"Облачные виртуальные маршрутизаторы. MikroTik как альтернатива Cisco CSR". Доклад Алексея Котова, администратора сети в gigacloud.ua, в рамках ІТ-пятницы в октябре 2018 года.

1. РАЗДЕЛЯЙ И ВЛАСТВУЙ:
ОБЛАЧНЫЕ ВИРТУАЛЬНЫЕ МАРШРУТИЗАТОРЫ.
MIKROTIK КАК АЛЬТЕРНАТИВА
CISCO CSR.
ХМАРИ – ЦЕ
Алексей Котов, GigaCloud

2. О чем пойдет речь:
- Варианты виртуальных маршрутизаторов.
- CHR (Cloud Hosted Router) - особенности и принципы применения.
- Winbox как интерфейс взаимодействия с оборудованием.
- Обновление и лицензирование операционной системы RouterOS.
- Проприетарные протоколы MikroTik.
- Полезные возможности RouterOS.
- Подводные камни и как с ними бороться.

3. VyOS is an open source network OS
• Может быть установлен как на железе так
и в виртуальной среде.
• Поддерживает 64-bit архитектуру
• Based on GNU/Linux
• Для скачивания доступна в виде: VmWare
.ova file & .iso file (Last version 1.1.8)

4. The BIRD Internet Routing Daemon
The BIRD project aims to develop a
fully functional dynamic IP routing
daemon primarily targeted on (but not
limited to) Linux, FreeBSD and other
UNIX-like systems and distributed under
the GNU General Public License.
* Both IPv4 and IPv6
* Multiple routing tables
* BGP, RIP, OSPF
* BFD
* Babel
* Static routes
* IPv6 Router Advertisements
* Inter-table protocol
* Command-line interface (using the `birdc' client; to get
some help, just press `?’)
* Powerful language for route filtering
* Linux, FreeBSD, NetBSD, OpenBSD ports
* 22.3.2018 - New releases 2.0.2

5. Cisco Cloud Services Router 1000V Series -
(CSR)
• Cisco IOS XE Software v16.6.4 (09-07-2018)
• To Download this software, you must ”Log In” and have a valid
service contract associated to your Cisco.com profile.
• CSR can be supported on any x86 hardware that the virtualization
platform supports.
• Разворачивается в виде виртуальной машины (VM).

6. Juniper Networks vMX Virtual Router
• vMX работает на Junos® v18.2R1 (29.06.2018)
• Для скачивания необходим аккаунт в Juniper.
• available as licensed software for deployment on x86-based
servers.
• 60-day trial license key, unlimited-bandwidth vMX trial
• Разворачивается в виде виртуальной машины (VM).
Минимальные требования*
15 Гб HDD
4 vCPU
*calculated for AWS

7. MikroTik CHR (Cloud Hosted Router)
• RouterOS, работающая внутри
виртуальной машины
• Поддерживает 64-bit архитектуру
• Можно запустить на разных
гипервизорах: VMWare, Hyper-V,
VirtualBox, KVM и др.
• Можно скачать с официального сайта
даже без регистрации
Минимальные требования
128 Мб HDD
64bit CPU with virtualization support
128 Мб RAM

8. О компании MikroTik
Латвийская компания, производящая как сетевое оборудование, так
и операционные системы для этого оборудования.
Hardware:
• радиооборудование;
• маршрутизаторы;
• коммутаторы.
Маршрутизаторы:
• физические (на базе RouterBoard);
• виртуальные.
Работают под одной ОС – MikroTik
RouterOS.
Виртуальные роутеры:
• на базе физич. сервера х86
• на базе гипервизора - (CHR)
х64

9. CHR (Cloud Hosted Router)
Основные форматы установочных файло
* RAW disk image (.img file)
* VmWare disk image (.vmdk file)
* OVA template (.ova file) - for
VmWare.
* Hyper-V disk image (.vhdx file)
* VirtualBox disk image (.vdi file)

10. Интерфейсы взаимодействия с оборудованием
Прост, понятен, удобен.
(Так же доступен под
Android)
Использование сессий дает
дополнительную гибкость.
Удобен для больших
конфигов, практически
повторяет сруктуру
winbox’a.
Копия winbox’a, но не
очень удобен.
Winbox - GUI Telnet,ssh - CLI Web – GUI:

11. Интерфейсы взаимодействия с
оборудованием
• snmp (мониторинг +
частичное
управление)
• api (для интеграции с
билинговыми
системами +
пользовательскими
приложениями)
• mac telnet:
спасает, когда
совсем печаль :)

12. Проприетарные протоколы: EoIP, Nstreme,
NV2…
Ethernet over IP (EoIP) - L2 через L3 vpn.
1. EoIP не работает через NAT. IP адреса обеих сторон должны
быть маршрутизируемы.
2. The EoIP туннель может быть запущен через IPIP или PPTP
туннель или любое другое соединение, которое позволяет
использует транспорт IP.
3. EoIP использует GRE в качестве транспорта, так что нужно
следить за MTU.
Особенность для ESXI:
Включите Promiscuous mode на порт группе
или виртуальном свиче.
Nstreme & NV2 - wireless protocols (улучшают
качество, скорость, пропускную способность
и дальность беспроводных соединений точка-
точка и точка-многоточка)

13. Возможности RouterOS
1. Unnumbered address (/32 для каждого клиента в
отдельном интерфейсе)
2. Возможность подключить несколько разных ISP и
сделать их одновременно активными за счет
маркировки трафика.
3. Routing: bgp, ospf, rip.
4. VRF (Virtual Routing and Forwarding) - виртуальный
"маршрутизатор", Базируется на policy routing,
обеспечивает изоляцию таблиц маршрутизации,
подключенных в него интерфейсов и
др.параметров.
5. Bonding (агрегация нескольких физических
интерфейсов в один логический)
6. IPv6
7. Hotspot
8. Recursive DNS
9. Шейпинг и приоритизация трафика.
10. Свой язык скриптования (похож на Python)
11. Наличие Bandwith test server и client
12. Возможность сниферить трафик при помощи утилиты
Torch.
13. FHRP (VRRP)
14. First hop redundancy protocol — семейство протоколов,
используемых для повышения отказоустойчивости сети
путём резервирования шлюза локальной сети.
15. Virtual router redundancy protocol — протокол
резервирования виртуального маршрутизатора
16. VPN:
• peer to peer: IP-IP, GRE, IPsec, EoIP;
• remote access vpn: PPPoE, PPTP, SSTP, L2TP, OVPN;
• L2 over L3: EoIP, OVPN

14. Layer3 VPNs & Layer2 VPNs
MPLS (multiprotocol label switching) – многопротокольная коммутация по меткам
В основном используется крупными провайдерами.
Предоставляет сервисы:
* Virtual Private Networking (VPN) - MPLS BGP L3 VPN – достигается за счет Multiprotocol BGP(MP-BGP) + VRFs.
В MP-BGP разные протоколы называются address families, в RouterOS поддерживаются: IP, IPv6, L2VPN, VPN4 & Cisco style L2VPN.
* Traffic Engineering (TE) – устанавливает/поддерживает туннель с использованием RSVP (протокол резервирования ресурсов) +
СSFP (Constrained Shortest Path First - алгоритм расчета пути между Ingress LSR & Egress LSR).
Можно задавать требуемую полосу пропускания, мин.допустимую ширину, тип линии и даже узлы, через которые LSP должен пролегать).
Особенности ТЕ:
1. RSVP адаптирует под себя протоколы динамической маршрутизации основанные на алгоритмах по состоянию связи (link-state): OSPF, IS-IS.
2. RSVP TE туннели являются однонаправленными, по этому строить их нужно с обеих сторон.
3. TE работает только в пределах одной осласти IGP (в пределах одной area в ospf)
* Quality of Service (QoS)
* Any Transport over MPLS (AToM) – возможность инкапсулировать трафик любого канального уровня в MPLS.
Примером является VPLS (Virtual Private LAN Service), также называющийся как L2VPN или EoMPLS. Для автоматизации используют BGP VPLS.

15. Обновление RouterOS
Прошивки, начиная с 6-й версии имеют три основных направления:
Bugfixed-only, сейчас уже 6.42.9 (Long-term) – самая стабильная версия.
(Bugfixed-only version is the most stable release without new features, just most important
fixes.)
Current, сейчас 6.43.2 (Stable) – текущая версия.
(Current includes the same fixes plus improvements and new features. Once a current release
has been tested for several months, it is promoted to bugfix-only and is no longer updated
with features.)
Release candidate, сейчас 6.44beta14 (Testing) – самая нестабильная версия.
(Release candidate released a few times per week. Includes newest features, released
without intensive testing. Not recommended for production.)
Recommended

16. Обновление RouterOS
Автоматическое:
кнопка "System"/"Packages"/"Check for Updates"/"Download & Install"
Тут главное чтобы были указаны DNS

17. Обновление RouterOS
В ручном режиме:
1. Заливка пакетов любым из способов в корневой каталог
роутера:
• Winbox – drag and drop files to the Files menu
• WebFig - upload files from Files menu
• FTP - upload files to root directory
• The Dude – See manual.
2. Перезагрузка роутера – пакеты устанавливаются,
установочные файлы удаляются.
3. Если нужно понизить понизить версию – нажать кнопку
Downgrade
4. После обновления пакетов обновить bootloader:
When using a RouterBOARD device, it is always suggested to
upgrade it's RouterBOOT bootloader after RouterOS is
upgraded. To do this, issue the command “/system
routerboard upgrade”
* RouterOS cannot be upgraded through serial cable.

18. Лицензирование RouterOS для CHR
Лицензия ограничивает только пропускную способность
физических(логических) портов.
License Speed limit Price
Free 1Mb FREE
P1 1Gbit $45
P10 10Gbit $95
P-Unlimited Unlimited $250
60-day free trial license is available for all paid license levels.

19. Подводные камни и полезные советы
1. После работы с виртуальными внешними
интерфейсами:
• внутренние интерфейсы могут меняться
местами;
• необходимо делать reset-mac-address.
2. Не изменять размер виртуального диска,
иначе слетит лицензия.
3. Необходимо закрывать 53-й порт на внешнем
интерфейсе, если включен Recursive DNS.
4. Обработка маршрутной информации от
динамических протоколов до сих пор
осуществляется одним ядром.
5. Невозможно попасть на маршрутизатор через
интерфейс в VRF по L3, но можно попасть по L2,
в связи с чем необходимо отключить:
/tool mac-server на vrf интерфейсах
/ip neighbor discovery interface/

20. Cпасибо за внимание!