Управление трафиком на MikroTik. Аналог MTCTCE

Курс второго уровня. Содержит:

• все темы из официальной программы MikroTik Certified Traffic Control Engineer;
• дополнительный материал, основанный на опыте работы с MikroTik и RouterOS.

Что вы получите, заказав курс?

Требования к предварительной подготовке по программе "Управление трафиком на MikroTik": Опыт работы с оборудованием MikroTik и операционной системой RouterOS на уровне MTCNA.

По условиям компании MikroTik экзамен на сертификат MTCTCE можно сдать только на очном обучении, видеокурс такого права не дает.

Живые отзывы

В нашей группе ВКонтакте уже более 2500 человек и есть ветка обсуждения курса-аналога MTCTCE.

Среди оставивших отзывы есть специалисты с официальными сертификатами.

Обсуждение курса ВКонтакте

Сколько стоит курс?

Проекту 4 года! Отмечаем вместе!
Скидка 20% с 15 по 20 января включительно.

15000 рублей (≈ $225)

12000 рублей (≈ $180)

Скидка 25% при заказе комплекта курсов по управлению трафиком и настройке маршрутизации на MikroTik

30000 рублей (≈ $450)

22500 рублей (≈ $338)

Мы принимаем оплату на карту Сбербанка, Яндекс.Кошелек и др. способами.
Для юр. лиц и ИП — оплата по счету от юр. лица.
Для оплаты не из РФ — Western Union, PayPal и др.
Обо всех вариантах оплаты читайте в разделе Как купить, или воспользуйтесь формой оплаты Яндекс.Кассы.

Возврат денег

Если вас не устроит качество курса и вы сообщите об этом в течение 30 дней после покупки - я верну деньги.

Быстрая оплата через Яндекс.Кассу

Выберите курс Управление трафиком на MikroTik (аналог MTCTCE) Комплект из двух курсов-аналогов MTCTCE+MTCRE

Сумма платежа

E-mail *

Мы обрабатываем заявки вручную, поэтому ответ придет в течение 12 часов (обычно в течение 3 часов). Если прошло больше времени, а письма от нас нет - проверьте спам.
Если нет и там — звоните +7 499 653-76-01.

Курсовая работа: настроить маршрутизатор MikroTik

По ходу обучения мы настроим маршрутизатор в соответствии со следующим заданием.

Схема сети

Легенда

У компании три офиса: головной офис, филиал №1 и филиал №2. Филиал №2 появился недавно за счет покупки конкурента, который имел свою IT-инфраструктуру. Оказалось, что конкурент использовал ту же самую IP-подсеть, что и головной офис. Это вызывает затруднения при использовании site-to-site VPN. По ряду причин оперативно изменить адресацию ни в головном офисе, ни в филиале №2 нельзя.

Компания использует собственный web-сервер. В целях безопасности этот сервер вынесен в демилитаризованную зону.

Так же используется собственный сервер IP-телефонии. Номер телефона предоставляется провайдером телефонии. Используются IP-телефоны Cisco.

Часть сотрудников имеют право подключаться извне с помощью client-to-site VPN.

Защита сети

1. Для доступа к маршрутизатору из Интернета должен быть разрешен только определенный входящий трафик (SSH, WinboBox и др.). Любой другой трафик должен блокироваться.
2. Доступ по SSH из Интернета должен быть возможен только после того, как к маршрутизатору в течении одной минуты попробуют подключится по портам: 1234, 2345, 3456. Именно в этой последовательности.
3. Все DNS запросы должны обрабатываться только через DNS-сервер, указанный на маршрутизаторе, даже если в настройках компьютера указан другой DNS-сервер. При этом компьютер должен думать, что ему отвечает сервер, указанный в настройках.
4. Маршрутизатор должен быть защищен от атак. Во всех случаях, если это возможно IP-адрес с которого идет атака должен заноситься в черный список и блокироваться.
   • Поиск открытых портов для дальнейшей попытки взлома устройств.
   • DDoS-атаки через отражение (DNS Amplification).
   • DDoS-атаки TCP SYN-flood.
   • DDoS-атаки TCP http-flood.
   • Другие виды DDoS атак.
   • Попытка подбора пароля (brute-force атака) SSH.
5. В сети должна использоваться демилитаризованная зона (DMZ - Demilitarized Zone). В нее должен быть вынесен web-сервер.
6. В случае, если отражение атаки занимает ресурсы маршрутизатора, то затрачиваемые ресурсы должны быть минимизированы.
7. В сети должна использоваться беспроводная гостевая сеть. Клиентам гостевой сети не должны быть доступны ресурсы локальной сети и наоборот.
8. В целях предотвращения взлома сервер IP-телефонии извне должен быть доступен только для VPN-клиентов.
9. Правила должны быть не просто расставлены в правильном порядке, но еще и должна использоваться возможность перехода с одного правила на другое минуя лишние правила, чтобы не тратить на их обработку ресурсы процессора маршрутизатора. В зависимости от размера пакета при прохождении пакета через 25 правил файервола производительность может снизиться от 2-х до 10 раз. Указанная конфигурация подразумевает большое количество правил, которые могут существенно снизить нагрузку на маршрутизатор. Например, для RB750Gr3 при использовании пакетов размером 1518 байт без файервола скорость будет 1972 Мбит/с, а в случае прохождения через 25 правил файервола 1128 Мбит/с. При использовании пакетов размером 64 байта без файервола скорость будет 530 Мбит/с, а в случае прохождения через 25 правил файервола всего 48 Мбит/с.

