Certified Network Associate (MTCNA)

Hasonló dokumentumok
MikroTik megoldások és a RouterOS felhasználóbarát kezelőfelülete

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

WLAN router telepítési segédlete

WLAN router telepítési segédlete

FELHASZNÁLÓI KÉZIKÖNYV. WF-2322 Vezetéknélküli Hozzéférési Pont

WLAN router telepítési segédlete


Gyors telepítési kézikönyv

Gyors üzembe helyezési kézikönyv

Netis vezeték nélküli, N típusú Router Gyors Telepítési Útmutató

Netis vezeték nélküli, N típusú, router

WLAN router telepítési segédlete

Routing IPv4 és IPv6 környezetben. Professzionális hálózati feladatok RouterOS-el

Hálózati rendszerek adminisztrációja JunOS OS alapokon

Forgalmi grafikák és statisztika MRTG-vel

Netis Vezetékes ADSL2+, N Modem Router Gyors Telepítési Útmutató

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Tájékoztató. Használható segédeszköz: -

HÁLÓZATI BEÁLLÍTÁS. Videorögzítőkhöz

Gyors Telepítési Útmutató N típusú, Vezeték Nélküli, ADSL2+ Modem DL-4305, DL-4305D

Gyors üzembe helyezési kézikönyv

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Hálózati architektúrák és Protokollok GI 8. Kocsis Gergely

M2M Pro3 450MHz LTE Telepítési útmutató - kivonat

A készülék fő egységei X1 X1 (kizárólag vezeték nélküli kamera esetében X1 X1 X1 X1 X1

IPv6 Elmélet és gyakorlat

ROUTER beállítás otthon

3G185 router Li-ion akkumulátor Usb kábel Telepítési útmutató.

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 3. óra. Kocsis Gergely, Kelenföldi Szilárd

Gyors Indítási Útmutató

MTCNA. Kalapos László

Az alábbi útmutató ahhoz nyújt segítséget, hogy hogyan üzemelje be a TP-Link TL-WR740N eszközt.

DWL-G520 AirPlus Xtreme G 2,4GHz Vezeték nélküli PCI Adapter

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

A belső hálózat konfigurálása

Hálózati architektúrák és Protokollok PTI 5. Kocsis Gergely

Tisztelt Telepítő! 2. Ellenőrizze, hogy a modul engedélyezve van-e: Szekció [382] Opció 5 (alternatív kommunikátor) BE.

Fábián Zoltán Hálózatok elmélet

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

Hálózati architektúrák laborgyakorlat

Advanced PT activity: Fejlesztési feladatok

Megjegyzés vezeték nélküli LAN felhasználóknak

Előadás témája: DVR-ek és hálózati beállításuk Szentandrási-Szabó Attila Műszaki és kereskedelmi igazgató

Hálózati architektúrák és Protokollok GI 7. Kocsis Gergely

ALKALMAZÁSOK ISMERTETÉSE

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Tisztelt Telepítő! A központ és az alkalmazás összehangolását a következőképpen hajthatja végre:

Netis 150Mbps vezeték nélküli, N típusú Hordozható Router Gyors Telepítési Útmutató

Hotspot környezetek gyakorlata

Ingyenes DDNS beállítása MAZi DVR/NVR/IP eszközökön

Számítógép hálózatok

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Hálózati architektúrák és Protokollok PTI 6. Kocsis Gergely

Statikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 3. óra. Kocsis Gergely, Supák Zoltán

TECHNICOLOR TC cable-wifi gateway

Az alábbi állítások közül melyek a forgalomirányító feladatai és előnyei?

Fábián Zoltán Hálózatok elmélet

Menetrend. Eszközök, telepítés, beállítás

NVR-7308P8-H2 NVR-7316P8-H2 NVR-7524P8-H4

Vodafone HomeNet Használati útmutató

Laborgyakorlat: Egy vezeték nélküli NIC beszerelése

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

Magyar Gyors felhasználói útmutató A GW-7100PCI driver telepítése Windows 98, ME, 2000 és XP operációs rendszerek alatt

Hálózati operációs rendszerek II.

Hálózati architektúrák laborgyakorlat

Vodafone HomeNet Huawei B315

Használati útmutató a Székács Elemér Szakközépiskola WLAN hálózatához

Hálózatos adatbázis-kapcsolódási problémák és azok javítása

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

DI-604 Express Ethernetwork Szélessávú Router. Ethernet (CAT5 UTP/Egyenes) kábel. 5V 2A váltóáram adapter

MOME WiFi hálózati kapcsolat beállítása február 25.

EW-7416APn v2 & EW-7415PDn

Internetkonfigurációs követelmények. A számítógép konfigurálása. Beállítások Windows XP alatt

(1) 10/100/1000Base-T auto-sensing Ethernet port (2) 1000Base-X SFP port (3) Konzol port (4) Port LED-ek (5) Power LED (Power)

Gyors telepítési útmutató AC1200 Gigabit kétsávos WLAN hatótávnövelő

Tájékoztató. Használható segédeszköz: -

Az intézményi hálózathoz való hozzáférés szabályozása

1. Rendszerkövetelmények

Cisco Catalyst 3500XL switch segédlet

IPTABLES. Forrás: Gregor N. Purdy: Linux iptables zsebkönyv

Netfilter. Csomagszűrés. Összeállította: Sallai András

Tűzfalak működése és összehasonlításuk

Yealink SIP Phone család. webes programozási útmutató. A leírás a MySIP X.50 IPPBX alközpont mellékleteként készült. v Young BTS. Kft.

A B C D E F. F: 4. LAN port LED G: Táp csatlakozó H: 4. LAN port I: 3. LAN port J: 2. LAN port

Kommunikációs rendszerek programozása. Switch-ek

Tájékoztató. Használható segédeszköz: -

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

Hálózati architektúrák laborgyakorlat

Gyors Elindulási Útmutató

Oktatás. WiFi hálózati kapcsolat beállítása Windows XP és Windows 7-es számítógépeken. SZTE Egyetemi Számítóközpont

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

ConnectAlarm alkalmazás Központ/modul programozási segédlet V1.2 TL280 (R) v.4.x modulokhoz

DWL-700AP. Előfeltételek. Ellenőrizze a doboz tartalmát

NHDR-3104AHD-II NHDR-3108AHD-II NHDR-3116AHD-II NHDR-5004AHD-II NHDR-5008AHD-II NHDR-5016AHD-II NHDR-5204AHD NHDR-5208AHD. Telepítői Segédlet

OpenBSD hálózat és NAT64. Répás Sándor

Portforward beállítási segítség

BaBér. Bérügyviteli rendszer. Telepítési segédlet 2014.

Átírás:

Certified Network Associate (MTCNA) 1

Bemutatkozás Barta Gergely Accesspoint Kft. Hálózati Mérnök Pre/Post Sales Support, Hálózat tervezés 10 év az internetszolgáltatásban, több év támogatói tapasztalat 2

A tanfolyam tartalma Áttekintést ad a RouterOS szoftver funkcióiról és a RouterBOARD termékekről. Gyakorlati példákon keresztül bemutatja a MikroTik routerek konfigurálását, üzemeltetését és alapszintű hibaelhárítási ismereteket ad. Stabil alapot, és hasznos megoldásokat nyújt a mindennapi munkához. 3

A tanfolyam célja A hallgató képes lesz: Beállítani, üzemeltetni a MikroTik RouterOS eszközöket, valamint alapvető hibaelhárítási feladatokat elvégezni rajtuk. Ügyfelek számára alapvető szolgáltatásokat nyújtani. 4

MikroTik Certified tanfolyamok Bevezető MTCNA MTCRE MTCWE MTCTCE MTCUME MTCIPv6E MTCINE További információk: http://accesspoint.hu - Tanfolyamok 5

Témakörök 1. Bevezetés 2. DHCP 3. Bridging 4. Routing 5. Wireless 6. Firewall 6

Témakörök 7. QoS 8. Tunnels 9. Egyéb eszközök Gyakorlati példák a tanfolyam alatt (több mint 40 összesen) 7

Menetrend 3 nap 9:00 17:00 2 rövidebb szünet ~10:30 és 14:30 Ebédszünet 12:00-13:00 Vizsga Utolsó nap végén, 1 óra 8

