Control de Tráfico, Firewall y QoS con MikroTik RouterOS

	Versión Actual	Versión Anterior
	v6.39.1.01	v6.33.5.01
Fecha de Actualización	04/Mayo/2017	27/Enero/2016
#Páginas Libro de Estudio	100	88
#Páginas Libro de Laboratorio	34	34
Total Preguntas de Evaluación	90	90

Por: This email address is being protected from spambots. You need JavaScript enabled to view it.

Este libro cubre los principales temas relacionados con la optimización del tráfico en una red LAN/WAN/Wireless, no solo concentrándose en la correcta implementación de la Calidad de Servicio (QoS) sino también prestando especial importancia al tráfico que en pequeñas proporciones puede ocasionar un flujo notable a través de canales de comunicación de baja velocidad o en conexiones de internet restringidas.

Parte fundamental de esta actividad es la comprensión de la estructura HTB (Hierarchical Token Bucket) y la manera en que se implementa en el RouterOS de MikroTik.

Las definiciones, configuraciones y buenas prácticas son aplicables en cualquier equipo MikroTik, y son completamente funcionales ya sea en un pequeño hAP Lite o un CCR1072, ya sea un sólido AP (Access Point) armado con un RB800 con 4 tarjetas de radio o un pequeño CPE como por ejemplo un SXT.

El libro inicia aplicando control de tráfico en servicios sencillos pero elementales como el tráfico DNS, pasando luego a explicar el funcionamiento DHCP (server y cliente). Los capítulos 3, 4 y 5 se enfocarán en ampliar las reglas de Filtros de Firewall con la finalidad de proteger adecuadamente el router MikroTik y el tráfico que pasa a través de él.

Se explica gráficamente la forma en que se desarrollan las reglas de direccionamiento de puerto (dstnat) y se realizan ejercicios de Firewall Mangle, buscando la optimización y correcto desempeño del CPU y Memoria del dispositivo.

El plato principal constituyen HTB y los Arboles de Colas (Queue Trees) donde se realizará un ejercicio sencillo como propuesta para un ISP/WISP para que administre adecuadamente el ancho de banda y provea Calidad de Servicio.

Finalmente se ejecutan tres ejercicios de Balanceo de Carga que proveen una alternativa de solución para quienes deseen aprovechar dos o más conexiones.

Hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de certificación, pero que resultan claves para el correcto entendimiento de la materia. La información aquí presentada se complementa con nuestros recursos en www.abcxperts.com y www.youtube.com/abcxperts.

Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas que optan por leer un libro y estudiar a su propio ritmo.

Esta es la primera revisión dedicada a la versión 6.33.5 Las posteriores revisiones al material y a los nuevos releases de RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción.

Tenemos una tarea inmensa por delante, pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía de autoestudio MikroTik.

Tabla de Contenido
Introducción
Introducción

Resumen

Audiencia

Detalle de cambios en las tres últimas versiones de RouterOS

Red de Trabajo

Laboratorio 0-1
Capítulo 1: DNS
Qué es DNS

MikroTik DNS Caché

Monitoreo del Cache

Borrando el DNS Cache (flushing)

Entradas de DNS Estático

Preguntas de repaso del Capítulo 1

Laboratorio 1-1: DNS Transparente

Laboratorio 1-2: DNS Estático
Capítulo 2: DHCP
Escenario de comunicación DHCP

Identificación del Cliente DHCP

Configuración Rápida (Quick Setup)

IPv6

DHCP-Server

Configuración del almacenamiento de reservas (leases)

Laboratorio 2-1: DHCP Server

DHCP-Networks

DHCP-Options

Extensiones de fabricante BOOTP y Opciones DHCP

Pool de direcciones IP

DHCP-Leases

DHCP-Alerts

DHCP-Client

IPv6

Estatus

Comandos Específicos

DHCP Autoritativo

DHCP-Relay

Laboratorio 2-2: DHCP Relay
Capítulo 3: Firewall Filter
Estructura de Filtros de Firewall

Diagrama de Estructura de Filtros de Firewall

Connection Tracking

Diagrama de ubicación del Connection Tracking

Condition: Connection State
Capítulo 4: Firewall Filter - Chain Input
Chain Input

Laboratorio 4-1: Filter Input – Reglas Básicas

Tipos de Intrusión de Red (Network Intrusion)

Port Scan

Ataques DoS

Ataques DDoS

ICMP

Estructura del segmento ICMP

Ping Flood

Laboratorio 4-2: Filter Input – Network Intrusion

Servicios de RouterOS
Capítulo 5: Firewall Filter - Chain Forward
Chain Forward

Laboratorio 5-1: Filter Input – Network Intrusion
Capítulo 6: Bogon IPs
Bogon IPs
Capítulo 7: Firewall NAT
Estructura del Firewall NAT

dst-nat

redirect

Laboratorio 7-1: Ejercicio de dstnat

Laboratorio 7-2: Ejercicio de dstnat

Inconvenientes del Source NAT

NAT Helpers (Service Ports)

