Úvod
•Kouření
•Toalety
•Přestávky
•Telefony
•Jídlo
Krátký popis systému Mikrotik
• Mikrotik RouterOS je routovací operační systém, který umožnuje použít obyčejné PC Jako výkonný směrovač.
Instalace
• Z CD
• Z disket
• Flash
• Upgrade
• Přes LAN
Licencování systému Mikrotik
Level number 0 (FREE) 1 (DEMO) 3 (WISP CPE) 4 (WISP)5 (WISP 3Y)
6 (Controller 3Y)
Features
Upgrade time - -1 year. Level can't be upgraded! 1 year 3 years 3 years
Initial Config Support - - - 15 days 30 days 30 days
Wireless AP 24h limit - - yes yes yes
Wireless Client and Bridge 24h limit - yes yes yes yes
RIP, OSPF, BGP protocols 24h limit -
yes yes
yes yes(2.10 = no) (2.10 = no)
EoIP tunnels 24h limit 1
unlimited
unlimited unlimited unlimited(2.10 = 1)
PPPoE tunnels 24h limit 1
200
200 500 unlimited(2.10 = 1)
Licencování systému MikrotikLevel number 0 (FREE) 1 (DEMO) 3 (WISP CPE) 4 (WISP)
5 (WISP 3Y)
6 (Controller 3Y)
Features
PPTP tunnels 24h limit 1
200
200 unlimited unlimited(2.10 = 1)
L2TP tunnels 24h limit 1
200
200 unlimited unlimited(2.10 = 1)
VLAN interfaces 24h limit 1
unlimited
unlimited unlimited unlimited(2.10 = 1)
P2P firewall rules 24h limit 1
unlimited
unlimited unlimited unlimited(2.10 = 1)
NAT rules 24h limit 1 unlimited unlimited unlimited unlimited
HotSpot active users 24h limit 1 1 200 500 unlimited
RADIUS client 24h limit - yes yes yes yes
Queues 24h limit 1 unlimited unlimited unlimited unlimited
Web proxy 24h limit - yes yes yes yes
Synchronous interfaces 24h limit - - yes yes yes
User manager active sessions 24h limit 1 10 10 10 Unlimited
Stručný přehled funkcí Mikrotiku
• Firewall and NAT - stateful packet filtering; Peer-to-Peer protocol filtering; source and destination NAT; classification by source MAC, IP addresses (networks or a list of networks) and address types, port range, IP protocols, protocol options (ICMP type, TCP flags,), interfaces, internal packet and connection marks, ToS (Differentiated Services Code Point ) byte, content, matching sequence/frequency, packet size, time and more...
Stručný přehled funkcí Mikrotiku
• Routing - Static routing; Equal cost multi-path routing; Policy based routing (classification done in firewall); RIP v1 / v2, OSPF v2, BGP v4
Stručný přehled funkcí Mikrotiku
• Data Rate Management - Hierarchical HTB QoS system with bursts; per IP / protocol / subnet / port / firewall mark; PCQ, RED, SFQ, FIFO queue; CIR, MIR, contention ratios, dynamic client rate equalizing (PCQ), bursts, Peer-to-Peer protocol limitation
Stručný přehled funkcí Mikrotiku
• HotSpot - HotSpot Gateway with RADIUS authentication and accounting; true Plug-and-Play access for network users; data rate limitation; differentiated firewall; traffic quota; real-time status information; walled-garden; customized HTML login pages; iPass support; SSL secure authentication; advertisement support
Stručný přehled funkcí Mikrotiku
• Point-to-Point tunneling protocols - PPTP, PPPoE and L2TP Access Concentrators and clients; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; MPPE encryption; compression for PPPoE; data rate limitation; differentiated firewall; PPPoE dial on demand
Stručný přehled funkcí Mikrotiku
• Simple tunnels - IPIP tunnels, EoIP (Ethernet over IP)
Stručný přehled funkcí Mikrotiku
• IPsec - IP security AH and ESP protocols; MODP Diffie-Hellman groups 1,2,5; MD5 and SHA1 hashing algorithms; DES, 3DES, AES-128, AES-192, AES-256 encryption algorithms; Perfect Forwarding Secrecy (PFS) MODP groups 1,2,5
Stručný přehled funkcí Mikrotiku
• Proxy - FTP and HTTP caching proxy server; HTTPS proxy; transparent DNS and HTTP proxying; SOCKS protocol support; DNS static entries; support for caching on a separate drive; access control lists; caching lists; parent proxy support
Stručný přehled funkcí Mikrotiku
• DHCP - DHCP server per interface; DHCP relay; DHCP client; multiple DHCP networks; static and dynamic DHCP leases; RADIUS support
• VRRP - VRRP protocol for high availability • UPnP - Universal Plug-and-Play support
• NTP - Network Time Protocol server and client; synchronization with GPS system
Stručný přehled funkcí Mikrotiku
• Monitoring/Accounting - IP traffic accounting, firewall actions logging, statistics graphs accessible via HTTP
• SNMP - read-only access • M3P - MikroTik Packet Packer Protocol for
Wireless links and Ethernet • MNDP - MikroTik Neighbor Discovery Protocol;
also supports Cisco Discovery Protocol (CDP) • Tools - ping; traceroute; bandwidth test; ping
flood; telnet; SSH; packet sniffer; Dynamic DNS update tool
Úvod do TCP IP pojmy
Úvod do TCP IP - pojmy• IP address
• 10.10.10.10• 00001010. 00001010. 00001010. 00001010
• IP MASK• 255.255.255.0• /24• 11111111.11111111.11111111.00000000
• Gateway
Úvod do TCP IP - pojmy• Zjednodušené vrstvy
– Network (Radio, serial lines, LAN)– Internet (IP,ARP,IGMP,ICMP)– Transport (TCP, UDP)– Apliccation (socket , net BIOS windows)
Základní typy protokolů
• ARP• IP address resolution
• ICMP• Reports control messages and errors
• TCP• Transmits data between two hosts
• IP• Adresses and routes packets
• UDP• Transmit small amounts data
ARP
• Address resolution protocol– Struktura paketu
• Hardware type • Protocol type 0800• Hardware address length• Protocol address length• Operation• Sender hardware address• Sender IP address• Target hardware address• Target IP address
ICMP
• Internet Control Message protocol– Struktura paketu
• Type (echo request, reply)• Code • Checksum• Type-specific DATA
– ICMP je definováno RFC792
TCP
• Transmission control protocol– Struktura paketu
• TCP Source port• TCP Destination port• Sequence number• Acknowledgment number• Data lenght• Reserved• Flags• Window• Checksum• Urgent pointer
IP
• Internet protocol– Struktura protokolu
• Version• Header lenght• Type of service• Total lenght• Identifier• Flags• Fragment offset• Time to live• Protocol• Header checksum• Source address• Destination address• Options
UDP
• User datagram protocol– Struktura paketu
• UDP source port• UDP destination port• Message Lenght• Checksum
IP Adresace• Veřejné rozsahy Adres
• Neveřejné rozsahy adres– Privátní
• 10.0.0.0 - 10.255.255.255• 172.16.0.0 - 172.31.255.255• 192.168.0.0 - 192.168.255.255
– APIPA• 169.254.0.0 – 169.254.255.255
Resolving Local IP address – ARP
1. ARP Cache ->
2. ARP Broadcast ->
3. Prohledá ARP Cache – protistrana
4. Vrátí Hardwarovou adresu <-
CacheCache
1 23
4
Subnet Mask• Specifikuje místní a vzdálené sítě
– Sítě A – 255.0.0.0– Sítě B – 255.255.0.0– Sítě C – 255.255.255.0
Určení cílové sítě paketu
• Adresa 10011111 11100000 00000111 10000001• Maska 11111111 11111111 00000000 00000000• Výsl. 10011111 11100000 00000000 00000000
• Jestliže souhlasí pro zdrojovou i cílovou adresu, řeší se místně, jinak se posílá na Gateway
• AND » 1*1 = 1» 1*0 = 0» 0*1 = 0» 0*0 = 0
Subnetting
Počet bitů Maska hosti
24 255.255.255.0 254
16 255.255.0.0 65534
30 255.255.255.252 2
29 255.255.255.248 6
28 255.255.255.240 14
IPCALC
Routing• Routovací tabulka
– Určuje přes kterou gateway bude poslán paket
– Určuje defaultní gateway– Určuje váhu – Distance– Může kontrolovat funkčnost gatewaye
Routing
172.27.1.254 172.27.2.254
172.27.1.1/24GW 172.27.1.254
172.27.2.1/24GW 172.27.2.254
S:172.27.1.1D:172.27.2.1
Masquerade
172.27.1.254 172.27.2.254
172.27.1.1/24GW 172.27.1.254
172.27.2.1/24GW ..
