Professional Documents
Culture Documents
_____________________________________________________________________
_____________________________________________________________________
https://mikrotik.com/training/about
Certificação
_________________________________________________________________________
O 1º Exame - Presencial
1. É feito acessando o site da MikroTik
2. Pode consultar a RB, Wiki, PDF e traduzir a página
3. Tem duração de 1 hora
4. Tem 25 perguntas
5. De 60 até 100% = Aprovado (2x 75% Consultor)
6. De 0 até 49% = Reprovado (Refazer MTCNA)
7. De 50 até 59% = Refaz (Segunda chance)
8. De 0 até 59% = Reprovado (Refazer MTCNA)
9. É válido por 3 anos, pois tecnologia muda
10. Exemplo do Exame: https://mikrotik.com/client/testExample *
Nosso Cenário
Objetivos
_____________________________________________________________
● MikroTik
o Apresentar a Empresa
● RouterOS
o Familiarizar-se com a versão 6 deste software
o Configurar e gerenciar serviços de rede
o Solucionar problemas de redes com e sem fio
o Conectar os clientes/funcionários à Internet
o Entender diversos cenários de redes com práticas
● RouterBOARD
o Apresentar os hardwares e ensinar a escolher
● Certificação
o Preparar para esta competência
O Treinamento
______________________________________________________________
● Manuais: https://wiki.mikrotik.com/wiki/SwOS
O SwitchOS (SwOS)
RouterBOARD (1-6)
XS+31LC10D
hEX CRS106-1C-5S
RB4011iGS+RM Q+DA0001
CRS326-24G-2S+RM
CCR1072-1G-8S+
CRS125-24G-1S-2HnD-IN R11e-5HnD
RouterBOARD (2-6)
mANT30
cAP ac
OmniTIK 5 LHG 5
Sleeve30 mANT 19S
RouterBOARD (3-6)
https://mikrotik.com/products
RouterBOARD (5-6)
https://www.easyiot.com.br/tecnologia-lora/
Nomenclatura das RouterBOARDs
RB 450 0 ou nenhuma
interface Wireless
3 slots Wireless
Série RB400
Modelos
com
3 números
RB 433
3 interfaces Ethernet
Acessos por Hardware
4) Wi-Fi
2) Cabo UTP
2) Cabo Serial
1) Cabo SFP
Acessos por Software
1) WinBox (por IP e MAC)
http://www.mikrotik.com/download/winbox.exe
2
Padrão !
3
4
Conexão por:
1. MAC
2. IPv4
3. IPv6
WinBox (1-2)
*
WinBox (2-2)
Hide Passwords
(exceto: System > Users)
Renomear a Identidade - MATRIZ
1
2 Digite ? no raiz (/)
3 Verifique os comandos
e suas funções
CLI - Resumo
• <tab> - completa o comando
• Duplo <tab> - mostra opções
• ? - help
• Seta para cima - últimos comandos
• Ctrl+C - keyboard interrupt
• Ctrl+C+Enter - copia pra área de tranferência
• Ctrl+D - log out (se a linha estiver vazia)
• Ctrl+K - limpa o cursor até o fim da linha
• Ctrl+V - cola da área de transferência
• Ctrl+L ou F5 - limpa a tela
• Ctrl+´+´ & Ctrl+´-´ - ajusta o foco
• print - mostra as configurações
• export - mostra os comandos
Comandos no Modo Texto (CLI) (2-2)
Vermelho = erro
Rosa = comando
Azul = nível
Verde = opções
Preto = dados
Safe Mode
Redo = refaz
Undo = desfaz
Safe Mode - Recuperando o Acesso
(Na RB local)
1) Abra New Terminal
2) Digite:
1. Ctrl + X
2. in (Tab) + et (Tab) + Enter
3. (Tab) (observe as opções)
4. pr (Tab) + Enter (observe o # do
registro da ether2)
5. di (Tab) + nu (Tab) + 1 + Enter
Safe Mode - Sequestrando (Hijacking)
Chains
Amplifier
802.11
Switch Chip
wlan1
ether4
ether3
Bridge
DHCP
ether2
Firewall
Routing
ether1
CPU
Clique aqui
Acesso aos PCs Via Putty
Acesso aos PCs Via Putty
RoMON - Ativando o Agente
Router Management Overlay Network
(Rede Sobreposta de Gerenciamento de Roteador)
/tool romon
set enabled=yes
Connect To RoMON
172.30.1.1
3
Pacotes do RouterOS (1-2)
https://mikrotik.com/download
Pacotes do RouterOS (2-2)
MAIN
EXTRA
2. Download
(Arquitetura da CPU)
www.mikrotik.com/download
2. Arrastar e soltar no WinBox
3. System > Reboot
Gerenciando Pacotes (1-3)
Gerenciando Pacotes (2-3)
1. Upgrade
2. Downgrade
https://wiki.mikrotik.com/wiki/Manual:System/Packages
O Firmware RouterBOOT (1-2)
http://wiki.mikrotik.com/wiki/Manual:RouterBOOT
Hora do Sistema e Fuso Horário
https://wiki.mikrotik.com/wiki/Manual:System/Time
Dynamic DNS
IP > Cloud
1) Verifica a cada 60s, timeout 15s
2) Usa porta UDP 15252
3) Envia pacotes encriptados para
cloud.mikrotik.com (< v6.43) ou
cloud2.mikrotik.com (=> v6.43)
https://wiki.mikrotik.com/wiki/Manual:IP/Cloud
Usuários do RouterOS
System > Users
https://wiki.mikrotik.com/wiki/Manual:Router_AAA
Serviços do RouterOS
IP > Services
Os 2 Backups Locais
1) export
2) backup
1 (RAM)
2 (HD)
https://wiki.mikrotik.com/wiki/Manual:Reset_button
https://wiki.mikrotik.com/wiki/Manual:RouterBOARD_settings
System > Reset Configuration
1> 6>
2>
3>
4>
<5
Reinstalando o RouterOS
1) Faça download do pacote Main (Long-term) e o
respectivo Netinstall para a mesma pasta e extraia.
Usar a mesma versão do Netinstall e Pacotes!
IMPORTANTE:
Desative o Firewall e Antivírus
Execute como Administrador
Controle de Usuário do Windows (uac)
Netinstall (3-3)
Mantém a
configuração antiga e
9 reinstala (não reseta)
6
1) No Windows está:
Reinicie a RB
1. End. IP: 192.168.1.1
no modo
2 10 2. Máscara: 255.255.255.0
Netinstall
Conecte na ‘ether1’
3
4
8
Licenças do RouterOS (1-5)
1. https://help.mikrotik.com/docs/
2. https://help.mikrotik.com/servicedesk
Módulo 1 - Introdução
Conteúdo abordado
6. Upgrading RouterOS (driver)
6.1. Package types
1. About MikroTik
6.2. Ways of upgrading
1.1. What is RouterOS
6.3. RouterBOOT firmware upgrade
1.2. What is RouterBoard
7. Router identity
2. First time accessing the router
8. Manage RouterOS logins
2.1. WinBox and MAC-WinBox
9. Manage RouterOS services
2.2. WebFig and Quick Set
10. Managing configuration backups
2.3. Default configuration
10.1. Saving and restoring the backup
3. RouterOS command line interface (CLI)
10.2. Difference between a backup and an export (.rsc) file
3.1. Null Modem cable
10.3. Editing an export file
3.2. SSH and Telnet
11. Resetting a RouterOS device
3.3. New terminal in WinBox/WebFig
12. Reinstalling a RouterOS device (Netinstall)
4. RouterOS CLI principles
13. RouterOS license levels
4.1. <tab>, double <tab>, “?”, navigation
14. Sources of additional information
4.2. command history and its benefits
14.1. wiki.mikrotik.com
5. Initial configuration (Internet access)
14.2. forum.mikrotik.com
5.1. WAN DHCP-client
14.3. mum.mikrotik.com
5.2. LAN IP address and default gateway
14.4. Distributor and consultant support
5.3. Basic Firewall - NAT masquerade
14.5. support@mikrotik.com
Modelos OSI e TCP/IP
7 APLICAÇÃO APLICAÇÃO
DADOS
6 APRESENTAÇÃO HTTP, HTTPS 5
DNS, DHCP, FTP
5 SESSÃO SSH, TELNET
IP > DNS
http://router.lan
DHCP
/ip dhcp-client
1. Bridge, Next
2. Next
3. Alterar, Next
4. O MT, Next
5. Next
6. Next Exemplo de
conexão de 1 dia:
1d 00:00:00
Configurar IP no PC via DHCP
EXPED
Pinga pra 8.8.8.8?
EXPED
Configurar Mascaramento
FABRICA
2
Resolve e Pinga pra uol.com?
EXPED
Ativar DNS Server (Cache)
FABRICA
DHCP Server - Static Leases (1-2)
Concessões Estáticas
MATRIZ
1. Converter de
dinâmica > estática
(o D é removido)
DHCP Server - Static Leases (2-2)
MATRIZ MATRIZ
2
FABRICA
3
O ARP e a Tabela ARP
IP > ARP
1) O ARP une os endereços:
1. IP (Layer3, lógico)
2. MAC (Layer2, físico)
2) A Tabela ‘ARP List’:
Contém: IP, MAC e Interface
É um cache para reduzir a latência
3) Ações do ARP:
1. Aprender (dinamicamente ou estaticamente)
2. Responder (enable, reply-only, proxy-arp e
local-proxy-arp)
O ARP (Broadcast)
Protocolo de resolução
de qual endereço?
No PC 192.168.0.1:
> ping 192.168.0.3
BROADCAST UNICAST
Quem tem IP Eu tenho e meu MAC
192.168.0.3? é 00:E0:FE:C2:09:11
ARP Estático
IP > ARP
1
Static ARP
Aumenta a segurança:
1) Adicionando manualmente
entradas ARP em 1 e 2
2) E a interface deve ser 2
configurada para reply-only
ARP Estático (reply-only)
Static ARP
A Interface em
replay-only, irá
responder apenas
as entradas ARP
conhecidas
MATRIZ
DHCP (static-only)
MATRIZ
IP > DHCP Server: DHCP
O DHCP Server pode adicionar entradas
na tabela ARP automaticamente, com:
1) Address Pool em static-only (1) 1
IP > ARP
MATRIZ
2
DHCP (static-only) + ARP (reply-only)
Passo a Passo
Conteúdo abordado
1. Bridging overview
1.1. Bridge concepts and settings
1.2. Creating bridges
1.3. Adding ports to bridges
2. Bridge wireless networks
2.1. Station bridge
HUB - OSI Camada 1, Física
1
Bridge - OSI Camada 2, Enlace (2-2)
5. Junta segmentos de rede
/interface bridge
Switch - OSI Camada 2
1. É um dispositivo de Hardware,
ativado em Hardware Offload
2. Dados trafegam na velocidade
das portas (wire speed)
3. O uso do Switch Chip não
aumenta o uso da CPU
station (roteada)
ou
Wi-Fi ap bridge
station bridge wlan1
bridge1
Controle de Banda e Firewall na Bridge
Conteúdo abordado
1. Bridging overview
1.1. Bridge concepts and settings
1.2. Creating bridges
1.3. Adding ports to bridges
2. Bridge wireless networks
2.1. Station bridge
Module 4 - Routing
______________________________________________________________
1. Routing overview
1.1. Routing concepts
1.2. Route flags
2. Static routing
2.1. Creating routes
2.2. Setting default route
2.3. Managing dynamic routes
2.4. Implementing static routing
in a simple network
Roteamento
IP > Routes
Dst. Address:
1) Endereço de Host
2) Endereço de Rede Gateway:
3) 0.0.0.0/0 (todos IPs)
• Exemplo:
. Dst. Address: 192.168.88.0/24, Gateway: 172.30.1.5
. Dst. Address: 192.168.88.0/25, Gateway: 172.30.1.6
. Dst. Address: 192.168.88.128/25, Gateway: 172.30.1.7
. Se o pacote for enviado para o IP 192.168.88.135,
qual gateway será usado?
