مرور مختصری بر میکروتیک - ام تی سی ان ای / MIKROTIK - MTCNA
میکروتیک در سال 1996 در کشور لیتوانی تشکیل شده است.
میکروتیک اولین محصول خود که یک سیستم عامل مبتنی بر لینوکس بود را تحت عنوان RouterOS در سال 1997 منتشر کرد.
پس از آن در سال 2002 اولین محصول سخت افزاری خود را با نام RouterBoard معرفی کرد.
محصولات میکروتیک در وب سایت MikroTik.com قابل مشاهده هستند.
دوره ابتدایی میکروتیک که MTCNA نام دارد حدود 50 درصد از کار با RouterOS را به شما آموزش میدهد. و پس از آن دوره های تخصصی زیادی دارد:
دوره MTCRE که مربوط به مباحث مسیریابی می باشد
دوره MTCWE که مباحث مربوط به تنظیمات ارتباطات بی سیم است
دوره MTCTCE که مباحث مربوط به ترافیک کنترل می باشد
دوره MTCUME که مباحث مربوط به مدیریت یوزر ها می باشد
دوره MTCIPv6E که مباحث مربوط به تنظیمات IPv6 است
دوره MTCSE که مباحث مربوط به امنیت می باشد
شاید بتوان گفت که مهم ترین دلیل موفقیت RouterOS میکروتیک همه کاره بودن آن است.
میکروتیک قادر است که به عنوان روتر صنعتی، روتر خانگی، اکسس پوینت، وایرلس و استیشن فعالیت کند.
روتر میکروتیک همچنین قابلیت وی پی ان سرور شدن و وی پی ان کلاینت شدن را نیز داراست.
روتر میکروتیک قادر است اقدامات فایروالی نیز هم به انجام برساند.
همچنین می توانید از روتر میکروتیک برای مدیریت پهنای باند خود استفاده کنید.
میکروتیک دارای کتاب مرجع رسمی نمی باشد اما در عوض در وب سایت خود داکیومنت های کاملی دارد
بخش نرم افزار وب سایت میکروتیک ورژن های مختلفی از RouterOS را به همراه دیگر نرم افزار های جانبی مانند WinBox دارد.
MikroTik.com/download
در بخش سخت افزار سایت میکروتیک تجهیزات سخت افزاری در دسته بندی های بسیاری وجود دارند .
روتر اترنت/Ethernet router :
روتر هایی که فقط از کابل اترنت و فیبر نوری پشتیبانی میکنند و دارای کارت شبکه بی سیم نمی باشند.
سوئیچ ها/Switches
تجهیزات وایرلس بیرونی / Wireless Systems
مودم ها و روتر های خانگی و اداری به همراه کارت شبکه وایرلس/ Wireless Home And Office
تجهیزاتی که درگاه ورودی سیم کارت دارند/LTE/5G Product
تجهیزات شبکه مربوط به هوشمند سازی/IoT Product
تجهیزات وایرلس با کارت شبکه 60 گیگاهرتز/60GHz Product
و ...
برای نصب سیستم عامل میکروتیک روی مجازی ساز ها میتوانید نسخه رسمی سیستم عامل را از وب سایت رسمی میکروتیک بخش نرم افزار ها با گزینه ای که در روبرو مشخص شده است مطابق با معماری پردازنده X86 دانلود کنید.
این نسخه دارای لایسنس لول 0 است و محدودیت های بسیاری دارد.
از طرفی می توانید نسخه کرک شده مخصوص VMWare را در قالب OVA با لایسنس لول 6 دانلود کنید.
زیرا سیستم عامل میکروتیک دارای تنظیمات پیش فرضی از شرکت است و از آنجا که ما در ماشین های مجازی از سیستم عامل کرک شده استفاده می کنیم و این سیستم عامل علاوه بر تنظیمات پیشفرض شرکت، تنظیمات وب سایتی که از آن دانلود کرده اید را نیز دارد پس حتما باید در اولین ارتباط سیستم عامل را "ریست بدون تنظیمات پیش فرض" کنید. برای این کار باید یکی از سه روش زیر را انجام دهید:
1 - میتوانید این کار را از طریق WinBox در مسیر system/reset configuration با زدن تیک No Default انجام دهید
2- از طریق cli با زدن دستور زیر
[admin@Mik] > system/reset-configuration no-defaults=yes
3- .1از طریق صفحه وب مسیر webfig/system/reset configuration
بعد از این کار بهتر است یک نام مشخص برای روتر خود تنظیم کنید . توجه کنید که این اسم، نام خود دستگاه است مانند Computer Name در ویندوز و لینوکس و …
برای انجام این کار سه روش زیر مقدور است:
1- این کار را از طریق WinBox در مسیر system/identity با زدن تیک No Default میتوانید انجام دهید
2- .1از طریق cli با زدن دستور زیر
[admin@Mik] > system/identity/set name=Mikrotik
3- .1از طریق صفحه وب مسیر webfig/system/identity
برای مشاهده تنظیمات پیش فرض میتوانید دستور زیر را در خط فرمان وارد کنید:
system/default-configuration print
پکیج های اضافی میکروتیک که شامل لیست روبرو می باشند به صورت پیشفرض بر روی روتر نصب نمی باشند و شما باید پکیج اضافی را دقیقا مطابق با نسخه سیستم عامل خود دانلود کنید و از طریق آپلود کردن داخل فایل و ریبوت کردن روتر آن را نصب کنید .
برای ارتباط با دستگاه های میکروتیک سه روش وجود دارد :
1- از طریق ارتباط کابلی با روتر و نرم افزار Winbox
2- از طریق ارتباط کابلی با روتر و صفحه وب
3- از طریق ارتباط کابلی با روتر و telnet یا ssh
برای ارتباط با روتر قبل از ریست کردن دستگاه میتوانید از آدرس پیشفرض 192.168.88.1 استفاده کنید. نام کاربری admin بدون پسورد است .
در راهنمای زیر روش استفاده و ورود به Winbox شرح داده شده است:
1- آدرس ای پی یا مک آدرس دیوایسی که میخواهیم به آن متصل بشیم
2- یوزرنیم 3. رمز عبور 4. دکمه ذخیره اطلاعات 5. آدرس های ذخیره شده
6. همسایه های لایه ۲ ای که با آنها در یک برودکست دامین هستید . این کار طریق پروتکل MNDP که بر روی پورت UDP 5678 کار می کند انجام می شود.
توجه کنید که در تنظیمات پیش فرض روتر های خانگی میکروتیک این پروتکل روی پورت ۱ روتر خاموش است و باید برای پیدا کردن روتر کابل را به پورت ۲ متصل کنید.
همچنین این پروتکل در تنظیمات پیش فرض اکسس پوینت های میکروتیک روی پورت های Ethernet غیر فعال است و باید برای پیدا کردن روتر از طریق پورت های وایرلس متصل شوید.
یک سری توضیح کلی راجع به منوهای Winbox :
Quick Set : تنظیمات سریع برای کسانی که با روتر آشنایی ندارند . به هیچ عنوان از این گزینه استفاده نکنید
CAPsMAN : روش کنترل یکپارچه اکسس پوینت های میکروتیک
Interfaces : لیست تمامی اینترفیس های فیزیکی و مجازی روتر مانند Vlan ، EoIP Tunnel و …
Wireless : لیست اینترفیس های بی سیم و تنظیمات مربوط به آنها
WireGuard : لیست اینترفیس های وی پی ان وایرگارد و تنظیمات مربوط به آنها
Bridge : لیست اینترفیس های بریج ، تنظیمات بریج ها و تنظیمات مربوط به پورت های بریج ها
PPP : تنظیمات مربوط به وی پی ان ها
Switch : تنظیمات مربوط به عملکرد سوئیچینگ
Mesh : تنظیمات مش وایرلس
IP : تمامی تنظیمات مربوط به IPv4 مانند آدرس ها ، مسیریابی ، فایروال و ….
IPv6 : تمامی تنظیمات مربوط به IPv6 مانند آدرس ها ، مسیریابی ، فایروال و ….
MPLS : تنظیمات مربوط به اتصالات MPLS در روتر
Routing : تمامی تنظیمات مربوط به جداول مسیریابی ، پروتکل های مسیریابی و …
System : تمامی تنظیمات مربوط به خود سیستم عامل مانند ساعت ، نام ، ریست کردن و ….
Queues : تنظیمات مربوط به کنترل پهنای باند یا همان QOS
Files : محتویات هارد درایو سیستم عامل
Log : تمامی لاگ های سیستم عامل
RADIUS : تنظیمات مربوط به اتصال به AAA Server ها
New Terminal : صفحه ترمینال یا خط فرمان جدید
Dot1X : تنظیمات مربوط به اتصال به سرور Dot1X
کلید Safe Mode در Winbox : در مواقعی که ما به صورت از راه دور به یک روتر متصل هستیم و امکان قطع شدن اتصال وجود دارد و در صورت قطع اتصال، دسترسی به روتر غیرممکن می شود با فشردن این دکمه در صورتی که اتصال شما قطع شود روتر بین یک تا پنج صبر می کند و سپس تمامی تنظیمات به قبل از فشردن دکمه باز می گردد.
در Winbox کلید + برای اضافه کردن است. کلید - برای پاک کردن، کلید تیک برای فعال کردن و ضربدر برای غیر فعال کردن است .
برای دیدن پسورد ها در قسمت Setting نوار بالا تیک Hide Password را بردارید. برداشتن این تیک رمز عبور کاربر های خود سیستم عامل را نشان نمی دهد .
دستوراتی که در ترمینال میکروتیک وارد میکنیم دقیقا همان مسیر دکمه های Winbox گرافیکی است .
در مسیر IP/Neighbor تمامی همسایه هایی که روتر با آنها اتصال لایه 2 دارد را به همراه پورت واصل را در تصویر بالا مشاهده میکنید .
در قسمت IP/Services تمامی روش های اتصال به سیستم عامل و پورت های مربوط به آنها را مشاهده می کنید .
توجه کنید که گزینه های فعال، از روتر به اینترنت پورت های باز ایجاد می کنند که خطر حمله به روتر را افزایش می دهد ؛ پس حتما گزینه هایی که نیاز ندارید را غیر فعال کنید و پورت گزینه های مورد نیاز را تغییر بدهید که در اینترنت به سادگی قابل تشخیض نباشند .
اطلاعات نوار بالایی Webfig :
1.یوزری که با آن وارد شدید
2. ادرسی که با آن وارد شدید
3. روتر شناسایی / Identity Router
4. نرم افزاری که با آن متصل شدید
5. نسخه سیستم عاملی که به آن متصل شدید
6. معماری پردازنده
برای ایجاد یوزر جدید یا مدیریت یوزر ها به منو System Users مراجعه کنید.
برای ایجاد یوزر جدید روی Add کلیک کنید و سپس اطلاعات زیر را وارد کنید:
۱. نام یوزر
۲. گروه دسترسی
۳. آدرس های مجاز برای این یوزر
برای تعویض پسورد یوزر های میتوانید روی یوزر کلیک راست کنید و گزینه Password را انتخاب کنید یا یوزر را باز کنید و در سمت راست بر روی کلید Password کلیک کنید
در قسمت گروه ها میتوانید گروه های مختلف با سطح دسترسی دلخواه خود اضافه کنید.
برای مثال اگر فقط تیک Winbox را بزنید اعضا این گروه از طریق روش های دیگر مثل Webfig یا ssh نمیتوانند به روتر متصل شوند.
برای به روزرسانی سیستم عامل میتوانید از دو روش استفاده کنید:
.1به مسیر system/packages بروید گزینه check for updates رو بزنید و نسخه مورد نیاز خود انتخاب کنید
.2مطابق با معماری پردازنده خود پکیج Main package را دانلود کنید ؛ پکیج را در فایل ها آپلود کنید و روتر را ریبوت کنید بعد از ریبوت روتر با سیستم عامل جدید لود می شود
حتما توجه داشته باشید که در صورتی که میخواهید آپدیت را روی یک روتر سخت افزاری انجام دهید قبل از آپدیت سیستم عامل، Firmware برد روتر را آپگرید کنید
این کار را از مسیر System/RouterBOARD میتوانید انجام دهید
توجه کنید برای آپدیت اینترنتی حتما نیاز به DNS Server داریم.
همونطور که در تصویر روبرو میبینید ، سه روتر به یکدیگر متصل اند و به روتر ۳ یک سوئیچ متصل است .
پس در تصویر روبرو چهار برودکست دامین متفاوت داریم . برای اتصال این شبکه ها به یکدیگر باید به پورت های روتر در رنج های متفاوت ای پی بدهیم .
برای آدرس دادن ( IPv4 ) به پورت های میکروتیک باید به قسمت IP/Address بروی, در اینجا لیست آدرس های روتر را مشاهده میکنید .
در قسمت Address باید IPv4 مورد نظرتان را وارد کنید . حتما توجه کنید که در انتهای آی پی Subnet Mask را به شکل Prefix مانند 24/ وارد کنید وگرنه آی پی بدون رنج و 30/ در نظر گرفته می شود .
روتر میکروتیک قابلیت این را دارد که بر روی یک اینترفیس چندین آدرس تنظیم شده داشته باشد.
در منو روبرو کلید Enable / Disable برای فعال و غیر فعال کردن این آدرس؛ Comment برای نوشتن توضیح برای این آدرس ؛ Copy برای ایجاد یک صفحه جدید و Remove برای حذف آدرس استفاده می شود
روتر ها مانند تجهیزات EndPoint ما مثل گوشی ها و لپتاپ ها به صورت خودکار از DHCP Server آدرس دریافت نمی کنند و ما باید به صورت دستی این کار را انجام دهیم .
برای انجام این کار در میکروتیک به منو IP > DHCP Client بروید و بر روی Add کلیک کنید.
در صفحه جدیدی که باز می شود چند گزینه داریم :
۱. اینترفیس : ما میدانیم که هر پورت روتر در برودکست متفاوتی کار می کند پس با انتخاب اینترفیس برای دریافت آدرس، برودکست مورد نظر خودتان را انتخاب میکنید
۲. برای دریافت سرور DNS به همراه آدرس تیک گزینه Use Peer DNS را انتخاب کنید.
۳. برای دریافت سرور تنظیم ساعت به همراه آدرس تیک گزینه Use Peer NTP را انتخاب کنید.
۴. ما میدانیم که برای ارتباط با سیستم های غیر هم رنج باید از Default Gateway استفاده کنیم که در روتر ها به نام Default Route می باشد ؛ پس برای دریافت اینترنت این گزینه را روی Yes قرار دهید.
۲. برای دریافت سرور DNS به همراه آدرس تیک گزینه Use Peer DNS را انتخاب کنید.
۳. برای دریافت سرور تنظیم ساعت به همراه آدرس تیک گزینه Use Peer NTP را انتخاب کنید.
۴. ما میدانیم که برای ارتباط با سیستم های غیر هم رنج باید از Default Gateway استفاده کنیم که در روتر ها به نام Default Route می باشد ؛ پس برای دریافت اینترنت این گزینه را روی Yes قرار دهید.
۱. در قسمت Dst.Address مقدار 0.0.0.0/0 را وارد می کنیم که معنای "همه به غیر از شبکه های شناخته شده" برای روتر است.
۲. آدرس گیت وی Gateway : آدرس Default Gateway مورد نظر .
برای دیدن همسایه های لایه ۲ ای روتر به منو IP > Neighbur مراجعه کنید.
توجه کنید که در این پنجره فقط دستگاه های لایه ۲ ای مثل سوییچ ها و لایه ۳ ای مثل روتر ها نمایش داده میشود.
برای اینکه متوجه شوید از کدام پورت روتر به چه دستگاهی متصل هستید میتوانید از این پنجره استفاده کنید .
برای تنظیم کردن DNS Server باید به منو IP > DNS بروید .
در قسمت Server میتوانید سرور های DNS را ست کنید .
در قسمت Dynamic Server میتوانید سرور هایی که به صورت خودکار تنظیم شده اند را مشاهده کنید.
برای اینکه بتوانید از روتر میکروتیک به عنوان DNS Server دیگر دستگاه ها استفاده کنید حتما باید تیک گزینه Allow Remote Request را انتخاب کنید.
برای اینکه بتوانید از روتر به دستگاه های دیگر اینترنت بدهید باید روی روتر خود یک Nat از نوع Masquerade ایجاد کنید.
برای اینکار به منو IP > Firewall > NAT بروید و یک NAT جدید ایجاد کنید.
گزینه Chain را روی srcnat قرار دهید و در منو Action گزینه Action را روی masquerade قرار دهید.
برای دریافت فایل بک اپ به قسمت Files بروید و روی گزینه Backup کلیک کنید. باید برای این فایل یک اسم انتخاب کنید و اگر بخواهید میتوانید یک رمز هم انتخاب کنید.
توجه داشته باشید که اگر برای فایل رمز بزارید موقع بازگردانی فایل به رمز نیاز خواهید داشت.
این فایل با فرمت .backup ساخته می شود و هش شده می باشد و برای ما قابل خواندن نیست.
در صورتی که یک فایل بک آپ قابل خواندن میخواهید باید با استفاده از ترمینال و دستور export میتوانید یک فایل .rsc دریافت کنید که برای شما قابل خواندن است.
توجه داشته باشید که اگر میخواهید تنها از یک قسمت روتر پشتیبان بگیرید میتوانید از طریق ترمینال وارد آن منو شوید و فقط آن قسمت را پشتیبان بگیرید.
برای اینکه بتوانیم از یک روتر به روتر دیگری اینترنت بدهیم باید ۲ شرط را برقرار کنیم :
۱ . یکی از پورت های روتر باید به اینترنت متصل باشد و بر روی آن پورت به یکی از روش های آدرس دستی یا DHCP Client آی پی صحیح تنظیم شده باشد.
۲.بر روی یکی از پورت های دیگر روتر یک آی پی از یک رنج متفاوت تنظیم شده باشد و با آدرس همرنج به سیستم یا روتر دیگر متصل باشد.
برای اینکه بتوانیم سیستم روتر روبرو را تنظیم کنیم باز می توانیم از روش آدرس دستی استفاده کنیم یا بر روی روتر خود DHCP Server راه اندازی کنیم
برای این کار بر روی منو IP > DHCP Server رفته و بر روی گزینه DHCP Setup کلیک میکنید ؛ به ترتیب سوالات زیر پرسیده می شود:
۱. DHCP Server Interface : همانطور که پیشتر اشاره کردیم DHCP تنها میتواند در یک برودکست دامین کار کند و هر پورت روتر در برادکست دامین متفاوتی کار میکند به همین علت باید پورتی که میخواهیم سرویس ارائه آدرس را انجام دهد انتخاب کنیم .
. DHCP Address Space : آدرس رنجی که می خواهید آی پی ها را در آن توزیع کنید ( همان آدرس برودکست دامین ) .
۳. Gateway for DHCP Network : آدرس Default Gateway یا همان Default Route مورد نظر که به Client ارائه می شود.
۴. Address to Give Out :آدرس های قابل ارائه یا همان IP Pool که ظرف آدرس های یک DHCP Server است.
در این بخش می توانید تک آدرس بدهید یا با علامت - به منظور از یک آدرس تا یک آدرس انتخاب کنید یا یک رنج آدرس بدهید
۵.DNS Server : آدرس DNS Server مورد نظری که میخواهید به Client ها ارائه دهید
۶. Lease Time : مدت زمان اشغال آدرس توسط کاربر است که بعد از تمام شدن زمان تا قطع شدن کارت شبکه کاربر از شبکه همچنان آدرس را نزد کاربر نگه می دارد.
در DHCP Server تب Lease آدرس هایی که سرور ما ارائه کرده است قابل مشاهده و مدیریت است.
با کلیک راست روی یک ردیف و انتخاب Make Static و یا باز کردن ردیف و انتخاب کلید Make Static میتوانید آن آدرس را برای مک مشخص شده ذخیره کنید یا آدرس دلخواهی برای این مک تنظیم کنید .
برای مشاهده لیست یا تنظیم ARP دستی میتوانید به منو IP > ARP بروید.
در منو Bridge روتر شما میتوانید یک اینترفیس مجازی لایه ۳ ای که نقش یک سوئیچ را اجرا کند ایجاد کنید . این اینترفیس مجازی به شما این قابلیت را می دهد که پورت های روتر را به آن اضافه کنید و پورت ها را به وضعیت لایه دو ببرید و یا حتی با چندتا از پورت های روتر یک سوئیچ در روتر ایجاد کنید.
به مثال زیر توجه کنید :
فرض کنید یک روتر ۵ پورت دارید ؛ دو بریج در روتر میسازید به نام های Bridge 1 و Bridge 2 . به Bridge 1 پورت های Ether 1 و Ether2 را اضافه میکنیم ؛ حالا انگار ما یک روتر ۴ پورت داریم که یکی از پورت ها به یک سوئیچ ۳ پورت متصل است .
