Transcript Uvod

Úvod
•Kouření
•Toalety
•Přestávky
•Telefony
•Jídlo
Krátký popis systému Mikrotik
• Mikrotik RouterOS je routovací
operační systém, který umožnuje
použít obyčejné PC Jako výkonný
směrovač.
Instalace
•
•
•
•
•
Z CD
Z disket
Flash
Upgrade
Přes LAN
Licencování systému Mikrotik
6
(Controll
er 3Y)
0 (FREE)
1 (DEMO)
3 (WISP CPE)
4 (WISP)
5 (WISP
3Y)
Upgrade time
-
-
1 year. Level can't be
upgraded!
1 year
3 years
3 years
Initial Config Support
-
-
-
15 days
30 days
30 days
Wireless AP
24h limit
-
-
yes
yes
yes
Wireless Client and
Bridge
24h limit
-
yes
yes
yes
yes
yes
yes
(2.10 = no)
(2.10 = no)
yes
yes
unlimited
unlimited
unlimited
Level number
Features
RIP, OSPF, BGP
protocols
24h limit
-
unlimited
EoIP tunnels
24h limit
1
(2.10 = 1)
200
PPPoE tunnels
24h limit
1
(2.10 = 1)
200
500
unlimited
Licencování systému Mikrotik
Level number
0 (FREE)
1 (DEMO)
3 (WISP CPE)
5 (WISP
3Y)
6
(Controll
er 3Y)
200
unlimited
unlimited
200
unlimited
unlimited
unlimited
unlimited
unlimited
4 (WISP)
Features
200
PPTP tunnels
24h limit
1
(2.10 = 1)
200
L2TP tunnels
24h limit
1
(2.10 = 1)
unlimited
VLAN interfaces
24h limit
1
(2.10 = 1)
unlimited
P2P firewall rules
24h limit
1
(2.10 = 1)
unlimited
unlimited
unlimited
NAT rules
24h limit
1
unlimited
unlimited
unlimited
unlimited
HotSpot active users
24h limit
1
RADIUS client
24h limit
Queues
24h limit
Web proxy
24h limit
Synchronous interfaces
24h limit
User manager active
sessions
24h limit
-
1
200
500
unlimited
yes
yes
yes
yes
unlimited
unlimited
unlimited
unlimited
-
yes
yes
yes
yes
-
-
yes
yes
yes
1
1
10
10
10
Unlimited
Stručný přehled funkcí Mikrotiku
• Firewall and NAT - stateful packet filtering;
Peer-to-Peer protocol filtering; source and
destination NAT; classification by source MAC,
IP addresses (networks or a list of networks) and
address types, port range, IP protocols, protocol
options (ICMP type, TCP flags,), interfaces,
internal packet and connection marks, ToS
(Differentiated Services Code Point ) byte, content,
matching sequence/frequency, packet size, time
and more...
Stručný přehled funkcí Mikrotiku
• Routing - Static routing; Equal cost multi-path
routing; Policy based routing (classification done
in firewall); RIP v1 / v2, OSPF v2, BGP v4
Stručný přehled funkcí Mikrotiku
• Data Rate Management - Hierarchical HTB
QoS system with bursts; per IP / protocol /
subnet / port / firewall mark; PCQ, RED, SFQ,
FIFO queue; CIR, MIR, contention ratios,
dynamic client rate equalizing (PCQ), bursts,
Peer-to-Peer protocol limitation
Stručný přehled funkcí Mikrotiku
• HotSpot - HotSpot Gateway with RADIUS
authentication and accounting; true Plug-andPlay access for network users; data rate
limitation; differentiated firewall; traffic quota;
real-time status information; walled-garden;
customized HTML login pages; iPass support;
SSL secure authentication; advertisement
support
Stručný přehled funkcí Mikrotiku
• Point-to-Point tunneling protocols - PPTP,
PPPoE and L2TP Access Concentrators and
clients; PAP, CHAP, MSCHAPv1 and
MSCHAPv2 authentication protocols; RADIUS
authentication and accounting; MPPE
encryption; compression for PPPoE; data rate
limitation; differentiated firewall; PPPoE dial on
demand
Stručný přehled funkcí Mikrotiku
• Simple tunnels - IPIP tunnels, EoIP (Ethernet
over IP)
Stručný přehled funkcí Mikrotiku
• IPsec - IP security AH and ESP protocols;
MODP Diffie-Hellman groups 1,2,5; MD5 and
SHA1 hashing algorithms; DES, 3DES, AES128, AES-192, AES-256 encryption algorithms;
Perfect Forwarding Secrecy (PFS) MODP
groups 1,2,5
Stručný přehled funkcí Mikrotiku
• Proxy - FTP and HTTP caching proxy server;
HTTPS proxy; transparent DNS and HTTP
proxying; SOCKS protocol support; DNS static
entries; support for caching on a separate drive;
access control lists; caching lists; parent proxy
support
Stručný přehled funkcí Mikrotiku
• DHCP - DHCP server per interface; DHCP relay;
DHCP client; multiple DHCP networks; static and
dynamic DHCP leases; RADIUS support
• VRRP - VRRP protocol for high availability
• UPnP - Universal Plug-and-Play support
• NTP - Network Time Protocol server and client;
synchronization with GPS system
Stručný přehled funkcí Mikrotiku
• Monitoring/Accounting - IP traffic accounting,
firewall actions logging, statistics graphs
accessible via HTTP
• SNMP - read-only access
• M3P - MikroTik Packet Packer Protocol for
Wireless links and Ethernet
• MNDP - MikroTik Neighbor Discovery Protocol;
also supports Cisco Discovery Protocol (CDP)
• Tools - ping; traceroute; bandwidth test; ping
flood; telnet; SSH; packet sniffer; Dynamic DNS
update tool
Úvod do TCP IP
pojmy
Úvod do TCP IP - pojmy
• IP address
• 10.10.10.10
• 00001010. 00001010. 00001010. 00001010
• IP MASK
• 255.255.255.0
• /24
• 11111111.11111111.11111111.00000000
• Gateway
Úvod do TCP IP - pojmy
• Zjednodušené vrstvy
– Network (Radio, serial lines, LAN)
– Internet (IP,ARP,IGMP,ICMP)
– Transport (TCP, UDP)
– Apliccation (socket , net BIOS windows)
Základní typy protokolů
• ARP
• IP address resolution
• ICMP
• Reports control messages and errors
• TCP
• Transmits data between two hosts
• IP
• Adresses and routes packets
• UDP
• Transmit small amounts data
ARP
• Address resolution protocol
– Struktura paketu
•
•
•
•
•
•
•
•
•
Hardware type
Protocol type 0800
Hardware address length
Protocol address length
Operation
Sender hardware address
Sender IP address
Target hardware address
Target IP address
ICMP
• Internet Control Message protocol
– Struktura paketu
•
•
•
•
Type (echo request, reply)
Code
Checksum
Type-specific DATA
– ICMP je definováno RFC792
TCP
• Transmission control protocol
– Struktura paketu
•
•
•
•
•
•
•
•
•
•
TCP Source port
TCP Destination port
Sequence number
Acknowledgment number
Data lenght
Reserved
Flags
Window
Checksum
Urgent pointer
IP
• Internet protocol
– Struktura protokolu
•
•
•
•
•
•
•
•
•
•
•
•
•
Version
Header lenght
Type of service
Total lenght
Identifier
Flags
Fragment offset
Time to live
Protocol
Header checksum
Source address
Destination address
Options
UDP
• User datagram protocol
– Struktura paketu
•
•
•
•
UDP source port
UDP destination port
Message Lenght
Checksum
IP Adresace
• Veřejné rozsahy Adres
• Neveřejné rozsahy adres
– Privátní
• 10.0.0.0 - 10.255.255.255
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 - 192.168.255.255
– APIPA
• 169.254.0.0 – 169.254.255.255
Resolving Local IP address – ARP
1.
2.
3.
4.
ARP Cache ->
ARP Broadcast ->
Prohledá ARP Cache – protistrana
Vrátí Hardwarovou adresu <Cache
Cache
3
1
2
4
Subnet Mask
• Specifikuje místní a vzdálené sítě
– Sítě A – 255.0.0.0
– Sítě B – 255.255.0.0
– Sítě C – 255.255.255.0
Určení cílové sítě paketu
• Adresa 10011111 11100000 00000111 10000001
• Maska 11111111 11111111 00000000 00000000
• Výsl. 10011111 11100000 00000000 00000000
• Jestliže souhlasí pro zdrojovou i cílovou adresu,
řeší se místně, jinak se posílá na Gateway
• AND
»
»
»
»
1*1 = 1
1*0 = 0
0*1 = 0
0*0 = 0
Subnetting
Počet bitů
Maska
hosti
24
255.255.255.0
254
16
255.255.0.0
65534
30
255.255.255.252
2
29
255.255.255.248
6
28
255.255.255.240
14
IPCALC
Routing
• Routovací tabulka
– Určuje přes kterou gateway bude poslán
paket
– Určuje defaultní gateway
– Určuje váhu – Distance
– Může kontrolovat funkčnost gatewaye
Routing
172.27.1.254
172.27.2.254
S:172.27.1.1
D:172.27.2.1
172.27.2.1/24
GW 172.27.2.254
172.27.1.1/24
GW 172.27.1.254
Masquerade
172.27.1.254
172.27.2.254
S:172.27.2.254
D:172.27.2.1
172.27.2.1/24
GW ..
172.27.1.1/24
GW 172.27.1.254
Packet Flow
Úvod do Síťování
• Switchované sítě
– Jsou jednoduché
– Broadcast storm
– Snadno napadnutelné
• Routované sítě
– Náročnější správa
– Jednoduše řešitelné záložní linky
– Lepší omezení rychlosti vzájemné
komunikace
Úvod do Síťování
• Návrh topologie jednoduché routované
sítě pro několik set klientů
– Gateway do internetu
– Queue
– několik AP
– „páteřní“ propojky
Návrh topologie jednoduché sítě
Klienti
Omezení rychlosti
Brána
Přípojné body
„páteřní propojka“
Návrh jednoduché sítě .4.250
Queue
172.27.3.254
172.27.1.254
172.27.2.254
klient
.1.250
192.168.0.254
172.27.4.254
.2.250
172.27.5.254
172.27.0.250
AP
Brána
172.27.6.254
.3.250
172.27.7.254
172.27.0.254/24
GW 172.27.0.254
IP 192.168.0.1
MASK 255.255.255.0
GW 192.168.0.254
Návrh jednoduché sítě - Brána
• Brána
– Masquerading
– Kratky popis firewallu
– Blacklist
Začínáme s routerboardem
• Vybalení
• Nastavení Voltů a POE
• První přihlášení
Ovládání
•
•
•
•
•
•
Telnetem
Přes seriový kabel
Přímo Klávesnice/Monitor
Přes SSH
Program Winbox
Grafickým rozhraním
Návrh jednoduché sítě - Brána
• Nastavení Obecně
– Popis Mikrotiku
– Popis rozhraní
– Pridelení IP
– NAT/Firewall
– Routovací tabulka
Návrh jednoduché sítě - Brána
• Nastavení Brány
– Routovací tabulka
• 0.0.0.0/0 – 192.168.0.254
• 172.27.0.0/16 – 172.27.1.250
– NAT
• 172.27.0.0/16 - Masquerade
Návrh jednoduché sítě - Queue
• Queue
– pfifo
– bfifo
– red
– sfq
– pcq
Návrh jednoduché sítě - Queue
• Jednoduché nastavení rychlosti
Návrh jednoduché sítě - Queue
• Nastavení Queue
– Routovací tabulka
•
•
•
•
•
0.0.0.0/0 – 172.27.1.254
172.27.4.0/24 – 172.27.2.250
172.27.5.0/24 – 172.27.2.250
172.27.6.0/24 – 172.27.3.250
172.27.7.0/24 – 172.27.3.250
• Omezování rychlosti v další kapitole
Návrh jednoduché sítě - AP
• Nastavení Radiového rozhraní
– Režimy rozhraní
– Nstreme
– Scan
– Sniff
– Diagnostika
Návrh jednoduché sítě
• Autentizace
– na MAC adresy
– IPSec
– PPTP
Návrh jednoduché sítě - AP
• Nastavení
– Routovací tabulka
• 0.0.0.0/0 – 172.27.2.254
• (0.0.0.0/0 – 172.27.3.254)
Návrh jednoduché sítě - Klient
•
Nastavení
– Routovací tabulka
•
0.0.0.0/0 – 172.27.4.254
– Masquerade
•
192.168.0.0/24
Návrh jednoduché sítě - Routování
Queue
.4.250
172.27.3.254
172.27.1.254
172.27.2.254
klient
.1.250
192.168.0.254
172.27.4.254
.2.250
172.27.5.254
172.27.0.250
AP
Brána
172.27.6.254
.3.250
172.27.7.254
172.27.0.254/24
GW 172.27.0.254
IP 192.168.0.1
MASK 255.255.255.0
GW 192.168.0.254
Nástroje Mikrotiku
•
•
•
•
•
•
•
Ping
Traceroute
Bandwitch test
Packet Sniffer
Torch
Ping Speed
Netwatch
System
•
•
•
•
•
•
•
•
Identity
Clock
Resources
License
Packages
Upgrade
Logging
History
•
•
•
•
•
•
•
•
Scripts
Scheduler
Serial Console
Watchdog
Reboot
Shutdown
NTP Client
NTP Server
Návrh jednoduché sítě - Routing
• Nastavení rychlosti - ukázka
Návrh jednoduché sítě
• Rozpočet řešení
• Ceny konektivity
Návrh jednoduché sítě
• Za jak dlouho přeneseme 100M dat ?
Návrh jednoduché sítě
• Dotazy
• Diskuze
• Soutěž o ceny
Konec
• Dotazy ?
• Kontakt [email protected]
• www.mikrotik.cz/skoleni