Управление трафиком на MikroTik. Аналог MTCTCE

Курс второго уровня. Содержит:

• все темы из официальной программы MikroTik Certified Traffic Control Engineer;
• дополнительный материал, основанный на опыте работы с MikroTik и RouterOS.

Что вы получите, заказав курс?

Требования к предварительной подготовке по программе "Управление трафиком на MikroTik": Опыт работы с оборудованием MikroTik и операционной системой RouterOS на уровне MTCNA.

Мы не являемся авторизованным учебным центром MikroTik и не выдаем сертификат MTCTCE.

Живые отзывы

В нашей группе ВКонтакте уже более 2500 человек и есть ветка обсуждения курса-аналога MTCTCE.

Среди оставивших отзывы есть специалисты с официальными сертификатами.

Обсуждение курса ВКонтакте

Сколько стоит курс?

15000 рублей (≈ $230)

Для имеющих официальный сертификат MikroTik 2-го уровня скидка 20% на все курсы MikroTik.

Для имеющих официальный сертификат MikroTik MTCNA скидка 10% на курс MTCTCE и на все остальные курсы 2-го уровня, а также скидка 20% на курс "Настройка оборудования MikroTik"

Чтобы воспользоваться скидкой, отправьте на This email address is being protected from spambots. You need JavaScript enabled to view it. номер вашего сертификата MikroTIk.

Мы принимаем оплату на карту Сбербанка, Яндекс.Кошелек и др. способами.
Для юр. лиц и ИП — оплата по счету от юр. лица. Реквизиты для выставления счета высылайте на This email address is being protected from spambots. You need JavaScript enabled to view it..
Для оплаты не из РФ — Western Union, PayPal и др.
Обо всех вариантах оплаты читайте в разделе Как купить.

Возврат денег

Если вас не устроит качество курса и вы сообщите об этом в течение 30 дней после покупки - я верну деньги.

Быстрая оплата через Яндекс.Кассу

Название курса

Сумма платежа

E-mail *

Мы обрабатываем заявки вручную, поэтому ответ придет в течение 12 часов (обычно в течение 3 часов). Если прошло больше времени, а письма от нас нет - проверьте спам.
Если нет и там — звоните +7 499 653-76-01.

Курсовая работа: настроить маршрутизатор MikroTik

По ходу обучения мы настроим маршрутизатор в соответствии со следующим заданием.

Схема сети

Легенда

У компании три офиса: головной офис, филиал №1 и филиал №2. Филиал №2 появился недавно за счет покупки конкурента, который имел свою IT-инфраструктуру. Оказалось, что конкурент использовал ту же самую IP-подсеть, что и головной офис. Это вызывает затруднения при использовании site-to-site VPN. По ряду причин оперативно изменить адресацию ни в головном офисе, ни в филиале №2 нельзя.

Компания использует собственный web-сервер. В целях безопасности этот сервер вынесен в демилитаризованную зону.

Так же используется собственный сервер IP-телефонии. Номер телефона предоставляется провайдером телефонии. Используются IP-телефоны Cisco.

Часть сотрудников имеют право подключаться извне с помощью client-to-site VPN.

Защита сети

1. Для доступа к маршрутизатору из Интернета должен быть разрешен только определенный входящий трафик (SSH, WinboBox и др.). Любой другой трафик должен блокироваться.
2. Доступ по SSH из Интернета должен быть возможен только после того, как к маршрутизатору в течении одной минуты попробуют подключится по портам: 1234, 2345, 3456. Именно в этой последовательности.
3. Все DNS запросы должны обрабатываться только через DNS-сервер, указанный на маршрутизаторе, даже если в настройках компьютера указан другой DNS-сервер. При этом компьютер должен думать, что ему отвечает сервер, указанный в настройках.
4. Маршрутизатор должен быть защищен от атак. Во всех случаях, если это возможно IP-адрес с которого идет атака должен заноситься в черный список и блокироваться.
   • Поиск открытых портов для дальнейшей попытки взлома устройств.
   • DDoS-атаки через отражение (DNS Amplification).
   • DDoS-атаки TCP SYN-flood.
   • DDoS-атаки TCP http-flood.
   • Другие виды DDoS атак.
   • Попытка подбора пароля (brute-force атака) SSH.
5. В сети должна использоваться демилитаризованная зона (DMZ - Demilitarized Zone). В нее должен быть вынесен web-сервер.
6. В случае, если отражение атаки занимает ресурсы маршрутизатора, то затрачиваемые ресурсы должны быть минимизированы.
7. В сети должна использоваться беспроводная гостевая сеть. Клиентам гостевой сети не должны быть доступны ресурсы локальной сети и наоборот.
8. В целях предотвращения взлома сервер IP-телефонии извне должен быть доступен только для VPN-клиентов.
9. Правила должны быть не просто расставлены в правильном порядке, но еще и должна использоваться возможность перехода с одного правила на другое минуя лишние правила, чтобы не тратить на их обработку ресурсы процессора маршрутизатора. В зависимости от размера пакета при прохождении пакета через 25 правил файервола производительность может снизиться от 2-х до 10 раз. Указанная конфигурация подразумевает большое количество правил, которые могут существенно снизить нагрузку на маршрутизатор. Например, для RB750Gr3 при использовании пакетов размером 1518 байт без файервола скорость будет 1972 Мбит/с, а в случае прохождения через 25 правил файервола 1128 Мбит/с. При использовании пакетов размером 64 байта без файервола скорость будет 530 Мбит/с, а в случае прохождения через 25 правил файервола всего 48 Мбит/с.