به Bridge 2 پورت Ether 3 را اضافه میکنیم . ما هنوز یک روتر ۴ پورت داریم با این تفاوت که پورت Ether 3 دیگر قابلیت دریافت تنظیمات لایه ۳ ای ندارد برای مثال نمیتوان روی این پورت DHCP Server راه اندازی کرد .
برای اعمال تنظیمات لایه ۳ ای بر روی پورت هایی که عضو یک Bridge هستند باید تنظیمات را بر روی Bridge مربوطه که عضو آن هستند انجام دهیم .
تصویر روبرو مربوط به Packet Flow در تجهیزات میکروتیک است . Packet Flow به معنی این است که وقتی یک بسته به روتر میرسد روتر چه تصمیمی درباره آن بسته می گیرد یا بهتر است بگوییم چه فرایندی برای تصمیم گیری در مورد بسته طی میکند .
در تصویر روبرو ۴ باکس وجود دارد که به ترتیب انجام می شود:
۱. تصمیمات بریج(پل) Bridge Decision : در صورتی که پورت دریافت کننده بسته عضو یک بریج باشد بسته وارد باکس Bridge Decision می شود.
۲. تصمیمات ام پی ال اس/ MPLS Decision : در صورتی که پورت دریافت کننده بسته یک پورت مجازی MPLS باشد بسته وارد باکس MPLS Decision می شود .
3.در صورتی که ۲ حالت بالا نباشد و بسته دریافت شده از نوع IP باشد بسته وارد باکس Routing Decision می شود .
4.در صورتی که هیچ یک از حالات بالا نباشد مقصد بسته خود روتر است و روتر بسته را Encapsulation می کند.
اولین مرحله تصمیم گیری در باکس Bridge Decision مرحله Bridge DST-NAT است . در منو Bridge تب Nat میتوانید قوانین Nat بر روی مک آدرس ها ایجاد کنید .
تب DST NAT در بریج بسته هایی که با یک مک خاص کار دارند را به یک مک دیگر ارسال می کند.
باکس بعدی USE IP Firewall است که برای فعال شدن آن باید به منو Bridge تب Bridge بروید و بر روی دکمه Setting کلیک کنید و گزینه Use IP Firewall را فعال کنید .
در صورتی این گزینه را فعال کنید ترافیک لایه ۲ ای به سمت فایروال لایه ۳ ای روتر هدایت می شود
در منو Bridge تب Filter می توانید چیزی شبیه به فایروال برای بسته های لایه ۲ ایجاد کنید . باید توجه کنید که بسته ها در صورتی شامل این فیلتر ها می شوند که پورت ورودی بسته ها عضو یک Bridge باشد.
مهمترین وظیفه تجهیزات لایه ۳ مسیریابی است . این عملکرد مطابق با جدول مسیریابی روتر انجام می شود.
این جدول به ۳ روش تکمیل می شود :
۱ . Connected Route : مسیر های متصل مسیر هایی هستند که به صورت اتومات هنگامی که به یکی از پورت های روتر آدرس می دهیم ایجاد می شوند و مسیر های متصل به روتر را مشخص میکنند ؛توجه داشته باشید که بالاترین اولویت در مسیریابی با مسیرهای متصل است . همانطور که در تصویر زیر میبینید برای هر آدرس یک مسیر متصل وجود دارد.
۲. Static Route : مسیر های دستی مسیر هایی هستند که خود ادمین ایجاد می کند ؛ فرم کلی این مسیر ها به این صورت است که ابتدا شبکه مقصد را مشخص میکنید و سپس Gateway به سمت آن شبکه که عموما آدرس پورت روتر بعدی که نزدیکتر به شبکه مقصد است می باشد. به مثال زیر مسیر های متصل توجه کنید .
۳. داینامیک/ Dynamic : این مسیر ها به صورت خودکار توسط روتینگ پروتکل ها یا DHCP Client ایجاد می شوند.
اولویت در مسیر های روتر بنا بر Distance مسیر ها است که هرچی Distance کمتر باشد اولویت بالاتری دارد.
مسیر های متصل Distance 0 دارند و مسیر های دستی بین ۱ تا ۲۵۵ به صورت دلخواه است
اولویت بعدی را Longest Prefix یا بزرگ ترین Subnet تعیین میکند.
در قسمت تجهیزات سخت افزاری سایت میکروتیک ۳ بخش برای تجهیزات وایرلس است .
سیستم وایرلس/Wireless System که مربوط به تجهیزات بیرونی یا OutDoor است
روترهای Wireless For Home and Office که عموما روتر های داخلی با قابلیت وایرلس هستند.
تجهیزات 60GHz Products که تجهیزات وایرلس پهنای باند ۶۰ گیگاهرتز هستند.
به تکرار سینوسی هر موج یا به اصطلاح از هر قله به قله بعد یا از هر دره تا دره بعد فرکانس می گویند.
واحد شمارش فرکانس در ۱ ثانیه Hertz Hz است.
به تعداد تکرار این سینوس در یک ثانیه تعداد فرکانس میگویند.
مثلا در تصویر روبرو فرکانس ۳۰ هرتز است چون در یک ثانیه ۳۰ دفعه سینوس تکرار شده است.
