Academia Mikrotik

Ecuador

Certified Routing Engineer

( MTCRE )
Ing. Wladimir S. Lombeida
MikroTik Certified Trainer

Presentación Personal
• Wladimir S. Lombeida
 Ingeniero Electrónico Universidad Politécnica Salesiana,
Cuenca, Ecuador
 CEO / CTO PlusCompu
 CTO AustroNet – WISP desde 2008
 MTCNA, MTCTCE, MTCWE, MTCINE, MTCRE, MTCIPv6E
 Telf: 593 72802804, 593 995333239
 [email protected]

2
 Experiencia en:
• Diseño e Implementación de enlaces inalámbricos Punto a Punto y
Punto – Multipunto
• Legalización Proveedores de Internet - ISP
• Diseño e Implementación de Redes Inalámbricas Corporativas – WiFi
• Diseño e Implementación de Redes Cableadas UTP y FTP en Cat 5e y 6
• Diseño e Implementación Redes de Fibra Óptica FTTH Llave en Mano –
Desde Cero
• Diseño e Implementación de Centrales Telefónicas IP para Oficinas y
Pymes
• Instalación Sistemas de Respaldo de Energía: Ups e Inversores
• Implementación Sistemas Solares Tipos Isla para Torres y Domicilios
• Puesta a Tierra Torres de Comunicaciones e Instalación de Pararrayos
• Venta de equipos de telecomunicaciones como Routers, AP’s, Router
Wifi, Switch, Gateways, Centrales Telefónicas, ATA’s, en las mejores
marcas

Academia Mikrotik
Ecuador
• www.academiamikrotikecuador.com
• www.pluscompu.com
• facebook/pluscompu
• Skype: pluscompu
• Email: [email protected]
• Whatsapp: 0998459115
• Telf. 07 – 2802804
• Cuenca - Ecuador

4
5

Importante

• Certificación Oficial: está prohibido ser filmada o

grabada
• Celular: Modo Silencio para no interrumpir
• Internet: Evitar su uso inapropiado
• Preguntas: Todas son bienvenidas
• Evitar conversaciones paralelas
• Dejar habilitado solamente la interfaz Ethernet del
computador

6
 Agenda

• Día de entrenamiento: 9 AM – 7 PM
• Almuerzo 1 hora: 12:30 PM
• 2 Refrigerios 30 minutos: 10:30 AM y 4:30
PM
• Examen Certificación: último día, 1 hora
• Aprobación mínimo con 60%
• Si obtiene de 50 a 59 % puede tomar nuevamente
el exámen

Presentación
 Tu Nombre:
 Tu Empresa:
 Profesión:
 Conocimientos previos de RouterOS
 Conocimientos previos de redes
 Expectativas en este curso
• Por favor recuerda tu numero N en el curso
Mi número es _______
8

8
 Objetivos del Curso
• Proporcionar el conocimiento y habilidades de
ruteo básico y avanzado en redes de pequeña y
gran escala
• Proporcionar una visión general de enrutamiento
y túneles
• Luego de completar el curso usted está en
capacidad de planificar, implementar, afinar y
corregir redes ruteadas con Mikrotik RouterOS

Laboratorio Inicial
SSID: MTCRE

INTERNET

Wlan1
190.10.10.254/24

Wlan1 Wlan1 Wlan1 Wlan1

190.10.10.N/24 190.10.10.N/24 190.10.10.N/24 190.10.10.N/24

Ether1 Ether1 Ether1 Ether1

192.168.N.1/24 192.168.N.1/24 192.168.N.1/24 192.168.N.1/24

192.168.N.254/24 192.168.N.254/24 192.168.N.254/24 192.168.N.254/24

Laboratorio Inicial

10
 Laboratorio Inicial
• El Gateway y DNS en el router colocar 190.10.10.254
• Configurar la identidad del router y el radio name de la interfaz
inalámbrica: Nombre + N. Ej: Wladimir1
• Clave red inalámbrica mtcre.1234
• Actualizar RouterOS a su última versión disponible
• Configurar NTP Cliente, utilizar el servidor ntp.inocar.ec
• Crear un usuario como FULL
• Realizar la configuración necesaria para que tenga internet la
laptop
• Crear un respaldo de la configuración y copiarlo en la Laptop,
ésta será la configuración por defecto

11

11

Enrutamiento Simple
Distancia, Política de Ruteo, ECMP, Dead-End,
Resolución recursiva, Next-hop

12

12
 Fundamentos de Enrutamiento
• En general , el enrutamiento es el proceso de transmisión
de paquetes entre redes conectadas
• Para redes basadas en TCP / IP , enrutamiento es parte del
protocolo IP
• Para que la función de enrutamiento funcione se debe
combinar con otros servicios de protocolo

13

Routing Information Base ( RIB )

• RIB es el lugar donde toda la información acerca del enrutamiento IP
es almacenada (Rutas estáticas, políticas de ruteo, redes conectadas
directamente, redes aprendidas por protocolos de enrutamiento)
• Contiene las rutas agrupadas en tablas de ruteo separadas, basadas
en sus valores de Routing-Mark, todas las rutas que no poseen
Routing-Mark se almacenan en la tabla principal de ruteo (Main
Table).
• El RIB es única para cada enrutador y compartida con los protocolos
• Una ruta se inserta en el RIB , siempre que algún protocolo aprende
una nueva ruta
• RIB en el RouterOS , no es visible al usuario , sólo se puede " limpiar
esta base de datos " reiniciando el enrutador
• La tabla Main también se utiliza para la búsqueda del nexthop

14
 Routing Information Base ( RIB )

• RIB se utiliza para filtrar la información de enrutamiento , calcular

mejor ruta para cada prefijo de destino, construir y actualizar
Forwarding Information Base y para distribuir las rutas entre diferentes
protocolos de enrutamiento

15

Routing Information Base ( RIB )

• Por defecto la decisión de reenvío se basa solo en el valor de la
dirección de destino. Cada ruta tiene la propiedad de dst-address, que
especifica todas las direcciones de destino para las que se puede
utilizar esa ruta. Si hay varias rutas que se aplican a una misma
dirección, se usa la más específica.
• Si la tabla de enrutamiento contiene varias rutas con la misma
dirección dst, solo una de ellas puede usarse para reenviar paquetes.
Esta ruta se instala en FIB y se marca como activa.
• Todas las rutas por defecto se mantienen en la tabla de enrutamiento
principal (Main). Las rutas se pueden asignar a una tabla de
enrutamiento específica al establecer su propiedad de routing-mark.
Se hace referencia a las tablas de enrutamiento por su nombre y se
crean automáticamente cuando se hace referencia en la configuración.
• Cada tabla de enrutamiento puede tener solo una ruta activa para
cada valor del prefijo IP dst-address.

16
 Fundamentos de Enrutamiento
• Rutas Interfaces como Gateway: En este caso el valor del gateway
puede ser especificado como un nombre de interfaz en lugar de una
dirección IP del siguiente salto. A diferencia de las rutas conectadas,
las rutas que tienen como nexthop una interfaz , no se utilizan para la
búsqueda del nexthop. Al indicar el Gateway como interfaz estamos
diciendo que el único camino hacia el destino es a través de la
interfaz seleccionada

• Selección de Ruta: Cada tabla de enrutamiento puede tener una ruta

activa para cada red de destino (Dst-Address) , esta ruta es instalada
dentro de la FIB , la ruta activa es seleccionada de todas las
candidatas con el mismo (Dst-Address) y Routing-Mark. La ruta
candidata con la distancia más baja se convertirá en la ruta activa

17

Fundamentos de Enrutamiento
Forwarding Information Base ( FIB )
• La FIB es una base de datos que contiene una copia de la
información necesaria para el encaminamiento de
paquetes
• Se utiliza para tomar decisiones de envíos de paquetes
• Cada protocolo de enrutamiento excepto BGP tienen sus propias
tablas internas de rutas, BGP almacena la información completa de
ruteo de todos los peers en el RIB.
• El FIB contiene todas las rutas que potencialmente pueden ser
anunciadas a routers vecinos mediante protocolos de enrutamiento
dinámico
• Por defecto en RouterOS todas las rutas activas están en la Tabla
principal – Main que aparece en / ip route , incluyendo los datos
introducidos por los protocolos enrutamiento dinámico
18
 Fundamentos de Enrutamiento
Forwarding Information Base ( FIB )
• FIB utiliza la siguiente información del paquete para determinar su destino:
Dirección de Origen
Dirección de Destino
Interfaz de Origen
Marca de Enrutamiento
ToS (no utilizado por RouterOS en reglas de encaminamiento
de política , pero es una parte de enrutamiento clave de
búsqueda en la caché )
• Posibles decisiones de enrutamiento son:
• Recibir paquetes localmente
• Descartar paquetes ( en silencio o mediante el envío de mensaje
ICMP al remitente del paquete )
• Enviar el paquete a la dirección IP específica en la interfaz
específica

19

Fundamentos de Enrutamiento
• Resultados de decisión de
enrutamiento son recordados en la
memoria caché de enrutamiento.
Esto se hace para mejorar el
rendimiento de reenvío. Cuando se
utiliza otro paquete con la misma
dirección de origen , dirección de
destino , la interfaz de origen , marca
de enrutamiento y ToS se encamina
según los resultados almacenados en
caché
• Esto también permite implementar el uso de rutas ECMP , ya que los
valores utilizados para buscar la entrada en la caché de enrutamiento son
los mismos para todos los paquetes que pertenecen a la misma conexión y
van en la misma dirección

20
 Tipos Enrutamiento
RouterOS soporta 2 tipos de enrutamiento:

• Enrutamiento Estático : Son rutas creadas por el usuario a

través de inserciones pre-definidas en función de la topología
de redes

• Enrutamiento Dinámico : Las rutas se generan

automáticamente a través de un protocolo de enrutamiento
dinámico (RIP, OSPF, BGP)

21

Principales Campos de una Ruta Estática

Red destino

Gateway
• Dirección IP del siguiente salto
• Interfaz de salida

Más Específicas
/32
/28
/24
• Solo un Gateway para una simple red
/16
/8 • La ruta más especifica tiene más prioridad que
/0 las menos especificas
Menos • La ruta defult se utilizará sólo si no hay una
Especificas ruta para el destino solicitado

22
 Tipos de Ruta
Flag/ Sigla Significado Sigla Tipo de Ruta
A Active Ruta Activa para reenvió de paquetes
D Dynamic Regla creado por el software, no se exporta, no
se modifica
S Static Creada por el usuario de manera fija
C Connected Se genera cuando se configura una IP en la interfaz
B Blackhole Descarta el Paquete silenciosamente reenviado
por esta ruta

U Unreachable Descarta el paquete reenviado por esta ruta,

notificando con un ICMP type 3 code 1

P Prohibit Descarta el paquete reenviado por esta ruta,

notificando con un ICMP type 3 code 13

o OSPF Ruta aprendida vía OSPF

b BGP Ruta aprendida vía BGP
r RIP Ruta aprendida vía RIP
m MME Ruta aprendida vía MME

23

Cuando debemos utilizar

enrutamiento ?
• Cada vez que un equipo necesita comunicarse con otro host
/servidor que no está en la misma subred necesitará un router
(Gateway) para llegar a su destino

24
 Ejemplos de Enrutamiento

Cómo sería la ruta estática creada para que ambas redes

puedan comunicarse?

25

Ejemplos de Enrutamiento

Cómo serían las rutas estáticas creadas para que ambas

redes puedan comunicarse?

26
 Ejemplos de Enrutamiento

Cómo serían las rutas estáticas creadas para que ambas

redes puedan comunicarse?

27

Laboratorio Rutas Estáticas

SSID: MTCRE

INTERNET

190.10.Z.0/30
Ether1
192.168.N.1/24
192.168.N.254/24

Ether3 Ether2

172.16.10.12/30 172.16.10.0/30
R1
Ether1 Ether3 Ether2
192.168.N.1/24 Ether1
192.168.N.1/24

192.168.N.254/24
Ether2 Ether3
192.168.N.254/24
R4 R2

172.16.10.8/30 172.16.10.4/30

Ether3 Ether2

Ether1
192.168.N.1/24

R3

192.168.N.254/24
Ruteo Estático

28
 Laboratorio Rutas Estáticas
• De acuerdo al esquema mostrado en grupos de 4 personas
colocar rutas estáticas de tal forma que puedan tener acceso a
Internet desde la Laptop y tengan conectividad a todas las
redes de los vecinos (192.168.N.0/24)
• Realizar la configuración de las rutas tomando en cuenta el
camino en sentido horario
• R1 se conecta con el proveedor de Internet, debe configurar
NAT para permitir la navegación a R2, R3 y R4
• Z indica el número del grupo

29

Rutas ECMP (Equal Cost Multi Path)

• Para implementar algunas configuraciones, como el balanceo de carga, puede ser
necesario usar más de una ruta a un destino determinado. Sin embargo, no es
posible tener más de una ruta activa al destino en una sola tabla de enrutamiento.
• Las rutas ECMP (Equal Cost Multi Path) tienen múltiples valores nexthop de puerta
de enlace. Todos los nexthops accesibles se copian a FIB y se usan para reenviar
paquetes.
• El protocolo OSPF puede crear rutas ECMP. Estas rutas también se pueden crear
manualmente.
• Debido a que los resultados de la decisión de reenvío se almacenan en caché, los
paquetes con la misma dirección de origen, dirección de destino, interfaz de
origen, marca de enrutamiento y ToS se envían a la misma puerta de enlace. Esto
significa que una conexión utilizará solo un enlace en cada dirección, por lo que las
rutas ECMP se pueden usar para implementar el equilibrio de carga por conexión.

30
 Rutas ECMP (Equal Cost Multi Path)

• Este mecanismo de ruteo habilita el ruteo de paquetes entre

múltiples caminos (paths) y asegura el balanceo de carga
• Con ruteo ECMP se puede usar más de un gateway para una red
destino. Esto NO significa que provee Failover!!!
• Esto significa que, por ejemplo, una conexión FTP usará solo un
enlace, pero una nueva conexión a un server diferente usará
otro enlace
• Una característica importante de ECMP es que los paquetes de
conexión simple no son reordenados y por lo tanto no afecta al
performance de TCP

31

Rutas ECMP (Equal Cost Multi Path)

• Simple de implementar
• Balanceo persistente por conexión
• Se agregan todas las puertas de enlace en la misma ruta
• No funciona con puertas de enlace iguales (Que provengan del mismo
proveedor )

32
 Rutas ECMP (Equal Cost Multi Path)

• Las rutas ECMP pueden ser creadas por protocolos de ruteo

(RIP u OSPF), o añadiendo una ruta estática con múltiples
gateways, separados con una coma.
• /ip route add gateway=1.1.1.1, 2.2.2.2
• Los protocolos de ruteo pueden crear rutas dinámicas multi-path
con igual costo de forma automática
• El mismo Gateway puede ser escrito múltiples veces para agregar
mas peso sobre un enlace con respecto a otro, esto se llama
ponderación

33

Opción Check-gateway
• Se puede configurar el router para chequear la accesibilidad del gateway
usando PROTOCOLOS ICMP (ping) o ARP
• En Ruteo Simple, si un gateway no puede ser alcanzado, la ruta será
declarada inactiva
• En Ruteo ECMP, si un gateway no puede ser alcanzado, solamente los
gateways disponibles serán usados en el algoritmo Round Robin
• Si se habilita la opción Check-gateway en una ruta, se afectarán todas las
rutas con ese gateway
• Periódicamente ( cada 10 segundos ) se verifica el GW ya sea mediante el
envío de solicitud de eco ICMP (ping ) o petición ARP. Si no se recibe ninguna
respuesta por parte del GW durante 10 segundos , es un request times out.
Después de dos request times out el GW se considera inalcanzable.
• Después de recibir una respuesta desde el GW es considerado alcanzable y
se resetean los contadores de timeout.

34
 Laboratorio ECMP
SSID: MTCRE

INTERNET

190.10.Z.0/30
Ether1
192.168.N.1/24
192.168.N.254/24

Ether3 Ether2

172.16.10.12/30 172.16.10.0/30
R1
Ether1 Ether3 10.10.10.0/30 Ether2
192.168.N.1/24 Ether1
10.10.10.12/30
192.168.N.1/24

192.168.N.254/24
Ether2 Ether3
10.10.10.4/30 192.168.N.254/24
R4 10.10.10.8/30
R2

172.16.10.8/30 172.16.10.4/30

Ether3 Ether2

Ether1
192.168.N.1/24

R3

192.168.N.254/24
Rutas ECMP

35

Laboratorio ECMP
• En R1 crear un AP’s virtual para conectar con R2
• R2 configurar un estación para conectar con R1 y un AP virtual para
conectar con R3
• R3 configurar un estación para conectar con R2 y un AP virtual para
conectar con R4
• R4 configurar una estación para conectar con R3 y mediante cable
conectar con R1
• Realizar la configuración de rutas ECMP hacia cada router vecino en
sentido horario con la opción de “Check-Gateway”
• Verificar el funcionamiento de respaldo deshabilitando uno a uno
cualquier de las interfaces conectadas
• Modificar las interfaces para que la ruta azul tenga capacidad de 4
megas y la verde de 2 megas
• Verificar la saturación de ambos canales con test de velocidad un
router a la vez

36
 Opción Distancia
• Para priorizar una ruta sobre otra, si ambas apuntan a la misma red, se
debe usar la opción “distancia”.

• Cuando se envía un paquete el router usará la ruta con la distancia más

baja

• Si están los 2 Protocolos de

enrutamiento corriendo
sobre un mismo Router:
OSPF, RIP la ruta que será
utilizada en la FIB es la ruta o
camino con OSPF debido a
que la distancia
administrativa es 110 vs 120
de RIP

37

Laboratorio Distancia
SSID: MTCRE

INTERNET

190.10.Z.0/30
Ether1
192.168.N.1/24
192.168.N.254/24

Ether3 Ether2

172.16.10.12/30 172.16.10.0/30
R1
Ether1 Ether3 10.10.10.0/30 Ether2
192.168.N.1/24 Ether1
10.10.10.12/30
192.168.N.1/24

192.168.N.254/24
Ether2 Ether3
10.10.10.4/30 192.168.N.254/24
R4 10.10.10.8/30
R2

172.16.10.8/30 172.16.10.4/30

Ether3 Ether2

Ether1
192.168.N.1/24

R3

192.168.N.254/24
Distancia Administrativa

38
 Laboratorio Distancia
Administrativa
• Eliminar rutas ECMP del laboratorio anterior
• En el mismo esquema anterior crear las rutas azules con
distancia 1 en sentido horario y las rutas verdes con distancia 2
en sentido anti-horario
• Verificar el funcionamiento de respaldo desde la laptop
deshabilitando las interfaces que representan el sentido horario
en todos los routers
• Analizar que sucede si solo un router deshabilita ésta interfaz
• Usar traceroute para determinar su funcionamiento

39

Routing Mark
• Para asignar tráfico específico a una ruta, el tráfico debe ser
identificado por “routing mark”

• Los Mark Routing pueden ser asignados por la opción Mangle del
IP Firewall SOLAMENTE en reglas prerouting y output

• Los paquetes con routing mark serán ignorados por la tabla de

ruteo principal si es que existe por lo menos una ruta para ese
routing mark. Si no hay ninguna ruta se usará la tabla de ruteo
principal (main table)

• Cada paquete puede tener solo un routing mark

40
 Laboratorio Routing Mark
SSID: MTCRE

INTERNET

190.10.Z.0/30
Ether1
192.168.N.1/24
192.168.N.254/24

Ether3 Ether2

172.16.10.12/30 172.16.10.0/30
R1
Ether1 Ether3 10.10.10.0/30 Ether2
192.168.N.1/24 10.10.10.12/30 Ether1
192.168.N.1/24

192.168.N.254/24
Ether2 Ether3
10.10.10.4/30 192.168.N.254/24
R4 10.10.10.8/30
R2

172.16.10.8/30 172.16.10.4/30

Ether3 Ether2

Ether1
192.168.N.1/24

R3

192.168.N.254/24
Routing Mark

41

Laboratorio Routing Mark

• Eliminar las rutas creadas en el laboratorio anterior
• Desconectar los cables que conectan R4 a R1
• Crear una marca de ruta con destino 8.8.8.8 para la ruta azul
• Crear una marca de ruta para el resto como ruta verde, ambas
rutas en el sentido antihorario
• Especificar la interfaz de ingreso, Ether1 para la LAN y las dos
interfaces correspondientes para la WAN

42
 Laboratorio Routing Mark
• Crear primero connection-mark y luego routing-mark
• Verificar el funcionamiento
• Analizar que sucede si solo un router deshabilita una interfaz
• Usar traceroute para determinar su funcionamiento

43

TTL (Time To Live)

• TTL es un límite de los dispositivos L3 que los paquetes IP pueden
experimentar antes de que deban ser descartados
• El valor default del TTL es 64 y cada router reduce el valor en uno
antes de enviar su decisión
• El TTL puede ser ajustado en la opción IP Firewall mangle
• El router no pasará el tráfico al siguiente dispositivo si recibe un
paquete con TTL=1
• Aplicación útil: eliminar la posibilidad que los clientes creen redes
enmascaradas

44
 TTL (Time To Live)

45

Next Hop Recursivo

• Es posible especificar el gateway a una red incluso si el gateway no
puede ser alcanzado directamente. Esto se puede lograr usando
Resolución de Next-Hop Recursivo desde cualquier ruta existente

• Esto es útil para configuraciones donde la sección media entre el

router y el gateway no es constante. Comúnmente se utiliza para
balanceo de carga con proveedores que entregan Ip’s privadas

• Una ruta debe estar en el scope (al alcance) de otra ruta para que la
Resolución de Next-Hop Recursivo funcione

• Las rutas utilizadas con interfaz de Gateway como siguiente salto,

no son utilizadas en la búsqueda del Next Hop

• Se puede utilizar en todas las tablas de enrutamiento

46
 Scope / Target Scope

47

Laboratorio Next Hop

Recursivo
INTERNET

SSID2: ISP2 SSID1: MTCRE

191.10.Z.0/30 190.10.Z.0/30
Ether1
192.168.N.1/24
192.168.N.254/24

Ether3 Ether2

172.16.10.12/30 172.16.10.0/30
R1
Ether1 Ether3 10.10.10.0/30 Ether2
192.168.N.1/24 10.10.10.12/30 Ether1
192.168.N.1/24

192.168.N.254/24
Ether2 Ether3
10.10.10.4/30 192.168.N.254/24
R4 10.10.10.8/30
R2

172.16.10.8/30 172.16.10.4/30

Ether3 Ether2

Ether1
192.168.N.1/24

R3

192.168.N.254/24
Rutas Recursivas

48
 Laboratorio Next Hop Recursivo
• En el mismo esquema anterior, eliminar todas las rutas por defecto y
marcas de ruta en Mangle
• R1 añadir una segunda IP en la interfaz Wlan1 para simular un segundo
proveedor de internet, crear dos marcas de ruta para garantizar que
todo el tráfico de la ruta azul salga por el GW 8.8.8.8 y la ruta verde por
el GW 8.8.4.4, hacer referencia a cada interfaz de ingreso.
• Crear dos reglas de NAT correspondientes para cada salida pública con
las marcas de ruta
• Ruta Azul: 190.10.Z.0/30
• Ruta Verde: 191.10.Z.0/30

49

Laboratorio Next Hop Recursivo

• Crear dos rutas por default recursivas en cada router con respecto a las
IPs 8.8.8.8 ruta azul y 8.8.4.4 ruta verde.
• add comment="Chequeo Ruta Azul" distance=1 dst-address=8.8.8.8/32
gateway=gw_azul scope=10
• add comment="Chequeo Ruta Verde" distance=1 dst-ddress=8.8.4.4/32
gateway=gw_verde scope=10
• add check-gateway=ping distance=1 gateway=8.8.8.8
• add check-gateway=ping distance=2 gateway=8.8.4.4

50
 Laboratorio Next Hop Recursivo

• La ruta azul debe ser la principal

• R1, R2, R3 y R4 crear las rutas de retorno para las dos rutas azul y
verde
• Verificar el funcionamiento de respaldo de las rutas recursivas
• Usar traceroute para determinar su funcionamiento

51

OSPF (Opens Shortest Path Firts)

Áreas, Costos, Enlaces Virtuales, Redistribución
de Rutas y Agregación

52

52
 Enrutamiento Dinámico
• RouterOS soporta los siguiente protocolos de enrutamiento
Dinámico
• RIP (Routing Information Protocol)
• OSPF (Open Shortest Path First) Versión 2 (IPV4), Versión 3
(IPV6)
• BGP (Border Gateway Protocol) Versión 4
• Siendo RIP, OSPF protocolos de enrutamiento IGP (Usado
comúnmente en redes locales), BGP es un protocolo de
enrutamiento EGP (Usado para enrutar los prefijos en la Internet )
• Protocolo Estado de Enlace: Cada router tiene una visión completa
de la topología de la red y puede tomar de forma independiente
una decisión basada en una imagen precisa de la topología de red

53

Protocolo OSPF
• El protocolo OSPF usa un algoritmo de estado_de_enlace (link-state) y
un algoritmo de Dijkstra para construir y calcular el camino más corto
a todas las redes destino conocidas
• Los routers OSPF usan el protocolo IP 89 para comunicarse entre sí
• OSPF redistribuye la información de ruteo entre los routers que
pertenecen a un mismo sistema autónomo (AS)
• Características OSPF incluyen:
• Convergencia rápida
• Soporta VLSM
• El uso eficiente del ancho de banda - los cambios de enrutamiento
desencadenan actualizaciones de enrutamiento ( no hay
actualizaciones periódicas )
• Soporta redes de gran tamaño
• Enrutamiento basado en la mejor selección de la ruta
• La agrupación de los miembros es realizada por Áreas

54
 Tablas OSPF
OSPF mantiene 3 base de datos las cuales son usadas para construir las
tablas
Base de Datos Tabla Descripción
Adjacency Neighbor • Lista de todos los routers vecinos para el cual un router ha
Database Table establecido comunicación bidireccional
• Está tabla es unica para cada router
• Puede ser vista usando routing ospf neighbor print
Link-state Topology • Lista de información acerca de todos los routers en la red
Database Table • La base de datos muestra la topologia de red
• Todos los router dentro de un Area tienen identica link-
state databases.
• Puede ser vista usando el comando routing ospf lsa print
Forwarding Routing Table • Cada tabla de enrutamiento de un router es única y
Database contiene la información como y donde enviar un paquete
a otros routers
• Puede ser visto en el menú /ip routes

55

Link – State Advertisements (LSAs)

• Cuando se produce un cambio en la topología de
la red , el router al experimentar el cambio crea
un anuncio de estado de enlace ( LSA ) respecto
a ese enlace

• LSA también se denominan unidades de datos

de protocolo de estado de enlace ( PDUs )

• La LSA se envia por multicast a todos los

dispositivos vecinos usando ya sea 224.0.0.5 o
224.0.0.6

• Los routers que reciben la LSA transmitirá

inmediatamente a todos los routers vecinos
56
 Link – State Database (LSDB)

• Los routers reciben y agregan

los LSA a su base de datos de
estado de enlace ( LSDB )
• El LSDB se utiliza para calcular
los mejores caminos a través
de la red
• OSPF para calcular la mejor
ruta se basa en el camino más
corto de Edsger Dijkstra. Short
Path First ( SPF ) de acuerdo a
los costos de cada camino .

57

Tipos Link – State Advertisement

(LSA)
•LSA Type 1: Router LSA
•LSA Type 2: Network LSA
•LSA Type 3: Summary LSA
•LSA Type 4: Summary ASBR LSA
•LSA Type 5: Autonomous system external LSA
•LSA Type 6: Multicast OSPF LSA
•LSA Type 7: Not-so-stubby area LSA
•LSA Type 8: External attribute LSA for BGP

58
 Tipos Link – State Advertisement
(LSA)

59

Tipos Link – State Advertisement

(LSA)

60
 Tipos Link – State Advertisement
(LSA)

61

Tipos Link – State Advertisement

(LSA)

62
 Tipos Link – State Advertisement
(LSA)

63

Shortest Path Fist (SPF)

Routing Algorithm
• El algoritmo SPF acumula los
costos a lo largo de cada ruta,
desde el origen al destino

• Los costos acumulados son

luego utilizados por el router
para construir una tabla de
topología

64
 SPF Tree and Routing Table
• La tabla de topología es
esencialmente un árbol SPF que
contiene una lista de todas las
redes OSPF y los costos para
llegar a ellos

• Las mejores rutas resultantes se

consideran a continuación para
ser añadidas a la tabla de
enrutamiento

65

Sistema Autónomo (AS)

• Un sistema autónomo es una colección de redes y routers

IP bajo el control de una entidad (OSPF, iBGP, RIP) que
presenta una política de ruteo común al resto de la red
• El AS es identificado por un número de 16 bits (0- 65535) ,
actualizado a 32 Bits
• El rango de 1 a 64511 se usa para internet
• El rango de 64512 a 65535 es para uso privado

66
 Sistema Autónomo (AS)

67

Áreas OSPF
• Para reducir al mínimo los requisitos de procesamiento y de memoria , OSPF
puede dividir la topología de enrutamiento en una de dos capas de jerarquía
llamada áreas.
• OSPF permite la colección de routers para que sean agrupados (<80 routers en
un grupo)
• La estructura de un área es invisible desde fuera del área
• Cada área ejecuta una copia separada del algoritmo de ruteo básico link-state
• Las áreas OSPF son identificadas por un número de 32-bit (4 bytes) (0.0.0.0-
255.255.255.255)
• El ID de área debe ser único dentro del AS

Características de las áreas OSPF incluyen :

• Minimiza entradas de la tabla de enrutamiento

• Delimita el impacto de un cambio en la topología dentro de un área
• Inundaciones LSA se detiene en el límite del área
• Requiere un diseño de red jerárquico

68
 Áreas OSPF

69

OSPF – Jerarquía 2 Capas

Backbone Área
Referida como Área 0
• También conocida como Área de Tránsito

Regular (Standard) Áreas

• También conocida como No-Backbone Área
• Todas las Áreas regulares deben conectar al
Área de Backbone
• Las áreas Standard pueden ser definidas
además como : stub áreas and Not-so-stubby
áreas NSSA
• El número óptimo de routers por área varía
en función de factores tales como la
estabilidad de la red , se recomienda : Un
área no debe tener más de 50 routers
• Un router no debería estar en más de 3 Áreas

70
 OSPF – Tipos de Routers
ASBR and
Backbone
Router

71

OSPF – Internal Router

Routers que tienen todas sus interfaces dentro de la misma Área
tienen:
• Idéntico LSDBs.
• Corren una copia sencilla del Algoritmo de Routing

OSPF – Backbone Router

• Las reglas de diseño de OSPF require que todas las Áreas deben
estar conectadas a un Área sencilla de backbone (Area 0)
• Área 0 es también conocida como Área 0.0.0.0
• Un router Área 0 es referido como un backbone router
• Depende donde el router reside en el Área 0, puede ser llamado
también como Internal router, ABR o ASBR

72
 OSPF – ABR (Area Border Router)
Son routers con interfaces conectadas a múltiples áreas y son
responsables de:
• Zonas de unión entre sí
• El mantenimiento de las bases de datos de estado de enlace (LSDB)
separados para cada área
• Enrutamiento del tráfico destinado a otras áreas
• Resumiendo la información sobre cada área conectada e inundando
la información a través del área 0 a las otras áreas conectadas
• Un área puede tener uno o más ABR .

73

OSPF – ASBR (Autonomous System

Boundary Router)
Son routers que tienen al menos una
interfaz conectado a otro AS, tal como
una red no OSPF
• Routers son compatibles con la
redistribución
• Pueden importar información de la
red no OSPF a la OSPF
• Debe residir en el área de backbone
• Un ASBR es usado para distribuir en
todo su propio sistema autónomo
las rutas recibidas desde otros AS

74
 OSPF – Tipos de Routers
• Routers A, B, C, D y E son routers
backbone
• Router backbone pertenecen al Area0
• Routers C, D y E son routers de borde
(ABRs)
• ABRs unen todas las áreas al Area 0
• Routers A, B, F, G y H son routers internos
• Router internos están completamente
dentro de un área y no interconectan
a ninguna otra área o sistema
autónomo (AS)

75

OSPF – Tipos de Redes

• OSPF define cinco tipos de redes
• Punto a punto: dos routers interconectados por medio de un enlace
común. No hay otros routers en el enlace. Con frecuencia, esta es la
configuración en los enlaces WAN
• Multiacceso con difusión (Broadcast) : varios routers interconectados
por medio de una red Ethernet
• Multiacceso sin difusión (NBMA): varios routers interconectados en
una red que no permite transmisiones por difusión, como Frame Relay
• Punto a multipunto: varios routers interconectados en una topología
hub-and-spoke por medio de una red NBMA. Con frecuencia, se usa
para conectar sitios de sucursal (spokes, que significa “rayo”) a un sitio
central (hub, que significa “concentrador”)
• Enlaces virtuales: una red OSPF especial que se usa para interconectar
áreas OSPF distantes al área de backbone

76
 OSPF – Multiacceso con Difusión
• La elección de un DR /BDR es necesaria ya que podría haber
muchos dispositivos
• Estableciendo adyacencias con todos los routers de una red de
difusión sería fácilmente sobrecargar un router debido a la
sobrecarga de mantener esas adyacencias
• En cambio , los routers OSPF forman adyacencias completas con los
DR y BDR solamente
• Paquetes a todos los router son enviados a 224.0.0.5 hacia DR/BDR
• Paquetes a los DR /BDR son enviados a 224.0.0.6, actualización LSA

77

OSPF – Multiacceso con

Difusión

78
 OSPF – Mensajes Comunicación
• Mensajes para trasportar información de funcionamiento
• Tipo 1: Hello
• Tipo2: Database Description (DBD)
• Tipo 3: Link – State Request (LSR)
• Tipo 4: Link – State Update (LSU)
• Tipo 5: Link – State Acknowledgement (LSAck)

• Parámetros iguales en mensajes Hello

• Intervalo de Hello/Dead
• Área
• Máscara de subred (no se utiliza en redes Point to Point)
• Autenticación
• Stub tag

79

OSPF – Elección DR/BDR

• Una interface del router puede tener un número de prioridad entre 0 -255
• 0 DROTHER Router no será un DR
• 1 Favorable Por defecto para todos los routers
• 255 Muy favorable Asegura al menos un empate
La prioridad debe ser configurada antes
de la elección para tomarla en cuenta
1. Todos los vecinos con prioridad mayor a
0 son listados
2. El router con la mayor prioridad es elegido
DR. Si hay un empate, el router con el
más alto ID’s es utilizado. Si no esta
configurado el ID, utiliza la IP más alta
de una interfaz activa
3. Si no hay un DR el BDR es promovido
como DR
4. El vecino con la siguiente mayor prioridad
es elegido BDR

80
 OSPF – Elección DR/BDR

81

OSPF – Designated Router (DR)

• Un router designado (DR) y backup designado router (BDR)
solventan los cambios de información porque:
• Reduce el tráfico de actualizaciones de rutas
• Administra la sincronización link-state
• EL DR al ser elegido se convierte en el responsable de mantener la
tabla de topología para el segmento de difusión
• El DR tiene 2 principales funciones:
• Llegar a ser adyacente en todos
los demás router del segmento
• Actuar como portavoz de la Red

82
 OSPF – Backup Designated Router (BDR)
• Para tolerancia a fallos , un segundo
router es elegido como el BDR
• El BDR también debe convertirse
adyacente a todos los routers de la red y
debe servir como un segundo punto focal
para las LSA
• Sin embargo , el BDR no es responsable
de la actualización de los otros routers o
el envío de las LSA de red
• El BDR mantiene un temporizador en la
actividad de actualización del DR para
asegurar que esté en funcionamiento
• Si el BDR no detecta la actividad del DR
después de que el tiempo se agota, el
BDR se convierte inmediatamente en DR
y un nuevo BDR es elegido

83

OSPF – Red point to point

• Ambos routers se convierten en completamente adyacentes uno de otro
• No hay otros routers en el enlace
• Puede ser una interfaz en serie ejecutando una encapsulación PPP o HDLC
• Con frecuencia ésta es la configuración de los enlaces WAN
• Ninguna elección DR / BDR es necesario ya que sólo hay dos routers
• OSPF detecta automáticamente este tipo de red
• Los paquetes son enviados a 224.0.0.5

84
 OSPF – NBMA Neighbors
• Varios routers interconectados en una red que no permite
transmisiones por difusión, como Frame Relay
• En redes que no son de Broadcast es necesario especificar los vecinos
manualmente
• La prioridad determina si el router es elegido como DR en ese entorno
de red

85

Virtual Links (Enlaces Virtuales)

• Son usados para conectar áreas
remotas al backbone área a través
de un área non-Backbone
• También son usados para conectar
dos partes de un área de backbone
particionado a través de un área
non-backbone

86
 OSPF – Estados
• Full: las bases de datos de los link-state están completamente
sincronizadas
• 2-Way: se ha establecido una comunicación bidireccional
• Down, Attempt, Init, Loading, ExStart, Exchange: no está corriendo
completamente

87

OSPF – Router ID
• Un Router es conocido en OSPF
por su Router ID
• LSDBs usan el ID para diferenciar
un router de otro
• Por defecto el router ID es la IP
más baja en una interfaz activa
en el momento que el proceso
OSPF inicia
• Por estabilidad es recomendable
configurar un bridge como
interfaz loopback y especificar su
IP como Router ID

88
 OSPF – Interface Pasiva

• Es necesario asignar las interfaces

que van hacia las redes de los
clientes como pasivas por
seguridad
• La opción "Passive" permite
deshabilitar el protocolo "Hello"
OSPF en las interfaces cliente

89

OSPF – Redes (Networks)

• Es necesario especificar las redes y

áreas asociadas que tiene cada
router para que pueda ser notificado
a los otros routers OSPF
• Se debe usar los tipos de redes
exactas de las interfaces del router

90
 Laboratorio OSPF 1
SSID: MTCRE

INTERNET

190.10.Z.0/30
Ether1
192.168.N.1/24
192.168.N.254/24

Ether3 AREA N
Ether2
172.16.10.12/30 172.16.10.0/30
R1
Ether1 Ether3 Ether2
192.168.N.1/24 Ether1
192.168.N.1/24

192.168.N.254/24 AREA 0 AREA N

Ether2 Ether3
AREA N 192.168.N.254/24
R4 R2

172.16.10.8/30 172.16.10.4/30

Ether3 Ether2

Ether1
192.168.N.1/24

R3

AREA N
192.168.N.254/24
OSPF 1

91

Laboratorio OSPF 1
• Resetear los routers: /system reset-configuration no-defaults=yes
• Conectar de acuerdo al esquema, colocar las IP’s y verificar
conectividad entre los routers
• R1 se conecta con el proveedor de Internet, debe configurar NAT
para permitir la navegación a R2, R3 y R4
• Crear un Bridge con el nombre Loopback con el direccionamiento
IP 10.255.255.N en cada router
• Configurar el Router ID con la IP de Loopback (Ejemplo
10.255.255.1/32) en el Instance por defecto

92
 Laboratorio OSPF 1
• Crear un área con su respectivo ID (Ejemplo 0.0.0.N), trabajar con
el área de Backbone que viene por defecto.
• Definir las Interfaces que se conectan entre los routers como Point
to point, la interfaz Ether1 que está conectada en la Laptop
definirla como Broadcast y Pasiva
• Declarar las redes de acuerdo a su área respectiva
• Crear un default Gateway para la salida al Internet hacia cualquier
dirección
• Analizar la tabla de enrutamiento /ip route
• Verificar conectividad entre las redes y navegación en la Laptop

93

OSPF – Costo de Interface

• Todas las interfaces tienen un

costo por defecto de 10
• Para pasar por encima de la
configuración por defecto se
debe añadir una nueva entrada
en el menú de interface
• Se debe escoger el correcto tipo
de red para la interface

94
 OSPF – Costo de Interface

• Desde el Router A cual es el costo hacia la ruta 10.10.10.0/24 ?

95

OSPF – Redistribución Ruta por

Defecto
• Redistribute Default Route : Especifica como distribuir la ruta por
default. Esta opción debería ser usada para configurar en el ABR (Area
Border Router) o en el ASBR (Autonomous System Boundary Router)
• Never: Nunca distribuye su propia ruta por defecto
• If-installed as type1 : envía la ruta default con métrica tipo 1 solo si ha
sido instalado (una ruta estática default o ruta añadida por DHCP, PPP,
etc.)
• If-installed as type2 : envía la ruta default con métrica tipo 2 solo si ha
sido instalado (una ruta estática default, o ruta añadida por DHCP, PPP,
etc.)
• Always-as-type-1: siempre envía la ruta default con métrica tipo 1
• Always-as-type-2: siempre envía la ruta default con métrica tipo 2

96
 Métrica Externa Type 1

97

Métrica Externa Type 2

98
 OSPF – Redistribución Rutas
• Redistribute Connected Routes
• El router redistribuirá la información sobre todas las rutas
conectadas, es decir, las rutas a las redes alcanzables directamente
• Redistribute Static Routes
• El router redistribuirá la información sobre las rutas estáticas añadidas
a su base de datos de ruteo, es decir, las rutas que han sido creadas
usando /ip Route
• Redistribute RIP Routes
• El router redistribuirá la información de todas las rutas aprendidas por
el protocolo RIP
• Redistribute BGP Routes
• El router redistribuirá la información de todas las rutas aprendidas por
el protocolo BGP

99

OSPF – Rangos de Áreas

• Los rangos de
direcciones son
usados para agregar
(reemplazar) las
rutas de red desde
dentro del área en
una simple ruta o
eliminándolas
• Es posible asignar
un costo específico a
la ruta agregada

100
 Laboratorio OSPF 2
SSID: MTCRE

INTERNET

190.10.Z.0/30
Ether1
192.168.N.1/24
192.168.N.254/24

Ether3 AREA N
Ether2
172.16.10.12/30 100 R1 10 172.16.10.0/30
Ether1 Ether3 Ether2
192.168.N.1/24 Ether1
10 172.16.10.16/30 100 192.168.N.1/24

192.168.N.254/24 AREA N
Ether2 Ether3
AREA N 100 AREA 0 10 192.168.N.254/24
R4 R2

172.16.10.8/30 172.16.10.4/30
10 100

Ether3 Ether2

Ether1
192.168.N.1/24

R3

AREA N
192.168.N.254/24
OSPF 2

101

Laboratorio OSPF 2
• Crear un enlace inalámbrico de backup entre R2 y R4
• Elegir el correcto tipo de red para las interfaces OSPF
• Configurar los costos de acuerdo al esquema para garantizar el
tráfico en un solo sentido en el área
• Configurar los costos necesarios para que el backup sea utilizado
solamente cuando los otros enlaces fallan
• Analizar las tablas de enrutamiento
• Eliminar la ruta por defecto estática
• Redistribuir la ruta por defecto para que lo entregue directamente
R1 a toda la red

102
 OSPF – Tipos Especial Áreas
• Stub Area: Un Stub Area es un área
que no recibe rutas externas al
sistema autónomo, por ejemplo
rutas de un sistema Non – OSPF.
• Típicamente todas las rutas a redes
AS externas pueden ser
reemplazadas por una Default
Route. Esta ruta será creada
automáticamente y distribuida por
el ABR indicada como 0.0.0.0
• Stub Area no pueden contener
ASBRs (excepto que el ABR también
sea ASBR al mismo tiempo )

103

OSPF – Tipos Especial Áreas

• La opción <<Inject Summary LSA>> permite recolectar backbone separados
u otros LSA (Link State Advertisement) de router de área e inyectarlo al Stub
Area
• Habilite la opción <<Inject Summary LSA>> solo en el ABR
• <<Inject Summary LSA>> no es una agregación de ruta
• El costo de <<Inject Summary LSA>> es especificado por la opción <<Default
Area Cost>>

104
 OSPF – Tipos Especial Áreas
• Not-So-Stubby Area (NSSA): NSSA es un tipo de Stub Area que está
habilitado para inyectar transparentemente rutas externas AS al backbone
(Permiten los ABRs)
• <<Translator Role>> Esta opción permite controlar cual ABR del área
NSSA actuará como relay del ASBR al área de backbone

105

OSPF – Tipos Especial Áreas

Accepts routes within Accepts routes from Accepts external
Area Type area other areas routes Allows ASBR
(O) (O IA) (O E1 and O E2)

Standard Yes Yes Yes Yes

Backbone Yes Yes Yes Yes

Stub Yes Yes No No

(uses default route)

NSSA Yes Yes No Yes

(uses default route)

106
 OSPF – Tipos Especial Áreas

107

Resumen Configuración
• Verificar conectividad entre los routers vecinos a través de
los enlaces de Wan
• Crear un bridge con nombre loopback y asignar un IP/32
• Configurar en Instance el Router ID con la IP de loopback
• Configurar en Networks las redes de Wan, Lan y loopback
• En interfaces escoger el correcto tipo de red
• Todas las otras interfaces que no participen de la red OSPF
colocarlas en Pasivo

108
 Resumen Configuración
• Para asegurar su red OSPF
• Use claves de autenticación (para interfaces y áreas)

• Use la más alta prioridad (255) para el Designated

Router
• Para incrementar el desempeño de la red OSPF
• Use la agregación de ruta tanto como sea posible

109

OSPF e Interfaces VPN Dinámicas

• Cada interface VPN dinámica
• Crea una nueva ruta DAC /32
• D = Dynamic
• A = Active
• C = Connected
• Remueve esa ruta cuando desaparece
• Problemas
• Cada uno de estos cambios realiza una actualización OSPF, si la
opción “redistribute-connected” está habilitado (ocurre un
flujo de actualización/update en grandes redes VPN)
• OSPF creará y enviará LSA a cada interface VPN, si la red VPN
está asignada a cualquier área OSPF (bajo desempeño)

110
 Filtro de Ruteo OSPF
• Los filtros de ruteo pueden ser aplicados a los
mensajes de actualización de ruteo OSPF entrantes y
salientes
• Chain "ospf-in" para todos los mensajes de
actualización de ruteo entrante
• Chain "ospf-out" para todos los mensajes de
actualización de ruteo saliente
• Los filtros de ruteo pueden manejar solamente rutas
OSPF externas (rutas de las redes que no son
asignadas a cualquier área OSPF)

111

Filtro de Ruteo y VPN

• Es posible crear una regla de filtro de ruteo para restringir
todas las rutas /32 para que no ingresen a la red OSPF
• Es necesario tener una ruta agregada a esta red VPN:
• Teniendo la dirección de la red VPN agregada a Ia
interface del router
• Sugerencia: ubique esta dirección en la interface
donde el VPN Server está ejecutándose
• Sugerencia: use la dirección de red, los clientes no
estarán habilitados para evadir su servicio VPN
• Creando ruta estática al router mismo

112
 Regla de Filtro de Ruteo

113

Laboratorio OSPF 3
SSID: MTCRE

INTERNET

190.10.Z.0/30
Ether1
192.168.N.1/24
192.168.N.254/24
AREA N
Ether3
Ether2 STUB
172.16.10.12/30 172.16.10.0/30
R1
Ether1 Ether3 Ether2
192.168.N.1/24 Ether1
172.16.10.16/30 192.168.N.1/24

192.168.N.254/24 AREA N
AREA N Ether2 Ether3 STUB
STUB R4
AREA 0 R2
192.168.N.254/24

172.16.10.8/30 172.16.10.4/30

Ether3 Ether2

Ether1
192.168.N.1/24

R3
AREA N
STUB
192.168.N.254/24
OSPF 3

114
 Laboratorio OSPF 3

• Cambiar el tipo de área de la Red Interna a STUB

• Analizar los cambios en la tabla de enrutamiento
• Configurar un Servidor Pppoe en la Ether1
• Configurar la Laptop como cliente de Pppoe
• Analizar la tabla de enrutamiento
• Filtrar todos las rutas /32 que se crean automáticamente con
los Pppoes

115

VPN, Direccionamiento Point to Point

EOIP, PPTP, SSTP, IPIP, PPPoe, L2TP,
VLAN QinQ, VRRP

116

116
 Virtual LAN (802.1Q)
• Red de área local virtual ( VLAN ) es un método de capa 2
que permite múltiples redes de área local virtuales en una
única interfaz física ( Ethernet , inalámbricos , etc. ) , dando
la posibilidad de separar las LAN de manera eficiente
• Para que los routers se comuniquen el LAN ID debe ser el
mismo para las intefaces VLAN
• Los puertos en el router soportan múltiples (hasta 4095)
VLANs en una interfaz ethernet
• Una VLAN puede ser configurada sobre otra interfaz VLAN
“Q-in-Q”(802.1Q)

117

Virtual LAN (802.1Q)

118
 Interfaz VLAN

• Es posible correr Vlans sobre

interfaces inalámbricas o
interfaces bridged
• No es posible tener Vlans en
interfaces inalámbricas con el
modo station bridged

119

VLAN en Switch
• Los puertos de switch compatibles con VLAN pueden ser
asignados a uno o varios grupos basados en VLAN tag
• Los puertos de switch en cada grupo pueden ser configurados
como:
• Tagged mode: permite añadir VLAN tag de grupos en
transmisión y permite recibir frames con este tag
• Untagged mode: permite remover VLAN tag de grupos
en transmisión, y permite recibir solo paquetes
unttaged
• <Undefined>: el puerto no tiene relación a este grupo
• Trunk port: es un puerto taggeado para varios grupos VLAN

120
 VLAN en Switch

121

Laboratorio VLAN
SSID: MTCRE

INTERNET

190.10.Z.0/30

Wlan2 / Wlan3

Ether3
Ether2
172.16.10.8/30 R1 172.16.10.0/30

Ether2
Wlan1 / Wlan2
Ether2 Wlan1 / Wlan2

172.16.10.4/30

R4 R2

VLAN 100
Ether2 192.168.100.0/24
VLAN 200
192.168.200.0/24
Wlan1 / Wlan2

R3

VLAN

122
 Laboratorio VLAN
• Resetear los routers: /system reset-configuration no-defaults=yes
• Conectar de acuerdo al esquema, colocar las IP’s y verificar
conectividad entre los routers
• R1 se conecta con el proveedor de Internet, debe configurar NAT
para permitir la navegación a R2, R3 y R4
• En cada router crear dos APs virtuales configurados cada uno con
la VLAN 100 Y 200 respectivamente
• Crear troncales entre R1-R2, R1-R3, R1-R4
• En R1 crear un Servidor de DHCP que entregue Ips en la VLAN 100
con la red 192.168.100.0/24 y en la VLAN 200 con la red
192.168.200.0/24
• Verificar el servicio de internet al conectarse en cada VLAN

123

Port Switching
• Port Switching es una característica de RouterOS
• Permite tráfico con velocidades de cable que pasa entre un
grupo de puertos de Ethernet sin utilizar CPU
• Acepta Vlan Truking
• Configurando la opción “master-port” prende el chip de
switch
• Master-port será el puerto a través del cual se comunique
RouterOS
• Interfaces configuradas con master-port se convertirán en
esclavos e inactivas
• Todos los puertos serán esclavos, pero el master-port es
visible

124
 Port Switching

125

VPN – Red Privada Virtual

• Una red privada virtual (VPN) proporciona la misma
conectividad de red para usuarios remotos a través de una
infraestructura
• Una VPN para los datos en movimiento a través de una red
pública ofrece lo siguiente :
• Confidencialidad
• Integridad de los datos
• Autenticación

126
 VPN – Red Privada Virtual
RED VIRTUAL TUNNELING

Virtual: Información dentro de una red privada esta transportada sobre

una red pública

RED VIRTUAL ENCRYPTION

FH/&!”GT/(**@$%t../0oD!”#$%(

ENCRIPTACIÓN DESENCRIPTACIÓN
Privada: El tráfico esta encriptado para mantener la confidencialidad de
los datos

127

Tipos VPN
• VPN Site to Site:
• Son utilizadas principalmente para enlazar 2 sucursales
remotas, a través del medio compartido (Internet), los usuarios
de ambas sucursales podrán establecer conectividad end to
end a través del túnel ( Factor Importante : Ancho de Banda del
Internet, Reglas de acceso, Firewall)
• La VPN permanece estática y los hosts internos no saben que
existe una VPN.
• En una VPN de sitio a sitio, los hosts terminales envían y
reciben tráfico TCP/IP normal a través de un “gateway” VPN.

128
 Tipos VPN
• VPN Client to Site (VPN de Acceso Remoto):
• Es comúnmente utilizada por los usuarios que desean trabajar
• remotamente y utilizar los servicios y sistemas dentro de la
sede Principal
• ( Factor Importante :Reglas de Firewall, Accesos)
• Cuando el host intenta enviar cualquier tipo de tráfico la VPN
encapsula y cifra éste tráfico. Después, los datos cifrados se
envían por Internet al gateway VPN en el perímetro de la red
de destino. Al recibirlos, el gateway VPN se comporta como lo
hace para las VPN de sitio a sitio.

129

Túneles en RouterOS
• RouterOS implementa diversos tipos de túnel , puede ser tanto
servidor como cliente en cualquiera de estos protocolos :
• PPP (Point to Point Protocol)
• PPPoE(Point to Point Protocol over Ethernet)
• PPTP (Point to Point Tunneling Protocol)
• L2TP (Layer2 TunnelingProtocol)
• OVPN (Open Virtual Private Network)
• IPSec(IP Security)
• Túneles IPIP
• Túneles EoIP (Propietario Mikrotik)
• Túneles VPLS
• Túneles TE
• Túneles GRE

130
 Direccionamiento /30

131

Direccionamiento point to point

• El direccionamiento point-to-point utiliza solo dos ips por enlace
mientras /30 utiliza cuatro ips
• No hay dirección de broadcast, sino que la dirección de red
debe ser configurada manualmente a la dirección IP opuesta.
Ejemplo:
• Router 1: address=1.1.1.1/32, network=2.2.2.2
• Router 2: address=2.2.2.2/32, network=1.1.1.1
• Pueden haber direcciones /32 idénticas en el router. Cada
dirección tendrá una diferente ruta conectada

132
 Direccionamiento point to point

133

IPIP
• IPIP (IPv4) permite crear un túnel encapsulando
paquetes IP en paquetes IP para enviarlos a otro router
• IPIP es un túnel en capa 3. No puede ser “bridged” (L2)
• RouterOS implementa túneles IPIP acorde al RFC 2003,
por lo tanto es compatible con las implementaciones
IPIP de otros vendedores
• Para crear un túnel se debe especificar la dirección del
router local y del router remoto en ambos lados del
túnel
• Puede encriptar la información con IPsec

134
 Creando una Intefaz IPIP

135

Laboratorio IPIP
SSID: MTCRE

INTERNET

Wlan1
190.10.10.254/24

Wlan1 Wlan1 Wlan1 Wlan1

190.10.10.N/24 190.10.10.N/24 190.10.10.N/24 190.10.10.N/24

10.10.1.0/30 10.10.1.4/30 10.10.1.8/30

TUNEL IPIP TUNEL IPIP TUNEL IPIP

Ether1 Ether1 Ether1 Ether1

R1 192.168.N.1/24
R2 192.168.N.1/24
R3 192.168.N.1/24 R4 192.168.N.1/24

192.168.N.254/24 192.168.N.254/24 192.168.N.254/24 192.168.N.254/24

TUNEL IPIP

136
 Laboratorio Túnel IPIP

• Resetear los routers: /system reset-configuration no-defaults=yes

• Conectar los equipos de acuerdo al esquema inicial, colocar las IP’s
y verificar conectividad hacia el Internet
• Crear un túnel IPIP entre los routers R1-R2, R2-R3, R3-R4
• Crear una clave Ipsec para encriptar al túnel
• Crear las rutas necesarias para que tengan conectividad todas las
redes LAN (192.168.N.0/24)

137

Tunel Ethernet Over IP (EoIP)

• (IP protocol 47/GRE) Tunneling EoIP crea un túnel
Ethernet (encapsula frames Ethernet en paquetes IP)
entre 2 routers en una conexión IP
• Tunneling EoIP es un protocolo propetario de Mikrotik
RouterOS
• EoIP es un túnel de Capa 2. Puede ser puenteado
• Para crear un túnel se debe especificar la dirección del
router remoto y elegir un único Tunnel ID
• Se debe chequear que la interfaz EOIP tenga una
diferente MAC-address que el lado opuesto
• Se puede encriptar con IPsec

138
 Creación Túnel EoIP

139

EoIP y Bridging

140
 Laboratorio EoIP
SSID: MTCRE

INTERNET

Wlan1
190.10.10.254/24

Wlan1 Wlan1 Wlan1 Wlan1

190.10.10.N/24 190.10.10.N/24 190.10.10.N/24 190.10.10.N/24

TUNEL EOIP TUNEL EOIP TUNEL EOIP

Ether1 Ether1 Ether1 Ether1

R1 192.168.100.N/24
R2 192.168.100.N/24
R3 192.168.100.N/24 R4 192.168.100.N/24

192.168.100.200+N/24 192.168.100.200+N/24 192.168.100.200+N/24 192.168.100.200+N/24

TUNEL EOIP

141

Laboratorio Túnel EoIP

• Eliminar los túneles IPIP y las rutas del laboratorio anterior

• Modificar las ips de acuerdo al esquema
• Crear un túnel EoIP entre los routers R1-R2, R2-R3, R3-R4
utilizando las ips públicas
• Crear una clave Ipsec para encriptar al túnel
• Crear un bridge, añadir la interfaz Ether1 y el túnel creado
• Verificar la conectividad entre las Laptops de cada router

142
 SSTP
• Secure Socket Tunneling Protocol (SSTP) provee túneles
encriptados sobre IP

• Utiliza puerto TCP 443, igual que HTTPS

• RouterOS soporta Cliente SSTP y Servidor SSTP

• Cliente SSTP está disponible en Windows Vista SP1 y versiones

posteriores

• Implementación Open Source cliente y servidor están disponibles

en Linux

• Como es un tráfico idéntico a HTTPS, SSTP usualmente puede pasar

a través del firewall sin configuraciones específicas

143

143

Laboratorio SSTP
SSID: MTCRE

INTERNET

Wlan1
190.10.10.254/24

Wlan1 Wlan1 Wlan1 Wlan1

190.10.10.N/24 190.10.10.N/24 190.10.10.N/24 190.10.10.N/24

10.10.1.0/30 10.10.1.4/30 10.10.1.8/30

TUNEL SSTP TUNEL SSTP TUNEL SSTP

Ether1 Ether1 Ether1 Ether1

R1 192.168.N.1/24 R2 192.168.N.1/24 R3 192.168.N.1/24 R4 192.168.N.1/24

192.168.N.254/24 192.168.N.254/24 192.168.N.254/24 192.168.N.254/24

TUNEL SSTP

144
 Laboratorio SSTP

• Eliminar los túneles EoIP y las bridges configurados

• Modificar las ips de acuerdo al esquema
• Crear un túnel SSTP entre los routers R1-R2, R2-R3, R3-R4
• Crear las rutas necesarias para que tengan conectividad todas las
redes LAN (192.168.N.0/24)

145

Antes de la Prueba de
Certificación

• Asegúrate de que tienes acceso a

Internet y a www.mikrotik.com
• Ten el manual y apuntes listos

146

146
 Examen de Certificación

• Ve a http://www.mikrotik.com/account
• Ingresa con tu usuario
• Escoge My Training Sessions
• Busca Fecha, Lugar y Certificación
• Selecciona Start Test
• Éxitos !!!!

147

147

Academia Mikrotik
Ecuador

Certified Routing Engineer

( MTCRE )
Examen de Certificación

148