Certified Network Associate

(MTCNA)

Produzido por: Alive Solutions

Instrutor: Anderson M. Matozinhos
 Objetivos do curso
Fornecer uma viso geral do RouterOS e
produtos RouterBOARD
Laboratrios para configurao do
roteador MikroTik, manuteno e soluo
de problemas bsicos
 Objetivos do curso
Ao concluir este curso o aluno ir:
Ser capaz de configurar, gerenciar e criar
solues para problemas bsicos em um
dispositivo MikroTik RouterOS
Ser capaz de fornecer servios bsicos para
clientes
Ter uma base slida e ferramentas valiosas
para gerenciar uma rede
 Certificaes MikroTik
Curso de
Introduo MTCNA

MTCRE MTCWE MTCTCE MTCUME MTCIPv6E

MTCINE

Para mais informaes: http://training.mikrotik.com

 MTCNA Outline
Mdulo 1: Introduo
Mdulo 2: DHCP
Mdulo 3: Bridging
Mdulo 4: Routing
Mdulo 5: Wireless
Mdulo 6: Firewall
 MTCNA Outline
Mdulo 7: QoS
Mdulo 8: Tneis
Mdulo 9: Outros
Laboratrios durante cada mdulo (mais de
40 no total)
Outline detalhado disponvel em
mikrotik.com
 Agenda
Treinamento dirio: 09:00hs s 19:00hs
Coffe break: 16:00hs
Almoo: 12:00hs s 13:00hs
Prova: Ao trmino do ltimo dia, 1 hora de
durao
 Informaes teis
Por ser um curso oficial, o mesmo no poder ser
filmado ou gravado
Procure deixar seu aparelho celular desligado ou em
modo silencioso
Durante as explanaes evite as conversas paralelas.
Elas sero mais apropriadas nos laboratrios
Desabilite qualquer interface wireless, interface
de mquina virtual ou dispositivo 3G/4G/LTE
em seu laptop
 Informaes teis
Perguntas so sempre bem vindas. Muitas vezes a
sua dvida a dvida de todos.
O acesso a internet ser disponibilizado para efeito
didtico dos laboratrios. Portanto evite o uso
inapropriado.
O certificado de participao somente ser
concedido a quem obtiver presena igual ou
superior a 75%.
Solicite seu certificado de participao em:
http://www.alivesolutions.com.br/certificados
Ser enviado em at 15 dias.
 Sobre o trainer
Anderson Marin Matozinhos
l Mineiro de Juiz de Fora, morando em Belo Horizonte h 12 anos.

l MikroTik Official Trainer Partner (Praga, Repblica Tcheca).

MikroTik Official Consultant.

l Palestrante MUM Brasil: 2009, 2010, 2011, 2012, 2013, 2014, 2015 e 2016.
MUM Europa 2013 (Zagreb Crocia).

l Gerente de redes atuando desde de 1999.

l MikroTik Certificaes: MTCNA, MTCWE, MTCRE, MTCTCE,

MTCINE, MTCUME e MTCIPv6E.

l Microsoft Certificaes: MCSE, MCP.

l Analista de Sistemas.

l Tcnico em Eletrnica.

l E-mail: anderson@icorporation.com.br
 Apresente-se
Seu nome, sua empresa e de onde
Seu conhecimento sobre redes
Seu conhecimento sobre RouterOS
O que voc espera deste curso?
Por favor, anote o seu nmero (XY): ___
Certified Network Associate
(MTCNA)

Mdulo 1
Introduo
 Sobre a MikroTik
Fabricante de Software para router e de
Hardware
Produtos indicados para ISPs, empresas e
residncias
Misso: Tornar as tecnologias de Internet
mais rpidas, mais poderosas e acessvel
para todos os usurios
 Sobre a MikroTik
1996: Fundada
1997: RouterOS software para x86 (PC)
2002: Primeira RouterBOARD
2006: Primeiro MikroTik User Meeting
(MUM) - Praga, Repblica Tcheca
2008: Primeiro MUM do Brasil em So Paulo
2015: O maior MUM: Indonesia, + de 2500
pessoas presentes
 Sobre a MikroTik
Localizada na Letnia
+ de 160 funcionrios
mikrotik.com
routerboard.com
MikroTik RouterOS
o sistema operacional do hardware
MikroTik RouterBOARD
Tambm pode ser instalado em um
PC(x86) ou em mquina virtual (VM)
Sistema operacional autnomo baseado no
kernel do Linux
 Funcionalidades do
RouterOS
Suporte a todas tecnologias wireless
disponveis 802.11 a/b/g/n/ac
Firewall/controle de banda, QoS trafic shaping
Tunelamento ponto a ponto (PPTP, PPPoE,
SSTP, OpenVPN)
DHCP/Proxy/HotSpot
E muito mais ... veja em: wiki.mikrotik.com
MikroTik RouterBOARD
Uma famlia inteira de solues de hardware
criadas pela MikroTik que rodam RouterOS
Equipamentos que vo desde roteadores
domsticos pequenos at concentradores de
acesso de nvel de operadora
Milhes de RouterBOARDs atualmente roteando
o mundo
MikroTik RouterBOARD
Solues integradas - prontas para usar
Placas - para montagem de seu prprio sistema
Cases Criadas para as RouterBOARD
Interfaces - para expanso de funcionalidade
Acessrios
 Primeiro acesso
Cabo serial
Cabo Ethernet
WiFi(equipamentos SOHO)
Diretamente no console
no caso de x86 Cabo
Ethernet
Cabo serial
WiFi
 Primeiro acesso
WinBox -
http://www.mikrotik.com/download/winbox.exe
WebFig
SSH
Telnet
Emulador de terminal em caso de conexo via
porta serial
 WinBox
Endereo IP padro (LAN): 192.168.88.1
Usurio: admin
Senha: (em branco)
 MAC WinBox
Observe a barra de ttulo do WinBox se
est conectado usando o endereo IP
Conecte-se ao roteador usando o
endereo MAC
Observe a barra de ttulo do WinBox
 MAC WinBox
Desativar o endereo IP na interface bridge
Tente acessar o roteador usando o endereo IP
(no ser possvel)
Tente acessar o roteador usando MAC WinBox
(funciona)
 MAC WinBox
Ative o endereo IP na interface bridge
Acesse o roteador usando o endereo IP
 WebFig
Navegador - http://192.168.88.1
 Quick Set
Configurao bsica do roteador atravs de
uma simples janela
Acessvel tanto no WinBox quanto no WebFig
Mais detalhes no curso "Introduo ao
MikroTik RouterOS e RouterBOARD"
Quick Set
Configurao Padro
Diferentes configuraes padro so aplicadas
Para mais informaes veja em:
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations

Exemplo: Roteadores SOHO Cliente DHCP na *

Ether1, DHCP server no restante das porta + WiFi
Podem ser descartadas e deixar o roteador limpo.
Demais roteadores vm configurado somente com
o endereo IP 192.168.88.1 na ether1
*SOHO - Small Office, Home Office Linha 750, 2011, 921, 951, etc...
 Comand Line Interface
(CLI)
Disponvel via SSH, Telnet or New Terminal
no WinBox e WebFig
Comand Line Interface
(CLI)
<tab> completa o comando
duplo <tab> mostra os comandos
disponveis
? mostra ajuda
Navegue nos comandos anteriores com os
botes <>, <>
 Interface de linha de
comando
Estrutura hierrquica (similar ao menu do
WinBox)
Para mais informaes veja em:
http://wiki.mikrotik.com/wiki/Manual:Console

No WinBox: Interfaces
 Acesso a Internet

SSID = MTCNA
Seu PC Seu roteador

192.168.88.1
 Roteador - Notebook
Conectar o notebook ao roteador com um cabo, lig-
lo em qualquer uma das portas LAN exceto a ether1
Lembre-se de desativar outras interfaces (wireless,
3G e VM) em seu notebook
Certifique-se de que a interface Ethernet de seu
notebook est configurada para obter IP
automaticamente (atravs de DHCP)
Desabilite a wlan1 da Routerboard, ela No sera
usada.
 Internet - Roteador
Nosso gateway de internet esta disponvel atravs
do wireless. Conecte-se ao SSID= MTCNA

SSID = MTCNA
Seu notebook Seu roteador

192.168.88.1
Internet - Roteador
Para conectar-se ao AP voc deve:
- Remova a interface wireless (wlan2) da
interface bridge (usado na configurao
padro)

- Configure um DHCP client na interface

wireless do roteador.
Internet - Roteador
Para conectar-se ao AP voc deve:
- Criar e configurar um perfil de segurana
wireless
- Defina a interface wireless para o modo
station
- E configure uma regra de NAT masquerade
 Internet - Roteador

Remover a
interface
Wireless da
bridge

Bridge Ports
 Internet - Roteador

Adicione
um DHCP
client na
interface
Wireless

IP DHCP Client
 Internet - Roteador

Defina Name e
Pre-Shared
Key:
mtcna2016

Wireless Security Profiles

 Internet - Roteador
Configurar
wireless Mode
para station',
SSID para
'MTCNA' e o
Security
Profile da sala

Wireless Interfaces

Voc pode usar a ferramenta de Scan

para ver as redes disponveis e se conectar
 WinBox Dica
Para visualizar as senhas escondidas (exceto
senha de usurio), selecione:
Settings Hide Passwords

Wireless Security Profiles

Rede Privada e Pblica
Masquerade usado para acesso rede
pblica, onde os endereos privados esto
presentes
As redes privadas so:
l 10.0.0.0-10.255.255.255
l 172.16.0.0-172.31.255.255
l 192.168.0.0-192.168.255.255
 Router - Internet

Configurar o
masquerade
na interface
Wireless

IP Firewall NAT
Teste de conectividade
Ping www.mikrotik.com a partir de seu notebook.
Funcionando Faa backup binrio de sua RB.
Solucionando problemas
O roteador pode pingar alm do AP?
Se no, verifique se existe rota default
l

O roteador pode resolver nomes?

Se no, verifique se voc setou algum servidor dns(ip->dns)
l

O notebook pode pingar alm do roteador?

Se no, verifique se voc tem/recebeu rota default
l

O notebook pode resolver nomes?

l Se no, verifique se voc tem/recebeu algum dns

A regra Masquerade no est funcionando?

l Verifique se a out-interface e a action esto corretas
l Com tudo funcionando faa um backup
Verses do RouterOS
Bugfix only - Apenas correes, no h novos recursos.
Current Verso atual com as correes e novas
funcionalidades.
Release Candidate Verso em desenvolvimento.
 Atualizao do
RouterOS
A maneira mais fcil de atualizar

System Packages Check For Updates

 Atualizao do
RouterOS
Faa download da atualizao em
www.mikrotik.com/download
Verifique a arquitetura da CPU do seu router
Arraste e solte dentro da janela do WinBox
- Outras maneiras: WebFig - Files, FTP, sFTP

Reinicie sua RouterBoard

Gerenciando pacotes
As funes do RouterOS so habilitadas /
desabilitadas no menu package list

System Packages
 Pacotes do RouterOS
Pacote Funcionalidade
advanced-tools Netwatch, wake-on-LAN

dhcp DHCP client e DHCP server

hotspot HotSpot captive portal server

ipv6 Suporte a IPv6

ppp PPP, PPTP, L2TP, PPPoE cliente e servidor

routing Roteamento dinmico: RIP, BGP, OSPF

security WinBox seguro, SSH, IPsec

system Funcionalidades bsicas: static routing, firewall, bridging, etc.

wireless Suporte 802.11 a/b/g/n/ac, CAPsMAN v2, Wireless FP

Para mais informaes acesse:

http://wiki.mikrotik.com/wiki/Manual:System/Packages
Pacotes do RouterOS
Cada arquitetura de CPU tem um pacote
combinado. Ex. routeros-mipsbe, routeros-
tile
Esses pacotes combinados contm todas as
funcionalidades padro RouterOS (wireless,
dhcp, ppp, routing, etc.)
Pacotes com funcionalidades extras podem
ser baixados da pgina
www.mikrotik.com/download
 Pacotes extras do
RouterOS
Fornece funcionalidades adicionais
Para instalar a nova funcionalidade basta
enviar o pacote para o roteador e reinicia-lo
Pacote Funcionalidade
gps Suporte a dispositivos GPS
ntp Servidor Network Time Protocol
ups Suporte e gerenciamento para no-break APC UPS
user-manager MikroTik User Manager
Gerenciando pacotes
Desative o pacote wireless
Reinicie o router
Observe a lista de interfaces
Ative o pacote wireless
Reinicie o router
Gerenciando pacotes
Observe menu do WinBox System
(nenhum menu NTP Server)
Baixar o pacote extra NTP para arquitetura
da CPU do seu roteador
Instale o pacote NTP e reinicie o roteador
Observe menu System agora
Downgrade de pacotes
A partir do menu System Packages
Clique em Check For Updates e selecione um
Channel (canal) diferente (ex. bugfix-only)
Clique em Download
Clique em Downgrade na janela Package List
Para retornar a verses anteriores voc precisa
fazer o download da verso desejada, efetuar o
upload para o roteador e em seguida clicar:
Downgrade
Downgrade de pacotes
Faa downgrade do RouterOS atual para
verso bugfix apenas(caso esteja disponvel)
Depois atualiz-lo de volta para a verso
atual
 RouterBOOT
Firmware responsvel por iniciar o
RouterOS nas RouterBOARDs
Algumas RouterBOARDs possuem dois
boot loaders - principal e backup
O principal pode ser atualizado
O boot loader backup pode ser carregado,
se necessrio
 RouterBOOT

System Routerboard

Veja mais em:

http://wiki.mikrotik.com/wiki/Manual:RouterBOOT
 Router Identity
Opo para definir um nome para que cada
roteador
As informaes de identidade aparecem em vrios
locais

System Identity
 Router Identity
Defina a identidade do seu roteador da
seguinte forma:
SeuNumero(XY)_SeuNome
Por exemplo: 33_PaulaFernandes
Observe a barra de titulos do WinBox
Usurios do RouterOS
Usurio admin(padro) j vem com
permisso do grupo: full
Grupos adicionais - read e write
Voc pode criar seu prprio grupo e
ajustar as permisses de acesso.
 Usurios do RouterOS

System Users

Veja mais em: http://wiki.mikrotik.com/wiki/Manual:Router_AAA

Usurios do RouterOS
Adicione um novo usurio para ao RouterOS com
acesso full (anote o nome e a senha)
Mude o usurio admin para o grupo read
Retire a permisso de reboot e sentive do grupo
read.
Entre com o novo usurio
Entre como admin:
Tente alterar as configuraes, rebootar ou ver a
senha de wireless (no ser possvel)
Usurios do RouterOS
Gere um par de chaves SSH pblica /
privada usando 'ssh-keygen' (OSX e Linux)
ou "PuTTYgen '(Windows)
Carregue a parte pblica da chave para o
roteador
Faa a importao e a atribua ao usurio
Acesse o roteador usando a chave privada
 RouterOS Services
Lista as diferentes maneiras de conectar-se ao
RouterOS
API - Application Programming Interface
FTP - para enviar/baixar arquivos de/para o
RouterOS

IP Services
 RouterOS Services
SSH Interface de linha de comando segura
Telnet Interface de linha
de comando insegura
WinBox Acesso GUI
(Graphical User Interface) IP Services
WWW Acesso pelo web browser
 RouterOS Services
recomendado desativar
servios no utilizados
Caso queira restringir o
acesso, use o campo
available from e indique
o(s) ip(s) permitido(s).
Portas padro podem ser IP Services
alteradas
 RouterOS Services
Acesse o RouterOS pela interface web -
http://192.168.88.1
Pelo WinBox desabilite o servio www
Atualize a pagina no browser
Backup de configurao
Existem dois tipos de backups:
l Backup de arquivos (.backup) - usado
para restaurar a configurao no mesmo
roteador.
l Exportao de arquivo (.rsc) - usado para
mover a configurao para outro
roteador pois o arquivo editvel e no
carrega informaes fsicas.
Backup de configurao
Arquivo de backup pode ser criado e
restaurado no menu Files do WinBox
O arquivo de backup binrio, e por
padro criptografado com a senha do
usurio. Contm uma completa
configurao do roteador (senhas, chaves,
etc.)
Backup de configurao
Voc pode informar o nome do arquivo e a
senha para a encriptao.
O Router identity e a data atual so usados
para gerar o nome de arquivo de backup
Backup de configurao
J o export(.rsc) um script com a
configurao do roteador que pode ser
usado para restaurar seu backup.
Arquivo em formato texto simples
(editvel)
Contm somente as modificaes feitas
pelo administrador do router. Isto , exclui
as configuraes de fbrica.
Backup de configurao
O arquivo no formato export(.rsc) pode ser
criado via terminal usando o comando
"export".
As configuraes integrais ou parciais do
roteador podem ser salvas no arquivo de
export. Como por exemplo:
l /export backup completo do roteador
l /ip firewall export -backup somente do firewall

A senhas dos usurios RouterOS no so

salvas quando usando o export
Backup de configurao

Os arquivos so salvos na flash/ hd

Backup de configurao
Caso seja necessrio, voc pode editar o arquivo e
efetuar as modificaes desejadas.
Pode ser usado para mover uma configurao para
outra RouterBOARD
Pode ser restaurado usando o comando "import
Caso esteja aplicando um backup completo,
recomendado que voc limpe as configuraes prvias
do router: /system reset no-default=yes
Backup de configurao
Voc pode baixar para a computador usando
WinBox (arrastando e soltando), FTP ou
WebFig.
No guarde a cpia do backup somente no
roteador! No uma boa estratgia de backup!
possvel tambm automatizar a criao e
envio de backups utilizando scripts e os
agendadores(schedulers).
Veja mais em: http://wiki.mikrotik.com/wiki/Automated_Backups
Reset de configurao
Neste menu voc pode resetar para a
configurao padro de fbrica.
Keep User configuration: Mantm os usurios do
RouterOS aps o reset
No default Configuration: Reseta o roteador sem
nenhuma configurao(Nem a de fbrica).
Run After Reset: Executa um script aps o reset

System Reset Configuration

Reset de configurao
Usando o boto 'reset' fsico do roteador
voc pode:
Carregar o RouterBOOT loader backup
Resetar as configuraes do router
Habilitar modo CAPs mode (Controlled AP)
Iniciar no modo Netinstall
Para mais informaes leia:
http://wiki.mikrotik.com/wiki/Manual:Reset_button
 Netinstall
Usado para instalar e reinstalar RouterOS
necessria conexo de rede direta com o
roteador (pode ser usado LAN sobre switch )
O cabo deve ser conectado porta Ether1 (exceto
CCR e RB1xxx use a ltima porta)
Funciona em Windows
Mais informaes veja em:
http://wiki.mikrotik.com/wiki/Manual:Netinstall
 Netinstall

Disponvel em: www.mikrotik.com/download

Backup de configurao
Crie um aquivo .backup
Copie-o para o seu notebook
Exclua o arquivo .backup do roteador
Resete a configurao do roteador
Copie o arquivo .backup de volta para o
roteador
Restaure a configurao do roteador
Backup de configurao
Crie um backup usando o comando "export"
Copie-o para o seu notebook
Exclua o arquivo de export do roteador
Resete a configurao do roteador
Copie o arquivo de export de volta ao
roteador
Restaure a configurao do roteador
 Netinstall
Faa download do Netinstall
Inicie seu router em modo Netinstall
Instale o RouterOS no seu router usando o
Netinstall
Restaure a configurao a partir do arquivo
backup de salvo anteriormente
Licenas do RouterOS
Todos as RouterBOARDs so
fornecidas com uma licena.

Existem 6 nveis de licena.

http://wiki.mikrotik.com/wiki/Manual:License

Licensas do RouterOS no expiram

Licenas para x86 podem ser
compradas em www.mikrotik.com
ou em distribuidores oficiais. System License
 Licenas do RouterOS
Level Type Typical Use

0 Modo Trial 24h de uso (sem limite de recursos)

No expira, porm os recursos so muito
1 Free Demo
limitados
3 CPE Wireless client (station), volume only

4 AP Wireless AP: WISP, HOME, Office

5 ISP Suporta mais tneis que L4

6 Controller Recursos ilimitados do RouterOS

Mdulo 1
Dvidas??
Certified Network Associate
(MTCNA)

Mdulo 2
DHCP
 DHCP
Dynamic Host Configuration Protocol (protocolo
dinmico de configurao de rede).
Usado para distribuio automtica de endereos
IP em uma rede local
Use DHCP apenas em redes confiveis
Funciona dentro de um domnio de broadcast
O RouterOS suporta tanto o modo cliente quanto
o modo servidor DHCP
 DHCP Client
Usado para a aquisio automtica de
endereo IP, mscara de sub-rede, gateway
padro, endereo de servidor DNS e
configuraes adicionais fornecidas
Roteadores MikroTik SOHO por padro
tem cliente DHCP configurado em Ether1
(Interface WAN)
DHCP Client

IP DHCP Client
 DNS
Por padro DHCP client
solicita o endereo IP do
servidor DNS
Pode tambm ser
introduzido manualmente
caso precise de outro
servidor DNS ou caso no
esteja usando DHCP.
IP DNS
 DNS
RouterOS suporta entradas DNS estticas.
Por padrao h uma entrada esttica DNS A de
nome router apontando para 192.168.88.1
Isso significa que voc pode acessar o roteador
usando o nome DNS esttico em vez de IP
http://router

IP DNS Static
 DHCP Server
Atribui automaticamente endereos IP para
hosts que solicitem
Um endereo IP deve ser configurado na
interface que o DHCP Server ir utilizar
No terminal, para habilitar, use o comando
"DHCP Setup"
 DHCP Server
Desconecte-se do roteador
Reconecte ao router usando MAC address
 DHCP Server
Vamos remover o Servidor DHCP
existente e configurar um novo
Use o seu nmero (XY) para a sub-rede,
por exemplo: 192.168.XY.0/24
Para habilitar o servidor DHCP na Bridge,
ele deve ser configurado na interface
Bridge. (no em uma porta da Bridge)
 DHCP Server

Remova o
DHCP Server

Remova
DHCP Network
IP DHCP Server
 DHCP Server

Remova
IP Pool
IP Pool

Remova
IP Address

IP Address
 DHCP Server

Adcione o
endereo de IP
192.168.XY.1/24
na interface
bridge

Por exemplo, XY=199

 DHCP Server
1 2

3 4

5 6
IP DHCP Server DHCP Setup
 DHCP Server
Desconecte-se do roteador
Renove o endereo IP do seu notebook
Conecte-se pelo novo endereo IP do
roteador 192.168.XY.1
Verifique se a conexo com a Internet est
disponvel
 DHCP Server
O Assistente de
configurao do
DHCP Server(setup)
cria um novo pool de
Ips, o Servidor DHCP
e a Networks.
DHCP Leases esttico
possvel atribuir sempre o mesmo
endereo de IP para o mesmo dispositivo
(identificado pelo endereo MAC)
O servidor DHCP poderia at ser usado
sem pool de IPs dinmico. Basta somente
voc atribuir todos os endereos atravs
das leases estticas.
DHCP Leases esttico

Converte lease
dinmica para
esttica

IP DHCP Server Leases

 DHCP Leases esttico
Defina o endereamento Pool do DHCP para static-only
Crie uma lease esttica para seu notebook
Altere o endereo IP atribudo ao seu laptop por
servidor DHCP para 192.168.XY.123
Renove o endereo de IP address do seu notebook
Pea ao seu vizinho para ligar seu notebook no seu
router (no receber endereo IP)
Tudo ok? Faa um backup binrio.
 ARP
Address Resolution Protocol
ARP combina o endereo IP lgico(Camada
3) com o endereo fsico MAC (Camada 2)
Por padro o ARP opera de forma dinmica
Tambm pode ser configurado manualmente
 ARP Table
Fornece informaes sobre o endereo IP,
o endereo MAC e a interface qual o
dispositivo est conectado

IP ARP
 ARP esttico
Para aumentar a segurana, as entradas ARP
podem ser adicionadas manualmente
Neste caso, recomendado que voc altere a
Interface de rede para operar no modo reply-
only. Desta forma a interface s responde as
requisies ARP conhecidas
Os clientes no sero capazes de acessar a
Internet usando um endereo IP diferente
ARP esttico

Entrada ARP
esttica

IP ARP
 ARP esttico

Interface ir
responder
apenas as
entradas ARP
conhecidas

Interfaces bridge-local
 DHCP e ARP
O servidor DHCP pode adicionar entradas
ARP automaticamente
Combinando static leases e ARP reply-only,
voc pode aumentar a segurana da rede,
mantendo a facilidade de uso do DHCP
para os usurios
DHCP e ARP

IP DHCP Server

Adicionar entradas
ARP para as leases
DHCP
 ARP esttico
Crie a entrada ARP do seu notebook esttica
Defina na interface bridge ARP=reply-only para
desativar entradas ARP dinmicas
Voc deve ainda alterar o servidor DHCP para
"static-only" e adicionar uma "lease esttica" para o
seu notebook caso no tenha feito no LAB
anterior.
Habilite Add ARP For Leases no servidor DHCP
 ARP esttico
Remova entrada esttica do seu notebook da tabela
ARP
Verifique a conexo com a Internet (no funciona)
Renove o endereo IP do seu notebook
Verifique a conexo com a Internet (deve funcionar)
Conecte-se com o roteador e observe a tabela ARP
Mdulo 2
Dvidas??
Certified Network Associate
(MTCNA)

