MikroTik Certified

Routing Engineer
info@optimix.com.ar
+54 9 11 6693 5494
optimixnetworks

…bloque 2,…
Preguntas
◼ ¿Es posible crear manualmente rutas que
aseguren
❑ Balanceo de carga (routing mark).
❑ Respaldo o Failover (check-gateway).
❑ El mejor camino (distance).

◼ ¿Es posible crear rutas en esta situación?

◼ Veamos!

OptimixNetworks.com 2
MTCRE Online Bloque 2
Rutas ECMP
◼ Son las siglas de Equal
Cost Multiple Path, que
significa Múltiples
Caminos del Mismo
Costo. Plantea la
definición de más de un
Gateway para alcanzar
una misma red remota.
◼ Los Gateways se usan
alternadamente (en la
jerga, se dice “por round
robin”), por cada juego
de IPs origen/destino.
◼ Un mismo gateway
puede mencionarse
varias veces!!

OptimixNetworks.com 3
MTCRE Online Bloque 2
ECMP – Renovación interna
◼ Por qué el ECMP no puede usarse en routers de borde
que realizan masquerade:
❑ Cada vez que se realiza una modificación en la tabla de ruteo, o cada
10 minutos (medida de seguridad a nivel kernel para evitar cierto tipo
de ataque DOS), lo que ocurra antes, la tabla de ruteo se renueva.

❑ Cada vez que se renueva la tabla de ruteo, todas las conexiones se

rehacen, y la asignación round robin de gateways se redefine.

❑ Si el router hace masquerade, todas las conexiones se deben

regenerar (cortes de Skype, cortes de páginas bancarias y páginas
seguras en general).

❑ Si se va a usar ECMP, debe ser con ruteo bidireccional, y no con

masquerade.

OptimixNetworks.com 4
MTCRE Online Bloque 2
 Rutas ECMP – Aplicación
◼ Se puede aplicar en dos enlaces internos balanceados,
comunicando un segmento ruteado bidireccionalmente.

dst= 172.16.A.0/24
gw= 10.220.0.A
Internet gw= 10.220.1.A

dst= 0.0.0.0/0
gw= 10.220.0.254
ether1-Wan= 190.0.0.253 gw= 10.220.1.254
ether2-Lan2= 10.220.1.254
ether3-Lan1= 10.220.0.254 ether1-Wan1= 10.220.0.A/24
ether2-Wan2= 10.220.1.A/24
dst= 0.0.0.0/0 ether3= 172.16.A.254/24
gw= 190.0.0.254

PC= 172.16.A.0/24

OptimixNetworks.com 5
MTCRE Online Bloque 2
Opción Check Gateway
◼ Se puede monitorear la disponibilidad de las IPs Gateways, mediante los
protocolos ICMP (ping) o ARP (pedidos broadcast), en las rutas simples.

◼ Si la IP Gateway se torna inaccesible en una ruta simple, esa ruta se

volverá inactiva, y el router dejará de enviarle tráfico.

◼ Si un gateway se torna inaccesible en una ruta ECMP, solo los gateways

accesibles serán considerados por el algoritmo round robin.

◼ Si la opción Check Gateway está habilitada en una ruta simple, afectará a

todas las rutas que tengan ese Gateway (si el Gateway cae, todas las
demás rutas que lo mencionan caerán, aunque éstas específicamente no
tengan activado el Check Gateway).

◼ El router, verifica la disponibilidad del Gateway (por ICMP o ARP) cada 10

segundos. Si en el segundo intento sigue sin verlo, lo interpreta caído. Es
decir, un router demora 20 segundos como máximo, para reaccionar ante
una caída de un Gateway.

OptimixNetworks.com 6
MTCRE Online Bloque 2
Lab – ECMP
◼ Agregar rangos de IPs adicionales a la maqueta
punto-multipunto, y observar como las rutas se
respaldan y dan de baja cuando dejan de
responder al ping.

◼ Agregar a la configuración el parámetro

distance, para que todas las rutas queden
disponibles a modo de backup.

OptimixNetworks.com 7
MTCRE Online Bloque 2
ECMP – Conclusión
◼ Conceptualmente, el ECMP difícilmente
puede usarse en routeo enmascarado.
◼ Es útil y fácilmente implementable en
redes de visibilidad bidireccional, siempre
que estén segmentadas en capa 3.

export file=nn-NombreApellido-MTCRE1-ECMP

OptimixNetworks.com 8
MTCRE Online Bloque 2
Opción Distance
◼ Si dos rutas permitan alcanzar un mismo destino, puede
forzarse la preferencia de una sobre otra, utilizando la opción
Distance.
◼ El router enviará el tráfico a través de la ruta con menor
distancia, si entiende que su Gateway está disponible
(incluso, cuando en realidad no lo esté). La otra quedará
como backup.
◼ Si la ruta con menor distancia resulta caída, y está habilitado
el Check Gateway, dicha ruta se presentará deshabilitada, y
la ruta alternativa (de mayor distancia), será usada.
◼ En ruteo dinámico, la distancia (análisis local al router), se
define en base al concepto de costo (análisis integral a la
red). Cada salto ó interface tiene un costo, y del costo
sumatoria de todos los costos intermedios para alcanzar el
destino que genera cada camino, se puede elegir el más
corto.
OptimixNetworks.com 9
MTCRE Online Bloque 2
Lab – Distancia de Ruteo
◼ Crearemos la ficción de tener dos ISPs. El ISP1= 70.0.0.254, y el
ISP2= 80.0.0.254.

◼ Para esto, cada alumno definirá en su ether1-Wan1 la IP

70.0.0.A/24, y en su ether2-Wan2 la 80.0.0.A/24.

◼ Luego de contar con las dos IPs WAN, deberá plantear dos rutas
Default Gateway 0.0.0.0/0, una apuntando a la 70.0.0.254 con
distance=1, y otra apuntando a la 80.0.0.254 con distance=2.

◼ Ambas rutas deben tener activado el Check Gateway por ping. La

nueva ruta al ISP2 aparecerá en azul, por ser un backup.

◼ Si el entrenador deshabilita la IP del ISP1, el alumno deberá ver el

Gateway de Distance 1 como caído (en azul), y el de Distance 2
que se activa (en negrita).

OptimixNetworks.com 10
MTCRE Online Bloque 2
 Distancia – Ej1:
◼ Se plantea acceder al objetivo 192.168.50.200
◼ Se poseen 3 rutas:

/ip route add dst-address=10.0.0.0/8 gateway=10.1.1.1 distance=1

/ip route add dst-address=192.168.150.0/24 gateway=10.1.1.2 distance=1
/ip route add gateway=10.1.1.3 distance=2

◼ Qué gateway se utilizará para acceder al

destino?

OptimixNetworks.com 11
MTCRE Online Bloque 2
 Distancia – Ej2:
◼ Se plantea acceder al objetivo 192.168.50.200
◼ Se poseen 4 rutas:

/ip route add dst-address=192.168.0.0/16 gateway=10.1.1.1 distance=1

/ip route add gateway=10.1.1.2 distance=3
/ip route add dst-address=192.168.50.0/24 gateway=10.1.1.3 distance=4
/ip route add dst-address=192.168.50.0/24 gateway=10.1.1.4 distance=2

◼ Qué gateway se utilizará para acceder al

destino?
OptimixNetworks.com 12
MTCRE Online Bloque 2
Tipos de rutas y distancias
Protocol Distance
Connected 0
Static 1
eBGP 20
OSPF 110
RIP 120
MME 130
iBGP 200
OptimixNetworks.com 13
MTCRE Online Bloque 2
Políticas de Ruteo
(PBR)
Policy Based Routing.
Políticas de Ruteo
◼ En un router de borde operando con masquerade, puede asignarse tráfico
específico a una ruta de la tabla de ruteo, identificándolo mediante una routing mark
y asignando dicha marca a la ruta que lo transportará.
◼ La definición de una routing mark, intrínsecamente produce la aparición de una
nueva tabla de ruteo, paralela pero prioritaria respecto a la principal (a la main), en el
análisis global del ruteo dentro del dispositivo.
◼ Las marcas de ruteo (routing mark) pueden asignarse en la sección Mangle del
menú IP, submenú Firewall, solo en las cadenas prerouting (tráfico de clientes) y
output (tráfico que nace en el router).
◼ Los paquetes con la marca de ruteo (routing mark), serán ignorados por la tabla de
ruteo principal main, si existe al menos una ruta que espera esa marca de ruteo. Si
no, la tabla de ruteo principal main será la que actúe.
◼ Aquel tráfico que tenga una routing mark que no esté mencionada en la tabla de
ruteo, será ruteado por la tabla main.
◼ Cada paquete puede tener una sola routing mark.
◼ Las políticas de ruteo que operan sobre la tabla de ruteo, exigen la presencia de una
regla de masquerade (o src-nat) que coincida con el tráfico de la política.
◼ Si se desea implementar una política sin masquerade, debe usarse la
Action=route, pero debe tenerse en cuenta que la Action=route solo aplica a la
cadena prerouting (no a la output).
OptimixNetworks.com 15
MTCRE Online Bloque 2
Lab – Políticas de Ruteo
◼ Rutear el tráfico a 8.8.8.8, a través de un Gateway específico.
◼ Para esto:
❑ En un router operando con masquerade, marcar todo el tráfico que atravesará
el router (cadena prerouting), con destino 8.8.8.8.
❑ Crear una ruta para el tráfico marcado (usar la opción routing-mark), y enviarlo
a un Gateway elegido.
❑ Chequear la redundancia deshabilitando las IPs Gateways usadas, o
alternativas.
❑ Discutir la diferencia de rendimiento si este comportamiento se definiera con una
ruta estática a la 8.8.8.8.
❑ Observar que si no estuviera el masquerade, este comportamiento requeriría la
Action= route, sin acudir a la tabla de ruteo.

◼ Recordar que las políticas de ruteo que operan sobre la tabla de

ruteo, exigen masquerade o src-nat sobre el tráfico de la política.

OptimixNetworks.com 16
MTCRE Online Bloque 2
Tiempo de vida
(TTL)
Time To Live, el parámetro dentro de los
paquetes IP que nos respalda para evitar
loops en el ruteo.
TTL – Tiempo de Vida
◼ TTL es el límite de saltos de los dispositivos en layer 3, que los
paquetes IP pueden experimentar antes de que sean descartados.
◼ Tiene por objeto que la circulación en eventuales loops en el ruteo,
se agote pasada una cantidad de saltos finita (hasta 256 saltos).
◼ El valor TTL por defecto es 64, y cada router reduce este valor en
uno, justo antes de la decisión de reenvío (forward).
◼ El valor TTL puede ajustarse en la utilidad:
IP->Firewall->Mangle
◼ El router no reenviará tráfico al próximo dispositivo si recibe un
paquete IP con un TTL=1.
◼ Aplicaciones:
❑ Conceptualmente, tiene por objeto que la circulación en eventuales
loops en el ruteo, se agote pasada una cantidad de saltos finita (hasta
256 saltos).
❑ Si se modifica el TTL destino a 1 en un router cliente, se elimina la
posibilidad de que el usuario enmascare su LAN.

OptimixNetworks.com 18
MTCRE Online Bloque 2
Cambiar el TTL

PreRouting PostRouting

2 -> TTL

(-1)

TTL=1 2 -> TTL

TTL=2

OptimixNetworks.com 19
MTCRE Online Bloque 2
Cambiar el TTL

OptimixNetworks.com 20
MTCRE Online Bloque 2
Cambiar el TTL

OptimixNetworks.com 21
MTCRE Online Bloque 2
TTL – Aplicaciones
◼ Se puede utilizar la opción de incrementar
el TTL, para que el TTL del paquete no se
reduzca por atravesar nuestra red.
◼ Si el router CPE no puede realizar el
cambio de TTL, se puede definir TTL=2
en el AP, para que cuando el paquete
pase por el CPE, su TTL se reduzca en 1,
haciendo el tráfico no routeable en la LAN
cliente.

OptimixNetworks.com 22
MTCRE Online Bloque 2
TTL – Aplicaciones

OptimixNetworks.com 23
MTCRE Online Bloque 2
Resolución
Recursiva

Virtud adicionada a la lógica de una ruta

para que en ésta no solo se verifique la
mera presencia del Gateway, sino también
se verifique que efectivamente ésta tenga
acceso confirmado a Internet.
Resolución Recursiva Next-Hop
◼ Cada router posee rutas que le indican a qué gateway
acudir para alcanzar cada red.
◼ Pero si esa red, está a más de 1 salto de distancia,
según lo visto hasta ahora, el router no sabe si el
próximo salto está o no operativo.
◼ Se pueden definir rutas que tengan gateways remotos,
siempre y cuando se definan previamente rutas
convencionales con gateways directamente conectados
que nos lleven hasta los gateways remotos.
◼ Dos rutas recursivas, pueden utilizarse alternadamente
mediante PCC, utilizando marcas de ruteo.
OptimixNetworks.com 25
MTCRE Online Bloque 2
Resolución Recursiva Next-Hop
◼ La verificación de los saltos ulteriores, se logra nuevamente
mediante check-gateway por ping.
◼ El gateway remoto que nos transporte hasta una determinada red
aún más distante, será uno que no estará directamente conectado,
y que contactaremos a través de alguno de los gateways locales.
◼ Scope y Target-Scope:
❑ Una ruta con scope 10 y target-scope 10, caracteriza una red
directamente conectada.
❑ Una con scope 30 y target-scope 10, caracteriza una ruta (estática o
dinámica) convencional con gateway.
❑ Una con scope 30 y target-scope 30, indica que no se tiene visibilidad
broadcast del gateway, y que se está lejos del mismo. Indica que se
utilizará alguna de las rutas convencionales con gateway convencional,
para alcanzar la red destino donde está el gateway final.

OptimixNetworks.com 26
MTCRE Online Bloque 2
Scope y Target-Scope
◼ El alcance de una ruta, contiene todas las rutas
para las que el valor scope (alcance) es mayor
o igual que el valor target-scope (alcance al
destino).
◼ Ejemplo para alcanzar la red 0.0.0.0/0:
❑ 0 ADC dst-address=10.220.0.0/24 pref-src=10.220.0.A
scope=10 target-scope=10
❑ 1 A S dst-address=4.2.2.1 gateway=10.220.0.254
scope=30 target-scope=10
❑ 2 A S dst-address=0.0.0.0/0 gateway=4.2.2.1
scope=30 target-scope=30
❑ Para verificar el acceso a Internet, se podrá monitorear la 4.2.2.1, a
pesar de no estar directamente conectada al router.

OptimixNetworks.com 27
MTCRE Online Bloque 2
Gateway tradicional

OptimixNetworks.com 28
MTCRE Online Bloque 2
Gateway recursivo

OptimixNetworks.com 29
MTCRE Online Bloque 2
Lab – Resolución recursiva
◼ Secuencia de configuración:
❑ Crear dos rutas 0.0.0.0/0 apuntando a 4.2.2.1 y 4.2.2.2.
❑ Crear dos rutas 4.2.2.1 y 4.2.2.2 apuntando a cada ISP.
❑ Modificar las rutas 0.0.0.0/0 para que sean recursivas y
activarles el check gateway.

◼ Exportar la configuración:
❑ export file=xx-NombreApellido-MTCRE2-Recursivo

OptimixNetworks.com 30
MTCRE Online Bloque 2
Gracias!

info@optimix.com.ar

+54 9 11 6693 5494

optimixnetworks