MTCRE - Apostila6

Treinamento oficial Mikrotik
Modulo MTCRE
(MikroTik Certified Routing Engineer)
Agenda
Treinamento das 08:30hs às 18:30hs
Coffe break as 16:00hs
Almoço as 12:30hs – 1 hora de duração
1- Introdução 2
Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.
Evite conversas paralelas.

Deixe habilitado somente a interface ethernet de
seu computador.
1- Introdução 3
Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
1- Introdução 4
Objetivos do curso
Abordar todos os tópicos necessários para o
exame de certificação MTCRE.
Prover um visão geral sobre roteamento e
túneis.
Fazer uma abordagem simples e objetiva de
como planejar e implementar uma rede
roteada com foco em segurança e
performance.
1- Introdução 5
Winbox
Winbox é uma utilitário usado para acessar o
RouterOS via MAC ou IP.
Usuário padrão é “admin” e senha vazio.
1- Introdução 6
Primeiros passos
Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.
Caso você não tenha o utilitário winbox no seu
computador faça o seguinte:
– Altere seu computador para “Obter endereço IP
automaticamente”.
– Abra o navegador e digite 192.168.88.1.
– No menu a esquerda clique na ultima opção (logout).
– Agora na pagina de login , clique sobre o aplicativo
winbox e salve no seu computador.
1- Introdução 7
Resetando seu router
Abra o winbox clique em
Clique no endereço MAC ou IP.
No campo Login coloque “admin”.
No campo Password deixe em branco.
Clique em connect.
Nos Menus a esquerda clique em “New Terminal”.
Com terminal aberto digite:
/system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.
1- Introdução 8
Diagrama da rede Internet
ether1 ether5 G=1 R=2 G=2 R=1 G=2 R=2

G=1 R=1
Ether5 IP para os roteadores ether1

172.25.100.GR/24
ether1 ether5
G=2 R=4 G=2 R=3
G=1 R=4 G=1 R=3
ether5 ether1
Lembre-se de seu número: GR
1- Introdução 9
Identificando seu roteador
Lembre-se de seu número: GR
1- Introdução 10
Identifique as interfaces
Identifique as interfaces como ilustrado na

imagem de acordo com sua posição.
1- Introdução 11
Criando a Bridge
Adicione uma bridge e
renomeie para “bridge-
rede-local”
Adicione todas as
interface na bridge
criada anteriormente
1- Introdução 12
DHCP Client no Windows
Habilitando DCHP Client no Windows
1- Introdução 13
Observações do ambiente em bridge
Todos os hosts ficaram no mesmo domínio de
broadcast, logo estão na mesma rede.
Caso não utilize filtros de bridge um host
poderá “enxergar” todos os hosts da rede.
A rede será mais vulnerável a ataques e erros.
Comprometimento de redundância caso
tenha mais de uma um ponto de interconexão
com operadoras.
1- Introdução 14
Planejando a rede roteada
Devemos segregar nossa rede em varias redes
diferentes.
Antes de executarmos a divisão das redes
precisamos planejar as seguinte:
- Redes locais (redes dos clientes)
- Redes dos ponto-a-pontos
- Endereços de Loopback
1- Introdução 15
Backup
Apague todos os arquivos no menu files.
Faça um backup com nome topoligia-1 e salve
seu computador.
system backup save name=topologia-1

1- Introdução 16
Dúvidas e perguntas ?
1- Introdução 17
Introdução ao roteamento
2- Introdução ao roteamento 18
Resumo
Funcionamento básico de um Roteador.
Fundamentos de Roteamento.
Tipos de rotas.
Rotas diretamente conectadas.
Quando o processo roteamento é utilizado?
Principais campos de uma rota.
Funcionamento padrão (nexthop-lookup).
Escolha da melhor rota (Rota mais específicas).
Exemplos de ambientes roteados (Exemplo 1,2,3).
Roteamento estático
ECMP - Equal cost multi path
Políticas de Roteamento (routing-mark)
Check-gateway e Distance
Scope e Target Scope (alcance recursivo)
Campo de Pref. Source
Campo Type
O que é roteamento
Em termos gerais, o
roteamento é o
processo de encaminhar
pacotes entre redes
conectadas.
Para redes baseadas em TCP/IP, o roteamento faz

parte do protocolo IP.
Para que o roteamento funcione ele trabalha em
combinação com outros serviços de protocolo.
Funcionamento básico de um Roteador
Roteador
Roteador recebe rotas por:
Protocolos de
roteamento Rotas estáticas
dinâmico
Consulta de caminhos DATABASE DE ROTEAMENTO

