MikroTik Certified Network Associate (MTCNA) Santa Cruz, Bolivia Noviembre 23 al 28, 2015
1
¿POR QUÉ TOMAR EL CURSO MTCNA? •Introducción a RouterOS y productos RouterBOARD. •Te da una visión general de lo que se puede hacer con productos RouterOS y RouterBOARD. •Le dará una base sólida y valiosas herramientas para hacer su trabajo.
2
OBJETIVOS DEL CURSO Al final de este curso, el estudiante podrá: • Estar familiarizado con el software RouterOS y productos RouterBoard • Ser capaz de configurar, administrar, hacer resolución de problemas básicos de un router Mikrotik • Ser capaz de proporcionar servicios básicos a los clientes 3
SOBRE EL ENTRENADOR Lucas Evilde Carandino •Fundador y Gerente Propietario de la empresa WEBSERVI •Estudios en Ing de sistemas y electrónica en la Univercidad Tarapaca en Chile y UTEPSA •Ya 6 certificados Mikrotik
4
HORARIO •Día típico (6 de ellos) 19h00 a 22h30 Lunes a Viernes 15h00 a 18h00 Sabado Horaio •10 minutos de descanso Aprox 21:00 •Examen En el último día, duración 1 hora
5
INTRODUCCIÓN PERSONA Presentarse individualmente • Nombre • Compañía • Conocimiento previo sobre RouterOS • Conocimiento previo sobre networking • Qué espera de este curso? Recuerde su número N de POD o Lugar de clase Mi número POD es: _____
RECOMENDACIONES •Las salidas de emergencia •Código de vestimenta •Alimentos y bebidas, mientras que en la clase •Este curso se basa en RouterOS 6
7
VARIOS Por respeto a los demás estudiantes y el instructor: • Ponga usted teléfono celular y otras herramientas de negocio en modo de vibración • Tome sus llamadas fuera del aula
8
MODULO 1 INTRODUCCIÓN 9
RouterOS and RouterBoard
10
¿Que es RouterOS? •Mikrotik RouterOS es el sistema operativo del hardware Mikrotik RouterBOARD. •Tiene todas las características necesarias para un ISP o administrador de red tales como enrutamiento, cortafuegos, gestión de ancho de banda, punto de acceso inalámbrico, enlace backhaul, gateway hotspot, servidor VPN y más. 11
¿QUE ES ROUTEROS? •RouterOS es un sistema operativo independiente basado en el kernel v3.3.5 Linux y ofrece todas las funciones en una instalación rápida y sencilla y con una interfaz fácil de usar
12
What is RouterBOARD? •Una familia de soluciones de hardware creados por Mikrotik para responder a las necesidades de los clientes en todo el mundo. •Todos operan con RouterOS. routerboard.com or
13
Integrated Solutions •Estos productos se proporcionan completo con casos y adaptadores de corriente. •Listo para usar y preconfigurado con la funcionalidad más básica. •Todo lo que necesitas hacer es conectarlo y conectarse a Internet oa una red corporativa.
14
RouterBOARD (boards only) •Dispositivos de la placa base pequeñas que se venden "tal cual". Usted debe elegir el caso, adaptador de corriente y las interfaces de forma separada. Perfecto para el montaje de su propio sistema, ya que ofrecen las mayores opciones de personalización.
15
Enclosures •Cubiertas interiores y exteriores para alojar sus dispositivos RouterBOARD. Seleccione la base de: •localización prevista •el modelo RouterBOARD •el tipo de conexiones necesarias (USB, antenas, etc.).
16
Interfaces •Módulos Ethernet, fibra SFP o tarjetas de radio inalámbricas para ampliar la funcionalidad de los dispositivos RouterBOARD y PCs con RouterOS. •Una vez más, la selección se basa en sus necesidades.
17
Accessories •Estos dispositivos están hechos para los productos MikroTik - adaptadores de alimentación, soportes, antenas e inyectores PoE.
18
MFM •With the MFM (Made for Mikrotik) program, 3rd party options make creating your router even better!
19
¿Por qué obtener un router integrado? •Puede abordar muchas necesidades •Algunas opciones adicionables •Poca o ninguna expansión •configuración fija •Una solución simple, pero sólida para muchas necesidades
20
Integrated router, Ejemplo RB951G-2HnD •Good for home or small office •5 Gig ports •Built-in Wi-Fi (2,4GHz) •License level 4
21
Integrated router, Ejemplo RB941-2nD-TC Good for home or small office •4 10/100 Ethernet •Built-in Wi-Fi (2,4GHz) •License level 4
Integrated router, Ejemplos SXT Sixpack (1 OmniTIK U-5HnD with 5 SXT5HPnD)
•Good for WISP or company with branch offices •5 100Mbps ports (OmniTik) •5GHz 802.11a/n radios •Can cover 5Km between central and satellite sites 2013-01-01
23
Integrated router, examples CCR1036-12G-4S Cloud Router Flagship model •Good for ISPs or company networks •1U rack mount •12 Gig ports •Serial console, USB and color touch screen •Default 4G RAM, but can use any size of SODIMM RAM 2013-01-01
24
Note of interest •Nombres Router se seleccionan de acuerdo con el conjunto de características. Aquí hay unos ejemplos: •CCR : Cloud Core Router –RB : RouterBoard –2, 5 : 2,4GHZ or 5GHz wifi radio –H : High powered radio –S : SFP –U : USB –i : Injector –G : Gigabit ethernet
25
¿Por qué construir su propio router? •Puede abordar una mayor variedad de necesidades •Muchas opciones / Lots de la expansión add-on •configuración personalizable •Se puede integrar en equipos cliente o gabinete •Solución más completa para las necesidades particulares 26
Custom router, examples Flexible CPE •RB411UAHR –1 100Mbps port –1 2,4GHz radio (b/g) –Level 4 license
•Add power supply or PoE module •Add 3rd party enclosure
27
Custom router, examples Powerful Hotspot •RB493G –9 gig ports –Level 5 license
•Add power supply or PoE module •Add R2SHPn (2,4GHz radio card)
•Add R5SHPn (5GHz radio card)
•Add 3rd party enclosure •Add microSD card 2013-01-01
28
Primera vez en el router
29
Internet browser •Manera intuitiva de conectarse a un router RouterOS. •Compatible con la mayoría •Capacidad de mascara
2013-01-01
30
Internet browser •Conecte al router con un cable Ethernet •Lanzamiento del navegador •Escriba la dirección IP •Si se le solicita, inicie sesión. Nombre de usuario es "admin" y la contraseña está en blanco
2013-01-01
31
Internet browser •You will see:
2013-01-01
32
WinBox and MAC-Winbox •WinBox es interfaz propietaria de Mikrotik RouterOS acceder a los routers. •Se puede descargar desde la página de Mikrotik o desde el router. •Se utiliza para acceder al router a través de IP (capa OSI 3) o MAC (OSI capa 2).
2013-01-01
33
WinBox and MAC-Winbox •Si todavía está en el navegador, desplácese hacia abajo y haga clic en "cerrar sesión" •Ya verás: •Haga clic en "Winbox" •Guardar "winbox.exe"
2013-01-01
34
WinBox and MAC-WinBox •Haga clic en el icono de WinBox. •Dirección IP 192.168.88.1 continuación, haga clic en "Conectar" •Ya verás: •Haga clic en "Aceptar" 2013-01-01
35
WinBox’s menus •Tome 5 minutos para ir a través de los menús •Tome nota especial de:IP Addresses –IP Routes –System SNTP –System Packages –System Routerboard
2013-01-01
36
Console port •Requiere que el equipo se conecta al router a través de un módem nulo (puerto RS-232). •El valor predeterminado es 115200 bps, 8 bits de datos, 1 bit de parada, sin paridad
2013-01-01
37
SSH and Telnet Herramientas IP estándar para acceder a enrutador •Comunicaciones Telnet están en texto claro •Disponible en la mayoría de los sistemas operativos •sin SEGURIDAD !! •Comunicaciones SSH se cifran •CON SEGURIDAD !! •Muchas herramientas Open Source (gratis) disponible como PuTTY (http://www.putty.org/)
2013-01-01
38
CLI •Stands for Command Line Interface •Es lo que se ve cuando se utiliza el puerto de la consola, SSH, Telnet, o Nueva Terminal (dentro Winbox) •Algo que hay que saber si va a utilizar scripts o automatizar tareas!
2013-01-01
39
Initial configuration (Internet access) 2013-01-01
40
Basic or blank configuration? •Usted puede o no puede tener una configuración básica cuando recién instalado •Usted puede optar por no tomar la configuración básica por defecto •Compruebe la siguiente página web para averiguar cómo su dispositivo se comportará: •http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
2013-01-01
41
Basic configuration •Dependiendo de su hardware, que tendrá una configuración por defecto, que puede incluir : –WAN port –LAN port(s) –DHCP client (WAN) and server (LAN) –Basic firewall rules –NAT rule –Default LAN IP address 2013-01-01
42
Basic configuration •Al conectar por primera vez con WinBox, haga clic en "Aceptar" •El router tiene ahora la configuración básica por defecto. 2013-01-01
43
Blank configuration •Puede ser utilizado en situaciones en las que no se requiere la configuración básica por defecto. •No hay necesidad de reglas de firewall •No hay necesidad de NATing
2013-01-01
44
Blank configuration •Los pasos mínimos para configurar un acceso básico a Internet (si el router no tiene una configuración básica por defecto) •Direcciones IP de LAN, Puerta de enlace predeterminada y servidor DNS •Dirección IP WAN •Regla de NAT (mascarada) •Cliente SNTP y la zona horaria 2013-01-01
45
Upgrading the router
2013-01-01
46
Cuando actualizar •Corregir un error conocido. •¿Necesita una nueva función. •Desempeño mejorado. •NOTA: Por favor lea la lista de cambios !!
2013-01-01
47
El procedimiento •Se requiere una planificación. •Pasos pueden tener que hacerse en orden preciso. •Se requiere pruebas ... •Y las pruebas ... •Y, sí, la prueba!
2013-01-01
48
Antes de actualizar •Sepa lo (mipsbe, ppc, x86, mipsle, baldosas), la arquitectura está actualizando. •En caso de duda, Winbox indica la arquitectura en la esquina superior izquierda! •Sepa lo que los archivos que necesita: •NPK: Imagen Base RouterOS con paquetes estándar (Siempre) •ZIP: Paquetes adicionales (sobre la base de las necesidades) •Changelog: Indica lo que ha cambiado y las indicaciones especiales (Siempre) 2013-01-01
49
Cómo actualizar •Obtener los archivos del paquete en el sitio web de Mikrotik •Downloads page
2013-01-01
50
Cómo actualizar •Tres maneras 1. Descargar archivo (s) y copiar a router. 2. "Buscar actualizaciones" (Sistema -> Paquetes) 3. Actualización automática (Sistema -> Actualización automática)
2013-01-01
51
La descarga de los archivos •Copiar archivo (s) para el router a través de la ventana“Files”. •Ejemplo: –routeros-smips-6.33.1.npk –ntp-6.33.1-smips.npk
•Reboot •Validar estado del router
2013-01-01
52
Comprobando actualizaciones (con /system packages)
•menu “System -> Packages” •Click “Check for Updates” despues “Download & Upgrade” •Reboots •Validar paquetes y estado del router 2013-01-01
53
Actualización automática •Copia requiere archivos de todos los routers a un router interno (fuente). •Configure todos los routers para que apunte al enrutador fuente •Mostrar los paquetes disponibles •Seleccione y descargue los paquetes •Reinicie y validar enrutador
2013-01-01
54
Auto upgrading
2013-01-01
55
RouterBOOT actualización de firmware •Compruebe versión actual [admin@MikroTik] > /system routerboard print routerboard: yes model: 951-2n serial-number: 35F60246052A current-firmware: 3.02 upgrade-firmware: 3.05 [admin@MikroTik] >
2013-01-01
56
RouterBOOT actualización de firmware •Actualiza si es necesario (Es en este ejemplo) [admin@MikroTik] > /system routerboard upgrade Do you really want to upgrade firmware? [y/n] y firmware upgraded successfully, please reboot for changes to take effect! [admin@MikroTik] > /system reboot Reboot, yes? [y/N]:
2013-01-01
57
Gestión RouterOS de inicios de sesión 2013-01-01
58
Cuentas de usuario •Crear cuentas de usuario a •administrar privilegios •Entrar acciones del usuario •Crear grupos de usuarios a •Tener una mayor flexibilidad en la asignación de privilegios
2013-01-01
59
La gestión de los servicios RouterOS 2013-01-01
60
IP Services •Administrar servicios IP •Límite de uso de recursos (CPU, memoria) •Amenazas a la seguridad Límite (puertos abiertos) •Cambie los puertos TCP •Límite aceptado direcciones IP / subredes IP 2013-01-01
61
IP Services •Para el control de los servicios, vaya a “IP -> Services” •Deshabilitar o habilitar los servicios requeridos.
2013-01-01
62
Access to IP Services •Haga doble clic en un servicio •Si es necesario, especifique que alberga o subredes pueden acceder al servicio •Las buenas prácticas para limitar ciertos servicios a los administradores de red 2013-01-01
63
La gestión de las copias de seguridad de configuración 2013-01-01
64
Tipos de copias de seguridad •Gestión de configuración de copia de seguridad backupsBinary •exportación de configuración
2013-01-01
65
Copias de seguridad binarios •Copia de seguridad completa del sistema •incluye contraseñas •Asume que las restauraciones estarán mismo router
2013-01-01
66
Export files •Configuración completa o parcial •Genera un archivo script o envía a la pantalla •Utilice “conpact" para mostrar sólo las configuraciones no predeterminadas (por defecto en ROS6) •Utilice “verbose" para mostrar las configuraciones por defecto 2013-01-01
67
Archiving backup files •Una vez generado, copiarlos en un servidor •Con SFTP (enfoque asegurado) •Con FTP, si está activada en servicios IP •El uso de arrastrar y soltar desde la ventana "Archivos"
•Dejando de archivos de copia de seguridad en el router no es una buena estrategia archivística 2013-01-01
68
RouterOS licenses
2013-01-01
69
License levels •6 niveles de licencias 0: Demo (24 horas) 1: Libre (muy limitado) 3: WISP CPE (cliente Wi-Fi) 4: WISP (necesario para ejecutar un punto de acceso) 5: WISP (más capacidades) 6: Controlador (capacidades ilimitadas) 2013-01-01
70
Licenses •Determina las capacidades permitidas en el router. •RouterBOARD vienen con una licencia preinstalado. Los niveles varían •Las licencias deben ser comprados por un sistema X86. Una licencia es válida para una sola máquina.. 2013-01-01
71
Updating licenses •Los niveles se describen en la página web http://wiki.mikrotik.com/wiki/Manual:License
–Level 3: CPE, wireless client –Level 4: WISP –Level 5: Larger WISP –Level 6: ISP internal infrastructure (Cloud Core)
2013-01-01
72
Use of licenses •No se puede actualizar el nivel de licencia. Comprar el derecho dispositivo / licencia desde el principio. •La licencia está unida a la unidad que está instalado. Tenga cuidado de no formatear la unidad utilizando herramientas que no Mikrotik. •Lea la página web de la licencia para más detalles! 2013-01-01
73
Netinstall
2013-01-01
74
Netinstall •Vuelva a instalar RouterOS si el original se convirtió dañado •Vuelva a instalar RouterOS si la contraseña "admin" se perdió •Se puede encontrar en el sitio web de Mikrotik en la pestaña descarga
2013-01-01
75
Procedimiento, sin COM port Para RBS sin un puerto COM. Conecte el ordenador al puerto Ethernet 1 Dar ordenador una dirección IP estática y la máscara Netinstall Haga clic en "arranque de red" y escribir una dirección IP al azar en la misma subred que el ordenador En la sección "Paquetes", haga clic en "Examinar" y seleccione el directorio que contiene los archivos de NPK válidos
2013-01-01
76
Procedimiento, sin COM port •Pulse el botón "reset" hasta la "LEY" LED se apaga •Router aparecerá en la sección "Routers / Drives" •Selecciónela! •Select required RouterOS version from “Packages” section –“Install” button becomes available; click it! 2013-01-01
77
Procedimiento, sin COM port •La barra de progreso se volverá azul como se está transfiriendo el archivo de NPK •Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y cable de conexión a Internet en el puerto 1 •Uso MAC-Winbox conectar como la configuración estará en blanco •Incluso si "Mantener configuración antigua" se comprobó !! 2013-01-01
78
Procedimiento, sin COM port •Sube una copia de seguridad de configuración y reiniciar el sistema (de ahí la importancia de la gestión de copia de seguridad!)
