MTCNA_v5

(1)

MikroTik Certified

Network Associate

(MTCNA)

Academy Xperts

www.academyxperts.com Mauro Escalante C. [email protected]

MikroTik Certified Trainer MikroTik Trainer ID #TR0086

(2)

www.academyxperts.com [email protected] www.academyxperts.cl [email protected] www.academyxperts.cr [email protected] www.academyxperts.hn [email protected] www.academyxperts.com.ar [email protected] www.academyxperts.com.mx [email protected] www.academyxperts.com.pa [email protected]

MikroTik, NSTREME, RouterOS and RouterBOARD are registered trademarks of company Mikrotīkls SIA.

www.mikrotikxperts.com [email protected] www.mikrotikxperts.cl [email protected] www.mikrotikxperts.cr [email protected] www.mikrotikxperts.com.bo [email protected] www.mikrotikxperts.com.mx [email protected] A c a d e m y X p e r t s M i k r o T i k X p e r t s

(3)

Instructores Academy Xperts

Alejandro Teixeira (Chile)

([email protected])

• Co-Fundador y CEO de MikroTik Xperts Chile

• Co-Fundador y CEO de WiDuit

• MikroTik Certified Trainer • MTCNA, MTCTCE, MTCWE

Gustavo Angulo (Venezuela)

• Co-Fundador y CEO de MikroTik Xperts Venezuela

• Co-Fundador y CTO de WiDuit

• MikroTik Certified Trainer • MTCNA, MTCTCE, MTCWE • Cisco CCNA Trainer

Luis Cuadrado (Ecuador)

• Ubiquiti airMAX Certified Trainer

Miguel Ojeda (Ecuador)

• Co-Fundador y CTO de MikroTik Xperts

• MikroTik Certified Trainer

• MTCNA, MTCTCE, MTCWE, MTCRE • DenwaIP Certified Trainer

Mauro Escalante (Ecuador)

• Co-Fundador y CEO de MikroTik Xperts

• Co-Fundador y CEO de Network Xperts

• MikroTik Certified Trainer

• MTCNA, MTCTCE, MTCWE, MTCRE • Ubiquiti airMAX Certified Trainer

• Observer/Sniffer Certified Engineer

3

(4)

Consultores Academy Xperts

Alejandro Teixeira (Chile)

• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE

Gustavo Angulo (Venezuela)

• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE • Cisco CCNA, Cisco Security

Hamzah Haji (Panamá)

• MikroTik MTCNA, MTCTCE, MTCRE

Luis Cuadrado (Ecuador)

• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE • Ubiquiti airMAX Certified Admin

Miguel Ojeda (Ecuador)

• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE • DenwaIP Certified

• Ubiquiti airMAX Certified Admin

Mauro Escalante (Ecuador)

• MikroTik MTCNA, MTCTCE, MTCWE, MTCRE • Ubiquiti airMAX Certified Admin

• Observer/Sniffer Certified Engineer

Pedro Toribio (Nicaragua, Costa Rica, Honduras)

• MikroTik MTCNA, MTCTCE

José Alfredo García (Bolivia)

(5)

Introducción Personal

Presentarse individualmente

• Nombre • Compañía

• Conocimiento previo sobre RouterOS • Conocimiento previo sobre networking • Qué espera de este curso?

Recuerde su número N de clase

Mi número es: _____

5

(6)

Horario

09:00 – 10:30 Sesión I 10:30 – 11:00 Break 11:00 – 13:00 Sesión II 13:00 – 14:00 Lunch 14:00 – 15:30 Sesión III 15:30 – 16:00 Break 16:00 – 17:30+ Sesión IV

(7)

Objetivos del Curso

•

Conocer los alcances y capacidades del RouterOS y del RouterBoard de MikroTik

•

Conocer, practicar y operar los principios básicos del

RouterOS, tanto en configuración y mantenimiento como en resolución de problemas

•

Al terminar el curso el alumno estará familiarizado con la mayoría de las características del RouterOS y será capaz de aplicar las configuraciones de red más comunes

7

(8)

Sobre MikroTik

•

Fabricante de hardware y software de router

•

Productos usados por ISPs, PYMES, y para Home

•

MikroTik fabrica tecnología para internet más rápida,

potente y de un costo adecuado para un amplio rango de usuarios • www.mikrotik.com • www.routerboard.com • wiki.mikrotik.com • tiktube.com • forum.mikrotik.com • en.wikipedia.org/wiki/MikroTik

Industry Networking hardware Founded 1995

Headquarters Riga, Latvia Key people John Tully, CEO

Arnis Riekstins, CTO Products Routers, Firewalls

Revenue 62.5 million Euros (2011) Net income 20.6 million Euros (2011) Employees 80 (2012)

(9)

Where is MikroTik ?

9

Riga, LATVIA, Northern Europe

(10)

Historia de MikroTik

•

1995: Fundación

•

1997: RouterOS software para x86 (PC)

•

2002: Nace RouterBOARD

•

2006: Primer MUM (MikroTik User Meeting)

Fechas de liberación de las versiones de RouterOS

• V6 – May 2013 • v5 – Mar 2010 • v4 – Oct 2009 • v3 – Jan 2008

(11)

Qué es MikroTik RouterOS ?

11

• Hardware • Configuración • Firewall • Routing • Forwarding • MPLS • VPN • Wireless • HotSpot

• Calidad de Servicio (QoS)

• Web Proxy

• Herramientas

• The Dude

(12)

Qué es RouterOS ?

•

MikroTik RouterOS es el sistema operativo del hardware Mikrotik RouterBOARD

•

Puede también ser instalado en un PC para convertirlo en un router con todas las características necesarias:

•

Routing

•

Firewall

•

Administrador de ancho de banda

•

Filtro de paquetes

•

Cualquier dispositivo wireless 802.11a/b/g/n

•

Enlace backhaul

•

Gateway Hotspot

•

VPN server, etc.

