Certified Network Associate

(MTCNA)

1
 Bemutatkozás

• Barta Gergely
• Accesspoint Kft.
• Hálózati Mérnök – Pre/Post Sales Support,
Hálózat tervezés
• 10 év az internetszolgáltatásban, több év
támogatói tapasztalat

2
 A tanfolyam tartalma

• Áttekintést ad a RouterOS szoftver funkcióiról

és a RouterBOARD termékekről.
• Gyakorlati példákon keresztül bemutatja a
MikroTik routerek konfigurálását, üzemeltetését
és alapszintű hibaelhárítási ismereteket ad.
• Stabil alapot, és hasznos megoldásokat nyújt a
mindennapi munkához.
3
 A tanfolyam célja

A hallgató képes lesz:

• Beállítani, üzemeltetni a MikroTik RouterOS
eszközöket, valamint alapvető hibaelhárítási
feladatokat elvégezni rajtuk.
• Ügyfelek számára alapvető szolgáltatásokat
nyújtani.

4
 MikroTik Certified tanfolyamok
Bevezető MTCNA

MTCRE MTCTCE MTCIPv6E

MTCWE MTCUME

MTCINE

További információk:
http://accesspoint.hu - Tanfolyamok 5
 Témakörök

1. Bevezetés
2. DHCP
3. Bridging
4. Routing
5. Wireless
6. Firewall
6
 Témakörök

7. QoS
8. Tunnels
9. Egyéb eszközök

Gyakorlati példák a tanfolyam alatt (több mint 40

összesen)
7
 Menetrend
• 3 nap
9:00 – 17:00
• 2 rövidebb szünet
~10:30 és 14:30
• Ebédszünet
12:00-13:00
• Vizsga
Utolsó nap végén, 1 óra
8
 Házirend

• Vészkijáratok
• Mosdó helye
• Étkezés és ivás a tanteremben
• Telefonok
• Mit kaptok, és milyen formában kérjük vissza

9
 Vizsga
• Online
• Angol nyelven
• 60% szükséges
• 50-59% második lehetőség
• MikroTik.com regisztráció
• Próba vizsga
• Certificate – 3 évig érvényes
10
 Bemutatkozás

• Név – cég
• Beosztás
• Hálózati ismeretek
• MikroTik ismeretek
• Mit vársz a tanfolyamtól?
• A te számod, kérlek jegyezd le!
11
Certified Network Associate
(MTCNA)

Modul 0
Hálózati alapok

12
 ISO-OSI - TCP/IP

OSI Model TCP/IP

Alkalmazási / Application

Megjelenítési / Presentation Alkalmazási

Viszony / Session

Szállítási / Transport Szállítási (TCP/UDP)

Hálózati / Network Hálózati (IP)

Adatkapcsolati / Data Link Hálózat Elérési
Fizikai / Physical Network Interface

13
 MAC cím
• Hálózati eszközök interfészeinek egyedi fizikai
címe.
• Gyártó által meghatározott, egyedi. MikroTik
esetén minden interfész külön MAC címmel
rendelkezik.
• Egy hálózati szegmensen (LAN) belüli
kommunikáció esetén ez alapján történik a
kerettovábbítás
• 12 hexadecimális szám - 02:DE:AD:04:BE:EF 14
 IP cím
• Egyedi hálózati azonosító, amelyet az Internet
Protocol segítségével kommunikáló számítógépek
egymás azonosítására használnak.
• Logikai cím, felhasználó által beállítva.
• 32 bit:
11000000.10101000.00000001.00000001
• Olvasható formában: 192.168.1.1

15
 IP cím
• Publikus – privát tartományok
• Privát IP tartományok:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
169.254.0.0/16

16
 Alhálózatok
• IP tartományok felosztása kisebb részekre,
alhálózatokra
• A hálózati maszk határozza meg az alhálózat
méretét
• „Maszkolás”
maszk: 1111111.11111111.11111111.00000000
IP cím: 1000000.10101000.00000001.00000001
hálózat: 1100000.10101000.00000001.00000000

• A maszk első x bitje minden esetben 1-es, a többi 0

• Az 1-esek száma: /24 17

 Alhálózatok
• Az alhálózat első IP címe a hálózat azonosítója
(network address). Pl.: 192.168.1.0
• Az alhálózat utolsó IP címe a broadcast cím. Pl.:
192.168.1.255
• Ezek nem használhatóak hostok címeként.
• Két host router nélkül képes kommunikálni, ha
egy alhálózatba tartoznak.

18
Certified Network Associate
(MTCNA)

Modul 1
Bevezetés

19
 A MikroTikről
• Router szoftver és hardver gyártás
• Széles felhasználási terület
Internet szolgáltatók
Cégek
Egyéni felhasználók
• Küldetés: Internet és hálózati technológiát
szállítani gyorsabban, hatékonyabban és elérhető
áron, szélesebb felhasználási körökbe.

20
 A MikroTikről
• 1996: alapítás, Lett vállalat rigai központtal
• 1997: RouterOS software, x86 (PC)
• 2002: Első RouterBOARD
• 2006: Első MikroTik User Meeting (MUM)
• 2015: Legnagyobb MUM, Indonézia, 2500+

21
 MikroTik RouterOS
• A MikroTik RouterOS a MikroTik
RouterBOARD hardverek operációs rendszere.
• Telepíthető x86 alapú PC-kre és virtuális gépekre
is.
• A RouterOS egy Linux kernel alapú operációs
rendszer (zárt forráskóddal), mely hálózati
funkciók széles körét nyújtja, és egyszerűen
kezelhető.

22
 RouterOS funkciók
• 802.11 a/b/g/n/ac támogatás
• Tűzfal / sávszélesség szabályzás
• Pont-Pont és VPN tunelek (PPTP, PPPoE, SSTP,
OpenVPN, IPSec…)
• DHCP / Proxy / HotSpot / DNS
• OSPF / BGP routing protokollok
• MPLS
• Stb… 23
 MikroTik RouterBOARD
• A MikroTik által gyártott hardvercsalád.
• Mindegyiken RouterOS fut.
• Széles termékpaletta: az otthoni routerektől a
szolgáltatói gerinc berendezésekig.
• Többmillió RouterBOARD üzemel a napjainkban.

24
 MikroTik RouterBOARD
• Integrált megoldások – ready to use
• Alaplapok – speciális igényekre
• Kül-, és beltéri dobozok
• Kiegészítők – wireless, SFP, 3G, LTE, tápok, PoE,
antennák

25
 Első kapcsolódás
• Null modem kábel
• Ethernet kábel
• WiFi
Ethernet

WiFi

Null Modem

26
 Első kapcsolódás
• WinBox - http://www.mikrotik.com/download
• WebFig
• SSH
• Telnet
• Terminal emulator soros port esetén

27
 WinBox
• Alapértelmezett IP cím (LAN): 192.168.88.1
• Bejelentkezés: admin / „semmi”

28
 MAC WinBox
• Csatlakozzatok a routerhez WinBox-al, IP címmel
és nézzétek meg az ablak fejlécét

29
 MAC WinBox
• Tiltsátok le az IP címet (bridge)
• Próbáljatok csatlakozni IP címmel
• Próbáljatok csatlakozni MAC WinBox-al

30
 MAC WinBox
• Engedélyezzétek az IP címet (bridge)
• Lépjetek be IP címmel a routerbe

31
 WebFig
• Internetböngésző – http://192.168.88.1

32
 WebFig
• Internetböngésző – http://192.168.88.1

33
 Quick Set
• Alapbeállítások egy ablakban.
• WinBoxból és WebFigből is elérhető.
• Különböző tipikus beállítások közül
választhatunk.
• Óvatosan a használatával, minden beállítást felülír!