Házirend Vészkijáratok Mosdó helye Étkezés és ivás a tanteremben Telefonok Mit kaptok, és milyen formában kérjük vissza 9

Vizsga Online Angol nyelven 60% szükséges 50-59% második lehetőség MikroTik.com regisztráció Próba vizsga Certificate 3 évig érvényes 10

Bemutatkozás Név cég Beosztás Hálózati ismeretek MikroTik ismeretek Mit vársz a tanfolyamtól? A te számod, kérlek jegyezd le! 11

Certified Network Associate (MTCNA) Modul 0 Hálózati alapok 12

ISO-OSI - TCP/IP OSI Model Alkalmazási / Application Megjelenítési / Presentation TCP/IP Alkalmazási Viszony / Session Szállítási / Transport Hálózati / Network Adatkapcsolati / Data Link Fizikai / Physical Szállítási (TCP/UDP) Hálózati (IP) Hálózat Elérési Network Interface 13

MAC cím Hálózati eszközök interfészeinek egyedi fizikai címe. Gyártó által meghatározott, egyedi. MikroTik esetén minden interfész külön MAC címmel rendelkezik. Egy hálózati szegmensen (LAN) belüli kommunikáció esetén ez alapján történik a kerettovábbítás 12 hexadecimális szám - 02:DE:AD:04:BE:EF 14

IP cím Egyedi hálózati azonosító, amelyet az Internet Protocol segítségével kommunikáló számítógépek egymás azonosítására használnak. Logikai cím, felhasználó által beállítva. 32 bit: 11000000.10101000.00000001.00000001 Olvasható formában: 192.168.1.1 15

IP cím Publikus privát tartományok Privát IP tartományok: 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 16

Alhálózatok IP tartományok felosztása kisebb részekre, alhálózatokra A hálózati maszk határozza meg az alhálózat méretét Maszkolás maszk: 1111111.11111111.11111111.00000000 IP cím: 1000000.10101000.00000001.00000001 hálózat: 1100000.10101000.00000001.00000000 A maszk első x bitje minden esetben 1-es, a többi 0 Az 1-esek száma: /24 17

Alhálózatok Az alhálózat első IP címe a hálózat azonosítója (network address). Pl.: 192.168.1.0 Az alhálózat utolsó IP címe a broadcast cím. Pl.: 192.168.1.255 Ezek nem használhatóak hostok címeként. Két host router nélkül képes kommunikálni, ha egy alhálózatba tartoznak. 18

Certified Network Associate (MTCNA) Modul 1 Bevezetés 19

A MikroTikről Router szoftver és hardver gyártás Széles felhasználási terület Internet szolgáltatók Cégek Egyéni felhasználók Küldetés: Internet és hálózati technológiát szállítani gyorsabban, hatékonyabban és elérhető áron, szélesebb felhasználási körökbe. 20

A MikroTikről 1996: alapítás, Lett vállalat rigai központtal 1997: RouterOS software, x86 (PC) 2002: Első RouterBOARD 2006: Első MikroTik User Meeting (MUM) 2015: Legnagyobb MUM, Indonézia, 2500+ 21

MikroTik RouterOS A MikroTik RouterOS a MikroTik RouterBOARD hardverek operációs rendszere. Telepíthető x86 alapú PC-kre és virtuális gépekre is. A RouterOS egy Linux kernel alapú operációs rendszer (zárt forráskóddal), mely hálózati funkciók széles körét nyújtja, és egyszerűen kezelhető. 22

RouterOS funkciók 802.11 a/b/g/n/ac támogatás Tűzfal / sávszélesség szabályzás Pont-Pont és VPN tunelek (PPTP, PPPoE, SSTP, OpenVPN, IPSec ) DHCP / Proxy / HotSpot / DNS OSPF / BGP routing protokollok MPLS Stb 23

MikroTik RouterBOARD A MikroTik által gyártott hardvercsalád. Mindegyiken RouterOS fut. Széles termékpaletta: az otthoni routerektől a szolgáltatói gerinc berendezésekig. Többmillió RouterBOARD üzemel a napjainkban. 24

MikroTik RouterBOARD Integrált megoldások ready to use Alaplapok speciális igényekre Kül-, és beltéri dobozok Kiegészítők wireless, SFP, 3G, LTE, tápok, PoE, antennák 25

Null modem kábel Ethernet kábel WiFi Első kapcsolódás Ethernet WiFi Null Modem 26

Első kapcsolódás WinBox - http://www.mikrotik.com/download WebFig SSH Telnet Terminal emulator soros port esetén 27

WinBox Alapértelmezett IP cím (LAN): 192.168.88.1 Bejelentkezés: admin / semmi 28

MAC WinBox Csatlakozzatok a routerhez WinBox-al, IP címmel és nézzétek meg az ablak fejlécét 29

MAC WinBox Tiltsátok le az IP címet (bridge) Próbáljatok csatlakozni IP címmel Próbáljatok csatlakozni MAC WinBox-al 30

MAC WinBox Engedélyezzétek az IP címet (bridge) Lépjetek be IP címmel a routerbe 31

WebFig Internetböngésző http://192.168.88.1 32

WebFig Internetböngésző http://192.168.88.1 33

Quick Set Alapbeállítások egy ablakban. WinBoxból és WebFigből is elérhető. Különböző tipikus beállítások közül választhatunk. Óvatosan a használatával, minden beállítást felülír! 34

Quick Set 35

Alapértelmezett / üres beállítás Eszközönként eltérő alapbeállítások. https://wiki.mikrotik.com/wiki/manual:default_configurations Például: SOHO router DHCP kliens az ether1, DHCP server a többi port + WiFi Lehetőség van az alapbeállítások teljes törlésére 36

Command Line Interface CLI Soros port, Telnet, SSH és New Terminal esetén 37

Command Line Interface CLI <tab> - parancs kiegészítése Dupla <tab> - lehetséges parancsok kiírása? help < >, < > - előző parancsok visszanézése 38

Command Line Interface CLI Hierarchikus felépítés (hasonló a WinBox-hoz) http://wiki.mikrotik.com/wiki/manual:console 39

Internet hozzáférés laptop router Előadó Internet 192.168.88.1 40

Laptop - Router Kössétek össze a laptopot a router velamelyik LAN portjával (2-5) Tiltsátok le a laptopon a WiFit. A laptop kérjen automatikusan IP címet (DHCP) 41

Router - Internet Az internet, az előadói router wireless interfészén keresztül lesz elérhető. laptop router Előadó Internet 192.168.88.1 42

Router - Internet Wireless interfész eltávolítása a bridge-ből DHCP kliens beállítása a wireless interfészen Wireless security profile beállítása Wireless interfész beállítása station módba NAT masquerade konfigurálása 43

Router - Internet Wireless interfész eltávolítása a bridge-ből 44

Router - Internet DHCP kliens beállítása a wireless interfészen 45

Router - Internet Wireless security profile beállítása 46

Router - Internet Wireless interfész beállítása station módba Scan eszköz segít megtalálni az AP-kat és csatlakozni hozzájuk 47

WinBox Tipp A jelszavak megmutatásához (kivéve user jelszó), használható a Settings Hide Passwords menüpont. 48

NAT Masquerade használható a privát címek publikusra átfordítására. Masquerade Internet 49

Router - Internet Masquerade action beállítása a wireless interfészre 50

Kapcsolat ellenőrzése A laptopról pingeljétek a www.mikrotik.com-ot 51

Hibakeresés A router tudja pingelni az AP-t? A router tudja pingelni a 8.8.8.8 címet? Működik a DNS a routeren? A laptop tudja pingelni a 8.8.8.8 címet? Működik a DNS a laptopon? Működik a NAT-olás? 52

RouterOS Releases Long term csak javítások, új funkciók nélkül Stable javítások + új funkciók Beta legfrissebb verzió 53

RouterOS frissítése A legegyszerűbb mód: 54

RouterOS frissítése Szoftver letöltés: http://www.mikrotik.com/download Ellenőrizzük a router cpu architektúráját Feltöltés a routerre (drag-and-drop, FTP, WebFig) Reboot 55

