MTCNA

www.certificate.
ec
MikroTik Certified Network Associate

(MTCNA)
Entrenador
Ing. Tel. Anbal Enrquez Moncayo
Entrenador Mikrotik Y Ubiquiti
ww.certificate.ec
Agenda
Entrenamiento diario: 8AM - 5PM
1 hora de almuerzo: 12:30PM
www.certificate.ec
Objetivo del Curso
Vista general del RouterOS software y
capacidades del RouterBoard Hardware

Tener una formacin prctica en
configuraciones del router MikroTik,
mantenimiento y resolucin de
problemas bsicos.
www.certificate.ec
Sobre MikroTik
Fabricante de software y hardware para

ruteadores
Productos usados por ISPs, compaias e
integradores
Hacer las tecnologas del Internet mas rpidas,
potentes y asequibles para una gama ms amplia
de usuarios
www.certificate.ec
Historia de MikroTik
1995: Establecida
1997: RouterOS software para x86 (PC)
2002: RouterBOARD
2006: Primer MUM
www.certificate.ec
De donde es MikroTik?
www.mikrotik.com
www.routerboard.com
Riga, Latvia, Northern Europe,
EU
www.certificate.ec
De donde es MikroTik ?
www.certificate.ec
Presentacin
Su nombre
Su compaia
Su conocimiento previo sobre RouterOS (?)
Su conocimiento previo sobre redes (?)
Cual es su espectativa sobre el curso (?)
Por favor, recuerde su numero de clase XY. _____
www.certificate.ec
MikroTik RouterOS
www.certificate.ec
Que es RouterOS ?
RouterOS es un Sistema Operativo que

har que su dispositivo llegue a ser:
un ruteador dedicado
un controlador de ancho de banda
un filtro de paquetes (transparente)
Un dispositivo inalmbrico
802.11a,b,g,n,ac
www.certificate.ec
Que es RouterOS ?
El Sistema Operativo de RouterBOARD

Puede tambin ser instalado en una PC
www.certificate.ec
Que es RouterBOARD ?
Hardware creado por MikroTik

Desde router pequeos domesticos
hasta concentradores de clases de
acceso de carrier
www.certificate.ec
Primer acceso
Null Modem
Cable
Ethernet
cable
www.certificate.ec
Winbox
La aplicacion para configurar RouterOS

Esta puede ser descargada de:
www.mikrotik.com
www.certificate.ec
Descarga de Winbox
www.certificate.ec
Conectndo
Hacer click en el botn [...] para ver su
router
www.certificate.ec
Comunicacin
El proceso de comunicacin esta
dividido en siete capas

Desde la mas baja que es la capa fsica
hasta la mas alta que es la capa de
aplicacin
www.certificate.ec
www.certificate.ec
Direcciones MAC
Esta es la nica direccin fsica de
cualquier dispositivo de red

Esta es usada para las comunicaciones
dentro de la LAN
Ejemplo: 00:0C:42:20:97:68
www.certificate.ec
IP
Esta es una direccin lgica de los
dispositivos de red
Esta es usada para comunicaciones
entre redes
Ejemplo: 159.148.60.20
www.certificate.ec
Mask
Rango de direcciones IP logicas que
dividen a las redes en segmentos

Ejemplo: 255.255.255.0 de /24
www.certificate.ec
Subredes
Direccin de red es la primera direccin
IP de la subred
Direccin de Broadcast es la ltima
direccin IP de la subred
Estas estn reservadas y no pueden ser
utilizadas
www.certificate.ec
SOLO 2
www.certificate.ec
Seleccin de la direccin IP
Seleccione la direccin IP de la misma
subred en la red local

Especialmente para grandes redes con
multiples subredes
www.certificate.ec
Ejemplo de seleccin de
direccin IP
Clientes usan diferentes subredes mascara
/25 and /26

A tiene la direccin IP 192.168.0.200/26
B tiene mascara de subred /25, direcciones
disponibles192.168.0.129-192.168.0.254
B no puede usar 192.168.0.129-192.168.0.192
B puede usar direcciones IP desde
192.168.0.193 - 192.168.0.254/25
www.certificate.ec
2
7
Conectando
Ethernet
Cable
Winbox
www.certificate.ec
Conectando Lab
Click en el Mac-Address del Winbox

Username admin sin password
www.certificate.ec
Diagrama
:/$1
/$1
Su Laptop
Su Router
AP de Clases
www.certificate.ec
Laptop - Router
Deshabilite interfaces (wireless) en su
laptop
Configure la direccin IP
192.168.X.1/24
Configure 192.168.X.254 en el Gateway
www.certificate.ec
Laptop - Router
Conectese al router con MAC-Winbox

Adicione 192.168.X.254/24 al Ether1
www.certificate.ec
Laptop - Router
Cierre Winbox y conectese nuevamente
usando direccin IP
MAC-address debera unicamente ser
usado cuando no existe acceso por IP
www.certificate.ec
Diagrama Laptop Router

Su Laptop
Su Router
AP de Clases
172.17.X.1 172.17.X.254
www.certificate.ec
Router Internet
Su Laptop
Su Router
AP de Clases
172.17.X.1 172.17.X.254
www.certificate.ec
Router - Internet
El gateway de Internet de clases es
accessible sobre wireless este es un AP

(access point)
Para conectarlo usted tienes que
configurar la interface inalmbrica de
su router en modo station
www.certificate.ec
Router - Internet
Para
configurar
wireless
interface,
doble-click
en este
nombre
www.certificate.ec
Router - Internet
Para ver un AP disponible use boton
scan
Seleccione MTCNA y click en connect
Cierre la ventana de scan
Usted esta ahora conectado al AP!
Recuerde el SSID de clases es MTCNA
www.certificate.ec
Router - Internet
La interface inalmbrica tambin
necesita una direccin IP