34
Quick Set

35
 Alapértelmezett / üres beállítás
• Eszközönként eltérő alapbeállítások.
• https://wiki.mikrotik.com/wiki/Manual:Default_Configurations

• Például: SOHO router – DHCP kliens az ether1,

DHCP server a többi port + WiFi
• Lehetőség van az alapbeállítások teljes törlésére

36
 Command Line Interface – CLI
• Soros port, Telnet, SSH és New Terminal esetén

37
 Command Line Interface – CLI
• <tab> - parancs kiegészítése
• Dupla <tab> - lehetséges parancsok kiírása
• „?” – help
• <↑>, <↓> - előző parancsok visszanézése

38
 Command Line Interface – CLI
• Hierarchikus felépítés (hasonló a WinBox-hoz)
• http://wiki.mikrotik.com/wiki/Manual:Console

39
 Internet hozzáférés

Előadó
laptop
router

Internet

192.168.88.1

40
 Laptop - Router
• Kössétek össze a laptopot a router velamelyik
LAN portjával (2-5)
• Tiltsátok le a laptopon a WiFit.
• A laptop kérjen automatikusan IP címet (DHCP)

41
 Router - Internet
• Az internet, az előadói router wireless
interfészén keresztül lesz elérhető.

Előadó
laptop
router

Internet

192.168.88.1 42
 Router - Internet
• Wireless interfész eltávolítása a bridge-ből
• DHCP kliens beállítása a wireless interfészen
• Wireless security profile beállítása
• Wireless interfész beállítása station módba
• NAT masquerade konfigurálása

43
 Router - Internet
• Wireless interfész eltávolítása a bridge-ből

44
 Router - Internet
• DHCP kliens beállítása a wireless interfészen

45
 Router - Internet
• Wireless security profile beállítása

46
 Router - Internet
• Wireless interfész beállítása station módba

„Scan…” eszköz segít megtalálni az AP-kat és csatlakozni hozzájuk

47
 WinBox Tipp
• A jelszavak megmutatásához (kivéve user jelszó),
használható a Settings Hide Passwords
menüpont.

48
 NAT
• Masquerade használható a privát címek
publikusra átfordítására.

Masquerade
Internet

49
 Router - Internet
• Masquerade action beállítása a wireless
interfészre

50
 Kapcsolat ellenőrzése
• A laptopról pingeljétek a www.mikrotik.com-ot

51
 Hibakeresés
• A router tudja pingelni az AP-t?
• A router tudja pingelni a 8.8.8.8 címet?
• Működik a DNS a routeren?
• A laptop tudja pingelni a 8.8.8.8 címet?
• Működik a DNS a laptopon?
• Működik a NAT-olás?

52
 RouterOS Releases
• Long term – csak javítások, új funkciók nélkül
• Stable – javítások + új funkciók
• Beta– legfrissebb verzió

53
 RouterOS frissítése
• A legegyszerűbb mód:

54
 RouterOS frissítése
• Szoftver letöltés: http://www.mikrotik.com/download
• Ellenőrizzük a router cpu architektúráját
• Feltöltés a routerre (drag-and-drop, FTP, WebFig)
• Reboot

55
 Packages
• Az egyes funkciókat külön csomagok
tartalmazzák

56
 Packages
• Az egyes funkciókat külön csomagok
tartalmazzák
Csomag Funkció
advanced-tools Netwatch, wake-on-LAN, Ip scan
dhcp DHCP kliens és server
hotspot HotSpot captive portal server
ipv6 IPv6 támogatás
ppp PPP, PPTP, L2TP, PPPoE kliensek és serverek
routing Dinamikus routing: RIP, BGP, OSPF
security Secure WinBox, SSH, Ipsec
system Alap funkciók: statikus routing, tűzfal, bridge, stb.
wireless-cm2

https://wiki.mikrotik.com/wiki/Manual:System/Packages 57
 Packages
• Minden CPU architektúrához tartozik egy „Main
package” és egy „Extra packages”
• A main tartalmaz minden általánosan használt
csomagot (wireless, dhcp, ppp, routing, stb.)
• Egyéb csomagokat az extra tartalmaz (gps, ntp,
ups, user-manager)

58
 Csomagok kezelése
• Tiltsátok le a wireless csomagot
• Indítsátok újra a routert
• Ellenőrizzétek az interfész listát
• Engedélyezzétek a wireless csomagot
• Indítsátok újra a routert

59
 Csomagok kezelése
• Nézzétek meg a WinBox System menüjét,
keressetek NTP szervert.
• Töltsétek le a megfelelő Extra Packages-t
• Telepítsétek fel az ntp csomagot
• Ellenőrizzétek a System menüt

60
 RouterBOOT
• A firmware felelős a RouterOS betöltéséért
RouterBOARD eszközökön
• Szoftver frissítés tartalmazza az újabb verziót, de
nem frissül automatikusan
• Az aktuális verzió ellenőrizhető és frissíthető
• Main és Backup FW

61
RouterBOOT

62
 Router Identity
• A router neve. Különböző helyeken jelenik meg.
• Érdemes elnevezni minden routert.

63
 Router Identity
• Állítsátok be a routerek nevét:
• „sorszám”_”név”
• 14_MintaAladár
• Nézzétek meg a WinBox fejlécét

64
 RouterOS felhasználók
• Alapértelmezett felhasználó: admin, csoportja: full
• További csoportok: read and write
• Egyedi csoportok létrehozása lehetséges a
pontosabb jogkörök kiosztása végett.

65
 RouterOS felhasználók
• Adjatok hozzá egy felhasználót a routerhez full
jogosultsággal (jegyezzétek fel a nevet és a
jelszót)
• Lépjetek be az új felhasználóval
• Az admin felhasználó csoportját állítsátok read-re
• Lépjetek be az admin-nal és próbáljatok bármit
állítani

66
 RouterOS Services
• A routeren futó szolgáltatások
• A nem használtak letilthatók
• Korlátozások (available from)
• Az alapértelmezett portoktól el lehet térni.

67
 RouterOS Services
• Változtassátok meg a www szolgáltatás portját
8080-ra
• Ellenőrizzétek a böngészőben
http://192.168.88.1:8080

68
 Konfiguráció mentés
• Bináris mentés - .backup
Beállítás visszaállítása ugyanazon a routeren
• Konfiguráció export - .rsc
Beállítások átvitele másik routerre

69
 Bináris mentés
• A WinBox Files menüjében lehet létrehozni,
illetve visszaállítani.
• Bináris formátumú, titkosított.
• Teljes konfigurációt tartalmazza (jelszavakat is).

70
 Konfiguráció export
• A kimentett file (.rsc) egy scriptet tartalmaz ami
visszatölthető a legtöbb routerbe.
• Szerkeszthető szöveges file.
• Csak a gyáritól eltérő változásokat tartalmazza
(kivéve „verbose”)
• „export” parancs indítja CLI-ből.
• Az egész konfiguráció, vagy csak részei menthető.
• User jelszavakat nem tartalmazza. 71
 Konfiguráció export

• A file-okat a „flash” könyvtárban tároljuk!

• Ready-to-use parancsokat tartalmaz

72
 Konfiguráció import
• Az export file kézzel szerkeszthető
• Másik (típusú) RouterBOARD-ra át lehet vinni a
beállításokat.
• Visszaállítás az /import paranccsal.

73
 Mentések archiválása
• Miután létrehoztuk a mentést, másoljuk egy
megbízható helyre
- FTP
- WebFig
- WinBox (drag-and-drop)

• A mentések tárolása a routeren nem elégséges

74
 Reset Configuration
• Gyári beállítások visszaállítása

75
 Reset Configuration
• Fizikai reset gomb:
• Backup RouterBOOT loader (FW)
• Beállítások törlése
• CAPs mód bekapcsolása (Controlled AP)
• Netinstall indítása

76
 Netinstall
• RouterOS telepítésére és újratelepítésére.
• Közvetlen L2 kapcsolat szükséges.
• Első ethernet portra kell csatlakozni (kivéve CCR
és RB1100 – utolsó)
• Windowson futtatható
• Letölthető a MikroTik weboldalról.

77
Netinstall

78
 Konfiguráció mentés
• Készítsetek .backup (bináris) mentést.
• Másoljátok át a laptopra.
• Töröljétek a .backup állományt a routerről.
• Állítsátok a routert gyári beállításra.
• Másoljátok a .backup file-t a routerre.
• Állítsátok vissza a konfigurációt a mentésből.

