Treinamento oficial Mikrotik

Modulo MTCRE
(MikroTik Certified Routing Engineer)
Mdulos MikroTik

1- Introduo 2
 Agenda
Treinamento das 08:30hs s 18:30hs

Coffe break as 16:00hs

Almoo as 12:30hs 1 hora de durao

1- Introduo 3
 Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.

Evite conversas paralelas.

Deixe habilitado somente a interface ethernet de
seu computador.

1- Introduo 4
 Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.

1- Introduo 5
 Objetivos do curso
Abordar todos os tpicos necessrios para o
exame de certificao MTCRE.
Prover um viso geral sobre roteamento e
tneis.
Fazer uma abordagem simples e objetiva de
como planejar e implementar uma rede
roteada com foco em segurana e
performance.

1- Introduo 6
 Winbox
Winbox uma utilitrio usado para acessar o
RouterOS via MAC ou IP.
Usurio padro admin e senha vazio.

1- Introduo 7
 Primeiros passos
Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.
Caso voc no tenha o utilitrio winbox no seu
computador faa o seguinte:
Altere seu computador para Obter endereo IP
automaticamente.
Abra o navegador e digite 192.168.88.1.
No menu a esquerda clique na ultima opo (logout).
Agora na pagina de login , clique sobre o aplicativo
winbox e salve no seu computador.

1- Introduo 8
 Resetando seu router
Abra o winbox clique em
Clique no endereo MAC ou IP.
No campo Login coloque admin.
No campo Password deixe em branco.
Clique em connect.
Nos Menus a esquerda clique em New Terminal.
Com terminal aberto digite:
/system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.

1- Introduo 9
Diagrama da rede Internet

ether5 G=1 R=1 ether1 ether5 G=2 R=1

G=1 R=4 ether1 G=2 R=4

ether1 Ether5 ether1

Ether5

ether5 ether1 ether5

ether1
G=2 R=3 G=2 R=2
G=1 R=3 G=1 R=2 ether5 ether1
ether5 ether1
Lembre-se de seu nmero: GR
1- Introduo 10
Identificando seu roteador

Lembre-se de seu nmero: GR

1- Introduo 11
 Identifique as interfaces

Identifique as interfaces como ilustrado na

imagem de acordo com sua posio.

1- Introduo 12
 Criando a Bridge
Adicione uma bridge e renomeie para bridge-rede-local

Adicione todas as interface na bridge criada anteriormente

1- Introduo 13
 DHCP Client no Windows

Habilitando DCHP Client no Windows

1- Introduo 14
 Observaes do ambiente em bridge
Todos os hosts ficaram no mesmo domnio de
broadcast, logo esto na mesma rede.

Caso no utilize filtros de bridge um host poder

enxergar todos os hosts da rede.

A rede ser mais vulnervel a ataques e erros.

Comprometimento de redundncia caso tenha mais de

uma um ponto de interconexo com operadoras.

1- Introduo 15
 Planejando a rede roteada
Devemos segregar nossa rede em varias sub-
redes.

Antes de executarmos a diviso das redes

precisamos planejar as seguinte:
- Redes locais (redes dos clientes)
- Redes dos ponto-a-pontos
- Endereos de Loopback

1- Introduo 16
 Backup
Apague todos os arquivos no menu files.
Faa um backup com nome topoligia-1 e salve
seu computador.

system backup save name=topologia-1

1- Introduo 17
Dvidas e perguntas ?

1- Introduo 18
Introduo ao roteamento

2- Introduo ao roteamento 19
 Resumo
Funcionamento bsico de um Roteador.
Fundamentos de Roteamento.
Tipos de rotas.
Rotas diretamente conectadas.
Quando o processo roteamento utilizado?
Principais campos de uma rota.
Funcionamento padro (nexthop-lookup).
Escolha da melhor rota (Rota mais especficas).
Exemplos de ambientes roteados (Exemplo 1,2,3).
Roteamento esttico
ECMP - Equal cost multi path
Polticas de Roteamento (routing-mark)
Check-gateway e Distance
Scope e Target Scope (alcance recursivo)
Campo de Pref. Source
Campo Type

2- Introduo ao roteamento 20
 O que roteamento
Em termos gerais, o
roteamento o
processo de encaminhar
pacotes entre redes
conectadas.

Para redes baseadas em TCP/IP, o roteamento faz

parte do protocolo IP.
Para que o roteamento funcione ele trabalha em
combinao com outros servios de protocolo.
2- Introduo ao roteamento 21
 Roteamento

O Mikrotik suporta dois tipos de roteamento:

Roteamento esttico: As rotas so criadas pelo usurio atravs
de inseres pr-definidas em funo da topologia da rede.
Roteamento dinmico: As rotas so geradas automaticamente
atravs de um protocolo de roteamento dinmico ou de algum
agregado de endereo IP.
O Mikrotik tambm suporta ECMP(Equal Cost Multi Path)
que um mecanismo que permite rotear pacotes atravs
de vrios links e permite balancear cargas.
possvel ainda no Mikrotik se estabelecer polticas de
roteamento dando tratamento diferenciado a vrios tipos
de fluxos a critrio do administrador.

2- Introduo ao roteamento 22
Quando o processo roteamento utilizado?
Sempre que dois hosts em redes distintas
precisarem se comunicar, eles iro depender de
um roteador para que tal comunicao ocorra.

192.168.1.201/24

192.168.1.1/24
192.168.20.1/24 192.168.20.2/24
R1 S1

192.168.1.202/24 Exemplo 1 Exemplo 2

No necessita de roteamento Necessita de roteamento
Origem Destino Origem Destino
192.168.1.201 192.168.1.202 192.168.1.201 192.168.20.2

2- Introduo ao roteamento 23
 Laboratrio para fixar
Adicione um DHCP-Client na bridge ( IP => DHCP-Client).

Verifique qual foi o endereo de IP recebido.

Agora vamos escolher um roteador em nossa rede e colocar o endereo IP

192.168.1.50/24 na bridge.

Aps fazer tal alterao vamos tentar pingar para esse host 192.168.1.50.

Analisando o resultado
Os dispositivos que estavam em sub-redes diferentes conseguiram se
comunicar diretamente?

O que foi necessrio para que esses dispositivos de comunicassem?

1- Introduo 24
 Introduo a roteamento

Quais so as principais informaes em um datagrama

para que ocorra comunicao entre dois hosts?

Origem = Source = SRC Destino = Destination = DST

4 Ports Ports
3 IP IP
2 MAC MAC

Qual/quais dessas informaes o roteamento padro

usa para fazer encaminhamento de pacotes?

1- Introduo 25
 Analogia do processo de roteamento
Roteador

Roteador Roteador
Tabela de roteamento

Tabela de roteamento
Tabela de roteamento

Cidade C
Cidade B Cidade D

Roteador
Gateway Gateway
Tabela de roteamento

Roteador Roteador

Tabela de roteamento
Cidade E Tabela de roteamento

Cidade A Cidade F
Origem Destino
1- Introduo 26
 TTL
TTL o limite mximo de saltos que um pacote pode dar at ser descartado;

O valor padro do TTL 64 e cada roteador decrementa este valor em um antes de pass-lo
adiante;

O menu Firewall Mangle pode ser usado para manipular este parmetro;

O roteador no passa adiante pacotes com TTL=1;

Esta opo muito til para evitar que usurios criem rede com nat a partir da sua rede.

TTL=63 TTL=62 TTL=61

TTL=60

TTL=64

2- Introduo ao roteamento 27
 Alterando o TTL
Regra no Firewall Mangle

Antes
Depois

1- Introduo 28
 Principais campos de uma rota
Os dois principais campos de uma rota so:
- Dst. Address = Rede ou IP de destino
- Gateway = IP ou interface que ser utilizado como gateway.

Apontando o Gateway por IP

Apontando o Gateway por interface

Por padro o Gateway sempre deve estar diretamente conectado ao roteador.

2- Introduo ao roteamento 29
 Laboratrio para fixar
Crie uma rota conforme a imagem, lembrando que o gateway
10.1.1.1 no est diretamente conectado.

Crie outra rota conforme a imagem, lembrando que o gateway

172.30.254.50 est diretamente conectado.

Analisando o resultado

Oque acontece se voc adicionar uma rota apontando como

gateway um host que que no est diretamente conectado?

Oque acontece se voc adicionar uma rota apontando como

gateway um host que est com status down?

1- Introduo 30
 Check-gateway
A funcionalidade Check-gateway ir verificar se o gateway alcanvel
atravs de ICMP ou ARP.

A checagem ocorre a cada 10 segundos.

Se aps duas tentativas seguidas o gateway no responder, ele

considerado inalcanvel.

Aps receber uma resposta o gateway novamente considerado

alcanvel.

LAB
Mude o campo Check Gateway
conforme a imagem e observe
em quanto tempo a rota ser
considerada inalcanvel.
2- Introduo ao roteamento 31
Funcionamento bsico de um Roteador
Roteador
Roteador recebe rotas por:
Protocolos de
roteamento Rotas estticas
dinmico

Consulta de caminhos BASE DE DADOS DE ROTEAMENTO

para a rede de destino RIB

Pacote chegando TABELA DE ENCAMINHAMENTO

Pacote saindo
ao roteador FIB do roteador

2- Introduo ao roteamento 32
Funcionamento bsico de um Roteador

2- Introduo ao roteamento 33
 Fundamentos de Roteamento
Routing Information Base (RIB)

A RIB o local onde todas as informaes a respeito do roteamento IP esto

armazenadas. A RIB nica em cada roteador e compartilhada com protocolos.

Uma rota inserida na RIB, sempre que um protocolo aprende uma nova rota.

O RouterOS mantm as rotas agrupadas em tabelas separadas pelas marcas de

roteamento (routing marks). E, em alguns casos, as mtricas (distncias)

associado a este roteador. Todas as rotas sem marcas de roteamento so mantidas

na tabela main (principal). importante entender que RIB no utilizada para o

encaminhamento de pacotes e no anunciada para o restante das redes as quais

o roteador est conectado.

2- Introduo ao roteamento 34
 Fundamentos de Roteamento
Forwarding Information Base (FIB)

A FIB a base de dados que contm uma cpia das informaes necessrias para o

encaminhamento dos pacotes relacionando as redes s respectivas interfaces.

A FIB contm todas as rotas que podem potencialmente serem anunciadas aos

roteadores vizinhos pelos protocolos de roteamento dinmico.

Por padro no RouterOS todas as rotas ativas esto na main-table que pode ser

visualizada em /ip route, inclusive com os detalhes inseridos pelos protocolos de

roteamento dinmico.

2- Introduo ao roteamento 35
 Tipos de rotas
Flag/Sigla Significado da sigla Tipo de rota
A Active Rota ativa
C Connected Rota diretamente conectada
S Static Rota esttica
D Dynamic Rota dinmica
B Blackhole Rota do tipo buraco negro
U Unreable Rota inalcanvel
P Prohibit Rota do tipo proibida
o OSPF Rota aprendida via OSPF
b BGP Rota aprendida via BGP
r RIP Rota aprendida via RIP
m MME Rota aprendida via MME

/ip route print

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

2- Introduo ao roteamento 36
 Campo Type
Blackhole: Descarta o pacote
silenciosamente.

Unreachable: Descarta o pacote e envia

uma notificao via ICMP para o host de
origem (host unreachable type 3 code 1).

Prohibit: Descarta o pacote e envia uma

notificao via ICMP para o host de origem
(communication administratively
prohibited type 3 code 13).

2- Introduo ao roteamento 37
 Funcionamento padro (nexthop-lookup)

192.168.1.200 192.168.1.1 187.15.15.134 8.8.8.8

Pacote IP
Origem Destino
192.168.1.99 8.8.8.8 Tabela de rotas
Tudo que for Encaminhe para
O roteador executa uma tarefa destinado a: o roteador:
(Dst. Address) (Gateway)
chamada nexthop-lookup
0.0.0.0/0 192.168.1.1
(pesquisa de prximo salto)
para cada pacote que passa por 10.10.10.0/24 192.168.4.1
ele. 10.172.0.0/23 10.172.4.1
Lembrando que essa busca 8.8.0.0/16 10.172.5.1
sempre ser feita varrendo
todas as entradas da FIB.
2- Introduo ao roteamento 38
 Escolha da melhor rota
Para cada encaminhamento o roteador faz um
leitura completa da tabela de rotas.

Se o roteador encontrar mais de uma rota para o

destino solicitado ele sempre ir utilizar a rota
mais especifica. Tabela de rotas
Dst. Address Gateway

A rota defult ser utilizada 0.0.0.0/0 192.168.1.1

somente se no houver 8.0.0.0/8 10.172.6.1

8.8.0.0/16 10.172.5.1
uma rota para o
determinado destino.
2- Introduo ao roteamento 39
Rota mais especficas

Mais especficas

/32

/24

/16

/8

/0
Menos especficas

2- Introduo ao roteamento 40
 Diagrama simples para roteamento

1.1.1.1/30 1.1.1.2/30
R1 R2
10.1.1.1/24 10.2.2.1/24

Rede 1 Rede 2

10.2.2.0/24
10.1.1.0/24

10.2.2.2/24
10.1.1.2/24

6 - Roteamento 41
 Exemplo 2 de roteamento

1.1.1.1/30 1.1.1.2/30 2.2.2.1/30 2.2.2.2/30 3.3.3.1/30 3.3.3.2/30

R1 R2 R3 R4
10.1.1.1/24 10.2.2.1/24 10.3.3.1/24 10.4.4.1/24
Rede 2 Rede 3
10.3.3.0/24
Rede 1
10.2.2.0/24 Rede 4

10.4.4.0/24
10.1.1.0/24

10.4.4.2/24
10.1.1.2/24
 Exemplo 3 de roteamento
R2
/30 /30

R1 R4

10.1.1.1/24 /30 /30 10.2.2.1/24

R3

10.1.1.2/24 10.2.2.2/24

Qual IP dever ser usado para monitorar R4 ?

possvel balancear o trfego de R1 para R4 ?
2- Introduo ao roteamento 43
 Interface de loopback
Interface de loopback uma interface virtual (por
exemplo uma bridge) que nunca estar como
status down.
Coloque o seguinte
IP na sua interface
1 - Adicione a de loopback
bridge e altere o 172.30.255.GR
nome para
loopback

2- Introduo ao roteamento 44
 ECMP - Equal cost multi path
O roteador nesse caso ter 2 gateways e estar
fazendo um balanceamento de carga simples
entre os 2 Links utilizando ECMP.

Link 1 Link 2

/ip route add dst-address=0.0.0.0/0 gateway=1.1.1.1,2.2.2.2

2- Introduo ao roteamento 45
 Diagrama da rede

172.30.GR.1/24 172.30.G.13/30 172.30.G.14/30 172.30.GR.1/24

ether3 ether1 ether5 ether3
R4 R1
ether5 ether1
172.30.GR.2/24 172.30.G.10/30 172.30.G.1/30 172.30.GR.2/24
Rede LAN Rede LAN
172.30.GR.0/24 172.30.GR.0/24

172.30.G.9/30 172.30.G.2/30
ether1 ether5
172.30.GR.1/24 172.30.GR.1/24
ether3 R3 R2 ether3
ether5 ether1
172.30.G.6/30 172.30.G.5/30
172.30.GR.2/24 172.30.GR.2/24
Rede LAN Rede LAN
172.30.GR.0/24 172.30.GR.0/24

2- Introduo ao roteamento
Roteamento dinmico

3 - Roteamento dinmico 47
 Roteamento Dinmico

O Mikrotik suporta os seguintes

protocolos:
RIP verso 1 e 2;
OSPF verso 2 e 3;
BGP verso 4.

O uso de protocolos de roteamento

dinmico permite implementar
redundncia e balanceamento de links
de forma automtica e uma forma de
se fazer uma rede semelhante as redes
conhecidas como Mesh, porm de forma
esttica.

3 - Roteamento dinmico 48
 Autonomous System
Um AS o conjunto de redes IP e roteadores sobre o controle
de uma mesma entidade (OSPF, iBGP ,RIP) que representam
uma nica poltica de roteamento para o restante da rede;

Um AS era identificado por um nmero de de 16 bits (0 65535)

Os novos ASs so identificados por um nmero de 32 bits.

3 - Roteamento dinmico
 Roteamento dinmico - BGP
O protocolo BGP destinado a fazer
comunicao entre AS(Autonomos
System) diferentes, podendo ser
considerado como o corao da
internet.
O BGP mantm uma tabela de
prefixos de rotas contendo
informaes para se encontrar
determinadas redes entre os ASs.
A verso corrente do BGP no Mikrotik
a 4, especificada na RFC 1771.

3 - Roteamento dinmico 50
 OSPF
O protocolo OSPF utiliza o estado do link e o
algoritmo de Dijkstra para construir e calcular o
menor caminho para todos destinos conhecidos na
rede.

Os roteadores OSPF utilizam o protocolo IP 89 para

comunicao entre si.

O OSPF distribui informaes de roteamento entre

roteadores pertencentes ao mesmo AS.

O OSPF um protocolo para uso como IGP.

3 - Roteamento dinmico
 Diagrama da rede
Internet

172.30.254.254/24

wlan 172.30.254.GR/24 172.30.254.GR/24 wlan

R4 R1

R3 R2

2- Introduo ao roteamento
 LAB - OSPF bsico
Objetivo Fechar uma sesso OSPF com cada um dos seus
vizinhos e conseguir alcanar todos.

Para que as rotas do OSPF tenham prioridade sobre as rotas

estticas criadas anteriormente devemos aumentar a
distncia das rotas esttica para um valor maior que 110.

Para que o protocolo OSPF funcione, precisamos realizar um

nico procedimento:
- Adicionar as redes em /routing ospf network

3 - Roteamento dinmico 53
Distncias padres

Protocolo Distancia
connected 0
static 1
eBGP 20
OSPF 110
RIP 120
MME 130
iBGP 200

2- Introduo ao roteamento 54
 Networks (redes) OSPF
Ao adicionar uma rede em /routing ospf network o
roteador far o seguinte:
- Ativar OSPF nas interfaces que tem um endereo
de IP que estiver no range da rede adicionada.
- Enviar a rede adicionada para os outros
roteadores.

3 - Roteamento dinmico 55
 Neighbours (vizinhos) OSPF
Os roteadores OSPF encontrados esto listados na aba Neighbours
(vizinhos);

Aps a conexo ser estabelecida cada um ir apresentar um status

operacional conforme descrito abaixo:

Full: Base de dados completamente sincronizada;

2-way: Comunicao bi-direcional estabelecida;
Down,Attempt,Init,Loading,ExStart,Exchange: No finalizou a
sincronizao completamente.

3 - Roteamento dinmico 56
 Designated router OSPF
Para reduzir o trfego OSPF em redes broadcast e NBMA (Non-Broadcast Multiple Access), uma nica
fonte para atualizao de rotas criado Os roteadores designados(DR).

Um DR mantm uma tabela completa da topologia da rede e envia atualizaes para os demais
roteadores.

O roteador com maior prioridade ser eleito como DR.

Tambm ser eleito roteadores backup BDR.

Roteadores com prioridade 0 nunca sero DR ou BDR.

Caso a prioridade for igual em todos os roteadores, o DR ser eleito usando o maior valor
especificado no routerID
1

3 BDR
DR 5

0 1 1

3 - Roteamento dinmico 57
 Router ID e loopback
Cada roteador precisa ser identificado na rede com um
ID nico, caso esse ID no for especificado
manualmente o roteador usar o maior IP que existir
em sua IP list.
uma boa prtica utilizar o endereo de loopback
como RouterID

1 - Copiar o endereo de loopback

2 Colar no Roter ID
3 - Roteamento dinmico 58
 OSPF Instance
Router ID: Geralmente o IP do roteador. Caso no seja especificado o roteador usar o maior IP que exista na
interface.

Redistribute Default Route:

Never: nunca distribui rota padro.
If installed (as type 1): Envia com mtrica 1 se tiver sido instalada como rota esttica, DHCP ou PPP.
If installed (as type 2): Envia com mtrica 2 se tiver sido instalada como rota esttica, DHCP ou PPP.
Always (as type 1): Sempre, com mtrica 1.
Always (as type 2): Sempre, com mtrica 2.

Redistribute Connected Routes: O roteador ir distribuir todas as rotas estejam diretamente conectadas a ele.
Redistribute Static Routes: Caso habilitado, distribui as rotas cadastradas de forma esttica em /ip routes.
Redistribute RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP.
Na aba Metrics possvel modificar as mtricas que sero exportadas as diversas rotas.

3 - Roteamento dinmico 59
 Mtrica tipo 1
Mtrica do tipo 1 soma o custo externo com o custo interno.

Cost=10

Cost=10
Cost=10 Cost=10
Total
Cost=40
Origem

Total Cost=10
Cost=49 Cost=10
Cost=9
Destino

ASBR

3 - Roteamento dinmico 60
 Mtrica tipo 2
Mtrica do tipo 2 usa somente o custo externo.

Cost=10

Custo total=10

Origem

Custo total=9

Cost=9 Destino

ASBR

3 - Roteamento dinmico 61
 OSPF Custo de interfaces
Por padro todas interfaces tem custo 10.
Para alterar este padro voc deve adicionar interfaces de
forma manual.
Escolha o tipo de rede correta para todas interfaces OSPF.
Atribua custos para garantir o trfego em uma nica direo
dentro da rea.
Verifique rotas ECMP em sua tabela de roteamento.
Atribua custos necessrios para que o link backup s seja
usado caso outros links falhem.
Verifique a redundncia da rede OSPF.

3 - Roteamento dinmico 62
 Diagrama da rede
R4 R1

R3 R2

3 - Roteamento dinmico
 OSPF - Tipos de rede
Trs tipos de rede so definidas no protocolo
OSPF:
Point to point (no h eleio de DR e BDR)

Broadcast

Nonbroadcast multiacess (NBMA)

3 - Roteamento dinmico 64
 NBMA Neighbors
Em redes no-broadcast necessrio especificar os
neighbors manualmente.
A prioridade determina a chance do router ser eleito
DR.

3 - Roteamento dinmico 65
 Interface Passiva
O modo passivo permite desativar as mensagens
de Hello enviadas pelo protocolo OSPF as
interfaces dos clientes (desativa OSPF na
interface).
Portanto ativar este recurso sinnimo de
segurana.

3 - Roteamento dinmico 66
 OSPF autenticao
O Mikrotik suporta os seguintes mtodos de
autenticao.
- Nome: No utiliza mtodo de autenticao.
- Simples: Autenticao em texto plano.
- MD5: Autenticao com encriptao md5.

3 - Roteamento dinmico 67
 reas OSPF
A criao de reas permite voc agrupar uma coleo de
roteadores (indicado nunca ultrapassar 50 roteadores por
area).

A estrutura de uma rea no visvel para outras reas.

Cada rea executa uma cpia nica do algoritmo de

roteamento.

As reas OSPF so identificadas por um nmero de 32

bits(0.0.0.0 255.255.255.255).

Esses nmeros devem ser nicos para o AS.

4 - reas do OSPF 68
 rea de backbone
A rea backbone o corao da rede OSPF. Ela
possui o ID (0.0.0.0) e deve sempre existir.

A backbone responsvel por redistribuir

informaes de roteamento entre as demais
reas.

A demais reas devem sempre estar conectadas a

uma rea backbone de forma direta ou
indireta(utilizando virtual link).

4 - reas do OSPF 69
Exemplo de AS e vrias reas

4 - reas do OSPF 70
 Tipos de roteadores no OSPF
Tipos de roteadores em OSPF so:
Roteadores internos a uma rea (IR).
Roteadores de backbone (rea 0).
Roteadores de borda de rea (ABR).
OS ABRs devem ficar entre duas reas e devem tocar a
rea 0.
Roteadores de borda Autonomous System (ASBR).
So roteadores que participam do OSPF mas
fazem comunicao com um AS.

4 - reas do OSPF 71
 AS OSPF
Internet

ASBR

ABR Area
Area

ABR ABR

Area Area

ASBR

Internet
4 - reas do OSPF 72
 Separando as redes e reas
Altere a rea para o seu nmero do grupo (seu
nmero G).
Os roteadores que so ABR devem ter duas reas
configuradas(rea 0 e rea G).
Roteador comum Roteador ABR

4 - reas do OSPF 73
Agregao de reas

Utilizado para agregar uma range

de redes em uma nica rota.
possvel atribuir um custo para
essas rotas agregadas.
Ao criar uma agregao lembre-se
de especificar a qual rea aquele
prefixo pertence.

4 - reas do OSPF 74
 Virtual Link
Utilizado conectar reas remotas ao backbone atravs de
reas no-backbone;

4 - reas do OSPF 75
Virtual Link

4 - reas do OSPF 76
 LSA
Tipo 1 Router
H um para cada roteador da rea, e no ultrapassa a rea.

Tipo 2 Network
gerado pelo DR e circula apenas pela rea, no atravessa o ABR

Tipo 3 Summary Network

gerado pelo ABR e descreve o nmero da rede e a mscara, e por default no so
sumarizadas. E no envidado para as reas STUB e NSSA

Tipo 4 Summary ASBR

gerado pelo ABR apenas quando existe um ASBR dentro da rea e informa uma rota
para que todos possam chegar at o ASBR.

Tipo 5 AS External
Usado para transportar redes de outro AS e no so enviados para reas STUB e NSSA

Tipo 7
So gerados em reas NSSA pelo ASBR e o ABR (caso configurado converte em LSA do
tipo 5 para outras reas

4 - reas do OSPF 77
rea Stub
Uma rea Stub uma rea que no
recebe rotas de AS externos;
Tipicamente todas rotas para os AS
externos so substitudas por uma
rota padro. Esta rota ser criada
automaticamente por distribuio do
ABR;
A opo Inject Summary LSA
permite especificar se os sumrios de
LSA da rea de backbone ou outras
reas sero reconhecidos pela rea
stub;
Habilite esta opo somente no ABR;
O custo padro dessa rea 1;

4 - reas do OSPF 78
 rea Stub
No recebe, nem transporta rotas externas.

4 - reas do OSPF 79
 rea Totaly Stub
No recebe, nem transporta rotas externas.
No recebe rotas de outras reas.

4 - reas do OSPF 80
 rea NSSA
Um rea NSSA um tipo de rea stub que tem
capacidade de injetar transparentemente rotas para o
backbone;

Translator role Esta opo permite controlar que

ABR da rea NSSA ir atuar como repetidor do ASBR
para a rea de backbone:
Translate-always: roteador sempre ser usado como
tradutor.
Translate-candidate: ospf elege um dos roteadores
candidatos para fazer as tradues.

4 - reas do OSPF 81
rea NSSA

4 - reas do OSPF 82
Problemas com tneis

ABR

PPPoE
server

PPPoE
server

4 - reas do OSPF 83
 Filtros de Roteamento
possvel criar um filtro de rotas para evitar que
todas rotas /32 se espalhem pela rede OSPF;
Para isto necessrio voc ter uma rota agregada
para esta rede tneis:
Uma boa forma de ser fazer isso atribuindo o
endereo de rede da rede de tneis agregada a
interface do concentrador.

4 - reas do OSPF 84
Filtros OSPF

4 - reas do OSPF 85
 Resumo OSPF
Para segurana da rede OSPF:
Use chaves de autenticao;
Use a maior prioridade(255) para os DR;
Use interfaces passiva para rede dos usurios/clientes.
Para aumentar a performance da rede OSPF:
Use o tipo correto de rea;
Use o tipo correto de rede para as reas;
Use agregao de reas sempre que possvel;
Use filtros de roteamento sempre que necessrio.
Utilize sempre como boa prtica a interface loopback

4 - reas do OSPF 86
 Campo de Pref. Source

2 IPs em uma mesma interface

Link 1
1.1.1.1/24

1.1.1.2/24
1.1.1.3/24

Especifique aqui o IP que deseja fora utilizao

2- Introduo ao roteamento 87
Scope e Target Scope (alcance recursivo)
Alcance outras rotas
Alcance padro da rota Tipo de rota com no mximo

0 - 10 10

0 - 20 10

0 - 30 10

0 - 40 10

0 - 40 30

0 - 200

2- Introduo ao roteamento 88
Scope e Target Scope (alcance recursivo)
Alcance outras rotas
Alcance da rota com no mximo

Alcance outras rotas

Alcance da rota com no mximo

2- Introduo ao roteamento 89
Tneis e VPN

9 - Tuneis e VPN 90
 VPN
Uma Rede Privada Virtual uma rede de
comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.

VPNs seguras usam protocolos de criptografia por tunelamento que

fornecem confidencialidade, autenticao e integridade necessrias
para garantir a privacidade das comunicaes requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicaes seguras atravs de redes inseguras.

9 - Tuneis e VPN 91
 VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurana definidos.
A base da formao das VPNs o tunelamento entre dois
pontos, porm tunelamento no sinnimo de VPN.

9 - Tuneis e VPN 92
 Tunelamento
A definio de tunelamento a capacidade de criar tneis entre dois
hosts por onde trafegam dados.
O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol)
PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
Tneis GRE

9 - Tuneis e VPN 93
Site-to-site

9 - Tuneis e VPN 94
Conexo remota

9 - Tuneis e VPN 95
Endereamento ponto a ponto /32
Geralmente usado em tneis
Pode ser usado para economia de IPs.

Router 1 Router 2

9 - Tuneis e VPN 96
 Diagrama de VPN

Internet
IP pblico
IP da VPN 172.25.2.1
IP pblico 2.2.2.2
172.25.1.1 IP da VPN
1.1.1.1

Rede LAN Rede LAN

10.1.1.0/24 10.1.2.0/24

DST GW DST GW
10.1.2.0/24 2.2.2.2 10.1.1.0/24 1.1.1.1

9 - Tuneis e VPN 97
Ativando o um roteador como servidor
de VPN

9 - Tuneis e VPN 98
Criando o usurio para o PPTP Client

Usurio e senha que ser

utilizado para autenticao.

IP que ser atribudo localmente quando o usurio teste se conectar

IP que ser atribudo para o host remoto quanto o usurio teste se conectar

9 - Tuneis e VPN 99
Criando o PPTP Client

9 - Tuneis e VPN 100

 Acompanhando o Status

Status no client
Status no servidor

9 - Tuneis e VPN 101

 Criando as rotas

Rota no servidor Rota no client

Status no client
Status no servidor
9 - Tuneis e VPN 102
 PPP Definies Comuns para os
servios
MTU/MRU: Unidade mximas de transmisso/ recepo em
bytes. Normalmente o padro ethernet permite 1500 bytes.
Em servios PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentao.

Keepalive Timeout: Define o perodo de tempo em segundos aps o qual

o roteador comea a mandar pacotes de keepalive por segundo. Se
nenhuma reposta recebida pelo perodo de 2 vezes o definido em
keepalive timeout o cliente considerado desconectado.

Authentication: As formas de autenticao permitidas so:

Pap: Usurio e senha em texto plano sem criptografica.
Chap: Usurio e senha com criptografia.
Mschap1: Verso chap da Microsoft conf. RFC 2433
Mschap2: Verso chap da Microsoft conf. RFC 2759

9 - Tuneis e VPN 103

 PPP Definies Comuns para os
servios
PMTUD: Se durante uma comunicao alguma estao enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, ento
ser necessrio que haja algum mecanismo para avisar que esta estao
dever diminuir o tamanho dos pacotes para que a comunicao ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediarios e a adequao dos
pacotes posteriores chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade est presente em todos roteadores,
sistemas Unix e no Mikrotik ROS.

MRRU: Tamanho mximo do pacote, em bytes, que poder ser recebido

pelo link. Se um pacote ultrapassa esse valor ele ser dividido em pacotes
menores, permitindo o melhor dimensionamento do tnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre tnel simples. Essa
configurao til para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.

9 - Tuneis e VPN 104

 PPP Definies Comuns para os
servios
Change MSS: Maximun Segment Size, tamanho mximo do segmento de
dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o
tnel est estabelecido deve ser fragmentado antes de envi-lo. Em alguns
caso o PMTUD est quebrado ou os roteadores no conseguem trocar
informaes de maneira eficiente e causam uma srie de problemas com
transferncia HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona
ferramentas onde possvel interferir e configurar uma diminuio do MSS
dos prximos pacotes atravs do tnel visando resolver o problema.

9 - Tuneis e VPN 105

 PPPoE Cliente e Servidor
PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato
da rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui
informaes sobre o remetente e o destinatrio, desperdiando mais banda.
Cerca de 2% a mais.

Muito usado para autenticao de clientes com base em Login e Senha. O

PPPoE estabelece sesso e realiza autenticao com o provedor de acesso a
internet.

O cliente no tem IP configurado, o qual atribudo pelo Servidor

PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No Mikrotik no obrigatrio o uso de Radius pois o mesmo
permite criao e gerenciamento de usurios e senhas em uma tabela local.

PPPoE por padro no criptografado. O mtodo MPPE pode ser usado

desde que o cliente suporte este mtodo.

9 - Tuneis e VPN 106

 PPPoE Cliente e Servidor
O cliente descobre o servidor
atravs do protocolo pppoe
discovery que tem o nome do
servio a ser utilizado.
Precisa estar no mesmo
barramento fsico ou os
dispositivos passarem pra
frente as requisies PPPoE
usando pppoe relay.

No Mikrotik o valor padro do Keepalive Timeout 10, e funcionar

bem na maioria dos casos. Se configurarmos pra zero, o servidor
no desconectar os
clientes at que os mesmos solicitem ou o servidor for reiniciado.

9 - Tuneis e VPN 107

 Passos para criar o PPPoE server
1) Criar o Pool

2) Criar o servidor de PPPoE

3) Ajustar ou criar um novo perfil

4) Criar usurios

9 - Tuneis e VPN 108


Criando um Pool
Esses so os endereos que sero entregues ao clientes que se conectarem no
servidor de PPPoE.

Para fins de organizao iremos reservar o primeiro IP utilizvel para usarmos em

nosso roteador (no nosso caso o 10.1.1.1).

Tambem iremos fazer uma reserva de endereo para cliente que por ventura
precisarem de IP fixo (no nosso caso do 10.1.1.241 at o 10.1.1.254)

9 - Tuneis e VPN 109

 Criando o PPPoE server
Service Name = Nome que os clientes vo procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai escutar.

9 - Tuneis e VPN 110

 Criando um novo perfil
Name = Nome de identificao do perfil

Local Address = Endereo que ser utilizado no servidor de PPPoE

Remote Address = Endereos que sero entregues ao clientes que se

conectarem(nesse caso selecionamos o pool previamente criado).

9 - Tuneis e VPN 111


Criando
Adicione um usurio e senha
um usurio
Obs.: Caso queira verificar o MAC-Address, adicione em Caller ID.
Esta opo no obrigatria, mas um parmetro a mais para
segurana.

9 - Tuneis e VPN 112

Mais sobre perfis
Bridge: Bridge para associar ao perfil

Incoming/Outgoing Filter: Nome do canal do

firewall para pacotes entrando/saindo.

Address List: Lista de endereos IP para

associar ao perfil.

DNS Server: Configurao dos servidores DNS a

atribuir aos clientes.

Use Compression/Encryption/Change TCP MSS:

caso estejam em default, vo associar ao valor que
est configurado no perfil default-profile.

9 - Tuneis e VPN 113

Mais sobre perfis
Session Timeout: Durao mxima de uma
sesso PPPoE.

Idle Timeout: Perodo de ociosidade na

transmisso de uma sesso. Se no houver
trfego IP dentro do perodo configurado, a
sesso terminada.

Rate Limit: Limitao da velocidade na forma

rx-rate/tx-rate. Pode ser usado tambm na
forma rx-rate/tx-rate rx-burst-rate/tx-burstrate
rx-burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.

Only One: Permite apenas uma sesso para o

mesmo usurio.

9 - Tuneis e VPN 114

Mais sobre o database
Service: Especifica o servio disponvel para este
cliente em particular.

Caller ID: MAC Address do cliente.

Local/Remote Address: Endereo IP Local (servidor)

e remote(cliente) que podero ser atribudos a um
cliente em particular.

Limits Bytes IN/Out: Quantidade em bytes que o

cliente pode trafegar por sesso PPPoE.

Routes: Rotas que so criadas do lado do servidor

para esse cliente especifico. Vrias rotas podem ser
adicionadas separadas por vrgula.

9 - Tuneis e VPN 115

 Mais sobre o PPoE Server
O concentrador PPPoE do Mikrotik suporta mltiplos servidores
para cada interface com diferentes nomes de servio. Alm do
nome do servio, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes Mikrotik, a interface de rdio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.

Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que
1500 bytes. A opo One Session Per Host permite somente uma sesso por host(MAC
Address). Por fim, Max Sessions define o nmero mximo de sesses que o
concentrador suportar.

9 - Tuneis e VPN 116

 Configurando o PPPoE Client

AC Name: Nome do concentrador. Deixando em branco conecta

em qualquer um.
Service: Nome do servio designado no servidor PPPoE.
Dial On Demand: Disca sempre que gerado trfego de sada.
Add Default Route: Adiciona um rota padro(default).
User Peer DNS: Usa o DNS do servidor PPPoE.
9 - Tuneis e VPN 117
 Tneis IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio
protocolo IP baseado na RFC 2003. um protocolo simples que
pode ser usado pra interligar duas intranets atravs da internet
usando 2 roteadores.

A interface do tnel IPIP aparece na lista de interfaces como se

fosse uma interface real.

Vrios roteadores comerciais, incluindo CISCO e roteadores

baseados em Linux suportam esse protocolo.

Um exemplo prtico de uso do IPIP seria a necessidade de

monitorar hosts atravs de um NAT, onde o tnel IPIP colocaria a
rede privada disponvel para o host que realiza o monitoramento,
sem a necessidade de criar usurio e senha como nas VPNs.

5 - Tuneis e VPN 118

 Tneis IPIP

Supondo que temos que unir as redes que

esto por trs dos roteadores 10.0.0.1 e
22.63.11.6. Para tanto basta criemos as
interfaces IPIP em ambos, da seguinte forma:
5 - Tuneis e VPN 119
 Tneis IPIP
Agora precisamos atribuir os IPs as interfaces
criadas.

Aps criado o tnel IPIP as redes fazem parte

do mesmo domnio de broadcast.

5 - Tuneis e VPN 120

 Tneis EoIP

EoIP(Ethernet over IP) um protocolo

proprietrio Mikrotik para encapsula mento
de todo tipo de trfego sobre o protocolo IP.

Quando habilitada a funo de Bridge dos roteadores que esto interligados

atravs de um tnel EoIP, todo o trfego passado de uma lado para o outro de
forma transparente mesmo roteado pela internet e por vrios protocolos.

O protocolo EoIP possibilita:

- Interligao em bridge de LANs remotas atravs da internet.
- Interligao em bridge de LANs atravs de tneis criptografados.

A interface criada pelo tnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet atravs do protocolo GRE.

5 - Tuneis e VPN 121

 Tneis EoIP
Criando um tnel EoIP entre as
redes por trs dos roteadores
10.0.0.1 e 22.63.11.6.

Os MACs devem ser diferentes

e estar entre o rage: 00-00-5E-
80-00-00 e 00-00-5E-FF-FF-FF,
pois so endereos reservados
para essa aplicao.

O MTU deve ser deixado em

1500 para evitar fragmentao.

O tnel ID deve ser igual para

ambos.

5 - Tuneis e VPN 122

 Tneis EoIP

Adicione a interface EoIP a bridge,

juntamente com a interface que far
parte do mesmo domnio de broadcast.

5 - Tuneis e VPN 123

 Diagrama para VLAN
R1 R2
VLAN 50 VLAN 50
3 Cabo Ethernet 3
VLAN 10 VLAN 10

5 1 1 5

Rede 10
Rede 10
10.10.10.1/24
10.10.10.2/24

Rede 50
Rede 50 10.50.50.1/24
10.50.50.2/24

5 - Tuneis e VPN 121

Perguntas ?

5 - Tuneis e VPN 125