MTCNA Mdbrasil Original

mdbrasil - todos direitos reservados
APOSTILA MTCNA verso 1

MDBRASIL - TI & Telecom
Consultoria, Treinamentos e Integrao de Equipamentos
www.mdbrasil.com.br / www.mikrotikbrasil.com.br
OBS: Esta a apostila original dos primeiros treinamentos em Mikrotik RouterOS

promovidos pela MD Brasil que, no perodo de 2006 a 2012, formou mais de 2.500
profissionais.
Solicitamos aos portadores do presente arquivo que leiam atentamente as informaes
acerca de direitos autorais e das notas sobre a apostila contidas nas primeiras pginas.
1
Direitos Autorais
Este material est destinado ao uso e estudo pessoal de seus portadores, no

podendo ser utilizado em treinamentos comerciais, mesmo que gratuitos,
apresentaes pblicas ou, em qualquer outra forma que no para o uso em
estudos privados.
A reproduo total ou parcial dos textos e ou figuras e tabelas aqui presentes, est
expressamente proibida, podendo somente ser feita com a autorizao por escrito
da empresa MD Brasil Tecnologia da Informao Ltda.
Contatos com a empresa podem ser feitos pelo e-mail: apostila@mdbrasil.com.br
Notas sobre a apostila

A presente apostila foi criada inicialmente em 2006 para servir de base para os
treinamentos em Mikrotik ministrados pela MD Brasil. Ao longo do tempo ela veio
sendo modificada recebendo correes, incluses e excluses e foi utilizada para o
treinamento de mais de 2500 alunos.
Diversas cpias no autorizadas do presente material so encontradas na Internet,
sendo inclusive algumas utilizadas em outros treinamentos, at mesmo de carter
oficial. Materiais de treinamento em Mikrotik RouterOS que estejam sendo
utilizados por outra empresa e que tenha muita similaridade com este em sua
sequncia, organizao e at mesmo em alguns erros de digitao, certamente
fruto de plgio e seu utilizador poder vir a ser responsabilizado cvel e
criminalmente.
Em funo de estarmos lanando uma nova verso, totalmente remodelada para
os cursos ainda no primeiro semestre de 2013, esta apostila est sendo distribuda
por via eletrnica sem custo.
Desejamos a todos um bom proveito.
3
Sobre os autores
A elaborao dessa apostila foi iniciada no final de 2006 por Wardner Maia, com
vistas a um curso que ministrou em janeiro de 2007 na cidade de So Paulo.
Muitos dos slides aqui contidos ainda so os originais daquela poca.
Em meados de 2007 a MD Brasil se tornou a primeira empresa brasileira parceira

de treinamentos da Mikrotik e passou a ministrar os cursos em carter oficial
.Ainda em 2007, se juntaram ao time da MD Brasil os instrutores Srgio Souza e
Edson Xavier Veloso, que em muito colaboraram tanto na apostila como na
evoluo dos cenrios e laboratrios dos Cursos.
A prpria certificao MTCNA inexistia no incio da elaborao desta que de certa
forma balizou o programa oficial da Mikrotik.
Hoje a MD Brasil a nica empresa brasileira que tem em sua equipe 3 Trainers
certificados. Alm de instrutores, trabalham em suas empresas ligadas rea de
redes e Internet, vivenciando no dia a dia situaes reais e concretas.
4
Um pouco sobre a MD Brasil TI & Telecom

(MikrotikBrasil)
No mercado de Internet discada desde 1995 e pioneira nos primeiros enlaces
Wireless entre cidades no interior paulista ainda em 1999/2000;
Ministra treinamentos em Wireless desde 2002 e presta servios de consultoria em
TI e Telecomunicaes para outros provedores e empresas;
Representante do sistema operacional RouterOS desde janeiro de 2006);
Primeira empresa brasileira distribuidora oficial de hardware Mikrotik credenciada em
janeiro de 2007;
Primeira empresa brasileira qualificada como Training Partner Mikrotik, em julho de

2007.
Mikrotik RouterOS
uma pequena histria de grande sucesso
1993: Primeira rede Wavelan em 915MHz em Riga, (Latvia)
1995: Solues para WISPs em vrios pases
1996: Publicado na Internet o paper Wireless Internet Access in Latvia
1996: Incorporada e Fundada a empresa MikroTikls
2002: Desenvolvimento de Hardware prprio
2007: 60 funcionrios
Atualmente:
O RouterOS da Mikrotik tende a ser um padro de fato para provedores de servio internet
podendo ser inclusive um forte concorrente com gigantes como a Cisco e outros.
6
O que o Mikrotik RouterOS ?

Um poderoso sistema operacional carrier class que pode ser instalado em um PC
comum ou placa SBC (Single Board Computer), podendo desempenhar as funes de:
Roteador Dedicado
Bridge
Firewall
Controlador de Banda e QoS
Ponto de Acesso Wireless modo 802.11 e proprietrio
Concentrador PPPoE, PPtP, IPSeC, L2TP, etc
Roteador de Borda
Servidor Dial-in e Dial-out
Hotspot e gerenciador de usurios
WEB Proxy
Recursos de Bonding, VRRP, etc, etc.
7
Instalao do Mikrotik
O Mikrotik RouterOS pode ser instalado utilizando:

CD Iso bootvel ( gravado como imagem )
Via rede com o utilitrio Netinstall
Obtendo o RouterOS
http://www.mikrotik.com/download.html
Imagem ISO para instalao com CD

Changelog Modificaes verses
Instalando por CD
Uma vz baixado o pacote e descompactado, precisamos gerar o CD de boot
No exemplo abaixo usamos o Nero para gravar o CD
10
Instalando por CD
Seleciona-se a imagem .iso descompacatada e clica-se em Burn
11
Instalando por CD
Prepare o PC para bootar pelo CD. Aps o boot ser apresentada a seguinte tela:
12
Pacotes do RouterOS - significado

System:
Pacote principal com servios bsicos e drivers. A rigor o nico

que necessramente tem de ser instalado.
ppp:
Suporte aos servios PPP como PPPoE, L2TP, PPtP, etc
DHCP:
DHCP cliente e DHCP servidor
advanced-tools:
ferramentas de diagnstico, netwatch e outros utilitrios
arlan:
Suporte a um tipo de placa Aironet antiga arlan
calea:
Pacote para vigilancia de conexes (exigencia legal nos EUA)
gps:
Suporte a GPS (tempo e posio)
hotspot:
Suporte a hotspots
ISDN:
Suporte a conexes ISDN
lcd:
Suporte a display de cristal lquido
ntp:
Servidor e cliente de NTP (relgio)

13
Pacotes do RouterOS - significado

radiolan:
suporte a placa Radiolan
routerboard:
utilitrios para routerboards
routing:
suporte a roteamento dinamico protocolos RIP, OSPF e BGP
rstp-bridge-test
protocolo rstp
security:
suporte a ssh, Ipsec e conexo segura do winbox
synchronous:
suporte a placas sncronas Moxa, Cyclades PC300 e outras
telephony:
pacote de suporte a telefonia protocolo h.323
ups:
suporte a no-breaks APC
user-manager:
servio de autenticao user-manager
web-proxy:
Servio de Web-Proxy
wireless:
Suporte a placas PrismII e Atheros
wireless-legacy:
Suporte a placas PrismII, Atheros e Aironet com algumas features

14
inabilitadas
Instalando por CD
Pode-se seleccionar os pacotes desejados pressionando-se a barra de espaos
ou a para todos. Em seguida i ir instalar os pacotes selecionados.
Caso haja configuraes pode-se mante-las selecionando-se y
15
Instalao com Netinstall

O Netinstall tranforma uma estao de trabalho
Windows em um instalador.
Obtem-se o programa no link
www.mikrotik.com/download.html
Pode-se instalar em um um PC que boota via
rede (configurar na BIOS)
Pode-se instalar em uma Routerboard,

configurando-a para bootar via rede
O Netinstall interessante principalmente para
reinstalar em routerboards quando necessrio por
danos a instalao inicial e quando se perde a
senha do equipamento.
16

Para se instalar em uma Routerboard, inicialmente
temos que entrar via serial, com um cabo null
modem e os parametros:
velocidade: 115.200 bps
bits de dados: 8
bits de parada: 1
Controle de fluxo: hardware
Entra-se na Routerboard e
seleciona-se
o - boot device
e depois:
e - Etherboot
17

Atribuir um IP para o Net
Booting na mesma faixa da
placa de rede da mquina.
Colocar os pacotes a
serem instalados na
mquina.
Bootar e selecionar os
pacotes a serem instalados.
18
Acesso ao Mikrotik
O processo de instalao no configura um IP no Mikrotik e o primeiro acesso pode

ser feito das seguintes maneiras:
Direto na console (no caso de PCs)

Via Terminal (115200/8/N/1 para routerboards e 9600/8/N/1 para PCs)
Via Telnet de MAC, atravs de outro Mikrotik ou de sistema que suporte telnet por
MAC e que esteja no mesmo barramento fsico de rede.
Via Winbox
19
Console do Mikrotik
Na console do Mikrotik tem-se acesso a todas as configuraes por um sistema de
diretrios hierrquicos pelos quais se pode navegar digitando o caminho.
Exemplo:
[admin@MikroTik] > ip
[admin@MikroTik] ip> address
Pode-se voltar um nvel de diretrio digitando-se ..
[admin@MikroTik] ip address> ..
[admin@MikroTik] ip>
Pode-se ir direto ao diretrio raiz, digitando-se /
[admin@MikroTik] ip address> /
[admin@MikroTik] >
20
Console do Mikrotik
Ajuda
? Mostra um help para o diretrio em que se esteja [Mikrotik] > ?
? Aps um comando incompleto mostra as opes disponveis para esse
comando - [Mikrotik] > interface ?
Tecla TAB
Comandos no precisam ser totalmente digitados, podendo ser completados
com a tecla TAB
Havendo mais de uma opo para o j digitado, pressionar TAB 2 vezes
mostra todas as opes disponveis.
21
Print: mostra informaes de configurao
Console do Mikrotik
[admin@MikroTik] interface ethernet> print

Flags: X - disabled, R - running
# NAME
MTU MAC-ADDRESS
ARP
0 R ether1
1500 00:03:FF:9F:5F:FD enabled
Pode ser usado com diversos argumentos como print status, print detail e print
interval. Exemplo:
[admin@MikroTik] interface ethernet> print detail
Flags: X - disabled, R - running
0 R name="ether1" mtu=1500 mac-address=00:03:FF:9F:5F:FD arp=enabled
disable-running-check=yes auto-negotiation=yes full-duplex=yes cablesettings=default speed=100Mbps
22
Console do Mikrotik
Comando Monitor
Mostra continuamente vrias informaes de interfaces
[admin@Escritorio] > interface ethernet monitor ether1

status: link-ok
auto-negotiation: done
rate: 100Mbps
full-duplex: yes
default-cable-setting: standard
23
Console do Mikrotik
Comandos para manipular regras
add, set, remove adiciona, muda ou remove regras
disabled desabilita a regra sem deletar
move move algumas regras cuja ordem influencie( firewall por
exemplo )
Comando export
exporta todas as configuraes do diretrio corrente acima ( se
estiver em /, do roteador todo)
pode ser copiado com o boto direito do mouse e colado em editor de
textos
pode ser exportado para um arquivo com export file=nome do arquivo
Comando import
importa um arquivo de configuraes criado pelo comando export.
24
Winbox
Obtem-se o Winbox na URL abaixo
ou direto em um mikrotik
www.mikrotik.com/download.html
Interface Grfica para administrao do Mikrotik

Funciona em Windows e Linux ( Wine )
Utiliza porta TCP 8291
Se escolhido Secure mode a comunicao criptografada
Quase todas as funcionalidades do terminal podem ser configuradas via WINBOX
25
Winbox
Com o Winbox possvel acessar um Mikrotik sem IP, atravs do seu MAC. Para
tanto popnha os dois no mesmo barramento de rede e clique nas reticncias
Clique para encontrar o Mikrotik
O acesso pelo MAC pode ser feito para fazer as configuraes iniciais, como dar um
endereo IP para o Mikrotik.
Aps ter configurado um IP e uma mscara de rede. aconselha-se preferencialmente
o acesso via IP que mais estvel.
26
Configurao no modo seguro

Pressionando-se control+X em um terminal pode-se operar o Mikrotik com a
possibilidade de desfazer as configuracoes sem que elas sejam aplicadas.
Operando no modo seguro
27

Se outro usurio entra no modo seguro, quando j h um nesse modo, lhe
ser dada a seguinte mensagem:
[admin@MKBR100] >
Hijacking Safe Mode from someone unroll / release / dont take it [u/r/d]
u desfaz todas as configuraes anteriores feitas no modo seguro e pe
a presente sesso em modo seguro
d deixa tudo como est

r mantm as configuraes realizadas no modo seguro e pe a sesso
em modo seguro. O outro usurio recebe a mensagem:
[admin@MKBR100]
Safe mode released by another user
28

Todas as configuraes so desfeitas caso o modo seguro seja terminado
de forma anormal.
Control+X novamente ativa as configuraes
Control+D desfaz todas as configuraes realizadas no modo seguro.
Configuraes realizadas no modo seguro so marcadas com uma Flag F,
at que sejam aplicadas.
O histrico das alteraes pode ser visto (no s no modo seguro) em
/system history print
Importante: O nmero de registros de histrico limitado a 100. As
modificaes feitas no modo seguro que extrapolem esse limite no so
desfeitas nem por Control+D nem pelo trmino anormal do modo seguro.
29
Manuteno do Mikrotik
Atualizao
Backups
Acrscimo de funcionalidades
Detalhes do licenciamento
30
Atualizaes
As atualizaes podem ser
feitas com o conjunto de pacotes
combinados ou com os pacotes
separados disponveis no site da
Mikrotik.
Os arquivos tem a extenso

.npk e basta coloca-los no
diretrio raiz do Mikrotik e bootalo para subir a nova verso.
O upload pode ser feito por
FTP ou copiando e colando no
WInbox.
31
acrscimo de novas funcionalidades
Alguns pacotes no fazem
parte da distribuio normal mas
podem ser instalados
posteriormente. Exemplo o
pacote User Manager..
Os arquivos tambm tem a

extenso .npk e basta coloca-los
no diretrio raiz do Mikrotik e
boota-lo para subir a nova
verso.
O upload pode ser feito por
FTP ou copiando e colando no
WInbox.
32
Manipulao de pacotes
Alguns pacotes podem no ter sido instalados no momento da instalao ou podem estar
desabilitados. Pacotes podem ser habilitados/desabilitados de acordo com as necessidades.
verifica-se e manipula-se o estado dos

pacotes em / system packages
Pacote desabilitado
Se o pacote no tiver sido instalado, para
faze-lo devemos encontrar o pacote de mesma

verso, fazer um upload para o Mikrotik que
este ser automaticamente instalado
33
Manipulao de pacotes
Existem os pacotes estveis e os pacotes test, que esto ainda sendo reescritos e
podem estar sujeitos a bugs e carencia de documentao.
Quando existem 2 iguais e um test deve-se escolher um deles para trabalhar.
web-proxy e
web-proxy-test
34
Backup
Para efetuar o Backup, basta ir em

Files e clicar em Backup copiando
o arquivo para um lugar seguro.
Para restaurar, basta colar onde se
quer restaurar e clicar na tecla
Restore
OBS: O Backup feito dessa forma ao ser restaurado em outro hardware ter problemas com
diferentes endereos MAC. Para backupear partes das configuraes use o comando export
35
Licenciamento do Mikrotik
Detalhes de licenciamento
A chave gerada sobre um software-id fornecido pelo prprio sistema
Fica vinculada ao HD ou Flash (e dependendo do caso da placa me)
Importante: a formatao com ferramentas de terceiros muda o soft-id e

causa a perda da licena instalada
36
Poltica de Licenciamento
37
Dvidas e esclarecimentos adicionais sobre

Instalao ?
Acesso ?
Manuteno ?
Licenciamento ?
38
Nivelamento de conceitos bsicos de Redes TCP/IP

e suas implementaes no Mikrotik
39
O Modelo OSI
(Open Systems Interconnection)
APLICAO
APRESENTAO
SESSO
TRANSPORTE
REDE
Camadas 7 (fornece a interface da aplicao ao usurio)

Camada 6 (Gerencia como os dados sero apresentados)
Camada 5 (controla a comunicao entre dispositivos)

Camada 4 (responsvel o transporte dos dados TCP e UDP )
Camada 3 (faz endereamento lgico roteamento IP)
ENLACE
Camada 2 (detecta/corrige erros, controla fluxo, end.. fsico)
FSICA
Camada 1 (conexes fsicas da rede, como cabos, wireless)

40
O Modelo OSI
(Open Systems Interconnection)
APLICAO
APLICAO
APRESENTAO
APRESENTAO
SESSO
SESSO
TRANSPORTE
TRANSPORTE
REDE
REDE
ENLACE
ENLACE
FSICA
FSICA
41
Camada I - Fsica
A camada fsica define as caractersticas tcnicas dos dispositivos eltricos .
que fazem parte da rede
nesse nvel que esto definidas as especificaes de cabeamento
estruturado, fibras ticas, etc. No caso de Wireless, na camada I que se
definem as modulaes assim como a frequencia e largura de banda das
portadoras
So especificaes de Camada I:
RS-232, V.35, V.34, Q.911, T1, E1, 10BASE-T,100BASE-TX , ISDN, SONET, DSL,
FHSS, DSSS, OFDM etc
42
Camada I - Fsica
Exemplo de configurao da camada

fsica:
Escolhe-se a banda de transmisso e
a forma com que o rdio ir se
comportar
43
Exemplo de configurao fsica

da Interface Wireless
No lado do AP
1 Configurar o AP, definindo banda, canal, modo de operao e
nome de rede
No lado dos alunos:

1 Configurar como station, com o mesmo nome de rede e
banda
2 Na aba Wireless, no campo Radio name, colocar o seu
nmero e nome, no seguinte padro:
XY-SeuNome
44
Camada II - Enlace
Camada responsvel pelo endereamento fsico, controle de acesso ao meio
e correo de erros da camada I
O endereamento fsico se faz pelos endereos MAC (Controle de acesso ao
meio) que so (ou deveriam ser) nicos no mundo e que so atribudos aos
dispositivos de rede
Bridges so exemplos de dispositivos que trabalham na camada II.
So especificaes de Camada II:

Ethernet, Token Ring, FDDI, PPP, HDLC, Q.921, Frame Relay, ATM
45
Camada II - Enlace
Exemplo de configurao de Camada II (Enlace)
No AP Central: criar uma Bridge entre as interfaces Wireless

Bridges Verdadeiras / Bridges Falsas
46
Camada III - Rede

Responsvel pelo endereamento lgico dos pacotes
Transforma endereos lgicos em endereos fsicos de rede
Determina a rota que os pacotes iro seguir para atingir o destino baseado em fatores
tais como condies de trfego de rede e prioridades.
Define como os dispositivos de rede se descobrem e como os pacotes so roteados ao
destino final..
Esto na Camada III:

IP, ICMP, IPsec, ARP, RIP, OSPF, BGP
47
Protocolo IP
um protocolo cujas funes principais so:
endereamento
roteamento
As principais funes do protocolo IP so endereamento e roteamento pois este
fornece de uma maneira simples a possibilidade de identificar uma mquina na
rede (endereo IP) e uma maneira de encontrar um caminho entre a origem e o
destino (Roteamento).
Endereo IP = Nmero binrio de 32 bits
48
Endereamento IP
Usualmente utilizamos 4 sequencias de 8 bits (octetos) para representao
dos endereos IP:
Exemplo :
11000000.10101000.000000001.000000001, em notao binria,
convertida para decimal fica:
11000000 2^7+2^6
= 128+64 = 192
10101000 2^7+2^5+2^3 = 128+32+8 = 168
00000001 2^0
=1
00000001 2^0
=1
192.168.1.1
49
Endereamento por Classes de IP

Classe
Class A
Class B
Class C
# Bits de rede
8 bits
16 bits
24 bits
# Bits de Hosts
24 bits
16 bits
8 bits
Range Decimal
1-126
128-191
192-223
Usando o esquema de classes era possvel:

126 redes Classe A que podiam ter at 16,777,214 hosts cada.
Mais 65,000 redes Classe B networks que podiam ter at 65,534 hosts cada
Mais 2 milhes de redes Classe C que podiam ter at 254 hosts cada.
50
Esquema de endereamento CIDR

No esquema CIDR (Classless Internet Domain Routing), os computadores em uma rede
fazem uso das mscaras de rede para separar computadores em sub-redes.
As mscaras de rede so tambem nmeros binrios de 32 bits, que dividimos em
octetos
11111111.11111111.11111111.00000000
11111111 2^7 + 2^6 + 2^5 + 2^4 + 2^3 + 2^2 + 2^1 = 255
mscara equivalente em decimal:
255.255.255.0
51
Mscaras de rede
Alm da forma binria e decimal as mscaras de rede podem ser representadas pela
notao em bitmask (soma dos bits que compe a mscara);
Exemplos:
11111111.11111111.11111111.11111111
decimal : 255.255.255.255
bitmask: /32
11111111.11111111.11111111.11111100
decimal: 255.255.255.252
bitmask: /30
11111111.00000000.00000000.0000000
decimal: 255.0.0.0
bitmask: /8
52
Endereamento de rede
Para separar computadores em sub redes realizada uma multiplicao binria do
endereo IP com a mscara de rede, sendo ento calculado o endereo de rede para
aquele host.
Exemplo: 200.200.200.10 com mscara 255.255.255.192 (ou /26)
Decimal
1 octeto
2 octeto
3 octeto
4 octeto
IP
200.200.200.10
11001000
11001000
11001000
00001010
Mask
255.255.255.192
11111111
11111111
11111111
11000000
11001000
11001000
11001000
00000000
Multiplicao binria
Endereo de rede calculado 200.200.200.0

53
Endereamento de broadcast
O maior IP possivel para uma sub rede chamado de endereo de broadcast e o
endereo para o qual se manda um pacote destinado a todos os hosts da rede.
Em uma rede os endereos de Rede e os endereos de Broadcast so reservados e

no podem ser utilizados por hosts
Exemplos de endereos de rede e broadcast:
Endereo IP/mask
Rede
Broadcast
200.200.200.10/24
200.200.200.0
200.200.200.255
200.200.200.10/25
200.200.200.0
200.200.200.127
200.200.200.10/26
200.200.200.0
200.200.200.63
200.200.200.200/26
200.200.200.192
200.200.200.255
54
Sub Redes
55
Tabela de referncia IPs

Binrio
Decimal
Bitmask
IPs
Hosts
11111111.11111111.11111111.11111111
255.255.255.255
/32
11111111.11111111.11111111.11111100
255.255.255.252
/30
11111111.11111111.11111111.11111000
255.255.255.248
/29
11111111.11111111.11111111.11110000
255.255.255.240
/28
16
14
11111111.11111111.11111111.11100000
255.255.255.224
/27
32
30
11111111.11111111.11111111.11000000
255.255.255.192
/26
64
62
11111111.11111111.11111111.10000000
255.255.255.128
/25
128
126
11111111.11111111.11111111.00000000
255.255.255.0
/24
256
254
11111111.11111111.11110000.00000000
255.255.240.0
/20
4096 4094
56
Endereos IP no Mikrotik
Atentar para a especificao correta da mscara de rede que determinar o

endereo de rede e o de broadcast
57
Protocolo ARP
(Address resolution Protocol)
Utilizado para associar IPs com endereos fsicos faz a interface entre a camada II
e a camada III.
Funcionamento:
O solicitante de ARP manda um pacote de broadcast com a informao do IP de
destino, IP de origem e seu MAC, perguntando sobre o MAC de destino
O Host que tem o IP de destino manda um pacote de retorno fornecendo seu
MAC
Para minimizar os broadcasts devido ao ARP, so mantidas no SO, as tabelas
ARP, constando o par IP MAC
58
Cenrio inicial do Curso
59
Configurao de Rede
No AP Central:
1 Cadastrar o IP 192.168.100.254 com mscara 255.255.255.0 na wlan1
Nos alunos:
1 Cadastrar um IP 192.168.100.XY com mscara 255.255.255.0 wlan1 do
Mikrotik
2 Como ficou sua tabela de rotas ?
60
Protocolo ARP
(Address resolution Protocol)
Observe a tabela ARP do AP

Consulte sua Tabela ARP
Torne a entrada do AP em uma entrada esttica, clicando com o boto
direito e Make Static
61
Roteamento
No AP Central:
1 Cadastrar a rota default no AP Central.
Nos alunos:
1 Cadastrar a rota default
2 Como ficou sua tabela de rotas ?
62
Configurao de DNS
No AP Central:
1 Configure o DNS apontando-o para o DNS da operadora
Nos alunos:
1 Configure o DNS apontando para o AP Central
2 Teste a resoluo de nomes a partir da ROUTERBOARD
3 Voc quer que sua Torre resolva os nomes para o Laptop. O que tem de
ser feito ?
63
Setup I Roteamento esttico

ectividade dos Laptops:
1 Cadastrar o IP 10.10.XY.1/24 na Routerboard
2 Cadastrar o IP 10.10.XY.2/24 no Laptop
3 Cadastrar o Gateway e DNS no seu Laptop 10.10.XY.1
4 teste as conectividades:
Laptop Routerboard
Routerboard AP Central
Laptop AP Central
O que precisa ser feito para funcionar tudo ?
64
Camada IV - Transporte
No lado do remetente responsvel por pegar os dados das camadas
superiores dividir em pacotes para que sejam transmitidos para a camada de
rede.
No lado do destinatrio pega os pacotes recebidos da camada de rede,
remonta os dados originais e envia s camadas superiores.
Esto na Camada IV:

TCP, UDP, RTP, SCTP
65
Protocolo TCP
O TCP um protocolo de transporte e executa

importantes funes para garantir que os dados sejam
entregues de uma maneira confivel, ou seja, sem que os
dados sejam corrompidos ou alterados.
66
Caractersticas do protocolo TCP

Garante a entrega de datagramas IP
Executa a segmentao e reagrupamento de grandes blocos de dados enviados
pelos programas e Garante o seqenciamento adequado e entrega ordenada de
dados segmentados.
Verifica a integridade dos dados transmitidos usando clculos de soma de
verificao
Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados.
Ao usar confirmaes seletivas, tambm so enviadas confirmaes negativas para
os dados que no foram recebidos
Oferece um mtodo preferencial de transporte de programas que devem usar
transmisso confivel de dados baseada em sesses, como bancos de dados
cliente/servidor e programas de correio eletrnico
67
Portas TCP
O uso do conceito de portas, permite que vrios programas estejam em

funcionamento, ao mesmo tempo, no mesmo computador, trocando
informaes com um ou mais servios/servidores.
Portas abaixo de 1024 so registradas para servios especiais
68
Estabelecimento de uma conexo TCP

Uma conexo TCP estabelecida em um processo de 3 fases:
O Cliente a conexo manda uma requisio SYN contendo o
nmero da porta que pretende utilizar e um nmero de sequencia inicial.
O Servidor responde com um ACK com o nmero sequencial
enviado +1 e um pacote SYN com um outro nmero de sequencia
SYN +1
O Cliente responde com um ACK com o numero recebido do

SYN (100)
Cliente
ACK (101), SYN (400)
Servidor
ACK (401)
69
Enviando dados com TCP
No caso da conexo ser abortada uma flag RST

mandada ao remetente
Data 1
Remetente
ACK
Destinatrio
O TCP divide o fluxo de dados em segmentos

o remetente manda dados em segmentos com um
nmero sequencial
o destinatrio acusa o recebimento de cada
segmento
o remetente manda os dados seguintes
se no recebe a confirmao do recebimento,
manda novamente
Data 2
NO ACK
Data 2
ACK
70
Encerrando uma conexo TCP

O processo de encerramento tambm feito em 4 fases:
- Remetente manda um pedido de FIN

- Destinatrio responde acusando o recebimento com um ACK
- Destinatrio manda seu pedido de FIN
- Remetente envia um ACK
FIN
Cliente
ACK
FIN
Servidor
ACK
71
Protocolo UDP
- O UDP (User Datagram Protocol) utilizado para o transporte rpido
entre hosts
- O UDP um servio de rede sem conexo, ou seja no garante a
entrega do pacote
- Mensagens UDP so encapsuladas em datagramas IP
72
Comparao TCP e UDP

UDP
TCP
Servio sem conexo. No estabelecida Servio orientado por conexo. Uma

sesso entre os hosts
sesso estabelecida entre os hosts.
UDP no garante ou confirma a entrega
dos dados
Garante a entrega atravs do uso de

confirmao e entrega sequenciada dos
dados
Os programas que usam UDP so

responsveis pela confiabilidade
Os programas que usam TCP tem

garantia de transporte confivel de dados
Rpido, exige poucos recursos oferece

comunicao ponto a ponto e ponto
multiponto
Mais lento, usa mais recursos e somente

d suporte a ponto a ponto
73
Observe o estado de suas conexes em IP / Firewall / Connections
74
Fazendo uma conexao TCP

Nos alunos:
1 Abrir uma sesso de FTP para o IP do nosso servidor de FTP
2 Verifique a sua tabela de Connection Tracking
No AP Central:
1 Exibir a tabela de Connection Tracking
75
Dvidas ou consideraes acerca de:

Camadas fsica / enlace / rede / transporte / aplicao
Protocolo IP / Mascaras de rede ?
Protocolo ARP ?
TCP ?
UDP ?
76
Setup II - Configurao da sala com NAT

Configure o mascaramento de rede
Teste a conectividade com o mundo exterior.
Apague backups anteriores eventualmente feitos e faa um backup de suas
configuraes
Salve os backups tambem no seu Laptop. Elas sero teis durante o curso.
77
Mascaramento de rede
Exemplo: Um computador da rede interna 192.168.100.100 acessando
www.mikrotikbrasil.com.br (200.210.70.16) atravs do roteador que tem IP pblico
200.200.200.200.
NAT
IP origem: 200.200.200.200
IP destino: 200.210.70.16
IP origem: 192.168.100.100
IP destino: 200.210.70.16
192.168.100.100
192.168.100.101
192.168.100.102
78
Mascaramento de rede
O mascaramento de rede a tcnica que permite que diversos computadores em uma
rede compartilhem de um mesmo endereo IP. No Mikrotik o mascaramento feito
atravs do firewall por uma funcionalidade chamada NAT (Network Address
Translation)
Todo e qualquer pacote de dados em uma rede possui um endereo IP de origem e
um de destino. Para mascarar o endereo, o NAT faz a troca do IP de origem, e no
retorno deste, conduz ao computador que o originou.
Exemplo: Um computador da rede interna 192.168.100.100 acessando
www.mikrotikbrasil.com.br (200.210.70.16) atravs do roteador que tem IP pblico
200.200.200.200.
Destination NAT (dstnat), ou NAT de destino quando o roteador reescreve o
endereo ou a porta de destino.
79
Mascaramento de Rede
No AP Central:
1 Configurar o mascaramento de rede no AP Central.
Nos alunos:
3 A partir do Mikrotik tente pingar a Internet (172.16.255.1). Funcionou ?
80
Mikrotik
&
Wireless
81
Configuraes da camada Fsica

Bandas de operao
82
Configuraes Fsicas / Banda

Resumo dos padres IEEE empregados e suas caractersticas:
Padro IEEE
Freqncia
Tecnologia
Velocidades
802.11b
2.4 GHz
DSSS
1, 2, 5.5 e 11mbps
802.11g
2.4 GHz
OFDM
6, 9, 12, 18, 24, 36

48 e 54 mbps
802.11a
5 GHz
OFDM
6, 9, 12, 18, 24, 36

48 e 54 mbps
802.11n
2.4 e 5 GHz
OFDM/MIMO
6.5 a 300 mbps
83
Canais em 2.4Ghz
22 Mhz
2412
2437
2462
84
Canais no interferentes em 2.4Ghz
2412
2437
2462
85
2.4Ghz-B: Modo 802.11b, que permite velocidades nominais de 1, 2, 5.5 e 11 mbps. Utiliza
espalhamento espectral em seqncia direta.
2.4Ghz-B/G: Modo misto 802.11b e 802.11g que permite as velocidades acima 802.11b e 6,
9, 12, 18, 24, 36, 48 e 54 mbps quando em G. Utiliza OFDM em 802.11g
2.4Ghz-only-G: Modo apenas 802.11g.
86
Canais do espectro de 5Ghz

20 Mhz
Em termos regulatrios a faixa de 5 Ghz dividida em 3 faixas:

Faixa Baixa:
5150 a 5250 e 5250 a 5350 (Mhz)
Faixa Mdia:
5470 a 5725 (Mhz)
Faixa Alta:
5725 a 5850 (Mhz)

87
Aspectos Legais do espectro de 5Ghz
Faixa Baixa
Faixa Mdia
Faixa Alta
Freqncias
5150-5250
5250-5350
5470-5725
57255850
Largura
100 Mhz
100 Mhz
255 Mhz
125 Mhz
canais
4 canais
4 canais
11 canais
5 canais
Deteco de radar
obrigatria
Deteco de radar
obrigatria
88
5Ghz: Modo 802.11a opera na faixa de 5 Ghz, baixa mdia e alta e permite velocidades
nominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps
Freqncia (Mhz)
5150 5350
Largura faixa
Nmero de canais
200 Mhz
4
5470 - 5725
5725 - 5850
255 Mhz
125 Mhz
11
5
89
Canalizao em 802.11a
Modo Turbo
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requerida sensibilidade maior

Diminui nvel de potencia de Tx
90
5Ghz-turbo: Modo 802.11a opera na faixa de 5 Ghz, baixa mdia e alta e permite
velocidades nominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps
Freqncia (Mhz)
5150 5350
Largura faixa
Nmero de canais
200 Mhz
2
5470 - 5725
5725 - 5850
255 Mhz
125 Mhz
2
91
Canalizao em 802.11a
Modos 10 e 5 Mhz
Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requerida menor sensibilidade

Aumenta nvel de potencia de Tx
92
Faixa de 900 Mhz

No Brasil, de acordo com a resoluo 506/2008, possvel a utilizao da faixa de 900 Mhz
sem licena. Esta faixa de freqncias tem sido empregada para aplicaes com visada
parcial ou at sem visada. No entanto seu emprego deve ser cuidadoso para atender a
legislao..
Faixas permitidas
Freqncia (Mhz)
conf resol 506:
Largura faixa
Canais que o fabricante garante o funcionamento:

Canal 3 -> 922 Mhz (10Mhz, 5Mhz)
Canal 4 -> 917 Mhz (20Mhz, 10Mhz, 5 Mhz)
Canal 5 -> 912 Mhz (20Mhz, 10Mhz, 5 Mhz)
902 907.5
5.5 Mhz
915 - 928
13 Mhz
Na V3:
Uso regular no Brasil:

93
802.11n
MIMO
Velocidades do 802.11n
Bonding do Canal
Agregaode Frames
Configuraodo carto Wireless
Potncia de TX para cartes N
Bridging transparente para links em N, utilizando MPLS/VPLS
94
MIMO
MIMO Multiple Input and Multiple Output
SDM Spatial Division Multiplexing
Streams espaciais mltiplos atravsde mltiplas antenas.
Configuraes de antenas mltiplas para receber e transmitir:
- 1x1, 1x2, 1x3
- 2x2, 2x3
- 3x3
95
802.11n Data Rates
96
Bonding dos Canais 2 x 20 Mhz
Adiciona mais 20 Mhz ao canal existente

O canal colocado abaixo ou acima da freqncia principal
compatvel com clientes legados de 20 Mhz
Conexo feita no canal principal
Permite utilizar taxas mais altas
97
Agregao de Frames
Combinando mltiplos frames de dados em um simples frame - diminui o overhead

Agregao de unidades de Servio de dados MAC - MAC Protocol Data Units
(AMPDU)
Usa Acknowledgement em bloco
Pode aumentara a latncia, por default habilitado somente para trfego de
melhor esforo
Enviando e recebendo AMSDU-s pode aumentar o uso de processamento
98
Configuraes
Ht-TxChains/Ht-RxChains: Qual
conector da antena usar para receber
e transmir
a configurao de antennamode ignorada para cartes N.

ht-amsdu-limit: Mximo AMSDU
que o dispositivo pode preparar
ht-amsdu-threshold: mximo
tamanho de frame que permitido
incluir em AMSDU.
99
Configuraes
ht-guard-interval: intervalo de guarda.
any: longo ou curto,

dependendo da velocidade de
transmisso
long: intervalo de guarda longo
ht-extension-channel: se ser usado a

extenso adicional de 20 Mhz.
below: abaixo do canal

principal
above: acima do canal

principal
ht-ampdu-priorities:prioridades do frame para o qual AMPDU sending deve ser

negociado e utilizado (agregando frames e usando acknowleddgment em bloco)
100
Configuraes
Quando utilizando dois canais ao mesmo

tempo, a potncia de transmisso
dobrada (incrementada em 3 dB)
101
Configurando bridge transparente em enlaces N

WDS no suporta a agregao de frames e portanto no prov a
velocidade total da tecnologia N.
EoIP incrementa overhead.
Para fazer bridge transparente com velocidades maiores e menos
overhead em enlaces N devemos utilizar MPLS/VPLS
102

Estabelecer um link AP <-> Station, configurando dois IPs quaisquer.
Ex. 172.16.0.1/30 e 172.16.0.2/30
Em ambos os lados:
Habilitaro LDP (Label Distribution Protocol)
Adicionar a Interface wlan1
103

Configurando o tnel VPLS em ambas as pontas
Criar uma Bridge entre a interface VPLS e a ethernet de saida do link

Confirme o status do LDP e do tnel VPLS
mpls ld neighbor print
mpls forwarding-table print

interface vpls monitor vpls1 once
104
VPLS bridge e fragmentao

O tnel VPLS incrementao tamanho do pacote
Se este tamanho excede o MPLS MTU da interface de sada, feita a fragmentao
Se a interface ethernet suportar um MPLS MTU de 1526 ou maior, a fragmentao

pode ser evitada incrementando o MPLS MTU.
Uma lista das RouterBoards que suportamMPLS MTU maiores pode ser encontrada no
wiki da Mikrotik
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards
105
Outdoor Setup
(Segundo Recomendaes da Mikrotik Latvia)
Teste cada canal separadamente, antes de usar ambos ao mesmo tempo.
Para operao em dois canais usar polarizaes diferentes para cada canal.
Quando utilizar antenas de polarizao dupla, a isolao recomendada da
antena, no mnimo 25 dB.
106
Laboratrio de Enlaces N
Estabelea um link N com seu vizinho

Teste a performance com um e dois canais
Crie uma bridge transparente utilizando VPLS
107
Recorte de tela efetuado: 8/6/2008, 9:06 PM

Potncias
108
Configuraes da camada Fsica - Potncias
default: no interfere na potencia original do carto

card rates: fixa mas respeita as variaes das taxas para diferentes velocidades
all rates fixed: fixa em um valor para todas velocidades

manual: permite ajustar potencias diferentes para cada velocidade
109
Configuraes da camada Fsica - Potncias
Quando a opo regulatory domain est sendo utilizada, somente as frequencias
permitidas no pas selecionado em Country estaro disponveis. Alem disso o Mikrotik

Ajustar a potencia do rdio para atender a regulamentao do pas, levando em conta
o valor em dBi informado no campo Antenna Gain
OBS: At a verso 3.11 tal ajuste no era feito corretamente para o Brasil.
110

seleo de antenas
Em cartes de rdio que tem duas saidas para
Antenas possvel uma ou outra.

Antena a: utiliza a antena a (main) para tx e rx
Antena b: utiliza a antena b (aux) para tx e rx
rx-a/tx/b: recepo em a e transmisso em b

tx-a/rx-b: transmisso em a e recepo em b
111

seleo de antenas
Em cartes de rdio que tem duas saidas para
Antenas possvel uma ou outra.

Antena a: utiliza a antena a (main) para tx e rx
Antena b: utiliza a antena b (aux) para tx e rx
rx-a/tx/b: recepo em a e transmisso em b

tx-a/rx-b: transmisso em a e recepo em b
112

DFS
no radar detect: escaneia o meio e escolhe
o canal em que for encontrado o menor nmero
de redes
radar detect: escaneia o meio e espera 1
minuto para entrar em operao no canal
escolhido se no for detectada a ocupao
nesse canal.
O modo DFS (Seleo Dinmica de Frequncia)
obrigatrio para o Brasil nas faixas de 52505350 e 5350-5725
113

Prop. Extensions e WMM support
Proprietary Extensions: Opo com a nica
finalidade de dar compatibilidade ao Mikrotik
com chipsets Centrino (post-2.9.25)
WMM support: QoS no meio fsico (802.11e)
enabled: permite que o outro dispositivo
use wmm
required: requer que o outro dispositio
use wmm
114

AP e Client Tx Rate / Compression
Default AP Tx Rate: Taxa mxima em bps
que o AP pode transmitir para cada um de seus
clientes. Funciona para qualquer tipo de cliente
Default Client Tx Rate: Taxa mxima em

bps que o Cliente pode transmitir ao AP. S
funciona para clientes Mikrotik.
Compression: Recurso de compresso em
Hardware disponvel no Chipset Atheros.
Melhora desempenho se o cliente possuir esse
recurso. No afeta clientes que no possuam.
(Recurso incompatvel com criptografia)
115

Data Rates
A velocidade em uma rede Wireless definida
pela modulao que os dispositivos conseguem
trabalhar.
Supported Rates: So as velocidades de
trfego de dados entre APs e clientes .
Basic Rates: So as velocidades que os
dispositivos se comunicam independentemente
do trfego de dados em si (beacons, mensagens
de sincronismo, etc)
Embora o prprio manual do Mikrotik aconselhe
deixar as velocidades em seu default, melhores
performances so conseguidas evitando
trabalhar em baixas velocidades
116

Ack Timeout
Dados
A
B
Ack
O Ack Timeout o tempo que um dispositivo Wireless espera pelo pacote

de Ack que deve ser enviado para confirmar toda transmisso Wireless.
dynamic : O Mikrotik calcula dinamicamente o Ack de cada cliente
mandando de tempos em tempos sucessivos pacotes com Ack timeouts
diferentes e analisando as respostas.
indoors: valor constante para redes indoor.
pode ser fixado manualmente digitando-se no campo.

117

Valores referenciais para Ack Timeout
OBS: Valores orientativos. Valores ideais podem estar em uma faixa de +- 15 microsegundos
118
Ferramentas de Site Survey
119
Interface Wireless / Geral / Scan
Escaneia o meio (causa queda das conexes estabelecidas)

A Ativa
B BSS
P Protegida
R rede Mikrotik
N Nstreme
Na linha de comando pode ser acessada em /interface/wireless/scan wlan1
120
Interface Wireless / Geral / Uso de frequencias
Mostra o uso das frequencias em todo o espectro, para site survey

(causa queda das conexes estabelecidas)
Na linha de comando pode ser acessada em
/interface/wireless/frequency-monitor wlan1
121
Interface Wireless / Geral / Alinhamento
Ferramenta de alinhamento com sinal sonoro

( Colocar o MAC do AP remoto no campo Filter e campo Audio)
Rx Quality Potencia (dBm) do ltimo pacote recebido

Avg. Rx Quality Potencia mdia dos pacotes
recebidos.
Last Rx tempo em segundos do ltimo pacote foi recebido
Tx Quality Potencia do ltimo pacote transmitido
Last Rx tempo em segundos do ltimo pacote transmitido
OBS: Filtrar MAC do PtP
Correct nmero de pacotes recebidos sem erro

122
Interface Wireless / Geral / Sniffer
Ferramenta para sniffar o ambiente Wireless captando e decifrando pacotes

Muito til para detectar ataques do tipo deauth attack e monkey jack
Pode ser arquivado no prprio Mikrotik ou passado por streaming para outro sevidor com o protocolo TZSP
Na linha de comando habilita-se em / interface wireless sniffer sniff wlan1
123
Interface Wireless / Geral / Snooper
Com a ferramenta Snooper possvel monitorar a carga de trfego em cada canal, por estao e
por rede.
Escaneia as frequencias definidas em scan-list da interface
124
Configuraes de Modo de
Operao
125
Interface Wireless / Geral
Comportamento do protocolo ARP

disable: no responde a solicitaes ARP. Clientes tem de acessar por
tabelas estticas.
proxy-arp: passa o seu prprio MAC quando h uma requisio para algum
host interno ao roteador.
reply-only: somente responde as requisies. Endereos de vizinhos so
resolvidos estaticamente
126
Configuraes Fsicas / Modo Operao
ap bridge: Modo Ponto de Acesso (AP) repassa os MACs do meio Wireless de forma
transparente para o meio Cabeado.
bridge: Modo idntico ao modo ap bridge, porm aceitando um cliente apenas.
station: Modo cliente de um AP No pode ser colocado em bridge com outras interfaces
127
station pseudobridge: Estao que pode ser colcada em modo bridge, porm que passa
ao AP sempre o seu prprio endereo MAC (uma bridge verdadeira passa os MACs
internos a ela).
station pseudobridge clone: Modo idntico ao pseudobridge, porm que passa ao AP um

MAC pr determinado do seu interior.
station wds: Modo estao, que pode ser colocado em bridge com a interface ethernet e
que passa de forma transparente os MACs internos (bridge verdadeira). necessrio que o
AP esteja em modo WDS (ver tpico especfico de WDS, a frente)
128
alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal.
Neste modo a interface Wireless escuta os pacotes que so mandados a ela por outros
dispositivos trabalhando no mesmo canal.
wds slave: Ser visto no tpico especfico de WDS.

Nstreme dual slave: Visto no tpico especfico de Nstreme / Nstreme Dual
129
Acesso ao meio fsico

Protocolo Nstreme
130

Como trabalha o CSMA Carrier Sense Multiple Access
Estao A
defer
Estao B
Redes Ethernet Tradicionais
CRS
Mtodo CSMA/CD
CRS
defer
Estao C
CRS
(Collision Detection)
CRS
COLISO
Estao A
Redes Wireless 802.11

Estao B
backoff
Mtodo CSMA/CA
CRS
Estao C
defer
backoff
CRS
CRS
backoff (rest)
CRS
(Collision Avoidance)
131

Nstreme
Enable Nstreme: Habilita o Nstreme.
(As opes abaixo dessa s fazem sentido

estando esta habilitada.)
Enable Polling: Habilita o mecanismo de Polling. Recomendado
Disable CSMA: Desabilita o Carrier Sense. Recomendado

Framer Policy: Poltica em que sero agrupados os pacotes:
dynamic size: O Mikrotik determina
best fit: agrupa at o valor definido em Framer Limit sem fragmentar

exact size: agrupa at o valor definido em Framer Limit fragmentando se
necessrio
Framer Limit: Tamanho mximo do pacote em Bytes.
132

Nstreme Dual
1 : Passar o modo de operao das
interfaces para nstreme dual slave.
2 : Criar uma interface

Nstreme Dual definindo
quem Tx e quem Rx.
(usar canais distantes)
133

Nstreme Dual
3 : Verificar o MAC
escolhido pela interface
Nstreme dual e informar no
lado oposto.
4 : Criar uma bridge
entre a ethernet e a interface
Nstreme Dual.
Prticas de RF recomendadas:
Antenas de qualidade, Polarizaes invertidas, canais distantes, distncia entre

antenas.
134
WDS & Mesh WDS
135
WDS : Wireless Distribution System

CANAL 11
CANAL 1
CANAL 1
Com WDS possvel criar uma cobertura Wireless ampla e permitindo

que os pacotes passem de um AP ao outro de forma transparente. Os Aps devem
ter o mesmo SSID e estarem no mesmo canal.
136
2 APs com WDS

AP-3
Bridge learn
table
AP-3
Bridge learn
table
Wireless PC-Card
yyy
xxx
yyy
xxx
Wireless PC-Card
Tabela de associaes
STA-2
Tabela de associaes
WDS Relay
STA-1
Packet for STA-2
WDS Relay
ACK
Pacote para STA-2
Pacote para STA-2
ACK
ACK
STA-1
xxx
BSS-B
BSS-A
STA-2
yyy
137
WDS : Wireless Distribution System

INTERNET
INTERNET
CANAL 1
138
WDS / Mesh WDS

RSTP
Para evitar o looping na rede necessrio habilitar o protocolo STP ou RSTP. Ambos
protocolos trabalham de forma semelhante sendo o RSTP mais rpido.
O (R)STP inicialmente elege uma root bridge e utiliza o algortimo breadth-first search que
quando encontra um MAC pela primeira vz, torna o link ativo. Se o encontra outra vz,
torna o link desabilitado.
Normalmente habilitar o (R)STP j o suficiente para atingir os resultados. No entanto
possvel interferir no comportamento padro, modificando custos, prioridades, etc.
139
WDS / Mesh WDS

(R)STP
Ajustar para baixo se desejar assegurar a eleio
dessa bridge como root .
Custo: permite um caminho ser eleito em lugar de outro
Prioridade: quando os custos so iguais, eleito o de
prioridade mais baixa.
140
WDS / Mesh WDS

(R)STP
Admin MAC Address
A Bridge usa o endereo MAC da porta ativa com o menor nmero de porta
A porta Wireless est ativa somente quando existem hosts conectados a ela.
Para evitar que os MACs fique variando, possvel atribuir manualmente

um endereo MAC.
141
WDS / Mesh WDS

WDS Default Bridge: Informe aqui a bridge
default.
WDS Default Cost: Custo da porta da bridge
do link WDS.
Modos de WDS
WDS Cost Range: Margem do custo que pode

ser ajustada com base no troughput do link
dynamic: as interfaces WDS so criadas dinamicamente quando um

dispositivo em WDS encontra outro compatvel (mesmo SSID e canal)
static: As interfaces tem de ser criadas manualmente com cada uma
apontando para o MAC de sua parceira
dynamic mesh: O mesmo que dinmica, porm com um algortmo
proprietrio para melhoria do link (no compatvel com outros fabricantes)
static mesh: A mesma explicao acima, porm para esttiva.
142
Wireless / Interfaces / WDS
WDS:
Cria-se as interfaces WDS, dando os parametros:
Name: Nome da rede WDS

Master Interface: Interface sobre a qual
funcionar o WDS, podendo esta inclusive ser uma
interface virtual
WDS ADDRESS: Endereo MAC que a interface
WDS ter.
143
WDS / Mesh WDS

Laboratrios de WDS/Mesh
Link transparente com station-wds

Rede Mesh com WDS+RSTP
WDS-Slave
144
AP Virtual
145
Wireless / Interfaces
Interfaces Virtuais:
Criando interfaces virtuais podemos montar vrias
redes dando perfis de servio diferentes
Name: Nome da rede virtual
MTU: Unidade de transferencia mxima (bytes)

MAC Address: D o MAC que quiser para o novo AP !
ARP
Enable/Disable: habilita/desabilita
proxy-arp: passa seu MAC
reply-only
OBS: Demais configuraes identicas de uma AP
146
Controle de Acesso
147
Wireless Tables / Access List
O Access List utilizado pelo Access Point para restringir associaes de clientes.
Esta lista contem os endereos MAC de clientes e determina qual a ao deve ser
tomada quando um cliente tenta conectar. A comunicao entre clientes da mesma
interface, virtual ou real, tambm controlada nos Access List.
O processo de associao ocorre da seguinte forma:
- Um cliente tenta se associar a uma interface Wlanx

- Seu MAC procurado no acces list da interface Wlanx.
- Caso encontrada a ao especificada ser tomada:
- authenticate marcado: deixa o cliente se autenticar
- forwarding marcado, o cliente se comunica com outros..
148
Wireless Tables / Access List

Access List
MAC Address: Mac a ser liberado
Interface: Interface Real ou Virtual onde ser
feito o controle.
AP Tx Limit: Limite de trfego AP cada
Cliente
Private Key: Chave de criptografia

40 bit wep
128 bit wep
Aes-com
Client Tx Limit: Limite de trfego Cliente AP

( s vale para cliente Mikrotik )
Authentication: Habilitado, autentica os MACs
declarados.
Forwarding: Habilitdo permite a comunicao
entre clientes habilitados ( intra bss ) 149
Wireless Tables / Connect List
A Connect List tem a finalidade de listar os pontos de

Acesso que o Mikrotik configurado como cliente pode se
conectar.
MAC Address: MAC do AP
SSID: Nome da Rede
Area Prefix: String para conexo com o AP de mesma
area
Security Profile: definido nos perfis de segurana.

