BGP com

Mikrotik RouterOS

verso 20161011
 Enquanto no comea o Workshop

Temos 4 grupos de 3 roteadores cada. Assuma um deles

Caso no tenha Winbox, pea para o instrutor.

Faa um reset no roteador (sem configuraes default)

Conecte o roteador ao SSID BGP-Lab. Senha PSK mikrotikbrasil

Em Wireless / Advanced Mode / configure o radio name com o

nmero que est no seu roteador.

2
Mikrotik, RouterOS,
Routerboards, etc.

3
 Histrico

1993: Inicia como ISP Wireless em 915MHz em Riga,

(Latvia)
1996: Fundada a empresa MikroTikls
1997: Criado o RouterOS
2002: Inicia desenvolvimento de Hardware prprio
(Routerboards)
Atual: Desenvolvimento do software e principais hardwares
em Riga. Produo de alguns hardwares na China.

Copyright md brasil - direitos reservados

4
 Mikrotik, RouterOS, SwitchOS e
Routerboards

Mikrotik:
Nome original da empresa (em leto pequena rede);

RouterOS:
Sistema operacional, baseado em Linux, que pode ser
instalado em arquitetura x86 e nas Routerboards;

SwitchOS:
Sistema operacional de equipamentos Mikrotik que
suportam somente switching;

Routerboard:
Marca registrada do hardware fabricado pela Mikrotik.
Copyright md brasil - direitos reservados
5
Roteamento dinmico com
Mikrotik RouterOS

6
Roteamento com
RouterOS

7
Roteamento com
RouterOS

8
Roteamento com
RouterOS

9
 Internet
Sistemas Autnomos
Protocolo BGP

10
 Sistemas Autnomos e a Internet

A Internet formada por vrias redes distintas que se

interligam. Cada uma destas redes tem uma
administrao tcnica independente e so chamadas de
Sistemas Autnomos.

AS-3
AS-1 md1302192041

AS-2 Seu
AS

11
 Sistemas Autnomos, Internet
e o protocolo BGP

O protocolo BGP o idioma que AS, fala com AS, para

que as redes troquem informaes de roteamento e
todos os destinos sejam alcanveis

BGP
AS-3
AS-1
md1302192041

BGP
BGP BGP

AS-2 Seu
BGP AS

12
 Sistema Autnomo

Uma definio formal para um Sistema Autnomo (AS) pode

ser dada por:

coleo de prefixos de roteamento conectados pelo Protocolo

IP, sob o controle de um ou mais operadores de rede que
apresenta uma poltica comum e claramente definida de
roteamento para a Internet
Na prtica, voc se
torna um AS, atravs
de um processo
administrativo que
Sistema encaminha entidade
Autnomo (AS) regional que controla
os recursos de
md1302192042
numerao da Internet
(no nosso caso a
LACNIC)
13
 Sistemas Autnomos

Nmeros para sistemas autnomos:

Inicialmente foram reservados 16 bits

para os nmeros AS (mximo de
65.535); Sistemas
Autnomos
ASs de 64512 a 65535 so nmeros (AS)
reservados para ASs privados;

Com a previso do esgotamento dos ASs md1302192042

de 16 bits, criaram-se os ASs de 32 bits;

Na Internet convivem ASs de 32 e 16 RouterOS

bits, mesmo com roteadores que no suporta AS
suportam ASs de 16 bits, atravs de uma de 32 bits.
tcnica de transio;

14
Protocolo
BGP

15
 A Internet e o protocolo BGP

Para lidar com todo o trfego da

Internet, o BGP deve:

Ser um protocolo escalvel e capaz de lidar com uma

quantidade enorme de rotas, sempre crescente;

Ter robustez e confiabilidade;

Prover ferramentas que possibilitem de certa influenciar

em trfegos externos que no esto sob o controle direto
do administrador;

16
 A Internet e o protocolo BGP

Caractersticas do BGP

Pode ser considerado um protocolo do tipo vetor de

distncia, nos quais cada AS representa um salto de
roteamento;

O BGP no leva em conta a topologia interna de cada AS,

existindo apenas a informao de como alcanar as
redes;

A corrente verso do BGP a verso 4, especificada na

RFC-4271
17
 Protocolo BGP

Princpios bsicos:

Opera trocando informaes sobre a alcanabilidade das

redes por mensagens de NLRI (Network Layer Reachability
Information)

As mensagens de NLRI possuem um ou mais prefixos de

redes e atributos do BGP com os quais esses prefixos
esto associados;

As informaes so transportadas sobre uma conexo

TCP (porta 179) que garante a integridade dos dados;

Peers so configurados de forma esttica pelos seus

administradores.
18
 Protocolo BGP

AS-1 AS-2
md1302200234

Administradores configuram ambos os lados;

A sesso TCP estabelecida e depois dela a sesso BGP;

Informaes de rotas so trocadas at a convergncia total;

Aps isso, somente informaes de UPDATE para

manuteno;

Mensagens de keepalive indicam a disponibilidade do peer.

19
 Estados da sesso BGP

Tentando adquirir Esperando pela

um peer 3 - Active 2 - Connect conexo TCP

OPEN

Esperando
4-OpenSent 1-Idle pelo evento
start

KEEPALIVE
5-OpenConfirm KEEPALIVE
md1302200235 UPDATE
KEEPALIVE
6-Established

Negociao de
vizinho completa
20
 Mensagens do BGP

OPEN
Primeira mensagem enviada aps o estabelecimento da conexo TCP
e confirmada com um KEEPALIVE;
KEEPALIVE
Mensagens trocadas de 60 em 60 segundos para verificar o estado do
peer;
UPDATE
Informao de prefixos de rede em si;
NOTIFICATION
AS-1 AS-2
Enviada quando ocorre um erro
md1302200234

Mensagem opcional:
ROUTE REFRESH
Pede ao vizinho para enviar as rotas novamente

21
 Componentes da mensagem
OPEN

BGP Router ID: Configurado pelo administrador (formato de

IPv4). Se deixado branco, assume como Router ID o maior
endereo IP configurado no roteador.
My AS: Nmero AS do remetente
Hold Time: Tempo mximo entre mensagens sucessivas de
keepalive e update do remetente. Default = 180 segundos.
Caso Hold Time = 0 roteador no envia keepalive;
Version: Verso do BGP (corrente BGPv4)
Autenticao: Caso esteja sendo usada autenticao MD5
entre os peers

22
 Componentes das mensagens
de UPDATE

Prefixos de rede Atributo1, Atributo2, Atributo3, .....

NLRI (Network Layer Reachability Information):

Lista dos prefixos de rede alcanveis por esse caminho

Withdrawn Routes:
Lista dos prefixos de rede que esto sendo retiradas de
servio

Path Attributes:
Atributos dos prefixos anunciados (ou retirados).
23
 Tipos de atributos

Presentes em todas
Mandatrios mensagens de update

Bem conhecidos
(Well Known)

Podem ou no estar
Reconhecidos por todas
Discricionrios presentes nas
implementaes BGP
mensagens de update
Atributos

Reconhecidos Propagados para outros

opcionalmente Transitivos roteadores, mesmo se
no suportados

Opcionais

No propagados para
md1302201203 Intransitivos outros roteadores

24
 Entendendo o atributo AS-Path

AS-100
AS-200
Rede AS-Path
1.1.0.0/20 100
AS-Path
200, 100
md1302200202

AS-400 AS-300
AS-Path
300, 200, 100

REDE 1.1.0.0/20 AS-Path=300,200,100

25
 Entendendo o atributo AS-Path

Ao receber o a anncio da rede 1.1.0.0/20, com o AS-Path

300, 200, 100, o AS-400 sabe que para chegar a essa rede
tem que passar pelos ASs 300, 200 e 100

26
 Preveno de loopings de roteamento

AS-100
AS-200
Rede
1.1.0.0/20 AS-Path
100
AS-Path
200, 100
AS-Path md1302200202
400, 300, 200, 100

Ao ver seu prprio AS-400 AS-300

nmero AS, dentro do AS-Path
AS-Path, o BGP 300, 200, 100
descarta o anncio
27
 Next-Hop em rede compartilhada
10.1.1.1/24
REDE 1.1.0.0/20 AS-Path=10 Next-Hop=10.1.1.1
AS-10
Rede
1.1.0.0/20
sesso BGP
AS-20

sesso BGP
md1302201755

AS-30 10.1.1.2/24

REDE 1.1.0.0/20 AS-Path=20,10 Next-Hop=10.1.1.1

10.1.1.3/24

Estando na mesma subnet, o next-hop se mantm

inalterado para otimizar o encaminhamento de pacotes.
Onde acontece essa situao? 28
 Algoritmo de deciso do BGP

Prefixos de rede Atributo1, Atributo2, Atributo3, .....

Uma vez que uma rota seja recebida por um roteador BGP:

1) feito o processo de next-hop lookup (roteamento mdulo A) para

se determinar o se o gateway alcanvel e vlido

2) verificado se o atributo AS-Path no contm o endereo de AS

local (para evitar loopings)

3) A rota no est descartada ou rejeitada por filtros de roteamento

4) Se no houver outra rota na FIB igual recebida, ela instalada e

considerada o melhor caminho.
29
 Algoritmo de deciso do BGP

Rota recebida

Copyright
md1610111614

O Gateway alcanavel? Essa rota existe na FIB?

SIM
NO SIM

NO

SIM O AS-Path contem meu AS? Compara com a rota existente

com base nos critrios do BGP e
NO
escolhe a melhor

NO

A rota est descartada ou

Descarta a rota SIM rejeitada por filtros de
roteamento?
Instala a rota

30
 Critrios de deciso do BGP

Rotas que sejam recebidas e que tenham passado pelos critrios de

descarte so comparadas seguindo a sequencia abaixo:

1) Prefere a rota com maior WEIGHT (default = 0);

2) Prefere a rota com maior LOCAL-PREFERENCE (default = 100);
3) Prefere a rota com o menor AS-Path;
4) Prefere a rota originada localmente por agregao de rota ou por
anncio do prprio BGP;
5) Prefere a rota com a menor ORIGIN (igp < egp < incomplete);
6) Prefere a rota com a menor MED (default = 0);
7) Prefere a rota aprendidas por eBGP do que por iBGP;
8) Prefere a rota que vem do roteador com menor Router ID;
9) Prefere a rota com a menor lista de cluster de refletor de rotas
(default = 0);
10) Prefere a rota que vem do vizinho com menor endereo IP.
31
 BGP externo e BGP interno

iBGP:
Peerings entre roteadores
do mesmo AS

eBGP:
Peerings entre roteadores AS-20
de ASs externos

eBGP
R2
eBGP AS-30
AS-10

R3
eBGP
R1 iBGP md1302201839

AS-40
32
 Tcnica de Split Horizon
para o BGP

Split Horizon uma tcnica utilizada em roteamento para evitar

que um esquema de roteamento crie loops, tornando
efetivamente roteamento mais eficiente.

Quando um roteador em uma rede recebe um pacote de

informao de roteamento, ele no envia a mesma informao
de volta pelo caminho no qual a informao foi recebida (ou seja,
ao roteador adjacente que enviou a informao). Ele somente
envia as informaes para outros caminhos para que no haja a
possibilidade do pacote ser roteado de volta ao caminho
originador.

No BGP, o roteador tem dois mundos (dois horizontes) - o que

eBGP e o que iBGP
33
 Regras do Split Horizon para o BGP

1) Um BGP speaker pode anunciar

para seus vizinhos iBGP os prefixos
IP que aprendeu a partir de eBGP
speakers. AS-20

R2
AS-30
AS-10

R3
eBGP
R1 md1302201839

AS-40

34
 Regras do Split Horizon para o BGP

2) Um BGP speaker pode anunciar

para seus vizinhos eBGP os
prefixos IP que aprendeu a partir
de iBGP speakers. AS-20

R2
AS-30
AS-10

R3
eBGP
R1 md1302201839

AS-40

35
 Regras do Split Horizon para o BGP

3) Um iBGP speaker NO pode

anunciar para seus vizinhos iBGP
os prefixos IP que aprendeu a
partir de iBGP speakers. AS-20

R2
AS-30
AS-10

R3
eBGP
R1 md1302201839

AS-40

36
Cenrios que iremos estudar
(ou pelo menos tentar) nesse
workshop.

37
 Evoluo dos cenrios

Cenrio 1 Single Homed

Internet

Operadora
Transito 1

md1302192043

SEU AS

38
 Evoluo dos cenrios

Cenrio 2 Single Homed + PTT

Internet PTT

Operadora
Transito 1

AS1
md1302192044

AS1

SEU AS

39
 Evoluo dos cenrios

Cenrio 3 Dual Homed + PTT

Internet PTT

Operadora
Transito 1

AS2
md1302192045 AS1

Operadora
Transito 2
SEU AS

40
 Cenrio I
Single-Homed

41
 Preparao do cenrio inicial

R00, ASN=65000
172.16.0.GR.1/30

Grupo 1 Grupo 2

R12, ASN=65012 R11, ASN=65011 R21, ASN=65021 R22, ASN=65022

PtP 172.16.12.2/30 PtP 172.16.11.2/30 PtP 172.16.21.2/30 PtP 172.16.22.2/30

RGR, ASN=650GR
PtP 172.16.GR.2/30

42
 Configurando a instancia e o Router ID

R00, ASN=65000
Exemplo para o R21
PtP 172.16.21.2/30

Grupo=G Router=R
ASN=650GR
Router ID=10.0.G.R
O RouterOS possibilita vrias instancias do BGP no mesmo roteador;

Router ID um identificador do roteador em forma de IP. Caso deixado em

branco ser automaticamente computado escolhendo o menor IP
configurado no roteador;

Recomenda-se sua configurao. 43

 Configurando o peer BGP

R00, ASN=65000
Conf do R21 Conf do R00
PtP
172.16.21.2/30

Grupo=G Router=R
AS remoto = 65000
IP remoto = 172.16.GR.1
Informar o nmero do AS e o endereo IP remotos e checar se a
sesso e estabelecida

44
 Configurando e publicando a rede
do AS

Em networks indica-se quais redes o

BGP deve originar (anunciar) a partir
desse roteador;

Com Synchronization habilitada uma

rede anunciada somente se a
correspondente rota esteja presente na 21.21.0.1/20
FIB;

Desabilitando o Synchronization, a rede 21.21.0.2/20

anunciada independentemente de
estar na tabela;

Desabilitar a Sincronizao ajuda o BGP

convergir mais rapidamente.
45
 Configurando e publicando
a rede do AS

Rede pblica de cada AS:

GR.GR.0.0/20

Anunciar essa rede em Networks

21.21.0.1/20
Cadastrar o primeiro /24 dessa rede
no Roteador (GR.GR.0.1/24)

21.21.0.2/20
Cadastrar o segundo /24 dessa rede
no Laptop (GR.GR.0.2/24)

46
 Testando os resultados

Testar a conectividade entre laptops;

Verificar a tabela de rotas recebidas;

Simular um sequestro de rotas e discutir o

comportamento do BGP;

Escolher Full routing ou partial routing?

Propor medidas para melhorar o atual setup.

47
 Filtrando os anncios

Seu AS Operadora
TR1

md1302192046

Por default nada filtrado e, uma vez que se estabelea

um peer BGP, todos os anncios desse peer sero
recebidos e iro para a RIB do BGP (e eventualmente a
FIB). Da mesma forma, todas as redes anunciadas em
networks sero publicadas para todos os peers ativos.

Os filtros de roteamento permitem que sejam controlados

tanto os anncios que ingressam, como os que saem do
roteador.
48
 Entendendo os filtros
Classificadores
Classificadores por
caractersticas do prefixo,
protocolo, marcas de
roteamento, etc.
Classificadores por
caractersticas dos atributos
BGP existentes na rota.
Aes
Aes a serem tomadas
com a rota, no sentido de
aceitar, descartar, etc.
Aes a serem tomadas
para modificar os atributos
do BGP da rota.
49
 Trabalhando com filtros

Seu AS Operadora
TR1

md1302192046

Quais seriam os filtros apropriados para essa topologia

single-homed em questo?

Implementar e checar os resultados;

Propor uma medida para combater o sequestro de rotas.

50
 Melhorando o setup

Testar conectividade para a Internet

pingando o IP 99.99.0.1

Fazer filtro descartando todas as rotas

recebidas

Cadastrar uma rota default

Testar novamente a conectividade para a

Internet

51
 Melhorando o setup

Quando temos uma rota default roteamos

para todos os destinos, os bons e os
maus;

Muitos endereos IP no mundo so utilizados

para SPAM, Malwares e outros tipos de
ataques.

Podemos refinar nosso setup para evitarmos

rotear para esses endereos.

52
 Tratamento de endereos
BOGONS

Endereos BOGONS so endereos pblicos no

reservados mas que ainda no foram alocados para
trfego.

Traditional bogons: Lista de prefixos ainda no

alocados para os RIRs;

Full bogons: lista de prefixos ainda no alocados

pelos RIRs para provedores/clientes finais

Daremos um tratamento especial aos prefixos BOGONS,

no descartando-os, mas colocando-os em blackhole.

53
 Tratamento de endereos
BOGONS
Para a obteno de informaes de prefixos bogons de forma
automtica, estabeleceremos uma sesso BGP com a Cymru
http://www.team-cymru.org/

O roteador da cymru, passar as rotas bogons, com uma

determinada COMMUNITY (65332:888)
54
 Atributo Community

Uma community nada mais que um rtulo, um nmero que

serve como marcador para uma rota ou grupo de rotas e que
identificar essa rota ou grupo de rotas para alguma ao
especfica.

Exemplo: O Cymru insere a Community 65332:888 nas rotas que

ela publica como BOGONS. Todas rotas recebidas do Cymru, que
estejam com essa Community so tratadas como BOGONS e a
elas dada uma ao especfica.

Communities so nmeros de 32 bits e por conveno, o formato

de dois nmeros de 16 bits separados por :, da seguinte
forma:

AS_que_definiu_a_Community:Nmero_qualquer
55
 Fechando a sesso com o Cymru

1) Tentar fechar uma sesso com o Cymru (todos

roteadores)

AS: 65332
IP: 38.229.66.20

Quais os problemas encontrados para o fechamento?

Qual endereo IP VOC passou para o Cymru para fechar a

sesso BGP?

56
 BGP Multihop

Quando a sesso BGP no fechada na interface

diretamente conectada necessrio informar ao BGP que
a conexo multihop e qual o nmero de saltos para
encontrar o peer.

57
 Filtrando as rotas do Cymru

Aceitando as rotas do Cymru

e colocando-as em blackhole: Evitando outras
entradas e sadas:

58
 Fechando a sesso com o Cymru

Verificar se recebeu as rotas do Cymru antes dos

Filtros

Verificar se depois dos filtros as rotas esto

sendo recebidas com a flag B de Blackhole

59
Conectividade IPv6
atravs de uma
estrutura somente
IPv4

60
 Conectividade IPv6 atravs de uma
estrutura somente IPv4

Supondo que seu provedor de upstream no

fornea IPv6 nativo, mas somente IPv4

Qual a soluo para conectividade IPv6?

61
 Fechando a sesso com a HE

1) Configurar um tnel 6to4 com a HE (todos

roteadores)
IP remoto: 216.218.229.118
IP local: o IP do seu AS que foi informado

2) Configurar IPv6 local

IPv6 local = 2001:db8:GR::GR/64 -

3) Fechar sesso BGP

AS: 6939
IPv6 = 2001:db8:GR::1
(Marcar a address Family IPv6)

62
 Fechando a sesso com a HE

1) Verificar as rotas IPv6 recebidas

2) Publicar suas redes IPv6 2001:GR::0/32

3) Configurar um IPv6 no seu roteador

2001:GR::1/64

4) Checar conectividade V6 2001:a::1

63
 Cenrio II

Single-Homed + PTT

64
 Definio de PTT

PTT Ponto de Troca de Trfego (em ingls IXP - Internet

Exchange Point)

Soluo de Rede com o objetivo de viabilizar a conexo direta entr

e as entidades que compe a Internet os Sistemas Autnomos
(AS)

Um PTT otimiza a interconexo entre AS, possibilitando:

Melhor qualidade (menor latncia) - evita intermedirios externos;

Menor custo;
Maior organizao da estrutura de rede regional (pontos concentra
dores).

65
 Evoluo dos cenrios

Cenrio 2 Single Homed + PTT

Internet PTT

Operadora
Transito 1
AS1
md1302192044
AS1

SEU AS

66
 Configurando a
conectividade fsica

Nosso provedor hipottico tem a conectividade fsica

adquirida do operador TR1, de quem compra IP dedicado
para acesso Internet e ir adquirir desse mesmo
fornecedor transporte de camada 2 at o PTT.

Desta forma, pelo mesmo enlace devero circular os dois

servios separadamente.

Usaremos para tanto Vlans diferentes para as duas

finalidades.

67
 Dados para a configurao das
Vlans
Vlan de trnsito:

Nome*: VlanGR
VlanID: GR
IP = 172.16.GR.2 (o mesmo anterior passado para a Vlan)

Vlan com o PTT:

Nome*: VlanPTT
VlanID: 100
IP = 172.30.0.GR/23
*opcional

68
 Configurando as conexes com os
participantes do PTT

No PTT temos vrios tipos de acordo de troca de trfego e o mais

comum para provedores de acesso o ATM Acordo de Troca de
Trfego Multilateral.

Nosso provedor hipottico aderiu ao ATM, ou seja, trocar

trfego entre todos os participantes aderentes ao ATM. Em
princpio isso pressupe que cada AS feche uma sesso BGP com
todos os outros.

Em nossa sala de aula, quantas conexes TCP teremos que

estabelecer?

Imaginando que temos 500 participantes do ATM em um PTT

de fato, quantas conexes TCP ao todo teriam que ser
suportadas pela estrutura do PTT?
69
 Refletores de Rotas e
Servidores de Rotas
Basicamente ambos possuem a mesma funo que a
distribuio de rotas, porm h uma diferena conceitual
fundamental

Route Reflector
Um refletor de rotas usado dentro do iBGP (mesmo AS) para
distribuir rotas entre os roteadores que compe o mesmo AS.

O comportamento normal dos roteadores no iBGP no

repassar internamente no mesmo AS, as rotas aprendidas de
outros roteadores desse AS

Um roteador configurado como route reflector repassa esses

anncios. utilizado para evitar que se tenha que fazer Full
mesh.
70
 Refletores de Rotas e
Servidores de Rotas

Route Server

Um servidor de rotas normalmente existente em um

ambiente de PTT distribui as rotas entre os participantes
do ATM. Todos fecham sesso com os route servers que
repassa as rotas para todos os outros.

O route server atua com um AS normal, porm no se

insere como AS-Path no meio do caminho;

Ainda em fase de draft no IETF as especificaes sobre

interconexes multilaterais:
https://tools.ietf.org/html/rfc7947

71
 Configurando a conectividade
com o PTT

Desta forma, ao invs de estabelecermos conexes um a

um, faremos todos conexes com um roteador do PTT
que servir para propagar as rotas de todos os outros.

Dados para a conectividade:

AS do PTT: 65555
IP do servidor de rotas do PTT: 172.30.0.1

72
 Analisando os resultados

Verificar as tabelas de rotas;

Qual foi a rota preferida por exemplo para o AS

65011, chegar na rede do AS 65021?

Fazer uma anlise dos AS-Paths de cada rota. O

que precisa ser ajustado para que o PTT seja
sempre escolhido como a melhor rota?

O que acontece se o AS 65011 corta seu transito

IP com a Internet mas mantm a conexo com o
PTT?
73
 Analisando os resultados

O que acontece se o AS 65011 corta seu transito

IP com a Internet mas mantm a conexo com o
PTT?

74
 Trabalhando com filtros

Quais seriam os filtros

TR1 PTT apropriados que evitam
o efeito de transito
indesejado?

Seu AS Implementar e checar

os resultados
md1302192046

75
 Alguns filtros para os upstreams

Implementaremos como padro alguns filtros de entradas comuns

para upstreams de quem compramos conectividade

Descartar o recebimento do seu prprio prefixo (e sub redes);

Descartar redes privadas e reservadas previstas na RFC 5735;
Descartar a rota default (pois estamos recebendo full routing);
Descartar anncios de redes menores que /24;
Descartar anncios que tenham mais de X ASs no AS-Path;

Questo: necessrio descartar o recebimento do prprio

nmero AS no AS-Path?

76
 Cenrio III

Dual-Homed + PTT

77
 Cenrio III Dual Homed + PTT

Neste cenrio os roteadores pares de cada grupo sero

operadores de transito para os mpares de cada grupol

TR1

TR2

R13, ASN=65013 R12, ASN=65012 R11, ASN=65011

PtP 172.16.13.2/30 PtP 172.16.12.2/30 PtP 172.16.11.2/30

78
 Cenrio III Dual Homed + PTT

Internet PTT

Operadora
Transito 1

AS2
md1302192045 AS1

Operadora
Transito 2
SEU AS

79
 Cenrio III Dual Homed + PTT

Internet PTT

TR1

md1302192045 AS1 AS2

R12
(TR2)

R13 R11

80
 Cenrio III Dual Homed + PTT

Estabelecer os peers BGP

Adaptar os filtros existentes

Grupo 1 Grupo 2

R12, ASN=65012 R11, ASN=65011 R21, ASN=65021 R22, ASN=65022

PtP 172.16.12.2/30 PtP 172.16.11.2/30 PtP 172.16.21.2/30 PtP 172.16.22.2/30

81
Manipulao de trfego
de download e upload

82
 Manipulao de trfego

Princpios bsicos:

1) Nosso download consequncia de como o

resto do mundo nos enxerga e portanto, resultado de
como manipulamos nossos anncios;

2) Nosso upload consequncia de como

enxergamos o resto do mundo e portanto, resultado de
como aceitamos as rotas que nos anunciam;

3) O trfego de download e upload no tem

qualquer relao entre si;

83
 Manipulao de trfego

A manipulao de trfego se dar pelo tratamento dos atributos do BGP

que so analisados na seguinte ordem:
1) Prefere a rota com maior WEIGHT (default = 0);
2) Prefere a rota com maior LOCAL-PREFERENCE (default = 100);
3) Prefere a rota com o menor AS-Path;
4) Prefere a rota originada localmente por agregao de rota ou por anncio
do prprio BGP;
5) Prefere a rota com a menor ORIGIN (igp < egp < incomplete);
6) Prefere a rota com a menor MED (default = 0);
7) Prefere a rota aprendidas por eBGP do que por iBGP;
8) Prefere a rota que vem do roteador com menor Router ID;
9) Prefere a rota com menor lista de cluster de refletor de rotas (default = 0);
10) Prefere a rota que vem do vizinho com menor endereo IP.
84
 Manipulao de trfego

No RouterOs os atributos so manipulados com a

configurao de filtros de roteamento da seguinte
forma:

1) Se downloads so consequncias de como

anunciamos nossas rotas para o mundo, filtros para
controlar downloads tem que ser colocados nas sadas
de nossos peers;

2) Se uploads so consequncias de como

recebemos as rotas do mundo, filtros para manipular
uploads tem que ser colocados nas entradas de
nossos peers;

85
 Manipulao de trfego

Ferramentas para diagnstico de resultados de uma poltica de

roteamento:

1) Ferramentas (mais ou menos) mentirosas:

Ping, traceroute, torch, bandwidth test.

2) Onde consultar:
Resultados de polticas de upload: Nossa tabela de rotas

Resultados de polticas de download: Nossas rotas nos

Looking glasses

86
 Manipulao de uploads

Para influenciar diretamente em um roteador,

manipulando como este envia seu trfego, temos
basicamente dois atributos que podem ser
manipulados:

Weight

Local-Preference

Ambos tero o mesmo efeito prtico quando se tratar

de um roteador nico, sendo que o Weight o primeiro
critrio a ser analisado da lista dos atributos do BGP.

87
 Manipulao de uploads - Weight

md130230052

Weight
TR1 PTT

D um peso determinado
para as rotas recebidas por
um determinado peer. Rotas
com maior peso, tem 1.1.0.0/20 1.1.0.0/20
preferncia. O padro Weight=10 Weight=0
Weight=0

Weight de fato no um
atributo verdadeiro do BGP,
pois no se propaga dentro do
anncio BGP. Vale apenas
para o roteador onde foi
configurado. 88
 Manipulao de uploads
Local-Preference

Local-Preference md130230108

TR1 PTT
Seta uma preferncia para as
rotas recebidas por um
determinado peer. Rotas com
maior Local-Preference, tem
preferncia. O padro Local-
Preference=100 1.1.0.0/20 1.1.0.0/20
LP =150 LP = 100

Local-Preference um
atributo que se propaga
dentro do AS em que foi
definido, sendo informado a
todos roteadores. No se
propaga para outros ASs.

89
 Manipulao de uploads - LAB

Weight e Local Preference

Verifique por onde est fluindo o seu trfego nesse

momento.

Utilizando Weight force com que esse trfego

saia pelo outro caminho.

Repita o procedimento, s que usando Local

Preference.

90
 Manipulao de downloads

Basicamente h 3 formas de se influenciar em como os

downloads chegam em seu AS;

Controle de publicaes de redes mais ou menos

especficas;

Manipulaes de envio do atributo AS-Path

Manipulao do atributo MED

91
 Manipulao de downloads
Atributo MED
MED (Multi Exit Discriminator)
uma sinalizao de um AS md1302230153

para outro vizinho;

TR1 PTT
Indica o caminho preferencial
para a entrada do trfego em
MED=30
um AS;
MED=20

O caminho sinalizado com a

menor MED ser o escolhido
pelo AS vizinho para o envio do
trfego. Default = 0;
AS-X
Funciona somente quando h
duas ou mais conexes
entre dois ASs.
92
 Manipulao de downloads
Atributo MED

md1302230153
Funcionamento do atributo
MED
TR1 MED=10 PTT

No exemplo ao lado o
Roteador do PTT compara os MED=30
valores de MED recebidos do MED=20
AS-X e escolhe para envio
do trfego o de MED = 20

O valor de MED = 10
anunciado por TR1
AS-X
ignorado pois MED critrio
de deciso somente quando
h 2 ou mais conexes entre
ASs.
93
 Manipulao de downloads
Anncios mais ou menos especficos

Seja o cenrio abaixo no qual

o administrador do AS-X quer
md130230052
equilibrar os downloads e
ainda ter redundncia, TR1 TR2
utilizando poltica de
anncios.

Supondo que os endereos IP

esto igualmente distribudos 1.1.0.0/21 1.1.8.0/21
no AS, ele faz os anncios da 1.1.0.0/20 1.1.0.0/20
primeira metade do /20 por
um peer e da segunda pelo
outro.
AS-X
Para que haja redundncia, o
anncio do /20 total feito
pelos dois peers 94
 Manipulao de downloads
por anncios mais ou menos
especficos - LAB

Faa o anncio de metade dos seus

prefixos para a operadora de transito-2 e
a outra metade para a operadora de
transito-1. Anuncie o /20 total pelas
duas;

Cheque os resultados;

O que acontece com o PTT?;

Discutir os efeitos colaterais desse tipo

de poltica
95
 Manipulao de downloads
Tcnica de AS-Path prepend
Tcnica de AS-Path prepend antes de fazer prepend

AS-20
md1302230258

AS-10 1 Gbps

1.1.0.0/20 100 Mbps

AS-30

Direo do
trfego
96
 Manipulao de downloads
Tcnica de AS-Path prepend
Tcnica de AS-Path prepend prependando 2 vezes o
nmero AS

Direo do
trfego AS-20

AS-10 1 Gbps

1.1.0.0/20 100 Mbps

AS-30

md1302230258

97
 Manipulao de downloads por
Tcnica de AS-Path prepend
LAB

Desfaa os anncios especficos do LAB

anterior;

Verifique como suas rotas esto aparecendo

nos looking glasses e constate que os
participantes do PTT o encontram pelo PTT;

Utilizando a tcnica de AS-Path prepend,

faa com que todo o trfego, inclusive dos
participantes do PTT seja encaminhado pelo
operador de transito 2.

98
 Cenrio IV

iBGP com 4 roteadores

operadora de transito com 2
links e PTT

99
 Cenrio IV iBGP com 4
roteadores, duas conexes de
trnsito + PTT
Montar a estrutura fsica abaixo

Retirar todos os filtros existentes

Grupo 1 Grupo 2

ASN = 65001 ASN = 65002

100
 Cenrio IV conectividade IP

Grupo G
ASN = 6500G

RG2 2 192.168.G.0/30 1 RG1

5 14

192.168.G.4/30 192.168.G.12/30

6 13

RG3 9 192.168.G.8/30 10 RG4

101
 Interfaces de Loopback

Em roteamento dinmico bastante comum o uso de

interfaces de loopback, que so interfaces virtuais associadas a
um roteador.

Interfaces de loopback permanecem sempre ativas (up),

mesmo que as interfaces fsicas estejam inativas (down). Isso
possibilita que um roteador, que seja referenciado por uma
interface de loopback, seja alcanado por diferentes caminhos
em caso de falhas de alguma(s) interface(s).

O Mikrotik RouterOS possui uma interface de loopback nativa

que no acessvel para configuraes, mas podem ser
criadas outras interfaces de loopback. Existem vrias formas
de se fazer isso, sendo a mais fcil a criao de uma bridge
sem qualquer interface associada a ela.

/interface bridge add name=loopback

102
 Cenrio IV Interfaces de
loopback

Criar as interfaces de loopback e configurar os IPs da

seguinte forma:

Grupo = G
Roteador = R

IP = 10.0.G.R

103
 Cenrio IV iBGP 4 roteadores +
trnsito + PTT

TR1 PTT
Internet
AS2

md1302192258

AS1

104
 BGP externo e BGP interno

iBGP:
Peerings entre roteadores do
mesmo AS

eBGP: AS-20
Peerings entre roteadores de ASs
externos
eBGP
R2
AS-30
eBGP
AS-10

R3
eBGP
R1 iBGP md1302201839

AS-40

105
 eBGP e iBGP

Questes para discusso:

1) Havendo protocolos especficos para roteamento interno como

o OSPF, por exemplo, qual a razo pela qual necessitaramos
usar o iBGP?

2) Os protocolos de roteamento interno normalmente permitem

que as rotas recebidas externamente por BGP sejam
distribudas internamente. Porque ento no usar essa opo ao
invs de iBGP?

3) O comportamento de um roteador falando iBGP diferente em

relao ao eBGP. Qual seria o detalhe de configurao que faz
com que o roteador saiba que ele deve se comportar como
iBGP ou eBGP?
106
 Tcnica de Split Horizon para o BGP

Split Horizon uma tcnica utilizada em roteamento para

evitar que um esquema de roteamento crie loops, tornando
efetivamente roteamento mais eficiente.

Quando um roteador em uma rede recebe um pacote de

informao de roteamento, ele no envia a mesma informao
de volta pelo caminho no qual a informao foi recebida (ou
seja, ao roteador adjacente que enviou a informao). Ele
somente envia as informaes para outros caminhos para que
no haja a possibilidade do pacote ser roteado de volta ao
caminho originador.

No BGP, o roteador tem dois mundos o que eBGP e o que

iBGP
107
 Regras do Split Horizon para o BGP

1) Um BGP speaker pode anunciar

para seus vizinhos iBGP os prefixos
IP que aprendeu a partir de eBGP
speakers. AS-20

R2
AS-30
AS-10

R3
eBGP
R1 md1302201839

AS-40

108
 Regras do Split Horizon para o BGP

2) Um BGP speaker pode anunciar

para seus vizinhos iBGP os prefixos
IP que aprendeu a partir de eBGP
speakers. AS-20

R2
AS-30
AS-10

R3
eBGP
R1 md1302201839

AS-40

109
 Regras do Split Horizon para o BGP

3) Um iBGP speaker NO pode

anunciar para seus vizinhos iBGP
os prefixos IP que aprendeu a
partir de iBGP speakers. AS-20

R2
AS-30
AS-10

R3
eBGP
R1 md1302201839

AS-40

110
 Cenrio IV
Configuraes de conectividade

Devido s regras de Split Horizon do iBGP,

necessrio que haja Full Mesh entre os roteadores
participantes do iBGP. Ou seja, cada roteador fechar
sesso BGP com todos os outros.

Para garantir a redundncia de caminhos as sesses

devero ser estabelecidas nas interfaces de loopback.
Portanto deveremos:
1) Para que as interfaces de loopback se enxerguem um IGP
dever ser configurado utilizar para tanto o OSPF (configurar
um OSPF bsico);

2) Testar o OSPF configurado pingando a partir do seu roteador,

todas as interfaces de loopback dos vizinhos;

3) Estabelecer as sesses iBGP e reportar os resultados.

111
 Cenrio IV forando a loopback

O protocolo BGP estabelecido sobre uma

sesso TCP. O endereo IP de origem da
sesso normalmente o da interface de sada.
Portanto deveremos forar que o IP de origem
seja o IP da interface de loopback.

ou

112
 Cenrio IV distribuies de rotas

Uma vez estabelecidas todas as sesses iBGP,

verificar como esto instaladas as rotas.

Comparar as rotas nos roteadores que tem

conectividade externa direta (1 e 4 de cada
grupo) com os que no tem conectividade
externa direta (2 e 3)

Qual a diferena bsica?

Analisar o porque desse comportamento.

113
 Atributo Next-Hop

10.1.1.1 AS-200
AS-100
10.1.1.5
Next-Hop=10.1.1.1
Next-Hop=10.1.1.5

md1302201736

10.1.1.9
AS-400 AS-300

Next-Hop=10.1.1.9
AS-
REDE 1.1.0.0/20 Path=300,20 Next-Hop=10.1.1.9
0,100 114
 Atributo Next-Hop

Prefixo de rede Next-Hop = 10.10.10.10 Outros atributos

O atributo Next-Hop indica o endereo IP do roteador que

serve para o gateway daquela rede anunciada;

Normalmente o Next-Hop o endereo IP do ltimo roteador

que fez o anncio do prefixo de rede (comportamento tpico
do BGP entre ASs diferentes);

No caso do iBGP os anncios no so alterados e portanto o

next-hop recebido pelo roteador de borda permanece o
mesmo quando este anuncia para dentro da rede.

115
 Cenrio IV forando o next-hop

Para que o next-hop anunciado para dentro da

rede seja alcanvel, os roteadores de borda
devem colocar-se como next-hop.

Aplicar esta
configurao e checar
os resultados nas
rotas instaladas em
todos os roteadores.

116
 Cenrio IV laboratrios adicionais

Com base em tudo que foi visto at o momento,

cada AS dever configurar os filtros e anncios
apropriados, que garantam:

1) Desabilitar a conectividade com o PTT. Depois disso,

fazer com que os uploads de todos roteadores do AS
sejam feitos via o link ser feitos pelo link estabelecido com
a operadora pelo roteador G1, exceto o do roteador G4

2) Testar o OSPF configurado pingando a partir do seu

roteador, todas as interfaces de loopback dos vizinhos;

3) Estabelecer as sesses iBGP e reportar os resultados.

117
 Laboratrio Final
Abram um new terminal

/system reset configuration no-defaults=yes

118
Obrigado!!
Edson Veloso Sergio Souza Wardner Maia
edson@mikrotikbrasil.com.br sergio@mikrotikbrasil.com.br maia@mikrotikbrasil.com.br

119