Professional Documents
Culture Documents
em MikroTik RouterOS
Lancore Networks e BRAUSER
Introduo
Consultor em Internetworking
Equipe experiente com casos de sucesso em
Routing, Caching, Wireless etc.
Agenda
Treinamento dirio das 09:00hs s 18:00hs
7
Nivelamento de conhecimentos TCP/IP
37
Modelo OSI
(Open System Interconnection)
Interconnection
CAMADA 7 Aplicao: Comunicao com os programas. SNMP e TELNET.
38
Camada I Camada Fsica
A camada fsica define as caractersticas
tcnicas dos dispositivos eltricos.
41
Camada III - Rede
Responsvel pelo endereamento lgico dos
pacotes.
43
Sub Rede
uma faixa de endereos IP que divide as redes em segmentos
Exemplo de sub rede: 255.255.255.0 ou /24
O endereo de REDE o primeiro IP da sub rede
O endereo de BROADCAST o ltimo IP da sub rede
Esses endereos so reservados e no podem ser usados
End. IP/Mscara End. de Rede End. Broadcast
192.168.1.0/23 192.168.0.0 192.168.1.255
192.168.1.1/24 192.168.1.0 192.168.1.255
192.168.1.1/25 192.168.1.0 192.168.1.127
192.168.1.1/26 192.168.1.0 192.168.1.63
44
Endereamento CIDR
45
Protocolo ARP Address Resolution Protocol
46
Camada IV - Transporte
Quando no lado do remetente responsvel por
pegar os dados das camadas superiores e dividir em
pacotes para que sejam transmitidos para a camada
de rede.
Protocolo UDP:
O
O UDP um protocolo no orientado a conexo e
portanto mais rpido que o TCP. Entretanto no
garante a entrega dos dados.
48
Caractersticas do protocolo TCP
Garante a entrega de data gramas IP.
Executa a segmentao e reagrupamento de grande blocos de dados enviados
pelos programas e garante o seqenciamento adequado e a entrega ordenada de
dados segmentados.
Verifica a integridade dos dados transmitidos usando clculos de soma de
verificao.
Envia mensagens positivas dependendo do recebimento bem-sucedido
bem dos dados.
Ao usar confirmaes seletivas, tambm so enviadas confirmaes negativas
para os dados que no foram recebidos.
Oferece um mtodo preferencial de transporte de programas que devem usar
transmisso confivel de dados baseados em sesses, como banco de dados
cliente/servidor por exemplo.
49
Diferenas bsicas entre TCP e UDP
TCP UDP
Servio sem conexo. No estabelecida
Servio orientado por conexo.
conexo entre os hosts.
51
Portas TCP
Protocolo
TCP
53
DIAGRAMA INICIAL
54
Configurao do Router
Adicione os ips as interfaces
3
1
56
Configurao do Router
Configurao da interface wireless
58
Teste de conectividade
Pingar a partir da RouterBoard o seguinte ip:
192.168.X.254
Pingar a partir da RouterBoard o seguinte endereo:
www.mikrotik.com;
Pingar a partir do notebook o seguinte ip:
192.168.X.254
Pingar a partir do notebook o seguinte endereo:
www.mikrotik.com;
Analisar os resultados
59
Corrigir o problema de conectividade
61
Adicionar uma regra de NAT, mascarando as
requisies que saem pela interface wlan1.
3
4
62
Teste de conectividade
152
Firewall
O firewall normalmente usado como ferramenta de segurana para
prevenir o acesso no autorizado a rede interna e/ou acesso ao roteador
em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de
entrada, de sada e passante.
Alm da segurana no firewall que sero desempenhadas diversas
funes importantes como a classificao e marcao de pacotes para
desenvolvimento de regras de QoS.
A classificao do trfego feita no firewall pode ser baseada em vrios
classificadores como endereos MAC, endereos IP, tipos de endereos IP,
portas, TOS, tamanho do pacotes, etc...
153
Firewall - Opes
Processo Local
Processo Local IN
OUT
Deciso de Deciso de
Roteamento Filtro Input Filtro Output Roteamento
Filtro Forward
160
Filter Rules Canais criados pelo usurio
REGRA REGRA
REGRA REGRA
REGRA REGRA
JUMP REGRA
REGRA REGRA
REGRA REGRA
REGRA REGRA
REGRA REGRA
163
Como funciona o canal criado pelo usurio
164
Firewall Connection Track
Refere-se
se a habilidade do roteador em manter o estado da
informao relativa as conexes, tais como endereos IP de origem e
destino, as respectivas portas, estado da conexo, tipo de protocolos
e timeouts. Firewalls que fazem connection track so chamados de
statefull e so mais seguros que os que fazem processamentos
stateless.
168
Firewall Connection Track
O sistema de connection track o corao do
firewall. Ele obtm e mantm informaes sobre
todas conexes ativas.
Quando se desabilita a funo connection tracking
so perdidas as funcionalidades NAT e as marcaes
de pacotes que dependam de conexo. No entanto,
pacotes podem ser marcados de forma direta.
Connection track exigente de recursos de
hardware. Quando o equipamento trabalha somente
como bridge aconselhvel desabilit-la.
desabilit
169
Localizao da Connection Tracking
Conntrack Conntrack
Deciso de Deciso de
Filtro Input Filtro Output Roteamento
Roteamento
Filtro Forward
170
Firewall Connection Track
A address list contm uma lista de endereos IP que pode ser utilizada em
vrias partes do firewall.
Pode-se
se adicionar entradas de forma dinmica usando o filtro ou mangle
conforme abaixo:
Aes:
add dst to address list:: Adiciona o IP de destino lista.
add src to address list:: Adiciona o IP de origem lista.
Address List:: Nome da lista de endereos.
Timeout:: Porque quanto tempo a entrada permanecer na lista.
165
Firewall Tcnica do knock
knock
166
Firewall Tcnica do knock
knock
A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter
seu endereo IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que
estejam na lista libera_winbox
/ip firewall filter
172
Princpios bsicos de proteo
Proteo do prprio roteador
Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente servios necessrios no prprio roteador.
Prevenir e controlar ataques e acessos no autorizado ao roteador.
173
Firewall Tratamento de conexes
IPs Privados:
Muitos aplicativos mal configurados geram pacotes destinados a
IPs privados e uma boa prtica filtr-los.
filtr
178
Firewal Proteo bsica
Ping Flood:
180
Firewal Proteo bsica
Ataques DoS:
O principal objetivo do ataque de DoS o consumo de
recursos de CPU ou banda.
Usualmente o roteador inundado com requisies de
conexes TCP/SYN causando resposta de TCP/SYN-ACK
TCP/SYN e
a espera do pacote TCP/ACK.
Normalmente no intencional ou causada por vrus
em clientes.
Todos os IPs com mais de 15 conexes com o roteador
podem ser considerados atacantes.
181
Firewal Proteo bsica
Ataques DoS:
Se simplesmente descartamos as conexes,
permitiremos que o atacante crie uma nova conexo.
183
Firewal Proteo para ataques DoS
Com a ao tarpit
aceitamos a conexo e a
fechamos, no deixando
no entanto o atacante
trafegar.
184
Firewal Proteo bsica
Ataque dDoS:
Ataque de dDoS so bastante
parecidos com os de DoS,
porm partem de um grande
nmero de hosts infectados.
Muito usado para autenticao de clientes com base em Login e Senha. O PPPoE
estabelece sesso e realiza autenticao com o provedor de acesso a internet.
PPPoE por padro no criptografado. O mtodo MPPE pode ser usado desde
que o cliente suporte este mtodo.
253
PPPoE Cliente e Servidor
O cliente descobre o servidor atravs do protocolo
pppoe discovery que tem o nome do servio a ser
utilizado.
254
Configurao do Servidor PPPoE
1. Primeiro crie um pool de IPs para o
PPPoE
PPPoE.
256
Configurao do Servidor PPPoE
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vo
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai
escutar.
257
Mais sobre perfis
Bridge: Bridge para associar ao perfil
Incoming/Outgoing
Outgoing Filter: Nome do canal do
firewall para pacotes entrando/saindo.
Address List:
List Lista de endereos IP para associar ao
perfil.
Use Compression/Encryption/Change
Compression TCP MSS:
caso estejam em default, vo associar ao valor que
est configurado no perfil default-profile.
258
Mais sobre perfis
Session Timeout: Durao mxima de uma
sesso PPPoE.
Idle Timeout: Perodo de ociosidade na
transmisso de uma sesso. Se no houver
trfego IP dentro do perodo configurado, a
sesso terminada.
Rate Limit:
Limit Limitao da velocidade na forma
rx-rate//tx-rate. Pode ser usado tambm na
forma rx-rate/tx-rate
rx rx-burst-rate/tx-burst-
rate rx--burst-threshould/tx-burst-threshould
burst-time
time priority rx-rate-min/tx-rate-min.
Only One:
One Permite apenas uma sesso para o
mesmo usurio.
259
Mais sobre o database
Service: Especifica o servio disponvel para este
cliente em particular.
Local/Remote
Remote Address: Endereo IP Local (servidor)
e remote(cliente)
(cliente) que podero ser atribudos a um
cliente em particular.
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que 1500 bytes.
At o momento no possumos nenhuma maneira de alterar a MTU da interface sem fio de
clientes MS Windows. A opo One Session Per Host permite somente uma sesso por host(MAC
Address). Por fim, Max Sessions define o nmero mximo de sesses que o concentrador
suportar.
261
Configurao do Lab
Dividir em grupos de quatro
Fazer a configurao de rede como ilustrado no
slide a seguir
Router R1 e R4 conectam no SSID AS100
Cada router tem sua rede local 192.168.XY.0/24
onde:
X nmero do grupo
Y nmero do router
Configurao do Lab
X nmero do grupo
AP SSID=AS100
192.168.x1.0/24
AS100
10.20.0.1/24
AP 192.168.x2.0/24
R1 192.168.x.1/30
10.20.0.x1/24
10.20.0.x4/24 192.168.x.2/30
R4 R2
192.168.x.5/30
192.168.x.9/30
192.168.x.10/30
192.168.x.6/30 R3
192.168.x4.0/24
192.168.x3.0/24
Open Shortest Path First
(OSPF)
Areas
Costs
Virtual links
Route Redistribution
Aggregation
30
Protocolo OSPF
O protocolo OSPF utiliza o estado do link e o
algoritmo de Dijkstra para construir e calcular
o menor caminho para todos destinos
conhecidos na rede;
Os roteadores OSPF utilizam o protocolo IP 89
para comunicao entre si;
O OSPF distribui informaes de roteamento
entre roteadores pertencentes ao mesmo AS.
31
Autonomous System (AS)
http://www.iana.org/assignments/as-numbers/as-numbers.xml
Exemplo de um AS
Area Area
Area Area
33
reas OSPF
A criao de reas permite voc agrupar uma
coleo de roteadores (entre 50 e 60);
A estrutura de uma rea no visvel para
outras reas;
Cada rea executa uma cpia nica do
algoritmo de roteamento ;
As reas OSPF so identificadas por um
nmero de 32 bits(0.0.0.0 255.255.255.255)
Esses nmeros devem ser nicos para o AS.
34
Tipos de Roteadores
Um ASBR(Autonomous System Border Router )
um roteador que se conecta a mais de um AS;
Um ASBR usado para redistribuir rotas recebidas de
outros AS para dentro de seu prprio AS
Um ABR(Area Border Router) um roteador que se
conecta a mais de uma rea;
Um ABR mantm multiplas cpias da base de dados
dos estados dos links de cada rea
Um IR(Internal Router) um roteador que est
conectado somente a uma rea.
35
OSPF AS
ASBR
ABR ABR
Area Area
ASBR
36
rea Backbone
A rea backbone o corao da rede OSPF. Ela
possui o ID (0.0.0.0) e deve sempre existir;
A backbone responsvel por redistribuir
informaes de roteamento entre as demais
reas;
A demais reas devem sempre estar
conectadas a uma rea backbone de forma
direta ou indireta(utilizando virtual link).
37
Virtual Link
Utilizado para conectar reas remotas ao
backbone atravs de reas no-backbone;
38
Virtual Link
area-id=0.0.0.1
area-id=0.0.0.0
Virtual Link
area-id=0.0.0.2 area-id=0.0.0.3
ASBR
39
Redes OSPF
So utilizada para
encontrar outros
roteadores OSPF
correspondentes a
rea especificada;
41
Neighbours OSPF
42
reas OSPF
Crie sua prpria rea OSPF;
Nome da rea: area-z
Area-id: 0.0.0.z
Atribua uma rede a esta rea;
Verifique sua aba neighbour e tabela de
roteamento;
Os ABRs devem configurar tambm a rea de
backbone e as redes;
43
Tipos de LSA
44
OSPF - Opes
Redistribute Connected Routes: Caso
habilitado, o roteador ir distribuir todas as
rotas relativas as redes que estejam
diretamente conectadas a ele.
Redistribute Static Routes: Caso habilitado,
distribui as rotas cadastradas de forma
esttica em /ip routes.
Redistribute RIP Routes: Caso habilitado,
redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado,
redistribui as rotas aprendidas por BGP.
1
2
3
} 5
4 {
46
OSPF Uso de mtrica tipo 1
Custo=10
Custo=10
Custo=10 Custo=10
Custo Total=40
Origem
ASBR
47
OSPF Uso de mtrica tipo 2
Custo X
Cost=10 Custo X
Custo X
Custo Total=10
Origem
Custo X
Custo Total=9
Custo X
Destino
Custo=9
ASBR
48
Redistribuio de Rotas
Habilite a re-distribuio de rotas conectadas
com type 1;
Verifique a tabela de roteamento
Adicione uma rota esttica para a rede
172.16.XY.0/24
Habilite a re-distribuio de rotas estticas
com type 1;
Verifique novamente a tabela de roteamento
49
OSPF Custo de interfaces
Por padro todas interfaces tem custo 10;
Para alterar este padro voc deve adicionar
interfaces de forma manual;
50
OSPF Inface Lab
Escolha o tipo de rede correta para todas interfaces
OSPF;
Atribua custos(prx. slide) para garantir o trfego
em uma nica direo dentro da rea;
Verifique rotas ECMP em sua tabela de
roteamento;
Atribua custos necessrios para que o link backup
s seja usado caso outros links falhem;
Verifique a redundncia da rede OSPF;
Confirme que o ABR seja o DR da sua rea, mas
no na rea de backbone;
51
OSPF Custos de Interface
AP Principal Laptop
ABR
Laptop
Laptop
10 100
BACKUP
LINK
100 10
10 100
Laptop
52
OSPF Roteadores designados
Para reduzir o trfego OSPF em redes broadcast e
NBMA (Non-Broadcast Multiple Access), um nico
fonte para atualizao de rotas criado Os
roteadores designados(DR);
Um DR mantm uma tabela completa da topologia da
rede e envia atualizaes para os demais roteadores;
O roteador com maior prioridade ser eleito como DR;
Os demais sero eleitos como roteadores backup
BDR;
Roteadores com prioridade 0 nunca sero DR ou BDR.
53
NBMA Neighbors
Em redes no-
broadcast
necessrio especificar
os neighbors
manualmente;
A prioridade
determina a chance
do neighbor ser eleito
DR;
54
rea Stub
Uma rea Stub uma
rea que no recebe
rotas de AS externos;
Tipicamente todas rotas
para os AS externos so
substitudas por uma
rota padro. Esta rota
ser criada
automaticamente por
distribuio do ABR;
55
rea Stub Cont.
A opo Inject Summary LSA permite
especificar se os sumrios de LSA da rea de
backbone ou outras reas sero reconhecidos
pela rea stub;
Habilite esta opo somente no ABR;
O custo padro dessa rea 1;
56
rea NSSA(Not-So-Stubby)
Um rea NSSA um tipo de rea stub que tem
capacidade de injetar transparentemente rotas
para o backbone;
Translator role Esta opo permite controlar
que ABR da rea NSSA ir atuar como
repetidor do ASBR para a rea de backbone:
Translate-always: roteador sempre ser usado
como tradutor.
Translate-candidate: ospf elege um dos
roteadores candidatos para fazer as tradues.
57
OSPF AS
default
default
area-id=0.0.0.1
area-id=0.0.0.0
Virtual Link
area-id=0.0.0.2 area-id=0.0.0.3
NSSA Stub
ASBR
58
rea Lab
Modifique sua rea para stub;
Verifique as mudanas em sua tabela de rotas;
Confirme que a distribuio de rotas default
esteja never no ABR;
Marque a opo Inject Summary LSA no ABR
e desabilite no IR.
59
Interface Passiva
O modo passivo
permite desativar as
mensagens de Hello
enviadas pelo protocolo
OSPF as interfaces dos
clientes;
Portanto ativar este
recurso sinnimo de
segurana;
60
Agregao de reas
Utilizado para
agregar uma
range de redes
em uma nica
rota;
possvel atribuir
um custo para
essas rotas
agregadas;
61
Resumo OSPF
Para segurana da rede OSPF:
Use chaves de autenticao;
Use a maior prioridade(255) para os DR;
Use o tipo correto de rede para as reas;
Para aumenta a performance da rede OSPF:
Use o tipo correto de rea;
Use agregao de reas sempre que possvel;
63
OSPF em redes VPN
Cada interface VPN dinmica cria uma nova
rota /32 na tabela de roteamento quando est
ativa;
Isso causa dois problemas:
Cada mudana dessas resulta em novas
atualizaes do OSPF, caso a opo de redistribuir
rotas conectadas esteja ativada. Em grandes redes
isso causa um enorme flood!!
OSPF vai criar e enviar LSA pra cada interface VPN,
caso a rede da VPN esteja atribuida a qualquer
rea OSPF. O que diminui a performance.
64
rea PPPoE Tipo Stub
ABR
65
rea PPPoE Tipo Default
ABR
PPPoE ~250 clientes
server PPPoE
Area1
~ 100 clientes
PPPoE PPPoE
server
66
rea PPPoE Discusso
D uma soluo para o problema mencionado
anteriormente quando se utiliza rea do tipo
stub ou Default;
67
Border Gateway Protocol
(BGP)
Autonomous System (AS)
Conjunto de routers sob um nico controle
administrativo
Intercmbio de rotas:
Routers dentro do AS usam IGP em comum
Routers entre AS's usam EGP
AS100
AS200
Rejeita, AS100
j contido no
AS path
Add AS200
ao AS path
Add AS300
ao AS path
AS300
Recursos do BGP
O BGP Speaker (router) anuncia os cdigos dos
recursos suportados
Se o recurso recebido no for suportado, o peer
remoto responde com uma notificao
O BGP Speaker tenta a sesso novamente sem os
recursos no suportados
Alguns dos recursos anunciados pelo RouterOS:
Route refresh
Multi-protocol extension
Suporte a AS com tamanho de 4 bytes (32 bits)
Transporte BGP
Opera com a troca de mensagens NLRI
(Network Layer Reachability Information)
A NLRI inclui um conjunto de atributos BGP e
um ou mais prefixos com estes atributos
associados
Usa o TCP (179) como protocolo de transporte
Inicialmente troca a tabela inteira entre os peers
Depois troca-se apenas atualizaes
incrementais (mantm a verso da tabela de
roteamento)
Tipo de mensagens BGP
Quatro tipos:
Open Primeira mensagem enviada depois do
estabelecimento da conexo TCP, contm a lista de
recursos. Confirmada por keepalive.
Keepalive no contm dados, enviada para evitar
que o hold timer expire
Update atualizao de rotas. Contm:
NLRI
Path attributes
Notificao enviada quando ocorre uma condio
de erro, contm o cdigo e sub-cdigo do erro
Sesso BGP e atualizaes
Open com o recurso ASN4
AS100 AS200
Notificao recurso no sup.
Passive
Open sem o recurso BGP peer
Keepalive
AS100 AS200
Route Refresh message
Update
Networks
Indica quais redes o BGP deve originar do router.
Por padro, a rede anunciada apenas se ela existir
na tabela de rotas.
Essa sincronizao pode ser desativada se:
Seu AS no oferece servio de trnsito
Todos os routers de trnsito rodam BGP
Desativar o sincronismo permite o BGP converger
mais rpido.
O sincronismo pode ser danoso se as rotas esto
oscilando muito.
Configurao em /routing bgp network
Ativando o BGP
/routing bgp instance
set default as=300 router-id=10.10.10.4
R1 R3
R1 R3
R2
R2 RR
Configurao do Route Reflector
RR configurado ao habilitar a opo client to
client reflection:
/routing bgp instance
set default client-to-client-reflection=yes
/routing bgp peer
add route-reflect=yes remote-peer=x.x.x.x (...)
A reflexo de rotas deve ser habilitada apenas
no router RR
O RouterOS no pode ser configurado como
um route reflector puro
BGP Lab II
Adicione R2 ao mesmo AS que R1
Adicione R3 ao mesmo AS que R4
Faa um peer BGP entre R2 e R3
Ative o OSPF entre os routers do mesmo AS
Configure o OSPF para anunciar as redes WAN
Coloque a interface WAN como passiva
BGP Lab II
X nmero do grupo
AP SSID=AS100
Peer BGP 192.168.x1.0/24
AS100
10.20.0.1/24
AP 192.168.x2.0/24
AS1x1
R1 192.168.x.1/30
10.20.0.x1/24
10.20.0.x4/24 192.168.x.2/30
R4 R2
192.168.x.5/30
192.168.x.9/30
192.168.x.10/30
192.168.x.6/30 R3
AS1x2
192.168.x40/24
192.168.x3.0/24
BGP Lab II
[admin@R1] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADb 0.0.0.0/0 10.20.0.1 20
1 ADC 10.20.0.0/24 10.20.0.11 R1_AP 0
2 ADC 192.168.1.0/30 192.168.1.1 R1_R3 0
3 ADo 192.168.1.8/30 192.168.1.2 110
4 ADC 192.168.11.0/24 192.168.11.0 local 0
5 Db 192.168.11.0/24 192.168.1.2 200
6 ADb 192.168.14.0/24 192.168.1.10 200
7 Db 192.168.14.0/24 10.20.0.14 20
8 ADo 192.168.12.0/24 192.168.1.2 110
9 Db 192.168.12.0/24 192.168.1.2 200
10 ADb 192.168.13.0/24 192.168.1.10 200
11 Db 192.168.13.0/24 10.20.0.14 20
BGP Lab II
[admin@R2] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADb 0.0.0.0/0 192.168.1.1 200
1 ADo 10.20.0.0/24 192.168.1.1 110
2 ADC 192.168.1.0/30 192.168.1.2 R3_R1 0
3 ADC 192.168.1.8/30 192.168.1.9 R3_R4 0
4 ADo 192.168.11.0/24 192.168.1.1 110
5 Db 192.168.11.0/24 192.168.1.1 200
6 ADb 192.168.14.0/24 192.168.1.10 20
7 ADC 192.168.12.0/24 192.168.12.0 local 0
8 Db 192.168.12.0/24 192.168.1.1 200
9 ADb 192.168.13.0/24 192.168.1.10 20
O BGP redistribui apenas a melhor rota. Como em R1 a melhor rota a recebida de R2, o router
R1 no redistribui .14.0/24 e .13.0/24 de volta a R2.
Interior e Exterior BGP
iBGP pareamento entre routers do mesmo AS
eBGP pareamento entre routers de ASs diferentes
AS200
R2
eBGP AS300
AS100 R3
R1
R4
R5
iBGP
R6
eBGP
AS400
eBGP
Quase sempre formado entre peers
diretamente conectados (roteadores borda do
AS).
A configurao de multi-hop requerida se os
peers no so diretamente conectados
Adiciona seu AS no PATH dos prefixos
anunciados
Por padro o Next-hop alterado para si
mesmo (self)
Exemplo de eBGP Multihop
Lo: 10.1.1.2 Lo: 10.1.1.1
AS100 AS200
172.16.1.1 172.16.1.2
R1 R2
Eth1 Eth1 Eth2
AS100
R1 R2
Eth1 Eth1 Eth2
/routing filter
add chain=bgp-o prefix=10.1.1.0/24 action=accept \
set-bgp-communities=30:30
add chain=bgp-o action=discard
add chain=bgp-peer-o prefix=10.1.1.0/24 action=passthrough \
set-out-nexthop=192.168.99.1
AS400 AS100
R1
R4 AS300
R3
10.1.2.0/24
AS200
R2
# config no R3
/routing bgp peer set peer1 out-filter=bgp-out
Dst: 172.16.0.0/24
AS100 next-hop:10.1.1.1
Dst: 172.16.0.0/24
R1 10.1.1.1 next-hop:10.1.1.1
172.16.0.0/24
10.1.1.2 R2 R3
10.30.1.1 10.30.1.2
AS200
Nexthop self
Fora o BGP a atribuir seu prprio IP como nexthop
# config no R2
/routing bgp peer set peer1 nexthop-choice=force-self
Dst: 172.16.0.0/24
AS100 next-hop:10.1.1.1
Dst: 172.16.0.0/24
R1 10.1.1.1 next-hop:10.30.1.1
172.16.0.0/24
10.1.1.2 R2 R3
10.30.1.1 10.30.1.2
AS200
Weight
Weight atribudo localmente pelo router
Prefixos sem atribuio de weight tem o valor padro 0
Rota com maior weight preferida
AS200
AS100
R3
R1
172.16.0.0/24
172.16.0.0/24 Weight=50
Weight=100
R2
AS300
Local Preference
Indica qual caminho tem preferncia para sair do AS
Caminho com maior Local Pref escolhido (padro: 100)
anunciado para dentro do AS
10.1.1.0/24
AS100 AS200
R1 R5
AS300
R4 Local-pref = 100
Local-pref = 200 R2
R3
AS Path
Lista de nmeros AS que um update percorreu.
AS200
AS300
R2
R3
10.1.1.0/24
R4
AS-path: 300,200,100
AS-Path Prepend
A manipulao do AS-Path pode ser usada para
influenciar a escolha do melhor caminho pelo
trfego vindo dos routers acima.
172.16.0.0/24 172.16.0.0/24
AS-Path: 100,300,300 AS-Path: 200,300
AS200
AS100
R3
R1
Prepend = 2 R2
172.16.0.0/24 AS300
Origin
Informao da origem da rota:
IGP interna ou proveniente do AS.
EGP rota aprendida via Exterior Gateway
protocol
Incomplete origem desconhecida, ocorre
quando a rota redistribuida no BGP.
MED
Multi Exit Discriminator ou Metric dica para o vizinho
externo sobre a preferncia do caminho dentro do AS
Menor metrica preferida (padro = 0)
Valor trocado entre os AS e usado para tomar deciso
dentro do outro AS, no encaminhado para terceiro AS.
Ignorado se recebido de diferentes ASs
Exemplo de MED
AS100 AS300 Med=0
Med=10
R1 R4
Med=50
Med=100
R2 R3
AS200
AS100
192.168.x1.0/24
AP 192.168.x2.0/24
AS1x1
R1
192.168.x4.0/24
R4 192.168.x2.0/24 R2
192.168.x3.0/24
R3
AS1x2
192.168.x4.0/24
192.168.x3.0/24
Use as-path prepend para configurar fail-over no BGP e balanceamento de carga
como ilustrado
Community
Atributo para grupos de destino
Filtros podem facilmente ser aplicados para
todo o grupo
Grupos padro:
No-export no anuncia para o peer eBGP
No-advertise no anuncia para qualquer peer
Internet anuncia para a community Internet
Local-as no anuncia para fora do AS local
(em redes no-confederadas o mesmo que no-
export)
Exemplo de Community
Assumindo que no queremos que R2 propague rotas
aprendidas de R1 10.1.1.0/24
AS300 AS100
R1
R3 AS200
R2
# config no R1
ISP
AS100
AS300 AS 500
Exemplo de Community (cont.)
# config no router AS300
/routing bgp peer set toAS100 out-filter=bgp-out-as100
/routing filter
add prefix=10.1.1.0/24 action=accept\
chain=bgp-out-as100 set-bgp-communities=100:500
add prefix=10.2.2.0/24 action=accept\
chain=bgp-out-as100 set-bgp-communities=100:501
/routing filter
add bgp-communities=100:501 action=discard\
chain=bgp-out-as500
Exemplo de ISP
aut-num: AS2588
as-name: LatnetServiss-AS
descr: LATNET ISP
member-of: AS-LATVIA
remarks: +--------------------------------------------------
remarks: |
remarks: | x=0 Anuncia como vier
remarks: | x=1 Prepend +1
remarks: | x=2 Prepend +2
remarks: | x=3 Prepend +3
remarks: | x=4 Prepend +4
remarks: | x=5 Prepend +5
remarks: |
remarks: | 2588:400 Latvian Nets
remarks: | 2588:500 Anuncia para LIX (Latvian Internet Exchange)
remarks: | 2588:666 No anuncia (blackhole)
remarks: | 2588:70x Anuncia para uplinks com $x prepend
remarks: | 2588:900 Recebidas de LIX (Latvian Internet Exchange)
remarks: |
remarks: | Para mais informao favor enviar e-mail para:
remarks: | iproute (arroba) latnet (ponto) lv
remarks: +--------------------------------------------------
Communities estendidas
Usado para levar campos adicionais em
cenrios com L2VPN e VPNv4
Alguns campos adicionais:
Route Targets
Site of Origin
Control flags
MTU
Encapsulation flags
Agregao de rotas
Sumarizao de rotas mais especficas em redes
maiores. Pode ser usado para esconder a topologia.
Funciona apenas na mesma instncia
AS100
das rotas BGP
R1
AS400 10.1.1.0/24
10.0.0.0/8
R4 AS300
R3 10.1.2.0/24 AS200
R2
# config no R3
/routing bgp aggregate add instance=default summary-only=yes \
prefix=10.0.0.0/8 action=passthrough inherit-attributes=no
BGP Multi-Protocolo
O formato do pacote BGP projetado para IPv4
O atributo address family foi criado para levar
novos tipos de endereos.
RouterOS suporta as seguintes famlias de
endereos:
IPv6
L2VPN
VPN4
Cisco style L2VPN
Instncia BGP
Cada instncia BGP roda seu prprio
algortimo de seleo BGP
As rotas entre instncias so eleitas por outros
meios (como distance)
As rotas de uma instncia no so
redistribudas automaticamente para outra
instncia
Necessita de:
/routing bgp instance
set <id> redistribute-other-bgp=yes
Os atributos BGP so herdados da outra
instncia
Multi-protocol Label Switching
(MPLS)
AS100
10.20.0.1/24
AP 192.168.x2.0/24
R1 192.168.x.1/30
10.20.0.x1/24
Lo:10.255.x.1
10.20.0.x4/24 192.168.x.2/30
R4 R2 Lo:10.255.x.2
Lo:10.255.x.4
192.168.x.5/30
192.168.x.9/30
192.168.x.10/30
192.168.x.6/30 R3
Lo:10.255.x.3
192.168.x4.0/24
192.168.x3.0/24
Bsico do MPLS
Tecnologia usada para encaminhar pacotes,
baseada em labels (rtulos) pequenos
Objetivo inicial: encaminhamento mais eficiente
que o roteamento IP (similar ao ATM switching)
Serve de base para alguns Servios Avanados:
Layer3 VPNs
Qualquer coisa sobre MPLS (AtoM), Layer2 VPNs
MPLS Traffic Engineering (engenharia de trfego)
Servios com largura de banda garantia
Bsico do MPLS
LER Label Edge Router ou Provider Edge router (PE)
LSR Label Switch Router ou Provider router (P)
Pacotes so classificados LSRs encaminham
e rotulados no ingress pacotes usando a
LER comutao de rtulos
Rtulo removido no
MPLS
egress LER
Backbone
Bsico do MPLS
Tambm chamado de protocolo de camada 2.5
Cabealho Shim (32 bit) colocado entre a camada OSI
2 e 3:
Label (20 bits)
EXP (3 bits) CoS (classe do servio)
End of Stack flag (1 bit) se o rtulo atual o ltimo da pilha
TTL (8 bits)
L2 MPLS L3
PHP
Explicit NULL
Penultimate Hop Popping
Este router o ponto de sada (egress) para a
rede que est diretamente conectada a ele, o
prximo salto no um router MPLS
Anunciado pelo rtulo implicit null
Penultimate hop popping garante que o ltimo
router no precisa buscar por rtulos quando
se sabe antecipadamente que ele ter que
rotear (roteamento ip) o pacote
Este penltimo router ento retira os rtulos e o
prprio cabealho MPLS e encaminha o pacote
IP original para o ltimo salto
Explicit NULL
Se configurado, o penltimo LSR encaminha o
pacote com o label NULL (rtulo nulo), ao
invs de retirar o cabealho.
til para preservar o QoS
No necessrio se a pilha contiver ao menos
dois rtulos (o rtulo interno ainda pode levar
o valor de QoS)
Implicit NULL usado por padro
Sesses LDP direcionadas
Em alguns casos necessrio estabelecer
sesses LDP direcionadas (sesso entre
LSRs remotos, no diretamente conectados)
Configurao:
/mpls ldp neighbor add transport=<remote_ip> \
send-targeted=yes
Targeted LDP
PE1 PE2
CE1
Site 3
P1
CE3
CE1 CE3
PE1 1 PE3
1
1 1
CE2 CE4
PE2
VPLS em LDP: Lab
Crie tneis VPLS entre todos os routers do
grupo (VPLS ID x:x)
No seu router, coloque em bridge as interfaces
VPLS com sua LAN.
A rede da VPN 192.168.x0.0/24 onde:
x nmero do grupo
Configure o Split horizon para evitar loops
Teste a conectividade entre notebooks em seu
grupo
tnel VPLS VPLS em LDP: Lab
X nmero do grupo
AP SSID=AS100
192.168.x0.1/24
Site 1
AS100
AP 192.168.x0.2/24
R1 Site 2
rede VPN:
192.168.x0.0/24
Lo:10.255.x.1
R4 R2 Lo:10.255.x.2
Lo:10.255.x.4
Site 4
R3
Lo:10.255.x.3
192.168.x0.4/24 Site 3
192.168.x0.3/24
[admin@R4] /mpls ldp neighbor> print
Flags: X - disabled, D - dynamic, O - operational, T - sending-
targeted-hello, V - vpls
# TRANSPORT LOCAL-TRANSPORT PEER SEND-TARGETED ADDRESSES
MPLS MTU
L2 MTU
Full Frame
L2MTU: 1500 Eth(14) IP(20) DATA(1480)
R1
R2
R3
R4
www.brauser.com.br
leonardo@brauser.com.br
71-4141-1144
71-9972-8523
Vivo