Академический Документы
Профессиональный Документы
Культура Документы
(MTCNA)
19 августа, 2022
Киев, Украина
mikrotik.com/training/about
6 +38 097 364 96 43
Программа MTCNA
• Модуль 1: Введение
• Модуль 2: DHCP
• Модуль 3: Bridging
• Модуль 4: Routing
• Модуль 5: Wireless
• Модуль 6: Firewall
Модуль 1
Введение
Wireless
AP класса
Ваш РС Ваш роутер
192.168.88.1
AP класса
Ваш РС Ваш роутер
192.168.88.1
34 +38 097 364 96 43
Роутер - Internet
• Для подключения к AP необходимо:
• Удалить wireless interface из интерфейса Bridge (это
настройки конфигурации по умолчанию)
• Настроить DHCP client на беспроводном интерфейсе
Удалите
WiFi
interface
из bridge
Bridge → Ports
Настройте
DHCP client
на WiFi-
интерфейсе
IP → DHCP Client
Укажите название
Profile (Class) и
Pre-Shared Keys
Установите Mode
в ‘station', SSID в
'ClassAP' и
Security Profile в
'class'
Wireless → Interfaces
Настройте
masquerade
на
интерфейсе
WiFi
IP → Firewall → NAT
Long-term
Stable
Testing
• Перезагрузите роутер
System → Packages
Пакет Функционал
gps GPS device support
ntp Network Time Protocol server
ups APC UPS management support
user-manager MikroTik User Manager for managing HotSpot users
System → Routerboard
System → Identity
System → Users
IP → Services
69 +38 097 364 96 43
Сервисы RouterOS
• Откройте RouterOS web-интерфейс -
http://192.168.88.1
• Доступно на www.mikrotik.com/download
System → License
1 Free Demo
P1 1Gbit 45 US$
mikrotik.com/client
92 +38 097 364 96 43
Лицензия CHR
mikrotik.com/client/cloudhosting
93 +38 097 364 96 43
Лицензия CHR
mikrotik.com/client/cloudhosting
94 +38 097 364 96 43
Лицензия CHR
mikrotik.com/client/cloudhosting
95 +38 097 364 96 43
Лицензия CHR
• Лицензия CHR привязывается к эккаунту
• Лицензия CHR предназначена для одного CHR в
один момент времени
• Можно переносить лицензию на другой CHR
• Лицензионные ключи L4/L5/L6 можно использовать
для CHR L4=P1, L5=P10, L6=P-Unlimited
Модуль 2
DHCP
IP → DHCP Client
103
IP → DNS → Static
+38 097 364 96 43
DHCP Server
• Автоматически предоставляет IP-конфигурацию хостам,
по DHCP запросу
• Один IP адрес на роутере необходимо установить на
интерфейсе, на котором будет DHCP-server
• Для установки DHCP Server’а воспользуйтесь командой
DHCP Setup.
Удалите
DHCP Server
Удалите
DHCP Network
IP → DHCP Server
Удалите
IP Pool
IP → Pool
Удалите
IP Address
IP → Address
Добавьте IP
адрес
192.168.XY.1/24
на интерфейсе
bridge
• Например, XY=199
3 4
5 6
IP → DHCP Server → DHCP Setup
Конвертация динамической
аренды в статическую
IP → ARP
117 +38 097 364 96 43
Статическая ARP
• Для повышения безопасности , записи в таблицу ARP
можно добавлять вручную
• Сетевой интерфейс конфигурируется в режим reply-only
для работы только с известными ARP записями
• Клиенты маршрутизатора не смогут получить доступ в
Интернет с другого IP-адреса
Статическия
запись ARP
IP → ARP
119 +38 097 364 96 43
Static ARP
Интерфейс
будет отвечать
только
известным
записям ARP
Interfaces → bridge-local
IP → DHCP Server
Модуль 3
Bridging
Wireless → wlan1
Выключите
DHCP Server
IP → DHCP Server
135 +38 097 364 96 43
Bridge
Добавьте wireless
interface в bridge
Bridge → Ports
Модуль 4
Routing (маршрутизация)
IP → Routes
IP → Routes
143 +38 097 364 96 43
Новый статические маршрут
IP → Routes
IP → Addresses
IP → Routes
151 +38 097 364 96 43
Флаги маршрутов
• A - active
• C - connect
• D - dynamic IP → Routes
• S – static
• o – OSPF
• b – BGP
РС В Роутер соседа В
• Плохо масштабируется
Модуль 5
Wireless
802.11a 20MHz
20MHz
802.11n
40MHz
20MHz
40MHz
802.11ac
80MHz
160MHz
Wireless
168 +38 097 364 96 43
Radio Name
• Это «имя» беспроводного интерфейса
• Идентификация WiFi модуля только для RouterOS-
RouterOS
• RadioName указывается таблице Wireless
Wireless → Registration
• Например: 13_Vadim
Wireless → Tx Power
Беспроводные клиенты
176 +38 097 364 96 43
Беспроводные клиенты
(Wireless Station)
Wireless → Snooper
196 +38 097 364 96 43
Таблица регистрации
(Registration Table)
• Просмотр всех соединений на wireless интерфейсе
• Либо соединения нашего роутера как клиента к другой АР
