MIKROTIK  MUM  2009

Pablo de Chiara

• Presentación • Una historia comúnLl d d Mik tik• Llegada de Mikrotik

• VPNs y Caso de Éxito• BGP Routing y Caso de Éxito• Futuro con MPLS• Valor de la Comunidad

AGENDA

Pablo de Chiarapdechiara@airsat.com.ar

15 años en el mercado de IT (soporte, consultoría, etc.)12 años como ISP12 años como ISP Certificado en Mikrotik desde 2006 Certificado Cisco (CCNA , AWLF, CSE for SB)Microsoft MCPAMP Net Connect

PRESENTACION

Áreas de trabajo

IP Services IT Services

PRESENTACION

Como empezar?

Formación

$$$$

UNA HISTORIA COMUN

Resignarse no era el camino….

UNA HISTORIA COMUN

En que terminamos….

Linux AP Antenas Cables SALUD Clientes

UNA HISTORIA COMUN

De pronto la pregunta incómoda…  COMO SEGUIMOS?

Que podemos hacer con esa estructuraQue servicios podemos darle a nuestros clientesQue podemos garantizarQue burbuja explotaba primero?????Que burbuja explotaba primero?????

Linux AP Antenas Cables SALUD ClientesLinux AP Cables SALUD Clientes

UNA HISTORIA COMUN

Lo que encontramos en Mikrotik:• Estabilidad Un BOX que nos permitió• Flexibilidad• Herramientas• Desarrollo continuo• Compatibilidad ‐ RFC !!!!

Un BOX que nos permitió mirar 

OUT of the BOXCompatibilidad  ‐ RFC !!!!

• Precio / Calidad• Soporte / Comunidad

LLEGADA DE  MIKROTIK

Donde esta Mikrotik en nuestra empresa hoy:

Mikrotik

IP Services IT Services

LA  LLEGADA DE  MIKROTIK

VPN:  (Virtual Private Network) permite la extensión de una red local privada b d bli t l d E ió l b l d l it d d lsobre una red publica no controlada.  Expansión global: mas de la mitad de las 

compañías con mas de 50 empleados tiene 1 o mas VPNs. En el mundo el mercado de las VPN se llevo U$S 24.4 billones en 2007 y se espera una escalada a U$S 36 billones para el 2012. El negocio en USA alcanza lo s U$S 5 p gbillones.

Tunneling: proceso en donde un paquete completo es puesto dentro de otro y enviado a la red Ese paquete solo puede ser comprendido por los extremosenviado a la red.  Ese paquete solo puede ser comprendido por los extremos del túnel. Autenticación: generalmente al inicio y después aleatoriamente durante la sesión dependiendo del tipo.

VPN

• Múltiples soluciones con Mikrotik:PPtP• PPtP: creado por US Robotics, Microsoft, 3Com, Ascent y ECI, soporta  encriptación de 

40 y 128bits y esquema de autentificación PPP. RAS Services. Basado en GRE (GenericRouting Encapsulation)

• L2tP: creado por los anteriores mas Cisco y la IETF, combina L2F(Cisco) . Soporta IPSEC.L2tP: creado por los anteriores mas Cisco y la IETF, combina L2F(Cisco) . Soporta IPSEC.   

• IPSEC: remedia falencias de IP, provee confidencialidad, integridad, autenticidad y proteccion a repeticiones mediante dos protocolos Authentication Protocol (AH) y Encapsulated Security Payload (ESP)

• EoIP: Propietario de Mikrotik, encapsula tramas ethernet en paquetes GRE (como PPtP) . Posibilidad de bridgerar LANs sobre Internet, sobre túneles encriptados o redes wireless ad‐hoc. 

VPN

http://wiki.mikrotik.com/wiki/Tunnels

• Múltiples soluciones con Mikrotik (Cont.):• Open VPN: B d SSL (S S k t L ) / TLS (T t L S it ) U• Open VPN: Basada en SSL (Secure Socket Layer) / TLS (Transport Layer Security). Una de las soluciones mas seguras, mas simple de configurar y con menos carga para los routers que IPSec por ejemplo.  Cifrado asimétrico mediante clave publica y privada. Cliente GUI para Windows.  CAC t tifi dCACert.org para crear certificados.

En 2004 SANS titulo “the SSL VPN Revolution”http://www.sans.org/reading room/whitepapers/vpns/openvpn and the ssl vpn revolution 1459?sp // g/ g_ / p p / p / p p _ _ _ _ p _ _how=1459.php&cat=vpns

http://wiki.mikrotik.com/wiki/Tunnels

VPN

OVPN

IPsec OpenVPNEstándar de la tecnología VPN Aun desconocida y no compatible con IPsec N

  VSIPS

E

g y p

Plataformas de hardware (dispositivos, aparatos) Solo en computadoras, pero en todos los sistemas operativos disponibles

Tecnología conocida y probada Tecnología nueva y aun en crecimiento

Muchas interfaces gráficas disponiblesSin interfaces gráficas profesionales, aunque ya existen algunos proyectos prometedores EC

Modificación compleja del stack IP Tecnología sencilla

Necesidad de modificaciones críticas al kernel Interfaces de red y paquetes estandarizados

Necesidad de permisos de administrador Ejecuta en el espacio del usuario y puede ser chroot‐ed

Diferentes implementaciones de distintos proveedores pueden ser incompatibles entre si

Tecnologías de cifrado estandarizadasincompatibles entre si

Configuración compleja y tecnología complejaFacilidad, buena estructuración, tecnología modular y facilidad de configuración

Curva de aprendizaje muy pronunciada Fácil de aprender y éxito rápido para principiantes

Necesidad de uso de muchos puertos y protocolos en el firewall Utiliza solo un puerto del firewallp y p p

Problemas con direcciones dinámicas en ambas puntasTrabaja con servidores de nombres dinámicos como DynDNS o No‐IP con reconexiones rápidas y transparentes

SSL/TLS como estándar de criptografía

Control de tráfico (Traffic shaping)

Velocidad (más de 20 Mbps en máquinas de 1Ghz)

Compatibilidad con firewall y proxies

Ningún problema con NAT (ambos lados puede ser redes NATeadas)

Posibilidades para road warriors

• Múltiples soluciones con Mikrotik (Cont.):• VPLS: (Vi t l LAN P i t S i ) P it f LAN t t P it• VPLS: (Virtual LAN Private Service) Permite ofrecer LANs transparentes. Permite extender la red en L2. Es usada como un pseudo‐wire y puede funcionar sobre IP o MPLS, incluso sobre GRE. Permite conectividad multipunto. Sobre MPLS combina la simplicidad del un backbone ethernet y la seguridad y escalabilidad de MPLS. 

VPN

Cliente: Cadena de hoteles líder 

Ubicación: Cordoba, Buenos Aires, Mar del Plata,  Resistencia, Catamarca, Villa Mercedes, San Luis, Iguazú

Situacion:   Sistemas descentralizados,  alto costos en enlaces punto a punto, dispersión de información, algunos intentos de integración exponiendo servidores

Objetivo: Centralizar sistema de información,  información corporativa organizada, Implementación de intranet

CASO DE  EXITO:  VPN

CASO DE  EXITO:  VPN

Solución:  Dos accesos a internet de diferentes proveedores dedicado y de alta disponibilidad en el nodo central Dimensionado de Internet en los puntos satélitesdisponibilidad en el nodo central. Dimensionado de Internet en los puntos satélites analizando la criticidad y oferta en los sitios.  

Mikrotik en cada punta critica y túneles permanentes

Accesos  por discado desde las puntas secundarias

Objetivos Secundarios: control de internet, aprovechamiento de ancho de banda porObjetivos Secundarios: control de internet, aprovechamiento de ancho de banda por proveedores mas económicos, scripts para automatización ante caídas. HOTSPOT en el mismo BOX !!!

CASO DE  EXITO:VPN

BGP

Protocolo de routeo entre sistemas autónomos. Dos routers (peers) se conectan via TCP (179) para intercambiar información de routeo.Inicialmente los peers intercambian todas sus rutas después updatean incrementalmente.No necesita refrescos completos de las rutas. Se envían mensajes Keep alive para asegurarse las conexiones. eBGP: Entre peers con AS diferente iBGP: vecinos en el mismo AS, no anuncia rutas aprendidas por iBGP

BGP

Situación:  Múltiples proveedores, problemas de ultima milla. Problemas que no dependen de soluciones propias

Objetivo: Implementar BGP, direccionamiento IP propio, mantener lo heredado. Aprovechar los diferentes lugares donde los proveedores dan servicio. Ofrecer faulttolerance y balanceo de cargatolerance y balanceo de carga.

Solución con Mikrotik: alto grado de compatibilidad con los proveedores que mayormente usan Cisco. Funcionamiento estable. Experiencia con routing‐test. OS 

!V4.x!

http://wiki.mikrotik.com/wiki/Routing

CASOS DE  EXITO:  BGP

•Soluciones: 

• Multihomed BGP para los proveedores externos. Prependeo. • Balanceo de carga por tipo de trafico o seteando multiples next‐hop• Implementación iBPG interno. • Scripting para caídas de proveedoresScripting para caídas de proveedores.• Plan de contingencias 

CASOS DE  EXITO:  BGP

CASOS DE  EXITO:  BGP

MPLS: Multi Protocol Label Switching

•Layer 2.5 (o entre L2 y 3 para tecnologia basadas en frames. Campos VPI y VCI para ATM o tecnologia basada en celdas)•Las decisiones de forwarding no están basadas en el encabezado IP o las tablas de routing sino en el contenido de un labelrouting sino en el contenido de un label.•Inserta labels (32 bits) en frames conteniendo información que indica a cada routercomo forwardearlo hacia el destino. •Es mas rápido que ip porque combina lo mejor de L2 y 3 (intercambio de labels) Ademas cambia routing tables por forwarding tables.• Su principal objetivo es crear redes flexibles y escalables incluyendo Ingeniería de Trafico, QoS con multiples Clases de Servicios (CoS)

FUTURO:  MPLS   ‐ DEFINICIONES

IP ATMIP ATM

MPLS

FUTURO:  MPLS

MPLSS ‐H

EADERR

LDP: Protocolo de distribución de labelsLSR: Label Switch Router:  Router que conmuta etiquetas. LER: Label Edge Router: Es donde cada paquete es etiquetado y clasificado al ingreso d d l ti t l lidy donde se remueven las etiquetas a la salida 

LSP: Camino o túnel MPLS establecido entre dos extremos. FEC: nombre que se le da al trafico que se encamina bajo una etiqueta. Son conjunto de paquetes que son tratados de la misma forma por el router.  p q q p

FUTURO:  MPLS  – COMPONENTES BASICOS

MPLSS

•Network performance•Traffic engineeringg g•Soluciones de VPN L2, mas escalables, menos costos que alternativas como IPSec, ATM o Frame Relay ademas agrega QoS•Calidad de Servicio•Redundancia•Redundancia•Failover•BGP •Se puede armar una red de transporte universal e integrar redes diversas

FUTURO:  MPLS  – SOLUCIONES

•La conmutación basada en etiquetas debería ser mas rápida porque requiere menos procesamiento y es posible implementarla por hardware, pero el desarrollo de p y p p p , palgunas tecnologías han hecho posible que la conmutación basada en IP pueda ser tan rápida como la basada en etiquetas.• Según algunos tests MPLS es 2x mas rápido que ip forwarding y 60 % mas rápido que EoIP sobre una red routeadaque EoIP sobre una red routeada.•Las VPNs basadas en MPLS suelen quedar confinadas a un solo proveedor que las soporte. Hoy casi todos los proveedores tienen o están implementando•La alternativa es LSTPv3 que esta en draft:

http://www.ripe.net/ripe/meetings/ripe‐42/presentations/ripe42‐eof‐pseudowires2/sld001.html

FUTURO:  MPLS  – CONSIDERACIONES

“Cisco has tons of experts, We (Mikrotik users) have a h it ”huge community”

http://wiki mikrotik comhttp://wiki.mikrotik.comhttp://forum.mikrotik.com

i @ lisparg@googlegroups.com

COMUNIDAD

Muchas GraciasMuchas Gracias 

FIN