OBS: Essa opo interessante para evitar que o Cliente
se associe em um Ponto de Acesso falso ( sequestro do
AP )
150
Segurana de acesso em
redes sem fio
151
Segurana Rudimentar
(O que no segurana)
1 Nome de rede (SSID) escondido
Pontos de Acceso sem fio por padro fazem o

broadcast do seu SSID nos pacotes chamados
beacons. Este comportamiento puede ser
modificado no Mikrotik habilitando a opo
Hide SSID.
Fragilidades:
SSID tem de ser conhecido pelos clientes
Scanners Passivos descobrem facilmente
pelos pacores de probe requestdos clientes.
152
Segurana Rudimentar
(O que no segurana)
2 Controle de MACs
Descobrir MACs que trafegam no ar muito simples com ferramentas
apropriadas
Airopeek para Windows
Kismet, Wellenreiter, etc para Linux/BSD
Spoofar um MAC muito fcil, tanto em Linux como em Windows.
- FreeBSD :
ifconfig <interface> -L <MAC>
- Linux :
ifconfig <interface> hw ether <MAC>
153
Segurana Rudimentar
(O que no segurana)
3 Criptografia WEP
Wired Equivalent Privacy foi o sistema de criptografia inicialmente
especificado no padro 802.11 e est baseada no compartilhamento de um
segredo (semente) entre o ponto de Acesso e os clientes, usando o algortimo
RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na Internet, existindo muitas ferramentas para quebrar a chave,
como:
Airodump
Airreplay
Aircrack
Hoje trivial a quebra da WEP que pode ser feita em poucos minutos com
tcnicas baseadas nas ferramentas acima.
154
Comprometendo a WEP (em definitivo )
5 Suporte muito vasto para crackear a WEP

You Tube Vdeo ( em espanhol )
http://www.youtube.com/watch?v=PmVtJ1r1pmc
155
IEEE 802.11i
Devido aos problemas apresentados pela WEP o IEEE criou o Grupo de
trabalho 802.11i cuja tarefa principal era fazer a especificao de um padro
de fato seguro.
Antes da concluso do trabalho do grupo 802.11i a indstria lanou padres
intermedirios, como o WEP+, TKIP e o WPA (Wireless Protected Access)
Em junho de 2004 o padro foi aprovado e a indstria deu o nome comercial de
WPA2.
IEEE
WEP
Indstria
(Wi-Fi Alliance)
WEP
802.11i
WEP +
TKIP
WPA
WPA2
156
Fundamentos de Segurana
Privacidade
A informao no pode ser legvel por terceiros
Integridade
A informao no pode ser alterada quando em transito.
Autenticao
AP Cliente: O AP tem que garantir que o cliente quem diz ser.
Cliente AP: O Cliente tem que se certificar que est se conectando no
AP verdadeiro. Um AP falso possibilita o chamado ataque do
homem do meio
157
Privacidade e Integridade
Tanto a privacidade como a integridade so garantidas por tcnicas de
criptografia.
O algortimo de criptografia de dados em WPA o RC4, porm
implementado de uma forma bem mais segura que na WEP. E na WPA2 utilizase o AES.
Para a Integridade dos dados WPA usa TKIP Algoritimo de Hashing
Michael e WPA2 usa CCMP (Cipher Block Chaining Message Authentication
Check CBC-MAC)
Encrypted
802.11
802.11
Header
Header
Data
MIC
158
Autenticao e distribuio de chaves
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
Certificados 2 lados
159
Fundamentos de Segurana WPAx

Autenticao
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
160
Como funciona a WPAx-PSK

Client
Passhrase (PSK)
PMK = f ( passphrase, SSID )
AP
Uma chave mestra chamada PMK
Passhrase (PSK)
Pairwise Master Key criada por um
PMK = f ( passphrase, SSID )
hash entre a semente e o SSID.

A PMK guardada no Registro do
256-bit pairwise master key (PMK)
256-bit pairwise master key (PMK)
Windows on no arquivo supplicant.conf
do Linux
Derive PTK
S-nounce
OK, install MIC
Check MIC
Derive PTK,
Check MIC
Outra chave chamada PTK - Pairwise
Transient Key criada de maneira

dinmica aps um processo de
Install Key
Install Key
Begin encrypting
Begin encrypting
handshake de 4 vias. PTK nica por

sesso
161
Utilizando WPA/WPA2 PSK

muito simples a configurao de
WPA/WPA2-PSK com o Mikrotik
WPA - PSK
Configure o modo de chave dinmico,WPA
PSK, e a chave pr combinada.

WPA2 PSK
Configure o modo de chave dinmico
WPA2, PSK, e a chave pr combinada.

As chaves so alfanumricas de 8 at
63 caracteres
162
WPA / WPA2 PSK segura ?
A maneira conhecida hoje para quebrar WPA-PSK somente por ataque de

dicionrio.
Como a chave mestra - PMK combina uma contrasenha com o SSID, escolhendo
palavras fortes torna o sucesso por ataque de fora bruta praticamente
impossvel.
http://arstechnica.com/articles/paedia/wpa Projeto na Internet para cracked.ars/1
estudo de fragilidades da WPA/WPA2 PSK
Cowpatty http://sourceforge.net/projects/cowpatty
A maior fragilidade no entanto da tcnica de PSK para WISPs que a chave se

encontra em texto plano nos computadores dos clientes.
163
WPA com TKIP foi quebrada ?

Recentemente foi publicada uma quebra de WPA quando usando TKIP
http://arstechnica.com/articles/paedia/wpa-cracked.ars/1
Na verdade a vulnerabilidade no quebra a WPA com TKIP e sim permite alguns ataques
acessrios explorando essa vunerabilidade como envenenamento de arp e de cache de
DNS. Esses ataques so ineficazes quando se tem WPA forte e reciclagem rpida de
chaves.
A concluso do artigo est abaixo (em ingls):
So WPA isn't broken, it turns out, and TKIP remains mostly intact. But this exploit
based on integrity and checksums should argue for a fast migration to AES-only WiFi
networks for businesses who want to keep themselves secure against further
research in this arearesearch already planned by Tews and Beck. And now that
these two have opened the door, WPA will certainly become subject to even closer
scrutiny by thousands of others interested in this space: black-, gray-, and whitehatted.
164
WPA / WPA2 PSK segura ?

Quando o atacante tem a chave possvel:
Ganhar acesso no autorizado
Falsificar um Ponto de acesso e fazer o ataque do homem-do-meio (man-in-themiddle)
Recomendaes para WISPs
Somente use PSK se tem absoluta certeza que as chaves esto protegidas
(somente tem acesso aos equipamentos dos clientes o prprio WISP)
No se esquea que as chaves PSK esto em texto plano nos Mikrotiks (at
para usurios read-only)
Felizmente o Mikrotik apresenta uma alternativa para distribuio de chaves

WPA2 por Radius (visto mais a frente)
165

Autenticao
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
166
Diffie-Hellmann
(Without Certificates)
1.
Side A
Secret
number
x
Side B
Generator
g
Prime
number
p
Cada lado escolhe um nmero

secreto x g p.
2.
Lado A comea selecionando um

nmero primo muito grande (p) e
um pequeno inteiro o gerador
(g)
3.
Lado A calcula usando aritmtica

modular a chave pblica , K(a):
K(a) = gx(mod p)
K(a), g, p
K(a) = g x (mod p)
4.
Lado A manda para o lado B a

chave pblica e o nmero primo
(p), e o gerador (g)167
Diffie-Hellmann
Side A
Secret
number
x
Side B
Generator
g
5.
Lado B faz um clculo similar com

a sua chave secreta e o nmero
primo e o gerador para obter sua
chave pblica.
6.
Lado B manda para lado A a cahve

pblica.
Prime
number
p
K(a) = gx(mod p)
K(a), g, p
Generator
g
Prime
number
p
Secret
number
y
K(b) = gy(mod p)
K(b)
7.
Agora os dados podem calcular

uma mesma chave pr
compartilhada (que no circulou
pelo meio inseguro)
Shared key = K(b)x (mod p)
Shared key = K(a)y (mod p)
168
Diffie-Hellmann
Side A
Secret
number
x
Side B
Generator
g
8.
Os dois clculos produzem valores

exatamente iguais, graas a
propriedade da aritmtica modular
9.
A chave calculada utilizada como

PMK e inicia o processo de
criptografia normalmente (AES
para WPA2 e RC4 para WPA)
Prime
number
p
K(a) = gx(mod p)
K(a), g, p
Generator
g
Prime
number
p
Secret
number
y
K(b) = gy(mod p)
K(b)
Key = K(b)x(mod p)
Key = K(a)y(mod p)
Same value
169
Setup with EAP-TLS No Certificates

AP Configuration
Security Profile
170
Station Configuration
Setup with EAP-TLS No Certificates
Security Profile
171
EAP-TLS sem Certificados seguro ?
Como resultado da negociao anonima resulta uma PMK que de conhecimento

exclusivo das duas partes e depois disso toda a comunicao criptografada por
AES (WPA2) o RC4 (WPA)
Seria um mtodo muito seguro se no houvesse a possibilidade de um atacante

colocar um Mikrotik com a mesma configurao e negociar a chave normalmente
como se fosse um equipamento da rede
Uma idia para utilizar essa configurao de forma segura utilizar esse mtodo,
e depois de fechado o enlace, criar um tnel criptografado PPtP ou L2TP entre os
equipamentos.
172

Autenticao
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
173
Trabalhando com Certificados

Un certificado digital um arquivo que identifica de forma
inequvoca o seu proprietrio.
Certificados so criados por instituies emissoras chamadas
de CA (Certificate Authorities)
Os Certificados podem ser :
Assinados por uma instituio acreditada (Verisign,

Thawte, etc)
ou
Certificados auto-assinados
174
Passos para implementao de EAP-TLS com Certificados

auto assinados
Passo A Criar a entidade Certificadora (CA)
Passo B Criar as requisies de Certificados
Passo C Assinar as requisies na CA
Passo D Importar os Certificados assinados para os Mikrotiks
Passo E Se necessrio, criar os Certificados para mquinas Windows
Tutoriais detalhados de como fazer isso:
http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf
http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
175
Mtodo EAP-TLS sem Radius (em APs e Clientes)
176
Security Profiles Mtodos de EAP
EAP-TLS
Usa Certificados
177
Security Profiles TLS Mode

verify certificates
Requer um certificado e verifica se foi
firmado por uma ~CA
dont verify certificates
Requer um Certificado, porm no verifica
no certificates
Certificados so negociados dinmicamente
com o el algortmo de Diffie-Hellman
(explicado anteriormente
178
Autenticao e distribuio de chaves
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
179
WPAx com Radius
Porta controlada
INTERNET
AP/NAS
Client station
Authenticator
Supplicant
Radius Server
Authentication
Server
EAP
Porta no controlada
180
EAP
EAP um protocolo para identificao de hosts ou usurios originalmente
projetado para Protocolo Ponto a Ponto (PPP)
AP/NAS
Client station
Radius Server
Authenticator
Supplicant
Authentication
Server
EAP na LAN
EAP sobre RADIUS
Suporta diferentes tipos de autenticao. Os mais comuns so:

EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-LEAP, EAP-MD5 etc
181
Tipos de EAP
EAP
Type
Open/
Proprietary
TLS
Mutual
Authentication Credentials
User
Key
Material
Name
Auth
Supplicant
Authenticator
Open
Yes
Certificate
Certificate
Yes
In Clear
Yes
TTLS
Open
Yes
Username/Pwd
Certificate
Yes
No
PEAP
Open
Yes
Username/Pwd
Certificate
Yes
No
LEAP
Proprietary
Yes
Username/Pwd
Yes
Yes
182
Tipos de EAP
LEAP: (Lightweight EAP)
um protocolo proprietrio da Cisco patenteado antes mesmo da 802.11i e WPA/
baseado em nome de usurio e senha que se envia sem proteo.
Este mtodo no cuida da proteo das credenciais durante a fase de

autenticao do usurio com o servidor.
Trabalha com variados tipos de clientes, porm somente com APs da Cisco.
Ferramente para crackear LEAP: Asleap - http://asleap.sourceforge.net/
OBS: Mikrotik no suporta LEAP.

183
Tipos de EAP
PEAP: (Protected EAP) and EAP-TTLS (EAP tunneled TLS)
PEAP y TTLS so dois mtodos bastante parecidos e fazem uso de Certificados
Digitais do lado do Servidor e usurio e senha no lado cliente.
O processo segue a seguinte ordem:
1 O Servidor manda uma requisio EAP
2 Criado um tnel criptografado atravs do envio do Certificado

3 O usurio e senha passado de forma criptografada
O problema com TTLS e PEAP que possvel o ataque do homem-do-meio

OBS: A diferena entre TTLS e PEAP que PEAP compatvel com outros protocolos
como LEAP
184
Tipos de EAP
EAP-TLS (EAP Transport Layer Security)
O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse mtodo
para um Servidor Radius
Prov o maior nvel de segurana e necessita de Certificados nos lados do Cliente e
do Servidor Radius
Os passos de como configurar e instalar certificados em um Servidor RADIUS
podem ser obtidos em:
http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf
http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
185
Station Configuration
Setup with EAP-TLS + Radius

Client Configuration
Security Profile
Certificate
186
AP Configuration
Setup with EAP-TLS + Radius

AP Configuration
Security Profile
187
O mtodo EAP-TLS + Radius seguro ?

No se discute que o EAP-TLS o mtodo mais seguro que se pode obter, porm h
Um ponto que se pode levantar como uma possvel fragilidade:
Client station
AP/NAS
Radius Server
Authenticator
Supplicant
Authentication
Server
Existem ataques conhecidos contra o protocolo Radius.

Se um atacante tem acesso fsico ao link entre o AP e o Radius
Atacando la entrega
da PMK
ele pode fazer ataque de fora bruta para descobrir a PMK.

Para evitar isso h vrias formas como proteger esse trecho
com um tunel L2TP ou PPtP
188
Resumo dos mtodos possveis de

implantao e seus problemas
Chaves presentes nos clientes e acessveis aos operadores
Mtodo Sem Certificados:
Passvel de invaso por equipamento que tambem opere desse modo
WPA-PSK:
Problemas com processamento
Mikrotik com Mikrotik com EAP-TLS
Mtodo seguro porm invivel economicamente e de implantao

praticamente impossvel em redes existentes.
189
Resumo dos mtodos possveis de

implantao e seus problemas
Mikrotik com Radius:

EAP-TTLS e EAP-PEAP:
Sujeito ao homem do meio e pouco disponvel nos atuais

equipamentos.
EAP-TLS
Mtodo seguro, porm tambm no disponvel na maioria dos

equipamentos. Em plaquinhas possvel implementa-los.
190
Mtodo alternativo Mikrotik

O Mikrotik na verso V3 oferece a possibilidade de distribuir uma chave WPA2 por
cliente . Essa chave configurada no Access List do AP e vinculada ao MAC
address do cliente, possibilitando que cada cliente tenha sua chave.
Cadastrar porm nos access lists, voltamos ao problema da chave ser visvel a
usurios do Mikrotik !
191
Mtodo alternativo Mikrotik
Felizmente porm o Mikrotik permite que a chave seja atribuda por Radius o que
torna muito interessante esse mtodo.
Para configurar precisamos:
Criar um perfil WPA2 qualquer
Habilitar a autenticao via MAC no AP
Ter a mesma chave configurada tanto no cliente como no Radius.
192
Configurando o Perfil
193
Configurando a Interface Wireless
194
Arquivo users: (/etc/freeradius)
# Sintaxe:
# MAC Cleartext-Password := MAC
Mikrotik-Wireless-Psk = Chave_PSK_de_8_a_63_caracteres
001DE05A1749
Cleartext-Password := "001DE05A1749
Mikrotik-Wireless-Psk = "12345678912
001B779ADD5D Cleartext-Password := "001B779ADD5D"

001B77AF82C9
Cleartext-Password := "001B77AF82C9"
Mikrotik-Wireless-Psk = "12345678911"
195
Radius (dictionary)
/usr/share/freeradius/dictionary.mikrotik
196
Laboratrio de PSK por cliente

O aluno que quiser participar, crie um arquivo texto no formato abaixo e
coloque no FTP com a identificao XY-PSK, onde XY seu nmero.
# Sintaxe:
# MAC Cleartext-Password := MAC
Mikrotik-Wireless-Psk = Chave_PSK_de_8_a_63_caracteres
001DE05A1749
#Exemplo:
Cleartext-Password := "001DE05A1749
197
Recorte de tela efetuado: 10/17/2008, 10:48 AM
Consideraes acerca de PPPoE e Hotspot

quando utilizados por provedores para segurana
198
Tuneis PPPoE
aspectos gerais
PPPoE : originalmente desenvolvido para redes cabeadas
O PPPoE Server (PPPoEd) escuta as requisies de clientes PPPoE que por
sua vz utilizam o protocolo PPPoE discovery tudo feito na camada 2
PPPoE por padro no criptografado pode ser configurado com criptografia
MPPE se o cliente suporta esse mtodo.
O mtodo CHAP protege apenas o nome de usurio e senha e nada alm disso.
199
Tneis PPPoE
aspectos gerais
A interface que escuta as requisies PPPoE no deve ter configurado Ip que

seja roteado ou para o qual esteja sendo feito NAT. Se isso ocorre possvel
burlar a autenticao PPPoE.
Como outros tneis os valores de MTU e MRU devem ser modificados.
PPPoE sensivel a variaes de sinal.

Em mquinas Windows necessrio a instalao de um discador, o que
representa trabalho administrativo.
200
PPPoE e Segurana
Un atacante que falsifique um endereo MAC em uma planta onde se rode
PPPoE no consegue navegar, porem causa muitos problemas aos usurios
verdadeiros.
.
Existem ataques a PPPoE quando falsos clientes disparam sucessivas
requisies de conexo (PPPoE discovery) causando negao de servio.
O mais grave no entanto que no PPPoE o usurio no autentica o
Servidor. Por esse motivo um ataque do tipo do homem-do-meio pode ser
facilmente implementado. Basta que o atacante ponha um AP falso em uma
posio privilegiada e configure um PPPoE Server para capturar as requisies
dos clientes. Isso pode ser usado para negar servio ou para capturar senhas.
201
Hotspots
aspectos gerais
Originalmente foram desenvolvidos para dar servio de conexo Internet em
Hotis, Shoppings, etc. Com o tempo tem sido utilizados como plataforma para
autenticar usurios de WISPs.
A interface configurada para ouvir o hotspot captura a tentativa de navegao e
pede usurio e senha.
Existem vrios mtodos de autenticao, inclusive com Certificados digitais
possvel fazea a autenticao por HTTPS.
202
Hotspots e Segurana
Uma vez que um usurio tenha sido autenticado e seu par IP + MAC seja
descoberto e falsificado por um atacante, este ganha acesso sem usurio e senha.
O ponto de acesso no v os dois, porm somente um usurio. O servio fica
precrio mas h a navegao de ambos.
Trabalhando com Certificados Digitais e HTTPS, dr-se-ia ao usurio a

possibilidade deste autenticar o ponto de acesso, evitando assim o ataque do
home-do-meio. No entanto dificilmente o usurio estar devidamente orientado
para tanto e a maioria deles aceitar um Certificado falso.
203
PPPoE & Hotspot & segurana - concluses

PPPoE tem muitas vantagens porque elimina uma srie de problemas
comuns de redes wireless como broadcasts, trafegos causados por vrus, etc.
Hotspots apresentam muitas facilidades interessantes como mandar
mensagens, criar rotas, etc.
Ambos so excelentes ferramentas para auxiliar na administrao e controle
de rede, pricipalmete quando implementados em conjunto com Radius.
PPPoE e Hotspot ajudam muito, porm no podem ser encarados como

plataformas de segurana como tem sido at ento !
Segurana em Wireless se faz somente com criptografia bem
implementada e em redes cabeadas com dispositivos com isolao de
portas.
204
Porque os WISPs no utilizam Criptografia em Wireless ?

WISPs dizem que no utilizam Criptografia pelos seguintes motivos:
Muita Complexidade
No fato. Com Mikrotik as implementaes so muito fceis
Equipamentos antigos no aceitam criptografia.

verdade, mas no Mikrotik possvel ter diversos perfis, com vrios tipos de
criptografia.
Antigos problemas da WEP fazem WPA no confivel

As tcnicas empregadas so muito diferentes e no h comparao.
Problemas de performance com a criptografia

Novos Chipsets Atheros fazem criptografia em hardware no h problemas
de performance
205
Segurana concluses (quase) finais

Segurana em meio wireless que cumpra os requisitos de:
- Autenticao mtua
- Confidencialidade
- Integridade de dados
Somente se consegue com a utilizao de uma estrutura baseada em
802.11i (WPA2) com EAP-TLS implementada con Certificados Digitais +
Radius.
Um excelente approach a utilizao de chaves Privadas WPA2-PSK
quando distribuidas pelo Radius.
Outras implementaes como a formao de VPNs entre os clientes e um

concentrador antes que seja dado o acesso rede tambem uma soluo
possvel que no foi abordada aqui pois em escala sua implementao pode se
mostrar invivel.
206
Lembre-se tambmque a senha dos rdios clientes tambm importante
207
Case MD Brasil
Pontos de acesso:
Mikrotik RB133 somente como AP Bridge c/ 3 cartes R52, mdia 25 clientes p/ carto
100% clientes com WPA2 atribuda por Radius
208
Case MD Brasil
Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente
Em seguida pedida autenticao Hotspot para cada cliente.
A opo por Hotspot nada tem a ver com a segurana. somente uma opo de negcio
OBS destaque para o uptime !
209
Case MD Brasil
Hotspot + Web Proxy rodam localmente em todos pontos de acesso com mais
concentrao de clientes.
Web-Proxys dos pontos de acesso armazenam objetos pequenos
Web-Proxy central (no Mikrotik) armazena objetos grandes.
210
Para maiores detalhes de implementao de PSK individual por cliente

ver trabalho apresentado no MUM Brasil 2008
(Disponvel em nosso FTP)
211
Firewall
com Mikrotik
212
Firewall
O Firewall normalmente usado como ferramenta de segurana para prevenir o

acesso no autorizado rede interna e ou acesso ao roteador em si, bloquear diversos
tipos de ataques e controlar o fluxo de dados tanto de entrada como de sada.
Alm de segurana no Firewall que sero desempenhadas diversas funes
importantes como a classificao e marcao de pacotes para uso nas ferramentas de
QoS
A classificao do trfego feita no Firewall pode ser baseada em vrios classificadores
como endereos MAC, endereos IP, tipos de endereos IP (broadcast, multicast, etc)
portas de origem e de destino, range de portas, protocolos, Tipo do Servio (ToS),
tamanho do pacote, contedo do pacote, etc etc.
213
Firewall viso geral
Filter Rules: onde ficam as regras de filtros de pacotes

NAT: onde feito a traduo de endereos (mascaramento por exemplo)
Mangle: onde feita a marcao de pacotes, conexes e roteamento
Connections: onde so visualizadas as conexes existentes
Address Lists: lista de endereos IP inserida manual ou dinamicamente que
podem ser utilizados em vrias partes do Firewall
Layer 7 Protocols: Filtros de camada 7 (Aplicao)
214
Princpios Gerais de Firewall

Canais default
- Um Firewall opera por meio de regras de Firewall. Uma regra uma expresso lgica
que diz ao roteador o que fazer com um tipo particular de pacote.
- Regras so organizadas em canais ( chains ) e existem 3 canais pr definidos:

Input : responsvel pelo trfego que vai PARA o router
Forward : responsvel pelo trfego que PASSA pelo router

Output : responsvel pelo trfego que SAI do router
215
Diagrama da Estrutura de Filtro
Filtro Forward
Deciso de
Deciso de
Filtro Input
Filtro Output
Interface de
Processo Local
Processo Local
Interface de
entrada
IN
OUT
Sada
roteamento
Roteamento
216

Regras
1 - As regras de Firewall so sempre processadas por canal, na ordem que so

listadas, ou seja de cima para baixo.
2 - As regras de firewall funcionam como o que em programao chamamos de
expresses condicionais , ou seja se <condio> ento <ao>
3 Se um pacote no atende TODAS as condies de uma regra ele passa para a
regra seguinte.
217

Regras
4 Quando o pacote atende a TODAS as condies da regra tomada uma ao com

ele, no importam as regras que estejam abaixo nesse canal, pois estas NO sero
processadas
5 Existem algumas excesses ao critrio acima, que so as aes de passthrough (

passar adiante ) , log e add to address list. (visto adiante)
6 - Um pacote que no se enquadre em qualquer regra do canal, ser por default
aceito.
218
Firewall do Mikrotik Filter Rules

As regras de filtro podem ser organizadas e mostradas das seguintes maneiras:
all: todas
dynamic: regras dinmicamente criadas por servios (ex. Hotspot)
input: regras do canal input
output: regras do canal output
forward: regras do canal forward
219

Algumas aes que se pode tomar nas regras de filtro:
accept: aceita o pacote

passthrough: ignora a regra (mas contabiliza) e passa
para a regra seguinte
drop: descarta silenciosamente o pacote
reject: descarta o pacote e responde com uma
mensagem de icmp ou tcp reset (ver ao lado)
tarpit: Respondendo com SYN/ACK ao um pacote
TCP/SYN entrante, mas no conclui a conexo.
220
Firewall / Filtro / canais criados pelo usurio

Alm dos canais padro, o administrador pode criar canais prprios, bastando dar
nomes a eles. Essa prtica ajuda muito na organizao do Firewall.
Para utilizar um canal criado devemos desviar o fluxo atravs de uma ao JUMP..
No exemplo abaixo, alm de input, output e forward, esto criados canais
chamados sanidade, segurana, vrus, etc.
221
Como funciona o canal criado pelo usurio

Regra
Regra
Regra
JUMP
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Alm dos canais

padro, o
administrador pode
criar canais prprios
e associa-los a um
canal padro.
Regra
Regra
Regra
Regra
Canal criado pelo usurio
222
Como funciona o canal criado pelo usurio

Regra
Regra
Regra
JUMP
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Caso exista uma

regra que tome a
ao RETURN,
o retorno feito
antecipadamente e
as regras abaixo
deste so ignoradas
RETURN
Regra
Regra
Regra
Canal criado pelo usurio
223

Aes relativas a canais criados pelo usurio que se pode
tomar nas regras de filtro:
jump: salta para o canal definido em jump-target
Jump Target: nome do canal para onde deve saltar
Return: Volta para o canal que chamou o jump
224
Firewall do Mikrotik Address Lists

Uma Address List, ou lista de
endereos uma lista de endereos IP
que pode ter vrias utilizaes,
conforme sero vistos alguns
exemplos mais adiante.
Pode-se adicionar dinamicamente
entradas a essas listas no Filtro ou no
Mangle.
Aes:
add dst to address list: adiciona o IP de destino lista
add src to address list: adiciona o IP de origem lista
Address List: nome da lista de endereos
Timeout: por quanto tempo a entrada ir permanecer
225
Connection Tracking
Connection Tracking ( seguimento de conexes ) se refere a habilidade do roteador
de manter o estado da informao relativa s conexes, tais como endereos IP de
origem ou destino e pares de porta, estados da conexo, tipos de protocolos e
timeouts. Firewalls que fazem connection tracking so chamados de "stateful" e so
mais seguros que aqueles que fazem o processamento "stateless
226
Connection Tracking
- O sistema de Connection Tracking ou Conntrack o corao do Firewall. Ele obtem e
mantm informaes sobre todas as conexes ativas.
- Quando se desabilita a Funo de Connection Tracking so perdidas as
funcionalidades de NAT e marcao de pacotes que dependam de conexo. Pacotes
no entanto podem ser marcados diretamente.
-.Conntrack exigente de recursos de hardware. Quando o equipamento trabalha
apenas como AP Bridge por exemplo, indicado desabilita-la
227
Localizao da Conntrack
Filtro Forward
Deciso de
roteamento
Filtro Input
Conntrack
Filtro Output
Deciso de
Roteamento
Conntrack
Interface de
Processo Local
Processo Local
Interface de
entrada
IN
OUT
Sada
228
Connection Tracking
O estado de uma conexo pode ser:

established: significando que o pacote parte de uma conexo j estabelecida
anteriormente
new: significando que o pacote est iniciando uma nova conexo ou faz parte de
uma conexo que ainda no trafegou pacotes em ambas direes
related: significando que o pacote inicia uma nova conexo, mas que essa
associada a uma conexo existente como FTP por exemplo
invalid: significando que o pacote no pertence nenhuma conexo conhecida
nem est iniciando outra.
229
Firewall Filter
Protegendo o prprio Roteador e os Clientes
230
Princpios Bsicos de Proteo

Proteo do prprio roteador
tratamento das conexes e eliminao de trfego prejudicial/intil
permitir somente os servios necessrios no prprio roteador
prevenir e controlar ataques e acesso no autorizado ao roteador
Proteo da rede interna
tratamento das conexes e eliminao de trfego prejudicial/intil
permitir somente os servios necessrios nos clientes
prevenir e controlar ataques e acesso no autorizado em clientes.
231
Regras de Firewall
tratamento de conexes
Regras no Canal Input
Descarta conexes invlidas
Aceita conexes estabelecidas
Aceita conexes relacionadas
Aceita todas as conexes da rede interna
Descarta o restante
232
Regras no Canal Input cont.
Regras de Firewall
Controle de servios
Permitir o acesso externo ao Winbox

Permitir acesso externo por SSH
Permitir acesso externo por Telnet
Relocar as regras para que funcionem
233
Regras de Firewall
Filtrando trfego prejudicial/intil
Filtros de portas de vrus
Bloqueia portas mais populares utilizadas por vrus TCP e UDP 445 e 137-139
No momento existem algumas centenas Trojans ativos e menos de 50 tipos de vrus
ativos
No site da Mikrotik h uma lista com as portas e protocolos que utilizam esses vrus.
Baixar lista de vrus Mikrotik e fazer as regras de acordo
234
Regras de Firewall
Filtrando trfego indesejvel e possveis ataques
Controle de ICMP
-Internet Control Message Protocol (ICMP) basicamente uma ferramenta para
diagnstico da rede e alguns tipos de ICMP obrigatoriamente devem ser liberados.
-Um roteador tipicamente utiliza apenas 5 tipos de ICMP (type:code), que so:
- PING Mensagens 0:0 e 8:0
- TRACEROUTE Mensagens 11:0 e 3:3
- PMTUD Path MTU discovery mensagem 3:4
Os outros tipos de ICMP podem ser bloqueados.
235
IPs Bogons:
Existem mais de 4 milhes de endereos IPV4
Regras de Firewall
Filtrando trfego indesejvel
Existem muitos ranges de IP restritos em redes pblicas

Existem vrias ranges de IPs reservados (no usados at o momento) para
propsitos especficos.
No material do curso est disponvel uma Lista de IPs Bogons atualizada em maio de
2008, baseado no site Cymru que mantm a movimentao desses IPs atualizada.
http://www.cymru.com/Documents/bogon-dd.html
IPs Privados:
Muitos aplicativos mal configurados geram pacotes destinados a IPs privados e
uma boa prtica filtra-los.
236
Firewall
Protees de ataques
Ping Flood
Ping Flood consiste usualmente de
grandes volumes de mensagens de ICMP
aleatrias
possvel detectar essa condio com a
regra ao lado
Interessante associar essa regra com

uma de log
237
Firewall - Protees de ataques

Port Scan
Consiste no escaneamento de portas
TCP e UDP
A deteco somente possvel para
ataques de TCP
Portas baixas (0 1023)
Portas altas (1024 65535)
238

DoS
O Principal objetivo do ataque de DoS o consumo de recursos como CPU ou
largura de banda.
Usualmente o roteador inundado com requisies de conexes TCP/SYN

causando a resposta de TCP/SYN-ACK e a espera do pacote de TCP/ACK
Normalmente no intencional e causada por vrus em clientes
Todos IPs com mais de 10 conexes com o roteador podem ser considerados
atacantes .
239

DoS
Ataques DoS - cont
Se simplesmente descartarmos as conexes, permitiremos que o atacante crie
uma nova conexo.
A proteo pode ser implementada em dois estgios:
Deteco criando uma lista dos atacantes DoS com base em connection
limit
Supresso aplicando restries aos que forem detectados.
240

DoS
241

DoS
Com a ao tarpit aceitamos a conexo e a

fechamos, no deixando no entanto o atacante
trafegar.
Esta regra deve ser colocada antes da regra

de deteco ou ento a address list vai
reeescreve-la todo o tempo.
242
Firewall
Protees de ataques
dDOS
Ataques de dDos (dDoS) so bastante
parecidos com os de DoS, porm partem de
um grande nmero de hosts infectados
A nica medida que podemos tomar
habilitar a opo TCP syn cookie no
connection tracking do Firewall
243
Firewall do Mikrotik NAT

NAT Network Address Translation uma tcnica que permite que hosts em uma
LAN usem um conjunto de endereos IP para comunicao interna e outro para
comunicao externa.
Existem dois tipos de NAT:
Source Nat (srcnat), ou NAT de origem, quando o roteador reescreve o IP de
origem e ou a porta por um outro IP de destino.
SRC
DST
SRC NAT
Novo SRC
DST
Destination NAT (dstnat), ou NAT de destino quando o roteador reescreve o

endereo ou a porta de destino.
SRC
DST
DST NAT
SRC Novo DST

244
As regras de NAT so organizadas em canais:

dstnat:
Processa o trfego mandado PARA o roteador e ATRAVS do roteador, antes que ele
seja dividido em INPUT e FORWARD.
src-nat:
Processa o trfego mandado a PARTIR do roteador e ATRAVS do roteador, depois
que ele sai de OUTPUT e FORWARD
245
NAT
Filtro Forward
Dstnat
Deciso de
Roteamento
Filtro Output
Deciso de
Roteamento
Conntrack
Filtro Input
Conntrack
Srcnat
Interface de
Processo Local
Processo Local
Interface de
entrada
IN
OUT
Sada
246
NAT - Exemplos
Source NAT - Mascarando a rede 192.168.0.0/24 atrs do IP 200.200.200.200 que est
configurado na interface ether1
Os pacotes de qualquer host da rede 192.168.0.0/24

sairo com o IP 200.200.200.200
247
NAT - Exemplos
Destination NAT e Source NAT (1:1) Apontando o IP 200.200.200.200 para o host interno
192.168.0.100
248
NAT - Exemplos
Redirecionamento de Portas: Fazendo com que tudo que chegue na porta 5100 v para
o servidor WEB que est na mquina interna 192.168.0.100 e tudo que chegar na porta 5200
v para a mquina 192.168.0.200
249
NAT - Exemplos
NAT 1:1 com netmap: Apontando a rede interna 192.168.0.0/24 para a rede pblica
200.200.200.200/24
250
NAT Helpers
Hosts em uma rede nateada no possuem conectividade fim-a-fim

verdadeira. Por isso alguns protocolos podem no trabalhar
satisfatriamente em alguns cenrios. Servios que requerem a
iniciao de conexes TCP de for a da rede, bem como protocolos
stateless como o UDP por exemplo, podem no funcionar.
Para contornar esses problemas, a implementao de NAT no
Mikrotik prev alguns NAT helpers que tem a funo de auxiliar
nesses servios.
Redirecionamento e Mascaramento
So formas especiais de de dstnat e srcnat respectivamente, onde
no se especifica para onde vai o pacote (to-address). Quando um
pacote nateado como dst-nat, no importa se a ao nat ou
redirect que o IP de destino automticamente modificado.
251
Address Lists
Address Lists permitem que o usurio crie listas de

endereos IP agrupados entre si. Estes podem ser
utilizados pelo filtro do Firewall, Mangle e NAT.
Os registros de Address Lists podem ser atualizados
dinamicamente via action=add-src-to-address-list ou
action=add-dst-to-address-list, opes encontradas
em NAT, Mangle ou Filter.
No Winbox possvel editar o nome da lista,
simplesmente digitando-o
252
Address Lists - Exemplo

Penalizar o usurio que tentar
dar um Telnet no Roteador.
Fazer com que esse usurio
no faa mais nada.
- cria-se as listas no Address

list com o IP e da-se um nome
para a lista ( soh_Telnet )
- marca-se no mangle no canal

prerouting o protocolo TCP e
porta 23
253
Address Lists - Exemplo

- Ainda no Mangle, adiciona-se
a ao add-source ao address
list chamado soh_telnet
- Nas regras de filtro, no canal

input pega-se os pacotes que
esto na lista soh_telnet e
escolhe-se a ao drop.
254
Knock.exe 192.168.0.2 1234:tcp 4321:tcp
255
Knock.exe 192.168.0.2 1234:tcp 4321:tcp
/ip firewall rule

add chain=input dst-port=1234 protocol=tcp action=add-src-to-address-list
address-list=temp address-list-timeout=15s
add chain=forward dst-port=4321 protocol=tcp src-address-list=temp
action=add-src-to-address-list address-list=liberado address-listtimeout=15m
256
Liberando o acesso para quem estiver na lista e negando

para o resto
257
FIREWALL MANGLE
258
Firewall do Mikrotik Mangle
A Facilidade Mangle apresentada no RouterOS do Mikrotik permite introduzir marcas

em conexes e em pacotes IP em funo de comportamentos especficos.
As marcas introduzidas pelo Mangle so utilizadas em processamento futuro e delas
fazem uso ferramentas como o controle de banda, ferramentas de QoS e NAT. Elas
existem porm somente dentro do roteador, no sendo transmitidas para for a.
possvel porm com o Mangle alterar determinados campos no cabealho IP,

como o ToS ( type of service ) e campos de TTL ( Time to live )
259
Estrutura do Mangle
As regras de Mangle so organizadas em canais e obedecem as mesmas regras
gerais das regras de filtros, quanto a sintaxe.
possvel tambm criar canais pelo usurio
H 5 canais padro:
Prerouting: marca antes da fila Global-in
Postrouting: marca antes da fila Global-out
Input: marca antes do filtro de Input
Output: marca antes do filtro Output
Forward: marca antes do filtro Forward
260
Diagrama do Mangle
Mangle
Forward
Mangle
Deciso de
Deciso de
Mangle
Prerouting
Roteamento
Roteamento
Postrouting
Interface de
Mangle
Mangle
entrada
Input
Output
Processo Local
Processo Local
IN
OUT
Interface de
Sada
261
Aoes do Mangle
As opes de marcao incluem:
mark-connection apenas o primeiro pacote.
mark-packet marca um fluxo (todos os pacotes)

mark-routing marca pacotes para polticas de
roteamento
262
Marcando Conexes
Use mark-connection para identificar um ou um grupo de conexes com uma
marca especfica de conexo.
Marcas de conexo so armazenadas na tabela de connection tracking.
S pode haver uma marca de conexo para uma conexo.
A facilidade Connection Tracking ajuda a associar cada pacote a uma conexo
especfica.
263
Marcando Pacotes
Pacotes podem ser marcados:
Indiretamente, usando a facilidade de connection tracking, com

base em marcas de conexo previamente criaddas ( mais rpido e
mais eficiente )
Diretamente, sem o connection tracking no necessrio marcas
de conexo e o roteador ir comparar cada pacote com determinadas
condies.
264
Estrutura de Firewall no Mikrotik
265
Fluxo de pacotes no Firewall
266
Mangle Exemplo de marcao

Marcando a conexo P2P
[admin@MikroTik] ip firewall mangle> print

Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward p2p=all-p2p action=mark-connection
new-connection-mark=marca_da_conexao passthrough=yes
267
Mangle Exemplo de marcao

Marcando os pacotes P2P
[admin@MikroTik] ip firewall mangle> print

Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward p2p=all-p2p action=mark-connection new-connectionmark=conexao_p2p passthrough=yes
1 chain=forward connection-mark=conexao_p2p action=mark-packet newpacket-mark=pacote_p2p passthrough=no
268
Mangle
Exemplos
Queremos dar um tratamento diferenciado a vrios tipos de fluxos e
Precisamos marcar:
Fluxo de Navegao http e https
FTP
Email
MSN
ICMP
P2P
O que no foi marcado acima

269
Dvidas ??
270
QoS e Limite de Banda
271
Largura de Banda
Em telecomunicaes, a largura da banda ou apenas banda (tambm chamada de dbito)
usualmente se refere bitrate de uma rede de transferncia de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominao banda, designada originalmente a um grupo de
frequncias justificada pelo fato de que o limite de transferncia de dados de um meio est
ligado largura da banda em hertz. O termo banda larga denota conexes com uma largura em
hertz relativamente alta, em contraste com a velocidade padro em linhas analgicas
convencionais (56 kbps), na chamada conexo discada.
Limite de Banda
O limite de banda o limite mximo de transferncia de dados, onde tambm designada sua
velocidade. Por exemplo, voc pode ter uma conexo de banda de 1Mbps, onde voc
conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por segundo.
O termo banda frequentemente utilizado por operadoras de telecomunicaes referindo-se
ao limite de dados recebidos ou enviados oferecido pelo servio num perodo de um ms.
Ultrapassando-se esse limite, as operadoras podem aplicar cortes no limite de transferncia de
dados de um dado cliente.
272
Traffic Shaping
Traffic shaping um termo utilizado para definir a prtica de priorizao do

trfego de dados, atravs do condicionamento da banda de redes, a fim de
otimizar o uso da largura de banda disponvel.
No Brasil, a prtica passou a ser adotada pelas empresas de telefonia e
PSCM. Estas empresas utilizam programas de gesto de dados que
acompanham e analisam a utilizao e priorizam a navegao, bloqueando
ou diminuindo o trfego de dados. A prtica comumente adotada para
servios conhecidos por demandar grande utilizao da largura de banda,
como os de transferncia de arquivos, por exemplo, P2P e FTP.
Os programas de traffic shaping podem ainda fazer logs dos hbitos dos
usurios, capturar informaes sobre IPs acessados, ativar gravaes
automticas a partir de determinadas condutas, reduzir ou interferir na
transferncia de dados de cada usurio.
273
Qualidade de Servio
No campo das telecomunicaes e redes de computadores, o termo
Qualidade de Servio (QoS), em especial nas redes de comutao de
pacotes, refere-se garantia de largura de banda ou, como em muitos
casos, utilizada informalmente para referir-se a probabilidade de um
pacote circular entre dois pontos de rede.
Existem, essencialmente, duas formas de oferecer garantias de QoS. A
primeira procura oferecer bastantes recursos, suficientes para o pico
esperado, com uma margem de segurana substancial. simples e eficaz,
mas na prtica assumido como dispendioso, e tende a ser ineficaz se o
valor de pico aumentar alm do previsto.
O segundo mtodo o de obrigar os dispositivos a reservar os recursos, e

apenas aceitar as reservas se os roteadores conseguirem servi-las com
confiabilidade.
Qualidade de Servio (QoS) significa que o(s) roteador(es) deve(m)
priorizar e controlar o trfego na rede. Diferentemente da limitao de
banda o QoS tem a misso de racionalizar os recursos da rede,
balanceando o fluxo de dados com a melhor velocidade possvel, evitando
o monoplio do canal.
274
Qualidade de Servio
Os mecanismos para prover QoS do Mikrotik so:

limitar banda para certos IPs, subredes, protocolos, portas e outros parmetros
limitar trfego peer to peer
priorizar certos tipos de fluxos de dados em relao a outros
utilizar bursts para melhorar o desempenho de acesso WEB
aplicar filas em intervalos de tempo fixos
compartilhar a banda disponvel entre os usurios de forma ponderada e
dependendo da carga do canal
utilizao de WMM Wireless Multimdia
MPLS Multi Protocol Layer Switch
275
Qualidade de Servio
Os principais termos utilizados em QoS so:
queuing discipline (qdisc) disciplina de enfileiramento um algortimo que

mantm e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem (
podendo inclusive reordena-los ) e detremina quais pacotes sero descartados.
Limit At ou CIR (Committed Information Rate) Taxa de dados garantida a
garantia de banda fornecida a um circuito/link.
Max Limit ou MIR (Maximal Information Rate) Banda mxima que ser
fornecida, ou seja limite a partir do qual os pacotes sero descartados
Priority Prioridade a ordem de importancia que o trfego ser processado.
Pode-se determinar qual tipo de trfego ser processado primeiro.
276
Filas (queues)
Para ordenar e controlar o fluxo de dados, aplicada uma poltica de enfileiramento

aos pacotes que estejam deixando o roteador, ou seja,
As filas so aplicadas na interface onde o fluxo est saindo !
A limitao de banda feita mediante o descarte de pacotes. No caso de protocolo
TCP, os pacotes descartados sero reenviados, de forma que no h com que se
preocupar com relao perda de dados. O mesmo no vale para UDP.
277
Tipos de Filas
Antes de enviar os pacotes por uma interface, eles so processados por uma disciplina
de filas (queue types). Por padro as disciplinas de filas so colocadas sob queue
interface para cada interface fsica.
Uma vz adicionada uma fila (em queue tree ou queue simple) para uma interface
fsica, a fila padro da interface (interface default queue), definida em queue interface,
no ser mantida. Isso significa que quando um pacote no encontra (match) qualquer
filtro, ele enviado atravs da interface com prioridade mxima.
278
Tipos de Filas
Disciplinas Scheduler e Shaper
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas so classificadas pela sua influncia no fluxo de
pacotes da seguinte forma:
schedulers (re)ordenam pacotes de acordo com um determinado

algortimo e descartam aqueles que se enquadram na disciplina.
Disciplinas Scheduler so:
PFIFO, BFIFO, SFQ, PCQ, RED
shapers tambm fazem a limitao. So:
PCQ e HTB
279
Tipos de Filas
Controle de Trfego
O controle de trfego implementado atravs de dois mecanismos:
Pacotes so policiados na entrada
pacotes indesejveis so descartados
Pacotes so enfileirados na respectiva interface de sada
pacotes podem ser atrasados, descartados ou priorizados
280
Controle de Trfego
O controle de trfego implementado internamente por 4 tipos de componentes:
Queuing Disciplines = qdisc
algoritmos que controlam o enfileiramento e envio de pacotes.
ex.: FIFO
Classes
representam entidades de classificao de pacotes.
cada classe pode estar associada a uma qdisc
Filters
utilizados para classificar os pacotes e atribu-los as classes.
Policers
utilizados para evitar que o trfego associado a cada filtro ultrapasse limites
pr-definidos.
281
Tipos de Filas
PFIFO e BFIFO
Estas disciplinas de filas so baseadas no algortimo FIFO (First-In First-Out), ou seja, o
primeiro que entra o primeiro que sai.
A diferena entre PFIFO e BFIFO que, um medido em pacotes e o outro em bytes.
Existe apenas um parmetro chamado pfifo-limit (bfifo-limit) que determina a quantidade de
dados uma fila FIFO pode conter. Todo pacote que no puder ser enfileirado (se a fila est
cheia) ser descartado. Tamanhos grandes de fila podero aumentar a latncia, em
compensao prov uma melhor utilizao do canal.
282
Tipos de Filas
RED
RED- Random Early Detection Deteco aleatria antecipada um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho mdio da
fila .
Quando o tamanho mdio da fila atinge o valor configurado em red-min-threshold, o RED
aleatriamente escolhe um pacote para descartar. A probabilidade do nmero de pacotes que
sero descartados cresce na medida em que a mdia do tamanho da fila tambm cresce. Se o
tamanho mdio da fila atinge red-max-threshold, os pacotes so descartados com a
probabilidade mxima. Entretanto existem casos em que o tamanho real da fila (no a mdia)
muito maior que red-max-threshold, ento todos os pacotes que excederem red-limit sero
descartados.
RED indicado em links congestionados com altas taxas de dados. Como muito rpido
funciona bem com TCP.
283
Tipos de Filas
SFQ
Stochastic Fairness Queuing (SFQ) Enfileiramento Estocstico com justia, um
disciplina que tem a justia assegurada por algoritmos de hashing e round roubin. O
fluxo de pacotes pode ser identificado, exclusivamente, por 4 opes:
src-address
dst-addess
src-port
dst-port
Os pacotes podem ser classificados em 1024 sub-filas, e em seguida o algoritimo round
robin distribui a banda disponvel para estas subfilas, a cada rodada configurada no
parmetro allot (bytes).
No limita trfego. O objetivo equalizar os fluxos de trfego (sesses TCP e streaming
UDP) quando o link (interface) est completamente cheio. Se o link no est cheio, ento
no haver fila e, portanto, qualquer efeito, a no ser quando combinado com outras
disciplinas (qdisc).
284
Tipos de Filas
SFQ
A fila, que utiliza SFQ, pode conter 128 pacotes e h 1024 sub-filas disponveis.
recomendado o uso de SFQ em links congestionados para garantir que as conexes
no degradem. SFQ especialmente indicado em conexes sem fio.
285
Tipos de Filas
PCQ
O PCQ - Per Connection Queuing Enfileiramento por conexo foi criado para resolver
algumas imperfeies do SFQ. o nico tipo de enfileiramento de baixo nvel que pode
fazer limitao sendo uma melhoria do SFQ, sem a natureza estocstica. PCQ tambm cria
sub-filas considerando o parametro pcq-classifier. Cada sub-fila tem um taxa de transmisso
estabelecida em pcq-rate e o tamanho do pacote mximo igual a pcq-limit. O tamanho total
de uma fila a PCQ fica limitado ao que for configurado em pcq-total-limit.
O exemplo abaixo mostra o uso do PCQ com pacotes classificados pelo endereo de origem
286
Tipos de Filas
PCQ
Se os pacotes so classificados pelo endereo de origem, ento todos os pacotes com
diferentes endereos sero agrupados em sub-filas diferentes. Nesse caso possvel fazer
a limitao ou equalizao para cada sub-fila com o parmetro pcq-rate. Talvez a parte mais
significante decidir em qual interface utilizar esse tipo de disciplina. Se utilizarmos na
interface local, todo trfego da interface pblica ser agrupado pelo endereo de origem (e
provavelmente no o que se deseja), mas ser for empregada na interface pblica todo o
trfego de nossos clientes ser agrupado pelo endereo de origem, o que torna fcil
equalizar ou limitar o upload dos clientes. O mesmo controle pode ser feito para downloads,
mas, nesse caso ser utilizado o classificador dst-address e configurado na interface local.
PCQ uma boa ferramenta para controlar ou equalizar a banda entre diversos usurios com
pouco trabalho de administrao.
287
QoS - HTB
HTB (Hierarchical Token Bucket) uma disciplina de enfileiramento hierrquica que usual
para aplicar diferentes polticas para diferentes tipos de trfego. O HTB simula vrios links
um um nico meio fsico, permitindo o envio de diferentes tipos de trfego em diferentes links
virtuais. Em outras palavras, HTB muito til para limitar o download e upload de usurios
de uma rede, desta forma no existe saturamento da largura de banda disponvel no link
fsico. Alm disso, no Mikrotik ROS, utilizado o HTB para configuraes de QoS.
Cada class tem um pai e pode ter uma ou mais
filhas. As que no tm filhas, so colocados no
level 0, onde as filas so mantidas, e so
chamadas de leaf class.
Cada classe na hierarquia pode priorizar e dar forma ao
trfego (shaping).
- Para shaping os parmetros so:
limit-at: banda garantida (CIR)
max-limit: banda mxima permitida (MIR)
- Para priorizar:
priority: de 1 a 8, sendo 1 a maior prioridade.
*Prioridade s funcionar aps o limit-at ser alcanado.
288
QoS - HTB
Exemplo de HTB
Queue01 limit-at=0Mbps max-limit=10Mbps
Queue03 limit-at=6Mbps max-limit=10Mbps priority=1
Resultados
Queue03 receber 6Mbps
Descrio: O HTB foi configurado, de modo que, satisfazendo
todas as garantias (limit-at) a filla principal (pai) no possuir
nenhuma capacidade para distribuir mais banda caso seja
solicitado por uma filha.
289
QoS - HTB
Exemplo de HTB
Resultados
Descrio: Aps satisfazar todas garantias, o HTB
disponibilizar mais banda, at o mximo permitido (max-limit)
para a fila com maior prioridade. Mas neste caso, permitir-se
reserva de 8Mbps de throughput para as filas Queue04 e
Queue05, as quais, a que possuir maior prioridade receber
primeiro o adicional de banda, pois a fila Queue02 possui
garantia atribuida.
290
QoS - HTB
Termos do HTB:
Filter - um processo que classifica pacotes. Os filtros so responsveis pela
classificao de pacotes para que eles sejam colocados nas correspondentes qdiscs.
Todos os filtros so aplicados no fila raiz HTB e classificados diretamente nas qdiscs,
sem atravessar a rvore HTB. Se um pacote no est classificado em nenhuma das
qdiscs, enviado para a interface diretamente, por isso nenhuma regra HTB
aplicada aos pacotes (isso significa prioridade maior que qualquer pacote do fluxo
gerido pelo HTB) .
Level - posio de uma classe na hierarquia.
Class - algoritmo de limitao no fluxo de trfego para uma determinada taxa. Ela
no guarda quaisquer pacotes (esta funo s pode ser realizada por uma fila). Uma
classe pode conter uma ou mais subclasses (inner class) ou apenas uma e um qdisc
(leaf class).
291
QoS - HTB
Termos do HTB:
Inner class - uma classe que tenha uma ou mais classes filhas ligadas a ela.
No armazenam quaisquer pacotes, ento qdiscs no podem ser associados a
elas (qdisc e configuraes de filtros so ignoradas, embora possam ser exibidos
na configurao do RouterOS). S fazem limitao de trfego. Definio de
prioridade tambm ignorada.
Leaf class - uma classe que tem uma classe pai, mas ainda no tem nenhuma
classe filha. Leaf class esto sempre localizadas no level 0 da hierarquia.
Self feed - uma sada (fora da rvore HTB para a interface) para os pacotes de
todas as classes ativas no seu nvel de hierarquia. Existe uma self feed por level,
cada uma constituda por 8 self slots, que representam as prioridades.
292
QoS - HTB
Termos do HTB:
Auto slot - um elemento de uma self feed que corresponde a cada prioridade.
Existe um auto slot por nvel. Todas as classes ativas no mesmo nvel, com a
mesma prioridade, so anexados a um auto slot que enviam os pacotes para fora.
Active class (para um nvel particular) - uma class que est associada a um auto
slot em determinado nvel.
Inner feed - semelhante a uma self feed, constitudos de inner self slots,
presentes em cada classe interior. Existe um inner feed por inner class.
Inner feed slot - similar auto slot. Cada inner feed constitudo de inner slots
os quais representam uma prioridade.
293
QoS - HTB
Estados das classes HTB
Cada classe HTB pode estar em um dos 3 estados,
dependendo da banda que est consumindo:
verde de 0% a 50% da banda disponvel est em
uso.
amarelo de 51% a 75% da banda disponvel
est em uso.
vermelho de 76% a 100% da banda disponvel
est em uso. Aqui ocorre o descarte de pacotes,
quando se ultrapassa o max-limit.
294
QoS - HTB
No Mikrotik ROS as estruturas do HTB podem ser anexadas a
quatro locais diferentes:
Interfaces Virtuais
global-in representa todas as interfaces de entrada em geral (INGRESS queue). As
filas atreladas global-in recebem todo o trfego entrante no roteador, antes da filtragem de
pacotes.
global-out representa todas as interfaces de sada em geral (EGRESS queue). As
filas atreladas global-out recebem todo o trfego que sai do roteador.
global-total representa uma interface virtual atravs da qual passa todo o fluxo de
dados. Quando se associa uma poltica de filas global-total, a limitao feita em ambas
as direes. Por exemplo se configurarmos um total-max-limit de 256kbps, teremos um total
de upload+download limitado em 256 kbps, podendo haver assimetria.
Outras Interfaces
Interface X- representa uma interface particular. Somente o trfego que configurado
para sair atravs desta desta interface passar atravs da fila HTB.
295
QoS - HTB
Interfaces Virtuais e o Mangle
Mangle
Forward
Global In
(+Global Total)
Deciso de
Roteamento
Deciso de
Roteamento
Mangle
Postrouting
Mangle
Prerouting
Mangle
Input
Mangle
Input
Global-out
(+Global-Total)
Interface de
entrada
Processo Local
IN
Processo Local
OUT
Interface de
Sada
296
Filas Simples
- As filas simples (simple queue) so a maneira mais fcil de se limitar a banda de

endereos IPs distintos ou sub-redes. Elas permitem configurar as velocidades de upload
e download com apenas uma entrada.
- Tambm podem ser usadas para configurao de aplicaes de QoS.
- Os filtros de filas simples so executados completamente pelo HTB nas interfaces

global-out (queue direct) e global-in (queue reverse)
- Os filtros enxergam as direes dos pacotes IP da mesma forma que apareceriam no
Firewall.
- Hotspot, DHCP e PPP criam dinamicamente filas simples.
297
Filas Simples
- As principais propriedades configurveis de uma fila simples so:

Limite por direo IP de origem ou destino
Interface do cliente
tipo de fila
configuraes de limit-at, max-limit, priority e burst para download e upload
Horrio
298
Como funciona o Burst
Bursts so usados para permitir altas taxas de dados por um curto perodo de tempo.
Os parmetros que controlam o Burst so:

burst-limit: limite mximo que alcanar
burst-time: tempo que durar o burst
burst-threshold: patamar onde comea a limitar
max-limit: MIR
299
Como funciona o Burst

Exemplo
max-limit=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
dado ao cliente inicialmente a banda burst-limit=512 kbps. O algortimo calcula a taxa mdia
de consumo de banda durante o burst-time de 8 segundos.
com 1 segundo a taxa mdia (0+0+0+0+0+0+0+512)/8 = 64kbps (abaixo do threshold)
com 2 segundos j de (0+0+0+0+0+0+512+512)/8 = 128 kbs (abaixo do threshold)
com 3 segundos (0+0+0+0+0+512+512+512)/8 = 192 ( o ponto de inflexo onde acaba o
burst)
A partir do momento que foi atingido o ponto de inflexo o Burst desabilitado e a taxa
mxima do cliente passa a ser o max-limit.
300
Utilizao de PCQ
PCQ Per Connection Queue Enfileiramento por conexo

- PCQ utilizado para equalizar a cada usurio em particular ou cada conexo em
particular
- Para utilizar PCQ, um novo tipo de fila deve ser adicionado com o argumento
kind=pcq
- Devem ainda ser escolhidos os parmetros:
pcq-classifier
pcq-rate
301
Utilizao de PCQ
- Com o rate configurado como zero, as

subqueues no so limitadas, ou seja elas
podero utilizar o mximo de largura de
banda disponvel em max-limit
- Se configurarmos um rate para PCQ a
subqueues sero limitadas nesse rate, at o
total de max-limit
302
Utilizao de PCQ
- Nesse caso, como o rate da fila 128k, no

existe limit-at e tem um total de 512k, os clientes
recebero a banda da seguinte forma:
512k
128k
Banda total
2 clientes
128
64k
4 clientes
8 clientes
303
Utilizao de PCQ
- Nesse caso, como o rate da fila 0, no existe

limit-at e tem um total de 512k, os clientes
recebero a banda da seguinte forma:
256k
512k
512k
256k
Banda total
1 cliente
2 clientes
64k
8 clientes
304
rvores de Filas
Trabalhar com rvores de filas uma maneira mais elaborada de administrar o
trfego. Com elas possvel construir sob medida uma hierarquia de classes, onde
poderemos configurar as garantias e prioridades de cada fluxo em relao outros,
determinando assim uma poltica de QoS para o fluxo do roteador.
Os filtros de rvores de filas so aplicados na interface especificada. Os filtros so
apenas marcas que o firewall faz no fluxo de pacotes na opo mangle. Os filtros
enxergam os pacotes na ordem em que eles chegam ao roteador.
tambm a nica maneira para adicionar uma fila em uma interface separada.
Tambm possvel ter o dobro de enfileiramento (exemplo: priorizao de trfego
em global-in e/ou global-out, limitao por cliente na interface de sada). Se
configurado filas simples (queue simple) e rvore de filas (queue tree) no mesmo
roteador, as filas simples recebero o trfego primeiro e o classificaro.
305
rvores de Filas
- As rvores de filas so configuradas em

queue tree
- Dentre as propriedades configurveis se
incluem;
Escolher uma marca de trfego
(feita no mangle)
parent-class ou interface de
sada ( incluindo as interfaces virtuais global-in
e global-out)
Tipo de Fila (queue type)
configuraes de limit-at, maxlimit, priority e burst
306
rvores de Filas
Laboratrio
Queue
Limit-At
Max-Limit
C1
10M
20M
C2
1M
20M
C3
1M
20M
C4
1M
20M
C5
1M
20M
O roteador no conseguir garantir a banda para C1.
307
rvores de Filas
Laboratrio
Com parent (hierarquia)
308
rvores de Filas
Laboratrio
Mais hierarquia
C1 possui maior prioridade, portanto consegue atingir o max-limit, o restante da
banda divido entre as outras leaf-queue
309
rvores de Filas
Laboratrio
Garantia na inner queue
310
rvores de Filas
Laboratrio
Prioridade na leaf queue
311
rvores de Filas
Laboratrio
Prioridade funciona apenas na leaf queue, no funciona na inner queue
Erros comuns:
leaf queue sem parent
prioridade configurada para inner queue
312
Dvidas ??
313
Tneis
&
VPNs
314
VPN
Uma Rede Particular Virtual (Virtual Private Network - VPN) uma rede de
comunicaes privada normalmente utilizada por uma empresa ou um conjunto de
empresas e/ou instituies, construda em cima de uma rede de comunicaes pblica
(como por exemplo, a Internet). O trfego de dados levado pela rede pblica
utilizando protocolos padro, no necessariamente seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a
confidencialidade, autenticao e integridade necessrias para garantir a privacidade
das comunicaes requeridas. Quando adequadamente implementados, estes
protocolos podem assegurar comunicaes seguras atravs de redes inseguras.
315
VPN
As principais caractersticas das VPNs so:
Promover acesso seguro sobre meios fsicos pblicos como a Internet por
exemplo.
Promover acesso seguro sobre linhas dedicadas, wireless, etc.
Promover acesso seguro a servios em ambiente corporativo de correio,
impressoras, etc.
Fazer com que o usurio, na prtica, se torne parte da rede corporativa
remota recebendo IPs desta e perfis de segurana definidos.
A base da formao das VPNs o tunelamento entre dois pontos, porm
tunelamento no sinnimo de VPN.
316
Tunelamento
A definio de Tunnelling a capacidade de criar tneis entre
dois hosts, por onde trafegam dados.
O Mikrotik implementa diversos tipos de Tunelamento, podendo ser tanto servidor
como cliente desse protocolos.
PPP ( Point to Point Protocol )
IPSec ( IP Security )
PPPoE ( Point to Point Protocol over Ethernet )
Tneis IPIP
PPtP ( Point to Point Tunneling Protocol )
Tneis EoIP
L2TP ( Layer 2 Tunneling Protocol )
VPLS
Tneis TE
317
Algumas definies comuns

para os servios PPP
MTU/MRU: unidades mximas de transmisso/recepo em bytes. Normalmente o
padro ethernet permite 1500 bytes. Em servios PPP que precisam encapsular os
pacotes, deve se definir valores menores para evitar a fragmentao.
Keepalive Timeout: define o perodo de tempo em segundos aps o qual o roteador
comea a mandar pacotes de keepalive a cada segundo. Se nenhuma resposta de
keepalive recebida pelo perodo de tempo de 2 vezes o keep-alive-timeout o cliente
considerado desconectado.
Authentication:
Pap: usurio/senha passa em texto plano, sem criptografia
Chap: usurio/senha com criptografia
mschap1: verso chap da Microsoft conf. RFC 2433
mschap2: verso chap da Microsoft conf. RFC 2759
318
Algumas definies comuns

para os servios PPP
PMTUD: Se durante uma comunicao alguma estao enviar pacotes IP maiores do

que a rede pode suportar, ou seja, maiores que o menor MTU (Maximum Transmission
Unit) do caminho, ento ser necessrio que haja algum mecanismo para avisar que
esta estao dever diminuir o tamanho dos pacotes para que a comunicao ocorra
com sucesso. O processo interativo de envio de pacotes em determinados tamanhos, a
resposta dos roteadores intermedirios (possivelmente com pacotes do tipo ICMP
Packet To Big) e a adequao do tamanho dos pacotes posteriores chamada Path
MTU Discovery ou PMTUD. Normalmente esta funcionalidade est presente em todos
os roteadores comerciais e sistemas Unix Like, assim como no Mikrotik ROS.
MRRU: tamanho mximo do pacote, em bytes, que poder ser recebido no link. Se um
pacote ultrapassa o valor definido ele ser divido em pacotes menores, permitindo o
melhor dimensionamento do tnel. Especificar MRRU significa permitir MP (Multilink
PPP) sobre um tnel simples. Essa configurao til para o protocolo PMTU
Discovery superar falhas. O MP deve ser ativado em ambos os lados (cliente e
servidor).
319
Change MSS (Mximum Segment Size Field, ou seja o tamanho mximo do segmento de dados.).
Um pacote com MSS que ultrapassa o MSS dos roteadores por onde um tnel est estabelecido
deve ser fragmentado antes de envi-lo. Em alguns casos o PMTUD est quebrado ou os
roteadores no conseguem trocar as informaes de maneira eficiente e causam uma srie de
problemas com transferncia HTTP, FTP e correio eletrnico, alm de mensageiros instantneos.
Neste caso o Mikrotik ROS proporciona ferramentas onde possvel intervir e configurar uma
diminuio do MSS dos prximos pacotes atravs do tnel visando resolver o problema.
320
Servidor ou Cliente PPPoE

PPPoE (point-to-point protocol over Ethernet) uma adaptao do PPP para
funcionar em redes Ethernet. Pelo fato da rede Ethernet no ser ponto a ponto, o
cabealho PPPoE inclui informaes sobre o remetente e destinatrio, desperdiando
mais banda (~2% a mais).
- Muito usado para autenticao de clientes com Base em Login e senha. O PPPoE
estabelece a sesso e realiza a autenticao com o provedor de acesso a Internet.
- O cliente no tem IP configurado, o qual atribuido pelo PPPoE server
(concentrador), normalmente operando em conjunto com um servidor Radius. No
Mikrotik ROS, no obrigatrio o uso de servidor Radius, pois o mesmo permite a
criao e gerenciamento de usurios e senhas em uma tabela local (/ppp secrets).
- PPPoE, por padro, no criptografado (pode-se lanar mo do mtodo MPPE,
desde que o cliente suporte este mtodo)
321
Servidor ou Cliente PPPoE
O cliente descobre o servidor atravs do protocolo PPPoE discover, que

tem o nome do servio a ser utilizado.
Precisa estar no mesmo barramento fsico ou os dispositivos passarem para

frente as requisies PPPoE (pppoe relay).
No Mikrotik ROS o valor padro do Keep Alive Timeout 10, e funcionar

bem na maioria dos casos. Se configurarmos para 0, o servidor no
desconectar os clientes at que os mesmos solicitem ou o servidor for
reiniciado.
322
Configurao do Servidor PPPoE

1 Crie um pool de IPs para o PPPoE
/ip pool add name=pool-pppoe
ranges=10.1.1.1-10.1.1.254
2 Adicione um Perfil de PPPoE onde:

Local address = endereo IP do concentrador
Remote address = pool do pppoe
/ppp profile add name=perfil-pppoe" local-address=192.168.1.1 remote-address=pool-pppoe
323

3 Adicione um usurio e senha
/ppp secret add name=usuario
password=123456
service=concentrador-pppoe
profile=perfil-pppoe.
Caso queira verificar o MAC-Address,
adicione-o em Caller ID. Esta opo no
obrigatria, mas um parmetro a
mais que garante segurana.
324

4 Adicione o PPPoE Server
Service Name = nome que os clientes vo
procurar (pppoe-discovery).
/interface pppoe-server server add
authentication=chap,mschap1,mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 maxmru=1480 max-mtu= 1480 max-sessions=50
mrru=512 one-session-per-host=yes servicename=concentrador-pppoe
325
Mais sobre Perfis

Bridge: bridge para associar ao perfil.
Incoming/Outgoing Filter: nome do canal do Firewall
para pacotes entrando/saindo.
Address List: lista de endereos IPs para associar ao
perfil.
DNS Server: configurao dos servidores DNS a
atribuir nos clientes. Pode se configurar mais de um
endereo IP.
Use Compression/Encryption/Change TCPMSS:

caso estejam default associam ao valor que est
configurado no perfil DEFAULT-PROFILE.
326
Mais sobre Perfis

Session Timeout: a durao mxima de uma
sesso pppoe.
Idle Timeout: o perodo de ociosidade na
transmisso de uma sesso. Se no houver trfego
IP dentro do perodo configurado a sesso
terminada.
Rate Limit: limitao da velocidade na forma rxrate[/tx-rate] rx o upload do cliente
OBS: Pode ser usada a sintaxe: rx-rate[/tx-rate] [rx-burstrate[/tx-burst-rate] [rx-burst-threshold[/tx-burstthreshold] [rx-burst-time[/tx-burst-time] [priority] [rxrate-min[/tx-rate-min]]]].
Only One: permite apenas uma sesso para o

327
mesmo usurio.
Mais sobre o user Database

Service: Especifica o servico disponvel para esse
cliente em particular.
Caller ID: MAC address do cliente

Local Address/Remote Address: endereo IP
local(servidor) e remote(cliente) que podero ser
atribudos a um cliente em particular.
Limit Bytes In/Out: Quantidades de Bytes que o
cliente pode trafegar por sesso PPPoE
Routes: Rotas que so criadas no lado servidor para

esse cliente especfico.Vrias rotas podem ser
adicionadas separadas por vrgula.
328
Detalhes adicionais do PPPoE Server

O Concentrador PPPoE do Mikrotik suporta mltiplos servidores
para cada interface com diferentes nomes de servio. Alm do
nome do servio, o nome do Concentrador de Acesso pode ser
usado pelos clientes para identificar o acesso em que deve se
registrar.
Nome do Concentrador = Identidade do roteador (/system
identity)
O valor de MTU/MRU inicialmente recomendado para o PPPoE

de 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no Access Point. Para clientes RouterOS, a interface de
rdio pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes. Isto otimiza a transmisso de
pacotes e evita problemas associados com MTU menor que 1500
bytes. At o momento no possumos nenhuma maneira de alterar
a MTU da interface sem fio em clientes MS Windows.
One session per Host: permite apenas uma sesso por host
(MAC address)
Max Sessions: nmero mximo de sesses simultneas que o
Concentrador suportar.
329
Segurana no PPPoE
Para assegurar um servidor PPPoE
pode-se utilizar Filtros de Bridge,
configurando a entrada ou repasse
(depende da configurao do Mikrotik
ROS) os protocolos pppoe-discovery e
pppoe-session, e descartando todos os
demais.
Mesmo que haja somente uma
interface, ainda assim possvel utilizar
os Fitros de Bridge, bastando para tal,
criar um bridge e associar em Ports
apenas esta interface. Em seguida
alterar no PPPoE Server a interface que
o mesmo escuta.
330
Configurao do PPPoE Client
AC Name: nome do Concentrador. Deixando em branco conecta com qualquer um.

Dial on Demand: disca automaticamente sempre que gerado um trfego de sada.
Add default route: adiciona uma rota padro (no usa a do servidor).
Use Peer DNS: Usa o DNS configurado no Concentrador.
331
PPTP e L2TP
Point-to-Point Tunneling Protocol e Layer 2 Tunneling Protocol
L2TP Layer 2 Tunnel Protocol Protocolo de tunelamento de camada 2 um protocolo
de tunelamento seguro para transportar trfego IP utilizando PPP. O protocolo L2TP
trabalha no layer 2 de forma criptografada ou no e permite enlaces entre dispositivos de
diferentes redes unidos por diferentes protocolos.
O trfego L2TP utiliza protocolo UDP tanto para controle como para pacotes de dados. A
porta UDP 1701 utilizada para o estabelecimento do link e o trfego em si utiliza qualquer
porta UDP disponvel, o que significa que L2TP pode ser usado com a maioria dos Firewalls
e Routers, funcionando tambm atravs de NAT.
L2TP e PPTP possuem as mesmas funcionalidades.

332
Configurao do Servidor PPTP e L2TP
Configure um faixa de endereos IP, em IP POOL, um perfil para o PPTP e um usurio

em PPP Secrets, conforme as imagens.
333
Configurao do Servidor PPTP e L2TP
Configure os servidores PPTP e L2TP

Atente-se para o perfil a utilizar
Configure nos hosts locais
um cliente PPTP e realize a
conexo com um servidor de
outra rede diferente da rede
conectada.
Ex.: hosts da rede
192.168.100.0/24 conectaremse a servidores da rede
192.168.200.0/24 e vice-versa.
334
Configurao do cliente PPtP e L2TP
As configuraes para o cliente PPTP ou L2TP

so bastante simples, conforme observamos
nas imagens.
335
Tneis IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio
protocolo IP baseado na RFC 2003. um protocolo simples que
pode ser usado para ligar duas Intranets atravs da Internet
usando 2 roteadores.
A Interface do tnel IPIP aparece na lista de interfaces como se
fosse uma interface real.
Vrios roteadores comerciais, incluindo o Cisco e roteadores
baseados em Linux suportam esse protocolo.
Um exemplo prtico de uso de IPIP seria a necessidade de
monitorar hosts atravs de um NAT, onde o tnel IPIP colocaria
a rede privada disponvel para o host que realiza o
monitoramento, sem necessidade de criao de usurio e senha
como nas VPNs.
336
Tneis IPIP
Exemplo:
Supondo que temos de unir as redes que esto por trs dos roteadores 200.200.200.1 e
200.200.100.1. Para tanto basta que criemos as interfaces IPIP em ambos, da seguinte
forma:
337
Tneis IPIP
Em seguida atribui-se endereo IP s interfaces criadas ( de
preferncia ponto a ponto )
Pronto, est criado o tnel IPIP e agora as redesfazem parte do mesmo domnio de
broadcast.
338
Tneis EoIP
EoIP ( Ethernet over IP ) um protocolo proprietrio Mikrotik
para encapsulamento de todo tipo de trfego sobre o
protocolo IP. Quando habilitada a funo de bridge dos
roteadores que esto interligados atravs de um tnel EoIP,
todo o trfego passado de um lado para o outro como se
houvesse um cabo de rede interligando os pontos, mesmo
roteando pela Internet e por vrios protocolos.
EoIP possibilita:
Interligao em bridge de LANs remotas atravs da Internet
Interligao em bridge de LANs atravs de tneis criptografados
Possibilidade de bridgear LANs sobre redes Ad Hoc 802.11
Caractersticas:
A interface criada pelo tnel EoIP suporta todas as funcionalidades de uma interface
Ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP.
O protocolo EoIP encapsula frames Ethernet atravs do protocolo GRE.
O nmero mximo de tneis suportados no Mikrotik ROS so 65536.
339
Tneis EoIP
Criando um tnel EoIP entre as redes que esto por

trs dos roteadores 200.200.200.1 e 200.200.100.1.
OBS:
- Os MACs devem ser diferentes e estar entre o
range 00-00-5E-80-00-00 to 00-00-5E-FF-FF-FF, pois
so endereos reservados para essas aplicaes.
-O MTU deve ser deixado em 1500 para evitar
fragmentaes.
- O tnel ID deve ser o mesmo em ambos os lados.
340
Tneis EoIP
Adicione a interface EoIP

bridge, juntamente com a
interface da rede que far parte
do mesmo domnio de broadcast
(normalmente uma interface da
rede privada LAN).
341
Dvidas ??
342
Hotspot
no
Mikrotik
343
Hotspot
O que ?
Hotspot um termo utilizado para se referir a uma rea pblica onde est disponvel um servio
de acesso a Internet, normalmente atravs de uma rede sem fio Wi-Fi. Aplicaes tpicas
incluem o acesso em Hotis, Aeroportos, Shoppings, Universidades, etc.
O conceito de Hotspot pode ser usado no entanto para dar acesso controlado a uma rede
qualquer, com ou sem fio, atravs de autenticao baseada em nome de usurio e senha.
Como funciona ?
Quando em uma rea de cobertura de um Hotspot, um usurio que possua um Laptop e tente
navegar pela WEB arremetido para uma pgina do Hotspot que pede suas credenciais,
normalmente usurio e senha. Ao fornece-las e sendo um cliente autorizado pelo Hotspot o
usurio ganha acesso Internet podendo sua atividade ser controldada e bilhetada.
344
Hotspot
Setup do Hotspot:
1 Escolha a interface que vai
ouvir o Hotspot
2 Escolha o IP em que vai rodar
o Hotspot e indique se a rede ser
mascarada
3 D um pool de endereos que
sero distribuidos para os
usurios do Hotspot (se no tiver,
crie em /ip pool)
4 Selecione um certificado, caso
queira usar.
continua
345
Hotspot
Setup do Hotspot:
continuao
5 Se quiser forar a usar o
seu smtp, indique o IP aqui
6 D o endereo IP dos
servidores de DNS que iro
resolver os nomes para os
usurios do Hotspot
7 D o nome do DNS (
aparecer no Browser dos
clientes ao invs do IP)
Pronto, est configurado o
Hotspot !
OBS: os mesmos passos

acima podem ser feitos
no terminal com /ip
hotspot setup
346
Hotspot
Embora tenha sido uma configurao bastante fcil e rpida, o Mikrotik se encarregou
de fazer o trabalho pesado, criando as regras apropriadas no Firewall, bem como uma
fila especfica para o Hotspot.
347
Hotspot - Detalhes de Configurao

keepalive-timeout ( time | none ; default: 00:02:00 )
Utilizado para detectar se o computador do cliente est
ativo e encontrvel. Caso nesse perodo de tempo o teste
falhe, o usurio tirado da tabela de hosts e o endereo Ip
que ele estava usando liberado. O tempo contabilizado
levando em considerao o momento da desconexo
menos o valor configurado ( 2 minutos por default)
idle-timeout ( time | none ; default: none ) mximo
perodo de inatividade para clientes autorizados.
utilizado para detecta que clientes no esto usando redes
externas ( internet em geral ) e que no h trfego do
cliente atravs do roteador. Atingindo o timeou o cliente
derrubado da lista dos hosts, o endereo IP liberado e a
sesso contabilizada a menos desse valo.
addresses-per-mac ( integer | unlimited ; default: 2 )
nmero de IPs permitidos para um particular MAC
348
Hotspot Server Profiles
HTML Directory:
Diretrio onde esto colocadas as pginas desse Hotspot
HTTP Proxy / HTTP Proxy Port
Endereo e porta do Servidor de Web Proxy
SMTP Server:
Endereo do servidor de SMTP
rate-limit:
Cria uma simple Queue para todo o Hotspot (vai aps as filas dinamicas dos
usurios.
349

login-by
cookie - usa HTTP cookies para autenticar sem pedir as credenciais. Se o cliente ainda
no tiver um cookie ou tiver expirado usa outro mtodo
http-chap - usa mtodo CHAP mtodo criptografado
http-pap - usa autenticao com texto plano pode ser sniffado facilmente
https usa tunel SSL criptografado. Para isso funcionar, um certificado vlido deve ser
importado para o roteador.
mac Tenta usar o MAC dos clientes primeiro como nome de usurio. Se existir na
tabela de usurios local ou em um Radius, o cliente liberado sem username/password
trial no requer autenticao por um certo perodo de tempo
HTTP Cookie Lifetime: tempo de vida dos Cookies