•

EL RouterOS es un sistema operativo stand-alone basado en el kernel de Linux2.6

(13)

Qué es RouterOS?

–

(

Hardware

)

• RouterOS puede instalarse en PCs y otros dispositivos de hardware compatibles x86, como tarjetas embebidas y sistemas miniITX.

• RouterOS soporta computadores multi-core y multi-CPU. Soporta Multiprocesamiento Simétrico (*SMP: Symmetric Multiprocessing)

• Se puede ejecutar en los motherboards Intel más recientes y aprovechar los nuevos CPUs multicore

• RouterOS soporta la instalación en dispositivos de almacenamiento IDE, SATA y USB. Esto incluye:

• HDDs

• Tarjetas CF y SD • Discos SDD

• Se necesita al menos 64MB de espacio para instalar RouterOS.

• El RouterOS formateará la partición y se convertirá en el sistema operativo por default del dispositivo

• Soporta una gran variedad de interfaces de red, incluyendo tarjetas ethernet de 10 Gigabit, tarjetas wireless 802.11a/b/g/n y modems 3G

13

(14)

• SMP

**(*)**

• Symmetric MultiProcessing

• Es una arquitectura de Software y hardware donde dos o más procesadores idénticos son conectados a una simple memoria

compartida, teniendo acceso a todos los dispositivos I/O (entrada y salida), y que son controlados por una simple instancia del OS

(Sistema Operativo), en el cual todos los procesadores son tratados en forma igualitaria, sin que ninguno sea reservado para propósitos especiales.

• En el caso de los procesadores multi-core (multi-núcleo), la arquitectura SMP se aplica a los núcleos, tratándolos como procesadores separados.

(15)

Qué es RouterBOARD ?

•

Es el hardware creado por MikroTik

•

Desde pequeños ruteadores tipo “home” a concentradores de acceso carrier-class

15

(16)

Plataformas

Arquitectura Series

mipsbe RB400, RB700, RB900, RB2011, SXT, OmniTik, Groove, METAL

ppc RB300, RB600, RB800, RB1000 x86 PC / x86, RB230

mipsle RB100, RB500, RB Crossroads tile CCR

(17)

Acceso al Router por primera vez

Cable

Null Modem _EthernetCable

17

(18)

(19)

19

Acceso por Puerto Serial

(

Bootloader

)

What do you want to configure?

d - boot delay k - boot key s - serial console n - silent boot o - boot device u - cpu mode f - cpu frequency r - reset booter configuration e - format nand g - upgrade firmware i - board info p - boot protocol b - booter options t - call debug code l - erase license x - exit setup

your choice:

(20)

(21)

/system console - /system serial-terminal

• Herramientas para comunicarse con otros sistemas que están interconectados vía puerto serial.

• Terminal Serial – monitorear y configurar muchos dispositivos:

• Modems

• Dispositivos de red (incluyendo routers MikroTik)

• Cualquier dispositivo que se pueda conectar a un puerto serial (asíncrono)

• Consola Serial – configurar facilidades de acceso directo (monitor/teclado y puerto serial) que son mayormente usados para configuraciones de

recuperación

• Si no se desea usar un puerto serial para acceder a otro dispositivo o para conexión de datos a través de un modem, se puede entonces configurarlo como una consola serial.

• Un puerto serial libre puede ser usado para acceder a otras consolas seriales de otros routers (u otros equipos como switches) desde un router MikroTik

21

(22)

• Para conectar dos hosts (ej: dos PCs o dos routers; NO modems) se necesita un cable null-modem

• Se necesita un programa de emulación de terminal (ej: HyperTerminal o minicom) para acceder a la consola serial desde otro computador

• Escenarios típicos:

• En sitios donde una instalación MikroTik wireless está junto a un equipo (switches y routers Cisco) que no pueden ser manejados por Telnet a través de una red IP

• Monitorear equipos de reportes de clima a través de un puerto serial • Conexión a un modem microonda de alta velocidad que necesita ser

monitoreado y administrado por una conexión serial

• La funcionalidad /system serial-terminal se pueden monitorear y controlar hasta 132 dispositivos (y tal vez, incluso más)

• http://wiki.mikrotik.com/wiki/Manual:System/Serial_Console

(23)

• Special Login – puede ser usado para acceder a otro dispositivo (ej: un switch) que está conectado a través de un cable serial abriendo una sesión telnet/ssh que lo llevará directamente a ese dispositivo sin tener que hacer login la

primer RouterOS

• http://wiki.mikrotik.com/wiki/Manual:Special_Login

23

(24)

Herramientas

•

Winbox

•

Acceso en capa 3

•

Acceso en capa 2 (MAC Winbox/Telnet)

•

Cliente FTP

•

Filezilla, WSftp…

•

Telnet, SSH

•

Acceso vía red

•

Acceso vía puerto serial

(25)

• RouterOS soporta varios métodos de

configuración:

• Acceso local con teclado y monitor

• Consola serial con una aplicación de terminal • Acceso Telnet y SSH sobre redes

• Herramienta de configuración GUI llamada Winbox • Interfaz de configuración sencilla basada en Web • Interfaz de programación API para construir una

aplicación de control propietaria

http://wiki.mikrotik.com/wiki/API

25

(26)

• En caso de que no se pueda tener acceso local, o de que haya un problema con el acceso a nivel de comunicación IP (capa 3), el RouterOS también soporta conexión a nivel de MAC (capa 2), con las herramientas Mac-Telnet y Winbox • RouterOS posee una poderosa y fácil de aprender interface

de configuración por línea de comando (CLI: Command Line Interface). La CLI además tiene capacidades de scripting

integrada.

• Winbox GUI sobre IP y MAC

• CLI con Telnet, SSH, consola Local y consola Serial • API para programar sus propias herramientas

• Interface Web

(27)

• El Firewall implementa filtrado de paquetes y de este modo provee funciones de seguridad, que son usadas para administrar los datos que fluyen hacia, desde, y a través del router.

• Por medio del NAT (Network Address Translation) se previene el acceso no-autorizado a las redes conectadas directamente y al router en sí

mismo. Y también sirve como un filtro para el tráfico de salida. • RouterOS funciona como un Stateful Firewall, lo cual significa que

desarrolla una inspección del estado de los paquetes, y realiza el

seguimiento del estado de las conexiones de red que viajan a través del router.

• RouterOS también soporta:

• Source y Destination NAT

• NAT Helpers para las aplicaciones populares • UPnP

• El firewall provee marcado interno de conexiones, routing y paquetes.

27

(28)

• RouterOS puede filtrar por:

• Dirección IP, rango de direcciones, puerto, rango de puertos • Protocolo IP, DSCP y otros parámetros

• Soporta Listas de Direcciones estáticas y Dinámicas

• Puede hacer match de paquetes por patrón en su contenido, especificado en Expresiones Regulares, conocido como Layer 7 matching

• El Firewall de RouterOS también soporta IPv6

(29)

• RouterOS soporta varios protocolos de ruteo:

• Para IPv4 soporta RIP v1 y v2, OSPF v2, BGP v4 • Para IPv6 soporta RIPng, OSPF v3 y BGP

• RouterOS tambien soporta

• VRF (Virtual Routing Forwarding) • Ruteo basado en Políticas

• Ruteo basado en Interface • Ruteo ECMP

• Se puede usar el Filtro del Firewall para marcar conexiones específicas con Marcas de Ruteo (Routing Marks), y hacer que el tráfico marcado use un diferente ISP

• Con el soporte MPLS se introdujo el VRF, que es una tecnología que permite que múltiples instancias de una tabla de ruteo co-existan dentro del mismo router al mismo tiempo. Puesto que las instancias de ruteo son

independientes, las mismas direcciones IP pueden ser usadas sin conflicto unas con otras. VRF también incrementa la seguridad de la red.

29

(30)

• RouterOS soporta el reenvío (forwarding) en Capa 2, incluyendo Bridging, Mesh y WDS.

• WDS permite crear cobertura de wireless usando múltiples APs. Permite que los paquetes pasen de un AP a otro, como si los APs fuesen puertos en un switch Ethernet. Para optimizar el desempeño del WDS redes de gran escala MikroTik diseñó una interface especial de forwarding en capa 2 llamado Mesh.

• (R)STP elimina la posibilidad de la que la misma dirección MAC sea vista en múltiples puertos bridge, deshabilitando los puertos secundarios hacia esa dirección MAC. Esto ayuda a evitar los lazos (loops) y mejora la

confiabilidad de la red. Una alternativa que ofrece MikroTik al RSTP es el HWMP+

• HWMP+ es protocolo de ruteo específico en capa 2 de MikroTik, elaborado para redes Mesh. El protocolo HWMP+ es una mejora del Hybrid Wireless

Mesh Protocol (HWMP) del estándar IEEE 802.11s

(31)

• MPLS: MultiProtocol Label Switching. Puede ser usado para reemplazar el

ruteo IP. La decisión de reenvío (forwarding) de paquetes no está basado en los campos de la cabecera IP y en la tabla de ruteo, sino en etiquetas (lables) que se agregan al paquete. Esto mejora la velocidad del proceso de reenvío porque el next hop lookup (búsqueda del siguiente salto) se vuelve muy simple comparado con el routing lookup.

• El principal beneficio de MPLS es la eficiencia en el proceso de forwarding. • MPLS permite de una manera fácil crear “enlaces virtuales” (virtual links)

entre los nodos de la red, independientemente del protocolo de la data encapsulada.

• Es un mecanismo altamente escalable para llevar datos,

independientemente del protocolo. Las decisiones del reenvío de paquetes se hacen únicamente en el contenido de la etiqueta, sin la necesidad de examinar el paquete. Esto permite crear circuitos end-to-end a través de cualquier tipo de medio de transporte, usando cualquier protocolo.

31

(32)

• Algunas de las características de MPLS:

• Etiquetas Estáticas de vinculación (Static label bindings) para IPv4

• Protocolo de Distribución de Etiquetas (Label Distribution) para IPv4

• Túneles de Ingeniería de Tráfico RSVP

• VPLS MP-BGP basado en autodiscovery y señalización • MP-BGP basado en MPLS IP VPN

(33)

• RouterOS soporta varios métodos VPN y protocolos de túneles para establecer conexiones seguras sobre redes abiertas o sobre internet, o para conectar sitios remotos con enlaces

encriptados:

• IPSec – Modo de transporte y túnel, certificado o PSK, protocolos de seguridad AH y ESP

• Point To Point Tunneling: OpenVPN, PPTP, PPPoE, L2TP • Características avanzadas PPP: MLPPP, BCP

• Túneles simples: IPIP, EoIP

• Soporte para túnel 6to4: IPv6 sobre redes IPv4

• VLAN – Soporte IEEE 802.1q Virtual LAN, Soporte Q-in-Q • MPLS basado en VPNs

33

(34)

• Se puede interconectar de forma segura redes bancarias, usar los recursos de la red de trabajo mientras se viaja, conectarse a la red local doméstica, o incrementar la seguridad del enlace wireless principal.

• Se pueden interconectar 2 oficinas remotas, y pueden usar los recursos una de otra, como si los computadores estuvieran en el mismo lugar, todo esto de forma segura y encriptada.

• RouterOS también provee varias funciones propietarias de MikroTik, por ejemplo EoIP que es un túnel Ethernet entre 2 routers a través de una conexión IP. La interface EoIP aparece como una interface Ethernet. Cuando se habilita la función bridge, todo el tráfico Ethernet será

“bridged” como si hubiera una interface Ethernet física y un cable

Ethernet entre los 2 routers. Este protocolo permite que se puedan

realizar múltiples esquemas de red, como por ejemplo la posibilidad de poner en bridge redes LAN sobre el Internet.