•Si el problema era una contraseña perdida, vuelva a realizar la configuración desde cero, ya que la copia de seguridad se utilice la misma contraseña olvidada (de ahí la importancia de la gestión de un acceso adecuado!)
2013-01-01
79
Procedimiento, con COM port • Para RBS con un puerto COM Comienza (casi) el mismo PC en el puerto Ethernet 1 con dirección estática Conecte el puerto serie del PC a la consola de RouterBOARD puerto (COM) Lanzamiento Netinstall (y configurar el parámetro "Arranque Net") Seleccione el directorio con los archivos de NPK
2013-01-01
80
Procedimiento, con COM port •Reboot the router •Press “Enter”, when prompted, to enter setup •Press “o” for boot device •Press “e” for Ethernet •Press “x” to exit setup (which reboots the router)
2013-01-01
81
Procedimiento, con COM port •Router will appear in “Routers/Drives” section –Select it
•Select RouterOS package that will be installed •Click “Keep old configuration” •“Install” button becomes available; click it!
2013-01-01
82
Procedimiento, con COM port •La barra de progreso se volverá azul como se está transfiriendo el archivo de NPK •Una vez completado, vuelva a conectar el cable de la computadora en uno de los puertos válidos y cable de conexión a Internet en el puerto 1 •Puede utilizar Winbox conectar •El "Mantener configuración antigua" opción funciona aquí !! 2013-01-01
83
Procedimiento, con COM port •Reboot the router •Press “Enter”, when prompted, to enter setup •Press “o” for boot device •Press “n” for NAND then Ethernet on fail –If you forget, you will always boot from Ethernet
•Press “x” to exit setup (which reboots the router) 2013-01-01
84
Recursos adicionales
2013-01-01
85
Wiki http://wiki.mikrotik.com/wiki/Manual:TOC
•Página principal RouterOS Wiki •Documentación sobre todos los comandos RouterOS Explicación Sintaxis Ejemplos •Consejos y trucos adicionales 2013-01-01
86
Tiktube http://www.tiktube.com/
•Recursos de vídeo en varios temas •Presentado por los entrenadores, socios, proveedores de Internet, etc. •Puede incluir diapositivas de la presentación •Varios idiomas
2013-01-01
87
Forum http://forum.mikrotik.com/ •Moderado por el personal Mikrotik Panel de discusión sobre diversos temas
•Una gran cantidad de información se puede encontrar aquí •Usted puede encontrar una solución a su problema! •Busca por favor antes de publicar una pregunta Foro de la etiqueta estándar
2013-01-01
88
Mikrotik support
[email protected]
•Procedimientos de apoyo explican en http://www.mikrotik.com/support.html •El apoyo de Mikrotik durante 15 días (nivel licencia 4) y 30 días (nivel 5 de licencia y el nivel 6) si el router compraron de ellos
2013-01-01
89
Distributor / consultant support •Se les da apoyo por el distribuidor, cuando el router se compra a ellos •Consultores certificados pueden ser contratados para necesidades especiales. http://www.mikrotik.com/consultants.html •Registrense
2013-01-01
90
FIN DEL MÓDULO 1
Tiempo para un ejercicio práctico
2013-01-01
91
LABORATORIO 1 •Objetivos del laboratorio 1. Familiarizar a los estudiantes con los métodos de acceso 2. Configurar el acceso a Internet 3. Actualizar el router con RouterOS actuales 4. Crear un grupo de acceso limitado, asignarlo a un usuario 5. Administrar los servicios IP 6. Realice una copia de seguridad de la configuración actual y restaurarlo después de hacer una restauración de fábrica 2013-01-01
92
Laboratory : Setup
2013-01-01
93
Laboratorio: Paso 1 •Configure su equipo Laptop con la dirección IP estática de su POD Especifique la máscara de subred Especifique puerta de enlace predeterminada (enrutador) Especificar servidor DNS (el router trainer) •Haga una Netinstall de ROS 6 (opcional) •Una vez reiniciado, conectarse a él de la manera que le permitirá acceso completo 2013-01-01
94
Hay 2 caminos con Quickset y desde sin Default Usaremos sin default para aprender todas la partes •Reset Configuration •No default Reboot router
Laboratorio: Paso 2 •Configure la dirección IP de Ether2 del router •Configure la dirección IP WAN Ether1 del router •Configurar regla de NAT del router •Configurar el servidor DNS del enrutador •Configure ruta por defecto del router *
2013-01-01
96
Laboratorio: Paso 3 •Agregar un grupo llamado "mínimo" Darle el "telnet", "leer", y los derechos "winbox" Explicar estos derechos •Añadir un usuario y darle su nombre
•Asignar a grupo "mínimo" •Darle una contraseña
•Asigne una contraseña para "admin" •Dale “lugarX", donde "X" es el número de su Lugar
•Abra una nueva terminal. ¿Que pasó?
2013-01-01
97
Laboratorio: Paso 4 •Asegurar que RouterBOARD firmware está actualizado.( no nesesario en algunos) •Copiar paquete NTP (archivo NPK) NO NECESARIO •Compruebe Sistema -> SNTP Client •Compruebe Sistema -> Cliente NTP y servidor NTP •¿Que pasó?
•Una vez reiniciado •Compruebe Sistema -> SNTP Client •Compruebe Sistema -> Cliente NTP y servidor NTP •Configurar cliente NTP y la zona horaria del reloj
2013-01-01
98
Laboratorio: Paso 5 •Los estudiantes telnet en el router •Los estudiantes desactivar estos servicios IP: Telnet WWW •Los estudiantes se conectan al router mediante Telnet, un explorador Web y SSH •Explicar los resultados
2013-01-01
99
Laboratorio: Paso 6 • Abra una "Nueva Terminal" y la ventana "Archivos" • Exportar la configuración, desde la raíz, en un archivo denominado "Module1-podX" • Realice una copia de seguridad binaria • Copie ambos archivos a un ordenador • Abra los dos y ver su contenido • Eliminar la regla de NAT y utilizar el archivo "exportado" a crearlo rápidamente 2013-01-01
100
Laboratorio: Paso 7 •Ver la licencia del RouterBOARD Revise el nivel del router e indicar su significado •Como grupo, discutir los posibles usos de este nivel de la licencia
2013-01-01
101
Fin de Laboratorio 1
2013-01-01
102
MODULO 2 ENRUTAMIENTO
2013-01-01
103
Descripción general del enrutamiento 2013-01-01
104
Conceptos de enrutamiento •El enrutamiento es un proceso de capa 3 del modelo OSI de la ISO. •Enrutamiento define dónde se reenvía el tráfico (enviado). •Se requiere para permitir diferentes subredes para comunicarse. Incluso si deben estar en la misma "alambre" 2013-01-01
105
Conceptos de enrutamiento, el ejemplo 1 •Las computadoras no se comunicarán
2013-01-01
106
Conceptos de enrutamiento, ejemplo 2 •Computadoras ahora pueden comunicarse.
2013-01-01
107
Banderas de rutas •Rutas tienen estados. En este curso, vamos a familiarizarnos con lo siguiente: X: Desactivado R: Activo D: Dinámica C: Conectado S: Estático
2013-01-01
108
Banderas de rutas • Desactivado: Router está desactivado. No tiene influencia en el proceso de enrutamiento. • Activo: Route está activo y se utiliza en el proceso de enrutamiento. • Dinámica: Ruta ha sido creado por el proceso de enrutamiento, no a través de la interfaz de administración.
2013-01-01
109
Banderas de rutas • Conectado: Se crea una ruta para cada subred IP que tiene una interfaz activa en el router. • Estático: ruta creada para forzar reenvío de paquetes a través de un determinado destino..
2013-01-01
110
Enrutamiento estatico
2013-01-01
111
Enrutamiento estatico •Rutas a subredes que existen en un router se crean y se conocen con ese router automáticamente. Pero, ¿qué pasa si usted necesita para llegar a una subred que existe en otro router? Se crea una ruta estática! •Una ruta estática es una forma de manual de reenvío de tráfico a subredes desconocidas. 2013-01-01
112
Enrutamiento estatico
2013-01-01
113
•La comprensión de los campos •Banderas: El estado de cada ruta, como se explica en las diapositivas anteriores •Dst. Dirección: Las direcciones de destino que esta ruta utiliza •Puerta de enlace: Por lo general, la dirección IP del siguiente salto que recibirá los paquetes destinados a "Dst. Dirección". •Distancia: Valor utilizado para la selección de la ruta. En las configuraciones en las varias distancias son posibles, se prefiere la ruta con el valor más pequeño. •Marca Enrutamiento: tabla de enrutamiento que contiene esta ruta. El valor predeterminado es "Principal". •Pref. Fuente: La dirección IP de la interfaz local responsable de reenviar paquetes enviados por subred anunciado.
2013-01-01
114
Por que Enrutamiento estatico? •Hace configuración más sencilla en muy pequeña red que lo más probable es que no crezca. •Limita el uso de los recursos del router (memoria, CPU)
2013-01-01
115
Límites de enrutamiento estático •No escala bien. •Se requiere configuración manual cada vez que una nueva subred debe ser alcanzado.
2013-01-01
116
Límites de enrutamiento estático Ejemplo Su red crece y hay que añadir enlaces a los routers remotos (y subredes). Supongamos que todos los routers tienen 2 subredes LAN y 1 o más subredes WAN.. 2013-01-01
117
Límites de enrutamiento estático ejemplo How many static routes to add on router-1? Routers 3 to 5 : 9 Router 2 : 2 Router 6 and 7 : 4 Total of 15 static routes to add manually!! 2013-01-01
118
Creando Rutas •Para agregar una ruta estática:
•IP -> Routes –+ (Add) –Especificar subred destino y máscara –Especifique "Gateway" (siguiente salto) 2013-01-01
119
La ruta por defecto •La ruta 0.0.0.0/0 •Conocida como la ruta por defecto. •Es el destino donde se enviará todo el tráfico de subredes desconocidas. •También es una ruta estática.
2013-01-01
120
Gestión de rutas dinámicas •Como se mencionó antes, las rutas dinámicas se agregan por el proceso de enrutamiento, no por el administrador. •Esto se hace automáticamente. •No se puede gestionar rutas dinámicas. Si la interfaz a la que la dinámica de ruta está vinculada disminuye, también lo hace la ruta! 2013-01-01
121
Managing dynamic routes, example
2013-01-01
122
Implementar el enrutamiento estático en redes simples Ejemplo.
2013-01-01
123
Implementar el enrutamiento estático en redes simples •Ejercicio: Suponiendo que las direcciones IP se han introducido correctamente, lo que los comandos usaría para permitir las comunicaciones completas de ambas subredes (LAN1 y LAN2)? (Respuesta en la siguiente diapositiva. No espiar)
2013-01-01
124
Implementar el enrutamiento estático en redes simples •router-1 /ip route add gateway=172.22.0.18 add dst-address=10.1.2.0/24 gateway=10.0.0.2
•router-2 /ip route add gateway=10.0.0.1
2013-01-01
125
Tiempo para un ejercicio práctico
Fin del módulo 2
2013-01-01
126
LABORATORIO 2 •Objetivos del laboratorio 1. Obtener la conectividad con otras LUGARES o PODs LAN 2. Validar uso de ruta por defecto 3. Ver y explicar banderas ruta
2013-01-01
127
Laboratorio : Setup
2013-01-01
128
Laboratorio : paso 1 •Eliminar la ruta predeterminada que se creó en el módulo 1 •Hacer de ping otras POD '. Nota resultados •Crear rutas estáticas a subredes LAN otras POD ' •Computadoras de ping otras POD '. Nota resultados
2013-01-01
129
Laboratorio : paso 2 •Abra un navegador Web e intente acceder a la página Web de Mikrotik. Nota resultados •Crear la ruta por defecto utilizando el router del entrenador como puerta de entrada Internet •Abra un navegador Web e intente acceder a la página Web de Mikrotik. Nota resultados 2013-01-01
130
Backup de texto y binario opcional
Fin de Laboratorio 2
2013-01-01
131
MODULO 3 BRIDGING 2013-01-01
132
Bridging Concepto
2013-01-01
133
Bridging conceptos •Los puentes son OSI capa 2 en dispositivos. •Tradicionalmente, se utilizan para unir dos segmentos de tecnología diferente (o similar).
2013-01-01
134
Bridging conceptos •Bridges también se utilizaron para crear dominios de colisión más pequeños. El objetivo era mejorar el rendimiento al reducir el tamaño de la subred. Especialmente útil antes del advenimiento de los interruptores.
•Swiches se conocen como puentes de múltiples puertos. Cada puerto es un dominio de colisión de un solo dispositivo! 2013-01-01
135
Ejemplo 1 •Todos los equipos pueden comunicarse entre sí. •Todos tienen que esperar a que todo el mundo sea no transmita antes de poder iniciar la transmisión!
2013-01-01
136
Ejemplo 2 •Todas las computadoras todavía “ se oyen" entre sí. •Todas las computadoras ahora sólo comparten la mitad del "alambre". •Todo todavía tienen que esperar a que todo el mundo este callado antes de poder iniciar la transmisión, pero el grupo es la mitad del tamaño ahora. Mejor rendimiento para todos los dispositivos!
2013-01-01
137
Usando bridges •Por defecto, en los routers MikroTik, puertos Ethernet están asociados (esclavo) a un puerto maestro. •Ventaja: conmutación de la velocidad del cable (a través de chips de conmutación, no software). •Desventaja: No la visibilidad del tráfico de los puertos de esclavos. No es conveniente si se utiliza SNMP para supervisar el uso de puertos. 2013-01-01
138
Usando bridges •Mediante la eliminación de configuración maestro y esclavo, debe utilizar una interfaz de puente para agrupar a ella los puertos necesarios en una sola LAN. o Ventaja: Completa la visibilidad de todas las estadísticas de puerto para los puertos. o Desventaja: El cambio hace a través de software. Algunos CPU golpeó. Menos de una velocidad óptima de transferencia de paquetes.
2013-01-01
139
Creando bridges •Usando Menus –Bridge –Add (+) –Name the bridge –Click “OK” and Listo!
2013-01-01
140
Creando bridges
2013-01-01
141
Adición de puertos a los puentes •Adición de puertos definirá cuáles pertenecen a la misma subred. •Diferentes tecnologías se pueden agregar, como una interfaz Wi-Fi.
2013-01-01
142
Adición de puertos a los puentes •Menu path to add a port –Bridge –Ports tab –Add (+) –Choose the interface and the bridge –Click “OK” y listo!
2013-01-01
143
Adición de puertos a los puentes
2013-01-01
144
Bridging wireless networks •El mismo se puede hacer con interfaces inalámbricas. •Veremos esto en el próximo módulo. ¡Se paciente!
2013-01-01
145
FIN DEL MÓDULO 3
Tiempo para un ejercicio práctico
2013-01-01
146
LABORATORIO 3 •Objetivos del laboratorio •Crear un puente •Asignar puertos a un puente •Validar que siguiendo estos pasos, puede asignar todos los puertos libres a la misma subred
2013-01-01
147
Laboratorio : Diagrama
2013-01-01
148
Laboratorio: paso 1 •Lanzar “ping –t –w 500 192.168.0.254”. •Desconecte el cable de red desde el puerto actual (# 2) y conectarlo en otro puerto. •Discutir los resultados. •Deje la ventana de comandos en funcionamiento y visible a través de este laboratorio.