تجهیزات وایرلس در ۳ باند فرکانسی 2.4GHz و 5GHz و 60GHz فعالیت می کنند. لازم است بدانید هرچه فرکانس بالاتر میرود فاصله قابل پشتیبانی کم می شود و طول موج بالا می رود برای مثال باند ۶۰ گیگاهرتز تنها در مسافت ۱۰۰ متر عمل میکند.
کمپانی IEEE استاندارد های بسیاری در مورد وایرلس دارند که با کد IEEE 802.11 شروع میشوند و اسامی با حروف مانند روبرو دارند.
استاندارد های مختلف در سرعت ارتباط و مسافت ارتباط با هم تفاوت دارند.
باند فرکانسی 2.4GHz دارای ۱۴ کانال ۲۲ مگاهرتزی است که در کشور های مختلف تعداد کانال مختلفی برای عموم قابل استفاده است . مثلا در آمریکا ۱۱ کانال قابل استفاده است ، در ایران ۱۳ کانال قابل استفاده است و در ژاپن هر ۱۴ کانال قابل استفاده است .
تجهیزات مختلف این کانال ها را به شکل متفاوتی نشان میدهند ، مثلا مودم های خانگی با شماره ۱ تا ۱۴ نشان می دهند ولی روتر میکروتیک عدد بین کانال را در نظر میگیرد برای مثال کانال ۶ در روتر میکروتیک ۲۴۳۷ است.
همانطور که میبینید در این ۱۴ کانال که بر روی هم قرار گرفته اند ۳ کانال کاملا مجزا از هم داریم که کانال های ۱ و ۶ و ۱۱ هستند .
تنظیمات وایرلس در منو WIreless قرار دارد.
در قسمت WIFI Interface میتوانید لیست کارت شبکه های وایرلس دستگاه را مشاهده کنید .
در تب Registration میتوانید دستگاه های متصل به کارت شبکه را مشاهده کنید.
در تب General تمام تنظیمات معمولی مربوط به تمام Interface ها قرار دارد.
در تب Wireless تنظیمات مربوط به کارت شبکه بی سیم قرار دارد.
استاتوس/Status وضعیت کارت شبکه است و در قسمت Traffic میتوانید ترافیک عبوری از کارت شبکه را مشاهده کنید .
در سمت راست با گزینه Advanced Mode میتوانید تمام گزینه ها را مشاهده کنید . گزینه ها به ترتیب زیر هستند :
۱. Mode : وضعیتی که کارت شبکه در آن قرار دارد مثل فرستنده و گیرنده ( Station , Access Point )
۱.۱ alignment only : این وضعیت کارت شبکه را در حالتی مانند فایندر قرار می دهد که برای تنظیم پوینت تو پوینت ها استفاده می شود.
۱.۲ ap bridge : کارت شبکه در وضعیت فرستنده قرار می گیرد و چندین گیرنده میتوانند به آن متصل شوند. مانند مودم های داخل منزل
۱.۳ bridge : کارت شبکه در وضعیت فرستنده قرار می گیرد و تنها یک گیرنده میتواند به آن متصل شود. مانند ارتباطات P2P رادیویی
۱.۴ station : وضعیت گیرنده لایه ۳ ای ( این کارت شبکه عضو یک Bridge نمی شود.)
۱.۵ station bridge : تنها به فرستنده های میکروتیکی متصل می شود و می تواند عضو یک بریج باشد.
۱.۶ station pseudobridge : گیرنده لایه ۲ ای با قابلیت اتصال به فرستنده غیر میکروتیکی و عضویت در بریج
۱.۷ station pseudobridge clone : مانند وضعیت بالا است با این تفاوت که مک بسته ها موقع ارسال عوض نمی شوند
۲. Band : همان استاندارد های وایرلس است مانند b , g , n که در سرعت ارتباط موثر است . توجه کنید که اگر بر روی گزینه های ترکیبی قرار دهید کمترین استانداردی که تمامی گیرنده های مشترک باشند انتخاب می شود.
۳. Channel Width : عرض کانال است که هرچی بزرگتر باشد پهنای باند بیشتری دارد اما نویز بیشتری هم دریافت می کند.
۴. Frequency : کانال های ارتباطی مانند ۱۴ کانال 2.4GHz و کانال های باند های دیگر . ۵. SSID : اسم وای فای
۶. Radio Name : اسم کارت شبکه وایرلس ۷. Scan List : محدوده فرکانسی که در آن برای یافتن فرستنده جستجو می کند.
۷. Security Wireless : پروفایل های امنیتی که همان پسورد وایفای است . چه در وضعیت فرستنده باشید چه گیرنده اینجا رمز را انتخاب میکنید
۸. Frequency Mode : بازه فرکانسی و قدرت کارت شبکه را تعیین میکند
۸.۱ regulatory-domain : بنا بر قوانین کشور ها است مثلا در ایران ۱۳ کانال باز می شود .
۸.۲ superchannel : تمامی کانال ها باز است ولی توان رادیو محدود است .
۸.۳ manual - txpower : تمامی کانال ها باز است و توان رادیو در حالت دستی قرار گرفته است که میتوانید از تب Tx Power آن را تغییر دهید.
۹ . Country : کشور ۱۰ . Installation : محیط نصب مثل داخلی یا خارجی که روی توان رادیو تاثیر میگذارد.
۱۱. Default Authentication : همان مک فیلتر است که اگر این تیک را بردارید فقط با دستگاه هایی که در Access List يا Connect List قرار دارند می توانید ارتباط برقرار کنید.
۱۲. Default Forward : در صورتی که این تیک را بردارید دستگاه هایی که گیرنده شما هستند دیگر با یکدیگر ارتباط ندارند و فقط با فرستنده ارتباط دارند.
تب های دیگر وایرلس به شکل زیر هستند :
۱. Access List : مک فیلتر برای روتری که در وضعیت فرستنده (ap) قرار دارد و گیرنده ها را محدود میکند .
۲. Connect List : مک فیلتر برای روتری که در وضعیت گیرنده (station) قرار دارد و فرستنده را محدود می کند .
۳. Security Profile : پروفایل های امنیتی که همان رمز وای فای ها هستند و به شکل زیر ایجاد می شوند:
۳.۱ Name : اسم پروفایل ۳.۲ Mode : نوع پروفایل که روی گزینه dynamic keys قرار می دهید.
۳.۳ Authentication Types : الگوریتم رمزنگاری کلید که روی WPA2 PSK قرار می دهید
۳.۴ WPA2 Pre-Shared Key : رمز مورد نظر
توجه داشته باشید که در تجهیزات میکروتیک چه قصد داشته باشید بر روی یک وای فای رمز بگذارید چه بخواهید رمز یک وای فای را برای اتصال وارد کنید باید از این قسمت و به این شکل انجام دهید.
برای دسترسی به فایروال میکروتیک میتوانید از منو IP > Firewall این کار را انجام دهید. میکروتیک می تواند نقش یک فایروال لایه ۳ ای را انجام دهد .
تب های منو فایروال به ترتیب زیر هستند :
۱. Filter Rules : از این تب برای ایجاد محدودیت در ارتباطات استفاده می کنیم .
۲. NAT : این منو برای ایجاد سورس نت و دستینیشن نت ها استفاده می شود.
۳. Mangle : این تب برای برچسب زدن به بسته ها استفاده می شود.
۴. RAW : بسته هایی که شامل قوانین این قسمت بشوند به Connection Tracking روتر نمی روند
۵. Service Port : لیست پورت های سرویس دهنده مشهور
۶. Connection : جدول Connection Tracking
۷. Address List : لیست های آدرس
۸. Layer7 Protocol : لیست RegEx های لایه ۷ ای
ما در Filter Rule محدودیت هایی در ارتباطات ایجاد میکنیم .برای اینکار ابتدا در General یک سری شرط تعیین می کنیم که بنا بر آنها بسته هایی که باید شامل این فیلتر بشوند انتخاب می شوند سپس در Action اقدامی که باید بر روی این بسته ها اتفاق بیفتد را مشخص می کنید . قسمت های مختلف این منو به شرح زیر است:
۱. Chain : در این منو ۳ گزینه وجود دارد : ۱.۱ Input : بسته هایی که مقصدشان خود روتر است ، ۱.۲ Forward : بسته هایی که از روتر عبور میکنند یعنی از یک پورت وارد می شوند و از پورت دیگری خارج می شوند
۲. Src.Address : فیلد آدرس فرستنده هدر IP بسته ۳.. Dst.Address : فیلد آدرس گیرنده هدر IP بسته
۴.Protocol : قسمت پروتکل هدر IP بسته که پروتکل کلی بسته را به ما نشان میدهد ( مثلا TCP / ICMP / FTP و ..)
۵.Src.Port فیلد پورت فرستنده در هدر لایه ۴ بسته ۶.Src.Port فیلد پورت گیرنده در هدر لایه ۴ بسته
۷. Any.Port : مقدار این قسمت برای هر دو فیلد فرستنده و گیرنده چک می شود. ۸. In.Interface : پورت ورودی
۹. Out.Interface : پورت خروجی ۱۰. In.Interface List : لیست پورت های ورودی 11. Out.Interface List : لیست پورت های خروجی ۱۲. PacketMark : برچسب بسته ۱۳.Connection Mark : برچسب ارتباط
۱۴.Routing Mark : برچسب مسیر ۱۵.Routing Table : جدول مسیریابی
باکسی که کنار شروط است برای note یا غیر از این استفاده می شود
اقداماتی که روی بسته قابل انجام است به شرح زیر است :
۱.accept : پذیرفتن بسته ۲.add dst to address list : اضافه کردن آدرس گیرنده بسته به یک لیست
۳.add src to address list : اضافه کردن آدرس فرستنده بسته به یک لیست ۴.drop : انداختن بسته
۵.بسته را در لیست ارتباطات fast track قرار دادن ۶.jump : پریدن به نقطه مشخص شده از لیست فایروال ها
۷. log : اطلاعات کامل از بسته را log میکند ۸. passthrough : یکی به امار بسته اضافه میکند
۹.reject : انداختن بسته و ارسال یک پیام icmp به فرستنده ۱۰.return : بازگرداندن بسته به جایی که jump شده.
۱۱ .tarpit : دریافت بسته و باز نگه داشتن ارتباط TCP
در بخش NAT فایروال میکروتیک عموم شروط و بسیاری از اقدامات با بخش فیلتر ها یکسان است در لیست زیر Chain ها و اقدامات متفاوت را شرح می دهیم :
Chain :
۱. dstnat : بسته هایی که قرار است عمل Dst-Nat بر روی آنها انجام شود
۲.srcnat : بسته هایی که قرار است عمل Src-Nat بر روی آنها انجام شود
Action :
۱. dst-nat : آدرس گیرنده و پورت گیرنده بسته را با مقدار جدیدی عوض میکند
۲.masquerade : آدرس فرستنده بسته را با آدرس پورت فرستنده بسته عوض میکند
۳.src-nat : آدرس فرستنده بسته را با آدرس مشخص شده عوض میکند.
