Curso de Entrenamiento MikroTik Colombia 2010

Instructor

A Andrs Castro Valencia (Intellioffice) Entrenador certificado por Mikrotik (Riga, Latvia) E Consultor certificado por Mikrotik (Riga, Latvia) Estudios realizados en Mikrotik RouterOS (Mxico) E Especialidades: - Anlisis y Diseo de Redes e infraestructura de redes WISP - Wireless Avanzado (Redes Malladas, Enlaces de Larga Distancia) - Tuneles VPN (EoIP, L2TP, PPTP, Vlans) - QoS por Marcado de Paquetes (Queue Tree), NAT - HotsPot y Usermanager - Enrutamiento Esttico y Dinmico (OSPF, BGP, RIP) Conferencista invitado por Mikrotik al MUM 2008 para America Latina (Sao Paulo, Brasil) y MUM 2009 Forth Worth (Dallas, USA)

Contenido

Topologa de Redes Inalmbricas Conceptos de los parametros de configuracin de la interfaz wireless Conceptos de los parametros de sealizacin Nstreme y Nstreme dual Interfaces Bonding en redes inalmbricas Conexiones inalmbricas de alta capacidad y disponibilidad Conexiones inalmbricas Multi-Link de alto desempeo y rendimiento Enrutamiento dinmico en redes inalmbricas Redes Malladas Profesionales Aplicacin de HotSpot Access Points Virtuales Aplicacin de Vlans, EoIP y VPN Multiples Redes por un medio de transmisin via Ethernet y Wireless Aplicacin de enrutamiento dinmico Aplicacin de QoS en Redes Wireless. Balanceos de Carga. Demostracin de Redes Inalmbricas de larga distancia

Topologa de Redes inalmbricas

Punto

a Punto Punto Multipunto Modo Bridge Modo Routing WDS (Mesh) Nstreme Dual

Punto a Punto

Punto - Multipunto

Modo Bridge

Modo Routing

WDS - Mesh

Nstreme Dual

Conceptos Generales
Seal a Ruido (Signal to Noise): La proporcin de seal a ruido es la diferencia mnima a alcanzar entre la seal recibida deseada y el ruido a piso (Noise to Floor). Si la seal es ms poderosa que el ruido, la proporcin seal/ruido ser positiva; si la seal est oculta en el ruido, es decir, que el ruido es ms potente, la proporcin ser negativa. Zona de fresnel: Es el rea alrededor de la lnea de vista en donde se esparcen las ondas de radio. Esta rea debe permanecer libre de obstculos, de lo contrario la fuerza y la calidad de la seal se ver desmejorada.

Conceptos Generales
Difraccin: Este evento se presenta cuando un obstculo se encuentra ubicado entre el transmisor y el receptor, y a travs del perimetro del mismo sigue pasando un poco de energa por lo que logra conseguir cierta capacidad de conexin; a mayor frecuencia ms prdida. Polaridad: Es la forma en que una onda de radio es transmitida en el momento en que la misma abandona la antena; esta puede ser vertical y horizontal en la mayora de los casos, y circular. La polaridad de onda est dada por el tipo de antena y su posicin contra el suelo. En un sistema de transmisin y recepcin las antenas deben tener la misma polarizacin para mantener un buen desempeo.

Conceptos Generales
Reflexin: Es el fenmeno que se presenta cuando las ondas de radio se reflejan en los obstculos que encuentran. En el lado del receptor recibimos al mismo tiempo la onda directa si est en la lnea de vista y tambin recibimos ondas reflejadas, las cuales pueden ser desechos de energa que afectan los enlaces inalmbricos.

Conceptos Generales
Refraccin: La refraccin es el cambio de direccin que experimenta una onda al pasar de un medio material a otro; este slo se produce si la onda incide oblicuamente sobre la superficie de separacin de los dos medios y si stos tienen ndices de refraccin distintos.

Conceptos de los parmetros de configuracin

Men Wireless Modo Inalmbrico (Modos ms usados) alignment-only este modo es usado para alineacin de antenas ap-bridge la interfaz opera como un Access Point bridge la interfaz opera como un bridge. Actua como ap-bridge pero solo permite un cliente, sirve bsicamente para enlaces Punto a Punto. nstreme-dual-slave la interface es usada como esclava para el modo nstremedual station la interfaz opera como una estacin inalmbrica (Radio cliente) station-wds la interfaz trabaja como una estacin, pero puede comunicarse a travs de WDS, este modo de operacin implica que la interfaz wireless est vinculada a una interfaz Bridge o Mesh wds-slave la interfaz trabaja como se quiere en el modo ap-bridge, pero esta se adapta como WDS a las frecuencias del ap-bridge de manera automatica si son cambiadas station-pseudobridge: igual al modo station pero no necesita trabajar con protocolo IP, realiza todas sus funciones de cliente como NAT a traves de la direccin MAC. station-pseudobridge-clone: igual al modo station-pseudobridge pero este clona la MAC del AP.

Conceptos de los parmetros de configuracin

Band: En esta opcin se define la banda y protocolo a usar en el radio. Dependiendo del chipset de la tarjeta inalmbrica el RouterOS muestra las diferentes bandas a usar. Frecuency: Se selecciona la frecuencia especifica relacionada a la banda escogida. SSID: Service Set Identifier. Sirve para identificar cada red inalmbrica y as separarla del resto de redes existentes en el espectro. Radio Name: Nombre que identifica al radio. Scan List: Es la lista de canales a escanear. Se usa para definir las frecuencias a usar con el modo de regulacin de frecuencias en Super-Channel y DFS Mode. Security Profile: Perfil de seguridad a escoger, segn configuracin previa del tipo de encriptacin a usar. Frecuency Mode: Manual Tx-Power para usar los canales especificados en cada pas, pero se puede modificar la potencia manualmente en el Tx-Power; Regulatory Domain para usar los canales especificados en cada pas y la potencia segn la respectiva regulacin de los mismos; Super-Channel solo puede ser usado con licenciamiento de Mikrotik Super-Channel. Permite usar cualquier canal soportado por la tarjeta inalmbrica independientemente de que estos canales sean pblicos o privados.

Conceptos de los parmetros de configuracin

Country: limitantes de configuracin de parametros wireless segn el pas a escoger, esto con respecto a la potencia y uso de canales segn las leyes de los mismos. Antenna Mode: especificamos la antenna a usar para (Tx) y (Rx) de datos. Antenna Gain: Ganancia de la antena en dBi; este parametro es usado para calcular la potencia de transmisin de seal segn leyes de regulacin de cada pas. DFS Mode (Dynamic Frequency Selection): usado por APs para que seleccionen frecuencias dinamicamente para operar. None: no usa DFS. No Radar Detect: el AP escanea los canales de la lista de canales y escoge la frecuencia que tiene el menor valor de sealizacin de otras redes detectadas. Radar Detect: el AP escanea los canales de la lista de canales y escoge la frecuencia que tiene el menor valor de sealizacin de otras redes detectadas, si durante 60 segundos no es detectado un radar en la frecuencia, el AP empieza a operar en este canal, si es detectado un radar en la frecuencia, el AP sigue buscando la siguiente frecuencia con menor valor de sealizacin. Propietary Extensions: de esta forma se inserta informacin adicional dentro de las framas wireless. WMM Support: (WiFi Multimedia) requiere o permite el uso de extensiones WMM para QoS de forma bsica

Conceptos de los parmetros de configuracin

Default AP Tx Rate: limita velocidad de datos para cada radio cliente Default Cliente Tx Rate: limita la transmisin de cada cliente (en bps), trabaja solo si los radios cliente son Mikrotik Default Authenticate: permite o deniega acceso de los radios cliente a conectarse al AP. Opera directamente con el Access List. Default Forwarding: permite o deniega la comunicacin entre los radios cliente Hide SSID: si es habilitado, el AP esconde su SSID. Si se mantiene deshabilitado, el AP muestra su SSID en el espectro. Compression: permite compresin de datos entre equipos Mikrotik, debe ser habilitado en el AP y en el Cliente; no afecta la comunicacin para radios que no sean Mikrotik.

Conceptos de los parmetros de configuracin

Data Rates Default: el radio obtiene la mayor cantidad de velocidad de datos posible segn las condiciones que se le presente en el entorno inalmbrico. Configured: se puede configurar manualmente una taza de velocidad de transmisin de datos fija segn el protocolo que soporta la tarjeta inalmbrica. Advanced Area: Este valor permite la comunicacin desde los clientes hacia el AP, segn el areaprefix configurado en el connect-list. Max Station Count: Mxima cantidad de clientes que se pueden conectar fisicamente al AP. ACK Timeout (ACKNOWLEDGEMENT) (Acuse de Recibo): es el tiempo de espera de reconocimiento medido en microsegundos. Pueden detectarse prdidas por parte del terminal emisor: si se enva una trama o grupo de tramas y el asentimiento no llega en un tiempo determinado, se asume que hay que volver a enviar los datos. Este tiempo se calcula en funcin de la velocidad de transmisin de los terminales y el tiempo que tarda

Conceptos de los parmetros de configuracin

una trama en viajar del origen al destino, de forma que no sea ni demasiado corto ni demasiado largo. Tambin puede detectarse la prdida de una trama por su numeracin en protocolos basados en ventana deslizante (esto es, hay un error si la ltima trama recibida fue la nmero 3 y la recibida actualmente es la 6).

Noise Floor Threshold: intensidad de ruido en dBm por debajo del cual el radio transmitir Periodic Calibration: asegura el desempeo del chipset de la tarjeta wireless por cambios de temperatura o medio ambiente. Calibration Interval: Intervalo de tiempo para recalibracin, en segundos. Burst Time: Tiempo en microsegundos el cual ser usado para enviar trfico de datos sin parar. Esto funciona solo con algnos chipsets de tarjetas wireless, no con todas las tarjetas wireless. Hardware Retries: nmero de framas que son reenviadas antes de considerar una transmisin fallida. Frame Lifetime: tiempo de vida de la frama en centesima de segundo desde el primer intento de envo para enviar la frama. En wireless normalmente no se niega el trfico de paquetes del todo hasta que el cliente es desconectado. Si no se necesita acumular paquetes, uno puede definir el tiempo despus del cual el paquete ser descartado. Adaptive Noise inmunity: ajusta varios paramtros de recepcin dinamicamente para minimizar interferencia y ruido en la calidad de la seal. Esta caracterstica no es soportada en todas los chipset de tarjetas inalmbricas.

Preamble Mode: campo de sincronizacin en paquetes trasportados va inalmbrica. La opcin "preamble" define la longitud del bloque CRC (Cdigo o Comprobacin de Redundancia Cclica) para deteccin de errores de transmisin. Para una red inalmbrica con mucho trfico, se recomienda la opcin "Short Preamble", en otro caso es preferible "Long Preamble". Long: Mejor calidad pero rendimiento mas bajo que short mode. Short: Calidad normal pero mejor rendimiento que long mode. - La comprobacin de redundancia cclica (CRC) es un tipo de funcin que
recibe un flujo de datos de cualquier longitud como entrada y devuelve un valor de longitud fija como salida. El trmino suele ser usado para designar tanto a la funcin como a su resultado. Pueden ser usadas como suma de verificacin para detectar la alteracin de datos durante su transmisin o almacenamiento. Las CRCs son populares porque su implementacin en hardware binario es simple, son fciles de analizar matemticamente y son particularmente efectivas para detectar errores ocasionados por ruido en los canales de transmisin

Allow Shared Key: llave para aceptar o denegar comunicacin con clientes. Esto depende de la configuracin de la misma en el Access List.

Conceptos de los parmetros de configuracin

Sistema de Distribucin Inalmbrico (WDS por sus siglas en ingls). Es un sistema que permite la interconexin inalmbrica de puntos de acceso en una red IEEE 802.11. Permite que una red inalmbrica pueda ser ampliada mediante mltiples puntos de acceso sin la necesidad de un cable troncal que los conecte. La ventaja de WDS sobre otras soluciones es que conserva las direcciones MAC de los paquetes de los clientes a travs de los distintos puntos de acceso. Todos los puntos de acceso en un sistema de distribucin inalmbrico deben estar configurados para utilizar el mismo canal de radio, y compartir las claves WEP o WPA si se utilizan. WDS tambin requiere que cada punto de acceso sea configurado de forma que pueda conectarse con los dems. WDS puede ser tambin denominado modo repetidor porque parece hacer de puente entre distintos puntos de acceso, pero a diferencia de un simple repetidor, con WDS se consigue ms del doble de velocidad.

nstreme

Nstreme es un protocolo propietario de MikroTik (incompatible con otros fabricantes) que mejora el desempeo de los enlaces inalmbricos, pues reduce el tiempo de acceso al medio y reduce el overhead de las tramas aumentando as la velocidad de transmisin. Nstreme fue creado para mejorar la calidad de los enlaces inalmbricos tipo Punto a Punto y Punto Multipunto. Con el protocolo nstreme, las cabeceras de los frames que son recibidos en uno de los extremos entre radios Mikrotik, son modificados de su tamao original para ser agrupados en una frame o paquete de tamao superior (superpaquete), para ser enviado por el enlace inalmbrico hacia el otro extremo, donde el siguiente radio recibe los frames y los retorna a su tamao original. Beneficios del protocolo nstreme: - Polling Cliente: el polling permite controlar el trfico de paquetes proveniente del cliente haca el AP, de tal forma que evita saturacin o colisin de paquetes en el enlace inalmbrico al paso de estos de un extremo a otro. - Muy bajo overhead de las tramas, lo que permite obtener grandes velocidades. - Disminucin de limitantes para conexiones de larga distancia. - Control dinmico de ajuste segn el tipo trfico y uso de recursos

nstreme
Framer Policy Best Fit: Mejor tamao del frame. Este valor se configura de manera fija. Dynamic Size: Tamao dinmico del frame. De esta forma el nstreme ajusta el tamao de los paquetes de acuerdo al tipo de trfico y a los recursos que actualmente consume el radio. Exact Size: Tamao exacto del frame. Valor fijo a configurar. Framer Limit Este valor define la cantidad de paquetes que sern modificados y enviados por el enlace inalmbrico en un superpaquete de un tamao determinado segn lo configurado en el Framer Policy. CSMA: Carrier Sence Multiple Access (Acceso Mltiple por Deteccin de Portadora con Deteccin de Colisiones). En el mtodo de acceso CSMA, los dispositivos de red que tienen datos para transmitir funcionan en el modo "escuchar antes de transmitir". Esto significa que cuando un nodo desea enviar datos, primero debe determinar si los medios de red estn ocupados o no.

Nstreme 2

Este protocolo est diseado nicamente para ser configurado en enlaces Punto a Punto. Utiliza dos tarjetas inalmbricas fsicas independientes y dos antenas en cada extremo del enlace de manera simultnea, una para transmitir y otra para recibir, permitiendo maximizar el uso de los recursos de cada tarjeta wireless para obtener enlaces de larga distancia con grandes velocidades. Caractersticas de configuracin: Utiliza el modo nstreme-dual-slave Modo de frecuencia Pas Ganancia de la antenna Tx-Power Mode y Tx-Power Modo de la Antena No debe usarse WDS Se recomienda una diferencia de 200MHz para configurar la frecuencia de cada radio Se pueden usar diferentes frecuencias y diferentes bandas. Por ejemplo, 2.4GHz-B para Tx y 5GHz-Turbo para Rx.

Conceptos de los indicadores de sealizacin

Men Signal del registration Signal Strenght: Intensidad de seal recibida Tx Signal Strenght: Intensidad de seal de transmisin Signal to Noise: Proporcin de seal a ruido CCQ: Client Connection Quality. Es un valor en porcentaje que muestra que tan efectiva es la transimisin por el enlace inalmbrico en uso de su capacidad en banda y throughput. Si todas las frames que son enviadas por el radio transmisor son recibidas por el radio receptor, entonces, el valor del CCQ ser del 100%; por ejemplo, si son enviados 50 paquetes y as mismo son recibidos esos 50 paquetes, entonces, la calidad de conexin es del 100%. P-Throughput: Posible Throughput. Es un estimado aproximado de la capacidad de transimisin y recepcin de datos del enlace inalmbrico.

BONDING

Qu es Bonding?
Bonding es un mtodo para agregar mltiples interfaces de red en una sola interfaz lgica virtual. En MikroTik disponemos de esta interfaz por la cual podemos balancear el ancho de banda y tambin obtener gran rendimiento en interfaces cableadas y wireless, pero no solo podemos hacer balanceo, admite mas modos como los que cito: balance-rr: transmite un paquete por cada esclavo. active-backup: solo hay un esclavo activa, en caso de que falle se activa el siguiente esclavo. balance-xor: transmite de acuerdo a la poltica de hash que seleccionemos (por defecto la poltica es la direccion MAC XOR con la MAC destino). broadcast: Transmite lo mismo por todas las interfaces. 802.3ad: modo de agregacin dinmica (IEEE 802.3 ad). Agregacin de enlaces paralelos. balance-tlb: transmite de modo que se va distribuyendo la carga entre todas las interfaces, y la recepcin se hace en la propia interfaz que la envi. balance-alb: igual que el tlb, pero adems la recepcin es balanceada.

BONDING
LABORATORIO
-

Ubicarse por parejas. Configure en su radio cada una de las dos interfaces wireless, de tal forma que se obtengan dos enlaces wireless con su compaero. Crear interfaces EoIP en cada wireless. Crear interfaz Bonding en cada radio. Agregar las dos interfaces EoIP a la interfaz Bonding. Colocar una direccin IP a cada interfaz Bonding. Realizar pruebas de conectividad (Pings ARP). Realizar pruebas de Throughput (Bandwith Test).

Multi-Enlaces
P-P 1 = 50mbps

Total 200mbps

P-P 2 = 50mbps

Total 200mbps

P-P 3 = 50mbps

P-P 4 = 50mbps

802.11n

La tecnologa 802.11n es un sistema muy novedoso, basado en la tecnologa MIMO: Multiple-Input Multiple-Output. En este las ondas de RF son MultiSeal y siempre existe una onda primaria y varias secundarias. Actualmente se encuentra disponible el segundo borrador de esta tecnologa de lo que en teora ser el futuro standard 802.11n. El estndar 802.11n hace uso simultneo de las bandas 2,4 Ghz y 5 Ghz y puede incorporar el uso de 2 o 3 antenas. Este protocolo solo puede ser usado en Mikrotik en la nueva versin RouterOS 4.0beta3. La IEEE autoriz la creacin del Task Group N (TGn) para hacer una revisin al 802.11. El objetivo principal por el cual se acept la creacin del estndar 802.11n es definir modificaciones en la capa fsica y la capa de control de acceso al medio para alcanzar una velocidad de procesamiento de datos de 100 Mbps en la capa MAC SAP (Media Access Control Layer, Service Access Point) situada en el tope de la capa de control de acceso al medio.

Concepto de Red Mesh

Las redes inalmbricas Mesh, redes acopladas, o redes de malla inalmbricas de infraestructura, para definirlas de una forma sencilla, son aquellas redes en las que se mezclan las dos topologas de las redes inalmbricas, la topologa Ad-hoc y la topologa infraestructura. Bsicamente son redes con topologa de infraestructura pero que permiten unirse a la red a una red de dispositivos que a pesar de estar fuera del rango de cobertura de los puntos de acceso estn dentro del rango de cobertura de otra red que directamente o indirectamente est dentro del rango de cobertura de un AP. La tecnologa mesh, siempre depende de otras tecnologias complementarias, para el establecimiento de backhaul debido a que los saltos entre nodos mesh, provoca retardos que se van aadiendo uno tras otro, de forma que a partir de 5 saltos los retardos pueden superar los 150 milisegundos y hacer que los servicios sensibles al retardo, como la telefonia IP, no sean viables.

Mesh - Beneficios

La tecnologa de Red Mallada (Mesh) rene las ventajas del Wifi y el mvil con instalaciones de bajo costo mnimo. La topologa en malla es una topologa de red en la que cada nodo est conectado a uno o ms de los otros nodos. De esta manera es posible llevar los mensajes de un nodo a otro por diferentes caminos. Cada access point tiene sus propias conexiones con todos los dems servidores. Este sistema de celdas puede cubrir con facilidad un rea metropolitana sin zonas de oscuridad. La gestin de una red mallada se puede llevar desde un servidor. Este servidor sera el sistema desde donde se lanzaran los servicios de nuestra red.

Diagrama Mesh

Esquema Conexiones Mesh

Diagrama Mesh

Ruteo

Ruteo esttico y dinmico

Ruteo

Ruteador
Es un dispositivo de hardware para interconexin de redes de

computadoras que opera en la capa tres (nivel de red). Este dispositivo permite asegurar el encaminamiento de paquetes entre redes o determinar la ruta que debe tomar el paquete de datos La ruta indica el camino que se debe tomar hacia una red especfica, escogiendo la interfaz y el prximo salto (Gateway) que se debe seguir para llegar al destino Operan en dos planos diferentes: Plano de Control,en la que el router se informa de que interfaz de salida es el ms apropiado para la transmisin de paquetes especficos a determinados destinos Plano de Reenvo,que se encarga en la prctica del proceso de envo de un paquete recibido en una interfaz lgica a otra interfaz lgica saliente

Ruteo

Ruteo
Los protocolos de enrutamiento son

utilizados por los routers para comunicarse entre s y compartir informacin, toman la decisin de cual es la ruta ms adecuada en cada momento para enviar un paquete. Los protocolos ms usados son RIP (v1 y v2), OSPF (v1, v2 y v3), IGRP, EIGRP y BGP (v4), gestionan las rutas de una forma dinmica No es estrictamente necesario que un router haga uso de algn protocolos, se puede indicar de forma esttica las rutas para las distintas subredes que estn conectadas al dispositivo.

Ruteo

Ruteo
En Mikrotik se soportan dos tipos de ruteo
Esttico: son rutas que son anexadas a la tabla de ruteo por el

usuario /ip route Dinmico: son rutas que son agregadas por algn protocolo de r ruteo (RIP 1 y 2, OSPF v2, BGPv4)

Ruteo Esttico

Ruteo esttico
En Mikrotik el men para anexar estticamente y monitorear las tablas de ruteo
/ip route

Se necesita indicarle a un router donde enviar los paquetes IP hacia los hosts que estn mas

all de cualquier red conectada de manera directa /ip route add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1 ds-address red destino gateway siguiente salto distance precendencia ruta Imprimir tabla de ruteo /ip route print Algunos estatus A activo D dinmico S esttico C conectado

Ruteo Dinmico

Ruteo dinmico
Para acceder a encaminamiento dinmico en mikrotik se utiliza
/routing rip /routing ospf /routing bgp

Las ventajas del ruteo dinmico

Permite mantener las tablas de manera automtica Se pude tener redundancia y balanceo de carga sin mayor esfuerzo

RUTEO - OSPF

Ruteo - OSPF

Ruteo OSPF
Open Shortest Path First es un protocolo de enrutamiento jerrquico de pasarela interior o

IGP (Interior Gateway Protocol), que usa el algoritmo Dijkstra enlace-estad para calcular la ruta ms corta posible. Usa costo como su medida de mtrica. Adems, construye una base de datos enlace-estado idntica en todos los enrutadores de la zona. OSPF es probablemente el tipo de protocolo IGP ms utilizado en redes grandes. Puede operar con seguridad usando MD5 para autentificar a sus puntos antes de realizar nuevas rutas y antes de aceptar avisos de enlace-estado. Una red OSPF se puede descomponer en redes ms pequeas. Hay un rea especial llamada rea backbone que forma la parte central de la red y donde hay otras reas conectadas a ella. Las rutas entre diferentes reas circulan siempre por el backbone, por lo tanto todas las reas deben conectar con el backbone. Los rourters en el mismo dominio de multidifusin o en el extremo de un enlace punto-apunto forman enlaces cuando se descubren los unos a los otros. Los encaminadores eligen a un encaminador designado' (DR) y un encaminador designado secundario (BDR) que actan como hubs para reducir el trfico entre los diferentes routers. OSPF puede usar tanto multidifusiones como unidifusiones para enviar paquetes de bienvenida y actualizaciones de enlace-estado. Las direcciones de multidifusiones usadas son 224.0.0.5 y 224.0.0.6. Al contrario que RIP o BGP, OSPF no usa ni TCP ni UDP, sino que usa IP directamente, mediante el IP protocolo 89

Ruteo - OSPF
Ruteo

OSPF

Tipos de rea
Una red OSPF est dividida en reas. Estas reas son grupos lgicos de Routers cuya informacin se puede resumir para el resto de la red. Se pueden definir diferentes tipos de reas "especiales": rea Backbone: El rea backbone (o rea cero) forma el ncleo de una red OSPF. Todas las dems reas y las rutas interiores de las reas estn conectadas a un encaminador conectado a una rea backbone. rea stub: Un rea stub es aquella que no recibe rutas externas. Las rutas externas se definen como rutas que fueron inyectadas en OSPF desde otro protocolo de enrutamiento. Por lo tanto, las rutas de segmento necesitan normalmente apoyarse en las rutas predeterminadas para poder enviar trfico a rutas fuera del segmento. rea not-so-stubby: Tambin conocidas como NSSA se trata de un tipo de rea stub que puede importar rutas externas de sistemas autnomos y enviarlas al backbone, pero no puede recibir rutas externas de sistemas autnomos desde el backbone u otras reas

Ruteo - OSPF
Ruteo

OSPF

Tipos de rea

Ruteo - OSPF

Interfaces en OSPF Los nodos de una red basada en OSPF se conectan a ella a travs de una o varias interfaces con las que se conectan a otros nodos de la red. El tipo de enlace (link) define la configuracin que asume la interfase correspondiente. OSPF soporta las siguientes tipos de enlace, y provee para cada uno de ellos una configuracin de interfaz: Punto a punto (point-to-point, abreviadamente ptp). Punto a multipunto (point-to-multipoint, abreviadamente ptmp). Broadcast. Enlace virtual (virtual link). Enlace de mltiple acceso no-broadcast (Non-broadcast Multiple Access, NBMA). Estado de las interfaces Down (sin actividad). Waiting (estado de espera). Loopback. Point-to-point (interface punto a punto) DR, abreviatura de Designated Router (interface de enrutador designado). Backup, por Backup Designated Router (interface de enrutador designado auxiliar, BDR). DROther (interface en una red broadcast o NBMA sin estatus DR ni BDR).

Ruteo - OSPF

Relacin con los vecinos en OSPF Cada Ruteador OSPF realiza un seguimiento de sus nodos vecinos, estableciendo distintos tipos de relacin con ellos. Respecto a un router dado, sus vecinos pueden encontrarse en siete estados diferentes:
Estado Desactivado (DOWN)

En el estado desactivado, el proceso OSPF no ha intercambiado informacin con ningn vecino. OSPF se encuentra a la espera de pasar al siguiente estado (Estado de Inicializacin)
Estado de Inicializacin (INIT)

Los routers OSPF envan paquetes tipo 1, o paquetes Hello, a intervalos regulares con el fin de establecer una relacin con los Routers vecinos. Cuando una interfaz recibe su primer paquete Hello, el router entra al estado de Inicializacin. Esto significa que este sabe que existe un vecino a la espera de llevar la relacin a la siguiente etapa. Los dos tipos de relaciones son Bidireccional y Adyacencia. Un router debe recibir un paquete Hello (Hola) desde un vecino antes de establecer algn tipo de relacin.

Ruteo - OSPF
Estado Bidireccional (TWO-WAY)

Empleando paquetes Hello, cada enrutador OSPF intenta establecer el estado de comunicacin bidireccional (dos-vas) con cada enrutador vecino en la misma red IP. Entre otras cosas, el paquete Hello incluye una lista de los vecinos OSPF conocidos por el origen. Un enrutador ingresa al estado Bidireccional cuando se ve a s mismo en un paquete Hello proveniente de un vecino. El estado Bidireccional es la relacin ms bsica que vecinos OSPF pueden tener, pero la informacin de enrutamiento no es compartida entre estos. Para aprender los estados de enlace de otros enrutadores y eventualmente construir una tabla de enrutamiento, cada enrutador OSPF debe formar a lo menos una adyacencia. Una adyacencia es una relacin avanzada entre enrutadores OSPF que involucra una serie de estados progresivos basados no slo en los paquetes Hello, sino tambin en el intercambio de otros 4 tipos de paquetes OSPF. Aquellos routers intentando volverse adyacentes entre ellos intercambian informacin de encaminamiento incluso antes de que la adyacencia sea completamente establecida. El primer paso hacia la adyacencia es el estado ExStart.
Estado EXSTART

Cuando un router y su vecino entran al estado ExStart, su conversacin es similar a aquella en el estado de Adyacencia. ExStart se establece empleando descripciones de base de datos tipo 2 (paquetes DBD), tambin conocidos como DDPs. Los dos routers vecinos emplean paquetes Hello para negociar quien es el "maestro" y quien es el "esclavo" en su relacin y emplean DBD para intercambiar bases de datos. Aquel router con el mayor router ID "gana" y se convierte en el maestro. Cuando los vecinos establecen sus roles como maestro y esclavo entran al estado de Intercambio y comienzan a enviar informacin de enrutamiento.

Ruteo - OSPF
Estado de Intercambio (EXCHANGE)

En el estado de intercambio, los routers vecinos emplean paquetes DBD tipo 2 para enviarse entre ellos su informacin de estado de enlace. En otras palabras, los routers se describen sus bases de datos de estado de enlace entre ellos. Los routers comparan lo que han aprendido con lo que ya tenan en su base de datos de estado de enlace. Si alguno de los routers recibe informacin acerca de un enlace que no se encuentra en su base de datos, este enva una solicitud de actualizacin completa a su vecino. Informacin completa de encaminamiento es intercambiada en el estado Cargando.
Estado Cargando (LOADING)

Despus de que las bases de datos han sido completamente descritas entre vecinos, estos pueden requerir informacin ms completa empleando paquetes tipo 3, requerimientos de estado de enlace (LSR). Cuando un enrutador recibe un LSR este responde empleando un paquete de actualizacin de estado de enlace tipo 4 (LSU). Estos paquetes tipo 4 contienen las publicaciones de estado de enlace (LSA) que son el corazn de los protocolos de estado de enlace. Los LSU tipo 4 son confirmados empleando paquetes tipo 5 conocidos como confirmaciones de estado de enlace (LSAcks).
Estado de Adyacencia completa (FULL)

Cuando el estado de carga ha sido completada, los enrutadores se vuelven completamente adyacentes. Cada enrutador mantiene una lista de vecinos adyacentes, llamada base de datos de adyacencia.

Parmetros de Configuracin - OSPF

OSPF Settings Router ID: Identificador OSPF del Router. Si no es especificado, OSPF usa una de las direcciones de IP del router. Redistribute Default Route: Especifica como distribuir la ruta default. Debera ser usado para ABR (Area Border Router) o ASBR (Autonomous System Boundary Router) de lmite de Sistema Autnomo). never: No envan la propia ruta default a otros Routers. if-installed-as-type-1: enva la ruta default con la mtrica tipo 1 slo si ha sido instalado (una ruta default esttica, o una ruta aadida por DHCP, PPP, etc.). if-installed-as-type-2: enva la ruta default con la mtrica tipo 2 slo si ha sido instalado (una ruta default esttica, o una ruta aadida por DHCP, PPP, etc.). always-as-type-1: siempre enva la ruta default con la mtrica tipo 1. always-as-type-2: siempre enva la ruta default con la mtrica tipo 2.

Redistribute Connected Routes: Redistribuye todas las rutas conectadas. Eje:

rutas a redes directamente accesibles. Redistribute Static Routes: Si es habilitado, el router redistribuir la informacin sobre rutas estticas adicionadas a su base de datos de enrutamiento.

Paramtros de Configuracin - OSPF

Redistribute RIP Routes: Redistribuye todas las rutas aprendidas por el Protocolo RIP. Redistribute BGP Routes: Redistribuye todas las rutas aprendidas por el Protocolo BGP.

Metrics
Default Route Metric: Costo de la Ruta Default Connected Route Metric: Costo de las Rutas conectadas directamente a la red Static Route Metric: Costo de las Rutas Estticas RIP Route Metric: Costo de las Rutas aprendidas desde el Protocolo RIP BGP Route Metric: Costo de las Rutas aprendidas desde el Protocolo BGP

Interfaces
Interface: Interface a aplicar enrutamiento OSPF. all: para todas las interfaces sin

configuracin especfica. Cost: Costo de la interface expresado como la mtrica del estado de la coneccin. Priority: Prioridad del Router. Usado para determinar el router designado en una red broadcast. El router con el mximo valor de prioridad tiene preferencia. Valor de prioridad 0 quiere decir que el router no es elegible para convertirse en router designado o de back-up designado del todo.

Parametros de Configuracin - OSPF

Authentication: Especifica el modo de autenticacin de mensajes del protocolo OSPF.

None: no usa autenticacin Simple: autenticacin a traves de un texto plano MD5: Algoritmo de encriptacin Authentication Key: Llave de autenticacin para ser usada en autenticacin Simple o MD5. Authentication Key ID: Usado para autenticacin MD5. Todos los routers del rea deben tener el mismo valor. Network Type: Tipo de Red OSPF en la interfaz a configurar. Broadcast: Tipo de Red apropiado para interfaces ethernet Nbma: Multiacceso de NO Broadcast. Los paquetes de protocolo son enviados a cada direccin unicast de los vecinos. Requiere la configuracin manual de vecinos. Elige el router designado Point to Point: apropiado para redes que se componen solo de dos nodos. No elige el router designado Ptmp: Point-to-Multipoint. Ms fcil de configurar que el nbma porque no requiere configuracin manual de vecinos. No elige router designado. Es el tipo de Red ms robusto y apropiado para Redes Inalmbricas, si el modo broadcast no funciona apropiadamente. Passive: Si es habilitado, no envia ni recibe trfico OSPF en la interface configurada.

Parametros de Configuracin - OSPF

Retransmit Interval: Tiempo de la retransmisin de LSA (Link State

Advertisement) perdido. Cuando un Router enva un LSA a un router vecino, mantiene el LSA hasta que recive de regreso el reconocmiento (ACK). Si no recibe el ACK a tiempo, entonces, retransmitir el LSA. Transmit Delay: Link State Transmit Delay es el tiempo estimado para transmitir el paquete Link State Update (LSU) en la interface. Hello Interval: Intervalo de tiempo entre los paquetes hello que el router enva afuera de esta interface. Este valor debe ser el mismo en todos los routers de la red. Router Dead Interval: Especifica el intervalo de tiempo despus del cual un vecino es declarado muerto. Este intervalo de tiempo es avisado en los paquetes hello. Este valor debe ser el mismo en todos los routers de la red.

Networks Network: Segmento de Red asociada con el rea. rea: rea OSPF asociada con el rango de direccionamiento especificado.

Parametros de Configuracin - OSPF

Areas Area name: Nombre del rea Area ID: Identificador del rea OSPF. Un rea con area-id=0.0.0.0 siempre debe estar presente. Type: Ver pgina 48 Authenticate: NO, Simple MD5. aplicar segn el tipo de autenticacin configurado en Interface. Area Range: Estos Rangos son usados para agregar la informacin de enrutamiento sobre fronteras de rea, como prefijos para delimitar reas especficas. Por defecto, ABR crea un resumen LSA para cada ruta en el rea especfica, y lo anuncia en reas adyacentes. Area: area OSPF asociada con este Rango. Range: prefijo de red de este Rango. Cost: es el costo del resumen LSA que ser creado por el Rango. Advertise: crea el resumen LSA y avisa a las reas adyacentes. Virtual Link: el rea backbone debe ser contiguo. Sin embargo, es posible definir reas de tal modo que el backbone no est contiguo. En este caso el administrador de sistema debe restaurar la conectividad de backbone configurando virtual links. El virtual link puede ser configurado entre dos routers por el rea comn llamado area de trnsito, uno de ellos debe estar conectado con el backbone. Virtual Links pertenecen al Backbone!

Parametros de Configuracin - OSPF

NBMA Neighbors Manual configuration for non-broadcast multi-access neighbors. Se configura solamente si Interface con network-type=nbma ha sido configurado. Address: direccin IP unicast del vecino Poll Interval: envo a menudo de mensajes hello a los vecinos que estn en estado "Down" (p. ej. Que no haya ningn trfico proveniente de ellos) Priority: valor de prioridad asumido de vecinos los cuales estn en estado Down

RUTEO - BGP

Ruteo - BGP

Ruteo BGP El BGP o Border Gateway Protocol es un protocolo mediante el cual se intercambia informacin de encaminamiento entre Sistemas Autnomos. Este intercambio de informacin de encaminamiento se hace entre los routers externos de cada sistema autnomo. Estos routers deben soportar BGP. Se trata del protocolo ms utilizado para redes con intencin de configurar un EGP (external g gateway protocol) A diferencia de los protocolos de Gateway internos (IGP), como RIP, OSPF y EIGRP, BGP no usa mtricas como nmero de saltos, ancho de banda, o retardo. En cambio, BGP toma decisiones de enrutamiento basndose en polticas de la red, o reglas que utilizan varios atributos de ruta BGP.

Ruteo - BGP

Ruteo BGP Permite aplicar polticas complejas de ruteo Utiliza el protocolo TCP 179 para su transporte

AS 200 AS 100

AS 300

Ruteo - BGP

Ruteo BGP Un sistema autnomo es un conjunto de redes administradas por una misma organizacin que tiene definida una nica poltica de encaminamiento. Esta poltica de encaminamiento decide las rutas admitidas desde los sistemas autnomos vecinos y las rutas que se envan hacia estos sistemas autnomos. En su interior, el AS utiliza un protocolo interno de encaminamiento como, por ejemplo, OSPF. El protocolo BGP es un protocolo de encaminamiento entre sistemas autnomos. Cada sistema autnomo en Internet tiene un identificador (ASN) formado por 16 bits, lo que permitira hasta 65536 sistemas autnomos tericos diferentes, si bien el rango de 64512 a 65535 se encuentra reservado para uso privado

Ruteo - BGP
Ruteo

BGP

BGP puede trabajar con IBGP (routers con mismo AS) y EBGP

( (routers con AS diferentes)

Parametros de Configuracin - BGP

Men Instances Name: Nombre del Instance BGP AS: nmero (32bit) del sistema autnomo BGP Router ID: Identificador BGP del Router. Si no es especificado, BGP tomar una de las direcciones IP del router. Redistribute Connected: Si es habilitado, BGP redistribuir la informacin sobre rutas conectadas. por ejemplo, las rutas de las redes que pueden ser alcanzadas directamente. Redistribute Static: Si es habilitado, BGP redistribuir la informacin sobre rutas estticas adicionadas en su tabla de rutas. Redistribute RIP: Si es habilitado, BGP redistribuir la informacin sobre rutas aprendidas por RIP Redistribute OSPF: Si es habilitado, BGP redistribuir la informacin sobre rutas aprendidas por OSPF Redistribute Other BGP: Si es habilitado, BGP redistribuir la informacin sobre rutas aprendidas por otras Instances BGP Out Filter: Regla de filtrado de Ruta saliente usada por todos los PEERS BGP pertenecientes a esta Instance. Confederation: es el nmero de sistema autnomo que identifica la confederacin (local) como un todo

Parametros de Configuracin - BGP

Confederation Peers: Lista de Peers BGP interno hacia la confederacin (Local) Cluster ID: en caso de este Instance es un reflector de ruta: Este atributo ayuda a

reconocer las actualizaciones de enrutamiento (envo) que vienen de otro reflector de ruta a este cluster y evita la formacin de loop en la informacin de rutas. Note que normalmente hay slo un reflector de ruta en un Cluster; en este caso 'el cluster-id' no tiene que ser configurado y el Router BGP ID es usado en cambio. Client to Cliente Reflection: si hay que redistribuir rutas aprendidas de un cliente de reflexin de enrutamiento a otros clientes Ignore AS Path Length: Si ignora los atributos AS_PATH en la seleccin del algoritmo de ruteo BGP

PEERS
General

Name: Nombre del PEER Instance: Instance al que este PEER pertenece Remote Address: Direccin IP del PEER remoto Remote Port: Puerto del PEER remoto para establecer la sesin TCP Remote AS: Nmero AS (32-bit) del PEER remoto

Parametros de Configuracin - BGP

TCP MD5 Key: Llave usada para autenticar la conexin con firma TCP MD5. Nexthop Choice: Afecta la seleccin de atributos NEXT_HOP salientes. Default: el altavoz BGP debera usar la direccin de IP de la interfaz que el altavoz usa para establecer la conexin BGP al Peer X en el atributo de NEXT_HOP. Force-Self: siempre usa una direccin IP local de la interface, que es usada para contecarse al peer como el Nexthop. Propagate: intenta propagar lejos del Nexthop recibido. Hold Time: especifica el valor del tiempo de espera BGP a usar cuando est

negociando con los peers. TTL: Time To Leave. Tiempo para dejar, el lmite de salto para conecciones TCP. Max. Prefix Limit: nmero mximo de prefijos a aceptar de un peer especfico. Cuando este lmite es excedido, las conexin TCP entre peers es derriban. Max. Prefix Restart Time: intervalo de tiempo mnimo despus del cual los peers pueden reestablecer la sesin BGP. In Filter: filtro de enrutamiento aplicado a informacin de enrutamiento entrante. Out Filter: filtro de enrutamiento aplicado a informacin de ruteo saliente. Default Originate: especifica cmo distribuir la ruta por default.

Parametros de Configuracin - BGP

Networks Network: Prefijo agregado. Synchronize: instala una ruta para esta red slo cuando hay algunas rutas IGP cayendo debajo del rango de esta red. Aggregate Prefix: Prefijo agregado. Summary Only: si hay que suprimir aviso de todas las rutas que caen dentro del rango de esta agregacin. Inherit Attributes: si hereda atributos BGP desde rutas agregadas. Attribute Filter: nombre de la cadena de filtrado usada para configurar atributos de las rutas agregadas. Suppress Filter: nombre de la cadena de filtrado usada para seleccionar las rutas a ser suprimidas Advertise Filter: nombre de la cadena de filtrado usada para seleccionar las rutas desde las cuales se heredan atributos.

Laboratorio Ruteo
Laboratorio OSPF, BGP y

RIP

Organizar Tres (03) Grupos distribuidos equitativamente con respecto

al total de participantes en el auditorio. Enumerar cada grupo como 1, 2 y 3. El grupo 1 utilizar ruteo dinmico por OSPF. El grupo 2 utilizar ruteo dinmico por BGP. El grupo 3 utilizar ruteo dinmico por RIP. Verifique que las rutas actualmente se distribuyan entre ellos Verifique sus tablas de ruteo Compruebe conexin entre todos los usuarios y dispositivos de cada grupo Comunicar los 3 grupos a travs de BGP Verificar conexin entre todos los usuarios y dispositivos de los 3 grupos.

Ruteo - RIP

Ruteo

Ruteo RIP
Router Information Protocol Es un protocolo de puerta de enlace interna o IGP

(Internal Gateway Protocol) utilizado por los routers (enrutadores), aunque tambin pueden actuar en equipos, para intercambiar informacin acerca de redes IP RIP utiliza UDP para enviar sus mensajes y el puerto 520. RIP calcula el camino ms corto hacia la red de destino usando el algoritmo del vector de distancias. La distancia o mtrica est determinada por el nmero de saltos de router hasta alcanzar la red de destino, RIP tiene una distancia administrativa de 120 RIP no es capaz de detectar rutas circulares, por lo que necesita limitar el tamao de la red a 15 saltos Las rutas tienen un tiempo de vida de 180 segundos. Si pasado este tiempo, no se han recibido mensajes que confirmen que esa ruta est activa, se borra

Ruteo

Ruteo RIP
Ventajas y desventajas de RIP
En comparacin con otros protocolos de enrutamiento, RIP es ms fcil de

configurar. Adems, es un protocolo abierto, soportado por muchos fabricantes. Por otra parte, tiene la desventaja que, para determinar la mejor mtrica, nicamente toma en cuenta el nmero de saltos (por cuntos routers o equipos similares pasa la informacin); no toma en cuenta otros criterios importantes, como por ejemplo ancho de banda de los enlaces. Por ejemplo, si tenemos una metrica de 2 saltos hasta el destino con un enlace de 64 kbps y una metrica de 3 saltos, pero con un enlace de 2 Mbps, lamentablemente RIP tomara el enlace de menor nmero de saltos aunque sea el ms lento

Ruteo

Ruteo RIP
Para acceder a RIP en mikrotik se utiliza

/routing rip /routing rip set distribute-default=always garbage-timer=2m metric-bgp=1 metric-connected=1 metric-default=1 metric-ospf=1 metric-static=1 redistribute-bgp=no redistributeconnected=yes redistribute-ospf=yes redistribute-static=no timeout-timer=3m updatetimer=30s /routing rip interface add interface=all passive=no receive=v1-2 send=v1-2 /routing rip neighbor add address=192.168.100.1 disabled=no add address=200.200.1.18 disabled=no add address=200.200.1.2 disabled=no add address=200.200.1.10 disabled=no

Se tiene que activar el protocolo

Se activa las interfaces

Se anuncian los asociados

Ruteo

Ruteo RIP
Se puede comprobar el intercambio de tablas con

/routing rip route print

Laboratorio Ruteo

The Dude

Network management and monitoring application

The Dude

Network Management

Auto-descubre la estructura de red Diseo personalizable Visualizacin de mapa, variables y estadsticas Herramienta configurable para cualquier dispositivo Ping / traceroute de otros dispositivos Actualizacin centralizada de grupos de routers

Network Management

Network Monitoring

Estatus de los servicios Trfico en los enlaces SNMP estadistcas y valores de: CPU, memorua y uso de disco Direcciones ip y rutas Tabla der resgistro de wireless Historia de eventos y reportes Alertas (sonido, popup, log, mail, etc) A

History Reports

MikroTik RouterOS - VPN

Virtual Private Networks

EoIP PPTP,L2TP PPPoE

Beneficios de una VPN

Habilita las comunicaciones entre redes corporativas sobre Public networks Leased lines Wireless links Los recursos como (e-mail, servers, printers) pueden ser accesados de forma seguramente por usuarios remotos

VPN

PPPoE, PPTP, L2TP

Protocolos Punto-a-Punto
Cuentan

con capacidad de autentificacin y encripcin de datos Los tneles que se manejan son:
PPPoE (Point-to-Point Protocol over Ethernet) P PPTP (Point-to-Point Tunnelling Protocol) P L2TP (Layer 2 Tunnelling Protocol) L

Debes

crear usuarios antes de crear los tneles

PPP Secret

Perfiles PPP y Pools IP

Los perfiles PPP definen valores por defecto para registros de acceso de usuario almacenados bajo el submen ppp/secret Los perfiles PPP son usados para ms de 1 usuario as que debe haber ms de 1 direccin IP para dar a conocer - nosotros deberamos usar IP pool como valor de direccin Remota" Valor default significa si la opcin est viniendo desde un servidor RADIUS no ser anulado

Perfiles PPP

Change TCP MSS

Paquetes

grandes de 1500 bytes tienen problemas iendo a traves de tuneles porque:

El estandard Ethernet MTU es 1500 bytes Para tuneles PPTP y L2TP el MTU es 1460 bytes El MTU para tuneles PPPOE es 1488 bytes

Habilitando

la opcin change TCP MSS, una regla dinmica en mangle ser creada para cada usuario activo para asegurar el tamano correcto de paquetes TCP, entonces ellos estarn aptos para atravezar el tunel

PPTP y L2TP
Protocolo de Tunel Punto-a-Punto y Protocolo de Tunel Layer 2

Tuneles PPTP
PPTP

usa el puerto TCP 1723 y el Protocolo IP 47/GRE Existen PPTP-server y PPTP-clients Clientes PPTP estan disponibles y/o incluidos en casi todos los OS Debes usar PPTP y GRE NAT helpers para conectar a cualquier servidor publico PPTP desde t red privada enmascarada

Tuneles L2TP

PPTP y L2TP tienen comunmente la misma funcionabilidad El trfico L2TP usa el puerto UDP 1701 solo para conecciones establecidas El protocolo L2TP no posee problemas con clientes nateados La configuracin de los dos tuneles son identicos en RouterOS

Creando Clientes PPTP/L2TP

Laboratorio Cliente PPTP

Crear un Cliente PPTP Server Address:10.1.2.1 User: admin Password: admin Add default route = yes Realizar los ajustes necesarios

internet

para acceso a

Creando un Servidor PPTP/L2TP

EoIP

Ethernet over IP

EOIP (Ethernet Over IP)

Es un protocolo propietario de Mikrotik Simple de configurar No posee ni autentificacin ni encripcin Encapsula los fragmentso ethernet dentro del protocolo IP 47/gre EOIP es solo un tunel con capacidades de bridge

Creando Tuneles EoIP

Creando Tuneles EoIP

Verifica que tengas abilitado ICMP a la direccin remota antes de crear un tunel hacia el Asegurar que la direccion MAC de tu EOIP sea nica El ID del tunel en ambas puntas debe ser el mismo Asignar una direccion IP al tunel EOIP (se sugiere 32 bits o 30 b bits de mascara) 10.1.6.1/30 y 10.1.6.2/30 network 10.1.6.0/30 10.1.6.1/32, network 10.1.7.1 y 10.1.7.1/32 network

10.1.6.1

EoIP y Ruteo /30

EoIP y Ruteo /32

EoIP y Bridging

Se puede crear un bridge EoIP con cualquier interface tipo ethernet Protocolo EoIP no provee encripcin de datos, por tanto es recomendable ejecutarlo sobre algn tipo de tunel encriptado donde la seguridad sea requerida

EOIP y Bridging

Laboratorio VPN y EoIP

Conformar equipos por parejas. Uno debe configurar PPTP/L2TP Server. Uno debe configurar PPTP/L2TP Cliente. En el router configurado como Servidor, asignar IPs. Asignar Rutas Estaticas. Cree un Tunel EoIP que permita trfico de broadcast

HotSpot

Acceso Plug-and-Play

HotSpot

HotSpot es usado para autenticacin en redes locales La autenticacin est basada en Protocolo HTTP/HTTPS, esto significa que puede trabajar con cualquier navegador de internet HotSpot es un sistema que combina varias caractersticas independientes de RouterOS para suministrar acceso Plug-andPlay

Cmo trabaja?
El

usuario trata de abrir una website El Router verifica si el usuario est autenticado en el sistema HotSpot Si no, el usuario es redireccionado a la pgina de acceso El usuario debe especificar su nombre de usuario y password

Cmo trabaja?
Si

la informacin ingresada es correcta, entonces el router:

Autentica al cliente en el

El

usuario puede acceder a la red a traves del gateway del HotSpot

sistema HotSpot; Abre la pgina web solicitada; Abre una ventana pop-up de estatus

Caracteristicas del HotSpot

Autenticacin de Usuarios Cuentas de Usuarios por tiempo,

transmitidos/recividos Limitacin de datos

Por tasa de datos Por tamano

datos

Restricciones de uso por Soporte por RADIUS Walled garden

tiempo

H HotSpot Setup Wizard (Paso 1)

HotSpot Setup Wizard

Inicie HotSpot setup wizard y seleccione la interfaz donde funcionar el HotSpot Configure la Direccin IP en la interfaz del HotSpot Escoger si hacemos masquerade a la red HotSpot Seleccionar pool de direcciones para la red HotSpot Seleccionar Certificado SSL para el HotSpot si es requerido HTTPS

HotSpot Setup Wizard (Paso 25 5)

HotSpot Setup Wizard

Seleccionar el servidor SMTP para redireccionar automaticamente la salida de mails al servidor local SMTP, de esta forma el usuario no necesita cambiar su configuracin de salida de emails Especificar los servidores DNS que sern usados por el router and usuarios HotSpot Configurar nombre de DNS del servidor local HotSpot Finalmente crear un usuario HotSpot

HotSpot Setup Wizard (Step 58 8)

Laboratorio HotSpot

Crear un servidor Hotspot simple usando HotSpot Setup Wizard Hacer el respectivo Login y checkear la instalacin! Logout Configurar cualquier direccin IP, netmask, gateway, valores DNS en su Laptop Hacer el respectivo Login y checkear la instalacin!

Servidores HotSpot

HotSpot Server Profiles

Metodos de Autenticacin HotSpot

HTTP PAP metodo simple, el cual muestra la pgina de login del HotSpot y espera conseguir las credenciales del usuario in text plano HTTP CHAP metodo estandard, el cual incluye clculo CHAP para el extremo en el cual ser enviado hacia el gateway HotSpot HTTPS autenticacin de texto plano usando protocolo SSL para proteger la sesin

Metodos de Autenticacin HotSpot

HTTP cookie despus de cada inicio de sesion, una cookie es enviada al navegador web y la misma cookie es adicionada a la lista de cookie de activos HTTP. Este metodo puede ser usado solamente junto con los metodos HTTP PAP, HTTP CHAP or HTTPS MAC address autentica usuarios tan pronto como ellos aparecen en la lista de hosts, usando la direccin MAC como nombre de usuario Demo no requiere autenticacin por cierta cantidad de tiempo

Usuarios HotSpot

Usuarios HotSpot

Relaciona username, password y perfil para cada cliente o usuario en particular Limita usuarios por tiempo de funcionamineto (uptime), bytes-in y bytes-out Asigna una direccin IP al usuario Permite al usuario conecciones desde una direccin MAC en particular

Perfil de Usuarios HotSpot

Perfil de Usuarios HotSpot

Guarda parametros comunes para grupos de usuarios Permite elegir cadenas de filtrado de firewall para checkear trafico de entrada y salida Permite configurar marcado de paquete en el trfico de cada usuario del perfil Permite limitar el ancho de banda de los usuarios del perfil

HotSpot IP Bindings

HotSpot IP Bindings
Se

implementa una regla de NAT estatica basada en cualquiera de estas opciones:

La direccin IP original (o el segmento de red). La direccin MAC original.

Permite

algunas direcciones dejarlas pasar por el portal de autenticacin. Normalmente se usa para proveer servicio de internet en el HotSpot a Telefonos IP, Servidores y otros dispositivos que no pueden autenticar por HTTP. Bloquea completamente algunas IPs

HotSpot HTTP-level Walled Garden

HotSpot HTTP-level Walled Garden

Permite hacer bypass a algunos recursos HTTP-level Walled Garden maneja los protocolos HTTP y HTTPS HTTP-level Walled Garden trabaja como un filtro de Webproxy, Usted puede usar el mismo metodo HTTP y las mismas expresiones regulares para hacer una fila URL

HotSpot IP-Level Walled Garden

IP-level Walled Garden trabaja en el nivel IP, es usado como el filtrado de reglas de IP Firewall

HotSpot IP-Level Walled Garden

Login Page Customization

Existen paginas HTML en el Router accediendo por FTP se puede conseguir Estas paginas HTML contienen variables las cuales pueden ser reemplazadas con la informacin actual del propietario y/o administrador del HotSpot Es posible modificar esas paginas HTML, pero deben ser descargadas del Router para luego ser editadas y modificadas segn los parmetros del adminstrador del HotSpot, luego deben ser subidas al Router

Calidad de Servicio

QoS Queue Simple & Queue Tree

Calidad de Servicio

Limitacin simple usando Simple Queue Marcado de Trfico usando Mangle Priorizacin de Trfico y limitacin por jerarquizacin usando Queue Tree La calidad de servicio se realiza por medio de dropeo de paquetes El protocolo TCP/IP se adapta solo al control de velocidad El QoS trabaja con un mecanismo de encolamiento (queue), esperando salir por la interfaz de salida

Calidad de Servicio

Existen 2 grupos para clasificar las Disciplinas de acuerdo a como influyen al flujo:
Scheduler queues reordenan el flujo de paquetes en cuanto a su

algoritmo y dropea los paquetes que no caben en la queue. Las Scheduler queues son: PFIFO, BFIFO, SFQ, PCQ (ambos scheduler y shaper), RED Shapers queue controlan la velocidad del flujo de paquetes y tambin realizan trabajo de schedulers. Las Shapers queue son: PCQ (ambos scheduler y shaper) y HTB

Calidad de Servicio

PFIFO y BFIFO: Disciplina basada en FIFO (first in-first out), no cambian el orden de los paquetes, sino que acumulan de acuerdo al limite definido. Si la queue esta llena los paquetes restantes son dropeados. Grandes queues incrementan la latencia. PFIFO: queue limitada por paquetes BFIFO: queue limitada por bytes NOTA: Usar FIFO para enlaces no congestionados

Calidad de Servicio
SFQ (Stochastic Fairness Queuing): - Esta disciplina no limita el trfico, sino que ecualiza el flujo cuando el enlace esta saturado. - La inparcialidad de SFQ es asegurada por los algoritmos de hashing y de round-robin. - El algoritmo de Hashing puede dividir el trfico de las sesiones hasta en 1024 coletas secundarias, si hay ms algunas de ellas tiene que saltar una ronda. - El algoritmo Round-Robin saca de la cola los bytes pcq asignados (pcq-allot) desde cada subqueue en una vuelta.

Calidad de Servicio

- Despus de pertub segundos el algoritmo hashing cambia y divide la sesin de trfico en otra subqueue

Calidad de Servicio

RED (Random Early Drop)

Limitacin Temprana Aleatoria. Gestor inteligente que no lmita la velocidad, indirectamente

ecualiza las velocidades de datos cuando el canal est congestionado. Cuando el promedio del tamao de la cola alcanza el min-threshold, RED aleatoriamente elige cual paquete que llegue ser eliminado o dropeado. Si el promedio del tamao de la cola alcanza el max-threshold, todos los paquetes son eliminados o dropeados. RED es ideal para limitacin de trfico TCP.

Calidad de Servicio

Queue Size: Usado por RED para el promedio del tamao del queue. Burst: Es el valor usado para determinar qu tan rpido el promedio del queue size ser influenciado por el valor real del queue. Grandes valores harn ms lento el clculo de RED. Se permiten grandes valores de burst. Min-Threshold: Es el valor mnimo del promedio del queue size. Max-Threshold: Este es el valor mximo del promedio del queue size. Avg. Packet Size: Usado para ajustar el tiempo promedio de clculo de cola.

Calidad de Servicio

PCQ (Per Connection Queue)

Es una disciplina mejorada de SFQ que puede limitar velocidad de

trfico de paquetes. Es la nica clase de queue en RouterOS que puede realizar este tipo de limitacin. PCQ crea subqueues que se pueden clasificar de acuerdo al: src-port, dst-port, src-address,dst-address. Permite que con una sola regla se pueda ahorrar la creacin de cientos de simples queues.

Calidad de Servicio

Sirve para ecualizar el trfico de acuerdo a la clasificacin que se le defini. Si configura pcq-rate 0 cada subqueue utilizar el max-limit, sino cada subqueue utilizara el max-limit si esta disponible

Calidad de Servicio

Rate = 128000
q u e u e = c q- d o w n p m a x- l i m i t = 5 1 2 k

u s e r s

u s e r s 1 2 8 k 1 2 8 k

u s e r s 7 3 k 7 3 k 7 3 k 7 3 k

1 2 8 k 1 2 8 k

1 2 8 k 1 2 8 k

7 3 k 7 3 k 7 3 k

Rate = 0

1 u s e r

2 u s e r s

7 u s e r s 7 3 k

2 5 6 k q u e u p e c = qd o w n m a - l xi m i t = 5 1 2 k 5 1 2 k 2 5 6 k

7 3 k 7 3 k 7 3 k 7 3 k 7 3 k 7 3 k

Calidad de Servicio

HTB (Hierarchical Token Bucket)

Disciplina jerrquica que clasifica los paquetes de acuerdo al limite

que llegan.

HTB tiene 3 propiedades:

limit-at: ancho de banda garantizado (CIR) (verde) l max-limit: maximo de ancho de banda (MIR) (amarillo) m priority: orden en el cual se puede prioriza una queue

HTB puede tener prioridad:

Prioridad 1 es la mayor, pero solo funciona cuando la cola esta en

verde. Prioridad 8 es la por defecto. Cuando una coleta alcanza el valor limit-at cambian de verde a amarillo, y puede usar BW de la coleta padre si no esta en rojo.

Calidad de Servicio

Estados del HTB:

verde: la clase se encuentra en verde cuando no alcanz el valor

limit-at amarillo: cuando super el valor de limit-at y esta por debajo de max-limit y puede tomar ancho de banda de la coleta padre si no esta saturada rojo: el valor actual ha superado el max-limit y los paquetes son dropeados y no puede pedir ancho de banda a la coleta padre.

Calidad de Servicio

Flujo de Paquetes:

Calidad de Servicio

Prioridad Permite priorizar diferentes flujos de datos. 8 es la menor prioridad, 1 es la mayor La diferencia entre prioridades es irrelevante solo que:
La queue con prioridad mayor alcanzar su CIR antes

que la queue con menos prioridad La queue con prioridad mayor alcanzar su MIR antes que la queue con menor proridad

QoS (Simple Queues)

Es la manera ms simple de limitar el trfico por IP o por subred. Con una sola regla se puede limitar el TX, RX y total (tx+rx). Mientras sea simple la configuracin, lo recomendable es que se utilice queue simple. PPPoE y HotSpot crean simple queues dinmicas. Se pueden implementar marcados de paquetes de forma sencilla para configurar queue simples.

QoS (Queue Tree)

Las Queue Tree tienen solo una direccin, se debe hacer una queue para subida y otra para bajada. Las Queues Tree trabajan solo con marcas creadas en el firewall mangle. Permite tener jerarquias complejas para hacer un QOS avanzado. Tiene interfaces virtuales global-in, global-out y global-total.

QoS (Queue Tree)

Burst es un mecanismo para permitir tazas de velocidad ms altas que los limitados en max-limit durante cierto tiempo. Burst tiene varias propiedades: burst-limit: es el lmite mximo que alcanzar
burst-time: tiempo que tendr el burst burst-threshold: umbral donde empieza a limitar max-limit: MIR (Maximal Information Rate)

QoS (Queue Tree)

Ejemplo de Burst para una descarga:
Max-limit burst-time burst-threshold burst-limit

= = = =

256000 /bps 8s 192000 /bps 512000 /bps

Al inicio el promedio de datos sobre los 8 segundos es 0bps porque antes de aplicar la regla de queue no hay trfico. Despus el promedio de rate es menor a 192bkps, el burst sigue. Despus del segundo No.1 el promedio es (0+0+0+0+0+0+0+512)/8=64kbps, el cual es menor al burst-threshold. Despus del segundo No.2, el promedio de rate es (0+0+0+0+0+0+512+512)/8=128kbps. Despus del tercer segundo viene el punto de inflexin cuando el promedio supera el burstt threshold. En este momento el burst es deshabilitado y el rate cae al max-limit (256kbps)