Apostila MTCRE
Apostila MTCRE
Apostila MTCRE
Modulo MTCRE
(MikroTik Certified Routing Engineer)
Mdulos MikroTik
1- Introduo 2
Agenda
Treinamento das 08:30hs s 18:30hs
1- Introduo 3
Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.
1- Introduo 4
Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
1- Introduo 5
Objetivos do curso
Abordar todos os tpicos necessrios para o
exame de certificao MTCRE.
Prover um viso geral sobre roteamento e
tneis.
Fazer uma abordagem simples e objetiva de
como planejar e implementar uma rede
roteada com foco em segurana e
performance.
1- Introduo 6
Winbox
Winbox uma utilitrio usado para acessar o
RouterOS via MAC ou IP.
Usurio padro admin e senha vazio.
1- Introduo 7
Primeiros passos
Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.
Caso voc no tenha o utilitrio winbox no seu
computador faa o seguinte:
Altere seu computador para Obter endereo IP
automaticamente.
Abra o navegador e digite 192.168.88.1.
No menu a esquerda clique na ultima opo (logout).
Agora na pagina de login , clique sobre o aplicativo
winbox e salve no seu computador.
1- Introduo 8
Resetando seu router
Abra o winbox clique em
Clique no endereo MAC ou IP.
No campo Login coloque admin.
No campo Password deixe em branco.
Clique em connect.
Nos Menus a esquerda clique em New Terminal.
Com terminal aberto digite:
/system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.
1- Introduo 9
Diagrama da rede Internet
1- Introduo 11
Identifique as interfaces
1- Introduo 12
Criando a Bridge
Adicione uma bridge e renomeie para bridge-rede-local
1- Introduo 13
DHCP Client no Windows
1- Introduo 14
Observaes do ambiente em bridge
Todos os hosts ficaram no mesmo domnio de
broadcast, logo esto na mesma rede.
1- Introduo 15
Planejando a rede roteada
Devemos segregar nossa rede em varias sub-
redes.
1- Introduo 16
Backup
Apague todos os arquivos no menu files.
Faa um backup com nome topoligia-1 e salve
seu computador.
1- Introduo 18
Introduo ao roteamento
2- Introduo ao roteamento 19
Resumo
Funcionamento bsico de um Roteador.
Fundamentos de Roteamento.
Tipos de rotas.
Rotas diretamente conectadas.
Quando o processo roteamento utilizado?
Principais campos de uma rota.
Funcionamento padro (nexthop-lookup).
Escolha da melhor rota (Rota mais especficas).
Exemplos de ambientes roteados (Exemplo 1,2,3).
Roteamento esttico
ECMP - Equal cost multi path
Polticas de Roteamento (routing-mark)
Check-gateway e Distance
Scope e Target Scope (alcance recursivo)
Campo de Pref. Source
Campo Type
2- Introduo ao roteamento 20
O que roteamento
Em termos gerais, o
roteamento o
processo de encaminhar
pacotes entre redes
conectadas.
2- Introduo ao roteamento 22
Quando o processo roteamento utilizado?
Sempre que dois hosts em redes distintas
precisarem se comunicar, eles iro depender de
um roteador para que tal comunicao ocorra.
192.168.1.201/24
192.168.1.1/24
192.168.20.1/24 192.168.20.2/24
R1 S1
2- Introduo ao roteamento 23
Laboratrio para fixar
Adicione um DHCP-Client na bridge ( IP => DHCP-Client).
Aps fazer tal alterao vamos tentar pingar para esse host 192.168.1.50.
Analisando o resultado
Os dispositivos que estavam em sub-redes diferentes conseguiram se
comunicar diretamente?
1- Introduo 24
Introduo a roteamento
1- Introduo 25
Analogia do processo de roteamento
Roteador
Roteador Roteador
Tabela de roteamento
Tabela de roteamento
Tabela de roteamento
Cidade C
Cidade B Cidade D
Roteador
Gateway Gateway
Tabela de roteamento
Roteador Roteador
Tabela de roteamento
Cidade E Tabela de roteamento
Cidade A Cidade F
Origem Destino
1- Introduo 26
TTL
TTL o limite mximo de saltos que um pacote pode dar at ser descartado;
O valor padro do TTL 64 e cada roteador decrementa este valor em um antes de pass-lo
adiante;
O menu Firewall Mangle pode ser usado para manipular este parmetro;
Esta opo muito til para evitar que usurios criem rede com nat a partir da sua rede.
TTL=60
TTL=64
2- Introduo ao roteamento 27
Alterando o TTL
Regra no Firewall Mangle
Antes
Depois
1- Introduo 28
Principais campos de uma rota
Os dois principais campos de uma rota so:
- Dst. Address = Rede ou IP de destino
- Gateway = IP ou interface que ser utilizado como gateway.
2- Introduo ao roteamento 29
Laboratrio para fixar
Crie uma rota conforme a imagem, lembrando que o gateway
10.1.1.1 no est diretamente conectado.
Analisando o resultado
1- Introduo 30
Check-gateway
A funcionalidade Check-gateway ir verificar se o gateway alcanvel
atravs de ICMP ou ARP.
LAB
Mude o campo Check Gateway
conforme a imagem e observe
em quanto tempo a rota ser
considerada inalcanvel.
2- Introduo ao roteamento 31
Funcionamento bsico de um Roteador
Roteador
Roteador recebe rotas por:
Protocolos de
roteamento Rotas estticas
dinmico
2- Introduo ao roteamento 32
Funcionamento bsico de um Roteador
2- Introduo ao roteamento 33
Fundamentos de Roteamento
Routing Information Base (RIB)
Uma rota inserida na RIB, sempre que um protocolo aprende uma nova rota.
2- Introduo ao roteamento 34
Fundamentos de Roteamento
Forwarding Information Base (FIB)
A FIB a base de dados que contm uma cpia das informaes necessrias para o
A FIB contm todas as rotas que podem potencialmente serem anunciadas aos
Por padro no RouterOS todas as rotas ativas esto na main-table que pode ser
roteamento dinmico.
2- Introduo ao roteamento 35
Tipos de rotas
Flag/Sigla Significado da sigla Tipo de rota
A Active Rota ativa
C Connected Rota diretamente conectada
S Static Rota esttica
D Dynamic Rota dinmica
B Blackhole Rota do tipo buraco negro
U Unreable Rota inalcanvel
P Prohibit Rota do tipo proibida
o OSPF Rota aprendida via OSPF
b BGP Rota aprendida via BGP
r RIP Rota aprendida via RIP
m MME Rota aprendida via MME
2- Introduo ao roteamento 36
Campo Type
Blackhole: Descarta o pacote
silenciosamente.
2- Introduo ao roteamento 37
Funcionamento padro (nexthop-lookup)
Pacote IP
Origem Destino
192.168.1.99 8.8.8.8 Tabela de rotas
Tudo que for Encaminhe para
O roteador executa uma tarefa destinado a: o roteador:
(Dst. Address) (Gateway)
chamada nexthop-lookup
0.0.0.0/0 192.168.1.1
(pesquisa de prximo salto)
para cada pacote que passa por 10.10.10.0/24 192.168.4.1
ele. 10.172.0.0/23 10.172.4.1
Lembrando que essa busca 8.8.0.0/16 10.172.5.1
sempre ser feita varrendo
todas as entradas da FIB.
2- Introduo ao roteamento 38
Escolha da melhor rota
Para cada encaminhamento o roteador faz um
leitura completa da tabela de rotas.
8.8.0.0/16 10.172.5.1
uma rota para o
determinado destino.
2- Introduo ao roteamento 39
Rota mais especficas
Mais especficas
/32
/24
/16
/8
/0
Menos especficas
2- Introduo ao roteamento 40
Diagrama simples para roteamento
1.1.1.1/30 1.1.1.2/30
R1 R2
10.1.1.1/24 10.2.2.1/24
Rede 1 Rede 2
10.2.2.0/24
10.1.1.0/24
10.2.2.2/24
10.1.1.2/24
6 - Roteamento 41
Exemplo 2 de roteamento
10.4.4.0/24
10.1.1.0/24
10.4.4.2/24
10.1.1.2/24
Exemplo 3 de roteamento
R2
/30 /30
R1 R4
R3
10.1.1.2/24 10.2.2.2/24
2- Introduo ao roteamento 44
ECMP - Equal cost multi path
O roteador nesse caso ter 2 gateways e estar
fazendo um balanceamento de carga simples
entre os 2 Links utilizando ECMP.
Link 1 Link 2
2- Introduo ao roteamento 45
Diagrama da rede
172.30.G.9/30 172.30.G.2/30
ether1 ether5
172.30.GR.1/24 172.30.GR.1/24
ether3 R3 R2 ether3
ether5 ether1
172.30.G.6/30 172.30.G.5/30
172.30.GR.2/24 172.30.GR.2/24
Rede LAN Rede LAN
172.30.GR.0/24 172.30.GR.0/24
2- Introduo ao roteamento
Roteamento dinmico
3 - Roteamento dinmico 47
Roteamento Dinmico
3 - Roteamento dinmico 48
Autonomous System
Um AS o conjunto de redes IP e roteadores sobre o controle
de uma mesma entidade (OSPF, iBGP ,RIP) que representam
uma nica poltica de roteamento para o restante da rede;
3 - Roteamento dinmico
Roteamento dinmico - BGP
O protocolo BGP destinado a fazer
comunicao entre AS(Autonomos
System) diferentes, podendo ser
considerado como o corao da
internet.
O BGP mantm uma tabela de
prefixos de rotas contendo
informaes para se encontrar
determinadas redes entre os ASs.
A verso corrente do BGP no Mikrotik
a 4, especificada na RFC 1771.
3 - Roteamento dinmico 50
OSPF
O protocolo OSPF utiliza o estado do link e o
algoritmo de Dijkstra para construir e calcular o
menor caminho para todos destinos conhecidos na
rede.
3 - Roteamento dinmico
Diagrama da rede
Internet
172.30.254.254/24
R3 R2
2- Introduo ao roteamento
LAB - OSPF bsico
Objetivo Fechar uma sesso OSPF com cada um dos seus
vizinhos e conseguir alcanar todos.
3 - Roteamento dinmico 53
Distncias padres
Protocolo Distancia
connected 0
static 1
eBGP 20
OSPF 110
RIP 120
MME 130
iBGP 200
2- Introduo ao roteamento 54
Networks (redes) OSPF
Ao adicionar uma rede em /routing ospf network o
roteador far o seguinte:
- Ativar OSPF nas interfaces que tem um endereo
de IP que estiver no range da rede adicionada.
- Enviar a rede adicionada para os outros
roteadores.
3 - Roteamento dinmico 55
Neighbours (vizinhos) OSPF
Os roteadores OSPF encontrados esto listados na aba Neighbours
(vizinhos);
3 - Roteamento dinmico 56
Designated router OSPF
Para reduzir o trfego OSPF em redes broadcast e NBMA (Non-Broadcast Multiple Access), uma nica
fonte para atualizao de rotas criado Os roteadores designados(DR).
Um DR mantm uma tabela completa da topologia da rede e envia atualizaes para os demais
roteadores.
Caso a prioridade for igual em todos os roteadores, o DR ser eleito usando o maior valor
especificado no routerID
1
3 BDR
DR 5
0 1 1
3 - Roteamento dinmico 57
Router ID e loopback
Cada roteador precisa ser identificado na rede com um
ID nico, caso esse ID no for especificado
manualmente o roteador usar o maior IP que existir
em sua IP list.
uma boa prtica utilizar o endereo de loopback
como RouterID
2 Colar no Roter ID
3 - Roteamento dinmico 58
OSPF Instance
Router ID: Geralmente o IP do roteador. Caso no seja especificado o roteador usar o maior IP que exista na
interface.
Redistribute Connected Routes: O roteador ir distribuir todas as rotas estejam diretamente conectadas a ele.
Redistribute Static Routes: Caso habilitado, distribui as rotas cadastradas de forma esttica em /ip routes.
Redistribute RIP Routes: Caso habilitado, redistribui as rotas aprendidas por RIP.
Redistribute BGP Routes: Caso habilitado, redistribui as rotas aprendidas por BGP.
Na aba Metrics possvel modificar as mtricas que sero exportadas as diversas rotas.
3 - Roteamento dinmico 59
Mtrica tipo 1
Mtrica do tipo 1 soma o custo externo com o custo interno.
Cost=10
Cost=10
Cost=10 Cost=10
Total
Cost=40
Origem
Total Cost=10
Cost=49 Cost=10
Cost=9
Destino
ASBR
3 - Roteamento dinmico 60
Mtrica tipo 2
Mtrica do tipo 2 usa somente o custo externo.
Cost=10
Custo total=10
Origem
Custo total=9
Cost=9 Destino
ASBR
3 - Roteamento dinmico 61
OSPF Custo de interfaces
Por padro todas interfaces tem custo 10.
Para alterar este padro voc deve adicionar interfaces de
forma manual.
Escolha o tipo de rede correta para todas interfaces OSPF.
Atribua custos para garantir o trfego em uma nica direo
dentro da rea.
Verifique rotas ECMP em sua tabela de roteamento.
Atribua custos necessrios para que o link backup s seja
usado caso outros links falhem.
Verifique a redundncia da rede OSPF.
3 - Roteamento dinmico 62
Diagrama da rede
R4 R1
R3 R2
3 - Roteamento dinmico
OSPF - Tipos de rede
Trs tipos de rede so definidas no protocolo
OSPF:
Point to point (no h eleio de DR e BDR)
Broadcast
3 - Roteamento dinmico 64
NBMA Neighbors
Em redes no-broadcast necessrio especificar os
neighbors manualmente.
A prioridade determina a chance do router ser eleito
DR.
3 - Roteamento dinmico 65
Interface Passiva
O modo passivo permite desativar as mensagens
de Hello enviadas pelo protocolo OSPF as
interfaces dos clientes (desativa OSPF na
interface).
Portanto ativar este recurso sinnimo de
segurana.
3 - Roteamento dinmico 66
OSPF autenticao
O Mikrotik suporta os seguintes mtodos de
autenticao.
- Nome: No utiliza mtodo de autenticao.
- Simples: Autenticao em texto plano.
- MD5: Autenticao com encriptao md5.
3 - Roteamento dinmico 67
reas OSPF
A criao de reas permite voc agrupar uma coleo de
roteadores (indicado nunca ultrapassar 50 roteadores por
area).
4 - reas do OSPF 68
rea de backbone
A rea backbone o corao da rede OSPF. Ela
possui o ID (0.0.0.0) e deve sempre existir.
4 - reas do OSPF 69
Exemplo de AS e vrias reas
4 - reas do OSPF 70
Tipos de roteadores no OSPF
Tipos de roteadores em OSPF so:
Roteadores internos a uma rea (IR).
Roteadores de backbone (rea 0).
Roteadores de borda de rea (ABR).
OS ABRs devem ficar entre duas reas e devem tocar a
rea 0.
Roteadores de borda Autonomous System (ASBR).
So roteadores que participam do OSPF mas
fazem comunicao com um AS.
4 - reas do OSPF 71
AS OSPF
Internet
ASBR
ABR Area
Area
ABR ABR
Area Area
ASBR
Internet
4 - reas do OSPF 72
Separando as redes e reas
Altere a rea para o seu nmero do grupo (seu
nmero G).
Os roteadores que so ABR devem ter duas reas
configuradas(rea 0 e rea G).
Roteador comum Roteador ABR
4 - reas do OSPF 73
Agregao de reas
4 - reas do OSPF 74
Virtual Link
Utilizado conectar reas remotas ao backbone atravs de
reas no-backbone;
4 - reas do OSPF 75
Virtual Link
4 - reas do OSPF 76
LSA
Tipo 1 Router
H um para cada roteador da rea, e no ultrapassa a rea.
Tipo 2 Network
gerado pelo DR e circula apenas pela rea, no atravessa o ABR
Tipo 5 AS External
Usado para transportar redes de outro AS e no so enviados para reas STUB e NSSA
Tipo 7
So gerados em reas NSSA pelo ASBR e o ABR (caso configurado converte em LSA do
tipo 5 para outras reas
4 - reas do OSPF 77
rea Stub
Uma rea Stub uma rea que no
recebe rotas de AS externos;
Tipicamente todas rotas para os AS
externos so substitudas por uma
rota padro. Esta rota ser criada
automaticamente por distribuio do
ABR;
A opo Inject Summary LSA
permite especificar se os sumrios de
LSA da rea de backbone ou outras
reas sero reconhecidos pela rea
stub;
Habilite esta opo somente no ABR;
O custo padro dessa rea 1;
4 - reas do OSPF 78
rea Stub
No recebe, nem transporta rotas externas.
4 - reas do OSPF 79
rea Totaly Stub
No recebe, nem transporta rotas externas.
No recebe rotas de outras reas.
4 - reas do OSPF 80
rea NSSA
Um rea NSSA um tipo de rea stub que tem
capacidade de injetar transparentemente rotas para o
backbone;
4 - reas do OSPF 81
rea NSSA
4 - reas do OSPF 82
Problemas com tneis
ABR
PPPoE
server
PPPoE
server
4 - reas do OSPF 83
Filtros de Roteamento
possvel criar um filtro de rotas para evitar que
todas rotas /32 se espalhem pela rede OSPF;
Para isto necessrio voc ter uma rota agregada
para esta rede tneis:
Uma boa forma de ser fazer isso atribuindo o
endereo de rede da rede de tneis agregada a
interface do concentrador.
4 - reas do OSPF 84
Filtros OSPF
4 - reas do OSPF 85
Resumo OSPF
Para segurana da rede OSPF:
Use chaves de autenticao;
Use a maior prioridade(255) para os DR;
Use interfaces passiva para rede dos usurios/clientes.
Para aumentar a performance da rede OSPF:
Use o tipo correto de rea;
Use o tipo correto de rede para as reas;
Use agregao de reas sempre que possvel;
Use filtros de roteamento sempre que necessrio.
Utilize sempre como boa prtica a interface loopback
4 - reas do OSPF 86
Campo de Pref. Source
Link 1
1.1.1.1/24
1.1.1.2/24
1.1.1.3/24
2- Introduo ao roteamento 87
Scope e Target Scope (alcance recursivo)
Alcance outras rotas
Alcance padro da rota Tipo de rota com no mximo
0 - 10 10
0 - 20 10
0 - 30 10
0 - 40 10
0 - 40 30
0 - 200
2- Introduo ao roteamento 88
Scope e Target Scope (alcance recursivo)
Alcance outras rotas
Alcance da rota com no mximo
2- Introduo ao roteamento 89
Tneis e VPN
9 - Tuneis e VPN 90
VPN
Uma Rede Privada Virtual uma rede de
comunicaes privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituies, construdas em
cima de uma rede pblica. O trfego de
dados levado pela rede pblica utilizando
protocolos padro, no necessariamente
seguros.
9 - Tuneis e VPN 91
VPN
As principais caractersticas da VPN so:
Promover acesso seguro sobre meios fsicos pblicos
como a internet por exemplo.
Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
Promover acesso seguro a servios em ambiente
corporativo de correio, impressoras, etc...
Fazer com que o usurio, na prtica, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurana definidos.
A base da formao das VPNs o tunelamento entre dois
pontos, porm tunelamento no sinnimo de VPN.
9 - Tuneis e VPN 92
Tunelamento
A definio de tunelamento a capacidade de criar tneis entre dois
hosts por onde trafegam dados.
O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
PPP (Point to Point Protocol)
PPPoE (Point to Point Protocol over Ethernet)
PPTP (Point to Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
OVPN (Open Virtual Private Network)
IPSec (IP Security)
Tneis IPIP
Tneis EoIP
Tneis VPLS
Tneis TE
Tneis GRE
9 - Tuneis e VPN 93
Site-to-site
9 - Tuneis e VPN 94
Conexo remota
9 - Tuneis e VPN 95
Endereamento ponto a ponto /32
Geralmente usado em tneis
Pode ser usado para economia de IPs.
Router 1 Router 2
9 - Tuneis e VPN 96
Diagrama de VPN
Internet
IP pblico
IP da VPN 172.25.2.1
IP pblico 2.2.2.2
172.25.1.1 IP da VPN
1.1.1.1
DST GW DST GW
10.1.2.0/24 2.2.2.2 10.1.1.0/24 1.1.1.1
9 - Tuneis e VPN 97
Ativando o um roteador como servidor
de VPN
9 - Tuneis e VPN 98
Criando o usurio para o PPTP Client
IP que ser atribudo para o host remoto quanto o usurio teste se conectar
9 - Tuneis e VPN 99
Criando o PPTP Client
Status no client
Status no servidor
Status no client
Status no servidor
9 - Tuneis e VPN 102
PPP Definies Comuns para os
servios
MTU/MRU: Unidade mximas de transmisso/ recepo em
bytes. Normalmente o padro ethernet permite 1500 bytes.
Em servios PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentao.
4) Criar usurios
Tambem iremos fazer uma reserva de endereo para cliente que por ventura
precisarem de IP fixo (no nosso caso do 10.1.1.241 at o 10.1.1.254)
Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que
1500 bytes. A opo One Session Per Host permite somente uma sesso por host(MAC
Address). Por fim, Max Sessions define o nmero mximo de sesses que o
concentrador suportar.
A interface criada pelo tnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet atravs do protocolo GRE.
5 1 1 5
Rede 10
Rede 10
10.10.10.1/24
10.10.10.2/24
Rede 50
Rede 50 10.50.50.1/24
10.50.50.2/24