(35)

• RouterOS soporta varias tecnologías Wireless. Características: • Cliente Wireless y Access Point IEEE 802.11a/b/g/n

• Protocolos propietarios Nstreme, Nstreme2 y Nstreme Dual • Client polling

• RTS/CTS

• Wireless Distribution System (WDS) • Virtual AP

• Encripción WEP, WPA, WPA2 • Lista de Control de Acceso • Roaming de clientes Wireless • WMM

• Protocolo MESH Wireless HWMP+ • Protocolo de ruteo Wireless MME

• Nstreme ha permitido establecer el record de longitud de enlace WiFi no aplificado en Italia

http://en.wikipedia.org/wiki/Long-range_Wi-Fi

35

(36)

• El Gateway HotSpot de MikroTik provee el acceso a redes públicas para clientes inalámbricos o cableados a través de una pantalla de validación (login/password) cuando abren su browser. Luego de validado el user/password el usuario tendrá acceso a Internet. • Ideal para Hoteles, Escuelas, Aeropuertos, Cafés Internet, o

cualquier otro lugar público donde no se tiene control sobre la computadora del usuario. No se necesita ningún software de

instalación o configuración de red ya que el HotSpot direccionará cualquier requerimiento de conexión hacia la página de validación. • Se puede ejecutar una extensa administración de usuarios haciendo

diferentes perfiles, cada uno de los cuales puede permitir diferentes limitaciones de uptime, subida y descarga, así como también

limitación de la cantidad de tráfico, y mucho más.

(37)

• El HotSpot también soporta autenticación contra servidores RADIUS estándares, y contra el el propio User Manager de MikroTik que

proporcionará una administración centralizada de todos los usuarios en la red.

• Acceso Plug-n-Play a la red

• Autenticación de los clientes a la red local • User Accounting

• Soprote RADIUS para Autenticación y Accounting

• Bypass configurable para dispositivos no-interactivos • Walled Garden para las excepciones de browsing

• Modos de publicidad (Advertisement) y usuarios de prueba

37

(38)

• Control de Ancho de banda es un conjunto de mecanismos que controlan la asignación de velocidad de datos, variabilidad del retardo, entrega oportuna, y la fiabilidad de la entrega.

• Quality of Service (QoS) significa que el router puede priorizar y

ajustar el tráfico de red.

• Limitar la tasa de datos para ciertas direcciones IP, subredes, protocolos, puertos y otros parámetros

• Limitación de tráfico peer-to-peer

• Priorizar el flujo de unos paquetes sobre otros

• Usar queue-bursts para una navegación más rápida • Aplicar colas en intervalos de tiempo fijo

• Distribuir el tráfico equitativamente entre usuarios, o dependiendo de la carga del canal.

(39)

• RouterOS soporta el Sistema de QoS HTB (Hierarchical Token Bucket) con soporte de CIR, MIR, burst y prioridad. Provee encolamiento avanzado, y también una solución sencilla de implementación QoS con colas Simples.

• Se introdujo PCQ para optimizar los sistemas QoS masivos, donde la mayoría de las colas son exactamente las mismas para diferentes sub-streams. Por ejemplo un sub-stream puede ser la bajada o subida de un cliente en particular (IP) o conexión a un server.

• El algoritmo PCQ es muy simple – primero utiliza clasificadores para distinguir un sub-stream de otro, luego aplica limitación y un

tamaño de cola FIFO individual en cada sub-stream, entonces agrupa todos los sub-streams y aplica limitación y un tamaño de cola FIFO global.

39

(40)

• Web Proxy: Mejorar la navegación del usuario haciendo

almacenamiento (cache). Características Web Proxy MikroTik:

• Proxy HTTP

• Proxy transparente

• Lista de Acceso por origen, destino, URL y método requerido (firewall HTTP)

• Cache de Lista de Acceso para especificar qué objetos serán almacenados y cuáles no

• Lista de Acceso Directa para especificar qué recursos deberían ser accesados directamente, y cuáles a través de otro proxy server. • Facilidad de bitácora (logging)

• Soporte de SOCKS proxy

• Soporte de proxy Padre (Parent proxy)

• Almacenamiento de cache en dispositivos externos

(41)

• RouterOS provee herramientas para ayudar a administrar la red, y para optimizar las tareas diarias. Algunas de ellas son:

• Ping, traceroute

• Bandwidth test, ping flood • Packet sniffer, torch

• Telnet, SSH

• Herramientas de envío e-mail y SMS

• Herramientas de ejecución de Scripts automatizados • CALEA data mirroring

• Herramienta File Fetch

• Tabla de conexiones activas • Cliente y Server NTP

• Server TFTP

• Actualizador de Dynamic DNS • Soporte para redundancia VRRP

• SNMP para proporcionar gráficos y estadísticas • Cliente y Server RADIUS (User Manager)

41

(42)

• El monitor de red The Dude es una aplicación de MikroTik para

administrar la red. Escanea automáticamente todos los dispositivos dentro de las subredes especificadas, dibuja y diseña un mapa de las redes, monitorea servicios de los dispositivos y alerta en caso de que algún servicio tenga problemas.

• No solo monitorea dispositivos RouterOS, sino que puede

monitorear cualquier dispositivo que es accesible por Ping o que provee información SNMP

• Se pueden visualizar gráficos de tráfico y disponibilidad, informes de interrupciones, e incluso usar The Dude como un Syslog Server

• Puede también administrar las configuraciones de dispositivos

RouterOS, y actualizar los upgrades de software y configuraciones en masa

• The Dude es gratis

(43)

• Hay 4 tipos de licencias RouterOS disponibles, indicados por un “número de nivel” (level number). El nivel más bajo es el 3, el cual tiene funcionalidad como cliente wireless y un número limitado de usuarios activos. El nivel más alto es el 6 el cual no tiene

limitaciones.

• Independientemente del nivel de licencia, todas las instalaciones

RouterOS permiten usar un número ilimitado de interfaces, incluyen soporte técnico limitado por email, y nunca paran de trabajar.

• Las licencias RouterOS permiten instalar cualquier actualización

(upgrade) que MikroTik libere. Las licencias RouterOS nunca expiran • Cada licencia está ligada a la unidad (drive) donde está instalada, lo

cual significa que cada Router necesita una licencia separada • Todos los dispositivos RouterBOARD fabricados por MikroTik ya

vienen con una licencia pre instalada y no requieren compras adicionales

43

(44)

Winbox

•

Es la aplicación para configurar el RouterOS

•

Winbox es un pequeño utilitario que permite la administración del MikroTik RouterOS usando una Interfaz gráfica de usuario (GUI) simple y rápida.

•

Es un programa binario nativo en Win32, pero puede ser ejecutado en Linux y Mac OSX usando Wine.

•

Todas las funciones de la interface Winbox son muy similares a las funciones de Consola

•

Algunas configuraciones avanzadas y críticas no se pueden realizar desde Winbox, com por ejemplo el cambio de las MAC Address en una interfaz.

•

El Winbox puede ser descargado desde la zona de descargas de MikroTik (

http://www.mikrotik.com/download ) o desde el acceso via browser al router (Ej: http://192.168.88.1 )

(45)

Descargar Winbox

45

(46)

(47)

Conectándose con Winbox

Click en el botón [...] para ver el router

47

(48)

Comunicación

•

El proceso de comunicación está dividido en 7 capas

•

La capa más baja es la Física, y la capa más alta es la de Aplicación

(49)

49

(50)

(51)

51

(52)

Aplicación

Especifica los métodos para llevar a cabo una tarea iniciada por el usuario.

Los protocolos de la capa de aplicación tienden a ser concebidos y ejecutados por los desarrolladores de aplicaciones. Ejemplo: FTP, Skype, etc.

Presentación

Especifica los métodos para la expresión de los formatos de datos y normas de traducción para aplicaciones. La encriptación se asocia algunas veces con esta capa. Ejemplo: Conversión de EBCDIC a ASCII

Sesión

Especifica métodos para múltiples conexiones que constituyen una sesión de comunicación. Esto puede incluir cerrar conexiones, reiniciar conexiones y puntos de control. Ejemplo: ISO X.25

Transporte

Especifica los métodos para las conexiones o asociaciones entre múltiples programas que se ejecutan en el mismo computador. Esta capa puede implementar entregas seguras en caso de que no se apliquen en otros lados. Ejemplo: Internet TCP, ISO, TP4)

Network (o Internetwork)

Especifica los métodos para comunicar en un esquema de múltiples saltos a través de diferentes potenciales tipos de redes de enlace. Para redes de paquetes, describe un formato de paquete abstracto y su estructura de direccionamiento estándar. Ejemplo: IP datagram, X.25 PLP, ISO CLNP

Enalce

Especifica los métodos para comuncarse a través de un simple enlace, incluyendo protocolos de “control de acceso al medio” cuando múltiples sistemas comparten el mismo medio. La detección de error se incluye comunmente en esta capa, junto con formatos de dirección de la capa de enlace. Ejemplo: Ethernet, Wi-Fi, ISO 13239/HDLC.

Física

Especifica los conectores, tasas de datos, y la forma en que los bits son codificados en algún medio. También describe detección y corrección de bajo nivel, más asignaciones de frecuencia. Ejemplo: V.92, Ethernet 1000BASE-T, SONET/SDH

(53)

MAC address

53

• Es un identificador de 48 bits (6 bloques hexadecimales) que se asigna de forma única a una tarjeta o dispositivo de red.

• Conocida también como dirección física

• Los últimos 24 bits son determinados y configurados por la IEEE, y los primeros 24 bits por el fabricante utilizando el Identificador Unico Organizacional (OUI: Organizationally Unique Identifier)

• El OUI es un número de 24 bits comprado a la Autoridad de Registro de la IEEE, que identifica a cada empresa u organización

(54)

IP

•

Es la dirección lógica del dispositivo de red

•

Se utiliza para la comunicación entre redes

•

Ejemplo: 159.148.60.20

(55)

Subredes (subnets)

•

Rango de direcciones IP lógicas que divide la red en segmentos

•

Ejemplo: 255.255.255.0 o /24

•

La dirección de red es la primera dirección IP de la subred

•

La dirección de broadcast es la última dirección IP de la subred

•

Estas son reservadas y no pueden ser utilizadas

(56)

Subredes (subnets)

200.3.25.0 /27

(57)

©Academy Xperts / MikroTik Xperts 2013 57

CIDR Subnet Mask Hosts Disponibles

CIDR Subnet Mask Hosts Disponibles /32 255.255.255.255 /23 255.255.254.0 512 – 2 /30 255.255.255.252 4 – 2 /22 255.255.252.0 1024 – 2 /29 255.255.255.248 8 – 2 /21 255.255.248.0 2048 – 2 /28 255.255.255.240 16 – 2 /20 255.255.240.0 4096 – 2 /27 255.255.255.224 32 – 2 /19 255.255.224.0 8192 – 2 /26 255.255.255.192 64 – 2 /18 255.255.192.0 16384 – 2 /25 255.255.255.128 128 – 2 /17 255.255.128.0 32768 – 2 /24 255.255.255.0 256 – 2 /16 255.255.0.0 65536 – 2

El prefijo de ruteo está expresado en notación CIDR. Está escrito como la primera dirección de una red, seguido por un caracter slash (/), terminando con la longitud de bit del prefijo. Por ejemplo,

192.168.1.0/24 es el prefijo de la red IPv4 que inicia en la dirección indicada, teniendo 24 bits

asignados para el prefijo de red, y los 8 bits remanentes reservados para direccionamiento de host.

La notación CIDR es una especificación compacta de una dirección IP y está asociada con un prefijo de ruteo. Classless Inter-Domain Routing (CIDR) es una asignación de dirección IP y una

metodología de agregación de ruta.

(58)

Ejemplo de Selección de dirección IP

•

Los clientes usan subredes de diferentes máscaras /25 y /26

•

A tiene la dirección IP 192.168.0.200/26

•

B usa el subnet mask (máscara de red) /25

Las direcciones disponibles son:

192.168.0.129 - 192.168.0.254

•

B no debería usar 192.168.0.129 - 192.168.0.192

•

B debería usar las siguientes direcciones IP para que se

puedan ver la estación A y las estaciones de B 192.168.0.193 - 192.168.0.254/25

(59)

Laboratorio de Conexión

•

Hacer Click en la Mac-Address en Winbox

•

Default username “admin” sin clave

(60)

Diagrama de Clase

internet ether 10.1.1.2 /30 10.1.1.6 /30 10.1.1.10 /30 …… Gateway DNS ether1 10.1.1.1 /30 ether2 192.168.N.254 /24 192.168.N.1 /24 (N = 1) ether2 192.168.N.254 /24 192.168.N.1 /24 (N = 2) ether2 192.168.N.254 /24 192.168.N.1 /24 (N = 3) ether1 10.1.1.5 /30 ether1 10.1.1.6 /30

(61)

Laptop - Router

1.

Deshabilitar cualquier interface (wireless) en su laptop

2.

Configurar la dirección IP 192.168.

N

.1

3.

Configurar 255.255.255.0 como la Subnet Mask

4.

Configurar 192.168.

N

.254 como el Default Gateway y como DNS Server primario

(62)

Laptop - Router

1.

Conectarse al router con MAC-Winbox

2.

Agregar la dirección IP 192.168.N.254/24 a la interface ether2

(63)

Laptop - Router

•

Cierre el Winbox y conéctese de nuevo usando la dirección IP

•

El acceso por MAC-address debería

realizarse solo cuando no hay acceso por dirección IP

(64)

Router - Internet

•

La puerta de acceso (gateway) a Internet de su clase se puede acceder a través del

wireless. Es un AP (Access Point)

•

Para conectarse usted tiene que configurar la interface wireless del router como station

(65)

Router - Internet

Chequear la conectividad a Internet usando Traceroute

(66)

Laptop - Internet

Su router puede ser también un DNS Server para la red local (laptop)

(67)

Laptop - Internet

•

Debe configurar su laptop para que use a su router como DNS Server

•

Ingrese la IP del router (192.168.N.254) como el DNS Server

•

La Laptop puede acceder al router y el router puede acceder al Internet. Se requiere un paso adicional.

•

Debe crear una regla de enmascaramiento

(action=masquerade) para ocultar su red privada detrás del router.

(68)

Private and Public space

•

Masquerade is used for Public network access, where

private addresses are present

•

Private networks include

•

10.0.0.0 - 10.255.255.255 (10.0.0.0 /8)

•

172.16.0.0 - 172.31.255.255 (172.16.0.0 /12)

(69)

Laptop - Internet

(70)

Check Connectivity

(71)

What Can Be Wrong

•

Router cannot ping further than AP

•

Router cannot resolve names

•

Computer cannot ping further than router

•

Computer cannot resolve names

•

Is masquerade rule working

•

Does the laptop use the router as default gateway and DNS

(72)

Network Diagram

Your Router

Your Laptop Class AP

192.168.X.1 192.168.X.254

(73)

User Management

•

Access to the router can be controlled

•

You can create different types of users

(74)

User Management Lab

•

Add new router user with full access

•

Make sure you remember user name

•

Make admin user as read-only

(75)

Upgrading Router Lab

•

Download packages from ftp://192.168.200.254

•

Upload them to router with Winbox

•

Reboot the router

•

Newest packages are always available on

www.mikrotik.com

(76)

Upgrading Router

•

Use combined RouterOS package

•

Drag it to the Files window

(77)

Package Management

RouterOS

functions are enabled by packages

(78)

(79)

Package Lab

•

Disable wireless

•

Reboot

•

Check interface list

•

Enable wireless

(80)

Router Identity

(81)

Router Identity

Identity information is shown in different places

(82)

Router Identity Lab

(83)

NTP

•

Network Time Protocol, to synchronize time

•

NTP Client and NTP Server support in

RouterOS

(84)

Why NTP

•

To get correct clock on router

•

For routers without internal memory to save clock information

(85)

NTP Client

NTP package is not required

(86)

Configuration Backup

•

You can backup and restore configuration in the Files menu of Winbox

(87)

Configuration Backup

•

Additionally use export and import commands in CLI

•

Export files are editable

•

Passwords are not saved with export /export file=conf-august-2009

/ ip firewall filter export file=firewall-aug-2009 / file print

/ import [Tab]

(88)

Backup Lab

•

Create Backup and Export files

•

Download them to your laptop

•

Open export file with text editor

(89)

Netinstall

•

Used for installing and reinstalling RouterOS

•

Runs on Windows computers

•

Direct network connection to router is required or over switched LAN

•

Available at www.mikrotik.com

(90)

Netinstall

1.

List of routers

2.

Net Booting

3.

Keep old configuration

4.

Packages

5.

Install

(91)

Optional Lab

•

Download Netinstall from ftp://192.168.100.254

•

Run Netinstall

•

Enable Net booting, set address 192.168.x.13

•

Use null modem cable and Putty to connect

•

Set router to boot from Ethernet

(92)

RouterOS License

•

All RouterBOARDs shipped with license

•

Several levels available, no upgrades

•

Can be viewed in system license menu

•

License for PC can be purchased from

(93)

License

(94)

Obtain License

Login to your account

(95)

Update License for 802.11N

•

8-symbol software-ID system is introduced

•

Update key on existing routers to get full features support (802.11N, etc.)

