Você está na página 1de 90

TREINAMENTO MIKROTIK

CERTIFICAO MTCRE
Produzido por: Alive Solutions
www.alivesolutions.com.br
Instrutor: Guilherme Ramires

AGENDA
Treinamento dirio das 09:00hs s 19:00hs
Coffe break as 16:00hs
Almoo as 13:00hs 1 hora de durao

Algumas regras importantes


Por ser um curso oficial, o mesmo no poder ser
filmado ou gravado
Procure deixar seu aparelho celular desligado ou
em modo silencioso
Durante as explanaes evite as conversas
paralelas. Elas sero mais apropriadas nos
laboratrios
Desabilite qualquer interface wireless, dispositivo
3G ou interface de VM em seu laptop
3

Algumas regras importantes


Perguntas so sempre bem vindas. Muitas vezes a
sua dvida a dvida de todos.
O acesso a internet ser disponibilizado para efeito
didtico dos laboratrios. Portanto evite o uso
inapropriado.
O certificado de participao somente ser
concedido a quem obtiver presena igual ou
superior a 75%.
4

Apresente-se a turma

Diga seu nome;


Sua empresa;
Seu conhecimento sobre o RouterOS;
Seu conhecimento com redes;
O que voc espera do curso;

Lembre-se de seu nmero: XY


5

Objetivo do Curso
Proporcionar conhecimento e treinamento
prtico no Mikrotik RouterOS bsico e os
conceitos avanados de roteamento para
redes de pequeno e mdio porte.
Aps a concluso do curso, voc ser capaz de
planejar, implementar, ajustar e depurar as
configuraes de um rede roteada no MikroTik
RouterOS.
6

Montando a Rede

Montando a Rede
Crie uma rede 192.168.XY.0/24 na ether1
entre o laptop (.1) e a RB (.254)
Conecte sua RB ao AP com SSID MTCRE
Adicione o IP 10.1.1.XY/24 na wlan1
Aponte o DNS e Gateway default para
10.1.1.254
Teste a conectividade internet pela RB e seu
notebook
Estando tudo ok, faa um backup da
configurao
8

Roteamento Simples

Distance
Policy Routing
ECMP
Scope
Dead-End
Recursive Next-Hop Resolving

Roteamento Esttico Simples


Uma nica rota para
uma rede simples
Rotas mais especificas na
tabela de roteamento
tem mais prioridade que
menos especificas.
A rota com destino
0.0.0.0/0 basicamente
significa o resto.
10

Roteamento Simples
Em grupos de 4 alunos faam uma rede
conforme o slide a seguir;
Remove qualquer NAT que por ventura tenha
sido adicionado;
Usando rotas estticas simples alcancem as
redes dos notebooks;

11

Roteamento Simples
AP Principal

Laptop
R1

eth3: 194

eth2: 1

Laptop

eth2: 193
eth3: 130

R4

Laptop
10.10.Z.0/30
Z Nmero do seu grupo

eth2: 129

Laptop

R3

R2

eth3: 2
eth2: 65

eth3: 66
12

Exerccios
possvel criar rotas estticas que garantam:
Balanceamento de carga
Fail Over
Escolha do melhor caminho

Vamos ver se possvel...

13

Rotas com ECMP


A tcnica do ECMP(Equal Cost
Multi Path) consiste em prover
vrias gateways para o mesmo
destino;
Os gateways sero definidos
pelo algoritmo de Round Robin
levando-se em considerao
os endereos de origem e
destino;
Voc pode definir o mesmo
gateway vrias vezes caso
queira aumentar sua a carga.
14

Check-gateway
Voc pode usar esta opo para verificar se o
gateway remoto est respondendo utilizando
ICMP(ping) ou ARP;
Caso seja confirmado que o gateway no est
respondendo est rota ficar inativa
automaticamente;
Se a opo de Check-Gateway estiver ativada
em uma rota far com que a verificao esteja
ativa para todos os gateways adicionados nela.
15

ECMP
Evitando loops
Somente um participante ir criar uma rota ECMP
para cada rede 192.168.XY.0/24 com a opo
check-gateway;
Os demais participantes devero criar rotas
simples para alcanar uns aos outros - exceto o
primeiro participante;
Verifiquem a redundncia utilizando o traceroute;
Utilizem a opo undo para voltar as
configuraes iniciais e permitir que o prximo
participante crie o ECMP.
16

Distance
Caso exista dois gateways para o mesmo
destino e voc queira priorizar um gateway ao
invs do outro, voc pode usar o recurso da
distncia;
Para encaminhar o pacote o roteador ir
escolher a rota alcanvel com menor
distncia.

17

Distance
Crie duas rotas diferentes para cada
participante na rede local da seguinte forma:
Uma rota no sentido horrio com distance=1;
Uma rota no sentido anti-horrio com distance=2;

Verifique a redundncia desativando o


endereo IP do sentido horrio;
Utilize o traceroute para verificar o efeito.

18

Distance
AP Principal

Laptop

Laptop

Laptop

BACKUP
LINK

Laptop

19

Problemas encontrados...
O trfego no ter problema algum em passar
no sentido horrio;
Caso a opo check-gateway detecte falha,
somente o roteador afetado ir passar o
trfego no sentido anti-horrio;
Soluo:
Se o trfego comea a no sentido anti-horrio, ele
dever ser roteado desta forma at alcanar seu
destino.
20

Marcas de Roteamento
Utilizadas para direcionar um determinado
trfego por uma rota especifica;
Essas marcas so imprimidas atravs do
menu Firewall Mangle e somente nos canais
prerouting e output;
A tabela de roteamento ir rotear os pacotes
conforme as marcas especificadas nas rotas
caso no exista rota com marcas, a rota default
ser usada.
21

Marcas de Roteamento
Marque todo trfego que passa pelo roteador
no sentido horrio;
Crie uma rota para estas marcas com destino
no gateway do sentido anti-horrio;
Verifique o correto fluxo do trfego atravs do
traceroute.

22

Time To Live (TTL)


TTL o limite mximo de saltos que um pacote pode
dar at ser descartado;
O valor padro do TTL 64 e cada roteador
decrementa este valor em um antes de pass-lo
adiante;
O menu Firewall Mangle pode ser usado para
manipular este parmetro;
O roteador no passa adiante pacotes com TTL=1;
Est opo muito til para evitar que usurios
criem rede nateadas a partir da sua rede.
23

Alterando o TTL

24

Recurso Next-hop
possvel especificar um gateway para uma
rede mesmo que o gateway no esteja
diretamente ligado ao roteador;
til em setups onde a seo intermediria
entre seu roteador e o gateway no
constante(iBGP por exemplo);
A rota criada deve estar no scope de outra rota
para que o recurso de Next-hop funcione.
25

Recurso Next-hop
Quando h necessidade de mudar target-scope? Possveis
problemas com a abordagem descrita anteriormente que
todas as rotas na tabela sempre ser ativa. Este pode no ser
o que se deseja.
Exemplo: um roteador com duas interfaces, ethernet e
wireless. Todas as rotas BGP so resolvidos atravs da
ethernet e a interface wireless tem algumas rotas adicionais
esttica. Voc quer que essas rotas estticas se tornem ativas
apenas quando interface wireless est ativa. Normalmente
este o caso. No entanto, quando h uma rota padro com
scope baixo suficiente, todas as rotas sero mudadas para a
interface ethernet aps a interface wireless perder conexo.
Uma possvel soluo deixar o scope da rota padro intacta
e modificar o target-scope das rotas BGP.
26

27

Scope/Target-Scope
O escopo da rota contm todos os valores do atributo scope,
sendo este maior ou igual ao seu valor de target-scope;
Examplo:

0 ADC dst-address=1.1.1.0/24 pref-src=1.1.1.1


interface=ether1 scope=10 target-scope=0
1 A S dst-address=2.2.2.0/24 gateway=1.1.1.254
interface=ether1 scope=30 target-scope=10
2 A S dst-address=3.3.3.0/24 gateway=2.2.2.254
interface=ether1 scope=30 target-scope=30

28

Outras Opes
A opo Type permite criar rotas mortas
(blackhole, prohibit, unreachable) para
impedir que algumas redes sejam roteadas
pelo roteador;
A opo Preferred Source, permite apontar
qual endereo usar para o trfego gerado
localmente.

29

Open Shortest Path First


(OSPF)

Areas
Costs
Virtual links
Route Redistribution
Aggregation

30

Protocolo OSPF
O protocolo OSPF utiliza o estado do link e o
algoritmo de Dijkstra para construir e calcular
o menor caminho para todos destinos
conhecidos na rede;
Os roteadores OSPF utilizam o protocolo IP 89
para comunicao entre si;
O OSPF distribui informaes de roteamento
entre roteadores pertencentes ao mesmo AS.
31

Autonomous System (AS)


Um AS o conjunto de redes IP e roteadores
sobre o controle de uma mesma entidade
(OSPF, iBGP ,RIP) que representam uma nica
poltica de roteamento para o restante da
rede;
Um AS identificado por um nmero de 32
bits (0 4294967296)
A faixa de 1 at 64511 pblica
A faixa de 64512 at 65535 de uso privado
A faixa de 65536 at 4294967296 pblica
32

Exemplo de um AS

Area

Area

Area

Area

33

reas OSPF
A criao de reas permite voc agrupar uma
coleo de roteadores (entre 50 e 60);
A estrutura de uma rea no visvel para
outras reas;
Cada rea executa uma cpia nica do
algoritmo de roteamento ;
As reas OSPF so identificadas por um
nmero de 32 bits(0.0.0.0 255.255.255.255)
Esses nmeros devem ser nicos para o AS.
34

Tipos de Roteadores
Um ASBR(Autonomous System Border Router )
um roteador que se conecta a mais de um AS;
Um ASBR usado para redistribuir rotas recebidas de
outros AS para dentro de seu prprio AS

Um ABR(Area Border Router) um roteador que se


conecta a mais de uma rea;
Um ABR mantm multiplas cpias da base de dados
dos estados dos links de cada rea

Um IR(Internal Router) um roteador que est


conectado somente a uma rea.
35

OSPF AS
ASBR
Area
ABR

Area

ABR

Area
ABR

Area

ASBR
36

rea Backbone
A rea backbone o corao da rede OSPF. Ela
possui o ID (0.0.0.0) e deve sempre existir;
A backbone responsvel por redistribuir
informaes de roteamento entre as demais
reas;
A demais reas devem sempre estar
conectadas a uma rea backbone de forma
direta ou indireta(utilizando virtual link).
37

Virtual Link
Utilizado para conectar reas remotas ao
backbone atravs de reas no-backbone;

38

Virtual Link
area-id=0.0.0.1
area-id=0.0.0.0
Virtual Link

area-id=0.0.0.2

area-id=0.0.0.3

ASBR
39

Redes OSPF
So utilizada para
encontrar outros
roteadores OSPF
correspondentes a
rea especificada;

Voc deve utilizar exatamente as redes utilizadas no


endereamento das interfaces. Neste caso, o mtodo
de sumarizao no permitido.
40

Neighbours OSPF
Os roteadores OSPF encontrados esto listados
na aba Neighbours;
Aps a conexo ser estabelecida cada um ir
apresentar um status operacional conforme
descrito abaixo:
Full: Base de dados completamente sincronizada;
2-way: Comunicao bi-direcional estabelecida;
Down,Attempt,Init,Loading,ExStart,Exchange:
No finalizou a sincronizao completamente.
41

Neighbours OSPF

42

reas OSPF
Crie sua prpria rea OSPF;
Nome da rea: area-z
Area-id: 0.0.0.z

Atribua uma rede a esta rea;


Verifique sua aba neighbour e tabela de
roteamento;
Os ABRs devem configurar tambm a rea de
backbone e as redes;
43

OSPF - Opes
Router ID: Geralmente o IP do
roteador. Caso no seja especificado
o roteador usar o maior IP que
exista na interface.
Redistribute Default Route:
Never: nunca distribui rota padro.
If installed (as type 1): Envia com mtrica 1
se tiver sido instalada como rota esttica,
dhcp ou PPP.
If installed (as type 2): Envia com mtrica 2
se tiver sido instalada como rota esttica,
dhcp ou PPP.
Always (as type 1): Sempre, com mtrica 1.
Always (as type 2): Sempre, com mtrica 2.
44

OSPF - Opes
Redistribute Connected Routes: Caso
habilitado, o roteador ir distribuir todas as
rotas relativas as redes que estejam
diretamente conectadas a ele.
Redistribute Static Routes: Caso habilitado,
distribui as rotas cadastradas de forma
esttica em /ip routes.
Redistribute RIP Routes: Caso habilitado,
redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado,
redistribui as rotas aprendidas por BGP.
Na aba Metrics possvel modificar as
mtricas que sero exportadas as diversas
rotas.

45

OSPF Distribuio de Rotas


A rota default no considerada uma rota esttica!!

1
2

3
4

{
46

OSPF Uso de mtrica tipo 1

Custo=10
Custo=10
Custo=10

Custo Total=40

Custo=10

Origem
Custo Total=49

Custo=10

Custo=10
Destino

Custo=9

ASBR
47

OSPF Uso de mtrica tipo 2


Custo X
Cost=10

Custo X

Custo X

Custo Total=10
Origem
Custo X
Custo Total=9

Custo X
Destino

Custo=9

ASBR
48

Redistribuio de Rotas
Habilite a re-distribuio de rotas conectadas
com type 1;
Verifique a tabela de roteamento

Adicione uma rota esttica para a rede


172.16.XY.0/24
Habilite a re-distribuio de rotas estticas
com type 1;
Verifique novamente a tabela de roteamento
49

OSPF Custo de interfaces


Por padro todas interfaces tem custo 10;
Para alterar este padro voc deve adicionar
interfaces de forma manual;

50

OSPF Inface Lab


Escolha o tipo de rede correta para todas interfaces
OSPF;
Atribua custos(prx. slide) para garantir o trfego
em uma nica direo dentro da rea;
Verifique rotas ECMP em sua tabela de
roteamento;
Atribua custos necessrios para que o link backup
s seja usado caso outros links falhem;
Verifique a redundncia da rede OSPF;
Confirme que o ABR seja o DR da sua rea, mas
no na rea de backbone;
51

OSPF Custos de Interface


AP Principal

Laptop

ABR

Laptop
100

10

Laptop

BACKUP
LINK
10

100

10
Laptop

100
52

OSPF Roteadores designados


Para reduzir o trfego OSPF em redes broadcast e
NBMA (Non-Broadcast Multiple Access), um nico
fonte para atualizao de rotas criado Os
roteadores designados(DR);
Um DR mantm uma tabela completa da topologia da
rede e envia atualizaes para os demais roteadores;
O roteador com maior prioridade ser eleito como DR;
Os demais sero eleitos como roteadores backup
BDR;
Roteadores com prioridade 0 nunca sero DR ou BDR.
53

NBMA Neighbors
Em redes nobroadcast
necessrio especificar
os neighbors
manualmente;
A prioridade
determina a chance
do neighbor ser eleito
DR;
54

rea Stub
Uma rea Stub uma
rea que no recebe
rotas de AS externos;
Tipicamente todas rotas
para os AS externos so
substitudas por uma
rota padro. Esta rota
ser criada
automaticamente por
distribuio do ABR;
55

rea Stub Cont.


A opo Inject Summary LSA permite
especificar se os sumrios de LSA da rea de
backbone ou outras reas sero reconhecidos
pela rea stub;
Habilite esta opo somente no ABR;
O custo padro dessa rea 1;

56

rea NSSA(Not-So-Stubby)
Um rea NSSA um tipo de rea stub que tem
capacidade de injetar transparentemente rotas
para o backbone;
Translator role Esta opo permite controlar
que ABR da rea NSSA ir atuar como
repetidor do ASBR para a rea de backbone:
Translate-always: roteador sempre ser usado
como tradutor.
Translate-candidate: ospf elege um dos
roteadores candidatos para fazer as tradues.
57

OSPF AS
default

default
area-id=0.0.0.1

area-id=0.0.0.0

area-id=0.0.0.2

NSSA

Virtual Link

area-id=0.0.0.3

Stub

ASBR
58

rea Lab
Modifique sua rea para stub;
Verifique as mudanas em sua tabela de rotas;
Confirme que a distribuio de rotas default
esteja never no ABR;
Marque a opo Inject Summary LSA no ABR
e desabilite no IR.

59

Agregao de reas
Utilizado para
agregar uma
range de redes
em uma nica
rota;
possvel atribuir
um custo para
essas rotas
agregadas;
60

rea Ranges Lab


Anuncie somente uma rota 192.168.Z.0/24 ao
invs de quatro rotas /26 (192.168.Z.0/26,
192.168.Z.64/26, 192.168.Z.128/26,
192.168.Z.192/26) na rea-z;
Desabilite o anuncio da rede backup no
backbone;
Verifique a tabela de roteamento dos Aps
principais;
61

Interface Passiva
O modo passivo
permite desativar as
mensagens de Hello
enviadas pelo protocolo
OSPF as interfaces dos
clientes;
Portanto ativar este
recurso sinnimo de
segurana;
62

Resumo OSPF
Para segurana da rede OSPF:
Use chaves de autenticao;
Use a maior prioridade(255) para os DR;
Use o tipo correto de rede para as reas;

Para aumenta a performance da rede OSPF:


Use o tipo correto de rea;
Use agregao de reas sempre que possvel;

63

OSPF em redes VPN


Cada interface VPN dinmica cria uma nova
rota /32 na tabela de roteamento quando est
ativa;
Isso causa dois problemas:
Cada mudana dessas resulta em novas
atualizaes do OSPF, caso a opo de redistribuir
rotas conectadas esteja ativada. Em grandes redes
isso causa um enorme flood!!
OSPF vai criar e enviar LSA pra cada interface VPN,
caso a rede da VPN esteja atribuida a qualquer
rea OSPF. O que diminui a performance.
64

rea PPPoE Tipo Stub

ABR

Area1
Area tipo = stub
PPPoE
server

PPPoE
server

~250 clientes
PPPoE

~ 100 clientes
PPPoE

65

rea PPPoE Tipo Default


ABR
Area1

PPPoE
server

~250 clientes
PPPoE

Area tipo = default

PPPoE
server

~ 100 clientes
PPPoE

66

rea PPPoE Discusso


D uma soluo para o problema mencionado
anteriormente quando se utiliza rea do tipo
stub ou Default;

67

OSPF - Filtros
Os filtros devem ser aplicados tanto na entrada
quanto na sada de mensagens de atualizao
de roteamento;
O canal ospf-in filtra todas mensagens de
entrada de atualizao;
O canal ospf-out filtra todas mensagens de
sada de atualizao;

Os filtros de roteamento s podem atualizar


rotas externas do OSPF (rotas para redes que
no esto atribudas a nenhuma rea OSPF).
68

OSPF - Filtros

69

Filtros de Roteamento para VPNs


possvel criar um filtro de rotas para evitar
que todas rotas /32 se espalhem pela rede
OSPF;
Para isto necessrio voc ter uma rota
agregada para esta rede VPN:
Uma boa forma de ser fazer isso atribuindo o
endereo de rede da rede VPN agregada a
interface do concentrador VPN;
Outra forma criando uma rota esttica para a
rede VPN no prprio roteador.
70

OSPF Filtro VPN

71

Roteamento e interfaces
Ponto-a-Ponto

VLAN
IPIP
EoIP
Endereamento Ponto-a-Ponto

72

VLAN Virtual LAN(802.11q)


A VLAN permite voc agrupar dispositivos de rede
em independentes sub-grupos mesmo que estes
estejam o mesmo segmento de LAN;
Para os roteadores se comunicarem necessrio
que as VLAN ID sejam as mesmas das interfaces
VLAN;
Um roteador suporta vrias(mximo de 4096)
VLANs na mesma porta ethernet.
Tambm possvel se criar uma VLAN sobre outra
interface VLAN Q-in-Q
73

Exemplo de VLAN
2.2.2.0/24

1.1.1.0/24

Rede Ethernet
vlan1: 1.1.1.1/24
vlan2: 2.2.2.1/24
vlan3: 3.3.3.1/24
3.3.3.0/24

74

Criao de interface VLAN

75

VLAN em Switch
Portas switch VLAN compatveis podem ser
atribudas a um ou vrios grupos com base na
VLAN tag;
Portas Switch em cada grupo podem ser setadas:
Modo Tag: Permite adicionar a tag VLAN do grupo na
transmisso e permite receber essa tag;
Modo sem Tag: Permite remover a tag VLAN do grupo
na transmisso e permite somente receber pacotes
sem tag;
Undefined: Porta no tem relao com o grupo;

Porta Trunk: Porta tagueada para diversos grupos


VLAN.
76

VLAN Lab
Restaure o backup de sua RB;
Crie grupos de 4;
Se conectem pela wireless Um AP e 3
clientes;
Crie um link VLAN pra cada participante;
Crie redes /30 para os links VLAN e teste a
conectividade.

77

IPIP
O protocolo IPIP permite criar tneis
encapsulando pacotes IP em pacotes IP e
enviando para outro roteador;
O IPIP um tnel de camada 3 e portanto no
pode ser colocado em bridge;
RouterOS implementa o IPIP conforme a RFC
2003 e tem compatibilidade com qualquer
fabricante que implemente o mtodo com
base na mesma RFC;
78

IPIP - Lab
Supondo que temos que unir as redes que
esto por trs dos roteadores 10.0.0.1 e
22.63.11.6. Para tanto basta criemos as
interfaces IPIP em ambos, da seguinte forma:

79

IPIP - Lab
Agora precisamos atribuir os IPs as interfaces
criadas.

Aps criado o tnel IPIP as redes fazem parte


do mesmo domnio de broadcast.
80

EoIP
Os tneis EoIP utilizam o protocolo IP 47/GRE
para encapsular os frames ethernet em
pacotes IP e envi-los para outro roteador;
Este protocolo proprietrio Mikrotik;
EoIP um tnel de camada 2 e portanto pode
ser colocado em bridge;
Para criar o tnel voc deve especificar o ID e o
endereo remoto;
81

EoIP

O protocolo EoIP possibilita:


Interligao em bridge de LANs remotas atravs
da internet.
Interligao em bridge de LANs atravs de tneis
criptografados.

A interface criada pelo tnel EoIP suporta todas


funcionalidades de uma interface ethernet.
Endereos IP e outros tneis podem ser
configurados na interface EoIP.
82

Exemplo de rede EoIP


Rede Roteada
(LAN ou WAN)

Bridge
Rede Local
192.168.0.1/24 - 192.168.0.100/24

Bridge
Rede Local
192.168.0.101/24 - 192.168.0.255/24

83

EoIP - Lab
Criando um tnel EoIP entre as
redes por trs dos roteadores
10.0.0.1 e 22.63.11.6.
Os MACs devem ser diferentes e
estar entre o range: 00-00-5E-8000-00 e 02-00-5E-FF-FF-FF, pois
so endereos reservados para
essa aplicao.
O MTU deve ser deixado em
1500 para evitar fragmentao.

84

EoIP - Lab
Adicione a interface
EoIP a bridge,
juntamente com a
interface que far
parte do mesmo
domnio de broadcast.

85

Endereamento Ponto-a-Ponto
O endereamento ponto-a-ponto utiliza somente 2
hosts, enquanto o /30 utiliza 4;
Neste caso no existe endereo de broadcast,
porm o endereo de rede deve ser setado
manualmente apontando o endereo IP remoto;
Router 1: address=1.1.1.1/32, network=2.2.2.2
Router 2: address=2.2.2.2/32, network=1.1.1.1

Um nico roteador pode ter vrios endereos /32


iguais. Para tanto, os endereos de rede devem ser
diferentes.
86

Exemplo de Endereamento
Ponto-a-Ponto
P2P_int2: 3.3.3.3/32
Network: 1.1.1.1

P2P_int3: 4.4.4.4/32
Network: 1.1.1.1

Qualquer Rede IP
(LAN, WAN ou Internet)
P2P_int1: 1.1.1.1/32
Network: 2.2.2.2
P2P_int2: 1.1.1.1/32
Network: 3.3.3.3
P2P_int3: 1.1.1.1/32
Network: 4.4.4.4

Network: 1.1.1.1
P2P_int1: 2.2.2.2/32

87

Endereamento Ponto-a-Ponto - Lab


Substitua os endereos /30 das interfaces IPIP
por endereos /32 de ponto-a-ponto;
Verifique se h conectividade entre todos os
participantes;

88

Laboratrio Final
Abram um terminal
Executem: /system reset-configuration nodefaults=yes

89

Obrigado!!

Contato: ramires@alivesolutions.com.br
Site: www.alivesolutions.com.br
Fan Page: www.fb.com/AliveSolutions