79
 RouterOS licencek
• Minden RouterBOARD licencel érkezik.
• Különböző szintek vannak
• Időben bármeddig frissíthető.
• x86 telepítés esetén külön licenc vásárolható

80
 RouterOS licencek

Szint (Level) Típus Leírás

0 Trial Mode 24h próba
1 Free Demo
3 CPE Wireless kliens (station)
4 AP Wireless AP: WISP, Home, Office
5 ISP Több tunnel lehetséges mint L4
6 Controller Korlátlan

81
RouterOS licencek

82
 További Információk
• wiki.mikrotik.com – RouterOS dokumentáció és
példák
• forum.mikrotik.com – RouterOS felhasználók
fóruma
• mum.mikrotik.com – MikroTik User Meeting
• support@mikrotik.com

83
Certified Network Associate
(MTCNA)

Modul 2
DHCP

84
 DHCP
• Dynamic Host Configuration Protocol
• IP címek (és egyéb hálózati beállítások)
kiosztására használható helyi hálózaton.
• Csak megbízható hálózat esetén használjuk.
• Egy broadcast domainen belül működik (nem
lehet router a szerver és a kliens között).
• A RouterOS tartalmazza a klienst és a szervert
is.
85
 DHCP kliens
• IP cím, hálózati maszk, gateway, DNS szerver cím
automatikus lekérésére használható.
• SOHO routerek esetén a RouterOS alapbeállítás
tartalmazza a DHCP klienst az első ethernet
porton.

86
DHCP kliens

87
 DNS
• Alapértelmezett beállítás szerint a DHCP kliens
lekéri a DNS szerver címet.
• Lehetőség van kézzel hozzáadni, ha további
szervereket szeretnénk használni, vagy ha a
DHCP nincs használatban.

88
 DNS
• RouterOS-ben lehetőség van statikus DNS
bejegyzések felvételére.
• Alapértelmezett beállításban van egy DNS A
rekord router névvel, ami a 192.168.88.1-re
mutat.

89
 DHCP Server
• IP címek automatikus kiosztása DHCP kliensek
részére.
• Az interfésznek, amelyiken a DHCP szerver fut
kell lennie IP címnek.
• Beállítható a „DHCP SETUP” varázslóval.

90
 DHCP Server
• Kapcsolódjatok újra a routerhez MAC címmel.

91
 DHCP Server
• El fogjuk távolítani a meglévő DHCP szervert, és
egy újat hozunk létre.
• A belső hálózat ezután a 192.168.x.0/24 lesz
(ahol X a sorszámotok).
• Bridge használata esetén mindig a bridge-re kell
tenni a DHCP szervert, nem a bridge portra.

92
 DHCP Server
• DHCP Server és DHCP Network törlése

93
 DHCP Server
• IP Pool törlése

94
 DHCP Server
• IP Address törlése

95
 DHCP Server
• Adjátok hozzá a 192.168.x.1/24 címet a bridge
interfészhez

96
 DHCP Server

1. 2.

3. 4.

!!!
5. 6.
97
 DHCP Server
• Kérjetek új IP címet a laptopotokkal
• Kapcsolódjatok újra a routerhez az új IP címén
(192.168.x.1)
• Ellenőrizzétek az Internet kapcsolatot

98
 DHCP Server
• A DHCP Server Setup varázsló létrehozott egy
új IP Pool-t és egy DHCP Server-t.

99
 DHCP Static Lease
• Lehetőség van rá hogy egy adott gépnek (MAC
cím alapján) mindig ugyanazt a címet ossza a
DHCP szerver.
• A DHCP szerver csak statikus címekkel is
működhet (IP pool nélkül).

100
DHCP Static Lease

101
 DHCP Static Lease
• Tegyétek statikussá a laptopotok lease
bejegyzését
• Módosítsátok a bejegyzést, hogy a laptop mindig a
192.168.x.123 címet kapja
• Kérjetek új címet a laptoppal
• Állítsátok a DHCP Address Pool-t static-onlyra
• Kérjétek meg a szomszédotokat hogy
csatlakoztassa a laptopját a ti routeretekhez
Kapott IP címet? 102
 ARP
• Address Resolution Protocol
• Az eszközök IP címét (L3) és MAC címét (L2)
rendeli össze
• Normál esetben automatikus folyamat, de
beállítható statikusan is, ha az adott helyzetben a
biztonsági követelmények ezt kívánják.

103
 ARP tábla
• Nyilvántartja, hogy milyen MAC címhez milyen IP
cím tartozik és hogy melyik interfészen érhető el.

104
 Statikus ARP
• A biztonság növelése érdekében ARP bejegyzések
kézzel is felvehetők.
• Az interfész beállítható reply-only módba (csak az
ARP táblában szereplő párosokra válaszol).
• A routerre csatlakozó kliensek más IP címet
beállítva nem tudnak a hálózaton kommunikálni.

105
Statikus ARP

106
 DHCP és ARP
• A DHCP szerver beállítható, hogy automatikusan
vegyen fel ARP bejegyzéseket.
• Statikus címbérlet és ARP reply-only módot
használva növelhetjük a hálózat biztonságát,
miközben a felhasználók kezelése egyszerű
marad.

107
DHCP és ARP

108
 Static ARP
• Állítsd a laptopod ARP bejegyzését statikusra a
routerben
• A bridge interfészt állítsd reply-only -ra
• Engedélyezd az „Add ARP For Leases” funkciót a
DHCP szerverben
• Távolítsd el az első pontban felvett statikus ARP
bejegyzést.
• Van internet?
109
 Static ARP
• Kérj címet a laptopoddal a DHCP szervertől
• Van internet?
• Csatlakozz a routerhez és nézd meg az ARP
táblát

110
Certified Network Associate
(MTCNA)

Modul 3
Bridging

111
 Bridge
• Bridge-ek OSI Layer 2 eszközök
• Hagyományosan két különböző (vagy hasonló)
technológiájú szegmens összekapcsolására
használták.

112
 Bridge
• A bridge-eket kisebb ütközési tartományok
létrehozására is használták.
• A cél az volt, hogy növeljék a teljesítményt az
alhálózat méretének csökkentésével. Főleg a
switchek megérkezése előtt volt jelentős
hasznuk.
• A switchek több portos bridge-ként működnek.
• Minden port EGY eszköz ütközési tartománya.
113
 Bridge
• Minden számítógép képes kommunikálni
egymással.
• Mindegyiknek várnia kell amíg egyikük sem küld
adatot, mielőtt elkezdhetne forgalmazni.
(1 ütközési tartomány)

LAN1
(ethernet hub)

114
 Bridge
• Továbbra is minden számitógép képes egymással
kommunikálni.
• De már a felére csökkent az ütközési tartomány
mérete.

LAN1 LAN2
(ethernet (ethernet
hub) hub)

115
 Bridge
• A RouterOS-ben a bridge szoftveresen van
megoldva.
• Ethernet, wireless, SFP és tunnel interfészek
adhatók egy bridgehez.
• Alapbeállításban a SOHO routereken a wireless
interfész az ether2-3-4-5 portokkal van egy
bridge-ben.
• Ethernet és SFP portokon alapértelmezésben a
HW-offload be van kapcsolva. (Switch Chip) 116
 Bridge
• HW-Offload kikapcsolt állapotában a CPU kezeli
a portok közti kommunikációt.
• Nagyobb befolyásunk van ilyenkor a forgalomra –
lehetőség van IP firewall használatára a bridge
portjai között.

117
 Wireless Bridge
• A 802.11 protokoll limitációi miatt wireless kliens
(mode: station) nem támogatja a bridgelést.
• A RouterOS több egyéb módot használ, hogy ezt
a korlátot leküzdjük.
• station bridge – RouterOS és RouterOS
• station pseudobridge – RouterOS és bármi
• station wds (Wireless Distribution System) –
RouterOS és RouterOS
118
 Wireless Bridge
• A station bridge használatához az AP-n be kell
kapcsolni a „Bridge Mode”-ot.

119
 Bridge
• Az ethernet és wireless interfészek összebridge-
elésével egy nagy hálózatot fogunk létrehozni.
• Minden laptop ugyanabban a hálózatban lesz.
• Készítsetek mentést a routerről előtte!

