o i d u t s E e d o r b i L RouterOS RouterOS v6.36.0 Ruteo Avanzado
Views 137 Downloads 5 File size 5MB
o i d u t s E e d o r b i L
RouterOS RouterOS v6.36.0
Ruteo Avanzado Avanzado y Alta Disponibilidad con MikroTik RouterOS por Mauro Escalante
Ruteo Estático Simple, ECMP OSPF,VLAN, QinQ VRRP, VPN
RIB default-route connected-route FIB Ruteo Simple ECMP check-gateway distancia routing-mark route-policy Balanceo de Carga TTL next-hope recursivo scope target-scope OSPF hello-protocol database-distribution LSA AS Areas backbone stub NSSA ASBR ABR IR DR&BDR virtual-links Networks Neighbours Métrica Externa Type1 Type2 Costos Priority VLAN 802.1Q QinQ Direccionamento /30 /32 EoP&Brindging VRRP Master/Backup VPN pip eoip ppt
Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS v6.36.0.01 Libro de Estudio & Manual de Laboratorio
ABC Xperts ® Network Xperts ® Academy Xperts ®
Derechos de autor y marcas registradas Todos los derechos de autor y marcas registradas son propiedad del titular de los derechos de autor respectivo
Derechos de autor © por Academy Xperts Todos los derechos reservados. Ninguna parte de este libro puede ser reproducido, almacenado, o transmi tido por cualquier medio ya sea este un auditorio, medio gráfico, mecánico, o electrónico sin el permiso escrito del autor, excepto en los casos en que se utilicen breves extractos para usarlos en artículos o revisiones. La reproducción no autorizada de cualquier parte de este libro es ilegal y sujeta a sanciones legales.
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
Tabla de Contenido Introducción ........................................................................................................................................................ iv Resumen ........................................................................................................................................................................... v Audiencia ...........................................................................................................................................................................v Convenciones usadas en este libro...................................................................................................................................v Comentarios y preguntas ................................................................................................................................................. vi
Partners de Academy Xperts en Latinoamérica ............................................................................................. vii Empresas Asociadas ....................................................................................................................................................... vii Universidades e Institutos Superiores ............................................................................................................................. vii Deseas convertirte en Academia o ser Partner de Academy Xperts? ............................................................................ vii Un poco de Historia (Costa Rica) ................................................................................................................................... viii Cubriendo un País con MikroTik. ........................................................................................................................... viii
Detalle de cambios en las cinco últimas versiones de RouterOS ................................................................. ix v6.36, 20/Julio/2016, 14:09 ...................................................................................................................................... ix v6.35.4, 09/Junio/2016, 12:02 ................................................................................................................................ xiii v6.35.3, 01/Junio/2016, 07:55 ................................................................................................................................ xiv v6.35.2, 02/Mayo/2016, 10:09 ................................................................................................................................ xiv v6.35.1, 26/Abril/2016, 09:29.................................................................................................................................. xiv
Capítulo 1: Ruteo en RouterOS .......................................................................................................................... 1 RIB – Routing Information Base ....................................................................................................................................... 1 Ruta por Default ....................................................................................................................................................... 2 Rutas Conectadas .................................................................................................................................................... 2 Ruta Multipath (ECMP) ............................................................................................................................................. 2 Rutas con interface como Gateway.......................................................................................................................... 2 Selección de Ruta .................................................................................................................................................... 2 Criterio para la sección de las rutas candidatas ....................................................................................................... 3 Nexthop lookup......................................................................................................................................................... 3 FIB – Forwarding Information Base .................................................................................................................................. 4 Tabla de ruteo lookup ............................................................................................................................................... 4 Propiedades de la Tabla de Ruteo ................................................................................................................................... 5 Etiquetas de ruta ...................................................................................................................................................... 5 Propiedades generales............................................................................................................................................. 6 Propiedades de solo-lectura ..................................................................................................................................... 7 Propiedades de Ruta BGP ....................................................................................................................................... 7 Propiedades de solo-lectura ..................................................................................................................................... 8
Capítulo 2: Ruteo Estático Simple ..................................................................................................................... 9 Ruteo Simple .................................................................................................................................................................... 9 Lab. 2.1 – Ruteo Estático ................................................................................................................................................. 9 Objetivos ................................................................................................................................................................... 9 Actividades a realizar ............................................................................................................................................... 9 Rutas ECMP (Equal Cost Multi Path) ............................................................................................................................. 11 Opción “Check-gateway” ........................................................................................................................................ 12 Lab. 2.2 – Ruteo ECMP .................................................................................................................................................. 12 Objetivos ................................................................................................................................................................. 12 Actividades a realizar ............................................................................................................................................. 12 Lab. 2.3.1 – Ruteo ECMP para balanceo de carga ........................................................................................................ 12 Objetivos ................................................................................................................................................................. 12 Actividades a realizar ............................................................................................................................................. 12 Lab. 2.3.2 – Ruteo ECMP para balanceo de carga Asimétrico ...................................................................................... 13 Objetivos ................................................................................................................................................................. 13 Actividades a realizar ............................................................................................................................................. 13 Opción “distancia”........................................................................................................................................................... 13 Lab. 2.4 – Distancia de ruta ............................................................................................................................................ 13 Ejemplo de configuración ....................................................................................................................................... 14 Routing Mark .................................................................................................................................................................. 14 Lab.2.5 - Política de Ruteo (routing mark)...................................................................................................................... 14 Time To Live (TTL) ......................................................................................................................................................... 15 Resolviendo el Next-Hop Recursivo ............................................................................................................................... 16 Scope / Target-Scope ............................................................................................................................................. 16 Otras Opciones....................................................................................................................................................... 16 Clean-up ................................................................................................................................................................. 16
Capítulo 3: OSPF ............................................................................................................................................... 17 Protocolo OSPF.............................................................................................................................................................. 17 Academy Xperts
i
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
Configurando OSPF en MikroTik ............................................................................................................................ 18 Métrica OSPF ......................................................................................................................................................... 25 Métrica Externa Type 1 .......................................................................................................................................... 26 Métrica Externa Type 2 .......................................................................................................................................... 26 Costo de Interface .................................................................................................................................................. 26 Systema Autónomo (AS) ................................................................................................................................................ 27 Áreas .............................................................................................................................................................................. 28 Área de Backbone .................................................................................................................................................. 28 Router de Backbone ............................................................................................................................................... 29 Área o Área Regular ............................................................................................................................................... 29 Router Interno......................................................................................................................................................... 30 Router de Borde de Área (ABR: Area Border Router) ............................................................................................ 30 Router de Límite de Sistema Autónomo (ASBR: Autonomous System Boundary Router) .................................... 30 Stub Area................................................................................................................................................................ 30 Totally Stub Area .................................................................................................................................................... 30 Not So Stubby Area (NSSA) ................................................................................................................................... 31 Base de Datos Topológica OSPF................................................................................................................................... 31 Tipos de Rutas OSPF ..................................................................................................................................................... 31 Cómo trabaja OSPF ....................................................................................................................................................... 32 La cabecera OSPF ................................................................................................................................................. 32 Neighbor Discovery: Protocolo Hello (OSPF Packet Type 1) ................................................................................. 33 Elección DR/BDR ................................................................................................................................................... 35 Estado de la Interface (Interface State) .................................................................................................................. 36 Relación de vecino (Neighbor Relationship) .......................................................................................................... 36 Intercambio de Base de Datos (Database Exchange) ........................................................................................... 36 Inundación (Flooding) de LSAs .............................................................................................................................. 40 Sumarización de Rutas .................................................................................................................................................. 40 Rutas por Default (Default Routes) ........................................................................................................................ 40 Virtual Links (Enlaces Virtuales) ..................................................................................................................................... 41 Stub Area, Totally Stubby Area, y Not So Stubby Area .................................................................................................. 42 Stub Area................................................................................................................................................................ 42 Totally Stubby Area ................................................................................................................................................ 44 NSSAs .................................................................................................................................................................... 44 Redes NBMA .................................................................................................................................................................. 45 Diseño de una red OSPF ............................................................................................................................................... 46 Jerarquía OSPF ...................................................................................................................................................... 46 Direccionamiento IP ............................................................................................................................................... 46 Router ID ................................................................................................................................................................ 46 DR/BDR .................................................................................................................................................................. 46 Area de Backbone .................................................................................................................................................. 46 Número de routers en un Area ............................................................................................................................... 46 Número de vecinos ................................................................................................................................................. 46 Sumarización de rutas ............................................................................................................................................ 46 VLSM ...................................................................................................................................................................... 47 Stub Areas .............................................................................................................................................................. 47 Enlaces Virtuales (Virtual Links) ............................................................................................................................. 47 Timers OSPF .......................................................................................................................................................... 47 Haciendo Troubleshooting de OSPF .............................................................................................................................. 47 ID del Area OSPF ................................................................................................................................................... 47 OSPF no inicia........................................................................................................................................................ 47 Verificar las relaciones del vecino .......................................................................................................................... 47 Sumarización de Ruta ............................................................................................................................................ 47 Routers Sobrecargados.......................................................................................................................................... 48 Exceso de SPF (Shortest Path First) ...................................................................................................................... 48 Usando la Base de Datos LS ................................................................................................................................. 48 Bitácora/registros (Logs) de Red ............................................................................................................................ 48 Laboratorio de OSPF ...................................................................................................................................................... 48 Laboratorio Costos OSPF ...................................................................................................................................... 49 Laboratorio Costos OSPF + Nueva Ruta ............................................................................................................... 49 Laboratorio de Area OSPF ..................................................................................................................................... 50
Capítulo 4: Ruteo e Interface Point-to-point ................................................................................................... 51 Virtual LAN (802.1Q) ...................................................................................................................................................... 51 Creando una interfaz VLAN.................................................................................................................................... 51 VLAN en Switch.............................................................................................................................................................. 51 IPIP ......................................................................................................................................................................... 51
Academy Xperts
ii
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
Direccionamiento /30 .............................................................................................................................................. 52 Direccionamiento point-to-point .............................................................................................................................. 52 Tunel Ethernet Over IP (EoIP) ............................................................................................................................... 53 EOIP y Bridging ...................................................................................................................................................... 53
Capítulo 5: VRRP ............................................................................................................................................... 54 VRRP ...................................................................................................................................................................... 54 VRRP Master/Backup ............................................................................................................................................. 54 VRRP: Implementación Básica .............................................................................................................................. 54 VRRP + Internet (router) ......................................................................................................................................... 55 VRRP + Internet (router) ......................................................................................................................................... 55 VRRP + Internet (router) ......................................................................................................................................... 56 VRRP + Internet (router) ......................................................................................................................................... 56 VRRP + Internet (router) ......................................................................................................................................... 57
Capítulo 6: Túneles ........................................................................................................................................... 58 Introducción .................................................................................................................................................................... 58 RouterOS y Túneles ....................................................................................................................................................... 58 /ppp profile (perfiles de usuario) ..................................................................................................................................... 58 /ppp secret (base de datos de usuario) .......................................................................................................................... 60 /ppp active (usuarios activos) ......................................................................................................................................... 61 /ppp aaa (AAA remoto) ................................................................................................................................................... 61 /ppp client (cliente PPP) ................................................................................................................................................. 61 /ip pool ............................................................................................................................................................................ 62 PPPoE ............................................................................................................................................................................ 63 Operación PPPoE .................................................................................................................................................. 64 Tipos de paquetes utilizados .................................................................................................................................. 64 MTU ........................................................................................................................................................................ 65 pppoe client (Cliente PPPoE) ................................................................................................................................. 65 Status ..................................................................................................................................................................... 66 Scanner .................................................................................................................................................................. 66 Configuración del Server PPPoE (Concentrador de Acceso) ................................................................................ 66 PPPoE Server (Servidor PPPoE) ........................................................................................................................... 67 PPTP .............................................................................................................................................................................. 68 PPTP Client (cliente pptp) ...................................................................................................................................... 70 PPTP Server (servidor pptp) .................................................................................................................................. 71 L2TP ............................................................................................................................................................................... 71 L2TP Client (cliente l2tp) ........................................................................................................................................ 72 L2TP Server (servidor l2tp) .................................................................................................................................... 72 Clientes y servidores SSTP ............................................................................................................................................ 73 Clientes y Servidores OpenVPN .................................................................................................................................... 73 Configuración de Rutas entre redes ............................................................................................................................... 74 Preguntas de repaso del Módulo 6 ................................................................................................................................. 74
7 – Repaso Laboratorios Detallados Túneles ................................................................................................. 75 Objetivos y Conceptos previos a túneles IPIP ................................................................................................................ 75 Objetivos: ................................................................................................................................................................ 75 Bases Conceptuales:.............................................................................................................................................. 75 Proceso Túnel IPIP ................................................................................................................................................. 77 Laboratorio 7.1 – Túnel IP-IP ......................................................................................................................................... 78 Laboratorio 7.2 – Túnel EoIP .......................................................................................................................................... 80 Objetivos: ................................................................................................................................................................ 80 Bases Conceptuales:.............................................................................................................................................. 80 Objetivos y Conceptos previos a túneles PPTP ............................................................................................................. 83 Objetivos: ................................................................................................................................................................ 83 Bases Conceptuales:.............................................................................................................................................. 83 Laboratorio 7.3 – Túnel PPTP (R1 Server – R2 Client) .................................................................................................. 84 Laboratorio 7.4 – Túnel PPTP (R1 Client – R2 Server) .................................................................................................. 87 Laboratorio 7.5 – Bridge a través de un túnel PPTP usando BCP ................................................................................. 89 Objetivos: ................................................................................................................................................................ 89 Bases Conceptuales:.............................................................................................................................................. 89 Requerimientos: ..................................................................................................................................................... 89
Academy Xperts
iii
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
Introducción MikroTik es una empresa que nace en Latvia (Letonia) en 1995 con el claro objetivo de proveer un sistema operativo de red altamente robusto y eficiente al cual llamó RouterOS en 1997. La evolución del mismo llevó a la creación y lanzamiento al mercado en el 2002 de un hardware que aprovechara al máximo sus grandes capacidades de multiprocesamiento simétrico y multi-núcleo, este hardware es el RouterBOARD. A lo largo de los años a partir del nacimiento del Internet, los administradores de red hemos visto desfilar varios fabricantes por nuestros racks, siendo Cisco el referente, sin embargo siempre había representado un costo más o menos importante a la hora de implementar una solución de red ruteada en especial si se trataba de un ISP/WISP. No es sino hasta hace una década aproximadamente en que MikroTik se empieza a hacer conocer en Latinoamérica y varios emprendedores, y por sobre entusiastas, se vuelcan a la implementación de soluciones basadas en RouterOS y RouterBOARD. Claro ejemplo de ello son nuestros grandes amigos de Index México (Ezequiel García) y REICO Costa Rica (Miguel Solís) quienes tomaron la iniciativa de confiar en los productos ofrecidos por MikroTik. Es muy interesante y gratificante conversar con ellos y escuchar los relatos sobre los primeros pasos del fabricante letón en tierras americanas. Estoy convencido de que MikroTik llegó no solo para quedarse sino para formar una parte muy importante en la historia del networking y de las telecomunicaciones. De hecho, cientos de miles (quizá millones a esta fecha - Junio 2015) obtienen su internet de banda ancha a un bajo costo a través de una red ruteada gracias a que los proveedores de Internet, pequeños y medianos, pueden estructurar e implementar redes sumamente complejas y completas usando los RouterBOARD. Las soluciones en RouterOS y RouterBOARD no se han quedado estancadas en las empresas de Telecom pequeñas, sino que han ido escalando en credibilidad en las empresa medianas y grandes en Latinoamérica, rompiendo paradigmas de fabricantes y costos de implementación. Este libro nace como un aporte a la comunidad tecnológica de habla hispana y latinoamericana que ha decidido incursionar en MikroTik y desea obtener un conocimiento formal. De igual manera queremos que esta guía constituya una fuente importante de aprendizaje para quienes empiezan a realizar sus primeras configuraciones en RouterOS.
Mauro Escalante CEO Academy Xperts CEO Network Xperts
Academy Xperts
iv
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
Resumen Este libro inicia con laboratorios de ruteo estático en los que aplicando diferentes parámetros de distancia, routing-mark, o haciendo uso de ECMP, se llega a la conclusión de que estas técnicas por si solas no son suficientes para proveer funciones como un failover confiable, o un ruteo dinámico automático. Se realizan varias pruebas valiosas con ECMP que sirven para usos posteriores como Balanceo de Carga con PCC. Si bien es cierto que hasta versión del libro no se profundiza en todos los conceptos que rigen OSPF, sin embargo se realizan sendos laboratorios donde se podrán plasmar las principales funciones del protocolo, no solo entre rutas y routers dentro del mismo área de backbone, sino también con un área externa al área de backbone. En las próximas versiones de este libro se están agregando puntos elementales de conocimiento y nuevos laboratorios de OSPF. Si dispones de este libro es seguramente porque lo has adquirido y tienes 12 meses garantizados de actualización a los textos, ejercicios y demás recursos a partir de tu compra. La alta disponibilidad del gateway se logra utilizando el protocolo estándar VRRP (Virtual Router Redundancy Protocol) y constituye una configuración obligatoria e indispensable en toda red de misión crítica. En este libro se presentan varios ejercicios VRRP con los cuales se intenta demostrar los diferentes escenarios y sus alternativas de solución. Finalmente la sección de túneles PPP se complementa con ejercicios muy elaborados, explicando al detalle los procesos involucrados y los escenarios de configuración. Hemos tenido un especial cuidado en ampliar la información de aquellos puntos que no se profundizan en los cursos de certificación, pero que resultan claves para el correcto entendimiento de la materia. La información aquí presentada se complementa con nuestros recursos en www.abcxperts.com y www.youtube.com/abcxperts
Este libro no pretende reemplazar la interacción face-to-face con un instructor ya que su experiencia y conocimiento es invaluable y únicamente explotable a través del contacto interpersonal de un curso de certificación. Sin embargo, todo el material de apoyo junto con los videos tutoriales, webinars, tips, etc., representan un importante aporte para aquellos colegas que optan por leer un libro y estudiar a su propio ritmo. Esta es la primera revisión dedicada a la versión 6.33.5. Las posteriores revisiones al material y a los nuevos releases de RouterOS serán agregadas a esta edición y estarán a disponibilidad de las personas que compren la suscripción. Tenemos una tarea inmensa por delante pero estamos muy claros en nuestro objetivo de hacer de este libro la mejor guía de autoestudio MikroTik.
Audiencia Las personas que leen este libro deben estar familiarizados con: Operaciones de red en Capa 2 Conjunto de protocolos IP, incluyendo TCP. UDP e ICMP Este libro está dirigido a: Ingenieros y Técnicos en Redes, Telecomunicaciones y afines, que desea implementar y dar soporte a: Redes Corporativas Clientes WISP e ISP Ingenieros de Redes involucrados en actividades de pre-venta y post-venta en soporte e instalación de redes corporativa y PYMES Ingenieros de Redes, Administradores de Red, Técnicos en Soporte de Redes, y Técnicos de Soporte a Usuario (Help Desk) • •
•
! !
•
•
Convenciones usadas en este libro En este libro se utilizarán las siguientes convenciones tipográficas: Itálicas
Indica comandos, direcciones de correo, claves, mensajes de error, nombres de archivos, énfasis, y el primer uso de términos técnicos Courier new
Indica direcciones IP y ejemplos de línea de comando Courier new en itálica
Indica texto que puede ser reemplazado Courier new en negrita
Indica datos de entrada del usuario Este icono significa un consejo, sugerencia, o una nota general. Este icono indica una advertencia o precaución.
Academy Xperts
v
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
Comentarios y preguntas Puede enviar sus comentarios y preguntas sobre este libro por correo tradicional a la siguiente dirección: Network Xperts S.A. Av. Juan T. Marengo y J. Orrantia Edificio Professional Center, Piso 5, Ofic. 507 Guayaquil, ECUADOR +593-4-600-8590 +593-9-9535-2132 A través del sitio web y por medio de su usuario y contraseña, tendrá acceso a las actualizaciones, ejemplos, e información adicional: http://cursos.abcxperts.com
Puede enviarnos sus comentarios o preguntas técnicas sobre este libro enviándonos un email a: [email protected]
Para más información sobre libros, conferencias, centros de recursos, y la red educativa de Academy Xperts, visite nuestros Websites y canal de YouTube http://www.abcxperts.com http://www.academyxperts.com http://www.youtube.com/abcxperts
Academy Xperts
vi
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
Partners de Academy Xperts en Latinoamérica Nuestro recorrido por América Latina nos ha comprometido de una manera muy importante con nuestros alumnos, amigos y socios. Y este compromiso conlleva la enorme responsabilidad de estar siempre a la vanguardia, de presentar a nuestros estudiantes el mejor y más completo material de estudio & laboratorio, y lo que es muy importante… que el contenido siem pre esté actualizado. Nos encantaría estar presente en cada uno de los 14 países y las más de 40 ciudades que recorremos todos los años, pero el tiempo y la disponibilidad física nos es un obstáculo. Por este motivo hemos desarrollado un esquema de Partnership con empresas, universidades e institutos superiores en diferentes países que trabajan junto con nosotros en sus respetivos ambientes, y que entregan a sus estudiantes el contenido y el acceso a la suscripción anual de este libro (y todos sus recursos) por un cómodo valor.
Empresas Asociadas
Universidades e Institutos Superiores
Deseas convertirte en Academia o ser Partner de Academy Xperts? •
•
•
Universidad o Instituto Superior que Superior que cuenta con el respectivo acuerdo ministerial de tu país, puedes Si eres Universidad o optar por convertirte en una Academia MikroTik. Escríbenos a [email protected] para para darte más información. Partner y quieres explotar junto a tus alumnos nuestro material y portal de capacitación, te Si eres Trainer Partner y invitamos escribirnos a [email protected] para proporcionarte los detalles. Si deseas que organicemos cursos en tu ciudad/país de residencia, escríbenos a [email protected]
Academy Xperts
vii
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
Un poco de Historia (Costa Rica) Cubriendo un País con MikroTik. En el año 1998, estando en una empresa de servicios públicos en Costa Rica, el Ing. Miguel Solís en conjunto con el Ing. Paulino Solano, comenzaron a utilizar MikroTik con gran éxito en las telecomunicaciones de esta empresa. Se lograron 2 Mbps en una distancia de 8 Km, una velocidad record para aquellos tiempos en que la velocidad rondaba los 256 Kbps. En esta empresa de Servicios Públicos, se logró la interconexión de 52 sucursales mediante tecnología inalámbrica, todas bajo la misma marca MikroTik y su sistema operativo RouterOS. Dado el éxito alcanzado en este proyecto, ambos ingenieros en conjunto con uno más llamado Olman González, decidieron formar una empresa que se dedicara a solventar los problemas de telecomunicaciones en donde el cobre no fuera factible o se necesitara más velocidad. Esta empresa fue nombrada Redes Inalámbricas de Costa Rica S.A (REICO). Es así como a la fecha (Julio 2015), REICO, con solo Miguel Solís como propietario, tiene el liderato en telecomunicaciones inalámbricas en el país Centroamericano Costa Rica. REICO posee más de 3,800 Km de red troncal inalámbrica y más de 80,000 Km de red de acceso. Posee más de 100 radio bases instaladas estratégicamente para alcanzar una cobertura de más del 80% del territorio y a más del 90% de la población. La empresa se dedica 100% a proveer transporte de datos corporativos y sirve a sectores financieros, agroindustriales, turísticos, comerciales, etc. Su plataforma tiene una particularidad única en el mundo, con sus más de 1,000 clientes corporativos y empresariales y sus más de 1,500 equipos de acceso, acceso, CPE, transporte, Core secundario y Core primario: EL 100% SON MARCA MIKROTIK. REICO es un ejemplo del gran potencial que tiene MikroTik y RouterOS ya que esta empresa compite en el mercado con grandes de las telecomunicaciones y aun así mantiene una posición privilegiada, siendo el cuarto operador en Costa Rica en importancia en Transporte de Datos Corporativos, por debajo de ICE, Tigo y de RACSA pero por encima de Claro, Telefónica, Cables & Wireless, etc. Esto según el último informe de Estadísticas del Sector de Telecomunicaciones de Costa Rica 2014.
Texto desarrollado por el Ing. Miguel Solís, a quien agradezco por su aporte histórico sobre los inicios de MikroTik en Latinoamérica.
Academy Xperts
viii
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
Detalle de cambios en las cinco últimas versiones de RouterOS Para una revisión más amplia del histórico de cambios en la versión 6.x le recomendamos visitar el siguiente link: http://abcxperts.com/index.php/bitacora-de-cambios
v6.36, 20/Julio/2016, 14:09 address Permite que se agreguen múltiples direcciones IP ya sea que ninguna o solo una esté habilitada address-list Hace que la opción dynamic=yes sea de solo lectura (read-only) arm Se agregó el soporte para el Dude Server Se corrigió una falla de kernel cuando se tiene baja memoria arp Se agregó la opción arp-timeout por interface bonding Se corrigió el modo de balanceo de carga 802.3ad sobre túneles Se corrigió la asignación del esclavo primario del bonding para interfaces OPVN después del arranque Se corrigió un problema de caída en la transmisión del tráfico RoMON Se implementó que el valor l2mtu sea más pequeño que las interfaces l2mtu esclavas. capsman Se corrigió un problema de caída cuando se ejecutaba sobre OVPN certificate Se agregó un retardo de renovación automática scep después del arranque para evitar todos los requerimientos de acceso CA al mismo tiempo Se cancela la renovación pendiente cuando el certificado válido después del cambio de fecha Se muestra el emisor y el asunto (subject) en una falla de chequeo No se sale después de un card-verify Se fuerza la renovación scep en las actualizaciones del reloj del sistema ( system clock) chr Se corrigió un problema en el CHR en el que estaba viendo su propio disco de sistema montado como un disco de datos adicional clock Se corrigió un problema de tiempo que tenían los equipos SXT ac, 911L, cAP, mAP lite, wAP Se graba el tiempo actual a la configuración una vez por día, incluso si no hay ajustes de zona de tiempo (time zone) pendientes cloud Se corrigió el orden del export console Se corrigió un problema en que obtenía una función falsa •
•
• •
•
• • • •
•
•
• • • •
•
• •
•
•
Academy Xperts
ix
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
Se muestra la fecha del mensaje en los mensajes de log echo defconf Se cambió la extensión del canal a 20/40/80mhz para todas las tarjetas ac dhcp-pd Se corrige el lista de servidor por línea de comandos dhcp-server Se corrigió un problema de adición de una ruta enmarcada como radius después de hacer reboot en la renovación de un cliente dhcp6-client Se corrigió una validación de ia lifetime cuando es configurado por el cliente dhcpv6 dhcpv6-relay Se configura el paquete link-address únicamente cuando se configura manualmente dhcpv6-server Se corrigió el binding de la última actualización vista (last-seen update) disk Se agregó soporte para Plextor PX-G128M62(A) SSD en CCR1072 dude Los cambios se discuten en este link: http://forum.mikrotik.com/viewtopic.php?f=8&t=110428 El paquete del server se ha hecho más pequeño. La actualización del contenido del lado del cliente ahora se remueve de él, y es descargado directamente desde nuestra nube. Por lo tanto las estaciones de trabajo en el lado del cliente requerirán acceso WAN. Se puede realizar una actualización alternativa reinstalando el cliente en cada nuevo release. email Se corrigió el problema de envío desde Winbox Se removió el límite de longitud del asunto (subject) y del cuerpo (body) del mensaje ethernet Se corrigió un problema de falla de memoria cuando se configura la interface sin cambiar la configuración Se corrigió un problema de velocidad de enlace incorrecta en ether1 después de hacer reboot en los routers de la serie rb4xx fastpath Se corrigió un problema de falla del kernel cuando el fastpath maneja el paquete con multicast dst-address fetch Se agregó soporte tls para las extensión del nombre de host firewall No se muestra el parámetro disabled=no en un export Se agregaron los connection tracking helpers udplite, dccp, sctp Se corrigió el deletreo del comentario construido en el firewall Se agregó el menú “/interface list” con el cual se permite crear una lista de interfaces que puede ser usado como un matcher in/out-interface-list en el firewall y utilizarlo como un filtro en traffic-flow Se agregó el filtro pre-connection tracking – raw table, que permite proteger el connection tracking de tráfico innecesario Se permite agregar un nombre de dominio al address-list (las entradas dinámicas para las direcciones resultas se agregarán a la lista especificada) gps Se corrigió un problema en la parte de longitud segundos health Se corrigió un problema de fábrica en la data de calibración de voltaje para algunas tarjetas hAP ac Se corrigió un problema de voltaje incorrecto después de que se ejecutaba un reboot en un RB2011UAS icmp Se corrigió un problema de fallo en el kernel cuando el paquete icmp no podía procesarse cuando había una alta carga ippool6 Se corrigió un problema de caída en la adquisición cuando la longitud de prefijo es igual que la longitud de prefijo del pool ipsec Se corrigió un problema en mode-config export •
•
•
•
•
•
•
•
• •
• •
• •
•
•
• • • •
•
•
•
• •
•
•
•
Academy Xperts
x
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
• • • • • • • • • •
Se corrigió un problema de desborde de route cache cuando se utiliza ipsec con el route cache deshabilitado Se agregó la excepción de detección del dead ph2 para Windows msgid que no es compatible con el rfc Se agregó la detección de dead ph2 reply No se registra temporalmente el ph2 en el dead list Se corrigió un problema en el iniciador modecfg dynamics dns Se corrigió el AH con SHA2 Se corrigió un problema en el chequeo antes de accesar a las opciones ph1 nat Se corrigió un problema de chequeo en Windows msgid en dispositivos x86 Se muestra la dirección peer remota en los mensajes de error cuando sea posible Se almacena el tipo de encapsulación udp en proposal
kernel •
Se corrigió un posible problema de punto muerto cuando se utiliza el modem Sierra USB
l2tp •
Se corrigió un problema de caída cuando se hace reboot o se deshabilita el l2tp mientras hay todavía conexiones activas
lcd Se redujo el valor más bajo del backlight-timeout de 5 minutos a 30 segundos license No expira la licencia demo después de una instalación nueva de x86 log Se agregó la opción scep certificate chain print Se incrementó el umbral de advertencia por excesivo multicast/broadcast cada vez que es enviado a bitácora (log) Se hace que el proceso de logging sea menos agresivo al arranque lte Utiliza únicamente creg result codes como indicadores de estatus de red Se agregó la opción allow-roaming para dispositivos Huawei MU709, ME909s Se agregó soporte para cinterion pls8 Se agregó soporte para Huawei E3531 Se agregó soporte para ZTE ZM8620 Se agregó la opción use-peer-dns (trabajará únicamente combinado con add-default-route) Se cambió la carga del driver para dispositivos rndis usb clase 2 Se muestra el mensaje en lte, error log si no se recibe respuesta Se muestra el mensaje en lte, error log cuando se requiere PIN Se corrigió un problema de caída en SXT LTE cuando se resetea la tarjeta en alto tráfico Se corrigió la tecnología de acceso logging Se corrigió la conexión para Huawei sin la info celular Se corrigió el modem init cuando se presenta el requerimiento de pin Se corrigió el chequeo de versión de configuración de red del modem Se corrigió el soporte network-mode después de hacer un downgrade El Huawei MU609 debe usar el último firmware para trabajar correctamente Se mejoró la identificación de múltiples módems del mismo modelo Se muestra el uicc para módems Huawei mesh Se corrigió un problema de una caída cuando la conexión referencia a una red mesh pero que ya no está disponinble modem Se agregó soporte para Alcatel OneTouch X600 Se agregó soporte para Quectel EC21 y EC25 Se agregó soporte para modem SpeedUP SU-900U nand Se mejoró la característica de nand refresh para mejorar la integridad de la data almacenada ovpn Se habilitó el soporte perfect forwarding secrecy por default Se corrigió la compatibilidad con OpenVPN 2.3.11 pppoe Se permite configurar el MTU y MRU más alto que 1500 para PPPoE No se permite enviar paquetes más grandes que l2mtu si se provee el mrru proxy •
•
• • •
• • • • • • • • • • • • • • • • • •
•
• • •
•
• •
• •
Academy Xperts
xi
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
•
Se limita el uso máximo de ram a 80% para dispositivos tile y x86
queue Se resetea el queue type en las interfaces en las cuales el default queue type cambia a no-queue después del upgrade rb2011 Se corrigió el flapping ether6-ether10 cuando dos puertos de ambos switch chips están en el mismo bridge rb3011 Se corrigió un problema de port flapping en las interface ether6-ether10 Se corrigió un problema de funcionabilidad en el botón reset Se mejoró el desempeño cuando existe un alto uso del CPU Se corrigió un problema de carga del driver usb Se corrigió un problema de montaje del almacenamiento usb route Se agregó soporte para más de 8 bits de opciones Se corrigió un problema en ospf manejando prefijos ipv6 codificados con stray bits sniffer Se corrigió un problema de matching de dirección ipv6 snmp Se corrigió la función get para snmp >= v2 cuando el oid no existe Se corrigió las estadísticas de interface de MikroTik MIB Reporta la tecnología de acceso actual y el cell id de los módems lte Reporta la memoria ram como ram en lugar de otro tipo de memoria ssh Se agrega el parámetro rsa host key size ssh-keygen Se agrega el parámetro rsa key size ssl No se sale mientras hay todavía sesiones activas Se corrige una fuga de memoria en ssl connect/disconnect (Fetch, ovpn, etc.) sstp Se corrige el soporte de nombre dns en el campo connect-to si se especifica el http-proxy supout Se elimina apropiadamente la data de pánico en Netinstall switch Se corrigió el switch compact export timezone Se actualiza la información del timezone de release tzdata2016e traffic-flow Se agregó el soporte ipfix (RFC5101 y RFC5102) tunnel Se agregó la opción para auto detectar la local-address del túnel Se corrigió un raro problema de caída cuando se especificaba una longitud de cabecera mínima inmediatamente en la inicialización del túnel upnp Se corrigió la regla de nat dst-nat haciéndola visible nuevamente usb El dongle usb hub/ethernet I-tec U3GLAN3HUB ahora se muestra correctamente como una interface ethernet Se implementó la posibilidad de reconocer los dongles usb hubs/ethernet (si los usb hubs/ethernet-dongles no son reconocidos en esta versión, por favor enviar un archivo supout.rif) userman Se corrigió un problema de caída en la carga de la base de datos Se usa ipnpb.paypal.com para la verificación de pago wap-ac •
•
• • • • •
• •
•
• • • •
•
•
• •
•
•
•
•
•
• •
•
• •
• •
Academy Xperts
xii
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
•
Se corrigen problemas de desempeño con wireless 2.4GHz (se requiere un reboot adicional después de hacer el upgrade)
webfig No se permite presionar OK o Apply si los valores actuales de configuración todavía no se han cargado Se reduce el tiempo de refresh de la tabla de registro wireless a 1 segundo winbox Se agregó la banda 2ghz-g/n para wireless-rep Se agregaron los íconos para las acciones de bridge filter similar a ip firewall Se agregó soporte para ipv6 dhcp relay Se permite reordenar las reglas de hotspot walled-garden & walled-garden-ip No se permite especificar vlam-mode=no-tag en capsman datapath config No se muestra el filtro para los campos combinados como bgp-vpn4 RD No se muestra la configuración de modo para las interfaces WDS Se corrige un problema de caída en la desconexión en modo seguro Se corrige un problema de caída cuando se usa ctrl+d Se corrige un problema en el modo safe Se mejora el filtrado en los campos de lista Se reporta correctamente los usuarios de Dude en la lista de usuarios activos Se configura por default el valor de sa-learning a “yes” para las reglas CRS Ingress VLAN Translation Se muestra la columna de acción como primera en bridge firewall Se muestra error cuando telnet no está permitido debido a permisos wireless Se corrigió un problema en que múltiples paquetes wireless se habilitaban al mismo tiempo después del upgrade Se descontinúa wireless-fp. Es necesario que se desinstale/deshabilite antes de hacer el upgrade wireless-rep Se agregó el soporte inicial API para snooper Se corrigió un problema de caída al reconectar nv2 Se corrigió un problema en un scan-list no configurado Se trata el elemento missing SSID como hidden SSID • •
• • • • • • • • • • • • • • •
• •
• • • •
v6.35.4, 09/Junio/2016, 12:02 address-list Se hizo que dynamic=yes sea una opción read-only (solo lectura) bonding Se corrigió un problema en el modo de balanceo 802.3ad sobre túneles Se corrigió un problema de asignación del esclavo en el bonding primario para interfaces OVPN ñuego de que se inicia Se corrigió un problema de caída en la transmisión de tráfico RoMON dhcpv6 client Se corrigió un problema de validación ia lifetime cuando se configura por el cliente dhcpv6 disk Se agregó soporte para Plextor PX-G128M6e(A) SSD en el CCR1072 ethernet Se corrigió un problema de falla de memoria cuando se configura la interface sin cambiar la configuración firewall No se muestra el parámetro disabled=no en un export health Se corrigió un problema de fábrica en la data de calibración de voltaje para algunas tarjetas hAP ac Se corrigió un problema de voltaje incorrecto después de que se ejecutaba un reboot en un RB2011UAS ipsec Se corrigió un problema en mode-config export Se corrigió un problema de desborde de route cache cuando se utiliza ipsec con el route cache deshabilitado lte Utiliza únicamente creg result codes como indicadores de estatus de red ovpn Se habilita el soporte perfect forwarding secrecy por default rb3011 •
• •
•
•
•
•
•
• •
• •
•
•
Academy Xperts
xiii
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad con MikroTik RouterOS
• • •
Se corrigió un problema de port flapping en las interface ether6-ether10 Se corrigió un problema de funcionabilidad en el botón reset Se mejoró el desempeño cuando existe un alto uso del CPU
v6.35.3, 01/Junio/2016, 07:55 Fue un release únicamente de fábrica
v6.35.2, 02/Mayo/2016, 10:09 discovery Se corrigió un problema del descubrimiento de identidad (se introdujo en v6..35.1) firewall Se corrigió un problema en las configuraciones de políticas de ruteo (se introdujo en v6.35rc38) log Se corrigió un problema de ajuste del time zone (se introdujo en v6.35.1) queue Se corrigió un problema del queue type en la interface para túneles OVPN snmp Se corrigió un problema de timeout snmp (se introdujo en v6.35.1) vrrp Se corrigió un problema de interfaces vrrp perdidas después de hacer un upgrade (se introdujo en v6.35.1) •
•
•
•
•
•
v6.35.1, 26/Abril/2016, 09:29 bonding No se corrompen las estadísticas bonding en los cambios de configuración Se corrigió un problema de caída cuando el MTU de la VLAN padre es más alto que el MTU del bonding ethernet No se permite que el MTU sea más alto que el L2MTU, y que el L2MTU sea más alto que el MAX-L2MTU (se reduce automáticamente en el upgrade si es que estaba equivocado anteriormente) log Se corrigieron los mensajes de log en el reboot LTE No se permiten configurar múltiples modos cuando no está soportado Se corrigió la adquisición de dirección (address acquisition) en las interfaces Huaweii LTE winbox Se muestra el voltaje en Health únicamente si es el monitor de voltaje wireless Se corrigió un problema cuando el CAPsMAN podía bloquear la interface CAPs • •
•
•
• •
•
•
Academy Xperts
xiv
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 1: Ruteo en RouterOS
Capítulo 1: Ruteo en RouterOS RIP, FIB, rutas Multipath, nexthop lookup En RouterOS el router almacena la información de ruteo (Routing) en varios espacios separados: FIB (Forwarding Information Base).- Se utiliza para realizar las decisiones de reenvío de paquetes. El FIB contiene un copia de la información necesaria de ruteo. Cada protocolo de ruteo (excepto BGP) posee sus propias tablas internas. Este es el sitio donde se realizan las decisiones de ruteo basadas por-protocolo. BGP no posee tablas internas de ruteo. BGP almacena la información completa de ruteo de todos los compañeros (peers) en el RIB. RIB (Routing Information Base).- Contiene las rutas agrupadas en tablas de ruteo separadas basadas en sus valores de routing-mark. Todas las rutas que no poseen routing-mark se almacenan en la tabla principal de ruteo (main routing table). Estas tablas se utilizan para una mejor selección de ruta. La tabla principal ( main) también se la utiliza para el nexthop lookup. •
•
•
RIB – Routing Information Base El RIB contiene la información completa de ruteo, incluyendo: Las reglas de rutas estáticas definidas por el usuario Las reglas de políticas de ruteo definidas por el usuario La información de ruteo aprendida por los protocolos de ruteo La información sobre las redes conectadas El RIB se utiliza para: Filtrar la información de ruteo Calcular la mejor ruta para cada prefijo de destino Construir y actualizar la FIB (Forwarding Information Base) Distribuir las rutas entre diferentes protocolos de ruteo • • • •
• • • •
Por default, la decisión de reenvío (forwarding) se basa únicamente en el valor de la dirección destino. Cada ruta tiene la propiedad dst-address, que especifica todas las direcciones destino en las que esta ruta puede ser usada. Si existen varias rutas que aplican para una dirección IP particular, se utiliza la más específica (la que tenga el netmask más largo). Esta operación (encontrar la ruta más específica que coincida con una dirección dada) se conoce como routing table lookup (tabla de enrutamiento de búsqueda). Si la tabla de ruteo contiene varias rutas con la misma dst-address, únicamente una ruta puede ser utilizada para el reenvío de los paquetes. Esta ruta se instala dentro del FIB y se marca como activa ( active). Cuando la decisión de reenvío ( forwarding decision ) utiliza información adicional, como por ejemplo una dirección origen del paquete, se lo conoce como política de ruteo ( policy routing ). ). La política de ruteo se implementa como una “lista de políticas de reglas de ruteo”, que selecciona una diferente tabla de ruteo basado en la dirección destino, dirección origen, interface origen y marca de ruteo ( routing mark) del paquete. La marca de ruteo puede ser cambiada por las reglas de mangle en firewall. Todas las rutas se graban por default en la tabla principal de ruteo ( main routing table ). ). Las rutas pueden ser asignadas a una tabla de ruteo específica configurando su propiedad routing-mark a nombre de otra tabla de enrutamiento. Las tablas de ruteo se referencian por su nombre, y se crean automáticamente cuando son referenciadas en la configuración. Cada tabla de ruteo puede tener solamente una ruta activa para cada valor de prefijo de dst-address IP. Existen diferentes grupos de rutas , basados en sus orígenes y propiedades:
Academy Xperts
1
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 1: Ruteo en RouterOS
• • • •
Rutas por default Rutas conectadas Rutas Multipath (ECMP) Rutas con interface como Gateway
Ruta por Default La ruta con dst-address=0.0.0.0/0 se aplica a todas las direcciones destino. Esta ruta se conoce com o ruta por default. Si la tabla de ruteo contiene una ruta por default activa, entonces la tabla de enrutamiento de búsqueda (routing table lookup) en esta tabla nunca fallará.
Rutas Conectadas Las rutas conectadas se crean automáticamente para cada red IP que tiene al menos una interface habilitada conectada. El RIB rastrea el estatus de las rutas conectadas, pero no las modifica. Para cada ruta conectada hay una dirección IP tal que: Parte de la dirección del dst-address de la ruta conectada es igual a la network (red) de la dirección IP Parte del netmask del dst-address de la ruta conectada es igual a parte del netmask del address de la dirección IP El pref-src de la ruta conectada es igual a parte de la dirección del address de la dirección IP La interface de la ruta conectada es igual al actual-interface de la dirección IP (similar a interface, excepto para los puertos de interface bridge) • •
• •
Ruta Multipath (ECMP) Para implementar algunas configuraciones, como por ejemplo balanceo de carga (load balancing) puede ser necesario utilizar más de un camino (path) hacia un destino dado. Sin embargo, no es posible tener más de una ruta activa hacia una destino en una tabla de ruteo simple. ECMP = Equal Cost Multi-Path = Múltiples trayectorias de costos iguales Las rutas ECMP tienen múltiples valores de gateway de siguiente salto (nexthop). Todos los nexthop (siguientes saltos) son copiados al FIB y utilizados en el reenvío de paquetes. El protocolo OSPF puede crear rutas ECMP. Estas rutas pueden también ser creadas manualmente. Puesto que los resultados de las decisiones de reenvío (forwarding) son almacenadas en caché, los paquetes con el mismo source address, address , destination address, address , source interface, interface , routing mark y ToS, ToS, son enviados al mismo gateway. Esto significa que una conexión utilizará solamente un enlace en cada dirección, por lo tanto las rutas ECMP pueden ser usadas para implementar balanceo de carga por conexión (per-connection).
Rutas con interface como Gateway El valor del gateway puede ser especificado como un nombre de interface en lugar de la dirección IP del próximo salto. Una ruta creada de esta forma tiene las siguientes propiedades especiales: A diferencia de las rutas conectadas, las rutas que tienen como nexthop una interface, no se utilizan para el nexthop lookup Es posible asignar varias interfaces como un valor de gateway, y crear una ruta ECMP. No se puede tener una ruta conectada con múltiples valores de gateway. •
•
Selección de Ruta Cada tabla de ruteo puede tener una ruta activa para prefijo destino. Esta ruta es instalada dentro del FIB. La ruta activa es seleccionada de todas las rutas candidatas con el mismo dst-address y routing-mark, que cumplen el criterio para ser
Academy Xperts
2
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 1: Ruteo en RouterOS
una ruta activa. Puede haber múltiples rutas de diferentes protocolos de ruteo y de configuración estática. La ruta candidata con la distancia ( distance) más baja se convertirá en ruta activa. Si existe más de una ruta candidata con la misma distancia ( distance), la selección de la ruta activa es arbitraria (excepto para las rutas BGP). BGP tiene el proceso de selección más complicado. Es importante notar que esta selección de protocolo interno se realiza únicamente después de que las rutas BGP son instaladas en la tabla principal de ruteo; esto significa que puede haber más de una ruta candidata para cada compañero (peer) BGP. También es importante notar que las rutas BGP de diferentes instancias BGP son comparadas por su distancia, igual que otras rutas.
Criterio para la sección de las rutas candidatas Para participar en el proceso de selección de rutas, la ruta debe cumplir los siguientes criterios: La ruta no debe estar deshabilitada La distancia ( distance) no debe ser 255. Las rutas que son rechazadas por el filtro de ruta tienen un valor de distancia ( distance) 255 pref-src no se ha configurado o es una dirección local válida del router routing-mark no se ha configurado o está referida por el firewall o por las reglas de política de enrutamiento Si el tipo de ruta es unicast y no es una ruta conectada, debe tener al menos un nexthop alcanzable • •
• • •
Nexthop lookup El nexthop lookup (búsqueda del siguiente salto) es parte del proceso de selección de ruta. Las rutas que están instaladas en el FIB necesitan tener la interface asociada con cada dirección de gateway. La dirección de gateway (nexthop = próximo salto) tiene que ser directamente alcanzable a través de esta interface. La interface que debería ser usada para enviar los paquetes a cada dirección de gateway se encuentra haciendo nexthop lookup. Algunas rutas (por ejemplo iBGP) pueden tener una dirección de gateway que está varios saltos más allá de este router. Para instalar tales rutas en la FIB, es necesario encontrar la dirección del gateway alcanzable directamente (un nexthop inmediato), que debería ser usado para alcanzar la dirección de gateway de esta ruta. Las direcciones inmediatas del nexthop pueden también ser encontradas haciendo nexthop lookup. EL nexthop lookup se realiza únicamente en la tabla principal de ruteo, incluso para las rutas con un diferente valor de routing-mark. Es necesario restringir el conjunto de rutas que pueden ser usadas para buscar por nexthops inmediatos. Los valores de nexthop de las rutas RIP u OSPF, por ejemplo, se supone que son alcanzadas directamente y que deberían ser encontradas únicamente usando las rutas conectadas. Esto se puede lograr usando las propiedades scope y targetscope. Las rutas que tienen un nombre de interface como gateway, no se pueden utilizar para el nexthop lookup. Si la ruta tiene ambos: interface nexthop y un nexthop con dirección IP activa, entonces se ignoran los nexthop de interface. Las rutas con un scope mayor que el máximo valor aceptado no se utilizan para el nexthop lookup. Cada ruta especifica un valor de scope máximo aceptado para sus nexthops en la propiedad target-scope. El valor por default de esta propiedad permite el nexthop lookup únicamente a través de las rutas conectadas, con la excepción de las rutas iBGP que tienen un valor por default más grande y que pueden buscar por el nexthop a través de IGP y las rutas estáticas. •
•
La interface y el nexthop inmediato se seleccionan basado en el resultado del nexthop lookup: Si la ruta activa más específica que el nexthop lookup encuentra es una ruta conectada, entonces la interface de esta ruta conectada es usada como la interface nexthop, y este gateway se marca como alcanzable ( reachable ). Puesto que el gateway es directamente alcanzable a través de esta interface (esto es exactamente lo que una ruta conectada significa), la dirección del gateway es usada como la dirección inmediata del nexthop. Si la ruta activa más específica que el nexthop lookup encuentra tiene un nexthop que ya está resuelto, la dirección del nexthop resuelto y la interface es copiada del nexthop y este gateway es marcado como recursivo ( recursive ). •
•
Academy Xperts
3
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 1: Ruteo en RouterOS
•
•
Si la ruta activa más específica que el nexthop lookup encuentra es una ruta ECMP , entonces usa el primer gateway de esa ruta que es no inalcanzable ( unreachable ). Si el nexthop no encuentra ninguna ruta, entonces este gateway es marcado como inalcanzable ( unreachable ).
FIB – Forwarding Information Base El FIB contiene copia de la información que es necesaria para el reenvío del paquete (packet forwarding): Todas las rutas activas Reglas de políticas de ruteo Por default (cuando no se utilizan valores de routing-mark) todas las rutas activas están en la tabla principal, y existe una única regla implícita oculta (regla “catch all”) que usa la tabla principal para todos los lookup destinos. • •
Tabla de ruteo lookup El FIB utiliza la siguiente información del paquete para determinar su destino: Dirección origen Dirección destino Interface origen Routing mark ToS (no es utilizado por RouterOS en las reglas de políticas de ruteo, pero es una parte de la clave de lookup del caché de ruteo) Las posibles decisiones de ruteo son: Recibir el paquete localmente Descartar el paquete (ya sea silenciosamente o enviando un mensaje ICMP al originador del paquete) Enviar un paquete a una dirección IP específica en una interface específica Los resultados de las decisiones de ruteo son recordadas en el caché de ruteo. Esto se realiza para mejorar el desempeño del forwarding. Cuando otro paquete con el mism o source address, destination address, source interface, routing mark y ToS es ruteado, se utilizan los resultados en caché. Esto también permite implementar el balanceo de carga por conexión (per-connection load balancing) usando rutas ECMP, puesto que los valores usados para encontrar la entrada en el cache de ruteo (routing cache) son los mismos para todos los paquetes que pertenecen a la misma conexión y van en la misma dirección. Si no existe una entrada en el routing cache para este paquete, entonces se la crea ejecutando una decisión de ruteo: Se chequea que el paquete tiene que ser entregado localmente (la dirección destino es la dirección del router) Procesar las reglas de políticas de ruteo implícitas Procesar las reglas de políticas de ruteo agregadas por el usuario Procesar la regla implícita “catch-all” que busca el destino en la tabla principal de ruteo El retorno del resultado es “ network unreachable” • • • • •
• • •
• • • • •
Academy Xperts
4
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 1: Ruteo en RouterOS
Las reglas que no concuerdan con el paquete actual son ignoradas. Si la regla tiene la acción drop o unreachable, entonces se retorna como un resultado del proceso de la decisión de ruteo. Si la acción es lookup entonces la dirección destino del paquete es buscada en la tabla de ruteo que se especifica en la regla. Si la búsqueda falla (no existe una ruta que coincida con la dirección destino del paquete), entonces el FIB procede a la siguiente regla. Por otra parte: Si el tipo de ruta es blackhole, prohibit o unreachable, entonces se retorna esta acción como el resultado de la decisión de ruteo Si esta es una ruta conectada, un ruta con una interface como el valor de gateway, entonces se retorna esta interface y la dirección destino del paquete como el resultado de la decisión de ruteo Si esta ruta tiene una dirección IP como el valor de gateway, entonces se retorna esta dirección y la interface asociada como el resultado de la decisión de ruteo Si esta ruta tiene múltiples valores de nexthop, entonces se elige uno en un esquema round robin . El resultado de la decisión de ruteo se almacena en una nueva entrada del routing caché. El resultado de la decisión de ruteo puede ser: Dirección IP del nexthop + interface Interface punto-a-punto Entrega local (local delivery) Descartar (discard) ICMP prohibido ICMP host unreachable ICMP network unreachable •
•
•
•
• • • • • • •
Propiedades de la Tabla de Ruteo Etiquetas de ruta
•
• •
• •
• • • • • •
•
disabled (X).- Regla
de ruteo está deshabilitada. No tiene ningún efecto sobre las otras rutas y no se utiliza de ninguna manera para reenvío (forwarding) o protocolos de ruteo. active (A).- Ruta se utiliza para el reenvió de paquetes. Denota una ruta activa. dynamic (D).- Regla de ruteo creada por el software y no por la interface de administración. No se exporta, y no puede ser modificado directamente. connect (C).- Ruta conectada. Se genera cuando se configura una dirección IP en una interface activa static (S).- Ruta estática. Ruta creada por el usuario de manera fija. Este método forzará el envío de paquetes a través de un gateway definido por el usuario/administrador rip (r).- Ruta RIP bgp (b).- Ruta BGP ospf (o).- Ruta OSPF mme (m).- Ruta MME blackhole (B).- Descarta silenciosamente el paquete reenviado por esta ruta unreachable (U).- Descarta los paquetes reenviados por esta ruta. Se notifica al originador del paquete por medio de un mensaje ICMP host unreachable (tipo 3, código 1) prohibit (P).- Descarta los paquetes reenviados por esta ruta. Se notifica al originador del paquete por medio de un mensaje ICMP communication administratively prohibited (tipo 3, código 13)
Academy Xperts
5
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 1: Ruteo en RouterOS
Propiedades generales
/ip route add bgp-as-path bgp-atomic-aggregate bgp-communities bgp-local-pref bgp-med •
• •
bgp-origin bgp-prepend check-gateway comment copy-from
disabled distance dst-address gateway pref-src
route-tag routing-mark scope target-scope type
vrf-interface
check-gateway (arp | ping; Default: "").- Periódicamente (cada 10 segundos) se chequea el gateway enviando ya sea un ICMP echo request (ping) o un ARP request (arp). Si no se recibe respuesta del gateway en 10 segundos, se solicita un tiempo de espera ( request times out ). Después de dos timeouts el gateway se considera inalcanzable ( unreachable ).- Después de recibir una respuesta del gateway se con considera alcanzable ( reachable) y el contador de timeout se resetea. comment (string; Default: "").- Es la descripción de una ruta particular distance (integer[1..255]; Default: "1").- Valor usado en la selección de ruta. Las rutas con valores de distancia
más pequeños tendrán preferencia. Si no se especifica el valor de esta propiedad, entonces el valor default depende del protocolo de ruteo: connected routes: 0 (rutas conectadas) static routes: 1 (rutas estáticas) eBGP: 20 OSPF: 110 RIP: 120 MME: 130 iBGP: 200 dst-address (IP prefix; Default: 0.0.0.0/0).- Prefijo IP de la ruta, especifica las direcciones destino para la que esta ruta puede ser utilizada. La parte netmask de esta propiedad especifica cuántos de los bits más significantes en la dirección del paquete destino deben coincidir con este valor. Si existen varias rutas activas que coinciden con la dirección destino del paquete , entonces se utilizará la más específica (el que tenga el valor de netmask más grande). gateway (IP | interface | IP%interface | IP@table[, IP | string, [..]]; Default: "").- Arreglo de direcciones IP o nombres de interface. Especifica a cuál host o interface deberían ser enviados los paquetes. Las rutas conectadas y las rutas con tipo blackhole, unreachable o prohibit no tienen estas propiedad. Usualmente el valor de esta propiedad es una dirección IP sencilla de un gateway que puede alcanzado directamente a través de una de las interfaces del router. Las rutas ECMP tienen más de un valor de gateway. El valor puede ser repetido varias veces. pref-src (IP; Default: "").- Cuál de las direcciones IP locales se utilizará para los paquetes originados localmente que son enviados a través de esta ruta. El valor de esta propiedad no tiene efecto en los paquetes reenviados. Si el valor de esta propiedad se configura con una dirección IP que no es la dirección local de este router, entonces la ruta se volverá inactiva. Si no se configura el valor pref-src, entonces para los paquetes originados localmente que son enviados usando esta ruta, el router elegirá una dirección local anexada a la interface de sal ida que coincida con el prefijo destino de la ruta. route-tag (integer; Default: "").- Valor del atributo la etiqueta de ruta para RIP u OSPF. Para RIP los únicos valores válidos son 0..4294967295 routing-mark (string; Default: "").- Nombre de la tabla de ruteo que contiene esta ruta. No se configura por default porque es el mismo que la tabla principal de ruteo. Los paquetes que son marcados por el firewall con este valor de routing-mark serán ruteados usando las rutas de esta tabla, a menos que sean anulados por las reglas de políticas de ruteo. No se puede usar más de 250 routing-mark por router. scope (integer[0..255]; Default: "30").- Usado en la resolución del nexthop. La ruta puede resolver el nexthop únicamente a través de las rutas que tienen scope menor o igual al target-scope de esta ruta. El valor por default depende del protocolo de ruteo: connected routes: 10 (si la interface está corriendo) OSPF, RIP, MME routes: 20 ! ! ! ! ! ! !
•
•
•
•
•
•
! !
Academy Xperts
6
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 1: Ruteo en RouterOS
static routes: 30 BGP routes: 40 connected routes: 200 (si la interface NO está corriendo) target-scope (integer[0..255]; Default: "10").- Utilizado en la resolución del nexthop. Este es el valor máximo de scope para una ruta a través del cual un nexthop de esta ruta puede ser resuelto. Para iBGP el valor se configura por default en 30. type (unicast | blackhole | prohibit | unreachable; Default: unicast).- Rutas que no especifican nexthop para los paquetes, pero que el cambio desarrollan alguna otra acción en los paquetes que tienen un tipo diferente del usual unicast. blackhole – esta ruta descarta silenciosamente los paquetes unreachable – envía el mensaje ICMP Destination Unreachable (código 1) a la dirección origen del paquete prohibit – envía el mensaje ICMP Destination Unreachable (código 13) a la dirección origen del paquete vrf-interface (string; Default: "10").- Nombre de la interface VRF ! ! !
•
•
! !
!
•
Propiedades de solo-lectura
•
de gateways, estados de los gateway y cuál interface es usada para reenvío. Sintaxis del estado IP de la interface, por ejemplo 10.5.101.1 reachable bypass-bridge . El estado puede ser unreachable, reachable o recursive. ospf-metric (integer).- Usado para la métrica OSPF para una ruta en particular.
•
ospf-type (string)
•
gateway-status (array).- Arreglo
Propiedades de Ruta BGP
/ip route add bgp-as-path bgp-atomic-aggregate bgp-communities bgp-local-pref bgp-med
bgp-origin bgp-prepend check-gateway comment copy-from
disabled distance dst-address gateway pref-src
route-tag routing-mark scope target-scope type
vrf-interface
These properties contain information that is used by BGP routing protocol. However, values of these properties can be set for any type of route, including static and connected. It can be done either manually (for static routes) or using route filters. bgp-as-path (string; Default: "") Value of BGP AS_PATH attribute. Comma separated list of AS numbers with confederation AS numbers enclosed in () and AS_SETs enclosed in {}. Used to check for AS loops and in BGP route selection algorithm: routes with shorter AS_PATH are preferred (but read how AS_PATH length is calculated). bgp-atomic-aggregate (yes | no; Default: ) Value of BGP ATOMIC_AGGREGATE attribute. bgp-communities (array of (integer:integer | internet | no-advertise | no-export |local-as; Default: ) Value of BGP communities list. This attribute can be used to group or filter routes. Named values have special meanings: internet - advertise this route to the Internet community (i.e. all routers) no-advertise - do not advertise this route to any peers no-export - do not advertise this route to EBGP peers local-as - same as no-export, except that route is also advertised to EBGP peers inside local confederation
Academy Xperts
7
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 1: Ruteo en RouterOS
bgp-local-pref (integer; Default: ) Value of BGP LOCAL_PREF attribute. Used in BGP route selection algorithm: routes with greater LOCAL_PREF value are preferred. If value is not set then it is interpreted as 100. bgp-med (integer; Default: ) Value of BGP MULTI_EXIT_DISC BGP attribute. Used in BGP route selection algorithm: routes with lower MULTI_EXIT_DISC value are preferred.. If value is not set then it is interpreted as 0. bgp-origin (igp | egp | incomplete; Default: ) Value of BGP ORIGIN attribute. Used in BGP route selection algorithm: igp routes are preferred over egp and egp over incomplete. bgp-prepend (integer [0..16]; Default: ) How many times to prepend router's own AS number to AS_PATH attribute when announcing route via BGP. Affects only routes sent to eBGP peers (for iBGP value 0 is always used).
Propiedades de solo-lectura bgp-ext-communities (string) Value of BGP extended communities attribute bgp-weight (integer) Additional value used by BGP best path selection algorithm. Routes with higher weight are preferred. It can be set by incoming routing filters and is useful only for BGP routes. If value is not set then it is interpreted as 0. received-from (string) Name of the BGP peer from which route is received.
Academy Xperts
8
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 2: Ruteo Estático Simple
Capítulo 2: Ruteo Estático Simple Distancia, política de ruteo, ECMP, Scope, dead-end, recursividad
Ruteo Simple Enrutamiento es el reenvío de tráfico de una red a otra, paquete por paquete. El Forwarding consiste en pasar la responsabilidad de un enrutador a otro, es decir, un enrutador decide como enviar un paquete y se desentiende de lo que le pueda pasar al mismo de ahí para adelante, todo esto basado en la información de la mejor ruta y la métrica (distancia) que este configurada. Solo un gateway para una simple red Las rutas más específicas en la tabla de ruteo tienen la prioridad más alta que las rutas menos específicas La ruta con destino de red 0.0.0.0/0 significa “todo lo demás” también conocida como Ruta por Default • •
•
Lab. 2.1 – Ruteo Estático Objetivos Crear una red ruteada redundante sin usar protocolos de ruteo dinámicos Rutear entre las redes locales participantes Obtener acceso a otros grupos de redes Usando solamente Rutas Estáticas Simples se debe asegurar la conectividad entre las estaciones de trabajo (laptops). Esto significa que cada uno de los estudiantes deberá estar en capacidad de realizar un ping satisfactorio a los demás computadores en esta red. Por ejemplo, el Estudiante A deberá poder llegar con un ping a las laptops de los Estudiantes B, C y D. Es muy probable que las laptops de los estudiates posean restricciones por firewall o antivirus, y que estas restricciones pudieran no ser desactivadas. En este caso basta con que el ping se realice satisfactoriamente contra ladirección IP de las interfaces LAN ( ether1) de los routers de los estudiantes remotos. Por ejemplo, el Estudante A ( 172.16.1.2) deberá poder llegar con ping a las interfaces ether1 de los routers remotos cuyas direcciones IP son 172.16.2.1 (ether1 router Estudiante B), 172.16.3.1 (ether1 router Estudiante C) y 172.16.4.1 (ether1 router Estudiante D) • • •
Actividades a realizar Paso 1 (backup) Cada estudiante deberá hacer un respaldo (backup) de la configuración actual que provee acceso a internet a través del router asignado. Paso 2 (reset) Cada estudiante debe ejecutar un /system reset-configuration no-defaults=yes de tal manera que la configuración del router quede completamente en blanco Paso 3 (solo direcciones IP) Cade estudiante debe configurar únicamente las direcciones IP de las interfaces ether1, ether2 y ether3, y la dirección de su laptop según las especificaciones del la Fig.2.1.1 De igual manera los estudiantes deberán conectar los cables de red en la forma en que está descrita en la Fig.2.1.1 En este punto AUN NO se debe configurar las rutas para llegar a las redes remotas. No debe existir nunguna regla de NAT en ninguno de los routers. •
•
•
• • •
Academy Xperts
9
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 2: Ruteo Estático Simple
Cuando todos los estudiantes de esta red hayan configurado las direcciones IP, cada uno de ellos deberá poder realizar un ping satisfactorio a las direcciones IP de las WAN remotas adyacentes (UNICAMENTE a las adyacentes) Escenario •
Paso 4 (rutas estáticas) En este punto cada Estudiante debe configurar en su router asignado las rutas para llegar a las redes remotas La asignación del gateway deberá realizarse siguiendo el sentido de las manecillas del reloj La tabla de rutas de cada router debe quedar de la siguiente forma: Router dst-address Gateway • • •
RA RB RC RD
172.16.2.0/24 172.16.3.0/24 172.16.4.0/24 172.16.3.0/24 172.16.4.0/24 172.16.1.0/24 172.16.4.0/24 172.16.1.0/24 172.16.2.0/24 172.16.1.0/24 172.16.2.0/24 172.16.3.0/24
10.1.1.2 10.1.1.2 10.1.1.2 10.1.1.6 10.1.1.6 10.1.1.6 10.1.1.10 10.1.1.10 10.1.1.10 10.1.1.14 10.1.1.14 10.1.1.14
Puede hacer ping a las redes LAN remotas? Para este ejercicio es suficiente con que pueda realizar un ping a la dirección IP 172.16.x.1 que corresponde a la interface ether1 remota de cada router. Puede hacer ping a las redes LAN remotas? Paso 5 (rutas estáticas – continuación) Se debe agregar las siguientes entradas en la tabla de rutas de cada router: Router dst-address Gateway • •
•
•
RA
RB
RC RD
Academy Xperts
172.16.2.0/24 172.16.3.0/24 172.16.4.0/24 10.1.1.4/30 10.1.1.8/30 172.16.3.0/24 172.16.4.0/24 172.16.1.0/24 10.1.1.8/30 10.1.1.12/30 172.16.4.0/24 172.16.1.0/24 172.16.2.0/24 10.1.1.12/30 10.1.1.0/30 172.16.1.0/24 172.16.2.0/24
10.1.1.2 10.1.1.2 10.1.1.2 10.1.1.2 10.1.1.2 10.1.1.6 10.1.1.6 10.1.1.6 10.1.1.6 10.1.1.6 10.1.1.10 10.1.1.10 10.1.1.10 10.1.1.10 10.1.1.10 10.1.1.14 10.1.1.14
10
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 2: Ruteo Estático Simple
172.16.3.0/24 10.1.1.0/30 10.1.1.4/30 • •
10.1.1.14 10.1.1.14 10.1.1.14
Puede hacer ping a las redes LAN remotas? Que puede concluir en comparación con los resultados obtenidos en el paso 5? ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Paso 6 (rutas estáticas – ruta por default) Se debe reemplazar las rutas esteatica anteriore por la ruta por default: Router dst-address Gateway 0.0.0.0/0 10.1.1.2 RA 0.0.0.0/0 10.1.1.6 RB 0.0.0.0/0 10.1.1.10 RC 0.0.0.0/0 10.1.1.14 RD Puede hacer ping a las redes LAN remotas? Que puede concluir en comparación con los resultados obtenidos en el paso 5 y en el paso 6? •
• •
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Rutas ECMP (Equal Cost Multi Path) Este mecanismo de ruteo habilita el ruteo de paquetes entre múltiples caminos (paths) y asegura el balanceo de carga. Con ruteo ECMP se puede usar más de un gateway para una red destino. Esto NO significa que provee Failover!!! Con ECMP un router tiene potencialmente varios Next-hops disponibles hacia un destino dado. Un nuevo gateway es elegido para cada nuevo par IP source/destination. Esto significa que, por ejemplo, una conexión FTP usará solo un enlace, pero una nueva conexión a un server diferente usará otro enlace. Una característica importante de ECMP es que los paquetes de conexión simple no son reordenados y por lo tanto no afecta al performance de TCP. Las rutas ECMP pueden ser creadas por protocolos de ruteo (RIP u OSPF), o añadiendo una ruta estática con múltiples gateways, separados con una coma. /ip route add gateway=192.168.0.1, 192.168.1.1
Los protocolos de ruteo pueden crear rutas dinámicas multi-path con igual costo de forma automática. Tiene los siguientes Puntos: Las rutas ECMP tienen más de un gateway a la misma red remota Los gateway serán usados en un esquema de combinación de direcciones Round Robin per SRC/DST. El mismo gateway puede ser escrito muchas veces. • • •
Academy Xperts
11
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 2: Ruteo Estático Simple
Opción “Check-gateway” •
• •
•
Se puede configurar el router para chequear la accesibilidad del gateway usando PROTOCOLOS ICMP (ping) o ARP En Ruteo Simple, si un gateway no puede ser alcanzado, la ruta será declarada inactiva En Ruteo ECMP, si un gateway no pude ser alcanzado, solamente los gateways disponibles serán usados en el algoritmo Round Robin Si se habilita la opción Check-gateway en una ruta, se afectarán todas las rutas con ese gateway
Lab. 2.2 – Ruteo ECMP Objetivos Usando rutas ECMP se debe asegurar la conectividad entre las estaciones de trabajo (laptops). Esto significa que cada uno de los estudiantes deberá estar en capacidad de realizar un ping satisfactorio a los demás computadores en esta red. Por ejemplo, el Estudiante A deberá poder llegar con un ping a las laptops de los Estudiantes B, C y D. Es muy probable que las laptops de los estudiates posean restricciones por firewall o antivirus, y que estas restricciones pudieran no ser desactivadas. En este caso basta con que el ping se realice satisfactoriamente contra ladirección IP de las interfaces LAN ( ether1) de los routers de los estudiantes remotos. Por ejemplo, el Estudante A ( 172.16.1.2) deberá poder llegar con ping a las interfaces ether1 de los routers remotos cuyas direcciones IP son 172.16.2.1 (ether1 router Estudiante B), 172.16.3.1 (ether1 router Estudiante C) y 172.16.4.1 (ether1 router Estudiante D)
Actividades a realizar Paso 1 Cada estudiante deberá eliminar las rutas (en la tabla principal de rutas) generadas en el ejercicio anterior. Paso 2 (para evitar lazos o routing loops) Solo un participante crea una ruta ECMP para cada red 172.16.x.0/24 con check-gateway=ping Los otros participantes ajustan las rutas simples para alcanzar alcanzar al otro Se debe chequear el funcionamiento de la redundancia Recuerda usar traceroute para examinar la configuración Como ejemplo, la siguiente sería la configuración que debe ejucutar el Estudiante A •
• • • • •
/ip route add dst-address=172.16.2.0/24 gateway=10.1.1.2,10.1.1.13 check-gateway=ping /ip route add dst-address=172.16.3.0/24 gateway=10.1.1.2,10.1.1.13 check-gateway=ping /ip route add dst-address=172.16.4.0/24 gateway=10.1.1.2,10.1.1.13 check-gateway=ping •
Esta es la forma como se vería la tabla principal de rutas en el router del Estudiante A
Recuerde que los demás estudiantes deben crear y ajustar las rutas para llegar a las redes remotas SIN usar ECMP Paso 3 (para evitar lazos o routing loops, siguientes estudiantes) Se debe proceder similar a lo ejecutado en el paso-2 con el siguiente participante, hasta que los 4 estudiantes puedan completar el ejercicio. •
•
Lab. 2.3.1 – Ruteo ECMP para balanceo de carga Objetivos Aplicar balanceo de carga usando ECMP
Actividades a realizar Paso 1 • •
Se debe trabajar en grupos de 2 estudiantes El instructor debe asignar otr router para que puedan completar la práctica
Academy Xperts
12
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 2: Ruteo Estático Simple
•
•
• •
•
El Instructor debe configurar 2 AP Virtuales. Cada AP debe tener una subred diferente. El instructor debe configurar un server DHCP en cada AP virtual, y debe asegurar la salida a internet de cada una de esas rubredes. Los estudiantes deben configurar RA y RB como estaciones, recibir de manera dinámica UNICAMENTE la IP. Los valores de gateway y DNS no deben ser obtenidos del DHCP server. Esto se logra en la configuración del dhcpcliente. Los estudiantes deben configurar RC usando ECMP y obtener salida a internet. Es importante que los estudiantes revisen y analicen el tráfico de las interfaces ether2 y ether3 en RC para que constaten el flujo de datos por ambas interfaces. Los estudiantes deben también utilizar la herramienta TORCH para comprobar y analizar el tráfico que fluye por cada interface.
Lab. 2.3.2 – Ruteo ECMP para balanceo de carga Asimétrico Objetivos Aplicar balanceo de carga usando ECMP y forzar a que el tráfico fluya en mayor demanda por una de las interfaces
Actividades a realizar Paso 1 • •
Sin desarmar la configuración del Lab.2.3 se debe poner peso a uno de los gateways en la configuración ECMP Para esto basta con agregar dos o más veces el gateway de la interface por al cual se desea tener más peso en el tráfico. Por ejemplo: / ip route add dst-address=0.0.0.0/0 gateway=171.16.4.5,10.1.2.1,10.1.2.1,10.1.2.1 check-gateway=ping
•
•
Es importante que los estudiantes revisen y analicen el tráfico de las interfaces ether2 y ether3 en RC para que constaten el flujo de datos por ambas interfaces. Los estudiantes deben también utilizar la herramienta TORCH para comprobar y analizar el tráfico que fluye por cada interface.
Opción “distancia” • •
Para priorizar una ruta sobre otra, si ambas apuntan a la misma red, se debe usar la opción “distancia2. Cuando se envía un paquete, el router usara la ruta con la distancia más baja.
Lab. 2.4 – Distancia de ruta •
Crear 2 rutas separadas para cada participante de la red local según las especificaciones de la Fig.2.4.1 o Una ruta en dirección de las manecillas del reloj con distance=1 o Una ruta en dirección contraria a las manecillas del reloj con distance=2
Academy Xperts
13
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 2: Ruteo Estático Simple
• •
Chequear la redundancia deshabilitando las direcciones IP del gateway en dirección de las manecillas del reloj Usar traceroute para examinar la configuración
Ejemplo de configuración
Comportamiento Observado El tráfico no tiene problemas para pasar en sentido horario En el caso de falla “check-gateway” solamente el router afectado pasará el tráfico en sentido anti-horario. Todos los otros routers continuarán enviando en sentido horario Solución: o Si el tráfico comienza a ir en sentido anti-horario, se debería establecer un ruteo anti-horario hasta que alcance su destino. • •
•
Routing Mark • •
•
•
Para asignar tráfico específico a la ruta, el tráfico debe ser identificado por “routing mark” Los Routing Marks pueden ser asignados por la opción Mangle del IP Firewall SOLAMENTE en reglas prerouting y output Los paquetes con routing mark serán ignorados por la tabla de ruteo principal si es que existe por lo menos una ruta para ese routing mark. Si no hay ninguna ruta se usará la tabla de ruteo principal. Cada paquete puede tener solo un routing mark
Lab.2.5 - Política de Ruteo (routing mark) • • • •
Marcar todo el tráfico que pasa el router (chain prerouting) en dirección anti-horaria Enrutar el tráfico anti-horario (usar la opción routing-mark) Chequear la redundancia deshabilitando las direcciones IP del gateway en sentido horario Usar traceroute para examinar la configuración.
Academy Xperts
14
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 2: Ruteo Estático Simple
Ejemplo de configuración
Time To Live (TTL) •
• • • •
TTL es un límite de los dispositivos L3 que los paquetes IP pueden experimentar antes de que deban ser descartados El valor default del TTL es 64 y cada router reduce el valor en uno antes de enviar su decisión El TTL puede ser ajustado en la opción IP Firewall mangle El router no pasará el tráfico al siguiente dispositivo si recibe un paquete con TTL=1 Aplicación útil: eliminar la posibilidad de los clientes de crear redes enmascaradas
Academy Xperts
15
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 2: Ruteo Estático Simple
Cambiando el TTL
Resolviendo el Next-Hop Recursivo Es posible especificar el gateway a una red incluso si el gateway no se puede alcanzar directamente. Esto se puede lograr usando Resolución de Next-Hop Recursivo desde cualquier ruta existente Esto es útil para configuraciones donde la sección media entre el router y el gateway no es constante. Por ejemplo en implementaciones iBGP Una ruta debe estar en el scope (al alcance) de otra ruta para que la Resolución de Next-Hop Recursivo funcione.
Scope / Target-Scope El alcance de la ruta (scope) contiene todas las rutas que el valor de “scope” es menor o igual a su valor “target-scope” Ejemplo: 0 ADC dst-address=1.1.1.0/24 pref-src=1.1.1.1 interface=ether1 scope=10 target-scope=0 1 A S dst-address=2.2.2.0/24 gateway=1.1.1.254 interface=ether1 scope=30 target-scope=10 2 A S dst-address=3.3.3.0/24 pref-src=2.2.2.254 interface=ether1 scope=30 target-scope=30
Otras Opciones “Type” permite crear rutas Dead-end (blackhole/prohibit/unreachable) para bloquear algunas redes a ser ruteadas posterioremente en la red “Preferred Source” apunta a la dirección origen del router preferido para paquetes originados localmente.
Clean-up • • •
Eliminar todas las reglas de mangle Eliminar todas las rutas IP Dejar todas las direcciones IP y la estructura de red intacta.
Academy Xperts
16
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 3: OSPF
Capítulo 3: OSPF Áreas, costos, enlaces virtuales, redistribución de rutas y agregación
Protocolo OSPF OSPF obtiene su nombre del algoritmo SPF de Dijkstra. El prefijo “O” significa que es un protocolo Open (abierto) por lo que cualquier persona puede accesar. Las especificaciones del OSPF se pueden encontrar en el RFC-2328 por lo que múltiples fabricantes soportan OSPF. En contraste, los protocolos IGRP y EIGRP son propietarios de Cisco y son protocolos planos, lo cual significa que no hay jerarquía en la red, es decir que cada router pasa las rutas a cada destino en la red. Una arquitectura jerárquica permite soportar sistemas grandes ya que cada área se responsabiliza únicamente de sus rutas locales. Por otro lado RIP e IGRP no pueden soportar redes grandes porque el overhead del ruteo incrementa de una forma lineal conforme incrementa el tamaño de la red. Una diferencia principal entre OSPF y RIP/IGRP es que OSPF no es un protocolo basado en algoritmo de Vector Distancia, sino que OSPF se basa en el algoritmo de Dijkstra que es un algoritmo de Estado de Enlace (Link State) Para aclarar un poco los términos, un algoritmo de Vector Distancia (Distance Vector – DV) propaga la información de ruteo de un vecino a otro, esto quiere decir que si un router recibe la misma ruta proveniente de múltiple vecinos, elige la ruta con la métrica más baja. Todos los protocolos de Vector Distancia necesitan de estrategias robustas para poder hacer frente a la información de ruteo erróneo. Las rutas malas (rutas incorrectas) pueden persistir en una red c uando la información sobre la pérdida de una ruta no puede alcanzar algún router, por ejemplo debido a la pérdida de una ruta de paquete que se ha actualizado. El protocolo IGRP usa las mismas estrategias de conversión que RIP las cuales incluyen: actualizaciones basadas en disparadores (triggers) horizontes divididos (split horizon) poison reverse, y route hold-downs. Por otro lado en el Algoritmo de Estado de Enlace (Link State Algorithm) la palabra Enlace (link) se refiere a una interface del router, es decir la red a la cual está conectada. La palabra Estado (state) se refiere a las características del enlace tales como: su dirección IP subnet mask costo (o métrica), y estatus operacional (up o down). Los routers que ejecutan OSPF describen el estado de sus enlaces directamente conectados en los paquetes de anuncio de estado del enlace (LSA: Link State Advertisement packets) que se distribuyen a todos los otros routers. Cada router construye la topología de la red usando todos los paquetes LSA que reciben. La topología de la red se describe matemáticamente en la forma de un gráfico. Esta base de datos de la topología constituye la entrada para el algoritmo SPF (Shortest Path First) de Dijkstra. Consigo mismo como “root”, cada router ejecuta el algoritmo SPF para calcular el camino más corto (shortest path) a cada red en el gráfico. Cada router entonces usa su árbol de camino más corto para construir su tabla de ruteo. • • • •
• • • •
Protocolos DV (Vector Distancia) •
•
•
Estos protocolos propagan la rutas de router a router y cada router elige la mejor ruta, a cada destino, a partir de todas las rutas (hacia ese destino) que que el router escucha. La propagación de rutas de router a router se conoce también como “ruteo por rumor” Los protocolos DV deben configurar mecanismos especiales para protegerse contra información producto de un “mal ruteo” que podría propagarse de router a router.
•
•
Algoritmo SPF Los routers que ejecutan este algoritmo (SPF) necesitan garantizar la exactitud de sus bases de datos LS (Link State) Cuando cada router tiene la información de la topología correcta, se puede utilizar el algoritmo SPF para encontrar el camino más corto.
El algoritmo de Dijkstra es costoso en términos de utilización de CPU. Esto significa que el costo de ejecutar este algoritmo se incrementa conforme crece la topología de la red, lo cual puede llegar a ser un problema. Sin embargo, dependiendo de la estructura jerárquica del OSPF, la red puede ser dividida en pequeñas áreas, por lo que el algoritmo SPF se ejecutará en cada router únicamente en la topología dentro de cada área. Para que dos áreas diferentes se comuniquen entre sí, cada área debe resumir sus rutas a un área especial llamada área de backbone o área 0 (cero). El área de backbone por su parte resume las rutas a todas las áreas adjuntas. Por lo tanto, el tráfico entre las dos áreas debe pasar a través del área de backbone.
Academy Xperts
17
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 3: OSPF
Como ya lo revisamos, los protocolos RIP, IGRP y EIGRP son planos. OSP F es un protocolo jerárquico, pero no trabaja bien si la topología de la red crece de una manera desordenada y enmarañada.
Configurando OSPF en MikroTik Con los datos de la Figura 3.2 configuraremos una red sencilla OSPF.
Cada router deberá configurarse en forma independiente e iremos mostrando los pasos por cada dispositivo. Asignación de IPs en Router R1
Direccionamiento IP /ip add add add
address address=172.16.252.2/24 interface=ether1 network=172.16.252.0 address=172.16.100.1/24 interface=ether3 network=172.16.100.0 address=172.16.251.2/24 interface=ether2 network=172.16.251.0
Academy Xperts
18
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 3: OSPF
Obsérvese en la tabla de rutas las entradas que han sido generadas dinámicamente cuando se asignaron las direcciones IP a las respectivas interfaces. [admin@R1] > ip route print Flags: X - disabled, A - active, D - dynamic, - mme, C - connect, S - static, r - rip, b - bgp, o - ospf, m B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADC 172.16.100.0/24 172.16.100.1 ether3 0 1 ADC 172.16.251.0/24 172.16.251.2 ether2 0 2 ADC 172.16.252.0/24 172.16.252.2 ether1 0
Asignación de IPs en Router R2
/ip add add add add
address address=172.16.1.1/24 interface=ether3 network=172.16.1.0 address=172.16.250.1/24 interface=ether1 network=172.16.250.0 address=172.16.251.1/24 interface=ether2 network=172.16.251.0 address=192.168.1.1/24 interface=ether4 network=192.168.1.0
[admin@R2] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADC 172.16.1.0/24 172.16.1.1 ether3 0 1 ADC 172.16.250.0/24 172.16.250.1 ether1 0 2 ADC 172.16.251.0/24 172.16.251.1 ether2 0 3 ADC 192.168.1.0/24 192.168.1.1 ether4 0
Asignación de IPs en Router R3
/ip add add add
address address=172.16.50.1/24 interface=ether3 network=172.16.50.0 address=172.16.250.2/24 interface=ether1 network=172.16.250.0 address=172.16.252.1/24 interface=ether2 network=172.16.252.0
[admin@R3] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADC 172.16.50.0/24 172.16.50.1 ether3 0
Academy Xperts
19
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 3: OSPF
1 ADC 2 ADC
172.16.250.0/24 172.16.252.0/24
172.16.250.2 172.16.252.1
ether1 ether2
0 0
El paso siguiente es configurar en cada router, en la sección network ( /routing ospf network), el ID de cada red que estará involucrada en la red OSPF. Se asume en este ejemplo que todos los routers trabajarán en el área de backbone.
Configuración de Network en Router R1 Es importante reconocer en R1 (al igual que en los demás routers) lo siguiente: Se debe especificar el ID de la red. NO confundirse con la dirección IP de alguna de las interfaces. Por lo tanto, para R1 las redes que participarán en OSPF son: 172.16.251.0/24 y 172.16.252.0/24 La red 172.16.100.0/24 no se configura en /routing ospf network ya que no colinda con ningún otro router o red OSPF Si se requiere que la red LAN se publique hacia los otros routers, entonces se debe realizar a través de /routing • • •
•
ospf instance
Configuración en Network
/routing ospf network add area=backbone network=172.16.251.0/24 add area=backbone network=172.16.252.0/24
Una vez que se ha configurado /routing ospf network, se puede revisar las Interfaces que se han creado automáticamente.
Academy Xperts
20
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 3: OSPF
[admin@R1] > routing ospf interface print Flags: X - disabled, I - inactive, D - dynamic, P - passive # INTERFACE COST PRIORITY NETWORK-TYPE AUTHENTICATION AUTHENTICATIONKEY 0 D ether2 10 1 broadcast none 1 D ether1 10 1 broadcast none
Para redistribuir la red LAN se debe modificar en /routing ospf instance la instancia OSPF por default. NO se debe generar una nueva. Se debe configurar la Redistibución de las Rutas Conectadas como Type 1. De esta manera la red LAN será distribuida a los demás routers que formarán parte de la red OSPF.
/routing ospf instance set [ find default=yes ] redistribute-connected=as-type-1
Revisaremos la tabla de rutas de R1 (y de los demás routers) para ir analizando el avance. Puesto que es el primer router que configuramos en la red OSPF, observaremos que la tabla de rutas aparece sin cambios.
[admin@R1] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADC 172.16.100.0/24 172.16.100.1 ether3 0 1 ADC 172.16.251.0/24 172.16.251.2 ether2 0 2 ADC 172.16.252.0/24 172.16.252.2 ether1 0
Tampoco encontraremos información en la revisión de los Neighbors en OSPF, ya que no hay otros routers agregados.
[admin@R1] > routing ospf neighbor print
Configuración de Network en Router R2 Es importante reconocer en R2 (al igual que en los demás routers) lo siguiente: Se debe especificar el ID de la red. NO confundirse con la dirección IP de alguna de las interfaces. Por lo tanto, para R2 las redes que participarán en OSPF son: 172.16.251.0/24 y 172.16.250.0/24 Las redes 172.16.1.0/24 y 192.168.1.0/24 no se configuran en /routing ospf network ya que no colindan con ningún otro router o red OSPF Si se requiere que las redes LAN se publiquen hacia los otros routers, entonces se debe realizar a través de • • •
•
/routing ospf instance
Configuración en Network Academy Xperts
21
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 3: OSPF
/routing ospf network add area=backbone network=172.16.251.0/24 add area=backbone network=172.16.250.0/24
Una vez que se ha configurado /routing ospf network, se puede revisar las Interfaces que se han creado automáticamente.
[admin@R2] > routing ospf interface print Flags: X - disabled, I - inactive, D - dynamic, P - passive # INTERFACE COST PRIORITY NETWORK-TYPE AUTHENTICATION AUTHENTICATIONKEY 0 D ether2 10 1 broadcast none 1 D ether1 10 1 broadcast none
Para redistribuir la red LAN se debe modificar en /routing ospf instance la instancia OSPF por default. NO se debe generar una nueva. Se debe configurar la Redistibución de las Rutas Conectadas como Type 1. De esta manera la red LAN será distribuida a los demás routers que formarán parte de la red OSPF.
/routing ospf instance set [ find default=yes ] redistribute-connected=as-type-1
Revisaremos la tabla de rutas de R2 (y de los demás routers) para ir analizando el avance. La siguiente es la tabla de rutas en R2. Puede observarse que ya aparecen los datos de las redes distribuidas por R1, tanto la red 172.16.252.0/24 como su red LAN 172.16.100.0/24
[admin@R2] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADC 172.16.1.0/24 172.16.1.1 ether3 0
Academy Xperts
22
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 3: OSPF
1 2 3 4 5
ADo ADC ADC ADo ADC
172.16.100.0/24 172.16.250.0/24 172.16.251.0/24 172.16.252.0/24 192.168.1.0/24
172.16.250.1 172.16.251.1 192.168.1.1
172.16.251.2 ether1 ether2 172.16.251.2 ether4
110 0 0 110 0
En la revisión de los Neighbors en OSPF en R2, ya podemos observar que aparece el ID del router R1.
[admin@R2] > routing ospf neighbor print 0 instance=default router-id=172.16.100.1 address=172.16.251.2 interface=ether2 priority=1 dr-address=172.16.251.2 backup-dr-address=172.16.251.1 state="Full" state-changes=6 ls-retransmits=0 ls-requests=0 db-summaries=0 adjacency=11m35s
Configuración de Network en Router R3 Es importante reconocer en R3 (al igual que en los demás routers) lo siguiente: Se debe especificar el ID de la red. NO confundirse con la dirección IP de alguna de las interfaces. Por lo tanto, para R3 las redes que participarán en OSPF son: 172.16.252.0/24 y 172.16.250.0/24 La red 172.16.50.0/24 no se configura en /routing ospf network ya que no colinda con ningún otro router o red OSPF Si se requiere que la red LAN se publique hacia los otros routers, entonces se debe realizar a través de /routing • • •
•
ospf instance
Configuración en Network
/routing ospf network add area=backbone network=172.16.250.0/24 add area=backbone network=172.16.252.0/24
Una vez que se ha configurado el Network OSPF, se puede revisar las Interfaces que se han creado automáticamente.
[admin@R2] > routing ospf interface print Flags: X - disabled, I - inactive, D - dynamic, P - passive # INTERFACE COST PRIORITY NETWORK-TYPE AUTHENTICATION AUTHENTICATIONKEY 0 D ether1 10 1 broadcast none 1 D ether2 10 1 broadcast none
Para redistribuir la red LAN se debe modificar la instancia OSPF por default. NO se debe generar una nueva. Se debe configurar la Redistibución de las Rutas Conectadas como Type 1. De esta manera la red LAN será distribuida a los demás routers que formarán parte de la red OSPF.
Academy Xperts
23
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 3: OSPF
/routing ospf instance set [ find default=yes ] redistribute-connected=as-type-1
Revisaremos la tabla de rutas de R3 (y de los demás routers) para ir analizando el avance. La siguiente es la tabla de rutas en R3. Puede observarse que ya aparecen los datos de las redes distribuidas por R1 y R2
[admin@R3] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADo 172.16.1.0/24 172.16.250.1 110 1 ADC 172.16.50.0/24 172.16.50.1 ether3 0 2 ADo 172.16.100.0/24 172.16.252.2 110 3 ADC 172.16.250.0/24 172.16.250.2 ether1 0 4 ADo 172.16.251.0/24 172.16.250.1 110 172.16.252.2 5 ADC 172.16.252.0/24 172.16.252.1 ether2 0 6 ADo 192.168.1.0/24 172.16.250.1 110
En la revisión de los Neighbors en OSPF en R3, ya podemos observar que aparecen los ID de los router R1 y R2.
[admin@R3] > routing ospf neighbor print 0 instance=default router-id=172.16.100.1 address=172.16.252.2 interface=ether2 priority=1 dr-address=172.16.252.2 backup-dr-address=172.16.252.1 state="Full" state-changes=5 ls-retransmits=0 ls-requests=0 db-summaries=0 adjacency=7m42s 1 instance=default router-id=172.16.1.1 address=172.16.250.1 interface=ether1 priority=1 dr-address=172.16.250.1 backup-dr-address=172.16.250.2 state="Full" state-changes=5 ls-retransmits=0 ls-requests=0 db-summaries=0 adjacency=7m57s
Luego de finalizada la configuración en los 3 equipos, revisaremos en conjunto los Neighbors en R1, R2 y R3 respectivamente. Se podrá observar que cada uno ve a los routers adyacentes como sus vecinos.
Academy Xperts
24
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 3: OSPF
Observemos lo que registran las tablas de rutas de los 3 equipos, R1, R2 y R3 respectivamente:
Métrica OSPF Cada router OSPF ejecuta el algoritmo SPF de Dijkstra para calcular la ruta más corta desde sí mismo a cada subred en su área. Sin embargo, el estándar RFC 2328 no especifica cómo un router debe calcular el costo de una red conectada. Este cálculo se lo deja al fabricante/vendedor. Por ejemplo, un fabricante podría calcular el coste de una red conectada de la siguiente manera: costo = 10 8 / (ancho de banda de la interface en bits por segundo) Basado en esta definición, la tabla a continuación muestra el costo OSPF para algunos tipos de m edios. El costo se redondea hacia abajo, al número entero más cercano. Academy Xperts
25
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 3: OSPF
Tipo de Medio Ethernet Fast Ethernet FDDI T-1 (interface serial)
Ancho de banda por default 10 Mbps 100 Mbps 100 Mbps 1,544 kbps
Costo OSPF por default 10 1 1 64
Métrica Externa Type 1
Métrica Externa Type 2
Costo de Interface • • •
Todas las interfaces tiene un costo por default de 100 Para pasar por encima la configuración por default se debe añadir una nueva entrada en el menú de interface Se debe elegir el correcto tipo de red para la interface
Interfaces - Descripción Esta opción provee herramientas para una configuración adicional de parámetros específicos de la interface OSPF. No es necesario configurar las interfaces para que funcione OSPF.
Academy Xperts
26
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 3: OSPF
Cost: (1..65535) Costo de la interface expresado como una métrica del estado de enlace Priority: (0..255) Prioridad del router (default 1). Ayuda a determinar cual será el Router Designado (DR=Designated Router) de la red. Cuando 2 routers conectados a la red intentan ambos ser un DR, el router que tiene la prioridad más alta se convierte en DR. Si es “0” entonces el router NO es elegible para ser designado ni backup Authentication Key: usado por los routers que trabajan con autenticación/clave (MD5 o Simple) Interfaces – Descripción (cont.) Retransmit Interval: (segs.) Es el tiempo que toma en retransmitir los anuncios de los estados de enlace perdidos. Cuando un router envía un LSA (Link State Advertisement) a sus vecinos, mantiene ese LSA hasta que recibe una respuesta de retorno (ackonwledgment). Si no recibe ningún acknowledgment en ese tiempo, el router retransmi tirá el LSA. Se recomienda los siguientes parámetros: Broadcast Network: 5 segundos Point-to-point Network: 10 segundos Transmit Delay: Es el tiempo estimado que toma en transmitir un paquete de actualización de estado de enlace en la interface Hello Interval: Intervalo entre los “paquetes hello” que el router envía en la interface. Mientras más pequeño el intervalo, se detectarán más rápido de topología, pero, se producirá un mayor tráfico de ruteo. Este valor debe ser el mismo en cada lado adyacente, de otra forma la adyacencia no funcionará. Router Dead Interval: Especifica el intervalo después del cual un vecino es declarado como “muerto” Este intervalo es anunciado en los paquetes “hello” del router. Este valor debe ser el mismo para todos los routers y servidores de acceso en una red específica. Routers Designados Para reducir el tráfico OSPF en redes NBMA y broadcast, se introdujo una sola fuente para la actualización de rutas: Designated Router (DR) DR mantiene una tabla completa de la topología de la red y envía las actualizaciones a los otros El Router con la más alta prioridad (slide anterior) será elegido como DR El Router con la siguiente prioridad será elegido como Backup DR (BDR) Un Router con prioridad 0 nunca podrá ser DR o BDR. • •
• • •
• • •
•
•
•
• • • •
Systema Autónomo (AS) Un Sistema Autónomo (en inglés, Autonomous System: AS) se define como “un grupo de redes IP que poseen una política de rutas propia e independiente”. Esta definición hace referencia a la característica fundamental de un Sistema Autónomo: realiza su propia gestión del tráfico que fluye entre él y los restantes Sistemas Autónomos que forman Internet. Un número de AS o ASN se asigna a cada AS, el que lo identifica de manera única a sus redes dentro de Internet. Un sistema autónomo es una colección de redes y routers IP bajo el control de una entidad (OSPF, iBGP, RIP) que presenta una política de ruteo común al resto de la red. El AS es identificado por un número de 16 bits (0-65535) o El rango de 1 a 64511 se usa para internet o El rango de 64512 a 65535 es para uso privado Operación Los Sistemas Autónomos se comunican entre sí mediante routers, los que intercambian información para tener actualizadas sus tablas de ruteo mediante el protocolo BGP e intercambian el tráfico de Internet que va de una red a la otra. A su vez cada Sistema Autónomo es como una Internet en pequeño, ya que su rol se llevaba a cabo por una sola entidad, típicamente un Proveedor de Servicio de Internet (ISP) o una gran organización con conexiones independientes a múltiples redes, las cuales se apegaban a una sola y clara política de definición de trayectorias. El RFC 1771 describía la definición original (obsoleta) del Protocolo BGP (Border Gateway Protocol). •
•
Academy Xperts
27
RouterOS v6.36.0.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 3: OSPF
Áreas Puesto que el algoritmo de Dijkstra consume más recursos de CPU conforme la red crece, dicho algoritmo no es ideal para topologías grandes. Sin embargo OSPF provee una solución para esta situación y es dividir la red en áreas y ejecutar el algoritmo de Dijkstra en cada topología intra-area. Entonces, un área es un conjunto de redes contiguas y de routers que comparten un ID de área único. Cada área mantiene su propia base de datos topológica, y por lo tanto otras áreas no pueden ver ésta información topológica. El algoritmo SPF se ejecuta en los routers que están dentro de cada área . La red puede crecer casi sin límites con la incorporación de nuevas áreas. Si un área se vuelve demasiado grande, se puede dividir en dos o más áreas. Antes de que un router puede ejecutar el algoritmo SPF, debe tener la base de datos topológica más reciente para su área. Es importante tener en cuenta que un router puede tener interfaces en m últiples áreas. Cualquier cambio de topología en un área ocasionará que el SPF vuelva a calcular en todos los routers con interfaces en esa área. Los routers en otras áreas no se verán afectados por el cambio. Dividir una red en áreas es similar a dividir una red grande en redes más pequeñas e independientes. A diferencia de las redes planas como RIP e IGRP en el que cada router tiene las mismas responsabilidades y tareas, la jerarquía de OSPF impone una estructura en la que los routers e incluso las áreas se diferencian con respecto a sus funciones. OSPF permite la colección de routers para que sean agrupados (7">#"= "> "=#? 7GKS"G">#?N7T>U
%()*%+,*%*/-).
VRRP + Internet (router) Apoyo usando ECMP – Identificando problemas !"#$%"$#
!"#$%"$#
=>?@
=>?@
678#"9 !"#$%&
!"#$)&
!"#$:& %4)*%(*%*%-).
!;91
8: :;60)? @ 5=#"3A;B" 43567" ;66 =;#"3B interface pptp-client monitor pptp-out1 status: connected uptime: 12m22s encoding: mtu: 1450 mru: 1450 local-address: 10.3.3.3 remote-address: 10.2.2.2 -- [Q quit|D dump|C-z pause]
Academy Xperts
85
RouterOS v6.35.2.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 7: Laboratorio Detallado de Túneles
Paso 6 R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.2.0/24) especificando como Gateway la dirección IP de la interface del túnel PPTP remota /ip route add dst-address=192.168.2.0/24 gateway=10.3.3.3
R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.1.0/24) especificando como Gateway la dirección IP de la interface del túnel PPTP remota /ip route add dst-address=192.168.1.0/24 gateway=10.2.2.2
Paso 7 R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.168.2.254
R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.168.1.254
Academy Xperts
86
RouterOS v6.35.2.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 7: Laboratorio Detallado de Túneles
Laboratorio 7.4 – Túnel PPTP (R1 Client – R2 Server) El diagrama inicial de configuración es el que se presenta en la Figura 8.4.1
Los pasos a seguir en este ejercicio son los siguientes: Paso 1 R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.3 ( dst-address=192.168.2.0/24 gateway=10.3.3.3) R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.3 ( dst-address=192.168.1.0/24 gateway=10.2.2.2) • • •
Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP Es IMPORTANTE que se mantenga el túnel PPTP creado en el Laboratorio 8.3 para demostrar que un mismo router puede actuar como Cliente y Server a la vez.
Paso 2 R2 (Router 2) tendrá el rol de Server PPTP por lo que debe crear la siguiente configuración: 1. Crear el PPP SECRET. El perfil/profile que se utilizará es DEFAULT (sin encriptación) /ppp secret add name=prueba password=prueba service=pptp local-address=10.4.4.4 \ remote-address=10.5.5.5
2.
Habilitar el servicio PPTP SERVER /interface pptp-server server set enabled=yes default-profile=default
Paso 3 R1 (Router 1) tendrá el rol de Cliente PPTP por lo que debe crear la siguiente configuración: /interface pptp-client add name=pptp-out1 connect-to=10.1.1.6 \ user=prueba password=prueba profile=default disabled=no
Paso 4 1. R2 (Router 2) debe verificar que se ha generado una interface pptp y que se encuentra corriendo ( R). Esta interface se ha generado dinámicamente ( D) /interface pptp-server print Flags: X - disabled, D - dynamic, R - running # NAME USER MTU CLIENT-ADDRESS 0 DR prueba 1450 10.1.1.2 2. R2 debe verificar el estatus de la conexión (connected) interface pptp-server monitor status: connected uptime: 4m23s user: prueba caller-id: 10.1.1.2 encoding: mtu: 1450 mru: 1450 local-address: 10.4.4.4 remote-address: 10.5.5.5 -- [Q quit|D dump|C-z pause]
UPTIME 1m16s
ENCODING
Nota: El pptp-server asignó las direcciones local (local-address) y remota (remote-address) a am bas interfaces del túnel
Academy Xperts
87
RouterOS v6.35.2.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 7: Laboratorio Detallado de Túneles
Paso 5 1. R1 (Router 1) debe verificar que la interface pptp-client se encuentra corriendo ( R). /interface pptp-client print Flags: X - disabled, R - running 0 R name="pptp-out1" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=10.1.1.2 user="prueba" password="prueba" profile=default keepalive-timeout=60 add-default-route=no dial-on-demand=no allow=pap,chap,mschap1,mschap2
2.
R1 debe verificar el estatus de la conexión ( connected) /interface pptp-client monitor pptp-out1 do file interval numbers [admin@R2] > interface pptp-client monitor pptp-out1 status: connected uptime: 12m22s encoding: mtu: 1450 mru: 1450 local-address: 10.5.5.5 remote-address: 10.4.4.4 -- [Q quit|D dump|C-z pause]
Paso 6 R1 (Router 1) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.2.0/24) especificando como Gateway la dirección IP de la interface del túnel PPTP remota /ip route add dst-address=192.168.2.0/24 gateway=10.4.4.4
R2 (Router 2) debe crear una entrada en la tabla de rutas para llegar a la red remota (192.168.1.0/24) especificando como Gateway la dirección IP de la interface del túnel PPTP remota /ip route add dst-address=192.168.1.0/24 gateway=10.5.5.5
Paso 7 R1 (Router 1) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.168.2.254
R2 (Router 2) debe verificar que llega a la IP de la interface LAN remota ejecutando un ping /ping 192.168.1.254 Nota: Al final de este ejercicio puede constatar que un mismo router puede actuar como Cliente y como Server al mismo tiempo cuando se configuran túneles.
Academy Xperts
88
RouterOS v6.35.2.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 7: Laboratorio Detallado de Túneles
Laboratorio 7.5 – Bridge a través de un túnel PPTP usando BCP Objetivos: • • •
Interconectar 2 redes remotas (Red A y Red B) y formar una sola red Ethernet (un mismo dominio de broadcast) Se requiere usar encriptación para proteger la integridad de los datos. Esta actividad se realizará con túnel PPTP y protocolo BCP
Bases Conceptuales: RouterOS soporta BCP (Bridge Control Protocol) para las interfaces PPP, PPTP, L2TP y PPPoE. BCP permite que los paquetes pasen en Bridge a través de un enlace PPP. Para hacer Bridging, BCP puede utilizarse en lugar de EoIP + Túnel VPN Para hacer Bridging, BCP puede utilizarse en lugar de un enlace WDS en una red inalámbrica Cuando se establece el BCP, éste constituye una parte independiente del túnel PPP. No está relacionado a ninguna dirección IP de la interface PPP, razón por la cual el Bridging y el Routing se pueden realizar al mismo tiempo de forma independiente. • • • •
Requerimientos: BCP debe ser habilitado en ambos lados (PPP server y PPP cliente) para poder funcionar. RouterOS puede trabajar con otros dispositivos que soporte BCP de acuerdo al estándar siempre y cuando el BCP esté habilitado. El diagrama de configuración al que se desea llegar es el que se presenta en la Figura 8.5.1 • •
Paso 1 1. R1 (Router 1) debe remover la ruta creada en el Laboratorio 8.4 ( dst-address=192.168.2.0/24 gateway=10.5.5.5) 2. R1 (Router 1) debe eliminar la IP asignada a la interface ether2 ( 192.168.1.254/24) 3. R2 (Router 2) debe remover la ruta creada en el Laboratorio 8.4 ( dst-address=192.168.1.0/24 gateway=10.4.4.4) 4. R2 (Router 2) debe eliminar la IP asignada a la interface ether2 ( 192.168.2.254/24) 5. Después de eliminar las direcciones IP de las interfaces ether2, los estudiantes deberán ingesar por MAC Winbox a los respectivos dispositivos. Notas importantes: • • •
Este paso es necesario para que no haya inconvenientes con el direccionamiento de las redes No es necesario que los Routers desactiven/eliminen los túneles EoIP ni IPIP No es necesario que los Routers desactiven/eliminen los túneles PPTP creados en los Laboratorios 8.3 y 8.4
Paso 2 (configuración en R1 en la RED A) 1. Primero se debe crear una interface Bridge, y se debe segurar que el Bridge tiene una dirección MAC. El motivo es porque los puertos PPP no tienen dirección MAC. /interface bridge add name=bridge_local protocol-mode=rstp /interface bridge port add bridge=bridge_local interface=ether2
2.
Debemos asegurarnos que el Bridge posee una dirección MAC. Para esto asignamos la MAC de la interface ether2 al bridge com MAC de Administración. D4:CA:6D:E5:7F:DF es la dirección MAC de ether2 en el router del laboratorio ejemplo. Usted debe obtener la dirección MAC de su equipo. /interface bridge set bridge_local admin-mac=D4:CA:6D:E5:7F:DF
Academy Xperts
89
RouterOS v6.35.2.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 7: Laboratorio Detallado de Túneles
3.
Asignamos las IP a la interface bridge_local. Se asume que la interface wlan ya tiene asignada su IP desde los laboratorios anteriores. /ip address add address=192.168.1.254/24 interface=bridge_local
4.
En este laboratorio vamos a utilizar el túnel PPP únicamente para hacer Bridge, por lo que la configuración del Profile PPP es sencilla y no requiere que se asignen direcciones IP a las interfaces de túnel local y remoto. Por lo tanto solo se va a user/password, y muy importante especificar la opción bridge en el Profile. /ppp profile add name=ppp_bridge bridge=bridge_local use-encryption=yes /ppp secret add profile=ppp_bridge name=pruebabridge password=pruebabridge
5.
Cuando se hace Bridge, el túnel PPP necesita pasar los paquetes con la cabecera de Capa 2 incluida, por lo que el valor MTU de la interface no es suficiente. Para el caso de túneles PPTP el MTU es de 1460. Para asegurar una operación apropiada se sugiere modificar el valor del MRRU en el router que hace de Server, po lo que se debe especificar un valor de MRRU mayor. Recuerde que MRRU permite habilitar soporte multi-link sobre un enlace único, y lo hace dividiendo el paquete hacia múltiples canales y por consiguiente incrementando el valor de MTU y MRRU. /interface pptp-server server set enabled=yes mrru=1600
Paso 3 (configuración en R2 en la RED B) 1. Primero se debe crear una interface Bridge, y se debe asegurar que el Bridge tiene una dirección MAC. El motivo es porque los puertos PPP no tienen dirección MAC. /interface bridge add name=bridge_local protocol-mode=rstp /interface bridge port add bridge=bridge_local interface=ether2
2.
Debemos asegurarnos que el Bridge posee una dirección MAC. Para esto asignamos la MAC de la interface ether2 al bridge con MAC de Administración. D4:CA:6D:B4:31:19 es la dirección MAC de ether2 en el router del laboratorio ejemplo. Usted debe obtener la dirección MAC de su equipo. /interface bridge set bridge_local admin-mac=D4:CA:6D:B4:31:19
3.
Asignamos las IP a la interface bridge_local. Se asume que la interface wlan ya tiene asignada su IP desde los laboratorios anteriores. /ip address add address=192.168.1.253/24 interface=bridge_local
4.
En este laboratorio vamos a utilizar el túnel PPP únicamente para hacer Bridge, por lo que la configuración del Profile PPP es sencilla. Por lo tanto es muy importante especificar la opción bridge en el Profile. Recuerde que R2 actuará como Cliente PPTP por lo que NO necesita configurar SECRET. /ppp profile add name=ppp_bridge bridge=bridge_local use-encryption=yes
Academy Xperts
90
RouterOS v6.35.2.01 – Ruteo Avanzado y Alta Disponibilidad, Capítulo 7: Laboratorio Detallado de Túneles
5.
Se debe crear la interface pptp-client. Recuerde que se debe especificar el valor de MRRU del mismo valor al que se especificó en el pptp-server. De esta forma se asegura que los paquetes pasen adecuadamente por el túnel PPP. /interface pptp-client add profile=ppp_bridge user=pruebabridge password=pruebabridge disabled=no
mrru=1600
connect-to=10.1.1.2
Paso 4 Las laptops de las Redes A y B deben configurar una IP de la misma subred. Por ejemplo: Laptop Red A: 192.168.1.1/24 Laptop Red B: 192.168.1.2/24 Con esta configuración ambas laptops debe poder hacer PING entre ellos.
Academy Xperts
91