Wireless → Registration
Основано на настройках
+
access/connect list
✕
- Не Аутентифицировать
Модуль 6
Firewall
output
input
forward
208 +38 097 364 96 43
Filter Actions
В случае выполнения условия в фильтре, с пакетом должно
произойти какой-то действие. Основные действия:
• Accept (принять пакет и перейти на следующий уровень
PacketFlow)
• drop или reject – откинуть пакет и возможно отправить ICMP
сообщение
• jump/return к/из цепочки определённой пользователем
• Более детально о других «action»- firewall wiki page
209 +38 097 364 96 43
Filter действия
IP → Firewall
• TIP: для улучшения читаемости правил firewall упорядочивайте
их последовательно по цепочке и добавляйте комментарии
input
• Подключитесь к роутеру
Публичный
хост
Сервер в частной
сети
Публичный
хост
Web сервер
192.168.1.1
192.168.199.200
Публичный сервер
Invalid Established
New Related
IP → Firewall → Connections
360Mbps 890Mbps
Добавляем
add chain=srcnat src-address= 192.168.88.229
dst-address= 192.168.88.0/24 action=masquerade
Добавляем
Модуль 7
QoS
Указываем
клиента
Указываем Max
Limit для клиента
• Отключите правило
Firewall FastTrack чтоб Queues → New Simple Queue(+)
Simple Queue заработало
258 +38 097 364 96 43
Простые очереди
(Simple Queue)
• Установите ограничение скорости для вашего РС (192.168.XY.200)
• Установите скорость выгрузки 512k, скорость загрузки 768k
• Откройте www.mikrotik.com/download и загрузите текущую
версию RouterOS.
• Обратите внимание на скорость загрузки
Установите Target -
любой
Установите Dst.
Адрес сервера
Установите
limit at
Queues
Гарантированная Актуальная
полоса полоса
Установите
burst, порог и
время
WAN
interface
LAN
interface
Queues → Interface Queues
275 +38 097 364 96 43
Пример PCQ
• Все клиенты, подключенные к интерфейсу LAN, будут
иметь ограничения загрузки и скачивания 1Mbps
Tools → Torch
276 +38 097 364 96 43
Пример PCQ
• Тренер создаёт две очереди pcq с ограничением всех
клиентов (маршрутизаторы студентов) для загрузки и
скачивания на 512Kbps
• Попробуйте загрузить последнюю версию RouterOS с
сайта www.mikrotik.com и понаблюдайте за скоростью
загрузки с помощью инструмента torch.
Наблюдайте
траффик
Tools → Torch
278 +38 097 364 96 43
Certified Network Associate
(MTCNA)
Модуль 8
Tunnels
Укажите
интерфейс,
service,
username и
password
Установите имя
пула и адресное
пространство
Укажите
локальный и
удалённый
адрес тунеля
Предлагается
использовать
шифрование
Установите
username,
password и profile.
Укажите сервис,
если необходимо
Установите
service name,
interface, profile и
протоколы
аутентификации
• Информация о
текущих активных
пользователях PPP
Tunnel
Установите
name, IP-
адрес PPTP
сервера,
username и
password
Установите name,
IP-адрес SSTP
сервера,
username и
password
Модуль 9
Misc
Tools → Netwatch
319 +38 097 364 96 43
Ping
• Используется для проверки
доступности хоста в IP-сети
• Измеряет время приема-передачи
сообщений между исходным и
конечным узлами
• Отправляет пакеты эхо-запроса ICMP
Tools → Ping
Tools → Traceroute
Interfaces → +38
wlan1 → Traffic
097 364 96 43
324
Torch
• Инструмент мониторинга в реальном времени
Tools → Torch
• Поток трафика с ноутбука на HTTPS-порт
веб-сервера MikroTik.
326 +38 097 364 96 43
Graphs
• RouterOS может генерировать графики, показывающие,
сколько трафика прошло через интерфейс или очередь.
• Может показывать загрузку ЦП, памяти и диска
• Для каждой метрики есть 4 графика - дневной,
недельный, ежемесячный и годовой.
• Указывает среднее время загрузки за определённый
период
Tools → Graphing
• Доступен на роутере :
http://router_ip/graphs
Tools → SNMP
Scheduler
• Инструмент для запуска
определенных команд, циклически
повторяющихся или одноразовых
команд.
mikrotik.com/training/about
344 +38 097 364 96 43
Экзамен
• При необходимости сбросьте конфигурацию маршрутизатора и восстановите из
резервной копии
• Убедитесь, что у вас есть доступ к обучающему порталу mikrotik.com
• Войдите в свою учетную запись
• Проверить имя в настройках аккаунта
• Выберите my training sessions
• Удачи!