MikroTik RouterOS Entrenamiento
Routing Javier Berengue Entrenador Certificado
© MikroTik 2011
Agenda 09:00 – 10:30 Sesion de la Mañana I 10:30 – 11:00 Recreo
11:00 – 12:30 Sesion de la Mañana II 12:30 – 13:30 Almuerzo
13:30 – 15:00 Sesion de la Tarde I 15:00 – 15:30 Recreo
15:30 – 17:00 (18.00) Sesion de la Tarde II
© MikroTik 2011
2
Instructor Javier Eduardo Berengue, Ingeniero de soporte y entrenamiento Especialización: Wireless, PPP, Firewall, Routing E_mail:
[email protected] Cel : 54 9 11 49360506.
© MikroTik 2011
3
Pasando en Limpio Materiales del Curso Routers, cables Recreo y almuerzo Baños y area de fumadores.
© MikroTik 2011
4
Objetivos del Curso Proporcionar un conocimiento profundo y práctico de formación básica para Mikrotik RouterOS y los avances de Routing para redes pequeñas y medianas. Al finalizar el curso serás capaz de planificar, implementar, ajustar y depurar configuraciones de red con Router Mikrotik sobre RouterOS.
© MikroTik 2011
5
Presentación Por favor, preséntate a la clase Tu Nombre Tu Empresa ¿Tienes conocimientos previos de RouterOS? Tus conocimientos previos de redes ¿Cuáles son tus expectativas en este curso?
Por favor recuerda tu numero en el curso XY. (X es el número de aula, Y es tu numero de asiento en el aula)
Mi número es:_________ © MikroTik 2011
6
Laboratorio en Clase Crea la red 192.168.XY.0/24 Ethernet network entre tu notebook (.1) y el router (.254). Conecta tu router al AP SSID “CURSO”. Asigna la dirección IP 10.1.1.XY/24 a la wlan1. Configura GW y DNS cuya dirección es 10.1.1.254 Accede a Internet desde las Notebook a través de tu router. Crear un nuevo usuario en tu router con capacidad de Admin. © MikroTik 2011
7
Laboratorio en Clase
© MikroTik 2011
8
Laboratorio en Clase(cont.) Establece la identidad del sistema de la placa y el nombre de la tarjeta wireless a “XY_”. Ejemplo: “00_Janis”. Mejora tu router a la más nueva version Mikrotik RouterOS version 4.x Mejora tu versión de Winbox. Configura el cliente NTP – usa 10.1.1.254 como server. Crea un backup y copialo a la laptop (esta sera tu Configuración por defecto). © MikroTik 2011
9
Routeo Simple
Distancia, Políticas de Routeo, ECMP, Alcance, Rutas muertas y Resolución del Siguiente Salto (Next-Hop) recurrente. © MikroTik 2011
10
Routeo estático simple Sólo un gateway para una sola red.
Las rutas más específicas en la tabla de Routeo tienen mayor prioridad que las menos específicas.
© MikroTik
Una ruta con destino de red 0.0.0.0/0 significa básicamente 11 2011 “todas las demás”.
Laboratorio de routeo simple Armar con el profesor grupos de 4 y asignar un específico número de grupo “Z”.
Utiliza todos los medios necesarios (cables, inalámbrica) para crear la estructura de red IP de la siguiente diapositiva. Retira cualquier regla de NAT (enmascarada) de los routers.
Mediante el uso de sencillas rutas estáticas solamente, garantiza la conectividad entre las Laptop. © MikroTik 2011
12
© MikroTik 2011
PREGUNTAS! ¿Es posible crear manualmente las rutas que aseguren: Load balancing (Equilibrio de carga)? Failover? Mejor Camino?
¿Es posible crear rutas en esta situacion? ¡Miremos un poco!
© MikroTik 2011
14
Rutas ECMP ECMP (Equal Cost Multi Path): Rutas que tienen más de un gateway a la misma red remota. Los gateways seran usados en Algoritmo de Round Robin por combinacion de dirección SRC/DST.
¡¡En la misma puerta de enlace se puede escribir varias veces!! © MikroTik 2011
15
Rutas ECMP ECMP necesita tener gateways con distintos números IP, recordar que solo este puede no funcionar bien para conecciones tipo FTP o webproxy. Para habilitar el ecmp se ingresa la siguiente linea de ejemplo
• /ip route add gateway=192.168.0.1,192.168.2.1
Politicas de Ruteo:
Con las politicas de ruteo se pueden rutear paquetes que fueron configurados por el administrador Las rutas ECMP pueden ser también creadas por RIP o OSPF
© MikroTik 2011
16
Opción de “Check-gateway” Puedes configurar el router para verificar la accesibilidad del gateway usando ICMP (ping) o Protocolo ARP. Si el gateway no es accesible en una ruta simple, la ruta se vuelve inactiva.
Si un gateway es inaccesible en una ruta ECMP, sólo el/los gateways accesibles serán usados en el Algoritmo de Round Robin. Si la opción Check-gateway está activa en una ruta afectará a todas las rutas con ese gateway.
© MikroTik 2011
17
Laboratorio ECMP Para evitar “routing loops” (bucles de routeo): Solo un participante creará ECMP a cada red 192.168.XY.0/24 con “check-gateway”. Otros participantes modificarán sus rutas simples para alcanzarse unos a otros sin rutas excepto el primer participante.
Comprueba la redundancia. Usa “traceroute” para examinar el setup. Usa “Deshacer” para obtener la configuración pre-laboratorio – recien ahora continúa con el participante siguiente y comienza de nuevo. © MikroTik 2011
18
Ejemplo de Configuracion
© MikroTik 2011
19
Opción de “Distance” (Distancia) Para priorizar una ruta sobre otra, si las dos estan dirigidas a la misma red, usa la opción de “Distance”. Cuando se envía un paquete, el router usará la ruta con la distancia más corta y el gateway más alcanzable.
© MikroTik 2011
20
Laboratorio de distancia entre rutas Crea 2 rutas separadas por cada red local de los participantes: Una ruta “clockwise” (sentido de las agujas del reloj) con Distance=1 Una ruta “anticlockwise” (sentido contrario de las agujas del reloj) con Distance=2
Comprueba la redundancia deshabilitando las direcciones IP de los gateways “clockwise”. Usa “traceroute” para examinar el setup. © MikroTik 2011
21
© MikroTik 2011
Ejemplo de configuración
© MikroTik 2011
23
Comportamiento observado El trafico no tiene problemas para pasar “clockwise”. En caso de que falle el “check-gateway”, sólo los routers afectados pasarán el tráfico “anticlockwise” – todos los otros routers continuarán enviándolo “clockwise”. Solución: Si el trafico comienza a ir “anticlockwise”, debe routearse “anticlockwise” hasta que llegue a destino. © MikroTik 2011
24
Routing Marks (Marcas de routeo) Para asignar tráfico específico a la ruta, éste debe ser identificado por una “routing mark”. Las marcass pueden ser asignadas por “IP firewall mangle” sólo en cadenas prerouteo y “output”. Los paquetes con la “routing mark” serán ignorados por la tabla de routeo principal si hay al menos una ruta para esa marca (si no, se usará la tabla de routeo principal). Cada paquete sólo puede tener una “routing mark”. © MikroTik 2011
25
Laboratorio de políticas de routeo Marca todo el tráfico que pasa por el router (cadena prerouteo) en dirección “anticlockwise”.
Crea una ruta para el tráfico marcado (usa la opción “routing-mark”) y envíalo en dirección “anticlockwise”. Comprueba la redundancia deshabilitando las direcciones IP de los gateways “clockwise”.
Usa “traceroute” para examinar el setup.
© MikroTik 2011
26
Ejemplo de Regla de “routing mark”
© MikroTik 2011
27
Ejemplo de configuración
© MikroTik 2011
28
Time To Live (TTL) TTL es un límite de dispositivos Layer3 que un paquete de IP puede experimentar antes de que deba ser desechado. El valor por defecto de TTL es 64 y cada router reduce el valor por uno justo antes de la decisión del envío. El TTL puede ser ajustado en “IP firewall mangle”.
El router no pasara tráfico al dispositivo siguiente si recibe un paquete de IP con TTL=1 Aplicación util: Elimina la posibilidad de que los clientes creen redes enmascaradas. © MikroTik 2011
29
Cambiando el TTL
© MikroTik 2011
30
Recursive Next-Hop Resolving (Resolución del Siguiente Salto recurrente) Es posible especificar el gateway a la red aún si el gateway no es directamente alcanzable, usando “Recursive Next-Hop Resolving” desde cualquier ruta existente. Útil para setups donde la sección intermedia entre tu router y el gateway no es constante (iBGP por ejemplo). Una ruta debe estar en el alcance de otra para que funcione el “Recursive Next-Hop Resolving”. © MikroTik 2011
31
Scope(alcance)/Target-Scope(Objetivo de Alcance) El alcance de la ruta abarca todas aquellas rutas cuyo valor de “scope” es menor o igual al valor de su “target-scope”. Ejemplo: 0 ADC dst-address=1.1.1.0/24 pref-src=1.1.1.1 interface=ether1 scope=10 target-scope=0 1 A S dst-address=2.2.2.0/24 gateway=1.1.1.254 interface=ether1 scope=30 target-scope=10 2 A S dst-address=3.3.3.0/24 gateway=2.2.2.254 interface=ether1 scope=30 target-scope=30 © MikroTik 2011
32
© MikroTik 2011
33
Otras opciones Opción “Type (Tipo)”: Permite crear rutas muertas (agujeros negros/prohibidas/inalcanzables) para bloquear el routeo de algunas redes más adelante en la red.
Opción “Preferred Source (Fuente preferida)”: Selecciona la dirección del router fuente preferido para paquetes originados localmente.
© MikroTik 2011
34
Limpieza del laboratorio Borra todas las “mangle rules”. Borra todas las rutas IP. Deja todas las direcciones IP y la estructura de la red intactas.
© MikroTik 2011
35
Open Shortest Path First (OSPF) Áreas, Costos, Links virtuales, Redistribución y agregación de rutas.
© MikroTik 2008
Protocolo OSPF El protocolo Open Shortest Path First utiliza un “link-state” y el Algoritmo de Dijkstra para construir y calcular el camino más corto a todas las redes destino conocidas. Los routers OSPF usan el protocolo de IP 89 para comunicarse unos con otros. OSPF distribuye la información de routeo entre los routers perteneciendo a un sólo sistema autónomo (AS).
© MikroTik 2011
37
Autonomous System (Sistema autónomo) (AS) Un sistema autónomo es una colección de redes IP y routers bajo el control de una entidad (OSPF, iBGP ,RIP) que presenta una política de routeo común al resto de la red. Un AS se identifica por un número 16 bit (0 65535). Del 1 al 64511 es para uso en Internet.
Del 64512 al 65535 es para uso privado.
© MikroTik 2011
38
Áreas OSPF OSPF permite agrupar conjuntamente colecciones de routers (menos de 80 routers en un grupo). La estructura de un área es invisible desde fuera de ese área. Cada área trabaja una copia separada del “linkstate” algoritmo de routeo básico. Las áreas OSPF se identifican con números 32bit (4-byte) (0.0.0.0 – 255.255.255.255). La ID del área debe ser única dentro del AS. © MikroTik 2011
39
OSPF AS
Area
Area
Area
© MikroTik 2011
Area
40
Tipos de router Un Autonomous System Border Router (Router de Frontera de Sistema Autónomo) (ASBR) - es un router que está conectado a más de un AS. Un ASBR es utilizado para distribuir rutas recibidas desde otros AS en todo su propio AS. Un Area Border Router (Router de Frontera de Área) (ABR) es un router que está conectado a más de un área de OSPF. Un ABR conserva múltiples copias de la base de datos “linkstate” en su memoria, una por cada área.
Un Internal Router (Router Interno) (IR) es un router que está conectado a un área únicamente.
© MikroTik 2011
41
© MikroTik 2011
Área Backbone (Columna Vertebral) El área “backbone” (area-id=0.0.0.0) forma el núcleo de una red OSPF.
El backbone es responsable de la distribución de la información de routeo entre las areas “nobackbone”. Cada área “no-backbone” debe estar conectada al área “backbone” (directamente o usando links virtuales).
© MikroTik 2011
43
Links Virtuales Se utilizan para conectar áreas remotas con el área “backbone” a través de un área “no-backbone”.
También se utiliza para conectar dos partes de un área “backbone” a través de un área “no-backbone”. © MikroTik 2011
OSPF AS area-id=0.0.0.1 area-id=0.0.0.0
Virtual Link
area-id=0.0.0.2
area-id=0.0.0.3
ASBR © MikroTik 2011
45
© MikroTik 2011
Redes OSPF Es necesario especificar redes y áreas asociadas a la hora de buscar otros routers OSPF.
Debes usar redes exactas de las interfaces del router (no las agregues). © MikroTik 2011
Estados del Vecino OSPF “Full(completo)”: las bases de datos “link state” están completamente sincronizadas. “2-Way (2 caminos)”: Comunicación bidireccional establecida “Down”, ”Attempt”, “Init”, “Loading”, “ExStart”, “Exchange”: ¡no andan completamente! © MikroTik 2011
Estados del Vecino OSPF Relación con los vecinos en OSPF Cada Ruteador OSPF realiza un seguimiento de sus nodos vecinos, estableciendo distintos tipos de relación con ellos. Respecto a un router dado, sus vecinos pueden encontrarse en siete estados diferentes: Estado Desactivado (DOWN) En el estado desactivado, el proceso OSPF no ha intercambiado información con ningún vecino. OSPF se encuentra a la espera de pasar al siguiente estado (Estado de Inicialización) Estado de Inicialización (INIT) Los routers OSPF envían paquetes tipo 1, o paquetes Hello, a intervalos regulares con el fin de establecer una relación con los Routers vecinos. Cuando una interfaz recibe su primer paquete Hello, el router entra al estado de Inicialización. Esto significa que este sabe que existe un vecino a la espera de llevar la relación a la siguiente etapa. Los dos tipos de relaciones son Bidireccional y Adyacencia. Un router debe recibir un paquete Hello (Hola) desde un vecino antes de establecer algún tipo de relación
© MikroTik 2011
Estados del Vecino OSPF Estado Bidireccional (TWO-WAY) Empleando paquetes Hello, cada enrutador OSPF intenta establecer el estado de comunicación bidireccional (dos-vías) con cada enrutador vecino en la misma red IP. Entre otras cosas, el paquete Hello incluye una lista de los vecinos OSPF conocidos por el origen. Un enrutador ingresa al estado Bidireccional cuando se ve a sí mismo en un paquete Hello proveniente de un vecino. El estado Bidireccional es la relación más básica que vecinos OSPF pueden tener, pero la información de enrutamiento no es compartida entre estos. Para aprender los estados de enlace de otros enrutadores y eventualmente construir una tabla de enrutamiento, cada enrutador OSPF debe formar a lo menos una adyacencia. Una adyacencia es una relación avanzada entre enrutadores OSPF que involucra una serie de estados progresivos basados no sólo en los paquetes Hello, sino también en el intercambio de otros 4 tipos de paquetes OSPF. Aquellos routers intentando volverse adyacentes entre ellos intercambian información de encaminamiento incluso antes de que la adyacencia sea completamente establecida. El primer paso hacia la adyacencia es el estado ExStart. Estado EXSTART Cuando un router y su vecino entran al estado ExStart, su conversación es similar a aquella en el estado de Adyacencia. ExStart se establece empleando descripciones de base de datos tipo 2 (paquetes DBD), también conocidos como DDPs. Los dos routers vecinos emplean paquetes Hello para negociar quien es el "maestro" y quien es el "esclavo" en su relación y emplean DBD para intercambiar bases de datos. Aquel router con el mayor router ID "gana" y se convierte en el maestro. Cuando los vecinos establecen sus roles como maestro y esclavo entran al estado de Intercambio y comienzan a enviar información de enrutamiento.
© MikroTik 2011
Estados del Vecino OSPF Estado de Intercambio (EXCHANGE) En el estado de intercambio, los routers vecinos emplean paquetes DBD tipo 2 para enviarse entre ellos su información de estado de enlace. En otras palabras, los routers se describen sus bases de datos de estado de enlace entre ellos. Los routers comparan lo que han aprendido con lo que ya tenían en su base de datos de estado de enlace. Si alguno de los routers recibe información acerca de un enlace que no se encuentra en su base de datos, este envía una solicitud de actualización completa a su vecino. Información completa de encaminamiento es intercambiada en el estado Cargando. Estado Cargando (LOADING) Después de que las bases de datos han sido completamente descritas entre vecinos, estos pueden requerir información más completa empleando paquetes tipo 3, requerimientos de estado de enlace (LSR). Cuando un enrutador recibe un LSR este responde empleando un paquete de actualización de estado de enlace tipo 4 (LSU). Estos paquetes tipo 4 contienen las publicaciones de estado de enlace (LSA) que son el corazón de los protocolos de estado de enlace. Los LSU tipo 4 son confirmados empleando paquetes tipo 5 conocidos como confirmaciones de estado de enlace (LSAcks). Estado de Adyacencia completa (FULL) Cuando el estado de carga ha sido completada, los enrutadores se vuelven completamente adyacentes. Cada enrutador mantiene una lista de vecinos adyacentes, llamada base de datos de adyacencia.
© MikroTik 2011
Laboratorio de Área OSPF Crea tu propia área area name «Area»
area-id=0.0.0.
Asigna redes a las áreas. Comprueba tus vecinos OSPF y las tablas de routeo . El dueño del ABR debe también configurar el área “backbone” y las redes. El AP principal debe estar en la lista de vecinos del OSPF del ABR. © MikroTik 2011
52
Configuraciones OSPF La ID del router debe ser la única dentro del AS
La ID del router puede dejarse como 0.0.0.0. Entonces se usará la dirección IP más larga asignada © MikroTik 2011
¿Qué redistribuir? La ruta por defecto no se considera ruta estática
© MikroTik 2011
Configuración de redistribución “if-installed” – Envía la ruta por defecto sólo si ha sido instalada (estática, DHCP, PPP, etc.).
“always” – Siempre envía la ruta por defecto. “as-type-1” – la decisión remota de routeo a esta red será tomada en base a la suma de la métrica externa e interna. “as-type-2” – la decisión remota de routeo a esta red será tomada en base a la métrica externa (la interna será trivial). © MikroTik 2011
55
Métrica Externa Tipo 1
© MikroTik 2011
Métrica Externa Tipo 2
© MikroTik 2011
Laboratorio de redistribución Habilita la redistribución “type 1” para todas las rutas conectadas.
Mira la tabla de routeo. Agrega una ruta estática a la red 172.16.XY.0/24
Habilita la redistribución “type 1” para todas las rutas estáticas. Mira la tabla de routeo. © MikroTik 2011
58
Costo de interfaz
Todas las interfaces tienen costo por defecto de 10. Para anular la configuración por defecto debes añadir una nueva entrada en el menú de interfaces.
Elige el tipo correcto de red para la interfaz. © MikroTik 2011
Routers designados Para reducir el tráfico OSPF en redes NBMA y de transmisión networks, fue presentada una sola fuente para actualizar routers – “Designated Router” (DR). DR mantiene una completa tabla de topología de la red y envía las actualizaciones a las otras. El router con la máxima prioridad (diapositiva anterior) será elegido como DR.
El router con la siguiente máxima prioridad será elegido como Backup DR (BDR). Un Router con prioridad 0 nunca será DR or BDR. © MikroTik 2011
60
Laboratorio de interfaz OSPF Elige el tipo de red correcto para todas las interfaces OSPF.
Asigna los costos (diapositiva siguiente) para asegurar una sola dirección de tráfico en el área. Comprueba tu tabla de routeo las rutas ECMP. Asigna los costos necesarios así el link backup se utilizará sólo cuando falle algun otro link. ¡Comprueba la redundancia de la red OSPF!
Asegúrate de que el ABR sea DR en tu área, © MikroTik 2011 pero no en el área “backbone”.
61
© MikroTik 2011
Vecinos NBMA Para las redes sin transmisión es necesario especificar los vecinos manualmente.
La prioridad determina la chance del vecino para que sea elegido Router Designado © MikroTik 2011
Área Stub (aislada) Un área “stub” es aquella que no recibe rutas externas del AS. Normalmente todas las rutas hacia redes AS externas pueden ser reemplazadas por una ruta por defecto. Esta ruta sera automáticamente creada y distribuida por el ABR.
© MikroTik 2011
64
Área Stub (2) La opción «Inject Summary LSA» permite recolectar “Link State Advertisements (LSA)” de un router del área “backbone” o de otra área e inyectarlos en el área “stub”. Habilita la opción «Inject Summary LSA» solo en el ABR. «Inject Summary LSA» no es una agregación de ruta. El costo de«Inject Summary LSA» esta especificado por la opción «Default area cost». © MikroTik 2011
65
“Not-So-Stubby Area (Área no tan Aislada)” (NSSA) NSSA es un tipo de Área Stub que puede inyectar transparentemente al área “backbone” routers externos al AS. La opción «Translator role (Rol de traductor)» permite controlar qué ABR del área NSSA actuará como transmisor del ABSR al área “backbone”. © MikroTik 2011
© MikroTik 2011
Laboratorio de tipos de área Configura el tipo de tu área en «stub» ¡Comprueba tu tabla de routeo y fíjate los cambios! Asegurate que la redistribución por defecto en el ABR esté establecida como «never (nunca)». Establece la opción «Inject Summary LSA»: En el ABR como «enable (habilitar)». En el IR como «disable (deshabilitar)». © MikroTik 2011
68
Interfaz “Passive (Pasiva)” Es necesario asignar las redes del cliente al área o el área stub las considerará como externas. ¡¡Es una cuestión de seguridad!!
La opción “Passive” te permite deshabilitar el protocolo OSPF “Hello” en las © MikroTik 2011 Interfaces del cliente.
Rangos de Área Los rangos de dirección se usan para agregar (reemplazar) rutas de redes de dentro del área en una sóla ruta o borrarlas Es posible asignar un costo específico para agregar una ruta.
© MikroTik 2011
Laboratorio de agregación de rutas Anuncia sólo una ruta 192.168.Z.0/24 en lugar de cuatro/26 (192.168.Z.0/26, 192.168.Z.64/26, 192.168.Z.128/26, 192.168.Z.192/26) en el área “backbone”. Detén el anuncio de las redes backup al área “backbone”. Comprueba la tabla principal de routeo del AP.
© MikroTik 2011
71
Resumen Para proteger tu red OSPF: Usa claves de autentificación (para interfaces y áreas). Usa la máxima prioridad (255) con el router designado.
Usa los tipos de redes correctos para el área.
Para aumentar el rendimiento de tu red OSPF: Usa los tipos de área correctos. Usa la agregación de rutas tanto como sea posible. © MikroTik 2011
72
OSPF y Interfaces VPN Dinámicas Cada interfaz VPN dinámica: crea una nueva ruta /32 “Dynamic, Active, Connected (Dinámica, Activa, Conectada) (DAC)” en la tabla de routeo cuando aparece. remueve esa ruta cuando desaparece. Problemas: Cada uno de estos cambios resultan en una actualización del OSPF si “redistribute-connected (redistribuir-conectado)” esta habilitado (flood de actualización en redes VPN grandes). El OSPF creará y enviará LSA a cada interfaz si la red VPN está asignada a cualquier área (rendimiento lento). © MikroTik 2011
73
© MikroTik 2011
© MikroTik 2011
Laboratorio “PPPoE area” (discusion) Sugiere una solución para cada problema mencionado anteriormente si el tipo de área utilizado es “stub”.
Intenta encontrar una solución para cada problema mencionado anteriormente si el tipo de área utilizado es “default”.
© MikroTik 2011
76
Filtros de routers OSPF Los filtros de routeo pueden ser aplicados a mensajes de actualización OSPF entrantes y salientes. Encadena “ospf-in” para todos los mensajes de actualización entrantes.
Encadena “ospf-out” para todos los mensajes de actualización salientes.
Los filtros de routeo solo pueden manejar rutas OSPF externas (rutas para las redes que no estan asignadas a ningun área OSPF). © MikroTik 2011
77
© MikroTik 2011
Filtros de Routeo y VPN Es posible crear una regla de filtro de routeo para restringir todas las rutas /32 de entrar en el OSPF. Es necesario tener una ruta agregada a esta red VPN: Teniendo la dirección de la red VPN agregada a cualquier interfaz del router. Sugerencia: ubica esta dirección en la interfaz donde está funcionando el server VPN. Sugerencia: usa la dirección de la red, entonces los clientes no podrán evadir tu servicio VPN.
Creando una ruta estática al router mismo. © MikroTik 2011
79
© MikroTik 2011
Routeo e Interfaz “point-to-point VLAN, IPIP, EOIP, direccionando “point-to-point”.
© MikroTik 2008
Virtual LAN (802.1Q) Virtual LAN (VLAN) permite agrupar dispositivos de redes en subgrupos independientes aún estando ubicados en el mismo segmento LAN. Para que los routers se comuniquen la ID de VLAN debe ser la misma para las interfaces VLAN. Los puertos en el router soportan multiples (hasta 250) VLAN en una sóla interfaz ethernet. VLAN puede configurarse sobre otra interfaz VLAN - “Q-in-Q” (from 802.1Q) © MikroTik 2011
82
© MikroTik 2011
© MikroTik 2011
VLAN on Switch (en cambio) “VLAN-compliant switch ports (los puertos de cambio „sumisos‟ de la VLAN)” pueden ser asignados a uno o mas grupos en base a la etiqueta de la VLAN.
El “switch port” en cada grupo puede establecerse como: “Tagged mode (modo etiquetado)” – permite añadir la etiqueta en transmisión de la VLAN del grupo y permite recibir “frames” con esta etiqueta. “Untagged mode (modo no etiquetado)” – permite remover la etiqueta en transmisión de la VLAN del grupo, y permite recibir sólo paquetes no etiquetados. – el puerto no tiene relación con este grupo. “Trunk port” – puerto etiquetado para varios grupos de VLAN. © MikroTik 2011
85
Laboratorio VLAN Restaura el backup por defecto. Crea un grupo de 4. Conéctense utilizando wireless - un AP, 3 clientes.
Crea un link VLAN a cada participante. Asigna redes /30 a los links VLAN y compruébalas.
© MikroTik 2011
86
IPIP El protocolo de IP “4/IPIP” permite crear un túnel encapsulando paquetes de IP en paquetes de IP y enviándolos a otro router. IPIP es un túnel Layer-3 – no puede „puentearse‟ RouterOS implementa túneles IPIP de acuerdo con RFC 2003 – deberían ser compatibles con las implementaciones IPIP de otros vendedores. Para crear un túnel debes especificar la dirección del router local y del remoto en ambos lados del túnel. © MikroTik 2011
87
© MikroTik 2011
Laboratorio IPIP Reemplaza todas las VLAN (del laboratorio anterior) con túneles IPIP.
Asegúrate de que puedes hacer “ping” con la dirección remota antes de crear un túnel con ella. Asigna direcciones IP /30 (del laboratorio anterior) a interfaces IPIP y comprueba todos los túneles.
© MikroTik 2011
89
© MikroTik 2011
Direccionando “Point-to-point” La dirección “Point-to-point” utiliza sólo dos IP por link mientras que /30 utiliza cuatro.
No hay direcciones de transmisión, pero la dirección de red debe establecerse de forma manual a la dirección IP opuesta. Example: Router1: address=1.1.1.1/32, network=2.2.2.2 Router2: address=2.2.2.2/32, network=1.1.1.1
Puede haber direcciones /32 idénticas en el router – cada dirección tendrá una ruta conectada diferente. © MikroTik 2011
91
© MikroTik 2011
Laboratorio de direcciones Reemplaza las direcciones /30 en las interfaces IPIP (del laboratorio anterior) con direcciones “point-to-point” /32. Asegúrate de que todos los otros participantes puedan hacerte ping por dirección IP XY.XY.XY.XY a través de todos los túneles IPIP. ¡Analiza cuántas direcciones IP fueron utilizadas en los túneles IPIP tunnels para el setup de todo el grupo! © MikroTik 2011
93
Túnel Ethernet Over IP (EOIP) El protocolo de IP 47/GRE permite crear un túnel encapsulando “frames” de la Ethernet en paquetes IP y enviándolos a otro router. Es el protocolo patentado por MikroTik. EOIP es un túnel Layer-2– puede ser „puenteado‟
Para crear un túnel debes especificar la dirección del router remoto y elegir una única ID de túnel. Comprueba que tu interfaz EOIP tiene diferente dirección MAC con respecto al lado opuesto.
© MikroTik 2011
94
© MikroTik 2011
© MikroTik 2011
Laboratorio EoIP Reemplaza todos los túneles IPIP (del laboratorio anterior) con túneles EOIP.
Asegúrate de que puedes hacer “ping” con la dirección remota antes de crear un túnel con ella. „Puentea‟ todas las interfaces EoIP con la interfaz local.
Comprueba la característica “Neighbour discovery (Descubrimiento de vecinos)” de Winbox Loader (botón “...”). © MikroTik 2011
97
MME wireless routing protocol un vistazo
© MikroTik 2011
98
NOTA : Tenga en cuenta que MME no es un reemplazo para OSPF o RIP. Está destinado a ser utilizado en redes de malla “MESH”, y es más adecuado para nodos inalámbricos con una interfaz lógica. Cuando se utiliza en las redes tradicionales, la sobrecarga de protocolo será mayor que incluso la de RIP.
© MikroTik 2011
99
MME – Mesh Made Easy Propagacion de rutas Asi como en protocolos tradicionales como RIP o OSPF podemos nósostros con MME habilitado “aprender las rutas” para las redes de los que nos las an publicado.
© MikroTik 2011
100
MME – Mesh Made Easy Propagacion de rutas Ruta “aprendida por MME” 10.10.XY.0/24 gw 192.168.100.XY
© MikroTik 2011
101
MME – Mesh Made Easy como son definidos los gateways? Diferentemente de otros protocolos tradicionales como RIP o OSPF en una configuracion de MME normalmente no se propaga la ruta default (es posible propagarla, poro no es recomendable) Para hacer la ruta de los paquetes para un nodo que no forma parte de la nuve MME el adminstrador configura los nodos que “pretenden” ser ruteadores y define la banda que estos pueden entregar. Los clientes deben selecionar el critério de eleccion del gateway a usar. © MikroTik 2011
102
MME Continuacion Las ideas principales detrás de MME se basan en las observaciones hechas en las redes de Mesh móvil: puede ser imposible saber la topología exacta de toda la red, ya que está cambiando rápidamente; si cambia la topología de enrutamiento se dispara el recálculo para todos los nodos de la red, y para sistemas embebidos, el cálculo de la tabla de enrutamiento, la sobrecarga de la CPU pueden ser significativos. Para evitar estos problemas, un nodo MME: sólo se preocupa por el mejor vecino para una ruta a un destino concreto; evita los cálculos de la tabla de enrutamiento. Las funciones secundarias del protocolo MME son: llevar información sobre puertas de acceso a Internet, y dinámicamente las rutas de configuración por defecto. Esta parte de la MME responsable es llamada "the gateway protocol". El protocolo MME utiliza el puerto UDP 1966 para el tráfico de origen del mensaje. El protocolo de puerta de enlace está usando el puerto TCP 1968.
Se asume en una operación normal del protocolo, un gran número de estos mensajes se pierden debido a la mala calidad del enlace. Este supuesto es importante si estamos hablando de gastos de protocolo. Teóricamente, el consumo del propio trafico del protocolo es al menos tan grande como para RIP, y Obiamente peor que la de los protocolos de enrutamiento de estado de vínculos (OSPF, OLSR) a menos que la topología cambie constantemente.
© MikroTik 2011
103
DIAGRAMA MESH
© MikroTik 2011
104
