Mikrotik-v2

Prévia do material em texto

Treinamento oficial 
MTCRE
Mikrotik Certified Routing
Slide Versão 2020.1
1
Sobre este material
Este material é de uso exclusivo de alunos da Contract TI, 
não poderá ser compartilhado em hipótese alguma, sob 
pena de responder legalmente a Lei de Direitos Autorais 
vigente. (Lei nº 9.610/98)
Contract TI ® é uma marca registrada junto ao INPI – Instituto Nacional 
da Propriedade Industrial e de uso exclusivo da Contract TI Com e Serv
de Inf Ltda. 
2
Apresente-se
• Diga seu nome;
• Empresa;
• Qual seu conhecimento sobre MikroTik ?
• Qual seu conhecimento sobre redes ?
• O que você espera do curso ?
3
Antes do RouterOS o que usei
4
Antes das RB’s
5
Leonardo Vieira 
“leomikrotik”
Sobre o Professor
• Mais de 20 anos experiência.
• Trainer da MikroTik e Ubiquiti
• Em 2009 iniciei com MikroTik
• Contract TI
• Palestrante MUM – Brasil
• Comunidade Telegram, Instagram, Youtube
@Contract_ti
Facebook.com/Leonardo.mikrotik
youtube.com/leomikrotik
facebook.com/contractti/
linkedin.com/in/albuquerqueleonardo/
6
https://facebook.com/leonardo.mikrotik
https://www.youtube.com/leomikrotik
https://facebook.com/contractti
https://www.linkedin.com/in/albuquerqueleonardo/
Certificação
7
Sobre o Professor
8
Visitando a MikroTik
9
Certificado
• Todos alunos receberam um certificado de participação emitido 
pela Contract TI em PDF.
• O aluno que realizar a prova e passar com nota igual ou superior 
a 60% receberá o certificado oficial da MikroTik em PDF dentro 
do site da mikrotik.com em sua conta.
10
Prova de certificação
• Necessário ter passado na MTCNA e estar válido.
• 25 Questões
• Inglês, algumas questões em português. 
• Pode usar o tradutor 
• 1 hora de duração. (2,4 min por questão em média)
• Nota igual ou superior a 60% para ser aprovado.
• Pode consultar apenas anotações, slide, RB e site da MikroTik.
• Se o aluno for reprovado terá que refazer o curso.
• Presença no treinamento é obrigatória. 
11
Como verificar um certificado?
12
https://mikrotik.com/certificates
https://mikrotik.com/certificates
Importante!
• Curso Oficial: Não pode filmar, gravar nem repassar slides e 
demais materiais. 
• Localização: Banheiro, água e café 
• Celular: Modo silencioso ou desligado.
• Internet: Evite usar para não se distrair. 
• Perguntas são sempre bem vindas. 
• Faça anotações e absorva conceitos. 
13
Agenda
• Treinamento de 9:00 as 18:00hs
• Intervalo para almoço 12hs com 1:30 de duração.
• Coffe break as 15:30hs
14
Objetivos do curso
• Estudarmos Roteamento com embasamento no conceito 
preparando o aluno a atuar com roteamento em redes de 
qualquer porte.
• Treinamento prático em configurações MikroTik RouterOS, 
manutenção e resolução de problemas sobre os tópicos 
abordados. 
15
Carreira Certificações MikroTik
16
Conta no site da MikroTik
17
E-mail Convite MikroTik
18
MTCRE Outline
• Static Routing
• Point to Point Addressing
• VPN
• OSPF
https://i.mt.lv/cdn/training_pdf/mtcre_outline_2019181161836.pdf
19
OFF TOPIC - Dica
20
• Faça suas anotações e busque absorver 
conceitos. 
bit.ly/dicaanote
http://bit.ly/dicaanote
Módulo 1
Introdução
21
Acesso ao LAB
22
http://lab.dominandomikrotik.com.br
LAB
23
LAB
24
LAB ROMON
25
LAB ROMON
26
Introdução
- Não é função do router encaminhar pacotes originados em uma 
rede IP para a mesma rede IP.
27
- Roteador “router” é um dispositivo capaz de encaminhar pacotes de 
dados entre redes.
- Atua na Layer 3 do Modelo OSI 
RouterOS - Roteamento
- Roteamento dinâmico: O Protocolo de roteamento cria as rotas 
automaticamente mas o administrador pode influenciar nesta 
tabela de rota. Para usar no RouterOS roteamento dinâmico é 
necessário o pacote routing.
28
- O RouterOS suporta:
- Roteamento estático: São rotas criadas pelo administrador de rede
Vantagens de uma rede roteada
29
- Redução do Domínio de Broadcast
- Escalabilidade
- Há um aumento de segurança pois a rede em bridge é mais vulnerável.
- Entre outros.... 
Introdução
30
192.168.10.2/24 192.168.10.3/24
192.168.20.3/24192.168.20.2/24
Switch/CRS Switch/CRS 
Router/CCR 
/ip route add
31
- DST. Address = Destination = Rede Destino
- Pode ser Rede Ex: 192.168.0.0/24
- Pode ser /32 Ex: 192.168.0.10
- Gateway = O caminho = Próximo Salto, Hop
- Não usa-se mascara de rede.
- Pode ser uma interface. Ex: PPPoE
Rota Diretamente Conectada
32
Connected Routes são criadas automaticamente 
quando o administrador coloca IP em uma interface.
Distance = 0
/ip address
/ip route
Quiz
33
Qual informação o roteador irá usar para determinar 
qual rota ele usará para encaminhar o pacote?
Versão Tamanho 
do 
cabeçalho 
IHL
Tipo de 
Serviço
ToS
Tamanho 
Total
Identificação Flags Deslocamento do 
Fragmento
TTL Protocolo Checksum
Endereço de Origem
Endereço de Destino
Options | Padding
IPV4 - Cabeçalho
Roteamento Estático
192.168.0.1/24
192.168.0.13/24
192.168.1.1/24
192.168.1.13/24
10.10.1.1/30 10.10.1.2/30
34
Draw.io
35
Fazer um desenho da rede “projeto” é fundamental para começar 
uma rede organizada facilitando a ampliação e manutenção.
https://www.draw.io
https://www.draw.io/
Projetando os IP’s
36
Loopback
10.10.255.R
Enlaces 
PTP
10.10.254.x
VPN’s
10.10.253.x
Usuários
Clientes
10.10.X.X
Projetando os IP’s
37
10.10.1.0/24
10.10.2.0/24
10.10.4.0/24
10.10.5.0/24
10.10.3.0/24
Operadora 1
MK-2 MK-5
MK-1 MK-4MK-3
10.10.254.14/3010.10.254.13/30
10.10.254.18/30
10.10.254.17/30
10.10.254.5/30 10.10.254.6/30
10.10.254.1/30
10.10.254.2/30
10.10.254.10/30
10.10.254.9/30
Roteando nossa rede
38
Rede:192.168.150.0/24
Rede: 
10.10.5.0/24
MK-1
MK-2
MK-3
Operadora 1
VPC
192.168.150.1
Rede: 
10.10.4.0/24
MK-1
MK-2
MK-3
10.10.254.17/30
10.10.254.18/30
MK-5
MK-4
Segmentando a rede 5
39
1. Remova a bridge e as interfaces que foram adicionadas nessa 
bridge.
2. Remova o endereço de IP que estava associado a bridge.
3. Adicione o endereço 10.10.5.1/24 na ether8.
4. Crie um servidor de DHCP para ether8.
5. Adicione o endereço 10.10.254.18/30 na ether4.
6. Abra o PC-5 e digite o comando DHCP para renovar a 
informações de rede.
Descrição do LAB
MK-5
Criando um servidor DHCP
40
MK-5
Renovando o IP
41
1 - Clique duplo 
no PC 5
2 - Digite o comando 
dhcp
Segmentando a rede 4
42
1. Remova a bridge e as interfaces que foram adicionadas nessa 
bridge.
2. Remova o endereço de IP que estava associado a bridge.
3. Adicione o endereço 10.10.4.1/24 na ether8.
4. Adicione o endereço 10.10.254.17/30 na ether5.
5. Crie um servidor de DHCP para ether8.
6. Abra o PC-4 e digite o comando DHCP para renovar a 
informações de rede.
Descrição do LAB
MK-4
Teste de comunicação
43
1 - Faça o teste de PING 
do PC5 para o PC4 
conforme a imagem.
2 – Caso não obtiver êxito com as solicitações 
de PING faça os ajustes necessários.
Analogia do processo de roteamento
44
Roteamento Estático
192.168.0.1/24
192.168.0.13/24
192.168.1.1/24
192.168.1.13/24
172.16.10.1/24
172.16.10.10/24
10.10.1.1/30 10.10.1.2/30
10.10.1.5/30 10.10.1.6/30
45
Segmentando a rede 3
46
Rede: 
10.10.5.0/24
MK-1
MK-2
Operadora 1
VPC
192.168.150.1
Rede: 
10.10.4.0/24
MK-1
MK-2
MK-3
MK-5
10.10.254.13/30 10.10.254.14/30
MK-4
Rede: 
10.10.3.0/24
MK-3
Segmentando a rede 3
47
1. Remova a bridge e as interfaces que foram adicionadas nessa 
bridge.
2. Remova o endereço de IP que estava associado a bridge.
3. Adicione o endereço 10.10.3.1/24 na ether8.
4. Adicione o endereço 10.10.254.13/30 na ether4.
5. Crie um servidor de DHCP para ether8.
6. Abra o PC-3 e digite o comando DHCP para renovar a 
informações de rede.
Não esqueça de colocar o IP 10.10.254.14/30 na ether3 do MK-4.
Descrição do LAB
MK-3
10.10.254.13/30 10.10.254.14/30
MK-4MK-3
Teste de comunicação
48
1 - Faça o teste de PING do 
PC3 para o PC4 e PC5.
2 – Casonão obtiver êxito com as solicitações 
de PING faça os ajustes necessários.
Teste do MK-3 para VPC-5
49
Da VPC3 o ping funciona, mas de dentro do MK-3 não, porque ?
Teste do MK-3 para VPC-5
50
Podemos observar que o roteador por default não olha
o IP de origem para encaminhar o pacote. 
Agora é a sua vez de resolver
51
Qual é a solução definitiva ?
Rede: 
10.10.2.0/24
Roteando o MK-2
52
Rede: 
10.10.5.0/24
MK-2
Operadora 1
VPC
Rede: 
10.10.4.0/24
MK-3
MK-5
MK-4
Rede: 
10.10.3.0/24
10.10.254.2/30
10.10.254.1/30
MK-1
Rede: 
10.10.1.0/24
MK-3
Teste do MK-2
53
• A VPC-2 precisa conseguir ping para:
• VPC-3
• VPC-4
• VPC-5
Rede: 
10.10.2.0/24
Roteando o MK-1
54
Rede: 
10.10.5.0/24
MK-2
Operadora 1
VPC
Rede: 
10.10.4.0/24
MK-3
MK-5
MK-4
Rede: 
10.10.3.0/24
10.10.254.6/3010.10.254.5/30
MK-1
Rede: 
10.10.1.0/24
MK-3
Teste do MK-1
55
• A VPC-1 precisa conseguir ping para:
• VPC-2
• VPC-3
• VPC-4
• VPC-5
E ai tem internet nos PCs?
56
- Somente no MK-1 usa-se o NAT !