120
 Bridge
• A wireless módot állítsátok át station bridge-re

121
 Bridge
• Tiltsátok le a DHCP szervert

122
 Bridge
• Adjátok hozzá a wireless interfészt a bridge-hez

123
 Bridge
• Kérjetek új címet a laptopotokkal
• Az előadó routerétől kell címet kapnotok.
• Pingeljétek meg a szomszédotok laptopját (tűzfal)
• Állítsátok vissza a gyakorlat elején létrehozott
mentést

124
 Bridge Firewall
• RouterOS bridge interfészek támogatják a tűzfal
kezelését.
• Az a forgalom ami keresztülmegy a bridge-en,
feldolgozásra kerülhet a tűzfalban.
• Engedélyezéshez: Bridge → Settings → Use IP
Firewall.

125
Certified Network Associate
(MTCNA)

Modul 4
Routing

126
 Routing
• A routing az ISO OSI 3. rétegében végzett
művelet.
• A routing határozza meg, hogy a forgalom merre
kerül továbbításra.
• Különböző alhálózatok egymás közötti
kommunikációját teszi lehetővé.

127
 Routing
• Dst. Address: hálózat amit el szeretnénk érni.
• Gateway: A következő router IP címe amin
keresztül elérjük a kívánt tartományt.

128
Új Statikus Route

129
 Routing
• Check gateway – 10 másodpercenként ellenőrzi
az átjáró elérhetőségét. ICMP request (ping) vagy
ARP request formájában.
• Ha több route szabály ugyanazt az átjárót
használja, és valamelyiknél be van kapcsolva a
Check gateway opció, akkor az összes sor
működésére hatással van.

130
 Routing
• Ha egy címre több átjáró is vonatkozik, akkor a
szűkebb tartománnyal ellátott (precízebb) lesz
használatban.
• Dst: 192.168.90.0/24, gw: 10.10.10.10
• Dst: 192.168.90.128/25, gw: 10.11.12.13
• Ha egy csomag a 192.168.90.135 felé tart
akkor a 10.11.12.13 lesz használva

131
 Alapértelmezett Átjáró (def.gw)
• Alapértelmezett átjáró (Default gateway): az
összes ismeretlen hálózatba küldendő forgalom
ide fog menni.
• 0.0.0.0/0 a jelölése

132
 Alapértelmezett Átjáró
• Jelenleg az alapértelmezett átjáró a routerekben
automatikusan van konfigurálva a DHCP-kliens
által.
• Kapcsoljátok ki az „Add Default Route” opciót a
DHCP-kliensben.
• Van internet?

133
 Alapértelmezett Átjáró
• Adjátok hozzá manuálisan az alapértelmezett
átjárót (eloado-ap – 172.16.0.254)
• Van újra internet?

134
 Dinamikus Route-ok
• Route-ok DAC flagekkel automatikusan kerültek
hozzáadásra.
• DAC route-ok az IP cím beállításokból erednek.

135
 Route Flag-ek
• X – Disabled : Letiltott route. Nincs hatással a
routing döntésre.
• A – Active : Aktív route. Routing döntés
figyelembe véve.
• D – Dynamic : Dinamikusan létrejövő route.
• C – Connected : Az IP alhálózatok által létrejövő
route.
• S – Static : „Kézzel” létrehozott route.
136
 Statikus route-olás
• A cél hogy a szomszéd laptopját meg tudjátok
pingetni.
• Statikus route-okat fogunk használni ennek az
eléréséhez.
• Cseréljetek információt a szomszéddal:
• A wireless interfész IP címe
• Az alhálózat amit a belső hálózatán használ
(192.168.x.0/24)
137
 Statikus route-olás
• Adjatok hozzá egy új route szabályt
• Dst. Address: a szomszédod helyi hálózatata
(192.168.x.0/24)
• Gateway: A szomszédod wireless interfészének
címe
• Pingeljétek meg a szomszédotok laptopját (tűzfal)

138
 Statikus route-olás
• Álljatok 3-as csoportokba
• „A” router vegyen fel statikus route-ot „C” belső
hálózatára „B” routeren keresztül
• „B” router vegyen fel statikus route-ot „C” belső
hálózatára
• „A” laptop pingesse meg „C” laptopot

139
 Statikus route-olás
Készítsetek
„A” útvonalat A-tól C-ig,
B-n keresztül!

Előadó

Internet
„B”

„C”
140
 Statikus Route-olás
• Egyszerűen konfigurálható kis és nem nagyon
változó hálózaton.
• Alig igényel erőforrást. (memória, CPU)
• Nehezen skálázható.
• Kézi beállítás szükséges
minden esetben ha új
alhálózat kerül a
hálózatunkba.
141
 Route-olás Összefoglaló
• Nézzük az alábbi példát:

Internet
172.22.0.18/30

172.22.0.17/30
10.0.0.1/30
10.0.0.2/30
router-1 router-2

10.1.1.0/24 10.1.2.0/24

10.1.1.201/24 10.1.2.200/24
10.1.1.200/24
142
 Route-olás Összefoglaló
• Feladat:
Tegyük fel, hogy a IP címek megfelelően vannak
beállítva a routereken. Milyen route-okat kell
felvenni az egyes routereken, hogy mindkét
alhálózat teljes kommunikációja megvalósuljon?

143
Certified Network Associate
(MTCNA)

Modul 5
Wireless

144
 Wireless
• Kétirányú kommunikáció megvalósítása a
„levegőn” keresztül.
• Elektromágneses hullámok.
• Frekvenciák: 2.4GHz, 5GHz, 24GHz, 11GHz, 18…
• A RouterOS teljes mértékben támogatja az IEEE
802.11a/n/ac (5GHz) és 802.11b/g/n (2.4GHz)
szabványokat

145
 Wireless Szabványok

IEEE Szabvány Frekvencia Sebesség

802.11a 5 GHz 54 Mbps
802.11b 2.4 GHz 11 Mbps
801.11g 2.4 GHz 54 Mbps
802.11n 2.4 és 5 GHz Akár 450 Mbps*
802.11ac 5 GHz Akár 1300 Mbps*

* RouterBOARD modell függő

146
 2.4 Ghz

• 13 x 22 MHz széles csatorna, de csak 3 ami nem

átfedő (1, 6, 11).
• Csatornaszélességek:
b – 22 MHz
g – 20 MHz
n – 20/40 MHz
147
 5 Ghz

• Több csatorna, nincsenek átfedésben.

• Csatornaszélességek:
a – 20MHz
n – 20/40 MHz
ac – 20/40/80/160 MHz
148
 802.11 n
• 2.4 GHz és 5 GHz, 20 vagy 40 MHz csatornák.
• MIMO, maximum 4 stream

149
 802.11 ac
• 5 GHz, 20/40/80/160 csatornák
• 8 stream
• Beamforming, MUMIMO

150
 MIMO – HT chain
• Az interfész által használt streamek.
• Antenna kimenetek.
• 802.11n-ben és 802.11ac-ban használható.
• Befolyásolják a sávszélességet.

151
 Országok Szabályozásai
• Váltsatok „Advanced Mode”-ra és válasszátok ki
Magyarországot

152
 Országok Szabályozásai

• Dynamic Frequency Selection (DFS – Dinamikus

frekvencia választás.
• Indulás után 60mp-ig csak hallgat az AP.
• Radar észlelése esetén csatornát kell váltani.
• 5GHz-en bizonyos csatornák csak DFS-el
használhatók.

153
 Radio Name

• Wireless interfész „neve”.

• RouterOS és RouterOS között csak.
• Wireless táblázatokban látható.

154
 Radio Name

• Állitsátok be a wireless interfészen a Radio Name

mezőt:
• „sorszám”_”név”
• Pl: 14_MintaAladár

155
 Tx Power

• A wireless kártya (interfész) kimenő

teljesítményét tudjuk állítani.
• Vegyük figyelembe a helyi szabályozást
(Frequency mode + Country) !

156
 Tx Power

Wireless Engedélyezett teljesítmény / chain Teljes teljesítmény

kártya chain
1 Beállított Tx Power
802.11n 2 Beállított Tx Power +3dBm
3 +5dBm
1 Beállított Tx Power
802.11ac Beállított Tx Power
2 -3dBm
3 -5dBm

157
 Vételi Érzékenység
• Rx Sensitivity
• Az a legalacsonyabb jelerősség ahol még képes
detektálni a jelet.
• Alacsonyabb érték esetén, gyengébb jelszint is
elégséges.
• Az eszközök adatlapján szereplő érték.
• Modulációfüggő!

