Mikrotik Certified Network Associate (Mtcna)
MikroTik Certified Network Associate (MTCNA) Entrenador Ing. Tel. Aníbal Enríquez Moncayo Entrenador Mikrotik Y Ubiqui
Views 244 Downloads 9 File size 9MB
Recommend stories
- Author / Uploaded
- Negris Isabel
Citation preview
MikroTik Certified Network Associate (MTCNA)
Entrenador Ing. Tel. Aníbal Enríquez Moncayo Entrenador Mikrotik Y Ubiquiti
ww.certificate.ec
2
• •
Agenda Entrenamiento diario: 8AM - 5PM 1 hora de almuerzo: 12:30PM
www.certificate.ec
Objetivo del Curso
• Vista general del RouterOS software y •
capacidades del RouterBoard Hardware Tener una formación práctica en configuraciones del router MikroTik, mantenimiento y resolución de problemas básicos. www.certificate.ec
• • •
Sobre MikroTik
Fabricante de software y hardware para ruteadores Productos usados por ISPs, compañias e integradores Hacer las tecnologías del Internet mas rápidas, potentes y asequibles para una gama más amplia de usuarios
www.certificate.ec
Historia de MikroTik
• 1995: Establecida • 1997: RouterOS software para x86 (PC) • 2002: RouterBOARD • 2006: Primer MUM
www.certificate.ec
De donde es MikroTik?
• www.mikrotik.com • www.routerboard.com • Riga, Latvia, Northern Europe, EU
www.certificate.ec
De donde es MikroTik ?
www.certificate.ec
•
• • • • •
Presentación Su nombre Su compañia Su conocimiento previo sobre RouterOS (?) Su conocimiento previo sobre redes (?) Cual es su espectativa sobre el curso (?)
Por favor, recuerde su numero de clase XY. _____
www.certificate.ec
MikroTik RouterOS
www.certificate.ec
Que es RouterOS ?
• RouterOS es un Sistema Operativo que hará que su dispositivo llegue a ser:
• • • •
un ruteador dedicado un controlador de ancho de banda un filtro de paquetes (transparente) Un dispositivo inalámbrico 802.11a,b,g,n,ac
www.certificate.ec
Que es RouterOS ?
• El Sistema Operativo de RouterBOARD • Puede también ser instalado en una PC
www.certificate.ec
Que es RouterBOARD ?
• Hardware creado por MikroTik • Desde router pequeños domesticos hasta concentradores de clases de acceso de carrier
www.certificate.ec
Primer acceso
Null Modem Cable
Ethernet cable
www.certificate.ec
Winbox
• La aplicacion para configurar RouterOS • Esta puede ser descargada de: www.mikrotik.com
www.certificate.ec
Descarga de Winbox
www.certificate.ec
Conectándo – Hacer click en el botón [...] para ver su router
www.certificate.ec
Comunicación
• El proceso de comunicación esta •
dividido en siete capas Desde la mas baja que es la capa física hasta la mas alta que es la capa de aplicación
www.certificate.ec
www.certificate.ec
Direcciones MAC
• Esta es la única dirección física de • •
cualquier dispositivo de red Esta es usada para las comunicaciones dentro de la LAN Ejemplo: 00:0C:42:20:97:68
www.certificate.ec
IP
• Esta es una dirección lógica de los • •
dispositivos de red Esta es usada para comunicaciones entre redes Ejemplo: 159.148.60.20
www.certificate.ec
Mask
• Rango de direcciones IP logicas que •
dividen a las redes en segmentos Ejemplo: 255.255.255.0 de /24
www.certificate.ec
Subredes
• Dirección de red es la primera dirección • •
IP de la subred Dirección de Broadcast es la última dirección IP de la subred Estas están reservadas y no pueden ser utilizadas
www.certificate.ec
www.certificate.ec
Selección de la dirección IP
• Seleccione la dirección IP de la misma •
subred en la red local Especialmente para grandes redes con multiples subredes
www.certificate.ec
Ejemplo de selección de dirección IP
• Clientes usan diferentes subredes mascara • • • •
/25 and /26 A tiene la dirección IP 192.168.0.200/26 B tiene mascara de subred /25, direcciones disponibles192.168.0.129-192.168.0.254 B no puede usar 192.168.0.129-192.168.0.192 B puede usar direcciones IP desde 192.168.0.193 - 192.168.0.254/25 www.certificate.ec
2 6
Conectando
Ethernet Cable Winbox www.certificate.ec
Conectando Lab
• Click en el Mac-Address del Winbox • Username “admin” sin password
www.certificate.ec
Diagrama Su Laptop
Su Router
AP de Clases
www.certificate.ec
Laptop - Router
• Deshabilite interfaces (wireless) en su • •
laptop Configure la dirección IP 192.168.X.1/24 Configure 192.168.X.254 en el Gateway
www.certificate.ec
Laptop - Router
• Conectese al router con MAC-Winbox • Adicione 192.168.X.254/24 al Ether1
www.certificate.ec
Laptop - Router
• Cierre Winbox y conectese nuevamente •
usando dirección IP MAC-address debería unicamente ser usado cuando no existe acceso por IP
www.certificate.ec
Diagrama Laptop Router Su Laptop
Su Router
AP de Clases
172.17.X.1 172.17.X.254
www.certificate.ec
Router Internet Su Laptop
Su Router
AP de Clases
172.17.X.1 172.17.X.254
www.certificate.ec
Router - Internet
• El gateway de Internet de clases es •
accessible sobre wireless este es un AP (access point) Para conectarlo usted tienes que configurar la interface inalámbrica de su router en modo station
www.certificate.ec
Router - Internet • Para configurar wireless interface, doble-click en este nombre www.certificate.ec
Router - Internet
• Para ver un AP disponible use boton • • • •
scan Seleccione MTCNA y click en connect Cierre la ventana de scan Usted esta ahora conectado al AP! Recuerde el SSID de clases es MTCNA www.certificate.ec
Router - Internet
• La interface inalámbrica también • •
necesita una dirección IP El AP proporcina direcciones IP de forma automatic con DHCP Usted necesita habilitar el cliente DHCP en su router para obtener direcciones IP www.certificate.ec
Router - Internet
www.certificate.ec
Router - Internet
• Revisar conectividad a Internet con traceroute
www.certificate.ec
Router Internet Su Laptop
Su Router
AP de clases
DHCP-Client Wireless www.certificate.ec
Laptop - Internet
• Su router también puede ser un DNS server para su red local (laptop) www.certificate.ec
Laptop - Internet
• Configurar su Laptop para que use su •
router como DNS server Ingrese la IP de su router (192.168.x.254) como un DNS server en las configuraciones de red de su laptop
www.certificate.ec
Laptop - Internet
• Laptop puede acceder al router y el •
router puede acceder al internet, un paso mas es requerido Hacer una regla de Masquerade para ocultar su red privada detrás del router
www.certificate.ec
Espacios Públicos y Privados
• •
Masquerade se usa para acceder a redes publicas, cuando tenemos presentes direcciones de redes privadas
Redes privadas 10.0.0.0-10.255.255.255, 172.16.0.0172.31.255.255, 192.168.0.0-192.168.255.255 www.certificate.ec
Laptop - Internet
www.certificate.ec
Check Connectivity
• Ping www.mikrotik.com desde su laptop
www.certificate.ec
Qué puede estar mal
• Router no puede hacer ping al AP • Router no puede resolver nombres • Computadora no puede hacer ping mas • • •
alla del router Computadora no puede resolver nombres La regla del masquerade esta trabajando? El gateway y DNS de la laptop ? www.certificate.ec
Network Diagram Su Laptop
Su Router
AP de Clases
172.17.X.1 172.17.X.254 DHCP-Client www.certificate.ec
Gestión de usuarios
• El acceso al router se pueda controlar • Usted puede crear diferente tipos de usuarios
www.certificate.ec
Gestión de usuarios Lab
• Agrege un nuevo usuario al router con • • •
acceso full Asegurese de recordar el nombre de usuario Haga el usuario admin read-only Login con su uevo usuario www.certificate.ec
Actualización Router
• Use paquetes •
RouterOS combinado Arrastre a la ventana de Files
www.certificate.ec
Administración de paquetes
• Las funcionalidades del RouterOS son habilitadas por paquetes www.certificate.ec
Información Paquetes
www.certificate.ec
Package Lab
• Deshabilita routing • Reboot • Revise el menu routing
www.certificate.ec
Router Identity • Opción para configurar el nombre de cada router
www.certificate.ec
Router Identity
• Identity information es mostrada en varios lugares
www.certificate.ec
Router Identity Lab
• Ponga su número + su nombre en router identity
www.certificate.ec
NTP
• Network Time Protocol, para sincronizar •
tiempo NTP Client y NTP Server son soportados en RouterOS
www.certificate.ec
Porque NTP ?
• Para tener una hora correcta en el • •
router Para routers sin memoria interna tengan hora correcta Para sincronizar todos los RouterBOARDs
www.certificate.ec
NTP Client
• NTP client paquete no es requerido 72.8.140.240
www.certificate.ec
Configuración Backup
• Usted puede respaldar y restaurar •
configuraciones en el menu Files deWinbox Archivo Backup no es editable
www.certificate.ec
• • •
Configuración Backup
Adicionalmente se puede usar commandos CLI para export and import
Archivos exportados son editables Passwords no son guardados
/export file=conf-august-2009 / ip firewall filter export file=firewall-aug-2009 / file print / import [Tab] www.certificate.ec
Backup Lab
• Crear un Backup un Export files • Descargar estos a su laptop • Abrir el archivo export con text editor
www.certificate.ec
Netinstall
• Utilizado para instalación y • • •
reinstalación de RouterOS Se ejecuta en Windows Conexión directa o por un dispositivo de red Disponible en www.mikrotik.com www.certificate.ec
Netinstall
1.Lista de routers 2.Arranque por red 3.Mantega configuracion antigua Paquetes Instalar
4. 5.
www.certificate.ec
Optional Lab
• Download Netinstall ftp://192.168.100.254 • Ejecutar Netinstall • Habilitar Net booting, set address • •
192.168.x.13 Use null modem cable and Putty to connect Set router to boot from Ethernet www.certificate.ec
RouterOS License
• Todos los RouterBOARDs vienen con licencia • Varios niveles disponibles, no hay actualizaciones • Puede ser encontrado en MENU system license • Licencias para PC pueden ser adquiridas en mikrotik.com o en distribuidores www.certificate.ec
License
www.certificate.ec
Obtain License
Login to your account
www.certificate.ec
Actualizar Licencia para 802.11N
• 8-symbol
software-ID
system
is
introduced • Update key on existing routers to get full features support (802.11N, etc.) www.certificate.ec
Resumen
www.certificate.ec
Links Utiles
• www.mikrotik.com - manage licenses, • •
documentation forum.mikrotik.com - share experience with other users wiki.mikrotik.com - tons of examples
www.certificate.ec
Firewall
www.certificate.ec
Firewall
• Proteja su router y clientes de acceso •
no autorizados Esto se puede hacer mediante la creación de reglas en Firewall Filter y con reglas de NAT
www.certificate.ec
Firewall Filter
• Consiste en reglas definidas por el • •
usuario que utilizan el principio de SIENTONCES Estas reglas son ordenadas en cadenas Existen cadenas predefinidas, y cadenas creadas por el usuario
www.certificate.ec
Filtro tipo (Chains)
• Las reglas pueden ser colocadas en 3 chains por defecto
• • •
input (al router) output (desde router) forward (pasa por router)
www.certificate.ec
Firewall Chains Output Ping desde el Router
Input Winbox
Forward WWW E-Mail www.certificate.ec
Firewall Chains
www.certificate.ec
Input
• Cadenas (Chain) contienen reglas de •
filtrado que protejen al router. Vamos a bloquear todo excepto su laptop
www.certificate.ec
Input • Add una regla de accept para la dirección IP de su Laptop
www.certificate.ec
Input • Agrega una regla de drop para todo lo demás
www.certificate.ec
Input Lab
• Cambie la direccion IP de su laptop a • •
192.168.x.y Trate de conectarse. El firewall esta trabajando Todavía se puede conectar con dirección MAC, porque el Firewall es unicamente para IP www.certificate.ec
Input
• El acceso al router es bloqueado • Internet no esta trabajando • Porque nosotros estamos bloqueando los •
requerimientos DNS Cambie la configuración para que el internet trabaje www.certificate.ec
• Usted puede •
deshabilitar el acceso MAC in el menu MAC Server Cambie la dirección IP de la Laptop a 192.168.X.1, y conectese con IP
Input
www.certificate.ec
Address-List
• Address-list permite filtrar un grupo •
de direcciones IPs con una sola regla Agrega una dirección al address-list y esta automaticamente es bloqueada
www.certificate.ec
Address-List
• Cree diferentes listas • Subredes y únicas direcciones de red son soportados
www.certificate.ec
Address-List
• Adiciona •
específico host al address-list Especifica el tiempo de espera para el servicio temporal www.certificate.ec
Address-List en Firewall
• Habilitado
para bloquear por source y destination addresses
www.certificate.ec
Address-List Lab
• Cree un address-list con direcciones IP •
permitidas Agregar una regla que acepte las direcciones IP permitidas
www.certificate.ec
Forward
• Cadena (Chain) de reglas que contiene •
los paquetes de control que pasa por el router Controla el trafico desde y hacia los clientes
www.certificate.ec
• Cree una regla •
que bloquee TCP en el puerto 80 (web browsing) Tiene que seleccionar protocolos para bloquear puertos
Forward
www.certificate.ec
Forward
• Trate de abrir www.mikrotik.com • Trate de abrir http://192.168.X.254 • El acceso a las paginas web no es posible porque la regla drop chain=forward esta trabajando
www.certificate.ec
Lista de los puertos mas utilizados
www.certificate.ec
Forward • Cree una regla que bloquee el trafico p2p a los clientes
www.certificate.ec
Firewall Log
• Vamos a registrar en •
log los ping del los clientes al router Regla Log debe ser añadida antes que otra acción
www.certificate.ec
Firewall Log
www.certificate.ec
Firewall chains
• Aparte de las cadenas preestablecidas • •
(input, forward, output), cadenas personalizadas pueden ser creadas Se consigue hacer estructuras de firewall mas simples Disminuye la carga de procesamiento del router www.certificate.ec
Cadenas de Firewall en acción
• Secuencia de •
la cadena personalizada de firewall Cadena personalizada puede ser en busca de virus, TCP, UDP protocols, etc.
www.certificate.ec
Connections
www.certificate.ec
Estado de Conexiones
• Aconsejable, drop conexiones invalidas • Firewall debe procesar únicamente los •
paquetes nuevos, se recomienda excluir otros tipos de estados Las reglas de filtrado tiene “connection state” utilizados para este fin.
www.certificate.ec
Connection State
• Añadir regla para descartar paquetes inválidos • Añadir regla para aceptar paquetes establecidos • Añadir regla para aceptar paquetes relacionados • Vamos al Firewall para trabajar únicamente con paquetes nuevos www.certificate.ec
Resumen
www.certificate.ec
Network Address Translation
www.certificate.ec
NAT
• El Router es capaz de cambiar las •
direcciones IP origen o destino de los paquetes que pasan por este. Este proceso es llamado src-nat o dstnat
www.certificate.ec
SRC-NAT SRC-Address
Su Laptop
New SRC-Address
Remote Server
www.certificate.ec
DST-NAT Private Network Server
Public Host
New DST-Address www.certificate.ec
DST-Address
NAT Chains
• Para lograr estos escenarios hay que •
utilizar las reglas de NAT apropiadas con las cadenas: dstnat or srcnat Reglas de NAT trabajan con el principio de IF-THEN
www.certificate.ec
DST-NAT
• DST-NAT cambia paquetes destinados •
a una dirección IP y un puerto Se puede utilizar para dirigir a usuarios del internet a un servidor de una red privada
www.certificate.ec
DST-NAT Example Web Server 192.168.1.1
Some Computer
New DST-Address 192.168.1.1:80 www.certificate.ec
DST-Address 207.141.27.45:80
DST-NAT Example
• Cree una regla para tráfico forward para un WEB server en una red privada
www.certificate.ec
Redirect
• Es un tipo especial de DST-NAT • Esta acción redirige paquetes a el •
mismo router Esto puede ser usado para servicios de proxy (DNS, HTTP)
www.certificate.ec
Redirect example DST-Address Configured_DNS_Server:53
DNS Cache www.certificate.ec
New DST-Address Router:53
Redirect Example
• Vamos a hacer •
que los usuarios locales usen Router DNS cache Asegurese de marcar en protocol udp www.certificate.ec
SRC-NAT
• SRC-NAT cambia paquetes de la • •
direccion origen Esto es usado para conectar redes privadas a través de una direccion IP pública Masquerade es un tipo de SRC-NAT
www.certificate.ec
Masquerade Src Address 192.168.X.1
192.168.X.1
Src Address router address
Public Server
www.certificate.ec
SRC-NAT Limitaciones
• Conexiones a servidores internos desde •
afuera no es possible (DST-NAT es necesario) Algunos protocolos requieren ayudantes de NAT para trabajar correctamente
www.certificate.ec
NAT Helpers
www.certificate.ec
Consejos de Firewall
• Añadir comentarios a sus reglas • Use Connection Tracking o Torch
www.certificate.ec
Connection Tracking
• Connection tracking gestiona la •
información sobre todas las conexiones activas Debe ser habilitado para Filter y NAT
www.certificate.ec
Connection Tracking
www.certificate.ec
Torch
• Informe de tráfico real detallado por interface www.certificate.ec
Acciones de Firewall
• Accept • Drop • Reject • Tarpit • log • add-src-to-address• •
list(dst) Jump, Return Passthrough www.certificate.ec
Acciones de NAT
• Accept • DST-NAT/SRC-NAT • Redirect • Masquerade • Netmap
www.certificate.ec
Resumen
www.certificate.ec
Control de Ancho de Banda
www.certificate.ec
Simple Queue
• La forma más fácil de limitar el ancho de banda:
• • •
cliente download cliente upload cliente agregado, download+upload
www.certificate.ec
Simple Queue
• Lo más usado es Target-Address para •
Simple Queue Orden de las colas es importante para Simple Queue
www.certificate.ec
• Vamos a •
crear una limitació n para su laptop 64k Upload, 128k Downloa d
Simple Queue
Client’s Limits address to configure www.certificate.ec
Simple Queue
• Revise sus limites • Torch mostrara el ancho de banda
www.certificate.ec
• Select local •
Using Torch
network interface See actual bandwidth
Set Interface
Check the Results
Set Laptop Address
www.certificate.ec
Specific Server Limit
• Vamos a crear • •
límite de ancho de banda para IP 192.168.Y.0 DST-address es usado para esto Orden de las reglas es imp
www.certificate.ec
• Ping • •
Specific Server Limit
www.mikrotik.co m Pon MikroTik address to DSTaddress Dirección MikroTik puede ser usado en Target-address
MikroTik.com Address www.certificate.ec
Specific Server Limit
• DST-address es usado para •
limitar el acceso a los recursos de la red local Target-address and DSTaddresses puede ser usados al reves
www.certificate.ec
Bandwidth Test Utility
• Bandwidth test puede ser utilizado para • • •
monitorear el throughput a un dispositivo remoto Bandwidth test trabaja entre dos MikroTik routers Bandwidth test utilidad disponible para Windows Bandwidth test descargable de MikroTik.com www.certificate.ec
Bandwidth Test on Router
• Configura Test To la dirección • • •
IP de pruebas Seleccione protocolo TCP soporta multiples conexiones Autentificación podria ser requerida
www.certificate.ec
Bandwidth Test
• •
Server debe ser habilitado Se aconseja seleccionar Authenticate
www.certificate.ec
• Vamos a • •
Traffic Priority