TTL
57
• TTL é o limite máximo de saltos que um pacote pode dar até ser descartado;
• No RouterOS o valor padrão do TTL é 64 e cada roteador decrementa este valor em 
1(um) antes de passá-lo adiante;
• O menu Firewall Mangle pode ser usado para manipular este parâmetro;
• Se um roteador recebe um pacote com TTL=1 esse pacote só poderá ser destinado 
ao próprio roteador.
• O roteador não passa adiante pacotes que chegarem com TTL=1;
TTL=64 TTL=63 TTL=62
Manipulando TTL
58
Antes
Depois
Regra no Firewall Mangle
Nexthop-Lookup
59
Para cada pacote que chega ao roteador ele executa um 
nexthop-lookup que é a pesquisa do próximo salto. 
Ele realiza esta pesquisa na FIB “Forwarding Information Base”
pesquisando toda a tabela. 
FIB - RIB
60
.
FIB
RIB
Protocolos 
Roteamento
Rotas 
Estáticas
RIB - Routing Information Base 
61
A RIB é o local onde todas as informações a respeito do roteamento IP estão 
armazenadas. A RIB é única em cada roteador e compartilhada com protocolos.
Uma rota é inserida na RIB, sempre que um protocolo aprende uma nova rota.
O RouterOS mantém as rotas agrupadas em tabelas separadas pelas marcas de 
roteamento (routing marks). E, em alguns casos, as métricas (distâncias) associado 
a este roteador. 
Todas as rotas sem marcas de roteamento são mantidas na tabela “main” (principal). É 
importante entender que RIB não é utilizada para o encaminhamento de pacotes e 
não é anunciada para o restante das redes as quais o roteador está conectado.
FIB - Forwarding Information Base 
62
A FIB é a base de dados que contém uma cópia das informações necessárias 
para o encaminhamento dos pacotes relacionando as redes às respectivas 
interfaces.
A FIB contém todas as rotas que podem potencialmente serem anunciadas 
aos roteadores vizinhos pelos protocolos de roteamento dinâmico.
Por padrão no RouterOS todas as rotas ativas estão na main-table que pode 
ser visualizada em /ip route, inclusive com os detalhes inseridos pelos 
protocolos de roteamento dinâmico.
Fluxo no RouterOS
63
Rota mais específica
64
Para cada pacote que chega ao roteador ele executa um 
nexthop-lookup que é a pesquisa do próximo salto. 
Ele realiza esta pesquisa na FIB “Forwarding Information Base”
pesquisando toda a tabela. 
A escolha da melhor rota
65
10.1.1.1
172.16.1.1192.168.1.1
8.8.8.8
8.8.4.4
10.5.5.5
Um pouco mais
66
Fonte: 
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Marcas de Roteamento
67
Podemos usar o Firewall Mangle para realizar marcas de 
roteamento. 
Limite de marcas 251 no roteador
Todas rotas sem marcas são mantidas na tabela MAIN.
LAB – Marca de Roteamento
68
Objetivo: No MK-4 temos a Operadora-2, preciso que somente 
a VPC-5 use esta Operadora-2 como roda de saída para a internet. 
FLAG de Rotas
69
Flag/Sigla Significado da sigla Tipo de rota
A Active Rota ativa
C Connected Rota diretamente conectada
S Static Rota estática
D Dynamic Rota dinâmica
B Blackhole Rota do tipo buraco negro
U Unreable Rota inalcançável
P Prohibit Rota do tipo proibida
o OSPF Rota aprendida via OSPF
b BGP Rota aprendida via BGP
r RIP Rota aprendida via RIP
m MME Rota aprendida via MME
/ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, 
U - unreachable, P - prohibit
Type Route
70
Blackhole: Descarta o pacote 
silenciosamente.
Unreachable: Descarta o pacote e envia 
uma notificação via ICMP para o host de 
origem (“host unreachable” type 3 code 1).
Prohibit: Descarta o pacote e envia uma 
notificação via ICMP para o host de origem 
(“communication administratively
prohibited” type 3 code 13).
Pref. Source
71
10.10.3.0/24
1.1.1.2/29
1.1.1.3/29
1.1.1.1/29
Operadora
MK-3
2 IPs em uma 
mesma interface
Especifique aqui o IP que 
deseja força utilização
Ativando Segunda Operadora
72
10.10.1.0/24
10.10.4.0/24
10.10.5.0/24
10.10.3.0/24
Operadora 1
MK-3
MK-5
MK-1
10.10.2.0/24
MK-2
Operadora 2
MK-4
Ativando Segunda Operadora
73
10.10.1.0/24
10.10.2.0/24
10.10.4.0/24
10.10.5.0/24
10.10.3.0/24
Operadora 1
MK-2 MK-5
MK-1
Operadora 2
MK-4MK-3
Ativando Segunda Operadora
74
10.10.1.0/24
10.10.4.0/24
10.10.5.0/24
10.10.3.0/24
Operadora 1
MK-5
MK-1
10.10.2.0/24
MK-2
10.10.254.13/30 10.10.254.14/30
10.10.254.21/30 10.10.254.22/30
MK-3 MK-4
Dupla abordagem
75
MK-4
ether4 ether3
ether6 ether6
Internet MK-3
MK-4
ether4 ether3
ether6 ether6
MK-3
MK-4
ether4 ether3
ether6 ether6
MK-3
Internet
Internet
Scope – Target Scope
76
10
20
30
40
40
0 - 10
0 - 10
0 - 10
0 - 30
200
Encontre o gateway em 
rotas com SCOPE entre
Scope – Target Scope
77
Rota 
connected
Ao 
adicionar
uma nova
rota 
estática
SCOPE=10
Rota 
OSPF
SCOPE=20
Rota 
estática
SCOPE=30
MEU TARGET SCOPE=10
Em qual 
interface está o 
gateway?
