MTCRE - Apostila

Prévia do material em texto

Treinamento oficial Mikrotik
Modulo MTCRE
(MikroTik Certified Routing Engineer)
Agenda
�Treinamento das 08:30hs às 18:30hs
�Coffe break as 16:00hs
�Almoço as 12:30hs – 1 hora de duração
1- Introdução 2
Importante
�Curso oficial: Proibido ser filmado ou gravado.
�Celular: Desligado ou em modo silencioso.
�Perguntas: Sempre bem vindas.
� Internet: Evite o uso inapropriado.
�Aprendizado: Busque absorver conceitos.
�Evite conversas paralelas. 
�Deixe habilitado somente a interface ethernet de 
seu computador.
1- Introdução 3
Apresente-se a turma
�Diga seu nome.
�Com que trabalha.
�Seu conhecimento sobre o RouterOS.
�Seu conhecimento com redes.
1- Introdução 4
Objetivos do curso
�Abordar todos os tópicos necessários para o 
exame de certificação MTCRE.
�Prover um visão geral sobre roteamento e 
túneis.
�Fazer uma abordagem simples e objetiva de 
como planejar e implementar uma rede 
roteada com foco em segurança e 
performance.
1- Introdução 5
Winbox
�Winbox é uma utilitário usado para acessar o 
RouterOS via MAC ou IP.
�Usuário padrão é “admin” e senha vazio.
1- Introdução 6
Primeiros passos
�Conecte o cabo de rede na interface 3 da 
routerboard e ligue ao seu computador.
�Caso você não tenha o utilitário winbox no seu 
computador faça o seguinte:
– Altere seu computador para “Obter endereço IP 
automaticamente”.
– Abra o navegador e digite 192.168.88.1.
– No menu a esquerda clique na ultima opção (logout).
– Agora na pagina de login , clique sobre o aplicativo 
winbox e salve no seu computador.
1- Introdução 7
Resetando seu router
�Abra o winbox clique em 
�Clique no endereço MAC ou IP.
�No campo Login coloque “admin”.
�No campo Password deixe em branco.
�Clique em connect.
�Nos Menus a esquerda clique em “New Terminal”.
�Com terminal aberto digite:
/system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar. 
1- Introdução 8
Diagrama da rede
1- Introdução 9
� Lembre-se de seu número: GR
Internet
G=1 R=1 ether1
ether5
ether1
ether5
ether5 ether1
ether1
Ether5 IP para os roteadores
172.25.100.GR/24
G=1 R=2
G=1 R=3G=1 R=4
G=2 R=1 G=2 R=2
G=2 R=3G=2 R=4
Identificando seu roteador
1- Introdução 10
� Lembre-se de seu número: GR
Identifique as interfaces
1- Introdução 11
�Identifique as interfaces como ilustrado na 
imagem de acordo com sua posição.
Criando a Bridge
1- Introdução 12
�Adicione uma bridge e 
renomeie para “bridge-
rede-local”
�Adicione todas as 
interface na bridge 
criada anteriormente
DHCP Client no Windows
1- Introdução 13
Habilitando DCHP Client no Windows
Observações do ambiente em bridge
�Todos os hosts ficaram no mesmo domínio de 
broadcast, logo estão na mesma rede.
�Caso não utilize filtros de bridge um host 
poderá “enxergar” todos os hosts da rede.
�A rede será mais vulnerável a ataques e erros.
�Comprometimento de redundância caso 
tenha mais de uma um ponto de interconexão 
com operadoras.
1- Introdução 14
Planejando a rede roteada
�Devemos segregar nossa rede em varias redes 
diferentes.
�Antes de executarmos a divisão das redes 
precisamos planejar as seguinte:
- Redes locais (redes dos clientes)
- Redes dos ponto-a-pontos
- Endereços de Loopback
1- Introdução 15
Backup
�Apague todos os arquivos no menu files.
�Faça um backup com nome topoligia-1 e salve 
seu computador.
1- Introdução 16
system backup save name=topologia-1
Dúvidas e perguntas ?
1- Introdução 17
Introdução ao roteamento
2- Introdução ao roteamento 18
Resumo
2- Introdução ao roteamento 19
� Funcionamento básico de um Roteador.
� Fundamentos de Roteamento.
� Tipos de rotas.
� Rotas diretamente conectadas.
� Quando o processo roteamento é utilizado?
� Principais campos de uma rota.
� Funcionamento padrão (nexthop-lookup).
� Escolha da melhor rota (Rota mais específicas).
� Exemplos de ambientes roteados (Exemplo 1,2,3).
� Roteamento estático
� ECMP - Equal cost multi path
� Políticas de Roteamento (routing-mark)
� Check-gateway e Distance
� Scope e Target Scope (alcance recursivo)
� Campo de Pref. Source
� Campo Type
O que é roteamento
�Em termos gerais, o 
roteamento é o 
processo de encaminhar 
pacotes entre redes 
conectadas.
�Para redes baseadas em TCP/IP, o roteamento faz 
parte do protocolo IP. 
�Para que o roteamento funcione ele trabalha em 
combinação com outros serviços de protocolo.
2- Introdução ao roteamento 20
Roteador 
Roteador recebe rotas por:
Funcionamento básico de um Roteador
2- Introdução ao roteamento 21
DATABASE DE ROTEAMENTO
RIB
TABELA DE ENCAMINHAMENTO
FIBao roteador
Pacote chegando 
ao roteador do roteador
Pacote saindo
do roteador
Consulta de caminhos
para a rede de destino
Protocolos de 
roteamento 
dinâmico
Rotas estáticas
Fundamentos de Roteamento
Routing Information Base (RIB)
A RIB é o local onde todas as informações a respeito do roteamento IP estão
armazenadas. A RIB é única em cada roteador e compartilhada com protocolos.
Uma rota é inserida na RIB, sempre que um protocolo aprende uma nova rota.
A RIB no RouterOS, não é visivel ao usuário, só pode ser “limpa” reiniciando o
roteador. O RouterOS mantém as rotas agrupadas em tabelas separadas pelas
marcas de roteamento (routing marks). E, em alguns casos, as métricas (distâncias)
associado a este roteador. Todas as rotas sem marca de roteamento são mantidas
na tabela “main” (principal). É importante entender que RIB não é utilizada para o
encaminhamento de pacotes e não é anunciada para o restante das redes as quais
o roteador está conectado.
2- Introdução ao roteamento 22
Fundamentos de Roteamento
Forwarding Information Base (FIB)
A FIB é a base de dados que contém uma cópia das informações necessárias para o
encaminhamento dos pacotes relacionando as redes às respectivas interfaces.
A FIB contém todas as rotas que podem potencialmente serem anunciadas aos
roteadores vizinhos pelos protocolos de roteamento dinâmico.
Por padrão no RouterOs todas as rotas ativas estão na main-table que pode ser
visualizada em /ip route, inclusive com os detalhes Inseridos pelos protocolos de
roteamento dinâmico.
2- Introdução ao roteamento 23
/ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
Tipos de rotas
Flag/Sigla Significado da sigla Tipo de rota
A Active Rota ativa
C Connected Rota diretamente conectada
S Static Rota estática
D Dynamic Rota dinâmica
B Blackhole Rota do tipo buraco negro
U Unreable Rota inalcançável
P Prohibit Rota do tipo proibida
o OSPF Rota aprendida via OSPF
b BGP Rota aprendida via BGP
r RIP Rota aprendida via RIP
m MME Rota aprendida via MME
2- Introdução ao roteamento 24
Fundamentos de Roteamento
2- Introdução ao roteamento 25
Rotas diretamente conectadas
2- Introdução ao roteamento 26
Quando o processo roteamento é utilizado?
�Sempre que um determinado host precisar se 
comunicar como outro host/server que não 
esteja na mesma sub-rede ele irá precisar de um 
roteador (gateway) para alcançar seu destino.
192.168.20.1
192.168.1.1
192.168.1.200/24
192.168.20.2/24
Não necessita de roteamento
Origem Destino
192.168.1.201 192.168.1.200
192.168.1.201/24
Necessita de roteamento
Origem Destino
192.168.1.201 192.168.20.2
Exemplo 1 Exemplo 2
2- Introdução ao roteamento 27
Principais campos de uma rota
2- Introdução ao roteamento 28
�Os dois principais campos de uma rota são:
- Dst. Address = Rede ou IP de destino
- Gateway = IP ou interface que será 
utilizado como gateway.
Apontando o Gateway por IP
Apontando o Gateway por interface
� Por padrão o Gateway sempre deve estar diretamente conectado ao roteador.
Funcionamento padrão (nexthop-lookup)
�O roteador executa uma 
tarefa chamada “nexthop-
lookup” (pesquisa de 
próximo salto) para cada 
pacote que passa por ele. 
187.15.15.134192.168.1.1192.168.1.200 8.8.8.8
PacoteIP
Origem Destino
192.168.1.99 8.8.8.8
Tudo que for 
destinado a:
(Dst. Address)
Encaminhe para 
o roteador:
(Gateway)
0.0.0.0/0 192.168.1.1
10.10.10.0/24 192.168.4.1
10.172.0.0/23 10.172.4.1
8.8.0.0/16 10.172.5.1
Tabela de rotas
2- Introdução ao roteamento 29
Escolha da melhor rota
�Para cada encaminhamento o roteador faz um 
leitura completa da tabela de rotas.
�Se o roteador encontrar mais de uma rota 
para o destino solicitado ele sempre irá 
utilizar a rota mais especifica.
Dst. Address Gateway
0.0.0.0/0 192.168.1.1
8.0.0.0/8 10.172.6.1
8.8.0.0/16 10.172.5.1
Tabela de rotas
�A rota defult será utilizada 
somente se não houver 
uma rota para o 
determinado destino.
2- Introdução ao roteamento 30
Rota mais específicas
2- Introdução ao roteamento 31
Mais específicas
/32
/24
/16
/8
/0
Menos específicas
192.168.1.2/30
Exemplo 1 de roteamento
2- Introdução ao roteamento 32
192.168.1.1/30
10.1.1.1/24
10.1.1.2/24
10.2.2.1/24
10.2.2.2/24
192.168.2.1/30 192.168.2.2/30
Exemplo 2 de roteamento
2- Introdução ao roteamento 33
192.168.1.1/30
10.1.1.1/24
10.1.1.2/24
10.2.2.1/24
10.2.2.2/24
192.168.1.2/30
/30
/30/30
/30
Exemplo 3 de roteamento
2- Introdução ao roteamento 34
10.1.1.1/24
10.1.1.2/24
10.2.2.1/24
10.2.2.2/24
Interface de loopback
� Interface de loopback é uma interface virtual (por 
exemplo uma bridge) que nunca estará como 
status “down”.
2- Introdução ao roteamento 35
1 - Adicione a 
bridge e altere o 
nome para 
“loopback”
Coloque o seguinte 
IP na sua interface 
de loopback
172.30.255.GR
Check-gateway e Distance
2- Introdução ao roteamento 36
Verifica se o Gateway especificado é alcançável
Usado como critério de desempate em 
rotas com o mesmo Dst. Address
Link 1 Link 2
Diagrama da rede
2- Introdução ao roteamento 37
Internet
.1 .2
.5
.6
.9.10
.13
.14
.1 .2
Rede LAN
172.30.G.8/30
172.30.G.0/30
172.30.G.4/30172.30.G.12/30
G=1 R=1 G=1 R=2
G=1 R=4 G=1 R=3
Lab 1 – Roteamento estático
�Objetivo 1 – Cada aluno deve conseguir 
alcançar (pingar) todos os alunos do seu grupo 
com redundância.
2- Introdução ao roteamento 38
Ex: G=1 R=1 alcançando 
todos pelo vizinho 1
Ex: G=1 R=1 alcançando 
todos pelo vizinho 2
Cabo do vizinho 1 desligado
Todos conectados normalmente
Lab 2 – Roteamento estático
�Objetivo 1 – Cada aluno deve conseguir 
alcançar a internet com redundância de rotas.
2- Introdução ao roteamento 39
Roteamento
� O Mikrotik suporta dois tipos de roteamento:
� Roteamento estático: As rotas são criadas pelo usuário através
de inserções pré-definidas em função da topologia da rede.
� Roteamento dinâmico: As rotas são geradas automaticamente
através de um protocolo de roteamento dinâmico ou de algum
agregado de endereço IP.
� O Mikrotik também suporta ECMP(Equal Cost Multi Path) 
que é um mecanismo que permite rotear pacotes através 
de vários links e permite balancear cargas.
� É possível ainda no Mikrotik se estabelecer políticas de 
roteamento dando tratamento diferenciado a vários tipos 
de fluxos a critério do administrador.
2- Introdução ao roteamento 40
ECMP - Equal cost multi path
O roteador nesse caso terá 2 gateways e estará 
fazendo um balanceamento de carga simples 
entre os 2 Links utilizando ECMP.
/ip route add dst-address=0.0.0.0/0 gateway=1.1.1.1,2.2.2.2 
2- Introdução ao roteamento 41
Link 1 Link 2
TTL=61TTL=62
TTL=60
TTL=63
TTL
2- Introdução ao roteamento 42
� TTL é o limite máximo de saltos que um pacote pode dar até ser descartado;
� O valor padrão do TTL é 64 e cada roteador decrementa este valor em um antes de passá-
lo adiante;
� O menu Firewall Mangle pode ser usado para manipular este parâmetro;
� O roteador não passa adiante pacotes com TTL=1;
� Esta opção é muito útil para evitar que usuários criem rede com nat a partir da sua rede.
TTL=64
Políticas de Roteamento
�As políticas de roteamento podem ser construídas 
utilizando vários campos do firewall, tais como 
protocolo,classes de endereços IP ,portas, PCC e etc.
�As marcas de roteamento devem ser adicionadas no
Firewall, no módulo Mangle com mark-routing.
�Aos pacotes marcados será aplicada uma política de 
roteamento, dirigindo-os para um determinado
gateway.
�É possível utilizar política de roteamento quando se 
utiliza NAT.
2- Introdução ao roteamento 43
Políticas de Roteamento
� Uma aplicação típica de políticas de roteamento é trabalhar com 
dois um mais links direcionando o tráfego para ambos. Por exemplo 
direcionando tráfego p2p por um link e tráfego web por outro.
� É impossível porém reconhecer o tráfego p2p a partir do primeiro 
pacote, mas tão somente após a conexão estabelecida, o que 
impede o funcionamento de programas p2p em casos de NAT de 
origem.
� A estratégia nesse caso é colocar como gateway default um link 
“menos nobre”, marcar o tráfego “nobre” (http, dns, pop, etc.) e 
desvia-lo pelo link nobre. Todas outras aplicações, incluindo o p2p 
irão pelo link menos nobre.
2- Introdução ao roteamento 44
Ex. de Política de Roteamento
1. Marcar pacotes destinados ao 8.8.8.8 para o gateway-1 e destinados ao IP 8.8.4.4 para o gateway-2 :
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=8.8.8.8 new-routing-mark=gateway-1 
passthrough=no protocol=icmp
add action=mark-routing chain=prerouting dst-address=8.8.4.4 new-routing-mark=gateway-2 
passthrough=no protocol=icmp
2. Criar rotas para aproveitar as marcas de roteamento criadas anteriormente:
correspondentes marcas de pacotes da seguinte forma:
/ip route
add distance=1 gateway=1.1.1.1 routing-mark=gateway-1
add distance=1 gateway=2.2.2.2 routing-mark=gateway-2
2- Introdução ao roteamento 45
2- Introdução ao roteamento 46
Scope e Target Scope (alcance recursivo)
Alcance padrão da rota
Alcance outras rotas 
com no máximoTipo de rota
0 - 10
0 - 20
0 - 30
0 - 40
0 - 40
10
10
10
10
30
0 - 200
Scope e Target Scope (alcance recursivo)
2- Introdução ao roteamento 47
Alcance da rota
Alcance outras rotas 
com no máximo
Alcance da rota
Alcance outras rotas 
com no máximo
Campo de Pref. Source
2- Introdução ao roteamento 48
Especifique aqui o IP que deseja força utilização
2 IPs em uma mesma interface
Link 1
1.1.1.1/24
1.1.1.2/24
1.1.1.3/24
Campo Type
2- Introdução ao roteamento 49
�Blackhole: Descarta o pacote 
silenciosamente.