configurar una mayor prioridad para las queues Prioridad 1 es mayor a 8 Debe haber por lo menos 2 prioridades
Priority is in Select Queue Advanced Tab Set Higher Priority www.certificate.ec
Simple Queue Monitor
• Es posible conseguir gráficos de •
consumo de cada una de las colas simples Los gráficos muestran la cantidad de tráfico que pasa a través de una cola
www.certificate.ec
Simple Queue Monitor • Tenemos que habilitar el gráfico de las colas
www.certificate.ec
Simple Queue Monitor
• Gráficos estan • •
disponibles en WWW Para ver los gráficos http://router_I P Usted puede darle acceso a su cliente www.certificate.ec
Colas Avanzadas
www.certificate.ec
Mangle
• Mangle es usado para marcar paquetes • Separa diferentes tipos de traficos • Marcas son activas en el router • Usadas para configurar diferentes limitaciones en las colas • Mangle no cambia las estructuras de los paquetes (excepto DSCP, TTL para acciones específicas) www.certificate.ec
Mangle Actions
www.certificate.ec
• • • •
Mangle Actions
Mark-connection utiliza seguimiento de conexiones Información sobre nuevas conexiones son agregadas a la tabla de seguimiento de conexiones
Mark-packet trabajan directamente con los paquetes
Router sigue cada paquete para aplicar mark-packet www.certificate.ec
Optimal Mangle
• Queues tiene packet-mark de forma opcional
www.certificate.ec
Optimal Mangle
• Marcar nuevas conexiones con mark•
connection Adicionar mark-packet para cada markconnection
www.certificate.ec
Mangle Ejemplo
• Imagine que usted tienen un cliente en •
el router con la dirección IP 192.168.X.55 Vamos a crear dos marcas diferentes (Oro, Plata), una para su equipo y otra para el cliente de la dirección IP 192.168.X.55
www.certificate.ec
Mark Connection
www.certificate.ec
Mark Packet
www.certificate.ec
Mangle Example
• •
Agregar Marcas para el Segundo cliente también Debería tener 4 reglas del mangle para los 2 usuarios www.certificate.ec
Advanced Queuing
• Reemplace cientos de colas con unas • •
pocas Ajustar el mismo límite a varios usuarios Igualar el ancho de banda disponible entre los usuarios
www.certificate.ec
PCQ
• PCQ es un tipo de Queue Avanzado • PCQ utiliza un clasificador para divider el tráfico (desde el punto de vista del cliente; src-address es Velocidad de SUBIDA, dst-address es Velocidad de DESCARGA)
www.certificate.ec
PCQ, un limite para todos
• PCQ permite establecer un límite a todos los usuarios con una sola cola
www.certificate.ec
Un límite para todos
• Multiples reglas de colas son cambiadas en un solo paso
www.certificate.ec
PCQ, igualar el ancho de banda
•
Compartir ancho de banda igual entre los usuarios
www.certificate.ec
•
Equalize bandwidth 1M upload/2M download es compartido entre los usuarios
www.certificate.ec
PCQ Lab
• El instructor esta yendo a crear un PCQ •
lab en el router Dos escenarios PCQ están yendo a ser usados con mangle
www.certificate.ec
Resumen
www.certificate.ec
Wireless
www.certificate.ec
Que es Wireless ?
• RouterOS soporta varios modulos de •
radio que permiten comunicaciones sobre el aire en (2.4GHz and 5GHz) MikroTik RouterOS proporciona un soporte completo para IEEE 802.11a, 802.11b and 802.11g wireless networking standards www.certificate.ec
Wireless Standards
• IEEE 802.11b - 2.4GHz frequencies, • • •
11Mbps IEEE 802.11g - 2.4GHz frequencies, 54Mbps IEEE 802.11a - 5GHz frequencies, 54Mbps IEEE 802.11n - draft, 2.4GHz - 5GHz www.certificate.ec
802.11 b/g Canales
11 canales
3 Access Point pueden ocupar el espectro sin interferencia www.certificate.ec
802.11 a Canales
(12) 20 MHz ancho de canal (5) 40 MHz turbo canales www.certificate.ec
Bandas Soportadas • Todo 5GHz (802.11a) y 2.4GHz (802.11b/g), incluyendo canales pequeños
www.certificate.ec
Frecuencias Soportadas
• Dependiendo de las regulaciones de
cada pais tarjetas inalambricas podrían soportar
• •
2.4GHz: 2312 - 2499 MHz 5GHz: 4920 - 6100 MHz
www.certificate.ec
Aplicar regulación • Configurar interface Inalambrica para aplicar regulación de su país
www.certificate.ec
RADIO Name
• Nosotros usaremos RADIO Name para •
identificar al router Configure RADIO Name con Número+Su Nombre
www.certificate.ec
Wireless Network
www.certificate.ec
Station Configuration
• Poner la inteface • • •
mode=station Seleccionar band Seleccionar SSID, Identificación de la red inalambrica Frequencia no es importante para los clientes, use scan-list www.certificate.ec
•Conjunto
Connect List
de reglas usado por las estaciones para seleccionar un accesspoint www.certificate.ec
Connect List Lab
• Actualmente su router se conecta al • •
access-point de clases Vamos a hacer la regla para no permitir la conexión al access-point de clases Use connect-list comparadores
www.certificate.ec
Configuración de Access Point
• Configurar interface • • •
mode=ap-bridge Configurar band Configurar SSID, Identificador de la red inalambrica Configurar Frequency
www.certificate.ec
Snooper wireless monitor
• Use Snooper •
para obtener una vista total de las redes inalambricas en la banda utilizada Interface inalambrica es desconectada en este momento www.certificate.ec
•Visualiza
Registration Table
todas las interface inalambricas conectadas
www.certificate.ec
• •
Security on Access Point Access-list es usado para configurar seguridad de MACaddress Deshabilitado DefaultAuthentication es usado unicamente en el Access-list
www.certificate.ec
Default Authentication
• Yes, Reglas de Access-List son •
verificadas, el cliente se puede conectar si no hay una regla de negación No, solo reglas de Access-List son verificadas
www.certificate.ec
1 7
Access-List Lab
• Puesto que usted esta en mode=station • •
vamos a explicar el laboratorio desde el router del profesor Deshabilita conexión para clientes especificos Permite conexión para clientes especificos www.certificate.ec
1 7
Seguridad
• Vamos a habilitar la encriptación para • •
la red inalambrica Usted puede usar los protocolos de encriptación WPA o WPA2 Todos los dispositivos de la red deberían estar habilitados con las mismas opciones de seguridad www.certificate.ec
1 7
Seguridad • Vamos a crear una •
WPA encriptación para nuestra red inalambrica WPA Pre-Shared Key es mikrotiktraining
www.certificate.ec
1 8
Tip de Configuración
• Para ver el Pre•
Shared Key oculto, haga click en Hide Passwords Esto es util para ver información oculta pero no para ver router password www.certificate.ec
1 8
No permitir Conexiones entre clientes • Default-Forwarding usado para deshabilitar comunicaciones entre clientes conectados al mismo access-point www.certificate.ec
Default Forwarding
• Reglas de Access-List tienen mayor •
prioridad Revisar su access-list si conexiones entre clientes esta trabajando
www.certificate.ec
1 8
Nstreme
• Es un protocol inalambrico propietario • •
de MikroTik Mejora enlaces inalámbricos, especialmente enlaces de largo alcance Para ser usado es necesario habilitar el protocolo en todos los dispositivos de la red www.certificate.ec
1 8
Nstreme Lab
• Habilitar Nstreme • •
en su router Revisar el estatus de las conexiones Nstreme debe estar habilitado en ambos routers www.certificate.ec
1 8
Resumen
www.certificate.ec
1 8
Bridging
www.certificate.ec
1 8
Bridge Wireless Network Su Laptop
Clases AP
Su Router
192.168.X.1 192.168.X.254
DHCP-Cliente
• Volvamos a nuestra configuración www.certificate.ec
1 8
Bridge Wireless Network
Nosotros estamos yendo a crear una gran red
www.certificate.ec
1 8
Bridge
• Nosotros estamos yendo a hacer un • •
puente entre la interface Ethernet con la interface inalambrica Bridge sirve para unir diferentes interfaces fisicas en una sola interface logica Todas sus laptops estarán en la misma red www.certificate.ec
1 9
Bridge
• Para tener un bridge usted •
necesita crear una interface bridge Agregar puertos a la interface bridge
www.certificate.ec
19 1
Creando un Bridge
• Bridge es configurado desde /interface bridge menu
www.certificate.ec
19 2
Agregando puertos al Bridge
• Interfaces son adicionadas al bridge por medio de puertos
www.certificate.ec
19 3
Bridge
• No existe problemas de hacer bridge
entre las interfaces Ethernet, Wireless o SFP
www.certificate.ec
1 9
Laboratorio Bridge
• Deshabilite el dhcp cliente en la interfaz wlan1 • Cree un bridge entre la interfaz inalambrica y la Ethernet de LAN • Baje el firewall de su computador • Habilite DHCP en su computador • Haga ping a los computadores de sus companeros
www.certificate.ec
1 9
Restore Configuration
• Restablecer configuraciones • • • •
Cambie a modo Station mode Adicione DHCP-Client en la interface correcta Adicione regla de masquerade Configure direcciones IP correctas a su laptop
www.certificate.ec
1 9
RESUMEN
www.certificate.ec
1 9
Ruteo
www.certificate.ec
1 9
Ruteo de Redes
• Regresar a la configuración anterior • Trate de hacer ping a las laptop vecinas • Dirección IP de los vecinos 192.168.X.1 • Ahora estamos yendo a aprender como utilizer reglas de ruteo para hacer ping a las laptos de los compañeros www.certificate.ec
1 9
Route
• Reglas ip route definen donde los •
paquetes deberían ser enviados Veamos las reglas de ruteo IP
www.certificate.ec
2 0
• Destination: •
Routes
networks redes donde se quiere llegar Gateway: IP de la siguiente ruta para llegar al destination www.certificate.ec
2 0
Default Gateway • Default gateway: Ruta del siguiente salto en la que se envia el trafico (0.0.0.0)
www.certificate.ec
2 0
Set Default Gateway Lab
• Actualmente se tiene el gateway • •
recibido desde DHCP-Client Deshabilitar la recepcion automatica del default gateway in DHCP-client settings Adicionar default gateway manualmente www.certificate.ec
2 0
Rutas Dinámicas
• Mira las otras rutas • Rutas con DAC •
son adicionas de forma automatica DAC route viene de las configuraciones de las dir IP www.certificate.ec
2 0
• A - active • D - dynamic • C - connected • S - static
Rutas
www.certificate.ec
2 0
Static Routes
• Nuestro objetivo es hacer pines a las •
laptop de los compañeros Rutas estáticas nos puede ayudar a hacer esto
www.certificate.ec
2 0
Rutas Estáticas
• Rutas estáticas especifica como •
alcanzar redes destino Default gateway es también una ruta estática, esto envia todo el tráfico (al destino 0.0.0.0)
www.certificate.ec
2 0
Rutas Estáticas
• Rutas estáticas adicionales son •
requeridas para alcanzar las redes de sus compañeros. Gateway (router del curso) no tiene información sobre las redes privadas de los estudiantes
www.certificate.ec
2 0
Ruta a tus Compañeros
• Recordemos la estructura de red • Redes locales de sus compañeros son: •
192.168.x.0/24 Pregunte a sus compañeros las direcciones IP de sus Interfaces Inalámbricas
www.certificate.ec
2 0
Estructura de Red
www.certificate.ec
2 1
Rutas a sus Compañeros
• Agregar una regla de ruta • Configuración de Destination, destination •
es la red local de sus compañeros Configuración del Gateway, dirección que es usada para alcanzar la red destino – gateway es la dirección IP de la interface inalambrica de su compañero www.certificate.ec
2 1
Rutas a sus Compañeros
• Agregar ruta • •
estática Configurar Destination and Gateway Trate de hacer ping la red de sus compañeros www.certificate.ec
2 1
Rutas a sus Compañeros • Usted deberia poder ahora hacer ping a las redes de sus compañeros
www.certificate.ec
2 1
Resumen
www.certificate.ec
2 1
Administración de una Red Local
www.certificate.ec
2 1
Acceso a una Red Local
• Diseño de una red con cuidado • Cuidar el acceso local a los usuarios de •
red Usar las funciones de RouterOS para asegurar los recursos de red
www.certificate.ec
2 1
ARP
• Protocolo de Resolución de Direcciones • ARP trabaja conjuntamente entre •
Direcciones IP y Direcciones MAC ARP trabaja dinamicamente, pero puede tambien estar manualmente configurado
www.certificate.ec
2 1
ARP Table • Tabla ARP tiene el registro de: IP address, MACaddress and Interface
www.certificate.ec
2 1
Static ARP table
• Para incrementar la seguridad registros •
ARP pueden ser creados manualmente Clientes del Router’s serán deshabilitados del acceso al internet si cambian la dirección IP
www.certificate.ec
2 1
Static ARP configuration
• Add entrada Estática en la tabla ARP • Configurar por •
interface arp=replyonly para deshabilitar creación dinámica ARP Disable/enable interface or reboot router www.certificate.ec
2 2
Static ARP Lab
• Marque la ARP de su laptop como • • •
entrada estática Ponga arp=reply-only en la Local Network interface Cambie la dirección IP de su laptop Pruebe conectividad a Internet www.certificate.ec
2 2
DHCP Server
• Dynamic Host Configuration Protocol • Usado para distribuir de forma •
automática direcciones IP dentro de red local Recomendable usar DHCP únicamente en redes seguras
www.certificate.ec
2 2
DHCP Server
• Para configurar un DHCP server usted • •
tiene que tener una dirección IP en una interface Use el commando setup para habilitar y configurar el DHCP server Este le ayudara a proporcionar la información necesaria www.certificate.ec
2 2
DHCP-Server Setup
Click on DHCP Setup Time DNS Set that Addresses server client address may that use SetSet Network Gateway for DHCP, for We are done! to be run Setup Wizard that will will be IP given assigned address to to clients offered DHCP automatically clients Select interface forclients DHCP server www.certificate.ec
2 2
Importante
• Para configurar un DHCP server sobre •
un bridge, ponga el DHCP server sobre la interface bridge DHCP server podrá ser invalido, cuando este es configurado sobre un puerto del bridge
www.certificate.ec
2 2
DHCP Server Lab
• Configure un DHCP server en la • •
Interface Ethernet donde su Laptop está conectada Cambie la configuración de Red de su computadora y habilite DHCP-cliente (Se obtiene un dirección IP de forma Automática) Revisar conectividad a Internet www.certificate.ec
2 2
DHCP Server Information •
Leases prove información sobre clientes DHCP
www.certificate.ec
2 2
Winbox Configuration Tip • Mostrar o ocultar diferentes columnas de Winbox
www.certificate.ec
2 2
• Nosotros •
Lease Estático
podemos marcar lease para ser estático Clientes no obtendrán otra dirección IP www.certificate.ec
2 2
Lease Estático
• DHCP-server podría correr sin dynamic •
leases Clientes recibirán unicamente direcciones IP preconfiguradas
www.certificate.ec
2 3
• Configurar •
Lease Estático
Address-Pool para static-only Crear Static leases
www.certificate.ec
2 3
Tuneles
www.certificate.ec
2 3
PPPoE
• Point to Point Protocol over Ethernet a •