Приоритезация трафика (QoS - Quality of Service)

Необходимо настроить правила использования интернет-канала шириной 20 Мбит/с. При настройке надо использовать «Queue Tree».

1. На случай максимальной загрузки канала максимальный приоритет должен иметь управляющий трафик (WinBox, SSH).
2. Трафик IP-телефонии должен иметь приоритет перед всем остальным трафиком без учета управляющего трафика. При этом надо учитывать, что сервер телефонии периодически загружает большое количество обновлений. Поэтому нельзя использовать приоритезацию по IP-адресу сервера, т. к. в таком случае большой приоритет получит и лишний трафик, который может выдавить голосовой трафик.
3. Трафик между локальной сетью и DMZ не должен иметь ограничений по скорости.
4. Если канал использует одно устройство из основной сети, то ему доступна вся скорость полностью.
5. Если из основной сети подключаются второе и последующее устройства, то скорость делится между ними пропорционально запросам. То есть, если одно устройство просит 10 Мбит/с, а другое 3 Мбит/с, то скорость так и распределяется. Если каждое подключенное устройство запрашивает по 20 Мбит/с, то скорость делится между ними поровну.
6. В сети есть VIP-пользователи: директор и главный бухгалтер. В самом плохом случае им должно быть доступно не менее 2 Мбит/с каждому.
7. Если канал используют устройства из гостевой сети, то на все подключенные устройства доступно не более 5 Мбит/с. При этом должна быть доступна возможность кратковременно превысить этот лимит с пиком до 10 Мбит/с.
8. Если за канал конкурируют устройства из гостевой и основной сети, то:
   • Устройства основной сети могут занять весь канал, когда нет запросов от устройств гостевой сети.
   • Устройства гостевой сети получают скорость в соответствии со своими запросами, но не более 2 Мбит/с на всех.

Прочее

1. В головном офисе и филиале №2 используется одна и та же IP-подсеть. Это затрудняет использование site-to-site VPN. Необходимо решить эту проблему без изменения адресации.
2. Определенной группе пользователей должны быть недоступны социальные сети: ok.ru, vk.com, facebook.com. Они должны быть недоступны даже через анонимайзеры.
3. Веб-сервер, расположенный в DMZ, должен быть доступен из DMZ по IP-адресу WAN-интерфейса (технология Hairpin NAT).

Коричневым цветом выделены темы, которых нет в официальной программе MTCTCE.

Модуль1. Схема прохождения пакетов

• Почему важно понимать схему прохождения пакетов?
• Полный обзор схемы прохождения пакетов
• Простые примеры как пакеты проходят через диаграмму (маршрутизация, бриджинг, подключение к маршрутизатору и др.)
• Более сложные примеры использования диаграммы
• Специфика выбора интерфейсов: физические и виртуальные
• Распространенные ошибки

Модуль 2. Брандмауэр filter/nat/mangle

Отслеживание прохождения соединения

• Connection Tracker
• Возможные проблемы при использовании Connection Tracker, 2 WAN и IP-телефонии

Фильтры

• Что не умеет брандмауэр MikroTik
• Основы сетевой и информационной безопасности
• Цепочки (по умолчанию и настроенные вручную)
• Обзор всех видов действий (actions)
• Обзор наиболее часто используемых правил (conditions)
• Bridge Firewall
• Брандмауэр в реальной жизни
• Гостевая сеть
• DMZ
• FastTrack
• Доступ после перебора портов
• Распространенные атаки
• RAW-Filter
• Защита от сканирования портов
• Защита от DoS-атаки
• Доступ к SSH после перебора портов
• Layer-7 Filter
• Блокировка сайтов, торрентов и Tor
• Настройка правил для оптимизации производительности
• Поиск ошибок в файрволе

NAT

• Цепочки (по умолчанию и настроенные вручную)
• Обзор всех видов действий (actions)
• Обзор наиболее часто используемых правил (conditions)
• Проброс портов и частые ошибки
• Netmap
• Hairpin NAT
• NAT helpers
• NAT и IP-телефония
• NAT, 2 WAN и IP-телефония

Таблица правил для манипуляции с пакетами (mangle)

• Цепочки (по умолчанию и настроенные вручную)
• Обзор всех видов действий (actions)
• Обзор наиболее часто используемых правил (conditions)
• Примеры сложных условий (conditions) (вкладки “advanced” и “extra”)
• Распространенные ошибки
• Лучшие практики по маркировке трафика
• Маркировка трафика для IP-телефонии
• Маркировка маршрутов

uPNP

Модуль 3. Quality of Service

• HTB (Hierarchical Token Bucket, Иерархический буфер токенов)
  • Основная информация по HTB
  • Внедрение HTB (дерево очередей)
  • Структура HTB
  • Двойное ограничение на HTB
• Burst (режим вспышки или форсированный режим)
• Виды очередей
  • FIFO
  • SFQ
  • RED
  • PCQ
  • Размер очереди
• Простые очереди
• Взаимодействие простой очереди и дерева очередей
• Настройка правил для оптимизации производительности
• Приоритезация для VPN
• Распространенные ошибки
• DSCP

После изучения курса вы можете пройти тестирование, это включено в стоимость курса.
По итогам тестирования выдается сертификат: