treinamento mikrotik - mtcine.pdf
TRANSCRIPT
-
Treinamento MikroTik RouterOSCertificao MTCINE
Produzido por: Alive Solutionswww.alivesolutions.com.br
Instrutor: Guilherme Ramires
-
AGENDA
Treinamento dirio das 09:00hs s 19:00hs
Coffe Break as 16:00hs
Almoo as 13:00hs 1 hora de durao
2
-
Algumas regras importantes Por ser um curso oficial, o mesmo no poder ser
filmado ou gravado
Procure deixar seu aparelho celular desligado ou em modo silenciosomodo silencioso
Durante as explanaes evite as conversas paralelas. Elas sero mais apropriadas nos laboratrios
Desabilite qualquer interface wireless ou dispositivo 3G em seu laptop
3
-
Algumas regras importantes
Perguntas so sempre bem vindas. Muitas vezes a sua dvida a dvida de todos.
O acesso a internet ser disponibilizado para efeito didtico dos laboratrios. Portanto evite o uso didtico dos laboratrios. Portanto evite o uso inapropriado.
O certificado de participao somente ser concedido a quem obtiver presena igual ou superior a 75%.
4
-
Apresente-se a turma
Diga seu nome; Sua empresa; Seu conhecimento sobre o RouterOS; Seu conhecimento com redes TCP/IP; Seu conhecimento com redes TCP/IP; O que voc espera do curso;
Lembre-se de seu nmero: XY
5
-
Objetivo do Curso
Prover conhecimento terico e prtico referentes aos recursos Internetworking e MPLS bsico e avanado no RouterOS a serem aplicados em redes de pequeno e grande porte.
6
Aps a concluso do curso, voc ser capaz de planejar, implementar, ajustar e depurar as configuraes de BGP e MPLS implementados pelo RouterOS.
-
Viso Geral
BGP BGP Basics (iBGP, eBGP)
Distribuio, filtros e BGP attributes
7
MPLS Introduo ao MPLS
LDP
L2 e L3 VPN's
Traffic Engineering
-
Primeiro lab
Por favor resetem as RBs!
/system reset no-defaults=yes
-
Cenrio da aula
Dividam-se em grupos de 4 alunos;
Criem uma rede conforme mostrado no slide a seguir;
Os routers R1 e R2 iro se conectar ao SSID
9
Os routers R1 e R2 iro se conectar ao SSID AS100;
Cada router da rede local ter uma rede 192.168.xy.0/24 onde: X o nmero do grupo
Y o nmero do router
-
Setup
10
-
BGP
11
BGP Border Gateway Protocol
-
AVISO IMPORTANTE
Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.
-
Protocolo padro do Router de Borda;
Usado tambm como protocolo de roteamento Inter-AS;
Informaes sobre a topologia da rede no so
BGP - Bsico
13
Informaes sobre a topologia da rede no so trocadas. Somente informaes sobre alcanabilidade;
O nico protocolo que pode lidar com uma rede do tamanho da internet;
Utiliza o algoritmo de distncia vetorial.
-
BGP - Autonomous system(AS) Conjunto de roteadores que compartilham a mesma
poltica de roteamento;
Troca de rotas: Routers com o mesmo AS usam o mesmo IGP Routers entre ASs usam EGP
14
Routers entre ASs usam EGP
So nmeros nicos;
Podem ser de: 16 e 32 bits
Nmeros entre 64512 65535 so reservados pra uso privado.
-
Implementao da distncia vetorial
O prefixo informado com a lista de ASs ao longo do caminho chamado AS Path;
Trata todo o AS como um nico ponto de caminho;
15
caminho;
Pode esconder a topologia da rede dentro do AS;
No capaz de prover uma rede livre de loops dentro do prprio AS.
-
Implementao da distncia vetorial
16
-
BGP - Capabilities informado por seu peer BGP os cdigos de capacidades
suportadas;
Se uma capacidade no suportada, uma mensagem de notificao enviada de volta;
17
Neste caso o peer vai tentar estabelecer conexo sem a capacidade caso ela no seja requerida;
Alguns exemplos de capacidades do RouterOS so: Route Refresh(RFC 2918); Multi-protocol Extension(RFC 4760); Suporte aos novos AS de 4-bytes.
-
BGP - Transporte
Funciona trocando informaes de NLRI(Network Layer Reachability Information);
O NLRI possui diversos atributos BGP e um ou mais atributos que eles possam estar associados;
18
Utiliza o protocolo TCP na porta 179 como transporte;
Inicialmente a tabela full routing trocada entre os peers;
Informaes extras de atualizao sero feitos aps a troca inicial.
-
Formato do Pacote
O pacote possui 4 campos principais:
Marker (128 bits) Usado para autenticao;
Length (16 bits);
Type (8 bits) Tipo de mensagem BGP;
19
Type (8 bits) Tipo de mensagem BGP;
Message body.
-
BGP Tipos de mensagens
So 4 tipos de mensagens: Open: Primeira mensagem enviada aps a conexo
TCP ser estabelecida. Contm a lista de capacidades e deve ser confirmada com uma mensagem de keepalive;
Keepalive: No contm dados. Enviada somente para
20
Keepalive: No contm dados. Enviada somente para evitar que a sesso expire;
Update: Atualizao de rotas. Contm: NLRI; Path attributes;
Notification: Enviada quando algum erro ocorre. Contm um cdigo e sub-cdigo do erro.
-
BGP Session e Update
21
-
BGP - Networks Indica quais redes o protocolo deve originar a partir do router;
Por padro a rede somente advertida se estiver presente na tabela de rotas;
O mecanismo de synchronization pode ser desativado se: Seu AS no prov servio de transito;
22
Seu AS no prov servio de transito; Todos os routers de trnsito rodam BGP;
Desabilitar o sync permite uma convergncia mais rpida do BGP;
O mecanismo de sync pode ser muito perigoso caso a conexo esteja muito instvel;
Pode ser configurado em: /routing bgp network
-
BGP Multi Protocol
O formato do pacote BGP foi designado inicialmente no padro IPv4;
Uma famlia de novos atributos foram criados para poder dar suporte aos novos tipos de endereos;
23
poder dar suporte aos novos tipos de endereos;
O RouterOS suporta os seguintes: IPv6;
L2VPN;
VPN4;
Cisco Style L2VPN.
-
BGP - Instances
Cada instncia BGP roda seu prprio algoritmo de seleo; Rotas entre as instncias so eleitas por outros
mtodos como distance, por exemplo;
Rotas de uma instncia no so automaticamente
24
Rotas de uma instncia no so automaticamente redistribudas para outras instncias; Para isso necessrio que voc opte por esta opo:/routing bgp instance
set redistribute-other-bgp=yes
Os atributos BGP so herdados de outras instncias.
-
BGP - Habilitando
Acima est a configurao mnima.
25
Se o router-id no for informado, o maior endereo IP ser usado.
Verifique o status da conexo com o comando print. Qualquer estado diferente de established significa que no h troca de base de dados.
-
Cenrios Rede Stub
Single Homed Utiliza-se AS privado(64512-65535);
O ISP origina somente rota default;
Na verdade o BGP no seria necessrio; Na verdade o BGP no seria necessrio;
O router(ISP upstream) que fecha BGP com AS pblico que adverte as redes;
Deve usar a mesma poltica do ISP
-
Remoo do AS privado
Seu AS privado no pode chegar ao ambiente pblico;
Ele deve estar disponvel somente para seus vizinhos eBGP do AS
27
Ele deve estar disponvel somente para seus vizinhos eBGP do AS privado;
Anuncie somente rotas agregadas;
Utilize o seguinte comando:
-
AVISO IMPORTANTE
Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.
-
BGP - Lab 1
Crie uma rede BGP conforme ilustrado no prximo slide: Os routers R1 e R2 vo fechar peer com o AP;
Os routers R2 e R4 vo fechar peer entre si;
Os routers R1 e R3 vo fechar peer entre si;
29
Os routers R1 e R3 vo fechar peer entre si;
Anuncie sua rede local;
O AS privado deve ser removido;
R1 e R2 originem rota default.
-
BGP Lab 1
30
-
Cenrios Rede Stub
Multihomed: Utiliza-se AS privado tambm opcional;
Pode ser usado: Como link backup/principal;
Balanceamento de carga;
31
Balanceamento de carga;
O router(ISP upstream) que fecha BGP com AS pblico que adverte as redes;
Deve usar a mesma poltica do ISP
upstream.
-
Cenrios no stub
Necessita de um AS pblico;
Uma range IP de seu RIR;
Pode utilizar uma poltica de roteamento diferente de seus ISPs;
32
seus ISPs;
Pode ser usado: Como link backup/principal;
Balanceamento de carga;
Maiores polticas de roteamento avanado.
-
BGP - Contrack
A contrack no capaz de manter vlidas as conexes em um ambiente multihomed;
Pacotes relacionados a uma conexo podem fluir por diferentes caminhos;
33
Pacotes relacionados a uma conexo podem fluir por diferentes caminhos; Por isso muito importante que neste tipo de cenrio
voc JAMAIS use drop conexes invlidas no firewall.
A contrack pode ser desabilitada para obteno de uma melhor performance.
-
AVISO IMPORTANTE
Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.
-
BGP Lab 2
Adicione o R3 ao mesmo AS do R1;
Adicione o R4 ao mesmo AS do R2;
Crie um peer entre R4 e R3;
35
Crie um peer entre R4 e R3;
Habilite o OSPF para distribuir rotas conectadas nos routers de mesmo AS;
Anunciem ambas as redes locais de seus AS;
-
BGP Lab 2
36
-
BGP Lab 2
37
-
BGP Lab 2
38
O BGP distribui somente a melhor rota. Enquanto em R1 a melhor rota recebida de R3, R1 no distribui de volta as redes 12.0/24 e 14.0/24 para R3.
-
eBGP e iBGP
iBGP: peers entre routers do mesmo AS;
eBGP: peers entre routers de outros AS;
39
-
eBGP
Quase sempre formado por peers que esto diretamente conectados;
A opo multi-hop exigida se o peer no estiver diretamente conectado;
40
estiver diretamente conectado;
Adiciona o AS ao prefixo de caminho advertido;
Por padro a opo Next-hop e alterada para self.
-
eBGP Exemplo de multihop
41
Neste exemplo podemos ver um bom exemplo do uso do multihop mesmo em routers diretamente conectados.
Nesta configurao foi utilizado endereo loopback para conexo entre os peers e portanto seria necessrio o uso de rota esttica ou algum IGP para existir alcanabilidade IP entre os mesmos.
Esta uma tima prtica para evitar ataques DoS.
-
iBGP
Por padro o next-hop no modificado Utilize algum IGP(RIP, OSPF, esttico) para garantir a
alcanabilidade IP dentro do AS.
Atributos aprendidos a partir do iBGP no so alterados para no impactar a seleo de caminho para rede externa;
42
O as_path no manipulado;
Prover formas de controlar pontos de sada do AS;
Rotas externas recebidas de um peer iBGP no so passadas para outros peers iBGP; Para que isso ocorra necessrio o uso de full mesh ou router
reflect.
-
iBGP
43
-
LoopBack
Elimina a dependncia de estabelecimento da conexo TCP interface fsica;
Comumente utilizado entre peers iBGP;
No MikroTik podemos utilizar uma bridge vazia como
44
No MikroTik podemos utilizar uma bridge vazia como interface loopback;
-
AVISO IMPORTANTE
Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.
-
BGP Lab 3
Vamos incrementar o setup atual utilizando endereos loopback entre peers iBGP com o seguinte endereamento 10.255.x.y/32;
46
Adicione o endereo loopback na network do OSPF;
Modifique o router-id do OSPF e do BGP para o endereo loopback;
-
Distribuio de rotas
As rotas IGP(esttico, OSPF, RIP) podem ser distribudas da seguinte forma: /routing bgp instance
set default redistribute-static=yes
set default redistribute-ospf=yes
47
set default redistribute-ospf=yes
O prefix origin ser incomplete;
Existe o risco de todas rotas IGP serem publicadas;
Utilize filtros para evitar estas propagaes indesejadas.
-
Exemplo de distribuio
48
Desta forma os pacotes sero cessados a no ser que exista uma rota mais especifica;
um boa forma de publicar uma supernet.
-
Routing Filters a principal ferramenta para controlar e modificar as
informaes de roteamento;
So organizados em canais muito similar ao firewall;
Pode especificar quais configuraes sero aplicadas aos peers BGP ou como filtro de sada da prpria instncia;
49
peers BGP ou como filtro de sada da prpria instncia;
Primeiramente os prefix passam pelo filtro da instncia e somente aps isso que passam pelos filtros dos peers.
-
Exemplo de filtro
50
-
Filtrando prefixo
51
-
Filtro AS PATH
Pode ser configurado para permitir updates somente de/para um AS especifico;
Suporta expresses regulares tais como: . qualquer caractere;
52
. qualquer caractere; ^ inicio do as_path; $ final do as_path; _ qualquer valor entre vrgulas, no incio, no fim
ou em um intervalo especifico.
-
Mais opes de Filtros AS Path
.* - Todas as rotas BGP
^$ - Rotas que se originam no meu AS
^(100|200|300)$ - Rotas originadas no 100, 200 ou 300
^1002$ - Rotas que se originam no AS 1002 , adjacente ao ^1002$ - Rotas que se originam no AS 1002 , adjacente ao meu AS _1002$ - Rotas que terminam no AS 1002
^1002_ - Rotas originadas no AS 1002
_1002_ - Rotas que passaram no AS 1002
(...)+(...) Uma ou vrias ocorrencias do caractere especificado antes ( + = ou )
-
BGP Reconfigurao leve
Quando usamos action=discard as rotas no sero mais atualizadas aps a aplicao do filtro;
Soluo? Use action=reject para manter as rotas na memria;
54
Use action=reject para manter as rotas na memria;
Modo Dynamic(O peer deve ter suporte a capacidade refresh):
O peer vai atualizar as rotas aps as alteraes serem feitas;
Neste caso no h uso extra de memria;
No feito automaticamente necessrio voc executar o comando refresh.
-
AVISO IMPORTANTE
Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.
-
BGP Lab 4
Adicione filtros de forma que:
R1 no receba o prefixo 192.168.x2.0/24 do AP;
R2 no receba o prefixo 192.168.x1.0/24 do AP;
56
R3 no receba o prefixo 192.168.x4.0/24 de R4;
R4 no receba o prefixo 192.168.x3.0/24 de R3;
-
BGP Lab 4
Vamos verificar R3. Se os filtros foram empregados corretamente o tracert para a rede x2 dever ir por R4 e o tracert para x4 dever ir pelo AP.
57
dever ir pelo AP.
-
BGP Algoritmo de deciso
BGP utiliza o simples melhor caminho para o destino;
BGP sempre propaga o melhor caminho para os vizinhos;
Diferentes atributos de caminho so usados para
58
Diferentes atributos de caminho so usados para determinar o melhor caminho como: weight; Next-hop; As_path; Local_preference; Etc
-
Seleo de melhor caminho
Validao do next-hop;
Maior weight default=0;
Maior local_pref default=100;
Menor as_path;
Caminho gerado localmente(aggregate, BGP network, etc.);
59
Caminho gerado localmente(aggregate, BGP network, etc.);
Menor tipo origin (IGP, EGP, incomplete);
Menor MED default=0;
eBGP preferido sobre iBGP;
Rota proveniente do menor Router ID;
Menor cluster de router reflect default=0;
Caminho proveniente do vizinho com menor endereo IP.
-
Nexthop
Endereo IP utilizado para alcanar um determinado destino;
Para o eBGP o nexthop o endereo IP de seu vizinho;
O nexthop informado pelo eBGP carregado dentro do
60
O nexthop informado pelo eBGP carregado dentro do iBGP.
-
Nexthop self
Fora o BGP a utilizar seu prprio IP como nexthop;
61
-
Weight
O weight um atributo de uso prprio do router;
Prefixos sem atribuio deste valor por padro ter o valor 0 atribudo;
Router com o maior peso ser preferido;
62
Router com o maior peso ser preferido;
Boa forma de controla o fluxo de upstream.
-
Local Preference Indica que caminho tem preferncia para deixar o AS;
Caminho com maior local_pref ser escolhido (default: 100);
informado junto com o AS;
Outra boa forma de controle de upstream.
63
Outra boa forma de controle de upstream.
-
AS Path
Lista de nmeros AS que so atualizados sempre que se passa por um AS;
64
-
As Path Prepend
A manipulao do as_path pode ser feita pra influenciar a seleo de melhor caminho dos outros routers;
65
-
As Path Prepend
Desta forma pode-se influenciar o trfego de upstream dos outros routers. O que de forma indireta ir influenciar seu prprio trfego de downstream.
66
downstream.
-
Origin
Informao sobre a origem da rota:
IGP: interna ou gerado no prprio AS;
EGP: rota originada por um protocolo externo;
67
Incomplete: origem desconhecida. Geralmente ocorre quando a rota redistribuda pelo BGP.
-
MED
Multi Exit Discriminator ou mtrica. Funciona como sugesto ao vizinho externo sobre a preferncia de caminho dentro do AS;
A menor mtrica escolhida;
68
A menor mtrica escolhida;
Atributo trocado entre ASs e usado para tomar deciso de caminho dentro deste AS e no ser passado adiante a um terceiro AS;
Atributo ignorado se for recebido de um AS diferente.
-
MED - Exemplo
69
R1, R2 e R3 publicam a mesma rede para R4 com diferentes valores de MED. R4 vai comparar somente valores de MED vindos de R2 e R3 e o MED de R1 ser ignorado;
Outros atributos sero usados para seleo de melhor caminho.
-
AVISO IMPORTANTE
Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.
-
BGP Lab 5
Utilize as_path prepend para balanceamento de carga e failover conforme ilustra a imagem.
71
-
Community
Atributo usado para agrupar destinos;
Filtros podem ser facilmente aplicados para todo o grupo;
72
Existem tambm alguns grupos padro: No-export: no publica para o peer eBGP;
No-advertise: no publica para nenhum peer;
Internet: publica para a comunidade internet;
Local-as: no publica pra fora do AS local.
-
Community - Exemplo
Supomos que voc no queira que R2 propague rotas aprendidas de R1:
73
-
Community Cont...
Tem o valor de 32bits e escrito no formato: xx:yy;
Permite ao administrador maiores polticas de controle;
Simplifica a configurao de upstream;
Pode ser usado pelo ISP para:
74
Pode ser usado pelo ISP para: Opes de as_prepend; Restries geogrficas; Blackholing, etc
Usado tambm para checar o Internet Routing Registry (IRR).
-
Community outro exemplo
AS 100 define communitys publicas;
100:500 adverte para todos os peers;
100:501 adverte para o AS 400.
75
-
Community outro exemplo cont...
76
AdrianoHighlight
AdrianoHighlight
AdrianoHighlight
AdrianoSticky Note100:500 {100 est relacionado ao ASN:"500" que o cdigo combinado entre todos os routers participantes}. Enviar o COD. para a saida:outh que est conectado ao meu AS, mais apontar para a community.
AdrianoSticky NoteO prefix= "sua rede"1 S deixar sem prefixo 0.0.0.0/0 ir anunciar a todos os ASN que estiverem conectados ao vo, correndo
-
Exemplos para ISPsaut-num: AS2588as-name: LatnetServiss-ASdescr: LATNET ISPmember-of: AS-LATVIAremarks: +--------------------------------------------------remarks: |remarks: | x=0 Announce as isremarks: | x=1 Prepend +1remarks: | x=2 Prepend +2remarks: | x=3 Prepend +3
77
remarks: | x=3 Prepend +3remarks: | x=4 Prepend +4remarks: | x=5 Prepend +5remarks: |remarks: | 2588:400 Latvian Netsremarks: | 2588:500 Announce to LIX (Latvian Internet Exchange)remarks: | 2588:666 Don't announce (blackhole)remarks: | 2588:70x Announce to uplinks with $x prependremarks: | 2588:900 Recieved from LIX (Latvian Internet Exchange)remarks: |remarks: | For more information please use the email addressremarks: | iproute (at) latnet (dot) lvremarks: +--------------------------------------------------
-
Agregao o conceito de sumarizao de rotas mais especificas em uma supernet;
Pode ser usada para esconder a topologia;
Funciona somente nos routers da mesma instncia BGP;
78
-
BGP Router Reflect
Re-adverte rotas iBGP para evitar o full mesh;
Reduz a contagem de mensagens de comunicao;
Reduz tambm a quantidade de dados por mensagem;Neste caso somente o melhor caminho refletido.
79
Neste caso somente o melhor caminho refletido.
-
Router Reflect - configurao RR configurado habilitando a opo client-to-client
reflection desta forma:
/routing bgp instance
set default client-to-client-reflection=yes
Confirme o peer RR em sua configurao desta forma:
80
Confirme o peer RR em sua configurao desta forma:
/routing bgp peer
add route-reflect=yes remote-peer=x.x.x.x
RR deve ser habilitado SOMENTE no roteador refletor;
O RouterOS no pode ser configurado puramente como RR.
AdrianoSticky NoteIBGP, para full route
-
BGP - Confederation
Agrega mltiplos ASs em um nico AS;
Para o mundo externo a confederation aparece como um nico AS;
Cada AS deve estar rodando full mesh ou RR;
81
Troca de rotas entre confederados eBGP so entendidas como rotas de iBGP;
O as-path dentro da confederation aparecer entre parnteses: as-path=(30,20);
AdrianoSticky Note1 Criar uma confereration
-
Confederation As Path
82
AdrianoSticky Note"(112) confederao
AdrianoStamp
AdrianoSticky Noteconfereration: numero da confederaoconfederation pear: informar o as dos pears por ,
-
Confederation As Path
83
AdrianoTypewritten Text
AdrianoTypewritten TextO Trafego IBGP na tabela de rota ser informado as confederaes usando abreviao *(entre aspas)
AdrianoTypewritten Text
AdrianoTypewritten TextA Rota eBGP em ip route em AS-Path sera informado somente os ASN por ondeas rotas estao sendo transportadas
AdrianoTypewritten Text
AdrianoTypewritten Text
AdrianoTypewritten Text
AdrianoTypewritten Text
-
AVISO IMPORTANTE
Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.
-
BGP Lab 6
85
-
MPLS
Multi-protocol Label Switching
86
Multi-protocol Label Switching
LDP, VPNs, (L2, L3), TE
-
MPLS Pr Setup
Reset sua RB - /system reset no-default=yes
Efetue o setup conforme a imagem no slide seguinte;
87
Crie as interfaces loopback e distribua via OSPF;
No esquea de adicionar a loopback em networks.
-
MPLS Pr Setup
88
-
MPLS
Tecnologia de encaminhamento de pacotes baseada em pequenos rtulos;
Objetivo inicial: um encaminhamento de pacotes mais eficiente do que o roteamento IP comum;
89
Serve tambm como base para alguns servios avanados como: VPNs L3; AToM(Any transport over mpls) VPNs L2; MPLS TE(Traffic Engeneerin); Servios com garantia de banda.
AdrianoSticky NoteVRF
AdrianoSticky NoteCria um caminho pela rede capaz de gerenciar a banda daquele canal
-
MPLS - Bsico LER: Label Edge Router Responsveis por classificar e rotular os
pacotes que ingressam na nuvem mpls. So responsveis tambm pela remoo do rtulo antes do pacote deixar a nuvem mpls;
LSR: Label Switch Router Responsveis pelo encaminhamento dos pacotes j rotulados;
90
-
MPLS Bsico cont...
Por ter sido criado aps a concepo do OSI o MPLS considerado um protocolo de camada 2.5;
O cabealho extra(32 bits) inserido no modelo OSI entre a L2 e a L3 da seguinte forma:
91
entre a L2 e a L3 da seguinte forma: Label (20 bits);
EXP (3 bits) CoS;
End of stak flag(1 bit) caso o rtulo atual seja o ltimo da pilha;
TTL (8 bits).
AdrianoSticky NoteSUPORTA NATIVAMENTE O QOS
AdrianoSticky NotePERGUNTA DE PROVA: 8bit
-
MPLS Bsico cont...
permitido o uso de mais de 1 label;
Os labels so agrupados em pilhas;
Os LSRs sempre usam o label que estiver no topo da pilha;
92
pilha;
Existem vrios mtodos de distribuio de labels: Static Label Mapping; LDP mapeia o destino unicast dentro do label; BGP labels externos (VPN); RSVP, CR-LDP usados em traffic engeneering e reserva de
recursos.
AdrianoSticky NoteQue tipo de Algoritimo usado "pergunta de prova"? LIFO
-
Static Label Mapping
O RouterOS permite adicionar estaticamente labels local e remoto;
A range dinmica do MPLS deve ser ajustada
93
A range dinmica do MPLS deve ser ajustada para liberar os labels para o uso esttico;
AdrianoSticky NoteRecomendado a iniciar do 100 por motivos de manuteno. Se houver a necessidade de mapear a rede ter range sobrando
-
Static Label Mapping
94
AdrianoSticky NoteHop o Gateway
-
Teste com traceroute
95
-
AVISO IMPORTANTE
Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.
AdrianoStamp
AdrianoSticky NoteAdd todos os Endereos de Loopback para os Ip's da Loopback de cada router da rede
AdrianoSticky NoteConexes diretas com o router por meio cabo ou PTP usar impl-null
AdrianoStamp
-
Static Mapping - Lab
Crie ligaes estticas de labels para os endereos loopback;
Enquanto o ECMP no usado nas ligaes estticas, escolha somente o primeiro
97
estticas, escolha somente o primeiro gateway;
Verifique se os labels esto sendo setados com o traceroute:/tool traceroute 10.255.1.1 src-address=10.255.1.3
-
LDP
Label Distribution Protocol o protocolo de distribuio dos labels de forma dinmica;
Depende das informaes providas pelo IGP para criar o mapeamento local de labels e
98
para criar o mapeamento local de labels e distribuir para os demais vizinhos LDP.
-
Label Space
Espao de Labels por interface o pacote encaminhado de acordo com as informaes da interface de entrada e seu label;
Espao de Labels por plataforma o label no
99
Espao de Labels por plataforma o label no o nico da interface;
-
Modos de distribuio
Downstream-on-demand (DoD) cada LSR requisita o label de ligao do next-hop;
Unsolicited Downstream (UD) O LSR distribui
100
Unsolicited Downstream (UD) O LSR distribui todas as ligaes de LSRs adjacentes mesmo que o LSR no esteja requisitando esta informao.
-
Nmeros para lembrar
Mensagens de Hello LDP UDP porta 646;
Estabelecimento de sesso de transporte LDP TCP porta 646;
101
TCP porta 646;
As mensagens de hello so enviadas para todos os routers atravs da subnet de endereo multicast 224.0.0.2.
-
Configurando o LDP
Pode ser configurado no menu: /mpls ldp:/mpls ldp set enabled=yes transport-address=x.x.x.x \
lsr-id=x.x.x.x
/mpls ldp interface add interface=ether1
102
Ao setar o transport address garantimos o uso correto do penltimo hop. O que garante um comportamento conhecido por penultimate hop popping.
AdrianoStamp
-
LDP - Lab
Remova todo mapeamento esttico feito no lab anterior;
Habilite o LDP e configure o lsr-id e o transport-address com o mesmo endereo da loopback;
103
Adicione todas interfaces LDP conectadas aos seus vizinhos que falem mpls;
Verifique se seus vizinhos foram criados: /mpls ldp neighbor print
Verifique a tabela de forward do MPLS: /mpls forwarding-table print
AdrianoStamp
-
Labels reservados
Labels de 0 a 15 so reservados, mas somente 4 so usados at o momento:
0: explicit null;
1: router alert;
104
1: router alert;
2: IPv6 explicit null;
3: implicit null;
-
Penultimate Hop Poppging
O router mpls que o ponto de sada da rede e est ligado a um router que no suporta trfego mpls;
Advertido com label implicit null;
105
Advertido com label implicit null;
O penultimate hop popping garante que o router no vai precisar fazer nenhum lookup extra no label j que ele est ciente de que deve encaminhar o pacote adiante.
-
Implicit e Explicit Null
106
-
Explicit null
Se for configurado, o penltimo LSR encaminha o pacote com um label null ao invs da toda a pilha;
til tambm para preservar o QoS;
107
No requerido caso a pilha contenha pelo menos 2 labels pois o label interno pode carregar as informaes do QoS;
Por padro o implicit null usado.
-
MPLS - Traceroute
Mensagens ICMP de erro so trocadas mais adiante do LSP(Label Switched Path);
Isto causa um falso incremento de latncia
108
Isto causa um falso incremento de latncia para este determinado salto.
-
Targeted LDP sessions
Em alguns casos necessrio utilizar o recurso targeted ldp session.
Este recurso permite uma ligao entre LSRs que no esto diretamente ligados;
109
no esto diretamente ligados;
Configurao:/mpls ldp neighbor add transport= send-targeted=yes
-
Label Binding Filtering
Pode ser usado para distribuir somente uma parte dos labels com o intuito de reduzir o uso de recursos;
Existem 2 tipos de filtros: O que informa que os avisos devem ser informados:
/mpls ldp advertise-filter
110
/mpls ldp advertise-filter
O que informa que os avisos devem ser aceitos: /mpls ldp accept-filter
Filtros so aplicados aos avisos de entrada e sada. Qualquer alterao nos filtros requer desabilitar e habilitar o LDP.
AdrianoSticky NoteACEPT=inpult
AdrianoSticky NoteOutput
AdrianoSticky NoteFILTROS: So baseados em LDP e no funcionam instanteneamente. tem q parar o servio e voltar novamente
-
AVISO IMPORTANTE
Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.
-
Label Binding - Lab
Configure o label binding filter para que somente os endereos loopback possam ser enviados e recebidos no seu grupo;
112
Verifique a tabela de forward para ter certeza que os filtros esto funcionando;
Verifique se o pacote foi encaminha via mpls ou L3 utilizando o traceroute.
-
VPN L3
113
VRF
-
VRF
Virtual Routing and Forwarding Roteamento e encaminhamento virtual;
Funciona baseado em polticas de roteamento;
Funcionalidade de roteamento completamente
114
Funcionalidade de roteamento completamente independente da tabela de roteamento do roteador;
Mltiplas VRFs resolvem o problema da sobreposio de endereos IP dos clientes;
Porm ao contrrio dos pacotes da main table, quando o nexthop falha na tabela vrf o pacote no seguir pelo gateway default da main table.
AdrianoSticky NoteSITE TO SITE
-
Vazamento de rota
a troca de rotas entre VRFs separadas;
Rota esttica Inter-VRF:
Explicitamente especificada na tabela de rotas:
115
Explicitamente especificada na tabela de rotas:/ip route add gateway=10.3.0.1@main routing-mark=vrf1
Explicitamente especificada pela interface:/ip route add dst-address=1.1.1.0/24 gateway=10.3.0.1%ether1
routing-mark=vrf1
AdrianoSticky NoteRotas para VRF no desativam automaticamente.
-
VRF Gerenciamento de routers
Qualquer gerenciamento do router no ser possvel a partir de uma VRF (winbox, ssh, telnet, etc);
116
Os recursos de ping e traceroute foram atualizados para suportar VRFs;
O OSPF e o BGP podem ser usados como CE-PE (Costumer Edge Provider Edge).
AdrianoSticky NoteConhecida no Mikrotik como VPN4
-
BGP/MPLS IP VPN
Ao contrrio da VPLS funciona em L3;
Tambm conhecida como L3VPN;
O suporte a multiprotocolos do BGP permite
117
O suporte a multiprotocolos do BGP permite distribuir rotas entre VRFs ou at para o prprio router;
Entretanto a rede informada deve ter suporte ao MPLS tambm.
-
L3VPN
118
-
Route Distinguisher
O RD usado para tornar os prefixos IPv4 nicos;
RD+(Prefixo IPv4) = Prefixo VPNv4;
119
RD+(Prefixo IPv4) = Prefixo VPNv4;
Formato do prefixo:
IP:numrico;
ASN:numrico;
-
Route Target
RTs foram introduzidos para prover interconexo entre sites de diferentes empresas, conhecidos tambm como VPNs extranet;
Os RTs so extenses de communitys BGP usados para especificar quais prefixos VPNv4 sero importados
120
para especificar quais prefixos VPNv4 sero importados pra tabela VRF;
Exportar um RT: o prefixo VPNv4 recebe uma extenso community BGP extra;
Importar um RT: a rota VPNv4 recebida verificada para uma determinada RT.
-
Route Target
121
-
Configurando uma L3VPN
Crie uma instncia VRF:/ip route vrf
add routing-mark=vrf1route-distinguisher=100:1export-route-targets=100:1import-route-targets=100:1
122
Configure o BGP para usar VRF e endereos VPNv4:/routing bgp instance vrf
add instance=default routing-mark=vrf1 redistribute-connected=yes
/routing bgp peer
add address-families=vpnv4 update-source=lo
Cheque os resultados:/routing bgp vpn vpnv4-route print
AdrianoSticky Note100:1 - "RF"
AdrianoSticky Noteuso obrigatorio do route reflect no /routing bgp
-
AVISO IMPORTANTE
Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.
AdrianoStamp
AdrianoStamp
AdrianoSticky NoteO ROUTE AUTOR DO ROUTE REFLECT DEVE FAZER SEO COM TODOS OS OUTROS ROUTES DA REDE
AdrianoStamp
AdrianoStamp
-
VPNv4 - Lab
Escolha um Router Reflect e configure o iBGP nele AS: X00;
Configure uma BGP VPNv4;
Crie uma VRF na interface que seu laptop est conectado;
124
Route Distinguisher e export RT: X00:Y;
Configure o import route target corretamente de forma que somente os sites verdes e azuis troquem rotas veja no prximo slide;
Configure o route leaking para ganhar acesso a internet pela VRF.
-
VPNv4 - Lab
125
-
OSPF e eBGP como CE-PE
Distribui rotas entre roteadores VRFs de CEs e PEs;
No router PE especifique que VRF deseja usar:
126
Crie uma nova instncia para usar o eBGP como CE-PE:
-
VPN L2
VPLS baseada em LDP
127
VPLS baseada em LDP
VPLS baseada em BGP
-
VPLS baseada em LDP
Tambm chamado de L2VPN ou EoMPLS;
Consegue unir LANS atravs da rede MPLS;
Utiliza o protocolo LDP pra negociar os tneis VPLS;
Utiliza um campo chamado PW para identificar o tnel
128
Utiliza um campo chamado PW para identificar o tnel VPLS;
O PW tem as seguintes capacidades: MAC Learning; MAC flooding; Opes de encaminhamento.
-
VPLS baseada em LDP
129
-
VPLS - Configurando Estando com a rede MPLS funcional, adicione os tneis
VPLS nos pontos terminais:/interface vpls add remote-peer=x.x.x.x vpls-id=x:x
Os vizinhos LDP so adicionados dinamicamente;
O tnel ID deve ser nico para cada VPLS;
130
O tnel ID deve ser nico para cada VPLS;
As informaes relacionadas ao tnel VPLS podem ser obtidas com o seguinte comando:
/interface vpls monitor
As interfaces locais podem ser colocadas em bridge com a VPLS para prover transparncia.
-
Split Horizon um recurso da bridge que no permite que os pacotes sejam
encaminhados para as portas da bridge que possuam o mesmo horizon;
Caso voc opte por adicionar vrias interfaces na bridge que est/o a(s) VPLS talvez seja necessrio o uso deste recurso;
Configure o horizon em cada porta que no deseje comunicao
131
Configure o horizon em cada porta que no deseje comunicao desta forma:
/interface bridge port add bridge=vpn interface=vpls1 horizon=1
AdrianoSticky NotePermite controlar o Fluxo... porta que possuem o mesmo valor horizon nao se comunicam com as demais...
AdrianoSticky NoteA Opo Horizon capaz de bloquear looping em uma rede, pois o fluxo da rede nao passaria por aquela interface bridge
-
AVISO IMPORTANTE
Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.
-
VPN VPLS - Lab
Criem tneis VPLS entre todos os routers do grupo usem o VPLS ID (x:x);
Coloque as interfaces VPLS em bridge com a interface local do seu router;
133
A rede da VPN ser 192.168.x0.0/24;
Utilize o split horizon para evitar loops;
Teste a conectividade entre os notebooks em seu grupo.
-
VPN VPLS - Lab
Tabela de VPLS ID
134
Tabela de VPLS IDR1 R2 = 1:xR1 R3 = 2:xR1 R4 = 3:xR2 R3 = 4:xR2 R4 = 5:xR3 R4 = 6:x
-
VPN VPLS - Lab
135
-
VPN VPLS - Inconvenientes
Problemas de escalabilidade devido as configuraes serem estticas;
Obrigatoriedade de manter o full mesh vpls
136
Obrigatoriedade de manter o full mesh vpls entre todos os membros da vpn;
Configuraes e ajustes devem ser feitos sempre em todos os routers.
-
VPLS baseada em BGP
Funcionalidade: Autodiscovery: No necessrio configurar cada VPLS
em cada router; Sinalizao: Os labels dos tneis VPLS so distribudos
junto com as mensagens de uptade do BGP.
137
junto com as mensagens de uptade do BGP.
Evita a necessidade de sesses LDP targeted;
No apresenta problemas de escalabilidade;
Caso voc esteja rodando um BGP full mesh ser muito semelhante ao full vpls;
-
VPLS baseada em BGP Config.
Configure a instncia BGP;
Habilite o multiprotocolo l2vpn nos peers;
Utilize a interface loopback como update-
138
Utilize a interface loopback como update-source, para que o penultimate hop popping funcione corretamente;
-
VPLS baseada em BGP Config.
Configure uma bridge chamada VPN;
Configure o BGP sinalizando a interface VPLS;
139
Os tneis sero criados dinamicamente e sero adicionados a bridge VPN: Router-distinguisher: valor agregado ao NLRI do tnel para
distinguir os avisos. Este valor deve ser nico para cada VPLS;
Site-id: Opo nica para identificar um grupo.
-
VPLS baseada em BGP - Lab
Escolha um dos routers do grupo para ser RR;
Configure o BGP para fechar peer com o RR do grupo;
140
Substitua todas VPLS criadas estticas pela VPLS BGP;
Utilize o site id seu nmero y;
Configure o import/export RT(Route Targets) com o mesmo RD(Route distinguisher);
-
MPLS L2 MTU
MPLS MTU = IP MTU(L3) + MPLS headers;
Voc pode ajustar a MPLS MTU no menu:/mpls interface
Se a MTU for muito grande e o prximo cabealho for
141
Se a MTU for muito grande e o prximo cabealho for IP acontecer o seguinte: Um mensagem de erro ICMP NF ser gerada;
Caso contrrio o pacote ser descartado silenciosamente;
-
MPLS L2 MTU
142
-
VPLS - CW
O Control Word tem 4 bytes e usado para fragmentao e remontagem do pacote dentro do tnel VPLS;
143
O CW opcionalmente adicionado entre o label PW e o packet payload;
O CW pode ser desabilitado para dar compatibilidade com outros fabricantes.
-
VPLS - CW
144
-
Traffic Engineering
145
Traffic Engineering
-
Limitao do roteamento IP
Depois que 2 fluxos de trfego IP que vo pro mesmo destino se mesclam, impossvel dividi-los e encaminh-los por caminhos diferentes;
No exemplo abaixo est ocorrendo uma
146
No exemplo abaixo est ocorrendo uma sobrecarga do fluxo de C pra E;
-
Traffic Engeneering
TE consegue resolver este problema;
Pode ser usado para desviar o fluxo para o link mais disponvel;
147
mais disponvel;
-
Traffic Engeneering
capaz de expandir a capacidade de redes L2 ATM e frame relay;
Roteamento baseado em coao o caminho
148
Roteamento baseado em coao o caminho at o destino para o fluxo de trfego ser o caminho mais curto que atinja os requisitos solicitados pela origem do fluxo;
Elimina a exagerada necessidade de mesh L2;
-
Como isso funciona?
O TE estabelece/mantm o tnel utilizando RSVP(Resource Reservation Protocol);
O caminho do tnel, em qualquer ponto, determinado pelos recursos da rede e as necessidades do tnel;
Os recursos disponveis podem ser informados pelo OSPF;
149
Os recursos disponveis podem ser informados pelo OSPF;
A caminho do tnel ser calculado baseado em uma nica direo e poder ser ajustado com base nos recursos disponveis e requisitados no momento.
Isso se deve ao fato do tnel TE que baseado em RSVP s pode fazer est reserva de forma unidirecional.
-
Tnel TE - Opes
O caminho do tnel pode ser baseado no roteamento existente na tabela de rotas:
Tunnel path: use-cspf=no and empty hops
Pode tambm ser baseado em um caminho informado estaticamente:
150
estaticamente:Tunnel path: use-cspf=no and hops=
Constrained Shortest Path First (CSPF) todo o caminho de formao do tnel ser calculado com base nas informaes disponveis sobre o estado da rede.
Tunnel path: use-cspf=yes, empty hops e hops=
AdrianoSticky NoteCSPF - Protocolo que faz dinamicamente
-
Como isso funciona?
O tnel aparece como uma interface;
Auto TE dentro da range de uma determinada rea;
O trfego ser automaticamente enviado pelo TE
151
O trfego ser automaticamente enviado pelo TE se: A extremidade remota do falso cabo a mesma do
ponto final;
O nexthop do BGP o ponto final do tnel pode ser desabilitado configurando: use-te-nexthop=no
-
TE - Configurao
Configure o OSPF para usar o TE e configure o TE em todas interfaces participantes do tnel;
152
Agora configure o tnel TE:
AdrianoSticky NoteInformar a area
-
TE Configurao cont...
Resultados no OSPF: LSAs opaque;
Monitoramento do tnel TE:
153
-
TE Configurao cont...
Caminho do tnel TE e estado da reserva:
154
-
Tnel TE Caminho esttico
O caminho esttico estabelecido configurando os hops strict ou loose: Strict: define que no pode haver nenhum outro
salto entre o salto anterior e o salto strict. Portanto todo caminho deve ser especificado.
155
Portanto todo caminho deve ser especificado.
Loose: Pode haver outros saltos entre o salto anterior e o prximo salto. No necessrio especificar todo o caminho neste caso.
-
Caminho esttico - exemplo
156
-
AVISO IMPORTANTE
Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.
-
TE Lab 1
Configure tneis TE de forma que os tneis VPLS utilizem os seguintes caminhos:
VPLS: R1R4: TE Path: R1-R3-R4 primrio
VPLS: R2R3: TE Path: R2-R4-R3 primrio
158
VPLS: R2R3: TE Path: R2-R4-R3 primrio
Experimentem com caminhos diferentes tambm.
-
TE Lab 1
Tabela de VPLS ID
159
Tabela de VPLS IDR1 R4 = 3:xR2 R3 = 4:x
-
TE Secondary path
O TE, por padro, no altera o caminho automaticamente para o caminho secundrio. Para isso o tnel deve ser re-optimizado: Manualmente: utilize o comando optimize Automaticamente: Configure um reoptimize-interval
160
O TE vai tentar voltar ao caminho primrio uma vez por minuto. Este valor pode ser alterado no parmetro primary-retry-interval
A alternncia de caminhos leva um certo tempo que vai depender de: timeout do OSPF, atualizao da tabela de rotas, opes de timeout do TE.
-
TE Auto bandwidth
Por padro o TE no aplica limitaes de taxa. Bandwidth s serve para contabilizao da reserva.
Para tornar os tneis mais flexveis dois recursos devem ser adicionados: Bandwidth-limit taxa mxima permitida dentro do tnel.
Limite determinado com percentual.
161
Bandwidth-limit taxa mxima permitida dentro do tnel. Limite determinado com percentual.
Auto Bandwidth adjust mensura o consumo mdio determinado em auto-bandwidth-avg-interval e tenta manter o mximo consumo mdio durante o intervalo determinado em auto-bandwidth-update-interval. Quando este tempo expira o tnel volta a escolher a maior taxa a partir do parmetro: auto-bandwidth-range.
Ambas opes podem ser usada ao mesmo tempo.
-
AVISO IMPORTANTE
Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.
-
TE Lab 2
Configure o tnel TE de forma que o VPLS utilize o caminho primrio e de forma que possa alternar para o caminho backup: VPLS: R1R4: TE Path: R1-R3-R4 primrio, R1-R2-R4
backup.
163
backup. VPLS: R2R3: TE Path: R2-R1-R3 primrio, R2-R4-R3
backup.
Configure o bandwidth limit(automtico e esttico) do tnel TE e teste a limitao com o bandwidth test.
-
TE Lab 2
164
-
Sumrio geral
MPLS melhora o desempenho da rede;
Implementao relativamente fcil;
Muito fcil migrao de EoIP para VPLS;
165
Muito fcil migrao de EoIP para VPLS;
Novas possibilidades de servios a serem oferecidas pelo provedor.
-
Obrigado!!
Contato: [email protected]: www.alivesolutions.com.brFan Page: www.fb.com/AliveSolutions