Além da antiga linha MA56XX R017 e R018, desbloqueamos OLTs da linha MA5800 sendo a X2 X7 X15 ou X17.
Todas as controladoras MPLA, MPLB, MPSA, MPSC, MPSE, MPSG...
R019, R021, R022 R023 e agora também a R024
Entrar em contato whatsapp para valores (19) 98604-5016.
Primeiramente, ligue o switch, conectando o cabo serial console em um PC ou outro dispositivo, no meu exemplo utilizei um MikroTik CCR1009 que tem porta serial db9;
Aproveite e ligue um cabo de rede CAT5e em uma porta do PC/Router.
No meu exemplo deixei a porta 1 do switch ligado na ether5 da ccr;
Na ether5 deixei criado a vlan 3000 e o ip 10.11.104.1/24 na vlan;
Vamos configurar a interface serial0 do MikroTik com bauld rate em 9600 digitando no new terminal:
/port set 0 baud-rate=9600
vamos logar no switch pelo terminal do MikroTik:
/system serial-terminal serial0
Com acesso ao Huawei, no nosso exemplo um S5700, entre no modo de privilégio com o comando a seguir:
system-view
Em seguida, crie a vlan 3000 e depois saia da interface vlan:
vlan 3000
quit
Acesse a interface nº1 do switch que ligamos o cabo de rede na ether5 da CCR e habilite a vlan 3000 em modo trunk:
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 3000
quit
Vamos criar a interface VLAN 3000 (L3) e adicionar o ip de gerencia do equipamento:
interface vlanif 3000
ip address 10.11.104.2 255.255.255.0
quit
Verifique se o estado do switch está em modo de operação normal antes de prosseguir com o comando abaixo:
display device
Verifique qual firmware e patch está ativo atualmente com o comando abaixo:
display startup
Acesse o MikroTik via ftp com um usuario e senha cadastrado no mesmo:
ftp 10.11.104.1
Ative o modo binário com o comando abaixo para baixar o patch e firmware e depois baixe-os com os dois comandos abaixo:
binary
get S5700-P-LI-V200R011C10SPC600.cc
get S5700LI-V200R011SPH033.pat
quit
Depois disto confira os arquivos presentes na raíz do switch (flash:/)
dir
com o arquivo de firmware e patch armazenados na memória flash do switch, vamos carregá-los para que no próximo boot eles sejam ativos:
startup system-software S5700-P-LI-V200R011C10SPC600.cc
startup patch S5700LI-V200R011SPH033.pat
Salve as configurações com o comando abaixo:
save
Confira o próximo firmware e patch a ser carregados no próximo boot que seja a que vc acabou de enviar via FTP:
display startup
Reinicie o switch:
reboot
Pronto, após o boot e ter logado, pode verificar com os dois comandos abaixo que subiu a nova firmware/patch com êxito:
display verion
display startup
Este artigo supõe que seu PNETLab já esteja rodando e funcional, caso não tenha instalado ainda, siga a dica do camarada Christian do canal Café com backup:
ENTRE NO DIRETÓRIO DE IMAGENS
# cd /opt/unetlab/addons/qemu
CRIE A PASTA DO MKAUTH
# mkdir linux-mkauth
ENTRE NA PASTA CRIADA
# cd linux-mkauth/
FAÇA DOWNLOAD DA ISO DO MKAUTH
# wget https://iso.mk-auth.com.br/mk-auth.iso
RENOMEIE A ISO:
# mv mk-auth.iso cdrom.iso
CRIE O HDD INTERNO ONDE O MKAUTH SERA INSTALADO
# /opt/qemu/bin/qemu-img create -f qcow2 hda.qcow2 50G
AJUSTES FINAIS E FIX
# /opt/unetlab/wrappers/unl_wrapper -a fixpermissions
Recentemente tivemos um case de sucesso cujo cliente possuía um PC com um processador Intel Core I3 de terceira geração (modelo 3470) e queria testá-lo colocando esta maquina como B-RAS e separar borda e concentrador.
Pois bem, foi feito um up bacana nele com uma placa de rede Intel X520 e uma fonte Corsair para garantir que não nos deixe na mão.
Ligamos toda a base de clientes dele após ter feito alguns testes por alguns meses com alguns clientes, configuramos tal concentrador com uma pool de ipv4 privada que é feito cgnat no MikroTik de borda e contamos também com uma pool ipv6 entregando /56 na lan dos clientes conforme RFC.
O cenário é que temos uma máquina bem mais barata que uma CCR1009 (PC avaliado em 500 reais, fonte em 300, placa de rede em torno de mil reais) e com apenas 546 logins se comportou razoavelmente bem sem picos de CPU alto, mesmo em PPPoE, e entregamos utilizando controle de banda padrão Cisco que tem um "tchan" na hora do cliente consumir empurramos um pouco mais de banda por alguns segundos e depois o cliente consome exatamente o plano contratado, sem chegar abaixo do plano assinado.
Acreditamos que este B-RAS pode facilmente passar dos mil clientes sem efetuar quaisquer upgrades nele, tendo até mesmo mais capacidade que uma CCR1036/2116.
Verifique se encontra algum erro em seu "unbound.conf" com o comando:
unbound-checkconf /etc/unbound/unbound.conf
Caso esteja em um container no proxmox, que usa uma configuração diferente para entrega do DNS, rode os comandos a seguir, caso não utilize, pode pular esta etapa dos dois comandos e reiniciar o serviço do unbound:
systemctl stop systemd-resolved
systemctl disable systemd-resolved
Reiniciar o serviço do unbound:
service unbound restart
Altere o arquivo de DNS, apontando a loopback (local) do servidor:
nano /etc/resolv.conf
deixe somente assim:
nameserver 127.0.0.1
Firewall:
Edite o arquivo do NFtables:
nano /etc/nftables.conf
Inclua o conteúdo no arquivo:
#!/usr/sbin/nft -f
flush ruleset
table inet filter {
set acesso-dns4 {
flags interval
type ipv4_addr
elements = { 127.0.0.1, 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12, 100.64.0.0/10, 198.18.0.0/22 }
}
set acesso-dns6 {
flags interval
type ipv6_addr
elements = { ::1, 2001:db8::/32 }
}
chain input {
type filter hook input priority 0;
# Permite Acesso DNS na porta 53
ip saddr @acesso-dns4 udp dport 53 counter accept
ip saddr @acesso-dns4 tcp dport 53 counter accept
ip6 saddr @acesso-dns6 udp dport 53 counter accept
ip6 saddr @acesso-dns6 tcp dport 53 counter accept
udp dport 53 counter drop
tcp dport 53 counter drop
type filter hook input priority 0;
}
chain forward {
type filter hook forward priority 0;
}
chain output {
type filter hook output priority 0;
}
}
Olá à todos, sempre vejo tutoriais diferentes na internet, cada um ensinando de um jeito para liberar snmp na OLT para o Zabbix, pois bem, eu uso do jeito abaixo onde dá muito certo para utilizar.
Primeiramente sua OLT deverá estar devidamente configurada com vlan de gerencia, ip de gerencia inband
Depois de entrar no modo system-view e em seguida config, vamos criar uma acl e filtrar para somente o servidor do zabbix ter acesso, por boas práticas:
MA5800-X2(config)# acl 2000
set rule 1 permit source 10.180.1.26 0
set rule 100 deny
Primeiro permitimos o servidor Zabbix no caso, ip 10.180.1.26 com a wild card 0, ou seja, somente este host..
depois criamos uma regra descartando o resto...
saia da acl com a opção quit
Supondo que foi criado a vlan 1000 de gerencia, vamos permitir a passagem de snmp e coleta por ela:
MA5800-X2(config)# sysman source trap vlanif 11000
MA5800-X2(config)# sysman server source snmp vlanif 1000
Vamos permitir que qualquer tipo de palavra seja usada para community snmp:
MA5800-X2(config)# undo system snmp-user password security
Reforçamos a acl para permitir somente o ip do zabbix:
MA5800-X2(config)# snmp-agent acl 2000
Agora finalizamos com a sequencia:
MA5800-X2(config)# snmp-agent community read PUBLIC
MA5800-X2(config)# snmp-agent target-host trap-hostname "Zabbix" address 10.180.1.26 udp-port 161 trap-paramsname "NMS"
MA5800-X2(config)# snmp-agent sys-info version v2c
Pronto, agora pode rodar um snmpwalk em seu zabbix para a olt e testar.
OBS, community PUBLIC somente para documentação, jamais usar em produção ;-)
OBS 2: Testado na R21C11, na R22 o comando para permitir senha comum no snmp não está funcionando como acima, assim que souber a sintaxe correta atualizo o post
Muito tempo se passou desde a última vez que escrevi neste espaço.
Montei uma infraestrutura local para hospedar uma versão "melhorada" do blog em wordpress.
Posteriormente fiquei só com o site...
Porém depois de ter cancelado um serviço de link dedicado, resolvi hospedar o site em um espaço de um parceiro (meus sinceros agradecimentos a Juliano e Rafael pelo apoio). Afim de economizar recursos financeiros, ainda mais durante uma mudança de endereço, toda ajuda é bem-vinda.
Bom, agora estou atuando com BGP/BNGs Huawei, Cisco, e CGNAT da A10 Networks.
Olá prezados, decidi contribuir com a comunidade com esta dica de como fazer um balanceamento de links de forma eficaz e sem problemas de compatibilidade com aplicativos e jogos.
Neste método funciona da seguinte maneira:
Cada cliente sai e volta pelo mesmo link, dividindo cada cliente por um determinado link.
Facilidades:
Fácil identificação de problemas caso um dos links tem problema, os clientes que navegam por este link irão reclamar, só desativá-lo e os clientes navegarão pelo outro link;
Caso um link tem problemas, quem navega pelos outros não sentirão problemas;
A LupaNet, consultoria para ISPs, inicialmente focada no suporte para configurações de roteadores MikroTik, está trazendo mais uma novidade, que é o monitoramento via zabbix e grafana, integrado com Telegram para envio de notificações, podemos monitorar o consumo de links, estado de interfaces, clientes online/offline, conectividade com serviços externos como redes sociais e servidores de jogos, e muito mais!
Entre em contato para obter um orçamento e implante agora mesmo em sua rede!
Em um cenário onde o cliente utiliza uma CCR 1016-12S-1S+ como roteador de borda, sem full route com duas operadoras, o CPU em horário de pico sempre esteve acima de 60%, as vezes com picos acima de 70%.
Com um estudo de uso do equipamento, rapidamente foi identificado o que poderíamos fazer para resolver este problema e poupar o cliente de comprar outro equipamento.
A solução foi muito simples, rodando um comando disponível na wiki da MikroTik:
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related
Desta forma conseguimos reduzir o uso de CPU de cerca de mais de 60% para menos de 20%!
Olá amigos, venho por meio desta trazer uma vídeo-aula como fazer um ponto a ponto de maneira correta entre rádio MikroTik e Ubiquiti, com wds ativo para ter um enlace 100% transparente e repassar os macs dos clientes por trás do enlace
Segue vídeo tutorial:
