Escolar Documentos
Profissional Documentos
Cultura Documentos
MTCRE
3
Algumas regras importantes
6
Objetivo do Curso
• Proporcionar conhecimento e treinamento
prático no Mikrotik RouterOS básico e os
conceitos avançados de roteamento para
redes de pequeno e médio porte.
• Após a conclusão do curso, você será capaz de
planejar, implementar, ajustar e depurar as
configurações de um rede roteada no MikroTik
RouterOS.
7
Montando a Rede
8
Montando a Rede
• Crie uma rede 192.168.XY.0/24 na ether1 entre o
laptop (.2) e a RB (.1)
• Conecte sua RB ao AP com SSID “MTCRE”
• Adicione o IP 10.1.1.XY/24 na wlan1
• Aponte o DNS e Gateway default para 10.1.1.254
• Teste a conectividade internet pela RB e seu
notebook
• Estando tudo ok, faça um backup da configuração
9
Roteamento Simples
• Distance
• Policy Routing
• ECMP
• Scope
• Dead-End
• Recursive Next-Hop Resolving
10
Roteamento Estático Simples
• Uma única rota para
uma rede simples;
• Rotas mais especificas na
tabela de roteamento
tem mais prioridade que
menos especificas;
• A rota com destino
0.0.0.0/0 basicamente
significa “o resto”. 11
Roteamento Simples
• Em grupos de 4 alunos façam uma rede
conforme o slide a seguir;
• Remove qualquer NAT que por ventura tenha
sido adicionado;
• Usando rotas estáticas simples alcancem as
redes dos notebooks;
12
Roteamento Simples
AP Principal Laptop
Laptop
Laptop
eth2: 192.168.x.193/26 wlan1/ether4: 10.1.x.0/30
R4 R2 eth3: 192.168.x.2/26
SSID: bk-x
eth3: 192.168.x.130/26 eth2: 192.168.x.65/26
eth2: 192.168.x.129/26
R3 eth3: 192.168.x.66/26
Laptop 13
Exercícios
• É possível criar rotas estáticas que garantam:
– Balanceamento de carga
– Fail Over
– Escolha do melhor caminho
14
Rotas com ECMP
• A técnica do ECMP(Equal Cost
Multi Path) consiste em prover
várias gateways para o mesmo
destino;
• Os gateways serão definidos pelo
algoritmo de Round Robin
levando-se em consideração os
endereços de origem e destino;
• Você pode definir o mesmo
gateway várias vezes caso queira
aumentar sua a carga.
15
“Check-gateway”
• Você pode usar esta opção para verificar se o
gateway remoto está respondendo utilizando
ICMP(ping) ou ARP;
• Caso seja confirmado que o gateway não está
respondendo está rota ficará inativa
automaticamente;
• Se a opção de Check-Gateway estiver ativada
em uma rota fará com que a verificação esteja
ativa para todos os gateways adicionados nela. 16
ECMP
• Evitando loops
– Somente um participante irá criar uma rota ECMP
para cada rede 192.168.XY.0/24 com a opção “check-
gateway”;
– Os demais participantes deverão criar rotas simples
para alcançar uns aos outros - exceto o primeiro
participante;
– Verifiquem a redundância utilizando o traceroute;
– Utilizem a opção “undo” para voltar as configurações
iniciais e permitir que o próximo participante crie o
ECMP.
17
“Distance”
• Caso exista dois gateways para o mesmo
destino e você queira priorizar um gateway ao
invés do outro, você pode usar o recurso da
distância;
• Para encaminhar o pacote o roteador irá
escolher a rota alcançável com menor
distância.
18
“Distance”
• Crie duas rotas diferentes para cada
participante na rede local da seguinte forma:
– Uma rota no sentido horário com distance=1;
– Uma rota no sentido anti-horário com distance=2;
19
“Distance”
AP Principal Laptop
Laptop Laptop
Laptop
20
Problemas encontrados...
• O tráfego não terá problema algum em passar
no sentido horário;
• Caso a opção “check-gateway” detecte falha,
somente o roteador afetado irá passar o
tráfego no sentido anti-horário;
• Solução:
– Se o tráfego começa a no sentido anti-horário, ele
deverá ser roteado desta forma até alcançar seu
destino.
21
Marcas de Roteamento
• Utilizadas para direcionar um determinado
tráfego por uma rota especifica;
• Essas marcas são “imprimidas” através do
menu Firewall Mangle e somente nos canais
prerouting e output;
• A tabela de roteamento irá rotear os pacotes
conforme as marcas especificadas nas rotas –
caso não exista rota com marcas, a rota default
será usada. 22
Marcas de Roteamento
23
Marcas de Roteamento
• Marque todo tráfego que passa pelo roteador
no sentido horário
– Tráfego que entra pela ether2;
24
Time To Live (TTL)
• TTL é o limite máximo de saltos que um pacote pode
dar até ser descartado;
• O valor padrão do TTL é 64 e cada roteador
decrementa este valor em um antes de passá-lo
adiante;
• O menu Firewall Mangle pode ser usado para
manipular este parâmetro;
• O roteador não passa adiante pacotes com TTL=1;
• Está opção é muito útil para evitar que usuários
criem rede nateadas a partir da sua rede.
25
Alterando o TTL
26
Recurso Next-hop
• É possível especificar um gateway para uma
rede mesmo que o gateway não esteja
diretamente ligado ao roteador;
• Útil em setups onde a seção intermediária
entre seu roteador e o gateway não é
constante(iBGP por exemplo);
• A rota criada deve estar no scope de outra rota
para que o recurso de Next-hop funcione.
27
Recurso Next-hop
• Quando há necessidade de mudar target-scope? Possíveis
problemas com a abordagem descrita anteriormente é que
todas as rotas na tabela sempre será ativa. Este pode não ser
o que se deseja.
Exemplo: um roteador com duas interfaces, ethernet e
wireless. Todas as rotas BGP são resolvidos através da
ethernet e a interface wireless tem algumas rotas adicionais
estática. Você quer que essas rotas estáticas se tornem ativas
apenas quando interface wireless está ativa. Normalmente
este é o caso. No entanto, quando há uma rota padrão com
scope baixo suficiente, todas as rotas serão mudadas para a
interface ethernet após a interface wireless perder conexão.
Uma possível solução é deixar o scope da rota padrão intacta
e modificar o target-scope das rotas BGP.
28
29
Scope/Target-Scope
• O escopo da rota contém todos os valores do atributo scope,
sendo este maior ou igual ao seu valor de target-scope;
Examplo:
0 ADC dst-address=1.1.1.0/24 pref-src=1.1.1.1
interface=ether1 scope=10 target-scope=0
1 A S dst-address=2.2.2.0/24 gateway=1.1.1.254
interface=ether1 scope=30 target-scope=10
2 A S dst-address=3.3.3.0/24 gateway=2.2.2.254
interface=ether1 scope=30 target-scope=30
30
Outras Opções
• A opção “Type” permite criar rotas mortas
(blackhole, prohibit, unreachable) para
impedir que algumas redes sejam roteadas
pelo roteador;
• A opção “Preferred Source”, permite apontar
qual endereço usar para o tráfego gerado
localmente.
31
Open Shortest Path First
(OSPF)
• Areas
• Costs
• Virtual links
• Route Redistribution
• Aggregation
32
Protocolo OSPF
• O protocolo OSPF utiliza o “estado do link” e o
algoritmo de Dijkstra para construir e calcular
o menor caminho para todos destinos
conhecidos na rede;
34
Exemplo de um AS
Area Area
Area Area
35
Áreas OSPF
• A criação de áreas permite você agrupar uma
coleção de roteadores (entre 50 e 60);
• A estrutura de uma área não é visível para outras
áreas;
• Cada área executa uma cópia única do algoritmo
de roteamento ;
• As áreas OSPF são identificadas por um número de
32 bits(0.0.0.0 – 255.255.255.255);
• Esses números devem ser únicos para o AS.
36
Tipos de Roteadores
• ASBR(Autonomous System Border Router ): é um
roteador que se conecta a mais de um AS;
– Um ASBR é usado para redistribuir rotas recebidas de
outros AS para dentro de seu próprio AS
• ABR(Area Border Router): é um roteador que se
conecta a mais de uma área;
– Um ABR mantém multiplas cópias da base de dados
dos estados dos links de cada área
• IR(Internal Router): é um roteador que está
conectado somente a uma área.
37
OSPF AS
ASBR
ABR ABR
Area Area
ASBR
38
Área Backbone
• A área backbone é o coração da rede OSPF. Ela
possui o ID (0.0.0.0) e deve sempre existir;
• A backbone é responsável por redistribuir
informações de roteamento entre as demais
áreas;
• A demais áreas devem sempre estar
conectadas a uma área backbone de forma
direta ou indireta(utilizando virtual link).
39
Virtual Link
• Utilizado para conectar áreas remotas ao
backbone através de áreas não-backbone;
40
Virtual Link
area-id=0.0.0.1
area-id=0.0.0.0
Virtual Link
area-id=0.0.0.2 area-id=0.0.0.3
ASBR
41
Redes OSPF
• São utilizada para
encontrar outros
roteadores OSPF
correspondentes a
área especificada;
43
Neighbours OSPF
1
2
3
} 5
4 {
48
OSPF – Uso de métrica tipo 1
Custo=10
Custo=10
Custo=10 Custo=10
Custo Total=40
Origem
ASBR
49
OSPF – Uso de métrica tipo 2
Custo X
Cost=10 Custo X
Custo X
Custo Total=10
Origem
Custo X
Custo Total=9
Custo X
Destino
Custo=9
ASBR
50
Redistribuição de Rotas
• Habilite a re-distribuição de rotas conectadas
com type 1;
– Verifique a tabela de roteamento
52
OSPF – Tipos de redes
• Após adicionar uma network, a comunicação entre
dois ou mais routers é iniciada e uma interface ospf
dinâmica é criada automaticamente;
• Esta interface contêm informações referente a
comunicação entre membros desta mesma ligação
física;
• Por padrão esta interface seleciona o tipo de rede
broadcast;
• Porém normalmente as ligações são ponto-a-ponto
e portanto é recomendado mudar o tipo para:
point-to-point.
53
OSPF – Tipos de redes
• Os tipos de redes disponiveis são:
• Broadcast: Recomendada para redes cabeadas ou links que
seguramente suportem comunicação multicast;
• Default: Mesmo que broadcast;
• NBMA: Usada quando você adiciona NBMA neighbors;
• Point-to-point: Usada em ligações ponto a ponto. Este tipo
de rede não elege roteador designado;
• Ptmp: Alternativa ao NBMA ou Broadcast quando se usa
links wireless. Especialmente se você enfrenta problemas
com o modo broadcast. Também não elege roteador
designado.
54
OSPF – Tipos de redes
• Para selecionar o tipo de rede desejada você deve
adicionar a interface manulmente ou selecionar
uma já criada e pressionar o botão copy;
55
OSPF – Interface
• Escolha o tipo de rede correta para todas
interfaces OSPF;
• Verifique rotas ECMP em sua tabela de
roteamento;
• Atribua custos necessários para que o link
backup só seja usado caso outros links falhem;
• Verifique a redundância da rede OSPF;
56
OSPF – Custos de Interface
AP Principal Laptop
ABR
Laptop
Laptop
10 100
100 10
10 100
Laptop
57
OSPF – Roteadores designados
• Para reduzir o tráfego OSPF em redes broadcast e
NBMA (Non-Broadcast Multiple Access), uma única
fonte para atualização de rotas é criada – Os
roteadores designados(DR);
• Um DR mantém uma tabela completa da topologia da
rede e envia atualizações para os demais roteadores;
• O roteador com maior prioridade será eleito como DR;
• Os demais serão eleitos como roteadores backup –
BDR;
• Roteadores com prioridade 0 nunca serão DR ou BDR.
58
NBMA Neighbors
• Em redes não-
broadcast é
necessário especificar
os neighbors
manualmente;
• A prioridade
determina a chance
do neighbor ser eleito
DR;
59
Área Stub
• Para controlar a propagação de rotas externas em uma
área, o OSPF usa áreas do tipo stub.
• Ao designar criar a área stub o ABR suprime anúncios
de rotas externas para a área interna;
• Em vez disso, o ABR anuncia uma rota padrão no lugar
das rotas externas e gera anúncios de estado de links
(LSAs) de resumo de rede (Tipo 3);
• Os pacotes destinados a rotas externas são
automaticamente enviados para o ABR, que atua como
um gateway para tráfego de saída e direciona o tráfego
adequadamente.
60
Área Stub
• Se você configurar
incorretamente uma área
totalmente stub, você
pode encontrar
problemas de
conectividade de rede.
• Você deve ter um bom
conhecimento sobre OSPF
e entender o seu
ambiente de rede antes
de configurar áreas
totalmente stubby.
61
Área Stub
• A opção “Inject Summary LSA” permite
especificar se os sumários de LSA da área de
backbone ou outras áreas serão reconhecidos
pela área stub;
• Habilite esta opção somente no ABR;
• O custo padrão dessa área é 1;
62
Área NSSA(Not-So-Stubby)
• Um área NSSA é um tipo de área stub que tem
capacidade de injetar transparentemente rotas
para o backbone;
• Translator role – Esta opção permite controlar que
ABR da área NSSA irá atuar como repetidor do
ASBR para a área de backbone:
– Translate-always: roteador sempre será usado como
tradutor.
– Translate-candidate: ospf elege um dos roteadores
candidatos para fazer as traduções.
63
OSPF AS
default
default
area-id=0.0.0.1
area-id=0.0.0.0
Virtual Link
area-id=0.0.0.2 area-id=0.0.0.3
NSSA Stub
ASBR
64
Área Lab
• Modifique sua área para stub;
• Verifique as mudanças em sua tabela de rotas;
• Confirme que a distribuição de rotas default
esteja “never”;
• Marque a opção “Inject Summary LSA” no ABR
e desabilite nos IR.
65
Interface Passiva
• O modo passivo
permite desativar as
mensagens de “Hello”
enviadas pelo protocolo
OSPF as interfaces dos
clientes;
• Portanto ativar este
recurso é sinônimo de
segurança;
66
Agregação de Áreas
• Utilizado para
agregar uma
range de redes
em uma única
rota;
• É possível atribuir
um custo para
essas rotas
agregadas;
67
Área Ranges
• Anuncie somente uma rota 192.168.X.0/24 ao
invés de quatro rotas /26 (192.168.X.0/26,
192.168.X.64/26, 192.168.X.128/26,
192.168.X.192/26) na área-x;
• Desabilite o anuncio da rede backup pro
backbone;
• Verifique a tabela de roteamento do AP
principal;
68
Resumo OSPF
• Para boas práticas da rede OSPF:
– Use chaves de autenticação;
– Use a maior prioridade(255) para os DR;
– Use o tipo correto de rede para as áreas;
69
OSPF em redes PPPoE
• Cada interface PPPoE dinâmica cria uma nova
interface e um rota /32 na tabela de roteamento
quando está ativa;
• Isso causa dois problemas:
– Cada mudança dessas resulta em novas atualizações
do OSPF, caso a opção de redistribuir rotas
conectadas esteja ativada. Em grandes
concentradores isso causa um enorme flood!!
– OSPF vai criar e enviar LSA pra cada interface PPPoE,
caso a rede da VPN esteja atribuida a qualquer área
OSPF. O que diminui(muito) a performance.
70
Área PPPoE – Tipo Stub
ABR
PPPoE
~250 clientes
server
Area1 PPPoE
71
Área PPPoE – Tipo Default
ABR
PPPoE ~250 clientes
server PPPoE
Area1
~ 100 clientes
PPPoE PPPoE
server
72
Área PPPoE – Discussão
• Qual a solução para o problema mencionado
anteriormente quando se utiliza área do tipo
“stub” ou Default;
73
OSPF - Filtros
• Os filtros devem ser aplicados tanto na entrada
quanto na saída de mensagens de atualização de
roteamento;
– O canal “ospf-in” filtra todas mensagens de entrada
de atualização;
– O canal “ospf-out” filtra todas mensagens de saída de
atualização;
• Os filtros de roteamento só podem atualizar rotas
externas do OSPF (rotas para redes que não estão
atribuídas a nenhuma área OSPF).
74
OSPF - Filtros
75
Filtros de Roteamento para VPN’s
• É possível criar um filtro de rotas para evitar que
todas rotas /32 se espalhem pela rede OSPF;
• Para isto é necessário você ter uma rota agregada
para esta rede VPN:
– Uma boa forma de ser fazer isso é atribuindo o
endereço de rede da rede VPN agregada a interface
do concentrador VPN;
– Porém a forma recomendada é criar uma rota
estática morta para a rede PPPoE no próprio roteador
e propaga-lá via instância do OSPF.
76
OSPF – Filtro VPN
77
Roteamento e interfaces
Ponto-a-Ponto
• VLAN
• IPIP
• EoIP
• Endereçamento Ponto-a-Ponto
78
VLAN – Virtual LAN(802.11q)
• A VLAN permite você agrupar dispositivos de rede
em independentes sub-grupos mesmo que estes
estejam o mesmo segmento de LAN;
• Para os roteadores se comunicarem é necessário
que as VLAN ID sejam as mesmas das interfaces
VLAN;
• Um roteador suporta várias(máximo de 4096)
VLAN’s na mesma interface;
• Também é possível se criar uma VLAN sobre outra
interface VLAN – “Q-in-Q”.
79
Exemplo de VLAN
2.2.2.0/24 1.1.1.0/24
Rede Ethernet
vlan1: 1.1.1.1/24
vlan2: 2.2.2.1/24
vlan3: 3.3.3.1/24
3.3.3.0/24
80
Criação de interface VLAN
81
VLAN em Switch
• Portas switch VLAN compatíveis podem ser atribuídas
a um ou vários grupos com base na VLAN tag;
• Portas Switch em cada grupo podem ser setadas:
– Modo Tag: Permite adicionar a tag VLAN do grupo na
transmissão e permite receber essa tag;
– Modo sem Tag: Permite remover a tag VLAN do grupo na
transmissão e permite somente receber pacotes sem tag;
– Undefined: Porta não tem relação com o grupo;
• Porta Trunk: Porta tagueada para diversos grupos
VLAN.
82
VLAN
• Restaure o backup de sua RB;
• Se conectem pela wireless ao AP principal;
• Crie uma VLAN na wireless utilizando seu
número XY;
• Adicione o ip: 172.16.xy.2/30 na vlan;
• Tente pingar 172.16.xy.1;
• Verifique o tráfego do wlan e da vlan.
83
IPIP
• O protocolo IPIP permite criar túneis encapsulando
pacotes IP em pacotes IP e enviando para outro
roteador;
• O IPIP é um túnel de camada 3 e portanto não
pode ser colocado em bridge;
• RouterOS implementa o IPIP conforme a RFC 2003
e tem compatibilidade com qualquer fabricante
que implemente o método com base na mesma
RFC;
84
IPIP
85
IPIP
• Agora precisamos atribuir os IPs as interfaces
criadas.
Bridge Bridge
89
EoIP
• Em duplas, usem os IPs
da wireless para fechar o
túnel.
• Lembrem-se de combinar
um ID igual.
90
EoIP
• Adicione a interface
EoIP a bridge,
juntamente com a
interface ether que
fará parte do mesmo
domínio de broadcast.
91
Endereçamento Ponto-a-Ponto
• O endereçamento ponto-a-ponto utiliza somente 2
hosts, enquanto o /30 utiliza 4;
• Neste caso não existe endereço de broadcast,
porém o endereço de rede deve ser setado
manualmente apontando o endereço IP remoto;
– Router 1: address=1.1.1.1/32, network=2.2.2.2
– Router 2: address=2.2.2.2/32, network=1.1.1.1
• Um único roteador pode ter vários endereços /32
iguais. Para tanto, os endereços de rede devem ser
diferentes.
92
Exemplo de Endereçamento
Ponto-a-Ponto
P2P_int2: 3.3.3.3/32 P2P_int3: 4.4.4.4/32
Network: 1.1.1.1 Network: 1.1.1.1
Qualquer Rede IP
(LAN, WAN ou Internet)
P2P_int1: 1.1.1.1/32
Network: 2.2.2.2
P2P_int2: 1.1.1.1/32
Network: 3.3.3.3
P2P_int3: 1.1.1.1/32
Network: 4.4.4.4
Network: 1.1.1.1
P2P_int1: 2.2.2.2/32 93
Endereçamento Ponto-a-Ponto
• Substitua os endereços /30 das interfaces IPIP
por endereços /32 de ponto-a-ponto;
• Verifique se há conectividade entre todos os
participantes;
94
Laboratório Final
• Abram um terminal
95
Obrigado a todos!!
Contato: ramires@alivesolutions.com.br
Site: www.alivesolutions.com.br
Exame de certificação
• Caso necessário reset seu router e restaure o
backup inicial
• Confira se tem acesso ao portal da mikrotik:
www.mikrotik.com/client
• Efetue seu login
• Clique em: my training sessions
• Em seguida clique em: start test
97
MTCRE
Exame