Mdulo 3
Bridging
 Bridge
Bridges so dispositivos da camada 2 capazes de unir
interfaces em um mesmo domnio de broadcast
A Bridge um dispositivo transparente
Tradicionalmente usado para unir dois segmentos de
rede
A bridge divide domnio de coliso em duas partes
controlado via software
J o Switch de rede uma bridge multi-port - cada
porta um domnio de coliso de um dispositivo
controlado via switch chip.
 Bridge
Todos os hosts podem se comunicar diretamente
Todos compartilham o mesmo domnio de coliso
 Bridge
Todos os hosts ainda podem se comunicar
uns com os outros
Agora, existem 2 domnios de coliso
 Bridge
RouterOS implementa bridge via software
As interfaces ethernet, wireless, SFP e tnels
podem ser adicionadas a uma bridge
A configurao padro em roteadores SOHO a
wireless em bridge com a porta ether2
As ether de 2 a 5 so combinadas em um switch,
onde ether2 master, e as portas de 3 a 5 so
slave. Operando neste modo a velocidade switch
pode ser alcanada com base na capacidade do
switch chip.
 Bridge
possvel remover a configurao
master/slave e usar bridge caso precise.
O uso do switch chip no gera mais
consumo da CPU.
Para mais controle voc pode usar a opo
Use IP Firewall para as portas da bridge
 Bridge
Devido a limitaes do padro 802.11, os
clientes wireless (modo: station) no
suportam bridging
RouterOS implementa vrios outros
modos para superar essa limitao
 Wireless Bridge
station bridge Funciona somente de
RouterOS para RouterOS
station pseudobridge - RouterOS para
quaisquer outros fabricantes
station wds - RouterOS para RouterOS e
outros fabricantes que utilizam o padro
atheros
 Wireless Bridge
Para usar o modo station bridge, o Bridge
Mode deve estar habilitado no AP
 Wireless Bridge
Wireless Distribution System (WDS) permite
a ligao entre mltiplos Access Points
O WDS permite adicionar mltiplos clientes
wireless a uma nica bridge
Precisa usar o modo station-wds na interface
wireless do lado cliente
 Wireless Bridge
Para usar WDS preciso habilita-lo no AP
Wireless mode no modo ap bridge
WDS Mode: dynamic(mesh)
WDS Default Bridge interface bridge que os
clientes sero conectados

Wireless wlan1 WDS

 WDS
Os links WDS so estabelecidos e as
interfaces dinmicas so adicionadas
Todos os clientes WDS estaro em bridge
 Bridge
Vamos criar uma grande rede.
Coloque em bridge a interface ethernet local com
interface wireless (wlan2)
Todos os notebooks estaro na mesma rede
Nota: tenha cuidado ao trabalhar com redes em
bridge!
 Bridge
Altere a wireless para o modo station bridge
Desabilite o DHCP server
Adicione a interface wireless em ports da
bridge j existente na bridge-local.
 Bridge
Altere para
station bridge

Wireless wlan1

Desabilite o
DHCP Server
IP DHCP Server
Bridge

Adcione a interface
wireless (wlan2) na bridge

Bridge Ports
 Bridge
Renove o endereo IP do seu notebook.
Voc deve adquirir um IP do roteador do
professor.
Pergunte ao seu vizinho o endereo IP do
notebook dele e tente pinga-lo
Seu roteador agora uma bridge
transparente
 Bridge Firewall
No RouterOS a interface bridge suporta
firewall
O trfego que flui atravs da bridge pode ser
processado pelo firewall
Para habilitar:
Bridge Settings Use IP Firewall
Bridge Firewall
 Bridge
Restaure a configurao do roteador a
partir do backup que voc criou.

Ou restaure a configurao anterior

manualmente.
Module 3
Dvidas??
Certified Network Associate
(MTCNA)

Module 4
Routing
 Routing
Trabalha na camada 3 do modelo OSI
As regras de roteamento servem para definir
para onde os pacotes devem ser enviados

IP Routes
 Routing
Dst. Address: redes que podem ser
alcanadas(/0-32)
Gateway: Endereo IP do prximo roteador
ao qual o pacote ser enviado

IP Routes
Nova Rota Esttica

IP Routes
 Routing
Check gateway - a cada 10 segundos manda
um ICMP echo request (ping) ou solicitao
ARP. Caso no aja resposta aps a segunda
tentativa a rota ser desabilitada.
Se tiverem vrias rotas com o mesmo
gateway e uma delas tiver o check-gateway,
as demais rotas vo seguir o
comportamento da rota que est com
check-gateway.
 Routing
Se existirem duas ou mais rotas apontando
para o mesmo endereo, a mais especifica
ser utilizada
Dst: 192.168.90.0/24, gateway: 1.2.3.4
Dst: 192.168.90.128/25, gateway: 5.6.7.8
Se um pacote tem que ser enviado para
192.168.90.135, o gateway 5.6.7.8 ser utilizado
 Default Gateway
Default gateway: o router (next hop) para
onde todo o trfego que nao possui
nenhuma rota especfica definida ser
enviado.
caracterizada pela rede de destino
0.0.0.0/0
 Default Gateway
No momento o gateway padro do
roteador est configurado
automaticamente usando DHCP-Client
Desative a opo 'Add Default Route' em
configuraes do DHCP-Client
Verifique a conexo com a Internet (no
funciona)
 Default Gateway
Adicione manualmente um default gateway
(router do professor)

Verifique se a conexo com a Internet est

disponvel
 Rotas dinmicas
Rotas com as flags DAC so adicionadas
automaticamente
A rota DAC se origina da configurao de
um endereo IP em uma interface ativa

IP Addresses

IP Routes
 Route Flags
A - active
C - connected
D - dynamic
S static
B Black Hole
b - BGP

IP Routes
Roteamento esttico
A rota esttica define como alcanar uma
rede de destino especfica
Gateway padro (default gateway) tambm
pode ser uma rota esttica. Ele direciona
todo o trfego para o gateway
Roteamento esttico
O objetivo conseguir pingar no notebook
do seu vizinho.
Vamos usar uma rota esttica para alcana-lo.
Pergunte ao seu vizinho o endereo IP da sua
interface wireless que ser o gateway.
E o endereo de sub-rede da rede interna
dele (192.168.XY.0/24).
Roteamento esttico
Adicione uma nova rota esttica
Defina o Dst. Address - da rede local do seu
vizinho (por exemplo, 192.168.37.0/24)
Defina Gateway - o endereo da interface
wireless do seu vizinho. (por exemplo,
192.168.250.37)
Agora voc deve ser capaz de executar o ping
para o notebook do seu vizinho
Roteamento esttico
Monte uma equipe com dois de seus vizinhos.
Crie uma rota esttica para o notebook de
um dos seus vizinhos (A) atravs do roteador
do outro vizinho (B).
Pergunte ao seu vizinho B para criar uma rota
esttica para o notebook do vizinho A.
Pingue seu notebook no seu vizinho A
Roteamento esttico
Criar rotas para
C pingar A via
Notebook roteador B
A Router A

Notebook Router C
C
AP do
professor

Notebook
B Router B
Roteamento esttico
Fcil de configurar em uma rede pequena
Limita o uso de recursos do roteador
Dificuldades de escalabilidade
l A configurao manual necessria toda
vez que uma nova sub-rede precisa ser
alcanada
Mdulo 4
Dvidas??
Certified Network Associate
(MTCNA)

Mdulo 5
Wireless
 Wireless
MikroTik RouterOS prov suporte
completo aos padres IEEE 802.11a/n/ac
(5GHz) e 802.11b/g/n (2.4GHz).
 Padres Wireless
IEEE Standard Frequency Speed

802.11a 5GHz 54Mbps

802.11b 2.4GHz 11Mbps

802.11g 2.4GHz 54Mbps

802.11n 2.4 e 5GHz At 450 Mbps*

802.11ac 5GHz At 1300 Mbps*

A depender do modelo da RouterBOARD

 Canais em 2.4GHz

l 13 canais de 22MHz (maior parte do mundo)

l 3 canais sem sobreposio (1, 6, 11)
l Portanto 3 APs podem ocupar a mesma rea
sem causar interferncia.
 Canais em 2.4GHz

l USA: 11 canais. (14 somente no Japo)

l Channel width = 20MHz e 2MHz deixado
como largura de guarda (802.11b)
l 802.11g 20MHz, 802.11n 20/40MHz
 Canais em 5GHz
l O RouterOS suporta integralmente as
frequncias de 5GHz
l 5180-5320MHz (canais 36-64)
l 5500-5720MHz (canais 100-144)
l 5745-5825MHz (canais 149-165)
l Variaes a depender da legislao de cada
pas.
 Canais em 5GHz
IEEE Standard Channel Width

802.11a 20MHz

20MHz
802.11n
40MHz

20MHz

40MHz
802.11ac
80MHz

160MHz
Regulamentao por pas

Mude para Advanced Mode e selecione seu pas

para que as regulamentaes sejam aplicadas
Regulamentao por pas
l Dynamic Frequency Selection (DFS) um
recurso que visa a deteco de radares
quando se usa 5GHz. Ao detectar um radar, o
prprio sistema se encarrega de mudar de
canal
l Aqui no Brasil o uso do DFS obrigatrio
em toda faixa mdia (5350-5725) e parte da
faixa baixa (5250-5350)
Regulamentao por pas
l Quando o DFS habilitado, ao detectar um radar,
ele ir escolher o canal com o menor nmero de
redes aps 1 minuto.

l Desde a verso 6.37 o DFS trabalha de forma

automtica dentro da regulamentao de cada
pas.
 Radio Name
l Corresponde a identificao prpria do rdio
l No o mesmo que Wireless
interface(general)
l Fcil identificao de RouterOS-RouterOS
 Radio Name
l Pode ser visualizado na Registration Table
l Reconhece tambm Radio Names de
outros rdios com chipset Atheros

Wireless Registration
 Radio Name
l Modifique o Radio Name de sua RouterBoard
para: XY_SeuNome
l Exemplo: 33_PaulaFernandes
 Wireless Chains
l O padro 802.11n introduziu o conceito do
MIMO (Multiple In and Multiple Out)
l Envia e recebe dados utilizando mltiplos
rdios em paralelo
l Sem o MIMO o padro 802.11n s poderia
alcanar 72.2Mbps
 Tx Power
l Usado para ajustar a potncia de transmisso
do carto
l Mude para all rates fixed e baixe a potncia
para 10 dBm

Wireless Tx Power
 Tx Power
Note on implementation of Tx Power on
Wireless
card
Enabled
Chains
Potncia por Chain Potncia Total

RouterOS1 O selecionado em
Tx Power
O selecionado em
802.11n 2 +3dBm
Tx Power

3 +5dBm

O selecionado em
1
Tx Power
O selecionado em
802.11ac 2 -3dBm
Tx Power

3 -5dBm
 Rx Sensitivity
l Receiver sensitivity o menor nvel de sinal
que o carto pode ler ou que necessrio
para atingir uma determinada modulao.
l Existem vrios modelos de carto
RouterBoard onde podemos ver estes
valores e levar isto em considerao na hora
de planejar seu cenrio.
l Quanto menor for o RX Sensitive mnimo
necessrio, mais fcil ser fechar o enlace
Rede Wireless
AP

Wireless stations
 Wireless Station
l Wireless station o cliente do AP (laptop,
smartphone, router, tablets, etc...)
l No RouterOS corresponde a wireless no
mode=station
l Modo compatvel com qualquer fabricante
 Wireless Station
l interface
mode=station
l Selecionar a banda
l Setar SSID
l Frequency no
importante no
modo cliente, use a
scan-list
 Security
l Somente WPA (WiFi Protected Access) ou
WPA2 deveriam ser usados
l WPA-PSK ou WPA2-PSK com AES-CCM o
recomendado
l A encriptao AES no causa perda ou
aumento de CPU
 Security
l Ambos WPA e WPA2
podem ser utilizados ao
mesmo tempo. Isto
permite atender o
mximo de clientes.
l importante que voc
utilize chaves fortes. As
chaves devem ter entre
Wireless Security Profiles
8 e 64 caracteres.
 Connect List
l Regras utilizadas pela Station(cliente) para
determinar quais AP devem ou no se
conectar.

Wireless Connect List

 Connect List
l Atualmente os seus routers esto conectados
ao AP do professor.
l Crie uma regra para impedir esta conexo.
 Access Point
l interface mode=ap
bridge
l Selecionar a banda
l Setar SSID (wireless
network ID)
l Frequency deve estar
dentro da range de
scan das stations.
 WPS
l WiFi Protected Setup (WPS) um recurso
para facilitar a conexo AP/ST sem a
necessidade de informar uma senha pr-
compartilhada.
l RouterOS suporta ambos modos:
- WPS accept (para o AP)
- WPS client (para a station)
 WPS Accept
l Para permitir acesso fcil ao seu AP voc
pode utilizar o boto WPS accept.
l Quando pressionado, ir garantir acesso ao
AP por 2min ou at o dispositivo (station)
conectar.
l O boto WPS accept deve ser pressionado
toda vez que um novo dispositivo desejar se
conectar
 WPS Accept
l Para cada dispositivo basta efetuar a
operao somente uma vez.
l Todos dispositivos RouterOS com
interface WiFi tem o boto WPS
virtual (pacote wireless-cm).
l Alguns possuem o boto fisico.
Verifique no seu router.
 WPS Accept
l O boto WPS virtual est disponivel no
QuickSet e na interface wireless.
l Pode ser desabilitados caso deseje.
l WPS client suportado pela maioria dos
sistemas.
l RouterOS no suporta o modo insecure
PIN.
 Access Point
l Crie um novo security profile para seu
access point.
l Mude a interface wireless wlan1 para o
mode ap bridge, mude o SSID para o mesmo
que seu radio name e selecione o security
profile criado.
l Verifique se sua wlan1 esta na bridge
 Access Point
l Desconecte o cabo do notebook
l Conecte seu notebook via wireless a seu AP
l Conecte-se ao seu router com WinBox e
observe a registration
l Ao concluir tudo, favor restaurar o backup
 WPS
l Se voc tiver algun dispositivo que suporte
WPS client voc pode se conectar ao seu AP
usando o boto WPS accept virtual.
l Verifique os logs durante o processo
l Ao concluir tudo, favor restaurar o backup
 Snooper
l Fornece uma viso geral das redes wireless
na banda selecionada
l A wireless ir desconectar durante o scan!
l Ferramenta til para decidir qual canal utilizar.
Snooper

Wireless Snooper
 Registration Table
l Mostra todas conexes da interface wireless.
l Caso a sua interface esteja no modo station a
coluna AP estar informando a palavra: yes

Wireless Registration
 Access List
l Utilizada pelo access point para controlar o
acesso da stations
l Identifica os dispositivos pelo MAC address
l Permite informar se a station est ou no
autorizada a se conectar
l Permite especificar diversos parmetros para
autorizar a conexo
 Access List

Wireless Access List

 Access List
l Caso no exista nenhuma regra para um
determinado MAC, o default informado na
interface wireless ser aplicado.
 Registration Table
l As entradas da
registration podem
ser utilizadas para
facilitar a criao da
Access List ou
Connect List.

Wireless Registration
Default Authenticate
 Default Authenticate
Default Entradas na
Authentication Comportamento
Access/Connect

sim Obdece a access/connect list

Sim
no Autentica

sim Obdece a access/connect list

No
no No autentica
 Default Forward
l Usado para
permitir/negar
comunicao entre as
stations
l default=enabled
l O forwarding entre
dispositivos especficos
pode ser controlado via
access list
Mdulo 5
Dvidas?
Certified Network Associate
(MTCNA)

Mdulo 6
Firewall
 Firewall
l Sistema de segurana utilizado para proteger
a rede interna e o prprio router.
l Baseado em regras que so analisadas
sequencialmente at que algum pacote
combine exatamente com os termos da
regra.
l No RouterOS a regras de firewall so
gerenciadas em: Filter rules e NAT.
 Firewall Rules
l Funciona baseado sempre em uma determinada
condio. Caso a condio seja atendida, uma
ao executada. Caso contrrio o pacote segue
adiante.
l Ordenado por canais pre-definidos
- Input
- Output
- Forward

l possvel criar seu prprio canal tambm

 Firewall Filter
l Os canais pr-definidos so alimentados da
seguinte forma:
- Input: trfego com destino no prprio router
- Forward: trfego que passa pelo router
- Output: trfego gerado pelo router

output
input

forward
 Filter Actions
l Cada regra possui uma ao o que fazer
com o pacote
l A ao padro do firewall o: accept
l drop ou reject descartam o pacote porm
o reject tambm envia uma mensagem ICMP
reject configuravel.
l jump/return ir/voltar de um canal prprio
l Outras actions em: firewall wiki page
 Filter Actions

IP Firewall New Firewall Rule (+) Action

 Filter Chains

IP Firewall
l Dica: Para facilitar a visualizao do firewall visualize
sempre por canal e na sequncia de processamento. E
lembre-se sempre de comentar as regras.
 Chain: input
l Usada para proteo do prprio router
l Seja de um fluxo vindo da internet ou da rede
local

input
 Chain: input
l Adicione um accept no input para o ip do
seu laptop ex: (Src. Address = 192.168.XY.200)
l Adicione um drop no input para o trfego
restante.
 Chain: input

IP Firewall New Firewall Rule (+)

 Chain: input
l Altere o IP do seu laptop para esttico:
192.168.XY.199, gateway e dns: 192.168.XY.1
l Desconecte do router
l Tente conectar novamente (no ser possvel)
l Tente acesso a internet. (no ser possvel)
 Chain: input
l Apesar do trfego para a Internet ser
controlado pela chain forward, a navegao
no funciona provavelmente s o skype
funciona.
l Porque? (resposta no prximo slide)
 Chain: input
l Seu laptop est usando a sua RB para resoluo
de nomes (DNS)
l Conecte-se ao router usando MAC WinBox
l Adicione um accept acima do drop no input
para permitir requisies DNS:
- Protocolo:udp

- Porta: 53

l Agora a navegao ser possvel.

 Chain: input
l Volte o IP do laptop para (DHCP)
l Conecte-se ao router
l Desabilite (ou remova) as regras adicionadas.
 Chain: forward
l Filtro usado para controlar o trfego que
passa pelo router.
l Forward controla o trfego entre os clientes
e a internet e vice-versa.

forward
 Chain: forward
l Por padro o trfego roteado entre os
clientes permitido

l Em provedores o trfego entre os clientes e a

internet exige raras restries.

l J em redes corporativas essa afirmao no

se aplica.
 Chain: forward
l Adicione um drop para o trfego http:
(80/tcp)
l Note que o trfego https ficar disponvel

IP Firewall New Firewall Rule (+)

 Chain: forward
l Tente abrir http://www.globo.com

l Tente abrir https://www.mikrotik.com/client

- Vai funcionar por ser https;

l Tente abrir o WebFig http://192.168.XY.1

- Vai funcionar por ser trfego de input
Portas comuns usadas
Port Service
80/tcp HTTP
443/tcp HTTPS
22/tcp SSH
23/tcp Telnet
20,21/tcp FTP
8291/tcp WinBox
5678/udp MikroTik Neighbor Discovery
20561/udp MAC WinBox
 Address List
l Address list permite criar grupo de IPs ou
Subnets que podero ser referenciadas em
uma nica regra.
l possvel criar essas listas de forma dinmica
usando aes do firewall:
- add src/dst do address list

l Podem ser criadas tambm manualmente de

forma permanente ou temporria.
 Address List

IP Firewall Address Lists New Firewall Address List (+)

 Address List - match
l As listas criadas podem ser usadas em regras
de firewall atravs da aba Advanced:
l Src. Address List (origem)

l Dst. Address List (destino)

IP Firewall New Firewall Rule (+) Action

 Address List - action
l Caso prefira criar as listas de forma dinmica
basta especificar o nome da lista e o tempo de
vida dela (timeout).
l Caso o timeout no seja especificado, a lista
ser permanente.

IP Firewall New Firewall Rule (+) Action

 Address List
l Crie uma lista de ips com permisso de
acesso em seu router.
l Adicione um accept para acesso via winbox
para esta lista.
l Crie um drop geral para acesso winbox.
 Firewall Log
l Voc pode ativar o log para qualquer regra de
firewall
l Voc pode adicionar um prefixo para facilitar
a identificao
 Firewall Log

IP Firewall Edit Firewall Rule

Action
 Firewall Log
l Habilite o log para as regras criadas por voc
l Conecte-se ao router com ip permitido
l Desconecte, mude de IP e tente conectar
novamente
l Conecte agora via MAC-WinBox e veja os logs
l Caso o acesso via MAC no esteja satisfatrio
mude o ip para um permitido
 NAT
l Network Address Translation (NAT) o
mtodo utilizado para re-escrever o
cabealho IP na origem ou no destino.
l Existem dois tipos de NAT:
- Source NAT
- Destination NAT
 NAT
l O NAT comumente utilizado para prover
conectivade de uma rede privada(local) para a
rede pblica(internet) com a ao src-nat ou
mascarade
l Ou para prover acesso externo a algum
equipamento ou servio da rede interna com
a ao dst-nat
 NAT
Novo
Src address
Src address

IP privado
Servidor Pblico
 NAT
Novo
Dst Address Dst Address

Host Pblico
Servidor na rede
local
 NAT
As chains srcnat e dstnat so utilizada
para implementar as funes do NAT.
Da mesma forma que o Filter rules,
funcionam com expresses regulares.
Tambm so analisadas em sequncia at
que alguma regra seja atendida.
 Exemplo de Dst NAT
Novo Dst Address Dst Address
192.168.99.200:80 159.148.147.196:80

Host Pblico
Servidor Web Local
192.168.99.200
 Dst NAT

IP Firewall NAT New NAT Rule (+)

 Redirect
Tipo especial de dstnat
Esta ao redireciona o pacote para o
prprio router
Utilizado para criar servios de proxy
transparente tais como DNS e HTTP.
 Redirect
Requisio para: 8.8.8.8:53

Novo Dst Address para

Router:53
DNS
Cache
 Redirect
Crie uma regra de dstnat redirect para
redirecionar todas requisies da porta 80
para a internet, para a porta 80 do router.
Tente abrir www.alivesolutions.com.br ou
outro site qualquer utilizando http.
Quando concluir pode desabilitar ou
remover a regra.
 Src NAT
Src address Novo Src address:
192.168.199.200 159.148.147.196

192.168.199.200
Public server

O Masquerade o tipo de NAT mais

comum srcnat
 Src NAT
A ao src-nat permite reescrever o endereo
IP de origem e/ou porta para o desejado.
Sempre que voc tiver um ip wan esttico utilize
o scr-nat ao invs do mascaradade. Isso vai
melhorar a performance do seu router.
 NAT Helpers
Alguns protocolos exigem os chamados NAT
helpers para funcionar atrs de NAT.
Eles auxiliam algumas funes que no podem
ser implementadas via firewall NAT.

IP Firewall Service Ports

 Connections State
New pacote que abre uma nova conexo
Established pacote pertence a uma
conexo previamente conhecida
Related pacote abre uma nova conexo
porm est relacionada a uma conexo
previamente conhecida.
Invalid pacote no abre e no pertence a
uma conexo previamente conhecida
Connections

Invalid Established
Novo Related
Connection Tracking
Gerencia informaes sobre todas
conexes ativas
necessria para habilitar as funes de
NAT, por exemplo.
Obs.: connection state TCP state
Connection Tracking

IP Firewall Connections
 FastTrack
Mtodo utilizado para acelerar o fluxo de
pacotes atravs do router.
As conexes established ou related
podem ser marcadas para uso do fasttrack
Estas conexes vo ignorar: firewall,
connection tracking, simple queue e outros
recursos relacionados.
Suportado atualmente somente para os
protocolos TCP e UDP.
 FastTrack
Sem Com

360Mbps 890Mbps

Total CPU usage 100% Total CPU usage 86%

44% CPU usage on firewall 6% CPU usage on firewall

Testado na RB2011 com uma nica stream TCP

Mais informaes em: FastTrack wiki page

Mdulo 6
Dvidas?
Certified Network Associate
(MTCNA)

Mdulo 7
QoS
 Quality of Service
QoS aplicado para melhorar o
desempenho geral da rede. Especialmente
para garantia de funcionamento de servios
essenciais como por exemplo: dns.
O RouterOS implementa diversos mtodos
de QoS como: limitao de velocidade, de
trfego, priorizao, etc...
Limitando velocidade
Neste ponto importante lembrar que no
temos controle sobre o trfego de chegada.
(O que pode afetar o roteador)
Em relao ao controle de velocidade
possvel evitar passar o fluxo adiante
efetuando descartes via firewall ou pela
prpria fila.
Desta forma o protocolo TCP ir adaptar a
velocidade efetiva.
 Simple Queue
Pode ser utilizado para o simples, porm,
efetivo controle de:
Velocidade de download () do cliente
Velocidade de upload () do cliente
Velocidade total agregada ( + )
 Simple Queue

Especifica o cliente
Limites
mximo(up/down)

Queues New Simple Queue(+)

Lembre-se que o uso do FastTrack pode

interromper o funcionamento das queues.
 Torch
Ferramenta para monitoramento em tempo real
Selecione IP
a interface notebook

Observe o
trafego

Tools Torch
 Simple Queue
Crie uma limitao para seu laptop
(192.168.XY.200)
Estabelea: upload 256k e download: 512k
Abra algum velocimetro e faa o teste
Observe observe a velocidade
 Simple Queue
possvel tambm, ao invs de setar velocidade para
o cliente, voc setar velocidade para o servidor ou
algum site.

Qualquer(origem)
Destino a ser limitado

Queues
 Simple Queue
Usando o ping descubra o IP do site
www.icorporation.com.br
Modifique a simple queue para o destino do
IP encontrado
Faa o download de um arquivo.
Observe a velocidade de download
Agora faa um download em outro site e
veja se foi melhor(se a internet permitir)
 Banda garantida
Recurso utilizado para garantir um mnimo de
banda sempre que demandado pelo cliente.
O trfego restante ser dividido entre os
clientes com base no: primeiro que chega o
primeiro a sair
Controle feito atravs do parmetro: Limit-at
Demanda um Parent para funcionar de
forma satisfatria.
Banda Garantida

Queues Simple Queue Edit Advanced

 Banda Garantida
Exemplo:
Total de banda: 10Mbits
3 clientes com garantia de banda setada
conforme o prximo slide
As bandas sero garantidas e o trfego
restante ser dividido.
Banda Garantida

Queues
Banda Banda
Garantida utilizada
 Burst
Utilizado para garantir banda extra(acima
do max-limit) por um curto periodo de
tempo.
Muito til para navegao web.
Para operaes de download no tem
eficcia alguma.
 Burst

Queues Simple Queue Edit

 Burst
Burst limit maximo de upload/download
que pode ser atingido durante o burst
Burst time tempo, em segundos, ao qual
ser aplicado um clculo mdio de consumo
para determinar se o burst ser ou no
permitido.
Burst threshold valor utilizado para
determinar se o burst ser permitido. S ser
permitido se a mdia estiver abaixo deste
valor.
 Burst
Modifique a queue criada no LAB anterior
Especifique um burst limit para 1M para
upload e 2M download se a internet
permitir
Coloque o burst threshold em 700k para
upload e 1400k para download
Por fim um burst time de 8s para ambos
 Burst
Abra seu browser e teste a navegao
Observe a velocidade alcanada
Agora inicie um download e observe
novamente agora o burst sendo anulado.
Per Connection Queuing (PCQ)
Tipo de fila usada para otimizar grandes
implementaes de QoS, limitando por
'sub-stream'
Substitui mltiplas filas por somente uma
Diversos classificadores podem ser usados:
source/destination IP address
source/destination port
Per Connection Queuing
Rate mxima velocidade disponvel por
cada sub-stream
Limit tamanho mximo da fila de uma
nica sub-stream (KiB)
Total Limit quantidade mxima de
dados que poder ser enfilerado
considerando todas sub-streams (KiB)
 Exemplo de uso do
PCQ
Objetivo: limitar todos clientes a 1Mbps de
download e 1Mbps de upload
Crie/configure 2 queue types(pcq)
1 para Dst Address (download)
1 para Scr Address (upload)
Atribua as queues para as interfaces LAN e
WAN
Configuraes nos prximos slides
 Uso do PCQ

Queues Queue Type New Queue Type(+)

 Uso do PCQ

Interface
WAN

Interface
LAN
Queues Interface Queues
 PCQ: resultado
Todos clientes conectados a interface LAN tero
uma limitao de 1Mbps de upload e download

Tools Torch
 PCQ
O instrutor vai criar uma fila pcq de forma
a limitar todos alunos a 1M de upload e
download se a internet permitir
Tentem efetuar downloads ou testes de
velocidade e verifique o resultado.
Mdulo 7
Dvidas?
Certified Network Associate
(MTCNA)

Mdulo 8
Tunnels
Point-to-Point Protocol
Point-to-Point Protocol (PPP) um dos
mais utilizados para estabelecer tneis
entre dois ponto.
O PPP pode fornecer autenticao,
encriptao e compresso(pouco eficiente).
RouterOS suporta diversos tneis PPP:
PPPoE, SSTP, PPTP, etc...
 PPPoE
Point-to-Point Protocol over Ethernet um
protoloco de camada 2 usado para
controlar acesso a rede.
No necessita de endereo IP na interface
do concentrador.
O PPPoE entrega o ip diretamente ao
cliente na interface do tnel.
 PPPoE
A maioria dos sistemas operacionais
possuem a opo de uso do cliente PPPoE
O RouterOS suporta ambos PPPoE client e
PPPoE server simultaneamente no mesmo
roteador.
 PPPoE Client
Selecione a
interface,
service,
username e
password

PPP New PPPoE Client(+)

 PPPoE Client
O service name pode ser informado para
evitar conexo com um servidor pppoe
no desejado caso exista mais de 1 no
mesmo domnio de broadcast.
Caso contrrio o pppoe client se conecta
ao servidor que primeiro responder.
 PPPoE Client
O instrutor ir criar um PPPoE server na
wlan
Desabilite o DHCP client do seu router
Crie um PPPoE client na interface wireless
do seu router com o seguinte login:
Usurio: mtcna
Senha: mtcna
 PPPoE Client
Verifique o status do PPPoE
Verifique se existe conexo com a internet
Ao termino, desabilite o PPPoE client
Habilite o DHCP client para retonar ao
cenrio anterior.
 IP Pool
Define a range de IPs que ser
disponibilizada para os servios:
DHCP, PPP e clientes HotSpot

O endereamento retirado do pool

automaticamente do final do pool para o
inicio.
 IP Pool

Escolha o nome
do pool e a range
de endereos

IP Pool New IP Pool(+)

 PPP Profile
Define um conjunto de regras a serem
aplicadas aos clientes ppp
possvel personalizar o perfil default
para opes padro em todos os perfis e
em seguida basta somente efetuar as
alteraes necessrias nos demais perfis.
 PPP Profile

Endereo
local e
remoto do
tnel

Recomendado o
uso de
encriptao

PPP Profiles New PPP Profile(+)

 PPP Secret
Base de cadastro de usurios PPP
Username, password e outros parmetros podem
ser configurados
As demais configuraes so informadas pelo PPP
profile escolhido
As opes informadas no PPP secret tem
preferncia sobre as do PPP profile
Funciona tambm com autenticao
remota(Radius)
 PPP Secret

Selecione o
username,
password e o
profile.

PPP Secrets New PPP Secret(+)

 PPPoE Server
O PPPoE server funciona sob interfaces
No vai funcionar caso seja configurado em uma
interface que participe de alguma bridge.
Neste caso voc pode remover a interface da
bridge ou configurar o server para atuar sob a
bridge.
Por questes de segurana no se deve adicionar
endereos IPs nas interfaces dos concentradores.
 PPPoE Server

Informe o
service name,
interface, profile
e as formas de
autenticao
 PPP Status

Informao atual
sobre os clientes
ppp conectados

PPP Active Connections

Point-to-Point Addresses
Quando a conexo entre o cliente e
servidor ppp estabelecida, um endereo
/32 criado na interface.
Para o cliente, o endereo de rede
corresponde ao servidor ou gateway.
Point-to-Point Addresses
A mscara de subrede no relevante para o
endereamento ponto-a-ponto(/32)
Este tipo de endereamento economiza
bastante IP e pode ser usado tambm em
qualquer interface caso ambas pontas
suportem este tipo de endereamento.
Se o endereamento ponto-a-ponto no for
suportado a soluo optar pelo /30.
 PPPoE Server
Configure um PPPoE server em uma
interface livre do seu roteador
Caso ela esteja em modo swith remova do
grupo switch (master port=none)
Caso esteja em alguma brigde remova ela
tambm da bridge
E sempre confira se no existe endereo IP
configurado na interface.
 PPPoE Server
Crie um IP pool, PPP profile e um secret
para o PPPoE server
Crie o PPPoE server
Configure o PPPoE client no seu notebook
Conecte na porta do PPPoE server e
disque o pppoe no seu notebook
 PPPoE Server
Verifique a conexo com a internet
Conecte na RB e configura o status do seu
ppp. Caso o pppoe tenha falhado conecte-
se usando MAC-Winbox e confira o log.
Ao concluir voc pode retornar o cabo a
porta anterior e se conectar novamente via
ip.
 PPTP
Point-to-point tunnelling protocol (PPTP)
prov tuneis encriptados pela rede IP
Utilizado para criar conexes seguras entre
redes locais via Internet
O RouterOS suporta ambos PPTP client e
PPTP server simultaneamente
 PPTP
Utiliza o protocolo tcp na porta1723 e o
protocolo GRE (Generic Routing
Encapsulation)
NAT helpers so necessrios para os tneis
atrs de redes NATeadas.
PPP Tunnel

Tunnel
 PPTP Client

Informe o
name, IP do
PPTP server,
username e
password

PPP Novo PPTP Client(+)

 PPTP Client
Voc pode usar a opo Add Default Route
para enviar todo trfego pelo tnel
Caso no queira isto, voc pode criar rotas
estticas especificas para o tnel.
Observao: PPTP no mais considerado
to seguro use com precauo!
Uma boa alternativa usar SSTP, OpenVPN
ou L2TP com IPSec.
 PPTP Server
O RouterOS prov um setup simples para
o PPTP server
Utilize o QuickSet para habilitar o acesso
VPN

Habilite o
acesso VPN e
o password
 SSTP
Secure Socket Tunnelling Protocol (SSTP)
prov tneis encriptados sobre a rede IP
Utiliza o protocolo tcp e porta 443 (sim, a
mesma do HTTPS)
O RouterOS suporta ambos SSTP client e
SSTP server ao mesmo tempo
O SSTP client est disponvel a partir do
Windows Vista SP1 e pode ser instalado
tambm em outros sistemas operacionais.
 SSTP
Existe uma implementao Open Source
disponvel no Linux
Por ter a mesma configurao do HTTPS
geralmente simples transpor os firewalls.
 SSTP Client
Informe o
name, IP do
servidor
SSTP server
username e
password
 SSTP Client
Da mesma forma que o PPTP voc pode
utilizar a opo Add default routepara
enviar todo trfego pela VPN ou adicionar
somente algumas rotas estticas especificas.
 SSTP Client
O SSTP permite uso de certificados SSL.
Porm caso seja feito entre dispositivos
RouterOS o certificado opcional.
Para se conectar a partir de um
equipamento windows o certificado vlido
obrigatrio.
Os certificados podem ser gerados no
prprio RouterOS(6.x+).
 PPTP/SSTP
Formem duplas
Primeiramente um aluno cria o server e o outro
cria o cliente. Em seguida alternem(se desejar).
Voc pode reaproveitar as configuraes prvia
de pool, profile e secret. Isso vale para qualquer
PPP.
Somente verifique em secrets que o servio
deve estar adequado a demanda correta ou
simplesmente use any para todos.
 PPTP/SSTP
Caso no consiga conectar, verifique o log.
Caso o log no informe nada, verifique as
regras de firewall.
l Lembre-se que o PPTP usa tcp/1723 e o
protocolo GRE. O SSTP usa tcp/443.
Ping para no notebook do seu vizinho. (no
est pingando??!!)
Porque? (resposta no prximo slide)
 PPTP/SSTP
No existe rota para alcanar as redes
locais.
Ambos precisam criar rotas estticas
apontando para o tunel.
Adicionem rotas estticas que garantam
esta alcanabilidade.
Tente novamente. Agora deve funcionar.
 PPP
Maiores detalhes sobre PPPoE, PPTP, SSTP e
outros protocolos so cobertos nos cursos
MTCRE e MTCUME
Todos outlines esto em:
http://training.mikrotik.com
Mdulo 8
Dvidas?
Certified Network Associate
(MTCNA)

Mdulo 9
Material complementar
 RouterOS Tools
O RouterOS prov
diversas ferramentas
utilitrias que facilitam o
diagnostico de problemas
e execuo de testes.
 E-mail
Permite enviar emails a
partir do router
Por exemplo para backup
Tools Email
/export file=export
/tool e-mail send to=you@gmail.com\
subject="$[/system identity get name] export"\
body="$[/system clock get date]\
configuration file" file=export.rsc
Acima um script para fazer um export e enviar via e-mail
 E-mail
Configure seu servidor SMTP no router
Faa um export de sua configurao
Envie para seu email usando o RouterOS
 Netwatch
Monitora o estado dos
hosts informados
Envia ICMP echo
requests (ping)
capaz de executar um
script nas aes de UP
ou DOWN
Tools Netwatch
 Ping
Usado para teste de
alcanabilidade IP
Tambm mede o tempo
de resposta para um
determinado host
Envia pacotes de ICMP
echo request
Tools Ping
 Ping
Ping seu laptop a partir do router
Clique em New Window e ping para
www.mikrotik.com
Observe os resultados
 Traceroute
Ferramenta de
diagnostico de rede
que informa o
caminho at o
destino
Voc pode usar os
protocolos icmp
ou udp para os
Tools Traceroute
testes.
 Traceroute
Escolha um endereo(.br) e execute um
traceroute
Clique em New Window e faa outro
traceroute para www.mikrotik.com
Observe a diferena de rotas
 Profile
Informa o consumo de
CPU feito por cada
processo do RouterOS em
tempo real
idle = CPU disponvel Tools Profile
Para mais detalhes
consulte: Profile wiki page
Interface Traffic Monitor
Monitoramento de
trfego em tempo real
Disponvel na
aba(traffic) de qualquer
interface
Pode ser acessado
tambm via WebFig ou
CLI
Interfaces wlan1 Traffic
 Torch
Outra ferramenta de monitoramento em
tempo real
Usada para analisar o fluxo de dados de
cada interface
Pode monitorar o trfego classificado por:
protocolo, source/destination address
(IPv4/IPv6), porta, DSCP, etc...
Torch

Tools Torch
 Graphs
O RouterOS pode gerar grficos
demonstrando quanto de trfego passou
por uma determinada interface ou queue.
Tambm pode informar o uso de CPU,
memria e uso de disco.
Para cada item monitorado existem 4
grficos disponveis: daily, weekly, monthly e
yearly
 Graphs
Informe a interface
para monitorar ou
deixe em all e
informe o IP
address/subnet
para o qual deseja
gerar grficos

Tools Graphing
 Graphs

Voc pode consultar as informaes no roteador

pelo endereo: http://ip-do-router/graphs
Graphs
 Graphs
Habilite a interface, queue e resource
graphs no seu router
Observe os grficos
Efetue o download de um arquivo grande
da internet
Observe os grficos novamente.
 SNMP
Simple Network Management Protocol
(SNMP)
Usado para monitorar e gerenciar
dispositivos
O RouterOS suporta o SNMP v1, v2 e v3
SNMP write tambm suportado
SNMP

IP SNMP
 The Dude
Aplicativo criado pela MikroTik que facilita
o monitoramento e gerenciamento de sua
rede
capaz de descobrir os dispositivos de
forma automtica e montar o layout
Monitora diversos servios e gera alertas
Gratuito
 The Dude
Suporta SNMP, ICMP, DNS e diversos
outros monitoramentos TCP/IP
O servidor roda no RouterOS em: CCR,
ARM, CHR ou x86
l Servidor para windows em verso legada
O client roda no Windows (roda no Linux
e OS X tambm se voc usar o Wine)
Para mais informaes:The Dude wiki page
The Dude
 The Dude
Faa o download do cliente dude for
Windows em mikrotik.com/download
Instale e conecte-se ao teste do Dude no
servidor da MikroTik server: dude.mt.lv
user:demo / senha:
Observe o Dude tente no derrubar e/ou
bagunar a rede da MikroTik :D
The Dude
Contactando o Suporte
Para facilitar qualquer solicitao ao suporte
importante que o mximo de informaes sejam
passadas.
Voc pode criar um arquivo chamado supout.rif e
enviar junto com seu pedido.
Este arquivo equivale a uma foto daquele momento
no seu router.
Contactando o suporte
Um arquivo chamado: autosupout.rif pode
ser criado automaticamente pelo sistema
em caso de mal-funcionamento do router
Est opo pode ser desativada no
watchdog
Antes de solicitar um suporte a MikroTik,
voc pode visualizar o supout.rif em sua
conta: mikrotik.com > account
 System Logs
Por padro o RouterOS j faz
log de informaes do sistema;
Estas informaes so
armazenados na memria ram;
Porm podem ser armazenada
em disco(disk) tambm
Ou enviadas(remote) a um System Logging
servidor syslog -
recomendado.
 System Logs
Para um log
detalhado basta criar
sua regra de log
desejada e adicionar
o topic: debug System Logging New Log Rule
Contactando o Suporte
Antes e contactar o support@mikrotik.com
vale a pena verificar a documentao:
wiki.mikrotik.com - Documentao do
RouterOS e alguns exemplos
forum.mikrotik.com - forum oficial
mum.mikrotik.com - MikroTik User Meeting
contm apresentaes em video e slides.
Contactando o Suporte
muito importante que as informaes no
router estejam comentadas
Tente detalhar o mximo possvel o problema.
Isso vai fazer com que a equipe de suporte da
MikroTik possa lhe ajudar melhor.
Se possvel inclua um diagrama da rede ou
acesso no seu dude.
Para mais informaes consulte:
www.mikrotik.com/support
Obrigado pela presena!
 Certificaes MikroTik
Curso de
Introduo MTCNA

MTCRE MTCWE MTCTCE MTCUME MTCIPv6E

MTCINE

Para mais informaes: http://training.mikrotik.com

Exame de Certificao
Caso necessrio reset seu router e restaure o
backup inicial
Confira se tem acesso ao portal da mikrotik:
www.mikrotik.com/client
Efetue seu login
Clique em: my training sessions
Em seguida clique em: start test
Boa Sorte a todos!