menudo se utiliza para controlar las conexiones de clientes de DSL, Cable Módems y redes Ethernet simples MikroTik RouterOS soporta PPPoE cliente y PPPoE server
www.certificate.ec
2 3
Configuración de PPPoE Cliente
• Adicionar • •
PPPoE client Necesita configurar Interace Poner Login y Password www.certificate.ec
2 3
Lab PPPoE Cliente
• El Profesor esta yendo a crear un PPPoE • • •
server en su router Deshabilitar DHCP-client en la interface de salida de su router Configurar PPPoE client en la interface de salida de su router Poner Username class, password class www.certificate.ec
2 3
PPPoE Client Setup
• Revisar las conexiones PPP • Deshabilitar PPPoE cliente • Habilitar DHCP cliente para restaurar a la configuración anterior
www.certificate.ec
2 3
Configuración de PPPoE Server
• Seleccionar •
Interface Seleccionar Profile
www.certificate.ec
2 3
PPP Secret
• Base de datos de Usuarios • Adiciona login y Password • Seleccionar servicio • Configuración es tomada desde el profile
www.certificate.ec
2 3
PPP Profiles
• Configuración de reglas usadas por •
clientes PPP Es una forma de tener las mismas configuraciones para diferentes clientes
www.certificate.ec
2 3
PPP Profile
• Local address •
Dirección del Servidor Remote Address Dirección de los clientes
www.certificate.ec
PPPoE
• Importante, PPPoE server corre en una • •
interface PPPoE interface puede estar sin dirección IP configurada Por seguridad, dejar la interface PPPoE sin dirección IP configurada
www.certificate.ec
2 4
Pools
• Pool define el rango de direcciones IP • •
para clients PPP, DHCP y HotSpot Nosotros usaremos un pool, porque habrá mas de un cliente Las direcciones son tomadas desde el pool automaticamente
www.certificate.ec
2 4
Pool
www.certificate.ec
2 4
PPP Status
www.certificate.ec
2 4
PPTP
• Point to Point Tunnel Protocol provee • • •
tuneles encriptados sobre IP MikroTik RouterOS incluye soporte para PPTP cliente y server Utilizado para enlaces entre redes locales a través de Internet Para móviles y clientes remotos puedan acceder a recurso de una red local www.certificate.ec
2 4
PPTP
www.certificate.ec
2 4
PPTP configuration
• Configuración de PPTP es muy parecida •
a la configuración de PPPoE Configuración de L2TP es parecida a PPTP y PPPoE
www.certificate.ec
2 4
• Adicionar • •
PPTP cliente
Interface PPTP Especificar dirección del PPTP server Poner login y password www.certificate.ec
2 4
PPTP Cliente
• Esa es toda la configuración del cliente • •
PPTP Use Add Default Gateway para enrutar el tráfico de todos los router al túnel PPTP Use rutas estáticas para enviar tráfico específico a un túnel PPTP www.certificate.ec
2 4
• PPTP •
PPTP Server
Server es capaz de mantener varios clientes Es fácil de habilitar el servidor PPTP www.certificate.ec
2 5
PPTP Server Clients
• Configuraciones de clientes PPTP son • •
guardadas en ppp secret ppp secret es usado por clientes PPTP, L2TP, PPPoE La base de datos de ppp secret es configurada en el servidor
www.certificate.ec
2 5
PPP Profile
• El mismo profile es usado po clientes PPTP, PPPoE, L2TP y PPP
www.certificate.ec
2 5
PPTP Lab
• El professor esta yendo a crear un PPTP • • •
server en su router Crear un cliente PPTP Use username class password class Deshabilite la interfac PPTP
www.certificate.ec
2 5
Troubleshooting (solución de problemas)
www.certificate.ec
2 5
Perdida del Password
• La única solución para resetear el password es reinstalar el router
www.certificate.ec
25 5
RouterBOARD License
• Todas las licencias adquiridas se almacenan • •
en el servidor de cuentas MikroTik Si el router pierde la key, por alguna razón sólo tienes que entrar en mikrotik.com conseguirlo de la lista de keys Si la key no está en la lista, utilizar la opción Request Key www.certificate.ec
25 6
Mala Señal Wireless
• Comprobar que el conector de la antena • • •
está conectado conector ‘main' de la antena Compruebe que no exista agua o humedad en el cable Compruebe que se están utilizando las configuraciones default para la radio Interface wireless reset-configuration www.certificate.ec
25 7
Sin Conexión
• Intente diferentes puertos Ethernet o cables • Use el jumper de reset en el RouterBOARD • Use consola serial para ver algún possible • •
mensaje Use netinstall si es posible Contacte a support ([email protected]) www.certificate.ec
25 8
Antes del Examen de Certificación
• Resetee el router • Restaure el backup o restaure las •
configuraciones Verique que tiene acceso al Internet y a la paguina de www.mikrotik.com
www.certificate.ec
2 5
Examen de Certificación
www.certificate.ec
2 6
Examen de Certification
• Ir a http://www.mikrotik.com • Login con su cuenta • Buscar la session de Entremanmiento • Seleccionar el Examen www.certificate.ec
2 6
Instrucciones
www.certificate.ec
2 6