Scribd
Cargar
93 vistas8 páginas

MTCNA Notes

ayuda a balancear carga. Postrouting: despues de la ruta. RAW: maneja paquetes a nivel de kernel. ***Orden de las reglas importa, se aplican de arriba hacia abajo. --------------------------------------------------------------------------------------------- NAT: **Mascara de subred: 255.255.255.0 **Dirección IP privada: 192.168.1.0/24 **Dirección IP pública: 200.200.200.1 **Puerto público: 80 **Puerto privado: 8080 **Protocolo: TCP **Fuente: 192.

Cargado por

Karina Aguilar
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
93 vistas8 páginas

MTCNA Notes

ayuda a balancear carga. Postrouting: despues de la ruta. RAW: maneja paquetes a nivel de kernel. ***Orden de las reglas importa, se aplican de arriba hacia abajo. --------------------------------------------------------------------------------------------- NAT: **Mascara de subred: 255.255.255.0 **Dirección IP privada: 192.168.1.0/24 **Dirección IP pública: 200.200.200.1 **Puerto público: 80 **Puerto privado: 8080 **Protocolo: TCP **Fuente: 192.

Cargado por

Karina Aguilar
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Datos: **

Preg de exm:***

Subtemas: *

MTCNA day1

Nombre tiene significado en cada capa de la nomenclatura (se divide en 3 secciones) técnica:
RB951G-2HnD (2 cluster) (hay un tercer cluster).

RB: RouterBoard

9: Serie 900 (in these case)


5: Número de puertos del equipo

1: Número de tarjertas wireless.

G: Capacidad del puerto (gigabit en este caso, os ea que soporta hasta 1000Mbps).

H: Potencia (High Powered radio)

n: Estandar (300Mbps aguanta), (AC da 644Mbps) (TDMA: stream M2, AirMax)

D: número de antenas (Dual en este caso, puede ser T o Q (3 o 4))

**Puede buscar significados en wiki mikrotik routerOS/general manual product naming.

CCR: Cloud Core Router

*Modelo OSI: Entar a Mkt por capa 2 (fisica MAC) o capa 3 (IP address).

***MAC Winbox el acceso funciona en: port 20561 UDP

IP Winbox: TCP 8291

***MNDP: trabaja en port 5678 UDP (Mikt Network Discovery Protocol)

*DNS:
Server: colocar la ip dns asignada.

*System:

SNTP: Network Time Protocol, mantiene fecha y hora actualizada. Habilitarlo, especificar la ip
del servidor NTP. Especificar la zoma horaria si.

*Package:

***Preg exmn: Access poiint: paquete system y wireless indispensables para ello.

Static Rout solo requiere packet system porque esta opción viene ahí.

Routing tiene que estar si quiero ruteo dynamic.

Advance tool : Flood Ping, ip scan, netwatch, ping speed y SMS si apago el paquete Advance
tools.

*System Routerborad puedo ver la version de Firmware actual, original y al que se puede
actualizar.

Recomendación: Al actualizar software de preferencia actualizar el firmware también. Ambas


requieren reboot del equipo.

***conexion 115200Mbps para conectarse por consola. 8 data bits 1 stop bit no party.

SSH 22 TCP (cifrada)

Telnet 23 TCP (plana)

*CLI:

*DHCP client para WAN y DHCP Server para LAN

Minimo configurar: address en LAN, Gateway, DNS server WAN address como pasos iniciales.

¿Cuándo Actualizar? 1. Corregir un bug, 2. Utilizar una nueva función que traiga esa versión,
[Link] mejorado. (Equipos actualmente deberian estar minimo de la versión 6.40,
porque ahí se parcharon muchas de las vulnerabilidades antes existentes). SIEMPRE revisar los
Changelog (cambios hechos en las nuevas versiones).
Antes de actualizar, comprobar la arquitectura (Está al final entre paréntesis). ¿NPK o ZIP?

Nain Package (NPK, paquete estandar). Extra Package (ZIP) utilizado para actividades
específicas unicamente.

Comprobar la Version, long term, stable o testing.

