mikrotik mum 2009mum.mikrotik.com/presentations/ar09/airsat.pdf · •una historia común •ll...
TRANSCRIPT
MIKROTIK MUM 2009
Pablo de Chiara
• Presentación • Una historia comúnLl d d Mik tik• Llegada de Mikrotik
• VPNs y Caso de Éxito• BGP Routing y Caso de Éxito• Futuro con MPLS• Valor de la Comunidad
AGENDA
Pablo de [email protected]
15 años en el mercado de IT (soporte, consultoría, etc.)12 años como ISP12 años como ISP Certificado en Mikrotik desde 2006 Certificado Cisco (CCNA , AWLF, CSE for SB)Microsoft MCPAMP Net Connect
PRESENTACION
Áreas de trabajo
IP Services IT Services
PRESENTACION
Como empezar?
Formación
$$$$
UNA HISTORIA COMUN
Resignarse no era el camino….
UNA HISTORIA COMUN
En que terminamos….
Linux AP Antenas Cables SALUD Clientes
UNA HISTORIA COMUN
De pronto la pregunta incómoda… COMO SEGUIMOS?
Que podemos hacer con esa estructuraQue servicios podemos darle a nuestros clientesQue podemos garantizarQue burbuja explotaba primero?????Que burbuja explotaba primero?????
Linux AP Antenas Cables SALUD ClientesLinux AP Cables SALUD Clientes
UNA HISTORIA COMUN
Lo que encontramos en Mikrotik:• Estabilidad Un BOX que nos permitió• Flexibilidad• Herramientas• Desarrollo continuo• Compatibilidad ‐ RFC !!!!
Un BOX que nos permitió mirar
OUT of the BOXCompatibilidad ‐ RFC !!!!
• Precio / Calidad• Soporte / Comunidad
LLEGADA DE MIKROTIK
Donde esta Mikrotik en nuestra empresa hoy:
Mikrotik
IP Services IT Services
LA LLEGADA DE MIKROTIK
VPN: (Virtual Private Network) permite la extensión de una red local privada b d bli t l d E ió l b l d l it d d lsobre una red publica no controlada. Expansión global: mas de la mitad de las
compañías con mas de 50 empleados tiene 1 o mas VPNs. En el mundo el mercado de las VPN se llevo U$S 24.4 billones en 2007 y se espera una escalada a U$S 36 billones para el 2012. El negocio en USA alcanza lo s U$S 5 p gbillones.
Tunneling: proceso en donde un paquete completo es puesto dentro de otro y enviado a la red Ese paquete solo puede ser comprendido por los extremosenviado a la red. Ese paquete solo puede ser comprendido por los extremos del túnel. Autenticación: generalmente al inicio y después aleatoriamente durante la sesión dependiendo del tipo.
VPN
• Múltiples soluciones con Mikrotik:PPtP• PPtP: creado por US Robotics, Microsoft, 3Com, Ascent y ECI, soporta encriptación de
40 y 128bits y esquema de autentificación PPP. RAS Services. Basado en GRE (GenericRouting Encapsulation)
• L2tP: creado por los anteriores mas Cisco y la IETF, combina L2F(Cisco) . Soporta IPSEC.L2tP: creado por los anteriores mas Cisco y la IETF, combina L2F(Cisco) . Soporta IPSEC.
• IPSEC: remedia falencias de IP, provee confidencialidad, integridad, autenticidad y proteccion a repeticiones mediante dos protocolos Authentication Protocol (AH) y Encapsulated Security Payload (ESP)
• EoIP: Propietario de Mikrotik, encapsula tramas ethernet en paquetes GRE (como PPtP) . Posibilidad de bridgerar LANs sobre Internet, sobre túneles encriptados o redes wireless ad‐hoc.
VPN
http://wiki.mikrotik.com/wiki/Tunnels
• Múltiples soluciones con Mikrotik (Cont.):• Open VPN: B d SSL (S S k t L ) / TLS (T t L S it ) U• Open VPN: Basada en SSL (Secure Socket Layer) / TLS (Transport Layer Security). Una de las soluciones mas seguras, mas simple de configurar y con menos carga para los routers que IPSec por ejemplo. Cifrado asimétrico mediante clave publica y privada. Cliente GUI para Windows. CAC t tifi dCACert.org para crear certificados.
En 2004 SANS titulo “the SSL VPN Revolution”http://www.sans.org/reading room/whitepapers/vpns/openvpn and the ssl vpn revolution 1459?sp // g/ g_ / p p / p / p p _ _ _ _ p _ _how=1459.php&cat=vpns
http://wiki.mikrotik.com/wiki/Tunnels
VPN
OVPN
IPsec OpenVPNEstándar de la tecnología VPN Aun desconocida y no compatible con IPsec N
VSIPS
E
g y p
Plataformas de hardware (dispositivos, aparatos) Solo en computadoras, pero en todos los sistemas operativos disponibles
Tecnología conocida y probada Tecnología nueva y aun en crecimiento
Muchas interfaces gráficas disponiblesSin interfaces gráficas profesionales, aunque ya existen algunos proyectos prometedores EC
Modificación compleja del stack IP Tecnología sencilla
Necesidad de modificaciones críticas al kernel Interfaces de red y paquetes estandarizados
Necesidad de permisos de administrador Ejecuta en el espacio del usuario y puede ser chroot‐ed
Diferentes implementaciones de distintos proveedores pueden ser incompatibles entre si
Tecnologías de cifrado estandarizadasincompatibles entre si
Configuración compleja y tecnología complejaFacilidad, buena estructuración, tecnología modular y facilidad de configuración
Curva de aprendizaje muy pronunciada Fácil de aprender y éxito rápido para principiantes
Necesidad de uso de muchos puertos y protocolos en el firewall Utiliza solo un puerto del firewallp y p p
Problemas con direcciones dinámicas en ambas puntasTrabaja con servidores de nombres dinámicos como DynDNS o No‐IP con reconexiones rápidas y transparentes
SSL/TLS como estándar de criptografía
Control de tráfico (Traffic shaping)
Velocidad (más de 20 Mbps en máquinas de 1Ghz)
Compatibilidad con firewall y proxies
Ningún problema con NAT (ambos lados puede ser redes NATeadas)
Posibilidades para road warriors
• Múltiples soluciones con Mikrotik (Cont.):• VPLS: (Vi t l LAN P i t S i ) P it f LAN t t P it• VPLS: (Virtual LAN Private Service) Permite ofrecer LANs transparentes. Permite extender la red en L2. Es usada como un pseudo‐wire y puede funcionar sobre IP o MPLS, incluso sobre GRE. Permite conectividad multipunto. Sobre MPLS combina la simplicidad del un backbone ethernet y la seguridad y escalabilidad de MPLS.
VPN
Cliente: Cadena de hoteles líder
Ubicación: Cordoba, Buenos Aires, Mar del Plata, Resistencia, Catamarca, Villa Mercedes, San Luis, Iguazú
Situacion: Sistemas descentralizados, alto costos en enlaces punto a punto, dispersión de información, algunos intentos de integración exponiendo servidores
Objetivo: Centralizar sistema de información, información corporativa organizada, Implementación de intranet
CASO DE EXITO: VPN
CASO DE EXITO: VPN
Solución: Dos accesos a internet de diferentes proveedores dedicado y de alta disponibilidad en el nodo central Dimensionado de Internet en los puntos satélitesdisponibilidad en el nodo central. Dimensionado de Internet en los puntos satélites analizando la criticidad y oferta en los sitios.
Mikrotik en cada punta critica y túneles permanentes
Accesos por discado desde las puntas secundarias
Objetivos Secundarios: control de internet, aprovechamiento de ancho de banda porObjetivos Secundarios: control de internet, aprovechamiento de ancho de banda por proveedores mas económicos, scripts para automatización ante caídas. HOTSPOT en el mismo BOX !!!
CASO DE EXITO:VPN
BGP
Protocolo de routeo entre sistemas autónomos. Dos routers (peers) se conectan via TCP (179) para intercambiar información de routeo.Inicialmente los peers intercambian todas sus rutas después updatean incrementalmente.No necesita refrescos completos de las rutas. Se envían mensajes Keep alive para asegurarse las conexiones. eBGP: Entre peers con AS diferente iBGP: vecinos en el mismo AS, no anuncia rutas aprendidas por iBGP
BGP
Situación: Múltiples proveedores, problemas de ultima milla. Problemas que no dependen de soluciones propias
Objetivo: Implementar BGP, direccionamiento IP propio, mantener lo heredado. Aprovechar los diferentes lugares donde los proveedores dan servicio. Ofrecer faulttolerance y balanceo de cargatolerance y balanceo de carga.
Solución con Mikrotik: alto grado de compatibilidad con los proveedores que mayormente usan Cisco. Funcionamiento estable. Experiencia con routing‐test. OS
!V4.x!
http://wiki.mikrotik.com/wiki/Routing
CASOS DE EXITO: BGP
•Soluciones:
• Multihomed BGP para los proveedores externos. Prependeo. • Balanceo de carga por tipo de trafico o seteando multiples next‐hop• Implementación iBPG interno. • Scripting para caídas de proveedoresScripting para caídas de proveedores.• Plan de contingencias
CASOS DE EXITO: BGP
CASOS DE EXITO: BGP
MPLS: Multi Protocol Label Switching
•Layer 2.5 (o entre L2 y 3 para tecnologia basadas en frames. Campos VPI y VCI para ATM o tecnologia basada en celdas)•Las decisiones de forwarding no están basadas en el encabezado IP o las tablas de routing sino en el contenido de un labelrouting sino en el contenido de un label.•Inserta labels (32 bits) en frames conteniendo información que indica a cada routercomo forwardearlo hacia el destino. •Es mas rápido que ip porque combina lo mejor de L2 y 3 (intercambio de labels) Ademas cambia routing tables por forwarding tables.• Su principal objetivo es crear redes flexibles y escalables incluyendo Ingeniería de Trafico, QoS con multiples Clases de Servicios (CoS)
FUTURO: MPLS ‐ DEFINICIONES
IP ATMIP ATM
MPLS
FUTURO: MPLS
MPLSS ‐H
EADERR
LDP: Protocolo de distribución de labelsLSR: Label Switch Router: Router que conmuta etiquetas. LER: Label Edge Router: Es donde cada paquete es etiquetado y clasificado al ingreso d d l ti t l lidy donde se remueven las etiquetas a la salida
LSP: Camino o túnel MPLS establecido entre dos extremos. FEC: nombre que se le da al trafico que se encamina bajo una etiqueta. Son conjunto de paquetes que son tratados de la misma forma por el router. p q q p
FUTURO: MPLS – COMPONENTES BASICOS
MPLSS
•Network performance•Traffic engineeringg g•Soluciones de VPN L2, mas escalables, menos costos que alternativas como IPSec, ATM o Frame Relay ademas agrega QoS•Calidad de Servicio•Redundancia•Redundancia•Failover•BGP •Se puede armar una red de transporte universal e integrar redes diversas
FUTURO: MPLS – SOLUCIONES
•La conmutación basada en etiquetas debería ser mas rápida porque requiere menos procesamiento y es posible implementarla por hardware, pero el desarrollo de p y p p p , palgunas tecnologías han hecho posible que la conmutación basada en IP pueda ser tan rápida como la basada en etiquetas.• Según algunos tests MPLS es 2x mas rápido que ip forwarding y 60 % mas rápido que EoIP sobre una red routeadaque EoIP sobre una red routeada.•Las VPNs basadas en MPLS suelen quedar confinadas a un solo proveedor que las soporte. Hoy casi todos los proveedores tienen o están implementando•La alternativa es LSTPv3 que esta en draft:
http://www.ripe.net/ripe/meetings/ripe‐42/presentations/ripe42‐eof‐pseudowires2/sld001.html
FUTURO: MPLS – CONSIDERACIONES
“Cisco has tons of experts, We (Mikrotik users) have a h it ”huge community”
http://wiki mikrotik comhttp://wiki.mikrotik.comhttp://forum.mikrotik.com
COMUNIDAD
Muchas GraciasMuchas Gracias
FIN