Управление трафиком на MikroTik. Аналог MTCTCE

Курс второго уровня. Содержит:

  • все темы из официальной программы MikroTik Certified Traffic Control Engineer;
  • дополнительный материал, основанный на опыте работы с MikroTik и RouterOS.

Что вы получите, заказав курс?

  • Видеоуроки в защищенном плеере.
  • Руководство по лабораторным работам.
  • Конспект материалов курса (книга в pdf).
  • 30 дней поддержки - мы будем отвечать на ваши вопросы по материалам курса и лабораторным работам. Это касается только индивидуальных консультаций по курсу, сами видеоуроки по времени никак не ограничены.
  • 100 дней обновлений - если с момента покупки вами курса в течение 100 дней выйдет его обновление, то мы предоставим вам новую версию без доплат.

Стоимость курса 10000 рублей (≈ $175). 

Для имеющих официальный сертификат MikroTik 2-го уровня скидка 20% на все курсы MikroTik.

Для имеющих официальный сертификат MikroTik MTCNA скидка 20% на курс "Настройка оборудования MikroTik" (аналог MTCNA) и 10% на все остальные курсы MikroTik.

О способах оплаты читайте в разделе Как купить.

Требования к предварительной подготовке по программе "Управление трафиком на MikroTik": Опыт работы с оборудованием MikroTik и операционной системой RouterOS на уровне MTCNA.

Мы не являемся авторизованным учебным центром MikroTik и не выдаем сертификат MTCTCE.

 

Курсовая работа: настроить маршрутизатор MikroTik

По ходу обучения мы настроим маршрутизатор в соответствии со следующим заданием.

Схема сети

Легенда

У компании три офиса: головной офис, филиал №1 и филиал №2. Филиал №2 появился недавно за счет покупки конкурента, который имел свою IT-инфраструктуру. Оказалось, что конкурент использовал ту же самую IP-подсеть, что и головной офис. Это вызывает затруднения при использовании site-to-site VPN. По ряду причин оперативно изменить адресацию ни в головном офисе, ни в филиале №2 нельзя.

Компания использует собственный почтовый сервер. В целях безопасности этот сервер вынесен в демилитаризованную зону.

Так же используется собственный сервер IP-телефонии. Номер телефона предоставляется провайдером телефонии. Используются IP-телефоны Cisco.

Часть сотрудников имеют право подключаться извне с помощью client-to-site VPN.

Защита сети

  1. На брандмауэре должен быть разрешен только определенный входящий трафик. Любой другой трафик должен блокироваться.
  2. Доступ по SSH из Интернета должен быть возможен только после того, как к маршрутизатору в течении одной минуты попробуют подключится по портам: 1000, 2000, 3000. Именно в этой последовательности.
  3. Все DNS запросы должны обрабатываться только через DNS-сервер, указанный на маршрутизаторе, даже если в настройках компьютера указан другой DNS-сервер. При этом компьютер должен думать, что ему отвечает сервер, указанный в настройках.
  4. Маршрутизатор должен быть защищен от следующих видов атак. Во всех случаях, если это возможно IP-адрес с которого идет атака должен заноситься в черный список и блокироваться.
    • Поиск открытых портов для дальнейшей попытки взлома устройств.
    • DDoS-атаки через отражение (DNS Amplification).
    • Попытка подбора пароля (brute-force атака) SSH.
  5. В сети должна использоваться демилитаризованная зона (DMZ - Demilitarized Zone). В нее должен быть вынесен почтовый сервер.
  6. В случае, если отражение атаки занимает ресурсы маршрутизатора, то затрачиваемые ресурсы должны быть минимизированы.
  7. В сети должна использоваться беспроводная гостевая сеть. Клиентам гостевой сети не должны быть доступны ресурсы локальной сети и наоборот.
  8. В целях предотвращения взлома сервер IP-телефонии извне должен быть доступен только для VPN-клиентов и провайдера телефонии.
  9. Любой трафик от провайдера телефонии должен проходить свободно и не должен блокироваться файрволом.
  10. В зависимости от размера пакета при прохождении пакета через 25 правил файервола производительность может снизиться от 2-х до 10 раз. Например, для RB750Gr3 при использовании пакетов размером 1518 байт без файервола скорость будет 1972 МБ/с, а в случае прохождения через 25 правил файервола 1128 МБ/с. При использовании пакетов размером 64 байта без файервола скорость будет 530 МБ/с, а в случае прохождения через 25 правил файервола всего 48 МБ/с. Указанная конфигурация подразумевает большое количество правил, которые могут существенно снизить нагрузку на маршрутизатор. Поэтому правила должны быть не просто расставлены в правильном порядке, но еще и должна использоваться возможность перехода с одного правила на другое минуя лишние правила, чтобы не тратить на их обработку ресурсы процессора маршрутизатора.

Приоритезация трафика (QoS - Quality of Service)

Необходимо настроить правила использования интернет-канала шириной 20 Мб/с. При настройке надо использовать не «Simple Queue», а «Queue Tree», т. к. в этом случае снижается нагрузка на процессор и появляется возможность использовать более гибкие настройки.

