Professional Documents
Culture Documents
(MTCRE)
Produzido por: Alive Solutions
Instrutor: Anderson M. Matozinhos
Sobre o trainer
Anderson Marin Matozinhos
2
AGENDA
3
Algumas regras importantes
• Por ser um curso oficial, o mesmo não poderá ser
filmado ou gravado
4
Algumas regras importantes
• Perguntas são sempre bem vindas. Muitas vezes a sua dúvida
é a dúvida de todos.
5
Apresente-se a turma
• Diga seu nome e de onde vem;
• Sua empresa e sua função;
• Seu conhecimento sobre o RouterOS;
• Seu conhecimento com redes;
• O que você espera do curso;
6
Objetivo do Curso
• Proporcionar conhecimento e treinamento
prático no Mikrotik RouterOS básico e os
conceitos avançados de roteamento para
redes de pequeno e médio porte.
• Após a conclusão do curso, você será capaz de
planejar, implementar, ajustar e depurar as
configurações de um rede roteada no MikroTik
RouterOS.
7
Certificações MikroTik
9
Montando a Rede
Crie uma rede 192.168.XY.0/24 na ether1 entre o
laptop (.1) e a RB (.254)
Conecte sua RB ao AP com SSID “MTCRE”
Adicione o IP 10.1.1.XY/24 na wlan1
Aponte o DNS e Gateway default para 10.1.1.254
Teste a conectividade internet pela RB e seu
notebook
Estando tudo ok, faça um backup da configuração
10
Roteamento Simples
• Distance
• Policy Routing
• ECMP
• Scope
• Dead-End
• Recursive Next-Hop Resolving
11
Roteamento Estático Simples
• Uma única rota para uma
rede simples
• Rotas mais especificas na
tabela de roteamento tem
mais prioridade que menos
especificas.
• A rota com destino
0.0.0.0/0 basicamente
significa “o resto”.
12
Roteamento Simples
AP Principal Laptop
Laptop
Laptop
R4 10.10.Z.0/30 R2 eth3: 2
eth2: 193
eth3: 130 eth2: 65
Z – Número do seu grupo
eth2: 129
R3 eth3: 66
Laptop 13
Roteamento Simples
• Em grupos de 4 alunos façam uma rede
conforme o slide a seguir;
• Remove qualquer NAT que por ventura tenha
sido adicionado;
• Usando rotas estáticas simples alcancem as
redes dos notebooks. Testes feitos do
notebook;
14
Exercícios
• É possível criar rotas estáticas que garantam:
– Balanceamento de carga
– Fail Over
– Escolha do melhor caminho
15
Rotas com ECMP
• A técnica do ECMP(Equal Cost
Multi Path) consiste em prover
várias gateways para o mesmo
destino;
• Os gateways serão definidos
pelo algoritmo de Round Robin
levando-se em consideração
os endereços de origem e
destino;
• Você pode definir o mesmo
gateway várias vezes caso
queira aumentar sua a carga.
16
“Check-gateway”
• Você pode usar esta opção para verificar se o
gateway remoto está respondendo utilizando
ICMP(ping) ou ARP;
• Caso seja confirmado que o gateway não está
respondendo está rota ficará inativa
automaticamente;
• Se a opção de Check-Gateway estiver ativada
em uma rota fará com que a verificação esteja
ativa para todos os gateways adicionados nela.
17
ECMP
• Evitando loops
– Somente um participante irá criar uma rota ECMP
para cada rede 192.168.XY.0/24 com a opção
“check-gateway”;
– Os demais participantes deverão criar rotas
simples para alcançar uns aos outros - exceto o
primeiro participante;
– Verifiquem a redundância utilizando o traceroute;
– Utilizem a opção “undo” para voltar as
configurações iniciais e permitir que o próximo
participante crie o ECMP.
18
ECMP
AP Principal Laptop
Laptop
Laptop
R4 10.10.Z.0/30 R2 eth3: 2
eth2: 193
eth3: 130 eth2: 65
Z – Número do seu grupo
eth2: 129
R3 eth3: 66
Laptop 19
“Distance”
• Caso exista dois gateways para o mesmo
destino e você queira priorizar um gateway ao
invés do outro, você pode usar o recurso da
distância;
• Para encaminhar o pacote o roteador irá
escolher a rota alcançável com menor
distância.
20
“Distance”
• Crie duas rotas diferentes para cada
participante na rede local da seguinte forma:
– Uma rota no sentido horário com distance=1;
– Uma rota no sentido anti-horário com distance=2;
• Verifique a redundância desativando o
endereço IP do sentido horário;
• Utilize o traceroute para verificar o efeito.
21
“Distance”
AP Principal Laptop
Laptop
Laptop
R4 10.10.Z.0/30 R2 eth3: 2
eth2: 193
eth3: 130 eth2: 65
Z – Número do seu grupo
eth2: 129
R3 eth3: 66
Laptop 22
“Distance”
AP Principal Laptop
Laptop Laptop
BACKUP
LINK
Laptop
23
Problemas encontrados...
• O tráfego não terá problema algum em passar
no sentido horário;
• Caso a opção “check-gateway” detecte falha,
somente o roteador afetado irá passar o
tráfego no sentido anti-horário;
• Solução:
– Se o tráfego começa a no sentido anti-horário, ele
deverá ser roteado desta forma até alcançar seu
destino.
24
Marcas de Roteamento
• Utilizadas para direcionar um determinado
tráfego por uma rota especifica;
• Essas marcas são “imprimidas” através do
menu Firewall Mangle e somente nos canais
prerouting e output;
• A tabela de roteamento irá rotear os pacotes
conforme as marcas especificadas nas rotas –
caso não exista rota com marcas, a rota default
será usada.
25
Marcas de Roteamento
• Marque todo tráfego que passa pelo roteador no
sentido contrário;
26
Marcas de Roteamento
AP Principal Laptop
Laptop
Laptop
R4 10.10.Z.0/30 R2 eth3: 2
eth2: 193
eth3: 130 eth2: 65
Z – Número do seu grupo
eth2: 129
R3 eth3: 66
Laptop 27
Time To Live (TTL)
• TTL é o limite máximo de saltos que um pacote pode
dar até ser descartado;
• O valor padrão do TTL é 64 e cada roteador
decrementa este valor em um antes de passá-lo
adiante;
• O menu Firewall Mangle pode ser usado para
manipular este parâmetro;
• O roteador não passa adiante pacotes com TTL=1;
• Está opção é muito útil para evitar que usuários
criem rede nateadas a partir da sua rede.
28
Alterando o TTL
29
Recurso Next-hop
• É possível especificar um gateway para uma
rede mesmo que o gateway não esteja
diretamente ligado ao roteador;
• Útil em setups onde a seção intermediária
entre seu roteador e o gateway não é
constante(iBGP por exemplo);
• A rota criada deve estar no scope de outra rota
para que o recurso de Next-hop funcione.
30
Recurso Next-hop
• Quando há necessidade de mudar target-scope? Possíveis
problemas com a abordagem descrita anteriormente é que
todas as rotas na tabela sempre será ativa. Este pode não ser
o que se deseja.
Exemplo: um roteador com duas interfaces, ethernet e
wireless. Todas as rotas BGP são resolvidos através da
ethernet e a interface wireless tem algumas rotas adicionais
estática. Você quer que essas rotas estáticas se tornem ativas
apenas quando interface wireless está ativa. Normalmente
este é o caso. No entanto, quando há uma rota padrão com
scope baixo suficiente, todas as rotas serão mudadas para a
interface ethernet após a interface wireless perder conexão.
Uma possível solução é deixar o scope da rota padrão intacta
e modificar o target-scope das rotas BGP.