NAT action=netmap

NAT action=same
Capítulo 8: Firewall Mangle
Change MSS

Marcado de Paquetes

Estructura del Mangle

Marcado de Conexiones

Marcado de Paquetes

Laboratorio 8-1: Ejercicio de mangle #1

Laboratorio 8-2: Ejercicio de mangle #2
Capítulo 9: HTB
Colores de las colas en Winbox

Estructura HTB

Limitación Dual

Prioridad

Ejemplo 1 – caso típico

Ejemplo 2 – caso típico con max-limit

Ejemplo 3 – limit-at de la cola más interna

Ejemplo 4 – limit-at de la cola hoja
Capítulo 10: Queues
Principios de limitación de velocidad

Simple Queues (Colas Simples)

Identificadores de Flujo

Propiedades HTB

Tipos de Colas (Queue Types)

PFIFO, BFIFO y MQ PFIFO

RED

SFQ

PCQ

Nueva implementación de PCQ (a partir de la v5.0RC5)

Interface Queue
Capítulo 11: Burst
Burst
Capítulo 12: Web Proxy
Ejemplo de configuración de Proxy Transparente

Firewall basado en Proxy

Habilitación de RAM o Caché basado en almacenamiento

Access List

Direct Access

Administración del Caché

Connections

Métodos HTTP
Capítulo 13: TTL
Mangle action=change-ttl
Capítulo 14: Balanceo de Carga
Balanceo de Carga Usando PCC (Per Connection Classifier)

Balanceo de Carga Usando ECMP (Equal Cost Multi-Path)

Balanceo de Carga usando Nésimo Paquete (Nth Packet)

Detalles del Producto

	Versión Actual	Versión Anterior
	v6.39.1.01	v6.33.5.01
Fecha de Actualización	04/Mayo/2017	27/Enero/2016
#Páginas Libro de Estudio	100	88
#Páginas Libro de Estudio	34	34
Total Preguntas de Evaluación	90	90

Bitácora de Cambios
Qué hay de Nuevo en la versión 6.39.1.01 (04-Mayo-2017)

# Páginas Libro de Estudio: 100
# Páginas Libro de Laboratorio: 33
Total Preguntas de Evaluación: 90
- Se corrigió la numeración de las páginas, iniciando a partir de esta versión (v6.39.1.01) desde el Capítulo 0 (configuración inicial) con el número 1. Se agregaron 25 páginas de contenido nuevo y actualizado. (En la versión anterior la portada, índice, introducción, changelog, formaban parte de la numeración regular)
- C03 – Se actualizó y agregó el contenido a la definición de 15 parámetros de Firewall Filter. Se actualizaron varias imágenes de acuerdo a los nuevos parámetros de la v6.38+. Se amplió información sobre el flujo y diagrama flujo de paquetes. Diagramas de ejercicios de flujo. Diferencias de diagramas entre v5 y v6. Diagramas avanzados. Se amplió el contenido de TCP States y Connection-States.
- C04 – Se actualizaron varias imágenes de acuerdo a los nuevos parámetros de la v6.38+
- C06 – Se actualizaron varias imágenes de acuerdo a los nuevos parámetros de la v6.38+
- C07 – Se actualizó y agregó el contenido a la definición de 7 parámetros de Firewall NAT. Se actualizaron varias imágenes de acuerdo a los nuevos parámetros de la v6.38+
- C08 – Se actualizó y agregó el contenido a la definición de 10 parámetros de Firewall Mangle
- C10 – Se amplió el contenido sobre las principales diferencias y características de olas Simples y Queue Trees en v5 y v6
- C14 – Se amplió notablemente el contenido y la explicación de los métodos de balanceo de crga más comunes: PCC y Nth.
Acerca del autor

Mauro Escalante
Mauro Escalante ha trabajado en redes de computadoras desde hace mas de 20 años, habiendo iniciado sus primero años de universidad y trabajo como programador y DBA en Informix 4GL y Oracle. En 1993 se convierte en ingeniero especialista en equipos Motorola Codex manejando tecnologías como X.25 y Frame Relay. Entre 1995 y 1999 se desempeña como gerente de Redes e Infraestructura de un banco con cobertura en todo el país. En 2001 se especializa en Análisis y Troubleshooting de Redes usando Analizadores de Protocolo con sistemas expertos. En el 2006 junto con Guisela Espinoza crean la empresa Network Xperts S.A., en el 2009 se convierte en MikroTik Trainer Partner. En el 2011 crea MikroTik Xperts S.A., en el 2013 crea Academy Xperts Latinoamérica, y en el 2014 crea ABC Xperts. Hasta inicios del 2016 Academy Xperts ha gestionado la certificación de más de 2,700 ingenieros MikroTik en toda la región. Mauro Escalante viaja constantemente por 15 países en toda America dictando cursos, seminarios y dirigiendo proyectos. Mauro es el mentalizador y autor del libro Conceptos Fundamentales de MikroTik RouterOS y otros libros relacionados con MikroTik.

Control de Tráfico, Firewall y QoS con MikroTik RouterOS

Tabla de Contenido

Detalles del Producto

Bitácora de Cambios

Qué hay de Nuevo en la versión 6.39.1.01 (04-Mayo-2017)

Acerca del autor

Websites

Servicios

Enlaces

Síguenos