transferência por um período curto de tempo.
234
são:burst alcançará.
burst.: Patamar para começar a limitar.
Como funciona o
• Inicialmente é dado ao cliente a banda bursttaxa média de consumo de banda durante o – Com 1 segundo a taxa média é de 64kbps. Abaixo do
– Com 2 segundos a taxa média já é de 128kbps. Ainda abaixo do
– Com 3 segundos a taxa média é de 192kbps. Ponto de inflexão onde acaba o
• A partir deste momento a taxa máxima do cliente passa a ser o
Como funciona o Burst
burst-limit=512kbps. O algoritmo calcula a taxa média de consumo de banda durante o burst-time de 8 segundos.
Com 1 segundo a taxa média é de 64kbps. Abaixo do threshold.
Com 2 segundos a taxa média já é de 128kbps. Ainda abaixo do threshold.
Com 3 segundos a taxa média é de 192kbps. Ponto de inflexão onde acaba o burst.
A partir deste momento a taxa máxima do cliente passa a ser o max-limit.
235
max-limite=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
Utilização do PCQ
• PCQ é utilizado para equalizar cada usuário ou conexão em particular.
• Para utilizar o PCQ, um novo tipo de fila deve ser adicionado com o argumento
• Devem ainda ser escolhidos os seguintes parâmetros:– pcq-classifier– pcq-rate
Utilização do PCQ
PCQ é utilizado para equalizar cada usuário ou
Para utilizar o PCQ, um novo tipo de fila deve ser adicionado com o argumento kind=pcq.
Devem ainda ser escolhidos os seguintes
236
Utilização do PCQ• Caso 1: Com o rate configurado como zero, as
limitadas, ou seja, elas poderão usar a largura máxima de banda disponível em max-limit.
• Caso 2: Se configurarmos um ratelimitadas nesse rate, até o total de
Caso 1 Caso 2
Utilização do PCQconfigurado como zero, as subqueues não são
limitadas, ou seja, elas poderão usar a largura máxima de banda
rate para a PCQ as subqueues serão limitadas nesse rate, até o total de max-limit.
237
Caso 1 Caso 2
Utilização do PCQ
• Nesse caso, com o rate da fila é 128k, não existe limit-at e tem um max-limit de 512k, os clientes receberão a banda da seguinte forma:
Utilização do PCQ
238
Utilização do PCQ
• Nesse caso, com o rate da fila é 0, não existe limit-at e tem um max-limit de 512k, os clientes receberão a banda da seguinte forma:
Utilização do PCQ
239
Arvores de Fila
• Trabalhar com árvores de fila é uma maneira mais elaborada de administrar o tráfego. Com elas é possível construir sob medida uma hierarquia de classes, onde poderemos configurar as garantias e prioridades de cada fluxo em relação à outros, determinando assim uma política de
• Os filtros de árvores de filas são aplicados na interface especifica. Os filtros são apenas marcas que o firewall faz no fluxo de pacotes na opção enxergam os pacotes na ordem em que eles chegam no roteador.
• A árvore de fila é também a única maneira para adicionar uma fila em uma interface separada.
• Também é possível ter o dobro de enfileiramento. Ex: priorizando o tráfego in e/ou global-out, limitação por cliente na interface de saída. Se é configurado filas simples e árvores de filas no mesmo roteador, as filas simples receberão o tráfego primeiro e em seguida o classficarão
Arvores de Fila
Trabalhar com árvores de fila é uma maneira mais elaborada de administrar o tráfego. Com elas é possível construir sob medida uma hierarquia de classes, onde poderemos configurar as garantias e prioridades de cada fluxo em relação à outros, determinando assim uma política de QoS para cada fluxo do roteador.
Os filtros de árvores de filas são aplicados na interface especifica. Os filtros são faz no fluxo de pacotes na opção mangle. Os filtros
enxergam os pacotes na ordem em que eles chegam no roteador.
A árvore de fila é também a única maneira para adicionar uma fila em uma
Também é possível ter o dobro de enfileiramento. Ex: priorizando o tráfego global-, limitação por cliente na interface de saída. Se é configurado
filas simples e árvores de filas no mesmo roteador, as filas simples receberão o classficarão.
240
Arvores de Fila• As árvores de fila são configuradas em
queue tree.
• Dentre as propriedades configuráveis podemos destacar:
– Escolher uma marca de tráfego feita no firewall mangle;
– parente-class ou interface de saída;
– Tipo de fila;
– Configurações de limit-at, max-limit, priority e burst.
Arvores de Fila
241
Arvores de FilaQUEUE MARCA LIMIT-
Q1 C1 10M
Q2 C2 1M
Q3 C3 1M
Q4 C4 1M
Q5 C5 1M
Obs.: O roteador não conseguirá garantir banda para Q1 o tempo todo.
Arvores de FilaLIMIT-AT MAX-LIMIT PRIORITY
10M 30M 8
1M 30M 8
1M 30M 8
1M 30M 8
1M 30M 8
242Obs.: O roteador não conseguirá garantir banda para Q1 o tempo todo.
Arvores de Fila
• Filas com parent (hierarquia).
Arvores de Fila
• Filas com parent (hierarquia).
243
Arvores de Fila
• C1 possui maior prioridade, portanto consegue atingir o max-limit. O restante da banda é dividida entre as outras leaf
Arvores de Fila
• C1 possui maior prioridade, portanto consegue atingir o max-limit. O restante da banda é dividida entre as outras leaf-queue.
244
Dúvidas???Dúvidas???
245
Túneis e VPNTúneis e VPN
246
VPN• Uma Rede Privada Virtual é uma rede de
comunicações privada normalmente utilizada por uma empresa ou conjunto de empresas e/ou instituições, construídas em cima de uma rede pública. O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que fornecem confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras.
VPNUma Rede Privada Virtual é uma rede de
utilizada por uma empresa ou conjunto de empresas e/ou instituições, construídas em
dados é levado pela rede pública utilizando protocolos padrão, não necessariamente
247
seguras usam protocolos de criptografia por tunelamento que fornecem confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras
VPN
• As principais características da VPN são:– Promover acesso seguro sobre meios físicos públicos
como a internet por exemplo.– Promover acesso seguro sobre linhas dedicadas,
wireless, etc...– Promover acesso seguro a serviços em ambiente
corporativo de correio, impressoras, etc...– Fazer com que o usuário, na prática, se torne parte da
rede corporativa remota recebendo segurança definidos.
– A base da formação das VPNspontos, porém tunelamento não é sinônimo de VPN.
VPN
As principais características da VPN são:Promover acesso seguro sobre meios físicos públicos como a internet por exemplo.Promover acesso seguro sobre linhas dedicadas,
Promover acesso seguro a serviços em ambiente corporativo de correio, impressoras, etc...Fazer com que o usuário, na prática, se torne parte da rede corporativa remota recebendo IPs desta e perfis de
VPNs é o tunelamento entre dois pontos, porém tunelamento não é sinônimo de VPN.
248
Tunelamento
• A definição de tunelamento é a capacidade de criar túneis entre dois hosts por onde trafegam dados.
• O Mikrotik implementa diversos tipos de tunelamento, podendo ser tanto servidor como cliente desses protocolos:
– PPP (Point to Point Protocol)– PPPoE (Point to Point Protocol over Ethernet)– PPTP (Point to Point Tunneling Protocol– L2TP (Layer 2 Tunneling Protocol)– OVPN (Open Virtual Private Network)– IPSec (IP Security)– Túneis IPIP– Túneis EoIP– Túneis VPLS– Túneis TE
Tunelamento
• A definição de tunelamento é a capacidade de criar túneis entre dois hosts por onde trafegam dados.
• O Mikrotik implementa diversos tipos de tunelamento, podendo ser tanto servidor como cliente desses protocolos:
– PPP (Point to Point Protocol)– PPPoE (Point to Point Protocol over Ethernet)– PPTP (Point to Point Tunneling Protocol)– L2TP (Layer 2 Tunneling Protocol)– OVPN (Open Virtual Private Network)– IPSec (IP Security)– Túneis IPIP– Túneis EoIP– Túneis VPLS– Túneis TE
249
PPP – Definições Comuns para os serviços
• MTU/MRU: Unidade máximas de transmissão/ recepção em bytes. Normalmente o padrão ethernet permite 1500 bytes. Em serviços PPP que precisam encapsular os pacotes, devese definir valores menores para evitar fragmentação.
Keepalive Timeout: Define o período de tempo em segundos após o qual o roteador começa a mandar pacotes de keepalivereposta é recebida pelo período de 2 vezes o definido em cliente é considerado desconectado.
Authentication: As formas de autenticação permitidas são: Pap: Usuário e senha em texto plano sem Chap: Usuário e senha com criptografia. Mschap1: Versão chap da Microsoft conf. RFC 2433 Mschap2: Versão chap da Microsoft conf. RFC 2759
Definições Comuns para os serviços
: Unidade máximas de transmissão/ recepção em bytes. Normalmente o padrão ethernet permite 1500 bytes. Em serviços PPP que precisam encapsular os pacotes, deve-se definir valores menores para evitar fragmentação.
250
: Define o período de tempo em segundos após o qual o keepalive por segundo. Se nenhuma
reposta é recebida pelo período de 2 vezes o definido em keepalive timeout o
As formas de autenticação permitidas são:: Usuário e senha em texto plano sem criptografica.
Usuário e senha com criptografia.da Microsoft conf. RFC 2433da Microsoft conf. RFC 2759
PPP – Definições Comuns para os serviços
• PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então será necessário que haja algum mecanismo para avisar que esta estação deverá diminuir o tamanho dos pacotes para que a comunicação ocorra com sucesso. O processo interativo de envio de pacotes em determinados tamanhos, a resposta dos roteadores intermediariospacotes posteriores é chamada Path MTU Discovery ou PMTUD. Normalmente esta funcionalidade está presente em todos roteadores, sistemas Unix e no Mikrotik ROS.
• MRRU: Tamanho máximo do pacote, em bytes, que poderá ser recebido pelo link. Se um pacote ultrapassa esse valor ele será dividido em pacotes menores, permitindo o melhor dimensionamento do túnel. Especificar o MRRU significa permitir MP (Multilink PPP) sobre túnel simples. Essa configuração é útil para o PMTUD superar falhas. Para isso o MP deve ser configurado em ambos lados.
Definições Comuns para os serviços
: Se durante uma comunicação alguma estação enviar pacotes IP maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então será necessário que haja algum mecanismo para avisar que esta estação deverá diminuir o tamanho dos pacotes para que a comunicação ocorra com sucesso. O processo interativo de envio de pacotes em determinados
intermediarios e a adequação dos pacotes posteriores é chamada Path MTU Discovery ou PMTUD. Normalmente esta funcionalidade está presente em todos roteadores,
: Tamanho máximo do pacote, em bytes, que poderá ser recebido pelo link. Se um pacote ultrapassa esse valor ele será dividido em pacotes menores, permitindo o melhor dimensionamento do túnel. Especificar o
PPP) sobre túnel simples. Essa configuração é útil para o PMTUD superar falhas. Para isso o MP deve ser
251
PPP – Definições Comuns para os serviços
• Change MSS: Maximun Segment Size, tamanho máximo do segmento de dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o túnel está estabelecido deve ser fragmentado antes de enviá-lo. Em alguns caso o PMTUD está quebrado ou os roteadores não conseguem trocar informações de maneira eficiente e causam uma série de problemas com transferência HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona ferramentas onde é possível interferir e configurar uma diminuição do MSS dos próximos pacotes através do túnel visando resolver o problema.
Definições Comuns para os serviços
, tamanho máximo do segmento de dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o túnel está estabelecido
lo. Em alguns caso o PMTUD está quebrado ou os roteadores não conseguem trocar informações de maneira eficiente e causam uma série de problemas com transferência HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona ferramentas onde é possível interferir e configurar uma diminuição do MSS dos próximos pacotes através do túnel visando resolver o problema.
252
PPPoE – Cliente e Servidor• PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato da
rede ethernet não ser ponto a ponto, o cabeçalho sobre o remetente e o destinatário, desperdiçando mais banda. Cerca de 2% a mais.
• Muito usado para autenticação de clientes com base em estabelece sessão e realiza autenticação com o provedor de acesso a internet.
• O cliente não tem IP configurado, o qual é PPPoE(concentrador) normalmente operando em conjunto com um servidor Radius. No Mikrotik não é obrigatório o uso de criação e gerenciamento de usuários e senhas em uma tabela local.
• PPPoE por padrão não é criptografado. O método MPPE pode ser usado desde que o cliente suporte este método.
Cliente e Servidoré uma adaptação do PPP para funcionar em redes ethernet. Pelo fato da
rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui informações sobre o remetente e o destinatário, desperdiçando mais banda. Cerca de 2% a
Muito usado para autenticação de clientes com base em Login e Senha. O PPPoEestabelece sessão e realiza autenticação com o provedor de acesso a internet.
O cliente não tem IP configurado, o qual é atribuido pelo Servidor (concentrador) normalmente operando em conjunto com um servidor . No Mikrotik não é obrigatório o uso de Radius pois o mesmo permite
criação e gerenciamento de usuários e senhas em uma tabela local.
por padrão não é criptografado. O método MPPE pode ser usado desde
253
PPPoE – Cliente e Servidor
• O cliente descobre o servidor através do protocolo pppoe discovery que tem o nome do serviço a ser utilizado.
• Precisa estar no mesmo barramento físico ou os dispositivos passarem pra frente as requisições PPPoE usando pppoe relay.
No Mikrotik o valor padrão do Keepalive Timeout é 10, e funcionará bem na maioria dos casos. Se configurarmos pra zero, o servidor não desconectará os clientes até que os mesmos solicitem ou o servidor for reiniciado.
Cliente e Servidor
O cliente descobre o servidor através do protocolo que tem o nome do serviço a ser
Precisa estar no mesmo barramento físico ou os dispositivos passarem pra frente as requisições
254
Timeout é 10, e funcionará bem na Se configurarmos pra zero, o servidor não desconectará os
clientes até que os mesmos solicitem ou o servidor for reiniciado.
Configuração do Servidor 1. Primeiro crie um pool de
PPPoE
/ip pool add name=poolranges=172.16.0.2
2. Adicione um perfil para o PPPoE onde:
Local Address = Endereço IP do concentrado.
Remote Address = Pool do pppoe.
/ppp profile local-address=172.16.0.1 name=perfil-pppoe remote-address=pool-pppoe
Configuração do Servidor PPPoEPrimeiro crie um pool de IPs para o PPPoE.
pool add name=pool-pppoeranges=172.16.0.2-172.16.0.254
255
-
Configuração do Servidor
3. Adicione um usuário e senha
/ppp secret add name=usuario password=123456 service=pppoe profile=perfil-pppoe
Obs.: Caso queira verificar o MAC-Address, adicione em Caller ID. Esta opção não é obrigatória, mas é um parametro a mais para segurança.
Configuração do Servidor PPPoE
password=123456
, adicione em ID. Esta opção não é obrigatória, mas é um
256
Configuração do Servidor
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vão procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai escutar.
/interface pppoe-server server addauthentication=chap, mschap1, mschap2 default-profile=perfil-pppoe disabled=no interface=wlan1 keepalive-timeout=10 max-mru=1480 max-mtu=1480 max-sessions=50 mrru=512 one-session-per-host=yes service-name="Servidor PPPoE"
Configuração do Servidor PPPoE
vai
257
Mais sobre perfis Bridge: Bridge
Incoming/Outgoingfirewall para pacotes entrando/saindo.
Address Listperfil.
DNS Server: Configuração dos servidores DNS a atribuir aos clientes.
Use Compressioncaso estejam em default, vão associar ao valor que está configurado no perfil
Mais sobre perfisBridge para associar ao perfil
Outgoing Filter: Nome do canal do firewall para pacotes entrando/saindo.
List: Lista de endereços IP para associar ao
DNS Server: Configuração dos servidores DNS a atribuir aos clientes.
Compression/Encryption/Change TCP MSS: caso estejam em default, vão associar ao valor que está configurado no perfil default-profile.
258
Mais sobre perfis
Sessionsessão
Idle Timeout: Período de ociosidade na transmissão de uma sessão. Se não houver tráfego IP dentro do período configurado, a sessão é terminada.
Rate Limitrx-rate/forma rxrate rx-burst-time
Only Onemesmo usuário.
Mais sobre perfis
Session Timeout: Duração máxima de uma sessão PPPoE.
Timeout: Período de ociosidade na transmissão de uma sessão. Se não houver tráfego IP dentro do período configurado, a sessão é terminada.
Limit: Limitação da velocidade na forma /tx-rate. Pode ser usado também na rx-rate/tx-rate rx-burst-rate/tx-burst--burst-threshould/tx-burst-threshouldtime priority rx-rate-min/tx-rate-min.
One: Permite apenas uma sessão para o mesmo usuário.
259
Mais sobre o database
Service: Especifica o serviço disponível para este cliente em particular.
Caller ID: MAC
Local/Remotee remote(cliente) que poderão ser atribuídos a um cliente em particular.
Limits Bytes IN/Out: Quantidade em bytes que o cliente pode trafegar por sessão
Routes: Rotas que são criadas do lado do servidor para esse cliente especifico. Várias rotas podem ser adicionadas separadas por vírgula.
Mais sobre o database
Service: Especifica o serviço disponível para este cliente em particular.
ID: MAC Address do cliente.
Remote Address: Endereço IP Local (servidor) (cliente) que poderão ser atribuídos a um
cliente em particular.
Bytes IN/Out: Quantidade em bytes que o cliente pode trafegar por sessão PPPoE.
: Rotas que são criadas do lado do servidor para esse cliente especifico. Várias rotas podem ser adicionadas separadas por vírgula.
260
Mais sobre o PPoEO concentrador PPPoEpara cada interface com diferentes nomes de serviço. Além do nome do serviço, o nome do concentrador de acesso pode ser usado pelos clientes para identificar o acesso em que se deve registrar. O nome do concentrador é a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o 1480 bytes. Em uma rede sem fio, o servidor configurado no AP. Para clientes Mikrotik, a interface de rádio pode ser configurada com a MTU em 1600 bytes e a MTU da interface PPPoE em 1500 bytes.
Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que 1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da interface sem fio de clientes MS Windows. A opção One Session Per Host permite somente uma sessão por host(MAC Address). Por fim, Max Sessions define o número máximo de sessões que o concentrador suportará.
PPoE ServerPPPoE do Mikrotik suporta múltiplos servidores
para cada interface com diferentes nomes de serviço. Além do nome do serviço, o nome do concentrador de acesso pode ser usado pelos clientes para identificar o acesso em que se deve registrar. O nome do concentrador é a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser configurado no AP. Para clientes Mikrotik, a interface de rádio pode ser configurada com a MTU em 1600 bytes e a MTU da
em 1500 bytes.