Se puede actualizar descargando el archivo desde otro router (principal), en system auto
upgrade y se coloca la IP del Router principal, user y password de ese mismo.

CLI: systme routerborad upgrade.

*USERS:

*SERVICIOS:

Limitar uso de recursos

Limitar vulnearbilidades

TIPS: Desabilitar puertos no encriptados, cambiar puerto ssh a otro desconocido, restringir las
address desde donde se puede conectar. Dejar SSH, SSL API.

TIPOS DE RESPALDO...

-Binary backup (respaldo se puede

Los respaldos binarios unicamente sirven para el mismo equipo, no se puede en nuevos
equipos. Incluye contraseñas. CLI: system-backup save name=(escribir nombre)

File-Backup-name(no obligatorio)

-Export (respaldo unicamente se realiza por consola) /// export file=(Escribir nombre que
quiera). El export (tipo scrip) no me crea respaldo de las contraseñas, ya que es texto plano.
CLI: import nombre del archivo (ejm: import [Link]). Este para importar un backup.

Sugerencia: Luego de generar archivos de respaldo, ectraerlos para guardar en algun


almacenamiento externo.

LICENCIAS:

hay 6 niveles de licencia. [Link] 24hrs // [Link] infinita pero tiene limite de funciones //
[Link] CPE (wifi-client) permite enlaces PTP, pero no PT-MP, esta es en modo AP bridge. // 4-
5-6 son iguales pero con capacidades distintas, (Cantidad de VPNs varia de menor a mayor de
acuerdo a la licencia).
En la página de Mkt puede generarse una llave demo (licencia demo) para utilizarla. Se genéra
un código que se copy/paste en un new terminal en el equipo donde se quiere instalar la
licencia. ***Mímino Licencia 4 para ser un AP

Level 3: CPE, wireless client

Level 4: WISP

Level 5: larger WISP

Level 5:ISP Internal infraestructure (Cloud core)

***Posible pregunta de examen: Dan el nombre de un equipo y licencia, y preguntan cosas


específicas de si ese equipo con esa licencia lo permiten o no, estudiar licencias y que contiene
cada equipo acorde al nombre.

TIKTube, ahora en Youtube en el channel de mkt.

Num es para ver eventos de mkt proximos gratis y pagados.

------------------------------------------------------------------------------------------

Estandar actual de redes inalambricas 802.11

802.11:

** El Troughput es del 50% del bandwith teórico.

b: 2.4GHz 11Mbps // g: 2.4GHz 54Mbps // n: 20 y 40 de ancho de canal

Frecuencias...

Hay 11 Frecuencias de uso libre para USA, y 13 frecuencias para el resto (LatinAm);

2412, 2417, 2422, 2427, 2432, 2437, 2442, 2447, 2452, 2457, 2462, 2467, 2472
1 2 3 4 5 6 7 8 9 10 11 12
13

Los canales1, 6 y 11 no me crean Overlapping.

5GHz, recorre menor distancia que 2.4GHz pero hay más disponibilidad de frecuencias. 5GHz
compatible con el estandar 802.11a/n.

Tasa de Datos: Limitarlas acorde a lo conveniente, recordar que es el 50% de lo teórico.


DFS: dynamic Frecuency Selection

Parámetros para AP y para cliente...

-----------------------------------------------------------------------------------------------------------

CONFIGURACIONES/ LABORATORIO NOTES...

*Crear security ptofiles para configurar la password ya sea para ST o AP. Para conección debe
tener el AP y ST la misma Banda, el mismo ancho de canal y la misma frecuencia.

Default Auteticate desactivado no permite conexiones a menos que se encuentren en las Listas
de Acceso.

Puedo filtrar las conexiones wireless por medio de Address List, esto viene siendo una Withe
List. Desactivar autenticación, y de ese modo funcionará como blacklist.

Activar Port Insolation (leer sobre esto porque no escuche bien), limitar el Signal strength
range a un valor de -65 señal, recordar que un cliente pegado con mala señal afecta a todo el
enlace desde el AP.

Las reglas se verifican en el orden que se crean. Siempre que haya una columna con # el orden
va a importar.

