CAPITOLUL 1 - ECOSISTEMUL MIKROTIK ȘI PRIMII PAȘI ÎN ROUTEROS

Rețelele: infrastructura invizibilă a lumii digitale

Închide ochii pentru o clipă și gândește-te la tot ceea ce s-a întâmplat în ultima oră în lume. Un chirurg din Cluj a consultat în timp real o tomografie stocată pe un server din Frankfurt. Un sistem SCADA dintr-o centrală electrică a transmis telemetrie către un centru de dispecerizare aflat la sute de kilometri distanță. Milioane de tranzacții bancare au traversat continente în milisecunde. Cineva, undeva, a apăsat „Send” pe un email care a schimbat cursul unui proiect.

În spatele fiecăruia dintre aceste momente se află o rețea de comunicații. Nu una abstractă, ci una foarte concretă: cabluri de cupru și fibră optică, porturi Ethernet care clipesc verde în rack-uri răcorite de aer condiționat, routere care iau milioane de decizii pe secundă despre unde să trimită fiecare pachet de date, switch-uri care conectează sute de dispozitive într-un singur segment de rețea, protocoale - adică seturi de reguli pe care echipamentele le urmează pentru a comunica între ele - tabele de rutare care funcționează ca niște hărți digitale indicând drumul cel mai bun pentru fiecare destinație, reguli de firewall care decid ce trafic are voie să treacă și ce trafic trebuie blocat, și, nu în ultimul rând, oamenii care le proiectează, le configurează și le întrețin.

Rețelele de date sunt stratul pe care funcționează economia digitală, serviciile publice, sistemele industriale și comunicațiile moderne. Iar complexitatea lor crește cu fiecare an. Segmentele de rețea se multiplică, cerințele de securitate devin mai stricte, volumele de trafic cresc exponențial, iar toleranța la erori scade la zero. Un minut de downtime într-un datacenter poate costa zeci de mii de euro. O breșă de securitate poate compromite datele a milioane de utilizatori. În acest context, rolul specialistului în rețele nu este doar tehnic - este critic.

Dacă ai deschis această carte, ai făcut deja primul pas. Poate ești la început de drum și vrei să înțelegi cum funcționează rețelele. Poate ai deja experiență și vrei să adaugi MikroTik în arsenalul tău de competențe. Sau poate te pregătești pentru certificarea MTCNA și ai nevoie de un ghid structurat. Indiferent de punctul tău de pornire, această carte te va duce de la concepte fundamentale la configurări reale, practice, aplicabile imediat.

Administratorul de rețea: între infrastructură și decizie

Imaginează-ți următoarea scenă. Este trei dimineața. Telefonul sună. Un link de uplink - adică legătura principală care conectează rețeaua locală la internet sau la rețeaua mai mare - a căzut și tot traficul unui campus universitar s-a oprit. Studenți în sesiune, profesori care încarcă subiecte de examen, servere de autentificare care nu mai răspund. Cineva trebuie să diagnosticheze problema, să decidă dacă este fizică (un cablu rupt, un port defect) sau logică (o rută greșită, o regulă de firewall incorectă), să redirecționeze traficul pe o cale alternativă - totul în timp ce ceasul ticăie și presiunea crește.

Acela ești tu. Sau vei fi tu, la finalul acestei cărți.

Un administrator de rețea nu configurează doar echipamente. El ia decizii de arhitectură care influențează performanța, securitatea și disponibilitatea serviciilor pentru sute sau mii de utilizatori. Înțelege cum circulă pachetele - unitățile de date care călătoresc prin rețea - între segmente diferite, cum se aplică politicile de acces care stabilesc cine are voie să acceseze ce resurse, unde se introduce redundanța - adică duplicarea căilor de comunicare pentru a preveni punctele unice de eșec - și cum se depanează o problemă complexă atunci când simptomele sunt ambigue.

Pentru a lua aceste decizii corect, un inginer de rețea are nevoie de două lucruri: cunoștințe solide despre protocoalele și mecanismele care guvernează rețelele IP, și o platformă pe care să le aplice. Cunoștințele teoretice fără practică rămân abstracte - citești despre rutare, dar nu ai configurat niciodată o rută. Practica fără înțelegere produce configurații fragile, greu de depanat și imposibil de scalat - funcționează acum, dar nu știi de ce, și când ceva se strică, nu ai de unde să începi depanarea.

Această carte îți oferă ambele: teoria necesară și platforma practică pe care să o aplici.

MikroTik și RouterOS: putere, flexibilitate, accesibilitate

Aici începe povestea noastră.

Fondată în 1996 în Riga, Letonia, de doi ingineri care se confruntau cu aceeași frustrare pe care o simt mulți administratori de rețea - lipsa de soluții software de rutare accesibile - MikroTik a dezvoltat RouterOS. Un sistem de operare de rețea bazat pe kernel Linux (nucleul unui sistem de operare, componenta care gestionează hardware-ul și permite software-ului să funcționeze) care, de atunci, a evoluat într-o platformă cu un set de funcționalități remarcabil de complet.

Ce înseamnă „complet” în practică? Înseamnă că un singur echipament MikroTik poate face ceea ce, la alți producători, necesită trei sau patru dispozitive separate:

• Rutare statică și dinamică (OSPF, BGP, MPLS) - mecanismele prin care routerele învață despre rețelele din jurul lor și decid pe ce cale să trimită traficul. Rutarea statică presupune că administratorul definește manual fiecare rută. Rutarea dinamică permite routerelor să schimbe informații între ele automat prin protocoale specializate.
• Firewall cu connection tracking - un sistem de securitate care inspectează fiecare pachet care trece prin router și decide dacă îl permite sau îl blochează. Connection tracking-ul (urmărirea conexiunilor) permite firewall-ului să „țină minte” conversațiile în curs, astfel încât răspunsurile la cereri legitime să fie permise automat.
• NAT - mecanismul care permite mai multor dispozitive dintr-o rețea locală să partajeze o singură adresă IP publică. Fără NAT, fiecare dispozitiv din casă ar avea nevoie de propria adresă IP publică - o resursă limitată și costisitoare.
• VPN - tunele criptate care permit comunicarea securizată între două puncte prin internet, ca și cum ar fi conectate direct printr-un cablu privat. RouterOS suportă multiple tehnologii VPN: IPsec, WireGuard, OpenVPN, L2TP, SSTP, PPTP și VXLAN (introdus în v7).
• QoS (Quality of Service) - mecanisme de prioritizare a traficului. Într-o rețea unde un angajat face o videoconferință, altul descarcă un fișier mare și un al treilea navighează pe web, QoS se asigură că videoconferința primește prioritate și nu se întrerupe.
• Wireless - suport pentru standardele 802.11a/b/g/n/ac/ax (de la WiFi 1 până la WiFi 6), plus CAPsMAN - un sistem de management centralizat al access point-urilor wireless.
• Switching - bridging (conectarea mai multor porturi într-un singur segment de rețea), VLAN (rețele virtuale care permit segmentarea logică a traficului fără hardware separat), bonding (combinarea mai multor interfețe fizice pentru redundanță sau viteză crescută) și hardware offloading (utilizarea chip-ului de switching dedicat pentru performanță maximă).
• Automatizare - scripting intern care permite crearea de scripturi personalizate direct pe router, API REST (în v7) care permite controlul routerului din aplicații externe, și scheduler - un planificator care poate executa comenzi la intervale regulate.
• Hotspot - un sistem de captive portal care redirecționează utilizatorii către o pagină de autentificare înainte de a le permite accesul la internet, cu suport pentru autentificare RADIUS (un protocol standard pentru autentificare centralizată).
• Monitorizare - SNMP (un protocol standard pentru monitorizarea echipamentelor de rețea), The Dude (aplicația MikroTik pentru vizualizarea și monitorizarea rețelei), logging și traffic flow (exportul statisticilor de trafic către servere externe de analiză).

Lista este lungă - și aceasta este doar suprafața. Pe măsură ce vei avansa prin capitolele acestei cărți, vei descoperi că fiecare dintre aceste funcții ascunde un univers de posibilități. Dar ceea ce contează acum este să înțelegi o idee esențială: tot ce este enumerat mai sus vine inclus în RouterOS, fără costuri suplimentare de licențiere per funcție. La alți producători, fiecare dintre aceste module poate necesita o licență separată.

RouterOS rulează pe hardware-ul propriu MikroTik (RouterBOARD), pe servere x86 (calculatoare obișnuite) și în medii virtuale prin Cloud Hosted Router (CHR). Această versatilitate a făcut din MikroTik o alegere omniprezentă în industrie:

• Furnizori de servicii internet (ISP) - de la operatori mici cu sute de abonați la furnizori regionali cu zeci de mii, RouterOS gestionează rutare BGP (protocolul care face internetul să funcționeze la scară globală), PPPoE (protocolul prin care majoritatea abonaților se conectează la ISP), traffic shaping (controlul vitezei per abonat) și management de lățime de bandă.
• Rețele enterprise - switch-uri L2/L3, segmentare VLAN (izolarea departamentelor într-o companie fără cabluri separate), firewall perimetral (protecția perimetrului rețelei), VPN site-to-site între filiale (conectarea securizată a birourilor).
• Infrastructuri wireless - atât indoor (CAPsMAN pentru management centralizat de access point-uri într-o clădire de birouri) cât și outdoor (link-uri point-to-point de lungă distanță pentru WISP-uri - furnizori de internet wireless care conectează localități rurale).
• Rețele de campus - universități, spitale, clădiri de birouri, cu cerințe de scalabilitate și management centralizat. Un campus universitar poate avea sute de access point-uri, zeci de switch-uri și multiple routere - toate administrate dintr-un singur punct.
• Rețele mici și medii (SOHO/SMB) - birouri, clinici, magazine, unde un singur echipament MikroTik înlocuiește un router, un firewall, un switch managed și un access point. În loc de patru echipamente de la patru producători diferiți, ai un singur dispozitiv care face totul.

Ceea ce diferențiază RouterOS de alte platforme nu este doar prețul. Este consistența: aceeași interfață de administrare, aceleași comenzi CLI, aceeași logică de configurare - de la un hAP de 60 EUR până la un CCR carrier-class de mii de euro. Un inginer care învață RouterOS pe un echipament entry-level poate administra orice dispozitiv din ecosistem. Această promisiune - „învață o dată, aplică oriunde” - este rară în industria de networking, unde fiecare producător are propriul limbaj, propriile convenții și propriile „capcane”.

CERTIFICAREA MTCNA: FUNDAȚIA PROFESIONALĂ

MikroTik Certified Network Associate (MTCNA) este certificarea de bază din programul profesional MikroTik. Nu este o formalitate - este o validare structurată a competențelor fundamentale pe care un inginer de rețea trebuie să le stăpânească pentru a administra infrastructuri bazate pe RouterOS.

MTCNA acoperă un spectru larg de competențe: configurarea inițială a echipamentelor (de la despachetare la prima conexiune), administrarea interfețelor și bridge-urilor (cum conectezi fizic și logic dispozitivele), adresarea IP și rutarea statică (cum ajung pachetele de la un punct la altul), configurarea serverelor DHCP (care alocă automat adrese IP) și DNS (care traduce numele de domenii în adrese IP), regulile de firewall și NAT (securitate și translatare de adrese), noțiuni de QoS și traffic shaping (prioritizarea traficului), configurarea de bază wireless (rețele fără fir) și conceptele fundamentale de tunelare și VPN (comunicații securizate).

Certificarea este recunoscută global și reprezintă punctul de intrare obligatoriu către toate certificările avansate MikroTik (MTCRE, MTCSE, MTCWE și celelalte). Pentru un inginer de rețea, MTCNA demonstrează capacitatea de a configura, administra și depana rețele bazate pe RouterOS - competențe direct aplicabile în mediul profesional.

CE VEI GĂSI ÎN ACEASTĂ CARTE

Această carte a fost scrisă cu o convingere simplă: rețelele se învață făcând, nu doar citind. De aceea, fiecare concept din paginile care urmează vine însoțit de un laborator practic, de un scenariu real inspirat din industrie, de o listă de greșeli frecvente din care poți învăța fără să le faci tu pe propria piele, și de întrebări care te ajută să verifici dacă ai înțeles cu adevărat.

Structura urmează o progresie logică, de la fundamente la complexitate:

• Capitolele 1–4 construiesc baza: ecosistemul MikroTik, modelul de rețea (cum sunt organizate straturile de comunicare), adresarea IPv4 (cum funcționează adresele IP și cum le calculezi) și protocoalele fundamentale (ARP, ICMP, TCP, UDP - „limbile” pe care le vorbesc dispozitivele în rețea).
• Capitolele 5–8 acoperă configurarea inițială, interfețe și bridge-uri, DHCP și DNS - elementele pe care orice rețea funcțională le necesită din prima zi.
• Capitolele 9–12 intră în firewall, NAT, connection tracking și FastTrack - mecanismele de securitate și optimizare a traficului care transformă un router simplu într-un gardian al rețelei.
• Capitolele 13–15 tratează QoS, rutarea statică cu failover (comutare automată pe o legătură de rezervă) și introducerea în rutarea dinamică (protocoale care permit routerelor să învețe automat topologia rețelei).
• Capitolele 16–18 acoperă wireless-ul în RouterOS v7, designul radio (cum planifici acoperirea wireless) și CAPsMAN (managementul centralizat al access point-urilor).
• Capitolele 19–21 se concentrează pe operațiuni: monitorizare (cum vezi ce se întâmplă în rețea), backup și change management (cum salvezi și documentezi configurațiile), troubleshooting pe incidente reale (cum depanezi sistematic când „nu merge”).
• Capitolul 22 consolidează totul într-o pregătire structurată pentru examenul MTCNA, cu strategii de examen, întrebări tip și sfaturi practice.

Fiecare capitol combină explicații conceptuale cu configurări practice, verificări și scenarii reale. Cartea poate fi folosită în trei moduri complementare:

• Studiu individual - parcurge capitolele în ordine, construiește un laborator virtual și exersează fiecare concept. Aceasta este calea recomandată pentru începători.
• Pregătire pentru certificarea MTCNA - folosește capitolele tematice împreună cu întrebările de autoevaluare și laboratoarele practice pentru a valida cunoștințele cerute la examen.
• Referință pentru implementare - după parcurgerea inițială, cartea rămâne un ghid de consultare rapidă pentru configurări specifice în medii de producție. Când vei avea nevoie să configurezi un VPN sau un DHCP server, vei reveni la capitolul relevant.

Indiferent de contextul în care o folosești, un principiu rămâne constant: fiecare concept trebuie exersat. Rețelele nu se învață citind - se învață configurând, testând, greșind și corectând. Laboratorul pe care îl vei construi în acest capitol este instrumentul tău principal de învățare pe tot parcursul cărții.

Hai să începem.

Obiective

După parcurgerea acestui capitol, vei fi capabil să:

• Înțelegi ecosistemul MikroTik complet - compania, RouterOS, RouterBOARD, CHR - și relațiile dintre ele.
• Decodezi nomenclatura produselor MikroTik - să citești un model ca RB4011iGS+5HacQ2HnD și să știi exact ce conține.
• Navighezi sistemul de licențiere - atât pentru RouterBOARD (L0–L6), cât și pentru CHR, și să alegi ce ai nevoie.
• Cunoști traseul de certificare MikroTik - de la MTCNA la certificările avansate - și cerințele examenului.
• Construiești un laborator funcțional pe baza CHR în mediu virtual, cu interfețe WAN și LAN separate.
• Accesezi routerul prin cele cinci metode standard: WinBox, WebFig, QuickSet, SSH/CLI și consola serială.
• Aplici ciclul de învățare validat: concept → configurare → test → verificare → documentare.
• Identifici avantajele și limitările MikroTik față de alți producători, pentru a lua decizii informate.

De Ce Contează

Acest capitol este fundația pe care stă întreaga carte. Nu este doar o introducere - este harta pe care o vei consulta de fiecare dată când ai nevoie de context. Fiecare concept pe care îl vei întâlni în capitolele următoare are rădăcinile aici.

MikroTik ocupă o poziție unică pe piața de echipamente de rețea: oferă funcționalități de nivel enterprise la un preț accesibil, dar cere cunoștințe tehnice reale pentru configurare. Nu există „wizard-uri magice” care să facă totul automat (cu excepția QuickSet, despre care vom vorbi). Dacă nu înțelegi ce configurezi, vei avea probleme. Dar dacă înțelegi - vei avea o platformă care te va surprinde prin ceea ce poate face.

Învățarea eficientă a RouterOS se bazează pe un ciclu scurt și repetabil:

Concept → Configurare în lab → Test → Verificare → Documentare → Următorul concept

Acest ciclu este ca antrenamentul unui sportiv: nu poți deveni bun doar uitându-te la meciuri. Trebuie să intri pe teren, să greșești, să corectezi, să repeți. Fiecare capitol următor presupune că ai un laborator funcțional, că știi să accesezi routerul, că faci backup înainte de orice schimbare și că documentezi ce faci.

Dacă sari peste acest capitol, vei pierde timp mai târziu. Dacă îl parcurgi serios, fiecare capitol următor va fi mai rapid și mai clar.

*****

1.1 COMPANIA MIKROTIK - DESPRE COMPANIE, CINE SUNT ȘI DE CE AU CERERE PE PIAȚĂ

ORIGINILE

Fiecare companie de tehnologie are o poveste de origine. A celor de la MikroTik începe cu o frustrare: în anii ’90, software-ul de rutare era fie prohibitiv de scump (licențele Cisco costau cât un automobil), fie inflexibil, fie ambele. John Tully și Arnis Riekstins, doi ingineri din Riga, Letonia, care operau un mic furnizor de servicii internet, au decis să rezolve problema construind propriul sistem. Anul era 1996, compania se numea MikroTikls SIA (traducere din letonă: „micro-rețea”), iar primul produs - RouterOS - a văzut lumina zilei în 1997.

Ce a început ca un proiect de ISP local a crescut într-un fenomen global. Ideea era revoluționară pentru acea perioadă: să iei un calculator obișnuit, bazat pe un procesor x86 (același tip de procesor pe care îl ai în laptopul tău), să instalezi pe el un sistem de operare specializat pentru rutare, și să obții un router cu performanțe comparabile cu echipamente comerciale care costau de zeci de ori mai mult. În 2002, MikroTik a făcut pasul următor: a început producția propriilor echipamente hardware sub marca RouterBOARD, combinând software-ul lor cu hardware dedicat, optimizat pentru networking.

Astăzi, compania are peste 300 de angajați, o fabrică proprie în Riga (cea mai mare din Letonia) și contracte de producție în Estonia, Lituania, Cehia, Polonia, China, Vietnam și Taiwan. Din doi ingineri cu o idee, MikroTik a devenit un jucător global care echipează sute de mii de rețele pe toate continentele.

PREZENȚA GLOBALĂ

MikroTik distribuie produse în majoritatea țărilor din lume prin distribuitori și reselleri autorizați. Nu există reprezentanțe oficiale sau birouri regionale - modelul de business se bazează pe parteneriate cu distribuitori locali și centre de instruire (Training Centers) acreditate. Acest model ține prețurile jos, dar vine cu un compromis: suportul tehnic oficial este limitat la 15–30 de zile prin email, incluse în licență.

Aceasta explică de ce comunitatea joacă un rol atât de important în ecosistemul MikroTik - vezi secțiunea 1.7. Spre deosebire de Cisco, care oferă contracte de suport TAC cu răspuns în ore, la MikroTik depinzi de forumuri, wiki și de experiența colegilor din industrie. Acest lucru nu este neapărat un dezavantaj - comunitatea MikroTik este una dintre cele mai active și utile din industria de networking.

CICLUL COMPLET DE PRODUCȚIE

Un aspect remarcabil, pe care puțini producători din segmentul de preț accesibil îl pot revendica: MikroTik controlează întregul ciclu de producție, de la proiectarea prototipurilor în Riga până la produsele comerciale finale care ajung pe rafturile distribuitorilor. Aceasta asigură o integrare strânsă între hardware (RouterBOARD) și software (RouterOS) - ca un ceas elvețian în care fiecare roată dințată a fost proiectată să se potrivească perfect cu celelalte. Când echipa software face o actualizare, ea este testată pe exact hardware-ul pe care va rula. Când echipa hardware proiectează un nou chipset de switching, driverele sunt scrise de aceeași companie care scrie și interfața de management.

*****

1.2 ROUTEROS - SISTEMUL DE OPERARE

CE ESTE ROUTEROS

Dacă RouterBOARD este corpul, RouterOS este mintea. Este sistemul de operare care rulează pe toate dispozitivele MikroTik, fie ele hardware (RouterBOARD) sau virtuale (CHR/x86). Bazat pe kernel Linux - nucleul open-source care alimentează și serverele Google, Amazon și majoritatea infrastructurii internet - RouterOS oferă funcționalități comparabile cu echipamente de rețea semnificativ mai scumpe:

• Rutare - statică și dinamică (OSPF, BGP, RIP, MPLS)
• Firewall - complet, cu connection tracking și mangle
• NAT, DHCP, DNS - server și client
• VPN - IPsec, WireGuard, OpenVPN, L2TP, SSTP, PPTP, VXLAN (v7)
• QoS - queue trees, simple queues, traffic shaping, HTB
• Wireless - 802.11a/b/g/n/ac/ax, CAPsMAN
• Switching - bridging, VLAN, bonding, hardware offloading
• Automatizare - scripting intern, API REST (v7), scheduler
• Hotspot - captive portal cu autentificare RADIUS
• Monitorizare - SNMP, The Dude, logging, traffic flow

Nu te speria de această listă. Fiecare termen va fi explicat în detaliu în capitolul său dedicat. Deocamdată, ceea ce contează este să înțelegi amploarea: RouterOS nu este un sistem simplist cu câteva funcții de bază. Este o platformă profesională, completă, care acoperă practic orice nevoie de networking.

VERSIUNI ROUTEROS

RouterOS a evoluat semnificativ de-a lungul anilor. Înțelegerea versiunilor este importantă pentru că vei întâlni pe forum, pe wiki și în medii de producție atât echipamente vechi (v6) cât și noi (v7), iar comenzile și comportamentele diferă.

CE ADUCE ROUTEROS V7 FAȚĂ DE V6

Trecerea de la v6 la v7 nu a fost o simplă actualizare cosmetică. A fost o reconstrucție din temelii - echivalentul demolării unei case și construirii alteia pe aceeași fundație, dar cu materiale moderne și o planificare complet nouă:

• Kernel - suport hardware îmbunătățit, performanță crescută pe procesoare multi-core. Kernelul este „creierul” sistemului de operare; un kernel mai nou înseamnă suport mai bun pentru hardware modern și algoritmi mai eficienți.
• WireGuard nativ - o tehnologie VPN modernă, extrem de rapidă și ușor de configurat. Spre deosebire de IPsec (complex) sau OpenVPN (lent), WireGuard oferă un echilibru ideal între securitate, performanță și simplitate. Inclusiunea sa nativă în v7 a fost una dintre cele mai așteptate funcții.
• VXLAN - tunele overlay pentru datacenter și cloud. Permite extinderea unei rețele Layer 2 peste o infrastructură Layer 3, esențial în medii de virtualizare modernă.
• API REST - automatizare fără biblioteci proprietare. Poți controla routerul din orice limbaj de programare care suportă HTTP, ceea ce deschide ușa către integrarea cu sisteme de automatizare ca Ansible, Terraform sau scripturi Python personalizate.
• Container - rulare containere Docker direct pe router (experimental). Posibilitatea de a rula aplicații containerizate pe router deschide scenarii fascinante: monitorizare, adblock la nivel de rețea, proxy-uri personalizate.
• Interfață CLI îmbunătățită - help contextual cu F1, completare mai inteligentă, feedback mai clar la erori de sintaxă.

*****

1.3 ROUTERBOARD - HARDWARE-UL MIKROTIK

Familii de produse

RouterBOARD este linia de produse hardware MikroTik. Aceste echipamente vin cu RouterOS pre-instalat și pre-licențiat - le scoți din cutie, le conectezi, și funcționează. Gama acoperă practic toate segmentele de piață, de la dispozitive de buzunar până la routere carrier-class care gestionează traficul a zeci de mii de abonați:

Fiecare familie este proiectată pentru un scenariu specific, dar toate rulează același RouterOS. Acest lucru înseamnă că, odată ce stăpânești interfața și comenzile, poți administra orice echipament din ecosistem - de la cel mai mic hAP până la cel mai puternic CCR.

Nomenclatura RouterBOARD - Cum Citești un Model

La prima vedere, modelele MikroTik arată ca niște parole generate de un robot. Dar dacă le privești mai atent, vei descoperi un limbaj codat, precis și elegant. Fiecare literă și fiecare cifră spune ceva concret despre hardware-ul din interior. Să decodăm împreună un exemplu complex:

RB4011iGS+5HacQ2HnD

Odată ce înveți acest alfabet, fiecare model îți spune o poveste completă fără să deschizi un datasheet. La fel cum un muzician citește o partitură și „aude” muzica, tu vei citi un model MikroTik și vei „vedea” hardware-ul din interior.

Alte sufixe frecvent întâlnite:

De ce contează: Când alegi echipament pentru un proiect, nomenclatura îți spune exact ce primești fără să deschizi datasheet-ul. Un hAP ax² este un AP SOHO cu WiFi 6 (ax), dual-band (²). Un CCR2004-1G-12S+2XS este un router carrier-class cu 12 porturi SFP+ și 2 porturi 25G. Această abilitate de a „citi” modelele te va ajuta enorm când vei face recomandări clienților sau când vei evalua echipamente pentru propriile proiecte.

1.4 LICENȚIEREA ROUTEROS - GHID COMPLET

Sistemul de licențiere MikroTik este unul dintre aspectele care generează cele mai multe confuzii - și, nu întâmplător, cele mai multe întrebări la examenul MTCNA. Merită să îi acorzi atenția cuvenită acum, pentru că îl vei întâlni din nou și din nou pe parcursul carierei tale.

Există două sisteme separate: unul pentru RouterBOARD/x86 (niveluri L0–L6) și altul pentru CHR (niveluri Free–P-Unlimited). Cele două sisteme nu se suprapun și nu sunt interschimbabile.

Licențierea RouterBOARD și x86 (L0–L6)

Echipamentele RouterBOARD vin cu licență inclusă în preț (nivelul depinde de model). Pentru instalări pe servere x86 (PC-uri), licența se cumpără separat de pe mikrotik.com.

Caracteristici generale ale licenței RouterBOARD/x86: - Nu expiră - este lifetime (pe viață). O licență cumpărată astăzi este valabilă pentru totdeauna. - Nu limitează numărul de interfețe - poți adăuga câte interfețe hardware suportă - Include actualizări nelimitate - toate versiunile viitoare ale RouterOS sunt incluse, fără costuri suplimentare - Este valabilă pentru o singură instalare - nu se poate clona sau transfera pe alt hardware (cu excepția CHR) - Include 15–30 de zile suport tehnic prin email (în funcție de nivel) - Nu se aplică pentru CHR - CHR are licențiere separată

Tabelul complet de funcționalități per nivel de licență:

Echipamente tipice per nivel:

LICENȚIEREA CHR

CHR - Cloud Hosted Router - este versiunea RouterOS concepută special pentru medii virtuale. Poate rula în VirtualBox, VMware, Hyper-V, KVM sau orice alt hipervizor care suportă virtualizare completă. CHR are un sistem de licențiere complet separat de RouterBOARD, bazat nu pe funcționalități, ci pe limita de viteză per interfață:

Detalii importante despre licența CHR: - Trial 60 de zile - la prima instalare, CHR funcționează 60 de zile cu funcționalitate completă (fără limită de viteză). Aceasta înseamnă că ai două luni să testezi totul înainte de a decide dacă ai nevoie de o licență plătită. - Licență lifetime - odată cumpărată, nu expiră - Transferabilă - licența poate fi mutată pe alt CHR, util când migrezi între servere - Necesită conectivitate - dacă CHR nu se poate conecta la serverul de licențiere MikroTik, revine automat la modul trial și nu va mai primi actualizări

CHR - FORMATE ȘI CERINȚE TEHNICE

CHR este disponibil în mai multe formate de imagine de disc, fiecare optimizat pentru o platformă de virtualizare specifică:

Cerințe minime: RouterOS este extrem de ușor - nu ai nevoie de un server puternic pentru laborator: - CPU 64-bit cu suport de virtualizare (VT-x pentru Intel, AMD-V pentru AMD) - activat din BIOS - 128 MB RAM (256 MB recomandat) - 128 MB spațiu disk

Platforme testate oficial: VirtualBox, VMware ESXi/Fusion/Workstation, Hyper-V (Generation 1), Xen, QEMU/KVM.

1.5 AVANTAJE ȘI LIMITĂRI MIKROTIK - PERSPECTIVĂ PRAGMATICĂ

Orice decizie tehnică corectă începe cu o evaluare onestă. Și orice carte serioasă trebuie să vorbească nu doar despre ce poate face un produs, ci și despre ce nu poate. Un inginer care cunoaște atât punctele forte cât și limitările platformei sale ia decizii mai bune decât unul care crede că unealta lui este perfectă. MikroTik nu este soluția perfectă pentru orice scenariu - dar este remarcabil de capabil în segmentul lui de preț.

Tabel comparativ

Când alegi MikroTik

• ISP mic și mediu - raportul preț/funcționalitate este greu de bătut. Un CCR2004 la câteva sute de euro face treaba unui Cisco ASR la zeci de mii.
• Rețele WISP - echipamentele outdoor MikroTik domină acest segment la nivel mondial
• Laboratoare de învățare - CHR gratuit + RouterOS complet = mediu de testare ideal
• Rețele enterprise cu buget limitat - funcționalitate comparabilă cu echipamente de 10x prețul
• Hotspot-uri - sistemul de captive portal cu User Manager este inclus fără costuri suplimentare, spre deosebire de soluțiile Cisco/Aruba care necesită licențe per access point

Când poate să nu fie alegerea optimă

• Enterprise cu cerințe de suport 24/7 - MikroTik nu oferă contracte de suport de tip TAC. Dacă ai un SLA care promite 99.99% uptime, ai nevoie de un vendor care răspunde la telefon la 3 dimineața.
• Medii cu cerințe de compatibilitate multivendor complexe - lipsa protocoalelor proprietare (EIGRP, ISSU) poate fi un obstacol în rețele mixte
• Scenarii cu cerințe de certificare/compliance stricte - unele standarde de securitate (FIPS, Common Criteria) specifică vendori anumiți

1.6 CERTIFICĂRILE MIKROTIK - TRASEUL PROFESIONAL

DIAGRAMA CERTIFICĂRILOR

MikroTik oferă un program structurat de certificare profesională. MTCNA este certificarea de bază - obligatorie înaintea oricărei certificări avansate. Gândește-te la ea ca la trunchiul copacului din care cresc toate ramurile. Fără trunchi, nu există ramuri:

DESCRIEREA CERTIFICĂRILOR

Fiecare certificare avansată se concentrează pe un domeniu specific al RouterOS. Alegerea depinde de direcția carierei tale:

Detalii examen MTCNA

Iată ce trebuie să știi despre examenul pe care te pregătești să-l dai:

Ce este permis în timpul examenului: - Wiki MikroTik (wiki.mikrotik.com) și help.mikrotik.com - poți căuta informații în documentație - Un router RouterOS / CHR pornit (pentru verificare comenzi) - poți testa rapid o sintaxă - Materialele primite la curs

Ce este interzis: - Consultări cu colegii sau discuții - Mesagerie (WhatsApp, Skype etc.) - Capturi de ecran (PrintScreen), copy-paste

1.7 RESURSE ȘI COMUNITATE MIKROTIK

În lumea MikroTik, comunitatea nu este un bonus - este o necesitate. MikroTik compensează suportul tehnic oficial limitat prin una dintre cele mai active și generoase comunități din industria de networking. A ști unde să cauți informație este, uneori, la fel de important ca a ști să configurezi un router.

Recomandări practice:

- Wiki-ul este prima ta sursă de informație. Înainte de a întreba pe forum, verifică wiki-ul. Aproape fiecare funcție RouterOS are o pagină wiki dedicată cu sintaxă, exemple și note importante.

- Forum-ul - folosește funcția de căutare înainte de a posta o întrebare nouă. Majoritatea problemelor au fost deja discutate și rezolvate de alții.

- MUM-urile - dacă ai ocazia, participă. Prezentările tehnice sunt excelente (multe sunt disponibile și pe YouTube), iar networking-ul cu alți profesioniști este de neprețuit. MUM-uri se organizează și în România.

1.8 CONSTRUIREA LABORATORULUI

De ce ai nevoie de un laborator propriu

Există un moment-cheie în călătoria fiecărui inginer de rețea - momentul în care teoria se transformă în mușchi. Când degetele tale știu ce să tasteze înainte ca mintea să formuleze comanda. Când „ping” și „traceroute” devin reflexe, nu comenzi pe care le cauți pe wiki. Acel moment nu vine din citit. Vine din practică. Vine din laborator.

Un laborator virtual nu este un lux - este o necesitate absolută. Fără el, această carte rămâne o colecție de texte. Cu el, devine un atelier de lucru. Ai nevoie de un mediu unde: - poți greși fără consecințe - nicio configurație greșită nu va afecta o rețea reală; - poți reseta totul în 30 de secunde - un snapshot în VirtualBox te readuce la punctul de pornire; - poți testa orice scenariu din carte - de la configurări simple la topologii complexe; - poți salva stări (snapshot-uri) și reveni la ele - ca funcția „undo” dintr-un editor de text, dar pentru un router întreg.

Ce îți trebuie

Vestea bună: nu ai nevoie de echipamente scumpe. Un laptop modest este suficient.

Instalare CHR în VirtualBox - Pas cu Pas

Urmează acești pași cu atenție. La sfârșitul lor, vei avea propriul router funcțional - primul din cariera ta de inginer de rețea.

Pasul 1 - Descarcă imaginea CHR

Accesează https://mikrotik.com/download. În secțiunea „Cloud Hosted Router”, descarcă fișierul .vdi (VirtualBox Disk Image) pentru ultima versiune stabilă. Fișierul are doar câteva zeci de MB - RouterOS este remarcabil de compact.

Pasul 2 - Creează mașina virtuală

Deschide VirtualBox și creează o mașină virtuală nouă cu aceste setări:

Nume: RouterOS-Lab
Tip: Linux
Versiune: Other Linux (64-bit)
RAM: 256 MB (suficient - cerința minimă e 128 MB)
Disk: Folosește fișierul .vdi descărcat

De ce Linux? Pentru că RouterOS este bazat pe kernel Linux, iar VirtualBox trebuie să știe ce tip de sistem de operare va rula pentru a-i oferi driverele virtuale potrivite.

Pasul 3 - Configurează interfețele de rețea

Adaugă două adaptoare de rețea în setările VM. Fiecare adaptor simulează un port Ethernet fizic:

NAT înseamnă că VirtualBox creează o rețea privată pentru VM și îi oferă acces la internet prin NAT-ul integrat. Host-Only creează o rețea izolată doar între VM și calculatorul tău gazdă - perfectă pentru segmentul LAN.

Pasul 4 - Pornește și verifică

Pornește VM. RouterOS va boota în câteva secunde - mult mai rapid decât orice sistem de operare convențional. La prompt, autentifică-te:

Login: admin
 Password: (fără parolă - apasă Enter)

La prima autentificare, RouterOS te va întreba dacă vrei să păstrezi configurația default. Alege „yes” - configurația default setează automat un set de reguli funcționale care te scutesc de configurare manuală la început: - ether1 ca interfață WAN (client DHCP - primește adresă IP automat de la VirtualBox) - ether2 în bridge cu LAN (legat într-un segment comun cu alte interfețe LAN) - DHCP server pe LAN (192.168.88.0/24 - va oferi automat adrese IP calculatoarelor conectate) - Firewall basic pe input (protejează routerul de conexiuni nesolicitate din exterior) - NAT masquerade pe WAN (permite calculatoarelor din LAN să acceseze internetul partajând adresa IP publică)

Pasul 5 - Verificare

Acum vine momentul adevărului. Din consola RouterOS, tastează:

/ip address print

Output așteptat:

Flags: D - DYNAMIC
# ADDRESS NETWORK INTERFACE
0 D 10.0.2.15/24 10.0.2.0 ether1
1 192.168.88.1/24 192.168.88.0 bridge

Dacă vezi adresa pe ether1 (primită prin DHCP de la VirtualBox NAT) și 192.168.88.1 pe bridge - laboratorul este funcțional. Adresa exactă pe ether1 poate diferi (depinde de configurația VirtualBox-ului tău), dar important este să existe una.

Testează conectivitatea:

/ping 8.8.8.8 count=4

Dacă primești răspunsuri - ai internet pe router. Laboratorul este pregătit. Dacă nu primești răspunsuri, verifică tabelul de Troubleshooting de la sfârșitul capitolului.

1.9 METODELE DE ACCES LA ROUTEROS

RouterOS poate fi accesat prin cinci metode principale. Fiecare are rolul ei specific - ca cinci chei diferite pentru aceeași ușă, dar fiecare proiectată pentru o situație anume. Un administrator competent le stăpânește pe toate, pentru că nu știi niciodată care va fi singura disponibilă într-un moment critic.

WinBox - Interfața grafică principală

WinBox este instrumentul pe care îl vei folosi cel mai des. Este aplicația nativă MikroTik pentru administrare grafică, funcționând pe portul TCP/8291 (securizat prin criptare). Dacă RouterOS este motorul, WinBox este bordul de bord - totul este la vedere, organizat intuitiv, la un click distanță. Pentru un începător, WinBox este cel mai accesibil mod de a interacționa cu RouterOS.

Caracteristici principale: - Aplicație proprietară MikroTik, nativă Windows; pentru Linux și macOS se poate folosi Wine sau WinBox 4 (o versiune cross-platform rescrisă de la zero, nativă pe toate OS-urile) - Include protocoale de descoperire Layer 2 (MNDP/CDP) - WinBox poate găsi automat routerele MikroTik din rețeaua locală, chiar dacă nu știi adresa lor IP - Include RoMON agent - acces Layer 2 similar cu port forwarding, util pentru administrare în cascadă (accesezi un router aflat „în spatele” altuia) - Configurare completă (cu excepții rare - de exemplu, modificarea adresei MAC necesită CLI) - Monitorizare în timp real - grafice de trafic, starea interfețelor, log-uri live - Terminal CLI integrat (New Terminal) - poți deschide o fereastră CLI direct din WinBox - Salvare automată a sesiunilor - WinBox reține routerele la care te-ai conectat, opțiune de Secure Mode (conexiune criptată)

Conectare prin IP vs MAC:

WebFig - Interfața web

WebFig oferă acces prin browser la aproape toate funcțiile RouterOS. Avantajul principal: nu necesită instalare de software. Deschizi un browser, tastezi adresa IP a routerului, și ai acces.

Deschide un browser, tastează adresa http://192.168.88.1 → Login: admin / (fără parolă)

WebFig are aceleași meniuri ca WinBox, cu layout similar. Funcționează pe protocolul HTTP/HTTPS (doar Layer 3 - necesită conectivitate IP, deci routerul trebuie să aibă o adresă IP configurată).

Este util mai ales când:

- Lucrezi de pe un sistem unde nu poți instala WinBox (o mașină Linux fără Wine, un Chromebook)

- Ai nevoie de acces rapid de pe tabletă sau telefon - Vrei să accesezi QuickSet pentru configurare rapidă

QuickSet - Configurare Rapidă

QuickSet este un asistent integrat în RouterOS, accesibil atât din WinBox (primul buton din meniul stâng) cât și din WebFig. Este conceput ca un „configurator rapid pentru începători” - o singură pagină cu setările esențiale, similară cu interfața de configurare a unui router de acasă obișnuit.

Moduri disponibile în QuickSet:

- CPE - echipament tip client, conectat la un Access Point (Configuration for Customer Premises Equipment)

- AP - Access Point simplu cu LAN și wireless

- AP Dual - Access Point cu două interfețe wireless (2.4 + 5 GHz)

- CAP - Controlled Access Point, gestionat de CAPsMAN (management centralizat)

- Alte moduri specifice echipamentului

Ce poți configura prin QuickSet:

- Modul de funcționare (router, bridge, AP) - Conexiune internet (DHCP client, PPPoE, IP static)

- Rețea LAN - Wireless (SSID, parolă, band, securitate) - Firewall de bază - Actualizare RouterOS

SSH / CLI - Linia de comandă

Și acum ajungem la instrumentul care separă începătorii de profesioniști. CLI-ul RouterOS - Command Line Interface, interfața bazată pe text - este instrumentul cel mai puternic din arsenalul tău. Totul poate fi făcut din CLI - inclusiv lucruri care nu sunt disponibile în GUI. Într-o zi, când vei administra zeci de routere simultan prin scripturi, vei fi recunoscător că ai investit timp în a-l stăpâni.

CLI-ul poate părea intimidant la început. Dar RouterOS a fost proiectat cu grijă: are auto-completare (apasă Tab și routerul completează comanda), help contextual (apasă F1 și vezi ce opțiuni ai) și o structură ierarhică logică. Odată ce înveți logica, totul devine natural.

Conectare SSH:

ssh admin@192.168.88.1

SSH este un protocol de conectare securizată la distanță. Toate comenzile și răspunsurile sunt criptate, ceea ce îl face sigur pentru administrare prin internet.

Structura CLI-ului RouterOS este ierarhică:

Gândește-te la structura CLI ca la structura de foldere de pe calculatorul tău. Fiecare „folder” (meniu) conține comenzi și sub-meniuri:

/ ← rădăcina (ca și C:\ pe Windows)
/ip ← submeniul IP
/ip address ← gestionare adrese IP
/ip firewall filter ← reguli firewall
/interface ← interfețe
/system ← setări de sistem

Comenzi esențiale pentru început:

Comenzi de navigare CLI avansate (referință rapidă):

Exemplu complet - adaugă o adresă IP:

/ip address add address=192.168.10.1/24 interface=ether2 comment="LAN principal"
 /ip address print

CONSOLA SERIALĂ

Consola serială este ultima ta linie de apărare - ușa de serviciu pe care o folosești când toate celelalte căi de acces sunt blocate. Este conexiunea fizică directă cu routerul, independentă de rețea. Se folosește în două situații: 1. Acces de recuperare - când ai pierdut accesul la rețea (IP/MAC) din cauza unei configurări greșite și trebuie să reconfigurezi routerul 2. Echipamente fără port Ethernet accesibil - unele RouterBOARD-uri (mai ales outdoor) pot fi accesate doar serial pentru configurare inițială

Tipuri de cabluri - ai nevoie de un cablu serial specific (nu funcționează un cablu Ethernet obișnuit): - Null Cable Modem clasic (COM Port, DB9 Female) - Console USB – RJ-45 (cel mai comun pe echipamente moderne) - DB9 – RJ-45

Parametri conexiune serială standard MikroTik:

Baud rate: 115200
Data bits: 8
Parity: None
Stop bits: 1
Flow ctrl: None

Acești parametri trebuie configurați identic în software-ul de terminal de pe calculatorul tău. Dacă diferă chiar și un singur parametru, vei vedea caractere fără sens sau nu vei vedea nimic.

Software recomandat: PuTTY (Windows), minicom (Linux), screen (macOS).

1.10 METODA DE ÎNVĂȚARE - CICLUL DE VALIDARE

Există un secret pe care inginerii experimentați îl cunosc, dar rareori îl articulează: nu contează doar ce înveți, ci cum înveți. Un student care citește 10 capitole fără să configureze nimic reține mai puțin decât unul care citește 3 capitole și face laboratorul la fiecare. Întreaga carte folosește aceeași metodă de lucru - un ciclu pe care îl vei repeta de sute de ori, până va deveni a doua natură.

Ciclul în 6 pași

1. CITEȘTE → Înțelege conceptul și scopul lui
2. PLANIFICĂ → Decide ce vrei să configurezi și ce rezultat aștepți
3. BACKUP → Salvează starea curentă (/system backup save name=inainte-de-X)
4. CONFIGUREAZĂ → Aplică comenzile în laborator
5. VERIFICĂ → Testează dacă funcționează (ping, print, trace, etc.)
6. DOCUMENTEAZĂ → Notează în jurnal: ce ai făcut, ce ai obținut, ce ai învățat

De ce funcționează

• Pasul 2 (planifică) te forțează să gândești înainte de a tasta. Majoritatea greșelilor apar când configurezi „din mers”, fără un plan clar. Un chirurg nu intră în sala de operație fără un plan; un inginer de rețea nu ar trebui să tasteze comenzi fără să știe ce rezultat așteaptă.
• Pasul 3 (backup) te protejează. Dacă ceva nu merge, faci restore în 10 secunde. Fără backup, poți pierde ore reconfigurând de la zero. Și nu „nu mi se va întâmpla mie” - se va întâmpla. Tuturor li se întâmplă.
• Pasul 5 (verifică) confirmă sau infirmă ipoteza. Fără verificare, nu știi dacă configurarea ta chiar funcționează sau doar pare că funcționează. Un firewall care pare configurat corect dar are o regulă într-o ordine greșită poate lăsa tot traficul să treacă.
• Pasul 6 (documentează) construiește un jurnal pe care îl vei folosi luni de zile. Când vei avea o problemă similară în producție, la 3 dimineața, cu presiune și oboseală, vei căuta în jurnalul tău, nu pe Google. Și vei găsi exact ce ai nevoie, scris de tine, în contextul tău.