S:172.27.2.254D:172.27.2.1
Packet Flow
Úvod do Síťování
• Switchované sítě– Jsou jednoduché– Broadcast storm– Snadno napadnutelné
• Routované sítě– Náročnější správa– Jednoduše řešitelné záložní linky– Lepší omezení rychlosti vzájemné
komunikace
Úvod do Síťování
• Návrh topologie jednoduché routované sítě pro několik set klientů– Gateway do internetu– Queue– několik AP– „páteřní“ propojky
Návrh topologie jednoduché sítě
Omezení rychlosti
BránaPřípojné body
Klienti
„páteřní propojka“
Návrh jednoduché sítě
172.27.1.254172.27.2.254
172.27.0.254/24GW 172.27.0.254
IP 192.168.0.1MASK 255.255.255.0GW 192.168.0.254
192.168.0.254
172.27.4.254.1.250
.2.250
.4.250
172.27.0.250
Brána
Queue
AP
klient
172.27.5.254
172.27.6.254
172.27.7.254.3.250
172.27.3.254
Návrh jednoduché sítě - Brána
• Brána– Masquerading– Kratky popis firewallu– Blacklist
Začínáme s routerboardem
• Vybalení
• Nastavení Voltů a POE
• První přihlášení
Ovládání• Telnetem
• Přes seriový kabel
• Přímo Klávesnice/Monitor
• Přes SSH
• Program Winbox
• Grafickým rozhraním
Návrh jednoduché sítě - Brána
• Nastavení Obecně– Popis Mikrotiku– Popis rozhraní– Pridelení IP– NAT/Firewall– Routovací tabulka
Návrh jednoduché sítě - Brána
• Nastavení Brány– Routovací tabulka
• 0.0.0.0/0 – 192.168.0.254• 172.27.0.0/16 – 172.27.1.250
– NAT• 172.27.0.0/16 - Masquerade
Návrh jednoduché sítě - Queue• Queue
– pfifo– bfifo– red– sfq– pcq
Návrh jednoduché sítě - Queue• Jednoduché nastavení rychlosti
Návrh jednoduché sítě - Queue• Nastavení Queue
– Routovací tabulka• 0.0.0.0/0 – 172.27.1.254• 172.27.4.0/24 – 172.27.2.250• 172.27.5.0/24 – 172.27.2.250• 172.27.6.0/24 – 172.27.3.250• 172.27.7.0/24 – 172.27.3.250
• Omezování rychlosti v další kapitole
Návrh jednoduché sítě - AP• Nastavení Radiového rozhraní
– Režimy rozhraní– Nstreme– Scan– Sniff– Diagnostika
Návrh jednoduché sítě• Autentizace
– na MAC adresy– IPSec– PPTP
Návrh jednoduché sítě - AP• Nastavení
– Routovací tabulka• 0.0.0.0/0 – 172.27.2.254• (0.0.0.0/0 – 172.27.3.254)
Návrh jednoduché sítě - Klient• Nastavení
– Routovací tabulka• 0.0.0.0/0 – 172.27.4.254
– Masquerade• 192.168.0.0/24
Návrh jednoduché sítě - Routování
172.27.1.254172.27.2.254
172.27.0.254/24GW 172.27.0.254
IP 192.168.0.1MASK 255.255.255.0GW 192.168.0.254
192.168.0.254
172.27.4.254.1.250
.2.250
.4.250
172.27.0.250
Brána
Queue
AP
klient
172.27.5.254
172.27.6.254
172.27.7.254.3.250
172.27.3.254
Nástroje Mikrotiku
• Ping
• Traceroute
• Bandwitch test
• Packet Sniffer
• Torch
• Ping Speed
• Netwatch
System• Identity• Clock• Resources• License• Packages• Upgrade• Logging• History
• Scripts• Scheduler• Serial Console• Watchdog• Reboot• Shutdown• NTP Client• NTP Server
Návrh jednoduché sítě - Routing• Nastavení rychlosti - ukázka
Návrh jednoduché sítě• Rozpočet řešení
• Ceny konektivity
Návrh jednoduché sítě• Za jak dlouho přeneseme 100M dat ?
Návrh jednoduché sítě• Dotazy
• Diskuze
• Soutěž o ceny