Post on 05-Feb-2018
Novas implementações do MikroTik RouterOS para 2017Por Leonardo Rosa, BRAUSER, Brasil
Apresentação
Leonardo Rosa
Cursou Análise de Sistemas na Universidade Católica de Salvador e Gestão em TI na Faculdade Área1, também em Salvador. Consultor em Internetworking desde 2006, Instrutor Oficial MikroTik desde 2012. Tem experiência com FreeBSD, Linux, Cisco e MikroTik RouterOS.
Atualmente ministra treinamentos em todas as certificações MikroTik.
MTCNA, MTCRE, MTCWE, MTCTCE, MTCUME, MTCIPv6E, MTCINE.
Sumário
1. “Spanning Tree” nas routerboard CRS
2. Novo time range em Firewall e Simple Queue
3. Firewall RAW
4. Pool para IPs dinâmicos
5. Traffic shape para interfaces
6. IPv6 (planejamento de prefixos)
“Spanning Tree” nas routerboard CRS
Lançado na versão 6.37
Previne loop de camada 2
Disponível para interfaces ethernet, vlan e eoip(v6)
Funciona para interfaces em bridge e em switch
Mais info em http://wiki.mikrotik.com/wiki/Manual:Loop_Protect
Loop Protect
Independente do STP ignora topologia
Habilitado para cada interface separadamente
Envia pacotes simples de hello que validam MAC address da interface de origem do pacote com o MAC da interface que o recebeu
Mais info em http://wiki.mikrotik.com/wiki/Manual:Loop_Protect
Loop Protect
LOOP PROTECT (SETUP)
/interface ethernet set #
loop-protect=on (default=off)
loop-protect-disable-time=5m (tempo interface
desativada)
loop-protect-send-interval=5s (intervalo entre
hellos)
Novo time range em Firewall e Simple Queue
NOVO TIME RANGE (SETUP) versão 6.37.1+
ANTES
DEPOIS
IP Firewall RAW
IP Firewall RAW
Permite tráfegos bypassarem o Connection Tracking economizando significativamente em CPU.
Especialmente útil para mitigar ataques DoS
A tabela RAW não contém qualquer critério que dependa do Connection Tracking como connection-state, layer7 etc.
IP FIREWALL RAW (EXEMPLOS)
1. Proteger o OSPF contra o NAT/ip firewall raw
add action=notrack protocol=ospf chain=prerouting
add action=notrack protocol=ospf chain=output
2. Desativar o Firewall para clientes
corporativos/específicos/ip firewall raw
add action=notrack src-address-list=FW-OFF
chain=prerouting
add action=notrack dst-address-list=FW-OFF
chain=prerouting
Pool para IPs dinâmicos
Pool para IPs dinâmicos
Problema
A implementação de pool de IPs da MikroTik procura
manter o mesmo IP para cada cliente, limitando em
muito a variação de IPs para os clientes, mesmo
após várias reconexões.
Pool para IPs dinâmicos
Solução
No PPPoE é possível dinamizar o uso dos IPs a cada
autenticação, bastando definir outro pool (de
preferência privado) em local-address-pool.
POOL PARA IPS DINÂMICOS (SETUP)
1. Criando novo pool privado/ip pool
add name=pool-dinamico ranges=100.64.0.0/10
2. Atribuindo o novo pool em Profile/ppp profile
set local-address=pool-dinamico
Traffic shape para interfaces
Traffic shape para interfaces
Problema
Nem sempre é possível limitar a banda de uma
interface ethernet nas configurações nativas da
interface. Em alguns casos, a depender do modelo
da RouterBOARD, não temos sequer a opção nativa,
como nas CCR.
Como fazer isso com baixíssimo custo em CPU?
Traffic shape para interfaces
Solução
Muitos sabem que o PCQ possui algoritmo
proprietário de sub-filas e enfileiramento muito
eficiente. O que poucos sabem é que ele pode ser
ainda mais eficiente sem as sub-filas, ou seja, como
fila única.
TRAFFIC SHAPE PARA INTERFACES (SETUP)
1. Criando o novo PCQ (2 giga)/queue type
add kind=pcq name=2Giga pcq-rate=2G \
pcq-limit=10000KiB pcq-total-limit=2000000KiB
2. Atribuindo o novo PCQ em uma Ethernet /queue interface set sfp-sfpplus8 queue=2Giga
TRAFFIC SHAPE PARA INTERFACES (SETUP)
IPv6 Planejamento de prefixos
IPv6 Planejamento de prefixos
NÃO PERCA EM NOSSO MINI-CURSO!!!
Entenda o IPv6 e encante-se por sua beleza =)
Aprenda a planejar e documentar os prefixos
através de ferramentas simples do dia-a-dia.
IPv6 desde o BGP ao cliente PPPoE.
Leonardo Rosaleonardo@brauser.com.brwww.brauser.com.br
19 | 98166 1728 [] TIM 19 | 97110 8523 [] Vivo 19 | 3090 3600 [] Fixo
MuitoObrigado!