MTCINE
4
Sumário
DIA 1 > Roteamento
1. Visão geral
2. Teoria de roteamento IP
3. RIB e FIB
4. Rotas mais específicas
5. Roteamento estático
5
Sumário
DIA 1 > Roteamento
1. Balanceamento de carga ECMP
2. Direcionamento de rota para interface específica
3. Técnicas para Failover e Backup de rotas
4. Políticas de roteamento (PBR)
5. Interface loopback
6
Sumário
DIA 1 > OSPFv2
1. O que é
2. Como funciona
3. Estrutura da rede OSPF
7
Sumário
DIA 2 > OSPFv2
1. Interface loopback
2. Vizinhança e Adjacência
3. Redistribuição
4. Agregação
5. Custos
6. Filtros
8
Sumário
DIA 2 > Endereçamento ponto a ponto
1. Teoria de redes ponto a ponto
2. Endereçamento e configuração
3. Roteamento ponto a ponto
> TÚNEIS
1. O que são
2. Setup camada 2 e camada 3
3. PPPoE, EoIP, IPIP
9
Sumário
DIA 3 > VPN
1. O que é
2. Tipos de VPN
3. Conectividade e roteamento LAN to LAN
4. PPTP, L2TP, SSTP
5. Bridge control protocol (BCP)
10
Sumário
DIA 3 > VLAN
1. O que é
2. Implementação do QinQ
3. Vlan e switches gerenciáveis
4. Vlan e switch chip no RouterOS
11
Agenda
12
Avisos importantes
● Curso oficial: Proibido ser filmado ou gravado
● Celular: Em modo silencioso
● Notebook: Em modo silencioso
● Perguntas: Sempre bem vindas
● Aprendizado: Faça anotações extras!
● Participação: Não seja um mala! =P
● Deixe habilitada apenas a interface ethernet do seu PC
13
Apresentações
14
ZERE A CONFIGURAÇÃO DO SEU ROTEADOR
15
DIAGRAMA DO LABORATÓRIO
X = grupo AP
Anote seu XY
Y = router
SSID=grupoX
Grupo 1 Grupo 2
16
* station-bridge
IDENTIFIQUE SEU ROTEADOR
17
IDENTIFIQUE AS INTERFACES
18
LAB > 1
1. Na RB, habilite o RoMON com
/tool romon set enable=yes
2. Na RB, crie uma bridge com todas as
interfaces do roteador
3. No PC, coloque sua interface em DHCP
a. Você deve pegar IP na rede 192.168.100/24
20
ANALISANDO O SEGUINTE CENÁRIO
21
TABELAS DE ROTAS RIB E FIB
22
TABELAS DE ROTAS RIB E FIB
23
Roteamento Estático > 1
24
Roteamento Estático > 2
25
Roteamento Estático > 3
26
ECMP - Equal cost multi path
A rota possui mais de um gateway
/ip route
add gateway=192.168.2.1,192.168.4.1
/ip route
add gateway=192.168.1.2,192.168.3.2
dst-address=10.2.2.0/24
27
DISTANCE E CHECK-GATEWAY (DEMO)
/ip route
add dst-address=192.168.11.0/24
gateway=10.255.1.1%wlan-grupo1
29
TIPOS DE ROTAS
30
CRITÉRIOS PARA MANUSEIO DAS TABELAS
31
DISTANCE POR PROTOCOLO
protocol distance
connected 0
static 1
eBGP 20
OSPF 110
RIP 120
MME 130
iBGP 200
32
DIAGRAMA DO LABORATÓRIO
AP
ether2 = 192.168.XY.1/24 Station = 10.255.X.Y/24
PC = 192.168.XY.2 AP = 10.255.X.254
DNS = 1.1.1.1
SSID=grupo1 SSID=grupo2
33
VALIDAÇÃO
34
LAB > Roteamento estático 1
● Objetivo – Cada PC deve conseguir alcançar todo
PC do seu grupo.
● Exercício – Criar rotas para as redes LAN
usando como gateway o vizinho da
ether1 . Habilite o check-gateway.
