TREINAMENTO MIKROTIK CERTIFICAÇÃO – MTCRE Produzido por: Alive Solutions www.alivesolutions.com.br Instrutor: Guilherme Ramires
AGENDA Treinamento diário das 09:00hs às 19:00hs Coffe break as 16:00hs Almoço as 13:00hs – 1 hora de duração
2
Algumas regras importantes • Por ser um curso oficial, o mesmo não poderá ser filmado ou gravado • Procure deixar seu aparelho celular desligado ou em modo silencioso • Durante as explanações evite as conversas paralelas. Elas serão mais apropriadas nos laboratórios • Desabilite qualquer interface wireless, dispositivo 3G ou interface de VM em seu laptop 3
Algumas regras importantes • Perguntas são sempre bem vindas. Muitas vezes a sua dúvida é a dúvida de todos. • O acesso a internet será disponibilizado para efeito didático dos laboratórios. Portanto evite o uso inapropriado. • O certificado de participação somente será concedido a quem obtiver presença igual ou superior a 75%. 4
Apresente-se a turma • • • • •
Diga seu nome; Sua empresa; Seu conhecimento sobre o RouterOS; Seu conhecimento com redes; O que você espera do curso;
• Lembre-se de seu número: XY 5
Objetivo do Curso • Proporcionar conhecimento e treinamento prático no Mikrotik RouterOS básico e os conceitos avançados de roteamento para redes de pequeno e médio porte. • Após a conclusão do curso, você será capaz de planejar, implementar, ajustar e depurar as configurações de um rede roteada no MikroTik RouterOS. 6
Montando a Rede
7
Montando a Rede Crie uma rede 192.168.XY.0/24 na ether1 entre o laptop (.1) e a RB (.254) Conecte sua RB ao AP com SSID “MTCRE” Adicione o IP 10.1.1.XY/24 na wlan1 Aponte o DNS e Gateway default para 10.1.1.254 Teste a conectividade internet pela RB e seu notebook Estando tudo ok, faça um backup da configuração 8
Roteamento Simples • • • • • •
Distance Policy Routing ECMP Scope Dead-End Recursive Next-Hop Resolving
9
Roteamento Estático Simples • Uma única rota para uma rede simples • Rotas mais especificas na tabela de roteamento tem mais prioridade que menos especificas. • A rota com destino 0.0.0.0/0 basicamente significa “o resto”. 10
Roteamento Simples • Em grupos de 4 alunos façam uma rede conforme o slide a seguir; • Remove qualquer NAT que por ventura tenha sido adicionado; • Usando rotas estáticas simples alcancem as redes dos notebooks;
11
Roteamento Simples AP Principal
Laptop R1
eth3: 194
eth2: 1
Laptop
eth2: 193 eth3: 130
R4
Laptop 10.10.Z.0/30 Z – Número do seu grupo
eth2: 129
Laptop
R3
R2
eth3: 2 eth2: 65
eth3: 66 12
Exercícios • É possível criar rotas estáticas que garantam: – Balanceamento de carga – Fail Over – Escolha do melhor caminho
• Vamos ver se é possível...
13
Rotas com ECMP • A técnica do ECMP(Equal Cost Multi Path) consiste em prover várias gateways para o mesmo destino; • Os gateways serão definidos pelo algoritmo de Round Robin levando-se em consideração os endereços de origem e destino; • Você pode definir o mesmo gateway várias vezes caso queira aumentar sua a carga. 14
“Check-gateway” • Você pode usar esta opção para verificar se o gateway remoto está respondendo utilizando ICMP(ping) ou ARP; • Caso seja confirmado que o gateway não está respondendo está rota ficará inativa automaticamente; • Se a opção de Check-Gateway estiver ativada em uma rota fará com que a verificação esteja ativa para todos os gateways adicionados nela. 15
ECMP • Evitando loops – Somente um participante irá criar uma rota ECMP para cada rede 192.168.XY.0/24 com a opção “check-gateway”; – Os demais participantes deverão criar rotas simples para alcançar uns aos outros - exceto o primeiro participante; – Verifiquem a redundância utilizando o traceroute; – Utilizem a opção “undo” para voltar as configurações iniciais e permitir que o próximo participante crie o ECMP. 16
“Distance” • Caso exista dois gateways para o mesmo destino e você queira priorizar um gateway ao invés do outro, você pode usar o recurso da distância; • Para encaminhar o pacote o roteador irá escolher a rota alcançável com menor distância.
17
“Distance” • Crie duas rotas diferentes para cada participante na rede local da seguinte forma: – Uma rota no sentido horário com distance=1; – Uma rota no sentido anti-horário com distance=2;
• Verifique a redundância desativando o endereço IP do sentido horário; • Utilize o traceroute para verificar o efeito.
18
“Distance” AP Principal
Laptop
Laptop
Laptop
BACKUP LINK
Laptop
19
Problemas encontrados... • O tráfego não terá problema algum em passar no sentido horário; • Caso a opção “check-gateway” detecte falha, somente o roteador afetado irá passar o tráfego no sentido anti-horário; • Solução: – Se o tráfego começa a no sentido anti-horário, ele deverá ser roteado desta forma até alcançar seu destino. 20
Marcas de Roteamento • Utilizadas para direcionar um determinado tráfego por uma rota especifica; • Essas marcas são “imprimidas” através do menu Firewall Mangle e somente nos canais prerouting e output; • A tabela de roteamento irá rotear os pacotes conforme as marcas especificadas nas rotas – caso não exista rota com marcas, a rota default será usada. 21
Marcas de Roteamento • Marque todo tráfego que passa pelo roteador no sentido horário; • Crie uma rota para estas marcas com destino no gateway do sentido anti-horário; • Verifique o correto fluxo do tráfego através do traceroute.
22
Time To Live (TTL) • TTL é o limite máximo de saltos que um pacote pode dar até ser descartado; • O valor padrão do TTL é 64 e cada roteador decrementa este valor em um antes de passá-lo adiante; • O menu Firewall Mangle pode ser usado para manipular este parâmetro; • O roteador não passa adiante pacotes com TTL=1; • Está opção é muito útil para evitar que usuários criem rede nateadas a partir da sua rede. 23
Alterando o TTL
24
Recurso Next-hop • É possível especificar um gateway para uma rede mesmo que o gateway não esteja diretamente ligado ao roteador; • Útil em setups onde a seção intermediária entre seu roteador e o gateway não é constante(iBGP por exemplo); • A rota criada deve estar no scope de outra rota para que o recurso de Next-hop funcione. 25
Recurso Next-hop • Quando há necessidade de mudar target-scope? Possíveis problemas com a abordagem descrita anteriormente é que todas as rotas na tabela sempre será ativa. Este pode não ser o que se deseja. Exemplo: um roteador com duas interfaces, ethernet e wireless. Todas as rotas BGP são resolvidos através da ethernet e a interface wireless tem algumas rotas adicionais estática. Você quer que essas rotas estáticas se tornem ativas apenas quando interface wireless está ativa. Normalmente este é o caso. No entanto, quando há uma rota padrão com scope baixo suficiente, todas as rotas serão mudadas para a interface ethernet após a interface wireless perder conexão. Uma possível solução é deixar o scope da rota padrão intacta e modificar o target-scope das rotas BGP. 26
27
Scope/Target-Scope • O escopo da rota contém todos os valores do atributo scope, sendo este maior ou igual ao seu valor de target-scope; Examplo:
0 ADC dst-address=1.1.1.0/24 pref-src=1.1.1.1 interface=ether1 scope=10 target-scope=0 1 A S dst-address=2.2.2.0/24 gateway=1.1.1.254 interface=ether1 scope=30 target-scope=10 2 A S dst-address=3.3.3.0/24 gateway=2.2.2.254 interface=ether1 scope=30 target-scope=30
28
Outras Opções • A opção “Type” permite criar rotas mortas (blackhole, prohibit, unreachable) para impedir que algumas redes sejam roteadas pelo roteador; • A opção “Preferred Source”, permite apontar qual endereço usar para o tráfego gerado localmente.
29
Open Shortest Path First (OSPF) • • • • •
Areas Costs Virtual links Route Redistribution Aggregation
30
Protocolo OSPF • O protocolo OSPF utiliza o estado do link e o algoritmo de Dijkstra para construir e calcular o menor caminho para todos destinos conhecidos na rede; • Os roteadores OSPF utilizam o protocolo IP 89 para comunicação entre si; • O OSPF distribui informações de roteamento entre roteadores pertencentes ao mesmo AS. 31
Autonomous System (AS) • Um AS é o conjunto de redes IP e roteadores sobre o controle de uma mesma entidade (OSPF, iBGP ,RIP) que representam uma única política de roteamento para o restante da rede; • Um AS é identificado por um número de 32 bits (0 – 4294967296) – A faixa de 1 até 64511 é pública – A faixa de 64512 até 65535 é de uso privado – A faixa de 65536 até 4294967296 é pública 32
Exemplo de um AS
Area
Area
Area
Area
33
Áreas OSPF • A criação de áreas permite você agrupar uma coleção de roteadores (entre 50 e 60); • A estrutura de uma área não é visível para outras áreas; • Cada área executa uma cópia única do algoritmo de roteamento ; • As áreas OSPF são identificadas por um número de 32 bits(0.0.0.0 – 255.255.255.255) • Esses números devem ser únicos para o AS. 34
Tipos de Roteadores • Um ASBR(Autonomous System Border Router ) é um roteador que se conecta a mais de um AS; – Um ASBR é usado para redistribuir rotas recebidas de outros AS para dentro de seu próprio AS
• Um ABR(Area Border Router) é um roteador que se conecta a mais de uma área; – Um ABR mantém multiplas cópias da base de dados dos estados dos links de cada área
• Um IR(Internal Router) é um roteador que está conectado somente a uma área. 35
OSPF AS ASBR Area ABR
Area
ABR
Area ABR
Area
ASBR 36
Área Backbone • A área backbone é o coração da rede OSPF. Ela possui o ID (0.0.0.0) e deve sempre existir; • A backbone é responsável por redistribuir informações de roteamento entre as demais áreas; • A demais áreas devem sempre estar conectadas a uma área backbone de forma direta ou indireta(utilizando virtual link). 37
Virtual Link • Utilizado para conectar áreas remotas ao backbone através de áreas não-backbone;
38
Virtual Link area-id=0.0.0.1 area-id=0.0.0.0 Virtual Link
area-id=0.0.0.2
area-id=0.0.0.3
ASBR 39
Redes OSPF • São utilizada para encontrar outros roteadores OSPF correspondentes a área especificada;
• Você deve utilizar exatamente as redes utilizadas no endereçamento das interfaces. Neste caso, o método de sumarização não é permitido. 40
Neighbours OSPF • Os roteadores OSPF encontrados estão listados na aba Neighbours; • Após a conexão ser estabelecida cada um irá apresentar um status operacional conforme descrito abaixo: – Full: Base de dados completamente sincronizada; – 2-way: Comunicação bi-direcional estabelecida; – Down,Attempt,Init,Loading,ExStart,Exchange: Não finalizou a sincronização completamente. 41
Neighbours OSPF
42
Áreas OSPF • Crie sua própria área OSPF; – Nome da área: area-z – Area-id: 0.0.0.z
• Atribua uma rede a esta área; • Verifique sua aba neighbour e tabela de roteamento; • Os ABRs devem configurar também a área de backbone e as redes; 43
OSPF - Opções • Router ID: Geralmente o IP do roteador. Caso não seja especificado o roteador usará o maior IP que exista na interface. • Redistribute Default Route: – Never: nunca distribui rota padrão. – If installed (as type 1): Envia com métrica 1 se tiver sido instalada como rota estática, dhcp ou PPP. – If installed (as type 2): Envia com métrica 2 se tiver sido instalada como rota estática, dhcp ou PPP. – Always (as type 1): Sempre, com métrica 1. – Always (as type 2): Sempre, com métrica 2. 44
OSPF - Opções • Redistribute Connected Routes: Caso habilitado, o roteador irá distribuir todas as rotas relativas as redes que estejam diretamente conectadas a ele. • Redistribute Static Routes: Caso habilitado, distribui as rotas cadastradas de forma estática em /ip routes. • Redistribute RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP. • Redistribute BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP. • Na aba “Metrics” é possível modificar as métricas que serão exportadas as diversas rotas.
45
OSPF – Distribuição de Rotas • A rota default não é considerada uma rota estática!!
1 2
3 4
}
5
{ 46
OSPF – Uso de métrica tipo 1
Custo=10 Custo=10 Custo=10
Custo Total=40
Custo=10
Origem Custo Total=49
Custo=10
Custo=10 Destino
Custo=9
ASBR 47
OSPF – Uso de métrica tipo 2 Custo X Cost=10
Custo X
Custo X
Custo Total=10 Origem Custo X Custo Total=9
Custo X Destino
Custo=9
ASBR 48
Redistribuição de Rotas • Habilite a re-distribuição de rotas conectadas com type 1; – Verifique a tabela de roteamento
• Adicione uma rota estática para a rede 172.16.XY.0/24 • Habilite a re-distribuição de rotas estáticas com type 1; – Verifique novamente a tabela de roteamento 49
OSPF – Custo de interfaces • Por padrão todas interfaces tem custo 10; • Para alterar este padrão você deve adicionar interfaces de forma manual;
50
OSPF – Inface Lab • Escolha o tipo de rede correta para todas interfaces OSPF; • Atribua custos(próx. slide) para garantir o tráfego em uma única direção dentro da área; • Verifique rotas ECMP em sua tabela de roteamento; • Atribua custos necessários para que o link backup só seja usado caso outros links falhem; • Verifique a redundância da rede OSPF; • Confirme que o ABR seja o DR da sua área, mas não na área de backbone; 51
OSPF – Custos de Interface AP Principal
Laptop
ABR
Laptop 100
10
Laptop
BACKUP LINK 10
100
10 Laptop
100 52
OSPF – Roteadores designados • Para reduzir o tráfego OSPF em redes broadcast e NBMA (Non-Broadcast Multiple Access), um único fonte para atualização de rotas é criado – Os roteadores designados(DR); • Um DR mantém uma tabela completa da topologia da rede e envia atualizações para os demais roteadores; • O roteador com maior prioridade será eleito como DR; • Os demais serão eleitos como roteadores backup – BDR; • Roteadores com prioridade 0 nunca serão DR ou BDR. 53
NBMA Neighbors • Em redes nãobroadcast é necessário especificar os neighbors manualmente; • A prioridade determina a chance do neighbor ser eleito DR; 54
Área Stub • Uma área Stub é uma área que não recebe rotas de AS externos; • Tipicamente todas rotas para os AS externos são substituídas por uma rota padrão. Esta rota será criada automaticamente por distribuição do ABR; 55
Área Stub – Cont. • A opção “Inject Summary LSA” permite especificar se os sumários de LSA da área de backbone ou outras áreas serão reconhecidos pela área stub; • Habilite esta opção somente no ABR; • O custo padrão dessa área é 1;
56
Área NSSA(Not-So-Stubby) • Um área NSSA é um tipo de área stub que tem capacidade de injetar transparentemente rotas para o backbone; • Translator role – Esta opção permite controlar que ABR da área NSSA irá atuar como repetidor do ASBR para a área de backbone: – Translate-always: roteador sempre será usado como tradutor. – Translate-candidate: ospf elege um dos roteadores candidatos para fazer as traduções. 57
OSPF AS default
default area-id=0.0.0.1
area-id=0.0.0.0
area-id=0.0.0.2
NSSA
Virtual Link
area-id=0.0.0.3
Stub
ASBR 58
Área Lab • Modifique sua área para stub; • Verifique as mudanças em sua tabela de rotas; • Confirme que a distribuição de rotas default esteja “never” no ABR; • Marque a opção “Inject Summary LSA” no ABR e desabilite no IR.
59
Agregação de Áreas • Utilizado para agregar uma range de redes em uma única rota; • É possível atribuir um custo para essas rotas agregadas; 60
Área Ranges Lab • Anuncie somente uma rota 192.168.Z.0/24 ao invés de quatro rotas /26 (192.168.Z.0/26, 192.168.Z.64/26, 192.168.Z.128/26, 192.168.Z.192/26) na área-z; • Desabilite o anuncio da rede backup no backbone; • Verifique a tabela de roteamento dos Aps principais; 61
Interface Passiva • O modo passivo permite desativar as mensagens de “Hello” enviadas pelo protocolo OSPF as interfaces dos clientes; • Portanto ativar este recurso é sinônimo de segurança; 62
Resumo OSPF • Para segurança da rede OSPF: – Use chaves de autenticação; – Use a maior prioridade(255) para os DR; – Use o tipo correto de rede para as áreas;
• Para aumenta a performance da rede OSPF: – Use o tipo correto de área; – Use agregação de áreas sempre que possível;
63
OSPF em redes VPN • Cada interface VPN dinâmica cria uma nova rota /32 na tabela de roteamento quando está ativa; • Isso causa dois problemas: – Cada mudança dessas resulta em novas atualizações do OSPF, caso a opção de redistribuir rotas conectadas esteja ativada. Em grandes redes isso causa um enorme flood!! – OSPF vai criar e enviar LSA pra cada interface VPN, caso a rede da VPN esteja atribuida a qualquer área OSPF. O que diminui a performance. 64
Área PPPoE – Tipo Stub
ABR
Area1 Area tipo = stub PPPoE server
PPPoE server
~250 clientes PPPoE
~ 100 clientes PPPoE
65
Área PPPoE – Tipo Default ABR Area1
PPPoE server
~250 clientes PPPoE
Area tipo = default
PPPoE server
~ 100 clientes PPPoE
66
Área PPPoE – Discussão • Dê uma solução para o problema mencionado anteriormente quando se utiliza área do tipo “stub” ou Default;
67
OSPF - Filtros • Os filtros devem ser aplicados tanto na entrada quanto na saída de mensagens de atualização de roteamento; – O canal “ospf-in” filtra todas mensagens de entrada de atualização; – O canal “ospf-out” filtra todas mensagens de saída de atualização;
• Os filtros de roteamento só podem atualizar rotas externas do OSPF (rotas para redes que não estão atribuídas a nenhuma área OSPF). 68
OSPF - Filtros
69
Filtros de Roteamento para VPN’s • É possível criar um filtro de rotas para evitar que todas rotas /32 se espalhem pela rede OSPF; • Para isto é necessário você ter uma rota agregada para esta rede VPN: – Uma boa forma de ser fazer isso é atribuindo o endereço de rede da rede VPN agregada a interface do concentrador VPN; – Outra forma é criando uma rota estática para a rede VPN no próprio roteador. 70
OSPF – Filtro VPN
71
Roteamento e interfaces Ponto-a-Ponto • • • •
VLAN IPIP EoIP Endereçamento Ponto-a-Ponto
72
VLAN – Virtual LAN(802.11q) • A VLAN permite você agrupar dispositivos de rede em independentes sub-grupos mesmo que estes estejam o mesmo segmento de LAN; • Para os roteadores se comunicarem é necessário que as VLAN ID sejam as mesmas das interfaces VLAN; • Um roteador suporta várias(máximo de 4096) VLAN’s na mesma porta ethernet. • Também é possível se criar uma VLAN sobre outra interface VLAN – “Q-in-Q” 73
Exemplo de VLAN 2.2.2.0/24
1.1.1.0/24
Rede Ethernet vlan1: 1.1.1.1/24 vlan2: 2.2.2.1/24 vlan3: 3.3.3.1/24 3.3.3.0/24
74
Criação de interface VLAN
75
VLAN em Switch • Portas switch VLAN compatíveis podem ser atribuídas a um ou vários grupos com base na VLAN tag; • Portas Switch em cada grupo podem ser setadas: – Modo Tag: Permite adicionar a tag VLAN do grupo na transmissão e permite receber essa tag; – Modo sem Tag: Permite remover a tag VLAN do grupo na transmissão e permite somente receber pacotes sem tag; – Undefined: Porta não tem relação com o grupo;
• Porta Trunk: Porta tagueada para diversos grupos VLAN. 76
VLAN Lab • Restaure o backup de sua RB; • Crie grupos de 4; • Se conectem pela wireless – Um AP e 3 clientes; • Crie um link VLAN pra cada participante; • Crie redes /30 para os links VLAN e teste a conectividade.
77
IPIP • O protocolo IPIP permite criar túneis encapsulando pacotes IP em pacotes IP e enviando para outro roteador; • O IPIP é um túnel de camada 3 e portanto não pode ser colocado em bridge; • RouterOS implementa o IPIP conforme a RFC 2003 e tem compatibilidade com qualquer fabricante que implemente o método com base na mesma RFC; 78
IPIP - Lab • Supondo que temos que unir as redes que estão por trás dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta criemos as interfaces IPIP em ambos, da seguinte forma:
79
IPIP - Lab • Agora precisamos atribuir os IPs as interfaces criadas.
• Após criado o túnel IPIP as redes fazem parte do mesmo domínio de broadcast. 80
EoIP • Os túneis EoIP utilizam o protocolo IP 47/GRE para encapsular os frames ethernet em pacotes IP e enviá-los para outro roteador; • Este protocolo é proprietário Mikrotik; • EoIP é um túnel de camada 2 e portanto pode ser colocado em bridge; • Para criar o túnel você deve especificar o ID e o endereço remoto; 81
EoIP •
O protocolo EoIP possibilita: • Interligação em bridge de LANs remotas através da internet. • Interligação em bridge de LANs através de túneis criptografados.
•
A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP. 82
Exemplo de rede EoIP Rede Roteada (LAN ou WAN)
Bridge Rede Local 192.168.0.1/24 - 192.168.0.100/24
Bridge Rede Local 192.168.0.101/24 - 192.168.0.255/24
83
EoIP - Lab • Criando um túnel EoIP entre as redes por trás dos roteadores 10.0.0.1 e 22.63.11.6. • Os MACs devem ser diferentes e estar entre o range: 00-00-5E-8000-00 e 02-00-5E-FF-FF-FF, pois são endereços reservados para essa aplicação. • O MTU deve ser deixado em 1500 para evitar fragmentação.
84
EoIP - Lab • Adicione a interface EoIP a bridge, juntamente com a interface que fará parte do mesmo domínio de broadcast.
85
Endereçamento Ponto-a-Ponto • O endereçamento ponto-a-ponto utiliza somente 2 hosts, enquanto o /30 utiliza 4; • Neste caso não existe endereço de broadcast, porém o endereço de rede deve ser setado manualmente apontando o endereço IP remoto; – Router 1: address=1.1.1.1/32, network=2.2.2.2 – Router 2: address=2.2.2.2/32, network=1.1.1.1
• Um único roteador pode ter vários endereços /32 iguais. Para tanto, os endereços de rede devem ser diferentes. 86
Exemplo de Endereçamento Ponto-a-Ponto P2P_int2: 3.3.3.3/32 Network: 1.1.1.1
P2P_int3: 4.4.4.4/32 Network: 1.1.1.1
Qualquer Rede IP (LAN, WAN ou Internet) P2P_int1: 1.1.1.1/32 Network: 2.2.2.2 P2P_int2: 1.1.1.1/32 Network: 3.3.3.3 P2P_int3: 1.1.1.1/32 Network: 4.4.4.4
Network: 1.1.1.1 P2P_int1: 2.2.2.2/32
87
Endereçamento Ponto-a-Ponto - Lab • Substitua os endereços /30 das interfaces IPIP por endereços /32 de ponto-a-ponto; • Verifique se há conectividade entre todos os participantes;
88
Laboratório Final • Abram um terminal • Executem: /system reset-configuration nodefaults=yes
89
Obrigado!!
Contato:
[email protected] Site: www.alivesolutions.com.br Fan Page: www.fb.com/AliveSolutions
