Dziewiąta prezentacja kursu stanowi zwieńczenie całego cyklu szkoleniowego, łącząc zaawansowane technologie routingu z syntezą wcześniej zdobytej wiedzy. BGP jako protokół typu path vector odgrywa kluczową rolę w łączeniu niezależnych systemów autonomicznych, umożliwiając wymianę informacji o dostępności sieci na skalę globalną. VRF wprowadza koncepcję wirtualizacji tablicy routingu, co pozwala na izolację ruchu sieciowego bez konieczności stosowania osobnych urządzeń fizycznych. Policy Routing rozszerza możliwości decyzyjne routera poza standardowy routing oparty na adresie docelowym.

Wszystkie trzy technologie są dostępne w systemie MikroTik RouterOS w wersji 7 i nowszych, a ich konfiguracja wymaga zrozumienia zarówno podstaw teoretycznych, jak i praktycznej składni poleceń. Synteza kursu obejmuje osiem kluczowych koncepcji, które zostały szczegółowo omówione w poprzednich ośmiu prezentacjach. Znajomość tych zagadnień stanowi solidny fundament do dalszego rozwoju w kierunku profesjonalnych certyfikacji sieciowych.

Niniejsza prezentacja dzieli się na dwie zasadnicze części o odmiennym charakterze merytorycznym. Pierwsza część koncentruje się na trzech zaawansowanych technologiach dostępnych w RouterOS: BGP odpowiedzialnym za routing między systemami autonomicznymi, VRF zapewniającym izolację na poziomie warstwy trzeciej oraz Policy Routing umożliwiającym precyzyjne sterowanie ruchem sieciowym. Każda z tych technologii została omówiona zarówno od strony koncepcyjnej, jak i praktycznej z uwzględnieniem składni poleceń właściwej dla RouterOS w wersji 7.

Druga część prezentacji stanowi retrospektywę całego kursu, zestawiając osiem fundamentalnych koncepcji w jedną spójną całość. Szczególny nacisk położono na zrozumienie uniwersalności tych koncepcji niezależnie od platformy sprzętowej. Wskazówki dotyczące dalszego rozwoju zawodowego kierują absolwenta kursu w stronę certyfikacji CCNA oraz MTCNA.

Border Gateway Protocol różni się fundamentalnie od protokołów routingu wewnętrznego, takich jak OSPF czy EIGRP, przede wszystkim mechanizmem działania opartym na ścieżkach AS. W komunikatach typu update przesyłana jest kompletna lista systemów autonomicznych, przez które przeszła informacja o trasie, co skutecznie zapobiega pętlom routingu. Router odrzuca każdą trasę, która zawiera jego własny numer AS w ścieżce, ponieważ oznaczałoby to otrzymanie informacji o własnej sieci od zewnętrznego peera.

Skalowalność BGP jest imponująca - pełna tablica routingu BGP w globalnym Internecie przekracza obecnie milion aktywnych prefiksów. Routery obsługujące BGP muszą dysponować odpowiednią ilością pamięci RAM oraz wydajnym procesorem do przetwarzania aktualizacji. Elastyczność protokołu wynika z bogactwa atrybutów, które umożliwiają implementację zaawansowanych polityk routingu dostosowanych do potrzeb konkretnej organizacji.

Pojęcie systemu autonomicznego jest fundamentalne dla zrozumienia architektury routingu w skali globalnego Internetu. Autonomous System definiuje się jako zbiór sieci IP zarządzanych przez jedną organizację, które stosują spójną politykę routingu wewnętrznego i prezentują się światu jako jednolity byt. Każdy AS identyfikowany jest przez unikalny numer ASN, który może być 16-bitowy w zakresie od 1 do 65535 lub 32-bitowy w zakresie do 4294967295.

Publiczne numery ASN są przydzielane przez regionalne rejestry internetowe działające pod nadzorem IANY. Dla Europy funkcję tę pełni RIPE NCC, dla Ameryki Północnej ARIN, a dla Azji i Pacyfiku APNIC. Prywatne ASN z zakresu 64512-65535 są zarezerwowane do użytku wewnętrznego i nie mogą być ogłaszane w globalnym Internecie, co znajduje zastosowanie w połączeniach iBGP oraz w środowiskach laboratoryjnych.

Algorytm wyboru najlepszej trasy BGP jest jednym z najbardziej rozbudowanych mechanizmów decyzyjnych spośród wszystkich protokołów routingu, obejmującym kilkanaście kroków. Atrybut Weight ma charakter wyłącznie lokalny dla routera Cisco i nie jest przesyłany w aktualizacjach BGP, co oznacza, że wpływa na decyzję tylko na danym urządzeniu. Local Preference jest natomiast przesyłany wewnątrz systemu autonomicznego między routerami iBGP i pozwala na określenie preferowanego punktu wyjścia dla ruchu wychodzącego.

AS-Path pełni podwójną funkcję w protokole BGP: zapobiega pętlom routingu poprzez odrzucanie tras zawierających własny numer AS oraz stanowi podstawę do wyboru najkrótszej ścieżki. Administrator może manipulować tym atrybutem przez technikę prependingu, która polega na wielokrotnym dodaniu własnego AS w celu wydłużenia ścieżki. Atrybut MED pozwala na sugerowanie sąsiedniemu AS preferowanego punktu wejścia, gdy istnieje wiele łączy łączących dwa systemy autonomiczne.

Podział na eBGP i iBGP wynika z fundamentalnej różnicy w sposobie dystrybucji tras w kontekście systemów autonomicznych. eBGP służy do wymiany informacji o trasach między różnymi AS i domyślnie ustawia wartość TTL na 1, co wymaga bezpośredniego połączenia między peerami. Trasy poznane przez eBGP charakteryzują się niższą odległością administracyjną na routerach Cisco, co oznacza, że są preferowane względem tras pochodzących z protokołów IGP.

iBGP działa wewnątrz jednego systemu autonomicznego i wymaga pełnej siatki połączeń ze względu na zasadę, że router iBGP nie przekazuje tras poznanych od innego routera iBGP dalej. W dużych AS z wieloma routerami stosuje się route reflectory lub confederacje, aby uniknąć konieczności tworzenia pełnej siatki połączeń. Odległość administracyjna iBGP wynosi 200, co jest wartością wyższą niż dla eBGP.

Konfiguracja BGP w RouterOS w wersji 7 wprowadza hierarchiczny model składający się z trzech poziomów: instancji, szablonu i połączenia. Instancja BGP reprezentuje proces działający na routerze i definiuje podstawowe parametry, takie jak numer AS i Router-ID. Router-ID musi być unikalny w obrębie całego systemu autonomicznego, dlatego zaleca się użycie adresu interfejsu loopback jako identyfikatora.

W jednym fizycznym routerze można utworzyć wiele instancji BGP, co jest przydatne w złożonych scenariuszach sieci operatorskich. Po utworzeniu instancji definiuje się szablony określające wspólne ustawienia dla grup peerów, a następnie konfiguruje poszczególne połączenia. Taka hierarchiczna struktura ułatwia zarządzanie wieloma sesjami BGP i zapewnia czytelność konfiguracji.

Szablon BGP w RouterOS v7 umożliwia zdefiniowanie wspólnych ustawień dla wielu połączeń, co znacząco upraszcza konfigurację w środowiskach z dużą liczbą peerów. Administrator tworzy osobny szablon dla każdego typu peera, na przykład dla klientów BGP oraz dla peerów tranzytowych. Szablon może zawierać filtr wyjściowy określający, które trasy są wysyłane do danego peera.

Połączenie reprezentuje konkretną sesję BGP z jednym sąsiadem i zawiera parametry takie jak adres zdalny oraz przypisany szablon. Parametr local.role określa rolę routera w sesji BGP, gdzie możliwe wartości to ebgp, ibgp oraz rr dla route reflectora. RouterOS automatycznie dostosowuje zachowanie sesji w zależności od wybranej roli, co ułatwia konfigurację.

Redystrybucja tras do BGP wymaga świadomego podejścia, ponieważ protokół ten nie ogłasza automatycznie sieci bezpośrednio podłączonych. Administrator musi jawnie wskazać, które prefiksy mają być propagowane do sąsiednich systemów autonomicznych, co wynika z politycznego charakteru BGP. W przeciwieństwie do protokołów IGP, BGP zakłada, że każda ogłoszona trasa jest wynikiem celowej decyzji administracyjnej.

W RouterOS v7 najczęściej stosowaną metodą jest utworzenie listy adresowej zawierającej sieci przeznaczone do ogłoszenia z przypisaniem jej do szablonu przez parametr output.networks. Alternatywnie można zastosować filtry routingu umożliwiające bardziej selektywną redystrybucję na podstawie protokołu źródłowego lub metryki. Należy zachować szczególną ostrożność, aby nie ogłosić przypadkowo tras wewnętrznych na zewnątrz systemu autonomicznego.

Filtry routingu w RouterOS v7 stanowią całkowicie nowy mechanizm filtrowania tras w stosunku do prefix-list i filter chain znanych z wersji 6. Składnia oparta na konstrukcji if z warunkiem i akcją przypomina prosty język skryptowy i umożliwia tworzenie zaawansowanych reguł filtrowania. Warunki mogą dotyczyć adresu docelowego i źródłowego, protokołu, ścieżki AS oraz wartości atrybutów BGP.

Do dostępnych akcji należą accept (akceptacja trasy), reject (odrzucenie) oraz modyfikatory atrybutów takie jak set bgp-local-pref i set as-path-prepend. Filtry są przypisane do łańcuchów bgp-in dla tras przychodzących, bgp-out dla tras wychodzących oraz bgp-redistribute dla tras redystrybuowanych. Mechanizm ten zapewnia administratorowi pełną kontrolę nad przepływem tras między systemami autonomicznymi.

Weryfikacja sesji BGP jest nieodzownym elementem codziennej administracji sieciami operatorskimi wykorzystującymi ten protokół. Polecenie /routing bgp connection print wyświetla listę wszystkich skonfigurowanych połączeń wraz z ich stanem, który może przyjmować wartości established, active lub idle. Stan established oznacza poprawnie działającą sesję, podczas gdy idle lub active wskazują na problemy z łącznością lub błędną konfiguracją.

Polecenie /routing bgp session print dostarcza szczegółowych informacji o każdej sesji, w tym czasu jej działania oraz liczby przesłanych prefiksów. Komenda /ip route print where protocol=bgp pozwala na przeglądnięcie tras poznanych przez BGP w głównej tablicy routingu. Regularna weryfikacja tych danych umożliwia szybkie wykrycie problemów z sesjami BGP oraz nieprawidłowości w redystrybucji tras.

Praktyczne zastosowania BGP wykraczają daleko poza podstawowe łączenie systemów autonomicznych i obejmują szereg zaawansowanych scenariuszy sieciowych. Multi-homing umożliwia organizacji posiadanie połączeń z dwoma lub więcej niezależnymi dostawcami Internetu, co zapewnia redundancję i zwiększa niezawodność. BGP pozwala na precyzyjne sterowanie zarówno ruchem wychodzącym przez modyfikację atrybutu Local Preference, jak i przychodzącym przez prepending ścieżki AS.

Anycast to technika polegająca na ogłaszaniu tego samego adresu IP z wielu lokalizacji geograficznych, co kieruje użytkowników do najbliższego serwera. Technologia ta jest powszechnie stosowana w sieciach CDN oraz w infrastrukturze systemu DNS. Peering między dużymi sieciami eliminuje konieczność korzystania z tranzytu ISP, redukując opóźnienia i koszty transmisji danych.

Blok BGP stanowił kompleksowe wprowadzenie do najbardziej zaawansowanego protokołu routingu stosowanego w globalnym Internecie. Protokół ten działa w oparciu o mechanizm path vector, który polega na przesyłaniu pełnej ścieżki AS wraz z informacją o trasie. Najważniejsze atrybuty decyzyjne to Local Preference wpływające na ruch wychodzący z AS, AS-Path zapobiegający pętlom oraz MED sugerujący preferowany punkt wejścia do systemu autonomicznego.

Rozróżnienie między eBGP a iBGP ma kluczowe znaczenie dla poprawnej konfiguracji sieci wykorzystujących ten protokół. RouterOS v7 oferuje hierarchiczny model konfiguracji oraz elastyczne routing filtry usprawniające zarządzanie trasami. Praktyczne zastosowania BGP obejmują multi-homing zwiększający niezawodność, anycast optymalizujący dostęp do treści oraz peering redukujący koszty transmisji.

Technologia VRF pozwala na wirtualizację warstwy trzeciej modelu OSI w ramach jednego fizycznego routera, tworząc wiele niezależnych instancji routingowych. Każda instancja VRF posiada własną tablicę routingu, własne interfejsy i własne trasy, co zapewnia pełną izolację ruchu sieciowego. Pakiety przychodzące przez interfejs przypisany do VRF są rutowane wyłącznie w oparciu o tablicę tego VRF, bez możliwości przypadkowego przedostania się do innej instancji.

Koncepcja VRF wywodzi się z sieci operatorskich MPLS L3VPN, gdzie każdy klient ISP otrzymuje własną wirtualną sieć prywatną. W środowisku firmowym VRF umożliwia izolację ruchu między działami na poziomie L3 bez konieczności stosowania osobnych fizycznych routerów. Technologia ta jest często łączona z VLAN, co zapewnia izolację zarówno na poziomie drugiej, jak i trzeciej warstwy modelu OSI.

VRF znajduje szerokie zastosowanie w wielu scenariuszach sieciowych, zarówno u operatorów telekomunikacyjnych, jak i w sieciach firmowych. U dostawców Internetu VRF jest podstawowym narzędziem do izolacji klientów usług L3VPN, gwarantującym całkowitą separację ruchu między poszczególnymi abonentami. W sieciach korporacyjnych VRF umożliwia segregację ruchu między działami, co ma szczególne znaczenie w kontekście compliance i bezpieczeństwa danych.

Wydzielenie strefy DMZ w osobnym VRF to powszechna praktyka zwiększająca bezpieczeństwo sieci firmowej. MPLS L3VPN rozszerza koncepcję VRF na wiele routerów połączonych szkieletem MPLS, gdzie trasy są propagowane między urządzeniami za pomocą protokołu MP-BGP. Technologia ta stanowi fundament nowoczesnych sieci operatorskich i jest niezbędna dla administratorów pracujących w środowiskach ISP.

Rozróżnienie między VLAN a VRF jest fundamentalne dla zrozumienia różnych poziomów izolacji w sieciach komputerowych. VLAN działa w warstwie drugiej modelu OSI i tworzy oddzielne domeny rozgłoszeniowe, izolując ruch na poziomie ramek Ethernet. Komunikacja między różnymi VLAN wymaga urządzenia warstwy trzeciej, które przekieruje pakiety na podstawie adresów IP.

VRF natomiast działa w warstwie trzeciej i tworzy oddzielne tablice routingu, co zapewnia głębszą izolację niż sam VLAN. Nawet jeśli dwa interfejsy znajdują się w tym samym VLAN, ale w różnych VRF, pakiety między nimi nie będą rutowane bez jawnej konfiguracji. W praktyce obie technologie często współpracują, zapewniając izolację na obu poziomach jednocześnie.

Konfiguracja VRF w RouterOS jest stosunkowo prosta i opiera się na kilku podstawowych poleceniach. Komenda /ip vrf add tworzy nową instancję VRF o podanej nazwie, a parametr interfaces określa, które interfejsy fizyczne lub wirtualne mają należeć do tego VRF. Każdy interfejs może należeć wyłącznie do jednego VRF, a jeśli nie jest przypisany do żadnego, znajduje się w głównej tablicy routingu main.

Po dodaniu interfejsu do VRF adres IP skonfigurowany na tym interfejsie automatycznie znajduje się w tablicy routingu tego VRF. Trasy bezpośrednio podłączone są widoczne tylko w tym VRF, co zapewnia izolację na poziomie routingu. Należy pamiętać o dodaniu tras domyślnych z parametrem routing-table dla każdego VRF, który wymaga dostępu do Internetu.

Trasy w VRF dodaje się za pomocą standardowej komendy /ip route add z dodatkowym parametrem routing-table określającym docelową tablicę routingu. Jeśli parametr routing-table nie zostanie podany, trasa trafia do domyślnej tablicy main. Każdy VRF może posiadać własną trasę domyślną, co umożliwia kierowanie ruchu do różnych dostawców Internetu w zależności od potrzeb konkretnego VRF.

Trasy bezpośrednio podłączone do interfejsów w VRF pojawiają się automatycznie w tablicy tego VRF. Trasy statyczne i dynamiczne muszą być dodane z odpowiednim parametrem routing-table, aby trafiły do właściwej instancji. W przypadku BGP, trasy mogą być kierowane do konkretnego VRF przez odpowiednie mapowanie, co jest typowym scenariuszem w sieciach MPLS L3VPN.

Route leaking to mechanizm umożliwiający kontrolowaną komunikację między różnymi VRF, który z definicji narusza domyślną izolację tych instancji. W podstawowej konfiguracji VRF są całkowicie odizolowane, co oznacza, że pakiet z VRF_A nie może dotrzeć do sieci znajdującej się w VRF_B. W wielu scenariuszach konieczne jest jednak umożliwienie ograniczonej komunikacji między VRF, na przykład w celu udostępnienia wspólnych serwerów DNS lub proxy.

W RouterOS route leaking można zrealizować na kilka sposobów, w tym przez dodanie tras statycznych między VRF lub zastosowanie MP-BGP z mechanizmem VRF import i export. Najbardziej eleganckim rozwiązaniem jest wykorzystanie BGP do selektywnego udostępniania tras między VRF. Niezależnie od wybranej metody, route leaking należy stosować rozważnie i tylko w uzasadnionych przypadkach.

Blok VRF wprowadził koncepcję wirtualizacji tablic routingu w RouterOS, która umożliwia posiadanie wielu niezależnych routerów w jednym fizycznym urządzeniu. Każda instancja VRF posiada własną tablicę routingu, własne interfejsy i własne trasy, co zapewnia izolację na poziomie warstwy trzeciej. Izolacja ta jest głębsza niż w przypadku VLAN, ponieważ separuje nie tylko domeny rozgłoszeniowe, ale całe tablice routingu.

Zastosowania VRF są niezwykle szerokie, od prostego wydzielenia strefy DMZ w firmie po zaawansowane scenariusze MPLS L3VPN u operatorów ISP. RouterOS oferuje prostą składnię konfiguracji VRF oraz wsparcie dla route leaking umożliwiającego kontrolowaną komunikację między instancjami. Umiejętność konfiguracji VRF jest niezbędna dla administratorów sieci operatorskich i specjalistów ds. bezpieczeństwa.

Policy Routing, znany również jako routing polityczny, stanowi istotne rozszerzenie standardowego modelu routingu w sieciach IP. W tradycyjnym ujęciu router podejmuje decyzję o przekazaniu pakietu wyłącznie na podstawie adresu docelowego IP. Policy Routing łamie to ograniczenie, umożliwiając uwzględnienie dodatkowych kryteriów decyzyjnych wykraczających poza adres docelowy.

Kryteria decyzyjne w Policy Routing obejmują adres źródłowy IP, protokół warstwy transportowej, numery portów źródłowych i docelowych, wartość DSCP oraz interfejs wejściowy. Administrator może tworzyć precyzyjne reguły kierowania ruchem realizujące politykę biznesową organizacji. Policy Routing znajduje zastosowanie w load balancingu, implementacji QoS oraz w scenariuszach izolacji ruchu sieciowego.

Policy Routing znajduje zastosowanie w wielu praktycznych scenariuszach sieciowych, gdzie standardowy routing oparty na adresie docelowym jest niewystarczający. Load balancing z wykorzystaniem PBR różni się od klasycznego ECMP tym, że umożliwia kierowanie różnych typów ruchu do różnych łączy według zdefiniowanych reguł. W scenariuszu QoS, PBR pozwala na skierowanie ruchu VoIP przez łącze o gwarantowanej niskiej latencji, podczas gdy ruch backupu może korzystać z tańszego łącza.

W kontekście bezpieczeństwa PBR umożliwia kierowanie ruchu z sieci gościnnej przez tunel VPN do centrali firmy. W firmach PBR może implementować politykę dostępu, gdzie ruch HTTP i HTTPS jest dozwolony bezpośrednio, a pozostały ruch kierowany przez serwer proxy. Policy Routing jest niezbędnym narzędziem w zaawansowanych sieciach firmowych i operatorskich.

Implementacja Policy Routing w RouterOS opiera się na trzech komponentach współpracujących ze sobą w celu skierowania pakietów do odpowiedniej tablicy routingu. Pierwszym elementem jest dodatkowa tablica routingu tworzona komendą /routing table add. Tablica ta przechowuje trasy przeznaczone dla określonego typu ruchu, na przykład dla ruchu VPN lub ruchu kierowanego przez zapasowe łącze ISP.

Drugim elementem jest reguła mangle w firewallu, która oznacza pakiety za pomocą akcji mark-routing. Oznaczenie to przypisuje pakiet do określonej tablicy routingu wskazanej przez parametr new-routing-mark. Trzecim elementem jest routing rule, który łączy oznaczone pakiety z odpowiednią tablicą, choć w praktyce mangle z mark-routing często wystarcza bez potrzeby definiowania routing rule.

Tworzenie dodatkowej tablicy routingu jest pierwszym i podstawowym krokiem w konfiguracji Policy Routing w RouterOS. Tablica routingu stanowi niezależny zbiór tras używanych do podejmowania decyzji o przekazywaniu pakietów. Domyślna tablica nosi nazwę main i zawiera wszystkie trasy skonfigurowane bez parametru routing-table, natomiast dodatkowe tablice należy tworzyć jawnie z opisowymi nazwami.

Parametr fib włącza sprzętowe przyspieszenie routingu dla danej tablicy, wykorzystując układy ASIC w routerach MikroTik z obsługą L3 Hardware Offloading. Gdy FIB jest włączone, routing pakietów może odbywać się z prędkością liniową, co ma znaczenie w scenariuszach wymagających wysokiej przepustowości. W niektórych przypadkach, szczególnie przy zaawansowanych regułach firewalla, FIB może wymagać wyłączenia.

Po utworzeniu dodatkowej tablicy routingu należy dodać do niej odpowiednie trasy, które będą używane dla ruchu kierowanego przez Policy Routing. W najprostszym scenariuszu dodaje się trasę domyślną wskazującą na bramę zapasowego łącza ISP. Należy pamiętać, że dodatkowa tablica routingu nie dziedziczy automatycznie tras z tablicy main, co oznacza całkowitą niezależność obu tablic.

Oznacza to, że jeśli w tablicy WAN2 dodano tylko trasę domyślną, routing do sieci lokalnych nie będzie działał w tej tablicy bez dodania odpowiednich tras. W praktyce często tworzy się układy hybrydowe, w których dodatkowa tablica zawiera trasę domyślną przez zapasowe łącze, a routing do sieci lokalnych odbywa się przez tablicę main. Należy również pamiętać o dodaniu tras bezpośrednio podłączonych dla interfejsów obsługiwanych w danej tablicy.

Reguła mangle z akcją mark-routing stanowi kluczowy element implementacji Policy Routing w RouterOS, umożliwiający modyfikację pakietów przed podjęciem decyzji o routingu. Łańcuch prerouting jest przetwarzany przed decyzją routingu, co ma istotne znaczenie dla poprawnego działania mechanizmu. Oznaczenie pakietu musi nastąpić zanim router zdecyduje, przez który interfejs go wysłać.

Parametr new-routing-mark określa nazwę tablicy routingu, do której pakiet ma trafić, i musi być zgodny z nazwą utworzonej wcześniej tablicy. Parametr passthrough no zapobiega dalszemu przetwarzaniu reguł mangle, co poprawia wydajność routera. Reguły mangle mogą być łączone z warunkami na adres źródłowy i docelowy, protokół, porty oraz wartość DSCP.

Routing rule stanowi alternatywny mechanizm implementacji Policy Routing w RouterOS, prostszy od reguł mangle, ale o mniejszej elastyczności. Zamiast tworzyć regułę mangle oznaczającą pakiety, można bezpośrednio zdefiniować regułę routingu kierującą ruch z określonego źródła do wybranej tablicy. Składnia jest znacznie prostsza i opiera się na parametrach src-address i action lookup.

Routing rule ma jednak ograniczoną funkcjonalność w porównaniu z mangle, ponieważ uwzględnia wyłącznie adres źródłowy i docelowy bez możliwości filtrowania po protokole czy porcie. Mangle jest preferowany w złożonych scenariuszach wymagających precyzyjnego kierowania konkretnych typów ruchu. Routing rule jest odpowiedni dla prostych sytuacji, gdy cały ruch z danej podsieci ma być kierowany do alternatywnej tablicy.

Praktyczny przykład przedstawiony na slajdzie ilustruje typowy scenariusz zastosowania Policy Routing w firmie. Zakładając, że organizacja dysponuje dwoma łączami, z których jedno prowadzi do centrali przez tunel VPN, a drugie stanowi podstawowe łącze internetowe. Komputer księgowej wymaga komunikacji z centralą przez szyfrowane łącze, podczas gdy reszta ruchu może korzystać z bezpośredniego dostępu do Internetu.

Konfiguracja składa się z trzech kroków: utworzenia dodatkowej tablicy routingu VPN z włączonym FIB, dodania trasy domyślnej w tej tablicy przez bramę VPN oraz utworzenia reguły mangle oznaczającej pakiety z komputera księgowej do tablicy VPN. Parametr passthrough no zapewnia, że po dopasowaniu reguły dalsze reguły mangle nie są sprawdzane.

Blok Policy Routing przedstawił koncepcję routingu politycznego wykraczającego poza standardowe podejście oparte wyłącznie na adresie docelowym. Policy Routing umożliwia podejmowanie decyzji routingu na podstawie wielu kryteriów, w tym adresu źródłowego, protokołu, portu oraz wartości DSCP. RouterOS oferuje dwa mechanizmy implementacji: mangle z mark-routing jako rozwiązanie elastyczne oraz routing rule jako opcję prostszą.

Niezależnie od wybranej metody, konfiguracja wymaga utworzenia dodatkowej tablicy routingu i dodania do niej odpowiednich tras. Policy Routing znajduje zastosowanie w load balancingu, implementacji QoS, kierowaniu ruchu przez VPN oraz realizacji polityk firmowych. Umiejętność konfiguracji Policy Routing jest ważna dla administratorów sieci firmowych i specjalistów ds. bezpieczeństwa.

Filtry routingu w RouterOS w wersji 7 stanowią fundamentalną zmianę w sposobie filtrowania tras w porównaniu do poprzedniej wersji systemu. W RouterOS w wersji 6 filtrowanie odbywało się za pomocą list prefiksów oraz łańcuchów filtrów opartych na numerowanych regułach. Wersja 7 wprowadza całkowicie nową składnię opartą na konstrukcji warunkowej if z akcją, która jest bardziej elastyczna i czytelna dla administratora.

Filtry mogą być stosowane nie tylko w BGP, ale również w protokołach OSPF i RIP. Filtry są przypisane do łańcuchów określających moment przetwarzania, w tym bgp-in dla tras przychodzących od peera oraz bgp-out dla tras wychodzących. Mechanizm ten zapewnia administratorowi precyzyjną kontrolę nad dystrybucją tras w sieci.

Składnia routing filters w RouterOS w wersji 7 jest wzorowana na prostych językach skryptowych i opiera się na konstrukcji if z warunkiem i akcją. Warunki mogą być proste, takie jak sprawdzenie przynależności adresu docelowego do prefiksu, lub złożone z użyciem operatorów logicznych. Warunek dst in pozwala na sprawdzenie, czy adres docelowy trasy mieści się w określonym prefiksie sieci.

Akcje w routing filters obejmują accept (akceptacja trasy), reject (odrzucenie) oraz modyfikatory atrybutów BGP. Modyfikatory umożliwiają ustawienie Local Preference, prepending ścieżki AS oraz manipulację atrybutem MED. Filtry mogą być łączone w łańcuchy, gdzie każda trasa jest przetwarzana sekwencyjnie aż do napotkania akcji accept lub reject.

Filtry routingu w RouterOS w wersji 7 znajdują szereg praktycznych zastosowań w codziennej administracji sieciami wykorzystującymi protokół BGP. Najważniejszym z punktu widzenia bezpieczeństwa jest filtrowanie tras RFC 1918 oraz innych adresów prywatnych i specjalnych od peerów BGP. Odrzucanie tych tras zapobiega atakom typu route hijacking i chroni przed przypadkowym ogłoszeniem wewnętrznych sieci na zewnątrz.

Manipulacja atrybutami BGP za pomocą routing filters pozwala na implementację zaawansowanych polityk routingu w scenariuszach multi-homing. Ustawienie wyższej wartości Local Preference dla tras z zaufanego peera powoduje preferowanie tego peera dla ruchu wychodzącego. Prepending ścieżki AS jest techniką stosowaną do sterowania ruchem przychodzącym przez sztuczne wydłużenie ścieżki AS.

Ewolucja routera jest fascynującym przykładem rozwoju technologii sieciowych na przestrzeni ostatnich trzech dekad. Pierwsze routery, takie jak Cisco 2500 z początku lat dziewięćdziesiątych, były prostymi urządzeniami obsługującymi jeden lub dwa protokoły routingu. Miały ograniczoną moc obliczeniową i małą ilość pamięci, ale stanowiły przełom w łączeniu sieci LAN w skali globalnej.

Kolejne generacje przyniosły integrację usług, a routery ISR połączyły routing, firewall, VPN i QoS w jednym urządzeniu. Technologia L3 Hardware Offloading w urządzeniach takich jak MikroTik CRS3xx wprowadziła routing sprzętowy z prędkościami rzędu 40 Gbps. Obecnie routery wirtualne i SD-WAN przenoszą funkcje routingu do chmury i środowisk NFV, umożliwiając elastyczne skalowanie i centralne zarządzanie.

Rozróżnienie między routerem a przełącznikiem jest fundamentalne dla zrozumienia architektury sieci komputerowych. Przełącznik warstwy drugiej operuje na ramkach Ethernet i podejmuje decyzje na podstawie adresów MAC, a jego podstawową funkcją jest przekazywanie ramek między portami w obrębie tej samej sieci. Przełącznik nie izoluje domen rozgłoszeniowych, co oznacza, że ramka broadcast jest przekazywana na wszystkie porty w tym samym VLAN.

Router operuje w warstwie trzeciej i podejmuje decyzje na podstawie adresów IP, a jego kluczową cechą jest izolacja domen rozgłoszeniowych. Przełącznik L3 łączy cechy obu urządzeń, wykonując routing sprzętowo w układzie ASIC. Współczesne sieci często wykorzystują przełączniki L3 w roli routerów szkieletowych, łącząc wydajność z bogatą funkcjonalnością.

Osiem kluczowych koncepcji zestawionych w tej prezentacji stanowi syntezę całego kursu dotyczącego budowy i konfiguracji urządzeń sieci LAN. Każda z koncepcji była szczegółowo omawiana w poprzednich prezentacjach, a teraz wymaga zebrania w jedną spójną całość dla utrwalenia materiału. Koncepcje obejmują zarówno aspekty sprzętowe, proces uruchamiania, jak i zagadnienia czysto sieciowe.

Porównanie systemów IOS i RouterOS pokazuje, że różne platformy sprzętowe realizują te same funkcje sieciowe w odmienny sposób. Opanowanie tych ośmiu obszarów daje solidne podstawy do dalszego rozwoju w kierunku certyfikacji CCNA i MTCNA. Koncepcje mają charakter uniwersalny, co oznacza, że ich znajomość umożliwia pracę z routerami dowolnego producenta.

Cztery typy pamięci routera Cisco stanowią jeden z najważniejszych tematów całego kursu, ponieważ zrozumienie ich funkcji jest kluczowe dla diagnostyki i konfiguracji urządzeń sieciowych. ROM jest pamięcią nieulotną przechowującą kod startowy, w tym procedurę POST, bootstrap oraz tryb awaryjny ROMMON. Zawartość ROM nie zmienia się podczas normalnej eksploatacji routera.

RAM jest pamięcią ulotną tracącą zawartość po wyłączeniu zasilania i przechowuje działającą konfigurację oraz system IOS. NVRAM przechowuje konfigurację startową i rejestr konfiguracji, a Flash to pamięć nieulotna na obrazy IOS i pliki konfiguracyjne. Znajomość typów pamięci jest niezbędna przy rozwiązywaniu problemów z uruchamianiem i odzyskiwaniu haseł.

Proces uruchamiania routera Cisco jest ściśle powiązany z czterema typami pamięci i stanowi sekwencję dobrze zdefiniowanych kroków. Po włączeniu zasilania pierwszy uruchamiany jest kod POST z pamięci ROM, który sprawdza podstawowe komponenty sprzętowe. Następnie bootstrap inicjalizuje system i odczytuje wartość rejestru konfiguracji decydującego o dalszym przebiegu uruchamiania.

Standardowa wartość rejestru 0x2102 nakazuje załadowanie systemu IOS z Flash do RAM, co jest sygnalizowane ciągiem znaków podczas ładowania. Po załadowaniu IOS router odczytuje konfigurację startową z NVRAM i kopiuje ją do RAM jako konfigurację działającą. Znajomość procesu boot sequence jest niezbędna przy rozwiązywaniu problemów z uruchamianiem oraz odzyskiwaniu dostępu do routera.

Tablica routingu jest centralnym elementem decyzyjnym każdego routera, zawierającym informacje o znanych sieciach i sposobie dotarcia do nich. RIB przechowuje wszystkie trasy poznane przez router z różnych źródeł, w tym bezpośrednio podłączone, statyczne oraz dynamiczne. FIB zawiera tylko trasy aktywne wybrane przez proces decyzyjny i jest wykorzystywany do faktycznego przekazywania pakietów.

Proces decyzyjny w tablicy routingu przebiega według trzech kryteriów o ściśle określonej hierarchii. Najdłuższy pasujący prefiks ma zawsze pierwszeństwo przed odległością administracyjną i metryką. Jeśli dwa wpisy mają ten sam prefiks, decyduje odległość administracyjna, a w przypadku jej równości wybór następuje na podstawie metryki.

Routing statyczny i dynamiczny to dwa fundamentalne podejścia do budowania tablicy routingu, różniące się zasadniczo sposobem zarządzania trasami. Routing statyczny polega na ręcznym dodawaniu tras przez administratora i jest prosty oraz przewidywalny, ale nie skaluje się w większych sieciach. W sieci z wieloma routerami i rozbudowaną topologią konfiguracja statyczna staje się niezwykle skomplikowana i podatna na błędy.