158
Vezeték Nélküli Hálózat

159
 Wireless Station
• Wireless station a hálózatok kliense (laptop,
telefon, router)
• RouterOS-ben a wireless mode: station

160
 Wireless Station
• Mode = station
• Band
• SSID
• Frequency mezőt
nem szükséges
kitölteni klienshez.
scan-list

161
 Biztonság
• Csak WPA (WiFi Protected Access) vagy WPA2
használata ajánlott.
• WPA-PSK vagy WPA2-PSK.

162
 Biztonság
• WPA-Personal (WiFi Protected Access)
• Másnéven WPA-PSK, kis irodai és otthoni
felhasználásra.
• Nem szükséges authentikációs szerver.
• A kliens-AP authentikáció 256 bites kulcson
alapul, amit az előre megosztott kulcsból (PSK)
generálnak.
• AES-CCM titkosítás.
163
 Biztonság
• WPA-Enterprise
• Másnéven WPA-802.1X, vállalati hálózatokhoz.
• EAP authentikációt használ.
• RADIUS szerver szükséges.
• Bonyolultabb beállítás, de plusz funkciók
érhetők el a RADIUSnak köszönhetően.

164
 Biztonság
• WPA és WPA2
egyszerre is
beállítható.
• Mindig használjunk
kellően erős
jelszót!

165
 Connect List
• Connect list (station módban)
Jelerősség, MAC cím,
biztonsági beállítások, stb.
alapján priorizálni lehet,
hogy a kliens melyik
AP-hoz csatlakozhat.
• A szabályok feldolgozása
sorrendben történik.
• Csak az első egyező szabály kerül alkalmazásra.
166
 Connect List
• Ha a „Default Authenticate” opció be van
kapcsolva, és egyik szabály sem illeszkedik, akkor
a kliens a legjobb jelszintű AP-hoz próbál
csatlakozni. Amennyiben ki van kapcsolva, akkor
nem csatlakozik semmihez.

167
 Connect List
• Jelenleg a routered csatlakozik az Előadó AP-hoz.
• Hozz létre egy szabályt, hogy tiltva legyen ez a
csatlakozás.

168
 Access Point
• Mode = ap-bridge
• Band
• Frequency
• SSID
• Security Profile

169
 WPS
• WiFi Protected Setup
• Kényelmes WiFi hozzáférés, jelszó megadása
nélkül.
• A RouterOS támogatja a WPS accept (AP) és
WPS client (station) módokat.

170
 WPS Accept
• A WPS accept gomb használatával egyszerűen
engedélyezhető a vendég hozzáférés a
vezetéknélküli hálózathoz.
• A gomb megnyomása után 2 percig engedélyezett
a csatlakozás az AP-hoz.
• Minden új eszköz csatlakozásakor meg kell
nyomni a gombot.

171
 WPS Accept
• Eszközönként csak egyszer kell elvégezni.
• Minden RouterOS eszköz rendelkezik
virtuális WPS gombbal, néhány pedig
fizikaival is.
• A gombot le lehet tiltani.
• RouterOS nem támogatja a WPS-PIN
módon történő csatlakozást.

172
 Access Point
• Készíts egy új security profile-t, amit az AP-n
használtok majd.
• A wireless interfészt állítsd ap bridge módba, az
SSID-t pedig állítsd be XY_TeNeved-re, válaszd
ki a fent létrehozott security profile-t.
• Kapcsold ki a DHCP klienst a wireless
interfészen.

173
 Access Point
• Add hozzá a wireless interfészt a bridge-hez.
• Húzz ki az ethernet kábelt a laptopodból.
• Csatlakozz a routerhez vezeték nélkül.
• Lépje be WinBox-al a routerbe, és nézd meg a
regisztrációs táblát.
• Ha kész vagy, állíts vissza mindent az előző
beállításra.

174
 Snooper
• A segítségével áttekintést kapunk a
környezetünkben lévő wireless hálózatokról.
• Használata közben a wireless interfész
lecsatlakozik.
• Használható a megfelelő csatorna kiválasztásához.

175
Snooper

176
 Registration Table
• Megtekinthető minden vezeték nélküli kapcsolat.
• AP esetén minden felcsatlakozott kliens.
• Station esetén az AP amihez kapcsolódva van.

177
 Access List
• MAC cím szűrés és kliens
kapcsolatok korlátozása AP
oldalon.
• AP oldalon fel kell venni egy
bejegyzést az Access Listbe.
A Registration fülön lévő
bejegyzés átmásolható
(Copy to Access list), vagy
kézzel felvihető.
178
 Access List
• A korlátozás mellett a
kapcsolat paramétereinek
beállítása is lehetséges.
• A szabályok sorrendben
kerülnek értékelésre
• Csak az első egyezés lesz
érvényes
• Ha a „Default Authenticate” opció ki van
kapcsolva, és nincs egyezés, akkor a kapcsolat
elutasításra kerül. 179
 Default Authenticate

Default Authenticate Access / Connect Működés

List Bejegyzés

+ Access / Connect List szerint

 - Csatlakozás

+ Access / Connect List szerint

 - Nincs csatlakozás

180
 Default Forward
• A kliensek közti kommuni-
kációt engedélyezhetjük
vagy tilthatjuk.
• Alapértelmezésben be van
kapcsolva.
• A beállítás felülbírálható
kliensenként az Access List-
ben.

181
Certified Network Associate
(MTCNA)

Modul 6
Tűzfal

182
 Tűzfal
• Hálózatbiztonsági rendszer, sorompóként
működik két vagy több hálózat között.
• Szabályokkal működik, melyek ellenörzése
sorrendben történik, az első találatig.
• A RouterOS tűzfal szabályok a Filter és NAT
szekciókban vannak.
• Filter: csomagszűrés
• NAT: Network Address Translation -
címfordítások 183
 Tűzfal szabályok
• If-Then elven működnek.
• A szabályok chain-ekbe vannak rendezve.
• Vannak előre definiált chain-ek
• Lehetőség van saját chain létrehozására.

184
 Tűzfal Filter
• 3 alapértelmezett chain van:
• Input (a routernek jövő forgalom)
• Output (a routerről kimenő forgalom)
• Forward (a routeren átmenő forgalom)

input output
Internet

forward
185
 Filter Action
• Minden szabályhoz tartozik egy action –
megmondja mi történjen az egyező csomagokkal.
• accept – elfogadja a csomagot, nem történik
további vizsgálat.
• drop vagy reject – a csomag eldobásra kerül,
nem történik további vizsgálat
• jump / return – átugrás / visszatérés felhasználó
által definiált chain-be.
186
Filter Action

187
 Filter Chain

• TIP: az olvashatóság könnyítése érdekében,

rendezzétek chainekbe és lássátok el
megjegyzéssel a szabályokat. 188
 Chain: input
• Magát a routert védi.
• Mind az internet, mind a belső hálózat felöl.

input input
Internet

189
 Chain: input
• Üritsd ki a Filter listát (ha nem üres)
• Vegyél fel egy accept szabályt az input chain-be,
a laptopod IP címével
(src-address = 192.168.x.123)
• Adj hozzá egy drop szabályt a bridge interfészre
minden más csomagra.

190
Chain: input

191
 Chain: input
• Állíts be a laptopnak statikus IP címet:
192.168.x.199, DNS és Átjáró: 192.168.x.1
• Zárd be a WinBox-ot
• Próbálj visszacsatlakozni a routerhez
• Próbálj csatlakozni az internethez

192
 Chain: input
• Az internet felé tartó forgalmat a forward chain
szabályozza, de weboldalak mégsem töltődnek be.
• Miért?

193
 Chain: input
• A laptop a routert használja DNS feloldásra.
• Csatlakozz MAC WinBox-al a routerhez.
• Adj hozzá egy accept input szabályt a bridge-
re, ami engedi a DNS kéréseket (port: 53/udp),
és helyezd el a drop szabály előtt
• Próbálj csatlakozni az internethez

194
 Chain: input
• Állítsd vissza a laptopodat dinamikus IP kérésre
(DHCP)
• Csatlakozz a routerhez
• Töröld ki az imént hozzáadott szabályokat

195
 Chain: forward
• A routeren áthaladó forgalmat kezeli.
• A klienseink és az internet közti, illetve a kliensek
közti forgalmat szabályozhatjuk vele.

