Вы находитесь на странице: 1из 26

01/08/2014

График

• 9:00 - 10:30 Утреннее заседание I


- 10:30 - 11:00 Утренний перерыв
MikroTik RouterOS ( v6) Тренировка
• 11:00 - 12:30 Утренняя сессия II
Управление трафиком
- 12:30 - 13:30 Перерыв на обед

• 13:30 - 15:00 Вечерняя сессия I


- 15:00 - 15:30 Перерыв

• 15:30 - 17:00 (18:00) Во второй половине дня Сессия II

Вахид Shahbazian фард jahromy www.LearnMikroTik.ir

© LearnMikroTik.ir 2013 2

инструктор домоводство

• Вахид Shahbazian фард jahromy • Учебные материалы

- Обучение, поддержка и консультант • Маршрутизаторы, кабели


- Специализация: Wireless, Firewall, Чувак, маршрутизация • Перерыв раз и обед

© LearnMikroTik.ir 2013 3 © LearnMikroTik.ir 2013 4

Цель курса Представьтесь

• Пожалуйста, представьтесь к классу


• Обеспечить знания и практические навыки для возможности
- Твое имя
основного и расширенного контроля трафика MikroTik RouterOS - Ваша компания
для любых сетей размера - Ваше знание о RouterOS
- Ваше знание о сети
• По окончанию курса вы сможете планировать, - Чего вы ожидаете от этого курса?
осуществлять, настройку и конфигурацию управления
• Пожалуйста, запомните номер класса XY. (Х обозначает номер
отладкой трафика, реализованные MikroTik RouterOS.
строки, Y Ваш номер места в ряду)

Мой номер: X = Y = _____ _____

© LearnMikroTik.ir 2013 5 © LearnMikroTik.ir 2013 6

1
01/08/2014

Lab Setup Class Настройка класса

• Создание 192.168.XY.0 / 24 сети Ethernet между ноутбуком


(.1) и маршрутизатор (.254)
• Подключение маршрутизаторов к AP SSID «MTCTCEclass»

• Назначение IP-адрес 10.1.1.XY / 24 к WLAN1


• Основной GW и DNS-адрес маршрутизатора является 10.1.1.254

• Получите доступ к сети Интернет с вашего ноутбука через локальный

маршрутизатор

• Создание нового пользователя полного доступа к маршрутизатору и изменить


«администратор» право доступа «читать»

© LearnMikroTik.ir 2013 7 © LearnMikroTik.ir 2013 8

Настройка класса Lab (продолжение). Малый ISP

• Набор системной идентификации платы и имя беспроводной


радиосвязи в «XY_ <your_name>». Пример: «88_Shahbazian»

• Обновление маршрутизатора до последней версии Mikrotik


RouterOS

• Обновите версию загрузчика Winbox


• Настройка NTP клиента - использовать в качестве сервера 10.1.1.254

• Создание резервной копии конфигурации и скопировать его на ноутбук


(это будет по умолчанию конфигурации)

© LearnMikroTik.ir 2013 9 © LearnMikroTik.ir 2013 10

DNS-клиент и Кэш DNS-клиент и Кэш

• клиент DNS используется только маршрутизатором в случае


веб-прокси или точки доступа конфигурации

• Включить «Разрешить удаленные запросы», чтобы


преобразовать клиент DNS в кэш DNS

• Кэш DNS позволяет использовать маршрутизатор вместо удаленного


сервера DNS, так как все кэша - это сводит к минимуму времени
разрешения

• Кэш DNS также может выступать в качестве DNS-сервера для


локального разрешения сетевых адресов

© LearnMikroTik.ir 2013 11 © LearnMikroTik.ir 2013 12

2
01/08/2014

Статический DNS запись Лаборатория кэша DNS

• Каждая Статическая запись DNS будет добавить или • Настройка маршрутизатора в качестве кэша DNS. использование
10.1.1.254 в качестве первичного сервера
переопределить (заменить существующую) запись в кэше DNS
• Добавить запись статического DNS «www.XY.com» в локальный
IP-адрес маршрутизатора (XY - ваш номер)

• Добавить запись статического DNS «www.XY.com» к внешним IP-адрес


соседнего маршрутизатора (в XY - ваш номер соседей)

• Изменение адреса ноутбуков DNS-сервера на ваш адрес


маршрутизаторов

• Попробуйте конфигурацию и отслеживать список кэша

© LearnMikroTik.ir 2013 13 © LearnMikroTik.ir 2013 14

DHCP Сценарий DHCP связи

• Протокол динамической конфигурации хоста используется для • DHCP Discovery


- SRC-MAC = <клиент>, ДСТ-Mac = <вещания>, протокол = UDP, SRC-IP =
динамического распределения настройки, такие как сети:
0.0.0.0: 68, ДСТ-IP = 255.255.255.255: 67

• DHCP предложение

- IP-адрес и маску подсети - SRC-MAC = <DHCP-сервер>, ДСТ-Mac = <вещания>, протокол = UDP, SRC-IP =
<DHCP-сервер>: 67, ДСТ-IP = 255.255.255.255: 67
- Адрес шлюза по умолчанию
• DHCP Request
- адреса серверов DNS и NTP - SRC-MAC = <клиент>, ДСТ-Mac = <вещания>, протокол = UDP, SRC-IP =

- Более 100 другие пользовательские опции (поддерживаются только определенными 0.0.0.0: 68, ДСТ-IP = 255.255.255.255: 67

клиентами DHCP) • DHCP Квитирование


- SRC-MAC = <DHCP-сервер>, ДСТ-Mac = <вещания>, протокол = UDP, SRC-IP =
• DHCP в основном небезопасный и должен использоваться только в <DHCP-сервер>: 67, ДСТ-IP = 255.255.255.255: 67

надежных сетях

© LearnMikroTik.ir 2013 15 © LearnMikroTik.ir 2013 16

DHCP Идентификация клиента Клиент DHCP

• Сервер DHCP может отслеживать аренды ассоциации с


конкретным клиентом на основе идентификации

• Идентификация может быть достигнуто 2 способами

- На основе опции «ИД вызывающего абонента» (DHCP-клиент-идентификатор


из RFC2132)