�Unreachable: Descarta o pacote e envia 
uma notificação via ICMP para o host de 
origem (“host unreachable” type 3 code 1).
�Prohibit: Descarta o pacote e envia uma 
notificação via ICMP para o host de origem 
(“communication administratively
prohibited” type 3 code 13).
Roteamento dinâmico
3 - Roteamento dinâmico 50
Roteamento Dinâmico
� O Mikrotik suporta os seguintes 
protocolos:
� RIP versão 1 e 2;
� OSPF versão 2 e 3;
� BGP versão 4.
� O uso de protocolos de roteamento 
dinâmico permite implementar 
redundância e balanceamento de links 
de forma automática e é uma forma de 
se fazer uma rede semelhante as redes 
conhecidas como Mesh, porém de forma 
estática.
3 - Roteamento dinâmico 51
Autonomous System
� Um AS é o conjunto de redes IP e roteadores sobre o controle 
de uma mesma entidade (OSPF, iBGP ,RIP) que representam 
uma única política de roteamento para o restante da rede;
� Um AS era identificado por um número de de 16 bits (0 – 65535)
� Os novos AS’s são identificados por um número de 32 bits.
3 - Roteamento dinâmico
Roteamento dinâmico - BGP
� O protocolo BGP é destinado a fazer 
comunicação entre AS(Autonomos
System) diferentes, podendo ser 
considerado como o coração da 
internet.
� O BGP mantém uma tabela de 
“prefixos” de rotas contendo
informações para se encontrar
determinadas redes entre os AS’s.
� A versão corrente do BGP no Mikrotik é 
a 4, especificada na RFC 1771.
3 - Roteamento dinâmico 53
OSPF
� O protocolo OSPF utiliza o estado do link e o 
algoritmo de Dijkstra para construir e calcular o 
menor caminho para todos destinos conhecidos na 
rede.� Os roteadores OSPF utilizam o protocolo IP 89 para 
comunicação entre si.
� O OSPF distribui informações de roteamento entre 
roteadores pertencentes ao mesmo AS.
� O OSPF é um protocolo para uso como IGP.
3 - Roteamento dinâmico
LAB - OSPF básico
�Objetivo – Fechar uma sessão OSPF com cada um 
dos seus vizinhos e conseguir alcançar todos. 
�Não esqueça de apagar todas as rotas que foram 
colocadas manualmente em seu roteador.
�Para que o protocolo OSPF funcione, precisamos 
realizar um único passo:
- Adicionar as redes em /routing ospf network
3 - Roteamento dinâmico 55
Networks (redes) OSPF
�Ao adicionar uma rede em /routing ospf network o 
roteador fará o seguinte:
- Ativará OSPF nas interfaces que tem um endereço 
de IP que estiver no range da rede adicionada.
- Enviará a rede adicionada para os outros 
roteadores.
3 - Roteamento dinâmico 56
Neighbours (vizinhos) OSPF
� Os roteadores OSPF encontrados estão listados na aba Neighbours
(vizinhos);
� Após a conexão ser estabelecida cada um irá apresentar um status 
operacional conforme descrito abaixo:
– Full: Base de dados completamente sincronizada;
– 2-way: Comunicação bi-direcional estabelecida;
– Down,Attempt,Init,Loading,ExStart,Exchange: Não finalizou a 
sincronização completamente.
3 - Roteamento dinâmico 57
Designated router OSPF
�Para reduzir o tráfego OSPF em redes broadcast e NBMA (Non-Broadcast Multiple Access), uma única 
fonte para atualização de rotas é criado – Os roteadores designados(DR).
�Um DR mantém uma tabela completa da topologia da rede e envia atualizações para os demais 
roteadores.
�O roteador com maior prioridade será eleito como DR.
�Também será eleito roteadores backup BDR.
�Roteadores com prioridade 0 nunca serão DR ou BDR.
3 - Roteamento dinâmico 58
5
0 1 1
3
DR 
BDR
1
Router ID e loopback
� Cada roteador precisa ser identificado na rede com um 
ID único, caso esse ID não for especificado 
manualmente o roteador usará o maior IP que existir 
em sua “IP list”.
� É uma boa prática utilizar o endereço de loopback
como RouterID
3 - Roteamento dinâmico 59
1 - Copiar o endereço de loopback
2 – Colar no Roter ID
OSPF Instance
� Router ID: Geralmente o IP do roteador. Caso não seja especificado o roteador usará o maior IP que exista na 
interface.
� Redistribute Default Route:
– Never: nunca distribui rota padrão.
– If installed (as type 1): Envia com métrica 1 se tiver sido instalada como rota estática, DHCP ou PPP.
– If installed (as type 2): Envia com métrica 2 se tiver sido instalada como rota estática, DHCP ou PPP.
– Always (as type 1): Sempre, com métrica 1.
– Always (as type 2): Sempre, com métrica 2.
� Redistribute Connected Routes: O roteador irá distribuir todas as rotas estejam diretamente conectadas a ele.
� Redistribute Static Routes: Caso habilitado, distribui as rotas cadastradas de forma estática em /ip routes.
� Redistribute RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP.
� Redistribute BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP.
� Na aba “Metrics” é possível modificar as métricas que serão exportadas as diversas rotas.
3 - Roteamento dinâmico 60
3 - Roteamento dinâmico 61
ASBR
Cost=10
Cost=10
Cost=10
Cost=10
Cost=10
Origem
Cost=10
Cost=9
Destino
Total 
Cost=40
Total 
Cost=49
Métrica tipo 1
� Métrica do tipo 1 soma o custo externo com o custo interno. 
ASBR
Origem
Cost=10
Cost=9
Destino
Custo total=10
Custo total=9
Métrica tipo 2
3 - Roteamento dinâmico 62
�Métrica do tipo 2 usa somente o custo externo. 
OSPF – Custo de interfaces
� Por padrão todas interfaces tem custo 10.
� Para alterar este padrão você deve adicionar interfaces de 
forma manual.
� Escolha o tipo de rede correta para todas interfaces OSPF.
� Atribua custos para garantir o tráfego em uma única direção 
dentro da área.
� Verifique rotas ECMP em sua tabela de roteamento.
� Atribua custos necessários para que o link backup só seja 
usado caso outros links falhem.
� Verifique a redundância da rede OSPF.
3 - Roteamento dinâmico 63
Diagrama da rede
3 - Roteamento dinâmico 64
R1 R2
R4 R3
�Três tipos de rede são definidas no protocolo 
OSPF:
OSPF - Tipos de rede
3 - Roteamento dinâmico 65
Point to point (não há eleição de DR e BDR)
Broadcast
Nonbroadcast multiacess (NBMA)
NBMA Neighbors
� Em redes não-broadcast é necessário especificar os 
neighbors manualmente.
� A prioridade determina a chance do router ser eleito 
DR.
3 - Roteamento dinâmico 66
Interface Passiva
�O modo passivo permite desativar as mensagens 
de “Hello” enviadas pelo protocolo OSPF as 
interfaces dos clientes (desativa OSPF na 
interface).
�Portanto ativar este recurso é sinônimo de 
segurança.
3 - Roteamento dinâmico 67
OSPF autenticação
�O Mikrotik suporta os seguintes métodos de 
autenticação.
- Nome: Não utiliza método de autenticação.
- Simples: Autenticação em texto plano.
- MD5: Autenticação com encriptação md5.
3 - Roteamento dinâmico 68
Áreas OSPF
� A criação de áreas permite você agrupar uma coleção de 
roteadores (indicado nunca ultrapassar 50 roteadores por 
area).
� A estrutura de uma área não é visível para outras áreas.
� Cada área executa uma cópia única do algoritmo de 
roteamento.
� As áreas OSPF são identificadas por um número de 32 
bits(0.0.0.0 – 255.255.255.255).
� Esses números devem ser únicos para o AS.
4 - Áreas do OSPF 69
Área de backbone
�A área backbone é o coração da rede OSPF. Ela 
possui o ID (0.0.0.0) e deve sempre existir.
�A backbone é responsável por redistribuir 
informações de roteamento entre as demais 
áreas.
�A demais áreas devem sempre estar conectadas a 
uma área backbone de forma direta ou 
indireta(utilizando virtual link).
4 - Áreas do OSPF 70
Exemplo de AS e várias áreas
4 - Áreas do OSPF 71
Tipos de roteadores no OSPF
�Tipos de roteadores em OSPF são:
�Roteadores internos a uma área.
�Roteadores de backbone (área 0).
�Roteadores de borda de área (ABR).
�OS ABRs devem ficar entre duas áreas e devem tocar a 
área 0.
�Roteadores de borda Autonomous System (ASBR).
�São roteadores que participam do OSPF mas 
fazem comunicação com um AS.
4 - Áreas do OSPF 72
AreaArea
Area Area
ABR
ASBR
ABR
ASBR
ABR
AS OSPF
Internet
4 - Áreas do OSPF 73
Separando as redes e áreas
�Altere a área para o seu número do grupo (seu 
número G).
�Os roteadores que são ABR devem ter duas áreas 
configuradas(área 0 e área G).
4 - Áreas do OSPF 74
Roteador comum Roteador ABR
Agregação de áreas
�Utilizado para agregar uma 
range de redes em uma única 
rota.
�É possível atribuir um custo 
para essas rotas agregadas.
4 - Áreas do OSPF 75
Virtual Link
� Utilizado conectar áreas remotas ao backbone através de 
áreas não-backbone;
4 - Áreas do OSPF 76
Virtual Link
4 - Áreas do OSPF 77
•Tipo 1 Router
Há um para cada roteador da área, e não ultrapassa a área.
•Tipo 2 Network
É gerado pelo DR e circula apenas pela área, não atravessa o ABR
•Tipo 3 Summary Network
É gerado pelo ABR e descreve o número da rede e a máscara, e por default não são 
sumarizadas. E não é envidado para as áreas STUB e NSSA
•Tipo 4 Summary ASBR
É gerado pelo ABR apenas quando existe um ASBR dentro da área e informa uma rota 
para que todos possam chegar até o ASBR.
•Tipo 5 AS External
Usado para transportar redes de outro AS e não são enviados para áreas STUB e NSSA
•Tipo 7
São gerados em áreas NSSA pelo ASBR e o ABR (caso configurado converte em LSA do 
tipo 5 para outras áreas
4 - Áreas do OSPF 78
LSA
Área Stub
� Uma área Stub é uma área que não 
recebe rotas de AS externos;
� Tipicamente todas rotas para os AS 
externos são substituídas por uma 
rota padrão. Esta rota será criada 
automaticamente por distribuição do 
ABR;
� A opção “Inject Summary LSA” 
permite especificar se os sumários de 
LSA da área de backbone ou outras 
áreas serão reconhecidos pela área 
stub;
� Habilite esta opção somente no ABR;
� O custo padrão dessaárea é 1;
4 - Áreas do OSPF 79
Área Stub
4 - Áreas do OSPF 80
Área NSSA
� Um área NSSA é um tipo de área stub que tem 
capacidade de injetar transparentemente rotas para o 
backbone;
� Translator role – Esta opção permite controlar que 
ABR da área NSSA irá atuar como repetidor do ASBR 
para a área de backbone:
– Translate-always: roteador sempre será usado como 
tradutor.
– Translate-candidate: ospf elege um dos roteadores 
candidatos para fazer as traduções.
4 - Áreas do OSPF 81
Área NSSA
4 - Áreas do OSPF 82
ABR
PPPoE 
server
PPPoE 
server
Problemas com túneis
4 - Áreas do OSPF 83
Filtros de Roteamento
�É possível criar um filtro de rotas para evitar que 
todas rotas /32 se espalhem pela rede OSPF;
Para isto é necessário você ter uma rota agregada 
para esta rede túneis:
– Uma boa forma de ser fazer isso é atribuindo o 
endereço de rede da rede de túneis agregada a 
interface do concentrador.
4 - Áreas do OSPF 84
Filtros OSPF
4 - Áreas do OSPF 85
Resumo OSPF
�Para segurança da rede OSPF:
– Use chaves de autenticação;
– Use a maior prioridade(255) para os DR;
– Use o tipo correto de rede para as áreas;
�Para aumentar a performance da rede OSPF:
– Use o tipo correto de área;
– Use agregação de áreas sempre que possível;
�Utilize sempre como boa prática a loopback
4 - Áreas do OSPF 86
Túneis e VPN
5 - Tuneis e VPN 87
VPN
• Uma Rede Privada Virtual é uma rede de
comunicações privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituições, construídas em
cima de uma rede pública. O tráfego de
dados é levado pela rede pública utilizando
protocolos padrão, não necessariamente
seguros.
• VPNs seguras usam protocolos de criptografia por tunelamento que 
fornecem confidencialidade, autenticação e integridade necessárias 
para garantir a privacidade das comunicações requeridas. Quando 
adequadamente implementados, estes protocolos podem assegurar 
comunicações seguras através de redes inseguras.
5 - Tuneis e VPN 88
VPN
• As principais características da VPN são:
– Promover acesso seguro sobre meios físicos públicos
como a internet por exemplo.
– Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
– Promover acesso seguro a serviços em ambiente
corporativo de correio, impressoras, etc...
– Fazer com que o usuário, na prática, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurança definidos.
– A base da formação das VPNs é o tunelamento entre dois
pontos, porém tunelamento não é sinônimo de VPN.
5 - Tuneis e VPN 89
Tunelamento
• A definição de tunelamento é a capacidade de criar túneis entre dois
hosts por onde trafegam dados.
• O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
– PPP (Point to Point Protocol)
– PPPoE (Point to Point Protocol over Ethernet)
– PPTP (Point to Point Tunneling Protocol)
– L2TP (Layer 2 Tunneling Protocol)
– OVPN (Open Virtual Private Network)
– IPSec (IP Security)
– Túneis IPIP
– Túneis EoIP
– Túneis VPLS
– Túneis TE
– Túneis GRE 
5 - Tuneis e VPN 90
Site-to-site
5 - Tuneis e VPN 91
Conexão remota
5 - Tuneis e VPN 92
Endereçamento ponto a ponto /32
�Geralmente usado em túneis
�Pode ser usado para economia de IPs.
5 - Tuneis e VPN 93
Router 1 Router 2
PPP – Definições Comuns para os
serviços
• MTU/MRU: Unidade máximas de transmissão/ recepção em
bytes. Normalmente o padrão ethernet permite 1500 bytes.
Em serviços PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentação.
• Keepalive Timeout: Define o período de tempo em segundos após o qual 
o roteador começa a mandar pacotes de keepalive por segundo. Se 
nenhuma reposta é recebida pelo período de 2 vezes o definido em 
keepalive timeout o cliente é considerado desconectado.
• Authentication: As formas de autenticação permitidas são:
– Pap: Usuário e senha em texto plano sem criptografica.
– Chap: Usuário e senha com criptografia.
– Mschap1: Versão chap da Microsoft conf. RFC 2433
– Mschap2: Versão chap da Microsoft conf. RFC 2759
5 - Tuneis e VPN 94
PPP – Definições Comuns para os
serviços
• PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então
será necessário que haja algum mecanismo para avisar que esta estação
deverá diminuir o tamanho dos pacotes para que a comunicação ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediarios e a adequação dos
pacotes posteriores é chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade está presente em todos roteadores,
sistemas Unix e no Mikrotik ROS.
• MRRU: Tamanho máximo do pacote, em bytes, que poderá ser recebido
pelo link. Se um pacote ultrapassa esse valor ele será dividido em pacotes
menores, permitindo o melhor dimensionamento do túnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre túnel simples. Essa
configuração é útil para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
5 - Tuneis e VPN 95
PPP – Definições Comuns para os
serviços
Change MSS: Maximun Segment Size, tamanho máximo do segmento de 
dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o 
túnel está estabelecido deve ser fragmentado antes de enviá-lo. Em alguns 
caso o PMTUD está quebrado ou os roteadores não conseguem trocar 
informações de maneira eficiente e causam uma série de problemas com 
transferência HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona 
ferramentas onde é possível interferir e configurar uma diminuição do MSS 
dos próximos pacotes através do túnel visando resolver o problema.
5 - Tuneis e VPN 96
PPPoE – Cliente e Servidor
• PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato 
da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui 
informações sobre o remetente e o destinatário, desperdiçando mais banda. 
Cerca de 2% a mais.
• Muito usado para autenticação de clientes com base em Login e Senha. O 
PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a 
internet.
• O cliente não tem IP configurado, o qual é atribuído pelo Servidor 
PPPoE(concentrador) normalmente operando em conjunto com um servidor 
Radius. No Mikrotik não é obrigatório o uso de Radius pois o mesmo 
permite criação e gerenciamento de usuários e senhas em uma tabela local.
• PPPoE por padrão não é criptografado. O método MPPE pode ser usado 
desde que o cliente suporte este método.
5 - Tuneis e VPN 97
PPPoE – Cliente e Servidor
• O cliente descobre o servidor 
através do protocolo pppoe
discovery que tem o nome do
serviço a ser utilizado.
• Precisa estar no mesmo 
barramento físico ou os
dispositivos passarem pra
frente as requisições PPPoE
usando pppoe relay.
• No Mikrotik o valor padrão do Keepalive Timeout é 10, e funcionará 
bem na maioria dos casos. Se configurarmos pra zero, o servidor 
não desconectará os
clientes até que os mesmos solicitem ou o servidor for reiniciado.
5 - Tuneis e VPN 98
Configuração do Servidor PPPoE
1. Primeiro crie um pool de IPs para o PPPoE.
/ip pool add name=pool-pppoe
ranges=172.16.0.2-172.16.0.254
2. Adicione um perfil para o PPPoE onde:
Local Address = Endereço IP do concentrado.
Remote Address = Pool do pppoe.
/ppp profile local-address=172.16.0.1 
name=perfilpppoe remote-address=pool-pppoe
5 - Tuneis e VPN 99
Configuração do Servidor PPPoE
3. Adicione um usuário e senha
/ppp secret add name=usuario password=123456
service=pppoe profile=perfil-pppoe
Obs.: Caso queira verificar o MAC-Address, 
adicione em Caller ID. Esta opção não é 
obrigatória, mas é um parametro a mais para 
segurança.
5 - Tuneis e VPN 100
Configuração do Servidor PPPoE
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vão
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai
escutar.
/interface pppoe-server serveradd
authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 maxmru=
1480 max-mtu=1480 max-sessions=50
mrru=512 one-session-per-host=yes servicename="
Servidor PPPoE"
5 - Tuneis e VPN 101
Mais sobre perfis
• Bridge: Bridge para associar ao perfil
• Incoming/Outgoing Filter: Nome do canal do
firewall para pacotes entrando/saindo.
• Address List: Lista de endereços IP para 
associar ao perfil.
• DNS Server: Configuração dos servidores DNS a
atribuir aos clientes.
• Use Compression/Encryption/Change TCP MSS:
caso estejam em default, vão associar ao valor que
está configurado no perfil default-profile.
5 - Tuneis e VPN 102
Mais sobre perfis
• Session Timeout: Duração máxima de uma 
sessão PPPoE.
• Idle Timeout: Período de ociosidade na 
transmissão de uma sessão. Se não houver 
tráfego IP dentro do período configurado, a 
sessão é terminada.
• Rate Limit: Limitação da velocidade na forma 
rx-rate/tx-rate. Pode ser usado também na
forma rx-rate/tx-rate rx-burst-rate/tx-burstrate
rx-burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.
• Only One: Permite apenas uma sessão para o 
mesmo usuário.
5 - Tuneis e VPN 103
Mais sobre o database
• Service: Especifica o serviço disponível para este 
cliente em particular.
• Caller ID: MAC Address do cliente.
• Local/Remote Address: Endereço IP Local (servidor) 
e remote(cliente) que poderão ser atribuídos a um 
cliente em particular.
• Limits Bytes IN/Out: Quantidade em bytes que o 
cliente pode trafegar por sessão PPPoE.
• Routes: Rotas que são criadas do lado do servidor 
para esse cliente especifico. Várias rotas podem ser 
adicionadas separadas por vírgula.
5 - Tuneis e VPN 104
Mais sobre o PPoE Server
O concentrador PPPoE do Mikrotik suporta múltiplos servidores
para cada interface com diferentes nomes de serviço. Além do
nome do serviço, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador é a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes Mikrotik, a interface de rádio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.
Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que 
1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da 
interface sem fio de clientes MS Windows. A opção One Session Per Host permite 
somente uma sessão por host(MAC Address). Por fim, Max Sessions define o número 
máximo de sessões que o concentrador suportará.
5 - Tuneis e VPN 105
Configurando o PPPoE Client
• AC Name: Nome do concentrador. Deixando em branco conecta 
em qualquer um.
• Service: Nome do serviço designado no servidor PPPoE.
• Dial On Demand: Disca sempre que é gerado tráfego de saída.
• Add Default Route: Adiciona um rota padrão(default).
• User Peer DNS: Usa o DNS do servidor PPPoE.
5 - Tuneis e VPN 106
PPTP e L2TP
• L2TP – Layer 2 Tunnel Protocol: Protocolo de tunelamento em 
camada 2 é um protocolo de tunelamento seguro para transportar 
tráfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de 
forma criptografada ou não e permite enlaces entre dispositivos de 
redes diferentes unidos por diferentes protocolos.
• O tráfego L2TP utiliza protocolo UDP tanto para controle como para 
pacote de dados. A porta UDP 1701 é utilizada para o 
estabelecimento do link e o tráfego em si utiliza qualquer porta 
UDP disponível, o que significa que o L2TP pode ser usado com a 
maioria dos Firewalls e Routers, funcionando também através de 
NAT.
• L2TP e PPTP possuem as mesma funcionalidades.
5 - Tuneis e VPN 107
Configuração do Servidor PPTP e L2TP
• Configure um pool, um perfil para o PPTP, adicione um usuário em “secrets”
e habilite o servidor PPTP conforme as figuras.
5 - Tuneis e VPN 108
Configuração do Servidor PPTP e L2TP
• Configure os servidores 
PPTP e L2TP.
• Atente para utilizar o 
perfil correto.
• Configure nos hosts 
locais um cliente PPTP e 
realize conexão com um 
servidor da outra rede.
Ex.: Hosts do Setor1 
conectam em servidores do 
Setor2 e vice-versa.
5 - Tuneis e VPN 109
Configuração do Servidor PPTP e L2TP
• As configurações para o cliente PPTP e L2TP são 
bem simples, conforme observamos nas imagens.
5 - Tuneis e VPN 110
Túneis IPIP
• IPIP é um protocolo que encapsula pacotes IP sobre o próprio 
protocolo IP baseado na RFC 2003. É um protocolo simples que 
pode ser usado pra interligar duas intranets através da internet 
usando 2 roteadores.
• A interface do túnel IPIP aparece na lista de interfaces como se 
fosse uma interface real.
• Vários roteadores comerciais, incluindo CISCO e roteadores 
baseados em Linux suportam esse protocolo.
• Um exemplo prático de uso do IPIP seria a necessidade de 
monitorar hosts através de um NAT, onde o túnel IPIP colocaria a 
rede privada disponível para o host que realiza o monitoramento, 
sem a necessidade de criar usuário e senha como nas VPNs.
5 - Tuneis e VPN 111
Túneis IPIP
• Supondo que temos que unir as redes que 
estão por trás dos roteadores 10.0.0.1 e 
22.63.11.6. Para tanto basta criemos as 
interfaces IPIP em ambos, da seguinte forma:
5 - Tuneis e VPN 112
Túneis IPIP
• Agora precisamos atribuir os IPs as interfaces 
criadas.
• Após criado o túnel IPIP as redes fazem parte 
do mesmo domínio de broadcast.
5 - Tuneis e VPN 113
Túneis EoIP
• EoIP(Ethernet over IP) é um protocolo
proprietário Mikrotik para encapsula mento
de todo tipo de tráfego sobre o protocolo IP.
• Quando habilitada a função de Bridge dos roteadores que estão interligados 
através de um túnel EoIP, todo o tráfego é passado de uma lado para o outro de 
forma transparente mesmo roteado pela internet e por vários protocolos.
• O protocolo EoIP possibilita:
- Interligação em bridge de LANs remotas através da internet.
- Interligação em bridge de LANs através de túneis criptografados.
• A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet através do protocolo GRE.
5 - Tuneis e VPN 114
Túneis EoIP
• Criando um túnel EoIP entre as 
redes por trás dos roteadores 
10.0.0.1 e 22.63.11.6.
• Os MACs devem ser diferentes 
e estar entre o rage: 00-00-5E-
80-00-00 e 00-00-5E-FF-FF-FF, 
pois são endereços reservados 
para essa aplicação.
• O MTU deve ser deixado em 
1500 para evitar fragmentação.
• O túnel ID deve ser igual para 
ambos.
5 - Tuneis e VPN 115
Túneis EoIP
• Adicione a interface EoIP a bridge, 
juntamente com a interface que fará
parte do mesmo domínio de broadcast.
5 - Tuneis e VPN 116
5 - Tuneis e VPN 117
Perguntas ?