Приоритезация трафика (QoS - Quality of Service)

Необходимо настроить правила использования интернет-канала шириной 20 Мбит/с. При настройке надо использовать «Queue Tree».

1. На случай максимальной загрузки канала максимальный приоритет должен иметь управляющий трафик (WinBox, SSH).
2. Трафик IP-телефонии должен иметь приоритет перед всем остальным трафиком без учета управляющего трафика. При этом надо учитывать, что сервер телефонии периодически загружает большое количество обновлений. Поэтому нельзя использовать приоритезацию по IP-адресу сервера, т. к. в таком случае большой приоритет получит и лишний трафик, который может выдавить голосовой трафик.
3. Трафик между локальной сетью и DMZ не должен иметь ограничений по скорости.
4. Если канал использует одно устройство из основной сети, то ему доступна вся скорость полностью.
5. Если из основной сети подключаются второе и последующее устройства, то скорость делится между ними пропорционально запросам. То есть, если одно устройство просит 10 Мбит/с, а другое 3 Мбит/с, то скорость так и распределяется. Если каждое подключенное устройство запрашивает по 20 Мбит/с, то скорость делится между ними поровну.
6. В сети есть VIP-пользователи: директор и главный бухгалтер. В самом плохом случае им должно быть доступно не менее 2 Мбит/с каждому.
7. Если канал используют устройства из гостевой сети, то на все подключенные устройства доступно не более 5 Мбит/с. При этом должна быть доступна возможность кратковременно превысить этот лимит с пиком до 10 Мбит/с.
8. Если за канал конкурируют устройства из гостевой и основной сети, то:
   • Устройства основной сети могут занять весь канал, когда нет запросов от устройств гостевой сети.
   • Устройства гостевой сети получают скорость в соответствии со своими запросами, но не более 2 Мбит/с на всех.

Прочее

1. В головном офисе и филиале №2 используется одна и та же IP-подсеть. Это затрудняет использование site-to-site VPN. Необходимо решить эту проблему без изменения адресации.
2. Определенной группе пользователей должны быть недоступны социальные сети: ok.ru, vk.com, facebook.com. Они должны быть недоступны даже через анонимайзеры.
3. Веб-сервер, расположенный в DMZ, должен быть доступен из DMZ по IP-адресу WAN-интерфейса (технология Hairpin NAT).

Коричневым цветом выделены темы, которых нет в официальной программе MTCTCE.

Модуль1. Схема прохождения пакетов

• Почему важно понимать схему прохождения пакетов?
• Полный обзор схемы прохождения пакетов
• Простые примеры как пакеты проходят через диаграмму (маршрутизация, бриджинг, подключение к маршрутизатору и др.)
• Более сложные примеры использования диаграммы
• Специфика выбора интерфейсов: физические и виртуальные
• Распространенные ошибки

Модуль 2. Брандмауэр filter/nat/mangle

Отслеживание прохождения соединения

• Connection Tracker
• Возможные проблемы при использовании Connection Tracker, 2 WAN и IP-телефонии

Фильтры

• Что не умеет брандмауэр MikroTik
• Основы сетевой и информационной безопасности
• Цепочки (по умолчанию и настроенные вручную)
• Обзор всех видов действий (actions)
• Обзор наиболее часто используемых правил (conditions)
• Bridge Firewall
• Брандмауэр в реальной жизни
• Гостевая сеть
• DMZ
• FastTrack
• Доступ после перебора портов
• Распространенные атаки
• RAW-Filter
• Защита от сканирования портов
• Защита от DoS-атаки
• Доступ к SSH после перебора портов
• Layer-7 Filter
• Блокировка сайтов, торрентов и Tor
• Настройка правил для оптимизации производительности
• Поиск ошибок в файрволе

NAT

• Цепочки (по умолчанию и настроенные вручную)
• Обзор всех видов действий (actions)
• Обзор наиболее часто используемых правил (conditions)
• Проброс портов и частые ошибки
• Netmap
• Hairpin NAT
• NAT helpers
• NAT и IP-телефония
• NAT, 2 WAN и IP-телефония

Таблица правил для манипуляции с пакетами (mangle)

• Цепочки (по умолчанию и настроенные вручную)
• Обзор всех видов действий (actions)
• Обзор наиболее часто используемых правил (conditions)
• Примеры сложных условий (conditions) (вкладки “advanced” и “extra”)
• Распространенные ошибки
• Лучшие практики по маркировке трафика
• Маркировка трафика для IP-телефонии
• Маркировка маршрутов

uPNP

Модуль 3. Quality of Service

• HTB (Hierarchical Token Bucket, Иерархический буфер токенов)
  • Основная информация по HTB
  • Внедрение HTB (дерево очередей)
  • Структура HTB
  • Двойное ограничение на HTB
• Burst (режим вспышки или форсированный режим)
• Виды очередей
  • FIFO
  • SFQ
  • RED
  • PCQ
  • Размер очереди
• Простые очереди
• Взаимодействие простой очереди и дерева очередей
• Настройка правил для оптимизации производительности
• Приоритезация для VPN
• Распространенные ошибки
• DSCP

После изучения курса вы можете пройти тестирование, это включено в стоимость курса.
По итогам тестирования выдается сертификат: