Baixe o app para aproveitar ainda mais
Prévia do material em texto
Treinamento oficial MTCRE Mikrotik Certified Routing Slide Versão 2020.1 1 Sobre este material Este material é de uso exclusivo de alunos da Contract TI, não poderá ser compartilhado em hipótese alguma, sob pena de responder legalmente a Lei de Direitos Autorais vigente. (Lei nº 9.610/98) Contract TI ® é uma marca registrada junto ao INPI – Instituto Nacional da Propriedade Industrial e de uso exclusivo da Contract TI Com e Serv de Inf Ltda. 2 Apresente-se • Diga seu nome; • Empresa; • Qual seu conhecimento sobre MikroTik ? • Qual seu conhecimento sobre redes ? • O que você espera do curso ? 3 Antes do RouterOS o que usei 4 Antes das RB’s 5 Leonardo Vieira “leomikrotik” Sobre o Professor • Mais de 20 anos experiência. • Trainer da MikroTik e Ubiquiti • Em 2009 iniciei com MikroTik • Contract TI • Palestrante MUM – Brasil • Comunidade Telegram, Instagram, Youtube @Contract_ti Facebook.com/Leonardo.mikrotik youtube.com/leomikrotik facebook.com/contractti/ linkedin.com/in/albuquerqueleonardo/ 6 https://facebook.com/leonardo.mikrotik https://www.youtube.com/leomikrotik https://facebook.com/contractti https://www.linkedin.com/in/albuquerqueleonardo/ Certificação 7 Sobre o Professor 8 Visitando a MikroTik 9 Certificado • Todos alunos receberam um certificado de participação emitido pela Contract TI em PDF. • O aluno que realizar a prova e passar com nota igual ou superior a 60% receberá o certificado oficial da MikroTik em PDF dentro do site da mikrotik.com em sua conta. 10 Prova de certificação • Necessário ter passado na MTCNA e estar válido. • 25 Questões • Inglês, algumas questões em português. • Pode usar o tradutor • 1 hora de duração. (2,4 min por questão em média) • Nota igual ou superior a 60% para ser aprovado. • Pode consultar apenas anotações, slide, RB e site da MikroTik. • Se o aluno for reprovado terá que refazer o curso. • Presença no treinamento é obrigatória. 11 Como verificar um certificado? 12 https://mikrotik.com/certificates https://mikrotik.com/certificates Importante! • Curso Oficial: Não pode filmar, gravar nem repassar slides e demais materiais. • Localização: Banheiro, água e café • Celular: Modo silencioso ou desligado. • Internet: Evite usar para não se distrair. • Perguntas são sempre bem vindas. • Faça anotações e absorva conceitos. 13 Agenda • Treinamento de 9:00 as 18:00hs • Intervalo para almoço 12hs com 1:30 de duração. • Coffe break as 15:30hs 14 Objetivos do curso • Estudarmos Roteamento com embasamento no conceito preparando o aluno a atuar com roteamento em redes de qualquer porte. • Treinamento prático em configurações MikroTik RouterOS, manutenção e resolução de problemas sobre os tópicos abordados. 15 Carreira Certificações MikroTik 16 Conta no site da MikroTik 17 E-mail Convite MikroTik 18 MTCRE Outline • Static Routing • Point to Point Addressing • VPN • OSPF https://i.mt.lv/cdn/training_pdf/mtcre_outline_2019181161836.pdf 19 OFF TOPIC - Dica 20 • Faça suas anotações e busque absorver conceitos. bit.ly/dicaanote http://bit.ly/dicaanote Módulo 1 Introdução 21 Acesso ao LAB 22 http://lab.dominandomikrotik.com.br LAB 23 LAB 24 LAB ROMON 25 LAB ROMON 26 Introdução - Não é função do router encaminhar pacotes originados em uma rede IP para a mesma rede IP. 27 - Roteador “router” é um dispositivo capaz de encaminhar pacotes de dados entre redes. - Atua na Layer 3 do Modelo OSI RouterOS - Roteamento - Roteamento dinâmico: O Protocolo de roteamento cria as rotas automaticamente mas o administrador pode influenciar nesta tabela de rota. Para usar no RouterOS roteamento dinâmico é necessário o pacote routing. 28 - O RouterOS suporta: - Roteamento estático: São rotas criadas pelo administrador de rede Vantagens de uma rede roteada 29 - Redução do Domínio de Broadcast - Escalabilidade - Há um aumento de segurança pois a rede em bridge é mais vulnerável. - Entre outros.... Introdução 30 192.168.10.2/24 192.168.10.3/24 192.168.20.3/24192.168.20.2/24 Switch/CRS Switch/CRS Router/CCR /ip route add 31 - DST. Address = Destination = Rede Destino - Pode ser Rede Ex: 192.168.0.0/24 - Pode ser /32 Ex: 192.168.0.10 - Gateway = O caminho = Próximo Salto, Hop - Não usa-se mascara de rede. - Pode ser uma interface. Ex: PPPoE Rota Diretamente Conectada 32 Connected Routes são criadas automaticamente quando o administrador coloca IP em uma interface. Distance = 0 /ip address /ip route Quiz 33 Qual informação o roteador irá usar para determinar qual rota ele usará para encaminhar o pacote? Versão Tamanho do cabeçalho IHL Tipo de Serviço ToS Tamanho Total Identificação Flags Deslocamento do Fragmento TTL Protocolo Checksum Endereço de Origem Endereço de Destino Options | Padding IPV4 - Cabeçalho Roteamento Estático 192.168.0.1/24 192.168.0.13/24 192.168.1.1/24 192.168.1.13/24 10.10.1.1/30 10.10.1.2/30 34 Draw.io 35 Fazer um desenho da rede “projeto” é fundamental para começar uma rede organizada facilitando a ampliação e manutenção. https://www.draw.io https://www.draw.io/ Projetando os IP’s 36 Loopback 10.10.255.R Enlaces PTP 10.10.254.x VPN’s 10.10.253.x Usuários Clientes 10.10.X.X Projetando os IP’s 37 10.10.1.0/24 10.10.2.0/24 10.10.4.0/24 10.10.5.0/24 10.10.3.0/24 Operadora 1 MK-2 MK-5 MK-1 MK-4MK-3 10.10.254.14/3010.10.254.13/30 10.10.254.18/30 10.10.254.17/30 10.10.254.5/30 10.10.254.6/30 10.10.254.1/30 10.10.254.2/30 10.10.254.10/30 10.10.254.9/30 Roteando nossa rede 38 Rede:192.168.150.0/24 Rede: 10.10.5.0/24 MK-1 MK-2 MK-3 Operadora 1 VPC 192.168.150.1 Rede: 10.10.4.0/24 MK-1 MK-2 MK-3 10.10.254.17/30 10.10.254.18/30 MK-5 MK-4 Segmentando a rede 5 39 1. Remova a bridge e as interfaces que foram adicionadas nessa bridge. 2. Remova o endereço de IP que estava associado a bridge. 3. Adicione o endereço 10.10.5.1/24 na ether8. 4. Crie um servidor de DHCP para ether8. 5. Adicione o endereço 10.10.254.18/30 na ether4. 6. Abra o PC-5 e digite o comando DHCP para renovar a informações de rede. Descrição do LAB MK-5 Criando um servidor DHCP 40 MK-5 Renovando o IP 41 1 - Clique duplo no PC 5 2 - Digite o comando dhcp Segmentando a rede 4 42 1. Remova a bridge e as interfaces que foram adicionadas nessa bridge. 2. Remova o endereço de IP que estava associado a bridge. 3. Adicione o endereço 10.10.4.1/24 na ether8. 4. Adicione o endereço 10.10.254.17/30 na ether5. 5. Crie um servidor de DHCP para ether8. 6. Abra o PC-4 e digite o comando DHCP para renovar a informações de rede. Descrição do LAB MK-4 Teste de comunicação 43 1 - Faça o teste de PING do PC5 para o PC4 conforme a imagem. 2 – Caso não obtiver êxito com as solicitações de PING faça os ajustes necessários. Analogia do processo de roteamento 44 Roteamento Estático 192.168.0.1/24 192.168.0.13/24 192.168.1.1/24 192.168.1.13/24 172.16.10.1/24 172.16.10.10/24 10.10.1.1/30 10.10.1.2/30 10.10.1.5/30 10.10.1.6/30 45 Segmentando a rede 3 46 Rede: 10.10.5.0/24 MK-1 MK-2 Operadora 1 VPC 192.168.150.1 Rede: 10.10.4.0/24 MK-1 MK-2 MK-3 MK-5 10.10.254.13/30 10.10.254.14/30 MK-4 Rede: 10.10.3.0/24 MK-3 Segmentando a rede 3 47 1. Remova a bridge e as interfaces que foram adicionadas nessa bridge. 2. Remova o endereço de IP que estava associado a bridge. 3. Adicione o endereço 10.10.3.1/24 na ether8. 4. Adicione o endereço 10.10.254.13/30 na ether4. 5. Crie um servidor de DHCP para ether8. 6. Abra o PC-3 e digite o comando DHCP para renovar a informações de rede. Não esqueça de colocar o IP 10.10.254.14/30 na ether3 do MK-4. Descrição do LAB MK-3 10.10.254.13/30 10.10.254.14/30 MK-4MK-3 Teste de comunicação 48 1 - Faça o teste de PING do PC3 para o PC4 e PC5. 2 – Casonão obtiver êxito com as solicitações de PING faça os ajustes necessários. Teste do MK-3 para VPC-5 49 Da VPC3 o ping funciona, mas de dentro do MK-3 não, porque ? Teste do MK-3 para VPC-5 50 Podemos observar que o roteador por default não olha o IP de origem para encaminhar o pacote. Agora é a sua vez de resolver 51 Qual é a solução definitiva ? Rede: 10.10.2.0/24 Roteando o MK-2 52 Rede: 10.10.5.0/24 MK-2 Operadora 1 VPC Rede: 10.10.4.0/24 MK-3 MK-5 MK-4 Rede: 10.10.3.0/24 10.10.254.2/30 10.10.254.1/30 MK-1 Rede: 10.10.1.0/24 MK-3 Teste do MK-2 53 • A VPC-2 precisa conseguir ping para: • VPC-3 • VPC-4 • VPC-5 Rede: 10.10.2.0/24 Roteando o MK-1 54 Rede: 10.10.5.0/24 MK-2 Operadora 1 VPC Rede: 10.10.4.0/24 MK-3 MK-5 MK-4 Rede: 10.10.3.0/24 10.10.254.6/3010.10.254.5/30 MK-1 Rede: 10.10.1.0/24 MK-3 Teste do MK-1 55 • A VPC-1 precisa conseguir ping para: • VPC-2 • VPC-3 • VPC-4 • VPC-5 E ai tem internet nos PCs? 56 - Somente no MK-1 usa-se o NAT ! TTL 57 • TTL é o limite máximo de saltos que um pacote pode dar até ser descartado; • No RouterOS o valor padrão do TTL é 64 e cada roteador decrementa este valor em 1(um) antes de passá-lo adiante; • O menu Firewall Mangle pode ser usado para manipular este parâmetro; • Se um roteador recebe um pacote com TTL=1 esse pacote só poderá ser destinado ao próprio roteador. • O roteador não passa adiante pacotes que chegarem com TTL=1; TTL=64 TTL=63 TTL=62 Manipulando TTL 58 Antes Depois Regra no Firewall Mangle Nexthop-Lookup 59 Para cada pacote que chega ao roteador ele executa um nexthop-lookup que é a pesquisa do próximo salto. Ele realiza esta pesquisa na FIB “Forwarding Information Base” pesquisando toda a tabela. FIB - RIB 60 . FIB RIB Protocolos Roteamento Rotas Estáticas RIB - Routing Information Base 61 A RIB é o local onde todas as informações a respeito do roteamento IP estão armazenadas. A RIB é única em cada roteador e compartilhada com protocolos. Uma rota é inserida na RIB, sempre que um protocolo aprende uma nova rota. O RouterOS mantém as rotas agrupadas em tabelas separadas pelas marcas de roteamento (routing marks). E, em alguns casos, as métricas (distâncias) associado a este roteador. Todas as rotas sem marcas de roteamento são mantidas na tabela “main” (principal). É importante entender que RIB não é utilizada para o encaminhamento de pacotes e não é anunciada para o restante das redes as quais o roteador está conectado. FIB - Forwarding Information Base 62 A FIB é a base de dados que contém uma cópia das informações necessárias para o encaminhamento dos pacotes relacionando as redes às respectivas interfaces. A FIB contém todas as rotas que podem potencialmente serem anunciadas aos roteadores vizinhos pelos protocolos de roteamento dinâmico. Por padrão no RouterOS todas as rotas ativas estão na main-table que pode ser visualizada em /ip route, inclusive com os detalhes inseridos pelos protocolos de roteamento dinâmico. Fluxo no RouterOS 63 Rota mais específica 64 Para cada pacote que chega ao roteador ele executa um nexthop-lookup que é a pesquisa do próximo salto. Ele realiza esta pesquisa na FIB “Forwarding Information Base” pesquisando toda a tabela. A escolha da melhor rota 65 10.1.1.1 172.16.1.1192.168.1.1 8.8.8.8 8.8.4.4 10.5.5.5 Um pouco mais 66 Fonte: https://wiki.mikrotik.com/wiki/Manual:Packet_Flow https://wiki.mikrotik.com/wiki/Manual:Packet_Flow Marcas de Roteamento 67 Podemos usar o Firewall Mangle para realizar marcas de roteamento. Limite de marcas 251 no roteador Todas rotas sem marcas são mantidas na tabela MAIN. LAB – Marca de Roteamento 68 Objetivo: No MK-4 temos a Operadora-2, preciso que somente a VPC-5 use esta Operadora-2 como roda de saída para a internet. FLAG de Rotas 69 Flag/Sigla Significado da sigla Tipo de rota A Active Rota ativa C Connected Rota diretamente conectada S Static Rota estática D Dynamic Rota dinâmica B Blackhole Rota do tipo buraco negro U Unreable Rota inalcançável P Prohibit Rota do tipo proibida o OSPF Rota aprendida via OSPF b BGP Rota aprendida via BGP r RIP Rota aprendida via RIP m MME Rota aprendida via MME /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit Type Route 70 Blackhole: Descarta o pacote silenciosamente. Unreachable: Descarta o pacote e envia uma notificação via ICMP para o host de origem (“host unreachable” type 3 code 1). Prohibit: Descarta o pacote e envia uma notificação via ICMP para o host de origem (“communication administratively prohibited” type 3 code 13). Pref. Source 71 10.10.3.0/24 1.1.1.2/29 1.1.1.3/29 1.1.1.1/29 Operadora MK-3 2 IPs em uma mesma interface Especifique aqui o IP que deseja força utilização Ativando Segunda Operadora 72 10.10.1.0/24 10.10.4.0/24 10.10.5.0/24 10.10.3.0/24 Operadora 1 MK-3 MK-5 MK-1 10.10.2.0/24 MK-2 Operadora 2 MK-4 Ativando Segunda Operadora 73 10.10.1.0/24 10.10.2.0/24 10.10.4.0/24 10.10.5.0/24 10.10.3.0/24 Operadora 1 MK-2 MK-5 MK-1 Operadora 2 MK-4MK-3 Ativando Segunda Operadora 74 10.10.1.0/24 10.10.4.0/24 10.10.5.0/24 10.10.3.0/24 Operadora 1 MK-5 MK-1 10.10.2.0/24 MK-2 10.10.254.13/30 10.10.254.14/30 10.10.254.21/30 10.10.254.22/30 MK-3 MK-4 Dupla abordagem 75 MK-4 ether4 ether3 ether6 ether6 Internet MK-3 MK-4 ether4 ether3 ether6 ether6 MK-3 MK-4 ether4 ether3 ether6 ether6 MK-3 Internet Internet Scope – Target Scope 76 10 20 30 40 40 0 - 10 0 - 10 0 - 10 0 - 30 200 Encontre o gateway em rotas com SCOPE entre Scope – Target Scope 77 Rota connected Ao adicionar uma nova rota estática SCOPE=10 Rota OSPF SCOPE=20 Rota estática SCOPE=30 MEU TARGET SCOPE=10 Em qual interface está o gateway? Roteamento Recursivo 78 Não consegue achar o gateway pois o mesmo não está diretamente conectado. Após alterar o campo Target Scope a rota consegue encontrar o gatewat através de outra rota estática. ECMP • O ECMP (Equal Cost Multi-Path) realiza um balanceamento por conexão neste caso a rota terá 2 gateways ou mais. 79 • Tanto rotas estáticas quanto rotas dinâmicas podem usar ECMP. Internet ECMP 80 Internet Internet ECMP Exemplo 81 • O Check Gateway ping não funciona em rotas ECMP. Check Gateway 82 A funcionalidade Check-gateway irá verificar se o gateway é alcançável através de ICMP ou ARP. A checagem ocorre a cada 10 segundos. Se após duas tentativas seguidas o gateway não responder, ele é considerado inalcançável. Após receber uma resposta o gateway novamente é considerado alcançável. A funcionalidade de check-gateway não entra em funcionamento quando é utilizado em rotas ECMP. IGPs Roteamento Dinâmico 83 *RouterOS não suporta. • OSPF • RIP • IS-IS* • EIGRP* EGP • BGP Módulo 2 OSPF Open Shortest Path First 84 Introdução • O protocolo OSPF, definido na RFC 2328, é um protocolo IGP (Interior Gateway Protocol), ou seja foi projetado para uso intra-AS (Autônomo System) 85 • Foi desenvolvido para atender às necessidades colocadas pela comunidade Internet, que precisava de um protocolo IGP eficiente mas ao mesmo tempo OPEN e inter-operável com outros protocolos de roteamento. RFC - Request for Comments - RFC 86 São documentos técnicos desenvolvidos e mantidos pelo IETF Instituição que especifica os padrões que serão implementados e utilizados em toda a internet. Onde pesquisar uma RFC ? Link abaixo https://www.rfc-editor.org/search/rfc_search.php https://www.rfc-editor.org/search/rfc_search.php Introdução • O fato de ser OPEN significa que o OSPF não é propriedade de um fabricante podendo qualquer fabricante implementar em seus roteadores / sistemas. 87 • O OSPFé Link-State e não tem o limite de saltos como o RIP, utiliza o algoritmo de Dijstra para calcular o menor caminho para todos destinos conhecido na rede. • Os roteadores utilizam o protocolo IP 89 para comunicação entre si. Distâncias Administrativas • A distância administrativa define a confiabilidade de protocolo de roteamento. Quando duas rotas tem o mesmo valor em DST-Address o roteador usa distancia administrativa para desempatar. 88 Protocolo Distancia connected 0 static 1 eBGP 20 OSPF 110 RIP 120 MME 130 iBGP 200 LAB - OSPF 89 MK-5 1. Altere a distancia das rotas estáticas para um valor maior que 110 de forma que as rotas aprendidas via OSPF tenham prioridade. 2. Para que o protocolo OSPF funcione, precisamos realizar um único procedimento que é adicionar as redes (/routing ospf network) 3. Verifique a tabela de vizinhos do OSPF (/routing ospf neighbor). 4. Verifique as novas rotas aprendidas via OSPF. Descrição do LAB MK-5 MK-4 MK-4 LAB - OSPF 90 Ativando OSPF 10.10.5.0/24 10.10.4.0/24 Operadora 1 MK-2 MK-1 MK-3 MK-4 MK-5 Networks - OSPF 91 • Ao adicionar uma rede em /routing ospf network o roteador fará o seguinte: 1. Ativará OSPF nas interfaces que tem um endereço de IP que estiver no range da rede adicionada. 2. Enviará a rede adicionada para os outros roteadores. OSPF Packet Types 92 • Estabelece e manutenção da adjacência. Enviado para 224.0.0.5 - AllSPFRoutersType 1 Hello • Descreve o conteúdo do banco de dados link-state em um roteador OSPF. Type 2 Database description packet (DBD) • Solicita partes específicas de um banco de dados link-state Type 3 Link State Request (LSR) • Transporta LSA de anuncio de estado de link para roteadores vizinhos. Type 4 – Link State Update (LSU) • Confirma se o neibhor recebeu o LSA Type 5 Link State ACK (LSAck) Pacote Hello 93 Hello Responsável pela descoberta e de routers vizinhos e estabelecer adjacência. Anunciar parâmetros nos quais os dois roteadores tem que concordar entre si para formarem a adjacência. São enviados a cada 10s Dead Interval – Tempo de espera até considerar o roteador vizinho morto. Hello e Dead Intervals tem que ser o mesmo valor entre os roteadores caso contrario não formará adjacência. Restrasmit Interval – Tempo que aguardará a confirmação do recebimento de LSA. Pacote Hello 94 Ativando OSPF em toda a rede 95 OSPF MK-1 MK-2 MK-3 Operadora 1 MK-4 MK-5 MK-4MK-3MK-1 OSPF States 96 • Down – Não recebeu nenhum pacote hello. • Attempt – Apenas para redes NBMA, nenhuma informação nova foi recebida. • Init – O Router não recebeu no pacote hello seu RouterID • 2-Way – Comunicação Bi-direcional estabelecida neste ponto ocorre a eleição de DR e BDR. • Ex-Start – Definem uma sequencia para iniciar a transmissão de informações. O Router com ID mais alto é quem inicia. • Exchange – Trocam pacotes de descrição do banco de dados • Loading – São trocado as informações states link. • FULL – Adjacencia ok com DR e BDR ou Point to Point. State Down 97 O estado inicial de uma conversa do vizinho quando nenhum pacote "Hellos" foi recebido do vizinho, no entanto, o Hellos ainda pode ser enviado ao vizinho nesse estado (o Hellos é enviado a cada PollInterval). Se um roteador não receber um pacote hello de um vizinho dentro do tempo RouterDeadInterval, o estado do vizinho mudará de FULL para DOWN. State Attempt 98 Attempt (Tentativa) - Este estado se aplica somente a vizinhos em redes NBMA, onde os vizinhos são configurados manualmente. Um roteador elegível para DR faz a transição de um vizinho para o estado attempt quando a interface com o vizinho fica ativa ou quando o roteador é o DR ou BDR. State Init 99 Init - Esse estado indica que um pacote Hello foi visto pelo vizinho no último RouterDeadInterval, mas a comunicação bidirecional ainda não foi estabelecida. Um roteador inclui os RouterID de todos os vizinhos nesse estado, no campo Vizinho dos pacotes Hello. Se os parâmetros OSPF Hello, como valores de timer, não corresponderem, os roteadores OSPF nunca progredirão além desse estado. State 2-way 100 Bidirecional - Esse estado indica que o roteador viu seu próprio RouterID no campo Neighbor “Vizinho” dos pacotes Hello do vizinho, o que significa que uma comunicação bidirecional foi estabelecida. Em redes de multi-access, os vizinhos devem estar nesse estado ou superior para serem elegíveis para serem eleitos como DR ou BDR. Dois roteadores formarão neighbor adjacency e permanecerão nesse estado. Se não forem o DR ou o BDR no segmento de rede, 2WAY DROTHER State Ex-start 101 Este estado especifica que o DR e o BDR foram eleitos e a relação master-slave é determinada. O roteador com o Router ID mais alto se torna o DR e começa a trocar dados do estado do link. State Exchange 102 Nesse estado, os roteadores OSPF trocam pacotes DataBaseDescriptor (DBD). Eles contêm cabeçalhos de Link State Advertisement (LSA) que descrevem o conteúdo de todo o Link State Database (LSD). O conteúdo do DataBaseDescriptor (DBD) recebido pelo roteador é comparado com seu próprio LSD (Link State Database) para verificar se alterações ou informações adicionais sobre o estado do link estão disponíveis no seu vizinho. State Loading 103 Nesse estado, os roteadores trocam informações completas sobre o estado do link com base no DBD (DataBase Descriptor) fornecido pelos vizinhos, o roteador OSPF envia o LSR-Link State Request (pedido de estado do link) e recebe a atualização do estado do link (LSU-Link State Update) que contém todos os anúncios de estado do link (LSAs). As atualizações de estado do link (LSU) realmente atuam como um envelope que contém todos os anúncios que foram enviados aos vizinhos com novas alterações ou novas redes aprendidas. State FULL 104 Estado operacional normal do OSPF que indica que tudo está funcionando normalmente. Nesse estado, os roteadores são totalmente adjacentes entre si e todos os anúncios de estado de link (LSAs) da rede e do roteador foram trocados e os bancos de dados dos roteadores são totalmente sincronizados. Neighbors OSPF 105 Os roteadores que rodam OSPF serão encontrados na guia Neighbours (vizinhos); State Changes: Contagem total de alterações de estado OSPF desde a identificação do vizinho Interface Loopback 106 Internet Monitoramento RADIUS •Qual endereço de IP utilizar para monitoramento, RADIUS e acesso ? R1 R2 R3 R4 Interface Loopback 107 • Interface de loopback é uma interface virtual (por exemplo uma bridge) que nunca estará como status “down”. 1 - Adicione a bridge e altere o nome para “loopback” 2 - Coloque o seguinte IP na sua interface de loopback 10.10.255.R Todos roteadores 10.10.255.R Anuncio IP Loopback 108 Para que toda a rede OSPF conheça este IP realize o anuncio do /32 Loopback em Networks Todos roteadores 10.10.255.R RouterID 109 • Cada roteador precisa ser identificado na rede com um ID único, caso o administrador da rede não especifique o ID manualmente, o roteador usará o menor IP ativo que existir em sua “IP list”. Todos roteadores 10.10.255.R Designated router OSPF 110 •Para reduzir o tráfego OSPF em redes broadcast e NBMA (Non-Broadcast Multiple Access), uma única fonte para atualização de rotas é criado (os roteadores designados(DR)). •Um DR mantém uma tabela completa da topologia da rede e envia atualizações para os demais roteadores. •O roteador com maior prioridade será eleito como DR. •Também será eleito roteadores backup BDR. •Roteadores com prioridade 0 nunca serão DR ou BDR. •Caso a prioridade for igual em todos os roteadores, o DR será eleito usando o maior valor especificado no routerID. 100 1 1 50 1 DR BDR Quantos DRs tem minha rede? 111 MK-5 MK-1MK-1 MK-2 DR DR DR DR •A eleição de DR e BDR acontece em todas as redes do tipo broadcast e NBMADR DR MK-4MK-3 Multicast Address 112 • AllSPFRouters o endereço 224.0.0.5 é usado por todos roteadores para receber os pacotes hello. Além disso outros pacotes são enviados para este endereço para procedimento de flooding. • AllDRouters o endereço 224.0.0.6 é usado pelo DR para receber pacotes destinados a ele. Network Type 113 Broadcast Point to point PTMP – Point to multipoint Não há eleição de DR e BDR Não há eleição de DR e BDR NBMA - Nonbroadcast multiacess X25 Frame-relay Wireless antigos - Utiliza endereços de unicast - Ocorre eleição de DR e BDR. Ocorre eleição de DR e BDR OSPF Instance 114 10.10.255.R Redistribute Default Route: – Never: nunca distribui rota default. – If installed (as type 1): Envia com métrica 1 se tiver sido instalada como rota estática, DHCP ou PPP (*BGP). – If installed (as type 2): Envia com métrica 2 se tiver sido instalada como rota estática, DHCP ou PPP (*BGP). – Always (as type 1): Sempre, com métrica 1. – Always (as type 2): Sempre, com métrica 2. Redistribute Connected Routes: O roteador irá distribuir todas as rotas estejam diretamente conectadas a ele. Redistribute Static Routes: Caso habilitado, distribui as rotas cadastradas de forma estática em /ip routes. Redistribute RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP. Redistribute BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP. Na aba “Metrics” é possível modificar as métricas que serão exportadas as diversas rota NBMA Neighbors 115 • Em redes não-broadcast ex: Frame Relay é necessário especificar os vizinhos “neighbors” manualmente. • A prioridade determina a chance do router ser eleito DR. Interface Passiva 116 • Ao marcar uma interface como passiva desativará a troca de pacotes “Hello” do OSPF. • O uso desta opção é uma boa prática. Manipulando Custos 117 10.10.1.0/24 10.10.4.0/24 10.10.5.0/24 10.10.3.0/24 Operadora 1 MK-5 MK-1 10.10.2.0/24 MK-2 MK-4MK-3 Type 1 118 10.10.3.0/24 Custo=5 MK-2 MK-5 MK-1 Custo 10 MK-4 ➢Métrica do tipo 1 soma o custo externo com o custo interno. Custo=100 Custo total=105 Custo total=20 Custo=10MK-3 Rota principal Rota Default MK-5 119 10.10.3.0/24 MK-2 MK-5 MK-1 MK-4 Custo total=31 10MK-3 10 10 10 100 101 Rota Default MK-5 120 10.10.3.0/24 MK-2 MK-5 MK-1 MK-4 Custo total=171 10MK-3 10 10 150 100 101 Type 2 121 10.10.3.0/24 Custo=5 MK-2 MK-5 MK-1 Custo 10 MK-4 • Métrica do tipo 2 usa somente o custo externo. Custo=100 Custo total=5 Custo total=10 Custo=10MK-3 Rota principal Type 2 122 10.10.3.0/24 MK-1 • Métrica do tipo 2 usa somente o custo externo. 10 MK-3 101 100 1010 MK-4 15 Rota principal Type 2 123 10.10.3.0/24 MK-1 • Métrica do tipo 2 usa somente o custo externo. 10 MK-3 101 100 1010 MK-4 15 Rota principal OSPF autenticação 124 •O RouterOS suporta os seguintes métodos de autenticação. •None: Não utiliza método de autenticação. •Simples: Autenticação em texto plano. •MD5: Autenticação com encriptação MD5. •Authentication Key ID é usado para calcular o resumo da mensagem e só é usado para MD5 sendo que todos roteadores da mesma região tem que ter o mesmo valor. Routing -> OSPF -> Interface Area OSPF 125 • A criação de áreas permite você agrupar uma coleção de roteadores (indicado nunca ultrapassar 50 roteadores por área). • A estrutura de uma área não é visível para outras áreas. • Cada área executa uma cópia única do algoritmo de roteamento. • As áreas OSPF são identificadas por um número de 32 bits(0.0.0.0 – 255.255.255.255). • Esses números devem ser únicos para o AS. Backcone Area 126 • A área backbone é o coração da rede OSPF. Ela possui o ID (0.0.0.0) e deve sempre existir. • A backbone é responsável por redistribuir informações de roteamento entre as demais áreas. • A demais áreas devem sempre estar conectadas a uma área backbone de forma direta ou indireta(utilizando virtual link). Backcone Area 127 Área 0 Backbone Área 1 Área 3 Área 2 Tipos de Roteadores 128 • Tipos de roteadores em OSPF são: ➢Roteadores de borda Autonomous System (ASBR). ▪ São roteadores que redistribuem rotas externas ao AS. ➢Roteadores de backbone (BR). ➢Roteadores internos a uma área (IR). ➢Roteadores de borda de área (ABR). ▪ OS ABRs devem ficar entre duas áreas e devem tocar a área 0. Tipos de Roteadores 129 Área 0 Área 1 Área 3 Área 2 Operadora IR ASBR ABR ABR ABR IR IR IR IR IR IR ASBR Redistribuindo uma rota estática BR Implementando Area 130 Implementando Area 131 2 - Altere as redes do OSPF para funcionar nas áreas corretas de acordo com a imagem anterior MK-5MK-4MK-3 1 - Crie a área1 Agregação 132 • Utilizado para agregar uma range de redes em uma única rota. • E feita sempre nos roteadores de borda de área (ABRs). • É possível atribuir um custo para essas rotas agregadas. • Ao criar uma agregação lembre- se de especificar a qual área aquele prefixo pertence. Virtual Link 133 • Utilizado conectar áreas remotas ao backbone através de áreas não- backbone; Virtual Link 134 Área 3 Área 0 Área 2 Área 1 ABR ABR Virtual link Area Stub 135 • Uma área Stub é uma área que não recebe rotas de AS externos; • Tipicamente todas rotas para os AS externos são substituídas por uma rota padrão. Esta rota será criada automaticamente por distribuição do ABR; • A opção “Inject Summary LSA” permite especificar se os sumários de LSA da área de backbone ou outras áreas serão reconhecidos pela área stub; • Habilite esta opção somente no ABR; • O custo padrão dessa área é 1; Area Stub 136 Área 0 20.20.20.0/2 4 Área 1 - default Área 2 - Stub ABRASBR 20.20.20.0/2 4 10.10.10.0/2 4 20.20.20.0/2 4 10.10.10.0/2 4 ➢ Não recebe, nem transporta rotas externas. Rota estática redistribuída via OSPF 10.10.10.0/2 4 ABR Área Totaly Stub 137 Área 2 - Stub ➢ Não recebe, nem transporta rotas externas. ➢ Não recebe rotas de outras áreas. Área 0 20.20.20.0/2 4 Área 1 - default ABRASBR 20.20.20.0/2 4 20.20.20.0/2 4 10.10.10.0/2 4 Rota estática redistribuída via OSPF 10.10.10.0/2 4 ABR 10.10.10.0/2 4 Área NSSA 138 • Um área NSSA é um tipo de área stub que tem capacidade de injetar transparentemente rotas para o backbone; • Translator role – Esta opção permite controlar que ABR da área NSSA irá atuar como repetidor do ASBR para a área de backbone: – Translate-always: roteador sempre será usado como tradutor. “ABR” – Translate-candidate: ospf elege um dos roteadores ABR candidatos para fazer as traduções. Área NSSA 139 Área 0 Área 1 - default Área 2 - NSSA 20.20.20.0/2 4 ASBR Rota estática redistribuída via OSPF 20.20.20.0/2 4 10.10.10.0/2 4 20.20.20.0/2 4 10.10.10.0/2 4 10.10.10.0/2 4 30.30.30.0/2 4 Rota BGP redistribuída via OSPF 30.30.30.0/2 4 ABR ➢ Tem as mesmas características de áreas STUB e Totaly STBU com a particularidade de poder transportar rotas externar ao AS. Área NSSA 140 Área 0 Área 1 - default Área 2 - NSSA 20.20.20.0/2 4 ASBR Rota estática redistribuída via OSPF 20.20.20.0/2 4 10.10.10.0/2 4 20.20.20.0/2 4 10.10.10.0/2 4 10.10.10.0/2 4 30.30.30.0/2 4 Rota BGP redistribuída via OSPF 30.30.30.0/2 4 ABR ➢ Tem as mesmas características de áreas STUB e Totaly STBU com a particularidade de poder transportar rotas externar ao AS. LSA tipo 5 e tipo 7 141 Área 0 Área 1 - default Área 2 - NSSA ASBR 30.30.30.0/2 4 Rota BGP redistribuída via OSPF 30.30.30.0/2 4 LSA TIPO 7 30.30.30.0/2 4 LSA TIPO 5 ABR Link State Advertisement, pacote de dados contém informações de estado de link e roteamento, que são compartilhadas entre os vizinhos do OSPF. LSA – Link State Advertisement 142 Tipo 1 Router Há um para cada roteador da área, e não ultrapassa a área. Tipo 2 Network É gerado pelo DR e circula apenas dentro da área, nãoatravessa o ABR Tipo 3 Summary Network É gerado pelo ABR e descreve o número da rede e a máscara, e por default não são sumarizadas. E não é envidado para as áreas STUB e NSSA Tipo 4 Summary ASBR É gerado pelo ABR apenas quando existe um ASBR dentro da área e informa uma rota para que todos possam chegar até o ASBR. Tipo 5 AS External Usado para transportar redes de outro AS e não são enviados para áreas STUB e NSSA Tipo 7 São gerados em áreas NSSA pelo ASBR e o ABR (caso configurado converte em LSA do tipo 5 para outras áreas LSA – Link State Advertisement 143 LSA Type 1 LSA Type 2 LSA Type 5 LSA Type 4 LSA Type 3 OSPF e PPPOE 144 Área 0 Área 1 PPPoE server ABR PPPoE server Filtros de roteamento 145 • No RouterOS podemos utilizar filtros não só para o BGP mas também para rotas diretamente conectadas e ou rotas OSPF ou rotas dinâmicas. • ospf-in Rotas recebidas pelo OSPF • ospf-out Utilizado para rotas externas distribuídas via ospf. Filtros de roteamento 146 A melhor solução 147 • Criar rota Blackhole com o prefixo dos clientes. • Anunciar rota estática. • Não é necessário criar uma nova área. 148 1. Forçar a rede 1 (192.168.1.0/24) navegar na internet pelo link da Algar 2. Forçar a rede 2 (192.168.2.0/24) navegar na internet pelo link da GVT 3. Sem usar regras de firewall 4. A rede 1 deverá continuar se comunicando com a rede 2 Objetivo PBR 149 Tabelas de Roteamento Roteador PBR Tabelas de roteamento Tabela MAIN Tabela GVT Tabela Algar ➢ Qual informação o roteador utiliza por padrão, para determinar o gateway antes de fazer encaminhamento de pacotes? SCR 1.1.1.1 DST 2.2.2.2 150 Tabelas de Roteamento Crie uma nova tabela de roteamento para cada link, conforme a imagem 151 Politica de Roteamento Crie uma política de roteamento para cada rede. Introdução a VLAN 152 Uma rede local virtual, normalmente denominada de VLAN, é uma rede logicamente independente. Várias VLANs podem coexistir em um mesmo switch, de forma a dividir uma rede local (física) em mais de uma rede (virtual), criando domínios de broadcast separados. VLANs são definidas pelo padrão IEEE 802.1Q. Quando utilizamos o recurso de VLAN é inserido um novo campo de 4 bytes no cabeçalho de camada 2. 12 bits desse novo campo são usados para fazer a identificação da VLAN (por isso podemos ter até 4096 diferentes VLANs) Portas e Cabeçalho 153 VLAN 10 VLAN 20 VLAN 30 VLAN 10 VLAN 20 VLAN 30 802.1q q-in-q ou 802.1ad Frame original Fibra Porta Trunk Porta Access LAB 154 MK-4MK-3MK-1 VLAN 40 BRIDGE VLAN 40 BRIDGE 10.10.40.1/2 4 ether8 10.10.40.254/24 1. Se a interface de saída for uma VLAN uma TAG será inserida no frame. 2. Se a interface de saída não for uma VLAN não será inserida a TAG. 3. Bridge podem ser usadas para retirar a TAG de VLANs. Informações EOIP Tunnel 155 • EoIP(Ethernet over IP) é um protocolo proprietário Mikrotik para encapsulamento de todo tipo de tráfego sobre o protocolo IP. • EoIP é um túnel de camada 2 que por padrão não implementa segurança. Para implementar segurança você precisa fazer uso de IPSec. • Quando habilitada a função de Bridge dos roteadores que estão interligados através de um túnel EoIP, todo o tráfego é passado de uma lado para o outro de forma transparente mesmo roteado pela internet e por vários protocolos. • O protocolo EoIP possibilita: - Interligação em bridge de LANs remotas através da internet. - Interligação em bridge de LANs através de túneis criptografados. • A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface ethernet. EOIP Tunnel 156 • O túnel EoIP adiciona pelo menos 42 bytes de overhead (8byte GRE + 14 bytes Ethernet + 20 bytes IP) 14 20 8 44 14 EOIP Tunnel 157 • Os MACs devem ser diferentes e estar entre o rage: 00-00-5E-80-00-00 e 00- 00-5E-FF-FF-FF, pois são endereços reservados para essa aplicação. • O MTU deve ser deixado em 1500 para evitar fragmentação. • O túnel ID deve ser igual para ambos. EOIP Tunnel 158 MK-4MK-3 10.10.40.254/24MK-1 10.10.40.1/2 4 ether8 EOIP EOIP BRIDG E PPPoE Revisão 159 • Layer 2 Tunnel • Pode rodar em uma vlan, interface, bridge etc. • Não conf IP na interface onde esta o servidor PPPoE. • Se a interface faz parte de uma Bridge você pode colocar o PPPoE na Bridge ou retirar a interface da Bridge. • Não é obrigatório o uso de Radius. L2TP Site to Site • L2TP é um protocolo de encapsulamento seguro para transportar tráfego IP usando PPP. • Usa UDP/1701 apenas para estabelecimento do link, depois ele pode usar qualquer outra porta UDP e ou ate se manter na 1701. 160 Internet L2TP Client to Site 161 Internet • O Windows e outros sistemas operacionais suporta o L2TP com IPSec assim como no RouterOS criando um canal seguro. PPTP • Point To Point Tunnel Protocol é um tunnel layer-3 é uma VPN rápida e simples de configurar. • Publicada em 1999 RFC 2637, desenvolvido por Microsoft, 3com, Alcatel. 162 • Utiliza-se o protocolo TCP/1723 e o 47 GRE; PPTP Site to Site 163 Internet 192.168.1.2/24 10.10.10.2/24 PPTP Client To Site 164 Internet PPTP Server PPTP Client • PPTP não é considerado seguro pelas vulnerabilidades encontradas. SSTP • Secure Socket Tunneling Protocol transporta PPP Tunnel sobre um canal TLS. 165 • TCP 443 SSTP 166 • SSTP sem certificado funcionará apenas entre dois roteadores MikroTik, pois não está de acordo com o padrão da Microsoft. Caso contrário, para estabelecer túneis seguros, a autenticação mschap e os certificados cliente / servidor devem ser usados Internet IPIP – IP Tunnel • A implementação do IPIP no RouterOS é compatível com a RFC 2003. 167 • O Túnnel IPIP aparece na lista de interfaces do RouterOS mas não é possível adicionar esta interface em uma Bridge. • É possível IPsec Secret para torna-lo um túnel seguro. BCP – Bridge Control Protocol • O RouterOS suporta BCP para os túneis PPP, PPTP, L2TP e PPPoE. 168 • É necessário que o Servidor e o Client suportem BCP. • É possível IPsec Secret para torna-lo um túnel seguro. • Com esta técnica podemos adicionar tuneis PPP em uma Bridge. Redes Sociais Te vejo na Web! @Contract_ti facebook.com/Leonardo.mikrotik youtube.com/leomikrotik facebook.com/contractti/ 169 Muito Obrigado, espero revê-lo em breve! Se puder, me add em suas redes sociais. https://facebook.com/leonardo.mikrotik https://www.youtube.com/leomikrotik https://facebook.com/contractti Pesquisa de Satisfação Por favor, responda o questionário. Quero ouvir sua opinião sobre o treinamento. bit.ly/ctti-pesquisa 170 Muito Obrigado Muito Obrigado, espero revê-lo em breve! Se puder, me add em suas redes sociais. 171 Módulo – Dúvidas ? 172
Compartilhar