Internet

forward
196
 Chain: forward
• Alapértelmezésben a belső forgalom a kliensek
között engedélyezve van.
• A kliensek és az internet közti sincs tiltva.

197
 Chain: forward
• Adj hozzá drop forward szabályt a filterhez
mely tiltja a http (80/tcp) forgalmat.
• Portok hozzáadásánál a protokolt is ki kell
választani.

198
 Chain: forward
• Próbáld megnyitni a www.mikrotik.com oldalt
• Próbáld megnyitni a routered WebFig felületét
http://192.168.x.1
• Mi okozza a tapasztaltakat?

199
Gyakran Használt Portok

Port Szolgáltatás
80 / tcp HTTP
443 / tcp HTTPS
22 / tcp SSH
23 / tcp Telnet
20,21 / tcp FTP
8291 / tcp WinBox
5678 / udp MikroTik Neighbor Discovery
20561 / udp MAC WinBox

200
 Address List
• Az address list, IP címek listája
• Filter szabályok egyszerűsítésére használhatóak:
-100 IP cím blokkolására létrehozhatunk 100
filter szabályt, vagy egy listát melynek 100 eleme
van, és a szabály erre a listára hivatkozik.
• A listák tartalmazhatnak:
- Speciális jogokkal rendelkező admin címeket
- Támadókat
- Bármit amire csak szükségünk van
201
 Address List
• Kézzel és automatikusan (add src/dst to address
list action) is felvehetők IP címek a listákra.
• Véglegesen vagy akár csak bizonyos időtartamra
is felkerülhetnek a listákra.
• IP címet, IP tartományt, vagy akár egész
alhálózatot is felvehetünk a listákra.

202
Address List

203
 Address List
• A General fülön egyesével történő hozzáadás
helyett, az Advanced fülön kiválaszthatjuk a
szabályhoz szükséges listát (src vagy dst).

204
 Address List
• Firewall action segítségével automatikusan
adhatunk IP címeket a listákhoz.
• Véglegesen, vagy csak egy időre.

205
 Address List
• Hozz létre egy address list-et, engedélyező IP
címekkel, figyelj rá hogy a laptopod címe rajta
legyen
• Adj hozzá accept input filter szabályt a bridge
interfészre, a WinBox portjára a fenti address
listtel
• Hozz létre egy drop input szabályt a WinBox
portjára

206
 Tűzfal Logolás
• Régebbi verziókban log actionre volt szükség.
• Most már minden szabály logolható is.
• Amennyiben egy csomagra alkalmazva van az
adott szabály, akkor keletkezik egy log bejegyzés a
megadott előtaggal.
• Hibakeresésnél hasznos, de óvatosan kell bánni a
használatával. (Memória vagy Tárterület igényes,
írási ciklusok).
207
Tűzfal Logolás

208
 Tűzfal Logolás
• Kapcsold be a logolást az előző gyakorlatban
(address-list) létrehozott DROP szabályon
• Változtasd meg a laptopod IP címét
• Próbálj visszacsatlakozni WinBox-al
• Változtasd vissza az IP címed
• Csatlakozz a routerhez, és nézd meg a log
bejegyzéseket

209
 NAT
• Network Address Translation: az IP csomag
forrás-, vagy célcímének módosítása.
• Két típusa van a „source NAT” és a „destination
NAT”.
• Általános használata a belső hálózat privát IP
címeinek átfordítása a router publikus IP-jére
(src-nat)
• Másik általános használata a belső hálózaton lévő
szerverhez való hozzáférés biztosítása az Internet
felől (dst-nat) 210
 NAT

Forrás cím Új forrás cím

SRC-NAT
Privát hoszt
Publikus szerver

211
 NAT

Új cél cím
Cél cím

DST-NAT
Internet
Szerver a
privát hálózaton

Publikus hoszt

212
 NAT
• A tűzfal srcnat és dstnat chainjét használjuk a
NAT funkciók megvalósítására.
• Ugyanúgy, ahogy a Filter szabályok, a NAT
szabályok is If-Then alapon működnek
• A szabályok sorrendben kerülnek kiértékelésre,
az első illeszkedő lép életbe.

213
 Dst NAT

Új cél cím
Cél cím
192.168.1.2:80
159.148.147.196:80

DST-NAT
Internet
Web szerver
192.168.1.2

Publikus hoszt

214
Dst NAT

215
 Redirect
• A dst-nat speciális esete.
• Ez az action átirányítja a csomagot magára a
routerre.
• Transzparens proxy létrehozására használható.
(pl.: DNS, HTTP)

216
 Redirect

Cél cím
Beállított DNS szerver:53

Új cél cím

Redirect
Router:53

DNS Cache

217
 Redirect
• Hozz létre egy dstnat redirect szabályt amivel
minden http forgalmat (tcp/80) átirányít a
routerre
• Próbáld meg megnyitni a www.accesspoint.hu
weboldalt
• Próbáld megnyitni a www.mikrotik.com oldalt
• Tiltsd le a szabályt ha készen vagy

218
 Src NAT

Forrás cím Új forrás cím

192.168.199.200 A router publikus címe

192.168.199.200 Masquerade Publikus szerver

219
 Src NAT
• A masquerade kicseréli a csomagok forrás IP
címét a routing által meghatározott címre.
• Tipikusan az internet felé menő csomagok forrás IP címét
kicseréli a WAN interfész címére. Ez ahhoz szükséges hogy a
visszajövő csomagok visszataláljanak.

• A src-nat action kicseréli a csomagok forrás IP

címét a meghatározott címre.
• Több publikus IP cím esetén eldönthető, hogy melyik fajta
forgalom, melyik forrás címmel hagyja el a routert.

220
 NAT Helper
• Néhány protokollnak úgynevezett NAT Helperre
van szüksége a helyes működéshez NAT-olt
hálózaton.

221
 Connection Tracking
• Információt tart nyilván minden aktív
kapcsolatról.

222
 Connection Tracking
• Ha letiltjuk a connection tracking-et, akkor az
alábbi funkciók nem fognak működni:
• NAT
• Tűzfal
• connection-bytes connection-mark
• connection-type connection-state
• connection-limit connection-rate
• Layer7-protocol p2p
• new-connection-mark tarpit

• p2p szűrés a simple queue-kban

223
 Connection Tracking Állapotai
• New – a csomag egy új kapcsolatot nyit, a
kapcsolat első csomagja
• Established – a csomag egy ismert kapcsolathoz
tartozik
• Related – a csomag egy új kapcsolatot nyit, de
kapcsolódik egy meglévő ismert kapcsolathoz
• Invalid – a csomag nem tartozik egyik ismert
kapcsoalthoz sem
224
Connection Tracking Állapotai

Invalid Established
New Related
225
 Connection Tracking Állapotai
• Erőforrást tudunk spórolni ha pár szabályt a
tűzfalunk elejére teszünk:
• Dobjunk el minden INVALID csomagot
• Fogadjunk el minden ESTABLISHED és
RELATED csomagot
• Így csak a NEW állapotú csomagokat fogjuk
vizsgálni.

226
 FastTrack
• Egy módszer a routeren átmenő folyamok
gyorsítására.
• Established és Related forgalmak jelölhetők meg
FastTrackre.
• Ezek a csomagok kikerülik a tűzfalat, a connection
trackinget, a queue-kat és az IPSec-et.
• Jelenleg csak TCP és UDP protokollok
támogatottak.
227
 FastTrack
FT nélkül FT-vel
360Mbps 890Mbps
Total CPU: 100% Total CPU: 86%
44% CPU a tűzfal processen 6% CPU a tűzfal processen
* RB2011-en tesztelve, 1 TCP stream-el.

• További információk a Wiki oldalon.

228
Certified Network Associate
(MTCNA)

Modul 7
QoS

229
 Quality of Service
• QoS a rendelkezésre álló sávszélesség ésszerű
elosztása, nem egyszerűen az egyes eszközök
sávszélességének korlátozása.
• A QoS képes priorizálni a forgalmat. Előnyben
részesíthetők pl.:
• Kritikus alkalmazások
• Érzékeny forgalom, mint a hang vagy a videó

230
 Sebesség Korlátozás
• A befelé jövő forgalmat közvetlenül kezelni nem
tudjuk.
• De lehetőség van indirekt módon kezelni,
csomagok eldobásával.
• A TCP alkalmazkodik a kapcsolat sebességéhez.

