Mtcre PDF

MikroTik Certified Routing Engineer
(MTCRE)
© Daocom.net/ MikroTik.com
ABOUT THE TRAINER
Luis O. Barbosa, M.s.i.a.
lbarbosa@daocom.net
MikroTik Trainer - TR0261

MTCNA – MTCTCE – MTCWE
MTCRE – MTCINE – CCNA – MCSE - SEC+
www.daocom.net
Tel: 787.301.0075 / info@daocom.net 2

Introducción personal
• Presentarse individualmente
– Nombre
– Compañía
– Conocimiento previo sobre RouterOS
– Conocimiento previo sobre networking
– Qué espera de este curso?
© NINsys.com / MikroTik.com 3
Horario
• 9:00 – 10:30 Sesión I
• 10:30 – 11:00 Break
• 11:00 – 1:00pm Sesión 2
• 1:00pm – 2:00pm Lunch
• 2:00pm – 3:30pm Sesión 3
• 3:30pm – 4:00pm Break
• 4:00pm – 5:30 Sesión 4
Objetivos del curso
• Proporcionar el conocimiento y las habilidades
para el ruteo básico y avanzado en redes de
pequeña y gran escala.
• Luego de completar el curso usted estará
capacitado para planificar, implementar,
corregir y mantener redes ruteadas con
MikroTik RouterOS
Ruteo Estático Simple
(Static Routing)
Distancia, Política de Ruteo
(Policy Route), ECMP, Scope, Dead-End
y Resolución Recursiva (Recursive),
Next-Hop
Ruteo Simple
• Solo un gateway para
una simple red
• Las rutas más
específicas en la tabla
de ruteo tienen la
prioridad más alta que
las rutas menos
específicas
• La ruta con destino de
red 0.0.0.0/0 significa
“todo lo demás”
Laboratorio de Ruteo Simple (Lab. 1)
• Formar grupos de 2 a 4 personas y obtener del
instructor el número de grupo “X” para
construir la red
• Obtener número “Y” para redes locales por
router de cada grupo
• Usar cables para crear la estructura de red
mostrada en el siguiente slide
• Usando solamente Rutas Estáticas Simples
asegurar la conectividad entre las laptops.
Configuración de Laboratorio
• Configurar una red 10.X.Y.0/24 entre su laptop
(.200) y el router (.1) en el puerto ether1 en su
router.
• Asignar la dirección IP 192.168.0.X/24 a la
interface wlan1 en el router que conectará con el
Instructor.
• Obtener acceso al internet desde la laptop.
Gateway = 192.168.0.1, DNS = 192.168.0.1
• Crear un nuevo usuario “mtX” con password
“mtX” en cada router y cambiar los derechos de
acceso de “admin” a “read”
Configuración de Laboratorio…
Grupo 16
Grupo 17
Configuración de Laboratorio…
• Configurar la identidad de su router
Ej: “Router Y”
• Configurar el radio name de su wireless (router que
conecta con instructor)
Ej: “Grupo X”
• Actualice su router a la última version de
RouterOS
• Configurar el System>SNTP Client con la siguiente
IP: 149.20.68.17
• Crear una configuración backup y copiarla a su
laptop (será la configuración default)
Estructura de red (Lab. 1)
Router 1
Router 4 Router 2
Router 3
Objetivo principal (Lab. 1)
• Crear una red ruteada redundante sin usar
protocolos de ruteo dinámicos
– Enrutar entre las redes locales participantes

– Obtener acceso a otros grupos de redes
Preguntas
• Es posible crear manualmene rutas que
aseguren lo siguiente:
– Balanceo de carga
– Failover
– Mejor ruta
• Es posible crear rutas en esta situación?
Rutas ECMP (Equal Cost Multi Path)
• Este mecanismo de ruteo habilita el ruteo de
conexiones entre múltiples caminos (paths) y
asegura el balanceo de conexiones.
• Con ruteo ECMP se puede usar más de un
gateway para un destino. Esto NO significa
que provee Failover!!!
• Con ECMP, un router tiene potencialmente
varios next-hops disponibles hacia un destino
dado con la misma distancia.
• Un nuevo gateway es elegido para cada nuevo
par IP source/destination.
• Esto significa que por ejemplo, una conexión FTP
usará solo un enlace, pero una nueva conexión a
un server diferente usará otro enlace.
• Una característica importante de ECMP es que los
paquetes de conexión simple no son reordenados
y por lo tanto no afecta al performance de TCP.
• Las rutas ECMP pueden ser creadas por
protocolos de ruteo (RIP u OSPF) o añadiendo
una ruta estática con múltiples gateways,
separados con una coma.
/ip route add gateway=192.168.0.1, 192.168.1.1
• Los protocolos de ruteo pueden crear rutas
dinámicas multi-path con igual costo de forma
automática.
• Las rutas ECMP tienen
más de un gateway a la
misma red remota
• Los gateways serán
usados en un esquema
de combinación de
direcciones Round Robin
per SRC/DST
• El mismo gateway puede
ser escrito muchas veces
Opción “Check-gateway”
• Se puede configurar el router para verificar la
accesibilidad del gateway usando PROTOCOLOS
ICMP (ping) o ARP
• En Ruteo Simple (Simple Route), si un gateway
no puede ser alcanzado, la ruta será declarada
inactive (En Azul solo si no está en ECMP)
• En Ruteo ECMP, si un gateway no puede ser
alcanzado, solamente los gateways disponibles
serán usados en el algoritmo Round Robin
• Si se habilita la opción Check-gateway en una
ruta, se afectarán todas las rutas con ese gateway
Laboratorio ECMP (Lab. 2.1)
• Para evitar routing loops
– Solo un participante crea una ruta ECMP para cada
red 10.X.Y.0/24 con “check-gateway”
– Los otros participantes ajustan las rutas simples para
alcanzar al otro
• Verificar la redundancia
• Usar traceroute para examinar la configuración
• Retroceder a la configuración inicial y luego de
esto debe proceder el siguiente participante y
ejecutar lo mismo.
Ejemplo de configuración (Lab. 2.1)
• Considere la situación donde se tiene que enrutar paquetes desde la red
192.168.0.0/24 a dos gateways: 10.1.0.1 y 10.1.1.1
(Lab. 2.2)
• Nota: ISP1=2 Mbps, ISP2=4Mbps
• Requerimos un radio de tráfico 1:2, es decir que 1/3
del tráfico de la red 192.168.0.0/24 va hacia ISP1, y
2/3 del tráfico hacia ISP2
(Lab.02.2)
Direcciones del router

[admin@ECMP-Router] ip address> print
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.254/24 192.168.0.0 192.168.0.255 Local
1 10.1.0.2/28 10.1.0.0 10.1.0.15 Public1
2 10.1.1.2/28 10.1.1.0 10.1.1.15 Public2
Añadir las rutas default

[admin@ECMP-Router] ip route> add gateway=10.1.0.1,10.1.1.1,10.1.1.1
[admin@ECMP-Router] ip route> print
# DST-ADDRESS G GATEWAY DISTANCE INTERFACE
0 ADC 10.1.0.0/28 Public1
1 ADC 10.1.1.0/28 Public2
2 ADC 192.168.0.0/24 Local
3 A S 0.0.0.0/0 r 10.1.0.1 Public1
r 10.1.1.1 Public2
r 10.1.1.1 Public2
• El siguiente ejemplo añade sesiones de usuario persistentes (Ej: HTTPS)
Considere el siguiente layout:
25
© NINsys.com / MikroTik.com
(Lab. 2.3)
/ ip address
add address=192.168.XY.254/24 interface=Local
add address=10.1.1.XY/24 interface=wlan1
add address=10.1.2.XY/24 interface=wlan2
/ ip route
add dst-address=0.0.0.0/0 gateway=10.1.1.254,10.1.2.254 check-gateway=ping
/ ip firewall nat
add chain=srcnat out-interface=wlan1 action=masquerade
add chain=srcnat out-interface=wlan2 action=masquerade
/ ip firewall mangle
add chain=input in-interface=wlan1 action=mark-connection new-connection-mark=wlan1_conn
add chain=output connection-mark=wlan1_conn action=mark-routing new-routing-mark=to_wlan1
add chain=output connection-mark=wlan2_conn action=mark-routing new-routing-mark=to_wlan2
/ ip route
add dst-address=0.0.0.0/0 gateway=10.1.1.254 routing-mark=to_wlan1
add dst-address=0.0.0.0/0 gateway=10.1.2.254 routing-mark=to_wlan2
(Lab. 2.3)
Explicación Routing
/ ip route
add dst-address=0.0.0.0/0 gateway=10.1.1.254,10.1.2.254 check-gateway=ping
Esta es una configuración típica de gateway ECMP con check-gateway.

ECMP es “persistent per-connection load balancing” o “per-src-dst-address combination load
balancing”
Tan pronto como uno de los gateways no puede ser alcanzado, check-gateway lo removerá
de la lista de gateways, y se tendrá un efecto “fail-over”
Balanceo asimétrico
Se puede usar ancho de banda asimétrico, por ejemplo si un link es 2Mbps y el otro 10Mbps.
Se debe modificar el comando para hacer balanceo de carga a una tasa 1:5
/ ip route
add dst-address=0.0.0.0/0
gateway=10.1.1.254,10.1.2.254,10.1.2.254,10.1.2.254,10.1.2.254,10.1.2.254 check-gateway=ping
(Lab. 2.3)
Conexiones al mismo router
/ ip firewall mangle
add chain=output connection-mark=wlan1_conn action=mark-routing new-routing-mark=to_wla1
add chain=output connection-mark=wlan1_conn action=mark-routing new-routing-mark=to_wla2
/ ip route
add dst-address=0.0.0.0/0 gateway=10.1.1.254 routing-mark=to_wla1
add dst-address=0.0.0.0/0 gateway=10.1.2.254 routing-mark=to_wla2
Con todas las situaciones de multi-gateway existe un problema usual para alcanzar el router
desde la red pública via uno o ambos gateways.
Explicación: Los paquetes salientes usan la misma decisión de ruteo de los paquetes que
pasan a través del router. Por lo tanto hacer un reply a un paquete que fue recibido vía
wlan1, puede enviarse fuera y enmascarado via wlan2.
Para evitar esto de deben establecer políticas de ruteo para esas conexiones.
Opción “distance”
• Para darle prioridad una ruta sobre otra, si
ambas apuntan a la misma red, se debe usar
la opción “distance”.
• Cuando se envía un paquete, el router usará la
ruta con la distancia más baja
Laboratorio Distancia de Ruta (Lab. 3)
• Crear 2 rutas separadas para cada participante de
la red local
– Una ruta en dirección de las manecillas del reloj
(clock) con Distance=1
– Una ruta en dirección contraria a las manecillas del
reloj (anti-clock) con Distance=2
• Verifica la redundancia deshabilitando las
direcciones IP del gateway en dirección de las
manecillas del reloj
• Usar traceroute para examinar la configuración
Laboratorio Distancia de Ruta (Lab. 3)
Router 1
Router 4 Router 2
Router 3
31
© NINsys.com / MikroTik.com
Ejemplo de configuración (Lab.03)
Comportamiento Observado
• El tráfico no tiene problemas para pasar en
sentido horario
• En el caso de falla “check-gateway” solamente el
router afectado pasará el tráfico en sentido anti-
horario. Todos los otros routers continuarán
enviando en sentido horario
• Solución:
– Si el tráfico comienza a ir en sentido anti-clock, se
debería establecer un ruteo anti-clock hasta que
alcance su destino.
Routing Mark
• Para asignar tráfico específico a la ruta, el tráfico
debe ser identificado por “routing mark”
• Los Routing Marks pueden ser asignados por la
opción Mangle del IP Firewall SOLAMENTE en
reglas prerouting y output
• Los paquetes con routing mark serán ignorados
por la tabla de ruteo principal (main) si es que
existe por lo menos una ruta para ese routing
mark. Si no hay ninguna ruta se usará la tabla de
ruteo principal (main).
• Cada paquete puede tener solo un routing mark
Laboratorio de Política de Ruteo (Policy Route)
(Lab. 4)
• Marcar todo el tráfico que proviene del segmento
10.X.0.0/16 (LAN) como “anti-clock” sin
especificar In. Interface.
• Enrutar este tráfico (usando opción routing-mark)
en contra de las manecillas del reloj (anti-clock).
• Usar traceroute para examinar la configuración.
• Luego deshabilitar el gateway que utiliza el
routing-mark del anti-clock y verifica
nuevamente con traceroute.
• Toda prueba debe ser hecha desde laptop o
MikroTik utilizando Traceroute src. address
Laboratorio Routing Mark (Lab.04)
Router 1
Router 4 Router 2
Router 3
Time To Live (TTL)
• TTL es un límite de los dispositivos L3 que los
paquetes IP pueden experimentar antes de que
deban ser descartados
• El valor default del TTL es 64 y cada router reduce
el valor en uno antes de enviar su decisión
• El TTL puede ser ajustado en la opción IP Firewall
mangle
• El router no pasará el tráfico al siguiente
dispositivo si recibe un paquete con TTL=1
• Aplicación útil: eliminar la posibilidad de los
clientes de crear redes enmascaradas
Cambiando el TTL
Next-Hop Recursivo
(recursive next-hop)
• Es posible especificar el gateway a una red incluso si el
gateway no se puede alcanzar directamente. Esto se
puede lograr usando Resolución de Next-Hop Recursivo
desde cualquier ruta existente
• Esto es útil para configuraciones donde la sección
media entre el router y el gateway no es directamente.
Por ejemplo en implementaciones iBGP
• Una ruta debe estar en el scope (al alcance) de otra
ruta para que la Resolución de Next-Hop Recursivo
funcione.
Scope / Target-Scope
El alcance de la ruta (scope) contiene todas las rutas
que el valor de “scope” es menor o igual a su valor
“target-scope”
Ejemplo:
• 0 ADC dst-address=1.1.1.0/24 pref-src=1.1.1.1
interface=ether1 scope=10 target-scope=0
• 1 A S dst-address=2.2.2.0/24 gateway=1.1.1.254
• 2 A S dst-address=3.3.3.0/24 pref-src=2.2.2.254
Otras Opciones
• “Type” permite crear rutas Dead-end
(blackhole/prohibit/unreachable) para
bloquear algunas redes a ser ruteadas
posterioremente en la red
• “Preferred Source” apunta a la dirección
origen del router preferido para paquetes
originados localmente.
Clean-up (Lab.5)
• Eliminar todas las reglas de mangle

• Eliminar todas las rutas IP
• Dejar todas las direcciones IP y la estructura
de red intacta.
Open Shortest Path First
(OSPF)
Areas, Costos, Virtual Links,
Redistribución de Rutas y Agregación
Protocolo OSPF
• El protocolo OSPF usa un algoritmo de
estado_de_enlace (link-state) y un algoritmo
de Dijkstra para construir y calcular el camino
más corto a todas las redes destino conocidas
• Los routers OSPF usan el protocolo IP 89 para
comunicarse entre sí.
• OSPF redistribuye la información de ruteo
entre los routers que pertenecen a un simple
sistema autónomo (AS).
Systema Autónomo (AS)
• Un sistema autónomo es una colección de
redes y routers IP bajo el control de una
entidad (OSPF, iBGP, RIP) que presenta una
política de ruteo común al resto de la red.
Areas OSPF
• OSPF permite la colección de routers para que
sean agrupados (50-100 Max.)
• La estructura de un área es invisible desde fuera
del área.
• Cada área ejecuta una copia separada del
algoritmo de ruteo básico link-state.
• Las áreas OSPF son identificadas por un número
de 32-bit (4 bytes) (0.0.0.0-255.255.255.255)
• El ID de área debe ser único dentro del AS
Sistema Autónomo (AS) OSPF
Tipos de Router
• ASBR = Autonomous System Border Router
• ASBR es un router que está conectado a más de un AS
– Un ASBR es usado para distribuir en todo su propio
sistema autónomo las rutas recibidas desde otros AS.
• ABR = Area Border Router
• ABR es un router que está conectado a más de un área
OSPF
– Un ABR mantiene múltiples copias en memoria de la base
link-state, una para cada área
• IR = Internal Router
• IR es un router que está conectado solamente a un
área
Backbone Area
• El área de backbone (area-id=0.0.0.0) forma el
núcleo de una red OSPF
• El backbone es responsable de distribuir la
información de ruteo entre las áreas que no
son backbone (non-backbone area)
• Cada area non-backbone debe estar
conectada al backbone area directamente o
usando enlaces virtuales.
Virtual Links (Enlaces Virtuales)
• Son usados para
conectar áreas remotas
al backbone area a
través de un área non-
backbone
• También son usados
para conectar dos
partes de un área de
backbone particionado
a través de un área non-
backbone.
Areas OSPF
Redes OSPF
• Es necesario
especificar las redes y
áreas asociadas
donde buscar otros
routers OSPF
• Se debe usar las
redes exactas de las
interfaces del router,
no agregarlas
Estado de los Vecinos OSPF
• Full: las bases de datos
de los link-state están
completamente
sincronizadas
• 2-Way: se ha establecido
una comunicación
bidireccional
• Down, Attempt, Init,
Loading, ExStart,
Exchange: no está
corriendo
completamente
Laboratorio de Area OSPF (Lab. 6)
• Cree un Area según indicado por el instructor
– Area name “Area<Z>”
– Area-id= 0.0.0.Z
• Asignar redes a las áreas
• Verificar sus vecinos OSPF y las tablas de ruteo
• El propietario del ABR (1 de cada grupo) también
debería configurar el área de backbone para
lograr conectar con instructor
• El AP principal (Instructor) debería estar en la lista
de vecinos (Neighbor) del ABR de cada grupo.
Configuración OSPF
• El router-id debe ser
único dentro del AS
• El router-id puede
ser dejado como
0.0.0.0. si se hace
esto se usará la IP
loopback o sino la
dirección IP más alta
asignada a cualquier
interface.
Que se redistribuye?
• La ruta por default no es considerada una ruta estática
1
2
3
} 5
4 {
Configuración de Redistribución
• If-installed: envía la ruta por default únicamente
si ha sido instalado (static default, DHCP, PPP,
etc.)
• Always: siempre envía la ruta por default
• As-type-1: la decisión de ruteo remoto a esta red
será hecha basada en la suma de las métricas
internas y externas
• As-type-2: la decisión de ruteo remoto a esta red
será hecha basado solamente en métricas
externas (las métricas internas se volverán
triviales)
Métrica Externa Type 1
Cost=10
Cost=10
Cost=10 Cost=10
Total Cost=40
Source
Total Cost=49 Cost=10

Cost=10
Cost=9
Destination
ASBR
Métrica Externa Type 2
Cost
trivial
Cost=10 Cost
Cost trivial
Total Cost=10 trivial
Source
Cost
Total Cost=9 trivial
Cost
trivial Destination
Cost=9
ASBR
OSPF Settings
Redistribute Default Route
Especifica como distribuir la ruta por default. Esta opción debería ser
usada para configurar en el ABR (Area Border Router) o en el ASBR
(Autonomous System Boundary Router)
–Never: no envía su propia ruta por default a otros routers
–If-installed-as-type-1: envía la ruta default con métrica tipo 1 solo si ha
sido instalado (una ruta estática default, o ruta añadida por DHCP, PPP,
etc.)
–If-installed-as-type-2: envía la ruta default con métrica tipo 2 solo si ha
sido instalado (una ruta estática default, o ruta añadida por DHCP, PPP,
etc.)
–Always-as-type-1: siempre envía la ruta default con métrica tipo 1
–Always-as-type-2: siempre envía la ruta default con métrica tipo 2
OSPF Settings
•Redistribute Connected Routes
–El router redistribuirá la información sobre todas las rutas conectadas, es
decir, las rutas a las redes alcanzables directamente
•Redistribute Static Routes
–El router redistribuirá la información sobre las rutas estáticas añadidas a su
base de datos de ruteo, es decir, las rutas que han sido creadas usando /ip
route
•Redistribute RIP Routes
–El router redistribuirá la información de todas las rutas aprendidas por el
protocolo RIP
•Redistribute BGP Routes
–El router redistribuirá la información de todas las rutas aprendidas por el
protocolo BGP
Laboratorio de Redistribución (Lab. 7)
• Habilite la redistribución tipo 1 para todas las
rutas conectadas
• Revise la tabla de ruteo
• Añada una ruta estática en su router a una red
X
• Habilite la redistribución tipo 1 para todas las
rutas estáticas
• Revise la tabla de ruteo
Costo de Interface
• Todas las interfaces
tiene un costo por
default de 10
• Para pasar por encima
la configuración por
default se debe añadir
una nueva entrada en
el menú de interface
• Se debe elegir el
correcto tipo de red
para la interface
Interfaces - Descripción
• Esta opción provee herramientas para una
configuración adicional de parámetros específicos de
la interface OSPF.
• NO es necesario configurar las interfaces para que
funcione OSPF.
– Cost: (1..65535) Costo de la interface expresado como una
métrica del estado de enlace
– Priority: (0..255) Prioridad del router (default 1). Ayuda a
determinar cual será el Router Designado (DR=Designated
Router) de la red. Cuando 2 routers conectados a la red
intentan ambos ser un DR, el router que tiene la prioridad
más alta se convierte en DR. Si es “0” entonces el router
NO es elegible para ser designado ni backup
– Authentication Key: usado por los routers que trabajan con
autenticación/clave (MD5 o Simple)
Interfaces – Descripción (cont.)
– Retransmit Interval: (segs.) Es el tiempo que toma en retransmitir los
anuncios de los estados de enlace perdidos. Cuando un router envía un
LSA (Link State Advertisement) a sus vecinos, mantiene ese LSA hasta que
recibe una respuesta de retorno (acknowledgment). Si no recibe ningún
acknowledgment en ese tiempo, el router retransmitirá el LSA. Se
recomienda los siguientes parámetros:
• Broadcast Network: 5 segundos
• Point-to-point Network: 10 segundos
– Transmit Delay: Es el tiempo estimado que toma en transmitir un
paquete de actualización de estado de enlace en la interface
– Hello Interval: Intervalo entre los “paquetes hello” que el router envía en
la interface. Mientras más pequeño el intervalo, se detectarán más rápido
de topología, pero, se producirá un mayor tráfico de ruteo. Este valor
debe ser el mismo en cada lado adyacente, de otra forma la adyacencia
no funcionará.
– Router Dead Interval: Especifica el intervalo después del cual un vecino
es declarado como “muerto” Este intervalo es anunciado en los paquetes
“hello” del router. Este valor debe ser el mismo para todos los routers y
servidores de acceso en una red específica.
Routers Designados
• Para reducir el tráfico OSPF en redes NBMA y
broadcast, se introdujo una sola fuente para la
actualización de rutas: Designated Router (DR)
• DR mantiene una tabla completa de la topología
de la red y envía las actualizaciones a los otros
• El Router con la más alta prioridad (slide anterior)
será elegido como DR
• El Router con la siguiente prioridad será elegido
como Backup DR (BDR)
• Un Router con prioridad 0 nunca podrá ser DR o
BDR.
Laboratorio Interface OSPF (Lab.8)
• Elegir el correcto tipo de red para todas las interfaces
OSPF
• Asignar los costos (próximo slide) para asegurar el
tráfico de una vía en el área
• Verificar la tabla de ruteo para observar las rutas ECMP
• Asignar los costos necesarios para que el enlace de
backup sea usado solamente cuando los otros enlaces
fallan
• Verificar la redundancia de la red OSPF
• Asegúrese que el ABR esté en el DR de su área, pero no
en el área de backbone
Costos
To Main AP To Laptop
ABR
100 10
To Laptop
10 100
To Laptop
BACKUP ???
??? LINK
100 10
10 100
To Laptop
Vecinos NBMA
• En redes non-
broadcast es
necesario especificar
manualmente los
vecinos
• La prioridad
determina la
oportunidad de que
tiene el vecino de ser
elegido como
Designated Router
(DR)
Stub Area
• Un Stub Area es un
área que no recibe
rutas externas AS
• Típicamente todas las
rutas a redes AS
externas pueden ser
reemplazadas por
una Default Route.
Esta ruta será creada
automáticamente y
distribuida por el ABR
Stub Area (2)
• La opción <<Inject Summary LSA>> permite
recolectar backbone separados u otros LSA (Link
State Advertisement) de router de área e
inyectarlo al Stub Area
• Habilite la opción <<Inject Summary LSA>> solo
en el ABR
• <<Inject Summary LSA>> no es una agregación de
ruta
• El costo de <<Inject Summary LSA>> es
especificado por la opción <<Default Area Cost>>
Not-So-Stubby Area (NSSA)
• NSSA es un tipo de Stub
Area que está
habilitado para inyectar
transparentemente
rutas externas AS al
backbone
• <<Translator Role>>
Esta opción permite
controlar cual ABR del
área NSSA actuará
como relay o traductor
para convertir LSAs de 7
a 5 en el Area.
OSPF AS
default
default
area-id=0.0.0.1
area-id=0.0.0.0
Virtual Link
area-id=0.0.0.2 area-id=0.0.0.3
NSSA Stub
ASBR
Laboratorio de Area Type (Lab.9)
• Configure su tipo de área a <<stub>>
• Verifique su tabla de ruteo para identificar los
cambios
• Asegúrese que la redistribución del default
route en el ABR esté configurado como
<<never>>
• Configure la opción <<Inject Summary LSA>>
– En el ABR configure <<enable>>
– En el IR configure <<disable>>
Interface pasiva
• Es necesario asignar las
redes cliente al área o
también el Stub Area
considerará estas redes
como externas.
• Esto es un tema de
seguridad
• La opción “Passive”
permite deshabilitar el
protocolo “Hello” OSPF
en las interfaces cliente
Rangos de Area
• Los rangos de
direcciones son
usados para
agregar
(reemplazar) las
rutas de red desde
dentro del área en
una simple ruta o
eliminándolas
• Es posible asignar
un costo específico
a la ruta agregada
Laboratorio de Agregación de Ruta (Lab.10)
• Anuncie solo una ruta 172.X.0.0/16 en lugar

de cuatro /30 (172.X.1.0/30, 172.X.2.0/30,
172.X.3.0/30, 172.X.4.0/30)
• Detenga el anuncio de la red backup al
backbone
• Chequee la tabla de ruteo de AP Principal
Resumen
• Para asegurar su red OSPF
– Use claves de autenticación (para interfaces y áreas)
– Use la más alta prioridad (255) para el Designated
Router
– Use el correcto Network Type para el área
• Para incrementar el desempeño de la red OSPF
– Use el correcto Area Type
– Use la agregación de ruta tanto como sea posible
OSPF e Interfaces VPN Dinámicas
• Cada interface VPN dinámica
– Crea una nueva ruta DAC /32
• D = Dynamic
• A = Active
• C = Connected
– Remueve esa ruta cuando desaparece
• Problemas
– Cada uno de estos cambios realiza una actualización OSPF,
si la opción “redistribute-connected” está habilitado
(ocurre un flujo de actualización/update en grandes redes
VPN)
– OSPF creará y enviará LSA a cada interface VPN, si la red
VPN está asignada a cualquier área OSPF (bajo desempeño)
Tipo Stub “PPPoE area”
ABR
PPPoE
~250 PPPoE
server
Area1 clients
Area type = stub

~ 100 PPPoE
PPPoE clients
server
Tipo default “PPPoE area”
ABR
PPPoE ~250 PPPoE
server clients
Area1
Area type = default
~ 100 PPPoE
PPPoE clients
server
Laboratorio “PPPoE area” (discusión)
• De una solución para el problema anterior
Filtros de Ruteo OSPF
• Los filtros de ruteo pueden ser aplicados a los
mensajes de actualización de ruteo OSPF
entrantes y salientes
– Chain “ospf-in” para todos los mensajes de
actualización de ruteo entrante
– Chain “ospf-out” para todos los mensajes de
actualización de ruteo saliente
• Los filtros de ruteo pueden manejar solamente
rutas OSPF externas (rutas de las redes que no
son asignadas a cualquier área OSPF)
Filtros de Ruteo
Filtros de Ruteo y VPN
• Es posible crear una regla de filtro de ruteo
para restringir todas las rutas /32 para que no
ingresen a la red OSPF
• Es necesario tener una ruta agregada a esta
red VPN:
– Teniendo la dirección de la red VPN agregada a la
interface del router
Regla de Filtros de Ruteo
VLANs, VPN & Point-to-Point
Virtual LAN (802.1Q)
• Virtual LAN permite a los dispositivos de red ser
agrupados en subgrupos independientes incluso
si están ubicados en segmentos de Lan diferentes
• Para que los routers se comuniquen el VLAN ID
debe ser el mismo para las interfaces VLAN
• Los puertos en el router soportan múltiples
(hasta 250 4095) VLANs en una interfaz ethernet
• Una VLAN puede ser configurada sobre otra
interfaz VLAN “Q-in-Q” (802.1Q)
Ejemplo de VLAN
Creando una interfaz VLAN
VLAN en Switch
• Los puertos de switch compatibles con VLAN pueden
ser asignados a uno o varios grupos basados en VLAN
tag
• Los puertos de switch en cada grupo pueden ser
configurados como:
– Tagged mode: permite añadir VLAN tag de grupos en
transmisión y permite recibir frames con este tag
– Untagged mode: permite remover VLAN tag de grupos en
transmisión, y permite recibir solo paquetes unttaged
– <Undefined>: el puerto no tiene relación a este grupo
• Trunk port: es un puerto taggeado para varios grupos
VLAN
Laboratorio VLAN
• Crear grupos de 4 participantes
• Conectar los equipos usando wireless
–1 AP
–3 clientes
• Crear un enlace VLAN para cada participante
• Asignar redes /30 a los enlaces VLAN y
verificar funcionabilidad
QinQ
• “Vlans debajo de Vlans”
• No hay pantalla que lea QinQ
• Se configura asignando un nuevo Vlan bajo
otro Vlan.
• Cada VLAN QinQ al igual será reconocido en el
Router o Switch como una interface adicional
• Ahora solo se transporta 1 VLAN de un punto
a otro para efectos de transporte o el
proveedor.
Laboratorio QinQ
• Utilizar el mismo laboratorio de VLANs pero
esta vez añadir al menos 1 vlan adicional
debajo del principal. El router compañero
debe hacer lo mismo
• Asignar segmentos /30 para cada VLAN nuevo
del QinQ.
• Validar funcionamiento de pings entre los
VLANs
VPN

IPIP
• IPIP (IPv4) permite crear un túnel encapsulando
paquetes IP en paquetes IP para enviarlos a otro
router
• IPIP es un túnel en capa 3. No puede ser
“bridged” (L2)
• RouterOS implementa túneles IPIP acorde al RFC
2003, por lo tanto es compatible con las
implementaciones IPIP de otros vendedores
• Para crear un túnel se debe especificar la
dirección del router local y del router remoto en
ambos lados del túnel
Creando una interface IPIP

Laboratorio IPIP
• Reemplace todas las VLANs (del laboratorio
anterior) con túneles IPIP
• Verifique que puede hacer “ping” a la
dirección remota antes de crear el túnel
• Asigne direcciones /30 (del laboratorio
anterior) a las intefaces IPIP y cheque el
funcionamiento de los túneles

EoIP (Ethernet Over IP)
• (IP protocol 47/GRE) Tunneling EoIP crea un tunel
Ethernet (encapsula frames Ethernet en paquetes
IP) entre 2 routers en una conexión IP
• Tunneling EoIP es un protocolo propietario de
MikroTik RouterOS
• EoIP es un tunel en L2. Puede ser “bridged”
• Para crear un tunel se debe especificar la
dirección del router remoto y elegir un Tunnel ID
único
• Se debe verificar que la interface EoIP tenga un
MAC-address diferente que el lado opuesto
Beneficios de Túnel EoIP
• Extender LANs sobre Internet
• Extender LANs sobre túneles encriptados
• Extender LANs sobre redes wireless “ad-hoc”

Creación de un Tunel EOIP

EoIP y Bridging

Laboratorio EoIP
• Reemplace los túneles IPIP con túneles EoIP
• Verificar que es posible hacer “ping” las
direcciones remotas antes de crear un túnel hacia
el remoto
• Asignar direcciones /30 a las interfaces EoIP y
verificar todos los túneles
• Hacer bridge de todas las interfaces EoIP con la
interface local a tu laptop
• Verificar su Winbox -> Neighbors y validar si
aparece router del vecino en L2

Necesitas repasar PPTP, SSTP y
PPPoE?

Direccionamiento /30
P2P_int2: 2.2.2.2/30 P2P_int3: 3.3.3.2/30
Any IP
network Tunnel1: 1.1.1.1/30
(LAN, WAN, Internet) Tunnel2: 2.2.2.1/30
P2P_int1: 1.1.1.2/30 Tunnel3: 3.3.3.1/30

Direccionamiento point-to-point
• El direccionamiento point-to-point utiliza solo dos
Ips por enlace mientras /30 utiliza cuatro Ips
• No hay dirección de broadcast, sino que la
dirección de red debe ser configurada
manualmente a la dirección IP opuesta. Ejemplo:
– Router 1: address=1.1.1.1/32, network=2.2.2.2
– Router 2: address=2.2.2.2/32, network=1.1.1.1
• Pueden haber direcciones /32 idénticas en el
router. Cada dirección tendrá una ruta diferente
conectada
Direccionamiento point-to-point
P2P_int2: 3.3.3.3/32 P2P_int3: 4.4.4.4/32
Network: 1.1.1.1 Network: 1.1.1.1
Any IP network P2P_int1: 1.1.1.1/32

(LAN, WAN, Internet) Network: 2.2.2.2
P2P_int2: 1.1.1.1/32
Network: 3.3.3.3
P2P_int3: 1.1.1.1/32
Network: 4.4.4.4
Network: 1.1.1.1
P2P_int1: 2.2.2.2/32
Laboratorio de direccionamiento
point-to-point
• Reemplace todas las direcciones /30 en las
interfaces IPIP (del laboratorio anterior) con
direcciones point-to-point /32
• Asegúrese de que cada participante puede
hacer “ping” a su dirección IP XY.XY.XY.XY a
través de todos los túneles IPIP
• Analice cuántas direcciones IP fueron
utilizadas en total en túneles IPIP para todo el
grupo

VRRP
Virtual Router Redundancy Protocol

VRRP
• La implementación de VRRP en MikroTik
RouterOS es compatible con RFC2338
• VRRP es un protocolo usado para asegurar el
acceso a recursos en caso de falla de un router.
• 2 o más routers (referidos como routers VRRP)
crean un cluster de Alta Disponibilidad (también
referidos como Routers Virtuales) con fail-over
dinámico
• Cada router puede participar en hasta 255
routers virtuales por interfaz
VRRP
• Una o más direcciones IP se pueden asignar a
un router virtual
• Un nodo de un router virtual puede tener uno
de los siguientes estados:
–Master
–Backup

VRRP Master/Backup
• VRRP Master
– El router adquiere este estado cuando el nodo responde todos
los requerimientos a la dirección IP
– Puede haber solo un nodo MASTER en un router virtual. Este
nodo envía paquetes de aviso a todos los routers BACKUP
(usando dirección multicast) cada cierto tiempo (este tiempo se
configura en la opción interval)
• VRRP Backup
– No responde ningún requerimiento a las direcciones IP de la
instancia.
– Si el MASTER se vuelve no-disponible (si al menos 3 paquetes
secuenciales VRRP se pierden) se genera un proceso de elección
y se proclama un nuevo MASTER basado en su prioridad.

Notas VRRP
• VRRP no trabaja en interfaces VLAN ya que es
imposible asegurar que la MAC-address de
una VLAN sea diferente de la MAC-address del
router virtual
• El máximo número de clusters en una red es
255 teniendo cada uno un único Virtual
Router ID (VRID)
• Cada router que participa en un cluster VRRP
debe tener asignada una prioridad

VRRP: Implementación Básica

VRRP + Internet (router)
Apoyo usando ECMP
Internet
ECMP
Router
(eth1) (eth2) (bridge1) 172.19.1.254/24 - Asignar IP a eth3 de R1 y R2

- Router: eth1+eth2 = bridge1
- Asignar IP a bridge1
(eth3) 172.19.1.1/24 (eth3) 172.19.1.2/24 Aplicar ECMP en Router

[admin@Router] > ip route add dst-address=192.168.1.0/24
gateway=172.19.1.1, 172.19.1.2
R1 R2 check-gateway=ping
(eth1) 192.168.1.1/24 (eth1) 192.168.1.2/24
Master vrrp1 Backup Existen inconvenientes en esta implementación?

192.168.1.254
192.168.1.0/24

Apoyo usando ECMP – Identificando problemas

Apoyo usando ECMP + Bridge + STP
Internet
Router
(bridge1) 172.19.1.254/24 Solución: ECMP + Bridge + STP

Router
(bridgeR1R2) 172.19.1.1/24 (bridgeR2R1) 172.19.1.2/24 [admin@Router] > interface bridge set bridge1 protocol-mode=stp
(eth2) R1
R1 (eth2)
R2 [admin@R1] > interface bridge add name=bridgeR1R2 protocol-mode=stp
[admin@R1] > interface bridge port add interface=ether2 bridge=bridgeR1R2
(eth1) 192.168.1.1/24 (eth1) 192.168.1.2/24 [admin@R1] > interface bridge port add interface=ether3 bridge=bridgeR1R2
Master vrrp1 Backup * la IP (172.19.1.1) se asigna ahora a bridgeR1R2

192.168.1.254
R2
[admin@R2] > interface bridge add name=bridgeR2R1 protocol-mode=stp
192.168.1.0/24 [admin@R2] > interface bridge port add interface=ether2 bridge=bridgeR2R1
[admin@R2] > interface bridge port add interface=ether3 bridge=bridgeR2R1
* la IP (172.19.1.2) se asigna ahora a bridgeR2R1

Apoyo usando VRRP en 172.19.1.0

Requerimiento de 2 Gateways en LAN
Internet
Router
R1
R1 R2 /ip address add address=192.168.1.1/24 interface=ether1
/interface vrrp add name=VR1 interface=ether1 vrid=49 priority=254
/interface vrrp add name=VR2 interface=ether1 vrid=77
(eth1) 192.168.1.1/24 (eth1) 192.168.1.2/24
/ip address add address=192.168.1.253 interface=VR1
Master VR1 Backup
192.168.1.253
R2
Backup VR2 Master /ip address add address=192.168.1.2/24 interface=ether1
192.168.1.254 /interface vrrp add name=VR1 interface=ether1 vrid=49
/interface vrrp add name=VR2 interface=ether1 vrid=77 priority=254
192.168.1.0/24 /ip address add address=192.168.1.254 interface=VR2
GW: 192.168.1.253 GW: 192.168.1.254

LE DESEAMOS EXITO EN EL EXAMEN,
(Suerte la tiene cualquiera)
NINsys Solutions
www.ninsys.com

Mtcre PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Mtcre PDF

Cargado por

Copyright:

Formatos disponibles

MikroTik Certified Routing Engineer

MikroTik Trainer - TR0261

Tel: 787.301.0075 / info@daocom.net 2

– Enrutar entre las redes locales participantes

Direcciones del router

Añadir las rutas default

Esta es una configuración típica de gateway ECMP con check-gateway.

• Eliminar todas las reglas de mangle

Total Cost=49 Cost=10

• Anuncie solo una ruta 172.X.0.0/16 en lugar

Area type = stub

Area type = default

• De una solución para el problema anterior

© NINsys.com / MikroTik.com 100

© NINsys.com / MikroTik.com 102

© NINsys.com / MikroTik.com 103

© NINsys.com / MikroTik.com 105

© NINsys.com / MikroTik.com 106

© NINsys.com / MikroTik.com 107

© NINsys.com / MikroTik.com 108

© NINsys.com / MikroTik.com 109

© NINsys.com / MikroTik.com 110

Any IP network P2P_int1: 1.1.1.1/32

© NINsys.com / MikroTik.com 113

Virtual Router Redundancy Protocol

© NINsys.com / MikroTik.com 114

© NINsys.com / MikroTik.com 116

© NINsys.com / MikroTik.com 117

© NINsys.com / MikroTik.com 118

© NINsys.com / MikroTik.com 119

(eth1) (eth2) (bridge1) 172.19.1.254/24 - Asignar IP a eth3 de R1 y R2

(eth3) 172.19.1.1/24 (eth3) 172.19.1.2/24 Aplicar ECMP en Router

(eth1) 192.168.1.1/24 (eth1) 192.168.1.2/24

Master vrrp1 Backup Existen inconvenientes en esta implementación?

© NINsys.com / MikroTik.com 120

© NINsys.com / MikroTik.com 121

(bridge1) 172.19.1.254/24 Solución: ECMP + Bridge + STP

Master vrrp1 Backup * la IP (172.19.1.1) se asigna ahora a bridgeR1R2

* la IP (172.19.1.2) se asigna ahora a bridgeR2R1

© NINsys.com / MikroTik.com 122

© NINsys.com / MikroTik.com 123

GW: 192.168.1.253 GW: 192.168.1.254

También podría gustarte