MTCNA M1 Introduction EN v1 FINAL
description
Transcript of MTCNA M1 Introduction EN v1 FINAL
-
MikroTik Certified Network Associate(MTCNA)
Santa Cruz, Bolivia
Noviembre 23 al 28, 2015
1
-
Introduccin a RouterOS y productos
RouterBOARD .
Te da una visin general de lo que se
puede hacer con productos RouterOS y
RouterBOARD .
Le dar una base slida y valiosas herramientas para hacer su trabajo.
2
POR QU TOMAR EL CURSO MTCNA?
-
Al final de este curso, el estudiante podr:
Estar familiarizado con el software
RouterOS y productos RouterBoard
Ser capaz de configurar, administrar,
hacer resolucin de problemas bsicos
de un router Mikrotik
Ser capaz de proporcionar servicios bsicos a los clientes
3
OBJETIVOS DEL CURSO
-
Lucas Evilde CarandinoFundador y Gerente Propietario de la empresa
WEBSERVIEstudios en Ingde sistemas y electrnica en la UnivercidadTarapacaen Chile y
UTEPSA
Ya 6 certificados Mikrotik
4
SOBRE EL ENTRENADOR
-
Da tpico (6 de ellos)
19h00 a 22h30 Lunes a Viernes
15h00 a 18h00 Sabado
10 minutos de descanso
Aprox 21:00
ExamenEn el ltimo da, duracin 1 hora
5
Horaio
HORARIO
-
INTRODUCCIN PERSONA
Presentarse individualmente
Compaa
Conocimiento previo sobre RouterOS
Conocimiento previo sobre networking
Qu espera de este curso?
Recuerde su nmero N de POD o Lugar de clase
Mi nmero POD es: _____
-
Las salidas de emergencia
Cdigo de vestimenta
Alimentos y bebidas, mientras que en la
claseEste curso se basa en RouterOS 6
7
RECOMENDACIONES
-
Por respeto a los dems estudiantes y el
instructor:
Ponga usted telfono celular y otras
herramientas de negocio en modo de
vibracin
Tome sus llamadas fuera del aula
8
VARIOS
-
9
MODULO 1 INTRODUCCIN
-
RouterOS and RouterBoard
10
-
Que es RouterOS?
Mikrotik RouterOS es el sistema
operativo del hardware Mikrotik
RouterBOARD .
Tiene todas las caractersticas necesarias
para un ISP o administrador de red tales
como enrutamiento , cortafuegos, gestin
de ancho de banda, punto de acceso
inalmbrico , enlace backhaul , gatewayhotspot , servidor VPN y ms.
11
-
RouterOS es un sistema operativo
independiente basado en el kernel v3.3.5
Linux y ofrece todas las funciones en una
instalacin rpida y sencilla y con una interfaz fcil de usar
12
QUE ES ROUTEROS ?
-
What is RouterBOARD?
Una familia de soluciones de hardware
creados por Mikrotik para responder a las
necesidades de los clientes en todo el
mundo.Todos operan con RouterOS.
routerboard.com or
13
-
Integrated Solutions
Estos productos se proporcionan completo
con casos y adaptadores de corriente.
Listo para usar y preconfigurado con la
funcionalidad ms bsica.
Todo lo que necesitas hacer es conectarlo
y conectarse a Internet oa una red corporativa.
14
-
RouterBOARD (boards only)
Dispositivos de la placa base pequeas
que se venden "tal cual". Usted debe elegir
el caso, adaptador de corriente y las
interfaces de forma separada. Perfecto
para el montaje de su propio sistema, ya
que ofrecen las mayores opciones de personalizacin.
15
-
Enclosures
Cubiertas interiores y exteriores para
alojar sus dispositivos RouterBOARD .
Seleccione la base de:
localizacin prevista
el modelo RouterBOARD
el tipo de conexiones necesarias (USB, antenas, etc.).
16
-
Interfaces
Mdulos Ethernet, fibra SFP o tarjetas de
radio inalmbricas para ampliar la
funcionalidad de los dispositivos
RouterBOARD y PCs con RouterOS.
Una vez ms, la seleccin se basa en sus necesidades.
17
-
Accessories
Estos dispositivos estn hechos para los
productos MikroTik - adaptadores de
alimentacin, soportes, antenas e inyectores PoE.
18
-
MFM
With the MFM (Made for Mikrotik)
program, 3 rd party options make creating your router even better!
19
-
Por qu obtener un routerintegrado?
Puede abordar muchas necesidades
Algunas opciones adicionables
Poca o ninguna expansin
configuracin fija
Una solucin simple, pero slida para muchas necesidades
20
-
Integrated router, Ejemplo
RB951G -2HnD
Good for home or small office
5 Gig ports
Built -in Wi -Fi (2,4GHz)
License level 4
21
-
Integrated router, Ejemplo
RB941-2nD-TC
Good for home or small office
4 10/100 Ethernet
Built -in Wi -Fi (2,4GHz)
License level 4
-
Integrated router, Ejemplos
SXT Sixpack(1 OmniTIK U-5HnD with 5 SXT-
5HPnD)
Good for WISP or
company with branchoffices
5 100Mbps ports (OmniTik )
5GHz 802.11a/n radios
Can cover 5Km
between central and satellite sites
2013-01-01 23
-
Integrated router, examplesCCR1036 -12G-4S
Cloud Router
Flagship model
Good for ISPs or company networks
1U rack mount
12 Gig ports
Serial console, USB and color touch screen
Default 4G RAM, but
can use any size of SO-DIMM RAM
2013-01-01 24
-
Note of interestNombres Router se seleccionan de
acuerdo con el conjunto de caractersticas.
Aqu hay unos ejemplos:CCR : Cloud Core Router
RB : RouterBoard
2, 5 : 2,4GHZ or 5GHz wifi radio
H : High powered radio
S : SFP
U : USB
i : Injector
G : Gigabit ethernet
25
-
Por qu construir su propio router ?
Puede abordar una mayor variedad de
necesidades
Muchas opciones / Lots de la expansin
add-on
configuracin personalizable
Se puede integrar en equipos cliente o
gabinete
Solucin ms completa para las necesidades particulares
26
-
Custom router, examples
Flexible CPE
RB411UAHR1 100Mbps port
1 2,4GHz radio (b/g)
Level 4 license
Add power
supply or PoEmodule
Add 3rd party enclosure
Add 3 party 3G
27
-
Custom router, examples
Powerful Hotspot
RB493G9 gig ports
Level 5 license
Add power supply or PoEmodule
Add R2SHPn (2,4GHz radio card)
Add R5SHPn (5GHz radio card)
Add 3rd party enclosure
Add microSD card
2013-01-01 28
-
Primera vez en el router
29
-
Internet browser
Manera intuitiva de conectarse a un
router RouterOS.
Compatible con la mayoraCapacidad de mascara
2013-01-01 30
-
Internet browser
Conecte al router con un cable Ethernet
Lanzamiento del navegador
Escriba la direccin IP
Si se le solicita, inicie sesin. Nombre de
usuario es " admin " y la contrasea est en blanco
2013-01-01 31
-
Internet browser
You will see:
2013-01-01 32
-
WinBox and MAC -Winbox
WinBox es interfaz propietaria de
Mikrotik RouterOS acceder a los routers .
Se puede descargar desde la pgina de
Mikrotik o desde el router .
Se utiliza para acceder al router a travs de IP (capa OSI 3) o MAC (OSI capa 2).
2013-01-01 33
-
WinBox and MAC -Winbox
Si todava est en
el navegador,
desplcese hacia
abajo y haga clic en
"cerrar sesin"
Ya vers:
Haga clic en
"Winbox "
Guardar "winbox.exe"
2013-01-01 34
-
WinBox and MAC -WinBox
Haga clic en el
icono de WinBox .
Direccin IP
192.168.88.1
continuacin, haga
clic en "Conectar"
Ya vers:
Haga clic en "Aceptar"
2013-01-01 35
-
Tome 5 minutos para ir a travs de los
mens
Tome nota especial de:IP AddressesIP Routes
System SNTP
System Packages
System Routerboard
2013-01-01 36
-
Console port
Requiere que el equipo
se conecta al router a
travs de un mdem
nulo (puerto RS -232).
El valor
predeterminado es
115200 bps, 8 bits de
datos, 1 bit de parada, sin paridad
2013-01-01 37
-
SSH and Telnet
Herramientas IP estndar para acceder a enrutador
Comunicaciones Telnet estn en texto claro
Disponible en la mayora de los sistemas operativos
sin SEGURIDAD !!
Comunicaciones SSH se cifran
CON SEGURIDAD !!
Muchas herramientas Open Source (gratis) disponible como PuTTY (http://www.putty.org/)
2013-01-01 38
-
CLI
Stands for Command L ine Interface
Es lo que se ve cuando se utiliza el puerto
de la consola, SSH, Telnet, o Nueva
Terminal (dentro Winbox )
Algo que hay que saber si va a utilizar scripts o automatizar tareas!
2013-01-01 39
-
Initial configuration
(Internet access)
2013-01-01 40
-
Basic or blank configuration?
Usted puede o no puede tener una configuracin
bsica cuando recin instalado
Usted puede optar por no tomar la
configuracin bsica por defecto
Compruebe la siguiente pgina web para
averiguar cmo su dispositivo se comportar:http ://wiki.mikrotik.com/wiki/Manual:Default_Configurations
2013-01-01 41
-
Basic configuration
Dependiendo de su hardware, que tendr
una configuracin por defecto, que puede incluir :
WAN port
LAN port(s)
DHCP client (WAN) and server (LAN)
Basic firewall rules
NAT rule
Default LAN IP address
2013-01-01 42
-
Basic configuration
Al conectar por
primera vez con
WinBox , haga clic
en "Aceptar"
El router tiene
ahora la
configuracin bsica por defecto.
2013-01-01 43
-
Blank configuration
Puede ser utilizado en situaciones en las
que no se requiere la configuracin bsica
por defecto.
No hay necesidad de reglas de firewallNo hay necesidad de NATing
2013-01-01 44
-
Blank configuration
Los pasos mnimos para configurar un
acceso bsico a Internet (si el router no
tiene una configuracin bsica por defecto)
Direcciones IP de LAN, Puerta de
enlace predeterminada y servidor DNS
Direccin IP WAN
Regla de NAT (mascarada)Cliente SNTP y la zona horaria
2013-01-01 45
-
Upgrading the router
2013-01-01 46
-
Cuando actualizar
Corregir un error conocido.
Necesita una nueva funcin.
Desempeo mejorado.NOTA: Por favor lea la lista de cambios !!
2013-01-01 47
-
El procedimiento
Se requiere una planificacin.
Pasos pueden tener que hacerse en
orden preciso.
Se requiere pruebas ...
Y las pruebas ...Y, s, la prueba!
2013-01-01 48
-
Antes de actualizar
Sepa lo (mipsbe, ppc, x86, mipsle , baldosas), la
arquitectura est actualizando.
En caso de duda, Winbox indica la arquitectura en la
esquina superior izquierda!
Sepa lo que los archivos que necesita:
NPK: Imagen Base RouterOS con paquetes estndar
(Siempre)
ZIP: Paquetes adicionales (sobre la base de las
necesidades)
Changelog: Indica lo que ha cambiado y las indicaciones especiales (Siempre)
2013-01-01 49
-
Cmo actualizar
Obtener los archivos del paquete en el
sitio web de MikrotikDownloads page
2013-01-01 50
-
Cmo actualizar
Tres maneras
1. Descargar archivo (s) y copiar a
router .
2. "Buscar actualizaciones" (Sistema ->
Paquetes)
3. Actualizacin automtica (Sistema -> Actualizacin automtica)
2013-01-01 51
-
La descarga de los archivos
Copiar archivo (s) para el router a travs
de la ventanaEjemplo :
routeros-smips-6.33.1.npk
ntp -6.33.1-smips.npk
Reboot
Validar estado del router
2013-01-01 52
-
Comprobando actualizaciones(con /system packages)
menu ->
Click Check for
despues
Download &
Reboots
Validar paquetes y estado del router
2013-01-01 53
-
Actualizacin automtica
Copia requiere archivos de todos los
routers a un router interno (fuente).
Configure todos los routers para que
apunte al enrutador fuente
Mostrar los paquetes disponibles
Seleccione y descargue los paquetesReinicie y validar enrutador
2013-01-01 54
-
Auto upgrading
2013-01-01 55
-
RouterBOOT actualizacin de firmware
Compruebe versin actual
2013-01-01 56
[admin@MikroTik] > /system routerboard print
routerboard: yes
model: 951-2n
serial -number: 35F60246052A
current -firmware: 3.02
upgrade-firmware: 3.05
[admin@MikroTik] >
-
RouterBOOT actualizacin de firmware
Actualiza si es necesario (Es en este ejemplo)
2013-01-01 57
[admin@MikroTik] > /system routerboard upgrade
Do you really want to upgrade firmware? [y/n]
y
firmware upgraded successfully, please reboot for changes to take effect!
[admin@MikroTik] > /system reboot
Reboot, yes? [y/N]:
-
Gestin RouterOS de inicios
de sesin
2013-01-01 58
-
Cuentas de usuario
Crear cuentas de usuario a
administrar privilegios
Entrar acciones del usuario
Crear grupos de usuarios a
Tener una mayor flexibilidad en la asignacin de privilegios
2013-01-01 59
-
La gestin de los servicios
RouterOS
2013-01-01 60
-
IP Services
Administrar servicios IP
Lmite de uso de recursos (CPU,
memoria)
Amenazas a la seguridad Lmite
(puertos abiertos)
Cambie los puertos TCP
Lmite aceptado direcciones IP / subredes IP
2013-01-01 61
-
IP Services
Para el control de los servicios, vaya a-
Deshabilitar
o habilitar
los serviciosrequeridos .
2013-01-01 62
-
Access to IP Services
Haga doble clic en un
servicio
Si es necesario,
especifique que alberga o
subredes pueden acceder
al servicio
Las buenas prcticas
para limitar ciertos
servicios a los administradores de red
2013-01-01 63
-
La gestin de las copias de
seguridad de configuracin
2013-01-01 64
-
Tipos de copias de seguridad
Gestin de configuracin de copia de
seguridad backupsBinaryexportacin de configuracin
2013-01-01 65
-
Copias de seguridad binarios
Copia de seguridad completa del sistema
incluye contraseas
Asume que las restauraciones estarn mismo router
2013-01-01 66
-
Export files
Configuracin completa o
parcial
Genera un archivo script o
enva a la pantalla
conpact" para
mostrar slo las
configuraciones no
predeterminadas (por
defecto en ROS6)
verbose" para
mostrar las configuraciones por defecto
2013-01-01 67
-
Archiving backup files
Una vez generado, copiarlos en un
servidorCon SFTP (enfoque asegurado)
Con FTP , si est activada en servicios IP
El uso de arrastrar y soltar desde la ventana
"Archivos"
Dejando de archivos de copia de
seguridad en el router no es una buena
estrategia archivstica
2013-01-01 68
-
RouterOS licenses
2013-01-01 69
-
License levels
6 niveles de licencias
0: Demo (24 horas)
1: Libre (muy limitado)
3: WISP CPE (cliente Wi -Fi)
4: WISP (necesario para ejecutar un
punto de acceso)
5: WISP (ms capacidades)6: Controlador (capacidades ilimitadas)
2013-01-01 70
-
Licenses
Determina las capacidades permitidas en
el router .
RouterBOARD vienen con una licencia
preinstalado.
Los niveles varan
Las licencias deben ser comprados por un
sistema X86.
Una licencia es vlida para una sola
mquina. .2013-01-01 71
-
Updating licenses
Los niveles se describen en la pgina web http ://wiki.mikrotik.com/wiki/Manual:License
Level 3: CPE, wireless client
Level 4: WISP
Level 5: Larger WISP
Level 6: ISP internal infrastructure (Cloud Core)
2013-01-01 72
http://wiki.mikrotik.com/wiki/Manual:License -
Use of licenses
No se puede actualizar el nivel de
licencia. Comprar el derecho dispositivo /
licencia desde el principio.
La licencia est unida a la unidad que
est instalado. Tenga cuidado de no
formatear la unidad utilizando
herramientas que no Mikrotik .
Lea la pgina web de la licencia para ms detalles!
2013-01-01 73
-
Netinstall
2013-01-01 74
-
Netinstall
Vuelva a instalar RouterOS si el original
se convirti daado
Vuelva a instalar RouterOS si la
contrasea " admin " se perdi
Se puede encontrar en el sitio web de Mikrotik en la pestaa descarga
2013-01-01 75
-
Procedimiento , sin COM port
Para RBS sin un puerto COM.Conecte el ordenador al puerto Ethernet 1
Dar ordenador una direccin IP esttica y la mscara
Netinstall
Haga clic en "arranque de red" y escribir una
direccin IP al azar en la misma subred que el
ordenador
En la seccin "Paquetes", haga clic en "Examinar" y
seleccione el directorio que contiene los archivos de NPK vlidos
2013-01-01 76
-
Procedimiento , sin COM port
Pulse el botn " reset" hasta la "LEY" LED
se apaga
Router aparecer en la seccin "Routers /
Drives"
Seleccinela!
Select required RouterOS version from
button becomesavailable ; click it!
2013-01-01 77
-
Procedimiento , sin COM port
La barra de progreso se volver azul como se
est transfiriendo el archivo de NPK
Una vez completado, vuelva a conectar el cable
de la computadora en uno de los puertos vlidos
y cable de conexin a Internet en el puerto 1
Uso MAC -Winbox conectar como la
configuracin estar en blanco
Incluso si "Mantener configuracin antigua" se comprob !!
2013-01-01 78
-
Procedimiento , sin COM port
Sube una copia de seguridad de
configuracin y reiniciar el sistema(de ah la importancia de la gestin de copia de seguridad!)
Si el problema era una contrasea perdida,
vuelva a realizar la configuracin desde cero, ya
que la copia de seguridad se utilice la misma
contrasea olvidada(de ah la importancia de la gestin de un acceso adecuado!)
2013-01-01 79
-
Procedimiento , con COM port
Para RBS con un puerto COM
Comienza (casi) el mismoPC en el puerto Ethernet 1 con direccin esttica
Conecte el puerto serie del PC a la consola de
RouterBOARD puerto (COM)
Lanzamiento Netinstall (y configurar el
parmetro "Arranque Net")Seleccione el directorio con los archivos de NPK
2013-01-01 80
-
Procedimiento , con COM port
Reboot the router
setup
router)
2013-01-01 81
-
Procedimiento , con COM port
sectionSelect it
Select RouterOS package that will be installed
Click
it!
2013-01-01 82
-
Procedimiento , con COM port
La barra de progreso se volver azul como
se est transfiriendo el archivo de NPK
Una vez completado, vuelva a conectar el
cable de la computadora en uno de los
puertos vlidos y cable de conexin a
Internet en el puerto 1
Puede utilizar Winbox conectar
El "Mantener configuracin antigua" opcin funciona aqu !!
2013-01-01 83
-
Procedimiento , con COM port
Reboot the router
setup
If you forget, you will always boot from
Ethernet
router)
2013-01-01 84
-
Recursos adicionales
2013-01-01 85
-
Wiki
http://wiki.mikrotik.com/wiki/Manual:TOC
Pgina principal RouterOS Wiki
Documentacin sobre todos los comandos
RouterOS
Explicacin
Sintaxis
EjemplosConsejos y trucos adicionales
2013-01-01 86
-
Tiktube
http://www.tiktube.com/
Recursos de vdeo en varios temas
Presentado por los entrenadores, socios,
proveedores de Internet, etc.
Puede incluir diapositivas de la
presentacinVarios idiomas
2013-01-01 87
-
Forum
http://forum.mikrotik.com/
Moderado por el personal MikrotikPanel de discusin sobre diversos temas
Una gran cantidad de informacin se puede
encontrar aqu
Usted puede encontrar una solucin a su
problema!
Busca por favor antes de publicar una preguntaForo de la etiqueta estndar
2013-01-01 88
-
Mikrotik support
Procedimientos de apoyo explican en http ://www.mikrotik.com/support.html
El apoyo de Mikrotik durante 15 das
(nivel licencia 4) y 30 das (nivel 5 de
licencia y el nivel 6) si el router compraron de ellos
2013-01-01 89
-
Distributor / consultant support
Se les da apoyo por el distribuidor,
cuando el router se compra a ellos
Consultores certificados pueden ser
contratados para necesidades especiales .
http ://www.mikrotik.com/consultants.html
Registrense
2013-01-01 90
http://www.mikrotik.com/consultants.html -
Tiempo para un ejercicio prctico
2013-01-01 91
FIN DEL MDULO 1
-
Objetivos del laboratorio1. Familiarizar a los estudiantes con los mtodos de
acceso
2. Configurar el acceso a Internet
3. Actualizar el router con RouterOS actuales
4. Crear un grupo de acceso limitado, asignarlo a un
usuario
5. Administrar los servicios IP
6. Realice una copia de seguridad de la configuracin
actual y restaurarlo despus de hacer una restauracin de fbrica
2013-01-01 92
LABORATORIO 1
-
Laboratory : Setup
2013-01-01 93
-
Laboratorio : Paso 1
Configure su equipo Laptop con la
direccin IP esttica de su POD
Especifique la mscara de subred
Especifique puerta de enlace
predeterminada (enrutador)
Especificar servidor DNS (el router
trainer )
Haga una Netinstall de ROS 6 (opcional)
Una vez reiniciado, conectarse a l de la manera que le permitir acceso completo2013-01-01 94
-
Hay 2 caminos con Quickset y desde sin
Default
Usaremos sin default para aprender todas
la partes
Reset Configuration
No defaultReboot router
-
Laboratorio : Paso 2
Configure la direccin IP de Ether2 del
router
Configure la direccin IP WAN Ether1
del router
Configurar regla de NAT del router
Configurar el servidor DNS del enrutadorConfigure ruta por defecto del router *
2013-01-01 96
-
Laboratorio : Paso 3
Agregar un grupo llamado "mnimo"Darle el "telnet", "leer", y los derechos " winbox "
Explicar estos derechos
Aadir un usuario y darle su nombre
Asignar a grupo "mnimo"
Darle una contrasea
Asigne una contrasea para " admin "lugarX ", donde "X" es el nmero de su Lugar
Abra una nueva terminal. Que pas?
2013-01-01 97
-
Laboratorio : Paso 4
Asegurar que RouterBOARD firmware
est actualizado .( no nesesario en algunos)Copiar paquete NTP ( archivo NPK ) NO NECESARIO
Compruebe Sistema -> SNTP Client
Compruebe Sistema -> Cliente NTP y servidor NTP
Que pas?
Una vez reiniciadoCompruebe Sistema -> SNTP Client
Compruebe Sistema -> Cliente NTP y servidor NTPConfigurar cliente NTP y la zona horaria del reloj
2013-01-01 98
-
Laboratorio : Paso 5
Los estudiantes telnet en el router
Los estudiantes desactivar estos servicios
IP:
Telnet
WWWLos estudiantes se conectan al router mediante
Telnet, un explorador Web y SSHExplicar los resultados
2013-01-01 99
-
Laboratorio : Paso 6
Abra una "Nueva Terminal" y la ventana
"Archivos"
Exportar la configuracin, desde la raz, en un
archivo denominado "Module1-podX"
Realice una copia de seguridad binaria
Copie ambos archivos a un ordenador
Abra los dos y ver su contenido
Eliminar la regla de NAT y utilizar el
archivo "exportado" a crearlo rpidamente
2013-01-01 100
-
Laboratorio : Paso 7
Ver la licencia del RouterBOARD
Revise el nivel del router e indicar su
significado
Como grupo, discutir los posibles usos de este nivel de la licencia
2013-01-01 101
-
Fin de Laboratorio 1
2013-01-01 102
-
2013-01-01 103
MODULO 2 ENRUTAMIENTO
-
Descripcin general del
enrutamiento
2013-01-01 104
-
Conceptos de enrutamiento
El enrutamiento es un proceso de capa 3
del modelo OSI de la ISO.
Enrutamiento define dnde se reenva el
trfico (enviado).
Se requiere para permitir diferentes
subredes para comunicarse.
Incluso si deben estar en la misma "alambre"
2013-01-01 105
-
Conceptos de enrutamiento, el ejemplo 1
Las computadoras no se comunicarn
2013-01-01 106
-
Conceptos de enrutamiento, ejemplo 2
Computadoras ahora puedencomunicarse.
2013-01-01 107
-
Banderas de rutas
Rutas tienen estados. En este curso,
vamos a familiarizarnos con lo siguiente :
X: Desactivado
R: Activo
D: Dinmica
C: ConectadoS: Esttico
2013-01-01 108
-
Banderas de rutas
Desactivado: Router est desactivado.
No tiene influencia en el proceso de
enrutamiento.
Activo: Route est activo y se utiliza en
el proceso de enrutamiento.
Dinmica: Ruta ha sido creado por el
proceso de enrutamiento, no a travs de
la interfaz de administracin.
2013-01-01 109
-
Banderas de rutas
Conectado: Se crea una ruta para
cada subred IP que tiene una
interfaz activa en el router .
Esttico: ruta creada para forzar
reenvo de paquetes a travs de un determinado destino. .
2013-01-01 110
-
Enrutamiento estatico
2013-01-01 111
-
Enrutamiento estatico
Rutas a subredes que existen en un
router se crean y se conocen con ese router
automticamente. Pero, qu pasa si usted
necesita para llegar a una subred que
existe en otro router ? Se crea una ruta
esttica!
Una ruta esttica es una forma de
manual de reenvo de trfico a subredes desconocidas.
2013-01-01 112
-
Enrutamiento estatico
2013-01-01 113
-
La comprensin de los campos
Banderas : El estado de cada ruta, como se explica en las
diapositivas anteriores
Dst . Direccin: Las direcciones de destino que esta ruta utiliza
Puerta de enlace: Por lo general, la direccin IP del siguiente salto
que recibir los paquetes destinados a " Dst . Direccin".
Distancia: Valor utilizado para la seleccin de la ruta. En las
configuraciones en las varias distancias son posibles, se prefiere la
ruta con el valor ms pequeo.
Marca Enrutamiento: tabla de enrutamiento que contiene esta
ruta. El valor predeterminado es "Principal".
Pref. Fuente: La direccin IP de la interfaz local responsable de reenviar paquetes enviados por subred anunciado.
2013-01-01 114
-
Por que Enrutamientoestatico?
Hace configuracin ms sencilla en muy
pequea red que lo ms probable es que no
crezca.
Limita el uso de los recursos del router(memoria, CPU)
2013-01-01 115
-
Lmites de enrutamientoesttico
No escala bien.
Se requiere configuracin manual cada
vez que una nueva subred debe ser alcanzado.
2013-01-01 116
-
Lmites de enrutamientoesttico Ejemplo
Su red crece y hay
que aadir enlaces a
los routers remotos
(y subredes).
Supongamos que
todos los routers
tienen 2 subredes
LAN y 1 o ms subredes WAN. .
2013-01-01 117
-
Lmites de enrutamientoesttico ejemplo
How many static
routes to add on
router -1?
Routers 3 to 5 : 9
Router 2 : 2
Router 6 and 7 : 4
Total of 15 static
routes to add manually!!
2013-01-01 118
-
Creando Rutas
Para agregar una
ruta esttica :IP -> Routes
+ (Add)
Especificar subred
destino y mscara
Especifique
"Gateway" (siguiente salto)
2013-01-01 119
-
La ruta por defecto
La ruta 0.0.0.0/0
Conocida como la ruta por defecto.
Es el destino donde se enviar todo el
trfico de subredes desconocidas.Tambin es una ruta esttica.
2013-01-01 120
-
Gestin de rutas dinmicas
Como se mencion antes, las rutas
dinmicas se agregan por el proceso de
enrutamiento, no por el administrador.
Esto se hace automticamente.
No se puede gestionar rutas dinmicas. Si
la interfaz a la que la dinmica de ruta
est vinculada disminuye, tambin lo hace la ruta!
2013-01-01 121
-
Managing dynamic routes, example
2013-01-01 122
-
Implementar el enrutamiento
esttico en redes simples
Ejemplo .
2013-01-01 123
-
Implementar el enrutamiento
esttico en redes simples
Ejercicio:
Suponiendo que las direcciones IP se
han introducido correctamente, lo que
los comandos usara para permitir las
comunicaciones completas de ambas
subredes (LAN1 y LAN2)?
(Respuesta en la siguiente diapositiva. No espiar)
2013-01-01 124
-
Implementar el enrutamiento
esttico en redes simples
router -1/ip route
add gateway=172.22.0.18
add dst -address=10.1.2.0/24 gateway=10.0.0.2
router -2/ip route
add gateway=10.0.0.1
2013-01-01 125
-
Fin del mdulo 2
Tiempo para un ejercicio prctico
2013-01-01 126
-
Objetivos del laboratorio
1. Obtener la conectividad con otras
LUGARES o PODs LAN
2. Validar uso de ruta por defecto3. Ver y explicar banderas ruta
2013-01-01 127
LABORATORIO 2
-
Laboratorio : Setup
2013-01-01 128
-
Laboratorio : paso 1
Eliminar la ruta predeterminada que se
cre en el mdulo 1
Hacer de ping otras POD '. Nota
resultados
Crear rutas estticas a subredes LAN
otras POD '
Computadoras de ping otras POD '. Nota resultados
2013-01-01 129
-
Laboratorio : paso 2
Abra un navegador Web e intente acceder
a la pgina Web de Mikrotik . Nota
resultados
Crear la ruta por defecto utilizando el
router del entrenador como puerta de
entrada Internet
Abra un navegador Web e intente acceder
a la pgina Web de Mikrotik . Nota resultados
2013-01-01 130
-
Fin de Laboratorio 2
Backupde texto y binario opcional
2013-01-01 131
-
2013-01-01 132
MODULO 3 BRIDGING
-
Bridging Concepto
2013-01-01 133
-
Bridging conceptos
Los puentes son OSI capa 2 en
dispositivos .
