BAUSER - MTCRE - Treinamento em português Brasil

Treinamento MikroTik  Certificação MTCRE - Routing Engineer Por Leonardo Rosa, BRAUSER, Brasil

Apresentação Leonardo Rosa ●

Baiano, pai de 2 meninos

●

Consultor em Internetworking desde 2006

●

Instrutor MikroTik desde 2012, certificado na Polônia

●

Ministra cursos e treinamentos nas certificações MikroTik MTCNA, MTCIPv6E, MTCRE, MTCINE, MTCWE, MTCUME, MTCTCE

●

Experiente em segurança e roteamento 2

Certificações MikroTik  MTCNA

MTCRE   MTCWE

MTCTCE

MTCUME

MTCIPv6E

MTCINE

Mais informação informação em: mikrotik.co mikrotik.com/training m/training

3

Objetivos do Curso ●

Abordar todos os tópicos necessários para o exame de certificação MTCRE;

●

Prover uma visão ampla sobre roteamento e túneis;

●

Fazer uma abordagem simples e objetiva de como planejar e implementar uma rede roteada com foco em segurança e performance. 4

Sumário DIA 1 > Roteamento

1. 2. 3. 4. 5.

Visão geral Teo eorria de ro rote team amen ento to IP RIB e FIB Rot otas as ma mais is es espe pecí cífi ficcas Roteamento es estático

5

Sumário DIA 1 > Roteamento

1. 2. 3. 4. 5.

Balanc Bala ncea eame ment nto o de ca carg rgaa EC ECMP MP Direci Dir eciona onamen mento to de rot rotaa para para int interf erface ace esp especí ecífica fica Técn Té cnic icas as par paraa Fai Failo love verr e Ba Back ckup up de ro rota tass Polílíti Po tica cass de de rot rotea eame ment nto o (PB (PBR) R) Interface loopback

6

Sumário DIA 1 > OSPFv2

1. O que é 2. Como fu funciona 3. Est strrutura da da re rede OS OSPF

7

Sumário DIA 2 > OSPFv2

1. 2. 3. 4. 5. 6.

Interface loopback Viz izin inha hanç nçaa e Ad Adja jaccên ênccia Redistribuição Agregação Custos Filtros 8

Sumário DIA 2 > Endereçamento ponto a ponto

1. Teor Teoria ia de re rede dess pon ponto to a po pont nto o 2. En Ende dere reça çame ment nto o e co conf nfig igur uraç ação ão 3. Rot otea eame ment nto o pon ponto to a pon ponto to > TÚNEIS

1. O que são 2. Se Setu tupp cam camaada 2 e ca cama madda 3 3. PPPoE, Eo EoIP, IP IPIP 9

Sumário DIA 3 > VPN

1. 2. 3. 4. 5.

O que é Tipos de VPN Cone Co nect ctiv ivid idad adee e ro rote team amen ento to LA LAN N to to LAN LAN PPTP, L2TP, SSTP Brid Br idge ge co cont ntro roll pro proto toco coll (BC (BCP) P)

10

Sumário DIA 3 > VLAN

1. 2. 3. 4.

O que é Impl pleementação do do Qi QinQ Vlan Vl an e sw swit itch ches es ge gere renc nciá iáve veis is Vlan Vl an e swi switc tchh chi chipp no no Rou Route terO rOS S

11

Agenda ●

Café da manhã às 8:00hs

●

Treinamento das 08:30 às 18:00hs

●

Almoço às 12:00hs (1 hora de duração)

●

Café da tarde às 15:30 (30 minutos)

12

Avisos importantes ●

Curso oficial: Proibido ser filmado ou gravado

●

Celular: Em modo silencioso

●

Notebook : Em modo silencioso

●

Perguntas: Sempre bem vindas

●

Aprendizado: Faça anotações extras!

●

Participação: Não seja um mala! =P

●

Deixe habilitada apenas a interface ethernet do seu PC 13

Apresentações ●

Diga seu nome

●

Com o que trabalha

●

Seu conhecimento em redes

●

Sua experiência com o RouterOS

●

Anote seu XY

14

ZERE A CONFIGURAÇÃO DO SEU ROTEADOR

●

Segurando botão reset por 20 segundos, ou

●

/system reset-confi reset-configuration guration no-defaults=yes

15

DIAGRAMA DO LABORATÓRIO X = grupo Y = router

AP

Anote seu XY

SSID=grupoX

Grupo 1

Grupo 2

16

IDENTIFIQUE SEU ROTEADOR

/system identity set name=XY-NOME

17

IDENTIFIQUE AS INTERFACES

18

LAB > 1 1. Na RB RB,, hab habiililite te o RoM RoMON ON co com m /tool romon set enable=yes

2. Na RB RB,, cri criee um uma bri bridg dgee com com todas as interfaces do roteador 3. No PC, coloque sua interface em DHCP a. Vo Você cê de deve ve pe pega garr IP IP na na red redee 192 192.1 .168. 68.100 100/24 /24

4. No PC, confira o IP e o acesso à internet! 19

Teoria de roteamento IP + ARP

20

ANALISANDO O SEGUINTE CENÁRIO

21

TABELAS DE ROTAS RIB E FIB

22

TABELAS DE ROTAS RIB E FIB

23

Roteamento Estático > 1

24

Roteamento Estático > 2

25

Roteamento Estático > 3

26

ECMP - Equal cost multi path A rota possui mais de um gateway /ip route add gateway=192.1 gateway=192.168.2.1,192.16 68.2.1,192.168.4.1 8.4.1

/ip route add gateway=192.1 gateway=192.168.1.2,192.16 68.1.2,192.168.3.2 8.3.2 dst-address=10.2.2.0/24 27

DISTANCE E CHECK-GATEWAY (DEMO)

●

Check gateway – a cada 10 segundos envia ou um ICMP echo request (ping) ou um ARP request.

●

Se várias rotas usam o mesmo gateway e existe uma rota que tem a opção check-gateway habilitada, então todas as rotas estarão sujeitas ao comportamento do check-gateway 28

Fixando o gateway à uma interface O processo de nexthop lookup usará a interface como critério para validar o gateway /ip route add dst-address= dst-address=192.168.11.0 192.168.11.0/24 /24 gateway=10.255.1.1%wlan-grupo1 gateway=10.255.1.1%

29

TIPOS DE ROTAS

30

CRITÉRIOS PARA MANUSEIO DAS TABELAS ●

Uma rota só vai para a FIB se o processo p rocesso de nexthop-lookup foi bem sucedido

●

Não admite rotas iguais na FIB ○ desempate com atributo distance (< preferida)

●

A rota usada é sempre a mais específica

●

O roteador busca pela rota mais específica em toda a tabela FIB e salva a decisão em memória

●

Nova busca é feita a cada alteração na FIB (e a cada 10 minutos) 31

DISTANCE POR PROTOCOLO protocol

distance

connected

0

static

1

eBGP

20

OSPF

110

RIP

120

MME

130

iBGP

200

32

DIAGRAMA DO LABORATÓRIO ether2 = 192.168. XY.1/24 PC = 192.168.XY.2 DNS = 1.1.1.1

SSID=grupo1

AP

Station = 10.255.X.Y/24 AP = 10.255.X.254

SSID=grupo2

33

VALIDAÇÃO

●

REMOVA a bridge criada anteriormente

●

CONECTE no router via IP

●

VERIFIQUE se seu router pinga em todos to dos os vizinhos diretos (direita, esquerda, AP) ○

Dica: consulte /ip neighbor

34

LAB > Roteamento estático 1 ●

Objetivo – Cada PC deve conseguir alcançar PC do seu grupo.

todo

●

Exercício – Criar rotas para as redes LAN usando como gateway o vizinho da ether1 . Habilite o check-gateway.

●

No PC, testar com ping e traceroute

.

35

LAB > Roteamento estático 2 ●

Objetivo – Ter redundância criada anteriormente.

para cada rota estática

●

Exercício – Criar novas rotas para redundância local, usando distance 2 e gateway para o sentido anti-horário.

● ●

No PC, verifiquem possíveis problemas com traceroute . 36

LAB > Política de roteamento ●

Objetivo – Complementar redundância do exercício anterior. Continuar o sentido anti-horário caso receba pacotes em ether1

●

Exercício – Duplicar as rotas de backup e inseri-las ins eri-las em nova tabela anti-horário usando o campo routing-mark nas novas rotas

37

Política de roteamento permite alterarmos a decisão padrão do router para atender condições específicas determinadas pelo administrador da rede.

●

Policy Based Routing

●

Necessário realizar dois passos: ○ ○

Criar as novas decisões Criar as condições desejadas

38

Política de roteamento As novas rotas são inseridas em novas tabelas através do uso do routing-mark . /ip route add routing-mark= REDUNDANCIA  \ dst-address=192.168.11.0/24 \ gateway=10.1.1.1

39

Política de roteamento O uso das novas tabelas é possível de duas maneiras: ●

Regras de rotas /ip route rule add interface= ether1 \ table=REDUNDANCIA

40

Política de roteamento O uso das novas tabelas é possível de duas maneiras: ●

Firewall Mangle /ip firewall mangle add action=mark-routing chain= prerouting  \ in-interface= ether1 new-routing-mark= REDUNDANCIA

41

Política de roteamento PBR com Mangle Possível apenas nas chains prerouting e output. /ip firewall mangle add action= mark-routing  chain=prerouting  \ dst-address=1.1.1.1 new-routing-mark= BLOQUEIO add action= mark-routing  chain=output dst-address=1.1.1.1 new-routing-mark= BLOQUEIO 42

LAB > Política de roteamento ●

Objetivo – Complementar redundância do exercício anterior. Continuar o sentido anti-horário caso receba pacotes em ether1

●

Exercício – Duplicar as rotas de backup e inseri-las ins eri-las em nova tabela anti-horário usando o campo routing-mark nas novas rotas

43

LAB > POLÍTICA DE ROTEAMENTO

Para terem acesso à internet: ●

R1 e R2: ○ Criar rota padrão para o AP da sala e NAT para a interface wireless

●

Demais roteadores: ○ Criar rota padrão para sentido horário ○ Criar rota padrão para sentido anti-horário ○ Criar rota padrão na tabela alternativa

44

PREFERENCIAL SOURCE > Pref. Source

2 IPs na WAN

10.0.0.10/24 10.0.0.11/24

output

IP a ser utilizado pelo router 

45

TTL > Time to live ●

É o limite máximo de saltos que um pacote pode dar até ser descartado;

●

O valor padrão do TTL é 64 e cada roteador decrementa este valor em 1 antes de passá-lo adiante;

●

O menu Firewall Mangle pode ser usado para manipular este parâmetro;

●

O roteador não passa adiante pacotes com TTL=1;

●

Útil para evitar que usuários criem rede com nat a partir da sua rede.

46

Campo Type ● ●

●

47

Scope e Target Scope (alcance recursivo) Alcance padrão da rota

Tipo de rota

Limite do alcance na pesquisa nexthop-lookup

48

Scope e Target Scope (alcance recursivo) Limite do alcance na pesquisa nexthop-lookup Alcance da rota

49

Roteamento Dinâmico

50

Roteamento Dinâmico ●

O RouterOS suporta os seguintes protocolos: ○ RIP versão 1, 2 e ng; ○ OSPF versão 2 e 3; ○ BGP versão 4; ○ MPLS.

○

O uso de protocolos de roteamento dinâmico permite implementar redundância e balanceamento de links de forma automática. Além de oferecerem recursos complexos de controle de tráfego.

51

Autonomous System

●

Um AS é o conjunto de redes IP e roteadores sobre o controle de uma mesma entidade que representam uma única política de roteamento para o restante da rede;

●

Um AS era identificado por um número de 16 bits (0–65535);

●

Os novos AS são identificados por um número de 32 bits.

52

Roteamento dinâmico - BGP

●

O protocolo BGP é destinado a fazer comunicação entre AS distintos, podendo ser considerado como o coração da Internet.

●

O BGP mantém uma tabela de “prefixos” de rotas contendo informações para se encontrar determinadas redes entre os AS.

●

A versão corrente do BGP no MikroTik é a 4, especificada na RFC 1771.

53

Roteamento dinâmico - BGP

54

OSPF (Open Shortest Path First) ●

O protocolo OSPF utiliza o estado do link e o algoritmo de Dijkstra para construir e calcular o menor caminho para todos destinos conhecidos na rede;

●

O OSPF é reconhecido na pilha IP pelo código 89;

●

E distribui informações i nformações de roteamento entre roteadores pertencentes ao mesmo AS;

●

OSPF é um protocolo para uso como IGP (Interior ( Interior gateway protocol).

55

LAB > OSPF básico

●

Objetivo – Rotear via OSPF todas as redes locais l ocais a fim de conhecer e alcançar todos os destinos. Cada PC deve ser capaz de se comunicar livremente na rede;

●

Basta um único passo para o OSPF funcionar: ○ Adicionar redes válidas em /routing ospf network Remova todas as rotas estáticas do seu s eu router com exceção da rota padrão ( 0.0.0.0/0);

●

●

R1 e R2, removam o NAT.

56

Networks (redes) OSPF ●

Ao adicionar uma rede em /routing ospf network o roteador fará o seguinte: ○

○

Ativará OSPF nas interfaces que tem um endereço de IP que estiver no range da rede adicionada; Enviará a rede adicionada para os outros roteadores.

57

Pacote Hello e intervalos Cada router envia constantemente pacotes chamados Hello para validar a existência e disponibilidade de router cada vizinho. ●

Hello interval: frequência de envio.

●

Router Dead Interval: tolerância para aguardar o ack do vizinho em resposta ao hello. O vizinho é considerado “morto” caso não confirme sua presença.

●

Transmit Delay: tempo estimado para envio de updates, através de mensagens lsa*.

●

Retransmit Interval: tolerância para aguardar o ack do vizinho em recebimento dos lsa enviados. O lsa é retransmitido caso o ack não chegue. 58

Neighbors (vizinhos) OSPF ●

Os roteadores OSPF encontrados estão listados na aba Neighbors (vizinhos);

●

Após a vizinhança ser estabelecida cada um irá apresentar um status operacional conforme descrito abaixo: ○ Full: Base de dados completamente sincronizada; ○ 2-way: Comunicação bi-direcional estabelecida; ○ Down, Attempt, Init, Loading, ExStart, Exchange: Não finalizou a sincronização completamente.

59

DR e BDR (designated router) ●

Para reduzir o tráfego OSPF em redes do tipo Broadcast e NBMA, uma única fonte para atualização de rotas é criada – o roteador designado (DR);

●

Um DR mantém uma tabela completa da topologia da rede e envia atualizações para os demais roteadores;

●

O roteador com maior prioridade é eleito como DR;

●

Também será eleito um roteador de backup, o BDR;

●

Roteadores com prioridade 0 nunca serão DR ou BDR;

●

O desempate das prioridades é feito pelo maior router-id. 60

DR e BDR (designated router)

61

Network type (tipos de rede) ●

Três tipos de rede são definidos no protocolo OSPF: OS PF:

 Point to point (não há eleição de DR e BDR)

 Broadcast

Non-Broadcast Multiple Access (NBMA)

62

NBMA Neighbors ●

Em uma interface com o tipo de rede NBMA, o router envia os pacotes de “hello” em unicast ao invés de multicast (224.0.0.5);

●

Com isso se faz necessário especificar os vizinhos manualmente em /routing ospf nbma-neighbor

63

NBMA Neighbors ●

A prioridade determina a chance do router ser eleito DR.

64

LAB > Network type Ajuste o tipo de rede de acordo com nossa topologia: ●

Os enlaces (ether1 e ether3) devem usar o tipo point-to-point;

●

As redes sem-fio devem permanecer com o tipo broadcast. ○

Confira a lista de LSA em /routing

ospf lsa

65

LAB > Interface loopback Interface loopback  favorece  favorece uma administração simplificada da rede; 1. Cr Criam iamos os um umaa brid bridge ge e nom nomea eamo moss ela ela co como mo loopback ; ○ Esta nova bridge não deve conter qualquer interface ! 2. Adic Adicio iona namo moss nov novo o IP IP à int inter erfa face ce loopback com máscara /32; ○

/ip address add interface=loopb interface=loopback ack address=10.255.255.XY/32

3. Adic Adicio iona namo moss est estee nov novo o IP IP nas nas redes do OSPF para roteamento. ○

/routing ospf network add area=backbone network=10.255.255.XY 66

Router ID e loopback ●

Cada roteador do AS deve ser identificado com um ID único;

●

Automaticamente, o menor IP existente em “IP list” será utilizado;

●

É uma boa prática utilizar o endereço de loopback  como  como Router ID.

1 - Copiar o endereço de loopback 

2 – Colar no Roter ID

67

OSPF Instance

68

OSPF Instance ●

Router ID: Geralmente o IP do roteador. Caso não seja especificado o roteador usará o maior IP que exista na interface.

●

Redistribute Default Route: ○ Never: nunca distribui rota padrão. ○ If installed (as type 1) : Envia com métrica 1 se a rota tiver as flags AS. ○ If installed (as type 2) : Envia com métrica 2 se a rota tiver as flags AS. ○ Always (as type 1) : Sempre, com métrica 1. ○ Always (as type 2) : Sempre, com métrica 2.

●

Redistribute Connected Routes: redistribuir todas as rotas diretamente conectadas.

●

Redistribute Static Routes: redistribui rotas estáticas (AS).

●

Redistribute RIP Routes: redistribui rotas aprendidas por RIP ( DAr).

●

Redistribute BGP Routes: redistribui rotas aprendidas por BGP (DAb).

●

Redistribute Other OSPF Routes: redistribui rotas OSPF de outras instâncias (DAo). ■ Na aba “Metrics” é possível modificar as métricas que serão exportadas as diversas rotas.

69

OSPF > Métrica tipo 1 ●

O tipo 1 soma o custo externo ao custo interno.

Cost=10

Custo total=40 Cost=10

Cost=10

Cost=10

Origem Cost=10 Cost=9 Custo total=49

Cost=10

Destino

 ASBR 70

OSPF > Métrica tipo 2 ●

Métrica do tipo 2 usa somente s omente o custo externo.

Cost=10 Custo total=10

Origem

Cost=9 Custo total=9

Destino  ASBR 71

LAB > Manipulando custos ●

Por padrão todas interfaces tem custo 10.

●

Verifique rotas ECMP em sua tabela de roteamento.

●

Atribua custos para garantir que o tráfego interno do seu grupo siga no sentido horário (similar ao LAB de roteamento estático;

●

Para alterar este padrão você deve adicionar interfaces manualmente em /routing ospf interfaces ; ○ ○

Confira o resultado com traceroute; Verifique a redundância da rede. 72

LAB > Tráfego proposto

73

LAB > Redistribuição de rotas estáticas

●

Crie uma rota estática na FIB com o seguinte destino: 172.16.XY.0/24

●

Habilite a redistribuição de rotas estáticas

●

Confira em /ip ○

route  as novas rotas

Confira a lista de LSA em /routing

ospf lsa

74

OSPF > Interface Passiva ●

O modo passivo desativa as mensagens de “Hello” enviadas pelo OSPF ;

●

Portanto ativar este recurso é sinônimo de segurança.

75

OSPF > Autenticação O RouterOS suporta os seguintes métodos de autenticação: ● None: Sem autenticação (default); ● Simple: Autenticação em texto plano; ● MD5: Autenticação com criptografia md5.

76

CRITÉRIOS DE VIZINHANÇA E ADJACÊNCIA 1. Es Esta tarr no me mesm smo o se segm gmen ento to de re rede de 2. Est staar na mes esma ma su subb-re rede de

; ;

3. Ter mes esmo mo va valo lorr de MT MTU; U; 4. Te Terr mesm mesmos os val valor ores es de de inte interv rval alo o nos nos paco pacote tess de “hello” e “router dead”; 5. Te Terr me mesm smo o ti tipo po de re rede de 6. Est staar na mesma area 7. Ter mes esmo mo ti tipo po de áre reaa

ou co comp mpat atív ível el;; ; . 77

OSPF > Áreas ●

A criação de áreas permite você agrupar uma coleção de roteadores;

●

A estrutura de uma área não é visível para outras áreas;

●

Cada área executa uma cópia única do algoritmo de roteamento;

●

As áreas são identificadas por um número de 32 bits (0.0.0.0 – 255.255.255.255 );

●

Esses números devem ser únicos para o AS.

78

OSPF > Área de backbone ●

A área backbone é o coração da rede OSPF. Ela possui o ID (0.0.0.0) e deve sempre existir;

●

A backbone é responsável por transmitir informações de roteamento entre as demais áreas;

●

A demais áreas devem estar conectadas a área de backbone direta ou indiretamente

.

79

Exemplo de AS e várias áreas

80

Tipos de roteadores no OSPF Tipos de roteadores em OSPF são: ● Roteadores internos a uma área. ● Roteadores de backbone (área 0). ● Roteadores de borda de área ( ABR). ○ Os ABRs devem ficar entre duas áreas e devem tocar a área 0. ● Roteadores de borda Autonomous System ( ASBR). ○ São roteadores que participam do OSPF mas fazem comunicação com um AS.

81

OSPF e o AS

 ASBR

Area

 ABR

Area

 ABR

 ABR

Area

 

Area

 ASBR

82

Virtual Link 

ASBR 83

Virtual Link  Utilizado para conectar áreas remotas ao backbone através de áreas não-backbone: /routing ospf virtual-link add neighbor-id=10.255.255.11 transit-area= area-nova

84

Separando as redes e áreas Dois passos são necessários para usar área no OSPF: 1. Criar a nova área em /routing ospf area

85

Separando as redes e áreas Dois passos são necessários para usar área no OSPF: 2. Usar a nova área em /routing ospf network

86

LAB > Cada grupo terá sua própria ÁREA ●

Todos os roteadores criam nova área seguindo o seguinte padrão: area-id=0.0.0. X ;

●

Todos os roteadores devem usar a nova área para todas as redes . R1 e R2 serão ABR e devem manter a rede wireless na área backbone;

●

Confiram as vizinhanças e o roteamento, tudo deve continuar como antes.

87

Agregação de áreas

●

Utilizado para agregar uma range de redes em uma única rota;

●

É possível atribuir um custo para essas rotas agregadas.

88

LSA (link-state advertisement advertisement)) Os roteadores se comunicam através atr avés de mensagens específicas, cada uma contém um tipo de informação e servem para propósitos diversos. ●

Tipo 1 Router Há um para cada roteador da área, e não ultrapassa a área;

●

Tipo 2 Network  É gerado pelo DR e circula apenas pela área, não atravessa o ABR;

●

Tipo 3 Summary Network  É gerado pelo ABR e descreve o número da rede e a máscara, e por default não são sumarizadas. Não é envidado para as áreas STUB e NSSA; 89

LSA (link-state advertisement advertisement)) ●

Tipo 4 Summary ASBR É gerado pelo ABR apenas quando existe um ASBR dentro da área e informa a rota para que todos cheguem ao ASBR;

●

Tipo 5 AS External Usado para transportar redes de outro AS e não são enviados para áreas STUB e NSSA;

●

Tipo 7 São gerados em áreas NSSA pelo ASBR e o ABR (caso configurado, converte o LSA ao tipo 5 para outras áreas. 90

Área Stub ●

Uma área Stub é uma área que não recebe rotas de AS externos;

●

Tipicamente todas rotas para os AS externos são substituídas por uma rota padrão. Esta rota será criada automaticamente por distribuição do ABR;

●

A opção Inject Summary LSA permite o ABR deixar passar os sumários de outras áreas para dentro da área stub.;

●

Dentro desta área não é permitido ASBR;

●

O custo padrão dessa área é 1.

91

Área Stub

92

Área NSSA (Not-so-stub-a (Not-so-stub-area) rea) ●

Um área NSSA é um tipo de área stub que tem capacidade de injetar transparentemente rotas para o backbone;

●

Translator role – Esta opção permite controlar que ABR da área NSSA irá atuar como repetidor do ASBR para a área de backbone: ○

Translate-always: roteador sempre será usado como tradutor.

○

Translate-candidate: ospf elege um dos roteadores candidatos para fazer as traduções. 93

Área NSSA

94

Problemas com túneis em OSPF

ABR PPPoE server

PPPoE server

95

“Área do PPPoE” do tipo stub

ABR PPPoE

Area1

server

~500 PPPoE clients

Area type = stub PPPoE server

~ 1000 PPPoE clients

96

“Área do PPPoE” do tipo default

ABR PPPoE

Area1

server

~500 PPPoE clients

Area type = default

PPPoE

~ 1000 PPPoE clients

server

97

Filtros de Roteamento ●

É possível criar um filtro de rotas para evitar que todas rotas /32 se espalhem pela rede OSPF; Para isso é necessário ter uma rede que sumarize todos os túneis;

●

Uma boa forma de ser fazer isso é atribuindo atribui ndo o endereço de rede da rede de túneis agregada a interface do concentrador;

●

Vale ressaltar que este método é considerado por muitos como “gambiarra”. É complexo e trabalhoso.

98

Gambiarra > Passo 1 > Instance Ativar a redistribuição de rotas conectadas:

99

Gambiarra > Passo 2 > Network  Desativar o prefixo dos túneis em /routing

ospf network

100

Gambiarra > Passo 3 > Novo IP Adicionar nova “rota conectada” em /ip

address

101

Gambiarra > Passo 4 > Routing filter

102

Gambiarra > Passo 5 > Nova rota A nova rota evitará loop e tráfego desnecessário

103

Resumo OSPF ● Para segurança da rede OSPF: ○ Use chaves de autenticação; ○

Use interface passiva.

● Para aumentar a performance da rede OSPF: ; ○ Use o tipo adequado de rede ○ Use o tipo adequado de área; ○ Use agregação de área sempre que possível; para os DR. ○ Use maior prioridade ● Utilize sempre como boa prática a loopback 

104

Endereçamento de ponto-a-ponto ●

Comparando a utilização de endereçamento para enlaces: ○ ○

/30 = 4 IPs, apenas 2 úteis /32 = 2 IPs, 2 úteis

105

Endereçamentoo /30 Endereçament ether1: 10.2.2.2/30 10.2.2.2/30

ether1: 10.1.1.2/30 10.1.1.2/30

ether1: 10.3.3.2/30 10.3.3.2/30

ether1: 10.1.1.1/ 10.1.1.1/30 30 ether1: 10.2.2.1/ 10.2.2.1/30 30 ether1: 10.3.3.1/ 10.3.3.1/30 30

106

Endereçamento ponto-a-ponto ●

Endereçamento ponto-a-ponto utiliza apenas dois IPs por enlace enquanto o /30 utiliza quatro IPs;

●

Não existe endereço de broadcast, mas o endereço de rede deve ser configurado manualmente com o IP do lado oposto. Exemplo: ○ ○

●

Router1: address=10.1.1 address=10.1.1.1/32, .1/32, network=10.2.2.2 Router2: address=10.2.2 address=10.2.2.2/32, .2/32, network=10.1.1.1

Podem existir endereços idênticos no router se forem /32 – cada endereço terá rota conectada diferente.

107

Endereçamento ponto-a-ponto ether1: 10.3.3.3/3 10.3.3.3/322 network: 10.1.1.1

108

Endereçamento ponto-a-ponto ●

Geralmente usado em túneis

●

Pode ser usado para economia de IPs. Router 1

Router 2

109

Túneis e VPN

110

Tunelamento A definição de tunelamento é a capacidade de criar túneis entre dois hosts por onde trafegam dados, garantindo o isolamento da comunicação fim-a-fim. O routerOS implementa diversos tipos de túneis, tanto servidor quanto cliente: ● ● ● ● ● ● ● ● ● ● ● ●

PPP PPPoE PPTP L2TP SSTP OVPN IPSec Túnel IPIP Túnel EoIP Túnel VPLS Túnel TE Túnel GRE 111

VPN ●

Uma Rede Privada Virtual é uma rede de comunicações privada normalmente utilizada por uma empresa ou conjunto de empresas e/ou instituições, construídas em cima de uma rede pública. O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros.

●

VPNs seguras usam protocolos de criptografia por tunelamento que fornecem confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Quando adequadamente adequadamen te implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras. i nseguras.

112

VPN As principais características da VPN são: ●

● ●

●

●

Promover acesso seguro sobre meios físicos públicos como a internet por exemplo. Promover acesso seguro sobre linhas dedicadas, wireless, etc. Promover acesso seguro a serviços em ambiente corporativo de correio, impressoras, etc. Fazer com que o usuário, na prática, se torne parte da rede corporativa remota recebendo IPs desta e perfis de segurança definidos. A base da formação das VPNs é o tunelamento entre dois pontos, porém tunelamento não é sinônimo de VPN.

113

Site-to-site

114

Conexão Remota

115

PPP – Definições Comuns • MTU/MRU: Unidade máximas de transmissão/recepçã transmissão/recepção o em bytes. Normalmente o padrão ethernet permite 1500 bytes. Em serviços PPP que precisam encapsular os pacotes, deve-se definir valores menores para evitar fragmentação fragmentação..

• Keepalive Timeout: Define o período de tempo em segundos após o qual o roteador começa a mandar pacotes de keepalive por segundo. Se nenhuma resposta é recebida pelo período de 2 vezes o definido em keepalive timeout o cliente é considerado desconectado. desconectado.

• Authentication: As formas de autenticação permitidas são: ○ ○ ○ ○

Pap: Usuário e senha em texto plano sem criptografia. Chap: Usuário e senha com criptografia. Mschap1: Versão chap da Microsoft conf. RFC 2433 Mschap2: Versão chap da Microsoft conf. RFC 2759

116

PPP – Definições Comuns ●

PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então será necessário que haja algum mecanismo para avisar que esta estação deverá diminuir o tamanho dos pacotes para que a comunicação ocorra com sucesso. O processo interativo de envio de pacotes em determinados tamanhos, a resposta dos roteadores intermediários e a adequação dos pacotes posteriores é chamada Path MTU Discovery ou PMTUD. Normalmente esta funcionalidade está presente em todos roteadores, sistemas Unix e no MikroTik ROS.

●

MRRU (Maximum Receive Reconstructed Unit): Tamanho máximo do pacote, em bytes, que poderá ser recebido pelo link. Se um pacote ultrapassa esse valor ele será dividido em pacotes menores, permitindo o melhor dimensionamento do túnel. Especificar o MRRU significa permitir MP (Multilink PPP) sobre túnel simples. Essa configuração é útil para o PMTUD superar falhas. Para isso o MP deve ser configurado em ambos lados. 117

PPP – Definições Comuns Change MSS: Maximun Segment Size, tamanho máximo do segmento de dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o túnel está estabelecido deve ser fragmentado antes de enviá-lo. Em alguns caso o PMTUD está quebrado ou os roteadores não conseguem trocar informações de maneira eficiente e causam uma série de problemas com transferência HTTP, FTP, POP, etc. Neste caso Mikrotik proporciona ferramentas onde é possível interferir e configurar uma diminuição do MSS dos próximos pacotes através do túnel visando resolver o problema.

118

PPPoE > PPP over Ethernet RFC 2516 ●

Acontece em 2 estágios: ○ ○

●

Discovery (0x8863) Session (0x8864)

Substitui o DHCP em redes controladas.

119

PPPoE > Cliente e Servidor ●

PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui informações sobre o remetente e o destinatário, desperdiçando mais banda. Cerca de 2% a mais;

●

Muito usado para autenticação de clientes com base em Login e Senha. O PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a internet;

●

O cliente não tem IP configurado, o qual é atribuído pelo Servidor PPPoE (BRAS, concentrador) normalmente operando em conjunto com um servidor Radius. No MikroTik não é obrigatório o uso de Radius pois o mesmo permite criação e gerenciamento de usuários e senhas em uma tabela local; ■

PPPoE por padrão não é criptografado. O método MPPE pode ser usado desde que o cliente suporte este método.

120

PPPoE > Cliente e Servidor ●

O cliente descobre o servidor através do protocolo pppoe discovery que tem o nome do serviço a ser utilizado.

●

Precisa estar no mesmo barramento físico ou os dispositivos passarem pra frente às requisições PPPoE usando pppoe relay.

●

No MikroTik o valor padrão do Keepalive Timeout é 10, e funcionará bem na maioria dos casos. Se configurarmos pra zero, o servidor não desconectará os clientes até que os mesmos solicitem ou o servidor seja reiniciado.

121

PPPoE > Discovery stage

122

Configuração do Servidor PPPoE

123

Configuração do Servidor PPPoE

3. Adicione um usuário e senha /ppp secret add name=usuario password=123456 service=pppoe profile=perfil-pppoe

Obs: Caso queira verificar o MAC-Address, adicione em Caller ID. Esta opção não é obrigatória, mas é um parâmetro a mais para segurança.

124

Configuração do Servidor PPPoE

4. Adicione o Servidor PPPoE Service Name = Nome que os clientes vão procurar (pppoe-discovery) (opcional). Interface = Interface onde o servidor pppoe vai escutar. /interface pppoe-server server add authentication=chap,mschap1,mschap2 \ interface=wlan1

125

Mais sobre perfis ●

Bridge: Bridge para associar ao perfil

●

Incoming/Outgoing Filter: Nome do canal do Incoming/Outgoing firewall para pacotes entrando/saindo.

●

Address List: Lista de endereços IP para associar ao perfil.

●

DNS Server: Configuração dos servidores DNS a atribuir aos clientes.

●

Use Compression/En Compression/Encryption/Chan cryption/Change ge TCP MSS: caso estejam em default, vão associar ao valor que está configurado no perfil default-profile.

126

Mais sobre perfis ●

Session Timeout: Duração máxima de uma sessão PPPoE.

●

Idle Timeout: Período de ociosidade na transmissão de uma sessão. Se não houver tráfego IP dentro do período configurado, a sessão é terminada.

●

Rate Limit: Limitação da velocidade na forma rx-rate/tx-rate. Pode ser usado também na forma rx-rate/tx-rate rx-burst-rate/tx-burstrate rx-burst-threshould/tx-burst-threshould burst-time priority rx-rate-min/tx-rate-min.

●

Only One: Permite apenas uma sessão para o mesmo usuário. 127

Mais sobre o database ●

● ●

●

●

Service: Especifica o serviço disponível para este cliente em particular. Caller ID: MAC Address do cliente. Local/Remote Address: Endereço IP Local (servidor) e remote(cliente) que poderão ser atribuídos a um cliente em particular. Limits Bytes IN/Out: Quantidade em bytes que o cliente pode trafegar por sessão PPPoE. Routes: Rotas que são criadas do lado do servidor para esse cliente específico. Várias rotas podem ser adicionadas separadas por vírgula.

128

Mais sobre o PPPoE Server O concentrador PPPoE do Mikrotik suporta múltiplos servidores para cada interface com diferentes nomes de serviço. Além do nome do serviço, o nome do concentrador de acesso pode ser usado pelos clientes para identificar o acesso em que se deve registrar. O nome do concentrador é a identidade do roteador. O valor de MTU/MRU inicialmente recomendado para o PPPoE é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser configurado no AP. Para clientes Mikrotik, a interface de rádio pode ser configurada com a MTU em 1600 bytes e a MTU da interface PPPoE em 1500 bytes. Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que 1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da interface sem fio de clientes MS Windows. A opção One Session Per Host permite somente uma sessão por host (MAC Address). Por fim, Max Sessions define o número máximo de sessões que o concentrador suportará. 129

Configurandoo o PPPoE Client Configurand

● ● ● ● ●

; AC Name: Nome do concentrador Service: Nome do serviço designado no servidor PPPoE; Dial On Demand: Disca sempre que é gerado tráfego de saída; Add Default Route: Adiciona a rota padrão . User Peer DNS: Usa o DNS do servidor PPPoE. 130

VPN > PPTP, L2TP, SSTP

131

PPTP ●

O PPTP (protocolo de tunelamento ponto-a-ponto) provê túneis criptografados sobre o IP;

●

Pode ser usado para criar conexões “seguras” entre redes através da Internet;

●

O RouterOS suporta ambos o PPTP cliente e o PPTP server;

●

Usa porta TCP 1723 e o protocolo IP de número 47 ; GRE

●

NAT helpers são usados para garantir o suporte ao PPTP em redes com NAT.

132

L2TP ●

L2TP – Layer 2 Tunnel Protocol (protocolo de tunelamento em camada 2) é um protocolo de tunelamento seguro para transportar tráfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de forma criptografada (ou não) e permite enlaces entre dispositivos de redes diferentes unidos por diferentes protocolos.

●

O tráfego L2TP utiliza protocolo UDP tanto para controle como para pacote de dados. A porta UDP 1701 é utilizada para o estabelecimento do link e o tráfego em si utiliza qualquer porta UDP disponível, o que significa que o L2TP pode ser usado com a maioria dos firewalls e routers, funcionando também através de NAT.

●

L2TP e PPTP possuem as mesma funcionalidades. 133

Configuração do Servidor PPTP e L2TP

Configure um pool, um perfil para o PPTP, adicione um usuário em “secrets” e habilite o servidor PPTP conforme as figuras. 134

Configuração do Servidor PPTP e L2TP

●

● ●

Configure os servidores PPTP e L2TP. Atente para utilizar o perfil correto. Configure nos hosts locais um cliente PPTP e realize conexão com um servidor da outra rede.

135

Configuração do Servidor PPTP e L2TP

●

As configurações para o cliente PPTP e L2TP são bem simples, conforme observamos nas imagens. 136

SSTP ●

Secure Socket Tunnelling Protocol criptografado sobre IP;

provê túnel

●

Usa porta tcp/443

●

O RouterOS suporta ambos SSTP client e server; s erver;

●

O SSTP client está disponível no Windows 7 e posterior;

●

Para Linux existem implementações Open Source tanto para cliente e servidor;

●

Como o tráfego é idêntico ao HTTPS, usualmente o túnel SSTP pode atravessar facilmente os firewalls sem configuração adicional.

;

137

SSTP Client

Atribua o name, endereço IP do servidor SSTP, usuário, senha

138

SSTP Client

●

Use com cuidado 'Add Default Route' para enviar todo tráfego através do túnel SSTP. Pois esse recurso pode derrubar a própria VPN.

●

Use rotas estáticas para enviar tráfegos específicos através do túnel SSTP.

139

SSTP Client

●

Não é necessário usar certificados para conectar dois dispositivos RouterOS

●

Para conectar pelo Windows, é necessário um certificado válido

●

Pode ser emitido por uma entidade certificadora – certificate authority (CA)

140

LAB > SSTP site-to-site

141

LAB > SSTP site-to-site OBJETIVO: dois a dois, PC falar com PC. ●

DESATIVAR o roteamento via OSPF da rede LAN;

●

FECHAR vpn com o vizinho através dos IPs de loopback ;

●

ROTEAR as redes LAN estaticamente;

●

CONFERIR com traceroute ( tracert

-d).

142

Túnel IPIP ●

IPIP é um protocolo que encapsula pacotes IP sobre o próprio protocolo IP baseado na RFC 2003. É um protocolo simples que pode ser usado para interligar duas intranets i ntranets através da internet usando 2 roteadores.

●

A interface do túnel IPIP aparece na lista de interfaces como se fosse uma interface real.

●

Vários roteadores comerciais, incluindo CISCO e roteadores baseados em Linux suportam este protocolo.

●

Um exemplo prático de uso do IPIP seria a necessidade de monitorar hosts através de um NAT, onde o túnel IPIP colocaria a rede privada disponível para o host que realiza o monitoramento, sem a necessidade de criar usuário e senha como nas VPNs. 143

Túnel IPIP

144

LAB > Túnel IPIP 1. Do Dois is a doi dois, s, fe fech char ar o tún túnel el em /interface; 2. Adi Adicio cionar nar IP de pon pontoto-a-p a-pont onto o à int interf erface ace do tún túnel el (172.20.X.Y/32, em cada router); 3. Te Test star ar a con conec ecti tivid vidad adee do tún túnel el em em cada cada rou route ter; r; 4. Ro Rote tear ar as re rede dess LAN LAN pa para ra o tún túnel el;; 5. Te Test star ar a co cone nect ctiv ivid idad adee PC PC a PC PC com com ping e traceroute (tracert

-d).

145

Túnel EoIP ●

EoIP é um protocolo proprietário MikroTik para encapsulamento de todo tipo de tráfego sobre o protocolo IP.

●

Quando habilitada a função de Bridge Br idge dos roteadores que estão interligados através de um túnel EoIP, todo o tráfego é passado de uma lado para o outro de forma transparente mesmo roteado pela internet e por vários protocolos.

●

O protocolo EoIP possibilita: ○ ○

●

Interligação em bridge de LANs remotas através da internet. Interligação em bridge de LANs através de túneis criptografados.

A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP. O protocolo EoIP encapsula frames ethernet através do protocolo GRE. 146

Túnel EoIP

147

Túnel EoIP ●

●

● ●

Criando um túnel EoIP entre as redes por trás dos roteadores 10.0.0.1 e 22.63.11.6. Os MACs devem ser diferentes e estar entre o rage: 00-00-5E-80-00-00 e 00-00-5E-FF-FF-FF, 00-00-5E -FF-FF-FF, pois são endereços reservados para essa aplicação. O MTU deve ser deixado em 1500 para evitar fragmentação. O túnel ID deve ser igual para ambos.

148

Túnel EoIP

●

Adicione a interface EoIP à bridge  juntamente com a interface que fará fará parte do mesmo domínio de broadcast. 149

LAB > Túnel EoIP 1. Do Dois is a doi dois, s, fe fech char ar o tún túnel el em /interface; 2. Criar no nova br bridge; 3. Ad Adic icio iona narr na br brid idge ge o tú túne nel;l; 4. Ad Adic icio iona narr na na bri bridg dgee a int inter erfa face ce ether-LAN; Agora vocês estão no mesmo domínio de broadcast! 5. Adicionar no novo IP IP no no PC (192.168.X.Y/24); 6. Te Test star ar co cone nect ctiv ivid idad adee PC PC a PC PC com com ping e arp

-a.

150

Bridge Control Protocol (BCP) O routerOS suporta BCP para os protocolos PPP, PPTP, L2TP e PPPoE. ● ●

● ●

Viabiliza a introdução dos túneis acima em uma bridge existente no router; Os túneis podem ser criptografados e passam a transmitir frames ethernet, útil para estender um domínio de broadcast através da internet de maneira “segura”. Tanto o cliente quanto o servidor precisam do recurso habilitado. Setup simples e pode “substituir” o EoIP + VPN.

151

PPTP + BCP

152

PPTP + BCP

153

Virtual LAN (802.1Q)

154

Virtual LAN (802.1Q) ●

VLAN permite agrupar dispositivos de rede em sub-grupos independentes, mesmo estando num mesmo segmento LAN (mesmo domínio de broadcast);

●

Para os roteadores se comunicarem na VLAN é necessário que as interfaces VLAN tenham o mesmo ID (vlan-id);

●

Um router suporta até 4095 VLANS em uma mesma interface ethernet; ○

Os vlan-id 0, 1 e 4095 são reservados para usos especiais e não devem ser usados normalmente.

○

Uma VLAN pode ser configurada sobre outra VLAN. Isto é o “Q-in-Q” (vindo do 802.1Q). 155

Exemplo de VLAN

Rede Ethernet vlan1: 10.1.1.1/24 vlan2: 10.2.2.1/24 vlan3: 10.3.3.1/24

156

Criando a interface VLAN

157

LAB > VLAN no router ●

Criar uma vlan em cada interface ethernet com os vizinhos (combinem os ID);

●

Migrar os IPs das interfaces para as vlans criadas;

●

Verificar a conectividade (ping) com os vizinhos;

●

Verificar o roteamento na rede com traceroute;

●

Verificar o tráfego nas interfaces VLAN.

158

VLAN no Switch ●

As interfaces de um switch gerenciável podem ser atribuídas a um ou mais grupos de VLAN, baseados em tags;

●

Em cada grupo, as interfaces do switch podem ser configuradas como: ■

Tagged – permite adicionar a tag do grupo ao transmitir os frames e permite receber (apenas) frames com a mesma tag;

■

Untagged – permite remover a tag ao transmitir e permite receber (apenas) pacotes sem tag;

■

Undefined – interface não tem tag (interface comum);

■

 – interface com várias tags para os vários grupos Trunk  – de VLAN. 159

Switch Chip disabled - ignora a tabela de vlans, trata o frame com tag como se não tivesse tag - switch comum; fallback  - - o modo padrão - frames com tag desconhecida (que não está presente na tabela de vlans) são tratados como se não tivessem vlan. Frames com tag conhecidas (que estão presentes na tabela) mas que chegam por interface que não pertençam a qualquer vlan, não são descartados; check  - - descarta frames com tag se esta não existir na tabela de vlans. Frames com tag que estão presentes na tabela mas chegam por interface que não pertençam a qualquer vlan, não são descartados; secure - descarta frames com tag se esta não existir na tabela de vlans. Frames com tag que estão presentes na tabela mas chegam por interface que não pertençam a qualquer vlan, são descartados. leave-as-is - frame permanece inalterado ao sair por esta interface; always-strip - se o frame tiver tag (cabeçalho VLAN), ela é removida; add-if-missing - se o frame não tiver tag, ela é adicionada. 160

LAB > VLAN no switch ●

Para cada dupla, um router (R) será servidor DHCP e o outro router será apenas switch (S);

●

O router deve criar duas VLANs na mesma interface física (ou ether1 ou ether3);

●

Em cada VLAN será instalado um servidor DHCP com as seguintes redes: ○ dhcp-vlan1 = 172.21. XY.0/24 ○ dhcp-vlan2 = 172.22. XY.0/24

●

O switch deve receber as duas VLANs e escolher qual delas será repassada para a ether2, onde está o PC;

●

O PC deve pegar IP de acordo com a seleção da VLAN. 161

Perguntas

CONTATOS Leonardo Rosa linkedin.com/in/leonardorosa [email protected] brauser.com.br

19 | 3090 3600 | 3600 | WB