Acerca de MikroTik

Fabricante de software y hardware que provee soluciones

de networking.

Sus productos son usados por ISPs, empresas y/o

personas individuales para construir infraestructura tanto
en la red de acceso como en la de distribucin.

Actualizar las tecnologas de Internet de una manera ms

poderosa y al alcance de una gran cantidad de usuarios.
 Historia de MikroTik

1995: Nace de una tesis universitaria, como un router

bsico basado en Linux.

1996: Ingresa al mundo del WISP.

1997: Desarrolla su propio software para plataforma Intel.
2002: Desarrolla su propio Hardware (RB230).
2006: Primer MUM.
Actualmente: +80 empleados en diferentes reas
(desarrollo, soporte, ventas, coordinacin, etc).
 Ubicacin de MikroTik

Localizado en Riga, Latvia, Europa del Este.

En Internet:
www.mikrotik.com
www.routerboard.com
 Presentacin personal
Por favor, introdzcase a la clase.
Nombre y compaa.
Conocimientos previos en redes
Conocimientos previos en MikroTik RouterOS
Expectativas del entrenamiento

Cada alumno tendr su propio ID para realizar los

laboratorios: 10.0.ID.0/24 Por favor apunta tu ID.

Mi ID es: _______
 MikroTik RouterOS
Conceptos Bsicos
Instalacin Licenciamiento Actualizacin.
Configuraciones bsicas GUI y CLI.
 Qu es RouterOS?
Sistema operativo que convierte un dispositivo de red
(RouterBoard PC) en:

Router dedicado: BGP, OPSF, RIP, etc.

Controlador de ancho de banda.
Filtro transparente de paquetes.
Equipo 802.11 a/b/g/n PaP / PMP.
Concentrador de VPN.
HotSpot Gateway.
MPLS, IPv6, Multicasting.
Soporte de virtualizacin.
y mucho ms
 Qu es RouterBOARD?
Hardware creado por MikroTik.
Abarca un amplio rango de productos que van desde
routers SOHO a Carrier Class.
 Obteniendo RouterOS
http://www.mikrotik.com/download.html

Mirror: http://rosdl.minitw.com/
Carga de licencia
 Licenciamiento

Diferentes niveles de licencias:

Se almacena en disco/medio
Una licencia por instalacin: SoftID
Niveles: (Level 3) | Level 4 | Level 5 | Level 6
La licencia nunca expira
Permite actualizacin y soporte, Up y Downgrade
Independencia de versiones de RouterOS
Embebida en los RouterBoards
 Diferentes Accesos
GUI Interfaz grfica de usuario
WinBox / Webfig / DUDE

CLI Interfaz de lnea de comando

Monitor y teclado
Puerto Serial
Telnet / Mac Telnet
SSH

Otros Medios
Server HTTP
Server FTP
API
Acceso Serial

Cable Serial
Nulo
Cable
de Red
 WinBox
Aplicacin para configurar el RouterOS en un modo mas
amigable.
Puede descargarse de mikrotik.com/download o
directamente desde cada RouterOS.
 WinBox

Clic en el botn [] para descubrir su router

Por defecto atiende en TCP 8291, nombre de usuario

admin y sin contrasea.

Permite acceso en Capa 2 y 3.

 Modelo OSI
Marco de referencia para la definicin de arquitecturas
de interconexin de sistemas de comunicaciones.

Modelo de red descriptivo creado en 1984 por la

Organizacin Internacional para la Estandarizacin.

Contempla 7 capas, donde en cada una de ellas

especifica los protocolos a utilizarse.

La menor es la capa fsica y la mayor es la de aplicacin.

Comunicacin
 Laboratorio de Acceso

LA
B
Ingrese por primera vez por Mac-Winbox buscando el
router [] y hacindole clic en la direccin fsica del
mismo.

Por defecto, el nombre de usuario es admin y no

tiene password.
Reconociendo WinBox
 Diagrama de Conexin

AP trainer
Tu laptop Tu router
 Configuracin de Laptop

Deshabilita la interfaz Wireless.

Asgnale la IP 10.0.ID.1/24

Asgnale el gateway 10.0.ID.254

Asgnale el DNS primario 10.0.ID.254

No hace falta asignarle DNS secundario

 Laptop Router
Acceda al router por Mac-Winbox
Configure la IP 10.0.ID.254/24 sobre la interfaz LAN
Network se autoconfigura
 Laptop Router
Chequee conectividad entre la laptop y el router.

Troubleshooting: verifique que la direccin se haya escrito

correctamente, que la interfaz sea la correcta y que no haya
firewall bloqueando la conectividad.

Cierre el Winbox e ingrese nuevamente, pero ahora por IP.

El acceso por Mac, slo debe usarse cuando el acceso por

IP no es posible.
 Diagrama Router Internet

AP trainer
Tu laptop Tu router

192.168.X.1 192.168.X.254
 Router Internet (capa 2)
El gateway a Internet, es accesible sobre la red wireless,
el cual es el Access Point del entrenador.
Para conectarse al mismo, se debe configurar la interfaz
wireless de su router en modo Station.
 Router Internet (capa 2)

Para descubrir los AP, use el botn SCAN.

Seleccione Mikrotik Training y haga clic en CONNECT.

Cierre la ventana de SCAN.

Verifique el estado de conexin al pi de la ventana

principal.

Running AP Connected to ESS Disabled

 Router Internet (capa 3)

La interfaz wireless tambin necesita una direccin IP.

El AP provee automticamente direcciones IP por

medio del protocolo DHCP.

Es necesario habilitar el DHCPClient sobre la interfaz

wireless para obtener IP, DNS y Gateway.
 Router Internet

Chequee el estado del servicio y verifique si su router

recibi IP, DNS y Gateway.
 Router Internet

Verifica la conectividad a Internet mediante la herramienta

Toos --> Traceroute
 Server DNS Cach

Su router tambin puede ser un Server DNS cach,

simplemente habilitando la opcin allow remote requests.
 Laptop Internet
La laptop puede acceder al router, y el router puede
acceder a Internet. Slo falta un paso ms para que la
laptop tenga salida a Internet.

Crea una regla de MASQUERADE para ocultar tu red

privada detrs del router. IP > Firewall > Nat > Src-Nat
 Chequeo de Conectividad

Verifique la conectividad entre su laptop e Internet.

 Troubleshooting

El router no puede hacer ping ms all del AP

El router no puede resolver nombres.

La laptop no puede hacer ping ms all del router.

La laptop no puede resolver nombres.

Funciona la regla de MASQUERADE ?

El gateway y DNS de la laptop, corresponden al router?

 Manejo de Usuarios
Se puede controlar el acceso al router creando
diferentes usuarios y polticas.
Tambin se puede restringir por IP de acceso.
Permite asignar un SKIN diferente a cada grupo
System > Users
 WebFig
Acceso Web 100% customizable.

Permite tener diferentes plantillas segn el usuario

 Actualizacin
Descargar el NPK file a su pc y subirlo va FTP o
mediante dragn drop.

Actualizacin Masiva: System > Autoupgrade

Por consola: Tool > Fetch

 Lab. de Actualizacin

LA
B
El entrenador actualizar su router descargando el
paquete desde Internet.

La clase lo actualizar automticamente mediante Auto

Upgrade

Cuando termine de subir la actualizacin, reinicie el

router system > reboot.

Asegrese de no cortar el suministro elctrico del router

cuando esta en proceso de actualizacin.
 Manejo de Paquetes
Las funciones del RouterOS se habilitan por medio de
paquetes. System > Packages

Habilitar / Deshabilitar / Instalar / Desinstalar

Se utilizar para hacer downgrade del RouterOS

Contenido de los Paquetes
 Identidad del Router
System > Identity
 NTP
Network Time Protocol, para sincronizar la hora.

RouterOS soporta NTP cliente y server (para este ltimo

se requiere el paquete NTP).

Para corregir el reloj de un RouterBOARD.

 Laboratorio

LA
B
Nombre al router con su nmero de ID y su nombre.

Sincroncelo con pool.ntp.org

Ajstelo a la zona horaria de su pas

 Backup Binario
Se puede guardar y restaurar un archivo de backup desde
el men FILES.
El backup binario no es editable.
/system backup save name=pepe.backup
 Backup en modo texto
Adicionalmente se puede exportar e importar
comandos desde CLI.
Los archivos exportados si son editables.
No se guardan las contraseas de acceso.
/export file=pepe
/ip firewall filter export file=solo_firewall
/file print
/import [Tab]
 Enlaces tiles
www.mikrotik.com Manejo de licencias, documentacin.
www.routerboard.com Manuales, hojas de datos,
precios, informacin.
forum.mikrotik.com Comparte experiencia con otros
usuarios.
w i k i . m i k r o t i k . c o m To n e l a d a s d e e j e m p l o s ,
presentaciones del MUM, documentacin.
www.tiktube.com Videos de MikroTik.
MikroTik RouterOS
FIREWALL
 Firewall
Protege el router y los clientes de accesos no autorizados.

Esto se puede realizar creando reglas en los mdulos

FIREWALL y NAT en IP > Firewall.
 Firewall Filter
Consiste en reglas definidas por el usuario que trabajan
con el principio condicional:

SI MATCHEA > ENTONCES

El orden es MUY importante.

Estas reglas son ordenadas en cadenas.

Hay cadenas predefinidas y cadenas creadas por el

usuario.
 Cadenas de Firewall
Las reglas pueden ser creadas en 3 cadenas por defecto:

INPUT: Procesa paquetes que tienen como destino final

el router.
OUTPUT: Procesa paquetes enviados por el router.
FORWARD: Procesa paquetes que atraviesan el router.

Output
Input

Forward
Diagrama de Firewall Simplificado
 Tcticas de Firewall
Bloquear lo conocido y aceptar el resto.
Aceptar lo conocido y bloquear el resto.
 Cadena Input
Esta cadena contiene las reglas de filtrado que protegen
al router mismo.

Vamos a bloquear a todos, excepto nuestra propia laptop.

 Cadena Input
Se agrega una segunda regla vaca y con accin = drop al
final para bloquear el resto del trfico que ingresa al router.
 Laboratorio INPUT

LA
B
Cambie la direccin IP de su laptop.

Intente ingresar al router.

Si no puede ingresar, entonces el firewall est

funcionando.

An puede conectarse por MAC-Winbox? Porque?

 INPUT

LA
B
El acceso al router est bloqueado.

Internet no est funcionando, debido a que tambin se

estn bloqueando las consultas al DNS.

Modifique la configuracin para hacer que funcione

nuevamente Internet.
 Lista de Direcciones
Address-List permite aplicar una regla de filtrado a un
grupo de direcciones con una sola sentencia.

Al agregar una IP nueva al address-list, automticamente

ya se aplica la regla a esa direccin.

Se pueden agregar direcciones de manera automtica.

 Lista de Direcciones

Se pueden crear diferentes listas.

Soporta subredes, rangos separados un nico host.

 Lista dinmica
Agrega un host determinado al address-list segn el
clasificador usado.
 Laboratorio

LA
B
Cree un address-list que permita el ingreso por Winbox
slo a un grupo determinado de direcciones. (Winbox = TCP
8291).

Acepte ese address list.

Bloquee el ingreso por Winbox a todo el resto.

Bloquee TCP y UDP del rango 137-139.

Bloquee TCP y UDP 445.

 FORWARD
Esta cadena contiene las reglas que controlan los
paquetes que atraviezan el router.
Cree una regla que bloquee la navegacin TCP 80.
Se debe seleccionar el protocolo para bloquear un puerto.
 Laboratorio

LA
B
Trate de abrir www.mikrotik.com.

Trate de abrir la pagina Web del router de su compaero.

Trate de abrir la pagina Web de su router.

Porqu funciona esta ltima?

 Servicios en RouterOS

IP > Services
 FORWARD
Vamos a bloquear todo el trfico P2P no encriptado
existente en la red
 Firewall LOG
Vamos a loguear el ping de los clientes a nuestro router.
La regla de LOG siempre debe ser agregada antes de
cualquier otra accin.
 Cadenas de Firewall
Adems de las cadenas pre-definidas (input, forward y
output), se pueden crear cadenas adicionales.

Hacen la estructura del Firewall ms simple.

 Estado de Conexiones
El mdulo de Connection Tracking es el corazn del
firewall. ste recopila y maneja todas las conexiones.

Cada entrada en la tabla representa un intercambio

bidireccional de datos.

Deshabilitando el ConnTrack el sistema pierde su

capacidad de hacer NAT, como as tambin la mayor parte
de las condiciones de filtrado y marcado.

Usa muchos recursos de CPU.

Estado de Conexiones
Estado de Conexiones
 Mantenimiento del Firewall
Escriba comentarios en cada regla, para hacer a tu router
ms manejable.
Verifique los contadores de cada regla, para ver si hay
matcheos.
Cuide la posicin de cada regla y los atajos del teclado.
Use la accin passthrough para determinar una cantidad
de trfico antes de aplicar una accin determinada.
Use la accin log para coleccionar informacin.
Use el modo seguro para crear reglas que puedan perder
conectividad contra el router.
 Preguntas?
MikroTik RouterOS
FIREWALL
 Ejercicios
Utilice el clasificador time y combnelo con el address list
para crear un perfil de navegacin nocturno.
Deje un registro de las IP que ingresaron por WinBox en el
ltimo mes.
Utilice el clasificador content para bloquear la bsqueda
de sitios con contenido adulto.
MikroTik RouterOS
Network Address
Translation
 NAT
El encabezado del paquete IP esta compuesto por una
dupla de direcciones (origen y destino) y una dupla de
puertos (origen y destino).

El router tiene la capacidad de cambiar el origen

destino de cualquier paquete que lo atraviesa.

Este proceso se llama src-nat dst-nat, dependiendo del

parmetro que se modifique.
 Cadenas de NAT
Para implementar los diferentes escenarios es necesario
ordenar estas reglas en sus cadenas correspondientes:
dstnat srcnat.

Al igual que el Firewall, las reglas de Nat trabajan con el

principio condicional: SI MATCHEA > ENTONCES.

NAT solo funcionar con el Connection Tracking

habilitado.
 SRCNAT
Se sobre escribe la direccin IP y/o puerto de origen.

New
SRC-Address
SRC-Address

Tu laptop Server Remoto

 DSTNAT
Se sobre escribe la direccin IP y/o puerto de destino.

Server en red privada Host pblico

New DST-Address DST-Address

Cadenas de NAT
 SRCNAT
Cambia el origen de los paquetes.

Se usa para tener acceso pblico desde una red privada.

Maquerade es un tipo especfico de Src-Nat.

Esta accin puede hacerse slo en la cadena src-nat.

 Masquerade

Src Address Src Address

192.168.X.1 router address

192.168.X.1 Public Server

 DSTNAT
Dst-Nat cambia el destino del paquete (ip puerto).

Puede ser usado para redirigir el trafico desde Internet a

un servidor en nuestra red interna.

Esta accin puede hacerse slo en la cadena dst-nat.

Web Server
Acceso Remoto
192.168.1.1

New DST-Address DST-Address

192.168.1.1:80 207.141.27.45:80
 DSTNAT
Para crear la regla del ejemplo anterior, se procede de la
siguiente manera:
 Redirect
Tipo especial de DSTNAT.
Esta accin redirecciona los paquetes al router mismo.
Se puede usar para hacer proxy de servicios (DNS, HTTP).
 Redirect

DST-Address
Configured_DNS_Server:53

New DST-Address
Router:53

DNS Cache
 Ejemplo de Redirect

LA
B
Pruebe cambiar los DNS de su PC e intentar volver a
navegar.

Observe el cach en el server.

 NAT 11
Asumiendo que su router tiene ms de una IP pblica, es
posible hacer que todos sus clientes naveguen por una, y
destinarle la otra a un cliente puntual para abrirle el acceso
desde Internet a ste ltimo.

Para esto, hay que crear 3 reglas:

Src-Nat particular para el cliente XY
Dst-Nat particular para la ip pblica XY.
Src-Nat general para el resto de los clientes.

Las primeras dos arman el Nat 1-1

 Limitaciones
Los clientes detrs de un router usando NAT, no tienen una
verdadera comunicacin punto a punto:

No es posible iniciar una conexin desde el exterior.

Algunos servicios de TCP trabajarn en modo pasivo.

Algunos protocolos requerirn de nat-helpers para

trabajar correctamente (nat-transversal).
 NatHelpers
Se puede especificar un puerto para el Nat-Helper y
habilitarlo deshabilitarlo, pero no se pueden agregar.
Preguntas?
MikroTik RouterOS
NAT
 Ejercicios
Redireccione las consultas de DNS de sus clientes al
Server de Google, IP 8.8.8.8
Permita el ingreso desde Internet al Escritorio
Remoto de su ordenador.
MikroTik RouterOS
DHCP
DHCP Server y Cliente.
 DHCP
El Dynamic Host Configuration Protocol es usado para
distribuir dinmicamente configuraciones de red como:
Direccin IP y Mscara
Default Gateway
DNS y NTP server
Ms de 100 otras opciones personalizables (soportado
por clientes DHCP especficos)
DHCP es bsicamente inseguro y debe ser usado en redes
que se consideren confiables
DHCP usa puertos UDP 67 (Server) y 68 (Cliente)
DHCP Negociacin
 DHCP Client
Un host puede obtener una direccin IP a travs de un
DHCP-Server.
La identificacin puede tener 2 formas:
Basada en la opcin caller-id (dhcp-client-identifier
del RFC2132)
Basada en la MAC Address, si la opcin caller-id no
es especificada.
La opcin hostname permite al cliente RouterOS
enviar una informacin adicional para la identificacin en
el server. Por defecto se enva el system identity.
 DHCP Client

Hostname: Cmo se identificar en el DHCP-Server.

Client-ID: Corresponde a una sugerencia del administrador de red,
sino se especifica se enva la MAC-Address.
Use peer DNS: Obtiene los DNS que le brinda el server y
sobreescribe /ip dns.
Use peer NTP: Obtiene y configura los servidores NTP en /system
ntp client.
Add Default Route: Agrega el default gateway en la tabla de ruteo
con la distancia especificada.
 DHCP Server
Para entregar direcciones IP es necesario setear un
DHCP-Server.
Se puede configurar una instancia por cada interfaz del
router.
Dispone de un Asistente que permite la configuracin
bsica automtica del servicio, previo ingreso de los
datos de la red en general.
El DHCP Server entregar IP de un IP Pool .
 DHCP Server

Importante:
Si la interfaz fsica donde se quiere crear un DHCP Server
pertenece a un Bridge, es necesario seleccionar la interfaz
Bridge y NO la fsica
 DHCP Server
Entradas Estticas: Es posible entregar a un host siempre
el mismo IP creando entradas estticas para su MAC
Address e IP.

Tambin ayuda a monitorear

las entradas estticas y
dinmicas del router.

Se pueden setear algunos

parmetros particulares para
cada entrada.
 DHCP-Server
Es posible solo brindar IP que sean estticos y no utilizar
un pool, seteando static-only
 Server DHCP
Crea un server DHCP usando el asistente en el ruteador,
para tu laptop (tu propio segmento)

Usa tu mismo segmento privado 192.168.XY.0/24

Configura tu laptop usando el cliente DHCP con
configuracin de DNS automtica

Verifica tu laptop en IP y parmetros, debes tener salida a

Internet
Preguntas?
MikroTik RouterOS
DHCP
MikroTik RouterOS
Simple Queue
Limitacin simple.
 Limitando velocidad
El control directo de flujo de datos para trfico entrante es
imposible.
El ruteador controla el flujo de datos indirectamente,
descartando paquetes.
El protocolo TCP se adapta de manera automtica en
cuestin de velocidad.
Los Queues simples son la va mas rpida para limitar la
velocidad del flujo.
 Queues Simples
Los Queues Simples hacen que la limitacin sea sencilla.
Puedes limitar:
La velocidad de RX del Cliente (download)
La velocidad de TX del Cliente (upload)
La velocidad de TX + RX del Cliente (upload +
download)

Al ser fcil de configurar, las queues simples nos dan

control sobre las funcionalidades de QoS. Solo es
necesario conocer el IP a limitar.
 Limitacin Simple

Ingresar su IP y colocar limitaciones de subida y bajada

 Queue Simple
Regrese a su configuracin base.
Cree una queue simple para limitar tu velocidad en la red
local a 256Kbps/512Kbps (upload/download)
Verifica la limitacin.
Crea otra queue simple para limitar la velocidad en la IP
que tenga la laptop a 64Kbps/128Kbps (upload/
download).
Verifica la limitacin!
Cambia el orden de ambas queues que sucede?
 Simple Queue Monitor

Se puede graficar el trfico

de cada simple queue.
El grfico muestra cuanto
trfico pasa por la queue.
 Simple Queue Monitor

Para ver el grfico es posible va WWW

Ingresar a http://IP_router
Se puede brindar al usuario
 Analizando la limitacin
Utilice Tools > Torch para chequear la limitacin
Solo es necesario colocar la interfaz y el IP.
Monitor de trfico de Interfaz
 Simple Queue
Con una poltica de Queue avanzado es posible:
Reducir el nmero de simples queues
Ecualizar el ancho de banda entre los usuarios
Setear el limite de velocidad para el usuario

PCQ es un Queue Type avanzado

Permite clasificar y dividir el trfico (desde el punto de
vista del cliente; src-address es subida y dst-address es
descarga)
 PCQ

PCQ Permite setear un limite para todos los usuarios en

una sola queue
 PCQ

Con PCQ es posible dividir/ecualizar el ancho de banda

entre los usuarios por partes iguales.
Es necesario definir el Max-Limit para que conozca la
cantidad de ancho de banda a dividir.
 PCQ

De deben crear 2 PCQ Queue Type, una para descarga y

otra para subida
 PCQ

Se debe crear una Queue Simple definiendo:

Target Address, Max-Limit y el Queue Type respectivo.
Ejemplo: Ecualiza 1M/2M entre los usuarios de la red
192.168.0.0/24 en partes iguales
 PCQ
Laboratorio CIBER:
Cree dos Queue Type PCQ con Rate 0 y
Clasificador dst-address para descarga
Clasificador src-address para subida
Cree una simple queue para su red interna con Max-Limit
512k/1M y las respectivas queues type.
Compruebe la limitacin
Preguntas?
MikroTik RouterOS
Simple Queue
MikroTik RouterOS
Routing
Ruteo Esttico
Ruteo Dinmico - OSPF
 Routing
Mikrotik RouteOS soporta dos tipos de ruteo:

Ruteo Esttico: son rutas que son creadas por el usuario

a travs de polticas de ruteo.
Ruteo Dinmico: Son rutas que son generadas
automticamente, que puede ser por el agregado de un
IP o por algn protocolo de ruteo.
 Routing
Hosts en el mismo rango IP se comunican directamente
entre ellos.
Si se quiere acceder a otro segmento de red se utilizar
un gateway.
Al agregar un IP address, se crear una ruta dinmica (D)
y activa (A) en la tabla de ruteo
La tabla de ruteo determina como se mueve el trfico
Puede ser generada manualmente (ruteo esttico)
dinmicamente (ruteo dinmico ej OSPF).
 Routing
Regrese a una configuracin base
Intente hacerle ping al IP de la Laptop de su compaero
Vamos a aprender como usar las rutas para alcanzar al IP
del vecino
Revisemos /ip route
 Routing

Destination: Redes que puede alcanzar.

Gateway: indica que si no concuerda con alguna ruta
especificada, entonces se lo enviar a el.
 Routing
Solo un gateway por red

Se elige siempre la ruta mas especfica, la cual tiene

mayor prioridad.

La ruta con destino 0.0.0.0/0 significa todo lo restante,

 Routing
Mirar la tabla de ruteo

L a s r u t a s m a rc a d a s c o n D A C s o n a g re g a d a s
dinmicamente.

A Activa

D Dinmica

C Conectada

S - Esttica
 Routing
ECMP (Equal Cost Multi-Path) Routing: mecanismo que
permite rutear paquetes a travs de mltiples paths con
igual costo, realizando un balanceo de carga.
Puede tener varios gateway para
llegar a un mismo destino.
Los gateways sern usados por un
Round Robin combinado por la
direccin origen y destino
Un gateway se puede repetir
varias veces.
 Routing
Check Gateway: Permite saber si un gateway es
alcanzable no usando los protocolos ICMP (ping) o ARP.

Si el gateway no es alcanzable la regla se vuelve inactiva

Si un gateway no es alcanzable en una ruta ECMP,

nicamente se usarn los gateway alcanzables con el
algoritmo Round Robin.

Si check-gateway est habilitado en un router, ste

afectar a todas las reglas con ese gateway.
 Routing

Recuerde su estructura de red

Los vecinos tienen las red 10.0.ID.0/24
Intentar alcanzar la notebook de su vecino con ping
Utilizar el comando tracert para conocer el camino que
hace el paquete
 Preguntas?
MikroTik RouterOS
Routing Ruteo Esttico
 OSPF
OSPF: Open Shortest Path First, es un protocolo de ruteo
jerrquico del tipo IGP (Internal Gateway Protocol).
MikroTik RouterOS implementa OSPF v2 (RFC 2328) y v3
(RFC 5340 para IPv6)
Usa el estado del enlace y el algoritmo de Dijkstra para
calcular el camino mas corto haca todas las redes
conocidas.
OSPF distribuye la informacin de ruteo entre todos los
routers dentro de un AS (sistema Autnomo)
Utiliza el protocolo IP 89 para comunicarse con otros
routers
 OSPF
Un sistema autnomo -AS- es una coleccin de redes IP y
router bajo el control de una entidad (OSPF; iBGP, RIP) y
que presentan una poltica de ruteo en comn con el resto
de la red.

AS es un identificador de 16 bits (0 65535)

Rango del 1 al 64511 se usa en Internet
Rango del 64512 al 65535 para uso privado
 OSPF
Conceptos Iniciales y Glosario.
Se utiliza el concepto de Area para optimizar la
distribucin y agrega estabilidad
Los routers se agrupan entre si en Areas
La estructura del Area es invisible fuera de ella
Area 0 es el Backbone
OSPF
 OSPF

Es necesario especificar las redes y Areas asociadas

donde el router buscar otros routers OSPF vecinos.
Debe especificar la red exactamente como aparece en la
interfaz
 OSPF
Estado de vecinos (Neighbour state)
Deben quedar en FULL o 2-Way los estados de vecinos
Down, Attempt, Init, Loading, ExStart, Exchange: no est
funcional, chequear que sucede!
 OSPF

Router ID: puede dejarse en 0.0.0.0 y se elegir el IP mas

grande asignado al router.
Distribute-default: never
Dejar siempre en never a no ser que sea un ASBR
 OSPF
La default route no es considerada como una ruta esttica.
 OSPF

Asigne el network al Area Backbone

Habilite la redistribucin como type 1 para todas las rutas

conectadas

Mire los OSPF vecinos y la tabla de ruteo

Agregue una ruta esttica a la red 172.16.XY.0/24

Habilite la redistribucin como type 1 para todas las rutas

estticas

Mire la tabla de ruteo

 Preguntas?
MikroTik RouterOS
Routing Ruteo Dinmico
 MikroTik RouterOS
Tneles y VPN
PPtP L2TP PPPoE VLAN - IPSec

domingo, 2 de junio de 13
 VPN
Las VPN permiten tener una comunicacin segura sobre
una red insegura.
Permite expandir el acceso a la red an estando
fsicamente separados.
Costo muy bajo gracias a las conexiones de banda ancha.
Acceso a servidores corporativos (Correo,
impresoras, Fileserver)
Acceso a cmaras de seguridad
Realizar transacciones seguras
Trabajo fuera de oficina: Tele Trabajo
Unir sucursales entre s
Etc...
 Tecnologas VPN
PPPs con encriptacin de 128bit MPPE
OpenVPN - SSTP
EoIP IPIP - GRE
Vlans
IPSec
 Direccionamiento PPP
Direcciones IP son aadidas a las interfaces del tnel
Use direcciones de 30 bits para ahorrar espacio de
direccionamiento, por ejemplo:
1.10.1.6.1/30 y 10.1.6.2/30 desde la red 10.1.6.0/30
Es posible usar direccionamiento de punto a punto, por
ejemplo:
1.10.1.6.1/32, red 10.1.7.1
2.10.1.7.1/32, red 10.1.6.1
 Interfaces VLAN
VLAN es una implementacin del protocolo 802.1Q

VLAN permite multiples Virtual LANs en un solo cable

ethernet

VLAN soporta 4095 interfaces por cada ethernet

VLAN Trunk: Mtodo para transmitir frames con su tag

VLAN intacto.
VLAN Interfaces
VLAN
 Preguntas?
MikroTik RouterOS
VPN Virtual Private Network
MikroTik RouterOS
BRIDGE
Diseos de redes bridgeadas
EoIP & VPLS
 Bridge
Redes Ethernet pueden ser conectadas entre si usando la
Capa 2 del modelo OSI.

El bridge permite la interconexin de hosts conectados

en redes separadas como si estuvieran unidos en un solo
segmento.

Los Bridges extienden el dominio de broadcast e

incrementan el trfico en la red bridgeada.
Bridge
 Bridge

Todo bridgeado como un gran switch

 Bridge
El Bridge es una interface virtual en RouterOS

Varios bridges pueden ser creados

/interface bridge add name=bridge1

Las interfaces pueden ser agregadas como un port en el

bridge
/interface bridge port add interface=ether1
bridge=bridge1
/interface bridge port add interface=ether2
bridge=bridge1
Creando un Bridge
Creando un Bridge
 Spanning Tree Protocol
El Spanning Tree Protocol (STP)

Est definido en el Estandar IEEE 802.1d

Evita bucles en una red bridgeada.

Elimina la posibilidad que una MAC-Address sea vista

por varios puertos bridge, deshabilitando el path
secundario.

Encuentra el camino mas ptimo en un red mesh y

deshabilita los links que no son partes del rbol,
eliminando los loops bridging.
 STP en Accin

A
B

D
C
Root
Bridge
E F
 Spanning Tree

Root
C Bridge

E B A

F D
 Rapid Spanning Tree Protocol

Rapid Spanning Tree Protocol (RSTP)

Es una evolucin del STP.

Provee de una convergencia mas rpida en topologas

con cambios que el STP.

Viene en el paquete System del RouterOS.

Redes Ruteadas vs Bridgeadas

El router no retransmite los frame broadcast.

Los bucles y su resultante tormenta de broadcast no

son posibles en redes diseadas basadas en routing.

Medios redundantes y topologas mesh puede ofrecer

intercambio de trfico redundante tolerante a fallas que
las topologas bridgeadas.