MIKROTIKMUM2009
PablodeChiara
� Presentacin Unahistoriacomn Ll d d Mik tik LlegadadeMikrotik VPNs yCasodexito BGPRouting yCasodexito FuturoconMPLS ValordelaComunidad
AGENDA
�PablodeChiara pdechiara@[Link] 15aosenelmercadodeIT(soporte,consultora,etc.) 12aoscomoISP 12 aos como ISP CertificadoenMikrotikdesde2006 CertificadoCisco(CCNA,AWLF,CSEfor SB) MicrosoftMCP AMPNetConnect
PRESENTACION
�reasdetrabajo
IPServices
ITServices
PRESENTACION
�Comoempezar? Formacin
$$$$
UNA HISTORIA COMUN
�Resignarsenoeraelcamino.
UNA HISTORIA COMUN
�Enqueterminamos.
Linux
AP
Antenas
Cables
SALUD
Clientes
UNA HISTORIA COMUN
�DeprontolapreguntaincmodaCOMOSEGUIMOS? Quepodemoshacerconesaestructura Queserviciospodemosdarleanuestrosclientes Quepodemosgarantizar Queburbujaexplotabaprimero????? Que burbuja explotaba primero?????
Linux
AP
Antenas
Cables
SALUD
Clientes
UNA HISTORIA COMUN
�LoqueencontramosenMikrotik: Estabilidad Flexibilidad Herramientas Desarrollocontinuo Compatibilidad RFC !!!! Compatibilidad RFC!!!! Precio/Calidad Soporte/Comunidad
UnBOXquenospermiti Un BOX que nos permiti mirar OUTofthe BOX
LLEGADA DEMIKROTIK
�DondeestaMikrotikennuestraempresahoy:
Mikrotik
IPServices
ITServices
LALLEGADA DEMIKROTIK
�VPN: (VirtualPrivate Network)permitelaextensindeunaredlocalprivada [Link]:masdelamitaddelas b d bli t l d E i l b l d l it d d l compaasconmasde50empleadostiene1omasVPNs. Enelmundoel mercadodelasVPNsellevoU$S24.4billonesen2007yseesperauna escaladaaU$[Link]$S5 p g billones. Tunneling:procesoendondeunpaquetecompletoespuestodentrodeotroy [Link] enviado a la red Ese paquete solo puede ser comprendido por los extremos deltnel. Autenticacin:generalmentealinicioydespusaleatoriamentedurantela sesindependiendodeltipo.
VPN
� MltiplessolucionesconMikrotik: PPtP creadoporUSRobotics,Microsoft,3Com,Ascent yECI,soportaencriptacinde PPtP:
[Link](Generic Routing Encapsulation)
L2tP: creado por los anteriores mas Cisco y la IETF, combina L2F(Cisco) . Soporta IPSEC. creadoporlosanterioresmasCiscoylaIETF,combinaL2F(Cisco).SoportaIPSEC.
IPSEC:remediafalenciasdeIP,proveeconfidencialidad,integridad,autenticidady
proteccion arepeticionesmediantedosprotocolosAuthentication Protocol (AH)y Encapsulated SecurityPayload (ESP)
EoIP:PropietariodeMikrotik,encapsulatramasethernet enpaquetesGRE(como
PPtP).Posibilidaddebridgerar LANs sobreInternet,sobretnelesencriptadosoredes wireless adhoc.
VPN
[Link]
� MltiplessolucionesconMikrotik(Cont.):
Open VPN: B d OpenVPN:BasadaenSSL(Secure S k t L ) / TLS (T SSL (S SocketLayer)/TLS(Transport L t Layer S Security).Una it ) U
delassolucionesmasseguras,massimpledeconfiguraryconmenoscargaparalos routers queIPSec porejemplo. [Link]. [Link]. CAC t tifi d
En2004SANStitulothe SSLVPNRevolution
[Link] room/whitepapers/vpns/openvpn_and_the_ssl_vpn_revolution_1459?s p // g/ g_ / p p / p / p p p how=[Link]&cat=vpns
[Link]
VPN
�OVPN S IPSE NV EC
IPsec
EstndardelatecnologaVPN g Plataformasdehardware(dispositivos,aparatos) Tecnologaconocidayprobada Muchasinterfacesgrficasdisponibles ModificacincomplejadelstackIP Necesidaddemodificacionescrticasalkernel Necesidaddepermisosdeadministrador Diferentesimplementacionesdedistintosproveedorespuedenser incompatiblesentresi incompatibles entre si Configuracincomplejaytecnologacompleja Curvadeaprendizajemuypronunciada p yp Necesidaddeusodemuchospuertosyprotocolosenelfirewall Problemascondireccionesdinmicasenambaspuntas
OpenVPN
AundesconocidaynocompatibleconIPsec y p Soloencomputadoras,peroentodoslossistemasoperativosdisponibles Tecnologanuevayaunencrecimiento Sininterfacesgrficasprofesionales,aunqueyaexistenalgunos proyectosprometedores Tecnologasencilla Interfacesderedypaquetesestandarizados Ejecutaenelespaciodelusuarioypuedeserchrooted Tecnologasdecifradoestandarizadas Facilidad,buenaestructuracin,tecnologamodularyfacilidadde configuracin Fcildeaprenderyxitorpidoparaprincipiantes Utilizasolounpuertodelfirewall p TrabajaconservidoresdenombresdinmicoscomoDynDNSoNoIPcon reconexionesrpidasytransparentes SSL/TLScomoestndardecriptografa Controldetrfico(Trafficshaping) Velocidad(msde20Mbpsenmquinasde1Ghz) Compatibilidadconfirewallyproxies NingnproblemaconNAT(ambosladospuedeserredesNATeadas) Posibilidadespararoad warriors
� MltiplessolucionesconMikrotik(Cont.):
VPLS: (Vi t l LAN P i t S i ) P it f VPLS:(VirtualLANPrivate Service)PermiteofrecerLANs t LAN [Link] t P it
[Link] ypuedefuncionarsobreIPoMPLS, [Link] delunbackbone ethernet ylaseguridadyescalabilidaddeMPLS.
VPN
�Cliente:Cadenadehoteleslder Ubicacin:Cordoba,BuenosAires,MardelPlata,Resistencia,Catamarca, VillaMercedes,SanLuis,Iguaz Situacion: Sistemasdescentralizados,altocostosenenlacespuntoapunto, dispersindeinformacin,algunosintentosdeintegracinexponiendo servidores Objetivo:Centralizarsistemadeinformacin,informacincorporativa organizada,Implementacindeintranet
CASO DEEXITO:VPN
�CASO DEEXITO:VPN
�Solucin: Dosaccesosainternetdediferentesproveedoresdedicadoydealta [Link] disponibilidad en el nodo central Dimensionado de Internet en los puntos satlites analizandolacriticidadyofertaenlossitios. Mikrotikencadapuntacriticaytnelespermanentes Accesospordiscadodesdelaspuntassecundarias ObjetivosSecundarios:controldeinternet,aprovechamientodeanchodebandapor Objetivos Secundarios: control de internet, aprovechamiento de ancho de banda por proveedoresmaseconmicos,[Link] elmismoBOX!!!
CASO DEEXITO:VPN
�BGP
Protocoloderouteo entresistemasautnomos. Dosrouters (peers)seconectanvia TCP(179)paraintercambiarinformacinderouteo. Inicialmentelospeers intercambiantodassusrutasdespusupdatean incrementalmente. [Link] alive paraasegurarselas conexiones. eBGP:Entrepeers conASdiferente iBGP:vecinosenelmismoAS,noanunciarutasaprendidasporiBGP
BGP
�Situacin: Mltiplesproveedores,[Link] dependendesolucionespropias Objetivo:ImplementarBGP,direccionamientoIPpropio,mantenerloheredado. [Link] tolerance y balanceo de carga ybalanceodecarga. SolucinconMikrotik:altogradodecompatibilidadconlosproveedoresque [Link] V4.x! !
[Link]
CASOS DEEXITO:BGP
�Soluciones: Multihomed [Link]. Balanceodecargaportipodetraficooseteando multiples nexthop ImplementaciniBPG interno. Scripting para cadas de proveedores Scriptingparacadasdeproveedores. Plandecontingencias
CASOS DEEXITO:BGP
�CASOS DEEXITO:BGP
�MPLS:Multi Protocol Label Switching Layer 2.5(oentreL2y3paratecnologia [Link] ATMotecnologia basadaenceldas) Lasdecisionesdeforwarding noestnbasadasenelencabezadoIPolastablasde routing sino en el contenido de un label sinoenelcontenidodeunlabel. Insertalabels (32bits)enframes conteniendoinformacinqueindicaacadarouter comoforwardearlo haciaeldestino. EsmasrpidoqueipporquecombinalomejordeL2y3(intercambiodelabels) Ademas cambiarouting tables porforwarding tables. SuprincipalobjetivoescrearredesflexiblesyescalablesincluyendoIngenierade Trafico,QoS conmultiples ClasesdeServicios(CoS)
FUTURO:MPLS DEFINICIONES
�IP
ATM
MPLS
FUTURO:MPLS
�MPLS HEADER S R
�LDP:Protocolodedistribucindelabels LSR:Label Switch Router:Routerqueconmutaetiquetas. LER:Label Edge Router:Esdondecadapaqueteesetiquetadoyclasificadoalingreso ydondeseremuevenlasetiquetasalasalida d d l ti t l lid LSP:CaminootnelMPLSestablecidoentredosextremos. FEC:[Link] depaquetesquesontratadosdelamismaformaporelrouter. p q q p
FUTURO:MPLS COMPONENTES BASICOS
�MPLS S
�Networkperformance Traffic engineering g g SolucionesdeVPNL2,masescalables,menoscostosquealternativascomoIPSec, ATMoFrame Relay ademas agregaQoS CalidaddeServicio Redundancia Failover BGP Sepuedearmarunareddetransporteuniversaleintegrarredesdiversas
FUTURO:MPLS SOLUCIONES
�Laconmutacinbasadaenetiquetasdeberasermasrpidaporquerequieremenos p procesamientoyesposibleimplementarlaporhardware,peroeldesarrollode y p p p ,p algunastecnologashanhechoposiblequelaconmutacinbasadaenIPpuedaser tanrpidacomolabasadaenetiquetas. Segnalgunostests MPLSes2xmasrpidoqueipforwarding y60%masrpido queEoIP sobreunaredrouteada. que EoIP sobre una red routeada LasVPNs basadasenMPLSsuelenquedarconfinadasaunsoloproveedorquelas [Link] LaalternativaesLSTPv3queestaendraft: [Link] pseudowires2/[Link]
FUTURO:MPLS CONSIDERACIONES
�Ciscohastons ofexperts,We (Mikrotikusers)have a huge community h it [Link] [Link] mikrotik com [Link]
isparg@[Link] i @ l
COMUNIDAD
�MuchasGracias Muchas Gracias
FIN