31
32
Scope/Target-Scope
• O escopo da rota contém todos os valores do atributo scope,
sendo este maior ou igual ao seu valor de target-scope;
Exemplo:
0 ADC dst-address=1.1.1.0/24 pref-src=1.1.1.1
interface=ether1 scope=10 target-scope=0
1 A S dst-address=2.2.2.0/24 gateway=1.1.1.254
interface=ether1 scope=30 target-scope=10
2 A S dst-address=3.3.3.0/24 gateway=2.2.2.254
interface=ether1 scope=30 target-scope=30
33
Outras Opções
• A opção “Type” permite criar rotas mortas
(blackhole, prohibit, unreachable) para
impedir que algumas redes sejam roteadas
pelo roteador;
• A opção “Preferred Source”, permite apontar
qual endereço usar para o tráfego gerado
localmente.
34
Open Shortest Path First
(OSPF)
• Areas
• Costs
• Virtual links
• Route Redistribution
• Aggregation
35
Protocolo OSPF
• O protocolo OSPF utiliza o estado do link e o
algoritmo de Dijkstra para construir e calcular
o menor caminho para todos destinos
conhecidos na rede;
• Os roteadores OSPF utilizam o protocolo IP 89
para comunicação entre si;
• O OSPF distribui informações de roteamento
entre roteadores pertencentes ao mesmo AS.
36
Autonomous System (AS)
• Um AS é o conjunto de redes IP e roteadores
sobre o controle de uma mesma entidade
(OSPF, iBGP ,RIP) que representam uma única
política de roteamento para o restante da
rede;
• Um AS é identificado por um número de 32
bits (0 – 4294967296)
– A faixa de 1 até 64511 é pública
– A faixa de 64512 até 65535 é de uso privado
– A faixa de 65536 até 4294967296 é pública
37
Exemplo de um AS
Area Area
Area Area
38
Áreas OSPF
• A criação de áreas permite você agrupar uma
coleção de roteadores (entre 50 e 60);
• A estrutura de uma área não é visível para
outras áreas;
• Cada área executa uma cópia única do
algoritmo de roteamento ;
• As áreas OSPF são identificadas por um
número de 32 bits(0.0.0.0 – 255.255.255.255)
• Esses números devem ser únicos para o AS.
39
Tipos de Roteadores
• Um ASBR(Autonomous System Border Router ) é
um roteador que se conecta a mais de um AS;
– Um ASBR é usado para redistribuir rotas recebidas de
outros AS para dentro de seu próprio AS
• Um ABR(Area Border Router) é um roteador que se
conecta a mais de uma área;
– Um ABR mantém multiplas cópias da base de dados
dos estados dos links de cada área
• Um IR(Internal Router) é um roteador que está
conectado somente a uma área.
40
OSPF AS
ASBR
ABR ABR
Area Area
ASBR
41
Área Backbone
• A área backbone é o coração da rede OSPF. Ela
possui o ID (0.0.0.0) e deve sempre existir;
• A backbone é responsável por redistribuir
informações de roteamento entre as demais
áreas;
• A demais áreas devem sempre estar
conectadas a uma área backbone de forma
direta ou indireta(utilizando virtual link).
42
Virtual Link
• Utilizado para conectar áreas remotas ao
backbone através de áreas não-backbone;
43
Virtual Link
area-id=0.0.0.1
area-id=0.0.0.0
Virtual Link
area-id=0.0.0.2 area-id=0.0.0.3
ASBR
44
Redes OSPF
• São utilizada para
encontrar outros
roteadores OSPF
correspondentes a
área especificada;
46
Neighbours OSPF
47
Áreas OSPF
• Crie sua própria área OSPF;
– Nome da área: area-z
– Area-id: 0.0.0.z
• Atribua uma rede a esta área;
• Verifique sua aba neighbour e tabela de
roteamento;
• Os ABRs devem configurar também a área de
backbone e as redes;
48
Áreas OSPF
AP Principal Laptop
Laptop
Laptop
R4 10.10.Z.0/30 R2 eth3: 2
eth2: 193
eth3: 130 eth2: 65
Z – Número do seu grupo
eth2: 129
R3 eth3: 66
Laptop 49
OSPF - Opções
• Router ID: Geralmente o IP do
roteador. Caso não seja especificado
o roteador usará o maior IP que
exista na interface.
• Redistribute Default Route:
– Never: nunca distribui rota padrão.
50
OSPF - Opções
• Redistribute Connected Routes: Caso
habilitado, o roteador irá distribuir todas as
rotas relativas as redes que estejam
diretamente conectadas a ele.
• Redistribute Static Routes: Caso habilitado,
distribui as rotas cadastradas de forma
estática em /ip routes.
• Redistribute RIP Routes: Caso habilitado,
redistribui as rotas aprendidas por RIP.
• Redistribute BGP Routes: Caso habilitado,
redistribui as rotas aprendidas por BGP.
1
2
3
} 5
4 {
52
OSPF – Uso de métrica tipo 1
Custo=10
Custo=10
Custo=10 Custo=10
Custo Total=40
Origem
ASBR
53
OSPF – Uso de métrica tipo 2
Custo X
Cost=10 Custo X
Custo X
Custo Total=10
Origem
Custo X
Custo Total=9
Custo X
Destino
Custo=9
ASBR
54
Redistribuição de Rotas
• Habilite a re-distribuição de rotas conectadas
com type 1;
– Verifique a tabela de roteamento
• Adicione uma rota estática para a rede
172.16.XY.0/24
• Habilite a re-distribuição de rotas estáticas
com type 1;
– Verifique novamente a tabela de roteamento
55
OSPF – Custo de interfaces
56
OSPF – Interface
• Escolha o tipo de rede correta para todas interfaces OSPF;
• Atribua custos(próx. slide) para garantir o tráfego em uma
única direção dentro da área;
• Verifique rotas ECMP em sua tabela de roteamento;
• Atribua custos necessários para que o link backup só seja
usado caso outros links falhem;
• Verifique a redundância da rede OSPF;
• Confirme que o ABR seja o DR da sua área, mas não na
área de backbone;
57
OSPF – Custos de Interface
AP Principal Laptop
ABR
Laptop
Laptop
10 100
BACKUP
LINK
100 10
10 100
Laptop
58
OSPF – Roteadores designados
• Para reduzir o tráfego OSPF em redes broadcast e
NBMA (Non-Broadcast Multiple Access), um único
fonte para atualização de rotas é criado – Os
roteadores designados(DR);
• Um DR mantém uma tabela completa da topologia da
rede e envia atualizações para os demais roteadores;
• O roteador com maior prioridade será eleito como DR;
• Os demais serão eleitos como roteadores backup –
BDR;
• Roteadores com prioridade 0 nunca serão DR ou BDR.
59
NBMA Neighbors
• Em redes não-
broadcast é
necessário especificar
os neighbors
manualmente;
• A prioridade
determina a chance
do neighbor ser eleito
DR;
60
Área Stub
• Uma área Stub é uma
área que não recebe
rotas de AS externos;
• Tipicamente todas rotas
para os AS externos são
substituídas por uma
rota padrão. Esta rota
será criada
automaticamente por
distribuição do ABR;
61
Área Stub – Cont.
• A opção “Inject Summary LSA” permite
especificar se os sumários de LSA da área de
backbone ou outras áreas serão reconhecidos
pela área stub;
• Habilite esta opção somente no ABR;
• O custo padrão dessa área é 1;
62
Área NSSA(Not-So-Stubby)
• Um área NSSA é um tipo de área stub que tem
capacidade de injetar transparentemente rotas
para o backbone;
• Translator role – Esta opção permite controlar
que ABR da área NSSA irá atuar como
repetidor do ASBR para a área de backbone:
– Translate-always: roteador sempre será usado
como tradutor.
– Translate-candidate: ospf elege um dos
roteadores candidatos para fazer as traduções.
63
OSPF AS
default
default
area-id=0.0.0.1
area-id=0.0.0.0
Virtual Link
area-id=0.0.0.2 area-id=0.0.0.3
NSSA Stub
ASBR
64
Área Lab
• Modifique sua área para stub;
• Verifique as mudanças em sua tabela de rotas;
• Confirme que a distribuição de rotas default esteja “never”
no ABR;
• Marque a opção “Inject Summary LSA” no ABR e desabilite
no IR.
• Crie uma bridge com o nome “loopback” atribua o IP
10.0.0.XY a ela.
• Publique essa network na sua área OSPF.
• Adcione o IP da loopback no “Router ID” da instância default.
65
Interface Passiva
• O modo passivo
permite desativar as
mensagens de “Hello”
enviadas pelo protocolo
OSPF as interfaces dos
clientes;
• Portanto ativar este
recurso é sinônimo de
segurança;
66
Agregação de Áreas
• Utilizado para
agregar uma
range de redes
em uma única
rota;
• É possível atribuir
um custo para
essas rotas
agregadas;
67
Área Ranges
• Anuncie somente uma rota 192.168.Z.0/24 ao
invés de quatro rotas /26 (192.168.Z.0/26,
192.168.Z.64/26, 192.168.Z.128/26,
192.168.Z.192/26) na área-z;
• Desabilite o anuncio da rede backup no
backbone;
• Verifique a tabela de roteamento dos Aps
principais;
68
Resumo OSPF
• Para segurança da rede OSPF:
– Use chaves de autenticação;
– Use a maior prioridade(255) para os DR;
– Use o tipo correto de rede para as áreas;
• Para aumenta a performance da rede OSPF:
– Use o tipo correto de área;
– Use agregação de áreas sempre que possível;
69
OSPF em redes VPN
• Cada interface VPN dinâmica cria uma nova
rota /32 na tabela de roteamento quando está
ativa;
• Isso causa dois problemas:
– Cada mudança dessas resulta em novas
atualizações do OSPF, caso a opção de redistribuir
rotas conectadas esteja ativada. Em grandes redes
isso causa um enorme flood!!
– OSPF vai criar e enviar LSA pra cada interface VPN,
caso a rede da VPN esteja atribuida a qualquer
área OSPF. O que diminui a performance.
70
Área PPPoE – Tipo Stub
ABR
71
Área PPPoE – Tipo Default
ABR
PPPoE ~250 clientes
server PPPoE
Area1
~ 100 clientes
PPPoE PPPoE
server
72
Área PPPoE – Discussão
73
OSPF - Filtros
• Os filtros devem ser aplicados tanto na entrada
quanto na saída de mensagens de atualização
de roteamento;
– O canal “ospf-in” filtra todas mensagens de
entrada de atualização;
– O canal “ospf-out” filtra todas mensagens de
saída de atualização;
• Os filtros de roteamento só podem atualizar
rotas externas do OSPF (rotas para redes que
não estão atribuídas a nenhuma área OSPF).
74
OSPF - Filtros
75
Filtros de Roteamento para VPN’s
• É possível criar um filtro de rotas para evitar
que todas rotas /32 se espalhem pela rede
OSPF;
• Para isto é necessário você ter uma rota
agregada para esta rede VPN:
– Uma boa forma de ser fazer isso é atribuindo o
endereço de rede da rede VPN agregada a
interface do concentrador VPN;
– Outra forma é criando uma rota estática para a
rede VPN no próprio roteador.
76
OSPF – Filtro VPN
77
Roteamento e interfaces
Ponto-a-Ponto
• VLAN
• IPIP
• EoIP
• Endereçamento Ponto-a-Ponto
78
VLAN – Virtual LAN(802.11q)
• A VLAN permite você agrupar dispositivos de rede
em independentes sub-grupos mesmo que estes
estejam o mesmo segmento de LAN;
• Para os roteadores se comunicarem é necessário
que as VLAN ID sejam as mesmas das interfaces
VLAN;
• Um roteador suporta várias(máximo de 4096)
VLAN’s na mesma porta ethernet.
• Também é possível se criar uma VLAN sobre outra
interface VLAN – “Q-in-Q”
79
Exemplo de VLAN
2.2.2.0/24 1.1.1.0/24
Rede Ethernet
vlan1: 1.1.1.1/24
vlan2: 2.2.2.1/24
vlan3: 3.3.3.1/24
3.3.3.0/24
80
Criação de interface VLAN
81
VLAN em Switch
• Portas switch VLAN compatíveis podem ser
atribuídas a um ou vários grupos com base na
VLAN tag;
• Portas Switch em cada grupo podem ser setadas:
– Modo Tag: Permite adicionar a tag VLAN do grupo na
transmissão e permite receber essa tag;
– Modo sem Tag: Permite remover a tag VLAN do grupo
na transmissão e permite somente receber pacotes
sem tag;
– Undefined: Porta não tem relação com o grupo;
• Porta Trunk: Porta tagueada para diversos grupos
VLAN.
82
VLAN
• Restaure o backup de sua RB;
• Crie grupos de 4;
• Se conectem pela wireless – Um AP e 3
clientes;
• Crie um link VLAN pra cada participante;
• Crie redes /30 para os links VLAN e teste a
conectividade.
83
IPIP
• O protocolo IPIP permite criar túneis
encapsulando pacotes IP em pacotes IP e
enviando para outro roteador;
• O IPIP é um túnel de camada 3 e portanto não
pode ser colocado em bridge;
• RouterOS implementa o IPIP conforme a RFC
2003 e tem compatibilidade com qualquer
fabricante que implemente o método com
base na mesma RFC;
84
IPIP
85
IPIP
• Agora precisamos atribuir os IPs as interfaces
criadas.
87
EoIP
• O protocolo EoIP possibilita:
• Interligação em bridge de LANs remotas através
da internet.
• Interligação em bridge de LANs através de túneis
criptografados.
• A interface criada pelo túnel EoIP suporta todas
funcionalidades de uma interface ethernet.
Endereços IP e outros túneis podem ser
configurados na interface EoIP.
88
Exemplo de rede EoIP
Rede Roteada
(LAN ou WAN)
Bridge Bridge
89
EoIP
• Criando um túnel EoIP
entre as redes por trás
dos roteadores 10.0.0.1 e
22.63.11.6.
90
EoIP
• Adicione a interface
EoIP a bridge,
juntamente com a
interface que fará
parte do mesmo
domínio de broadcast.
91
Endereçamento Ponto-a-Ponto
• O endereçamento ponto-a-ponto utiliza somente 2
hosts, enquanto o /30 utiliza 4;
• Neste caso não existe endereço de broadcast, porém o
endereço de rede deve ser setado manualmente
apontando o endereço IP remoto;
– Router 1: address=1.1.1.1/32, network=2.2.2.2
– Router 2: address=2.2.2.2/32, network=1.1.1.1
• Um único roteador pode ter vários endereços /32
iguais. Para tanto, os endereços de rede devem ser
diferentes.
92
Exemplo de Endereçamento
Ponto-a-Ponto
P2P_int2: 3.3.3.3/32 P2P_int3: 4.4.4.4/32
Network: 1.1.1.1 Network: 1.1.1.1
Qualquer Rede IP
(LAN, WAN ou Internet)
P2P_int1: 1.1.1.1/32
Network: 2.2.2.2
P2P_int2: 1.1.1.1/32
Network: 3.3.3.3
P2P_int3: 1.1.1.1/32
Network: 4.4.4.4
Network: 1.1.1.1
P2P_int1: 2.2.2.2/32
93
Endereçamento Ponto-a-Ponto
94
Laboratório Final
• Abram um terminal
95
OBRIGADO!