(96)

(97)

Useful Links

•

www.mikrotik.com - manage licenses, documentation

•

forum.mikrotik.com - share experience with other users

•

wiki.mikrotik.com - tons of examples

(98)

(99)

Firewall

•

Protects your router and clients from unauthorized access

•

This can be done by creating rules in Firewall Filter and NAT facilities

(100)

Firewall Filter

•

Consists of user defined rules that work on the IF-Then principle

•

These rules are ordered in Chains

•

There are predefined Chains, and User created Chains

(101)

Filter Chains

•

Rules can be placed in three default chains

•

input (to router)

•

output (from router)

•

forward (trough the router)

(102)

Firewall Chains

Input Winbox Forward WWW E-Mail Output

(103)

Firewall Chains

(104)

Input

•

Chain contains filter rules that protect the

router itself

(105)

Input

Add an accept rule for your Laptop IP

address

(106)

Input

Add a drop rule in input chain to drop everyone else

(107)

Input Lab

•

Change your laptop IP address, 192.168.x.y

•

Try to connect. The firewall is working

•

You can still connect with MAC-address,

Firewall Filter is only for IP

(108)

Input

•

Access to your router is blocked

•

Internet is not working

•

Because we are blocking DNS requests as well

•

Change configuration to make Internet working

(109)

Input

•

You can disable MAC access in the MAC Server menu

•

Change the Laptop IP address back to 192.168.X.1, and connect

(110)

Address-List

•

Address-list allows you to filter group of the addresses with one rule

•

Automatically add addresses by address-list and then block

(111)

Address-List

•

Create different lists

•

Subnets, separates ranges, one host addresses are supported

(112)

Address-List

•

Add specific host to address-list

•

Specify timeout for temporary service

(113)

Address-List in Firewall

•

Ability to block by source and destination addresses

(114)

Address-List Lab

•

Create address-list with allowed IP addresses

•

Add accept rule for the allowed addresses

(115)

Forward

•

Chain contains rules that control packets going trough the router

•

Control traffic to and from the clients

(116)

Forward

•

Create a rule that will block

TCP port 80 (web browsing)

•

Must select

protocol to block ports

(117)

Forward

•

Try to open www.mikrotik.com

•

Try to open http://192.168.X.254

•

Router web page works because drop rule is for chain=forward traffic

(118)

(119)

Forward

Create a rule that will block client’s p2p traffic

(120)

Firewall Log

•

Let’s log client

pings to the router

•

Log rule should be

added before other

(121)

Firewall Log

(122)

Firewall chains

•

Except of the built-in chains (input, forward, output), custom chains can be created

•

Make firewall structure more simple

•

Decrease load of the router

(123)

Firewall chains in Action

•

Sequence of the firewall custom chains

•

Custom chains can be for viruses, TCP, UDP protocols, etc.

(124)

Firewall chain Lab

•

Download viruses.rsc from router (access by FTP)

•

Export the configuration by import command

(125)

Connections

(126)

Connection State

•

Advise, drop invalid connections

•

Firewall should proceed only new packets, it is recommended to exclude other types of states

•

Filter rules have the “connection state” matcher for this purpose

(127)

Connection State

•

Add rule to drop invalid packets

•

Add rule to accept established packets

•

Add rule to accept related packets

•

Let Firewall to work with new packets only

(128)

(129)

Network Address

Translation

(130)

NAT

•

Router is able to change Source or

Destination address of packets flowing

trough it

(131)

SRC-NAT

SRC-Address New

SRC-Address

Your Laptop Remote Server

(132)

DST-NAT

DST-Address New DST-Address

Private Network

(133)

NAT Chains

•

To achieve these scenarios you have to order your NAT rules in appropriate chains: dstnat or srcnat

•

NAT rules work on IF-THEN principle

(134)

DST-NAT

•

DST-NAT changes packet’s destination address and port

•

It can be used to direct internet users to a server in your private network

(135)

DST-NAT Example

DST-Address 207.141.27.45:80 New DST-Address 192.168.1.1:80 Web Server 192.168.1.1 Some Computer

(136)

DST-NAT Example

Create a rule to forward traffic to WEB server in private network

(137)

Redirect

•

Special type of DST-NAT

•

This action redirects packets to the router itself

•

It can be used for proxying services (DNS, HTTP)

(138)

Redirect example

DST-Address Configured_DNS_Server:53 New DST-Address Router:53 DNS Cache

(139)

Redirect Example

•

Let’s make local users to use

Router DNS cache

•

Also make rule

for udp protocol

(140)

SRC-NAT

•

SRC-NAT changes packet’s source address

•

You can use it to connect private network to

the Internet through public IP address

•

Masquerade is one type of SRC-NAT

(141)

Masquerade

Src Address 192.168.X.1 Src Address router address 192.168.X.1 Public Server

(142)

SRC-NAT Limitations

•

Connecting to internal servers from outside is not possible (DST-NAT needed)

•

Some protocols require NAT helpers to work correctly

(143)

NAT Helpers

(144)

Firewall Tips

•

Add comments to your rules

(145)

Connection Tracking

•

Connection tracking manages information about all active connections.

