Implementando Mikrotik en una red con Topología “Top Down” para construir redes flexibles y administrables VRRP www.masteringmikrotik.com Presentación • Mauro Escalante • • • • • Rediamérica S.A (Gerente de Networking) Mastering MikroTik (Vicepresidente de IT) Guayaquil, Ecuador mescalante@rediamerica.net mescalante@masteringmikrotik.com • Experiencia • Experiencia MikroTik desde 2006 • MikroTik Certified Trainer • Especilidad: Análsis y Troubleshooting de redes www.masteringmikrotik.com Temario 1. 2. 3. 4. Características de un buen diseño de red Modelo Jerárquico (Topología Top-Down) Implementación con MikroTik RouterOS Ejemplos Objetivos principales: • Fortalecer conceptos de Diseño de red • Aplicación rápida, sencilla y efectiva de VRRP www.masteringmikrotik.com 1) Características de un buen diseño de red • Una red bien diseñada debe cumplir 3 requisitos fundamentales: a) Administrable b) Segura c) Confiable • Requisitos se cumplen con MikroTik RouterOS www.masteringmikrotik.com (a) Diseño: Red Administrable • Todos los dispositivos de concentración deben ser accesibles a la administración y monitoreo –Gateways/routers –Switches de distribución –Switches de acceso • Requerimiento mínimo: monitoreo y revisión de estadísticas de desempeño: – CPU – Memoria – Estadísticas de puertos www.masteringmikrotik.com Diseño: Administrable - Gestión • Administración – Herramienta de Gestión/Administración • • • • What’s Up ($$$) Solarwinds ($$$$) Link Analyst ($$$$) The Dude (FREE) www.masteringmikrotik.com Diseño: Administrable - Gestión • Qué obtenemos? – Layout de la red (LAN/WAN/WLAN) – Conocimiento de los tipos de servicio – Dispositivos, monitoreo de enlaces, notificaciones – Soporte de monitoreo SNMP, ICMP, DNS y TCP – Monitoreo estadístico y gráfico de los enlaces – Acceso directo remoto a las herramientas de control www.masteringmikrotik.com (b) Diseño: Red Segura • Seguridad basada en controles y niveles de acceso a: – Servidores • Mail • Bases de Datos • File Servers – Servicios de red • Impresoras • Dispositivos de almacenamiento en red – Servicios de acceso • Internet • Oficinas remotas www.masteringmikrotik.com Diseño: Red Segura - Implementación • Niveles de control y acceso en las diferentes zonas –Reglas de Firewall, NAT –Segmentación de red en L3 –Segmentación con VLANs –VPNs –Access Lists –RADIUS server www.masteringmikrotik.com (c) Diseño: Red Confiable • La confibilidad depende principalmente de dos aspectos: –Escalabilidad –Capacidad de fail-over www.masteringmikrotik.com Diseño: Red Confiable – Escalabilidad • Escalabilidad: “La forma en que se diseñó la red debe permitir que su expansión se ejecute al menor costo y con poco o ningún período de offline, ya sea que se ingresen 10 o 1000 nuevos clientes a la red” • 1000 = quizá un poco irreal, pero no es descabellado www.masteringmikrotik.com Diseño: Red Confiable – Escalabilidad www.masteringmikrotik.com Diseño: Red Confiable – Fail Over • Fail Over: La falla en cualquiera de los equipos neurálgicos de la red (gateways y switches de distribución) NO debe afectar el normal y contínuo funcionamiento de todos los servicios indispensables de la red • Cual es un punto de quiebre de la red en un diseño tradicional? www.masteringmikrotik.com Diseño: Red Confiable – Fail Over • Gateway = talón de Aquiles de la red • Posible solución: Asignar otro gateway en los clientes manipulando el Metric. • Que ocurre si hay muchos usuarios? www.masteringmikrotik.com Diseño: Red Confiable – Fail Over • SW Acceso = la falla en un switch de acceso corta el acceso a los servicios o los inhabilita. • Posible solución: – Reset equipo – Cambio de equipo www.masteringmikrotik.com Diseño: MikroTik RouterOS • MikroTik RouterOS nos permite cubrir todos estos puntos a) Administrable b) Segura c) Confiable • Nos vamos a concentrar en CONFIABILIDAD/FAIL-OVER • Necesitamos establecer el diseño de red –Modelo Jerárquico / Topología “Top Down” www.masteringmikrotik.com 2) Modelo Jerárquico (Topología Top-Down) • Fail-over en Core – VRRP • Fail-over en Distribución – Spanning Tree • STP • RSTP www.masteringmikrotik.com 3) Implementación VRRP con MikroTik • VRRP es un protocolo usado para asegurar el acceso constante a ciertos recursos. • 2 o más routers (referidos como routers VRRP) crean un cluster de Alta Disponibilidad (también referidos como Routers Virtuales) con fail-over dinámico • Cada router puede participar en hasta 255 routers virtuales por interfaz • La implementación de VRRP en MikroTik RouterOS es compatible con RFC2338 www.masteringmikrotik.com VRRP • Una o más direcciones IP se pueden asignar a un router virtual • Un nodo de un router virtual puede tener uno de los siguientes estados: –Master –Backup www.masteringmikrotik.com VRRP (Master – Backup) • VRRP Master – El router adquiere este estado cuando el nodo responde todos los requerimientos a la dirección IP – Puede haber solo un nodo MASTER en un router virtual. Este nodo envía paquetes de aviso a todos los routers BACKUP (usando dirección multicast) cada cierto tiempo (este tiempo se configura en la opción interval) • VRRP Backup – No responde ningún requerimiento a las direcciones IP de la instancia. – Si el MASTER se vuelve no-disponible (si al menos 3 paquetes secuenciales VRRP se pierden) se genera un proceso de elección y se proclama un nuevo MASTER basado en su prioridad. www.masteringmikrotik.com VRRP - Notas • VRRP no trabaja en interfaces VLAN ya que es imposible asegurar que la MAC-address de una VLAN sea diferente de la MAC-address del router virtual • El máximo número de clusters en una red es 255 teniendo cada uno un único Virtual Router ID (VRID) • Cada router que participa en un cluster VRRP debe tener asignada una prioridad www.masteringmikrotik.com 4) Ejemplos de implementación www.masteringmikrotik.com VRRP: Implementación Básica www.masteringmikrotik.com VRRP + Internet (router) Apoyo usando ECMP www.masteringmikrotik.com VRRP + Internet (router) Apoyo usando ECMP – Identificando problemas www.masteringmikrotik.com VRRP + Internet (router) Apoyo usando ECMP + Bridge + STP www.masteringmikrotik.com VRRP + Internet (router) Apoyo usando VRRP en 172.19.1.0 www.masteringmikrotik.com VRRP + Internet (router) Requerimiento de 2 Gateways en LAN www.masteringmikrotik.com www.masteringmikrotik.com www.masteringmikrotik.com Preguntas Mauro Escalante mescalante@rediamerica.net mescalante@masteringmikrotik.com Mastering MikroTik / Rediamerica S.A. http://www.masteringmikrotik.com/ http://forum.masteringmikrotik.com/ http://www.rediamerica.net/ www.masteringmikrotik.com