Split User Domain: corta o dominio do usurio no caso de usurio@dominio.com.br
350

Utilizao de servidor Radius para autenticao do Hotspot
:
Location ID e Location Name: Podem ser atribuidos aqui ou no Radius normalmente deixar em
branco.
Habilitar Accounting para fazer a bilhetagem dos usurios, com histrico de logins, desconexes,
etc
Interim Update: Frequencia de envio de informaes de accounting (segundos). 0 assim que
ocorre o evento.
NAS Port Type: Wireless, Ethernet ou Cabo
351
Hotspot User Profiles

Os user profiles servem para dar tratamento diferenciado a grupos de
usurios, como suporte, comercial, diretoria, etc
Session Timeout: tempo mximo permitido (depois disso o cliente
derrubado)
Idle Timeout / Keepalive Timeout: mesma explicao anterior, no

entanto agora somente para os usurios desse perfil.
Status Autorefresh: tempo de refresh da pgina de Status do
Hotspot
Shared Users: nmero mximo de clientes com o mesmo
username.
352

Os perfis dos usurios podem conter os limites de velocidade
implementados de forma completa, com bursts, limit-at, etc
Rate Limit:
rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate]] [rx-burst-threshold[/txburst-threshold]] [rx-burst-time[/tx-burst-time]] [priority] [rx-limit-at[txlimit-at]]
Exemplo: 128k/256k 256k/512k 96k/192k 8/8 6 32k/64k
-- 128k de upload, 256k de download

-- 256k de burst p/ upload, 512k de burst p/ download
-- 96k de threshold p/ upload, 192k de threshold p/ download
-- 8 segundos de burst time
-- 6 de prioridade
-- 32k de garantia de upload, 64k de garantia de download
353

Incoming Filter: nome do firewall chain aplicado aos pacotes que
chegam dos usurios deste perfil
Outgoing Filter: nome do firewall chain aplicado aos pacotes que
vo para os usurios desse perfil
Incoming Packet Mark: Marca colocada automticamente em

todos os pacotes oriundos de usurios desse perfil
Outgoing Packet Mark: Marca colocada em todos os pacotes que
vo para os usurios desse perfil.
Open Status Page: mostra a pgina de status
http-login : para usurios normais que logam pela web
always ; para todos, inclusive os que logam por MAC
Transparent Proxy: se deve usar proxy transparente

354

Com a opo Advertise possvel enviar de tempos em tempos
popups para os usurios do Hotspot.
Avertise URL: Lista das pginas que sero anunciadas. A lista
cclica, ou seja quando a ltima mostrada, comea-se novamente
pela primeira.
Advertise Interval: Intervalos de exibio dos Popups. Depois da
sequencia terminada, usa sempre o ltimo intervalo. No exemplo, so
mostradas inicialmente a cada 30 segundos, 3 vezes e depois a cada
1 hora.
Advertise Timeout: Quanto tempo deve esperar para o anncio ser
mostrado, antes de bloquear o acesso rede com o Walled-Garden
pode ser configurado um tempo ( default = 1 minuto )
nunca bloquear
bloquear imediatamente
355
Hotspot User Profile - Scripts

O mikrotik possui uma linguagem interna de scripts que podem
ser adicionados para serem executados em alguma situao
especfica.
No Hotspot possvel criar scripts que executem comandos a
medida que um usurio desse perfil se conecta ou se
desconecta do Hotspot
-Os parmetros que controlam essas execues so
on-login
on-logout
Os scripts so adicionados com / system scripts add
356
Hotspot Users
357
Hotspot Users
Detalhes de cada usurio:
all para todos os hotspots configurados ou para um especfico.
Name: Nome do usurio. Se o modo trial estiver habilitado o Hotspot
colocar automticamente o nome T-MAC_address. No caso de autenticao
por MAC, o MAC pode ser adicionado como username (sem senha).
Endereo IP: caso queira vincular esse usurio a um endereo fixo.
MAC Address: caso queira vincular esse usurio a um MAC determinado
Profile: perfil de onde esse usurio herda as propriedades
Routes: rota que ser adicionada ao cliente quando esse se conectar.
Sintaxe endereo de destino gateway metrica. Exemplo 192.168.1.0/24
192.168.166.1 1. Vrias rotas separadas por vrgula podem ser adicionadas.
Email: ?
358
Hotspot Users
Limit Uptime: Total de tempo que o usurio pode usar o Hotspot.
til para fazer acesso pr pago. Sintaxe hh:mm:ss. Default = 0s
sem limite.
Limit Bytes In: total de Bytes que o usurio pode transmitir. (bytes
que o roteador recebe do usurio.
Limit Bytes Out: total de Bytes que o usurio pode receber. (bytes
que o roteador transmite para o usurio.
Os limites valem para cada usurio. Se um usurio j fez o download

de parte de seu limite, o campo session limit vai mostrar o restante.
Quando o usurio exceder seu limite ser impedido de logar. As
estatsticas so atualizadas cada vez que o usurio faz o logoff, ou
seja enquanto ele estiver logado as estatsticas no sero mostradas.
Use /ip hotspot active para ver as estatsticas atualizadas nas
sesses correntes dos usurios.
Se um usurio tem o endereo IP especificado somente poder haver
um logado. Caso outro entre com o mesmo usurio/senha, o primeiro
ser desconectado.
359
Hotspot Active
Mostra dados gerais e estatsticas de todos os

usurios conectados
360
IP Bindings
O Mikrotik por default tem habilitado o universal client que uma facilidade que
aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1.
Esta facilidade denominada DAT na AP 2500 e eezee no StarOS.
possvel fazer tambm tradues NAT estticas com base no IP original, ou IP da
rede ou no MAC do cliente. possvel tambm permitir a certos endereos
contornarem (by-passarem) a autenticao do Hotspot. Ou seja sem ter de logar
na rede inicialmente. Tambm possvel bloquear endereos
continua
361
IP Bindings
MAC Address: mac original do cliente

Address: endereo IP configurado no cliente (ou rede)
To Address: endereo IP para o qual o original deve ser traduzido.
Type: Tipo de Binding
Regular: faz uma traduo 1:1 regular
Bypassed: faz a traduo mas dispensa o cliente de logar no Hotspot
Blocked: a traduo no ser feita e todos os pacotes sero descartados.
362
Hotspot Ports
A facilidade de NAT e NAT 1:1 do Hotspot causa problemas com alguns protocolos
incompatveis com NAT. Para que esses protocolos funcionem de forma
consistente, devem ser usados os mdulos helpers
No caso de NAT 1:1 o nco problema com relao ao mdulo de FTP que deve
ser configurado para usar as portas 20 e 21.
.
363
Walled Garden
Configurando um Walled Garden ou Jardim Murado possvel oferecer ao usurio o acesso a
determinados servios sem necessidade de autenticao. Por exemplo em um Aeroporto poderse-ia disponibilizar informaes climticas, horrios de voos, etc sem a necessidade do usurio
adquirir crditos para acesso externo.
Quando um usurio no logado no Hotspot requisita um servio do Walled Garden o gateway no
o intercepta e, no caso de http, redireciona a reuisio para o destino ou para um proxy.
Para implementar o Walled Garden para requisies http, existe um Web Proxy embarcado no
Miktotik, de forma que todas as requisies de usurios no autorizados passem de fato por esse
proxy.
Observar que o proxy embarcado no tem as funes de fazer cache, pelo menos por ora. Notar
tambm que esse proxy embarcado faz parte do pacote system e no requer o pacote webproxy.
364
Walled Garden
importante salientar que o Walled Garden no se destina somente a servio WEB,

mas qualquer servio que queiramos configurar. Para tanto existem 2 menus distintos
que esto acima, sendo que o da esquerda destina-se somente para HTTP e HTTPS e o
da direita para outros servios e protocolos.
No terminal o acesso ao primeiro por /ip hotspot walled-garden e ao segundo /ip
hotspot walled-garden ip
365
Walled Garden p/ HTTP e HTTPS

Action: allow ou deny permite ou nega
Server: Hotspot ou Hostpots para o qual vale esse
Walled Garden
Src Address: Endereo IP do usurio requisitante.
Dst Address: Endereo IP do Web Server
Method: mtodo de http
Dst Host: nome de domnio do servidor de destino.
Dst Port: porta de destino que o cliente manda a
solicitao.
Path: caminho da requisio.
OBS:
- nos nomes de dominio necessrio o nome completo,
podendo ser usados coringas
- aceita-se expresses regulares devendo ser iniciadas
com (:)
366
Walled Garden p/ outros protocolos
Action: aceita, descarta ou rejeita o pacote

Server: Hotspot ou Hostpots para o qual vale esse
Walled Garden
Src Address: Endereo IP de origem do usurio
requisitante.
Protocol: Protocolo a ser escolhido da lista
Dst Port: Porta TCP ou UDP que est sendo
requisitadao
Dst Host: Nome de domnio do WEB server
367
Hotspot - Cookies
Quando configurado o login por Cookies, estes ficam armazenados no Hotspot,

com o nome do usurio, MAC e o tempo de validade.
Enquanto estiverem vlidos o usurio no precisa passar o par usurio/senha
Podem ser deletados (-) forando assim o usurio fazer nova autenticao
368
Personalizando o Hotspot
Pginas do Hotspot
As pginas do Hotspot so totalmente configurveis e alm disso possvel criar conjuntos
totalmente diferentes das pginas do Hotspot para vrios perfis de usrios especificando
diferentes diretrios html raiz ) /ip hotspot profile html-directory.
Principais pginas que so mostradas aos usurios:
redirect.html redireciona o usurio a uma pgina especfica
login.html Pgina de login que pede ao usurio o login e senha. Esta pgina tem os
seguintes parametros:
username / password
dst URL original que o usurio solicitou antes do redirecionamento (ser
aberta aps o login com sucesso)
popup se ser aberto uma janela de pop-up quando o usurio se logar com
sucesso.
369
Personalizando o Hotspot
Pginas do Hotspot
As pginas do Hotspot so totalmente configurveis e podem ser
editadas em qualquer editor html, sendo depois atualizadas no
mikrotik.
possvel criar conjuntos totalmente diferentes de pginas do
Hotspot para vrios perfis de usrios especificando diferentes
diretrios html raiz ) /ip hotspot profile html-directory.
Essa possibilidade, associada a criao de APs virtuais possibilita

que em uma mesma rea pblica o detentor da infraestrutura
possa fornecer servio a vrios operadores, utilizando os mesmos
equipamentos.
370
Hotspot com https

Criar o certificado em uma mquina Unix com o Script:
#!/bin/sh
SERVER=hotspot.mikrotikbrasil.com.br
PRIVATE_KEY=$SERVER.key
CERTIFICATE_FILE=$SERVER
VALID_DAYS=1095
openssl genrsa -des3 -out $PRIVATE_KEY 1024
openssl req -new -x509 -days $VALID_DAYS -key $PRIVATE_KEY -out

$CERTIFICATE_FILE
Importar o Certificado em / certificate import
371
Dvidas ??
372
User Manager
373
User Manager
O que o User Manager ?
um sistema de gerenciamento de usurios que pode ser utilizado para controlar
Usurios de Hotspot
Usurios PPP (PPtP e PPPoE)
Usurios DHCP
Usurios Wireless em Geral
Usurios do sistema RouterOS em si
374
User Manager
Como implementar (2.9.x)
Fazer o download do pacote / FTP para o Router / Reboot

Criar o primeiro subscriber (somente no terminal)
[admin@MikrotikBrasil] tool user-manager customer> add login="admin"
password=1234" permissions=owner
Na V3 no necessrio criar usurio padro admin, senha em branco.
Logar via WEB com o usurio e senhas criados acima em:
http://IP_do_Router/userman
375
User Manager - Conceitos

Customers, Subscribers e Users
Customers so os provedores de servio. Eles tem acesso interface WEB para

manipular os usurios (users) crditos e roteadores.
Um Subscriber um Customer com permisses de dono
Os Subscribers tem conhecimento de tudo que acontece com seus sub-customers,
crditos, usurios, roteadores, sesses, etc. No entanto um subscriber no tem acesso
aos dados de outros subscribers.
Users so os pobres mortais que usam os servios oferecidos pelos Customers
376
User Manager Algumas caractersticas

Cada Subscriber pode criar vrios Customers, personalizando telas de login para os
usurios, permisses que os Customers tem, Modelos de Voucher, etc
Voucher o carto de login/senha que pode ser gerado em lote para o atendimento de
um Hotel, por exemplo
possvel implementar esquemas de criao de login pelo usurio com pagamento por
carto de crdito via PayPal ou Autorize.net
possvel configurar na mesma mquina o User Manager e o Hotspot, possibilitando
uma soluo nica para prestar servio em Hotel com uma mquina rodando Mikrotik
apenas.
377
Exemplo de implementao de User Manager com Hotspot

No Router:
/ ip hotspot profile set hsprof1 use-radius=yes
/ radius add service=hotspot address=x.x.x.x secret=123456
No User Manager:
/ tool user-manager router add subscriber=MikrotikBrasil ip-address=10.5.50.1 sharedsecret=123456
No caso, para usar somente uma mquina, basta apontar o mesmo IP x.x.x.x que ela ser
o Hotspot e ao mesmo tempo o User Manager
378
Exemplo de implementao de User Manager com Hotspot
379
Dvidas ??
380
Roteamento
Mikrotik RouterOS suporta dois tipos de roteamento:
Roteamento Esttico: As rotas criadas pelo usurio atravs de insero
de rotas pr definidas em funo da topologia da rede
Roteamento Dinmico: As rotas so geradas automticamente atravs de
algum agregado de endereamento IP ou por protocolos de roteamento
O Mikrotik suporta ECMP - Equal Cost Multipath Routing (Roteamento por
multicaminhos com mesmo Custo), que um mecanismo que permite rotear pacotes
atravs de vrios links e permite balanceamento de carga.
possvel ainda no Mikrotik se estabelecer Polticas de Roteamento (Policy Routing)
dando tratamento diferenciado a vrios tipos de fluxo a critrio do adminstrador.
381
Polticas de Roteamento
Existem algumas regras que devem ser seguidas para se estabelecer uma poltica de
roteamento:
As polticas podem ser por marca de pacotes, por classes de endereos Ip e portas.
A marca dos pacotes deve ser adicionada no Firewall, no mdulo Mangle com
routing-mark
Aos pacotes marcados ser aplicada uma poltica de roteamento, dirigindo-os para
um determinado gateway.
possivel utilizar poltica de roteamento quando se utiliza mascaramento (NAT)

382
Polticas de Roteamento
Observaes Importantes:
Uma aplicao tpica de Polticas de Roteamento trabalhar com dois links
direcionando parte do trfego por um e parte por outro. Por exemplo a canalizao de
aplicaes peer-to-peer por um link menos nobre
impossvel porm reconhecer o trfego peer-to-peer do a partir do primeiro pacote,
mas to somente aps as conexes estabelecidas, o que impede o funcionamento dos
programas P2P em caso de NAT de origem.
A estratgia nesse caso colocar como gateway default o link menos nobre, marcar
o trfego conhecido e nobre ( HTTP, DNS, POP3, SMTP, etc) e desvia-lo para o link
nobre. Todas as outras aplicaes, incluido o P2P, iro para o link no nobre.
383
Exemplo de Poltica de Roteamento
Na situao normal queremos que a rede:
192.168.0.0/24, use o gateway GW_1,

192.168.1.0/24, use o gateway GW_2
No caso de falha aos pings do GW_1 ou
do GW_2, queremos automticamente
rotear para o GW_Backup.
384

1. Marcar pacotes da rede 192.168.0.0/24 com new-routing-mark=net1, e pacotes da rede
192.168.1.0/24 com new-routing-mark=net2:
ip firewall mangle> add src-address=192.168.0.0/24 action=mark-routing new-routing-mark=net1
chain=prerouting
ip firewall mangle> add src-address=192.168.1.0/24 action=mark-routing new-routing-mark=net2
chain=prerouting
2. Rotear os pacotes da rede 192.168.0.0/24 para o gateway GW_1 (10.0.0.2), pacotes da rede
192.168.1.0/24 para o gateway GW_2 (10.0.0.3), usando as correspondentes marcas de pacotes.
Se GW_1 ou GW_2 falharem ( no responder a pings), rotear para GW_Backup (10.0.0.1):
ip route> add gateway=10.0.0.2 routing-mark=net1 check-gateway=ping
ip route> add gateway=10.0.0.3 routing-mark=net2 check-gateway=ping
ip route> add gateway=10.0.0.1
385

Com Winbox:
386
Balanceamento
de Carga com
PCC
O recurso PCC (per connection classifier) est disponvel a partir da V3.24
387
Balanceamento
de Carga com
PCC
388
Balanceamento
de Carga com
PCC
389
Balanceamento de Carga com PCC

Exemplo para 3 Links
1.1.1.1
1.1.1.2
2.2.2.2
192.168.0.0/24
3.3.3.2
2.2.2.1
Internet
3.3.3.1
390
Balanceamento com PCC

PCC = Per connection Classifier (Classificador por conexo). Com o PCC possvel
dividir o trfego em fluxos distintos, em funo de um critrio de classificao. Os
parametros de configurao so:
Classificador::
Denominador: Nmero de canais por onde sero divididos os fluxos
Contador. Determina o nmero do canal que ser utilizado.

391

Exemplo para balanceamento de 3 links
392

393

394
Marcao de rotas
395
Marcao de rotas
396
Marcao de rotas
397
Rotas
398
Nat
399
Nat
400
Nat
401
Roteamento Dinmico
O Mikrotik RouterOS suporta os seguintes protocolos de roteamento:
RIP verso 1 e RIP verso 2
OSPF verso 2
BGP verso 4
- Verses em desenvolvimento do Mikrotik do suporte a verses mais recentes
desses protocolos, mas ainda em fase beta.
- O uso de roteamento dinamico permite implementar redundncia e balanceamento de
carga de forma automtica e uma forma de se fazer uma rede semelhante s redes
conhecidas como Mesh, porm de forma esttica.
402
Roteamento BGP
O protocolo BGP (Border Gateway Protocol) destinado a fazer comunicao entre
Autonomous Systems diferentes, podendo ser considerado como o corao da
Internet.
O BGP mantm uma tabela de prefixos de rotas contendo as informaes de
encontrabilidade de redes (NLRI Network Layer Reachbility Information) entre os
ASs.
A verso corrente do BGP a verso 4, especificada na RFC 1771.
403
OSPF
O protocolo Open Shortest Path First (Abra primeiro o caminho mais curto) um
protocolo do tipo link-state. Ele usa o algortimo de Dijkstra para calcular o caminho
mais curto para todos os destinos.
O OSPF distribui informaes de roteamento entre os roteadores que participem de um
mesmo AS ( Autonomous System) e que tenham obviamente o protocolo OSPF
habillitado.
Para que isso acontea todos os roteadores tem de ser configurados de uma maneira
coordenada e devem ter o mesmo MTU para todas as redes anunciadas pelo protocolo
OSPF.
O protocolo OSPF iniciado depois que adicionado um registro na lista de redes. As

rotas so aprendidas e instaladas nas tabelas de roteamento dos roteadores.
artigo da Cisco sobre OSPF: http://www.cisco.com/warp/public/104/1.html#t3
404
Tipos de roteadores em OSPF

O OSPF define 3 tipos de roteadores:
Roteadores internos a uma rea
Roteadores de backbone (dentro da rea 0)
Roteadores de borda de rea (ABR)
Roteadores ABR ficam entre 2 reas e deve tocar a rea 0
Roteadores de borda com Autonomous System (ASBR)
So os roteadores que participam do OSPF mas fazem a comunicao com
um AS
405
OSPF
Settings
Router ID: IP do roteador. Caso no especificado o roteador utiliza o maior endereo IP que exista
na interface.
Redistribute Default Route: Especifica como deve ser distribuida a rota default
never: nunca distribui
if installed (as type 1): envia (com mtrica 1) se tiver sido instalada como rota
esttica ou adicionada por DHCP ou PPP
if installed (as type 2): envia (com mtrica 2) se tiver sido instalada como rota
esttica ou adicionada por DHCP ou PPP
always (as type 1): sempre, com mtrica 1
always (as type 2): sempre, com mtrica 2
406
OSPF Settings
Redistribute Connected Routes: Caso habilitado, o roteador ir redistribuir todas as rotas

relativas a redes que estejam diretamente conectadas a ele (sejam alcanveis)
Redistribute Static Routes: Caso habilitado, distribui as rotas estticas cadastradas em
/ip route
Redistribute RIP: Caso habilitado, redistribui as rotas aprendidas por RIP

Redistribute BGP: Caso habilitado, redistribui as rotas aprendidas por BGP
Na aba Metrics, possivel mudar o custo que sero exportadas as diversas rotas
407
reas de OSPF
O protocolo OSPF permite que vrios roteadores
sejam agrupados entre si. Cada grupo formado
chamado de rea e cada rea roda uma cpia do
algortimo bsico, e que cada rea tem sua prpria
base de dados do estado de seus roteadores.
A diviso em reas importante pois como a

estrutura de uma rea s visvel para os
participantes desta, o trfego sensivelmente
reduzido.
aconselhvel utilizar no mximo 60 a 80
roteadores em cada rea..
Acessa-se as opes de rea em / routing ospf
area
408
Rede OSPF
Define-se aqui a Rede OSPF, com os seguintes parametros:
- rea: rea do OSPF associada

- Network: Endereo IP/Mscara, associado. Permite definir uma
ou mais interfaces associadas a uma rea. Somente redes
conectadas diretamente podem ser adicionadas aqui.
409
OSPF
410
Dvidas ??
411
The Dude
O Cara
412
O que o DUDE
Como ferramenta de Monitoramento:
Fornece informaes acerca de quedas e restabelecimentos de

redes, servios, assim como uso de recursos de equipamentos.
Permite o mapeamento da rede com grficos da topologia da
rede e relacionamentos lgicos entre os dispositivos
Notificaes via audio/vdeo/email acerca de eventos
Grfico de servios mostrando, latencia, tempos de resposta de
DNS, utilizao de banda, informaes fsicas de links, etc.
Monitoramento de dispositivos no RouterOS com SNMP..
413
O que o DUDE
Como ferramenta de Gerenciamento:
Possibilidade de utilizar ferramentas para acesso direto a
dispositivos da rede a partir do diagrama da mesma.
Acesso direto a dispositivos Mikrotik RouterOS atravs do
Winbox
Armazenamento de histrico de eventos (logs) de toda a rede,
com momentos de queda, restabelecimentos, etc.
Possibilidade de utilizar SNMP tambm para a tomada a tomada
de decises (SNMP set)
(V. MUM Czech Republic 2009 Andrea Coppini)
414
Instalando o DUDE
Instalando no WIndows:
Fazer o download, clicar no executvel e responder sim para
todas perguntas
Instalando no Linux:
Instalar o Wine e a partir dai proceder como no Windows.
Instalando em uma Routerboard ou PC com Mikrotik
Baixar o pacote referente a arquitetura especfica, enviar para o
equipamento via ftp ou Winbox e bootar o mesmo
415
Instalao em Routerboards
O espao em disco consumido pelo DUDE considervel devido, entre
outras coisas, aos grficos e logs a serem armazenados. Assim, no caso de
instalao em Routerboards aconselhavel o uso daquelas que possuam
possibilidade de armazenamento adicional, como
RB 433UAH aceita HD externo via USB
RB 450G aceita micro SD

RB 600A aceita micro SD
RB 1000 aceita flash card
OBS: possivel instalar em equipamentos sem as capacidades acima,
porm podero ocorrer problemas de perda de dados e impossibilidade e
efetuar backup.
416
Comeando usar o DUDE

A instalao do DUDE em Windows ou Linux sempre instala o Cliente e o
Servidor e no primeiro uso ele sempre ir tentar usar o Servidor Local
(localhost).
Caso queira se conectar em outro DUDE (por exemplo instalado em outra
Routerboard) clique em
Para desabilitar o Servidor Local:
417
Comeando usar o DUDE

Auto Discovery
O auto discovery permite que o Servidor
DUDE localize os dispositivos de seu
segmento de rede, atravs de provas de
ping, arp, snmp, etc e por servios.
Outros segmentos de redes que tenham
Mikrotiks podem tambem ser mapeados
por seus vizinhos (neighbours)
Conselho amigo: Se vai usar o DUDE para fazer um bom controle de sua rede
esquea o auto discovery !
418
Comeando o desenho da Rede

Adicionando dispositivos
O Mikrotik tem um Wizard para a criao de
dispositivos. Informe o IP e, se for Mikrotik clique em
RouterOS
419

Em seguida descubra os servios que esto rodando nesse
equipamento.
Aproveite esse momento para refletir quanta coisa intil e insegura pode estar
rodando em sua rede Desabilite tudo que for desnecessrio.
420

O dispositivo est criado.