•

It should be enabled for Filter and NAT

(146)

(147)

Torch

Detailed actual traffic report for interface

(148)

Firewall Actions

•

Accept

•

Drop

•

Reject

•

Tarpit

•

log

•

add-src-to-address-list(dst)

•

Jump, Return

•

Passthrough

(149)

NAT Actions

•

Accept

•

DST-NAT/SRC-NAT

•

Redirect

•

Masquerade

•

Netmap

(150)

(151)

Bandwidth Limit

(152)

Simple Queue

•

The easiest way to limit bandwidth:

•

client download

•

client upload

(153)

Simple Queue

•

You must use Target-Address for Simple Queue

•

Rule order is important for queue rules

(154)

Simple Queue

•

Let’s create limitation for your laptop

•

64k Upload, 128k Download Client’s address Limits to configure

(155)

Simple Queue

•

Check your limits

•

Torch is showing bandwidth rate

(156)

Using Torch

•

Select local network interface

•

See actual bandwidth Set Interface Set Laptop Address Check the Results

(157)

Specific Server Limit

•

Let’s create bandwidth limit to MikroTik.com

•

DST-address is

used for this

•

Rules order is

important

(158)

Specific Server Limit

•

Ping www.mikrotik.com

•

Put MikroTik address to DST-address

•

MikroTik address can be used as Target-address too MikroTik.com Address

(159)

Specific Server Limit

•

DST-address is useful to set unlimited access to the local network resources

•

Target-address and DST-addresses can be vice versa

(160)

Bandwidth Test Utility

•

Bandwidth test can be used to monitor throughput to remote device

•

Bandwidth test works between two MikroTik routers

•

Bandwidth test utility available for Windows

•

Bandwidth test is available on MikroTik.com

(161)

Bandwidth Test on Router

•

Set Test To as testing address

•

Select protocol

•

TCP supports multiple connections

•

Authentication might be required

(162)

Bandwidth Server

•

Set Test To as testing address

•

Select protocol

•

TCP supports multiple connections

(163)

Bandwidth Test

•

Server should be enabled

•

It is advised to use enabled

Authenticate

(164)

Traffic Priority

•

Let’s configure

higher priority for queues

•

Priority 1 is higher than 8

•

There should be at least two priority

Select Queue Priority is in Advanced Tab Set Higher Priority

(165)

Simple Queue Monitor

•

It is possible to get graph for each queue simple rule

•

Graphs show how much traffic is passed trough queue

(166)

Simple Queue Monitor

Let’s enable graphing for Queues

(167)

Simple Queue Monitor

•

Graphs are available on WWW

•

To view graphs http://router_I P

•

You can give it to your

customer

(168)

(169)

Mangle

•

Mangle is used to mark packets

•

Separate different type of traffic

•

Marks are active within the router

•

Used for queue to set different limitation

•

Mangle do not change packet structure

(except DSCP, TTL specific actions)

(170)

(171)

Mangle Actions

•

Mark-connection uses connection tracking

•

Information about new connection added to connection tracking table

•

Mark-packet works with packet directly

•

Router follows each packet to apply

mark-packet

(172)

Optimal Mangle

(173)

Optimal Mangle

•

Mark new connection with mark-connection

•

Add mark-packet for every mark-connection

(174)

Mangle Example

•

Imagine you have second client on the router network with 192.168.X.55 IP address

•

Let’s create two different marks (Gold, Silver), one for your computer and second for

(175)

Mark Connection

(176)

(177)

Mangle Example

•

Add Marks for second user too

•

There should be 4 mangle rules for two groups

(178)

Advanced Queuing

•

Replace hundreds of queues with just few

•

Set the same limit to any user

(179)

PCQ

•

PCQ is advanced Queue type

•

PCQ uses classifier to divide traffic (from client point of view; src-address is upload,

dst-address is download)

(180)

PCQ, one limit to all

•

PCQ allows to set one limit to all users with one queue

(181)

One limit to all

•

Multiple queue rules are changed by one

(182)

PCQ, equalize bandwidth

(183)

Equalize bandwidth

•

1M upload/2M download is shared between users

(184)

PCQ Lab

•

Teacher is going to make PCQ lab on the router

•

Two PCQ scenarios are going to be used with mangle

(185)

Summary

(186)

(187)

What is Wireless

•

RouterOS supports various radio modules that allow communication over the air

(2.4GHz and 5GHz)

•

MikroTik RouterOS provides a complete support for IEEE 802.11a, 802.11b and 802.11g wireless networking standards

(188)

Wireless Standards

•

IEEE 802.11b - 2.4GHz frequencies, 11Mbps

•

IEEE 802.11g - 2.4GHz frequencies, 54Mbps

•

IEEE 802.11a - 5GHz frequencies, 54Mbps

•

IEEE 802.11n - draft, 2.4GHz - 5GHz

(189)

802.11 b/g Channels

1 2 3 4 5 6 7 ₈ 9 10 11 2400

2483

•

(11) 22 MHz wide channels (US)‏

•

3 non-overlapping channels

•

3 Access Points can occupy same area without interfering

(190)

802.11a Channels

36 40 5150 44 48 52 56 60 64 5350 5180 5200 5220 5240 5260 5280 5300 5320 5210 5250 5290 149 153 5735 157 161 5745 5765 5785 5805 5815 5760 5800 58 50 42 152 160

•

(12) 20 MHz wide channels

(191)

Supported Bands

All 5GHz (802.11a) and 2.4GHz (802.11b/g), including small channels

(192)

Supported Frequencies

•

Depending on your country regulations wireless card might support

•

2.4GHz: 2312 - 2499 MHz

•

5GHz: 4920 - 6100 MHz

(193)

Apply Country Regulations

Set wireless interface to apply your country regulations

(194)

RADIO Name

•

We will use RADIO Name for the same purposes as router identity

(195)

Wireless Network

(196)

Station Configuration

•

Set Interface

mode=station

•

Select band

•

Set SSID, Wireless Network Identity

•

Frequency is not

important for client,

(197)

Connect List

•

Set of rules used by station to select access-point

(198)

Connect List Lab

•

Currently your router is connected to class access-point

•

Let’s make rule to disallow connection to class access-point

(199)

Access Point Configuration

•

Set Interface

mode=ap-bridge

•

Select band

•

Set SSID, Wireless Network Identity

•

Set Frequency

(200)

Snooper wireless monitor

•

Use Snooper to get total view of the wireless networks on used band

•

Wireless interface is disconnected at this moment