Novas implementaes

do MikroTik RouterOS para

2017
Por Leonardo Rosa, BRAUSER, Brasil
Apresentao
Leonardo Rosa

Cursou Anlise de Sistemas na Universidade Catlica de

Salvador e Gesto em TI na Faculdade rea1, tambm em
Salvador. Consultor em Internetworking desde 2006, Instrutor
Oficial MikroTik desde 2012. Tem experincia com FreeBSD,
Linux, Cisco e MikroTik RouterOS.

Atualmente ministra treinamentos em todas as certificaes

MikroTik.

MTCNA, MTCRE, MTCWE, MTCTCE, MTCUME, MTCIPv6E,

MTCINE.
Sumrio
1. Spanning Tree nas routerboard CRS

2. Novo time range em Firewall e Simple Queue

3. Firewall RAW

4. Pool para IPs dinmicos

5. Traffic shape para interfaces

6. IPv6 (planejamento de prefixos)

Spanning Tree
nas routerboard CRS
Loop Protect
Lanado na verso 6.37

Previne loop de camada 2

Disponvel para interfaces ethernet, vlan e eoip(v6)
Funciona para interfaces em bridge e em switch

Mais info em
http://wiki.mikrotik.com/wiki/Manual:Loop_Protect
Loop Protect
Independente do STP ignora topologia
Habilitado para cada interface separadamente
Envia pacotes simples de hello que validam MAC
address da interface de origem do pacote com o
MAC da interface que o recebeu

Mais info em
http://wiki.mikrotik.com/wiki/Manual:Loop_Protect
LOOP PROTECT (SETUP)

/interface ethernet set #

loop-protect=on (default=off)
loop-protect-disable-time=5m (tempo interface
desativada)
loop-protect-send-interval=5s (intervalo entre
hellos)
Novo time range em
Firewall e Simple Queue
NOVO TIME RANGE (SETUP) verso 6.37.1+

ANTES

DEPOIS
IP Firewall RAW
IP Firewall RAW

Permite trfegos bypassarem o Connection

Tracking economizando significativamente em
CPU.
Especialmente til para mitigar ataques DoS
A tabela RAW no contm qualquer critrio que
dependa do Connection Tracking como
connection-state, layer7 etc.
 IP FIREWALL RAW (EXEMPLOS)

1. Proteger o OSPF contra o NAT

/ip firewall raw
add action=notrack protocol=ospf chain=prerouting
add action=notrack protocol=ospf chain=output

2. Desativar o Firewall para clientes

corporativos/especficos
/ip firewall raw
add action=notrack src-address-list=FW-OFF
chain=prerouting
add action=notrack dst-address-list=FW-OFF
chain=prerouting
Pool para IPs
dinmicos
Pool para IPs
dinmicos
Problema

A implementao de pool de IPs da MikroTik procura

manter o mesmo IP para cada cliente, limitando em
muito a variao de IPs para os clientes, mesmo
aps vrias reconexes.
Pool para IPs
dinmicos
Soluo

No PPPoE possvel dinamizar o uso dos IPs a cada

autenticao, bastando definir outro pool (de
preferncia privado) em local-address-pool.
 POOL PARA IPS DINMICOS (SETUP)

1. Criando novo pool privado

/ip pool
add name=pool-dinamico ranges=100.64.0.0/10

2. Atribuindo o novo pool em Profile

/ppp profile
set local-address=pool-dinamico
Traffic shape para
interfaces
Traffic shape para
interfaces
Problema

Nem sempre possvel limitar a banda de uma

interface ethernet nas configuraes nativas da
interface. Em alguns casos, a depender do modelo
da RouterBOARD, no temos sequer a opo nativa,
como nas CCR.

Como fazer isso com baixssimo custo em CPU?

Traffic shape para
interfaces
Soluo

Muitos sabem que o PCQ possui algoritmo

proprietrio de sub-filas e enfileiramento muito
eficiente. O que poucos sabem que ele pode ser
ainda mais eficiente sem as sub-filas, ou seja, como
fila nica.
TRAFFIC SHAPE PARA INTERFACES (SETUP)

1. Criando o novo PCQ (2 giga)

/queue type
add kind=pcq name=2Giga pcq-rate=2G \
pcq-limit=10000KiB pcq-total-limit=2000000KiB

2. Atribuindo o novo PCQ em uma Ethernet

/queue interface set sfp-sfpplus8 queue=2Giga
TRAFFIC SHAPE PARA INTERFACES (SETUP)
IPv6
Planejamento de
prefixos
IPv6
Planejamento de
prefixos
NO PERCA EM NOSSO MINI-CURSO!!!

Entenda o IPv6 e encante-se por sua beleza =)

Aprenda a planejar e documentar os prefixos

atravs de ferramentas simples do dia-a-dia.

IPv6 desde o BGP ao cliente PPPoE.

Muito
Obrigado!
Leonardo Rosa
leonardo@brauser.com.br
www.brauser.com.br

19 | 98166 1728 [] TIM

19 | 97110 8523 [] Vivo
19 | 3090 3600 [] Fixo