Roteamento
Distância
A - active
C - connected
D - dynamic
S - static
Roteamento
Gateway Padrão
Gateway Padrão
Check Gateway
Pingar
para o
ADM
Pingar
para o
RECEP
Roteamento Estático (2-2)
1) Anote:
1. O IPs das interfaces WAN (203.0.113.ABC)
2. O IPs das Sub-redes das LANs (192.168.XY.0/24)
3. O IPs dos PCs, ADM e RECEP (192.168.XY.?/24)
5) Desfaça as configurações
Módulo 4 - Routing
Conteúdo abordado
1. Routing overview
1.1. Routing concepts
1.2. Route flags
2. Static routing
2.1. Creating routes
2.2. Setting default route
2.3. Managing dynamic routes
2.4. Implementing static routing
in a simple network
Module 5 - Wireless
______________________________________________________________
1. 802.11a/b/g/n/ac Concepts
1.1. Frequencies (bands, channels), data-rates,
chains (tx power, rx sensitivity, country regulations)
2. Setup a simple wireless link
2.1. Access Point configuration
2.2. Station configuration
3. Wireless Security and Encryption
3.1. Access List
3.2. Connect List
3.3. Default Authenticate
3.4. Default Forward
3.5. WPA-PSK, WPA2-PSK
3.6. WPS accept
4. Monitoring Tools
4.1. Snooper
4.2. Registration table
Padrões IEEE
Configurações Físicas e Data Rates
• 12 canais de 20MHz
• 5 canais de 40MHz
802.11ad 60GHz - WiGig
Usa servidor de
Autenticação
RADIUS
Modos de Operação
Wireless > Interfaces: wlan1
Configurando Mode
já funciona
Nome do Rádio
regulatory-domain
Sensibilidade de Recepção
ap bridge
station
Lista de Acessos
Wireless > Access List
*
Lista de Conexões
AP e Station
Espera 2 minutos
Snooper
Obtenho uma visão completa das
redes (SSID) e suas estações
Módulo 5 - Wireless
Conteúdo abordado
1. 802.11a/b/g/n/ac Concepts
1.1. Frequencies (bands, channels), data-rates,
chains (tx power, rx sensitivity, country regulations)
2. Setup a simple wireless link
2.1. Access Point configuration
2.2. Station configuration
3. Wireless Security and Encryption
3.1. Access List
3.2. Connect List
3.3. Default Authenticate
3.4. Default Forward
3.5. WPA-PSK, WPA2-PSK
3.6. WPS accept
4. Monitoring Tools
4.1. Snooper
4.2. Registration table
Module 6 - Firewall
______________________________________________________________
1. Firewall principles
1.1. Connection tracking and states
1.2. Structure, chains and actions
2. Firewall Filter in action
2.1. Filter actions
2.2. Protecting your router (input)
2.3. Protection your customers (forward)
3. Basic Address-List
4. Source NAT
4.1. Masquerade and src-nat action
5. Destination NAT
5.1. dst-nat and redirect action
6. FastTrack
Firewall
FORWARD
INPUT OUTPUT
OUTPUT INPUT
FORWARD
INPUT OUTPUT
LOCAL
ROUTING
PROCESS DECISION
IN | OUT
Filter - Actions
INPUT INPUT
Filter - Chain: Input (1-5) RB Local
10) Adicione em IP > Firewall: Filter Rules (+) e coloque acima do drop (2)
1. Chain: input
2. Protocol: udp
3. Dst. Port: 53
4. In. Interface: bridge
5. Action: accept
Filter - Chain: Input (5-5) RB Local
FORWARD
FORWARD
Filter - Chain: Forward (1-2) RB Local
1) Adicione em
IP > Firewall: Filter Rules (+)
Chain: forward
1. Protocol: tcp
2. Dst. Port: 80
3. Action: drop
Filter - Chain: Forward (2-2) RB Local
FILIAL MATRIZ
MATRIZ FABRICA
IP > Firewall > Filter Rules: (editar uma regra) > Action
NAT - Network Address Translation
2) Há 2 tipos de NAT:
1. Source NAT
2. Destination NAT
src-nat e dst-nat
1) src-nat
O Source NAT é normalmente usado para prover
acesso para uma rede externa (ex.: Servidor Web)
a partir de uma rede interna que usa IPs privados
2) dst-nat
O Destination NAT é normalmente usado para
prover acesso de uma rede externa para um
recurso (ex.: Servidor Web) em uma rede interna,
que usa IP privado
Fluxo de Pacotes - NAT
ROUTING
DECISION
FORWARD
PRE- POST-
ROUTING ROUTING
DST-NAT SRC-NAT
INPUT OUTPUT
LOCAL ROUTING
PROCESS DECISION
INPUT OUTPUT
INTERFACE INTERFACE
192.168.1.1/24
192.168.1.2:80 177.1.1.1:5781
200.1.1.1:80
192.168.1.2
Redirect
MATRIZ
Service Ports (NAT Helpers)
Invalid Established *
New Related
Connection Tracking (1-2)
✓ São ignorados:
✓ Simple Queue
https://wiki.mikrotik.com/wiki/Manual:IP/Services
Sequencial
Firewall Padrão
Conteúdo abordado
1. Firewall principles
1.1. Connection tracking and states
1.2. Structure, chains and actions
2. Firewall Filter in action
2.1. Filter actions
2.2. Protecting your router (input)
2.3. Protection your customers (forward)
3. Basic Address-List
4. Source NAT
4.1. Masquerade and src-nat action
5. Destination NAT
5.1. dst-nat and redirect action
6. FastTrack
Module 7 - QoS
______________________________________________________________
1. Simple Queue
1.1. Target
1.2. Destinations
1.3. Max-limit and limit-at
1.4. Bursting
2. One Simple queue for the whole network (PCQ)
2.1. pcq-rate configuration
2.2. pcq-limit configuration
QoS (Quality of Service)
1. Download (↓)
2. Upload (↑)
3. Total (Up + Down) (↓ + ↑)
1. Target: IP do PC
2. Max Limit:
a) Target Upload = 512k
b) Target Download = 1M
3. Faça download da Imagem_ISO do
endereço http://192.168.255.X
4. Observe o tráfego, na aba Traffic da Queue
Tools > Torch
Monitoramento de tráfego em tempo real
Podemos abrir direto nas Interfaces
( Ex.: IP Note/PC )
Priority
1 = Maior
8 = Menor
Tráfego utilizado
Verde = 0 - 50%
Amarelo = 51 - 75%
Vermelho = 76 - 100% garantido em uso
Burst (Rajada)
1. Permitir taxas de
dados mais elevadas
do que o Max Limit,
durante um curto
período de tempo
É dado ao cliente:
. Max Limit = 2 Mbps
. Burst Limit = 4 Mbps
. Burst Threshold = 1500 kbps
. Burst Time = 16 seg
. Limit-At = 1 Mbps
PCQ - Per Connection Queue (1-3)
Otimiza equalizando a banda em
grandes implementações
Limita a banda
Compartilha a banda
Módulo 7 - QoS
Conteúdo abordado
1. Simple Queue
1.1. Target
1.2. Destinations
1.3. Max-limit and limit-at
1.4. Bursting
2. One Simple queue for the whole network (PCQ)
2.1. pcq-rate configuration
2.2. pcq-limit configuration
Module 8 - Tunnels
______________________________________________________________
1. PPP settings
1.1. PPP profile
1.2. PPP secret
1.3. PPP status
2. IP pool
2.1. Creating pool
2.2. Managing ranges
2.3. Assigning to a service
3. Secure local network
3.1. PPPoE service-name
3.2. PPPoE client
3.3. PPPoE server
4. Point-to-point addresses
5. Secure remote networks communication
5.1. PPTP client and PPTP server (Quick Set)
5.2. SSTP client
Tunelamentos e VPNs
Substituem as
configurações
Autenticação:
do PPP Profile
L = Local
Caller ID = MAC
Client Radius
Autenticação:
R = Radius
PPP > Interface
Conexão:
D = Dynamic
R = Running
PPP > Active Connections
Autenticação:
L = Local
R = Radius
PPPoE (PPP over Ethernet)
✓ O RouterOS suporta:
1. PPPoE Client
2. PPPoE Server (AC - Access Concentrator)
PPPoE - Etapas e Sessão
PPPoE - Etapas e Sessão
1. Inicialização (PADI - PPPoE Active Discovery Initialization) – O Cliente envia um pacote PADI
para o endereço ethernet de broadcast FF:FF:FF:FF:FF e pode conter o campo “service-name”
2. Oferta (PADO - PPPoE Active Discovery Offer) – O Controlador de Acessos responde com um
