políticas de ruteo con mikrotik routeros
TRANSCRIPT
![Page 1: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/1.jpg)
Políticas de ruteo con MikroTik RouterOS
![Page 2: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/2.jpg)
Objetivos de este microcurso1. Presentar el concepto de ruteo basado en políticas (PBR).
2. Demostrar configuraciones simples para poder implementar
las políticas de ruteo típicas de los escenarios actuales.
3. Establecer criterios convenientes para cada caso.
2
![Page 3: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/3.jpg)
Resumen de los temas1. ¿Qué es una política de ruteo y para qué sirve?
2. Consideraciones previas
3. Ruteo por origen
4. Balanceo de carga PCC
3
![Page 4: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/4.jpg)
¿Qué es una política de ruteoy para qué sirve?
4
![Page 5: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/5.jpg)
¿Qué es una política de ruteo?
5
● Por definición el ruteo tradicional se realiza en
base a la dirección destino de los paquetes.
● Pero el ruteo basado en políticas permite rutear
paquetes en base a diversos criterios definidos
por el administrador de red.
![Page 6: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/6.jpg)
¿Para qué sirve una política de ruteo?
6
● Si bien su aplicación es cualquier escenario donde exista ruteo
de múltiples caminos, vamos a mostrar un escenario de
múltiples conexiones a Internet.
● Es decir, una política de ruteo permite a un administrador de
red elegir el proveedor de Internet (ISP) por el cual enviar los
datos, basándose en criterios específicos.
![Page 7: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/7.jpg)
¿Qué es una política de ruteo y para qué sirve?
● Ruteo por protocolo.
● Ruteo por origen * 👈● Balanceo de carga
○ EMCP
○ PCC * 👈
7
![Page 8: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/8.jpg)
Diagrama de flujoExiste 3 flujos:
input
output
forward
8
![Page 9: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/9.jpg)
Diagrama de flujoExiste 3 flujos:
input
output
forward
9
![Page 10: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/10.jpg)
Diagrama de flujoSimplificado para
explicar políticas
de ruteo utilizando
una sección del
Firewall llamada
Mangle.
10
![Page 11: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/11.jpg)
Consideraciones previas
11
![Page 12: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/12.jpg)
Consideraciones previas
12
● Cuando hablamos de un escenario de múltiples ISPs, es importante
mantener la coherencia en la comunicación.
● Puesto de otro modo, si me comunico con un router que tiene 3 ISPs, y lo
hago por la ISP2, la respuesta debería venir de ISP2.
● Para que esto ocurra, hay que hacer 2 reglas “obligatorias” por cada ISP
que se agregue.
![Page 13: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/13.jpg)
Consideraciones previas● En primer lugar, hay que identificar las conexiones entrantes y vincularlas con
cada ISP, cosa que se logra con marcando las conexiones.
/ip firewall mangle add chain=prerouting \in-interface=ether1_isp1 connection-state=new \action=mark-connection new-connection-mark=mc_isp1
/ip firewall mangle add chain=prerouting \in-interface=ether2_isp2 connection-state=new \action=mark-connection new-connection-mark=mc_isp2
13
![Page 14: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/14.jpg)
Consideraciones previas● Y como segundo paso, hay que hacer que el router responda las solicitudes por el
ISP que corresponde, basándose en la marca de conexión.
/ip firewall mangle add chain=output \connection-mark=mc_isp1 \action=mark-routing new-routing-mark=tabla_isp1 passthrough=no
/ip firewall mangle add chain=output \connection-mark=mc_isp2 \action=mark-routing new-routing-mark=tabla_isp2 passthrough=no
14
![Page 15: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/15.jpg)
Ruteo por origen
15
![Page 16: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/16.jpg)
Ruteo por origen● En este caso sencillo se utiliza una lista para rutear paquetes
por un gateway en base a la dirección IP origen.
● Este método es muy similar si optamos rutear por protocolo.
● En RouterOS existen varias formas de hacerlo, aquí se
presentan dos de ellas.
16
![Page 17: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/17.jpg)
Ruteo por origenEscenario inicial:
● 2 ISP
● 1 LAN
● NAT
Objetivo:Que cada dispositivo alcance Internet por un ISP en particular.
17
![Page 18: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/18.jpg)
Ruteo por origen (utilizando action=routing-mark)/ip firewall mangleadd chain=prerouting \src-address-list=lista_salida-isp1 \action=mark-routing \new-routing-mark=tabla_isp1passthrough=no
/ip firewall address-listadd action=10.0.0.30 \list=lista_salida-isp1
Definición de una lista de direcciones IP.
Se realiza la búsqueda del próxima salto en una tabla paralela, llamada “tabla_isp1”.
Completar la lista con IPs, redes o rangos.
Parte 1/2
18
![Page 19: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/19.jpg)
Ruteo por origen (utilizando action=routing-mark)Tablas adicionales (una por ISP)
/ip routeadd dst-address=0.0.0.0/0 \gateway=198.51.100.1 \routing-mark=tabla_isp1
/ip routeadd dst-address=0.0.0.0/0 \gateway=203.0.113.1 \routing-mark=tabla_isp2
Definición de una tabla de ruteo paralela.
Parte 2/2
19
![Page 20: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/20.jpg)
Ruteo por origen (utilizando action=route)/ip firewall mangleadd chain=prerouting \src-address-list=lista_salida-isp1 \action=route \route-dst=198.51.100.1 \passthrough=no
/ip firewall address-listadd action=10.0.0.30 \list=lista_salida-isp1
Definición de una lista de direcciones IP.
No se realiza búsqueda en la tabla de ruteo, de utiliza directamente “route-dst”.
Completar la lista con IPs, redes o rangos.
20
![Page 21: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/21.jpg)
Balanceo de carga PCC
21
![Page 22: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/22.jpg)
Balanceo de carga PCC● En este caso sencillo se utiliza un conjunto de reglas
con el comparador PCC para dividir el tráfico en
múltiples “flujos”.
● Luego cada flujo se rutea por un gateway en
particular.
22
![Page 23: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/23.jpg)
Balanceo de carga PCCEscenario inicial:
● 2 ISP
● 1 LAN
● NAT
23
Objetivo:Que el tráfico total se divida proporcionalmente por conexión***.
![Page 24: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/24.jpg)
Balanceo de carga PCCParte 1 - Crear tabla de ruteo para cada ISP.
Parte 2 - Asegurar que las conexiones iniciadas por un
determinado ISP, sean respondidas por el mismo ISP.
Parte 3 - Establecer la política de ruteo para dividir el tráfico
en “flujos”.
24
![Page 25: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/25.jpg)
Balanceo de carga PCCParte 1 - Crear tabla de ruteo para cada ISP.
/ip routeadd dst-address=0.0.0.0/0 \gateway=198.51.100.1 \routing-mark=tabla_isp1
/ip routeadd dst-address=0.0.0.0/0 \gateway=203.0.113.1 \routing-mark=tabla_isp2
Definición de una tabla de ruteo paralela.
25
![Page 26: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/26.jpg)
Balanceo de carga PCCParte 1 - En la tabla “main” mencionar cada ISP diferencia por “distance”.
/ip routeadd dst-address=0.0.0.0/0 \gateway=198.51.100.1 \distance=11
/ip routeadd dst-address=0.0.0.0/0 \gateway=203.0.113.1 \distance=12
Parámetro distance para permitir failover entre ISPs.
26
![Page 27: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/27.jpg)
Balanceo de carga PCCParte 2 - Asegurar que las conexiones iniciadas por un determinado ISP, sean
respondidas por el mismo ISP. Identificar conexiones nuevas:
/ip firewall mangleadd chain=prerouting \in-interface=ether1_isp1 \connection-state=new \action=mark-connection \new-connection-mark=mc_isp1
Toda conexión nueva que ingrese por ether1_isp1...
Marcar conexión como “mc_isp1”.
27
![Page 28: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/28.jpg)
Balanceo de carga PCCParte 2 - Asegurar que las conexiones iniciadas por un determinado ISP, sean
respondidas por el mismo ISP. Responder por el ISP correspondiente:
/ip firewall mangleadd chain=output \connection-mark=mc_isp1 \action=mark-routing \new-routing-mark=tabla_isp1passthrough=no
Toda conexión marcada como “mc_isp1”...
Realizar la búsqueda del próxima salto en una tabla paralela, llamada “tabla_isp1”.
28
![Page 29: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/29.jpg)
Balanceo de carga PCCParte 3 - Establecer la política de ruteo para dividir el tráfico en “flujos”.
/ip firewall mangleadd chain=prerouting \connection-state=new \in-interface=ether5_lan \dst-address-type=!local \per-connection-classifier=both-addresses:2/0 \action=mark-connection \new-connection-mark=mc_isp1
Toda conexión nueva que venga desde la LAN y que no vaya destinada al router...
Marcar conexión como “mc_isp1”.
Política PCC!
29
![Page 30: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/30.jpg)
Balanceo de carga PCCDetalle del comparador PCC
per-connection-classifier=both-addresses:2/0
both-addresses: significa que el
router va a clasificar los paquetes en
base a dirección origen y destino.
2/0: significa que de la totalidad de las conexiones caigan en esta regla,
sólo se tomará el 50%. Se debe crear otra regla igual, pero con 2/1 para que se
tome el otro 50% de los paquetes.
Clasificador Flujos
índice(desde 0)
30
![Page 31: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/31.jpg)
Balanceo de carga PCCEjemplos:
per-connection-classifier=src-addresses:10/x
Divide el tráfico en 10 partes, basándose en la IP origen de los paquetes.
per-connection-classifier=both-addresses-and-ports:4/x
Divide el tráfico en 4 partes, basándose en la IP y puerto origen e IP origen y
destino de los paquetes.
31
![Page 32: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/32.jpg)
Balanceo de carga PCCFinalmente, rutear el tráfico en base a la routing-mark establecida en las reglas
anteriores con el criterio establecido mediante PCC.
/ip firewall mangleadd chain=prerouting \in-interface=ether5_lan \connection-mark=mc_isp1 \action=mark-routing \new-routing-mark=tabla_isp1 \passthrough=no
Todo paquete perteneciente a una conexión marcada como “mc_isp1” que venga desde la LAN...
Se realiza la búsqueda del próxima salto en una tabla paralela, llamada “tabla_isp1”.
32
![Page 33: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/33.jpg)
Balanceo de carga PCC
33
![Page 34: Políticas de ruteo con MikroTik RouterOS](https://reader036.vdocuments.site/reader036/viewer/2022070414/62c0e0c586e4e448fd7d52c7/html5/thumbnails/34.jpg)
Políticas de ruteo con MikroTik RouterOS
prozcenter
prozcenter
prozcenter
¡Muchas Gracias!