  1. На случай максимальной загрузки канала максимальный приоритет должен иметь управляющий трафик (WinBox, SSH).
  2. Трафик IP-телефонии должен иметь приоритет перед всем остальным трафиком без учета управляющего трафика. При этом надо учитывать, что сервер телефонии периодически загружает большое количество обновлений. Поэтому нельзя использовать приоритезацию по IP-адресу сервера, т. к. в таком случае большой приоритет получит и лишний трафик, который может выдавить голосовой трафик.
  3. Трафик между локальной сетью и DMZ не должен иметь ограничений по скорости.
  4. Если канал использует одно устройство из основной сети, то ему доступна вся скорость полностью.
  5. Если из основной сети подключаются второе и последующее устройства, то скорость делится между ними пропорционально запросам. То есть, если одно устройство просит 10 Мб/с, а другое 3 Мб/с, то скорость так и распределяется. Если каждое подключенное устройство запрашивает по 20 Мб/с, то скорость делится между ними поровну.
  6. В сети есть VIP-пользователи: директор и главный бухгалтер. В самом плохом случае им должно быть доступно не менее 2 Мб/с каждому.
  7. Если канал используют устройства из гостевой сети, то на все подключенные устройства доступно не более 5 Мб/с. При этом должна быть доступна возможность кратковременно превысить этот лимит с пиком до 10 Мб/с.
  8. Если за канал конкурируют устройства из гостевой и основной сети, то:
    • Устройства основной сети могут занять весь канал, когда нет запросов от устройств гостевой сети.
    • Устройства гостевой сети получают скорость в соответствии со своими запросами, но не более 2 Мб/с на всех.

DHCP

  1. В сети используются IP-телефоны Cisco. При получении IP-адреса по DHCP они так же должны получать информацию о том где брать файл с настройками.
  2. Несмотря на то, что DHCP-запросы распространяются только в одном широковещательном домене клиенты, которые находятся в филиале №2 должны иметь возможность получать настройки от DHCP-сервера (GW1), который находится в филиале. Для этого во втором филиале должен быть настроен DHCP-relay.

DNS

В сети нет выделенного DNS-сервера. Поэтому эту функцию должен выполнять маршрутизатор MikroTik.

Для всех серверов должны быть созданы статические записи A-типа.

Web-Proxy

Маршрутизатор MikroTik должен использоваться в качестве прозрачного прокси-сервера.

  1. Должно быть запрещено использование системы прокси-серверов TOR.
  2. Должно быть запрещена возможность подключения к серверам SIP-телефонии находящимся вне компании.
  3. В случае попытки посещения сайтов из «черного списка» должна происходить переадресация на страницу с предупреждением о том, что посещение этих ресурсов запрещено правилами компании.

Прочее

  1. В головном офисе и филиале №2 используется одна и та же IP-подсеть. Это затрудняет использование site-to-site VPN. Необходимо решить эту проблему без изменения адресации.
  2. Определенной группе пользователей должны быть недоступны социальные сети: ok.ru, vk.com, facebook.com. Они должны быть недоступны даже через анонимайзеры.

Содержание курса

Коричневым цветом выделены темы, которых нет в официальной программе MTCTCE.

Модуль1. Схема прохождения пакетов

  • Почему важно понимать схему прохождения пакетов?
  • Полный обзор схемы прохождения пакетов
  • Простые примеры как пакеты проходят через диаграмму (маршрутизация, бриджинг, подключение к маршрутизатору и др.)
  • Более сложные примеры использования диаграммы
  • Распространенные ошибки

Модуль 2. Брандмауэр filter/nat/mangle

Отслеживание прохождения соединения

  • Connection Tracker
  • Возможные проблемы при использовании Connection Tracker, 2 WAN и IP-телефонии

Фильтры

  • Что не умеет брандмауэр MikroTik
  • Основы сетевой и информационной безопасности
  • Цепочки (по умолчанию и настроенные вручную)
  • Обзор всех видов действий (actions)
  • Обзор наиболее часто используемых правил (conditions)
  • Bridge Firewall
  • Брандмауэр в реальной жизни
  • Гостевая сеть
  • DMZ
  • Доступ после перебора портов
  • Распространенные атаки
  • RAW-Filter
  • Защита от сканирования портов
  • Защита от DoS-атаки
  • Доступ к SSH после перебора портов
  • Layer-7 Filter
  • Блокировка сайтов, торрентов и Tor
  • Настройка правил для оптимизации производительности
  • Поиск ошибок в файрволе

NAT

  • Цепочки (по умолчанию и настроенные вручную)
  • Обзор всех видов действий (actions)
  • Обзор наиболее часто используемых правил (conditions)
  • NAT helpers
  • NAT и IP-телефония

Таблица правил для манипуляции с пакетами (mangle)

  • Цепочки (по умолчанию и настроенные вручную)
  • Обзор всех видов действий (actions)
  • Обзор наиболее часто используемых правил (conditions)
  • Примеры сложны условий (conditions) (вкладки “advanced” и “extra”)

uPNP


Модуль 3. Quality of Service

  • HTB (Hierarchical Token Bucket, Иерархический буфер токенов)
    • Основная информация по HTB
    • Внедрение HTB (дерево очередей)
    • Структура HTB
    • Двойное ограничение на HTB
  • Burst (режим вспышки или форсированный режим)
  • Виды очередей
    • FIFO
    • SFQ
    • RED
    • PCQ
    • Размер очереди
  • Простые очереди
  • Взаимодействие простой очереди и дерева очередей

Модуль 4. DNS client/cache

  • Простая настройка
  • Создание статических записей DNS

Модуль 5. DHCP client/relay/server

  • Принцип работы протокола DHCP
  • Идентификация и настройка DHCP-клиента
  • Настройка DHCP-сервера
    • DHCP сети
    • Опции DHCP (встроенные и настраиваемые вручную)
    • Диапазоны IP (пулы)
    • Расширенные возможности DHCP
  • Настройка DHCP ретранслятора

Модуль 6. Web Proxy

  • Основные настройки
  • Список правил прокси
    • Список доступа
    • Список прямого доступа
    • Список кэша
  • Постоянные выражения

Задавайте вопросы

+7 499 653-76-01
ежедневно, c 10:00 до 20:00 по мск

This email address is being protected from spambots. You need JavaScript enabled to view it.

Мы ВКонтакте