para a rede de destino RIB
Pacote chegando Pacote saindo

TABELA DE ENCAMINHAMENTO
ao roteador FIB do roteador
Fundamentos de Roteamento
Routing Information Base (RIB)
A RIB é o local onde todas as informações a respeito do roteamento IP estão
armazenadas. A RIB é única em cada roteador e compartilhada com protocolos.
Uma rota é inserida na RIB, sempre que um protocolo aprende uma nova rota.
A RIB no RouterOS, não é visivel ao usuário, só pode ser “limpa” reiniciando o
roteador. O RouterOS mantém as rotas agrupadas em tabelas separadas pelas
marcas de roteamento (routing marks). E, em alguns casos, as métricas (distâncias)
associado a este roteador. Todas as rotas sem marca de roteamento são mantidas
na tabela “main” (principal). É importante entender que RIB não é utilizada para o
encaminhamento de pacotes e não é anunciada para o restante das redes as quais
o roteador está conectado.
Forwarding Information Base (FIB)
A FIB é a base de dados que contém uma cópia das informações necessárias para o
encaminhamento dos pacotes relacionando as redes às respectivas interfaces.
A FIB contém todas as rotas que podem potencialmente serem anunciadas aos
roteadores vizinhos pelos protocolos de roteamento dinâmico.
Por padrão no RouterOs todas as rotas ativas estão na main-table que pode ser
visualizada em /ip route, inclusive com os detalhes Inseridos pelos protocolos de
roteamento dinâmico.
Tipos de rotas
Flag/Sigla Significado da sigla Tipo de rota
A Active Rota ativa
C Connected Rota diretamente conectada
S Static Rota estática
D Dynamic Rota dinâmica
B Blackhole Rota do tipo buraco negro
U Unreable Rota inalcançável
P Prohibit Rota do tipo proibida
o OSPF Rota aprendida via OSPF
b BGP Rota aprendida via BGP
r RIP Rota aprendida via RIP
m MME Rota aprendida via MME
/ip route print

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
Rotas diretamente conectadas
Quando o processo roteamento é utilizado?
Sempre que um determinado host precisar se
comunicar como outro host/server que não
esteja na mesma sub-rede ele irá precisar de um
roteador (gateway) para alcançar seu destino.
192.168.1.201/24
192.168.1.1
192.168.20.1 192.168.20.2/24
192.168.1.200/24 Exemplo 1 Exemplo 2

Não necessita de roteamento Necessita de roteamento
Origem Destino Origem Destino
192.168.1.201 192.168.1.200 192.168.1.201 192.168.20.2
Principais campos de uma rota
Os dois principais campos de uma rota são:
- Dst. Address = Rede ou IP de destino
- Gateway = IP ou interface que será
utilizado como gateway.
Apontando o Gateway por IP
Apontando o Gateway por interface
Por padrão o Gateway sempre deve estar diretamente conectado ao roteador.
Funcionamento padrão (nexthop-lookup)
192.168.1.200 192.168.1.1 187.15.15.134 8.8.8.8
Pacote IP
Origem Destino
192.168.1.99 8.8.8.8 Tabela de rotas
Tudo que for Encaminhe para
destinado a: o roteador:
O roteador executa uma (Dst. Address) (Gateway)
tarefa chamada “nexthop- 0.0.0.0/0 192.168.1.1
lookup” (pesquisa de 10.10.10.0/24 192.168.4.1
próximo salto) para cada 10.172.0.0/23 10.172.4.1
pacote que passa por ele. 8.8.0.0/16 10.172.5.1
Escolha da melhor rota
Para cada encaminhamento o roteador faz um
leitura completa da tabela de rotas.
Se o roteador encontrar mais de uma rota
para o destino solicitado ele sempre irá
utilizar a rota mais especifica.
Tabela de rotas
Dst. Address Gateway
A rota defult será utilizada 0.0.0.0/0 192.168.1.1
somente se não houver 8.0.0.0/8 10.172.6.1
uma rota para o 8.8.0.0/16 10.172.5.1
determinado destino.
Rota mais específicas
Mais específicas
/32
/24
/16
/8
/0
Menos específicas
Exemplo 1 de roteamento
192.168.1.1/30 192.168.1.2/30
10.2.2.1/24
10.1.1.1/24
10.2.2.2/24
10.1.1.2/24
192.168.1.1/30 192.168.1.2/30 192.168.2.1/30 192.168.2.2/30
10.1.1.1/24 10.2.2.1/24
10.1.1.2/24 10.2.2.2/24
/30 /30
10.1.1.1/24 /30 /30 10.2.2.1/24
10.1.1.2/24 10.2.2.2/24
Interface de loopback
Interface de loopback é uma interface virtual (por
exemplo uma bridge) que nunca estará como
status “down”.
Coloque o seguinte
IP na sua interface
1 - Adicione a de loopback
bridge e altere o 172.30.255.GR
nome para
“loopback”
Check-gateway e Distance
Link 1 Link 2
Verifica se o Gateway especificado é alcançável
Usado como critério de desempate em

rotas com o mesmo Dst. Address
Internet Diagrama da rede
Rede LAN
.1 .2
G=1 R=1 G=1 R=2
172.30.G.0/30 .2
.1
.14 .5
172.30.G.12/30 172.30.G.4/30
.13 .6
.10 172.30.G.8/30 .9
G=1 R=3
G=1 R=4
Lab 1 – Roteamento estático
Objetivo 1 – Cada aluno deve conseguir
alcançar (pingar) todos os alunos do seu grupo
com redundância.
Todos conectados normalmente
Ex: G=1 R=1 alcançando
todos pelo vizinho 1
Cabo do vizinho 1 desligado