261
Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que 1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da interface sem fio de
Per Host permite somente uma sessão por host(MAC define o número máximo de sessões que o concentrador
Segurança no
•
•
Segurança no PPPoE
Para assegurar um servidor PPPoE pode-se utilizar Filtros de Bridge, configurando a entrada ou repasse dos protocolos pppoe-discovery e pppoe-session e descartando os demais.
Mesmo que haja somente uma interface, ainda sim é possível utilizar os Filtros de Bridge, bastando para tal, criar uma Bridge e associar em Ports apenas esta interface. Em seguida alterar no PPPoEServer a interface de esculta.
262
Configurando o PPPoE
AC Name: Nome do concentrador. Deixando em branco conecta em qualquer um. Service: Nome do serviço designado no servidor Dial On Demand: Disca sempre que é gerado tráfego de saída. Add Default Route: Adiciona um rota padrão(default). User Peer DNS: Usa o DNS do servidor PPPoE.
PPPoE Client
: Nome do concentrador. Deixando em branco conecta em qualquer um.: Nome do serviço designado no servidor PPPoE.
: Disca sempre que é gerado tráfego de saída.: Adiciona um rota padrão(default).
.263
PPTP e L2TP
• L2TP – Layer 2 Tunnel Protocol: Protocolo de tunelamento em camada 2 é um protocolo de tunelamento seguro para transportar tráfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de forma criptografada ou não e permite enlaces entre dispositivos de redes diferentes unidos por diferentes protocolos.
• O tráfego L2TP utiliza protocolo UDP tanto para controle como para pacote de dados. A porta UDP 1701 é utilizada para o estabelecimento do link e o tráfego em si utiliza qualquer porta UDP disponível, o que significa que o L2TP pode ser usado com a maioria dos Firewalls e RoutersNAT.
• L2TP e PPTP possuem as mesma funcionalidades.
PPTP e L2TP
: Protocolo de tunelamento em camada 2 é um protocolo de tunelamento seguro para transportar tráfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de forma criptografada ou não e permite enlaces entre dispositivos de redes diferentes unidos por diferentes protocolos.
O tráfego L2TP utiliza protocolo UDP tanto para controle como para pacote de dados. A porta UDP 1701 é utilizada para o estabelecimento do link e o tráfego em si utiliza qualquer porta UDP disponível, o que significa que o L2TP pode ser
Routers, funcionando também através de
L2TP e PPTP possuem as mesma funcionalidades.
264
Configuração do Servidor PPTP e L2TP
• Configure um pool, um perfil para o PPTP, adicione um usuário em “e habilite o servidor PPTP conforme as figuras.
Configuração do Servidor PPTP e L2TP
Configure um pool, um perfil para o PPTP, adicione um usuário em “secrets” e habilite o servidor PPTP conforme as figuras. 265
Configuração do Servidor PPTP e L2TP
• Configure os servidores PPTP e L2TP.
• Atente para utilizar o perfil correto.
• Configure nos hosts locais um cliente PPTP e realize conexão com um servidor da outra rede.
Ex.: Hosts do Setor1 conectam em Servidores do Setor2 e vice-versa.
Configuração do Servidor PPTP e L2TP
266
Configuração do Cliente PPTP e L2TP
• As configurações para o cliente PPTP e L2TP são bem simples, conforme observamos nas imagens.
Configuração do Cliente PPTP e L2TP
As configurações para o cliente PPTP e L2TP são bem simples, conforme observamos nas imagens.
267
Túneis IPIP
• IPIP é um protocolo que encapsula pacotes IP sobre o próprio protocolo IP baseado na RFC 2003. É um protocolo simples que pode ser usado pra interligar duas intranets através da internet usando 2 roteadores.
• A interface do túnel IPIP aparece na lista de interfaces como se fosse uma interface real.
• Vários roteadores comerciais, incluindo CISCO e roteadores baseados em Linux suportam esse protocolo.
• Um exemplo prático de uso do IPIP seria a necessidade de monitorar hosts através de um NAT, onde o túnel IPIP colocaria a rede privada disponível para o host que realiza o monitoramento, sem a necessidade de criar usuário e senha como nas VPNs.
Túneis IPIP
IPIP é um protocolo que encapsula pacotes IP sobre o próprio protocolo IP baseado na RFC 2003. É um protocolo simples que pode ser usado pra interligar duas intranets através da internet usando 2 roteadores.
A interface do túnel IPIP aparece na lista de interfaces como se fosse uma
Vários roteadores comerciais, incluindo CISCO e roteadores baseados em
Um exemplo prático de uso do IPIP seria a necessidade de monitorar hosts através de um NAT, onde o túnel IPIP colocaria a rede privada disponível para o host que realiza o monitoramento, sem a necessidade de criar usuário e
268
Túneis IPIP
• Supondo que temos que unir as redes que estão por trás dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta criemos as interfaces IPIP em ambos, da seguinte forma:
Túneis IPIP
Supondo que temos que unir as redes que estão por trás dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta criemos as interfaces IPIP em ambos, da seguinte forma:
269
Túneis IPIP
• Agora precisamos atribuir os IPs
• Após criado o túnel IPIP as redes fazem parte do mesmo domínio de broadcast.
Túneis IPIP
IPs as interfaces criadas.
Após criado o túnel IPIP as redes fazem parte do mesmo
270
Túneis EoIP• EoIP(Ethernet over IP) é um protocolo
proprietário Mikrotik para encapsula mento de todo tipo de tráfego sobre o protocolo IP.
Quando habilitada a função de Bridge dos roteadores que estão interligados através de um túnel EoIP, todo o tráfego é passado de uma lado para o outro de forma transparente mesmo roteado pela internet e por vários protocolos.
O protocolo EoIP possibilita:
Interligação em bridge de LANs remotas através da internet.
Interligação em bridge de LANs através de túneis criptografados.
A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface ethernet. Endereços IP e outros túneis podem ser configurados na interface protocolo EoIP encapsula frames ethernet através do protocolo GRE.
EoIP
proprietário Mikrotik para encapsula mento de
271
dos roteadores que estão interligados através de , todo o tráfego é passado de uma lado para o outro de forma
pela internet e por vários protocolos.
remotas através da internet.
através de túneis criptografados.
suporta todas funcionalidades de uma interface ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP. O
encapsula frames ethernet através do protocolo GRE.
Túneis Túneis EoIP
• Criando um túnel EoIP entre as redes por trás dos roteadores 10.0.0.1 e 22.63.11.6.
• Os MACs devem ser diferentes e estar entre o rage: 00-00-5E-80-00-00 e 00-00-5E-FF-FF-FF, pois são endereços reservados para essa aplicação.
• O MTU deve ser deixado em 1500 para evitar fragmentação.
• O túnel ID deve ser igual para ambos.
272
Túneis
• Adicione a interface juntamente com a interface que fará parte do mesmo
Túneis EoIP
Adicione a interface EoIP a bridge, juntamente com a interface que fará parte do mesmo dominio de broadcast.
273
Dúvidas ????Dúvidas ????
274
HotSpot no Mikrotikno Mikrotik
275
HotSpot• HotSpot é um termo utilizado para se referir
onde está disponível um serviço de acesso a internet, normalmente através de uma rede sem fio típicas incluem o acesso em Hotéis, Aeroportos, Shoppings, Universidades, etc...
O conceito de HotSpot no entanto pode ser usado para dar acesso controlado a uma rede qualquer, com ou sem fio, através de autenticação baseada em nome de usuário e senha.
Quando em uma área de cobertura de um navegação pela WEB é arremetido para uma página do credencias, normalmente usuário e senha. Ao fornecêautorizado pelo HotSpot o usuário ganha acesso à internet podendo sua atividade ser controlada e bilhetada.
HotSpotreferir a uma área pública
está disponível um serviço de acesso a internet, normalmente através de uma rede sem fio wi-fi. Aplicações típicas incluem o acesso em Hotéis, Aeroportos, Shoppings,
276
pode ser usado para dar acesso controlado a uma rede qualquer, com ou sem fio, através de autenticação baseada em nome
uma área de cobertura de um HotSpot, um usuário que tente navegação pela WEB é arremetido para uma página do HotSpot que pede suas credencias, normalmente usuário e senha. Ao fornecê-las e sendo um cliente
o usuário ganha acesso à internet podendo sua
HotSpot• Setup do HotSpot:
1. Escolha a interface que vai “ouvir” o hotspot.
2. Escolha o IP em que vai rodar o hotspot e indique se a rede será mascarada.
3. Dê um pool de endereços que serão distribuídos para os usuários do hotspot.
4. Selecione um certificado, caso queira usar.
HotSpot
277
HotSpot• Setup do HotSpot(cont.):
5. Indique o endereço IP do seu servidor smtp, caso queira.
6. Dê o endereço IP dos servidores DNS que irão resolver os nomes para os usuários do hotspot.
7. Dê o nome do DNS que irá responder aos clientes ao invés do IP.
8. Adicione um usuário padrão.
Feito. O HotSpot já está pronto para ser usado.
HotSpot
278
HotSpot• Embora tenha sido uma configuração fácil e rápida, o Mikrotik se encarregou de
fazer o trabalho pesado, criando regras apropriadas no firewall, bem como uma fila especifica para o HotSpot.
