Tutoriales Basico para servidores mikrotik.
Tarea Programadas automaticion basica de mikrotik.
Diseño Basico HTML5 Personalizado Gratias.
Balanceo mikrotik basico failover.
Soporte atencion al cliente atencion remota en rede mikrotik proyecto.
¿Que es el Bonding?
El Bonding, Link Aggregation, PortChannel (como lo llama Cisco) o Teaming en versiones recientes de Linux, consiste en agrupar lógicamente 2 o más interfaces (hasta 8 en general), utilizado como redundancia con tiempos de convergencia bajo los 5 segundos y mediante algún balanceo de carga puede lograr sumar el ancho de banda de sus interfaces, aunque dentro de algunas limitaciones
En términos prácticos se crea una nueva interfaz virtual que cuenta con 2 o más interfaces esclavas, las que conectarán fisicamente los equipos entre si. Su operación se establece en Capa 2, por lo que es capaz de transportar VLANs, IPv4 e IPv6
Tipos de balanceo en bonding
Standard 802.3ad
El Standard 802.3ad, exige igual velocidad y modo duplex (full/half) para todas las interfaces. Permite recibir paquetes por cualquiera de las interfaces esclavas y establece un balanceo de carga en base a la dirección MAC de origen o destino. No puede asegurar que el paquete se responda por el mismo puerto que llegó, que afortunadamente no representa mayor problema dado que las interfaces esclavas no son controladas por el equipo y finalmente el paquete se presenta con la interface virtual como origen. El estado de salud de las interfaces es monitoreado por medio de MII cada 100ms (configuración default). Con Link Aggregation Control Protocol (LACP) se estable la coordinación entre los equipos para establecer la agregación
Otros mecanismos de Balance de Carga no Standard
Existen diferentes mecanismos para la distribución de los paquetes entre las interfaces, fuera del standard LACP, con sus ventajas e inconveniente, y no todos hacen un balance de carga realmente, en el caso de Mikrotik, éstos se basan en el desarrollo de Linux, de los que podemos destacar:
Round-Robin
Consiste en alternear ordenadamente cada paquete por cada una de las interfaces esclavas
Active-Pasive
Entrega todo el tráfico por la interfaz activa, y solo en caso de falla de ésta, se comienza a entregar por alguna de las pasivas que pasa a ser activa. Aunque no existe una mejor en el ancho de banda, puede ser una buen opción para respaldo, cuando la interface esclava se encuentra en un tercer equipo, que incluso no requiere de una configuración de bonding en la contraparte.
Xor
Por medio del cálculo de un Hash se determina por que puerto se entregará el tráfico, asegurando que la comunicación se mantendrá por el mismo puerto. En algunos casos podrían utilizar datos de capa 3.
Broadcast
Solo establece un mecanismo de respaldo de rápida convergencia, donde los paquetes se duplican en todas las interfaces del bonding
# DESARROLLO: ING. ROBERTH BARRERA
# CONTACTO: whatsapp = http://bit.ly/2Q1TEAq
# SOPORTE: https://bit.ly/3jIjUwY
#mikrored #Mtickets #RYCDW
Hace algunos años las redes Wireless se tenían que integrar de manera que cada Punto de Acceso WiFi funcionaba de manera independiente como un hub inalámbrico y la parametrización de espectro y canal a usar se hacia de manera independiente.
En las soluciones Enterprise la solución era contar con una controladora en sitio que básicamente era un servidor (hardware) desde donde era posible gestionar la configuración de los Puntos de Acceso, sin embargo en muchos casos el equipo requería un licenciamiento costoso o adquirir un hardware también costoso cuyo software solo funcionaba de fábrica.
Surge entonces un nuevo concepto orientado a la nube por parte de Meraki, el concepto es tan innovador que Cisco adquiere a la empresa y productos. Con Meraki la controladora para configuración de los puntos de acceso se centralizan con una interfaz web desde la cuál sin importar en dónde se esté se puede monitorear y validar lo que pasa en la red (o redes) WiFi de manera remota, lo que permite una gestión de múltiples sitios desde una misma consola de administración y desde cualquier parte del mundo.
Sin embargo Meraki, con todo su abanico de prestaciones y funcionalidades continua siendo una opción costosa dependiente de un licenciamiento anual que de no pagarse nos deja Access Points como cajas tontas inservibles, lo que al menos en México aun para muchas empresas no es viable. Así que Meraki queda en el segmento Enterprise para grandes corporativos o empresas internacionales o multisede.
¿Qué hace a Unifi de Ubiquiti diferente?
No hay licenciamiento. Es aquí donde comienzan a romper con lo acostumbrado, ya que al no haber licenciamiento se vuelve una solución muy accesible para múltiples mercados, desde el residencial hasta el de la pequeña o mediana empresa.
Ubiquiti ofrece de manera gratuita su Software de Controlador para los Puntos de Acceso WiFi para descarga en su página e instalable en cualquier computadora de escritorio o servidor, ya sea Windows, Linux o Mac OS. Entonces ya no se depende de un hardware o servidor en la nube de un tercero, cualquier computadora se vuelve el centro de control.
Unifi entonces vende su Puntos de Acceso (que también son accesibles en precio) con el Costo - Beneficio de que ofrece ya una solución centralizada con interfaz web que incluso se puede exponer con una IP pública para acceso en cualquier lugar con internet, esto da una gran ventaja para administrar múltiples redes wireless de múltiples oficinas a un muy bajo costo.
Pero ahí no termina, el punto disruptor en Ubiquiti Unifi es que provee también de actualizaciones gratuitas, y al menos hasta el día en que se publica éste post, es posible seguir actualizando un Punto de Acceso adquirido hace 4 años y sigue siendo compatible en una misma red con uno de reciente producción, así que un día nuestra red wireless cuenta con ciertas capacidades y al liberar Unifi una actualización (gratuita) de pronto nuestra red o administración de la red o las funciones de la controladora de pronto cuentan con nuevas funcionalidades que la hacen mejor que ayer de manera constante.
¿Dónde está el truco?
No cobrar licenciamiento también viene con un costo: SOPORTE. Acercarte a un ingeniero para recibir soporte es una tarea casi imposible. Se han esmerado en ofrecer información via blogs y base de conocimiento en su sitio, pero no encontrarás más. Dicho esto, hicieron también su tarea de contar con un producto intuitivo, de interfaz gráfica simple y confiable para casi no requerir de Soporte.
Una breve conclusión:
Si bien aun hay mercado específico para soluciones Enterprise como Meraki, Ruckus, Cisco, Aruba que podrían aun tener ventajas en temas de seguridad específicamente, es un hecho que Unifi llegó para quedarse y comerse un gran pedazo del pastel de un mercado que tal vez sus competidores no habían atendido adecuadamente.
Fuente: itatech
# DESARROLLO: ING. ROBERTH BARRERA
# CONTACTO: whatsapp = http://bit.ly/2Q1TEAq
# SOPORTE: https://bit.ly/3jIjUwY
#mikrored #Mtickets #RYCDW
QoS son las siglas de Quality of Service, que en español significa calidad de servicio. Esta frase, en el mundo de las comunicaciones, hace referencia a la calidad de la conexión que esperan tener distintos clientes conectados en una misma LAN, por ejemplo. QoS sirve, en resumidas cuentas, para poder priorizar cierto tráfico de datos a ciertos clientes (con clientes nos referimos a distintos dispositivos conectados al mismo router, ya sean smartphones, tablets, ordenadores…).
A fin de cuentas, QoS es un servicio que viene incluido en prácticamente todos los routers que ofrecen las compañías de internet. Aunque su funcionamiento es indiferente según el router (se basa en los mismos principios para priorizar el tráfico), en los routers de baja gama apenas tiene efecto alguno, a pesar de venir implementado de serie. Gracias al QoS, si un dispositivo está utilizando un gran ancho de banda (descargando por P2P por ejemplo) y no está asignado como dispositivo prioritario en el QoS, el resto de clientes podrán seguir accediendo a internet a una velocidad acorde a la contratada. Si por el contrario ese dispositivo sí está asignado como cliente prioritario y el resto no, podrá consumir prácticamente todo el ancho de banda él solo y dejar al resto sin apenas conexión.
De esta manera, el QoS permite priorizar el tráfico de datos entre clientes conectados al mismo router, se hayan conectado por WiFi o por cable. El servicio QoS es algo inherente al router, que es donde se centraliza todo el tráfico, por lo que si hay varios routers en la misma LAN habrá que configurar el QoS adecuadamente en cada uno de ellos. Hoy en día, con las redes FTTH el QoS pasa a un segundo plano ya que, por lo general, el ancho de banda que permiten estas redes es mucho más amplio que con las ADSL o WiMAX.
El servicio QoS permite priorizar el tráfico entre varios dispositivos conectados al mismo router. Con la masiva llegada del mundo gaming, los jugadores ven necesario establecer una prioridad en sus ordenadores o smartphones frente al resto de dispositivos que se conecten a la red. Esto permite solucionar problemas de lag en juegos cuando varios dispositivos están haciendo uso de internet a través del mismo router, por lo que es algo a tener en cuenta si eres gamer. Como decíamos antes, no todos los routers actúan por igual, en los de baja gama puede no llegar ni a notarse que el QoS está activado y configurado.
El QoS sirve también para priorizar tipo de tráfico hacia un mismo dispositivo. Una vez seleccionemos que una IP interna tiene prioridad sobre el resto, se puede seguir configurando minuciosamente para que, además, cierto tipo de tráfico tenga prioridad sobre otro para llegar a esta IP. Algunos routers de media y alta gama ya incorporan algoritmos preconfigurados que nos muestran en una lista qué tipo de tráfico deseamos priorizar, como determinados juegos online (LoL, WoW, Fortnite) o servicios multimedia como YouTube, Netflix, HBO… por lo que las opciones para configurarlo según nuestras necesidades son muy amplias.
También podemos utilizar el servicio QoS para asignar un ancho de banda máximo a cada dispositivo. Esto se traduce en limitar el ancho de banda de otros dispositivos de la red, especificando en el QoS un host o una IP (solo si se tiene el DHCP desactivado, con IPs estáticas). De esta manera, si disponemos de 100 Mbps de conexión y limitamos algún dispositivo a 10 Mbps, nunca podrá ir a una velocidad mayor.
# DESARROLLO: ING. ROBERTH BARRERA
# CONTACTO: whatsapp = http://bit.ly/2Q1TEAq
# SOPORTE: https://bit.ly/3jIjUwY
#mikrored #Mtickets #RYCDW
En el balanceo de carga usando el eNésimo paquete, cada regla tiene su propio contador. Cuando la regla recibe un paquete, el contador de la regla actual se incrementa en uno. Si el contador coincide con el valor de cada paquete será emparejado (match) y el contador se pondrá a cero.
Si el passthrough no se configura, entonces los paquetes se marcarán de la siguiente manera:
Ejemplos:
Es posible emparejar (hacer match) el 50% de todo el tráfico solo con una regla:
/ip firewall mangle
add action=mark-packet chain=prerouting new-packet-mark=AAA nth=2,1
Si se necesita más de una regla, entonces existen 2 formas de hacer coincidir los paquetes:
1. La primera regla ve todos los paquetes y hace coincidir (match) el 1/3 de todos. La segunda regla ve los 2/3 restantes de todos los paquetes y hace coincidir 1/2 de los mismos. La tercera regla ve y hace coincidir todos los paquetes que pasaron a través de as 2 reglas anteriores, es decir, el 1/3 de todos los paquetes (los que sobran).
RouterOS v6.38.0.01 –Balanceo de Carga
/ip firewall mangle
add action=mark-packet chain=prerouting new-packet-mark=AAA nth=3,1 passthrough=no
add action=mark-packet chain=prerouting new-packet-mark=BBB nth=2,1 passthrough=no
add action=mark-packet chain=prerouting new-packet-mark=CCC
2. Todas las reglas pueden ver todos los paquetes y cada regla hace coincidir (match) cada tercer paquete
/ip firewall mangle
add action=mark-packet chain=prerouting new-packet-mark=AAA nth=3,1 passthrough=yes;
add action=mark-packet chain=prerouting new-packet-mark=BBB nth=3,2 passthrough=yes;
add action=mark-packet chain=prerouting new-packet-mark=CCC nth=3,3 passthrough=yes;
IP Addresses
En el este ejercicio (Fig. 14-1), el router tiene 2 interfaces WAN con direcciones eth1=10.1.1.2/30 y eth2=10.20.1.2/30.