Roteamento Recursivo
78
Não consegue achar o gateway pois o 
mesmo não está diretamente conectado.
Após alterar o campo Target Scope a rota 
consegue encontrar o gatewat através de 
outra rota estática.
ECMP
• O ECMP (Equal Cost Multi-Path) realiza um balanceamento por 
conexão neste caso a rota terá 2 gateways ou mais.
79
• Tanto rotas estáticas quanto rotas dinâmicas podem usar ECMP.
Internet
ECMP
80
Internet
Internet
ECMP Exemplo
81
• O Check Gateway ping não funciona em rotas ECMP.
Check Gateway
82
A funcionalidade Check-gateway irá verificar se o 
gateway é alcançável através de ICMP ou ARP.
A checagem ocorre a cada 10 segundos.
Se após duas tentativas seguidas o gateway não 
responder, ele é considerado inalcançável.
Após receber uma resposta o gateway novamente é 
considerado alcançável.
A funcionalidade de check-gateway não entra em 
funcionamento quando é utilizado em rotas ECMP.
IGPs
Roteamento Dinâmico
83
*RouterOS não suporta.
• OSPF
• RIP
• IS-IS*
• EIGRP*
EGP
• BGP
Módulo 2
OSPF
Open Shortest Path First
84
Introdução
• O protocolo OSPF, definido na RFC 2328, é um protocolo IGP 
(Interior Gateway Protocol), ou seja foi projetado para uso 
intra-AS (Autônomo System) 
85
• Foi desenvolvido para atender às necessidades colocadas 
pela comunidade Internet, que precisava de um protocolo 
IGP eficiente mas ao mesmo tempo OPEN e inter-operável
com outros protocolos de roteamento. 
RFC - Request for Comments - RFC
86
São documentos técnicos desenvolvidos e mantidos pelo IETF
Instituição que especifica os padrões que serão implementados
e utilizados em toda a internet. 
Onde pesquisar uma RFC ? Link abaixo
https://www.rfc-editor.org/search/rfc_search.php
https://www.rfc-editor.org/search/rfc_search.php
Introdução
• O fato de ser OPEN significa que o OSPF não é propriedade de um 
fabricante podendo qualquer fabricante implementar em seus 
roteadores / sistemas. 
87
• O OSPFé Link-State e não tem o limite de saltos como o RIP, utiliza o 
algoritmo de Dijstra para calcular o menor caminho para todos 
destinos conhecido na rede.
• Os roteadores utilizam o protocolo IP 89 para comunicação entre si. 
Distâncias Administrativas
• A distância administrativa define a confiabilidade de protocolo de roteamento. 
Quando duas rotas tem o mesmo valor em DST-Address o roteador usa distancia 
administrativa para desempatar. 
88
Protocolo Distancia
connected 0
static 1
eBGP 20
OSPF 110
RIP 120
MME 130
iBGP 200
LAB - OSPF
89
MK-5
1. Altere a distancia das rotas estáticas para um valor maior que 110 de 
forma que as rotas aprendidas via OSPF tenham prioridade.
2. Para que o protocolo OSPF funcione, precisamos realizar um único 
procedimento que é adicionar as redes (/routing ospf network)
3. Verifique a tabela de vizinhos do OSPF (/routing ospf neighbor).
4. Verifique as novas rotas aprendidas via OSPF.
Descrição do LAB
MK-5
MK-4
MK-4
LAB - OSPF
90
Ativando OSPF
10.10.5.0/24
10.10.4.0/24
Operadora 1
MK-2
MK-1 MK-3 MK-4
MK-5
Networks - OSPF
91
• Ao adicionar uma rede em /routing ospf network 
o roteador fará o seguinte:
1. Ativará OSPF nas interfaces que tem um endereço de IP que 
estiver no range da rede adicionada.
2. Enviará a rede adicionada para os outros roteadores.
OSPF Packet Types
92
• Estabelece e manutenção da adjacência. 
Enviado para 224.0.0.5 - AllSPFRoutersType 1 Hello
• Descreve o conteúdo do banco de 
dados link-state em um roteador OSPF.
Type 2 Database
description packet (DBD)
• Solicita partes específicas de um banco 
de dados link-state
Type 3 Link State Request
(LSR)
• Transporta LSA de anuncio de estado de 
link para roteadores vizinhos.
Type 4 – Link State
Update (LSU)
• Confirma se o neibhor recebeu o LSA
Type 5 Link State ACK 
(LSAck)
Pacote Hello
93
Hello Responsável pela descoberta e de routers vizinhos e estabelecer 
adjacência. Anunciar parâmetros nos quais os dois roteadores tem que 
concordar entre si para formarem a adjacência. 
São enviados a cada 10s 
Dead Interval – Tempo de espera até considerar o roteador vizinho morto.
Hello e Dead Intervals tem que ser o mesmo valor entre os roteadores 
caso contrario não formará adjacência. 
Restrasmit Interval – Tempo que aguardará a confirmação do recebimento 
de LSA. 
Pacote Hello
94
Ativando OSPF em toda a rede
95
OSPF
MK-1
MK-2
MK-3
Operadora 1
MK-4
MK-5
MK-4MK-3MK-1
OSPF States
96
• Down – Não recebeu nenhum pacote hello.
• Attempt – Apenas para redes NBMA, nenhuma informação nova foi 
recebida. 
• Init – O Router não recebeu no pacote hello seu RouterID
• 2-Way – Comunicação Bi-direcional estabelecida neste ponto ocorre a 
eleição de DR e BDR. 
• Ex-Start – Definem uma sequencia para iniciar a transmissão de 
informações. O Router com ID mais alto é quem inicia.
• Exchange – Trocam pacotes de descrição do banco de dados
• Loading – São trocado as informações states link. 
• FULL – Adjacencia ok com DR e BDR ou Point to Point.
State Down
97
O estado inicial de uma conversa do vizinho quando nenhum 
pacote "Hellos" foi recebido do vizinho, no entanto, o Hellos
ainda pode ser enviado ao vizinho nesse estado (o Hellos é 
enviado a cada PollInterval). 
Se um roteador não receber um pacote hello de um vizinho 
dentro do tempo RouterDeadInterval, o estado do vizinho 
mudará de FULL para DOWN.
State Attempt
98
Attempt (Tentativa) - Este estado se aplica somente a vizinhos em 
redes NBMA, onde os vizinhos são configurados manualmente. 
Um roteador elegível para DR faz a transição de um vizinho para o 
estado attempt quando a interface com o vizinho fica ativa ou 
quando o roteador é o DR ou BDR. 
State Init
99
Init - Esse estado indica que um pacote Hello foi visto pelo vizinho 
no último RouterDeadInterval, mas a comunicação bidirecional 
ainda não foi estabelecida. 
Um roteador inclui os RouterID de todos os vizinhos nesse estado, 
no campo Vizinho dos pacotes Hello. 
Se os parâmetros OSPF Hello, como valores de timer, não 
corresponderem, os roteadores OSPF nunca progredirão além 
desse estado.
State 2-way
100
Bidirecional - Esse estado indica que o roteador viu seu próprio 
RouterID no campo Neighbor “Vizinho” dos pacotes Hello do vizinho, 
o que significa que uma comunicação bidirecional foi estabelecida. 
Em redes de multi-access, os vizinhos devem estar nesse estado ou 
superior para serem elegíveis para serem eleitos como DR ou BDR. Dois 
roteadores formarão neighbor adjacency e permanecerão nesse 
estado.
Se não forem o DR ou o BDR no segmento de rede, 2WAY DROTHER
State Ex-start
101
Este estado especifica que o DR e o BDR foram eleitos e a relação 
master-slave é determinada. 
O roteador com o Router ID mais alto se torna o DR e começa a 
trocar dados do estado do link.
State Exchange
102
Nesse estado, os roteadores OSPF trocam pacotes 
DataBaseDescriptor (DBD). Eles contêm cabeçalhos de Link State
Advertisement (LSA) que descrevem o conteúdo de todo o Link 
State Database (LSD). O conteúdo do DataBaseDescriptor (DBD) 
recebido pelo roteador é comparado com seu próprio LSD (Link 
State Database) para verificar se alterações ou informações 
adicionais sobre o estado do link estão disponíveis no seu vizinho.
State Loading
103
Nesse estado, os roteadores trocam informações completas sobre 
o estado do link com base no DBD (DataBase Descriptor) 
fornecido pelos vizinhos, o roteador OSPF envia o LSR-Link State
Request (pedido de estado do link) e recebe a atualização do 
estado do link (LSU-Link State Update) que contém todos os 
anúncios de estado do link (LSAs). As atualizações de estado do 
link (LSU) realmente atuam como um envelope que contém todos 
os anúncios que foram enviados aos vizinhos com novas 
alterações ou novas redes aprendidas.
State FULL
104
Estado operacional normal do OSPF que indica que tudo está 
funcionando normalmente. Nesse estado, os roteadores são 
totalmente adjacentes entre si e todos os anúncios de estado de 
link (LSAs) da rede e do roteador foram trocados e os bancos de 
dados dos roteadores são totalmente sincronizados. 
Neighbors OSPF
105
Os roteadores que rodam OSPF serão encontrados na guia Neighbours
(vizinhos);
State Changes: Contagem total de alterações de estado OSPF desde a 
identificação do vizinho
Interface Loopback
106
Internet
Monitoramento RADIUS
•Qual endereço de IP utilizar para monitoramento, 
RADIUS e acesso ?
R1
R2
R3
R4
Interface Loopback
107
• Interface de loopback é uma interface virtual 
(por exemplo uma bridge) que nunca estará 
como status “down”.
1 - Adicione a bridge e altere o 
nome para “loopback”
2 - Coloque o seguinte IP na sua 
interface de loopback 10.10.255.R
Todos
roteadores
10.10.255.R
Anuncio IP Loopback
108
Para que toda a rede OSPF conheça este IP 
realize o anuncio do /32 Loopback em Networks
Todos
roteadores
10.10.255.R
RouterID
109
• Cada roteador precisa ser identificado na rede com um 
ID único, caso o administrador da rede não especifique 
o ID manualmente, o roteador usará o menor IP ativo
que existir em sua “IP list”.
Todos
roteadores
10.10.255.R
Designated router OSPF
110
•Para reduzir o tráfego OSPF em redes broadcast e NBMA
(Non-Broadcast Multiple Access), uma única fonte para 
atualização de rotas é criado (os roteadores 
designados(DR)).
•Um DR mantém uma tabela completa da topologia da rede 
e envia atualizações para os demais roteadores.
•O roteador com maior prioridade será eleito como DR.
•Também será eleito roteadores backup BDR.
•Roteadores com prioridade 0 nunca serão DR ou BDR.
•Caso a prioridade for igual em todos os roteadores, o DR 
será eleito usando o maior valor especificado no routerID.
100
1
1 50
1
DR
BDR
Quantos DRs tem minha rede?
111
MK-5
MK-1MK-1
MK-2
DR
DR
DR
DR
•A eleição de DR e BDR acontece em todas as redes do tipo 
broadcast e NBMADR
DR
MK-4MK-3
Multicast Address
112
• AllSPFRouters o endereço 224.0.0.5 é usado por todos roteadores para receber os 
pacotes hello. Além disso outros pacotes são enviados para este endereço para 
procedimento de flooding. 
• AllDRouters o endereço 224.0.0.6 é usado pelo DR para receber 
pacotes destinados a ele. 
Network Type
113
Broadcast Point to point
PTMP – Point to multipoint
Não há 
eleição de 
DR e BDR
Não há 
eleição de 
DR e BDR
NBMA - Nonbroadcast multiacess
X25
Frame-relay
Wireless antigos
- Utiliza endereços de 
unicast
- Ocorre eleição de DR 
e BDR.
Ocorre 
eleição de 
DR e BDR
OSPF Instance
114
10.10.255.R
Redistribute Default Route:
– Never: nunca distribui rota default.
– If installed (as type 1): Envia com métrica 1 se tiver sido instalada como rota estática, 
DHCP ou PPP (*BGP).
– If installed (as type 2): Envia com métrica 2 se tiver sido instalada como rota estática, 
DHCP ou PPP (*BGP).
– Always (as type 1): Sempre, com métrica 1.
– Always (as type 2): Sempre, com métrica 2.
Redistribute Connected Routes: O roteador irá distribuir todas as rotas estejam 
diretamente conectadas a ele.
Redistribute Static Routes: Caso habilitado, distribui as rotas cadastradas de forma 
estática em /ip routes.
Redistribute RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP.
Na aba “Metrics” é possível modificar as métricas que serão exportadas as diversas rota
NBMA Neighbors
115
• Em redes não-broadcast ex: Frame Relay é necessário especificar
os vizinhos “neighbors” manualmente. 
• A prioridade determina a chance do router ser eleito DR.
Interface Passiva
116
• Ao marcar uma interface como passiva desativará a troca de pacotes “Hello” do 
OSPF. 
• O uso desta opção é uma boa prática. 
Manipulando Custos
117
10.10.1.0/24
10.10.4.0/24
10.10.5.0/24
10.10.3.0/24
Operadora 1
MK-5
MK-1
10.10.2.0/24
MK-2
MK-4MK-3
Type 1
118
10.10.3.0/24
Custo=5
MK-2 MK-5
MK-1
Custo 10
MK-4
➢Métrica do tipo 1 soma o custo externo com o custo 
interno. 
Custo=100
Custo total=105
Custo total=20
Custo=10MK-3
Rota principal
Rota Default MK-5
119
10.10.3.0/24
MK-2 MK-5
MK-1 MK-4
Custo total=31
10MK-3 10
10
10
100 101
Rota Default MK-5
120
10.10.3.0/24
MK-2 MK-5
MK-1 MK-4
Custo total=171
10MK-3 10
10
150
100 101
Type 2
121
10.10.3.0/24
Custo=5
MK-2 MK-5
MK-1
Custo 10
MK-4
• Métrica do tipo 2 usa somente o custo externo. 
Custo=100
Custo total=5
Custo total=10
Custo=10MK-3
Rota principal
Type 2
122
10.10.3.0/24
MK-1
• Métrica do tipo 2 usa somente o custo externo. 
10
MK-3
101 100 1010
MK-4
15
Rota principal
Type 2
123
10.10.3.0/24
MK-1
• Métrica do tipo 2 usa somente o custo externo. 
10
MK-3
101 100 1010
MK-4
15
Rota principal
OSPF autenticação
124
•O RouterOS suporta os seguintes métodos de autenticação.
•None: Não utiliza método de autenticação.
•Simples: Autenticação em texto plano. 
•MD5: Autenticação com encriptação MD5. 
•Authentication Key ID é usado para
calcular o resumo da mensagem e só
é usado para MD5 sendo que todos
roteadores da mesma região tem que 
ter o mesmo valor.
Routing -> OSPF -> Interface
Area OSPF
125
• A criação de áreas permite você agrupar uma coleção de roteadores 
(indicado nunca ultrapassar 50 roteadores por área).
• A estrutura de uma área não é visível para outras áreas.
• Cada área executa uma cópia única do algoritmo de roteamento.
• As áreas OSPF são identificadas por um número de 32 bits(0.0.0.0 –
255.255.255.255).
• Esses números devem ser únicos para o AS.
Backcone Area
126
• A área backbone é o coração da rede OSPF. Ela 
possui o ID (0.0.0.0) e deve sempre existir.
• A backbone é responsável por redistribuir 
informações de roteamento entre as demais áreas.
• A demais áreas devem sempre estar conectadas a 
uma área backbone de forma direta ou 
indireta(utilizando virtual link).
Backcone Area
127
Área 0
Backbone
Área 1 Área 3
Área 2
Tipos de Roteadores
128
• Tipos de roteadores em OSPF são:
➢Roteadores de borda Autonomous System (ASBR).
▪ São roteadores que redistribuem rotas externas ao AS.
➢Roteadores de backbone (BR).
➢Roteadores internos a uma área (IR).
➢Roteadores de borda de área (ABR).
▪ OS ABRs devem ficar entre duas áreas e devem tocar a 
área 0.
Tipos de Roteadores
129
Área 0
Área 1 Área 3
Área 2
Operadora 
IR
ASBR
ABR ABR
ABR
IR
IR IR
IR
IR
IR
ASBR
Redistribuindo uma 
rota estática
BR
Implementando Area
130
Implementando Area
131
2 - Altere as redes do OSPF para 
funcionar nas áreas corretas de 
acordo com a imagem anterior
MK-5MK-4MK-3
1 - Crie a área1 
Agregação
132
• Utilizado para agregar uma range de 
redes em uma única rota.
• E feita sempre nos roteadores de borda 
de área (ABRs).
• É possível atribuir um custo para essas 
rotas agregadas.
• Ao criar uma agregação lembre-
se de especificar a qual área 
aquele prefixo pertence.
Virtual Link
133
• Utilizado conectar áreas remotas ao backbone através de áreas não-
backbone;
Virtual Link
134
Área 3
Área 0
Área 2
Área 1
ABR
ABR
Virtual link
Area Stub
135
• Uma área Stub é uma área que não recebe 
rotas de AS externos;
• Tipicamente todas rotas para os AS externos 
são substituídas por uma rota padrão. Esta 
rota será criada automaticamente por 
distribuição do ABR;
• A opção “Inject Summary LSA” permite 
especificar se os sumários de LSA da área de 
backbone ou outras áreas serão 
reconhecidos pela área stub;
• Habilite esta opção somente no ABR;
• O custo padrão dessa área é 1;
Area Stub
136
Área 0
20.20.20.0/2
4
Área 1 -
default
Área 2 - Stub
ABRASBR
20.20.20.0/2
4
10.10.10.0/2
4
20.20.20.0/2
4
10.10.10.0/2
4
➢ Não recebe, nem transporta rotas externas.
Rota estática 
redistribuída via OSPF
10.10.10.0/2
4
ABR
Área Totaly Stub
137
Área 2 - Stub
➢ Não recebe, nem transporta rotas externas.
➢ Não recebe rotas de outras áreas.
Área 0
20.20.20.0/2
4
Área 1 - default
ABRASBR
20.20.20.0/2
4
20.20.20.0/2
4
10.10.10.0/2
4
Rota estática 
redistribuída via OSPF
10.10.10.0/2
4
ABR
10.10.10.0/2
4
Área NSSA
138
• Um área NSSA é um tipo de área stub que tem capacidade de 
injetar transparentemente rotas para o backbone;
• Translator role – Esta opção permite controlar que ABR da 
área NSSA irá atuar como repetidor do ASBR para a área de 
backbone:
– Translate-always: roteador sempre será usado como tradutor. 
“ABR”
– Translate-candidate: ospf elege um dos roteadores ABR 
candidatos para fazer as traduções.
Área NSSA
139
Área 0
Área 1 - default
Área 2 - NSSA
20.20.20.0/2
4
ASBR
Rota estática 
redistribuída via OSPF 20.20.20.0/2
4
10.10.10.0/2
4
20.20.20.0/2
4
10.10.10.0/2
4
10.10.10.0/2
4
30.30.30.0/2
4
Rota BGP 
redistribuída via 
OSPF
30.30.30.0/2
4
ABR
➢ Tem as mesmas características de áreas STUB e Totaly STBU com a particularidade de 
poder transportar rotas externar ao AS.
Área NSSA
140
Área 0
Área 1 - default
Área 2 - NSSA
20.20.20.0/2
4
ASBR
Rota estática 
redistribuída via OSPF 20.20.20.0/2
4
10.10.10.0/2
4
20.20.20.0/2
4
10.10.10.0/2
4
10.10.10.0/2
4
30.30.30.0/2
4
Rota BGP 
redistribuída via 
OSPF
30.30.30.0/2
4
ABR
➢ Tem as mesmas características de áreas STUB e Totaly STBU com a particularidade de 
poder transportar rotas externar ao AS.
LSA tipo 5 e tipo 7
141
Área 0
Área 1 - default
Área 2 - NSSA
ASBR
30.30.30.0/2
4
Rota BGP 
redistribuída via 
OSPF
30.30.30.0/2
4
LSA TIPO 7
30.30.30.0/2
4
LSA TIPO 5
ABR
Link State Advertisement, pacote de dados contém informações de estado de link e 
roteamento, que são compartilhadas entre os vizinhos do OSPF.
LSA – Link State Advertisement
142
Tipo 1 Router
Há um para cada roteador da área, e não ultrapassa a área.
Tipo 2 Network
É gerado pelo DR e circula apenas dentro da área, nãoatravessa o ABR
Tipo 3 Summary Network
É gerado pelo ABR e descreve o número da rede e a máscara, e por default não são sumarizadas. E não 
é envidado para as áreas STUB e NSSA
Tipo 4 Summary ASBR
É gerado pelo ABR apenas quando existe um ASBR dentro da área e informa uma rota para que todos 
possam chegar até o ASBR.
Tipo 5 AS External
Usado para transportar redes de outro AS e não são enviados para áreas STUB e NSSA
Tipo 7
São gerados em áreas NSSA pelo ASBR e o ABR (caso configurado converte em LSA do tipo 5 para 
outras áreas
LSA – Link State Advertisement
143
LSA Type 1
LSA Type 2
LSA Type 5
LSA Type 4
LSA Type 3
OSPF e PPPOE
144
Área 0
Área 1
PPPoE server
ABR PPPoE server
Filtros de roteamento
145
• No RouterOS podemos utilizar filtros não só para o BGP mas 
também para rotas diretamente conectadas e ou rotas OSPF ou 
rotas dinâmicas. 
• ospf-in Rotas recebidas pelo OSPF
• ospf-out Utilizado para rotas externas distribuídas via ospf. 
Filtros de roteamento
146
A melhor solução
147
• Criar rota Blackhole com o prefixo dos clientes.
• Anunciar rota estática. 
• Não é necessário criar uma 
nova área. 
148
1. Forçar a rede 1 (192.168.1.0/24) navegar na internet pelo link da Algar
2. Forçar a rede 2 (192.168.2.0/24) navegar na internet pelo link da GVT
3. Sem usar regras de firewall
4. A rede 1 deverá continuar se comunicando com a rede 2
Objetivo
PBR
149
Tabelas de Roteamento
Roteador
PBR
Tabelas de 
roteamento
Tabela MAIN
Tabela GVT
Tabela Algar
➢ Qual informação o roteador utiliza por padrão, para determinar o 
gateway antes de fazer encaminhamento de pacotes?
SCR
1.1.1.1
DST
2.2.2.2
150
Tabelas de Roteamento
Crie uma nova tabela de 
roteamento para cada link, 
conforme a imagem
151
Politica de Roteamento
Crie uma política de roteamento 
para cada rede.
Introdução a VLAN
152
Uma rede local virtual, normalmente denominada de VLAN, é uma rede logicamente 
independente. 
Várias VLANs podem coexistir em um mesmo switch, de forma a dividir uma rede local 
(física) em mais de uma rede (virtual), criando domínios de broadcast separados.
VLANs são definidas pelo padrão IEEE 802.1Q.
Quando utilizamos o recurso de VLAN é inserido um novo campo de 4 bytes no 
cabeçalho de camada 2.
12 bits desse novo campo são usados para fazer a identificação da VLAN (por isso 
podemos ter até 4096 diferentes VLANs)
Portas e Cabeçalho
153
VLAN 
10
VLAN 
20
VLAN 
30
VLAN 
10
VLAN 
20
VLAN 
30
802.1q
q-in-q ou 802.1ad
Frame original
Fibra
Porta Trunk
Porta Access
LAB
154
MK-4MK-3MK-1
VLAN 40 BRIDGE VLAN 40 BRIDGE
10.10.40.1/2
4
ether8
10.10.40.254/24
1. Se a interface de saída for uma VLAN uma TAG será inserida no frame.
2. Se a interface de saída não for uma VLAN não será inserida a TAG.
3. Bridge podem ser usadas para retirar a TAG de VLANs.
Informações
EOIP Tunnel
155
• EoIP(Ethernet over IP) é um protocolo proprietário Mikrotik para encapsulamento de todo 
tipo de tráfego sobre o protocolo IP.
• EoIP é um túnel de camada 2 que por padrão não implementa segurança. 
Para implementar segurança você precisa fazer uso de IPSec. 
• Quando habilitada a função de Bridge dos roteadores que estão interligados através de 
um túnel EoIP, todo o tráfego é passado de uma lado para o outro de forma transparente 
mesmo roteado pela internet e por vários protocolos.
• O protocolo EoIP possibilita:
- Interligação em bridge de LANs remotas através da internet.
- Interligação em bridge de LANs através de túneis criptografados.
• A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface 
ethernet. 
EOIP Tunnel
156
• O túnel EoIP adiciona pelo menos 42 bytes de overhead
(8byte GRE + 14 bytes Ethernet + 20 bytes IP)
14
20
8
44
14
EOIP Tunnel
157
• Os MACs devem ser diferentes e estar 
entre o rage: 00-00-5E-80-00-00 e 00-
00-5E-FF-FF-FF, pois são endereços 
reservados para essa aplicação.
• O MTU deve ser deixado em 1500 
para evitar fragmentação.
• O túnel ID deve ser igual para ambos.
EOIP Tunnel
158
MK-4MK-3
10.10.40.254/24MK-1
10.10.40.1/2
4
ether8
EOIP EOIP
BRIDG
E
PPPoE Revisão
159
• Layer 2 Tunnel
• Pode rodar em uma vlan, interface,
bridge etc.
• Não conf IP na interface onde esta o
servidor PPPoE.
• Se a interface faz parte de uma Bridge
você pode colocar o PPPoE na Bridge
ou retirar a interface da Bridge. 
• Não é obrigatório o uso de Radius. 
L2TP Site to Site
• L2TP é um protocolo de encapsulamento seguro para transportar 
tráfego IP usando PPP.
• Usa UDP/1701 apenas para estabelecimento do link, depois ele 
pode usar qualquer outra porta UDP e ou ate se manter na 1701.
160
Internet
L2TP Client to Site
161
Internet
• O Windows e outros sistemas operacionais suporta o L2TP com 
IPSec assim como no RouterOS criando um canal seguro. 
PPTP
• Point To Point Tunnel Protocol é um tunnel layer-3 é uma VPN 
rápida e simples de configurar.
• Publicada em 1999 RFC 2637, desenvolvido por Microsoft, 3com, 
Alcatel. 
162
• Utiliza-se o protocolo TCP/1723 e o 47 GRE;
PPTP Site to Site
163
Internet
192.168.1.2/24 10.10.10.2/24
PPTP Client To Site
164
Internet
PPTP Server PPTP Client
• PPTP não é considerado seguro pelas vulnerabilidades 
encontradas.
SSTP
• Secure Socket Tunneling Protocol transporta PPP Tunnel sobre 
um canal TLS.
165
• TCP 443
SSTP
166
• SSTP sem certificado funcionará apenas entre dois roteadores 
MikroTik, pois não está de acordo com o padrão da Microsoft. 
Caso contrário, para estabelecer túneis seguros, a autenticação 
mschap e os certificados cliente / servidor devem ser usados
Internet
IPIP – IP Tunnel
• A implementação do IPIP no RouterOS é compatível com a RFC 2003.
167
• O Túnnel IPIP aparece na lista de interfaces do RouterOS mas não 
é possível adicionar esta interface em uma Bridge.
• É possível IPsec Secret para torna-lo um túnel seguro.
BCP – Bridge Control Protocol
• O RouterOS suporta BCP para os túneis PPP, PPTP, L2TP e PPPoE.
168
• É necessário que o Servidor e o Client suportem BCP.
• É possível IPsec Secret para torna-lo um túnel seguro.
• Com esta técnica podemos adicionar tuneis PPP em uma Bridge.
Redes Sociais
Te vejo na Web!
@Contract_ti
facebook.com/Leonardo.mikrotik
youtube.com/leomikrotik
facebook.com/contractti/
169
Muito Obrigado, espero revê-lo em breve!
Se puder, me add em suas redes sociais.
https://facebook.com/leonardo.mikrotik
https://www.youtube.com/leomikrotik
https://facebook.com/contractti
Pesquisa de Satisfação
Por favor, responda o questionário.
Quero ouvir sua opinião sobre o treinamento.
bit.ly/ctti-pesquisa
170
Muito Obrigado
Muito Obrigado, espero revê-lo em breve!
Se puder, me add em suas redes sociais.
171
Módulo – Dúvidas ?
172