Baixe o app para aproveitar ainda mais
Prévia do material em texto
Treinamento oficial Mikrotik Modulo MTCRE (MikroTik Certified Routing Engineer) Agenda �Treinamento das 08:30hs às 18:30hs �Coffe break as 16:00hs �Almoço as 12:30hs – 1 hora de duração 1- Introdução 2 Importante �Curso oficial: Proibido ser filmado ou gravado. �Celular: Desligado ou em modo silencioso. �Perguntas: Sempre bem vindas. � Internet: Evite o uso inapropriado. �Aprendizado: Busque absorver conceitos. �Evite conversas paralelas. �Deixe habilitado somente a interface ethernet de seu computador. 1- Introdução 3 Apresente-se a turma �Diga seu nome. �Com que trabalha. �Seu conhecimento sobre o RouterOS. �Seu conhecimento com redes. 1- Introdução 4 Objetivos do curso �Abordar todos os tópicos necessários para o exame de certificação MTCRE. �Prover um visão geral sobre roteamento e túneis. �Fazer uma abordagem simples e objetiva de como planejar e implementar uma rede roteada com foco em segurança e performance. 1- Introdução 5 Winbox �Winbox é uma utilitário usado para acessar o RouterOS via MAC ou IP. �Usuário padrão é “admin” e senha vazio. 1- Introdução 6 Primeiros passos �Conecte o cabo de rede na interface 3 da routerboard e ligue ao seu computador. �Caso você não tenha o utilitário winbox no seu computador faça o seguinte: – Altere seu computador para “Obter endereço IP automaticamente”. – Abra o navegador e digite 192.168.88.1. – No menu a esquerda clique na ultima opção (logout). – Agora na pagina de login , clique sobre o aplicativo winbox e salve no seu computador. 1- Introdução 7 Resetando seu router �Abra o winbox clique em �Clique no endereço MAC ou IP. �No campo Login coloque “admin”. �No campo Password deixe em branco. �Clique em connect. �Nos Menus a esquerda clique em “New Terminal”. �Com terminal aberto digite: /system reset-configuration no-defaults=yes Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar. 1- Introdução 8 Diagrama da rede 1- Introdução 9 � Lembre-se de seu número: GR Internet G=1 R=1 ether1 ether5 ether1 ether5 ether5 ether1 ether1 Ether5 IP para os roteadores 172.25.100.GR/24 G=1 R=2 G=1 R=3G=1 R=4 G=2 R=1 G=2 R=2 G=2 R=3G=2 R=4 Identificando seu roteador 1- Introdução 10 � Lembre-se de seu número: GR Identifique as interfaces 1- Introdução 11 �Identifique as interfaces como ilustrado na imagem de acordo com sua posição. Criando a Bridge 1- Introdução 12 �Adicione uma bridge e renomeie para “bridge- rede-local” �Adicione todas as interface na bridge criada anteriormente DHCP Client no Windows 1- Introdução 13 Habilitando DCHP Client no Windows Observações do ambiente em bridge �Todos os hosts ficaram no mesmo domínio de broadcast, logo estão na mesma rede. �Caso não utilize filtros de bridge um host poderá “enxergar” todos os hosts da rede. �A rede será mais vulnerável a ataques e erros. �Comprometimento de redundância caso tenha mais de uma um ponto de interconexão com operadoras. 1- Introdução 14 Planejando a rede roteada �Devemos segregar nossa rede em varias redes diferentes. �Antes de executarmos a divisão das redes precisamos planejar as seguinte: - Redes locais (redes dos clientes) - Redes dos ponto-a-pontos - Endereços de Loopback 1- Introdução 15 Backup �Apague todos os arquivos no menu files. �Faça um backup com nome topoligia-1 e salve seu computador. 1- Introdução 16 system backup save name=topologia-1 Dúvidas e perguntas ? 1- Introdução 17 Introdução ao roteamento 2- Introdução ao roteamento 18 Resumo 2- Introdução ao roteamento 19 � Funcionamento básico de um Roteador. � Fundamentos de Roteamento. � Tipos de rotas. � Rotas diretamente conectadas. � Quando o processo roteamento é utilizado? � Principais campos de uma rota. � Funcionamento padrão (nexthop-lookup). � Escolha da melhor rota (Rota mais específicas). � Exemplos de ambientes roteados (Exemplo 1,2,3). � Roteamento estático � ECMP - Equal cost multi path � Políticas de Roteamento (routing-mark) � Check-gateway e Distance � Scope e Target Scope (alcance recursivo) � Campo de Pref. Source � Campo Type O que é roteamento �Em termos gerais, o roteamento é o processo de encaminhar pacotes entre redes conectadas. �Para redes baseadas em TCP/IP, o roteamento faz parte do protocolo IP. �Para que o roteamento funcione ele trabalha em combinação com outros serviços de protocolo. 2- Introdução ao roteamento 20 Roteador Roteador recebe rotas por: Funcionamento básico de um Roteador 2- Introdução ao roteamento 21 DATABASE DE ROTEAMENTO RIB TABELA DE ENCAMINHAMENTO FIBao roteador Pacote chegando ao roteador do roteador Pacote saindo do roteador Consulta de caminhos para a rede de destino Protocolos de roteamento dinâmico Rotas estáticas Fundamentos de Roteamento Routing Information Base (RIB) A RIB é o local onde todas as informações a respeito do roteamento IP estão armazenadas. A RIB é única em cada roteador e compartilhada com protocolos. Uma rota é inserida na RIB, sempre que um protocolo aprende uma nova rota. A RIB no RouterOS, não é visivel ao usuário, só pode ser “limpa” reiniciando o roteador. O RouterOS mantém as rotas agrupadas em tabelas separadas pelas marcas de roteamento (routing marks). E, em alguns casos, as métricas (distâncias) associado a este roteador. Todas as rotas sem marca de roteamento são mantidas na tabela “main” (principal). É importante entender que RIB não é utilizada para o encaminhamento de pacotes e não é anunciada para o restante das redes as quais o roteador está conectado. 2- Introdução ao roteamento 22 Fundamentos de Roteamento Forwarding Information Base (FIB) A FIB é a base de dados que contém uma cópia das informações necessárias para o encaminhamento dos pacotes relacionando as redes às respectivas interfaces. A FIB contém todas as rotas que podem potencialmente serem anunciadas aos roteadores vizinhos pelos protocolos de roteamento dinâmico. Por padrão no RouterOs todas as rotas ativas estão na main-table que pode ser visualizada em /ip route, inclusive com os detalhes Inseridos pelos protocolos de roteamento dinâmico. 2- Introdução ao roteamento 23 /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit Tipos de rotas Flag/Sigla Significado da sigla Tipo de rota A Active Rota ativa C Connected Rota diretamente conectada S Static Rota estática D Dynamic Rota dinâmica B Blackhole Rota do tipo buraco negro U Unreable Rota inalcançável P Prohibit Rota do tipo proibida o OSPF Rota aprendida via OSPF b BGP Rota aprendida via BGP r RIP Rota aprendida via RIP m MME Rota aprendida via MME 2- Introdução ao roteamento 24 Fundamentos de Roteamento 2- Introdução ao roteamento 25 Rotas diretamente conectadas 2- Introdução ao roteamento 26 Quando o processo roteamento é utilizado? �Sempre que um determinado host precisar se comunicar como outro host/server que não esteja na mesma sub-rede ele irá precisar de um roteador (gateway) para alcançar seu destino. 192.168.20.1 192.168.1.1 192.168.1.200/24 192.168.20.2/24 Não necessita de roteamento Origem Destino 192.168.1.201 192.168.1.200 192.168.1.201/24 Necessita de roteamento Origem Destino 192.168.1.201 192.168.20.2 Exemplo 1 Exemplo 2 2- Introdução ao roteamento 27 Principais campos de uma rota 2- Introdução ao roteamento 28 �Os dois principais campos de uma rota são: - Dst. Address = Rede ou IP de destino - Gateway = IP ou interface que será utilizado como gateway. Apontando o Gateway por IP Apontando o Gateway por interface � Por padrão o Gateway sempre deve estar diretamente conectado ao roteador. Funcionamento padrão (nexthop-lookup) �O roteador executa uma tarefa chamada “nexthop- lookup” (pesquisa de próximo salto) para cada pacote que passa por ele. 187.15.15.134192.168.1.1192.168.1.200 8.8.8.8 PacoteIP Origem Destino 192.168.1.99 8.8.8.8 Tudo que for destinado a: (Dst. Address) Encaminhe para o roteador: (Gateway) 0.0.0.0/0 192.168.1.1 10.10.10.0/24 192.168.4.1 10.172.0.0/23 10.172.4.1 8.8.0.0/16 10.172.5.1 Tabela de rotas 2- Introdução ao roteamento 29 Escolha da melhor rota �Para cada encaminhamento o roteador faz um leitura completa da tabela de rotas. �Se o roteador encontrar mais de uma rota para o destino solicitado ele sempre irá utilizar a rota mais especifica. Dst. Address Gateway 0.0.0.0/0 192.168.1.1 8.0.0.0/8 10.172.6.1 8.8.0.0/16 10.172.5.1 Tabela de rotas �A rota defult será utilizada somente se não houver uma rota para o determinado destino. 2- Introdução ao roteamento 30 Rota mais específicas 2- Introdução ao roteamento 31 Mais específicas /32 /24 /16 /8 /0 Menos específicas 192.168.1.2/30 Exemplo 1 de roteamento 2- Introdução ao roteamento 32 192.168.1.1/30 10.1.1.1/24 10.1.1.2/24 10.2.2.1/24 10.2.2.2/24 192.168.2.1/30 192.168.2.2/30 Exemplo 2 de roteamento 2- Introdução ao roteamento 33 192.168.1.1/30 10.1.1.1/24 10.1.1.2/24 10.2.2.1/24 10.2.2.2/24 192.168.1.2/30 /30 /30/30 /30 Exemplo 3 de roteamento 2- Introdução ao roteamento 34 10.1.1.1/24 10.1.1.2/24 10.2.2.1/24 10.2.2.2/24 Interface de loopback � Interface de loopback é uma interface virtual (por exemplo uma bridge) que nunca estará como status “down”. 2- Introdução ao roteamento 35 1 - Adicione a bridge e altere o nome para “loopback” Coloque o seguinte IP na sua interface de loopback 172.30.255.GR Check-gateway e Distance 2- Introdução ao roteamento 36 Verifica se o Gateway especificado é alcançável Usado como critério de desempate em rotas com o mesmo Dst. Address Link 1 Link 2 Diagrama da rede 2- Introdução ao roteamento 37 Internet .1 .2 .5 .6 .9.10 .13 .14 .1 .2 Rede LAN 172.30.G.8/30 172.30.G.0/30 172.30.G.4/30172.30.G.12/30 G=1 R=1 G=1 R=2 G=1 R=4 G=1 R=3 Lab 1 – Roteamento estático �Objetivo 1 – Cada aluno deve conseguir alcançar (pingar) todos os alunos do seu grupo com redundância. 2- Introdução ao roteamento 38 Ex: G=1 R=1 alcançando todos pelo vizinho 1 Ex: G=1 R=1 alcançando todos pelo vizinho 2 Cabo do vizinho 1 desligado Todos conectados normalmente Lab 2 – Roteamento estático �Objetivo 1 – Cada aluno deve conseguir alcançar a internet com redundância de rotas. 2- Introdução ao roteamento 39 Roteamento � O Mikrotik suporta dois tipos de roteamento: � Roteamento estático: As rotas são criadas pelo usuário através de inserções pré-definidas em função da topologia da rede. � Roteamento dinâmico: As rotas são geradas automaticamente através de um protocolo de roteamento dinâmico ou de algum agregado de endereço IP. � O Mikrotik também suporta ECMP(Equal Cost Multi Path) que é um mecanismo que permite rotear pacotes através de vários links e permite balancear cargas. � É possível ainda no Mikrotik se estabelecer políticas de roteamento dando tratamento diferenciado a vários tipos de fluxos a critério do administrador. 2- Introdução ao roteamento 40 ECMP - Equal cost multi path O roteador nesse caso terá 2 gateways e estará fazendo um balanceamento de carga simples entre os 2 Links utilizando ECMP. /ip route add dst-address=0.0.0.0/0 gateway=1.1.1.1,2.2.2.2 2- Introdução ao roteamento 41 Link 1 Link 2 TTL=61TTL=62 TTL=60 TTL=63 TTL 2- Introdução ao roteamento 42 � TTL é o limite máximo de saltos que um pacote pode dar até ser descartado; � O valor padrão do TTL é 64 e cada roteador decrementa este valor em um antes de passá- lo adiante; � O menu Firewall Mangle pode ser usado para manipular este parâmetro; � O roteador não passa adiante pacotes com TTL=1; � Esta opção é muito útil para evitar que usuários criem rede com nat a partir da sua rede. TTL=64 Políticas de Roteamento �As políticas de roteamento podem ser construídas utilizando vários campos do firewall, tais como protocolo,classes de endereços IP ,portas, PCC e etc. �As marcas de roteamento devem ser adicionadas no Firewall, no módulo Mangle com mark-routing. �Aos pacotes marcados será aplicada uma política de roteamento, dirigindo-os para um determinado gateway. �É possível utilizar política de roteamento quando se utiliza NAT. 2- Introdução ao roteamento 43 Políticas de Roteamento � Uma aplicação típica de políticas de roteamento é trabalhar com dois um mais links direcionando o tráfego para ambos. Por exemplo direcionando tráfego p2p por um link e tráfego web por outro. � É impossível porém reconhecer o tráfego p2p a partir do primeiro pacote, mas tão somente após a conexão estabelecida, o que impede o funcionamento de programas p2p em casos de NAT de origem. � A estratégia nesse caso é colocar como gateway default um link “menos nobre”, marcar o tráfego “nobre” (http, dns, pop, etc.) e desvia-lo pelo link nobre. Todas outras aplicações, incluindo o p2p irão pelo link menos nobre. 2- Introdução ao roteamento 44 Ex. de Política de Roteamento 1. Marcar pacotes destinados ao 8.8.8.8 para o gateway-1 e destinados ao IP 8.8.4.4 para o gateway-2 : /ip firewall mangle add action=mark-routing chain=prerouting dst-address=8.8.8.8 new-routing-mark=gateway-1 passthrough=no protocol=icmp add action=mark-routing chain=prerouting dst-address=8.8.4.4 new-routing-mark=gateway-2 passthrough=no protocol=icmp 2. Criar rotas para aproveitar as marcas de roteamento criadas anteriormente: correspondentes marcas de pacotes da seguinte forma: /ip route add distance=1 gateway=1.1.1.1 routing-mark=gateway-1 add distance=1 gateway=2.2.2.2 routing-mark=gateway-2 2- Introdução ao roteamento 45 2- Introdução ao roteamento 46 Scope e Target Scope (alcance recursivo) Alcance padrão da rota Alcance outras rotas com no máximoTipo de rota 0 - 10 0 - 20 0 - 30 0 - 40 0 - 40 10 10 10 10 30 0 - 200 Scope e Target Scope (alcance recursivo) 2- Introdução ao roteamento 47 Alcance da rota Alcance outras rotas com no máximo Alcance da rota Alcance outras rotas com no máximo Campo de Pref. Source 2- Introdução ao roteamento 48 Especifique aqui o IP que deseja força utilização 2 IPs em uma mesma interface Link 1 1.1.1.1/24 1.1.1.2/24 1.1.1.3/24 Campo Type 2- Introdução ao roteamento 49 �Blackhole: Descarta o pacote silenciosamente. �Unreachable: Descarta o pacote e envia uma notificação via ICMP para o host de origem (“host unreachable” type 3 code 1). �Prohibit: Descarta o pacote e envia uma notificação via ICMP para o host de origem (“communication administratively prohibited” type 3 code 13). Roteamento dinâmico 3 - Roteamento dinâmico 50 Roteamento Dinâmico � O Mikrotik suporta os seguintes protocolos: � RIP versão 1 e 2; � OSPF versão 2 e 3; � BGP versão 4. � O uso de protocolos de roteamento dinâmico permite implementar redundância e balanceamento de links de forma automática e é uma forma de se fazer uma rede semelhante as redes conhecidas como Mesh, porém de forma estática. 3 - Roteamento dinâmico 51 Autonomous System � Um AS é o conjunto de redes IP e roteadores sobre o controle de uma mesma entidade (OSPF, iBGP ,RIP) que representam uma única política de roteamento para o restante da rede; � Um AS era identificado por um número de de 16 bits (0 – 65535) � Os novos AS’s são identificados por um número de 32 bits. 3 - Roteamento dinâmico Roteamento dinâmico - BGP � O protocolo BGP é destinado a fazer comunicação entre AS(Autonomos System) diferentes, podendo ser considerado como o coração da internet. � O BGP mantém uma tabela de “prefixos” de rotas contendo informações para se encontrar determinadas redes entre os AS’s. � A versão corrente do BGP no Mikrotik é a 4, especificada na RFC 1771. 3 - Roteamento dinâmico 53 OSPF � O protocolo OSPF utiliza o estado do link e o algoritmo de Dijkstra para construir e calcular o menor caminho para todos destinos conhecidos na rede.� Os roteadores OSPF utilizam o protocolo IP 89 para comunicação entre si. � O OSPF distribui informações de roteamento entre roteadores pertencentes ao mesmo AS. � O OSPF é um protocolo para uso como IGP. 3 - Roteamento dinâmico LAB - OSPF básico �Objetivo – Fechar uma sessão OSPF com cada um dos seus vizinhos e conseguir alcançar todos. �Não esqueça de apagar todas as rotas que foram colocadas manualmente em seu roteador. �Para que o protocolo OSPF funcione, precisamos realizar um único passo: - Adicionar as redes em /routing ospf network 3 - Roteamento dinâmico 55 Networks (redes) OSPF �Ao adicionar uma rede em /routing ospf network o roteador fará o seguinte: - Ativará OSPF nas interfaces que tem um endereço de IP que estiver no range da rede adicionada. - Enviará a rede adicionada para os outros roteadores. 3 - Roteamento dinâmico 56 Neighbours (vizinhos) OSPF � Os roteadores OSPF encontrados estão listados na aba Neighbours (vizinhos); � Após a conexão ser estabelecida cada um irá apresentar um status operacional conforme descrito abaixo: – Full: Base de dados completamente sincronizada; – 2-way: Comunicação bi-direcional estabelecida; – Down,Attempt,Init,Loading,ExStart,Exchange: Não finalizou a sincronização completamente. 3 - Roteamento dinâmico 57 Designated router OSPF �Para reduzir o tráfego OSPF em redes broadcast e NBMA (Non-Broadcast Multiple Access), uma única fonte para atualização de rotas é criado – Os roteadores designados(DR). �Um DR mantém uma tabela completa da topologia da rede e envia atualizações para os demais roteadores. �O roteador com maior prioridade será eleito como DR. �Também será eleito roteadores backup BDR. �Roteadores com prioridade 0 nunca serão DR ou BDR. 3 - Roteamento dinâmico 58 5 0 1 1 3 DR BDR 1 Router ID e loopback � Cada roteador precisa ser identificado na rede com um ID único, caso esse ID não for especificado manualmente o roteador usará o maior IP que existir em sua “IP list”. � É uma boa prática utilizar o endereço de loopback como RouterID 3 - Roteamento dinâmico 59 1 - Copiar o endereço de loopback 2 – Colar no Roter ID OSPF Instance � Router ID: Geralmente o IP do roteador. Caso não seja especificado o roteador usará o maior IP que exista na interface. � Redistribute Default Route: – Never: nunca distribui rota padrão. – If installed (as type 1): Envia com métrica 1 se tiver sido instalada como rota estática, DHCP ou PPP. – If installed (as type 2): Envia com métrica 2 se tiver sido instalada como rota estática, DHCP ou PPP. – Always (as type 1): Sempre, com métrica 1. – Always (as type 2): Sempre, com métrica 2. � Redistribute Connected Routes: O roteador irá distribuir todas as rotas estejam diretamente conectadas a ele. � Redistribute Static Routes: Caso habilitado, distribui as rotas cadastradas de forma estática em /ip routes. � Redistribute RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP. � Redistribute BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP. � Na aba “Metrics” é possível modificar as métricas que serão exportadas as diversas rotas. 3 - Roteamento dinâmico 60 3 - Roteamento dinâmico 61 ASBR Cost=10 Cost=10 Cost=10 Cost=10 Cost=10 Origem Cost=10 Cost=9 Destino Total Cost=40 Total Cost=49 Métrica tipo 1 � Métrica do tipo 1 soma o custo externo com o custo interno. ASBR Origem Cost=10 Cost=9 Destino Custo total=10 Custo total=9 Métrica tipo 2 3 - Roteamento dinâmico 62 �Métrica do tipo 2 usa somente o custo externo. OSPF – Custo de interfaces � Por padrão todas interfaces tem custo 10. � Para alterar este padrão você deve adicionar interfaces de forma manual. � Escolha o tipo de rede correta para todas interfaces OSPF. � Atribua custos para garantir o tráfego em uma única direção dentro da área. � Verifique rotas ECMP em sua tabela de roteamento. � Atribua custos necessários para que o link backup só seja usado caso outros links falhem. � Verifique a redundância da rede OSPF. 3 - Roteamento dinâmico 63 Diagrama da rede 3 - Roteamento dinâmico 64 R1 R2 R4 R3 �Três tipos de rede são definidas no protocolo OSPF: OSPF - Tipos de rede 3 - Roteamento dinâmico 65 Point to point (não há eleição de DR e BDR) Broadcast Nonbroadcast multiacess (NBMA) NBMA Neighbors � Em redes não-broadcast é necessário especificar os neighbors manualmente. � A prioridade determina a chance do router ser eleito DR. 3 - Roteamento dinâmico 66 Interface Passiva �O modo passivo permite desativar as mensagens de “Hello” enviadas pelo protocolo OSPF as interfaces dos clientes (desativa OSPF na interface). �Portanto ativar este recurso é sinônimo de segurança. 3 - Roteamento dinâmico 67 OSPF autenticação �O Mikrotik suporta os seguintes métodos de autenticação. - Nome: Não utiliza método de autenticação. - Simples: Autenticação em texto plano. - MD5: Autenticação com encriptação md5. 3 - Roteamento dinâmico 68 Áreas OSPF � A criação de áreas permite você agrupar uma coleção de roteadores (indicado nunca ultrapassar 50 roteadores por area). � A estrutura de uma área não é visível para outras áreas. � Cada área executa uma cópia única do algoritmo de roteamento. � As áreas OSPF são identificadas por um número de 32 bits(0.0.0.0 – 255.255.255.255). � Esses números devem ser únicos para o AS. 4 - Áreas do OSPF 69 Área de backbone �A área backbone é o coração da rede OSPF. Ela possui o ID (0.0.0.0) e deve sempre existir. �A backbone é responsável por redistribuir informações de roteamento entre as demais áreas. �A demais áreas devem sempre estar conectadas a uma área backbone de forma direta ou indireta(utilizando virtual link). 4 - Áreas do OSPF 70 Exemplo de AS e várias áreas 4 - Áreas do OSPF 71 Tipos de roteadores no OSPF �Tipos de roteadores em OSPF são: �Roteadores internos a uma área. �Roteadores de backbone (área 0). �Roteadores de borda de área (ABR). �OS ABRs devem ficar entre duas áreas e devem tocar a área 0. �Roteadores de borda Autonomous System (ASBR). �São roteadores que participam do OSPF mas fazem comunicação com um AS. 4 - Áreas do OSPF 72 AreaArea Area Area ABR ASBR ABR ASBR ABR AS OSPF Internet 4 - Áreas do OSPF 73 Separando as redes e áreas �Altere a área para o seu número do grupo (seu número G). �Os roteadores que são ABR devem ter duas áreas configuradas(área 0 e área G). 4 - Áreas do OSPF 74 Roteador comum Roteador ABR Agregação de áreas �Utilizado para agregar uma range de redes em uma única rota. �É possível atribuir um custo para essas rotas agregadas. 4 - Áreas do OSPF 75 Virtual Link � Utilizado conectar áreas remotas ao backbone através de áreas não-backbone; 4 - Áreas do OSPF 76 Virtual Link 4 - Áreas do OSPF 77 •Tipo 1 Router Há um para cada roteador da área, e não ultrapassa a área. •Tipo 2 Network É gerado pelo DR e circula apenas pela área, não atravessa o ABR •Tipo 3 Summary Network É gerado pelo ABR e descreve o número da rede e a máscara, e por default não são sumarizadas. E não é envidado para as áreas STUB e NSSA •Tipo 4 Summary ASBR É gerado pelo ABR apenas quando existe um ASBR dentro da área e informa uma rota para que todos possam chegar até o ASBR. •Tipo 5 AS External Usado para transportar redes de outro AS e não são enviados para áreas STUB e NSSA •Tipo 7 São gerados em áreas NSSA pelo ASBR e o ABR (caso configurado converte em LSA do tipo 5 para outras áreas 4 - Áreas do OSPF 78 LSA Área Stub � Uma área Stub é uma área que não recebe rotas de AS externos; � Tipicamente todas rotas para os AS externos são substituídas por uma rota padrão. Esta rota será criada automaticamente por distribuição do ABR; � A opção “Inject Summary LSA” permite especificar se os sumários de LSA da área de backbone ou outras áreas serão reconhecidos pela área stub; � Habilite esta opção somente no ABR; � O custo padrão dessaárea é 1; 4 - Áreas do OSPF 79 Área Stub 4 - Áreas do OSPF 80 Área NSSA � Um área NSSA é um tipo de área stub que tem capacidade de injetar transparentemente rotas para o backbone; � Translator role – Esta opção permite controlar que ABR da área NSSA irá atuar como repetidor do ASBR para a área de backbone: – Translate-always: roteador sempre será usado como tradutor. – Translate-candidate: ospf elege um dos roteadores candidatos para fazer as traduções. 4 - Áreas do OSPF 81 Área NSSA 4 - Áreas do OSPF 82 ABR PPPoE server PPPoE server Problemas com túneis 4 - Áreas do OSPF 83 Filtros de Roteamento �É possível criar um filtro de rotas para evitar que todas rotas /32 se espalhem pela rede OSPF; Para isto é necessário você ter uma rota agregada para esta rede túneis: – Uma boa forma de ser fazer isso é atribuindo o endereço de rede da rede de túneis agregada a interface do concentrador. 4 - Áreas do OSPF 84 Filtros OSPF 4 - Áreas do OSPF 85 Resumo OSPF �Para segurança da rede OSPF: – Use chaves de autenticação; – Use a maior prioridade(255) para os DR; – Use o tipo correto de rede para as áreas; �Para aumentar a performance da rede OSPF: – Use o tipo correto de área; – Use agregação de áreas sempre que possível; �Utilize sempre como boa prática a loopback 4 - Áreas do OSPF 86 Túneis e VPN 5 - Tuneis e VPN 87 VPN • Uma Rede Privada Virtual é uma rede de comunicações privada normalmente utilizada por uma empresa ou conjunto de empresas e/ou instituições, construídas em cima de uma rede pública. O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros. • VPNs seguras usam protocolos de criptografia por tunelamento que fornecem confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras. 5 - Tuneis e VPN 88 VPN • As principais características da VPN são: – Promover acesso seguro sobre meios físicos públicos como a internet por exemplo. – Promover acesso seguro sobre linhas dedicadas, wireless, etc... – Promover acesso seguro a serviços em ambiente corporativo de correio, impressoras, etc... – Fazer com que o usuário, na prática, se torne parte da rede corporativa remota recebendo IPs desta e perfis de segurança definidos. – A base da formação das VPNs é o tunelamento entre dois pontos, porém tunelamento não é sinônimo de VPN. 5 - Tuneis e VPN 89 Tunelamento • A definição de tunelamento é a capacidade de criar túneis entre dois hosts por onde trafegam dados. • O Mikrotik implementa diversos tipos de tunelamento, podendo ser tanto servidor como cliente desses protocolos: – PPP (Point to Point Protocol) – PPPoE (Point to Point Protocol over Ethernet) – PPTP (Point to Point Tunneling Protocol) – L2TP (Layer 2 Tunneling Protocol) – OVPN (Open Virtual Private Network) – IPSec (IP Security) – Túneis IPIP – Túneis EoIP – Túneis VPLS – Túneis TE – Túneis GRE 5 - Tuneis e VPN 90 Site-to-site 5 - Tuneis e VPN 91 Conexão remota 5 - Tuneis e VPN 92 Endereçamento ponto a ponto /32 �Geralmente usado em túneis �Pode ser usado para economia de IPs. 5 - Tuneis e VPN 93 Router 1 Router 2 PPP – Definições Comuns para os serviços • MTU/MRU: Unidade máximas de transmissão/ recepção em bytes. Normalmente o padrão ethernet permite 1500 bytes. Em serviços PPP que precisam encapsular os pacotes, deve-se definir valores menores para evitar fragmentação. • Keepalive Timeout: Define o período de tempo em segundos após o qual o roteador começa a mandar pacotes de keepalive por segundo. Se nenhuma reposta é recebida pelo período de 2 vezes o definido em keepalive timeout o cliente é considerado desconectado. • Authentication: As formas de autenticação permitidas são: – Pap: Usuário e senha em texto plano sem criptografica. – Chap: Usuário e senha com criptografia. – Mschap1: Versão chap da Microsoft conf. RFC 2433 – Mschap2: Versão chap da Microsoft conf. RFC 2759 5 - Tuneis e VPN 94 PPP – Definições Comuns para os serviços • PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então será necessário que haja algum mecanismo para avisar que esta estação deverá diminuir o tamanho dos pacotes para que a comunicação ocorra com sucesso. O processo interativo de envio de pacotes em determinados tamanhos, a resposta dos roteadores intermediarios e a adequação dos pacotes posteriores é chamada Path MTU Discovery ou PMTUD. Normalmente esta funcionalidade está presente em todos roteadores, sistemas Unix e no Mikrotik ROS. • MRRU: Tamanho máximo do pacote, em bytes, que poderá ser recebido pelo link. Se um pacote ultrapassa esse valor ele será dividido em pacotes menores, permitindo o melhor dimensionamento do túnel. Especificar o MRRU significa permitir MP (Multilink PPP) sobre túnel simples. Essa configuração é útil para o PMTUD superar falhas. Para isso o MP deve ser configurado em ambos lados. 5 - Tuneis e VPN 95 PPP – Definições Comuns para os serviços Change MSS: Maximun Segment Size, tamanho máximo do segmento de dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o túnel está estabelecido deve ser fragmentado antes de enviá-lo. Em alguns caso o PMTUD está quebrado ou os roteadores não conseguem trocar informações de maneira eficiente e causam uma série de problemas com transferência HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona ferramentas onde é possível interferir e configurar uma diminuição do MSS dos próximos pacotes através do túnel visando resolver o problema. 5 - Tuneis e VPN 96 PPPoE – Cliente e Servidor • PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui informações sobre o remetente e o destinatário, desperdiçando mais banda. Cerca de 2% a mais. • Muito usado para autenticação de clientes com base em Login e Senha. O PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a internet. • O cliente não tem IP configurado, o qual é atribuído pelo Servidor PPPoE(concentrador) normalmente operando em conjunto com um servidor Radius. No Mikrotik não é obrigatório o uso de Radius pois o mesmo permite criação e gerenciamento de usuários e senhas em uma tabela local. • PPPoE por padrão não é criptografado. O método MPPE pode ser usado desde que o cliente suporte este método. 5 - Tuneis e VPN 97 PPPoE – Cliente e Servidor • O cliente descobre o servidor através do protocolo pppoe discovery que tem o nome do serviço a ser utilizado. • Precisa estar no mesmo barramento físico ou os dispositivos passarem pra frente as requisições PPPoE usando pppoe relay. • No Mikrotik o valor padrão do Keepalive Timeout é 10, e funcionará bem na maioria dos casos. Se configurarmos pra zero, o servidor não desconectará os clientes até que os mesmos solicitem ou o servidor for reiniciado. 5 - Tuneis e VPN 98 Configuração do Servidor PPPoE 1. Primeiro crie um pool de IPs para o PPPoE. /ip pool add name=pool-pppoe ranges=172.16.0.2-172.16.0.254 2. Adicione um perfil para o PPPoE onde: Local Address = Endereço IP do concentrado. Remote Address = Pool do pppoe. /ppp profile local-address=172.16.0.1 name=perfilpppoe remote-address=pool-pppoe 5 - Tuneis e VPN 99 Configuração do Servidor PPPoE 3. Adicione um usuário e senha /ppp secret add name=usuario password=123456 service=pppoe profile=perfil-pppoe Obs.: Caso queira verificar o MAC-Address, adicione em Caller ID. Esta opção não é obrigatória, mas é um parametro a mais para segurança. 5 - Tuneis e VPN 100 Configuração do Servidor PPPoE 4. Adicione o Servidor PPoE Service Name = Nome que os clientes vão procurar (pppoe-discovery). Interface = Interface onde o servidor pppoe vai escutar. /interface pppoe-server serveradd authentication=chap, mschap1, mschap2 default-profile=perfil-pppoe disabled=no interface=wlan1 keepalive-timeout=10 maxmru= 1480 max-mtu=1480 max-sessions=50 mrru=512 one-session-per-host=yes servicename=" Servidor PPPoE" 5 - Tuneis e VPN 101 Mais sobre perfis • Bridge: Bridge para associar ao perfil • Incoming/Outgoing Filter: Nome do canal do firewall para pacotes entrando/saindo. • Address List: Lista de endereços IP para associar ao perfil. • DNS Server: Configuração dos servidores DNS a atribuir aos clientes. • Use Compression/Encryption/Change TCP MSS: caso estejam em default, vão associar ao valor que está configurado no perfil default-profile. 5 - Tuneis e VPN 102 Mais sobre perfis • Session Timeout: Duração máxima de uma sessão PPPoE. • Idle Timeout: Período de ociosidade na transmissão de uma sessão. Se não houver tráfego IP dentro do período configurado, a sessão é terminada. • Rate Limit: Limitação da velocidade na forma rx-rate/tx-rate. Pode ser usado também na forma rx-rate/tx-rate rx-burst-rate/tx-burstrate rx-burst-threshould/tx-burst-threshould burst-time priority rx-rate-min/tx-rate-min. • Only One: Permite apenas uma sessão para o mesmo usuário. 5 - Tuneis e VPN 103 Mais sobre o database • Service: Especifica o serviço disponível para este cliente em particular. • Caller ID: MAC Address do cliente. • Local/Remote Address: Endereço IP Local (servidor) e remote(cliente) que poderão ser atribuídos a um cliente em particular. • Limits Bytes IN/Out: Quantidade em bytes que o cliente pode trafegar por sessão PPPoE. • Routes: Rotas que são criadas do lado do servidor para esse cliente especifico. Várias rotas podem ser adicionadas separadas por vírgula. 5 - Tuneis e VPN 104 Mais sobre o PPoE Server O concentrador PPPoE do Mikrotik suporta múltiplos servidores para cada interface com diferentes nomes de serviço. Além do nome do serviço, o nome do concentrador de acesso pode ser usado pelos clientes para identificar o acesso em que se deve registrar. O nome do concentrador é a identidade do roteador. O valor de MTU/MRU inicialmente recomendado para o PPPoE é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser configurado no AP. Para clientes Mikrotik, a interface de rádio pode ser configurada com a MTU em 1600 bytes e a MTU da interface PPPoE em 1500 bytes. Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que 1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da interface sem fio de clientes MS Windows. A opção One Session Per Host permite somente uma sessão por host(MAC Address). Por fim, Max Sessions define o número máximo de sessões que o concentrador suportará. 5 - Tuneis e VPN 105 Configurando o PPPoE Client • AC Name: Nome do concentrador. Deixando em branco conecta em qualquer um. • Service: Nome do serviço designado no servidor PPPoE. • Dial On Demand: Disca sempre que é gerado tráfego de saída. • Add Default Route: Adiciona um rota padrão(default). • User Peer DNS: Usa o DNS do servidor PPPoE. 5 - Tuneis e VPN 106 PPTP e L2TP • L2TP – Layer 2 Tunnel Protocol: Protocolo de tunelamento em camada 2 é um protocolo de tunelamento seguro para transportar tráfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de forma criptografada ou não e permite enlaces entre dispositivos de redes diferentes unidos por diferentes protocolos. • O tráfego L2TP utiliza protocolo UDP tanto para controle como para pacote de dados. A porta UDP 1701 é utilizada para o estabelecimento do link e o tráfego em si utiliza qualquer porta UDP disponível, o que significa que o L2TP pode ser usado com a maioria dos Firewalls e Routers, funcionando também através de NAT. • L2TP e PPTP possuem as mesma funcionalidades. 5 - Tuneis e VPN 107 Configuração do Servidor PPTP e L2TP • Configure um pool, um perfil para o PPTP, adicione um usuário em “secrets” e habilite o servidor PPTP conforme as figuras. 5 - Tuneis e VPN 108 Configuração do Servidor PPTP e L2TP • Configure os servidores PPTP e L2TP. • Atente para utilizar o perfil correto. • Configure nos hosts locais um cliente PPTP e realize conexão com um servidor da outra rede. Ex.: Hosts do Setor1 conectam em servidores do Setor2 e vice-versa. 5 - Tuneis e VPN 109 Configuração do Servidor PPTP e L2TP • As configurações para o cliente PPTP e L2TP são bem simples, conforme observamos nas imagens. 5 - Tuneis e VPN 110 Túneis IPIP • IPIP é um protocolo que encapsula pacotes IP sobre o próprio protocolo IP baseado na RFC 2003. É um protocolo simples que pode ser usado pra interligar duas intranets através da internet usando 2 roteadores. • A interface do túnel IPIP aparece na lista de interfaces como se fosse uma interface real. • Vários roteadores comerciais, incluindo CISCO e roteadores baseados em Linux suportam esse protocolo. • Um exemplo prático de uso do IPIP seria a necessidade de monitorar hosts através de um NAT, onde o túnel IPIP colocaria a rede privada disponível para o host que realiza o monitoramento, sem a necessidade de criar usuário e senha como nas VPNs. 5 - Tuneis e VPN 111 Túneis IPIP • Supondo que temos que unir as redes que estão por trás dos roteadores 10.0.0.1 e 22.63.11.6. Para tanto basta criemos as interfaces IPIP em ambos, da seguinte forma: 5 - Tuneis e VPN 112 Túneis IPIP • Agora precisamos atribuir os IPs as interfaces criadas. • Após criado o túnel IPIP as redes fazem parte do mesmo domínio de broadcast. 5 - Tuneis e VPN 113 Túneis EoIP • EoIP(Ethernet over IP) é um protocolo proprietário Mikrotik para encapsula mento de todo tipo de tráfego sobre o protocolo IP. • Quando habilitada a função de Bridge dos roteadores que estão interligados através de um túnel EoIP, todo o tráfego é passado de uma lado para o outro de forma transparente mesmo roteado pela internet e por vários protocolos. • O protocolo EoIP possibilita: - Interligação em bridge de LANs remotas através da internet. - Interligação em bridge de LANs através de túneis criptografados. • A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP. O protocolo EoIP encapsula frames ethernet através do protocolo GRE. 5 - Tuneis e VPN 114 Túneis EoIP • Criando um túnel EoIP entre as redes por trás dos roteadores 10.0.0.1 e 22.63.11.6. • Os MACs devem ser diferentes e estar entre o rage: 00-00-5E- 80-00-00 e 00-00-5E-FF-FF-FF, pois são endereços reservados para essa aplicação. • O MTU deve ser deixado em 1500 para evitar fragmentação. • O túnel ID deve ser igual para ambos. 5 - Tuneis e VPN 115 Túneis EoIP • Adicione a interface EoIP a bridge, juntamente com a interface que fará parte do mesmo domínio de broadcast. 5 - Tuneis e VPN 116 5 - Tuneis e VPN 117 Perguntas ?
Compartilhar