Implementando Mikrotik en una metodología de diseño de...
Transcript of Implementando Mikrotik en una metodología de diseño de...
Implementando Mikrotik en una red con Topología “Top Down”para construir redes flexibles y
administrables
VRRP
www.masteringmikrotik.com
Presentación
• Mauro Escalante• Rediamérica S.A (Gerente de Networking)• Mastering MikroTik (Vicepresidente de IT)• Guayaquil, Ecuador• [email protected]• [email protected]
• Experiencia • Experiencia MikroTik desde 2006• MikroTik Certified Trainer• Especilidad: Análsis y Troubleshooting de redes
www.masteringmikrotik.com
Temario
1. Características de un buen diseño de red2. Modelo Jerárquico (Topología Top-Down)3. Implementación con MikroTik RouterOS4. Ejemplos
Objetivos principales:• Fortalecer conceptos de Diseño de red• Aplicación rápida, sencilla y efectiva de VRRP
www.masteringmikrotik.com
1) Características de un buen diseño de red
• Una red bien diseñada debe cumplir 3 requisitos fundamentales:
a) Administrable
b) Segura
c) Confiable
• Requisitos se cumplen con MikroTik RouterOS
www.masteringmikrotik.com
(a) Diseño: Red Administrable
• Todos los dispositivos de concentración deben ser accesibles a la administración y monitoreo
–Gateways/routers–Switches de distribución–Switches de acceso
• Requerimiento mínimo: monitoreo y revisión de estadísticas de desempeño:
– CPU– Memoria– Estadísticas de puertos
www.masteringmikrotik.com
Diseño: Administrable - Gestión
• Administración– Herramienta de Gestión/Administración
• What’s Up ($$$)
• Solarwinds ($$$$)
• Link Analyst ($$$$)
• The Dude (FREE)
www.masteringmikrotik.com
Diseño: Administrable - Gestión
• Qué obtenemos?– Layout de la red (LAN/WAN/WLAN)
– Conocimiento de los tipos de servicio
– Dispositivos, monitoreo de enlaces, notificaciones
– Soporte de monitoreo SNMP, ICMP, DNS y TCP
– Monitoreo estadístico y gráfico de los enlaces
– Acceso directo remoto a las herramientas de control
www.masteringmikrotik.com
(b) Diseño: Red Segura
• Seguridad basada en controles y niveles de acceso a:– Servidores
• Mail• Bases de Datos• File Servers
– Servicios de red• Impresoras• Dispositivos de almacenamiento en red
– Servicios de acceso• Internet• Oficinas remotas
www.masteringmikrotik.com
Diseño: Red Segura - Implementación
• Niveles de control y acceso en las diferentes zonas
–Reglas de Firewall, NAT
–Segmentación de red en L3
–Segmentación con VLANs
–VPNs
–Access Lists
–RADIUS server
www.masteringmikrotik.com
(c) Diseño: Red Confiable
• La confibilidad depende principalmente de dos aspectos:
–Escalabilidad
–Capacidad de fail-over
www.masteringmikrotik.com
Diseño: Red Confiable – Escalabilidad
• Escalabilidad: “La forma en que se diseñó la red debe permitir que su expansión se ejecute al menor costo y con poco o ningún período de offline, ya sea que se ingresen 10 o 1000 nuevos clientes a la red”
• 1000 = quizá un poco irreal, pero no es descabellado
www.masteringmikrotik.com
Diseño: Red Confiable – Escalabilidad
www.masteringmikrotik.com
Diseño: Red Confiable – Fail Over
• Fail Over: La falla en cualquiera de los equipos neurálgicos de la red (gateways y switches de distribución) NO debe afectar el normal y contínuo funcionamiento de todos los servicios indispensables de la red
• Cual es un punto de quiebre de la red en un diseño tradicional?
www.masteringmikrotik.com
Diseño: Red Confiable – Fail Over• Gateway = talón de Aquiles de la red
• Posible solución: Asignar otro gateway en los clientes manipulando el Metric.
• Que ocurre si hay muchos usuarios?
www.masteringmikrotik.com
Diseño: Red Confiable – Fail Over• SW Acceso = la falla en un switch de
acceso corta el acceso a los servicios o los inhabilita.
• Posible solución: – Reset equipo – Cambio de equipo
www.masteringmikrotik.com
Diseño: MikroTik RouterOS
• MikroTik RouterOS nos permite cubrir todos estos puntos
a) Administrableb) Segurac) Confiable
• Nos vamos a concentrar en CONFIABILIDAD/FAIL-OVER
• Necesitamos establecer el diseño de red–Modelo Jerárquico / Topología “Top Down”
www.masteringmikrotik.com
2) Modelo Jerárquico (Topología Top-Down)
www.masteringmikrotik.com
• Fail-over en Core– VRRP
• Fail-over en Distribución– Spanning Tree
• STP
• RSTP
• VRRP es un protocolo usado para asegurar el acceso constante a ciertos recursos.
• 2 o más routers (referidos como routers VRRP) crean un cluster de Alta Disponibilidad (tambiénreferidos como Routers Virtuales) con fail-over dinámico
• Cada router puede participar en hasta 255 routers virtuales por interfaz
• La implementación de VRRP en MikroTikRouterOS es compatible con RFC2338
www.masteringmikrotik.com
3) Implementación VRRP con MikroTik
• Una o más direcciones IP se pueden asignar a un router virtual
• Un nodo de un router virtual puede tener unode los siguientes estados:
–Master
–Backup
www.masteringmikrotik.com
VRRP
VRRP (Master – Backup)
• VRRP Master– El router adquiere este estado cuando el nodo responde todos
los requerimientos a la dirección IP– Puede haber solo un nodo MASTER en un router virtual. Este
nodo envía paquetes de aviso a todos los routers BACKUP (usando dirección multicast) cada cierto tiempo (este tiempo se configura en la opción interval)
• VRRP Backup– No responde ningún requerimiento a las direcciones IP de la
instancia.– Si el MASTER se vuelve no-disponible (si al menos 3 paquetes
secuenciales VRRP se pierden) se genera un proceso de eleccióny se proclama un nuevo MASTER basado en su prioridad.
www.masteringmikrotik.com
VRRP - Notas
• VRRP no trabaja en interfaces VLAN ya que esimposible asegurar que la MAC-address de una VLAN sea diferente de la MAC-address del router virtual
• El máximo número de clusters en una red es255 teniendo cada uno un único Virtual Router ID (VRID)
• Cada router que participa en un cluster VRRP debe tener asignada una prioridad
www.masteringmikrotik.com
4) Ejemplos de implementación
www.masteringmikrotik.com
VRRP: Implementación Básica
www.masteringmikrotik.com
VRRP + Internet (router)Apoyo usando ECMP
www.masteringmikrotik.com
VRRP + Internet (router)Apoyo usando ECMP – Identificando problemas
www.masteringmikrotik.com
VRRP + Internet (router)Apoyo usando ECMP + Bridge + STP
www.masteringmikrotik.com
VRRP + Internet (router)Apoyo usando VRRP en 172.19.1.0
www.masteringmikrotik.com
www.masteringmikrotik.com
VRRP + Internet (router)Requerimiento de 2 Gateways en LAN
www.masteringmikrotik.com
www.masteringmikrotik.com
Preguntas
Mauro [email protected]@masteringmikrotik.comMastering MikroTik / Rediamerica S.A.
http://www.masteringmikrotik.com/http://forum.masteringmikrotik.com/http://www.rediamerica.net/
www.masteringmikrotik.com