Tradicionalmente , se utilizan para unir
dos segmentos de tecnologa diferente (o similar ).
2013-01-01 134
-
Bridging conceptos
Bridges tambin se utilizaron para crear
dominios de colisin ms pequeos.El objetivo era mejorar el rendimiento al reducir el
tamao de la subred. Especialmente til antes del
advenimiento de los interruptores.
Swiches se conocen como puentes de
mltiples puertos.Cada puerto es un dominio de colisin de un solo
dispositivo !
2013-01-01 135
-
Ejemplo 1
Todos los equipos pueden comunicarse entre s.
Todos tienen que esperar a que todo el mundo
sea no transmita antes de poder iniciar la transmisin!
2013-01-01 136
-
Ejemplo 2
Todas las computadoras todava " entre s.
Todas las computadoras ahora slo comparten la mitad
del "alambre".
Todo todava tienen que esperar a que todo el mundo
este callado antes de poder iniciar la transmisin, pero el
grupo es la mitad del tamao ahora.Mejor rendimiento para todos los dispositivos!
2013-01-01 137
-
Usando bridges
Por defecto, en los routers MikroTik ,
puertos Ethernet estn asociados (esclavo)
a un puerto maestro.Ventaja: conmutacin de la velocidad del
cable (a travs de chips de conmutacin, no
software).
Desventaja: No la visibilidad del trfico de
los puertos de esclavos. No es conveniente si
se utiliza SNMP para supervisar el uso de puertos.
2013-01-01 138
-
Usando bridges
Mediante la eliminacin de configuracin
maestro y esclavo, debe utilizar una
interfaz de puente para agrupar a ella los
puertos necesarios en una sola LAN.o Ventaja: Completa la visibilidad de todas las
estadsticas de puerto para los puertos.
o Desventaja: El cambio hace a travs de software.
Algunos CPU golpe. Menos de una velocidad ptima de transferencia de paquetes.
2013-01-01 139
-
Creando bridges
Usando MenusBridge
Add (+)
Name the bridge
Listo !
2013-01-01 140
-
Creando bridges
2013-01-01 141
-
Adicin de puertos a los puentes
Adicin de puertos definir cules
pertenecen a la misma subred.
Diferentes tecnologas se pueden agregar, como una interfaz Wi -Fi.
2013-01-01 142
-
Adicin de puertos a los puentes
Menu path to add a portBridge
Ports tab
Add (+)
Choose the interface and the bridge
y listo !
2013-01-01 143
-
Adicin de puertos a los puentes
2013-01-01 144
-
Bridging wireless networks
El mismo se puede hacer con interfaces
inalmbricas.
Veremos esto en el prximo mdulo. Se paciente!
2013-01-01 145
-
Tiempo para un ejercicio prctico
2013-01-01 146
FIN DEL MDULO 3
-
Objetivos del laboratorioCrear un puente
Asignar puertos a un puente
Validar que siguiendo estos pasos, puede
asignar todos los puertos libres a la misma subred
2013-01-01 147
LABORATORIO 3
-
Laboratorio : Diagrama
2013-01-01 148
-
Laboratorio : paso 1
Lanzar ping t
Desconecte el cable de red desde el puerto
actual (# 2) y conectarlo en otro puerto.
Discutir los resultados.
Deje la ventana de comandos en
funcionamiento y visible a travs de este laboratorio.
2013-01-01 149
-
Laboratorio : paso 2
Conecte al router en modo alguno que
funcione.
Crear una interfaz de puente. El nombre
de "LAN" y dejar los otros valores en su
defecto.
Asignar la direccin IP de la LAN de la
POD (192.168.x.1) a la interfaz de puente.Ha cambiado algo?
2013-01-01 150
-
Laboratorio : paso 3
Abra la ventana "Lista de Interfaz" y comprobar
que las interfaces se estn ejecutando.
Asignar puertos # 2 al # 5 a la interfaz de
puente "LAN".
Discutir los resultados. Cundo devolver su
ping?
Cambie el cable a los puertos # 2 a # 5. Que
pas? Discuta por qu. Mira la columna de estado. Qu significa decir?
2013-01-01 151
-
Fin de Laboratorio 3
2013-01-01 152
-
Wireless
2013-01-01 153
MODULO 4WIRELESS
-
802.11 Conceptos
2013-01-01 154
-
Frecuencias
802.11b2.4GHz (22MHz bandwidth ), 11Mbps
802.11g2.4GHz (22MHz bandwidth ), 54Mbps
802.11a5GHz (20MHz bandwidth ), 54Mbps
802.11n2.4GHz or 5GHz up to 300Mbps, if using 40MHz
channel and 2 radios ( chains)
802.11ac2.4GHz or 5GHz up to 1690Mbps, if using 160MHz
channel and 2 radios (chains)2013-01-01 155
-
Frecuencias
802.11b, g rango de frecuenciaLos canales 1, 6 y 11 no se solapan
2013-01-01 156
Diagram by Michael Gauthier
-
Frecuencias
Rango de frecuencia 802.11a
12 20MHz canales de ancho y 5 canales de 40MHz
2013-01-01 157
-
Frecuencias
BandasMikrotik soporta tanto 5GHz (802.11a / n) y
las bandas de 2,4 GHz (802.11b / g / n ) y ahora saliendo los equipos AC en 5Ghz
2013-01-01 158
-
Frecuencias
La funcin de "Canales avanzadas" ofrece
posibilidades extendidos en configuracin
de la interfaz inalmbrica:scan-list que abarca mltiples bandas y anchos de
canal;
frecuencias centrales de canal no estndar
(especificar con granularidad KHz) para el hardware
que lo permite;
anchos de canal no estndar (especificados con granularidad KHz) para el hardware que permite.
2013-01-01 159
-
Frecuencias
Tasas bsicas son las velocidades que un cliente debeser compatible con el fin de conectarse a un AP
Tasas compatibles son las velocidades que se pueden
alcanzar una vez que la conexin se ha aceptado
(factores pueden influir en la velocidad mxima
alcanzada)
Data -tasas son las tasas compatibles segn el estndar
que se utiliza.802.11b: 1 a 11 Mbps
802.11a / g: 6 a 54 Mbps
802.11n: 6 300 Mbps, en funcin de factores tales como el ancho
de banda del canal (20 o 40 MHz), Guardia de intervalo (GI), y cadenas
2013-01-01 160
-
Frecuencias
Cadenas HTSon para antenas con una radio
Se utiliza para 802.11n, y es un factor en el rendimiento
2013-01-01 161
-
Frecuencias
Modo de FrecuenciaReguladora de dominios: canales lmite y
potencia de transmisin en base a la
normativa del pas.
Manual -txpower : Igual que el anterior pero
sin la restriccin de potencia TX.
Superchannel : ignorar todas las restricciones
2013-01-01 162
-
Frecuencias
parmetro: Frecuencias y
limitaciones de potencia se basan en los
reglamentos "de pas". El uso de
"no_country_set " configurar el conjunto de canales de FCC ..
2013-01-01 163
-
Configuracin del punto de accesoAccess point configuration
Mode : ap bridge
Band :Con base en el router de
las capacidades y de los clientes.
Si AP soporta mltiples bandas
(ej. B / G / N) seleccionar la que
mejor se ajuste a sus necesidades
Frequency : Any of the
available channels
SSID : identidad del red
inalmbrica
Wireless protocol : Basado en el
router y las capacidades de los
clientes. Por AP "normal" a los enlaces de PC, utilice 802.11
2013-01-01 164
-
Establecimiento de una conexin inalmbrica sencilla
AJUSTE PERFIL DE
SEGURIDAD!
No hacerlo es una
violacin total de la
seguridad. Deja tu red
de par en par!
2013-01-01 165
-
Establecimiento de una conexin inalmbrica sencilla
Para agregar un perfil de
seguridadClick Add
Name : El nombre del perfil
Mode : Tipo de autenticacin a
utilizar
Authentication types : Los
mtodos utilizados para
autenticar una conexin
Ciphers : Mtodos de encriptacin
2013-01-01 166
-
Establecimiento de una conexin inalmbrica sencilla
Ahora usted puede utilizar su
nuevo perfil de seguridad y
sentirse mejor acerca de la
seguridad de su red inalmbrica
2013-01-01 167
-
Establecimiento de una conexin inalmbrica sencilla
Volver a las frecuencias! Cul
usar?
Haga clic en " Snooper"
Tener cuidado! Esto
desconectar la interfaz WLAN y clientes asociados
2013-01-01 168
-
Establecimiento de una conexin inalmbrica sencilla
Volver a las frecuencias! Cul
usar?Haga clic en " Snooper"
Tener cuidado! Esto
desconectar la interfaz
WLAN y clientes asociados
Usted tiene una visin
completa de las bandas de
frecuencias utilizadas y
Seleccione un canal libre o, al menos, uno con poco uso
2013-01-01 169
-
Establecimiento de una conexin inalmbrica sencilla
configuracin de la estacin
ClienteMode : station
Band : Para que coincida con su
AP.
Frequency : no tiene importancia para los clientes
2013-01-01 170
-
Establecimiento de una conexin inalmbrica sencilla
Station configurationSSID : Para que coincida con el
punto de acceso al que desea
conectarse
Wireless protocol : Para que
coincida con el punto de acceso al
que desea conectarse
Crear un perfil de seguridad,
como se demuestra en la
configuracin de "punto de
acceso", y aplicar aqu.
Parmetros deben coincidir
2013-01-01 171
-
Filtrado por direcciones MAC
Filtrado de direcciones MAC es
una forma adicional de limitar la
conexin de los clientes.
Para aadir una entrada a una
lista de acceso (en un AP !!),
seleccione un nodo registrado y
haga clic en "Copiar a la lista de acceso"
2013-01-01 172
-
Filtrado por direcciones MAC
Ahora tiene una nueva entrada !
2013-01-01 173
-
Filtrado por direcciones MAC
Las listas de acceso se utilizan
en los puntos de acceso para
restringir conexiones a clientes
especficos y controlar sus
parmetros de conexin.Reglas se comprueban
secuencialmente
Slo se aplica la primera regla
coincidente
Si la opcin "Default Autenticar"
(pestaa "Wireless" en "Interfaz ->
wlan " pantalla) est des-marcada ,
los dispositivos que no responden a
una regla de la lista de acceso son rechazados
2013-01-01 174
-
Filtrado por direcciones MAC
Opcin Autenticacin le dir router
para comprobar la "seguridad -perfil"
para determinar si la conexin debe
permitir. Si no se controla, la
autenticacin siempre fallar.
Opcin Reenvo le dir al router para
permitir a los clientes de la AP para
llegar a la otra sin la ayuda APs
(evitando as las reglas del firewall
que pueda tener). Para mayor seguridad, deje sin marcar
2013-01-01 175
-
Filtrado por direcciones MAC
AP Tx Limit restringe la
velocidad de datos de AP con el
clienteAjuste demasiado bajo puede causar
problemas de conexin. Prueba
primero!
Lmite TX Client restringe la
velocidad de datos desde el cliente
al APExtensin patentada que es
apoyada solamente por RouterOS
clientes
Una vez ms, es posible que
desee probar para ver lo que es aceptable
2013-01-01 176
-
Filtrado por direcciones MACConecte listas (en estaciones
cliente) asignar prioridades,
sobre la base de la fuerza de la
seal y la configuracin de
seguridad, que indiquen que los
puntos de acceso del cliente se
puede conectar aReglas se comprueban
secuencialmente
Slo se aplica la primera regla
coincidenteSi la opcin "Default Autenticar"
(pestaa "Wireless" en "Interfaz ->
wlan " pantalla) est marcada y hay una
regla de conexin-lista se corresponde,
cliente intentar relacin basada en la
mejor seal y la compatibilidad de
seguridad
2013-01-01 177
-
Filtrado por direcciones MAC
Ejemplo: Esta estacin no
tiene SSID o perfil de
seguridad definido, sino
porque tiene un partido de
conexin-lista, se estableci
una conexin
2013-01-01 178
-
Filtrado por direcciones MAC
Nota interesante: Si el campo
SSID (en la estacin de conectar
regla) est vaca, el cliente se
conecta a cualquier SSID con un
perfil de seguridad
correspondiente.
Campo Interface de SSID tambin debe estar vaco!
2013-01-01 179
-
Filtrado por direcciones MAC
Default -authentication : Especifica el
comportamiento tras la comprobacin de acceso
y conectarse listas .Para los puntos de acceso, si el valor yes, permitir conexiones
si no hay una lista de acceso partido proporcionado SSID
interfaz y el perfil de seguridad de partido. De lo contrario, no se
permiten conexiones .Para las estaciones, si el valor yes, permitir conexiones si no
hay conexin lista de partido, SSID interfaz proporcionada y el
perfil de seguridad de partido. De lo contrario, no se permiten conexiones.
2013-01-01 180
-
Filtrado por direcciones MAC
Por defecto la autenticacin
Si AP no tiene ninguna lista de acceso,
y por defecto a autenticarse est
marcada, clientes nunca se conectarn
Si la estacin no tiene lista de
conexin, y por defecto a autenticarse
no est marcada, nunca se conectar a un AP
2013-01-01 181
-
Filtrado por direcciones MAC
Default -forwarding : Especifica el
comportamiento de reenvo de los clientes
despus de la verificacin de las listas de
acceso.Si se establece en s, permitir capa 2
comunicaciones entre los clientes.
Si se establece en no, los clientes seguirn
viendo unos a otros (en la capa 3) SI reglas de
firewall permiten.
2013-01-01 182
-
La seguridad inalmbrica y encriptacin
WPA, WPA2Wi-Fi Protected Access (I y II)
Protocolo de autenticacin creado despus
debilidades fueron encontradas en WEP
Si se pone en marcha correctamente, WPA
es muy seguro
Debilidades a ataques de fuerza bruta se
encontraron al utilizar WPS ( Wi -Fi Protected
Setup)WPS no utilizados por Mikrotik
2013-01-01 183
-
La seguridad inalmbrica y encriptacin
WPASe utiliza para reemplazar a WEP
(debilidades encontradas)
Utiliza TKIP como protocolo de encriptacinGenera una nueva clave para cada paquete
2013-01-01 184
-
La seguridad inalmbrica y encriptacin
WPA2Utiliza CCMP para reemplazar como protocolo de
encriptacin
Sobre la base de AES
Ms fuerte que TKIP
Es obligatoria en dispositivos certificados Wi -Fi
desde 2006
Debe ser usado para alcanzar tasas de bits ms
altas, de otro modo limitado a 54 Mbps(http ://www.intel.com/support/wireless/wlan/4965agn/sb/cs -025643.htm )
2013-01-01 185
-
La seguridad inalmbrica y encriptacin
WPA-PersonalAlso referred to as WPA -PSK, is designed for
small offices and the home
Does not require an authentication server
Client to AP authentication is based on a
256-bit key generated from a pre -shared key
(PSK), which can be a password or passphrase, known to both
2013-01-01 186
-
La seguridad inalmbrica y encriptacin
WPA-EnterpriseAlso referred to as WPA -802.1X mode, is
designed for enterprise networks
Uses EAP for authentication
Require a RADIUS authentication server
More complicated to deploy, but provides
added features such as protection against dictionary attacks on weaker passwords
2013-01-01 187
-
MikroTik wireless protocols
NV2 (Nstreme Version 2)
second version
For use with the Atheros 802.11 wireless chip.
Based on TDMA ( Time Division Multiple
Access) instead of CSMA ( Carrier Sense
Multiple Access )
Used to improve performance over long distances
2013-01-01 188
-
MikroTik wireless protocols
NV2 benefitsIncreased speed
More client connections in point to multipoint environments (limit is 511 clients)
Lower latency
No distance limitations
No penalty for long distances
2013-01-01 189
-
Monitoring tools
There are various tools that will help you
the frequency with no (or the least) interference
2013-01-01 190
-
Monitoring tools
Wireless scan : Two optionsFrequency usage
Scan
2013-01-01 191
-
Monitoring tools
Wireless scan : Frequency Usage
Shows all
supported
frequencies and
their usage by neighboring APs
Drops connected
wireless clients!
2013-01-01 192
-
Monitoring tools
Wireless scan : Scan
Gives information
about neighboring APs
Drops
connected
wireless clients!
2013-01-01 193
-
Herramientas de monitoreo
SnooperProporciona
informacin ms
detallada acerca de
otros puntos de acceso
y clientes
Desconecta clientes
inalmbricos conectados!
2013-01-01 194
-
Herramientas de monitoreo
SnooperProporciona
informacin ms
detallada acerca de
otros puntos de acceso
y estaciones haciendo doble clic
2013-01-01 195
-
Herramientas de monitoreo
Registration table : Proporciona
informacin sobre las estaciones cliente
conectadas.til slo en los puntos de acceso.
2013-01-01 196
-
Herramientas de monitoreo
2013-01-01 197
-
Herramientas de monitoreo
Registration tablePodemos ver el
estado de conexin
actual estacinNota: Los comentarios
que aparecen por
encima de las estaciones
es de ficha "Lista de
acceso". til para ver
bajo las cuales criterios se autoriz la estacin
2013-01-01 198
-
Bridging wireless networks
Station -bridge : Un modo propietario
Mikrotik para crear un puente L2 segura
entre routers Mikrotik
Se puede utilizar para ampliar una subred inalmbrica a muchos clientes
2013-01-01 199
-
Fin del mdulo 4
Tiempo para un ejercicio prctico
2013-01-01 200
-
Laboratorio
Objetivos del laboratorioUtilice las distintas herramientas para analizar los
canales y las caractersticas de las redes
inalmbricas, puntos de acceso y estaciones
utilizadas
Configurar routers PODs como clientes inalmbricos
del router del profesor
Configurar routers PODs como puntos de acceso
inalmbricos
Familiarizarse mismos con Listas Connect y listas de acceso
2013-01-01 201
-
Laboratorio : Diagrama
2013-01-01 202
-
Laboratorio : Pasos Preliminar
Antes de hacer nada !!!Realice una copia de seguridad binaria de la
configuracin actual con el nombre:
Mdulo 3 -podX donde X es el nmero de su
POD
Cmo hara usted para hacerlo?que ventanas usara?
2013-01-01 203
-
Laboratorio : paso 1
USE, uno tras otro :Frequency Usage
Anote los canales con ms uso
ScanHacer un vnculo entre las frecuencias y SSID
visibles
SnooperQu se puede decir de las redes visibles?
Qu significan los smbolos en la columna de la izquierda representan?
2013-01-01 204
-
Laboratorio : paso 2
Abra la ventana "Puente" y vaya a la
pestaa "Puertos"
Mediante el uso de los procedimientos
que hemos visto en los mdulos anteriores,
agregue la interfaz "wlan1" de puente
"LAN".Cierre la ventana de "puente"
2013-01-01 205
-
Laboratorio : paso 3
Abra la ventana "Wireless" y asegurarse de que la interfaz "wlan1" est activado
2013-01-01 206
-
Laboratorio : paso 4Haga doble clic en la interfaz y vaya a la pestaa
"Wireless". Haga clic en "Modo avanzado", a continuacin, introduzca los siguientes parmetros :
Mode : ap bridge
Band : 2GHz -B/G/N
Channel width : 20MHzFrequency : POD IMPAR use 2437 , POD PARES 2462
SSID : podX
RadioName : RouterPodX
Wireless protocol : 802.11
Security Profile : default (mala idea otras veces )Frequency Mode : Regulatory -domain
Country :
Default Authenticate est activada2013-01-01 207
-
Laboratorio : paso 5
Retire el cable de red entre el ordenador
porttil y el router . El cable de su router
al del profesor debe permanecer
Configure su porttil para utilizar
parmetros wi -fi de su Router
Asegrese de que tiene conectividad wi -fi
Ponga los IP al wifi de la portable
Conectarse a Internet
2013-01-01 208
-
Laboratorio : paso 6
Realice una copia de seguridad binaria de la
configuracin actual con el nombre de:
Module4a -podX donde X es el nmero de su
vaina
Desde la ventana "Lista de archivos", seleccione
Mdulo 3 -podX y haga clic en el botn
"Restaurar" en la parte superior de la ventanaResponda "s" para reiniciar el router
2013-01-01 209
-
Laboratorio : paso 7
Vuelva a conectar el cable de red de su
computadora porttil a su router
Desconecte el cable de la red de su router
a otro del profesor
Ahora debera tener ningn acceso a Internet
2013-01-01 210
-
Laboratorio : paso 8
Trabajo preliminar
Direccin IP para WLAN1 192.168.252.podX
Habilitar interfaz wlan1 Security profile
Name : WPA2
Authentication types : WPA2 PSK
Unicast and group ciphers : aes ccm
WPA2 pre-shared key : mtcna123!
2013-01-01 211
-
Laboratorio : paso 9Active el "Modo avanzado" en la pestaa
"Wireless" de "Interfaz "
Tenemos que conectar con la AP de la
clase. Los siguientes parmetros deben ser
compatibles con la de la AP conectarse. Mode : Station
Band : 2GHz -only -N
SSID : WISP
Radio name : WISP-PODX
Wireless protocol : 802.11
Security profile : Cliente
2013-01-01 212
-
Laboratorio : paso 10
Frequency Mode : regulatory -domain
Country : Bolivia.
Leave Authenticate checked for now
Haga clic en Aceptar y seleccione la
pestaa en la ventana
Tu debera ver aparecer AP del profesor.
Si es as, usted est conectado!Pero espera !!!
2013-01-01 213
-
Laboratorio : paso 11
Antes de la navegacin puede trabajar,
vamos a corregir nuestras tablas de
enrutamiento .Redefinir la puerta de enlace
predeterminada para ser 192.168.252.254
Redefinir la ruta a la interfaz LAN del pod
de tu prjimo (192.168.Y.1) que pasar por
192.168.252.YPing a su vecino LAN ( 192.168.Y.1)
Cul es el resultado ? Chequea DNS y NAT
2013-01-01 214
-
2013-01-01 215
FIN DE LABORATORIO 4
-
Administracin de redes
2013-01-01 216
MODULO 5
-
ARP
2013-01-01 217
-
ARP
Soportes para " Address Resolution
Protocol"
Mecanismo que une capa direccin IP 3 a
la capa 2 de direcciones MAC
Se utiliza normalmente como un proceso
dinmico, pero se puede configurar de
forma esttica en ciertas situaciones donde la seguridad lo amerita
2013-01-01 218
-
ARP modos
Modos ARP "dicen RouterOS cmo ARP es
trabajarLos modos se configuran en una base "por
Los son Enabled : El modo por defecto. Peticiones ARP sern contestadas
y la tabla ARP se rellenarn automticamente
Disabled : Interfaz no enviar o respondera a peticiones ARP. Otros anfitriones debe ser dicha direccin MAC del router
Proxy ARP : El router responde a peticiones ARP que vienen por su red directamente conectada (independientemente del origen)
Reply only : El router responde a peticiones ARP. Tabla ARP del router debe ser llenado de forma esttica
2013-01-01 219
-
RouterOS Tabla ARP
La tabla ARP muestra todas las entradas
ARP y la interfaz de la que se aprendenLa tabla ARP ofrece:
La direccin IP de los dispositivos conocidos
Las direcciones MAC asociadas con las
direcciones IPLas interfaces de la que fueron aprendidas
2013-01-01 220
-
RouterOS ARP table
Puede agregar entradas estticas a la
tabla ARP para proteger la red
Puede evitar el envenenamiento ARP /
ARP SpoofingRequiere mucho trabajo y planificacin
2013-01-01 221
-
ARP syntax
View ARP table :/ip arp print
Add a static entry :/ip arp add address=172.16.2.222 mac -
address=11:22:33:44:55:66 interface=Bridge -PC
Configure ARP mode :/interface ethernet set ether04 arp=proxy -
arp
2013-01-01 222
-
DHCP servidor y el cliente
2013-01-01 223
-
DHCP server
Soportes para Dynamic Host
Configuration Protocol
Se utiliza para asignar automticamente
una direccin IP, mscara de red, puerta
de enlace predeterminada y,
opcionalmente, otros parmetros a los nodos que solicitan
2013-01-01 224
-
DHCP server setup
La interfaz que aloja el servidor DHCP
debe tener su propia direccin IP que no
est en el grupo de direcciones
Una pool es un rango de direcciones IP
que se pondrn a disposicin de los clientes
2013-01-01 225
-
DHCP server setup
En la ventana DHCP -servidor,
simplemente haga clic en el botn
"Configuracin de DHCP" y responder a
las preguntas DHCP Server InterfaceInterfaz Servidor DHCP
DHCP Rango de red
Gateway para Red del DHCP
Las direcciones para dar a conocer
Servidores DNS (ms de uno se puede)Tiempo de reserva
2013-01-01 226
-
DHCP server setup
La configuracin automtica:
Crea una piscina IP
Un grupo de direcciones IP para asignar
Crea el servidor DHCP
Su nombre y los parmetros (como la interfaz
que aceptar solicitudes de los)
Crea el espacio de direccionesLa red IP y varios parmetros
2013-01-01 227
-
DHCP server setup
Los resultados de la configuracin automatizada
2013-01-01 228
-
DHCP server setupDHCP se puede utilizar para configurar
opciones como
42 : NTP Servers
70 : POP3-Server
Visit
http://www.iana.org/assignments/bootp -dhcp-
parameters/bootp -dhcp-parameters.xhtmlpara mas opciones DHCP
Nota IMPORTANTESi tiene un entorno de puente, el servidor DHCP debe estar
configurado en la interfaz de puente. Si se establece en un puerto de puente, el servidor DHCP no funcionar.
2013-01-01 229
-
DHCP server syntax
Configure a DHCP scope/ip dhcp -server setup
Configure a DHCP option/ip dhcp -server option add name=46 -node-
type code=46 value=0x0008
2013-01-01 230
-
DHCP server syntax
Assign a DHCP option to a network/ip dhcp -server network print ( to view
available networks )
/ip dhcp -server network set dhcp -option=46 -node-type numbers=1
Assign a WINS server to a network/ip dhcp -server network set wins -
server=172.16.2.100 numbers=1
2013-01-01 231
-
2013-01-01 232
-
DHCP clientePermite interfaces Ethernet como para
solicitar una direccin IP .El servidor DHCP remoto suministrar :
Direccin
Mscara
Puerta de enlace predeterminada
Dos servidores DNS (si el servidor DHCP remoto
est configurado )El cliente DHCP proporcionar opciones configurables:
Nombre de host
ClientId (en la forma de su direccin MAC)
Normalmente se utiliza en las interfaces de la Internet, por ejemplo
2013-01-01 233
-
DHCP client syntax
To configure a DHCP -client interface/ip dhcp -client add interface=ether5 dhcp -
options=clientid,hostname
To view and enable a DHCP client/ip dhcp -client print
/ip dhcp -client enable numbers=1
To view the DHCP client's address/ip address print
2013-01-01 234
-
Gestin de arrendamiento
La seccin "/ip dhcp-server lease" proporciona
informacin sobre los clientes DHCP y
arrendamientos
Muestra arrendamientos dinmicos y estticos
Se puede convertir un permiso dinmico en uno
estticoPuede ser muy til cuando un dispositivo tiene que mantener la
misma direccin IP
Tener cuidado! Si cambia la tarjeta de red, se pondr una nueva direccin. una direccin por MAC
2013-01-01 235
-
Gestin de arrendamiento
Servidor DHCP se podra hacer para
funcionar nicamente con direcciones
estticas
Los clientes slo recibirn las
direcciones IP preconfigurados
Evale su situacin y la necesidad de
hacer esto antes de hacerlo de esta
manera. Se requerir mucho trabajo para grandes redes
2013-01-01 236
-
Gestin de arrendamiento
syntax
To view DHCP leases/ip dhcp -server lease print
/ip dhcp -server lease print detail ( gives more
detailed information )
To make a dynamic IP address static/ip dhcp -server lease make -static numbers=0
To modify the previous entry's assigned IP address
/ip dhcp -server lease set address=192.168.3.100 numbers=0
2013-01-01 237
-
RouterOS Herramientas
2013-01-01 238
-
E-mail
Una herramienta que le permite enviar
correo electrnico desde el router
Se puede utilizar, junto con otras
herramientas, para enviar las copias de
seguridad de configuracin regulares
administrador de red, por ejemplo ,Tool CLI path
/tools e-mail
2013-01-01 239
-
E-mail, Ejemplo
Configuracion SMTP server
Enviar configuration file via e -mail
2013-01-01 240
/export file=export
/tool e - mail send [email protected] subject="$[/system identity get name] export" \
body="$[/system clock get date] configuration file" file=export.rsc
/tool e - mail
set address=172.31.2.1 [email protected] last - status=succeeded password=never123! port= \
587 start - tls=yes [email protected]
-
Netwatch
Una herramienta que le permite
controlar el estado de los dispositivos de
red
Para cada entrada, puede especificarIP address
Ping interval
Up and/or Down scripts
2013-01-01 241
-
Netwatch
MUY tilSer conscientes de los fallos de red
Automatizar un cambio de puerta de enlace
predeterminada, por ejemplo, en caso de
fracasar las principales
Slo para tener una vista rpida de lo que
est arriba
Cualquier otra cosa que se puede llegar a
simplificar y agilizar su trabajo (y te hacen ver eficiente!)
2013-01-01 242
-
PingHerramienta de conectividad bsica que utiliza
mensajes de eco ICMP para determinar la
accesibilidad host remoto y el retardo de ida y
vuelta
Una de las primeras herramientas a utilizar
para solucionar problemas. Si hace ping, el
anfitrin est vivo (desde el punto de vista de
redes)
Utilcelo con otras herramientas para
solucionar problemas. No es la ltima
herramienta, pero un buen comienzo
2013-01-01 243
-
Ping syntax
CLI
CTRL - para parar
2013-01-01 244
[admin@MikroAC1] > ping www.mikrotik.com
HOST SIZE TTL TIME STATUS
159.148.147.196 56 50 163ms
159.148.147.196 56 50 156ms
159.148.147.196 56 50 156ms
159.148.147.196 56 50 160ms
sent=4 received =4 packet - loss =0% min - rtt =156ms avg - rtt =158ms max - rtt =163ms
-
Traceroute
Se utiliza para mostrar todos los routers
viajaron hasta llegar a su destino
Indica el retraso para llegar a cada router
en el camino para llegar a su destinoBueno para localizar un fallo o nodo lenta
2013-01-01 245
-
TracerouteCLI
/tools traceroute www.mikrotik.com
2013-01-01 246
[admin@MikroAC1] > / tool traceroute www.mikrotik.com
# ADDRESS LOSS SENT LAST AVG BEST WORST STD - DEV STATUS
1 100% 3 timeout
2 216.113.124.190 0% 3 13.9ms 12.2 11.1 13.9 1.2
3 216.113.122.230 0% 3 9.6ms 9 7.5 9.8 1
4 100% 3 timeout
5 216.6.99.14 0% 3 114.4ms 114.7 113.6 116.2 1.1
6 80.231.130.121 0% 3 104.5ms 105.7 104.5 107.1 1.1
7 80.231.130.86 0% 3 103.2ms 107.5 103.2 115.4 5.6
8 80.231.154.70 0% 3 136.5ms 119 104.3 136.5 13.3
9 80.231.153.122 0% 3 113ms 110.7 106.4 113 3.1
10 195.219.50.38 0% 3 111.9ms 115 110.7 122.5 5.3
11 87.245.233.178 0% 3 140.7ms 159.6 135.7 202.4 30.3
12 87.245.242.94 0% 3 169ms 173 169 178.4 4
13 85.254.1.226 0% 3 173.3ms 168.4 164.6 173.3 3.6
14 85.254.1.6 0% 3 165.2ms 166.7 165.1 169.7 2.1
15 159.148.16.2 0% 3 165.3ms 166.1 165.3 167.3 0.8
16 159.148.42.129 0% 3 167.6ms 166.6 165.6 167.6 0.8
17 100% 3 timeout
18 100% 3 timeout
19 100% 3 timeout
20 100% 2 timeout
21 159.148.147.196 0% 2 156.9ms 155.7 154.5 156.9 1.2
-- [Q quit|D dump|C- z pause]
-
Profiler (CPU load)
Tool that shows the CPU load
Shows the processes and their load o the CPU
idle
just that; the percentage of the CPU NOT being used
2013-01-01 247
-
Profiler (CPU load)
CLI/tool profile
Para ms detalles sobre los procesos y lo que significan, por favor visite http://wiki.mikrotik.com/wiki/Manual:Tools/Profiler
2013-01-01 248
[admin@MikroAC1] > /tool profile
NAME CPU USAGE
console all 0%
flash all 0%
networking all 0%
radius all 0%
management all 0.5%
telnet all 0.5%
idle all 99%
profiling all 0%
unclassified all 0%
-- [Q quit|D dump|C - z continue]
-
System identity
Aunque no es una herramienta, es importante para
establecer la identidad del sistema.
No se puede gestionar 100 routers que todos tienen el
nombre " Mikrotik ". Se hace casi imposible la solucin de
problemas.
Una vez establecido, se har la identificacin del router
que est trabajando mucho ms simple
.Syntax/system identity print (show current name)
/system identity set name=my-router ( sets
the router's name)
2013-01-01 249
-
Ponerse en contacto con
soporte Mikrotik
2013-01-01 250
-
Supout.rif
Supout.rif es un archivo de soporte
utilizado para RouterOS depurar
propsitos y para ayudar al personal de
apoyo Mikrotik resolver problemas ms
rpidoSyntax
CLI : /system sup -output
2013-01-01 251
-
Supout.rif
Una vez
generado, el
archivo
"supout.rif " se
encuentra en la lista de archivos
2013-01-01 252
-
Supout.rif Viewer
Para acceder al
supout.rif ", acceder
a su cuenta
Mikrotik
Usted debe tener
una cuenta (es una
buena idea tener
uno de todos modos)2013-01-01 253
-
Supout.rif Viewer
Los primeros pasos
son para localizar y
cargar el archivo
que gener
Comience a
navegar todos los
aspectos de la
configuracin
La vista
predeterminada es "recurso"2013-01-01 254
3
-
Autosupout.rif
Un archivo se puede generar de forma
automtica en caso de fallo de software (ej.
Kernel Panic o el sistema deja de
responder durante un minuto)
Hecho por el organismo de control
(sistema)
2013-01-01 255
-
System logging and debug logs
El registro es importante para asegurar
una historia (permanentes o no) de los
eventos del router
La forma ms fcil de ver los registros es
a travs de la (Men) ventana "log" The
CLI /log print
2013-01-01 256
-
System loggingComportamiento
Las tareas que el router emprender con ciertos
eventos
Reglas dicen que el router que "accin" para tomar
Hay cinco tipos de acciones, por lo que puede tener
un sistema de registro muy flexible
SugerenciaDebe definir noticias "acciones" en primer lugar que
no se pondrn a disposicin de acciones personalizadas a sus "reglas" hasta que se crean
2013-01-01 257
-
System logging
Actions, Ejemplos
2013-01-01 258
[admin@MikroAC5] > /system logging action print
Flags: * - default
# NAME TARGET REMOTE
0 * memory memory
1 * disk disk
2 * echo echo
3 * remote remote 172.16.1.105
4 webproxy remote 172.16.1.105
5 firewallJournal remote 172.16.1.105
-
System logging
RulesCuentan RouterOS la "accin" para llevar a cabo con
un determinado evento (que se llama un topic")
Usted puede tener ms de una regla para un mismo
tema, cada regla de realizar una "accin" diferente
Usted puede tener una regla con dos o ms temas, la
realizacin de una "accin"
Adicin de reglas es simple, elegir uno o varios
temas, nombrar la regla, elija una accin. (Por esta razn, se sugiere crear acciones primero)
2013-01-01 259
-
System logging
Rules, examples
2013-01-01 260
[admin@MikroAC5] > /system logging print
Flags: X - disabled, I - invalid, * - default
# TOPICS ACTION PREFIX
0 * info memory INF
!firewall
1 * error memory ERR
2 * warning memory WRN
3 * critical memory CRT
4 firewall memory FW
5 firewall firewallJournal FW
6 info remote INF
!firewall
7 error remote ERR
8 warning remote WRN
9 critical remote CRT
10 X snmp memory SNMP
11 web - proxy webproxy PROXY
!debug
-
System logging syntaxVer rules
/system logging print
Ver actions/system logging action print
Grabar los errores en syslog server/system logging action
add bsd-syslog=yes name=firewallJournal
remote=172.16.1.105 src-address=10.5.5.5 syslog-facility =local5 target =remote
Crear una regla para los temas de firewall que utilizar
la accin anterior/system logging
add action= firewallJournal prefix =FW topics=firewall
2013-01-01 261
-
Donde se envan los registros
Como se indica en "acciones", los registros se pueden encontrar en cinco lugares
Disk : A hard drive on the router
Echo : la consola del router (si existe )Email : A predefined e-mail account
Memory : memoria interna del router (como
se ve en la ventana de "log ")Remote : A syslog server
2013-01-01 262
-
Configuracin Leible
Tambin conocido como "Que quede claro!"
La oscuridad es su peor enemigo. Mantenga sus
configuraciones clara y legible a travs de comentarios,
los nombres y la uniformidad
Comentarios: Dar una descripcin simple del tema
Nombres: Hacerlos significativa
Uniformidad: hacer las cosas de la misma manera en
todas partes
Por qu debera hacer todo esto?
Para ti. A la larga, esto simplificar tu trabajo y te hacen ver eficiente (de nuevo)
2013-01-01 263
-
Configuracin Leible
Ejemplo
2013-01-01 264
-
Network diagramsUn diagrama bien elaborado es un deber!
Incluso si usted comienza a partir de un humilde
comienzo, su red crecer.
Identificar todos los componentes clave
Mantenga el diagrama al da
Es una herramienta importante de solucin de
problemas.
Se usa para identificar posibles puntos
problemticos
Utilizando las herramientas vistos en este
mdulo (ping, traceroute ), anote los posibles problemas
2013-01-01 265
-
Network diagrams
EjemploTodos los
puertos estn
marcados,
incluso los
disponibles
Los dispositivos
se identifican
Revisin # actualizada
2013-01-01 266
-
Fin del mdulo 5
Tiempo para un ejercicio prctico
2013-01-01 267
-
Objetivos del laboratorio
Practique conceptos ARP que se
muestran en este mdulo
Aadir funcionalidad DHCP ( cliente y
servidor) a su router
Utilice varias herramientas de solucin de problemas
2013-01-01 268
LABORATORIO 5
-
Laboratory : Setup
2013-01-01 269
-
Laboratorio : Paso 1
Muestra las entradas ARP del router
Identificar cada entrada
Con base en el diagrama de la red, tiene
sentido? Comparar con el puerto de la
direccin MAC se supo
Validar en el que el modo de ARP sus interfaces
Agregar una direccin MAC falsa como si se supiera desde el puente llamado "LAN"
2013-01-01 270
-
Laboratorio : Paso 2
Aadir un cliente DHCP en la interfaz WLAN1
Pregunte al entrenador para hacer una reserva
esttica en su servidor DHCP. El cuarto dgito
de su direccin IP debe coincidir con su vaina
Dar el entrenador direccin MAC de su interfaz
WLAN desde el router no ha sido nombrado
todava
Eliminar su direccin IP esttica
Renueve su direccin del cliente DHCPCul es la direccin de final?