pacote PADO com uma proposta de descoberta da autenticação, em unicast. Se veio com o campo
“service-name”, volta com ele
3. Pedido (PADR - PPPoE Active Discovery Request) – O Cliente responde em unicast, com um
pacote PADR, enviando uma solicitação de descoberta de atividade
4. Confirmação (PADS - PPPoE Active Discovery Session) – O Controlador de Acessos gera uma
identificação única (ID) para a sessão PPP e envia um pacote PADS em unicast
6. Término (PADT - PPPoE Active Discovery Terminate) – Tanto o Controlador de Acessos quanto o
Cliente podem enviar um pacote PADT para finalizar, em qualquer momento
PPPoE (PPP over Ethernet)
1. Adicionar um Pool
3. Adicionar Usuários
8
1 9
2 4
10
11
5
12
3
PPPoE Client (2-2)
Conecte ao PPPoE Server e navege
6. Depois:
1. Desabilite o PPPoE Client
2. Habilite o DHCP Client e restaure
as configurações anteriores
Point-to-Point Addresses
Quando é estabelecida uma conexão PPP, endereços
Ponto-à-Ponto /32 são atribuídos dinamicamente
MATRIZ FILIAL
VPNs - PPTP e SSTP
✓ O RouterOS suporta
1. PPTP e SSTP Client
2. PPTP e SSTP Server
✓ O SSTP (Secure Socket Tunnelling Protocol) utiliza
1. A porta TCP 443 (HTTPS, passa por Firewall e Proxy)
2. Para ser seguro é necessário Certificado, mas não é
necessário no RouterOS
✓ O PPTP (Point-to-Point Tunneling Protocol) utiliza
1. A porta TCP 1723
2. O protocolo IP 47 (GRE - Generic Routing Encapsulation)
3. Usa NAT Helpers
PPTP - Cenário Site-to-Site
PPTP - Cenário Client-to-Site
Túnel PPTP
✓ Se configuramos
1. Add Default Route = todo o tráfego vai pelo túnel
2. Rotas Estáticas = tráfego específico vai pelo túnel
FILIAL
Túnel PPTP - Rotear e Pingar
Pingue
para o
ADM
Pingue
para o
RECEP
SSTP - Cenário Site-to-Site
SSTP - Mecanismo de Conexão
Pingue
para o
ADM
Pingue
para o
RECEP
Módulo 8 - Tunnels
Conteúdo abordado
1. PPP settings
1.1. PPP profile
1.2. PPP secret
1.3. PPP status
2. IP pool
2.1. Creating pool
2.2. Managing ranges
2.3. Assigning to a service
3. Secure local network
3.1. PPPoE service-name
3.2. PPPoE client
3.3. PPPoE server
4. Point-to-point addresses
5. Secure remote networks communication
5.1. PPTP client and PPTP server (Quick Set)
5.2. SSTP client
Module 9 - Misc
______________________________________________________________
1. RouterOS tools
1.1. E-mail
1.2. Netwatch
1.3. Ping
1.5. Traceroute
1.5. Profiler (CPU load)
2. Monitoring
2.1. Interface traffic monitor
2.2. Torch
2.3. Graphs
2.4. SNMP
2.5. The Dude
3. Contacting support@mikrotik.com
3.1. supout.rif, autosupout.rif and viewer
3.2. System logs, enabling debug logs
3.3. readable configuration (item comments and names)
3.4. network diagrams
RouterOS Tools
O RouterOS prove
vários utilitários que
ajudam à administrar
e monitorar
Tools > Email
Permite enviar
backup e outras
informações
Tools > Email: Send Email
Configurar no
Google: Permitir
aplicativos menos
seguros
Envie E-mail do Backup > export
1. Mostra a rota do
pacote
Resolve o nome do Host
2. Pode usar os
protocolos ICMP
ou UDP
Tools > Profile
Média do
tráfego e uso
dos recursos
http://192.168.88.1/graphs
http://192.168.88.1/graphs
IP > SNMP
3. É um Gerente SNMP
Conteúdo abordado
1. RouterOS tools
1.1. E-mail
1.2. Netwatch
1.3. Ping
1.5. Traceroute
1.5. Profiler (CPU load)
2. Monitoring
2.1. Interface traffic monitor
2.2. Torch
2.3. Graphs
2.4. SNMP
2.5. The Dude
3. Contacting support@mikrotik.com
3.1. supout.rif, autosupout.rif and viewer
3.2. System logs, enabling debug logs
3.3. readable configuration (item comments and names)
3.4. network diagrams