Está en la página 1de 156

Acerca de MikroTik

Fabricante de software y hardware que provee soluciones de networking.

Sus productos son usados por ISP’s, empresas y/o personas individuales para construir infraestructura tanto en la red de acceso como en la de distribución.

Actualizar las tecnologías de Internet de una manera más poderosa y al alcance de una gran cantidad de usuarios.

Historia de MikroTik

1995: Nace de una tesis universitaria, como un router básico basado en Linux.

1996: Ingresa al mundo del WISP.

1997: Desarrolla su propio software para plataforma Intel.

2002: Desarrolla su propio Hardware (RB230).

2006: Primer MUM.

Actualmente: +80 empleados en diferentes áreas (desarrollo, soporte, ventas, coordinación, etc).

Ubicación de MikroTik

Localizado en Riga, Latvia, Europa del Este.

MikroTik • Localizado en Riga, Latvia, Europa del Este. • En Internet:  www.mikrotik.com 
MikroTik • Localizado en Riga, Latvia, Europa del Este. • En Internet:  www.mikrotik.com 
MikroTik • Localizado en Riga, Latvia, Europa del Este. • En Internet:  www.mikrotik.com 

En Internet:

www.mikrotik.com

www.routerboard.com

Presentación personal

Por favor, introdúzcase a la clase.

Nombre y compañía.

Conocimientos previos en redes

Conocimientos previos en MikroTik RouterOS

Expectativas del entrenamiento

Cada alumno tendrá su propio ID para realizar los laboratorios: 10.0.ID.0/24 Por favor apunta tu ID.

Mi ID es:

MikroTik RouterOS – Conceptos Básicos –

Instalación – Licenciamiento – Actualización. Configuraciones básicas – GUI y CLI.

– Conceptos Básicos – Instalación – Licenciamiento – Actualización. Configuraciones básicas – GUI y CLI.

¿Qué es RouterOS?

Sistema operativo que convierte un dispositivo de red (RouterBoard ó PC) en:

Router dedicado: BGP, OPSF, RIP, etc.

Controlador de ancho de banda.

Filtro transparente de paquetes.

Equipo 802.11 a/b/g/n – PaP / PMP.

Concentrador de VPN.

HotSpot Gateway.

MPLS, IPv6, Multicasting.

Soporte de virtualización. y mucho más…

¿Qué es RouterBOARD?

Hardware creado por MikroTik.

Abarca un amplio rango de productos que van desde routers SOHO a Carrier Class.

Hardware creado por MikroTik. • Abarca un amplio rango de productos que van desde routers SOHO
Hardware creado por MikroTik. • Abarca un amplio rango de productos que van desde routers SOHO

Carga de licencia

Carga de licencia

Licenciamiento

Diferentes niveles de licencias:

Se almacena en disco/medio

Una licencia por instalación: SoftID

Niveles: (Level 3) | Level 4 | Level 5 | Level 6

La licencia nunca expira

Permite actualización y soporte, Up y Downgrade

Independencia de versiones de RouterOS

Embebida en los RouterBoards

Diferentes Accesos

GUI – Interfaz gráfica de usuario

WinBox / Webfig / DUDE

CLI – Interfaz de línea de comando

WinBox / Webfig / DUDE CLI – Interfaz de línea de comando • Monitor y teclado

Monitor y teclado

Puerto Serial

Telnet / Mac Telnet

SSH

Otros Medios

• Puerto Serial • Telnet / Mac Telnet • SSH Otros Medios • Server HTTP •

Server HTTP

Server FTP

API

• Puerto Serial • Telnet / Mac Telnet • SSH Otros Medios • Server HTTP •

Acceso Serial

Acceso Serial Cable Serial N u l o Cable de Red
Acceso Serial Cable Serial N u l o Cable de Red

Cable Serial Nulo

Cable de Red

Acceso Serial Cable Serial N u l o Cable de Red

WinBox

Aplicación para configurar el RouterOS en un modo mas amigable.

Puede

directamente desde cada RouterOS.

o

descargarse

de

mikrotik.com/download

el RouterOS en un modo mas amigable. • Puede directamente desde cada RouterOS. o descargarse de

WinBox

Clic en el botón […] para descubrir su router

WinBox Clic en el botón […] para descubrir su router • Por defecto atiende en TCP

Por defecto atiende en TCP 8291, nombre de usuario “admin” y sin contraseña.

Permite acceso en Capa 2 y 3.

Modelo OSI

Marco de referencia para la definición de arquitecturas de interconexión de sistemas de comunicaciones.

Modelo de red descriptivo creado en 1984 por la Organización Internacional para la Estandarización.

Contempla 7 capas, donde en cada una de ellas especifica los protocolos a utilizarse.

La menor es la capa física y la mayor es la de aplicación.

Comunicación

Comunicación

Laboratorio de Acceso

Laboratorio de Acceso • Ingrese por primera vez por Mac-Winbox buscando el router […] y haciéndole

Ingrese por primera vez por Mac-Winbox buscando el router […] y haciéndole clic en la dirección física del mismo.

Por defecto, el nombre de usuario es “admin” y no tiene password.

Reconociendo WinBox

Reconociendo WinBox

Diagrama de Conexión

AP trainer

Tu laptop

Tu router

Diagrama de Conexión AP trainer Tu laptop Tu router

Configuración de Laptop

Deshabilita la interfaz Wireless.

Asígnale la IP 10.0.ID.1/24

Asígnale el gateway 10.0.ID.254

Asígnale el DNS primario 10.0.ID.254

No hace falta asignarle DNS secundario

el gateway 10.0.ID.254 • Asígnale el DNS primario 10.0.ID.254 • No hace falta asignarle DNS secundario

Laptop – Router

Acceda al router por Mac-Winbox

Configure la IP 10.0.ID.254/24 sobre la interfaz LAN Network se autoconfigura

al router por Mac-Winbox • Configure la IP 10.0.ID.254/24 sobre la interfaz LAN • Network se

Laptop – Router

Chequee conectividad entre la laptop y el router.

Troubleshooting: verifique que la dirección se haya escrito correctamente, que la interfaz sea la correcta y que no haya firewall bloqueando la conectividad.

Cierre el Winbox e ingrese nuevamente, pero ahora por IP.

El acceso por Mac, sólo debe usarse cuando el acceso por IP no es posible.

Diagrama Router – Internet

Tu router

AP trainer

Tu laptop

192.168.X.1 192.168.X.254

Router – Internet (capa 2)

El gateway a Internet, es accesible sobre la red wireless, el cual es el Access Point del entrenador.

Para conectarse al mismo, se debe configurar la interfaz wireless de su router en modo Station.

del entrenador. • Para conectarse al mismo, se debe configurar la interfaz wireless de su router

Router – Internet (capa 2)

Para descubrir los AP, use el botón SCAN.

Seleccione “Mikrotik Training” y haga clic en CONNECT.

Cierre la ventana de SCAN.

Verifique el estado de conexión al pié de la ventana principal.

Running AP – Connected to ESS – Disabled

Router – Internet (capa 3)

La interfaz wireless también necesita una dirección IP.

El AP provee automáticamente direcciones IP por medio del protocolo DHCP.

Es necesario habilitar el DHCP–Client sobre la interfaz wireless para obtener IP, DNS y Gateway.

Router – Internet

Router – Internet • Chequee el estado del servicio y verifique si su router recibió IP,

Chequee el estado del servicio y verifique si su router recibió IP, DNS y Gateway.

Router – Internet

Verifica la conectividad a Internet mediante la herramienta Toos --> Traceroute

Router – Internet Verifica la conectividad a Internet mediante la herramienta Toos --> Traceroute

Server DNS Caché

Server DNS Caché Su router también puede ser un Server DNS caché, simplemente habilitando la opción

Su router también puede ser un Server DNS caché, simplemente habilitando la opción “allow remote requests”.

Laptop – Internet

La laptop puede acceder al router, y el router puede

acceder a Internet. Sólo falta un laptop tenga salida a Internet.

la

paso más para que

Crea una regla de MASQUERADE para “ocultar” tu red privada detrás del router. IP > Firewall > Nat > Src-Nat

una regla de MASQUERADE para “ocultar” tu red privada detrás del router. IP > Firewall >

Chequeo de Conectividad

Verifique la conectividad entre su laptop e Internet.

Chequeo de Conectividad • Verifique la conectividad entre su laptop e Internet.

Troubleshooting

El router no puede hacer ping más allá del AP

El router no puede resolver nombres.

La laptop no puede hacer ping más allá del router.

La laptop no puede resolver nombres.

Funciona la regla de MASQUERADE ?

El gateway y DNS de la laptop, corresponden al router?

Manejo de Usuarios

Se puede controlar el acceso al router creando diferentes usuarios y políticas.

También se puede restringir por IP de acceso.

Permite asignar un SKIN diferente a cada grupo

System > Users

se puede restringir por IP de acceso. • Permite asignar un SKIN diferente a cada grupo
se puede restringir por IP de acceso. • Permite asignar un SKIN diferente a cada grupo

WebFig

Acceso Web 100% customizable.

Permite tener diferentes plantillas según el usuario

WebFig • Acceso Web 100% customizable. • Permite tener diferentes plantillas según el usuario

Actualización

Descargar el

NPK

file

a

su

mediante drag’n drop.

pc

y

subirlo vía FTP o

Actualización Masiva: System > Autoupgrade

Por consola: Tool > Fetch

pc y subirlo vía FTP o • Actualización Masiva: System > Autoupgrade • Por consola: Tool

Lab. de Actualización

El entrenador actualizará su router descargando el paquete desde Internet.

La clase lo actualizará automáticamente mediante “Auto Upgrade”

Cuando termine de subir la actualización, reinicie el router “system > reboot”.

Asegúrese de no cortar el suministro eléctrico del router cuando esta en proceso de actualización.

Manejo de Paquetes

Las funciones del RouterOS se habilitan por medio de paquetes. System > Packages

Habilitar / Deshabilitar / Instalar / Desinstalar

Se utilizar para hacer downgrade del RouterOS

Packages • Habilitar / Deshabilitar / Instalar / Desinstalar • Se utilizar para hacer downgrade del
Packages • Habilitar / Deshabilitar / Instalar / Desinstalar • Se utilizar para hacer downgrade del

Contenido de los Paquetes

Contenido de los Paquetes
Contenido de los Paquetes

Identidad del Router

System > Identity

Identidad del Router • System > Identity
Identidad del Router • System > Identity
Identidad del Router • System > Identity
Identidad del Router • System > Identity
Identidad del Router • System > Identity

NTP

Network Time Protocol, para sincronizar la hora.

RouterOS soporta NTP cliente y server (para este último se requiere el paquete NTP).

Para corregir el reloj de un RouterBOARD.

NTP cliente y server (para este último se requiere el paquete NTP). • Para corregir el

Laboratorio

Laboratorio • Nombre al router con su número de ID y su nombre. • Sincronícelo con

Nombre al router con su número de ID y su nombre.

Sincronícelo con pool.ntp.org

Ajústelo a la zona horaria de su país

Backup Binario

Se puede guardar y restaurar un archivo de backup desde el menú FILES.

El backup binario no es editable.

/system backup save name=pepe.backup

de backup desde el menú FILES. • El backup binario no es editable. • /system backup
de backup desde el menú FILES. • El backup binario no es editable. • /system backup

Backup en modo texto

Adicionalmente se puede exportar e importar comandos desde CLI.

Los archivos exportados si son editables.

No se guardan las contraseñas de acceso.

/export file=pepe /ip firewall filter export file=solo_firewall /file print /import [Tab]

Enlaces Útiles

www.mikrotik.com – Manejo de licencias, documentación. www.routerboard.com – Manuales, hojas de datos, precios, información. forum.mikrotik.com – Comparte experiencia con otros usuarios. wiki.mikrotik.com – Toneladas de ejemplos, presentaciones del MUM, documentación. www.tiktube.com – Videos de MikroTik.

MikroTik RouterOS – FIREWALL –

MikroTik RouterOS – FIREWALL –

Firewall

Protege el router y los clientes de accesos no autorizados.

Esto se puede realizar creando reglas en los módulos FIREWALL y NAT en “IP > Firewall.”

autorizados. • Esto se puede realizar creando reglas en los módulos FIREWALL y NAT en “

Firewall Filter

Consiste en reglas definidas por el usuario que trabajan con el principio condicional:

SI MATCHEA > ENTONCES

El orden es MUY importante.

Estas reglas son ordenadas en cadenas.

Hay cadenas predefinidas y cadenas creadas por el usuario.

Cadenas de Firewall

Las reglas pueden ser creadas en 3 cadenas por defecto:

INPUT: Procesa paquetes que tienen como destino final el router.

OUTPUT: Procesa paquetes enviados por el router.

FORWARD: Procesa paquetes que atraviesan el router.

Procesa paquetes enviados por el router. • FORWARD: Procesa paquetes que atraviesan el router. Output Input
Output Input
Output
Input

Forward

Diagrama de Firewall Simplificado

Diagrama de Firewall Simplificado

Tácticas de Firewall

Bloquear lo conocido y aceptar el resto. Aceptar lo conocido y bloquear el resto.

Tácticas de Firewall • Bloquear lo conocido y aceptar el resto. • Aceptar lo conocido y

Cadena Input

Esta cadena contiene las reglas de filtrado que protegen al router mismo.

Vamos a bloquear a todos, excepto nuestra propia laptop.

las reglas de filtrado que protegen al router mismo. • Vamos a bloquear a todos, excepto

Cadena Input

Se agrega una segunda regla vacía y con acción = drop al final para bloquear el resto del tráfico que ingresa al router.

agrega una segunda regla vacía y con acción = drop al final para bloquear el resto

Laboratorio INPUT

Cambie la dirección IP de su laptop.

Intente ingresar al router.

Si

puede

no

funcionando.

ingresar,

entonces

el

• Si puede no funcionando. ingresar, entonces el firewall está • ¿Aún puede conectarse por

firewall

está

¿Aún puede conectarse por MAC-Winbox? ¿Porque?

INPUT

El acceso al router está bloqueado.

INPUT • El acceso al router está bloqueado. • Internet no está funcionando, debido a que

Internet no está funcionando, debido a que también se están bloqueando las consultas al DNS.

a que también se están bloqueando las consultas al DNS. • Modifique nuevamente Internet. la configuración

Modifique

nuevamente Internet.

la

configuración

para

hacer

que

funcione

Lista de Direcciones

Address-List permite aplicar una regla de filtrado a un grupo de direcciones con una sola sentencia.

Al agregar una IP nueva al address-list, automáticamente ya se aplica la regla a esa dirección.

Se pueden agregar direcciones de manera automática.

automáticamente ya se aplica la regla a esa dirección. • Se pueden agregar direcciones de manera

Lista de Direcciones

Se pueden crear diferentes listas.

Soporta subredes, rangos separados ó un único host.

Lista de Direcciones • Se pueden crear diferentes listas. • Soporta subredes, rangos separados ó un

Lista dinámica

Agrega un host determinado al address-list según el clasificador usado.

Lista dinámica • Agrega un host determinado al address-list según el clasificador usado.
Lista dinámica • Agrega un host determinado al address-list según el clasificador usado.

Laboratorio

Cree un address-list que permita el ingreso por Winbox sólo a un grupo determinado de direcciones. (Winbox = TCP

8291).

Acepte ese address list.

Bloquee el ingreso por Winbox a todo el resto.

Bloquee TCP y UDP del rango 137-139.

Bloquee TCP y UDP 445.

FORWARD

Esta cadena contiene las reglas que controlan los paquetes que atraviezan el router.

Cree una regla que bloquee la navegación – TCP 80.

Se debe seleccionar el protocolo para bloquear un puerto.

Cree una regla que bloquee la navegación – TCP 80. • Se debe seleccionar el protocolo
Cree una regla que bloquee la navegación – TCP 80. • Se debe seleccionar el protocolo

Laboratorio

Trate de abrir www.mikrotik.com.

Laboratorio • Trate de abrir www.mikrotik.com. • Trate de abrir la pagina Web del router de

Trate de abrir la pagina Web del router de su compañero.

Trate de abrir la pagina Web de su router.

¿Porqué funciona esta última?

Servicios en RouterOS

Servicios en RouterOS • IP > Services

IP > Services

FORWARD

Vamos a bloquear todo el tráfico P2P no encriptado existente en la red…

FORWARD • Vamos a bloquear todo el tráfico P2P no encriptado existente en la red…

Firewall LOG

Vamos a loguear el ping de los clientes a nuestro router.

La regla de LOG siempre debe ser agregada antes de cualquier otra acción.

ping de los clientes a nuestro router. • La regla de LOG siempre debe ser agregada
ping de los clientes a nuestro router. • La regla de LOG siempre debe ser agregada
ping de los clientes a nuestro router. • La regla de LOG siempre debe ser agregada

Cadenas de Firewall

Además de las cadenas pre-definidas (input, forward y output), se pueden crear cadenas adicionales.

Hacen la estructura del Firewall más simple.

( input, forward y output ), se pueden crear cadenas adicionales. • Hacen la estructura del

Estado de Conexiones

El módulo de Connection Tracking es el corazón del

firewall. Éste recopila y maneja todas las conexiones.

Cada entrada en la tabla representa un intercambio bidireccional de datos.

Deshabilitando el ConnTrack el sistema pierde su capacidad de hacer NAT, como así también la mayor parte de las condiciones de filtrado y marcado.

Usa muchos recursos de CPU.

Estado de Conexiones

Estado de Conexiones

Estado de Conexiones

Estado de Conexiones

Mantenimiento del Firewall

Escriba comentarios en cada regla, para hacer a tu router más manejable.

Verifique los contadores de cada regla, para ver si hay matcheos.

Cuide la posición de cada regla y los atajos del teclado.

Use la acción passthrough para determinar una cantidad de tráfico antes de aplicar una acción determinada.

Use la acción log para coleccionar información.

Use el modo seguro para crear reglas que puedan perder conectividad contra el router.

información. • U s e el modo seguro para crear reglas que puedan perder conectividad contra
información. • U s e el modo seguro para crear reglas que puedan perder conectividad contra

¿Preguntas?

MikroTik RouterOS – FIREWALL –

¿Preguntas? MikroTik RouterOS – FIREWALL –
¿Preguntas? MikroTik RouterOS – FIREWALL –

Ejercicios

Utilice el clasificador “time” y combínelo con el address list para crear un perfil de navegación nocturno.

Deje un registro de las IP que ingresaron por WinBox en el último mes.

Utilice el clasificador “content” para bloquear la búsqueda de sitios con contenido adulto.

MikroTik RouterOS

– Network Address Translation –

MikroTik RouterOS – Network Address Translation –

NAT

El encabezado del paquete IP esta compuesto por una dupla de direcciones (origen y destino) y una dupla de puertos (origen y destino).

El router tiene la capacidad de cambiar el origen ó destino de cualquier paquete que lo atraviesa.

Este proceso se llama src-nat ó dst-nat, dependiendo del parámetro que se modifique.

Cadenas de NAT

Para implementar los diferentes escenarios es necesario ordenar estas reglas en sus cadenas correspondientes:

dstnat ó srcnat.

Al igual que el Firewall, las reglas de Nat trabajan con el principio condicional: SI MATCHEA > ENTONCES.

NAT

solo

habilitado.

funcionará

con

el

Connection

Tracking

SRC–NAT

Se sobre escribe la dirección IP y/o puerto de origen.

New SRC-Address Tu laptop
New
SRC-Address
Tu laptop

SRC-Address

Server Remoto

DST–NAT

Se sobre escribe la dirección IP y/o puerto de destino.

Server en red privada Host público New DST-Address DST-Address
Server en red privada
Host público
New DST-Address
DST-Address

Cadenas de NAT

Cadenas de NAT

SRC–NAT

Cambia el origen de los paquetes.

Se usa para tener acceso público desde una red privada.

Maquerade es un tipo específico de Src-Nat.

Esta acción puede hacerse sólo en la cadena src-nat.

• Maquerade es un tipo específico de Src-Nat . • Esta acción puede hacerse sólo en
• Maquerade es un tipo específico de Src-Nat . • Esta acción puede hacerse sólo en

Masquerade

Src Address 192.168.X.1 Src Address router address 192.168.X.1
Src Address
192.168.X.1
Src Address
router address
192.168.X.1

Public Server

DST–NAT

Dst-Nat cambia el destino del paquete (ip ó puerto).

Puede ser usado para redirigir el trafico desde Internet a un servidor en nuestra red interna.

Esta acción puede hacerse sólo en la cadena dst-nat.