El AP proporcina direcciones IP de
forma automatic con DHCP
Usted necesita habilitar el cliente DHCP
en su router para obtener direcciones
IP
www.certificate.ec
Router - Internet
www.certificate.ec
Router - Internet
Revisar
conectividad a
Internet con
traceroute
www.certificate.ec
Router Internet
Su Laptop
Su Router
AP de clases
DHCP-Client
Wireless
www.certificate.ec
Laptop - Internet
Su router tambin puede ser un DNS

server para su red local (laptop)
www.certificate.ec
Laptop - Internet
Configurar su Laptop para que use su
router como DNS server

Ingrese la IP de su router
(192.168.x.254) como un DNS server en
las configuraciones de red de su laptop
www.certificate.ec
Laptop - Internet
Laptop puede acceder al router y el
router puede acceder al internet, un

paso mas es requerido
Hacer una regla de Masquerade para
ocultar su red privada detrs del router
www.certificate.ec
Espacios Pblicos y Privados
Masquerade se usa para acceder a redes publicas,

cuando tenemos presentes direcciones de redes
privadas
Redes privadas 10.0.0.0-10.255.255.255, 172.16.0.0172.31.255.255, 192.168.0.0-192.168.255.255

www.certificate.ec
Laptop - Internet
www.certificate.ec
Check Connectivity
Ping www.mikrotik.com desde su laptop
www.certificate.ec
Qu puede estar mal
Router no puede hacer ping al AP

Router no puede resolver nombres
Computadora no puede hacer ping mas
alla del router

Computadora no puede resolver nombres
La regla del masquerade esta trabajando?
El gateway y DNS de la laptop ?
www.certificate.ec
Network Diagram
Su Laptop
Su Router
AP de Clases
172.17.X.1 172.17.X.254
DHCP-Client
www.certificate.ec
Gestin de usuarios
El acceso al router se pueda controlar

Usted puede crear diferente tipos de usuarios
www.certificate.ec
Gestin de usuarios Lab
Agrege un nuevo usuario al router con
acceso full
Asegurese de recordar el nombre de
usuario
Haga el usuario admin read-only
Login con su uevo usuario
www.certificate.ec
Actualizacin Router
Use paquetes
RouterOS
combinado
Arrastre a la
ventana de
Files
www.certificate.ec
Administracin de paquetes
Las funcionalidades del RouterOS son

habilitadas por paquetes
www.certificate.ec
Informacin Paquetes
www.certificate.ec
Package Lab
Deshabilita routing
Reboot
Revise el menu routing
www.certificate.ec
Router Identity
Opcin para configurar el nombre
de cada router
www.certificate.ec
Router Identity
Identity information es mostrada en varios

lugares
www.certificate.ec
Router Identity Lab
Ponga su nmero + su nombre en router identity
www.certificate.ec
NTP
Network Time Protocol, para sincronizar
tiempo
NTP Client y NTP Server son soportados
en RouterOS
www.certificate.ec
Porque NTP ?
Para tener una hora correcta en el
router
Para routers sin memoria interna
tengan hora correcta
Para sincronizar todos los
RouterBOARDs
www.certificate.ec
NTP Client
NTP client paquete no es

requerido 72.8.140.240
www.certificate.ec
Configuracin Backup
Usted puede respaldar y restaurar
configuraciones en el menu Files deWinbox

Archivo Backup no es editable
www.certificate.ec
Configuracin Backup
Adicionalmente se puede usar

commandos CLI para export and
import
Archivos exportados son editables

Passwords no son guardados
/export file=conf-august-2009
/ ip firewall filter export file=firewall-aug-2009
/ file print
/ import [Tab]
www.certificate.ec
Backup Lab
Crear un Backup un Export files

Descargar estos a su laptop
Abrir el archivo export con text editor
www.certificate.ec
Netinstall
Utilizado para instalacin y
reinstalacin de RouterOS
Se ejecuta en Windows
Conexin directa o por un dispositivo
de red
Disponible en www.mikrotik.com
www.certificate.ec
Netinstall
1.Lista de routers
2.Arranque por
red
3.Mantega
configuracion
antigua
Paquetes
Instalar
4.
5.
www.certificate.ec
Optional Lab
Download Netinstall ftp://192.168.100.254

Ejecutar Netinstall
Habilitar Net booting, set address
192.168.x.13
Use null modem cable and Putty to connect
Set router to boot from Ethernet
www.certificate.ec
RouterOS License
Todos los RouterBOARDs vienen con

licencia
Varios niveles disponibles, no hay
actualizaciones
Puede ser encontrado en MENU system
license
Licencias para PC pueden ser adquiridas
en mikrotik.com o en distribuidores
www.certificate.ec
License
www.certificate.ec
Obtain License
Login to
your account
www.certificate.ec
Actualizar Licencia para 802.11N
8-symbol
software-ID
system
is
introduced
Update key on existing routers to get
full features support (802.11N, etc.)
www.certificate.ec
Resumen
www.certificate.ec
Links Utiles
www.mikrotik.com - manage licenses,
documentation
forum.mikrotik.com - share experience
with other users
wiki.mikrotik.com - tons of examples
www.certificate.ec
Firewall
www.certificate.ec
Firewall
Proteja su router y clientes de acceso
no autorizados
Esto se puede hacer mediante la
creacin de reglas en Firewall Filter y
con reglas de NAT
www.certificate.ec
Firewall Filter
Consiste en reglas definidas por el
usuario que utilizan el principio de SIENTONCES

Estas reglas son ordenadas en cadenas
Existen cadenas predefinidas, y
cadenas creadas por el usuario
www.certificate.ec
Filtro tipo (Chains)
Las reglas pueden ser colocadas en 3

chains por defecto
input (al router) YDQKDFLDHOURXWHU

output (desde router) GHVGHHOURXWHU
forward (pasa por router) 7RGRORTXHSDVDDWUDYpVGHOURXWHU
www.certificate.ec
Firewall Chains
Output
Ping desde el Router
Input
Winbox
Forward
WWW E-Mail
www.certificate.ec
Firewall Chains
www.certificate.ec
Input
Cadenas (Chain) contienen reglas de
filtrado que protejen al router.

Vamos a bloquear todo excepto su
laptop
www.certificate.ec
Input
Add una regla
de accept
para la
direccin IP
de su Laptop
www.certificate.ec
Input
Agrega una
regla de
drop para
todo lo
dems
www.certificate.ec
Input Lab
Cambie la direccion IP de su laptop a
192.168.x.y
Trate de conectarse. El firewall esta
trabajando
Todava se puede conectar con
direccin MAC, porque el Firewall es
unicamente para IP
www.certificate.ec
Input
El acceso al router es bloqueado

Internet no esta trabajando
Porque nosotros estamos bloqueando los
requerimientos DNS
Cambie la configuracin para que el
internet trabaje
www.certificate.ec
Usted puede
deshabilitar el
acceso MAC in
el menu MAC
Server
Cambie la
direccin IP de
la Laptop a
192.168.X.1, y
conectese con
IP
Input
www.certificate.ec
Address-List
Address-list permite filtrar un grupo
de direcciones IPs con una sola regla

Agrega una direccin al address-list y
esta automaticamente es bloqueada
www.certificate.ec
Address-List
Cree diferentes listas

Subredes y nicas direcciones de red
son soportados
www.certificate.ec
Address-List
Adiciona
especfico host
al address-list
Especifica el
tiempo de
espera para el
servicio
temporal
www.certificate.ec
Address-List en Firewall
Habilitado
para bloquear
por source y
destination
addresses
www.certificate.ec
Address-List Lab
Cree un address-list con direcciones IP
permitidas
Agregar una regla que acepte las
direcciones IP permitidas
www.certificate.ec
Forward
Cadena (Chain) de reglas que contiene
los paquetes de control que pasa por el

router
Controla el trafico desde y hacia los
clientes
www.certificate.ec
Cree una regla
que bloquee
TCP en el
puerto 80 (web
browsing)
Tiene que
seleccionar
protocolos para
bloquear
puertos
Forward
www.certificate.ec
Forward
Trate de abrir www.mikrotik.com

Trate de abrir http://192.168.X.254
El acceso a las paginas web no es
posible porque la regla drop
chain=forward esta trabajando
www.certificate.ec
Lista de los puertos mas utilizados
www.certificate.ec
Forward
Cree una regla
que bloquee el
trafico p2p a los
clientes
www.certificate.ec
Firewall Log
Vamos a registrar en
log los ping del los

clientes al router
Regla Log debe ser
aadida antes que
otra accin
www.certificate.ec
Firewall Log
www.certificate.ec
Firewall chains
Aparte de las cadenas preestablecidas
(input, forward, output), cadenas

personalizadas pueden ser creadas
Se consigue hacer estructuras de
firewall mas simples
Disminuye la carga de procesamiento
del router
www.certificate.ec
Cadenas de Firewall en accin
Secuencia de
la cadena
personalizada
de firewall
Cadena
personalizada
puede ser en
busca de virus,
TCP, UDP
protocols, etc.
www.certificate.ec
Connections
www.certificate.ec
Estado de Conexiones
Aconsejable, drop conexiones invalidas

Firewall debe procesar nicamente los
paquetes nuevos, se recomienda

excluir otros tipos de estados
Las reglas de filtrado tiene connection
state utilizados para este fin.
www.certificate.ec
Connection State
Aadir regla para descartar paquetes

invlidos
Aadir regla para aceptar paquetes
establecidos
Aadir regla para aceptar paquetes
relacionados
Vamos al Firewall para trabajar
nicamente con paquetes nuevos
www.certificate.ec
Resumen
www.certificate.ec
Network Address Translation
www.certificate.ec
NAT
El Router es capaz de cambiar las
direcciones IP origen o destino de los

paquetes que pasan por este.
Este proceso es llamado src-nat o dstnat
www.certificate.ec
SRC-NAT
SRC-Address
Su Laptop
New
SRC-Address
Remote Server
www.certificate.ec
DST-NAT
Private Network
Server
Public Host
New DST-Address
www.certificate.ec
DST-Address
NAT Chains
Para lograr estos escenarios hay que
utilizar las reglas de NAT apropiadas con

las cadenas: dstnat or srcnat
Reglas de NAT trabajan con el principio
de IF-THEN
www.certificate.ec
DST-NAT
DST-NAT cambia paquetes destinados
a una direccin IP y un puerto

Se puede utilizar para dirigir a usuarios
del internet a un servidor de una red
privada
www.certificate.ec
DST-NAT Example
Web Server
192.168.1.1
Some Computer
New DST-Address
192.168.1.1:80
www.certificate.ec
DST-Address
207.141.27.45:80
DST-NAT Example
Cree una regla para trfico forward para un

WEB server en una red privada
www.certificate.ec
Redirect
Es un tipo especial de DST-NAT

Esta accin redirige paquetes a el
mismo router
Esto puede ser usado para servicios de
proxy (DNS, HTTP)
www.certificate.ec
Redirect example
DST-Address
Configured_DNS_Server:53
DNS Cache
www.certificate.ec
New DST-Address
Router:53
Redirect Example
Vamos a hacer
que los usuarios

locales usen
Router DNS
cache
Asegurese de
marcar en
protocol udp
www.certificate.ec
SRC-NAT
SRC-NAT cambia paquetes de la
TOMA LA ip ORIGEN Y CAMBIA POR LA IP DEL ROTER
direccion origen
Esto es usado para conectar redes
privadas a travs de una direccion IP
pblica
Masquerade es un tipo de SRC-NAT
www.certificate.ec
Masquerade
Src Address
192.168.X.1
192.168.X.1
Src Address
router address
Public Server
www.certificate.ec
SRC-NAT Limitaciones
Conexiones a servidores internos desde
afuera no es possible (DST-NAT es

necesario)
Algunos protocolos requieren
ayudantes de NAT para trabajar
correctamente
www.certificate.ec
NAT Helpers
www.certificate.ec
Consejos de Firewall
Aadir comentarios a sus reglas

Use Connection Tracking o Torch
www.certificate.ec
Connection Tracking
Connection tracking gestiona la
informacin sobre todas las conexiones

activas
Debe ser habilitado para Filter y NAT
www.certificate.ec
Connection Tracking
www.certificate.ec
Torch
Informe de trfico real detallado por interface

www.certificate.ec
Acciones de Firewall
Accept
Drop
Reject
Tarpit no envia mensajes de rechazo
log
se puede ver los suceso
add-src-to-address
list(dst)
Jump, Return
Passthrough
www.certificate.ec
no hace nada
Acciones de NAT
Accept
DST-NAT/SRC-NAT
Redirect
Masquerade
Netmap
www.certificate.ec
Resumen
firewall, actua en cadesnas que van por prioridades
www.certificate.ec
Control de Ancho de Banda
www.certificate.ec
Simple Queue
cola
La forma ms fcil de limitar el ancho

de banda:
cliente download
cliente upload
cliente agregado, download+upload
www.certificate.ec
Simple Queue
Lo ms usado es Target-Address para
Simple Queue
Orden de las colas es importante para
Simple Queue
www.certificate.ec
Vamos a
crear una
limitaci
n para su
laptop
64k
Upload,
128k
Downloa
d
Simple Queue
Clients
Limits
address to configure
www.certificate.ec
Simple Queue
Revise sus limites

Torch mostrara el ancho de banda
www.certificate.ec
Select local
Using Torch
network
interface
See actual
bandwidth
Set Interface
Check the
Results
Set Laptop
Address
www.certificate.ec
Specific Server Limit
Vamos a crear
lmite de
ancho de
banda para IP
192.168.Y.0
DST-address
es usado para
esto
Orden de las
reglas es imp
www.certificate.ec
Ping
www.mikrotik.co
m
Pon MikroTik
address to DSTaddress
Direccin
MikroTik puede
ser usado en
Target-address
MikroTik.com
Address
www.certificate.ec
DST-address es usado para
limitar el acceso a los recursos

de la red local
Target-address and DSTaddresses puede ser usados al
reves
www.certificate.ec
Bandwidth Test Utility
Bandwidth test puede ser utilizado para
monitorear el throughput a un dispositivo

remoto
Bandwidth test trabaja entre dos MikroTik
routers
Bandwidth test utilidad disponible para
Windows
Bandwidth test descargable de
MikroTik.com
www.certificate.ec
Bandwidth Test on Router
Configura Test To la direccin
IP de pruebas
Seleccione protocolo
TCP soporta multiples
conexiones
Autentificacin podria ser
requerida
www.certificate.ec
Bandwidth Test
Server debe ser habilitado

Se aconseja seleccionar
Authenticate
www.certificate.ec
Vamos a
Traffic Priority
configurar una
mayor prioridad
para las queues
Prioridad 1 es
mayor a 8
Debe haber por
lo menos 2
prioridades
Priority
is in
Select
Queue
Advanced Tab
Set Higher Priority
www.certificate.ec
Simple Queue Monitor
Es posible conseguir grficos de
consumo de cada una de las colas

simples
Los grficos muestran la cantidad de
trfico que pasa a travs de una cola
www.certificate.ec

Tenemos que
habilitar el grfico
de las colas
www.certificate.ec
Grficos estan
disponibles en
WWW
Para ver los
grficos
http://router_I
P
Usted puede
darle acceso a
su cliente
www.certificate.ec
Colas Avanzadas
www.certificate.ec
Mangle
Mangle es usado para marcar paquetes

Separa diferentes tipos de traficos
Marcas son activas en el router
Usadas para configurar diferentes
limitaciones en las colas
Mangle no cambia las estructuras de los
paquetes (excepto DSCP, TTL para
acciones especficas)
www.certificate.ec
Mangle Actions
www.certificate.ec
Mangle Actions
Mark-connection utiliza seguimiento de

conexiones
Informacin sobre nuevas conexiones
son agregadas a la tabla de
seguimiento de conexiones
Mark-packet trabajan directamente con

los paquetes
Router sigue cada paquete para aplicar

mark-packet
www.certificate.ec
Optimal Mangle
Queues tiene packet-mark de forma

opcional
www.certificate.ec
Optimal Mangle
Marcar nuevas conexiones con mark
connection
Adicionar mark-packet para cada markconnection
www.certificate.ec
Mangle Ejemplo
Imagine que usted tienen un cliente en
el router con la direccin IP 192.168.X.55

Vamos a crear dos marcas diferentes
(Oro, Plata), una para su equipo y otra
para el cliente de la direccin IP
192.168.X.55
www.certificate.ec
Mark Connection
www.certificate.ec
Mark Packet
www.certificate.ec
Mangle Example
Agregar Marcas para el Segundo cliente

tambin
Debera tener 4 reglas del mangle para
los 2 usuarios
www.certificate.ec
Advanced Queuing
Reemplace cientos de colas con unas
pocas
Ajustar el mismo lmite a varios usuarios
Igualar el ancho de banda disponible
entre los usuarios
www.certificate.ec
PCQ
PCQ es un tipo de Queue Avanzado