2013-01-01
149
Laboratorio: paso 2 •Conecte al router en modo alguno que funcione. •Crear una interfaz de puente. El nombre de "LAN" y dejar los otros valores en su defecto. •Asignar la dirección IP de la LAN de la POD (192.168.x.1) a la interfaz de puente. •¿Ha cambiado algo? 2013-01-01
150
Laboratorio: paso 3 •Abra la ventana "Lista de Interfaz" y comprobar que las interfaces se están ejecutando. •Asignar puertos # 2 al # 5 a la interfaz de puente "LAN". •Discutir los resultados. ¿Cuándo devolver su ping? •Cambie el cable a los puertos # 2 a # 5. ¿Que pasó? Discuta por qué. Mira la columna de estado. ¿Qué significa “I" decir? 2013-01-01
151
Fin de Laboratorio 3
2013-01-01
152
Wireless
MODULO 4 WIRELESS
2013-01-01
153
802.11 Conceptos
2013-01-01
154
Frecuencias •802.11b –2.4GHz (22MHz bandwidth), 11Mbps
•802.11g –2.4GHz (22MHz bandwidth), 54Mbps
•802.11a –5GHz (20MHz bandwidth), 54Mbps
•802.11n –2.4GHz or 5GHz up to 300Mbps, if using 40MHz channel and 2 radios (chains)
•802.11ac –2.4GHz or 5GHz up to 1690Mbps, if using 160MHz channel and 2 radios (chains) 2013-01-01 155
Frecuencias •802.11b, g rango de frecuencia •Los canales 1, 6 y 11 no se solapan Diagram by Michael Gauthier
2013-01-01
156
Frecuencias •Rango de frecuencia 802.11a •12 20MHz canales de ancho y 5 canales de 40MHz
2013-01-01
157
Frecuencias •Bandas –Mikrotik soporta tanto 5GHz (802.11a / n) y las bandas de 2,4 GHz (802.11b / g / n) y ahora saliendo los equipos AC en 5Ghz
2013-01-01
158
Frecuencias •La función de "Canales avanzadas" ofrece posibilidades extendidos en configuración de la interfaz inalámbrica: • • •
scan-list que abarca múltiples bandas y anchos de canal; frecuencias centrales de canal no estándar (especificar con granularidad KHz) para el hardware que lo permite; anchos de canal no estándar (especificados con granularidad KHz) para el hardware que permite.
2013-01-01
159
Frecuencias •Tasas básicas son las velocidades que un cliente debe ser compatible con el fin de conectarse a un AP •Tasas compatibles son las velocidades que se pueden alcanzar una vez que la conexión se ha aceptado (factores pueden influir en la velocidad máxima alcanzada) •Data-tasas son las tasas compatibles según el estándar que se utiliza. •802.11b: 1 a 11 Mbps •802.11a / g: 6 a 54 Mbps •802.11n: 6 300 Mbps, en función de factores tales como el ancho de banda del canal (20 o 40 MHz), Guardia de intervalo (GI), y cadenas 2013-01-01
160
Frecuencias •Cadenas HT •Son para antenas con una radio •Se utiliza para 802.11n, y es un factor en el rendimiento
2013-01-01
161
Frecuencias •Modo de Frecuencia •Reguladora de dominios: canales límite y potencia de transmisión en base a la normativa del país. •Manual-txpower: Igual que el anterior pero sin la restricción de potencia TX. •Superchannel: ignorará todas las restricciones
2013-01-01
162
Frecuencias •“Country” parámetro: Frecuencias y limitaciones de potencia se basan en los reglamentos "de país". El uso de "no_country_set" configurará el conjunto de canales de FCC ..
2013-01-01
163
Configuración del punto de acceso •Access point configuration –Mode : ap bridge –Band :Con base en el router de las capacidades y de los clientes. Si AP soporta múltiples bandas (ej. B / G / N) seleccionar la que mejor se ajuste a sus necesidades –Frequency : Any of the available channels –SSID : identidad del red inalámbrica –Wireless protocol : Basado en el router y las capacidades de los clientes. Por AP "normal" a los enlaces de PC, utilice 802.11 2013-01-01
164
Establecimiento de una conexión inalámbrica sencilla •AJUSTE PERFIL DE SEGURIDAD! •No hacerlo es una violación total de la seguridad. Deja tu red de par en par!
2013-01-01
165
Establecimiento de una conexión inalámbrica sencilla •Para agregar un perfil de seguridad
•Click on “Add” (+) –Name : El nombre del perfil –Mode : Tipo de autenticación a utilizar –Authentication types : Los métodos utilizados para autenticar una conexión –Ciphers : Métodos de encriptación
2013-01-01
166
Establecimiento de una conexión inalámbrica sencilla •Ahora usted puede utilizar su nuevo perfil de seguridad y sentirse mejor acerca de la seguridad de su red inalámbrica
2013-01-01
167
Establecimiento de una conexión inalámbrica sencilla •Volver a las frecuencias! Cuál usar? •Haga clic en "Snooper" •¡Tener cuidado! Esto desconectará la interfaz WLAN y clientes asociados
2013-01-01
168
Establecimiento de una conexión inalámbrica sencilla •Volver a las frecuencias! Cuál usar? • Haga clic en "Snooper" • ¡Tener cuidado! Esto desconectará la interfaz WLAN y clientes asociados • Usted tiene una visión completa de las bandas de frecuencias utilizadas y • Seleccione un canal libre o, al menos, uno con poco uso
2013-01-01
169
Establecimiento de una conexión inalámbrica sencilla •configuración de la estación •Cliente
•Mode : station –Band : Para que coincida con su AP. –Frequency : no tiene importancia para los clientes
2013-01-01
170
Establecimiento de una conexión inalámbrica sencilla •Station configuration –SSID : Para que coincida con el punto de acceso al que desea conectarse –Wireless protocol : Para que coincida con el punto de acceso al que desea conectarse –Crear un perfil de seguridad, como se demuestra en la configuración de "punto de acceso", y aplicar aquí. Parámetros deben coincidir
2013-01-01
171
Filtrado por direcciones MAC •Filtrado de direcciones MAC es una forma adicional de limitar la conexión de los clientes. •Para añadir una entrada a una lista de acceso (en un AP !!), seleccione un nodo registrado y haga clic en "Copiar a la lista de acceso"
2013-01-01
172
Filtrado por direcciones MAC •Ahora tiene una nueva entrada!
2013-01-01
173
Filtrado por direcciones MAC •Las listas de acceso se utilizan en los puntos de acceso para restringir conexiones a clientes específicos y controlar sus parámetros de conexión. • Reglas se comprueban secuencialmente • Sólo se aplica la primera regla coincidente • Si la opción "Default Autenticar" (pestaña "Wireless" en "Interfaz -> wlan" pantalla) está des-marcada, los dispositivos que no responden a una regla de la lista de acceso son rechazados 2013-01-01
174
Filtrado por direcciones MAC •Opción Autenticación le dirá router para comprobar la "seguridad-perfil" para determinar si la conexión debe permitir. Si no se controla, la autenticación siempre fallará. •Opción Reenvío le dirá al router para permitir a los clientes de la AP para llegar a la otra sin la ayuda APs (evitando así las reglas del firewall que pueda tener). Para mayor seguridad, deje sin marcar
2013-01-01
175
Filtrado por direcciones MAC •AP Tx Limit restringe la velocidad de datos de AP con el cliente Ajuste demasiado bajo puede causar problemas de conexión. Prueba primero!
•Límite TX Client restringe la velocidad de datos desde el cliente al AP Extensión patentada que es apoyada solamente por RouterOS clientes Una vez más, es posible que desee probar para ver lo que es aceptable 2013-01-01
176
Filtrado por direcciones MAC •Conecte listas (en estaciones cliente) asignar prioridades, sobre la base de la fuerza de la señal y la configuración de seguridad, que indiquen que los puntos de acceso del cliente se puede conectar a •Reglas se comprueban secuencialmente •Sólo se aplica la primera regla coincidente •Si la opción "Default Autenticar" (pestaña "Wireless" en "Interfaz -> wlan" pantalla) está marcada y hay una regla de conexión-lista se corresponde, cliente intentará relación basada en la mejor señal y la compatibilidad de seguridad 2013-01-01
177
Filtrado por direcciones MAC •Ejemplo: Esta estación no tiene SSID o perfil de seguridad definido, sino porque tiene un partido de conexión-lista, se estableció una conexión
2013-01-01
178
Filtrado por direcciones MAC •Nota interesante: Si el campo SSID (en la estación de conectar regla) está vacía, el cliente se conecta a cualquier SSID con un perfil de seguridad correspondiente. •Campo Interface de SSID también debe estar vacío!
2013-01-01
179
Filtrado por direcciones MAC •Default-authentication : Especifica el comportamiento tras la comprobación de acceso y conectarse listas. •Para los puntos de acceso, si el valor yes, permitirá conexiones si no hay una lista de acceso partido proporcionado SSID interfaz y el perfil de seguridad de partido. De lo contrario, no se permiten conexiones. •Para las estaciones, si el valor yes, permitirá conexiones si no hay conexión lista de partido, SSID interfaz proporcionada y el perfil de seguridad de partido. De lo contrario, no se permiten conexiones.
2013-01-01
180
Filtrado por direcciones MAC •Por defecto la autenticación •Si AP no tiene ninguna lista de acceso, y por defecto a autenticarse está marcada, clientes nunca se conectarán •Si la estación no tiene lista de conexión, y por defecto a autenticarse no está marcada, nunca se conectará a un AP 2013-01-01
181
Filtrado por direcciones MAC •Default-forwarding : Especifica el comportamiento de reenvío de los clientes después de la verificación de las listas de acceso. •Si se establece en sí, permitirá capa 2 comunicaciones entre los clientes. •Si se establece en no, los clientes seguirán viendo unos a otros (en la capa 3) SI reglas de firewall permiten. 2013-01-01
182
La seguridad inalámbrica y encriptación •WPA, WPA2 –Wi-Fi Protected Access (I y II) –Protocolo de autenticación creado después debilidades fueron encontradas en WEP –Si se pone en marcha correctamente, WPA es muy seguro –Debilidades a ataques de fuerza bruta se encontraron al utilizar WPS (Wi-Fi Protected Setup) –WPS no utilizados por Mikrotik 2013-01-01
183
La seguridad inalámbrica y encriptación •WPA –Se utiliza para reemplazar a WEP (debilidades encontradas) –Utiliza TKIP como protocolo de encriptación –Genera una nueva clave para cada paquete
2013-01-01
184
La seguridad inalámbrica y encriptación •WPA2 –Utiliza CCMP para reemplazar como protocolo de encriptación –Sobre la base de AES –Más fuerte que TKIP –Es obligatoria en dispositivos certificados Wi-Fi desde 2006 –Debe ser usado para alcanzar tasas de bits más altas, de otro modo limitado a 54 Mbps –(http://www.intel.com/support/wireless/wlan/4965agn/sb/cs-025643.htm)
2013-01-01
185
La seguridad inalámbrica y encriptación •WPA-Personal –Also referred to as WPA-PSK, is designed for small offices and the home –Does not require an authentication server –Client to AP authentication is based on a 256-bit key generated from a pre-shared key (PSK), which can be a password or passphrase, known to both
2013-01-01
186
La seguridad inalámbrica y encriptación •WPA-Enterprise –Also referred to as WPA-802.1X mode, is designed for enterprise networks –Uses EAP for authentication –Require a RADIUS authentication server –More complicated to deploy, but provides added features such as protection against dictionary attacks on weaker passwords
2013-01-01
187
MikroTik wireless protocols •NV2 (Nstreme Version 2) –A Mikrotik proprietary protocol in it’s second version –For use with the Atheros 802.11 wireless chip. –Based on TDMA (Time Division Multiple Access) instead of CSMA (Carrier Sense Multiple Access) –Used to improve performance over long distances 2013-01-01
188
MikroTik wireless protocols •NV2 benefits –Increased speed –More client connections in point to multipoint environments (limit is 511 clients) –Lower latency –No distance limitations –No penalty for long distances
2013-01-01
189
Monitoring tools •There are various tools that will help you analyse what’s in the air so you can choose the frequency with no (or the least) interference
2013-01-01
190
Monitoring tools •Wireless scan : Two options –Frequency usage –Scan
2013-01-01
191
Monitoring tools •Wireless scan : Frequency Usage –Shows all supported frequencies and their usage by neighboring APs –Drops connected wireless clients! 2013-01-01
192
Monitoring tools •Wireless scan : Scan –Gives information about neighboring APs –Drops connected wireless clients!
2013-01-01
193
Herramientas de monitoreo •Snooper –Proporciona información más detallada acerca de otros puntos de acceso y clientes –Desconecta clientes inalámbricos conectados! 2013-01-01
194
Herramientas de monitoreo •Snooper –Proporciona información más detallada acerca de otros puntos de acceso y estaciones haciendo doble clic
2013-01-01
195
Herramientas de monitoreo •Registration table : Proporciona información sobre las estaciones cliente conectadas. •Útil sólo en los puntos de acceso.
2013-01-01
196
Herramientas de monitoreo
2013-01-01
197
Herramientas de monitoreo •Registration table –Podemos ver el estado de conexión actual estación –Nota: Los comentarios que aparecen por encima de las estaciones es de ficha "Lista de acceso". Útil para ver bajo las cuales criterios se autorizó la estación 2013-01-01
198
Bridging wireless networks •Station-bridge : Un modo propietario Mikrotik para crear un puente L2 segura entre routers Mikrotik •Se puede utilizar para ampliar una subred inalámbrica a muchos clientes
2013-01-01
199
Tiempo para un ejercicio práctico
Fin del módulo 4
2013-01-01
200
Laboratorio •Objetivos del laboratorio •Utilice las distintas herramientas para analizar los canales y las características de las redes inalámbricas, puntos de acceso y estaciones utilizadas •Configurar routers PODs como clientes inalámbricos del router del profesor •Configurar routers PODs como puntos de acceso inalámbricos •Familiarizarse mismos con Listas Connect y listas de acceso 2013-01-01
201
Laboratorio : Diagrama
2013-01-01
202
Laboratorio : Pasos Preliminar •Antes de hacer nada !!! •Realice una copia de seguridad binaria de la configuración actual con el nombre: •Módulo 3-podX donde X es el número de su POD •¿Cómo haría usted para hacerlo? •que ventanas usara?
2013-01-01
203
Laboratorio : paso 1 •USE, uno tras otro: •Frequency Usage
•Anote los canales con más uso
•Scan •Hacer un vínculo entre las frecuencias y SSID visibles
•Snooper •¿Qué se puede decir de las redes visibles? •¿Qué significan los símbolos en la columna de la izquierda representan? 2013-01-01
204
Laboratorio : paso 2 •Abra la ventana "Puente" y vaya a la pestaña "Puertos" •Mediante el uso de los procedimientos que hemos visto en los módulos anteriores, agregue la interfaz "wlan1" de puente "LAN". •Cierre la ventana de "puente"
2013-01-01
205
Laboratorio : paso 3 •Abra la ventana "Wireless" y asegurarse de que la interfaz "wlan1" está activado
2013-01-01
206
Laboratorio : paso 4 •Haga doble clic en la interfaz y vaya a la pestaña "Wireless". Haga clic en "Modo avanzado", a continuación, introduzca los siguientes parámetros: –Mode : ap bridge –Band : 2GHz-B/G/N –Channel width : 20MHz –Frequency : POD IMPAR use 2437, POD PARES 2462
–SSID : podX –RadioName: RouterPodX –Wireless protocol : 802.11 –Security Profile : default (mala idea otras veces) –Frequency Mode : Regulatory-domain –Country :
–Default Authenticate está activada 2013-01-01
207
Laboratorio : paso 5 •Retire el cable de red entre el ordenador portátil y el router. El cable de su router al del profesor debe permanecer •Configure su portátil para utilizar parámetros wi-fi de su Router •Asegúrese de que tiene conectividad wi-fi •Ponga los IP al wifi de la portable •Conectarse a Internet 2013-01-01
208
Laboratorio : paso 6 •Realice una copia de seguridad binaria de la configuración actual con el nombre de: •Module4a-podX donde X es el número de su vaina •Desde la ventana "Lista de archivos", seleccione Módulo 3-podX y haga clic en el botón "Restaurar" en la parte superior de la ventana •Responda "sí" para reiniciar el router
2013-01-01
209
Laboratorio : paso 7 •Vuelva a conectar el cable de red de su computadora portátil a su router •Desconecte el cable de la red de su router a otro del profesor •Ahora debería tener ningún acceso a Internet
2013-01-01
210
Laboratorio : paso 8 Trabajo preliminar Dirección IP para WLAN1 192.168.252.podX
•Habilitar interfaz wlan1 •Security profile –Name : WPA2 –Authentication types : WPA2 PSK –Unicast and group ciphers : aes ccm –WPA2 pre-shared key : mtcna123!
2013-01-01
211
Laboratorio : paso 9 •Active el "Modo avanzado" en la pestaña "Wireless" de "Interfaz " •Tenemos que conectar con la AP de la clase. Los siguientes parámetros deben ser compatibles con la de la AP conectarse. Mode : Station –Band : 2GHz-only-N –SSID : WISP –Radio name : WISP-PODX –Wireless protocol : 802.11 –Security profile : Cliente 2013-01-01
212
Laboratorio : paso 10 –Frequency Mode : regulatory-domain –Country : Bolivia. –Leave “Default Authenticate” checked for now •Haga clic en Aceptar y seleccione la pestaña“Registration” en la ventana “Wireless Tables”
•Tu debería ver aparecer AP del profesor. Si es así, usted está conectado! •¡¡¡Pero espera!!! 2013-01-01
213
Laboratorio : paso 11 •Antes de la navegación puede trabajar, vamos a corregir nuestras tablas de enrutamiento. •Redefinir la puerta de enlace predeterminada para ser 192.168.252.254 •Redefinir la ruta a la interfaz LAN del pod de tu prójimo (192.168.Y.1) que pasar por 192.168.252.Y •Ping a su vecino LAN (192.168.Y.1) •¿Cuál es el resultado? Chequea DNS y NAT 2013-01-01
214
FIN DE LABORATORIO 4
2013-01-01
215
Administración de redes
MODULO 5
2013-01-01
216
ARP
2013-01-01
217
ARP •Soportes para "Address Resolution Protocol" •Mecanismo que une capa dirección IP 3 a la capa 2 de direcciones MAC •Se utiliza normalmente como un proceso dinámico, pero se puede configurar de forma estática en ciertas situaciones donde la seguridad lo amerita 2013-01-01
218
ARP modos •Modos ARP "dicen RouterOS cómo ARP es trabajar •Los modos se configuran en una base "por interfaz“
•Los “modes” son
–Enabled : El modo por defecto. Peticiones ARP serán contestadas y la tabla ARP se rellenarán automáticamente
–Disabled : Interfaz no enviará o respondera a peticiones ARP. Otros anfitriones debe ser dicha dirección MAC del router
–Proxy ARP : El router responde a peticiones ARP que vienen por su red directamente conectada (independientemente del origen)
–Reply only : El router responde a peticiones ARP. Tabla ARP del router debe ser llenado de forma estática
2013-01-01
219
RouterOS Tabla ARP •La tabla ARP muestra todas las entradas ARP y la interfaz de la que se aprenden •La tabla ARP ofrece: –La dirección IP de los dispositivos conocidos –Las direcciones MAC asociadas con las direcciones IP –Las interfaces de la que fueron aprendidas
2013-01-01
220
RouterOS ARP table •Puede agregar entradas estáticas a la tabla ARP para proteger la red •Puede evitar el envenenamiento ARP / ARP Spoofing •Requiere mucho trabajo y planificación
2013-01-01
221
ARP syntax •View ARP table : –/ip arp print
•Add a static entry : –/ip arp add address=172.16.2.222 macaddress=11:22:33:44:55:66 interface=BridgePC
•Configure ARP mode : –/interface ethernet set ether04 arp=proxyarp 2013-01-01
222
DHCP servidor y el cliente
2013-01-01
223
DHCP server •Soportes para Dynamic Host Configuration Protocol •Se utiliza para asignar automáticamente una dirección IP, máscara de red, puerta de enlace predeterminada y, opcionalmente, otros parámetros a los nodos que solicitan
2013-01-01
224
DHCP server setup •La interfaz que aloja el servidor DHCP debe tener su propia dirección IP que no está en el grupo de direcciones •Una pool es un rango de direcciones IP que se pondrán a disposición de los clientes
2013-01-01
225
DHCP server setup •En la ventana DHCP-servidor, simplemente haga clic en el botón "Configuración de DHCP" y responder a las preguntasDHCP Server Interface –Interfaz Servidor DHCP –DHCP Rango de red –Gateway para Red del DHCP –Las direcciones para dar a conocer –Servidores DNS (más de uno se puede) –Tiempo de reserva 2013-01-01
226
DHCP server setup •La configuración automática: •Crea una piscina IP •Un grupo de direcciones IP para asignar •Crea el servidor DHCP •Su nombre y los parámetros (como la interfaz que aceptará solicitudes de los) •Crea el espacio de direcciones •La red IP y varios parámetros
2013-01-01
227
DHCP server setup •Los resultados de la configuración automatizada
2013-01-01
228
DHCP server setup •DHCP se puede utilizar para configurar opciones como –42 : NTP Servers –70 : POP3-Server –Visit http://www.iana.org/assignments/bootp-dhcpparameters/bootp-dhcp-parameters.xhtml para mas opciones DHCP •Nota IMPORTANTE •Si tiene un entorno de puente, el servidor DHCP debe estar configurado en la interfaz de puente. Si se establece en un puerto de puente, el servidor DHCP no funcionará. 2013-01-01
229
DHCP server syntax •Configure a DHCP scope –/ip dhcp-server setup
•Configure a DHCP option –/ip dhcp-server option add name=46-nodetype code=46 value=0x0008
2013-01-01
230
DHCP server syntax •Assign a DHCP option to a network –/ip dhcp-server network print (to view available networks) –/ip dhcp-server network set dhcp-option=46node-type numbers=1
•Assign a WINS server to a network –/ip dhcp-server network set winsserver=172.16.2.100 numbers=1
2013-01-01
231
DHCP server “Networks” configuration
2013-01-01
232
DHCP cliente
•Permite interfaces Ethernet como para solicitar una dirección IP. –El servidor DHCP remoto suministrará: •Dirección •Máscara •Puerta de enlace predeterminada •Dos servidores DNS (si el servidor DHCP remoto está configurado) •El cliente DHCP proporcionará opciones configurables: •Nombre de host •ClientId (en la forma de su dirección MAC) •Normalmente se utiliza en las interfaces de la Internet, por ejemplo 2013-01-01
233
DHCP client syntax •To configure a DHCP-client interface –/ip dhcp-client add interface=ether5 dhcpoptions=clientid,hostname
•To view and enable a DHCP client –/ip dhcp-client print –/ip dhcp-client enable numbers=1
•To view the DHCP client's address –/ip address print
2013-01-01
234
Gestión de arrendamiento •La sección "/ip dhcp-server lease" proporciona información sobre los clientes DHCP y arrendamientos •Muestra arrendamientos dinámicos y estáticos •Se puede convertir un permiso dinámico en uno estático • Puede ser muy útil cuando un dispositivo tiene que mantener la misma dirección IP • ¡Tener cuidado! Si cambia la tarjeta de red, se pondrá una nueva dirección. una dirección por MAC
2013-01-01
235
Gestión de arrendamiento •Servidor DHCP se podría hacer para funcionar únicamente con direcciones estáticas •Los clientes sólo recibirán las direcciones IP preconfigurados •Evalúe su situación y la necesidad de hacer esto antes de hacerlo de esta manera. Se requerirá mucho trabajo para grandes redes 2013-01-01
236
Gestión de arrendamiento syntax •To view DHCP leases –/ip dhcp-server lease print –/ip dhcp-server lease print detail (gives more detailed information)
•To make a dynamic IP address static –/ip dhcp-server lease make-static numbers=0
•To modify the previous entry's assigned IP address –/ip dhcp-server lease set address=192.168.3.100 numbers=0 2013-01-01
237
RouterOS Herramientas
2013-01-01
238
E-mail •Una herramienta que le permite enviar correo electrónico desde el router •Se puede utilizar, junto con otras herramientas, para enviar las copias de seguridad de configuración regulares administrador de red, por ejemplo, •Tool CLI path –/tools e-mail 2013-01-01
239
E-mail, Ejemplo •Configuracion SMTP server /tool e-mail set address=172.31.2.1 [email protected] last-status=succeeded password=never123! port=\ 587 start-tls=yes [email protected]
•Enviar configuration file via e-mail /export file=export /tool e-mail send [email protected] subject="$[/system identity get name] export"\ body="$[/system clock get date] configuration file" file=export.rsc
2013-01-01
240
Netwatch •Una herramienta que le permite controlar el estado de los dispositivos de red •Para cada entrada, puede especificar IP address –Ping interval –Up and/or Down scripts
2013-01-01
241
Netwatch •MUY útil •Ser conscientes de los fallos de red •Automatizar un cambio de puerta de enlace predeterminada, por ejemplo, en caso de fracasar las principales •Sólo para tener una vista rápida de lo que está arriba •Cualquier otra cosa que se puede llegar a simplificar y agilizar su trabajo (y te hacen ver eficiente!) 2013-01-01
242
Ping •Herramienta de conectividad básica que utiliza mensajes de eco ICMP para determinar la accesibilidad host remoto y el retardo de ida y vuelta •Una de las primeras herramientas a utilizar para solucionar problemas. Si hace ping, el anfitrión está vivo (desde el punto de vista de redes) •Utilícelo con otras herramientas para solucionar problemas. No es la última herramienta, pero un buen comienzo 2013-01-01
243
Ping syntax •CLI –“CTRL-C” para parar [admin@MikroAC1] > ping www.mikrotik.com HOST SIZE TTL TIME STATUS 159.148.147.196 56 50 163ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 156ms 159.148.147.196 56 50 160ms sent=4 received=4 packet-loss=0% min-rtt=156ms avg-rtt=158ms max-rtt=163ms
2013-01-01
244
Traceroute •Se utiliza para mostrar todos los routers viajaron hasta llegar a su destino •Indica el retraso para llegar a cada router en el camino para llegar a su destino •Bueno para localizar un fallo o nodo lenta
2013-01-01
245
Traceroute •CLI –/tools traceroute www.mikrotik.com [admin@MikroAC1] > /tool traceroute # ADDRESS 1 2 216.113.124.190 3 216.113.122.230 4 5 216.6.99.14 6 80.231.130.121 7 80.231.130.86 8 80.231.154.70 9 80.231.153.122 10 195.219.50.38 11 87.245.233.178 12 87.245.242.94 13 85.254.1.226 14 85.254.1.6 15 159.148.16.2 16 159.148.42.129 17 18 19 20 21 159.148.147.196 -- [Q quit|D dump|C-z pause]
2013-01-01
www.mikrotik.com LOSS SENT LAST 100% 3 timeout 0% 3 13.9ms 0% 3 9.6ms 100% 3 timeout 0% 3 114.4ms 0% 3 104.5ms 0% 3 103.2ms 0% 3 136.5ms 0% 3 113ms 0% 3 111.9ms 0% 3 140.7ms 0% 3 169ms 0% 3 173.3ms 0% 3 165.2ms 0% 3 165.3ms 0% 3 167.6ms 100% 3 timeout 100% 3 timeout 100% 3 timeout 100% 2 timeout 0% 2 156.9ms
AVG
BEST
WORST STD-DEV STATUS
12.2 9
11.1 7.5
13.9 9.8
1.2 1
114.7 105.7 107.5 119 110.7 115 159.6 173 168.4 166.7 166.1 166.6
113.6 104.5 103.2 104.3 106.4 110.7 135.7 169 164.6 165.1 165.3 165.6
116.2 107.1 115.4 136.5 113 122.5 202.4 178.4 173.3 169.7 167.3 167.6
1.1 1.1 5.6 13.3 3.1 5.3 30.3 4 3.6 2.1 0.8 0.8
155.7
154.5
156.9
1.2
246
Profiler (CPU load) •Tool that shows the CPU load •Shows the processes and their load o the CPU •Note : “idle” is not a process. It means just that; the percentage of the CPU NOT being used
2013-01-01
247
Profiler (CPU load) •CLI –/tool profile [admin@MikroAC1] > /tool profile NAME CPU console all flash all networking all radius all management all telnet all idle all profiling all unclassified all -- [Q quit|D dump|C-z continue]
USAGE 0% 0% 0% 0% 0.5% 0.5% 99% 0% 0%
•Para más detalles sobre los procesos y lo que significan, por favor visite http://wiki.mikrotik.com/wiki/Manual:Tools/Profiler 2013-01-01
248
System identity •Aunque no es una herramienta, es importante para establecer la identidad del sistema. •No se puede gestionar 100 routers que todos tienen el nombre "Mikrotik". Se hace casi imposible la solución de problemas. •Una vez establecido, se hará la identificación del router que está trabajando mucho más simple •.Syntax
–/system identity print (show current name) –/system identity set name=my-router (sets the router's name) 2013-01-01
249
Ponerse en contacto con soporte Mikrotik 2013-01-01
250
Supout.rif •Supout.rif es un archivo de soporte utilizado para RouterOS depurar propósitos y para ayudar al personal de apoyo Mikrotik resolver problemas más rápido •Syntax –CLI : /system sup-output
2013-01-01
251
Supout.rif •Una vez generado, el archivo "supout.rif" se encuentra en la lista de archivos
2013-01-01
252
Supout.rif Viewer •Para acceder al “visualizador supout.rif", acceder a su cuenta Mikrotik •Usted debe tener una cuenta (es una buena idea tener uno de todos modos) 2013-01-01
253
Supout.rif Viewer •Los primeros pasos son para localizar y cargar el archivo que generó •Comience a navegar todos los aspectos de la configuración •La vista predeterminada es "recurso" 2013-01-01
3
254
Autosupout.rif •Un archivo se puede generar de forma automática en caso de fallo de software (ej. Kernel Panic o el sistema deja de responder durante un minuto) •Hecho por el organismo de control (sistema)
2013-01-01
255
System logging and debug logs •El registro es importante para asegurar una historia (permanentes o no) de los eventos del router •La forma más fácil de ver los registros es a través de la (Menú) ventana "log"The CLI •/log print
2013-01-01
256
System logging •Comportamiento •Las tareas que el router emprenderá con ciertos eventos •Reglas dicen que el router que "acción" para tomar •Hay cinco tipos de acciones, por lo que puede tener un sistema de registro muy flexible
•Sugerencia •Debe definir noticias "acciones" en primer lugar que no se pondrán a disposición de acciones personalizadas a sus "reglas" hasta que se crean
2013-01-01
257
System logging •Actions, Ejemplos [admin@MikroAC5] > /system logging action print Flags: * - default # NAME TARGET 0 * memory memory 1 * disk disk 2 * echo echo 3 * remote remote 4 webproxy remote 5 firewallJournal remote
2013-01-01
REMOTE
172.16.1.105 172.16.1.105 172.16.1.105
258
System logging •Rules –Cuentan RouterOS la "acción" para llevar a cabo con un determinado evento (que se llama un “topic") –Usted puede tener más de una regla para un mismo tema, cada regla de realizar una "acción" diferente –Usted puede tener una regla con dos o más temas, la realización de una "acción" –Adición de reglas es simple, elegir uno o varios temas, nombrar la regla, elija una acción. (Por esta razón, se sugiere crear acciones primero)
2013-01-01
259
System logging •Rules, examples [admin@MikroAC5] > /system logging print Flags: X - disabled, I - invalid, * - default # TOPICS 0 * info !firewall 1 * error 2 * warning 3 * critical 4 firewall 5 firewall 6 info !firewall 7 error 8 warning 9 critical 10 X snmp 11 web-proxy !debug
2013-01-01
ACTION memory
PREFIX INF
memory memory memory memory firewallJournal remote
ERR WRN CRT FW FW INF
remote remote remote memory webproxy
ERR WRN CRT SNMP PROXY
260
System logging syntax •Ver rules
–/system logging print
•Ver actions –/system logging action print •Grabar los errores en syslog server –/system logging action –add bsd-syslog=yes name=firewallJournal remote=172.16.1.105 src-address=10.5.5.5 syslog-facility=local5 target=remote
•Crear una regla para los temas de firewall que utilizará la acción anterior •/system logging –add action=firewallJournal prefix=FW topics=firewall
2013-01-01
261
Donde se envían los registros •Como se indica en "acciones", los registros se pueden encontrar en cinco lugares –Disk : A hard drive on the router –Echo : la consola del router (si existe) –Email : A predefined e-mail account –Memory : memoria interna del router (como se ve en la ventana de "log") –Remote : A syslog server
2013-01-01
262
Configuración Leible •También conocido como "Que quede claro!" •La oscuridad es su peor enemigo. Mantenga sus configuraciones clara y legible a través de comentarios, los nombres y la uniformidad •Comentarios: Dar una descripción simple del tema •Nombres: Hacerlos significativa •Uniformidad: hacer las cosas de la misma manera en todas partes •¿Por qué debería hacer todo esto? •Para ti. A la larga, esto simplificará tu trabajo y te hacen ver eficiente (de nuevo)
2013-01-01
263
Configuración Leible •Ejemplo
2013-01-01
264
Network diagrams
•Un diagrama bien elaborado es un deber! Incluso si usted comienza a partir de un humilde comienzo, su red crecerá. •Identificar todos los componentes clave •Mantenga el diagrama al día •Es una herramienta importante de solución de problemas. •Se usa para identificar posibles puntos problemáticos •Utilizando las herramientas vistos en este módulo (ping, traceroute), anote los posibles problemas 2013-01-01
265
Network diagrams Ejemplo •Todos los puertos están marcados, incluso los disponibles •Los dispositivos se identifican •Revisión # actualizada 2013-01-01
266
Tiempo para un ejercicio práctico
Fin del módulo 5
2013-01-01
267
LABORATORIO 5 •Objetivos del laboratorio •Practique conceptos ARP que se muestran en este módulo •Añadir funcionalidad DHCP (cliente y servidor) a su router •Utilice varias herramientas de solución de problemas
2013-01-01
268
Laboratory : Setup
2013-01-01
269
Laboratorio : Paso 1 •Muestra las entradas ARP del router •Identificar cada entrada •Con base en el diagrama de la red, ¿tiene sentido? Comparar con el puerto de la dirección MAC se supo •Validar en el que el modo de ARP sus interfaces •Agregar una dirección MAC falsa como si se supiera desde el puente llamado "LAN"
2013-01-01
270
Laboratorio : Paso 2 •Añadir un cliente DHCP en la interfaz WLAN1 •Pregunte al entrenador para hacer una reserva estática en su servidor DHCP. El cuarto dígito de su dirección IP debe coincidir con su vaina •Dar el entrenador dirección MAC de su interfaz WLAN desde el router no ha sido nombrado todavía •Eliminar su dirección IP estática •Renueve su dirección del cliente DHCP •¿Cuál es la dirección de final? 2013-01-01
271
Laboratorio : Paso 3 •Limpieza •Al crear el cliente DHCP, la opción "Añadir ruta por defecto" se establece en yes. Esto significa que el cliente DHCP recibe una ruta por defecto de forma dinámica –Muestra tus rutas. ¿Qué ves en la ruta por defecto? –¿Qué debe hacerse ahora para limpiar esta tabla? 2013-01-01
272
Laboratorio : Paso 4 •Configurar el servidor DHCP para los ordenadores del puente "LAN“ •Crear la configuración que asegure que los clientes recibirán una dirección IP siempre •El servidor DNS está en la misma dirección que la puerta de enlace predeterminada (enrutador) •Vuelva a configurar el equipo para que reciba una dirección IP de su router •Configurar el router para que el equipo siempre se sale con la dirección .20X (donde X es la dirección de su vaina) •¿Qué tienes que hacer para conseguir esa dirección? 2013-01-01
273
Laboratorio : Paso 5 •Limpieza •Añadir un comentario a su dirección estática para indicar lo que la reserva es para •En la pestaña DHCP del servidor DHCP, darle un nombre significativo al servidor DHCP (actualmente llamado dhcp 1)
2013-01-01
274
Laboratorio : Paso 6 •E-mail setup –Configure los ajustes de correo electrónico que permite enviar mensajes de correo electrónico a una dirección de correo electrónico personal. –Usted puede utilizar su propia cuenta de correo electrónico para probar esto –Pon a prueba tu configuración con un correo electrónico de prueba 2013-01-01
275
Laboratorio : Paso 7 •Netwatch –Utilice esta herramienta para controlar un nodo prueba suministrada por el entrenador –Para acelerar las cosas, configurar intervalo de supervisión a los 30 segundos
2013-01-01
276
Laboratorio : Paso 8 •Netwatch –Use este scripts: Up /tool e-mail send to="" subject="$[/system identity get name] Netwatch status" \ body="$[/system clock get date] $[/system clock get time] Node up."
Down /tool e-mail send to=“" subject="$[/system identity get name] Netwatch status" \ body="$[/system clock get date] $[/system clock get time] Node down."
2
2013-01-01
277
Laboratorio : Paso 9 •Netwatch –Apague el nodo prueba. Compruebe que recibe un e-mail indicando el cambio de estatus. Debe ser algo como esto
2013-01-01
278
Laboratorio : Paso 10 • Ping –Utilice la herramienta de ping para validar que el nodo de prueba responde a los paquetes de eco ICMP
• Traceroute
–Utilice la herramienta traceroute para ver qué saltos son entre usted y el nodo de prueba. Validar que lo que ves es lo que hay en el diagrama de red de clase ' 2013-01-01
279
Laboratorio : Paso 11 •Profiler –Inicie la herramienta de perfiles y ver los distintos procesos que se ejecutan en su router –¿Qué representa el porcentaje más alto? –Ordenar las tareas por "uso"
2013-01-01
280
Laboratorio : Paso 12 •Supout.rif –Cree un archivo supout.rif. ¿Dónde está? –Sube y echar un vistazo a las diferentes secciones de su router, como se ve por el visor supout.rif. Es interesante ver que un archivo tan pequeño puede recorrer un largo camino para ayudar a Mikrotik ayudarle. Nota importante: Si usted no tiene una cuenta de Mikrotik, por favor crear una ahora, ya que se requiere para tomar el examen de certificación !! 2013-01-01
281
Laboratorio : Paso 13 •Logging –Crear una acción: El tipo es "memoria" –Crear una regla: temas "e-mail" y "depuración" Acción "accion1" –Abra la ventana "log" –Volver a la herramienta de correo electrónico y enviarse un correo electrónico de prueba. ¿Qué es lo que se ve en la ventana de registro? 2013-01-01 282
Laboratorio : Paso 14 •La limpieza de nuestra configuración •Vaya a la ventana, en la ficha Seguimiento de las Acciones y cambiar el nombre "accion1" a "Email-depuración" •¿Que pasó? Cambiar el nombre de "accion1" a "EmailDebug" •Cambie de nuevo a la ficha Reglas. ¿Qué notas acerca de la entrada "e-mail, depurar"? •Realice una copia de seguridad binaria de la configuración que respeta la estructura de nombre de archivo anterior desde el módulo anterior 2013-01-01
283
Laboratorio : Paso 15 •Por último, cambiar el nombre de su router de manera que: • que lleva el nombre de su POD • La primera letra se escribe con mayúscula
•Crea dos copias de seguridad nombrados Módulo 5-Podx uno debe ser binario uno debe ser una exportación 2013-01-01
284
FIN DE LABORATORIO 5
2013-01-01
285
MODULO 6 FIREWALL
2013-01-01
286
Firewall Principios
2013-01-01
287
Firewall principles •Un firewall es un servicio que permite o bloquea los paquetes de datos que va a través de él o basado en reglas definidas por el usuario. •El servidor de seguridad actúa como una barrera entre dos redes. •Un ejemplo común es su LAN (de confianza) e Internet (no fiable). 2013-01-01
288
Firewall principios Cómo funciona el firewall El firewall funciona con reglas. Estos tienen dos partes El matcher: Las condiciones que necesitas un partido La Acción: ¿Qué voy a hacer una vez que tengo un partido El matcher analiza parámetros como: Dirección MAC de origen Direcciones IP (red o lista) y los tipos de direcciones (emisión, local, multicast, unicast) Puerto o puerto serie Protocolo Opciones de protocolo (tipo y código campos ICMP, banderas TCP, opciones IP) Interfaz del paquete llega o sale a través de byte DSCP Y más… 2013-01-01
289
Packet flows - Flujo de Paquetes •Mikrotik creado los diagramas de flujo de paquetes para ayudarnos en la creación de configuraciones más avanzadas •Es bueno estar familiarizado con ellos para saber qué está pasando con los paquetes y en qué orden •Para este curso, vamos a mantenerlo simple 2013-01-01
290
Packet flows
•Overall diagrams
2013-01-01
291
Packet flows
2013-01-01
292
Packet flows
2013-01-01
293
Packet flows, example •¿Complicado? ¡Bienvenido al club! •El siguiente ejemplo puede ayudar a ilustrar un sencillo flujo de paquetes: Haciendo ping a un (nodo inexistente) en la interfaz LAN del router a través de su interfaz WAN •IP del nodo haciendo el ping: 172.16.2.100 •IP del nodo que se está ping: 192.168.3.2 •IP de WAN del enrutador (Ether1): 192.168.0.3
2013-01-01
294
Packet flows, example Ping in ===PREROUTING=== Mangle-prerouting prerouting: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 dstnat dstnat: in:ether1 out:(none), src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100>192.168.3.2, len 60 ===FORWARD=== Mangle-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 Filter-forward forward: in:ether1 out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 ===POSTROUTING=== Mangle-postrouting postrouting: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100->192.168.3.2, len 60 srcnat srcnat: in:(none) out:Bridge-PC, src-mac d4:ca:6d:33:b5:ef, proto ICMP (type 8, code 0), 172.16.2.100>192.168.3.2, len 60
Reply out ===OUTPUT=== Mangle-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88 Filter-output output: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88 ===POSTROUTING=== Mangle-postrouting postrouting: in:(none) out:ether1, proto ICMP (type 3, code 1), 192.168.0.3->172.16.2.100, len 88
2013-01-01
295
Packet flows, example explained /ip firewall filter add action=log chain=input log-prefix=Filter-input protocol=icmp add action=log chain=output log-prefix=Filter-output protocol=icmp add action=log chain=forward log-prefix=Filter-forward protocol=icmp /ip firewall mangle add action=log chain=prerouting log-prefix=Mangle-prerouting protocol=icmp add action=log chain=output log-prefix=Mangle-output protocol=icmp add action=log chain=input log-prefix=Mangle-input protocol=icmp add action=log chain=forward log-prefix=Mangle-forward protocol=icmp add action=log chain=postrouting log-prefix=Mangle-postrouting protocol=icmp /ip firewall nat add action=log chain=srcnat log-prefix=srcnat protocol=icmp add action=log chain=dstnat log-prefix=dstnat protocol=icmp 2013-01-01
296
El seguimiento de conexiones y estados •El seguimiento de conexiones gestiona la información sobre todas las conexiones activas. •Antes de crear los filtros de firewall (o reglas), es bueno saber qué tipo de tráfico pasa a través de su router. El seguimiento de conexiones que muestran precisamente eso. Flags: S - seen reply, A - assured # PROTOCOL SRC-ADDRESS 0 SA tcp 172.16.2.140:52010 1 ospf 172.16.0.6 2 SA tcp 172.16.2.100:49164 3 SA tcp 172.16.2.122:61739 4 SA tcp 172.16.2.130:58171 5 SA gre 172.16.0.254 6 SA udp 172.16.0.254:4569 7 SA tcp 172.16.2.130:58174 8 SA tcp 172.16.2.140:52032 9 SA tcp 172.16.2.107:47318 10 SA tcp 172.16.2.102:57632 11 ospf 172.16.0.5 12 SA tcp 172.16.2.102:56774 13 SA tcp 172.16.2.102:56960 14 SA tcp 172.16.0.254:37467 15 SA tcp 172.16.2.107:39374
2013-01-01
DST-ADDRESS 17.172.232.126:5223 224.0.0.5 172.16.9.254:445 206.53.159.211:443 17.149.36.108:443 172.16.0.1 209.217.98.158:4569 173.252.103.16:443 69.171.235.48:443 173.252.79.23:443 173.252.102.241:443 224.0.0.5 65.54.167.16:12350 173.194.76.125:5222 172.16.0.1:1723 79.125.114.47:5223
TCP-STATE TIMEOUT established 23h42m6s 5m49s established 23h42m51s established 23h44m8s established 23h43m41s 4h44m11s 13m9s established 23h42m40s established 23h43m27s established 23h43m26s established 23h44m15s 5m49s established 23h35m28s established 23h43m57s established 4h44m11s established 23h29m1s
297
El seguimiento de conexiones y estados •En caso de que deshabilite el seguimiento por cualquier razón, las siguientes características no funcionarán: NAT Firewall connection-bytes connection-type connection-limit layer7-protocol new-connection-mark
connection-mark connection-state connection-rate p2p tarpit
p2p matching in simple queues •Antes de deshabilitar el seguimiento de conexiones, asegúrese de la meta que desea alcanzar! 2013-01-01
298
El seguimiento de conexiones y estados Estados de conexión (suponiendo cliente-A está iniciando una conexión con el cliente-B): Established una sesión TCP con el host remoto se ha establecido, proporcionando una conexión abierta, donde se pueden intercambiar datos Time-wait tiempo de espera para asegurar que host remoto ha recibido un acuse de recibo de su solicitud de finalización de conexión (después de "cerrar") Close Representatividad en espera de una petición de terminación de conexión desde la distancia Syn-sent Client-A está a la espera de una solicitud de conexión a juego después de haber enviado a uno Syn-received Client-B está esperando una confirmación de solicitud de conexión reconocimiento después de haber recibido tanto y se envía una solicitud de conexión 2013-01-01
299
El seguimiento de conexiones y estados •El uso de seguimiento de conexiones permite el seguimiento de conexiones UDP, incluso si UDP no tiene estado. Como tal, el firewall de Mikrotik puede filtrar en UDP "estados". •Primer paquete será "nueva", el resto puede ser aceptada como lo establece si no se alcanza el valor UDP-timeout. 2013-01-01
300
Firewall Estados de conexión •New – primer paquete de UDP, TCP SYN paquete •Established – El resto de la UDP, el resto de TCP •Related – una conexión creada por la conexión ya existente •Invalid – paquete TCP sin entrada de seguimiento de conexiones
Estado de conexión - new •En que primer paquete que se puede establecer la entrada de seguimiento de conexiones •De paquetes TCP SYN Primera •En primer paquete UDP
Estado de conexión - established •Los paquetes de conexiones ya se conocen •El resto de la comunicación UDP, si la tasa de paquetes puede mantener la entrada del tiempo de espera •Es una buena idea para aceptarlos
Estado de conexión - realted •Conexión que se crea por otra conexión, ya establecido. •Por ejemplo, la conexión de datos de la PTF es creado por conexión de gestión FTP. •Es esencial para ellos aceptarlo
Estado de conexión - invalid •Cualquier paquete con estado desconocido •Es buena idea dejarlos DROP
Estructura: cadenas y acciones •Una cadena es una agrupación de reglas basado en los mismos criterios. Hay tres cadenas predeterminadas en función de criterios predefinidos.. Input : El tráfico que va al router Forward : El tráfico que va a través del router Output : El tráfico procedente del enrutador
•Usted puede tener cadenas de usuario basadas en criterios personalizados. Por ejemplo : All icmp traffic Traffic coming in from Ether2 and going to bridge interface "LAN“
•Cadenas definidas por el usuario se crean mediante la selección de los "comparadores" deseados y elegir la acción de "salto". Se le dará a su cadena definida por el usuario de un nombre en el campo "objetivo salto". •Después de eso, usted puede empezar a crear reglas de filtrado que utilizan la nueva cadena mediante la introducción en el campo "Cadena" del nuevo filtro de cortafuegos 2013-01-01
306
Estructura: cadenas y acciones •Una acción dicta lo que hará el filtro cuando los paquetes se hacen coincidir con él. •Los paquetes se comprueban secuencialmente contra de las reglas existentes en la cadena del firewall actual hasta que se produce una coincidencia. Cuando lo hace, se aplica la regla. •Saber que ciertas acciones pueden o no requerir que el paquete se procesará más. •Otras acciones pueden exigir que el paquete de ser procesado en una cadena diferente. Veremos esto en páginas posteriores. 2013-01-01
307
Filtros de cortafuegos en acción 2013-01-01
308
Filosofía de seguridad básico •Usted puede acercarse a la seguridad de varias maneras • Confiamos en el interior, las normas afectarán a lo que viene del exterior • Nos bloquean todo y permitimos que los que estamos de acuerdo sobre • Nos permitimos todo y bloqueamos lo que sabemos es problemático 2013-01-01
309
Consejos básicos y trucos •Antes de configurar o cambiar las reglas, activar el "modo seguro". •Después de configurar o cambiar las reglas, probar sus reglas usando una herramienta como ShieldsUP •(https://www.grc.com/x/ne.dll?bh0bkyd2) Te dará un informe debilidades
2013-01-01
310
Consejos básicos y trucos • Antes de comenzar, establecer una política. • Anote, en texto plano, en su idioma, las reglas básicas que usted desea. • Una vez que los entiende y está de acuerdo con ellos, la entrada en el router. • Añadir otras reglas progresivamente, una vez que esté satisfecho con los básicos. • Si eres nuevo en la seguridad, no le ayudará a disparar en todas las direcciones. Hacer lo básico, pero hacerlas bien. • Eso sí, no espere demasiado tiempo para añadir las siguientes reglas. Es una cosa que funciona bien, pero es otra que dejar agujeros abiertos porque quieres probar las primeras reglas a cabo.
2013-01-01
311
Consejos básicos y trucos •Es una buena idea para poner fin a sus cadenas con las reglas "catch-all" y ver lo que puede haber perdido. •Tendrá dos reglas "catch-all", uno de "log" y otro para "soltar" el tráfico incomparable. Ambos deben basarse en los mismos comparadores ser útil para usted. •Una vez que vea lo que llega a las reglas "catchall", puede agregar nuevas reglas basadas en el comportamiento deseado del servidor de seguridad. 2013-01-01
312
Filter Matchers •Antes de tomar "acción" en un paquete, debe estar identificado. •Comparadores son muchos!
2013-01-01
313
Filter actions •Una vez que el paquete ha sido adaptado a una regla, una acción se aplicará a la misma. •Filtros de firewall de MikroTik tienen 10 acciones. Accept Accept the packet. Packet is not passed to next firewall rule. Add-dst-to-address-list Add destination address to address list specified by address-list parameter. Packet is passed to next firewall rule. Add-src-to-address-list Add source address to address list specified by address-list parameter. Packet is passed to next firewall rule. Drop Silently drop the packet. Packet is not passed to next firewall rule. Jump Jump to the user defined chain specified by the value of jump-target parameter. Packet is passed to next firewall rule (in the user-defined chain). Log Add a message to the system log containing following data: in-interface, out-interface, src-mac, protocol, srcip:port->dst-ip:port and length of the packet. Packet is passed to next firewall rule. Passthrough Ignore this rule and go to next one (useful for statistics). Reject Drop the packet and send an ICMP reject message. Packet is not passed to next firewall rule. Return Pass control back to the chain from where the jump took place. Packet is passed to next firewall rule (in originating chain, if there was no previous match to stop packet analysis). Tarpit Capture and hold TCP connections (replies with SYN/ACK to the inbound TCP SYN packet). Packet is not passed to next firewall rule.
2013-01-01
314
La protección de su enrutador (input) •La cadena de entrada se ve en el tráfico dirigido al router. •Las normas que se agregan en la cadena de entrada deben evitar que los piratas lleguen al router sin detenerlo de hacer su trabajo.
2013-01-01
315
La protección de su enrutador(example) •Las siguientes son sugerencias! •Supongamos que ether01 está conectado a la red WAN (red no fiable) y estamos utilizando la "confianza dentro" la política.. Acepte respuestas de eco ICMP (Es posible que desee hacer ping a un servidor en Internet. Sería útil para que usted pueda obtener las respuestas!) Caída de peticiones de eco ICMP (Usted no quiere que otros ping ti. Permanezca bajo el radar!) Acepte todos "establecido" y el tráfico de entrada "relacionados" (Usted querrá las respuestas a lo que el enrutador pedimos, como las solicitudes NTP y DNS) Caída de todos "no válido" el tráfico de entrada (Cualquiera que sea el router recibe que no pidió) Entra el resto del tráfico de entrada (¿Me he perdido algo importante?) Suelta el resto del tráfico de entrada (Quiero estar seguro!) 2013-01-01
316
La protección de Clientes(forward) •Como se dijo antes, la cadena hacia adelante mira el tráfico que va a través del router. •Las reglas que se añaden en la cadena hacia adelante debe evitar que los piratas lleguen a su red "seguro" y sin que nos impida hacer su trabajo.
2013-01-01
317
La protección de Clientes (example) •Las siguientes son sugerencias! •Una vez más, se supone que ether01 está conectado a la red WAN (red no fiable) y estamos utilizando el "confiar en el interior". Acepte todo el tráfico hacia adelante "establecida" y "relacionados" (Usted querrá las respuestas a lo que usted pidió, como peticiones HTTP y correo electrónico) Caída de todo el tráfico hacia adelante "no válido" (Lo que usted obtiene que no pediste) LOG el resto del tráfico hacia adelante (¿Me he perdido algo importante?) Suelta el resto del tráfico directo (Quiero estar seguro!)
2013-01-01
318
Lo que se ve en el final
2013-01-01
319
Firewall filter syntax •View existing filter rules /ip firewall filter print (produces a clearer, readable output) /ip firewall filter export (shows complete syntax)
•Create various rules (from /ip firewall filter)
add chain=input comment="Established-Related (in)" connection-state=established in-interface=ether01 add chain=forward comment="Established-Related (fwd)" connection-state=established in-interface=ether01 add action=log chain=input comment="===CATCH-ALL==" ininterface=ether01 log-prefix="CATCH-ALL(in)" add action=drop chain=input in-interface=ether01 add action=add-dst-to-address-list address-list=temp-list address-list-timeout=3d1h1m1s chain=input protocol=tcp srcaddress=172.16.2.0/24 2013-01-01
320
Basic address-list
2013-01-01
321
Basic address-list •Las listas de direcciones son grupos de direcciones IP •Pueden ser utilizados para simplificar las reglas de filtrado Por ejemplo, podría crear 100 reglas para bloquear 100 direcciones o !! Se puede crear un grupo con esos 100 direcciones y crear una sola regla de filtrado. •
Los grupos (listas de direcciones) pueden representar • Los administradores de TI con derechos especiales • hackers • Cualquier otra cosa que se pueda imaginar ...
2013-01-01
322
Basic address-list •Pueden ser utilizados en los filtros de cortafuegos, NAT mangle y las instalaciones. •Creación de listas de direcciones se puede automatizar mediante el uso de add-src-a-dirección-lista o add-dst-adirección-lista de acciones en las instalaciones de filtrado del cortafuegos, mangle o NAT. •Esta es una gran manera de bloquear automáticamente direcciones IP sin tener que introducir uno a uno •Example : add action=add-src-to-address-list addresslist=BLACKLIST chain=input comment=psd in-interface=ether1Internet psd=21,3s,3,1
2013-01-01
323
Address list syntax •View existing address lists
/ip firewall address-list print
•Create a permanent address list /ip firewall address-list add address=1.2.3.4 list=hackers
•Create an address list through a firewall filter rule /ip firewall filter add action=add-dst-to-address-list addresslist=temp-list address-list-timeout=3d1h1m1s chain=input protocol=tcp src-address=172.16.2.0/24 /ip firewall nat add action=add-src-to-address-list addresslist=NAT-AL chain=srcnat /ip firewall mangle add action=add-dst-to-address-list addresslist=DST-AL address-list-timeout=10m chain=prerouting protocol=tcp
2013-01-01
324
Source NAT
2013-01-01
325
NAT •Network Address Translation (NAT) permite a los hosts para utilizar un conjunto de direcciones IP en el lado LAN y otro conjunto de direcciones IP al acceder a redes externas. •Fuente NAT traduce las direcciones IP privadas (en la LAN) a direcciones IP públicas cuando se accede a Internet. El revés se hace para el tráfico de retorno. Se refiere a veces como "esconder" su espacio de direcciones (de la red) detrás del ISP suministra dirección. 2013-01-01
326
Enmascarado y la acción-src nat •La primera cadena de NATing es "srcnat". Es usado por el tráfico que sale del router. •Al igual que los filtros de firewall, reglas NAT tienen muchas propiedades y acciones (13 acciones). •La primera, y la más básica de las reglas NAT, sólo utiliza la acción "mascarada". •Masquerade sustituye la dirección IP de origen en paquetes de un solo determinados por la instalación de enrutamiento. •Por lo general, la dirección IP de origen de los paquetes que van a la Internet será reemplazado por la dirección de la interfaz externa (WAN). Esto es necesario para el tráfico de retorno a "encontrar su camino a casa". 2013-01-01
327
Enmascarado y la acción srcnat •La acción "src-nat" cambia la dirección IP de origen y el puerto de paquetes a los especificados por el administrador de la red •Ejemplo de uso: Dos empresas (alfa y beta) se han fusionado y ambos utilizar el mismo espacio de direcciones (ex 172.16.0.0/16.). Ellos crearán un segmento utilizando un espacio de dirección totalmente diferente como un amortiguador y ambas redes requerirán reglas-src y NAT-dst nat. 2013-01-01
328
Destination NAT
2013-01-01
329
DST-nat y la acción de redirección •"Dst-nat" es una acción se utiliza con la cadena "dstnat" para redirigir el tráfico entrante a una dirección IP diferente o puerto •Ejemplo de uso: En nuestro Alfa y Beta anterior ejemplo, vemos que se requieren normas-DST nat reconvertir el "buffer dirección IP" a la dirección del servidor de Beta.
2013-01-01
330
DST-nat y la acción de redirección •"Redirect" cambia el puerto de destino al puerto especificado "al-puertos" del router. •Ejemplo de uso: Todas http (TCP, puerto 80) el tráfico se va a enviar al servicio web proxy en el puerto TCP 8080.
2013-01-01
331
NAT Syntax •Source NAT (from /ip firewall nat) Add the masquerade rule
add action=masquerade chain=srcnat
Change the source IP address add chain=srcnat src-address=192.168.0.109 action=src-nat toaddresses=10.5.8.200
•Destination NAT Redirect all web traffic (TCP, port 80) to the router's web proxy on port 8080 add action=redirect chain=dstnat dst-port=80 protocol=tcp to-ports=8080
2013-01-01
332
Tiempo para un ejercicio práctico . .
Fin del módulo 6
2013-01-01
333
LABORATORIO 6 •Objetivos del laboratorio •Configuración de reglas básicas de cortafuegos •Configurar una dirección de la lista básica •Aplicar reglas básicas NAT origen y ponerlas a prueba •Aplicar reglas básicas NAT destino y ponerlas a prueba
2013-01-01
334
Laboratory : Diagrama
2013-01-01
335
Laboratorio: paso 1
•Crear Usuario Test1 Pass1 Permiso minimo •Antes de seguir adelante con las reglas del cortafuegos, vamos a probar una regla NAT: Enmascaramiento •Mira en la configuración para ver si usted tiene un "enmascaramiento" regla NAT. Crear uno si usted no PERO deja desactivada. Si usted tiene uno asegurarse de que es discapacitado •Lanzamiento Winbox y conectarse a una router vecino. •En la sección de conexión IP FIREWALL, mira las conexiones activas. ¿Que ves? ¿Por qué? •Establecer la opción de configuración que le permitirá realizar un seguimiento de las conexiones. Compruebe los resultados. •Habilitar la regla NAT mascarada y comprobar el seguimiento de conexiones de nuevo. 2013-01-01 336
Laboratorio: paso 2 •Vamos a hacer las cosas más interesantes añadiendo reglas de filtrado. Aplique las siguientes reglas para el tráfico entrante en la interfaz WAN. Acepte respuestas de eco ICMP Caída de peticiones de eco ICMP Acepte todos "establecida" y "relacionados con" el tráfico de entrada y hacia adelante Caída de todas las entradas "no válido" y el tráfico hacia adelante Entra el resto de la entrada y el tránsito hacia adelante Suelta el resto de la entrada y el tránsito hacia adelante Añadir comentarios significativos a todas las reglas. Haga lo mismo con los prefijos "log" REGLAS ". 2013-01-01
337
Laboratorio: paso 3 •Ahora que ya tiene normas, revisar sus registros. Mira los mensajes y su formato •Al ver lo que se ve ahora, ¿cree solucionando problemas de conexión sería más fácil? ¿Por qué?
2013-01-01
338
Laboratorio: paso 4 •Crear listas de direcciones que representan a todas las vainas •Utilice el siguiente formato:
•
Nombre: Pod1 Dirección: de la LAN Nombre: Pod1 Dirección: de la interfaz WAN Hacerlo para todos pod, incluso su propio pod
2013-01-01
339
Laboratorio: paso 5 •Grupos de dos en dos para las siguientes pruebas •Cierre la ventana de su WinBox y vuelva a abrirlo, se conecta a su router pareja. ¿Lo que está sucediendo? •Con una regla de filtrado SOLAMENTE, permitir que todas las direcciones IP de usted mira con fijeza pod para conectarse a su router con WinBox (TCP, 8291)
Asegúrese de que está en el lugar correcto para que funcione Y no se olvide comentarios!
2013-01-01
340
Laboratorio: paso 6 •Para probar la redirección de puertos, tendremos que hacer un pequeño cambio en los servicios de IP de su vaina. •En la sección de servicios IP, cambie el puerto WinBox a 8111.
2013-01-01
341
Laboratorio: paso 7 •Cierre y vuelva a abrir la interfaz WinBox sin añadir parámetros especiales. ¿Qué resultado se puede conseguir? •Inicie sesión en el WinBox utilizando el puerto 8111. •Crear una regla-dst nat con una acción de redirección al puerto 8111 en todo el puerto 8291 el tráfico TCP. •Cierre y vuelva a abrir WinBox sin el puerto después de la dirección IP. ¿Funciona ahora? •Acceda a usted mira con fijeza enrutador de pod. ¿Lo que está sucediendo? 2013-01-01
342
Laboratorio: paso 8 •Regrese al puerto WinBox a su valor normal de 8291. •Desactivar (no eliminar) la regla dstnat de "reorientar". •Cierre WinBox y validar que se puede iniciar sesión en el router y el router de su pares normalmente.
2013-01-01
343
Laboratorio: paso 9 •Crear una regla-dst nat con una acción de redirección al puerto 8291 en todo el puerto TCP 1313 el tráfico que entra en el puerto WAN. •Abra WinBox e iniciar sesión en el router a través del puerto 1313. •Abra WinBox e iniciar sesión en el router de su pares a través del puerto 1313. •Explicar los diferentes resultados. 2013-01-01
344
Laboratorio: paso 10 •Hacer una exportación y una copia de seguridad binaria bajo el nombre de archivo module6-podx.
2013-01-01
345
FIN DE LABORATORIO 6
2013-01-01
346
MODULO 7 QOS
2013-01-01
347
Simple queue - cola simple
2013-01-01
348
Introducción •QoS (calidad de servicio) es el arte de la gestión de los recursos de ancho de banda y no sólo "a ciegas" ancho de banda que limita a ciertos nodos •QoS puede priorizar el tráfico basado en métricas. Útil para •Las aplicaciones críticas •Tráfico sensible como flujos de voz y video 2013-01-01
349
Introducción •Colas simples son un ... simple ... forma de limitar el ancho de banda de •Subida del Cliente •Descarga del Cliente •Agregada de cliente (carga y descarga)
2013-01-01
350
Target Objetivo •Target es la interfaz a la que se aplica la cola sencilla •DEBE especificar un objetivo. Puede ser •Una dirección IP •Una subred •Una interfaz •Orden de la cola es importante. Cada paquete debe pasar por cada cola sencilla hasta que se produzca una coincidencia 2013-01-01
351
Destinos •Dirección IP donde el tráfico del objetivo está dirigido, o •Interface a través del cual el tráfico de destino fluirá a través de •No es obligatorio, como el campo "objetivo" •Se puede utilizar para limitar la restricción de la cola 2013-01-01
352
Max-limit and limit-at •El parámetro "max-límite" es la velocidad de datos máxima que puede alcanzar un objetivo •Visto como MIR (máxima velocidad de información) •Mejor de los casos
•El “limit-at" parámetro es una velocidad de datos mínima garantizada para el objetivo •Visto como CIR (tasa de información comprometida) •En el peor escenario 2013-01-01
353
Bursting Rafaga •Bursting permite a los usuarios de conseguir, por un tiempo corto, más ancho de banda que el permitido por el parámetro "max-límite". •Útil para impulsar el tráfico que no utiliza el ancho de banda con demasiada frecuencia. Por ejemplo, HTTP. Obtener una página de descarga rápida, que leyó durante unos segundos 2013-01-01
354
Bursting •Definitions. –Burst-limit : Tasa máxima de datos mientras se permite ráfaga –Burst-time : El tiempo, en segundos, durante el cual se hizo el muestreo. No es el período durante el cual el tráfico va a estallar. –Burst-threshold : el valor que determinará si se permitirá a un usuario de usar la rafaga –Average-rate : Un promedio de transmisión de datos calcula en 1/16th partes de "tiempo de ráfaga". –Actual-rate : Actual tasa de transferencia de datos (real). 2013-01-01
355
Bursting •Cómo funciona.. –Se permite que estalla mientras que las estancias de tasa promedio por debajo del umbral de estallar. –Estallar se limitará a la velocidad especificada por el límite de estallar. –Tasa media se calcula un promedio de 16 muestras (a tasa real) más de segundos en tiempo de ráfaga. –Si en tiempo de ráfaga es de 16 segundos, y luego se toma una muestra cada segundo. –Si en tiempo de ráfaga es de 8 segundos, luego se toma una muestra cada ½ segundo. Etcétera… –Cuando estalla aperturas, se permitió segundo en tiempo de ráfaga más larga, que es –(umbral estallar x tiempo de ráfaga) / límite de estallar.
2013-01-01
356
Bursting
With a burst-time of 16 seconds
2013-01-01
357
Bursting
With a burst-time of 8 seconds
2013-01-01
358
Syntax •Una cola sencilla •add max-limit=2M/2M name=queue1 target=192.168.3.0/24
•La misma cola con estallido •add burst-limit=4M/4M burst-threshold=1500k/1500k burst-time=8s/8s limit-at=\ 1M/1M max-limit=2M/2M name=queue1 target=192.168.3.0/24
2013-01-01
359
Tip •Usted puede haber notado que los iconos de cola cambian de color de acuerdo al uso. El color tiene un significado. •Verde: 0 - 50% de ancho de banda disponible utilizado •Yellow empresa: 51 - 75% de ancho de banda disponible utilizado •Red: 76 - 100% de ancho de banda disponible utilizado 2013-01-01
360
Una cola simple para toda la red (PCQ) 2013-01-01
361
¿Por qué tener una cola para todos? •Per Connection Queue (PCQ) es una forma dinámica de conformación de tráfico para varios usuarios que utilizan una configuración más sencilla. •Definir los parámetros, entonces cada sub-stream (direcciones IP específica, por ejemplo) tendrá las mismas limitaciones.
2013-01-01
362
Configuración de tasa PCQ •La tasa PCQ parámetro limita permitido velocidad de datos del tipo de cola. •Clasificador es lo que el router comprueba cómo se va a aplicar esta limitación. Puede ser en dirección de origen o de destino, o la fuente o puerto de destino. De este modo se podría limitar el tráfico de usuario o tráfico de aplicaciones (HTTP, por ejemplo). 2013-01-01
363
Pcq-limit configuration •Este parámetro se mide en paquetes. •Un valor PCQ límite grande •Creará un búfer mayor, reduciendo así los paquetes caído •Aumentará latencia
•Un valor PCQ límite más pequeño •Aumentará paquetes gotas (desde tampón es menor) y forzará a la fuente de volver a enviar el paquete, reduciendo así la latencia •Dará lugar a un ajuste de tamaño de la ventana TCP, diciéndole a la fuente para reducir la velocidad de transmisión 2013-01-01
364
Pcq-limit configuration •¿Qué valor se debe usar? No hay una respuesta fácil.. –Si a menudo comienza en una base "ensayo y error" por aplicación –Si los usuarios se quejan de latencia, reducir el límite pcq- (longitud de la cola) Valor –Si los paquetes tienen que pasar por un servidor de seguridad compleja, entonces puede que tenga que aumentar la longitud de la cola, ya que puede introducir retrasos –Las interfaces Fast (como Gib) requieren colas más pequeñas, ya que reducen los retrasos 2013-01-01
365
PCQ, un ejemplo •Vamos a suponer que tenemos usuarios que comparten un vínculo WAN limitada. Les daremos las siguientes velocidades de datos: •Descargar: 2Mbps •Subir: 1Mbps •WAN está en Ether1 •Subred LAN es 192.168.3.0/24 2013-01-01
366
PCQ, un Ejemplo /ip firewall mangle add action=mark-packet chain=forward new-packet-mark=client_upload \ out-interface=ether1 src-address=192.168.3.0/24 add action=mark-packet chain=forward dst-address=192.168.3.0/24 \ in-interface=ether1 new-packet-mark=client_download /queue type add kind=pcq name=PCQ_download pcq-classifier=dst-address pcq-rate=2M add kind=pcq name=PCQ_upload pcq-classifier=src-address pcq-rate=1M /queue tree add name=queue_upload packet-mark=client_upload parent=global queue=\ PCQ_upload add name=queue_download packet-mark=client_download parent=global queue=\ PCQ_download
2013-01-01
367
Our example explained •Mangle : Le estamos diciendo al router para marcar los paquetes con el "client_upload" o la marca "client_download", dependiendo de si –Los paquetes son procedentes de la LAN y están dejando de Ether1 (upload) o, –Los paquetes están entrando desde Ether1 e ir a la LAN (descargar).
•Queue types : Estamos definiendo los tipos de datos y clasificadores de usar para diferenciar sub-corrientes (origen o destino) •Queue tree : Las combinaciones que se comprueban para ver si los paquetes califican para la modulación del tráfico y lo que debe aplicar.. –Por ejemplo, en el caso del tráfico de subida, comprobamos entrada y interfaces de salida (globales) para los paquetes con la marca "client_upload" y aplicamos el "PCQ_upload" tipo de cola..
2013-01-01
368
Monitoring Monitoreo
2013-01-01
369
Interface traffic monitor •La herramienta de monitor de tráfico se utiliza para ejecutar secuencias de comandos cuando un tráfico de interfaz alcanza un cierto umbral. Example /tool traffic-monitor add interface=ether1 name=TrafficMon1 on-event=script1 threshold=1500000 \ traffic=received /system script add name=script1 policy=ftp,read,test,winbox,api source="/tool e-mail send to=\"\ [email protected]\" subject=([/system identity get name] . \" Log \ \" . [/system clock get date]) body=\"Hello World. You're going too fast!\"" 2013-01-01
370
Torch •Torch es una herramienta de monitorización de tráfico en tiempo real que se puede utilizar para monitorear el tráfico que va a través de una interfaz. •Aunque CLI es muy flexible, la interfaz de Torch en Winbox es muy intuitivo..
2013-01-01
371
Torch, CLI [admin@Pod3] /tool> torch interface=ether2 port=winbox SRC-PORT DST-PORT 53217 8291 (winbox)
[admin@Pod3] /tool> torch interface=ether2 port=any SRC-PORT DST-PORT PACKETS RX-PACK 53217 8291 (winbox) 7 62414 53 (dns) 1 53538 80 (http) 12 62437 53 (dns) 1 53540 80 (http) 18 53541 80 (http) 19 59150 53 (dns) 1 53542 80 (http) 12 53543 443 (https) 6 53544 80 (http) 73 53545 80 (http) 4 2013-01-01 53546 80 (http) 12
TX 12.0kbps 12.0kbps
RX TX-PACKETS RX-PACKETS 4.7kbps 7 6 4.7kbps 7 6
TX
RX TX-
15.2kbps
5.1kbps
728bps
600bps
92.8kbps
5.3kbps
744bps
616bps
182.2kbps
8.4kbps
191.1kbps
8.6kbps
760bps
632bps
112.9kbps
7.0kbps
34.8kbps
6.3kbps
860.4kbps
20.0kbps
4.5kbps
5.6kbps
122.0kbps
6.3kbps
372
Torch, Winbox
2013-01-01
373
Graphs •Gráfica es una herramienta utilizada para monitorizar diversos parámetros RouterOS en el tiempo y poner los datos recogidos en los gráficos. •Los siguientes parámetros se pueden capturar.. –CPU, memory and disk usage –Interface traffic –Queue traffic
•Los gráficos se puede acceder tecleando http: // / gráficos
2013-01-01
374
Graphs Primeros Pasos. [admin@Pod3] /tool graphing> set store-every=5min pagerefresh=300 [admin@Pod3] /tool graphing> print store-every: 5min page-refresh: 300 [admin@Pod3] /tool graphing>
Añadimos los valores a graficar. [admin@Pod3] /tool graphing> interface add allow-address=0.0.0.0/0 interface=all [admin@Pod3] /tool graphing> queue add allow-address=0.0.0.0/0 simplequeue=test-queue1 [admin@Pod3] /tool graphing> resource add allow-address=0.0.0.0/0 2013-01-01
375
Graphs
2013-01-01
376
SNMP •SNMP, siglas de Simple Network Management Protocol, es un protocolo estándar de Internet utilizado para la gestión de dispositivos en las redes IP. •Muchas de las herramientas, tanto de código abierto y comercial, están disponibles para gestionar sus redes y automatizar muchas tareas. •Como todas las cosas, la configuración debe ser pensado desde uno podría utilizar SNMP para hackear la red. 2013-01-01
377
SNMP Primeros Pasos. [admin@Pod3] /snmp> set enabled=yes [admin@Pod3] /snmp> set contact=YOU [admin@Pod3] /snmp> set location=OFFICE [admin@Pod3] /snmp> print enabled: yes contact: YOU location: OFFICE engine-id: trap-target: trap-community: (unknown) trap-version: 1 trap-generators: [admin@Pod3] /snmp>
2013-01-01
378
SNMP •Especial atención se debe dar a las comunidades. •Dictan privilegios. [admin@Pod3] /snmp community> print detail Flags: * - default 0 * name="public" addresses=0.0.0.0/0 security=none read-access=yes write-access=no authentication-protocol=MD5 encryption-protocol=DES authentication-password="" encryption-password="" [admin@Pod3] /snmp community>
2013-01-01
379
SNMP
2013-01-01
380
Tiempo para un ejercicio práctico
Fin del módulo 7
2013-01-01
381
LABORATORIO 7 •Objetivos del laboratorio •Configurar y probar una cola simple. •Configurar y probar una configuración de cola PCQ. •Ser capaz de decir a los pros y los contras de ambos. •Pruebe las herramientas de seguimiento y ver cómo pueden ayudar en situaciones cotidianas. 2013-01-01
382
Laboratory : Setup
2013-01-01
383
Laboratorio : paso 1 •Antes de continuar, instale un navegador MIB de sus computadoras. •Además, las Estudiantes deben emparejarse para este laboratorio varios pasos requerirán que más de un equipo se conecte a los routers. •http://www.ireasoning.com/mibbrowser.shtml
2013-01-01
384
Laboratorio: paso 2 •Rendimiento de prueba usando un sitio web de pruebas de velocidad. Tenga en cuenta los resultados. •Configure una cola sencilla (lo llaman "lab7") que limitará toda su LAN para descarga 1Mbps y 512Kbps de subida. •Rendimiento de nueva prueba. •Hacer que un compañero de estudios se conecte a su router y repita la prueba de velocidad. ¿Qué obtienes? ¿Su compañero de estudios conseguir los mismos resultados cuando se conecta a su router?
2013-01-01
385
Laboratorio: paso 3 •Añadir estallando en la cola "lab7". Los parámetros son: –Burst limit 1M (upload), 4M (download) –Burst-threshold 1M (upload), 3M (download) –Burst-time 16 seconds for both
•Repetir las mismas pruebas como antes y ver los resultados. •Una vez hecho esto, deshabilite la cola simple. 2013-01-01
386
Laboratorio: paso 4 •Crear un sistema basado PCQ para que todos los ordenadores de la misma red LAN tienen un límite de 2 Mbps para descargas y 512 Kbps para cargas. •Asegúrese de que los nombres que se utilizan tienen sentido! •Rendimiento de prueba usando un sitio web de pruebas de velocidad. Tenga en cuenta los resultados. •Hacer un compañero de estudios se conecte a su router y repita la prueba de velocidad. ¿Qué obtienes? ¿Su compañero de estudios conseguir los mismos resultados cuando se conecta a su router?
2013-01-01
387
Laboratorio: paso 5 •Configurar la supervisión del tráfico de una manera tal que se le enviará un email si el tráfico de entrada es superior a 3 Mbps en su interfaz inalámbrica.
2013-01-01
388
Laboratorio: paso 6 •Utilice la herramienta torch de tal manera que se puede ver la dirección de origen de nodos que hacen todo el tráfico IP en cualquier puerto a través de la interfaz inalámbrica. •Experimente con la CLI y enfoques winbox.
2013-01-01
389
Laboratorio: paso 7 •Habilitar gráficos en: •interfaz inalámbrica •recursos de hardware •Ver en su navegador
2013-01-01
390
Laboratorio: paso 8 •Habilitar SNMP, y el suministro de estos parámetros: •Su nombre como información de contacto. •Su número de lugar como ubicación (Podx).
•Mantenga el resto a su valor por defecto. •El uso de un navegador MIB, caminar a través de las MIB de su router. ¿Puedes ver tu nombre y ubicación? 2013-01-01
391
Laboratorio: paso 9 •Como de costumbre, guardar la configuración actual en formato binario y de texto utilizando el mismo formato de nombre que se ha utilizado en los laboratorios anteriores
2013-01-01
392
FIN DE LABORATORIO 7
2013-01-01
393
MODULO 8 TÚNELES
2013-01-01
394
Tunnels
•Los túneles son una forma de ampliar su red privada a través de una red pública, como Internet. •También se conocen como VPNs (redes privadas virtuales). •El concepto de seguridad se asocia con VPNs. Están acostumbrados ya que no es deseable para permitir el tráfico de los usuarios a ir a través de redes no seguras y no de propiedad privada (por el cliente). 2013-01-01
395
PPP
2013-01-01
396
PPP profile - perfil •Perfiles PPP representan los parámetros de configuración para ser utilizados por los clientes PPP tales como, pero no limitado a: •Direcciones o grupos IP locales y remotas •Compresión •Encriptación
2013-01-01
397
/ppp profile (Ejemplo Cliente) add change-tcp-mss=yes name=Profileexternal use-compression=\ yes use-encryption=yes use-vjcompression=no
/ppp profile (Ejemplo Server) add change-tcp-mss=yes localaddress=192.168.222.1 name=Profileexternal \ remote-address=192.168.222.2 usecompression=yes use-encryption=yes \ use-vj-compression=no add change-tcp-mss=no dnsserver=192.168.5.1 localaddress=192.168.5.1 name=\ Profile-internal remote-address=PoolVPN use-compression=yes \ use-encryption=yes use-vjcompression=no
PPP secret •Secretos PPP se encuentran en servidores PPP y especifican los parámetros básicos necesarios para autenticar un cliente, tales como: •Nombre: Identificación del usuario •Contraseña: La contraseña del usuario •Servicio: El protocolo está dando servicio (si se deja a "cualquiera", el secreto PPP autenticar al usuario a través de cualquier servicio (PPPoE, L2TP, PPTP, etc.)) 2013-01-01
399
•Perfil: El subconjunto de configuración para ser utilizado por este usuario. Los perfiles permiten parámetros a ser utilizados por muchos usuarios sin tener que volver a escribir todo lo que en todo momento. •Los clientes no utilizan secretos PPP como sus credenciales de autenticación. Se especifican en la interfaz del cliente de PPP con los parámetros "password" "usuario“. /ppp secret add name=Pod4-external password=pod4-123 profile=Profile-external routes=\ 192.168.4.0/24 add name=alain password=alain!! profile=Profileinternal
PPP status •Representa estado actual de las conexiones. Útil para depurar y verificar las operaciones propias de sus túneles. [admin@Pod5] > /ppp active print detail Flags: R - radius 0 name="alain" service=pppoe caller-id="28:D2:44:2C:06:EE" address=192.168.5.100 uptime=3m56s encoding="MPPE128 statefull" session-id=0x81B00044 limit-bytes-in=0 limit-bytes-out=0 1 name="Pod4-external" service=pppoe caller-id="D4:CA:6D:8E:1A:97" address=192.168.222.2 uptime=37s encoding="MPPE128 stateless" session-id=0x81B00045 limit-bytes-in=0 limit-bytes-out=0
[admin@Pod5] > /ppp active print Flags: R - radius # NAME SERVICE CALLER-ID ADDRESS 0 alain pppoe 28:D2:44:2C:06:EE 192.168.5.100 1 Pod4-exte... pppoe D4:CA:6D:8E:1A:97 192.168.222.2
2013-01-01
UPTIME 4m12s 53s
ENCODING MPPE128 statefull MPPE128 stateless
401
IP pool
2013-01-01
402
Creación de una piscina •Pool de IP definen un rango de direcciones IP para los clientes. •No sólo es utilizado para DHCP, como vimos anteriormente en este supuesto, pero se puede utilizar para los clientes PPP y Hotspot. •Útil cuando una interfaz puede dar servicio a muchos clientes. Las direcciones se asignan desde la piscina de forma automática. 2013-01-01
403
Manejando Rangos •Rangos de IPs son listas de direcciones IP que no se superponen que se pueden asignar a los clientes a través de servicios (DHCP, PPP, hotspots). •Vamos a demostrar con un ejemplo. Usted tiene 50 equipos de la LAN corporativa y 50 próximos en la de usted VPN. /ip pool add name=Pool-PC ranges=192.168.5.50-192.168.5.99 add name=Pool-VPN ranges=192.168.5.100-192.168.5.149
2013-01-01
404
Manejando Rangos •Usted necesita agregar 50 computadoras más en la piscina de la LAN. /ip pool print # NAME 0 Pool-PC 1 Pool-VPN
RANGES 192.168.5.50-192.168.5.99 192.168.5.100-192.168.5.149
/ip pool set 0 ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199 /ip pool> print # NAME 0 Pool-PC 1 Pool-VPN
2013-01-01
RANGES 192.168.5.50-192.168.5.99 192.168.5.150-192.168.5.199 192.168.5.100-192.168.5.149
405
Asignar a un servicio •Las piscinas (pools) pueden ser asignados a servicios como DHCP, PPP y punto de acceso. •Vamos a ver la sintaxis de las diapositivas por venir.
2013-01-01
406
Asegure las redes locales
2013-01-01
407
PPPoE •Point-to-point over Ethernet es un protocolo de capa 2. •Se utiliza a menudo por los ISP para controlar el acceso a sus redes. •Se puede utilizar como un método de acceso en cualquier tecnología de capa 2, como 802.11 o Ethernet.
2013-01-01
408
PPPoE service-name •El service-name puede ser visto como el SSID de 802,11, lo que significa que es el nombre de la red que el cliente está buscando. •A diferencia del SSID, si el cliente no especifica uno, el concentrador de acceso (servidor PPPoE) enviará todos los service-names que servicios. El cliente responderá al primero de ellos que responda. 2013-01-01
409
Creación de un servidor PPPoE
•Un servidor PPPoE es el dispositivo que está ofreciendo el servicio de túnel. •Se permite a los clientes obtener un servicio de VPN segura capa 3 sobre una infraestructura de capa 2. •Usted no puede llegar a un servidor PPPoE a través de routers. Ya que es un protocolo de capa 2, el servidor sólo se puede llegar a través del mismo dominio de difusión Ethernet en el que los clientes son. 2013-01-01
410
Creación de un servidor PPPoE •Antes de crear el propio servidor, cree los parámetros de configuración que usted requiere (para valores distintos de forma predeterminada), tales como: •piscinas o pools IP •perfiles PPP •secretos PPP
•Crear la interfaz del servidor en la interfaz física frente a los clientes. 2013-01-01
411
Creación de un servidor PPPoE Ejemplo /ip pool add name=Pool-PC ranges=192.168.5.50-192.168.5.99,192.168.5.150-192.168.5.199 add name=Pool-VPN ranges=192.168.5.100-192.168.5.149 /ppp profile add change-tcp-mss=yes local-address=192.168.222.1 name=Profile-external \ remote-address=192.168.222.2 use-compression=yes use-encryption=yes \ use-vj-compression=no add change-tcp-mss=no dns-server=192.168.5.1 local-address=192.168.5.1 name=\ Profile-internal remote-address=Pool-VPN use-compression=yes use-encryption=\ yes use-vj-compression=no
2013-01-01
412
Creación de un servidor PPPoE ejemplo /ppp secret add name=Pod4-external password=pod4-123 profile=Profile-external routes=\ 192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal /interface pppoe-server server add authentication=mschap2 default-profile=Profile-external disabled=no \ interface=ether1 mrru=1600 service-name=PPPoE-external add authentication=mschap2 default-profile=Profile-internal disabled=no \ interface=ether5 mrru=1600 service-name=PPPoE-internal
2013-01-01
413
Creación de un servidor PPPoE Consejo : Puede dejar un puerto Ethernet sin un puerto principal, un puente o una dirección IP y el cliente que está conectado a este puerto puede conseguir todavía acceso a Internet si su servidor PPPoE (y el cliente PPPoE) está configurado correctamente. 2013-01-01
414
Direcciones punto-punto •La forma más fácil de crear direcciones es codificando en la configuración. •Dirección del / secret ppp tiene prioridad del / perfil ppp, y ellos tienen prioridad sobre pool / ip. •Tanto las direcciones locales y remotas pueden ser únicos o de una piscina. •Las direcciones IP estáticas o DHCP no se deben utilizar en interfaces de cliente PPPoE. Deje el control a la infraestructura! 2013-01-01
415
Creación de clientes PPPoE en RouterOS
•Si desea utilizar un perfil diferente a la default, crearla primero. Usted no tendrá que volver a ella más tarde. •Crear la interfaz de cliente en la interfaz de cara al ISP. •¡Ya terminaste! Consejo : El router no tendría que ser configurado con un cliente DHCP en la interfaz WAN y funcionaria si el servidor PPPoE está en la misma infraestructura de capa 2 como puerto WAN. 2013-01-01
416
Cliente PPPoE en RouterOS, ejemplo /ppp profile add change-tcp-mss=yes name=Profile-external use-compression=yes \ use-encryption=yes use-vj-compression=no /interface pppoe-client add ac-name="" add-default-route=yes allow=mschap2 \ default-route-distance=1 dial-on-demand=no disabled=no \ interface=ether1 keepalive-timeout=60 max-mru=1480 max-mtu=1480 \ mrru=disabled name=Client-PPPoE password=pod4-123 profile=\ Profile-external service-name="" use-peer-dns=no user=\ Pod4-external
•Habilitar la interfaz del cliente.
2013-01-01
417
Secure remote networks communication 2013-01-01
418
Clientes PPTP y servidores •PPTP es un protocolo de túnel de capa 3 y utiliza la información de enrutamiento IP y direcciones de obligar a los clientes a los servidores. •Definir el servidor PPTP es casi lo mismo que para PPPoE, excepto que ninguna interfaz tiene que ser especificado. •El cliente se define casi la misma forma que un cliente PPPoE, excepto que una dirección IP tiene que ser especificado para el servidor. •Consejo: Usted debe permitir TCP, el puerto 1723 en el firewall del router (el servidor PPTP) para su túnel pueda llegar.. /interface pptp-server server set authentication=mschap2 default-profile=Profile-external enabled=yes /interface pptp-client add add-default-route=yes allow=mschap2 connect-to=192.168.0.5 \ default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 \ max-mru=1450 max-mtu=1450 mrru=1600 name=Client-PPTP password=pod4-123 profile=\ Profile-external user=Pod4-external
2013-01-01
419
Clientes SSTP y servidores sin certificados •Definir el servidor SSTP es casi lo mismo que para PPTP, salvo que se especifique un puerto TCP para conectarse al (443 por defecto). •El cliente se define casi la misma forma que un cliente PPTP, salvo que se especifique un puerto TCP a utilizar para establecer una conexión (443 por defecto). •Consejo: Usted debe permitir TCP, el puerto 443 para el túnel para llegar. Además, dejar el puerto en 443 para asegurar SSL se utiliza para sus comunicaciones.. /interface sstp-server server set authentication=mschap2 enabled=yes /interface sstp-client add add-default-route=no authentication=mschap2 certificate=none connect-to=\ 192.168.0.5:443 dial-on-demand=no disabled=no http-proxy=0.0.0.0:443 \ keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=1600 name=Client-SSTP \ password=pod4-123 profile=Profile-external user=Pod4-external \ verify-server-address-from-certificate=no verify-server-certificate=n
2013-01-01
420
Rutas entre las redes •Una vez que el túnel está para arriba, usted necesita rutas para mover paquetes de ida y vuelta. •La primera forma, para un solo túnel de cliente, es que la ruta que se crea automáticamente para ese túnel. /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 192.168.0.254 0 1 ADC 192.168.0.0/24 192.168.0.5 ether1 0 2 ADC 192.168.5.0/24 192.168.5.1 Bridge-PC 0 3 ADC 192.168.5.101/32 192.168.5.1 0 2013-01-01
421
Rutas entre las redes •La segunda manera es especificar una o varias rutas en el Secret PPP para un cliente. /ppp secret export add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24 add name=alain password=alain!! profile=Profile-internal
/ppp secret print Flags: X - disabled # NAME ADDRESS 0 Pod4-external 1 alain
SERVICE CALLER-ID
PASSWORD
PROFILE
any any
pod4-123 alain!!
Profile-external Profile-internal
REMOTE-
/ppp secret set 0 routes=192.168.4.0/24,10.10.2.0/24 /ppp secret export add name=Pod4-external password=pod4-123 profile=Profile-external routes=192.168.4.0/24,10.10.2.0/24 add name=alain password=alain!! profile=Profile-internal
2013-01-01
422
Rutas entre las redes •La tercera forma es agregar rutas estáticas a una o varias redes a través de un túnel. •Este método es útil si ambos routers deben tener su propia ruta por defecto, pero implica más mantenimiento y parámetros. /ip route add comment="TO OFFICE LOOPBACKS" distance=1 dst-address=10.10.2.0/24 gateway=192.168.254.10 add comment="TO OFFICE NETWORKS" distance=1 dst-address=172.16.8.0/21 gateway=192.168.254.10
2013-01-01
423
Closing note VPN Protocol
Encryption
Ports
Compatible with
Notes
PPTP
MPPE with RC4 128 bit key
1723 TCP
Windows XP, Vista, 7,8,10 Mac OS X iPhone OS Android
PPTP is the most widely used VPN protocol today. It is easy to setup and can be used to bypass all Internet restrictions. PPTP is considered less secure.
SSTP
SSL with AES 2048 bit key certificate 256 bit key for encryption
443 TCP
Windows 7
SSTP uses a generic port that is never blocked by firewalls. You can use SSTP to bypass corporate or school firewalls. SSTP is considered a very secure protocol.
Want to learn more? •http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP •http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP •http://www.highspeedvpn.net/PPTP-L2TP-SSTP-OpenVPN.aspx •http://www.squidoo.com/advantages-and-disadvantages-of-vpn-protocols •http://www.vpnonline.pl/en/protokoly-vpn-porownanie (Linta Tabla!)
2013-01-01
424
Tiempo para un ejercicio práctico
Fin del módulo 8
2013-01-01
425
LABORATORIO 8
•Objetivos del laboratorio •Crear perfiles PPP y secretos •Crear y asignar pools IP a servicios •Crear un PPPoE VPN entre un ordenador y un router •Crear PPTP y SSTP túneles entre vainas •Asegure el enrutamiento adecuado
2013-01-01
426
Laboratory : diagrama
2013-01-01
427
Laboratorio: paso 1 • El Laboratorio se realizara en parejas. • Los estudiantes crearán tres perfiles PPP • • • •
Dos de usar con la pod del vecino. Uno para el servicio de servidor. Uno para el servicio al cliente. Uno de usar para los clientes conectados localmente.
• Los estudiantes crearán dos secretos PPP •
•
•
Uno para permitir la vaina vecino para conectarse a la vaina local. Uno para conectar los clientes conectados localmente.
Estudiantes vinculados estarán de acuerdo sobre la sintaxis y el contenido de los parámetros.
2013-01-01
428
Laboratorio: paso 2 •Crear una piscina IP para ser utilizado por los clientes que deseen conectarse por VPN. •Su piscina o pool será en una red diferente a su red LAN existente. •Asignar la piscina o pool para el perfil para ser utilizado por su futuro VPN "corporativo". 2013-01-01
429
Laboratorio: paso 3 •Seleccione un puerto libre en el router y sacarlo de cualquier grupo puente o puerto principal que puede ser asignado a. No debe tener una dirección IP o cualquier DHCP configurado en él. •Configurar un servidor PPPoE en el router para utilizar ese puerto. Usted debe utilizar el perfil que ha creado para sus clientes VPN. Habilitar sólo MSChap2 para la autenticación. Mira el material del curso para los ajustes de compresión y cifrado. 2013-01-01
430
Laboratorio: paso 4 •Configure su ordenador para conectarse a su router con una conexión de cliente PPPoE. •Conectar y navegue! Advertencias! –Compruebe la interfaz en la que se configura el servidor (y en la que se conecta el ordenador). –Compruebe la configuración de perfil en su servidor PPPoE y PPP secreto.. 2013-01-01
431
Laboratorio: paso 5
•Conecte su equipo de nuevo en una interfaz Ethernet normal. •Las pod pares crearán un servidor PPTP y un cliente SSTP. •Las pod impares crearán un cliente PPTP y el servidor SSTP. •Utilice los perfiles y secretos creados anteriormente. •SSTP no debe utilizar certificados! •Suba los túneles VPN y mirar lo que está sucediendo. 2013-01-01
432
Laboratorio: paso 6 •¿Nada? ¿Qué olvidamos? •Sugerencia: Una nueva regla firewall tal vez? •Una vez que los túneles están arriba, mirar a los estados de las conexiones activas ".
2013-01-01
433
Laboratorio: paso 7 •Retire las rutas estáticas de la tabla de enrutamiento. Sólo debe tener uno a su Pod de grupo. •Ping a la dirección IP LAN de su Pod compañero. ¿Funciona? Pero el túnel está todavía? ¿Como puede ser? (Deja el ping en ejecución) •¿Se puede hacer ping a la dirección a distancia del túnel? No todo está perdido entonces. 2013-01-01
434
Laboratorio: paso 8
•Abra el secret PPP del router y, en el campo "Routes", agrega la red de la otra POD y máscara. •Una vez hecho esto en ambas Pods, reinicie sus túneles cliente. •Observe el efecto que tiene en su tabla de enrutamiento. La sub red de sus compañeros aparecieros. Una vez que ambos túneles están arriba, ambos serán capaces de hacer ping. •Observe también las direcciones en la lista de direcciones IP. 2013-01-01
435
Laboratorio: paso 9 •Como de costumbre, guardar la configuración actual en formato binario y de texto utilizando el mismo formato de nombre que se ha utilizado en los laboratorios anteriores
2013-01-01
436
FIN DE LABORATORIO 8
2013-01-01
437