BGP com

Mikrotik RouterOS

verso 20161011

Enquanto no comea o Workshop

Temos 4 grupos de 3 roteadores cada. Assuma um deles

Caso no tenha Winbox, pea para o instrutor.
Faa um reset no roteador (sem configuraes default)
Conecte o roteador ao SSID BGP-Lab. Senha PSK mikrotikbrasil
Em Wireless / Advanced Mode / configure o radio name com o
nmero que est no seu roteador.

Mikrotik, RouterOS,
Routerboards, etc.

Histrico

1993: Inicia como ISP Wireless em 915MHz em Riga,

(Latvia)
1996: Fundada a empresa MikroTikls
1997: Criado o RouterOS
2002: Inicia desenvolvimento de Hardware prprio
(Routerboards)
Atual: Desenvolvimento do software e principais hardwares
em Riga. Produo de alguns hardwares na China.
Copyright md brasil - direitos reservados

Mikrotik, RouterOS, SwitchOS e

Routerboards
Mikrotik:
Nome original da empresa (em leto pequena rede);
RouterOS:
Sistema operacional, baseado em Linux, que pode ser
instalado em arquitetura x86 e nas Routerboards;
SwitchOS:
Sistema operacional de equipamentos Mikrotik que
suportam somente switching;
Routerboard:
Marca registrada do hardware fabricado pela Mikrotik.
Copyright md brasil - direitos reservados

Roteamento dinmico com

Mikrotik RouterOS

Roteamento com
RouterOS

Roteamento com
RouterOS

Roteamento com
RouterOS

Internet
Sistemas Autnomos
Protocolo BGP

10

Sistemas Autnomos e a Internet

A Internet formada por vrias redes distintas que se
interligam. Cada uma destas redes tem uma
administrao tcnica independente e so chamadas de
Sistemas Autnomos.

AS-3
AS-1

md1302192041

AS-2

Seu
AS

11

Sistemas Autnomos, Internet

e o protocolo BGP
O protocolo BGP o idioma que AS, fala com AS, para
que as redes troquem informaes de roteamento e
todos os destinos sejam alcanveis

BGP

AS-1

AS-3

md1302192041

BGP

BGP

AS-2
BGP

BGP

Seu
AS

12

Sistema Autnomo
Uma definio formal para um Sistema Autnomo (AS) pode
ser dada por:

coleo de prefixos de roteamento conectados pelo Protocolo

IP, sob o controle de um ou mais operadores de rede que
apresenta uma poltica comum e claramente definida de
roteamento para a Internet
Na prtica, voc se
torna um AS, atravs
de um processo
administrativo que
Sistema
encaminha entidade
Autnomo (AS)
regional que controla
os recursos de
md1302192042
numerao da Internet
(no nosso caso a
LACNIC)
13

Sistemas Autnomos
Nmeros para sistemas autnomos:
Inicialmente foram reservados 16 bits
para os nmeros AS (mximo de
65.535);
ASs de 64512 a 65535 so nmeros
reservados para ASs privados;
Com a previso do esgotamento dos ASs
de 16 bits, criaram-se os ASs de 32 bits;
Na Internet convivem ASs de 32 e 16
bits, mesmo com roteadores que no
suportam ASs de 16 bits, atravs de uma
tcnica de transio;

Sistemas
Autnomos
(AS)

md1302192042

RouterOS
suporta AS
de 32 bits.

14

Protocolo
BGP

15

A Internet e o protocolo BGP

Para lidar com todo o trfego da

Internet, o BGP deve:

Ser um protocolo escalvel e capaz de lidar com uma

quantidade enorme de rotas, sempre crescente;

Ter robustez e confiabilidade;

Prover ferramentas que possibilitem de certa influenciar
em trfegos externos que no esto sob o controle direto
do administrador;

16

A Internet e o protocolo BGP

Caractersticas do BGP

Pode ser considerado um protocolo do tipo vetor de

distncia, nos quais cada AS representa um salto de
roteamento;
O BGP no leva em conta a topologia interna de cada AS,
existindo apenas a informao de como alcanar as
redes;
A corrente verso do BGP a verso 4, especificada na
RFC-4271
17

Protocolo BGP

Princpios bsicos:
Opera trocando informaes sobre a alcanabilidade das
redes por mensagens de NLRI (Network Layer Reachability
Information)
As mensagens de NLRI possuem um ou mais prefixos de
redes e atributos do BGP com os quais esses prefixos
esto associados;
As informaes so transportadas sobre uma conexo
TCP (porta 179) que garante a integridade dos dados;
Peers so configurados de forma esttica pelos seus
administradores.

18

Protocolo BGP

AS-1

AS-2
md1302200234

Administradores configuram ambos os lados;

A sesso TCP estabelecida e depois dela a sesso BGP;
Informaes de rotas so trocadas at a convergncia total;
Aps isso, somente informaes de UPDATE para
manuteno;
Mensagens de keepalive indicam a disponibilidade do peer.
19

Estados da sesso BGP

Esperando pela
2 - Connect conexo TCP

Tentando adquirir
3 - Active
um peer

OPEN

4-OpenSent
KEEPALIVE

Esperando
pelo evento
start

1-Idle

KEEPALIVE

5-OpenConfirm

UPDATE

md1302200235

KEEPALIVE

6-Established
Negociao de
vizinho completa
20

Mensagens do BGP
OPEN
Primeira mensagem enviada aps o estabelecimento da conexo TCP
e confirmada com um KEEPALIVE;
KEEPALIVE
Mensagens trocadas de 60 em 60 segundos para verificar o estado do
peer;
UPDATE
Informao de prefixos de rede em si;
NOTIFICATION
Enviada quando ocorre um erro

AS-2

AS-1
md1302200234

Mensagem opcional:

ROUTE REFRESH
Pede ao vizinho para enviar as rotas novamente
21

Componentes da mensagem
OPEN
BGP Router ID: Configurado pelo administrador (formato de
IPv4). Se deixado branco, assume como Router ID o maior
endereo IP configurado no roteador.
My AS: Nmero AS do remetente

Hold Time: Tempo mximo entre mensagens sucessivas de

keepalive e update do remetente. Default = 180 segundos.
Caso Hold Time = 0 roteador no envia keepalive;
Version: Verso do BGP (corrente BGPv4)
Autenticao: Caso esteja sendo usada autenticao MD5
entre os peers
22

Componentes das mensagens

de UPDATE
Prefixos de rede

Atributo1, Atributo2, Atributo3, .....

NLRI (Network Layer Reachability Information):

Lista dos prefixos de rede alcanveis por esse caminho
Withdrawn Routes:
Lista dos prefixos de rede que esto sendo retiradas de
servio
Path Attributes:
Atributos dos prefixos anunciados (ou retirados).
23

Tipos de atributos

Mandatrios

Presentes em todas
mensagens de update

Discricionrios

Podem ou no estar
presentes nas
mensagens de update

Bem conhecidos
(Well Known)
Reconhecidos por todas
implementaes BGP
Atributos
Reconhecidos
opcionalmente

Transitivos

Propagados para outros

roteadores, mesmo se
no suportados

Opcionais

md1302201203

Intransitivos

No propagados para
outros roteadores
24

Entendendo o atributo AS-Path

AS-100

Rede
1.1.0.0/20

AS-200
AS-Path
100

AS-Path
200, 100

md1302200202

AS-400
AS-Path
300, 200, 100
REDE 1.1.0.0/20

AS-300

AS-Path=300,200,100
25

Entendendo o atributo AS-Path

Ao receber o a anncio da rede 1.1.0.0/20, com o AS-Path

300, 200, 100, o AS-400 sabe que para chegar a essa rede
tem que passar pelos ASs 300, 200 e 100
26

Preveno de loopings de roteamento

AS-100
Rede
1.1.0.0/20

AS-200
AS-Path
100

AS-Path
400, 300, 200, 100

Ao ver seu prprio

nmero AS, dentro do
AS-Path, o BGP
descarta o anncio

AS-Path
200, 100

md1302200202

AS-400
AS-Path
300, 200, 100

AS-300

27

Next-Hop em rede compartilhada

10.1.1.1/24
REDE 1.1.0.0/20

AS-10

AS-Path=10

Next-Hop=10.1.1.1

Rede
1.1.0.0/20
sesso BGP

AS-20
sesso BGP

AS-30

md1302201755

10.1.1.2/24
REDE 1.1.0.0/20

AS-Path=20,10

Next-Hop=10.1.1.1

10.1.1.3/24

Estando na mesma subnet, o next-hop se mantm

inalterado para otimizar o encaminhamento de pacotes.
Onde acontece essa situao?

28

Algoritmo de deciso do BGP

Prefixos de rede

Atributo1, Atributo2, Atributo3, .....

Uma vez que uma rota seja recebida por um roteador BGP:
1) feito o processo de next-hop lookup (roteamento mdulo A) para
se determinar o se o gateway alcanvel e vlido
2) verificado se o atributo AS-Path no contm o endereo de AS
local (para evitar loopings)
3) A rota no est descartada ou rejeitada por filtros de roteamento
4) Se no houver outra rota na FIB igual recebida, ela instalada e
considerada o melhor caminho.
29

Algoritmo de deciso do BGP

Rota recebida
Copyright
md1610111614

O Gateway alcanavel?

Essa rota existe na FIB?

SIM

NO

SIM

NO
O AS-Path contem meu AS?

SIM

Compara com a rota existente

com base nos critrios do BGP e
escolhe a melhor

NO

NO

Descarta a rota

SIM

A rota est descartada ou

rejeitada por filtros de
roteamento?
Instala a rota

30

Critrios de deciso do BGP

Rotas que sejam recebidas e que tenham passado pelos critrios de
descarte so comparadas seguindo a sequencia abaixo:
1) Prefere a rota com maior WEIGHT (default = 0);

2) Prefere a rota com maior LOCAL-PREFERENCE (default = 100);

3) Prefere a rota com o menor AS-Path;
4) Prefere a rota originada localmente por agregao de rota ou por
anncio do prprio BGP;
5) Prefere a rota com a menor ORIGIN (igp < egp < incomplete);
6) Prefere a rota com a menor MED (default = 0);

7) Prefere a rota aprendidas por eBGP do que por iBGP;

8) Prefere a rota que vem do roteador com menor Router ID;
9) Prefere a rota com a menor lista de cluster de refletor de rotas
(default = 0);
10) Prefere a rota que vem do vizinho com menor endereo IP.
31

BGP externo e BGP interno

iBGP:
Peerings entre roteadores
do mesmo AS
eBGP:
Peerings entre roteadores
de ASs externos

AS-20

eBGP

R2

eBGP

AS-10
eBGP

R1

iBGP

AS-30

R3
md1302201839

AS-40
32

Tcnica de Split Horizon

para o BGP

Split Horizon uma tcnica utilizada em roteamento para evitar

que um esquema de roteamento crie loops, tornando
efetivamente roteamento mais eficiente.

Quando um roteador em uma rede recebe um pacote de

informao de roteamento, ele no envia a mesma informao
de volta pelo caminho no qual a informao foi recebida (ou seja,
ao roteador adjacente que enviou a informao). Ele somente
envia as informaes para outros caminhos para que no haja a
possibilidade do pacote ser roteado de volta ao caminho
originador.
No BGP, o roteador tem dois mundos (dois horizontes) - o que
eBGP e o que iBGP
33

Regras do Split Horizon para o BGP

1) Um BGP speaker pode anunciar

para seus vizinhos iBGP os prefixos
IP que aprendeu a partir de eBGP
speakers.
AS-20

R2
AS-30

AS-10
eBGP

R3
R1

md1302201839

AS-40
34

Regras do Split Horizon para o BGP

2) Um BGP speaker pode anunciar

para seus vizinhos eBGP os
prefixos IP que aprendeu a partir
de iBGP speakers.
AS-20

R2
AS-30

AS-10
eBGP

R3
R1

md1302201839

AS-40
35

Regras do Split Horizon para o BGP

3) Um iBGP speaker NO pode

anunciar para seus vizinhos iBGP
os prefixos IP que aprendeu a
partir de iBGP speakers.

AS-20

R2
AS-30

AS-10
eBGP

R3
R1

md1302201839

AS-40
36

Cenrios que iremos estudar

(ou pelo menos tentar) nesse
workshop.

37

Evoluo dos cenrios

Cenrio 1 Single Homed
Internet
Operadora
Transito 1

md1302192043

SEU AS

38

Evoluo dos cenrios

Cenrio 2 Single Homed + PTT
Internet

PTT
Operadora
Transito 1
AS1

md1302192044

AS1

SEU AS

39

Evoluo dos cenrios

Cenrio 3 Dual Homed + PTT
Internet

PTT
Operadora
Transito 1

AS2
md1302192045

Operadora
Transito 2

AS1

SEU AS

40

Cenrio I
Single-Homed

41

Preparao do cenrio inicial

R00, ASN=65000
172.16.0.GR.1/30

Grupo 2

Grupo 1

R22, ASN=65022

R12, ASN=65012

R11, ASN=65011

R21, ASN=65021

PtP 172.16.12.2/30

PtP 172.16.11.2/30

PtP 172.16.21.2/30 PtP 172.16.22.2/30

RGR, ASN=650GR

PtP 172.16.GR.2/30
42

Configurando a instancia e o Router ID

Exemplo para o R21

R00, ASN=65000
PtP 172.16.21.2/30

Grupo=G Router=R
ASN=650GR
Router ID=10.0.G.R

O RouterOS possibilita vrias instancias do BGP no mesmo roteador;

Router ID um identificador do roteador em forma de IP. Caso deixado em
branco ser automaticamente computado escolhendo o menor IP
configurado no roteador;
Recomenda-se sua configurao.

43

Configurando o peer BGP

Conf do R21

Conf do R00

R00, ASN=65000
PtP
172.16.21.2/30

Grupo=G Router=R

AS remoto = 65000
IP remoto = 172.16.GR.1

Informar o nmero do AS e o endereo IP remotos e checar se a

sesso e estabelecida

44

Configurando e publicando a rede

do AS
Em networks indica-se quais redes o
BGP deve originar (anunciar) a partir
desse roteador;
Com Synchronization habilitada uma
rede anunciada somente se a
correspondente rota esteja presente na
FIB;

Desabilitando o Synchronization, a rede

anunciada independentemente de
estar na tabela;
Desabilitar a Sincronizao ajuda o BGP
convergir mais rapidamente.

21.21.0.1/20

21.21.0.2/20

45

Configurando e publicando
a rede do AS
Rede pblica de cada AS:
GR.GR.0.0/20
Anunciar essa rede em Networks

Cadastrar o primeiro /24 dessa rede

no Roteador (GR.GR.0.1/24)
Cadastrar o segundo /24 dessa rede
no Laptop (GR.GR.0.2/24)

21.21.0.1/20

21.21.0.2/20

46

Testando os resultados

Testar a conectividade entre laptops;

Verificar a tabela de rotas recebidas;
Simular um sequestro de rotas e discutir o
comportamento do BGP;
Escolher Full routing ou partial routing?
Propor medidas para melhorar o atual setup.
47

Filtrando os anncios

Operadora
TR1

Seu AS
md1302192046

Por default nada filtrado e, uma vez que se estabelea

um peer BGP, todos os anncios desse peer sero
recebidos e iro para a RIB do BGP (e eventualmente a
FIB). Da mesma forma, todas as redes anunciadas em
networks sero publicadas para todos os peers ativos.
Os filtros de roteamento permitem que sejam controlados
tanto os anncios que ingressam, como os que saem do
roteador.
48

Entendendo os filtros
Classificadores
Classificadores por
caractersticas do prefixo,
protocolo, marcas de
roteamento, etc.

Classificadores por
caractersticas dos atributos
BGP existentes na rota.

Aes
Aes a serem tomadas
com a rota, no sentido de
aceitar, descartar, etc.

Aes a serem tomadas

para modificar os atributos
do BGP da rota.
49

Trabalhando com filtros

Operadora
TR1

Seu AS
md1302192046

Quais seriam os filtros apropriados para essa topologia

single-homed em questo?
Implementar e checar os resultados;

Propor uma medida para combater o sequestro de rotas.

50

Melhorando o setup

Testar conectividade para a Internet

pingando o IP 99.99.0.1
Fazer filtro descartando todas as rotas
recebidas

Cadastrar uma rota default

Testar novamente a conectividade para a
Internet

51

Melhorando o setup

Quando temos uma rota default roteamos

para todos os destinos, os bons e os
maus;
Muitos endereos IP no mundo so utilizados
para SPAM, Malwares e outros tipos de
ataques.
Podemos refinar nosso setup para evitarmos
rotear para esses endereos.

52

Tratamento de endereos
BOGONS
Endereos BOGONS so endereos pblicos no
reservados mas que ainda no foram alocados para
trfego.

Traditional bogons: Lista de prefixos ainda no

alocados para os RIRs;
Full bogons: lista de prefixos ainda no alocados
pelos RIRs para provedores/clientes finais
Daremos um tratamento especial aos prefixos BOGONS,
no descartando-os, mas colocando-os em blackhole.

53

Tratamento de endereos
BOGONS
Para a obteno de informaes de prefixos bogons de forma
automtica, estabeleceremos uma sesso BGP com a Cymru
http://www.team-cymru.org/

O roteador da cymru, passar as rotas bogons, com uma

determinada COMMUNITY (65332:888)
54

Atributo Community
Uma community nada mais que um rtulo, um nmero que
serve como marcador para uma rota ou grupo de rotas e que
identificar essa rota ou grupo de rotas para alguma ao
especfica.

Exemplo: O Cymru insere a Community 65332:888 nas rotas que

ela publica como BOGONS. Todas rotas recebidas do Cymru, que
estejam com essa Community so tratadas como BOGONS e a
elas dada uma ao especfica.
Communities so nmeros de 32 bits e por conveno, o formato
de dois nmeros de 16 bits separados por :, da seguinte
forma:
AS_que_definiu_a_Community:Nmero_qualquer
55

Fechando a sesso com o Cymru

1) Tentar fechar uma sesso com o Cymru (todos

roteadores)
AS: 65332

IP: 38.229.66.20

Quais os problemas encontrados para o fechamento?

Qual endereo IP VOC passou para o Cymru para fechar a
sesso BGP?

56

BGP Multihop
Quando a sesso BGP no fechada na interface
diretamente conectada necessrio informar ao BGP que
a conexo multihop e qual o nmero de saltos para
encontrar o peer.

57

Filtrando as rotas do Cymru

Aceitando as rotas do Cymru
e colocando-as em blackhole:

Evitando outras
entradas e sadas:

58

Fechando a sesso com o Cymru

Verificar se recebeu as rotas do Cymru antes dos

Filtros
Verificar se depois dos filtros as rotas esto
sendo recebidas com a flag B de Blackhole

59

Conectividade IPv6
atravs de uma
estrutura somente
IPv4

60

Conectividade IPv6 atravs de uma

estrutura somente IPv4
Supondo que seu provedor de upstream no
fornea IPv6 nativo, mas somente IPv4
Qual a soluo para conectividade IPv6?

61

Fechando a sesso com a HE

1) Configurar um tnel 6to4 com a HE (todos
roteadores)
IP remoto: 216.218.229.118
IP local: o IP do seu AS que foi informado
2) Configurar IPv6 local
IPv6 local = 2001:db8:GR::GR/64 3) Fechar sesso BGP
AS: 6939
IPv6 = 2001:db8:GR::1
(Marcar a address Family IPv6)
62

Fechando a sesso com a HE

1) Verificar as rotas IPv6 recebidas

2) Publicar suas redes IPv6 2001:GR::0/32

3) Configurar um IPv6 no seu roteador
2001:GR::1/64
4) Checar conectividade V6 2001:a::1

63

Cenrio II
Single-Homed + PTT

64

Definio de PTT
PTT Ponto de Troca de Trfego (em ingls IXP - Internet
Exchange Point)

Soluo de Rede com o objetivo de viabilizar a conexo direta entr

e as entidades que compe a Internet os Sistemas Autnomos
(AS)
Um PTT otimiza a interconexo entre AS, possibilitando:
Melhor qualidade (menor latncia) - evita intermedirios externos;

Menor custo;
Maior organizao da estrutura de rede regional (pontos concentra
dores).

65

Evoluo dos cenrios

Cenrio 2 Single Homed + PTT
Internet

PTT
Operadora
Transito 1
AS1
md1302192044

AS1

SEU AS

66

Configurando a
conectividade fsica
Nosso provedor hipottico tem a conectividade fsica
adquirida do operador TR1, de quem compra IP dedicado
para acesso Internet e ir adquirir desse mesmo
fornecedor transporte de camada 2 at o PTT.
Desta forma, pelo mesmo enlace devero circular os dois
servios separadamente.

Usaremos para tanto Vlans diferentes para as duas

finalidades.

67

Dados para a configurao das

Vlans
Vlan de trnsito:
Nome*: VlanGR
VlanID: GR

IP = 172.16.GR.2 (o mesmo anterior passado para a Vlan)

Vlan com o PTT:
Nome*: VlanPTT
VlanID: 100

IP = 172.30.0.GR/23
*opcional
68

Configurando as conexes com os

participantes do PTT
No PTT temos vrios tipos de acordo de troca de trfego e o mais
comum para provedores de acesso o ATM Acordo de Troca de
Trfego Multilateral.
Nosso provedor hipottico aderiu ao ATM, ou seja, trocar
trfego entre todos os participantes aderentes ao ATM. Em
princpio isso pressupe que cada AS feche uma sesso BGP com
todos os outros.

Em nossa sala de aula, quantas conexes TCP teremos que

estabelecer?
Imaginando que temos 500 participantes do ATM em um PTT
de fato, quantas conexes TCP ao todo teriam que ser
suportadas pela estrutura do PTT?
69

Refletores de Rotas e
Servidores de Rotas
Basicamente ambos possuem a mesma funo que a
distribuio de rotas, porm h uma diferena conceitual
fundamental
Route Reflector

Um refletor de rotas usado dentro do iBGP (mesmo AS) para

distribuir rotas entre os roteadores que compe o mesmo AS.
O comportamento normal dos roteadores no iBGP no
repassar internamente no mesmo AS, as rotas aprendidas de
outros roteadores desse AS
Um roteador configurado como route reflector repassa esses
anncios. utilizado para evitar que se tenha que fazer Full
mesh.
70

Refletores de Rotas e
Servidores de Rotas
Route Server

Um servidor de rotas normalmente existente em um

ambiente de PTT distribui as rotas entre os participantes
do ATM. Todos fecham sesso com os route servers que
repassa as rotas para todos os outros.
O route server atua com um AS normal, porm no se
insere como AS-Path no meio do caminho;
Ainda em fase de draft no IETF as especificaes sobre
interconexes multilaterais:
https://tools.ietf.org/html/rfc7947
71

Configurando a conectividade
com o PTT
Desta forma, ao invs de estabelecermos conexes um a
um, faremos todos conexes com um roteador do PTT
que servir para propagar as rotas de todos os outros.

Dados para a conectividade:

AS do PTT: 65555

IP do servidor de rotas do PTT: 172.30.0.1

72

Analisando os resultados

Verificar as tabelas de rotas;

Qual foi a rota preferida por exemplo para o AS
65011, chegar na rede do AS 65021?

Fazer uma anlise dos AS-Paths de cada rota. O

que precisa ser ajustado para que o PTT seja
sempre escolhido como a melhor rota?
O que acontece se o AS 65011 corta seu transito
IP com a Internet mas mantm a conexo com o
PTT?
73

Analisando os resultados

O que acontece se o AS 65011 corta seu transito

IP com a Internet mas mantm a conexo com o
PTT?

74

Trabalhando com filtros

TR1

PTT

Seu AS

Quais seriam os filtros

apropriados que evitam
o efeito de transito
indesejado?

Implementar e checar
os resultados
md1302192046

75

Alguns filtros para os upstreams

Implementaremos como padro alguns filtros de entradas comuns
para upstreams de quem compramos conectividade
Descartar o recebimento do seu prprio prefixo (e sub redes);

Descartar redes privadas e reservadas previstas na RFC 5735;

Descartar a rota default (pois estamos recebendo full routing);
Descartar anncios de redes menores que /24;

Descartar anncios que tenham mais de X ASs no AS-Path;

Questo: necessrio descartar o recebimento do prprio

nmero AS no AS-Path?

76

Cenrio III
Dual-Homed + PTT

77

Cenrio III Dual Homed + PTT

Neste cenrio os roteadores pares de cada grupo sero

operadores de transito para os mpares de cada grupol
TR1

TR2
R13, ASN=65013

R12, ASN=65012

R11, ASN=65011

PtP 172.16.13.2/30

PtP 172.16.12.2/30

PtP 172.16.11.2/30

78

Cenrio III Dual Homed + PTT

Internet

PTT
Operadora
Transito 1
AS2
md1302192045

Operadora
Transito 2

AS1

SEU AS

79

Cenrio III Dual Homed + PTT

Internet

PTT

TR1

md1302192045

AS1

AS2

R12
(TR2)
R13

R11

80

Cenrio III Dual Homed + PTT

Estabelecer os peers BGP

Adaptar os filtros existentes

Grupo 1

R12, ASN=65012

R11, ASN=65011

PtP 172.16.12.2/30 PtP 172.16.11.2/30

Grupo 2

R21, ASN=65021

R22, ASN=65022

PtP 172.16.21.2/30 PtP 172.16.22.2/30

81

Manipulao de trfego
de download e upload

82

Manipulao de trfego

Princpios bsicos:
1) Nosso download consequncia de como o
resto do mundo nos enxerga e portanto, resultado de
como manipulamos nossos anncios;
2) Nosso upload consequncia de como
enxergamos o resto do mundo e portanto, resultado de
como aceitamos as rotas que nos anunciam;
3) O trfego de download e upload no tem
qualquer relao entre si;

83

Manipulao de trfego
A manipulao de trfego se dar pelo tratamento dos atributos do BGP
que so analisados na seguinte ordem:
1) Prefere a rota com maior WEIGHT (default = 0);
2) Prefere a rota com maior LOCAL-PREFERENCE (default = 100);
3) Prefere a rota com o menor AS-Path;
4) Prefere a rota originada localmente por agregao de rota ou por anncio
do prprio BGP;

5) Prefere a rota com a menor ORIGIN (igp < egp < incomplete);
6) Prefere a rota com a menor MED (default = 0);
7) Prefere a rota aprendidas por eBGP do que por iBGP;

8) Prefere a rota que vem do roteador com menor Router ID;

9) Prefere a rota com menor lista de cluster de refletor de rotas (default = 0);
10) Prefere a rota que vem do vizinho com menor endereo IP.
84

Manipulao de trfego

No RouterOs os atributos so manipulados com a

configurao de filtros de roteamento da seguinte
forma:

1) Se downloads so consequncias de como

anunciamos nossas rotas para o mundo, filtros para
controlar downloads tem que ser colocados nas sadas
de nossos peers;
2) Se uploads so consequncias de como
recebemos as rotas do mundo, filtros para manipular
uploads tem que ser colocados nas entradas de
nossos peers;

85

Manipulao de trfego

Ferramentas para diagnstico de resultados de uma poltica de

roteamento:
1) Ferramentas (mais ou menos) mentirosas:

Ping, traceroute, torch, bandwidth test.

2) Onde consultar:

Resultados de polticas de upload: Nossa tabela de rotas

Resultados de polticas de download: Nossas rotas nos
Looking glasses

86

Manipulao de uploads

Para influenciar diretamente em um roteador,

manipulando como este envia seu trfego, temos
basicamente dois atributos que podem ser
manipulados:

Weight
Local-Preference
Ambos tero o mesmo efeito prtico quando se tratar
de um roteador nico, sendo que o Weight o primeiro
critrio a ser analisado da lista dos atributos do BGP.
87

Manipulao de uploads - Weight

md130230052

Weight
D um peso determinado
para as rotas recebidas por
um determinado peer. Rotas
com maior peso, tem
preferncia. O padro
Weight=0
Weight de fato no um
atributo verdadeiro do BGP,
pois no se propaga dentro do
anncio BGP. Vale apenas
para o roteador onde foi
configurado.

TR1

1.1.0.0/20
Weight=10

PTT

1.1.0.0/20
Weight=0

88

Manipulao de uploads
Local-Preference
Local-Preference

md130230108

TR1

Seta uma preferncia para as

rotas recebidas por um
determinado peer. Rotas com
maior Local-Preference, tem
preferncia. O padro Local1.1.0.0/20
Preference=100
LP =150

PTT

1.1.0.0/20
LP = 100

Local-Preference um
atributo que se propaga
dentro do AS em que foi
definido, sendo informado a
todos roteadores. No se
propaga para outros ASs.
89

Manipulao de uploads - LAB

Weight e Local Preference

Verifique por onde est fluindo o seu trfego nesse
momento.
Utilizando Weight force com que esse trfego
saia pelo outro caminho.
Repita o procedimento, s que usando Local
Preference.

90

Manipulao de downloads

Basicamente h 3 formas de se influenciar em como os

downloads chegam em seu AS;
Controle de publicaes de redes mais ou menos
especficas;
Manipulaes de envio do atributo AS-Path
Manipulao do atributo MED

91

Manipulao de downloads
Atributo MED
MED (Multi Exit Discriminator)
uma sinalizao de um AS
para outro vizinho;
Indica o caminho preferencial
para a entrada do trfego em
um AS;
O caminho sinalizado com a
menor MED ser o escolhido
pelo AS vizinho para o envio do
trfego. Default = 0;

md1302230153

TR1

PTT
MED=30

MED=20

AS-X

Funciona somente quando h

duas ou mais conexes
entre dois ASs.
92

Manipulao de downloads
Atributo MED
Funcionamento do atributo
MED

No exemplo ao lado o
Roteador do PTT compara os
valores de MED recebidos do
AS-X e escolhe para envio
do trfego o de MED = 20
O valor de MED = 10
anunciado por TR1
ignorado pois MED critrio
de deciso somente quando
h 2 ou mais conexes entre
ASs.

md1302230153

TR1

MED=10

PTT

MED=30
MED=20

AS-X

93

Manipulao de downloads
Anncios mais ou menos especficos
Seja o cenrio abaixo no qual
o administrador do AS-X quer
equilibrar os downloads e
ainda ter redundncia,
utilizando poltica de
anncios.
Supondo que os endereos IP
esto igualmente distribudos
no AS, ele faz os anncios da
primeira metade do /20 por
um peer e da segunda pelo
outro.

md130230052

TR1

TR2

1.1.8.0/21
1.1.0.0/20

1.1.0.0/21
1.1.0.0/20

AS-X
Para que haja redundncia, o
anncio do /20 total feito
pelos dois peers

94

Manipulao de downloads
por anncios mais ou menos
especficos - LAB

Faa o anncio de metade dos seus

prefixos para a operadora de transito-2 e
a outra metade para a operadora de
transito-1. Anuncie o /20 total pelas
duas;
Cheque os resultados;
O que acontece com o PTT?;
Discutir os efeitos colaterais desse tipo
de poltica
95

Manipulao de downloads
Tcnica de AS-Path prepend
Tcnica de AS-Path prepend antes de fazer prepend

AS-20
md1302230258

AS-10
1.1.0.0/20

1 Gbps
100 Mbps

AS-30

Direo do
trfego
96

Manipulao de downloads
Tcnica de AS-Path prepend
Tcnica de AS-Path prepend prependando 2 vezes o
nmero AS
Direo do
trfego

AS-10
1.1.0.0/20

AS-20

1 Gbps

100 Mbps

AS-30

md1302230258

97

Manipulao de downloads por

Tcnica de AS-Path prepend
LAB
Desfaa os anncios especficos do LAB
anterior;
Verifique como suas rotas esto aparecendo
nos looking glasses e constate que os
participantes do PTT o encontram pelo PTT;
Utilizando a tcnica de AS-Path prepend,
faa com que todo o trfego, inclusive dos
participantes do PTT seja encaminhado pelo
operador de transito 2.

98

Cenrio IV
iBGP com 4 roteadores
operadora de transito com 2
links e PTT

99

Cenrio IV iBGP com 4

roteadores, duas conexes de
trnsito + PTT
Montar a estrutura fsica abaixo
Retirar todos os filtros existentes

Grupo 1

ASN = 65001

Grupo 2

ASN = 65002

100

Cenrio IV conectividade IP
Grupo G
ASN = 6500G
RG2

192.168.G.0/30

14

192.168.G.4/30

192.168.G.12/30
13

6
RG3

RG1

9 192.168.G.8/30

10

RG4

101

Interfaces de Loopback
Em roteamento dinmico bastante comum o uso de
interfaces de loopback, que so interfaces virtuais associadas a
um roteador.
Interfaces de loopback permanecem sempre ativas (up),
mesmo que as interfaces fsicas estejam inativas (down). Isso
possibilita que um roteador, que seja referenciado por uma
interface de loopback, seja alcanado por diferentes caminhos
em caso de falhas de alguma(s) interface(s).
O Mikrotik RouterOS possui uma interface de loopback nativa
que no acessvel para configuraes, mas podem ser
criadas outras interfaces de loopback. Existem vrias formas
de se fazer isso, sendo a mais fcil a criao de uma bridge
sem qualquer interface associada a ela.
/interface bridge add name=loopback
102

Cenrio IV Interfaces de
loopback
Criar as interfaces de loopback e configurar os IPs da
seguinte forma:

Grupo = G
Roteador = R

IP = 10.0.G.R

103

Cenrio IV iBGP 4 roteadores +

trnsito + PTT

Internet

TR1

PTT
AS2

md1302192258

AS1

104

BGP externo e BGP interno

iBGP:
Peerings entre roteadores do
mesmo AS
eBGP:
Peerings entre roteadores de ASs
externos

AS-20

eBGP

R2

AS-10

eBGP

R1

iBGP

eBGP

AS-30

R3
md1302201839

AS-40
105

eBGP e iBGP
Questes para discusso:
1) Havendo protocolos especficos para roteamento interno como
o OSPF, por exemplo, qual a razo pela qual necessitaramos
usar o iBGP?
2) Os protocolos de roteamento interno normalmente permitem
que as rotas recebidas externamente por BGP sejam
distribudas internamente. Porque ento no usar essa opo ao
invs de iBGP?

3) O comportamento de um roteador falando iBGP diferente em

relao ao eBGP. Qual seria o detalhe de configurao que faz
com que o roteador saiba que ele deve se comportar como
iBGP ou eBGP?
106

Tcnica de Split Horizon para o BGP

Split Horizon uma tcnica utilizada em roteamento para

evitar que um esquema de roteamento crie loops, tornando
efetivamente roteamento mais eficiente.

Quando um roteador em uma rede recebe um pacote de

informao de roteamento, ele no envia a mesma informao
de volta pelo caminho no qual a informao foi recebida (ou
seja, ao roteador adjacente que enviou a informao). Ele
somente envia as informaes para outros caminhos para que
no haja a possibilidade do pacote ser roteado de volta ao
caminho originador.
No BGP, o roteador tem dois mundos o que eBGP e o que
iBGP
107

Regras do Split Horizon para o BGP

1) Um BGP speaker pode anunciar

para seus vizinhos iBGP os prefixos
IP que aprendeu a partir de eBGP
speakers.
AS-20

R2
AS-30

AS-10

eBGP

R3
R1

md1302201839

AS-40
108

Regras do Split Horizon para o BGP

2) Um BGP speaker pode anunciar

para seus vizinhos iBGP os prefixos
IP que aprendeu a partir de eBGP
AS-20
speakers.

R2
AS-30

AS-10
eBGP

R3
R1

md1302201839

AS-40
109

Regras do Split Horizon para o BGP

3) Um iBGP speaker NO pode

anunciar para seus vizinhos iBGP
os prefixos IP que aprendeu a
partir de iBGP speakers.

AS-20

R2
AS-30

AS-10

eBGP

R3
R1

md1302201839

AS-40
110

Cenrio IV
Configuraes de conectividade
Devido s regras de Split Horizon do iBGP,
necessrio que haja Full Mesh entre os roteadores
participantes do iBGP. Ou seja, cada roteador fechar
sesso BGP com todos os outros.
Para garantir a redundncia de caminhos as sesses
devero ser estabelecidas nas interfaces de loopback.
Portanto deveremos:

1) Para que as interfaces de loopback se enxerguem um IGP

dever ser configurado utilizar para tanto o OSPF (configurar
um OSPF bsico);
2) Testar o OSPF configurado pingando a partir do seu roteador,
todas as interfaces de loopback dos vizinhos;
3) Estabelecer as sesses iBGP e reportar os resultados.
111

Cenrio IV forando a loopback

O protocolo BGP estabelecido sobre uma

sesso TCP. O endereo IP de origem da
sesso normalmente o da interface de sada.
Portanto deveremos forar que o IP de origem
seja o IP da interface de loopback.

ou
112

Cenrio IV distribuies de rotas

Uma vez estabelecidas todas as sesses iBGP,

verificar como esto instaladas as rotas.
Comparar as rotas nos roteadores que tem
conectividade externa direta (1 e 4 de cada
grupo) com os que no tem conectividade
externa direta (2 e 3)
Qual a diferena bsica?
Analisar o porque desse comportamento.

113

Atributo Next-Hop

AS-200

10.1.1.1

AS-100

10.1.1.5

Next-Hop=10.1.1.1
Next-Hop=10.1.1.5
md1302201736

10.1.1.9

AS-400

AS-300
Next-Hop=10.1.1.9

REDE 1.1.0.0/20

ASPath=300,20
0,100

Next-Hop=10.1.1.9
114

Atributo Next-Hop

Prefixo de rede

Next-Hop = 10.10.10.10

Outros atributos

O atributo Next-Hop indica o endereo IP do roteador que

serve para o gateway daquela rede anunciada;
Normalmente o Next-Hop o endereo IP do ltimo roteador
que fez o anncio do prefixo de rede (comportamento tpico
do BGP entre ASs diferentes);
No caso do iBGP os anncios no so alterados e portanto o
next-hop recebido pelo roteador de borda permanece o
mesmo quando este anuncia para dentro da rede.
115

Cenrio IV forando o next-hop

Para que o next-hop anunciado para dentro da

rede seja alcanvel, os roteadores de borda
devem colocar-se como next-hop.

Aplicar esta
configurao e checar
os resultados nas
rotas instaladas em
todos os roteadores.

116

Cenrio IV laboratrios adicionais

Com base em tudo que foi visto at o momento,

cada AS dever configurar os filtros e anncios
apropriados, que garantam:
1) Desabilitar a conectividade com o PTT. Depois disso,
fazer com que os uploads de todos roteadores do AS
sejam feitos via o link ser feitos pelo link estabelecido com
a operadora pelo roteador G1, exceto o do roteador G4
2) Testar o OSPF configurado pingando a partir do seu
roteador, todas as interfaces de loopback dos vizinhos;
3) Estabelecer as sesses iBGP e reportar os resultados.

117

Laboratrio Final
Abram um new terminal

/system reset configuration no-defaults=yes

118

Obrigado!!
Edson Veloso

Sergio Souza

edson@mikrotikbrasil.com.br sergio@mikrotikbrasil.com.br

Wardner Maia
maia@mikrotikbrasil.com.br

119