Packages Az egyes funkciókat külön csomagok tartalmazzák 56

Packages Az egyes funkciókat külön csomagok tartalmazzák Csomag advanced-tools dhcp hotspot ipv6 ppp routing security system wireless-cm2 Funkció Netwatch, wake-on-lan, Ip scan DHCP kliens és server HotSpot captive portal server IPv6 támogatás PPP, PPTP, L2TP, PPPoE kliensek és serverek Dinamikus routing: RIP, BGP, OSPF Secure WinBox, SSH, Ipsec Alap funkciók: statikus routing, tűzfal, bridge, stb. https://wiki.mikrotik.com/wiki/manual:system/packages 57

Packages Minden CPU architektúrához tartozik egy Main package és egy Extra packages A main tartalmaz minden általánosan használt csomagot (wireless, dhcp, ppp, routing, stb.) Egyéb csomagokat az extra tartalmaz (gps, ntp, ups, user-manager) 58

Csomagok kezelése Tiltsátok le a wireless csomagot Indítsátok újra a routert Ellenőrizzétek az interfész listát Engedélyezzétek a wireless csomagot Indítsátok újra a routert 59

Csomagok kezelése Nézzétek meg a WinBox System menüjét, keressetek NTP szervert. Töltsétek le a megfelelő Extra Packages-t Telepítsétek fel az ntp csomagot Ellenőrizzétek a System menüt 60

RouterBOOT A firmware felelős a RouterOS betöltéséért RouterBOARD eszközökön Szoftver frissítés tartalmazza az újabb verziót, de nem frissül automatikusan Az aktuális verzió ellenőrizhető és frissíthető Main és Backup FW 61

RouterBOOT 62

Router Identity A router neve. Különböző helyeken jelenik meg. Érdemes elnevezni minden routert. 63

Router Identity Állítsátok be a routerek nevét: sorszám _ név 14_MintaAladár Nézzétek meg a WinBox fejlécét 64

RouterOS felhasználók Alapértelmezett felhasználó: admin, csoportja: full További csoportok: read and write Egyedi csoportok létrehozása lehetséges a pontosabb jogkörök kiosztása végett. 65

RouterOS felhasználók Adjatok hozzá egy felhasználót a routerhez full jogosultsággal (jegyezzétek fel a nevet és a jelszót) Lépjetek be az új felhasználóval Az admin felhasználó csoportját állítsátok read-re Lépjetek be az admin-nal és próbáljatok bármit állítani 66

RouterOS Services A routeren futó szolgáltatások A nem használtak letilthatók Korlátozások (available from) Az alapértelmezett portoktól el lehet térni. 67

RouterOS Services Változtassátok meg a www szolgáltatás portját 8080-ra Ellenőrizzétek a böngészőben http://192.168.88.1:8080 68

Konfiguráció mentés Bináris mentés -.backup Beállítás visszaállítása ugyanazon a routeren Konfiguráció export -.rsc Beállítások átvitele másik routerre 69

Bináris mentés A WinBox Files menüjében lehet létrehozni, illetve visszaállítani. Bináris formátumú, titkosított. Teljes konfigurációt tartalmazza (jelszavakat is). 70

Konfiguráció export A kimentett file (.rsc) egy scriptet tartalmaz ami visszatölthető a legtöbb routerbe. Szerkeszthető szöveges file. Csak a gyáritól eltérő változásokat tartalmazza (kivéve verbose ) export parancs indítja CLI-ből. Az egész konfiguráció, vagy csak részei menthető. User jelszavakat nem tartalmazza. 71

Konfiguráció export A file-okat a flash könyvtárban tároljuk! Ready-to-use parancsokat tartalmaz 72

Konfiguráció import Az export file kézzel szerkeszthető Másik (típusú) RouterBOARD-ra át lehet vinni a beállításokat. Visszaállítás az /import paranccsal. 73

Mentések archiválása Miután létrehoztuk a mentést, másoljuk egy megbízható helyre - FTP - WebFig - WinBox (drag-and-drop) A mentések tárolása a routeren nem elégséges 74

Reset Configuration Gyári beállítások visszaállítása 75

Reset Configuration Fizikai reset gomb: Backup RouterBOOT loader (FW) Beállítások törlése CAPs mód bekapcsolása (Controlled AP) Netinstall indítása 76

Netinstall RouterOS telepítésére és újratelepítésére. Közvetlen L2 kapcsolat szükséges. Első ethernet portra kell csatlakozni (kivéve CCR és RB1100 utolsó) Windowson futtatható Letölthető a MikroTik weboldalról. 77

Netinstall 78

Konfiguráció mentés Készítsetek.backup (bináris) mentést. Másoljátok át a laptopra. Töröljétek a.backup állományt a routerről. Állítsátok a routert gyári beállításra. Másoljátok a.backup file-t a routerre. Állítsátok vissza a konfigurációt a mentésből. 79

RouterOS licencek Minden RouterBOARD licencel érkezik. Különböző szintek vannak Időben bármeddig frissíthető. x86 telepítés esetén külön licenc vásárolható 80

RouterOS licencek Szint (Level) Típus Leírás 0 Trial Mode 24h próba 1 Free Demo 3 CPE Wireless kliens (station) 4 AP Wireless AP: WISP, Home, Office 5 ISP Több tunnel lehetséges mint L4 6 Controller Korlátlan 81

RouterOS licencek 82

További Információk wiki.mikrotik.com RouterOS dokumentáció és példák forum.mikrotik.com RouterOS felhasználók fóruma mum.mikrotik.com MikroTik User Meeting support@mikrotik.com 83

Certified Network Associate (MTCNA) Modul 2 DHCP 84

DHCP Dynamic Host Configuration Protocol IP címek (és egyéb hálózati beállítások) kiosztására használható helyi hálózaton. Csak megbízható hálózat esetén használjuk. Egy broadcast domainen belül működik (nem lehet router a szerver és a kliens között). A RouterOS tartalmazza a klienst és a szervert is. 85

DHCP kliens IP cím, hálózati maszk, gateway, DNS szerver cím automatikus lekérésére használható. SOHO routerek esetén a RouterOS alapbeállítás tartalmazza a DHCP klienst az első ethernet porton. 86

DHCP kliens 87

DNS Alapértelmezett beállítás szerint a DHCP kliens lekéri a DNS szerver címet. Lehetőség van kézzel hozzáadni, ha további szervereket szeretnénk használni, vagy ha a DHCP nincs használatban. 88

DNS RouterOS-ben lehetőség van statikus DNS bejegyzések felvételére. Alapértelmezett beállításban van egy DNS A rekord router névvel, ami a 192.168.88.1-re mutat. 89

DHCP Server IP címek automatikus kiosztása DHCP kliensek részére. Az interfésznek, amelyiken a DHCP szerver fut kell lennie IP címnek. Beállítható a DHCP SETUP varázslóval. 90

DHCP Server Kapcsolódjatok újra a routerhez MAC címmel. 91

DHCP Server El fogjuk távolítani a meglévő DHCP szervert, és egy újat hozunk létre. A belső hálózat ezután a 192.168.x.0/24 lesz (ahol X a sorszámotok). Bridge használata esetén mindig a bridge-re kell tenni a DHCP szervert, nem a bridge portra. 92

DHCP Server DHCP Server és DHCP Network törlése 93

IP Pool törlése DHCP Server 94

IP Address törlése DHCP Server 95

DHCP Server Adjátok hozzá a 192.168.x.1/24 címet a bridge interfészhez 96

DHCP Server 1. 2. 3. 4. 5.!!! 6. 97

DHCP Server Kérjetek új IP címet a laptopotokkal Kapcsolódjatok újra a routerhez az új IP címén (192.168.x.1) Ellenőrizzétek az Internet kapcsolatot 98

DHCP Server A DHCP Server Setup varázsló létrehozott egy új IP Pool-t és egy DHCP Server-t. 99

DHCP Static Lease Lehetőség van rá hogy egy adott gépnek (MAC cím alapján) mindig ugyanazt a címet ossza a DHCP szerver. A DHCP szerver csak statikus címekkel is működhet (IP pool nélkül). 100

DHCP Static Lease 101

DHCP Static Lease Tegyétek statikussá a laptopotok lease bejegyzését Módosítsátok a bejegyzést, hogy a laptop mindig a 192.168.x.123 címet kapja Kérjetek új címet a laptoppal Állítsátok a DHCP Address Pool-t static-onlyra Kérjétek meg a szomszédotokat hogy csatlakoztassa a laptopját a ti routeretekhez Kapott IP címet? 102

ARP Address Resolution Protocol Az eszközök IP címét (L3) és MAC címét (L2) rendeli össze Normál esetben automatikus folyamat, de beállítható statikusan is, ha az adott helyzetben a biztonsági követelmények ezt kívánják. 103

ARP tábla Nyilvántartja, hogy milyen MAC címhez milyen IP cím tartozik és hogy melyik interfészen érhető el. 104

Statikus ARP A biztonság növelése érdekében ARP bejegyzések kézzel is felvehetők. Az interfész beállítható reply-only módba (csak az ARP táblában szereplő párosokra válaszol). A routerre csatlakozó kliensek más IP címet beállítva nem tudnak a hálózaton kommunikálni. 105

Statikus ARP 106

DHCP és ARP A DHCP szerver beállítható, hogy automatikusan vegyen fel ARP bejegyzéseket. Statikus címbérlet és ARP reply-only módot használva növelhetjük a hálózat biztonságát, miközben a felhasználók kezelése egyszerű marad. 107

DHCP és ARP 108

Static ARP Állítsd a laptopod ARP bejegyzését statikusra a routerben A bridge interfészt állítsd reply-only -ra Engedélyezd az Add ARP For Leases funkciót a DHCP szerverben Távolítsd el az első pontban felvett statikus ARP bejegyzést. Van internet? 109

Static ARP Kérj címet a laptopoddal a DHCP szervertől Van internet? Csatlakozz a routerhez és nézd meg az ARP táblát 110

Certified Network Associate (MTCNA) Modul 3 Bridging 111

Bridge Bridge-ek OSI Layer 2 eszközök Hagyományosan két különböző (vagy hasonló) technológiájú szegmens összekapcsolására használták. 112

Bridge A bridge-eket kisebb ütközési tartományok létrehozására is használták. A cél az volt, hogy növeljék a teljesítményt az alhálózat méretének csökkentésével. Főleg a switchek megérkezése előtt volt jelentős hasznuk. A switchek több portos bridge-ként működnek. Minden port EGY eszköz ütközési tartománya. 113

Bridge Minden számítógép képes kommunikálni egymással. Mindegyiknek várnia kell amíg egyikük sem küld adatot, mielőtt elkezdhetne forgalmazni. (1 ütközési tartomány) LAN1 (ethernet hub) 114

Bridge Továbbra is minden számitógép képes egymással kommunikálni. De már a felére csökkent az ütközési tartomány mérete. LAN1 (ethernet hub) LAN2 (ethernet hub) 115

Bridge A RouterOS-ben a bridge szoftveresen van megoldva. Ethernet, wireless, SFP és tunnel interfészek adhatók egy bridgehez. Alapbeállításban a SOHO routereken a wireless interfész az ether2-3-4-5 portokkal van egy bridge-ben. Ethernet és SFP portokon alapértelmezésben a HW-offload be van kapcsolva. (Switch Chip) 116

Bridge HW-Offload kikapcsolt állapotában a CPU kezeli a portok közti kommunikációt. Nagyobb befolyásunk van ilyenkor a forgalomra lehetőség van IP firewall használatára a bridge portjai között. 117

Wireless Bridge A 802.11 protokoll limitációi miatt wireless kliens (mode: station) nem támogatja a bridgelést. A RouterOS több egyéb módot használ, hogy ezt a korlátot leküzdjük. station bridge RouterOS és RouterOS station pseudobridge RouterOS és bármi station wds (Wireless Distribution System) RouterOS és RouterOS 118

Wireless Bridge A station bridge használatához az AP-n be kell kapcsolni a Bridge Mode -ot. 119

Bridge Az ethernet és wireless interfészek összebridgeelésével egy nagy hálózatot fogunk létrehozni. Minden laptop ugyanabban a hálózatban lesz. Készítsetek mentést a routerről előtte! 120

Bridge A wireless módot állítsátok át station bridge-re 121

Bridge Tiltsátok le a DHCP szervert 122

Bridge Adjátok hozzá a wireless interfészt a bridge-hez 123

Bridge Kérjetek új címet a laptopotokkal Az előadó routerétől kell címet kapnotok. Pingeljétek meg a szomszédotok laptopját (tűzfal) Állítsátok vissza a gyakorlat elején létrehozott mentést 124

Bridge Firewall RouterOS bridge interfészek támogatják a tűzfal kezelését. Az a forgalom ami keresztülmegy a bridge-en, feldolgozásra kerülhet a tűzfalban. Engedélyezéshez: Bridge Settings Use IP Firewall. 125

Certified Network Associate (MTCNA) Modul 4 Routing 126

Routing A routing az ISO OSI 3. rétegében végzett művelet. A routing határozza meg, hogy a forgalom merre kerül továbbításra. Különböző alhálózatok egymás közötti kommunikációját teszi lehetővé. 127

Routing Dst. Address: hálózat amit el szeretnénk érni. Gateway: A következő router IP címe amin keresztül elérjük a kívánt tartományt. 128

Új Statikus Route 129

Routing Check gateway 10 másodpercenként ellenőrzi az átjáró elérhetőségét. ICMP request (ping) vagy ARP request formájában. Ha több route szabály ugyanazt az átjárót használja, és valamelyiknél be van kapcsolva a Check gateway opció, akkor az összes sor működésére hatással van. 130

Routing Ha egy címre több átjáró is vonatkozik, akkor a szűkebb tartománnyal ellátott (precízebb) lesz használatban. Dst: 192.168.90.0/24, gw: 10.10.10.10 Dst: 192.168.90.128/25, gw: 10.11.12.13 Ha egy csomag a 192.168.90.135 felé tart akkor a 10.11.12.13 lesz használva 131

Alapértelmezett Átjáró (def.gw) Alapértelmezett átjáró (Default gateway): az összes ismeretlen hálózatba küldendő forgalom ide fog menni. 0.0.0.0/0 a jelölése 132

Alapértelmezett Átjáró Jelenleg az alapértelmezett átjáró a routerekben automatikusan van konfigurálva a DHCP-kliens által. Kapcsoljátok ki az Add Default Route opciót a DHCP-kliensben. Van internet? 133

Alapértelmezett Átjáró Adjátok hozzá manuálisan az alapértelmezett átjárót (eloado-ap 172.16.0.254) Van újra internet? 134

Dinamikus Route-ok Route-ok DAC flagekkel automatikusan kerültek hozzáadásra. DAC route-ok az IP cím beállításokból erednek. 135

Route Flag-ek X Disabled : Letiltott route. Nincs hatással a routing döntésre. A Active : Aktív route. Routing döntés figyelembe véve. D Dynamic : Dinamikusan létrejövő route. C Connected : Az IP alhálózatok által létrejövő route. S Static : Kézzel létrehozott route. 136

Statikus route-olás A cél hogy a szomszéd laptopját meg tudjátok pingetni. Statikus route-okat fogunk használni ennek az eléréséhez. Cseréljetek információt a szomszéddal: A wireless interfész IP címe Az alhálózat amit a belső hálózatán használ (192.168.x.0/24) 137

Statikus route-olás Adjatok hozzá egy új route szabályt Dst. Address: a szomszédod helyi hálózatata (192.168.x.0/24) Gateway: A szomszédod wireless interfészének címe Pingeljétek meg a szomszédotok laptopját (tűzfal) 138

Statikus route-olás Álljatok 3-as csoportokba A router vegyen fel statikus route-ot C belső hálózatára B routeren keresztül B router vegyen fel statikus route-ot C belső hálózatára A laptop pingesse meg C laptopot 139

Statikus route-olás A Készítsetek útvonalat A-tól C-ig, B-n keresztül! Előadó B Internet C 140

Statikus Route-olás Egyszerűen konfigurálható kis és nem nagyon változó hálózaton. Alig igényel erőforrást. (memória, CPU) Nehezen skálázható. Kézi beállítás szükséges minden esetben ha új alhálózat kerül a hálózatunkba. 141

Route-olás Összefoglaló Nézzük az alábbi példát: Internet 172.22.0.18/30 172.22.0.17/30 10.0.0.1/30 10.0.0.2/30 router-1 router-2 10.1.1.0/24 10.1.2.0/24 10.1.1.200/24 10.1.1.201/24 10.1.2.200/24 142

Route-olás Összefoglaló Feladat: Tegyük fel, hogy a IP címek megfelelően vannak beállítva a routereken. Milyen route-okat kell felvenni az egyes routereken, hogy mindkét alhálózat teljes kommunikációja megvalósuljon? 143

Certified Network Associate (MTCNA) Modul 5 Wireless 144

Wireless Kétirányú kommunikáció megvalósítása a levegőn keresztül. Elektromágneses hullámok. Frekvenciák: 2.4GHz, 5GHz, 24GHz, 11GHz, 18 A RouterOS teljes mértékben támogatja az IEEE 802.11a/n/ac (5GHz) és 802.11b/g/n (2.4GHz) szabványokat 145

Wireless Szabványok IEEE Szabvány Frekvencia Sebesség 802.11a 5 GHz 54 Mbps 802.11b 2.4 GHz 11 Mbps 801.11g 2.4 GHz 54 Mbps 802.11n 2.4 és 5 GHz Akár 450 Mbps* 802.11ac 5 GHz Akár 1300 Mbps* * RouterBOARD modell függő 146

2.4 Ghz 13 x 22 MHz széles csatorna, de csak 3 ami nem átfedő (1, 6, 11). Csatornaszélességek: b 22 MHz g 20 MHz n 20/40 MHz 147

5 Ghz Több csatorna, nincsenek átfedésben. Csatornaszélességek: a 20MHz n 20/40 MHz ac 20/40/80/160 MHz 148

802.11 n 2.4 GHz és 5 GHz, 20 vagy 40 MHz csatornák. MIMO, maximum 4 stream 149

802.11 ac 5 GHz, 20/40/80/160 csatornák 8 stream Beamforming, MUMIMO 150

MIMO HT chain Az interfész által használt streamek. Antenna kimenetek. 802.11n-ben és 802.11ac-ban használható. Befolyásolják a sávszélességet. 151

Országok Szabályozásai Váltsatok Advanced Mode -ra és válasszátok ki Magyarországot 152

Országok Szabályozásai Dynamic Frequency Selection (DFS Dinamikus frekvencia választás. Indulás után 60mp-ig csak hallgat az AP. Radar észlelése esetén csatornát kell váltani. 5GHz-en bizonyos csatornák csak DFS-el használhatók. 153

Radio Name Wireless interfész neve. RouterOS és RouterOS között csak. Wireless táblázatokban látható. 154

Radio Name Állitsátok be a wireless interfészen a Radio Name mezőt: sorszám _ név Pl: 14_MintaAladár 155

Tx Power A wireless kártya (interfész) kimenő teljesítményét tudjuk állítani. Vegyük figyelembe a helyi szabályozást (Frequency mode + Country)! 156

Tx Power Wireless kártya 802.11n 802.11ac Engedélyezett chain teljesítmény / chain Teljes teljesítmény 1 Beállított Tx Power 2 Beállított Tx Power +3dBm 3 +5dBm 1 Beállított Tx Power 2-3dBm 3-5dBm Beállított Tx Power 157

Rx Sensitivity Vételi Érzékenység Az a legalacsonyabb jelerősség ahol még képes detektálni a jelet. Alacsonyabb érték esetén, gyengébb jelszint is elégséges. Az eszközök adatlapján szereplő érték. Modulációfüggő! 158

Vezeték Nélküli Hálózat 159

Wireless Station Wireless station a hálózatok kliense (laptop, telefon, router) RouterOS-ben a wireless mode: station 160

Mode = station Band SSID Frequency mezőt nem szükséges kitölteni klienshez. scan-list Wireless Station 161

Biztonság Csak WPA (WiFi Protected Access) vagy WPA2 használata ajánlott. WPA-PSK vagy WPA2-PSK. 162

Biztonság WPA-Personal (WiFi Protected Access) Másnéven WPA-PSK, kis irodai és otthoni felhasználásra. Nem szükséges authentikációs szerver. A kliens-ap authentikáció 256 bites kulcson alapul, amit az előre megosztott kulcsból (PSK) generálnak. AES-CCM titkosítás. 163

Biztonság WPA-Enterprise Másnéven WPA-802.1X, vállalati hálózatokhoz. EAP authentikációt használ. RADIUS szerver szükséges. Bonyolultabb beállítás, de plusz funkciók érhetők el a RADIUSnak köszönhetően. 164

Biztonság WPA és WPA2 egyszerre is beállítható. Mindig használjunk kellően erős jelszót! 165

Connect List Connect list (station módban) Jelerősség, MAC cím, biztonsági beállítások, stb. alapján priorizálni lehet, hogy a kliens melyik AP-hoz csatlakozhat. A szabályok feldolgozása sorrendben történik. Csak az első egyező szabály kerül alkalmazásra. 166

Connect List Ha a Default Authenticate opció be van kapcsolva, és egyik szabály sem illeszkedik, akkor a kliens a legjobb jelszintű AP-hoz próbál csatlakozni. Amennyiben ki van kapcsolva, akkor nem csatlakozik semmihez. 167

Connect List Jelenleg a routered csatlakozik az Előadó AP-hoz. Hozz létre egy szabályt, hogy tiltva legyen ez a csatlakozás. 168

Mode = ap-bridge Band Frequency SSID Security Profile Access Point 169

WiFi Protected Setup WPS Kényelmes WiFi hozzáférés, jelszó megadása nélkül. A RouterOS támogatja a WPS accept (AP) és WPS client (station) módokat. 170

WPS Accept A WPS accept gomb használatával egyszerűen engedélyezhető a vendég hozzáférés a vezetéknélküli hálózathoz. A gomb megnyomása után 2 percig engedélyezett a csatlakozás az AP-hoz. Minden új eszköz csatlakozásakor meg kell nyomni a gombot. 171

WPS Accept Eszközönként csak egyszer kell elvégezni. Minden RouterOS eszköz rendelkezik virtuális WPS gombbal, néhány pedig fizikaival is. A gombot le lehet tiltani. RouterOS nem támogatja a WPS-PIN módon történő csatlakozást. 172

Access Point Készíts egy új security profile-t, amit az AP-n használtok majd. A wireless interfészt állítsd ap bridge módba, az SSID-t pedig állítsd be XY_TeNeved-re, válaszd ki a fent létrehozott security profile-t. Kapcsold ki a DHCP klienst a wireless interfészen. 173

Access Point Add hozzá a wireless interfészt a bridge-hez. Húzz ki az ethernet kábelt a laptopodból. Csatlakozz a routerhez vezeték nélkül. Lépje be WinBox-al a routerbe, és nézd meg a regisztrációs táblát. Ha kész vagy, állíts vissza mindent az előző beállításra. 174

Snooper A segítségével áttekintést kapunk a környezetünkben lévő wireless hálózatokról. Használata közben a wireless interfész lecsatlakozik. Használható a megfelelő csatorna kiválasztásához. 175

Snooper 176

Registration Table Megtekinthető minden vezeték nélküli kapcsolat. AP esetén minden felcsatlakozott kliens. Station esetén az AP amihez kapcsolódva van. 177

Access List MAC cím szűrés és kliens kapcsolatok korlátozása AP oldalon. AP oldalon fel kell venni egy bejegyzést az Access Listbe. A Registration fülön lévő bejegyzés átmásolható (Copy to Access list), vagy kézzel felvihető. 178

Access List A korlátozás mellett a kapcsolat paramétereinek beállítása is lehetséges. A szabályok sorrendben kerülnek értékelésre Csak az első egyezés lesz érvényes Ha a Default Authenticate opció ki van kapcsolva, és nincs egyezés, akkor a kapcsolat elutasításra kerül. 179

Default Authenticate Default Authenticate Access / Connect List Bejegyzés Működés + Access / Connect List szerint - Csatlakozás + Access / Connect List szerint - Nincs csatlakozás 180

Default Forward A kliensek közti kommunikációt engedélyezhetjük vagy tilthatjuk. Alapértelmezésben be van kapcsolva. A beállítás felülbírálható kliensenként az Access Listben. 181

Certified Network Associate (MTCNA) Modul 6 Tűzfal 182

Tűzfal Hálózatbiztonsági rendszer, sorompóként működik két vagy több hálózat között. Szabályokkal működik, melyek ellenörzése sorrendben történik, az első találatig. A RouterOS tűzfal szabályok a Filter és NAT szekciókban vannak. Filter: csomagszűrés NAT: Network Address Translation - címfordítások 183

Tűzfal szabályok If-Then elven működnek. A szabályok chain-ekbe vannak rendezve. Vannak előre definiált chain-ek Lehetőség van saját chain létrehozására. 184

Tűzfal Filter 3 alapértelmezett chain van: Input (a routernek jövő forgalom) Output (a routerről kimenő forgalom) Forward (a routeren átmenő forgalom) input output Internet forward 185

Filter Action Minden szabályhoz tartozik egy action megmondja mi történjen az egyező csomagokkal. accept elfogadja a csomagot, nem történik további vizsgálat. drop vagy reject a csomag eldobásra kerül, nem történik további vizsgálat jump / return átugrás / visszatérés felhasználó által definiált chain-be. 186

Filter Action 187

Filter Chain TIP: az olvashatóság könnyítése érdekében, rendezzétek chainekbe és lássátok el megjegyzéssel a szabályokat. 188

Magát a routert védi. Chain: input Mind az internet, mind a belső hálózat felöl. input input Internet 189

Chain: input Üritsd ki a Filter listát (ha nem üres) Vegyél fel egy accept szabályt az input chain-be, a laptopod IP címével (src-address = 192.168.x.123) Adj hozzá egy drop szabályt a bridge interfészre minden más csomagra. 190

Chain: input 191

Chain: input Állíts be a laptopnak statikus IP címet: 192.168.x.199, DNS és Átjáró: 192.168.x.1 Zárd be a WinBox-ot Próbálj visszacsatlakozni a routerhez Próbálj csatlakozni az internethez 192

Chain: input Az internet felé tartó forgalmat a forward chain szabályozza, de weboldalak mégsem töltődnek be. Miért? 193

Chain: input A laptop a routert használja DNS feloldásra. Csatlakozz MAC WinBox-al a routerhez. Adj hozzá egy accept input szabályt a bridgere, ami engedi a DNS kéréseket (port: 53/udp), és helyezd el a drop szabály előtt Próbálj csatlakozni az internethez 194

Chain: input Állítsd vissza a laptopodat dinamikus IP kérésre (DHCP) Csatlakozz a routerhez Töröld ki az imént hozzáadott szabályokat 195

Chain: forward A routeren áthaladó forgalmat kezeli. A klienseink és az internet közti, illetve a kliensek közti forgalmat szabályozhatjuk vele. Internet forward 196

Chain: forward Alapértelmezésben a belső forgalom a kliensek között engedélyezve van. A kliensek és az internet közti sincs tiltva. 197

Chain: forward Adj hozzá drop forward szabályt a filterhez mely tiltja a http (80/tcp) forgalmat. Portok hozzáadásánál a protokolt is ki kell választani. 198

Chain: forward Próbáld megnyitni a www.mikrotik.com oldalt Próbáld megnyitni a routered WebFig felületét http://192.168.x.1 Mi okozza a tapasztaltakat? 199

Gyakran Használt Portok Port Szolgáltatás 80 / tcp HTTP 443 / tcp HTTPS 22 / tcp SSH 23 / tcp Telnet 20,21 / tcp FTP 8291 / tcp WinBox 5678 / udp MikroTik Neighbor Discovery 20561 / udp MAC WinBox 200

Address List Az address list, IP címek listája Filter szabályok egyszerűsítésére használhatóak: -100 IP cím blokkolására létrehozhatunk 100 filter szabályt, vagy egy listát melynek 100 eleme van, és a szabály erre a listára hivatkozik. A listák tartalmazhatnak: - Speciális jogokkal rendelkező admin címeket - Támadókat - Bármit amire csak szükségünk van 201

Address List Kézzel és automatikusan (add src/dst to address list action) is felvehetők IP címek a listákra. Véglegesen vagy akár csak bizonyos időtartamra is felkerülhetnek a listákra. IP címet, IP tartományt, vagy akár egész alhálózatot is felvehetünk a listákra. 202

Address List 203

Address List A General fülön egyesével történő hozzáadás helyett, az Advanced fülön kiválaszthatjuk a szabályhoz szükséges listát (src vagy dst). 204

Address List Firewall action segítségével automatikusan adhatunk IP címeket a listákhoz. Véglegesen, vagy csak egy időre. 205

Address List Hozz létre egy address list-et, engedélyező IP címekkel, figyelj rá hogy a laptopod címe rajta legyen Adj hozzá accept input filter szabályt a bridge interfészre, a WinBox portjára a fenti address listtel Hozz létre egy drop input szabályt a WinBox portjára 206

Tűzfal Logolás Régebbi verziókban log actionre volt szükség. Most már minden szabály logolható is. Amennyiben egy csomagra alkalmazva van az adott szabály, akkor keletkezik egy log bejegyzés a megadott előtaggal. Hibakeresésnél hasznos, de óvatosan kell bánni a használatával. (Memória vagy Tárterület igényes, írási ciklusok). 207

Tűzfal Logolás 208

Tűzfal Logolás Kapcsold be a logolást az előző gyakorlatban (address-list) létrehozott DROP szabályon Változtasd meg a laptopod IP címét Próbálj visszacsatlakozni WinBox-al Változtasd vissza az IP címed Csatlakozz a routerhez, és nézd meg a log bejegyzéseket 209

NAT Network Address Translation: az IP csomag forrás-, vagy célcímének módosítása. Két típusa van a source NAT és a destination NAT. Általános használata a belső hálózat privát IP címeinek átfordítása a router publikus IP-jére (src-nat) Másik általános használata a belső hálózaton lévő szerverhez való hozzáférés biztosítása az Internet 210 felől (dst-nat)

NAT Forrás cím Új forrás cím Privát hoszt SRC-NAT Publikus szerver 211

NAT Új cél cím Cél cím Szerver a privát hálózaton DST-NAT Internet Publikus hoszt 212

NAT A tűzfal srcnat és dstnat chainjét használjuk a NAT funkciók megvalósítására. Ugyanúgy, ahogy a Filter szabályok, a NAT szabályok is If-Then alapon működnek A szabályok sorrendben kerülnek kiértékelésre, az első illeszkedő lép életbe. 213

Dst NAT Új cél cím 192.168.1.2:80 Cél cím 159.148.147.196:80 Web szerver 192.168.1.2 DST-NAT Internet Publikus hoszt 214

Dst NAT 215

Redirect A dst-nat speciális esete. Ez az action átirányítja a csomagot magára a routerre. Transzparens proxy létrehozására használható. (pl.: DNS, HTTP) 216

Redirect Cél cím Beállított DNS szerver:53 Redirect Új cél cím Router:53 DNS Cache 217

Redirect Hozz létre egy dstnat redirect szabályt amivel minden http forgalmat (tcp/80) átirányít a routerre Próbáld meg megnyitni a www.accesspoint.hu weboldalt Próbáld megnyitni a www.mikrotik.com oldalt Tiltsd le a szabályt ha készen vagy 218

Src NAT Forrás cím 192.168.199.200 Új forrás cím A router publikus címe 192.168.199.200 Masquerade Publikus szerver 219

Src NAT A masquerade kicseréli a csomagok forrás IP címét a routing által meghatározott címre. Tipikusan az internet felé menő csomagok forrás IP címét kicseréli a WAN interfész címére. Ez ahhoz szükséges hogy a visszajövő csomagok visszataláljanak. A src-nat action kicseréli a csomagok forrás IP címét a meghatározott címre. Több publikus IP cím esetén eldönthető, hogy melyik fajta forgalom, melyik forrás címmel hagyja el a routert. 220

NAT Helper Néhány protokollnak úgynevezett NAT Helperre van szüksége a helyes működéshez NAT-olt hálózaton. 221

Connection Tracking Információt tart nyilván minden aktív kapcsolatról. 222

Connection Tracking Ha letiltjuk a connection tracking-et, akkor az alábbi funkciók nem fognak működni: NAT Tűzfal connection-bytes connection-mark connection-type connection-state connection-limit connection-rate Layer7-protocol p2p new-connection-mark tarpit p2p szűrés a simple queue-kban 223

Connection Tracking Állapotai New a csomag egy új kapcsolatot nyit, a kapcsolat első csomagja Established a csomag egy ismert kapcsolathoz tartozik Related a csomag egy új kapcsolatot nyit, de kapcsolódik egy meglévő ismert kapcsolathoz Invalid a csomag nem tartozik egyik ismert kapcsoalthoz sem 224

