Novas implementações do MikroTik RouterOS para 2017 Por Leonardo Rosa, BRAUSER, Brasil
MTCNA, MTCRE, MTCWE, MTCTCE, MTCUME, MTCIPv6E, MTCINE. Apresentação Leonardo Rosa Cursou Análise de Sistemas na Universidade Católica de Salvador e Gestão em TI na Faculdade Área1, também em Salvador. Consultor em Internetworking desde 2006, Instrutor Oficial MikroTik desde 2012. Tem experiência com FreeBSD, Linux, Cisco e MikroTik RouterOS. Atualmente ministra treinamentos em todas as certificações MikroTik.
Sumário 1. Spanning Tree nas routerboard CRS 2. Novo time range em Firewall e Simple Queue 3. Firewall RAW 4. Pool para IPs dinâmicos 5. Traffic shape para interfaces 6. IPv6 (planejamento de prefixos)
Spanning Tree nas routerboard CRS
Loop Protect Lançado na versão 6.37 Previne loop de camada 2 Disponível para interfaces ethernet, vlan e eoip(v6) Funciona para interfaces em bridge e em switch Mais info em http://wiki.mikrotik.com/wiki/manual:loop_protect
Loop Protect Independente do STP ignora topologia Habilitado para cada interface separadamente Envia pacotes simples de hello que validam MAC address da interface de origem do pacote com o MAC da interface que o recebeu Mais info em http://wiki.mikrotik.com/wiki/manual:loop_protect
LOOP PROTECT (SETUP) /interface ethernet set # loop-protect=on loop-protect-disable-time=5m desativada) loop-protect-send-interval=5s hellos) (default=off) (tempo interface (intervalo entre
Novo time range em Firewall e Simple Queue
NOVO TIME RANGE (SETUP) versão 6.37.1+ ANTES DEPOIS
IP Firewall RAW
IP Firewall RAW Permite tráfegos bypassarem o Connection Tracking economizando significativamente em CPU. Especialmente útil para mitigar ataques DoS A tabela RAW não contém qualquer critério que dependa do Connection Tracking como connection-state, layer7 etc.
IP FIREWALL RAW (EXEMPLOS) 1. Proteger o OSPF contra o NAT /ip firewall raw add action=notrack protocol=ospf chain=prerouting add action=notrack protocol=ospf chain=output 2. Desativar o Firewall para clientes corporativos/específicos /ip firewall raw add action=notrack src-address-list=fw-off chain=prerouting add action=notrack dst-address-list=fw-off chain=prerouting
Pool para IPs dinâmicos
Pool para IPs dinâmicos Problema A implementação de pool de IPs da MikroTik procura manter o mesmo IP para cada cliente, limitando em muito a variação de IPs para os clientes, mesmo após várias reconexões.
Pool para IPs dinâmicos Solução No PPPoE é possível dinamizar o uso dos IPs a cada autenticação, bastando definir outro pool (de preferência privado) em local-address-pool.
POOL PARA IPS DINÂMICOS (SETUP) 1. Criando novo pool privado /ip pool add name=pool-dinamico ranges=100.64.0.0/10 2. Atribuindo o novo pool em Profile /ppp profile set local-address=pool-dinamico
Traffic shape para interfaces
Traffic shape para interfaces Problema Nem sempre é possível limitar a banda de uma interface ethernet nas configurações nativas da interface. Em alguns casos, a depender do modelo da RouterBOARD, não temos sequer a opção nativa, como nas CCR. Como fazer isso com baixíssimo custo em CPU?
Traffic shape para interfaces Solução Muitos sabem que o PCQ possui algoritmo proprietário de sub-filas e enfileiramento muito eficiente. O que poucos sabem é que ele pode ser ainda mais eficiente sem as sub-filas, ou seja, como fila única.
TRAFFIC SHAPE PARA INTERFACES (SETUP) 1. Criando o novo PCQ (2 giga) /queue type add kind=pcq name=2giga pcq-rate=2g \ pcq-limit=10000kib pcq-total-limit=2000000kib 2. Atribuindo o novo PCQ em uma Ethernet /queue interface set sfp-sfpplus8 queue=2giga
TRAFFIC SHAPE PARA INTERFACES (SETUP)
IPv6 Planejamento de prefixos
IPv6 Planejamento de prefixos NÃO PERCA EM NOSSO MINI-CURSO!!! Entenda o IPv6 e encante-se por sua beleza =) Aprenda a planejar e documentar os prefixos através de ferramentas simples do dia-a-dia. IPv6 desde o BGP ao cliente PPPoE.
Muito Obrigado! Leonardo Rosa leonardo@brauser.com.br www.brauser.com.br 19 98166 1728 [] TIM 19 97110 8523 [] Vivo 19 3090 3600 [] Fixo