2013-01-01 271
-
Laboratorio : Paso 3
LimpiezaAl crear el cliente DHCP, la opcin "Aadir ruta
por defecto" se establece en yes. Esto significa
que el cliente DHCP recibe una ruta por defecto
de forma dinmica
Muestra tus rutas. Qu ves en la ruta por
defecto?
Qu debe hacerse ahora para limpiar esta
tabla?
2013-01-01 272
-
Laboratorio : Paso 4Configurar el servidor DHCP para los
ordenadores del puente "Crear la configuracin que asegure que los
clientes recibirn una direccin IP siempre
El servidor DNS est en la misma direccin que
la puerta de enlace predeterminada (enrutador)
Vuelva a configurar el equipo para que reciba una
direccin IP de su router
Configurar el router para que el equipo siempre se sale
con la direccin .20X (donde X es la direccin de su
vaina)Qu tienes que hacer para conseguir esa direccin?
2013-01-01 273
-
Laboratorio : Paso 5
LimpiezaAadir un comentario a su direccin esttica
para indicar lo que la reserva es para
En la pestaa DHCP del servidor DHCP,
darle un nombre significativo al servidor DHCP (actualmente llamado dhcp 1)
2013-01-01 274
-
Laboratorio : Paso 6
E-mail setupConfigure los ajustes de correo electrnico
que permite enviar mensajes de correo
electrnico a una direccin de correo
electrnico personal.
Usted puede utilizar su propia cuenta de
correo electrnico para probar esto
Pon a prueba tu configuracin con un correo electrnico de prueba
2013-01-01 275
-
Laboratorio : Paso 7
NetwatchUtilice esta herramienta para controlar un
nodo prueba suministrada por el entrenador
Para acelerar las cosas, configurar intervalo de supervisin a los 30 segundos
2013-01-01 276
-
Laboratorio : Paso 8
NetwatchUse este scripts:
2013-01-01 277
Up/tool e-mail send to="< your -e-mail -address>" subject="$[/system identity get name] Netwatch status " \
body="$[/system clock get date] $[/system clock get time] Node up."
Down/tool e- -e-mail -address>" subject="$[/system identity get name] Netwatch status" \
body="$[/system clock get date] $[/system clock get time] Node down."
2
-
Laboratorio : Paso 9
NetwatchApague el nodo prueba. Compruebe que
recibe un e-mail indicando el cambio de estatus. Debe ser algo como esto
2013-01-01 278
-
Laboratorio : Paso 10
PingUtilice la herramienta de ping para validar
que el nodo de prueba responde a los
paquetes de eco ICMP
TracerouteUtilice la herramienta traceroute para ver
qu saltos son entre usted y el nodo de
prueba. Validar que lo que ves es lo que hay en el diagrama de red de clase '
2013-01-01 279
-
Laboratorio : Paso 11
ProfilerInicie la herramienta de perfiles y ver los
distintos procesos que se ejecutan en su
router
Qu representa el porcentaje ms alto?Ordenar las tareas por "uso"
2013-01-01 280
-
Laboratorio : Paso 12
Supout.rifCree un archivo supout.rif . Dnde est?
Sube y echar un vistazo a las diferentes
secciones de su router , como se ve por el visor
supout.rif . Es interesante ver que un archivo
tan pequeo puede recorrer un largo camino para ayudar a Mikrotik ayudarle.
2013-01-01 281
Nota importante: Si usted no tiene una cuenta de Mikrotik , por
favor crear una ahora, ya que se requiere para tomar el examen de
certificacin !!
-
Laboratorio : Paso 13
LoggingCrear una accin:
El tipo es "memoria"
Crear una regla:
temas "e-mail" y "depuracin"
Accin "accion1"
Abra la ventana "log"
Volver a la herramienta de correo
electrnico y enviarse un correo electrnico de
prueba. Qu es lo que se ve en la ventana de registro?
2013-01-01 282
-
Laboratorio : Paso 14La limpieza de nuestra configuracinVaya a la ventana, en la ficha Seguimiento de
las Acciones y cambiar el nombre "accion1" a "E -
mail -depuracin"
Que pas? Cambiar el nombre de "accion1" a
"EmailDebug "
Cambie de nuevo a la ficha Reglas. Qu notas
acerca de la entrada "e -mail, depurar"?Realice una copia de seguridad binaria de la
configuracin que respeta la estructura de nombre de archivo anterior desde el mdulo anterior
2013-01-01 283
-
Laboratorio : Paso 15
Por ltimo, cambiar el nombre de su
router de manera que:que lleva el nombre de su POD
La primera letra se escribe con mayscula
Crea dos copias de seguridad nombrados
Mdulo 5 -Podx
uno debe ser binariouno debe ser una exportacin
2013-01-01 284
-
2013-01-01 285
FIN DE LABORATORIO 5
-
2013-01-01 286
MODULO 6 FIREWALL
-
Firewall Principios
2013-01-01 287
-
Firewall principles
Un firewall es un servicio que permite o
bloquea los paquetes de datos que va a
travs de l o basado en reglas definidas
por el usuario.
El servidor de seguridad acta como una
barrera entre dos redes.
Un ejemplo comn es su LAN (de confianza) e Internet (no fiable).
2013-01-01 288
-
Firewall principios
Cmo funciona el firewall
El firewall funciona con reglas. Estos tienen dos partes
El matcher : Las condiciones que necesitas un partido
La Accin: Qu voy a hacer una vez que tengo un partido
El matcher analiza parmetros como:
Direccin MAC de origen
Direcciones IP (red o lista) y los tipos de direcciones (emisin, local,
multicast , unicast )
Puerto o puerto serie
Protocolo
Opciones de protocolo (tipo y cdigo campos ICMP, banderas TCP,
opciones IP)
Interfaz del paquete llega o sale a travs de
byte DSCP
2013-01-01 289
-
Packet flows - Flujo de Paquetes
Mikrotik creado los diagramas de flujo de
paquetes para ayudarnos en la creacin de
configuraciones ms avanzadas
Es bueno estar familiarizado con ellos
para saber qu est pasando con los
paquetes y en qu orden
Para este curso, vamos a mantenerlo simple
2013-01-01 290
-
Packet flowsOverall diagrams
2013-01-01 291
-
Packet flows
2013-01-01 292
-
Packet flows
2013-01-01 293
-
Packet flows, example
Complicado? Bienvenido al club!
El siguiente ejemplo puede ayudar a
ilustrar un sencillo flujo de paquetes:
Haciendo ping a un (nodo inexistente) en
la interfaz LAN del router a travs de su
interfaz WANIP del nodo haciendo el ping: 172.16.2.100
IP del nodo que se est ping: 192.168.3.2
IP de WAN del enrutador (Ether1): 192.168.0.3
2013-01-01 294
-
Packet flows, example
Ping in===PREROUTING===
Mangle - prerouting prerouting: in:ether1 out:(none), src - mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100 - >192.168.3.2, len 60
dstnat dstnat: in:ether1 out:(none), src - mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100 -
>192.168.3.2, len 60
===FORWARD===
Mangle - forward forward: in:ether1 out:Bridge - PC, src - mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100 - >192.168.3.2, len 60
Filter - forward forward: in:ether1 out:Bridge - PC, src - mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100 - >192.168.3.2, len 60
===POSTROUTING===
Mangle - postrouting postrouting: in:(none) out:Bridge - PC, src - mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0),
172.16.2.100 - >192.168.3.2, len 60
srcnat srcnat: in:(none) out:Bridge - PC, src - mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100 -
>192.168.3.2, len 60
Reply out===OUTPUT===
Mangle - output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3 - >172.16.2.100, len 88
Filter - output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3 - >172.16.2.100, len 88
===POSTROUTING===
Mangle - postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3 - >172.16.2.100, len 88
2013-01-01 295
-
Packet flows, exampleexplained
/ip firewall filter
add action=log chain =input log -prefix =Filter -input protocol=icmp
add action=log chain =output log -prefix =Filter -output protocol=icmp
add action=log chain =forward log-prefix =Filter -forward protocol=icmp
/ip firewall mangle
add action=log chain =prerouting log-prefix =Mangle -preroutingprotocol=icmp
add action=log chain =output log -prefix =Mangle -output protocol=icmp
add action=log chain =input log -prefix =Mangle -input protocol=icmp
add action=log chain =forward log-prefix =Mangle -forward protocol=icmp
add action=log chain =postrouting log-prefix =Mangle -postroutingprotocol=icmp
/ip firewall nat
add action=log chain =srcnat log-prefix =srcnat protocol=icmp
add action=log chain =dstnat log-prefix =dstnat protocol=icmp
2013-01-01 296
-
El seguimiento de conexiones y estados
El seguimiento de conexiones gestiona la informacin
sobre todas las conexiones activas.
Antes de crear los filtros de firewall (o reglas), es bueno
saber qu tipo de trfico pasa a travs de su router . El
seguimiento de conexiones que muestran precisamente eso.
2013-01-01 297
Flags: S - seen reply, A - assured
# PROTOCOL SRC - ADDRESS DST - ADDRESS TCP - STATE TIMEOUT
0 SA tcp 172.16.2.140:52010 17.172.232.126:5223 established 23h42m6s
1 ospf 172.16.0.6 224.0.0.5 5m49s
2 SA tcp 172.16.2.100:49164 172.16.9.254:445 established 23h42m51s
3 SA tcp 172.16.2.122:61739 206.53.159.211:443 established 23h44m8s
4 SA tcp 172.16.2.130:58171 17.149.36.108:443 established 23h43m41s
5 SA gre 172.16.0.254 172.16.0.1