Connection Tracking Állapotai Invalid New Established Related 225

Connection Tracking Állapotai Erőforrást tudunk spórolni ha pár szabályt a tűzfalunk elejére teszünk: Dobjunk el minden INVALID csomagot Fogadjunk el minden ESTABLISHED és RELATED csomagot Így csak a NEW állapotú csomagokat fogjuk vizsgálni. 226

FastTrack Egy módszer a routeren átmenő folyamok gyorsítására. Established és Related forgalmak jelölhetők meg FastTrackre. Ezek a csomagok kikerülik a tűzfalat, a connection trackinget, a queue-kat és az IPSec-et. Jelenleg csak TCP és UDP protokollok támogatottak. 227

FastTrack FT nélkül FT-vel 360Mbps 890Mbps Total CPU: 100% Total CPU: 86% 44% CPU a tűzfal processen 6% CPU a tűzfal processen * RB2011-en tesztelve, 1 TCP stream-el. További információk a Wiki oldalon. 228

Certified Network Associate (MTCNA) Modul 7 QoS 229

Quality of Service QoS a rendelkezésre álló sávszélesség ésszerű elosztása, nem egyszerűen az egyes eszközök sávszélességének korlátozása. A QoS képes priorizálni a forgalmat. Előnyben részesíthetők pl.: Kritikus alkalmazások Érzékeny forgalom, mint a hang vagy a videó 230

Sebesség Korlátozás A befelé jövő forgalmat közvetlenül kezelni nem tudjuk. De lehetőség van indirekt módon kezelni, csomagok eldobásával. A TCP alkalmazkodik a kapcsolat sebességéhez. 231

Simple Queue A simple queue a sávszélesség korlátozásának egyszerű módja. Tudjuk vele korlátozni a: Kliens(ek) letöltési sebességét Kliens(ek) feltöltési sebességét Kliens(ek) aggregált forgalmát 232

Simple Queue Kliens meghatározása Max Limit beállítása a kliensnek 233

Target A target paraméter jelöli, hogy mire kell alkalmazni az adott simple queue-t. A targetet kötelező megadni. Lehet pl. : IP cím Alhálózat Interfész A queuek sorrendje fontos. A csomagok minden szabályon végigmennek, amíg egyezés nincs. 234

Destination A target forgalmának cél IP címei, vagy Az interfész amin keresztül a target forgalma kimegy. Nem kötelező megadni. A queue hatályának szűkítésére használható. 235

Simple Queue Állíts be a laptopodra sebesség korlátot (192.168.x.123) A feltöltési sebességet 128k, a letöltési sebességet 256k értékre korlátozd Nyisd meg a www.mikrotik.com/download oldalt és töltsd le a legfrissebb RouterOS verziót A WinBoxban figyeld meg a letöltés sebességét 236

Garantált Sávszélesség Van lehetőség egy minimum sávszélesség beállítására, amit a kliens mindig megkap. A maradék elérhető sávszélesség kerül elosztásra first-come-first-served alapon. Beállítása a Limit-at paraméterrel lehetséges. 237

Garantált Sávszélesség 238

Garantált Sávszélesség Nézzünk egy példát: Teljes sávszélesség: 10Mbps 3 kliens, mindegyik garantált sávszélességgel A maradék elérhető sebesség elosztva a kliensek között 239

Garantált Sávszélesség Garantált sebesség Pillanatnyi sebesség 240

Burst A Burst megengedi a felhasználóknak hogy egy rövid időre nagyobb sávszélességet kapjanak, mint amit a max-limit megenged. Olyan forgalom gyorsítására használható, ami nem folyamatos sávszélességet igényel, pl.: HTTP. A folyamatos letöltésnél a max-limit érték lesz érvényes. 241

Burst 242

Burst Burst limit maximális le/feltöltési sebesség ami elérhető a burst alatt. Burst time idő (mp), ami alatt az átlagos sebességet számolja a routert (NEM a burst ideje). Burst threshold Ha az átlagos sebesség átlépi ezt a sebességet (mindkét irányból), akkor kapcsolja a router a burst-öt ki vagy be. 243

Burst 244

Burst A korábban létrehozott queue szabályt módosítsd a következők szerint: burst-limit=4m (Le-, és feltöltésnél) burst-threshold=2m (Le-, és feltöltésnél) burst-time=16 (Le-, és feltöltésnél) 245

Burst Nyisd meg a www.mikrotik.com oldalt. A weboldal gyorsan fog betöltődni Töltsd le a legfrissebb RouterOS-t, és figyeld meg a sebességet. A letöltés sebességét pl. a torch eszközzel tudod ellenőrizni 246

Per Connection Queuing Queue típus alkalmazható simple queue-ban. A PCQ több felhasználó forgalmának korlátozása dinamikusan, egy egyszerű beállítással. A paraméterek beállítása után a PCQ algoritmus felosztja a forgalmat sub-streamekre és mindegyikre ugyanazt a szabályt akalmazza. 247

Per Connection Queuing A pcq-rate határozza meg a queue típus megengedett adatsebességét A classifier határozza meg, hogy mi alapján kerüljenek alkalmazásra a korlátozások. Történhet forrás IP cím, cél IP cím, forrás port, vagy cél port szerint. Ennek segítségével korlátozni tudjuk egyes felhasználók, vagy alkalmazások (HTTP) forgalmát. 248

PCQ Példa A cél hogy minden kliens sávszélessége 1Mbps letöltési és 1Mbps feltöltési sebességre legyen korlátozva. Készíteni kell 2 új queue típust: Egyet Dst Address-re (letöltés) Egyet Src Address-re (feltöltés) A LAN és WAN interfészekre queue-t kell felvenni. 249

PCQ Példa 250

PCQ Példa 251

PCQ Példa II. 252

PCQ Példa III. 253

Certified Network Associate (MTCNA) Modul 8 Tunnelek 254

Point-to-Point Protocol Point-to-Point Protocol (PPP) segítségével tunnelt (közvetlen kapcsolatot) hozhatunk létre két végpont között. PPP tartalmazhat kapcsolódási hitelesítést (authentication), titkosítást (encryption), és tömörítést (compression). A RouterOS sok PPP tunnel típust támogat, pl: PPPoE, SSTP, PPTP, stb. 255

PPPoE A Point-to-Point Protocol over Ethernet egy layer 2 protokoll, melyek leggyakrabban a hálózathoz való hozzáféréshez használnak. Támogat hitelesítést, titkosítást, tömörítést. Tipikusan a PPPoE használható arra, hogy klienseinknek IP címet osszunk ki. 256

PPPoE A legtöbb asztali operációs rendszer rendelkezik beépített PPPoE kliensel. A RouterOS-ben a PPPoE kliens és szerver (access concentrator) is megtalálható. 257

PPPoE 258

PPPoE Ha több PPPoE szerver található ugyanabban a broadcast domainben, akkor a service name paraméterrel állíthatjuk, hogy melyikhez szeretnénk csatlakozni. Ellenkező esetben a kliens ahhoz próbál csatlakozni amelyik először válaszol. 259

PPPoE Az Előadó AP-n készül egy PPPoE szerver. Tiltsd le a routeredben a DHCP klienst Állits be PPPoE csatlakozást a routeredben az Előadó AP felé Felhasználónév: mtcna Jelszó: mtcna Ellenőrizd a PPPoE kliens státuszát 260

PPPoE Ellenőrizd az internetkapcsolatot Tíltsd le a PPPoE kliens interfészt Engedélyezd a korábban tiltott DHCP klienst 261

IP Pool IP címet tartományát tartalmazza, melyekből a router oszthat a különféle szolgáltatások használatakor. Nem csak a DHCP, hanem a PPP és a HotSpot is használja. A szabad címek kiválasztása a poolból automatikusan történik. 262

IP Pool 263

PPP Profile A PPP Profilok határoznak meg szabályokat, melyeket a PPP szerver érvényesít a klienseire. Jó módszer ha ugyanazt a beállítást kell alkalmaznunk több kliensre. 264

PPP Profile 265

PPP Secret Helyi PPP felhasználó adatbázis Felhasználónév, jelszó és egyéb felhasználó specifikus beálltásokra szolgál. Amit itt nem állítunk be, az az aktuális profilból kerül alkalmazásra. Ha egy paraméter a profilban is és a secretben is definiálva van, akkor a secretben lévő lesz érvényes. 266

PPP Secret 267

PPPoE Szerver PPPoE szerver egy interfészen fut. Nem lehet olyan interfészen, ami bridge tagja. Vagy ki kell venni az interfészt a bridgeből, vagy a bridgere kell konfigurálni a PPPoE szervert. Biztonsági okokból nem javasolt a PPPoE szerver interfészének IP címet adni. 268

PPPoE Szerver 269

PPP Státusz Információ a pillanatnyilag aktív PPP felhasználókról. 270

Point-to-Point címzés PPP kapcsolat felépítésekor a szerver és kliens /32 IP címeket vesznek fel. A network address ilyenkor a tunnel másik végén található IP cím. 271

Point-to-Point címzés Az alhálózati maszk nem releváns PPP címzésnél. PPP címzés használatakor 2 IP címet megspórolunk. Ha a PPP címzést az ellenoldali eszköz nem támogatja, akkor /30-as címzést kell használni. 272

PPPoE Szerver A router egyik, nem használt (pl. eth5) interfészére fogunk PPPoE szervert beállítani. Vedd ki az eth5-öt a bridge-ből Ellenőrizd hogy nincs-e IP címe 273

PPPoE Szerver Hozd létre a következőket: IP Pool, PPP profile és PPP secret melyek a PPPoE szerverhez szükségesek Hozd létre a PPPoE szervert Állíts be a laptopodon PPPoE klienst Kábelen csatlakoztasd a laptopodat a router PPPoE portjához 274

PPPoE Szerver Csatlakozz a PPPoE szerverhez Ellenőrizd az internetkapcsolatot Csatlakozz a routerhez IP vagy MAC WinBox segítségével, és ellenőrizd a PPP státuszt Bontsd le a PPPoE kapcsolatot, és a laptopoddal csatlakozz a korábban használt porthoz a routeren 275

PPTP Point-to-Point Tunneling Prototol (PPTP) egy titkosított csatornát hoz létre IP felett. Helyi hálózatok biztonságos összekötésére használható az Interneten keresztül. A RouterOS tartalmazza a PPTP klienst és a PPTP szervert is. 276

PPTP TCP 1723-as portot használ és 47-es IP protocolt (GRE Generic Routing Encapsulation). NAT helperre van szükség ha NATolt hálózat mögött használjuk. 277

PPTP Tunnel Internet Tunnel 278

PPTP Kliens 279

PPTP Kliens Az Add default Route bekapcsolásával minden forgalom a PPTP csatornába terelhető. Statikus route-ok használatával irányíthatunk forgalmat a csatornába. FIGYELEM! A PPTP már nem számít elég biztonságosnak. Helyette ajánlott az SSTP, OpenVPN vagy IPSec. 280

PPTP Szerver A QuickSet ablakban bekapcsolható a VPN Access pont alatt. 281

SSTP A Secure Socket Tunneling Protocol (SSTP) titkosított csatornát hoz létre IP felett. TCP 443-as portot használ (HTTPS) RouterOS támogatja az SSTP szervert és a klienst is. SSTP kliens Windows Vista SP1 illetve későbbi rendszerekben megtalálható. Nyilt forráskódú kliens és szerver változatok léteznek Linux rendszerekre. 282

SSTP Kliens 283

SSTP Kliens Az Add default Route bekapcsolásával minden forgalom a SSTP csatornába terelhető. Statikus route-ok használatával irányíthatunk forgalmat a csatornába. Két RouterOS eszköz között nem szükséges SSL certificate Ha Windows-al szeretnénk csatlakozni akkor érvényes certificate szükséges hozzá. 284

Dolgozzatok párokban PPTP/SSTP Az egyik routeren hozzatok létre PPTP és SSTP szervert a másikon PPTP és SSTP klienseket Használjátok a korábban létrehozott IP poolt, PPP profilet és PPP secretet a szerverhez A kliensel csatlakozzatok a szerverhez 285

PPTP/SSTP Ellenőrizzétek a tűzfal szabályokat PPTP TCP 1723 GRE SSTP TCP 443 Pingessétek meg a szomszéd laptopját Miért nem válaszol? 286

PPTP/SSTP Vegyetek fel statikus routeokat a szomszéd hálózatába, állítsátok a PPP kliens interfészt átjárónak Pingessétek a szomszéd laptopját 287

PPP A részletesebb információt a PPPoE, PPTP, SSTP és egyéb tunnelekről, szerver és kliens megoldásokról az MTCRE és az MTCINE tanfolyamok tartalmaznak. 288

Certified Network Associate (MTCNA) Modul 9 Egyéb 289

RouterOS Eszközök A RouterOS különböző alkalmazásokat, eszközöket tartalmaz, amelyekkel a router menedzselését és monitorozását hatékonyabbá tehetjük, valamint segítenek a hibakeresésben. 290

E-maileket küldhetünk a routerből. Például konfiguráció mentést. E-mail 291

Egy hoszt elérhetőségét vizsgálja. ICMP echo request (PING) elküldésével. Egy scriptet futtathatunk ha elérhetetlenné vagy elérhetővé válik. Netwatch 292

Ping Hoszt elérhetőségét vizsgálhatjuk. (ICMP) Round trip time ellenőrzése. Lehetőség van forrás interfész vagy IP cím megadására. 293

Hálózatdiagnosztik ai eszköz amivel ellenőrizhetjük a csomag útvonalát a cél felé. ICMP vagy UDP protokoll. Traceroute 294

Megmutatja a RouterOS futó folyamatainak a CPU használatát. Profile 295

Interfész Forgalmi Adatok Valós idejű forgalmi adatok. Minden interfész adatai megtekinthető az interfész ablak Traffic fülén. 296

Torch Valós idejű forgalom analízis. Megnézhetjük az interfészen keresztülhaladó csomagokat. Szűrhetünk IP protokoll, forrás/cél cím, portszám, stb. szerint. 297

Torch 298

Grafikonok A RouterOS tudja gyűjteni az interfészeken vagy queue-kon áthaladó forgalmi statisztikákat. CPU, memória és disk használatot. Minden adatnak 4 grafikonja tárolódik: Napi, heti, havi, éves 299

Grafikonok 300

http://router_ip/graphs Grafikonok 301

Grafikonok 302

Grafikonok Engedélyezzétek az interface, queue és resource grafikonokat Töltsetek le egy nagyobb file-t az internetről Nézzétek meg a grafikonokat 303

SNMP Simple Network Management Protocol. Hálózati eszközök monitorozására és menedzselésére használt általános protokoll. A RouterOS támogatja az SNMP v1, v2 és v3 verziókat. SNMP írási lehetőségek csak néhány beállításra használhatók. 304

SNMP 305

The Dude MikroTik által fejlesztett alkalmazás ami nagyban segíti nagyobb hálózatok karbantartását. Automatikus felderítés és térképes megjelenítés. Szolgáltatások monitorozása és riasztások küldése. Ingyenes! 306

The Dude SNMP, ICMP, DNS és TCP alaú monitorozás támogatása. Szerver Kliens rendszer, A szerver oldal RouterOS alatt fut (CCR,CHR vagy x86) Kliens program Windows alatt (Linux és OS X alatt Wine segítségével.) 307

The Dude 308

The Dude 309

Support Output File Ha segítséget szeretnénk kérni ismerősünktől vagy a MikroTik Supporttól, akkor legenerálhatunk egy support output filet. Ennek elküldésével hozzáférés megadása nélkül egyszerűen átadható minden információ. 310

Support Output File Hardware hiba esetén automatikusan is generálódik egy autosupout-rif. Watchdog folyamat inditja. A support output file minden információt tartalmaz a rendszer aktuális állapotáról (konfiguráció, statisztikai adatok, logok, stb). Mi is megnyithatjuk: https://mikrotik.com/client/supout 311

Alapbeállítás esetén a RouterOS loggol bizonyos eseményeket. Ezek a memóriában tárolódnak. Lehetőség van ezeket diszkre menteni, Log Vagy távoli syslog szerverre küldeni 312

Részletesebb loggolást is beállíthatunk új szabály felvételével. A topikok ÉS kapcsolatban vannak! Log 313

Köszönöm a figyelmet, Sok sikert a vizsgához! 314

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés