Implementando Mikrotik en una red con Topología Top Down para construir redes flexibles y administrables VRRP. www.masteringmikrotik.

Implementando Mikrotik en una red con Topología Top Down para construir redes flexibles y administrables VRRP

Presentación Mauro Escalante Rediamérica S.A (Gerente de Networking) Mastering MikroTik (Vicepresidente de IT) Guayaquil, Ecuador mescalante@rediamerica.net mescalante@masteringmikrotik.com Experiencia Experiencia MikroTik desde 2006 MikroTik Certified Trainer Especilidad: Análsis y Troubleshooting de redes

Temario 1. Características de un buen diseño de red 2. Modelo Jerárquico (Topología Top-Down) 3. Implementación con MikroTik RouterOS 4. Ejemplos Objetivos principales: Fortalecer conceptos de Diseño de red Aplicación rápida, sencilla y efectiva de VRRP

1) Características de un buen diseño de red Una red bien diseñada debe cumplir 3 requisitos fundamentales: a) Administrable b) Segura c) Confiable Requisitos se cumplen con MikroTik RouterOS

(a) Diseño: Red Administrable Todos los dispositivos de concentración deben ser accesibles a la administración y monitoreo Gateways/routers Switches de distribución Switches de acceso Requerimiento mínimo: monitoreo y revisión de estadísticas de desempeño: CPU Memoria Estadísticas de puertos

Diseño: Administrable - Gestión Administración Herramienta de Gestión/Administración What s Up ($$$) Solarwinds ($$$$) Link Analyst ($$$$) The Dude (FREE)

Diseño: Administrable - Gestión Qué obtenemos? Layout de la red (LAN/WAN/WLAN) Conocimiento de los tipos de servicio Dispositivos, monitoreo de enlaces, notificaciones Soporte de monitoreo SNMP, ICMP, DNS y TCP Monitoreo estadístico y gráfico de los enlaces Acceso directo remoto a las herramientas de control

(b) Diseño: Red Segura Seguridad basada en controles y niveles de acceso a: Servidores Mail Bases de Datos File Servers Servicios de red Impresoras Dispositivos de almacenamiento en red Servicios de acceso Internet Oficinas remotas

Diseño: Red Segura - Implementación Niveles de control y acceso en las diferentes zonas Reglas de Firewall, NAT Segmentación de red en L3 Segmentación con VLANs VPNs Access Lists RADIUS server

(c) Diseño: Red Confiable La confibilidad depende principalmente de dos aspectos: Escalabilidad Capacidad de fail-over

Diseño: Red Confiable Escalabilidad Escalabilidad: La forma en que se diseñó la red debe permitir que su expansión se ejecute al menor costo y con poco o ningún período de offline, ya sea que se ingresen 10 o 1000 nuevos clientes a la red 1000 = quizá un poco irreal, pero no es descabellado

Diseño: Red Confiable Escalabilidad

Diseño: Red Confiable Fail Over Fail Over: La falla en cualquiera de los equipos neurálgicos de la red (gateways y switches de distribución) NO debe afectar el normal y contínuo funcionamiento de todos los servicios indispensables de la red Cual es un punto de quiebre de la red en un diseño tradicional?

Diseño: Red Confiable Fail Over Gateway = talón de Aquiles de la red Posible solución: Asignar otro gateway en los clientes manipulando el Metric. Que ocurre si hay muchos usuarios?

Diseño: Red Confiable Fail Over SW Acceso = la falla en un switch de acceso corta el acceso a los servicios o los inhabilita. Posible solución: Reset equipo Cambio de equipo

Diseño: MikroTik RouterOS MikroTik RouterOS nos permite cubrir todos estos puntos a) Administrable b) Segura c) Confiable Nos vamos a concentrar en CONFIABILIDAD/FAIL-OVER Necesitamos establecer el diseño de red Modelo Jerárquico / Topología Top Down

2) Modelo Jerárquico (Topología Top-Down) Fail-over en Core VRRP Fail-over en Distribución Spanning Tree STP RSTP

3) Implementación VRRP con MikroTik VRRP es un protocolo usado para asegurar el acceso constante a ciertos recursos. 2 o más routers (referidos como routers VRRP) crean un cluster de Alta Disponibilidad (también referidos como Routers Virtuales) con fail-over dinámico Cada router puede participar en hasta 255 routers virtuales por interfaz La implementación de VRRP en MikroTik RouterOS es compatible con RFC2338

VRRP Una o más direcciones IP se pueden asignar a un router virtual Un nodo de un router virtual puede tener uno de los siguientes estados: Master Backup

VRRP (Master Backup) VRRP Master El router adquiere este estado cuando el nodo responde todos los requerimientos a la dirección IP Puede haber solo un nodo MASTER en un router virtual. Este nodo envía paquetes de aviso a todos los routers BACKUP (usando dirección multicast) cada cierto tiempo (este tiempo se configura en la opción interval) VRRP Backup No responde ningún requerimiento a las direcciones IP de la instancia. Si el MASTER se vuelve no-disponible (si al menos 3 paquetes secuenciales VRRP se pierden) se genera un proceso de elección y se proclama un nuevo MASTER basado en su prioridad.

VRRP - Notas VRRP no trabaja en interfaces VLAN ya que es imposible asegurar que la MAC-address de una VLAN sea diferente de la MAC-address del router virtual El máximo número de clusters en una red es 255 teniendo cada uno un único Virtual Router ID (VRID) Cada router que participa en un cluster VRRP debe tener asignada una prioridad

4) Ejemplos de implementación

VRRP: Implementación Básica

VRRP + Internet (router) Apoyo usando ECMP

VRRP + Internet (router) Apoyo usando ECMP Identificando problemas

VRRP + Internet (router) Apoyo usando ECMP + Bridge + STP

VRRP + Internet (router) Apoyo usando VRRP en 172.19.1.0

VRRP + Internet (router) Requerimiento de 2 Gateways en LAN

Preguntas Mauro Escalante mescalante@rediamerica.net mescalante@masteringmikrotik.com Mastering MikroTik / Rediamerica S.A. http:/// http://forum.masteringmikrotik.com/ http://www.rediamerica.net/