Routing dynamiczny automatyzuje proces wykrywania topologii i aktualizacji tablic routingu poprzez wymianę informacji między routerami. W przypadku awarii łącza protokół dynamiczny automatycznie przelicza trasy, zapewniając szybką konwergencję w ciągu kilku sekund. Routing dynamiczny jest niezbędny w sieciach o złożonej topologii, gdzie ręczne zarządzanie trasami jest niemożliwe lub niepraktyczne.

NAT to technika umożliwiająca wielu urządzeniom w sieci prywatnej korzystanie z jednego publicznego adresu IP, co jest konieczne ze względu na wyczerpanie puli adresów IPv4. Adresy prywatne zdefiniowane w dokumencie RFC 1918 są używane wewnętrznie, a NAT tłumaczy je na publiczny adres dostarczony przez operatora ISP. Bez tej technologii funkcjonowanie Internetu w obecnej formie nie byłoby możliwe.

PAT to wariant NAT, w którym wiele wewnętrznych adresów jest tłumaczonych na jeden zewnętrzny adres IP z użyciem różnych numerów portów. Router śledzi tłumaczenia w tablicy NAT, zapamiętując pary wewnętrznych i zewnętrznych adresów z portami. W systemie Cisco konfiguracja wymaga zdefiniowania interfejsów inside i outside oraz listy ACL, natomiast w RouterOS wystarczy reguła masquerade.

ACL to mechanizm filtrowania ruchu sieciowego oparty na sekwencyjnej liście reguł typu permit lub deny. Każda reguła jest sprawdzana po kolei, a pierwsze dopasowanie decyduje o losie pakietu zgodnie z zasadą first match wins. Jeśli żadna reguła nie pasuje, pakiet jest domyślnie odrzucany przez regułę implicit deny znajdującą się na końcu każdej listy ACL.

W systemie Cisco rozróżnia się dwa typy ACL: standardowe filtrujące wyłącznie na podstawie adresu źródłowego oraz rozszerzone uwzględniające adres źródłowy i docelowy, protokół oraz porty. W RouterOS odpowiednikiem ACL są reguły firewall filter oferujące większą elastyczność niż klasyczne ACL Cisco. Wildcard mask jest używana w ACL Cisco do określenia, które bity adresu mają być porównywane.

Porównanie systemów IOS i RouterOS pokazuje, że różne platformy sprzętowe realizują te same funkcje sieciowe, ale w odmienny sposób składniowy. Cisco IOS wykorzystuje model trybów konfiguracyjnych, gdzie administrator przechodzi między trybem wykonawczym a trybem konfiguracji globalnej i interfejsów. RouterOS stosuje hierarchię menu dostępną z poziomu konsoli lub interfejsu graficznego WinBox.

Router wielofunkcyjny to współczesne urządzenie łączące routing IP, NAT, serwer DHCP, firewall, ACL, VPN oraz QoS w jednej platformie. System MikroTik RouterOS jest przykładem platformy oferującej wszystkie te funkcje w jednym urządzeniu. Zrozumienie uniwersalności koncepcji sieciowych jest ważniejsze niż zapamiętanie składni poleceń dla konkretnego systemu operacyjnego.

Prezentacja czterdziesta czwarta stanowi podsumowanie całego dziewięcioczęściowego kursu dotyczącego budowy i konfiguracji urządzeń sieci LAN. Kurs rozpoczął się od definicji routera i jego roli w sieci, przez budowę sprzętową i typy pamięci, konfigurację IOS, routing statyczny i dynamiczny, OSPF, RouterOS, NAT, ACL, aż po zaawansowane funkcje BGP, VRF i Policy Routing. Każda prezentacja dostarczyła zarówno wiedzy teoretycznej, jak i praktycznej.

Kurs zapewnił solidne podstawy do pracy w działach IT firm oraz w firmach operatorskich i integracyjnych. Umiejętność konfiguracji routerów Cisco i MikroTik jest jedną z najbardziej poszukiwanych kompetencji na rynku pracy w branży IT. Dalszy rozwój w kierunku certyfikacji CCNA lub MTCNA jest naturalnym następstwem zdobytej wiedzy i praktycznych umiejętności.

Osiem wniosków zestawionych na ostatnim slajdzie stanowi esencję całego kursu dotyczącego budowy i konfiguracji urządzeń sieci LAN. Wnioski obejmują zarówno aspekty sprzętowe związane z typami pamięci i procesem uruchamiania, koncepcyjne dotyczące tablicy routingu i porównania routingu statycznego z dynamicznym, jak i praktyczne obejmujące NAT, ACL oraz zaawansowane funkcje RouterOS.

Szczególnie istotne jest podkreślenie uniwersalnego charakteru zdobytej wiedzy, która pozostaje aktualna niezależnie od platformy sprzętowej. Zachęcamy do dalszego rozwijania umiejętności poprzez praktyczne ćwiczenia w symulatorach Packet Tracer lub GNS3. Podjęcie próby uzyskania certyfikacji CCNA lub MTCNA stanowi naturalny kierunek rozwoju zawodowego dla absolwenta kursu.