HotSpotEmbora tenha sido uma configuração fácil e rápida, o Mikrotik se encarregou de fazer o trabalho pesado, criando regras apropriadas no firewall, bem como uma fila
279
HotSpot – Detalhes do Servidor
Keepalive Timeout: Utilizado para detectar se o computador do cliente está ativo e respondendo. Caso nesse período de tempo o teste falhe, o usuário tirado da tabela de hosts e o endereço IP que ele estava usando é liberado. O tempo é contabilizado levando em consideração o momento da desconexão menos o tempo configurado.
Address Per MAC: Número de IPs permitidos para um determinado MAC.
Idle Timeout: Máximo período de tempo de inatividade para clientes autorizados. É utilizado para detectar os clientes que estão conectados mas não estão trafegando dados. Atingindo o tempo configurado, o cliente é retirado da lista dos hosts autorizados. O tempo é contabilizado levando em consideração o momento da desconexão menos o tempo configurado.
Detalhes do Servidor
: Utilizado para detectar se o computador do cliente está ativo e respondendo. Caso nesse período de tempo o teste falhe, o usuário tirado da tabela de hosts e o endereço IP que ele estava usando é liberado. O tempo é contabilizado levando em consideração o momento da desconexão menos o tempo configurado.
280
permitidos para um
Máximo período de tempo de inatividade para clientes autorizados. É utilizado para detectar os
tão conectados mas não estão trafegando dados. Atingindo o tempo configurado, o cliente é retirado da lista dos hosts autorizados. O tempo é contabilizado levando em consideração o momento da
HotSpot – Perfil do Servidor
HTML Directory: Diretório onde são colocadas as páginas desse hotspot.
HTTP Proxy/Port: Endereço e porta do servidor de web proxy.
SMTP Server: Endereço do servidor SMTP.
Rate Limit: Usado para criar uma fila simples para todo o hotspot. Esta fila vai após as filas dinâmicas dos usuários.
Perfil do Servidor
: Diretório onde são colocadas as
: Endereço e porta do servidor de
: Usado para criar uma fila simples para . Esta fila vai após as filas dinâmicas dos
281
HotSpot – Perfil do Servidor• Login by:
– MAC: Usa o MAC dos clientes primeiro como nome do usuário. Se existir na tabela de usuários local ou em um Radiusé liberado sem usuário/senha.
– HTTP CHAP: Usa o método criptografado.
– HTTP PAP: Usa autenticação em texto plano.
– Cookie: Usa HTTP cookies para autenticar sem pedir credenciais. Se o cliente não tiver mais o cookie ou se tiver expirado ele de usar outro método.
– HTTPS: Usa túnel SSL criptografado. Para que este método funcione, um certificado válido deve ser importado para o roteador.
– Trial: Não requer autenticação por um determinado tempo.
• Split User Domain: Corta o domínio do usuário no caso de [email protected]
• HTTP Cookie Lifetime: Tempo de vida dos cookies.
Perfil do Servidor
: Usa o MAC dos clientes primeiro como nome do usuário. Radius, o cliente
para autenticar sem pedir ou se tiver
: Usa túnel SSL criptografado. Para que este método funcione, um certificado válido deve ser importado para o
: Não requer autenticação por um determinado tempo.
282
: Corta o domínio do usuário no caso de [email protected]
.
HotSpot – Perfil do Servidor• Use Radius: Utiliza servidor Radius para autenticação
dos usuários do hotspot.
• Location ID e Location Name: Podem ser atribuídos aqui ou no Radius. Normalmente deixado em branco.
• Accounting: Usado para registrar o histórico de tráfego, desconexões, etc...
• Interim Update: Freqüência do envio de informações de accounting. 0 significa assim que ocorre o evento.
• Nas Port Type: Wireless, ethernet ou cabo. Informação meramente para referência.
Perfil do Servidorpara autenticação
: Podem ser atribuídos . Normalmente deixado em branco.
: Usado para registrar o histórico de logins,
: Freqüência do envio de informações . 0 significa assim que ocorre o evento.
: Wireless, ethernet ou cabo.
283
HotSpot – Perfil de Usuários• O Use Profile
diferenciado a grupos de usuários, como suporte, comercial, diretoria, etc...
Session
Idle Timeout/anterior, no entanto agora somente para este perfil de usuários.
Status Autorefreshde Status do
Sharedo mesmo username.
Perfil de UsuáriosProfile serve para dar tratamento
diferenciado a grupos de usuários, como suporte, comercial, diretoria, etc...
Session Timeout: Tempo máximo permitido.
Timeout/Keepalive: Mesma explicação anterior, no entanto agora somente para este perfil de usuários.
Autorefresh: Tempo de refresh da página de Status do HotSpot.
Users: Número máximo de clientes com o mesmo username.
284
HotSpot – Perfil de Usuários• Os perfis de usuário podem conter os limites de velocidade de
forma completa.
Rate Limit: [rx-burst-thresholdtime] [priority] [
Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k
128k de upload
256k de upload
96k threshould
8 segundos de
6 de prioridade
32k de garantia de
Perfil de UsuáriosOs perfis de usuário podem conter os limites de velocidade de forma completa.
-limit/tx-limit] [rx-burst-limit/tx-burst-limit] [rx-threshold/tx-burst-threshold] [rx-burst-time/tx-burst-
] [rx-limit-at/tx-limit-at]
: 128k/256k 256k/512k 96k/192k 8 6 32k/64k
upload / 256k de download
upload burst / 512k de download burst
threshould de upload / 192k threshloud de download
8 segundos de burst
6 de prioridade
32k de garantia de upload / 64k de garantia de download285
HotSpot – Perfil de Usuários Incoming Filter
pacotes que chegam do usuário deste perfil.
Outgoing Filterpacotes vão para o usuário deste perfil.
Incoming Packetem pacotes oriundos de usuários deste perfil.
Outgoing Packetem pacotes que vão para usuários deste perfil.
Open Status Page http-login: para usuários que
always: para todos usuários inclusive por MAC.
Tranparent Proxy
Perfil de UsuáriosFilter: Nome do firewall chain aplicado aos
pacotes que chegam do usuário deste perfil.
Filter: Nome do firewall chain aplicado aos pacotes vão para o usuário deste perfil.
Packet Mark: Marca colocada automaticamente em pacotes oriundos de usuários deste perfil.
Packet Mark: Marca colocada automaticamente em pacotes que vão para usuários deste perfil.
Open Status Page: Mostra a página de status: para usuários que logam pela WEB.
: para todos usuários inclusive por MAC.
Proxy: Se deve usar proxy transparente.
286
HotSpot – Perfil de Usuários• Com a opção Advertise é possível enviar de tempos
em tempos “popups” para os usuários do
• Advertise URL: Lista de páginas que serão anunciadas. A lista é cíclica, ou seja, quando a última é mostrada, começa-se novamente pela primeira.
Advertise Interval: Intervalo de tempo de exibição de sequência terminada, usa sempre o intervalo.
Advertise Timeout: Quanto tempo deve esperar para o anúncio ser mostrado, antes de bloquear o acesso a rede. Pode ser configurado um tempo. Nunca bloquear. Bloquear imediatamente.
Perfil de Usuáriosé possível enviar de tempos
” para os usuários do HotSpot.
: Lista de páginas que serão anunciadas. A lista é cíclica, ou seja, quando a última
se novamente pela primeira.
287
: Intervalo de tempo de exibição de popups. Depois da terminada, usa sempre o intervalo.
: Quanto tempo deve esperar para o anúncio ser mostrado,
HotSpot – Perfil de Usuários
• O Mikrotik possui uma linguagem interna de scripts que podem ser adicionados para serem executados em alguma situação especifica.
• No HotSpot é possível criar scripts que executem comandos a medida que um usuário desse perfil conecta ou desconecta do HotSpot.
• Os parâmetros que controlam essa execução são:– On Login: Quando o cliente conecta ao HotSpot
– On Logout: Quando o cliente desconecta do
• Os scripts são adicionados no menu:
/system script
Perfil de Usuários
O Mikrotik possui uma linguagem interna de scripts que podem ser adicionados para serem executados
é possível criar scripts que executem comandos a medida que um usuário desse perfil
Os parâmetros que controlam essa execução são:HotSpot.
: Quando o cliente desconecta do HotSpot.
288
HotSpot – UsuáriosUsuários
289
HotSpot – Usuários• Server: all para todos
• Name: Nome do usuário. Se o modo Trial estiver ativado o hotspot colocará automaticamente o nome “MAC_Address”. No caso de autenticação por MAC, o mesmo deve ser adicionado como username sem senha.
• Address: Endereço IP caso queira vincular esse usuário a um endereço fixo.
• MAC Address: Caso queira vincular esse usuário a um endereço MAC especifico.
Profile: Perfil onde o usuário herda as propriedades.
Routes: Rotas que serão adicionadas ao cliente quando se conectar. Sintaxe: “Endereço destino gateway metrica”. Várias rotas separadas por vírgula podem ser adicionadas.
Usuáriospara todos hotspots ou para um específico.
: Nome do usuário. Se o modo Trial estiver ativado o colocará automaticamente o nome “T-
”. No caso de autenticação por MAC, o mesmo deve ser adicionado como username sem senha.
: Endereço IP caso queira vincular esse usuário a um
: Caso queira vincular esse usuário a um endereço MAC especifico.
290
: Perfil onde o usuário herda as propriedades.
: Rotas que serão adicionadas ao cliente quando se conectar. Sintaxe: ”. Várias rotas separadas por vírgula podem ser
HotSpot – Usuários• Limit Uptime: Limite máximo de tempo de conexão para o
usuário.
• Limit Bytes In: Limite máximo de
• Limit Bytes Out: Limite máximo de download para o usuário.
• Limit Bytes Total: Limite máximo considerando o download + upload
• Na aba das estatísticas é possível acompanhar a utilização desses limites.
Usuários: Limite máximo de tempo de conexão para o
: Limite máximo de upload para o usuário.
: Limite máximo de download para o
: Limite máximo considerando o upload.
Na aba das estatísticas é possível acompanhar a utilização
291
HotSpot –• Mostra dados gerais e estatísticas de cada usuário conectado.
ActiveMostra dados gerais e estatísticas de cada usuário conectado.
292
HotSpot – IP
O Mikrotik por default tem habilitado o “universal aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. Esta facilidade é denominada “DAT” na AP 2500 e “
É possivel também fazer traduções NAT estáticas com base no IP original, ou IP da rede ou MAC do cliente. É possível também permitir certos endereços “contornarem” a autenticação do hotspot. Ou seja, sem ter que possível fazer bloqueio de endereços.
IP Bindings
O Mikrotik por default tem habilitado o “universal client” que é uma facilidade que aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. Esta facilidade é denominada “DAT” na AP 2500 e “eezee” no StarOS.
também fazer traduções NAT estáticas com base no IP original, ou IP da rede ou MAC do cliente. É possível também permitir certos endereços “contornarem” a
. Ou seja, sem ter que logar na rede inicialmente. Também é
293
HotSpot – IP MAC
Address
To deve ser traduzido.
Serverserá aplicada.
Type
IP BindingsMAC Address: mac original do cliente.
Address: Endereço IP do cliente.
To Address: Endereço IP o qual o original deve ser traduzido.
Server: Servidor hotspot o qual a regra será aplicada.
Type: Tipo do Binding Regular: faz tradução regular 1:1
Bypassed: faz tradução mas dispensa o cliente de logar no hotspot.
Blocked: a tradução não será feita e todos os pacotes serão bloqueados.
294
HotSpot –
• A facilidade NAT do hotspot causa problemas com alguns protocolos incompatíveis com NAT. Para que esses protocolos funcionem de forma consistente, devem ser usados os módulos “helpers”.
• No caso do NAT 1:1 o único problema é com relação ao módulo de FTP que deve ser configurado para usar as portas 20 e 21.
– Ports
295
HotSpot – Walled
• Configurando um “walled garden” é possível oferecer ao usuário o acesso a determinados serviços sem necessidade de autenticação. Por exemplo em um aeroporto poderia se disponibilizar informações sobre o tempo ou até mesmo disponibilizar os sites dos principais prestadores de serviço para que o cliente possa escolher qual plano quer comprar.
• Quando um usuário não logado no hotspot requisita um serviço do gateway não intercepta e, no caso do http, redireciona a requisição para o destino ou um proxy.
• Para implementar o walled garden para requisições embarcado no Mikrotik, de forma que todas requisições de usuários não autorizados passem de fato por esse proxy.
• Observar que o proxy embarcado no Mikrotik não tem a função de por hora. Notar também que esse proxy faz parte do pacote pacote web-proxy.
Walled Garden
” é possível oferecer ao usuário o acesso a determinados serviços sem necessidade de autenticação. Por exemplo em um aeroporto poderia se disponibilizar informações sobre o tempo ou até mesmo disponibilizar os sites dos principais prestadores de serviço para que o cliente possa
requisita um serviço do walled garden o , redireciona a requisição para o destino ou
para requisições http, existe um web proxyembarcado no Mikrotik, de forma que todas requisições de usuários não autorizados
embarcado no Mikrotik não tem a função de cache, pelo menos faz parte do pacote system e não requer o
296
HotSpot – Walled
• É importante salientar que o gardenserviço WEB, mas qualquer serviço que se queira configurar. Para tanto existem 2 menus distintos conforme do figuras ao lado. Sendo o menu de cima para HTTP e HTTPS e o de baixo para outros serviços e protocolos.
Walled Garden
É importante salientar que o walledgarden não se destina somente a serviço WEB, mas qualquer serviço que se queira configurar. Para tanto existem 2 menus distintos conforme do figuras ao lado. Sendo o menu de cima para HTTP e HTTPS e o de baixo para outros serviços e protocolos.
297
HotSpot – Walled• Action: Permite ou nega.
• Server: Hotspot para o qual o walled garden
• Src.Address: Endereço IP do usuário requisitante.
• Dst. Address: Endereço IP do web server.
• Method: Método http ou https.
• Dst. Host: Nome do domínio do servidor de destino.
• Dst. Port: Porta de destino do servidor.
• Path: Caminho da requisição.
Obs.: Nos nomes dos domínios é necessário o nome completo, podendo ser usado coringas. Também é possível utilizar expressões regulares devendo essas ser iniciadas com (:)
Walled Garden
garden vale.
: Endereço IP do usuário requisitante.
server.
: Nome do domínio do servidor de destino.
298
Nos nomes dos domínios é necessário o nome completo, podendo ser usado é possível utilizar expressões regulares devendo essas ser
HotSpot – Walled
• Action: Aceita, descarta ou rejeita o pacote.
• Server: Hotspot para o qual o walled garden
• Src. Address: Endereço IP do usuário requisitante.
• Dst. Address: Endereço IP do web server.
• Protocol: Protocolo a ser escolhido na lista.
• Dst. Port: Porta TCP ou UDP que será requisitada.
• Dst. Host: Nome do domínio do servidor de destino.
Walled Garden
: Aceita, descarta ou rejeita o pacote.
garden vale.
: Endereço IP do usuário requisitante.
: Protocolo a ser escolhido na lista.
: Porta TCP ou UDP que será requisitada.
: Nome do domínio do servidor de destino.
299
HotSpot – Cookies
• Quando configurado o login por cookies, estes ficam armazenados no hotspot com nome do usuário, MAC e tempo de validade.
• Enquanto estiverem válidos o usuário não precisa efetuar o procedimento de login e senha.
• Podem ser deletados (-) forçando assim o usuário a fazer o novamente.
Cookies
, estes ficam armazenados no com nome do usuário, MAC e tempo de validade.
Enquanto estiverem válidos o usuário não precisa efetuar o procedimento
) forçando assim o usuário a fazer o login
300
Personalizando o
• As páginas do hotspot são completamente configuráveis e além disso é possível criar conjuntos completamente diferentes das páginas do hotspot para vários perfis de usuários especificando diferentes diretórios raiz.
• As principais páginas que são mostradas aos usuários são:– redirect.html – redireciona o usuário a uma página especifica.
– login.html – página de login que pede usuário e senha ao cliente. Esta página tem os seguintes parâmetros:
• Username/password.
• Dst – URL original que o usuário requisitou antes do redirecionamento e que será aberta após a autenticação do usuário.
• Popup – Será aberta uma janela popup quando o usuário se
Personalizando o HotSpot
são completamente configuráveis e além disso é possível criar conjuntos completamente diferentes das
para vários perfis de usuários especificando
As principais páginas que são mostradas aos usuários são:redireciona o usuário a uma página especifica.
que pede usuário e senha ao cliente. Esta página
URL original que o usuário requisitou antes do redirecionamento e que será
quando o usuário se logar com sucesso.
301
HotSpot com HTTPS
• Para utilizar o hotspot com HTTPS é necessário que se crie um certificado, assiná-lo corretamente e em seguida importádo menu /system certificates.
com HTTPS
com HTTPS é necessário que se crie um lo corretamente e em seguida importá-lo através
302
Dúvidas ????Dúvidas ????
303
Roteamento
• O Mikrotik suporta dois tipos de roteamento:– Roteamento estático: As rotas são criadas pelo usuário através de inserções pré
função da topologia da rede.
– Roteamento dinâmico: As rotas são geradas automaticamente através de um protocolo de roteamento dinâmico ou de algum agregado de endereço IP.
• O Mikrotik também suporta ECMP(Equalpermite rotear pacotes através de vários links e permite balancear cargas.
• É possível ainda no Mikrotik se estabelecer políticas de roteamento dando tratamento diferenciado a vários tipos de fluxos a critério do administrador.
Roteamento
O Mikrotik suporta dois tipos de roteamento:Roteamento estático: As rotas são criadas pelo usuário através de inserções pré-definidas em
Roteamento dinâmico: As rotas são geradas automaticamente através de um protocolo de roteamento dinâmico ou de algum agregado de endereço IP.
Equal Cost Multi Path) que é um mecanismo que permite rotear pacotes através de vários links e permite balancear cargas.
É possível ainda no Mikrotik se estabelecer políticas de roteamento dando tratamento diferenciado a vários tipos de fluxos a critério do administrador.
304
Políticas de Roteamento
• Existem algumas regras que devem ser seguidas para se estabelecer uma política de roteamento:
– As políticas podem ser por marca de pacotes, por classes de endereços IP e portas.
– As marcas dos pacotes devem ser adicionadas no Firewall, no módulo Mangle com mark-routing.
– Aos pacotes marcados será aplicada uma política de roteamento, dirigindoos para um determinado gateway.
– É possível utilizar política de roteamento quando se utiliza NAT.
Políticas de Roteamento
Existem algumas regras que devem ser seguidas para se estabelecer
As políticas podem ser por marca de pacotes, por classes de endereços IP e
As marcas dos pacotes devem ser adicionadas no Firewall, no módulo
Aos pacotes marcados será aplicada uma política de roteamento, dirigindo-
É possível utilizar política de roteamento quando se utiliza NAT.
305
Políticas de Roteamento
• Uma aplicação típica de políticas de roteamento é trabalhar com dois um mais links direcionando o tráfego para ambos. Por exemplo direcionando tráfego p2p por um link e tráfego web por outro.
• É impossível porém reconhecer o tráfego p2p a partir do primeiro pacote, mas tão somente após a conexão estabelecida, o que impede o funcionamento de programas p2p em casos de NAT de origem.
• A estrátegia nesse caso é colocar como gateway default um link “menos nobre”, marcar o tráfego “nobre” (httpnobre. Todas outras aplicações, incluindo o p2p irão pelo link menos nobre.
Políticas de Roteamento
Uma aplicação típica de políticas de roteamento é trabalhar com dois um mais links direcionando o tráfego para ambos. Por exemplo direcionando tráfego p2p por um link e tráfego web por outro.
É impossível porém reconhecer o tráfego p2p a partir do primeiro pacote, mas tão somente após a conexão estabelecida, o que impede o funcionamento de programas p2p em casos de NAT de origem.
nesse caso é colocar como gateway default um link “menos http, dns, pop, etc.) e desvia-lo pelo link
nobre. Todas outras aplicações, incluindo o p2p irão pelo link menos
306
Políticas de Roteamento
• Exemplo de política de roteamento.
O roteador nesse caso terá 2 gateways com ECMP e check-gateway. Dessa forma o tráfego será balanceado e irá garantir o failoverda seguinte forma:
/ip route add dst-address=0.0.0.0/0 gateway=10.111.0.1,10.112.0.1 check-gateway=ping
Políticas de Roteamento
-. Dessa forma o tráfego será
failover
gateway=ping307
Ex. de Política de Roteamento1. Marcar pacotes da rede 192.168.10.0/24 como lan1pacotes da rede 192.168.20.0/24 como lan2 da seguinte forma:/ip firewall mangle add src-address=192.168.10.0/24 action=routing new-marking-routing=lan1 chain=prerouting
/ip firewall mangle add src-address=192.168.20.0/24 action=routing new-marking-routing=lan2 chain=prerouting
2. Rotear os pacotes da rede lan1 para o gateway 10.1110.0.1 e os pacotes da rede lan2 para o gateway 10.112.0.1 usando as correspondentes marcas de pacotes da seguinte forma:/ip routes add gateway=10.111.0.1 routing-mark=lan1 checkgateway=ping
/ip routes add gateway=10.112.0.1 routing-mark=lan2 checkgateway=ping
/ip routes add gateway=10.111.0.1,10.112.0.1 check-gateway
Ex. de Política de Roteamentolan1 e
da seguinte forma:=192.168.10.0/24 action=mark-
=192.168.20.0/24 action=mark-
para o gateway 10.1110.0.1 e para o gateway 10.112.0.1 usando as
correspondentes marcas de pacotes da seguinte forma:check-
check-
gateway=ping
308
192.168.10.0/24 192.168.20.0/24
Balanceamento de Carga com PCCBalanceamento de Carga com PCC
309
Balanceamento de Carga com PCC
• O PCC é uma forma de balancear o tráfego de acordo com um critério de classificação pré-determinado das conexão. Os
Classificador Denominador
Obs.: O PCC só está disponível no Mikrotik a partir da versão 3.24.
Balanceamento de Carga com PCC
O PCC é uma forma de balancear o tráfego de acordo com um critério de determinado das conexão. Os parametros de configuração são:
Denominador Contador
Obs.: O PCC só está disponível no Mikrotik a partir da versão 3.24.
310
Balanceamento de Carga com PCCExemplo de PCC com 3 links
Primeiro vamos marcar as conexões. Atente para a interface de entrada(clientes), o denominador(links) e o contador que inicia em zero.
Balanceamento de Carga com PCCExemplo de PCC com 3 links
311
Balanceamento de Carga com PCCExemplo de PCC com 3 links
Balanceamento de Carga com PCCExemplo de PCC com 3 links
312
Balanceamento de Carga com PCCExemplo de PCC com 3 links
Balanceamento de Carga com PCCExemplo de PCC com 3 links
313
Balanceamento de Carga com PCCExemplo de PCC com 3 links
Balanceamento de Carga com PCCExemplo de PCC com 3 links
314
Agora vamos marcar as rotas com base nas marcações de conexões já feitas anteriormente. Atente agora para desmarcar a opção “passthrough”.
Balanceamento de Carga com PCCExemplo de PCC com 3 links
Balanceamento de Carga com PCCExemplo de PCC com 3 links
315
Balanceamento de Carga com PCCExemplo de PCC com 3 links
Balanceamento de Carga com PCCExemplo de PCC com 3 links
316
Balanceamento de Carga com PCCExemplo de PCC com 3 links
Agora vamos criar as rotas baseadas nas marcações de rotas. Iremos considerar que os 3 gateways internet são: 10.10.10.1, 20.20.20.1 e 30.30.30.1
Balanceamento de Carga com PCCExemplo de PCC com 3 links
317
Agora vamos criar as rotas baseadas nas marcações de rotas. Iremos considerar que os 3 30.30.30.1
Balanceamento de Carga com PCCExemplo de PCC com 3 links
Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a mesma operação para as demais interfaces.
Balanceamento de Carga com PCCExemplo de PCC com 3 links
318
Precisamos adicionar o NAT para cada gateway conforme as imagens. Repita a mesma
Roteamento Dinâmico
• O Mikrotik suporta os seguintes protocolos:– RIP versão 1 e 2;
– OSPF versão 2 e 3;
– BGP versão 4.
• O uso de protocolos de roteamento dinâmico permite implementar redundância e balanceamento de links de forma automática e é uma forma de se fazer uma rede semelhante as redes conhecidas como Mesh, porém de forma estática.
Roteamento Dinâmico
O Mikrotik suporta os seguintes protocolos:
O uso de protocolos de roteamento dinâmico permite implementar redundância e balanceamento de links de forma automática e é uma forma de se fazer uma rede semelhante as redes conhecidas como
319
Roteamento dinâmico
• O protocolo BGP é destinado a fazer comunicação entre AS(Autonomos System) diferentes, podendo ser considerado como o coração da internet.
• O BGP mantém uma tabela de “prefixos” de rotas contendo informações para se encontrar determinadas redes entre os
• A versão corrente do BGP no Mikrotik é a 4, especificada na RFC 1771.
Roteamento dinâmico - BGP
O protocolo BGP é destinado a fazer comunicação System) diferentes, podendo ser
considerado como o coração da internet.O BGP mantém uma tabela de “prefixos” de rotas contendo informações para se encontrar determinadas redes entre os AS’s.A versão corrente do BGP no Mikrotik é a 4,
320
Roteamento Dinâmico
• O protocolo Open Shortest Path First, é um protocolo do tipo “link usa o algoritmo de Dijkstra para calcular o caminho mais curto para todos os destinos.
• O OSPF distribui informações de roteamento entre os roteadores que participem de um mesmo AS(AutonomousOSPF habilitado.
• Para que isso aconteça, todos os roteadores tem de ser configurados de uma maneira coordenada e devem ter o mesmo MTU para todas as redes anunciadas pelo protocolo OSPF.
• O protocolo OSPF é iniciado depois que é adicionado um registro na lista de redes. As rotas são aprendidas e instaladas nas tabelas de roteamento dos roteadores.
Roteamento Dinâmico - OSPF
, é um protocolo do tipo “link state”. Ele para calcular o caminho mais curto para todos os
O OSPF distribui informações de roteamento entre os roteadores que Autonomous System) e que tenha o protocolo
Para que isso aconteça, todos os roteadores tem de ser configurados de uma maneira coordenada e devem ter o mesmo MTU para todas as redes
O protocolo OSPF é iniciado depois que é adicionado um registro na lista de redes. As rotas são aprendidas e instaladas nas tabelas de roteamento dos
321
Roteamento Dinâmico
Tipos de roteadores em OSPF:Roteadores internos a uma área
Roteadores de backbone (área 0)
Roteadores de borda de área (ABR)OS ABRs devem ficar entre dois roteadores e devem tocar a
área 0
Roteadores de borda AutonomousSão roteadores que participam do OSPF mas fazem
comunicação com um AS.
Roteamento Dinâmico - OSPF
Tipos de roteadores em OSPF:Roteadores internos a uma área
(área 0)
Roteadores de borda de área (ABR)devem ficar entre dois roteadores e devem tocar a
Autonomous System (ASBR)São roteadores que participam do OSPF mas fazem
322
OSPF
• O protocolo OSPF permite que vários roteadores sejam agrupados entre si. Cada grupo formado é chamado de área e cada área roda uma cópia do algoritmo básico, e cada área tem sua própria base de dados do estado de seus roteadores.
• A divisão em áreas é importante pois como a estrutura de uma área só é visível para os participantes desta, o tráfego é sensívelmenteprevine o “recalculo” das distâncias por áreas que não participam da área que promoveu alguma mudança de estado.
• É aconselhavel utilizar no entre 50 e 60 roteadores em cada área.
OSPF - Áreas
O protocolo OSPF permite que vários roteadores sejam agrupados entre si. Cada grupo formado é chamado de área e cada área roda uma cópia do algoritmo básico, e cada área tem sua própria base de dados do estado de seus roteadores.
A divisão em áreas é importante pois como a estrutura de uma área só é visível sensívelmente reduzido. Isso também
previne o “recalculo” das distâncias por áreas que não participam da área que
utilizar no entre 50 e 60 roteadores em cada área.
323
OSPF - Redes
• Aqui definimos as redes OSPF com os seguintes parâmetros:
– Network: Endereço IP/Mascara, associado. Permite definir uma ou mais interfaces associadas a uma área. Somente redes conectadas diretamente podem ser adicionadas aqui.
– Area: Área do OSPF associada.
Redes
Aqui definimos as redes OSPF com os seguintes
Network: Endereço IP/Mascara, associado. Permite definir uma ou mais interfaces associadas a uma área. Somente redes conectadas diretamente podem ser
324
OSPF - Opções• Router ID
não seja especificado o roteador usará o maior IP que exista na interface.
• Redistribute– Never
– If installedinstalada como rota estática,
– If installedinstalada como rota estática,
– Always
– Always
OpçõesID: Geralmente o IP do roteador. Caso
não seja especificado o roteador usará o maior IP que exista na interface.
Redistribute Default Route:Never: nunca distribui rota padrão.
installed (as type 1): Envia com métrica 1 se tiver sido instalada como rota estática, dhcp ou PPP.
installed (as type 2): Envia com métrica 2 se tiver sido instalada como rota estática, dhcp ou PPP.
Always (as type 1): Sempre, com métrica 1.
Always (as type 2): Sempre, com métrica 2.
325
OSPF - Opções• Redistribute Connected
roteador irá distribuir todas as rotas relativas as redes que estejam diretamente conectadas a ele.
• Redistribute Staticrotas cadastradas de forma estática em /
• Redistribute RIP rotas aprendidas por RIP.
• Redistribute BGP rotas aprendidas por BGP.
• Na aba “Metricsserão exportadas as diversas rotas.
OpçõesConnected Routes: Caso habilitado, o
roteador irá distribuir todas as rotas relativas as redes que estejam diretamente conectadas a ele.
Static Routes: Caso habilitado, distribui as rotas cadastradas de forma estática em /ip routes.
RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP.
BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP.
Metrics” é possível modificar as métricas que serão exportadas as diversas rotas.
326
OSPF
• Considerando nosso diagrama inicial, vamos aplicar o OSPF em uma só área e testar a funcionalidade.
OSPF
• Considerando nosso diagrama inicial, vamos aplicar o OSPF em uma só área e testar a funcionalidade.
327
Dúvidas ????Dúvidas ????
328
Web Proxy
• O web proxy é uma ótima ferramenta para fazer “objetos” da internet e com isso economizar banda.
• Também é possível utilizar o web conteúdo sem a necessidade de fazer
• Como o web proxy escuta todos importante assegurar que somente clientes da rede local irão acessá-lo.
• A boa prática recomenda o uso de 20GB de 1GB de memória RAM. Portanto com uma simples regra de 3 é simples encontrar o valor ideal para a memória RAM do seu equipamento.
Web Proxy
é uma ótima ferramenta para fazer cache de “objetos” da internet e com isso economizar banda.Também é possível utilizar o web proxy como filtro de conteúdo sem a necessidade de fazer cache.
escuta todos ips do router, é muito importante assegurar que somente clientes da rede local
A boa prática recomenda o uso de 20GB de cache para cada 1GB de memória RAM. Portanto com uma simples regra de 3 é simples encontrar o valor ideal para a memória RAM do
329
Web Proxy - Parâmetros• Src. Address
você possua vários
• Port: Porta onde o servidor irá escuta.
• Parent Proxy: sistema de hierarquia de
• Parent Proxy
• Cache Administratoradministrador do
• Max CacheKiBytes.
• Cache Onem RAM.
ParâmetrosAddress: Enderço IP do servidor proxy caso
você possua vários ips no mesmo roteador.
Porta onde o servidor irá escuta.
Proxy: Servidor proxy pai usado em um sistema de hierarquia de proxy.
Proxy Port: Porta o parent proxy escuta.
Administrator: Identificação do administrador do proxy.
Cache Size: Tamanho máximo do cache em
On Disk: Indica se o cache será em Disco ou em RAM.
330
Web Proxy - Parâmetros• Max Client
conexões simultâneas ao • Max Server Connections:
conexões que o proxy.
• Max Freshnão possuem tempo padrão definidos, serão considerados atuais.
• Serialize Connections:ao servidor para múltiplas conexões para os clientes.
• Always Fromatualização dos clientes caso o objeto será considerado atual.
ParâmetrosClient Connections: Número máximo de
conexões simultâneas ao proxy.Max Server Connections: Número máximo de conexões que o proxy fará a um outro servidor
Fresh Time: Tempo máximo que os objetos que não possuem tempo padrão definidos, serão considerados atuais.Serialize Connections: Habilita múltiplas conexões ao servidor para múltiplas conexões para os
From Cache: Ignore requisições de atualização dos clientes caso o objeto será considerado atual.
331
Web Proxy - Parâmetros• Cache Hit DSCP (TOS):
valor configurado a pacotes que deram hit no
• Cache Drive:para armazenamento dos objetos. Esses discos podem ser acessados no menu: /system
ParâmetrosHit DSCP (TOS): Adiciona marca DSCP com o
valor configurado a pacotes que deram hit no proxy.
Drive: Exibe o disco que o proxy está usando para armazenamento dos objetos. Esses discos podem ser acessados no menu: /system stores.
332
Web Proxy -• Uptime: Tempo que o
• Requests
• Hits: Número de pedidos que foram atendidos pelo cache do
• Cache Usedpelo cache
• Total RAM
Received From Servers: Total de dados em Kibytesexternos.
Sent To Clients: Total de dados em Kibytes enviados ao clientes.
Hits Sent To Clients: Total de dados em Kibytesclientes.
- StatusTempo que o proxy está rodando.
Requests: Total de requisições ao proxy.
Número de pedidos que foram atendidos pelo do proxy.
Used: Espaço usado em disco ou RAM usado cache do proxy.
Total RAM Used: Total de RAM usada pelo proxy.
333
Kibytes recebidos de servidores
enviados ao clientes.
Kibytes enviados do cache hits aos
Web Proxy - ConexõesAqui podemos a lista de conexões ativas no
Src. Address: Endereço IP das conexões remotas
Dst. Address: Endereço destino que está sendo requisitado
Protocol: Protocolo utilizado pelo navegador
State: Status da conexão
Tx Bytes: Total de bytes enviados
Rx Bytes: Total de bytes recebidos remotamente
ConexõesAqui podemos a lista de conexões ativas no proxys
334
Endereço IP das conexões remotas
Endereço destino que está sendo requisitado
utilizado pelo navegador
remotamente
Web Proxy - A lista de acesso permite controlar
conteúdo que será permitido ou não para armazenamento no cache do proxy.
As regras adicionadas nesta lista são processadas de forma semelhante que as regras do firewall. Neste caso as regras irão processar as conexões e caso alguma conexão receba um “match” ela não será mais processada pelas demais regras.
- Access
335
Web Proxy - Src. Address: Endereço ip de origem
Dst. Address: Endereço ip de destino
Dst. Port: Porta ou lista de portas destino
Local Port: Porta correspondente do proxy
Dst. Host: Endereço ip ou DNS de destino
Path: Nome da página dentro do servidor
Method: Método HTTP usado nas requisições
Action: Permite ou nega a regra
Redirect To: URL ao qual o usuário será redirecionado caso a regra seja de negação
Hits: Quantidade de vezes que a regra sofreu “
- Access
336
Método HTTP usado nas requisições
URL ao qual o usuário será redirecionado
Quantidade de vezes que a regra sofreu “macth”
Web Proxy - A lista de cache define como as requisições serão armazenadas ou não no
cache do proxy.
Esta lista é manipulada da mesma forma que a lista de acesso.
De forma análoga ao firewall, qualquer requisição que não esteja na lista de regras, será armazenada no cache.
Os parâmetros de configuração das regras são idênticas as regras da lista de acesso.
- Cache
337
define como as requisições serão armazenadas ou não no
Esta lista é manipulada da mesma forma que a lista de acesso.
De forma análoga ao firewall, qualquer requisição que não esteja na lista de
Os parâmetros de configuração das regras são idênticas as regras da lista de
Web Proxy - A lista de acesso direto é utilizada quando um
configurado. Desta forma é possível passar a requisição ao mesmo ou tentar encaminhar a requisição diretamente ao servidor de destino.
Esta lista é manipulada da mesma forma que a lista de acesso.
Diferentemente do firewall, qualquer requisição que não esteja na lista de regras, será por padrão negada.
Os parâmetros de configuração das regras são idênticas as regras da lista de acesso.
- Direct
338
A lista de acesso direto é utilizada quando um Parent Proxy está configurado. Desta forma é possível passar a requisição ao mesmo ou tentar encaminhar a requisição diretamente ao servidor de destino.
Esta lista é manipulada da mesma forma que a lista de acesso.
Diferentemente do firewall, qualquer requisição que não esteja na lista de
Os parâmetros de configuração das regras são idênticas as regras da lista de
Web Proxy – Regras de Firewall Para que o proxy funcione de forma correta e segura, é necessário criar
algumas regras no “firewall nat” e no “firewall
Primeiramente precisamos desviar o fluxo de pacotes com destino a porta 80 para o servidor web proxy.
Em seguida precisamos garantir que somente os clientes da rede local terão acesso ao servidor web proxy.
Regras de Firewall
339
funcione de forma correta e segura, é necessário criar ” e no “firewall filter”.
Primeiramente precisamos desviar o fluxo de pacotes com destino a porta
Em seguida precisamos garantir que somente os clientes da rede local terão
Web Proxy – Regras de Firewall
Desviando o fluxo web para o proxy
/ip firewall nat add chain=dstnat protocolaction=redirect to-ports=8080
Protegendo o proxy contra acessos externos não autorizados
/ip firewall filter add chain=input protocolinterface=wan action=drop
Regras de Firewall
340
protocol=tcp dst-port=80
contra acessos externos não autorizados
protocol=tcp dst-port=8080 in-
Exercício final
Abra um New Terminal
Digite: /system reset-configuration
Exercício final
Terminal
configuration
341
Dúvidas ????Dúvidas ????
342
The Dude –– O cara
343
The Dude –
The Dude é uma ferramenta de monitoramento que: Fornece informações acerca de quedas e restabelecimentos de
redes, serviços, assim como uso de recursos de equipamentos.Permite mapeamento da rede com gráficos da topologia e
relacionamentos lógicos entre os dispositivos.Notificações via áudio/video/email acerca de eventos.Gráfico de serviços mostrando latência, tempos de respostas de
DNS, utilização de banda, informações físicas de links, etc...Monitoramento de qualquer dispositivo que suporte o protocolo
SNMP.
– O cara
é uma ferramenta de monitoramento que:Fornece informações acerca de quedas e restabelecimentos de redes, serviços, assim como uso de recursos de equipamentos.Permite mapeamento da rede com gráficos da topologia e relacionamentos lógicos entre os dispositivos.
/email acerca de eventos.Gráfico de serviços mostrando latência, tempos de respostas de DNS, utilização de banda, informações físicas de links, etc...Monitoramento de qualquer dispositivo que suporte o protocolo
344
The Dude –
• Possibilidade de utilizar ferramentas para acesso direto a dispositivos da rede a partir do diagrama da mesma.
• Acesso direto a dispositivos Mikrotik através do • Armazenamento de histórico de eventos(
rede, com momentos de queda, restabelecimentos, etc...• Possibilidade de utilizar SNMP também para tomada de
decisões através do SNMP Set.
(Vide: MUM Czech Republic 2009
– O cara
Possibilidade de utilizar ferramentas para acesso direto a dispositivos da rede a partir do diagrama da mesma.Acesso direto a dispositivos Mikrotik através do winbox.Armazenamento de histórico de eventos(logs) de toda a rede, com momentos de queda, restabelecimentos, etc...Possibilidade de utilizar SNMP também para tomada de decisões através do SNMP Set.
2009 – Andrea Coppini)
345
Instalando o The
• No Windows:– Fazer o download, clicar no executável e responder sim para
todas as perguntas.
• No Linux:– Instalar o wine e a partir daí proceder como no
• Em Routerboard ou PC com Mikrotik:– Baixar o pacote referente a arquitetura
o Mikrotik via FTP ou Winbox
The Dude
Fazer o download, clicar no executável e responder sim para
e a partir daí proceder como no windows.
ou PC com Mikrotik:Baixar o pacote referente a arquitetura especifíca, enviar para
Winbox e rebootar o roteador.
346
The Dude em Routerboards
• O espaço em disco consumido pela The Dudedevido aos gráficos e logs a serem armazenados. Assim, no caso de instalação em Routerboards é aconselhável o uso daquelas que possuam armazenamento adicional como:– RB 433UAH – Aceita HD externo via USB
– RB 450G – Aceita MicroSD
– RB 600 – Aceita SD
– RB 800 – Aceita MicroSD
– RB 1100 – Aceita MicroSD
• Não é aconselhável a instalação em outras perdas de dados devido a impossibilidade de efetuar backups. Problemas de processamento também devem ser considerados.
Routerboards
Dude é considerável, entre outras coisas, a serem armazenados. Assim, no caso de instalação em
é aconselhável o uso daquelas que possuam armazenamento
Não é aconselhável a instalação em outras Routerboards por problemas de perdas de dados devido a impossibilidade de efetuar backups. Problemas de processamento também devem ser considerados.
347
The Dude - Começando
• A instalação do The Dude sempre instala o cliente e o servidor e no primeiro uso ele sempre irá tentar usar o Servidor Local(queira se conectar em outro servidor clique no “raio”.
Começando
sempre instala o cliente e o servidor e no primeiro uso ele sempre irá tentar usar o Servidor Local(localhost). Caso queira se conectar em outro servidor clique no “raio”.
348
The Dude - Começando
• O auto discovery permite que o servidor segmento de rede, através de provas de também.
• Os outros segmentos de rede que tenham seus vizinhos (neighbours).
• Apesar de ser uma “facilidade”, não é aconselhável utilizar este recurso.
Começando
permite que o servidor The Dude localize os dispositivos de seu segmento de rede, através de provas de ping, arp, snmp, etc... E por serviços
Os outros segmentos de rede que tenham Mikrotiks podem ser mapeados por
Apesar de ser uma “facilidade”, não é aconselhável utilizar este recurso.
349
The Dude – Adicionando dispositivos
• O The Dude tem um wizard para criação de dispositivos. Informe o IP e, se o dispositivo for Mikrotik, marque a opção “
Adicionando dispositivos
tem um wizard para criação de dispositivos. Informe o IP e, se o dispositivo for Mikrotik, marque a opção “Router OS”.
350
The Dude – Adicionando dispositivos
• Em seguida descubra os serviços que estão rodando nesse equipamento. Após isso o dispositivo estará criado.
Adicionando dispositivos
Em seguida descubra os serviços que estão rodando nesse equipamento. Após
351
The Dude – Adicionando dispositivos
• Clique no dispositivo criado para ajustar vários parâmetros. Dentre esses os principais:– Nome de exibição
– Tipo do dispositivo
Adicionando dispositivos
Clique no dispositivo criado para ajustar vários parâmetros. Dentre esses os principais:
352
The Dude – Adicionando dispositivos
• O The Dude possui vários dispositivos prénovos dispositivos personalizados para que o desenho realmente reflita a realidade prática.
• Por razões de produtividade é aconselhável que todos os dispositivos existentes na rede sejam criados com suas propriedades especificas antes do desenho da rede, mas nada impede que isso seja feito depois.
Adicionando dispositivos
possui vários dispositivos pré-definidos, mas pode-se criar novos dispositivos personalizados para que o desenho realmente reflita a
Por razões de produtividade é aconselhável que todos os dispositivos existentes na rede sejam criados com suas propriedades especificas antes do desenho da rede, mas nada impede que isso seja feito depois.
353
The Dude – Adicionando dispositivos
• Quando a rede possui elementos não configuráveis por IP como switchs L2, é necessário criar dispositivos estáticos para fazer as ligações. Com isso é possível concluir o diagrama da rede de forma mais realista e parecida com a real.
Adicionando dispositivos
Quando a rede possui elementos não configuráveis L2, é necessário criar
dispositivos estáticos para fazer as ligações. Com isso é possível concluir o diagrama da rede de forma mais realista e parecida com a real.
354
The Dude – Criando links
• Para criar links entre os dispositivos basta clicar no mapa com o botão direito, selecionar Add Link e ligar os dois dispositivos informando:– Device: Dispositivo que irá fornece as informações do link.– Mastering type: Informa como as informações serão obtidas. – Interface: Caso o dispositivo suporte SNMP e/ou seja um
interface que deseja monitorar a velocidade e estado do link.– Speed: Informando a velocidade do link, é ativado a sinalização do estado do
mesmo baseando-se em cores.– Type: Tipo de conexão física entre os dispositivos.
Criando links
Para criar links entre os dispositivos basta clicar no mapa com o botão Link e ligar os dois dispositivos informando:
: Dispositivo que irá fornece as informações do link.: Informa como as informações serão obtidas.
Interface: Caso o dispositivo suporte SNMP e/ou seja um RouterOS, escolha a interface que deseja monitorar a velocidade e estado do link.
: Informando a velocidade do link, é ativado a sinalização do estado do
: Tipo de conexão física entre os dispositivos.355
The Dude – Notificações
• Efetue um duplo clique no dispositivo e vá na guia “você pode informar o tipo de notificação que deseja receber.
Notificações
Efetue um duplo clique no dispositivo e vá na guia “Notifications”. Nela você pode informar o tipo de notificação que deseja receber.
356
The Dude – Serviços indesejáveis• Com o The Dude podemos monitorar serviços que não desejamos que estejam
ativos.
Serviços indesejáveispodemos monitorar serviços que não desejamos que estejam
357
The Dude – gráficos• Podemos manipular a forma como os gráficos irão ser apresentados para
identificar serviços, estado dos links etc...
gráficosPodemos manipular a forma como os gráficos irão ser apresentados para identificar serviços, estado dos links etc...
358
The Dude – Efetuando Backups
• As configurações são salvas automaticamente na medida em que são feitas. Para se ter um backup externo use o “export” para gerar um arquivo .todas as configurações que poderão ser importadas sempre que necessário.
Efetuando Backups
As configurações são salvas automaticamente na medida em que são feitas. Para se ter um backup
” para gerar um arquivo .xml com todas as configurações que poderão ser importadas
359
Dúvidas ????Dúvidas ????
360
Laboratório Final
• Abram um terminal
• Executem: /system reset-configurationdefaults=yes
Laboratório Final
• Abram um terminal
• Executem: /system reset-configuration no-defaults=yes
361
OBRIGADO!
Guilherme Marques Ramires.E-mail para contato: [email protected]
OBRIGADO!
Guilherme Marques [email protected]
362