Forwarding: define el AP si los clientes puden o no hablar entre ellos. Opción solo valida en el
AP.

Station Conection List...

Puedo hacer igual que AP, crear listas de acceso pero del lado de la estación, defino la
interface donde esta conectado el AP, decido si la acción a realizar es conectar o desconectar
del AP, igual defino un minimo de señal, un rango de tiempo y el security profile. Para aplicar
primero las reglas de las Listas, debo desactivar el default autent. recordar siempre que el
orden de las listas importa ya que en ese orden se ejecutan.

Desactivar WPS mode por seguridad, este genera un código de 4 digitos para conectarse sin
necesidad de la contraseña WPA PSK.
WPA-Enterprise: metodo de autenticación más seguro que PSK. También conocido como
802.1X, que utiliza EAP para autenticación.

Herramientas para ver uso de frecuencias y snooper, saca a los clientes al momento de
ejecutarse, unicamente el scaner permite conexión y ejecución de ella. por lo que no hacerlo
remoto o perderá gestión.

-----------------------------------------------------------------------------------------------------------

ROUTING

Routes: flags

X: Disabled (color gris, ruta no considerada cuando se realiza proceso de enrutamiento).

A: Active (por que está running)

D: Dynamic (las creadas automáticamente.

C: Connected (redes alcanzables de manera local).

S: Static (Ruta agregada manualmente por el usuario para enviar el trafico por una dirección en
particular).

***Cuando se agrega una ip valida sobre una interfaz running que sale en las rutas: DAC,
Dynamic, Active and Connected.

Routing mark establece politicas, poniendo una marca, se utilizan para balanceo de carga o
similares.

¿Porque utilizar Ruteo Estatico? Limita el uso de recursos (CPU).

---------------------------------------------------------------------------------------------

...BRIDGING...

Bridge capa 2, si quiero aplicar filtrados deben hacerse en la pestaña de bridge. Si se trabaja
con hadware of load, ahi si los filtros se hacen en rules de los SW.
Firewall capa 3

***Si se crea un bridge el dhcp debe realizarse sobre este y no sobre una intrfaz fisica, sino no
funcionará el server.

***El DHCP server se puede configurar para proveeer una ip static.

...NETWATCH...

puedo configurar un scrip y monitorear el estado de mi equipo, si esta down o up.

ejemplo: /tool e-mail send to=berthakarinaah@[Link] subject="Alerta Netwatch-


$[/system identity get name]" body="Fecha:$[/system clock get date]- Hora:$[/system clock
get time] status: UP" con un host en específico al que quiero monitorear, en este caso es la PC
por lo que el address host es la ip de mi compu.

...LOGS...

(estudiar más porque no escuché mucho).

---------------------------------------------------------------------------------------------

Firewall:

Servicio que permite y bloquea paquetes (capa 3).

Mangle no detiene paquetes, solo pone etiquetas. Los Filter si pueden bloquear paquetes.

Input: lo que sale del router.

Output : Lo que entra al router.

Forward: Lo que está de paso, no se origina ni va para el router como tal (ejm ping a google
desde la pc).

Filter Rules:
NAT: Cambios IP de origen y destino

Mangle: Pone etiquetas para calidad de servicios.

RAW: Maneja y bloquea paquetes para

FILTER RULES:

¿Que trafico va a supervisar la regla? (input, output o forward)

NAT:

**Source si quiere cambiar la de origen y dest si quiere cambiar la ip de destino.

MANGLE: tiene...

Prerouting: los paquetes ingresan y se registran en un sistema de rastreo.

(ver firewall conecctions tracking) cuando hay ip del router en la dst address es trafico input.
cuando en el source addres hay ip del router es un trafico de salida (output). cuando la ip de
origen y destino no es del router es forwarding.

**Poner un route table antes del connection tracking para eviar que consuman cpu por
ataques.

Input

Forward

Output

Postrouting

Para que el NAT funcione, el connection tracking debe estar actvado sino las reglas nat no
funcionaran.

***MNDP: puerto 5678 y protocolo UDP (discovery).

También podría gustarte