PCQ utiliza un clasificador para divider el
trfico (desde el punto de vista del
cliente; src-address es Velocidad de
SUBIDA, dst-address es Velocidad de
DESCARGA)
www.certificate.ec
PCQ, un limite para todos
PCQ permite establecer un lmite a todos

los usuarios con una sola cola
www.certificate.ec
Un lmite para todos
Multiples reglas de colas son cambiadas

en un solo paso
www.certificate.ec
PCQ, igualar el ancho de banda
Compartir ancho de banda igual entre los

usuarios
www.certificate.ec
Equalize bandwidth
1M upload/2M download es compartido
entre los usuarios
www.certificate.ec
PCQ Lab
El instructor esta yendo a crear un PCQ
lab en el router
Dos escenarios PCQ estn yendo a ser
usados con mangle
www.certificate.ec
Resumen
www.certificate.ec
Wireless
www.certificate.ec
Que es Wireless ?
RouterOS soporta varios modulos de
radio que permiten comunicaciones

sobre el aire en (2.4GHz and 5GHz)
MikroTik RouterOS proporciona un
soporte completo para IEEE 802.11a,
802.11b and 802.11g wireless
networking standards
www.certificate.ec
Wireless Standards
IEEE 802.11b - 2.4GHz frequencies,
11Mbps
IEEE 802.11g - 2.4GHz frequencies,
54Mbps
IEEE 802.11a - 5GHz frequencies,
54Mbps
IEEE 802.11n - draft, 2.4GHz - 5GHz
www.certificate.ec
802.11 b/g Canales
11 canales
3 Access Point pueden ocupar el espectro

sin interferencia
www.certificate.ec
802.11 a Canales
(12) 20 MHz ancho de canal

(5) 40 MHz turbo canales
www.certificate.ec
Bandas Soportadas
Todo 5GHz (802.11a) y 2.4GHz (802.11b/g),
incluyendo canales pequeos
www.certificate.ec
Frecuencias Soportadas
Dependiendo de las regulaciones de
cada pais tarjetas inalambricas podran

soportar
2.4GHz: 2312 - 2499 MHz

5GHz: 4920 - 6100 MHz
www.certificate.ec
Aplicar regulacin
Configurar
interface
Inalambrica para
aplicar regulacin
de su pas
www.certificate.ec
RADIO Name
Nosotros usaremos RADIO Name para
identificar al router
Configure RADIO Name con
Nmero+Su Nombre
www.certificate.ec
Wireless Network
www.certificate.ec
Station Configuration
Poner la inteface
mode=station
Seleccionar band
Seleccionar SSID,
Identificacin de la
red inalambrica
Frequencia no es
importante para los
clientes, use scan-list
www.certificate.ec
Conjunto
Connect List
de reglas
usado por las
estaciones
para
seleccionar
un accesspoint
www.certificate.ec
Connect List Lab
Actualmente su router se conecta al
access-point de clases
Vamos a hacer la regla para no permitir
la conexin al access-point de clases
Use connect-list comparadores
www.certificate.ec
Configuracin de Access Point
Configurar interface
mode=ap-bridge
Configurar band
Configurar SSID,
Identificador de la
red inalambrica
Configurar
Frequency
www.certificate.ec
Snooper wireless monitor
Use Snooper
para obtener
una vista total
de las redes
inalambricas en
la banda
utilizada
Interface
inalambrica es
desconectada
en este
momento
www.certificate.ec
Visualiza
Registration Table
todas las
interface
inalambricas
conectadas
www.certificate.ec
Security on Access Point

Access-list es usado
para configurar
seguridad de MACaddress
Deshabilitado
DefaultAuthentication es
usado unicamente
en el Access-list
www.certificate.ec
Default Authentication
Yes, Reglas de Access-List son
verificadas, el cliente se puede

conectar si no hay una regla de
negacin
No, solo reglas de Access-List son
verificadas
www.certificate.ec
1
7
Access-List Lab
Puesto que usted esta en mode=station
vamos a explicar el laboratorio desde el

router del profesor
Deshabilita conexin para clientes
especificos
Permite conexin para clientes
especificos
www.certificate.ec
1
7
Seguridad
Vamos a habilitar la encriptacin para
la red inalambrica
Usted puede usar los protocolos de
encriptacin WPA o WPA2
Todos los dispositivos de la red
deberan estar habilitados con las
mismas opciones de seguridad
www.certificate.ec
1
8
Seguridad
Vamos a crear una
WPA encriptacin
para nuestra red
inalambrica
WPA Pre-Shared
Key es
mikrotiktraining
www.certificate.ec
1
8
Tip de Configuracin
Para ver el Pre
Shared Key oculto,

haga click en Hide
Passwords
Esto es util para ver
informacin oculta
pero no para ver
router password
www.certificate.ec
1
8
No permitir Conexiones entre

clientes
Default-Forwarding
usado para deshabilitar
comunicaciones entre
clientes conectados al
mismo access-point
www.certificate.ec
Default Forwarding
Reglas de Access-List tienen mayor
prioridad
Revisar su access-list si conexiones
entre clientes esta trabajando
www.certificate.ec
1
8
Nstreme
Es un protocol inalambrico propietario
de MikroTik
Mejora enlaces inalmbricos,
especialmente enlaces de largo alcance
Para ser usado es necesario habilitar el
protocolo en todos los dispositivos de
la red
www.certificate.ec
1
8
Nstreme Lab
Habilitar Nstreme
en su router
Revisar el estatus
de las conexiones
Nstreme debe
estar habilitado en
ambos routers
www.certificate.ec
1
8
Resumen
www.certificate.ec
1
8
Bridging
www.certificate.ec
1
8
Bridge Wireless Network

Su Laptop
Clases AP
Su Router
192.168.X.1 192.168.X.254
DHCP-Cliente
Volvamos a nuestra configuracin

www.certificate.ec
1
8
Bridge Wireless Network
Nosotros estamos
yendo a crear
una gran red
www.certificate.ec
1
9
Bridge
Nosotros estamos yendo a hacer un
puente entre la interface Ethernet con

la interface inalambrica
Bridge sirve para unir diferentes
interfaces fisicas en una sola interface
logica
Todas sus laptops estarn en la misma
red
www.certificate.ec
1
9
Bridge
Para tener un bridge usted
necesita crear una interface

bridge
Agregar puertos a la interface
bridge
www.certificate.ec
19
2
Creando un Bridge
Bridge es configurado desde

/interface bridge menu
www.certificate.ec
19
3
Agregando puertos al Bridge
Interfaces son adicionadas al bridge

por medio de puertos
www.certificate.ec
19
4
Bridge
No existe problemas de hacer bridge
entre las interfaces Ethernet, Wireless

o SFP
www.certificate.ec
1
9
Laboratorio Bridge
Deshabilite el dhcp cliente en la interfaz

wlan1
Cree un bridge entre la interfaz
inalambrica y la Ethernet de LAN
Baje el firewall de su computador
Habilite DHCP en su computador
Haga ping a los computadores de sus
companeros
www.certificate.ec
1
9
Restore Configuration
Restablecer configuraciones
Cambie a modo Station mode

Adicione DHCP-Client en la interface correcta
Adicione regla de masquerade
Configure direcciones IP correctas a su laptop
www.certificate.ec
1
9
RESUMEN
www.certificate.ec
1
9
Ruteo
www.certificate.ec
1
9
Ruteo de Redes
Regresar a la configuracin anterior

Trate de hacer ping a las laptop vecinas
Direccin IP de los vecinos 192.168.X.1
Ahora estamos yendo a aprender como
utilizer reglas de ruteo para hacer ping
a las laptos de los compaeros
www.certificate.ec
2
0
Route
Reglas ip route definen donde los
paquetes deberan ser enviados

Veamos las reglas de ruteo IP
www.certificate.ec
2
0
Destination:
Routes
networks
redes donde
se quiere
llegar
Gateway:
IP de la
siguiente ruta
para llegar al
destination
www.certificate.ec
2
0
Default Gateway
Default gateway:
Ruta del siguiente
salto en la que se
envia el trafico
(0.0.0.0)
www.certificate.ec
2
0
Set Default Gateway Lab
Actualmente se tiene el gateway
recibido desde DHCP-Client

Deshabilitar la recepcion automatica
del default gateway in DHCP-client
settings
Adicionar default gateway
manualmente
www.certificate.ec
2
0
Rutas Dinmicas
Mira las otras

rutas
Rutas con DAC
son adicionas
de forma
automatica
DAC route
viene de las
configuraciones
de las dir IP
www.certificate.ec
2
0
A - active
D - dynamic
C - connected
S - static
Rutas
www.certificate.ec
2
0
Static Routes
Nuestro objetivo es hacer pines a las
laptop de los compaeros

Rutas estticas nos puede ayudar a
hacer esto
www.certificate.ec
2
0
Rutas Estticas
Rutas estticas especifica como
alcanzar redes destino

Default gateway es tambin una ruta
esttica, esto envia todo el trfico (al
destino 0.0.0.0)
www.certificate.ec
2
0
Rutas Estticas
Rutas estticas adicionales son
requeridas para alcanzar las redes de

sus compaeros.
Gateway (router del curso) no tiene
informacin sobre las redes privadas de
los estudiantes
www.certificate.ec
2
0
Ruta a tus Compaeros
Recordemos la estructura de red

Redes locales de sus compaeros son:
192.168.x.0/24
Pregunte a sus compaeros las
direcciones IP de sus Interfaces
Inalmbricas
www.certificate.ec
2
1
Estructura de Red
www.certificate.ec
2
1
Rutas a sus Compaeros
Agregar una regla de ruta

Configuracin de Destination, destination
es la red local de sus compaeros

Configuracin del Gateway, direccin que
es usada para alcanzar la red destino
gateway es la direccin IP de la interface
inalambrica de su compaero
www.certificate.ec
2
1
Agregar ruta
esttica
Configurar
Destination and
Gateway
Trate de hacer
ping la red de
sus compaeros
www.certificate.ec
2
1

Usted deberia poder ahora hacer ping a las
redes de sus compaeros
www.certificate.ec
2
1
Ruteo Dinmico
La misma configuracin es possible con

ruteo dinmico
Imaginese que usted tiene que usar
una ruta esttica para todos sus

compaeros
La adicin de las rutas es instanatanea
y automaticamente cuando se usa
protocolos de ruteo dinmico
www.certificate.ec
2
1
Ruteo Dinmico
La configuracin es sencilla, pero dificil de

administrar y resolver problemas
Usa mas recursos del router
www.certificate.ec
2
1
Ruteo Dinmico
Nosotros estamos yendo a usar OSPF

OSPF es muy rapido y optimo para ruteo
dinmico
Es de facil configuracin
www.certificate.ec
2
1
Configuracin OSPF
Adicionar
correctament
e redes a
OSPF
Protocolo
OSPF debe
estar
habilitado
www.certificate.ec
2
1
OSPF LAB
Revise sus tablas de ruteo
Trate de hacer ping a las redes de sus

compaeros
Recuerde, conocimientos adicionales

son requeridos para implementar OSPF
en redes de gran tamao
www.certificate.ec
2
1
Resumen
www.certificate.ec
2
2
Administracin de una Red

Local
www.certificate.ec
2
2
Acceso a una Red Local
Diseo de una red con cuidado

Cuidar el acceso local a los usuarios de
red
Usar las funciones de RouterOS para
asegurar los recursos de red
www.certificate.ec
2
2
ARP
Protocolo de Resolucin de Direcciones

ARP trabaja conjuntamente entre
Direcciones IP y Direcciones MAC

ARP trabaja dinamicamente, pero
puede tambien estar manualmente
configurado
www.certificate.ec
2
2
ARP Table
Tabla ARP
tiene el
registro de: IP
address, MACaddress and
Interface
www.certificate.ec
2
2
Static ARP table
Para incrementar la seguridad registros
ARP pueden ser creados manualmente

Clientes del Routers sern
deshabilitados del acceso al internet si
cambian la direccin IP
www.certificate.ec
2
2
Static ARP configuration
Add entrada Esttica

en la tabla ARP
Configurar por
interface arp=replyonly para deshabilitar

creacin dinmica ARP
Disable/enable
interface or reboot
router
www.certificate.ec
2
2
Static ARP Lab
Marque la ARP de su laptop como
entrada esttica
Ponga arp=reply-only en la Local
Network interface
Cambie la direccin IP de su laptop
Pruebe conectividad a Internet
www.certificate.ec
2
2
DHCP Server
Dynamic Host Configuration Protocol

Usado para distribuir de forma
automtica direcciones IP dentro de

red local
Recomendable usar DHCP nicamente
en redes seguras
www.certificate.ec
2
2
DHCP Server
Para configurar un DHCP server usted
tiene que tener una direccin IP en una

interface
Use el commando setup para habilitar y
configurar el DHCP server
Este le ayudara a proporcionar la
informacin necesaria
www.certificate.ec
2
2
DHCP-Server Setup
Click
on
DHCP
Setup
Time
DNS
Set
that
Addresses
server
client
address
may
that
use
SetSet
Network
Gateway
for DHCP,
for
We
are
done!
to be
run
Setup
Wizard
that
will
will
be
IP
given
assigned
address
to
to clients
offered
DHCP
automatically
clients
Select
interface
forclients
DHCP server
www.certificate.ec
2
3
Importante
Para configurar un DHCP server sobre
un bridge, ponga el DHCP server sobre

la interface bridge
DHCP server podr ser invalido,
cuando este es configurado sobre un
puerto del bridge
www.certificate.ec
2
3
DHCP Server Lab
Configure un DHCP server en la
Interface Ethernet donde su Laptop

est conectada
Cambie la configuracin de Red de su
computadora y habilite DHCP-cliente
(Se obtiene un direccin IP de forma
Automtica)
Revisar conectividad a Internet
www.certificate.ec
2
3
DHCP Server Information
Leases prove
informacin
sobre clientes
DHCP
www.certificate.ec
2
3
Winbox Configuration Tip

Mostrar o
ocultar
diferentes
columnas
de Winbox
www.certificate.ec
2
3
Nosotros
Lease Esttico
podemos
marcar lease
para ser esttico
Clientes no
obtendrn otra
direccin IP
www.certificate.ec
2
3
Lease Esttico
DHCP-server podra correr sin dynamic
leases
Clientes recibirn unicamente
direcciones IP preconfiguradas
www.certificate.ec
2
3
Configurar
Lease Esttico
Address-Pool para
static-only
Crear Static leases
www.certificate.ec
2
3
Tuneles
www.certificate.ec
2
3
PPPoE
Point to Point Protocol over Ethernet a
menudo se utiliza para controlar las

conexiones de clientes de DSL, Cable
Mdems y redes Ethernet simples
MikroTik RouterOS soporta PPPoE
cliente y PPPoE server
www.certificate.ec
2
3
Configuracin de PPPoE Cliente
Adicionar
PPPoE
client
Necesita
configurar
Interace
Poner
Login y
Password
www.certificate.ec
2
4
Lab PPPoE Cliente
El Profesor esta yendo a crear un PPPoE
server en su router
Deshabilitar DHCP-client en la interface
de salida de su router
Configurar PPPoE client en la interface
de salida de su router
Poner Username class, password class
www.certificate.ec
2
4
PPPoE Client Setup
Revisar las conexiones PPP

Deshabilitar PPPoE cliente
Habilitar DHCP cliente para restaurar a
la configuracin anterior
www.certificate.ec
2
4
Configuracin de PPPoE Server
Seleccionar
Interface
Seleccionar
Profile
www.certificate.ec
2
4
PPP Secret
Base de datos de
Usuarios
Adiciona login y
Password
Seleccionar
servicio
Configuracin es
tomada desde el
profile
www.certificate.ec
2
4
PPP Profiles
Configuracin de reglas usadas por
clientes PPP
Es una forma de tener las mismas
configuraciones para diferentes clientes
www.certificate.ec
2
4
PPP Profile
Local address
Direccin del
Servidor
Remote Address
Direccin de los
clientes
www.certificate.ec
PPPoE
Importante, PPPoE server corre en una
interface
PPPoE interface puede estar sin
direccin IP configurada
Por seguridad, dejar la interface PPPoE
sin direccin IP configurada
www.certificate.ec
2
4
Pools
Pool define el rango de direcciones IP
para clients PPP, DHCP y HotSpot

Nosotros usaremos un pool, porque
habr mas de un cliente
Las direcciones son tomadas desde el
pool automaticamente
www.certificate.ec
2
4
Pool
www.certificate.ec
2
4
PPP Status
www.certificate.ec
2
5
PPTP
Point to Point Tunnel Protocol provee
tuneles encriptados sobre IP

MikroTik RouterOS incluye soporte para
PPTP cliente y server
Utilizado para enlaces entre redes
locales a travs de Internet
Para mviles y clientes remotos puedan
acceder a recurso de una red local
www.certificate.ec
2
5
PPTP
www.certificate.ec
2
5
PPTP configuration
Configuracin de PPTP es muy parecida
a la configuracin de PPPoE
Configuracin de L2TP es parecida a
PPTP y PPPoE
www.certificate.ec
2
5
Adicionar
PPTP cliente
Interface PPTP
Especificar
direccin del
PPTP server
Poner login y
password
www.certificate.ec
2
5
PPTP Cliente
Esa es toda la configuracin del cliente
PPTP
Use Add Default Gateway para enrutar
el trfico de todos los router al tnel
PPTP
Use rutas estticas para enviar trfico
especfico a un tnel PPTP
www.certificate.ec
2
5
PPTP
PPTP Server
Server es
capaz de
mantener
varios
clientes
Es fcil de
habilitar el
servidor
PPTP
www.certificate.ec
2
5
PPTP Server Clients
Configuraciones de clientes PPTP son
guardadas en ppp secret

ppp secret es usado por clientes PPTP,
L2TP, PPPoE
La base de datos de ppp secret es
configurada en el servidor
www.certificate.ec
2
5
PPP Profile
El mismo profile es usado po clientes

PPTP, PPPoE, L2TP y PPP
www.certificate.ec
2
5
PPTP Lab
El professor esta yendo a crear un PPTP
server en su router
Crear un cliente PPTP
Use username class password class
Deshabilite la interfac PPTP
www.certificate.ec
2
5
Dude
www.certificate.ec
2
6
Dude
Programa de Monitoreo de Redes

Descubrimiento automtico de
dispositivos
Dibujar mapas de sus redes
Monitor de Servicios y Alarmas
Este es Gratis
www.certificate.ec
2
6
Dude
Dude consists of two parts:
1.Dude server - the actual monitor program.

It does not have a graphical interface. You
can run Dude server even on RouterOS
Dude client - connects to Dude server and
shows all the information it receives
2.
www.certificate.ec
2
6
Dude Install
Dude is available
at
www.mikrotik.co
m
Install is very
easy
Read and use
next button
Install Dude Server on computer

www.certificate.ec
2
6
Dude
Dude es traducido a diferentes idiomas

Disponible en wiki.mikrotik.com
www.certificate.ec
2
6
Dude Primera Entrada
Opciones de
Descubrimient
o son ofrecidas
en la primera
entrada
Usted puede
descubrir su
local network
www.certificate.ec
2
6
Dude Lab
Descargar Dude de
ftp://192.168.100.254
Instalar Dude
Descubrir la Red
Adicionar una laptop y el router
Desconectar la Laptop del Router
www.certificate.ec
2
6
Usos del Dude
www.certificate.ec
26
7
Usos del Dude
www.certificate.ec
26
8
Troubleshooting
(solucin de problemas)
www.certificate.ec
2
6
Perdida del Password
La nica solucin para resetear el

password es reinstalar el router
www.certificate.ec
27
0
RouterBOARD License
Todas las licencias adquiridas se almacenan
en el servidor de cuentas MikroTik

Si el router pierde la key, por alguna razn slo tienes que entrar en mikrotik.com
conseguirlo de la lista de keys
Si la key no est en la lista, utilizar la opcin
Request Key
www.certificate.ec
27
1
Mala Seal Wireless
Comprobar que el conector de la antena
est conectado conector main' de la

antena
Compruebe que no exista agua o
humedad en el cable
Compruebe que se estn utilizando las
configuraciones default para la radio
Interface wireless reset-configuration
www.certificate.ec
27
2
Sin Conexin
Intente diferentes puertos Ethernet o cables

Use el jumper de reset en el RouterBOARD
Use consola serial para ver algn possible
mensaje
Use netinstall si es posible
Contacte a support (support@mikrotik.com)
www.certificate.ec
27
3
Antes del Examen de

Certificacin
Resetee el router
Restaure el backup o restaure las
configuraciones
Verique que tiene acceso al Internet y a
la paguina de www.mikrotik.com
www.certificate.ec
2
7
Examen de Certificacin
www.certificate.ec
2
7
Examen de Certification
Ir a http://www.mikrotik.com
Login con su cuenta
Buscar la session de Entremanmiento
Seleccionar el Examen
www.certificate.ec
2
7
Instrucciones
www.certificate.ec
2
7

MTCNA

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

MTCNA

Hochgeladen von

Copyright:

Verfügbare Formate

www.certificate.

MikroTik Certified Network Associate

Objetivo del Curso

Vista general del RouterOS software y

capacidades del RouterBoard Hardware

Fabricante de software y hardware para

Por favor, recuerde su numero de clase XY. _____

RouterOS es un Sistema Operativo que

El Sistema Operativo de RouterBOARD

Hardware creado por MikroTik

La aplicacion para configurar RouterOS

El proceso de comunicacin esta

dividido en siete capas

Esta es la nica direccin fsica de

cualquier dispositivo de red

Esta es una direccin lgica de los

Rango de direcciones IP logicas que

dividen a las redes en segmentos

Direccin de red es la primera direccin

Seleccione la direccin IP de la misma

subred en la red local

Clientes usan diferentes subredes mascara

/25 and /26

Click en el Mac-Address del Winbox

Deshabilite interfaces (wireless) en su

Conectese al router con MAC-Winbox

Cierre Winbox y conectese nuevamente

Diagrama Laptop Router

El gateway de Internet de clases es

accessible sobre wireless este es un AP

Para ver un AP disponible use boton

La interface inalmbrica tambin

necesita una direccin IP

Su router tambin puede ser un DNS

Configurar su Laptop para que use su

router como DNS server

Laptop puede acceder al router y el

router puede acceder al internet, un

Espacios Pblicos y Privados

Masquerade se usa para acceder a redes publicas,

Redes privadas 10.0.0.0-10.255.255.255, 172.16.0.0172.31.255.255, 192.168.0.0-192.168.255.255

Ping www.mikrotik.com desde su laptop

Qu puede estar mal

Router no puede hacer ping al AP

alla del router

El acceso al router se pueda controlar

Gestin de usuarios Lab

Agrege un nuevo usuario al router con

Las funcionalidades del RouterOS son

Identity information es mostrada en varios

Router Identity Lab

Ponga su nmero + su nombre en router identity

Network Time Protocol, para sincronizar

Para tener una hora correcta en el

NTP client paquete no es

Usted puede respaldar y restaurar

configuraciones en el menu Files deWinbox

Adicionalmente se puede usar

Archivos exportados son editables

Crear un Backup un Export files

Utilizado para instalacin y

Download Netinstall ftp://192.168.100.254

Todos los RouterBOARDs vienen con

Actualizar Licencia para 802.11N