Clique no dispositivo criado para ajustar vrios parametros, mas principalmente:
Nome para exibio

Tipo do dispositivo
421421

Adicionanddo dispositivos no pr definidos
O DUDE possui vrios dispositivos pr definidos mas podese criar novos dispositivos customizados para que o desenho
realmente reflita a realidade prtica.
Por razes de produtividade aconselhvel que todos os
dipositivos existentes na rede sejam criados com suas
propriedades especficas antes do desenho da rede, mas
nada impede que isso seja feito depois.
422422

Adicionando dispositivos estticos
Quando a rede possui elementos no configurveis por IP
(switches L2 no gerenciveis por exemplo), necessrio
criar dispositivos estticos para fazer as ligaes.
Com isso pode-se completar o diagrama de rede de forma

mais realista e parecida com a rede real.
423423

Criando os Links entre dispositivos
No mapa, clicar com o boto direito, selecionar Add Link e ligar os 2
dispositivos informando:
Mastering Type:
RouterOS: Se o dispositivo for Mikrotik, habilita a escolha da
Interface para mostrar velocidades e estado do link.
Informando a velocidade mxima

do link, ativa a sinalizao do
estado do mesmo.
SNMP: para outros dispositivos que tenham suporte a snmp.
Simple: somente traa a linha mas no mostra informaes.

424424
Notificaes
Criando novos tipos de notificao
Duplo clique no dispositvo / clique no
servio e na guia notificao informar o
tipo de notificao.
425425
Notificaesao contrario
teis quando se quer monitorar servios que
no devem estar ativos
426426
Grficos de uso / performance, etc
427427
Salvando as configuraes
As configuraes so salvas automaticamente na medida em que so feitas.
Para ter um backup externo, use o export que ser gerado um XML com todas as
configuraes que por sua vez podem ser importadas em outro DUDE.
Import
Export
428428
Dvidas ??
429
WEB - Proxy
430
WEB - Proxy
O Web Proxy possibilita o armazenamento de objetos Internet (dados disponveis
via protocolos HTTP e FTP) em um sistema local.
Navegadores Internet usando web-proxy podem acelerar o acesso e reduzir o

consumo de banda.
Quando configurar o Web proxy, certifique-se que apenas os clientes da rede
local utilizaro o mesmo, pois uma configurao aberta permitir o acesso
externo, trazendo problemas graves de segurana.
Com o Web Proxy possvel criar filtros de acesso a contedo indesejvel,
tornando a navegao mais segura aos clientes.
Um web proxy em execuo, mesmo sem cache, pode ser til como um firewall
HTTP e FTP (negar acesso a determinados tipos de arquivo, como por exemplo
MP3) ou ainda para redirecionar os pedidos de proxy externos.
431
WEB - Proxy
O MikroTik RouterOS implementa um web-proxy com as seguintes caractersticas:
HTTP proxy
Transparent proxy. Onde transparente e HTPP ao mesmo tempo
Lista de Acesso por origem, destino, URL e mtodos de requisio
Lista de Acesso Cache (especifica os objetos que podero ou no ser
cacheados)
Lista de Acesso Direto (especifica quais recursos devero ser acessados
diretamente - atravs de outro web-proxy)
Sistema de Logging
432
WEB - Proxy
Web-Proxy configurado para 10 GiB de cache, escutando na porta 8080:
Clear Cache Serve para esvaziar o cache
armazenado (dependendo do tamaho do cache
esta opo poder ser bastante lenta).
Enable Utilizado para habilitar ou desabilitar o
web-proxy.
Src.Address - poder ficar em branco. Em caso
de uma hierarquia de proxy, este ser o endereo
IP utilizado pelo protocolo ICP. O src.address
quando deixado em branco (0.0.0.0/0) ser
automaticamente configurado pela tabela de
roteamento.
433
WEB - Proxy
Port - A porta onde o web-proxy escutar.
Parent Proxy - Utilizado para indicar o IP de um servidor proxy pai numa hierarquia de
proxy.
Parent Proxy Port - A porta que o parent proxy escuta.
Cache Administrator - Um nome ou endereo de e-mail para exibio no caso de avisos
emitidos aos clientes.
Max. Cache Size - Tamanho mximo em kiBytes que o cache atingir.

Cache on Disk - Habilita o proxy a armazenar o cache em disco. Caso fique desabilitado
o armazenamento ser na RAM (Random Access Memory).
434
WEB - Proxy
Max Client Connections - nmero mximo de conexes simultneas de clientes permitidas
no proxy. Aps antigido o limite configurado todas as novas conexes sero rejeitadas.
Max Server Connections - nmero mximo de conexes simultneas do proxy para

servidores externos. Todas as novas conexes sero colocadas em espera at que
algumas das conexes ativas sejam encerradas.
Max Fresh Time: um limite mximo de quanto tempo objetos sem um termo explcito de
validade sero consideradas atuais (depois de quanto o tempo o proxy dever realizar uma
nova consulta e atualizar os objetos).
Serialize Connections: No habilitar mltiplas conexes ao servidor para mltiplas
conexes do cliente, quando possvel (servidor suportar conexes HTTP persistentes). Os
clientes sero atendidos em princpio pelo mtodo FIFO; o prximo cliente processado
quando a transferncia para a sesso anterior for concluda. Se um cliente est inativo por
algum tempo (no mximo 5 segundos, por padro), o servidor ir interromper a conexo e
abrir outra.
435
WEB - Proxy
Always From Cache - ignorar pedidos de atualizao dos clientes, caso o contedo seja
considerado atual.
Cache Hit DSCP (TOS) - Marca automaticamente hits do cache com o valor DSCP
configurado.
Cache Drive - exibe o disco que est em uso para o armazenamento dos objetos em
cache. Para configurar o disco necessrio acessar o menu Stores.
OBSERVAO:
O web proxy escuta todos os endereos IP que esto configurados no servidor.
436
WEB - Proxy
Stores
Submenu:/stores
Com esta opo podemos gerenciar a mdia
onde ser armazenado os objetos do cache.
Possvel adicionar mais de 1 disco.
Copiar o contedo de um disco para outro.

Realizar checagen do disco para
verificao de bad blocks.
Realizar formatao do disco, desde que
no seja onde o sistema est instalado.
437
WEB - Proxy
Monitorando o Web-Proxy
Uptime - o tempo transcorrido desde que o

proxy foi ativado.
Requests - total de requisies dos clientes ao
proxy.
Hits - nmero de requisies dos clientes

atendidas diretamente do cache, pelo proxy.
Cache Used a quantidade do disco (ou da RAM se o cache armazenado apenas na
mesma) utilizada pelo cache.
RAM Cache Used quantidade da RAM utilizada pelo cache.
Total RAM Used - a quantidade da RAM utilizada pelo proxy (excluindo tamanho da RAM
Cache).
438
WEB - Proxy
Received From Servers - quantidade de dados, em kiBytes,

recebidos de servidores externos
Sent To Clients - quantidade de dados, em kiBytes, enviado
aos clientes.
Hits Sent To Clients - quantidade, em kiBytes, de cache hits
enviado aos clientes.
Barra de Status Exibe informaes do estado do web proxy
stopped - proxy est desabilitado e inativo
running - proxy est habilitado e ativo

formatting-disk - o disco do cache est sendo formatado
checking-disk - checando o disco que contm o cache para corrigir erros e inconsistncias
do mesmo.
invalid-address - proxy est habilitado, mas no est ativo, porque o endereo IP invlido
439
(dever ser alterado o endereo IP ou porta)
Lista de Conexes
WEB - Proxy
Submenu: /ip proxy connections

Descrio
Este menu contem uma lista das conexes ativas do proxy
Descrio das Propriedades

dst-address endereo IP que os dados passaram atravs do proxy
protocol - nome do protocolo
rx-bytes - quantidade de bytes recebidos remotamente
src-address - endereo IP das conexes remotas
440
Lista de Conexes
WEB - Proxy
State
idle - esperando prximo cliente

resolving - resolvendo nome DNS
rx-body - recebendo quadro HTTP
rx-header - recebendo cabealho; ou esperando prxima requisio do cliente

tx-body - transmitindo quadro HTTP
tx-header - transmitindo cabealho HTTP
tx-bytes - quantidade de bytes enviados remotamente
441
Access List
WEB - Proxy
Submenu: /ip proxy access

A Lista de Acesso configurada da mesma
forma que as regras de firewall. As regras
so processadas de cima para baixo. O
primeiro matching da regra especifica a
tomada de deciso para a conexo. Existe
um total de 6 classificadores para
especificar a regra.
Descrio das propriedades
src-address - endereo IP de origem do
pacote.
dst-address - endereo de destino do
pacote.
dst-port (port{1,10}) - uma porta ou uma
lista de portas para onde o pacote
destinado.
442
Access List
WEB - Proxy
local-port (port) - especifica a porta do web-proxy que recebe os pacotes. Este valor deve
corresponder a porta que o web-proxy est escutando.
dst-host (wildcard) - Endereo IP ou nome DNS utilizado para realizar a conexo (pode
ser apenas uma parte da URL)
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma pgina
web ou um documento que est hospedado no servidor)
method (any | connect | delete | get | head | options | post | put | trace) - Mtodo HTTP
usado nas requisies (veja a seo Mtodos HTTP no final deste documento).
action (allow | deny; default: allow) - especifica a ao de negar ou liberar os pacotes que
atravessam o web-proxy.
443
Access List
WEB - Proxy
Nota
Por padro, aconselhvel configurar uma regra para prevenir requisies nas portas
443 e 563 (conexes atravs de SSL e NEWS).
As opes dst-host e path, corresponde a uma string completa (ex.: no existir um
matching para "example.com" se for configurado apenas "example").
O uso de curingas tambm possvel: '*' (combina um nmero qualquer de caracteres)
e '? '(combina um caractere qualquer).
Expresses regulares tambm so permitidas, e devero iniciar por 2 pontos (':') como
no exemplo:
/ip proxy access add dst-host=":\\.mp\[3g\]$" action=deny
444
WEB - Proxy
Lista de Gerenciamento do Cache
Submenu: /ip proxy cache

A Lista de Gerenciamento do Cache
especifica como as requisies (domnios,
servidores, pginas) sero cacheadas ou
no pelo servidor web-proxy. Esta lista lista
implementada da mesma forma que a
Lista de Acesso. A ao padro cachear
os objetos se no existir nenhuma regra.
src-address (IP address/netmask) - IP de origem do pacote.
dst-address (IP address/netmask) - IP de destino do pacote.
dst-port (port{1,10}) - uma lista de portas que o pacote destinado.
local-port (port) - especifica a porta do web-proxy, a qual, o pacote foi recebido. Este valor
dever corresponder a porta que o web-proxy est escutando.
445
Lista de Gerenciamento do Cache
WEB - Proxy
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma
pgina web ou um documento que est hospedado no servidor)
action (allow | deny; default: allow) especifica a ao a ser tomada quando um
matching ocorrer.
allow - cacheia o objeto de acordo com a regra.
deny no cacheia o objeto de acordo com a regra.
446
Lista de Acesso Direto
WEB - Proxy
Submenu: /ip proxy direct

Descrio
Quando um Parent Proxy est configurado,
possvel passar a conexo ao mesmo ou tentar
transmitir a requisio diretamente ao servidor de
destino. A lista de Acesso Direto configurada da
mesma forma que a Lista de Acesso, com
exceo do argumento da ao.
src-address (IP address/netmask) - IP de origem do pacote.
dst-address (IP address/netmask) - IP de destino do pacote.
dst-port (port{1,10}) - uma lista de portas que o pacote destinado.
local-port (port) - especifica a porta do web-proxy, a qual, o pacote foi recebido. Este valor
dever corresponder a porta que o web-proxy est escutando.
447
Lista de Acesso Direto
WEB - Proxy
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma
pgina web ou um documento que est hospedado no servidor)
Nota
action (allow | deny; default: allow) especifica a ao a ser tomada quando um
matching ocorrer.
Diferentemente da Lista de Acesso, a Lista de Acesso Direto tem a ao padro deny.
Esta ao ocorre quando no so especificadas regras nas requisies.
448
Regra de firewall para redirecionar ao web-proxy local.
WEB - Proxy
1 Utiliza-se a opo firewall nat e insere uma

nova regra para protocolo TCP e porta de
destino 80;
2 Na guia Advanced, insira uma lista de

endereos IP, os quais no sero redirecionados
ao web-proxy;
3 Na guia Action, ser a configurada a ao de
redirect para a porta 8080, onde o web-proxy
est escutando.
449
Regra de firewall para redirecionar para um web-proxy externo.
WEB - Proxy
1 Utiliza-se a opo firewall nat e insere uma

nova regra para protocolo TCP e porta de
destino 80;
2 Na guia Advanced, insira uma lista de

endereos IP, os quais no sero redirecionados
ao web-proxy;
3 Na guia Action, ser a configurada a ao de
dst-nat para o IP e a porta onde o web-proxy
externo est escutando.
450
WEB - Proxy
Lista de endereos IP, os quais no faro parte das regras de redirect ou dst-nat.
Submenu: /ip firewall adress-list
451
WEB - Proxy
Filtro de firewall para proteger o acesso ao web-proxy
Submenu: /ip firewall filter
/ip firewall filter
add action=drop chain=input comment="" disabled=no dst-port=8080 in-interface=WAN
protocol=tcp
452
Mtodos HTTP
Descrio
WEB - Proxy
OPTIONS
Este mtodo uma requisio de informaes sobre as opes da comunicao
disponvel entre o cliente e o servidor (web-proxy) identificadas por Request URI (Uniform
Resource Identifier, um termo genrico para todos os tipos de nomes e endereos aos
quais referem-se os objetos da WEB. A URL um tipo de URI). Este mtodo permite que o
cliente determine as opes e (ou) as requisies associadas a um recurso sem iniciar
qualquer recuperao da comunicao.
GET
Este mtodo recupera qualquer informao identificada pelo Request-URI. Se o
Request-URI refere-se a um processo de tratamento de dados a resposta ao mtodo GET
dever conter os dados produzidos pelo processo, e no o cdigo fonte do processo ou
procedimento(s), a menos que o cdigo fonte seja o resultado do processo.
O mtodo GET pode tornar-se um GET condicional se o pedido inclui uma
mensagem If-Modified-Since, If-Unmodified-Since, If-Match, If-None-Match ou If-Range no
cabealho do pacote. O mtodo GET condicional utilizado para reduzir o trfego de rede
com a especificao de que a transferncia da conexo dever ocorrer apenas nas
circunstncias descritas pela(s) condio(es) do cabealho do pacote.
453
Mtodos HTTP
Descrio
WEB - Proxy
O mtodo GET pode tornar-se um GET parcial se o pedido inclui uma mensagem
Range no cabealho do pacote. O mtodo GET parcial destinado a reduzir o uso
desnecessrio de rede, solicitando apenas partes dos objetos sem transferncia dos dados j
realizada pelo cliente. A resposta a uma solicitao GET pode ser cacheada somente se ela
preencher os requisitos para cache HTTP.
HEAD
Este mtodo compartilha todas as caractersticas do mtodo GET exceto pelo fato
de que o servidor no deve retornar uma message-body na resposta. Este mtodo recupera
a meta informao do objeto intrnseco requisio, que conduz a uma ampla utilizao da
mesma para testar links de hipertexto, acessibilidade e modificaes recentes.
As respostas a uma requisio HEAD podem ser cacheadas da mesma forma
que as informaes contidas nas respostas podem ser utilizadas para atualizar o cache
previamente identificados pelo objeto.
454
Mtodos HTTP
Descrio
WEB - Proxy
POST
Esse mtodo solicita que o servidor de origem aceite uma requisio do objeto,
subordinado a um novo recurso identificado pelo Request-URI. A verdadeira ao realizada
pelo mtodo POST determinada pelo servidor de origem e normalmente dependente da
Request-URI. Respostas ao mtodo POST no so cacheadas, a menos que a resposta
inclua Cache-Control ou Expires no cabealho do pacote.
PUT
Esse mtodo solicita que o servidor de destino fornea uma Request-URI. Se
existe outro objeto sob a RequestURI especificada, o objeto deve ser considerado como
atualizado sobre a verso residente no servidor de origem. Se a Request-URI no est
apontando para um recurso existente, o servidor origem devem criar um recurso com a URI.
Se a requisio passa atravs de um cache e as Request-URI identificam um ou
mais objetos no cache, essas inscries devem ser tratadas como atualizveis (antigas).
Respostas a este mtodo no so cacheadas.
455
Mtodos HTTP
Descrio
WEB - Proxy
TRACE
Este mtodo invoca remotamente um loop-back na camada de aplicao da mensagem de
requisio. O destinatrio final da requisio dever responder a mensagem recebida para
o cliente uma resposta 200 (OK) no corpo da mesma. O destinatrio final no a origem
nem o primeiro servidor proxy a receber um MAX-FORWARD de valor 0 na requisio.
Uma requisio TRACE no inclui um objeto. As respostas a este mtodo no devem ser
cacheadas.
456
Dvidas ??
457
Laboratrio Final
Abram um terminal
system reset-configuration
458
Obrigado !
Edson Xavier Veloso Jr.
Srgio Souza
Wardner Maia
edson@mikrotikbrasil.com.br
sergio@mikrotikbrasil.com.br
maia@mikrotikbrasil.com.br
459
ANEXOS
460
Balanceamento
de Carga
melhorado
com Mikrotik
Ateno Os prximos 32 slides so referentes configuraao
de balanceamento com o antigo mtodo de NTH para a V3
(mtodo substitudo pelo PCC)
461
Balanceamento de Carga com NTH

Conforme pudemos ver at agora existem diversos mtodos para se fazer
balanceamento de carga, cada um com suas particularidades.
Um dos problemas que ocorre quando queremos balancear o trfego utilizando duas
ou mais operadoras diferentes com relao ao funcionamento de diversos servios
dependentes da manuteno conexo, como por exemplo https, servios de
mensagens e outros.
O Mikrotik apresenta um atributo no Mangle que auxilia na marcao de pacotes que
o NTH (n-simo). O NTH tem o objetivo de encontrar a n-simo pacote recebido por
uma regra. Seu uso definido pelos parametros:
nth ( every, packet )

462

Nth ( every, packet )
So dois nmeros inteiros que significam :
every: encontra cada pacote de nmero every. Exemplo, se every = 1, a regra
encontrar o primeiro pacote.
packet: a regra encontra o pacote com esse nmero. Obviamente esse nmero
dever estar entre 1 e every.
Obs: No exemplo a seguir, necessrio a opo Passthrough=YES
463

Exemplo, para balancear 3 links:
nth = 3,1 3,2 3,3
- o primeiro pacote encontra a regra 3,1 (por causa do 1).
- o segundo pacote encontra a regra 3,2 (por causa do 2)
- o terceiro encontra a regra 3,3 (por causa do 3)
- a cada every+1 o contador zerado, iniciando o processo novamente.
464

Para balancear 2 links:
nth = 2,1
2,2

nth = 4,1 4,2 4,3 4,4
nth = 7,1 7,2 7,3 7,4 7,5 7,6 7,7
Para balancear n links:
nth = n,n-1 n,n-2 n,n-3 n,n-4 n,n-5 n,n-6 n,n-7
465

200.200.200.2
200.200.200.1
192.168.0.0/24
Internet
200.200.100.2
200.200.100.1
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
add address=200.200.200.2/30 network=200.200.200.0/30 broadcast=200.200.200.3 interface=wan2
466

1 marca-se a conexo no
canal prerouting, pela
interface Local e estado da
conexo new
2 Marca-se a conexo com
a etiqueta primeira e manda
passar adiante
3 Na aba Extra marca-se
o atributo NTH
467

Exemplo para 2 Links continuao:
4 no canal prerouting, na Interface
Local, escolhe-se agora as conexes
que tem a marca primeira
5 Toma-se a ao mark routing
dando-se o nome de primeira_rota.
Isso significa que todos os pacotes
pertencentes conexo primeira
sero rotulados com a marca de
roteamento primeira_rota e marcar
a opo passtrhough.
468

continuao.
6 Faz-se o mesmo para a
conexo seguinte, utilizando
agora o atributo NTH = 2,2 e
a marca de conexo
segunda
469

continuao:
7 Finalizando a etapa de
marcao, faz-se o mesmo
procedimento de marcar os
pacotes pertencentes conexo
segunda colocando-se a marca
de rota segunda_rota
470

continuao:
10 necessrio agora fazer
as regras de NAT de forma que
as conexes marcadas como
primeira sejam nateadas pelo IP
da WAN1
471

continuao:
11 Da mesma forma, as
conexes marcadas como
segunda devem ser nateadas
pelo endereo IP da WAN2
472

12 Cria-se ento as rotas default
apontando para o primeiro e segundo link,
dependendo da marcao recebida
previamente.
13 Finalmente cria-se uma rota default
apontando para qualquer um dos links, com
a finalidade de mandar os pacotes no
marcados, no caso o trfego do prprio
roteador.
473
Balanceamento de Carga com NTH, com

conexes persistentes por usurio
Nesse caso, nosso objetivo fazer o balanceamento entre 2 links, mas forando que as
conexes dos mesmos usurios saiam sempre pelo mesmo link.
Fazemos isso, utilizando a tcnica do NTH combinada com as Address Lists do
Firewall.
1 Adicionamos duas Address Lists no Firewall
474

2 Fazemos agora com que todas as conexes novas oriundas dos

usurios contidos na Lista_1 sejam marcadas com a marca primeira e
em seguida fazemos com que os pacotes dessa conexes recebam a
marca de rota primeira_rota
475

Regra 1
476

Regra 2
477

3 O mesmo fazemos agora para as conexes novas oriundas dos

usurios contidos na Lista_2.
Marcamos as conexes com a marca segunda e em seguida fazemos
com que os pacotes dessa conexes recebam a marca de rota
segunda_rota
478

Regra 3
479

Regra 4
480

Fazemos agora as
marcaes, desta vz
utilizando o NTH.
Nestas regras iro passar
todos os clientes que no
estiverem j inscritos em
listas.
Regra 5
481

Agora, os usurios que foram
marcados com uma marca de
conexo especfica, so inscritos
em uma lista.
No caso, primeira Lista_1
Regra 6
482
Ainda na marca de conexo

primeira, marca-se a rota
primeira_rota
Regra 7
483
Repetimos tudo de novo

utilizando no entanto o NTH =
2,2
Regra 8
484
Adiciona-se agora os usurios na

Lista_2
Regra 9
485
Regra 10
486

Regra 11
Faz-se normalmente as regras
de NAT de forma que as
da WAN1
487

Regra 12
O mesmo para as conexes
marcadas como segunda, que
devem ser nateadas pelo
endereo IP da WAN2
488

apontando para o primeiro e segundo
link, dependendo da marcao
recebida previamente.
14 Finalmente cria-se uma rota
default apontando para qualquer um
dos links, com a finalidade de mandar
os pacotes no marcados.
489
Balanceamento de Carga com NTH, utilizando

links de velocidades diferentes
Quando temos vrios links de velocidades diferentes e queremos balancea-los de forma
ponderada podemos faze-lo utilizando a seguinte lgica:
Somamos os valores das velocidades de todos os links.
Dividimos o valor encontrado pela velocidade do menor link
O valor encontrado menos 1 ser o valor de every.
O valor de packet ir variar de zero at esse valor encontrado menos 1
490

Exemplo: temos 4 links de velocidades de 512, 1024, 1024 e 2048 kbps e queremos balancealos:
Total da Banda = 512 + 1024 + 1024 + 2048 = 4608
Equivalencia de link = 4608/512 = 9 ( como se tivssemos 9 links de 512kbps)
Escolhemos os seguintes valores de NTH: 9,1 9,2 9,3 9,4 9,5 9,6 9,7 9,8 9,9
Seguindo a mesma lgica do que foi feito para dois links, no mangle, marcamos as conexes e
rotas de 1 a 8.
Promovemos ento o balanceamento direcionando 1 conexo para o link1, 2 para o link2, 2 para
o link3 e 4 para o link4, totalizando 4+2+2+1 = 9 conexes.
491
Dvidas ??
492
Balanceamento
de Carga
melhorado
com Mikrotik
Ateno Os prximos 32 slides so referentes configuraao
de balanceamento com o antigo mtodo de NTH para a V2.9
(mtodo modificado pela V3, e depois substituido pelo PCC a partir da 3.24)
493

Conforme pudemos ver at agora existem diversos mtodos para se fazer
balanceamento de carga, cada um com suas particularidades.
Um dos problemas que ocorre quando queremos balancear o trfego utilizando duas
ou mais operadoras diferentes com relao ao funcionamento de diversos servios
dependentes da manuteno conexo, como por exemplo https, servios de
mensagens e outros.
O Mikrotik apresenta um atributo no Mangle que auxilia na marcao de pacotes que
o NTH (n-simo). O NTH tem o objetivo de encontrar a n-simo pacote recebido por
uma regra. Seu uso definido pelos parametros:
nth ( every, counter, packet )

494

Nth ( every, counter, packet )
So trs nmeros inteiros que significam :
every: encontra cada pacote de nmero every+1. Exemplo, se every = 1, a regra
encontrar o segundo pacote.
counter: especifica qual contador utilizar. um nmero aleatrio que deve ser
escolhido de 0 a 15, devendo ser o mesmo para um grupo que se queira balancear.
packet: a regra encontra o pacote com esse nmero. Obviamente esse nmero
dever estar entre 0 e every.
495

Exemplo, para balancear 3 links:
nth = 2,3,0 2,3,1 2,3,2
- o primeiro pacote encontra a regra 2,3,0 (por causa do 0).
- o segundo pacote encontra a regra 2,3,1 (por causa do 1)
- o terceiro encontra a regra 2,3,2 (por causa do 2)
- a cada every+1 o contador zerado, iniciando o processo novamente.
496

nth = 1,2,0
1,2,1

nth = 3,3,0 3,3,1 3,3,2 3,3,3
nth = 6,15,0 6,15,1 6,15,2 6,15,3 6,15,4 6,15,5 6,15,6
497

nth = 1,2,0
1,2,1

nth = 3,3,0 3,3,1 3,3,2 3,3,3
nth = 6,15,0 6,15,1 6,15,2 6,15,3 6,15,4 6,15,5 6,15,6
498

200.200.200.2
200.200.200.1
192.168.0.0/24
Internet
200.200.100.2
200.200.100.1
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
499

1 marca-se a conexo no
canal prerouting, pela
interface Local e estado da
conexo new
2 Marca-se a conexo com
a etiqueta primeira e manda
passar adiante
3 Na aba Extra marca-se
o atributo NTH
500

4 no canal prerouting, na Interface
Local, escolhe-se agora as conexes
que tem a marca primeira
5 Toma-se a ao mark routing
dando-se o nome de primeira_rota.
Isso significa que todos os pacotes
pertencentes conexo primeira
sero rotulados com a marca de
roteamento primeira_rota No se
usa passtrhough pois a ao j foi
tomada e esse pacote para de ser
examinado.
501

continuao.
6 Faz-se o mesmo para a
conexo seguinte, utilizando
agora o atributo NTH = 1,1,1
e a marca de conexo
segunda
502

continuao:
7 Finalizando a etapa de
marcao, faz-se o mesmo
procedimento de marcar os
pacotes pertencentes conexo
segunda colocando-se a marca
de rota segunda_rota
503

continuao:
10 necessrio agora fazer
as regras de NAT de forma que
as conexes marcadas como
da WAN1
504

continuao:
11 Da mesma forma, as
segunda devem ser nateadas
pelo endereo IP da WAN2
505

apontando para o primeiro e segundo link,
dependendo da marcao recebida
previamente.
13 Finalmente cria-se uma rota default
apontando para qualquer um dos links, com
a finalidade de mandar os pacotes no
marcados, no caso o trfego do prprio
roteador.
506

Nesse caso, nosso objetivo fazer o balanceamento entre 2 links, mas forando que as
conexes dos mesmos usurios saiam sempre pelo mesmo link.
Fazemos isso, utilizando a tcnica do NTH combinada com as Address Lists do
Firewall.
1 Adicionamos duas Address Lists no Firewall
507

2 Fazemos agora com que todas as conexes novas oriundas dos

usurios contidos na Lista_1 sejam marcadas com a marca primeira e
em seguida fazemos com que os pacotes dessa conexes recebam a
marca de rota primeira_rota
508

Regra 1
509

Regra 2
510

3 O mesmo fazemos agora para as conexes novas oriundas dos

usurios contidos na Lista_2.
Marcamos as conexes com a marca segunda e em seguida fazemos
com que os pacotes dessa conexes recebam a marca de rota
segunda_rota
511

Regra 3
512

Regra 4
513

Fazemos agora as
marcaes, desta vz
utilizando o NTH.
Nestas regras iro passar
todos os clientes que no
estiverem j inscritos em
listas.
Regra 5
514

Agora, os usurios que foram
marcados com uma marca de
conexo especfica, so inscritos
em uma lista.
No caso, primeira Lista_1
Regra 6
515
Ainda na marca de conexo

primeira, marca-se a rota
primeira_rota
Regra 7
516
Repetimos tudo de novo

utilizando no entanto o NTH =
1,1,1
Regra 8
517
Adiciona-se agora os usurios na

Lista_2
Regra 9
518
Regra 10
519

Regra 11
Faz-se normalmente as regras
de NAT de forma que as
da WAN1
520

Regra 12
O mesmo para as conexes
marcadas como segunda, que
devem ser nateadas pelo
endereo IP da WAN2
521

apontando para o primeiro e segundo
link, dependendo da marcao
recebida previamente.
14 Finalmente cria-se uma rota
default apontando para qualquer um
dos links, com a finalidade de mandar
os pacotes no marcados.
522

Quando temos vrios links de velocidades diferentes e queremos balancea-los de forma
ponderada podemos faze-lo utilizando a seguinte lgica:
Somamos os valores das velocidades de todos os links.
Dividimos o valor encontrado pela velocidade do menor link
O valor encontrado menos 1 ser o valor de every.
O valor de packet ir variar de zero at esse valor encontrado menos 1
523

Exemplo: temos 4 links de velocidades de 512, 1024, 1024 e 2048 kbps e queremos balancealos:
Total da Banda = 512 + 1024 + 1024 + 2048 = 4608
Equivalencia de link = 4608/512 = 9 ( como se tivssemos 9 links de 512kbps)
Escolhemos os seguintes valores de NTH: 8,1,0 ; 8,1,1 ; 8,1,2 ; 8,1,3 ; 8,1,4 ; 8,1,5 ; 8,1,6 ; 8,1,7,
8,1,8
Seguindo a mesma lgica do que foi feito para dois links, no mangle, marcamos as conexes e
rotas de 1 a 8.
Promovemos ento o balanceamento direcionando 1 conexo para o link1, 2 para o link2, 2 para
o link3 e 4 para o link4, totalizando 4+2+2+1 = 9 conexes.
524
ANEXO
Scripting Host e Ferramentas
Complementares do
Mikrotik
525
Scripting Host
O Mikrotik possui uma poderosa linguagem interna de Scripts
com a qual diversas aes e tarefas de manuteno podem
ser executadas a partir da ocorrencia de eventos diversos.
Os scripts podem ser executados tanto pelo agendador de
tarefas como por outras ferramentas como o monitoramento
de trfego e o netwatch.
Os comandos de configurao so comandos padro do
RouterOS e as expresses so precedidas de : a
acessveis de todos os sub-menus.
526
Scripting Host - Variveis

O Mikrotik RouterOS suporta dois tipos de variveis globais (disponveis para todo o
sistema) e locais (acessvel somente ao contexto do script). Uma varivel pode ser
referenciada pelo smbolo de $, seguido pelo nome da varivel, com excesso dos
comandos set e unset que tomam o nome da varivel sem o $.
Os nomes das variveis podem ser compostos de letras, nmeros e do smbolo -. Toda
varivel deve ser obrigatoriamente declarada antes de ser utilzada nos scripts.
Existem 4 tipos de declaraes que podem ser feitas:
global variveis globais podem ser acessadas por todos os scritpts e logins de console
no mesmo roteador. Entretanto elas no so mantidas depois de reboots
local variveis declaradas como locais no so compartilhadas com outros scripts e seu
valor perdido sempre que o script finalizado.
527

As variveis tambm podem ser declaradas como:
variveis indexadoras de loop definidas dentro de uma declarao for e foreach,
essas variveis so utilizadas apenas para um bloco do de comandos e so removidas
quando o comando completado.
variveis de monitor alguns comandos monitor que tem uma parte do tambm podem
introduzir variveis.
Para obter uma lista de variveis disponveis use o comando :environment print
possvel atribuir um novo valor a uma varivel dentro do script usando o comando :set
seguido do nome da varivel sem o $ e o novo valor. Tambm pode-se eliminar uma
varivel com :unset. Nesse caso, se a varivel local, perdida e se global fica
mantida, porm inacessvel pelo script corrente.
528

[admin@Hotspot] > :global variavel-global "abcd"
[admin@Hotspot] > :local variavel-local "1234"
[admin@Hotspot] > :put $variavel-global

abcd
[admin@Hotspot] > :put $variavel-local
1234
[admin@Hotspot] > :environment print
Global Variables
variavel-global=abcd
Local Variables
variavel-local=1234
529
Scripting Host
Inserindo os Scripts
Os scripts ficam armazenados em /system script. As propriedades so as seguintes:

Name: nome que vai ser chamado o script
Policy: so as polticas de segurana aplicveis
Run Count; quantas vezes o script rodou. Valor voltil quando o roteador
reiniciado.
Owner: usurio criador do script
Last Time Started: Data e hora da ltima execuo do scritp
A Facilidade JOB utilizada para manipular tarefas ativas o que estejam
previamente agendadas em /system scheduler
530
Scripting Host
Exemplos
Faamos um script simples para monitorar o estado
de uma interface de rede ether1 a cada 10 segundos
e fazer com que seja mandado para o log qualquer
inatividade desta.
Script para monitorar:
:global estado-da-interface;
/interface ethernet monitor ether1 once do={:set
estado-da-interface $status};
:if ($status=no link) do={log message=O link
caiu!!!!};
531
Scripting Host
Exemplos
Em seguida colocamos no Agendador de Tarefas para que dispare o script
Monitora_Lan a cada 10 segundos. Equivalente na linha de comando:
/ system script
add name="Monitora_Lan" source="{:global estado-da-interface;/interface ethernet
monitor ether1 once do={:set estado-da-interface $status};:if$\$status=no-link$ do={log
message=\"O link caiu!!!!\" }}"
/ system scheduler
add name="Monitora_Lan" on-event=Monitora_Lan start-date=jan/01/1970 starttime=00:00:00 interval=10s comment="" disabled=no
532
Para popular a tabela ARP
/ system script
add name=popula_ARP code={:foreach i in [/ip arp find dynamic=yes interface=wlan1]
do={ /ip arp add copy-from=$i }
/ system scheduler
add name=popula_ARP" on-event=Monitora_Lan start-date=jan/01/1970 starttime=00:00:00 interval=1d comment="" disabled=no
533
Scripting Host Comandos e valores de retorno

Alguns comandos so uteis quando os resultados de suas saidas podem ser utilizados
como argumentos em outros comandos. Os valores de retorno de comandos no entanto
no aparecem na tela do terminal e para serem obtidos devem ser colocados entre
colchetes[]. Aps a execuo o valor de retorno do comando ser o valor do contedo
desses colchetes. Esse procedimento chamado de substituio de comando.
Entre os comandos que produzem valores de retorno esto:
find: retorna uma referencia a um tem em particular
ping retorna o nmero de pings com sucesso,
time retorna o tempo,
inc e decr retornam o novo valor de uma varivel
add que retorna o nmero interno de um tem novo criado.
534
Scripting Host Comandos e valores de retorno

Exemplo de utilizao de find:
[admin@Hotspot] >
[admin@Hotspot] > /interface
[admin@Hotspot] interface> find type=ether
[admin@Hotspot] interface>
[admin@Hotspot] interface> :put [find type=ether]
*1
Exemplo de um comando servindo de argumento para outro:
[admin@Hotspot] interface> enable [find type=ether]
535
SCRIPTS - ANEXOS
Comandos e Operadores
536
Scripting Host Operadores

Na console do RouterOS podem ser feitos clculos simples com nmeros, endereos IPs,
Strings e listas. Para obter o resultado de uma expresso coloque os argumentos entre
parenteses
- menos unrio inverte o sinal de um dado valor.
- menos binrio subtrai dois nmeros, dois IPs ou um IP e um nmero
! NOT NO lgico. Operador unrio que inverte um dado valor booleano
/ diviso. Operador Binrio divide um nmero por outro (d um nmero como
resultado) ou divide um tempo por um nmero (d um tempo como resultado).
. concatenao. Operador Binrio concatena 2 strings ou anexa uma lista a outra, ou
ainda anexa um elemento uma lista.
^ operador XOR (OU exclusivo). Os argumentos e os resultados so endereos IP
~ inverso de bit. Operador unrio que inverte bits em um endereo IP
* multiplicao. Operador Binrio, que pode multiplicar dois nmeros ou um valor de
tempo por um nmero
537

& bitwise AND (E). Os argumentos e resultados so endereos IP
&& AND (operador booleano E). Operador Binrio os argumentos e resultados so valores
lgicos.
+ mais binrio. Adiciona dois nmeros, dois valores de tempo um nmero e um endereo IP.
< menor. Operador Binrio que compara dois nmeros, dois valores de tempo ou dois IPs.
Retorna um valor booleano.
<< deslocamento esquerda. Operador Bindio que desloca um endereo IP com um dado
tamanho de bits. O primeiro argumento o IP e o segundo um inteiro. O resultado outro IP
<= menor ou igual. Operador Binrio que compara 2 nmeros ou 2 valores de tempo ou dois
IPs. O resultado um valor booleano.
> maior. Operador Binrio que compara 2 nmeros, ou 2 valores de tempo ou dois IPs,
retornando um valor booleano
>= maior ou igual. Operador Binrio que compara 2 nmeros, ou 2 valores de tempo ou dois
IPs, retornando um valor booleano
>> - deslocamento direita. Operador Bindio que desloca um endereo IP com um dado tamanho
de bits. O primeiro argumento o IP e o segundo um inteiro. O resultado outro IP
| - bitwise OR. Os argumentos e resultados so ambos endereos IP
|| - OR (operador booleano OU). Operador Binrio. Os argumentos e resultados so valores lgicos.
538
Exemplos:
Ordem de operadores e de avaliao:

[admin@MikroTik] ip firewall rule forward> :put (10+1-6*2=11-12=2+(-3)=-1)
false
[admin@MikroTik] ip firewall rule forward> :put (10+1-6*2=11-12=(2+(-3)=-1))
true
[admin@MikroTik] ip firewall rule forward
NO lgico
[admin@MikroTik] interface> :put (!true)
false
[admin@MikroTik] interface> :put (!(2>3))
true
[admin@MikroTik] interface>
539
Exemplos:
Inverso de bits
[admin@MikroTik] interface> :put (~255.255.0.0)
0.0.255.255
Soma
[admin@MikroTik] interface> :put (3ms + 5s)
00:00:05.003
[admin@MikroTik] interface> :put (10.0.0.15 + 0.0.10.0)
cannot add ip address to ip address
[admin@MikroTik] interface> :put (10.0.0.15 + 10)
10.0.0.25
540
Scripting Host Comandos

O RouterOS apresenta vrios comandos internos de console e expresses (ICE) que no
dependem de qual diretrio se esteja no men.
Esses comandos no mudam as configuraes diretamente, mas so teis para

automatizar vrios processos de manuteno.
A lista completa das ICE pode ser acessada digitando : e em seguida dois tabs
[admin@Hotspot] interface> :
beep
execute global local put toarray tonum while
delay
find if log resolve tobool tostr
do
for len nothing set toid totime
environment foreach list pick time toip typeof
541

list lista todos comandos
resolve faz uma busca por um nome de domnio
execute roda um script em separado
local atribui um valor para uma varivel local
global declara e atribui um valor para uma varivel global
set Muda as propriedades do tem
put apresenta os argumentos na tela
while executa um comando enquanto uma condio verdadeira
if executta um comando se uma condio verdadeira
do executa um comando
time retorna o tempo que um comando levou para ser executado
for executa um comando para um range de valores inteiros
foreach executa um comando para cada um dos argumentos de uma lista
delay pausa a execuo por um determinado tempo
542

typeof retorna o tipo do valor
len retorna o nmero de elementos no valor
tostr converte um argumento para uma string
tobool converte um argumento para verdadeiro
tonum converte um argumento para um valor inteiro
totime converte um argumento para um valor de intervalo de tempo
toip -- converte um argumento para um endereo IP
toarray converte um argumento para um valor de array
nothing no faz nada e no retorna nada comando extremamente til
pick retorna um range de caracteres de strings ou valores de arrays
find Localiza items pelo valor
log manda mensagem para os logs
beep produz um sinal audvel se for suportado hardware.
environment/ -- lista de todas as variveis
543

Especiais
Monitor
possvel acessar valores que so mostrados pela maioria das aes
monitor, atravs dos Scripts. Um comando monitor que tem um
parametro do pode ser fornecido tanto pelo nome do script ( /system
scripts), ou pela execuo de comandos de console.
Get
A maior parte dos comandos print produzem valores que so acessveis a
partir dos scripts. Esses comandos print tem um correspondente comando
get no mesmo nvel de men. O comando get aceita um parametro
quando trabalhando com nmeros regulares ou dois parametros quando
trabalhando com listas
544
Scripting Host
Caracteres Especiais
# usado como comentrio. Linha ignorada
; usado para colocar mltiplos comandos em uma s linha
Caso se precise usar os caracteres especiais {}[]"'\$, como strings normais, eles
devem ser precedidos de uma barra \. Exemplo \\, significa o caracter \
\a campainha, cdigo do caracter 7
\b backspace, cdigo do caracter 8
\f alimentao de pgina, cdigo do caracter 12
\n nova linha, cdigo do caracter 10
\r enter, cdigo do caracter 13
\t tabulao, cdigo do caracter 9
\v tabulao vertical, cdigo do caracter 11
\_ espao, cdigo do caracter 32
545
mdbrasil - Host
todos direitos reservados
Scripting
Exemplos
Scripts que podem ser baixados em http://wiki.mikrotik.com/wiki/Scripts

Filter a command output
Enable and Disable P2P connections
Send Backup email
Limiting a user to a given amount of traffic (using firewall)
Limiting a user to a given amount of traffic II (using queues)
Limiting a user to a given amount of traffic with user levels (using queues)
Generate bogons firewall chain based on routing-marks
Generate routes for stress testing BGP functionality
Set global and local variables
Dynamic DNS Update Script for ChangeIP.com
Reset Hotspot user count
Use SSH to execute commands (DSA key login)
Audible signal test
ECMP Failover Script
Sending text out over a serial port
Setting static DNS record for each DHCP lease
Improved Netwatch
546
Monitoramento da Rede - Netwatch

A Ferramenta Netwach monitora o estado de hosts
da rede, mandando pacotes de pings para uma
lista de endereos IP especificados.
possvel especificar para cada IP, intervalos de
ping e scripts de console, possibilitando assim que
sejam feitas aes em funo da mudana de
estado de hosts.
547

Host: Endereo IP do host que ser monitorado
Interval: Intervalo em que o host ser pingado. Por

default 1 segundo.
Timeout: Se nenhuma resposta for recebida nesse
tempo, o host ser considerado down.
Na aba Up, deve ser colocado o nome do script de
console que ser executado quando o estado do host
mudar de desconhecido ou down para up.
Na aba Down, deve ser colocado o nome do script de
console que ser executado quando o estado do host
mudar de desconhecido ou up para down
548
O estado dos hosts pode ser visto acima:

Status: up, down ou unknown (desconhecido)
Since: Indica quando o estado do host mudou pela ltima vz.

importante conhecer o nome exato das variveis de mudana de estado, pois elas sero
usadas na lgica dos scripts:
up-scritpt: nome do script que executado quando o estado muda para up

down-script: nome do script que executado quando o estado muda para down
549
Exemplo de aplicao de Netwatch

Queremos que um o gateway default de uma rede seja alterado, caso o gateway em uso
tenha problemas
[admin@MikroTik] system script> add name=gw_1 source={/ip route set { [/ip route find dst
0.0.0.0] gateway 10.0.0.1}
[admin@MikroTik] system script> add name=gw_2 source={/ip route set {[/ip route find dst
0.0.0.0] gateway 10.0.0.217}
[admin@MikroTik] system script> /tool netwatch
[admin@MikroTik] tool netwatch> add host=10.0.0.217 interval=10s timeout=998ms upscript=gw_2 down-script=gw_1

550
Monitor de Porta Serial - Sigwatch

O utilitrio Sigwatch permite o monitoramento do estado da porta serial, gerando eventos
no sistema quando h alterao do estado destas. O acesso a essa facilidade somente
pode ser feito pelo Terminal, no estando disponvel no Winbox.
Os parametros a configurar so:
name: nome do tem a ser monitorado pelo Sigwatch
on-condition: em qual situao deve ser tomada alguma ao para esse tem (default
=on):
on: dispara se o estado do pino muda para ativo
off: dispara quando o estado do pino muda para inativo
change: dispara sempre que o estado do pino muda.
551

port: nome da porta serial a monitorar
script: nome do script a disparar para esse tem
signal: nome do sinal ou nmero do pino (para DB9 padro) a monitorar (default=rts)
dtr: Data Terminal Ready (pino 4)
rts: Request to Send (pino 7)
cts: Clear to Send (pino8)
dcd: Data Carrier Detect (pino 1)
ri: Ring Indicator (pino 9)
dsr: Data Set Ready (pino 6)
552

state: ltimo estado do sinal monitorado
log: (yes|no): se deve ser adicionada uma mensagem na forma name-of-sigwatch-item:
signal changed [to high | to low] facilidade do System-Info sempre que esse tem do
sigwatch for disparado (default=no)
count: contador (s leitura) que indica o nmero de vezes que sigwatch foi ativado. Zera
quando o roteador reiniciado
OBS: O Sigwatch pode disparar um script previamente colocado em system/scripts ou seu
cdigo fonte pode ser digitado diretamente na linha de chamada do script.
553
Exemplo: Desejamos monitorar se na porta serial1 do Roteador h sinal de

CTS.
[admin@Hotspot] tool sigwatch> add name="monitor_da_serial"

port=serial0 pin=8 on-condition=change log=no
554
Traffic Monitor
A ferramenta traffic monitor utilizada para
executar scripts de console, sempre que o trfego
em uma dada interface ultrapasse um valor
determinado.
Parametros de configurao:
Name: Nome do tem
Interface: Interface que ser monitorada
Traffic: se trafego transmitido ou recebido
Threshold: limite em bps que dispara o gatilho
Trigger: Se o gatilho disparado quando o valor
ultrapassa o Threshold ou cai abaixo ou o somente
atinge (subindo ou descendo)
On Event: script a ser executado.
555
Traffic Monitor
Exemplo: Queremos monitorar o trfego entrante em um roteador com duas interfaces de
rede ether1 e ether2. Quando o trfego exceder 15kbps na ether1 vamos habilitar a
ether2, que ser desabilitada quando o trfego recuar para menos de 12kbps
- Primeiro vamos criar os scripts de subida e descida
556
Traffic Monitor
Agora vamos definir as aes: quando o trfego passa de 15kbps ativa a
interface, mas s quando cai abaixo de 12 kbps que desabilita
557
Traffic Monitor
Vamos conferir como ficou na linha de comando:
/ system script
add name="sobe_ether2" source="/interface enable ether2

add name="baixa_ether2" source="/interface disable ether2
/ tool traffic-monitor
add name="acima_de_15" interface=ether1 traffic=received trigger=above
threshold=15000 on-event=sobe_ether2
add name="abaixo_de_12" interface=ether1 traffic=received trigger=above
threshold=12000 on-event=baixa_ether2
558
Obrigado !
Edson Xavier Veloso Jr.
Srgio Souza
Wardner Maia
edson@mikrotikbrasil.com.br
sergio@mikrotikbrasil.com.br
maia@mikrotikbrasil.com.br
559

MTCNA Mdbrasil Original

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

MTCNA Mdbrasil Original

Caricato da

Copyright:

Formati disponibili

mdbrasil - todos direitos reservados

APOSTILA MTCNA verso 1

OBS: Esta a apostila original dos primeiros treinamentos em Mikrotik RouterOS

mdbrasil - todos direitos reservados

Este material est destinado ao uso e estudo pessoal de seus portadores, no

mdbrasil - todos direitos reservados

Notas sobre a apostila

mdbrasil - todos direitos reservados

Em meados de 2007 a MD Brasil se tornou a primeira empresa brasileira parceira

mdbrasil - todos direitos reservados

Um pouco sobre a MD Brasil TI & Telecom

Primeira empresa brasileira qualificada como Training Partner Mikrotik, em julho de

mdbrasil - todos direitos reservados

mdbrasil - todos direitos reservados

O que o Mikrotik RouterOS ?

mdbrasil - todos direitos reservados

O Mikrotik RouterOS pode ser instalado utilizando:

mdbrasil - todos direitos reservados

Imagem ISO para instalao com CD

mdbrasil - todos direitos reservados

mdbrasil - todos direitos reservados

mdbrasil - todos direitos reservados

mdbrasil - todos direitos reservados

Pacotes do RouterOS - significado

Pacote principal com servios bsicos e drivers. A rigor o nico

Suporte aos servios PPP como PPPoE, L2TP, PPtP, etc

DHCP cliente e DHCP servidor

ferramentas de diagnstico, netwatch e outros utilitrios

Suporte a um tipo de placa Aironet antiga arlan

Pacote para vigilancia de conexes (exigencia legal nos EUA)

Suporte a GPS (tempo e posio)

Suporte a conexes ISDN

Suporte a display de cristal lquido

Servidor e cliente de NTP (relgio)

mdbrasil - todos direitos reservados

Pacotes do RouterOS - significado

suporte a placa Radiolan

utilitrios para routerboards

suporte a roteamento dinamico protocolos RIP, OSPF e BGP

suporte a ssh, Ipsec e conexo segura do winbox

suporte a placas sncronas Moxa, Cyclades PC300 e outras

pacote de suporte a telefonia protocolo h.323

suporte a no-breaks APC

servio de autenticao user-manager

Suporte a placas PrismII e Atheros

Suporte a placas PrismII, Atheros e Aironet com algumas features

mdbrasil - todos direitos reservados

mdbrasil - todos direitos reservados

Instalao com Netinstall

Pode-se instalar em uma Routerboard,

mdbrasil - todos direitos reservados

Instalao com Netinstall

mdbrasil - todos direitos reservados

Instalao com Netinstall

mdbrasil - todos direitos reservados

O processo de instalao no configura um IP no Mikrotik e o primeiro acesso pode

Direto na console (no caso de PCs)

mdbrasil - todos direitos reservados

mdbrasil - todos direitos reservados

mdbrasil - todos direitos reservados

Print: mostra informaes de configurao

[admin@MikroTik] interface ethernet> print

mdbrasil - todos direitos reservados

[admin@Escritorio] > interface ethernet monitor ether1