Jurnalul de laborator

Creează un document simplu (text, Markdown, OneNote, Notion - ce preferi) cu următorul format pentru fiecare laborator:

Data: 2025-03-15
Subiect: Configurare DHCP Server pe VLAN 10
Obiectiv: Alocare automată IP pentru segmentul Admin
Comenzi aplicate:
/ip pool add name=pool-admin ranges=192.168.10.10-192.168.10.50
 /ip dhcp-server add name=dhcp-admin interface=vlan10 address-pool=pool-admin
 /ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 dns-server=8.8.8.8
Verificare:
/ip dhcp-server lease print → client a primit 192.168.10.10 ✓
ping 192.168.10.10 din router → OK ✓
Observații:
 - Lease time default = 10 minute, l-am schimbat la 8h pentru stabilitate
 - Trebuie verificat dacă pool-ul nu se suprapune cu IP-urile statice
Lecții:
 - Gateway-ul trebuie configurat în /ip dhcp-server network, NU în pool
 - Fără network statement, clientul primește IP dar nu are gateway

Nu subestima importanța acestui jurnal. Peste un an, când vei implementa DHCP pe VLAN-uri la un client, vei deschide jurnalul și vei avea toți pașii documentați - de tine, pentru tine, în limbajul tău.

LABORATOR PRACTIC COMPLET - PRIMUL TĂU ROUTER

Context

Acesta este momentul în care teoria se transformă în practică. Ai citit despre RouterOS, despre licențe, despre interfețe. Acum e timpul să pui mâna pe un router - chiar dacă este unul virtual. Emoția pe care o simți când vezi primul „ping reply” de la un router pe care l-ai configurat tu este una pe care nu o uiți.

Ai instalat CHR în VirtualBox cu două interfețe (WAN pe NAT, LAN pe Host-Only). Trebuie să validezi că laboratorul funcționează end-to-end - adică de la capăt la capăt, din internet până la calculatorul tău, trecând prin router.

Obiectiv

Configurează routerul de laborator astfel încât un calculator conectat pe LAN să aibă acces la internet prin router.

Topologie

1. Verifică interfețele:

/interface print

Output așteptat:

Flags: R - RUNNING
 # NAME TYPE MTU ACTUAL-MTU L2MTU
 0 R ether1 ether 1500 1500 1598
 1 R ether2 ether 1500 1500 1598

Ambele interfețe trebuie să fie R (running). Flag-ul R indică faptul că interfața este activă și funcțională. Dacă una nu are flag R, verifică setările adaptoarelor în VirtualBox - probabil cablul virtual nu este „conectat”.

2. Verifică adresele IP:

/ip address print

Trebuie să vezi adresă pe ether1 (de la DHCP) și 192.168.88.1 pe bridge. Bridge-ul este o interfață logică care combină mai multe porturi fizice într-un singur segment de rețea - în configurația default, ether2 este parte din bridge.

3. Verifică ruta default:

/ip route print where dst-address=0.0.0.0/0

Trebuie să existe o rută default cu gateway primit prin DHCP pe ether1. Ruta default (0.0.0.0/0) spune routerului: „pentru orice destinație pe care nu o cunosc, trimite traficul pe această cale”. Este ca un indicator de direcție care arată către internet.

4. Testează internet de pe router:

/ping 8.8.8.8 count=4

8.8.8.8 este serverul DNS public al Google - un punct de referință fiabil pe internet. Dacă primești răspunsuri → rutarea și NAT-ul sunt OK. Routerul poate ajunge pe internet.

5. Testează DNS:

/tool dns-query name=mikrotik.com server=8.8.8.8

Acest test verifică dacă routerul poate traduce un nume de domeniu (mikrotik.com) într-o adresă IP. Dacă rezolvă → DNS funcționează.

6. Testează de pe PC (calculator gazdă):

Din PC-ul tău (conectat la rețeaua Host-Only):

C:/ > ping 192.168.88.1
C:/ > ping 8.8.8.8
C:/ > ping mikrotik.com

Aceste trei teste verifică, în ordine: conectivitatea cu routerul (Layer 2/3), conectivitatea cu internetul (rutare + NAT), și rezolvarea DNS (numele de domenii). Dacă toate trei funcționează - felicitări. Laboratorul tău este complet operațional. Ai propriul router, propria rețea, propriul mediu de testare. De aici încolo, fiecare capitol din carte va adăuga un nou strat de cunoștințe peste această fundație.

7. Primul backup:

/system backup save name=lab-initial dont-encrypt=yes
/export file=lab-initial-export

8. Snapshot VirtualBox:

Din VirtualBox, creează un snapshot al VM-ului cu numele „Lab inițial - funcțional”. Acesta este punctul tău de referință. Oricând poți reveni aici în 10 secunde. Consideră-l polița ta de asigurare - sper că nu vei avea nevoie de ea, dar vei fi recunoscător că o ai când, inevitabil, vei configura ceva greșit într-un laborator viitor.

SCENARIU REAL - ALEGEREA ECHIPAMENTULUI PENTRU UN BIROU MIC

CONTEXT

Hai să punem în practică tot ce ai învățat până acum într-un scenariu pe care îl vei întâlni frecvent în carieră. Această abilitate - de a traduce cerințele unui client în specificații tehnice - este una dintre cele mai valoroase competențe ale unui inginer de rețea.

Ești consultant și un client te sună: „Am un birou cu 15 persoane, conexiune internet prin fibră optică (PPPoE, 1 Gbps), vreau WiFi bun, un VPN pentru cei care lucrează remote și să pot bloca anumite site-uri. Ce echipament MikroTik îmi recomanzi?”

ANALIZA CERINȚELOR

Primul pas este să traduci cerințele în limbaj tehnic și să identifici funcțiile RouterOS necesare:

RECOMANDARE

hAP ax² (sau hAP ax³ dacă este disponibil) - licență L4, WiFi 6, 5 porturi Gigabit, preț aproximativ 70–90 EUR.

De ce nu CCR? Overkill pentru 15 persoane. CCR este pentru sute sau mii de utilizatori. Ar fi ca și cum ai cumpăra un TIR pentru a transporta un frigider.

De ce nu hAP lite? Licență L4, dar hardware subdimensionat - procesor lent, WiFi single-band. La 15 utilizatori cu streaming și videoconferințe, s-ar simți.

SAFE MODE - PLASA DE SIGURANȚĂ

Înainte de a încheia acest capitol, trebuie să vorbim despre cea mai importantă plasă de siguranță pe care RouterOS ți-o pune la dispoziție. O funcție pe care, dacă o ignori, vei regreta - de obicei la cel mai prost moment posibil, când routerul e la 200 km distanță și nu ai pe cine trimite să apese butonul de reset.

RouterOS include o funcție critică pentru administrarea la distanță: Safe Mode. Când îl activezi (Ctrl+X în CLI sau butonul Safe Mode în WinBox), RouterOS creează un checkpoint al configurației curente. Toate modificările sunt aplicate imediat, dar sunt marcate ca temporare.

Dacă pierzi conexiunea - de exemplu, o regulă de firewall ți-a blocat accesul - RouterOS revine automat la checkpoint după aproximativ 9 minute (timeout TCP standard). Când reconectezi, configurația e exact cum era înainte. Ca și cum nimic nu s-ar fi întâmplat. Fără Safe Mode, aceeași situație te-ar fi forțat să trimiți pe cineva fizic la locație sau să aștepți până ajungi tu.

Activare și dezactivare

Când Safe Mode este activ, prompt-ul afișează indicatorul <SAFE>:

[admin@MikroTik] <SAFE> >

Când să-l folosești

• Oricând modifici reguli de firewall (risc de auto-blocare)
• Oricând modifici adrese IP pe interfața de management
• Oricând modifici rute care ar putea afecta accesul tău la router
• Oricând nu ești 100% sigur de efectul unei comenzi

Pe scurt: dacă routerul nu este la un braț distanță de tine, activează Safe Mode. Întotdeauna. Costă zero secunde și poate salva ore.

Limitări importante

• Safe Mode funcționează per sesiune. Dacă ai două sesiuni WinBox deschise, Safe Mode se aplică doar pe sesiunea în care l-ai activat.
• Dacă altă sesiune preia Safe Mode (Ctrl+X din altă sesiune), modificările din sesiunea anterioară sunt salvate automat - nu mai pot fi reversite. Acest comportament este neintuitiv și a cauzat surprize multor administratori.
• Safe Mode protejează contra pierderii de conexiune. Nu protejează contra comenzilor distructive executate intenționat (de exemplu, /system reset-configuration).

GREȘELI FRECVENTE

Fiecare greșeală din tabelul de mai jos a fost făcută de cineva - adesea de cineva experimentat, într-un moment de grabă sau oboseală. Citește-le acum, ca să le recunoști când ești pe cale să le faci tu mai târziu.

TROUBLESHOOTING

Chiar și cel mai atent parcurs laborator va produce momente de „nu merge”. Este absolut normal - face parte din procesul de învățare. Important este să ai un sistem de diagnosticare, nu să ghicești. Tabelul următor acoperă cele mai frecvente probleme pe care le vei întâlni în laboratorul din acest capitol:

RECAPITULARE

Ai parcurs primul capitol - și dacă ai făcut și laboratorul, ai parcurs cel mai important capitol din toată cartea. Totul ce urmează se construiește pe această fundație. Să recapitulăm ce ai în bagaj acum:

• MikroTik = RouterOS (software) + RouterBOARD (hardware). CHR este RouterOS pentru medii virtuale, cu licențiere separată.
• RouterOS v7 este versiunea curentă, bazată pe kernel Linux 5.6+. Aduce WireGuard nativ, VXLAN, API REST și container support.
• Nomenclatura produselor urmează o logică decodabilă: fiecare literă și cifră din numele modelului comunică specificații tehnice.
• Licențierea are două sisteme: L0–L6 pentru RouterBOARD/x86 (lifetime, pe funcționalități) și Free–P-Unlimited pentru CHR (pe viteză per interfață).
• Certificarea MTCNA este punctul de intrare: 25 întrebări, 60 minute, 60% prag de trecere. Toate certificările avansate necesită MTCNA valid.
• Comunitatea MikroTik - wiki, forum, MUM - compensează suportul oficial limitat.
• Laboratorul este obligatoriu. Fără lab, nu poți parcurge eficient niciun capitol din această carte.
• Cinci metode de acces: WinBox (GUI), WebFig (browser), QuickSet (configurare rapidă), SSH/CLI (linia de comandă), serial (recuperare).
• CLI-ul RouterOS este ierarhic. Navighezi cu /, .. și Tab. Comenzi de bază: print, add, set, remove, export.
• Ciclul de învățare: citește → planifică → backup → configurează → verifică → documentează.
• Safe Mode este plasa ta de siguranță - activează-l înainte de orice schimbare cu risc.
• Backup dublu: binary (/system backup) + text (/export). Snapshot VirtualBox pentru restaurare completă.

Checklist Post-Capitol

• Înțeleg diferențele dintre RouterOS, RouterBOARD și CHR
• Pot decoda nomenclatura unui model MikroTik (ex: RB4011iGS+5HacQ2HnD)
• Înțeleg sistemul de licențiere L0–L6 și pot identifica ce licență am nevoie
• Cunosc traseul de certificare MikroTik și cerințele examenului MTCNA
• CHR instalat și funcțional în VirtualBox
• Două interfețe configurate (WAN + LAN)
• Conectare reușită prin WinBox
• Conectare reușită prin SSH
• Am explorat QuickSet și am înțeles limitările sale
• Ping funcțional pe LAN (router ↔ PC)
• Ping funcțional spre internet (router → 8.8.8.8)
• DNS funcțional (router rezolvă mikrotik.com)
• PC accesează internetul prin router
• Backup binary salvat
• Export text salvat
• Snapshot VirtualBox creat
• Jurnal de laborator inițiat cu prima intrare

Întrebări de Autoevaluare

• Care este diferența dintre RouterOS și RouterBOARD? Când ai nevoie de licență separată și când vine inclusă?
• Decodează modelul RB5009UG+S+IN. Ce îți spune fiecare segment despre specificațiile echipamentului?
• Ce nivel de licență ai nevoie pentru un ISP mic care oferă PPPoE la 300 de abonați cu Hotspot? Justifică alegerea pe baza tabelului de licențe.
• Care sunt cerințele examenului MTCNA? Ce resurse ai voie să folosești în timpul examenului și ce este interzis?
• De ce este important să faci backup înainte de orice schimbare? Care sunt cele două tipuri de backup și când le folosești pe fiecare?
• Ce se întâmplă dacă activezi Safe Mode, schimbi o regulă de firewall care îți blochează accesul la router și conexiunea ta se pierde?
• Care este ordinea corectă de diagnosticare când „nu merge internetul”? Scrie secvența de teste pe care le-ai executa.
• Explică diferența dintre licențierea CHR și licențierea RouterBOARD. Poți folosi CHR Free pentru a parcurge toată cartea? De ce?
• Care sunt avantajele principale ale MikroTik față de alți vendori? Dar limitările? Dă un scenariu în care MikroTik ar fi alegerea optimă și unul în care nu ar fi.
• Ce este QuickSet și când este util? De ce nu este recomandat pentru configurări de producție?

CE URMEAZĂ

Primul pas a fost făcut. Ai un router funcțional, un laborator pregătit, și o hartă a teritoriului pe care urmează să-l explorezi.

În Capitolul 2 - Modelul de Rețea în Practică, vei învăța cum funcționează modelele OSI și TCP/IP nu ca teorie abstractă memorată pentru examen, ci ca instrument de diagnosticare. Vei folosi laboratorul construit în acest capitol pentru a identifica la ce nivel (Layer) apare o problemă și ce instrumente RouterOS folosești pentru fiecare nivel. Vei înțelege de ce, atunci când „nu merge internetul”, nu începi prin a reseta routerul, ci prin a verifica sistematic fiecare strat, de jos în sus.

Dar mai întâi, asigură-te că ai bifat fiecare punct din checklist-ul de mai sus. Fiecare capitol următor se construiește pe fundația aceasta. Cu cât fundația este mai solidă, cu atât tot ce urmează va fi mai ușor.

Ne vedem în Capitolul 2.

Notă editorială: Acest capitol este redactat în format de producție editorială, validat tehnic pentru RouterOS v7