Sei sulla pagina 1di 201

Roteamento Avanado

em MikroTik RouterOS
Lancore Networks e BRAUSER
Introduo

Instrutor: Leonardo Rosa, BRAUSER.


Consultor em Internetworking

Equipe experiente com casos de sucesso em
Routing, Caching, Wireless etc.
Agenda
Treinamento dirio das 09:00hs s 18:00hs

Coffee break s 15:30hs

Almoo s 13:00hs 1 hora de durao


Resumo
Introduo ao MikroTik RouterOS
Interfaces, Internet, Hotspot e PPPoE
OSPF
reas, Custos, Redistribuio e Agregao
MPLS
LDP
VPLS (VPN L2)
BGP
Bsico do BGP (iBGP, eBGP)
Distribuio, filtros e atributos do BGP
Sobre a Mikrotik

1995: Inicio das atividades

1997: Lanado RouterOS para x86 (PC)

2002: Primeira RouterBOARD lanada

2006: Primeiro MUM


Onde est a Mikrotik ?

7
Nivelamento de conhecimentos TCP/IP

37
Modelo OSI
(Open System Interconnection)
Interconnection
CAMADA 7 Aplicao: Comunicao com os programas. SNMP e TELNET.

CAMADA 6 Apresentao: Camada de traduo. Compresso e criptografia

CAMADA 5 Sesso: Estabelecimento das sesses TCP.

CAMADA 4 Transporte: Controle de fluxo, ordenao dos pacotes e correo de erros

CAMADA 3 Rede: Associa endereo fsico ao endereo lgico

CAMADA 2 Enlace: Endereamento fsico. Detecta e corrige erros da camada 1

CAMADA 1 Fsica: Bits de dados

38
Camada I Camada Fsica
A camada fsica define as caractersticas
tcnicas dos dispositivos eltricos.

nesse nvel que so definidas as


especificaes de cabeamento estruturado,
fibras pticas, etc... No caso da wireless a
camada I que define as modulaes,
frequncias e largura de banda das portadores.
39
Camada II - Enlace
Camada responsvel pelo endereamento fsico,
controle de acesso ao meio e correes de erros da
camada I.

Endereamento fsico se faz pelos endereos MAC


(Controle de Acesso ao Meio) que so nicos no mundo
e que so atribudos aos dispositivos de rede.

Ethernets e PPP so exemplos de dispositivos que


trabalham em camada II.
40
Endereo MAC

o nico endereo fsico de um dispositivo de rede

usado para comunicao com a rede local

Exemplo de endereo MAC: 00:0C:42:00:00:00

41
Camada III - Rede
Responsvel pelo endereamento lgico dos
pacotes.

Transforma endereos lgicos(endereos IPs) em


endereos fsicos de rede.

Determina que rota os pacotes iro seguir para


atingir o destino baseado em fatores tais como
condies de trfego de rede e prioridade.
42
Endereo IP

o endereo lgico de um dispositivo de rede

usado para comunicao entre redes

Exemplo de endereo ip:: 200.200.0.1

43
Sub Rede
uma faixa de endereos IP que divide as redes em segmentos
Exemplo de sub rede: 255.255.255.0 ou /24
O endereo de REDE o primeiro IP da sub rede
O endereo de BROADCAST o ltimo IP da sub rede
Esses endereos so reservados e no podem ser usados
End. IP/Mscara End. de Rede End. Broadcast
192.168.1.0/23 192.168.0.0 192.168.1.255
192.168.1.1/24 192.168.1.0 192.168.1.255
192.168.1.1/25 192.168.1.0 192.168.1.127
192.168.1.1/26 192.168.1.0 192.168.1.63
44
Endereamento CIDR

45
Protocolo ARP Address Resolution Protocol

Utilizado para associar IPs com endereos fsicos.


Faz a intermediao entre a camada II e a camada III da
seguinte forma:
1. O solicitante de ARP manda um pacote de broadcast com
informao do IP de destino, IP de origem e seu MAC,
perguntando sobre o MAC de destino.
2. O host que tem o IP de destino responde fornecendo seu MAC.
3. Para minimizar o broadcast, o S.O mantm um tabela ARP
constando o par (IP MAC).

46
Camada IV - Transporte
Quando no lado do remetente responsvel por
pegar os dados das camadas superiores e dividir em
pacotes para que sejam transmitidos para a camada
de rede.

No lado do destinatrio pega pega os pacotes


recebidos da camada de rede, remonta os dados
originais e os envia para camada superior.

Esto na camada IV: TCP, UDP, RTP


47
Camada IV - Transporte
Protocolo TCP:
O
O TCP um protocolo de transporte que executa
importantes funes para garantir que os dados sejam
entregues de forma confivel, ou seja, sem que os
dados sejam corrompidos ou alterados.

Protocolo UDP:
O
O UDP um protocolo no orientado a conexo e
portanto mais rpido que o TCP. Entretanto no
garante a entrega dos dados.
48
Caractersticas do protocolo TCP
Garante a entrega de data gramas IP.
Executa a segmentao e reagrupamento de grande blocos de dados enviados
pelos programas e garante o seqenciamento adequado e a entrega ordenada de
dados segmentados.
Verifica a integridade dos dados transmitidos usando clculos de soma de
verificao.
Envia mensagens positivas dependendo do recebimento bem-sucedido
bem dos dados.
Ao usar confirmaes seletivas, tambm so enviadas confirmaes negativas
para os dados que no foram recebidos.
Oferece um mtodo preferencial de transporte de programas que devem usar
transmisso confivel de dados baseados em sesses, como banco de dados
cliente/servidor por exemplo.

49
Diferenas bsicas entre TCP e UDP
TCP UDP
Servio sem conexo. No estabelecida
Servio orientado por conexo.
conexo entre os hosts.

Garante a entrega atravs do uso de


No garante ou no confirma entrega
confirmao e entrega seqenciada dos
dos dados.
dados.
Programas que usam UDP so
Programas que usam TCP tem garantia
responsveis pela confiabilidade dos
de transporte confivel de dados.
dados.
Rpido, exige poucos recursos e oferece
Mais lento, usa mais recursos e somente
comunicao ponto a ponto e
d suporte a ponto a ponto.
multiponto.
50
Estado das conexes
possvel observar o estado das conexes no MikroTik no menu Connections.

51
Portas TCP
Protocolo
TCP

FTP SSH Telnet WEB


Porta 21 Porta 22 Porta 23 Porta 80

O uso de portas, permite o funcionamento de vrios servios, ao


mesmo tempo, no mesmo computador, trocando informaes com um
ou mais servios/servidores.

Portas abaixo de 1024 so registradas para servios especiais.


52
Dvidas ????

53
DIAGRAMA INICIAL

54
Configurao do Router
Adicione os ips as interfaces

Obs.: Atente para selecionar as interfaces corretas.


55
Configurao do Router
Adicione a rota padro

3
1

56
Configurao do Router
Configurao da interface wireless

58
Teste de conectividade
Pingar a partir da RouterBoard o seguinte ip:
192.168.X.254
Pingar a partir da RouterBoard o seguinte endereo:
www.mikrotik.com;
Pingar a partir do notebook o seguinte ip:
192.168.X.254
Pingar a partir do notebook o seguinte endereo:
www.mikrotik.com;
Analisar os resultados
59
Corrigir o problema de conectividade

Diante do cenrio apresentado quais solues


podemos apresentar?

Adicionar rotas estticas;

Utilizar protocolos de roteamento dinmico;

Utilizar NAT(Network Address Translation).


60
Utilizao do NAT
O mascaramento a tcnica que permite que vrios
hosts de uma rede compartilhem um mesmo endereo
IP de sada do roteador. No Mikrotik o mascaramento
feito atravs do Firewall na funcionalidade do NAT.

Todo e qualquer pacote de dados de uma rede possui


um endereo IP de origem e destino. Para mascarar o
endereo, o NAT faz a troca do endereo IP de origem.
Quando este pacote retorna ele encaminhando ao
host que o originou.

61
Adicionar uma regra de NAT, mascarando as
requisies que saem pela interface wlan1.
3

4
62
Teste de conectividade

Efetuar os testes de ping a partir do notebook;


Analisar os resultados;
Efetuar os eventuais reparos.

Aps a confirmao de que tudo est funcionando, faa


o backup da routerboard e armazene-o
armazene no notebook.
Ele ser usado ao longo do curso.
63
Firewall no Mikrotik

152
Firewall
O firewall normalmente usado como ferramenta de segurana para
prevenir o acesso no autorizado a rede interna e/ou acesso ao roteador
em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de
entrada, de sada e passante.
Alm da segurana no firewall que sero desempenhadas diversas
funes importantes como a classificao e marcao de pacotes para
desenvolvimento de regras de QoS.
A classificao do trfego feita no firewall pode ser baseada em vrios
classificadores como endereos MAC, endereos IP, tipos de endereos IP,
portas, TOS, tamanho do pacotes, etc...

153
Firewall - Opes

Filter Rules:: Regras para filtro de pacotes.


NAT:: Onde feito a traduo de endereos e portas.
Mangle:: Marcao de pacotes, conexo e roteamento.
Service Ports:: Onde so localizados os NAT Helpers.
Connections:: Onde so localizadas as conexes existentes.
Address List: Lista de endereos ips inseridos de forma dinmica ou esttica e
que podem ser utilizadas em vrias partes do firewall.
Layer 7 Protocols: Filtros de camada 7. 154
Firewall Canais default

O Firewall opera por meio de regras. Uma regra uma


expresso lgica que diz ao roteador o que fazer com
um tipo particular de pacote.
Regras so organizadas em canais(chain)
canais( e existem 3
canais default.
INPUT:: Responsvel pelo trfego que CHEGA no router;
OUTPUT:: Responsvel pelo trfego que SAI do router;
FORWARD:: Responsvel pelo trfego que PASSA pelo router.
155
Firewall Fluxo de pacotes
Interface de Interface de
Entrada Saida

Processo Local
Processo Local IN
OUT

Deciso de Deciso de
Roteamento Filtro Input Filtro Output Roteamento

Filtro Forward

Para maiores informaes acesse:


http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Packet_Flow
156
Firewall Princpios gerais

1. As regras de firewall so sempre processadas por canal,


na ordem que so listadas de cima pra baixo.
2. As regras de firewall funcionam como expresses lgicas
condicionais, ou seja: se <condio> ento <ao>.
3. Se um pacote no atende TODAS condies de uma regra,
ele passa para a regra seguinte.
157
Firewall Princpios gerais

4. Quando um pacote atende TODAS as condies da


regra, uma ao tomada com ele no importando
as regras que estejam abaixo nesse canal, pois elas
no sero processadas.
5. Algumas excees ao critrio acima devem ser
consideradas como as aes de: passthrough,
log e
add to address list.
6. Um pacote que no se enquadre em qualquer regra
do canal, por padro ser aceito.
158
Firewall Filters Rules

As regras de filtro pode ser organizadas e


mostradas da seguinte forma:
all: Mostra todas as regras.
dynamic:: Regras criadas dinamicamente por servios.
forward, input output:: Regras referente a cada canal.
static:: Regras criadas estaticamente pelos usurios.
159
Firewall Filters Rules
Algumas aes que podem ser tomadas nos filtros de firewall:
passthrough:: Contabiliza e passa adiante.
drop:: Descarta o pacote silenciosamente.
reject:: Descarta o pacote e responde com uma mensagem de icmp ou
tcp reset.
tarpit:: Responde com SYN/ACK ao pacote TCP SYN entrante, mas no
aloca recursos.

160
Filter Rules Canais criados pelo usurio

Alm dos canais padro o administrador pode criar canais


prprios. Esta prtica ajuda na organizao do firewall.
Para utilizar o canal criado devemos desviar o fluxo
atravs de uma ao JUMP.
No exemplo acima podemos ver 3 novos canais criados.
Para criar um novo canal basta adicionar uma nova regra e
dar o nome desejado ao canal.
161
Firewall Filters Rules

Aes relativas a canais criados


pelo usurio:
jump:: Salta para um canal
definido em jump-target
jump target:: Nome do canal para
onde se deve saltar

return:: Retorna para o canal que


chamou o jump
162
Como funciona o canal criado pelo usurio
Canal criado
pelo usurio

REGRA REGRA
REGRA REGRA
REGRA REGRA
JUMP REGRA
REGRA REGRA
REGRA REGRA
REGRA REGRA
REGRA REGRA

163
Como funciona o canal criado pelo usurio

REGRA REGRA Caso exista alguma


regra de RETURN, o
REGRA REGRA retorno feito de
forma antecipada e
REGRA REGRA
as regras abaixo
JUMP RETURN sero ignoradas.
REGRA REGRA
REGRA REGRA
REGRA REGRA
REGRA REGRA

164
Firewall Connection Track
Refere-se
se a habilidade do roteador em manter o estado da
informao relativa as conexes, tais como endereos IP de origem e
destino, as respectivas portas, estado da conexo, tipo de protocolos
e timeouts. Firewalls que fazem connection track so chamados de
statefull e so mais seguros que os que fazem processamentos
stateless.

168
Firewall Connection Track
O sistema de connection track o corao do
firewall. Ele obtm e mantm informaes sobre
todas conexes ativas.
Quando se desabilita a funo connection tracking
so perdidas as funcionalidades NAT e as marcaes
de pacotes que dependam de conexo. No entanto,
pacotes podem ser marcados de forma direta.
Connection track exigente de recursos de
hardware. Quando o equipamento trabalha somente
como bridge aconselhvel desabilit-la.
desabilit
169
Localizao da Connection Tracking

Interface de Processo Local Interface de


Processo Local IN
Entrada OUT Saida

Conntrack Conntrack

Deciso de Deciso de
Filtro Input Filtro Output Roteamento
Roteamento

Filtro Forward

170
Firewall Connection Track

Estado das conexes:


established:: Significa que o pacote faz parte de uma conexo j
estabelecida anteriormente.
new:: Significa que o pacote est iniciando uma nova conexo ou faz
parte de uma conexo que ainda no trafegou pacotes em ambas
direes.
related:: Significa que o pacote inicia uma nova conexo, porm est
associada a uma conexo existente.
invalid:: Significa que o pacote no pertence a nenhuma conexo
existente e nem est iniciando outra. 171
Firewall Address List

A address list contm uma lista de endereos IP que pode ser utilizada em
vrias partes do firewall.
Pode-se
se adicionar entradas de forma dinmica usando o filtro ou mangle
conforme abaixo:
Aes:
add dst to address list:: Adiciona o IP de destino lista.
add src to address list:: Adiciona o IP de origem lista.
Address List:: Nome da lista de endereos.
Timeout:: Porque quanto tempo a entrada permanecer na lista.
165
Firewall Tcnica do knock
knock

166
Firewall Tcnica do knock
knock
A tcnica do knock knock consiste em permitir acesso ao roteador somente aps ter
seu endereo IP em uma determinada address list.
Neste exemplo iremos restringir o acesso ao winbox somente a endereos IPs que
estejam na lista libera_winbox
/ip firewall filter

add chain=input protocol=tcp dst-port=2771 action=add


add-src-to-address-list address-list=knock \
address-list-timeout=15s comment="" disabled=no

add chain=input protocol=tcp dst-port=7127 src-address


address-list=knock action= add-src-to-address-list \
address-list=libera_winbox address-list-timeout=15m comment=""
comment disabled=no

add chain=input protocol=tcp dst-port=8291 src-address


address-list=libera_winbox action=accept disabled=no

add chain=input protocol=tcp dst-port=8291 action=drop


drop disbled=no
167
Firewall
Protegendo o Roteador e os Clientes

172
Princpios bsicos de proteo
Proteo do prprio roteador
Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente servios necessrios no prprio roteador.
Prevenir e controlar ataques e acessos no autorizado ao roteador.

Proteo da rede interna


Tratamento das conexes e eliminao de trfego
prejudicial/intil.
Permitir somente os servios necessrios nos clientes.
Prevenir e controlar ataques e acesso no autorizado em clientes.

173
Firewall Tratamento de conexes

Regras do canal input


Descarta conexes invlidas.
Aceitar conexes estabelecidas.
Aceitar conexes relacionadas.
Aceitar todas conexes da rede interna.
Descartar o restante. 174
Firewall Controle de servios

Regras do canal input


Permitir acesso externo ao winbox.
winbox
Permitir acesso externo por SSH.
Permitir acesso externo ao FTP.
Realocar as regras. 175
Firewall Filtrando trfego indesejvel e
possveis ataques.
Controle de ICMP
Internet Control Message Protocol basicamente uma
ferramenta para diagnstico da rede e alguns tipos de
ICMP devem ser liberados obrigatoriamente.
Um roteador usa tipicamente apenas 5 tipos de
ICMP(type:code), que so:
Ping Mensagens (0:0) e (8:0)
Traceroute Mensagens (11:0) e (3:3)
PMTUD Mensagens (3:4)
Os outros tipos de ICMP podem ser bloqueados.
177
Firewall Filtrando trfego indesejvel
IPs Bogons:
Existem mais de 4 milhes de endereos IPV4.
Existem muitas ranges de IP restritos em rede pblicas.
Existem vrias ranges reservadas para propsitos especficos.
Uma lista atualizada de IPs bogons pode ser encontrada em:
http://www.team-cymru.org/Services/Bogons/bogon
cymru.org/Services/Bogons/bogon-dd.html

IPs Privados:
Muitos aplicativos mal configurados geram pacotes destinados a
IPs privados e uma boa prtica filtr-los.
filtr

178
Firewal Proteo bsica
Ping Flood:

Ping Flood consiste no envio


de grandes volumes de
mensagens ICMP aleatrias.

possvel detectar essa


condio no Mikrotik criando
uma regra em firewall filter e
podemos associ-la a uma
regra de log para monitorar a
origem do ataque.
179
Firewal Proteo bsica
Port Scan:
Consiste no scaneamento de portas TCP e/ou UDP.
A deteco de ataques somente possvel para o protocolo
TCP.
Portas baixas (0 1023)
Portas altas (1024 65535)

180
Firewal Proteo bsica
Ataques DoS:
O principal objetivo do ataque de DoS o consumo de
recursos de CPU ou banda.
Usualmente o roteador inundado com requisies de
conexes TCP/SYN causando resposta de TCP/SYN-ACK
TCP/SYN e
a espera do pacote TCP/ACK.
Normalmente no intencional ou causada por vrus
em clientes.
Todos os IPs com mais de 15 conexes com o roteador
podem ser considerados atacantes.
181
Firewal Proteo bsica
Ataques DoS:
Se simplesmente descartamos as conexes,
permitiremos que o atacante crie uma nova conexo.

Para que isso no ocorra, podemos implementar a


proteo em dois estgios:
Deteco Criar uma lista de atacantes DoS com base em
connection limit.
Supresso Aplicando restries aos que forem detectados.
182
Firewal Proteo para ataques DoS

Criar a lista de atacantes


para posteriormente
aplicarmos a supresso
adequada.

183
Firewal Proteo para ataques DoS
Com a ao tarpit
aceitamos a conexo e a
fechamos, no deixando
no entanto o atacante
trafegar.

Essa regra deve ser


colocada antes da regra de
deteco ou ento a
address list ir reescrev-la
todo tempo. 184

184
Firewal Proteo bsica
Ataque dDoS:
Ataque de dDoS so bastante
parecidos com os de DoS,
porm partem de um grande
nmero de hosts infectados.

A nica medida que podemos


tomar habilitar a opo TCP
SynCookie no Connection
Track do firewall.
185
PPP Definies Comuns para os
servios
MTU/MRU:: Unidade mximas de transmisso/ recepo em
bytes. Normalmente o padro ethernet permite 1500 bytes.
Em servios PPP que precisam encapsular os pacotes, deve-
deve
se definir valores menores para evitar fragmentao.

Keepalive Timeout:: Define o perodo de tempo em segundos aps o qual o


roteador comea a mandar pacotes de keepalive por segundo. Se nenhuma
reposta recebida pelo perodo de 2 vezes o definido em keepalive timeout o
cliente considerado desconectado.
Authentication: As formas de autenticao permitidas so:
Pap:: Usurio e senha em texto plano sem criptografica.

Chap: Usurio e senha com criptografia.

Mschap1: Verso chap da Microsoft conf. RFC 2433

Mschap2: Verso chap da Microsoft conf. RFC 2759


250
PPPoE Cliente e Servidor
PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato da
rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui informaes
sobre o remetente e o destinatrio, desperdiando mais banda. Cerca de 2% a
mais.

Muito usado para autenticao de clientes com base em Login e Senha. O PPPoE
estabelece sesso e realiza autenticao com o provedor de acesso a internet.

O cliente no tem IP configurado, o qual atribuido pelo Servidor


PPPoE(concentrador)
(concentrador) normalmente operando em conjunto com um servidor
Radius.. No Mikrotik no obrigatrio o uso de Radius pois o mesmo permite
criao e gerenciamento de usurios e senhas em uma tabela local.

PPPoE por padro no criptografado. O mtodo MPPE pode ser usado desde
que o cliente suporte este mtodo.
253
PPPoE Cliente e Servidor
O cliente descobre o servidor atravs do protocolo
pppoe discovery que tem o nome do servio a ser
utilizado.

Precisa estar no mesmo barramento fsico ou os


dispositivos passarem pra frente as requisies
PPPoE usando pppoe relay.
No Mikrotik o valor padro do Keepalive Timeout 10, e funcionar bem na
maioria dos casos. Se configurarmos pra zero, o servidor no desconectar os
clientes at que os mesmos solicitem ou o servidor for reiniciado.

254
Configurao do Servidor PPPoE
1. Primeiro crie um pool de IPs para o
PPPoE
PPPoE.

/ip pool add name=pool-pppoe


name=pool
ranges=172.16.0.2
ranges=172.16.0.2-172.16.0.254

2. Adicione um perfil para o PPPoE onde:


Local Address = Endereo IP do concentrado.
Remote Address = Pool do pppoe.

/ppp profile local-address=172.16.0.1 name=perfil--


pppoe remote-address=pool-pppoe
255
Configurao do Servidor PPPoE
3. Adicione um usurio e senha
/ppp secret add name=usuario password=123456
service=pppoe profile=perfil-pppoe

Obs.: Caso queira verificar o MAC-Address,, adicione em


Caller ID. Esta opo no obrigatria, mas um
parametro a mais para segurana.

256
Configurao do Servidor PPPoE
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vo
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai
escutar.

/interface pppoe-server server add


authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 max-
mru=1480 max-mtu=1480 max-sessions=50
mrru=512 one-session-per-host=yes service-
name="Servidor PPPoE"

257
Mais sobre perfis
Bridge: Bridge para associar ao perfil

Incoming/Outgoing
Outgoing Filter: Nome do canal do
firewall para pacotes entrando/saindo.

Address List:
List Lista de endereos IP para associar ao
perfil.

DNS Server: Configurao dos servidores DNS a


atribuir aos clientes.

Use Compression/Encryption/Change
Compression TCP MSS:
caso estejam em default, vo associar ao valor que
est configurado no perfil default-profile.

258
Mais sobre perfis
Session Timeout: Durao mxima de uma
sesso PPPoE.
Idle Timeout: Perodo de ociosidade na
transmisso de uma sesso. Se no houver
trfego IP dentro do perodo configurado, a
sesso terminada.
Rate Limit:
Limit Limitao da velocidade na forma
rx-rate//tx-rate. Pode ser usado tambm na
forma rx-rate/tx-rate
rx rx-burst-rate/tx-burst-
rate rx--burst-threshould/tx-burst-threshould
burst-time
time priority rx-rate-min/tx-rate-min.
Only One:
One Permite apenas uma sesso para o
mesmo usurio.
259
Mais sobre o database
Service: Especifica o servio disponvel para este
cliente em particular.

Caller ID: MAC Address do cliente.

Local/Remote
Remote Address: Endereo IP Local (servidor)
e remote(cliente)
(cliente) que podero ser atribudos a um
cliente em particular.

Limits Bytes IN/Out: Quantidade em bytes que o


cliente pode trafegar por sesso PPPoE.

Routes:: Rotas que so criadas do lado do servidor


para esse cliente especifico. Vrias rotas podem ser
adicionadas separadas por vrgula.
260
Mais sobre o PPoE Server
O concentrador PPPoE do Mikrotik suporta mltiplos servidores
para cada interface com diferentes nomes de servio. Alm do
nome do servio, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes Mikrotik, a interface de rdio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.

Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que 1500 bytes.
At o momento no possumos nenhuma maneira de alterar a MTU da interface sem fio de
clientes MS Windows. A opo One Session Per Host permite somente uma sesso por host(MAC
Address). Por fim, Max Sessions define o nmero mximo de sesses que o concentrador
suportar.
261
Configurao do Lab
Dividir em grupos de quatro
Fazer a configurao de rede como ilustrado no
slide a seguir
Router R1 e R4 conectam no SSID AS100
Cada router tem sua rede local 192.168.XY.0/24
onde:
X nmero do grupo
Y nmero do router
Configurao do Lab
X nmero do grupo

AP SSID=AS100
192.168.x1.0/24

AS100

10.20.0.1/24
AP 192.168.x2.0/24
R1 192.168.x.1/30
10.20.0.x1/24

10.20.0.x4/24 192.168.x.2/30
R4 R2
192.168.x.5/30
192.168.x.9/30

192.168.x.10/30
192.168.x.6/30 R3

192.168.x4.0/24

192.168.x3.0/24
Open Shortest Path First
(OSPF)
Areas
Costs
Virtual links
Route Redistribution
Aggregation

30
Protocolo OSPF
O protocolo OSPF utiliza o estado do link e o
algoritmo de Dijkstra para construir e calcular
o menor caminho para todos destinos
conhecidos na rede;
Os roteadores OSPF utilizam o protocolo IP 89
para comunicao entre si;
O OSPF distribui informaes de roteamento
entre roteadores pertencentes ao mesmo AS.

31
Autonomous System (AS)

Um AS o conjunto de redes IP e roteadores


sobre o controle de uma mesma entidade
(OSPF, iBGP ,RIP) que representam uma nica
poltica de roteamento para o restante da rede;

Um AS identificado por um nmero de 16 ou


32 bits (0 4294967295)
A faixa de 64512 at 65534 de uso privado

http://www.iana.org/assignments/as-numbers/as-numbers.xml
Exemplo de um AS

Area Area

Area Area

33
reas OSPF
A criao de reas permite voc agrupar uma
coleo de roteadores (entre 50 e 60);
A estrutura de uma rea no visvel para
outras reas;
Cada rea executa uma cpia nica do
algoritmo de roteamento ;
As reas OSPF so identificadas por um
nmero de 32 bits(0.0.0.0 255.255.255.255)
Esses nmeros devem ser nicos para o AS.
34
Tipos de Roteadores
Um ASBR(Autonomous System Border Router )
um roteador que se conecta a mais de um AS;
Um ASBR usado para redistribuir rotas recebidas de
outros AS para dentro de seu prprio AS
Um ABR(Area Border Router) um roteador que se
conecta a mais de uma rea;
Um ABR mantm multiplas cpias da base de dados
dos estados dos links de cada rea
Um IR(Internal Router) um roteador que est
conectado somente a uma rea.

35
OSPF AS
ASBR

Area ABR Area

ABR ABR

Area Area

ASBR

36
rea Backbone
A rea backbone o corao da rede OSPF. Ela
possui o ID (0.0.0.0) e deve sempre existir;
A backbone responsvel por redistribuir
informaes de roteamento entre as demais
reas;
A demais reas devem sempre estar
conectadas a uma rea backbone de forma
direta ou indireta(utilizando virtual link).

37
Virtual Link
Utilizado para conectar reas remotas ao
backbone atravs de reas no-backbone;

38
Virtual Link

area-id=0.0.0.1
area-id=0.0.0.0

Virtual Link

area-id=0.0.0.2 area-id=0.0.0.3

ASBR

39
Redes OSPF
So utilizada para
encontrar outros
roteadores OSPF
correspondentes a
rea especificada;

Voc deve utilizar exatamente as redes utilizadas no


endereamento das interfaces. Neste caso, o mtodo
de sumarizao no permitido. 40
Neighbours OSPF
Os roteadores OSPF encontrados esto listados
na aba Neighbours;
Aps a conexo ser estabelecida cada um ir
apresentar um status operacional conforme
descrito abaixo:
Full: Base de dados completamente sincronizada;
2-way: Comunicao bi-direcional estabelecida;
Down,Attempt,Init,Loading,ExStart,Exchange:
No finalizou a sincronizao completamente.

41
Neighbours OSPF

42
reas OSPF
Crie sua prpria rea OSPF;
Nome da rea: area-z
Area-id: 0.0.0.z
Atribua uma rede a esta rea;
Verifique sua aba neighbour e tabela de
roteamento;
Os ABRs devem configurar tambm a rea de
backbone e as redes;

43
Tipos de LSA

Type 1: router LSA Enviado pelo router para anunciar as


redes de suas interfaces. (No deixa a rea)

Type 2: network LSA Enviado apenas pelo DR para seu


segmento e descreve outros routers na rede (vizinhos).

Type 3: network summary LSA Enviado pelo ABR para


anunciar as redes da rea a que ele pertence para outras
reas.

Type 4: ASBR-summary LSA Enviado pelo ABR, mas apenas


internamente, para descrever como alcanar o ASBR.
Tipos de LSA

Type 5: AS-external LSA Usado pelo ASBR para descrever


redes (redistribudas) externas ao AS. (Ex: rota padro,
conectadas.)

Type 6: Group summary Usado apenas para redes multicast


(MOSPF Multicast OSPF). Suportado por poucos routers.

Type 7: NSSA external LSA Usado por ASBR que participa


de area NSSA para descrever rotas redistribudas na rea
NSSA. LSA 7 traduzido em LSA5 ao deixar a rea.

Type 8: External Attributes LSA Implementado raramente


e usado quando informaes BGP so levadas pelo OSPF.

Type 9, 10, 11 are Opaque LSAs So destinados para uso


futuro em aplicaes especficas.
OSPF - Opes
Router ID: Geralmente o IP do
roteador. Caso no seja especificado
o roteador usar o maior IP que
exista na interface.
Redistribute Default Route:
Never: nunca distribui rota padro.

If installed (as type 1): Envia com mtrica 1


se tiver sido instalada como rota esttica,
dhcp ou PPP.

If installed (as type 2): Envia com mtrica 2


se tiver sido instalada como rota esttica,
dhcp ou PPP.

Always (as type 1): Sempre, com mtrica 1.

Always (as type 2): Sempre, com mtrica 2.

44
OSPF - Opes
Redistribute Connected Routes: Caso
habilitado, o roteador ir distribuir todas as
rotas relativas as redes que estejam
diretamente conectadas a ele.
Redistribute Static Routes: Caso habilitado,
distribui as rotas cadastradas de forma
esttica em /ip routes.
Redistribute RIP Routes: Caso habilitado,
redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado,
redistribui as rotas aprendidas por BGP.

Na aba Metrics possvel modificar as


mtricas que sero exportadas as diversas
rotas. 45
OSPF Distribuio de Rotas
A rota default no considerada uma rota esttica!!

1
2
3
} 5
4 {
46
OSPF Uso de mtrica tipo 1

Custo=10

Custo=10
Custo=10 Custo=10
Custo Total=40

Origem

Custo Total=49 Custo=10


Custo=10
Destino
Custo=9

ASBR
47
OSPF Uso de mtrica tipo 2

Custo X

Cost=10 Custo X
Custo X
Custo Total=10

Origem
Custo X
Custo Total=9
Custo X
Destino
Custo=9

ASBR
48
Redistribuio de Rotas
Habilite a re-distribuio de rotas conectadas
com type 1;
Verifique a tabela de roteamento
Adicione uma rota esttica para a rede
172.16.XY.0/24
Habilite a re-distribuio de rotas estticas
com type 1;
Verifique novamente a tabela de roteamento

49
OSPF Custo de interfaces
Por padro todas interfaces tem custo 10;
Para alterar este padro voc deve adicionar
interfaces de forma manual;

50
OSPF Inface Lab
Escolha o tipo de rede correta para todas interfaces
OSPF;
Atribua custos(prx. slide) para garantir o trfego
em uma nica direo dentro da rea;
Verifique rotas ECMP em sua tabela de
roteamento;
Atribua custos necessrios para que o link backup
s seja usado caso outros links falhem;
Verifique a redundncia da rede OSPF;
Confirme que o ABR seja o DR da sua rea, mas
no na rea de backbone;
51
OSPF Custos de Interface
AP Principal Laptop

ABR

Laptop
Laptop
10 100
BACKUP
LINK
100 10

10 100

Laptop
52
OSPF Roteadores designados
Para reduzir o trfego OSPF em redes broadcast e
NBMA (Non-Broadcast Multiple Access), um nico
fonte para atualizao de rotas criado Os
roteadores designados(DR);
Um DR mantm uma tabela completa da topologia da
rede e envia atualizaes para os demais roteadores;
O roteador com maior prioridade ser eleito como DR;
Os demais sero eleitos como roteadores backup
BDR;
Roteadores com prioridade 0 nunca sero DR ou BDR.

53
NBMA Neighbors

Em redes no-
broadcast
necessrio especificar
os neighbors
manualmente;
A prioridade
determina a chance
do neighbor ser eleito
DR;

54
rea Stub
Uma rea Stub uma
rea que no recebe
rotas de AS externos;
Tipicamente todas rotas
para os AS externos so
substitudas por uma
rota padro. Esta rota
ser criada
automaticamente por
distribuio do ABR;

55
rea Stub Cont.
A opo Inject Summary LSA permite
especificar se os sumrios de LSA da rea de
backbone ou outras reas sero reconhecidos
pela rea stub;
Habilite esta opo somente no ABR;
O custo padro dessa rea 1;

56
rea NSSA(Not-So-Stubby)
Um rea NSSA um tipo de rea stub que tem
capacidade de injetar transparentemente rotas
para o backbone;
Translator role Esta opo permite controlar
que ABR da rea NSSA ir atuar como
repetidor do ASBR para a rea de backbone:
Translate-always: roteador sempre ser usado
como tradutor.
Translate-candidate: ospf elege um dos
roteadores candidatos para fazer as tradues.
57
OSPF AS

default
default
area-id=0.0.0.1

area-id=0.0.0.0
Virtual Link

area-id=0.0.0.2 area-id=0.0.0.3

NSSA Stub

ASBR
58
rea Lab
Modifique sua rea para stub;
Verifique as mudanas em sua tabela de rotas;
Confirme que a distribuio de rotas default
esteja never no ABR;
Marque a opo Inject Summary LSA no ABR
e desabilite no IR.

59
Interface Passiva
O modo passivo
permite desativar as
mensagens de Hello
enviadas pelo protocolo
OSPF as interfaces dos
clientes;
Portanto ativar este
recurso sinnimo de
segurana;

60
Agregao de reas
Utilizado para
agregar uma
range de redes
em uma nica
rota;
possvel atribuir
um custo para
essas rotas
agregadas;

61
Resumo OSPF
Para segurana da rede OSPF:
Use chaves de autenticao;
Use a maior prioridade(255) para os DR;
Use o tipo correto de rede para as reas;
Para aumenta a performance da rede OSPF:
Use o tipo correto de rea;
Use agregao de reas sempre que possvel;

63
OSPF em redes VPN
Cada interface VPN dinmica cria uma nova
rota /32 na tabela de roteamento quando est
ativa;
Isso causa dois problemas:
Cada mudana dessas resulta em novas
atualizaes do OSPF, caso a opo de redistribuir
rotas conectadas esteja ativada. Em grandes redes
isso causa um enorme flood!!
OSPF vai criar e enviar LSA pra cada interface VPN,
caso a rede da VPN esteja atribuida a qualquer
rea OSPF. O que diminui a performance.
64
rea PPPoE Tipo Stub

ABR

PPPoE ~250 clientes


server
Area1 PPPoE

Area tipo = stub


~ 100 clientes
PPPoE PPPoE
server

65
rea PPPoE Tipo Default

ABR
PPPoE ~250 clientes
server PPPoE
Area1

Area tipo = default

~ 100 clientes
PPPoE PPPoE
server

66
rea PPPoE Discusso
D uma soluo para o problema mencionado
anteriormente quando se utiliza rea do tipo
stub ou Default;

67
Border Gateway Protocol
(BGP)
Autonomous System (AS)
Conjunto de routers sob um nico controle
administrativo
Intercmbio de rotas:
Routers dentro do AS usam IGP em comum
Routers entre AS's usam EGP

Tem seu prprio nmero (ASN)


Suporta valores de 16-bit e 32-bit
(0 4294967295)
Nmeros 64 512 a 65 534 so privados
http://www.iana.org/assignments/as-numbers/as-numbers.xml
Bsico do BGP
Significa Protocolo de Gateway de Borda
Projetado como protocolo de roteamento
Inter-AS
A topologia da rede no considerada,
apenas informaes de sua alcanabilidade.
nico protocolo capaz de suportar redes do
tamanho da Internet
Usa algoritmo de vetor de caminho (path
vector)
Implementao do Vetor de Caminho
Trata todo o AS como um nico ponto no
caminho
O prefixo anunciado com a lista de ASs ao
longo do caminho, chamado AS Path.
Esconde a topologia da rede dentro do AS
No garante ausncia de loop dentro no AS
Implementao do Vetor de Caminho
Add AS100
ao AS path
10.1.0.0/24

AS100
AS200

Rejeita, AS100
j contido no
AS path
Add AS200
ao AS path
Add AS300
ao AS path

AS300
Recursos do BGP
O BGP Speaker (router) anuncia os cdigos dos
recursos suportados
Se o recurso recebido no for suportado, o peer
remoto responde com uma notificao
O BGP Speaker tenta a sesso novamente sem os
recursos no suportados
Alguns dos recursos anunciados pelo RouterOS:
Route refresh
Multi-protocol extension
Suporte a AS com tamanho de 4 bytes (32 bits)
Transporte BGP
Opera com a troca de mensagens NLRI
(Network Layer Reachability Information)
A NLRI inclui um conjunto de atributos BGP e
um ou mais prefixos com estes atributos
associados
Usa o TCP (179) como protocolo de transporte
Inicialmente troca a tabela inteira entre os peers
Depois troca-se apenas atualizaes
incrementais (mantm a verso da tabela de
roteamento)
Tipo de mensagens BGP
Quatro tipos:
Open Primeira mensagem enviada depois do
estabelecimento da conexo TCP, contm a lista de
recursos. Confirmada por keepalive.
Keepalive no contm dados, enviada para evitar
que o hold timer expire
Update atualizao de rotas. Contm:
NLRI
Path attributes
Notificao enviada quando ocorre uma condio
de erro, contm o cdigo e sub-cdigo do erro
Sesso BGP e atualizaes
Open com o recurso ASN4
AS100 AS200
Notificao recurso no sup.
Passive
Open sem o recurso BGP peer

Keepalive

AS100 AS200
Route Refresh message

Update
Networks
Indica quais redes o BGP deve originar do router.
Por padro, a rede anunciada apenas se ela existir
na tabela de rotas.
Essa sincronizao pode ser desativada se:
Seu AS no oferece servio de trnsito
Todos os routers de trnsito rodam BGP
Desativar o sincronismo permite o BGP converger
mais rpido.
O sincronismo pode ser danoso se as rotas esto
oscilando muito.
Configurao em /routing bgp network
Ativando o BGP
/routing bgp instance
set default as=300 router-id=10.10.10.4

/routing bgp peer


add instance=default remote-address=10.10.10.1 remote-
as=3000

Se o router-id no for especificado, ser usado o menor endereo IP do


router.
Verifique a conectividade do BGP. Qualquer status diferente de
established indica que os routers no se tornaram vizinhos (use print
status para mais detalhes)
[admin@R1] /routing bgp peer> print
Flags: X - disabled, E - established
# INSTANCE REMOTE-ADDRESS REMOTE-AS
0 E default 10.10.10.1 3000
BGP e o connection-tracking
O connection-tracking incapaz de manter
estados vlidos de conexes com BGP multi-
homed.
Os pacotes relacionados a uma determinada
conexo pode viajar por diferentes caminhos
No descarte conexes invlidas no firewall

O connection-tracking pode ser desligado


para obtermos melhor performance no router
BGP Route Reflector
Re-anuncia rotas iBGP para evitar full mesh
Reduz o nmero de mensagens de
comunicao
Minimiza o tamanho dos dados por mensagem:
Apenas o melhor caminho refletido
AS200 AS200

R1 R3
R1 R3

R2
R2 RR
Configurao do Route Reflector
RR configurado ao habilitar a opo client to
client reflection:
/routing bgp instance
set default client-to-client-reflection=yes
/routing bgp peer
add route-reflect=yes remote-peer=x.x.x.x (...)
A reflexo de rotas deve ser habilitada apenas
no router RR
O RouterOS no pode ser configurado como
um route reflector puro
BGP Lab II
Adicione R2 ao mesmo AS que R1
Adicione R3 ao mesmo AS que R4
Faa um peer BGP entre R2 e R3
Ative o OSPF entre os routers do mesmo AS
Configure o OSPF para anunciar as redes WAN
Coloque a interface WAN como passiva
BGP Lab II
X nmero do grupo
AP SSID=AS100
Peer BGP 192.168.x1.0/24

AS100

10.20.0.1/24
AP 192.168.x2.0/24
AS1x1
R1 192.168.x.1/30
10.20.0.x1/24

10.20.0.x4/24 192.168.x.2/30
R4 R2
192.168.x.5/30
192.168.x.9/30

192.168.x.10/30
192.168.x.6/30 R3
AS1x2
192.168.x40/24

192.168.x3.0/24
BGP Lab II
[admin@R1] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADb 0.0.0.0/0 10.20.0.1 20
1 ADC 10.20.0.0/24 10.20.0.11 R1_AP 0
2 ADC 192.168.1.0/30 192.168.1.1 R1_R3 0
3 ADo 192.168.1.8/30 192.168.1.2 110
4 ADC 192.168.11.0/24 192.168.11.0 local 0
5 Db 192.168.11.0/24 192.168.1.2 200
6 ADb 192.168.14.0/24 192.168.1.10 200
7 Db 192.168.14.0/24 10.20.0.14 20
8 ADo 192.168.12.0/24 192.168.1.2 110
9 Db 192.168.12.0/24 192.168.1.2 200
10 ADb 192.168.13.0/24 192.168.1.10 200
11 Db 192.168.13.0/24 10.20.0.14 20
BGP Lab II
[admin@R2] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADb 0.0.0.0/0 192.168.1.1 200
1 ADo 10.20.0.0/24 192.168.1.1 110
2 ADC 192.168.1.0/30 192.168.1.2 R3_R1 0
3 ADC 192.168.1.8/30 192.168.1.9 R3_R4 0
4 ADo 192.168.11.0/24 192.168.1.1 110
5 Db 192.168.11.0/24 192.168.1.1 200
6 ADb 192.168.14.0/24 192.168.1.10 20
7 ADC 192.168.12.0/24 192.168.12.0 local 0
8 Db 192.168.12.0/24 192.168.1.1 200
9 ADb 192.168.13.0/24 192.168.1.10 20

O BGP redistribui apenas a melhor rota. Como em R1 a melhor rota a recebida de R2, o router
R1 no redistribui .14.0/24 e .13.0/24 de volta a R2.
Interior e Exterior BGP
iBGP pareamento entre routers do mesmo AS
eBGP pareamento entre routers de ASs diferentes

AS200

R2
eBGP AS300
AS100 R3

R1
R4
R5
iBGP
R6
eBGP

AS400
eBGP
Quase sempre formado entre peers
diretamente conectados (roteadores borda do
AS).
A configurao de multi-hop requerida se os
peers no so diretamente conectados
Adiciona seu AS no PATH dos prefixos
anunciados
Por padro o Next-hop alterado para si
mesmo (self)
Exemplo de eBGP Multihop
Lo: 10.1.1.2 Lo: 10.1.1.1
AS100 AS200
172.16.1.1 172.16.1.2
R1 R2
Eth1 Eth1 Eth2

/routing bgp peer


add remote-address=10.1.1.x remote-as=x multihop=yes \
update-source=lo

Essa configurao requer rotas estticas ou IGP habilitado para que os


vizinhos alcancem um ao outro.

Configurando eBGP em endereo Loopback pode proteger o BGP de


ataques DoS.
iBGP
Next-hop no alterado por padro:
Usa IGP (RIP, OSPF ou esttica) para garantir a
alcanabilidade dentro do AS
Atributos aprendidos via iBGP no so alterados para
evitar impactos na escolha do caminho para as redes
externas
O AS Path tambm no manipulado
Prov maneiras de controlar os pontos de sada do AS
As rotas externas recebidas de um peer iBGP no
propagada para outros peers iBGP:
Requer full mesh entre os peers iBGP.
loopback
Elimina a dependncia de interface fsica para fazer a
conexo TCP.
Mais usado entre peers iBGP
No RouterOS uma bridge vazia pode ser usada como
loopback loopback: 10.1.1.2 loopback: 10.1.1.1

AS100
R1 R2
Eth1 Eth1 Eth2

/interface bridge add name=loopback


/ip address add address=10.1.1.x/32 interface=loopback
/routing bgp peer
add remote-peer=10.1.1.x remote-as=100 update-source=loopback
BGP Lab III
Aprimore sua configurao usando endereos
de loopback entre os peers iBGP
10.255.X.Y/32, onde
X nmero do grupo
Y nmero do router
Adicione o IP da loopback nas redes OSPF
Atribua o IP da loopback como router-id do
OSPF e do BGP
Distribuio de rotas
As rotas IGP (static, OSPF, RIP, connected)
podem ser redistribudas
/routing bgp instance
set default redistribute-static=yes
set default redistribute-ospf=yes

Prefix origin fica incomplete


Risco de anunciar todas as rotas IGP
Sempre use filtros de rotas para evitar
anncios indesejveis
Exemplo de Distribuio
10.1.1.0/24
AS200
AS100
R1 R2

/ip route add dst-address=10.1.1.0/24 type=unreachable


/routing bgp instance set default redistribute-static=yes

Os pacotes sero descartados a menos que


rotas mais especficas estejam presentes
Boa maneira de anunciar redes maiores
Filtros de Rotas
Principal ferramenta para controlar e modificar
informaes de roteamento
Organizadas em chains como no firewall
Especifique no peer BGP quais chains quer
usar ou na instncia BGP em out filter
Os prefixos passam primeiro na chain da
instncia, depois passam na chain do peer
/routing bgp peer set 0 in-filter=bgp-in out-filter=bgp-out

/routing filter add chain=bgp-out prefix=10.1.1.0/24 \


action=discard invert-match=yes
Exemplo de Filter Chain
/routing bgp instance set default out-filter=bgp-o
/routing bgp peer set peer1 out-filter=bgp-peer-o

/routing filter
add chain=bgp-o prefix=10.1.1.0/24 action=accept \
set-bgp-communities=30:30
add chain=bgp-o action=discard
add chain=bgp-peer-o prefix=10.1.1.0/24 action=passthrough \
set-out-nexthop=192.168.99.1

3 ADb dst-address=10.255.1.2/32 gateway=10.20.0.12


gateway-status=192.168.99.1 reachable ether2 distance=20 scope=40
target-scope=10 bgp-as-path="112" bgp-origin=igp
bgp-communities=30:30 received-from=peer2
Filtro de Prefixo
10.1.1.0/24

AS400 AS100
R1
R4 AS300

R3
10.1.2.0/24

AS200
R2

# config no R3
/routing bgp peer set peer1 out-filter=bgp-out

/routing filter add prefix=10.1.0.0/16 prefix-length=16-32 \


chain=bgp-out action=discard
Filtro de AS Path
Pode ser configurado para permitir atualizaes
somente para/de determinado AS
Suporte expresses regulares
. - qualquer caractere simples
^ - incio do as-path
$ - fim do as-path
_ - coincide com vrgula, espao, incio e fim do as-path
# config no R3

/routing filter add chain=bgp-out action=discard \


bgp-as-path=_200_
BGP Soft Reconfiguration
Quando action=discard usada, as rotas no so
atualizadas depois da mudana de filtros.
Soluo
Use action=reject para manter as rotas em memria
Dynamic (o peer precisa suportar o recurso refresh):
Peer atualiza as rotas aps as mudanas.
No usada memria adicional
No feito automaticamente precisa rodar o
comando refresh
BGP Lab IV
Crie filtros de rotas de maneira que:
R1 no receba o prefixo 192.168.x4.0/24 via AP
R2 no receba o prefixo 192.168.x3.0/24 de R3
R3 no receba o prefixo 192.168.x2.0/24 de R2
R4 no receba o prefixo 192.168.x1.0/24 via AP
BGP Lab IV
Vamos analisar o R2. Se a configurao ficou correta,
o traceroute para a rede x4 deve ir por R3 e o
traceroute para x3 deve ir pelo AP
[admin@R2] /ip address> /tool traceroute 192.168.14.1 src-
address=192.168.12.1
# ADDRESS RT1 RT2 RT3 STATUS
1 192.168.1.6 4ms 4ms 4ms
2 192.168.14.1 3ms 4ms 4ms

[admin@R2] /ip address> /tool traceroute 192.168.13.1 src-


address=192.168.12.1
# ADDRESS RT1 RT2 RT3 STATUS
1 192.168.1.1 2ms 2ms 2ms
2 10.20.0.14 3ms 4ms 4ms
3 192.168.13.1 6ms 6ms 6ms
Algortimo de deciso do BGP
BGP usa o nico melhor caminho para alcanar
o destino
BGP sempre propaga o melhor caminho para
seus vizinhos
Diferentes atributos de prefixos so usados para
determinar o melhor caminho, como weight,
next-hop, as-path, local-pref etc.
Atribuir no peer o IP da loopback pode forar o
BGP a instalar rota ECMP (para load balancing).
Escolha do melhor caminho
Validao do Next-hop
WEIGHT maior (padro = 0)
LOCAL-PREF maior (padro = 100)
Menor AS-PATH
Path originado localmente (aggregate, BGP network)
Menor origin type (IGP, EGP, Incomplete)
Menor MED (padro = 0)
Prefere eBGP ao invs de iBGP
Prefere a rota com menor router ID ou ORIGINATOR_ID
Cluster de Route Reflectors mais prximo (padro = 0)
Prefere o caminho que vier do vizinho de menor IP
Nexthop
Endereo IP usado para alcanar determinado destino
Para eBGP, o nexthop o IP do vizinho
O nexthop anunciado via eBGP levado no iBGP

Dst: 172.16.0.0/24
AS100 next-hop:10.1.1.1

Dst: 172.16.0.0/24
R1 10.1.1.1 next-hop:10.1.1.1
172.16.0.0/24

10.1.1.2 R2 R3

10.30.1.1 10.30.1.2
AS200
Nexthop self
Fora o BGP a atribuir seu prprio IP como nexthop
# config no R2
/routing bgp peer set peer1 nexthop-choice=force-self

Dst: 172.16.0.0/24
AS100 next-hop:10.1.1.1

Dst: 172.16.0.0/24
R1 10.1.1.1 next-hop:10.30.1.1
172.16.0.0/24

10.1.1.2 R2 R3

10.30.1.1 10.30.1.2
AS200
Weight
Weight atribudo localmente pelo router
Prefixos sem atribuio de weight tem o valor padro 0
Rota com maior weight preferida

AS200
AS100
R3
R1

172.16.0.0/24
172.16.0.0/24 Weight=50
Weight=100
R2

AS300
Local Preference
Indica qual caminho tem preferncia para sair do AS
Caminho com maior Local Pref escolhido (padro: 100)
anunciado para dentro do AS
10.1.1.0/24
AS100 AS200

R1 R5

AS300

R4 Local-pref = 100
Local-pref = 200 R2
R3
AS Path
Lista de nmeros AS que um update percorreu.

AS200
AS300

R2
R3
10.1.1.0/24

AS-path:200,100 AS-path:100 AS100


AS400
R1

R4

AS-path: 300,200,100
AS-Path Prepend
A manipulao do AS-Path pode ser usada para
influenciar a escolha do melhor caminho pelo
trfego vindo dos routers acima.

172.16.0.0/24 172.16.0.0/24
AS-Path: 100,300,300 AS-Path: 200,300

AS200
AS100
R3
R1

Prepend = 2 R2

172.16.0.0/24 AS300
Origin
Informao da origem da rota:
IGP interna ou proveniente do AS.
EGP rota aprendida via Exterior Gateway
protocol
Incomplete origem desconhecida, ocorre
quando a rota redistribuida no BGP.
MED
Multi Exit Discriminator ou Metric dica para o vizinho
externo sobre a preferncia do caminho dentro do AS
Menor metrica preferida (padro = 0)
Valor trocado entre os AS e usado para tomar deciso
dentro do outro AS, no encaminhado para terceiro AS.
Ignorado se recebido de diferentes ASs
Exemplo de MED
AS100 AS300 Med=0
Med=10

R1 R4

Med=50

Med=100

R2 R3

AS200

R1, R2 e R3 anunciam a mesma rede para R4 com valores diferentes de


MED. R4 compara apenas os MEDs vindos de R2 e R3, MED vindo de
R1 ignorado (outros atributos so usados para seleo do melhor
caminho).
X nmero do grupo BGP Lab V
AP SSID=AS100
192.168.x1.0/24

AS100
192.168.x1.0/24
AP 192.168.x2.0/24
AS1x1
R1

192.168.x4.0/24

R4 192.168.x2.0/24 R2

192.168.x3.0/24
R3
AS1x2
192.168.x4.0/24

192.168.x3.0/24
Use as-path prepend para configurar fail-over no BGP e balanceamento de carga
como ilustrado
Community
Atributo para grupos de destino
Filtros podem facilmente ser aplicados para
todo o grupo
Grupos padro:
No-export no anuncia para o peer eBGP
No-advertise no anuncia para qualquer peer
Internet anuncia para a community Internet
Local-as no anuncia para fora do AS local
(em redes no-confederadas o mesmo que no-
export)
Exemplo de Community
Assumindo que no queremos que R2 propague rotas
aprendidas de R1 10.1.1.0/24

AS300 AS100
R1
R3 AS200

R2

# config no R1

/routing filter add chain=bgp-out action=passthrough \


set-bgp-communities=no-export
Community (continuao)
Valor de 32-bit escrito no formato xx:yy
D ao cliente mais controle sobre polticas
Simplifica a configurao em upstream*
(*operadoras)
Pode ser usado por ISPs para:
Opes de prepend do AS
Restries geogrficas
Blackholing (criao de blackhole), etc.
Exemplo de Community (cont.)
Communities pblicas definidas pelo AS 100
100:500 anuncia para todos os peers
100:501 anuncia para o AS 400

10.1.1.0/24 community=100:500 AS 400


10.2.2.0/24 community=100:501

ISP
AS100
AS300 AS 500
Exemplo de Community (cont.)
# config no router AS300
/routing bgp peer set toAS100 out-filter=bgp-out-as100

/routing filter
add prefix=10.1.1.0/24 action=accept\
chain=bgp-out-as100 set-bgp-communities=100:500
add prefix=10.2.2.0/24 action=accept\
chain=bgp-out-as100 set-bgp-communities=100:501

# config no router AS100


/routing bgp peer set toAS500 out-filter=bgp-out-as500

/routing filter
add bgp-communities=100:501 action=discard\
chain=bgp-out-as500
Exemplo de ISP
aut-num: AS2588
as-name: LatnetServiss-AS
descr: LATNET ISP
member-of: AS-LATVIA
remarks: +--------------------------------------------------
remarks: |
remarks: | x=0 Anuncia como vier
remarks: | x=1 Prepend +1
remarks: | x=2 Prepend +2
remarks: | x=3 Prepend +3
remarks: | x=4 Prepend +4
remarks: | x=5 Prepend +5
remarks: |
remarks: | 2588:400 Latvian Nets
remarks: | 2588:500 Anuncia para LIX (Latvian Internet Exchange)
remarks: | 2588:666 No anuncia (blackhole)
remarks: | 2588:70x Anuncia para uplinks com $x prepend
remarks: | 2588:900 Recebidas de LIX (Latvian Internet Exchange)
remarks: |
remarks: | Para mais informao favor enviar e-mail para:
remarks: | iproute (arroba) latnet (ponto) lv
remarks: +--------------------------------------------------
Communities estendidas
Usado para levar campos adicionais em
cenrios com L2VPN e VPNv4
Alguns campos adicionais:
Route Targets
Site of Origin
Control flags
MTU
Encapsulation flags
Agregao de rotas
Sumarizao de rotas mais especficas em redes
maiores. Pode ser usado para esconder a topologia.
Funciona apenas na mesma instncia
AS100
das rotas BGP
R1
AS400 10.1.1.0/24
10.0.0.0/8
R4 AS300

R3 10.1.2.0/24 AS200

R2

# config no R3
/routing bgp aggregate add instance=default summary-only=yes \
prefix=10.0.0.0/8 action=passthrough inherit-attributes=no
BGP Multi-Protocolo
O formato do pacote BGP projetado para IPv4
O atributo address family foi criado para levar
novos tipos de endereos.
RouterOS suporta as seguintes famlias de
endereos:
IPv6
L2VPN
VPN4
Cisco style L2VPN
Instncia BGP
Cada instncia BGP roda seu prprio
algortimo de seleo BGP
As rotas entre instncias so eleitas por outros
meios (como distance)
As rotas de uma instncia no so
redistribudas automaticamente para outra
instncia
Necessita de:
/routing bgp instance
set <id> redistribute-other-bgp=yes
Os atributos BGP so herdados da outra
instncia
Multi-protocol Label Switching
(MPLS)

LDP e VPLS (VPN layer2)


Configurao do MPLS Lab
Resetar a configurao do router
Configurar o cenrio como ilustrado
Configurar endereo de loopback e ativar o
OSPF em todos os links
Adicionar o endereo de loopback nas redes
do OSPF
Configurao do MPLS Lab
X nmero do grupo
AP SSID=AS100
192.168.x1.0/24

AS100

10.20.0.1/24
AP 192.168.x2.0/24
R1 192.168.x.1/30
10.20.0.x1/24

Lo:10.255.x.1
10.20.0.x4/24 192.168.x.2/30
R4 R2 Lo:10.255.x.2
Lo:10.255.x.4
192.168.x.5/30
192.168.x.9/30

192.168.x.10/30
192.168.x.6/30 R3

Lo:10.255.x.3
192.168.x4.0/24

192.168.x3.0/24
Bsico do MPLS
Tecnologia usada para encaminhar pacotes,
baseada em labels (rtulos) pequenos
Objetivo inicial: encaminhamento mais eficiente
que o roteamento IP (similar ao ATM switching)
Serve de base para alguns Servios Avanados:
Layer3 VPNs
Qualquer coisa sobre MPLS (AtoM), Layer2 VPNs
MPLS Traffic Engineering (engenharia de trfego)
Servios com largura de banda garantia
Bsico do MPLS
LER Label Edge Router ou Provider Edge router (PE)
LSR Label Switch Router ou Provider router (P)
Pacotes so classificados LSRs encaminham
e rotulados no ingress pacotes usando a
LER comutao de rtulos

Rtulo removido no
MPLS
egress LER
Backbone
Bsico do MPLS
Tambm chamado de protocolo de camada 2.5
Cabealho Shim (32 bit) colocado entre a camada OSI
2 e 3:
Label (20 bits)
EXP (3 bits) CoS (classe do servio)
End of Stack flag (1 bit) se o rtulo atual o ltimo da pilha
TTL (8 bits)
L2 MPLS L3

Label EXP S TTL


Bsico do MPLS
permitido mais de um rtulo
Os rtulos so agrupados na pilha de rtulos
LSRs sempre usam o rtulo do topo da pilha
Existem diversos mtodos de distribuio de
rtulos:
Static Label mapping mapeamento esttico
LDP mapeia destinos IP unicast em rtulos
BGP rtulos externos (VPN)
RSVP (46), CR-LDP usados para engenharia de
trfego e reserva de recursos (banda)
LDP
Significa Label Distribution Protocol
(protocolo de distribuio de rtulos)
Baseia-se na informao de roteamento
proveniente do IGP cria rtulos locais
vinculados a cada prefixo IP e distribui a seus
vizinhos LDP Vnculos remotos

Prefixo IGP 10.1.1.0/24 10.1.1.0/24 10.1.1.0/24


10.1.1.0/24 Label 21 Label 22 Label 23

Local binding Local binding Local binding


Label 21 Label 22 Label 23
Nmeros bem conhecidos
LDP Hello messages porta UDP 646
LDP transport session establishment porta
TCP 646
Hellos so enviadas a todos os routers da
sub-rede pelo endereo de multicast
(224.0.0.2)
Configurando LDP
Pode ser configurado no menu /mpls ldp
/mpls ldp set enabled=yes transport-address=x.x.x.x \
lsr-id=x.x.x.x
/mpls ldp interface add interface=ether1

Atribuir o endereo de transporte garante o


comportamento adequado de penultimate hop
popping
LDP Lab
Habilite o LDP e atribua aos lsr-id e transport
address o mesmo endereo de loopback
Adicione as interfaces LDP que conectam nos
routers vizinhos
Verifique se os vizinhos LDP so criados
/mpls ldp neighbor print
Cheque a MPLS forwarding-table
/mpls forwarding-table print
Labels Reservados
Labels de 0 a 15 so reservados, mas apenas
4 so usados at ento:
0 explicit NULL
1 router alert
2 Ipv6 explicit NULL
3 implicit NULL
PHP
Implicit NULL

PHP
Explicit NULL
Penultimate Hop Popping
Este router o ponto de sada (egress) para a
rede que est diretamente conectada a ele, o
prximo salto no um router MPLS
Anunciado pelo rtulo implicit null
Penultimate hop popping garante que o ltimo
router no precisa buscar por rtulos quando
se sabe antecipadamente que ele ter que
rotear (roteamento ip) o pacote
Este penltimo router ento retira os rtulos e o
prprio cabealho MPLS e encaminha o pacote
IP original para o ltimo salto
Explicit NULL
Se configurado, o penltimo LSR encaminha o
pacote com o label NULL (rtulo nulo), ao
invs de retirar o cabealho.
til para preservar o QoS
No necessrio se a pilha contiver ao menos
dois rtulos (o rtulo interno ainda pode levar
o valor de QoS)
Implicit NULL usado por padro
Sesses LDP direcionadas
Em alguns casos necessrio estabelecer
sesses LDP direcionadas (sesso entre
LSRs remotos, no diretamente conectados)
Configurao:
/mpls ldp neighbor add transport=<remote_ip> \
send-targeted=yes
Targeted LDP

LDP LDP LDP


Layer 2 VPN

VPLS baseada em LDP


VPLS em LDP
Tambm chamadas de L2VPN ou EoMPLS
Une redes LAN individuais atravs do MPLS
Usa LDP para negociar os tneis VPLS
O campo pseudowire demultiplexor (rtulo
PW) usado para identificar o tnel VPLS
O pseudowire (pseudo-cabo) tem funes de
aprendizado MAC, flooding e forwarding
VPLS em LDP
frame L2 do cliente
PW label
SN label
L2 header
Site 1

PE1 PE2
CE1

Site 3
P1
CE3

PE3 backbone MPLS


Pseudo wire
Site 2
CE - customer's edge router
CE2
PE - provider's edge router
P provider's core router
Configurando VPLS
Adicione os pontos de concluso do tnel VPLS:
/interface vpls
add remote-peer=x.x.x.x vpls-id=x:x
O vizinho LDP alvo adicionado dinamicamente
O tnel ID deve ser nico para cada VPLS
As informaes relacionadas ao tnel VPLS
podem ser visualizadas pelo comando:
/interface vpls monitor
Coloque em bridge o VPLS com sua LAN para
obter conectividade transparente
Split Horizon
Encaminha o frame Ethernet vindo do PE para os CEs
conectados
Os pacotes no so encaminhados para as interfaces com
o mesmo valor de horizon
O valor de horizon atribudo na configurao da porta da
bridge: /interface bridge port
add bridge=vpn interface=vpls1 horizon=1

CE1 CE3

PE1 1 PE3
1
1 1
CE2 CE4

PE2
VPLS em LDP: Lab
Crie tneis VPLS entre todos os routers do
grupo (VPLS ID x:x)
No seu router, coloque em bridge as interfaces
VPLS com sua LAN.
A rede da VPN 192.168.x0.0/24 onde:
x nmero do grupo
Configure o Split horizon para evitar loops
Teste a conectividade entre notebooks em seu
grupo
tnel VPLS VPLS em LDP: Lab
X nmero do grupo
AP SSID=AS100
192.168.x0.1/24
Site 1
AS100

AP 192.168.x0.2/24
R1 Site 2
rede VPN:
192.168.x0.0/24
Lo:10.255.x.1

R4 R2 Lo:10.255.x.2
Lo:10.255.x.4

Site 4
R3

Lo:10.255.x.3
192.168.x0.4/24 Site 3

192.168.x0.3/24
[admin@R4] /mpls ldp neighbor> print
Flags: X - disabled, D - dynamic, O - operational, T - sending-
targeted-hello, V - vpls
# TRANSPORT LOCAL-TRANSPORT PEER SEND-TARGETED ADDRESSES

0 DOTV 10.255.0.3 10.255.0.4 10.255.0.3:0 no 10.255.0.3


192.168.1.2

1 DOTV 10.255.0.2 10.255.0.4 10.255.0.2:0 no 10.20.0.12


10.255.0.2

2 DOTV 10.255.0.1 10.255.0.4 10.255.0.1:0 yes 10.20.0.11


10.255.0.1

[admin@R4] /interface vpls> monitor 0


remote-label: 40
local-label: 28
remote-status:
transport: 10.255.0.1/32
transport-nexthop: 192.168.1.9
imposed-labels: 22,40
Importncia do MTU L2/MPLS
MTU MPLS = MTU IP (L3) + cabealhos MPLS
MTU MPLS ajustvel no menu
/mpls interface
Se o MTU for muito grande e o prximo cabealho
for IP
Ento gere ICMP Need Fragment error
Seno, descarte o pacote silenciosamente
Eth(14) VLAN(4) MPLS(4) IP(20) DATA(1480)
IP (L3) MTU

MPLS MTU
L2 MTU

Full Frame
L2MTU: 1500 Eth(14) IP(20) DATA(1480)

R1

L2MTU: 1526 Eth(14) MPLS(4)VPLS(4) CW(4) Eth(14) IP(20) DATA(1480)

R2

L2MTU: 1526 Eth(14) MPLS(4)VPLS(4) CW(4) Eth(14) IP(20) DATA(1480)

R3

L2MTU: 1522 Eth(14) VPLS(4) CW(4) Eth(14) IP(20) DATA(1480)

R4

L2MTU: 1500 Eth(14) IP(20) DATA(1480)


VPLS Control Word
4-bytes para Control Word (CW) so usados
para fragmentao e remontagem dos pacotes
dentro do tnel VPLS
CW opcional adicionado entre o rtulo PW e
o payload do pacote
O CW pode ser desativado para
compatibilidade com outros fabricantes
(algumas VPLS Cisco em BGP)
Resumo Geral
MPLS melhora a performance
Muito fcil de habilitar em configuraes de
core j existentes
Muito fcil para migrar de EoIP para VPLS
Novas possibilidades para os ISPs oferecerem
novos servios
Contatos
Leonardo Rosa

www.brauser.com.br
leonardo@brauser.com.br

71-4141-1144
71-9972-8523
Vivo