treinamento mikrotik - mtcine.pdf

Treinamento MikroTik RouterOSCertificao MTCINE

Produzido por: Alive Solutionswww.alivesolutions.com.br

Instrutor: Guilherme Ramires

AGENDA

Treinamento dirio das 09:00hs s 19:00hs

Coffe Break as 16:00hs

Almoo as 13:00hs 1 hora de durao

2

Algumas regras importantes Por ser um curso oficial, o mesmo no poder ser

filmado ou gravado

Procure deixar seu aparelho celular desligado ou em modo silenciosomodo silencioso

Durante as explanaes evite as conversas paralelas. Elas sero mais apropriadas nos laboratrios

Desabilite qualquer interface wireless ou dispositivo 3G em seu laptop

3

Algumas regras importantes

Perguntas so sempre bem vindas. Muitas vezes a sua dvida a dvida de todos.

O acesso a internet ser disponibilizado para efeito didtico dos laboratrios. Portanto evite o uso didtico dos laboratrios. Portanto evite o uso inapropriado.

O certificado de participao somente ser concedido a quem obtiver presena igual ou superior a 75%.

4

Apresente-se a turma

Diga seu nome; Sua empresa; Seu conhecimento sobre o RouterOS; Seu conhecimento com redes TCP/IP; Seu conhecimento com redes TCP/IP; O que voc espera do curso;

Lembre-se de seu nmero: XY

5

Objetivo do Curso

Prover conhecimento terico e prtico referentes aos recursos Internetworking e MPLS bsico e avanado no RouterOS a serem aplicados em redes de pequeno e grande porte.

6

Aps a concluso do curso, voc ser capaz de planejar, implementar, ajustar e depurar as configuraes de BGP e MPLS implementados pelo RouterOS.

Viso Geral

BGP BGP Basics (iBGP, eBGP)

Distribuio, filtros e BGP attributes

7

MPLS Introduo ao MPLS

LDP

L2 e L3 VPN's

Traffic Engineering

Primeiro lab

Por favor resetem as RBs!

/system reset no-defaults=yes

Cenrio da aula

Dividam-se em grupos de 4 alunos;

Criem uma rede conforme mostrado no slide a seguir;

Os routers R1 e R2 iro se conectar ao SSID

9

Os routers R1 e R2 iro se conectar ao SSID AS100;

Cada router da rede local ter uma rede 192.168.xy.0/24 onde: X o nmero do grupo

Y o nmero do router

Setup

10

BGP

11

BGP Border Gateway Protocol

AVISO IMPORTANTE

Peo aos Senhores que durante este treinamento no utilizem a funo COPY da caixas de dilogo devido a problemas gerados na clonagem de informaes que devem ser na clonagem de informaes que devem ser nicas para o correto funcionamento das aplicaes.

Protocolo padro do Router de Borda;

Usado tambm como protocolo de roteamento Inter-AS;

Informaes sobre a topologia da rede no so

BGP - Bsico

13

Informaes sobre a topologia da rede no so trocadas. Somente informaes sobre alcanabilidade;

O nico protocolo que pode lidar com uma rede do tamanho da internet;

Utiliza o algoritmo de distncia vetorial.

BGP - Autonomous system(AS) Conjunto de roteadores que compartilham a mesma

poltica de roteamento;

Troca de rotas: Routers com o mesmo AS usam o mesmo IGP Routers entre ASs usam EGP

14

Routers entre ASs usam EGP

So nmeros nicos;

Podem ser de: 16 e 32 bits

Nmeros entre 64512 65535 so reservados pra uso privado.

Implementao da distncia vetorial

O prefixo informado com a lista de ASs ao longo do caminho chamado AS Path;

Trata todo o AS como um nico ponto de caminho;

15

caminho;

Pode esconder a topologia da rede dentro do AS;

No capaz de prover uma rede livre de loops dentro do prprio AS.

Implementao da distncia vetorial

16

BGP - Capabilities informado por seu peer BGP os cdigos de capacidades

suportadas;

Se uma capacidade no suportada, uma mensagem de notificao enviada de volta;

17

Neste caso o peer vai tentar estabelecer conexo sem a capacidade caso ela no seja requerida;

Alguns exemplos de capacidades do RouterOS so: Route Refresh(RFC 2918); Multi-protocol Extension(RFC 4760); Suporte aos novos AS de 4-bytes.

BGP - Transporte

Funciona trocando informaes de NLRI(Network Layer Reachability Information);

O NLRI possui diversos atributos BGP e um ou mais atributos que eles possam estar associados;

18

Utiliza o protocolo TCP na porta 179 como transporte;

Inicialmente a tabela full routing trocada entre os peers;

Informaes extras de atualizao sero feitos aps a troca inicial.

Formato do Pacote

O pacote possui 4 campos principais:

Marker (128 bits) Usado para autenticao;

Length (16 bits);

Type (8 bits) Tipo de mensagem BGP;

19

Type (8 bits) Tipo de mensagem BGP;

Message body.

BGP Tipos de mensagens

So 4 tipos de mensagens: Open: Primeira mensagem enviada aps a conexo

TCP ser estabelecida. Contm a lista de capacidades e deve ser confirmada com uma mensagem de keepalive;

Keepalive: No contm dados. Enviada somente para

20

Keepalive: No contm dados. Enviada somente para evitar que a sesso expire;

Update: Atualizao de rotas. Contm: NLRI; Path attributes;

Notification: Enviada quando algum erro ocorre. Contm um cdigo e sub-cdigo do erro.

BGP Session e Update

21

BGP - Networks Indica quais redes o protocolo deve originar a partir do router;

Por padro a rede somente advertida se estiver presente na tabela de rotas;

O mecanismo de synchronization pode ser desativado se: Seu AS no prov servio de transito;

22

Seu AS no prov servio de transito; Todos os routers de trnsito rodam BGP;

Desabilitar o sync permite uma convergncia mais rpida do BGP;

O mecanismo de sync pode ser muito perigoso caso a conexo esteja muito instvel;

Pode ser configurado em: /routing bgp network

BGP Multi Protocol

O formato do pacote BGP foi designado inicialmente no padro IPv4;

Uma famlia de novos atributos foram criados para poder dar suporte aos novos tipos de endereos;

23

poder dar suporte aos novos tipos de endereos;

O RouterOS suporta os seguintes: IPv6;

L2VPN;

VPN4;

Cisco Style L2VPN.

BGP - Instances

Cada instncia BGP roda seu prprio algoritmo de seleo; Rotas entre as instncias so eleitas por outros

mtodos como distance, por exemplo;

Rotas de uma instncia no so automaticamente

24

Rotas de uma instncia no so automaticamente redistribudas para outras instncias; Para isso necessrio que voc opte por esta opo:/routing bgp instance

set redistribute-other-bgp=yes

Os atributos BGP so herdados de outras instncias.

BGP - Habilitando

Acima est a configurao mnima.

25

Se o router-id no for informado, o maior endereo IP ser usado.

Verifique o status da conexo com o comando print. Qualquer estado diferente de established significa que no h troca de base de dados.

Cenrios Rede Stub

Single Homed Utiliza-se AS privado(64512-65535);

O ISP origina somente rota default;

Na verdade o BGP no seria necessrio; Na verdade o BGP no seria necessrio;

O router(ISP upstream) que fecha BGP com AS pblico que adverte as redes;

Deve usar a mesma poltica do ISP

Remoo do AS privado

Seu AS privado no pode chegar ao ambiente pblico;

Ele deve estar disponvel somente para seus vizinhos eBGP do AS

27

Ele deve estar disponvel somente para seus vizinhos eBGP do AS privado;

Anuncie somente rotas agregadas;

Utilize o seguinte comando:

AVISO IMPORTANTE


BGP - Lab 1

Crie uma rede BGP conforme ilustrado no prximo slide: Os routers R1 e R2 vo fechar peer com o AP;

Os routers R2 e R4 vo fechar peer entre si;


29


Anuncie sua rede local;

O AS privado deve ser removido;

R1 e R2 originem rota default.

BGP Lab 1

30

Cenrios Rede Stub

Multihomed: Utiliza-se AS privado tambm opcional;

Pode ser usado: Como link backup/principal;

Balanceamento de carga;

31


O router(ISP upstream) que fecha BGP com AS pblico que adverte as redes;

Deve usar a mesma poltica do ISP

upstream.

Cenrios no stub

Necessita de um AS pblico;

Uma range IP de seu RIR;

Pode utilizar uma poltica de roteamento diferente de seus ISPs;

32

seus ISPs;

Pode ser usado: Como link backup/principal;


Maiores polticas de roteamento avanado.

BGP - Contrack

A contrack no capaz de manter vlidas as conexes em um ambiente multihomed;

Pacotes relacionados a uma conexo podem fluir por diferentes caminhos;

33

Pacotes relacionados a uma conexo podem fluir por diferentes caminhos; Por isso muito importante que neste tipo de cenrio

voc JAMAIS use drop conexes invlidas no firewall.

A contrack pode ser desabilitada para obteno de uma melhor performance.

AVISO IMPORTANTE


BGP Lab 2

Adicione o R3 ao mesmo AS do R1;

Adicione o R4 ao mesmo AS do R2;

Crie um peer entre R4 e R3;

35

Crie um peer entre R4 e R3;

Habilite o OSPF para distribuir rotas conectadas nos routers de mesmo AS;

Anunciem ambas as redes locais de seus AS;

BGP Lab 2

36

BGP Lab 2

37

BGP Lab 2

38

O BGP distribui somente a melhor rota. Enquanto em R1 a melhor rota recebida de R3, R1 no distribui de volta as redes 12.0/24 e 14.0/24 para R3.

eBGP e iBGP

iBGP: peers entre routers do mesmo AS;

eBGP: peers entre routers de outros AS;

39

eBGP

Quase sempre formado por peers que esto diretamente conectados;

A opo multi-hop exigida se o peer no estiver diretamente conectado;

40

estiver diretamente conectado;

Adiciona o AS ao prefixo de caminho advertido;

Por padro a opo Next-hop e alterada para self.

eBGP Exemplo de multihop

41

Neste exemplo podemos ver um bom exemplo do uso do multihop mesmo em routers diretamente conectados.

Nesta configurao foi utilizado endereo loopback para conexo entre os peers e portanto seria necessrio o uso de rota esttica ou algum IGP para existir alcanabilidade IP entre os mesmos.

Esta uma tima prtica para evitar ataques DoS.

iBGP

Por padro o next-hop no modificado Utilize algum IGP(RIP, OSPF, esttico) para garantir a

alcanabilidade IP dentro do AS.

Atributos aprendidos a partir do iBGP no so alterados para no impactar a seleo de caminho para rede externa;

42

O as_path no manipulado;

Prover formas de controlar pontos de sada do AS;

Rotas externas recebidas de um peer iBGP no so passadas para outros peers iBGP; Para que isso ocorra necessrio o uso de full mesh ou router

reflect.

iBGP

43

LoopBack

Elimina a dependncia de estabelecimento da conexo TCP interface fsica;

Comumente utilizado entre peers iBGP;

No MikroTik podemos utilizar uma bridge vazia como

44

No MikroTik podemos utilizar uma bridge vazia como interface loopback;

AVISO IMPORTANTE


BGP Lab 3

Vamos incrementar o setup atual utilizando endereos loopback entre peers iBGP com o seguinte endereamento 10.255.x.y/32;

46

Adicione o endereo loopback na network do OSPF;

Modifique o router-id do OSPF e do BGP para o endereo loopback;

Distribuio de rotas

As rotas IGP(esttico, OSPF, RIP) podem ser distribudas da seguinte forma: /routing bgp instance

set default redistribute-static=yes

set default redistribute-ospf=yes

47

set default redistribute-ospf=yes

O prefix origin ser incomplete;

Existe o risco de todas rotas IGP serem publicadas;

Utilize filtros para evitar estas propagaes indesejadas.

Exemplo de distribuio

48

Desta forma os pacotes sero cessados a no ser que exista uma rota mais especifica;

um boa forma de publicar uma supernet.

Routing Filters a principal ferramenta para controlar e modificar as

informaes de roteamento;

So organizados em canais muito similar ao firewall;

Pode especificar quais configuraes sero aplicadas aos peers BGP ou como filtro de sada da prpria instncia;

49

peers BGP ou como filtro de sada da prpria instncia;

Primeiramente os prefix passam pelo filtro da instncia e somente aps isso que passam pelos filtros dos peers.

Exemplo de filtro

50

Filtrando prefixo

51

Filtro AS PATH

Pode ser configurado para permitir updates somente de/para um AS especifico;

Suporta expresses regulares tais como: . qualquer caractere;

52

. qualquer caractere; ^ inicio do as_path; $ final do as_path; _ qualquer valor entre vrgulas, no incio, no fim

ou em um intervalo especifico.

Mais opes de Filtros AS Path

.* - Todas as rotas BGP

^$ - Rotas que se originam no meu AS

^(100|200|300)$ - Rotas originadas no 100, 200 ou 300

^1002$ - Rotas que se originam no AS 1002 , adjacente ao ^1002$ - Rotas que se originam no AS 1002 , adjacente ao meu AS _1002$ - Rotas que terminam no AS 1002

^1002_ - Rotas originadas no AS 1002

_1002_ - Rotas que passaram no AS 1002

(...)+(...) Uma ou vrias ocorrencias do caractere especificado antes ( + = ou )

BGP Reconfigurao leve

Quando usamos action=discard as rotas no sero mais atualizadas aps a aplicao do filtro;

Soluo? Use action=reject para manter as rotas na memria;

54

Use action=reject para manter as rotas na memria;

Modo Dynamic(O peer deve ter suporte a capacidade refresh):

O peer vai atualizar as rotas aps as alteraes serem feitas;

Neste caso no h uso extra de memria;

No feito automaticamente necessrio voc executar o comando refresh.

AVISO IMPORTANTE


BGP Lab 4

Adicione filtros de forma que:

R1 no receba o prefixo 192.168.x2.0/24 do AP;

R2 no receba o prefixo 192.168.x1.0/24 do AP;

56

R3 no receba o prefixo 192.168.x4.0/24 de R4;

R4 no receba o prefixo 192.168.x3.0/24 de R3;

BGP Lab 4

Vamos verificar R3. Se os filtros foram empregados corretamente o tracert para a rede x2 dever ir por R4 e o tracert para x4 dever ir pelo AP.

57

dever ir pelo AP.

BGP Algoritmo de deciso

BGP utiliza o simples melhor caminho para o destino;

BGP sempre propaga o melhor caminho para os vizinhos;

Diferentes atributos de caminho so usados para

58

Diferentes atributos de caminho so usados para determinar o melhor caminho como: weight; Next-hop; As_path; Local_preference; Etc

Seleo de melhor caminho

Validao do next-hop;

Maior weight default=0;

Maior local_pref default=100;

Menor as_path;

Caminho gerado localmente(aggregate, BGP network, etc.);

59

Caminho gerado localmente(aggregate, BGP network, etc.);

Menor tipo origin (IGP, EGP, incomplete);

Menor MED default=0;

eBGP preferido sobre iBGP;

Rota proveniente do menor Router ID;

Menor cluster de router reflect default=0;

Caminho proveniente do vizinho com menor endereo IP.

Nexthop

Endereo IP utilizado para alcanar um determinado destino;

Para o eBGP o nexthop o endereo IP de seu vizinho;

O nexthop informado pelo eBGP carregado dentro do

60

O nexthop informado pelo eBGP carregado dentro do iBGP.

Nexthop self

Fora o BGP a utilizar seu prprio IP como nexthop;

61

Weight

O weight um atributo de uso prprio do router;

Prefixos sem atribuio deste valor por padro ter o valor 0 atribudo;

Router com o maior peso ser preferido;

62

Router com o maior peso ser preferido;

Boa forma de controla o fluxo de upstream.

Local Preference Indica que caminho tem preferncia para deixar o AS;

Caminho com maior local_pref ser escolhido (default: 100);

informado junto com o AS;

Outra boa forma de controle de upstream.

63

Outra boa forma de controle de upstream.

AS Path

Lista de nmeros AS que so atualizados sempre que se passa por um AS;

64

As Path Prepend

A manipulao do as_path pode ser feita pra influenciar a seleo de melhor caminho dos outros routers;

65

As Path Prepend

Desta forma pode-se influenciar o trfego de upstream dos outros routers. O que de forma indireta ir influenciar seu prprio trfego de downstream.

66

downstream.

Origin

Informao sobre a origem da rota:

IGP: interna ou gerado no prprio AS;

EGP: rota originada por um protocolo externo;

67

Incomplete: origem desconhecida. Geralmente ocorre quando a rota redistribuda pelo BGP.

MED

Multi Exit Discriminator ou mtrica. Funciona como sugesto ao vizinho externo sobre a preferncia de caminho dentro do AS;

A menor mtrica escolhida;

68

A menor mtrica escolhida;

Atributo trocado entre ASs e usado para tomar deciso de caminho dentro deste AS e no ser passado adiante a um terceiro AS;

Atributo ignorado se for recebido de um AS diferente.

MED - Exemplo

69

R1, R2 e R3 publicam a mesma rede para R4 com diferentes valores de MED. R4 vai comparar somente valores de MED vindos de R2 e R3 e o MED de R1 ser ignorado;

Outros atributos sero usados para seleo de melhor caminho.

AVISO IMPORTANTE


BGP Lab 5

Utilize as_path prepend para balanceamento de carga e failover conforme ilustra a imagem.

71

Community

Atributo usado para agrupar destinos;

Filtros podem ser facilmente aplicados para todo o grupo;

72

Existem tambm alguns grupos padro: No-export: no publica para o peer eBGP;

No-advertise: no publica para nenhum peer;

Internet: publica para a comunidade internet;

Local-as: no publica pra fora do AS local.

Community - Exemplo

Supomos que voc no queira que R2 propague rotas aprendidas de R1:

73

Community Cont...

Tem o valor de 32bits e escrito no formato: xx:yy;

Permite ao administrador maiores polticas de controle;

Simplifica a configurao de upstream;

Pode ser usado pelo ISP para:

74

Pode ser usado pelo ISP para: Opes de as_prepend; Restries geogrficas; Blackholing, etc

Usado tambm para checar o Internet Routing Registry (IRR).

Community outro exemplo

AS 100 define communitys publicas;

100:500 adverte para todos os peers;

100:501 adverte para o AS 400.

75

Community outro exemplo cont...

76

AdrianoHighlight

AdrianoHighlight

AdrianoHighlight

AdrianoSticky Note100:500 {100 est relacionado ao ASN:"500" que o cdigo combinado entre todos os routers participantes}. Enviar o COD. para a saida:outh que est conectado ao meu AS, mais apontar para a community.

AdrianoSticky NoteO prefix= "sua rede"1 S deixar sem prefixo 0.0.0.0/0 ir anunciar a todos os ASN que estiverem conectados ao vo, correndo

Exemplos para ISPsaut-num: AS2588as-name: LatnetServiss-ASdescr: LATNET ISPmember-of: AS-LATVIAremarks: +--------------------------------------------------remarks: |remarks: | x=0 Announce as isremarks: | x=1 Prepend +1remarks: | x=2 Prepend +2remarks: | x=3 Prepend +3

77

remarks: | x=3 Prepend +3remarks: | x=4 Prepend +4remarks: | x=5 Prepend +5remarks: |remarks: | 2588:400 Latvian Netsremarks: | 2588:500 Announce to LIX (Latvian Internet Exchange)remarks: | 2588:666 Don't announce (blackhole)remarks: | 2588:70x Announce to uplinks with $x prependremarks: | 2588:900 Recieved from LIX (Latvian Internet Exchange)remarks: |remarks: | For more information please use the email addressremarks: | iproute (at) latnet (dot) lvremarks: +--------------------------------------------------

Agregao o conceito de sumarizao de rotas mais especificas em uma supernet;

Pode ser usada para esconder a topologia;

Funciona somente nos routers da mesma instncia BGP;

78

BGP Router Reflect

Re-adverte rotas iBGP para evitar o full mesh;

Reduz a contagem de mensagens de comunicao;

Reduz tambm a quantidade de dados por mensagem;Neste caso somente o melhor caminho refletido.

79

Neste caso somente o melhor caminho refletido.

Router Reflect - configurao RR configurado habilitando a opo client-to-client

reflection desta forma:

/routing bgp instance

set default client-to-client-reflection=yes

Confirme o peer RR em sua configurao desta forma:

80

Confirme o peer RR em sua configurao desta forma:

/routing bgp peer

add route-reflect=yes remote-peer=x.x.x.x

RR deve ser habilitado SOMENTE no roteador refletor;

O RouterOS no pode ser configurado puramente como RR.

AdrianoSticky NoteIBGP, para full route

BGP - Confederation

Agrega mltiplos ASs em um nico AS;

Para o mundo externo a confederation aparece como um nico AS;

Cada AS deve estar rodando full mesh ou RR;

81

Troca de rotas entre confederados eBGP so entendidas como rotas de iBGP;

O as-path dentro da confederation aparecer entre parnteses: as-path=(30,20);

AdrianoSticky Note1 Criar uma confereration

Confederation As Path

82

AdrianoSticky Note"(112) confederao

AdrianoStamp

AdrianoSticky Noteconfereration: numero da confederaoconfederation pear: informar o as dos pears por ,

Confederation As Path

83

AdrianoTypewritten Text

AdrianoTypewritten TextO Trafego IBGP na tabela de rota ser informado as confederaes usando abreviao *(entre aspas)


AdrianoTypewritten TextA Rota eBGP em ip route em AS-Path sera informado somente os ASN por ondeas rotas estao sendo transportadas





AVISO IMPORTANTE


BGP Lab 6

85

MPLS

Multi-protocol Label Switching

86

Multi-protocol Label Switching

LDP, VPNs, (L2, L3), TE

MPLS Pr Setup

Reset sua RB - /system reset no-default=yes

Efetue o setup conforme a imagem no slide seguinte;

87

Crie as interfaces loopback e distribua via OSPF;

No esquea de adicionar a loopback em networks.

MPLS Pr Setup

88

MPLS

Tecnologia de encaminhamento de pacotes baseada em pequenos rtulos;

Objetivo inicial: um encaminhamento de pacotes mais eficiente do que o roteamento IP comum;

89

Serve tambm como base para alguns servios avanados como: VPNs L3; AToM(Any transport over mpls) VPNs L2; MPLS TE(Traffic Engeneerin); Servios com garantia de banda.

AdrianoSticky NoteVRF

AdrianoSticky NoteCria um caminho pela rede capaz de gerenciar a banda daquele canal

MPLS - Bsico LER: Label Edge Router Responsveis por classificar e rotular os

pacotes que ingressam na nuvem mpls. So responsveis tambm pela remoo do rtulo antes do pacote deixar a nuvem mpls;

LSR: Label Switch Router Responsveis pelo encaminhamento dos pacotes j rotulados;

90

MPLS Bsico cont...

Por ter sido criado aps a concepo do OSI o MPLS considerado um protocolo de camada 2.5;

O cabealho extra(32 bits) inserido no modelo OSI entre a L2 e a L3 da seguinte forma:

91

entre a L2 e a L3 da seguinte forma: Label (20 bits);

EXP (3 bits) CoS;

End of stak flag(1 bit) caso o rtulo atual seja o ltimo da pilha;

TTL (8 bits).

AdrianoSticky NoteSUPORTA NATIVAMENTE O QOS

AdrianoSticky NotePERGUNTA DE PROVA: 8bit

MPLS Bsico cont...

permitido o uso de mais de 1 label;

Os labels so agrupados em pilhas;

Os LSRs sempre usam o label que estiver no topo da pilha;

92

pilha;

Existem vrios mtodos de distribuio de labels: Static Label Mapping; LDP mapeia o destino unicast dentro do label; BGP labels externos (VPN); RSVP, CR-LDP usados em traffic engeneering e reserva de

recursos.

AdrianoSticky NoteQue tipo de Algoritimo usado "pergunta de prova"? LIFO

Static Label Mapping

O RouterOS permite adicionar estaticamente labels local e remoto;

A range dinmica do MPLS deve ser ajustada

93

A range dinmica do MPLS deve ser ajustada para liberar os labels para o uso esttico;

AdrianoSticky NoteRecomendado a iniciar do 100 por motivos de manuteno. Se houver a necessidade de mapear a rede ter range sobrando

Static Label Mapping

94

AdrianoSticky NoteHop o Gateway

Teste com traceroute

95

AVISO IMPORTANTE


AdrianoStamp

AdrianoSticky NoteAdd todos os Endereos de Loopback para os Ip's da Loopback de cada router da rede

AdrianoSticky NoteConexes diretas com o router por meio cabo ou PTP usar impl-null

AdrianoStamp

Static Mapping - Lab

Crie ligaes estticas de labels para os endereos loopback;

Enquanto o ECMP no usado nas ligaes estticas, escolha somente o primeiro

97

estticas, escolha somente o primeiro gateway;

Verifique se os labels esto sendo setados com o traceroute:/tool traceroute 10.255.1.1 src-address=10.255.1.3

LDP

Label Distribution Protocol o protocolo de distribuio dos labels de forma dinmica;

Depende das informaes providas pelo IGP para criar o mapeamento local de labels e

98

para criar o mapeamento local de labels e distribuir para os demais vizinhos LDP.

Label Space

Espao de Labels por interface o pacote encaminhado de acordo com as informaes da interface de entrada e seu label;

Espao de Labels por plataforma o label no

99

Espao de Labels por plataforma o label no o nico da interface;

Modos de distribuio

Downstream-on-demand (DoD) cada LSR requisita o label de ligao do next-hop;

Unsolicited Downstream (UD) O LSR distribui

100

Unsolicited Downstream (UD) O LSR distribui todas as ligaes de LSRs adjacentes mesmo que o LSR no esteja requisitando esta informao.

Nmeros para lembrar

Mensagens de Hello LDP UDP porta 646;

Estabelecimento de sesso de transporte LDP TCP porta 646;

101

TCP porta 646;

As mensagens de hello so enviadas para todos os routers atravs da subnet de endereo multicast 224.0.0.2.

Configurando o LDP

Pode ser configurado no menu: /mpls ldp:/mpls ldp set enabled=yes transport-address=x.x.x.x \

lsr-id=x.x.x.x

/mpls ldp interface add interface=ether1

102

Ao setar o transport address garantimos o uso correto do penltimo hop. O que garante um comportamento conhecido por penultimate hop popping.

AdrianoStamp

LDP - Lab

Remova todo mapeamento esttico feito no lab anterior;

Habilite o LDP e configure o lsr-id e o transport-address com o mesmo endereo da loopback;

103

Adicione todas interfaces LDP conectadas aos seus vizinhos que falem mpls;

Verifique se seus vizinhos foram criados: /mpls ldp neighbor print

Verifique a tabela de forward do MPLS: /mpls forwarding-table print

AdrianoStamp

Labels reservados

Labels de 0 a 15 so reservados, mas somente 4 so usados at o momento:

0: explicit null;

1: router alert;

104

1: router alert;

2: IPv6 explicit null;

3: implicit null;

Penultimate Hop Poppging

O router mpls que o ponto de sada da rede e est ligado a um router que no suporta trfego mpls;

Advertido com label implicit null;

105

Advertido com label implicit null;

O penultimate hop popping garante que o router no vai precisar fazer nenhum lookup extra no label j que ele est ciente de que deve encaminhar o pacote adiante.

Implicit e Explicit Null

106

Explicit null

Se for configurado, o penltimo LSR encaminha o pacote com um label null ao invs da toda a pilha;

til tambm para preservar o QoS;

107

No requerido caso a pilha contenha pelo menos 2 labels pois o label interno pode carregar as informaes do QoS;

Por padro o implicit null usado.

MPLS - Traceroute

Mensagens ICMP de erro so trocadas mais adiante do LSP(Label Switched Path);

Isto causa um falso incremento de latncia

108

Isto causa um falso incremento de latncia para este determinado salto.

Targeted LDP sessions

Em alguns casos necessrio utilizar o recurso targeted ldp session.

Este recurso permite uma ligao entre LSRs que no esto diretamente ligados;

109

no esto diretamente ligados;

Configurao:/mpls ldp neighbor add transport= send-targeted=yes

Label Binding Filtering

Pode ser usado para distribuir somente uma parte dos labels com o intuito de reduzir o uso de recursos;

Existem 2 tipos de filtros: O que informa que os avisos devem ser informados:

/mpls ldp advertise-filter

110

/mpls ldp advertise-filter

O que informa que os avisos devem ser aceitos: /mpls ldp accept-filter

Filtros so aplicados aos avisos de entrada e sada. Qualquer alterao nos filtros requer desabilitar e habilitar o LDP.

AdrianoSticky NoteACEPT=inpult

AdrianoSticky NoteOutput

AdrianoSticky NoteFILTROS: So baseados em LDP e no funcionam instanteneamente. tem q parar o servio e voltar novamente

AVISO IMPORTANTE


Label Binding - Lab

Configure o label binding filter para que somente os endereos loopback possam ser enviados e recebidos no seu grupo;

112

Verifique a tabela de forward para ter certeza que os filtros esto funcionando;

Verifique se o pacote foi encaminha via mpls ou L3 utilizando o traceroute.

VPN L3

113

VRF

VRF

Virtual Routing and Forwarding Roteamento e encaminhamento virtual;

Funciona baseado em polticas de roteamento;

Funcionalidade de roteamento completamente

114

Funcionalidade de roteamento completamente independente da tabela de roteamento do roteador;

Mltiplas VRFs resolvem o problema da sobreposio de endereos IP dos clientes;

Porm ao contrrio dos pacotes da main table, quando o nexthop falha na tabela vrf o pacote no seguir pelo gateway default da main table.

AdrianoSticky NoteSITE TO SITE

Vazamento de rota

a troca de rotas entre VRFs separadas;

Rota esttica Inter-VRF:

Explicitamente especificada na tabela de rotas:

115

Explicitamente especificada na tabela de rotas:/ip route add gateway=10.3.0.1@main routing-mark=vrf1

Explicitamente especificada pela interface:/ip route add dst-address=1.1.1.0/24 gateway=10.3.0.1%ether1

routing-mark=vrf1

AdrianoSticky NoteRotas para VRF no desativam automaticamente.

VRF Gerenciamento de routers

Qualquer gerenciamento do router no ser possvel a partir de uma VRF (winbox, ssh, telnet, etc);

116

Os recursos de ping e traceroute foram atualizados para suportar VRFs;

O OSPF e o BGP podem ser usados como CE-PE (Costumer Edge Provider Edge).

AdrianoSticky NoteConhecida no Mikrotik como VPN4

BGP/MPLS IP VPN

Ao contrrio da VPLS funciona em L3;

Tambm conhecida como L3VPN;

O suporte a multiprotocolos do BGP permite

117

O suporte a multiprotocolos do BGP permite distribuir rotas entre VRFs ou at para o prprio router;

Entretanto a rede informada deve ter suporte ao MPLS tambm.

L3VPN

118

Route Distinguisher

O RD usado para tornar os prefixos IPv4 nicos;

RD+(Prefixo IPv4) = Prefixo VPNv4;

119

RD+(Prefixo IPv4) = Prefixo VPNv4;

Formato do prefixo:

IP:numrico;

ASN:numrico;

Route Target

RTs foram introduzidos para prover interconexo entre sites de diferentes empresas, conhecidos tambm como VPNs extranet;

Os RTs so extenses de communitys BGP usados para especificar quais prefixos VPNv4 sero importados

120

para especificar quais prefixos VPNv4 sero importados pra tabela VRF;

Exportar um RT: o prefixo VPNv4 recebe uma extenso community BGP extra;

Importar um RT: a rota VPNv4 recebida verificada para uma determinada RT.

Route Target

121

Configurando uma L3VPN

Crie uma instncia VRF:/ip route vrf

add routing-mark=vrf1route-distinguisher=100:1export-route-targets=100:1import-route-targets=100:1

122

Configure o BGP para usar VRF e endereos VPNv4:/routing bgp instance vrf

add instance=default routing-mark=vrf1 redistribute-connected=yes

/routing bgp peer

add address-families=vpnv4 update-source=lo

Cheque os resultados:/routing bgp vpn vpnv4-route print

AdrianoSticky Note100:1 - "RF"

AdrianoSticky Noteuso obrigatorio do route reflect no /routing bgp

AVISO IMPORTANTE


AdrianoStamp

AdrianoStamp

AdrianoSticky NoteO ROUTE AUTOR DO ROUTE REFLECT DEVE FAZER SEO COM TODOS OS OUTROS ROUTES DA REDE

AdrianoStamp

AdrianoStamp

VPNv4 - Lab

Escolha um Router Reflect e configure o iBGP nele AS: X00;

Configure uma BGP VPNv4;

Crie uma VRF na interface que seu laptop est conectado;

124

Route Distinguisher e export RT: X00:Y;

Configure o import route target corretamente de forma que somente os sites verdes e azuis troquem rotas veja no prximo slide;

Configure o route leaking para ganhar acesso a internet pela VRF.

VPNv4 - Lab

125

OSPF e eBGP como CE-PE

Distribui rotas entre roteadores VRFs de CEs e PEs;

No router PE especifique que VRF deseja usar:

126

Crie uma nova instncia para usar o eBGP como CE-PE:

VPN L2

VPLS baseada em LDP

127

VPLS baseada em LDP

VPLS baseada em BGP

VPLS baseada em LDP

Tambm chamado de L2VPN ou EoMPLS;

Consegue unir LANS atravs da rede MPLS;

Utiliza o protocolo LDP pra negociar os tneis VPLS;

Utiliza um campo chamado PW para identificar o tnel

128

Utiliza um campo chamado PW para identificar o tnel VPLS;

O PW tem as seguintes capacidades: MAC Learning; MAC flooding; Opes de encaminhamento.

VPLS baseada em LDP

129

VPLS - Configurando Estando com a rede MPLS funcional, adicione os tneis

VPLS nos pontos terminais:/interface vpls add remote-peer=x.x.x.x vpls-id=x:x

Os vizinhos LDP so adicionados dinamicamente;

O tnel ID deve ser nico para cada VPLS;

130

O tnel ID deve ser nico para cada VPLS;

As informaes relacionadas ao tnel VPLS podem ser obtidas com o seguinte comando:

/interface vpls monitor

As interfaces locais podem ser colocadas em bridge com a VPLS para prover transparncia.

Split Horizon um recurso da bridge que no permite que os pacotes sejam

encaminhados para as portas da bridge que possuam o mesmo horizon;

Caso voc opte por adicionar vrias interfaces na bridge que est/o a(s) VPLS talvez seja necessrio o uso deste recurso;

Configure o horizon em cada porta que no deseje comunicao

131

Configure o horizon em cada porta que no deseje comunicao desta forma:

/interface bridge port add bridge=vpn interface=vpls1 horizon=1

AdrianoSticky NotePermite controlar o Fluxo... porta que possuem o mesmo valor horizon nao se comunicam com as demais...

AdrianoSticky NoteA Opo Horizon capaz de bloquear looping em uma rede, pois o fluxo da rede nao passaria por aquela interface bridge

AVISO IMPORTANTE


VPN VPLS - Lab

Criem tneis VPLS entre todos os routers do grupo usem o VPLS ID (x:x);

Coloque as interfaces VPLS em bridge com a interface local do seu router;

133

A rede da VPN ser 192.168.x0.0/24;

Utilize o split horizon para evitar loops;

Teste a conectividade entre os notebooks em seu grupo.

VPN VPLS - Lab

Tabela de VPLS ID

134

Tabela de VPLS IDR1 R2 = 1:xR1 R3 = 2:xR1 R4 = 3:xR2 R3 = 4:xR2 R4 = 5:xR3 R4 = 6:x

VPN VPLS - Lab

135

VPN VPLS - Inconvenientes

Problemas de escalabilidade devido as configuraes serem estticas;

Obrigatoriedade de manter o full mesh vpls

136

Obrigatoriedade de manter o full mesh vpls entre todos os membros da vpn;

Configuraes e ajustes devem ser feitos sempre em todos os routers.

VPLS baseada em BGP

Funcionalidade: Autodiscovery: No necessrio configurar cada VPLS

em cada router; Sinalizao: Os labels dos tneis VPLS so distribudos

junto com as mensagens de uptade do BGP.

137

junto com as mensagens de uptade do BGP.

Evita a necessidade de sesses LDP targeted;

No apresenta problemas de escalabilidade;

Caso voc esteja rodando um BGP full mesh ser muito semelhante ao full vpls;

VPLS baseada em BGP Config.

Configure a instncia BGP;

Habilite o multiprotocolo l2vpn nos peers;

Utilize a interface loopback como update-

138

Utilize a interface loopback como update-source, para que o penultimate hop popping funcione corretamente;

VPLS baseada em BGP Config.

Configure uma bridge chamada VPN;

Configure o BGP sinalizando a interface VPLS;

139

Os tneis sero criados dinamicamente e sero adicionados a bridge VPN: Router-distinguisher: valor agregado ao NLRI do tnel para

distinguir os avisos. Este valor deve ser nico para cada VPLS;

Site-id: Opo nica para identificar um grupo.

VPLS baseada em BGP - Lab

Escolha um dos routers do grupo para ser RR;

Configure o BGP para fechar peer com o RR do grupo;

140

Substitua todas VPLS criadas estticas pela VPLS BGP;

Utilize o site id seu nmero y;

Configure o import/export RT(Route Targets) com o mesmo RD(Route distinguisher);

MPLS L2 MTU

MPLS MTU = IP MTU(L3) + MPLS headers;

Voc pode ajustar a MPLS MTU no menu:/mpls interface

Se a MTU for muito grande e o prximo cabealho for

141

Se a MTU for muito grande e o prximo cabealho for IP acontecer o seguinte: Um mensagem de erro ICMP NF ser gerada;

Caso contrrio o pacote ser descartado silenciosamente;

MPLS L2 MTU

142

VPLS - CW

O Control Word tem 4 bytes e usado para fragmentao e remontagem do pacote dentro do tnel VPLS;

143

O CW opcionalmente adicionado entre o label PW e o packet payload;

O CW pode ser desabilitado para dar compatibilidade com outros fabricantes.

VPLS - CW

144

Traffic Engineering

145

Traffic Engineering

Limitao do roteamento IP

Depois que 2 fluxos de trfego IP que vo pro mesmo destino se mesclam, impossvel dividi-los e encaminh-los por caminhos diferentes;

No exemplo abaixo est ocorrendo uma

146

No exemplo abaixo est ocorrendo uma sobrecarga do fluxo de C pra E;

Traffic Engeneering

TE consegue resolver este problema;

Pode ser usado para desviar o fluxo para o link mais disponvel;

147

mais disponvel;

Traffic Engeneering

capaz de expandir a capacidade de redes L2 ATM e frame relay;

Roteamento baseado em coao o caminho

148

Roteamento baseado em coao o caminho at o destino para o fluxo de trfego ser o caminho mais curto que atinja os requisitos solicitados pela origem do fluxo;

Elimina a exagerada necessidade de mesh L2;

Como isso funciona?

O TE estabelece/mantm o tnel utilizando RSVP(Resource Reservation Protocol);

O caminho do tnel, em qualquer ponto, determinado pelos recursos da rede e as necessidades do tnel;

Os recursos disponveis podem ser informados pelo OSPF;

149

Os recursos disponveis podem ser informados pelo OSPF;

A caminho do tnel ser calculado baseado em uma nica direo e poder ser ajustado com base nos recursos disponveis e requisitados no momento.

Isso se deve ao fato do tnel TE que baseado em RSVP s pode fazer est reserva de forma unidirecional.

Tnel TE - Opes

O caminho do tnel pode ser baseado no roteamento existente na tabela de rotas:

Tunnel path: use-cspf=no and empty hops

Pode tambm ser baseado em um caminho informado estaticamente:

150

estaticamente:Tunnel path: use-cspf=no and hops=

Constrained Shortest Path First (CSPF) todo o caminho de formao do tnel ser calculado com base nas informaes disponveis sobre o estado da rede.

Tunnel path: use-cspf=yes, empty hops e hops=

AdrianoSticky NoteCSPF - Protocolo que faz dinamicamente

Como isso funciona?

O tnel aparece como uma interface;

Auto TE dentro da range de uma determinada rea;

O trfego ser automaticamente enviado pelo TE

151

O trfego ser automaticamente enviado pelo TE se: A extremidade remota do falso cabo a mesma do

ponto final;

O nexthop do BGP o ponto final do tnel pode ser desabilitado configurando: use-te-nexthop=no

TE - Configurao

Configure o OSPF para usar o TE e configure o TE em todas interfaces participantes do tnel;

152

Agora configure o tnel TE:

AdrianoSticky NoteInformar a area

TE Configurao cont...

Resultados no OSPF: LSAs opaque;

Monitoramento do tnel TE:

153

TE Configurao cont...

Caminho do tnel TE e estado da reserva:

154

Tnel TE Caminho esttico

O caminho esttico estabelecido configurando os hops strict ou loose: Strict: define que no pode haver nenhum outro

salto entre o salto anterior e o salto strict. Portanto todo caminho deve ser especificado.

155

Portanto todo caminho deve ser especificado.

Loose: Pode haver outros saltos entre o salto anterior e o prximo salto. No necessrio especificar todo o caminho neste caso.

Caminho esttico - exemplo

156

AVISO IMPORTANTE


TE Lab 1

Configure tneis TE de forma que os tneis VPLS utilizem os seguintes caminhos:

VPLS: R1R4: TE Path: R1-R3-R4 primrio


158


Experimentem com caminhos diferentes tambm.

TE Lab 1

Tabela de VPLS ID

159

Tabela de VPLS IDR1 R4 = 3:xR2 R3 = 4:x

TE Secondary path

O TE, por padro, no altera o caminho automaticamente para o caminho secundrio. Para isso o tnel deve ser re-optimizado: Manualmente: utilize o comando optimize Automaticamente: Configure um reoptimize-interval

160

O TE vai tentar voltar ao caminho primrio uma vez por minuto. Este valor pode ser alterado no parmetro primary-retry-interval

A alternncia de caminhos leva um certo tempo que vai depender de: timeout do OSPF, atualizao da tabela de rotas, opes de timeout do TE.

TE Auto bandwidth

Por padro o TE no aplica limitaes de taxa. Bandwidth s serve para contabilizao da reserva.

Para tornar os tneis mais flexveis dois recursos devem ser adicionados: Bandwidth-limit taxa mxima permitida dentro do tnel.

Limite determinado com percentual.

161

Bandwidth-limit taxa mxima permitida dentro do tnel. Limite determinado com percentual.

Auto Bandwidth adjust mensura o consumo mdio determinado em auto-bandwidth-avg-interval e tenta manter o mximo consumo mdio durante o intervalo determinado em auto-bandwidth-update-interval. Quando este tempo expira o tnel volta a escolher a maior taxa a partir do parmetro: auto-bandwidth-range.

Ambas opes podem ser usada ao mesmo tempo.

AVISO IMPORTANTE


TE Lab 2

Configure o tnel TE de forma que o VPLS utilize o caminho primrio e de forma que possa alternar para o caminho backup: VPLS: R1R4: TE Path: R1-R3-R4 primrio, R1-R2-R4

backup.

163

backup. VPLS: R2R3: TE Path: R2-R1-R3 primrio, R2-R4-R3

backup.

Configure o bandwidth limit(automtico e esttico) do tnel TE e teste a limitao com o bandwidth test.

TE Lab 2

164

Sumrio geral

MPLS melhora o desempenho da rede;

Implementao relativamente fcil;

Muito fcil migrao de EoIP para VPLS;

165

Muito fcil migrao de EoIP para VPLS;

Novas possibilidades de servios a serem oferecidas pelo provedor.

Obrigado!!

Contato: [email protected]: www.alivesolutions.com.brFan Page: www.fb.com/AliveSolutions

treinamento mikrotik - mtcine.pdf

Documents