Treinamento Mikrotik - Mtcre PDF
Treinamento Mikrotik - Mtcre PDF
Treinamento Mikrotik - Mtcre PDF
CERTIFICAO MTCRE
Produzido por: Alive Solutions
www.alivesolutions.com.br
Instrutor: Guilherme Ramires
AGENDA
Treinamento dirio das 09:00hs s 19:00hs
Coffe break as 16:00hs
Almoo as 13:00hs 1 hora de durao
Apresente-se a turma
Objetivo do Curso
Proporcionar conhecimento e treinamento
prtico no Mikrotik RouterOS bsico e os
conceitos avanados de roteamento para
redes de pequeno e mdio porte.
Aps a concluso do curso, voc ser capaz de
planejar, implementar, ajustar e depurar as
configuraes de um rede roteada no MikroTik
RouterOS.
6
Montando a Rede
Montando a Rede
Crie uma rede 192.168.XY.0/24 na ether1
entre o laptop (.1) e a RB (.254)
Conecte sua RB ao AP com SSID MTCRE
Adicione o IP 10.1.1.XY/24 na wlan1
Aponte o DNS e Gateway default para
10.1.1.254
Teste a conectividade internet pela RB e seu
notebook
Estando tudo ok, faa um backup da
configurao
8
Roteamento Simples
Distance
Policy Routing
ECMP
Scope
Dead-End
Recursive Next-Hop Resolving
Roteamento Simples
Em grupos de 4 alunos faam uma rede
conforme o slide a seguir;
Remove qualquer NAT que por ventura tenha
sido adicionado;
Usando rotas estticas simples alcancem as
redes dos notebooks;
11
Roteamento Simples
AP Principal
Laptop
R1
eth3: 194
eth2: 1
Laptop
eth2: 193
eth3: 130
R4
Laptop
10.10.Z.0/30
Z Nmero do seu grupo
eth2: 129
Laptop
R3
R2
eth3: 2
eth2: 65
eth3: 66
12
Exerccios
possvel criar rotas estticas que garantam:
Balanceamento de carga
Fail Over
Escolha do melhor caminho
13
Check-gateway
Voc pode usar esta opo para verificar se o
gateway remoto est respondendo utilizando
ICMP(ping) ou ARP;
Caso seja confirmado que o gateway no est
respondendo est rota ficar inativa
automaticamente;
Se a opo de Check-Gateway estiver ativada
em uma rota far com que a verificao esteja
ativa para todos os gateways adicionados nela.
15
ECMP
Evitando loops
Somente um participante ir criar uma rota ECMP
para cada rede 192.168.XY.0/24 com a opo
check-gateway;
Os demais participantes devero criar rotas
simples para alcanar uns aos outros - exceto o
primeiro participante;
Verifiquem a redundncia utilizando o traceroute;
Utilizem a opo undo para voltar as
configuraes iniciais e permitir que o prximo
participante crie o ECMP.
16
Distance
Caso exista dois gateways para o mesmo
destino e voc queira priorizar um gateway ao
invs do outro, voc pode usar o recurso da
distncia;
Para encaminhar o pacote o roteador ir
escolher a rota alcanvel com menor
distncia.
17
Distance
Crie duas rotas diferentes para cada
participante na rede local da seguinte forma:
Uma rota no sentido horrio com distance=1;
Uma rota no sentido anti-horrio com distance=2;
18
Distance
AP Principal
Laptop
Laptop
Laptop
BACKUP
LINK
Laptop
19
Problemas encontrados...
O trfego no ter problema algum em passar
no sentido horrio;
Caso a opo check-gateway detecte falha,
somente o roteador afetado ir passar o
trfego no sentido anti-horrio;
Soluo:
Se o trfego comea a no sentido anti-horrio, ele
dever ser roteado desta forma at alcanar seu
destino.
20
Marcas de Roteamento
Utilizadas para direcionar um determinado
trfego por uma rota especifica;
Essas marcas so imprimidas atravs do
menu Firewall Mangle e somente nos canais
prerouting e output;
A tabela de roteamento ir rotear os pacotes
conforme as marcas especificadas nas rotas
caso no exista rota com marcas, a rota default
ser usada.
21
Marcas de Roteamento
Marque todo trfego que passa pelo roteador
no sentido horrio;
Crie uma rota para estas marcas com destino
no gateway do sentido anti-horrio;
Verifique o correto fluxo do trfego atravs do
traceroute.
22
Alterando o TTL
24
Recurso Next-hop
possvel especificar um gateway para uma
rede mesmo que o gateway no esteja
diretamente ligado ao roteador;
til em setups onde a seo intermediria
entre seu roteador e o gateway no
constante(iBGP por exemplo);
A rota criada deve estar no scope de outra rota
para que o recurso de Next-hop funcione.
25
Recurso Next-hop
Quando h necessidade de mudar target-scope? Possveis
problemas com a abordagem descrita anteriormente que
todas as rotas na tabela sempre ser ativa. Este pode no ser
o que se deseja.
Exemplo: um roteador com duas interfaces, ethernet e
wireless. Todas as rotas BGP so resolvidos atravs da
ethernet e a interface wireless tem algumas rotas adicionais
esttica. Voc quer que essas rotas estticas se tornem ativas
apenas quando interface wireless est ativa. Normalmente
este o caso. No entanto, quando h uma rota padro com
scope baixo suficiente, todas as rotas sero mudadas para a
interface ethernet aps a interface wireless perder conexo.
Uma possvel soluo deixar o scope da rota padro intacta
e modificar o target-scope das rotas BGP.
26
27
Scope/Target-Scope
O escopo da rota contm todos os valores do atributo scope,
sendo este maior ou igual ao seu valor de target-scope;
Examplo:
28
Outras Opes
A opo Type permite criar rotas mortas
(blackhole, prohibit, unreachable) para
impedir que algumas redes sejam roteadas
pelo roteador;
A opo Preferred Source, permite apontar
qual endereo usar para o trfego gerado
localmente.
29
Areas
Costs
Virtual links
Route Redistribution
Aggregation
30
Protocolo OSPF
O protocolo OSPF utiliza o estado do link e o
algoritmo de Dijkstra para construir e calcular
o menor caminho para todos destinos
conhecidos na rede;
Os roteadores OSPF utilizam o protocolo IP 89
para comunicao entre si;
O OSPF distribui informaes de roteamento
entre roteadores pertencentes ao mesmo AS.
31
Exemplo de um AS
Area
Area
Area
Area
33
reas OSPF
A criao de reas permite voc agrupar uma
coleo de roteadores (entre 50 e 60);
A estrutura de uma rea no visvel para
outras reas;
Cada rea executa uma cpia nica do
algoritmo de roteamento ;
As reas OSPF so identificadas por um
nmero de 32 bits(0.0.0.0 255.255.255.255)
Esses nmeros devem ser nicos para o AS.
34
Tipos de Roteadores
Um ASBR(Autonomous System Border Router )
um roteador que se conecta a mais de um AS;
Um ASBR usado para redistribuir rotas recebidas de
outros AS para dentro de seu prprio AS
OSPF AS
ASBR
Area
ABR
Area
ABR
Area
ABR
Area
ASBR
36
rea Backbone
A rea backbone o corao da rede OSPF. Ela
possui o ID (0.0.0.0) e deve sempre existir;
A backbone responsvel por redistribuir
informaes de roteamento entre as demais
reas;
A demais reas devem sempre estar
conectadas a uma rea backbone de forma
direta ou indireta(utilizando virtual link).
37
Virtual Link
Utilizado para conectar reas remotas ao
backbone atravs de reas no-backbone;
38
Virtual Link
area-id=0.0.0.1
area-id=0.0.0.0
Virtual Link
area-id=0.0.0.2
area-id=0.0.0.3
ASBR
39
Redes OSPF
So utilizada para
encontrar outros
roteadores OSPF
correspondentes a
rea especificada;
Neighbours OSPF
Os roteadores OSPF encontrados esto listados
na aba Neighbours;
Aps a conexo ser estabelecida cada um ir
apresentar um status operacional conforme
descrito abaixo:
Full: Base de dados completamente sincronizada;
2-way: Comunicao bi-direcional estabelecida;
Down,Attempt,Init,Loading,ExStart,Exchange:
No finalizou a sincronizao completamente.
41
Neighbours OSPF
42
reas OSPF
Crie sua prpria rea OSPF;
Nome da rea: area-z
Area-id: 0.0.0.z
OSPF - Opes
Router ID: Geralmente o IP do
roteador. Caso no seja especificado
o roteador usar o maior IP que
exista na interface.
Redistribute Default Route:
Never: nunca distribui rota padro.
If installed (as type 1): Envia com mtrica 1
se tiver sido instalada como rota esttica,
dhcp ou PPP.
If installed (as type 2): Envia com mtrica 2
se tiver sido instalada como rota esttica,
dhcp ou PPP.
Always (as type 1): Sempre, com mtrica 1.
Always (as type 2): Sempre, com mtrica 2.
44
OSPF - Opes
Redistribute Connected Routes: Caso
habilitado, o roteador ir distribuir todas as
rotas relativas as redes que estejam
diretamente conectadas a ele.
Redistribute Static Routes: Caso habilitado,
distribui as rotas cadastradas de forma
esttica em /ip routes.
Redistribute RIP Routes: Caso habilitado,
redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado,
redistribui as rotas aprendidas por BGP.
Na aba Metrics possvel modificar as
mtricas que sero exportadas as diversas
rotas.
45
1
2
3
4
{
46
Custo=10
Custo=10
Custo=10
Custo Total=40
Custo=10
Origem
Custo Total=49
Custo=10
Custo=10
Destino
Custo=9
ASBR
47
Custo X
Custo X
Custo Total=10
Origem
Custo X
Custo Total=9
Custo X
Destino
Custo=9
ASBR
48
Redistribuio de Rotas
Habilite a re-distribuio de rotas conectadas
com type 1;
Verifique a tabela de roteamento
50
Laptop
ABR
Laptop
100
10
Laptop
BACKUP
LINK
10
100
10
Laptop
100
52
NBMA Neighbors
Em redes nobroadcast
necessrio especificar
os neighbors
manualmente;
A prioridade
determina a chance
do neighbor ser eleito
DR;
54
rea Stub
Uma rea Stub uma
rea que no recebe
rotas de AS externos;
Tipicamente todas rotas
para os AS externos so
substitudas por uma
rota padro. Esta rota
ser criada
automaticamente por
distribuio do ABR;
55
56
rea NSSA(Not-So-Stubby)
Um rea NSSA um tipo de rea stub que tem
capacidade de injetar transparentemente rotas
para o backbone;
Translator role Esta opo permite controlar
que ABR da rea NSSA ir atuar como
repetidor do ASBR para a rea de backbone:
Translate-always: roteador sempre ser usado
como tradutor.
Translate-candidate: ospf elege um dos
roteadores candidatos para fazer as tradues.
57
OSPF AS
default
default
area-id=0.0.0.1
area-id=0.0.0.0
area-id=0.0.0.2
NSSA
Virtual Link
area-id=0.0.0.3
Stub
ASBR
58
rea Lab
Modifique sua rea para stub;
Verifique as mudanas em sua tabela de rotas;
Confirme que a distribuio de rotas default
esteja never no ABR;
Marque a opo Inject Summary LSA no ABR
e desabilite no IR.
59
Agregao de reas
Utilizado para
agregar uma
range de redes
em uma nica
rota;
possvel atribuir
um custo para
essas rotas
agregadas;
60
Interface Passiva
O modo passivo
permite desativar as
mensagens de Hello
enviadas pelo protocolo
OSPF as interfaces dos
clientes;
Portanto ativar este
recurso sinnimo de
segurana;
62
Resumo OSPF
Para segurana da rede OSPF:
Use chaves de autenticao;
Use a maior prioridade(255) para os DR;
Use o tipo correto de rede para as reas;
63
ABR
Area1
Area tipo = stub
PPPoE
server
PPPoE
server
~250 clientes
PPPoE
~ 100 clientes
PPPoE
65
PPPoE
server
~250 clientes
PPPoE
PPPoE
server
~ 100 clientes
PPPoE
66
67
OSPF - Filtros
Os filtros devem ser aplicados tanto na entrada
quanto na sada de mensagens de atualizao
de roteamento;
O canal ospf-in filtra todas mensagens de
entrada de atualizao;
O canal ospf-out filtra todas mensagens de
sada de atualizao;
OSPF - Filtros
69
71
Roteamento e interfaces
Ponto-a-Ponto
VLAN
IPIP
EoIP
Endereamento Ponto-a-Ponto
72
Exemplo de VLAN
2.2.2.0/24
1.1.1.0/24
Rede Ethernet
vlan1: 1.1.1.1/24
vlan2: 2.2.2.1/24
vlan3: 3.3.3.1/24
3.3.3.0/24
74
75
VLAN em Switch
Portas switch VLAN compatveis podem ser
atribudas a um ou vrios grupos com base na
VLAN tag;
Portas Switch em cada grupo podem ser setadas:
Modo Tag: Permite adicionar a tag VLAN do grupo na
transmisso e permite receber essa tag;
Modo sem Tag: Permite remover a tag VLAN do grupo
na transmisso e permite somente receber pacotes
sem tag;
Undefined: Porta no tem relao com o grupo;
VLAN Lab
Restaure o backup de sua RB;
Crie grupos de 4;
Se conectem pela wireless Um AP e 3
clientes;
Crie um link VLAN pra cada participante;
Crie redes /30 para os links VLAN e teste a
conectividade.
77
IPIP
O protocolo IPIP permite criar tneis
encapsulando pacotes IP em pacotes IP e
enviando para outro roteador;
O IPIP um tnel de camada 3 e portanto no
pode ser colocado em bridge;
RouterOS implementa o IPIP conforme a RFC
2003 e tem compatibilidade com qualquer
fabricante que implemente o mtodo com
base na mesma RFC;
78
IPIP - Lab
Supondo que temos que unir as redes que
esto por trs dos roteadores 10.0.0.1 e
22.63.11.6. Para tanto basta criemos as
interfaces IPIP em ambos, da seguinte forma:
79
IPIP - Lab
Agora precisamos atribuir os IPs as interfaces
criadas.
EoIP
Os tneis EoIP utilizam o protocolo IP 47/GRE
para encapsular os frames ethernet em
pacotes IP e envi-los para outro roteador;
Este protocolo proprietrio Mikrotik;
EoIP um tnel de camada 2 e portanto pode
ser colocado em bridge;
Para criar o tnel voc deve especificar o ID e o
endereo remoto;
81
EoIP
Bridge
Rede Local
192.168.0.1/24 - 192.168.0.100/24
Bridge
Rede Local
192.168.0.101/24 - 192.168.0.255/24
83
EoIP - Lab
Criando um tnel EoIP entre as
redes por trs dos roteadores
10.0.0.1 e 22.63.11.6.
Os MACs devem ser diferentes e
estar entre o range: 00-00-5E-8000-00 e 02-00-5E-FF-FF-FF, pois
so endereos reservados para
essa aplicao.
O MTU deve ser deixado em
1500 para evitar fragmentao.
84
EoIP - Lab
Adicione a interface
EoIP a bridge,
juntamente com a
interface que far
parte do mesmo
domnio de broadcast.
85
Endereamento Ponto-a-Ponto
O endereamento ponto-a-ponto utiliza somente 2
hosts, enquanto o /30 utiliza 4;
Neste caso no existe endereo de broadcast,
porm o endereo de rede deve ser setado
manualmente apontando o endereo IP remoto;
Router 1: address=1.1.1.1/32, network=2.2.2.2
Router 2: address=2.2.2.2/32, network=1.1.1.1
Exemplo de Endereamento
Ponto-a-Ponto
P2P_int2: 3.3.3.3/32
Network: 1.1.1.1
P2P_int3: 4.4.4.4/32
Network: 1.1.1.1
Qualquer Rede IP
(LAN, WAN ou Internet)
P2P_int1: 1.1.1.1/32
Network: 2.2.2.2
P2P_int2: 1.1.1.1/32
Network: 3.3.3.3
P2P_int3: 1.1.1.1/32
Network: 4.4.4.4
Network: 1.1.1.1
P2P_int1: 2.2.2.2/32
87
88
Laboratrio Final
Abram um terminal
Executem: /system reset-configuration nodefaults=yes
89
Obrigado!!
Contato: [email protected]
Site: www.alivesolutions.com.br
Fan Page: www.fb.com/AliveSolutions