La interface LAN (ether3) tiene la dirección ether3=192.168.0.1/24
/ip address
add address=192.168.0.1/24 interface=eth3
add address=10.1.1.2/30 interface=eth1
add address=10.20.1.2/30 interface=eth2
Mangle
Todo el tráfico de los clientes cuya Dirección IP coincide con el address-list=impar se marca con las marcas de conexión y marcas de ruteo “impar". Después, el tráfico se excluye del procesamiento de sucesivas reglas de mangle en chain=prerouting
/ip firewall mangle
add chain=prerouting src-address-list=impar in-interface=eth3 action=mark-connection \
new-connection-mark=impar passthrough=yes
add chain=prerouting src-address-list=impar in-interface=eth3 action=mark-routing \
new-routing-mark=impar passthrough=no
Lo mismo sucede con los clientes cuya dirección IP coincide con el address-list=par.
/ip firewall mangle
add chain=prerouting src-address-list=par in-interface=eth3 action=mark-connection \
new-connection-mark=par passthrough=yes
add chain=prerouting src-address-list=par in-interface=eth3 action=mark-routing \
new-routing-mark=par passthrough=no
A continuación, lo que se hará es tomar cada segundo paquete que establece una nueva conexión (connection-state=new),
y se lo marcará como “impar”. Consecuentemente todos los paquetes sucesivos que pertenezcan a la misma sesión llevarán
la marca de conexión “impar”.
Nótese que:
RouterOS v6.38.0.01 –Balanceo de Carga
/ip firewall mangle
add chain=prerouting in-interface=eth3 connection-state=new nth=2,1 \
action=mark-connection new-connection-mark=impar passthrough=yes
add chain=prerouting in-interface=eth3 action=add-src-to-address-list \
address-list=impar address-list-timeout=1d connection-mark=impar passthrough=yes
add chain=prerouting in-interface=eth3 connection-mark=impar action=mark-routing \
new-routing-mark=impar passthrough=no
Las siguientes reglas hacen lo mismo que el grupo anterior para la mitad restante del tráfico.
El código significa que cada nueva conexión que se inicia a través del router desde la red local será marcada como “impar” o “par” con ambas reglas de marcado de conexión y de ruteo.
/ip firewall mangle
add chain=prerouting in-interface=eth3 connection-state=new nth=2,2 \
action=mark-connection new-connection-mark=par passthrough=yes
add chain=prerouting in-interface=eth3 action=add-src-to-address-list \
address-list=par address-list-timeout=1d connection-mark=par passthrough=yes
add chain=prerouting in-interface=eth3 connection-mark=par action=mark-routing \
new-routing-mark=par passthrough=no
Las reglas funcionan bien, sin embargo, hay algunas situaciones en que la misma dirección IP está listada en ambos addresslist (par e impar). Este comportamiento ocasiona problemas cuando las aplicaciones requieren conexiones persistentes.
Para solucionar este inconveniente se debe agregar la siguiente regla a las reglas de mangle. Esto asegurará que las nuevas conexiones no sean parte del src-address-list=impar. Se tendrá que hacer lo mismo para las reglas de mangle “impar” y de esta forma excluir las direcciones IP que ya son parte del src-address-list=par.
add chain=prerouting in-interface=eth3 connection-state=new nth=2,2 \
src-address-list=!impar action=mark-connection new-connection-mark=par \
passthrough=yes
NAT
Se realiza el NATeo por las interfaces de salida correspondientes
/ip firewall nat
add chain=srcnat out-interface=eth1 action=masquerade
add chain=srcnat out-interface=eth2 action=masquerade
Routing
Todo el tráfico marcado como “impar” saldrá por el Gateway 10.1.1.1, y todo el tráfico marcado como “par” saldrá por el Gateway 10.20.1.1
/ip route
add dst-address=0.0.0.0/0 gateway=10.1.1.1 scope=255 target-scope=10 routing-mark=impar
add dst-address=0.0.0.0/0 gateway=10.20.1.1 scope=255 target-scope=10 routing-mark=par
Finalmente, se agrega una entrada adicional especificando que el tráfico del propio router (tráfico que no tiene routing mark) deberá salir por el Gateway 10.20.1.1
/ip route
add dst-address=0.0.0.0/0 gateway=10.20.1.1 scope=255 target-scope=10
Todo los link están libre de publicidad.
# DESARROLLO: ING. ROBERTH BARRERA
# CONTACTO: whatsapp = http://bit.ly/2Q1TEAq
# SOPORTE: https://bit.ly/3jIjUwY
# LINK DE SCRIPT: https://bit.ly/3mh3vAE
#mikrored #Mtickets #RYCDW