● No PC, testar com ping e traceroute .
35
LAB > Roteamento estático 2
● Objetivo – Ter redundância para cada rota estática
criada anteriormente.
● Exercício – Criar novas rotas para redundância local,
usando distance 2 e gateway para o sentido anti-horário.
●
● No PC, verifiquem possíveis problemas com traceroute
.
36
LAB > Política de roteamento
● Objetivo – Complementar redundância do exercício
anterior. Continuar o sentido anti-horário caso receba
pacotes em ether1
● Exercício – Duplicar as rotas de backup e inseri-las em
nova tabela anti-horário usando o campo routing-mark
nas novas rotas
37
Política de roteamento
● Policy Based Routing permite alterarmos a
decisão padrão do router para atender condições
específicas determinadas pelo administrador da rede.
● Necessário realizar dois passos:
○ Criar as novas decisões
○ Criar as condições desejadas
38
Política de roteamento
39
Política de roteamento
O uso das novas tabelas é possível de duas maneiras:
● Regras de rotas
/ip route rule
add interface=ether1 \
table=REDUNDANCIA
40
Política de roteamento
O uso das novas tabelas é possível de duas maneiras:
● Firewall Mangle
/ip firewall mangle
add action=mark-routing chain=prerouting \
in-interface=ether1 new-routing-mark=REDUNDANCIA
41
Política de roteamento
43
LAB > POLÍTICA DE ROTEAMENTO
44
PREFERENCIAL SOURCE > Pref. Source
2 IPs na WAN
10.0.0.10/24
10.0.0.11/24
output
45
TTL > Time to live
● É o limite máximo de saltos que um pacote pode dar até ser descartado;
● O valor padrão do TTL é 64 e cada roteador decrementa este valor em 1
antes de passá-lo adiante;
● O menu Firewall Mangle pode ser usado para manipular este parâmetro;
● O roteador não passa adiante pacotes com TTL=1;
● Útil para evitar que usuários criem rede com nat a partir da sua rede.
46
Campo Type
47
Scope e Target Scope (alcance recursivo)
48
Scope e Target Scope (alcance recursivo)
Limite do alcance na
pesquisa nexthop-lookup
Alcance da rota
49
Roteamento Dinâmico
50
Roteamento Dinâmico
52
Roteamento dinâmico - BGP
53
Roteamento dinâmico - BGP
54
OSPF (Open Shortest Path First)
55
LAB > OSPF básico
56
Networks (redes) OSPF
57
Pacote Hello e intervalos
Cada router envia constantemente pacotes chamados Hello para
validar a existência e disponibilidade de router cada vizinho.
59
DR e BDR (designated router)
61
Network type (tipos de rede)
Broadcast
62
NBMA Neighbors
63
NBMA Neighbors
64
LAB > Network type
65
LAB > Interface loopback
66
Router ID e loopback
2 – Colar no Roter ID
67
OSPF Instance
68
OSPF Instance
● Router ID: Geralmente o IP do roteador. Caso não seja especificado o
roteador usará o maior IP que exista na interface.
● Redistribute Default Route:
○ Never: nunca distribui rota padrão.
○ If installed (as type 1): Envia com métrica 1 se a rota tiver as flags AS.
○ If installed (as type 2): Envia com métrica 2 se a rota tiver as flags AS.
○ Always (as type 1): Sempre, com métrica 1.
○ Always (as type 2): Sempre, com métrica 2.
● Redistribute Connected Routes: redistribuir todas as rotas diretamente
conectadas.
● Redistribute Static Routes: redistribui rotas estáticas (AS).
● Redistribute RIP Routes: redistribui rotas aprendidas por RIP (DAr).
● Redistribute BGP Routes: redistribui rotas aprendidas por BGP (DAb).
● Redistribute Other OSPF Routes: redistribui rotas OSPF de outras
instâncias (DAo).
■ Na aba “Metrics” é possível modificar as métricas que serão
exportadas as diversas rotas.
69
OSPF > Métrica tipo 1
● O tipo 1 soma o custo externo ao custo interno.
Cost=10
Custo total=40
Cost=10
Cost=10
Cost=10
Origem
Cost=10
Cost=9 Cost=10
Custo total=49 Destino
ASBR
70
OSPF > Métrica tipo 2
● Métrica do tipo 2 usa somente o custo externo.
Cost=10
Custo total=10
Origem
Cost=9
Custo total=9 Destino
ASBR
71
LAB > Manipulando custos
72
LAB > Tráfego proposto
73
LAB > Redistribuição de rotas estáticas
74
OSPF > Interface Passiva
75
OSPF > Autenticação
76
CRITÉRIOS DE VIZINHANÇA E ADJACÊNCIA
77
OSPF > Áreas
78
OSPF > Área de backbone
79
Exemplo de AS e várias áreas
80
Tipos de roteadores no OSPF
81
OSPF e o AS
ASBR
ABR Area
Area
ABR ABR
Area Area
ASBR
82
Virtual Link
ASBR
83
Virtual Link
84
Separando as redes e áreas
85
Separando as redes e áreas
86
LAB > Cada grupo terá sua própria ÁREA
87
Agregação de áreas
88
LSA (link-state advertisement)
● Tipo 1 Router
Há um para cada roteador da área, e não ultrapassa a área;
● Tipo 2 Network
É gerado pelo DR e circula apenas pela área, não atravessa
o ABR;
● Tipo 3 Summary Network
É gerado pelo ABR e descreve o número da rede e a
máscara, e por default não são sumarizadas. Não é
envidado para as áreas STUB e NSSA;
89
LSA (link-state advertisement)
90
Área Stub
91
Área Stub
92
Área NSSA (Not-so-stub-area)
93
Área NSSA
94
Problemas com túneis em OSPF
ABR
PPPoE
server
PPPoE
server
95
“Área do PPPoE” do tipo stub
ABR
PPPoE
Area1 server ~500 PPPoE clients
PPPoE
server
~ 1000 PPPoE clients
96
“Área do PPPoE” do tipo default
ABR
PPPoE
~500 PPPoE clients
server
Area1
97
Filtros de Roteamento
98
Gambiarra > Passo 1 > Instance
99
Gambiarra > Passo 2 > Network
100
Gambiarra > Passo 3 > Novo IP
101
Gambiarra > Passo 4 > Routing filter
102
Gambiarra > Passo 5 > Nova rota
103
Resumo OSPF
104
Endereçamento de
ponto-a-ponto
● Comparando a utilização de endereçamento para
enlaces:
○ /30 = 4 IPs, apenas 2 úteis
○ /32 = 2 IPs, 2 úteis
105
Endereçamento /30
ether1: 10.1.1.1/30
ether1: 10.2.2.1/30
ether1: 10.1.1.2/30 ether1: 10.3.3.1/30
106
Endereçamento ponto-a-ponto
107
Endereçamento ponto-a-ponto
ether1: 10.3.3.3/32
network: 10.1.1.1
108
Endereçamento ponto-a-ponto
Router 1 Router 2
109
Túneis e VPN
110
Tunelamento
A definição de tunelamento é a capacidade de criar túneis entre dois hosts por
onde trafegam dados, garantindo o isolamento da comunicação fim-a-fim.
O routerOS implementa diversos tipos de túneis, tanto servidor quanto cliente:
● PPP
● PPPoE
● PPTP
● L2TP
● SSTP
● OVPN
● IPSec
● Túnel IPIP
● Túnel EoIP
● Túnel VPLS
● Túnel TE
● Túnel GRE
111
VPN
112
VPN
113
Site-to-site
114
Conexão Remota
115
PPP – Definições Comuns
116
PPP – Definições Comuns
117
PPP – Definições Comuns
118
PPPoE > PPP over Ethernet
RFC 2516
● Acontece em 2 estágios:
○ Discovery (0x8863)
○ Session (0x8864)
● Substitui o DHCP em
redes controladas.
119
PPPoE > Cliente e Servidor
121
PPPoE > Discovery stage
122
Configuração do Servidor PPPoE
123
Configuração do Servidor PPPoE
/ppp secret
add name=usuario password=123456
service=pppoe profile=perfil-pppoe
124
Configuração do Servidor PPPoE
125
Mais sobre perfis
126
Mais sobre perfis
127
Mais sobre o database
128
Mais sobre o PPPoE Server
O concentrador PPPoE do Mikrotik suporta múltiplos
servidores para cada interface com diferentes nomes de
serviço. Além do nome do serviço, o nome do
concentrador de acesso pode ser usado pelos clientes
para identificar o acesso em que se deve registrar. O
nome do concentrador é a identidade do roteador. O valor
de MTU/MRU inicialmente recomendado para o PPPoE é
1480 bytes. Em uma rede sem fio, o servidor PPPoE pode
ser configurado no AP. Para clientes Mikrotik, a interface
de rádio pode ser configurada com a MTU em 1600 bytes
e a MTU da interface PPPoE em 1500 bytes.
Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor
que 1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a
MTU da interface sem fio de clientes MS Windows. A opção One Session Per Host
permite somente uma sessão por host (MAC Address). Por fim, Max Sessions
define o número máximo de sessões que o concentrador suportará.
129
Configurando o PPPoE Client
130
VPN > PPTP, L2TP, SSTP
131
PPTP
● Pode ser usado para criar conexões “seguras” entre redes através
da Internet;
● O RouterOS suporta ambos o PPTP cliente e o PPTP server;
● Usa porta TCP 1723 e o protocolo IP de número 47
GRE ;
● NAT helpers são usados para garantir o suporte ao PPTP em
redes com NAT.
132
L2TP
133
Configuração do Servidor PPTP e L2TP
134
Configuração do Servidor PPTP e L2TP
● Configure os
servidores PPTP e
L2TP.
● Atente para utilizar
o perfil correto.
● Configure nos hosts
locais um cliente
PPTP e realize
conexão com um
servidor da outra
rede.
135
Configuração do Servidor PPTP e L2TP
136
SSTP
137
SSTP Client
Atribua o
name,
endereço IP
do servidor
SSTP,
usuário,
senha
138
SSTP Client
139
SSTP Client
140
LAB > SSTP site-to-site
141
LAB > SSTP site-to-site
142
Túnel IPIP
143
Túnel IPIP
144
LAB > Túnel IPIP
145
Túnel EoIP
146
Túnel EoIP
147
Túnel EoIP
148
Túnel EoIP
149
LAB > Túnel EoIP
150
Bridge Control Protocol
(BCP)
O routerOS suporta BCP para os protocolos PPP, PPTP,
L2TP e PPPoE.
● Viabiliza a introdução dos túneis acima em uma bridge existente no router;
● Os túneis podem ser criptografados e passam a transmitir frames
ethernet, útil para estender um domínio de broadcast através da internet
de maneira “segura”.
● Tanto o cliente quanto o servidor precisam do recurso habilitado.
● Setup simples e pode “substituir” o EoIP + VPN.
151
PPTP + BCP
152
PPTP + BCP
153
Virtual LAN (802.1Q)
154
Virtual LAN (802.1Q)
Rede
Ethernet
vlan1: 10.1.1.1/24
vlan2: 10.2.2.1/24
vlan3: 10.3.3.1/24
156
Criando a interface VLAN
157
LAB > VLAN no router
158
VLAN no Switch
160
LAB > VLAN no switch
● Para cada dupla, um router (R) será servidor DHCP e o
outro router será apenas switch (S);
● O router deve criar duas VLANs na mesma interface
física (ou ether1 ou ether3);
● Em cada VLAN será instalado um servidor DHCP com
as seguintes redes:
○ dhcp-vlan1 = 172.21.XY.0/24
○ dhcp-vlan2 = 172.22.XY.0/24
● O switch deve receber as duas VLANs e escolher qual
delas será repassada para a ether2, onde está o PC;
● O PC deve pegar IP de acordo com a seleção da VLAN.
161
Perguntas
CONTATOS
Leonardo Rosa
linkedin.com/in/leonardorosa
leonardo@brauser.com.br
brauser.com.br
19 | 3090 3600 | WB