New DST-Address DST-Address 192.168.1.1:80
New DST-Address
DST-Address
192.168.1.1:80

Web Server

Acceso Remoto

192.168.1.1

207.141.27.45:80

DST–NAT

Para crear la regla del ejemplo anterior, se procede de la siguiente manera:

DST–NAT Para crear la regla del ejemplo anterior, se procede de la siguiente manera:

Redirect

Tipo especial de DST–NAT.

Esta acción redirecciona los paquetes al router mismo.

Se puede usar para hacer proxy de servicios (DNS, HTTP).

Esta acción redirecciona los paquetes al router mismo. • Se puede usar para hacer proxy de

Redirect

DST-Address

DNS Cache
DNS Cache

Configured_DNS_Server:53

New DST-Address

Router:53

Ejemplo de Redirect

Ejemplo de Redirect • Pruebe cambiar los DNS de su PC e intentar volver a navegar.

Pruebe cambiar los DNS de su PC e intentar volver a navegar.

Observe el caché en el server.

NAT 1–1

Asumiendo que su router tiene más de una IP pública, es

posible hacer que todos sus clientes naveguen por una, y destinarle la otra a un cliente puntual para abrirle el acceso desde Internet a éste último.

Para esto, hay que crear 3 reglas:

Src-Nat particular para el cliente XY

Dst-Nat particular para la ip pública XY.

Src-Nat general para el resto de los clientes.

Las primeras dos arman el Nat 1-1

Limitaciones

Los clientes detrás de un router usando NAT, no tienen una verdadera comunicación punto a punto:

No es posible iniciar una conexión desde el exterior.

Algunos servicios de TCP trabajarán en modo pasivo.

Algunos protocolos requerirán de “nat-helpers” para trabajar correctamente (nat-transversal).

Nat–Helpers

Se puede especificar un puerto para el Nat-Helper y habilitarlo ó deshabilitarlo, pero no se pueden agregar.

• Se puede especificar un puerto para el Nat-Helper y habilitarlo ó deshabilitarlo, pero no se

¿Preguntas?

MikroTik RouterOS

NAT

¿Preguntas? MikroTik RouterOS – NAT –
¿Preguntas? MikroTik RouterOS – NAT –

Ejercicios

Ejercicios • Redireccione las consultas de DNS de sus clientes al Server de Google, IP 8.8.8.8

Redireccione las consultas de DNS de sus clientes al Server de Google, IP 8.8.8.8

Permita

el

ingreso

desde

Internet

al

Escritorio

Remoto de su ordenador.

MikroTik RouterOS

– DHCP –

DHCP Server y Cliente.

MikroTik RouterOS – DHCP – DHCP Server y Cliente.

DHCP

El Dynamic Host Configuration Protocol es usado para distribuir dinámicamente configuraciones de red como:

Dirección IP y Máscara

Default Gateway

DNS y NTP server

Más de 100 otras opciones personalizables (soportado por clientes DHCP específicos)

DHCP es básicamente inseguro y debe ser usado en redes que se consideren confiables

DHCP usa puertos UDP 67 (Server) y 68 (Cliente)

DHCP Negociación

DHCP Negociación

DHCP Client

Un host puede obtener una dirección IP a través de un DHCP-Server.

La identificación puede tener 2 formas:

Basada en la opción “caller-id” (dhcp-client-identifier del RFC2132)

Basada en la MAC Address, si la opción “caller-id” no es especificada.

La opción “hostname” permite al cliente RouterOS enviar una información adicional para la identificación en el server. Por defecto se envía el “system identity”.

DHCP Client

DHCP Client • Hostname : Cómo se identificará en el DHCP-Server. • Client-ID : Corresponde a

Hostname: Cómo se identificará en el DHCP-Server. Client-ID: Corresponde a una sugerencia del administrador de red, sino se especifica se envía la MAC-Address. Use peer DNS: Obtiene los DNS que le brinda el server y sobreescribe /ip dns. Use peer NTP: Obtiene y configura los servidores NTP en /system ntp client. Add Default Route: Agrega el default gateway en la tabla de ruteo con la distancia especificada.

DHCP Server

Para entregar direcciones IP es necesario setear un DHCP-Server.

Se puede configurar una instancia por cada interfaz del router.

Dispone de un Asistente que permite la configuración básica automática del servicio, previo ingreso de los datos de la red en general.

El DHCP Server entregará IP de un IP Pool .

del servicio, previo ingreso de los datos de la red en general. • El DHCP Server

DHCP Server

DHCP Server Importante: • Si la interfaz física donde se quiere crear un DHCP Server pertenece

Importante:

Si la interfaz física donde se quiere crear un DHCP Server pertenece a un Bridge, es necesario seleccionar la interfaz Bridge y NO la física

DHCP Server

Entradas Estáticas: Es posible entregar a un host siempre el mismo IP creando entradas estáticas para su MAC Address e IP.

IP creando entradas estáticas para su MAC Address e IP. También ayuda a monitorear las entradas

También ayuda a monitorear las entradas estáticas y dinámicas del router.

Se pueden setear algunos parámetros particulares para cada entrada.

DHCP-Server

Es posible solo brindar IP que sean estáticos y no utilizar un pool, seteando “static-only”

DHCP-Server • Es posible solo brindar IP que sean estáticos y no utilizar un pool, seteando

Server DHCP

Crea un server DHCP usando el asistente en el ruteador, para tu laptop (tu propio segmento)

Usa tu mismo segmento privado 192.168.XY.0/24

Configura

con

laptop

usando

el

cliente

tu

DHCP

configuración de DNS automática

Verifica tu laptop en IP y parámetros, debes tener salida a Internet

¿Preguntas?

MikroTik RouterOS

– DHCP –

¿Preguntas? MikroTik RouterOS – DHCP –
¿Preguntas? MikroTik RouterOS – DHCP –

MikroTik RouterOS

– Simple Queue –

Limitación simple.

MikroTik RouterOS – Simple Queue – Limitación simple.

Limitando velocidad

El control directo de flujo de datos para tráfico entrante es imposible.

El ruteador controla el flujo de datos indirectamente, descartando paquetes.

El protocolo TCP se adapta de manera automática en cuestión de velocidad.

Los Queues simples son la vía mas rápida para limitar la velocidad del flujo.

Queues Simples

Los Queues Simples hacen que la limitación sea sencilla. Puedes limitar:

La velocidad de RX del Cliente (download)

La velocidad de TX del Cliente (upload)

La

velocidad

de

TX

RX

del

Cliente

+

download)

(upload

+

Al ser fácil de configurar, las queues simples nos dan control sobre las funcionalidades de QoS. Solo es necesario conocer el IP a limitar.

Limitación Simple

Limitación Simple Ingresar su IP y colocar limitaciones de subida y bajada

Ingresar su IP y colocar limitaciones de subida y bajada

Queue Simple • Regrese a su configuración base. • Cree una queue simple para limitar

Queue Simple

Regrese a su configuración base.

Cree una queue simple para limitar tu velocidad en la red local a 256Kbps/512Kbps (upload/download)

Verifica la limitación.

Crea otra queue simple para limitar la velocidad en la IP que tenga la laptop a 64Kbps/128Kbps (upload/ download).

Verifica la limitación!

Cambia el orden de ambas queues… ¿que sucede?

Simple Queue Monitor

Se puede graficar el tráfico de cada simple queue.

muestra cuanto

El gráfico

tráfico pasa por la queue.

• Se puede graficar el tráfico de cada simple queue. muestra cuanto • El gráfico tráfico
Simple Queue Monitor • Para ver el gráfico es posible vía WWW • Ingresar a

Simple Queue Monitor

Para ver el gráfico es posible vía WWW

Ingresar a http://IP_router

Se puede brindar al usuario

• Para ver el gráfico es posible vía WWW • Ingresar a http://IP_router • Se puede

Analizando la limitación

Utilice Tools > Torch para chequear la limitación

Solo es necesario colocar la interfaz y el IP.

• Utilice Tools > Torch para chequear la limitación • Solo es necesario colocar la interfaz

Monitor de tráfico de Interfaz

Monitor de tráfico de Interfaz
Monitor de tráfico de Interfaz

Simple Queue

Con una política de Queue avanzado es posible:

Reducir el número de simples queues

Ecualizar el ancho de banda entre los usuarios

Setear el limite de velocidad para el usuario

PCQ es un Queue Type avanzado

Permite clasificar y dividir el tráfico (desde el punto de vista del cliente; src-address es subida y dst-address es descarga)

PCQ

PCQ • PCQ Permite setear un limite para todos los usuarios en una sola queue

PCQ Permite setear un limite para todos los usuarios en una sola queue

PCQ

PCQ • Con PCQ es posible dividir/ecualizar el ancho de banda entre los usuarios por partes
PCQ • Con PCQ es posible dividir/ecualizar el ancho de banda entre los usuarios por partes

Con PCQ es posible dividir/ecualizar el ancho de banda entre los usuarios por partes iguales.

Es necesario definir el Max-Limit para que conozca la cantidad de ancho de banda a dividir.

PCQ

PCQ • De deben crear 2 PCQ Queue Type, una para descarga y otra para subida

De deben crear 2 PCQ Queue Type, una para descarga y otra para subida

PCQ

PCQ Se debe crear una Queue Simple definiendo: • Target Address, Max-Limit y el Queue Type

Se debe crear una Queue Simple definiendo:

Target Address, Max-Limit y el Queue Type respectivo. Ejemplo: Ecualiza 1M/2M entre los usuarios de la red 192.168.0.0/24 en partes iguales

PCQ

Laboratorio CIBER:

Cree dos Queue Type PCQ con Rate 0 y

CIBER: • Cree dos Queue Type PCQ con Rate 0 y – Clasificador dst-address para descarga

Clasificador dst-address para descarga

Clasificador src-address para subida

Cree una simple queue para su red interna con Max-Limit 512k/1M y las respectivas queues type.

Compruebe la limitación

¿Preguntas?

MikroTik RouterOS

– Simple Queue –

¿Preguntas? MikroTik RouterOS – Simple Queue –
¿Preguntas? MikroTik RouterOS – Simple Queue –

MikroTik RouterOS

– Routing –

Ruteo Estático Ruteo Dinámico - OSPF

MikroTik RouterOS – Routing – Ruteo Estático Ruteo Dinámico - OSPF

Routing

Mikrotik RouteOS soporta dos tipos de ruteo:

• Ruteo Estático: son rutas que son creadas por el usuario a través de políticas de Ruteo Estático: son rutas que son creadas por el usuario a través de políticas de ruteo.

generadas

• Ruteo Ruteo

Dinámico:

Son

rutas

que

son

automáticamente, que puede ser por el agregado de un

IP o por algún protocolo de ruteo.

Routing

Hosts en el mismo rango IP se comunican directamente entre ellos.

Si se quiere acceder a otro segmento de red se utilizará un gateway.

Al agregar un IP address, se creará una ruta dinámica (D) y activa (A) en la tabla de ruteo

La tabla de ruteo determina como se mueve el tráfico

Puede ser generada manualmente (ruteo estático) ó dinámicamente (ruteo dinámico ej OSPF).

Routing

Regrese a una configuración base

Intente hacerle ping al IP de la Laptop de su compañero

Vamos a aprender como usar las rutas para alcanzar al IP del vecino

Revisemos /ip route

Routing

Routing • Destination: Redes que puede alcanzar. • Gateway: indica que si no concuerda con alguna

Destination: Redes que puede alcanzar.

Gateway: indica que si no concuerda con alguna ruta especificada, entonces se lo enviará a el.

Routing

Solo un gateway por red

Se elige siempre la ruta mas específica, la cual tiene mayor prioridad.

La ruta con destino 0.0.0.0/0 significa “todo lo restante”,

mas específica, la cual tiene mayor prioridad. • La ruta con destino 0.0.0.0/0 significa “todo lo

Routing

Mirar la tabla de ruteo

Las

marcadas

rutas

con

DAC

son

agregadas

dinámicamente.

A – Activa

D – Dinámica

C – Conectada

S - Estática

DAC son agregadas dinámicamente. • A – Activa • D – Dinámica • C – Conectada

Routing

ECMP (Equal Cost Multi-Path) Routing: mecanismo que permite rutear paquetes a través de múltiples paths con igual costo, realizando un balanceo de carga.

Puede tener varios gateway para llegar a un mismo destino.

Los gateways serán usados por un Round Robin combinado por la dirección origen y destino

Un

puede

gateway

repetir

se

varias veces.

usados por un Round Robin combinado por la dirección origen y destino • Un puede gateway

Routing

Check Gateway: Permite saber si un gateway es alcanzable ó no usando los protocolos ICMP (ping) o ARP.

Si el gateway no es alcanzable la regla se vuelve inactiva

Si un gateway no es alcanzable en una ruta ECMP, únicamente se usarán los gateway alcanzables con el algoritmo Round Robin.

Si check-gateway está habilitado en un router, éste afectará a todas las reglas con ese gateway.

Routing • Recuerde su estructura de red • Los vecinos tienen las red 10.0.ID.0/24 •

Routing

Recuerde su estructura de red

Los vecinos tienen las red 10.0.ID.0/24

Intentar alcanzar la notebook de su vecino con ping

Utilizar el comando tracert para conocer el camino que hace el paquete

¿Preguntas?

MikroTik RouterOS

– Routing Ruteo Estático –

¿Preguntas? MikroTik RouterOS – Routing Ruteo Estático –
¿Preguntas? MikroTik RouterOS – Routing Ruteo Estático –

OSPF

OSPF: Open Shortest Path First, es un protocolo de ruteo jerárquico del tipo IGP (Internal Gateway Protocol).

MikroTik RouterOS implementa OSPF v2 (RFC 2328) y v3 (RFC 5340 para IPv6)

Usa el “estado del enlace” y el algoritmo de Dijkstra para

calcular

conocidas.

OSPF distribuye la información de ruteo entre todos los routers dentro de un AS (sistema Autónomo)

Utiliza el protocolo IP 89 para comunicarse con otros routers

el

camino

hacía

todas

las

redes

mas

corto

OSPF

Un sistema autónomo -AS- es una colección de redes IP y router bajo el control de una entidad (OSPF; iBGP, RIP) y que presentan una política de ruteo en común con el resto de la red.

AS es un identificador de 16 bits (0 – 65535)

Rango del 1 al 64511 se usa en Internet

Rango del 64512 al 65535 para uso privado

OSPF

Conceptos Iniciales y Glosario.

Se utiliza el concepto de Area para optimizar la distribución y agrega estabilidad

Los routers se agrupan entre si en Areas

La estructura del Area es invisible fuera de ella

Area 0 es el Backbone

OSPF

OSPF

OSPF

OSPF • Es necesario especificar las redes y Areas asociadas donde el router buscará otros routers

Es necesario especificar las redes y Areas asociadas donde el router buscará otros routers OSPF vecinos. Debe especificar la red exactamente como aparece en la interfaz

OSPF

Estado de vecinos (Neighbour state)OSPF Deben quedar en FULL o 2-Way los estados de vecinos • Down, Attempt, Init, Loading,

Deben quedar en FULL o 2-Way los estados de vecinos FULL o 2-Way los estados de vecinos

Down, Attempt, Init, Loading, ExStart, Exchange: no está funcional, chequear que sucede!

los estados de vecinos • Down, Attempt, Init, Loading, ExStart, Exchange: no está funcional, chequear que

OSPF

OSPF • Router ID: puede dejarse en 0.0.0.0 y se elegirá el IP mas grande asignado

Router ID: puede dejarse en 0.0.0.0 y se elegirá el IP mas grande asignado al router.

Distribute-default: never

Dejar siempre en never a no ser que sea un ASBR

OSPF

La default route no es considerada como una ruta estática.

OSPF • La default route no es considerada como una ruta estática.
OSPF • La default route no es considerada como una ruta estática.
•

OSPF

Asigne el network al Area Backbone

• OSPF Asigne el network al Area Backbone Habilite la redistribución como type 1 para todas

Habilite la redistribución como type 1 para todas las rutas conectadas type 1 para todas las rutas conectadas

•

Mire los OSPF vecinos y la tabla de ruteo

•

Agregue una ruta estática a la red 172.16.XY.0/24

Habilite la redistribución como type 1 para todas las rutas estáticas

Mire la tabla de ruteo

•

¿Preguntas?

MikroTik RouterOS

– Routing Ruteo Dinámico –

¿Preguntas? MikroTik RouterOS – Routing Ruteo Dinámico –
¿Preguntas? MikroTik RouterOS – Routing Ruteo Dinámico –

MikroTik RouterOS

– Túneles y VPN –

PPtP – L2TP – PPPoE – VLAN - IPSec

MikroTik RouterOS – Túneles y VPN – PPtP – L2TP – PPPoE – VLAN - IPSec

VPN

Las VPN permiten tener una comunicación segura sobre una red insegura.

Permite

estando

expandir

el

la

red

aún

acceso

a

físicamente separados.

Costo muy bajo gracias a las conexiones de banda ancha.

Acceso

servidores

a impresoras, Fileserver)

corporativos

(Correo,

Acceso a cámaras de seguridad

Realizar transacciones seguras

Trabajo fuera de oficina: Tele Trabajo

Unir sucursales entre sí

Etc

Tecnologías VPN

PPPs con encriptación de 128bit MPPE

OpenVPN - SSTP

EoIP – IPIP - GRE Vlans

IPSec

• PPPs con encriptación de 128bit MPPE • OpenVPN - SSTP • EoIP – IPIP -

Direccionamiento PPP

Direcciones IP son añadidas a las interfaces del túnel

Use

direcciones de 30 bits para ahorrar espacio de

direccionamiento, por ejemplo:

1.10.1.6.1/30 y 10.1.6.2/30 desde la red 10.1.6.0/30

Es posible usar direccionamiento de punto a punto, por ejemplo:

1.10.1.6.1/32, red 10.1.7.1

2.10.1.7.1/32, red 10.1.6.1

Es posible usar direccionamiento de punto a punto, por ejemplo: 1. 10.1.6.1/32, red 10.1.7.1 2. 10.1.7.1/32,

Interfaces VLAN

VLAN es una implementación del protocolo 802.1Q

VLAN permite multiples Virtual LANs en un solo cable ethernet

VLAN soporta 4095 interfaces por cada ethernet

VLAN Trunk: Método para transmitir frames con su tag VLAN intacto.

VLAN Interfaces

VLAN Interfaces

VLAN

VLAN

¿Preguntas?

MikroTik RouterOS

– VPN Virtual Private Network –

¿Preguntas? MikroTik RouterOS – VPN Virtual Private Network –
¿Preguntas? MikroTik RouterOS – VPN Virtual Private Network –

MikroTik RouterOS – BRIDGE –

Diseños de redes bridgeadas EoIP & VPLS

MikroTik RouterOS – BRIDGE – Diseños de redes bridgeadas EoIP & VPLS

Bridge

Redes Ethernet pueden ser conectadas entre si usando la Capa 2 del modelo OSI.

El bridge permite la interconexión de hosts conectados en redes separadas como si estuvieran unidos en un solo segmento.

Los

e

Bridges

extienden

el

dominio

de

broadcast

incrementan el tráfico en la red bridgeada.

Bridge

Bridge

Bridge Todo bridgeado como un gran switch

Todo bridgeado como un gran switch

Bridge

El Bridge es una interface virtual en RouterOS

Varios bridges pueden ser creados

/interface bridge add name=bridge1

Las interfaces pueden ser agregadas como un port en el bridge

/interface

bridge

port

add

interface=ether1

bridge=bridge1

 

/interface

bridge

port

add

interface=ether2

bridge=bridge1

Creando un Bridge

Creando un Bridge

Creando un Bridge

Creando un Bridge

Spanning Tree Protocol

El Spanning Tree Protocol (STP)

Está definido en el Estandar IEEE 802.1d

Evita bucles en una red bridgeada.

Elimina la posibilidad que una MAC-Address sea vista por varios puertos bridge, deshabilitando el path secundario.

Encuentra el camino

deshabilita los links que no son partes del árbol, eliminando los loops bridging.

mas óptimo en

red mesh

un

y

STP en Acción

STP en Acción A B D C E F Root Bridge
A B D C E F
A
B
D
C
E
F

Root

Bridge

STP en Acción A B D C E F Root Bridge

Spanning Tree

Root C Bridge E B A D F
Root
C
Bridge
E
B
A
D
F

Rapid Spanning Tree Protocol

Rapid Spanning Tree Protocol (RSTP)

Es una evolución del STP.

Provee de una convergencia mas rápida en topologías con cambios que el STP.

Viene en el paquete System del RouterOS.

Redes Ruteadas vs Bridgeadas

El router no retransmite los frame broadcast.

Los bucles y su resultante tormenta de broadcast no son posibles en redes diseñadas basadas en routing.

Medios redundantes y topologías mesh puede ofrecer intercambio de tráfico redundante tolerante a fallas que las topologías bridgeadas.