Ex: G=1 R=1 alcançando
todos pelo vizinho 2
Lab 2 – Roteamento estático
Objetivo 1 – Cada aluno deve conseguir
alcançar a internet com redundância de rotas.
Roteamento
O Mikrotik suporta dois tipos de roteamento:

Roteamento estático: As rotas são criadas pelo usuário através
de inserções pré-definidas em função da topologia da rede.
Roteamento dinâmico: As rotas são geradas automaticamente
através de um protocolo de roteamento dinâmico ou de algum
agregado de endereço IP.
O Mikrotik também suporta ECMP(Equal Cost Multi Path)
que é um mecanismo que permite rotear pacotes através
de vários links e permite balancear cargas.
É possível ainda no Mikrotik se estabelecer políticas de
roteamento dando tratamento diferenciado a vários tipos
de fluxos a critério do administrador.
ECMP - Equal cost multi path
O roteador nesse caso terá 2 gateways e estará
fazendo um balanceamento de carga simples
entre os 2 Links utilizando ECMP.
Link 1 Link 2
/ip route add dst-address=0.0.0.0/0 gateway=1.1.1.1,2.2.2.2
TTL
TTL é o limite máximo de saltos que um pacote pode dar até ser descartado;
O valor padrão do TTL é 64 e cada roteador decrementa este valor em um antes de passá-
lo adiante;
O menu Firewall Mangle pode ser usado para manipular este parâmetro;
O roteador não passa adiante pacotes com TTL=1;
Esta opção é muito útil para evitar que usuários criem rede com nat a partir da sua rede.
TTL=60
TTL=63 TTL=62 TTL=61
TTL=64
Políticas de Roteamento
As políticas de roteamento podem ser construídas
utilizando vários campos do firewall, tais como
protocolo,classes de endereços IP ,portas, PCC e etc.
As marcas de roteamento devem ser adicionadas no
Firewall, no módulo Mangle com mark-routing.
Aos pacotes marcados será aplicada uma política de
roteamento, dirigindo-os para um determinado
gateway.
É possível utilizar política de roteamento quando se
utiliza NAT.
Políticas de Roteamento
Uma aplicação típica de políticas de roteamento é trabalhar com
dois um mais links direcionando o tráfego para ambos. Por exemplo
direcionando tráfego p2p por um link e tráfego web por outro.
É impossível porém reconhecer o tráfego p2p a partir do primeiro

pacote, mas tão somente após a conexão estabelecida, o que
impede o funcionamento de programas p2p em casos de NAT de
origem.
A estratégia nesse caso é colocar como gateway default um link

“menos nobre”, marcar o tráfego “nobre” (http, dns, pop, etc.) e
desvia-lo pelo link nobre. Todas outras aplicações, incluindo o p2p
irão pelo link menos nobre.
Ex. de Política de Roteamento
1. Marcar pacotes destinados ao 8.8.8.8 para o gateway-1 e destinados ao IP 8.8.4.4 para o gateway-2 :
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=8.8.8.8 new-routing-mark=gateway-1
passthrough=no protocol=icmp
add action=mark-routing chain=prerouting dst-address=8.8.4.4 new-routing-mark=gateway-2
passthrough=no protocol=icmp
2. Criar rotas para aproveitar as marcas de roteamento criadas anteriormente:

correspondentes marcas de pacotes da seguinte forma:
/ip route
add distance=1 gateway=1.1.1.1 routing-mark=gateway-1
add distance=1 gateway=2.2.2.2 routing-mark=gateway-2
Alcance outras rotas
Alcance padrão da rota Tipo de rota com no máximo
0 - 10 10
0 - 20 10
0 - 30 10
0 - 40 10
0 - 40 30
0 - 200
Alcance da rota com no máximo

Alcance da rota com no máximo
Campo de Pref. Source
2 IPs em uma mesma interface
Link 1
1.1.1.1/24
1.1.1.2/24
1.1.1.3/24
Especifique aqui o IP que deseja força utilização
Campo Type
Blackhole: Descarta o pacote
silenciosamente.
Unreachable: Descarta o pacote e envia

uma notificação via ICMP para o host de
origem (“host unreachable” type 3 code 1).
Prohibit: Descarta o pacote e envia uma

notificação via ICMP para o host de origem
(“communication administratively
prohibited” type 3 code 13).
Roteamento dinâmico
3 - Roteamento dinâmico 50
Roteamento Dinâmico
O Mikrotik suporta os seguintes

protocolos:
RIP versão 1 e 2;
OSPF versão 2 e 3;
BGP versão 4.
O uso de protocolos de roteamento

dinâmico permite implementar
redundância e balanceamento de links
de forma automática e é uma forma de
se fazer uma rede semelhante as redes
conhecidas como Mesh, porém de forma
estática.
Autonomous System
Um AS é o conjunto de redes IP e roteadores sobre o controle
de uma mesma entidade (OSPF, iBGP ,RIP) que representam
uma única política de roteamento para o restante da rede;
Um AS era identificado por um número de de 16 bits (0 – 65535)
Os novos AS’s são identificados por um número de 32 bits.
3 - Roteamento dinâmico
Roteamento dinâmico - BGP
O protocolo BGP é destinado a fazer
comunicação entre AS(Autonomos
System) diferentes, podendo ser
considerado como o coração da
internet.
O BGP mantém uma tabela de
“prefixos” de rotas contendo
informações para se encontrar
determinadas redes entre os AS’s.
A versão corrente do BGP no Mikrotik é
a 4, especificada na RFC 1771.
OSPF
O protocolo OSPF utiliza o estado do link e o
algoritmo de Dijkstra para construir e calcular o
menor caminho para todos destinos conhecidos na
rede.
Os roteadores OSPF utilizam o protocolo IP 89 para

comunicação entre si.
O OSPF distribui informações de roteamento entre

roteadores pertencentes ao mesmo AS.
O OSPF é um protocolo para uso como IGP.
3 - Roteamento dinâmico
LAB - OSPF básico
Objetivo – Fechar uma sessão OSPF com cada um
dos seus vizinhos e conseguir alcançar todos.
Não esqueça de apagar todas as rotas que foram
colocadas manualmente em seu roteador.
Para que o protocolo OSPF funcione, precisamos
realizar um único passo:
- Adicionar as redes em /routing ospf network
Networks (redes) OSPF
Ao adicionar uma rede em /routing ospf network o
roteador fará o seguinte:
- Ativará OSPF nas interfaces que tem um endereço
de IP que estiver no range da rede adicionada.
- Enviará a rede adicionada para os outros
roteadores.
Neighbours (vizinhos) OSPF
Os roteadores OSPF encontrados estão listados na aba Neighbours
(vizinhos);
Após a conexão ser estabelecida cada um irá apresentar um status

operacional conforme descrito abaixo:
– Full: Base de dados completamente sincronizada;

– 2-way: Comunicação bi-direcional estabelecida;
– Down,Attempt,Init,Loading,ExStart,Exchange: Não finalizou a
sincronização completamente.
Designated router OSPF
Para reduzir o tráfego OSPF em redes broadcast e NBMA (Non-Broadcast Multiple Access), uma única
fonte para atualização de rotas é criado – Os roteadores designados(DR).
Um DR mantém uma tabela completa da topologia da rede e envia atualizações para os demais
roteadores.
O roteador com maior prioridade será eleito como DR.
Também será eleito roteadores backup BDR.
Roteadores com prioridade 0 nunca serão DR ou BDR.

1
3 BDR
DR 5
0 1 1
Router ID e loopback
Cada roteador precisa ser identificado na rede com um
ID único, caso esse ID não for especificado
manualmente o roteador usará o maior IP que existir
em sua “IP list”.
É uma boa prática utilizar o endereço de loopback
como RouterID
1 - Copiar o endereço de loopback
2 – Colar no Roter ID
OSPF Instance
Router ID: Geralmente o IP do roteador. Caso não seja especificado o roteador usará o maior IP que exista na
interface.
Redistribute Default Route:
– Never: nunca distribui rota padrão.
– If installed (as type 1): Envia com métrica 1 se tiver sido instalada como rota estática, DHCP ou PPP.
– If installed (as type 2): Envia com métrica 2 se tiver sido instalada como rota estática, DHCP ou PPP.
– Always (as type 1): Sempre, com métrica 1.
– Always (as type 2): Sempre, com métrica 2.
Redistribute Connected Routes: O roteador irá distribuir todas as rotas estejam diretamente conectadas a ele.
Redistribute Static Routes: Caso habilitado, distribui as rotas cadastradas de forma estática em /ip routes.
Redistribute RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP.
Na aba “Metrics” é possível modificar as métricas que serão exportadas as diversas rotas.
Métrica tipo 1
Métrica do tipo 1 soma o custo externo com o custo interno.
Cost=10
Cost=10
Cost=10 Cost=10
Total
Cost=40
Origem
Total Cost=10
Cost=49 Cost=10
Cost=9
Destino
ASBR
Métrica tipo 2
Métrica do tipo 2 usa somente o custo externo.
Cost=10
Custo total=10
Origem
Custo total=9
Cost=9
Destino
ASBR
OSPF – Custo de interfaces
Por padrão todas interfaces tem custo 10.
Para alterar este padrão você deve adicionar interfaces de
forma manual.
Escolha o tipo de rede correta para todas interfaces OSPF.
Atribua custos para garantir o tráfego em uma única direção
dentro da área.
Verifique rotas ECMP em sua tabela de roteamento.
Atribua custos necessários para que o link backup só seja
usado caso outros links falhem.
Verifique a redundância da rede OSPF.
Diagrama da rede
R1 R2
R4 R3
OSPF - Tipos de rede
Três tipos de rede são definidas no protocolo
OSPF:
Point to point (não há eleição de DR e BDR)
Broadcast
Nonbroadcast multiacess (NBMA)
NBMA Neighbors
Em redes não-broadcast é necessário especificar os
neighbors manualmente.
A prioridade determina a chance do router ser eleito
DR.
Interface Passiva
O modo passivo permite desativar as mensagens
de “Hello” enviadas pelo protocolo OSPF as
interfaces dos clientes (desativa OSPF na
interface).
Portanto ativar este recurso é sinônimo de
segurança.
OSPF autenticação
O Mikrotik suporta os seguintes métodos de
autenticação.
- Nome: Não utiliza método de autenticação.
- Simples: Autenticação em texto plano.
- MD5: Autenticação com encriptação md5.
Áreas OSPF
A criação de áreas permite você agrupar uma coleção de
roteadores (indicado nunca ultrapassar 50 roteadores por
area).
A estrutura de uma área não é visível para outras áreas.
Cada área executa uma cópia única do algoritmo de

roteamento.
As áreas OSPF são identificadas por um número de 32

bits(0.0.0.0 – 255.255.255.255).
Esses números devem ser únicos para o AS.
4 - Áreas do OSPF 69
Área de backbone
A área backbone é o coração da rede OSPF. Ela
possui o ID (0.0.0.0) e deve sempre existir.
A backbone é responsável por redistribuir

informações de roteamento entre as demais
áreas.
A demais áreas devem sempre estar conectadas a

uma área backbone de forma direta ou
indireta(utilizando virtual link).
Exemplo de AS e várias áreas
Tipos de roteadores no OSPF
Tipos de roteadores em OSPF são:
Roteadores internos a uma área.
Roteadores de backbone (área 0).
Roteadores de borda de área (ABR).
OS ABRs devem ficar entre duas áreas e devem tocar a
área 0.
Roteadores de borda Autonomous System (ASBR).
São roteadores que participam do OSPF mas
fazem comunicação com um AS.
AS OSPF
Internet
ASBR
ABR
Area Area
ABR ABR
Area Area
ASBR
Separando as redes e áreas
Altere a área para o seu número do grupo (seu
número G).
Os roteadores que são ABR devem ter duas áreas
configuradas(área 0 e área G).
Roteador comum Roteador ABR
Agregação de áreas
Utilizado para agregar uma

range de redes em uma única
rota.
É possível atribuir um custo
para essas rotas agregadas.
Virtual Link
Utilizado conectar áreas remotas ao backbone através de
áreas não-backbone;
Virtual Link
LSA
•Tipo 1 Router
Há um para cada roteador da área, e não ultrapassa a área.
•Tipo 2 Network
É gerado pelo DR e circula apenas pela área, não atravessa o ABR
•Tipo 3 Summary Network

É gerado pelo ABR e descreve o número da rede e a máscara, e por default não são
sumarizadas. E não é envidado para as áreas STUB e NSSA
•Tipo 4 Summary ASBR

É gerado pelo ABR apenas quando existe um ASBR dentro da área e informa uma rota
para que todos possam chegar até o ASBR.
•Tipo 5 AS External
Usado para transportar redes de outro AS e não são enviados para áreas STUB e NSSA
•Tipo 7
São gerados em áreas NSSA pelo ASBR e o ABR (caso configurado converte em LSA do
tipo 5 para outras áreas
Área Stub
Uma área Stub é uma área que não
recebe rotas de AS externos;
Tipicamente todas rotas para os AS
externos são substituídas por uma
rota padrão. Esta rota será criada
automaticamente por distribuição do
ABR;
A opção “Inject Summary LSA”
permite especificar se os sumários de
LSA da área de backbone ou outras
áreas serão reconhecidos pela área
stub;
Habilite esta opção somente no ABR;
O custo padrão dessa área é 1;
Área Stub
Área NSSA
Um área NSSA é um tipo de área stub que tem
capacidade de injetar transparentemente rotas para o
backbone;
Translator role – Esta opção permite controlar que

ABR da área NSSA irá atuar como repetidor do ASBR
para a área de backbone:
– Translate-always: roteador sempre será usado como
tradutor.
– Translate-candidate: ospf elege um dos roteadores
candidatos para fazer as traduções.
Área NSSA
Problemas com túneis
ABR
PPPoE
server
PPPoE
server
Filtros de Roteamento
É possível criar um filtro de rotas para evitar que
todas rotas /32 se espalhem pela rede OSPF;
Para isto é necessário você ter uma rota agregada
para esta rede túneis:
– Uma boa forma de ser fazer isso é atribuindo o
endereço de rede da rede de túneis agregada a
interface do concentrador.
Filtros OSPF
Resumo OSPF
Para segurança da rede OSPF:
– Use chaves de autenticação;
– Use a maior prioridade(255) para os DR;
– Use o tipo correto de rede para as áreas;
Para aumentar a performance da rede OSPF:

– Use o tipo correto de área;
– Use agregação de áreas sempre que possível;
Utilize sempre como boa prática a loopback
Túneis e VPN
5 - Tuneis e VPN 87
VPN
• Uma Rede Privada Virtual é uma rede de
comunicações privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituições, construídas em
cima de uma rede pública. O tráfego de
dados é levado pela rede pública utilizando
protocolos padrão, não necessariamente
seguros.
• VPNs seguras usam protocolos de criptografia por tunelamento que

fornecem confidencialidade, autenticação e integridade necessárias
para garantir a privacidade das comunicações requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicações seguras através de redes inseguras.
5 - Tuneis e VPN 88
VPN
• As principais características da VPN são:
– Promover acesso seguro sobre meios físicos públicos
como a internet por exemplo.
– Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
– Promover acesso seguro a serviços em ambiente
corporativo de correio, impressoras, etc...
– Fazer com que o usuário, na prática, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurança definidos.
– A base da formação das VPNs é o tunelamento entre dois
pontos, porém tunelamento não é sinônimo de VPN.
5 - Tuneis e VPN 89
Tunelamento
• A definição de tunelamento é a capacidade de criar túneis entre dois
hosts por onde trafegam dados.
• O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
– PPP (Point to Point Protocol)
– PPPoE (Point to Point Protocol over Ethernet)
– PPTP (Point to Point Tunneling Protocol)
– L2TP (Layer 2 Tunneling Protocol)
– OVPN (Open Virtual Private Network)
– IPSec (IP Security)
– Túneis IPIP
– Túneis EoIP
– Túneis VPLS
– Túneis TE
– Túneis GRE
5 - Tuneis e VPN 90
Site-to-site
5 - Tuneis e VPN 91
Conexão remota
5 - Tuneis e VPN 92
Endereçamento ponto a ponto /32
Geralmente usado em túneis
Pode ser usado para economia de IPs.
Router 1 Router 2
5 - Tuneis e VPN 93
PPP – Definições Comuns para os
serviços
• MTU/MRU: Unidade máximas de transmissão/ recepção em
bytes. Normalmente o padrão ethernet permite 1500 bytes.
Em serviços PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentação.
• Keepalive Timeout: Define o período de tempo em segundos após o qual

o roteador começa a mandar pacotes de keepalive por segundo. Se
nenhuma reposta é recebida pelo período de 2 vezes o definido em
keepalive timeout o cliente é considerado desconectado.
• Authentication: As formas de autenticação permitidas são:

– Pap: Usuário e senha em texto plano sem criptografica.
– Chap: Usuário e senha com criptografia.
– Mschap1: Versão chap da Microsoft conf. RFC 2433
– Mschap2: Versão chap da Microsoft conf. RFC 2759
5 - Tuneis e VPN 94
serviços
• PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então
será necessário que haja algum mecanismo para avisar que esta estação
deverá diminuir o tamanho dos pacotes para que a comunicação ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediarios e a adequação dos
pacotes posteriores é chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade está presente em todos roteadores,
sistemas Unix e no Mikrotik ROS.
• MRRU: Tamanho máximo do pacote, em bytes, que poderá ser recebido

pelo link. Se um pacote ultrapassa esse valor ele será dividido em pacotes
menores, permitindo o melhor dimensionamento do túnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre túnel simples. Essa
configuração é útil para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
5 - Tuneis e VPN 95
serviços
Change MSS: Maximun Segment Size, tamanho máximo do segmento de
dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o
túnel está estabelecido deve ser fragmentado antes de enviá-lo. Em alguns
caso o PMTUD está quebrado ou os roteadores não conseguem trocar
informações de maneira eficiente e causam uma série de problemas com
transferência HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona
ferramentas onde é possível interferir e configurar uma diminuição do MSS
dos próximos pacotes através do túnel visando resolver o problema.
5 - Tuneis e VPN 96
PPPoE – Cliente e Servidor
• PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato
da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui
informações sobre o remetente e o destinatário, desperdiçando mais banda.
Cerca de 2% a mais.
• Muito usado para autenticação de clientes com base em Login e Senha. O

PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a
internet.
• O cliente não tem IP configurado, o qual é atribuído pelo Servidor

PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No Mikrotik não é obrigatório o uso de Radius pois o mesmo
permite criação e gerenciamento de usuários e senhas em uma tabela local.
• PPPoE por padrão não é criptografado. O método MPPE pode ser usado
desde que o cliente suporte este método.
5 - Tuneis e VPN 97
PPPoE – Cliente e Servidor
• O cliente descobre o servidor
através do protocolo pppoe
discovery que tem o nome do
serviço a ser utilizado.
• Precisa estar no mesmo
barramento físico ou os
dispositivos passarem pra
frente as requisições PPPoE
usando pppoe relay.
• No Mikrotik o valor padrão do Keepalive Timeout é 10, e funcionará

bem na maioria dos casos. Se configurarmos pra zero, o servidor
não desconectará os
clientes até que os mesmos solicitem ou o servidor for reiniciado.
5 - Tuneis e VPN 98
Configuração do Servidor PPPoE
1. Primeiro crie um pool de IPs para o PPPoE.
/ip pool add name=pool-pppoe

ranges=172.16.0.2-172.16.0.254
2. Adicione um perfil para o PPPoE onde:

Local Address = Endereço IP do concentrado.
Remote Address = Pool do pppoe.
/ppp profile local-address=172.16.0.1

name=perfilpppoe remote-address=pool-pppoe
5 - Tuneis e VPN 99
3. Adicione um usuário e senha
/ppp secret add name=usuario password=123456

service=pppoe profile=perfil-pppoe
Obs.: Caso queira verificar o MAC-Address,

adicione em Caller ID. Esta opção não é
obrigatória, mas é um parametro a mais para
segurança.
5 - Tuneis e VPN 100

4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vão
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai
escutar.
/interface pppoe-server server add

authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 maxmru=
1480 max-mtu=1480 max-sessions=50
mrru=512 one-session-per-host=yes servicename="
Servidor PPPoE"

Mais sobre perfis
• Bridge: Bridge para associar ao perfil
• Incoming/Outgoing Filter: Nome do canal do

firewall para pacotes entrando/saindo.
• Address List: Lista de endereços IP para

associar ao perfil.
• DNS Server: Configuração dos servidores DNS a

atribuir aos clientes.
• Use Compression/Encryption/Change TCP MSS:

caso estejam em default, vão associar ao valor que
está configurado no perfil default-profile.

Mais sobre perfis
• Session Timeout: Duração máxima de uma
sessão PPPoE.
• Idle Timeout: Período de ociosidade na

transmissão de uma sessão. Se não houver
tráfego IP dentro do período configurado, a
sessão é terminada.
• Rate Limit: Limitação da velocidade na forma

rx-rate/tx-rate. Pode ser usado também na
forma rx-rate/tx-rate rx-burst-rate/tx-burstrate
rx-burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.
• Only One: Permite apenas uma sessão para o

mesmo usuário.

Mais sobre o database
• Service: Especifica o serviço disponível para este
cliente em particular.
• Caller ID: MAC Address do cliente.
• Local/Remote Address: Endereço IP Local (servidor)

e remote(cliente) que poderão ser atribuídos a um
cliente em particular.
• Limits Bytes IN/Out: Quantidade em bytes que o

cliente pode trafegar por sessão PPPoE.
• Routes: Rotas que são criadas do lado do servidor

para esse cliente especifico. Várias rotas podem ser
adicionadas separadas por vírgula.

Mais sobre o PPoE Server
O concentrador PPPoE do Mikrotik suporta múltiplos servidores
para cada interface com diferentes nomes de serviço. Além do
nome do serviço, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador é a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes Mikrotik, a interface de rádio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.
Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que
1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da
interface sem fio de clientes MS Windows. A opção One Session Per Host permite
somente uma sessão por host(MAC Address). Por fim, Max Sessions define o número
máximo de sessões que o concentrador suportará.

Configurando o PPPoE Client
• AC Name: Nome do concentrador. Deixando em branco conecta

em qualquer um.
• Service: Nome do serviço designado no servidor PPPoE.
• Dial On Demand: Disca sempre que é gerado tráfego de saída.
• Add Default Route: Adiciona um rota padrão(default).
• User Peer DNS: Usa o DNS do servidor PPPoE.
PPTP e L2TP
• L2TP – Layer 2 Tunnel Protocol: Protocolo de tunelamento em
camada 2 é um protocolo de tunelamento seguro para transportar
tráfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de
forma criptografada ou não e permite enlaces entre dispositivos de
redes diferentes unidos por diferentes protocolos.
• O tráfego L2TP utiliza protocolo UDP tanto para controle como para
pacote de dados. A porta UDP 1701 é utilizada para o
estabelecimento do link e o tráfego em si utiliza qualquer porta
UDP disponível, o que significa que o L2TP pode ser usado com a
maioria dos Firewalls e Routers, funcionando também através de
NAT.
• L2TP e PPTP possuem as mesma funcionalidades.

Configuração do Servidor PPTP e L2TP
• Configure um pool, um perfil para o PPTP, adicione um usuário em “secrets”

e habilite o servidor PPTP conforme as figuras.
• Configure os servidores
PPTP e L2TP.
• Atente para utilizar o
perfil correto.
• Configure nos hosts
locais um cliente PPTP e
realize conexão com um
servidor da outra rede.
Ex.: Hosts do Setor1

conectam em servidores do
Setor2 e vice-versa.

• As configurações para o cliente PPTP e L2TP são

bem simples, conforme observamos nas imagens.
Túneis IPIP
• IPIP é um protocolo que encapsula pacotes IP sobre o próprio
protocolo IP baseado na RFC 2003. É um protocolo simples que
pode ser usado pra interligar duas intranets através da internet
usando 2 roteadores.
• A interface do túnel IPIP aparece na lista de interfaces como se

fosse uma interface real.
• Vários roteadores comerciais, incluindo CISCO e roteadores

baseados em Linux suportam esse protocolo.
• Um exemplo prático de uso do IPIP seria a necessidade de

monitorar hosts através de um NAT, onde o túnel IPIP colocaria a
rede privada disponível para o host que realiza o monitoramento,
sem a necessidade de criar usuário e senha como nas VPNs.

Túneis IPIP
• Supondo que temos que unir as redes que

estão por trás dos roteadores 10.0.0.1 e
22.63.11.6. Para tanto basta criemos as
interfaces IPIP em ambos, da seguinte forma:
Túneis IPIP
• Agora precisamos atribuir os IPs as interfaces
criadas.
• Após criado o túnel IPIP as redes fazem parte

do mesmo domínio de broadcast.

Túneis EoIP
• EoIP(Ethernet over IP) é um protocolo

proprietário Mikrotik para encapsula mento
de todo tipo de tráfego sobre o protocolo IP.
• Quando habilitada a função de Bridge dos roteadores que estão interligados

através de um túnel EoIP, todo o tráfego é passado de uma lado para o outro de
forma transparente mesmo roteado pela internet e por vários protocolos.
• O protocolo EoIP possibilita:

- Interligação em bridge de LANs remotas através da internet.
- Interligação em bridge de LANs através de túneis criptografados.
• A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet através do protocolo GRE.

Túneis EoIP
• Criando um túnel EoIP entre as
redes por trás dos roteadores
10.0.0.1 e 22.63.11.6.
• Os MACs devem ser diferentes

e estar entre o rage: 00-00-5E-
80-00-00 e 00-00-5E-FF-FF-FF,
pois são endereços reservados
para essa aplicação.
• O MTU deve ser deixado em

1500 para evitar fragmentação.
• O túnel ID deve ser igual para

ambos.

Túneis EoIP
• Adicione a interface EoIP a bridge,

juntamente com a interface que fará
parte do mesmo domínio de broadcast.

Perguntas ?

MTCRE - Apostila6

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

MTCRE - Apostila6

Enviado por

Direitos autorais:

Formatos disponíveis

Treinamento oficial Mikrotik

Coffe break as 16:00hs

Almoço as 12:30hs – 1 hora de duração

Evite conversas paralelas.

ether1 ether5 G=1 R=2 G=2 R=1 G=2 R=2

Ether5 IP para os roteadores ether1

Lembre-se de seu número: GR

Identifique as interfaces como ilustrado na

Habilitando DCHP Client no Windows

system backup save name=topologia-1

Para redes baseadas em TCP/IP, o roteamento faz

Consulta de caminhos DATABASE DE ROTEAMENTO

Pacote chegando Pacote saindo

A RIB é o local onde todas as informações a respeito do roteamento IP estão

armazenadas. A RIB é única em cada roteador e compartilhada com protocolos.

A RIB no RouterOS, não é visivel ao usuário, só pode ser “limpa” reiniciando o

roteador. O RouterOS mantém as rotas agrupadas em tabelas separadas pelas

marcas de roteamento (routing marks). E, em alguns casos, as métricas (distâncias)

encaminhamento de pacotes e não é anunciada para o restante das redes as quais

o roteador está conectado.

encaminhamento dos pacotes relacionando as redes às respectivas interfaces.

roteadores vizinhos pelos protocolos de roteamento dinâmico.

visualizada em /ip route, inclusive com os detalhes Inseridos pelos protocolos de

/ip route print

192.168.1.200/24 Exemplo 1 Exemplo 2

Apontando o Gateway por IP

Apontando o Gateway por interface

Por padrão o Gateway sempre deve estar diretamente conectado ao roteador.

192.168.1.200 192.168.1.1 187.15.15.134 8.8.8.8

lookup” (pesquisa de 10.10.10.0/24 192.168.4.1

próximo salto) para cada 10.172.0.0/23 10.172.4.1

pacote que passa por ele. 8.8.0.0/16 10.172.5.1

192.168.1.1/30 192.168.1.2/30 192.168.2.1/30 192.168.2.2/30

10.1.1.1/24 /30 /30 10.2.2.1/24

Verifica se o Gateway especificado é alcançável

Usado como critério de desempate em

Cabo do vizinho 1 desligado

O Mikrotik suporta dois tipos de roteamento:

/ip route add dst-address=0.0.0.0/0 gateway=1.1.1.1,2.2.2.2

O roteador não passa adiante pacotes com TTL=1;

É impossível porém reconhecer o tráfego p2p a partir do primeiro

A estratégia nesse caso é colocar como gateway default um link

2. Criar rotas para aproveitar as marcas de roteamento criadas anteriormente:

Alcance outras rotas

2 IPs em uma mesma interface

Especifique aqui o IP que deseja força utilização

Unreachable: Descarta o pacote e envia

Prohibit: Descarta o pacote e envia uma

O Mikrotik suporta os seguintes

O uso de protocolos de roteamento

Um AS era identificado por um número de de 16 bits (0 – 65535)

Os novos AS’s são identificados por um número de 32 bits.

Os roteadores OSPF utilizam o protocolo IP 89 para

O OSPF distribui informações de roteamento entre

O OSPF é um protocolo para uso como IGP.

Após a conexão ser estabelecida cada um irá apresentar um status

– Full: Base de dados completamente sincronizada;

O roteador com maior prioridade será eleito como DR.

Também será eleito roteadores backup BDR.

Roteadores com prioridade 0 nunca serão DR ou BDR.

1 - Copiar o endereço de loopback

Nonbroadcast multiacess (NBMA)

A estrutura de uma área não é visível para outras áreas.