231
 Simple Queue
• A simple queue a sávszélesség korlátozásának
egyszerű módja. Tudjuk vele korlátozni a:
• Kliens(ek) letöltési sebességét
• Kliens(ek) feltöltési sebességét
• Kliens(ek) aggregált forgalmát

232
 Simple Queue

Kliens meghatározása

Max Limit beállítása

a kliensnek

233
 Target
• A target paraméter jelöli, hogy mire kell
alkalmazni az adott simple queue-t.
• A targetet kötelező megadni. Lehet pl. :
• IP cím
• Alhálózat
• Interfész
• A queuek sorrendje fontos. A csomagok minden
szabályon végigmennek, amíg egyezés nincs. 234
 Destination
• A „target” forgalmának cél IP címei, vagy
• Az interfész amin keresztül a „target” forgalma
kimegy.
• Nem kötelező megadni.
• A queue hatályának szűkítésére használható.

235
 Simple Queue
• Állíts be a laptopodra sebesség korlátot
(192.168.x.123)
• A feltöltési sebességet 128k, a letöltési
sebességet 256k értékre korlátozd
• Nyisd meg a www.mikrotik.com/download oldalt
és töltsd le a legfrissebb RouterOS verziót
• A WinBoxban figyeld meg a letöltés sebességét

236
 Garantált Sávszélesség
• Van lehetőség egy minimum sávszélesség
beállítására, amit a kliens mindig megkap.
• A maradék elérhető sávszélesség kerül elosztásra
„first-come-first-served” alapon.
• Beállítása a Limit-at paraméterrel lehetséges.

237
Garantált Sávszélesség

238
 Garantált Sávszélesség
• Nézzünk egy példát:
• Teljes sávszélesség: 10Mbps
• 3 kliens, mindegyik garantált sávszélességgel
• A maradék elérhető sebesség elosztva a
kliensek között

239
Garantált Sávszélesség

Garantált Pillanatnyi
sebesség sebesség

240
 Burst
• A Burst megengedi a felhasználóknak hogy egy
rövid időre nagyobb sávszélességet kapjanak, mint
amit a „max-limit” megenged.
• Olyan forgalom gyorsítására használható, ami
nem folyamatos sávszélességet igényel, pl.: HTTP.
• A folyamatos letöltésnél a „max-limit” érték lesz
érvényes.

241
Burst

242
 Burst
• Burst limit – maximális le/feltöltési sebesség ami
elérhető a burst alatt.
• Burst time – idő (mp), ami alatt az átlagos
sebességet számolja a routert (NEM a burst
ideje).
• Burst threshold – Ha az átlagos sebesség átlépi
ezt a sebességet (mindkét irányból), akkor
kapcsolja a router a burst-öt ki vagy be.

243
Burst

244
 Burst
• A korábban létrehozott queue szabályt
módosítsd a következők szerint:
• burst-limit=4M (Le-, és feltöltésnél)
• burst-threshold=2M (Le-, és feltöltésnél)
• burst-time=16 (Le-, és feltöltésnél)

245
 Burst
• Nyisd meg a www.mikrotik.com oldalt. A
weboldal gyorsan fog betöltődni
• Töltsd le a legfrissebb RouterOS-t, és figyeld meg
a sebességet.
• A letöltés sebességét pl. a torch eszközzel tudod
ellenőrizni

246
 Per Connection Queuing
• Queue típus – alkalmazható simple queue-ban.
• A PCQ több felhasználó forgalmának korlátozása
dinamikusan, egy egyszerű beállítással.
• A paraméterek beállítása után a PCQ algoritmus
felosztja a forgalmat sub-streamekre és
mindegyikre ugyanazt a szabályt akalmazza.

247
 Per Connection Queuing
• A pcq-rate határozza meg a queue típus
megengedett adatsebességét
• A classifier határozza meg, hogy mi alapján
kerüljenek alkalmazásra a korlátozások.
Történhet forrás IP cím, cél IP cím, forrás port,
vagy cél port szerint. Ennek segítségével
korlátozni tudjuk egyes felhasználók, vagy
alkalmazások (HTTP) forgalmát.

248
 PCQ Példa
• A cél hogy minden kliens sávszélessége 1Mbps
letöltési és 1Mbps feltöltési sebességre legyen
korlátozva.
• Készíteni kell 2 új queue típust:
• Egyet Dst Address-re (letöltés)
• Egyet Src Address-re (feltöltés)
• A LAN és WAN interfészekre queue-t kell
felvenni.
249
PCQ Példa

250
PCQ Példa

251
PCQ Példa II.

252
PCQ Példa III.

253
Certified Network Associate
(MTCNA)

Modul 8
Tunnelek

254
 Point-to-Point Protocol
• Point-to-Point Protocol (PPP) segítségével tunnelt
(közvetlen kapcsolatot) hozhatunk létre két
végpont között.
• PPP tartalmazhat kapcsolódási hitelesítést
(authentication), titkosítást (encryption), és
tömörítést (compression).
• A RouterOS sok PPP tunnel típust támogat, pl:
PPPoE, SSTP, PPTP, stb.

255
 PPPoE
• A Point-to-Point Protocol over Ethernet egy
layer 2 protokoll, melyek leggyakrabban a
hálózathoz való hozzáféréshez használnak.
• Támogat hitelesítést, titkosítást, tömörítést.
• Tipikusan a PPPoE használható arra, hogy
klienseinknek IP címet osszunk ki.

256
 PPPoE
• A legtöbb asztali operációs rendszer rendelkezik
beépített PPPoE kliensel.
• A RouterOS-ben a PPPoE kliens és szerver
(access concentrator) is megtalálható.

257
PPPoE

258
 PPPoE
• Ha több PPPoE szerver található ugyanabban a
broadcast domainben, akkor a service name
paraméterrel állíthatjuk, hogy melyikhez
szeretnénk csatlakozni.
• Ellenkező esetben a kliens ahhoz próbál
csatlakozni amelyik először válaszol.

259
 PPPoE
• Az Előadó AP-n készül egy PPPoE szerver.
• Tiltsd le a routeredben a DHCP klienst
• Állits be PPPoE csatlakozást a routeredben az
Előadó AP felé
• Felhasználónév: mtcna
• Jelszó: mtcna
• Ellenőrizd a PPPoE kliens státuszát
260
 PPPoE
• Ellenőrizd az internetkapcsolatot
• Tíltsd le a PPPoE kliens interfészt
• Engedélyezd a korábban tiltott DHCP klienst

261
 IP Pool
• IP címet tartományát tartalmazza, melyekből a
router oszthat a különféle szolgáltatások
használatakor.
• Nem csak a DHCP, hanem a PPP és a HotSpot is
használja.
• A szabad címek kiválasztása a poolból
automatikusan történik.

262
IP Pool

263
 PPP Profile
• A PPP Profilok határoznak meg szabályokat,
melyeket a PPP szerver érvényesít a klienseire.
• Jó módszer ha ugyanazt a beállítást kell
alkalmaznunk több kliensre.

264
PPP Profile

265
 PPP Secret
• Helyi PPP felhasználó adatbázis
• Felhasználónév, jelszó és egyéb felhasználó
specifikus beálltásokra szolgál.
• Amit itt nem állítunk be, az az aktuális profilból
kerül alkalmazásra.
• Ha egy paraméter a profilban is és a secretben is
definiálva van, akkor a secretben lévő lesz
érvényes.
266
PPP Secret

267
 PPPoE Szerver
• PPPoE szerver egy interfészen fut.
• Nem lehet olyan interfészen, ami bridge tagja.
• Vagy ki kell venni az interfészt a bridgeből, vagy a
bridgere kell konfigurálni a PPPoE szervert.
• Biztonsági okokból nem javasolt a PPPoE szerver
interfészének IP címet adni.

268
PPPoE Szerver

269
 PPP Státusz
• Információ a pillanatnyilag aktív PPP
felhasználókról.

270
 Point-to-Point címzés
• PPP kapcsolat felépítésekor a szerver és kliens
/32 IP címeket vesznek fel.
• A network address ilyenkor a tunnel másik végén
található IP cím.

271
 Point-to-Point címzés
• Az alhálózati maszk nem releváns PPP címzésnél.
• PPP címzés használatakor 2 IP címet
megspórolunk.
• Ha a PPP címzést az ellenoldali eszköz nem
támogatja, akkor /30-as címzést kell használni.

272
 PPPoE Szerver
• A router egyik, nem használt (pl. eth5)
interfészére fogunk PPPoE szervert beállítani.
• Vedd ki az eth5-öt a bridge-ből
• Ellenőrizd hogy nincs-e IP címe

273
 PPPoE Szerver
• Hozd létre a következőket: IP Pool, PPP profile
és PPP secret melyek a PPPoE szerverhez
szükségesek
• Hozd létre a PPPoE szervert
• Állíts be a laptopodon PPPoE klienst
• Kábelen csatlakoztasd a laptopodat a router
PPPoE portjához

274
 PPPoE Szerver
• Csatlakozz a PPPoE szerverhez
• Ellenőrizd az internetkapcsolatot
• Csatlakozz a routerhez IP vagy MAC WinBox
segítségével, és ellenőrizd a PPP státuszt
• Bontsd le a PPPoE kapcsolatot, és a laptopoddal
csatlakozz a korábban használt porthoz a
routeren

275
 PPTP
• Point-to-Point Tunneling Prototol (PPTP) egy
titkosított csatornát hoz létre IP felett.
• Helyi hálózatok biztonságos összekötésére
használható az Interneten keresztül.
• A RouterOS tartalmazza a PPTP klienst és a
PPTP szervert is.

276
 PPTP
• TCP 1723-as portot használ és 47-es IP protocolt
(GRE – Generic Routing Encapsulation).
• NAT helperre van szükség ha NATolt hálózat
mögött használjuk.

277
PPTP Tunnel
Internet

Tunnel

278
PPTP Kliens

279
 PPTP Kliens
• Az Add default Route bekapcsolásával minden
forgalom a PPTP csatornába terelhető.
• Statikus route-ok használatával irányíthatunk
forgalmat a csatornába.
• FIGYELEM! A PPTP már nem számít elég
biztonságosnak.
• Helyette ajánlott az SSTP, OpenVPN vagy IPSec.

280
 PPTP Szerver
• A QuickSet ablakban bekapcsolható a VPN
Access pont alatt.

281
 SSTP
• A Secure Socket Tunneling Protocol (SSTP)
titkosított csatornát hoz létre IP felett.
• TCP 443-as portot használ (HTTPS)
• RouterOS támogatja az SSTP szervert és a
klienst is.
• SSTP kliens Windows Vista SP1 illetve későbbi
rendszerekben megtalálható.
• Nyilt forráskódú kliens és szerver változatok
léteznek Linux rendszerekre. 282
SSTP Kliens

283
 SSTP Kliens
• Az Add default Route bekapcsolásával minden
forgalom a SSTP csatornába terelhető.
• Statikus route-ok használatával irányíthatunk
forgalmat a csatornába.
• Két RouterOS eszköz között nem szükséges SSL
certificate
• Ha Windows-al szeretnénk csatlakozni akkor
érvényes certificate szükséges hozzá.
284
 PPTP/SSTP
• Dolgozzatok párokban
• Az egyik routeren hozzatok létre PPTP és SSTP
szervert – a másikon PPTP és SSTP klienseket
• Használjátok a korábban létrehozott IP poolt, PPP
profilet és PPP secretet a szerverhez
• A kliensel csatlakozzatok a szerverhez

285
 PPTP/SSTP
• Ellenőrizzétek a tűzfal szabályokat
• PPTP – TCP 1723 – GRE
• SSTP – TCP 443
• Pingessétek meg a szomszéd laptopját
• Miért nem válaszol?

286
 PPTP/SSTP
• Vegyetek fel statikus routeokat a szomszéd
hálózatába, állítsátok a PPP kliens interfészt
átjárónak
• Pingessétek a szomszéd laptopját

287
 PPP
• A részletesebb információt a PPPoE, PPTP, SSTP
és egyéb tunnelekről, szerver és kliens
megoldásokról az MTCRE és az MTCINE
tanfolyamok tartalmaznak.

288
Certified Network Associate
(MTCNA)

Modul 9
Egyéb

289
 RouterOS Eszközök
• A RouterOS
különböző
alkalmazásokat,
eszközöket tartalmaz,
amelyekkel a router
menedzselését és
monitorozását
hatékonyabbá tehetjük,
valamint segítenek a
hibakeresésben.
290
 E-mail
• E-maileket küldhetünk
a routerből.
• Például konfiguráció
mentést.

291
 Netwatch
• Egy hoszt
elérhetőségét vizsgálja.
• ICMP echo request
(PING) elküldésével.
• Egy scriptet
futtathatunk ha
elérhetetlenné vagy
elérhetővé válik.

292
 Ping
• Hoszt elérhetőségét
vizsgálhatjuk. (ICMP)
• Round trip time
ellenőrzése.
• Lehetőség van forrás
interfész vagy IP cím
megadására.

293
 Traceroute
• Hálózatdiagnosztik
ai eszköz amivel
ellenőrizhetjük a
csomag útvonalát
a cél felé.
• ICMP vagy UDP
protokoll.

294
 Profile
• Megmutatja a
RouterOS futó
folyamatainak a CPU
használatát.

295
 Interfész Forgalmi Adatok
• Valós idejű forgalmi
adatok.
• Minden interfész
adatai megtekinthető
az interfész ablak
Traffic fülén.

296
 Torch
• Valós idejű forgalom analízis.
• Megnézhetjük az interfészen keresztülhaladó
csomagokat.
• Szűrhetünk IP protokoll, forrás/cél cím, portszám,
stb. szerint.

297
Torch

298
 Grafikonok
• A RouterOS tudja gyűjteni az interfészeken vagy
queue-kon áthaladó forgalmi statisztikákat.
• CPU, memória és disk használatot.
• Minden adatnak 4 grafikonja tárolódik:
• Napi, heti, havi, éves

299
Grafikonok

300
 Grafikonok
• http://router_ip/graphs

301
Grafikonok

302
 Grafikonok
• Engedélyezzétek az interface, queue és resource
grafikonokat
• Töltsetek le egy nagyobb file-t az internetről
• Nézzétek meg a grafikonokat

303
 SNMP
• Simple Network Management Protocol.
• Hálózati eszközök monitorozására és
menedzselésére használt általános protokoll.
• A RouterOS támogatja az SNMP v1, v2 és v3
verziókat.
• SNMP írási lehetőségek csak néhány beállításra
használhatók.

304
SNMP

305
 The Dude
• MikroTik által fejlesztett alkalmazás ami nagyban
segíti nagyobb hálózatok karbantartását.
• Automatikus felderítés és térképes megjelenítés.
• Szolgáltatások monitorozása és riasztások
küldése.
• Ingyenes!

306
 The Dude
• SNMP, ICMP, DNS és TCP alaú monitorozás
támogatása.
• Szerver – Kliens rendszer,
• A szerver oldal RouterOS alatt fut (CCR,CHR
vagy x86)
• Kliens program Windows alatt (Linux és OS X
alatt Wine segítségével.)

307
The Dude

308
The Dude

309
 Support Output File
• Ha segítséget szeretnénk kérni ismerősünktől
vagy a MikroTik Supporttól, akkor
legenerálhatunk egy support output filet.
• Ennek elküldésével hozzáférés megadása nélkül
egyszerűen átadható minden információ.

310
 Support Output File
• Hardware hiba esetén automatikusan is
generálódik egy autosupout-rif.
• Watchdog folyamat inditja.
• A support output file minden információt
tartalmaz a rendszer aktuális állapotáról
(konfiguráció, statisztikai adatok, logok, stb).
• Mi is megnyithatjuk:
https://mikrotik.com/client/supout
311
 Log
• Alapbeállítás esetén a
RouterOS loggol
bizonyos eseményeket.
• Ezek a memóriában
tárolódnak.
• Lehetőség van ezeket
diszkre menteni,
• Vagy távoli syslog
szerverre küldeni 312
 Log
• Részletesebb loggolást
is beállíthatunk új
szabály felvételével.
• A topikok ÉS
kapcsolatban vannak!

313
Köszönöm a figyelmet,
Sok sikert a vizsgához!

314