- На основе MAC-адреса, если опция «ИД вызывающего абонента» не задано

• Опция «имя хоста» позволяет RouterOS клиентам отправлять


дополнительную идентификацию на сервер, по умолчанию это
«идентичность системы» маршрутизатор

© LearnMikroTik.ir 2013 17 © LearnMikroTik.ir 2013 18

3
01/08/2014

DHCP-сервер DHCP сети

• Там может быть только один DHCP-сервер в интерфейсе • В меню DHCP сети можно настроить определенные
комбинации реле / ​на маршрутизаторе параметры DHCP для конкретной сети.
• Для создания сервера DHCP вы должны иметь • То же из вариантов интегрированы в RouterOS, другие
- IP-адрес от требуемого сервера DHCP интерфейса могут быть назначены в сыром виде (указанной в РЛК)
- Адрес бассейн для клиентов

- Информация о планируемой сети DHCP • Дополнительная информация на сайте:


http://www.iana.org/assignments/bootp-dhcp-parameters
• Все 3 варианта должны соответствовать
• Сервер DHCP может отправить любой вариант
• «Арендный на диске» следует использовать, чтобы уменьшить количество
операций записи на диск (полезно с флэш-накопителей) • DHCP клиент может получить только реализованные варианты

© LearnMikroTik.ir 2013 19 © LearnMikroTik.ir 2013 20

параметры DHCP Пользовательский DHCP Option

• Реализованы опции DHCP


- Subnet-маска (вариант 1) - маска подсети

- Маршрутизатор (вариант 3) - шлюз

- Домен-сервер (вариант 6) - DNS-сервер


- Домен-Name (опция 15) - домен
- NTP-сервера (опция 42) - нтп-сервер
- NETBIOS-имя-сервера (опция 44) - выигрывает-сервер
• Персонализированные параметры DHCP (Пример :)
- Бесклассовая Static Route (опция 121) - = «сеть = 10.39.0.0 /
16 = шлюз 10.38.1.1» «0x100A270A260101»

© LearnMikroTik.ir 2013 21 © LearnMikroTik.ir 2013 22

IP-адрес бассейн Бассейны IP-адреса

• IP пулы адресов используются для определения диапазона IP-адресов


для динамического распределения (DHCP, PPP, Hotspot)

• Адрес пул должен исключающий уже занят адреса


(например, сервер или статические адреса)
• Можно назначить более, что один диапазон в бассейн

• Можно цепные несколько бассейнов вместе с помощью


опции «Next Pool»

© LearnMikroTik.ir 2013 23 © LearnMikroTik.ir 2013 24

4
01/08/2014

Пул адресов в действии Другие настройки сервера DHCP

• Src.address - указывает DHCP сервера адрес, если более чем


один IP на интерфейсе DHCP сервера

• Задержка Порог - приоритет один сервер DHCP над другим (большей


задержкой меньше приоритетом)

• Добавить ARP Для Аренды - позволяет добавлять ARP записи для


аренды, если интерфейс ARP = ответ только

• Всегда Broadcast - обеспечить связь с


нестандартными клиентами, как псевдо-мосты
• Bootp поддержка, использование RADIUS - (очевидно)

© LearnMikroTik.ir 2013 25 © LearnMikroTik.ir 2013 26

Авторитетный сервер DHCP DHCP-сервер

• Авторитетный - разрешить сервер DHCP, чтобы ответить на


трансляцию неизвестного клиента и попросить клиента
перезапустить аренду
(Клиент посылает широковещательный только если одноадресные
на сервер терпит неудачу при продлении аренды)

• Авторитетный позволяют:
- Предотвратить операции DHCP-сервера румян

- Быстрее адаптации сети к изменениям конфигурации DHCP

© LearnMikroTik.ir 2013 27 © LearnMikroTik.ir 2013 28

Договоры аренды сервера DHCP Сервер DHCP Сдаёт (прод.)

• адрес: Укажите IP-адрес (или IP-пул) для статической аренды. Если • Блок доступа: Блокировать доступ для этого клиента

установлено значение 0.0.0.0 - бассейн с сервера будет • всегда-трансляции: Передать все ответы, как радиопередачи
использоваться
• скорости ограничения: Устанавливает ограничение скорости для
• MAC-адрес: Если указано, должно совпадать с активного аренды. Формат: ая-частота [/ TX-скорость] [ге-лопнуть
MAC-адрес клиента скорости [/ txburst-скорости] [гй-burstthreshold [/ TX-burstthreshold]

• ID клиента: Если указано, должно совпадать опцию DHCP [ое-лопнуть время [/ txburst-времени] ]]]

«идентификатор клиента» запроса • адрес-лист: Список адресов, к которым адрес будет добавлен, если

• сервер: Имя сервера, который обслуживает этот клиент договор аренды обязан.

© LearnMikroTik.ir 2013 29 © LearnMikroTik.ir 2013 30

5
01/08/2014

DHCP Relay DHCP Relay

• DHCP Relay просто прокси, который способен


принимать открытие DHCP и запрос и отправить их
на сервер DHCP
• Там может быть только один DHCP реле между
DHCP-сервером и DHCP-клиент

• DHCP связь с реле не требуется IP-адрес на реле, но


опция реле в «локальный адрес» должен быть такой
же с опцией сервера «релейный адрес»

© LearnMikroTik.ir 2013 31 © LearnMikroTik.ir 2013 32

Лаборатория DHCP Простая структура потока пакетов

• Interconnect с соседом с помощью кабеля Ethernet

• Создание 3-х независимых установок:

- Создание сервера DHCP для вашего ноутбука

- Создание сервера DHCP и реле для вашего соседа ноутбука

(использование опции реле)

- Создание мостовой сети с 2 DHCP-серверами и 2 DHCP


клиентами (ноутбуки) и попробовать
Варианты «авторитетный» и «порог задержки»

© LearnMikroTik.ir 2013 33 © LearnMikroTik.ir 2013 34

Брандмауэра Фильтры Структура Брандмауэр фильтра Структурная схема

• правила брандмауэра фильтра организованы в цепях

• Есть стандартные и пользовательские цепочки


• Есть три стандартных цепей
- Входные данные: обрабатывают пакеты, отправленные к маршрутизатору

- Выход: обрабатывает пакеты, отправленные маршрутизатором

- Форвард: обрабатывает пакеты, отправленные через маршрутизатор

• Каждый определенный пользователем цепь должна подчинять, по меньшей

мере, одной из цепей по умолчанию

© LearnMikroTik.ir 2013 35 © LearnMikroTik.ir 2013 36

6
01/08/2014

Отслеживание соединения трассировщика Размещение

• Подключение системы слежения (или трассировщика) является сердцем


брандмауэра, он собирает и обрабатывает информацию обо всех активных
соединений.