برای مدیریت پهنای باند در میکروتیک از منو Queues استفاده می کنیم .
در این بخش می توانیم دو عمل شکل دادن به ترافیک و اولویت بندی پهنای باند را انجام دهیم .
MIR به معنی حداکثر پهنای باند کاربر است که در میکروتیک Max Limit نام دارد
CIR به معنی حداقل پهنای باند کاربر است که حتما باید داشته باشد در میکروتیک به آن Limit At می گویند.
اولویت کاربر ها برای استفاده از پهنای باند مازاد در قسمت Priority تعیین می شود که از ۱ تا ۸ است و هرچه کمتر باشد اولویت بالاتری پیدا میکند.
برای ارتباط از راه دور در روتر ها ۲ روش Tunneling و VPN وجود دارد . که از تانل ها برای ارتباط بین روتر ها استفاده می کنیم و از VPN ها برای ارتباط کاربران با شبکه .
هنگام استفاده از تانل باید در هر دو سمت آدرس ثابت داشته باشند و بتوانند Ping یکدیگر را بگیرند .
هنگام استفاده از VPN ها تنها کافی است یکی از طرف ها که نقش Server را ایفا می کند آدرس ثابت داشته باشد . تنظیمات مربوط به VPN ها در منو PPP قرار دارد و تنظیمات مربوط به تانل ها در منو Interface
۱.VPN : برای راه اندازی وی پی ان باید یکی از پروتکل های موجود را انتخاب و آن را تنظیم کنید اما ابتدا چند اقدام است که بین تمامی آنها مشترک است .
۱.۱ IP > Pool : با استفاده از این منو باید یک ظرف آدرس برای کاربرانی که متصل میشوند ایجاد کنید .
۱.۲ PPP > Profile : ایجاد یک پروفایل:
Name : اسم این پروفایل
Local Address : آدرسی که روتر بر روی اینترفیس VPN خود قرار می دهد که میتواند تک آدرس باشد یا یک Pool IP
Remote Address : آدرسی است که به کاربر می دهیم ؛ این آدرس می تواند یک آدرس باشد یا یک Pool IP
DNS Server : آدرس DNS Server برای کاربرها
در قسمت limit میتوانید بر روی ارتباطاتی که از طریق این پروفایل متصل شده اند محدودیت قرار دهید .
برای ایجاد یوزرنیم و پسورد برای کاربر های VPN به منو PPP > Secret بروید و یک سکرت جدید ایجاد کنید .
Name : همان Username کاربر می باشد Password : رمز کاربر
Service : پروتکل هایی که با رمز کاربر میتوان به آنها متصل شد
Caller ID : آدرس دستگاه هایی که کاربر فقط می تواند با آن به سرور متصل شود
Profile : پروفایلی که رمز کاربر به آن متصل می شود و کاربرانی که با این رمز به سرور متصل شوند از آن پروفایل آدرس دریافت می کنند .
Limit Byte In / Out : محدودیت حجم برای آپلود و دانلود
برای راه اندازی VPN Server در میکروتیک در PPP > Interface پروتکل مورد نظر را فعال می کنیم .
بهتر است برای امنیت الگوریتم های mschap1 و mschap2 را غیر فعال کنیم .
در L2tp میتوانید IPSec را نیز فعال کنید.
SSTP بین دو دستگاه میکروتیک نیازی به سرتیفیکیت ندارد اما اگر کاربر غیر میکروتیکی باشد به سرتیفیکیت نیاز دارد.
کاربرانی که به VPN Server متصل شده اند را میتوانید از طریق تب Active Connection مشاهده کنید .
وی پی ان/VPN هایی که در بالا مشاهده کردیم از نوع لایه ۳ ای هستند میکروتیک از VPN لایه ۲ ای نیز تحت پروتکل PPPoE پشتیبانی می کند.
برای راه اندازی PPPoE سرور به منو PPP > PPPoE Server بروید و یک گزینه اد کنید :
نام سرویس دهنده/Service Name : اسم سرور Interface : پورت مورد نظری که سرویس را روی آن ارائه کنیم.
برای ایجاد VPN Client در میکروتیک به Interface بروید و بر روی Add کلیک و پروتکل دلخواه را انتخاب کنید .
در PPPoE Client ابتدا در General پورتی که سرویس را از آن دریافت می کنید انتخاب کنید سپس در Dial Out یوزرنیم و پسورد را انتخاب کنید
در بقیه پروتکل ها کافی است که در Dial Out آدرس سرور و یوزرنیم و پسورد را وارد کنید .
توجه داشته باشید که در پروتکل L2tp ممکن است لازم باشد IPSec را نیز وارد کنید.
خیلی متشکر که وقت گذاشتین و مطالعه کردین, امیدوارم براتون مفید بوده باشه
برای خوندن مطالب بیشتر و تماشای ویدئو های آموزشی/اطلاعات عمومی و دوره ها میتونین به لینک زیر مراجعه کنین .
با احترام, شاهین واثقی