• При отключении системы трассировщика вы потеряете


функциональность NAT, и большинство из фильтра и обрубит
условий.

• Каждая запись трассировщика таблица представляет собой


двунаправленный обмен данными

• Трассировщика занимает много ресурсов процессора (отключить его, если вы

не используете брандмауэр)

© LearnMikroTik.ir 2013 37 © LearnMikroTik.ir 2013 38

Трассировщика - Winbox Просмотр Состояние: Состояние соединения

• Состояние соединения является статусом, присвоенный каждый пакет


по трассировщику системы:
- Новое: пакет открывает новое соединение
- Установлено: пакет принадлежит уже известно соединению

- Invalid: пакет не принадлежит ни к одному из известных соединений

- Связанный: пакет также открывает новое соединение, но в каком-то


добром отношении к уже известному соединение

• Состояние соединения ≠ состояние TCP

© LearnMikroTik.ir 2013 39 © LearnMikroTik.ir 2013 40

Первый пример Правило

Защита маршрутизатора - позволяет только необходимые услуги от надежного источника с приятной


нагрузкой.

ЦЕПЬ ВХОД

© LearnMikroTik.ir 2013 41 © LearnMikroTik.ir 2013 42

7
01/08/2014

RouterOS Услуги
Подключение Государственная лаборатория
Nr. порт протокол Комментарий Nr. порт протокол Комментарий

1 20 TCP Соединение для передачи данных FTP 21 53 UDP DNS

2 21 TCP Управляющее соединение FTP 22 67 UDP BootP или DHCP-сервер

3 22 TCP Secure Shell (SSH) 23 68 UDP Клиент BootP или DHCP

• Создайте 3 правила, чтобы гарантировать, что только connectionstate новый 4 23 TCP протокол Telnet 24 123 UDP Протокол сетевого времени

5 53 TCP DNS 25 161 UDP SNMP


пакеты будут проходить через входной фильтр 6 80 TCP World Wide Web HTTP 26 500 UDP Internet Key Exchange (IPSec)

7 179 TCP Протокол пограничной маршрутизации 27 520 UDP RIP протокола маршрутизации

8 443 TCP Secure Socket Layer (SSL), 28 521 UDP RIP протокола маршрутизации

- Капля все о состоянии соединения инвалид пакеты 9 646 TCP транспортная сессия LDP 29 646 UDP протокол LDP привет

- принимать все о состоянии соединения Связанный пакеты


10 1080 TCP Протокол SOCKS прокси 30 1701 UDP Протокол 2 Туннельный слой

11 1723 TCP PPTP 31 1900 UDP Universal Plug и Play

- принимать все о состоянии соединения установленный пакеты 12 2828 TCP Universal Plug и Play 32 5678 UDP MNDP

13 2000 TCP 33 20561 UDP MAC Winbox


Пропускная способность сервера тест

Создайте 2 правила, чтобы гарантировать, что только вы будете иметь 14 8080 TCP Web Proxy 34 --- / 41 IPv6 (инкапсуляция)

возможность подключения к маршрутизатору 15 8291 TCP Winbox 35 --- / 47 GRE (PPTP, EOIP)

16 8728 TCP API 36 --- / 50 ESP (IPSec)

- принимать все пакеты из локальной сети 17 8729 TCP API-SSL 37 --- / 51 AH (IPSec)

- Капля все остальное


18 --- / 1 ICMP 38 --- / 89 протокол маршрутизации OSPF

19 --- / 2 Multicast | IGMP 39 --- / 103 Multicast | ПИМ

20 --- / 4 IPIP инкапсуляция 40 --- / 112 VRRP

© LearnMikroTik.ir 2013 43 © LearnMikroTik.ir 2013 44

Lab RouterOS Service

• Создать цепочку «услуги»


• Создание правил, чтобы позволить необходимые RouterOS услуги, которые

будут доступны из сети общего пользования

• Создать «прыжок» правило из цепочки «вход» в цепи


«услуги» Защита клиентов от вирусов и защита Интернета от клиентов

• Поместите «прыжок» правило соответственно

• Написать комментарий для каждого правила брандмауэра


ЦЕПЬ ВПЕРЕД
• Попросите ваш сосед, чтобы проверить настройки

© LearnMikroTik.ir 2013 45 © LearnMikroTik.ir 2013 46

Вирус Port Filter Сеть Форвард Lab

• На данный момент несколько сотен активных трояны и • Создайте 3 правила, чтобы гарантировать, что только connectionstate

менее чем 50 активных червей новые пакеты будут проходить через входной фильтр

• Вы можете скачать полную версию «вирус порт блокатор» цепь


(~ 330 правил падения с ~ 500 заблокированы - Отбросьте все о состоянии соединения недействительных пакетов

вирус порты) из - Принимать все соединения-состояния, связанные пакеты

FTP: // test@10.1.1.25 4 - Принимать все соединения-государственные пакеты установлены

• Некоторые вирусы и трояны используют порты стандартных услуг и • Импортируйте файл virus.rsc в маршрутизатор

не могут быть заблокированы. • Создание правила перехода к цепи «вирусу»

© LearnMikroTik.ir 2013 47 © LearnMikroTik.ir 2013 48

8
01/08/2014

Bogon IP-адрес Параметры списка адресов

• Есть ~ 4,3 млрд адресов IPv4 • Вместо того чтобы создать одно
правило фильтра для каждого
• Есть несколько диапазонов IP ограничения в сети общего пользования
IP-адреса сети, вы можете создать
только одно правило для списка

• Есть несколько диапазонов IP зарезервированных (не используется в IP-адресов.

данный момент) для конкретных целей • Используйте «Src./Dst. Список


адресов»варианты
• Есть много неиспользуемых диапазонов IP !!!
• Создать список адресов в
• Вы можете найти информацию о всех неиспользуемого IP диапазонов «/ Ф брандмауэр
- Judy Google для «bogon IP-адресов» адрес-лист»меню

© LearnMikroTik.ir 2013 49 © LearnMikroTik.ir 2013 50

Список адресов Lab Adv. Адрес Lab Filtering

• Сделайте список адресов наиболее распространенной bogon • Разрешить пакеты, чтобы войти в сеть только с действительными

IP-адреса адресами в Интернете

• Разрешить пакеты, чтобы войти в сеть только


действительные адреса клиентов

• Разрешить пакеты покинуть сеть только из действительных


адресов клиентов
• Разрешить пакеты, чтобы оставить свою сеть только с
действующими адресами в Интернете

• Установите правила соответственно

© LearnMikroTik.ir 2013 51 © LearnMikroTik.ir 2013 52

Типы NAT

• Поскольку существует два IP-адреса и порты в заголовке


IP-пакета, существуют два типа NAT
- Один, который перезаписывает исходный IP-адрес и / или порт называется

источником NAT (SRC-физ)

- Другой, который переписывает назначения IP-адрес и / или порт


Destination NAT, NAT Источник, NAT Traversal
назначения, называется NAT (ДСТ-физ)

Network Address Translation • Брандмауэр NAT, правила обрабатывают только первый пакет каждого

(NAT), соединения (состояние соединения «новые» пакеты)

© LearnMikroTik.ir 2013 53 © LearnMikroTik.ir 2013 54

9
01/08/2014

Структура брандмауэра NAT IP Firewall Диаграмма

• Правила брандмауэра NAT организованы в цепях

• Есть два по умолчанию цепи


- Dstnat: процессы трафик отправляется и через маршрутизатор,
прежде чем он делит, чтобы «вход» и «вперед» цепь фильтра
брандмауэра.
- Srcnat: процессы, трафик, передаваемый от и через маршрутизатор,
после того, как она сливается с «выхода» и «вперед»
цепь из брандмауэр фильтр.

• Есть также определенные пользователем цепи

© LearnMikroTik.ir 2013 55 © LearnMikroTik.ir 2013 56

Dst-физ действий ДСТ-физ Пример Правило

• Действие «ДСТ-нать» меняет адрес назначения пакета


и порт на указанный адрес и порт
• Это действие может иметь место только в цепи dstnat

• Типичное применение: обеспечение доступа к сетевым услугам

местным от сети общего пользования

© LearnMikroTik.ir 2013 57 © LearnMikroTik.ir 2013 58

переадресовывать Перенаправление пример правила

• Действие «переадресовать» меняет адрес назначения пакета на


адрес маршрутизатора или маршрутизатора указан порт

• Это действие может иметь место только в цепи dstnat

• Типичное применение: прозрачное проксирование сетевых


служб (DNS, HTTP)

© LearnMikroTik.ir 2013 59 © LearnMikroTik.ir 2013 60

10
01/08/2014

Перенаправление Lab Dst-нац Lab

• Захват всех TCP и UDP порт 53 пакетов инициировано • Захват всех TCP-порт 80 (HTTP) пакеты были
от твоего частная сеть
инициированы из частной сети
192.168.XY.0 / 24 и перенаправить их на маршрутизаторе.
192.168.XY.0 / 24 и изменить адрес назначения для 10.1.2.1 с
помощью ДСТ-физ правило
• Установите ноутбуки DNS-сервер для случайного IP-адреса
• Очистить кэш браузера на ноутбуке
• Очистка вашего маршрутизатора и кэш DNS вашего браузера • Попробуйте просмотреть в Интернете
• Попробуйте просмотреть в Интернете

• Посмотрите на кэш DNS маршрутизатора

© LearnMikroTik.ir 2013 61 © LearnMikroTik.ir 2013 62

Universal Plug-и-Play UPnP

• RouterOS позволяет включить поддержку UPnP для маршрутизатора.

• UPnP позволяет установить как-направленное соединение,


даже если клиент находится за NAT, клиент должен иметь
поддержку UPNP

• Есть два типа интерфейса для UPnPenabled


маршрутизатора: внутренний (одна местных клиентов
подключены к) и внешнему (один Интернет подключен
к)

© LearnMikroTik.ir 2013 63 © LearnMikroTik.ir 2013 64

Первые VIP клиентов Источник NAT Недостатки

Ситуация: • Хосты за маршрутизатором NAT с поддержкой не имеют истинное


У вас есть публичный соединения от конца до конца:
IP-адрес и / 30 подсеть
публичных адресов,
Клиенты: «Я люблю мой - инициации соединения извне не представляется возможным
провайдер»
- некоторые TCP службы будут работать в режиме «пассивного»
Вы иногда достигают ISP
Веб сервер
ограничения скорости (5Mbps - ГРЦ-физ за несколько IP-адрес является
/ 5Mbps)
непредсказуемый
Требования:
VIP-клиент 2 - одни и те же протоколы требуют так называемых помощников NAT для
• Открытый IP-адрес для
VIP-клиентов правильной работы (NAT Traversal)
• Гарантированная скорость для
VIP-клиент 1
VIP-клиентов

© LearnMikroTik.ir 2013 65 © LearnMikroTik.ir 2013 66

11
01/08/2014

NAT Помощники Src-нац Lab

• Вы можете указать порты для существующих хелперов NAT, но вы не • Вы были назначены один «публичный» IP-адрес
172.16.0.XY / 32
можете добавлять новые хелперы
• Назначают его к беспроводному интерфейсу

• Добавить Src-нац правила «скрыть» вашу частную сеть


192.168.XY.0 / 24 за «публичное» адрес
• Подключение с ноутбука с помощью WinBox, SSH или Telnet
через маршрутизатор к основному шлюзу
10.1.1.254
• Проверьте IP-адрес, который вы подключаетесь из (использование «/ активного
печати пользователя» на главном шлюзе)

© LearnMikroTik.ir 2013 67 © LearnMikroTik.ir 2013 68

Что такое увечье?

• Калечить средство позволяет выделить IP-пакеты со специальными

метками.

• Эти метки используются другими маршрутизаторами объектов, как

маршрутизация и управление полосой пропускания для

идентификации пакетов.
IP пакет маркировки и заголовок IP поля регулировки

• Кроме того, калечить объект используется для изменения


FIREWALL MANGLE
некоторых полей в заголовке IP, как TOS (DSCP) и поле TTL.

© LearnMikroTik.ir 2013 69 © LearnMikroTik.ir 2013 70

Увечье Структура Брандмауэр Схема ( Фильтр, NAT и увечье)

• Увечье правила организованы в цепях


• Есть пять встроенных в цепи:
- PREROUTING: сделать отметку перед тем dstnat

- POSTROUTING: сделать отметку перед тем srcnat

- Входные данные: сделать отметку перед тем Входной фильтр

- Вывод: что делает отметку перед тем Выходной фильтр

- Вперед: сделать отметку, прежде чем вперед фильтр

• Новые пользовательские цепочки могут быть добавлены, по мере


необходимости

© LearnMikroTik.ir 2013 71 © LearnMikroTik.ir 2013 72

12
01/08/2014

Увечье действия Увечье действия (прод.)

• Есть еще 9 действия в каландр: - изменить-DSCP - изменить Дифференцированный Services Code Point

- метка-соединение - соединение знака (только первый пакет) (DSCP) значение поля

- метка-пакет - пометить поток (все пакеты) - установить приоритет для пакетов, отправленных через соединение,

- метка маршрутизации - знак пакеты для политики маршрутизации


которое способно транспортировать приоритет - приоритет установленных

(VLAN или WMM с поддержкой беспроводного интерфейса).


- изменить MSS - изменить максимальный размер сегмента пакета

- Изменение TOS - изменение типа сервиса


- изменить TTL - изменить время, чтобы жить

- Параметры полосы IPv4

© LearnMikroTik.ir 2013 73 © LearnMikroTik.ir 2013 74

Маркировка соединений Отметить Правило соединения

• Используйте соединение метки для идентификации одного или группы

соединений с определенной меткой соединения

• метки соединения хранятся в таблице трассировки


соединения

• Там может быть только одно соединение знак для одного соединения.

• Отслеживание соединения помогает связать каждый пакет к


конкретному соединению (знак соединения)

© LearnMikroTik.ir 2013 75 © LearnMikroTik.ir 2013 76

Маркировка пакетов Правило Mark Packet

Пакеты могут быть маркированы

• Косвенно. Использование отслеживания соединения объекта,


на основе ранее созданный
соединительные знаки (быстрее)

• Непосредственно. Без отслеживания соединений - нет


соединения знаков необходимо, маршрутизатор будет
сравнить каждый пакет до заданных условий (этот процесс
имитирует некоторые из функций отслеживания соединения)

© LearnMikroTik.ir 2013 77 © LearnMikroTik.ir 2013 78

13
01/08/2014

Увечье Packet Mark Lab Увечье Просмотр

• Отметить все соединения от 192.168.XY.100 адреса


(мнимые VIP 1)
• Отметить все пакеты от VIP 1 соединений
• Отметить все соединения от 192.168.XY.200 адреса
(мнимые VIP 2)
• Отметить все пакеты от VIP 2 соединения
• Отметить все остальные соединения

• Отметить пакеты от всех других соединений

© LearnMikroTik.ir 2013 79 © LearnMikroTik.ir 2013 80

HTB

• Все качества выполнения обслуживания в RouterOS основана на


Hierarchical Token Bucket
• HTB позволяет создавать иерархическую структуру очередей и
определять отношения между родителем и ребенком очередями и
отношениями между ребенком очередями

Иерархическая Token Bucket


• RouterOS v5 или более старые версии поддерживают 3 виртуальную HTBS
(глобальный в глобальном итог, глобальный выход) и еще один раз перед
HTB каждым интерфейсом

• RouterOS v6 поддержка 1 виртуальный HTB (глобальный) и еще один раз


перед каждым интерфейсом

© LearnMikroTik.ir 2013 81 © LearnMikroTik.ir 2013 82

Увечье и HTBS в RouterOS v5 или более ранних версий Увечье и HTBS в RouterOS v6

© LearnMikroTik.ir 2013 83 © LearnMikroTik.ir 2013 84

14
01/08/2014

HTB (продолжение). HTB Характеристики - Структура

• В RouterOS v5 или более ранних версий, когда пакет проходит через • Как только очередь, по крайней мере, один ребенок, он стал
маршрутизатор, он передает все 4 HTB деревья родителем очереди

• Все дочерние очереди (не имеет значения, сколько уровней родителей у


• В RouterOS v5 или более ранних версии, когда пакет перемещается к них есть) находятся на одном нижнем уровне HTB

маршрутизатору, он проходит только глобальные по и глобальный


общий HTB. • Очереди за детьми делают фактический трафик потребления,
родительские очереди отвечают только за распределение трафика
• В RouterOS v5 или более ранних версий, когда пакет перемещается от
маршрутизатора, он проходит глобальный-аут, глобальный итог и
• Очереди ребенка получит ограничение-на первое, а затем остальная часть
интерфейс HTB.
трафика будет распространяться родителями

© LearnMikroTik.ir 2013 85 © LearnMikroTik.ir 2013 86

HTB Характеристики - Структура HTB Характеристики - Dual Ограничение

• HTB имеет два ограничения скорости:

• CIR (гарантированная скорость передачи данных) - (предел-при в


RouterOS) худшем случае, поток не получит такое количество трафика,
независимо от того, что (предполагая, что мы можем на самом деле
отправить столько данных)

• MIR (Information Rate Максимальная) - (макс-предел в RouterOS) лучший


сценарий, скорость потока, что может получить до, если родительской
очереди запаса пропускной способности

• На первом HTB будет пытаться удовлетворить каждый ребенок очередь в


ограничение-на - только тогда он будет пытаться достичь макс-предел

© LearnMikroTik.ir 2013 87 © LearnMikroTik.ir 2013 88

Двойное Ограничение HTB - предел, при

• Максимальная скорость родителя должна быть равна или


больше суммы совершенных ставок детей

- MIR (родитель) ≥ CIR (child1) + ... + CIR (childN)


• Максимальная скорость любого ребенка должна быть меньше или
равна максимальной скорости родителя

- MIR (родительский) ≥ MIR (child1)

- MIR (родительский) ≥ MIR (child2)

- MIR (родительский) ≥ MIR (childN)

© LearnMikroTik.ir 2013 89 © LearnMikroTik.ir 2013 90

15
01/08/2014

HTB - не более предела HTB Особенность - Первоочередная

• Работать только для ребенка очереди, чтобы организовать их

• 8 является самым низким приоритетом, 1 является самым высоким

• Очередь с более высоким приоритетом получит возможность

удовлетворить его максимальный предельный перед другими очередями

• Фактическая приоритезация трафика будет работать только тогда,

когда указаны пределы. Очередь без ограничений ничего не будет

уделять первостепенное внимание

© LearnMikroTik.ir 2013 91 © LearnMikroTik.ir 2013 92

HTB - предел, при Родителя HTB - предел-при> родителя макс-предел

© LearnMikroTik.ir 2013 93 © LearnMikroTik.ir 2013 94

Queue Tree

• Очередь дерево прямое осуществление HTB


• Каждая очередь в дереве очереди может быть назначена только в одной HTB

• Каждая очередь ребенок должен быть метка пакета, возложенные на него

Расширенные структуры очереди

ОЧЕРЕДЬ ДЕРЕВО

© LearnMikroTik.ir 2013 95 © LearnMikroTik.ir 2013 96

16
01/08/2014

Очередь Дерево и простые Очереди HTB Lab

• очередь Дерево в RouterOS v5 или более старых версиях могут быть размещены в 4 • Создание очереди дерева из примера
разных местах:
• Продлить MANGLE и дерево очередей конфигурации приоритеты ICMP
- Global-в ( «прямой» часть простых очередей размещаются здесь автоматически)
и HTTP трафика по всему другому трафику только для постоянных
- Глобальный выход ( «реверс» часть простых очередей размещается здесь автоматически) клиентов
- Заменить регулярную метку пакета клиента с определенными метками типа 3
- Global-всего ( «всего» часть простых очередей размещаются здесь автоматически)
трафика

- очередь интерфейса
- Создание 3 дочерних очередей для регулярной очереди клиента в дереве
очереди
• В RouterOS v6, может быть помещен в Глобальный или же очередь интерфейс
- Назначение пакетов меток в очереди
• В RouterOS v5 или более старые версии, если размещены в том же месте Simple очередь
будет принимать трафик перед очередью Tree • (Опционально) Создание же дерево очереди для загрузки клиента
• В RouterOS v6, если их поместить в том же месте Simple очередь будет принимать трафик
после очереди Tree

© LearnMikroTik.ir 2013 97 © LearnMikroTik.ir 2013 98

HTB Лаборатория (продолжение). Простой поток пакетов в RouterOS v6

• Потреблять всю доступную полосу пропускания трафика с

использованием тест (через маршрутизатор) и проверьте

время отклика пинг

• Установить наивысший приоритет ICMP

• Проверьте время отклика пинг

© LearnMikroTik.ir 2013 99 100

Средний размер ISP NAT Действие «NetMap»

• Может использоваться как в (srcnat и dstnat) цепей


• Позволяет создавать адреса диапазон диапазон адресов NATing
Ситуация: только с одним правилом
Ваша сеть стремительно растет, и теперь

предлагает общественный IP-адрес для клиентов


• Можно притвориться 192.168.88.0/24 к 88.188.32.0/24
только с одним правилом
Требования:
• Перенесите все старые клиенты от локального
• Можно перенаправить 88.188.32.0/24 на
адреса для общественности 192.168.88.0/24 со вторым правилом
• Увеличение производительности HTTP

просмотра

© LearnMikroTik.ir 2013 101 © LearnMikroTik.ir 2013 102

17
01/08/2014

Действие NAT «же» QoS Feature «Выброс»

• Может использоваться как в (srcnat и dstnat) цепей • Выброс является одним из лучших способов повышения

• Гарантирует, что клиент будет NAT'ed на тот же адрес из производительности HTTP

указанного диапазона каждый раз, когда он пытается общаться • Всплески используются, чтобы обеспечить более высокие скорости
с назначением, который был использован перед передачи данных в течение короткого периода времени

• Если Средняя скорость передачи данных меньше чем burstthreshold, взрыв


• Если клиент получил 88.188.32.104 из серии, когда она может быть использован (фактическая скорость передачи данных
доведена до конкретного сервера может достигать лопнуть предел)
- каждый следующий раз, когда связь с этим сервером будет • Средняя скорость передачи данных рассчитывается из последнего
использовать тот же адрес лопнуть время секунд

© LearnMikroTik.ir 2013 103 © LearnMikroTik.ir 2013 104

Выброс - средняя скорость передачи данных Выброс

• Средняя скорость передачи данных вычисляется следующим образом:

- лопнуть времени в настоящее время делится на 16 периодов

- Маршрутизатор вычисляет среднюю скорость передачи данных каждого класса над

этими небольшими периодами

• Обратите внимание, что фактический период разрыва не равен разрывное

время. Это может быть в несколько раз меньше, чем разрывное время в

зависимости от макс-предела, взрыв предел, взрыв порог, и текущей

скорость передачи данных истории (смотрите пример графика на

следующем слайде)

© LearnMikroTik.ir 2013 105 © LearnMikroTik.ir 2013 106

Выброс (Часть 2) Web-прокси

• Web-прокси имеют 3 функции мэра


- HTTP и FTP трафика кэширование

- фильтрация имя DNS

- перенаправление DNS

• Web-прокси имеет два режима работы


- Regular - браузер должен быть настроен на использование этого прокси

- Прозрачный - это прокси-сервер не отображается для клиентов правила


NAT должны быть применены

© LearnMikroTik.ir 2013 107 © LearnMikroTik.ir 2013 108

18
01/08/2014

Web-Proxy Caching Веб-прокси Параметры

• Нет кэширования • Максимальный-clientconnections:


- нет Max-кэш-размер = нет количество соединений
• Кэш в оперативной памяти принято
- нет Max-кэш размером ≠ ни от клиентов
- Кэш-на-диске = нет
• Максимальный-serverconnections:
• Кэш для HDD количество подключений,
- нет Max-кэш размером ≠ ни
сделанный сервер
- Кэш-на-диске = да

• Максимальный размер объекта кэша

• привод Cache

© LearnMikroTik.ir 2013 109 © LearnMikroTik.ir 2013 110

Веб-прокси Параметры Веб-прокси Статистика

• Сериализация-соединения: использовать только одно соединение для

прокси-сервера и сервера связи (если сервер поддерживает постоянное

соединение HTTP)

• Всегда-из-кэша: игнорировать клиент обновление

просит, если содержимое кэша считается свежим


- Max-пресноводное время: определяет, как долго объекты без явного
истечения срока будет считаться свежим

• Кэш-хит-DSCP: указать значение DSCP для всех пакетов,


полученных от веб-прокси кэша

© LearnMikroTik.ir 2013 111 © LearnMikroTik.ir 2013 112

Списки правил прокси Proxy Правила

• Web-прокси поддерживает 3 набор правил для фильтрации запросов • Это является


возможно в
запрос перехватывать HTTP на
HTTP
основе:
- Список доступа - диктует политику, разрешать ли конкретный
запрос HTTP или нет
• Информация о TCP / IP

- Список прямого доступа - список работает только если родительский


• URL
прокси указана - диктует политику, следует ли обойти родительский • метод HTTP
прокси-сервер для конкретного запроса HTTP или нет. • Доступ к списку также позволяет

- Список Cache - диктует политику, разрешать ли запрос конкретного перенаправить отклоненный запрос

HTTP кэшировать или нет на конкретную страницу

© LearnMikroTik.ir 2013 113 © LearnMikroTik.ir 2013 114

19
01/08/2014

Фильтрация URL-адресов Обычные выражения

http://www.mikrotik.com /docs/ros/2.9/graphics:packet_flow31.jpg • Поместите «:» в начале, чтобы включить режим регулярных


выражений
Заданный узел путь назначения
- «^» - показать, что никакие символы не допускаются до данного шаблона
• Специальные символы

- «*» - любое количество любых символов


- «$» - показать, что никакие символы не допускаются после данного шаблона

- «?» - любой символ


- «[....]» - Класс символов соответствует одному символу из всех
• www.mi? роти? .com возможностей, предоставляемых класс персонажа
• www.mikrotik *

• * MikroTik * - \ (Обратная косая черта), а затем с помощью любого из [\ ^ $ |. * + () Подавить свое


особое значение.

© LearnMikroTik.ir 2013 115 © LearnMikroTik.ir 2013 116

Web-Proxy Lab Следующие проблемы

• Учитель будет иметь прокси, который перенаправляет все запросы на

отдельном веб-странице на 10.1.1.254

• Включить прозрачный веб-прокси на маршрутизаторе с


Проблемы:
кэшированием в память
• Иногда вы получаете необычно большой трафик и

• Создание правил в списке доступа, чтобы проверить его функциональность пакет подсчитывает собирается корыто или к

маршрутизатору

• Создание правил в прямом списке доступа, чтобы проверить его • Некоторые из постоянных клиентов используют

маршрутизаторы для совместного подключения с


функциональность
соседями

• Создание правил в списке Cache, чтобы проверить его функциональность • Некоторые из постоянных клиентов используют HTTP порт

80 для зашифрованной p2p трафика

© LearnMikroTik.ir 2013 117 © LearnMikroTik.ir 2013 118

Типы сетевых вторжений Ping Flood

• Сеть вторжения являются серьезным риском для безопасности, что • пинг наводнение обычно

может привести не только к временному отказу, но и в полном отказе от состоит из объемов случайных

обслуживания сети сообщений ICMP

• Можно выделить 4 основных типов сетевых вторжений: • С «предельного» состояния можно

связанной скорости соответствует

правилу для заданного предела


- Пинг наводнения

- Порт сканирования
• Это условие часто используются с
- DOS атаки
действием «бревно»
- DDoS атака

© LearnMikroTik.ir 2013 119 © LearnMikroTik.ir 2013 120

20
01/08/2014

Типы сообщений ICMP ICMP сообщение Пример Правило

• Типичный маршрутизатор IP использует только пять типов сообщений

ICMP (тип кода)

- Для PING - сообщений 0: 0 и 8: 0


- Для TRACEROUTE - сообщения 11: 0 и 3: 3
- Для открытия Path MTU - сообщение 3: 4

• Другие типы сообщений ICMP должны быть заблокированы

© LearnMikroTik.ir 2013 121 © LearnMikroTik.ir 2013 122

ICMP Flood Lab сканирование портов

• Сделать новую цепь - ICMP • Сканирование портов является

- Принимать 5 необходимые сообщения ICMP последовательным TCP (UPD) порт зондирования

- Установлен Коэффициент соответствия 5 бода с 5 пакетами возможности пакетной • PSD (Порт сканирование

- Капля все остальные пакеты ICMP


обнаружение) возможно только
для протокола TCP
• Переместить все пакеты ICMP в ICMP цепочке
• Низкие порты
- Создайте действие « Прыжок »Правило в цепи ввода
• От 0 до 1023
- Поместите его соответствующим образом

- Создайте действие « Прыжок »Править в цепочке вперед • Высокие порты

- Поместите его соответствующим образом • От 1024 до 65535

© LearnMikroTik.ir 2013 123 © LearnMikroTik.ir 2013 124

PSD Lab DoS-атака

• Создать защиту PSD • Основной мишенью для атак DoS является потребление ресурсов, таких как

время процессора или пропускной способности, поэтому стандартные услуги


• Создание PSD правила падения в цепи вводе
получат отказ в обслуживании (DoS)
• Поместите его соответствующим образом
• Обычно маршрутизатор залита
является TCP / SYN
• Создание PSD правила падения в цепочке вперед
(Запрос на соединение) пакетов. Причинение ответа
• Поместите его соответствующим образом сервера с TCP / SYN-ACK пакет, и ожидания пакета TCP /
ACK.
• В основном DoS атакующие инфицированные вирусом клиенты

© LearnMikroTik.ir 2013 125 © LearnMikroTik.ir 2013 126

21
01/08/2014

Защита от DoS атаки Детектор атак DoS

• Все IP-адреса, с более чем 10 подключений к маршрутизатору следует


рассматривать как нападавший DoS
• С каждым упал соединение TCP мы разрешим злоумышленнику
создать новое соединение
• Мы должны осуществлять защиту DoS в 2 этапа:

• Обнаружение - Создание списка DoS нападавшие на основе соединения


предельного
• Подавление - применения ограничений к обнаруженным
злоумышленникам DoS

© LearnMikroTik.ir 2013 127 © LearnMikroTik.ir 2013 128

Атака DoS Подавление атаки DDoS

• Для того, чтобы остановить • Распределенная атака на


злоумышленника от создания новый сервис очень похож на
соединения, мы будем использовать DoS-атаки только это
действие «тарпиттинг»
происходит из
• Вы должны установить протокол = TCP несколько скомпрометированных
для правила тарпиттинга
систем
• Мы должны поместить это правило
• Единственное, что может
перед правилом обнаружения, либо
помочь опция «TCPSyn Cookie»
вводом адреса списка будет
в трассировщике
переписать все время
системы

© LearnMikroTik.ir 2013 129 © LearnMikroTik.ir 2013 130

Увечье Действие «изменение-ТТЛ» Изменение TTL

• TTL является пределом устройств layer3, что IP-пакет может испытать,

прежде чем она должна быть отброшена

• Значение TTL по умолчанию 64 и каждый маршрутизатор уменьшить

стоимость одной только перед пересылкой решения

• Маршрутизатор не будет передавать трафик к следующему

устройству, если он принимает пакет IP с TTL = 1

• Полезное применение: исключить возможность для клиентов,


чтобы создать сети выдавали себя

© LearnMikroTik.ir 2013 131 © LearnMikroTik.ir 2013 132

22
01/08/2014

Типы очередей 100% Формирователь

• RouterOS имеет 4 типа очереди:


- FIFO - First In First Out (для байтов или пакетов)
- RED - Random Early Detect (или падения)

- SFQ - Стохастический Queuing Корректность

- PCQ - Per Connection Queuing (MikroTik патентованных)

• Каждый тип очереди имеет 2 аспекта:

- Аспект планировщика
- Аспект Shaper

© LearnMikroTik.ir 2013 133 © LearnMikroTik.ir 2013 134

100% Планировщик Типы очередей по умолчанию

135 © LearnMikroTik.ir 2013 136

ФИФО Буфер FIFO (прод.)

Поведение:

То, что приходит в первом обрабатываются первым, что приходит в

ближайшем жду, пока первый не будет закончено. Количество

ожидающих блоков (пакетов или байтов) ограничено опцией «размер

очереди». Если очередь «полна» следующие единицы отбрасываются

MQ-pfifo является pfifo с поддержкой нескольких очередей передачи.

© LearnMikroTik.ir 2013 137 © LearnMikroTik.ir 2013 138

23
01/08/2014

© LearnMikroTik.ir 2013 139 © LearnMikroTik.ir 2013 140

RED
Поведение:

То же, что FIFO с функцией - дополнительное падение вероятности, даже

если очередь не заполнена.

Эта вероятность основывается на


сравнении средний
длина очереди в течение некоторого
периода времени до минимального и
максимального порога - ближе к
максимальному порогу больше шанса
падения.

© LearnMikroTik.ir 2013 141 © LearnMikroTik.ir 2013 142

SFQ
Поведение:

на основании хэш-значение из источника и


Адрес назначения SFQ делит трафик в 1024 подпотоков

затем Круглый Робин


Алгоритм будет распределять равное
количество трафика на каждом
суб-поток

© LearnMikroTik.ir 2013 143 © LearnMikroTik.ir 2013 144

24
01/08/2014

Пример SFQ PCQ


Поведение:
• SFQ следует использовать для выравнивания подобного На основе классификатора PCQ делит трафик на субпотоки. Каждый
соединения суб-поток может рассматриваться в качестве очереди FIFO с размером
• Обычно используется для управления информационными потоками очереди, указанной опцией «предел»
или с сервера, так что он может предложить услуги каждому клиенту

После этого PCQ можно


• Идеально подходит для ограничения p2p, можно поставить рассматривать как ФИФО

жесткое ограничение, не опуская связь. Очередь, где размер


очереди задается опцией
«totallimit».
© LearnMikroTik.ir 2013 145 © LearnMikroTik.ir 2013 146

© LearnMikroTik.ir 2013 147 © LearnMikroTik.ir 2013 148

Queue Type Lab

• Попробуйте все типы очередей на «Other-загрузка» очередь в дереве

очереди. Используйте тест-полоска шириной, чтобы проверить его.

• Настройте структуру QoS с надлежащим типом очереди

• Создать метку пакета для всех p2p трафика и создавать очереди


SFQ для него

• Изменение HTTP типа очереди на PCQ

© LearnMikroTik.ir 2013 149 © LearnMikroTik.ir 2013 150

25
01/08/2014

Packet Sniffer NTH

• Пакет перехватчик является инструментом, который может • Матчи каждый п-й пакет
захватывать и анализировать пакеты, которые собираются, в • Она имеет только два параметра «каждый» и «пакет».
результате чего происходит или через маршрутизатор

• Пакет перехватчик может сохранить результат в памяти • Каждое правило имеет свой собственный счетчик. Когда правило
маршрутизатора, в файл или отправить понюхали пакеты потокового принимает счетчик пакетов для текущего правила увеличивается на
сервера единицу.

• Фильтр может быть использован для сдерживания пакетов • Если счетчик соответствует значению «каждый» пакет будет

соответствовать и счетчику будет установлен в ноль.

© LearnMikroTik.ir 2013 151 © LearnMikroTik.ir 2013 152

За классификатором подключения

• PCC согласовань позволяет разделить трафик на равные потоки с

возможностью сохранять пакеты с определенным набором опций в

одном конкретном потоке.

• PCC вводится для решения проблем конфигурации с


балансировкой нагрузки в течение нескольких шлюзов с
маскарадом

© LearnMikroTik.ir 2013 153

26

Оценить