January 26, 2017 | Author: Francisco Abreu | Category: N/A
REDES CISCO CCNP a Fondo GUÍA DE ESTUDIO PARA PROFESIONALES
www.FreeLibros.com
www.FreeLibros.com
REDES CISCO CCNP a Fondo GUÍA DE ESTUDIO PARA PROFESIONALES Ernesto Ariganello Enrique Barrientos Sevilla
www.FreeLibros.com
Datos catalográficos Ariganello, Ernesto y Bamentos, Enrique REDES CISCO. CCNP a Fondo. Guía de estudio para Profesionales Primera Edición Alfaomega Grupo Editor, S.A. de C.V., México ISBN: 978-607-7854-79-1 Formato: 17 x 23 cm Páginas: 924 REDES CISCO. CCNP a Fondo. Guía de estudio para Profesionales Ernesto Ariganello y Enrique Bamentos Sevilla ISBN: 978-84-7897-966-0, edición original publicada por RA-MA Editorial, Madrid, España Derechos reservados O RA-MA Editorial Primera edición: Alfaomega Grupo Editor, México, junio 2010 © 2010 Alfaomega Grupo Editor, S A . de C.V. Pitágoras 1139, Col. Del Valle, 03100, México D.F. Miembro de la Cámara Nacional de la Industria Editorial Mexicana Registro No. 2317 Pág. Web: http://www.alfaomega.coin.mx E-mail:
[email protected] ISBN: 978-607-7854-79-1 Derechos reservados: Esta obra es propiedad intelectual de su autor y los derechos de publicación en lengua española han sido legalmente transferidos al editor. Prohibida su reproducción parcial o total por cualquier medio sin permiso por escrito del propietario de los derechos del copyright. Nota importante: La información contenida en esta obra tiene un fin exclusivamente didáctico y, por lo tanto, no está previsto su aprovechamiento a nivel profesional o industrial. Las indicaciones técnicas y programas incluidos, han sido elaborados con gran cuidado por el autor y reproducidos bajo estrictas normas de control. ALFAOMEGA GRUPO EDITOR, S.A. de C.V. no será jurídicamente responsable por: errores u omisiones; daños y perjuicios que se pudieran atribuir al uso de la información comprendida en este libro, ni por la utilización indebida que pudiera dársele. Edición autorizada para venta en México y todo el continente americano. Impreso en México. Printed in México. Empresas del grupo: México: Alfaomega Grupo Editor, S A. de C.V. - Pitágoras 1139, Col. Del Valle, México, DF. - CP. 03100. Tel.: (52-55) 5089-7740 - Fax: (52-55) 5575-2420 / 2490. Sin costo: 01-800-020-4396 E-mail: ateiicionalcliente @alfaomega .com .mx Colombia: Alfaomega Colombiana SA . - Carrera 15 No. 64 A 29 - PBX (57-1) 2100122, Bogotá, Colombia, Fax: (57-1) 6068648 - E-mail:
[email protected] Chile: Alfaomega Grupo Editor, S.A. - General del Canto 370-Providencia, Santiago, Chile Tel.: (56-2) 235-4248 - Fax: (56-2) 235-5786 - E-mail:
[email protected] Argentina: Alfaomega Grupo Editor Argentino, S.A. - Paraguay 1307 P.B. “11”, Buenos Aires, Argentina, C.P. 1057-Tel.: (54-11) 4811-7183 / 8352,E-mail:
[email protected]
www.FreeLibros.com
INDICE INTRODUCCIÓN...................................................................................................................29 PARTE 1......................................................................................................................................37 CAPÍTULO 1: EIGRP............................................................................................................. 39 INTRODUCCIÓN A EIGRP.................................................................................................39 Funcionamiento de EIGRP............................................................................................... 40 Métrica EIGRP................................................................................... ............................... 41 DUAL...................................................................................................................................... 43 Queries............................................................................................................................... 44 Actualizaciones incrementales......................................................................................... 45 Actualizaciones multicast..................................................................................................45 BALANCEO DE CARGA DESIGUAL...............................................................................45 TABLAS EIGRP................................................................................................................... 46 Tabla de vecindad................................................................. ............................................ 46 Contenidos de la tabla de vecinos........................................ .............. !...........................46 Establecimiento de la vecindad........................................................................................ 47 Creando la tabla de topología........................................................................................... 47 Manteniendo la tablas de topología...... ...........................................................................49 Agregando una red a la tabla de topología...................................................................... 49 Suprimiendo una ruta de la tabla de topología................................................................50 Buscando rutas alternativas...............................................................................................51 Creando la tabla de enrutamiento..................................................................................... 51 Selección de rutas EIGRP...................................... .......................................................... 52
www.FreeLibros.com
6
REDES CISCO. CCNP a Fondo
©RA-MA
Actualizando las tablas de enrutamiento en modo pasivo con DUAL........................... 52 Actualizando las tablas de enrutamiento en modo activo con DUA L........................... 53 DISEÑO DE RED CON EIGRP............................................................................................. 55 Problemas en el diseño de EIGRP..................................................................................... 55 CONFIGURACIÓN DE EIGRP............................................................................................. 57 Configuración básica de EIGRP........................................................................................ 57 Sumarización en EIGRP...................................................................................................... 58 Router Stub............................................................................................... ............................59 Balanceo de carga en EIGRP................................ .............................................................60 MEJORANDO EL FUNCIONAMIENTO DE EIGRP........................................................ 61 Temporizadores............................................... .....................................................................61 Autenticación EIGRP.......................................................................................................... 62 EIGRP en redes WAN......................................................................................................... 63 Optimización del ancho de banda......................................................................................64 VERIFICACIÓN EIGRP......................................................................................................... 64 RESOLUCIÓN DE FALLOS EN EIGRP............................................................................. 67 CAPÍTULO 2: OSPF..................................................................................................................69 INTRODUCCIÓN A OSPF.....................................................................................................69 Funcionamiento de OSPF............... ................................................................................... 70 Métrica OSPF........................................................................................................................71 Tablas OSPF..........................................................................................................................71 Vecinos OSPF...................................................................................................................... 72 Estados OSPF....................................................................................................................... 73 Router designado y router designado de reserva...............................................................73 Tipos de paquetes OSPF..................................................................................................... 75 Áreas en OSPF..................................................................................................................... 77 CONFIGURACIÓN BÁSICA DE OSPF.............................................................................. 78 Configuración de OSPF en una sola área.......................................................................... 78 Cambio del cálculo del coste...............................................................................................81 Ejemplo de configuración de OSPF en una sola área......................................................82 VERIFICACIÓN OSPF EN UNA SOLA ÁREA...................................... ............................82 Comandos debug............................................................................................................. ....88 TOPOLOGÍAS OSPF...............................................................................................................88 Reconocimientos de vecinos...............................................................................................90 Temporizadores.................................................................................................................... 90 Subinterfaces.........................................................................................................................91 Elección de una topología OSPF........................................................................ ............. 91
www.FreeLibros.com
© RA-MA
ÍNDICE 7
CONFIGURACIÓN DE OSPF EN UN ENTORNO NONBROADCAST........................ 93 Configuración de red del tipo point-to-multipoint en OSPF...........................................94 Configuración de red del tipo broadcast en OSPF...........................................................94 Configuración de red del tipo point-to-point con subinterfaces Frame-Relay en OSPF.................................................................................................................................... 95 MÚLTIPLES ÁREAS OSPF.................................................................................................. 95 Tipos de router en múltiples áreas.................................................................................... 96 Anuncios de estado de enlace............................................................................................ 96 TIPOS DE ÁREAS OSPF....................................................................................................... 97 Funcionamiento de OSPF en múltiples áreas................................................................... 98 Selección de rutas entre áreas............................................................................................ 99 Calculando el coste a un área diferente...........................................................................100 DISEÑO DE OSPF EN MÚLTIPLES ÁREAS...................................................................101 Sumarización..................................................................................................................... 103 Virtual Links......................................................................................................................103 OSPF multi área en redes NBMA................................................................................... 104 CONFIGURACIÓN DE OSPF EN MÚLTIPLES ÁREAS............................................... 105 Comandos opcionales para OSPF en múltiples áreas................................................... 106 Ejemplo de configuración de OSPF en múltiples áreas................................................ 108 VERIFICACIÓN DÉ OSPF EN MÚLTIPLES ÁREAS.................................................... 109 RESOLUCIÓN DE FALLOS EN OSPF MULTI ÁREA.................................................. 113 ÁREAS ESPECIALES OSPF...............................................................................................115 Áreas Stub......................................................................................................................... 116 Áreas totally stubby.......................................................................................................... 116 Áreas not-so-stubby.......................................................................................................... 118 AUTENTICACIÓN OSPF................................................................................................... 118 Autenticación en texto plano............................................................................................119 Autenticación con M D5.................................................................................................. 119 CAPÍTULO 3: IS -IS ......................................................................................... .....................121 INTRODUCCIÓN A IS-IS.......................................................... ........................................ 121 Terminología IS-IS..................................:......................................................................122 Protocolos de la capa de red utilizados en IS-IS............................................................122 Tipos de paquetes IS-IS.................................................................................................... 123 COMPARACIÓN DE IS-IS CON OSPF............................................................. ...............124 DIRECCIONAMIENTO ISO.............................................................................................. 126 Reglas para el direccionamiento ISO..............................................................................128 Direcciones NET y NSAP......................................... ...................................................... 128
www.FreeLibros.com
8
©RA-MA
REDES CISCO. CCNP a Fondo
Ejemplo de una dirección NET........................................................................................ 128 ADYACENCIAS EN IS-IS................................................................................................... 129 Adyacencias en enlaces punto a punto.............................................................................131 Adyacencias en enlaces broadcast.................................................................................... 131 Adyacencias en enlaces NBMA.......................................................................................132 FUNCIONAMIENTO DE IS-IS............................................................................................132 Proceso de actualización................................................................................................... 132 Proceso de enrutamiento................................................................................................... 134 DISEÑO DE REDES IS-IS.................................................................................................... 136 Soluciones de diseño en redes NBMA con IS-IS............................................................137 Sumarización de rutas....................................................................................... ............... 138 CONFIGURACIÓN BÁSICA DE IS-IS..............................................................................138 Comandos opcionales de IS-IS........................................................................................ 140 Configuración de la sumarización.................................................................................... 142 Configuración NBMA....................................................................................................... 144 Configuración de broadcast en una red NBMA..............................................................144 Configuración de punto a punto en una red NBM A...................................................... 146 VERIFICACIÓN IS-IS...........................................................................................................148 RESOLUCIÓN DE FALLOS EN IS-IS...............................................................................157 CAPÍTULO 4: IMPLEMENTACIONES CON CISCO IO S .......................................... 159 REDISTRIBUCIÓN...............................................................................................................159 Funciones de enrutamiento que afectan a la redistribución...........................................162 Las métricas y la redistribución....................................................................................... 162 Selección de rutas a través de protocolos de enrutamiento............................................163 Posibles problemas al redistribuir.................................................................................... 164 Solución de problemas al redistribuir..............................................................................164 CONTROL DE LAS ACTUALIZACIONES DE ENRUTAMIENTO DURANTE LA REDISTRIBUCIÓN...............................................................................................................167 CONFIGURACIÓN DE LA REDISTRIBUCIÓN............................................................ 171 Configuración de la métrica por defecto..........................................................................173 Configuración; de la métrica por defecto para OSPF, IS-IS, RIP o BGP..................... 174 Configuración de la métrica por defecto en EIGRP....................................................... 174 DISTANCIA ADMINISTRATIVA..................................................................................... 176 COMANDOS OPCIONALES PARA CONTROLARLAS ACTUALIZACIONES DE ENRUTAMIENTO EN LA REDISTRIBUCIÓN...............................................................177 Ejemplos de redistribución.................... ........................................................................... 179
www.FreeLibros.com
© RA-MA
ÍNDICE 9
CONTROL DE LAS ACTUALIZACIONES DE ENRUTAMIENTO CON FILTRADO........................................................................................................................... 184 VERIFICACIÓN, MANTENIMIENTO Y RESOLUCIÓN DE FALLOS......................187 CONTROL DE LA REDISTRIBUCIÓN CON ROUTE-MAPS..................................... 188 Funcionamiento de los route-maps.................................................................................188 Características de los route-maps....................................................................................188 CONFIGURACIÓN DE LOS ROUTE-MAPS.................................................................. 191 Comandos match para la redistribución con route-maps.............................................. 191 Comandos set para la redistribución con route-maps...................................................192 VERIFICACIÓN DE LOS ROUTE-MAPS.......................................................................194 CAPÍTULO 5: DHCP............................................................................................................. 195 INTRODUCCIÓN A DHCP.................................................................................................195 Dispositivos DHCP.......................................................................................................... 196 CONFIGURACIÓN DHCP..................................................................................................197 Configuración de un servidor DHCP............................................................................. 197 Configuración de un DHCP Relay..................................................................................198 Configuración de un cliente DHCP................................................................................ 199 RESOLUCIÓN DE FALLOS EN DHCP...........................................................................200 CAPÍTULO 6: BG P................................................................................................................ 201 INTRODUCCIÓN A BGP....................................................................................................201 Funcionamiento básico de BGP..................................................................................... 202 Jerarquías BGP................................................................................................................. 203 Cuando utilizar BGP........................................................................................................203 Tablas de BGP.................................................................................................................. 204 CONECTANDO A INTERNET CON BGP...................................................................... 204 Multihoming..................................................................................................................... 205 Información de enrutamiento desde Internet............................................... ................. 205 Sincronización.............................................................. .............. •...................................206 ESTADOS DE BGP..............................................................................................................209 CONFIGURACIÓN DE B G P.............................................................................................210 Comandos básicos..................... ......................................................................................210 Identificando vecinos y definiendo peer-groups........................................................... 210 Dirección IP de origen.... .................................................................................................213 Forzando la dirección del próximo salto.......... ............................................................ 214 Definiendo las redes que serán anunciadas....................................................................215 Agregación de rutas..........................................................................................................215 Autenticación....................................... ........................................................................... 216
www.FreeLibros.com
10
REDES CISCO. CCNP a Fondo
____________________________________________
O RA-MA
VERIFICACIÓN DE BG P....................................................................................................216 Reestableciendo la vecindad............................................................................................ 217 ATRIBUTOS DE BGP.......................................................................................................... 218 Controlando la selección de caminos de BG P................................................................221 Uso del atributo Weight....................................................................................................221 Uso del atributo Local-Preference...................................................................................222 Uso del atributo M ED.......................................................................................................224 Uso del atributo AS-path...................................................................................................225 VERIFICACIÓN DE LOS ATRIBUTOS................ ...........................................................225 CAPÍTULO 7: MULTICAST................................................................................................ 229 INTRODUCCIÓN A MULTICAST....................................................................................229 Tipos de direcciones IP .....................................................................................................229 Vídeo en un escenario IP...................................................................................................231 DIRECCIONAMIENTO MULTICAST............................................................................. 233 Direccionamiento MAC multicást.................................................................................. 234 Direccionamiento IP multicást................................. ........................................................236 Aplicaciones multicást................................ ..................................................................... 237 Problemas con multicást....................................................................................................237 Multicást y la capa de enlace............................................................................................ 238 IGMP.............................................................. ........................................................................ 239 IGMPvl...............................................................................................................................239 IGMPv2...............................................................................................................................240 Operación de IGMPv2...................................................................................................... 241 IGMPv3............................................................................................................................... 241 Determinación de la versión de IGMP............................................................................ 241 CONFIGURACIÓN DE IGMP............................................................................................ 242 Grupos IGMP..................................................................................................................... 242 IGMP snooping.................................................................................................................. 243 PROBLEMAS CON MULTICAST................................................................................... .244 ENRUTAMIENTO DE TRÁFICO MULTICAST............................................................244 Reverse Path Forwarding................................................................................................. 244 Árboles multicást............................................... ..............................................................245 Árboles de distribución..................................................................................................... 245 Protocolos de enrutamiento multicást Dense y Sparse..................................................246 PIM...........................................................................................................................................246 PIM dense mode.................................................................................................................246 PIM sparse mode.............................................................................. .................................248
www.FreeLibros.com
ÍNDICE 11
©RA-M A
Modo PIM Sparse-Dense................................................................................................ 250 PIM versión 1 ................................................................................................................... 250 PIM versión 2 ....................................................................................................................251 Habilitación de PIN en modo Sparse-Dense..................................................................251 VERIFICACIÓN DE ENRUTAMIENTO MULTICAST................................................ 253 Verificación de rutas........................................................................................................253 Verificación de vecinos................................................................................................... 254 Verificación de los Rendezvous Points..........................................................................254 Verificación del enrutamiento multicást........................................................................255 CAPÍTULO 8: IP v6................................................................................................................ 257 INTRODUCCIÓN A IP vó.................................................................................................. 257 CABECERA DE UN PAQUETE IP v 6 .............................................................................. 259 Checksum..........................................................................................................................260 Fragmentación.................................................................................................................. 260 Etiqueta de flujo................................................................................................................261 Formato del direccionamiento IPv6............................................................................... 261 TIPO DE DIRECCIONAMIENTO IPv6............................................................................262 Identificadores de las interfaces......................................................................................262 Direcciones unicast IPv6................................................................................................. 263 Dirección IPv6 global.......................................................................................................264 Dirección IPv6 local.........................................................................................................264 Direcciones IPv6 anycast................................................................................................ 265 Direcciones IPv6 multicást.............................................................................................. 266 Asignamiento de direcciones IPv6.................................................................................268 CONFIGURACIÓN DE IP v6............................................................................................. 268 Rutas estáticas...................................................................................................................269 RIPng.................................................................................................................. .............. 269 EIGRP para IPv6.............................................. ............
.......... :................................. 269
IS-IS para IPv6................................................................................................... ............. 269 MP-BGP4 para IPv6.........................................................................................................270 OSPFv3................................... ......................................................................................... 270 Similitudes entre OSPFv2 y OSPFv3............................................................................270 Diferencias entre OSPFv2 y OSPFv3............................................................................270 Tipos de L S A ................................................................................................................... 272 CONFIGURACIÓN DE IPv6 EN OSPFV3.......................................................................273 VERIFICACIÓN DE IPv6 EN OSPFv3............................................................................276 TRANSICIÓN DESDE IPv4 A IP v6.................................................................................279
www.FreeLibros.com
12
©RA-M A
REDES CISCO. CCNP a Fondo
Dual stack........................................................................................................................... 279 Tunneling........................................................... ................................................................ 280 Manual Tunnels.................................................................................................................. 281 Túneles 6-to-4.................................................................................................................... 281 Teredo.............................................................................................................. ................... 283 ISATAP...............................................................................................................................283 Translation............................................................... ...........................................................283 PARTE I I ....................................................................................................................................285 CAPÍTULO 9: DISEÑO DE REDES....................................................................................287 FUNCIONALIDAD DE SWITCHING................... ............................................................287 Conmutación de capa 2 ..................................................................................................... 288 Enrutamiento de capa 3 ................... ................................................................................. 289 Conmutación de capa 3 ..................................................................................................... 290 Conmutación de capa 4 ..................................................................................................... 290 Conmutación multicapa..................................................................................................... 291 REDES DE CAMPUS............................................................................................................291 Modelo de red compartida................................................................................................. 291 Modelo de segmentación de LAN.................................................................................... 292 Modelo de tráfico de red................................................................................................... 293 Modelo de red predecible..................................................................................................294 MODELO DE RED JERÁRQUICO.....................................................................................294 Nivel de acceso.....................................................v.......................................................... 295 Nivel de distribución..........................................................................................................295 Nivel de core......................................................................................................... ........... 296 DISEÑO MODULAR DE RED.............................................................................................296 Bloque de conmutación..................................................................................................... 297 Dimensionamiento del bloque de conmutación..............................................................298 Bloque de core.................................................................................................................... 299 Tamaño del core en una red de campus...........................................................................301 Bloque de granja de servidores...................................................................................... 301 Bloque de gestión de red.................................. .............................................................. 301 Bloque de frontera de la empresa..................................................................................... 302 Bloque frontera del ISP..................................................................................................... 302 Switch de capa 2 en distribución...................................................................................... 302 EVALUACIÓN DE UNA RED EXISTENTE.................................................................... 303
www.FreeLibros.com
ÍNDICE 13
© RA-MA
CAPÍTULO 10: OPERACIÓN DE CONMUTACIÓN.....................................................305 CONMUTACIÓN DE CAPA 2 ............................................................................................ 305 CONMUTACIÓN MULTICAPA........................................................................................306 TABLAS UTILIZADAS EN CONMUTACIÓN............................................................... 307 Tabla CAM.........................................................................................................................307 Tabla TCAM......................................................................................................................308 VERIFICACIÓN DEL CONTENIDO DE LA CAM......................................................... 310 TIPOS DE PUERTOS DE UN SWITCH............................................................................. 311 Ethernet.............................................................................................................................. 311 CSMA/CD.......................................................................................................................... 311 Fast Ethernet.......................................................................................................................312 Gigabit Ethernet................................................................................................................ 313 10-Gigabit Ethernet........................................................................................................... 313 ESTÁNDARES DE MEDIOS..............................................................................................314 CONFIGURACIÓN DE PUERTOS DEL SWITCH.......................................................... 315 Causas de error en puertos Ethernet................................................................................ 317 VERIFICACIÓN DEL ESTADO DE UN PUERTO..........................................................318 CAPÍTULO 11: REDES VIRTUALES................................................................................ 321 VLAN......................................................................................................................................321 CONFIGURACIÓN DE VLAN ESTÁTICAS................................................................... 322 DISEÑO DE VLAN...............................................................................................................324 ENLACES TRONCALES.................................................................................................... 325 ISL...................................................................................................................................... 326 IEEE 802.1Q..................................................................................................................... 326 CONFIGURACIÓN DE TRONCALES............................................... .............................. 327 Ejemplo de configuración de un troncal.........................................................................328 RESOLUCIÓN DE FALLOS EN LAS V LAN ...... ........................................................... 329 CAPÍTULO 12: V T P............................................................................ .................... ........... 331 VLAN TRUNKING PROTOCOL........................................................................................331 Dominios de VTP.................... ......................................................................................... 332 Modos de V T P.................................................................................................................. 332 Anuncios de VTP.............................................................................................................. 333 CONFIGURACIÓN DE VTP.:............................................................................................. 335 VTP Pruning...................................................................................................................... 336 RESOLUCIÓN DE FALLOS EN VTP ............................................................................... 336
www.FreeLibros.com
14
©RA-M A
REDES CISCO. CCNP a Fondo
CAPÍTULO 13: ETHERCHANNEL....................................................................................339 AGREGACIÓN DE PUERTOS........................................................................................... 339 Distribución de tráfico.......................................................................................................339 Balanceo de carga.............................................................................................................. 340 PROTOCOLOS DE NEGOCIACIÓN ETHERCHANNEL.............................................341 PAgP.................................................................................................................................... 341 LACP............................................................................. .....................................................342 CONFIGURACIÓN ETHERCHANNEL................. ......................................................... 342 Configuración PAgP......................................................................................................... 343 Configuración LACP.........................................................................................................344 RESOLUCIÓN DE FALLOS EN ETHERCHANNEL.............. .......................................344 CAPÍTULO 14: STP................................................................................................................ 347 INTRODUCCIÓN A SPANNING TREE PROTOCOL.................................................. 347 Redundancia con switch....................................................................................................348 Solución a los bucles de capa 2 ................................... .................................................... 350 FUNCIONAMIENTO DE STP...........................................................................................351 Elección del switch raíz................................................. ................................................. 352 Elección del puerto raíz..................................................................................................... 353 Elección del puerto designado.......................................................................................... 355 ESTADOS STP....................................................................................................................... 355 Temporizadores de STP....................................................................................................357 CAMBIOS DE TOPOLOGÍAS............................................................................................ 358 TIPOS DE STP....................................................................................................................... 360 CONFIGURACIÓN DE STP................................................................................................361 Ubicación del switch raíz.......................................................................................................:....361 Configuración del switch raíz.......................................................................................... 364 OPTIMIZACIÓN DEL FUNCIONAMIENTO DE STP...................................................367 Mejorando la configuración del root path cost.............................................................. 367 Mejorando la configuración del port ID.......................................................................... 368 Mejorando la convergencia se STP................................. .........................................................369 CONVERGENCIA DE ENLACES REDUNDANTES..... ............................................... 371 RESOLUCIÓN DE FALLOS EN STP..............................................................................375 PROTECCIÓN DE LAS TOPOLOGÍAS STP.............................. ..................................... 376 Protección contra BPDU inesperadas............................................................................. 376 Protección contra la pérdida repentina de BPD U ..........................................................378 Filtros BPDU para deshabilitar STP................................................................................381 RESOLUCIÓN DE FALLOS EN LA PROTECCIÓN DE STP................... ...................381
www.FreeLibros.com
ÍNDICE 15
© RA-MA
RAPID SPANNING TREE PROTOCOL.......................................................................... 382 Funcionamiento de RSTP................................................................................................ 382 BPDU en RSTP.................................................................................................................383 Convergencia de RSTP....................................................................................................384 Tipos de puertos............................................................................................................... 384 Sincronización...................................................................................................................385 Cambios de topología en RSTP......................................................................................388 CONFIGURACIÓN DE RSTP............................................................................................ 389 RAPID PER-VLAN STP......................................................................................................390 MULTIPLE SPANNING TREE PROTOCOL.................................................................. 390 Regiones MST...................................................................................................................391 Instancias de STP dentro de MST.................................................................................. 392 Instancias IST....................................................................................................................392 Instancias MST................................................................................................................. 392 CONFIGURACIÓN DE MST............................................................................................. 394 CAPÍTULO 15: CONMUTACIÓN MULTICAPA..........................................................397 ENRUTAMIENTO ENTRE VLAN................................................................................... 397 CONFIGURACIÓN DE ENRUTAMIENTO ENTRE VLAN......................................... 398 Configuración de un puerto de capa 2............................................................................399 Configuración de un puerto de capa 3............................................................................399 Configuración de la interfaz S V I................................................................................... 399 CONMUTACIÓN MULTICAPA CON CEF.................................................................... 400 FIB..................................................................................................................................... 400 Tabla de adyacencias........................................................................................................403 Modificando paquetes......................................................................................................405 Fallback bridging.............................................................................................................. 405 VERIFICACIÓN DE CONMUTACIÓN MULTICAPA..................................................406 CAPÍTULO 16: BALANCEO DE CARGA Y REDUNDANCIA ..... ............................ 411 REDUNDANCIA Y BALANCEO EN SWITCH MULTICAPA.....................................411 HOST STANDBY ROUTER PROTOCOL.... ........... ..........................;................. ........411 Elección del router HSRP............................................................................................... 412 Autenticación HSRP........................................................................................................413 Solución ante fallos......................................................................................................... 414 Puerta de enlace virtual....................................................................................................415 Balanceo de carga HSRP................................................................................................. 416 VIRTUAL ROUTER REDUNDANCY PROTOCOL......................................................419
www.FreeLibros.com
16
©RA-M A
REDES CISCO. CCNP a Fondo
GATEWAY LOAD BALANCING PROTOCOL.............................................................. 422 A VG ....................................................................................................................................422 AVF..................................................................................................................................... 423 Balanceo de carga GLBP..................................................................................................425 Habilitación de GLBP....................................................................................................... 425 REDUNDANCIA EN EL CHASIS DEL SWITCH........................................................... 428 Supervisoras redundantes..................................................................................................428 Configuración de la redundancia..................................................................................... 429 Configuración de la sincronización entre supervisores..................................................430 Non-Stop Forwarding........................................................................................................ 430 Fuentes de alimentación redundantes...............................................................................431 CAPÍTULO 17: TELEFONÍA IP.......................................................................................... 435 POWER OVER ETHERNET................................................................................................435 Funcionamiento de PoE ....................................................................................................436 Detección de dispositivos alimentados............................................................................436 Proporcionado energía a un dispositivo.......................................................................... 437 CONFIGURACIÓN DE P oE ................................................................................................439 VERIFICACIÓN DE PoE ..................................................................................................... 440 VLAN DE VOZ IP.................................................................................................................. 440 Configuración de la VLAN de v o z .................................................................................. 441 Verificación de la VLAN de v o z ..................................................................................... 442 CALIDAD DE SERVICIO EN VOZ IP ...............................................................................443 Visión general de QoS....................................................................................................... 443 Best-effort............................................................................................................................444 Servicios integrados...........................................................................................................444 Servicios diferenciados..................................................................................................... 445 MODELO QOS DlFFSERV.................................................................................................... ;445 Clasificación de capa 2 de QoS........................................................................................ 445 Clasificación de capa 3 QoS con DSCP................... .......................................................446 Implementación QoS para v o z ................................................................................. ......447 Configuración de la frontera de confianza..................... ........ ,....................................449 Configuración de AutoQoS................................................................ ............................450 VERIFICACIÓN QoS DE VOZ IP ................................................. .................................... 452 CAPÍTULO 18: SEGURIDAD DE ACCESO AL SWITCH........................................... 455 SEGURIDAD DE PUERTOS...............................................................................................455 AUTENTICACIÓN BASADA EN PUERTO..................................................................... 458
www.FreeLibros.com
©RA-M A
ÍNDICE 17
Configuración de 802. IX ................................................................................................ 459 MITIGANDO ATAQUES ESPIAS.....................................................................................461 RECOMENDACIONES PRÁCTICAS DE SEGURIDAD.............................................. 467 CAPÍTULO 19: SEGURIDAD CON VLAN..................................................................... 469 LISTAS DE ACCESO VLAN.............................................................................................469 Configuración de VACL................................................................................................. 469 VLAN PRIVADAS.............................................................................................................. 471 Configuración de PVLAN............................................................................................... 472 Asociación de puertos con PVLAN............................................................................... 473 Asociación de VLAN secundarias y primarias SVI......................................................474 SEGURIDAD EN LOS ENLACES TRONCALES.......................................................... 475 Switch Spoofing............................................................................................................... 475 VLAN Hopping................................................................................................................ 476 CAPÍTULO 20: REDES INALÁMBRICAS......................................................................479 INTRODUCCIÓN A LAS WIRELESS LAN................................................................... 479 Colisiones WLAN....................................................... .................................................... 480 CONSTRUCCIÓN DE BLOQUES WLAN.......................................................................481 Funcionamiento de un AP............................................................................................... 483 Celdas WLAN.................................................................................................................. 484 RADIOFRECUENCIA EN WLAN.................................................................................... 486 Medición de la señal de radio frecuencia.......................................................................489 Pérdida de señal................................................................................................................490 Ganancia de la señal......................................................................................................... 491 ANTENAS WLAN............................................................................................................... 492 TRAMAS WLAN................................................................................................................. 493 ESTÁNDARES W LAN...................................................................................................... 494 Agencias reguladoras....................................................................................... .............. 494 802.11b............................................................................................................................494 802.1 l g ............................................................................................ ................................. 495 802.11a........................................................... .................................................................. 495 Estándares adicionales 802.11 ...................... .................................................................495 CAPÍTULO 21: ARQUITECTURA WLAN......................................................................497 SEGURIDAD W LAN..........................................................................................................497 Antecedentes sobre seguridad.............................................................. ..........................498 Métodos de seguridad basados en EA P..... ...................................................................499 WPA.................. ................................................................ ...............................................499
www.FreeLibros.com
18
©RA-MA
REDES CISCO. CCNP a Fondo
WPA2..................................................................................................................................500 COMPATIBILIDAD DE LOS CLIENTES WIRELESS...................................................501 ASOCIACIÓN Y ROAMING...............................................................................................501 DISTRIBUCIÓN DE CELDAS Y CANALES....................................................................503 CAPÍTULO 22: CISCO UNIFIED WIRELESS NETW ORK........................................505 ARQUITECTURA WLAN TRADICIONAL.....................................................................505 CISCO UNIFIED WIRELESS NETWORK.......................................................................506 Funciones del WLC........................................................................................................... 507 Funciones del LAP............................................................................................................ 508 Patrones de tráfico en una red cisco wireless unificada................................................ 509 Asociación y roaming del LAP................................................................................ ......511 Roaming entre controladores........................................................................................... 511 CONFIGURACIÓN BÁSICA WLAN................................................................................ 513 Configuración del WLC....................................................................................................513 Configuración del LAP.....................................................................................................517 Configuración del puerto del switch para el LAP..........................................................518 PARTE III...................................................................................................................................521 CAPÍTULO 23: TECNOLOGÍAS DE ACCESO.............................................................. 523 ACCESO POR CABLE.........................................................................................................523 Terminología de acceso por cable....................................................................................523 Estándares de transmisión por cable............................................................................... 525 Redes híbridas de fibra y coaxial.....................................................................................526 Transmisión de datos por cable........................................................................................526 Problemas de las redes de cable.......................................................................................528 Aprovisionamiento de cable módem............................................................................... 528 ACCESO POR DSL............................................................................................................... 529 Terminología DSL............................................................................................................. 529 Limitaciones de DSL......................................................................................................... 531 Tipos de D S L .....................................................................................................................532 Transmisión de datos sobre A D SL..................................................................................533 RFC 1483/2684 BRIDGING................................................................................................ 534 PROTOCOLO PUNTO A PUNTO................................................ .....................................534 PPP SOBRE ETHERNET.....................................................................................................535 Fase de descubrimiento.....................................................................................................536 Fase de sesión PPP............................................................................................................ 537 Variables de la sesión PPPoE....................................................................... ...................538
www.FreeLibros.com
© RA-MA
ÍNDICE 19
PPP SOBRE ATM ................................................................................................................ 538 CAPÍTULO 24: CONFIGURACIÓN DE DSL..................................................................541 CONFIGURACIÓN DE ACCESO DSL CON PPPoE..................................................... 541 Configuración de una interfaz Ethernet ATM PPPoE..................................................542 Configuración de una interfaz PPPoE Dialer.................................................................543 Configuración de PAT.....................................................................................................543 Configuración de DHCP para usuarios D SL.................................................................545 Configuración de una ruta estática..................................................................................545 Ejemplo de configuración de un router CPE..................................................................546 CONFIGURACIÓN DE ACCESO DSL CON PPPoA.....................................................547 Conexiones PPP sobre A A L5.........................................................................................548 Configuración de una interfaz ATM para PPPoA......................................................... 549 Configuración del Dialer DSL PPPoA y Virtual-Template......................................... 550 Ejemplo de configuración de un router CPE con PPPoA............................................. 551 Ejemplo de configuración de un router CPE con AAL5MUX.................................... 553 RESOLUCIÓN DE FALLOS.............................................................................................. 555 Anatomía de la capa 1 ......................................................................................................555 Proceso de resolución de fallos.......................................................................................556 Inspección visual.............................................................................................................. 558 Modo de operación D SL ................................................................................................. 558 Análisis de problemas de capa 2 .....................................................................................559 Negociación PPP.............................................................................................................. 560 CAPÍTULO 25: M PLS........................................................................................................... 563 INTRODUCCIÓN A LAS REDES MPLS......................................................................... 563 Conectividad MPLS W A N ............................................................................................. 566 Terminología MPLS......................................................................................................... 566 Características de MPLS................................................................................ !.............. 567 Conceptos MPLS........................................................... i................................ ............... 569 MECANISMOS DE CONMUTACIÓN........................................ !.................................. 570 Conmutación IP estándar.... .......................;................................................................. 570 Conmutación CEF................ ............................................................................................571 ARQUITECTURA MPLS............................................................... ....................................572 ETIQUETAS MPLS............................................................................................................. 573 Pilas de etiquetas.............................................................................................................. 574 MPLS en modo trama......................................................................................................575 ENVÍO DE TRÁFICO BASADO EN ETIQUETAS....... ................................................. 576
www.FreeLibros.com
20
©RA-M A
REDES CISCO. CCNP a Fondo
LIB, LFIB y FIB..................................
577
DISTRIBUCIÓN DE ETIQUETAS......
580
Propagación de paquetes...................
581
PHP.......................................................
582
CONFIGURACIÓN MPLS....................
582
Configuración de CEF........................
583
Configuración de una interfaz MPLS
587
Configuración de la M TU.................
589
MPLS CON TECNOLOGÍA V P N ........
591
VPN tradicionales..............................
592
VPN peer to peer................................
594
Ventajas de las VPN...........................
594
Desventajas de las V PN ....................
595
MPLS VPN...............................................
597
Terminología de MPLS VPN............
597
Tipos de router en MPLS V PN .........
598
Router Distinguishers.........................
599
Route Targets......................................
600
Flujo de paquetes en una red MPLS
600
Envíos de paquetes en MPLS VPN....
601
CAPÍTULO 26: IPsec................................
603
INTRODUCCIÓN A IPsec ....................
603
Características de IPsec......................
604
PROTOCOLOS DE IPSEC......................
605
IKE........................................................
605
ESP.......................................................
606
A H ........................................................
606
MODOS DE IPSEC..................................
607
CABECERAS IPSEC...............................
608
AUTENTICACIÓN DE VECINOS......
608
INTERNET KEY EXCHANGE............
609
Protocolos IKE....................................
609
Fases IK E.............................................
609
Modos IKE...........................................
610
Otras funciones IKE............................
611
ALGORITMOS DE ENCRIPTACIÓN..
611
Encriptación simétrica........................
612
www.FreeLibros.com
© RA-MA
ÍNDICE 21
Encriptación asimétrica....................................................................................................612 PUBLIC KEYINFRASTRUCTURE................................................................................. 612 CAPÍTULO 27: VPN SITE-TO-SITE................................................................................ 615 INTRODUCCIÓN A LAS VPN SITE-TO-SITE.............................................................. 615 CREACIÓN DE VPN IPSEC SITE-TO-SITE.....................................................................616 PASO 1: Especificación de tráfico interesante............................................................ .616 PASO 2: IKE fase 1 .........................................................................................................616 IKE Transform Sets.......................................................................................................... 618 Intercambio Diffie-Hellman............................................................................................ 620 Autenticación de iguales................................................................................................. 620 PASO 3: IKE fase 2 .........................................................................................................620 IPsec Transform Sets........................................................................................................ 621 Asociaciones de seguridad.............................................................................................. 623 Tiempo de vida de SA ..................................................................................................... 624 PASO 4: Transferencia segura de los datos.................................................................. 624 PASO 5: Terminación del túnel..................................................................................... 624 CONFIGURACIÓN DE UNA VPN SITE-TO-SITE........................................................624 Configuración de la política ISAKMP...........................................................................625 Configuración de los IPsec transform sets.................................................................... 626 Configuración de la Crypto ACL................................................................................... 628 Configuración del Crypto Map.......................................................................................629 Aplicación del Crypto Map a una interfaz.................................................................... 629 Configuración de la ACL en la interfaz.........................................................................630 SECURITY DEVICE MANAGER.....................................................................................631 CONFIGURACIÓN VPN SITE-TO-SITE CON SDM.....................................................633 Asistente VPN site-to-site............................................................................................... 635 Configuración rápida....................................................................................................... 636 Configuración paso a paso........................................................ :................................... 637 Comprobación del túnel VPN IPsec..............................................................................641 MONITORIZACIÓN DEL TÚNEL VPN IPSEC........................ ..................................... 642 CAPÍTULO 28: TÚNELES GRE SOBRE IPsec.............................................................. 645 INTRODUCCIÓN A LOS TÚNELES GRE...................................................................... 645 CABECERA GRE................................................................................................................646 CONFIGURACIÓN BÁSICA DE TÚNELES GRE.........................................................648 TÚNELES GRE SEGUROS.......................................................... ..................................... 649 CONFIGURACIÓN DE GRE SOBRE IPSEC CON SDM ................................................651
www.FreeLibros.com
22
©RA-M A
REDES CISCO. CCNP a Fondo
Creación del túnel GRE..................................................................................................... 652 Creación del túnel GRE de respaldo................................................................................ 653 Información VPN IPsec.................................................................................................... 654 Información de enrutamiento........................................................................................... 654 Validación de la configuración.........................................................................................655 CAPÍTULO 29: ALTA DISPONIBILIDAD EN IPsec...................................................... 657 PUNTOS DE FALLOS COMUNES.................................................................................... 657 Soluciones a los puntos de fallos..................................................................................... 658 MECANISMO DE RECUPERACIÓN DE FALLOS........................................................ 658 Mecanismo IPsec stateless................................................................................................ 659 Dead Peer Detection...........................................................................................................659 IGP en un túnel GRE sobre IPsec.....................................................................................661 HSRP....................................................................................................................................661 Mecanismo IPsec stateful.................................................................................................. 664 IPsec VPN de respaldo para redes W AN........................................................................ 667 CAPÍTULO 30: CISCO EASY VPN..................................................................................... 669 INTRODUCCIÓN A CISCO EASY.................................................................................... 669 Cisco Easy VPN Remóte................................................................................................... 669 Cisco Easy VPN Server..................................................................................................... 670 ESTABLECIMIENTO DE LA CONEXIÓN EASY VPN................................................. 671 IKE Fase 1........................................................................................................................... 672 Estableciendo una SAISAKM P.......................................................................................673 Aceptación de la propuesta S A .........................................................................................673 Autenticación de usuario....................................................................................................673 Modo configuración........................................................................................................... 673 RRI....................................................................................................................................... 673 Modo IPsec rápido........................................................................................................... 674 CONFIGURACIÓN DE EASY VPN SERVER..................................................................674 Configuración de usuario.................................................................................................. 675 Asistente Easy VPN Server............................................................... ................................675 MONITORIZACIÓN DE EASY VPN SERVER.... ........................................................... 679 CAPÍTULO 31: IMPLEMENTACIÓN DEL CLIENTE V PN ........................................683 CLIENTE CISCO VPN ..........................................................................................................683 INSTALACIÓN DEL CLIENTE V P N ................................................................................683 CONFIGURACIÓN DEL CLIENTE V PN ..........................................................................686
www.FreeLibros.com
©RA-M A
ÍNDICE 23
Autenticación....................................................................................................................687 Transporte.......................................................................................................................... 687 Servidores de respaldo.....................................................................................................688 Dial-Up.............................................................................................................................. 689 Verificación de la configuración.....................................................................................690 CAPÍTULO 32: PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS......................691 VULNERABILIDAD DE LOS ROUTERS....................................................................... 691 Servicios vulnerables en el router...................................................................................692 Servicios innecesarios e interfaces..................................................................................692 Servicios de administración............................................................................................ 695 Mecanismos de integridad de rutas................................................................................ 696 Pruebas y escaneos........................................................................................................... 696 Servicios de acceso de seguridad....................................................................................697 Servicios ARP.................................................................................................................. 697 PROTECCIÓN CON AUTOSECURE............................................................................... 698 UTILIZACIÓN DE SDM PARA ASEGURAR EL ROUTER......................................... 699 Asistente Security Audit...................................................................................................700 Asistente One-Step Lockdown........................................................................................702 ADMINISTRACIÓN SEGURA DEL ROUTER.............................................................. 702 Contraseñas.......................................................................................................................703 Limitaciones en las sesiones...........................................................................................704 Contraseñas en el modo setup.........................................................................................706 Contraseñas por línea de comandos............................................................................... 707 Protecciones adicionales................................................................................................. 708 Longitud de las contraseñas............................................................................................ 709 Encriptación de contraseñas............................................................................................709 Banners............................................................................................. ................................ 710 Sesiones individuales............................................................... .......................................711 Niveles de privilegios.......................................................................................................711 VISTAS BASADAS EN ROL.......................................................‘................................... 712 Protección física del router............................................ ................................................. 714 CAPÍTULO 33: AAA................. ............................................................................................715 INTRODUCCIÓN A AAA,................................................................................................. 715 MODO DE ACCESOS AAA...............................................................................................716 PROTOCOLOS TACACS+ Y RADIUS.............................. .............................................716 CONFIGURACIÓN DE AAA CON CLI...........................................................................718
www.FreeLibros.com
24
©RA-M A
REDES CISCO. CCNP a Fondo
Configuración de RADIUS...............................................................................................718 Configuración de TACACS+........................................................................................... 718 Configuración de A A A ..................................................................................................... 718 CONFIGURACIÓN DE AAA CON SDM.......................................................................... 725 RESOLUCIÓN DE FALLOS EN A A A ...............................................................................729 CAPÍTULO 34: PROTECCIÓN ANTE AMENAZAS..................................................... 731 ZONAS DESMILITARIZADAS..........................................................................................731 FUNDAMENTOS DE LOS FIREWALLS.................. .......................................................732 COMPONENTES DEL FIREWALL IOS DE CISCO........................... ............................734 OPERACIÓN DEL FIREWALL IOS...................................................................................735 CONFIGURACIÓN DEL FIREWALL CON CLI..............................................................736 Elección de la interfaz....................................................................................................... 737 Configuración de la ACL................................................... .............................................. 737 Reglas de inspección......................................................................................................... 737 Aplicación de la ACL y la regla de inspección a la interfaz......................................... 738 Verificación de la configuración...................................................................................... 739 CONFIGURACIÓN DEL FIREWALL CON SDM............................................................740 Configuración avanzada.................................................................................................... 742 OPERACIÓN DE LOS IDS EIPS........................................................................................ 749 CATEGORÍAS DE IDS E IPS...............................................................................................749 FIRMAS EN IDS E IPS .......................................................................................................... 750 REACCIÓN ANTE LAS FIRMAS.......................................................................................751 CONFIGURACIÓN DE CISCO IOS IPS.............................................................................752 CONFIGURACIÓN CON SD M ...........................................................................................755 PARTE IV ................................................................................................................................... 761 CAPÍTULO 35: IMPLEMENTACIONES VoIP................................................................763 INTRODUCCIÓN A LAS REDES VoIP............................................................................. 763 Componentes de VoIP...................................................................................................... .764 Interfaces analógicas..........................................................................................................765 Interfaces digitales............................................................................... .............................. 766 Fases de una llamada telefónica.....................................................................................767 Tipos de control de llamada..............................................................................................768 DIGITALIZACIÓN Y ENCAPSULADO DE VOZ............................................................ 771 Conversión analógica digital....................... ............. ....................................................... 771 Conversión digital analógica............................................................................................. 771 Teorema de Nyquist-Shannon y la cuantificación....................................................... 772
www.FreeLibros.com
©RA-M A
ÍNDICE 25
Calidad y compresión del ancho de banda.....................................................................774 Procesadores de señal digital.......................................................................................... 776 ENCAPSULACIÓN V oIP .................................................................................................. 777 Reducción del tamaño de las cabeceras......................................................................... 779 CÁLCULO DEL ANCHO DE BANDA............................................................................. 780 Ancho de banda en VoIP................................................................................................. 780 Sobrecarga de la capa de enlace......................................................................................781 Sobrecarga debida a seguridad y tunelización...............................................................782 Cálculo del ancho de banda total para una llamada de VoIP........................................783 Detección de la actividad de voz.....................................................................................785 IMPLEMENTACIÓN DE VoIP EN UNA RED EMPRESARIAL................................. 786 Gateway de voz en un router Cisco................................................................................ 788 Cisco Callmanager........................................................................................................... 788 Modelos de despliegue V oIP..........................................................................................789 CAPÍTULO 36: CALIDAD DE SERVICIO...................................................................... 791 CONVERGENCIA DE RED Y QoS...................................................................................791 Ancho de banda disponible............................................................................................. 792 Retraso de extremo a extremo......................................................................................... 793 Variación del retraso........................................................................................................794 Pérdida de paquetes..........................................................................................................794 IMPLEMENTACIÓN DE QoS........................................................................................... 795 Identificación del tráfico y sus requerimientos............................................................. 796 Clasificación del tráfico.................................................................................................. 796 Definición de políticas para cada clase.......................................................................... 797 MODELOS DE QoS............................................................................................................. 797 Modelo Best-Effort..........................................................................................................797 Modelo de servicios integrados.......................................................................................798 Modelo de servicios diferenciados................................................................................. 799 MÉTODOS DE IMPLEMENTACIÓN DE QoS . ............................................................ 799 Método antiguo de línea de comandos.......................................................................... 799 Interfaz de línea de comandos de QoS modular............................................................ 799 AutoQoS............................................................................................................................801 Security Device Manager................................................................................................ 802
www.FreeLibros.com
26
©RA-M A
REDES CISCO. CCNP a Fondo
CAPÍTULO 37: ADMINISTRACIÓN DEL TRÁFICO................................................... 807 CLASIFICACIÓN Y MARCADO DE TRÁFICO..............................................................807 CoS en la trama Ethernet 802.1Q/P................................................................................. 808 QoS en Frame-Relay y ATM ............................................................................................809 QoS en MPLS..................................................................................................................... 810 CLASES DE SERVICIO Q oS............................................................................................... 815 FRONTERAS DE CONFIANZA......................................................................................... 816 NETWORK B ASED APPLICATION RECOGNITION................................................... 817 CONFIGURACIÓN DE NB A R ............................................................................................818 CAPÍTULO 38: ADMINISTRACIÓN DE COLAS Y CONGESTIÓN........................ 821 CONGESTIÓN Y COLAS.................................................................................................... 821 First In First Out................................................................................................................. 823 Priority Queuing................................................................................................................. 823 Round Robin.......................................................................................................................824 Weighted Round Robin..................................................................................................... 824 WEIGHTED FAIR QUEUING.............................................................................................825 Configuración y monitorización de WFQ....................................................................... 827 CLASS BASED WEIGHTED FAIR QUEUING................................................................829 Clasificación, programación y garantía de ancho de banda...........................................830 Configuración y monitorización de CBWFQ................................................................. 831 LOW LATENCY QUEUING................................................................................................832 Configuración y monitorización de LLQ.........................................................................832 EVITANDO LA CONGESTIÓN..........................................................................................834 Limitaciones de tail drop................................................................................................... 834 Random Early Detection................................................................................................... 835 Weighted Random Early Detection................................................................................. 836 Class Based Wighted Random Early Detection............................................................. .837 Configuración de CBWRED.............................................................................................837 CAPÍTULO 39: MANIPULACIÓN DEL TRÁFICO Y EL ENLACE..........................841 CONTROL Y MANIPULACIÓN DEL TRÁFICO............................................................841 Medición de volumen de tráfico...................................................................................... 844 Mecanismos de Policing y Shaping................................................. ............................... 845 MECANISMOS DE EFICIENCIA DEL ENLACE............................................................845 Compresión de la carga útil de capa 2 .............................................................................845 Compresión de cabeceras.................................................................................................. 846 Fragmentación e intercalado.............................................................................................846
www.FreeLibros.com
© RA-MA
ÍNDICE 27
CAPÍTULO 40: PRECLASIFICACIÓN Y DESPLIEGUE DE Q oS............................ 847 PRECLASIFICACIÓN DE Q oS ..........................................................................................847 Opciones en la preclasificación....................................................................................... 847 QoS DE EXTREMO A EXTREMO.................................................................................... 848 Acuerdos de nivel de servicio en Q oS............................................................................849 Implementaciones de QoS en campus empresarial........................................................850 Implementaciones de QoS en el borde W AN................................................................ 851 Control Plañe Policing..................................................................................................... 852 CAPÍTULO 41: IMPLEMENTACIÓN DE AutoQoS......................................................855 INTRODUCCIÓN A A utoQo S ..........................................................................................855 IMPLEMENTACIÓN DE A utoQoS ................................................................................. 857 Despliegue de AutoQoS Enterprise................................................................................ 858 AutoQos VoIP en Switch Catalyst.................................................................................. 859 Automatización con AutoQoS........................................................................................ 859 Problemas comunes en AutoQoS.................................................................................... 862 VERIFICACIÓN DE A utoQo S ......................................................................................... 862 CAPÍTULO 42: IMPLEMENTACIÓN DE QoS EN LAS WLAN.................................865 CALIDAD DE SERVICIO EN LAS WLAN.......................................................................865 Descripción de QoS WLAN.............................................................................................866 Arquitectura SPLIT MAC y LAP................................................................................... 866 IMPLEMENTACIÓN DE QoS WLAN..............................................................................867 CONFIGURACIÓN DE QoS EN WLAN...........................................................................869 CAPÍTULO 43: ENCRIPTACIÓN Y AUTENTICACIÓN WLAN...............................873 PROBLEMAS DE SEGURIDAD EN LAS WLAN........................................................... 873 802. IX Y AUTENTICACIÓN EAP.................................................................................... 873 LEAP..................................................................................................................................874 EAP-FAST....................................................... '............................................ ................ 875 EAP-TLS........................................................... ............................................ .................. 877 PEAP........................................................................................... :................................... 878 WPA, 802.1 li, y WPA2..... .............................................................................................879 CONFIGURACIÓN DE AUTENTICACIÓN Y ENCRIPTACIÓN EN LAP.................882 Autenticación abierta........................................................................................................ 882 Autenticación WEP estática.............................................................................................882 WPA Preshared Key..........................................................................................................883 Autenticación WEB.......................................................................................................... 884 Autenticación 802. IX....................................................................................................... 885
www.FreeLibros.com
28
©RA-M A
REDES CISCO. CCNP a Fondo
CAPÍTULO 44: ADMINISTRACIÓN W LAN................................................................... 887 REDES UNIFICADAS CISCO WIRELESS................. ......................................................887 Implementaciones Cisco W LAN..................................................................................... 888 CISCO WORKS WIRELESS LAN SOLUTION ENGINE...............................................888 Beneficios de WLSE....................................................................................;...................889 Cisco Works WLSE Y WLSE Express...........................................................................889 Configuración de WLSE Express simplificada.............................................................. 890 Plantillas de configuración WLSE................................................................................... 890 CISCO WIRELESS CONTROL SYSTEM................... ......................................................890 Características del sistema WCS.......................................................................................891 Wireless Location Appliance................................ ........................................................... 893 Aplicaciones Wireless Location Appliance.................................................................... 894 CONFIGURACIÓN DE WCS...............................................................................................894 Configuración de puntos de acceso.................................................................................. 896 Mapas WCS....... .................................................................................................................896 Detección de AP falsos................................................ .....................................................898 APÉNDICE : MATEMÁTICAS DE REDES................. .................................................... 899 NÚMEROS BINARIOS.........................................................................................................899 Conversión de binario a decimal...................................................................................... 900 Conversión de decimal a binario.......................................................................................901 NÚMEROS HEXADECIMALES........................................................................................ 902 Conversión de números hexadecimales...........................................................................903 DIRECCIONAMIENTO IP................................................................................................... 903 Clases de direccionamiento IP ......................................................................................... 904 SUBREDES............................................................................................................................. 905 Procedimiento para la creación de subredes................................................................... 905 MÁSCARAS DE SUBRED DE LONGITUD VARIABLE.............................................. .909 Proceso de creación de VLSM......................................................................................... 909 Secuencia para la creación de VLSM ..............................................................................910 Resumen de ruta con VLMS.............................................................................................911 Descripción del funcionamiento de CIDR...................................................................... 911 WILDCARD............................................................................................. ............................912 Secuencia para la creación de las wildcard..................................................................... 913 ÍNDICE ALFABÉTICO...........................................................................................................915
www.FreeLibros.com
INTRODUCCIÓN En abril de 1998, Cisco System, Inc. anunció una nueva iniciativa de desarrollo profesional llamada Cisco Career Certifications. Hasta la fecha estas certificaciones han satisfecho las exigencias de los mejores profesionales y empresas del mercado. El CCNP (Cisco Certified NetWork Professional) es la certificación profesional de Cisco System ubicada en el centro de la pirámide que representa las certificaciones de este gigante de las comunicaciones. El CCNA (Cisco Certified NetWork Associate) es la base y la escala inicial de las certificaciones de redes Cisco y el CCIE (Cisco Certified Intemetwork Expert) es la .cima a la que todo profesional de las redes quisiera llegar. Los exámenes que componen la certificación se realizan en inglés y no importa el orden con que se presenten, abarcando un extenso y complejo temario exigiendo un alto nivel de conocimientos. Hasta el momento el material bibliográfico para estos exámenes existía únicamente en inglés.
www.FreeLibros.com
30
©RA-M A
REDES CISCO. CCNP a Fondo
Este libro representa un avance en la manera de encarar esta certificación aportando un valioso material en español para todos aquellos hispano parlantes que carecían hasta el momento de un material como éste. Los autores han hecho hincapié en la manera de compilar el material en un sólo volumen utilizando ejemplos reales y manteniendo la terminología técnica en inglés como se utiliza cotidianamente en los ambientes laborales. No debe confundirse el hecho de que el material en español desvirtúa la “profesionalidad” de la certificación, ni que es más difícil aprobar un examen en inglés estudiando en español. Por el contrario este libro puede ser el primer acercamiento de los estudiantes que hasta ahora han tenido como primera barrera el idioma y como segunda, la imposibilidad de tener un material de consulta simplificado y en español. Los autores han tenido en cuenta muchos de los términos cuya traducción representaría una confusión, dejándolos tal cual se les conoce en el argot de las redes aportando además su experiencia profesional. Respecto a ellos fluye una larga trayectoria en el ámbito técnico y educativo. Ambos poseen valiosas certificaciones tales como el CCAI, CCNP y CCIE, entre otras. El libro contiene cuarenta y cuatro capítulos divididos en cuatro partes bien definidas donde se abarcan temas como enrutamiento, conmutación, VoIP, MPLS, seguridad, wireless, QoS, etc., cuyo orden facilita la lectura y el aprendizaje. Para aquellos que persiguen la certificación CCNP, deben saber que para obtenerla, además de los exámenes necesarios según la versión, es imprescindible poseer la certificación CCNA y que tanto una como la otra caducan a los tres años. Los técnicos que estén en posesión de la certificación CCNA cuya fecha de caducidad esté próxima podrán mantenerla vigente si presentan alguno de los exámenes del CCNP antes de la prescripción del CCNA. Una buena recomendación es comenzar la lectura de este libro con tiempo suficiente, mucho antes de la fecha de expiración del CCNA, efectuar las prácticas y los test necesarios y por qué no, realizar cuestionarios en inglés. Para los técnicos que sólo necesitan material de consulta, todo el contenido del libro ha sido revisado y actualizado de tal manera que no habrá obstáculos de entendimientos técnicos o idiomáticos y será sin dudas un beneficio añadido para la resolución de incidencias o nuevas configuraciones. Para cualquiera de los casos el aporte de este libro trae consigo un gran esfuerzo de más de dos años de recopilación y estudio de materiales, un análisis de lo que es realmente contribución y de lo que es sólo un discurso inútil. Vale decir una vez más que la experiencia de los autores ha permitido filtrar lo innecesario, valorar lo fundamental y volcarlo de manera racional sobre el papel.
www.FreeLibros.com
© RA-M A
INTRODUCCIÓN
31
Finalmente y ante cualquier duda sobre la certificación CCNP es posible consultar la Web de Cisco en: http://www.cisco.com/web/leaming/le3/le2/le37/lel0/leaming certification tvpe h ome.html
www.FreeLibros.com
32
©RA-M A
REDES CISCO. CCNP a Fondo
Acerca de los autores Ernesto Ariganello es ingeniero de comunicaciones, instructor certificado de Cisco Networking Academy, imparte cursos relacionados con redes y comunicaciones. Especialista en electrónica de hardware de alta complejidad. Posee varias certificaciones entre ellas el CCNP. Es, además, consultor especializado en comunicaciones de datos para varias empresas de la Unión Europea. Su trabajo en educación y formación es sumamente valorado en Europa y Latinoamérica, fundamentado en clases claras, dinámicas y muy prácticas por donde han pasado más de 500 alumnos en diferentes centros de formación y empresas. Ha editado varios libros de los cuales su primera obra “Guía de estudio para la certificación CCNA 640-801” es reconocida como una de las pioneras, con contenidos escritos íntegramente en español dedicados al tan valorado examen de certificación CCNA. Enrique Barrientes Sevilla comenzó su carrera técnico-profesional en el año 2003. Desde entonces ha compaginado su labor en las telecomunicaciones con la formación en nuevas tecnologías, impartiendo cursos en varias especialidades tales como Cisco y Microsoft. Ha trabajado en proyectos de grandes magnitudes para varias de las más importantes empresas españolas, irlandesas y norteamericanas del sector. Posee varias certificaciones de diversos fabricantes entre las que destaca el CCIE #23973 en la especialidad de Routing and Switching. Actualmente es un referente dentro del grupo de Ingeniería IP de una importante Multinacional y es, además, colaborador de varias consultoras de la Comunidad Europea. Su pasión por la formación ha sido, sin dudas, un aporte fundamental para la creación de este libro.
www.FreeLibros.com
©RA-M A
INTRODUCCIÓN
33
Agradecimientos de Ernesto Hace ya algunos años un joven entró en una de mis clases de Frame-Relay con una educación y una modestia poco común en jóvenes de su edad. Quién diría entonces que aquel joven estaría hoy en día dando vueltas por el mundo con su certificación CCIE bajo el brazo y sin perder en ningún momento los papeles que lo hicieron convertirse en un amigo. Enrique Barrientos es hoy un ejemplo de lucha para todos los jóvenes que persiguen una meta digna y honorable. Para él va este agradecimiento. A mis editores, por confiar en mí una vez más, a todos los alumnos e instructores con los que he tenido el placer de trabajar todos estos años, de los cuales siempre he aprendido algo. A todos ellos también va este agradecimiento. A mi familia, a los amigos de Argentina y España por su apoyo constante, a mis compañeros de trabajo que han visto crecer al “monstruo ” hasta convertirse en libro. No debo olvidarme del siempre intrépido Eduardo Collado por su colaboración en este libro y por su desinteresada amistad. A Elizabeth, mi esposa, cuya energía inagotable mueve cielos y montañas y a mi hijo Germán, convertido en un joven inquieto y talentoso. A ambos gracias por estar siempre presentes en los momentos difíciles. Por último pero no menos importante al lector, por confiar en mi trabajo y por honrarme una vez más con su interés por aprender con mis libros. Ernesto Ariganello
www.FreeLibros.com
34
©RA-MA
REDES CISCO. CCNP a Fondo
Agradecimientos de Enrique Corría el año 2002 cuando por motivos laborales tuve que irme de León (como tanta otra gente) para buscar trabajo en Madrid. Allí tuve la suerte de conocer a Ernesto y Eduardo, ambos fueron mis dos primeros profesores en tecnologías Cisco. Pero no quedó ahí la cosa, hicieron que mi adaptación a la gran ciudad fuera más llevadera y me enseñaron varias lecciones de las que no vienen en los libros. Ambos se convirtieron en amigos de esos que puedes contar con los dedos de las manos. Gracias. A mi familia y amigos por su apoyo y por estar ahí cuando se les necesita. A Genny, quien día a día no deja de sorprenderme y que sin su apoyo este libro hubiera quedado en la lista de proyectos inacabados. A mis padres, Chony y Quique, por enseñarme que en la vida no hay problemas, sino retos que han de ser superados. A mis hermanos María y Jesús porque cuando hablo con ellos me hacen regresar atrás en el tiempo y recordar mil y una aventuras. A Santi, por enseñarme la importancia de buscar la lógica de las cosas. A Marisa, por mostrarme el valor de la constancia. Finalmente al lector, por darme la oportunidad de poder contribuir a su formación. Enrique Barrientos Sevilla
www.FreeLibros.com
© RA-MA
INTRODUCCIÓN
35
Convenciones sobre sintaxis de comandos Las convenciones que se utilizan para representar la sintaxis de comandos en este libro son las mismas que se utilizan en Cisco IOS Command Reference. Los autores han preferido conservar los argumentos en idioma inglés tal como aparecerían tras ejecutar un comando ayuda. •
La negrita representa comandos y palabras clave que se escriben tal y como se muestra.
•
La cursiva indica argumentos para los que hay que suministrar valores.
•
Los corchetes [ ] indican elementos opcionales.
•
Las llaves { } contienen una elección de palabras clave necesarias.
•
Las barras verticales | separan elementos alternativos y exclusivos entre sí.
•
Las llaves y las barras verticales entre corchetes, por ejemplo [x {y | z}] indican una opción necesaria en un elemento opcional. No es necesario introducir lo que hay entre los corchetes, pero si lo hace, tendrá algunas opciones necesarias en los corchetes.
Advertencia Se ha realizado el máximo esfuerzo para hacer de este libro una obra tan completa y precisa como sea posible, pero no se ofrece ninguna garantía implícita de adecuación a un fin en particular. La información se suministra “tal como está”. Los autores no serán responsables ante cualquier persona o entidad con respecto a cualquier pérdida, daño o perjuicio que pudieran resultar emergentes de la información contenida en este libro. Todos los términos mencionados en este libro que, según consta, pertenecen a marcas comerciales o marcas de servicios, se utilizan únicamente con fines educativos. No debe considerarse que la utilización de un término en este libro afecte la validez de cualquier marca comercial o de servicio. Los conceptos, opiniones y gráficos expresados en este libro por los autores no son necesariamente los mismos que los de Cisco Systems, Inc. Los iconos y topologías mostradas en este libro se ofrecen con fines de ejemplo y no representan necesariamente un modelo de diseño para redes. Las configuraciones y salidas de los routers se han tomado de equipos reales y se ha verificado su correcto funcionamiento. No obstante, cualquier error en la trasncripción es absolutamente involuntario.
www.FreeLibros.com
36
©RA-MA
REDES CISCO. CCNP a Fondo
Algo para compartir Este libro que tienen en sus manos es un libro muy especial, detrás de sus páginas hay mucho trabajo, buen hacer, energía, ganas y entusiasmo, en definitiva, algo para compartir. Siempre he tenido la convicción de que un examen de certificación y cualificación técnica es un examen de conocimientos técnico y no un examen de idioma, por ello para un estudiante no angloparlante supone un enorme problema enfrentarse a una desmedida montaña de documentación en una lengua que no es la suya, una vasta bizarría no justificada, que ha quedado resuelta en este libro, añadiendo por otro lado la garantía personal que nos aportan los dos autores de la presente obra. Corría el año 2003 y tuve la suerte de conocer a Ernesto Ariganello y a Enrique Barrientos, me encontré con dos personas con una enorme motivación, gran cantidad de conocimiento y una impresionante capacidad de comunicación. Estuve trabajando con ellos durante unos meses muy intensos, la dimensión con la que vivimos aquel tiempo hizo que nunca volviéramos a separarnos. Con ellos tengo recuerdos muy intensos preparando documentación, planificando laboratorios, configuraciones, el día que Ernesto y yo aprobamos nuestro primer examen teórico de CCIE, y por supuesto el correo que Kike nos mandó a ambos el 31 de Marzo de 2009, titulado ‘Algo para compartir”, donde nos comunicaba que acababa de recibir su aprobado del examen práctico CCIE Routing & Switching, y su número de CCIE, el 23.973. Por un lado Ernesto, una persona muy reflexiva, siempre organizando, siempre preparando y siempre a punto; por otro lado Enrique, aunque todos le llamamos Kike, siempre fue, es y será con toda seguridad una fuente de energía, para el que no existe ni el cansancio ni el agotamiento. Conociendo a los autores, no podía brotar un libro mejor que éste, por un lado la perfección siempre buscada por Ernesto y por otro lado la energía exhibida por Kike, y por supuesto, el buen hacer y la calidad del trabajo de ambos, dan como resultado este libro de preparación del CCNP completo, claro, conciso, siendo el primer material que cubre todo el contenido del CCNP en español, una enorme y titánica tarea. Esta obra, a mi form a de ver, pretende que los estudiantes puedan evadirse del lúgubre estado que representan las montañas de información en inglés para poder acceder a un luminoso estado que insiste en la fortaleza de la formación técnica eliminando las barreras idiomáticasy culturales. Eduardo Collado
www.FreeLibros.com
PARTE I
www.FreeLibros.com
www.FreeLibros.com
Capítulo 1
EIGRP INTRODUCCIÓN A EIGRP EIG R P (Enhanced Interior Gateway Routing Protocol) es un protocolo vector distancia, que usa el mismo sistema de métricas sofisticadas que IGRP (Interior Gateway Routing Protocol) y que utiliza DUAL (Diffusing Update Algorithm) para crear generar las bases de datos de topológica. EIGRP utiliza principios de los protocolos de estado de enlace, es por ello que muchas veces se lo llame protocolo híbrido, aunque sería más correcto llamarlo protocolo de vector distancia avanzado. EIGRP es eficiente tanto en entornos IPv4 como IPv6, los fundamentos no cambian. Es importante tener en cuenta que este protocolo es una solución propietaria de Cisco, es decir, que en situaciones donde se aplican dispositivos de otros fabricantes no funcionará; de ser así habrá que migrar a una solución estándar en el futuro. EIGRP surge para eliminar las limitaciones de IGRP, aunque sigue siendo sencillo de configurar, utiliza pocos recursos de CPU y memoria. Se trata de un protocolo vector distancia avanzado, manteniendo las mejores características de los protocolos de ese tipo.
www.FreeLibros.com
40
©RA-M A
REDES CISCO. CCNP a Fondo
Cisco define cuatro propiedades principales de EIGRP: •
Protocol-dependent modules: soporta varios tipos de protocolos de capa 3, como son IPv4 o IPv6.
• Reliable Transfer Protocol (RTP): EIGRP envía paquetes utilizando protocolos confiables. •
Neighbor discovery and recovery: EIGRP utiliza helios para identificar a los nuevos routers vecinos y también darse cuenta de la pérdida de los mismos.
•
Diffusing Update Algorithm (DUAL): es el algoritmo que EIGRP utiliza para identificar las posibles rutas para alcanzar un destino y para luego elegir la mejor; además DUAL selecciona caminos “alternativos” en caso de que el principal falle.
Funcionamiento de EIGRP EIGRP envía actualizaciones “confiables” identificando sus paquetes con el protocolo IP número 88. Estas actualizaciones confiables o fiables significan que el destino tiene que enviar un acuse de recibo (ACK) al origen, es decir, que debe confirmar que ha recibido los datos. EIGRP utiliza comunicaciones:
los
siguientes
tipos
de paquetes
IP
durante
las
•
Helio: se envían periódicamente usando una dirección multicást para descubrir y mantener relaciones de vecindad.
•
Update: anuncian las rutas, se envían de manera multicást.
•
Ack: se envían para confirmar la recepción de un update.
•
Query: se usa como consulta de nuevas rutas cuando el mejor camino se ha perdido. Cuando el router que envía la consulta no recibe respuesta de alguno de sus vecinos volverá a enviarla pero esta vez en unicast, y así sucesivamente hasta que reciba un reply o hasta un máximo de 16 envíos.
•
Reply: es una respuesta a una query, con el camino alternativo o simplemente indicando que no tiene esa ruta.
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
41
Mediante los helios el router descubre a los vecinos, los paquetes son enviados periódicamente para mantenerlos en una lista de vecindad. Cuando no se recibe un helio de un determinado vecino durante un tiempo establecido (hold time) se dará por finalizada la relación de vecindad y será necesario recalcular. EIGRP comienza a descubrir vecinos vía multicást, esperando confirmaciones vía unicast. La tabla de vecinos sirve para verificar que cada uno de ellos responde a los helios; en caso de que no responda se enviará una copia vía unicast, hasta un máximo de 16 veces.
Métrica EIGRP EIGRP utiliza una métrica sofisticada basándose en los siguientes factores: •
Bandwidth, ancho de banda.
•
Load, carga.
•
Reliability, fiabilidad
•
Delay, retraso.
7 t - 7 7 K 2 x bandwidth 7 7 ^ K. métrica = 256 x K , x bandwidth H---------------------------1- K , x delay x ------------- --------256 - load ) reliability + K 4
EIGRP utiliza una métrica de enrutamiento compuesta. La ruta que posea la métrica más baja será considerada la ruta más óptima. Las métricas de EIGRP están ponderadas mediante constantes desde K1 hasta K5 que convierten los vectores de métrica EIGRP en cantidades escalables. La métrica utilizada por EIGRP se compone de: •
K1 = Bandwidth (ancho de banda): valor mínimo de ancho de banda en kbps en la ruta hacia el destinó. Se define como 10 elevado a 7 dividido por el ancho de banda del enlace más lento de todo el camino.
•
K2 = Reliability (fiabilidad): fiabilidad entre el origen y el destino, determinado por el intercambio de mensajes de actividad expresado en porcentajes. Significa lo confiable que puede ser la interfaz, en un rango expresado entre 255 como máximo y 1 como mínimo, normalmente esta constante no se utiliza.
www.FreeLibros.com
42
©RA-M A
REDES CISCO. CCNP a Fondo
•
K3 = Delay (retraso): retraso de interfaz acumulado a lo largo de la ruta en microsegundos.
•
K4 = Carga: carga de un enlace entre el origen y el destino. Medido en bits por segundo es el ancho de banda real de la ruta. Se expresa en un rango entre 255 como máximo y 1 como mínimo, normalmente esta constante no se utiliza.
•
K5 = MTU: valor de la unidad máxima de transmisión de la ruta expresado en bytes.
La métrica EIGRP se calcula en base a las variables resultantes de las constantes K1 y K3. Se divide por 107 por el valor mínimo de ancho de banda, mientras que el retraso es la sumatoria de todos los retrasos de la ruta en microsegundos y todo multiplicado por 256.
(
, . 107 v - i delay\ métrica = 256 x ----------------------------- 1- / , ------\Min{anchodebanda) 10 J
En el siguiente ejemplo la ruta hacia el destino desde R l, R2, R3, R4 es elegida como la mejor. El enlace de menor ancho de banda de esta ruta es de 768 Kbps, mientras que en la ruta por R l, R6, R5, R4 el enlace de menor ancho de banda es de 512 Kbps. M é trica =5 02 27 20
M étrica= 6689536
www.FreeLibros.com
CAPÍTULO 1. EIGRP
©RA-M A
43
El cálculo de la métrica por R l, R2, R3, R4 es el siguiente: métrica
= 256 x
f 10 7 + 22000
+
22000 + 22000
= 5022720
10
El cálculo de la métrica por R l, R6, R5, R4 es el siguiente: métrica
= 256 x
10 7 512
+
22000 + 22000 + 22000 ^ 10
= 6689536
/
DUAL El Diffusing Update Algorithm (DUAL) es el protocolo empleado por EIGRP para encontrar caminos alternativos y libres de bucles (loop) para que en el caso de que el camino principal falle usar una de estas rutas alternativas sin tener que recalcular o lo que es lo mismo, sin tener que preguntar a los vecinos acerca de cómo llegar al destino. La terminología empleada por DUAL se basa en los siguientes conceptos: •
Advertised Distance (AD): coste desde el origen hasta el router vecino hasta el destino.
•
Feasible Distance (FD): mejor métrica desde el router vecino hasta el destino más la métrica que el router origen necesita para alcanzar a ese vecino.
•
Feasible Condition (FC): es la condición que ha de cumplirse para añadir un posible camino a la tabla de topologías La Advertised Distance advertida por el vecino ha de ser menor que la Feasible Distance.
•
Feasible Successor (FS): es la forma dé definir un router de respaldo o backup para el caso de que la ruta al vecino a través del cual estamos encaminando tráfico se caiga. El Feasible Successor se habilita sin necesidad de envíos de queries a los vecinos para tratar de averiguar otro posible camino hacia el destino.
www.FreeLibros.com
44
REDES CISCO. CCNP a Fondo
©RA-MA
Queries Cuando una ruta se cae y no existe un Feasible Successor en la tabla de topologías, se envían queries a los routers vecinos para determinar cuál de ellos puede alcanzar al destino. En el caso de que éstos no tengan conocimiento, preguntarán recursivamente a sus respectivos vecinos y así sucesivamente. En el caso de que nadie resuelva la consulta, comienza un estado conocido como SIA (Stuck In Active) y el router dará tiempo vencido a la query. Este estado se puede evitar con un buen diseño de red. EIGRP utiliza Split Horizon como mecanismo de prevención de loops, evitando enviar actualizaciones de rutas en la misma interfaz por la que han sido recibidas. El siguiente gráfico ejemplifica el funcionamiento de las queries. Si el enlace entre el router B y el router C se cae, el router B pierde su único camino hacia 172.16.0.0. Gracias a las queries el router B puede buscar esa ruta a través de sus otros vecinos, el router B preguntará al router A y a su vez el router A preguntará al router E. B
c
E
Las queries se propagarán hasta que algún router responda o hasta que no queden más routers a los que preguntar. Cuando se envía una querie el router entra en estado “active” y pone en marcha un contador de tiempo, por defecto 3 minutos. Cuando este tiempo expira y no ha recibido respuesta, el router entra en estado SIA. Generalmente el router entra en este estado cuando existe algún bucle o el alcance de las queries no está debidamente limitado y se va más allá del área.
www.FreeLibros.com
©RA-M A
CAPÍTULO 1. EIGRP
45
Existen dos maneras de controlar las queries, la primera es mediante sumarización y la segunda es mediante stub routing.
Actualizaciones incrementales EIGRP utiliza periódicamente paquetes helio para mantener la relación con sus vecinos, pero el caso de las actualizaciones de enrutamiento es diferente ya que sólo se intercambian actualizaciones de ruta en el caso de que se pierda o añada una nueva ruta y estas actualizaciones son incrementales. El único momento que EIGRP utiliza actualizaciones totales es cuando establece las relaciones iniciales con otros routers.
Actualizaciones multicást EIGRP utiliza direccionamiento multicást y unicast. EIGRP utiliza RTP (Real Time Protocol), que es un protocolo propietario de Cisco para controlar la comunicación entre paquetes EIGRP. Estos paquetes son enviados con un número de secuencia y deben ser confirmados en el destino. Los paquetes Helio y los ACK no necesitan ningún tipo de confirmación mientras que los paquetes update, query y reply sí necesitan confirmación del destino. Las actualizaciones son enviadas mediante el uso de multicást. Dicha dirección multicást es de Clase D, 224.0.0.10. Cuando el vecino recibe un multicást confirma la recepción mediante un paquete unicast no confiable. El uso del direccionamiento multicást demuestra la evolución de este protocolo siendo de esta forma más efectivo que los protocolos que utilizan broadcast, como por ejemplo RIPvl o IGRP.
BALANCEO DE CARGA DESIGUAL EIGRP es el único protocolo de enrutamiento que proporciona la capacidad de hacer balanceo de carga desigual: todos los demás protocolos nos permiten hacer balanceo de carga de forma equitativa a todos los enlaces en el caso de que el coste al destino sea el mismo. Sin embargo EIGRP mediaiite el uso de la varianza permite el balanceo de carga del tipo desigual. Esto se realiza multiplicando la lista feasible por la varianza que por defecto tiene un valor de uno. Si este último valor fuese, por ejemplo, 3 la feasible lista se multiplicaría por 3 cualquier otra feasible lista que tuviera un valor menos al producto resultante serviría de igual manera para transmitir datos, ahora bien, EIGRP no transmitiría datos de forma equitativa por ambos canales sino que utilizaría las métricas para decidir qué porcentaje enviaría por cada enlace. Por ejemplo, si un enlace es de 3Mbps y otro de IMbps enviaría tres veces más datos por el primero.
www.FreeLibros.com
46
©RA-MA
REDES CISCO. CCNP a Fondo
TABLAS EIGRP EIGRP mantiene tres tipos de tablas, 1. La tabla de vecindad, en ella se listan todos los vecinos EIGRP. 2. La tabla de topologías, en ella se listan todos los posibles caminos y todas las posibles redes. 3. La tabla de enrutamiento, donde constan la o las redes principales en el caso de tener balanceo de carga.
Tabla de vecindad La tabla de vecinos es creada y mantenida mediante el uso de paquetes Helio. Estos paquetes son enviados en un principio para descubrir a los vecinos y luego se envían periódicamente para mantener información del estado de estos. Helio utiliza la dirección multicást 224.0.0.10. Cada protocolo de capa 3 soportado por EIGRP (IPv4, IPv6, IPX y Apple Talk) tiene su propia tabla de vecinos, esta información no es compartida entre estos protocolos.
Contenidos de la tabla de vecinos La tabla de vecindad contiene las siguientes informaciones: • La dirección de capa 3 del vecino. • La interfaz a través de la cual se ha escuchado el helio. • El holdtime, que es un período de tiempo de espera antes de declarar al vecino como muerto. El período del holdtime suele ser por defecto tres veces el intervalo entre los helio. •
El Uptime que se define como el período de tiempo en que se ha recibido el primer helio del vecino.
•
Número de secuencia, EIGRP lleva un registro de todos los paquetes que se van enviando entre vecinos, en estos valores se incluye el último número de secuencia que se ha enviado al vecino como así también el último número de secuencia que el vecino ha enviado al router.
•
RTO, retransmisión Timeout, éste es el período de tiempo que el router esperará antes de retransmitir un paquete que ya haya sido enviado a través de un protocolo orientado a la conexión.
www.FreeLibros.com
CAPÍTULO 1. EIGRP
© RA-MA
47
•
SRTT, Smooth Round Trip Time, con el que se calcula el RTO. Es el tiempo medido en milisegundos que un paquete tarda en llegar a un vecino y recibir un acuse de recibo por parte de éste.
•
Número de paquetes en cola, esto permite monitorizar al administrador de la red si existe congestión en la red.
Establecimiento de la vecindad Todos los routers EIGRP se anuncian' periódicamente a sus vecinos mediante el protocolo helio utilizando la dirección multicást 224.0.0.10. Los demás routers al escuchar estos helio añaden a éste en la tabla de vecindad que se mantiene establecida siempre y cuando se sigan escuchando periódicamente los paquetes helio. Si trascurrido el tiempo de hold timer dicho vecino se declarara como no operacional será eliminado de la tabla de vecinos. Como se ha dicho anteriormente el hold timer es tres veces el período helio, es decir, que si se pierden tres helio se dará por caído al vecino. Para interfaces rápidas o tipo LAN se enviarán paquetes helio cada 5 segundos mientras el hold timer será de 15. Para el caso de interfaces tipo WAN o más lentas el período será cada 60 segundos y el hold timer de 180. Para establecerse la vecindad se deben cumplir tres condiciones: 1. El router debe escuchar un helio por parte de su vecino. 2. El sistema autónomo que está configurado en el router EIGRP debe ser igual en ambos vecinos. 3. Los valores de las constantes “K” utilizados para el cálculo de la métrica tienen que ser iguales para todos los vecinos. La sintaxis muestra un ejemplo de un show ip eigrp neighbors Router#show ip eigrp neighbors IP-EIGRP neighbors for process 45 H Address Interface Hold Uptime (sec) 0 172.16.2.1 S0/0 10 08:10:01
SRTT
RTO Q Seq Type (ms) Cnt Num 1 1100 2 276
Creando la tabla de topología Después de que el router conoce quiénes son sus vecinos, es capaz de crear una tabla topológica y de esa manera asignar el successor y el feasible successors para cada una de las rutas. Además de los successors se agregan también las otras
www.FreeLibros.com
48
©RA-M A
REDES CISCO. CCNP a Fondo
rutas que se llaman possibilities. La tabla de topología se encarga de seleccionar qué rutas serán pasadas a la tabla de enrutamiento. La tabla de topología contiene la siguiente información: •
El estado de la ruta, activa o pasiva.
•
Información de las actualizaciones hacia los vecinos.
•
Información de los envíos de paquetes query hacia algunos de los vecinos, que de ser así, al menos una de las rutas debe estar marcada como activa.
•
Si se han enviado paquetes query se activa un contador a la espera de una respuesta del vecino.
•
Si se han enviado respuestas a las consultas de algún vecino.
•
Información sobre prefijos, máscaras, interfaces, próximosalto, rutas remotas y las distancias feasible y advertised para todas las redes remotas.
La tabla de topología se ha creado a partir de los paquetes de actualizaciones que se han intercambiado entre los vecinos y de las respuestas a los paquetes query que se han enviado a los demás routers. Las consultas y respuestas que DUAL utiliza son enviadas de manera confiable usando una dirección multicást y el protocolo RTP, propietario de Cisco. Si el router no escucha un acuse de recibo (ACK) dentro del tiempo estipulado, retransmitirá el paquete de manera unicast. Si luego de 16 intentos no se obtiene respuesta, se declara a ese vecino como muerto. Cada vez que el router envía un paquete RTP incrementa la secuencia en 1. El router debe escuchar un ACK de cada uno de los routers antes de enviar el siguiente paquete. Esta forma de enviar retransmisiones de manera unicast hace que sea menor el tiempo que se tarda en construir las tablas. Cuando el router tiene conocimiento de la constitución de la topología, utiliza DUAL para determinar cuál es la mejor ruta hacia la red remota, que es finalmente agregada a la tabla de enrutamiento.
www.FreeLibros.com
CAPÍTULO 1. EIGRP
© RA-MA
49
Manteniendo la tablas de topología La tabla de topologías podría cambiar en el caso de que se añadiera una nueva red, de que cambiara el sucesor o de que se perdiera una red. La imagen muestra el flujo de datos cuando el router pierde una conexión.
La tabla de topología lleva un registro de todos los paquetes que han sido enviados a los vecinos, también identifica el estado de las redes. Recordando que el estado activo significa que hay algún tipo de problema en la red, mientras que en pasivo no existe problema alguno. Debido a que la tabla de enrutamiento se construye a partir de la de topología, ésta debe contener toda la información que es requerida por ésta, incluido el próximo salto (next hop) del vecino con su respectiva métrica, tomada a partir de la feasible distance.
Agregando una red a la tabla de topología Cuando se agrega una red a un router que ya ha convergido, esta nueva red es propagada a todo el dominio EIGRP de la siguiente manera:
www.FreeLibros.com
50
©RA-M A
REDES CISCO. CCNP a Fondo
•
A partir de que el router detecta la nueva red comienza a enviar helio a través de la interfaz de la nueva red pero no recibe ninguna respuesta debido a que no hay otros routers en el mismo segmento. Esto último no aplica a la tabla de vecinos ningún cambio, pero sí agrega una nueva entrada a la tabla de topologías.
•
EIGRP enviará paquetes de actualización en la antigua interfaz para dar a conocer a los demás routers la nueva red. Estos paquetes son orientados a la conexión, por lo tanto, se espera un ACK de cada uno de los vecinos.
•
Los routers vecinos actualizarán sus tablas de vecindad comparando los números de secuencia y agregarán la nueva red a la tabla de topologías. Finalmente calcularán la feasible distance y el successor para agregar en la tabla de enrutamiento.
Suprimiendo una ruta de la tabla de topología 1. Cuando un router pierde conectividad con una de sus redes directamente conectadas, actualiza su tabla de topología y su tabla de enrutamiento y envía estas actualizaciones a sus vecinos. 2. Una vez que los vecinos reciben esas actualizaciones, actualizan sus tablas de vecindad y la de topologías. 3. A partir de ese momento los vecinos buscarán alternativas para llegar a la ruta remota examinando su tabla de topología, pero como en este caso había sólo una ruta para llegar al destino, no encontrará ningún tipo de alternativa. 4. Al no encontrar otras rutas disponibles, el vecino enviará paquetes query a todos sus vecinos solicitando información para llegar a la red remota. A partir de ese momento la ruta se marca como activa en la tabla de topología. 5. El router lleva un registro de todos los paquetes tipo query y espera que todos los vecinos le respondan para poder actualizar sus tablas de topología y vecinos.
6. DUAL comienza a funcionar tan pronto como se pierde conectividad con la red remota, se encarga de determinar cuál será el mejor camino y de agregarlo a la tabla de enrutamiento.
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
51
7. Antes de responder, se envía un query a sus propios vecinos.
8. En caso de que no se encuentre ninguna ruta disponible losvecinos envían un reply como respuesta informando de que no poseen ninguna ruta disponible. 9. Como ningún router puede proporcionar una ruta alternativa borran esa red de la tabla de topología y de la tabla de enrutamiento.
Buscando rutas alternativas Cuando un router pierde la información de una red ocurre lo siguiente: •
El router identifica la o las redes afectadas.
•
El router mira en la tabla de topologías para saber si hay alguna ruta alternativa buscando un feasible successor.
•
Si el router encuentra un feasible successor, agrega la ruta a la tabla de enrutamiento. De lo contrario pondrá la ruta en activo enviando query a todos los vecinos.
•
Si un vecino tiene información de la ruta, enviará una respuesta y se agregará a la tabla de topologías.
•
Si no se reciben respuestas los mensajes son propagados.
Cuando un router envía paquetes query, éstos quedan registrados en la tabla de topologías para verificar si se reciben respuestas. Si el router no recibe dicha respuesta el vecino es borrado de la tabla de topologías como así también todas las redes que han sido anunciadas por ese vecino. En redes de grandes dimensiones, en enlaces lentos o redes mal diseñadas este proceso puede generar algún tipo de problema identificando la ruta perdida como SIA.
Creando la tabla de enrutamiento La tabla de enrutamiento se construye a partir de la tabla de topología mediante el uso del algoritmo DUAL. La tabla de topología contiene toda la información de enrutamiento que el router conoce a través de EIGRP; por medio de esta información el router puede ejecutar DUAL y así determinar el sucesor y el feasible successor, el sucesor será el que finalmente se agregue a la tabla de enrutamiento.
www.FreeLibros.com
52
REDES CISCO. CCNP a Fondo
©RA-M A
Selección de rutas EIGRP DUAL utiliza las métricas para determinar la mejor o mejores rutas hacia un destino. Se pueden tener hasta 16 caminos diferentes hacia un mismo destino. Hay tres tipos diferentes de caminos o rutas: 1. Intemal, rutas que están directamente configuradas en el router mediante el comando network. 2.
Summary, son rutas internas sumarizadas.
3. Extemal, rutas redistribuidas en EIGRP.
Actualizando las tablas de enrutamiento en modo pasivo con DUAL Cuando una ruta se cae, en principio DUAL busca en la tabla de topología un feasible successor; en caso de que encuentre uno el router permanece en modo pasivo. La ruta es agregada a la tabla de enrutamiento.
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
53
El gráfico muestra una topología de estudio para observar esta operación •
La feasible distance del router A al router G es 10, contando la métrica de A hacia D y de D hacia G.
•
La advertised distance del router A al router G es 5, anunciada por el vecino D.
•
Se observa que la feasible distance es 10, mayor que la advertised distance que es 5. Cumpliendo de esta manera la feasible condition permitiendo así llegar a ser feasible distance.
•
De esta forma si el enlace entre el router A y el router D se cae, el router A deberá mirar en su tabla de topología.
•
En esta tabla existen rutas alternativas: - De D+H+E hasta G (7+5+7) con una advertised distance de 19. - De D+H+F hasta G (7+5+8) con una advertised distance de 20. - Siendo éstas mayores que la feasible distance original que era 10 no cumplen con la condición para ser el feasible successor. - La ruta entre A+E+G tiene una advertised distance de 7 menor que la original 10, convirtiéndose de esta forma en el feasible successor reemplazando a la ruta original. - La nueva ruta se agrega a la tabla de enrutamiento. El router A no cambiará en ningún momento de modo pasivo a modo activo.
Actualizando las tablas de enrutamiento en modo activo con DUAL En el siguiente diagrama no se encuentra ninguna ruta alternativa en la tabla de topologías.
www.FreeLibros.com
54
©RA-M A
REDES CISCO. CCNP a Fondo
La tabla de topologías del router A tiene una ruta hacia el router X a través de D+G. La feasible distance es 20 y la advertised distance desde D es 15. Cuando el router D cae el router A debe buscar una ruta alternativa hacia X. •
El router A descarta los vecinos B, C, E y F como feasible successors debido a que las advertised distances son de 27, 27, 20 y 21 respectivamente. Estos valores son iguales o mayores que el advertido por el feasible successor, es decir, que no cumplen con la feasible condition.
•
A partir de ese instante el router A se pone en modo activo enviando consultas queries a todos los vecinos.
•
Los routers E y F responden con feasible successor ya que ambos reciben advertised distance de 5 desde el router G.
•
Todos los routers que enviaban queries vuelven al modo pasivo.
•
La tabla de topología y la tabla de enrutamiento son actualizadas acorde a la nueva red.
•
El router A elige la ruta a través del router E, ya que la feasible distance es menor y se agrega a la tabla de enrutamiento.
•
La ruta a través del router F se agrega a la tabla de topología como un feasible successor.
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
55
DISEÑO DE RED CON EIGRP EIGRP fue diseñado para su uso en redes grandes y complejas, pero a su vez es muy sensible a los nuevos cambios que se introducen en el diseño de la red. Hay que tener en cuenta ciertos factores que pueden afectar la escalabilidad de EIGRP al incluir cambios en la red: •
Cantidad de información que se envían entre vecinos.
•
Cantidad de routers que reciben actualizaciones.
•
Distancia entre routers vecinos.
•
La cantidad de rutas alternativas hacia redes remotas.
Un diseño de red inadecuado con EIGRP puede causar los siguientes problemas: • Router en stuck in active. • Congestión de red. •
Pérdida de información de enrutamiento.
• Rutas inestables. • Retransmisiones. • Excesivo consumo de memoria y recurso de CPU del router.
Problemas en el diseño de EIGRP El mayor problema a la hora de diseñar una red con EIGRP es limitar la cantidad de anuncios y consultas entre los routers y hasta dónde pueden llegar éstas. Esto es particularmente importante en enlaces WAN lentos debido a que enviando menos información acerca de la red aumenta la capacidad de los datos que se envían entre clientes y servidores, aunque en contraposición disminuye la información a la hora de encontrar caminos alternativos.
www.FreeLibros.com
56
©RA-MA
REDES CISCO. CCNP a Fondo
Ante esta situación hay que encontrar un equilibrio entre sumarización y toda otra información posible que se pueda enviar por la red. Finalmente el administrador de red preferirá aumentar la sumarización a disminuirla. EIGRP, por defecto, sumariza todos los prefijos de red que posee hacia la red classfull cuando debe sobrepasar límites entre redes. Normalmente el administrador de red deshabilita esta configuración por defecto, para luego aplicar la sumarización de manera manual según él crea conveniente. Ciertas topologías presentan mayores inconvenientes para el uso de EIGRP, en particular las del tipo hub-and-spoke ya que en estas topologías se envían consultas a routers que seguramente no serán capaces de responder con rutas alternativas. En estos casos para hacer que la red sea más efectiva se pueden emplear filtros o sumarización para impedir la propagación de estas consultas innecesarias. A la hora del diseño se deben tener en cuenta ciertas acciones para no tener problemas con el escalado en el direccionamiento IP: •
Asignar un direccionamiento IP y organizar los enlaces de manera que la sumarización sea efectiva, utilizando para ello un diseño de red jerárquico.
•
Utilizar dispositivos proporcionales a la red de manera que las memorias y CPU puedan soportar con efectividad el protocolo de enrutamiento.
•
Utilizar enlaces de red, especialmente WAN, con suficiente ancho de banda.
•
Utilizar filtros para limitar anuncios innecesarios. Monitorizar la red adecuadamente.
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
57
CONFIGURACIÓN DE EIGRP Configuración básica de EIGRP EIGRP es un protocolo de enrutamiento classless o sin clase, es decir, que en las actualizaciones envía tanto el prefijo de red como la máscara de subred. Los protocolos de enrutamiento sin clase son capaces de sumarizar. EIGRP permite sumarizar en cualquier tipo de interfaz y de ruta, algo sumamente importante a la hora de diseñar una red EIGRP escalable. Para la configuración básica de EIGRP es necesario activar el protocolo con su correspondiente AS (sistema autónomo) y las interfaces que participan en el proceso. Router(config)#router eigrp autonomous-system-number Router(config-router)#network network-number
A partir de esta configuración todas las interfaces relacionadas con el comando network comienzan a buscar routers vecinos dentro del mismo AS para establecer una relación de vecindad. Para el caso concreto de que dicha interfaz necesite ser advertida pero que no establezca una relación con el vecino se debe configurar dentro del protocolo de la siguiente manera: Router(config-router)#passive-interface ínterface-number
Con esto de evitará el envío de helio por la interfaz en cuestión. El comando network puede individualizar una interfaz especificando una máscara comodín o wildcard: Router(config-router)#network network-number [wildcard-network-mask]
Observe el ejemplo: Router(config)#interface SO Router(config-if)#ip address 172.16.0.1 255.255.255.0 Router(config-if)#interface SI Router(config-if)#ip address 172.16.22.1 255.255.255.0 Router(config)#router eigrp 220 Router(config-router)#network 172.16.0.1 0.0.0.0
www.FreeLibros.com
58
©RA-M A
REDES CISCO. CCNP a Fondo
La tabla siguiente muestra una serie de commandos opcionales en la configuración de EIGRP:
Comando
Descripción
no auto-summary
Desactiva la sumarización classfiil que viene por defecto.
ip summary-address
Configura manualmente la sumarización.
eigrp stub
Configura un router stub.
variance
Configura el balanceo de carga desigual.
ip hello-interval eigrp autonomoussys tem-number seconds
Cambia la frecuencia de envíos de los helio.
ip hold-time eigrp autonomous-systemnumber seconds
Cambia los tiempos para considerar que un vecino ha muerto.
bandwidth
Cambia el ancho de banda de una interfaz, en este caso EIGRP utiliza este parámetro para calcular su métrica.
ip bandwidthpercent eigrp asnumber
Cambia el máximo ancho de banda que EIGRP utilizará, por defecto es el 50%.
Sumarización en EIGRP Si se pretende tener una red altamente escalable, tanto en EIGRP como en cualquier otro protocolo, es sumamente importante tener en cuenta el proceso de sumarización. Gracias a la sumarización se limita la cantidad de anuncios de rutas, se limita el tamaño de la tabla de enrutamiento y se optimiza la convergencia de la misma. Al mismo tiempo se limita el recálculo de rutas ayudando así al menor consumo de recursos de memoria y CPU del router. La sumarización ayuda a limitar el alcance de las consultas (query) que se van activando recursivamente en todos los routers hasta que se comienzan a recibir respuestas de todos los vecinos. Si se generan sumarizaciones en partes estratégicas
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
59
de la red no se anunciarán rutas innecesarias hacia un determinado destino, haciendo que los routers no pasen al modo Stuck In Active (SIA). En las versiones actuales de IOS la sumarización pasa automáticamente los límites classfull entre redes. Esta sumarización puede ser muy efectiva pero a la vez un problema si las redes son discontinuas en la red, en cuyo caso será necesario desactivarla y configurarla de manera manual de la manera que el administrador lo considere conveniente. Existen dos comandos para configurar la sumarización, •
no auto-summary, que sirve para deshabilitar la configuración global que por defecto hace el router.
•
ip summary address eigrp, que se configura a nivel de interfaz.
La sintaxis para la configuración en la interfaz es la siguiente: Router(config-if)#ip summary-address eigrp autonomous-system-number address mask
Router Stub Los routers stub en EIGRP sirven para enviar una cantidad limitada de información entre ellos mismos y los routers de núcleo o core. De esta manera se ahorran recursos de memoria y CPU en los routers stub. Los routers stub solamente tienen un vecino que acorde con buen diseño de red debería ser un router de distribución, de esta forma el router stub o remoto sólo tiene una red que apunta hacia el router de distribución para alcanzar cualquier otro prefijo en la red. Configurando un router como stub ayuda al buen funcionamiento de la red, las consultas se responden mucho más rápido. Estos routers responden a esas consultas con mensajes de inaccesibles limitando así el ámbito de dichas consultas. La sintaxis de configuración de EIGRP stub es la siguiente: Router(config-router)# eigrp stub [receive-only|connected| redistributed|static |summary]
www.FreeLibros.com
60
©RA-MA
REDES CISCO. CCNP a Fondo
Los parámetros entre corchetes son opcionales, el ejemplo que sigue muestra la configuración de un router stub: RouterB(config)#router eigrp 220 RouterB(config-router)#network 172.16.0.0 255.255.0.0 RouterB(config-router)#eigrp stub
En el siguiente gráfico se observan un conjunto de routers que son buenos candidatos para ser configurados como stub
100. 10. 100.20 100. 10. 100.24
100 . 10 . 1.0 100 10 2.0
. .
100. 10. 3.0 100. 10. 4.0 100. 10. 5.0
Balanceo de carga en EIGRP EIGRP de manera automática balancea carga a través de enlaces del mismo coste. El mecanismo empleado dependerá del proceso de switching interno que se tenga en el router. Se puede configurar EIGRP para balancear carga a través de enlaces de distinto coste, esto lo hace único ya que los demás IGP no son capaces de hacer este proceso. Para esto se utiliza el comando variance, donde la métrica hacia la mejor ruta es multiplicada por la varianza utilizada, de esta manera las rutas alternativas con una feasible distance menor que el producto son utilizadas para hacer balanceo de carga.
www.FreeLibros.com
©RA-M A
CAPÍTULO 1. EIGRP
61
La sintaxis muestra la configuración de la varianza: Router(config-router)#variance multiplier
El rango de valores de configuración del multiplicador es 1-128, por defecto dicho valor es 1, lo que quiere decir que el balanceo de carga será igual. Por lo tanto lo que hace EIGRP es multiplicar la mejor métrica por dicho valor haciendo posible que todas las rutas hacia un mismo destino que posean métricas menores a ese producto se incluyan en el balanceo de carga. La cantidad de información que se envía por cada enlace es proporcional a la métrica de cada ruta.
MEJORANDO EL FUNCIONAMIENTO DE EIGRP Se puede mejorar el desempeño de la red de varias maneras, la sumarización y el balanceo de carga son las dos formas principales de hacerlo, pero también existen otras técnicas. Estas incluyen reducir la frecuencia con la que se envían helio y hold timer. Sin embargo hay que ser cuidadoso al reducir dicha frecuencia entre los helio ya que si bien se aumenta el ancho de banda, el tiempo en descubrir que un router no directamente conectado ha caído será mayor. Como resultado la convergencia de la red será más lenta a cambio de un ancho de banda más efectivo al enviar menos helio a la red. Los valores de configuración de los intervalos de helio deben cambiarse si se requieren configuraciones especiales, puesto que los valores por defecto son generalmente efectivos. Aunque en muchos casos los valores de configuración de estos intervalos pueden ser diferentes, se recomienda que dichos valores sean los mismos entre todos los vecinos.
Temporizadores El router utiliza los helio para determinar si un vecino ha muerto. Existen dos opciones para declarar a un vecino como caído: una es cuando el router vecino está directamente conectado a una interfaz del router local y ésta se cae, este vecino se declarará como muerto. La otra opción es cuando entre ambos routers existe un dispositivo como un switch, entonces la determinación de que ha muerto dependerá del hold timer cuyos tiempos obedecen a la configuración del helio time. Los tiempos en los intervalos helio deben modificarse disminuyendo los valores en función de la rapidez con que interese declarar a un vecino como muerto.
www.FreeLibros.com
62
©RA-M A
REDES CISCO. CCNP a Fondo
Los valores recomendables para la configuración de los intervalos helio en enlaces de alto ancho de banda es de 5 segundos, como es el caso de ethemet, token ring FDDI, PPP, HDLC, ATM o cualquier ancho de banda superior a un TI. Para enlaces de menor ancho de banda el valor recomendable es de 60 segundos. Antes de declarar a un vecino como muerto, el router esperara un hold timer, que por defecto es tres veces el tiempo de un helio. La sintaxis de configuración de los intervalos helio y hold timer es la siguiente: Router(config-if)#ip hello-interval eigrp autonomous-system-number seconds Router(config-if)#ip hold-time eigrp autonomous-system-number seconds
El siguiente ejemplo muestra la configuración del helio y hold timer en una interfaz seial 0 Router(config)#interface Serial 0 Router(config-if)#ip hello-interval eigrp 220 10 Router(config-if)#ip hold-time eigrp 220 30
Autenticación EIGRP EIGRP soporta dos formas de autenticación, mediante la utilización de una contraseña simple o mediante una contraseña cifrada MD5. En el caso de las contraseñas simples se envían en formato de texto plano. Estas series de caracteres sin encriptar deben ser iguales en el origen y en el destino. Este sistema de autenticación no es seguro ya que pueden interceptarse y leerse las claves. Contrariamente los valores MD5 son seguros debido al tipo de encriptación que, a pesar de ser interceptados, no podrían leerse. Para especificar el tipo de autenticación se debe hacer en el modo interfaz: router(config-if)#ip authentication mode eigrp autonomous-system md5
Para definir la contraseña hay que crear una cadena de claves llamada key chain y luego definir el nombre de la contraseña en el key string.
www.FreeLibros.com
©RA-M A
CAPÍTULO 1. EIGRP
63
router(config-if)#ip authentication key-chain eigrp autonomoussystem chain-name router(config-if)#key chain chain-name router(config-if)#key key-id router(conf ig-keychain-key)#key-string key
El ejemplo que sigue muestra una configuración de autenticación EIGRP en un AS 220: router(config-if)#ip authentication mode eigrp 220 md5 router(config-if)#ip authentication key-chain eigrp 220 secret router(config)#key chain secret router(config-keychain)#key 10 router(config-keychain-key)#key-string contraseña
Lo recomendable es configurar primero la key chain para configurar luego en la interfaz correspondiente la autenticación, hacerlo de forma inversa puede generar problemas de funcionalidad.
EIGRP en redes WAN EIGRP es único entre todos los demás protocolos a la hora de restringirse a sí mismo en la utilización del ancho de banda, no utilizando por defecto más del 50% del ancho de banda disponible en el enlace. Recuerde que el comando bandwidth es un valor arbitrario que utilizan los protocolos para el cálculo de métrica y que no es el ancho de banda real del enlace. Según esto último si el valor configurado en el bandwidth supera el ancho de banda real, podría afectar severamente al funcionamiento de la red al saturar el enlace. Para evitar este problema es necesario hacer un show interface y verificar si el ancho de banda de la interfaz está configurado correctamente. Router# show interface serial 0 SerialO is up, line protocol is up Hardware is HD64570 Internet address is 172.25.146.182/30 MTU 1500 bytes, BW 1280 Kbit, DLY 20000 usec, 1/255
rely 255/255,
load
La sintaxis para la configuración del bandwidth en una determinada interfaz es la siguiente: Router(config-if)#bandwidth speed-of-line
www.FreeLibros.com
64
©RA-M A
REDES CISCO. CCNP a Fondo
Optimización del ancho de banda Las redes NBMA (Nonbroadcast Multiaccess) puede tener dos tipos de conexiones, punto a punto o multipunto en cualquiera de estos casos hay que tener en cuenta las siguientes reglas: •
EIGRP no debe exceder el C IR (Committed Information Rate) de los circuitos virtuales (VC).
•
El tráfico generado EIGRP en todos los circuitos virtuales no debe exceder la velocidad de la interfaz.
•
El ancho de banda utilizado por EIGRP en cada circuito virtual debe ser el mismo en ambas direcciones.
El comando bandwidth influye en cómo EIGRP utilizarán los circuitos virtuales en una red NBMA. Si existen varios circuitos virtuales en una red multipunto, EIGRP asume que el ancho de banda debe repartirse por igual en todos los VC limitándose por defecto a utilizar la mitad de ese ancho de banda. Por lo tanto el comando bandwidth debe reflejar el ancho de banda real de la interfaz, es decir, multiplicando el ancho de banda de cada VC por la cantidad de los mismos. Si existen demasiados circuitos virtuales podría suceder que no exista el suficiente ancho de banda para el tráfico requerido por EIGRP. En este caso se debe configurar la interfaz con un ancho de banda menor que la velocidad real del circuito, haciendo que EIGRP cambie el porcentaje que por defecto tiene en el uso del ancho de banda. Router(config-if)#ip bandwidth-percent eigrp autonomous-systemnumber percent
VERIFICACIÓN EIGRP A continuación se describen varios comandos show que muestran el funcionamiento de EIGRP: Router#show ip eigrp neighbors [type number]
Este comando muestra información detallada de los vecinos. Guarda un registro minucioso de las comunicaciones entre el router y sus vecinos, las interfaces y el direccionamiento IP.
www.FreeLibros.com
©RA-M A
CAPÍTULO 1. EIGRP
65
Router# show ip eigrp neighbors
IP-EIGRP Neighbors for process 220 Address interface Holdtime (secs) 198.162.16.34 EthernetO 18 20 198.153.45.16 Ethernetl 172.45.123.22 Ethernet2 33
Campo
(h:m:s) 0:00:11 0:02:21 0:01:02
Count Num 0 10 0 11 0 4
Uptime QSeqSRTTRTO (ms) (ms) 6 20 11 25 5 2
Descripción
process
Número de sistema autónomo.
Address
Dirección IP del vecino.
Interface
Interfaz que recibe los helio.
Holdtime
Período de tiempo medido en segundos antes de declarar , al vecino como muerto.
Uptime
Tiempo transcurrido desde que se recibe la información del vecino, en horas, minutos y segundos.
Q Count
Número de paquetes EIGRP (update, query, and reply) que el router tiene en cola.
Seq Num
Número de secuencia del último paquete recibido del vecino.
SRTT
Smooth Round-Trip Time. Tiempo en milisegundos desde que se envía un paquete hasta que se recibe un ACK.
RTO
Retransmission Timeout, es el tiempo de espera de un ACK antes de reenviar un paquete. Se mide en milisegundos.
Router#show ip eigrp topology [autonomous-system-number ¡ [[ipaddress] mask]]
Este comando muestra la tabla de topologías con información detallada sobre toda la red, sobre todo las posibles rutas y próximos saltos para esas rutas; también muestra los paquetes que se han enviado a los vecinos. El funcionamiento de DUAL, el successor, el feasible successor también se muestran con este comando.
www.FreeLibros.com
66
©RA-M A
REDES CISCO. CCNP a Fondo
Router# show ip eigrp topology
IP-EIGRP Topology Table for process 220 Codes:P - Passive, A - Active, U - Update, Q - Query, R — Reply, r Reply status P 192.100.56.0 255.255.255.0, 2 successors, FD is 0 via 192.100.16.34 (62517761/62261761), Ethernetl via 192.100.45.16 (62517761/62261761), Ethernet2 via 192.100.123.22 (62773761/62517761), EthernetO P 192.100.44.0 255.255.255.0, 1 successors, FD is 406200 via Connected, Ethernetl via 192.100.45.22 (407200/281600), Ethernetl via 192.100.32.31 (432800/307200), EthernetO
Campo
Descripción
p
Passive. El router no ha recibido ninguna información de cambios, lo que indica que la red está estable.
A
Active. Esto ocurre si el successor esta caído, entonces se intenta buscar una ruta alternativa.
U
Update. Valor que indica que se ha enviado una actualización a un vecino.
Q
Query. Valor que indica que se ha enviado una consulta a un vecino.
R
Reply. Valor que indica que se ha enviado una respuesta a un vecino.
r
Este valor se utiliza junto con las consultas, esto indica que se está esperando una respuesta.
192.100.44.0 255.255.255.0 successors
Red de destino. Máscara de la red de destino. Es el número de rutas o siguiente salto lógico.
via
Dirección del siguiente salto. La primera entrada es del successors y la siguiente del feasible successors.
(62517761/ 62261761)
El primero de estos valores en la métrica EIGRP y el segundo la métrica advertida por el vecino (AD).
EthernetO
Interfaz por la cual EIGRP es anunciado y la interfaz de salida.
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
67
Router#show ip eigrp traffic [autonomous-system-number]
Este comando muestra la información del tráfico EIGRP generado y recibido por el router. Router# show ip eigrp traffic
IP-EIGRP Traffic Statistics for process 220 Helios sent/received: 118/105 Updates sent/received: 17/13 Queries sent/received: 12/10 Replies sent/received: 10/22 Acks sent/received: 2/4
Descripción
Campo process 220
Número de sistema autónomo.
Helios sent/received
Número de paquetes helio enviados y recibidos por el router.
Updates sent/received
Número de paquetes updates enviados y recibidos por el router.
Queries sent/received
Número de paquetes queries enviados y recibidos por el router.
Replies sent/received
Número de paquetes replies enviados y recibidos por el router.
Acks sent/rece ived
Número de paquetes ACK enviados y recibidos por el router.
RESOLUCIÓN DE FALLOS EN EIGRP Existen dos herramientas fundamentales para la resolución de problemas en EIGRP. La primera es la documentación, a través de ésta se puede tener un diseño más efectivo y brinda un apoyo a la hora de buscar soluciones cuando existen fallos. La segunda herramienta son los comandos debug que permiten monitorizar lo que está ocurriendo en la red. Como todos los comandos debug hay que extremar los cuidados al utilizarlos ya que podría causar un consumo excesivo de recursos del router hasta dejarlo completamente inoperable.
www.FreeLibros.com
68
©RA-MA
REDES CISCO. CCNP a Fondo
Comando
Descripción
debug ip eigrp packet
Muestra los paquetes EIGRP enviados y recibidos por el router. Los paquetes pueden ser seleccionados hasta 11 tipos.
debug ip eigrp neighbors
Muestra los paquetes helio enviados y recibidos por el router y el proceso de descubrir a los vecinos.
debug ip eigrp
Muestra dinámicamente los cambios en la tabla de enrutamiento.
debug ip eigrp summary
Muestra los procesos resumidos EIGRP.
www.FreeLibros.com
Capítulo 2
OSPF INTRODUCCIÓN A OSPF OSPF (Open Shortest Path First) es un protocolo de enrutamiento estándar definido en la RFC 2328. Utiliza el algoritmo SPF (Shortest Path First) para encontrar las mejores rutas hacia los diferentes destinos y es capaz de converger muy rápidamente. Esto último conlleva un alto uso de CPU del router por lo que hay que tener precauciones a la hora de diseñar la red. Es flexible en el diseño de red y al ser un estándar soporta dispositivos de todos los fabricantes.
Un protocolo de estado de enlace es un protocolo sofisticado que utiliza el algoritmo de Dijkstra para determinar el camino más corto hacia el destino libre de bucles. Estos protocolos utilizan localmente mayores recursos que los protocolos vector distancia ya que deben calcular más datos con el objetivo de reducir tráfico de red. Los protocolos de estado de enlace llevan un registro de todas las posibles rutas para de esta manera no utilizar las técnicas de los vectores distancia para evitar bucles. Estas son algunas ventajas de OSPF sobre otros protocolos de estado de enlace: •
Es un protocolo classless permitiendo sumarización.
•
Converge muy rápidamente.
•
Es estándar, lo que permite configurarlo en un escenario con diferentes tipos de fabricantes.
www.FreeLibros.com
70
©RA-M A
REDES CISCO. CCNP a Fondo
•
Aprovecha el ancho de banda disponible.
•
Utiliza multicást en lugar de broadcast.
•
Envía actualizaciones incrementales.
•
Utiliza el coste como única métrica.
Funcionamiento de OSPF Los protocolos vector distancia anuncian rutas hacia los vecinos, pero los protocolos estado de enlace anuncian una lista de todas sus conexiones. Cuando un enlace se cae se envían LSA (Link-State Advertisement), que son compartidas por los vecinos como así también una base topológica LSDB (Link-State Database). Las LSA se identifican con un número de secuencia para reconocer las más recientes, en un rango de 0x8000 0001 al OxFFFF FFFF. Cuando los routers convergen tienen la misma LDSB, a partir de ese momento SPF es capaz de determinar la mejor ruta hacia el destino. La tabla de topología es la visión que tiene el router de la red dentro del área en que se encuentra incluyendo además todos los routers. Router#show ip ospf database OSPF Router with ID (172.18.6.1) (Process ID 87) Router Link States (Area 10) Link ID Checksum ADV Router Seq# Age 172.18.6.1 0x80000005 0x008367 172.18.6.1 108 172.19.2.1 0x80000004 0x00C25B 172.19.2.1 144 192.168.2.3 0x80000006 OxOOlDDE 192.168.2.3 109 192.168.2.5 0x80000006 0x007CFD 192.168.2.5 109 Net Link States (Area 10) Link ID Checksum Seq# ADV Router Age 172.18.5.3 0x80000003 0x001612 172.19.2.1 144 192.168.1.1 0x80000001 0x007CE5 172.18.6.1 208 192.168.2.1 0x80000001 0x0071EF 172.18.6.1 208 Summary Net Link States (Area 10) Link ID Checksum Seq# ADV Router Age 0.0.0.0 172.19.2.1 0x80000001 0x00F288 978 2.2.2.2 172.19.2.1 0x80000001 0x0096DC 973 2.2.2.3 172.19.2.1 0x80000001 0x008CE5 973 2.2.2.4 172.19.2.1 0x80000001 0x0082EE 973 172.19.2.1 172.19.2.1 0x80000001 0x00298F 973 172.20.10.0 0x80000001 0x 00472a 172.19.2.1 397
Link count 4 1 4 3
Recuerde que la tabla de topologías se actualiza por cada una de las LSA que envían cada uno de los routers dentro de la misma área y que todos estos routers comparten la misma base de datos. Si existen inconsistencias en esta base de datos podrían generarse bucles; es el propio router el encargado de avisar que ha habido algún cambio e informar del mismo. Algunas de éstas pueden ser:
www.FreeLibros.com
© RA-MA
CAPÍTULO 2. OSPF
•
Pérdida de conexión física o link en algunas de sus interfaces.
•
No se reciben los helio en el tiempo establecido por sus vecinos.
•
Se recibe un LSA con información de cambios en la topología.
71
En cualquiera de los tres casos anteriores el router generará una LSA enviando a sus vecinos la siguiente información: •
Si la LSA es mas reciente se añade a la base de datos. Se reenvían a todos los vecinos para que actualicen sus tablas y SPF comienza a funcionar.
•
Si el número de secuencia es el mismo que el router ya tiene registrado en la base de datos, ignorará esta actualización.
•
Si el número de secuencia es anterior al que está registrado, el router enviará la versión nueva al router que envió la anterior. De esta forma se asegura que todos los routers poseen la última versión.
Métrica OSPF El coste es la métrica utilizada por OSPF. Un factor importante en el intercambio de las LSA es la relativa a la métrica. La implementación de Cisco calcula el coste mediante la siguiente formula: _ lOO.OOO.OOOfow 10 i bps Coste = -----------------— = ----------- -------VelocidadEnlace VelocidadEnlace Si existen varios caminos para llegar al destino con el mismo coste, OSPF efectúa por defecto un balanceo de carga hasta 4 rutas diferentes. Este valor admite hasta 16 rutas diferentes. OSPF calcula el coste de manera acumulativa tomando en cuenta el coste de la interfaz de salida de cada router.
Tablas OSPF Todas las operaciones OSPF se basan en tres tablas, que deben mantenerse actualizadas: •
Tabla de vecinos
•
Tabla de topologías
•
Tabla de enrutamiento
www.FreeLibros.com
72
©RA-MA
REDES CISCO. CCNP a Fondo
Vecinos OSPF OSPF establece relaciones con otros routers mediante el intercambio de mensajes helio. Luego del intercambio inicial de estos mensajes los routers elaboran sus tablas de vecinos, que lista todos los routers que están ejecutando OSPF y están directamente conectados. Los mensajes helio son enviados con la dirección multicást 2240.0.0.5 con una frecuencia en redes tipo broadcast cada 10 segundos, mientras que en las redes nonbroadcast cada 30 segundos. El contenido de los helio de describe en la siguiente tabla: Parámetro
Descripción
Router ID
Es un número de 32 bit que identifica y hace único al router.
Helio and dead interval
Período de envío de los helio y su correspondiente timeout.
Neighbor list
Lista de todos los ID de los routers.
Area ID
Número de área.
Priority
La prioridad que designa al DR y el BDR.
DR y BDR
Dirección IP del DR y BDR.
Authentication
Contraseña, si está habilitada.
Stub Area Flag
Indica un stub area.
Una vez que los routers hayan intercambiado los paquetes helio, comienzan a intercambiar información acerca de la red y una vez que esa información haya sincronizado los routers forman adyacencias. Una vez logrado el estado Full, las tablas deben mantenerse actualizadas, las LSA son enviadas cuando exista algún cambio o cada 30 minutos como un tiempo de refresco.
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-M A
73
Estados OSPF La siguiente lista describe los estados de una relación de vecindad: •
Down, es el primer estado de OSPF y significa que no se ha escuchado ningún helio de este vecino.
•
Attempt, este estado es únicamente para redes NBMA, durante
este estado el router envía paquetes helio de tipo unicast hacia el vecino aunque no se hayan recibido helio de ese vecino. •
Init, se ha recibido un paquete helio de un vecino pero el ID del router no ésta listado en ese paquete helio.
•
2-Way, se ha establecido una comunicación bidireccional entre dos routers.
•
Exstart, una vez elegidos el DR y el BDR el verdadero proceso de intercambiar información del estado del enlace se hace entre los routers y sus DR y BDR.
•
Exchange, en este estado los routers intercambian la información de la base de datos DBD.
•
Loading, es en este estado cuando se produce el verdadero intercambio de la información de estado de enlace.
•
Full, finalmente los routers son totalmente adyacentes, se intercambian las LSA y las bases de datos de los routers están sincronizadas.
Los mensajes helio se siguen enviando periódicamente para mantener las adyacencias, en el caso de que no se reciban se dará por perdida dicha adyacencia. Tan pronto como OSPF detecta un problema modifica las LSA correspondientes y envía actualizaciones a todos los vecinos. Este proceso mejora el tiempo de convergencia y reduce al mínimo la cantidad de información que se envía a la red.
Router designado y router designado de reserva Cuando varios routers están conectados a un segmento de red del tipo broadcast, uno de estos routers del segmento tomará el control y mantendrá las adyacencias entre todos los routers de ese segmento. Ese router toma el nombre de DR (Desígnate Router) y será elegido a través de la información que contienen los mensajes helio que se intercambian los routers. Para una eficaz redundancia también se elige un router designado de reserva o BDR. Los DR son creados en
www.FreeLibros.com
74
REDES CISCO. CCNP a Fondo
©RA-M A
enlaces multiacceso debido a que el número de adyacencias incrementaría de manera significativa el tráfico en la red, de esta forma el DR y el BDR establecen adyacencias reduciendo la cantidad de adyacencias necesarias. En el caso de no tener DR y DBR la cantidad de adyacencias se establecería de acuerdo a la siguiente fórmula: n(n —l)
2 Según esta fórmula, cuatro routers establecen 6 adyacencias: 4 (4 - 0 = 6
2
Esta forma de añadir adyacencias consumiría gran cantidad de ancho de banda, recursos de memoria y CPU de los routers. El propósito final del DR es reducir al máximo este consumo de recursos haciendo que todos los demás routers establezcan adyacencias con él, quedando establecida en la formula n -1. DR
www.FreeLibros.com
© RA-MA
CAPÍTULO 2. OSPF
75
El DR recibe actualizaciones y las distribuye a todos los demás routers del segmento asegurándose con acuses de recibo de que éstos han recibido correctamente dichas actualizaciones y que poseen una copia sincronizada de la LSDB. Los routers notifican los cambios a través de la dirección multicást 224.0.0.6 a su vez el DR envía las LSA a los routers por la dirección multicást 224.0.0.5. El BDR escucha pasivamente y mantiene una tabla de relación con todos los demás routers, en el caso de que el DR deje de enviar helio el BDR tomará el papel del DR. Este concepto de DR y BDR en enlaces punto a punto no tendría sentido puesto que sólo se establece una única adyacencia, por lo tanto no hay necesidad de esta elección. Sin embargo, en enlaces punto a punto del tipo ethemet existe elección de DR y BDR, para evitar esto se recomienda un diseño del tipo punto a punto y así evitar la elección de éstos. La elección de DR y BDR dependerá de la interfaz de loopback más alta que esté configurada en el router o también en el caso de que esté configurado el comando ip ospf priority. Por defecto la prioridad es 1, en un rango 0 a 255, a mayor prioridad mayores posibilidades de que sea elegido como DR. La configuración de una prioridad 0 hace que el router no participe de la elección. Router(config-if)# ip ospf priority number
En caso de empate en la designación porque no esté configurado este comando o porque los valores son iguales, entonces se remite a la interfaz loopback más alta; pero si aun así hay igualdades o no hay interfaz de loopback, será finalmente una interfaz física más alta la que participe en la elección del DR. La siguiente prioridad más baja determinará quién será el BDR. Una vez concluido el proceso de elección si se agregara a la red un router con mejor prioridad no tomaría el rol de DR o BDR, esto ocurriría si se caen las adyacencias o se reiniciara el router. Esta regla es importante a tener en cuenta en el momento de iniciar los routers en una red puesto que una vez hecha la elección no habrá cambios aunque se añadan más routers. El administrador debe tener en cuenta este proceso considerando como muy importante el orden de inicio de la red. En muchos diseños se aconseja cambiar las prioridades a cero para que la elección sea la correcta. Además de lo dicho anteriormente, para forzar la elección de DR y BDR se puede utilizar el comando clear ip ospf process *.
Tipos de paquetes OSPF Todo el tráfico en OSPF se encapsula en paquetes IP siendo reconocido con el puerto 89. OSPF utiliza cinco tipos de paquetes diferentes:
www.FreeLibros.com
76
REDES CISCO. CCNP a Fondo
©RA-M A
•
Helio, establecen directamente.
la
comunicación
con
vecinos
conectados
•
Database Descriptor (DBD), envían una lista de los ID de los routers, las LSA y el número de secuencia. Esta información se utiliza para testear la red.
•
Link State Request (LSR), siguen a los paquetes DBD preguntando por cualquier paquete LSA que se halla perdido.
•
Link State Update (LSU), son las respuestas a las LSR con los datos que se han pedido.
•
Link State Acknowledgements (LSAck), confirmá la recepción del paquete.
Los DBD son la parte primaria de las LSA que tiene el router, los LSR solicitan las LSA completas y los LSU son las respuestas conteniendo las LSA completas que se habían solicitado. Todos los paquetes OSPF tienen un formato común que se describe en la siguiente tabla: Campo Versión
.
Descripción Puede ser versión 2 o 3, según sea IPv4 o IPv6.
Type
Hay 5 tipos de paquetes numerados del 1 al 5.
Packet Length
Longitud medida en bytes.
Router ID
Identificador del router de 32 bits.
Area ID
Identificador del área de 32 bits.
Checksum
Control estándar de 16 bits.
Authentication Type
OSPFv2 soporta tres tipos de autenticación: • No autenticación • •
Texto plano Encriptado MD5
Authentication Data
Son 64 bits de datos que pueden estar vacíos, contener texto plano o encriptación MD5.
Data
Son los datos que se están enviando.
www.FreeLibros.com
© RA-MA
CAPÍTULO 2. OSPF
77
Áreas en OSPF Un área en OSPF es una agrupación de routers que están ejecutando el mismo proceso y que tienen una base de datos idéntica. También se puede decir que un área es una subdivisión del dominio de enrutamiento de OSPF. Cada área ejecuta su propio SPF y las sumarizaciones de redes son pasadas entre las respectivas áreas. Si consideramos los problemas que pueden existir con el crecimiento de una red en OSPF con una sola área, hay varias cuestiones que se deben tener en cuenta: 1. El algoritmo SPF es ejecutado con mayor frecuencia. Cuanto mayor sean las dimensiones de la red mayor posibilidad de fallos en enlaces o cambios topológicos debiendo recalcular toda la tabla de topologías con el algoritmo SPF. El tiempo de convergencia es mayor cuanto mayor sea el área. 2. Cuanto mayor sea el área mayor será la tabla de enrutamiento. A pesar de que la tabla de enrutamiento no se envía por completo como en los protocolos vector distancia, cuanto más grande más tiempo se tardará en hacer una búsqueda en ella, con mayor gasto de recursos. 3. En una red de grandes dimensiones la tabla de topología puede ser inmanejable, intercambiándose entre los routers cada 30 minutos. Finalmente, la base de datos se incrementa en tamaño y los cálculos aumentan en frecuencia; crece de manera considerable el uso de CPU y memoria afectando directamente a la latencia de la red. Todo esto se traduce en congestiones de red, paquetes perdidos, malos tiempos de convergencia, etc. En OSPF las áreas tienen dos niveles de jerarquías, el área 0 o de backbone y el resto de las áreas. Con este diseño jerárquico se pueden implementar sumarizaciones y minimizar la cantidad de entradas en las'tablas. Los routers del área 0 son llamados routers de backbone, los routers que limitan entre el área 0 y las demás áreas se llaman ABR (Area Border Routers) y los routers que redistribuyen información desde algún otro protocolo de enrutamiento se llaman ASBR (Autonomous System Boundary Routers).
www.FreeLibros.com
78
©RA-M A
REDES CISCO. CCNP a Fondo
CONFIGURACIÓN BÁSICA DE OSPF Un router que pertenece sólo a un área es denominado router interno, los parámetros para su configuración son los siguientes: •
Proceso OSPF, establece en qué número de proceso se asocia el router.
•
Interfaces, identifican a las interfaces usadas por OSPF.
•
Área, define un área para cada interfaz, en este caso todas pertenecen a la misma.
•
Router ID, identificador único de 32 bits.
Configuración de OSPF en una sola área Para iniciar el proceso de configuración OSPF se debe identificar el número de proceso. Este número tiene significado local y pueden existir varios procesos OSPF en un mismo router, aunque hay que tener en cuenta que cuantos más procesos más consumo de recursos. Router(config)# router ospf process-number
Una vez que el proceso OSPF es habilitado se debe identificar las interfaces que participarán en el mismo, debiendo tener especial cuidado con la utilización de la máscara comodín o wildcard. Router(config-router)# network network-number wildcard-mask area area-number
www.FreeLibros.com
©RA-M A
CAPÍTULO 2. OSPF
79
La wildcard permite ser muy específico, todas las interfaces que entren en el rango de la máscara wildcard participarán del proceso OSPF. El parámetro área, asocia las interfaces en un área en particular. El formato del parámetro área es un campo de 32 bits en decimal simple o notación decimal de punto. A partir de la identificación del área comienzan a intercambiarse los helio, se envían las LSA y el conjunto de los routers comienzan a participar en la red. Cuando el router tiene interfaces en diferentes áreas se llama ABR. Existen varias formas de utilizar el comando network aprovechando la flexibilidad de las wildcard: 1. Configurando de manera global todas las interfaces. 2. Configurando las redes a las que pertenecen las interfaces. 3. Configurando las interfaces una a una. Estas opciones pueden ser aplicables con mayor eficacia según sea el caso. La primera puede ser de rápida configuración pero con el consiguiente riesgo de que alguna interfaz no deseada se filtre en el proceso OSPF. El tercer caso es más trabajoso para el administrador pero más selectivo y seguro. Observe el siguiente ejemplo:
FastEth ern et O/O 19 2 .1 6 8 .1 .1 /2 4
S erial 1/ 172.16.0
v Serial 1/1 J1 7 2 .16.1.3/30
Z F a stE th e rn e t 0/1 1 9 2 .1 6 8 .2 .1 / 2 4
www.FreeLibros.com
F a stEth e rn e t 0/2 1 9 2 .1 6 8 .2 .1 / 2 4
80
©RA-M A
REDES CISCO. CCNP a Fondo
Configurando de manera global todas las interfaces: Router(router-config)# network 0.0.0.0 255.255.255.255 area 0
Configurando las redes a las que pertenecen las interfaces: Router(router-config)# network 172.16.0.0 0.0.255.255 area 0 Router(router-config)# network 192.168.100.0 0.0.0.255 area 0
Configurando las interfaces una a una: Router(router-config)# Router(router-config)# Router(router-config)# Router(router-config)# Router(router-config)#
network 192.168.1.1 0.0.0.0 area 0 network 192.168.2.1 0.0.0.0 area 0 network 192.168.3.1 0.0.0.0 area 0 network 172.16.0.1 0.0.0.0 area 0 network 172.16.1.3 0.0.0.0 area 0
Para mejorar el funcionamiento del router interno, el administrador puede definir cuál es el mejor router para ser el DR configurando manualmente el ID del router que participa en el dominio OSPF. De esta forma se tiene un mejor control de los eventos que ocurren en la red. Si este comando no ha sido configurado, el router elegirá la IP de loopback más alta que esté configurada y si ésta tampoco está configurada, entonces será la IP más alta de alguna interfaz física activa. Router(config-router)# router-id ip-address
Cisco no recomienda la utilización del comando router id, debido a que BGP también utiliza este comando y esto puede generar ciertos problemas entre las operaciones entre ambos protocolos. Para evitar esto se recomienda configurar una interfaz de loopback. Con una máscara de subred /32 para minimizar la cantidad de direcciones utilizadas. Router(config)# interface loopback ínterface-number Router(config-if)# ip address íp-address subnet-mask
Una vez que el router ID ha sido elegido se mantiene estable aunque las interfaces presenten altibajos; las interfaces de loopback al ser virtuales no son propensas a caerse, salvo que el administrador les haga un shutdown y las deje administrativamente inactivas. Dependiendo del diseño de la red la interfaz de loopback se puede añadir al comando network para poder hacer ping al router ID y de esta manera hacer más fácil la administración de la red.
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-M A
81
I
Cambio del cálculo del coste Como se explicó en párrafos anteriores, OSPF utiliza el coste como cálculo de la métrica. Este valor se obtiene en base a la formula: 108bps VelocidadEnlace Dependiendo del diseño de red es conveniente efectuar cambios en el cálculo del coste para tener un mayor control sobre cómo OSPF cálcula la métrica hacia los destinos. Cuanto menor sea el valor del coste mejor será el cálculo de la métrica. El valor del coste es de 16 bits, el administrador puede configurarlo en un rango de 0 a 6553 según la siguiente sintaxis: Router(config-if )# ip ospf cost cost
El valor por defecto del coste se muestra en la siguiente tabla: Coste 56-kbps serial link
1785
TI (1.544-Mbps serial link)
64
Ethernet
10
Fast Ethernet
1
Gigabit Ethernet
1
Observe que el valor por defecto del coste es idéntico para Fast Ethernet que para Giga Ethernet, en este caso es conveniente manipular los valores del coste para que sea el enlace de 1000 el elegido como ruta al destinó. Otra forma de que el router calcule el coste es modificando el numerador con que OSPF calcula de manera automática la métrica. El valor por defecto es 100, pero oscila en rango de 1 a 4294967. Router(config-router)# ospf auto-cost reference-bandwidth referencebandwidth
www.FreeLibros.com
82
©RA-MA
REDES CISCO. CCNP a Fondo
Es aconsejable aplicar este comando a todas las interfaces que participan en el proceso OSPF. También es importante saber que el comando ip ospf cost sobrescribe cualquier cálculo que el router haya hecho de manera automática.
Ejemplo de configuración de OSPF en una sola área La siguiente sintaxis muestra la configuración de un router cuyo administrador ha determinado una prioridad 10 para que sea elegido como DR en el segmento del enlace de la Fast Ethernet 0. RouterA(config)# router ospf 220 RouterA(config-router)# network 192.16.0.0 0.0.255.255 area 0 RouterA(config-router)# interface FastEthernet 0 RouterA(config-if)# ip address 192.168.16.129 255.255.255.240 RouterA(config-if)# ip ospf priority 10 RouterA(config-if)# interface FastEthernet 1 RouterA(config-if)# ip address 192.16.0.193 255.255.255.240 RouterA(config-if)# ip ospf cost 10
VERIFICACIÓN OSPF EN UNA SOLA ÁREA A continuación se describen los comandos más importantes para la verificación y control de OSPF en un área simple: Router# show ip ospf [process-ld]
Este comando muestra la configuración de OSPF en un router en particular, es especialmente útil para saber el número de veces que se ha ejecutado el algoritmo SPF, que es un indicativo de la estabilidad de la red. Router# show ip ospf 220 Routing Process "ospf 220" with ID 192.168.0.10 Supports only single TOS(TOSO) routes It is an internal router SPF schedule delay 5 secs, Hold time between two SPFs 10 secs Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs Number of external LSA 0. Checksum Sum 0x0 Number of DCbitless external LSA 0 Number of DoNotAge external LSA 0 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Area 3 Number of interfaces in this area is 3 Area has no authentication SPF algorithm executed 10 times Area ranges are Link State Update Interval is 00:30:00 and due in 00:18:54 Link State Age Interval is 00:20:00 and due in 00:08:53 Number of DCbitless LSA 2
www.FreeLibros.com
©RA-MA
CAPÍTULO 2. OSPF
83
Number of indication LSA 0 Number of DoNotAge LSA 0
Campo
Descripción
Routing Process "ospf 220" with ID 192.168.0.10
Muestra el ID del proceso local de OSPF y el router ID de OSPF.
It is an internal router
Tipo de router (internal, ABR, ASBR).
SPF schedule delay
Tiempo que espera SPF para ejecutarse después de recibir un LSA. Previene ejecutar SPF de manera frecuente.
Hold time between two SPFs
Tiempo mínimo entre cálculos de SPF.
Number of DCbitless external LSA
Se usa en circuitos de OSPF “on demand”.
Number of DoNotAge external LSA
Se usa en circuitos de OSPF “on demand”, por ejemplo ISDN.
Area 3 Number of interfaces in this area is 3 Area has no authentication SPF algorithm executed 10 times Area ranges are
Area a la que pertenece el router, como este router es internal sólo pertenece a una. Cuántas interfaces hay en cada área. Autenticación si la hay. Cuántas veces se ha ejecutado el algoritmo SPF. Si hay sumarizaciones.
Link State Update Interval is 00:30:00 and due in 00:18:54
El tiempo por defecto de actualización de las LSA es 30 minutos y es usado para garantizar la integridad de la base de datos topológica.
Link State Age Interval is 00:20:00 and due in 00:08:53
Intervalo de borrado max-aged y cuándo serán eliminadas las rutas desactualizadas.
Router# show ip ospf neighbor [type number] [neighbor-id] [detail]
Este comando muestra los vecinos OSPF. Puede utilizarse listando todos los vecinos, por interfaces o con detalles más precisos de los vecinos: Router# show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface
www.FreeLibros.com
84
© RA-MA
REDES CISCO. CCNP a Fondo
140.100.17.132 FastEthernet1/0 140.100.17.131 FastEthernet1/0 140.100.23.1 1 140.100.32.12 1 140.100.32.11 1 140.100.17.194 1
1
FULL/DROTHER
00:00:36
140.100.17.132
1
FULL/DROTHER
00:00:37
140.100.17.131
FULL/BDR 00:00:38 140.100.17.130 FastEthernetl/0 FULL/DROTHER 00:00:35 140.100.32.12 Fddi2/0 FULL/DR 00:00:32 140.100.32.11 Fddi2/0 FULL/DR 00:00:31 140.100.17.194 FastEthernet3/0
Router# show ip ospf neighbor serialO/O Neighbor ID Pri State Dead Time Address Interface 140.100.32.12 1 F U L L /DROTHER 00:00:36 140.100.32.12 serial2/0 140.100.32.11 1 FULL/DR 00:00:32 140.100.32.11 serial2/0
Router# show ip ospf neighbor detail Neighbor 140.100.17.132, interface address 172.100.17.132 In the area 3 via interface FastEthernetl/0 Neighbor priority is 1, State is FULL, 6 State changes DR is 172.100.17.129 BDR is 172.100.17.130 Options 2 Dead timer due in 00:00:35 Neighbor 140.100.17.131, interface address 140.100.17.131 In the area 3 via interface FastEthernetl/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 140.100.17.129 BDR is 140.100.17.130 Options 2 Dead timer due in 00:00:34 Neighbor 140.100.23.1, interface address 140.100.17.130 In the area 3 via interface FastEthernetl/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 140.100.17.129 BDR is 140.100.17.130 Options 2 Dead timer due in 00:00:36 Neighbor 140.100.32.12, interface address 140.100.32.12 In the area 3 via interface Fddi2/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 140.100.32.11 BDR is 140.100.32.10 Options 2 Dead timer due in 00:00:32 Neighbor 140.100.32.11, interface address 140.100.32.11 In the area 3 via interface Fddi2/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 140.100.32.11 BDR is 140.100.32.10 Options 2 Dead timer due in 00:00:38 Neighbor 140.100.17.194, interface address 140.100.17.194 In the area 3 via interface FastEthernet3/0 Neighbor priority is 1, State is FULL, 9 state changes DR is 140.100.17.194 BDR is 140.100.17.1
www.FreeLibros.com
© RA-MA
CAPÍTULO 2. OSPF
CAMPO
85
DESCRIPCIÓN
Neighbor
Router ID.
Neighbor priority
Prioridad enviada en el mensaje helio.
State
Muestra el estado en que se encuentra el vecino: • Down • Attempt • Init • 2-Way • Exstart • Exchange • Loading • Full
Dead Time
Período de tiempo que el router esperará sin escuchar helio para declarar al vecino como muerto.
Address
Dirección IP del vecino. Hay que tener en cuenta que no tiene por qué ser la misma que la del Router ID.
Interface
Interfaz por la cual se ha conocido al vecino.
Options
Identifica una stub area.
Router# show ip protocols
Con el show ip protocols se puede ver la configuración de los protocolos de enrutamiento que estén habilitados en el router y cómo interactúan entreellos. Muestra cuándo se producirá la siguiente actualización. Router# show ip protocols Routing Protocol is "ospf 220" Sending updates every 0 seconds Invalid after 0 seconds, hold down 0, flushed after 0 Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Redistributing: ospf 220 Routing for Networks: 172.202.0.0 Routing Information Sources: Gateway Distance Last Update 172.202.17.131 110 00:50:23 172.202.17.132 110 00:50:23 172.202.17.194 110 00:07:39
www.FreeLibros.com
86
©RA-M A
REDES CISCO. CCNP a Fondo
172.202.23.1 110 00:50:23 Distance: (default is 110)
Campo
Descripción
Routing Protocol is "ospf 220"
Protocolo de enrutamiento configurado.
Sending updates every 0 seconds
Frecuencia de las actualizaciones.
Invalid after 0 seconds
Para protocolos vector-distancia indica el tiempo que una ruta es considerada válida.
hold down 0
Hold down es un tiempo usado en protocolos vector-distancia.
flushed after 0
Tiempo en el que un protocolo vectordistancia eliminará una ruta de la tabla de enrutamiento.
Outgoing update filter list for all interfaces is not set
Indica si hay algún filtro de salida.
Incoming update filter list for all interfaces is not set
Indica si hay algún filtro de entrada.
Redistributing: ospf 220
Muestra información redistribuciones.
Routing for Networks: 172.202.0.0
Configuration del comando network.
Routing Information Sources
Direcciones de origen de los router que envían actualizaciones a este router.
Gateway
Dirección del router que proporciona actualizaciones.
Distance
Distancia Administrativa.
Last Update
Tiempo desde que el router recibió la última actualización.
Distance:
La Distancia Administrativa se puede cambiar para todo el protocolo o por origen.
(default is 110)
www.FreeLibros.com
de
nos
CAPÍTULO 2. OSPF
©RA-MA
87
Router# show ip route
Este comando muestra la tabla de enrutamiento del router, brinda información sobre cómo se alcanza una ruta y a través de qué interfaz. Router# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF Ínter area Ni - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 El - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, Ll - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR p - periodic downloaded static route Gateway of last resort is 10.122.22.129 to network 0.0.0.0 C 10.0.0.0/8 is directly connected, FastEthernetO/1 10.122.0.0/25 is subnetted, 1 subnets C 10.122.22.128 is directly connected, FastEthernet0/0 0 IA 6.0.0.0/8 [110/65] via 5.0.0.2, 00:00:18, Serial0/0 S* 0.0.0.0/0 [1/0] via 10.122.22.129 Router#show ip ospf database
Este comando muestra los contenidos de la base de datos topológica. Router# show ip ospf database
OSPF Router with ID (172.100.32.10) Router Link States (Area 2) Link ID ADV Router Age Seq#
(Process ID 220)
Checksum Link count
172.100.17.131 172.100.17.131 471 0x80000008 0xA469 1 172.100.17.132 172.100.17.132 215 0x80000007 0xA467 1 172.100.17.194 172.100.17.194 1489 0x8000000B 0xFFl6 1 172.100.23.1 172.100.23.1 505 0x80000006 0x56B3 1 172.100.32.10 172.100.32.10 512 0x8000000C 0x46BA 3 172.100.32.11 172.100.32.11 150 0x80000006 0x6A73 1 172.100.32.12 172.100.32.12 1135 0x800.00002 0x8E30 1 Net Link States (Area 2) Link ID ADV Router Age Seq# Checksum
172.100.17.130 172.100.23.1 220 0x80000007 0x3B42 . 172.100.17.194 172.100.17.194 1490 0x80000002 0xl5C9 172.100.32.11 172.100.32.11 150 0x80000004 0x379E Router#show ip ospf interface [ t y p e number]
Brinda información sobre cómo OSPF está configurado en cada una de las interfaces.
www.FreeLibros.com
88
©RA-M A
REDES CISCO. CCNP a Fondo
Router#show ip ospf interface fastethernetO/O FastEthernetO/O is up, line protocol is up Internet Address 172.100.17.129/28, Area 2 Process ID 100, Router ID 172.100.32.10, Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DR, Priority 100 Designated Router (ID) 172.100.32.10, Interface address 172.100.17.129 Backup Designated router (ID) 172.100.23.1, Interface address 172.100.17.130 Timer intervals configured, Helio 10, Dead 40, Wait 40, Retransmit 5 Helio due in 00:00:06 Neighbor Count is 3, Adjacent neighbor count is 2 Adjacent with neighbor 172.100.17.132 Adjacent with neighbor 172.100.17.131 Adjacent with neighbor 172.100.23.1 (Backup Designated Router) Suppress helio for 0 neighbor(s)
Comandos debug Los comandos debug son apropiados para verificar y solucionar problemas en la red pero hay que utilizarlos con la debida precaución puesto que podrían consumir todos los recursos de CPU del router. Si no se ésta conectado por consola será necesario instalar una estación terminal monitorizando para que reciba toda la información que se genere en el router. Tan pronto como se tenga la información necesaria es recomendable deshabilitar el proceso de debug, basta con anteponer un “no” delante del comando. Router#debug ip ospf events
Este comando muestra información de los eventos relativos a OSPF como pueden ser las adyacencias, flujo de información, selección de DR y BDR y cálculos de SPF. Router#debug ip packet
Este comando brinda información de los paquetes recibidos, generados y enviados. No funcionara para ver tráfico que pasa a través del router si están habilitados CEF o Fast-switched de las interfaces correspondientes.
TOPOLOGÍAS OSPF OSPF tiene la capacidad de enrutar tráfico sobre cualquier medio de capa dos (nivel de enlace). OSPF asume que dentro de una red todos los routers podrían comunicarse directamente usando multicást y que ningún router ocupa una
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
89
posición única o privilegiada dentro de la topología, aunque muchas veces físicamente esto no es cierto. Estas posturas que adopta OSPF son correctas para ethemet ya que si existen varios routers conectados a un switch se pueden comunicar entre todos ellos usando multicást y cualquiera de ellos puede tomar el rol de DR. Pero estas afirmaciones no son correctas en entornos NBMA como por ejemplo Frame-Relay, donde multicást y broadcast no son soportados en las interfaces que usan el tipo de red de OSPF NBMA. Los tipos de redes OSPF configurables en routers Cisco son las siguientes: • • • •
Broadcast multi-access Point-to-point Point-to-multipoint. Nonbroadcast y broadcast (opción por defecto) Nonbradcast multiaccess (NBMA)
Multicást y broadcast son simulados replicando un envío a cada vecino para suplir la falta de los mismos cuando usamos en las interfaces del router el tipo de red de OSPF NBMA. Las comunicaciones “todos a todos” no han de ser nunca asumidas en un entorno NBMA. El DR necesitará ser capaz de comunicarse con el resto de los dispositivos de manera directa, por lo que habrá que pensar quién asumirá ese rol a la hora de diseñar la red. Los DR sirven para minimizar el tráfico en la red asumiendo que siempre están en contacto con todos los demás dispositivos. En Redes multiacceso como NBMA y broadcast, la elección automática de un DR será correcta cuando dichas redes sean de malla completa; mientras que en los casos de mallas parciales las configuraciones deberán asumirse manualmente. Esto implica modificar las prioridades para que el DR sea el que esté en contacto con todos los demás routers. Por ejemplo en una topología Frame-Relay hub-and-spoke, el DR debería ser el hub porque tiene PYC hacia todos los demás routers que deben tener la prioridad en cero. En redes punto a punto y punto multipunto no se contemplan elección de DR y BDR, en ese sentido estas últimas se comportan como si fueran punto a punto. Cisco agrega a estos tipos de redes la opción de point-to-multipoint nonbroadcast. -
www.FreeLibros.com
90
©RA-MA
REDES CISCO. CCNP a Fondo
Los tipos de redes en OSPF pueden describirse como un estándar RFC o como propietarias de Cisco: •
RFC-compliant (RFC 2328): compatible con cualquier tipo de fabricante y hace referencia a dos tipos de redes: • •
•
NBMA Point-to-multipoint
Cisco-specific: específicas de Cisco para redes broadcast, point-tomultipoint (broadcast), point-to-multipoint nonbroadcast, point-topoint y NBMA de las cuales tres son propietarias: • • •
Point-to-multipoint nonbroadcast Broadcast Point-to-point
Reconocimientos de vecinos En redes NBMA los routers no pueden descubrir a sus vecinos dinámicamente por lo que se deben configurar manualmente. Respecto a la elección del DR en el tipo de red broadcast, el comportamiento es similar al de las NBMA sólo que en ese tipo de red los vecinos se descubren dinámicamente sin necesidad de configuraciones manuales. Para el caso RFC point-to-multipoint los vecinos se descubren dinámicamente, sin embargo en las point-to-multipoint nonbroadcast deben ser configurados manualmente. Esta característica avanzada de configuración también es utilizada para asignar diferentes tipos de costes a los vecinos OSPF debido a que en redes point-to-multipoint OSPF, por defecto, asigna el mismo coste a cada uno, aunque en realidad el ancho de banda sea diferente. Para redes point-to-point el vecino es obviamente el otro router del extremo.
Temporizadores OSPF envía a intervalos regulares paquetes helios para descubrir nuevos vecinos y para mantener la lista de los que ya conoce. Los vecinos se declaran muertos luego del dead que es por defecto cuatro veces el intervalo de un helio. Las redes broadcast y point-to-point utilizan un intervalo de 10 segundos y un dead de 40 segundos. Los otros tipos de redes utilizan un intervalo helio de 30 y un dead de 120 segundos.
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-MA
91
La siguiente tabla muestra un resumen de los diferentes tipos de redes OSPF:
Sil
broadcast
Point-toMultipoint (Broadcast)
Point-toMultipoint Nonbroadcast
Broadcast
Pointto-Point
DR/BDR
Sí
No
No
Sí
No
Identificación de vecinos
Sí
No
Si
No
No
Intervalos de tiempos helio y dead
30/120
30/120
30/120
10/40
10/40
RFC 2328, Cisco
RFC
RFC
Cisco
Cisco
Cisco
Red soportada
Malla completa
Todas
Todas
Malla completa
Point-topoint
Non
Subinterfaces En un router Cisco es posible configurar una interfaz física con dos o más subinterfaces, las que pueden ser del tipo point-to-point o multipoint. En una red OSPF una interfaz serie física es por defecto del tipo nonbroadcast multiaccess. Las interfaces Frame-Relay multipoint soportan múltiples PVC, éstas se pueden configurar utilizando cualquier tipo de red OSPF excepto las punto a punto. Para las subinterfaces multipoint en OSPF el tipo de red por defecto es NBMA. Para el caso de las subinterfaces point-to-point por defecto son tratadas como una red OSPF point-to-point.
Elección de una topología OSPF Para redes Frame-Relay de malla completa se puede utilizar cualquiera de las opciones de red que ofrece OSPF, sin embargo normalmente se opta por las NBMA. En el caso de elegir una red de tipo broadcast se tendrá un descubrimiento
www.FreeLibros.com
92
REDES CISCO. CCNP a Fondo
©RA-MA
dinámico de los vecinos. Para cualquiera de los dos casos el funcionamiento es óptimo sin necesidad de recurrir a otros diseños. Para el caso de redes Frame-Relay de malla parcial el DR debe estar en contacto con todos los demás routers de la red. Para que esto sea funcional se pueden utilizar cualquiera de las siguientes opciones: •
Una red NBMA y elegir manualmente el DR.
•
Una red point-to-multipoint.
•
Dividir la red en varias conexiones punto a punto.
•
Separar una zona de la red que sea malla completa y agregar circuitos punto a punto.
En el siguiente ejemplo se describen los cuatro casos: R o u te r B
1. Elegir una red NBMA configurando manualmente el DR. Esto será posible sólo si uno de los routers tiene conexión con todos los demás. Para este caso la prioridad en todos los routers debe estar ajustada para que el router A sea el DR. Es conveniente que los routers B, C y D tengan una prioridad de 0 para que no participen en la elección del DR. La desventaja de este diseño es que existe un único punto en común entre los routers que, en caso de fallos, dejaría a los demás routers incomunicados.
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
93
2. Elegir una red point-to-multipoint. Los vecinos reconocerán dinámicamente al otro lo que hace que la configuración de la red en general sea fácil. Se formarán 4 adyacencias en los PVC como si fuera una sumatoria de redes punto a punto. 3. Configurar cada PVC como un circuito separado punto a punto. Esta opción es la mas fácil de documentar y solucionar conflictos, pero requiere mas configuraciones. 4. Crear subinterfaces en el router A, una tendría el circuito A-C-D en malla completa y la otra una conexión punto a punto hacia el router B.
CONFIGURACIÓN DE OSPF EN UN ENTORNO NONBROADCAST Para la configuración de las interfaces en un entorno nonbroadcast se utiliza el siguiente comando: Router(config-if )# ip ospf network {broadcast | non-broadcast | point-to-point | {point-to-multipoint [non-broadcast]}}
Hay que tener en cuenta que las interfaces por defecto son del tipo de red OSPF NBMA para entornos nonbroadcast. Si la configuración de las subinterfaces es del tipo point-to-point automáticamente OSPF le asignará un tipo de red pointto-point. Para configurar un router que soporte una red del tipo OSPF nonbroadcast con NBMA hay que identificar los vecinos y elegir el tipo de red para la nube. Como por defecto el tipo de red es NBMA sólo será necesario definir los vecinos. Las condiciones principales son que el DR y el BDR tengan conectividad con todos los demás routers y determinar las prioridades en cada uno de los routers para la correcta elección del DR y BDR. La sintaxis para el comando neighbor es: Router(config-if )# neighbor ip-address [priority number ] [poll-
interval sec][cost number]
La prioridad puede ajustarse a valores diferentes a 1 que es el que trae por defecto. El valor de prioridad más alto será el que se tenga en cuenta. En algunos casos es necesario seguir enviando helio a vecinos que están inactivos, la frecuencia de envío en estos casos es por defecto 120 segundos y puede
www.FreeLibros.com
94
©RA-M A
REDES CISCO. CCNP a Fondo
configurarse con el poll-interval. En el comando neighbor también puede configurarse el coste del enlace hacia cada uno de los vecinos. Router(config)# interface SerialO/1 Router(config-if)# ip address 122.118.12.100 255.255.255.0 Router(config-if)# encapsulation frame-relay Router(config)# router ospf 220 Router(config-router)# network 122.118.12.100 0.0.0.255 area 0 Router(config-router)# neighbor 122.118.12.2 Router(config-router)# neighbor 122.118.12.3 Router(config-router)# neighbor 122.118.12.5
Configuración de red del tipo point-to-multipoint en OSPF Con este tipo de red las adyacencias son creadas automáticamente en todos los PVC lo que genera más trabajo para el router pero ofrece mayor flexibilidad a la hora de configurarlo. En este caso no hay elección de DR ni BDR y los vecinos son descubiertos de manera automática. El único cambio que debe realizarse en la configuración es pasar del modo NBMA a este tipo de red. El modo de red OSPF point-to-multipoint nonbroadcast aparece a partir de la versión de IOS 11.3a cuya principal novedad es que se permite cambiar el coste por vecino. Router(config-if)# ip ospf network {pointto-multipoint [non broadcast] } Router(config)# interface SerialO/O Router(config-if)# ip address 122.118.12.1 255.255.255.0 Router(config-if)# encapsulation frame-relay Router(config-if)# ip ospf network point-to-multipoint Router(config)# router ospf 220 Router(config-router)# network 122.118.12.0 0.0.0.255 area 0
Configuración de red del tipo broadcast en OSPF En este tipo de red los vecinos son descubiertos automáticamente y la frecuencia de envíos de los paquetes helio es mayor que en las redes NBMA. Este tipo de red funciona con mejor desempeño que las de tipo completamente mallada. Router(config)# interface SerialO/1 Router(config-if)# ip address 122.118.12.1 255.255.255.0 Router(config-if)# encapsulation frame-relay Router(config-if)# ip ospf network broadcast Router(config)# router ospf 220 Router(config-router)# network 122.118.12.0 0.0.0.255 area 0
www.FreeLibros.com
© RA-MA
CAPÍTULO 2. OSPF
95
Configuración de red del tipo point-to-point con subinterfaces Frame-Relay en OSPF En este entorno cada subinterface se comporta como si fuera una interfaz física punto a punto, la comunicación entre los routers es directa y las adyacencias se crean automáticamente. Simplemente se crean las subinterfaces con un direccionamiento IP que será luego añadido al comando network en OSPF. Router(config)# interface SerialO/O Router(config-if)# no ip address Router(config-if)# encapsulation frame-relay Router(config)# interface SerialO/O.l point-to-point Router(config-subif)# ip address 122.118.12.1 255.255.255.0 Router(config-subif)# frame-relay interface-dlci 51 Router(config)# interface Serial0/0.2 point-to-point Router(config-subif)# ip address 122.118.12.1 255.255.255.0 Router(config-subif)# frame-relay interface-dlci 52 Router(config)# router ospf 220 Router(config-router)# network 122.118.12.0 0.255.255.255 area 0
MÚLTIPLES ÁREAS OSPF Un área de OSPF en una agrupación lógica de routers que están ejecutando OSPF y que comparten la misma información de la base de datos topológica. Un área es una subdivisión de un dominio de OSPF. El uso de múltiples áreas elimina la necesidad de comunicar todos los detalles de la red entre cada uno de los dispositivos de enrutamiento, manteniendo control y conectividad entre todos ellos. Esta característica diferencia aún más a OSPF de los protocolos vector-distancia. La división en áreas permite a los routers dentro de un área mantener sus bases de datos topológicas limitando así el tamaño de dichas bases de datos. Por otra parte las sumarizaciones y enlaces externos aseguran las comunicaciones entre áreas y redes fuera del sistema autónomo. Los routers dentro de un área mantienen una base de datos topológica consistente y cualquier cambio se debe comunicar a todos los demás dispositivos dentro de ese área. Cuando la red crece también crecen los problemas ya que la base de datos es demasiado grande generando gastos de recursos de memoria y CPU. Los recálculos de SPF aumentan incrementando la congestión entre los enlaces, pérdidas de paquetes y sistemas saturados. Finalmente, dividir la red en áreas más pequeñas contribuye al mejor rendimiento de la misma. La cantidad de routers en cada una dependerá del diseño y de la cantidad de enlaces que contenga la misma.
www.FreeLibros.com
96
©RA-M A
REDES CISCO. CCNP a Fondo
Tipos de router en múltiples áreas La división en áreas hace que el desepeño de la red mejore notablemente, parte de esta mejora incluye la tecnología empleada y el diseño de un modelo jerárquico eficiente. Los routers dentro de este modelo jerárquico tienen diferentes responsabilidades, a saber: •
Internal router, es el responsable de mantener una base de datos actualizada y precisa de cada una de las LSA dentro de cada una de las áreas. Al mismo tiempo envía datos hacia otras redes empleando la ruta más corta. Todas las interfaces de este router están dentro de la misma área.
•
Backbone router, las normas de diseño de OSPF requieren que todas las áreas estén conectadas a un área de backbone o área 0. Un router dentro de esta área lleva este nombre.
•
Area Border Router (ABR), este router se encarga de la conexión entre dos o más áreas, mantiene una base topológica de cada una de las áreas a que pertenece y envía actualizaciones LSA a cada una de dichas áreas.
•
Autonomous System Boundary Router (ASBR), este router conecta hacia otros dominios de enrutamiento, normalmente ubicados dentro del área de backbone.
Anuncios de estado de enlace Las LSA (Link-State Advertisements) son utilizadas para listar todas las rutas posibles. Las LSA más comunes son las siguientes:
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
97
•
Router link LSA (tipo 1), cada uno de los routers genera LSA listando cada vecino y el coste hacia cada uno. Las LSA de tipo 1 y de tipo 2 se envían dentro de toda el área y son empleadas por SPF para elegir rutas.
•
Network link LSA (tipo 2), ésta es enviada por el DR y contiene una lista de todos los routers con el que éste forma adyacencias. Al igual que las de tipo 1 se envían dentro de toda el área y son empleadas por SPF para elegir rutas.
•
Network summary link LSA (tipo 3), son generadas por los ABR para ser enviadas entre áreas. Estas LSA listan todos los prefijos en un área determinada, incluida también, si la hubiera, la sumarización.
•
AS external ASBR summary link LSA (tipo 4), los ASBR generan este tipo de LSA para advertir de su presencia. Informan a todos los demás routers cómo alcanzar al ASBR. Las LSA de tipo 3 y tipo 4 son denominadas inter-área porque pasan información entre áreas.
•
External link LSA (tipo 5), son originadas por ASBR e inundan todo el AS con información de rutas externas OSPF o rutas por defecto.
•
NSSA external LSA (tipo 7), son creadas por un ASBR dentro de un NSSA (Not-So-Stubby Area) puesto que no permiten el uso de LSA de tipo 5. En una NSSA habrá LSA del tipo 7 informando sobre las rutas externas, el ABR es el encargado de convertirlas al tipo 5.
TIPOS DE ÁREAS OSPF Además del área 0 o área de backbone, en OSPF se pueden crear otros tipos de áreas dependiendo de su utilización en la red: •
Ordinary o standard area, en el área estándar cada router tiene conocimiento de todos los prefijos que hay en ella y todos poseen la misma base de datos topológica.
•
Stub area, la particularidad de este área es no aceptar LSA de tipo 5. En lugar de inyectar LSA de tipo 5 el ABR crea una ruta por defecto que es enviada a los routers internos para que la elijan como camino viable. Las áreas stub son útiles para proteger a los routers con poca capacidad de memoria y CPU de ser sobrecargados con muchas rutas externas.
•
Totally stubby area, este área no acepta LSA de otras áreas del tipo 3 y tipo 4 o externas del tipo 5, todas ellas son reempleadas por el ABR con una ruta por defecto. Este tipo de área protege los routers minimizando sus tablas de enrutamiento evitando que no se inserte en
www.FreeLibros.com
98
©RA-M A
REDES CISCO. CCNP a Fondo
ella cualquier otra ruta OSPF que no pertenezca a la propia área. Esta solución es propietaria de Cisco. Not-So-Stubby A rea (NSSA), éstas son áreas stubby que pueden tener ASBR. Como se dijo anteriormente, las stubby no soportan LSA de tipo 5 por lo tanto en las NSSA se utilizan LSA del tipo 7 para diferenciar redes externas. Cuando estas LSA de tipo 7 llegan al ABR éste las convierte al tipo 5. IM ot-S o-Stubby-Area (NSSA)
T o ta lly S tu b b y Area
Funcionamiento de OSPF en múltiples áreas OSPF tiene la capacidad de poder funcionar a través de diferentes tipos de áreas manteniendo la coherencia del sistema autónomo.
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-M A
99
Los routers ABR generan propagaciones de LSA ABR que son del tipo 3 o siunmaries y las envía al área 0 o de backbone. Las adyacencias entre las áreas utilizan LSA del tipo 1 y del tipo 2, que pasan al área de backbone como summaries o tipo 3 y que serán a su vez inyectadas por otros ABR en otras áreas excepto el caso de una totally stubby. Las rutas externas o sumarizaciones de otras áreas son recibidas por el ABR y enviadas al área local. El siguiente gráfico muestra las propagaciones de las LSA:
/
Internet
)
Área 2
Selección de rutas entre áreas La tabla de enrutamiento del router depende de cómo esté posicionado en la red y del tipo de área en que se encuentre. El router elegirá siempre entre rutas con caminos alternativos hacia un mismo destinto la que tenga menor distancia administrativa. En el caso de rutas alternativas con OSPF el camino más apropiado será el de menor coste hacia ese destino. En el supuesto caso de que los caminos alternativos tengan el mismo coste, OSPF de manera automática balanceará la carga equitativamente hasta en cuatro caminos diferentes. La tabla de enrutamiento conlleva un proceso secuencial donde se muestra la información de cómo fue creada hasta la métrica empleada en cada ruta. Esto hace posible la operación del router en la red.
www.FreeLibros.com
100
©RA-M A
REDES CISCO. CCNP a Fondo
Los eventos más importantes en la creación de una tabla de enrutamientos son: •
El router recibe las LSA.
•
El router construye una base de topología.
•
El router ejecuta el algoritmo de Dijkstra para calcular la ruta mas corta y añadirla en la tabla de enrutamiento.
La tabla de enrutamiento refleja la topología de red brindando información precisa de dónde están situadas las redes remotas en relación con el router local. La información contenida en la tabla evitará atravesar áreas externas innecesariamente, tráfico excesivo o bucles de red.
Calculando el coste a un área diferente La ruta hacia otra área se calcula como el menor coste hacia el ABR sumado al menor coste a través del área de backbone. Las rutas externas son aquellas utilizadas por otros dominios o protocolos de enrutamiento descubiertas por OSPF que pueden tener su coste calculado de dos maneras diferentes. •
E l, en este tipo de rutas el coste del camino hacia el ASBR es añadido al coste externo de dicha ruta.
•
E2, éstas son las rutas por defecto. El cálculo del coste se hace sólo desde el ASBR hacia esa ruta.
En el caso de existir dos rutas hacia un mismo destino las rutas E l son preferidas sobre las E2. Las E2 son muy útiles cuando no se quiere que la ruta dentro del área local influya en el coste; inversamente, cuando el coste depende de la ruta local se usan las E l . En la primera columna que aparece en la tabla de enrutamiento se muestra el origen de la información recibida, en el caso se OSPF además se muestra el tipo de LSA:
Tipo de LSA
Entrada en la tabla de enrutamiento
1 Router / 2 Network
O (OSPF)
3 Summary (entre áreas)
0 IA (OSPF inter-área)
www.FreeLibros.com
© RA-MA
CAPÍTULO 2. OSPF
4 Summary (entre áreas)
OIA
5 External (entre sistemas autónomos)
0 El
101
OE2
DISEÑO DE OSPF EN MÚLTIPLES ÁREAS La forma en que se van a dividir las áreas tendrá un impacto directo en el direccionamiento IP dentro de la red. En este diseño se debe tener especial cuidado con los recursos existentes y no sobrecargarlos, considerando el diseño como escalable. OSPF proporciona con la creación de áreas las herramientas necesarias para que la red pueda seguir creciendo sin exceder los recursos disponibles. En OSPF las sumarizaciones toman su lugar en los ABR. Es recomendable aplicarlas desde el comienzo del diseño generando planes de direccionamiento que incorporen dichas sumarizaciones. Tomando en cuenta que todo el tráfico atravesará el backbone, esas sumarizaciones serán muy convenientes, enviando menor cantidad de LSA por toda la red. Es importante pensar durante el diseño que la red puede fallar o dividirse, OSPF ofrece los virtual link permitiendo que áreas que no están directamente conectadas al backbone aparezcan directamente conectadas, es decir, que áreas físicamente no conectadas puedén llegar a estarlo lógicamente. Aunque es posible tener un router conectado a más de tres áreas, Cisco recomienda que en el caso de que esta cantidad sea superior se tenga especial cuidado con el diseño, los resultados de tener más áreas dependerán del tipo de router, capacidad de memoria y CPU de cada uno. También influirá considerablemente el tipo de topología y la cantidad de LSA que son generados. Si bien no es una norma se recomienda que cada área no sobrepase el rango de 40 a 80 routers. OSPF es un protocolo de enrutamiento que utiliza muchos recursos de memoria y CPU para el mantenimiento de ias bases de datos a través del algoritmo SPF y el envío de LSA, como es el caso de los ABR que mantienen una imagen general de toda la topología de la red de cada una de las áreas en que están conectados. En síntesis, no es tan importante la cantidad de routers por área sino el número de rutas y la estabilidad de la red debido a que el número de LSA que
www.FreeLibros.com
102
©RA-M A
REDES CISCO. CCNP a Fondo
habrá en la red será proporcional a la cantidad de recursos consumidos por el router. Las siguientes consideraciones son importantes a tener en cuenta a la hora del diseño de red: •
Tipo de área (stub, totally stub o backbone), esto determinará la cantidad y frecuencia de las LSA, por lo tanto el uso requerido de CPU. El tipo de área también afectará a la velocidad de convergencia.
•
Recursos de CPU y memoria en los routers. Los routers pequeños o con poca CPU no están diseñados para manejar bases topológicas demasiado grandes ni para estar ejecutando continuamente el algoritmo SPF.
•
Velocidad del enlace, cuanta mayor velocidad de transmisión tenga el enlace menor posibilidad de congestión en los paquetes que va transmitiendo.
•
Estabilidad, la frecuencia en la propagación de las LSA cuando los cambios de topología lo requieran determina la necesidad de estabilidad de ancho de banda, CPU y memoria.
•
NBMA, para el caso de redes de este tipo es determinante saber si se trata del tipo malla completa o parcial. Para el caso de una malla parcial habrá que configurar adecuadamente los routers para que OSPF pueda ejecutarse correctamente.
•
Enlaces externos, para el caso de que existan enlaces externos habrá que analizar si éstos provocan demasiadas LSA, utilizando la sumarización o rutas por defecto; para reducirlos se ahorran gastos de memoria y CPU.
•
Sumarización, un diseño jerárquico con un direccionamiento . IP apropiado facilitará el uso de sumarizaciones cuando sea necesario. Cuanta mayor cantidad de sumarizaciones menor cantidad de LSA propagadas.
Incrementando el número de vecinos se incrementan los recursos que son asignados para administrar dichos enlaces en el router. Para el caso de una topología donde haya un DR, podría verse sobrecargado si existen muchos routers en ese enlace. Por esto último es recomendable asignar manualmente el rol de DR a un router dentro de ese segmento que tenga la capacidad suficiente y la memoria y CPU adecuadas. También es importante resaltar que no es conveniente que el mismo router sea seleccionado como DR para más de un enlace.
www.FreeLibros.com
© ra -m a
CAPÍTULO 2. OSPF
103
El ABR mantiene una tabla topológica total para cada una de las áreas en que está conectado. Esto genera gran utilización de recursos y recálculos de SPF más a menudo. El número de áreas que dicho router puede soportar depende de su capacidad y del tamaño de las áreas. En un buen diseño jerárquico donde el mantenimiento de las áreas es repartido entre varios routers, no sólo se comparte la carga sino que además se crea redundancia.
Sumarización Uno de los principales valores que posee OSPF es la alta capacidad de escalado, esto tiene relación directa con la sumarización. Un sistema jerárquico de múltiples áreas permite sumarizar de manera inteligente en router ABR y ASBR. En OSPF existen dos tipos de formas de sumarización: •
Sumarización inter-área: llevada a cabo por el ABR. Crea LSA de tipo 3 y tipo 4. Las de tipo 4 anuncian los routers ID de los ASBR.
•
Sumarización Externa: llevada a cabo en el ASBR. Crea LSA tipo 5.
Virtual Links Como se dijo previamente, OSPF requiere que todas las áreas estén conectadas al área 0 o de backbone a través de un ABR. Dicho ABR tendrá una copia de la base de datos topológica completa de cada una de las áreas a las que pertenezca. Para los casos en que el administrador deba configurar un área sin conectividad con el área 0 podrá utilizar los virtual links, creando un “puente” entre dos ABR para conectar de forma lógica el área remota con el área 0. De esta manera la información del área entre los dos ABR fluye a través del área intermedia o virtual. Desde el punto de vista de OSPF el ABR tiene una conexión directa con estas tres áreas. Este escenario puede verse en varios casos: • Una fusión o un fallo aísla un área del área 0. • La existencia de dos áreas 0 debido a una fusión. •
Un área es crítica y se requiere configurar un link extra para mayor redundancia (pasando éste por otra área para llegar alárea 0).
www.FreeLibros.com
104
©RA-M A
REDES CISCO. CCNP a Fondo
Aunque los virtual links son una herramienta que solventa este tipo de situaciones no se debe pensar en ella desde un punto de vista de diseño, deben ser empleadas como soluciones temporales. Hay que asegurarse de los siguientes puntos antes de implementarlos: •
Ambos routers deben compartir un área.
•
El área de tránsito no puede ser stub.
•
Uno de los routers ha de estar conectado al área 0.
OSPF multi área en redes NBMA En el diseño de redes OSPF existen dos maneras de integrar una red del tipo NBMA en una red OSPF multi área: •
Definir la NBMA como Área 0. Esto tiene sentido si el resto de las áreas son satélites de ésta. De esta manera se consigue que todo el tráfico de las demás áreas fluya a través de la red NBMA. Esta solución es adecuada cuando la red NBMA es del tipo malla completa aunque hay que tener en cuenta que se estarán enviando muchas LSA a través de enlaces WAN.
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-MA
•
105
Definir una red central (hub). Crear una red como área 0 con sitios remotos a manera de satélites (spokes). Esto será lo más adecuado si las áreas son de tipo stub; la carga de tráfico enviada sobre la nube NBMA será mantenida al mínimo posible.
CONFIGURACIÓN DE OSPF EN MÚLTIPLES ÁREAS Para iniciar el proceso de configuración de OSPF en múltiples áreas se deben ejecutar los siguientes pasos: •
Definir las interfaces en el router. Identificar qué interfaces participarán en el proceso de OSPF.
•
Identificar el área. Identificar a que áreas pertenecerán dichas interfaces.
•
Router ID. Este parámetro identifica al router en la topología de OSPF.
La siguiente sintaxis habilita la configuración del protocolo OSPF en el router: Router(config)# router ospf process-number
El número de proceso elegido para la configuración de OSPF tiene carácter local pudiendo variar entre todos los routers del dominio, sin embargo es una práctica recomendable utilizar el mismo número ya que facilita la administración de dicho dominio. Un router puede ejecutar varios procesos OSPF aunque no es lo más conveniente debido al consumo de recursos de memoria y CPU. El paso siguiente y dentro del protocolo es identificar las interfaces que participarán en el proceso OSPF y las áreas a que pertenecen. Al tener múltiples áreas las wildcard desempfian un papel importante en el proceso de configuración de dichas interfaces puesto que pueden agruparse por error interfaces que no deben participar en ese proceso. Router(config-router)# network network-number wildcard-mask area area-number
Ejemplo de una configuración básica de OSPF múlti área:
www.FreeLibros.com
106
©RA-M A
REDES CISCO. CCNP a Fondo
RouterA(config)# router ospf 220 RouterA(config-router)# network 172.16.20.128 0.0.0.7 area 0 RouterA(config-router)# network 172.16.20.8 0.0.0.7 area 1
Comandos opcionales para OSPF en múltiples áreas OSPF tiene la capacidad de funcionar en grandes redes con una configuración básica. Sin embargo para la optimización y mejor rendimiento es conveniente aplicar algunos de los siguientes comandos: •
área range, para ABR.
•
summary-address, para ASBR.
•
área area-id stub, para definer un área stub.
•
área area-id stub no-summary, define un totally stubby area.
•
área default-cost, determina el valor de las rutas por defecto del área.
•
área virtual-link, utilizado para configurar enlaces virtuales.
El primero de esta lista de comandos opcionales se configura en los routers ABR para anunciar las redes fuera de esa área. Se utiliza para generar sumarizaciones reduciendo considerablemente el tamaño de las bases de datos, particularmente útil en el área de backbone. El parámetro area-id es el identificador del área de las rutas que se pretende sumarizar. Router(config-router)# area area-id range address mask
Para deshabilitarlo se ante pone un no al comando: Router(config-router)# no area area-id range address mask
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-MA
107
La siguiente sintaxis muestra un ejemplo de configuración de este comando: RouterABR(config)# router RouterABR(config-router)# RouterABR(config-router)# RouterABR(config-router)# RouterABR(config-router)# RouterABR(config-router)# RouterABR(config-router)#
ospf 220 network 190.0.20.128 0.0.0.15 area 0 network 190.0.20.144 0.0.0.15 area 0 network 190.0.20.160 0.0.0.15 area 0 network 190.0.20.176 0.0.0.15 area 0 network 190.0.20.8 0.0.0.7 area 1 area 0 range 190.0.20.128 255.255.255.192
Para sumarizar rutas que llegan al router ASBR vía redistribución se utiliza el comando: R o u t e r (config-router)#summary-address address mask [not-
advertise][tag tag]
En este comando el parámetro de la dirección IP es la dirección sumarizada y su correspondiente máscara. Un área que sólo tiene un ABR o en la que no importa qué ABR es elegido para salir del área es una buena elección configurarla como stub. Al mismo tiempo si los routers del área tienen poca capacidad de proceso es conveniente designar el área con stub. Todos los routers dentro de un área stub o totally stub deben estar configurados como router stub. Cuando un área es configurada como stub todas las interfaces que pertenezcan a dicho área intercambiarán helio con un identificador que las hace reconocibles entre los vecinos stub y así establecer la vecindad. Router(config-router)# area area-id stub
Con el agregado del parámetro no-summary se configura al ABR de que no envíe sumarizaciones, es decir, LSA tipo 3 y tipo 5 desde otras áreas. Para alcanzar redes o host fuera del área los router utilizan una ruta por defecto que es inyectada por el ABR. Este comando sólo puede ser configurado en el ABR. El resto de los routers dentro del área serán configurados como stub para que intercambien los identificadores y se formen las adyacencias. Router(config-router)# area area-id stub no-summary
El ABR reemplaza las rutas externas por un coste por defecto, que es igual al coste hacia el ABR más 1. Este coste puede ser modificado para establecer una ruta por defecto específica. Manipular este parámetro es beneficioso cuando existen dos ABR permitiendo una salida concreta.
www.FreeLibros.com
108
©RA-MA
REDES CISCO. CCNP a Fondo
Router(config-router)# area area-id default-cost cost
Cuando no es posible conectar un área directamente al área 0 se puede crear un virtual link. La configuración es simple pero puede acarrear algunos problemas. Alguno de estos problemas es la dirección del extremo final del virtual link. Este comando se configura entre los ABR que comparten un área en común y al menos uno de ellos tiene contacto con el área 0. En la configuración del virtual link se especifica el área de tránsito y el router ID del ABR de destino. Se establece una conexión a través del área de tránsito que, a pesar de poder contener gran cantidad de routers, para OSPF el ABR remoto será su próximo salto. Router(config-router)# area area-id virtual-link router-id
Ejemplo de configuración de OSPF en múltiples áreas Muchas de las configuraciones y comandos detallados en los párrafos anteriores pueden aplicarse al siguiente ejemplo. La figura ilustra una topología OSPF de múltiples áreas y los comandos utilizados para su configuración. Área 0
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
RouterA(config)# router RouterA(config-router)# RouterA(config-router)# RouterA(config-router)# RouterA(config-router)#
109
ospf 220 network 122.100.17.128 0.0.0.15 area 3 network 122.100.17.192 0.0.0.15 area 2 network 122.100.32.0 0.0.0.255 area 0 network 10.10.10.33 0.0.0.0 area 0
i
RouterA(config-router )# area 0 range 172.16.20.128 255.255.255.192 RouterA(config-router) # area 3 virtual-link 10.10.10.30
i RouterA(config-router) # area 2 stub RouterA(config-router) # area 3 stub no-summary RouterA(config-router) # area 3 default-cost 15
i RouterA(config-router)# interface loopback 0 RouterA(config-if)# ip address 10.10.10.33 255.255.255.255
i RouterA(config-if)# interface FastEthernet0/0 RouterA(config-if)# ip address 122.100.17.129 255.255.255.240 RouterA(config-if)# ip ospf priority 100
i RouterA(config-if)# interface FastEthernetO/1 RouterA(config-if)# ip address 122.100.17.193 255.255.255.240 RouterA(config-if)# ip ospf cost 10
i RouterA(config-if)# interface FastEthernetl/0 RouterA(config-if)# ip address 122.100.32.10 255.255.255.240 RouterA(config-if)# no keepalive RouterA(config-if)# exit RouterM(config)# loopback interface 0 RouterM(config-if)# ip address 10.10.10.30 255.255.255.255 RouterM(config)# router ospf 220 RouterM(config-router)# network 172.16.20.32 0.0.0.7 area 5 RouterM(config-router)# network 10.10.10.30 0.0.0.0 area 0 RouterM(config-router)# area 3 virtual-link 10.10.10.33
VERIFICACIÓN DE OSPF EN MÚLTIPLES ÁREAS Los siguientes comandos junto a los ya vistos en OSPF en área simple ayudarán a la compresión y resolución de fallos en las redes OSPF. Router# show ip ospf border-routers
Este comando muestra los ABR y ASBR que el router interno tiene en su tabla de enrutamiento. Es un excelente comando a la hora de resolver conflictos y permite comprender cómo se esta comunicando la red. Con este comando se puede ver el porqué los usuarios no pueden comunicarse fuera de su área. Router# show ip ospf border-routers OSPF Process 100 internal Routing Table Destination Next Hop Cost Type Rte Type Area SPF No
www.FreeLibros.com
110
©RA-MA
REDES CISCO. CCNP a Fondo
1 6 0 . 8 9 . 9 7 . 5 3 1 4 4 . 1 4 4 . 1 . 5 3 10 ABR INTRA 0 . 0 . 0 . 3 3 1 6 0 . 8 9 . 1 0 3 . 5 1 1 6 0 . 8 9 . 9 6 . 5 1 10 ABR INTRA 0 . 0 . 0 . 3 3 1 6 0 . 8 9 . 1 0 3 . 5 2 1 6 0 . 8 9 . 9 6 . 5 1 20 ASBR INTER 0 . 0 . 0 . 3 3 1 6 0 . 8 9 . 1 0 3 . 5 2 1 4 4 . 1 4 4 . 1 . 5 3 22 ASBR INTER 0 . 0 . 0 . 3 3
Campo
Descripción
OSPF Process 100 internal Routing Table
Indica el ID del proceso de OSPF que esta ejecutando el router.
Destination
Router ID (RID) del destino, ya sea un ABR o un ASBR.
Next Hop
Próximo salto para alcanzar al ABR o ASBR.
Cost
Métrica hacia el destino.
Type
Clasifica el router como ABR o ASBR o ambos.
Rte Type
Tipo de ruta: intra-área o inter-área.
Area
El área ID del área desde la cual la ruta es aprendida.
SPF No
Número dél cálculo de SPF que instaló la ruta en la tabla de enrutamiento.
Router# show ip route
Este comando es uno de los más utilizados a la hora de comprender y resolver fallos en redes IP. El ejemplo que sigue se describe en la próxima tabla donde se pueden observar los códigos LSA en la tabla de enrutamiento. Router# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF Ínter area Ni - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 El - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, Ll - IS-IS level-1, L2 - IS-IS level-2, * candidate default U - per-user static route, o — ODR Gateway of last resort is not set 172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks O E2 172.16.20.128/29 [110/20] via 172.16.20.9, 00:00:29, Seriall O IA 172.16.20.128/26 [110/74] via 172.16.20.9, 00:01:29, Seriall
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-MA
111
172.16.20.8/29 is directly connected, Seriall E2 192.168.0.0/24 [110/20] via 172.16.20.9, 00:01:29, Seriall
Entrada en la tabla de enrutamiento
Descripción
1 Router Link
O
Generadas por el propio router, lista los enlaces que tiene conectados, el estado y el coste. Son propagadas dentro del área.
2 Network Link
0
Generadas por el DR en una red multiacceso.
OIA
Incluye las redes generadas dentro de un área y que podrían ser sumarizadas y que son enviadas dentro del área 0 y entre ABR. Las de tipo 4 indican cómo encontrar al ASBR. Estas LSA no son enviadas dentro de totally stubby areas.
Tipo de
3 or 4 Summary Link (between áreas)
5 Summary Link/ External Link (between autonomous systems)
OE1 o OE2
Rutas externas que pueden ser configuradas para tener uno o dos valores. El incluye el coste hacia el ASBR más el coste externo reportado por el ASBR. E2 sólo incluye el coste externo.
Router# show ip ospf virtual-links
Este comando muestra los enlaces virtuales de OSPF, puede utilizarse en conjunto con el show ospf neighbor para saber cuáles son los vecinos conectados. Es aplicable aunque los routers no estén físicamente conectados sino que lo estén lógicamente con el virtual link. Router# show ip ospf virtual-links Virtual Link to router 140.100.32.10 is up Transit area 0.0.0.1, via interface EthernetO, Cost of using 10 Transmit Delay is 1 sec, State DROTHER Timer intervals configured, Helio 10, Dead 40, Wait 40, Retransmit 5 Helio due in 0:00:08 Adjacency State FULL
www.FreeLibros.com
112
©RA-M A
REDES CISCO. CCNP a Fondo
Campo
Descripción
Virtual Link to router 140.100.32.10 is up
El RID del otro extremo del virtual link, el cual vemos como vecino.
Transit area 0.0.0.1
El área a través de la cual el virtual link es creado.
Via interface Ethernet 0
La interfaz de salida que conecta el virtual link al área 0.
Cost of using 10
El coste para alcanzar al vecino a través del virtual link.
Transmit Delay is 1 sec
El delay del enlace. Este valor ha de ser menor que el “retransmit timer”.
State DROTHER
El estado del vecino de OSPF. En este caso es DROTHER que significa que es otro diferente de un DR.
Helio 10
Tiempo entre helios.
Dead 40
Tiempo que el router esperará por un helio antes de declarar al vecino como muerto.
Retransmit 5
El tiempo (en segundos) que el router espera por un ACK para una LSA que ya ha transmitido. Por defecto 5 segundos.
Helio due in 0:00:08
El tiempo en el que esperamos recibir un helio del vecino.
Adjacency State FULL
Especifica el estado de la adyacencia con el vecino. Los routers tienen sus bases de datos topológicas sincronizadas.
Router# show ip ospf database
Muestra todas las entradas en la base de datos de estado de enlace y la información de las LSA que se han recibido. Pueden emplearse variaciones de este comando para acceder a informaciones más específicas. Este comando es útil en combinación con el show ospf neighbor.
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-MA
113
R o u ter# show ip ospf database
OSPF Router with ID (172.16.20.130) (Process ID 100) Router Link States (Area 0) Link ID ADV Router Age Seq# Checksum Link count 172.16.20.129 172.16.20.129 295 0x80000003 0x419B 1 172.16.20.130 172.16.20.130 298 0x80000002 0x3E9D 1 Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 172.16.20.130 172.16.20.130 298 0x80000001 0xl9DB Summary Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 172.16.20.8 172.16.20.129 291 0x80000001 0x7Dl
Campo
Descripción
Link ID 172.16.20.129
Router ID.
ADV Router 172.16.20.129
Router ID del router que está advirtiendo.
Age 295
Tiempo del estado de enlace.
Seq# 0x80000002
Número de secuencia del enlace.
Checksum 0xl9DB
Control del contenido de la LSA.
Link count 1
Número de interfaces detectadas.
RESOLUCIÓN DE FALLOS EN OSPF MULTI ÁREA Para resolver fallos en una red OSPF en múltiples áreas puede resultar largo y complejo. Es recomendable seguir una serie de pasos: •
Mantener los diagramas de red claros y actualizados con la topología completa de la red.
•
Guardar copias de todas las configuraciones de los routers actualizadas.
•
Documentar todos los cambios que se realicen en la red.
www.FreeLibros.com
114
©RA-MA
REDES CISCO. CCNP a Fondo
Una red de múltiples áreas OSPF es una red grande y complicada, los comandos que se describen a continuación ayudan a resolver y prevenir problemas en dicha red. Router(config-router)# log-adj acency-changes
Este comando es similar a los comandos debug pero utiliza menor cantidad de recursos. Envía menor información que los debug y sólo actúa cuando existe algún cambio de adyacencia. En el siguiente ejemplo se inicia el proceso OSPF, se establecen el log de las adyacencias y se añaden las redes. Posteriormente se observa cómo las interfaces van creando las correspondientes adyacencias. RouterA(config)# router ospf 1 RouterA(conf ig-router)# log-adj acency-changes RouterA(config-router)# network 0.0.0.0 255.255.255.255 area 0 RouterA(config-router)# end RouterA# 10:30:15: %SYS-5-CONFIG_I: Configured from consolé by consolé RouterA# 10:30:29: %0SPF-5-ADJCHG: Process 1, Nbr 131.11.14.14 on EthernetO from DOWÍJ to INIT, Received Helio RouterA# 10:30:38: %0SPF-5-ADJCHG: Process 1, Nbr 131.11.84.8 on EthernetO from DOWN to INIT, Received Helio RouterA#
10:30:39: %0SPF-5-ADJCHG: Process 1, Nbr INIT to 2WAY, 2-Way Received RouterA# 10:30:48: %OSPF-5-ADJCHG: Process 1, Nbr INIT to 2 WAY, 2-Way Received RouterA# 10:30:54: %OSPF-5-ADJCHG: Process 1, Nbr 2WAY to EXSTART, AdjOK? RouterA# 10:31:18: %0SPF-5-ADJCHG: Process 1, Nbr EXSTART to EXCHANGE, Negotiation Done 10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr 2WAY to EXSTART, AdjOK? 10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr EXSTART to EXCHANGE, Negotiation Done 10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr EXCHANGE to LOADING, Exchange Done 10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr LOADING to FULL, Loading Done 10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr EXCHANGE to LOADING, Exchange Done
131.11.14.14 on EthernetO from
131.11.84.8 on EthernetO from
131.11.84.8 on EthernetO from
131.11.84.8 on EthernetO from 131.11.14.14 on EthernetO from 131.11.14.14 on EthernetO from 131.11.14.14 on.EthernetO from 131.11.14.14 on EthernetO from 131.11.84.8 on EthernetO from
RouterA#
10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr 131.11.84.8 on EthernetO from LOADING to FULL, Loading Done
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
115
Los siguientes comandos debug son de suma utilidad pero como todos ellos deben ser empleados con la debida precaución puesto que pueden consumir demasiados recursos de CPU del router. El debug ip packet analiza el tráfico entre el router local y los host remotos, recordando que en los routers intermedios debe deshabilitarse el CEF. Este debug muestra los paquetes generados, recibidos y enviados y utiliza muchos recursos de CPU. El debug ip ospf events muestra información relativa a los eventos OSPF, tales como adyacencias, flujo de información, selección de router designado y cálculos SFP. Muchos de los problemas que se producen en OSPF ocurren durante el proceso del establecimiento de las adyacencias. Los pasos lógicos a seguir en el caso de no ver a un vecino configurado en la misma red son los siguientes: •
Las configuraciones de ambos routers deben tener la misma máscara de subred, MTU, helio timer e iguales intervalos helio y dead.
•
Que dichos vecinos estén en la misma área y que ésta sea del mismo tipo.
•
Finalmente emplear comandos ayuda y como último recurso los comandos debug.
ÁREAS ESPECIALES OSPF OSPF soporta diferentes tipos de áreas tales como: standard, stub, totally stubby y not-so-stubby. Esto ofrece flexibilidad y permite adaptar el nuevo diseño al entorno de red existente. Hay que recordar que un área es una parte del dominio de enrutamiento de OSPF donde se ejecuta el algoritmo de Dijkstra para elegir rutas. Esta información acerca de los caminos se envía como un bloque entre áreas. Las áreas nos permiten dividir el dominio en partes más pequeñas capaces de ejecutar SPF de una manera más eficiente. Un problema que puede ocurrir con OSPF es que un área puede llegar a contener demasiadas rutas, dicho de otra manera, demasiadas LSA y los routers pueden verse sobrecargados si no tienen la memoria y procesador suficientes como para manejar tanta información.
www.FreeLibros.com
116
©RA-M A
REDES CISCO. CCNP a Fondo
Un área estándar maneja diferentes tipos de LSA. Un ABR en un área estándar envía todas las rutas (externas e intra-área) a través del área estándar. Todas las áreas de tipo stub (stub, totally stubby, NSSA) tratan en diferentes niveles de limitar la información que los routers deben procesar. Estas áreas tienen ciertas características en común: •
El área 0 no puede ser stub
•
Todos los routers en el área han de estar configurados como stub
•
Los virtual link no pueden atravesar áreas stub
r
Areas Stub Son aquellas en las que el ABR filtra todas las LSA externas y las reemplaza por una ruta por defecto. Dependiendo de la cantidad de rutas externas que existan esta solución puede reducir considerablemente el tamaño de la tabla de enrutamiento y el mantenimiento de la misma. Recuerde que rutas externas son las que se redistribuyen en OSPF desde otro protocolo de enrutamiento. Sin embargo, la reducción de la tabla de enrutamiento conlleva un coste agregado ya que los routers dentro del área usarán el ABR más cercano para alcanzar las redes externas. Esto puede causar un enrutamiento ineficiente, enviando el tráfico hacia el ABR más cercano pero eligiendo el camino menos efectivo. Configuración de un área stub: Router(config-router)# area area-id stub
Todos los routers en el área stub tienen que tener configurado este comando para que puedan estar de acuerdo en la señalización stub a la hora de intercambiar helio. r
Areas totally stubby Este tipo de áreas es una solución propietaria de Cisco. Lo que se consigue al implementarlas es que los routers ABR supriman las rutas inter-áreas y las rutas externas sustituyéndolas por rutas por defecto.
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
117
El comando para configurar este tipo de área es exclusivo para los ABR: R o u t e r
(config-router)# area area-id stub no-summary
El resto de los routers serán configurados como stub para que se puedan establecer las adyacencias. A continuación se copia1un extracto de una tabla de enrutamiento de un router de un área stub: La tabla de enrutamiento que se muestra más abajo es del mismo router configurado como totally stubby area. Observe la diferencia de datos entre ambas: 10.0.0.0/32 is subnetted, 4 subnets IA 10.0.22.5 [110/782] via 10.21.1.4, 00:02:39, FastEthernetO/O IA 10.0.22.6 [110/782] via 10.21.1.4, 00:02:39, FastEthernetO/O IA 10.0.22.9 [110/782] via 10.21.1.4, 00:02:39, FastEthernetO/O IA 10.0.0.1 [110/1] via 10.21.1.4, 00:02:39, FastEthernetO/O IA 10.0.0.2 [110/782] via 10.21.1.7, 00:02:52, SerialO/O/O [110/782] via 10.21.1.4, 00:02:52, FastEthernetO/O 10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks O 10.21.1.0/24 [110/10] via 10.21.1.4, 00:03:22, FastEthernetO/O C 10.21.2.0/24 is directly connected, LoopbackO C 10.21.3.0/24 is directly connected, SerialO/O/O O 10.0.1.0/24 [110/20] via 10.21.1.7, 00:04:01, SerialO/O/O O 10.0.2.0/24 [110/30] via 10.21.1.4, 00:04:01, FastEthernetO/O O 10.0.3.0/24 [110/30] via 10.21.1.4, 00:04:01, FastEthernetO/O O 10.0.4.0/24 [110/40] via 10.21.1.4, 00:04:01, FastEthernetO/O O IA 10.22.1.0/24 [110/40] via 10.21.1.4, 00:04:01, FastEthernetO/O 0 IA 10.22.2.0/24 [110/40] via 10.21.1.4, 00:04:01, FastEthernetO/O 0 IA 10.22.3.0/24 [110/40] via 10.21.1.4, 00:04:01, FastEthernetO/O 0*IA 0.0.0.0/0 [110/2] via 10.1.1.1, 00:01:51, FastEthernetO/O 10.0.0.0/32 is subnetted, 4 subnets 10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks O 10.21.1.0/24 [110/10] via 10.21.1.4, 00:03:22, FastEthernetO/O C 10.21.2.0/24 is directly connected, LoopbackO C 10.21.3.0/24 is directly connected, SerialO/O/O O 10.0.1.0/24 [110/20] via 10.2Í.1.7, 00:05:59, SerialO/O/O 0 10.0.2.0/24 [110/30] via 10.21.1.4, 00:05:59, FastEthernetO/O O 10.0.3.0/24 [110/30] via 10.21.1.4, 00:05:59, FastEthernetO/O 0 10.0.4.0/24 [110/40] via 10.21.1.4, 00:05:59, FastEthernetO/O 0*IA 0.0.0.0/0 [110/2] via 10.1.1.1, 00:03:51, FastEthernetO/O
www.FreeLibros.com
118
©RA-M A
REDES CISCO. CCNP a Fondo
r
Areas not-so-stubby Las LSA de tipo 5 no son permitidas en las áreas de tipo stub, para solventar este problema se han creado las áreas not-so-stubby (NSSA). Una NSSA es un área stub que permite al ASBR propagar rutas externas dentro del dominio OSPF, existen dos tipos de NSSA, las not-so-stubby y las not-so-totally-stubby. El ASBR envía LSA de tipo 7 dentro del área NSSA, cuando éstas llegan al ABR las convierte en LSA de tipo 5 para ser enviadas al área 0. Estas LSA de tipo 7 aparecen en la tabla de enrutamiento como redes tipo N I o N2 . El ABR dentro de un área NSSA no genera automáticamente rutas por defecto, para que esto suceda habrá que configurar manualmente los comandos nosummary o default-originate. La sintaxis para configurar un área NSSA en un ABR es la siguiente: Router(config-router)# area area-id nssa [no-summary]
Todos los routers dentro del área NSSA deben reconocer el tipo de área, esto se hace con el siguiente comando: Router(config-router)# area area-id nssa
Para la verificación de áreas stub el comando show ip protocols proporciona una información generalizada sobre los protocolos que se están ejecutando en el router. Con el show ip ospf se verifican los parámetros de configuración de OSPF y con el show ip route se podrán observar con detalle las tablas de enrutamiento. Estos comandos son un buen comienzo a la hora de solucionar y analizar problemas en las áreas OSPF, los siguientes pueden servir de apoyo a los tres anteriores comandos: • • • •
show ip show ip show ip show ip
ospf route ospf database ospf database nssa-external
AUTENTICACIÓN OSPF Los sistemas de redes pueden ser atacados de diferentes maneras, en particular interceptando paquetes OSPF y así conseguir por ejemplo denegación de servicio o simplemente inyectar rutas que son maliciosas. OSPF por defecto confia en todos los paquetes que recibe, por lo tanto es susceptible a posibles ataques.
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
119
OSPF ofrece tres niveles de autenticación: •
Nuil, sin autenticación.
•
Texto plano, la contraseña no está cifrada.
•
Cifrado con el algoritmo MD5.
Por defecto la que se utiliza es la primera de estas opciones.
Autenticación en texto plano Este tipo de autenticación proporciona un nivel de seguridad muy básico. Cualquier atacante con un nivel de acceso medio podría leer las claves intercambiadas. Antes de la versión de IOS 12.0 esta autenticación se configuraba por áreas, todos los routers dentro de la misma área compartían la contraseña; actualmente puede hacerse además por interfaz. La sintaxis de configuración es en el siguiente orden: Router(config-if)# ip ospf authentication-key password Router(c o nfig-if )# ip ospf authentication
Autenticación con MD5 La autenticación con MD5 (Message Digest) mantiene un buen nivel de seguridad. Con este sistema ambos extremos se aseguran de conocer las claves utilizadas en los mensajes de autenticación. Para la configuración con MD5 se debe crear una clave o llave que se utilizará en combinación con la contraseña para crear el cifrado. Es posible tener más de una clave activa a la vez. Los routers que participen en la autenticación deben compartir el número de llave y la contraseña. La sintaxis muestra en el siguiente orden la configuración de esta autenticación: Router(config-if)# ip ospf message-digest-key key md5 password Router(config-if)# ip ospf authentication message-digest
Para verificar que la autenticación está funcionando correctamente se pueden utilizar los comandos:
www.FreeLibros.com
120
©RA-M A
REDES CISCO. CCNP a Fondo
•
ip ospf neighbor, para ver que los vecinos completen las adyacencias.
•
ip ospf interface, muestra información de la autenticación en la interfaz.
•
debug ip ospf adjacency, muestra todos los estados de la autenticación.
Cuando los routers no están de acuerdo en el tipo de autenticación empleada envían un mensaje como el que se muestra a continuación: *Dec 03 17:52:17.527: OSPF: Rcv pkt from 10.0.0.1, FastethernetO/O: Mismatch Authentication type. Input packet specified type 0, we use type 1
Para el caso de que las contraseñas sean diferentes el mensaje es el siguiente: *Dec 03 17:55:13.044: OSPF: Rcv pkt from 10.0.0.1, FastethernetO/O: Mismatch Authentication Key — Clear Text
www.FreeLibros.com
Capítulo 3
IS-IS INTRODUCCIÓN A IS IS IS-IS (Intermedíate System-to-Intermediate System) es un protocolo de gateway interior desarrollado en 1980 por DEC y estandarizado por las ISO (International Organization for Standardization) como un protocolo de enrutamiento para el modelo de referencia OSI (Open System Interconnection). En un principio fue diseñado con la idea de crear una serie de protocolos que pudieran competir con TCP/IP. La idea original que generó la creación de IS-IS responde a los siguientes criterios: •
Crear un protocolo no propietario.
•
Que sea escalable y jerárquico.
•
Eficiente, que permita una rápida y eficaz convergencia sin sobrecargar la red.
Con el transcurso del tiempo a IS-IS se le fueron añadiendo extensiones con el fin de competir y reemplazar a TCP/IP en Internet. Pero finalmente no obtuvo el resultado que se esperaba prevaleciendo TCP/IP entre ambos protocolos. A este IS-IS con extensiones se le llamó IS-IS Integrado, actualmente simplemente se le llama IS-IS y es como será tratado en este libro.
www.FreeLibros.com
122
©RA-M A
REDES CISCO. CCNP a Fondo
Recientemente IS-IS está resurgiendo aumentando su popularidad debido a que se tratade un protocolo independiente, escalable y que define tipos de servicios. También se está adaptando su uso en IPv6 y MPLS.
Terminología IS-IS Cuando se habla en terminología OSI, un router es definido como un sistema intermediario (IS) y un PC como un sistema final (ES), por lo tanto el protocolo IS-IS es un sistema router-a-router. Al implementar IS-IS es fundamental interpretar el direccionamiento OSI, el CLNS (Connectionless Network Service), OSI soporta cuatro niveles de enrutamiento, en este caso IS-IS ocupa los dos lugares centrales: •
Nivel 0, utilizado para encontrar sistemas finales y finales a intermedios.
•
Nivel 1, utilizado para intercambiar rutas dentro deun área.
•
Nivel 2, es el backbone entra áreas.
•
Nivel 3, usado entre sistemas autónomos.
Los routers que ejecutan IS-IS pueden estar en el nivel 1, en el nivel 2 o en ambos. Estos últimos conectan áreas al backbone. Estos niveles emplean el algoritmo de Dijkstra SFP para converger rápidamente.
Protocolos de la capa de red utilizados en IS-IS Las PDU (Protocol Data Unit) del protocolo IS-IS son encapsulados directamente en tramas de enlace de datos. Todos los paquetes IS-IS comparten la misma cabecera del mismo tamaño, a partir de ésta hay varios campos que comparten información relativa al enrutamiento. Estos campos tienen una longitud variable llamados TLV (Type, Length, Valué). Cada PDU de IS-IS comienza con la cabecera estándar, le siguen los campos específicos y finalmente los campos variables TLV.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 123
© RA-MA
Tipos de paquetes IS-IS A continuación se describen los tres tipos de paquetes de IS-IS: Helio: sirven para establecer las adyacencias. Existen tres tipos de paquetes helio: • End System Helios (ESH), helio para sistemas finales, ISO los utiliza para conectarse a los router. Los sistemas finales IP no entienden ESH por lo tanto IS-IS interconecta la red local. • Intermedíate System Helios (ISH), helio de sistema intermediario, los router utilizan el ISH para anunciarse a sí mismos de vuelta al ES. • Intermediate-To-Intermedíate Helios (IIH), sistema intermediario hacia intermediario, los routers utilizan IIH para conocer a otros vecinos IS. Los IIH son transmitidos separadamente a nivel 1 y nivel 2. Debido a que los sistemas punto a punto y broadcast trabajan de manera diferente, las adyacencias también se establecen de manera distinta. En una red punto a punto el router sólo tiene otro router con el que se puede comunicar, las redes broadcast, en cambio, son redes multiacceso que pueden tener una mezcla de niveles 1 y 2. Por esto último las redes LAN tienen unos paquetes especiales llamados LAN Helio con dos formatos, los de nivel 1 y los de nivel 2. Por lo tanto los enlaces broadcast utilizan paquetes LAN Helio y los enlaces punto a punto paquetes Point-to-point Helio. Origen
Helio
Destino
Descripción
ESH
OSI ES
IS
Enlaza ES a IS
ISH
IS
OSI ES
Anunciáis
Nivel 1 IIH
L1 IS
L1 IS
Construye área
Nivel 2 IIH
L2 IS
L2IS
Pasa adyacencias de nivel 2
LSP (Link-State Packet): los LSP de un router de nivel 1 son anunciados a todos los routers dentro del área, éstos contienen una lista de todas las adyacencias. De igual manera los routers de nivel 2 anuncian LSP de nivel 2 del mismo dominio. Estos LSP contienen una lista con la información de todas las adyacencias de los otros routers de nivel 2 y las áreas que el router puede alcanzar.
www.FreeLibros.com
124
©RA-M A
REDES CISCO. CCNP a Fondo
Las TLV contienen información de nivel 1 y de nivel 2 permitiendo que el formato de las LSP sea el mismo para el router de ambos niveles. Las TLV proporcionan flexibilidad y extensibilidad al protocolo haciendo que el protocolo se adapte a los cambios simplemente agregando nuevas TLV. La estructura de las TLV es la siguiente: •
Tipo, identifica los anuncios y todas las características que pertenecen a él, por ejemplo TLV 128 es un anuncio IP.
•
Longitud (length), indica la longitud del siguiente campo, valué que es de longitud variable.
•
Valué, el anuncio adquiere forma de rutas IP, vecinos IS o autenticación.
Es importante conocer que TLV son soportadas por los dispositivos ya que de esto depende el diseño y configuración de la red. Los routers receptores ignorarán las TLV que no sean soportadas por éstos.
COMPARACIÓN DE IS IS CON OSPF IS-IS y OSPF comparten un pasado común ya que fúeron desarrollados al mismo tiempo compartiendo muchas cosas en común. Tal es así que se puede decir que IS-IS es una versión de OSPF en “totally stubby areas”. Ambos protocolos son del tipo de estado de enlace basado en el algoritmo SFP de Dijkstra, soportan VLSM, tienen una jerarquía de dos niveles, convergen rápidamente y utilizan los helio para establecer relaciones con sus vecinos y crear tablas de topologías. Entre las principales diferencias entre OSPF e IS-IS se pueden destacar: •
OSPF tiene un área central o de backbone, mientras que IS-IS utiliza un backbone para todas sus áreas.
•
IS-IS utiliza sólo un DR (Designated Router) llamado DIS (Designated Intermedíate System) y diferentes temporizadores.
•
IS-IS envía anuncios de una manera estándar en paquetes simples mientras que los envíos de OSPF varían y son transmitidos según el tipo que sean.
•
IS-IS se encapsula a nivel de la capa de enlace de datos.
•
OSPF es más cercano a TCP/IP y está más relacionado con redes IP, IS-IS puede soportar CLNS e IP a la vez.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 125
©RA-MA
Si bien las principales características entre ambos protocolos son similares, se detallan a continuación algunas diferencias específicas entre ambos: •
Áreas: ambos protocolos soportan una jerarquía de áreas de dos niveles. OSPF utiliza un área principal o área 0 la cual está conectada a todas las demás áreas, los routers que tienen interfaces conectadas a diferentes áreas se llaman ABR. En IS-IS el router pertenece a un área de nivel 1. Los router de nivel 1-2 son similares al ABR, pertenecen a un área de nivel 1 pero enrutan separadamente a nivel 2. En IS-IS los routers de nivel 2 pueden pasar por áreas de nivel 1, los routers de esta última deben estar en el mismo área para poder intercambiar rutas locales y recibir rutas por defecto de nivel 1-2. Por último, los routers de nivel 2 envían actualizaciones de nivel 2 a través del backbone.
•
Topología de LAN: similar a lo que ocurre en OSPF con los DR en IS-IS funcionan los DIS que simulan una topología punto a punto en un entorno multipunto. Debido a esto muchas veces el DIS es llamado también seudo-nodo. Éstos existen separadamente para ambos niveles y no existen DIS de reserva o backup. En OSPF una vez elegido el DR no será cambiado aunque entre en la red un router con mejor prioridad; sin embargo en IS-IS el rol del DIS puede cambiar de router si entra en la red un router con prioridad más alta sin necesidad de cambios en la topología. En OSPF las adyacencias se establecen con el DR y el BDR, mientras que en IS-IS además de establecer adyacencia con el DIS todos los routers establecen adyacencia con todos los demás. Los LSP son enviados sólo por el DIS.
• Anuncios: los anuncios en OSPF son encapsulados por tipo y un router OSPF puede generar diferentes tipos de paquetes para advertir el tipo de conectividad que tiene. Los anuncios de IS-IS son todos de un formato estándar: tipo longitud y valor (TLV). La estructura TLV implica que los anuncios pueden ser fácilmente agrupados y advertidos juntos, empleando menor cantidad de envíos haciendo que IS-IS sea fácilmente adaptable. Los anuncios de IS-IS son llamados SNP (Sequence Number Packets), éstos listan los LSP en el router en la base de datos del router que está retransmitiendo pero en un formato resumido. Los SNP nunca se envían inundando la red, sólo se hace el envío entre vecinos. Los CNP son específicos de cada nivel y pueden ser CSNP (Complete SNP), que listan todas las LSP y PSNP (Partial SNP), que listan sólo algunas LSP. Los LSP que no son reconocidos se ignoran y son enviados por inundación a toda la red.
www.FreeLibros.com
126
©RA-MA
REDES CISCO. CCNP a Fondo
•
Encapsulación: una diferencia importante entre los dos protocolos es el tipo de encapsulación utilizada. IS-IS es un protocolo independiente que se ejecuta directamente sobre la capa de enlace, mientras que OSPF está encapsulado dentro de IP. Esto hace que IS-IS pueda adaptarse a diferentes circunstancias con mayor flexibilidad. Un ejemplo de esto último es IPv6 donde IS-IS se adaptó sin grandes cambios, mientras que en OSPF fue necesaria la creación de OSPFv3.
•
Desarrollos futuros: IS-IS ha estado estancado durante largos años, sin embargo recientemente ha recuperado el interés de los administradores, tanto que Cisco se ha comprometido a llevar este protocolo a niveles de popularidad como los OSPF. Actualmente OSPF tiene diversidad de áreas y métricas más grandes, la información, bibliografía e incluso la ingeniería son mucho más fáciles de conseguir. Las ventajas de IS-IS, como la encapsulación, la estructura de las TLV y el proceso de LSP, aún no han sido aprovechadas ni valoradas por las empresas.
DIRECCIONAMIENTO ISO OSPF utiliza direccionamiento IP para determinar el router ID, IS-IS utiliza para el mismo propósito un direccionamiento ISO. Las direcciones ISO tienen dos formatos dependiendo del tipo de dispositivo al que se le asigne esa dirección: •
NSAP, Network Service Access Point
•
NET, Network Entity Title
El esquema de direccionamiento ISO tiene un formato complejo y está bien definido por reglas claras. Estas direcciones poseen un rango de entre 8 y 20 octetos o bytes, mientras que una dirección IP sólo consta de 4. La referencia ISO 10589 define tres partes que componen una dirección ISO: •
Área, en este caso es como una subred IP, describe un grupo o localización.
•
ID, identifica un miembro en particular dentro de una localización tal como lo determina la parte de host de una dirección IP.
•
SEL, similar a un puerto TCP que identifica un proceso en el host.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 127
©RA-MA
IDP AFI 1 octeto
IDI
HODSP
AREA
DSP System ID 1-8 octetos ID
NSEL 1 octeto SEL
Inter Domain Part (IDP) se utiliza para enrutamiento externo, enruta el sistema autónomo. El IDP está otorgado por la ISO e identifica la organización responsable de asignar el formato del resto de la dirección definiendo la estructura DSP. El IDP se subdivide en dos partes: •
Authority and Format Identifier (AFI), también llamado Address Family Identifier, primer octeto, identifica la autoridad que dictamina el formato de la dirección y emite las direcciones. Este byte se identifica típicamente con 39 como código de país, 47 código internacional y 49 privado
•
Initial Domain Identifier (IDI), es una organización de menor jerarquía que funciona dentro del AFI.
Domain Specific Part (DSP), es utilizado para enrutar dentro del sistema autónomo, contiene tres campos: •
High Order DSP (HODSP), es el área dentro del sistema autónomo.
•
System ID, identifica el sistema. El estándar indica que puede contener 6 u 8 octetos, Cisco implementa únicamente el System ID de 6 bytes. Este identificador tiene que ser único y debe poseer la misma longitud a través de todo el sistema autónomo. Existen dos maneras de generarlo, una es utilizando simplemente la dirección MAC y la otra es manipular la dirección IP transformándola en un número de tres dígitos, por ejemplo la dirección IP 192.168.1.123 quedaría como System ID 1921.6800.1123. Este número puede ser creado simplemente por el administrador pero puede ser conflictivo si no se realiza correctamente (por ejemplo, duplicaciónes).
•
NSEL, es un byte que identifica el servicio a nivel de capa de red al cual parar el paquete, 0x00 representa el dispositivo. Un NSAP 0x00 es llamado NET (Network Entity Title).
La diferencia de formato de dirección suele generar confusión, sólo basta con recordar que existen dos niveles de jerarquía. Resumiendo se puede decir que el esquema de direccionamiento puede surgir del diseño de un administrador, obtenido del AFI o una entidad como ANSI o GOSIP.
www.FreeLibros.com
128
©RA-M A
REDES CISCO. CCNP a Fondo
Reglas para el direccionamiento ISO Las siguientes definiciones especifican algunas cuestiones sobre el direccionamiento ISO: •
La dirección ISO se asigna al sistema y no a la interfaz.
•
Normalmente un router posee una dirección NET. En una implementación convencional de IS-IS el límite es de 3 NET por área en una topología de IS-IS multi-área.
•
Si múltiples NET son configuradas en el mismo router todas tienen el mismo Sytem ID.
•
La dirección de área debe ser la misma para todos los router de la misma área.
•
Todos los routers de nivel 2 tienen que tener el mismo System ID para todo el dominio de nivel 2. Todos los routers de nivel 1 tienen que tener el mismo System ID para todo el dominio de nivel 1.
Direcciones NET y NSAP Tanto NET como NSAP son direcciones ISO. La primera es específicamente la dirección NSAP del host con el NSEL en 0x00. Este formato de direcciones es el empleado para identificar un router. El System ID debe ser de la misma longitud para todos los IS y ES dentro del dominio de enrutamiento. Cisco soporta System ID de 6 byte.
Ejemplo de una dirección NET El siguiente ejemplo muestra una dirección NET con un AFI (Authority and Format Identifier) 49, es decir, un direccionamiento cuya estructura es creado por un administrador según su propio criterio. Debido a que no es necesaria la diferenciación entre áreas, el IDI no ha sido utilizado. Este ejemplo utiliza la MAC del host como System ID, 49.0005.AA00.0301.16CD.00. El primer byte corresponde al AFI, el último byte es SEL, los 6 bytes restantes son el System ID. Cualquier valor entre AFI y System ID será interpretado como área (IDI), que en este caso no es necesario indicar. 49.0005. Dentro del dominio Area
AA00.0301.16CD. 00 Fuera del dominio SEL System ID
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 129
Este otro ejemplo utiliza la dirección de loopback 122.132.16.19 como System ID, 49.0001.1221.3201.6019.00. 49.0001. Dentro del dominio Area
1221.3201.6019. 00 Fuera del dominio System ID SEL
Por último, un ejemplo de una dirección GOSIP con información de enrutamiento externo 47.0005.80ff.f800.0000.0001.0000.0c00.1234.00, esta estructura es demasiado compleja para la utilización que hoy en día se le da a IS IS. AFI 47.
IDI 0005.80ff.f800.0000. Area
HODSP 0001.
System ID 0000.0c00.1234. System ID
SEL 00 SEL
ADYACENCIAS EN IS-IS El enrutamiento hacia un destino dentro de un área es sencillo, el primer IS ubica el destino y lo añade a su tabla de enrutamiento y selecciona la ruta más corta como lo haría OSPF. En cambio el enrutamiento entre áreas es más complejo. El primer IS recibe un determinado tráfico IP que no esta en su tabla de enrutamiento, entonces decide pasar la información al router nivel 1-2 más cercano. Posteriormente este último verifica en su tabla de enrutamiento para enrutar hacia el próximo router de nivel 1-2 más cercano que esté anunciando sumarizaciones que contenga este destino. Las fronteras en IS-IS integrado están definidas en el enlace, esto significa que el router está completamente en un área de nivel 1. Para actualizaciones de enrutamiento de nivel 2 externas todos los routers de ese nivel deben ser contiguos. Los routers que comparten un medio común en IS-IS se hacen vecinos siempre y cuando los paquetes helio que se intercambian tengan cierto criterio común para formar esas adyacencias. Aunque el proceso de encontrar un vecino común difiere del tipo de medio; la información enviada en los helio básicamente es la misma.
www.FreeLibros.com
130
©RA-M A
REDES CISCO. CCNP a Fondo
Área 0002 Cada helio identifica el origen de ese helio y las capacidades de la interfaz. Si los helio intercambiados comparten un criterio común se forma la adyacencia y los vecinos IS-IS intercambian información de enrutamiento en forma de LSP. De esta forma todos y cada uno de los routers recopilan información de las redes conectadas para crear mapas topológicos detalladamente iguales acerca de la red. Para que entre dos routers se cree una adyacencia y se conserve, ambas interfaces deben estar de acuerdo en lo siguiente: •
Las MTU (Máximum Packet Size) de las interfaces deben ser las mismas.
•
Ambos routers deben soportar el mismo nivel de enrutamiento, es decir, que un router de nivel 1 se hace adyacente a un router de nivel 1 o nivel 1-2 del mismo área. Un router de nivel 2 se hace adyacente a un router de nivel 2 o nivel 1-2.
•
Para conectarse hacia otra área al menos uno de los routers debe estar configurado como nivel 1-2.
•
El System ID tiene que ser único para cada router.
•
Si se ha configurado autenticación, ésta debe ser idéntica en ambos routers.
•
Los helio y hold timers deben ser iguales.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 131
©RA-MA
IS-IS define dos tipos de redes, subredes broadcast y redes punto a punto, mientras que OSPF define 5 tipos de redes. Una red Broadcast, al igual que en OSPF, es una red que soporta broadcast y multicást. Los enlaces punto a punto se consideran que son non-broadcast y pueden ser circuitos virtuales permanentes (PVC) o líneas dedicadas. En IS-IS no existe el tipo de red NBMA por lo tanto las redes multiacceso non-broadcast deben ser creadas como broadcast o punto a punto. Normalmente la solución implementada es crearlas con subinterfaces punto a punto.
Adyacencias en enlaces punto a punto Cuando se está utilizando enlaces punto a punto la adyacencia se crea después de que un paquete helio ha sido recibido. A continuación cada una de las partes envía un CSNP que es una lista de todos los enlaces que hay en la base de datos de estado de enlace, activando una sincronización de la base de datos de cada uno de los dispositivos. Posteriormente helio periódicos mantienen la continuidad de la adyacencia. Si un router no escucha helio dentro del tiempo establecido (holdtime) el vecino es declarado como muerto y la base de datos es limpiada de cualquier entrada asociada a ese router. Cisco define el holdtime como el intervalo helio multiplicado por 3, es decir 30 segundos.
Adyacencias en enlaces broadcast En un enlace broadcast cada IS recibe paquetes enviados por el DIS, minimizando la cantidad de tráfico que es generada para mantener las adyacencias y la base de datos. El DIS tiene la responsabilidad de hacer una inundación de LSP hacia todos los dispositivos que estén conectados o ejecutando IS-IS. Las adyacencias con los demás routers son mantenidas por el DIS, enviando helio cada 3,3 segundos, tres veces más rápidos que el período de los otros router. De esta manera se asegura de identificar las adyacencias y posibles fallos más rápidamente. Si existiese un problema con el DIS o apareciese, un router con mayor prioridad es rápidamente identificado y pasa a reemplazar al antiguo DIS. La elección del DIS se basa primero en la prioridad más alta y luego en la dirección más alta del enlace.
www.FreeLibros.com
132
REDES CISCO. CCNP a Fondo
©RA-M A
Adyacencias en enlaces NBMA El establecimiento y mantenimiento de adyacencias se toma más complejo en entornos non-broadcast. Un enlace NBMA no es ni un enlace broadcast ni un enlace point-to-point, es un poco de ambas. IS-IS no tiene un tipo de red que sea NBMA. La utilización de PVC en un entorno NBMA crea múltiples conexiones como si se tratara de una LAN. Al no tener conocimiento de nubes WAN multiacceso, IS-IS interpreta que el medio es similar a una LAN, por lo tanto adquiere propiedades de broadcast, aunque la nube WAN no posee dichas capacidades de broadcast. Para evitar esta problemática y posibles errores Cisco recomienda que se configuren los enlaces como una serie de enlaces punto a punto. No hay que utilizar IS-IS en conexiones temporales como dial-up.
FUNCIONAMIENTO DE IS IS El proceso de enrutamiento de IS-IS puede contemplarse en las siguientes partes: •
Actualización (Update)
•
Decisión (Decisión)
•
Reenvío (Forwarding)
•
Recepción (Receiving)
Proceso de actualización El router puede enviar paquetes de datos hacia un destino remoto únicamente si entiende la topología. Cada router envía un LSP que lista todos los routers vecinos y que se propagan a través de la red. La inundación de los LSP asegura que cada router tenga una base de datos de estado de enlace idéntica. Los routers implicados generan LSP cuando existe algún tipo de cambio en la red como por ejemplo cualquiera de las siguientes situaciones: •
La caída de una adyacencia.
•
Cambios de estado de una interfaz o asignación de una nueva métrica.
•
Cambios en una ruta, por ejemplo debido a una redistribución.
Los routers almacenan los nuevos LSP en la base de datos de estado de enlace y los identifican para que puedan ser enviados. Si el LSP ya está contenido en la base de datos, el router simplemente lo confirma y lo ignora.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 133
©RA-MA
El router envía estos nuevos LSP hacia sus vecinos los que su vez repiten este mecanismo sucesivamente. Debido a que cada uno de los routers de nivel 1 y los de nivel 2 poseen su propia base de datos de estado de enlace, los LSP de nivel 1 sólo son inundados dentro del área, mientras que los LSP de nivel 2 son enviados a todas las adyacencias de nivel 2. El proceso de propagación de los LSP depende estrechamente según el tipo de medio en que fue recibido: •
Propagación de LSP en enlaces punto a punto: en este tipo de enlace el ancho de banda puede optimizarse debido a que los dos routers pueden tener la capacidad de enviar actualizaciones o no, además de no haber necesidad de que las bases de datos estén sincronizadas. El proceso de inundación sigue la siguiente secuencia: o
o o o o
•
Cuando una adyacencia es establecida ambas partes envían un paquete con un número de secuencia completo CSNP con una versión comprimida de la base de datos de enlace (router ID y número de secuencia), Si hay algún LSP que no es recibido con el CSNP se reenvían los LSP perdidos nuevamente, Del mismo modo si la base de datos no contiene algunos de los LSP recibidos en el CSNP, el router receptor solicita el reenvío, Los LSP individuales son pedidos y confirmados a través de números de secuencia parciales (PSNP) Cuando un LSP es enviado el router inicia un temporizador de tal forma que si no se recibe un ACK en el tiempo establecido, el LSP es reenviado. Este temporizador puede se, configurado, por defecto en los routers Cisco es de 5 segundos.
Propagación de LSP en enlaces broadcast: un seudo-nodo en este tipo de enlaces puede necesitar enviar actualizaciones de nivel 1 y de nivel 2 por medio de direcciones MAC multicást hacia todos los routers de esos niveles. El DIS toma la responsabilidad de ejecutar estas tareas en lugar del seudo-nodo sincronizando las bases de datos. Cumpliendo tareas tales como crear y mantener adyacencias, crear y actualizar los LSP del seudo-nodo e inundar la LAN con los LSP. Los tres pasos principales son: o o
Cuando se recibe CSNP el router compara cada LSP comprimida con la base de datos de estado de enlace, Si la base de datos tiene una nueva versión de LSP enviada en CSNP, el router hace multitast del CSNP en la LAN.
www.FreeLibros.com
134
©RA-M A
REDES CISCO. CCNP a Fondo
o
Si la base de datos no tiene una nueva versión de LSP, envía un PSNP solicitando una LSP completa. Aunque la petición es multicást solamente responde el DIS.
PASO 2: PSNP solicitand o
PASO 1: CSN P o LS P PASO 3: R e sp u esta LSP
•
Determinación de la validez del LSP: el LSP posee tres campos que permiten determinar lo reciente que es y si está intacto o corrupto: o
Remaining Lifetime: usado para limpiar viejas LSP, pasados 20 minutos sin decepcionar otra, se asume que el router que lo originó ha muerto.
o
Sequence Number: es un identificador de 32 bits, la primera de las LSP tiene valor 1 incrementándose sucesivamente.
o
Checksum: si el router recibe un LSP y el cómputo del checksum no es el correcto, elimina el LSP e inunda la red con éste para que todos los routers lo borren, mientras que el router que lo originó transmite un nuevo LSP.
Proceso de enrutamiento Una vez que las bases de datos de estado de enlace han sido sincronizadas, es necesario asumir una decisión sobre cómo llegar a un determinado destino. Debido a que los routers y host pueden tener diferentes conexiones hacia cada otro,
www.FreeLibros.com
CAPÍTULO 3. IS-IS 135
©RA-MA
podrán establecerse diferentes rutas y habrá que elegir uno de ellos. Para tomar la mejor decisión los protocolos de estado de enlace utilizan el algoritmo de Dijkstra. Este algoritmo crea un árbol hacia todos los posibles destinos. A partir de este árbol se crea la tabla de enrutamiento. Si existe más de una ruta para alcanzar un destino remoto el criterio para determinar el camino con menor coste es el siguiente: •
Si existe más de una ruta con el valor de métrica más bajo, los dispositivos Cisco ponen todos o varios caminos en la tabla de enrutamiento. Versiones anteriores de IOS soportan hasta 6 rutas con balanceo de carga, las nuevas versiones soportan mucho más.
•
Las rutas internas tienen mayor preferencia que las rutas externas.
•
Las rutas de nivel 1 son más atractivas que las de nivel 2.
•
La dirección IP más específica es la dirección que posee la máscara de subred más larga.
•
Si no existen rutas, la base de datos envía el paquete al router de nivel 2 más cercano.
La métrica define el coste del camino o ruta. IS-IS tiene cuatro métricas pero solamente una es requerida y soportada. Están definidas por el estándar ISO 10589 y son las siguientes: • Default: todo router IS-IS integrado debe soportar esta métrica. Cisco por defecto utiliza en todas las interfaces un valor de 10 para esta métrica. • Delay: Cisco no soporta esta métrica. • Expense: Cisco no soporta esta métrica. • Error: Cisco no soporta esta métrica. Por defecto en la interfaz de salida se configuran métricas de 6 bits. Un campo de 10 bits describe el coste total del camino. A estas métricas por defecto se les llama narrow. Cisco incrementó el tamaño de la métrica hasta 24 bits.
www.FreeLibros.com
136
©RA-M A
REDES CISCO. CCNP a Fondo
Este campo de métrica más largo proporciona más granularidad y permite distinguir diferentes caminos y nos referimos a ella como wide. Para determinar la mejor ruta es elegida la métrica más baja, las rutas externas son elegidas sobre rutas externas. Los routers de nivel 1 tienen preferencia sobre los routers de nivel 2. La única métrica soportada por Cisco es la métrica por defecto, debido a que cada métrica utilizada en IS-IS requiere un cálculo de la base de datos de enlace para router de ambos niveles.
DISEÑO DE REDES IS IS El buen funcionamiento de la red depende del buen diseño y de la planificación con que se haya pensado. Aunque las limitaciones físicas y técnicas sean una de las cuestiones a tener siempre en cuenta, hay que intentar crear diseños de redes que satisfagan las necesidades de los usuarios y aplicaciones que van a trabajar en ellas. En IS-IS los criterios de diseño más importantes a tener en cuenta son las áreas y el direccionamiento. Al diseñar redes jerárquicas con IS-IS es necesario considerar el flujo de datos que se aplicará sobre la red además de todos los recursos que se requieren para que se pueda ejecutar el protocolo. Mejorar los procesos de actualizaciones sin comprometer recursos y confiabilidad de la red también es una cuestión a tener en cuenta. Reducir la cantidad de actualizaciones hace que las bases de datos converjan más rápidamente, pero la red no tendría tantos recursos de enrutamiento. Al diseñar las áreas hay que mantener dos bases de datos SPF, esto significa mayor consumo de recursos para los routers que pertenecen a más de un área. Algunos diseños típicos pueden ser: •
Una red totalmente plana que utiliza solamente enrutamiento de nivel 1. Este diseño no escala correctamente debido a que cualquier cambio en la red requiere que se haga una inundación de SLP hacia todos los routers, en consecuencia al algoritmo SPF se ejecutará constantemente.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 137
© RA-MA
Sin embargo posee la ventaja de que sólo habrá un algoritmo SPF y no habrá enrutamiento entre áreas. •
Una red totalmente plana que utiliza solamente enrutamiento de nivel 2. En este caso si la red necesita expandirse pueden agregarse áreas de nivel 1. El área de nivel 2 tiene total conocimiento de la red sumada la ventaja de estar ejecutándose una sola instancia de SPF.
•
Una red totalmente plana que utiliza la configuración por defecto de Cisco con todos los ruoters como nivel 1-2. Este diseño permite una migración bastante sencilla hacia un modelo jerárquico. Sin embargo requiere más recursos al necesitar dos bases de datos SPF.
•
Una red de modelo jerárquico donde el núcleo o core está ejecutando enrutamiento de nivel 2 con áreas de nivel 1 conectadas al core. Los routers de nivel 1-2 interconectan las áreas. Este diseño explota todo el potencial y la capacidad de IS-IS; hay varias cuestiones a tener en cuenta: o
El consumo de recursos puede resultar elevado.
o
La decisión de enrutamiento lo determina la métrica de la interfaz de salida.
Por defecto los routers Cisco ejecutan IS-IS nivel 1-2, pero pueden ser configurados para que sean de nivel 1 o de nivel 2. Sin embargo, la configuración por defecto evita las particiones de áreas, como en el caso de un modelo jerárquico, que pierde una conexión entre un router nivel 1 y un router nivel 1-2. También se evitaría de esta manera la pérdida del área. Recuerde siempre que la métrica por defecto es 10 sin importar el ancho de banda.
Soluciones de diseño en redes NBMA con IS-IS El diseño de redes WAN en entornos NBMA con IS-IS no es tarea fácil como lo sería por ejemplo con EIGRP en este tipo de topología. Sin embargo es menos complicado que OSPF. Las redes NBMA como Frame-Relay y ATM no están soportadas en IS-IS, debiendo emplear otras opciones como por ejemplo configuraciones tipo broadcast imitando una red ethemet o interfaces punto a punto. Esta última opción es la más recomendada.
www.FreeLibros.com
138
©RA-M A
REDES CISCO. CCNP a Fondo
Sumarización de rutas La sumarización tiene muchas ventajas: reduce los recursos necesarios en la red y oculta problemas de red dentro de un área. Si un router no se da cuenta de un cambio o de un problema en la red, las bases de datos no tienen que ser actualizadas ni recalculadas reduciendo así los recursos requeridos para SPF. Cuanto más detallado sea el conocimiento que el router tenga de la red, más recursos necesitará. La sumarización permite a las áreas administrar un conocimiento interno de la red y sumarizar ese conocimiento en las fronteras de la red. Las reglas de sumarización de OSPF de múltiples áreas se aplican a IS-IS. Las reglas para sumarizar rutas IP en IS-IS son las siguientes: •
Los routers de nivel 1-2 pueden sumarizar las rutas que están almacenadas dentro de su propia área. La sumarización se configura en el router nivel 1-2 en el borde del área, tal como lo hace el ABR en OSPF.
•
Si a un router nivel 1-2 se le configura una ruta sumarizada, se debe configurar también en todos los routers nivel 1-2 dentro del área inyectando actualizaciones de nivel 2.
•
Las rutas de nivel 1 no pueden ser sumarizadas dentro del área porque el protocolo no lo permite.
CONFIGURACIÓN BÁSICA DE IS-IS Cuando se habla de enrutamiento se debe pensar en una topología que permita la sumarización y la selección de direcciones que puedan ser sumarizadas. Los protocolos de enrutamiento asumen esto como hecho. Los tres pasos iniciales para la configuración de IS-IS son los siguientes: 1. Habilitar el proceso de enrutamiento con el comando router isis. 2. Configurar la dirección NET que asigna el área. El comando para esto es net network-address. 3. Habilitar IS-IS para IP en las interfaces correspondientes con el comando ip router isis.
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 139
El siguiente ejemplo muestra la configuración básica para configurar IS-IS:
ROUTER
DIRECCION ISO
A
49.000 l.OOOO.OOOO.OOOA.OO
B C D
49.0002.0000.0000.000B.00
E F
49.0002.OOOO.OOOO.OOOE.OO 49.0003.0000.0000.000F.00 .
49.0003.0000.0000.000C.00 49.0001.0000.0000.000D.00
interface EthernetO ip address 140.100.96.1 255.255.255.0 iassign the IP address and mask ip router isis
i interface SerialO no ip address
www.FreeLibros.com
140
©RA-M A
REDES CISCO. CCNP a Fondo
encapsulation frame-relay interface SerialO.l point-to-point ip address 140.100.64.1 255.255.255.0 iassign the IP address and mask ip router isis frame-relay interface-dlci 629
i interface Serial0.2 point-to-point ip address 140.100.32.1 255.255.255.0 iassign the IP address and mask ip router isis frame-relay interface-dlci 931
i router isis net 49.0001.0000.0000.000a.00
La dirección ISO es similar a lo que en OSPF es el ruoter ID, pero en este caso también implica asignación de área. Recuerde que por defecto los routers Cisco están configurados como nivel 1-2. De la misma manera que el comando clns routing no es necesario para IP.
Comandos opcionales de IS-IS Además de los comandos convencionales para la configuración de IS-IS existen algunos comandos apropiados para ciertas situaciones. Configurando un router de nivel 1-2: por defecto los routers soportan ambos niveles. Enrutar estos dos niveles significa enviar dos veces los paquetes helio y los anuncios, es decir, utilizar el doble de envíos y procesamientos. Sin embargo esto hace para el administrador la configuración más sencilla. Una manera de optimizar el protocolo es reducir la duplicación innecesaria en ambos niveles. El nivel se configura luego del proceso con el comando is-type level-1 o is-type level-2. Una vez aplicado, todas las interfaces se comunican en el nivel configurado.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 141
©RA-MA
El siguiente ejemplo muestra la configuración de niveles: Área 0001
Área 0003 Los routers D, E y F sólo necesitan soportar nivel 1 porque son internos dentro del área. El ejemplo de configuración del router D muestra el proceso: interface EthernetO ip address 140.100.96.2 255.255.255.0 ip router isis
i
router isis net 49.0001.0000.0000.OOOd.00 is-type level-1
El nivel de enrutamiento puede ser configurado por interfaz utilizando el comando isis circuit-type level-1 o isis circuittype level-2-only dentro del modo de interfaz. Siguiendo el ejemplo anterior estos comandos se han aplicado a los routersA, B y C. La interfaz serial ha sido configurada a nivel 2.
www.FreeLibros.com
142
©RA-M A
REDES CISCO. CCNP a Fondo
Los routers nivel 1-2 envían LSP con un bit adjunto (ATT) en las LSP de nivel 1 que indica son adyacentes a otra área y es interpretado por el router receptor como una ruta por defecto, es decir, que el router de nivel 2 sirve como un router de tránsito entre áreas. La siguiente configuración muestra al router A como de nivel 1 con su interfaz ethemet conectada al router D, las demás interfaces están configuradas como nivel 2. interface EthernetO ip address 140.100.96.1 255.255.255.0 ip router isis isis circuit-type level-1 ¡Configure Level 1 routing on the interface
i
interface SerialO no ip address encapsulation frame-relay i
interface SerialO.1 point-to-point ip address 140.100.64.1 255.255.255.0 ip router isis frame-relay interface-dlci 629 isis circuit-type level-2-only ! Configure Level 2 routing on the interface i
interface SerialO.2 point-to-point ip address 140.100.32.1 255.255.255.0 ip router isis frame-relay interface-dlci 931 isis circuit-type level-2-only ¡Configure Level 2 routing on the interface i
router isis
Configuración de la sumarización Una vez que el esquema de direccionamiento de red es interpretado, la configuración de la sumarización es sencilla. Hay tres claves respecto a esto último y son las siguientes: 1. La sumarización se configura en los router de nivel 1-2 2. Todos los routers de nivel 1-2 en un área tienen que sumarizar de la misma manera. 3. Los routers no pueden sumarizar dentro de un área, sólo entre áreas.
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 143
Para configurar la sumarización se utiliza el comando summary-address seguido de la dirección IP que representa la sumarización y la máscara de subred luego del proceso de enrutamiento. Las rutas IP del router B del siguiente ejemplo son sumarizadas en las áreas 001 y 003. Este router pertenece a más de un área por lo tanto es de nivel 1-2.
Área 0003 interface EthernetO ip address 140.100.104.1 255.255.255.0 ip router isis isis circuit-type level-1 i
interface SerialO no ip address encapsulation frame-relay
i
interface SerialO.2 point-to-point ip address 140.100.32.2 255.255.255.0 ip router isis isis circuit-type level-2-only frame-relay interface-dlci 931
www.FreeLibros.com
144
©RA-M A
REDES CISCO. CCNP a Fondo
interface SerialO.3 point-to-point ip address 140.100.16.2 255.255.255.0 ip router isis isis circuit-type level-2-only frame-relay interface-dlci 631
i
router isis summary-address 140.100.104.0 255.255.252.0 ! Advertises 140.100.104.0/22 net 49.0002.0000.0000.000b.00
Configuración NBMA IS-IS reconoce dos tipos de redes, broadcast y punto a punto. Si el enlace de red no es una línea serial conectada a un sólo router, es decir, punto a punto, IS IS automáticamente definirá el enlace como broadcast. Debido a que NBMA no es ninguna de las opciones de topología aceptadas por IS-IS, se deben tener en cuenta ciertas consideraciones a la hora de su configuración. Para interfaces WAN multiacceso como por ejemplo ATM, x-25 o FrameRelay, es altamente recomendable que la configuración de la nube NBMA se realice como una topología de múltiples subinterfaces punto a punto. Este diseño es menos complejo que el modo broadcast resultando una topología más sólida y cuya configuración será también más simple. Un clásico ejemplo de redes NBMA es Frame-Relay, que soporta entornos tanto punto a punto como entornos mallados, aunque como se ha dicho en párrafos anteriores siempre se recomienda enlaces punto a punto.
Configuración de broadcast en una red NBMA Si la nube NBMA es totalmente mallada una de las opciones puede ser configurar IS-IS en modo broadcast, aunque no es la mejor opción. De esta manera IS-IS tratará la red como un medio tipo broadcast y entraría en juego la elección del DIS. Si la elección del DIS se hace manualmente, hay que tener en cuenta la topología, el flujo de los datos y la capacidad de los routers. Habitualmente este tipo de topologías no es elegido debido a su complejidad. Los helio y las actualizaciones de enrutamiento son empleados de manera diferente en entornos broadcast y en enlaces punto a punto. Todas las interfaces conectadas a la nube deben estarlo de la misma manera, de lo contrario los helio serán rechazados y no se establecerán las adyacencias correspondientes.
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 145
El
siguiente ejem plo m uestra la co n fig u ra ció n de
F ra m e -R e la y totalm ente m a lla d o:
ROUTER
DIRECCION ISO
A
49.0001.0000.0000.000A.00
B C D
49 .OOO2.OOOO.OOOO.OOOB.OO
E F
49.0002.000Ó.OOOO.OOOE.OO 49.0003-OOOO.OOOO.OOOF.OO
49.0003.0000.0000.000c.00 49.0001.0000.0000.000D.00
interface EthernetO ip address 140.100.96.1 255.255.255.0 ip router isis isis circuit-type level-1
i interface SerialO ip address 140.100.64.1 255.255.255.0 ip router isis
www.FreeLibros.com
IS-IS
en u n entorno
146
©RA-M A
REDES CISCO. CCNP a Fondo
encapsulation frame-relay frame-relay map clns 629 broadcast IMaps DLCI to the clns process of Router C frame-relay map clns 931 broadcast !Map DLCI to the clns process of Router B frame-relay map ip 140.100.64.2 931 broadcast IMaps DLCI to the Destination IP address of Router B frame-relay map ip 140.100.64.3 629 broadcast IMaps DLCI to the Destination IP address of Router C isis circuit-type level-2-only
¡ router isis net 49.0001.0000.0000.000a.00
El comando frame-relay map ip mapea la dirección IP de destino a través del DLCI de salida y define la interfaz como broadcast. IS-IS utiliza los enlaces como si fueran enlaces broadcast eligiéndose un DIS. El comando frame-relay map clns mapea un DLSI hacia un proceso CLNS en el router de destino, sin este comando no aparecerán rutas en la tabla de enrutamiento porque IS-IS no podría recibir tramas IS-IS conteniendo LSP. La información de IS-IS no viaja en paquetes IP o CLNS, es encapsulada en una trama similar al CLNS y es fundamental para construir la tabla de enrutamiento. Una solución alternativa o incluso superior es definir subinterfaces y configurar cada una como enlaces punto a punto.
Configuración de punto a punto en una red NBMA Las configuraciones punto a punto requieren una dirección IP para cada enlace. Esta es la manera más recomendable de ejecutar IS-IS sobre redes NBMA, siendo además la única manera de hacerlo en redes que no sean de malla completa. Las configuraciones son más simples y no se requiere la configuración de los comandos frame-relay map. Sólo es necesario crear las subinterfaces, configurarlas como punto a punto, iniciar Frame-Relay, definir los DLSI y, como es lógico, el proceso IS-IS para cada una de las interfaces.
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 147
El siguiente ejemplo muestra este tipo de configuración. Más abajo se muestra la configuración en particular del router A.
ROUTER
DIRECCION ISO
A
49.0001.0000.0000.000A.00 49.0002.0000.OOOO.OOOB.OO 49.0003.0000:0000.000C.00 49.0001.0000.0000.000D.00 ■ 49.0002.0000.0000.000E.00 49.0003.0000.0000.000F.00
B C D E F
interface EthernetO ip address 140.100.96.1 255.255.255.0 ip router isis
i
interface SerialO no ip address encapsulation frame-relay ¡Configure Frame Relay for the interface
www.FreeLibros.com
148
©RA-M A
REDES CISCO. CCNP a Fondo
interface SerialO.1 point-to-point ¡Configure subinterface to be point-to-point ip address 140.100.64.1 255.255.255.0 ip router isis frame-relay interface-dlci 629 ¡Define the DLCI to the destination interface SerialO.2 point-to-point ! Configure subinterface as point-to-point ip address 140.100.32.1 255.255.255.0 ip router isis Frame-relay interface-dlci 931 ! Defines DLCI to the destination
i
Router isis net 49.0001.0000.0000.000a.00
VERIFICACIÓN IS IS Los siguientes comandos son sumamente útiles para la verificación de IS IS. Las sintaxis de estos comandos está basada en la siguiente topología y en la configuración del router A:
www.FreeLibros.com
CAPÍTULO 3. IS-IS 149
©RA-MA
ROUTER A B C D E F
DIRECCIÓN ISO 49 .OOOI.OOOO.OOOO.OOOA.OO 49.0002.0000.0000.000B.00 49.0003.0000.0000.000c.00 49.0001.0000.0000.000D.00 49.0002.0000.0000.OOOE.OO 49.0003.0000.0000.000F.00
interface EthernetO ip address 140.100.96.1 255.255.255.0 ip router isis isis circuit-type level-1
i interface SerialO no ip address encapsulation frame-relay
i interface SerialO.1 point-to-point ip address 140.100.64.1 255.255.255.0 ip router isis isis circuit-type level-2-only frame-relay interface-dlci 629
i interface SerialO.2 point-to-point ip address 140.100.32.1 255.255.255.0 ip router isis isis circuit-type level-2-only frame-relay interface-dlci 931
i
router isis net 49.0001.0000.0000.000a.0
show clns neighbors: muestra el contenido de la tabla de vecinos y el estado de la tabla de enlace. EL SNPA es la dirección MAC de la interfaz. show clns area-tag neighbors [type number]
Campo
[area]
[detail]
Descripción
area-tag
Nombre del proceso IS-IS multiproceso.
type number
Opcional, define el tipo y número de interfaz.
Area
Opcional, muestra las adyacencias CLNS multi-área.
detail
Opcional, muestra detalles sobre cada adyacencia.
www.FreeLibros.com
150
©RA-M A
REDES CISCO. CCNP a Fondo
RouterA#show clns neighbors System Id Interface SNPA State Holdtime 0000.0000.000B Se0.2 DLCI 931 Up 22 0000.0000.000C SeO.l DLCI 629 Up 23 0000.0000.000D EtO OOeO.Ie3d.d56f Up 8
Type L2 L2 Ll
Protocol IS-IS IS-IS IS-IS
Este comando es útil para verificar de manera rápida la conectividad, muestra todos los vecinos, los DLCI, el tipo de nivel, etc. Si se requiere mayor profundidad en los datos se puede utilizar el comando show clns neighbor detail. También es útil para verificar el esquema de direccionamiento de la red. RouterA#show clns neighbor detail System Id Interface SNPA State Holdtime Type Protocol 0000.0000.000B Se0.2 DLCI 931 Up 27 L2 IS-IS Area Address(es): 49.0002 IP Address(es): 140.100.32.2* Uptime: 00:05:17 0000.0000.000C SeO.l DLCI 629 Up 28 L2 IS-IS Area Address(es): 49.0003 IP Address(es): 140.100.64.3* Uptime: 00:05:22 0000.0000.000D EtO 00e0.le3d.d56f Up 7 Ll IS-IS Area Address(es): 49.0001 IP Address(es): 140.100.96.2* Uptime: 00:15:01
Campo
Descripción
System ID
Dirección del Sistema (6 bytes).
Interface
Interfaz en la que el vecino fue conocido.
SNPA
Punto de unión a subred (dirección data-link).
State
Los estados son los siguientes: • Init. Inicializando. El router está esperando por un mensaje helio de IS-IS. • Up. El otro Sistema es alcanzable. • Down. El otro Sistema no es alcanzable.
Holdtime
Segundos antes de que la adyacencia expire.
Type
Tipos de adyacencia, incluye: • ES: adyacencia del sistema final. • Router adjacency: descubierta vía ES-IS o estáticamente configurada.
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 151
Ll
Muestra las adyacencias Level 1 (opcional).
L1L2
Muestra las adyacencias Level 1 y Level 1-2 (opcional).
L2
Muestra las adyacencias Level 2 (opcional).
Protocol
El protocolo de enrutamiento usado para aprender la adyacencia (ES-IS, IS-IS, ISO IGRP, Static, o DECnet).
show clns interface: configuraciones deficientes en las interfaces provocan que no se establezcan adyacencias. Normalmente es un problema de desigualdad de los parámetros utilizados. Estas configuraciones pueden ser vistas con el comando show clns interface. Router#show clns Interface [type number] RouterA#show clns interface EthernetO is up, line protocol is up Checksums enabled, MTU 1497, Encapsulation SAP ERPDUs enabled, min. interval 10 msec. CLNS fast switching enabled CLNS SSE switching disabled
DEC compatibility mode OFF for this interface Next ESH/ISH in 47 seconds Routing Protocol: IS-IS Circuit Type: level-1-2 Interface number 0x0, local circuit ID 0x1 Level-1 Metric: 10, Priority: 64, Circuit ID: A.01 Number of active level-1 adjacencies: 0 Level-2 Metric: 10, Priority: 64, Circuit ID A.01 Number of active level-2 adjacencies: 1 Next IS-IS LAN Level-1 Helio in 1 seconds Next IS-IS LAN Level-2 Helio in 1 seconds SerialO is up, line protocol is up CLNS protocol processing disabled SerialO.1 is up, line protocol is up Checksums enabled, MTU 1500, Encapsulation FRAME-RELAY ERPDUs enabled, min. interval 10 msec. CLNS fast switching disabled CLNS SSE switching disabled DEC compatibility mode OFF for this interface Next ESH/ISH in 58 seconds Routing Protocol: IS-IS Circuit Type: level-1-2 Interface number 0x1, local circuit ID 0x100 Level-1 Metric: 10, Priority: 64, Circuit ID: A.00
www.FreeLibros.com
152
©RA-M A
REDES CISCO. CCNP a Fondo
Number of active level-1 adjacencies: 0 Level-2 Metric: 10, Priority: 64, Circuit ID: A . 00 Number of active level-2 adjacencies: 1 Next IS-IS Helio in 2 seconds SerialO.2 is up, line protocol is up Checksums enabled, MTU 1500, Encapsulation FRAME-RELAY ERPDUs enabled, min. interval 10 msec. CLNS fast switching disabled CLNS SSE switching disabled DEC compatibility mode OFF for this interface Next ESH/ISH in 24 seconds Routing Protocol: IS-IS Circuit Type: level-1-2 Interface number 0x2, local circuit ID 0x101 Level-1 Metric: 10, Priority: 64, Circuit ID: A . 00 Number of active level-1 adjacencies: 0 Level-2 Metric: 10, Priority: 64, Circuit ID: A.00 Number of active level-2 adjacencies: 1 Next IS-IS Helio in 886 milliseconds
Campo
Descripción
Checksum
Puede estar habilitado o deshabilitado.
MTU
Tamaño máximo de un paquete transmitido en esta interfaz.
Encapsulation
La encapsulación es siempre SAP (ISOl).
Routing Protocol
Indica si está funcionando ES-IS o IS-IS además del tipo de helio enviados.
Circuit Type
Muestra si el enlace está habilitado para Level 1, Level 1-2 o Level 2 de routing.
Level-1 Metric
Valor de la métrica de la interfaz de salida para routing Level-1. Por defecto es 10.
Priority
La configuración de la prioridad para la elección del DIS, por defecto es 64.
Circuit ID
Identifica el DIS para Level 1 en caso de que esté presente.
Number of Active Level-1 Adjacencies
Número de adyacencias de Level 1 formadas en este enlace.
Level-2 Metric
Valor de la métrica de la interfaz de salida para routing Level-2. Por defecto es 10.
Priority
La configuración de la prioridad para la elección del DIS.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 153
©RA-MA
Circuit ID
Identifica el DIS para Level 2 en caso de que esté presente.
Number of Active Level-2 Adjacencies
Número de adyacencias de Level 2 formadas en este enlace.
Next IS-IS LAN Level-1 Helio
Número de segundos antes de que el próximo helio sea esperado.
Next IS-IS LAN Level-2 Helio
Número de segundos antes de que el próximo helio sea esperado.
show isis database: muestra las LSP almacenadas en la base de datos local. El ID del LSP muestra el System ID del router que la ha generado y si pertenece a un router o un seudo-nodo. La base de datos debe ser idéntica dentro del mismo nivel y área. show isis area-tag database [lspid]
[level-1]
[level-2]
[11]
[12]
[detail]
Descripción
Campo area-tag
Nombre del proceso.
level-1
Muestra la base de datos de estado de enlace para nivel 1, es opcional.
level-2
Muestra la base de datos de estado de enlace para nivel 2, es opcional.
11
Opcional, es la abreviatura para nivel 1.
12
Opcional, es la abreviatura para nivel 2.
detail
Es opcional y muestra cada LSP.
lspid
Identifica la PDU de estado de enlace y muestra el contenido específico de LSP, es opcional.
RouterA#show isis database IS-IS Level-1 Link State Database: LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL A.00-00 * 0x00000017 0x76D5 876 1/0/0 IS-IS Level-2 Link State Database: LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL
www.FreeLibros.com
154
©RA-M A
REDES CISCO. CCNP a Fondo
A.00-00 * 0x00000018 0000.0000.000B.00-00 OxOOOOOOlA 0000.0000.000B.01-00 0x00000016 C.00-00 OxOOOOOOlE C.01-00 0x00000002 0000.0000.000E.00-00 0x00000018 0000.0000.000D.00-00 OxOOOOOOlA 0000.0000.000D.04-00 0x00000017
Campo
0xB74F 0xB561 0x6045 0x6267 0xF25F OxOlOA 0x4l3C OxFCAO
881 872 1095 869 958 858 985 1006
0/0/0 0/0/0 0/0/0 0/0/0 0/0/0 0/0/0 0/0/0 0/0/0
Descripción
LSPID
Indica el router que está transmitiendo. El System ID es seguido por dos octetos. Si el primer octeto es mayor que 0x00 indica que es el DIS. El último octeto indica que si el valor es 0x00 el LSP ha sido enviado completo, de lo contrario será un fragmento.
LSP Seq Num
Número de secuencia del LSP. Asegura la integridad de la base de datos al llevar un control de las secuencias de recibo.
LSP Checksum
Control para el paquete LSP completo.
LSP Holdtime
Período de tiempo en el que el LSP se mantiene válido. Se mide en segundos. Si tiene un valor 0 indica que ha sido purgado y que está siendo borrado de la base de datos de estado de enlace.
ATT
El LSP indica que es un router de nivel 2 con rutas fuera del área. Los routers de nivel 1 lo utilizan para identificar el router de nivel 1-2 más cercano, al que envían datos fuera del área.
P
“Partition repair capability”, no soportado por Cisco.
OL
Overload o sobrecarga, indica que el router tiene la base de datos completa debido a una sobrecarga de memoria.
show isis database detail: este comando muestra el LSP completo y los campos correspondientes de manera individual.
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 155
La siguiente sintaxis muestra una salida de este comando, se puede observar cada LSP, su área y la dirección IP de la interfaz que está transmitiendo además del coste para las rutas IP conocidas. La métrica por defecto es 10, es decir, que una métrica de 20 indica que el prefijo está a dos saltos de distancia. isis database detail IS-IS Level-1 Link State Database: LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL A . 00-00 * 0x00000017 0x76D5 873 1/0/0 Area Address: 49.0001 NLPID : OxCC RouterA#show
Hostname:A IP Address: Metric: 10 Metric: 10 Metric: 10 Metric: 10
140.100.32.1 IP 140.100.96.0 255.255.255.0 IP 140.100.64.0 255.255.255.0 IP 140.100.32.0 255.255.255.0 IS A.01 IS-IS Level-2 Link State Database: LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL A. 00-00 * 0x00000018 0xB74F 877 0 / 0/0 Area Address: 49.0001 OxCC NLPID: Hostname: A IP Address: 140.100.32.1 IS 0000.0000.000B.00 Metric: 10 IS C.00 Metric: 10 IS 0000.0000.000D.04 Metric: 10 IP 140.100.96.0 255.255.255.0 Metric: 10 IP 140.100.64.0 255.255.255 0 Metric: 10 IP 140.100.32.0 255.255.255 0 Metric: 10
0000.0000.000B.00-00 OxOOOOOOlA 0xB561 Area Address: 49.0002 OxCC NLP I D : 140.100.16.2 IP Address IS A.00 Metric: 10 IS C.00 Metric: 10 IP 140.100.104 255.255.255 Metric: 10 IP 140.100.105 Metric: 20 255.255.255 IP 140.100.106.0 255.255.255. Metric: 20 IP 140.100.107.0 255.255.255. Metric: 20 IP 140.100.32.0 255.255.255.0 Metric: 10 IP 140.100.16.0 255.255.255.0 Met r i c : 10 0000.0000.000B.01-00 0x00000016 0x6045 Metric: 0 IS 0000.0000.000B.00 Metric: 0 IS 0000.0000.000E.00 C.00-00 OxOOOOOOlE 0x6267 863 0/0/0 Area Address: 49.0003 NLPID: OxCC Hostname: C IP Address: 140.100.100.1
www.FreeLibros.com
868 0 / 0/0
1089 0/0/0
156
©RA-M A
REDES CISCO. CCNP a Fondo
Metric: 10 IS C.02 Metric: 10 IS A.00 Metric: 10 IS 0000.0000.000B.00 Metric: 10 IP 140.100.100.0 255.255.255.0 Metric: 10 IP 140.100.64.0 255.255.255.0 Metric: 10 IP 140.100.16.0 255.255.255.0 C.01-00 0x00000002 0xF25F Metric: 0 IS C.00 0x00000018 OxOlOA 850 0/0/0 Area Address: 49.0002 0000.0000.000E.00-00 NLPID: OxCC IP Address: 140.100.105.1 M e t r i c : 10 IS 0000.0000.000B.01 M e t r i c : 10 IP 140.100.104.0 255.255.255.0 M e t r i c : 10 IP 140.100.105.0 255.255.255.0 M e t r i c : 10 IP 140 100.106.0 255.255.255.0 M e t r i c : 10 IP 140 100.107.0 255.255.255.0 M e t r i c : 20 IP 140 100.32.0 255.255.255.0 M e t r i c : 20 IP 140 100.16.0 255.255.255.0 0000.0000.000D.00-00 OxOOOOOOlA 0x413C Area Address: 49.0003 NLPID: OxCC IP Address: 140.100.97.1 Metric: 10 IS 0000.0000.000D.04 Metric: 10 IP 140.100.96.0 255.255.255.0 Metric: 10 IP 140.100.97.0 255.255.255.0 Metric: 10 IP 140.100.98.0 255.255.255.0 Metric: 10 IP 140.100.99.0 255.255.255.0 0000.0000.000D.04-00 0x00000017 OxFCAO Metric: 0 IS 0000.0000.000D.00 Metric: 0 IS A . 00
Campo
951 0/0/0
976 0/0/0
996 0/0/0
Descripción
Area Address
Direcciones de área que pueden ser alcanzadas desde este router.
Metric
Muestra el coste entre la interfaz de salida y el vecino advertido o la suma del coste del router que está advirtiendo y el vecino advertido.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 157
©RA-MA
RESOLUCIÓN d e
fallo s
EN IS-IS
A pesar de planificarse al máximo, las configuraciones pueden estar mal planteadas o fallar. Los siguientes comandos ayudan a solucionar los problemas que pueden surgir ante estas situaciones. Show isis spf-log: con este comando se pueden conocer los eventos que han generado recálculos SPF para las últimas 20 acciones. El siguiente ejemplo muestra que el router A envió una LSP y que posteriormente repitió la operación al establecer nuevamente las adyacencias. RouterA#show isis spf-log Level 1 SPF log When Duration Nodes Count 1 A. 00-00 1 0 04:23:24 1 1 0 04:08:46 1 1 0 03:53:46 1 1 0 03:38:46 1 1 0 03:23:46 1 1 0 03:08:46 1 1 0 02:53:46
TLVCODE PERIODIC PERIODIC PERIODIC PERIODIC PERIODIC PERIODIC
1 1 PERIODIC 0 1 1 PERIODIC 0 1 1 PERIODIC 0 2 A. 00-00 ATTACHFLAG LSPHEADER 0 1 PERIODIC 1 1 0 Level 2 SPF log When Duration Nodes Count 1 1 PERIODIC 0 03:53:48 PERIODIC 1 1 0 03:38:48 PERIODIC 1 1 0 03:23:48 PERIODIC 1 1 0 03:08:48 PERIODIC 1 1 0 02:53:48 PERIODIC 1 1 0 02:38:48
00:53:46 00:38:47 00:23:47 00:15:14 00:08:46
00:38:48 00:23:48 00:15:22 00:08:48 00:05:44 00:05:38 TLVCONTENT
0 0 0 0 4 4
1 1 3 3 4 7
1 1 5 1 4 5
PERIODIC PERIODIC A. 00-00 NEWÁDJ LSPHEADER TLVCONTENT PERIODIC A. 00-00 NEWADJ TLVCONTENT 0000.0000.000B.00-00 LSPHEADER
www.FreeLibros.com
158
REDES CISCO. CCNP a Fondo
Campo
©RA-M A
Descripción
When
Es el período de tiempo desde que se produjo un recálculo SPF. Muestra las últimas 19 acciones enhh:mm:ss.
Duration
Milisegundos que se tardó en ejecutar dicha acción SFP.
Nodes
Cantidad de routers y seudo-nodos calculados en la ejecución de SPF.
Count
Cantidad de eventos ocurridos antes de ejecutar un SFP completo.
trigger LSP
Cuando un cálculo completo de SPF ocurre, el ID del LSP se guarda.
Triggers
Lista de todos los eventos que activaron un cálculo completo de SPF.
Comandos debug: este comando es una potente herramienta para la resolución y análisis de problemas, pero, como siempre, se indica con la cantidad suficiente de proceso como para dejar sin capacidad de memoria y CPU al router. Los comandos debug se describen en la siguiente tabla y para desactivarlos bastará con interponer un No al comando que lo habilitó. Un recurso interesante es redirigir los archivos log debido a que cada carácter que se envíe a la consola genera una interrupción en el procesador. Comando debug isis adj acenciespackets
Descripción Muestra toda la actividad relativa a las adyacencias. Paquetes helio enviados y recibidos y cambios de las adyacencias en IS-IS.
debug isis spfstatistics
Muestra las estadísticas sobre la elaboración de rutas entre los routers.
debug isis updatepackets
Muestra los SNP y los LSP detectados por el router.
www.FreeLibros.com
Capítulo 4
IMPLEMENTACIONES CON CISCO IOS REDISTRIBUCIÓN Los protocolos de enrutamiento presentan diferentes ventajas y desventajas en distintas situaciones. Un protocolo soportado por dispositivos antiguos como puede ser RIP, que no soporta la operación de classless, puede ser perjudicial en un entorno de núcleo donde pueden convivir protocolos como OSPF, IS-IS o EIGRP. Es lógico pensar que la mayoría de las empresas utilicen el protocolo más apropiado para su organización y que incluso deban ser varios de tipos diferentes. La información de enrutamiento entre protocolos diferentes debe ser adaptada a cada uno de ellos, es lo que se llama redistribución. La redistribución es un proceso complejo, es importante comprender la operación de este proceso y cómo afecta al funcionamiento de la red. Cada protocolo de enrutamiento dentro de un sistema autónomo (AS) es un dominio de enrutamiento. Las rutas redistribuidas dentro'de un dominio de enrutamiento se llaman rutas externas, mientras que las rutas nativas a ese dominio son las rutas internas. La métrica es el proceso principal de selección de rutas para un protocolo de enrutamiento. Por lo tanto habrá que asumir parámetros por defecto para que dichas métricas sean aceptadas por otros protocolos de enrutamiento cuando exista un proceso de redistribución.
www.FreeLibros.com
160
©RA-M A
REDES CISCO. CCNP a Fondo
Al efectuar la redistribución el router ejecuta dos pasos básicos: 1. El router busca en sus tablas de enrutamiento todas las rutas del protocolo origen y las envía al protocolo destino. 2. El router busca todas las interfaces que están asociadas al proceso de enrutamiento y las envía al protocolo destino. La siguiente figura muestra una topología con varios routers que utilizan diferentes protocolos de enrutamiento. El router B tiene entradas de RIP y OSPF. El router C está conectado utilizando EIGRP, pero este protocolo sólo sirve para el enlace entre B y C, no propagará rutas que no sean EIGRP. Las actualizaciones de RIP enviadas por las interfaces no incluyen redes de OSPF ni entradas de EIGRP. El router C tiene sólo redes directamente conectadas, y aunque EIGRP ha sido configurado, sólo propagará las rutas directamente conectadas vía EIGRP y utilizará una ruta por defecto apuntando hacia el router B.
La redistribución sólo es viable para procesos de enrutamiento que utilizan el mismo sistema de enrutamiento, es decir, que sólo se puede redistribuir entre protocolos que utilizan IPv4 o IPv6, por ejemplo OSPF con EIGRP o RIP en IPv4 y RIPng con OSPFv3.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
Protocolo de enrutamiento
161
Políticas de Redistribución
Static
Requiere redistribución manual dentro de los demás protocolos de enrutamiento.
Connected
A menos que esté incluida en el comando network del proceso de enrutamiento, requiere redistribución manual.
RIP
Requiere redistribución manual.
EIGRP
Redistribuirá automáticamente entre IGRP y EIGRP si el número de sistema autónomo es el mismo. De otra forma requiere redistribución manual.
OSPF
Requiere redistribución manual entre diferentes procesos de OSPF y otros protocolos.
IS-IS
Requiere redistribución manual.
BGP
Requiere redistribución manual.
La siguiente figura ilustra el proceso de redistribución dentro de una misma organización. Las principales razones para tener múltiples protocolos son: •
La organización está en proceso de tránsito de un protocolo de enrutamiento a otro.
•
La empresa quiere pasar de varios protocolos de enrutamiento a uno sólo.
•
Luego de una fusión entre empresas se requiere un análisis del mejor diseño de red.
•
Existen varios administradores de red que aún no han unificado criterios de enrutamiento.
•
Si el dominio de enrutamiento es grande los diferentes entornos pueden tener distintos tipos de necesidades, haciendo que un único protocolo sea inadecuado. Por ejemplo, EIGRP dentro de la empresa y BGP para conectar diferentes centros.
www.FreeLibros.com
162
©RA-M A
REDES CISCO. CCNP a Fondo
Funciones de enrutamiento que afectan a la redistribución La redistribución es la respuesta para dar solución para ejecutar múltiples protocolos dentro de una red y mantener la conexión dentro de la misma. Antes de establecer distribuciones es necesario conocer posibles problemas que pueden surgir, hay que conocer el funcionamiento de los protocolos y cómo seleccionan las rutas para ser agregadas a la tabla de enrutamiento.
Las métricas y la redistribución Existen diferentes protocolos de enrutamiento para IP y cada uno utiliza métricas diferentes. Si dos protocolos necesitan compartir información por medio de la redistribución hay que tener en cuenta las diferencias entre las métricas. Al redistribuir el protocolo que recibe la información no tiene un punto de referencia para la métrica, como es el caso de RIP que no soportaría una métrica de 856. No existe la forma de que los algoritmos puedan comparar la métrica entre diferentes protocolos. Cuando las rutas son aceptadas dentro de un nuevo protocolo hay que establecer una métrica de partida para poder calcular la métrica de este nuevo protocolo. La métrica de partida (también llamada semilla) se asigna a todas las rutas recibidas dentro de un proceso a través de la redistribución. Esta métrica es incrementada desde ese punto a través de todo el protocolo de enrutamiento. Existen valores de métrica por defecto, pero muchas veces ese valor por defecto impide que las rutas entren en la tabla de enrutamiento.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
Protocolo EIGRP
Métrica base Infinita
163
Acción La ruta no es añadida a la tabla de enrutamiento
IS-IS
0
La ruta es añadida a la tabla de enrutamiento
OSPF
20 para tipo 2, para las a BGP es 1
La ruta es añadida a la tabla de enrutamiento
BGP
MED se toman los valores del IGP
La ruta es añadida a la tabla de enrutamiento
Selección de rutas a través de protocolos de enrutamiento Cuando los protocolos tienen rutas hacia iguales destinos remotos el proceso de enrutamiento debe decidir qué camino incluir dentro de la tabla de enrutamiento. Tomando en cuenta que las métricas difieren de un protocolo a otro, esta selección se realiza basándose en la distancia administrativa. Recuerde que los routers prefieren siempre la menor distancia administrativa. Cuando se redistribuye dentro de protocolos de enrutamiento IP existen algunas consideraciones a tener en cuenta: •
Si se está ejecutando más de un protocolo de enrutamiento, la tabla de enrutamiento incluirá la ruta con la distancia administrativa menor.
•
Los protocolos de enrutamiento sólo podrán redistribuir las rutas que conocen, por ejemplo si se redistribuye RIP en EIGRP, la tabla de enrutamiento debe tener una entrada para la red de RIP.
•
Cuando una ruta es redistribuida, adquiere la distancia administrativa del nuevo protocolo.
•
Las rutas redistribuidas son denominadas externas.
www.FreeLibros.com
164
©RA-MA
REDES CISCO. CCNP a Fondo
Posibles problemas al redistribuir Un sistema de direccionamiento IP jerárquico diseñado para permitir un crecimiento de la red combinado con un simple protocolo de enrutamiento que tenga la capacidad de soportar dicho crecimiento, proporciona una red rápida, estable y confiable. Sin embargo es difícil encontrar redes que sólo ejecuten un sólo protocolo de enrutamiento, para esos casos es necesario recurrir a la redistribución. Las soluciones a los problemas ocasionados a partir de la redistribución son difíciles de detectar, debido a que los síntomas aparecen muchas veces lejos de donde se ha configurado el error. Los problemas originados como resultado de una redistribución incorrecta son los siguientes: •
Bucles de enrutamiento, los routers envían la información de enrutamiento recibida de un AS dentro de ese mismo sistema autónomo.
•
Elección de rutas menos óptimas debido a las diferentes métricas de enrutamiento.
•
El tiempo de convergencia se incrementa debido a las diferentes tecnologías involucradas. Si los diferentes protocolos de enrutamientos convergen en diferentes tiempos puede hacer que se pierdan redes de manera temporal.
•
El proceso de la toma de decisiones y la información enviada por algunos protocolos podría ser incompatible con otros protocolos generando errores y configuraciones complejas.
Solución de problemas al redistribuir Los bucles de nivel 3 ocurren cuando un protocolo de enrutamiento redistribuye rutas dentro de otro protocolo y recibe esas mismas rutas de vuelta. Este proceso se llama retroalimentación de rutas (route feedback). Debido a que la métrica es puesta a cero cuando se ejecuta laredistribución, elprotocolo de enrutamiento podría verlo como una ruta másadecuada, creándose una enorme confusión. Este problema puede solucionarse con las siguientes configuraciones: •
Cambiar la métrica.
•
Cambiar la distancia administrativa.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
•
Usar rutas por defecto.
•
Utilizar interfaces pasivas con rutas estáticas.
•
Utilizar litas de distribución.
165
Más adelante se detallarán las configuraciones de estas soluciones. Restringir la información enviada a través de varios dominios es muchas veces necesario debido a la complejidad de la red reduciendo así la posibilidad de un bucle de enrutamiento. Esto puede hacerse mediante listas de acceso (ACL). Teniendo en cuenta que la distancia administrativa no tiene referencias con la métrica, muchas veces la ruta elegida no es la de mejor métrica. Ladistancia administrativa se puede cambiar manualmente con* especial cuidado debidoa que se está manipulando la manera natural que tiene el router de seleccionar las rutas. Esto no debe cambiar los patrones de tráficos estipulados dentro de la organización. El siguiente comando cambia la distancia administrativa dentro de un protocolo: Router (conf ig-router )# distance weight [network wi Idear d-mask]J
Recuerde que para las rutas estáticas la distancia administrativa es un valor opcional que se coloca al final del comando: Router(config)# ip route network [mask] {address \ interface} [distance]
Además de los bucles de enrutamiento otro de los problemas que pueden surgir al redistribuir es el enrutamiento menos adecuado o con peor métrica (subóptimo). Por ejemplo, la distancia administrativa selecciona una ruta menos adecuada cuando existe una red directamente conectada que como un enlace de backup. Aunque éste es un problema de la distancia administrativa, es importante que esa ruta menos adecuada o con peor métrica no sea propagada dentro del protocolo de enrutamiento al ejecutar la redistribución. Al diseñar una red es necesario tener en cuenta los siguientes pasos cuando se configura la redistribución para evitar los problemas antes mencionados: •
Hay que tener claro y poseer la documentación necesaria de: o o o
La topología de la red, física y lógica, Los dominios de los protocolos de enrutamiento. El flujo del tráfico.
www.FreeLibros.com
166
©RA-MA
REDES CISCO. CCNP a Fondo
•
No solapar protocolos de enrutamiento. Es mucho más fácil separarlos en diferentes dominios con router actuando como ABRS (OSPF) separando dichos dominios. Esto es lo que se llama comúnmente protocolos de core y protocolos edge.
•
Identificar los routers frontera en los cuales se configurará la redistribución.
•
Determinar cuál será un protocolo de core y cuál un protocolo edge.
•
Determinar
•
Si se utiliza redistribución bidirecional habrá que tener en cuenta los siguientes mecanismos: o o o
dentro de qué protocolo se van a redistribuir las rutas.
Configurar la métrica manualmente, Configurar la distancia administrativa manualmente, Utilizar listas de acceso.
Los problemas de los tiempos de convergencia son una de las mayores preocupaciones que existen en un entorno de red. Existen protocolos opuestos tales como RIP, que es muy lento para converger, y EIGRP, que es considerado uno de los más rápidos. Al compartir información entre ambos podrían generarse problemas al redistribuir. La red converge a la velocidad del protocolo más lento, en ciertos puntos esto podría causar timeout y bucles en la red. Habrá que calcular y ajustar los temporizadores para solventar estos problemas. Cualquier configuración en el protocolo de enrutamiento debe hacerse con un total conocimiento de toda la red y de los routers que deben ser configurados. Como norma general los temporizadores deben ajustarse con los mismos valores en todos los routers de la red. El proceso de toma de decisiones y el mecanismo en que la información viaja dentro de los protocolos podría ser incompatible y no fácilmente intercambiado generando errores y configuraciones complejas. Cada protocolo de enrutamiento mantiene parámetros específicos propios, entre los cuales se incluyen las métricas. Parte de la función de la redistribución es administrar estos parámetros entre protocolos de enrutamiento de la mejor manera posible. Esto se ve reflejado cuando la métrica de un protocolo difiere en su constitución con el otro. Al redistribuir dentro de OSPF con EIGRP la métrica de OSPF (coste) se debe redistribuir a varios valores que utiliza EIGRP (bandwidth, load, reliability, delay y MTU) esto puede ser muy limitante. De manera inversa cuando se redistribuye dentro de EIGRP la opción de configuración de la métrica suele ser ajuicio de los administradores ya que existen varias posibilidades y habrá que encontrar la que mejor adapte el único valor de OSPF a los cinco de EIGRP.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
167
CONTROL DE LAS ACTUALIZACIONES DE ENRUTAMIENTO DURANTE LA REDISTRIBUCIÓN Controlar las actualizaciones de enrutamiento puede se beneficioso por las siguientes causas: •
Para ocultar parte de la red al resto de la organización, creando un ámbito seguro.
•
Para prevenir bucles de enrutamiento.
•
Para controlar la sobrecarga de red.
Existen varios métodos para controlar el tráfico de enrutamiento cuando se redistribuye: •
Interfaces pasivas.
•
Rutas estáticas.
•
Rutas por defecto.
•
Las interfaces nuil.
•
Listas de distribución.
•
Mapas de rutas.
Interfaz pasiva: una interfaz pasiva no participa en el proceso de enrutamiento. En RIP el proceso escucha pero no envía actualizaciones de enrutamiento en una interfaz que es pasiva. En OSPF y EIGRP no se envían helio, por lo tanto nunca se podrán formar relaciones de vecindad a través de la interfaz pasiva. La interfaces que participan en el proceso de enrutamiento son controladas por la configuración de la interfaz, dicha configuración instruye al proceso de enrutamiento para que sepa qué interfaces utilizar p o r. medio del comando network. El comando passive interface es útil para deshabilitar el proceso de enrutamiento en interfaces específicas y ayuda a prevenir bucles. Rutas estáticas: una ruta estática es la que fue configurada manualmente. Estas toman mayor preferencia a las aprendidas dinámicamente a través de un protocolo de enrutamiento por su menor distancia administrativa.
www.FreeLibros.com
168
©RA-M A
REDES CISCO. CCNP a Fondo
Las rutas estáticas no son del todo prácticas en un entorno amplio ya que no pueden aprender dinámicamente los cambios en la topología de la red. Sin embargo para entornos pequeños o redes stub (con una sola entrada/salida) es una solución ventajosa. En lugar de redistribuir toda la tabla de enrutamiento entre protocolos las rutas estáticas son definidas y redistribuidas. De esta manera se mantiene un estricto control sobre el tráfico de la red. Este escenario es típico cuando BGP y un IGP necesitan intercambiar información. Las mejores razones para utilizar rutas estáticas son: •
Si solamente existe una sola ruta no hay necesidad de utilizar un protocolo de enrutamiento.
•
Si entre dos sistemas autónomos no se necesita intercambiar toda la información de enrutamiento, sólo son imprescindibles algunas pocas rutas.
•
Para cambiar la máscara de la red. Se puede crear estáticamente una supemet y redistribuir la ruta estática dentro del proceso de BGP.
•
Para redistribuir desde un protocolo que es capaz de entender las VLSM a uno que no posee dicha capacidad.
Rutas por defecto: también llamadas rutas de último recurso, son las configuradas como 0.0.0.0 máscara 0.0.0.0 y son el último recurso en la tabla de enrutamiento, el router la elegirá a menos que no exista otra más específica. Las rutas por defecto reducen sobrecarga en la red y complejidad, además ayudan a prevenir bucles especialmente cuando son usadas en lugar de la redistribución. Un protocolo de enrutamiento puede usar una ruta por defecto apuntando hacia el otro dominio de énrutamiento, como suele ser en un dominio IGP apuntando a un dominio BGP. Otro ejemplo típico donde se emplean rutas por defecto son las redes stub que se conectan a otras redes más grandes.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
169
Ruta estática
EIGRP 120
Ruta por defecto
Frame Relay ¡
Red Stub
Interfaz nuil: es una interfaz virtual que se encarga de eliminar todo el tráfico que va destinado hacia ella. Es utilizada como un medio para descartar redes como una manera de filtro rudimentario o para redistribuir entre protocolos de enrutamiento classless y classfull. La interfaz nuil es un lugar conveniente para las sumarizaciones, como se detallará en el capítulo de BGP. Listas de distribución: son listas de control de acceso que se aplican al proceso de enrutamiento determinando qué redes se aceptarán en la tabla de enrutamiento y cuáles podrán ser enviadas. Cuando existe un proceso de redistribución con otro protocolo es importante controlar la información enviada dentro de ese proceso. Este control evita la sobrecarga y los bucles, aumenta la seguridad y ayuda a la administración de la red. Además de impedir elecciones de rutas menos adecuadas o sub-óptimas. Estas listas de acceso empleadas en conjunto con un diseño cuidadoso de la red proporcionan un gran control del flujo de tráfico. Mapas de ruta: son listas de acceso complejas que permiten una programación condicional. Las listas de distribución son listas de acceso que filtran actualizaciones de enrutamiento, mientras que los mapas de rutas o route maps utilizan un criterio de correspondencia para hacer coincidir el tráfico y la función que se quiere ejecutar sobre él. Con esto se consigue alterar los parámetros dentro de un protocolo de enrutamiento. El resultado obtenido a través de las listas de distribución puede ser conseguido de igual manera por los mapas de ruta. Las listas de distribución son más fáciles de implementar pero no proporcionan tanta granularidad.
www.FreeLibros.com
170
REDES CISCO. CCNP a Fondo
©RA-M A
Si un paquete o una ruta coinciden con el criterio definido en la declaración de la lista de acceso, los cambios definidos en el comando set son ejecutados en el paquete o ruta en cuestión. En la siguiente figura se observa el router A que posee una lista de distribución que está denegando la propagación de la red 140.100.32.0 fuera de la Ethemet3. Se trata de conseguir un margen de seguridad haciendo que esta red no sea vista por el router B. Se ha configurado una ruta por defecto para enviar paquetes fuera de la interfaz SerialO, mientras que una ruta estática envía paquetes fuera de la interfaz Seriall. La interfaz SerialO provee un camino hacia Internet y las rutas estáticas son configuradas por el ISP. De esta manera la conectividad hacia el ISP es más simple que con un enrutamiento dinámico puesto que tratándose de un ISP podría ser enorme. La organización tiene una ruta por defecto la cual es utilizada cuando no existe otra ruta más específica. En la interfaz Seriall del router A existen rutas estáticas configuradas hacia el otro router conectado, de tal manera que no necesite tener un protocolo de enrutamiento ejecutándose. Esto último supone que ese extremo sea una red stub. Por lo tanto la configuración del router C es simple, demandando pocos recursos del mismo.
10.10.64.0
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
171
CONFIGURACIÓN DE LA REDISTRIBUCIÓN La configuración de la redistribución es específica para cada uno de los protocolos de enrutamiento, por lo tanto siempre se debería consultar las referencias y recomendaciones de Cisco. Todos los protocolos requieren los siguientes dos pasos para configurar la distribución: 1. Iniciar el proceso de la configuración de la redistribución. 2. Definir una métrica por defecto de las rutas redistribuidas. Los comandos de la redistribución son configurados como sub-comandos del proceso de enrutamiento. El comando redistribute identifica el protocolo desde el cual las actualizaciones van a ser aceptadas, es decir, que identifica el origen de dichas actualizaciones. Estos comandos constituyen los pasos básicos al implementar la redistribución. Dependiendo del diseño de la red posiblemente sean necesarios algunos comandos adicionales. La configuración de la distancia administrativa, interfaces pasivas y rutas estáticas y por defecto se detallará más adelante. La siguiente sintaxis configura la redistribución dentro de un protocolo de enrutamiento: Router (config-router)# redistribute protocol [process-id] {level-1
| level-1-2 | level-2} [metric metric-value] [metric-type type-value] [match {internal | external 1 | external 2}] [tag tag-value] [routemap map-tag] [weight weight] [subnets]
Es un comando sumamente complejo ya que muestra todos los parámetros de los diferentes protocolos. La siguiente tabla define los campos de este comando: Definición
Comando
Protocol
Protocolo de enrutamiento que proporciona las rutas. Puede ser: connected, bgp, eigrp, egp, igrp, isis, isoigrp, mobile, ospf, static o rip.
Process-id
Para BGP, EGP, EIGRP o IGRP, es el número de Sistema Autónomo. Para OSPF, es el ID del proceso de OSPF. RIPvl y v2 no lo usan.
www.FreeLibros.com
172
REDES CISCO. CCNP a Fondo
l
©RA-M A
Level-1
Para IS-IS, las rutas nivel 1 son redistribuidas dentro de otros protocolos de enrutamiento IP independientemente de las rutas L2.
Level-1-2
Para IS-IS, las rutas nivel 1 y nivel 2 son redistribuidas dentro de otros protocolos de enrutamiento IP.
Level-2
Para IS-IS, las rutas nivel 2 son redistribuidas dentro de otros protocolos de enrutamiento IP independientemente.
Metric metric-value
Parámetro opcional usado para especificar la métrica para las rutas redistribuidas. Cuando se redistribuye en otros protocolos diferentes a OSPF si este valor no es especificado y el comando default-metric tampoco ha sido especificado, las rutas tendrán una métrica infinita y no serán usadas.
Metric-type type-value
Parámetro opcional de OSPF que especifica el tipo de enlace externo. Puede ser 1 para rutas externas tipo 1, o 2 para rutas externas tipo 2. Por defecto es 2.
Match
Parámetro opcional de OSPF que especifica el criterio por el cual las rutas de OSPF son redistribuidas en otros dominios de routing. Puede ser: internal, redistribuye rutas que son internas, external 1, redistribuye rutas externas tipo 1. external 2, redistribuye rutas externas tipo 2.
tag ta g - v a lu e
Opcional. Es un número decimal de 32 bits adjunto a cada una de las rutas externas. Las tags o etiquetas pueden ser usadas para comunicar información entre router frontera de sistemas autónomos. Si no especificamos ningún valor, el número de. sistema autónomo remoto es usado para rutas desde BGP y EGP; para otros protocolos, se usa cero (0).
Route-map
Opcional. Sirve para indicarle al proceso de la predistribución que un route map ha de ser referenciado para realizar ciertas acciones (por ejemplo filtrar ciertas rutas) a las rutas importadas desde el protocolo de enrutamiento origen al protocolo de enrutamiento actual.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
map-tag
Identificador opcional de un route map que está configurado para filtrar las rutas importadas desde el protocolo de enrutamiento origen al protocolo de enrutamiento actual.
weight weight
Esta opción asigna el atributo weight de BGP cuando redistribuimos dentro de BGP. Es un entero entre 0 y 65,535.
subnets
Para OSPF, permite importar rutas con VLSM. Es extremadamente importante, en caso contrario se redistribuirá solamente la red classfull.
173
Configuración de la métrica por defecto La métrica por defecto puede ser configurada de dos maneras diferentes:
1. El comando redistribute permite la asignación de una métrica al protocolo de enrutamiento redistribuido.
2. U 1ilizar el comando default-metric de tal forma que se le asigna una m arica por defecto a todas las rutas redistribuidas desde todos los proiocolos de enrutamiento al protocolo destino. En caso de que ambos protocolos estén configurados la métrica asignada por el comando redistribute es el que se toma como referencia. Se utiliza el comando default-metric si se están redistribuyendo varios protocolos de enrutamiento debido a que existen protocolos que no redistribuirán las métricas correctamente con el comando redistribute. Router(config)# router eigrp 100 Router(config-router)# redistribute rip metric 10000 100 255 1 1500 Router(config-router)# network 140.100.0.0
En la sintaxis anterior se puede observar lo siguiente: •
El uso del comando redistribute.
•
El proceso de enrutamiento desde el cual las rutas están siendo aceptadas.
www.FreeLibros.com
174
REDES CISCO. CCNP a Fondo
•
©RA-M A
El parámetro métrica, que en este caso permite que EIGRP asigne una nueva métrica que todas las rutas que pertenecían a RIP utilizarán cuando se redistribuyan en EIGRP.
Configuración de la métrica por defecto para OSPF, IS-IS, RIP o BGP Es posible redistribuir el protocolo de enrutamiento y mediante el uso de un comando separado definir la métrica por defecto. No existe ninguna ventaja en asignar la métrica utilizando el comando redistribute o hacerlo de manera separada. IS-IS no puede definir una métrica por defecto. La métrica debe ser asignada al configurar la redistribución. Si no se asigna ninguna, la de por defecto tendrá un coste de 0, se le asignará a la ruta y se descartará. La siguiente sintaxis configura la métrica por defecto para OSPF, RIP o BGP: Router(config-router)# default-metric number
Generalmente se recomienda elegir una métrica lo suficientemente grande como para que las rutas externas no resulten tan interesantes como las rutas internas. Si la red tiene 5 saltos se debe pensar en utilizar una métrica de 6 o más. Asignar métricas por defecto ayuda a prevenir los bucles de enrutamiento.
Configuración de la métrica por defecto en EIGRP La siguiente sintaxis muestra la configuración de la métrica por defecto en EIGRP: Router(config-router)# default-metric bandwidth delay reliability loading mtu
Normalmente se debería tomar como referencia para estos valores la salida de una de las interfaces del router con el comando: Router# show interface
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
175
El significado de los parámetros de configuración se describe en la siguiente tabla: Parámetro
Descripción
Bandwidth
El ancho de banda visto en la ruta hacia el destino, en kilobits por segundo (kbps).
Delay
Delay es una constante que varía en diferentes tipos de interfaces. Este valor es el retraso acumulado en la ruta hacia el destino y se mide en décimas de microsegundos.
Reliability
La probabilidad de una transmisión satisfactoria dada la historia de la interfaz. Este valor no es usado. Es un número entre 0 y 255, donde 255 indica que el router es perfectamente estable y disponible.
Loading
Un número entre 0 y 255, donde 255 indica que la línea esta 100% cargada. Este parámetro no es usado y está configurado a 1.
Mtu
El tamaño máximo de paquete que puede viajar a través de la red. No es usado y está configurado normalmente a 1500.
En el siguiente ejemplo EIGRP asigna la misma métrica inicial a las redes que provienen de RIP y OSPF. Este ejemplo no es el más adecuado, requiere consideraciones especiales y filtrado de actualizaciones de enrutamiento porque podría producirse retroalimentación de rutas. Router(config)# router eigrp 100 Router(config-router)# redistribute rip Router(config-router)# redistribute ospf 10 Router(config-router)# default-metric 10000 100 255 1 1500 Router(config-router)# network 140.100.0.0
www.FreeLibros.com
176
REDES CISCO. CCNP a Fondo
©RA-M A
EIGRP redistribuye 10.1.1.32 desde OSPF, en el otro extremo del dominio EIGRP está redistribuido dentro de RIP. La red es ahora conocida por todos los routers independientemente del protocolo de enrutamiento que estén ejecutando. Para el supuesto caso de que otro router frontera entre el dominio de EIGRP y RIP escuchara la actualización de la red 10.1.1.32 la redistribuiría dentro del dominio de EIGRP. El resultado final serán .determinaciones de enrutamiento con peores métricas y según la topología hasta bucles de enrutamiento.
DISTANCIA ADMINISTRATIVA Es importante que a las rutas redistribuidas dentro de otro protocolo se les asigne una métrica apropiada. De igual manera es importante considerar la posibilidad de controlar la elección que el proceso de enrutamiento hace cuando tiene diferentes rutas desde diferentes protocolos hacia el mismo destino. En estos casos la distancia administrativa determina cuál será el protocolo de enrutamiento que será utilizado en la tabla de enrutamiento. La métrica sólo es relevante en el proceso de eleección de rutas dentro de un protocolo. Para asegurarse de que la mejor ruta es la elegida en ciertos casos, será necesario cambiar la distancia administrativa. La sintaxis del comando dependerá del protocolo en cuestión. Para EIGRP requiere la configuración de la distancia administrativa tanto a las rutas externas como a las internas. Router(config)# distance eigrp internal-distance external-distance
La distancia administrativa interna es la que se aplica a las rutas internas EIGRP, es decir, las aprendidas desde otro router dentro del mismo sistema autónomo. La distancia administrativa externa es la que se aplica a las rutas externas EIGRP, es decir, rutas redistribuidas dentro de EIGRP. Para configurar la distancia administrativa para el resto de los protocolos IP se utiliza el siguiente comando:
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
© RA-MA
177
Router(config-router)# distance weight [address mask] [access-listnumber \ ñame] [ip]
Campo
Descripción
weight
Distancia administrativa, valor entre 10 a 255, cuando es 255 indica que el destino es inalcanzable. Los valores entre 0 y 9 son para usos internos.
address
Opcional, asigna una distancia administrativa a las redes que coincidan con esta dirección IP.
mask
Opcional, es la máscara wildcard para la dirección IP.
a c c e s s - lis t number / ñame
Opcional, número o nombre de la ACL que es aplicada a las actualizaciones de enrutamiento entrantes. Asigna la distancia administrativa a las redes permitidas.
ip
Opcional. Especifica rutas derivadas IP para IS-IS.
COMANDOS OPCIONALES PARA CONTROLAR LAS ACTUALIZACIONES DE ENRUTAMIENTO EN LA REDISTRIBUCIÓN En muchas oportunidades es necesario controlar el flujo de las actualizaciones entre los protocolos de enrutamiento o cuando atraviesan sistemas autónomos. Las interfaces pasivas, las rutas estáticas y las rutas por defecto son las herramientas adecuadas para controlar dicho flujo de datos. Interfaces pasivas: se utiliza en los protocolos de enrutamiento que envían sistemáticamente actualizaciones a todas las interfaces incluidas dentro del comando network. Si una de estas interfaces no conecta con otro router es una pérdida de recursos. Este comando evita esta pérdida de recursos, al mismo tiempo que se previenen malas configuraciones o vecinos no deseados. Router(config-router)# passive-interface type number
www.FreeLibros.com
178
©RA-M A
REDES CISCO. CCNP a Fondo
Rutas estáticas: sirven para definir el camino a utilizar añadiendo el próximo salto al que se enviará el tráfico. Esta configuración sólo es válida si la dirección IP del próximo salto existe en la tabla de enrutamiento, de lo contrario debe emplearse la interfaz de salida del router local. Si la ruta estática debe ser advertida hacia otros routers tendrá que ser redistribuida. Router(config)# ip route prefix mask {address | interface} [distance] [tag tag] [permanent]
Comando
Descripción
prefix
Dirección IP del destino.
mask
Máscara de la dirección IP del destino.
address
Dirección IP del gateway o próximo salto.
interface
Interfaz de salida para llegar a la red destino.
distance
Opcional, distancia administrativa.
tag tag
Opcional, es un valor que se puede utilizar para que haya coincidencia en los mapas de ruta.
permanent
Especifica que la ruta no será suprimida de la tabla de enrutamiento a pesar de que la interfaz asociada se caiga.
Las rutas estáticas en redes punto a punto pueden apuntar a la interfaz de salida; las configuradas en redes múltiacceso o multipunto tendrán que tener configurada la dirección del próximo salto.
www.FreeLibros.com
©RA-MA
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
179
Rutas por defecto: en redes grandes existen muchas rutas estáticas que configurar, esto no sólo conduce a errores iniciales sino que requiere un mantenimiento exhaustivo. En estos casos se recomienda un enrutamiento dinámico a través de un protocolo de enrutamiento o alternativamente rutas estáticas por defecto. Router (config)# ip route 0.0.0.0 0.0.0.0 {address \ interface}
Estas rutas pueden ser propagadas de manera dinámica en el dominio o ser configuradas manualmente en los routers. Cuando la ruta por defecto es propagada por un protocolo de enrutamiento no es necesaria ninguna configuración adicional. En el caso de RIPvl solamente puede haber una ruta por defecto. Es una práctica común redistribuir las rutas por defecto en los routers frontera para propagar las rutas deseadas sin tener que intercambiar las rutas dinámicas con todos los vecinos.
Ejemplos de redistribución Ejemplo 1. Redistribución de rutas sin caminos redundantes. La imagen muestra oficinas remotas conectadas a una oficina central a través de Frame-Relay. Cada oficina tiene un PVC punto a punto hacia el router de la oficina principal.
www.FreeLibros.com
180
©RA-M A
REDES CISCO. CCNP a Fondo
EIGRP se está ejecutando en la nube Frame-Relay evitando sobrecargas en la red, mientras que en los segmentos LAN no hay necesidad de protocolo de enrutamiento. RIP es el protocolo configurado en la oficina principal. Los servidores contenidos en la oficina principal necesitan tener conocimiento de las redes EIGRP, por lo tanto habrá que redistribuirlas en RIP. El flujo inverso no es necesario evitando así el tráfico bilateral y consumo de recursos.
Fram e-R elay EIGRP
( ¡
La configuración es sencilla porque no hay enlaces redundantes. La nube Frame-Relay utiliza enlaces punto a punto, en un futuro se podrían añadir más enlaces a la nube de manera redundante. Este ejemplo es una solución simple que le permite a la organización el uso del hardware existente. Ejemplo 2. Redistribución de rutas con caminos redundantes. Este caso cubre la redistribución con caminos redundantes entre diferentes protocolos de enrutamiento y resuelve los problemas de selección de rutas que resultan con las redes redistribuidas. En la topología de la figura el router A está conectado a las redes 120.100.1.0, 120.100.2.0 y 120.100.3.0. Utilizando RIP la red 120.100.1.0 es advertida al router B, la red 120.100.3.0 al router C y la red 120.100.2.0 es advertida al router B y al router C.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
© RA-MA
181
La siguiente es la información contenida en la tabla de enrutamiento del router A: Red/subred
Próximo salto
Conectado
120.100.1.0/24
Conectado E0
0
Conectado
120.100.2.0/24
Conectado El
0
Conectado
120.100.3.0/24
Conectado E2
0
RIP
10.10.10.8/30
120.100.3.2
1 salto
RIP
10.10.10.12/30
120.100.3.2
1 salto
RIP
10.10.10.16/30
120.100.3.2 .
1 salto
RIP
10.10.10.20/30
120.100.3.2
1 salto
RIP
10.10.10.24/30
120.100.3.2
1 salto
RIP
10.10.10.28/30
120.100.3.2
1 salto
RIP
10.10.10.32/30
120.100.3.2
1 salto
Protocolo de enrutamiento
www.FreeLibros.com
Métrica
182
REDES CISCO. CCNP a Fondo
©RA-MA
La siguiente es la información contenida en la tabla de enrutamiento del router B: Protocolo de enrutamiento
Red/subred
Próximo salto
RIP
120.100.1.0/24
120.100.3.1
1 salto
RIP
120.100.2.0/24
120.100.3.1
1 salto
Conectado
120.100.3.0/24
Conectado E0
0
Conectado
10.10.10.8/30
Conectado SO
0
Conectado
10.10.10.12/30
Conectado SO
0
Conectado
10.10.10.16/30
Conectado SO
0
EIGRP
10.10.10.20/30
10.10.10.9
4201056
EIGRP
10.10.10.24/30
10.10.10.9
4201056
EIGRP
10.10.10.28/30
10.10.10.13
4201056
EIGRP
10.10.10.32/30
10.10.10.13
4201056
Métrica
La tabla de enrutamiento del router A contiene todas las subredes de la red 10.0.0.0 255.255.255.252. Debido a que RIPvl no envía la máscara de red en las actualizaciones y el router A no está conectado a dicha red se deberá configurar RIPv2 entre los router A y router B. La tabla de enrutamiento ve a todos los caminos como únicos, por lo que es necesario saber cuáles son las rutas accesibles por medio de RIP o EIGRP. La tabla de enrutamiento se mantiene igual aún después de la redistribución. Dependiendo de los tiempos de las actualizaciones y de la velocidad de convergencia, el router C podría estar desactualizado debido a que los router E, router F y router G le envían información sobre cómo llegar a las redes 120.100.2.0 y 120.100.3.0. A su vez el router C también recibe información del router A. Evidentemente enviar el tráfico hacia esas redes por el router A es la mejor opción, pero como EIGRP tiene una distancia administrativa menor, la ruta para EIGRP es colocada en la tabla de enrutamiento. Suponiendo que la nube Frame-Relay posea caminos iguales para todos los enlaces, las tablas de enrutamiento distribuyen el tráfico equitativamente por las tres rutas.
www.FreeLibros.com
©RA-MA
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
183
Las siguientes sintaxis muestran como las configuraciones favorecen a la distancia administrativa de RIP para las redes LAN dentro de sudominio. Los caminos de RIP serán elegidos, las redes 120.100.1.0 y 120.100.2.0 tendrán una distancia administrativa de 200 con la ayuda de listas de acceso. Router(config)# router rip Router(config-router)# network 120.100.0.0 Router(config-router)# passive interface S0.1 Router(config-router)# redistribute eigrp 100 metric 3 Router(config)# router eigrp 100 Router(config-router)# network 120.100.0.0 R o u t e r (config-router)# passive interface EO Router(config-router)# default-metric 10000 100 255 1 1500 R o u t e r (config-router)# distance 200 0.0.0.0 255.255.255.255 3 R o u t e r (config)# access-list 3 permit 120.100.1.0 R o u t e r (config)# access-list 3 permit 120.100.2.0
El comando distance configura la distancia administrativa para el proceso EIGRP 100 de 90 a 200 haciendo que las rutas de RIP sean las óptimas debido a que la distancia administrativa de RIP es 120. Añadiendo la granularidad de poder elegir las redes que necesitan ser utilizadas en lugar de todas con el uso de las ACL. De esta forma las redes 120.100.1.0 y 120.100.2.0 serán afectadas por el comando distance. El uso de la red 0.0.0.0 con la máscara 255.255.255.255 es un comodín. Ejemplo 3. Redes por defecto en un entorno de redistribución. La utilización de redes por defecto simplifica la configuración de la distribución permitiendo redistribuciones en un sólo sentido o camino. Esto reduce significativamente la posibilidad de bucles hacia el dominio origen.
Rutas por d e fe cto p ropagadas hacia RIP
www.FreeLibros.com
\
| EIGRP y redistribución de las rutas de RIP
184
©RA-MA
REDES CISCO. CCNP a Fondo
En este diseño cada router dentro del dominio de RIP tiene conocimiento de todas las redes internas pero las otras redes son accesibles vía la red por defecto. La configuración del router B se muestra en la siguiente sintaxis: RouterB(config)# router rip RouterB(config-router)# network 190.10.10.0
El router A redistribuye entre RIP y EIGRP con el dominio de RIP actuando como una red stub, la ruta por defecto es configurada como una ruta estática en el router A y redistribuida dentro de RIP para propagarse en todo su dominio. Los routers internos que sólo ejecutan RIP deben estar preparados para recibir la ruta por defecto, la red de destino sólo será alcanzable por medio de esta ruta por defecto. La siguiente es la sintaxis de la configuración del router A: RouterA(config)# router eigrp 100 RouterA(config-router)# redistribute rip RouterA(config-router)# default-metric 10000 100 255 1 1500 RouterA(config-router)# network 10.0.0.0 RouterA(config)# router rip RouterA(config-router)# network 190.10.10.0 RouterA(config-router)# default-metric 3 RouterA(config-router)# redistribute static RouterA(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.1
La redistribución en router A es sólo hacia un sentido, EIGRP necesita conocer todas las redes en el dominio de RIP pero en cambio RIP no necesita conocer las redes del mundo exterior.
CONTROL DE LAS ACTUALIZACIONES DE ENRUTAMIENTO CON FILTRADO Algunos mecanismos, para controlar las actualizaciones de enrutamiento, se han visto en los párrafos anteriores, pero a veces es necesario utilizar herramientas más potentes y flexibles. Estos mecanismos son listas de acceso que aplicadas a las actualizaciones de enrutamiento se denominan listas de distribución (distribute lists).
www.FreeLibros.com
©RA-MA
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
185
El proceso y la lógica son similares a las ACL: 1. El router recibe una actualización de enrutamiento o está a punto de enviar actualizaciones sobre una o más redes. 2. El router controla si la interfaz implicada en la acción tiene aplicados filtros. 3. Si existe un filtro, el router examina la ACL para ver si existen coincidencias en alguna de las redes en la actualización de enrutamiento. 4. Si no hay coincidencias en los filtros o no existen, la red se envía al proceso de enrutamiento como ocurre normalmente. 5. Si hay coincidencia en un filtro la ruta es procesada acorde a la sentencia de la lista de distribución. Dicha ruta se anunciara si coincide con un permit o se descartará si coincide con un deny. 6. Si no se encuentra ninguna coincidencia al final de la lista de distribución, una denegación implícita descartará la actualización. Las actualizaciones de enrutamiento pueden ser filtradas por protocolos de enrutamiento, definiendo una ACL y aplicándola al protocolo. Existen ciertas limitaciones en las listas de distribución cuando son aplicadas a OSPF, las configuradas como entrantes previenen que las rutas se añadan en la tabla de enrutamiento, pero no previenen que las LSA se propaguen. Por este motivo las listas de distribución son empleadas prudentemente en los ABR o ASBR. Al crear una lista de distribución se siguen los siguientes pasos: 1. Identificar la dirección de red que ha de ser filtrada y crear la lista de acceso. Permitir las redes que deben ser anunciadas. 2. Determinar si el filtrado es entrante o propagadas hacia otros routers o salientes. 3. Asignar la ACL utilizando el comando distribute-list. La sintaxis completa del comando en la forma entrante es la siguiente: Router(config-router)# distribute-list {access-list-number / ñame} in [type number]
www.FreeLibros.com
186
REDES CISCO. CCNP a Fondo
©RA-M A
Descripción
Comando a c c e s s - lis t number 1 ñame
Especifica una ACL numerada o nombrada.
in
Aplica la ACL como entrante.
ty p e number
Opcional, especifica información sobre la interfaz.
La sintaxis completa del comando en la forma saliente es la siguiente: R o u te r (c o n fig -r o u te r )# d i s t r i b u t e - l i s t { access-list-number / ñame} o u t [ ínterface-name | routing-process / autonomous-system-number]
Descripción
Comando a c c e s s - lis t- n u m b e r 1 ñame
Especifica nombrada.
ou t
Aplica la ACL como saliente.
ín te rfa c e -n a m e
Opcional, nombre de la interfaz donde se producirá el filtrado.
ro u tin g - p ro c e s s
Opcional, especifica el nombre del proceso de enrutamiento, o si es estático o directamente conectado.
autonom ous-system number
Opcional, número del sistema autónomo del proceso de enrutamiento.
una
ACL
numerada
o
www.FreeLibros.com
©RA-MA
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
187
VERIFICACIÓN, MANTENIMIENTO Y RESOLUCIÓN DE FALLOS Para que la redistribución funcione adecuadamente y simplificar al máximo los problemas que puedan surgir es necesario tener un conocimiento preciso de la topología tanto física como lógica. Conocer el volumen y los picos de tráfico también es un tema importante para entender los conflictos de conectividad dentro de la red. Los siguientes comandos ayudarán a entender y resolver problemas ocasionados en la redistribución: • • • • •
show ip protocol show ip route show ip route routing-protocol show ip eigrp neighbors show ip ospf database
El comando traceroute: este comando puede ser empleado desde el modo usuario, pero se necesita la versión extendida y debe emplearse desde el modo privilegiado. Mostrará la información de todos los routers que un paquete ha pasado desde que ha sido enviado. A la versión extendida del comando traceroute se accede pulsando un intro; diferentes cuestiones son presentadas que permitirán la modificación de ciertos parámetros que vienen por defecto. El comando extendido ping: para hacer comprobaciones básicas se puede utilizar el comando ping desde el modo usuario. Pero si se requiere emplear todo el potencial que brinda este comando se debe ejecutar desde el modo privilegiado, de esta forma se pueden modificar los parámetros por defecto y personalizarlo según se necesite. Los comandos traceroute y ping extendido: el. comando traceroute muestra el camino tomado y podrá en ciertos casos identificar el problema de la red. Si el comando traceroute falla indica que existe un problema y es un buen punto de partida para solucionarlo. El comando ping es muy útil porque puede anunciar cada una de las interfaces que va atravesando si la opción “record” es elegida. Aunque tiene una limitación de 9 saltos. Es posible utilizar una dirección IP origen en los comandos traceroute y ping extendidos, que debe ser una interfaz en el router de origen. Esto permitirá chequear ACL, mapas de ruta, etc. Cambiando las direcciones de origen desde todas las interfaces del router se obtiene una visión total del funcionamiento de la red.
www.FreeLibros.com
188
©RA-MA
REDES CISCO. CCNP a Fondo
CONTROL DE LA REDISTRIBUCIÓN CON ROUTEMAPS Funcionamiento de los route-maps Los route-maps son herramientas que establecen coincidencias con un determinado patrón y que pueden utilizarse para cambiar la cabecera del paquete, el mapa de ruta, etc. Los route-maps son similares a las listas de acceso pero más complejos debido a que permiten hacer muchas más cosas. Existen diferentes situaciones donde se pueden emplear los route-maps: •
Controlar la distribución: los route-maps pueden permitir o denegar rutas como así también cambiar métricas.
•
Definir políticas para PBR (Policy-Based Routing): las políticas basadas en enrutamiento son creadas a partir de los route-maps para permitir al router tomar decisiones complejas basadas en diferentes criterios del enrutamiento tradicional.
•
Agregar granularidad a la configuración de NAT (Network Address Translation): un escenario de NAT tradicional está limitado en la simple traducción de un direccionamiento estáticamente, con los route-maps pueden hacerse traducciones de manera arbitraria.
•
Implementar BGP PBR: más adelante se detallará el funcionamiento en el capítulo de BGP.
Características de los route-maps Los route-maps y las listas de acceso son similares en la lógica. de funcionamiento, se procesan de arriba hacia abajo y en la primera coincidencia se ejecuta la acción permitiendo o denegando, aunque los route-maps permiten hacer muchas más cosas. Los route-maps pueden cambiar la dirección del próximo salto o la métrica de la cabecera IP. La cantidad de atributos que los route-maps pueden modificar es enorme. Las características de los route-maps se pueden resumir en los siguientes conceptos: •
Una colección de sentencias con el mismo nombre se considera un routemap al igual que ocurre con las ACL.
•
Los route-maps son procesados, se arriba hacia abajo hasta que se encuentra la primera coincidencia.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
•
189
Cada sentencia de los route-maps puede tener ninguna o más condiciones de coincidencia. Una sentencia que no tenga ninguna coincidencia se aplica a todo el tráfico, similar al any de las ACL. El tráfico que no encuentra coincidencia pasa a la siguiente sentencia. Existen dos cuestiones a tener en cuenta: o Una simple coincidencia puede contener múltiples condiciones. Si una de esas condiciones es verdadera, se considerará coincidencia. Esto es una operación lógica OR. 0 Si existen múltiples coincidencias todas ellas deben ser verdaderas para que la coincidencia sea efectiva. Esto se considera una operación lógica AND.
•
Los route-maps tienen ninguna o más sentencias set, que definen la acción a tomarse. Los parámetros definidos en la sentencia set se aplican siempre que previamente haya habido una coincidencia.
•
Cada sentencia de los route-maps tiene que permitir o denegar. Un tráfico permitido es afectado, mientras que un tráfico que no encuentra coincidencia no lo será.
•
El tráfico que no es explícitamente permitido será implícitamente denegado.
•
Dentro de un route-map cada sentencia tiene un número de secuencia y puede ser editada individualmente.
•
El uso de los route-maps es muy común en redes que tengan redistribución. Pero la utilización de éstos debe hacerse con total conocimiento del funcionamiento de la red debido a que puede influenciarse incorrectamente el flujo de datos o crear bucles. El siguiente ejemplo describe un route-map llamado RMSIMPLE: access-list access-list access-list access-list
23 33 43 53
permit permit permit permit
23.0.0.0 33.0.0.0 43.0.0.0 53.0.0.0
1
route-map RMSIMPLE permit 10 match ip address 23 match interface FastEthernetO/O set ip next-hop 67.43.6.7 ¡
route-map RMSIMPLE permit 20 match ip address 33 i
route-map RMSIMPLE permit 30
www.FreeLibros.com
190
REDES CISCO. CCNP a Fondo
©RA-MA
match ip address 43 53 set ip next-hop 213.35.32.78 ¡
route-map RMSIMPLE permit 40 set ip next-hop 76.45.23.7
Todos los route-maps con el mismo nombre forman parte de una lista. 1. Los route-maps están organizados por número de secuencia. En este ejemplo es 10, 20 o 30. 2. Cada sentencia puede tener ninguna o más coincidencias: •
En la sentencia 10 hay dos condiciones de coincidencia. Ambas deben ser verdaderas para que el set se aplique.
•
En la sentencia 20 sólo hay una coincidencia, de manera que los paquetes denegados no serán considerados. En caso de que este routemap se aplicara a la redistribución, las rutas denegadas no serían redistribuidas.
•
La sentencia 30 tiene dos coincidencias y con que sólo una fuera verdadera el set se aplicará.
•
La sentencia 40 no tiene ningún estado de coincidencia, lo que implica que se le aplicará a todo.
3. Cada sentencia de los route-maps puede tener ninguna o más sentencias set: •
Las sentencias 10, 30 y 40 modifican el siguiente salto para todas las coincidencias.
•
La sentencia 20 no posee sentencias set, por lo tanto la única acción posible será denegar o permitir.
4. El tráfico que coincide con un permit es afectado por el route-map, mientras que el que coincide con un deny o no está en la lista no es afectado por el route-map. •
La sentencia 20 previene que las coincidencias no sean afectadas por la lista, por lo tanto si hay alguna coincidencia está no se le aplicará un siguiente salto diferente.
•
Finalmente hay un permit any en la sentencia 40 por lo tanto todo el tráfico será afectado.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
191
CONFIGURACIÓN DE LOS ROUTE-MAPS La siguiente sintaxis muestra la configuración de los route-maps: R o u t e r
(config)# route-map map-tag [{permit | deny} sequence-number]
Para borrar por completo el route-map se deberá agregar un no inicial al comando anterior. Descripción
Comando map-tag
Nombre del route-map.
permit | deny
Si existe una coincidencia en el criterio y existe un permit, el paquete es enviado tal como se haya definido en las acciones set, si no hubiera coincidencia pasará a la siguiente sentencia.
sequencenumber
Indica el orden de procesamiento de las secuencias, si no se especifica los hará automáticamente de 10 en 10.
¡
Uno de los potenciales de los route-maps es la posibilidad de cambiar la forma en que el router procesa las rutas y fundamentalmente la opción de cambiar la métrica.
Comandos match para la redistribución con route-maps La siguiente tabla resume los comandos match. Estos comandos son usados para determinar si la ruta va a ser redistribuida. Comando
. '
-
Descripción
jjj
match interface (IP)
Distribuye rutas que tienen un próximo salto alcanzable desde la interfaz de salida que se ha especificado. Hace que coincida cualquier ruta que tenga su próximo salto por alguna de las interfaces que se están listando.
match ip address [access-listnumber | ñame]
Describe el número o nombre de la lista.
www.FreeLibros.com
192
REDES CISCO. CCNP a Fondo
©RA-MA
match ip next-hop
Identifica las rutas que poseen el próximo salto que se indica.
match ip routesource
Redistribuye las rutas que han sido advertidas desde la dirección especificada.
match metric
Redistribuye las rutas con la métrica especificada.
match route-type (IP)
Redistribuye las rutas del tipo especificado.
match tag
Redistribuye las rutas en la tabla de enrutamiento que coinciden con las etiquetas especificadas.
Comandos set para la redistribución con route-maps Los comandos set funcionan a partir de una coincidencia previa. Mientras los comandos match determinan si la ruta va a ser redistribuida, el parámetro set determinará la forma en que va a ser redistribuida. La sintaxis del comando set es la siguiente: Router(config-route-map)# set {criteria}
La siguiente tabla resume los comandos set utilizados en la redistribución. Comando
Descripción
v
set level {level-1 | level-2 | level-1-2 | stub-area | backbone}
Es utilizado por IS-IS para determinar el nivel del router que debería importar las rutas. OSPF lo utiliza para determinar el tipo de área/router desde el cual las rutas deberían ser importadas.
set metric (BGP, OSPF, RIP)
Configura la métrica para un determinado protocolo de enrutamiento.
set metric-type {internal | external | type-1 | type-2}
Configura el tipo de métrica para el protocolo destino.
set tag tag-value
Configura un valor de etiqueta del protocolo de enrutamiento destino.
www.FreeLibros.com
I
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
193
Una vez configurado, el route-map debe ser vinculado para que ejecute la acción. Este evento se describe en la siguiente sintaxis: Router ( c o n f ig-router)# redistribute protocol [process-id] map-tag]
[route-map
Donde map-tap es el nombre que se va a utilizar para la distribución y tiene que corresponderse con el nombre especificado con el comando route-map. El ejemplo ilustra la funcionalidad del route-map, la sintaxis corresponde a la siguiente figura:
M é t r ic a Red R 3 0 .1.1.0/24 1 R 3 0 .1.3.0/24
2 2
R 3 0 .1.4.0/24
S
R 3 0 .1 .5,0 / 2 4
3
R 3 0 .1.2.0/24
Red
Métrica
Red
Mét rica
0 3 0 .1 . 1 . 0 / 2 4
25 10
0 3 0.1 .1,0/24
25 20
0 3 0 .1 . 2 . 0 / 2 4
30 10
O 3 0 .1 . 3 . 0 / 2 4
30 10
0 3 0 ,1.2,0/24 O 3 0 .1 . 3 . 0 / 2 4
3020 30 20
O 3 0 .1 . 4 . 0 / 2 4 0 3 0 .1 . 5 . 0 / 2 4
22000 22000
0 3 0 .1 . 4 . 0 / 2 4
22000
0 30 .1.5,0 /24
22000
Router(config)# router ospf 100 Router(config-router)# redistribute rip route-map rip-routes Router (config) # route-map Router (config- route-map)# Router (config- route-map)# Router (config- route-map)# Router (config- route-map)# Router (config) # route-map Router (config- route-map)# Router (config- route-map)# Router (config- route-map)# Router (config- route-map)# Router (config) # route-map
rip-routes permit 10 match metric 1 set metric 2500 set metric-type type-1 set tag 100 rip-routes permit 20 match metric 2 set metric 3000 set metric-type type-1 set tag 200 rip-routes permit 30
Router(config-route-map)# set metric 22000
Este route-map examina todas las actualizaciones desde RIPv2 y las redistribuye dentro de OSPF.
www.FreeLibros.com
194
REDES CISCO. CCNP a Fondo
©RA-MA
Las rutas con un número de saltos de 1 tendrán una métrica en OSPF con un valor de coste 2500, serán de tipo 1 y tendrán una etiqueta de 100. Las rutas con 2 saltos tendrán una métrica en OSPF con un valor de coste 3000, serán de tipo 1 y tendrán una etiqueta de 200. Todas las demás rutas tendrán un coste estático de 22000. En cada una de las sentencias se modifica la métrica (coste) que las rutas tendrán una vez redistribuidas en OSPF. La configuración en type-1 indica que la métrica se incrementará a medida que los saltos aumenten; en cambio en type-2 (por defecto) la métrica permanecerá constante. Finalmente se etiquetan ciertas rutas con un valor de 100, otras con un valor de 200 y otras no han sido etiquetadas. Esto permitirá en otros puntos de redistribución hacer match en función de la etiqueta y permitir o denegar en base a esto. Como nota al margen decir que las etiquetas (tags) son extremadamente útiles para escenarios con múltiples puntos de redistribución bidireccional.
VERIFICACIÓN DE LOS ROUTE-MAPS La mayoría de los comandos para monitorizar el funcionamiento de los route-maps son los mismos empleados para verificar la redistribución: •
show ip protocol
•
show ip route
•
show ip route routing-protocol
•
show ip eigrp neighbors
•
show ip ospf database
•
show route-map
Tal como se explicó en la redistribución el comando traceroute y ping son de mucha utilidad.
www.FreeLibros.com
Capítulo 5
DHCP INTRODUCCIÓN A DHCP DHCP (Dynamic Host Control Protocol) desciende del antiguo protocolo BootP, permite a un servidor asignar automáticamente a un host direcciones IPv4 y otros parámetros cuando está iniciándose. DHCP ofrece dos principales ventajas: 1. DHCP permite que la administración de la red sea más fácil y versátil, de lo contrario habría que asignar manualmente el direccionamiento a todos los host, tarea bastante tediosa y que generalmente conlleva errores. 2. DHCP asigna direcciones IP de manera temporal creando un mayor aprovechamiento del espacio en el direccionamiento. Un ejemplo claro son los clientes DSL, ellos sólo necesitan la dirección IP cuando están conectados online. El proceso DHCP sigue los siguientes pasos: 1. El cliente envía un broadcast preguntando por configuración IP a los servidores, los que responderán con una dirección IP, una máscara, una puerta de enlace y otras informaciones. En este paso el nuevo cliente ha enviado un mensaje en forma de broadcast llamado DHCP discover.
www.FreeLibros.com
196
REDES CISCO. CCNP a Fondo
2.
©RA-MA
Cada servidor en la red responderá con un Offer. Comúnmente en una red pueden existir varios servidores DHCP de manera redundante, es normal que todos intenten responder. El mensaje offer contiene una dirección IP, una máscara, una puerta de enlace, el tiempo de alquiler y los posibles códigos de opción.
3. El cliente considera todas las ofertas y elije una. Esta opción dependerá del cliente. Por ejemplo Windows XP elegirá una dirección IP que previamente se le haya ofrecido, otros sistemas operativos simplemente aceptarán la primera oferta que les llegue. A partir de este momento el cliente envía un mensaje llamado Request en el que básicamente pregunta sobre la disponibilidad de la IP de la que tiene preferencia. 4. El servidor responde con un ACK informando a su vez que toma conocimiento que el cliente se queda con esa dirección IP. 5. Finalmente el cliente envía un ARP request para esa nueva dirección IP. Si alguien responde, el cliente sabrá que esa dirección está en uso y que ha sido asignada a otro cliente lo que iniciará el proceso DHCP nuevamente. Este paso se llama Gratuitous ARP. Existen varios sistemas operativos clientes que utilizan APIPA (Automatic Prívate IP Addressing). Es un proceso por el cual el host configurado para un direccionamiento dinámico se asigna a sí mismo una dirección IP al no poder contactar con un servidor DHCP. Las direcciones IP que se autoasignan son del rango 169.254.0.0. De la misma forma que en el quinto paso anterior se envía un Gratuitous ARP para verificar que nadie más posea dicha dirección antes de quedársela. Finalmente, cuando se detecta un host con una dirección IP 169.254.X.X significa que no ha podido contactar con el servidor DHCP.
Dispositivos DHCP Siempre habrá al menos dos dispositivos involucrados en el proceso de configuración del DHCP, un Servidor DHCP y un Cliente DHCP. Ocasionalmente habrá otros dispositivos opcionales llamados DHCP relays.
www.FreeLibros.com
CAPÍTULO 5. DHCP
© r a -m a
197
CONFIGURACIÓN DHCP Configuración de un servidor DHCP Los siguientes pasos describen la configuración de un router ejecutando IOS como servidor DHCP: 1. Crear un almacén (pool) de direcciones que serán asignadas a los clientes. Router(config)# ip dhcp pool ñame
2. Determinar el direccionamiento de red y máscara que se le asignará al pool. Router(config-dhcp)# network network/mask
3. Configurar el período que el cliente podrá disponer de esta dirección. Este período de alquiler suele ser de tres días; en las versiones de IOS es de un día, pero puede configurarse en horas, minutos y segundos. R o u t e r (config-dhcp)# lease days
4. Identificar el servidor DNS. Router(config-dhcp)# dns-server address
5. Identificar la puerta de enlace o gateway. Router(config-dhcp)# default-router ip-address
6. Excluir si es necesario las direcciones que por seguridad o para evitar conflictos no se necesite que el DHCP otorgue. R outer(config )#ip dhcp excluded-address start-ip end-ip
Las direcciones IP son siempre asignadas en la misma interfaz que tiene una IP dentro de ese pool. La siguiente sintaxis muestra un ejemplo de configuración dentro de ese contexto: Router(config)# interface fastethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255 i255.0 Router(config)# ip dhcp pool 1 Router(config-dhcp)# network 192.168.1.0 /24 Router(config-dhcp)# default-router 192.168.1.1 Router(config-dhcp)# lease 3 Router(config-dhcp)# dns-server 192.168.77.100
Algunos dispositivos IOS reciben direccionamiento IP en algunas interfaces y asignan direcciones IP en otras. Para estos casos DHCP puede importar
www.FreeLibros.com
198
REDES CISCO. CCNP a Fondo
©RA-MA
las opciones y parámetros de una interfaz a otra. El siguiente comando para ejecutar esta acción es: Router(config-dhcp)# import all
Este comando es muy útil cuando se debe configurar DHCP en oficinas remotas. El router una vez localizado en su sitio puede determinar el DNS y las opciones locales. La siguiente tabla describe una serie de comandos opcionales: Comando
Descripción
Service dhcp
Habilita el servidor DHCP que por defecto ya lo está.
ip dhcp database
Configura un agente de base de datos.
no ip dhcp conflict logging
Deshabilita el login de conflictos.
ip dhcp excludedaddress s t a r t - i p en d -ip
Define las direcciones que serán excluidas del pool.
domain-name domain
DNS asignado por defecto.
Configuración de un DHCP Relay Normalmente los routers no retransmiten tráfico broadcast. En algunos casos una excepción a esta regla podría ser muy útil. Un servidor DHCP centralizado que ofrezca un direccionamiento a todas las redes remotas sería más fácil de administrar y resolver posibles conflictos. Todos los routers en este caso deberían dejar pasar todo el tráfico broadcast originado por las transacciones DHCP. Un router configurado para dejar pasar los DHCP request es llamado DHCP Relay. Cuando es configurado, el router permitirá el reenvío de broadcast que haya sido enviado a un puerto UDP determinado hacia una localización remota. El DHCP Relay reenvía los requests y configura la puerta de enlace en el router local. Router(config-if)# ip helper-address ad d ress
www.FreeLibros.com
CAPÍTULO 5. DHCP
© RA-MA
199
Cuando se configura soporta 8 puertos UDP, cualquier broadcast que se reciba en estos puertos es reenviado a la dilección IP que se especifica en el comando. Los puertos son los siguientes: •
NTP (UDP 37)
•
TACACS (UDP 49)
•
DNS (UDP 53)
•
DHCP (UDP 67 y 68)
•
TFTP (UDP 69)
•
NetBIOS ñame Service (UDP 137)
•
NetBIOS datagram service (UDP 138)
Adicionalmente se podrían agregar más puertos con el comando: Router(config)# ip forward-protocol udp port
El siguiente ejemplo muestra la sintaxis de la configuración de un puerto UDP adicional: Router(config)# interface fastethernetO/O Router(config-if)# ip helper-address 192.168.5.100 Router(config-if)# exit Router(config)# ip forward-protocol udp 4400 Router(config)# no ip forward-protocol udp 69
El comando ip dhcp relay information option usado con el DHCP Relay habilita el sistema para insertar la opción 82 (agent DHCP relay information option) en mensajes Bootrequest que son enviados al servidor DHCP. El servidor puede utilizar esta información para asignar la subred correcta.
Configuración de un cliente DHCP Configurar IOS para la opción del DHCP como cliente es simple. Router(conf ig)# interface fastethernetO/O Router(config-if )# ip address dhcp
Un router puede ser cliente, servidor o ambos a la vez en diferentes interfaces.
www.FreeLibros.com
200
REDES CISCO. CCNP a Fondo
©RA-MA
RESOLUCIÓN DE FALLOS EN DHCP En un principio ejecutar un show run servirá para ver los parámetros estándares de configuración expuestos anteriormente. Si no se observa dónde está el fallo se puede seguir el siguiente proceso de análisis. Partiendo de la base de que el cliente DHCP está correctamente configurado y conectado a la red, el servidor DHCP se está ejecutando en el router. 1. Verificar que el cliente no está recibiendo una dirección IP, verificar la conectividad de ambos a la red 2. Verificar que el servidor DHCP esté configurado, como así también que el cliente es capaz de enviar tráfico. 3. Examinar la base de datos DHCP con el comando show ip dhcp database. 4. Para ver la configuración mas detallada de DHCP se puede utilizar el comando show ip dhcp server statistics. 5.
Para mostrar las direcciones IP que han sido asignadas utilizar el comando show ip dhcp binding. Para borrar una dirección en la base de datos clear binding.
6.
Para monitorizar las acciones del servidor DHCP debug ip dhcp server events y el debug ip dhcp server packets.
7. Finalmente verificar la existencia de listas de acceso que puedan estar denegando el tráfico DHCP.
www.FreeLibros.com
C apítulo 6
BGP INTRODUCCIÓN A BGP BGP (Border Gateway Protocol) es un protocolo de enrutamiento moderno diseñado para ser escalable y poder utilizarse en grandes redes creando rutas estables entre las organizaciones. BGP soporta VLSM (Variable Length Subnet Mask), CIDR (Classless Interdomain Routing) y sumarización. BGP es un protocolo de enrutamiento extremadamente complejo, usado entre organizaciones multinacionales y en Internet. El principal propósito de BGP es conectar grandes redes o sistemas autónomos. Las grandes organizaciones utilizan BGP como el vínculo entre diferentes divisiones empresariales. BGP se utiliza en Internet para conectar diferentes organizaciones entre sí. Es el único protocolo que actualmente soporta enrutamiento entre dominios. Los dispositivos, equipos y redes controlados por una organización son llamados sistemas autónomos, AS. Esto significa independentia, es decir, que cada organización es independiente de elegir la forma de conducir el tráfico y no se los puede forzar a cambiar dicho mecanismo. Por lo tanto BGP comunica los AS con independencia de los sistemas que utilice cada organización. Otro punto clave es que BGP pretende que las redes permanezcan despejadas de tráfico innecesario el mayor tiempo posible. Mientras que los IGP están buscando la última información y ajustando constantemente las rutas acordes con la nueva información que se recibe, BGP está diseñado para que las rutas sean estables y que no se estén advirtiendo e intercambiando constantemente. Las
www.FreeLibros.com
202
©RA-MA
REDES CISCO. CCNP a Fondo
configuraciones de BGP requieren determinaciones de políticas muy complicadas, de modo que dada la complejidad del protocolo y el inmenso tamaño de la tabla de enrutamiento, que pueden ser cientos de miles, no se puede estar cambiando constantemente decisiones de enrutamiento haciendo que los routers estén constantemente sobrecargados.
Funcionamiento básico de BGP BGP asocia redes con sistemas autónomos de tal manera que otros router envían tráfico hacia el destino a través de un sistema autónomo. Cuando el tráfico llega a los routers frontera de BGP, es trabajo de los routers del IGP encontrar el mejor camino interno. BGP es un protocolo path-vector, aunque mantiene muchas características comunes con los de vector-distancia. Las rutas son registradas de acuerdo con los sistemas autónomos por donde está pasando y los bucles son evitados rechazando aquellas rutas que tienen el mismo número de sistema autónomo al cual están llegando. La idea de cómo BGP evita los bucles se ilustra en la siguiente figura:
AS-30 172.16.31.0/24 AS-Path 5
172.16.31.0/24 AS-Path 5 30
\
AS-15
AS-72 172.16.31.0/24 AS-Path 5 30 157 2
172.16.31.0/24 AS-Path 5 30 15
RECHAZADO CONTIENE AS-5
Los vecinos BGP son los llamados peers, éstos no son automáticamente descubiertos sino que deben estar predefinidos. Existen cuatro tipos de mensajes en BGP para que la relación sea construida y posteriormente mantenida:
www.FreeLibros.com
CAPÍTULO 6. BGP
©RA-MA
•
Open
•
Keepalive
•
Update
•
Notifícation
203
Cuando el proceso de BGP comienza se crean y mantienen las conexiones entre los peers utilizando el puerto TCP 179 a través de mensajes BGP open, posteriormente las sesiones son mantenidas enviando constantemente mensajes keepalive y la información del peer se mantiene en una tabla de vecinos separada. Si un peer es reseteado, éste envía un mensaje de notificación para indicar la finalización de la relación. Cuando se establece por primera vez la relación de vecindad, los routers BGP intercambian sus tablas de enrutamiento por completo utilizando mensajes update. Finalmente sólo se enviarán actualizaciones incrementales cuando existan cambios en la red.
Jerarquías BGP Otros protocolos de enrutamiento han sido creados de tal manera que soporten sumarizaciones y para que se pueda organizar la red de manera jerárquica. Las organizaciones no están distribuidas jerárquicamente, por lo tanto BGP debe trabajar con cualquier topología que le sea dada. BGP se beneficia de la sumarización de la misma manera que los demás protocolos de enrutamiento, es decir, menos consumo de recursos de memoria y CPU, y tablas de enrutamiento más pequeñas. Una red BGP optimizada será altamente sumarizada pero no necesariamente de manera jerárquica. BGP por naturaleza proporciona un resumen de las rutas claves identificando los posibles caminos entre sistemas autónomos. Debido a que los AS no están bien organizados, las redes BGP reflejan esa falta de organización. BGP puede ser implementado entre redes o dentro de una red. BGP detecta los bucles mirando las rutas de los AS-Path.
Cuando utilizar BGP Debido a su complejidad y especialización para funciones externas, BGP se utiliza para los siguientes casos: •
BGP es el único protocolo de enrutamiento que puede conectar una organización a diferentes sistemas autónomos.
www.FreeLibros.com
204
©RA-MA
REDES CISCO. CCNP a Fondo
•
BGP debería ser considerado si se desea implementar una política de enrutamiento, como por ejemplo controlar el enlace hacia un ISP.
•
BGP es el protocoloadecuado para un AS utilizado como AS de tránsito y se interconecte a otros sistemas autónomos. Un ISP es un típico AS de tránsito.
BGP probablemente no sea necesario si algunos de los requerimientos anteriores no se cumplen. Si los requerimientos de enrutamiento que se necesitan pueden llevarse a cabo de una manera más simple, como por ejemplo con una ruta por defecto, no se debería estar pensar en BGP como solución. Los recursos necesarios para un buen funcionamiento de BGP son elevados, por lo tanto otras opciones deben ser siempre analizadas antes de implementarlo, ahorrando de esta forma dinero en dispositivos y configuraciones complejas.
Tablas de BGP El enrutamiento a través de BGP involucra tres tipos de tablas: • • •
Tabla de vecinos Tabla de BGP Tabla de enrutamiento
IP
Las rutas de BGP son mantenidas en una tabla de BGP separada y las mejores rutas son pasadas a la tabla de enrutamiento. A diferencia de los protocolos detallados en los capítulos anteriores, BGP no utiliza una métrica. En su lugar BGP emplea un proceso de 10 pasos para seleccionar las rutas dependiendo de una serie de propiedades. Este tema se detallará más adelante y es una de las principales cualidades de BGP. En suma, BGP soporta herramientas como route-maps y listas de distribución que permiten al administrador cambiar el flujo de tráfico basado en los atributos de este protocolo.
CONECTANDO A INTERNET CON BGP Como protocolo de enrutamiento externo BGP es utilizado para conectar hacia y desde Internet y para enrutar tráfico dentro, de Internet. Se debe estar completamente seguro de que la cantidad de tráfico y rutas no saturará la red. Dos consideraciones importantes en el diseño de BGP son la necesidad de enlaces redundantes hacia Internet, llamados multihoming, y controlar cuánto tráfico de enrutamiento se quiere recibir desde Internet.
www.FreeLibros.com
CAPÍTULO 6. BGP
©RA-M A
205
Multihoming En organizaciones modernas la falta de conectividad a Internet puede llevar a la pérdida de conectividad a determinados servidores y páginas Web hasta la pérdida de telefonía IP. Internet contiene una cantidad enorme y variada de tráfico y de igual manera importante, es por lo tanto una tarea de los administradores poseer una solución a la falta de conectividad hacia Internet. Las conexiones redundantes son la solución a la pérdida de un enlace. Esta solución es conocida como multihoming. La idea del funcionamiento de multihoming es que ante el fallo de un enlace active un segundo enlace hacia Internet. Si estos dos enlaces pueden estar activos a la vez proporcionará una mayor efectividad en la conexión a Internet, mayor rendimiento y redundancia. El balanceo de carga en BGP a través de múltiples enlaces o diferentes AS son las políticas de configuración del protocolo. Multihoming podría efectuar múltiples conexiones al mismo ISP o a ISP diferentes. Conectado a más de un ISP puede generar algunos de los siguientes problemas: 1. El espacio de direccionamiento es advertido de forma incorrecta por el proveedor. 2. Las nu s que se advierten o las rutas externas de las que depende la red son advertidas con diferentes máscaras. Debido a que las más específicas serán siempre utilizadas, no se tendrán en cuenta los atributos de BGP. 3.
Cuando la conexión es a más de un ISP, el AS puede llegar a ser un sistema autónomo de tránsito entre esos ISP. Esto es rechazado debido a que no es conveniente que el AS tenga tráfico ajeno al propio sistema autónomo.
Generalmente el ISP es capaz de tratar con este tipo de problemas y configurará su red para protegerse, aun así no se puede confiar plenamente en que su parte esté bien configurada. También es importante el contacto entre los dos ISP implicados para que puedan planificar los cambios necesarios.'
Información de enrutamiento desde Internet Al conectarse a Internet es necesario planificar qué actualizaciones serán enviadas y recibidas desde el mundo exterior. Existen tres formas de conectarse a Internet:
www.FreeLibros.com
206
©RA-MA
REDES CISCO. CCNP a Fondo
1. Aceptar sólo rutas por defecto desde todos los ISP. En este caso los consumos de recursos serán muy bajos y la selección de rutas se hará utilizando el router BGP más cercano. 2. Aceptar algunas rutas más las rutas por defecto desde los ISP. En este caso el consumo de recursos de memoria y CPU será medio. El router seleccionará la ruta específica y si no la conoce lo hará a través del router BGP más cercano. 3. Aceptar todas las rutas desde todos los ISP, en este caso el consumo de recursos es alto pero en contra posición siempre se elegirá la ruta más directa. La manera más fácil de conectarse a Internet es tomar rutas por defecto desde todos los proveedores, proporcionando una ruta redundante en caso de que la principal falle. Si sólo se recibe una ruta de cada proveedor la utilización de memoria y CPU es muy baja. El punto negativo es que no siempre se elegirán los caminos más cortos, el tráfico se dirigirá simplemente hacia el router frontera más cercano. Si las necesidades de la organización no son exigentes, este tipo de conexión es la adecuada. El caso completamente opuesto al anterior es tomar todas las rutas que llegan desde los proveedores, obteniendo el mejor enrutamiento posible. Sin embargo los recursos consumidos son altos. La tabla de enrutamiento de Internet puede contener 300.000 rutas en constante crecimiento (200.000 rutas consumen unos 200 MB de memoria). La sincronización de la tabla y la recepción de actualizaciones consumen ciclos de procesador y capacidad en la red. Normalmente este tipo de conexión es soportada por los ISP en cuyo caso los dispositivos (Cisco GSR 12000) son capaces de soportar todo el tráfico y las tablas completas con altas velocidades de conexión. El término medio a estas dos situaciones será emplear algunas rutas específicas y rutas por defecto hacia el proveedor. De esta forma el tráfico que el router conoce tomará el camino más corto y los destinos desconocidos utilizarán las rutas por defecto hacia el router frontera más cercano. La elección de alguna de estas tres opciones es importante pero no permanente, las configuraciones siempre pueden adaptarse a los requerimientos de la organización.
Sincronización Cuando un AS proporciona un sistema de tránsito para otros AS y tiene router que no son BGP, el tráfico de tránsito podría ser descartado si los routers intermediarios que no ejecutan BGP desconocen esas rutas. La regla de BGP de sincronización dice que si un sistema autónomo proporciona un servicio de tránsito
www.FreeLibros.com
CAPÍTULO 6. BGP
© RA-MA
207
a otro sistema autónomo, BGP no debería anunciar más rutas hasta que todos los routers dentro de ese AS hayan aprendido acerca de esa ruta vía un IGP. La siguiente figura muestra un ejemplo de la sincronización:
El router C envía actualizaciones acerca de la ruta 170.10.0.0 hacia el router A; el router A y el router B están ejecutando IBGP (Internal BGP). El router B recibe actualizaciones acerca de la red 170.10.0.0 vía IBGP, si el router B quiere alcanzar la red 170.10.0.0, enviará el tráfico hacia el router E. Si el router A no redistribuye la red 170.10.0.0 dentro de un IGP, el router E desconoce que la ruta 170.10.0.0 existe, por lo tanto descartará los paquetes. Si el router B advierte al AS 400 que puede alcanzar dicha red antes de que el router E aprenda sobre dicha red vía un IGP, el tráfico que viene desde el router D hacia el router B con destino 170.10.0.0 pasará por el router E y será descartado. Esta situación es controlada con la regla de sincronización de BGP, la cual dice que un sistema autónomo, en este caso ÁS 100, pasa tráfico desde un AS hacia otro y no advertirá una ruta antes de que todos los routers dentro del AS 100 hayan aprendido esa ruta vía un IGP. En este caso el router B espera hasta aprender sobre la red 170.10.0.0 vía un IGP antes de enviar las actualizaciones al router D. Hay casos en los que es preferible deshabilitar la sincronización permitiendo que BGP converja más rápidamente, pero en estos casos pueden producirse pérdidas de paquetes.
www.FreeLibros.com
208
©RA-MA
REDES CISCO. CCNP a Fondo
Si algunas de las siguientes condiciones se cumplen es posible que sea necesario deshabilitar la sincronización: •
El sistema autónomo no pasa tráfico entre sistemas autónomos.
•
Todos los routers de tránsito ejecutan BGP.
La siguiente figura es un ejemplo de una topología donde es posible deshabilitar la sincronización:
La siguiente sintaxis muestra cómo deshabilitar la sincronización dentro del modo de enrutamiento: Router(config-router)# no synchronization
En las versiones actuales de IOS la sincronización viene deshabilitadá por defecto, para habilitarla se utiliza el siguiente comando: R o u t e r (c onfig-router)# synchronization
Complementariamente existen otras maneras opcionales de solventar el problema de la sincronización como por ejemplo los routers reflectórs, las confederaciones o MPLS.
www.FreeLibros.com
CAPÍTULO 6. BGP
© RA-MA
209
ESTADOS DE BGP Los estados que toma BGP son los siguientes: •
Idle, durante este estado el router esta buscando a los vecinos, técnicamente BGP espera una fase llamada start. Este evento
puede ser iniciado por un administrador o por el sistema BGP. Un administrador estableciendo una sesión BGP o reseteando una sesión que ya existe causa un evento start. •
Connect, BGP espera que se complete la conexión del protocolo
de transporte, en este caso TCP puerto 179. Si la conexión de TCP se realiza satisfactoriamente, el estado pasa a la fase open sent. En el caso de que no sea satisfactoria el estado cambiará a active. •
Active, intenta establecer una vecindad iniciando la conexión a través del protocolo de transporte. En caso de que lo consiga pasará al siguiente estado, open sent. Cuando el temporizador connect retray expira BGP lo reinicia y vuelve al estado connect. Si un router permanece entre los estados connect y active revela que la conexión TCP no se puede establecer. El estado active indica que el router esta intentando iniciar la sesión TCP.
•
Open Sent, en este estado BGP espera los mensajes open del vecino, estos mensajes son chequeados para verificar que los datos son correctos, que las versiones de BGP sean las debidas como así también el número del sistema autónomo.
•
Open Confirm, BGP espera los mensajes keepalive, si recibe
estos mensajes de su vecino entonces la sesión pasa al siguiente estado. •
Established, es el estado final y el necesario para que BGP
comience a funcionar, se intercambien rutas, actualizaciones o keepalives. Cuando un router permanece todo el tiempo en el estado idle será necesario verificar la existencia de un salto hacia el vecino con el que se quiere establecer la vecindad. Si el estado es permanentemente active habrá que verificar la existencia de un firewall que tenga el puerto TCP 179 abierto.
www.FreeLibros.com
210
©RA-MA
REDES CISCO. CCNP a Fondo
El siguiente ejemplo muestra el estado de un router BGP: Router# show ip bgp neighbors BGP neighbor is 10.1.1.1, remóte AS 100, external BGP versión 4, remóte router ID 172.31.2.3 BGP state = Established, up for 00:19:10
CONFIGURACIÓN DE BGP Comandos básicos BGP ha sido diseñado para conectar diferentes sistemas autónomos entre sí. Los pasos para habilitar BGP consisten en identificar el sistema autónomo e identificar a los vecinos y su correspondiente sistema autónomo. La configuración también debe incluir las redes que se quieren anunciar. Para iniciar el proceso BGP se utiliza la siguiente sintaxis: Router(config)# router bgp autonomous-system-number
A diferencia de muchos otros protocolos BGP sólo puede ejecutar un proceso en cada router. Al intentar configurar más de un proceso BGP el router mostrará el número de proceso que se está ejecutando actualmente.
Identificando vecinos y definiendo peer-groups BGP no se conecta a otros routers de manera automática, hay que predefinirlos. El comando neighbor es utilizado para definir cada uno de los vecinos y su correspondiente sistema autónomo. Si el AS del vecino es el mismo que el local, habrá una conexión IBGP (Internal BGP); si el vecino posee un AS diferente, la conexión es EBGP (External BGP). Una vez que los vecinos son definidos habrá mas comandos dentro del comando neighbor que se utilizarán para definir las políticas del filtrado de rutas etc. La siguiente sintaxis muestra la configuración del comando neighbor: Router(config-router)# neighbor ip-address remote-as autonomous-system-number
Listar a los vecinos y sus políticas asociadas puede resultar muy pesado. Todos estos grandes bloques de configuración son difíciles de interpretar y de resolver fallos en la red. El concepto del peer-group ayuda a solventar estos problemas.
www.FreeLibros.com
CAPÍTULO 6. BGP
©RA-MA
211
Un peer-goup es un grupo de vecinos que comparten la misma política de actualizaciones. Los routers son listados como miembros del mismo peer-group de tal manera que las políticas asociadas con el grupo lo serán también del router. De esta forma las políticas son aplicadas a cada vecino aunque también se pueden definir parámetros individuales personalizando a cada uno de los vecinos, además de aplicar una regla general propia del peer-group. Los peer-group además de reducir la configuración ayudan a liberar al router de sobrecarga. Si cada vecino es configurado individualmente, entonces el proceso de actualizaciones de BGP tiene que ejecutarse separadamente para cada uno de ellos. Si múltiples vecinos son configurados como un grupo, el proceso de actualizaciones se ejecuta una vez enviando la misma actualización para todos los miembros del grupo. Para que esto resulte adecuadamente los miembros del grupo deben ser internos o externos. El comando neighbor peer-group-name es utilizado para crear el peergroup y asociar a los peer dentro de un sistema autónomo. Una vez que el peergroup ha sido definido los miembros son configurados con el comando neighbor peer-group. R o u t e r (config-router)# neighbor peer-group-name peer-group Router(config-router )# neighbor ip-address / peer-group-name
remote-as autonomoussystem-number neighbor ip-address group-name
Router(config-router )#
peer-group
peer-
La siguiente sintaxis muestra la configuración básica con tres vecinos: Router(config)# router bgp 200 Router(config-router)# neighbor 190.55.5.2 remote-as 200 Router(config-router)# neighbor 190.55.5.3 remote-as 200 Router(config-router)# neighbor 190.55.5.4 remote-as 200
El siguiente es un ejemplo de configuración de peer-group: Router(config)# router Router(config-router)# Router(config-router)# Router(config-router)# Router(config-router)# Router(config-router)#
bgp 200 neighbor neighbor neighbor neighbor neighbor
Nom-AS peer-group 190.55.5.2 peer-group Nom-AS 190.55.5.3 peer-group Nom-AS 190.55.5.4 peer-group Nom-AS Nom-AS remote-as 200
El comando neighbor también puede ser utilizado para deshabilitar un peer. Normalmente un peer es deshabilitado durante una ventana de mantenimiento o para prevenir caídas y subidas en un enlace.
www.FreeLibros.com
212
©RA-M A
REDES CISCO. CCNP a Fondo
Router(config-router)# neighbor shutdown
ip-address
\ peer-group-name
El ejemplo que sigue muestra la configuración básica de los comandos requeridos para que BGP funcione entre sistemas autónomos. Según muestra la topología el router A en el AS-200 está conectado a los routers en los AS-300, AS400, AS-500 y AS-600.
RouterA(config)# interface SerialO/O.l RouterA(config-int)# ip address 190.55.5.201 255.255.255.252
I
RouterA(config)# interface Serial0/0.2 RouterA(config-int)# ip address 190.55.5.205 255.255.255.252
i
RouterA(config)# interface Serial0/0.3 RouterA(config-int)# ip address 190.55.5.209 255.255.255.252
i
RouterA(config)# interface SerialO/O.4 RouterA(config-int)# ip address 190.55.5.213 255.255.255.252
i
RouterA(config)# router RouterA(config-router)# RouterA(config-router)# RouterA(config-router)# RouterA(config-router)#
bgp 200 neighbor neighbor neighbor neighbor
190.55.5.202 190.55.5.206 190.55.5.210 190.55.5.214
remote-as remote-as remote-as remote-as
www.FreeLibros.com
300 400 500 600
CAPÍTULO 6. BGP
©RA-MA
213
Dirección IP de origen Los vecinos de BGP interno no tienen que estar directamente conectados, normalmente un IGP es responsable del enrutamiento dentro del AS de tal forma que los routers que ejecutan BGP pueden alcanzarse mutuamente a través del enrutamiento proporcionado por el IGP. En la siguiente figura el router A tiene varias direcciones IP. Los routers A y B forman paridad y se encuentran directamente conectados por medio de la red 172.16.1.0, pero si el enlace se cae la interfaz del router B dejaría de responder, incluso cuando el router B está directamente conectado al router C, no sabría que hacer debido a qué la dirección configurada para el peer esta caída.
Sin embargo si el peering se establece mediante direcciones de loopback el problema puede solventarse porque a pesar de que el enlace podría caerse, el router B enviará el tráfico a través del router C. Para la configuración de este ejemplo hay que tener en cuenta que se han utilizado las dicciones de loopback en el IGP. Otro problema que surge es que cuando BGP crea tráfico la dirección IP de origen es la de la interfaz de salida, en el router B el tráfico hacia el router A tomaría el camino directo desde la interfaz 172.16.1.2, pero si el enlace falla el tráfico redireccionará desde la dirección IP 175.16.3.1. Esta nueva dirección de origen no encaja con la definida como peer, por lo tanto la conexión será rechazada. Para permitir caminos redundantes el vínculo de origen tiene que ser el mismo que el vecino espera. La sintaxis del comando en la siguiente: Router(config-router)# neighbor update-source interface■
www.FreeLibros.com
ip-address
| peer-group-name
214
©RA-MA
REDES CISCO. CCNP a Fondo
La configuración de los routers A y B está en la siguiente sintaxis: Router A : RouterA(config)# router bgp 100 RouterA(config-router)# neighbor 100.10.1.2 remote-as 100 RouterA(config-router)# neighbor 100.10.1.2 update-source loopbackO
Router B : RouterB(config)# router bgp 100 RouterB(config-router)# neighbor 100.10.1.1 remote-as 100 RouterB(config-router)# neighbor 100.10.1.1 update-source loopbackO
Ambos routers establecen el peering hacia las direcciones de loopback de sus vecinos y originan tráficos desde sus propias loopback permitiendo de esa manera redundancias. Los routers BGP externos normalmente no utilizan ningún protocolo de enrutamiento haciendo peering con direcciones directamente conectadas. Por defecto los paquetes EBGP poseen un valor de TTL igual a uno, lo que previene que puedan viajar a más de un salto. Sería posible crear un modelo de redundancia en el ejemplo anterior, pero es necesario que se cumplan las siguientes condiciones: •
Tiene que existir una ruta hacia ambas direcciones por donde se establecerá el peer.
•
Debe ajustarse el TTL para que sea capaz de atravesar el número necesario de saltos.
Para modificar el TTL por defecto en las conexiones externas se utiliza el siguiente comando: Router(config-router)# neighbor ip-address \ peer-group-name ebgp-multihop hops
Forzando la dirección del próximo salto Un next hop de BGP es el punto de entrada al sistema autónomo. Normalmente el próximo salto es la dirección del router frontera, pero hay diversas situaciones donde debe cambiarse. Las rutas recibidas desde vecinos externos serán advertidas con próximo salto, con una dirección externa los vecinos internos
www.FreeLibros.com
CAPÍTULO 6. BGP
©RA-MA
215
podrían no reconocerla como una dirección válida. El comando next-hop-self permite al router sustituir su dirección interna de tal manera que los vecinos internos entenderán cómo alcanzar la dirección del próximo salto. La siguiente sintaxis muestra la configuración de este comando: R o u t e r (config-router)# neighbor {ip-address | peer-group} next-hop-self
Definiendo las redes que serán anunciadas El comando network configura las redes que van a ser originadas por este router. Hay una diferencia notable entre el uso del comando network en BGP y en otros protocolos de enrutamiento. Con este comando no se identifican las interfaces que van a ejecutar BGP, sino que se identifican las redes que se van a propagar. Se pueden utilizar múltiples comandos network, tantos como se requiera. El parámetro de la máscara es muy útil en BGP puesto que puede funcionar con subnetting y supemetting. La sintaxis del comando es la siguiente: Router(config-router)# network network-number mask network-mask
Agregación de rutas Para agregar o sumarizar rutas en un dominio de BGP se utiliza el siguiente comando: Router(config-router)# aggregate-address ip-address mask [summary-only] [as-set]
En el caso de que se configure el parámetro summary-only todas las rutas más específicas serán eliminadas propagándose solamente la sumarización de éstas. Esto es opcional dependiendo de la topología existente pero aun así es conveniente enviar la sumarización para evitar enviar demasiados prefijos. Cuando se utiliza el parámetro as-set todos los sistemas autónomos que han sido atravesados serán almacenados en el mensaje update. El siguiente ejemplo muestra la configuración de BGP utilizando el comando aggregate-address, con el parámetro summarization. Las rutas con un prefijo mayor que /16 serán sumarizadas. De esta forma la ruta 10.10.35.8/29 no es vista en las actualizaciones update debido a que está sumarizada dentro de la red 10.20.0.0/16. Cualquier otra ruta que no esté sumarizada dentro de esa actualización será listada individualmente. La sumarización reduce sobrecarga en la red y simplifica la administración de la misma.
www.FreeLibros.com
216
©RA-MA
REDES CISCO. CCNP a Fondo
Router(config)# interface SerialO Router(config-int)# ip address 10.255.255.201 255.255.255.224 Router(config)# router bgp 100 Router(config-router)# network 10.10.35.8 255.255.255.252 Router(config-router)# network 10.10.27.0 255.255.255.0 Router(config-router)# network 10.10.100.0 255.255.2550.0 Router(config-router)# aggregate-address 10.10.0.0 255.255.0.0 summary-only Router(config-router)# neighbor 10.255.255.202 remote-as 200 Router(config-router)# neighbor 10.255.255.202 next-hop-self Router(config-router)# neighbor 10.255.255.206 remote-as 300 Router(config-router)# neighbor 10.255.255.206 next-hop-self
Autenticación La autenticación es una parte importante en BGP sobretodo para proveedores de servicios (ISP). Sin autenticación estos ISP estarían expuestos a múltiples ataques desde Internet. La autenticación de BGP consiste en abordar una clave o contraseña entre los vecinos de tal manera que se envíe un hash MD5 con cada paquete BGP. Esta autenticación es muy simple de configurar y asocia la contraseña con el vecino: Router(config-router)# neighbor ip-address password password
VERIFICACIÓN DE BGP Los comandos show para BGP brindan una información clara acerca de las sesiones de BGP y de las opciones de enrutamiento: •
show ip bgp, muestra la tabla de enrutamiento de BGP.
•
show ip bgp summary, muestra el estado de las sesiones de BGP y también el número de prefijos aprendidos en cada sesión.
• show ip bgp neighbors, muestra la información de la conexión TCP hacia los vecinos, así como el tipo y número de mensajes BGP que están intercambiándose con cada vecino. Cuando la conexión se establece los vecinos intercambian actualizaciones. • show processes cpu, muestra los procesos activos y se usa para identificar los procesos que consumen demasiados recursos, pueden ordenarse por cantidad de recursos consumidos. Otro comando de gran utilidad es el debug, como todos estos comandos debe utilizarse con la debida precaución. Mostrará la información real de los eventos que se están ejecutando:
www.FreeLibros.com
CAPÍTULO 6. BGP
©RA-M A
Router# debug ip bgp [dampening | events
217
| keepalives | updates]
El Route dampening es un mecanismo para identificar la inestabilidad causada por caídas aleatorias de rutas o flapping. Cuenta la cantidad de veces que una ruta determinada cae aplicando una penalización a cada una de estas caídas. De esta manera BGP puede ignorar esas rutas para utilizar las rutas más estables.
Reestableciendo la vecindad Luego de configurar cambios en BGP a veces es necesario hacer un hard reset que significa resetear la sesión TCP entre ambos vecinos. Se ejecuta con el siguiente comando: Router(config-router )# clear ip bgp {* | address}[soft [in|out]]
Este comando desconecta la sesión entre vecinos y la reestablece con la nueva configuración que ha sido aplicada. BGP solamente intercambia rutas cuando la relación de vecindad ha sido establecida. A partir de ese momento si los vecinos cambian las políticas, como por ejemplo una nueva lista de distribución, el único medio para propagar los cambios sin reiniciar el router es resetear la sesión TCP. Este reinicio puede generar algunos de estos problemas: •
El reinicio de la sesión tarda bastante tiempo en reestablecerse e interrumpe el tráfico mientras se está iniciando nuevamente.
•
Al resetear la sesión los routers lo pueden detectar como una caída de un enlace, pudiendo causar que los pares se desasocien.
•
Al resetear la sesión la tabla de enrutamiento debe ser enviada por completo nuevamente, generando mucho tráfico.
Existe una alternativa al hard reset que es un reinicio de sesión menos violento. El soft reset no interrumpe el enrutamiento ni causa flapping. Pueden configurarse tanto para conexiones entrantes como salientes.' La siguiente sintaxis muestra la configuración de un soft reset de salida: Router(config-router )# clear ip bgp {* | address} soft out
Un soft reset le indicará al router local que debe enviar su tabla de enrutamiento BGP completa hacia el vecino pero haciéndolo de tal manera que la sesión TCP que hay entre ambos no caiga. De esta forma los cambios en la política de enrutamiento en dirección hacia el vecino saliente son enviados.
www.FreeLibros.com
218
©RA-MA
REDES CISCO. CCNP a Fondo
Hay casos en los que se requiere que el vecino envíe sus anuncios siguiendo este sistema, pero la única manera de hacerlo es a través del administrador para que ejecute dicho comando en su router. El reseteo suave de entrada permite simular la recepción de una actualización. Para poder ejecutarlo en el router local debe existir una copia no procesada de la actualización del vecino. El comando soft-reconfiguration-inbound debe estar pre-configurado para el vecino, como se expone en la siguiente sintaxis. El router guardara dos copias de ese anuncio, antes y después de procesar: Router(config-router)# neighbor ip-address soft-reconfiguration inbound
Asumiendo que esta capacidad está disponible, se podrá repetir un anuncio previamente guardado, por ejemplo se podría forzar una actualización desde el vecino a través de los nuevos filtros utilizando el siguiente comando: Router(config-router)# clear ip bgp ip-address soft in
Cada vez que se utilice el comando soft se le está indicando al router que no cierre la sesión TCP.
ATRIBUTOS DE BGP Las rutas aprendidas vía BGP llevan asociados ciertos atributos que sirven para determinar qué rutas son la mejor opción hacia un destino y si existen varios caminos hacia ese destino en particular. Para diseñar redes robustas con BGP hay que comprender cómo los atributos de BGP influyen en el proceso de selección de rutas. La siguiente tabla muestra los atributos BGP soportados en IOS: Atributo
Categoría
Descripción
Aggregator
Optional, transitive
ID y AS del router que lleva a cabo la sumarización. No se usa en el proceso de selección de caminos.
AS_Path
Well-known, mandatory
Lista de todos los AS a través de los cuales ha pasado. Se prefiere el más corto.
www.FreeLibros.com
©RA-M A
CAPÍTULO 6. BGP
Atomic aggregate
Well-known, discretionary
Al generar una sumarización envía los AS de las rutas que componen dicha sumarización. No se usa en el proceso de selección de caminos.
Cluster ID
Optional, nontransitive
Identifica un clúster, Route Reflectors. No se usa en el proceso de selección de caminos.
Community
Optional, transitive
Etiqueta prefijos. No se usa en el proceso de selección de caminos.
Local preference
Well-known, discretionary
Indica el nivel de preferencia para alcanzar prefijos externos a través de los routers internos. Se prefiere el valor más alto.
Múltiple Exit Discriminator (MED)
Optional, nontransitive
Indica a vecinos externos qué camino usar para alcanzar prefijos.
Next Hop
Well-known, mandatory
Peer externo en el AS vecino. No se usa en el proceso de selección de caminos.
Origin
Well-known, mandatory
Código de origen. Preferidos en este orden: (i) IGP, (e) EGP, (?) Incomplete.
Originator ID
Optional, nontransitive
Identifica al Route Reflector. No se usa en el proceso de selección de caminos.
Weight
Optional, not communicated to peers
Propietario de Cisco. Se prefiere el más alto.
219
Es posible que BGP pueda recibir varios anuncios para la misma ruta desde diferentes orígenes. BGP solamente selecciona un camino como el más adecuado; una vez que dicho camino es seleccionado BGP lo pone en la tabla de enrutamiento y lo propaga a sus vecinos. El proceso de selección de rutas completo de BGP sigue el siguiente orden: 1. Se prefiere el camino con el weight más alto. Este atributo es propietario de Cisco y es local al router en el que se configura.
www.FreeLibros.com
220
©RA-M A
REDES CISCO. CCNP a Fondo
2.
Se prefiere el camino con local_pref más alto. Por defecto toma un valor de 100 pero es posible modificarlo.
3.
Se prefieren caminos originados localmente vía el comando network o aggregate, o mediante redistribución desde un IGP. Los caminos locales originados por el comando network o redistribute son preferidos sobre los localmente agregados usando el comando aggregate-address.
4. Se prefiere el camino con el asjpath más corto. •
Este paso es omitido si el comando bgp bestpath as-path ignore está configurado.
•
Un as_set cuenta como 1, no importa cuántos AS haya en el “set”.
•
Los as_confed_sequence y as_confed_set no están incluidos en la longitud del asjpath.
5.
Se prefiere el camino
con el origin más bajo, donde IGPchanges neighbor 167.55.191.3 remote-as 100 neighbor 167.55.199.2 remote-as 100 neighbor 167.55.199.2 weight 200
Uso del atributo Local-Preference Este atributo es fácil de configurar: puede hacerlo por defecto o por prefijo. La sintaxis es la siguiente: Router(config-router)# bgp default local-preference valué
El atributo Local-Preference tiene un rango entre 0 y 4294967295, cuanto más alto el valor mayor preferencia. Por defecto lleva un valor de 100. El siguiente ejemplo está basado en la siguiente figura, el atributo LocalPreference está configurado en el router Madrid con un valor de 200 y se propaga en todas las actualizaciones a todos los peers.
www.FreeLibros.com
CAPÍTULO 6. BGP
©RA-MA
223
El valor de Local-Preference esta configurado a 100 en el router León y se propaga a todos los peers. Cuando el router Burgos deba decidir quá ruta utilizar para llegar a la red 130.16.0.0 el Local-Preference más alto dicta que Madrid es la mejor salida desde el AS.
Madrid(config)# router bgp 100
¡
Madrid(config-router)# bgp default local-preference 200 Madrid(config-router)# aggregate-address 167.55.0.0 255.255.0.0 summary-only Madrid(config-router)# neighbor 100.2.4.4 remote-as 400 Madrid(config-router)# neighbor 100.2.4.4 default-originate
i
Madrid(config-router)# neighbor 167.55.195.3‘remote-as 100 Madrid(config-router)# neighbor 167.55.199.1 remote-as 100 León(config)# router bgp 100
¡
León(config-router)# León(config-router)# Leon(config-router)# summary-only León(config-router)# León(config-router)# León(config-router)#
bgp default local-preference 100 network 167.55.0.0 aggregate-address 167.55.0.0 255.255.0.0 neighbor 100.2.3.2 remote-as 300 neighbor 167.55.191.1 remote-as 100 neighbor 167.55.195.2 remote-as 100
www.FreeLibros.com
224
©RA-MA
REDES CISCO. CCNP a Fondo
La Local-Preference también puede ser aplicada por prefijos. Aunque existen varios métodos para modificar las rutas los route-maps son los más utilizados. Para cambiar los parámetros de los route-maps simplemente se modifica el parámetro en el comando neighbor: Router(config-router)# neighbor {IP | peer group} route-map route-map ñame {in|out}
La siguiente sintaxis muestra un route-maps aplicada a todas las rutas redistribuidas desde un peer. Las rutas son comparadas con una ACL y las que son permitidas adquieren una Local-Preference de 500. La línea 20 no tiene sentencia match por lo tanto aplica a todo el resto de las rutas. Las rutas denegadas adquieren un Local-Preference de 50. Lisboa(config)# router bgp 100 Lisboa(config-router)# neighbor 10.5.5.25 remote-as 100 Lisboa(config-router)# neighbor 10.5.5.25 route-map example_LP in Lisboa(config-router)# exit Lisboa(config)# access-list 5 permit 10.1.1.0 0.0.0.255 Lisboa(config)# route-map example_LP permit 10 Lisboa(config-rmap)# match ip address 5 Lisboa(config-rmap)# set ip local-preference 500 Lisboa(config)# route-map example_LP permit 20 Lisboa(config-rmap)# set ip local-preference 50
Uso del atributo MED Este atributo es advertido a los vecinos externos para influenciarlos en el sentido de cómo van a poder alcanzar a nuestro sistema autónomo, es decir, que se modifica el tráfico de entrada hacia nuestro AS. Por ejemplo cuando existen enlaces redundantes hacia un ISP y se necesita que el tráfico fluya sobre el enlace con mayor capacidad. Con el Weight o con el Local-preference se puede controlar cómo los routers locales envían tráfico fuera del sistema autónomo, pero los vecinos externos no reciben esa información. Si se configura el atributo MED para que sea más bajo en uno de los caminos, éste será elegido por los vecinos pera enviar tráfico hacia el AS local. MED es un atributo opcional y transitivo, cuanto menor sea tendrá mayor preferencia, por defecto el valor de MED es 0. La sintaxis de configuración del atributo MED es la siguiente: Router(config-router)# default-metric valué
www.FreeLibros.com
CAPÍTULO 6. BGP
© r a -m a
225
El ejemplo que sigue muestra un route-map anunciado hacia un peer. En primer lugar las rutas son comparadas con una ACL y las rutas permitidas llevarán una métrica de 500, la línea 20 del route-map no incluye una sentencia match por lo tanto todas las demás rutas que sean denegadas por la ACL llevarán una métrica de 5000. Router(config)# router bgp 100 Router(config-router)# neighbor 10.6.6.36 remote-as 200 Router(config-router)# neighbor 10.6.6.36 route-map med_rm out Router(config-router)# exit Router(config)# access-list 5 permit 10.1.1.0 0.0.0.255 R o u t e r (config)# route-map med_rm permit 10 Router(config-rmap)# match ip address 5 R o u t e r (config-rmap)# set metric 500 R o u t e r (config)# route-map med_rm permit 20 Router(config-rmap)# set metric 5000
Uso del atributo AS-path El atributo AS-path prepending es del tipo Well-known y obligatorio para todas las actualizaciones. Es el mecanismo que BGP utiliza para detectar bucles de enrutamiento y que además es el sistema para decidir que ruta es la más corta. Mientras más AS sean atravesados peor será el camino, siempre se utilizará el ASpath más corto. EL AS-path que se envía a un vecino puede modificarse utilizando un route-map de esta forma se puede replicar el AS local para conseguir establecer caminos menos preferidos que otros. Router(config)# router Router(config-router)# Router(config-router)# Router(config-router)# Router(config-router)#
bgp 65005 neighbor 193.0.0.2 remote-as 65100 neighbor 193.0.0.2 route-map prepend out route-map PREPEND permit 10 set as-path prepend 65005 65005 65005
VERIFICACIÓN DE LOS ATRIBUTOS El comando show ip bgp muestra los atributos, los valores y el estado. Es un buen comando para verificar la configuración y los cambios efectuados y para administrar el flujo del tráfico desde y hacia nuestro AS. Los siguientes ejemplos muestran dos show ip bgp basados en los casos anteriores, observe el cambio del Weight a 200 en el segundo ejemplo y su efecto en la red.
www.FreeLibros.com
226
REDES CISCO. CCNP a Fondo
©RA-M A
Chicago# show ip bgp BGP table versión is 22, local router ID is 192.168 .0.231 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure Origin codes: i - IGP, e - EGP , ? ñ incomplete Metric LocPrf Weight Path Network Next Hop 0 400 I 0 100 100.2.4.4 *>i4.0.0.0 0 100 0 300 I *>i5.0.0.0 100.2.3.2 0 100 0 300 I *>il00.2.3.0/29 100.2.3.2 0 100 0 400 I *>il00.2.4.0/29 100.2.4.4 0 100 0 300 I 100.2.3.2 *>il30.16.0.0 0 I 281600 100 167.55.191. 3 r>il67.55.0.0 Chicago# show ip bgp BGP table versión is 8, local router ID is 192.168. 0.231 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,r RIB-failure Origin codes: i - IGP, e - EGP , ? — incomplete Metric LocPrf Weight Pat,h Network Next Hop 0 100 200 400 i *>i4.0.0.0 100.2.4.4 0 100 0 300 i *>i5.0.0.0 100.2.3.2 0 100 0 300 i *>il00.2.3.0/29 100.2.3.2 0 100 200 400 i *>il00.2.4.0/29 100.2.4.4 100 200 400 500 300 i 100.2.4.4 *>il30.16.0.0 0 100 0 300 i * i 100.2.3.2 281600 100 0 i r>il67.55.0.0 167.55.191. 3
Campo
Descripción
BGP table versión
Número interno de la versión de la tabla. Se incrementa cuando la tabla cambia.
local router ID
La dirección IP usada como BGP ID.
status codes
El estado se muestra al principio de cada línea y puede tomar estos valores: • s - suprimido • * - válido • > - mejor entrada para esa red • i - aprendida via iBGP • d - dampening ha sido aplicado
www.FreeLibros.com
CAPÍTULO 6. BGP
.-MA
El código de origen está situado al final del ASpath. Puede ser uno de los siguientes valores:
• Origin
• •
i - La red ha sido advertida usando el comando network. e - La red ha sido originada desde EGP (actualmente no se usa). ? - La red ha sido redistribuida en BGP.
Network
Un prefijo.
Next hop
IP del primer vecino externo en el camino. Si es 0.0.0.0 indica que la ruta ha sido auto originada.
Metric
Atributo de BGP usado para influenciar el tráfico de vuelta. Por defecto es 0.
LocPrf
Atributo de BGP usado para indicar al AS qué router usar para salir hacia otro AS. Por defecto es 100.
Weight
Atributo de BGP para indicar al router qué camino tomar para llegar al destino. Es propietario de Cisco y es local al router.
Path
Sistemas Autónomos que hay hacia el destino. Puede haber una entrada en este campo por cada AS que haya que atravesar.
www.FreeLibros.com
227
www.FreeLibros.com
Capítulo 7
MULTICAST INTRODUCCIÓN A MULTICAST Tipos de direcciones IP En una red IP pueden existir tres tipos de direccionamiento: •
Unicast, los paquetes son enviados desde un origen hacia un sólo destino.
•
Broadcast, los paquetes son enviados con un direccionamiento de difusión.
•
Multicást, los paquetes son enviados a una dirección especial de grupo.
Unicast: los paquetes unicasts son enviados a una dirección específica. Cuando se envía información a un determinado grupo será necesario hacerlo a cada uno de los componentes de dicho grupo, lo que provoca un consumo de ancho de banda. Unicast es enviado por un router o por un switch de capa 3 que encuentra en su tabla de direccionamiento la dirección IP. Un switch de capa 2 confia en la dirección MAC del destino. El envió unicast está habilitado por defecto, es el más común de los tres tipos de direccionamiento. Broadcast: es la manera de comunicar exactamente la misma información a todo un grupo. Los broadcasts son transmitidos al medio y recibidos por todos los dispositivos. Existen protocolos de enrutamiento que utilizan broadcasts para distribuir la información de enrutamiento. En lugar de requerir varios paquetes
www.FreeLibros.com
230
©RA-M A
REDES CISCO. CCNP a Fondo
unicast simplemente se envía un paquete que alcanza a todos los dispositivos. Los broadcasts son útiles además, para cuando se quiere enviar una información a un destino desconocido. DHCP utiliza broadcast para asignar direcciones unicast. Las NIC están programadas para escuchar todo el tráfico y de esa manera reconocer el tráfico que está destinado a la propia dirección local MAC o la dirección MAC de broadcast y enviar las tramas a las capas superiores. El problema de los broadcasts es que deben ser procesados por la CPU, por ejemplo, un PC que recibe una actualización de RIP tendrá que procesar el paquete para comprender que no está interesado en el mismo. Los broadcasts en ethemet son enviados a la dirección MAC reservada ffff.ffff.ffff. Los switches de capa 2 inundan los broadcasts fuera de todos los puertos en la misma VLAN. Los broadcasts en IP están reservados en la dirección 255.255.255.255. Los routers no retransmiten tráfico broadcast por defecto. Multicást: son direcciones de grupo. Un dispositivo IP se une a un grupo reconociendo una dirección IP de otro grupo y reprogramando su tarjeta de red (NIC) para copiar todo el tráfico destinado a la dirección MAC del grupo. Debido a que el tráfico multicást está dirigido a diferentes MAC algunos host prestarán atención mientras que oros lo ignorarán. EIGRP utiliza 224.0.0.10 y la dirección MAC 0100.5E00.000A, los routers prestarán atención a este tráfico pero un PC lo ignorará. Debido a que multicást permite discriminar el tráfico a nivel de la tarjeta de red, es decir, a nivel de enlace de datos, se pierde menos tiempo de procesamiento de dicho tráfico. El tráfico multicást generalmente es unidireccional, hay un origen que envía el tráfico a todos los destinos, mientras que éstos devuelven el tráfico de manera unicast. El tráfico multicást es enviado utilizando el protocolo UDP, por lo tanto no está orientado a la conexión de tal manera que no hay verificación de que los paquetes sean realmente entregados, dejando esta responsabilidad a los destinos o la aplicación. Los host que quieren recibir datos de una dirección origen multicást pueden unirse o dejar el grupo de forma dinámica habilitando la dirección MAC del grupo en su tarjeta de red. Un host puede ser miembro de más de un grupo multicást al mismo tiempo.
www.FreeLibros.com
© RA-MA
CAPÍTULO 7. MULTICAST
231
El tráfico multicást solamente es procesado por los host que están programados para recibirlo, un router por defecto no reenvía paquetes multicást a no ser que esté habilitado para hacerlo. Por defecto los switch de capa 2 hacen una inundación de todo el tráfico multicást en todos los puertos de la misma VLAN.
Vídeo en un escenario IP La siguiente figura muestra una topología en la que el jefe de un departamento de una empresa quiere hablar con los empleados utilizando vídeo sobre IP. Los enlaces Fast Ethernet son de 100 Mbps mientras que los enlaces WAN DS3 son de 45 Mbps. Los Usuarios A, B, C y E quieren atender el pedido pero el usuario D no.
Suponiendo que el flujo del vídeo fuera unicast y de 1 Mbps haría falta un camino de 1 Mbps hacia cada uno de los destinos. Los enlaces Fast Ethernet limitarían la cantidad de clientes a un máximo de 100, y los DS3 los limitarían a un máximo de 45 clientes por enlace. Si se utilizara todo el tráfico la red quedaría no disponible para el resto de los empleados.
www.FreeLibros.com
232
REDES CISCO. CCNP a Fondo
© RA-MA
Cuando se reconoce este problema el administrador de la red trata de redistribuir el vídeo utilizando broadcast, pero no logra conexión debido a que los routers no procesan los broadcast, incluso dentro de una LAN los broadcast son problemáticos puesto que llegan a todos los usuarios obligándolos a procesar todo el tráfico.
El multicást resolvería esta situación. Un simple flujo multicást podría ser distribuido a todos los usuarios conservando la capacidad de la red.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
233
El tráfico multicást se puede enrutar, y los usuarios que no desean verlo simplemente lo ignoran para no sobrecargar a los ordenadores. En el peor escenario posible el usuario D estaría recibiendo el tráfico pero la tarjeta lo ignoraría. En el mejor caso posible el switch es lo suficientemente inteligente como para filtrar ese tráfico multicást sabiendo que D no quiere recibirlo. Para ello utilizaría IG M P o CGMP.
DIRECCIONAMIENTO MULTICAST Los sistemas finales y tipos de los sistemas intermedios tienen que ser capaces de distinguir el tráfico multicást, unicast y broadcast. Un dispositivo de capa 3 utiliza direcciones reservadas Clase D que van desde la 224.0.0.0 hasta la 239.255.255.255. Los dispositivos de red pueden reconocer rápidamente tráfico multicást porque los primeros 4 bits son siempre 1110. Los dispositivos Ethernet de manera similar tienen direcciones especiales para multicást.
www.FreeLibros.com
234
©RA-MA
REDES CISCO. CCNP a Fondo
El bit de menor orden en el primer byte de una dirección MAC sirve para indicar si es multicást o unicast, si el valor es 1 indica que la trama es multicást. Además de este bit las direcciones IP multicást están mapeadas a un rango específico de direcciones MAC para ayudar a los host a discriminar el tipo de tráfico.
Direccionamiento MAC multicást A nivel de capa 2 los dispositivos reconocen tráfico multicást porque cada dirección IP de multicást está asociada a una dirección MAC de 48 bits. Los primeros 24 bits de la dirección MAC corresponden al OUI (Organizationally Unique Identifier) o código de fabricante y comienzan con 0100.5e y el bit número 25 siempre es 0. Los siguientes 23 bits de la dirección MAC son copiados desde los 23 bits más a la derecha de la dirección IP. El siguiente ejemplo muestra el concepto del mapeo de direcciones: IP 2 2 7 .6 4 .3 .5
0000 0001 0000 0 0 0 0 0
1
0
0
5 227 _________ 64___________ 3 1 11 0 0011 010 0 0000 0 00 0 0011 0000 0101 O í 01 1 1 1 0 010 0 0000 0000 0011 0000 0101 5
E
4
0
0
3
0
5
M AC 0 1 0 0 .5 E 4 0 .0 3 0 5
Solamente los primeros 23 bits desde la derecha son copiados desde la dirección IP a la MAC. Los prefijos más a la izquierda de la dirección IP y la dirección MAC son fijos y predecibles. Hay 5 bits de la dirección IP dentro del rango que no son transferidos hacia de la dirección MAC multicást, esto crea la posibilidad de que las direcciones MAC de multicást no sean totalmente únicas. Existen 32 direcciones multicást diferentes que pueden corresponder con la misma dirección MAC.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
235
1110 0000.0= =224.0 A 1110 0001.0= =225.0 1110 0010.0= =226.0 1110 1101.0= =237.0 1110 1110.0= =238.0 1110 1111.0= =239.0
32 direcciones multicást que pueden corresponder con la misma dirección MAC
1110 0000.1= =224.1 1110 0001.1= =225.1 1110 0010.1= =226.1 1110 1101.1= =237.1 1110 1110.1= =238.1 1110 1111.1= =239.1 5 bits que no son tenidos e n cuenta
Esta situación queda demostrada en la siguiente figura, donde la NIC es incapaz de distinguir tráfico para la dirección 234.64.3.5, 225.192.3.5 y 227.64.3.5. 5 bits que no son tenidos en cuenta
IP 234.64.3.5
1110 1010 0 100 0000 0000 0011 0000 0101
IP 225.6192.3.5
1110 0001 1 100 0000 0000 0011 0000 0101 1110 0011 0 100 0000 0000
IP 227.64.3.5
0011 0000 0101
0000 0001 0000 0000 0101 1 1 1 0 p 100 0000 0000 0011 0000 0101 0
1
0
0
5
E
4
0
0 '
3
0
5
MAC 0100.5E40.0305
Debido a esta ambigüedad el direccionamiento multicást encara un pequeño problema cuando está recibiendo una trama Ethernet que está destinada a una dirección MAC de multicást. Esta dirección MAC podría corresponder a 32 direcciones IP multicást diferentes. El host tiene que recibir y examinar cada trama que incluya la dirección MAC en la que está interesado, sin importar desde qué dirección IP está viajando dicha trama hacia él. El host examina la cabecera del
www.FreeLibros.com
236
©RA-MA
REDES CISCO. CCNP a Fondo
paquete para verificar que la dirección IP multicást específica corresponde al grupo deseado. Para el caso que no sea lo esperado la trama se descarta.
Direccionamiento IP multicást Sumado al direccionamiento de Clase D de multicást existen varios rangos que se utilizan para un direccionamiento en particular: Link-local addresses (224.0.0.0/24), son usadas en el segmento local, poseen un TTL de 1 de tal manera que los routers no reenvían el tráfico debido al valor del TTL. Estas direcciones son fijas y conocidas:
Dirección
Destino
224.0.0.1
Todos los hosts.
224.0.0.5
Todos los router OSPF.
224.0.0.6
Todos los DR OSPF.
224.0.0.9
Todos los router RIPv2.
224.0.0.10
Todos los router EIGRP.
Source-specific multicást (232.0.0.0/8), este direccionamiento es una extensión de multicást donde el host puede seleccionar el grupo del cual quiere recibir tráfico, o por el contrario lo recibe desde cualquier origen. Se utiliza con IGMPv3. GLOP (233.0.0.0/8), este rango proporciona 256 direcciones IP de multicást para cada sistema autónomo que esté registrado. El número de AS de 16 bits es utilizado en los octetos centrales, en el ejemplo se observa un AS 1500: 233.0.0.0/8 AS 1500 Donde: 233 es el identificador GLOP 1500=10111011100 AS en binario S - JV------y------'
5 220 Por lo tanto 233.5.220.0
www.FreeLibros.com
©RA-MA
CAPÍTULO 7. MULTICAST
237
Administratively scoped addresses (239.0.0.0/8), este espacio de direccionamiento es utilizado en dominios de multicást privados. Llevan una similitud con la RFC 1918. Estas direcciones no son enrutadas entre dominios de manera que pueden ser reutilizadas. Dentro de este ámbito administrativo la dirección 239.252.0.0/14 es utilizada localmente y la 239.192.0.0/10 para toda la organización.
Globally scoped addresses (224.0.1.0-231.255.255.255 y 234.0.0.0238.255.255.255), este direccionamiento puede ser utilizado por cualquier entidad para enrutar tráfico para cualquier organización en Internet. Son únicas y globalmente significativas y son asignadas de manera temporal.
Aplicaciones multicást El direccionamiento multicást es utilizado en muchas aplicaciones, como las utilizadas con las imágenes que distribuyen esas imágenes a través de multicást. En este escenario, un servidor es cargado con todas las imágenes y cada uno de los clientes puede recibirlas a través del tráfico multicást. Otro uso común de las aplicaciones multicást es un escenario compartido, donde varios usuarios comparten un espacio de trabajo. Por último agregar que el direccionamiento multicást permite descubrir procesos de enrutamiento. Los procesos de enrutamiento de RIPv2, OSPF y EIGRP descubren a sus vecinos por medio del direccionamiento multicást. Las aplicaciones pueden ser de uno a varios, como por ejemplo las imágenes de varios a varios, como compartir un escenario de trabajo o de varios a uno, como el caso de las actualizaciones de enrutamiento.
Problemas con multicást Multicást presenta una serie de problemas debido a que el tráfico en UDP no existe una función de control de envío ni de organización de paquetes, ni la capacidad de retransmisión. Sumado a la falta de capacidad para permitir a ciertos usuarios en el mismo segmento recibir tráfico multicást y otros no, aunque existen métodos para corregir este comportamiento. Estos retos pueden resolverse a nivel de protocolo. Para tráfico multimedia el orden puede ser controlado utilizando RTP (Real Time Protocol) y los problemas de seguridad pueden resolverse utilizando encriptación con IPsec.
www.FreeLibros.com
238
REDES CISCO. CCNP a Fondo
©RA-MA
Multicást y la capa de enlace Los switch de capa 2 construyen una tabla que enlaza direcciones MAC con los puertos que llegan hacia ellas. Los switch aprenden acerca de cada dirección MAC y sus correspondientes puertos mirando la dirección MAC de origen cuando recibe tráfico. Cuando el switch se inicia desconoce ese mapeo al no poseer tablas almacenadas, por lo que inunda todos los puertos dentro del mismo dominio de broadcast o VLAN. Este mecanismo funciona bien para difusiones, una dirección de broadcast nunca será una dirección de origen por lo tanto nunca estará en la tabla de direcciones MAC. Los broadcast son siempre reenviados por todos los puertos. El tráfico multicást también se lo identifica como desconocido porque las direcciones multicást solamente aparecen como dirección de destino. Los switch reenvían todo ese tráfico y es el destino final quien elegirá las tramas en que está interesado. El tráfico multicást hacia un dispositivo que no está interesado en él es un gasto de ancho de banda. Las tarjetas de red que no son suficientemente sofisticadas o modernas no son capaces de discriminar si están interesadas o no en las tramas que reciben, por lo tanto esto conlleva a que la decisión debe ser tomada por el procesador, gastando recursos del mismo. Existen tres métodos en los switch Cisco para manejar y optimizar esta situación. Estos tres métodos lo que intentan es limitar el tráfico multicást a los puertos que realmente quieren recibirlo y ocultarlo a los demás: •
Entradas estáticas en las tablas MAC, mapeando manualmente las entradas MAC.
•
CGMP (Cisco Group Management Protocol).
•
IGMP (Internet Group Management Protocol).
Creando las entradas manualmente de forma estática es el método más sencillo de entender, pero no puede reaccionar ante cambios en la red, es decir, no es dinámico. Este sistema conlleva a la manipulación de muchos switch en la red generando una gran carga de trabajo. Crear las tablas MAC manualmente es más fácil pero no el método apropiado. CGM P es una solución propietaria de Cisco. Es un protocolo que se ejecuta entre los switch y los routers. Cuando el router recibe mensajes IGMP pasa la MAC de quien ha solicitado ese tráfico multicást y el grupo multicást al cual se hace esa petición y reenvía la información al switch. El switch busca en su tabla MAC a quien ha efectuado dicha petición permitiendo que el tráfico multicást de ese grupo pase por el puerto determinado.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
239
IGMP snooping es un método que permite al switch comprender cuál es el grupo que se está pidiendo y en qué puerto está el receptor. Este mecanismo se hace a nivel de procesador, pudiendo verse sobrecargado según las exigencias de la red. Los dispositivos Cisco actuales soportan IGMP incorporado en el propio hardware.
IGMP Antes de que los routers puedan enviar tráfico multicást primero tienen que conocer la ubicación de los clientes. IGMP es el protocolo utilizado entre los clientes y el router para identificarse y solicitar el tráfico multicást al router. Para recibir tráfico multicást desde una fuente los destinos se unen a un grupo multicást común identificado por una dirección IP multicást. Un host se une a un grupo enviando una petición a su router local, ésta se lleva a cabo con el Internet Group Management Protocol. Existen tres versiones de este protocolo IGMPvl, IGMPv2 e IGMPv3.
IGMPvl Para unirse a un grupo de multicást un host envía un Membership Report IGMP, que es un mensaje que este protocolo utiliza para contactarse con el router local. Este mensaje indica al router la dirección o grupo al que quiere unirse ese host. La dirección de multicást es utilizada como la dirección IP de destino y la dirección de grupo es listada en el mensaje. Los routers multicást tienen que interceptar todos los paquetes multicást para recibir los Membership Report y añadir los host a los grupos apropiados. Cada 60 segundos un router denominado querier en cada segmento de red envía una consulta a la dirección multicást de todos los host 224.0.0.1 para confirmar si hay alguno interesado en recibir un grupo multicást. Con que solamente un host responda mantendrá el puerto en un estado de reenvío. Los host que estén interesados responderán con Membership Report siémpre y cuando nadie lo haya hecho con anterioridad. Los host pueden unirse a un grupo multicást en cualquier momento, pero IGMPvl no tiene un mecanismo que permita al host dejar el grupo cuando ya no esta interesado en seguir recibiendo tráfico. Los routers manejan esta situación haciendo expirar la dirección de grupo multicást si nadie quiere recibir ese tráfico. Concretamente, si no se reciben reportes en 3 consultas consecutivas, el grupo expira. Esto significa que el tráfico multicást es enviado dentro del segmento hasta tres minutos después de que todos los miembros del grupo han dejado de escuchar.
www.FreeLibros.com
240
O RA-MA
REDES CISCO. CCNP a Fondo
El router no mantiene una lista completa de los miembros de cada grupo multicást activo, solamente necesita recordar cuáles son los grupos activos y en qué interfaces. Si en el segmento en cuestión hay uno o más host que pertenecen a un grupo el router sólo envía una copia del paquete multicást a ese segmento.
IGMPv2 Esta versión de IGMP presenta 4 avances significativos: 1. Las consultas o queries pueden ser enviadas como generales a la dirección de todos los host, como en el caso de IGMPvl o enviarlas específicamente a los host de cada grupo. 2. Los host pueden dejar el grupo de manera dinámica. 3. Hay una elección de las queries. 4. Hay un Query-interval que es un tiempo estipulado de respuesta. Cuando un host decide dejar el grupo al que se había unido previamente, envía un mensaje Leave Group a todos los routers a la dirección 224.0.0.2. Todos los routers en el segmento local toman nota de la petición, el router que está interactuando con el grupo específico responde preguntando si hay más host interesados en seguir recibiendo datos para ese grupo con un mensaje Membership report. Si no los hay deja de enviar tráfico multicást a ese segmento. Debido a que los routers con IGMPvl no entienden IGMPv2, si hay un router ejecutando IGMPvl todos los routers deben estar configurados con la versión 1. En sentido inverso IGMPv2 entiende la versión 1. En las interfaces PIM (Protocol Independent Multicást), se habilita IGMPv2; el comando para cambiar la versión es el siguiente: Switch(config-if)# ip igmp versión {1 | 2 | 3}
IGMPv2 añade un mecanismo de selección del router que cumple función de querie. En IGMPvl esta elección estaba a cargo del protocolo enrutamiento; en la versión 2 todos los routers inician como sifueran queries pasan al estado de no queries cuando escuchan que existe otroqueries en segmento con una IP menor.
la de y el
Por último, se añade un tiempo de respuesta Query-interval Este nuevo campo indica a los miembros en cuánto tiempo deben responder.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
© RA-MA
241
Operación de IGMPv2 Los miembros pueden unirse a un grupo multicást en cualquier momento generando un mensaje llamado Unsolicited report que se envía a la dirección IP multicást deseada. Los routers conectados en ese segmento simplemente observan si por lo menos hay un cliente interesado en ese grupo. Para ver el registro de los miembros en un router se utiliza el siguiente comando: Router# show ip igmp group IGMP Connected Group Membership Group Address Interface Uptime
Expires
Last Repórter
227.100.100.1 FastEthernetO/O 0d0h28m 00:02:19 192.168.0.105
En la salida anterior se observa que la dirección 227.100.100.1 ha estado activa en la interfaz FastEthemet 0/0 durante 28 minutos, el grupo expirará si no se recibe un membership report en dos minutos. El último dispositivo en enviar un membership report fue desde la IP 192.168.0.105. En IGMPvl los host abandonan los grupos de forma pasiva, simplemente dejan de responder a los membership queries. El inconveniente que surge es que el espacio de tiempo que hay entre que el host no necesita recibir más tráfico y que el router lo reconoce. Durante ese período la capacidad de la red está sobrecargada con tráfico multicást innecesario. En IGMPv2 los host pueden dejar el grupo de manera explícita utilizando un mensaje Leave. Si otro host envía un mensaje Leave el router asume que al menos un host todavía está presente, de lo contrario el router enviará un membership Query.
IGMPv3 IGMPv3 está basado en la versión anterior, aumenta la capacidad de añadir direcciones SSM. Soporta filtrado de origen multicást. Con este filtro un receptor puede hacer una petición de un grupo multicást y decidir de qué direcciones IP quiere que sea ese origen multicást. Un router que ejecute IGMPv3 puede coexistir con versiones anteriores pero para ello debe bajar a la versión que se requiera.
Determinación de la versión de IGMP La mejor forma de verificar los parámetros de IGMP es utilizando el comando show ip igmp interface. En el siguiente ejemplo es de IGMPv2:
www.FreeLibros.com
242
REDES CISCO. CCNP a Fondo
©RA-MA
router>show ip igmp interface fastethernetO/O FastEthernetO/O is up, line protocol is up Internet address is 192.168.0.1, subnet mask is 255.255.255.0 IGMP is enabled on interface Current IGMP versión is 2 CGMP is disabled on interface IGMP query interval is 60 seconds IGMP querier timeout is 120 seconds IGMP max query response time is 10 seconds Inbound IGMP access group is not set Multicást routing is enabled on interface Multicást TTL threshold is 0 Multicást designated router (DR) is 192.168.0.1 (this system) IGMP querying router is 192.168.0.1 (this system) Multicást groups joined: 224.0.1.40 227.100.100.1
CONFIGURACIÓN DE IGMP IGMP es utilizado para que exista un entendimiento entre los sistemas finales y el router. Sin IGMP los sistemas finales no serían capaces de solicitar tráfico multicást al router.
Grupos IGMP IGMP identifica grupos multicást que son requeridos por clientes. El comando show ip igmp interface muestra la información de IGMPv2 en una interfaz: router#show ip igmp interface eO EthernetO is up, line protocol is up Internet address is 172.16.24.1/29 IGMP is enabled on interface Current IGMP versión is 2 CGMP is disabled on interface IGMP query interval is 60 seconds IGMP querier timeout is 120 seconds IGMP max query response time is 10 seconds Last member query response interval is 1000 ms Inbound IGMP access group is not set IGMP activity: 3 joins, 0 leaves Multicást routing is enabled on interface Multicást TTL threshold is 0 Multicást designated router (DR) is 172.16.24.1 (this system) IGMP querying router is 172.16.24.1 (this system) Multicást groups joined: 224.0.1.40
El show ip igmp groups proporciona información específica acerca de los grupos, en este ejemplo tres grupos han estado activos por lo menos 30 minutos.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
router#show ip igmp groups IGMP Connected Group Membership Group Address Interface 239.255-255.250 EthernetO 235.80.68.83 EthernetO 224.0.1.40 EthernetO
Uptime Expires 00:33:05 00:02:59 00:33:08 00:02:44 00:33:14 never
243
Last Repórter 192.168.0.102 192.168.0.1 172.16.24.1
El comando ip igmp join-group se emplea cuando es necesario resolver problemas uniendo una IP a un grupo multicást en particular a través de una determinada interfaz. El comando ip igmp static-group agrega un puerto de manera estática a un grupo.
IGMP snooping IGMP snooping permite a un switch identificar los sistemas finales que están solicitando tráfico multicást y limitar el envío dentro de ese grupo solamente a los usuarios específicos. IGMP snooping no viene configurado por defecto pero puede activarse con el comando ip igmp snooping. Los comandos show multicást group and show multicást router para mostrar los grupos aprendidos y los puertos asociados. El siguiente ejemplo muestra la sintaxis de estos comandos: Switch#show ip igmp snooping vían 6 vían 6 IGMP snooping is globally enabled IGMP snooping TCN solicit query is globally disabled IGMP snooping global TCN flood query count is 2 IGMP snooping is enabled on this Vían IGMP snooping immediate-leave is disabled on this Vían IGMP snooping mrouter learn mode is pim-dvmrp on this Vían IGMP snooping source only learning age timer is 10 IGMP snooping is running in IGMP_ONLY mode on this Vían IGMP snooping report suppression is enábled on this Vían Switch# show multicást router igmp Port Vían 1/1
6
Total Number of Entries = 1 '*' - Configured '+' - RGMP-capable Switch> show multicást group igmp VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs/[Protocol Type] 6 01-00-5e-00-01-28 1/1 6 01-00-5e-01-02-03 1/1-2 Total Number of Entries =. 2
www.FreeLibros.com
244
©RA-M A
REDES CISCO. CCNP a Fondo
PROBLEMAS CON MULTICAST Multicást es un tipo de tecnología que trabaja bastante bien pero tiene el inconveniente de que cuando los terminales se quieren conectar a un determinado grupo y recibir tráfico de éste, surge el problema de que necesitan recubrir a los servidores que están emitiendo tráfico de dicho grupo. Esto es fácil de descubrir siempre y cuando ese tráfico sea local, pero si el servidor es remoto puede ser un problema. Existen varias maneras de publicar información de contacto del servidor. La forma más sencilla sería enviar un enlace en un e-mail. Existe también una aplicación llamada Session Directory (SD) que distribuye exactamente este tipo de información. Con SD se anuncian a sí mismos utilizando SDP (Session Description Protocol) vía 224.2.127.254. SD es utilizado por Cisco IP/TV para distribuir servidores multicást y descripciones de las sesiones.
ENRUTAMIENTO DE TRÁFICO MULTICAST El tráfico multicást tiene que ser enrutado con una lógica diferente a la empleada con el tráfico IP unicast. Los paquetes IP unicast están destinados a una simple interfaz incluso si existen múltiples caminos; mientras que los paquetes IP multicást pueden tener diferentes interfaces en su destino dependiendo siempre de la ubicación de los receptores. Existen varios protocolos de enrutamiento multicást disponibles tales como: • • • • •
MOSPF (Multicást OSPF) DVMRP (Distance Vector Multicást Routing Protocol) Center-Based Trees Core-Based Trees PIM (Protocol Independent Multicást)
Los routers Cisco no soportan Center ni Core-Based Trees y soportan sólo una versión limitada de DVMRP simplemente para redistribuir rutas. El único comando soportado en IOS para MOSPF es para deshabilitar los mensajes LSA del tipo MOSPF, los cuales no están soportados por Cisco.
Reverse Path Forwarding Los routers llevan a cabo un test RPF (Reverse Path Forwarding) en cada paquete multicást que reciben. Estas verificaciones sirven para confiraiar que el
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
245
tráfico siempre fluye desde el origen hacia los distintos destinos. El chequeo de RFP es satisfactorio siempre y cuando un paquete multicást que llegue a una interfaz tenga un registro del origen en la tabla de enrutamiento a través de esa misma interfaz. Al hacer el test RPF el router PIM mira la dirección origen del paquete unicast en su tabla de enrutamiento, de ahí el nombre de este mecanismo que funciona de manera contraria al sistema tradicional que siempre mira el destino. Si el próximo salto utilizado para alcanzar la dirección de origen de ese paquete multicást se alcanza a través de la interfaz en la que el paquete es recibido, entonces es enviado al siguiente router o a los receptores multicást correspondientes o se descartan según lo que corresponda. Éste es el proceso que sigue el mecanismo de RPF.
Árboles multicást Los routers en una red deben determinar el camino para enviar los paquetes multicást desde un origen hacia los recetores. Hay que pensar en la red como si fuera una estructura de árboles. En el origen del árbol está el origen de los paquetes multicást que envía los paquetes de una forma ciega sin saber dónde están los receptores. El origen no sabe de la lista de elementos finales que son miembros de un grupo multicást. Depende de los routers multicást y de los switch la manipulación de los paquetes hacia los destinos. Cada router a lo largo del camino se sitúa en una de las ramas del árbol. Los routers aprenden que ramas del árbol son hogar de receptores de grupos multicást. El tráfico es enviado solamente en los enlaces donde existen receptores interesados en recibir ese tipo tráfico. Las rutas multicást se escriben como S,G (source and group) cada origen y cada grupo. Si 192.168.0.1 está transmitiendo hacia el grupo 227.182.150.159, la ruta sería algo así como (192.168.0.1, 227.182.150.159) que corresponde a S,G. r
Arboles de distribución Los caminos usados en enrutamiento multicást son llamados árboles de distribución (distribution trees) y son dos tipos diferentes: •
Arboles compartidos: definen un conjunto común de enlaces en los cuales el tráfico multicást debe fluir. Se tienen que precalcular y son muy eficientes en lo que respecta a recursos del router. Utilizan Rendezvous Points (RP) y aparecen en la tabla de enrutamiento como (*, G).
www.FreeLibros.com
246
REDES CISCO. CCNP a Fondo
•
©RA-M A
Árboles con origen de ruta: son los que toman el camino directamente hacia el receptor, de manera que cada fuente tiene un conjunto de rutas separadas unidas a él.
Protocolos de enrutamiento multicást Dense y Sparse Los protocolos de enrutamiento multicást también están definidos como Dense y Sparse. Estos protocolos asumen que todos los host en todos los enlaces están interesados en recibir tráfico multicást. De tal manera que se enviará este tráfico hacia todos los caminos. Por otro lado los protocolos Dense and Sparse asumán que nadie quiere tráfico hasta que preguntan por él.
PIM El Protocol Independent Multicást es un protocolo de enrutamiento que puede ser utilizado para enviar tráfico multicást entre subredes o segmentos de red. PIM opera independientemente del protocolo IP que se está ejecutando. PIM puede operar en dos modos, pero Cisco ha añadido un tercer tipo: •
PIM dense mode.
•
PIM sparse mode.
•
PIM sparse-dense mode, propietario de Cisco.
En suma hay dos versiones de protocolo, PIM vl, PIMv2. Por defecto PIMv2 es utilizado en las interfaces de los routers.
PIM dense mode Los routers PIM pueden configurarse en modo dense si se asume que habrá receptores en cada una de las subredes, es decir, que el grupo multicást va a ser propagado densamente en la red. El árbol multicást es construido permitiendo un flujo de tráfico desde el origen hacia los router dense en la red. El árbol va creciendo desde el origen hacia los puntos finales. Durante un corto período de tiempo el tráfico que no es necesario es permitido, cada router va recibiendo tráfico para el grupo y cada router tiene que decidir si tiene receptores activos queriendo recibir esos datos. En caso de tenerlos dejará que el flujo continúe libremente.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
247
Si ningún host se ha registrado vía IGMP para ese grupo multicást con el router, éste envía un mensaje prune al origen, de esa manera esa rama del árbol es suprimida para que el tráfico innecesario no lo siga atravesando. El árbol resultante es llamado source tree o source distribution tree porque es único desde el origen hacia los receptores. La siguiente figura muestra la operación flood-then-prune, es decir, la verificación de la existencia o no de posibles receptores para poder suprimir el tráfico. El árbol es construido a partir de las peticiones join que se generan a través de todos los switch que son multicapa y que están en modo dense. A partir de ese momento todos los switch que no tienen host que quieran recibir tráfico envían un mensaje prune y son suprimidos del árbol.
Destino A Destino B ÁRBOL COMPLETO
Destino A Destino B ÁRBOL RECORTADO
Los routers PIM dense-mode son conscientes de los vecinos intercambiando mensajes helio, esta información acerca de los vecinos es inicialmente utilizada para construir el árbol y posteriormente para suprimir las ramas que no quieren participar.
www.FreeLibros.com
248
© RA-MA
REDES CISCO. CCNP a Fondo
En caso de que algún router haya sido suprimido del árbol generando un mensaje prune y si posteriormente existiera algún host que quisiera recibir ese tráfico multicást, el router podrá lanzar un mensaje grafted al siguiente router para avisarle de que quiere recibir tráfico.
PIM sparse mode PIM sparse mode tiene una manera diferente de operar. EL árbol multicást no se extiende a todos los routers a no ser que haya algún destino interesado en recibir dicho tráfico (algún destino que haya enviado un mensaje join IGMP). El árbol multicást es construido desde todos los miembros del grupo al final de la rama y extendiéndose hasta el punto central o raíz que el Rendezvous Point (RP). El árbol crece de manera inversa a lo visto anteriormente, es decir, de las ramas hacia la raíz. El modo sparse también tiene la idea de un árbol compartido pero la raíz o root no es el origen del tráfico multicást. La raíz de una topológica PIM sparse mode es un router que está localmente centralizado en la red y se le conoce como RP (Rendezvous Point). El árbol desde el RP hasta los miembros del grupo es realmente un subconjunto del árbol que podría ser suprimido desde el origen hacia los miembros del grupo. Posteriormente si un origen multicást es situado en cualquier parte de la red, se puede registrar con un RP y el árbol podrá ser completado. Debido a esto se dice que sparse mode es un árbol compartido. Cuando un receptor se une a un grupo multicást vía IGMP el router local envía este tráfico hacia el RP a través del árbol, cada router en el camino añade su rama al árbol compartido. El prune solamente se efectúa cuando un miembro es eliminado del grupo. Ese proceso se muestra en la siguiente figura. Este mecanismo es solamente un simple paso, únicamente los routers que tiene un grupo activo pueden unirse al árbol, mientras que los routers que nunca se han unido al grupo no son suprimidos porque nunca han formado parte del grupo.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
Destino A
249
Destino B
Una vez que los routers PIM sparse mode reciben tráfico desde un origen y aprenden la dirección IP fuente, conmutan a un árbol más pequeño (shortest-path tree) originado en el servidor multicást. La estructura resultante en esta topología de los árboles para dense mode y PIM sparse mode junto con el flujo de los datos multicást, son árboles idénticos.
www.FreeLibros.com
250
REDES CISCO. CCNP a Fondo
©RA-MA
Modo PIM Sparse-Dense PIM tiene el potencial de soportar ambos modos, sparse y dense, éstos pueden coexistir para diferentes grupos multicást incluso pueden hacerlo en la misma interfaz. Cisco ofrece este modo híbrido que es llamado Sparse-Dense, si existe un RP definido en la red se utilizará el modo sparse; de lo contrario se utilizará el modo dense.
PIM versión 1 Los routers utilizados para la primera versión de PIM pueden ser configurados manualmente utilizando el modo dinámico como auto-RP. Es posible limitar el rango de grupos multicást soportado por el RP utilizando una ACL. La palabra clave override causa que el RP sea preferido sobre cualquiera que sea dinámicamente aprendido. Debido a que el RP no se advierte a sí mismo, su dirección y funciones tienen que ser definidas en todos y cada uno de los routers en el dominio PIM, incluido el RP. Esto hace que los cambios futuros en la localización del RP sean difíciles de hacer debido que habrá que volver a definir todo el esquema en cada uno de los routers con los nuevos datos del RP.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
© RA-MA
251
Cisco proporciona un sistema propietario con una manera de informar a los routers sparse mode de manera automática sobre qué RP le corresponde a cada grupo. Esto se llama auto-RP. Se identifica un router central que esté bien conectado y de manera redundante con la función de mapping agent. Esta función hace que se aprendan todos los RP que son candidatos porque se anuncian a la dirección 224.0.1.39 conocida como Cisco RP Announce (por definición todos los routers sparse mode tienen que unirse automáticamente a esa dirección IP). El mapping agent envía información RP de grupos a todos los routers PIN en la dirección Cisco-RP-Discovery 224.0.1.40. Se envía además un TTL para limitar el ámbito de estos mapeos entre RP y grupos. De esta manera se podrá limitar la cantidad de router y host que pueden llegar a ser válidos. Cada router RP debe ser definido explícitamente, cuando un router sabe que puede ser un RP empezará a anunciarse hacia el mapping agent. Una interfaz que corresponde a la dirección del RP será advertida e identifica dónde el mapping agent puede ser encontrado, el ámbito del anuncio es limitado utilizando TTL. El router también puede ser advertido a sí mismo como un candidato RP para los grupos permitidos en una ACL con las sintaxis clave group-list. Con la palabra clave interval los anuncios son enviados en un tiempo específico.
PIM versión 2 Esta versión incluye bootstrap router, que es un mecanismo estándar para asociar RP con los grupos. La manera que lo ejecuta es similar a como lo hace auto-RP. Primero un bootstrap router BSR es identificado, este router aprende la cantidad de RP candidatos para determinados grupos y los advierte a los routers PIM. Solamente es necesario configurar el BSR y los candidatos a RP, todos los demás routers PIM aprenderán de manera automática; los RP a través del BSR.
Habilitación de PIN en modo Sparse-Dense Para diseñar una red en un entorno multicást, es necesario seguir tres pasos fundamentales en la configuración de los routers Cisco: 1. Habilitar el enrutamiento multicást. 2. Habilitar PIM en el modo apropiado en las interfaces seleccionadas. 3.
Configurar los RP.
www.FreeLibros.com
252
REDES CISCO. CCNP a Fondo
©RA-MA
El enrutamiento multicást no está habilitado por defecto en los routers Cisco, para habilitarlo se utiliza el siguiente comando: R o u t e r (co n f i g )#ip multicast-routing
Al configurar PIM en una interfaz automáticamente inicia IGMP. PIM se habilita a nivel de interfaz, por lo tanto lo primordial es determinar qué interfaces utilizará el router que deban soportar PIM. Para activarlo se debe hacer en cada una de estas interfaces, según la siguiente sintaxis: Ro u t e r (config-if)#ip pim {dense-mode
| sparse-dense-mode | sparse-
mode}
Para cambiar la versión de PIM se puede utilizar el siguiente comando dentro del modo de la interfaz correspondiente: Router(config-if )# ip pim versión {1 | 2}
El paso final es la configuración de los RP. Para identificar manualmente un RP se utiliza el siguiente comando: Router(config)# ip pim rp-address ip-address [access-list]
[override]
Alternativamente es posible utilizar auto-RP para descubrir los RP de manera dinámica. Esto involucra dos roles distintos, el de los RP y el de los routers que los advierten. Auto-RP identifica un router que está bien conectado y centralizado denominado mapping agent. Este router aprende cuáles son los candidatos RP que son anunciados a la dirección 224.0.1.39 conocida como CiscoRP-Announce. El mapping agent compila una lista de todos los candidatos asociados a los grupos y la envía a todos los routers cliente a través de la dirección 224.0.1.40. Para definir un router como mapping agent se utiliza el siguiente comando: Router(config)# ip pim send-rp-discovery scope ttl
Una interfaz es utilizada para anunciar una dirección IP desde la cual advertir y que típicamente es una interfaz loopback. Para definir un router como candidato RP se utiliza el siguiente comando: Router(config)# ip pim send-rp-announce type mod/num scope ttl
[group-list access-list] [interval seconds]
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
© RA-MA
253
Cuando se configura, el router se anuncia a sí mismo como un posible RP para el rango de grupo descrito en la ACL. El anuncio es enviado a la dirección 224.0.1.39. La interfaz es mapeada a una dirección IP específica para que los clientes puedan alcanzar al RP. Alternativamente PIM versión 2 soporta BSR (Bootstrap Router): R o u t e r (config)#.
ip pim bsr-candidate type mod/num hash-mask-length
[priority]
El siguiente paso es configurar los candidatos RP: R o u t e r (config)# ip pim rp-candidate type mod/num ttl [group-list
access-list]
Los mensajes bootstrap inundan por completo el dominio PIM. El ámbito de estos anuncios puede ser limitado utilizando routers barrera los cuales no dejarán pasar los mensajes más allá de lo permitido. R o u t e r (config)# ip pim border
VERIFICACIÓN DE ENRUTAMIENTO MULTICAST Verificación de rutas El comando utilizado para verificar la tabla de enrutamiento multicást es el siguiente: router#show ip mroute [group-address] [summary]
[count][active kpbs]
La opción summary muestra cada ruta en una lista, la opción count muestra estadísticas y la opción active filtra la salida para que solamente muestre fuentes activas. El ejemplo que sigue muestra este comando para verificar una ruta en la tabla: Router#show ip mroute 227.100.100.10Ó IP Multicást Routing Table Flags: D - Dense, S - Sparse, C - Connected, L - Local, P - Pruned R - RP-bit set, F - Register flag, T - SPT-bit set, J - Join SPT Timers: Uptime/Expires Interface state: Interface, Next-Hop, State/Mode (*, 227.100.100.100), 00:01:50/00:02:59, RP 172.16.3.1, flags: SPF
www.FreeLibros.com
254
REDES CISCO. CCNP a Fondo
©RA-M A
Incoming interface: Tunnel35, RPF nbr 172.16.1.20, Mroute Outgoing interface list: Nuil (170.100.1.1/32, 227.100.100.100), 00:01:50/00:01:09, flags: PFT Incoming interface: EthernetO, RPF nbr 0.0.0.0, Registering Outgoing interface list: Nuil
Las rutas que no son específicas a un origen son del tipo (*,G), las rutas que van hacia la fuente están listadas como (S,G).
Verificación de vecinos Si existe algún tipo de problema en el momento de construir la tabla de enrutamiento multicást será un buen punto de partida para resolver el problema verificar los vecinos PIM con el comando show ip pim interface. Router#show ip pim interface Address Interface Version/Mode Nbr Query DR Count Intvl 192.168.0.1 EthernetO v2/S 1 30 192.168.0.10
Este comando muestra la dirección IP asignada tipo unicast, el nombre de la interfaz, la versión de PIM que se está ejecutando, el modo específico, el número de vecino, frecuencia de las consultas, etc. El comando show ip pim neighbor muestra la lista de vecinos: Router#show ip pim neighbor PIM Neighbor Table Neighbor Address Interface Uptime Expires Ver Mode 192.168.0.10 EthernetO 00:01:37 00:01:05 v2 Sparse
Verificación de los Rendezvous Points Incluso cuando el enrutamiento PIM está funcionando, los RP deben ser configurados correctamente para poder encontrar tráfico desde las fuentes. El comando show ip pim rp permite verificar los RP configurados y ver las asociaciones que tienen configuradas. Sin más parámetros este comando mostrará los RP para los grupos activos, si se modifica con el nombre del grupo sólo mostrará los grupos seleccionados. Router(config)#show ip pim rp [group-name | group-address | mapping] Router#show ip pim rp Group: 227.1.1.1, RP: 192.168.5.1, uptime 00:00:20, expires never Router#show ip pim rp mapping PIM Group-to-RP Mappings
www.FreeLibros.com
©RA-MA
CAPÍTULO 7. MULTICAST
255
Group(s): 224.0.0.0/4, Static 192.168.5.1
rp:
Verificación del enrutamiento multicást El comando show ip rpf permite verificar la información de los envíos de reverse-path (RPF). Router#show ip rpf 172.16.0.1 RPF information for ? (172.16.0.1) RPF interface: SerialO RPF neighbor: ? (172.16.5.2) RPF route/mask: 172.16.0.0/24 RPF type: unicast (ospf 1) RPF recursion count: 0 Doing distance-preferred lookups across tables
www.FreeLibros.com
í
www.FreeLibros.com
Capítulo 8
IPv6 INTRODUCCIÓN A IPv6 IPv6 ha estado en desarrollo desde mediados de los 90 y durante varios años. Se había anunciado al principio como el protocolo que podría expandir el direccionamiento IP, llevar IP mobile a la madurez y finalmente ser capaz de incorporar seguridad a nivel de capa 3. Esas afirmaciones son correctas pero hay que tener en cuenta que a nivel de capa 3 esas capacidades de IPv6 han sido aportadas a IPv4 en los pasados años. Actualmente las direcciones IPv4 son escasas y la mayor razón en Internet para evolucionar a IPv6 es la necesidad de un mayor direccionamiento. Una de las razones de que el direccionamiento IPv4 sea demasiado escaso es que no ha sido asignado eficientemente. Las direcciones de clase A son excesivamente grandes para la mayoría de las organizaciones ya que soportan unas 16.777.214 direcciones de host, mientras que las direcciones de clase C soportan sólo 254 direcciones de host. Como resultado de esto muchas organizaciones hacen peticiones de clase B que soportan 65.534 direcciones de host, pero hacen sólo un uso parcial de dicho rango. Inicialmente un dispositivo IP requería una dirección pública. Para prevenir el agotamiento de las direcciones IPv4 la IETF (Internet Engineering Task Forcé) adoptó el uso de CIDR (Classless Interdomain Routing), VLSM (Variable-Length Subnet Mask) y NAT (Network Address Translation). CIDR y VLSM trabajan juntas a la hora de mejorar el direccionamiento, mientras que NAT oculta clientes y minimiza la necesidad de direcciones públicas. Otra de las razones de escasez de
www.FreeLibros.com
258
REDES CISCO. CCNP a Fondo
©RA-MA
direcciones públicas es que no han sido asignadas equitativamente a lo largo del mundo. Una gran cantidad de direccionamiento es ocupada por EE.UU. mientras que Europa es el siguiente en la lista con una larga porción de direcciones. Asia, en cambio tiene un número insuficiente de direcciones en comparación con su población, aunque la percepción desde EE.UU. es que todavía existe espacio libre en el direccionamiento IPv4 en Asia, se reconoce la necesidad de implementar IPv6 y así obtener más direccionamiento. Otra razón para considerar la necesidad de un mayor direccionamiento es el crecimiento exponencial de la población mundial con el persistente crecimiento de consumibles electrónicos que requieren el uso de direcciones IP. Esta necesidad de direccionamiento IP podría ser atenuada intentando utilizar NAT y asignaciones temporales a través de DHCP, pero teniendo sistemas intermedios manipulando los paquetes complican el diseño y la resolución de problemas. El concepto del diseño de Internet con innumerables sistemas intermedios no hace que NAT trabaje adecuadamente, sin embargo es un mal necesario. La longitud de una dirección IPv6 es lo primero que sale a relucir, son 128 bits lo que hace 2128 direcciones IPv6 disponibles. Varias de estas direcciones dan funciones especiales y están reservadas pero aun así quedarían disponibles aproximadamente 5x1028 direcciones IP por cada habitante del planeta. Lo que permitiría que el direccionamiento pueda crecer sin preocupaciones en contraposición al direccionamiento IPv4 cuya cantidad está limitada a 232. En IPvó se utiliza una cabecera más simplificada que IPv4, haciendo que el procesamiento sea más eficiente, permitiendo un mecanismo más flexible y a su vez extensible a otras características. Una de esas características es la movilidad, movile IP es un estándar de la IETF que permite a los usuarios con dispositivos wireless estar conectados de manera transparente y moverse a cualquier sitio sin restricciones. La seguridad es otro tema importante, IPsec está presente en cada uno de los dispositivos IPvó. Debido a que la migración de IPv4 a IPvó no puede ocurrir tan rápidamente como sería deseable, hay que buscar alternativas para administrar esta transición.
www.FreeLibros.com
CAPÍTULO 8. IPvó
© RA-MA
259
CABECERA DE UN PAQUETE IPvó Los campos en una cabecera IPvó son los siguientes: •
Versión: es un campo de 4 bits que identifica la versión, en este caso a 6.
•
Traffic Class: similar al campo 2 de IPv4, se utiliza para calidad de
servicio. •
Flow Label: campo de 20 bits que permite que el tráfico sea etiquetado
para que se pueda manejar de manera más rápida flujo por flujo. •
Payload Length: campo de 16 bits con la longitud del campo de datos.
•
Next Header: similar al campo de protocolo en la cabecera IPv4. Es un
campo de 8 bits que indica cómo los campos después de la cabecera básica de IPvó deberían ser interpretados. Podría indicar, por ejemplo, que el siguiente campo es TCP o UDP ambos relativos a la capa de transporte o podría indicar que existe una extensión de la cabecera. •
Hop Limit: similar al campo TTL en IPv4, es de 8 bits y se incrementa por
cada router intermediario para prevenir bucles, de tal manera que cuando la cuenta llegue a 0 será descartado. Cuando esto ocurre se envía un mensaje de notificación al origen. •
Source Address y Destination Address: estos campos de 128 bits son las
direcciones IPv6 de origen y de destino de los dispositivos que se están comunicando. •
Extensión Headers: permite agregar más campos opcionales.
o o o
Hop-by-Hop options: utilizados para routers intermediarios, Destination options: opciones para el nodo final, Routing: utilizado para especificar a los routers intermedios qué
ruta tienen que incluir. El efecto final es forzar el enrutamiento por un camino predefinido. •
Fragment: utilizado para dividir los paquetes que son demasiado largos
para la MTU. Esta cabecera reemplaza los campos de fragmentación de la cabecera IPv4. •
Authentication y Encapsulating Security Payload (ESP): se utiliza por
IPsec para proporcionar autenticación, integridad y confidencialidad de los paquetes. AH y ESP son idénticos en IPv4 y en IPv6. La cabecera IPv6 es optimizada para procesadores de 32 a 64 bits y las extensiones de cabecera permiten la expansión sin tener que forzar a que los campos que no se usan se estén transmitiendo constantemente.
www.FreeLibros.com
260
©RA-MA
REDES CISCO. CCNP a Fondo
Las principales diferencias entre las cabeceras de las dos versiones es la longitud de los campos de origen y destino. También hay otros campos que son aparentes como checksum, fragmentación y la etiqueta de flujo. 0 bits Versión
8 bits
16 bits
Traffic Class
Payload Length
24 bits
32 bits 64 bits
Flow Label
Next Header
Hop Limit
Source Address
128 bits 192 bits 256 bits
Destination Address 320 bits Extensión Header
Checksum En IPv4 cada paquete incluye un checksum en la cabecera. Todos los routers intermediarios tienen que reducir el TTL, esto conlleva a tener que recalcular el checksum cada vez que manipulan un paquete, como resultado el consumo de procesador se incrementa. Teniendo en cuenta que los protocolos de capas superiores también realizan un checksum, la cabecera de IPv6 no incluye un campo para este fin concibiendo un enrutamiento más eficiente.
Fragmentación Principalmente hay dos diferencias en la manera en que IPv6 maneja la fragmentación: •
La información de la fragmentación se coloca en una extensión de la cabecera.
•
Los routers intermediarios no fragmentan paquetes, en caso de que la fragmentación sea necesaria la realizará el nodo de origen, reduciendo así la carga de procesos de la red.
Un proceso de descubrimiento determina la MTU óptima para usar en una determinada sesión. El dispositivo de origen IPv6 intenta enviar un paquete, si el dispositivo recibe un mensaje de ICMP de tipo packet too big con la MTU
www.FreeLibros.com
CAPÍTULO 8. IPvó
©RA-MA
261
apropiada, retransmite el paquete con la nueva información de la MTU que se ha recibido. Este proceso es constante de origen a destino. Los dispositivos llevan a cabo este proceso de descubrimiento cada 5 minutos con el fin de detectar algún cambio. Si las capas superiores no aceptan un cambio en las notificaciones de la MTU desde la capa IPvó, se inicia un proceso de fragmentación de los paquetes que sean demasiado grandes. Aunque las capas superiores siempre deberían evitar enviar mensajes solicitando fragmentación.
Etiqueta de flujo Este campo etiqueta el tráfico según va entrando a la red de manera que el tráfico similar puede ser etiquetado y rápidamente conmutado a través del mismo camino sin que cada router intermediario tenga que llevar a cabo un examen para determinar qué tipo de tráfico es. El etiquetado de flujo también puede estar asociado con parámetros de calidad de servicio (QoS).
Formato del direccionamiento IPvó La primera diferencia respecto a IPv4 es que las direcciones IPvó son de 128 bits y están representadas en un formato hexadecimal en lugar de la notación decimal tradicional y separada cada parte por dos puntos en lugar de uno. Teniendo de esta forma 8 partes de 16 bits cada una. Como cada dígito hexadecimal se asocia con 4 bits, cada campo de 16 bits será de 4 dígitos hexadecimales. Un ejemplo de dirección IPv6 puede ser el siguiente: 2001:0000:0001:0002:0000:0000:0000:ABCD Este formato se puede reducir hasta de optimizar la lectura para su comprensión. Hay dos formas para conseguir simplificar tanta cantidad de números: •
Todos los 0 a la izquierda de cada uno de los campos pueden ser omitidos.
2001:0:1:2:0:0:0:ABCD •
Se pueden omitir los campos consecutivos de 0 con independientemente de la cantidad de campos que se abrevie. Este mecanismo sólo puede hacerse una vez debido a que luego no se podrían reestructurar la cantidad de campos exactamente como eran.
2001:0:1:2::ABCD
www.FreeLibros.com
262
©RA-M A
REDES CISCO. CCNP a Fondo
TIPO DE DIRECCIONAMIENTO IPvó En IPvó se soportan estas tres clases de direcciones: •
Unicast: para enviar a una sola interfaz. Actualmente existen dos tipos de direcciones unicast definidas: o Global-aggregatable unicast. o
•
Link-local unicast.
Multicást: para enviar a todas las interfaces del mismo grupo. Una
dirección IPvó del mismo grupo multicást identifica un conjunto de interfaces en diferentes dispositivos. •
Anycast: para enviar tráfico a la interfaz más cercana dentro de un grupo.
Una dirección IPvó de anycast también identifica un conjunto de interfaces en diferentes dispositivos, pero la diferencia de un paquete enviado a una dirección anycast es que dicho paquete está destinado al dispositivo más cercano. Esto será determinado por el protocolo de enrutamiento que se esté utilizando. Todos los nodos con la misma dirección de anycast deberán proporcionar el mismo servicio. Una interfaz puede tener varias direcciones y de diferentes tipos. Los routers tienen que reconocer estas direcciones incluyendo las de anycast y multicást. Las direcciones de multicást están en el rango FF00::/8, todas las otras direcciones IPvó están en el espacio de direccionamiento unicast. Las direcciones anycast también son proporcionadas dentro del mismo espacio. Las direcciones de broadcast no existen en IPvó. En todo caso un direccionamiento especial de multicást podría ser considerado como broadcast, donde todos los dispositivos están interesados en recibir ese tráfico.
Identificadores de las interfaces Los ID de una dirección IPvó son utilizados para identificar de manera única una interfaz, este segmento de la dirección es llamado porción de host. Estos ID deben ser únicos en los enlaces, tienen una longitud de 64 bits y pueden ser creados dinámicamente basándose en la dirección de la capa de enlace. El tipo de capa de enlace determinará cómo son dinámicamente creadas las interfaces de IPv6 y cómo funcionará la resolución del direccionamiento. Para Ethernet la interfaz ID está basada en la dirección MAC de la interfaz en un formato llamado EUI-64 (Extended Universal Identifier 64-bit). Este formato
www.FreeLibros.com
CAPÍTULO 8. IPv6
© RA-MA
263
deriva de la direcciónMAC de 48bits conelagregadode los-números hexadecimales fffe entre el OUI y el código de vendedor.El séptimo bitdel primer byte del ID de la interfaz resultante corresponde al bit universal local (U/L) asume el valor binario 1. Este bit indica si la interfaz ID es localmente única en ese enlace o universalmente única. El octavo bit en el primer byte de la interfaz ID corresponde al individual/group (I/G) que se utiliza para gestionar grupos multicást, en este caso no varía. OUI 00
0 0
00
1 0
COD.FAB.
11
0
2F
0
|
0
0 0
0
BB
46
0 |
{
0
IA
► I/G * U/L (asume el valor 1)
0
1
0
IPvó Interfaz ID Ethernet transmite los bits de bajo orden de cada byte primero (a la inversa) el bit U/L es el bit séptimo y el I/G es el octavo de la dirección, por lo tanto el primer bit de la dirección MAC transmitido será el bit I/G, usado por direcciones broadcast y multicást y el segundo bit transmitido será el U/L.
Direcciones unicast IPvó Existen dos tipos dé direcciones IPvó unicast: •
Global aggregatable.
•
Link-local.
www.FreeLibros.com
264
©RA-M A
REDES CISCO. CCNP a Fondo
Dirección IPvó global La escalabilidad de la red es sumamente importante, es directamente proporcional a la capacidad de sumarización que tiene la red. Tal como ocurre con IPv4 los bits más a la izquierda indican el prefijo de enrutamiento y pueden ser sumarizados. Teóricamente existen 264 prefijos IPvó. Si cada prefijo fuera almacenado en la memoria del router utilizando 256 bits (32 bytes), entonces la tabla de enrutamiento consumiría 5.9xl020 bytes, lo cual es demasiado. Esto se reduce a la importancia que tiene la sumarización al momento de construir la tabla de enrutamiento. La siguiente figura muestra un esquema de una dirección Global IPv6, definida por la RFC 3587. Global Prefix
Interface ID
Subnet ID /48
/64
Los primeros 48 bits de la dirección Global IPv6 son utilizados para enrutamiento en Internet en el ISP, los siguientes 16 bits forman el sub-net ID permitiendo así a una empresa subdividir su red. Los restantes 64 bits son la interfaz ID en formato EUI-64. IANA está asignando direcciones que comienzan con el valor binario 001 o en hexadecimal 2000::/3. Este direccionamiento está designado para direcciones globales IPv6 unicast. Éste es una octava parte del espacio total del direccionamiento IPv6. IANA utiliza el rango 2001::/16 para registros, que normalmente tienen un rengo /23 y asigna un rango /32 a los ISP. Por ejemplo un ISP podría disponer a una organización de la siguiente dirección 2001:0:lAB::/48. En una subred 5 el prefijo sería 2001:0:lAB:5::/64. En un dispositivo con una MAC 00-0F-66-81-19-A3, el formato EUI-64 de la interfaz ID será 020F:66FF:FE81:19A3. Finalmente la dirección IPv6 completa será 2001:0:1AB:5:20F :66FF :FE81:19A3.
Dirección IPv6 local Las direcciones unicast de IPvó locales permiten a dispositivos que estén en la misma red local ser capaces de comunicarse sin necesidad de asignación de un direccionamiento global. Las direcciones locales son utilizadas para el enrutamiento y por los procesos de descubrimiento entre protocolos. Son autoconfiguradas utilizando el prefijo FE80::/10 más el formato EUI-64 ID, según muestra la siguiente figura:
www.FreeLibros.com
CAPÍTULO 8. IPvó
© RA-MA
10 bits
54 bits
64 bits
1111 1110 10
0
Interface ID
265
FE80::/10
Por ejemplo una MAC 00-0F-66-81-19-A3 tendrá una dirección IPv6 Local FF80: :020F:66FF :FE81:19A3. La RFC 4291 especifica otro tipo de dirección unicast. Las direcciones IPv4 son mapeadas a IPv6 concatenando la dirección 0::FFFF:0:0/96 con una determinada dirección IPv4. Por ejemplo la dirección 10.0.0.1 se convierte en 0::FFFF:AOO:1, debido a que 10.0.0.1 es en hexadecimal 0A00:0001. Estas direcciones pueden ser utilizadas por los host dual-stack, que son aquellos que utilizan ambos tipos de direccionamiento.
Direcciones IPv6 anycast Una dirección de este tipo es una dirección global que está asignada a dos o más host. Los dispositivos enrutan hacia la dirección más cercana utilizando la métrica proporcionada por el protocolo de enrutamiento. La siguiente figura muestra dos rutas hacia un ISP, ambos routers llevan configuradas la misma dirección IPv6 anycast. Los routers internos simplemente enrutan al cliente hacia el router más cercano al ISP, en este caso el router A. La redundancia hace que el router B se active y que los routers internos converjan hacia él en el caso de que el router A fallase.
ISP
Las direcciones anycast son creadas asignando la misma dirección a más de un dispositivo. No existe un espacio de direccionamiento designado para anycast. Los dispositivos que emplearán este tipo de dirección deben ser explícitamente configurados y tiene que saber que la dirección es de anycast.
www.FreeLibros.com
266
REDES CISCO. CCNP a Fondo
©RA-MA
Todos los routers tienen que soportar la dirección anycast subnet-router para las subredes en las cuales tienen interfaces. Estas direcciones son las direcciones de unicast con la porción de la interfaz ID puestas en 0. Los paquetes enviados a la dirección de anycast subnet-router serán entregados a un router específico en la subred.
Direcciones IPvó multicást Una dirección de multicást identifica un grupo de interfaces. El tráfico enviado al grupo llega a todas estas interfaces. Estas pueden a su vez pertenecer a varios grupos multicást simultáneamente. Cada interfaz puede reconocer varias direcciones de multicást incluyendo la dirección all-nodes, la dirección solicitednodes o cualquier otra dirección a la que el nodo pertenezca. Los routers deben ser capaces de reconocer la dirección all-roaters. El formato de una dirección IPvó de multicást se ilustra en la siguiente figura: 8 bits
4 bits
4 bits
112 bits
1111 1111
Flag
Scope
Group ID
FF00::/8
Como se muestra en la figura la dirección IPvó multicást comienza con el prefijo FF00::/8 los siguientes 4 bits son identificadores que se describen a continuación: 1. El primer identificador o bandera es indefinida y siempre tiene el valor de cero. 2.
Conocido como el bit “R ” tiene el valor en binario de 1, cuando el RP esté contenido en el paquete multicást.
3.
Conocido como el bit “P ” lleva el valor binario 1 en el caso de que la dirección multicást esté basada en un prefijo unicast.
4. Es el llamado bit “T ”, si la dirección está asignada permanentemente lleva el valor 0, si por el contrario el valor es 1 la dirección es temporal. Los 4 bits después de las banderas indican el ámbito de la dirección limitando cuán lejos esta dirección multicást es capaz de llegar. En IPv4 se utiliza el TTL para poder efectuar esta tarea pero no es un mecanismo exacto debido a que la distancia permitida por el TTL puede ser demasiado larga en una dirección y
www.FreeLibros.com
CAPÍTULO 8. IPv6
© RA-MA
267
demasiado corta en otra. El ámbito en IPvó es lo suficientemente flexible como para limitar multicást en un sitio o una empresa determinada. Los ámbitos están definidos en hexadecimal y son los siguientes: •
Valor
1: ámbito interfaz-local, usado para las interfaces loopback.
•
Valor
2: ámbito link-local, similar al ámbito unicast link-local.
•
Valor 4: ámbito admin-local; debe ser administrativamente configurado.
•
Valor
•
Valor pertenecientes a múltiples sitios u organizaciones.
•
Valor E: es de ámbito global.
5: ámbito site-local; sólo abarca un sitio. 8: ámbito
El ID del grupo multicást son los 112 bits de menor ámbito de la dirección. Todos los dispositivos deberían reconocer y responder a estas direcciones multicást de todos los nodos: •
FFO1:: 1 correspondiente a la interfaz local.
•
FF02::1 correspondiente al enlace local.
Las direcciones de multicást solicited-nodes son utilizadas en los mensajes de solicitud de vecinos y son enviadas en un enlace local por un dispositivo que quiere determinar la dirección de la capa de enlace de otro dispositivo en el mismo enlace local. Este mecanismo se asemeja a ARP en IPv4. Una dirección de multicást solicited-nodes comienza con el prefijo FF02::1:FF00:/104 y en los últimos 24 bits insertando las direcciones unicast o anycast del dispositivo. Los routers deben poder responder a las direcciones multicást all-router: •
FF01 ::2 es la dirección de interfaz local.
•
FF02::2 es la dirección de enlace local.
•
FF05::2 es la dirección del sitio local.
Los routers también se unen a otros grupos para soportar protocolos de enrutamiento como por ejemplo, OSPF versión 3 (OSPFv3) utiliza FF02::5 y FF02::6, y RIPng (Routing Information Protocol new generation) utiliza FF02::9.
www.FreeLibros.com
or
268
REDES CISCO. CCNP a Fondo
©RA-MA
Asignamiento de direcciones IPvó Las direcciones Ipv6 pueden ser asignadas de manera manual o de forma dinámica usando DHCPvó o autoconfiguración stateless. •
Manual: el administrador es el encargado de asignarlas y configurarlas manualmente, supone más trabajo y demanda llevar un registro de las direcciones que han sido asignadas y a qué host.
•
Autoconfiguración stateless: cada router anuncia información de red incluyendo el prefijo asignado a cada una de sus interfaces. Con la información contenida en este anuncio los sistemas finales crean una dirección única al concatenar el prefijo con el ID en formato EUI-64 de la interfaz. El nombre steteless viene de que ningún dispositivo lleva un registro de las IP que se van asignando. Los sistemas finales piden información de red al router usando un mensaje específico denominado Router Solicitation y los routers responden con un mensaje Router Advertisement. Existe un proceso denominado DAD (Duplícate Address Detection), que se encarga de verificar que las IPs no estén en uso, no sean duplicadas.
•
DHCPv6: se puede definir este método como autoconfiguración stateful y el funcionamiento es similar a DHCP tradicional, asignando direccionamiento a los host de un rango preconfigurado. Tiene una ventaja añadida y es que rompe la relación entre MAC e IP (capa 2 y 3) creada si se utiliza la autoconfiguración stateless, aumentando la seguridad.
CONFIGURACIÓN DE IPvó IPv6 utiliza versiones actualizadas de los mismos protocolos de enrutamiento disponibles para IPv4. La mayorías de los protocolos trabajan de la misma manera que con IPv4 pero con algunas pequeñas diferencias. El enrutamiento en IPv6 puede llevarse a cabo mediante los siguientes protocolos: • • • • • •
Rutas estáticas RIPng EIGRP para IPv6 IS-IS para IPv6 MP-BGP4 (Multiprotocol BGP) OSPFv3
www.FreeLibros.com
CAPÍTULO 8. IPvó
©RA-MA
269
Rutas estáticas Tal como ocurre en IPv4 las rutas estáticas en IPv6 se configuran fácilmente. Las rutas por defecto se representan de la siguiente manera El comando para configurar una ruta estática es el siguiente: Router(config)# ipv6 route ipv6-prefix/prefix-length {ipv6-address interface-type interface-number [ipv6-address]} [administrativedistance] [administrativemulticast-distance | unicast | multicást] [next-hop-address] [tag tag]
|
La RFC 2461, Neighbor Discovery for IPvó, especifica que un router debe ser capaz de identificar la dirección de enlace local de los routers vecinos, pero para rutas estáticas la dirección del próximo salto debe ser configurada como la dirección link-local del router vecino.
RIPng RIPng es la nueva generación de RIP para IPv6 y está basado en RIPv2. Tal como RIPv2, este protocolo es un protocolo de enrutamiento vector-distancia que utiliza la cuenta de saltos como métrica, con un máximo de 15, y sus actualizaciones son multicást cada 30 segundos. RIPng utiliza la dirección de multicást FF02::9, ésta es la dirección del grupo multicást de todos los routers que están ejecutando RIPng. RIP envía actualizaciones utilizando UDP puerto 521 dentro de los paquetes IPv6, éstas incluyen el prefijo IPv6 y la dirección del próximo salto de IPv6.
EIGRP para IPvó Este protocolo está basado en EIGRP para IPv4, tal como pasa con su antecesor es un protocolo vector-distancia avanzado propietario de Cisco que utiliza una métrica compleja con actualizaciones confiables y el algoritmo DUAL para converger rápidamente. EIGRP para IPv6 se puede configurar a partir de la versión de IOS 12.4(6)T y posteriores.
IS-IS para IPv6 IS-IS es un protocolo que se ejecuta directamente en la capa de enlace de datos, por lo tanto es independiente del protocolo de capa 3 que se esté utilizando. Para el manejo de IPv6 con IS-IS solamente se requiere la creación de un nuevo identificador de protocolo y dos nuevos tipos de TLV, IPvó reachability y IPvó
www.FreeLibros.com
270
REDES CISCO. CCNP a Fondo
©RA-MA
interface address. IS-IS permite una actualización de enrutamiento que contenga rutas para IPv4 e IPvó a la vez dando como resultando una utilización con mayor eficiencia en los enlaces que otros protocolos como OSPF.
MP-BGP4 para IPvó MP-BGP4 incluye nuevas extensiones para IPvó que permiten transportar información acerca de otros protocolos tales como IPvó o MPLS y lleva un nuevo identificador definido para IPvó. El atributo de next-hop puede incluir una dirección global unicast de IPvó y una dirección link-local. La dirección de red y el atributo NLRI son expresados como prefijos y direcciones IPvó.
OSPFv3 OSPFv3 guarda similitudes y diferencias con su antecesor de la versión 2, a continuación se describen dichas características.
Similitudes entre OSPFv2 y OSPFv3 OSPFv3 comparte muchas características de OSPFv2, sigue siendo un protocolo de estado de enlace que utiliza el algoritmo de Dijkstra SPF para seleccionar los mejores caminos a través de la red. Las rutas en OSPFv3 son organizadas en áreas con todas las rutas conectadas al área 0 o área de backbone. Los routers OSPFv3 se comunican con sus vecinos intercambiando helio, LSA y también DBD y ejecutan el algoritmo SPF contra la base de datos del estado de enlace acumulada (LSDB). OSPFv3 utiliza el mismo tipo de paquetes que la versión 2, forma las relaciones de vecinos con el mismo mecanismo y borra las LSA de forma idéntica. Ambas versiones soportan redes NBMA, non-broadcast y punto a punto. Las IOS de Cisco siguen soportando las tres versiones propietarias de la marca (point-topoint, broadcast y point-to-multipoint nonbroadcast). Los diferentes tipos de áreas y sus capacidades también son soportados en esta nueva versión de OSPF.
Diferencias entre OSPFv2 y OSPFv3 Estos protocolos tienen diferentes características, la más relevante es que OSPFv3 soporta prefijos de 128 bits. OSPFv3 se ejecuta directamente dentro de los paquetes IPvó y puede coexistir con OSPFv2.
www.FreeLibros.com
CAPÍTULO 8. IPv6
©RA-MA
271
Los dos protocolos nunca intercambiaran información mutuamente. Se puede definir este comportamiento como ships in the night que es una terminología empleada bastante común que describe un proceso que no influye en otro. Las direcciones de multicást de OSPFv2 son de 224.0.0.5 y 224.0.0.6, OSPFv6 utiliza las direcciones de multicást FF02::5 para todos los routers OSPF y FF02::6 para todos los DR y BDR. Los routers que ejecutan OSPFv3 pueden soportar varias direcciones por interfaz, incluyendo la dirección link-local, la dirección global, la dirección de multicást, las dos direcciones de OSPFv3, etc. OSPFv2 construye las relaciones entre redes con términos tales como “red” o “subred” lo que implica una dirección IP específica en una interfaz. En cambio OSPFv3 solamente se ocupa de la conexión a través del enlace hacia su vecino por lo tanto, en la terminología en OSPFv3 se habla de “link”. La dirección link-local es el origen de las actualizaciones y no de la dirección local de unicast. La cabecera del paquete de OSPFv3 es de 16 bytes mientras que la de OSPFv2 es de 24 bytes. La autenticación no se incluye dentro de la versión 3. Los dos campos de autenticación y tipo de autenticación que aparecen en la cabecera de OSPFv2 no están presentes en la versión 3. OSPFv3 confía en las capacidades de IPvó para proporcionar autenticación y encriptación utilizando extensiones de cabecera. Versión
Type
Packet Length
Router ID
Area ID Checksum
Instance ID
0
OSPFv2 puede ejecutar varios procesos pero sólo uno pior enlace. El nuevo campo ID en la cabecera de OSPFv3 es usado para diferenciar procesos de OSPF, dos instancias deben tener el mismo ID para que sean capaces de comunicarse una con la otra. Esto permite a múltiples dominios de enrutamiento comunicarse a través del mismo enlace. Cada instancia mantiene diferentes tablas de vecinos, bases de datos, estados de enlace y árboles SPF. Sorprendentemente y a pesar de todos estos progresos, en OSPFv3 el router ID y el área ID aún se expresan en números de 32 bits y son escritos en formato decimal como las direcciones IPv4. El
www.FreeLibros.com
272
REDES CISCO. CCNP a Fondo
©RA-MA
DR y BDR en OSPFv3 son identificados por el router ID y no por la dirección IP y son elegidos como en OSPFv2.
Tipos de LSA OSPFv3 y OSPFv2 utilizan un conjunto de LSA similares pero no idénticas. La siguiente tabla muestra las LSA de OSPFv3 incluido el código de función el cual indica la función de cada LSA. Código
Nombre
Descripción
1
Router-LSA
Anuncia el router ID desde un área hacia un router.
2
Network-LSA
Anuncia el router ID desde un área hacia el DR.
3
Inter-AreaPrefix-LSA
Anuncia prefijos desde un área a otra.
4
Inter-AreaRouter-LSA
Anuncia la ubicación de un ASBR.
5
AS-ExtemalLSA
Anuncia redistribuciones dentro de OSPF.
6
GroupMembership LSA
Anuncia información multicást.
7
Type-7-LSA
Anuncia rutas externas NSSA.
8
Link-LSA
Anuncia la dirección de un enlace directamente conectado a un vecino.
9
Intra-AreaPrefix-LSA
Anuncia prefijos asociados a un router.
Las LSA de tipo 1 y 2 no llevan ningún tipo de prefijo o ruta sin embargo contienen ID de 32 bits. Las de tipo 3 y 4 han sido renombradas pero todavía
www.FreeLibros.com
© RA-MA
CAPÍTULO 8. IPv6
273
realizan las mismas funciones que en OSPFv2. Las de tipo 8 y 9 son ahora nuevas LSA en OSPFv3. Los prefijos de direccionamiento son almacenados como prefix, options, y prefix length. Son expresadas como prefijo y longitud de prefijo, que es un formato más flexible que en OSPFv2 con prefijo y máscara. En OSPFv3 los tipos 3 y 9 de LSA llevan toda la información del prefijo del dispositivo IPvó. En OSPFv4 el prefijo IPv4 es transportada en las LSA de tipo i y 2. Las LSA son originadas desde la dirección link-local de una interfaz y tienen como destino una dirección IPvó OSPF de multicást.
CONFIGURACIÓN DE IPvó EN OSPFv3 Antes de la configuración de cualquier protocolo de enrutamiento, IPvó tiene que ser soportado y configurado en el router. Este comando viene por defecto deshabilitado. La siguiente sintaxis muestra la configuración de IPvó: Router(config)#ipv6 unicast-routing
CEFvó (Cisco Express Forwarding versión 6) es una tecnología de conmutación avanzada para enviar paquetes IPvó. Para CEFvó el comando es el siguiente: Router(config)#ipv6 cef
Para configurar las interfaces con direcciones IPvó unicast se utiliza el siguiente comando: Router(config-if)#ipv6 address ipv6-address/prefix-length [eui-64]
El parámetro eui-64 hace que el router complete los 64 bits de bajo orden de la dirección utilizando el identificador universal extendido EUI-64. La siguiente figura y la sintaxis más abajo muestran un ejemplo de configuración IPv6:
www.FreeLibros.com
274
REDES CISCO. CCNP a Fondo
©RA-MA
RouterA#configure terminal RouterA(config)#ipv6 unicast-routing RouterA(config)#ipv6 cef RouterA(config)#interface fastethernetO/O RouterA(config-if)#description Local LAN RouterA(config-if)#ipv6 address 2001:0:1:1::2/64 RouterA(config-if)#interface serial 1/0 RouterA(config-if)#description point-to-point connection to Internet RouterA(config-if)#ipv6 address 2001:0:1:5::1/64
Las dos principales diferencias en la configuración y la resolución de fallos entre OSPFv2 y OSPFv3 son: •
La inclusión de la palabra clave IPv6 en los comandos de OSPFv3.
•
Las interfaces son habilitadas en el modo de configuración de interfaz en OSPFv3 en lugar de utilizar el comando network dentro del protocolo de enrutamiento.
Asumiendo que IPvó está habilitado y que las direcciones IPvó están configuradas correctamente en las interfaces correspondientes, los comandos para habilitar OSPFv3 son los siguientes: Router(config)#ipv6 router ospf process-id Router(config-rtr)#router-id 32-bit-router-id Router(config-rtr)#area area-id range summary-range/prefix-length [advertise | notadvertise] [cost cost] Router(config-rtr)#interface type number Router(config-if)#ipv6 ospf process-id area area-id [instance instance-id] Router(config-if)#ipv6 ospf priority priority Router(config-if)#ipv6 ospf cost interface-cost
www.FreeLibros.com
CAPÍTULO 8. IPvó
©RA-MA
275
El router ID debe ser un número de 32 bits en formato de dirección decimal jpv4 y tiene que ser único, se puede utilizar para este valor una dirección IPv4 ya establecida en el router. La prioridad funciona de la misma manera que OSPFv2, el valor por defecto de la prioridad es 1. El router con mayor prioridad tiene más posibilidades de ser DR o BDR, mientras que 0 significa que el router no participará de dicha elección. El coste permanece igual en ambas versiones, que p0r defecto es inversamente proporcional al ancho de banda de la interfaz. El coste se puede modificar con el comando ipv6 ospf cost. El comando area range provee sumarización, por defecto deshabilitada, en OSPFv3 y en OSPFv2. Para OSPFv3 el coste de una ruta sumarizada es el mayor coste de todas las rutas que la componen. OSPFv3 permite redistribución de rutas desde y hacia protocolos de enrutamiento IPvó y permite la entrada de rutas de la misma manera que lo permite OSPFv2. Para facilitar la comprensión de la configuración de OSPFv3 se muestra un ejemplo en la siguiente topología:
1 LoopbackO 2001:0:1:FFFF:: 1/64
Ambos routers son ABR y el router B lleva configurada una interfaz de loopback. La configuración básica del router A se muestra en la siguiente sintaxis, mientras que el router B está configurado de una manera similar: RouterA#configure terminal RouterA(config)#ipv6 unicast-routing RouterA(config)#ipv6 cef RouterA(config)#ipv6 router ospf 1 RouterA(config-rtr)#router-id 10.255.255.1
www.FreeLibros.com
276
REDES CISCO. CCNP a Fondo
©RA-MA
RouterA(config-rtr)#interface fastethernetO/O RouterA(config-if)#description Local LAN RouterA(config-if)#ipv6 address 2001:0:1:1::2/64 RouterA(config-if)#ipv6 ospf 1 area 1 RouterA(config-if)#ipv6 ospf cost 10 RouterA(config-if)#ipv6 ospf priority 20 RouterA(config-if)#interface serial 1/0 RouterA(config-if)#description multi-point line to Internet RouterA(config-if)#ipv6 address 2001:0:1:5::1/64 RouterA(config-if)#ipv6 ospf 1 area 0 RouterA(config-if)#ipv6 ospf priority 20
VERIFICACIÓN DE IPvó EN OSPFv3 Para la verificación de OSPFv3 se pueden emplear muchos de los comandos de la versión 2. El comando show ipv6 route mostrará las rutas advertidas, asumiendo que las rutas estén incluidas en la tabla se podrán emplear otros comandos para la verificación tales como ping [ipv6] ipvó-address. El parámetro ipvó es opcional, normalmente la IOS detecta la versión IP que se está utilizando. El siguiente comando activa el recálculo de OSPF y actualiza la tabla de enrutamiento: clear ipv6 ospf [p r o c e s s - i d ] {process counters [neighbor [neighbor-interface
|force-spf | redistribution | \n eighbor-id ]]}
La siguiente sintaxis está basada en la configuración de los routers del ejemplo anterior: RouterA#show ipv6 route IPv6 Routing Table - 6 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route II - ISIS Ll, 12 - ISIS L2, IA - ISIS interarea 0 - OSPF intra, OI - OSPF Ínter, OEl - OSPF ext 1, 0E2 -OSPF ext 2 C 2001:0:1:2::/64 [0/0] via ::, FastEthernetO/O L 2001:0:1:2::2/128 [0/0] via ::, FastEthernetO/O 01 2001:0:1:6::/64 [110/1010] via FE80::213:8OFF:FE63:D676, FastEthernet0/0 O 2001:0:1:FFFF::1/128 [110/10] via FE80::213:8OFF:FE63:D676, FastEthernet0/0 L FE80::/10 [0/0] ia ::, NullO L FF00::/8 [0/0] via ::, NullO
www.FreeLibros.com
CAPÍTULO 8. IPv6
©RA-MA RouterA#ping
ipv6
277
2001:0:1:FFFF::1
Tvpe escape sequence to abort. Sending
5,
100-byte
ICMP Echos
to
2001:0:1:FFFF::1,
timeout
is
2
seconds:
i i ¡ •! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Este comando muestra información acerca de una interfaz determinada: show ipv6 interface [brief] [interface-type ínterface-number] [prefix] R o u t e r A # s h o w ipv6 interface brief FastEthernetO/O [up/up] FE80::213:80FF:FE63:D66E 2001:0:1:1::2 Seriall/0 [up/down] F E 8 0 : : 2 1 3 : 8 OFF: F E 6 3 : D66E 2 0 0 1 : 0 : 1 : 5 : :1
Una de las razones de que las rutas de OSPFv3 no sean propagandas desde una interfaz puede ser que no esté habilitado OSPFv3correctamente en dicha interfaz. La manera rápida y sencilla de comprobarlo obteniendoa su vez información específica es a través del comando show ipv6 ospf interface. RouterA#show ipv6 ospf interface faO/O FastEthernet0/0 is up, line protocol is up
Link Local Address FE80::213:80FF:FE63:D66E, Interface ID 2 Area 1, Process ID 1, Instance ID 0, Router ID 10.255.255.1 Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State BDR, Priority 20 Designated Router (ID) 10.255.255.2, local
address
F E 8 0 : : 2 1 3 : 8 OFF: F E 6 3 : D676
Backup Designated FE80::213:80FF:FE63
router
(ID)
10.255.255.1,
local
address
D66E
Timer intervals configured, Helio 10, Dead 40, Wait 40, Retransmit 5 Helio due in 00:00:01 Index 1/1/2, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood sean length is 1, máximum is 2 Last flood sean time is 0 msec, máximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 10.255.255.2 (Designated Router) Suppress helio for 0 neighbor(s)
El router ID y los temporizadores se pueden verificar con el comando show ipvó ospf. La verificación de la relación de vecindad se puede establecer con el comando show ipvó ospf neighbor [detail]. Las bases de datosde OSPFv3 se pueden mostrar utilizando los comandos show ipvó ospf database para verificar la lista de LSA recibidas y conocer como las rutas están siendo propagadas y show
www.FreeLibros.com
278
REDES CISCO. CCNP a Fondo
©RA-MA
ipv6 ospf database database-summary proporciona cantidades totales de los diferentes tipos de LSA. A continuación se copian varias mencionados:
salidas
de los ejemplos antes
RouterA#show ipv6 ospf Routing Process "ospfv3 1" with ID 10.255.255.1 SPF schedule delay 5 secs, Hold time between two SPFs 10 secs Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs LSA group pacing timer 240 secs Interface flood pacing timer 33 msecs Retransmission pacing timer 66 msecs Number of external LSA 0. Checksum Sum 0x000000 Number of areas in this router is 2. 2 normal 0 stub 0 nssa Area BACKBONE(0) (Inactive) Number of interfaces in this area is 1 SPF algorithm executed 1 times Number of LSA 1. Checksum Sum 0x008A7A Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0 Area 1 Number of interfaces in this area is 1 SPF algorithm executed 9 times Area ranges are 2001:0:1::/80 Passive Advertise Number of LSA 9. Checksum Sum 0x05CCFF Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0 RouterA#show ipv6 ospf neighbor detail Neighbor 10.255.255.2 In the area 1 via interface FastEthernet0/0 Neighbor: interface-id 2, link-local address FE80::213:8OFF:FE63:D676 Neighbor priority is 20, State is FULL, 6 state changes DR is 10.255.255.2 BDR is 10.255.255.1 Options is 0x8lEA8189 Dead timer due in 00:00:31 Neighbor is up for 00:03:28 Index 1/1/1, retransmission queue length 0, number of retransmission 1 First 0x0(0)/ 0 x 0 (0)/ 0 x 0 (0) Next 0x0(0)/ 0 x 0 (0)/ 0 x 0 (0)
Last retransmission sean length is 2, máximum is 2 Last retransmission sean time is 0 msec, máximum is 0 msec RouterA#show ipv6 ospf database database-summary OSPFv3 Router with ID (10.255.255.1) (Process ID 1) Area 0 database summary LSA Type Count Delete Maxage
www.FreeLibros.com
CAPÍTULO 8. IPv6
©RA-MA
Router
Network
Link prefix inter-area Prefix Inter-area Router ipype—7 External Subtotal
1 0 0 0 0 0 0
0 0 0 0 0 0 0
0 0 0 0 0 0 0
1
0
0
279
Area 1 database summary 2 0 Router 1 0 Network 2 0 Link 1 0 prefix 0 Inter-area Prefix 1 0 inter-area Router 0 0 0 Type-7 External 0 7 Subtotal Process 1 database summary Count Delete LSA Type 3 0 Router 1 0 Network 2 0 Link 1 0 Prefix 0 Inter-area Prefix 1 Inter-area Router 0 0 0 0 Type-7 External
0 0 0 0 0 0 0 0 Me 0 0 0 0 0 0 0
TRANSICIÓN DESDE IPv4 A IPv6 Teniendo en cuenta que la mayoría de las redes que existen en Internet están implementadas sobre IPv4 deben existir mecanismos que hagan posible la coexistencia de ambas versiones. Puede haber varios tipos de sistemas para ejecutar esta transición: •
Dual stack
•
Tunneling
•
Translation
Dual stack Con este mecanismo es posible ejecutar IPv4 e IPvó a la vez sin comunicación entre ambas versiones. Los host y los routers llevan configuraciones de las dos versiones de IP y utilizan independientemente unas u otras según los
www.FreeLibros.com
280
REDES CISCO. CCNP a Fondo
©RA-MA
recursos que quieran alcanzar. Si un recurso en concreto proporciona ambas versiones sería conveniente utilizar IPvó para alcanzarlo. Para habilitar dual stack en un router Cisco es necesario implementar IPv6 y configurar las interfaces con las direcciones IP correspondientes según muestra el siguiente ejemplo: RouterA#configure terminal RouterA(config)#ipv6 unicast-routing RouterA(config)#ipv6 cef RouterA(config)#interface fastethernetO/O RouterA(config-if)#ip address 192.168.0.1 255.255.255.0 RouterA(config-if)#ipv6 address 2001:0:1:1::2/64
Este mecanismo de dualidad permite a los servidores, clientes y aplicaciones moverse gradualmente hacia el nuevo protocolo provocando un mínimo impacto durante el proceso de transición a IPvó.
Tunneling El mecanismo que proporciona dual stack funciona correctamente siempre y cuando la infraestructura pueda soportar los dos protocolos, pero hay casos en los que los dispositivos sólo soportan IPv4, como por ejemplo en equipos de core. Hasta que estos equipos sean actualizados se debe utilizar otro tipo de técnica que pueda ejecutar IPvó a través de IPv4. Utilizando túneles los routers que están ejecutando a la vez IPv4 e IPv6 encapsularán el tráfico IPvó dentro de paquetes IPv4. El origen de los paquetes IPv4 es el propio router local y el destino será el router en el extremo del túnel. Cuando el router destino recibe el paquete IPv4 lo desencapsula y hace un reenvío del tráfico IPvó que estaba encapsulado. Este sistema de tunneling es efectivo pero incrementa las MTU debido a que se consumen 20 bytes con cada cabecera IPv4 en los enlaces intermedios y que además es difícil la resolución y seguimiento de problemas. Existen cuatro tipos de túneles: • • • •
Manual tunnels 6-to-4 Teredo ISATAP (Intra-Site Automatic Tunnel Addressing Protocol)
www.FreeLibros.com
CAPÍTULO 8. IPv6
©RA-MA
281
Manual Tunnels La configuración de este mecanismo no es difícil, como se muestra en el ejemplo para el router A:
Cabecera IPv6 Origen 2001:0:1:2:: 2 Destino 2001:0:1:1:: 2
D a to sIP v 6
Cabecera IPv4 Origen 192.163.1,1 Destino 192.168.7.1
Cabecera IPv6 Origen 2001:0:1:2:: 2 Destino 2001:0:1:1:: 2
D ato sIP v6
Cabecera IPv6 Origen 2001:0:1:2::2 Destino 2001:0:1:1::2
Datos IPv6
RouterA#configure terminal RouterA(config)#interface tunnelO RouterA(config-if)#ipv6 address 2001:0:1:5::1/64 RouterA(config-if)#tunnel source 192.168.1.1 RouterA(config-if)#tunnel destination 192.168.7.1 RouterA(config-if)#tunnel mode ipv6ip
El comando tunnel mode ipv6ip especifica que el túnel es manual y que IPvó es el protocolo pasajero siendo IPv4 el encargado de encapsular y transportar a IPvó. El comando show interface tunnel muestra detalles acerca de la interfaz mientras que el comando clear counters tunnel interface-number limpia los contadores mostrados en el comando anterior.
Túneles 6-to-4 Un túnel de este tipo funciona de manera similar a un túnel manual excepto por el hecho de que es creado automáticamente. Los túneles 6-to-4 utilizan direcciones IPv6 que enlazan las direcciones 2002: :/16 con la dirección IPv4 de 32 bits del router borde creando un prefijo de 48 bits.
www.FreeLibros.com
282
©RA-MA
REDES CISCO. CCNP a Fondo
Un ejemplo de túnel con 6-to-4 es el siguiente, la interfaz túnel en el router A tiene un prefijo de 2002:C0A8:501::/48, donde el valor hexadecimal C0A8:501 equivale a 192.168.5.1 en decimal, que es la dirección IPv4 de esta interfaz. La interfaz túnel en el router B tiene un prefijo de 2002:C0A8:122::/48, donde C0A8:122 es el valor hexadecimal y 192.168.1.34 es la dirección IPv4 en esta interfaz.
Cabecera IPv6 Origen 2002: C0A9:SOI: 1::2 Destino 2 0 0 2 :C 0 A 8 :122:1::2
D atosIP v6
Cabecera IPv4 Origen 192.168,5.1 Destino 192.168.1.34
Cabecera IPv6 Origen 2002: C0 A 8:S 0 1:1: :2 Destino 20O2:COA8:122:1:: 2
Cabecera IPv6 Origen 2 00 2:C0A8:S01:1::2 Destino 2002:C Q A 8:122:1:: 2
Datos IPv6
D atosIPv6
Cada router tiene configurada una ruta estática hacia el prefijo del otro router. Cuando el router A recibe tráfico con una IP de destino de 2002 :C0A8:122:1::2 se activa el siguiente proceso: 1. El router A extrae la dirección IPv4 de la dirección IPv6, en este caso la dirección IPv4 es C0.A8.01.22, equivalente en decimal a 192.168.1.34. 2. El router A encapsula el paquete IPv6 en un paquete IPv4 con una dirección de destino de 192.168.1.34, el paquete es enrutado normalmente a través de la red IPv4 hacia el router B. 3. El router B recibe el paquete, desencapsula el paquete IPv6 y lo enruta normalmente hacia el destino final IPv6.
www.FreeLibros.com
CAPÍTULO 8. IPv6
© r a -m a
283
Teredo Otro tipo de túneles son los llamados Teredo. Éstos encapsulan paquetes IPvó en segmentos IPv4 UDP y trabajan de manera similar a los otros mecanismos anteriores con el agregado de poder atravesar redes que están utilizando NAT y firewall. La RFC 4380 describe el funcionamiento de este mecanismo.
ISATAP ISATAP trata la red como una NBMA de IPv4 y permite a la red privada IPv4 implementar incrementalmente IPv6 sin actualizar la red. La RFC 4214 describe el funcionamiento de ISATAP.
Translation El problema del mecanismo de túneles, ya sea manual o automático, es que es una solución dual stack. Los clientes IPv6 tienen que seguir soportando IPv4 para conectar con otros dispositivos IPv4. Translation es un tipo de solución diferente que permite a dispositivos IPv6 comunicarse con dispositivos IPv4 sin necesidad de requerir de dual stack. SIIT (Stateless IP/ICMP Translation) traduce los campos de la cabecera IP, y NAT-PT (NAT Protocol Translation) asocia la dirección IPvó a la dirección IPv4. Cuando IPv6 se utiliza en la parte privada de una red, un dispositivo NAT-PT recibe tráfico IPv6 en su interfaz de entrada y reemplaza la cabecera IPv6 con una cabecera IPv4 antes de enviar el tráfico por la interfaz de salida. El tráfico de regreso recibe el tratamiento inverso permitiendo una comunicación de dos vías. Los dominios de enrutamiento IPv4 e IPv6 también pueden estar conectados usando ALG (Application-Level Gateways) o un Proxy. Un Proxy intercepta tráfico y lo convierte al protocolo correspondiente. Un ALG independiente es requerido para soportar cada protocolo,. de esta manera este método sólo soluciona algunos problemas específicos de translation. BIA (Bump-in-the-API) y BIS (Bump-in-the-Stack) son implementaciones de NAT-PT dentro de un host. BIA/BIS intercepta las llamadas de un sistema IPv4 y dinámicamente responde con IPvó, permitiendo, por ejemplo, que un servidor sea reconvertido a IPv6 sin tener que reescribir el código de las aplicaciones. Este sistema no funcionará para aplicaciones que lleven direcciones IP embebidas como por ejemplo ocurre con FTP.
www.FreeLibros.com
www.FreeLibros.com
PARTE II
www.FreeLibros.com
www.FreeLibros.com
Capítulo 9
DISEÑO DE REDES FUNCIONALIDAD DE SWITCHING Para iniciar el estudio de las tecnologías de switching es importante conocer qué es y cómo funciona el modelo de referencia OSI. En este punto se considera que ya ha sido asimilado por el lector en fases anteriores de su formación técnica en Cisco, aunque sí que es función de este libro proporcionar al alumno las claves para poder comprender las diferencias entre switching y routing en las capas 2, 3 y 4 del modelo de referencia OSI involucradas en estas funciones. El proceso de encapsulación de los datos sigue la siguiente secuencia: 1. Datos 2. Segmentos 3. Paquetes 4. Tramas 5. Bits
www.FreeLibros.com
288
REDES CISCO. CCNP a Fondo
©RA-MA
La siguiente tabla describe las diferentes capas del modelo OSI, su correspondiente PDU (Protocol Data Unit) y el dispositivo asociado a éstas: PDU
Dispositivo
Datos
Aplicaciones
Segmentos
Puertos TCP
Paquetes
Router
Tramas
Switch
Bits
Medios
7 Aplicación 6 Presentación 5 Sesión 4 Transporte 3 Red 2 Enlace de Datos 1 Física
Conmutación de capa 2 La función de conmutación en capa 2 es proporcionada por aquellos dispositivos que son capaces de transportar tramas entre dos interfaces ofreciendo las siguientes capacidades: • Aprender direcciones MAC a partir de una trama entrante. • Mantener actualizada una tabla en la que se asocie dirección MAC y puerto por el que se aprendió. • Reenviar por todos los puertos excepto por el que se recibió tramas de broadcast y multicast. • Reenviar por todos los puertos excepto por el que se recibió tramas desconocidas. • Evitar bucles de red entre los diferentes equipos involucrados utilizando el protocolo Spanning Tree (STP) o mediante cualquier otra tecnología o protocolo que pueda ser utilizada para este fin. Es muy importante tener clara la diferencia entre un bridge (puente) y un switch y su desempeño en esta capa, ya que son los dispositivos involucrados fundamentalmente en este nivel. Los bridges son dispositivos capaces de conmutar
www.FreeLibros.com
CAPÍTULO 9. DISEÑO DE REDES
© RA-MA
289
tramas realizando las funciones arriba detalladas, mientras que los switches, ademas, son capaces de conmutar las tramas y desarrollar esas funcionalidades utilizando ASIC específico, es decir, los switches son capaces de realizar esas funciones por hardware, de forma mucho más eficiente y rápida. Se debe tener en cuenta también si el proceso de conmutación se produce al mover tramas entre dos interfaces del mismo tipo en nivel 1, como es el caso de Ethernet, o entre dos interfaces de distinto tipo por ejemplo Ethernet y FDDI. En caso de ser dos interfaces del mismo tipo no será necesario modificar la cabecera de capa 2, pero en el caso de que la conmutación se produzca entre dos interfaces de distinto tipo será necesario modificar la cabecera de capa 2 antes de enviar la trama a la capa 1. La conmutación en capa 2 puede ser muy apropiada para entornos pequeños donde todos los host comparten el mismo dispositivo de interconexión; pero esta tecnología no es escalable, ya que al interconectar varios dispositivos de capa 2 hay que tener en cuenta que STP (Spanning Tree Protocol) y los tiempos de convergencia de STP son muy elevados.
Enrutamiento de capa 3 Los dispositivos involucrados en el enrutamiento de capa 3 realizan las siguientes funciones: • Los paquetes se reenvían entre redes basándose en direcciones de capa 3. • El camino óptimo entre dos puntos se calcula teniendo en cuenta diferentes métricas como pueden ser saltos, retraso, ancho de banda, combinación de las anteriores, etc. • Para reenviar un paquete el router busca en la tabla de enrutamiento cual es la dirección IP del siguiente salto para el destino concreto y el interfaz saliente del router. • El camino óptimo para un destino puede ser elegido entre varias posibilidades, incluso puede ocurrir que existan varios caminos óptimos. • Los routers se comunican entre sí utilizando protocolos de enrutamiento o routing. • Los paquetes de broadcast no se reenviarán (excepto en casos muy concretos). • Los
paquetes
de
multicast
www.FreeLibros.com
se reenviarán
dependiendo
de
la
290
REDES CISCO. CCNP a Fondo
©RA-MA
configuración que tengan los routers. En el caso del enrutamiento de capa 3 es posible realizar una segmentación de la red para controlar los broadcast debido a que los broadcast no son reenviados. En cuanto al direccionamiento en el caso del enrutamiento de capa 3 es posible realizar un direccionamiento lógico, ya que se disponen de mecanismos para traducir esas direcciones lógicas de capa 3. Por ejemplo ARP (Protocolo de Resolución de Direcciones) permite relacionar unívocamente direccionamiento IP (direccionamiento lógico capa 3) con direccionamiento MAC (direccionamiento físico capa 2). En el caso del enrutamiento de capa 3, el router debe leer la cabecera para conocer el destino, en este proceso además es posible implementar alguna política de seguridad dependiendo de las direcciones de origen y destino. En el enrutamiento de capa 3 las decisiones de ruta se realizan de forma constante con recursos intensivos de CPU, utilizando ciclos, lo cual desencadena un retardo en la toma de decisión.
Conmutación de capa 3 Los dispositivos que son capaces de conmutar en capa 3 realizan las mismas funciones que los dispositivos capaces de enrutar en capa 3, pero teniendo en cuenta que las decisiones de reenvío se realizan mediante ASIC y no mediante ciclos de CPU, lo cual redunda en una conmutación a velocidad del medio, eliminando así los posibles cuellos de botella del enrutamiento de capa 3.
Conmutación de capa 4 La conmutación en capa 4 permite un control mucho más exhaustivo del intercambio de la información, ya que se comprueban las cabeceras hasta capa 4, es decir, es posible conmutar teniendo en cuenta la aplicación que se va encaminar. Las funciones que puede realizar un dispositivo capaz de encaminar en capa 4 son las siguientes: • La información se conmuta teniendo en cuenta la información de la aplicación en capa 4 y por supuesto el direccionamiento en capa 2. •
Se examina la cabecera de los protocolos de capa 4.
• En la lectura de las cabeceras de capa 4 se puede comprobar la aplicación tanto de origen como de destino.
www.FreeLibros.com
CAPÍTULO 9. DISEÑO DE REDES
©RA-MA
291
Como se puede demostrar, la conmutación en capa 4 puede afinar mucho más acertadamente las decisiones sobre la conmutación y se pueden tomar decisiones teniendo en cuenta además de las direcciones de origen y destino las aplicaciones (Calidad de Servicio). La conmutación se realiza utilizando ASIC específicos muy especializados que permiten realizar esta conmutación a velocidad de línea, aunque es cierto que para mantener la información sobre MAC de origen, de destino, IP de origen y destino y aplicación de origen y destino, serán necesarias memorias más grandes y rápidas, con lo que el coste de estos dispositivos será generalmente muy elevado.
Conmutación multicapa La conmutación multicapa (Multilayer Switching) permite que los dispositivos sean capaces de conmutar información combinando las ventajas de la conmutación en las capas 2, 3 y 4, ejecutando la conmutación a velocidad de línea y gracias al CEF (Cisco Express Forwarding) la tabla de enrutamiento se mantiene actualizada entre los ASIC permitiendo así un alto rendimiento minimizando los retardos de operación.
REDES DE CAMPUS Una red de campus consiste en un conjunto de redes LAN en uno o varios edificios, esas LAN pueden utilizar diferentes tecnologías y suelen estar situadas normalmente en la misma área geográfica. En el diseño de las redes de campus resulta fundamental conocer el flujo de tráfico para poder realizar ese diseño lo más eficientemente posible. En el diseño de redes de campus existen diversos modelos según el tipo y necesidad de diseño: • Red Compartida • Segmentación de LAN • Tráfico de Red • Red Predecible • Red Jerárquico
Modelo de red compartida En este modelo la disponibilidad y el rendimiento es inversamente proporcional al número de host que estén en ella, puede utilizar tecnologías que
www.FreeLibros.com
292
REDES CISCO. CCNP a Fondo
©RA-MA
utilicen metodologías de máximo esfuerzo, como Ethernet o deterministas como Token Ring. También se debe tener en cuenta que en sistemas de máximo esfuerzo las colisiones pueden ocurrir, y de hecho ocurren, sin embargo en las tecnologías de token como Token Ring esto no ocurre porque la ocupación del medio va por tumos o tokens de manera ordenada y precisa. Para solucionar el problema del rendimiento en la red compartida se puede optar por dividir la red en distintos dominios de colisión, mediante bridges o switches. Es importante recordar que los bridges o switches no reenvían las tramas por todos los puertos a no ser que se trate de un reenvío de broadcast o multicast. En el caso del broadcast y del multicast se produce una inundación por el total de puertos y en el caso del broadcast las tramas son leídas y procesadas por todos los host del segmento, a diferencia del tráfico de multicast que sólo es procesado por los host del segmento que están suscritos al grupo de multicast en concreto. Si se analiza el tráfico de una red compartida se podrá ver la relación directa que existe entre el número de host y el número de tramas de broadcast, ya que son muchos los protocolos que utilizan broadcast en capa 2, como por ejemplo DHCP, GNS, ARP, etc. En este modelo hay que destacar que existe el problema añadido de que los dispositivos de capa 2 permiten pasar los broadcast y multicast, así que el rendimiento de la red mejorará, pero extendiendo los broadcast de capa 2 más allá de los límites establecidos por los switches y bridges de capa 2.
Modelo de segmentación de LAN El modelo de segmentación de LAN va más allá que el modelo de red compartida porque no se permite que los broadcast de capa 2 se extiendan más allá de los límites establecidos, esto se hace dividiendo la red en varias LAN o VLAN. Para ello se establecen los límites de los segmentos utilizando dispositivos de capa 3, de esta forma se limitarán los broadcast de capa 3. Los dispositivos de nivel 3 que se pueden utilizar en este modelo son routers o switches de capa 3, los cuales proporcionan todas las ventajas de los dispositivos de capa 2, pero además añaden una segmentación al nivel lógico establecido en la capa 3, con lo que el rendimiento mejora también en el caso de disponer de broadcast de capa 2.
www.FreeLibros.com
CAPÍTULO 9. DISEÑO DE REDES
© r A-MA
293
La segmentación se puede realizar dividiendo en LAN o en VLAN, la diferencia básica reside en que la LAN utilizará todo el medio para ella sola, mientras que la VLAN utilizará un etiquetado o encapsulado que permitirá diferenciar el tráfico de una VLAN con el de otra, de esta forma el tráfico no se mezclará pudiendo disponer de una segmentación lógica que permitirá una flexibilidad mucho más grande. El siguiente ejemplo ilustra un modelo de segmentación con un router:
Modelo de tráfico de red Este modelo se basa en el movimiento de información dentro de la red. En redes corporativas estándar se puede aplicar el modelo del 80/20, es decir, el 80% del tráfico se queda en el segmento local y sólo el 20% del tráfico atraviesa el core de la red. Esta situación puede parecer la más normal, pero habrá que tener en cuenta que existen redes en las cuales el tráfico mayoritariamente atraviesa el core de la red, por ejemplo, una red de una empresa de hosting en la que la mayoría del tráfico no es interno sino que es tráfico que va a salir a Internet y que atravesará el core o núcleo de la red. El modelo del 80/20 puede ser uno de los modelos más comunes utilizados, pero implica que los servidores de aplicación se encuentran más cerca del usuario y no se disponen de servicios centralizados masivos. Este modelo tiene una serie de requisitos importantes: • Los recursos más utilizados tienen que estar lo más próximos al usuario como sea posible.
www.FreeLibros.com
294
REDES CISCO. CCNP a Fondo
©RA-MA
• Las aplicaciones tienen que estar distribuidas de forma que el tráfico se quede siempre que sea posible en el segmento local. • Los usuarios con idénticos requisitos tienen que estar lo más próximos posible, ya sea proximidad física en el caso de LAN o proximidad lógica en el caso de VLAN. Este modelo puede sin embargo ser complejo para el administrador de la red y puede no ser viable si la utilización de aplicaciones cliente-servidor es muy extensa. En el caso de disponer de una red en la que la arquitectura cliente-servidor sea la predominante, entonces lo conveniente es el entorno 20/80, en el cual la mayoría del tráfico atravesará el core de la red; por supuesto esta otra visión requerirá que el diseño de la red sea totalmente diferente y adaptado a esas necesidades. Este modelo se describe a continuación.
Modelo de red predecible El modelo predecible tiene que ser el modelo que permita adaptar la topología de la red a los requisitos del tráfico y que haga posible el menor mantenimiento. Este modelo afrontará el desafío del entorno 20/80 y deberá estar basado en varias capas, las cuales serán acceso, distribución y core, que se describen posteriormente.
MODELO DE RED JERÁRQUICO Este modelo es el modelo más conocido de Cisco y se basa en dividir la red de forma lógica en tres niveles o capas: • Acceso • Distribución • Core Cada uno de estos niveles realizará una función bien diferenciada y permitirá que el tráfico pueda ser tratado de forma independiente según el lugar de la red en que se encuentre. El resultado es una topología escalable, fácilmente modificable y aislable que permite un trabajo óptimo, lamentablemente no todas las redes de empresas tienen suficiente estructura como para poder montar claramente un modelo jerárquico, sin embargo para redes de tamaño considerable esta opción termina por ser la única viable.
www.FreeLibros.com
CAPÍTULO 9. DISEÑO DE REDES
©RA-MA
295
Nivel de acceso El nivel de acceso es el más próximo al usuario y donde se conectan los host. En este nivel comúnmente se dispone de switches de capa 2 con una gran densidad de puertos, con dispositivos de bajo coste. En este nivel también hay que tener en cuenta que es donde se concentra el tráfico de usuario que tiene que ir al nivel superior, con lo que es necesario tener en cuenta que los switches de acceso tendrán que disponer de puertos de uplink que típicamente soportarán varias VLAN. Es en este nivel donde se aplican los primeros filtros al tráfico, se definen VLAN y se comienza a aplicar QoS (Calidad de Servicio).
Nivel de distribución Este nivel es el encargado de comunicar la capa de acceso con la de core y de interconectar varios niveles de acceso diferentes. Es en este nivel donde se agregará el tráfico proveniente de las capas inferiores y el primer lugar donde se comenzará a utilizar switching de capa 3 para poder hacer la interconexión entre redes. En este nivel es muy importante que los equipos dispongan de puertos de alta velocidad; donde la QoS tiene una presencia más persistente. Al ser el primer nivel en implementar la capa 3 será hasta aquí donde lleguen los broadcast de las capas inferiores y donde se implementarán políticas de filtrados (ACL).
www.FreeLibros.com
296
REDES CISCO. CCNP a Fondo
©RA-MA
Nivel de core Este nivel tiene una única y principal función que es mover el tráfico lo más rápidamente posible suministrando comunicación hacia el exterior sin realizar ninguna tarea más que no sea imprescindible.
DISEÑO MODULAR DE RED Aunque en el capítulo anterior se haya descrito el diseño de red por capas también es posible definir este diseño mediante lo que se llama bloques. Estos bloques son unidades lógicas funcionales de equipos que ofrecen un servicio determinado. Los bloques en los cuales se puede definir una red de campus son los siguientes: • Bloque de conmutación: switches de acceso junto con sus switches de distribución. •
Bloque de core: el backbone de la red.
•
Bloque de granja de servidores: conjunto de servidores con sus switches de acceso y distribución.
• Bloque de gestión: recursos de gestión de red con sus switches de acceso y distribución. • Bloque de frontera de la empresa: recursos necesarios para conectar la empresa al exterior con sus switches de acceso y distribución. •
Bloque de frontera del ISP: servicios externos del ISP contratados por la empresa con sus interfaces al bloque de frontera de la empresa.
www.FreeLibros.com
© RA-MA
CAPÍTULO 9. DISEÑO DE REDES
297
Bloque frontera del ISP
Bloque de granja de servidores
Bloque de conmutación
Bloque de conmutación El bloque de conmutación contiene dispositivos de conmutación del nivel de acceso y distribución. Hay que tener en cuenta que todos los bloques tienen que estar conectados al bloque de core para proporcionar conectividad extremo a extremo en toda la red. El bloque de conmutación por un lado tendrá los switches de capa 2 de acceso y por otro lado tendrá switches de capa 3 de distribución, es decir, en este nivel hay funcionalidades tanto de capa 2 como de capa 3. En este bloque los usuarios finales se conectan, al switch de acceso mediante un puerto dedicado, los switches de acceso se conectan a los switches de distribución de la misma forma y los de distribución a su vez conectarán el bloque con el bloque de core. Este bloque proporciona, además, un blindaje en cuanto al tráfico, ya que los broadcast no deben ir más allá del bloque y por supuesto el protocolo Spanning Tree también queda confinado en el bloque. En este tipo de bloque es muy importante que las VLAN se queden en el mismo y que no salgan de ahí, ya que es conveniente que el tráfico de broadcast no circule por el core. La forma de evitar esto es limitando los dominios de difusión.
www.FreeLibros.com
298
REDES CISCO. CCNP a Fondo
©RA-MA
Dimensionamiento del bloque de conmutación Los bloques de conmutación no pueden ser tan grandes como usuarios haya en la organización, muchas veces es necesario dividirlo, pero teniendo en cuenta una serie de factores que afectan al diseño. Para poder dimensionar adecuadamente el bloque de conmutación se debe tener en cuenta los patrones de tráfico, la capacidad de conmutación de capa 3 en la capa de distribución, números de usuarios, límites de las VLAN o incluso el tamaño de los dominios de Spanning Tree. Lamentablemente el análisis de estos requerimientos a priori se encuentra fuera del ámbito del CCNP, pero lo que sí está dentro del ámbito es detectar el momento en el que ese bloque de conmutación se queda pequeño, esto sucede cuando: • Los routers de capa 3 de la capa de distribución son un cuello de botella y los recursos de CPU aumentan demasiado. • Los broadcast y multicast provocan lentitud en los switches del bloque. Para diseñar correctamente el bloque de conmutación es necesario proporcionar a los switches de acceso enlaces redundantes a los switches de distribución, y estos últimos pueden balancear el tráfico a los equipos de core ya que al ejecutar protocolos de enrutamiento de capa 3 es posible realizar este tipo de configuración. Para proporcionar una redundancia adecuada los dos uplinks de los switches de acceso tienen que estar conectados a dos switches de distribución, proporcionando redundancia uno del otro. A la capa de core
Aunque el tema de la virtualización queda también fuera del temario del CCNP e incluso también fuera del CCIE, existen ya técnicas para proporcionar redundancia en capa 2 como es el uso de la tecnología VSS de Cisco Systems y utilizando EtherChannels y eliminando el uso de Spanning Tree entre los switches de acceso y los de distribución, o incluso sin tener virutalización se puede
www.FreeLibros.com
CAPÍTULO 9. DISEÑO DE REDES
©RA-MA
299
proporcionar una redundancia mediante MSTP (tema que se explicará más adelante) balanceando unas VLAN por un trunk y otras VLAN por otro trank, de esta manera se proporciona un balanceo de tráfico entre los dispositivos de capa 2 de acceso y distribución. Por supuesto también existen otras posibilidades similares utilizando virtualización en otros fabricantes, actualmente en Juniper y Nortel, además de Cisco. Posibilidades de balanceo existen en capa 2, pero estas mejoras no han estado disponibles hasta finales de 2008 y sólo en la gama 6500 de Cisco, así que ésa es la razón por la que este tema no se incluye en el CCNP, al menos de momento.
Bloque de core Para conectar al menos 2 bloques de conmutación es necesario la existencia del bloque de core en la red. El bloque de core puede funcionar con prácticamente cualquier tecnología, aunque este libro se va a centrar en enlaces gigabit ethemet y 10 gigabit ethemet. Su función principal, como se explicado anteriormente, es mover los datos de la forma más rápida posible, ésa es la razón por la que antiguamente este bloque funcionase únicamente en capa 2, pero actualmente los precios de los switches de capa 3 ya no son los mismos y hoy en día este bloque se construye sobre switches multicapa. Para el diseño de este bloque existen dos posibilidades principales: •
Bloque Colapsado, es aquel en el que la jerarquía del bloque de core está colapsado con el nivel de distribución de los otros bloques, es decir, el bloque de acceso se divide en acceso y distribución, el nivel de acceso se queda en el bloque de conmutación y el bloque de distribución pasa al bloque de core. De esta forma se ahorran equipos en los bloques de conmutación, pero los broadcast de nivel 3 y las VLAN llegan hasta el core, lo cual podría afectar al rendimiento. Este tipo de core sólo podría tener sentido en redes pequeñas.
www.FreeLibros.com
300
REDES CISCO. CCNP a Fondo
©RA-MA
Enlaces de core
Bloque de conmutación A
Bloque de conmutación B
Hay que tener en cuenta que este modelo no es escalable ya que no puede extenderse demasiado. •
Core Dual, este tipo de core contacta de forma redundante dos o más bloques de conmutación y en él está totalmente diferenciado el nivel de distribución con nivel 3, que se queda en cada uno de los bloques de conmutación, y el nivel de core, con lo que el tráfico de broadcast de nivel 3 se queda en cada uno de los bloques de conmutación y no llega hasta el bloque de core.
Bloque de conmutación A
Bloque de conmutación B
La ventaja fundamental del bloque de core funcionando como dual core es que es posible utilizar uplinks de cada uno de los bloques de conmutación de forma paralela y balanceada. Esto es posible gracias a los protocolos de enrutamiento de capa 3, que permiten balancear el tráfico de esta manera, gracias a que los switches de distribución de los bloques de conmutación y los switches del core son switches de capa 3.
www.FreeLibros.com
©
r a -m a
CAPÍTULO 9. DISEÑO DE REDES
301
Tamaño del core en una red de campus Una consideración muy importante e interesante a tener en cuenta es relativa al tamaño del core en una red de campus. El tamaño es totalmente dependiente del número de bloques que existan por debajo del bloque de core, se ha de tener en cuenta que cada bloque tendrá dos uplinks hacia el core que deben ser non-blocking, es decir, los switches de core tienen que tener la capacidad de aceptar que las interfaces puedan estar al 100% de capacidad. Otro factor a tener en cuenta en cuanto al tamaño es el o los protocolos de enrutamiento a utilizar. Ya se ha dicho que se ejecutará un protocolo de enrutamiento entre los bloques para poder ofrecer redundancia y balanceo entre los uplinks de los bloques de conmutación hacia el bloque de core, cuanto más grande sea la red más actualizaciones de enrutamiento serán necesarias y esto puede afectar al rendimiento. Estas limitaciones son las responsables de determinar si son necesarios más equipos o más grandes y potentes en el bloque de core.
Bloque de granja de servidores Un servidor deberá estar situado en el bloque de granja de servidores y los servidores además deberán estar accesibles desde cualquier bloque de conmutación. Los servidores comúnmente disponen de una interfaz de red y esto implica un punto único de fallo. Para solucionar esto se puede duplicar el servidor conectando cada uno a un switch de acceso diferente o instalar una segunda interfaz en el servidor a otro switch de acceso (dual-homing).
Bloque de gestión de red Es muy común que este tipo de redes dispongan de algunos sistemas de gestión de red donde se monitorice el estado de cada uno de los equipos, enlaces, etc. Este bloque tiene justo la visión contraria al bloque de granja de servidores, ya que desde el bloque de gestión de red es necesario llegar al resto de la red y no al revés. En este bloque es donde se sitúan las aplicaciones de gestión y monitorización, los servidores de syslog, los servidores AAA, aplicaciones de administración de usuarios remotos, etc.
www.FreeLibros.com
302
REDES CISCO. CCNP a Fondo
©RA-MA
Bloque de frontera de la empresa Es muy común que este tipo de redes dispongan de conectividad con elementos externos a la empresa y es ahí donde comienza la “frontera” de la empresa. El concepto de frontera de la empresa sin embargo puede ser dividido en diferentes categorías: • Acceso a Internet: conexión con uno o varios ISP, soportando el tráfico saliente de la empresa, así como el acceso a servicios públicos, en este bloque se suelen situar elementos de seguridad perimetral. • Acceso remoto y VPN: es muy común que los trabajadores de una empresa puedan conectarse de forma remota a la red principal, además hay que tener en cuenta que existe tráfico de voz que también utilizará este bloque como punto de entrada. •
Comercio electrónico: bloque donde se sitúan los servicios y servidores necesarios para el comercio electrónico, así como equipos de seguridad y conectividad contra uno o varios ISP.
• Acceso WAN: en este bloque se realiza la conexión de otras delegaciones de la empresa u extensiones de la red a otros puntos, se puede utilizar cualquier tecnología como Frame-Relay, ATM o RDSI.
Bloque frontera del ISP Se puede considerar como el bloque de frontera del ISP, con lo que es exactamente igual que el bloque anterior, pero visto desde fuera.
Switch de capa 2 en distribución Como se ha dicho anteriormente es posible utilizar switches de capa 2 en capa de distribución, pero esta práctica tiene sus problemas, aunque puede ser recomendada en el caso de que no se disponga de suficientes recursos como para utilizar dispositivos de capa 3 en la capa de distribución de los diferentes bloques. Aunque esta práctica tiene varios problemas hay que tener en cuenta los principales que están relacionados con la extensión y contención de VLAN y la utilización de Spanning Tree. En cuanto a las VLAN la utilización de switches de capa 2 en distribución provocará que todo el tráfico de las VLAN escale hasta el core, pasando los
www.FreeLibros.com
CAPÍTULO 9. DISEÑO DE REDES
© RA-MA
303
broadcast y todo el tráfico no necesario, redundando en una utilización poco óptima de enlaces de uplink.
Bloque de conmutación A
Bloque de conmutación B
La redundancia de nivel 3 entre distribución y core no podrá ser posible debido a que no existen protocolos de enrutamiento para realizar el balanceo de tráfico, así que la mala utilización de los uplinks por la extensión de las VLAN se verá drásticamente empeorada por la imposibilidad de balancear el tráfico con STP estándar.
EVALUACIÓN DE UNA RED EXISTENTE Evaluar correctamente una red es fundamental para posteriormente pasar el modelo a modelo por bloques, lo primero es disponer de un mapa de red. Cuando se habla de conseguir un mapa de red no hay que limitarse a realizar un mapa que muestre la conexión entre dispositivos. Los mapas topológicos de capa 3, donde se puede conocer la disposición de las VLAN y el flujo del tráfico, son tanto o más importante que los mapas de topología física. Por supuesto si no existe un mapa de la red siempre será posible conseguirlo, por ejemplo con dispositivos Cisco, mediante CDP e ir descubriendo los equipos paso a paso. Mediante el comando show cdp neighbors se obtiene información sobre los dispositivos directamente conectados, pero con una visión muy reducida:
www.FreeLibros.com
304
REDES CISCO. CCNP a Fondo
©RA-MA
Switch-B# show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID Switch-A Gig 1/1 105 S I WS-C3550-4Gig 0/1 Switch-C Gig 2/1 139 S I WS-C3550-4Gig 0/1 Router Gig 3/1 120 R Cisco 2610Fas 0/0
Existe también la opción de ampliar la información con el comando show cdp neighbors detail: Switch-# show cdp neighbors detail Device ID: Switch-B
Entry address(es): 192.168.254.17 Platform: cisco WS-C4506, Capabilities: Router Switch IGMP Interface: GigabitEthernetO/1, Port ID (outgoing port): GigabitEthernetl/1 Holdtime : 134 sec Versión : Cisco Internetwork Operating System Software IOS (tm) Catalyst 4000 L3 Switch Software (cat4000-l9S-M), Versión 12.2(18)EW, EARLY DEPLOYMENT RELEASE SOFTWARE
(fcl)
TAC Support: http://www.cisco.com/tac Copyright 1986-2004 by cisco Systems, Inc. Compiled Fri 30-Jan-04 02:04 by hqluong advertisement versión: 2 VTP Management Domain: '' Dúplex: full Management address(e s ):
Recordando siempre que estos comandos sólo sirven cuando todos los equipos de la red son Cisco y tienen el protocolo CDP habilitado. Una vez que se dispone de los mapas de red es necesario adaptar la topología a los bloques detallados anteriormente, para ello habrá que agrupar los servidores en el bloque de granja de servidores, los equipos de usuarios en bloques de conmutación y así con todo lo demás. Según se desarrolle esta tarea seguramente habrá que mover algunos equipos o incluso poner más switches, pero con estos cambios se dispondrá de una red mucho mejor planificada, escalable y consiguiendo una red donde en caso de producirse alguna incidencia ese problema quedará situado en un bloque sin inundar la red completa.
www.FreeLibros.com
Capítulo 10
OPERACIÓN DE CONMUTACIÓN CONMUTACIÓN DE CAPA 2 Un switch de capa 2 es considerado como un bridge multipuerto, donde cada puerto tiene su propio dominio de colisión, aislado del resto. El reenvío de tráfico se realiza utilizando las MAC que el switch ha aprendido, ya sea de forma estática o de forma dinámica y todos aquellos destinos que no conozcan y las tramas de multicast y broadcast serán reenviadas por todos los puertos de la misma VLAN excepto por el que ha llegado. En el caso de MAC aprendidas de forma dinámica el switch crea una tabla donde se indica puerto, MAC y VLAN asociada a esa MAC, la VLAN de una MAC se aprende de la configuración del puerto por el que se ha aprendido la MAC. En el caso de estar utilizando Spanning Tree el proceso de aprendizaje de direcciones MAC se realiza en los puertos que Spanning Tree permite que estén activos, aunque esta información ya se extenderá más detalládamente en la sección de Spanning Tree. Al llegar una trama al puerto del switch, ésta se sitúa en una de las colas de entrada que contienen las tramas a reenviar con diferentes prioridades. El switch no sólo tiene que saber dónde reenviar las tramas sino cómo hacerlo tomando información a partir de las políticas de forwarding; estas decisiones las toma de forma simultánea utilizando diferentes partes del hardware involucrado en la decisión de switching.
www.FreeLibros.com
306
REDES CISCO. CCNP a Fondo
©RA-MA
•
Tabla de forwarding de capa 2: la MAC de destino se busca en la tabla junto con la VLAN de esa MAC, si se encuentra se saca a la cola de salida, si no es así se prepara la trama para inundación.
•
ACL de Seguridad: listas de acceso que evalúan la MAC, direcciones IP, protocolos e información de capa 4; estas decisiones las hace la TCAM (Temary Contení Addressable Memory).
•
ACL de QoS: se clasifican las tramas entrantes en función de la QoS; estas decisiones las hace la TCAM.
CONMUTACIÓN MULTICAPA Los switch Cisco disponen de dos generaciones de MLS (Multilayer Switching): •
Route Catching: ésta es la generación más antigua y requiere una RP (Route Processor) y una SE (Switching Engine), este tipo de MLS también se conocía como LAN Switching. En este caso la RP es la encargada de buscar el camino adecuado y lo almacena, la SE simplemente es la encargada de “recordar” esa decisión.
•
Basado en topología: ésta es la generación más moderna y utiliza ASIC especializados para construir una base de datos única con toda la topología de la red. Este tipo de conmutación es conocido como CEF (Cisco Express Forwarding). Una vez determinada la ruta se almacena en la FIB (Forwarding Information Base), lugar donde se puede consultar cada vez que entre una petición igual.
Las decisiones a tomar con un paquete de capa 3 son exactamente las mismas que con una trama de capa 2 y además añadiendo la tabla de forwarding de capa 3. La tabla de forwarding de capa 3 consulta la FIB y el prefijo más largo que coincida es el deseado, además la FIB contiene la MAC del siguiente salto y el VLAN ID, de tal forma que en esa comprobación no hay que mirar nada más. Existen paquetes que no pueden ser conmutados directamente por CEF y tienen que ser procesados de forma diferente: •
Peticiones de ARP
•
Paquetes IP con TTL expirado o MTU excedida
www.FreeLibros.com
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
© RA-MA
307
•
Broadcast IP que son reenviados como unicasts como son las peticiones de DHCP o las funiones de ip-helper
•
Actualizaciones de enrutamiento
•
Paquetes de CDP
•
Paquetes encriptados
•
Paquetes no IP y no IPX
t a b l a s u t il iz a d a s e n c o n m u t a c ió n
Tabla CAM Todos los switches de Cisco utilizan la CAM (Contení Addressable Memory) para conmutar en nivel 2. Según llega una trama la dirección MAC de origen es guardada en la CAM junto con la información de VLAN de la configuración del puerto, también se guarda junio con una marca temporal por si esa misma MAC es aprendida por otro puerto, de esta forma el switch es capaz de determinar por dónde se aprendió la última vez y así eliminar la más antigua. La tabla CAM tiene un tamaño determinado que varía en función de cada equipo, pero en definitiva es de tamaño limitado y puede llenarse y provocar un desbordamiento. En caso de desbordamiento de la CAM es muy útil reducir el tiempo de permanencia de la entrada en la tabla CAM y cambiar de los 300 segundos por defecto a un valor más pequeño. Switch(config)# mac address-table aging-time seconds
Existen casos en los que la MAC no se aprenderá de forma dinámica, por ejemplo un interfaz que sólo reciba tráfico y que nunca envíe, en ese caso se podrá configurar la entrada en la CAM de forma manual de la siguiente forma: Switch(config)# mac address-table static mac-address vían vlan-id interface type mod/num
Las direcciones MAC en un Cisco siempre utilizan el formato de dividir la MAC en tres partes separadas con puntos, es decir, 00:60:40:ab:40:ll se convertiría en 0060.40ab.4011.
www.FreeLibros.com
308
REDES CISCO. CCNP a Fondo
©RA-MA
Para poder ver la tabla CAM en un swich Cisco se utiliza el comando: Switch# show mac address-table dynamic [address mac-address \ interface type mod/num]
En el caso de que se desee eliminar una entrada específica de la tabla CAM puede hacerse con el comando: Switch# clear mac address-table dynamic [address mac-address | interface type mod/num | vían vlan-id]
Tabla TCAM La TCAM (Temary Contení Addressable Memory) es una extensión de la CAM con un índice que permiíá buscar las eníradas, pero con la diferencia de que en la CAM el índice es la dirección MAC y en la TCAM es un valor dependiente de la información que contenga. Las TCAM están compuestas por combinaciones de un Valor, una Máscara y un Resultado. • Valor: es un campo de 134 bits que contiene direcciones de origen y destino e información relevante del protocolo que se está utilizando. • Máscara: es otro campo de 134 bits y se utiliza para realizar la comparación. • Resultado: es el valor numérico que representa la acción a tomar que no tiene por qué ser permitir o denegar, en este caso el abanico de posibilidades es más amplio. Como se puede, ver en la siguiente tabla el valor es dependiente del protocolo que se esté utilizando: -
ACL
Valor, máscara y resultado
Ethernet
Origen MAC (48), destino MAC (48), Ethertype (16)
ICMP
Origen IP (32), destino IP (32), protocolo (16), código ICMP (8), tipo ICMP (4), IPtipo de servicio (ToS) (8)
www.FreeLibros.com
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
©RA-MA
Extended IP using TCP/UDP
Origen IP (32), destino IP (32), protocolo (16), IP ToS (8), puerto de origen (16), operador de origen (4), puerto destino (16), operador de destino (4)
Other IP
Origen IP (32), destino IP (32), protocolo (16), IP ToS (8)
IGMP
Origen IP (32), destino IP (32), protocolo (16), IP ToS (8), tipo de mensaje IGMP (8)
IPX
Origen IPX (32), destino IPX (32), nodo destino (48), tipo de paquete IPX (16)
309
En las TCAM se utiliza el concepto de Entidades de Control de Acceso, ACE. En este caso una ACE es una comparación exacta, es decir, una comparación que en una lista de acceso se lee el comparador eq, por ejemplo: access-list prueba permit tcp any host 10.0.0.1 eq 80
En el caso de utilizar en las listas de acceso un comparativo de otro tipo como gt, lt, neq o range el resultado no va a ser una única posibilidad, así que no se podrán utilizar ACE, para esto habrá que utilizar LOU (Logical Operation Unit). Las LOU internamente se pueden convertir en conjuntos de ACE, pero surge el problema que para LOU haya una cantidad limitada de espacio que podría provocar un desbordamiento de memoria, la razón de esta situación es porque los switches tienen que incorporar las ACE en los ASIC y éstos disponen de una capacidad determinada. Con el fin de ahorrar espacio, los contenidos de las LOU pueden ser reutilizados por otras ACE que necesiten las mismas comparaciones y los mismos valores. Por supuesto toda esta operación con las LOU y Tas ACE las hacen los equipos de forma transparente y sin intervención ninguna del usuario. También denotar que se pueden dividir las ACE en múltiples ACE, todo dependiendo de los ASIC específicos de los equipos. En el caso de las TCAM el funcionamiento es totalmente transparente al usuario y no es posible realizar operaciones en ella.
www.FreeLibros.com
310
REDES CISCO. CCNP a Fondo
©RA-MA
VERIFICACIÓN DEL CONTENIDO DE LA CAM La siguiente sintaxis muestra el comando para ver el contenido de la tabla CAM: Switch# show mac address-table dynamic [address mac-address \ interface type mod/num \ vían vlan-id]
Para eliminar el contenido de la tabla se puede utilizar el comando clear: Switch# clear mac address-table dynamic [address mac-address \ interface type mod/num | vían vlan-id]
El siguiente es un ejemplo de un show mac address-table dynamic: SW4507#sh mac address-table dynamic Unicast Entries vían
mac address
port
type
protocols
__ ____ -j
____ __ _._____ _____ _____
1
0000.0c07.acOa
dynamic ip
GigabitEthernet3/26
1
0000.74bl.a886
dynamic ip
GigabitEthernet4/21
1
0000.74bb.2273
dynamic ip
GigabitEthernet4/47
1
0000.74bb.4bc0
dynamic ip
GigabitEthernet3/43
1
0001.e65b.5aff
dynamic ip
GigabitEthernet4/4 7
1
0001.e6b6.615e
dynamic ip
GigabitEthernet4/48
1
0007.e917.cc61
dynamic ip
FastEthernet5/3 7
1
000f.fe47.cl3e
dynamic ip
GigabitEthernet4/47
1
000f.fe47.cl6c
dynamic i p,ipx
GigabitEthernet4/47
1
0014.5elf.Illa
dynamic ip
FastEthernet5/2
1
0014.699e.0820
dynamic ip,other
GigabitEthernet3/1
1
0024.f91b.a41b
dynamic ip,assigned
GigabitEthernet3/27
1
0024.f91b.bclb
dynamic ip,assigned
GigabitEthernet3/2 6
1
0800.3716.44e9
dynamic ip,ipx,other GigabitEthernet3/19
www.FreeLibros.com
©RA-MA
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
311
TIPOS DE PUERTOS DE UN SWITCH Ethernet Cuando comúnmente se habla de Ethemet se hace referencia a Ethemet basada en la norma de la IEEE 802.3, la cual describe Ethemet como un medio compartido que además es dominio de colisión y de difusión. En Ethemet dos estaciones no pueden transmitir simultáneamente y cuantas más estaciones existan en el segmento más probabilidad existe de colisión, esto sólo ocurre en modo halfduplex, en el que una estación no es capaz de transmitir y recibir a la vez. Ethemet está basada en la tecnología CSMA/CD (Carrier Sense Múltiple Access Collision Detect), que describe un modo de operación en sistemas de contienda o máximo esfuerzo. En enlaces conmutados Ethemet puede solucionar el problema del medio compartido dedicando a cada estación un puerto del switch, de esta forma cada estación tendría su propio dominio de colisión y no podrá colisionar, o al menos estas colisiones serían mucho menos repetitivas. En el caso de full-duplex una estación podría enviar y recibir tramas de forma simultánea, lo cual hará que el rendimiento del medio, por ejemplo de 10 Mbps ascienda hasta 20 Mbps, 10 para la transmisión y otros 10 para la recepción. En cuanto al medio utilizado en Ethemet el más común es cable de cobre de par trenzado tipo UTP, con el que se pueden alcanzar hasta 100 metros. En el CCNA se hacía referencia a 10BASE-2, 10BASE-5 y 10BASE-T, en este caso se hace referencia a 10BASE-T y no se trata 10BASE-2 y 10BASE-5 porque es una tecnología que ha caído en desuso.
CSMA/CD La tecnología Ethemet utiliza para controlar las colisiones dentro de un determinado segmento el protocolo CSMA/CD (Carrier Sense Múltiple Access Collision Detect) y detección de colisiones. En la práctica, esto significa que varios puestos pueden tener acceso al medio y que, para que un puesto pueda acceder a dicho medio, deberá detectar la portadora para asegurarse de que ningún otro puesto esté utilizándolo. Si el medio se encuentra en uso, el puesto procederá a mantener en suspenso el envío de datos. En caso de que haya dos puestos que no detectán ningún otro tráfico, ambos tratarán de transmitir al mismo tiempo, dando como resultado una colisión.
www.FreeLibros.com
312
REDES CISCO. CCNP a Fondo
©RA-MA
A partir de esta colisión las estaciones emiten una señal de congestión para asegurarse de que existe una colisión y se genera un algoritmo de espera con el que las estaciones retransmitirán aleatoriamente.
Fast Ethernet Fast Ethemet está definido en el estándar IEEE 802.3u, el cual define un nuevo estándar que compartiendo la subcapa de acceso al medio (MAC) con IEEE 802.3 pueda transmitir a 100 Mbps. La diferencia con IEEE 802.3 estriba en la modificación del medio físico manteniendo la operación CSMA/CD y la subcapa MAC. Aunque el medio más utilizado en Fast Ethemet es el cableado UTP categoría 5, existe la posibilidad de utilizar cableado UTP de menor calidad o por el contrario la utilización de fibra monomodo y múltimodo con las que se obtiene una mayor longitud en el segmento. Fast Ethemet proporciona la capacidad de full-duplex al igual que Ethemet, mejorando su rendimiento hasta 200 Mbps, y proporcionando la autonegociación. La especificación Fast Ethemet dispone de compatibilidad con Ethemet tradicional, así que los puertos en el caso de 100BASE-T pueden ser 10/100, además de la velocidad es posible negociar el dúplex de la transmisión. Para la autonegociación se establecen una serie de prioridades en las cuales existen unos modos más prioritarios que otros y el orden de elección es el siguiente: • . • • • • •
100BASE-T2 (full dúplex) 100BASE-TX (full dúplex) 100BASE-T2 (half dúplex) 100BASE-T4 100BASE-TX 10BASE-T (full dúplex) 10BASE-T
Cisco recomienda de todos modos no utilizar autonegociación y configurar los puertos en ambos extremos de forma manual para asegurar el modo de operación deseado. Cisco además permite en Fast Ethemet la agregación de puertos para conseguir mayor ancho de banda, esto se consigue mediante Fast EtherChannel, el cual se tratará más adelante.
www.FreeLibros.com
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
©RA-MA
313
Gigabit Ethernet El estándar Gigabit Ethemet (IEEE 802.3z) es una mejora sobre Fast Ethernet que permite proporcionar velocidades de 1 Gbps, pero para conseguir este resultado fue necesario utilizar el estándar ANSI X3T11 - Fiberchannel junto con el estándar IEEE 802.3. De esta forma surgió un nuevo estándar con el mismo modo de operación que Ethemet, pero a 1 Gbps. Gigabit Ethemet permite la compatibilidad con sus predecesores, existen puertos de 10/100/1000 y es posible la autonegociación, ésta se realiza igual que en el caso de Fast Ethemet, pero añadiendo como más prioritario 1000BASE-T (full dúplex) y posteriormente 1 0 0 0 BASE-T (half dúplex). Sin embargo Cisco dispone de hardware que no es compatible con 10/100 como es el caso de las tarjetas WS-X6724-SFP, que sólo soportan 1000 full dúplex en módulos SFP. Por supuesto la capacidad de agregación también existe en Gigabit Ethemet denominándose Gigabit EtherChannel. Los equipos Cisco soportan como interfaces Gigabit Ethemet además de los puertos RJ la posibilidad de utilizar GBIC o SFP para poder conectar fibra con conectores LC en el caso de los GBICs o con conectores mini LC en el caso de los SFP.
10-Gigabit Ethernet En el caso de 10-Gigabit Ethemet (IEEE 802.3ae) funciona sobre una nueva capa física totalmente diferente a las anteriores, pero manteniendo la subcapa MAC exactamente igual que las versiones antecesoras. 10-Gigabit Ethemet sólo funcionará a 10 Gbps full dúplex, en este caso no existe compatibilidad con versiones anteriores de Ethemet ya que la capa física no es compatible. En cuanto a la capa física se disponen de dos tipos de interfaces dependientes del medio PMD (Physical Media Dependent):
. LAN PHY: interconecta switches dentro de la misma red de campus. • WAN PHY: interfaces para entornos WAN que utilicen tecnologías de transmisión síncrona. Lo normal en cuanto a estas interfaces es la interconexión con un cable directo o en el caso de utilizar enlaces WAN se suele utilizar 10-Gigabit Ethemet
www.FreeLibros.com
314
REDES CISCO. CCNP a Fondo
©RA-MA
sobre DWDM, proporcionando así transparencia y utilizando interfaces LAN PHY. La óptica en este tipo de interfaces se realiza mediante transceptores XENPAK o los más modernos y reducidos X2.
ESTÁNDARES DE MEDIOS Las siguientes tablas describen los diferentes estándares y tecnologías de cableado: Tipo de Ethernet
Tipo de medio
Estándar
10-Mbps Ethemet
10BASE-X
IEEE 802.3
Fast Ethemet
100BASE-X
IEEE 802.3u
Gigabit Ethernet
1000BASE-X
IEEE 802.3z (Fibra) IEEE 802.3ab (UTP)
10-Gigabit Ethemet
10GBASE-X
IEEE 802.3ae
Tecnología
Tipo de cable
Pares
Longitud
10BASE-T
EIA/TIA Categoría 5 UTP
2
100 m
100BASE-TX
EIA/TIA Categoría 5 UTP
2
100 m
2
100 m
4
100 m
Fibra Múltimodo (MMF); 62.5-micrones core, 125micrones (62.5/125)
1
400 m half dúplex 2000 m full dúplex
Fibra monomodo (SMF)
1
10 km
1000BASE-CX
Par trenzado blindado (STP)
1
25 m
1000BASE-T
EIA/TIA Categoría 5 UTP
4
100 m
100BASE-T2 100BASE-T4
100BASE-FX
EIA/TIA Categoría 3, 4, 5 UTP EIA/TIA Categoría 3, 4, 5 UTP
www.FreeLibros.com
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
©RA-MA
1000BASE-SX
1000BASELX/LH
1000BASE-ZX
10GBASESR/SW (850 nm serial) 10GBASELR/LW (1310 nm serial) 10GBASEER/EW (1550 nm serial) 10GBASE-LX4 (1310 nm WWDM)
MMF con 62.5-micrones; 850-nm láser
1
275 m
MMF con 50-micrones; 850-nm láser
1
550 m
MMF con 62.5- micrones; 1300-nm láser
1
550 m
SMF con 50- micrones; 1300-nm láser
1
550 m
SMF con 9- micrones; 1300-nm láser
1
10 km
SMF con 9- micrones; 1550-nmláser
1
70 km
SMF con 8- micrones; 1550-nm láser
1
100 km
MMF: 50 micrones MMF: 62.5 micrones
11
66 m 33 m
SMF: 9 micrones
1
10 km
SMF: 9 micrones
1
40 km
MMF: 50 micrones MMF: 62.5 micrones
11
300 m 300 m
SMF: 9 micrones
1
10 km
315
CONFIGURACIÓN DE PUERTOS DEL SWITCH El proceso de configuración de los puertos de un switch se inicia identificando el puerto o los puertos según muestran los siguientes comandos: Switch(config)# interface t y p e m odule/num ber Switch(config)# interface range t y p e m odule/num ber [ , m odule/number ...]
www.FreeLibros.com
ty p e
n 316
REDES CISCO. CCNP a Fondo________________________________________________________ ©RA-MA
La siguiente sintaxis muestra un ejemplo de configuración de varios puertos a la vez: Switch(config)# interface range fastethernet 0/5 , fastethernet 0/12 , fastethernet 0/14 , fastethernet 0/36
Es posible además abreviar las configuraciones con el comando range configurando un rango de puertos continuos desde el primero hasta el último: Switch(config)#
interface
range
type
module/first-number
—
last-
number
Cuando en el proceso de configuración intervienen siempre los mismos puertos puede definirse un grupo determinado que asocie dichos puertos. El primer paso en esta configuración será definir cuáles son los puertos que se asociarán y posteriormente nombrar el grupo con el comando range macro: Switch(config)# define interface-range macro-name type module/number [,type module/ number ...] [type module/first-number — last-number]
[...] Switch(config)# interface range macro macro-name
El siguiente ejemplo configura un rango de puertos en un grupo llamado CCNP: Switch(config)# define interface-range CCNP gig 2/1 , gig 2/3 — 2/5 , gig 3/1 , gig 3/10, gig 3/32 — 3/48 Switch(config)# interface range macro CCNP
Una vez accedido a la interfaz o interfaces que se deseen configurar se podrá añadir una descripción significativa del puerto. Esta descripción sólo tiene carácter administrativo y no influye en la manipulación de las tramas, sin embargo presta un servicio de ayuda al administrador para la identificación de los puertos: switch(config-if)#description description-string
La velocidad del puerto y el método de transmisión se configura con los siguientes comandos: switch(config-if)#speed {10 | 100 | 1000} switch(config-if)#duplex {auto | full | half)
www.FreeLibros.com
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
© RA-MA
317
Un ejemplo completo será: switch(config)#interface FastEthernet 0/14 de Servidores
s w i t c h (config-if)#description P C s W i t c h ( c o n f ig-if)#speed 1 0 0 0 s w i t c h ( c o n f ig-if)#duplex
full
Causas de error en puertos Ethernet Por defecto los switches Cisco son capaces de detectar los errores de forma autónoma, en caso de detectarse un error el switch dejará ese puerto en un estado llamado errdisable y el puerto quedará deshabilitado durante 300 segundos, para recuperar el puerto será necesario deshabilitarlo con el comando shutdown y posteriormente lo contrario con un no shutdown. switch#show interfaces gigabitethernet 5/13 status port Gi5/13
Ñame
Status Vían err-disabled 100
Dúplex full
Speed Type 1000 lOOOBaseSX
Las causas posibles de error son las que se pueden ver con el comando show errdisable recovery: switch#show errdisable recovery ErrDisable Reason
Timer Status
udld bpduguard security-violatio channel-misconfig pagp-flap dtp-flap link-flap 12ptguard psecure-violation gbic-invalid dhcp-rate-limit mac-limit únicast-flood arp-inspection
Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled
Timer interval: 300 seconds
A partir del momento en el que se detecta una causa de error, el puerto quedará deshabilitado durante 300 segundos para que el puerto no caiga en el momento de detectar una condición de error es posible utilizar el siguiente comando: switch (config )#errdisable. recovery cause [all / cause-name]
www.FreeLibros.com
318
REDES CISCO. CCNP a Fondo
©RA-MA
Para modificar el tiempo en el que el puerto queda deshabilitado se utiliza el siguiente comando: switch(config)#errdisable recovery interval seconds
Donde segundos es un valor entre 30 y 86400 (24 horas).
VERIFICACIÓN DEL ESTADO DE UN PUERTO Para verificar el estado de un puerto, su velocidad, contadores, paquetes transmitidos y recibidos puede utilizarse el comando siguiente: Switch# show interfaces type module/number
El siguiente ejemplo muestra la configuración del Puerto Fast Ethemet 0/ 22 : Switch# show interfaces fastethernet 0/22 FastEthernetO/13 is up, line protocol is up Hardware is Fast Ethernet, address is OOdO.589c.3e8d (bia OOdO.589c.3e8d) MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive not set Auto-duplex (Half), Auto Speed (100), 100BASETX/FX ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:00:01, output hang never Last clearing of "show interface" counters never Queueing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 0 drops 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 81000 bits/sec, 49 packets/sec 500867 packets input, 89215950 bytes Received 12912 broadcasts, 374879 runts, 0 giants, 0 throttles 37487 9 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 0 multicast 0 input packets with dribble condition detected 89672388 packets output, 2205443729 bytes, 0 underruns 0 output errors, 0 collisions, 3 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out
Para verificar el estado de los puertos IP en general puede utilizarse el siguiente comando que se muestra en el ejemplo:
www.FreeLibros.com
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
©RA-MA Switch#sh ip interface brief
interface
IP-Address
OK? Method Status
Protocol
up
up
Vlanl
10.0.168.5
YES NVRAM
FastEthernet1/0/1
unassigned
YES unset
down
down
FastEthernet1/0/2
unassigned
YES unset
up
up
FastEthernet1/0/3
unassigned
YES unset
down
down
FastEthernet1/0/4
unassigned
YES unset
up
up
FastEthernet1/0/5
unassigned
YES unset
down
down
FastEthernet1/0/6
unassigned
YES unset
up
up
FastEthernet3/0/4 5
unassigned
YES unset
up
up
FastEthernet3/0/4 6
unassigned
YES unset
up
up
Fas tEthernet3/0/4 7
unassigned
YES unset
up
up
Fas tEthernet3/0/4 8
unassigned
YES unset
up
up
GigabitEthernet3/0/1
unassigned
YES unset
down
down
GigabitEthernet3/0/2
unassigned
YES unset
down
down
GigabitEthernet3/0/3
unassigned
YES unset
up
up
GigabitEthernet3/0/4
unassigned
YES unset
down
down
www.FreeLibros.com
319
M ’= r r * r . . - * v-
www.FreeLibros.com
Capítulo 11
REDES VIRTUALES VLAN Una red totalmente construida sobre dispositivos de capa 2 es una red llamada “red plana”. Este tipo de redes se componen de un único dominio de difusión, es decir, los broadcast inundan toda la red, lo que hace que al aumentar el número de host aumente el número de broadcast disminuyendo el desempeño de la red. Sin embargo las redes conmutadas permiten eliminar las limitaciones impuestas por las redes planas dividiendo dicha red en varias redes virtuales (VLAN). Las VLAN (Virtual LAN) proveen seguridad, segmentación, flexibilidad, permiten agrupar usuarios de un mismo dominio de broadcast con independencia de su ubicación física en la red. Usando la tecnología VLAN se pueden agrupar lógicamente puertos del switch y los usuarios conectados a ellos en grupos de trabajo con interés común. Una VLAN por definición es un dominio de difusión creado de forma lógica. Utilizando la electrónica y los medios existentes es posible asociar usuarios lógicamente con total independencia de su ubicación física incluso a través de una WAN. Las VLAN pueden existir en un sólo switch o bien abarcar varios de ellos. La tecnología de VLAN está pensada para la capa de acceso donde los host se agregan a una u otra VLAN de forma estática o de forma dinámica.
www.FreeLibros.com
322
REDES CISCO. CCNP a Fondo
©RA-MA
Las VLAN estáticas son las que los puertos deben agregarse de forma manual. En este tipo de VLAN no es necesario ningún tipo de negociación por parte del switch y toda la configuración se realiza manualmente por el administrador quien es, además, el encargado de asignar cada puerto a cada VLAN de forma manual. Una vez que el puerto del switch está asignado a una VLAN son los ASCI específicos del switch los que se encargan de mantener el trafico que entre por ese puerto dentro de la VLAN asociada. Las VLAN dinámicas son muy utilizadas y se basan en la MAC del dispositivo que se conecte a un puerto determinado, son utilizadas por ejemplo en el caso de utilizar IEEE 802. IX para proporcionar seguridad. Las VLAN dinámicas utilizan algún software de gestión como Cisco Works para su funcionalidad.
CONFIGURACIÓN DE VLAN ESTÁTICAS Por defecto los puertos de un switch están asociados a la VLAN 1 de tipo Ethemet y la MTU (Unidad Máxima de Transmisión) se limita a 1500 bytes. Sin embargo es posible utilizar VLAN con otra numeración, en concreto desde el 1 hasta el 1005, donde desde el 1002 hasta el 1005 están reservadas para funciones de Token Ring y FDDI la VLAN 1 también está reservada como VLAN por defecto o administración. Sin embargo los switches de Cisco mayoritariamente son capaces de soportar la versión 3 de VTP (VLAN Trunking Protocol), lo cual implica que pueden utilizar las VLAN del rango 1-4094, de esta forma se establece la compatibilidad con el estándar IEEE 802.1Q. Para poder utilizar el rango extendido
www.FreeLibros.com
CAPÍTULO 11. REDES VIRTUALES
©RA-MA
323
es imprescindible que el comando vtp mode transparent esté habilitado en con figuración global. El proceso de configuración de una VLAN se inicia creándola y posteriormente nombrándola: Switch(config)# vían vlan-num Switch(config-vlan)# ñame vlan-naine
Si no se configura el nombre a la VLAN, ésta utilizará un nombre compuesto por la palabra VLAN seguida del número de VLAN, para facilitar la administración es recomendable definir el nombre en la configuración. También es posible en algunos de los switches de Cisco crear la VLAN automáticamente al agregar un puerto a una nueva VLAN, a pesar de esta funcionalidad lo mejor es crear la VLAN en cualquier tipo de switch Cisco. Para eliminar una VLAN del switch se utiliza el comando: switch(config)#no vían vlan-num
o desde la memoria flash eliminando el archivo vlan.dat. Una vez creada la VLAN es necesario asignar a ésta los puertos necesarios siguiendo el siguiente proceso: Switch(config)# interface type module/number Switch(config-if)# switchport Switch(config-if)# switchport mode access Switch(config-if)# switchport access vían vlan-num
En algunos casos la línea de comandos switchport mode access puede suprimirse. El comando switchport cuando no lleva argumentos lo que hace es indicarle al switch que se trata de un puerto de capa 2, en los. switch multicapa de Cisco, por defecto todos los puertos son de nivel 3. Con el comando switchport mode access se le indica que se trata de un puerto de acceso donde se conectarán los host y no otros switches. Y con el comando switchport access vían se le indica que VLAN es la que está asociada a la interfaz. Los dispositivos o host que se conecten a un puerto de acceso no conocen el número de la VLAN, el tráfico es etiquetado a la VLAN una vez llegue al puerto del switch correspondiente.
www.FreeLibros.com
324
REDES CISCO. CCNP a Fondo
©RA-MA
Una vez configurados los puertos y asociados cada uno a su VLAN se puede comprobar la configuración con el comando show vían como se puede ver en el siguiente ejemplo: Switch# show VLAN Ñame
vían Status
1 default
active
2 Recursos 5 Ventas
active
Ports Gil/1, Gil/2, GÍ3/20, GÍ4/20 GÍ4/2, GÍ4/3, GÍ4/4, GÍ4/5, GÍ4/6, GÍ4/7, GÍ2/5, GÍ2/6, GÍ2/7, GÍ2/8,GÍ2/9, GÍ2/10, GÍ2/11, GÍ2/12
DISEÑO DE VLAN Hay consideraciones de diseño que aunque puedan parecer obvias es importante recordar. Se recomienda una VLAN por cada subred IP, aunque es posible utilizar varios rangos en una misma VLAN, no es nada recomendable. Otro factor de diseño importante es no permitir que las VLAN se propaguen más allá de la capa de distribución, es decir, que no estén presentes en el core siempre que sea posible de tal de manera que el tráfico de broadcast permanezca lo más alejado del mismo, pero esto no es siempre viable, para ello hay dos modelos a seguir: •
VLAN extremo a extremo, este tipo de VLAN está disponible en toda la red y proporciona una flexibilidad absoluta. Utilizando VLAN extremo a extremo es posible conectar un dispositivo a este tipo de VLAN desde cualquier punto de la red, por tanto la VLAN tiene que estar disponible en cualquier switch de acceso de la red. En una red de tamaño grande no es una buena práctica este tipo de VLAN ya que su tráfico termina atravesando el bloque de core al conectar diversos módulos de conmutación.
•
VLAN locales, en redes donde el modelo 20/80 sea él más utilizado, es decir donde el 20% del tráfico se queda en el segmento y el 80% sube al core, este tipo de implementación es la ideal debido a que la mayoría del tráfico de la VLAN no tiene como destino la misma VLAN. Este tipo de implementación necesita equipos de nivel 3 que sean capaces de enrutar el tráfico entre las diferentes VLAN que compongan la red.
www.FreeLibros.com
r CAPÍTULO 11. REDES VIRTUALES
325
enlaces tro ncales Los troncales o trunk son enlaces capaces de transportar el tráfico de más de una VLAN y se suele utilizar entre switches para transportar entre ellos las VLAN de acceso de los diferentes switches separando de forma lógica el tráfico de cada VLAN, pero utilizando un único enlace físico. Ante la imposibilidad de poder dedicar un enlace a cada VLAN independientemente la solución para poder transportar todo el tráfico por un único enlace físico es a través de un trunk. En muchos casos es necesario agrupar usuarios de la misma VLAN que se encuentran ubicados en diferentes zonas; para conseguir esta comunicación los switches utilizan un enlace troncal. A medida que las tramas salen del switch son etiquetadas para indicar a qué VLAN corresponden, esta etiqueta es retirada una vez que entra en el switch de destino para ser enviada al puerto de VLAN correspondiente. Cisco permite utilizar trunk en puertos Fast Ethemet, Gigabit Ethemet y agregaciones Fast EtherChannel y Gigabit EtherChannel. En un trunk es imprescindible diferenciar el tráfico de cada una de las VLAN, de tal manera que se le asigna un identificador a cada trama entrante llamado VLAN-ID. Para poder identificar el tráfico en un enlace troncal existen dos posibilidades de etiquetado: • ISL (Inter-Switch Link protocol) .
IEEE 802.1Q E n la c e T r o n c a l
www.FreeLibros.com
326
REDES CISCO. CCNP a Fondo
©RA-MA
ISL ISL (Inter Switch Link) es un protocolo propietario de Cisco que está cayendo en desuso en el que se le añade a la trama de cada VLAN 26 bytes de cabecera y 4 bytes de cola. En realidad ISL encapsula la trama origen, que se suma al etiquetado que se aplica en la trama más el etiquetado del propio ISL; se podría considerar que es de un doble encapsulado. En ISL en la cabecera se define el VLAN-ID y en la cola un CRC. Aunque ISL es un protocolo propietario de Cisco no todos los switches Cisco lo soportan, por lo tanto se recomienda no utilizarlo. E n la c e T ro n c a l ISL
Cabecera ISL 26 Bytes
CRC 4 Bytes
IEEE 802.1Q El protocolo IEEE 802.1Q es el estándar y es compatible con otros fabricantes, es un trunk en el que podrían interoperar un switch Cisco con otro de otro fabricante. El protocolo IEEE 802.1Q además introduce el concepto de VLAN Nativa, que comprendería todo el tráfico que entra en el trunk sin ser etiquetado. El funcionamiento del IEEE 802.1Q se basa en un etiquetado simple, ya que no se añade cabecera ni cola nueva. En IEEE 802.1Q simplemente se añade un campo de 4 bytes en la trama justo después del campo de dirección origen. Los dos primeros bytes del campo de IEEE 802.1Q son el TPID (Tag Protocol Identifier) y siempre tendrá un valor de 0x8100, indicando que se trata de una trama 802.1Q. Los otros dos bytes se denominan TC I (Tag Control Information), los cuales contienen 3 bits de prioridad, además del bit de formato canónico que indica si la dirección MAC es Ethemet o Token Ring; los 12 bits restantes son el VLAN-ID. Si se tiene en cuenta la sobrecarga de identificar las VLAN hay que tener presente que para el caso de ISL se añaden 30 bytes a cada trama, mientras que IEEE 802.1Q sólo añade 4, esto implica que en el caso de utilizar ISL la trama puede superar los 1518 bytes que es el límite de Ethemet.
www.FreeLibros.com
CAPÍTULO 11. REDES VIRTUALES
©RA-MA
327
En el caso de 802.1Q los switches pueden cumplir el estándar IEEE 8Q2.3ac el cual extiende el tamaño de las tramas hasta 1522 bytes sin tener que utilizar giants. El protocolo propietario de Cisco DTP (Dynamic Trunking Protocol) le permite a un router Cisco negociar de manera automática si el trunk es 802.1Q o ISL. E n la c e T ro n c a l 8 0 2 . 1Q
TRAM A
FCS
Dirección Destino Dirección Origen
E tiq u e ta 8 0 2 . 1Q
4 Bytes
CONFIGURACIÓN DE TRONCALES Por defecto los puertos de capa 2 de los switches son puertos de acceso, para que éstos funcionen como puertos troncales hay que configurarlos según las siguientes sintaxis: Switch(config)# interface type mod/port Switch(config-if)# switchport Switch(config-if)# switchport trunk encapsulation {isl | dotlq | negotiate} Switch(config-if)# switchport trunk native vían vlan-id Switch(config-if)# switchport trunk allowed ví a n ■{vlan-list | all | {add | except | remove} vlan-list} Switch(config-if)# switchport mode {trunk | dynamic {desirable | auto}}
En la configuración de los troncales intervienen varios parámetros, en la encapsulación existen tres posibilidades de configuración: • • •
Isl: el trunk se formará utilizando ISL. dotlq: el trunk se formará utilizando IEEE 802.1Q. negotiate: el trunk se formará utilizando el protocolo DTP de Cisco.
www.FreeLibros.com
328
REDES CISCO. CCNP a Fondo
©RA-MA
El comando switchport trunk native vían sólo se utiliza con la encapsulación dotlq e indica que VLAN será la VLAN de administración o nativa, por lo tanto no llevará etiqueta alguna. El comando switchport trunk allowed vían se utiliza para añadir o borrar VLAN del trunk, aunque la opción except lo que hará será permitir todas excepto la que se indique. Es importante tener en cuenta que en los casos donde exista demasiado tráfico el trunk se puede aplicar no sólo en una interfaz individual sino en una agregación Fast EtherChannel o Gigabit EtherChannel ampliando así el ancho de banda del enlace. Para ver el estado de una interfaz troncal se utiliza el comando show interface type mod/port trunk, la sintaxis que sigue muestra un ejemplo: Switch# show Port Mode GÍ2/1 on Port GÍ2/1 Port GÍ2/1 Port GÍ2/1
interface gigabitethernet 0/2 trunk Encapsulation Status Native vían 802.lq trunking 1 Vlans allowed on trunk 1-4094 Vlans allowed and active inmanagementdomain 1-2,526,539,998,1002-1005 Vlans in spanning tree forwarding state and not pruned 1-2,526,539,998,1002-1005
Ejemplo de configuración de un troncal En el siguiente ejemplo dos switches están conectados troncalmente a través de sus interfaces gigabitethernet 0/1. Aunque existen varias VLAN configuradas sólo transportarán por el troncal las VLAN 100 hasta la 105. La VLAN 100 es la nativa y se utiliza la encapsulación 802.lq. Más abajo se muestran algunos comandos show aplicados al ejemplo, se observan en ellos las interfaces troncales y las que no están activas entre otros conceptos: Switch(config)# interface gigabitethernet 0/1 Switch(config-if)# switchport trunk encapsulation dotlq Switch(config-if)# switchport trunk native vían 100 Switch(config-if)# switchport trunk allowed vían 100-105 Switch(config-if)# switchport mode dynamic desirable Switch# show interface gigabitethernet 0/1 trunk Port Mode Encapsulation S tatus Native vían GiO/1 desirable 802.lq not-trunking 100 Port Vlans allowed on trunk
www.FreeLibros.com
CAPÍTULO 11. REDES VIRTUALES
©RA-MA
329
GiO/1 port
10° Vlans allowed and active in management domain
GiO/1 port GiO/1 Switch# show port Ñame Gi0/1 q Iq /2 GiO/1
100 Vlans in spanning tree forwarding state and not pruned none interface status Status Vían Dúplex Speed Type notconnect 1 auto 1000 lOOOBaseSX notconnect 1 auto 1000 lOOOBaseSX connected 100 full 1000 lOOOBaseSX
RESOLUCIÓN DE FALLOS EN LAS VLAN Una VLAN puede ser sólo un segmento de una red o puede atravesar varios switches, por lo tanto si no existe comunicación de extremo a extremo, y suponiendo que el direccionamiento IP es correcto, será necesario verificar las configuraciones de las VLAN, los puertos y las conexiones troncales. Los comándos show que sirven para este seguimiento son: • show vían id vlan-id • show interface type mod/num switchport • show interface [type mod/num\ trunk Switch# show vían id 5 VLAN Ñame Status
5 Recursos
active
VLAN Type SAID Trans2
Ports
GÍ2/1, GÍ2/2, GÍ2/3, GÍ2/4 GÍ4/2, GÍ4/3, GÍ4/4, GÍ4/5 GÍ4/6, GÍ4/7, GÍ4/8, GÍ4/9 GÍ4/10, GÍ4/11, GÍ4/12 MTU Parent RingNo BridgeNo Stp BrdgMode Transí
5 enet 100002 1500Primary Secondary Type
Ports
-
-
Switch# show interface fastethernet 0/2 switchport Ñame: FaO/2 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: static access Administrative Trunking Encapsulation: dotlq Operational Trunking Encapsulation: native Negotiation of Trunking: On
www.FreeLibros.com
-
0
0
n
330
REDES CISCO. CCNP a Fondo
©RA-MA
Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative private-vlan host-association: none Administrative private-vlan mapping: none
Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Protected:
false
Unknown unicast blocked: disabled Unknown multicast blocked: disabled Voice VLAN: none (Inactive) Appliance trust: none Switch# show interface fastethernet 0/2 trunk
Port FaO/2 Port FaO/2 Port FaO/2 Port FaO/2
Mode Encapsulation Status Native vían auto 802.lq not-trunking 1 Vlans allowed on trunk 1 Vlans allowed and active in management domain 1 Vlans in spanning tree forwarding state and not pruned 1
www.FreeLibros.com
Capítulo 12
VTP VLAN TRUNKING PROTOCOL La configuración de VLAN en una red de entorno pequeño puede ser fácilmente administrable, mientras que en entornos grandes la administración puede resultar muy engorrosa y complicada debido a que se tienen que configurar todas las VLAN en todos los switches y puede ser fácil que alguna VLAN no se configure en alguno de los switches, sobre todo en el diseño de VLAN de extremo a extremo. En el caso de una red con un tamaño considerable es importante mantener una consistencia en las VLAN que se van creando, para esto resulta muy recomendable disponer de algún mecanismo que permita tener todos los switches sincronizados en cuanto a las VLAN de la red. VTP (VLAN Trunking Protocol) proporciona un medio sencillo de mantener una configuración de VLAN coherente a través de toda la red conmutada. VTP permite soluciones de red conmutada fácilmente escalable a otras dimensiones, reduciendo la necesidad de configuración manual de la red. Es un protocolo propietario de Cisco de capa 2 que permite intercambiar información sobre VLAN entre trunk de forma que los switches de la red tengan la base de datos de VLAN sincronizadas en todo momento desde un punto central de la red. En el caso de no utilizar switches Cisco o de querer interconectar switches Cisco con otros de otro fabricante no se podría utilizar VTP debiendo utilizar algún protocolo abierto como GVRP (GARP VLAN Registration Protocol). GARP y GVRP están definidos en los estándares IEEE 802.ID y 802.1Q (cláusula 11)
www.FreeLibros.com
332
REDES CISCO. CCNP a Fondo
©RA-MA
respectivamente y tienen funcionalidades muy similares al VTP pero como protocolos abiertos. VTP es un protocolo de mensajería de capa 2 que mantiene la misma relación de la configuración VLAN a través de un dominio de administración común, gestionando las adiciones, supresiones y cambios de nombre de las VLAN a través de las redes. Existen varias versiones de VTP en el caso particular de nuestro enfoque no es fundamental especificar las diferencias entre ellas.
Dominios de VTP VTP utiliza dominios para agrupar a los switches que comparten la misma información de VLAN. Varios switches interconectados comparten un mismo entorno VTP y cada switch se configura para residir en ese determinado dominio VTP. Dentro de un dominio de VTP se intercambia la siguiente información gracias a los anuncios de VTP: •
Nombre del Dominio
•
Versión de VTP
•
Lista de VLAN
•
Parámetros específicos de cada VLAN
Modos de VTP Los switches dentro de un dominio de VTP pueden funcionar de tres formas diferentes: •
Modo servidor: los servidores son los encargados de crear y mantener la información de todas las VLAN en la red y son los encargados de pasar esta información al resto de switches. Por defecto los switches Cisco están en modo servidor.
•
Modo cliente: los switches en modo cliente no pueden hacer ninguna modificación en las VLAN y mantienen la información de VLAN gracias a los mensajes que son enviados desde los switches servidores.
www.FreeLibros.com
CAPÍTULO 12. VTP
©RA-MA
•
333
Modo transparente: los switches en modo transparente no participan en el proceso de VTP pero reenvían los mensajes de VTP de forma diferente dependiendo de la versión de VTP. Si es VTP versión 1 sólo se reenvían los mensajes de VTP que tengan como versión 1 y que correspondan al nombre de dominio que tengan configurado. En VTP versión 2 sin embargo los switches transparentes son capaces de reenviar los mensajes VTP aunque no correspondan ni a la versión que tiene el switch configurado ni al dominio en el que esté incluido este switch en modo transparente.
Dominio VTP
Anuncios de VTP Los switches que utilizan VTP versión 1 o versión 2 anuncian las VLAN (sólo desde la 1 hasta la 1005), números de versión de configuración y parámetros de cada VLAN por los trunk para notificar esta información al resto de los switches de dominio mediante mensajes de multicast. La versión 3 de VTP permite la utilización de VLAN en el rango 1-4096, lo que haría a VTP compatible con el estándar IEEE 802.1Q, pero de momento sólo está disponible para switches Cisco funcionando con CatOS. Es importante comentar que el número de versión de configuración empieza siempre en 0 y que cada vez que se produce un cambio el número de versión de configuración se incrementa en 1 y el mensaje con número de versión de configuración más alto se considera el último y por tanto el que hay que
www.FreeLibros.com
334
REDES CISCO. CCNP a Fondo
©RA-MA
sincronizar. También es importante saber que por defecto los anuncios de VTP se transmiten en texto plano y sin contraseña, es decir, sin encriptación, con lo que no se realiza un intercambio de información seguro realizando un intercambio de contraseña. Dicho esto, surge un problema bastante serio. Teniendo en cuenta que los switches Cisco por defecto están en modo servidor y que los clientes VTP almacenan la información que tenga el número de versión de configuración más alto, es posible que se utilice un switch incorporado de algún otro sitio donde su número de versión de configuración sea más alto. Al estar este último por defecto en modo servidor, existe la posibilidad de que este nuevo switch incorporado en la red sobrescriba la configuración de todos los switches de la red borrando y/o creando VLAN y por tanto modificando la configuración y dando lugar a fallos en la red. Por su puesto si ese switch se introdujera en modo cliente y tuviera un número de versión de configuración más alto que el servidor, ignoraría las actualizaciones y esto significaría que el switch no actualizaría su configuración. Es sumamente importante antes de incorporar un switch nuevo en la red asegurarse de que el número de versión de la configuración se establece a 0, pero como no existe ningún comando que haga esto directamente habrá que hacerlo de forma indirecta con cualquiera de estas dos formas: •
Cambiando el modo del switch a transparente y posteriormente otra vez a servidor.
•
Cambiando el nombre del dominio de VTP a uno cualquiera que no se utilice y volviendo luego a configurar el dominio de VTP correcto.
Una vez asumidas estas precauciones se podrá proceder a instalar el nuevo switch. Los anuncios de VTP se generan de tres formas diferentes: •
Summary Advertisements: estos anuncios se generan por el servidor cada 300 segundos o cada vez que se ha realizado un cambio en la base de datos de VLAN.
•
Subsets Advertisements: estos anuncios se crean cada vez que se genera un cambio en alguna VLAN.
•
Advertisements Requested from Clients: este tipo de anuncios se envía cada vez que un cliente necesita que se le actualice la configuración, por ejemplo después de un reset del equipo.
www.FreeLibros.com
CAPÍTULO 12. VTP
©RA-MA
335
Los switches que operan en modo servidor no necesitan que se les pase la configuración después de un reset ya que guardan la información de VTP y de las VLAN en el fichero vlan.dat en la Flash, con lo que los resets no implican pérdida alguna de información.
CONFIGURACIÓN DE VTP La configuración de VTP en los switches Cisco con IOS es bastante sencilla ya que lo único que hay que configurar es el dominio de VTP y el modo, opcionalmente la versión, contraseña, etc. Por defecto la configuración que se utilizará al configurar VTP es la versión 1, aunque la versión 2 tiene las siguientes ventajas sobre la versión 1: •
En los switches en modo transparente la versión 2 permitirá que se reenvíen los anuncios recibidos de VTP independientemente de su versión o dominio.
•
La versión 2 realiza una comprobación de consistencia al introducir los comandos por CLI o mediante SNMP, pero no realizaría esta comprobación en los anuncios recibidos desde otros switches.
•
Soporte para Token Ring
Configurar la versión de VTP es tan simple como introducir este comando en el modo de configuración global: switch(config)#vtp versión {1 | 2}
Para configurar el modo y la contraseña en las actualizaciones VTP utilizaremos los siguientes comandos: switch(config)#vtp mode { server | transparent | client} switch(config)#vtp password password
Un ejemplo de configuración podría ser el siguiente: switch(config)#vtp versión 2 switch(config)#vtp mode server switch(config)#vtp password CcNp
www.FreeLibros.com
336
REDES CISCO. CCNP a Fondo
©RA-MA
VTP Pruning El VTP Pruning o recorte es un método que impide que las actualizaciones de VTP se reenvíen por todos los puertos de trunk, de esta forma se limita la propagación de VTP a una porción de la red bien definida, reduciendo así el proceso de información y el tráfico innecesario por los enlaces troncales. VTP utiliza mensajes multicast y éstos al igual que los mensajes de broadcast por defecto se reenvían por todos los puertos de la VLAN excepto por el que se ha recibido. La configuración de VTP Pruning tampoco resulta ser demasiado engorrosa, por defecto está deshabilitado y será necesario entonces habilitarlo de la siguiente forma: switch(config)#vtp pruning switch(config-if)#switchport trunk pruning vían { add | except | none | remove } llsta-de-vlans
Como se puede apreciar se utiliza la misma terminología que en los comandos de configuración de trunk, por lo que no es necesario explicar la terminología ya que se ha hecho en párrafos anteriores.
RESOLUCIÓN DE FALLOS EN VTP VTP es un protocolo en apariencia sencillo de configurar, pero puede que resulte complicado para resolver fallos en grandes redes teniendo en cuenta los parámetros globales entre switches, por eso es importante reparar la siguiente lista en caso de problemas: •
Si el switch está en modo transparente, comprobar la versión que se está utilizando, hay que tener en cuenta que si no reenvía anuncios de VTP puede ser por estar utilizando la versión 1, que es la que viene por defecto.
• Comprobar que no haya más de un switch en modo servidor. • Comprobar que todos los enlaces troncales estén configurados como trunk y no como puertos de acceso. • Comprobar que el nombre de dominio VTP sea el mismo en todos los switches. • Comprobar que la contraseña sea la misma. • Comprobar la versión en todos los switches para que coincida.
www.FreeLibros.com
©RA-MA
CAPÍTULO 12. VTP
337
Los siguientes comandos son los que brindan soporte para resolver fallos de VTP: show vtp status show vtp counters show vían brief show interfaces switchport module module number Switch# show vtp status VTP Versión C o n f iguration Revisión Máximum VLANs supported locally Number of existing VLANs VTP Operating Mode VTP Domain Ñame VTP Pruning Mode VTP V2 Mode VTP Traps Generation MD5 digest OxOE
2 250 1005 33 Server Lab_Network Enabled Enabled Disabled 0xE6 0x F8 0x3E OxDD 0xA4 0xF5 0xC2
Configuration last modified by 172.20.52.18 at 9-22-99 11:18:20 Local updater ID is 172.20.52.18 on interface Vil (lowest numbered V LAN interface found)
Switch# Switch# show vtp counters VTP statistics: Summary advertisements received : 1 Subset advertisements received : 1 Request advertisements received : 0 Summary advertisements transmitted : 31 Subset advertisements transmitted : 1 Request advertisements transmitted : 0 Number of config revisión errors : 0 Number of config digest errors : 0 Number of VI summary errors : 0 VTP pruning statistics: Trunk Join Transmitted Join Received eived from
Summary advts rec non-pruning-
capable device Fa5/9
1555
1564
0
Switch# Switch# show vían brief VLAN Ñame
www.FreeLibros.com
Status
Ports
338
1 2 3 4 5 10
REDES CISCO. CCNP a Fondo
default VLAN0002 VLAN 0003 VLAN0004 VLAN0005 VLAN0010
©RA-MA
active active active active active active
Fa5/9 Fa5/9 Fa5/9 Fa5/9 Fa5/9 Fa5/9
Switch# show interfaces switchport module 1 Ñame:Gil/I Switchport:Enabled Administrative Mode:dynamic auto Operational Mode:down Administrative Trunking Encapsulation:negotiate Negotiation of Trunking:0n Access Mode VLAN:1 (default) Trunking Native Mode VLAN:1 (default) Administrative private-vlan host-association:none Administrative private-vlan mapping:none Operational private-vlan:none Trunking VLANs Enabled:ALL Pruning VLANs Enabled:2-1001
www.FreeLibros.com
Capítulo 13
ETHERCHANNEL a g r e g a c ió n d e p u e r t o s Los dispositivos Cisco permiten realizar agregación de enlaces con la finalidad de aumentar el ancho de banda disponible a través de la tecnología EtherChannel. La agregación de puertos en Cisco se puede realizar con interfaces Fast Ethemet, Gigabit Ethemet o 10 Gigabit Ethernet. Con la tecnología EtherChannel es posible añadir hasta 8 enlaces de forma que se comporten como si sólo fueran uno, eliminando la posibilidad de formar bucles de capa 2 debido a que el comportamiento de estos enlaces es el de un único enlace. La tecnología EtherChannel permite una distribución que no llega a ser un balanceo de carga perfecto por los métodos que utiliza, pero permite la correcta distribución del tráfico, además si uno de los enlaces que componen la agregación fallara, el tráfico se distribuiría entre los restantes sin perder la conectividad. Sin embargo no es posible agregar enlaces así sin más, es necesario que todos los enlaces que componen el EtherChannel tengan la misma configuración en cuanto a velocidad, dúplex, VLAN que transportan, VLAN nativa y en caso de ser necesario idéntica configuración de Spanning Tree.
Distribución de tráfico El tráfico es distribuido a través de los enlaces del EtherChannel de manera determinística. No por ello la carga ya a ser distribuida equitativamente, esto
www.FreeLibros.com
340
REDES CISCO. CCNP a Fondo
©RA-MA
dependerá del algoritmo de encriptación empleado. El algoritmo puede usar la dirección IP de origen, de destino, etc. Si solamente una IP o número de puerto son computados en el hash (combinación de valores), el switch reenvía cada trama utilizando uno o más bits de bajo orden del valor del hash como índice dentro de los enlaces que forman el EthemChannel. Si dos direcciones IP o números de puerto son computados en el hash, el switch lleva a cabo una operación XOR (OR exclusiva) en uno o más de los bits de bajo orden de la dirección IP o puerto TCP/UDP como índice dentro de los enlaces que forman el EthemChannel. Último bit del cuarto octeto de la dirección IP
Operación XOR entre dos miembros EtherChannel
Dirección 1: xxxxxxxO Dirección 2: xxxxxxxO
xxxxxxxO: Utilizará: 0
Dirección 1: xxxxxxxO Dirección 2: xxxxxxxl
xxxxxxxl: Utilizará: 1
Dirección 1: xxxxxxxl Dirección 2: xxxxxxxO
xxxxxxxl: Utilizará: 1
Dirección 1: xxxxxxxl Dirección 2: xxxxxxxl
xxxxxxxO: Utilizará: 0
Balanceo de carga El siguiente comando se utiliza para configurar la manera en que las tramas serán distribuidas en el EthemChannel: Switch(config)#port-channel load-balance method
La siguiente lista describe las posibles opciones del parámetro method: •
srp-ip: dirección IP de origen
• dst-ip: dirección IP de destino •
src-dst-ip: direcciones IP de origen y destino
•
src-mac: dirección MAC de origen
•
dst-mac: dirección MAC de destino
www.FreeLibros.com
CAPÍTULO 13. ETHERCHANNEL
©RA-MA
•
src-dst-mac: direcciones MAC de origen y destino
•
src-port: puerto (capa 4) de origen
•
dst-port: puerto de destino
•
src-dst-port: puertos de origen y destino
341
La configuración por defecto es utilizar IP origen XOR IP destino, lo cual equivale al método src-dst-ip. Por defecto para los Catalyst 2970 y 3560 es srcmac para switching de capa 2 y src-dst-ip para capa 3. Hay que prestar especial atención en el caso de que se esté utilizando un router para la configuración del EthemChannel, debido a que los routers utilizan la “bumed-in MAC” en las tramas Ethemet incluso cuando envíadatos a y desde diferentes direcciones IP. Esto quiere decir que la MAC de destino será siempre la misma. Se debería elegir el método de balanceo de carga que permita una mayor distribución de datos entre los enlaces, por ejemplo, si la mayoría del tráfico es IP lo que más sentido tiene es hacer balanceo de carga acorde a direcciones IP o números de puerto TCP/UDP. En caso de que el switch se encontrase con tráfico no IP pasaría al siguiente método que es distribuir las tramas acorde a la dirección MAC. Los switch proporcionan protección hacia los bucles dentro de un EthemChannel. Cuando se recibe un broadcast o multicast en uno de los puertos del EthemChannel éste no se vuelve a reenviar en el resto de los miembros.
P R O T O C O L O S D E N E G O C IA C I Ó N E T H E R C H A N N E L Actualmente existen dos opciones para utilizar como protocolos de negociación en EthemChannel: •
PAgP, propietaria de Cisco.
•
LACP, como solución abierta.
PA gP PAgP (Port Aggregation Protocol) es un protocolo propietario de Cisco. Los paquetes PAgP son intercambiados entre switch a través de los enlaces
www.FreeLibros.com
342
REDES CISCO. CCNP a Fondo
©RA-M a
configurados para ello. Los vecinos son identificados y sus capacidades comparadas con las capacidades locales. Para que se forme el EthemChannel los dos puertos han de estar configurados de manera idéntica. Es mejor siempre realizar cualquier cambio sobre la interfaz EthemChannel, de esta manera el cambio afectará a todos los miembros asegurándose así que no haya conflictos de configuración. Existen dos modos de configurar PAgP. Modo activo, desirable, en el cual el switch intentará formar un EthemChannel de manera activa y modo pasivo; auto, en el que el switch responderá a peticiones para formar el EthemChannel.
LACP LACP (Link Ággregation Control Protocol) es la opción abierta y viene definida en el estándar 802.3ad, también conocida como IEEE 802.3 Cláusula 43 "Link Aggregation". El funcionamiento es bastante parecido al de PAgP, pero en el caso de LACP se asignan roles a cada uno de los extremos basándose en la prioridad del sistema, que se conforma con 2 bytes de prioridad más 6 de MAC. Los puertos son seleccionados y activados acorde al valor port priority (2 bytes de prioridad seguido de 2 bytes de número de puerto), el valor más bajo indica mayor prioridad. Se pueden definir hasta 16 enlaces por cada EthemChannel. Existen dos modos de configurar LACP. Modo activo (active), en el cual el switch intentará formar un EthemChannel de manera activa, y modo pasivo (passive), en el que el switch responderá a peticiones de formar el EthemChannel.
C O N F IG U R A C IÓ N E T H E R C H A N N E L EtherChannel puede configurarse de forma manual o dinámicamente utilizando los protocolos de negociación LACP o PAgP, por lo tanto la configuración dependerá de la opción más adecuada que se haya elegido en cada caso. El modo on es un modo de configuración en el cual se establece toda la configuración del puerto de forma manual, no existe ningún tipo de negociación entre los puertos para establecer un grupo. En este tipo de configuración es necesario que ambos extremos estén en modo on.
www.FreeLibros.com
CAPÍTULO 13. ETHERCHANNEL
©RA-MA
343
gwitch(config)#interface type mod/num number mode on
S w i t c h (config-if)#channel-group
Configuración PAgP Para la configuración de EtherChannel la creación del PortChannel se realizará automáticamente a partir de la configuración del ChannelGroup, llevando asociada la misma numeración. Los comandos necesarios para dicha configuración son los siguientes: S w i t c h (c o n f i g )#interface type mod/num S w i t c h (c o n f ig-if )#channel-protocol pagp
(config-if)#channel-group number mode {on | {auto | desirable} [non-silent]}
Switch
El comando channel-protocol puede no estar disponible en algunos modelos antiguos en los que solamente existe el modo pagp. La interfaz EthemChannel es una interfaz lógica que agrupará a todos los enlaces miembros del EthemChannel y puede tomar un valor de entre 1 y 64. Cada interfaz que quiera ser miembro debe de ser asignada a él. Por defecto PAgP opera en un sub modo silent tanto en modo desirable como en modo auto, permitiendo formar el EthemChannel incluso si no se reciben paquetes PAgP del otro extremo. El porqué de este comportamiento es simple, no siempre se puede asumir que el otro extremo será otro dispositivo Cisco, por ejemplo, si en lugar del switch existe un servidor de archivos, será capaz de formar el EthemChannel. Si se conoce de antemano que el dispositivo conectado será Cisco por lo que habrá una comunicación de paquetes PAgP es recomendable utilizar el parámetro non-silent. La siguiente sintaxis es un ejemplo de configuración': Switch(config)#port-channel load-balance src-dst-port Switch(config)#interface range gig 3/1 — 4 Switch(config-if)#channel-protocol pagp Switch(config-if)#channel-group 1 mode desirable non-silent
www.FreeLibros.com
344
REDES CISCO. CCNP a Fondo
©RA-MA
Configuración LACP La configuración de LACP es muy similar a PAgP para lo cual se utilizan los siguientes comandos: Switch(c onfig )#lacp system-priority priority Swit ch(conf ig)#interface type mod/num Switch (config-if )#channel-protocol lacp Switch(config-if )#channel-group number mode {on | passive
| active}
Switch(config-if )#lacp port-priority priority
El primer paso es asignar la prioridad (entre 1 y 65535 donde 32768 es la de por defecto) para decidir quién será el que inicie la creación del EthemChannel. En caso de empate en las prioridades gana el que tenga la MAC más baja. Cada interfaz ha de estar asignada al mismo número de EthemChannel (entre 1 y 16) y configurada como active o pasive. Es posible configurar más interfaces de las permitidas en el EthemChannel para que entren en funcionamiento en caso de que falle alguna de las activas. Utilizando el comando lacp port-priority se asignan prioridades (entre 1 y 65535 donde 32768 es la de por defecto) teniendo en cuenta que el valor más bajo es la mayor prioridad. La siguiente sintaxis es un ejemplo de configuración: Switch(config)#lacp system-priority 100 Switch(config)#interface range gig 2/1 — 4 , gig 3/1 — 4 Switch(config-if)#channel-protocol lacp Switch(config-if)#channel-group 1 mode active Switch(config-if)#lacp port-priority 100 Switch(config-if)#exit Switch(config)#interface range gig 2/5 — 8 , gig 3/5 — 8 Switch(config-if)#channel-protocol lacp Switch(config-if)#channel-group 1 mode active
RESOLUCIÓN DE FALLOS EN ETHERCHANNEL Hay varios puntos clave a tener en cuenta: •
Si se utiliza el modo on no se enviarán paquetes LACP o PAgP por lo tanto ambos extremos han de estar en modo on.
www.FreeLibros.com
CAPÍTULO 13. ETHERCHANNEL
© r A-MA
345
•
Los modos active (LACP) o desirable (PAgP) preguntarán activamente al otro extremo.
•
Los modos passive (LACP) o auto (PAgP) participarán en el EthemChannel pero sólo si reciben primero paquetes desde el otro extremo.
•
PAgP modo desirable y auto por defecto contienen el parámetro silent por lo que podrán negociar incluso si no escuchan paquetes desde el otro extremo.
Para la verificación del EtherChannel se pueden utilizar los siguientes comandos:
•
show etherchannel summary
•
show etherchannel port
•
show etherchannel summary
•
show etherchannel port
•
show etherchannel port-channel
•
show etherchannel detail
•
show etherchannel load-balance
•
show etherchannel port-channel
•
show {pagp | lacp} neighbor show lacp sys-id
www.FreeLibros.com
346
REDES CISCO. CCNP a Fondo
©
r a -m a
Switch# show etherchannel summary Flags: D - down P - in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 u - unsuitable for bundling U - in use f - failed to allocate aggregator d - default port Number of channel-groups in use: 1 Number of aggregators: 1 Group Port-channel Protocol Ports
-------- +------------------- +---------------- +--------------------------------------1
Pol(SU)
PAgP
FaO/41(P) FaO/42(P) FaO/43 FaO/44(P )FaO/45(P ) FaO/46(P) FaO/4 7 (P) FaO/48(P)
Switch# show etherchannel port Channel-group listing:
Group: 1 Ports in the group:
Port: FaO/41 Port state
= Up Mstr In-Bndl
Channel group= 1 Mode = Port-channel = Pol GC = Port index = 0 Load = Flags: S - Device Consistent A - Device physical port.
Desirable-Sl Gcchange = 0 0x00010001 Pseudo port-channel = Pol 0x00 Protocol = PÁgP is sending Slow helio. C - Device state. is
in
Auto
mode.
P
-
Device
is in
learns
on
d - PAgP is down. Timers:
H - Helio timer is running. Q - Quit timer is running.
S - Switching timer is running. I - Interface timer is running. Local information: Helio Partner PAgP Learning Group
Con los comandos show running-config interface es posible ver la configuración relativa al EthemChannel. También se puede utilizar el comando show interface para ver los parámetros del EthemChannel.
www.FreeLibros.com
Capítulo 14
SIP IN T R O D U C C IÓ N A S P A N N I N G T R E E P R O T O C O L STP (Spanning Tree Protocol) proporciona soporte a nivel de la capa 2 de forma que los errores o fallos se pueden solventar de manera automática; está definido en el estándar IEEE 802. ID. Un switch de capa 2 imita las funciones de un bridge transparente, tiene que ofrecer segmentación entre dos redes mientras permanece de manera transparente para los dispositivos finales que están conectados a él. Un bridge o un switch opera de la siguiente manera: •
Inicialmente un switch no posee ningún conocimiento de la red, por lo que debe “escuchar” las tramas que le llegan a cada uno de sus puertos para averiguar en qué red reside cada dispositivo. El bridge asume que cada dispositivo de origen está localizado detrás del puerto del cual ha recibido dicha trama mirando su MAC. A medida que el proceso de escucha continúa el bridge construye una tabla que relaciona direcciones MAC de origen con números de puertos. El bridge puede actualizar la tabla para reemplazar las direcciones MAC o detectar el cambio de localización de un puerto a otro. De esta manera podrá enviar las tramas mirando la MAC de destino buscando dicha dirección en la tabla y enviarla posteriormente a través del puerto donde el dispositivo final está localizado.
www.FreeLibros.com
348
REDES CISCO. CCNP a Fondo
•
©RA-MA
Si una trama llega con una dirección de destino broadcast el bridge debe enviar la trama a través de todos los puertos disponibles salvo por el puerto por donde se ha recibido. A este proceso se lo llama flood. Si una trama llega con una dirección de destino que no es localizada en la tabla del bridge, éste no podrá determinar por cuál de sus puertos debe enviar la trama al destino. En estos casos el bridge trata esta trama como si fuera un broadcast siguiendo el mismo proceso que haría con una trama de difusión. A estas tramas se las llaman unknown unicast. Una vez que el destino responde a dicha trama, el bridge localiza el puerto para usos futuros.
Las tramas enviadas a través del bridge no pueden ser modificadas por el propio bridge, es decir, que el proceso de bridging es absolutamente transparente. El bridging o switching son efectivos, cualquier trama es enviada, tanto cuando se conoce la dirección de destino como cuando no. Siempre se alcanza el dispositivo final, por cualquiera de los procesos antes mencionados.
Redundancia con switch Cuando es necesaria la redundancia entre segmentos, pueden utilizarse dos o más switches interconectando los segmentos de red.
Switch B
Switch A Segmento 2
n. Esta conexión de manera transparente no debería afectar el funcionamiento de la red. Sin embargo cuando las tramas son enviadas y los switches no tienen conocimiento en sus tablas MAC de los puertos de entrada y salida pueden producirse algunos problemas.
www.FreeLibros.com
CAPÍTULO 14. STP
© RA-MA
349
Al recibir una trama desde el segmento 1 ambos switches envían la trama por los puertos correspondientes hacia el segmento 2. El resultado final es que el segmento 2 recibe una trama duplicada, sin ser esto un gran problema, no es lo deseado. Cuando los switches no tienen conocimiento de las direcciones MAC recibidas el problema puede ser mayor. Al recibir una trama por el segmento 1 ocurre lo siguiente: 1. El switch A y el switch B reciben la trama por los puertos conectados en el segmento 1. Como es la primera vez que se recibe esta trama ambos switches guardan la MAC en sus respectivas tablas asociadas al puerto de recepción. 2. Debido a que la localización del destino en el segmento 2 es desconocida ambos switches deciden enviar esa trama a través de todos los puertos disponibles (unknown unicast). 3. Cada switch envía copia de la trama a sus puertos en el segmento 2. El destino recibe dos tramas destinadas hacia él, pero a su vez el switch A recibe la trama enviada por el switch B y viceversa. 4. El switch A al recibir la nueva trama detecta que el origen está en el segmento 2 y actualiza sus tablas, pero este dato es incorrecto. El mismo proceso es replicado por el switch B. 5. A este nivel ninguno de los switches tiene información certera sobre el destino debido a que aún no existe registro en las correspondientes tablas MAC. La trama es enviada, entonces, por todos los puertos salvo por los que ha sido recibida. 6. Los switches vuelven a recibir la trama por los puertos correspondientes al segmento 1, por lo que se reinicia todo el proceso nuevamente y de manera permanente. Este proceso es conocido como “bucle” en este caso de nivel 2 o bucle de switching. Ninguno de los switches se da cuenta de la existencia del otro por lo tanto cada uno trata de enviar las tramas desde un segmento hacia el otro constantemente.
www.FreeLibros.com
350
REDES CISCO. CCNP a Fondo
©RA-MA
Si este proceso ocurriese con una trama de broadcast, el bucle se hubiera generado de igual manera, o incluso peor. La trama de broadcast estaría circulando perpetuamente y cada uno de los usuarios finales en ambos segmentos estaría recibiendo constantemente tramas de difusión, fenómeno conocido como tormenta de broadcast. Este fenómeno puede hacer decaer notablemente el rendimiento de la red. Para evitar físicamente este problema la desconexión física del bucle o el apagado de uno de los dos switches es la solución.
Solución a los bucles de capa 2 Los switches de capa 2 cuando funcionan en paralelo, no se dan cuenta de la existencia del otro. STP proporciona el mecanismo necesario para que los switches reconozcan la existencia del otro y puedan negociar un camino libre de bucles. Estos bucles son descubiertos antes de que puedan formarse y los enlaces conflictivos son desconectados automáticamente. Cada switch ejecuta el algoritmo STP basándose en la información recibida por los switch vecinos. Este algoritmo elige un punto de referencia en la red y calcula todos los caminos redundantes. Cuando localiza caminos redundantes STP elige alguno de esos caminos para enviar las tramas y bloquea el resto de los posibles caminos. STP calcula una estructura de árbol que abarca todos los switches de un segmento determinado. Los caminos redundantes son colocados en un estado de bloqueo evitando que se
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
351
envíen tramas. Obteniendo como resultado una red libre de bucles. En el caso de que el puerto que este enviando tramas falle, STP vuelve a recalcular su algoritmo para que los enlaces bloqueados apropiados sean reactivados.
F U N C IO N A M IE N T O d e s t p STP funciona de manera que los switches puedan operar entre ellos intercambiando mensajes de datos a través de las BPDU (Bridge Protocol Data Units). En la terminología de STP es común hablar de bridge en lugar de switch debido a que originalmente STP fue diseñado para los puentes o bridges, por lo tanto en el transcurso de este libro se utilizarán como términos similares. Cada switch envía las BPDU a través de un puerto usando la dirección MAC de ese puerto como dirección de origen, el switch no sabe de la existencia de otros switches por lo que las BPDU son enviadas con la dirección de destino multicast 01-80-C2-00-00-00. Existen dos tipos de BPDU: •
Configuration BPDU: utilizadas para el cálculo de STP
•
Topology Change Notification (TCN) BPDU: utilizada para
anunciar los cambios en la topología de la red. Las configuration BPDU contienen campos mostrados en la siguiente tabla: Campo
Cantidad de bytes
ProtocolID
2
Versión
1
Message Type
1
Flags
1
Root Bridge ID
8
Root Path Cost
4
Sender Bridge ID
8
www.FreeLibros.com
352
REDES CISCO. CCNP a Fondo
©RA-MA
Port ID
2
Message Age
2
Máximum Age
2
Helio Time
2
Forward Delay
2
El intercambio de los mensajes BPDU tiene la función de elegir puntos de referencia para conseguir una topología STP estable. Los bucles pueden ser identificados y eliminados poniendo puertos redundantes específicos en los estados de bloqueando o standby. Varios de los campos de la BPDU son relativos a la identificación del switch al coste de los caminos y a los valores de los temporizadores, todos trabajan al unísono para que la red pueda converger en una topología de STP común eligiendo los mismos puntos de referencia dentro de la red. Por defecto las BPDU son enviadas a través de todos los puertos cada 2 segundos de tal manera que la información de la topología actual se intercambia para identificar los bucles rápidamente.
Elección del switch raíz Todos los switches de la red deben estar de acuerdo en elegir un marco común como referencia para crear una topología de capa 2 libre de bucles. Este punto de referencia se llama switch raíz o root bridge. Para determinar el root bridge se lleva a cabo un proceso de elección, cada switch posee un bridge ID, que es un identificador único que lo diferencia de todos los demás switches. El bridge ID es un valor de 8 bytes que consiste en los campos que se detallan: •
Bridge Priority: son 2 bytes, es la prioridad de un switch en relación a todos los demás, este campo puede tener un valor entre 0 y 65535, cuyo valor por defecto es 32768 (0x8000).
•
Dirección MAC son 6 bytes, esta dirección puede tener origen en
un módulo Supervisor o en el backplcine, dentro de un rango de 1024 direcciones que son asignadas a cada uno dependiendo del
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
353
modelo del switch. De cualquiera de las maneras es única e inamovible. Cuando un switch se enciende no tiene una visión clara de su alrededor, por lo que se considera a sí mismo como root bridge. El proceso de elección se inicia cuando todos los switches envían BPDU con el ID del root brige puesto como su propio ID y su Sender Bridge ID, que es su propio ID. Este último indica a los demás switches quién es el verdadero emisor del mensaje BPDU. A partir de la elección del root bridge las BPDU de configuración sólo son enviadas por el root bridge. Todos los demás switches deben confiar en estas BPDU añadiendo el Sender Bridge ID a ese mensaje. Los mensajes BPDU recibidos son analizados para saber si un mejor root bridge se ha incorporado. Esta evaluación depende de la prioridad, que debe ser de un valor menor que las demás. Para el caso de que dicho valor de prioridad sea igual al actual, la MAC más baja se aplicará para la determinación de la prioridad. Cuando un switch escucha acerca de un root bridge, es decir, un switch con una prioridad menor a la de sí mismo, reemplaza el root bridge ID anunciado en sus BPDU. El switch anunciará entonces dicho ID como root y su propio Sender Bridge ID. Los switches convergen y se ponen de acuerdo sobre quién será el root bridge.
Elección del puerto raíz Una vez determinado el root bridge, cada uno de los demás switches que no son root deben identificar su posición en la red en relación con el root bridge. Esta acción se realiza seleccionando solamente un puerto raíz en cada uno de los switches. El puerto raíz siempre apunta hacia el actual root bridge. STP utiliza el concepto de coste para determinar y seleccionar un puerto raíz, lo que significa evaluar el coste de la ruta llamado Root Path Cost. Este valor es el coste acumulativo de todos los enlaces hacia el root bridge. Un simple enlace de un switch también conlleva un coste asociado a él. A medida que los Root Path Cost atraviesan la red, otros switch pueden modificar su valor de manera acumulativa. El Root Path Cost no está dentro de la BPDU, solamente atañe al puerto del switch local donde éste reside. Cuanto mayor sea el ancho de banda del enlace menor será el coste del enlace. IEEE 802.ID define un Root Path Cost de 1000 Mbps dividido por el ancho de banda del enlace en Mbps. Las redes modernas superan este valor por lo que fue necesario cambiar los valores del coste.
www.FreeLibros.com
354
REDES CISCO. CCNP a Fondo
O RA-MA
La siguiente tabla muestra los valores de estos costes: Ancho de banda
Coste antiguo de STP
Coste actual de STP
4 Mbps
250
250
10 Mbps
100
100
16 Mbps
63
62
45 Mbps
22
39
100 Mbps
10
19
155 Mbps
6
14
622 Mbps
2
6
1 Gbps
1
4
10 Gbps
0
2
El valor del coste se determina de la siguiente manera: •
El root bridge envía una BPDU con un valor de root path cost de 0 ya que su puerto está asociado directamente al switch.
•
Cuando el siguiente switch recibe la BPDU añade su propio coste donde fue recibida la BPDU.
•
El vecino envía esa BPDU con el valor acumulativo modificando así el root path cost.
•
El incremento es directamente proporcional al coste de los puertos de entrada a medida que la BPDU se recibe en cada uno de los switches de la topología.
•
El root path cost se va incrementando a medida que las BPDU entran en los puertos.
Después de este incremento el switch guarda ese valor en la memoria, el valor más bajo de los almacenados será el nuevo path cost.
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
355
Elección del puerto designado Para eliminar la posibilidad de bucles de capa 2 en la red, STP realiza un cálculo para determinar los puertos designados en cada segmento de red. Cuando una trama aparece en un segmento todos los switches intentan enviarla hacia el otro segmento. Este comportamiento debe ser controlado de tal manera que sólo un puerto envíe tráfico desde y hacia ese segmento. El puerto que realiza esta tarea se llama puerto designado. Los switches eligen sólo un puerto designado para cada segmento basándose en el menor root path cost acumulativo hacia el root bridge. Cuando un switch recibe un root path cost mayor al que tiene asume el rol de puerto designado para ese segmento por el que recibe la root path cost mayor que la que posee. Con todo lo visto hasta ahora los puertos siguen en actividad por lo*que aun así pueden producirse bucles. STP tiene una serie de estados progresivos por lo cuales cada puerto debe pasar. En cada proceso de determinación cuando dos o más enlaces tengan el mismo root path cost, se determina la diferencia en el siguiente orden: 1. El menor de los root bridge ID 2. El menor root path cost hacia el root bridge 3. EL menor sender bridge ID 4. El menor sender port ID
E STA D O S STP Para participar en el proceso de STP cada puerto tiene que progresar a través de una serie de estados. Un puerto comienza en el estado desconectado hasta llegar al estado de activo si tiene permitido enviar tramas. Los estados de STP son los siguientes: son los puertos que han sido apagados administrativamente por el administrador de la red o por fallos en el sistema, es un estado que no participa de la progresión normal de STP para un puerto.
•
Desconectado,
•
Bloqueando, es el estado de un puerto cuando se inicia de tal
forma que no pueda generar bucles de red. En este estado un
www.FreeLibros.com
356
REDES CISCO. CCNP a Fondo
©RA-M a
puerto no puede recibir ni transmitir datos, sólo puede recibir BPDU desde los vecinos sin poder añadir direcciones MAC en su tabla; además, los puertos que están en modo standby para evitar bucles entran con el estado bloqueando. •
Escuchando, un puerto pasa a este estado si el switch interpreta que el puerto puede ser seleccionado como puerto raíz o puerto designado como previo al envío de tramas. En este estado no se pueden enviar ni recibir tramas pero sí pueden recibir y enviar BPDU de tal manera que el switch participa activamente en el proceso de STP. Si no hay mayores cambios el puerto vuelve al estado anterior, si por el contrario los cambios ocurren se pasa al siguiente estado.
•
Aprendiendo, luego del período transcurrido llamado forward delay el puerto pasa a este estado donde puede enviar y recibir BPDU registrando, ahora sí, las MAC a las tablas correspondientes. El puerto participa de esta manara de forma silenciosa en el proceso mientras puede tener una visión de las tablas de direcciones MAC.
•
Enviando, después de otro período transcurrido el puerto pasa a este estado donde puede enviar y recibir tramas, aprender direcciones MAC y guardarlas en las tablas, y enviar y recibir BPDU. El puerto es ahora completamente funcional en la topología STP.
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
357
La siguiente sintaxis muestra la salida de un puerto progresando en el proceso STP. Switch(config)# interface fastethernet 0/1 Switch(config-if )#no shutdown Switch(config-if)#A-Z *Mar 16 14:31:00 UTC: STP SW: FaO/l new blocking req for 1 vlans Switch#show spanning interface fastethernet 0/1 V ía n Ñame
Port ID Prio.Nbr
Cost Sts
Designated Cost Bridge ID
Port ID Prio.Nbr
VLAN0001 128.1 19 LIS 0 32769 000a.f40a.2980 128.1 *Mar 16 14:31:15 UTC: STP SW: Fa0/1 new learning req for 1 vlans
Switch#show spanning Vían Ñame
Port ID Prio.Nbr
interface fastethernet 0/1
Cost Sts
Designated Cost Bridge ID
Port ID Prio.Nbr
VLAN0001 128.1 19 LRN 0 32768 OOdO.5849.4100 32.129 *Mar 16 14:31:30 UTC: STP SW: Fa0/1 new forwarding req for 1 vlans Switch#show spanning interface fastethernet 0/1 Vían Port ID Designated Port ID Ñame Prio.Nbr Cost Sts Cost Bridge ID Prio.Nbr VLAN0001 128.1 19
FWD
0 32768 OOd O .5849.4100 32.129
Este ejemplo comienza con la interfaz administrativamente deshabilitada. Cuando se habilita, el comando show spanning interface muestra el estado que va tomando sucesivamente. Para monitorizar el estado de todos los puertos se utiliza el comando debug spanning-tree switch state.
Temporizadores de STP STP opera de tal manera que los switches intercambian las BPDU entre sí. Las BPDU toman una cantidad finita de tiempo para viajar en la red de un switch hacia otro, además los cambios o fallos en la topología pueden influir en la propagación de las BPDU. Es importante que los switches no converjan hasta que todos éstos reciban exactamente la misma información. STP utiliza 3 temporizadores para asegurarse de que la convergencia de la red sea la adecuada y que los bucles no puedan desarrollarse. Estos temporizadores y sus valores por defecto son los siguientes:
•
Helio, es el intervalo de tiempo en el cual las configuration BPDU se envían desde el root switch. La configuración se realiza únicamente en el root switch y determina el temporizador helio de todos los demás switch debido a que éstos sólo confían en las
www.FreeLibros.com
358
REDES CISCO. CCNP a Fondo
©
r a -m a
BPDU de configuración recibidas desde el root. Aun así todos los demás switches tienen un temporizador local incorporado utilizado para temporizar las BPDU cuando hay cambios de topologías. El valor estándar por defecto es de 2 segundos. •
Forward delay, es el intervalo de tiempo en el que un switch está entre los estados de escuchando y aprendiendo, el valor por defecto es de 15 segundos para cada uno de los estados.
•
Max (máximum) Age, es el intervalo de tiempo que un switch guarda una BPDU antes de descartarla. Mientras se está ejecutando STP cada puerto del switch mantiene un registro de la mejor BPDU que ha escuchado. En caso de que el puerto del switch pierda contacto con el origen de esa BPDU el switch asume que ha ocurrido algún cambio en la topología, cuando el período Max Age termine la BPBU es eliminada. Por defecto el valor de este temporizador es de 20 segundos.
•
Los temporizadores de STP pueden ser ajustados y configurados en el switch, no obstante cualquier cambio debe ser debidamente planificado y es recomendable hacerlo sólo en el root. Todos estos temporizadores son apropiados para una red de hasta 7 switches, desde el root hasta el más lejano. Finalmente el tiempo total desde el primer estado hasta el último es de 50 segundos.
C A M B IO S D E T O P O L O G ÍA S Para anunciar un cambio en una topología de red activa los switch utilizan las BPDU TCN, la siguiente tabla muestra el formato de estos mensajes: Campo
Cantidad de bytes
ProtocolID
2
Versión
1
Message Type
1
Puede considerarse como un cambio de topología cuando un switch mueve un puerto al estado de enviando o lo hace desde el estado enviando o aprendiendo
www.FreeLibros.com
© RA-MA
CAPÍTULO 14. STP
359
al estado bloqueando. El switch envía las BPDU TCN a través de su puerto root para que lleguen al root bridge para informar del cambio de topología. Si un puerto estuviese configurado como port fast no enviaría las BPDU TCN. El switch continúa enviando estas BPDU en intervalos de helio hasta recibir un ACK desde su vecino. Cuando los vecinos reciben las BPDU TCN las propagan hacia el root bridge y envían sus propias ACK. Lo mismo ocurre con el root bridge, pero además éste agrega una bandera o etiqueta llamada topology change para señalizar el cambio de topología. Esta información sirve para que todos los otros switch acorten los temporizadores de 300 segundos al tiempo del Forward delay, que son 15 segundos. Esta condición tiene el efecto de eliminar las tablas MAC mucho más rápido de lo que es normalmente. Cambios de topologías directos: son aquellos que pueden ser detectados directamente en una interfaz de un switch, por ejemplo un enlace trunk que se cae, los switches de ambos extremos pueden detectar el fallo. La ausencia de este enlace cambia la topología de bridging y otros switches de la red deben ser notificados para que asuman los cambios de la nueva topología. Cambios de topologías indirectos: son cuando se produce un fallo que no involucre directamente a los puertos del switch pero que afecta al funcionamiento de la topología, por ejemplo un firewall del proveedor entre el enlace. El efecto final será que las BPDU no pueden llegar al destino. STP puede detectar y recuperarse de fallos indirectos gracias a los mecanismos de los temporizadores. Aunque los enlaces permanecen activos las BPDU son filtradas en algún punto. Como resultado del fallo indirecto, la topología no cambia directamente, la ausencia de BPDU provoca el inicio de los temporizadores. El Max Age puede ser de 20 segundos a lo que se le suma el tiempo hasta que la siguiente BPDU de configuración es recibida (2 segundos), más el tiempo de retardo del puerto en los estados escuchando (15 segundos) y aprendiendo (15 segundos), sumando un total de 52 segundos. Cambios de topologías insignificantes: un puerto de un switch en capa de acceso conectado directamente a un usuario que cambia de' estado provoca que el switch deba informar al root de los cambios en la topología. El proceso de notificación de STP se inicia. A pesar del cambio en la topología las modificaciones no alteran el funcionamiento del bridging STP. Las tablas en los switch son modificadas eliminando las entradas en desuso. En principio esto no causaría ningún problema en el desempeño de la red, pero en redes grandes muchos altibajos en los puertos por apagados y encendidos de terminales generarán recálculos en las tablas, envíos innecesarios de broadcast y de paquetes unknown unicasts, degradando el funcionamiento de la red.
www.FreeLibros.com
360
REDES CISCO. CCNP a Fondo
©RA-MA
Los dispositivos Catalyst poseen un mecanismo de prevención llamado port fast que se configura en los puertos para dispositivos finales, evitando el envío de las BPDU TCN cuando existe algún cambio en el estado del puerto.
T IP O S D E S T P Common Spanning Tree: el estándar IEEE 802.1Q especifica cómo las VLAN pueden ser puestas en trunk entre switch, también especifica sólo una instancia de STP que abarca todas las VLAN, a esta instancia se la conoce como CST (Common Spanning Tree). Todas las BPDU son transmitidas sobre los trunk utilizando la VLAN nativa sin etiquetar las tramas. Con una sola instancia STP para muchas VLAN simplifica la configuración del switch y reduce la utilización de CPU y los cálculos de STP, pero tener sólo un instancia también tiene ciertas limitaciones. Los enlaces redundantes entre switch serán bloqueados por lo que no hay posibilidades de hacer balanceo de carga. Per-VLAN Spanning Tree: Cisco posee un versión propietaria de STP que ofrece mayor flexibilidad que la versión estándar que es el PVST, el cual opera una instancia STP por cada una de las VLAN. Esto permite que cada instancia de STP se configure independientemente ofreciendo mayor rendimiento y optimizando las condiciones. Al tener múltiples instancias de STP es posible el balanceo de carga en los enlaces redundantes cuando son asignados a diferentes VLAN. Per-VLAN Spanning Tree Plus: es una segunda versión propietaria que Cisco tiene de STP que permite interoperar con PVST y CST. El PVST+ es soportado por los switches Catalyst que ejecuten PVST, PVST+ y CST sobre 802.1Q. PVST+ actúa como un traductor entre grupos de switches CST y grupos PVST. PVST+ se comunica directamente con PVST con trunk ISL, mientras que con CST intercambia BPDU como tramas no etiquetadas utilizando la VLAN nativa. Las BPDU de otras instancias STP (otras VLAN) son propagadas a través de la porción de CST de la red mediante el trunk. PVST+ envía las BPDU utilizando una dirección única de multicast.
www.FreeLibros.com
CAPÍTULO 14. STP
© RA-MA
361
CONFIGURACIÓN DE STP Los cálculos de STP son predecibles, pero existen otros factores que podrían influenciar en las decisiones de STP haciendo que el resultado no sea el ideal. Uno de los principales ajustes que se pueden hacer en STP es elegir la determinación del root bridge dentro de la red. También se podrían configurar enlaces redundantes para el balanceo de carga en paralelo como así también que STP converja mas rápidamente y de manera previsible ante un evento inesperado o cambio de topología. Por defecto STP está habilitado para todas las VLAN y en todos los puertos del switch. Si alguna instancia de STP ha sido deshabilitada puede rehabilitarse con el siguiente comando: S w i t c h (config)#
spanning-tree vían vlan-id
De la misma manera si es necesario rehabilitar STP en una VLAN o un puerto determinado: Switch (config-if)# spanning-tree vían vlan-id
Ubicación del switch raíz Aunque STP puede funcionar sin necesidad de tener que elegir la situación del root bridge, ésta es una de las determinaciones que se deben tener en cuenta antes de comenzar a configurar el protocolo. El root bridge es elegido como un punto de referencia común dentro de la red y todos los demás switches tienen conectados sus puertos con el mejor coste hacia él. La elección también está basada en que el root bridge puede convertirse en el punto central de la red que interconecta otros segmentos de la red. En definitiva el root bridge puede estar soportando muchas cargas de conmutación. Si la elección del root bridge se deja a criterio del propio STP puede ocurrir que dicha elección no sea la mejor. Un switch más lento o antiguo que deba soportar grandes cargas de tráfico no es el candidato ideal para serlo. La elección del root bridge está basada en el switch que tenga el menor bridge ID, compuesto por la prioridad y la dirección MAC teniendo en cuenta que por defecto la prioridad es la misma en todos los switches.
www.FreeLibros.com
362
REDES CISCO. CCNP a Fondo
©RA-MA
Una MAC baja correspondiente a un switch no deseado determinará que éste sea el root bridge.
Si todos los switches se dejan configurados con sus valores por defecto sólo es elegido un root bridge, lo cual no deja claro cuál será el root bridge de respaldo en caso de fallos, por lo tanto la redundancia también es un factor a tener en cuenta. La siguiente figura muestra una porción de una típica red de campus de modelo jerárquico:
Switch A 32768 0O-0O-0C-07-AC-0A
Switch B 32768 00-00-0C-07-AC-0B
El switch A y el switch B son los dispositivos de acceso mientras que el switch C y el switch D forman el core y el switch E conecta una granja de servidores al core de la red. La mayoría de los switches tienen enlaces redundantes hacia otras capas de la jerarquía, el switch B sólo tiene una conexión hacia el core.
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
363
Este switch está pendiente de actualizarse donde un nuevo enlace se configurará hacia el core. Siguiendo los parámetros de configuración por defecto el switch A se convertirá en el root bridge porque tiene la MAC más baja ya que la prioridad es igual para todos los switches (32768). La siguiente figura muestra el estado de convergencia de STP:
Switch A 32768 O0-OQ-OC-O7-AC-OA
Switch B 32768 00-00-QC-07-AC-0B
El switch A ha sido elegido root bridge aunque no puede tomar ventaja de los enlaces de 1 Gbps que tienen conectados los demás switches. Los puertos en estado bloqueando, identificados con una X, no transmiten tráfico. Finalmente la siguiente figura muestra la misma red sólo con los enlaces funcionales, donde se observa la estructura de STP final.
www.FreeLibros.com
364
REDES CISCO. CCNP a Fondo
Switch A 32768 OO-0O-OC-O7-AC-OA
©RA-MA
Switch B 32768 00 -00 -0 C -0 7 -A C -0 B
El root bridge elegido es un dispositivo de la capa de acceso, las estaciones de trabajo del switch A pueden alcanzar los servidores en el switch E cruzando la capa de core. Sin embargo las estaciones de trabajo conectadas al switch B tienen que cruzar la capa de core, volver a la capa de acceso regresar nuevamente al core para alcanzar al switch E. El resultado final no es el más eficiente, el switch A al ser un dispositivo de acceso no es un switch que pueda soportar demasiado tráfico y además sus enlaces son lentos.
Configuración del switch raíz Para prevenir lo sucedido en el ejemplo anterior es necesario llevar a cabo dos acciones: 1. Configurar un switch adecuado como el root bridge. 2. Configurar otro switch como root de respaldo en caso de que el primero falle.
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
365
Como punto de referencia común ambos dispositivos deberían estar ubicados cerca del centro de la red, por ejemplo un switch de capa de distribución podría desempeñar un mejor papel que otro en la capa de acceso. En caso de tener una red plana, un switch cerca de la granja de servidores sería la mejor opción como root bridge. Para configurar un switch Catalyst como root bridge se pueden utilizar los siguientes métodos: •
Manualmente configurando la prioridad, de manera que tenga un valor menor que el resto, para que gane la elección. Obviamente se debe conocer el valor de prioridad de todos los demás switches. El comando para esta acción es el siguiente: Switch(config)# spanning-tree vían vlan-list priority bridgepriority
El valor bridge-priority es por defecto 32768, pero el rango de configuración va desde 0 a 65535. En caso de que esté habilitado el system ID extendido de STP la prioridad por defecto será 32768 más el número de VLAN. En este último caso el rango estará comprendido entre 0 y 61440 pero sólo se podrán utilizar múltiplos de 4096. Cuanto más baja la priorio id mejor. Los switches Catalyst sólo ejecutan una instancia STP por cada V j^AN (PVST+), siempre se debería configurar un root bridge apropiado para cada VLAN. El siguiente comando configura la prioridad para la VLAN 5 y la VLAN 100 a un valor de 4096: Switch(config)# spanning-tree vían 5,100 priority 4096
•
Es posible hacer que el propio switch tome la determinación de prioridad para ser el root bridge basándose en ciertas condiciones del resto de los switches de la red. Para llevar a cabo esta función se utiliza el comando siguiente: Switch(config)# spanning-tree vían vlan-id root {primary | secondary} [diameter diameter]
Este comando es una macro que ejecuta otros comandos, es decir, que el switch busca en la topología activa en la red quién es el root bridge y se autoconfigura una prioridad menor de la que éste tiene. Esto hace que al utilizar el parámetro primary el switch se convierta en root bridge (utiliza una prioridad de 24576), mientras que con el parámetro secondary la prioridad alcanza un valor de 28672.
www.FreeLibros.com
366
REDES CISCO. CCNP a Fondo
©RA-MA
Como ejemplo final se muestra en la siguiente sintaxis la salida de un switch que está usando su prioridad por defecto para la VLAN 100. En el modo extendido system ID la prioridad será entonces 32868, es decir, 32768 más 100 del número de VLAN. Switch# show spanning-tree vían 100 VLAN0100 Spanning tree enabled protocol ieee Root ID Priority 4200 Address 000b.5f65.lf80 Cost 4 Port 1 (GigabitEthernetO/l) Helio Time 2 sec Max Age 2 0 sec Forward Delay 15 sec Bridge ID Priority 32868 (priority 32768 sys-id-ext 100) Address 000c.8554.9a80 Helio Time 2 sec Max Age 2 0 sec Forward Delay 15 sec Aging Time 300
La prioridad por defecto es mayor que el actual root bridge, de tal manera que este switch no puede convertirse en root bridge. Ahora se configura con el método automático para intentar que esta situación cambie: Switch(config)# spanning-tree vían 100 root primary % Failed to make the bridge root for vían 100 % It may be possible to make the bridge root by setting the priority % for some (or all) of these instances to zero.
El método ha fallado, la prioridad del actual root bridge es de 4200 y debido a que esa prioridad es menor que 24576 el switch local tratará de poner su propia prioridad a menos de ese valor. Aunque la prioridad resultante es 104 la configuración de system ID extendido requiere que este valor sea múltiplo de 4096 y sólo hay un valor que podría funcionar que es 0. Este mecanismo automático no puede usar dicho valor. Finalmente habrá que buscar otras alternativas de configuración como configurar esa prioridad de 0 manualmente: Switch(config)# spanning-tree vían 100 priority 0
En este ejemplo la prioridad resultante al estar utilizando system ID extendido será de 100 (prioridad 0 más VLAN ID 100). Switch# show spanning-tree vían 100 VLAN0100 Spanning tree enabled protocol ieee Root ID Priority 100 Address 000c.8554.9a80 This bridge is the root Helio Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 100 (priority 0 sys-id-ext 100)
www.FreeLibros.com
CAPÍTULO 14. STP
© r A-MA
367
Address 000c.8554.9a80
Helio Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300
OPTIMIZACIÓN DEL FUNCIONAMIENTO DE STP La decisión más importante en el diseño de STP es la ubicación del root bridge, otras decisiones, como por ejemplo un camino libre de bucles, ocurrirán luego de ejecutarse el mecanismo de STP. Existirán razones especiales donde esos caminos necesiten una mejora u optimización adicional. Como se explicó en párrafos anteriores los criterios de elección se llevan a cabo según: •
El menor bridge ID
•
El menor root path cost
•
El menor sender bridge ID
•
El menor sender port ID
Mejorando la configuración del root path cost El root path cost para cada puerto en el switch es determinado por los costes acumulativos a medida que las BPDU van viajando. Cuando un switch recibe una BPDU el coste del puerto que recibe se suma a root path cost de esa BPDU. El valor por defecto es inversamente proporcional al ancho de banda del puerto, este valor es confígurable. Antes de modificar el root path cost de los switch se debería calcular el root path cost de todos los enlaces alternativos. Estos cambios deben hacerse con mucha precaución. El siguiente comando sirve para modificar el coste de un puerto: Switch (config-if)# spanning-tree [vían vlan-id] cost cost
Si el parámetro vían es utilizado, entonces el coste del puerto es modificado únicamente para esa VLAN en particular, de lo contrario el coste se modifica para todas las VLAN de ese puerto. El coste tiene un rango 1 hasta 65535. Hay unos valores estándar que corresponden al ancho de banda del puerto.
www.FreeLibros.com
368
REDES CISCO. CCNP a Fondo
©RA-M a
Ancho de banda
Coste antiguo de STP
Coste actual de STP
4 Mbps
250
250
10 Mbps
100
100
16 Mbps
63
62
45 Mbps
22
39
100 Mbps
10
19
155 Mbps
6
14
622 Mbps
2
6
1 Gbps
1
4
10 Gbps
0
2
El siguiente ejemplo cambiará el coste de los puertos de la VLAN 10 a un valor de 2: Switch(config-if)# spanning-tree vían 10 cost 2
Para ver el coste de una interfaz se puede utilizar el siguiente comando: Switch# show spanning-tree interface type mod/num [cost] Switch# show spanning-tree interface gigabitEthernet 0/1 Vían Role Sts Cost Prio.Nbr Type VLAN0001 VLAN0010 VLAN0020
Root Desg Root
FWD 4 FWD 2 FWD 4
128.1 128.1 128.1
P2p P2p P2p
Mejorando la configuración del port ID El último criterio en la decisión de STP es el port ID. Éste es el identificador del puerto que utiliza el switch y que tiene un valor de 16 bits de los cuales 8 bits corresponden a la prioridad y 8 bits al número del puerto. La prioridad del puerto es un valor entre 0 y 255 y que por defecto para todos es de 128. El número de puerto tiene un rango entre 0 y 255 y representa la ubicación física del puerto real. Los números de puerto comienzan con 1 en los puertos 0/1 y se van
www.FreeLibros.com
CAPÍTULO 14. STP
© RA-MA
369
incrementado a través de cada módulo y es un valor fijo ya que se basa en la localización del hardware del switch. Dependiendo de los módulos utilizados los números de puerto no tienen por qué ser consecutivos. El port ID puede modificar la decisión de STP a través de la prioridad, el siguiente comando modifica ese parámetro: Switch
(config-if )# spanning-tree [vían vlan-list] port-priority
p o rt-p rio rity
Se puede modificar la prioridad del puerto para una o más VLAN utilizando el parámetro vían a través de un rango de valores separados por comas de lo contrario la prioridad del puerto se aplica a todas las VLAN. Un valor de prioridad menor indica un grado de preferencia o mejor camino hacia el root bridge. El siguiente ejemplo cambiará la prioridad del puerto 3/16 de 128 a 64 para las VLAN 10 y 100. Los cambios pueden observarse en la sintaxis más abajo: S w i t c h (config)# interface gigabitethernet 3/16 Switch(config-if )# spanning-tree vían 10,100 port-priority 64
Switch# show spanning-tree interface gigabitEthernet 3/16 Vían Role Sts Cost Prio.Nbr Type
VLAN0010 Desg FWD 4 64.144 Edge P2p VLAN0100 Desg FWD 4 64.144 Edge P2p VLAN0200 Desg FWD 4 128.144 Edge P2p
Mejorando la convergencia se STP STP utiliza varios temporizadores, una secuencia de estados a través de los cuales los puertos deben pasar y unas condiciones de cambios de topologías específicas para prevenir los bucles de capa 2. Cada uno de estos 3 parámetros está configurado con valores por defecto y para un tamaño de red específico. En la mayoría de los casos la operación por defecto de STP es suficiente para mantener la red libre de bucles. Existen otras situacionesdonde sólo la utilización de los parámetros por defecto de STP puede retrasar eldesempeño de la red al tener que esperar que los temporizadores expiren sus tiempos. Por ejemplo, cuando una terminal se conecta a un puerto del switch no puede generar ningún bucle de red. Otra situación tiene que ver con el tamaño de la red de capa 2. En una red pequeña los valores de los temporizadores por defecto pueden retrasar su funcionamiento por lo que deberían ser configurados con valores más pequeños. Estas u otras situaciones son las que necesitan una modificación de los temporizadores STP.
www.FreeLibros.com
370
REDES CISCO. CCNP a Fondo
©RA-MA
La modificación manual de los temporizadores puede llevarse a cabo con los siguientes comandos: Switch(config)# spanning-tree [vían vlan-id] helio-time seconds Switch(config)# spanning-tree [vían vlan-id] forward-time seconds Switch(config)# spanning-tree [vían vlan-id] max-age seconds
Estos temporizadores pueden se modificados para una sola instancia STP con el parámetro vlan-id o para todas si este parámetro es omitido. El temporizador helio es el que regula el envío las BPDU desde el root hacia todos los demás switch. Este temporizador también configura el intervalo de tiempo en el que el switch espera escuchar helio de sus vecinos. Las BPDU de configuración por defecto se envían cada 2 segundos, para modificar este parámetro el rango posible es de 1 a 10 segundos. El temporizador forward delay determina la cantidad de tiempo en que el puerto está en los estados escuchando y aprendiendo antes de pasar al estado de enviando. Este valor por defecto es de 15 segundos y puede modificarse con el parámetro forward delay, entre 4 y 30 segundos. Este temporizador debe ser configurado con especial atención, porque de éste depende la propagación de las BPDU a través de los switches. Valores inadecuados dependiendo del tamaño de la red pueden permitir la creación de bucles en la red. El temporizador max age especifica el tiempo de vida de una BPDU almacenada que ha sido recibida en un puerto designado. Aun así las BPDU son también recibidas en puertos no designados en los tiempos específicos. Si un fallo en el envío de las BPDU ajeno a la red, como el filtrado por ACL o firewall, el switch que est,a recibiendo espera que el temporizador max age termine para escuchar otras BPDU. A partir de este mecanismo el puerto no designado pasa al estado aprendiendo, el puerto pasa a ser el designado y se reestablece la conectividad en el segmento. Para modificar el valor por defecto de este temporizador de 20 segundos se utiliza el parámetro max age entre 6 y 40 segundos. La configuración de los temporizadores de STP puede realizarse también automáticamente. Los switches Catalyst utilizan el siguiente comando para la configuración automática de los temporizadores Switch(config)# spanning-tree vían vlan-list root {primary secondary} [diameter diameter [helio-time helio-time]]
|
Los temporizadores de STP serán ajustados acorde a la especificación IEEE 802.ID con sólo indicar el diámetro de la red tomado como el número
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
371
máximo de switch que el tráfico debe atravesar en la red de capa 2. Este rango puede variar desde 1 a 7 switches. El parámetro helio time es opcional, cuyo valor por defecto es de 2 segundos. El siguiente ejemplo configura un helio time de 1 segundo, más abajo se muestra el resultado en un comando show: S w i t c h
(config)# spanning-tree vían 100 root primary diameter 3
helio-time 1 Switch# show spanning-tree vían 100
VLAN0100 Spanning tree enabled protocol ieee Root ID Priority 100 Address 0 0 0 c .8554.9a80 This bridge is the root
Helio Time 1 sec Max Age 7 sec Forward Delay 5 sec Bridge ID Priority 100 (priority 0 sys-id-ext 100) Address 000c.8554.9a80 Helio Time 1 sec Max Age 7 sec Forward Delay 5 sec Aging Time 300
C O N V E R G E N C IA D E E N L A C E S R E D U N D A N T E S Existen métodos adicionales que hacen que la convergencia STP sea más rápida en casos de fallos del enlace. Estos métodos son los siguientes: •
Port Fast, habilita conectividad rápida para los puertos conectados a estaciones de trabajo o equipos terminales mientras éstos están inicializando.
•
Uplink Fast, habilita el enlace uplink rápido del switch en la capa de acceso cuando existen conexiones duales hacia la capa de distribución.
•
Backbone Fast, habilita una rápida convergencia en el core de la red después de que un cambio de topología ocurre en STP.
Port fast: una estación de trabajo de usuario final está conectada a un puerto de un switch en la capa de acceso. Si la estación de trabajo se apaga y se enciende el switch, verifica el cambio de estado del puerto lo que significa que éste no será utilizable hasta que los tiempos permitan que pase desde el estado de bloqueando a enviando. Con los temporizadores por defecto de STP esa transición lleva al menos 30 segundos, es decir, que la estación de trabajo no podrá enviar ni
www.FreeLibros.com
372
REDES CISCO. CCNP a Fondo
© r a -m a
recibir datos hasta que transcurra dicho período. Para el caso de que se esté empleando un enlace EtherChannnel con PAgP habrá que sumarle unos 20 segundos más. En puertos de switch que conectan sólo hacia simples estaciones de trabajo los bucles de capa 2 nunca serán posibles. Los switches Catalyst ofrecen la característica port fast la cual baja los tiempos de cambio de estado de STP. Cuando el enlace de la estación de trabajo se levanta en el puerto port fast, el switch mueve inmediatamente el estado del puerto a enviando. Una de las características más ventajosas es que las BPDU TCN no son enviadas ante los cambios de estado de los puertos configurados como port fast. Por defecto port fast está deshabilitado en todos los puertos. Para configurarlo a todos los puertos de acceso se puede utilizar el siguiente comando: Switch(config)# spanning-tree portfast default
Para deshabilitarlo bastará con anteponer un no delante del comando. Es evidente que un puerto conectado a un dispositivo de capa 2 o a un hub no debe tener habilitada esta opción. De la misma manera se puede configurar la característica port fast en algún puerto específico con la siguiente serie de comandos: Switch(config)# interface type mod/num Switch(config-if)# switchport host switchport mode will be set to access spanning-tree portfast will be enabled channel group will be disabled
La verificación del estado del puerto puede hacerse con el siguiente comando, más abajo se muestra la sintaxis de un ejemplo: Switch# show spanning-tree interface type mod/num portfast Switch# show spanning-tree interface fastethernet 0/1 portfast VLAN0010 enabled
Uplink Fast: tomando como ejemplo un switch de la capa de acceso que tiene Uplink o enlaces redundantes hacia los switches de distribución. Normalmente un sólo enlace estará en estado enviando mientras que el otro estará en estado bloqueando. En el caso de fallo en el primer enlace habrá que esperar 50 segundos antes de que el puerto del enlace redundante pudiera ser utilizado.
www.FreeLibros.com
© .
CAPÍTULO 14. STP
ra -m a
373
La característica de Uplink Fast permite mantener uno de los puertos en el estado de envío y los demás en el estado de bloqueando pero preparados para ser utilizados inmediatamente en el caso de que el primero falle. El siguiente comando habilita esta característica: (config)# spanning-tree uplinkfast second]
S w i t c h
[max-update-rate pkts-per-
Cuando se habilita Uplink Fast se hace para todos los puertos y todas las VLAN. Mantiene un registro de todos los posibles caminos hacia el root bridge. Este comando no está permitido en el root bridge y mantiene el switch configurado en el extremo de la capa de acceso no permitiendo que sea root en ningún momento. La prioridad del switch es elevada a 49152 haciendo que su elección como root bridge sea prácticamente imposible. Incrementa el coste de los puertos hasta 3000 para que no sean caminos deseados hacia el root por otros switch que estuvieran por debajo de éste. El switch avisa del nuevo estado de los enlaces enviando tramas multicast con destino 0100.0ccd.cdcd en lugar de las estaciones contenidas en la tabla CAM. De esta manera hace que los host aprendan las direcciones hacia el origen. El siguiente es un ejemplo de un show spanning-tree uplinkfast Switch# show spanning-tree uplinkfast UplinkFast is enabled Station update rate set to 150 packets/sec. UplinkFast statistics Number of transitions via uplinkFast (all VLANs) : 2 Number of proxy multicast addresses transmitted (all VLANs) Ñame Interface List
: 52
VLAN0001 GiO/1(fwd) VLAN0010 GiO/1(fwd) VLAN0100 GiO/1(fwd)
Backbone Fast: en el backbone de la red en la capa de core se utiliza un método diferente para hacer que la convergencia STP sea mas breve. Backbone Fast funciona manteniendo al switch constantemente comprobando si existen caminos alternativos hacia el root bridge, para el caso de que se detecte un fallo de un enlace indirecto. Estos fallos de enlaces indirectos ocurren cuando un enlace que no está directamente conectado falla. Cuando el switch recibe una BPDU inferior desde su bridge designado en su puerto raíz o en un puerto en el estado
www.FreeLibros.com
374
REDES CISCO. CCNP a Fondo
©RA-M a
bloqueando, detectará un fallo en un enlace indirecto. Las BPDU con un número de secuencia inferior son enviadas por bridge designados que han perdido su conexión hacia el root bridge y anunciándose a sí mismos como nuevos root bridge. Normalmente un switch debe esperar que los temporizadores max age expiren para responder a BPDU inferiores a la que ya se conocen. Pero con Backbone Fast se puede determinar cuándo existen otros caminos alternativos hacia el root bridge según los tipos de puertos que reciben las BPDU inferiores: •
Si la BPDU inferior se recibe en un puerto que está en el estado bloqueando el switch considera el root port y todos los demás puertos en estado bloqueando como caminos alternativos hacia el root bridge.
•
Si una BPDU inferior llega al root port, el switch considerará todos los puertos que están en el estado bloqueando como caminos alternativos hacia el root bridge.
•
Si la BPDU llega al root port y no existen puertos bloqueando, el switch asume que ha perdido conectividad con el root bridge. Backbone Fast permite estos mecanismos antes de que el temporizador max age expire.
Detectar caminos alternativos hacia el root bridge involucra un proceso interactivo con otros switches. Si el switch local tiene puertos bloqueados, Backbone Fast utiliza el protocolo RLQ (Root Link Query) para verificar que los switches que tiene por encima tienen conexiones establecidas hacia el root bridge. Backbone Fast es simple de configurar y opera haciendo que el temporizador max age sea más breve cuando es necesario. Pero aun con este proceso los puertos deberán pasar por los estados escuchando y aprendiendo. Finalmente el tiempo queda reducido de 50 a 30 segundos. Para la configuración de Backbone Fast se utiliza el siguiente comando: Switch(config)# spanning-tree backbonefast
Backbone Fast debe estar habilitado en todos los switches de la red debido al requerimiento de peticiones RLQ para mantener informados a todos los switches sobre la estabilidad de la red. El protocolo RLQ sólo funciona si Backbone Fast está activo.
www.FreeLibros.com
CAPÍTULO 14. STP
© r A-MA
375
La verificación de Backbone Fast puede comprobarse con el siguiente comando: Switch# show spanning-tree backbonefast
R E S O L U C IÓ N d e f a l l o s e n s t p Debido a que STP utiliza diferentes tipos de contadores y cálculos dinámicos, predecir su estado es complejo. La información para resolver y verificar el funcionamiento de STP puede verse en la siguiente tabla:
Comando
Función
Switch# show spanningtree
Muestra todos los parámetros STP para todas las VLAN con un resumen de la información del puerto.
Switch# show spanningtree detail
Muestra todos los parámetros STP para todas las VLAN con la información del puerto muy detallada.
Switch# show spanningtree [vían vlan-id] summary
Muestra el estado STP de los puertos del switch.
Switch# show spanningtree [vían vlan-id ] root
Identifica el Root Bridge ID, el Root Port y el Root Path Cost.
Switch# show spanningtree [vían vlan-id] bridge
Muestra el bridge ID y los temporizadores STP del switch local.
Switch# show spanningtree uplinkfast
Muestra el estado STP Uplink Fast.
Switch# show spanningtree backbonefast
Muestra el estado Backbone Fast.
www.FreeLibros.com
STP
376
REDES CISCO. CCNP a Fondo
©RA-MA
PROTECCIÓN DE LAS TOPOLOGÍAS STP Protección contra BPDU inesperadas Una red ejecutando STP utiliza las BPDU para la comunicación entre los switches. De esta manera reconocen la existencia de los demás switches de la topología. Una vez que el root bridge es elegido envía las BPDU hacia los demás que confían en él. De manera eventual todos los switch del dominio STP reciben las BPDU de tal forma que convergen estables y libres de bucles. Para mantener esta topología de manera eficiente la ubicación del root bridge debe ser previsible. Lo mejor es la configuración manual del mismo y además otro switch que pueda tomar esa función si el primero falla. Se debe tener en cuenta qué ocurriría si otro switch se conecta a la red de manera que intente ser el nuevo root bridge y cuál es la manera de evitarlo. Después de que la topología STP ha convergido y está libre de bucles, los puertos del switch toman diferentes roles: •
Root port, es el puerto raíz con el menor root path cost hacia el root bridge.
•
Designated port, es el puerto designado de un segmento de LAN que está más cerca del root. Este puerto es el que envía las BPDU hacia abajo en el árbol de STP.
•
Blocking port, es el puerto en estado bloqueando, que no es ni root ni puerto designado.
•
Alternate port, es un puerto alternativo candidato a ser root port, también están cerca del root bridge pero en estado bloqueando. Están preparados para ser utilizados ráridamente por la característica de STP Uplink Fast.
•
Forwarding port, son puertos en estado de enviando donde no se espera otra actividad STP, son las conexiones finales a los usuarios.
El root bridge siempre se espera detectarlo en los puertos raíz o en los puertos alternativos porque son los que están más cerca de él. En el supuesto caso de que otro switch sea introducido en la red con una prioridad mejor que la que posee el actual root, podría llegar a convertirse en el nuevo root bridge y la topología podría converger en una nueva forma. Esto es válido para STP porque el switch con el menor ID siempre ganará la elección de root.
www.FreeLibros.com
©RA-MA
CAPÍTULO 14. STP
377
Esto no siempre es lo deseable, la nueva topología STP podría ser inadecuada, mientras que a su vez la reconvergencia de la red haría que estuviese indisponible durante un determinado período. La característica Root Guard ñie desarrollada para controlar cuándo los candidatos a ser root bridge se conectan en la red. Básicamente un switch aprende e identifica la bridge ID del root si otro switch anuncia una mejor. Donde Root Guard está habilitado el switch local no permitirá al nuevo switch que se convierta en root, mientras que BPDU superiores están llegando a ese puerto, éste mantendrá un estado inconsistente STP. En este estado no se podrá enviar ni recibir datos pero se pueden recibir BPDU para detectar un nuevo anuncio del root. Básicamente lo que hace Root Guart es que un puerto solamente pueda enviar BPDU pero no recibirlas. Previene que un puerto se convierta en puerto raíz donde normalmente las BPDU podrían ser recibidas desde el root bridge. Esta característica está deshabilitada por defecto y se habilita únicamente por puerto utilizando el siguiente comando: Switch(config-if )# spanning-tree guard root
Cuando las BPDU superiores no son recibidas el puerto vuelve a pasar por los estados STP y regresa a su estado normal. La utilización de Root Guard afecta a todas las VLAN asociadas al puerto, es recomendable configurarlo en los puertos donde nunca se espera un root bridge para alguna de esas VLAN. Para ver el estado inconsistente de un puerto puede hacerse con el siguiente comando: Switch# show spanning-tree inconsistentports
Cuando Port Fast es habilitado no se espera encantar ningún dispositivo que genere BPDU, es decir, nada que pueda provocar un bucle. Cuando por error se conecta un switch a un puerto en el que se ha habilitado Port Fast, existe un problema potencial de que se genere un bucle y aún más cuando el nuevo switch se anuncia como posible root bridge. La característica BPDU Giuard fue creada para garantizar la integridad de los puertos del switch Port Fast para que si alguna BPDU es recibida, el puerto se ponga inmediatamente en estado errdisable. El puerto pasa a una condición de error y es desactivado, teniendo que ser manualmente rehabilitado o automáticamente recuperado a través de la función de un temporizador.
www.FreeLibros.com
378
REDES CISCO. CCNP a Fondo
©RA-MA
Por defecto BPDU Guard está deshabilitado en todos los puertos del switch pudiendo configurarse con el siguiente comando: Switch(config)# spanning-tree portfast bpduguard default Switch(config-if)# spanning-tree bpduguard enable
Los puertos que tienen Port Fast habilitado también tendrán BPDU Guard habilitado. Como en la mayoría de los comandos para desactivar BPDU Guard bastará con anteponer un no a la línea de comandos, por ejemplo para un puerto determinado: Switch(config-if)# no spanning-tree bpduguard enable
Se debería configurar BPDU Guard en todos los puertos con Port Fast para prevenir que un switch pueda ser añadido a ese puerto de manera intencionada o por error. La capa de acceso es un ejemplo de utilización de este mecanismo.
Protección contra la pérdida repentina de BPDU Cisco tiene dos características que ayudan a detectar y prevenir la pérdida inesperada de BPDU: •
Loop guard
•
Unidirectional Link Detection (UDLD)
Suponiendo que un Puerto del switch esté recibiendo BPDU y que su estado sea bloqueando, este puerto constituye un camino redundante. El estado bloqueando indica que no es puerto raíz ni puerto designado y que permanecerá en ese estado mientras un flujo estable de BPDU sea recibido. Si las BPDU están siendo enviadas por un enlace y el flujo se detiene por alguna razón, la última BPDU conocida se mantiene hasta que el temporizador Max Age expire. Entonces la BPDU es eliminada y el switch interpreta al no recibir más BPDU que no existe otro dispositivo conectado. El switch comienza a mover el puerto por los estados de STP hasta iniciar el movimiento de tráfico lo que potencialmente podría generar un bucle de capa 2. Para prevenir esta situación se puede habilitar la característica de STP Loop guard. Una vez funcionando, Loop guard, mantiene un registro de la actividad de los puertos no designados. Mientras las BPDU se reciben se permite un comportamiento del puerto siguiendo los procesos normales de STP. Cuando las BPDU se pierden Loop guard mueve el puerto a un estado llamado loop
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
379
¡n c o n siste n t. El puerto es bloqueado para prevenir que se formen bucles y mantener el puerto en su rol de no designado.
Cuando las BPDU no son recibidas en el puerto, permite que el puerto pase por los estados STP y se convierta en un puerto activo, de manera que proporciona un mecanismo automático sin intervención manual. Por defecto Loop guard está deshabilitado en todos los puertos, el siguiente comando lo configura de manera global: S w i t c h (config)#
spanning-tree loopguard default
De la misma manera se puede habilitar o deshabilitar en cada puerto: S w i t c h (config-if)# [no] spanning-tree guard loop
Aunque su configuración se aplica para todo el puerto Loop guard no bloquea el puerto completo sino que lo hace por VLAN. Se puede habilitar en todos los puertos del switch sin importar sus funciones, el switch averigua qué puertos son no designados y monitoriza la actividad de las BPDU para mantenerlos en ese estado. Los puertos designados son los puertos raíz, los puertos designados y los puertos que normalmente están en estado bloqueando. En una red de campus los switches están conectados por enlaces bidireccionales donde el tráfico puede fluir en dos direcciones. Si un enlace tiene un problema físico los dos switches que interconecta el enlace detectan el problema apareciendo como no conectado. Pero si sólo una parte del enlace, ya sea transmisor o receptor, tuviera un fallo atípico, como el mal funcionamiento de un transceptor, los switches podrían ver que el tráfico fluye en ambas direcciones cuando en realidad el enlace está estropeado y el tráfico fluye sólo en una dirección. Este problema se conoce como unidirectional link. Un link unidireccional tiene un peligro potencial en las topologías STP haciendo que las BPDU no sean recibidas en uno de los extremos del enlace. Cuando un puerto no recibe BPDU interpreta de forma segura que puede avanzar entre los estados de STP hasta terminar enviando tráfico. Cuando esto ocurre en un enlace bidireccional se forma un bucle y el switch nunca se dará cuenta del error. Cisco ofrece una solución propietaria UDLD (UniDirectional Link Detection). Al estar habilitado UDLD monitoriza de manera activa el puerto para ver si el enlace es realmente bidireccional. El switch envía tramas UDLD especiales identificando el puerto en intervalos de tiempo regulares.
www.FreeLibros.com
380
REDES CISCO. CCNP a Fondo
©RA-MA
UDLD espera que el switch responda a estas tramas por el mismo enlace, si ambos extremos reciben la trama el enlace tiene que ser bidireccional. Si las tramas que son respondidas no se ven, el enlace es unidireccional por algún otro motivo o fallo. Para que el proceso de respuesta se produzca ambos extremos del enlace deben estar configurados para UDLD. Los mensajes UDLD se envían por defecto cada 15 segundos. El objetivo final de UDLD es detectar enlaces unidireccionales antes de que STP tenga tiempo de mover el puerto desde el estado de bloqueando hasta el estado de enviando. Por lo tanto el tiempo debe ser inferior al temporizador max age más los intervalos de forward delay. UDLD puede detectar un enlace unidireccional después de que los mensajes UDLD sean perdidos durante 3 intervalos, es decir, 45 segundos. UDLD tiene dos modos de operación: •
Modo de operación UDLD normal: cuando un enlace unidireccional es detectado se permite que el puerto continúe su operabilidad, UDLD simplemente marca el puerto como en un estado indeterminado y genera un mensaje en el syslog.
•
Modo de operación UDLD agresivo: cuando un enlace unidireccional es detectado el switch toma una acción para reestablecer el enlace. Básicamente el puerto es puesto en el estado errdisable de manera que no podrá ser utilizado.
La configuración de UDLD puede hacerse por puerto o de manera global para todos los puertos que sean de fibra óptica de cualquier tipo. Por defecto UDLD esta deshabilitado en todos los puertos del switch, para configurarlos se utiliza la siguiente sintaxis: Switch(config)# udld {enable | aggressive | message time seconds}
Para uso normal se utiliza el parámetro enable, mientras que para el modo agresivo se utiliza el parámetro aggressive. El último parámetro se utiliza para poner el intervalo de los mensajes en un rango de entre 7 y 90 segundos. Para habilitar o deshabilitar UDLD por puerto se utiliza el siguiente comando: Switch(config-if)# udld {enable | aggressive | disable}
Se puede habilitar de manera segura UDLD en todos los puertos del switch, éste determinará cuáles son los puertos de fibra donde aplicarlo. Los puertos de cobre no sufrirán las características que permiten los enlaces
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
381
unidireccionales. UDLD detecta la condición de unidireccionalidad en un enlace, por lo tanto en un EtherChannel sólo el enlace donde se produce esta condición será deshabilitado.
Filtros BPDU para deshabilitar STP Normalmente STP opera en todos los puertos del switch en un esñierzo para tratar de que no se formen los bucles de capa 2. Las BPDU son enviadas a todos los puertos del switch, incluso en los que Port Fast está habilitado. Las BPDU también pueden ser recibidas y procesadas si son recibidas por otro switch de un dominio STP diferente. Aunque STP debería estar siempre ejecutándose, en ciertos casos habrá que prevenir el envío de las BPDU o su proceso en uno o más puertos del switch. Para conseguir este objetivo se puede utilizar filtrado de las BPDU que por defecto está deshabilitado en todos los puertos del switch. La configuración puede hacerse de manera global afectando de esta manera a todos los puertos utilizando el siguiente comando: Switch(config)# spanning-tree portfast bpdufilter default
Todos los puertos que tienen Port Fast habilitado también tendrán los filtros BPDU habilitados. De la misma forma puede configurarse hacerse por puertos: Switch(config-if)# spanning-tree bpdufilter {enable | disable}
RESOLUCION DE FALLOS EN LA PROTECCIÓN DE STP Debido a que existen diversos métodos de protección de STP disponibles, la siguiente tabla expone algunos de los comandos necesarios para la resolución y análisis de fallos: Comando
Función
Switch# show spanning-tree inconsistentports
Lista los puertos que están en un estado inconsistente.
Switch# show spanning-tree interface type mod/num [detail]
Muestra razones detalladas de inconsistencias.
www.FreeLibros.com
382
REDES CISCO. CCNP a Fondo
©RA-MA
Switch# show spanning-tree summary Switch# show udld [type
mod/num] Switch# udld reset
Muestra el estado de las BPDU. Muestra el estado del UDLD en uno o más puertos. Rehabilita puertos que UDLD agresivo ha puesto en errdisable.
RAPID SPANNING TREE PROTOCOL RSTP está definido en el estándar IEEE 802.1W y fue desarrollado para usar los conceptos principales del estándar 802.ID pero con un tiempo de convergencia mucho más rápido. RSTP puede ser aplicado a una o múltiples instancias, es decir a una o varias VLAN. Para aplicarlo a varias VLAN se utiliza el mecanismo propietario de Cisco PVST+ de tal forma que con esta combinación se consigue la versión rápida RPVST+. RSTP también puede ser utilizado como parte de MST (Múltiple Spanning Tree) del estándar 802.IS.
Funcionamiento de RSTP En el estándar 802.ID, como se explicó en párrafos anteriores, cada puerto del switch tiene diferentes roles y estados, sólo el estado enviando permite enviar y recibir datos. El estado del puerto está vinculado con el rol que debe cumplir, un puerto que está bloqueando no podrá ser nunca un puerto raíz o designado. RSTP lleva a cabo una rápida convergencia dejando a cada switch interactuar con sus vecinos a través de cada puerto. Esta interacción se lleva a cabo basándose en el rol de cada puerto y no de manera estricta según las BPDU, que son enviadas desde el root bridge. Luego de la determinación del rol cada puerto obtiene un estado que indica que hacer con los datos que le llegan. En una topología RSTP el root bridge se elige de la misma manera que en el estándar 802.ID. Una vez que todos los switch están de acuerdo en la identificación del root, se determinan los roles de los puertos que pueden ser los siguientes: •
Root port, es el puerto raíz con el menor root path cost hacia el root bridge.
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
383
•
Designated port, es el puerto designado de un segmento de LAN que está más cerca del root. Este puerto es el que envía las BPDU hacia abajo en el árbol de STP.
•
Alternate port, es un puerto que tiene un camino alternativo hacia el root y diferente del camino que utiliza el root port para llegar al root bridge. Este camino es menos deseable que el root port.
•
Backup port, proporciona redundancia en un segmento donde otro switch está conectado. Si este segmento común se pierde el switch no podría tener otro camino hacia el root.
RSTP sólo define estados de puertos acorde a lo que el switch hace con las tramas que le llegan. Un puerto puede tener algunos de los siguientes estados: •
Descartando, las tramas de entrada simplemente son eliminadas, no se aprende ninguna dirección MAC; este estado combina los estados desconectado, bloqueando y aprendiendo del 802.ID.
•
Aprendiendo, las tramas que le llegan son eliminadas pero las direcciones MAC quedan almacenadas.
•
Enviando, las tramas de entrada son enviadas acorde a la dirección MAC que han sido aprendidas.
BPDU en RSTP En STP las BPDU se originan en el root bridge y se envían a todos los switches que están por debajo del árbol; debido a esta propagación de las BPDU la convergencia en 802.ID tiene que esperar que se cumplan todas las condiciones para hacerse efectiva. RSTP utiliza el mismo formato de BPDU para compatibilidad con STP, pero algunos de los bits que no son utilizados en el campo type ahora serán usados. El puerto del switches que esta enviando se identifica a sí mismo por su rol y estado en RSTP, el campo de la versión de BPDU se pone a un valor de 2 para distinguirlas de su antecesor. RSTP utiliza un proceso interactivo mediante el cual dos switches vecinos pueden negociar cambios de estado. Algunos de los bits de las BPDU se utilizan como identificadores en los mensajes durante esta negociación. Las BPDU se envían por todos los puertos del switch en los intervalos helio sin importar si son recibidas o no desde el root. De esta manera cualquier switch en cualquier ubicación de la red puede desempeñar un rol activo en el mantenimiento de la topología. Los switches también pueden recibir BPDU de manera regular desde sus vecinos. Cuando se pierden varias BPDU seguidas se
www.FreeLibros.com
3 84
REDES CISCO. CCNP a Fondo
©RA-MA
presume que el vecino ha caído y toda la información relativa de los puertos hacia el vecino se elimina automáticamente. Esto significa que el switch puede detectar un fallo en el vecino dentro de 3 veces el intervalo helio, por defecto 6 segundos, en lugar de esperar que expire el tiempo del temporizador max age como en el caso de STP 802. ID. Debido a que RSTP distingue las BPDU 802.ID pueden coexistir ambas versiones. Cada puerto intentará operar acorde a las BPDU de STP que recibe. Existe un temporizador específico que mantiene el protocolo que ha escuchado el puerto y no lo cambia hasta recibir otra versión de STP diferente.
Convergencia de RSTP La convergencia de RSTP en una red es el proceso que demanda a los switches pasar desde un estado de independencia a un estado de uniformidad en el que todos los switches están de acuerdo sobre quién es el root y se crea una topología libre de bucles. La convergencia es un proceso de dos estados: 1. Un root bridge común debe ser elegido y todos los switches tienen que tener conocimiento de él. 2. El estado de todos los puertos de cada uno de los switch en el dominio de STP tiene que pasar desde el estado bloqueando al estado apropiado para prevenir bucles. La convergencia toma un tiempo porque los mensajes tienen que ser propagados de switch a switch. El STP tradicional también requiere además que varios temporizadores expiren para que los puertos puedan de manera segura transmitir datos. RSTP tiene una manera diferente de operar, el switch toma la decisión de enviar tráfico o no, basándose en el tipo de puerto.
Tipos de puertos Cada puerto del switch puede ser reconocido como uno de estos tipos: • Puerto frontera, éste es un puerto en el borde de la red. Normalmente lo único que conecta son terminales. Tradicionalmente este tipo de puerto se ha identificado con la característica port fast, RSTP mantiene el mismo concepto. En este puerto no se puede crear un bucle ya que está conectado a un host por lo tanto puede de manera inmediata pasar ál estado de
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
385
enviando, pero si por alguna razón se escuchan BPDU automáticamente pierde su estado de último puerto o frontera (edge). •
Puerto raíz, es el puerto que tiene el mejor coste hacia el root en la instancia de STP. Solamente un puerto raíz puede ser seleccionado al mismo tiempo, aunque pueden existir varios puertos alternativos. En el caso de la existencia de caminos alternativos los puertos son identificados como puertos raíz alternativos y pueden, de manera inmediata, enviar tráfico en el caso de que el puerto raíz falle.
•
Puerto punto a punto, es cualquier puerto que conecte hacia otro switch y se convierta en puerto designado. Un rápido reconocimiento con el vecino define el estado del puerto en lugar de los típicos temporizadores. El intercambio de las BPDU se realiza de común acuerdo. Un switch propone que su puerto sea el designado, si el otro switch está de acuerdo responde con un mensaje de confirmación.
Los puertos punto a punto son determinados de manera automática por el modo dúplex en uso. Los puertos full dúplex son considerados punto a punto porque solamente 2 switches pueden pertenecer al enlace. La convergencia de STP puede acontecer rápidamente en enlaces punto a punto a través de saludos de dos vías RSTP entre los switches. Los puertos half dúplex se considera que están en un medio compartido con la posibilidad de que existan 2 o más switches, por lo que no serán puertos punto a punto. En estos casos se utiliza el sistema de convergencia tradicional STP 802.ID, por lo que los tiempos de convergencia son más elevados.
Sincronización Para participar en la convergencia de RSTP un switch debe decidir el estado de cada uno de sus puertos. Los puertos que no son frontera comienzan en el estado descartando, luego de que las BPDU se intercambian entre el switch y sus vecinos se identifica el puerto raíz. Si un puerto recibe una BPDU desde un vecino ese puerto es el raíz. Para cada puerto que no sea frontera el switch intercambia un saludo de dos vías en forma de “propuesta/acuerdo” para decidir el estado de cada extremo del enlace, cada switch asume entonces que sus puertos deberían llegar a ser
www.FreeLibros.com
386
REDES CISCO. CCNP a Fondo
©
r a -m a
puertos designados para ese segmento. Un mensaje de propuesta sugiriendo este mecanismo se envía a los vecinos del switch. Cuando un switch recibe un mensaje de propuesta en un puerto ocurre lo siguiente: 1.
Si la propuesta del que envía tiene una BPDU superior, el switch local se da cuenta de que el que envía debe ser el switch designado y su puerto toma el rol de nuevo puerto raíz.
2. Antes de que el switch esté de acuerdo debe sincronizarse a sí mismo con la topología. 3. Todos los puertos que no sean frontera, son movidos inmediatamente al estado descartando (bloqueando) de tal manera que no puedan formar bucles. 4.
Se envía un mensaje de acuerdo de regreso al emisor indicando que el switch está de acuerdo con la nueva elección del puerto designado. Además se informa del proceso de sincronización a los demás switch.
5. El puerto raíz se pasa inmediatamente al estado enviando, pudiendo ya enviar datos. 6. Por cada puerto que no sea frontera que está en estado descartando, envía un mensaje de propuesta al vecino respectivo. 7. Un mensaje de acuerdo es recibido desde un vecino en un puerto que no sea frontera. 8. El puerto que no es frontera inmediatamente se mueve al estado enviando.
www.FreeLibros.com
CAPITULO 14. STP
©RA-MA
387
La siguiente figura muestra este proceso:
1-Propuesta
4-Acuerdo
5-Enviando 2-Sincronizando
><
3-Bloqueando
7-Acuerdo
8-Enviando
La convergencia de RSTP comienza con un switch enviando un mensaje de propuesta, el receptor de la propuesta debe sincronizarse el mismo para efectivamente aislarse del resto de la topología. Todos los puertos que no sean frontera son bloqueados hasta que mensaje de propuesta pueda enviarse, causando que todos los vecinos sincronicen a sí mismos. Este mecanismo crea una ola de sincronización en switches en la que pueden decidir aceptar los enlaces si los vecinos están acuerdo.
un se los de
La siguiente figura muestra cómo la ola de sincronización viaja a través de la red en 3 intervalos de tiempo sucesivos. Junto con la ola se aíslan los switches previniendo de esta forma los bucles de red:
www.FreeLibros.com
388
REDES CISCO. CCNP a Fondo
©RA-MA
P ro p u e s ta
Todo el proceso de convergencia pasa rápidamente a la velocidad de la transmisión de las BPDU sin necesidad de temporizadores, un puerto designado que envía un mensaje de propuesta podría no recibir un mensaje de acuerdo. Si el switch vecino no entiende RSTP o tiene un problema en responder, el switch que está enviando tendrá que seguir los parámetros de STP 802.ID. El puerto debe moverse a través de los estados escuchando y aprendiendo antes de enviar datos.
Cambios de topología en RSTP RSTP detecta un cambio de topología sólo cuando un puerto que no es frontera pasa al estado enviando. RSTP utiliza todos sus mecanismos de convergencia para prevenir rápidamente los bucles de red. Los cambios de topologías son detectados de tal forma que las tablas de bridging son actualizadas y corregidas en los puertos que han cambiado de estado. Cuando el cambio de topología se detecta, el switch propaga los nuevos cambios a otros switch en la red, de tal manera que puedan, actualizar también sus tablas de bridging. Este proceso es similar al mecanismo de convergencia y sincronización, los mensajes TC (Topology Change) se propagan a través de la red en una ola expansiva.
www.FreeLibros.com
CAPÍTULO 14. STP
© RA-MA
389
Las BPDU con su bit TC configurado se envían a través de todos los puertos designados que no sean frontera hasta que el temporizador TC expira (2 intervalos del temporizador helio). Esta notificación da aviso del nuevo cambio de topología, además de que todas las direcciones MAC asociadas con los puertos designados que no son frontera son eliminadas de la CAM. Este mecanismo fuerza a que las nuevas direcciones sean aprendidas después del cambio, cuando los host están en enlaces diferentes. Todos los switches vecinos que reciben los mensajes TC también tienen que eliminar las tablas MAC aprendidas en todos los puertos excepto en el que recibe el mensaje TC. Los switches enviarán los mensajes TC a través de todos los puertos designados que no sean frontera y así sucesivamente hasta completar la topología.
CONFIGURACIÓN DE RSTP Por defecto los switches operan en el modo PVST+ usando el STP 802.ID tradicional. RSTP no puede ser utilizado hasta que un modo diferente de STP esté habilitado, RSTP es un mecanismo que está por debajo de MST o RPVST+. Los únicos cambios de configuración relativos a RSTP afectan al tipo de enlace o puerto para saber cómo se va a negociar la información de la topología con los vecinos. Para configurar un puerto para RSTP frontera se utiliza el siguiente comando: Switch(config-if)# spanning-tree portfast
Este comando es similar al de STP 802.ID, una vez habilitado el puerto el switch considera que sólo tiene host conectados y es por lo tanto un puerto frontera. Por defecto RSTP automáticamente decide que un puerto es punto a punto cuando está operando en full dúplex como en el caso de los .puertos conectados a otros switches. Por alguna razón necesaria el puerto puede forzarse a transmitir en half dúplex, para que funcione en modo punto a punto puede utilizarse el siguiente comando: Switch(config-if)# spanning-tree link-type point-to-point
www.FreeLibros.com
390
REDES CISCO. CCNP a Fondo
©RA-MA
RAPID PER-VLAN STP La eficiencia de cada instancia de STP puede mejorarse configurando el switch para que utilice RSTP esto significa que cada VLAN tendrá su propia instancia independiente de RSTP ejecutándose en el switch, conocido como RPVST+ (Rapid Per VLAN STP plus). Solamente en necesario un paso en la configuración para cambiar el modo se STP para comenzar a utilizar RPVSTP+, esto se lleva a cabo con el siguiente comando: Switch(config)# spanning-tree mode rapid-pvst
Este comando debe utilizarse con cuidado cuando la red está en producción debido a que cualquier proceso de STP que esté en actividad se reiniciará. Este proceso haría que cualquier enlace que esté funcionando en la red tuviera que pasar por todos los estados de STP dejando la red no disponible durante un período de tiempo con la consiguiente pérdida de datos. Para volver al modo tradicional de STP se utiliza el siguiente comando: Switch(config)# spanning-tree mode pvst
Los switches vecinos tienen que soportan ambos protocolos, tanto RSTP como 802.ID. El switch puede detectar el tipo de STP del vecino por la versión que recibe en las BPDU. El comando show spanning-tree vían sirve para ver la versión que se está utilizando. Switch# show spanning-tree vían 441 VLAN0441 Spanning tree enabled protocol rstp Root ID Priority 4267 Address OOdO.0457.38aa Cost 3 Port 833 (Port-channel1) Helio Time 2 sec Max Age 20 sec Forward Delay 15 séc
La salida anterior muestra la información relativa a la instancia RSTP para la VLAN 441, en este caso la versión que se esta utilizando es RSTP.
MULTIPLE SPANNING TREE PROTOCOL MST (Múltiple Spanning Tree Protocol) permite ejecutar en una o más VLAN una sola instancia de STP de tal manera que permite ajustar las configuraciones a los requerimientos necesarios. MST es conocido con el estándar 802.IS.
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
391
MST está constituido bajo el concepto de asociar una o más VLAN a una sola instancia STP, múltiples instancias de STP pueden ser utilizadas cada una de ellas soportando grupos diferentes de VLAN. Cada instancia puede ser configurada de manera que envíe tráfico direccionalmente según las VLAN asociadas con dichas instancias. Para configurar MST en una red son necesarios los siguientes requisitos: •
Determinar el número de instancias necesarias para soportar las topologías necesarias.
•
Comprobar si es necesario asociar un conjunto de VLAN a cada instancia.
Regiones MST MST difiere de los otros tipos de STP, aunque puede inter operar con ellos. Si un switch está configurado para MST tiene que averiguar cuáles de sus vecinos también ejecutan MST. Este mecanismo se hace a través de la configuración de regiones. Cada switch en una región ejecuta ciertos parámetros de MST compatibles con otros switches dentro de dicha región. En la mayoría de las redes, una sola región es suficiente aunque es posible la configuración de más de una. Dentro de cada región todos los switches tienen que ejecutar las mismas instancias de MST y los siguientes atributos: 1. Nombre de configuración de MST 2. Número de revisión de MST 3. Tablas de instancias asociadas a VLAN de MST Cuando dos switches tienen el mismo número y conjuntos de atributos entonces pertenecen a la misma región, de lo contrario se encuentran en regiones separadas. Las BPDU de MST contienen atributos de configuración de tal manera que los switches que reciben estas BPDU pueden compararlas contra la configuración MST local. Si los atributos coinciden la instancia MST será compartida como parte de la misma región, de lo contrario el switch es visto como parte de otra región. Cuando hay un límite entre dos regiones cada región ve a la otra como si fuera STP 802.ID.
www.FreeLibros.com
392
REDES CISCO. CCNP a Fondo________________________________________________________ ©RA-MA
Instancias de STP dentro de MST MST fue diseñado para inter operar con todas las formas de STP de tal manera que tiene que soportar instancias de cada una de ellas. Para comprender mejor este concepto hay que pensar en el rol de la red con una sola topología CST, de tal manera que una instancia de STP representa todas y cada una de las VLAN así como las regiones MST. Dicha CST mantiene una topología libre de bucles a la vez que integra todas las formas de STP que pudieran estar en uso. Para hacer esto CST ve cada región como una nube, integrándola como si fuera un único switch ya que no tiene idea de los que hay en esa región. CST mantiene una topología libre de bucles solamente con los enlaces que conectan las regiones entre sí y a switches independientes con 802.1Q CST.
Instancias IST Dentro de cada región MST se ejecuta una instancia IST (Intemal Spanning Tree) para mantener actualizada la topología libre de bucles entre los enlaces donde CST conoce los límites entre regiones y todos los switches dentro de éstas. Una instancia IST es como una CST localmente significativa unida a los switches frontera de cada región. El IST representa la región entera como un sólo bridge virtual hacia el CST exterior. Las BPDU se intercambian a través de la VLAN nativa en los límites de la región como si estuviera operando un sólo CST.
IST
Instancias MST MST posee la capacidad de mapear múltiples VLAN a un número determinado de instancias STP. Dentro de una región las instancias reales de MST (MSTI) existen junto con IST. Cisco soporta un máximo de 16 MSTI en cada
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
393
región. IST figura como MSTI con el número 0 y están disponibles desde el 1 al 15. La siguiente figura muestra como las diferentes MSTI pueden existir dentro de una región MST. La porción de la izquierda es idéntica a la figura anterior, 2 instancias MST 1 y MST 2 están configuradas con VLAN diferentes mapeadas a cada una. Sus topologías siguen la estructura de nombre de la red pero cada una converge de manera diferente. MSTI i
Dentro de la nube MST existen 3 instancias independientes de STP coexistiendo, MST 1, MST 2 Y IST. Sólo IST (MST 0) envía y recibe BPDU MST conteniendo información de cada una de las instancias. Cada una de las MSTI se combina con la IST sólo en el límite de la región para formar un sub-árbol de CSP. Sólo BPDU IST serán enviadas fuera de la región.
www.FreeLibros.com
394
REDES CI SCO. CCNP a Fondo
©RA-MA
CONFIGURACIÓN DE MST Los atributos de MST se configuran de manera manual en cada región, no existe ningún método automático para propagar esta información de un switch a otro. Para definir una región MST se utiliza la siguiente serie de comandos: 1. Habilitar MST en el switch: Switch(config)# spanning-tree mode mst
2. Entrar en el modo de configuración de MST: Switch(config)# spanning-tree mst configuration
3. Asignar un nombre de configuración de región con un máximo de 32 caracteres: Switch(config-mst)# ñame ñame
4. Asignar un número de revisión para la región en un rango de 0 a 65535. Switch(config-mst)# revisión versión
Este número sirve para determinar los cambios ocurridos en la configuración. Cada vez que se efectúa un cambio este número se incrementa en 1. La configuración de la región incluyendo el número de revisión tiene que ser igual en todos los switches de la región. 5. Asociar las VLAN a instancias de MST: Switch(config-mst)# instance instance-id vían vlan-list
Los números de VLAN pueden estar dentro del rango de 1 a 4094, por defecto todas las VLAN están mapeadas a la instancia 0 de IST. 6.
Se verifican los cambios pendientes: Switch(config-mst)# show pending
7. Al salir del modo de configuración se activa el proceso: Switch(config-mst)# exit
Después de que MST ha sido habilitado y configurado, las operaciones de PVST+ se detienen y el switch cambia a la configuración RSTP. Un switch no puede ejecutar a la vez MST y PVST+. Es posible además configurar los parámetros que utiliza MST cuando interactúa con CST o 802.ID tradicional, los
www.FreeLibros.com
CAPÍTULO 14. STP
© RA-MA
395
parámetros y temporizadores son idénticos y los comandos muy similares exceptuando por el parámetro MST. La siguiente tabla resume dichos comandos: Comando
Descripción
Switch(config)# spanning-tree mst instance-id root {primary | secondary} [diameter diameter]
Configura el root bridge.
Switch(config)# spanning-tree mst instance-id priority bridgepriority
Configura la prioridad del bridge.
Switch(config)# spanning-tree mst instance-id cost cost
Configura el coste del puerto.
Switch(config)# spanning-tree mst instance-id port-priority portpriority
Configura la prioridad del puerto.
Switch(config)# spanning-tree mst helio-time seconds Switch(config)# spanning-tree mst forward-time seconds Switch(config)# spanning-tree mst max-age seconds
www.FreeLibros.com
Configura los temporizadores STP.
www.FreeLibros.com
Capítulo 15
CONMUTACIÓN MULTICAPA ENRUTAMIENTO ENTRE VLAN En capítulos anteriores se describe el funcionamiento de las VLAN. Básicamente una VLAN es un dominio de diñisión típicamente usado para separar dispositivos generalmente en capa de acceso. Para el envío y recepción de paquetes entre las VLAN es posible utilizar cualquiera de estos mecanismos: •
Un router con conexiones físicas hacia cada una de las VLAN.
•
Un router con conexiones lógicas hacia cada una de las VLAN.
•
Un switch multicapa.
Los switch multicapa pueden realizar conmutación de. capa 2 con interfaces de capa 2 y enrutamiento entre VLAN con interfaces de capa 3. Estas interfaces de capa 3 podrían ser puertos del switch o interfaces SVI (Switch Virtual Interface), que es una interfaz de capa 3 virtual asignada a una VLAN. La siguiente figura muestra cómo se pueden utilizar los diferentes tipos de interfaz:
www.FreeLibros.com
398
REDES CISCO. CCNP a Fondo
©RA-MA
VLAN 3
VLAN 4
VLAN 2 VLAN 3 VLAN 4
Switch Multicapa
CONFIGURACIÓN DE ENRUTAMIENTO ENTRE VLAN Para poder enrutar entre VLAN es necesario el servicio de un dispositivo capaz de realizar enrutamiento capa 3 a través de un protocolo de enrutamiento o rutas estáticas. Debido a que los switches multicapa cuentan con diferentes tipos de interfaces es necesario especificar de qué manera será utilizada cada interfaz del switch. Dependiendo del modelo los puertos serán por defecto de capa 2 (Cisco series 2950, 3560, 4500) o capa 3 (Cisco series 6500). Un puerto puede ser de capa 2 o capa 3 dependiendo de la configuración del comando switchport. Para ver en qué capa está configurado el puerto se puede utilizar el siguiente comando: Switch# show interface type mod/num switchport
Si la salida muestra switchport como enabled o habilitado entonces el puerto será de capa 2 si lo muestra como disabled o deshabilitado será de capa 3. Switch# show interface gigabitethernet 0/1 switchport Ñame: Gi0/1 Switchport: Disabled Switch#
www.FreeLibros.com
CAPÍTULO 15. CONMUTACIÓN MULTICAPA
©RA-MA
399
Configuración de un puerto de capa 2 Para configurar un puerto para que opere a nivel de capa 2 se utiliza el siguiente comando: S wi t c h ( c o n f i g ) # interface type mod/num S w i t c h ( c o n f i g - i f )# switchport
Configuración de un puerto de capa 3 Para configurar un puerto para que trabaje a nivel de capa 3 se utiliza el siguiente comando: Switch(conf ig)# interface type mod/num Switch(conf ig-if)# no switchport S w i t c h (config-if)# ip address ip-address mask [secondary]
Hay que tener en cuenta que el último comando sirve para darle una dirección IP al puerto una vez convertido a capa 3.
Configuración de la interfaz SVI Es posible asignar una dirección IP a una interfaz virtual SVI (Switch Virtual Interface) que identifique a una VLAN en particular, lo que resulta de suma utilidad cuando existe tráfico que entra y sale de dicha VLAN. En la figura anterior se observa la interfaz virtual VLAN 10, que utiliza los puertos de capa 2 para recibir o enviar tráfico. Para configurar una
SVI se utilizan los siguientes comandos:
Switch(config)# interface vían vlan-id Switch(config-if)# ip address ip-address mask [secondary]
Para que la interfaz SVI funcione correctamente se debe crear previamente la VLAN y que a su vez esté activa y asignada a algún puerto de capa 2 que esté habilitado. La interfaz SVI no debe estar en el estado shutdown. La siguiente sintaxis muestra la configuración de una interfaz SVI: Switch(config)# vían 100 Switch(config-vlan)# ñame CCNP Switch(config-vlan)# exit Switch(config-if)#interface fastethernet 0/1 Switch(config-if)#switchport access vían 100
www.FreeLibros.com
400
REDES CISCO. CCNP a Fondo
© r a -m a
Switch(config)# interface vían 100 Switch(config-if)# ip address 192.168.0.1 255.255.255.0 Switch(config-if)# no shutdown
CONMUTACIÓN MULTICAPA CON CEF Los switches Catalyst pueden usar diferentes métodos de envío de tráfico, CEF (Cisco Express Forwarding) es el más comúnmente utilizado en la actualidad. El switching multicapa comenzó como una técnica combinada entre la procesadora de enrutamiento RP (Routing Processor) y el mecanismo de switching SE (Switching Engine). El funcionamiento de este mecanismo consiste en que el primer paquete sea procesado por la RP y los siguientes por la SE. A este proceso se lo conoce como NetFlow o route cache switching. Route cache switching ha dado paso a un mecanismo más eficiente basado en la búsqueda dinámica de información en las tablas, el llamado CEF. Las siguientes plataformas permiten implementar CEF en hardware y dependiendo del tipo de IOS lo tendrán habilitado por defecto: 2950; 3550; 3560; 3750; 4500 con Supervisor III, IV o V; 6500 con Supervisor 2/MSFC2 o Supervisor 720/ MSFC3 integrada. CEF espera a que la tabla de enrutamiento de capa 3 esté construida para entonces generar de manera dinámica la tabla de envío de paquetes o tabla CEF que permitirá conmutar dichos paquetes rápidamente. Dependiendo de la plataforma CEF suele estar configurado por defecto. Para deshabilitarlo es posible utilizar los comandos no ip route-cache cef o no ip cef. Para habilitarlo nuevamente bastará con el comando ip cef.
FIB En la tabla de enrutamiento consta toda la información de capa 3 ordenada con las entradas más específicas en primer lugar. La FIB (Forwarding Information Base) es la tabla utilizada por CEF, se construye dinámicamente a partir de la tabla de enrutamiento. Cuando la tabla de enrutamiento se modifica, la FIB se actualiza automáticamente. Dicha tabla también tiene las entradas ordenadas por el criterio sobre cuáles son las más específicas y cuenta además con la información sobre el próximo salto.
www.FreeLibros.com
©RA-MA
CAPÍTULO 15. CONMUTACIÓN MULTICAPA
401
Se puede ver la FIB asociada con una interfaz o VLAN usando el siguiente comando: Switch#show ip cef [type mod/num | vían vlan-id]
[detail]
La siguiente sintaxis muestra un ejemplo de las entradas de la FIB: Switch# show ip cef vían 100
prefix 10.1.1.0/24 10.1.1.2/32 10.1.1-3/32
Next Hop attached 10.1.1.2 10.1.1.3
Interface VlanlOO VlanlOO VlanlOO
Las entradas FIB pueden verse también especificando un prefijo y máscara de subred a través del siguiente comando: Switch#show [detail]
ip
cef
[prefix-ip
prefix-mask]
[longer-prefixes]
La siguiente sintaxis muestra la FIB asociada a un prefijo específico, el parámetro longer-prefixes hace que se muestre cualquier prefijo incluido dentro de esa máscara, no solamente el específico. Switch# show ip cef 110.10.0.0 255.255.0.0 Next Hop Interface Prefix attached 110.10.1.0/24 VlanlOO 110.10.1.2/32 VlanlOO 10.1.1.2 110.10.1.3/32 VlanlOO 10.1.1.3 attached Vlanl05 110.10.2.0/24 192.168.1.2 Vlan30 110.10.3.0/26 192.168.1.3 Vlan30 192.168.1.2 Vlan30 110.10.3.64/26 192.168.1.3 Vlan30 192.168.1.4 Vlan30 110.10.3.18/26 192.168.1.3 Vlan30
Con el parámetro detail se obtiene información más detallada: Switch# show ip cef 110.10.3.0 255.255.255.192 detail 110.10.3.0/26, versión 270, epoch 0, per-destination sharing 0 packets, 0 bytes via 192.168.1.2, Vlan30, 0 dependencies traffic share 1 next hop 192.168.1.2, Vlan30 valid adjacency via 192.168.1.3, Vlan30, 0 dependencies traffic share 1 next hop 192.168.1.3, Vlan30
www.FreeLibros.com
402
REDES CISCO. CCNP a Fondo
©RA-MA
valid adjacency 0 packets, 0 bytes switched through the prefix tmstats: external 0 packets, 0 bytes internal 0 packets, 0 bytes
El contador versión indica el número de veces que la entrada ha sido actualizada desde que la tabla fue generada. El contador epoch indica el número de veces que toda la tabla CEF ha sido eliminada y regenerada. También se detalla que para llegar a la subred 110.10.3.0/26 existen dos posibles saltos, lo que indica que se hace balanceo de carga por destino. Una vez que la tabla de CEF está construida los paquetes sonconmutados mediante el SE, que es mucho más eficiente y rápido que una búsqueda en la tabla de enrutamiento mediante el RP. En algunas situaciones este proceso no puede funcionar debidamente, algunas de las posibles causas de que un paquete no pudiera ser enviado mediante la FIB pueden ser: •
La entrada no se puede localizar en la FIB.
•
La FIB está llena.
•
El TTL del paquete IP se ha agotado.
•
La MTU es excedida por lo que el paquete ha de ser fragmentado.
•
Un ICMP Redirect está involucrado.
•
El tipo de encapsulación no es soportado.
•
Los paquetes encriptación.
•
Una ACL con la opción log configurada en ella ha sido activada.
•
NAT ha de ser usado (excepto para los Catalyst 6500 Sup 720 que lo implementan en hardware).
son
tunelizados,
requiriendo
compresión
o
CEF además de poder utilizarse en una simple plataforma de hardware como es el caso, por ejemplo, de los switches 3560, también puede usarse de manera distribuida cuando el hardware lo permite, a esto se le conoce como distributed CEF o dCEF. DCEF permite que por ejemplo los módulos de los 6500 puedan guardar instancias independientes de CEF liberando así a las tarjetas supervisoras de dicha carga.
www.FreeLibros.com
CAPÍTULO 15. CONMUTACIÓN MULTICAPA
©RA-MA
403
Tabla de adyacencias Un router guarda una tabla que contiene información de capa 3 con prefijos y próximos saltos, una tabla ARP que contiene las asociaciones entre la capa 3 y la correspondiente dirección de capa 2, dichas tablas son guardadas de forma independiente.
FIB guarda el próximo salto para cada entrada y además la dirección de capa 2 asociada con esa puerta de enlace. Esta parte de la FIB es conocida como tabla de adyacencias. Para mostrar esta tabla se utiliza el siguiente comando: Switch#show adjacency [type mod/num \ vían vlan-id] [summary | detail]
Con el parámetro summary se puede conocer el número total de adyacencias a través de una interfaz o SVI, como se muestra en la siguiente sintaxis: Switch# show adjacency summary Adjacency Table has 106 adjacencies Table epoch: 0 (106 entries at this epoch) Interface Adjacency Count 21 Vlan30 3 VlanlOO 1 VlanlOl 47 Vlanl02 7 Vlanl03 27 Vlanl05
Con el parámetro detail se obtiene información detallada sobre las adyacencias, como se muestra en la siguiente sintaxis: Switch# show adjacency vían 30 detail
Protocol IP
Interface Vlan30
IP
Vlan30
Address 192.168.1.2(5) 0 packets, 0 bytes 000A5E45B145000E387D51000800 ARP 01:52:50 Epoch: 0 192.168.1.3(5) 1 packets, 104 bytes 000CF1C909A0000E387D51000800 ARP 04:02:11
Epoch: 0
En las entradas de la sintaxis se aprecia la dirección IP y la MAC del host directamente conectado. La MAC corresponde a los primeros 6 octetos del código
www.FreeLibros.com
404
REDES CISCO. CCNP a Fondo
©RA-MA
en hexadecimal, el resto de la cadena está formado por la MAC de la interfaz de capa 3 y por el valor EtherType que para IP es 0x800. La tabla de adyacencias se construye a partir de la tabla ARP, como se muestra en el ejemplo anterior, utilizando el temporizador age. En caso de no conocerse una entrada ARP, la entrada en la FIB aparecerá como CEF glean. Esto significa que CEF no puede enviar paquetes debido a que desconoce la dirección de capa 2, en este caso será necesario que la maquinaria de capa 3 genere un ARP request para obtener un ARP reply con dicha información. La siguiente sintaxis muestra un ejemplo del estado glean: Switch# show ip cef adjacency glean Prefix Next Hop Interface 10.1.1.2/32 attached VlanlOl 127.0.0.0/8 attached EOBCO/O
Switch# show ip arp 10.1.1.2 Switch# show ip cef 10.1.1.2 255.255.255.255 detail 10.1.1.2/32, versión 688, epoch 0, attached, connected 0 packets, 0 bytes via VlanlOl, 0 dependencies valid glean adjacency
Los paquetes recibidos durante el tiempo en el que una entrada en la FIB está en estado glean esperando por la resolución ARP son descartados para evitar que la colas se llenen y que la maquinaria de capa 3 se sobrecargue enviando peticiones ARP duplicadas. Esto es conocido como throttling. En caso de no recibir un ARP reply en 2 segundos, el throttling es liberado y se envía otro ARP request. Cuando el ARP reply es recibido el throttling es liberado y la entrada FIB se completa de manera que los paquetes puedan ser enviados usando hardware. La tabla de adyacencias puede contener también estos tipos de entradas: •
Nuil adjacency: usada para conmutar paquetes destinados a la interfaz nuil. Dicha interfaz absorbe el tráfico destinado hacia ella sin realmente enrutarlo, simplemente lo elimina.
•
Drop adjacency: usada para conmutar paquetes que no pueden ser enviados debido a un fallo en la encapsulación, a una dirección que no se puede resolver, un protocolo no soportado, falta de ruta, falta de adyacencia o error de checksum. El siguiente comando muestra la información contenida:
www.FreeLibros.com
CAPÍTULO 15. CONMUTACIÓN MULTICAPA
©RA-MA
405
Switch# show cef drop CEF Drop Statistics Slot Encap_fail Unresolved Unsupported No_route No_adj ChkSum_ Err
RP 8799327 Switch#
1
45827
5089667
32
0
•
Discard Adjacency: usada cuando los paquetes son descartados debido a una ACL u otro tipo de política.
•
Punt Adjacency: usada cuando los paquetes han de ser enviados a la maquinaria de capa 3 para un procesamiento más intensivo, las razones para ello aparecen en los contadores de la siguiente sintaxis: Switch# show cef not-cef-switched CEF Packets passed on to next switching layer Slot No_adj No_encap Unsupp'ted Redirect Receive Options Access Frag
3579706 0 0 Switch#
RP
0
0
41258564
0
0
Modificando paquetes Antes de que un paquete pueda ser enviado usando CEF la cabecera del paquete debe ser modificada reescribiendo ciertos parámetros. La siguiente lista muestra los cambios efectuados a los paquetes que se enviarán a través de CEF: •
Dirección de destino de capa 2, se cambia por la MAC del siguiente salto.
•
Dirección de origen de capa 2, se cambia por la MAC de la interfaz de capa 3 de salida del switch.
•
El TTL de IP disminuye en una unidad.
•
El checksum de IP se recalcula.
•
El checksum de capa 2 se recalcula.
Estas tareas son llevadas a cabo también en un router tradicional, pero un switch multicapa cuenta con hardware específico para reescribir el paquete que hace que el rendimiento y la velocidad sean mayores.
Fallback bridging Para aquellos protocolos que CEF no puede enrutar en un switch como ocurre con Appletalk, IPX, SNA o LAT, se utiliza Fallback bridging, que se basa
www.FreeLibros.com
406
REDES CISCO. CCNP a Fondo
©RA-MA
en la asociación de cada SVI con las VLAN en las que residen protocolos no enrutables a un grupo denominado bridge group, de tal manera que las VLAN asociadas al mismo bridge group pueden enviarse tráfico de manera transparente. Los bridge groups usados en fallback bridging no interactúan con el switching normal de capa 2. Mantienen una instancia especial de STP denominada VLAN-Bridge STP que no intercambia BPDUs con STP del tipo 802.Id, RSTP o MST. Para configurar fallback bridging primero debe definirse un grupo: Switch(config)#bridge-group bridge-group protocol vlan-bridge
Posteriormente se asignan las SVI dentro del grupo: Switch(config)#interface vían vlan-id Switch(config-if)#bridge-group bridge-group
Es posible configurar hasta 31 grupos en un switch. Para configurar VLAN-Bridge STP se utilizan las diferentes opciones del comando bridge-group bridge-group.
VERIFICACIÓN DE CONMUTACIÓN MULTICAPA Para verificar la configuración de capa 2 de un puerto se utiliza el siguiente comando: Switch#show interface type mod/num switchport Switch# show interface fastethernet 1/0/33 switchport Ñame: Fal/0/33 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dotlq Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none
www.FreeLibros.com
CAPÍTULO 15. CONMUTACIÓN MULTICAPA
©RA-MA
407
Operational private-vlan: none Trunking VLANs Enabled: ALL pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL
La salida muestra la VLAN de acceso o el modo de trunk utilizado y la VLAN nativa. Los modos administrativos muestran de qué manera ha sido configurado el puerto mientras que los modos operacionales muestran el estado activo del puerto. Puede utilizarse el mismo comando para verificar la configuración de un puerto de capa 3, en este caso la salida indica que la capa 2 está deshabilitada como se muestra en la siguiente sintaxis: Switch# show interface fastethernet 0/16 switchport Ñame: FaO/16 Switchport: Disabled
El mismo comando sin el parámetro switchport puede servir para ver el estado físico de la interfaz. Para ver un resumen de todas las interfaces se utiliza el comando show interface status. Para verificar la configuración de una SVI se utiliza el siguiente comando: Switch#show interface vían vlan-id
Para ver las VLAN configuradas en un switch se utiliza el comando show vían, como muestra el siguiente ejemplo: Switch# show vían VLAN Ñame Status 1 default
active
2 VLAN0002 5 VLAN0005
active active
Ports Fa0/5, FaO/6, FaO/7, FaO/8. Fa0/9, Fa0/10, FaO/11, FaO/12 FaO/131 Fa0/14, FaO/15,‘FaO/17 FaO/18, Fa0/19, Fa0/20, FaO/21 FaO/22, FaO/23, FaO/24, FaO/25 FaO/26, FaO/27, FaO/28, FaO/29 Fa0/30, FaO/32, FaO/33, FaO/34 FaO/36, FaO/37, FaO/38, FaO/39 FaO/41, FaO/42, FaO/43, FaO/44 FaO/45, FaO/46, FaO/47, GiO/1 GiO/2 Fa0/40
www.FreeLibros.com
408
REDES CISCO. CCNP a Fondo
©RA-M a
Para mostrar información IP detallada de una interfaz del switch se utiliza el comando show ip interface, como muestra la siguiente sintaxis: Switch# show ip interface vían 101 VlanlOl is up, line protocol is up Internet address is 10.1.1.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP CEF switching is enabled IP Feature Fast switching turbo vector IP Feature CEF switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast, Distributed, CEF Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy ñame replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect inbound is disabled
El comando show ip interfaces brief muestra un resumen de todas las interfaces, como muestra el siguiente ejemplo: Switch# show ip interface brief Interface IP-Address unassigned Vlanl Vlan54 10.3.1.6 VlanlOl 10.1.1.1 GigabitEthernet1/1 10.1.5.1
OK?Method YES NVRAM YES manual YES manual YES manual
Status down up up up
Protocol down up up up
www.FreeLibros.com
CAPITULO 15. CONMUTACION MULTICAPA
©RA-MA
409
CEF depende de que la información de enrutamiento sea correcta y que esté almacenada en el mecanismo hardware de envío de capa 3. Esta información está contenida en la FIB y se mantiene dinámicamente. Para ver la FIB se utiliza el siguiente comando: Switch#show ip cef prefix Next Hop 0.0.0.0/32 receive 192. 168. 1 9 9 . 0/24 attached 192.168.199.0/32 receive 192.168.199.1/32 receive 192.168.199.2/32 192.168.199.2 192.168.199.255/32 receive
Interface Vlanl
Vlanl
Para verificar la FIB relativa a una interfaz se utiliza el siguiente comando: Switch#show ip cef type mod/num [detail]
Para verificar fallback bridging existen dos comandos: •
Switch# show bridge group
•
Switch# show bridge bridge-group [verbose]
El primero muestra los grupos activos junto con el estado de STP. El segundo muestra los contenidos de la tabla de bridging para un grupo específico.
www.FreeLibros.com
www.FreeLibros.com
Capítulo 16
BALANCEO DE CARGA Y REDUNDANCIA REDUNDANCIA Y BALANCEO EN SWITCH MULTICAPA Los switches multicapa pueden actuar como puertas de enlace y también participar en los procesos de enrutamiento como lo hacen los routers tradicionales. Para proporcionar tolerancia a fallos o alta disponibilidad cuando están actuando como puertas de enlace los switch multicapa pueden utilizar los siguientes protocolos: •
HSRP (Host Standby Routing Protocol).
•
VRRP (Virtual Router Redundancy Protocol).
•
GLBP (Gateway Load Balancing Protocol):
HOST STANDBY ROUTER PROTOCOL HSRP (Host Standby Router Protocol) es un protocolo propietario de Cisco que permite que varios routers o switches multicapa aparezcan como una sola puerta de enlace. La RFC 2281 describe con detalle este protocolo. Cada uno de los routers que proporcionan redundancia es asignado a un grupo HSRP común, un router es elegido como primario o active, otro como
www.FreeLibros.com
412
REDES CISCO. CCNP a Fondo
© RA-MA
secundario o standby y el resto estarán escuchando en estado listen. Los routers intercambian mensajes helio entre ellos para comprobar que todo está en orden. Los mensajes helio se envían de manera multicast a través de la dirección IP 224.0.0.2 por el puerto UDP 1985. Un grupo HSRP puede ser asignado con un valor entre 0 y 255. Algunos switches Catalyst sólo admiten un máximo de 16 grupos con un valor único, permitiendo repetir valores para aumentar la cantidad de grupos debido a que éstos son sólo localmente significativos a la interfaz en la que se configuran.
Elección del router HSRP La elección del tipo de router está basada en una escala de prioridades que va de 0 a 255. Por defecto si no existe configuración previa, la prioridad toma el valor de 100. El router con la prioridad más alta se convierte en el router active del grupo y en caso de que todos los routers tengan la misma prioridad será active aquel con la IP más alta configurada en su interfaz de HSRP. Para configurar la prioridad se utiliza el siguiente comando: Switch(config-if)#standby group priority priority
Al configurar HSRP en una interfaz el router se mueve entre una serie de estados hasta alcanzar el estado final que dependerá de la prioridad y del estado del resto de los miembros del grupo. Los estados HSRP son los siguientes: •
Disabled, desactivado.
•
Init, iniciándose.
•
Listen, escuchando.
•
Speak, hablando.
•
Standby, en espera.
•
Active, activo.
Los mensajes helio se envían cada 3 segundos. Un router en el estado de standby es el único que monitoriza los helio del router activo. Cuando el temporizador holdtime (3 veces el intervalo helio o 10 segundos) se inicia se presume que el router activo ha caído, el router en el estado standby pasará entonces al estado active y en caso de haber uno o más routers en el estado listen el de mayor prioridad pasará al estado standby.
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
© RA-MA
413
Para cambiar los temporizadores de HSRP es necesario hacerlo en todos los routers del grupo, el holdtime debería ser siempre al menos 3 veces el intervalo helio. El comando para efectuar dicho cambio es el siguiente: S w i t c h ( c o n f ig-if)#standby
group timers [msec] helio [msec] holdtime
Es necesario tener en cuenta que cuanto más rápido se envíen los helio más rápido se detectarán problemas en la red pero a su vez se estaría generando un aumento de tráfico, consumiendo más ancho de banda y haciendo que los routers procesen mayor cantidad de información, habrá entonces que buscar un término medio adecuado a los requerimientos de la red. Una vez que un router es elegido como activo mantendrá su estado incluso si otros routers con mayor prioridad son detectados. Es importante tener en cuenta para evitar que un router no deseado sea elegido como activo, iniciar la red encendiendo primero el router adecuado para cumplir el rol de activo.Este comportamiento es posible corregirlo de manera que el router con mayor prioridad sea siempre el activo, para esto se puede utilizar el siguiente comando: Sw i t c h (config-if)#standby group preempt
[delay [minimum seconds]
[reload seconds]]
Por defecto después de aplicar este comando el router del grupo con mayor prioridad siempre será el activo y tomará su rol inmediatamente. La configuración del parámetro delay puede efectuarse de la siguiente manera: •
Minimum, se fuerza al router a esperar un tiempo determinado a partir de que la interfaz esté operativa antes de tomar el rol de activo.
•
Reload, se fuerza al router a esperar un tiempo determinado a partir del reinicio antes de tomar el rol de activo.
Autenticación HSRP HSRP permite ser configurado con dos tipos diferentes de autenticación, todos los miembros del grupo deben coincidir en el tipo y clave. Los dos modos de autenticación HSRP son: •
Texto plano. Los mensajes de HSRP son enviados con una cadena en texto plano de hasta ocho caracteres esta cadena debe ser igual en todos los routers del grupo. El siguiente comando puede configurarlo: Switch(config-if)#standby group authentication string
www.FreeLibros.com
414
REDES CISCO. CCNP a Fondo
©RA-MA
•
MD5. Un cifrado del tipo MD5 (Message Digest 5) es computado en una porción de cada mensaje HSRP y en la clave secreta configurada en cada router del grupo.
•
El hash MD5 es enviado junto con los mensajes HSRP. Cuando un mensaje es recibido el router recalcula el cifrado del mensaje y de su propia clave, en caso de coincidencia el mensaje será aceptado. Este tipo de autenticación es, obviamente, mucho más segura que en texto plano. Para configurarla se utiliza el siguiente comando: Switch(config-if)#standby group authentication md5 key-string [0 | 7] string
•
Por defecto la clave se pone en texto plano, una vez introducida aparecerá encriptada en la configuración. Para copiar y pegar dicha clave en otros routers es posible copiarla ya encriptada y especificar la opción 7 delante de la clave antes de pegarla.
•
Alternativamente se puede usar una cadena de claves que, aunque hace que la configuración sea más compleja, proporciona mayor flexibilidad. Los comandos son los siguientes: Switch(config)#key chain chain-name Switch(config-keychain)#key key-number Switch(config-keychain-key)#key-string [0 | 7] string Switch(config)#interface type mod/num Switch(config-if)#standby chain-name
group authentication md5
key-chain
Solución ante fallos HSRP tiene un mecanismo que le ayuda a comprobar el estado de otras interfaces, si un router que está activo pierde sus enlaces con el resto del mundo y su interfaz HSRP todavía está habilitada, seguirá siendo el elegido para enviar paquetes, convirtiéndose en un agujero negro. Para estos casos HSRP verifica el estado de otras interfaces, para que en caso de fallos la prioridad del router sea dinámicamente disminuida (el valor es 10 por defecto), volviéndose a incrementar cuando la interfaz asuma su estado normal.
www.FreeLibros.com
. , AA CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA 415 © r A-MA________________________________________________________________________________________
Esta característica se conoce con el nombre de tracking y se configura de la siguiente manera: Switch(config-if )#standby group track type mod/num [decrementvalue]
Puerta de enlace virtual Además de la dirección IP única que cada router tiene configurada en las interfaces que ejecutan HSRP hay una dirección IP común, conocida como IP virtual o de HSRP. Los host entonces pueden apuntar a esa IP como su puerta de enlace, teniendo la certeza de que siempre habrá algún router respondiendo. Hay que tener en cuenta que tanto la IP real como la de HSRP han de pertenecer al mismo rango. Para asignar la IP virtual se utiliza el siguiente comando: Switch( c o n f i g - i f )#standby group ip ip-address [secondary]
La opción secondary se utiliza sólo cuando las direcciones IP son secundarias. Además de la dirección MAC única asignada a cada una de las interfaces existe una MAC virtual o de HSRP asociada a la IP virtual. HSRP define un formato específico para ello representado como 0000.0c07.acxx, donde xx representa el grupo de HSRP en formato hexadecimal. Por ejemplo para el grupo HSRP 2 será 0000.0c07.ac02. En la siguiente figura se observa una red que usa dos switches multicapa configurados para HSRP con el grupo 1 e IP virtual 192.168.1.1. Catalyst Norte es el activo con una prioridad 200 y está respondiendo a peticiones ARP para la puerta de enlace. Catalyst Sur está en standby y no responderá a no ser que Catalyst Norte falle.
www.FreeLibros.com
416
REDES CISCO. CCNP a Fondo
©RA-MA
Catalyst Norte
Catalyst Sur
VLAN 50 Puerta de enlace: 1 9 2 .1 6 8 .1 .1 ARP: 0000.0c07.ac01
La siguiente sintaxis muestra la configuración de Catalyst Norte. Cat_Norte(config)# interface vían 50 Cat_Norte(config-if)# ip address 192.168.1.10 255.255.255.0 Cat_Norte(config-if)# standby 1 priority 200 Cat_Norte(config-if)# standby 1 preempt Cat_Norte(config-if)# standby 1 ip 192.168.1.1
Balanceo de carga HSRP Hasta ahora solamente el router que está en activo puede enviar tráfico y el resto de los enlaces están en standby sin enviar datos, proporcionando tolerancia a fallos pero no balanceo de carga. Para poder llevar a cabo el balanceo de carga en HSRP es necesario utilizar al menos 2 grupos, para el caso de tener dos switches, SW1 sería activo en un grupo y standby en el otro mientras que SW2 actuaría con el rol contrario a SW1
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
©RA-MA
417
para esos mismos grupos. El conjunto de host que utilicen estas puertas de enlace deberán ser asignados mitad con una IP y mitad con otra IP. La siguiente muestra representa este escenario. Catalyst Norte es activo para el grupo 1 con IP 192.168.1.1 y es standby del grupo 2 con IP 192.168.1.2. Catalyst Sur tiene una configuración similar pero tomando el rol contrario para cada grupo. C a ta lyst Norte
Catalyst Sur
H S R P 1: A c tiv e 200 1 9 2 .1 6 8 .1 .1 MAC: 0 0 0 0 .0 c0 7 .a c0 1 H S R P 2: S ta n d b y 100 1 9 2 .1 6 8 ,1 .2 MAC: 0 0 0 0 ,0 c 0 7 .a c0 2
H S R P 1: S tan d b y 100 1 9 2 .1 6 8 .1 .1 M A C :0 00 0,O c0 7,a c0 1 H S R P 2: A c tiv e 200 1 9 2 .1 6 8 .1 ,2 M A C :0 0 0 0 ,0 c0 7 ,a c0 2
VLAN 50
VLAN 50
1 9 2 ,1 6 8 .1 .1 0 OOOO.aaaa.aaaa
19 2.16 8.1 ,1 1 OOOO.bbbb.bbbb
Pu e rta de enlace: 1 9 2 .1 6 8 .1 .1 ARP: 0000.0c07.ac01
Puerta de enlace: 19 2.1 6 8 ,1 ,2 •
ARP: 0 0 0 0 .0 c0 7 .a c0 1
VLAN 50
Cat_Norte(config)# interface vían 50 Cat_Norte(config-if)# ip address 192.168.1.10 255.255.255.0 Cat_Norte(config-if)# standby 1 priority 200 Cat_Norte(config-if)# standby 1 preempt Cat_Norte(config-if)# standby 1 ip 192.168.1.1
www.FreeLibros.com
418
REDES CISCO. CCNP a Fondo
©RA-M a
Cat_Norte(config-if)# standby 1 authentication CCnP Cat_Norte(config-if)# standby 2 priority 100 Cat_Norte(config-if)# standby 2 ip 192.168.1.2 Cat_Norte(config-if)# standby 2 authentication CCnP Cat_Sur(config)# interface vían 50 Cat_Sur(config-if)# ip address 192.168.1.11 255.255.255.0 Cat_Sur(config-if)# standby 1 priority 100 Cat_Sur(config-if)# standby 1 ip 192.168.1.1 Cat_Sur(config-if)# standby 1 authentication CCnP Cat_Sur(config-if)# standby 2 priority 200 Cat_Sur(config-if)# standby 2 preempt Cat_Sur(config-if)# standby 2 ip 192.168.1.2 Cat_Sur(config-if)# standby 2 authentication CCnP
Para mostrar información acerca de HSRP se utiliza el comando: Router#show standby [brief] [vían vlan-id / type mod/num]
Los siguientes ejemplos muestran la salida de este comando basándose en la configuración de la muestra anterior. C atNo r t e # show standby vían 50 brief P indicates configured to preempt.
I
Interface Grp Prio P State Active addr Standby addr Group addr V150 1 200 P Active local 192.168.1.11 192.168.1.1 V150 2 100 Standby 192.168.1.11 local 192.168.1.2 C atNo r t e # show standby vían 50 Vlan50 - Group 1 Local state is Active, priority 200, may preempt Hellotime 3 sec, holdtime 10 sec Next helio sent in 2.248 Virtual IP address is 192.168.1.1 configured Active router is local Standby router is 192.168.1 .’ll expires in 9.860 virtual mac address is 0000.0c07.acOl Authentication text "CCnP" 2 state changes, last state change 00:11:58 IP redundancy ñame is "hsrp-Vl50-l" (default) Vlan50 - Group 2 ^ Local state is .Standby, priority 100 Hellotime 3 sec, holdtime 10 sec Next helio sent in 1.302 Virtual IP address is 192.168.1.2 configured L^Ó. 1.íl>, priority 200 expires in 7.812 Authentication text "CCnP" 4 state changes, last state change 00:10:04 IP redundancy ñame is "hsrp-V150-2" (default)
www.FreeLibros.com
©RA-MA
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
419
Cat S u r # s h o w standby vían 50 brief
"
P indicates configured to preempt.
i n t e r f a c e Grp Prio PS t a t e Active addr Standby addr Group addr vl50 1 100 'standby 192.168.1.10 local 192.168.1.1 vl50 ,2 200 P Active local 192.168.1.10 192.168.1.2 Cat S u r # s h o w standby vían 50 Vlan50 - Group 1 Local state is Standby, priority 100 Hellotime 3 sec, holdtime 10 sec Next helio sent in 0.980 Virtual IP address is 192.168.1.1 configured Active router is 192.168.1.10, priority 200 expires in 8.128 Standby router is local Authentication text "CCnP" 1 state changes, last state change 00:01:12 IP redundancy ñame is "hsrp-Vl50-l" (default) Vlan50 - Group 2 Local state is Active, priority 200, may preempt Hellotime 3 sec, holdtime 10 sec Next helio sent in 2.888 Virtual IP address is 192.168.1.2 configured Active router is local Standby router is 192.168.1.10 expires in 8.500 Virtual mac address is 0000.0c07.ac02 Authentication text "CCnP" 1 state changes, last state change 00:01:16
VIRTUAL ROUTER REDUNDANCY PROTOCOL VRRP (Virtual Router Redundancy Protocol) es un protocolo estándar definido en la RFC 2338, con un funcionamiento y configuración similares a HSRP, una comparación entre ambos es la siguiente: •
VRRP proporciona una IP redundante compartida entre un grupo de routers, de los cuales está el activo que recibe el nombre de master mientras que el resto se les conoce como backup. El master es aquel con mayor prioridad en el grupo.
•
Los grupos pueden tomar un valor entre 0 y 255, mientras que la prioridad asignada a un router puede tomar valores entre 1 y 254 siendo 254 la más alta y 100 el valor por defecto.
•
La dirección MAC virtual tiene el formato 0000.5e00.01xx, donde xx es el número de grupo en formato hexadecimal.
•
Los helio de VRRP son enviados cada 1 segundo.
www.FreeLibros.com
420
REDES CISCO. CCNP a Fondo
©RA-MA
•
Por defecto los routers configurados con VRRP toman el rol de master en cualquier momento.
•
VRRP no tiene un mecanismo para llevar un registro del estado de las interfaces de la manera que lo hace HSRP.
El proceso de configuración de VRRP se realiza mediante los siguientes comandos: •
Asignación de la prioridad: vrrp group priority level
•
Cambio del intervalo del temporizador: vrrp group timers advertise [msec] interval.
•
Para aprender el intervalo desde el router master. vrrp group timers learn
•
Deshabilita la función de automáticamente tomar el rol de master: no vrrp group preempt
•
Cambia el retraso en tomar el rol de master, por defecto es 0 segundos: vrrp group preempt [delay seconds]
•
Habilita la autenticación: vrrp group authentication string
•
Configura la IP virtual: vrrp group ip ip-address [secondary]
La siguiente sintaxis es un ejemplo de configuración: Cat_Norte(config)# interface vían 50 Cat_Norte(config-if)# ip address 192.168.1.10 255.255.255.0 Cat_Norte(config-if)# vrrp 1 priority 200 Cat_Norte(config-if)# vrrp 1 ip 192.168.1.1 Cat_Norte(config-if)# vrrp 2 priority 100 Cat_Norte(config-if)# no vrrp 2 preempt Cat_Norte(config-if)# vrrp 2 ip 192.168.1.2 Cat_Sur(config)# interface vían 50 Cat_Sur(config-if)# ip address 192.168.1.11 255.255.255.0 Cat_Sur(config-if)# vrrp 1 priority 100
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
©-RA-MA
Cat Sur(config-if)# Cat~Sur(config-if)# Cat~Sur(config-if)# Cat- Sur(config-if)#
421
no vrrp 1 preempt vrrp 1 ip 192.168.1.1 vrrp 2 priority 200 vrrp 2 ip 192.168.1.2
La siguiente salida corresponde a los comandos show vrrp brief y show vrrp: Cat Norte# show vrrp brief Interface Grp Pri Time Own Pre Vlan50 1 200 3218 Y
State Master addr Master 192.168.1.10
Vlan50
B a c k u p 192.168.1.11
2
100 3609
Cat Sur# show vrrp brief Interface Grp Pri Time Own Pre Vlan50 Vlan50
1 2
100 3609 200 3218
Group addr 192.168.1.1 192.168.1.2
State Master addr Group addr Backup 192.168.1.10 192.168.1.1 Master 192.168.1.11 192.168.1.2
Y Cat_Norte# show vrrp Vlan50 - Group 1 State is Master Virtual IP address is 192.168.1.1
Virtual MAC address is 0000.5e00.0101 Advertisement interval is 1.000 sec Preemption is enabled min delay is 0.000 sec Priority is 200 Authentication is enabled
Master Router is 192.168.1.10 (local), priority is 200 Master Advertisement interval is
1.000 sec Master Down interval is 3.218 sec Vlan50 - Group 2 State is Backup
Virtual IP address is 192.168.1.2 Virtual MAC address is 0000.5e00.0102 Advertisement interval is 1.000 sec Preemption is disabled Priority is 100 Authentication is enabled Master Router is 192.168.1.11, priority is 200 Master Advertisement interval is 1.000 sec Master Down interval is 3.609 sec (expires in 2.977 sec)
Cat_Sur# show vrrp Vlan50 - Group 1 State is Backup
Virtual IP address is 192.168.1.1 Virtual MAC address is 0000.5e00.0101 Advertisement interval is 1.000 sec Preemption is disabled
www.FreeLibros.com
422
REDES CISCO. CCNP a Fondo
©RA-MA
Priority is 100 Authentication is enabled Master Router is 192.168.1.10, priority is 200 Master Advertisement interval is 1.000 sec Master Down interval is 3.609 sec (expires in 2.833 sec) Vlan50 - Group 2 State is Master
Virtual IP address is 192.168.1.2 Virtual MAC address is 0000.5e00.0102 Advertisement interval is 1.000 sec Preemption is enabled min delay is 0.000 sec Priority is 200 Authentication is enabled
Master Router is 192.168.1.11 (local), priority is 200
Master Advertisement interval is 1.000 sec Master Down interval is 3.218 sec
GATEWAY LOAD BALANCING PROTOCOL GLBP (Gateway Load Balancing Protocol) es un protocolo propietario de Cisco que sirve para añadir balanceo de carga sin la necesidad de utilizar múltiples grupos a la función de redundancia con HSRP o VRRP. Múltiples routers o switches son asignados a un mismo grupo, pudiendo todos ellos participar en el envío de tráfico. La ventaja de GLBP es que los host clientes no han de dividirse y apuntar a diferentes puertas de enlace, todos pueden tener la misma. El balanceo de carga se lleva a cabo respondiendo a los clientes con diferentes direcciones MAC, de manera que aunque todos apuntan a la misma IP la dirección MAC de destino es diferente, repartiendo de esta manera el tráfico entre los diferentes routers.
AVG Uno de los routers del grupo GLBP es elegido como “puerta de enlace virtual activa” o AVG (Active Virtual Gateway), dicho router es el de mayor prioridad del grupo o en caso de no haberse configurado dicha prioridad, será el de IP más alta. El AVG responde a las peticiones ARP de los clientes y la MAC que envía dependerá del algoritmo de balanceo de carga que se esté utilizando.
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
©RA-MA
423
El AVG también asigna las MAC virtuales a cada uno de los routers del grupo, pudiéndose usar hasta 4 MAC virtuales por grupo. Cada uno de esos routers recibe el nombre de AVF (Active Virtual Forwarding) y se encarga de enviar el tráfico recibido en su MAC virtual. Otros routers en el grupo pueden funcionar como backup en caso de que el AVF falle. La prioridad GLBP se configura con el siguiente comando: Switch (config-if )#glbp group priority level
El rango de números que pueden usarse para definir grupos asume valores entre 0 y 1023. El rango de prioridades es entre 1 y 255 siendo 255 la más alta y 100 la de por defecto. Como ocurre en HSRP se tiene que habilitar la función preemt en caso de ser necesario, ya que por defecto no está permitido tomar el rol de AVG a no ser que éste falle. El siguiente comando lo configura: Switch(config-if )#glbp group preempt [delay minimum seconds]
Para monitorizar el estado de los routers AVG se envían helio cada 3 segundos y en caso de no recibir respuesta en el intervalo de holdtime de 10 segundos, se considera que el vecino está caído. Es posible modificar estos temporizadores con el siguiente comando: Switch(config-if )#glbp group timers [msec] hellotime [msec] holdtime
Para modificar los temporizadores se debe tener en cuenta que el holdtime debería ser al menos 3 veces mayor que el helio.
AVF GLBP también usa mensajes helio para monitorizar los AVF (Active Virtual Forwarder). Cuando el AVG detecta que un AVF ha fallado asigna el rol a otro router, el cual podría ser o no otro AVF, teniendo entonces que enviar el tráfico destinado a 2 MAC virtuales. Para solventar el problema de estar respondiendo a mensajes destinados a dos MAC virtuales se usan dos temporizadores: •
Redirect. Determina cuándo el AVG dejará de usar la MAC del router que falló para respuestas ARP.
www.FreeLibros.com
424
REDES CISCO. CCNP a Fondo
•
©RA-M a
Timeout. Cuando expira la MAC y el AVF que había fallado son eliminados del grupo, asumiendo que ese AVF no se recuperará. Los clientes necesitan entonces renovar su memoria y obtener la nueva MAC.
El temporizador redirect es de 10 minutos por defecto, pudiendo configurarse hasta un máximo de 1 hora. El temporizador timeout es de 4 horas por defecto, pudiendo configurarse dentro del rango de 18 horas. Es posible ajustar estos valores usando el siguiente comando: Switch(config-if )#glbp g ro u p timers redirect r e d i r e c t t i m e o u t
GLBP usa una función de “peso” para determinar qué router será el AVF para una MAC virtual dentro de un grupo. Cada router comienza con un peso máximo entre 1 y 255 siendo por defecto 100. Cuando una interfaz en particular falla, el peso es disminuido en el valor que esté configurado. GLBP usa umbrales para determinar si un router puede o no ser el AVF. Si el valor del peso está por debajo de ese umbral el router no puede asumir ese rol, pero si dicho valor volviera a superar el umbral entonces sí podría. GLBP necesita tener conocimiento sobre qué interfaces utilizarán este mecanismo y cómo ajustar su peso. El siguiente comando especifica dicha interfaz: S witch(c onfig )#track o b j e c t - n u m b e r interface t y p e mod/num {lineprotocol | ip routing}
El valor object-number simplemente referencia el objeto que se está monitorizando y puede tener un valor entre 1 y 500. Las condiciones a verificar pueden ser line-protocol o ip-routing. Seguidamente es necesario definir los umbrales del peso para lo cual se utiliza el siguiente comando: Switch(config-if )#glbp g ro u p weighting máximum [lower l o w e r ] [upper
upper]
El parámetro máximum indica con qué valor se inicia y los valores lower y upper definen cuándo o cuándo no el router puede actuar como AVF. Finalmente se debe indicar a GLBP qué objetos ha de monitorizar para aplicar los umbrales de “peso”. Para ello se utiliza el siguiente comando: Switch(config-if )#glbp g ro u p weighting track o b j e c t - n u m b e r
[decrement v a l u é ]
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
©RA-MA
425
El parámetro valué indica el valor que se disminuirá cuando el objeto nionitorizado falle. Por defecto es 10 y puede ser configurado con un valor entre 1 y 254.
Balanceo de carga GLBP AVG establece el balanceo de carga enviando MAC virtuales a los clientes. Previamente estas MAC virtuales han sido asignadas a los AVF permitiendo hasta un máximo de 4 MAC virtuales por grupo. Los siguientes algoritmos se utilizan para el balanceo de carga con GLBP: •
Round Robin, cada nueva petición ARP para la IP virtual recibe la siguiente MAC virtual disponible. La carga de tráfico se distribuye equitativamente entre todos los routers del grupo asumiendo que los clientes envían y reciben la misma cantidad de tráfico.
•
Weighted, el valor del peso configurado en la interfaz perteneciente al grupo será la referencia para determinar la proporción de tráfico enviado a cada AVF.
•
Host dependent, cada cliente que envía una petición ARP es respondido siempre con la misma MAC. Es útil para clientes que necesitan que la MAC de la puerta de enlace sea siempre la misma.
El método de balanceo de carga utilizado se selecciona con el siguiente comando: Switch(config-if )#glbp group load-balancing [round-robin | weighted
| host-dependent]
Habilitación de GLBP Para habilitar GLBP se debe asignar una IP virtual al grupo mediante el siguiente comando: Switch(config-if )#glbp group ip [ip-address [secondary]]
Cuando en el comando la dirección IP no se configura será aprendida de otro router del grupo. Para el caso puntual de la configuración del posible AVG es necesario especificar la IP virtual para que los demás routers puedan conocerla.
www.FreeLibros.com
426
REDES CISCO. CCNP a Fondo
©RA-MA
En la siguiente figura existen 3 switches multicapa participando en un grupo común GLBP. Catalyst A es elegido como AVG y por lo tanto coordina el proceso. El AVG responde todas las peticiones de la puerta de enlace 192.168.1.1. Dicho router se identifica a sí mismo y a Catalyst B y Catalyst C como AVF del grupo. C a ta ly s t A AVF
C a ta ly s t B S ta n d b y AVF
C a ta ly s t C
vM AC 0 0 00 .0 000 .0 001
vMAC 0000.0000.0002
vMAC 0000.0000.0003
VLAN SO 192.168.1.10 OOOO.aaaa.aaaa
VLAN SO 192,168.1.11 OOOO.bbbb.bbbb
VLAN 50 192.168.1.12 0 0 0 0 .cccc.cccc
Puerta de enlace:
Puerta de enlace:
Puerta de enlace:
Puerta de enlace:
192.168.1.1
192.168.1,1
192.168,1.1
192.168.1.1
ARP: 00 00 .0000.0001
ARP: 0000 .0 000 ,0 002
ARP: 00 00 .0000.0003
ARP: 0000.0000.0001
VLAN 50 CatalystA(config)# interface vían 50 CatalystA(config-if)# ip address 192.168.1.10 255.255.255.0 CatalystA(config-if)# glbp 1 priority 200 CatalystA(config-if)# glbp 1 preempt CatalystA(config-if)# glbp 1 ip 192.168.1.1 CatalystB(config)# interface vían 50 CatalystB(config-if)# ip address 192.168.1.11 255.255.255.0 CatalystB(config-if)# glbp 1 priority 150 CatalystB(config-if)# glbp 1 preempt CatalystB(config-if)# glbp 1 ip 192.168.1.1
www.FreeLibros.com
©RA-MA
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
427
Catal y s t C (config)# interface vían 50
(config-if)# ip address 192.168.1.12 255.255.255.0 glbp 1 priority 100 C ata l y s t C (config-if)# glbp 1 ip 192.168.1.1 C a t a l y s t C
C a t a l y s t C (config-if)#
Utilizando el método de balanceo de carga round-robin, cada uno de los pC hace peticiones ARP de la puerta de enlace. Al iniciar los PC de izquierda a derecha el AVG va asignando la siguiente MAC virtual secuencialmente. Para ver información acerca de la operación de GLBP se pueden utilizar los comandos show glbp brief o show glbp, como se muestra en los siguientes dos ejemplos. CatalystA# show glbp Interface Grp Fwd Pri V150 1 200 V150 1 1 7 V150 1 2 7 V150 1 3 7
brief State Active Active Listen Listen
Address 192.168.1.1 00 0 7 .b400.0101 00 0 7 .b400.0102 00 0 7 .b400.0103
Active Standby local 192.168.1.11 local 192.168.1.11 192.168.1.13
CatalystB# show glbp brief Interface Grp Fwd Pri State Address Active Standby V150 1 1 7 Listen 00 0 7 .b400.0101 192.168.1.10 V150 1 2 7 Active 00 0 7 .b400.0102 local V150 1 3 7 Listen 00 0 7 .b400.0103 192.168.1.13 CatalystC# show glbp brief Interface Grp Fwd Pri State
V150 192.168.1.11 V150 1 V150 1 V150 1
Address 100 Listen
Active 192.168.1.1
Standby 192.168.1.10
Listen 0007.b400.0101 192.168.1.10 Listen 0007.b400.0102 192.168.1.11 Active 00 0 7 .b400.0103 local
CatalystA# show glbp Vlan50 - Group 1 State is Active 7 state changes, last state change 03:28:05 Virtual IP address is 192.168.1.1 Helio time 3 sec, hold time 10 sec Next helio sent in 1.672 secs Redirect time 600 sec, forwarder time-out 14400 sec Preemption enabled, min delay 0 sec Active is local Standby is 192.168.1.11, priority 150 (expires in 9.632 sec) Priority 200 (configured) Weighting 100 (default 100), thresholds: lower 1, upper 100 Load balancing: round-robin There are 3 forwarders (1 active) Forwarder 1 State is Active
www.FreeLibros.com
428
REDES CISCO. CCNP a Fondo
©RA-M a
3 state changes, last state change 03:27:37 MAC address is 0007.b400.0101 (default) Owner ID is OOdO.0229.b80a Redirection enabled Preemption enabled, min delay 30 sec Active is local, weighting 100 ' Forwarder 2 State is Listen MAC address is 0007.b400.0102 (learnt) Owner ID is 0007.b372.dc4a Redirection enabled, 598.308 sec remaining (máximum 600 sec) Time to live: 14398.308 sec (máximum 14400 sec) Preemption enabled, min delay 30 sec Active is 192.168.1.11 (primary), weighting 100 (expires in 8.308 sec)
Forwarder 3 State is Listen MAC address is 0007.b400.0103 (learnt) Owner ID is 00d0.ff8a.2c0a Redirection enabled, 599.892 sec remaining (máximum 600 sec) Time to live: 14399.892 sec (máximum 14400 sec) Preemption enabled, min delay 30 sec Active is 192.168.1.13 (primary), weighting 100 (expires in 9.892 sec)
REDUNDANCIA EN EL CHASIS DEL SWITCH Algunos equipos tienen la capacidad de proporcionar redundancia en la procesadora y se lleva a cabo usando hardware de backbup, o lo que es lo mismo, una procesadora principal y una secundaria. Dichos equipos también cuentan con fuentes de alimentación redundantes, de nada serviría un equipo capaz de proporcionar redundancia entre procesadoras si quedase indisponible por un simple fallo eléctrico.
Supervisoras redundantes Hay varias plataformas como es el caso de la serie 6500 que aceptan dos módulos o tarjetas supervisoras en el mismo chasis. De manera que uno funciona como activo y otro como standby. El módulo que está activo se encontrará en estado totalmente operacional, mientras que el que está en standby estará parcialmente inicializado preparado para actuar en caso de que el principal falle. Es posible configurar los siguientes modos de redundancia:
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
© r A-MA
429
•
RPR (Route Processor Redundancy). La procesadora redundante está parcialmente arrancada e inicializada. Si la supervisora activa falla, deberá reiniciar todas las tarjetas del switch este proceso hace inicializar las funciones completas de supervisora que estaba en estado redundante. Los Catalyst 6500 con supervisoras 2 y 720, Catalyst 4500R con supervisoras IV y V soportan RPR. El tiempo de cambio de estado es superior a 2 minutos.
•
RPR+ (Route Processor Redundancy Plus). La procesadora redundante está arrancada, pero las funciones de. capa 2 y 3 no están inicializadas. Si la procesadora activa falla, la supervisora redundante finalizará su inicialización sin tener que reiniciar al resto de tarjetas, de manera que los puertos mantendrán su estado. Los Catalyst 6500 con supervisoras 2 y 720 RPR+. El tiempo de cambio de estado es superior a 30 segundos.
•
SSO (Stateful Switchover). La procesadora redundante está totalmente arrancada e inicializada, y la información sincronizada con la supervisora principal. Las funciones de capa 2 se mantienen entre ambas supervisoras de manera que la conmutación puede continuar ante el evento de un fallo de la supervisora principal, y las interfaces no variarán de estado durante el mismo. Los Catalyst 6500 con supervisoras 720, Catalyst 4500R con supervisoras IV y V soportan RPR. El tiempo de cambio de estado es superior a 1 segundo.
Configuración de la redundancia El proceso de configuración de redundancia de supervisoras se inicia mediante el siguiente comando: Router(config)#redundancy
Posteriormente se debe seleccionar un modo determinado: Router(config-red)#mode {rpr | rpr-plus | sso}
Cuando se utilice RPR+ o SSO ambas supervisoras deben poseer la misma imagen IOS. Cuando sea la primera vez que se configura redundancia en el equipo habrá que hacerlo tanto en la supervisora principal como en la secundaria. Para verificar el modo de redundancia y el estado se utiliza el siguiente comando: Router#show redundancy status
www.FreeLibros.com
430
REDES CISCO. CCNP a Fondo
©RA-M a
La siguiente salida muestra un ejemplo de este comando: Router# show redundancy states
my state = 13 -ACTIVE peer state = 8 -STANDBY HOT Mode = Dúplex Unit = Secondary ünit ID — 2 Redundancy Mode (Operational) = Route Processor Redundancy Plus Redundancy Mode (Configured) = Route Processor Redundancy Plus Split Mode = Disabled Manual Swact = Enabled Communications = Up client count = 11 client_notification_TMR = 30000 milliseconds keep_alive TMR = 9000 milliseconds keep_alive count = 1 keep_alive threshold = 18 RF debug mask = 0x0
Configuración de la sincronización entre supervisoras Por defecto, la supervisora activa sincroniza su configuración activa y su registro de configuración con la supervisora standby. Se puede especificar más información para que sea sincronizada. Para esto se utilizan los siguientes comandos: R o u t e r (conf ig)#redundancy R o u t e r (config-red )#main-cpu Router(config-r-mc )#auto-sync {startup-config | config-register |
bootvar}
Non-Stop Forwarding Existe otra forma de redundancia para las plataformas 4500 y 6500 (con supervisoras 720) junto con SSO. Non-Stop Forwarding o NSF es un método propietario de Cisco usado para reconstruir rápidamente la RIB (Routing Information Base) después de que se haya producido un cambio de supervisoras. La RIB es utilizada para construir la FIB para que cualquier módulo del switch lleve a cabo la operación CEF. En lugar de esperar a que la FIB se reconstruya el router consigue asistencia de vecinos configurados con NSF. Estos vecinos pueden pasar información de enrutamiento a la supervisora que está en standby, haciendo así que las tablas se actualicen rápidamente.
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
© r A-MA
431
NSF debe estar configurado en la propia configuración de los protocolos de enrutamiento de los switches considerados como vecinos. Es soportado por BGP,EIGRP, OSPF y IS-IS. La siguiente tabla muestra los pasos de configuración para los diferentes protocolos. Protocolo
BGP
Configuración Router(config)# router bgp as-number R o u t e r (config-router)# bgp graceful-
restart
EIGRP
Router(config)# router eigrp as-number Router(config-router)# nsf
OSPF
Router(config)# router ospf process-id Router(config-router)# nsf
IS-IS
Router(config)# router Router(config-router)# Router(config-router)# [minutes] Router(config-router)#
[seconds]
isis [tag] nsf [cisco | ietf] nsf interval nsf t3 {manual
| adjacency}
Router(config-router)# nsf interface wait
seconds
Fuentes de alimentación redundantes Las plataformas 4500R y 6500 admiten fuentes de alimentación redundantes en el mismo chasis. La cantidad de energía proporcionada ha de ser idéntica. Pueden configurarse dos modos de operación: •
Modo combinado. Ambas fuentes de alimentación proporcionan energía simultáneamente al switch. La energía total requerida por el switch puede exceder la proporcionada por una de las fuentes, pero no por ambas. Con este método no hay redundancia debido a que si una de las fuentes falla varias de las tarjetas del switch podrían apagarse dependiendo de la cantidad de energía proporcionada por la fuente que ha quedado en funcionamiento.
www.FreeLibros.com
432
REDES CISCO. CCNP a Fondo
•
©RA-M a
Modo redundante. Cada una de las fuentes puede proporcionar el total de energía necesitado por el chasis. Si una falla la otra comienza a funcionar automáticamente.
Por defecto el modo usado es el redundante. Para ver la configuración se utiliza el siguiente comando: Switch#show power [redundancy-mode | status | available | used | total]
La sintaxis es un ejemplo de la salida del comando: Switch# show power
system system system system
power redundancy mode = redundant power total = 1153.32 Watts (27.46 Amps @ 42V) power used = 693.42 Watts (16.51 Amps @ 42V) power available = 459.90 Watts (10.95 Amps § 42V) Power-Capacity PS-Fan Output Oper PS Type Watts A @42V Status Status State 1 2
WS-CAC-1300W WS-CAC-1300W
Slot Card-Type
1 2 3 4 5
1153 *32 27.46 O K 1153.32 27.46 O K
OK on OK on Pwr-Requested Pwr-Alíocated Admin Oper Watts A @42V Watts A @42V State State
WS-X6K-SUP2-2GE
145.32
WS-X6348-RJ45 WS-X6516-GBIC WS-C6500-SFM
100.38 142.80 117.18
3.46 145 145 2.39 100 3.40 142 2.79 17.
32 3.46 32 3.46 38 2.39 80 3.40 8 2.79
on on on on
on on on on
El comando show power también muestra información acerca del estado de cada módulo del switch, la cantidad de energía que está pidiendo recibir y la que realmente se le está otorgando. Cuando el switch tenga conectados dispositivos que requieran Inline Power o Power Over Ethemet (PoE) se puede utilizar el comando show power inline como muestra el siguiente ejemplo: Switch# show power inline Interface Admin Oper Power (Watts)
Fa3/1 Fa3/2 Fa3/3 Fa3/4 Fa3/5 Fa3/6
auto auto auto auto auto auto
off on on on on on
0 n/a 6.2 cisco 6.2 cisco 5.6 Cisco 5.6 Cisco 6.3 Cisco
Device
AIR-AP1230B-A AIR-AP1230B-A IP Phone 7905 IP Phone 7905 IP Phone 7940
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
©RA-MA
Fa3 /7 Fa3/8 Fa3 /9 Fa3/10 Fa3/H Fa3/12 Fa3/13 Fa3/14
auto auto auto auto auto auto auto auto
on on off on off on on on
6.3 Cisco 6.3 Cisco 0 n/a 6.3 Cisco 0 n/a 6.3 Cisco 6.3 Cisco 6.3 Cisco
433
IP Phone 7940 IP Phone 7940 IP Phone 7912 IP Phone 7940 IP Phone 7940 IP Phone 7940
El modo de proporcionar energía puede cambiarse usando el siguiente comando: S w i t c h (config)#
power redundancy-mode {redundant | combined}
Es posible seleccionar un determinado módulo para proporcionarle energía; con un no antepuesto delante del comando se dejará de suministrar energía a dicho módulo: S w i t c h (config)# [no] power enable module
www.FreeLibros.com
slo t
www.FreeLibros.com
Capítulo 17
TELEFONÍA IP POWER OVER ETHERNET Un teléfono IP Cisco es como otro nodo cualquiera de la red, necesita energía para que pueda funcionar. Dicha energía la puede conseguir de dos fuentes diferentes: •
Un adaptador AC (Corriente Alterna) externo.
•
PoE (Power over Ethemet) sobre el cable de datos de red.
El adaptador AC externo se conecta a una toma de corriente transformando la corriente alterna de la red eléctrica a 48 voltios de corriente continua (48 VDC). Estos adaptadores son útiles si no es posible utilizar PoE, pero con un fallo de energía en la red eléctrica el teléfono IP fallaría. Con PoE este problema no existiría, se estarían dando los 48 voltios DC que el teléfono IP necesita a través del cable de par trenzado utilizado para la conectividad Ethemet. El origen de la energía en PoE es el switch Catalyst con lo que no se necesita otra fuente de energía adicional a menos que sé utilice un adaptador AC como fuente redundante. PoE tiene el beneficio adicional de que puede ser gestionado y monitorizado, funciona con teléfonos IP Cisco o con cualquier otro dispositivo compatible. Con un nodo que no necesite funcionar con PoE, como un PC normal, el switch simplemente no ofrece la energía en el cable.
www.FreeLibros.com
436
REDES CISCO. CCNP a Fondo
©RA-MA
El switch Catalyst podría estar conectado a una UPS (Uninterruptible Power Supply) o utilizar fuentes alternativas, para que en el caso de que la principal falle sigua siendo capaz de alimentar al teléfono IP.
Funcionamiento de PoE Un switch Catalyst puede ofrecer PoE en sus puertos sólo si está diseñado para hacerlo. Tiene que tener una o más fuentes de alimentación preparadas para brindar la carga adicional que ofrecerá a los dispositivos conectados. PoE está disponible en muchas plataformas incluyendo los Catalyst 3750 PWR, los 4500 y los 6500. Existen dos métodos de proporcionar PoE a los dispositivos conectados: •
Cisco Inline Power (ILP), es un método propietario de Cisco desarrollado antes del estándar IEEE 802.3 AF.
•
IEEE 802.3 AF, es un método estándar que ofrece compatibilidad entre diferentes fabricantes y cumple la misma función que su antecesor.
Detección de dispositivos alimentados El switch siempre mantiene la energía deshabilitada cuando el puerto está caído pero tiene que detectar cuándo un dispositivo que necesita alimentación se conecta al puerto. En caso de conexión el switch tiene que comenzar a generar la energía para que el dispositivo pueda inicializarse y hacerse operacional. Sólo a partir de ese momento el enlace Ethemet será establecido. Existen dos métodos de PoE para que los switch Catalyst intenten detectar a los dispositivos alimentados. Para IEEE 802.3AF los dispositivos comienzan dando una pequeño voltaje a través de los pares transmisores de par trenzado variando de esta forma la resistencia del par. Si se miden 25 KO (25000 Ohms) se presume que el dispositivo esta disponible. El switch también puede aplicar diferentes voltajes para comprobar los valores de resistencia correspondiente; estos valores son aplicados por el dispositivo alimentado para indicar a cuáles de las 5 clases de potencia del estándar IEEE 802.3AF pertenecen. Conociendo esto, el switch asigna el valor máximo de energía de consumo solicitado por el dispositivo. La siguiente tabla define estas 5 clases de energías o potencias.
www.FreeLibros.com
©RA-MA
CAPÍTULO 17. TELEFONÍA IP
Máxima Potencia ofrecida con 48V
Característica de
0
15,4W
Clase por defecto.
1
4,0W
Clase opcional.
2
7,0W
Clase opcional.
3
15.4W
Clase opcional.
—
Reservado para futuros usos.
Clase de Potencia
4
437
La clase por defecto se utiliza si el dispositivo no soporta el sistema de descubrimiento de energía. El método Cisco ILP toma un camino distinto al del 802.3AF, en lugar de ofrecer voltajes y chequear el nivel de la resistencia el switch envía un tono a una frecuencia de 340 KHz (340000 ciclos por segundo) en el par transmisor del cable de par trenzado. El tono se envía antes del voltaje para que el switch detecte si el dispositivo es capaz de soportar ILP antes de brindar energía. Los dispositivos que no estén preparados para recibir estos niveles de tensión podrían resultar dañados. Un dispositivo alimentado como un teléfono IP genera un bucle en los pares transmisores y receptores de su propia conexión Ethemet mientras efectúa el proceso de encendido. Cuando se ésta conectando a ILP el switch puede oír este tono de test donde se ha formado el bucle, asumiendo de manera segura que puede aplicar energía al dispositivo sin dañarlo.
Proporcionado energía a un dispositivo La energía puede ser proporcionada de dos maneras:. •
Cisco ILP proporciona la energía sobre los cables de par trenzado 2 y 3, que son los pares de datos, con 48 VDC.
•
IEEE 802.3AF, la energía puede ser proporcionada de la misma manera, es decir, sobre los pares 2 y 3 o además sobre los pares 1 y 4.
www.FreeLibros.com
438
REDES CISCO. CCNP a Fondo
©RA-MA
Pin 1: Blanco naranja Par 2 Pin 2: Naranja Pin 3: Blanco verde Pin 4: Azul Pin 5: Blanco Azul Pin 6: Blanco verde Pin 7: Blanco marrón Par 4 Pin 8: Marrón
Ahora el dispositivo tiene la posibilidad de encenderse y establecer los enlaces Ethemet. La oferta de energía entregada al dispositivo por defecto puede ser cambiada a un valor más ajustado, esto puede ayudar a suplir menor energía ajustándose a la realidad que los dispositivos necesitan. Con 802.3AF la oferta de energía puede cambiarse detectando la clase de energía del dispositivo. Para Cisco ILP el switch puede intentar efectuar un intercambio de mensajes CDP con el dispositivo. Si la información de CDP es devuelta, el switch podrá descubrir los requerimientos reales del dispositivo, reduciendo la energía a la que realmente necesita. Con los comandos debug ilpower controller y debug cdp packets, pueden verse los cambios de energía, en el ejemplo siguiente se muestra como la energía ha sido reducida de 15000 mW a 6300 mW: 00:58:46: ILP uses AC Disconnect(Fal/0/47): state= ILP_DETECTING_S, event= PHY_CSCO_DETECTED_EV 00:58:46: %ILPOWER-7-DETECT: Interface Fal/0/47: Power Device detected: Cisco PD 00:58:46: Ilpower PD device 1 class 2 from interface (Fal/0/47) 00:58:46: ilpower new power from pd discovery Fal/0/47, power_status ok 00:58:46: Ilpower interface (Fal/0/47) power status change, allocated power 15400 00:58:46: ILP Power apply to ( Fal/0/47 ) Okay 00:58:46: ILP Start PHY Cisco IP phone detection ( Fal/0/47 ) Okay 00:58:46: %ILPOWER-5-POWER_GRANTED: Interface Fal/0/47: Power granted 00:58:46: ILP uses AC Disconnect(Fal/0/47): state= ILP_CSCO_PD_DETECTED_S, event=IEEE_PWR_GOOD_EV 00:58:48: ILP State_Machine ( Fal/0/47 ): State= ILP_PWR_GOOD_USE_IEEE_DISC_S, Event=PHY_LINK_UP_EV
www.FreeLibros.com
©RA-MA
CAPÍTULO 17. TELEFONÍA IP
439
0 0 ;5 8 ;4 8 : ILP uses AC Disconnect(Fal/0/47): state= XLP PWR_GOOD_USE_IEEE_DISC_S, event=PHY_LINK_UP_EV 0 0 ;5^8 :50 í %LINK-3-UPDOWN: Interface FastEthernetl/0/47 , changed
state to up 00:58:50: CDP-AD: Interface FastEthernetl/0/47 coming up 0 0 :5 8 :50: ilpower_powerman_power_available_tlv: about sending patlv on Fal/0/47 00:58:50: req id 0, man id 1, pwr avail 15400, pwr man — 1 00:58:50: CDP-PA: versión 2 packet sent out on FastEthernetl/0/47 00:58:51: %LINEPR0T0-5-UPD0WN: Line protocol on Interface FastEthernetl/0/47, changed state to up 00:58:54: CDP-PA: Packet received from SIP0012435D594D on interface
FastEthernetl/0/47 00:58:54: **Entry NOT found in cache**
00:58:54: Interface(Fal/0/47) - processing oíd tlv from cdp, request 6300, current allocated 15400 00:58:54: Interface (Fal/0/47) efficiency is 100 00:58:54: ilpower_powerman_power_available_tlv: about sending patlv on Fal/0/47 00:58:54: req id 0, man id 1, pwr avail 6300, pwr man — 1 00:58:54: CDP-PA: versión 2 packet sent out on FastEthernetl/0/47
CONFIGURACIÓN DE PoE PoE se configura de manera sencilla, cada Puerto del switch puede detectar automáticamente la presencia de un dispositivo capacitado para ILP antes de aplicar energía al puerto. También puede configurarse de tal manera que el puerto no acepte ILP. Por defecto todos los puertos del switch intentan descubrir dispositivos que sean ILP para cambiar este comportamiento se utiliza la siguiente serie de comandos: Switch(config)# interface type mod/num Switch(config-if)# power inline {auto [max milli-watts] [max milli-watts] \ never}
\ static
Por defecto todas las interfaces del switch están configuradas en auto, donde el dispositivo y la oferta de energía se descubren automáticamente. La oferta de energía por defecto es 15,4 W (Watts); este valor de máxima energía puede configurarse a través del parámetro max de 4000 a 15400 mW. Es posible configurar una oferta de energía estática con el parámetro static si el dispositivo no es capaz de interactuar con cualquiera de los métodos de descubrimiento de energía. Para deshabilitar PoE en el puerto de tal manera que nunca se detecten dispositivos y no se ofrezca energía se utiliza el parámetro never.
www.FreeLibros.com
440
REDES CISCO. CCNP a Fondo
©RA-M a
VERIFICACION DE PoE El estado de la energía se puede verificar en los puertos del switch con el siguiente comando: Switch# show power inline [ t y p e mod/num]
El siguiente ejemplo proporciona una salida del comando; si la interfaz se muestra como n/a, se ha utilizado ILP; de lo contrario es 802.3AF Switch# show power inline Module Available Used Remaining (Watts) (Watts) (Watts)
1 370.0 39.0 331.0 Interface Admin Oper Power Device (Watts)
Class Max
Fal/0/1 Fal/0/2 Fal/0/3 Fal/0/4 Fal/0/5 Fal/0/6 Fal/0/7
n/a 15.4 n/a 15.4 n/a 15.4 PD 0 15.4 PD 1 15.4 n/a 15.4 n/a 15.4
auto on 6.5 AIR-AP1231G-A-K9 auto on 6.3 IP Phone 7940 auto on 6.3 IP Phone 7960 auto on 15.4 Ieee auto on 4.5 Ieee static on 15.4 n/a auto off 0.0 n/a
VLAN DE VOZ IP Un teléfono IP Cisco proporciona una conexión de datos para un PC terminal además de su propia conexión, esto permite que sólo se instale un cable Ethemet por usuario. El teléfono IP de Cisco también puede controlar algunos de los aspectos sobre cómo los paquetes son presentados al switch. La mayoría de los teléfonos IP Cisco tienen un switch incorporado de 3 puertos que se conecta hacia el switch principal, al usuario y al propio teléfono internamente. Los puertos de voz y del PC de usuario funcionan como puertos de un switch en modo de acceso, el puerto que conecta al switch principal puede operar como un troncal 802.1Q o como puerto de acceso. El modo de enlace entre el teléfono y el switch es negociado, pudiendo configurar el switch para instruir al teléfono para que use un determinado caso de 802.1Q o una simple VLAN de acceso. Con un troncal el tráfico de voz puede ser aislado del tráfico de datos proporcionando seguridad y capacidades de calidad de servicio. Como un enlace de acceso de voz y datos se combina en la misma VLAN, simplifica otros aspectos de la configuración del switch porque no se necesita tener una VLAN de voz separada. Pero aun así se podría comprometer la calidad de la
www.FreeLibros.com
CAPÍTULO 17. TELEFONÍA IP
©RA-MA
441
voz dependiendo de la mezcla de aplicaciones del PC y del tráfico que hay en el enlace.
Configuración de la VLAN de voz Los paquetes de voz junto con la información de calidad de servicio se llevan en una única VLAN de voz conocida como VVID (Voice VLAN ID) o sobre una VLAN nativa o PVID (port VLAN ID). En el enlace del teléfono IP sólo necesitará configurar el puerto del switch donde se conectará, el switch instruye al teléfono para seguir el modo seleccionado, además el puerto del switch no necesita ninguna configuración especial de troncal. Si es necesario un troncal 802.1Q se forma un troncal especial de manera automática negociado mediante DTP (Dynamic Trunking Protocol) y CDP. Se utiliza el siguiente comando de configuración de interfaz para seleccionar el modo se VLAN de voz que se utilizará: Switch(config-if)# switchport voice vían {vlan-id \ dotlp | untagged | none}
La siguiente tabla muestra los tipos de configuración de VLAN de voz: Parámetro
Transporte
VLAN voz
QoS (CoS bits)
vlan-id
PC datos
VLAN vlan-id
802. IP
dotlp
PC datos
VLANO
802.IP
untagged
PC datos y voz
—
—
none (defecto)
PC datos y voz
—
—
La condición por defecto para cada puerto del switch donde no se usan enlaces troncales es none. Todos los modos excepto none utilizan un modo especial del troncal 802.1Q. La única diferencia entre dotlp y untagged es la manera en que encapsulan el tráfico de voz. El modo dotlp dispone los paquetes de voz en la VLAN 0 lo cual requiere una configuración de vlan-id que no sea la nativa, pero no necesita la creación de VLAN de voz. El modo untagged pone los paquetes de voz en la VLAN nativa por lo que no necesita vlan-id ni una VLAN de voz única.
www.FreeLibros.com
442
REDES CISCO. CCNP a Fondo
©RA-MA
El modo más versátil utiliza vlan-id, voz y tráfico de usuario son transportados por separado, los paquetes de voz además contienen información de calidad de servicio (QoS) en el enlace en el campo correspondiente a 802. IP. El caso especial 802.IP trunk se habilita automáticamente a través del intercambio de información CDP entre el switch y el teléfono IP. El troncal contiene 2 VLAN, la de voz etiquetada VVID y la de datos. La VLAN de acceso del puerto del switch se utiliza como la VLAN de datos, que lleva los paquetes desde y hacia el PC conectado al puerto correspondiente en el teléfono IP. Si un teléfono IP se elimina y el PC se conecta al mismo puerto del switch funcionará normalmente debido a que la vían de datos estará en el puerto de acceso, incluso cuando el troncal especial no siga funcionando.
Verificación de la VLAN de voz Se puede verificar el modo de operación del puerto del switches ya sea de acceso o troncales y la VLAN de voz utilizando el comando show interface switchport. Switch# show interfaces fastEthernet 1/0/1 switchport Ñame: Fal/0/1 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: On Access Mode VLAN: 10 (VLAN0010) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: 110 (VoIP) Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dotlq Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none
www.FreeLibros.com
©RA-MA
CAPÍTULO 17. TELEFONÍA IP
443
Cuando en el troncal del teléfono IP no está activo no se muestra en los comandos show, pero es posible saber que la VLAN est"a llevada en los enlaces troncales mirando la actividad de Spanning Tree. STP ejecuta dos instancias, una para la VLAN de datos y otra para la VLAN de voz y se muestran con el comando show spanning-tree interface. El siguiente ejemplo muestra un switch que está configurado con la VLAN 10 para datos y la VLAN 110 para voz y la VLAN 99 como nativa: show running-config interface fastethernet 1/0/1 interface FastEthernetl/0/1 switchport trunk native vían 99 switchport access vían 63 switchport voice vían 306 Switch# show spanning-tree interface fastethernet 1/0/1 Vían Role Sts Cost Prio.Nbr Type Switch#
VLAN0010 Desg FWD 19 128.51 P2p VLAN0110 Desg FWD 19 128.51 P2p
CALIDAD DE SERVICIO EN VOZ IP En una red normal con poca utilización un switch envía los paquetes tan pronto como le llegan, pero si la red está congestionada los paquetes no pueden ser entregados en un tiempo razonable. Tradicionalmente la disponibilidad de la red se incrementa aumentando el ancho de banda de los enlaces o el hardware de los switch. QoS (Quality of Service) ofrece técnicas utilizadas en la red para priorizar un tráfico determinado respecto a otros. El aspecto más importante de transportar tráfico de voz en una red de datos es mantener un nivel de QoS adecuado. Los paquetes de voz deben ser entregados lo más rápido posible con mínima fluctuación, pocas pérdidas y mínimo retraso.
Visión general de QoS Diferentes tipos de aplicaciones tienen a su vez diferentes requerimientos acerca de cómo deben ser enviados sus datos de extremo a extremo, por ejemplo es aceptable que se espere una pequeña cantidad de tiempo para mostrar una página Web, sin embargo los mismos retrasos no serían tolerables para una imagen de vídeo o una conversación telefónica. Cualquier pérdida o retraso en la entrega de los paquetes puede arruinar el propósito de la aplicación. Existen 3 conceptos básicos que pueden ocurrir a los paquetes cuando son enviados a través de la red.
www.FreeLibros.com
444
REDES CISCO. CCNP a Fondo
©RA-MA
•
Delay o retraso, cuando un paquete es enviado a través de la red su entrega sufre un retraso en un período debido al tiempo que requiere el medio de transmisión, el tiempo requerido por el router y el switch en buscar en sus tablas, etc. El retraso total desde el principio hasta el final es conocido como latencia. En síntesis, el retraso puede considerarse como tiempo desde que el usuario presiona una tecla hasta que ese carácter se ve en el terminal correspondiente.
•
Fluctuación o jitter, algunas aplicaciones se encargan de la entrega de una serie de datos relacionados. La entrega de estos paquetes puede retrasarse de tal manera que no pueden llegar a tiempos previsibles. Esta variación en el retraso se conoce como jitter. Los medios de audio son particularmente susceptibles a las fluctuaciones si los datos de audio no llegan con una velocidad adecuada y constante pueden ocurrir cortes.
•
Pérdidas, en casos extremos los paquetes que entran en un medio muy congestionado se eliminan sin que nunca lleguen a ser entregados. Una cierta pérdida de paquetes es normal y aceptable y ciertamente recuperable por algunas aplicaciones que utilizan un protocolo confiable orientado a la conexión, como puede ser TCP. Otras aplicaciones no son tolerantes y los paquetes eliminados se pierden.
Para solucionar y aliviar este tipo de condiciones una red puede emplear 3 tipos básicos de QoS: •
Best-effort
•
Servicios integrados
•
Servicios diferenciados
Best-effort Este método simplemente envía paquetes a medida que los va recibiendo sin aplicar ninguna tarea específica real, los switches y los routers hacen su trabajo de la mejor manera para entregar los paquetes lo más rápido posible sin importar el tipo de tráfico o las prioridades de servicio.
Servicios integrados La idea básica detrás de este sistema es preacordar un camino para los datos que necesitan prioridad a lo largo del camino completo. Comenzó a desarrollarse con la RFC 1633, que se refiere a RSVP (Resource Reservation Protocol) desarrollado como el mecanismo para programar y reservar el ancho de
www.FreeLibros.com
©RA-MA
CAPÍTULO 17. TELEFONÍA IP
445
banda adecuado del camino de una aplicación. El origen de la aplicación requiere los parámetros de QoS a través de RSVP, cada dispositivo de red a lo largo del camino tiene que verificar que esa petición puede ser soportada. Cuando el recorrido del camino completo está de acuerdo en las mínimas características requeridas, el camino se acepta. El origen es señalizado con una confirmación para poder empezar a utilizar el camino.
Servicios diferenciados El modelo de servicios integrados no es capaz de escalar muy bien debido a la cantidad de los recursos que necesita para estar reservando los anchos de banda. Los servicios diferenciados (DiffServ) permiten a cada dispositivo de red manejar los paquetes de una manera individual, cada router o switch puede configurar sus propias políticas de calidad de servicio para seguir y para tomar decisiones acerca de cómo deben enviar los paquetes. Los servicios diferenciados no requieren reservas previas a la calidad de servicio, se manejan dinámicamente de manera distribuida, es decir, mientras los servicios integrados aplican QoS por flujo, DiffServ aplica la QoS a un grupo de flujos similares por salto. DiffServ también se basa en las decisiones de QoS tomadas en la información contenida en el campo 2 de la cabecera del paquete IP. En este libro se tratarán más a fondo los conceptos de los servicios diferenciales.
MODELO QoS DIFFSERV Los servicios diferenciados generan un comportamiento diferente por salto en cada router o switch inspeccionando la cabecera de cada paquete para decidir cómo realizar el envío de ese paquete. Toda la información necesaria para esta decisión viaja en la cabecera, que por sí misma no puede disponer su propio manejo, simplemente presenta ciertas banderas, etiquetas ó marcas que servirán para ser utilizadas en la decisión de envío basada en las políticas de QoS configuradas en cada router o switch a lo largo del camino.
Clasificación de capa 2 de QoS Las tramas de capa 2 por sí mismas no tienen un mecanismo que indique la prioridad o importancia de su contenido. Una trama simplemente es tan importante como otra, de esta manera un switch de capa 2 solamente puede enviar tramas de la manera Best-effort. Cuando las tramas son transportadas de un switch a otro switch a través del troncal surge la posibilidad de clasificarlas. La encapsulación
www.FreeLibros.com
446
REDES CISCO. CCNP a Fondo
©RA-MA
que viaja por el troncal incluye la identificación de VLAN, un campo que permite marcar el coste y la clase de servicio (CoS) en cada trama. Esto es utilizado por los switch frontera para tomar decisiones de QoS. Después de que el trunk es desencapsulado en el switch remoto la información CoS es descartada. Las dos maneras de encapsular el trunk son: •
IEEE 802.1Q, donde cada trama es encapsulada con un VLAN ID de 12 bits y un campo de usuario de 3 bits de prioridad (802.IP) que indica el CoS de la trama en un rango de 0 a 7. Las tramas de la VLAN nativa no son encapsuladas adquiriendo el coste por defecto del switch que recibe la trama.
•
ISL, cada trama es encapsulada con un VLAN ID de 15 bits, en el campo User de 4 bits los 3 bits más bajos indican la CoS. Aunque ISL no es un estándar los switchs Catalyst toman decisiones de CoS copiando los bits de 802.IP desde los troncales 802.1Q dentro de los bits User cost en los troncales ISL, permitiendo que la información CoS se propague entre troncales con diferentes encapsulaciones.
Clasificación de capa 3 QoS con DSCP Desde el comienzo los paquetes IP siempre han tenido un byte llamado ToS (Type of Service) que puede ser utilizado para marcar paquetes. Este byte se divide en 3 bits llamado IP Precedence y 4 bits que son el valor ToS. El modelo de DiffServ mantiene el Byte IP ToS pero lo utiliza de una manera más escalable. Este byte también se conoce como DS (Differentiated Service) con un formato diferente, los 6 bits DS se conocen como DSCP (Differentiated Service Code Point), que es un valor determinado por cualquier dispositivo DiffServ de la red. No se debe confundir con la terminología que utiliza QoS, los Bytes ToS y DS son lo mismo, incluso ocupan la misma ubicación en la cabecera IP, solamente su nombre y la manera que el valor se interpreta es diferente. Los bits DSCP permiten compatibilidad con los bits IP precedentes de tal manera que un dispositivo que no sea capaz de interpretar todo ese campo podría descifrar sólo la información de QoS. Los campos DiffServ se muestran en el siguiente gráfico: DS5
DS4
DS3
DS2
DS1
DSO
ECN
ECN
DSCP
www.FreeLibros.com
CAPÍTULO 17. TELEFONÍA IP
©RA-MA
447
DSCP ocupa 6 bits (DS5-DS0). Los tres bits de selección de clase o Class Selector (DS5 a DS3) categorizan los paquetes en siete clases: • Clase 0, es la clase por defecto, simplemente ofrece el servicio Best-effort. • Clases 1 a 4, llamadas AF (Assured Forwarding). Cuanto más altos sean los números de la clase AF, más prioridad tendrá el tráfico y menos probabilidad de ser eliminado o rechazado en caso de congestión. • Clase 5, conocida como EF (Expedited Forwarding). LTsada para dar el mayor servicio, es la que tiene menos probabilidad de ser eliminada, se suele usar para tráfico de voz o vídeo. • Clases 6 y 7, son también llamadas Internetwork Control y Network Control. Son usadas por los routers y switches para tráfico de control en STP, protocolos de enrutamiento, etc. En definitiva, para aquellos servicios que mantienen la red operacional. Cada clase representada en el DSCP tiene tres niveles de posibilidad de descarte, representados en los bits DS2 a DSO, pero hay que tener en cuenta que DSO siempre tiene el valor 0. • Baja probabilidad de descarte: 1. • Media probabilidad de descarte: 2. • Alta probabilidad de descarte: 3. Dentro de una misma clase los paquetes con más alta probabilidad de descarte son eliminados primero, tomando en cuenta que la probabilidad de descarte es mayor cuanto mayor es el valor.
Implementación QoS para voz Para manipular los paquetes acorde a las políticas de QoS, un switch tiene que identificar el nivel de servicio que cada paquete tiene que recibir. Este proceso se conoce como clasificación, cada paquete se clasifica acorde a un tipo de tráfico, por ejemplo TCD o UDP, según los parámetros configurados en las ACL, routemaps, etc. Los paquetes IP llevan consigo los valores DSCP dentro de las cabeceras a lo largo de todo el camino de la red. Las tramas en un troncal también llevan un valor de coste asociado con ellas, por lo tanto, un switch puede decidir si confiar en ToS, DSCP o CoS, que han sido asignados previamente a los paquetes
www.FreeLibros.com
448
REDES CISCO. CCNP a Fondo
©RA-MA
de entrada. Si el switch confía en algunos de estos valores, se utilizarán para tomar decisiones de calidad de servicio dentro del switch. Si dichos valores no son confiables pueden ser eliminados o reasignados, de esta manera un switch puede asumir nuevos valores para que sean aceptados dentro de las políticas de gestión. Esto último puede prevenir la intrusión de usuarios no autorizados en la red. Todos y cada uno de los switches deben confiar en los valores de QoS entrantes generalmente una organización debe confiar en los paramentos de QoS dentro de la propia red. En la frontera con otra organización o ISP QoS típicamente no debería ser confiable. Es prudente confiar en valores de QoS que hayan sido asignados por los propios dispositivos de red, de esta forma los valores de QoS producidos por los usuarios finales no deberían ser confiados hasta que la red pueda verificarlos o sobrescribirlos. El perímetro formado por los switches que no confían en el QoS de entrada se llama frontera de confianza. Esta frontera está en el extremo de la red empresarial, en capa de acceso, marcaciones WAN y límites con los ISP. Cuando la frontera de confianza ha sido identificada a través de los puertos no confiables dentro de ese perímetro, los puertos pueden ser configurados para confiar en los valores QoS de entrada. La siguiente figura muestra una red en la que se define una frontera de confianza; está definida en la red de usuarios finales y redes públicas:
No confiable
_
En el Catalyst A el puerto GigaEthemet 2/1 está configurado para recibir datos de entrada no confiables. El Catalyst B está conectado a un PC que también es no confiable, el teléfono IP en el puerto FastEthemet 0/1 es un caso especial porque soporta su propio tráfico de voz y tráfico de usuario final, por lo que la frontera de confianza no puede estar definida exactamente en ese puerto.
www.FreeLibros.com
CAPÍTULO 17. TELEFONÍA IP
© r A-MA
449
Configuración de la frontera de confianza Cuando un teléfono IP se conecta a un switch es como si se añadiera otro switch a la red. Si se instala un teléfono IP como parte de la red se puede confiar en la información de QoS emitida por el teléfono. El teléfono IP tiene dos fuentes de emisión de datos: •
Datos propios del teléfono. El teléfono puede controlar la información de QoS que se incluye en los paquetes de voz.
•
Datos de usuario en el puerto del switch. Son paquetes del puerto del PC de datos generados en algún otro sitio, de tal manera que la información de QoS no será confiable.
Un switch instruye al teléfono IP que tiene conectado mediante mensajes CDP acerca de cómo debería extender la confianza QoS a su propio puerto de usuario de datos. La configuración de la extensión de estos datos de confianza siguen los siguientes pasos: 1. Se habilita QoS en el switch. Por defecto está deshabilitado globalmente en el switch y toda la información de QoS se permite entre puertos de un switch a otro. Al habilitar QoS todos los puertos del switch quedan configurados como no confiables. Switch(config)# mis qos
2. Definición de los parámetros que serán utilizados. Es posible elegir entre confiar en el CoS, IP precedente o DSCP de los paquetes de entrada en los puertos del switch, aunque sólo uno de estos parámetros puede ser seleccionado. Generalmente un teléfono IP puede ser configurado con los parámetros eos porque el teléfono puede controlar los valores en su troncal de VLAN. Switch(config)# interface type mod/num Switch(config-if)# mis qos trust {eos | ip-precedence | dscp}
3. Confianza condicional: Switch(config-if)# mis qos trust device cisco-phone
Si este comando se configura, los parámetros de QoS definidos en el paso anterior serán confiables solamente si un teléfono IP se detecta a través de
www.FreeLibros.com
450
REDES CISCO. CCNP a Fondo
©RA-MA
CDP. Cuando no se detecta el teléfono los parámetros de QoS no son confiados. 4. Indicaciones para extender la frontera de confianza del teléfono IP. Normalmente la información de QoS de un PC conectado a un teléfono debería ser no confiable debido a que las aplicaciones del PC podrían intentar utilizar unos campos de CoS o DSCP si son mejores a los suyos para ganar mejor acceso a la red, en este caso el parámetro eos se sobrescribe al valor de 0. Switch(config-if )# switchport priority extend {eos valué \
trust}
El PC puede estar ejecutando alguna aplicación confiable que hace peticiones de QoS de niveles específicos de servicio, en este caso el teléfono IP puede extender la confianza hasta el PC, permitiendo que los bits del coste sean enviados a través del teléfono IP sin modificarlo, para esto se utiliza el parámetro trust. Por defecto un switch instruye a un teléfono IP que tiene conectado un PC para que lo considere como no confiable. El teléfono sobrescribirá los valores de coste a 0. Los uplink con conexiones hacia otros switches deberían ser considerados como puertos confiables siempre y cuando estén conectados a dispositivos confiables de la frontera de confianza de QoS. Para configurar un puerto uplink en un switch para que sea confiado se utilizan los siguientes comandos: Switch(config)# interface type mod/num Switch(config-if )# mis qos trust eos
El parámetro de confianza trust no es condicional, el switch confiará sólo en los valores de coste que son encontrados en los paquetes de entrada. Los switches poseen un mapeo de los valores de coste llamado CoS-toDSCP, que se utiliza para convertir los valores CoS de entrada en valores DSCP.
Configuración de AutoQoS Los switches Cisco pueden configurarse para soportar una variedad de mecanismos y parámetros de QoS, la lista y las características de los comandos de configuración pueden ser enormes y la configuración real resulta muy compleja. Ésta es una razón para que los tópicos relativos a QoS no se traten en la totalidad en este libro. Para simplificar la configuración, Cisco introdujo la característica de Auto-QoS para casi todas las plataformas. Utilizando una cantidad mínima de
www.FreeLibros.com
CAPÍTULO 17. TELEFONÍA IP
©RA-MA
451
comandos se puede habilitar el switch para que automáticamente configure todos los parámetros de QoS. Auto-QoS es realmente manejado por un comando macro el cual se encarga de añadir otros comandos de configuración como si fuesen introducidos manualmente. Gracias a esto Auto-QoS permite la rápida configuración de los switches que aún permanecen con la configuración por defecto. La utilización de Auto-QoS en switches ya configurados podría sobrescribir algunos de los comandos ya configurados. Auto-QoS maneja los siguientes modos de configuración de QoS: •
Habilta QoS.
•
Mapea CoS-to-DSCP hacia QoS.
•
Configura mejor las colas de entrada y salida.
•
Genera colas de prioridad estrictas para salidas de voz.
•
Establece una interfaz QoS que será la frontera de confianza.
Los siguientes pasos de configuración se utilizan para configurar AutoQoS: •
Selección de la interfaz que será la frontera de QoS: Switch(config)# interface type mod/num
•
Habilitar Auto-QoS con la confianza apropiada: Switch(config-if)# auto qos voip {cisco-phone | ciscosoftphone | trust}
Si el puerto del switch está conectado a un teléfono IP, se debería utilizar el parámetro cisco-phone. Si está conectado un PC con .la aplicación Cisco softphone, se deberá elegir el parámetro cisco-softphóne. Los paquetes que llegan con valores de DSCP de 24, 26 y 46 son confiables, los paquetes con otro tipo de valor se pondrán con un DSCP en 0. En un puerto uplink de switch hacia otro switch o un router, se debería utilizar el comando trust. Todos los paquetes recibidos en ese puerto deberían ser confiables, la información de QoS debería quedar intacta. El comando auto qos voip aparecerá en la configuración del switch junto con los otros comandos que él mismo inserta.
www.FreeLibros.com
452
REDES CISCO. CCNP a Fondo
©RA-MA
VERIFICACIÓN QoS DE VOZ IP Un puerto del switch puede ser configurado para que confíe en el estado de QoS con el dispositivo conectado. Si ese dispositivo es un teléfono IP, el switch puede instruir al teléfono y extender la confianza de QoS a un PC que tenga conexión a dicho teléfono. Para verificar que la confianza ha sido extendida al teléfono IP se utiliza el siguiente comando: Switch#show mis qos interface type mod/num
Si el puerto es confiable todo el tráfico enviado por el teléfono IP es aceptado con la información de QoS permaneciendo intacta. Si el puerto no es confiable, los paquetes, incluso los de voz, podrán tener la información sobrescrita por el switch. La siguiente salida muestra un ejemplo: Switch# show mis qos interface fastethernet 0/1 FastEthernet0/1 trust state: trust eos trust mode: trust eos trust enabled flag: ena COS override: dis default COS: 0 DSCP Mutation Map: Default DSCP Mutation Map Trust device: none
Se puede verificar como un teléfono IP ha sido instruido para tratar la información de QoS entrante del PC conectado en la última línea de la sintaxis anterior (trust device:). También puede verse en el siguiente comando en la línea Appliance trust: Switch# show interface fastethernet 0/1 switchport Ñame: FaO/1 Switchport: Enabled [output deleted...] Voice VLAN: 2 (VLAN0002) Appliance trust: none
Si el dispositivo es de confianza la línea de comandos mostraría Appliance trust: trusted.
www.FreeLibros.com
©RA-MA
CAPÍTULO 17. TELEFONÍA IP
453
El siguiente ejemplo muestra cuándo un teléfono IP se conecta, más abajo aparece la sintaxis; cuándo el teléfono IP no está conectado al puerto del switch y no es detectado y el parámetro trust no está habilitado. S w i t c h # show running-config interface fastethernet 0/47 Building configuration... Current configuration : 219 bytes
i interface FastEthernetO/47 switchport access vían 10 switchport trunk encapsulation dotlq switchport mode access switchport voice vían 100 mis qos trust device cisco-phone mis qos trust eos no mdix auto end Switch# show mis qos interface fastethernet 0/1 FastEthernetO/1
trust mode: trust eos COS override: dis default COS: 0 DSCP Mutation Map: Default DSCP Mutation Map Trust device: cisco-phone
Cuando el teléfono IP se conecta se le aplica energía para ser detectado, entonces la confianza de QoS condicional, en este caso CoS, es habilitada: 6dl8h: %ILPOWER-7-DETECT: Interface Fal/0/1: Power Device detected: Cisco PD 6dl8h: %ILPOWER-5-POWER_GRANTED: Interface Fal/0/1: Power granted 6dl8h: %LINK-3-UPDOWN: Interface FastEthernetl/0/1, changed state to up 6dl8h: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernetl/0/1, changed state to up 6dl8h: %SWITCH_Q0S_TB-5-TRUST_DEVICE_DETECTED: cisco-phone detected on port Fal/ 0/1, port trust enabled. Switch# show mis qos interface fastethernet 1/0/1 FastEthernet1/0/1 trust mode: trust eos COS override: dis default COS: 0 DSCP Mutation Map: Default DSCP Mutation Map
www.FreeLibros.com
454
REDES CISCO. CCNP a Fondo
© r a -m a
La autoconfiguración de QoS en un puerto puede verse con el siguiente comando: Switch# show auto qos interface fastethernet 0/37 FastEthernetO/37 auto qos voip cisco-phone
www.FreeLibros.com
Capítulo 18
SEGURIDAD DE ACCESO AL SWITCH SEGURIDAD DE PUERTOS En algunos entornos la red debe estar asegurada para controlar qué estaciones terminales podrán tener acceso a la red. Cuando las estaciones de trabajo son estacionarias, sus direcciones MAC siempre se espera que se conecten al mismo puerto de la capa de acceso. En estaciones móviles la MAC puede ser aprendida dinámicamente o ser añadida en una lista de direcciones que se esperan en ese puerto. Los switches Catalyst poseen una característica llamada portsecurity que controla las direcciones MAC asignadas a cada puerto. Para iniciar la configuración de seguridad de puertos en un switch se comienza con el siguiente comando: Switch(config-if)#switchport port-security
Posteriormente se deben identificar un conjunto de direcciones MAC permitidas en ese puerto. Estas direcciones pueden ser configuradas explícitamente o de forma dinámica a través del tráfico entrante por ese puerto, en cada interfaz que utiliza port-security se debe especificar un número máximo de direcciones MAC que serán permitidas: Switch(config-if)#switchport port-security máximum max-addr
El rango de MAC permitidas va desde 1 a 1024. Cada interfaz configurada con port-security aprende dinámicamente las direcciones MAC por defecto y espera que esas direcciones aparezcan en esa interfaz en el futuro. Este proceso se
www.FreeLibros.com
456
REDES CISCO. CCNP a Fondo
© r a -m a
llama sticky MAC addresses. Las direcciones MAC se aprenden cuando las tramas de los host pasan a través de la interfaz, que aprende hasta el número máximo de direcciones que tiene permitidas. Las direcciones aprendidas también son eliminadas si los host conectados no transmiten en un período determinado. La siguiente sintaxis muestra la configuración de direcciones MAC para un puerto a un máximo de 5: Switch(config-if)#switchport port-security máximum 5
También se puede definir estáticamente una o más direcciones MAC en una interfaz, cualquiera de las direcciones configuradas tendrá permitido el acceso a la red a través de ese puerto: Switch(config-if)#switchport port-security mac-address mac-addr
Si el número de direcciones estáticas dado es menor que el número máximo de direcciones que puede aprender dinámicamente, el resto de las direcciones se aprenderán dinámicamente. Por lo tanto, se debe tener un control apropiado sobre cuantas direcciones se deben permitir. Finalmente se debe definir cómo una interfaz con seguridad de puerto debería reaccionar si ocurre un intento de violación para eso se utiliza el siguiente comando: Switch(config-if)# switchport port-security violation {shutdown | restrict |protect}
Cuando más del número máximo de direcciones MAC permitidas o una dirección MAC desconocida se detecta se interpreta como una violación. El puerto del switch toma algunas de las siguientes acciones cuando ocurre una violación: •
Shutdown, el puerto automáticamente se pone en el estado errdisable, lo que hace dejarlo inoperable y tendrá que ser habilitado manualmente o utilizando la recuperación de errdisable.
•
Restrict, el puerto permanente activo pero los paquetes desde las direcciones MAC que están violando la restricción son eliminados. El switch continúa ejecutando el temporizador de los paquetes que están violando la condición y puede enviar un trap de SNMP a un servidor Syslog para alertar de lo que está ocurriendo.
•
Protect, el puerto sigue habilitado pero los paquetes de las direcciones que están violando la condición son eliminados, no queda ninguna constancia de lo que está aconteciendo en el puerto.
www.FreeLibros.com
CAPÍTULO 18. SEGURIDAD DE ACCESO AL SWITCH
©RA-MA
457
Un ejemplo del modo restrict se detalla en la siguiente sintaxis: interface GigabitEthernetO/11 switchport access vían 991 switchport mode access switchport port-security switchport port-security violation restrict spanning-tree portfast
Cuando el número máximo de direcciones MAC se excede se guarda un log cuya sintaxis se muestra a continuación: jun 3 17:18:41.888 E D T : %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0000.5e0 0 .0101 on port GigabitEthernetO/11.
En caso de que se cumpla la condición restrict o protect se deberían eliminar las direcciones MAC que no son permitidas con el siguiente comando: Switch#clear port-security dynamic [address mac-addr | interface type mod/num]
En el modo shutdown la acción de port-security es mucho más drástica. Cuando el número máximo de direcciones MAC es sobrepasado el siguiente mensaje log indica que el puerto ha sido puesto en modo errdisable: Jun 3 17:14:19.018 EDT: %PM-4-ERR_DISABLE: psecure-violation error detected on GiO/ll, putting GiO/11 in err-disable state Jun 3 17:14:19.022 EDT: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0003.a089.efc5 on port GigabitEthernetO/11. Jun 3 17:14:20.022 EDT: %LINEPROTO-5-UPDOWN: Line protocol on Interface Gigabit EthernetO/11, changed state to down Jun 3 17:14:21.023 EDT: %LINK-3-UPDOWN: Interface . GigabitEthernetO/11, changed state to down
El estado de un puerto puede verse con el comando show port-security interface: Switch#show port-security interface gigabitethernet 0/11 Port Security : Enabled Port Status : Secure-shutdown Aging Time : Aging Type : SecureStatic Address
Aging :
0 mins Absolute Disabled
www.FreeLibros.com
458
REDES CISCO. CCNP a Fondo
©RA-MA
Máximum MAC Addresses : Total MAC Addresses : Configured MAC Addresses : Sticky MAC Addresses : Last Source Address : Security Violation Count :
1 0 0 0 0003.a089.efc5
1
Para ver un resumen rápido del estado del puerto puede utilizarse el siguiente comando: Switch#show interfaces status err-disabled Port Ñame Status Reason GiO/11 Test port err-disabled psecure-violation
Hay que recordar que cuando un puerto está en el estado errdisable se debe recuperar manualmente o de manera automática. La secuencia de comandos para la recuperación manual es la siguiente: Switch(config)#interface type mod/num Switch(config-if)#shutdown Switch(config-if)#no shutdown
Finalmente se puede ver un resumen del estado de port-security con el siguiente comando: Switch#show port-security Secure Port MaxSecureAddr Action
CurrentAddr
SecurityViolation
Security
(C o u n t ) (C o u n t ) (C o u n t )
GiO/11 GiO/12
5 1
1 0
0 0
Restrict Shutdown
Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 6176
AUTENTICACION BASADA EN PUERTO Los switches Catalyst pueden soportar autenticación basada en puerto que resulta una combinación de autenticación AAA (Authentication, Authorization, Accounting) y de port-security. Esta característica se basa en el estándar IEEE 802.IX, cuando está habilitado un puerto del switch no pasará tráfico hasta que el usuario se autentique con el switch. Si la autenticación es satisfactoria el usuario podrá utilizar el puerto con normalidad. En la autenticación basada en puerto tanto el switch como el PC del usuario tienen que soportar el estándar 802.IX usando EAPOL (Extensible
www.FreeLibros.com
CAPÍTULO 18. SEGURIDAD DE ACCESO AL SWITCH
©RA-MA
459
Authentication Protocol over LAN). Dicho estándar es un protocolo que se ejecuta entre el cliente y el switch que está brindando el servicio de red. Si el cliente del pC está configurado para utilizar 802.IX pero el switch no lo soporta, el PC abandona el protocolo y se comunica normalmente; pero a la inversa, es decir, si el switch está configurado con autenticación y el PC no lo soporta, el puerto del switch permanecerá en estado “no autorizado” de manera que no enviará tráfico a ese cliente. Un puerto del switch con 802. IX comienza en el estado no autorizado, de tal manera que solamente el único tipo de datos que permite pasar es del propio protocolo 802.IX. Tanto el cliente como el switch pueden comenzar la sesión 802.IX. El estado autorizado del puerto finaliza cuando el usuario del puerto termina la sesión causando que el cliente 802.IX informe al switch que regrese al estado no autorizado. El switch puede finalizar la sesión del usuario cuando lo crea necesario; en caso de que así ocurra, el cliente tiene que re-autenticarse para continuar utilizando el puerto.
Configuración de 802.IX La autenticación basada en puerto puede ser administrada por uno o más servidores RADIUS (Remóte Authentication Dial-In User Service). Aunque muchos switches Cisco soportan otros métodos de autenticación sólo RADIUS soporta el estándar 802.IX. El método de autenticación real de RADIUS tiene que ser configurado inicialmente y luego el 802. IX. Los siguientes pasos muestran dicha configuración: 1.
Habilitación de AAA en el switch. Por defecto AAA está deshabilitado; para habilitarlo se utiliza el siguiente comando: Switch(config)#aaa new-model
El parámetro new-model hace referencia al método de listas que se van a utilizar para la autenticación. 2. Definición de los servidores RADIUS externos. En primer lugar se define cada servidor junto con la clave compartida; esta cadena solamente es conocida por el switch y el servidor y proporciona una clave de encriptación para la autenticación del usuario. Switch(config)#radius-server [key string]
host
{hostname
\ ip-address}
Este comando debe repetirse según tantos servidores existan en la red.
www.FreeLibros.com
460
REDES CISCO. CCNP a Fondo
©RA-MA
3. Definición del método de autenticación 802.1X. Con el siguiente comando los servidores de autenticación RADIUS que se han definido en el switch utilizarán la autenticación 802. IX: Switch(config)#aaa radius
authentication
dotlx
default
group
4. Habilitación de 802.1x en el switch. Switch(config)#dotlx system-auth-control
5. Configuración de los puertos del switch con 802.IX. Switch(config)#dotlx system-auth-control Switch(config)# interface type mod/num Switch(config-if)#dotlx port-control {force-authorized | force-unauthorized | auto}
Donde: •
force-authorized: el puerto es forzado para que siempre autorice cualquier conexión de cliente, no es necesario la autenticación; éste es el estado por defecto para todos los puertos cuando 802. IX está habilitado.
•
force-unauthorized: el puerto es forzado para no autorizar nunca la conexión de un cliente, como resultado ese puerto no pasará al estado autorizado.
•
Auto: el puerto utiliza un intercambio de 802. IX para moverse desde el estado unauthorized hacia el estado authorized cuando la autenticación resulte satisfactoria. Esto requiere una aplicación capaz de soportar dicho estándar en el PC del cliente. Por defecto todos los puertos del switch están en el estado forceauthorized pero si el objetivo es la utilización de 802.IX los puertos deben estar configurados en auto, de tal manera que se emplee dicho mecanismo de autenticación.
6. Permitir múltiples host en un puerto del switch. El estándar 802. IX soporta casos en los cuales múltiples host están conectados a un simple puerto del switch ya sea a través de un hub o de otros switch de acceso. En este caso se debe configurar el puerto con el siguiente comando: Switch(config-if)#dotlx host-mode multi-host
El comando show dotlx all se utiliza para verificar las operaciones de 802. IX en cada puerto del switch donde está configurado. El siguiente es un ejemplo de autenticación basada en 802. IX, donde hay configurados dos servidores RADIUS y varios puertos del switch están utilizando 802.IX para autenticación y asociación con la VLAN 100:
www.FreeLibros.com
©RA-MA
CAPÍTULO 18. SEGURIDAD DE ACCESO AL SWITCH
461
Switch(config)#aaa new-model Switch(config)#radius-server host 100.30.1.1 key PruebaCCNP Switch(config)#radius-server host 100.30.1.2 key OtraCCNP Switch(config)#aaa authentication dotlx default group radius Switch(config)#dotlx system-auth-control Switch(config)#interface range FastEthernetO/1 - 40 Switch(config-if)#switchport access vían 100 Switch(config-if)#switchport mode access Switch(config-if)#dotlx port-control auto
m it ig a n d o a t a q u e s e s p ía s Los usuarios maliciosos intentan enviar información falsa a los switches o host intentando utilizar mecanismos de burla falseando las puertas de enlace. El objetivo del atacante es interceptar el tráfico enviando paquetes al afectado como si éste fuera la puerta de enlace o el router. El atacante puede obtener información del tráfico de paquetes antes de que lleguen a su verdadero destino. Los switches Catalyst poseen tres mecanismos de protección ante estos ataques que se describen a continuación: DHCP Snooping: un servidor DHCP proporciona la información que un cliente necesita para operar dentro de una red. Un atacante puede activar un servidor DHCP falso en el mismo segmento en que se encuentra el cliente; cuando el cliente hace la petición DHCP el falso servidor podría enviar el DHCP reply con su propia dirección IP sustituyendo a la verdadera puerta de enlace. Los paquetes destinados hacia fuera de la red local serían enviados al servidor del atacante que podrá enviarlos a la dirección correcta pero primero podrá examinar cada paquete que va interceptando. El atacante está en el medio del camino, el cliente nunca se da cuenta de ello, acción conocida como man-in-the-middle. Los switches Catalys poseen la característica DHCP Snooping para prevenir este tipo de ataque. Cuando está configurado, los puertos están categorizados como confiables o no confiables. Los servidores DHCP legítimos pueden encontrarse en puertos confiables, mientras que todos los demás host están detrás de los puertos no confiables. Un switch intercepta todas las peticiones DHCP que vienen de los puertos no confiables antes de pasarlas a la VLAN correspondiente. Cualquier respuesta DHCP reply viniendo desde un puerto no confiable se descarta, además el puerto pasará al estado errdisable. DHCP Snooping mantiene un registro de todos los enlaces de los DHCP completados, lo que significa que posee conocimiento de las direcciones MAC, direcciones IP, tiempo de alquiler, etc. del cliente.
www.FreeLibros.com
462
REDES CISCO. CCNP a Fondo
©RA-MA
El siguiente comando configura DHCP Snooping en el switch: Switch(config)#ip dhcp snooping
El siguiente paso consiste en identificar la VLAN donde DHCP Snooping se implementará: Switch(config)#ip dhcp snooping vían vlan-id [vlan-id]
Posteriormente se configuran los puertos localizados los servidores DHCP reales:
confiables
donde están
Switch(config)#interface type mod/num Switch(config-if)#ip dhcp snooping trust
Para los puertos no confiables se permite un número ilimitado de peticiones DHCP, para limitarlo se puede utilizar el siguiente comando: Switch(config)#interface type mod/num Switch(config-if)#ip dhcp snooping limit rate rate
El parámetro rate tiene un rango de 1 a 2048 paquetes DHCP por segundo. Puede, además, configurarse el switch para que use la opción DHCP 82 descripta en la RFC 3046. Añadiendo la opción 82 la información acerca del cliente que ha generado la petición DHCP es más amplia. Además, la respuesta DHCP (en caso de que la hubiera) traerá contenida la información de la opción 82. El switch intercepta la respuesta y compara los datos de la opción 82 para confirmar que la respuesta viene de un puerto válido en el mismo. Esta característica está habilitada por defecto; no obstante, para habilitar la opción 82 se utiliza el siguiente comando: Switch(config)# ip dhcp snooping information option
El estado del DHCP Snooping puede verse con el siguiente comando: Switch#show ip dhcp snooping [binding]
El parámetro binding se utiliza para mostrar todas las relaciones conocidas de DHCP que han sido recibidas. En el siguiente ejemplo se observa la configuración de DHCP Snooping, las interfaces FastEthemet 0/5 a la 0/16 son consideradas no confiables, la cantidad de peticiones están limitadas a 3 por segundo. El servidor DHCP conocido está localizado en la interfaz GigaEthemet 0/1:
www.FreeLibros.com
CAPÍTULO 18. SEGURIDAD DE ACCESO AL SWITCH
©RA-MA
463
Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vían 104 Switch(config)#interface range fastethernet 0/5 — 16 Switch(config-if)#ip dhcp snooping limit rate 3 Switch(config-if)#interface gigabitethernet 0/1 Switch(config-if)#ip dhcp snooping trust Switch#show ip dhcp snooping DHCP snooping is enabled DHCP snooping is configured on following VLANs: 104 insertion of option 82 is enabled Interface Trusted Rate limit (pps) Switch
FastEthernetO/35 FastEthernetO/36 GigabitEthernetO/1
no no yes
3 3 unlimited
IP Sourse Guard: el falseo de direcciones es uno más de los diferentes tipos de ataques que son difíciles de mitigar. Normalmente un host es asignado a una dirección IP y se espera utilizar la misma para todo el tráfico que envía. Un PC que está comprometido no tiene por qué utilizar su dirección IP, podría comenzar a utilizar direcciones falsas. Éstas son a menudo utilizadas como el origen del ataque de denegación de servicio. Si la dirección origen no existe realmente el tráfico de vuelta nunca encontrará el camino hacia su origen. Los routers o dispositivos de capa 3 llevan a cabo test simples para direcciones de origen falseadas cuando éstas pasan a través de ellos. Si la red es conocida y pertenece a una VLAN determinada, los paquetes entrantes desde esa VLAN nunca deberían tener una dirección IP diferente en su direccionamiento. Pero es difícil detectar direcciones falsas cuando son utilizadas dentro de la VLAN o subred correspondiente. De esta manera un host comprometido podría atacar a todos los host dentro de su propia subred. Los switches Catalyst pueden utilizar la característica IP Sourse Guard para detectar y suprimir ataques de direcciones falsas, incluso dentro de la misma subred. Un switch de capa 2 aprende y guarda la dirección MAC por puerto, y utiliza un método para buscar la dirección MAC y ver la asociación IP correspondiente. IP Sourse Guard realiza este proceso haciendo uso de la base de datos de DHCP Snooping, como también de la base de direcciones estáticas.
www.FreeLibros.com
464
REDES CISCO. CCNP a Fondo
©RA-MA
Los paquetes que llegan al switch pueden ser comprobados por cualquiera de estas dos condiciones: 1. La dirección IP de origen tiene que ser idéntica a la dirección IP aprendida por DHCP Snooping o por una entrada estática. Un puerto con ACL dinámica se utiliza para filtrar el tráfico, el switch automáticamente crea esta ACL añadiendo la dirección de origen aprendida a la ACL y aplicándola en el puerto donde se aprendió la dirección correspondiente. 2. La dirección MAC de origen tiene que ser idéntica a la dirección MAC aprendida en el puerto del switch y el DHCP Snooping. Se utiliza port-security para filtrar el tráfico no deseado. Si la dirección es diferente a la que ha sido aprendida o configurada estáticamente, el switch descarta el paquete. Para la configuración de IP Sourse Guard se debe configurar DHCP Snooping. Para que se detecten direcciones MAC falsas es necesaria la configuración de port-security. Para los host que no utilizan DHCP se puede configurar un direccionamiento estático con el siguiente comando: Switch(config)#ip source binding mac-address vían vlan-id ip-address interface type mod/num
En este caso la dirección MAC del host es asociada a la VLAN y dirección IP correspondiente junto con el puerto adecuado. Se habilita IP Sourse Guard en uno o más puertos del switch con los siguientes comandos: Switch(config)#interface type mod/num Switch(config-if)#ip verify source [port-security]
El comando ip verify source inspeccionará el origen de la dirección IP, es posible añadir el parámetro port-security para hacer lo mismo con la dirección MAC. Para verificar el estado de IP Sourse Guard se utiliza el siguiente comando: Switch#show ip verify source [interface type mod/num]
www.FreeLibros.com
© RA-MA
CAPÍTULO 18. SEGURIDAD DE ACCESO AL SWITCH
465
Si es necesario verificar la información contenida en la base de datos de direcciones de origen aprendidas dinámica o estáticamente, se utiliza el siguiente comando: Switch#show ip source bindng [ip-address] [mac-address] [dhcpsnooping | static] [interface type mod/num] [vían vlan-id]
Inspección dinámica de ARP: los host utilizan normalmente ARP (Address Resolution Protocol) para resolver direcciones MAC no conocidas a direcciones IP conocidas. La dirección MAC es necesaria para enviar un paquete y encapsular en capa 2, el host envía un broadcast con una petición ARP con la dirección IP del destino solicitando la MAC. Si algunos de los host están utilizando esa dirección IP, responderá con un ARP reply conteniendo su dirección MAC. El proceso de ARP funciona adecuadamente entre dispositivos confiables, pero si un atacante puede enviar su propia respuesta ARP con una dirección MAC maliciosa, el origen de la petición asociará la IP a la MAC del atacante. El origen almacenará en su tabla ARP una MAC falsa pudiendo enviar los paquetes IP hacia esa dirección. En este escenario el atacante está en el medio del camino, los paquetes son enviados al atacante en lugar de al host real de destino. Este ataque es conocido como ARP poisoning o ARP spoofing, y es considerado como un ataque del tipo man-in-the-middle. Los switches Catalyst pueden utilizar DAI (Dynamic ARP Inspection) para mitigar este tipo de ataque. DAI trabaja de manera similar a DHCP snooping, todos los puertos del switch son clasificados como confiables o no. El switch intercepta e inspecciona todos los paquetes ARP que llegan a los puertos no confiables. Cuando una respuesta ARP es recibida en un puerto no confiable, el switch verifica la MAC y la dirección IP reportada en el paquete de respuesta contra unos valores conocidos. El switch puede obtener la información confiable de ARP por entradas estáticas o aprendidas dinámicamente en la base de datos de DHCP Snooping habilitado previamente. Si la respuesta contiene valores conflictivos se elimina generando un mensaje de log. Para la configuración de DAI se debe habilitar en una o más VLAN con el siguiente comando: Switch(config)#ip arp inspection vían vlan-range
El parámetro vían permite la configuración de una VLAN o un rango determinado. Por defecto todos los puertos asociados con el rango de VLAN son considerados como no confiables. El switch local no inspeccionará los paquetes
www.FreeLibros.com
466
REDES CISCO. CCNP a Fondo
©RA-MA
ARP que le llegan a los puertos confiables. Para configurar un puerto como confiable se utilizan los siguientes comandos: S w i t c h (c o n f i g )#interface type mod/num Switch(config-if )#ip arp inspection trust
Si existen host con dirección IP estática configurada no habrá mensajes DHCP que se intercambien y que puedan ser inspeccionados, por lo cual habrá que configurar una ACL de ARP que defina estáticamente las asociaciones MAC a direcciones IP. Los siguientes comandos se aplican a uno o más host y se configuran de la siguiente manera: Switch(config)#arp access-list acl-name Switch(config-acl)#permit ip host sender-ip mac host sender-jnac[log] S witch(config - a c l )#exit
Las ACL deben ser asociadas a DAI a través de los siguientes comandos: Sw i t c h (conf ig)#ip arp inspection filter arp-acl-name vían vlan-range
[static]
Existe una denegación implícita al final de la ACL de ARP: si no se encuentra ninguna coincidencia, la respuesta ARP es considerada inválida. Es posible especificar más validaciones en los contenidos de los paquetes de respuesta ARP. Por defecto sólo se utilizan para la verificación las direcciones MAC y direcciones IP contenidas en los paquetes de respuesta ARP. Esto no significa que las verificaciones de las direcciones MAC sean las reales contenidas en la cabecera ARP. Para que así ocurra y se verifiquen las direcciones MAC para que sean realmente las que vienen listadas dentro del propio paquete de respuesta, se utiliza el siguiente comando: S witch(conf ig)#ip arp inspection validate {[src-mac]
[dst-mac] [ip]}
Habrá que especificar al menos una de las 3 opciones siguientes: • src-mac: compara la dirección MAC de origen en la cabecera Ethemet con la MAC enviada en la respuesta ARP. • dst-mac: compara la dirección MAC de destino en la cabecera Ethemet con la dirección MAC en la respuesta ARP. • ip: verifica la dirección IP del que envía en todas las peticiones ARP, compara la dirección IP del destino con la dirección de destino en todas las respuestas ARP.
www.FreeLibros.com
©RA-MA
CAPÍTULO 18. SEGURIDAD DE ACCESO AL SWITCH
467
El siguiente es un ejemplo de configuración DAI: Switch(config)#ip arp inspection vían 10 Switch(config)#arp access-list dirección S w i t c h (config-acl)#permit ip host 192.168.1.10 mac 0006.5b02.a841 S w i t c h (config-acl)#exit Switch(config)#ip arp inspection filter dirección vían 10 Switch(config)#interface gigabitethernet 0/1 Switch(config-if)#ip arp inspection trust
host
Para la verificación del estado de configuración de DAI puede utilizarse el comando show ip arp inspection.
RECOMENDACIONES PRÁCTICAS DE SEGURIDAD Configuración de contraseñas seguras: siempre que sea posible se debe utilizar el comando enable secret para configurar la contraseña en el modo privilegiado en el switch, de esta manera se obtiene un mecanismo de encriptación (MD5) más seguro que con el obtenido a través del comando enable password. Para que automáticamente las contraseñas sin cifrar sean encriptadas es preciso utilizar el comando Service password-encryption. Se podría utilizar servidores AAA externos para autenticar a los usuarios siempre que sea posible. Los nombres de usuario y contraseña se mantienen externamente de tal manera que no son almacenados ni administrados en el switch. Con un sistema centralizado de usuarios en más escalable que la configuración de cada uno de ellos por separado en cada switch. Utilización de banners del sistema: cuando los usuarios acceden a un switch deberían saber cuáles son las políticas de la organización. Los banners deberían estar configurados con este tipo de información para que los usuarios se notifiquen cada vez que se conectan. El comando banner motd define el texto para que aparezca al conectarse. Deshabilitar los servicios innecesarios o inseguros: los dispositivos Cisco tienen servicios habilitados por defecto que no se utilizarán. Para ajustar aún más la seguridad se deberían definir qué servicios son necesarios en la organización, todo lo que esté en funcionamiento puede ser explotado con fines maliciosos. Un ejemplo típico es el servicio HTTP de los switches Catalyst, que debería deshabilitarse con el comando no ip http Server. De la misma manera otros servicios como service tcp-small-servers, service udp-small-servers, service finger y service config deberían estar deshabilitados.
www.FreeLibros.com
468
REDES CISCO. CCNP a Fondo
©RA-MA
Asegurar la consola del switch: hay muchos entornos en los cuales el switch está aislado físicamente para que nadie pueda conectar un cable de consola, aun así la contraseña de consola debería estar siempre habilitada. Es apropiado utilizar las mismas pautas de autenticación que tengan las líneas VTY. Asegurar el acceso VTY: todas las líneas VTY del switch deben tener control de acceso. Además la utilización de ACL puede limitar el origen de las direcciones IP permitidas vía telnet o SSH. El comando show user all se utiliza para ver cada una de las líneas VTY que se están utilizando para entrar al switch. Utilizar SSH siempre que sea posible: aunque telnet es fácil de configurar y utilizar, no es un método seguro. Cada carácter escrito en telnet viaja en texto plano sin ningún tipo de encriptación. SSH utiliza un método de encriptación seguro y fuerte. Las versiones de IOS, deben ser capaces de soportar este sistema de cifrado. Asegurar el acceso SNMP: para prevenir que usuarios no autorizados ejecuten cambios en la configuración del switch se debería deshabilitar cualquier acceso de lectura escritura SNMP. Los comandos para hacerlo son snmp-server community string RW. Es recomendable la configuración de los comandos de sólo lectura, sumado a ACL con permisos específicos. Asegurar los puertos del switch no utilizados: Cada puerto del switch no utilizado debería estar deshabilitado porque no se espera que ningún usuario se conecte a él. El comando shutdown deja al puerto en un estado de desconexión administrativo. Además el puerto debe ser de acceso evitando que alguien intente negociar un troncal con el switch. Otra opción es asociar los puertos no utilizados a una VLAN aislada. Asegurar las operaciones de STP: un usuario malicioso podría inyectar BPDU de STP para de esa manera estropear la topología de la organización. Siempre debería estar habilitada la característica BPDU Guard de tal forma que los puertos se desactivarían si se recibieran BPDU inesperadas. Asegurar el uso de CDP: por defecto los anuncios de CDP se envían a cada puerto del switch cada 60 segundos. Aunque CDP es una potente herramienta, también enviará información relativa al switch a los posibles atacantes. Sólo debería estar habilitado contra otros dispositivos Cisco confiables. El comando no cdp enable deshabilita el protocolo en las interfaces no deseadas.
www.FreeLibros.com
Capítulo 19
SEGURIDAD CON VLAN LISTAS DE ACCESO VLAN Para controlar el tráfico que pasa a través de un switch pueden utilizarse las ACL. Cuando las ACL normales son configuradas en un Catalyst podrán filtrar el tráfico mediante el uso de la TCAM (Temary Content Addressable Memory): cada ACL se aplica a una interfaz acorde a la dirección de entrada o salida del tráfico. Los paquetes serán filtrados por hardware de manera que no influye en el rendimiento del dispositivo, sólo los paquetes que se intercambian entre VLAN pueden ser filtrados de ésta con este mecanismo. Los paquetes dentro de la misma VLAN no pueden ser filtrados con este proceso multicapa. Las VACL (VLAN ACL) son filtros que pueden afectar el manejo de los paquetes dentro de una misma VLAN.
Configuración de VACL Las VACL (VLAN Access Lists) se configuran a través de una VLAN access map que tiene un formato similar a un route-maps. Una VLAN access map consiste en una o más sentencias con un nombre en común. En principio se debe definir la VACL con el siguiente comando: Switch(config)# vían access-map map-name [sequence-number]
Las sentencias son evaluadas acorde al número de secuencia, cada sentencia puede tener una o más condiciones de coincidencia seguidas de una
www.FreeLibros.com
470
REDES CISCO. CCNP a Fondo
©RA-MA
acción determinada. Posteriormente se definen las condiciones para esas coincidencias que identifican el tráfico para ser filtrado. Las coincidencias se llevan a cabo por las ACL (de cualquier tipo), que deben configurarse de manera independiente. La configuración de una de las condiciones de coincidencia puede ser alguna de las siguientes: Switch(config-access-map)# match ip address {acl-number \ acl-name} Switch(config-access-inap)# match ipx address {acl-number \ acl-name} Switch(config-access-map)# match mac address acl-name
Los comandos pueden repetirse tantas veces como condiciones sean necesarias, la primera coincidencia encontrada desencadenará la acción a tomar. El siguiente comando define la acción a seguir por el access map: Switch(config-access-map)# action {drop | forward [capture] redirect type mod/num}
|
Una VACL puede descartar un paquete que ha coincidido, enviarlo o redireccionarlo hacia otra interfaz. La TCAM lleva a cabo la acción de coincidencia en la VACL. Por último, la VACL se debe aplicar a una VLAN con el siguiente comando: Switch(config)# vían filter map-name vlan-list vlan-list
Las VACL se aplican globalmente a una o más VLAN listadas y no a una interfaz VLAN (SVI). Tomando en cuenta que la VACL funciona dentro de la VLAN, no es necesario aplicar dirección de entrada o salida del tráfico porque es para el propio tráfico dentro de la VLAN. Por ejemplo, cuando se quiere filtrar tráfico en la VLAN 99 de tal manera que el host 192.168.99.7 no tenga permiso para contactar con otro host en su red local. La ACL denominada CCNP es creada para identificar el tráfico entre este host y cualquier otro host dentro de su subred. Cuando la VLAN access map esté definida de forma que la ACL local permita el tráfico IP, el paquete es descartado. Todo otro tráfico es enviado. Switch(config)# ip access-list extended CCNP Switch(config-acl)# permit ip host 192.168.99.17 192.168.99.0 0.0.0.255 Switch(config-acl)# exit Switch(config)# vían access-map block 10 Switch(config-access-map)# match ip address local Switch(config-access-map)# action drop Switch(config-access-map)# vían access-map block 20 Switch(config-access-map)# action forward Switch(config-access-map)# exit Switch(config)# vían filter block vlan-list 99
www.FreeLibros.com
CAPÍTULO 19. SEGURIDAD CON VLAN
©RA'MA
471
VLAN PRIVADAS Generalmente el tráfico se permite sin ningún tipo de restricción dentro de la misma VLAN. Los paquetes son enviados desde un host hacia otro y normalmente son recibidos por el host de destino, gracias a la naturaleza de capa 2 que tienen los switches. Pero si un host envía un paquete de broadcast, todos los demás host dentro de la misma VLAN lo recibirán. Una VACL puede filtrar los paquetes entre un origen y los destinos en la misma VLAN si ambos están conectados al mismo switch. Es muy útil poder segmentar tráfico en una VLAN sin tener que utilizar múltiples VLAN y un router. Las PVLAN (Prívate VLAN) solucionan este problema. Sintéticamente se puede decir que una VLAN normal puede estar lógicamente asociada con una VLAN secundaria, los host asociados con la VLAN secundaria podrán comunicarse con la VLAN primaria (por ejemplo, con un router) pero no con otros de la VLAN secundaria. Una VLAN secundaria se configura como uno de los siguientes tipos: •
Isolated (aislada): cualquier puerto asociado con una VLAN aislada podrá alcanzar la VLAN primaria, pero no podrá alcanzar otro puerto en la VLAN secundaria. En suma, los host asociados con la misma están aislados entre sí pero no de la VLAN primaria. -
•
Community: cualquier puerto asociado con una VLAN community puede comunicarse con otros y además con la VLAN primaria, pero no podrá comunicarse con cualquier otra VLAN secundaria. Esto proporciona una segmentación básica para granjas de servidores y grupos de trabajo dentro de una organización, ofreciendo un aislamiento entre organizaciones.
Todas la VLAN secundarias deben estar asociadas con una VLAN primaria para llevar a cabo una relación unidireccional. Las PVLAN están configuradas utilizando como base VLAN normales, pero VTP no envía información sobre las PVLAN por lo que éstas son sólo significativamente locales al switches. Cada una de las PVLAN tiene que configurarse localmente en cada uno de los switches que están interconectados. Cada puerto del switch que utiliza una PVLAN debe configurarse con una asociación de VLAN; también el puerto debe definirse en alguno de los siguientes modos:
www.FreeLibros.com
472
REDES CISCO. CCNP a Fondo
©RA-MA
•
Promiscuo: el puerto del switch se conecta a un router, firewall o algún dispositivo que hace las veces de gateway. El puerto puede comunicarse con cualquier dispositivo conectado ya sea VLAN primarias o secundarias. Las reglas de las PVLAN son ignoradas.
•
Host: el puerto del switch está conectado a un host normal que reside en una VLAN aislada o community. El puerto sólo se comunica con puertos promiscuos o con puertos de la misma VLAN community.
La siguiente figura muestra la operación básica de la PVLAN, en la imagen se muestran algunos PC conectados a una VLAN community secundaria, las dos VLAN community están asociadas con una VLAN primaria donde se conecta el router. El router se conecta a un puerto promiscuo en la VLAN primaria y un host se conecta a una VLAN secundaria aislada de tal manera que sólo podrá comunicarse con los routers en el puerto promiscuo. VLAN Primaria
VLAN 10 1A v l a n T o 'T/2
2/1
VLAN SOl/T
VLA[ ^20j/T /LAN 20 1/5
i
Configuración de PVLAN El primer paso en la configuración de la PVLAN es definir alguna VLAN secundaria, para ello se utiliza el siguiente comando: Switch(config)# vían vlan-id Switch(config-vlan)# private-vlan {isolated | community}
La VLAN secundaria puede ser isolated o community, lo siguiente es definir la VLAN primaria: Switch(config)# vían vlan-id Switch(config-vlan)# private-vlan primary Switch(config-vlan)# private-vlan association {secóndary-vlan-list \ add secondary-vlan-list | remove secondary-vlan-list}
La VLAN primaria debe estar correctamente asociada con todas la VLAN secundarias utilizando el parámetro association. Si la VLAN primaria ya ha sido
www.FreeLibros.com
CAPÍTULO 19. SEGURIDAD CON VLAN
©RA-MA
473
configurada, se podrá añadir sólo el parámetro remove para la asociaciones individuales. Estos comandos de configuración de VLAN sólo proporcionan los mecanismos para brindar conectividad unidireccional desde la VLAN secundaria a la primaria. También se debe asociar cada puerto del switch individual con sus VLAN privadas respectivas.
Asociación de puertos con PVLAN Una vez definida la función del puerto que participará en la PVLAN puede configurarse con el siguiente comando: S w i t c h ( config-if)#
switchport mode private-vlan {host | promiscuous}
Si el host conectado a este puerto es un router o firewall o un gateway para la VLAN, se utiliza el parámetro promiscuous para que el host sea alcanzable por otros puertos asociados con la VLAN primaria. Para los puertos en modo isolated o community se utiliza el parámetro host. Para un puerto no promiscuo se debe asociar el puerto del switch con la VLAN primaria o secundaria apropiada. Hasta ahora sólo se han configurado las PVLAN, el puerto del switch tiene que saber cómo interactuar con los diferentes tipos de VLAN a través de los siguientes comandos: Switch(config-if)# switchport private-vlan host-association primaryvlan-id secondary-vlan-id
Cuando un puerto del switch se asocia a una PVLA no hay que configurarlo como un puerto de acceso a una VLAN estática. El puerto toma posesión de la VLAN primaria y secundaria de manera simultánea, pero esto no significa que participará en múltiples VLAN sino que tomará un comportamiento unidireccional entre la VLAN secundaria y la VLAN primaria. Un puerto promiscuo se debe asociar a la VLAN primaria y a la VLAN secundaria. Estos puertos pueden comunicarse con cualquier otro dispositivo en una PVLAN. Los puertos en modo promiscuo exhiben un comportamiento bidireccional mientras que los puertos en VLAN secundarias exhiben un comportamiento en modo unidireccional. Este es un comportamiento lógico. El siguiente comando asocia puertos en modo promiscuo a VLAN primarias y secundarias: Switch(config-if)# switchport private-vlan mapping primary-vlan-id secondary-vlan-list | {add secondary-vlan-list} | {remove secondaryvlan-list}
www.FreeLibros.com
474
REDES CISCO. CCNP a Fondo
©RA-MA
Como ejemplo, en la figura anterior, el switch está configurado con la sintaxis que sigue. Los PC en los puertos Fast 1/1 y 1/2 están en una comunidad VLAN 10 y los puertos Fast 1/4 y 1/5 están en la comunidad VLAN 20 y el host en Fast 1/3 está aislado en la VLAN 30. El router está en el modo promiscuo en la VLAN primaria. Cada VLAN tiene asignado un rol y la primaria está asociada con la secundaria. Cada puerto está asociado a una VLAN determinada. Switch(config)# vían 10 Switch(config-vlan)# private-vlan community Switch(config)# vían 20 Switch(config-vlan)# private-vlan community Switch(config)# vían 30 Switch(config-vlan)# private-vlan isolated Switch(config)# vían 100 Switch(config-vlan)# private-vlan primary Switch(config-vlan)# private-vlan association 10,20,30 Switch(config-vlan)# exit Switch(config)# interface range fastethernet 1/1 - 1/2 Switchconfig# switchport private-vlan host Switch(config-if)# switchport private-vlan host-association 100 10 Switch(config)# interface range fastethernet 1/4 - 1/5 Switchconfig# switchport private-vlan host Switch(config-if)# switchport private-vlan host-association 100 20 Switch(config)# interface fastethernet 1/3 Switchconfig# switchport private-vlan host Switch(config-if)# switchport private-vlan host-association 100 30 Switch(config)# interface fastethernet 2/1 Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 100 10,20,30
Asociación de VLAN secundarias y primarias SVI En las SVI (Switched Virtual Interfaces) o interfaces de VLAN configuradas como interfaces de capa 3 se deben configurar algunas asociaciones adicionales para las PVLAN. Considerando la SVI para una PVLAN 100 que tiene una dirección IP y participa en el tráfico de enrutamiento, las VLAN secundarias 40, que están aisladas y la 50, que es comunitaria, están asociadas en capa 2 con la PVLAN según muestra la sintaxis siguiente: Switch(config)# vían 40 Switch(config-vlan)# private-vlan isolated vían 50 Switch(config-vlan)# private-vlan community vían 200 Switch(config-vlan)# private-vlan primary Switch(config-vlan)# private-vlan association 40,50 Switch(config-vlan)# exit Switch(config)# interface vían 200 Switch(config-if)# ip address 192.168.199.1 255.255.255.0
www.FreeLibros.com
©RA-MA
CAPÍTULO 19. SEGURIDAD CON VLAN
475
La VLAN primaria 200 puede enviar tráfico de capa 3 pero las asociaciones de VLAN secundarias sólo funcionarán a nivel de capa 2. Para permitir tráfico de capa 2 a capa 3 desde las VLAN secundarias se debe añadir una asociación de PVLAN hacia la interfaz SVI utilizando el siguiente comando: S w i t c h (config-if)# private-vlan mapping {secondary-vlan-list \ add secondary-vlan-list | remove secondary-vlan-list}
La función de la VLAN SVI primaria es extender las VLAN secundarias en lugar de utilizar o extender SVI para cada una de ellas. Si varias asociaciones ya se han establecido y han sido configuradas para la VLAN SVI primaria, se pueden utilizar los parámetros add o remove para añadir asociaciones secundarias. El ejemplo muestra una asociación de la PVLAN: Switch(config)# interface vían 200
Switch(config-iff)# private-vlan mapping 40,50
SEGURIDAD EN LOS ENLACES TRONCALES Switch Spoofing Como se ha visto en capítulos anteriores, dos switches pueden estar conectados a través de enlaces troncales para llevar tráfico de múltiples VLAN. El troncal no tiene por qué estar siempre presente, los switches dinámicamente lo pueden negociar mediante el intercambio de mensajes DTP (Dynamic Trunking Protocol). Si bien DTP puede facilitar la administración del switch, se expone a que los puertos del switch queden comprometidos. Si un puerto mantiene su configuración por defecto donde el trunk está en auto, podría ser indagado por un puerto de otro switch también en auto u on enlazando entonces un troncal. Cuando un PC de usuario está conectado en ese puerto nunca se utilizaría DTP, de tal forma que el puerto funcionaría en modo acceso de una VLAN determinada. Un usuario malicioso podría explotar el uso de DTP e intentar negociar un troncal, lo que haría aparecer el PC como un switch. Una vez que el troncal se negocia el atacante tendrá el acceso a las VLAN permitidas por ese troncal. El atacante puede recibir cualquier tipo de tráfico enviado por cualquiera de las VLAN del troncal y enviar tráfico por cualquiera de ellas.
www.FreeLibros.com
476
REDES CISCO. CCNP a Fondo
©RA-MA
La siguiente sintaxis muestra la configuración del puerto del switch por defecto, dynamic auto, de tal manera que está esperando la negociación de algún dispositivo DTP conectado. Switch# show interfaces fastethernet 1/0/46 switchport Ñame: Fal/0/46 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: trunk Administrative Trunking Encapsulation: negotiate Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dotlq Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none
La solución a esta situación consiste en configurar todos los puertos del switch de la manera que se espera que funcione y dejar los no utilizados apagados o shutdown. Por ejemplo, en lugar de dejar los puertos en modo auto para el caso de que sean puertos de usuario, configurarlos manualmente en modo de acceso evitando tráfico malicioso: Switch(config)# interface type mod/num Switch(config-if)# switchport access vían vlan-id Switch(config-if)# switchport mode access
VLAN Hopping Cuando se está asegurando un troncal se debe tener en cuenta el mecanismo de ataque llamado VLAN hopping. Consiste en que un atacante posicionado en una VLAN de acceso puede enviar tramas con etiquetas 802.1Q falsas, sin la necesidad de un router, de tal manera que los paquetes parecerán de una VLAN completamente diferente.
www.FreeLibros.com
CAPÍTULO 19. SEGURIDAD CON VLAN
©RA-MA
477
Para que este mecanismo pueda aplicarse se deben cumplir las siguientes condiciones:
•
El atacante debe estar conectado a un puerto de acceso del switch.
•
El switch tiene que estar configurado con un troncal 802.1Q.
•
El troncal debe tener la VLAN de acceso del atacante configurada como VLAN nativa.
La siguiente figura muestra cómo trabaja VLAN Hopping: el atacante en la VLAN 10 envía tramas doblemente etiquetadas como si se utilizara 802.1Q, naturalmente el atacante no está en un enlace troncal. El intento consiste en engañar al switch como si el enlace fuera un troncal a través de las etiquetas falsas 802.1Q y de la VLAN a donde se quiere llegar. ' VLAN A ;H oppin gV
Switch Local
Switch Remoto
Cuando el switch local recibe tramas doblemente etiquetadas decide enviarlas a través de las interfaces troncales. Como la primera etiqueta tiene el mismo VLAN ID de la nativa del atacante, se elimina de la trama y se envía al troncal. El switch entiende que la VLAN nativa debe permanecer no etiquetada. Cuando el switch remoto recibe la trama examina la etiqueta 802.1Q antes de quitarla descubriendo la etiqueta falsa de la VLAN 20. El switch envía la trama normalmente hacia la VLAN 20. Ahora el atacante puede enviar sin problemas tramas de la VLAN 10 ocultas hacia la VLAN 20. Todo el proceso mediante conmutación de capa 2.
www.FreeLibros.com
478
REDES CISCO. CCNP a Fondo
©RA-M A
La clave para este tipo de ataque se basa en el uso de VLAN nativas no etiquetadas. Para solucionar este tipo de ataques se pueden seguir los siguientes pasos: •
Configurar la VLAN nativa como una VLAN falsa o una que no esté en uso.
•
Recortar la VLAN nativa de los enlaces del troncal.
Si el troncal sólo debe llevar las VLAN 10 y 20, se debería configurar la VLAN nativa con un valor de una VLAN que no se esté utilizando, por lo tanto, la VLAN nativa podría recortarse del troncal configurándolo en el propio enlace según muestra la siguiente sintaxis: Switch(config)# vían 500 Switch(config-vlan)# ñame CCNP_nativa Switch(config-vlan)# exit Switch(config)# interface gigabitethernet 1/1 Switch(config-if)# switchport trunk encapsulation dotlq Switch(config-if)# switchport trunk native vían 800 Switch(config-if)# switchport trunk allowed vían remove 800 Switch(config-if)# switchport mode trunk
Otra alternativa es forzar a los troncales 802.1Q para añadir etiquetas a la VLAN nativa, de esta manera el ataque VLAN Hopping no funcionará porque el switch no eliminará la primera etiqueta de la VLAN nativa etiquetada. Para forzar al switch a etiquetar la VLAN nativa se utiliza el siguiente comando: Switch(config)# vían dotlq tag native
www.FreeLibros.com
Capítulo 20
REDES INALÁMBRICAS INTRODUCCIÓN A LAS WIRELESS LAN Una red Ethemet tradicional está definida en los estándares IEEE 802.3. Cada conexión Ethemet tiene que operar bajo unas condiciones controladas, especialmente en lo que se refiere al enlace físico. Tanto el estado, la velocidad y el modo de Dúplex deben operar tal como lo describe el estándar. Las redes inalámbricas están constituidas de una manera similar, pero definidas en el estándar IEEE 802.11. Los dispositivos Ethemet cableados tienen que recibir y transmitir tramas Ethemet acordes al protocolo CSMA/CD (Carrier Sense Múltiple Access/Collision Detect) en un segmento de red compartido donde los host se comunican de modo Half Dúplex: cada host puede hablar libremente y posteriormente escuchar si hay colisiones con otros dispositivos que también están intentando hablar. El proceso completo de detectar colisiones en conexiones cableadas de una longitud máxima funciona también cuando la trama viaja desde un origen a un destino antes de llegar al extremo final. Los enlaces Ethemet Full Dúplex o conmutados no sufren colisiones ni compiten por el uso del ancho de banda, aunque siguen las mismas normas que Half Dúplex. Aunque las redes inalámbricas se basan en el mismo mecanismo, el medio wireless es más difícil de controlar. Cuando un PC comparte un segmento de red, lo hace con un número conocido de host; cuando el mismo PC utiliza una red wireless utiliza la atmósfera como medio en la capa de acceso, al igual que otros usuarios que son libres de utilizarla.
www.FreeLibros.com
480
REDES CISCO. CCNP a Fondo
©RA-MA
Un WLAN (Wireless LAN) utiliza un medio compartido donde un número indeterminado de host puede competir por el medio en cualquier momento. Las colisiones son un hecho constante en una WLAN porque está en modo Half Dúplex y siempre dentro de la misma frecuencia. Sólo una estación puede transmitir en un determinado momento de tiempo. Para lograr el modo Full Dúplex todas las estaciones que transmiten y las que reciben deberían hacerlo en frecuencias diferentes. Operación no permitida en IEEE 802.11.
Colisiones WLAN Cuando dos o más estaciones wireless transmiten al mismo tiempo las señales se mezclan, las estaciones receptoras verán el resultado como errores, ruidos o datos incorrectos. Como mecanismo de comprobación cuando una estación trasmite una trama la estación receptora debe responder con un ACK para dar aviso de la correcta recepción de la trama. Las tramas ACK sirven como un medio rudimentario para la detección de colisiones, pero no logra prevenirlas. El estándar IEEE 802.11 utiliza un método preventivo llamado CSMA/CA (Carrier Sense Múltiple Access Collision Avoidance). Mientras que las redes cableadas detectan las colisiones, las redes inalámbricas intentan evitarlas. Todas las estaciones deben escuchar antes de poder transmitir una trama. Cuando una estación necesita enviar una trama pueden cumplirse estas dos condiciones: •
Ningún otro dispositivo está transmitiendo. La estación puede transmitir su trama de inmediato. La estación receptora debe enviar una trama ACK para confirmar que la trama original llegó bien y libre de colisiones.
•
Otro dispositivo está en ese momento transmitiendo una trama. La estación tiene que esperar hasta que la trama en progreso se haya completado. La estación espera un período aleatorio de tiempo para transmitir su propia trama.
Además de este proceso las estaciones deben esperar un tiempo aleatorio antes de transmitir llamado DCF Interframe Space (DIFS); si hay más de una estación esperando para transmitir no generarán colisiones. Las estaciones chequean las cabeceras con la información del tiempo y esperan antes de transmitir sus tramas. Como todas las estaciones interpretan el mismo tiempo contenido en la
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
©RA-MA
481
trama transmitida, cada una de ellas decidirá si transmite o no su propia trama. Al tiempo específico contenido en la trama emisora se le suma otro período aleatorio antes de transmitir su propia trama. Todo este proceso es llamado DCF (Distributed Coordination Function) y aunque el tiempo es aleatorio siempre existe la posibilidad de que dos o más estaciones elijan el mismo valor para ese período. No existe ningún otro mecanismo que evite transmisiones simultáneas que generen una colisión. A partir de una colisión las estaciones no recibirán los ACK y tendrán que enviar sus tramas nuevamente. Las tramas están constantemente en el aire y cualquiera puede recibirlas.
CONSTRUCCIÓN DE BLOQUES WLAN Una red wireless básica no comprende ningún tipo de organización; un PC con capacidad wireless puede conectarse en cualquier parte y en cualquier momento. Naturalmente debe existir algo más que permita enviar o recibir sobre el medio inalámbrico antes de que el PC pueda comunicarse. En la terminología 802.11 un grupo de dispositivos wireless se llama SSID (Service Set Identifier), que es una cadena de texto incluida en cada trama que se envía. Si hay coincidencia entre receptor y emisor se produce el intercambio. El PC se convierte en cliente de la red wireless y para esto debe poseer un adaptador inalámbrico y un software que interactúen con los protocolos wireless. El estándar 802.11 permite que dos clientes wireless se comuniquen entre sí sin necesidad de otros medios de red, conocido como red ad-hoc o Independent Basic Service Set (IBSS). Como muestra la siguiente figura:
www.FreeLibros.com
482
REDES CISCO. CCNP a Fondo
©RA-M A
No existe control incorporado sobre la cantidad de dispositivos que pueden transmitir y recibir tramas sobre un medio wireless. También dependerá de la posibilidad de que agentes externos permitan transmitir a otras estaciones sin dificultad, lo que hace que proporcionar un medio adecuado wireless sea difícil. BSS (Basic Service Set) centraliza el acceso y controla sobre el grupo de dispositivos inalámbricos utilizando un AP (Access Point) como un concentrador del Service Set. Cualquier cliente wireless intentando usar la red tiene que completar una condición de membresía con el AP. El AP o punto de acceso lleva a cabo ciertas consideraciones antes de permitir transmitir a la estación: •
EL SSID debe concordar.
•
Una tasa de transferencia de datos compatible.
•
Las mismas credenciales de autenticación.
La membresía con el AP se llama asociación, el cliente debe enviar un mensaje de petición de asociación. El AP permite o deniega la asociación enviando un mensaje de respuesta de asociación. Una vez asociadas todas las comunicaciones desde y hacia el cliente pasarán por el AP. Los clientes ahora no pueden comunicarse directamente con otros sin la intervención del AP.
Un AP es un concentrador pero no es pasivo como un hub Ethemet, gestiona y administra la red wireless anunciando su propia presencia para que los clientes puedan asociarse y controla el proceso de la comunicación. Es además responsable de enviar los ACK a las estaciones que están enviando.
www.FreeLibros.com
CAPITULO 20. REDES INALÁMBRICAS
©RA-MA
483
Un AP puede funcionar como un uplink hacia una red Ethemet porque dispone de capacidad inalámbrica y de cableado. Los AP situados en sitios diferentes pueden estar conectados entre ellos con una infraestructura de switching. Esta topología recibe el nombre en el estándar 802.11 ESS (Extended Service Set).
En ESS un cliente puede asociarse con un AP, pero si el cliente se mueve a una localización diferente puede intercambiarse con otro AP más cercano.
Funcionamiento de un AP La función primaria del AP es puentear datos wireless del aire hasta la red tradicional cableada. Un AP puede aceptar conexiones de un número de clientes wireless de tal manera que éstos se convierten en miembros de la LAN como si fueran conexiones cableadas. Un AP también puede actuar como un bridge formando un enlace inalámbrico desde una LAN hacia otra en largas distancias. Los enlaces entre los AP son utilizados normalmente para conectividad entre edificios. Cisco ha desarrollado una plataforma AP que puede puentear redes desde un AP hacia otro AP en grandes distancias externas.
www.FreeLibros.com
484
REDES CISCO. CCNP a Fondo
©RA-MA
E n la c e tro n ca l V LA N 200 VLA N 400
SSID "Desarrollo" I
Los AP actúan como un punto central controlando el acceso de los clientes a la red LAN. Cualquier intento de acceso a la WLAN debe establecer inicialmente conexión con el AP, quien permitirá un acceso abierto o restringido según las credenciales de autenticación. Los clientes deben efectuar un saludo de dos vías antes de asociarse. El AP puede solicitar más condiciones antes de la asociación, antes de permitir el acceso al cliente, como credenciales específicas o volumen de datos. El AP puede compararse con un mecanismo de traducción donde las tramas de un medio son enviadas a otro en capa 2; también asocia el SSID a una o múltiples VLAN, como se muestra en la figura anterior.
Celdas WLAN Un AP puede proporcionar conectividad WLAN solamente a los clientes dentro de su cobertura, la señal está definida por la emisión que pueda tener la antena. En un espacio abierto podría describirse como una forma circular alrededor
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
©RA-MA
485
de la antena omnidireccional. El patrón de ondas emitidas tiene tres dimensiones, afectando también a los pisos superiores e inferiores de un edificio. La ubicación de los AP tiene que estar cuidadosamente planificada para proporcionar cobertura en toda el área necesaria. El hecho de que los clientes sean móviles hace que la cobertura de los AP sea diferente a lo que se espera debido a los objetos que puedan interponerse entre ellos y las antenas. El área de cobertura del AP se denomina celda. Los clientes dentro de una celda pueden asociarse con el AP y utilizar libremente la WLAN.
Celda
C lie n te fuera del rango
La celda está limitando la capacidad de operación de los clientes a su radio de cobertura. Para expandir el área total de la cobertura WLAN pueden sumarse más celdas en zonas cercanas simplemente distribuyendo los AP en dichas zonas. La idea es que la suma de las celdas pueda cubrir cada una de las áreas donde un cliente esté localizado.
www.FreeLibros.com
486
REDES CISCO. CCNP a Fondo
©RA-MA
Los clientes pueden moverse desde una celda AP a otra y sus asociaciones se van pasando de un AP a otro, mecanismo llamado roaming. Los datos que se están confiando en un AP una vez que el cliente se mueve de celda deben ser confiados por el nuevo AP. Esto minimiza la posibilidad de pérdidas de datos durante el proceso de roaming. Un buen diseño de una red WLAN intenta aprovechar al máximo la cobertura de un AP minimizando la cantidad de puntos de acceso necesarios para cubrir una zona determinada reduciendo a su vez el coste de la instalación. También es importante recordar que el medio es Half Dúplex y que a mayor cantidad de usuarios menor ancho de banda disponible. Para entornos seguros el tamaño de la celda se reduce en microceldas o picoceldas bajando la potencia del AP.
RADIOFRECUENCIA EN WLAN Las comunicaciones por R F (Radiofrecuencia) comienzan con una oscilación transmitida desde un dispositivo que será recibida en uno o varios dispositivos. Esta oscilación de la señal se basa en una constante llamada frecuencia. El transmisor y el receptor deben estar en la misma frecuencia para transmitir la misma señal. La estación trasmisora tiene un dispositivo transmisor unido a* una antena, y al igual que el receptor, que recibe la señal a través de su antena. Un rango de frecuencias se llama banda, como el utilizado en estaciones de radio de AM (Amplitud Modulada) o FM (Frecuencia Modulada). Muchas comunicaciones de WLAN ocurren dentro de la banda de 2,4 GHz comprendido en un rango de 2,412 a 2,484 GHz; mientras que otras utilizan una banda de 5 GHz en un rango de 5,150 a 5,825 GHz. La señal emitida por una estación wireless se llama portadora (carrier) es una señal constante a una determinada frecuencia. Una estación de radio que sólo transmite la portadora no está emitiendo datos de ningún tipo. Para agregar información, el transmisor debe modular la portadora para insertar la información que desea transmitir. Las estaciones receptoras deben revertir el proceso demodulando la portadora para recuperar la información original. Los métodos de modulación pueden ser diferentes según hagan variar la frecuencia o la amplitud de la señal portadora. Las WLAN utilizan unas técnicas de modulación más complejas porque sus volúmenes de datos son mayores que los de audio.
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
©RA'M A
487
El principio de la modulación WLAN es empaquetar tantos datos como sean posibles dentro de una señal y de esa manera minimizar las posibles pérdidas por interferencias o ruidos. Cuando los datos se pierden deben ser retransmitidos utilizando más recursos. Aunque el receptor espera encontrar la portadora en una frecuencia fija, la modulación hace que la portadora varíe cada cierto tiempo. Esta variación de la frecuencia de la portadora se llama canal, a la que se hace referencia con un tipo de numeración. Los canales WLAN están definidos en el estándar 802.11. Las características de una señal de RF pueden variar según el medio que atraviesa, por interferencias electromagnéticas, ruidos, señales de otras RF, etc. Algunas de estas causas son las siguientes: •
Reflexión: la RF viaja a través del aire como una onda, si se encontrase con un material reflectivo la señal puede ser reflejada o rebotada.
•
Refracción: cuando la señal RF atraviesa cuerpos de diferentes densidades puede ser refractada, reduciendo la calidad y la velocidad de la onda.
www.FreeLibros.com
488
REDES CISCO. CCNP a Fondo
©RA-MA
•
Absorción: cuando una señal de RF atraviesa un material que pueda absorber su energía la señal será atenuada; cuanto más denso sea el material más atenuación sufrirá la señal.
•
Dispersión: cuando la señal RF se topa con un medio muy denso o irregular puede dispersarse en diferentes direcciones.
.Mmmm
•
Difracción: cuando la señal de RF se topa con un objeto que puede interrumpir o absorber intensidad podría crear una zona muerta en la cobertura.
•
Zonas de Fresnel: uno de los factores que influyen en una señal de radio es la distancia que debe sortear hasta el destino. Técnicamente la zona Fresnel es el volumen de espacio entre emisor y receptor de RF, de manera que el desfase entre las ondas en dicho volumen no supere los 180°.
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
©RA-MA
489
ni Algunos de los factores que se deben tener en cuenta en las zonas Fresnel pueden ser: •
Utilización de antenas correctas.
•
Ausencia de condiciones climatológicas adversas.
•
Visión directa.
•
Altura correcta de las antenas.
Medición de la señal de radio frecuencia Una señal de RF puede ser medida en función de su potencia o energía en unidades de Watts (W) o miliwatt, que es una milésima parte de un Watt. Por ejemplo, un teléfono móvil puede tener una potencia aproximada de 200 mW y un punto de acceso WLAN entre 1 y 100 mW. Los valores de potencia pueden variar en un amplio rango, las comparaciones y los cálculos son complicados. Los decibelios (dB) se utilizan para manejar volúmenes de potencia a partir de una referencia conocida. Son logaritmos representados en un amplio rango de valores en una escala lineal. Para el cálculo del volumen de potencia en dB sé utiliza la siguiente fórmula:
dB = 10 log 10
P.señal ^referencia J
www.FreeLibros.com
490
REDES CISCO. CCNP a Fondo
©RA-MA
Donde la señal de referencia puede ser comparada en 1 mW o en 1 W. Para cualquiera de los casos la abreviatura de los decibelios puede ser: •
dBm, referenciada con 1 Mw
•
dBw, referenciada con 1 W
La potencia utilizada en las WLAN ronda los 100 mW o menos, por lo tanto se utiliza la abreviatura dBm.
Pérdida de señal Cuando una señal de RF deja el transmisor incluso antes de que alcance la antena, está sujeta a influencias externas que pueden reducir su intensidad. Esta pérdida de señal puede proceder de cualquiera de estos factores: •
Pérdida provocada por el cable desde el transmisor a la antena.
•
Pérdida de espacio libre a medida que la señal viaja por el aire.
•
Obstáculos externos.
•
Interferencias y ruidos externos.
•
Pérdida provocada por el cable desde la antena al receptor.
Estas pérdidas son acumulativas trabajando juntas y degradando la señal. La pérdida de extremo a extremo se llama “pérdida de camino”. Las interferencias externas debido a la existencia de otras instalaciones inalámbricas y la distancia entre transmisor y receptor pueden ser un problema. La potencia de una transmisión RF es inversamente proporcional al cuadrado de la distancia hasta el origen, lo que significa que el nivel de la señal cae rápidamente cuanto más lejos esté el receptor.
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
© r A-MA
491
El siguiente cuadro describe la pérdida de señal según la distancia:, Distancia
Potencia
dBm
1m
100 m W
+ 20 dBm
5m
4.0 m W
+ 6 dBm
10 m
1.0 m W
0 dBm
25 m
0.16 m W
- 8 dB m
50 m
0.04 m W
- 1 4 dBm
100 m
0.01 m W
- 2 0 dB m
Ganancia de la señal Una señal de RF también puede estar influida por factores que incrementen notablemente su potencia. La ganancia total de señal puede ser producida por la ganancia de la antena del transmisor y la ganancia de la antena del receptor. Una antena no puede agregar potencia a la señal por sí misma, pero puede focalizar la energía RF dentro de un patrón más estrecho. La ganancia de la antena también es un mecanismo para calcular la potencia de la señal de RF. Una antena isotrópica es aquella que es capaz de propagar la señal en todas las direcciones equitativamente. La imposibilidad de focalizar la energía RF hace que sea un estándar para la comparación de ganancia. La unidad de ganancia de las antenas se da normalmente en dBi. El cálculo de los dBi se efectúa con la misma fórmula que los dB tomando en cuánta que la referencia viene de una antena isotrópica. La potencia real de la señal transmitida dependerá del tipo de antena y de la longitud del cable desde el transmisor/receptor hacia la antena. Un cálculo más realista de la potencia se puede efectuar con el llamado EIRP (Effective Isotropic Radiated Power). Para calcular la EIRP se debe añadir la potencia del transmisor (en dBm) a la ganancia de la antena del transmisor (dBi) menos la pérdida provocada por el cable (db).
www.FreeLibros.com
492
REDES CISCO. CCNP a Fondo
©RA-M A
Finalmente, la ganancia total del sistema será la suma de lasganancias y la resta de las pérdidas.Si el resultado total es igual al resultado total de laspérdidas, el receptor estará fuera del rango: Ganancia total = Potencia transmitida (dBm) + Ganancia de la antena transmisora (dBi) + Ganancia de la antena receptora (dBi) - Pérdida del cable transmisor (dB) - Pérdida del cable receptor (dB) - Sensibilidad del receptor (dB)
ANTENAS WLAN Existe una gran variedad de tipos y modelos de antenas WLAN, las más conocidas son las siguientes: Antena omnidireccional: pueden adoptar forma de un cilindro alargado, son plegables dependiendo del montaje del punto de acceso. Otro tipo de antena omnidireccional es la tipo dipolo incorporada dentro de los propios AP. Estas antenas propagan la señal equitativamente en todas las direcciones en un plano pero no a lo largo de la longitud de la antena. Es adecuada para una habitación grande porque distribuye la señal de manera igualitaria. La ganancia de esta antena suele ser de 2 dBi. Antena semidirecional: cubren un área amplia alargada y son adecuadas para cubrir espacios alargados donde la antena se localiza en un extremo del área. También se utilizan para cubrir zonas exteriores desde el edificio hacia afuera. Tienen un patrón de emisión ovalado y su ganancia va desde 6 a 8 dBi; las antenas tipo Yagui tienen una ganancia de 10 a 20 dBi.
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
©RA-MA
493
Antena direccional: una señal de RF en largas d istan cias debe ser propagada en una línea imaginaria sin interrupciones. Las antenas direccionales y las altamente direccionales están construidas para esta función. Focalizan la señal en un patrón elíptico alargado y delgado. Se utiliza normalmente para enlaces entre edificios. Las antenas parabólicas utilizan un disco para focalizar la señal recibida dentro de una antena montada en el centro. Esta antena es la que mayor ganancia tiene de todas, 22 dBi.
TRAMAS WLAN Cualquier dispositivo asociado a los estándares 802.11 tiene que utilizar cierto tipo de tramas para comunicarse dentro de las redes WLAN. Algunas tramas son utilizadas por clientes wireless mientras que otras son para uso del AP. Las tramas pueden clasificarse en: •
•
•
Tramas de gestión: se utilizan para gestionar los mensajes de la WLAN y la asociación de los clientes. Este tipo de trama incluye: o
Transmisiones anunciando el AP y sus parámetros wireless.
o
Asociación de clientes, reasociación y disociaciones.
o
Autenticación y desauntenticación de clientes.
Tramas de control: utilizadas para controlar las asociaciones del cliente con el AP, incluyen: o
Sonda de petición y respuesta, cuando un cliente solicita información acerca del AP.
o
Mensajes RTS y CTS cuando el AP tiene que intervenir para evaluar tramas de diferentes valores.
Tramas de datos: se envían desde cualquier dispositivo wireless. Generalmente contienen los datos o la carga útil.
Las tramas WLAN tienen una cabecera de 32 bytes y un FCS (Frame Check Sequence) de 4 bytes. Las direcciones de origen y destino contenidas en las tramas es una dirección MAC 48 bits, como en Ethemet 802.3. Las tramas de gestión incluyen un campo BSSID (Basic Service Set Identifier) de 48 bits.
www.FreeLibros.com
494
REDES CISCO. CCNP a Fondo
©RA-MA
ESTÁNDARES WLAN Todos los estándares WLAN están incluidos en las series IEEE 802.11. Definen la operación de capa 1 y de capa 2, que incluye las frecuencias, los canales wireless, el rendimiento, la seguridad, la movilidad, etc.
Agencias reguladoras La frecuencia de las WLAN utiliza una banda que no tiene licencias lo que permite a cualquiera utilizarla sin ningún permiso. Pero existe una regulación que establece reglas sobre qué frecuencias están disponibles y qué potencias se pueden utilizar. Algunas de las agencias reguladoras pueden ser: • Federal Communications Commission (FCC, http://www.fcc.gov) • Electrical and Electronics Engineers (IEEE, http://www.ieee.org). • European Telecommunications Standard Institute (ETSI, http://www.etsi.org). Existen otras organizaciones que ofrecen ayuda e información para desarrolladores y usuarios como: •
La alianza Wi-Fi (http://www.wi-fi.com).
•
La alianza Wireless Ethernet Compatibility (WECA).
•
La asociación WLANA (http://www.wlana.org).
802.11b El estándar 802.11b define el uso de WLAN en la banda de 2,4 GHz (de 2,4 a 2,5 GHz). La FCC permite a las WLAN utilizar solamente el rango específico de 2,4 a 2,4835 GHz. La banda de 2,4 GHz es conocida como ISM (Industrial, Scientific, and Medical). Consiste en 14 canales de 22 MHz de amplitud. Los dispositivos que operan en WLAN utilizan la modulación DSSS (Direct Sequence Spread Spectrum). El volumen de transmisión de datos puede variar según las condiciones y capacidades del cliente. 802.11b permite velocidades de transmisión de 1, 2, 5,5 y 11 Mbps. Un AP y un cliente pueden negociar la tasa de transferencia de datos que se intercambiarán una vez realizada la asociación.
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
©RA-MA
495
802.11g El estándar 802.1 lg se construye a partir de los fundamentos del 802.11b, pero ofreciendo tasas de transferencia más altas a partir de técnicas de modulación mas complejas. Es compatible con su antecesor 802.11b, permitiendo la interoperabilidad entre dispositivos. Opera en la misma banda de la 802.11. La técnica de modulación utilizada por el estándar 802.1 lg se denomina OFDM (Orthogonal Frequency División Multiplexing). Los dispositivos pueden soportar tasas de transferencias de hasta 54 Mbps.
802.11a El estándar 802.11a define el uso de WLAN en la banda de 5 GHz que puede dividirse en tres grupos: •
Banda baja: para uso en interiores en la frecuencia de 5,15 a 5,25 GHz.
•
Banda media: para uso en interiores y exteriores en la frecuencia de 5,25 a 5,35 GHz.
•
Banda alta: para uso externo en la frecuencia de 5,725 a 5,825 GHz.
El estándar 802.1 la permite que la tasa de transferencia sea escalable desde 6, 9, 12, 18, 24, 36, 48 y 54 Mbps, sin embargo típicamente el rendimiento máximo suele ser de 28 Mbps. Como ocurre con el resto de los estándares cuanto más cerca de los AP mayor velocidad de transferencia.
Estándares adicionales 802.11 La IEE ha desarrollado estándares adicionales basados en el 802.11 de WLAN. Algunos de ellos son: •
802.11 e, cubre calidad de servicio para las WLAN.
•
802.1 li, cubre fundamentos avanzados de seguridad.
•
802.1 ln, aplica mejoras para un mayor rendimiento.
www.FreeLibros.com
i „
www.FreeLibros.com
C apítulo 21
ARQUITECTURA WLAN SEGURIDAD WLAN Como concentrador central de BSS (Basic Service Set) un AP gestiona las WLAN de los clientes dentro de su rango. Todo el tráfico desde y hacia un cliente pasa a través del AP para alcanzar otros clientes en la BSS o clientes cableados localizados en cualquier otro sitio. Los clientes no se pueden comunicar directamente entre sí. El AP es el dispositivo donde se implementarán varias formas de seguridad, por ejemplo, el control de la membresía WLAN autenticando a los clientes: en caso de un fallo de autenticación no le será permitido el uso de la red wireless. También el AP y sus clientes pueden trabajar juntos para asegurar los datos que fluyen entre ellos. Cuando un cliente establece una conexión wireless’ primero tiene que buscar un AP que sea alcanzable y presentar su membresía. El cliente tiene que negociar su membresía y las medidas de seguridad en la siguiente secuencia: 1. Usar un SSID que concuerde con el AP. 2. Autenticarse con el AP. 3. Utilizar un método (opcional) de encriptación de paquetes (privacidad de datos). 4. Utilizar un método (opcional) de autenticación de paquetes (integridad de datos). 5. Construir una asociación con el AP.
www.FreeLibros.com
498
REDES CISCO. CCNP a Fondo
©RA-M a
Antecedentes sobre seguridad En las redes 802.11 los clientes pueden autenticarse con un AP utilizando alguno de los siguientes métodos: 1.
Autenticación abierta, en este método no utiliza ningún tipo de
autenticación, simplemente ofrece un acceso abierto al AP. 2.
Pre-Phared Key (PSK), se define una clave secreta en el cliente y en
el AP. Si la clave concuerda se le concede el acceso al cliente. El proceso de autenticación en estos dos métodos se termina cuando el AP admite el acceso. El AP posee suficiente información en sí mismo para de manera independiente determinar si el cliente puede o no tener acceso. La autenticación abierta y PSK son considerados métodos antiguos, no escalables y poco seguros. En el caso de la autenticación abierta sólo el SSID es solicitado y aunque hace que la configuración sea extremadamente fácil, no proporciona ningún tipo de medida de seguridad. La autenticación compartida (PSK) utiliza una clave conocida como WEP (Wireless Equivalence Protocol) que se guarda en el cliente y en al AP. Cuando un cliente intenta unirse a la WLAN el AP presenta un desafío al cliente quien exhibe su clave WEP para hacer un cómputo y enviar de vuelta la clave y el desafío al AP, si los valores son idénticos el cliente es finalmente autenticado. La clave WEP también sirve para autenticar cada paquete cuando se envía por la WLAN, sus contenidos son procesados por un mecanismo criptográfico. Cuando los paquetes son recibidos en el otro extremo el contenido se desencripta utilizando la misma clave WEP. Este método de autenticación es, obviamente, más seguro que la autenticación abierta pero aun así tiene su lado negativo: •
No se escala bien porque el uso de una cadena de claves tiene que estar configurada en cada dispositivo.
•
No es del todo seguro.
•
Las claves permanecen hasta su reconfiguración manual.
•
Las claves pueden ser desencriptadas.
www.FreeLibros.com
CAPÍTULO 21. ARQUITECTURA WLAN
©RA-MA
499
Métodos de seguridad basados en EAP EAP (Extensible Authentication Protocol) es el mecanismo básico de seguridad de muchas redes wireless. EAP está definido en la RFC 3748 y fue diseñado para manejar las autenticaciones de usuario vía PPP. Debido a que es extensible permite una variedad de métodos de entornos de seguridad. La RFC 4017 cubre las variantes de EAP que pueden ser utilizadas en WLAN tales como: •
LEAP (Lightweight EAP), desarrollado por Cisco. Se utiliza un servidor RADIUS externo para manejar la autenticación de los clientes.
•
EAP-TLS, definido en la RFC 2716 y utiliza TLS (Transport Layer Security) para autenticar a los clientes de manera segura. Basado en SSL (Secure Socket Layer), utilizado para acceder a sesiones Web seguras. Cada AP tiene que tener un certificado generado por una autoridad certificadora. Cada vez que el cliente intenta autenticarse el servidor crea una clave nueva y será única para cada cliente.
•
PEAP (Protected EAP o EAP-PEAP), es similar al EAP-TLS. Requiere un certificado digital sólo en el servidor de autenticación de tal manera que el mismo puede autenticar a los clientes con Microsoft Challenge Handshake Authentication Protocol versión 2 (MSCHAPv2). Cada vez que el cliente intenta autenticarse el servidor crea una clave nueva y será única para cada cliente.
•
EAP-FAST (EAP Flexible Authentication via Secure Tunneling), es un método de seguridad wireless desarrollado por Cisco. Su nombre indica flexibilidad reduciendo la complejidad de la configuración. No se utilizan certificados digitales. Construye un túnel seguro entre el cliente y el servidor utilizando PAC (Protected Access Credential) como única credencial para construir el túnel.
WPA El estándar IEEE 802.1 li se centra en resolver los problemas de seguridad en las WLAN, incluso abarca más allá que la autenticación del cliente utilizando claves WEP. WPA (Wi-Fi Protected Access) utiliza varios de los componentes del estándar 802.11 proporcionando las siguientes medidas de seguridad: •
Autenticación de cliente utilizando 802.lx o llave precompartida.
•
Autenticación mutua entre cliente y servidor.
www.FreeLibros.com
500
REDES CISCO. CCNP a Fondo
©RA-M a
•
Privacidad de los datos con T K IP (Temporal Key Integrity Protocol).
•
Integridad de los datos utilizando M IC (Message Integrity Check).
TKIP acentúa la encriptación WEP en hardware dentro de los clientes wireless y el AP. El proceso de encriptación WEP permanece pero las llaves son generadas más frecuentemente que con los métodos EAP. TKIP genera nuevas llaves por cada paquete. Se crea una llave inicial cuando el cliente se autentica por algún método AEP, la llave se genera con una mezcla de la dirección MAC del transmisor con un número de secuencia. Cada vez que un paquete es enviado la llave WEP se actualiza incrementalmente. WPA puede utilizar llaves precompartidas para autenticación si no se utilizan servidores de autenticación externos. Para estos casos la llave precompartida se utiliza sólo para la autenticación mutua entre el cliente y el AP. La privacidad de datos y la encriptación no utilizan la llave precompartida. TKIP se encarga de la encriptación de la llave para la posterior encriptación WEP. El proceso M IC se utiliza para generar una huella digital por cada paquete que se envía en la WLAN comparándolo con los contenidos al recibir el paquete. De esta manera se consigue la integridad de los datos para que no puedan modificarse y poder compararlos con la huella enviada. Por cada paquete MIC se genera una llave con un cálculo complejo que solamente pude ser generado en una sola dirección. Para desencriptarlo es necesario conocer la dirección MAC del destino para efectuar los cálculos necesarios.
WPA2 WPA (Wi-Fi Protected Access versión 2) está basado en el estándar 802.1 li final. Se extiende mucho más en las medidas de seguridad que WPA. Para la encriptación de los datos se utiliza AES (Advanced Encryption Standard) que es un método robusto y escalable adoptado para utilizarlo por muchas organizaciones gubernamentales. Soporta TKIP para la encriptación de los datos y compatibilidad con WPA. Con WPA o con autenticación EAP un cliente wireless tiene que autenticar al AP que visita, si el cliente se está moviendo de un AP a otro el continuo proceso de autenticación puede llegar a ser tedioso. WPA2 resuelve este problema utilizando PKC (Proactive Key Caching) donde un cliente se auténtica sólo una vez en el primer AP que se encuentra. Si el resto de los AP soportan WPA2 y están configurados como un grupo lógico, la autenticación se pasa automáticamente de un AP a otro.
www.FreeLibros.com
CAPÍTULO 21. ARQUITECTURA WLAN
©RA-MA
501
COMPATIBILIDAD DE LOS CLIENTES WIRELESS Existe una gran variedad de dispositivos wireless: PC portátiles, teléfonos, PDA, adaptadores de red, etc. Cada uno de ellos puede a su vez pertenecer a un tipo diferente de fabricante. Estos son en general los llamados ASD (Application Specific Devices). Los AP Cisco poseen compatibilidad con muchos de estos dispositivos. Para ver las características de los dispositivos que se van a conectar Cisco ha desarrollado un programa llamado CCX (Cisco Compatible Extensions) cuyas versiones y aplicaciones se muestran en la siguiente tabla: Versión CCX
Características
CCXvl
802.11 básico, compatible con 802.IX LEAP y múltiples SSID.
autenticación
CCXv2
W PA 802X autenticación PEAP. Roaming M onitorizacion de interferencias.
CCXv3
W PA2, incluyendo encriptación AES, autenticación 802. IX para EAP-FAST. W i-Fi Multimedia (WMM) para QoS.
CCXv4
Cisco Network Adm ission Control (NAC) Cali admission control para voz IP (VoIP). Reportes de métrica para VoIP. Roaming mejorado 802.11.
CCKM.
ASOCIACIÓN Y ROAMING Cuando un cliente wireless se asocia con un AP todos los datos que van hacia y desde el cliente tienen que pasar por dicho AP. Luego de que la asociación entre cliente y AP se establece, la asociación se mantiene mientras el cliente se mantenga dentro del rango del AP. Cuando la potencia de la señal cae por debajo del umbral aceptable el cliente perderá la conexión. Otros AP pueden añadirse para que el cliente pueda moverse dentro de un área más amplia. Los AP añadidos deben ser distribuidos cuidadosamente para permitir moverse al cliente desde un AP hacia otro. El proceso de roaming es el que se produce cuando la asociación de un AP pasa al siguiente de tal maneta que la asociación wireless se mantiene durante el traslado del cliente.
www.FreeLibros.com
502
REDES CISCO. CCNP a Fondo
©RA-M a
El proceso de roaming se lleva a cabo con AP adyacentes y configurados con canales que no se solapen asegurando que el cliente reciba señales de un AP sin interferir con las señales de otro AP. El cliente puede tomar dos aproximaciones para decidir efectuar el roaming: •
El cliente puede activamente buscar otros AP adyacentes antes de que necesite utilizar el roaming.
•
El cliente puede buscar AP adyacentes después de que se dé cuenta de efectuar el roaming.
El estándar 802.11 no se encarga de decidir sobre el proceso de roaming, es el cliente el que toma la decisión de asociación, de esta manera los algoritmos de roaming son específicos de cada fabricante. En el algoritmo del roaming se tienen en cuenta la intensidad y la calidad de la señal, un cálculo de las señales perdidas por colisiones e interferencias, etc. Estos factores son usualmente las condiciones lógicas que indican la calidad de la conexión. Una vez que un cliente decide moverse, sea cual fuere el motivo, debe buscar un potencial AP buscando en los otros canales activos. El cliente puede tomar dos aproximaciones al proceso de búsqueda: •
Búsqueda pasiva: el cliente busca otros canales disponibles escuchando las señales 802.11.
•
Búsqueda activa: el cliente envía tramas del tipo probe request para indagar sobre los AP disponibles.
Cuando un cliente busca pasivamente sólo espera recibir las señales RF correspondientes, como ocurre con dispositivos pasivos como pueden ser los teléfonos wireless. En una búsqueda activa el cliente lleva el control del proceso porque tiene que enviar tramas de gestión probe request hacia cualquier posible canal y esperar las tramas probe response de cualquier AP que esté escuchando y anunciando su existencia. Este mecanismo resulta más eficiente que el pasivo porque los AP son identificados según la demanda.
www.FreeLibros.com
CAPÍTULO 21. ARQUITECTURA WLAN
©RA-MA
503
Cuando el cliente sale de la cobertura de un AP envía un mensaje de disociación por el canal correspondiente hacia dicho AP, quedando libre para asociarse con el siguiente AP encontrado por otro canal a partir de una respuesta de asociación del nuevo AP. El proceso de roaming en 802.11 ocurre a nivel de capa 2 tal como sucede en una red cableada en capa de acceso dentro de la misma VLAN. Durante el movimiento del cliente su dirección IP permanece invariable, esto hace que no se pierda tiempo en solicitar nuevas direcciones IP. Existe un tiempo muerto durante el proceso de disociación y asociación con el nuevo AP, pero la meta final del roaming es mantener ese tiempo muerto a un mínimo para que las aplicaciones susceptibles no se vean afectadas adversamente. Si el tamaño de la WLAN es muy grande lo recomendable es dividirla en diferentes subredes y VLAN. Para estos casos los clientes wireless tendrán que cruzar límites de capa 3 mientras se están moviendo; por lo tanto la dirección IP del cliente cambiará desde un AP a otro. Este proceso involucra mucho más que las simples peticiones y asociaciones de 802.11, suma un tiempo muerto adicional cuando el cliente está solicitando y recibiendo la nueva dirección IP. El roaming de capa 3 no es nativo a los estándares de 802.11. Más adelante se detallarán los mecanismos de funcionamiento para este tipo de roaming.
DISTRIBUCIÓN DE CELDAS Y CANALES Al diseñar una WLAN existen dos metas básicas: dimensionar las celdas de los AP y seleccionar los canales para las celdas de los AP. El tamaño de las celdas determina la cantidad de AP que tienen que desplegarse para cubrir un área. Además del tema económico el tamaño de la celda puede afectar el correcto funcionamiento de los AP y de los clientes mientras se mueven entre ellos y se sitúan en diferentes localizaciones. Todas las asociaciones dentro de la misma celda deben compartir el mismo ancho de banda y competir por el acceso, si la celda es muy grande habrá muchos usuarios compitiendo por el acceso al medio. Cuanto más lejos se sitúe el cliente del AP menor será su taza de transferencia, es decir, menor rendimiento. La potencia de propagación del AP puede ajustarse para que no se solape con otras celdas que estén operando en el mismo canal. Cuando un AP falla el área cubierta por éste quedará en silencio.
www.FreeLibros.com
504
REDES CISCO. CCNP a Fondo
© RA-M a
Para minimizar el solapamiento de canales e interferencias las celdas AP deberían estar designadas de tal manera que los AP adyacentes utilicen diferentes canales. Con 802.11b y 802.1 lg la limitación es de 1, 6 y 11 canales. Una combinación alternada de los canales puede cubrir una extensa zona, según muestra la siguiente figura:
www.FreeLibros.com
C apítulo 22
CESCO UNIFIED WIRELESS NETWORK ARQUITECTURA WLAN TRADICIONAL Tradicionalmente la arquitectura WLAN se centra en los AP. Cada uno de los AP funciona como un concentrador de su propio BSS dentro de la celda donde los clientes se localizan para obtener la correspondiente asociación con el AP. El tráfico desde y hacia cada cliente debe pasar por el AP. Cada AP debe ser configurado individualmente aunque puede darse el caso de que varios utilicen las mismas políticas. Cada AP opera de manera independiente utilizando su propio canal de RF, la asociación con los clientes y la seguridad. En síntesis cada AP es autónomo. Por este último motivo la gestión de la seguridad en una red wireless puede ser difícil. Cada AP autónomo maneja sus propias políticas de seguridad, no existe un lugar común para monitorizar la seguridad, detección de intrusos, políticas de ancho de banda, etc. Gestionar las operaciones de RF de varios AP autónomos puede ser también bastante difícil. Cuestiones como las interferencias, la selección de canales, la potencia de salida, cobertura, solapamientos y zonas negras pueden ser partes conflictivas para la configuración de los AP autónomos. Cisco ofrece un modelo diferente unificado como solución a los AP autónomos.
www.FreeLibros.com
506
REDES CISCO. CCNP a Fondo
©RA-MA
CISCO UNIFIED WIRELESS NETWORK Cisco ofrece un conjunto de funciones integrales a las redes WLAN y las lo ha llamado Cisco Unified Wireless Network Architecture. Esta nueva arquitectura ofrece las siguientes capacidades centralizadas de tal manera que los dispositivos de la red inalámbrica las reciben independientemente de donde se encuentren: •
Seguridad
•
Desarrollo
•
Administración
•
Control
Para centralizar estos aspectos de la WLAN muchas de las funciones de los AP tienen que ser movidas hacia una localización central. Los procesos de tiempo real involucran el envío de las tramas 802.11, las señales de los AP y los mensajes probe. La encriptación de los datos también se maneja por paquete y en tiempo real. El AP debe interactuar con los clientes wireless en la capa MAC, estas funciones son parte del hardware del AP acerca de los clientes. Las funciones de gestión no son integrales al manejo de tramas sobre señales RF, pero son cuestiones que se deben administrar centralizadamente. Así, estas funciones son instaladas en una plataforma central lejos del AP. En este sistema de Cisco unificado se puede elegir un AP determinado para llevar la operación 802.11 en tiempo real. Este AP se llama LAP (Lightweight Access Point) porque tiene menos trabajo que lo que hace un AP autónomo. Las funciones de gestión se llevan a cabo en el W LC (Wireless LAN Controller) que es común a varios AP. Las funciones del WLC son la autenticación de usuarios, políticas de seguridad, administración de canales, niveles de potencia de salida, etc. Esta división de tareas se conoce como arquitectura split-MAC, donde las operaciones normales de MAC son separadas en dos ubicaciones distintas, esto ocurre por cada LAP en la red. Cada uno tiene que unirse a sí mismo con un WLC de manera que pueda encender y soportar a los clientes wireless. El WLC se convierte en el concentrador que soporta un número variado de LAP en la red conmutada.
www.FreeLibros.com
CAPÍTULO 22. CISCO UNIFIED WIRELESS NETWORK
©RA-MA
507
El proceso de asociación del LAP con el WLC se produce a través de un túnel para pasar los mensajes relativos a 802.11 y los datos de los clientes. Los LAP y el WLC pueden estar localizados en la misma subred o VLAN pero no tiene que ser siempre así. El túnel hace posible el encapsulado de los datos entre ambos AP dentro de nuevos paquetes IP. Los datos tunelizados pueden ser conmutados o enrutados a través de la red del campus según muestra la siguiente figura: LWAPP
Encriptado para gestión
LWAPP
Desencriptado para datos de usuarios
El LAP y el WLC utilizan el LWAPP (Lightweight Access Point Protocol) como mecanismo de tuneling dividido en dos modos diferentes: •
Mensajes de control LWAPP, son mensajes utilizados para la
configuración del LAP y gestionan la operación. Estos mensajes están autenticados y encriptados de tal manera que el LAP es controlado de manera segura solamente por el WLC. •
Datos LWAPP, los paquetes hacia y desde los clientes wireless
son asociados con el LAP. Los datos son encapsulados dentro de LWAPP pero no están encriptados entre el AP y el WLC. Cada LAP y WLC se autentican mutuamente coii certificados digitales (X.509) que deben estar preinstalados por el fabricante. Usando este sistema de certificados cada dispositivo es autenticado antes de formar parte del Cisco Unified Wireless NetWork Architecture.
Funciones del WLC Una vez que los túneles LWAPP se construyen desde el WLC a uno o más LAP, el WLC puede comenzar a ofrecer una cantidad de funciones adicionales:
www.FreeLibros.com
508
REDES CISCO. CCNP a Fondo
•
©RA-MA
Asignación de canales dinámicos: el WLC elige la configuración de los
canales de RF que usará cada LAP basándose en otros AP activos en el área. •
Optimización del poder de transmisión: el WLC configura el poder de
transmisión para cada LAP en función de la cobertura de área necesaria. El poder de transmisión también se ajusta automáticamente de manera periódica. •
Solución de fallos en la cobertura: si un LPA deja de funcionar, el
agujero que deja la falta de cobertura es solucionado aumentando el poder de transmisión en los LAP que hay alrededor de manera automática. •
Roaming flexible: los clientes pueden moverse libremente en capa 2 o en
capa 3 con un tiempo de roaming muy rápido. •
Balanceo de carga dinámico: cuando 2 o más LAP están posicionados
para cubrir la misma área geográfica el WLC puede asociar los clientes con el LAP menos usado distribuyendo la carga de clientes entre los LAP. •
M onitorización de RF: el WLC gestiona cada LAP de manera que pueda
buscar los canales y monitorizar el uso de la RF. Escuchando en un canal el WLC puede conseguir información sobre interferencias, ruido, señales de diversos tipos. •
Gestión de la seguridad: el WLC puede requerir a los clientes wireless
que obtengan una dirección IP de un servidor DHCP confiable antes de permitirles su asociación con la WLAN. Para manejar un gran número de LAP se pueden desplegar varios WLC de manera redundante. La gestión de varios WLC puede requerir un esfuerzo significativo, debido a que el número de AP y clientes para ser monitorizados y gestionados puede ser elevado. El Cisco Wireless Control System, CWCS, es una plataforma opcional que puede ser utilizada de manera gráfica para las configuraciones y monitorización de todos los WLC, LAP y monitorización de clientes de la red.
Funciones del LAP El LAP (Lightweight Access Point) lleva una configuración muy básica, el AP debe encontrar un WLC para recibir la configuración de tal manera que nunca necesite ser configurado por el puerto de consola.
www.FreeLibros.com
CAPÍTULO 22. CISCO UNIFIED WIRELESS NETWORK
©RA-MA
509
Los siguientes pasos detallan el proceso de inicio que el LAP tiene que completar antes de entrar en actividad: 1. Se obtiene una dirección de un servidor DHCP. 2. El LAP aprende la dirección IP de los WLC disponibles. 3. Envía una petición de unión al primer WLC que encuentra en la lista de direcciones. Si el primero no responde se intenta con el siguiente. Cuando el WLC acepta al LAP envía una respuesta para hacer efectiva la unión.
4.
El WLC compara el código de imagen del LAP con el código que tiene localmente almacenado, el LAP descarga la imagen y se reinicia.
5. El WLC y el LAP construyen un túnel seguro LWAPP para tráfico de gestión y otro similar no seguro para los datos del cliente. El LAP tiene que obtener una dirección IP del WLC utilizando algunos de estos métodos: •
Un servidor DHCP con la opción 43.
•
Con la IP subnet broadcast, el LAP efectúa un broadcast con un mensaje de petición esperando encontrar un WLC en la misma subred. Esta función sólo es posible si existe adyacencia de capa 2.
Un LAP siempre estará unido a un WLC pero puede contener una lista de 3 WLC (primario, secundario y terciario). Cuando el WLC experimente un fallo el LAP no será capaz de mantener la asociación con los clientes, entonces se reiniciará intentando encontrar un nuevo WLC disponible.
Patrones de tráfico en una red cisco wireless unificada Debido a que los LAP conectan a la red cableada a través de túneles lógicos LWAPP los patrones de tráfico entrante y saliente de la WLAN son diferentes a las redes WLAN tradicionales. El tráfico desde un cliente viaja desde el LAP, a través del túnel LWAPP, hacia el WLC y es enviado fuera a través de la red del campus. El tráfico entre dos clientes wireless tendrá el mismo recorrido anterior y de vuelta hacia el cliente destino. Esta secuencia se muestra en la siguiente figura:
www.FreeLibros.com
510
REDES CISCO. CCNP a Fondo
©RA-MA
Para el siguiente caso existen 2 VLAN que sirven para llevar tráfico desde los clientes inalámbricos que están asociados con sus respectivos SSID. Las VLAN pasan a través del troncal entre el WLC y el switch, pero no se extienden más allá. El LAP y el WLC están interconectados por una VLAN diferente aislada de las otras 2 VLAN. Las VLAN de acceso son llevadas a través del túnel LWAPP de tal manera que sólo existen lógicamente de manera local.
www.FreeLibros.com
CAPÍTULO 22. CISCO UNIFIED WIRELESS NETWORK
©RA-MA
511
Asociación y roaming del LAP Los clientes inalámbricos tienen que negociar una asociación con el LAP, como ocurre en las 802.11, pero la arquitectura de MAC dividida tiene un efecto diferente en el proceso de asociación con los clientes. Un LAP maneja en tiempo real todas las tareas inalámbricas intercambiando información con el WLC. En efecto, los clientes negocian su asociación con el WLC directamente. •
Todas las asociaciones de clientes pueden ser gestionadas desde una ubicación centraliza.
•
El roaming de los clientes se lleva a cabo de una manera más rápida y más fácil.
Con los AP autónomos un cliente se mueve trasladando su asociación desde un AP hacia otro. El cliente debe negociar el movimiento con el AP independientemente y los AP deben asegurarse de que los datos que poseen sean enviados a la siguiente asociación. El roaming autónomo funciona sólo en capa 2. Otros mecanismos han de ser añadidos para soportar el roaming de capa 3. Con los LAP el cliente también se mueve trasladando igualmente su asociación. Desde el punto de vista del cliente la asociación se produce desde un AP hacia otro AP, pero en realidad se produce desde un WLC a otro WLC acorde con las uniones con los LAP. De esta manera se soporta roaming de capa 2 y de capa 3. La dirección del cliente puede ser la misma mientras se está moviendo y no importa qué túnel LWAPP utiliza el cliente para alcanzar el controlador. La asociación de un cliente se produce con el WLC a través del LAP, cuando el cliente se mueve cambiando de celda cambia de LAP y de túnel LWAPP. Si los LAP pertenecen al mismo controlador el WLC será el mismo aun cuando el cliente se mueva de celda en celda (intra-controller roam).
Roaming entre controladores En casos donde el cliente deba moverse de un controlador a otro, por ejemplo en una WLAN muy grande que contenga varios LAP y que estén soportados por varios WLC, los LAP podrían estar distribuidos en diferentes controladores con el propósito de balancear la carga o redundancia. Cuando el cliente se mueve desde una celda a otra se encentra con el mismo SSID y el cliente puede mover su asociación hacia el siguiente WLC. Mientras los dos controladores estén localizados en la misma subred IP pueden pasarse fácilmente las asociaciones entre ellos. Esto se hace a través del
www.FreeLibros.com
512
REDES CISCO. CCNP a Fondo
©
r a -m a
intercambio del mensaje de movilidad donde se transfiere la información del cliente. Una vez que el intercambio se ha realizado el cliente puede comenzar a utilizar el túnel LWAPP con el nuevo WLC. El proceso de roaming ha sido completamente transparente para el cliente que sigue manteniendo su misma dirección IP. El escenario es ahora una ubicación con los WLC en dos redes diferentes. El cliente comienza con una asociación inicial y una dirección IP correspondiente a la VLAN del SSID. Cuando el cliente se mueve hacia la celda del próximo LAP, la asociación ocurre a través de ese nuevo LAP y su correspondiente WLC que le ofrece acceso a la nueva VLAN. La dirección IP del cliente hasta ahora permanece constante. Los WLC están en VLAN diferentes por lo que la dirección IP del cliente será diferente en la nueva ubicación. Los dos controladores crean un túnel E ther-IP (definido en la RFC 3378) entre ellos con el propósito específico de pasar tráfico del cliente. Este túnel es la manera que tienen los controladores de encapsular la capa MAC dentro del paquete IP utilizando el Protocolo IP 97. Todo el tráfico del cliente, aun estando en una celda y una VLAN diferente, pasará por el túnel. El WLC inicial aceptará todo el tráfico de ese cliente y lo enviará al WLC apropiado que tenga la nueva asociación. A
www.FreeLibros.com
© RA-MA
CAPÍTULO 22. CISCO UNIFIED WIRELESS NETWORK
513
Mientras el cliente continúe movilizándose el WLC original será su punto de referencia en la red, mientras que los otros WLC serán ajenos e intercambiarán los datos del cliente a través del túnel Ether-IP. Un cliente puede moverse hacia cualquier LAP y su correspondiente WLC asociado mientras permanezca dentro del mismo grupo de movilidad. Un grupo de movilidad puede contener hasta 24 WLC de cualquier tipo de plataforma. La cantidad de LAP puede variar dependiendo de la plataforma del controlador.
CONFIGURACIÓN BÁSICA WLAN Configuración del WLC Un Cisco WLC posee diferentes tipos de interfaces utilizadas para distintos propósitos, la decisión de la distribución y conexión de las interfaces puede resultar la parte más difícil de decidir. Un WLC posee las siguientes interfaces: •
Gestión, contenida dentro de la propia red.
•
AP
•
Virtual, para conexiones DHCP de los clientes.
•
Puertos de servicio, vía de acceso en caso de fallos.
•
Puerto del sistema de distribución, normalmente un troncal que
manager, usada por descubrimiento y asociación.
los
túneles
LWAPP
para
el
conecta con un switch de campus. •
Dinámica, creada sólo cuando se necesita por el uso de los túneles LWAPP, es llamada también interfaz de usuario y lleva la misma IP original del cliente.
El proceso de configuración de los WLC se inicia a través del puerto de consola y el asistente de configuración a través de la línea de comandos. Una vez que el WLC se inicia aparecerán una serie de preguntas de manera interactiva solicitando la siguiente información: 1. Nombre del sistema, identifica al WLC y puede ser de hasta 32 caracteres. 2. Usuario y contraseña administrativo, por defecto serán admin y admin respectivamente.
www.FreeLibros.com
514
REDES CISCO. CCNP a Fondo
©RA-MA
3. Dirección IP del puerto de servicio, puede ser por DHCP o estática, con esta última se solicitarán los datos pertinentes a IP, máscara, gateway, número de VLAN de gestión. 4. Dirección IP del servidor DHCP. 5. Dirección IP de la interfaz de gestión del AP. 6. Dirección IP de la interfaz virtual. 7. Nombre del grupo de movilidad, tiene que ser idéntico dentro de todo el grupo de movilidad. 8.
SSID por defecto, utilizado por los LAP cuando se unen al controlador. El WLC enviará otros SSID hacia otros LAP luego de la asociación.
9. Preguntará si los clientes obtienen direcciones IP automáticamente por DHCP. 10. Configuración del servidor RADIUS. 11. Código de país. 12. Habilitación de 802.11 (a, b, g). 13. Habilitación de la característica de administración de RF
(RRM).
Finalmente y luego de guardar la configuración, el WLC se reiniciará. Despues de este punto se podrá configurar el WLC desde la interfaz Web. El WLC utiliza interfaces dinámicas para asociar las VLAN en los puertos de sistema de distribución con los SSID. Los siguientes pasos describen este proceso de configuración: •
Crear una interfaz dinámica para los clientes inalámbricos.
•
Crear una WLAN unida a la interfaz dinámica.
Desde la barra de tareas del WLC se selecciona la pestaña controller, en la categoría interfaces en la columna de la izquierda. El botón new muestra la siguiente ventana:
www.FreeLibros.com
CAPÍTULO 22. CISCO UNIFIED WIRELESS NETWORK
©RA-MA
515
NetWOffcRfltfl*»
tfitamaíDltCPSvmer
WtWHrtvMwwmtnt
Haháfaial9l)l5£1
Sp*ankgT***
PtHti M«ttpr CoeifoJlrr NelworiiTlwfPrrtíttrf Q6Stfrófiks
El nombre descriptivo de la interfaz virtual es en este caso Inter CCNP y está asociada a la VLAN 200. La dirección IP para la interfaz dinámica y el DHCP se configuran desde la siguiente pantalla:
www.FreeLibros.com
516
REDES CISCO. CCNP a Fondo
©RA-MA
Finalmente se definirá una WLAN que servirá a los clientes asociados con los LAP que están unidos al WLC. Desde la pestaña wlan y con el botón new se configura el SSID que será utilizado en la WLAN:
Por último se asocia el SSID con la interfaz dinámica, que en este caso serán SSID W lan Estudio y la interfaz Inter CCNP:
WLAN*>fcOR IR wian v»m
j WltaEtfadfo B ocim ly PíjlírJuí
AjfWTjSUtoi fcf*
T tontft
Qy/jMysíSwvím(0*5) whh Rpt Ví»4c-írtSt:0
♦PV*5n*W*
pUWttí
I’* * * 3
jO
OHAC
jj nCItMCACUmt C& C*Ctm*
L4t«f3S*a¿jntf
ETi
«re*«íe A3sM AAA
n
HeMfjctíMSsi
RE*»kW*‘ (w^" 'T _"í
OHCí best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? — incortiplete Network v Next Hop -Metric LocPrf Weight Path *>il.1.1.1/32 10.10.1.1 0 100 0 i *>i2.2.2.2/32 10.10.1.1 0 100 0 i *>i3.3.3.3/32 10.10.1.1 0 100 0 i * ilO.10.1.0/24 10.10.1.1 0 100 0 i *> 0.0.0.0 0 32768 i *> 172.16.0.0 0.0.0.0 0 32768 i *> 192.168.1.0 0.0.0.0 0 32768 i *> 192.168.1.2/32 0.0.0.0 0 32768 ?
Router#sh ip ro
www.FreeLibros.com
580
REDES CISCO. CCNP a Fondo
© R A -M A
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF Ínter area Ni - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 El - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS suimnary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS ínter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 172.16.0.1 to network 0.0.0.0 1.0.0.0/32 is subnetted, 1 subnets O 1.1.1.1 [110/2] via 10.10.1.1, 00:01:23, GigabitEthernetO/1 2.0.0.0/32 is subnetted, 1 subnets 0 2.2.2.2 [110/2] via 10.10.1.1, 00:01:23, GigabitEthernetO/1 3.0.0.0/32 is subnetted, 1 subnets 0 3.3.3.3 [110/2] via 10.10.1.1, 00:01:23, GigabitEthernetO/1 C 172.16.0.0/16 is directly connected, Vlanl 10.0.0.0/24 is subnetted, 1 subnets C 10.10.1.0 is directly connected, GigabitEthernetO/1 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, VlanlOO S 192.168.1.2/32 is directly connected, Service-Engine0/0 S* 0.0.0.0/0 [1/0] via 172.16.0.1
DISTRIBUCIÓN DE ETIQUETAS MPLS añade una sobrecarga adicional para la comunicación entre routers adyacentes, sumada a la propagación de los prefijos de enrutamiento se agregan las funcionalidades de mantenimiento de las LIB y LFIB junto con las tablas de adyacencia, generando un consumo de recursos extra. -CEF, LDP y otros procesos contribuyen también al aumento de consumo de dichos recursos. La distribución de etiquetas se lleva a cabo a través de un protocolo de distribución de etiquetas, como LDP, particularmente MPLS LDP. Hay que tener en cuenta que la arquitectura de MPLS permite dos formas de propagar la información necesaria: 1. Extender la funcionalidad de los protocolos existentes. 2.
Crear nuevos protocolos dedicados a la tarea de intercambios de etiquetas.
Extender la funcionalidad de un protocolo existente requiere bastante tiempo y esfuerzo, especialmente en BGP y OSPF. LDP se implementa en el Panel
www.FreeLibros.com
© RA-MA
CAPÍTULO 25. MPLS
581
de control para intercambiar etiquetas con los vecinos, almacenando los resultados en la LIB. En una arquitectura MPLS la decisión de asignar una etiqueta en particular a un FEC es propiedad del LSR en cada host a lo largo del camino. El LSR anterior informa al siguiente LSR sobre las etiquetas decididas para esa FEC, esto implica esencialmente que las etiquetas se asignan en sentido ascendente hacia el destino. El flujo del tráfico es un factor importante teniendo en cuenta que ocurre en un sentido bidireccional, es decir, que las etiquetas serán propagadas en ambas direcciones. Split Horizon hace que las etiquetas sean distribuidas en sentido descendente evitando que se propaguen hacia el vecino que propagó la etiqueta. La FIB está sujeta a las normas de horizonte dividido por defecto desde el punto de vista del enrutamiento, por lo tanto la LIB y la LFIB también lo están. La distribución de etiquetas puede ocurrir de dos formas: •
Unsolicited downstream
•
Downstream-ondemand
Cualquiera de los dos casos ocurre ante un evento de convergencia, un vecino MPLS puede enviar (Unsolicited downstream) o solicitar que le envíen alguna actualización (Downstream-ondemand). Un ejemplo es cuando una etiqueta no está asociada a un FEC determinado.
Propagación de paquetes Un paquete de entrada puede ser enviado de múltiples maneras incluyendo con o sin imposición de etiquetas. El dispositivo LSR frontera será el encargado de ejecutar Pop para quitar la etiqueta. Un paquete que no contenga ninguna etiqueta puede ser etiquetado y enviado por un router borde LSR aunque existen excepciones a este proceso en los casos en los que durante la convergencia de red la información de destino esté incompleta. Cuando un paquete llega a un LSR antes de que tenga conocimiento de la etiqueta asociada a la FEC para reenviar el paquete ya etiquetado, el envío se realizará basándose en la información almacenada en la FIB. Este paquete será enviado al próximo salto según dicha información. El router siguiente realiza una búsqueda tratando de encontrar la información del mapeo de la etiqueta con la FEC
www.FreeLibros.com
582
REDES CISCO. CCNP a Fondo
© R A -M A
correspondiente. En caso de que la tenga, el router incluye la etiqueta y envía el paquete. En caso de que fiiera así el proceso se vuelve a repetir. Puede ser posible que el router utilice CEF para conmutar el paquete durante todo el camino de la red. El motivo de este mecanismo es permitir el envío de paquetes en tiempo de convergencia en situaciones donde los routers MPLS no tienen etiquetas para una FEC en particular.
PHP Cuando existe una ruta MPLS desde un origen hacia un destino se crea un LSP (Label Switched Path), que es esencialmente un túnel entre ambos extremos basándose en una FEC en particular. Se podría decir que este túnel lleva asociados varios caminos posibles debido a que pueden existir varias FEC que compartan etiquetas en algún punto en particular de este camino. Los LSR frontera contienen una FEC en especial, lo que permite el ejecutar un mecanismo llamado pemiltimate hop popping, PHP. PHP es una característica propia de MPLS habilitada por defecto. En un LSR frontera de salida se realiza una búsqueda en la LFIB para localizar paquetes etiquetados. En caso de que la red se encuentre directamente conectada no se incluye ninguna etiqueta para ese destino en particular, es decir, la etiqueta es eliminada y se realiza una búsqueda en la FIB. Este proceso demanda dos tipos de búsquedas distintas de manera redundante. La eficacia de PHP permite al LSR anterior al LSR frontera quitar la etiqueta antes de enviarla, de ahí el termino penultimate hop popping haciendo que no se realicen búsquedas redundantes innecesarias.
CONFIGURACIÓN MPLS La configuración de los routers MPLS es bastante simple, teniendo siempre en cuenta ciertas consideraciones tales como el tamaño de la red y el número de prefijos que serán propagados. MPLS y la sobrecarga asociada pueden llegar a ser un factor significativo en lo que respecta a consumo de recursos de un router. En un entorno de ISP el router debe mantener toda la tabla de Internet, sumando más de 300000 prefijos. Dentro del ámbito del ISP se ejecutará algún protocolo IGP, tal como IS-IS, y un EGP, como puede ser BGP. Cada protocolo mantiene un número determinado de prefijos. BGP lo hará en este caso con todos
www.FreeLibros.com
© RA-MA
CAPÍTULO 25. MPLS
583
los prefijos públicos anunciados mientras que el IGP tendrá todos los destinos internos de la red del ISP. Por lo tanto la cantidad de información que se tiene que mantener actualizada en bastante grande. Sumándose a todo esto la necesidad de mantener la tabla CEF más las tablas que requieren el uso de MPLS, como la FIB, LIB y LFIB. Junto con la información de adyacencias requeridas por el IGP, el EGP y MPLS. Con todo esto es fácil entender por qué los routers pueden sobrecargarse. La idea que fundamenta a MPLS es aplicar etiquetas entre los campos de capa 3 y capa 2 aunque puede causar problemas en paquetes grandes. La adición de estos 4 bytes adicionales podría causar que las tramas mayores de lo permitido por las MTU configuradas en la interfaz no permitan pasar dichas tramas. Esta es una más de las consideraciones dentro de las configuraciones de las interfaces que hay que tener en cuenta. La configuración en la habilitación de MPLS es muy simple y consiste en muy pocos pasos: 1.
Configurar CEF. Cef debe estar habilitado como un requisito previo a la configuración de MPLS. En las IOS actuales vieneconfigurado por defecto.
2.
Configurar MPLS modo trama en interfaces.
3.
Configurar los tamaños de MTU apropiados.
Configuración de CEF CEF es un mecanismo propietario de Cisco, es un sistema de conmutación altamente rápido y eficiente. CEF proporciona un mecanismo de conmutación en capa 3 que optimiza el rendimiento y estabilidad en redes grandes. Consume menos recursos de CPU que otros mecanismos de conmutación permitiendo liberar más ciclos de CPU para otras aplicaciones. CEF puede ser ejecutado de modo central o modo distribuido. En modo central sólo es posible una sola instancia en cada router. CEF en modo distribuido (dCEF) está diseñado para ser ejecutado en router de gama alta, permitiendo a cada tarjeta del router ejecutar y mantener su propio mecanismo de conmutación haciendo que las conmutaciones se ejecuten dentro de la propia tarjeta. Como se ha explicado anteriormente la FIB es una copia de la tabla de enrutamiento, conteniendo todos los prefijos de enrutamiento conocidos de dicha tabla. CEF utiliza la FIB para mantener actualizada su tabla de adyacencias. La FIB se utiliza para tomar decisiones a nivel IP y la tabla de adyacencia proporciona
www.FreeLibros.com
584
REDES CISCO. CCNP a Fondo
© R A -M A
información a nivel de capa 2 incluyendo la información de próximo salto de dicha capa. Ambas constituyen la base operacional para CEF. CEF utiliza la tabla de adyacencias para incluir información de capa 2 en el tráfico de salida, esto evita la necesidad de utilizar ARP como mecanismo de resolución de capa 2 y 3 CEF se habilita de manera global con el siguiente comando: router(conf ig)#ip cef
Opcionalmente el comando también puede ser habilitado en modo distribuido dependiendo de la plataforma que se use: router(conf ig)#ip cef distributed
El modo distribuido de CEF solamente deberiá ser utilizado cuando las tarjetas o módulos del router son capaces de ejecutar express forwarding. Lo que permite a la procesadora de la tarjeta manejar las funcionalidades de conmutación. Para habilitar CEF en una interfaz en particular se utiliza el siguiente comando dentro del modo de la interfaz en cuestión: router(config-if )#ip route-cache cef
Para deshabilitar cualquiera de los anteriores comandos bastará con anteponer no a cualquiera de ellos. Existen varias opciones adicionales para la configuración de CEF: •
CEF load balancing, puede ser configurado por destino o por paquete.
•
CEF network accounting, permite obtener estadísticas de tráfico tales como paquetes y bytes conmutados para un determinado prefijo.
•
CEF distributed tunnel switching, esta opción es habilitada automáticamente con CEF y permite la conmutación de túneles tales como los GRE. Esta opción no es configurable.
www.FreeLibros.com
©RA-M A
CAPÍTULO 25. MPLS
585
Para monitorizar y ver estadísticas de CEF se puede utilizar el siguiente comando: router#show ip cef detail IP CEF with switching (Table Versión 21), flags=0x0 16 routes, 0 reresolve, 0 unresolved (0 oíd, 0 n e w ) , peak 0 16 leaves, 24 nodes, 27392 bytes, 29 inserts, 13 invalidations 0 load sharing elements, 0 bytes, 0 references universal per-destination load sharing algorithm, id CB41AB75 3(0) CEF resets, 0 revisions of existing leaves Resolution Timer: Exponential (currently ls, peak ls) 0 in-place/0 aborted modifications refcounts: 6433 leaf, 6400 node Table epoch: 0 (16 entries at this epoch) Adjacency Table has 2 adjacencies 0.0.0.0/0, versión 0, epoch 0, attached, default route handler 0 packets, 0 bytes via 0.0.0.0, 0 dependencies valid no route adjacency 0.0.0.0/32, versión 1, epoch 0, receive 1.1.1.1/32, versión 18, epoch 0, connected, receive tag information set local tag: implicit-null 2.2.2.2/32, versión 19, epoch 0, connected, receive tag information set local tag: implicit-null 3.3.3.3/32, versión 20, epoch 0, connected, receive tag information set local tag: implicit-null 10.10.1.0/24, versión 13, epoch 0, attached, connected 0 packets, 0 bytes tag information set local tag: implicit-null via GigabitEthernetO/l, 0 dependencies valid glean adjacency 10.10.1.0/32, versión 11, epoch 0, receive 10.10.1.1/32, versión 10, epoch 0, receive 10.10.1.2/32, versión 14, epoch 0, connected, cached adjacency
10. 1 0 . 1.2 0 packets, 0 bytes via 10.10.1.2, GigabitEthernetO/l, 0 dependencies next hop 10.10.1.2, GigabitEthernetO/1 valid cached adjacency 10.10.1.255/32, versión 12, epoch 0, receive 172.16.0.0/16, versión 15, epoch 0, cached adjacency 10.10.1.2 0 packets, 0 bytes tag information set local tag: 16 via 10.10.1.2, GigabitEthernetO/1, 0 dependencies next hop 10.10.1.2, GigabitEthernet0/1 valid cached adjacency tag rewrite with Gi0/1, 10.10.1.2, tags imposed: {>
www.FreeLibros.com
586
REDES CISCO. CCNP a Fondo
© R A -M A
192.168.1.0/24, versión 16, epoch 0, cached adjacency 10.10.1.2 0 packets, 0 bytes tag information set local tag: 17 via 10.10.1.2, GigabitEthernet0/1, 0 dependencies next hop 10.10.1.2, GigabitEthernetO/1 valid cached adjacency tag rewrite with Gi0/1, 10.10.1.2, tags imposed: {} 192.168.1.2/32, versión 17, epoch 0, cached adjacency 10.10.1.2 0 packets, 0 bytes tag information set local tag: 18 via 10.10.1.2, GigabitEthernetO/1, 0 dependencies next hop 10.10.1.2, GigabitEthernetO/1 valid cached adjacency tag rewrite with Gi0/1, 10.10.1.2, tags imposed: {} 224.0.0.0/4, versión 7, epoch 0 0 pac k e t s , 0 bytes via 0 .0.0.0, 0 dependencies next hop 0 .0 .0 .0 valid drop adjacency 224.0.0.0/24, versión 3, epoch 0, receive 255.255.255.255/32, versión 2, epoch 0, receive
Otros parámetros de configuración para el show ip CEF están expuestos en la siguiente tabla: Parámetro
Descripción
Unresolved
Muestra entradas CEF no resueltas.
Summary
Muestra un resumen de la FIB.
Adjacency
Muestra entradas FIB conocidas a través de una interfaz y next-hop en particular.
A.B.C.D
Muestra una entrada FIB para una red de destino específica.
A.B.C.D A.B.C.D
Muestra una entrada FIB para una red de destino y máscara específica.
Longer-prefixes
Muestra una entrada FIB para todos los destinos específicos.
www.FreeLibros.com
© R A -M A
CAPÍTULO 25. MPLS
Detail
Muestra información detallada de la FIB.
Type number
Muestra entradas FIB específicas de una interfaz.
587
Hay circunstancias en que CEF puede provocar la inestabilidad de la red, para esos momentos los siguientes comandos pueden dar algún tipo de soporte: •
clear adjacency
•
clear ip cef inconsistency
•
clear cef interface
•
debug ip cef
•
debug ip cef events
Configuración de una interfaz MPLS El siguiente paso en la implementación de MPLS consiste en la configuración de los parámetros de la interfaz, esto significa la habilitación de un protocolo de etiquetas. En algunos entornos se utiliza el TDP (Tag Distribution Protocol), protocolo propietario de Cisco, pero no es un estándar compatible con otros fabricantes. Fue creado por Cisco cuando no había ninguna solución para implementar con MPLS. Posteriormente fue estandarizado dando como resultado el LDP (Label Distribution Protocol). Para habilitar MPLS en un router basta con el comando mpls ip en la configuración global o en cada una de las interfaces donde deba ejecutarse. Por defecto los routers Cisco llevan el soporte MPLS implementado. Puede ser deshabilitado anteponiendo un no antes del comando. MPLS se configura de manera individual en cada una de las interfaces que participen en el entorno MPLS para posteriormente habilitar un protocolo de distribución con el comando mpls label protocol.
www.FreeLibros.com
588
REDES CISCO. CCNP a Fondo
© R A -M A
La siguiente tabla muestra los parámetros que puede tener este comando: Parámetro
Descripción
both
Para utilizar LDP o TDP.
ldp
Para LDP
tdp
Para TDP
El parámetro both puede utilizarse con interfaces multiacceso donde existen vecino que puedan ejecutar ambos protocolos. LDP es el protocolo por defecto para el intercambio de etiquetas a partir de la versión de IOS 12.4(3). En las versiones anteriores el protocolo por defecto era TDP. Para evitar confusiones siempre es mejor definir el protocolo manualmente. Las interfaces que no son MPLS deberían tener ACL aplicadas para bloquear tráfico TDP o LDP. Ambos utilizan puertos UDP para excluir a los vecinos y posteriormente TCP para establecer las sesiones que funcionan como transporte de este protocolo. LDP utiliza los puertos TCP/UDP 711 y LDP utiliza los puertos TCP/UDP 646. UDP se utiliza constantemente para el descubrimiento de los vecinos. Sin el comando mpls ip habilitado en las interfaces las adyacencias no se formarán. En un entorno multifabricante se debe tener la precaución de no utilizar nunca TDP debido a que sólo funcionan en routers Cisco; el parámetro both evita posibles confusiones. La siguiente sintaxis muestra la aplicación de algunos de los comandos anteriores: Router_A#show running-config Building conf i guration... versión 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime m sec service password-encryption service sequence-numbers
¡
hostname Router_A
i
no logging buffered
www.FreeLibros.com
© RA-MA
CAPÍTULO 25. MPLS
589
clock timezone CST -6 clock summer-time CDT recurring i
i ip cef
i
interface GigabitEthernetO/1 ip address 10.10.1.1 255.255.255.0 dúplex full speed 1000 mpls label protocol ldp mpls ip
i
line con 0 logging synchronous login local line aux 0 line vty 0 4 login local transport input telnet ssh line vty 5 15 login local transport input telnet ssh end
Configuración de la MTU Como se ha mencionado anteriormente el agregado de una o más etiquetas al paquete que va atravesando la red MPLS podría causar un exceso del tamaño de la MTU en las interfaces. Este es el problema más común experimentado en el despliegue de redes MPLS. Suele ocurrir en las interfaces LAN donde normalmente la MTU es de 1500 bytes. La mayor parte de las interfaces WAN poseen una MTU mucho mayor. El tamaño de la MTU tiene que ser incrementado por una cantidad igual o superior a los bytes que suponen el agregado de las etiquetas. Si sólo se añaden 4 bytes sólo será posible incertar una sola etiqueta. Por lo tanto-siempre se aconsejan MTU de 1512 bytes o mayor. El comando para la configuración de la MTU con esos valores en MPLS es el siguiente: Router(config-if )#mpls mtu 1512
El rango posible para el tamaño de las MTU es de 64 a 65535 bytes.
www.FreeLibros.com
590
REDES CISCO. CCNP a Fondo
© R A -M A
Para verificar que las adyacencias LDP se han establecido se puede utilizar el siguiente comando: Router#sh mpls ldp neighbor Peer LDP Ident: 192.168.1.1:0; Local LDP Ident 3.3.3.3:0 TCP connection: 192.168.1.1.17080 - 3.3.3.3.646 State: Oper; Msgs sent/rcvd: 17/18; Downstream Up time: 00:07:01 LDP discovery sources: GigabitEthernetO/l, Src IP addr: 10.10.1.2 Addresses bound to peer LDP Ident: 172.16.0.4 192.168.1.1 10.10.1.2
La monitorización de etiquetas en tiempo real puede hacerse con el comando debug mpls ldp bindings: Router#debug mpls ldp bindings LDP Label Information Base (LIB) changes debugging is on Router# 000049: Apr 20 19:18:33.271: tib: find route tags: 10.10.1.0/24, GiO/1, nh 0.0.0.0, res nh 0.0.0.0 000050: Apr 20 19:18:33.271: tagcon: announce labels for: 10.10.1.0/24; nh 0.0.0.0, GiO/ 1, inlabel imp-null, outlabel unknown (from 0.0.0.0:0), find route tags 000051: Apr 20 19:18:33.271: tagcon: tc_iprouting_table_change: 10.10.1.0/255.255.255.0, event 0x1 000052: Apr 20 19:18:33.271: tagcon: rib change: 10.10.1.0/255.255.255.0; event 0x1; ndb attrflags 0x1000220; ndb->pdb_index 0x0 000053: Apr 20 19:18:33.271: tib: find route tags: 1.1.1.1/32, Lol, nh 0.0.0.0, res nh 0.0.0.0 000054: Apr 20 19:18:33.271: tagcon: announce labels for: 1.1.1.1/32; nh 0.0.0.0, Lol, inlabel imp-null, outlabel unknown (from 0.0.0.0:0), find route tags 000055: Apr 20 19:18:33.271: tagcon: tc_iprouting_table_change: 1.1.1.1/255.255.255.255, event 0x1 000056: Apr 20 19:18:33.271: tagcon: rib change: 1.1.1.1/255.255.255.255; event 0x1; ndb attrflags 0x1000220; ndb->pdb_index 0x0 000057: Apr 20 19:18:33.271: tib: find route tags: 2.2.2.2/32, L o 2 , nh 0.0.0.0, res nh 0.0.0.0 000058: Apr 20 19:18:33.271: tagcon: announce labels for: 2.2.2.2/32; nh 0.0.0.0, L o 2 , inlabel imp-nu l l , outlabel unknown (from 0.0.0.0:0), find route tags
www.FreeLibros.com
© R A -M A
CAPÍTULO 25. MPLS
591
000059: Apr 20 19:18:33.271: tagcon: tc_iprouting_table_change: 2.2.2.2/255.255.255.255, event 0x1 000060: Apr 20 19:18:33.271: tagcon: rib change: 2.2.2.2/255.255.255.255; event 0x1; ndb attrflags 0x1000220; ndb->pdb_index 0x0 000061: Apr 20 19:18:33.271: tib: find route tags: 3.3.3.3/32, Lo3, nh 0. 0. 0.0, res nh
. .
0 0 0.0 000062: Apr 20 19:18:33.271: tagcon: announce labels for: 3.3.3.3/32; nh 0.0.0.0, L o 3 , inlabel imp-null, outlabel unknown (from 0 .0.0.0 :0), find route tags 000063: Apr 20 19:18:33.271: tagcon: tc_iprouting_table_change: 3.3.3.3/255.255.255.255, event 0x1 000064: Apr 20 19:18:33.275: tagcon: rib change: 3.3.3.3/255.255.255.255; event 0x1; ndb attrflags 0x1000220; ndb->pdb_index 0x0 000065: Apr 20 19:18:33.275: tib: find route tags: 172.16.0.0/16, GiO/1, nh 10.10.1.2, res nh 10.10.1.2 000066: Apr 20 19:
MPLS CON TECNOLOGÍA VPN Para comprender debidamente la tecnología que ofrecen las VPN sobre MPLS es necesario comprender anticipadamente los posibles problemas que pueden surgir. Las VPN en MPLS son una solución WAN de capa 3 que soluciona el problema de las WAN de capa 2, proporcionando conectividad de muchos a muchos entre sitios de una manera económica y efectiva. En el pasado cada vez que era necesario extender la topología suponía un desembolso importante de dinero lo que siempre hacía difícil dicha extensión. Una topología de malla extendida puede ser muy robusta pero extremadamente costosa, mientras que otras menos caras no ofrecen la solución adecuada. MPLS significó la respuesta y la solución a esté problema. Con esta tecnología es posible tener una topología de malla completa pero con la capacidad de hacerlo a nivel de capa 3. La posibilidad de arquitectura que proporciona esta solución es la creación de redes WAN entre los circuitos existentes a nivel de capa 2. La idea de las VPN siempre se asocia con los conceptos de privacidad y seguridad. El término VPN abarca conceptos muy amplios, la siguiente figura ilustra algunos de éstos:
www.FreeLibros.com
592
REDES CISCO. CCNP a Fondo
© R A -M A
VPN tra d ic io n a le s VPN nivel 1
¡
VPN , X' 25
Tl/n
a
DSO
E l/n x DSO |
I
Frame-RelayJ ATM
- VPN . nlyel^ y
jt
CREE IPsec
Redes V irtu a le s
En escénica esta figura muestra la evolución de la VPN y cómo éstas abarcan un conjunto diferente de tecnologías dependiendo de cómo sean desarrolladas o desplegadas. Las VPN permiten el uso de infraestructura compartida ofrecida por un ISP para implementar redes privadas. El uso de seguridad está sujeto a negociación, los ISP ofrecen servicios adicionales tales como firewall para filtrar tráfico indeseado. Desde un punto de vista de implementación de VPN existen dos tipos de modelos: 1. Overlay VPN, o tradicionales, incluye tecnologías como X.25, FrameRelay, ATM (Asynchronous Transfer Mode) para VPN de capa 2 y túneles GRE e IPsec para VPN de nivel 3. 2. Peer to peer VPN, son implementadas con ISP compartidos y las infraestructuras son realizadas con ACL para separar a los distintos clientes.
VPN tradicionales Las VPN tradicionales han sido utilizadas durante mucho tiempo y se basan en el modelo de capa 2 en el que el ISP ofrece una cantidad de circuitos virtuales. Como muchas otras tecnologías de red las conexiones VPN van evolucionando desde capa 1 hasta las capas superiores. El concepto de VPN
www.FreeLibros.com
©RA-M A
CAPÍTULO 25. MPLS
593
comenzó años atrás cuando se utilizaban circuitos TDM (Time-Division Multiplex); la evolución fue constante hasta alcanzar la capa 2 y la capa 3. Las implementaciones de VPN de capa 1 fueron ofrecidas por algunos ISP como simples circuitos de capa 1. Esto incluye tecnologías como RDSI y también los servicios DS como T I de 1544 Mbps o E l de 2048 Mbps. Otras tecnologías como SONET o SDH también fueron implementadas posteriormente con el objeto de ofrecer mayor velocidad. El ISP implementaba la capa 1 y el cliente era el responsable de aplicar las características necesarias de capa 2. Las VPN de capa 2 tienen relación con tecnologías como X.25, FrameRelay, ATM, HDLC, SDLC, SMDS y otras. En este punto el ISP ofrece servicios de capa 1 y capa 2 dejando los servicios de niveles superiores a discreción del cliente. La siguiente figura muestra el clásico ejemplo de una VPN de capa 2:
La conectividad tradicional WAN conlleva parámetros de configuración manual de capa 3 para opciones de enrutamiento a través de los circuitos WAN. Un ejemplo son las opciones de broadcast en las configuraciones Frame-Relay para permitir que las actualizaciones de enrutamiento se transmitan sin problemas.
www.FreeLibros.com
594
© RA-MA
REDES CISCO. CCNP a Fondo
VPN peer to peer Las VPN peer to peer hacen que el ISP tenga un papel más activo en las operaciones de enrutamiento de cada cliente. El ISP mantendrá información de instancias de enrutamiento separadas dentro de su red. El router CE (Customer Edge) comparte información sólo con el router PE (Provider Edge) a través del circuito del ISP. Esta conexión e intercambio de información con el ISP facilita el concepto de VPN peer to peer. Esta evolución hace que la VPN no sólo transporte tráfico de capa 3 sino que además sepa de qué tipo de tráfico se trata y sepa para qué utilizarlo. La siguiente figura ilustra este concepto:
Incluso cuando el bucle local permanece igual, el sentido y escénica de la red ha cambiado. El proveedor de servicios toma parte activa en la infraestructura de enrutamiento. Una topología de malla extendida se pone en funcionamiento con un sólo enlace hacia la red del proveedor. La red es ahora mucho más robusta porque es una extensión de la red del ISP.
Ventajas de las VPN Como tecnología de acceso avanzada ofrece múltiples posibilidades. Las opciones para la conectividad se adaptan a los requisitos de cada empresa. Los beneficios de las VPN son conocidos y además útiles para pequeñas y grandes empresas.
www.FreeLibros.com
©RA-MA
CAPÍTULO 25. MPLS
595
Las VPN tradicionales son fáciles de implementar tanto del lado del ISP como por el del cliente. El proveedor no participa en los procesos de enrutamiento. Las VPN peer to peer proporcionan una solución óptima en los procesos de enrutamiento empleando topologías de malla completa proporcionando redundancias entre todos los sitios, sin necesidad de implementar cambios desde el punto de vista del cliente. Agregar sitios nuevos es tan simple como el agregado de nuevos routers e interconectarlos a un nuevo bucle local. La configuración no requiere múltiples circuitos para proporcionar capacidades de malla completa.
Desventajas de las VPN El coste y las tareas administrativas asociadas en grandes empresas con las topologías de malla completa pueden ser enormes. Para reducir el número de circuitos virtuales requeridos se deben sacrificar posibles rutas redundantes. Esto requiere un control administrativo permanente de los circuitos virtuales para mantener la conectividad necesaria. Las VPN tradicionales también tienen problemas de sobrecarga cuando se utiliza IPsec o GRE. Los principales beneficios de las VPN peer to peer pueden ser también su principal desventaja, como por ejemplo en la participación del enrutamiento del cliente. La información de enrutamiento de las distintas redes es redistribuida entre el CE y el PE. Deben aplicarse filtros de enrutamiento en las interfaces de los routers para proteger ambas partes de flujos de rutas no deseadas. El cliente debe confiar en la capacidad del ISP para configurar y mantener la infraestructura de enrutamiento. En sitios críticos con routers redundantes y varias conexiones a distintos ISP, se deben tener consideraciones tales como la diversificación de los circuitos de manera que no todos éstos terminen en el mismo PE. El objetivo final es tratar de eliminar en lo posible puntos comunes de fallos.
www.FreeLibros.com
596
REDES CISCO. CCNP a Fondo
© R A -M A
La siguiente figura muestra este concepto:
Circuito redundante con un único CE
con un único PE
ISP
Circuito redundante con varios en CE y PE
Como se ve en la figura es necesario que las rutas que son anunciadas por un circuito no sean redistribuidas fuera del PE para que no regresen por el circuito del CE impedir así posibles bucles de enrutamiento. Un simple filtrado en los routers PE ofrecería una solución. Otra posible desventaja es que los routers PE podrán ser un recurso compartido, es decir, que pueden existir varios clientes compartiéndolo. Este punto es negociable con el ISP. Junto con la asignación de recursos el ISP tiene que ser capaz de manera efectiva de tratar con muchos clientes que estarán utilizando direccionamientos privados, esto hace que la manutención de tablas de enrutamiento para cada cliente sea complicada e incluso más importante al repetirse los prefijos en muchos casos. El filtrado excesivo de rutas debe llevarse a cabo con la debida precaución ya que puede degradar la calidad del servicio.
www.FreeLibros.com
©RA-MA
CAPÍTULO 25. MPLS
597
MPLS VPN MPLS VPN contiene lo mejor de las VPN tradicionales y de las VPN peer to peer al mismo tiempo pero en un sólo producto. MPLS VPN son precisamente implementaciones de VPN peer to peer. La información de enrutamiento de cada cliente es guardada de manera segura y separada del resto de la información de los otros clientes mediante los RD (Route Distinguisher), que hacen que cada cliente sea único. El uso de los RD permite al ISP darle a cada cliente una separación lógica del resto aunque no estén físicamente separados. La información específica es actualizada por los propios protocolos de enrutamiento en instancias separadas en el mismo RD. La tabla creada por el protocolo de enrutamiento en el RD se llama VRF (Virtual Routing and Forwarding). Básicamente se puede decir que es una instancia de la tabla de enrutamiento.
Terminología de MPLS VPN Muchas de las terminologías de MPLS VPN han sido explicadas anteriormente, sin embargo el resumen y otros términos agregados son los siguientes: •
C network: red interna del cliente.
•
CE: router del cliente que se conecta al PE.
•
Label-Switched Path (LSP): es la ruta establecida para el uso de etiquetas en los paquetes a través de la red P en el tránsito hacia un destino en particular.
•
P network: red del proveedor de servicio.
•
P router: es el router MPLS en el core o backbone de la red y nunca está de cara al cliente. No lleva rutas VPN.
•
PE router: es el router MPLS del ISP, contiene rutas VPN y es el dispositivo que se conecta al router CE.
•
Penultimate Hop Pop (PHP): es el router P anterior al router P de destino y que se encarga de quitar la etiqueta y entregar el paquete al router PE.
•
PoP: punto de presencia del ISP.
www.FreeLibros.com
598
REDES CISCO. CCNP a Fondo
© R A -M A
•
Route Distinguisher (RD): es un identificador de 64 bits que se antepone delante de la dirección IPv4 haciendo que ésta sea globalmente única.
•
Route Target (RT): es un atributo que se asocia a las rutas VPNv4 BGP.
•
Virtual Routing and Forwarding table (VRF): es una instancia de enrutamiento específica para un cliente.
Tipos de router en MPLS VPN Arquitectura del router CE: desempeña un rol importante, es el dispositivo del cliente que está ejecutando un IGP e intercambia rutas a los vecinos descubiertos a través de cualquier protocolo, es decir que podrán intercambiar rutas con el PE independientemente del protocolo que el cliente tenga configurado o incluso con rutas estáticas. El router CE no conoce el mecanismo MPLS y no participa en ningún punto de su arquitectura, sencillamente envía y recibe información de enrutamiento y la intercambia con el PE. Arquitectura del router PE: es similar al típico PoP en la red del proveedor en el modelo dedicado peer to peer. La mayor diferencia es que en esa arquitectura está comprimida en un sólo dispositivo. Los routers PE son dispositivos de gama alta como por ejemplo los routers Cisco 7200 VXR. Cada cliente tiene asignado su propio RD y su tabla VRF dedicada para mantener los procesos de enrutamiento dentro de la infraestructura del proveedor de servicio. El enrutamiento dentro del backbone del ISP se ejecuta a través de otro proceso de enrutamiento con las redes propias del proveedor. El PE es un router que ejecuta diferentes instancias de protocolos de enrutamiento para mantener rutas específicas del cliente y rutas dentro del core del ISP. La VRF proporciona un aislamiento de las rutas del cliente, la información que contienen debe ser intercambiada entre los diferentes routers PE. Debe ejecutarse un protocolo de enrutamiento entre todos los routers PE para intercambiar la información de enrutamiento del cliente sin involucrar a los routers P. BGP es el único protocolo que proporciona la escalabilidad y flexibilidad necesarias para mantener el enrutamiento entre todos los PE de la red. Las relaciones de vecindad de la red se configuran entre los routers PE para que puedan
www.FreeLibros.com
©RA-M A
CAPÍTULO 25. MPLS
599
intercambiar los prefijos de un cliente. La tabla de enrutamiento global en la red P no necesita llevar ninguna de las redes del cliente. Arquitectura del router P: forman el backbone de la red P. Éstos no llevan rutas VPN y utilizan protocolos tales como IS-IS, OSPF o BGP; funcionan únicamente sobre la red del proveedor y sólo poseen información de la red P en sus tablas de enrutamiento. Interactúan con los routers PE para intercambiar tráfico BGP y trasladar información de enrutamiento hacia los PE remotos. BGP es generalmente el protocolo preferido en redes P debido a su la escalabilidad y funcionalidad y no porque sea un requisito de MPLS.
Router Distinguishers En los routers P se presenta el problema añadido de que muchos clientes utilizarán direccionamiento privado, lo que provoca que muchos de éstos tengan prefijos repetidos, por lo que existe una necesidad de mantener las rutas de los clientes separadas y de manera individual. Lo que diferenciará estas redes es que aunque tengan el mismo direccionamiento pertenecerán a interfaces diferentes. Los RD permiten que los prefijos sean mantenidos de manera única, este identificador es de 64 bits y se añade delante de la dirección IPv4. Estas direcciones resultantes son direcciones VPNv4 que serán anunciadas entre routers vecinos BGP en los routers PE. La implementación conocida como MPBGP soporta muchas familias de direcciones distintas a IPv4. Éste crea una entidad de 92 bits conocida como dirección VPNv4. Un IGP ejecutándose a través de un bucle local permite mover información de enrutamiento entre los routers PE y CE. Esta información de enrutamiento es redistribuida dentro de MPBGP, los prefijos se convierten entonces en prefijos VPNv4. Los routers PE tienen relaciones de vecindad establecidas vía IBGP y BGP, de manera que el intercambio de rutas es directo con los demás. Una vez que el PE recibe información VPNv4 de su vecino él RD, es removido y la información de las rutas es redistribuida dentro del IGP del cliente y pueden ser enviadas al Router CE para propagarlas a través de la empresa. Los valores del RD no tienen un significado especial o específico, simplemente están diseñados para permitir que las estructuras de enrutamiento puedan funcionar con otras aunque estén solapadas. Si todas las redes de los clientes fueran diferentes nunca podría existir un problema de solapamiento.
www.FreeLibros.com
600
REDES CISCO. CCNP a Fondo
© R A -M A
Normalmente cada cliente tiene un sólo RD asignado pero existen casos en los que éstos quieran ocultar información de enrutamiento entre departamentos u otros motivos dentro de la red VPN MPLS; en estos casos habrá que utilizar múltiples RD.
Route Targets Para indicar que un sitio pertenece a muchas MPLS VPN hace falta un método adecuado en el que un conjunto de identifícadores VPN puedan ser unidos a unas rutas para indicar esa asociación. Un RD es el método adecuado para una simple VPN; los RT (Route Targets) se crearon para participar en topologías VPN más complejas. Un RT es un atributo adicional que es aplicado a un prefijo IPv4 de BGP para indicar asociación a una VPN. El RT es asociado a la ruta una vez que es convertida a ruta VPNv4 por los routers PE. Los RT adjuntos a la ruta son llamados export RT y se configuran independientemente para cada VRF en cada uno de los PE. Los export RT identifican las VPN a las cuales los sitios asociados en particular con una VRF pertenecen. Los import RT son aquellos que especifican unas rutas asociadas en particular con una VRF. Cuando las rutas VPNv4 se propagan a los router PE vecinos, las rutas deben ser importadas dentro de una VRF en particular y deben ser posteriormente seleccionadas esta función es propia de los import RT. Cada VRF en un PE puede tener múltiples import RT identificando el conjunto de VPN desde las cuales la VRF est,a aceptando rutas. En los casos de topologías VPN con solapamientos los RT se utilizan para identificar la asociación de la VPN y para además permitir más opciones en escenarios más complejos. Con esta implementación el CE anuncia rutas del PE a las que se les añade un RD para crear una dirección única VPNv4. Estas rutas son agregadas a las VRF apropiadas para la propagación hacia los PE remotos y redistribuidas a todos los routers CE.
Flujo de paquetes en una red MPLS Los siguientes pasos describen la secuencia de envío de los paquetes MPLS de extremo a extremo, la figura posterior muestra el flujo de dichos paquetes a través de una red MPLS:
www.FreeLibros.com
© R A -M A
CAPÍTULO 25. MPLS
601
1. Los routers PE reciben una actualización de IPv4 desde el router CE normalmente a través de un IGP configurado comúnmente; estas rutas son almacenadas en la tabla VRF correspondiente. 2.
Las rutas del cliente desde la VRF son soportadas como rutas VPNv4 dentro de la instancia de MPBGP y propagadas hacia otros routers PE. Para llegar a dichas rutas VPNv4 los RD se añaden delante de las entradas de ruta. Para ser exportadas los export RT son puestos también en esas rutas para especificar la asociación con la VPN respectiva.
3.
Los routers PE que reciben las actualizaciones de MPBGP importan las rutas VPN de entrada dentro de las correspondientes VRF, según los valores especificados por los import RT que están asociados a esas rutas y tablas VRF individuales.
4. Las rutas VPNv4 son instaladas en las tablas VRF y redistribuidas dentro de la instancia IGP ejecutándose entre los routers CE y los PE para ser propagadas a la red del cliente. Actualizaciones IPv4 vía IGP
Actualizaciones MPBGP
Actualizaciones IPV4 vía IGP
Desde el punto de vista del cliente los CE no tienen conocimiento de la red MPLS, las actualizaciones de enrutamiento son simplemente transportadas para lograr la conectividad de extremo a extremo.
Envíos de paquetes en MPLS VPN Los routers PE utilizan una pila de dos etiquetas para identificar los paquetes VPN para enviarlos a través de la red P. Dicha pila de etiquetas es añadida por el router P de entrada. La etiqueta superior en la pila será utilizada por el LDP para atravesar la red P con el bit S en dicha etiqueta con un valor de 0. La segunda etiqueta será asignada por el router PE de salida. El propósito de dicha etiqueta es brindar la correspondiente información al router PE para enviar ese tráfico. Esta etiqueta puede apuntar a una interfaz de salida o a una tabla VRF. Si la etiqueta apunta a una interfaz de salida, se realiza una búsqueda de etiquetas
www.FreeLibros.com
602
© R A -M A
REDES CISCO. CCNP a Fondo
en el paquete VPN y si lo hace a una tabla VRF la búsqueda de etiquetas se realiza para obtener la instancia VRF destino. Posteriormente se realiza una exploración en la tabla de enrutamiento en la instancia de la VRF. El bit S en la segunda etiqueta llevará un valor 1. Este bit es el llamado end o f stack, lo que indica que si su valor es 0 hay más etiquetas en la pila. La última etiqueta en la pila de etiquetas, por lo tanto, tendrá siempre el valor de este bit en 1. La segunda etiqueta apuntará hacia una interfaz de salida cuando el router CE sea el próximo salto en la ruta VPN. Esta misma etiqueta apuntará a una tabla VRF para rutas VPN agregadas, rutas VPN hacia la interfaz nuil e interfaces VPN directamente conectadas. Los routers P llevan a cabo conmutación de etiquetas basándose solamente en la primera etiqueta de la pila, la segunda etiqueta no es analizada. El PE de salida lleva a cabo una conmutación de etiquetas basándose en la segunda etiqueta debido a que la primera ya ha sido removida para enviar posteriormente el paquete acorde a los parámetros correspondientes. Resulta ineficiente para el PE de salida tener que tratar con dos etiquetas, el uso de PHP permite que el router P final en el LSP remueva esa etiqueta liberando de ese trabajo al router PE. Esto permite que el router PE lleve a cabo su función utilizando la etiqueta VPN en la pila para que una vez eliminada la etiqueta se inicie una búsqueda de enrutamiento IP y pueda ser enviado convenientemente.
www.FreeLibros.com
Capítulo 26
IPsec INTRODUCCIÓN A IPsec IPsec es un conjunto de características que protegen los datos IP cuando éstos viajan desde una entidad a otra. Las localizaciones involucradas en la VPN definen el tipo de VPN. Una localización podría ser un cliente final tal como un PC, una pequeña oficina remota o una oficina remota más grande o datacenter, etc., la combinación de cualquiera de estas localizaciones determinará el tipo de VPN en uso, por ejemplo una pequeña oficina SOHO (Small Office Home Office) conectándose a la oficina principal podría ser una VPN site-to-site. Es importante recordar que solamente IPsec puede proteger la capa de red, la capa IP y superiores, transporte y usuario. IPsec no puede brindar servicio a la capa de enlace. Si fuese necesaria la protección de dicha capa, habrá que buscar entonces otro tipo de encriptación para el enlace. Las características o servicios de IPsec están implementados por una serie de protocolos estándar. Es importante que la implementación de IPsec esté fundamentada sobre estándares abiertos para que de esta manera permita interoperabilidad entre diferentes fabricantes. Los protocolos procedentes de IPsec no especifican una autenticación o encriptación en particular ni tampoco técnicas de generación de claves o SÁ. IPsec se basa en protocolos primarios que ayudan a implementar su arquitectura global, como IKE, ESP y AH, los cuales se detallrán más adelante.
www.FreeLibros.com
604
REDES CISCO. CCNP a Fondo
© R A -M A
Es importante comprender que estos protocolos están basados en estándares abiertos, IPsec los utiliza para autenticación, encriptación, generación de llaves y establecimiento de asociaciones de seguridad. IPsec es utilizado para proteger el flujo de los datos a través de una VPN, pero una VPN no necesariamente tiene que requerir que estos contenidos estén protegidos. Una VPN puede ser simplemente un túnel o un enlace entre dos puntos finales, por lo tanto la cabecera o etiqueta es identificada como tal pero el contenido interno está disponible para cualquiera que lo quiera inspeccionar entre dichos extremos finales. Entonces una VPN IPsec puede ser considerada segura y protegida mientras que otro tipo de VPN no comparte este tipo de características.
Características de IPsec Las características de IPsec consisten en lo siguiente: •
Confidencialidad de los datos
•
Integridad de los datos
•
Autenticación del origen de los datos
•
Anti-replay
Es importante comprender el significado de cada una de estas características y los protocolos que las implementan. La confidencialidad de los datos involucran los datos dentro de la VPN privada de IPsec y entre los participantes de la VPN. Muchas de las VPN se realizan a través de Internet, es decir, que muchos de los datos podrían ser interceptados y examinados. Cualquier tipo de tráfico corre siempre el riesgo de ser examinado por lo tanto no solamente debe verse a Internet con esa vulnerabilidad sino también cualquier otra ruta posible. Confidencialidad de los datos involucra la encriptación de los datos para hacerlos ilegibles, los paquetes que son encriptados al ser interceptados por otras personas no podrán ser leídos, solamente los podrá interpretar el receptor. El uso de la encriptación implica la selección de un algoritmo de encriptación y un medio para distribuir las llaves de encriptación involucradas. La confidencialidad de los datos no es requerido en las VPN IPsec. A menudo los paquetes viajan encriptados cuando pasan por una VPN pero la confidencialidad es una característica opcional en IPsec.
www.FreeLibros.com
© R A -M A
CAPÍTULO 26. IPsec
605
La integridad de los datos es una garantía de que los datos no han sido modificados o alterados durante el tránsito a través de la VPN IPsec. Integridad de los datos en sí mismo no proporciona la integridad de los datos. Típicamente utiliza un algoritmo hash para verificar si los datos dentro de un paquete han sido modificados entre dos puntos finales. Los paquetes que han sido identificados como dudosos no son aceptados. La autenticación del origen de los datos valida el origen en la VPN IPsec. Esta característica se realiza por cada uno de los extremos de la VPN para asegurar que el otro extremo es exactamente quien debe ser, el que está conectado. Esta característica es dependiente del servicio de integridad de datos, la autenticación del origen de los datos no podría existir por sí sola. Anti-replay asegura que los paquetes no están duplicados dentro de una VPN, esto se lleva a cabo a través del número de secuencia de los paquetes y de un sistema de ventanas deslizantes en el receptor. El número de secuencias es comparado con la ventana deslizante para detectar paquetes que llegan más tarde, dichos paquetes se consideran como duplicados y son eliminados. Como ocurre con la confidencialidad de los datos, Anti-replay se considera como una característica opcional.
PROTOCOLOS DE IPsec Los tres protocolos principales utilizados por IPsec son los siguientes: •
IKE (Internet Key Exchange)
•
ESP (Encapsulating Security Payload)
•
AH (Authentication Header)
Juntos estos tres protocolos ayudan a implementar su arquitectura global y ofrecen las características mencionadas anteriormente. Cada VPN IPsec utiliza una combinación de estos protocolos para proporcionar las características requeridas por la VPN.
IKE IKE (Internet Key Exchange) ofrece un marco para el intercambio de la negociación de seguridad y llaves de autenticación. Existe una variedad de opciones entre dos extremos IPsec. La negociación segura de estos parámetros utilizada para establecer la VPN IPsec se lleva a cabo por IKE.
www.FreeLibros.com
606
© R A -M A
REDES CISCO. CCNP a Fondo
IKE también intercambia llaves utilizadas para los algoritmos de encriptación simétrica dentro de VPN IPsec. Comparados con otros algoritmos de encriptación los algoritmos simétricos tienden a ser más eficientes y fáciles de implementar por hardware. La utilización de tales algoritmos requierén un material de llaves apropiados, IKE proporciona los mecanismos de intercambio de dichas llaves.
ESP ESP (Encapsulating Security Payload) proporciona el marco para la confidencialidad de los datos, integridad de los datos autenticación del origen de los datos y opcionalmente características como Anti-replay. ESP es el único protocolo de IPsec que proporciona encriptación de los datos pero también puede proporcionar todas las otras características de IPsec. Debido a esto último ESP es mayoritariamente utilizado en VPN IPsec hoy en día. Los siguientes procesos de encriptación están disponibles en ESP: •
DES (Data Encryption Standard) es un método de autenticación muy antiguo que está bastante extendido.
•
3DES (Triple Data Encryption Standard) es un bloque encriptado que utiliza tres veces DES.
•
AES (Advanced Encryption Standard) es uno de los algoritmos de llaves simétricas más populares actualmente.
AH AH (Authentication Header) proporciona el marco para la integridad de los datos, autenticación del origen de los datos y características opcionales como antireplay. Confidencialidad de los datos no es proporcionada por AH. AH se asegura que los datos no han sido modificados o interferidos pero no esconde estos datos cuando están transitando. La utilización de AH de manera solitaria ha caído en desuso en favor de ESP Ambos, AH y ESP utilizan HMAC (Hash-based Message Authentication Code) como chequeo para la autenticación e integridad. La siguiente tabla muestra los algoritmos de hash de HMAC
www.FreeLibros.com
© RA-MA
CAPÍTULO 26. IPsec
Algoritmo Hash
Entrada
Salida
Utilizado por IPsec
Message Digest 5 (MD5)
Variable
128 bits
128 bits
Secure Hash Algorithm (SHA-1)
Variable
160 bits
Primeros 96 bits
607
Ambos MD5 y SHA-1 utilizan una llave secreta compartida para el cálculo de los valores de autenticación del mensaje. La fuerza criptográfica de HMAC depende de las propiedades de la función de hash subyaciente. MD5 y SHA-1 toman datos de entradas de longitud variable y crean un hash de longitud fija, la diferencia es el tamaño y la fuerza del hash que ha sido creado. Aunque IPsec utiliza solamente los primeros 96 bits de los 160 del hash de SHA-1, es considerado más seguro que MD5.
MODOS DE IPsec IPsec ofrece dos modos de configuración diferentes dependiendo de hasta dónde se quieran proteger los datos. • Modo Transporte, la cabecera IPsec es insertada justo después de la cabecera IP, de manera que la cabecera IP original está expuesta y no es protegida. Los datos en la capa de transporte y superiores son los que se benefician de IPsec. • Modo Túnel, en este caso tanto la cabecera IP original como el resto de datos del paquete son protegidos. Este modo genera una nueva cabecera IP que contiene las direcciones IP de los terminadorés IPsec (por ejemplo concentradores VPN o router). De esta manera las direcciones IP expuestas son las de los terminadores pero no la de los host que están detrás de ellos.
www.FreeLibros.com
608
© R A -M A
REDES CISCO. CCNP a Fondo
‘Zona no
IPsec
T ra m a g e n é r ic a
Cabecera Cabecera Cabeosra Capa 4 C apa 2 Capa 3
P a q u e te IP
C abecera Cabecera Cabecera 3 t>atw V TCP/UDP IP Capa 2
M odo T ra n sp o rte
M odo Túnel
Cabecera Cabecera Capa 2 IP
Cabecera Capa 2
N ueva ¡1 C a b IP M
CABECERAS IPsec Tanto AH, reconocido con el número de protocolo IP 51, como ESP, protocolo IP número 50, son implementados mediante la adición de cabeceras al paquete IP original. La VPN puede usar uno de los dos o ambos, aunque hay que recordar que si se utiliza ESP el uso adicional de AH no conlleva un mayor beneficio ya que ESP implementa por sí mismo todas las funcionalidades de IPsec.
AUTENTICACIÓN DE VECINOS Con la autenticación del vecino se garantiza que el extremo IPsec es quien realmente se supone que ha de ser. Existen cinco métodos para autenticar al vecino: •
Usuario y contraseña, donde un usuario y su respectiva contraseña son definidos en ambos extremos. No es una solución muy segura ya que esos datos son almacenados localmente y son susceptibles de robo.
•
Contraseña de un sólo uso (OTP), este método es bueno para establecer sesiones de una en una, si alguien descubre una contraseña utilizada previamente no le servirá de nada.
www.FreeLibros.com
© RA-MA
CAPÍTULO 26. IPsec
609
•
Sistemas biométricos, analizan una parte de las características del ser humano, por ejemplo las huellas digitales, la retina, etc. Es un método muy seguro ya que duplicar dichas características sería prácticamente imposible.
•
Claves pre compartidas, similar al método de usuario y contraseña, pero en este caso se utiliza un valor configurable en ambos extremos.
•
Certificados digitales, este método es muy común y cada vez gana más terreno de utilización. Un certificado digital es emitido para cada dispositivo por parte de una CA y será válido solamente en el dispositivo para el que ha sido emitido.
INTERNET KEY EXCHANGE Una conexión IPsec entre dos dispositivos puede ser establecida configurando manualmente llaves de encriptación en ambos extremos, pero esto no es óptimo ni escalable. La solución es usar una arquitectura IKE.
Protocolos IKE IKE es un método para intercambiar de manera dinámica parámetros y claves IPsec para que se puedan establecer las SA. Las SA o asociaciones de seguridad son acuerdos de parámetros IPsec entre dos peers. IKE usa los siguientes protocolos: •
ISAKMP, Internet Security Association and Key Management Protocol, que define cómo establecer, negociar, modificar y borrar las SA.
•
Oakley, utiliza el algoritmo DH (Diffie-Hellman) para gestionar el intercambio de claves sobre SA.
Fases IKE El protocolo IKE puede dividirse en dos partes que crean una comunicación segura entre los dos extremos IPsec. Aunque son dos fases primarias y obligatorias, existe también una tercera opcional:
www.FreeLibros.com
610
© R A -M A
REDES CISCO. CCNP a Fondo
•
Fase 1. Es obligatoria. Una SA bidireccional es establecida entre los dos peers. Puede ser establecida usando dos modos, modo main o modo agresivo, los cuales serán vistos posteriormente.
•
Fase 1.5. Es opcional. Proporciona una capa adicional de autenticación llamada Xauth o autenticación extendida, cuya finalidad es validar al usuario que va a hacer uso de la conexión segura.
•
Fase 2. Es obligatoria. Se establecen SA unidireccionales entre los peers usando los parámetros acordados en la fase 1. Durante esta fase se utiliza el modo quick.
Modos IKE Modo main. Consiste en el intercambio de seis mensajes entre los peers, que pueden simplificarse en estos tres conceptos: •
Parámetros IPsec y políticas de seguridad. El iniciador envía una o más propuestas y el vecino selecciona la apropiada.
•
Intercambio de llaves públicas Diffie-Hellman. Son enviadas entre los dos peers.
•
Autenticación de la sesión ISAKMP. Cada extremo es autenticado por el otro. Modo agresivo. Consiste en el intercambio de tres mensajes entre los
peers: •
El iniciador envía todos los datos, incluyendo parámetros IPsec, políticas de seguridad y llaves públicas DH.
•
El vecino autentica el paquete y envía una propuesta de parámetros, material clave y una identificación.
•
El iniciador autentica el paquete.
Modo rápido. Se utiliza durante la Fase 2 y su negociación está protegida por la SA estipulada en la Fase 1. Negocia las SA utilizadas para encriptar datos a través de la conexión IPsec. También gestiona el intercambio de llaves para esas SA.
www.FreeLibros.com
©RA-M A
CAPÍTULO 26. IPsec
611
Otras funciones IKE Además de intercambiar llaves y parámetros IPsec, IKE puede realizar las siguientes funciones: •
Dead Peer Detection (DPD). Es un mecanismo que envía helio de manera periódica entre los peers para detectar fallos.
•
NAT transversal. Para que PAT pueda funcionar necesita obtener información de puertos que de otro modo no podría leer al estar encriptados cuando se utiliza IPsec. Insertando una cabecera UDP antes de la cabecera ESP se permite que el router pueda mantener la tabla PAT, como aparece en la siguiente figura:
PAT
Red Pública
Paquete IP original
i
Cabecera- Cab IP Capa 2 Externa f
NAT Cabecera Transversal Capa 2
Cab IP Externa
Cabecera UDP
•
Modo Configuration. Centraliza las configuraciones que han de ser enviadas a los clientes. Cisco Easy VPN es un claro ejemplo de gestión centralizada.
•
Xauth, IKE extended authentication. Autentica al usuario que hará uso del túnel seguro para verificar que es quien dice ser.
ALGORITMOS DE ENCRIPTACIÓN La encriptación no es más que la aplicación de un algoritmo matemático y una llave a una serie de datos para hacerlos ilegibles a todos excepto a quien pueda desencriptarlos.
www.FreeLibros.com
612
© R A -M A
REDES CISCO. CCNP a Fondo
Encriptación simétrica Estos algoritmos se basan en el uso de una sola llave tanto para encriptar como para desencriptar los datos. La llave ha de estar muy bien protegida porque si fuera robada los datos podrían ser desencriptados. Tienden a ser fáciles de implementar y son útiles cuando es necesario encriptar grandes cantidades de datos. DES, 3DES y AES son tres ejemplos de algoritmos de este tipo utilizados actualmente.
Encriptación asimétrica Estos algoritmos utilizan diferentes llaves para encriptar y para desencriptar. La llave utilizada para encriptar recibe el nombre de llave pública, mientras que la usada para desencriptar recibe el nombre de llave privada. La llave pública puede ser distribuida para que cualquiera pueda encriptar los datos, pero solamente el poseedor de la llave privada podrá leerlos. Para el caso de las firmas digitales hay que invertir la lógica, la llave privada se usa para firmar y encriptar el mensaje, mientras que la llave pública desencripta y valida la firma digital. RSA (Rivest, Shamir, and Adleman) es un ejemplo de algoritmo de encriptación asimétrico. La longitud de la llave empieza en 1024 bits.
PUBLIC KEY INFRASTRUCTURE PKI involucra el proceso de intercambio y mantenimiento de llaves. Existen una serie de elementos que intervienen y son los siguientes: •
Peers, dispositivos que necesitan comunicarse de manera segura.
•
CA (Autoridad Certificadora) otorga y mantiene certificados digitales.
•
Certificado Digital, identifica a un peer de manera unívoca. Actualmente se utiliza la versión X.509v3.
•
RA (Registration Authority) es una entidad opcional que puede gestionar el proceso de petición de certificados.
•
Mecanismo de distribución, medio para distribuir CRL (Certifícate Revocation Lists) en la red, por ejemplo vía Web.
www.FreeLibros.com
© RA-MA
CAPÍTULO 26. IPsec
613
La siguiente secuencia describe los pasos de un intercambio de mensaies PKI: •
Un host genera un par de llaves RSA (pública y privada) y pide la llave pública de su CA.
•
El CA envía su llave pública al host.
•
El host genera una petición de certificado que dependiendo de la arquitectura de la red será enviada al CA o RA.
•
Una vez aprobado, el CA firma el certificado con su llave privada y se lo envía al host.
•
El host guarda ese certificado en memoria no volátil.
•
El host utiliza el certificado para establecer comunicaciones seguras con otros hosts que hayan también llevado a cabo estos pasos.
www.FreeLibros.com
i
I
www.FreeLibros.com
Capítulo 27
VPN SITE-TO-SITE INTRODUCCIÓN A LAS VPN SITE-TO-SITE Las empresas siempre han necesitado desplegar oficinas remotas, datacenters, etc. incluso antes del gran crecimiento de Internet, requiriendo servicios de comunicación local, regional o internacional por parte de los Proveedores de Servicios. Muchas veces dichos servicios eran llevados a cabo por varias empresas proveedoras. Estas primeras conexiones por conmutación de circuitos pueden considerarse las primeras implementaciones de VPN. Eran conexiones privadas entre dos sistemas finales formadas por PVC o SVC según el servicio dado. Con el crecimiento de Internet los mismos Proveedores de Servicios empezaron a ofrecer conectividad convirtiéndose así en Proveedores de Servicios de Internet o Internet Service Providers (ISP). La diferencia radica en que en lugar de proporcionar conectividad de extremo a extremo lo que proporcionan realmente es simplemente acceso a Internet, de manera global, pudiendo así alcanzar cualquier host que también estuviera conectado a Internet a través de ese mismo ISP u otro. En muchos de los casos IPsec ha permitido establecer comunicaciones seguras entre extremos a través de Internet.
www.FreeLibros.com
616
REDES CISCO. CCNP a Fondo
© R A -M A
CREACIÓN DE VPN IPsec SITE-TO-SITE Existen 5 pasos fundamentales en el proceso de una VPN IPsec. Estos pasos están descritos a continuación y son válidos para VPN del tipo site-to-site pero también es aplicable a dos extremos finales que quisieran establecer una conexión VPN entre ellos.
PASO 1: Especificación de tráfico interesante Definiendo como tráfico interesante a todo aquel que se quiera proteger con IPsec para ser enviado a través del túnel IPsec. Solamente los dos extremos del túnel tienen la capacidad de desencriptar y validar dicho tipo de tráfico. Esto implica que el tráfico no categorizado como interesante no será protegido por IPsec, sin embargo podrá viajar por la red usando otro método. El tráfico se categoriza como interesante mediante el uso de ACL extendidas. El tráfico permitido en estas ACL podrá viajar a través del túnel. Si en túnel no existiera la llegada del primer paquete de tráfico interesante, provocaría la creación de dicho túnel. Al explicar estos conceptos se asume que el túnel no ha sido previamente creado, de lo contrario se debería pasar directamente al paso 4.
PASO 2: IKE fase 1 Una vez que el primer paquete con tráfico interesante llega, el proceso de crear el túnel comienza. IKE puede utilizarse de dos modos: modo main o modo agresivo. El objetivo de ambos modos es el mismo, pero el número de mensajes intercambiados en modo agresivo es significativamente menor que en el modo main. La siguiente figura muestra de manera gráfica IKE fase 1, modo main.
www.FreeLibros.com
© RA-MA
CAPÍTULO 27. VPN SITE-TO-SITE
617
Negociación de políticas
Intercambio DH
Autenticación de ¡guales
•
En modo main el primer par de paquetes negocian los parámetros de seguridad usados para establecer el túnel IKE. Los dos extremos intercambian proposiciones en la forma de transform sets cuyo funcionamiento se detallará más adelante.
•
El segundo par de paquetes intercambia las llaves públicas Diffie-Hellman necesarias para crear el túnel seguro IKE. Este túnel es usado posteriormente para el intercambio de llaves para las SA de IPsec.
•
El tercer par de paquetes lleva a cabo la autenticación de iguales. Una función de claves o hash se utiliza para confirmar la identidad y asegurar que los dispositivos no autorizados no pueden establecer un canal de comunicación seguro. El modo agresivo reduce la IKE fase 1 a un intercambio de 3 paquetes.
• El primer paquete es enviado desde el iniciador al receptor. En él se envía la propuesta de políticas, la llave pública Diffie-Hellman y un medio de autenticación. • El segundo paquete viaja desde el receptor al iniciador. Contiene la propuesta de políticas aceptada,- su llave pública Diffie-Hellman y un número de secuencia aleatorio para la autenticación. • El
tercer paquete es una confirmación del iniciador al receptor.
www.FreeLibros.com
618
© R A -M A
REDES CISCO. CCNP a Fondo
IKE Transform Sets En IKE existen múltiples parámetros de seguridad que en lugar de negociarlos individualmente se puede utilizar el concepto de transform set, que no es más que una agrupación de parámetros de seguridad. Típicamente estarán creados en los extremos IPsec. Para que el establecimiento de la VPN pueda llevarse a cabo ambos extremos han de tener una política común, en otras palabras, un juego de parámetros de seguridad común o transform sets comunes. Existen 5 parámetros que deben ser coordinados durante IKE fase 1: • Algoritmo de encriptación (DES, 3DES o AES). • Algoritmo de autenticación (MD5 o SHA-1). •
Llave (pre-compartida, firmas RSA).
• Versión de Diffie-Hellman (1, 2 o 5). • Tiempo de vida del túnel IKE (tiempo o número de bytes). La siguiente figura muestra cómo dos extremos IPsec utilizan IKE transform sets para coordinar el túnel IKE. En la figura el router A y el router B intentan negociar un túnel IKE. Asumiendo que el Router A inicia el proceso de negociación IKE enviando dos políticas IKE, 10 y 20 hacia B. El router B recibe los dos transform sets y compara sus contenidos con los que tiene. Esta comparación es llevada a cabo secuencialmente con las políticas IKE locales. El primer acierto encontrado se convierte en la política empleada. El número de secuencia sirve para establecer la prioridad de la comparación.
www.FreeLibros.com
© R A -M A
CAPÍTULO 27. VPN SITE-TO-SITE
619
Sitio remoto
Negociación de políticas
IKE Transform Set 10
IKE Transform Set 15
Encryption: DES
Encryption: DES
Authentication: MD5
Authentication: MD5
IKE Transform Set 20
IKE Transform Set 25
Encryption: 3DES
Encryption: DES
Authentication: SHA-
Authentication: MD5
En el ejemplo, los contenidos de la política 10 del router A encajan con los contenidos de la política 25 del router B. Entonces el roter B responde al A indicando que acepta la política 10 y la SA es creada. Si el router B no hubiera encontrado un transform set que encajara con el que A envía, el túnel IKE no hubiera podido establecerse, fallando así el proceso de IPsec. ■ Un sitio remoto que usa una sola conexión IPsec podría necesitar solamente un transform set, pero si usara más de una conexión y los extremos de dichas conexiones usarán diferentes transform sets (lo cual sería lógico) será necesario tener configurados varios transform sets.
www.FreeLibros.com
620
REDES CISCO. CCNP a Fondo
© R A -M A
Intercambio Diffie-Hellman Una vez que las políticas IKE han sido acordadas, el protocolo DH (Diffie-Hellman) es usado para intercambiar las llaves que serán utilizadas en la Fase 1. Los dispositivos VPN de Cisco soportan solamente los grupos 1, 2 y 5 de Diffie-Hellman, los cuales emplean números primos de 768, 1024 y 1536 bits respectivamente. Cuanto más grande sea el número, más tiempo se tarda en generar las llaves, pero éstas serán a su vez más seguras. Normalmente se usan los grupos 2 o 5. Una vez que las llaves Diffie-Hellman son intercambiadas y la clave secreta se comparte, se crea la SA para la Fase 1. Esta SA de fase 1 es utilizada para intercambiar material cla^e para la Fase 2.
Autenticación de iguales La responsabilidad final de la Fase 1 es autenticar a los iguales o peers. Si la autenticación fallase, el proceso se detendría y el túnel IPsec nunca sería creado. Existen tres métodos para autenticación entre pares o iguales: •
Llaves pre-compartidas: se configuran en cada uno de los peers y son intercambiadas en las políticas de IKE. Debe haber una coincidencia para que la autenticación sea satisfactoria.
•
Firmas RSA: se basa en el uso de certificados digitales para autenticar peers. Se emite un certificado a cada uno, el cual forma parte del transform set. Los pares deben asegurarse de que el certificado ha sido firmado o validado por un CA de confianza.
•
Números de un sólo uso encriptados RSA: estos números son generados aleatoriamente por cada peer, encriptado y enviado.
PASO 3: IKE fase 2 Los túneles IPsec son establecidos en la Fase 2. Durante la Fase 1 IKE crea un canal de comunicaciones seguro sobre el cual el túnel IPsec podrá ser establecido. Los parámetros IPsec son negociados usando SA IKE.
www.FreeLibros.com
© RA-MA
CAPÍTULO 21. VPN SITE-TO-SITE
621
Durante IKE Fase 2 se llevan a cabo las siguientes funciones: •
Negociación de parámetros de seguridad con IPsec transform sets.
•
Establecimiento de las SA de IPsec (túneles IPsec unidireccionales).
•
Renegociación periódica de SA de IPsec para afianzar la seguridad.
• Un intercambio Diffie-Hellman adicional (opcional). IKE fase 2 tiene solamente un modo llamado modo quick que abarca todos los procesos que se producen en esta fase. Una vez que los parámetros IPsec son acordados, las ser creadas. Al ser unidireccionales, son necesarias dos comunicaciones bidireccionales entre dos peers o iguales. El un generador de números aleatorios para generar nuevo compartidas y para prevenir así los ataques de repetición.
SA de IPsec pueden SA para establecer modo quick, utiliza material de claves
El modo quick también monitoriza la caducidad de las SA y establece nuevas SA cuando es necesario. Una SA nunca debería estar activa indefinidamente, para prevenir que las llaves de encriptación sean comprometidas. Cuando la SA está cerca de caducar una nueva es creada de manera que no hay pérdida de datos en el flujo protegido. Opcionalmente el modo quick puede llevar a cabo intercambios adicionales DH. Dichos intercambios generarían nuevas claves privadas y/o públicas entre los peers de IPsec. Esto ocurre cuando las claves DH caducan, debido a exceso de tiempo o de bytes.
IPsec Transform Sets Como se vio anteriormente un transform set es un grupo de atributos que son intercambiados conjuntamente. Durante el modo quick entre peers de IPsec existen 5 parámetros que han de ser coordinados: •
Protocolo (ESP o AH).
•
Tipo de encriptación (DES, 3DES o AES).
•
Autenticación (MD5 o SHA-1).
•
Modo (túnel o transporte).
•
Tiempo de vida de las SA (segundos o Kbyte).
www.FreeLibros.com
622
REDES CISCO. CCNP a Fondo
©RA-M A
La figura siguiente muestra cómo dos peers de IPsec utilizan transform sets para coordinar las SA de IPsec. Sitio remoto
N e g o cia ció n de p o lític a s
IPsec Transform Set 60
IPsec Transform Set 55
Protocol: ESP
Protocol: ESP
Encryption: DES IPsec Transform Set 70 Protocol: ESP Encryption: 3DES
\ \
Encryption: 3DES
\
IPsec Transform Set 65 Protocol: ESP Encryption: 3DES
En la figura el router A y el router B están intentando negociar parámetros para las SA de IPsec. Asumiendo que el router A inicia el proceso de negociación de IKE fase 2 enviando sus dos transform sets, 60 y 70, el router B recibe los dos transform sets y los compara secuencialmente con los que posee. Los parámetros del transform set 70 del router A encajan con los del transform set 55 en el router B. Este último responde indicando que acepta los parámetros del transform set 70, por lo tanto las SA de IPsec son construidas. Si el router B no encuentra un transform set con los mismos parámetros que los que recibe, el proceso fallaría.
www.FreeLibros.com
©RA-M A
CAPÍTULO 21. VPN SITE-TO-SITE
623
Un sitio remoto que utiliza una sola conexión IPsec podría necesitar solamente un transform set, pero si utilizase más de una conexión y los extremos de dichas conexiones deberían emplear diferentes transform sets.
Asociaciones de seguridad Una SA es un grupo de parámetros de seguridad acordados entre dos peers de IPsec. Estos parámetros son intercambiados durante IKE fase 2 en transform sets. Una vez que los peers acuerdan qué parámetros comunes utilizar, las SA son construidas. Cada SA es una conexión unidireccional entre dos peers. El flujo de datos ha de ser bidireccional, por lo tanto son necesarias dos SA, las cuales han de tener las mismas medidas de seguridad acordadas mediante el uso de transform sets. Cada SA es referenciada por un SPI (Security Parameter Index). El SPI viaja con los paquetes IPsec y se utiliza para referenciar y confirmar los valores de seguridad en el extremo final. El uso de los SPI elimina la necesidad de enviar parámetros de seguridad con cada paquete IPsec. Cada cliente IPsec emplea un SAD (SA Database) para rastrear cada una de las SA en las que el cliente participa. La SAD contiene información acerca de la conexión IPsec como la siguiente: •
IP destino.
•
Número SPI.
•
Protocolo IPsec (ESP o AH).
Una segunda base de datos llamada SPD (Security Policy Database) contiene los parámetros de seguridad acordados por cada SA: •
Algoritmo de encriptación (DES, 3DES o AES).
•
Algoritmo de autenticación (MD5 o SHA-1).
•
Modo de IPsec (túnel o transporte).
•
Vida de la clave (segundos o Kbyte).
www.FreeLibros.com
624
©RA-MA
REDES CISCO. CCNP a Fondo
Tiempo de vida de SA Uno de los parámetros de seguridad que deben ser acordados en los transform sets es el tiempo de vida. El túnel IPsec no utilizará la misma clave indefinidamente, debido a la posibilidad de que sea comprometida. IPsec fuerza a que las claves caduquen después de un período de tiempo predeterminado (en segundos) o después de que una cantidad de datos haya sido transmitida (en kilobytes). Cuando la clave está a punto de caducar se sigue enviando tráfico, dicho flujo no se verá afectado. Nuevas claves serán intercambiadas y nuevos túneles construidos. Los valores del tiempo de vida han de ser coherentes, no demasiado grandes para evitar que el túnel no sea comprometido y no demasiado cortos para evitar estar generando claves continuamente.
PASO 4: Transferencia segura de los datos Después de que los transform sets han sido acordados por los dos extremos y la SAD y SPD han sido actualizadas en cada uno de ellos (lo cual implica que las SA han sido construidas), el tráfico puede fluir a través del túnel IPsec. Teniendo en cuenta que sólo el tráfico identificado como interesante fluirá a través del túnel, el resto saldrá sencillamente por la interfaz.
PASO 5: Terminación del túnel Existen dos eventos que pueden causar que el túnel termine: •
El tiempo de vida de la SA expira. Se debe tener en cuenta que si en ese momento todavía hay tráfico en el túnel, un nuevo túnel será construido sin alterar el flujo de los datos.
•
Manualmente. El administrador tiene la capacidad para terminar el túnel.
CONFIGURACIÓN DE UNA VPN SITE-TO-SITE Para la configuración de una VPN site-to-site utilizando Cisco IOS son necesarios los siguientes 6 pasos:
www.FreeLibros.com
©RA-M A
CAPÍTULO 27. VPN SITE-TO-SITE
625
1. Configuración de la política ISAKMP (IKE fase 1). 2.
Configuración de los IPsec transform sets (IKE fase 2, terminación del túnel).
3.
Configuración de la crypto transferencia segura de datos).
4.
Configuración del crypto map (IKE fase 2).
ACL
(tráfico
interesante,
5. Aplicación del crypto map a la interfaz (IKE fase 2). 6.
Configuración de la ACL para la interfaz.
Configuración de la política ISAKMP Este paso está unido con la Fase 1 de IKE, la cual se encarga de establecer un túnel bidireccional seguro usado para intercambiar claves IPsec para las SA.
c r y p t o isakm p key 0 S e c r e t a d d re ss 1 0 . 1 0 . 4 . 3
www.FreeLibros.com
c r y p t o isakmp key 0 S E C re t a d d re ss 1 0 . 1 0 . 4 . 3
626
REDES CISCO. CCNP a Fondo
©RA-MA
Los parámetros de configuración que se muestran en la figura exhiben dos políticas ISAKM P configuradas. Debido a que se utilizan claves precompartidas, las claves ISAKMP han de estar definidas. Estas políticas son intercambiadas durante IKE fase 1. La política 10 en el router A encaja con la política 25 en el router B, así como la clave entre ambos (TOPsecret). El túnel IKE es creado usando esos atributos. Las políticas siguen un orden secuencial, por lo tanto es beneficioso siempre configurarlas más fuertes con los números más bajos, para que tengan mayores posibilidades de ser elegidas primero.
Configuración de los IPsec transform sets La configuración de los transform sets cubre en realidad tres de los pasos de la configuración de IPsec: •
IPsec transform sets
•
Crypto ACL
•
Crypto map
La figura muestra la configuración de los transform sets en Cisco IOS. Sitio rem oto
S2/1 172.16.1.2
192,
S3/2 10.1.3.2
19ZL168.101.0/24 192.168.2.0/24
192.163.102,0/24
c r y p t o ip s e c t r a n s f o r m - s e t set-55;
c r y p t o ip s e c t r a n s f o r m - s e t s e t-6 0 e s p -d e s esp-sh a -h m ac mode tu n n e l
esp'-Sdes-íesp-sha-hmac mo3e tunnel
c r y p t o ip s e c t r a n s f o r m e s p -3 d e s e sp -sh a -h m ac W Q d e,tun n el
c r y p t o ip s e c t r a n s f o r m - s e t s e t-6 5 e sp -3 d e s esp-md5-hmac mode t u n n e l
et
et
www.FreeLibros.com
© RA-MA
CAPÍTULO 21. VPN SITE-TO-SITE
i
627
i
c r y p t o ip s e c s e c u r i t y - a s s o c i a t i o n l i f e t i m e seconds 1800
c r y p to ip s e c s e c u r i t y - a s s o c ia t io n l i f e t i m e seconds 1800
a c c e s s - l i s t 170 p e r m it1 1 9 2 . 1 6 8 Í1.0" ^ a c c e s s - l i s t
155 p e rm it 0 . 0 . 0 . 2 5 5 1 9 2 .1 6 8 .1 0 1 .0 0 . 0 . 0 . 2 5 5 ^ _ _ ^ 9 2 . 1 6 8 .1 0 1 ,p ! ~ * 0.0.0.25 5 192.168.1.0 0.0.0.255 crypto map Sitio-central 70 ipsec! isakm p se t peer 10.1.3.2 match a d d re ss 170 s e t t r a n s f o r m - s e t s e t- 7 0
'
c r y p to map to -re m o te 55 ip s e c isakmp s e t p e e r 1 7 2 . 16 . 1 . 2 match a d d ress 155 s e t t r a n s f o r m - s e t s e t-5 5
Cada dispositivo IPsec define uno o más transform sets. En este caso set60, set-70, set-55 y set-65, estos nombres son de significado local. Los términos esp-3des y esp-sha-hmac definen ESP como el protocolo de IPsec. La siguiente tabla muestra una lista de transform sets: Tipo de transform
IOS transform
Descripción
Ah-md5-hmac
AH con MD5
autenticación
Ah-sha-hmac
AH con SHA
autenticación
Esp-aes
ESP con autenticación AES de 128 bits
Esp-aes 192
ESP con autenticación AES de 192 bits
Esp-aes 256
ESP con autenticación AES de 256 bits
Esp-des
ESP con autenticación DES de 56 bits
Esp-3des
ESP con autenticación DES de 168 bits
AH transform
ESP encryption transform
www.FreeLibros.com
628
REDES CISCO. CCNP a Fondo
ESP authentication transform
©RA-MA
Esp-md5-hmac
ESP con MD5
autenticación
Esp-sha-hmac
ESP con SHA
autenticación
El comando crypto ipsec transform-set se utiliza para seleccionar un transform AH, un transform de encriptación ESP o un transform de autenticación ESP. Solamente se puede seleccionar un IOS transform de cada tipo. La figura muestra el uso de un transform DSE encriptación ESP y un transform de autenticación ESP. No es necesario utilizar los tres tipos de transform al configurar el túnel IPsec. En la sintaxis el parámetro esp-3des define el algoritmo de encriptación, mientras que esp-sha-hmac define el algoritmo de autenticación. También se muestra cómo está configurado el modo tunnel. Al ser este último el modo por defecto existe la posibilidad de que en un sh run esta configuración no apareciera en pantalla. A su vez el comando crypto ipsec security-association permite que el tiempo de vida de las SA sea configurado, en este caso ha sido configurado con un valor de 30 minutos.
Configuración de la Crypto ACL La utilización de una ACL extendida permite categorizar el tráfico interesante. Dicha ACL es mostrada también en la sintaxis anterior. En el sitio remoto la ACL es la 170 mientras que en la oficina central es la 155. Cada una de ellas define el origen y destino del tráfico que será enviado a través de los túneles. Es importante que estas ACL sean espejos la una de la otra: la dirección de origen en una ha de ser la dirección de destino en la otra y viceversa. Aunque también es común en los sitios remotos enviar todo el tráfico a través del túnel y crear en el sitio central configuraciones más complejas. En la figura anterior una subred de cada sitio es categorizada como interesante gracias a las ACL y será protegida por el túnel IPsec, el resto del tráfico no será tunelizado.
www.FreeLibros.com
©RA-MA
CAPÍTULO 27. VPN SITE-TO-SITE
629
Configuración del Crypto Map En este paso se configura el crypto map que se basa en unir el transform con la ACL y hacer que apunten hacia el peer remoto. Los números 70 y 55 en cada uno de los crypto maps son números de línea, pudiendo tener múltiples líneas, las cuales son referenciadas de menor a mayor número. se t junto
En caso de tener una sola interfaz con múltiples clientes VPN remotos, será necesario un sólo crypto map con entradas únicas por cada peer. En la oficina remota el crypto map Sitio-central crea una SA hacia el peer 10.1.3.2 y protege cualquier tráfico que coincida con la ACL 170 usando los parámetros de seguridad definidos en el transform set-70. Se aplica la misma lógica para el crypto map en la oficina central.
Aplicación del Crypto Map a una interfaz Una vez que el crypto map es creado es necesario aplicarlo a la interfaz para que sea operacional. La siguiente sintaxis se aplica a la figura anterior donde se asocia el crypto map a la interfaz: Router A: crypto map to-central 10 ipsec-isak*ap set peer 10.1.3.2 match address 170 set transform-set set-70 interface serial 2/1 172.16.1.2 255.255.255.0 cryp-co map to-céntral ip route 192.168.101.0 255.255.255.0 10.1.3.2
Router B: crypto map to-remote 10 ipsec-isakmp set peer 172.16.1.2 match address 155 set transform-set set-55 ■rface serial 3/2 ¡ddress lÓ.l’ .3.2 255.255.255.0!
ip route 192.168.1.0 255.255.255.0 172.16.1.2
www.FreeLibros.com
630
©RA-MA
REDES CISCO. CCNP a Fondo
En 'Ja sintaxis del comando crypto map se muestra cómo se utiliza de manera global y cómo aplicarlo de manera local en el modo de interfaz. Normalmente son asociados en interfaces de salida, como muestra el ejemplo; esa interfaz es el origen de la VPN IPsec. Será necesario modificar la tabla de enrutamiento. Desde la oficina remota la idea es que los dispositivos en la red 192.168.1.0/24 se comuniquen a través del túnel con la red remota 192.168.101.0/24, pero la tabla de rutas de A no contiene esa información ya que no está siendo anunciada desde B. Son necesarias las configuraciones de rutas estáticas en los router A y B para lograr conectividad usando como puertas de enlace las interfaces contrarias que tienen el crypto map aplicado.
Configuración de la ACL en la interfaz En los ejemplos mostrados hasta ahora el router conectado a Internet también hace la función de peer IPsec. Teniendo en cuenta que este router debería estar bloqueando gran cantidad de tráfico, se deben permitir los paquetes adecuados para que las SA de IKE e IPsec sean permitidas. En este caso la IP de origen de los paquetes IPsec es conocida. Cuando permitimos paquetes IPsec desde Internet es posible utilizar una ACL extendida, por ejemplo si se conoce el rango de direccionamiento desde el que se recibirán las conexiones. La figura muestra parte de una ACL empleada para permitir paquetes IPsec en la interfaz. S2/1 172.16.1.2
S3/2 10.1.3.2
www.FreeLibros.com
©RA-MA
CAPÍTULO 21. VPN SITE-TO-SITE
access-list 110 permit ahp host 10.1.3.2 host 172.16.1.2 access-list 110 permit esp host 10.1.3.2 host 172.16.1.2 access-list 110 permit udp host 10.1.3.2 host 172.16.1.2 eq isakmp
631
access-list 120 permit ahp host 172.16.1.2 host 10.1.3.2 access-list 120 permit esp host 172.16.1.2 host 10.1.3.2 access-list 120 permit udp host 172.16.1.2 host 10.1.3.2 eq isakmp
¡
i
interface serial 2/1 ip address 172.16.1.2 255.255.255.0 crypto map to-central ip access-group 110 in
interface serial 3/2 ip address 255.255.255.0 crypto map to-remote ip access-group 120 in
10.1.3.2
Las ACL en las interfaces que conectan hacia Internet podrían ser enormes, por lo tanto es necesario asegurar que el tráfico IPsec será correctamente permitido para poder establecer las VPN. En el ejemplo se conoce exactamente el origen de las conexiones pero se podrían utilizar ACL extendidas con rangos determinados en lugar de orígenes específicos.
SECURITY DEVICE MANAGER SDM . (Security Device Manager) es una potente herramienta de configuración que permite configurar routers Cisco desde las series 800 a 3800 vía Web. Con esta herramienta podemos llevar a cabo las siguietes funciones: •
Configuración inicial del router.
•
Configuración del firewall.
•
Site-to-site VPNs.
•
Lockdown.
•
Auditorías de seguridad.
La página de inicio del SDM muestra una serie de iconos comunes para controlar la página que esté activa en ese momento.
www.FreeLibros.com
632
REDES CISCO. CCNP a Fondo
©RA-MA
Estos iconos permiten realizar las siguientes funciones: •
Home, muestra el hardware, software y una vista general de la página.
•
Configure, proporciona las opciones parámetros y características del router.
•
Monitor, muestra la configuración y el estado operacional.
•
Refresh, refresca la página actual.
•
Save, guarda la configuración actual de SDM en el router.
•
Search, permite buscar palabras clave y características.
•
Help, ayuda acerca de cómo usar SDM.
para
configurar
www.FreeLibros.com
los
©RA-MA
CAPÍTULO 21. VPN SITE-TO-SITE
633
La página inicial muestra dos conjuntos de información. La primera sección, localizada en la parte superior, es etiquetada como About Your Router. Muestra información acerca del hardware (model, RAM, Flash) y software (versiones de IOS y SDM) en el router. Para obtener mayor información elija la opción more options. La segunda sección es etiquetada como Configuration Overview. Permite ver las opciones configuradas, pero no modificarlas. Esta sección tiene cinco componentes: •
Interfaces and Connections, muestra las interfaces LAN/WAN y cuántas poseen algún tipo de configuración. También muestra información del router si está actuando como servidor DHCP. Esta sección puede ser expandida para mostrar cada interfaz de forma individual.
•
Firewall Policies, muestra las interfaces confiables, no confiables y DMZ así como las políticas configuradas. Esta sección puede ser expandida para mostrar cada política de forma individual.
•
VPN, muestra las configuraciones de VPN site-to-site, túneles GRE sobre túneles IPsec, clientes Xauth, clientes DMVPN, clientes VPN y clientes easy VPN. Esta sección puede ser expandida para mostrar cada VPN IPsec de forma individual.
•
Routing, muestra el número de rutas estáticas y protocolos de enrutamiento dinámico configurados.
•
Intrusión Prevention, muestra el número de firmas que el router es capaz de reconocer así como las interfaces en las que IPS está habilitado.
CONFIGURACIÓN VPN SITE-TO-SITE CON SDM En primer lugar se debe acceder a través del botón configure situado en la parte superior de la ventana para mostrar la página configure. En la parte izquierda de la ventana se mostrará la barra llamada Tasks, la cual lista todas las opciones de configuración.
www.FreeLibros.com
634
©RA-M A
REDES CISCO. CCNP a Fondo
Opciones de la barra Tasks: •
Interfaces and Connections, utilizado para crear o editar interfaces en el router.
•
Firewall and ACL, utilizado para crear y editar configuraciones básicas o avanzadas de firewall en el router.
•
VPN, utilizado para crear y editar funciones de VPN IPsec, DMVPN y Easy VPN Remóte and Server. Será la única tarea que veremos en este capítulo.
•
Security audit, utilizado para llevar a cabo una auditoría de seguridad en el router; permite asegurar el router con un sólo paso.
•
Routing, permite configurar protocolos de enrutamiento dinámico.
•
NAT, utilizado para configurar NAT simple o avanzado.
•
Intrusión Prevention, empleado para aplicar reglas de detección de intrusos y editarlas.
•
Quality of Service, empleado para configurar políticas de QoS.
•
NAC, utilizado para crear y editar políticas Network Control Access en el router.
•
Additional Tasks, permite configurar otras tareas tales como nombre del router, logging, fecha y hora, etc.
www.FreeLibros.com
© RA-MA
CAPÍTULO 27. VPN SITE-TO-SITE
635
Para acceder a la configuración de la VPN se accede a la opción VPN de la barra Tasks en la página Configure. La siguiente figura muestra las opciones de configuración. Cada una de ellas cargará el asistente de configuración correspondiente.
El asistente de configuración de VPN usa opciones preconfiguradas junto con' la información aportada por el usuario. Es posible agregar componentes adicionales a los preconfigurados.
Asistente VPN site-to-site La figura anterior muestra la ventana inicial del asistente, la cual muestra dos opciones: a
a
Create Site to Site VPN, que se utiliza para crear una nueva VPN siteto-site o un túnel GRE sobre túnel IPsec. Dentro de esta opción existen dos sub-opciones: o
Create a Site to Site VPN, utilizado para crear un túnel VPN IPsec desde este router hacia otro dispositivo.
o
Create a secure GRE tunnel (GRE over IPsec), utilizado para crear un túnel GRE seguro desde este router hacia otro dispositivo.
Edit Site to Site VPN, utilizado para modificar o ver una VPN site-tosite o un túnel GRE sobre túnel IPsec previamente configurados.
www.FreeLibros.com
636
REDES CISCO. CCNP a Fondo
©RA-MA
Este capítulo se centra únicamente en la opción Create a Site to Site VPN. Una vez dentro de la opción Launch the selected task aparece una ventana con dos opciones: •
Quick Setup, requiere una mínima cantidad de información para la configuración. Si se accede con el botón View Defaults se podrán ver las opciones (no editables) que son utilizadas.
•
Step by Step Wizard, permite el uso de una configuración por defecto o una configuración personalizada.
Configuración rápida En este modo hay una pantalla de configuración seguida de una pantalla con el resumen de lo hecho anteriormente. Solamente configuraciones básicas de VPN IPsec son posibles. La siguiente figura muestra la ventana de configuración.
La ventana Quick Setup ofrece las siguientes opciones de configuración: • VPN Connection Information, especifica la interfaz del router que va a ser el origen de la VPN IPsec. Este interfaz será de salida o WAN. • Peer Identity, especifica el tipo de dirección IP en el peer remoto.
www.FreeLibros.com
© RA-MA
CAPÍTULO 21. VPN SITE-TO-SITE
637
•
Authentication, se puede seleccionar entre Pre-shared keys o Digital Certificates para autenticación de IKE. Si elegimos claves precompartidas tendremos que escribirlas dos veces para validarlas.
•
Traffic to encrypt, se especifica qué tráfico va a ser encriptado y al mismo tiempo qué tráfico viajará fuera del túnel. •
Source, especifica la interfaz donde el tráfico encriptado se origina. Normalmente será la misma interfaz elegida anteriormente.
•
Destination, especifica la dirección IP o subred en el otro extremo para la conexión VPN IPsec. La opción de la máscara de subred sirve para especificar un rango de destinos.
Una vez finalizado seleccionar next donde se abrirá una ventana con un resumen de lo que se ha hecho. Por último pulsar finish para que los parámetros sean aplicados al router y cerrar con el botón OK.
Configuración paso a paso En este modo define cuatro siguientes configuración de la VPN IPsec:
tareas para completar en la
•
Define connection settings, identifica la interfaz de salida, la dirección del peer y las credenciales de autenticación de IKE.
•
Define IKE proposals, especifica la prioridad, algoritmos de encriptación, HMAC, grupo DH y tiempo de vida.
•
Define IPsec transform sets, especifica los algoritmos de encriptación, HMAC, modo y adicionalmente compresión.
•
Define traffic to Project, especifica las •subredes de origen y destino o una ACL para incluir un rango de direccionamiento como tráfico interesante.
www.FreeLibros.com
638
REDES CISCO. CCNP a Fondo
©RA-MA
Define connection settings. La información en esta pantalla es muy similar a la vista en la pantalla para Quick Setup como muestra la siguiente figura.
Las siguientes opciones de configuración están disponibles: •
VPN Connection Information, especifica la interfaz del router que será el origen de la VPN IPsec, será de salida o WAN.
•
Peer Identity, especifica el tipo de dirección IP en el peer remoto.
•
Authentication, es posible elegir entre Pre-shared keys o Digital Certificates para autenticación de IKE. Para el caso de claves precompartidas es necesario escribirlas dos veces para validarlas.
Una vez finalizado pulsar Next. Define IKE proposals. La siguiente figura muestra la pantalla que permite definir los IKE proposals.
www.FreeLibros.com
CAPÍTULO 21. VPN SITE-TO-SITE
©RA-M A
639
La pantalla muestra todos los IKE proposals que SDM tiene por defecto y aquellos que hayan sido configurados manualmente. Es posible elegir un proposal de la lista o crear uno nuevo con el boton add, la ventana Add IKE Policy aparecerá para poder configurar lo siguiente: •
Priority, determina el numero de secuencia de la nueva política en relación a las existentes.
•
Encryption, selecciona el algoritmo de encriptación (DES, £DES o AES).
•
Hash, selecciona el algoritmo de hash (MD5 o SHA-1).
•
D-H Group, selecciona el grupo Diffie-Hellman (1,2 o 5).
•
Autenticación, selecciona un método de autenticación (claves precompartidas o firmas RSA).
•
Lifetime, tiempo de vida de IKE, en horas, minutos y segundos.
Una vez finalizado confirmar con OK y el nuevo proposal aparecerá en la pantalla junto con los ya existentes y de forma secuencial acorde a la prioridad que se le haya asignado. Una vez seleccionado uno de ellos pulsar el boton next. Define IPsec transform sets. La figura siguiente muestra una captura de pantalla de Transform Set:
www.FreeLibros.com
640
REDES CISCO. CCNP a Fondo
©RA-MA
Esta ventana muestra el transform set seleccionado para ser usado en esta VPN IPsec. El menú desplegable permite acceder a los transform sets que SDM incorpora por defecto y a los que han sido creados manualmente. Con el botón Add se pueden configurar nuevos transform sets, para lo que será necesario completar las siguientes opciones: • Ñame, nombre del transform set, tiene significado local. •
Data Integrity with Encryption (ESP), seleccionar esta opción sólo para utilizar ESP. En este caso habrá que elegir los algoritmos de autenticación y encriptación.
• Data and Address Integrity without Encryption (AH), se selecciona para utilizar AH. En este caso se deben elegir los algoritmos de autenticación y encriptación correspondientes. •
Mode, selecciona el modo túnel o modo transporte.
•
IP Compression, opcionalmente se puede seleccionar compresión tipo Comp-LZS en el túnel.
Después de configurar los parámetros confirmar con OK para que el transform set se añada a la lista. Para continuar seleccionar un transform set y pulsar next. Define traffic to Project. El paso final es categorizar el tráfico interesante. La figura muestra una captura de pantalla de este paso.
www.FreeLibros.com
©RA-M A
CAPÍTULO 21. VPN SITE-TO-SITE
641
Puede seleccionarse la protección de una sola subred/host o proteger múltiples subredes usando una ACL extendida. Esto dependerá del tipo de configuración que se realice. En ambos casos basta con rellenar los datos al seleccionar la opción deseada. Una vez completados estos cuatro pasos la configuración creada aparecerá en pantalla. Para aplicar dicha configuración al router bastará con pulsar el botón Finish.
Comprobación del túnel VPN IPsec Para comprobar la nueva VPN pulsar en Edit Site to Site VPN en la primera página de la ventana de configuración Site to Site VPN. Si el peer remoto está configurado se puede comprobar con el. botón Test Tunnel situado en la parte inferior de la pantalla. Si todo está correctamente configurado el túnel debería estar activo. Al pulsar este botón estamos forzando al túnel a levantarse en caso de que estuviera caído por la falta de tráfico interesante. Existe otra opción en la parte de abajo de la pantalla llamada Generate Mirror. Sirve para crear una configuración en formato IOS que encaje con la de la VPN seleccionada. Es muy útil en caso de que el extremo no tenga SDM.
www.FreeLibros.com
642
REDES CISCO. CCNP a Fondo
©RA-M A
MONITORIZACIÓN DEL TÚNEL VPN IPSEC En SDM todas las opciones de monitorización se encuentran en la ventana Monitor, como muestra la siguiente figura. éCO»c< »JimiiefdrKl^i&wltyPisYicc!Manager
í,tOO
HomfornreioutBf-
09í5:0SLfrCMon«J8 07 3008
g
Existen varias opciones en la barra de tareas de la izquierda: •
Overview, vista genérica del estado del router. Pueden verse la utilización de CPU y memoria, resumen de interfaces, firewall, QoS, VPN y logs.
® Interface Status, permite monitorizar tráfico en tiempo real y hacer pruebas en las interfaces. ® Firewall Status, es un log con los paquetes denegados por el firewall. •
VPN Status, muestra el estado de los túneles IPsec, túneles DMVPN, el Easy VPN Server y SA de IKE.
® QoS Status, muestra la configuración de QoS. ® NAC Status, muestra el número de sesiones NAC del router e interfaces. ® Logging, muestra el log del router.
www.FreeLibros.com
© RA-MA
CAPÍTULO 21. VPN SITE-TO-SITE
643
Al pulsar VPN Status mostrará el estado de cada VPN IPsec y una cuenta de todos los paquetes que han pasado por la VPN. En IOS se utilizan principalmente dos comandos para monitorizar las VPN: •
El comando show crypto isakmp sa, que muestra todas las sesiones IKE activas (túneles IKE fase 1). En la salida, el estado QM_IDLE indica que la SA de IKE está activa y operacional.
•
El comando show crypto ipsec sa, que muestra todas las SA de IPsec (que son el resultado de una IKE fase 2 satisfactoria). Si se observa que los contadores encrypted y decrypted de entrada y salida son distintos de cero, la conexión es correcta.
El proceso IKE puede ser verificado en tiempo real usando el comando debug crypto isakmp.
www.FreeLibros.com
www.FreeLibros.com
Capítulo 28
TÚNELES GRE SOBRE IPsec INTRODUCCIÓN A LOS TÚNELES GRE Los túneles GRE (Generic Routing Encapsulation) permiten encapsular cualquiertipo de tráfico. En un principio se utilizaban para encapsular tráfico no IP dentro de las redes IP, pero también permiten la encapsulación de tráfico IP. Funcionan encapsulando la cabecera IP original dentro de la cabecera GRE. Las características generales de los túneles GRE son las siguientes: • Es similar a un túnel IPsec en el sentido de que ambos encapsulan la cabecera original IP. •
No ofrece mecanismos de control de flujo.
• GRE añade un mínimo de 24 bytes a la cabecera, en los que incluimos la nueva cabecera IP. • Permiten tunelizar cualquier protocolo de capa 3. •
Permite que los protocolos de enrutamiento viajen a través del túnel.
•
Era la única opción para transportar tráfico multicast a través de un túnel, hasta la versión de IOS 12.4(4)T.
•
La seguridad es limitada.
www.FreeLibros.com
646
©RA-MA
REDES CISCO. CCNP a Fondo
Es similar a un túnel IPsec manteniendo la idea de un túnel y que ambos cuentan con dos puntos finales, y los routers que hay en el medio usan la nueva cabecera para enrutar tráfico. A diferencia de los túneles IPsec los túneles GRE no coordinan parámetros antes de enviar tráfico. Mientras el otro extremo del túnel sea alcanzable permite enviar tráfico, sin proporcionar confiabilidad o mirar los números de secuencia. GRE deja estas tareas para protocolos de capas superiores. GRE ofrece una seguridad limitada mucho más débil que la de IPsec. Cuenta con un proceso de encriptación pero la clave viaja junto con los paquetes, dejándola expuesta a que sea robada. De los 24 nuevos bytes 20 de ellos pertenecen a la nueva cabecera IP especificando origen y destino y 4 son para la propia cabecera GRE. El número total podría incrementarse otros 12 bytes dependiendo de las opciones GRE. Los paquetes resultantes serán de un tamaño superior al estándar. La degradación en la red que puede incrementarse al estar enviando paquetes mayores de la MTU configurada en las interfaces. GRE es una herramienta sencilla y potente, permite de una manera sencilla establecer una conexión punto a punto sobre la cual encapsulamos cualquier protocolo de capa 3. A diferencia de IPsec los túneles GRE permiten que el tráfico de los protocolos de enrutamiento viaje a través de ellos. Con IPsec se limita al uso de rutas estáticas, haciendo que la escalabilidad sea un problema. Antes de la versión de IOS 12.4(4)T el tráfico multicast tenía que ser tunelizado en GRE; a partir de dicha versión también puede hacerse en IPsec. GRE no cuenta con un mecanismo de seguridad avanzado, la cabecera posee un mecanismo de claves de seguridad bastante débil. La combinación de GRE junto con IPsec se denomina GRE over IPsec y permite que estos dos mecanismos de tunelización se complementen entre sí.
CABECERA GRE La cabecera GRE tendrá 4 bytes en caso de no tener configurada ninguna de las opciones. El primer par de bytes (del bit 0 al 15) contiene las etiquetas que indican la presencia de opciones GRE y que en caso de estar activas añaden más
www.FreeLibros.com
© RA-MA
CAPÍTULO 28. TÚNELES GRE SOBRE IPsec
647
bytes a la cabecera. El segundo par es el campo del protocolo e indica qué tipo de datos se están transportando en el túnel. La siguiente tabla describe las opciones de la cabecera GRE. Bit en la eabecera GRE
Opción
Añadido
0
Checksum
4 bytes
2
Clave
4 bytes
3
Número de secuencia
4 bytes
13-15
Versión
0 GRE básico y 1 PPTP
La opción Checksum Present (bit 0) añade un campo opcional de checksum a la cabecera GRE. Normalmente no es necesario porque los protocolos de capas superiores ya realizan un checksum para detectar paquetes corruptos. La opción Key Present (bit 2) añade un campo opcional de seguridad. Proporciona un sistema básico de seguridad comprobando que cada extremo del túnel tiene la misma clave. Debido a que la clave está expuesta al ser enviada junto con los datos, no suele utilizarse. Aunque puede resultar beneficioso para identificar diferentes túneles entre dos extremos, sería comparable a un SPI en IPsec. La opción Sequence Number (bit 3) añade un campo opcional con números de secuencia. Como ocurre con el checksum, no es usado normalmente ya que los protocolos de capa superior realizan la misma función por lo que sería redundante. Los bits 13-15 indican el número de versión de GRE. El valor 0 representa GRE y 1 PPTP. Los siguientes 2 bytes de la cabecera GRE representan el campo del protocolo. Sirven para identificar qué tipo de paquete está atravesando el túnel, siendo 0x0800 el usado para IP. La siguiente figura muestra un paquete GRE con todas las opciones presentes.
www.FreeLibros.com
648
REDES CISCO. CCNP a Fondo
O RA-MA
C a b e ce ra GRE
Pa que te IP o rig in al
20 bytes
2 bytes
2 bytes
Cabecera Túnel
Etiqueta GRE
Tipo Protocolo
Checksum 4 bytes
Cabecera Cabecera IP T ransporte
Clave
Secuencia
4 bytes
4 bytes
DATOS
O pciones GRE
Como muestra la figura solamente la cabecera GRE básica, la cabecera original y el paquete IP son usados generalmente en las configuraciones de túnel GRE, debido a que los parámetros de configuración opcionales son realizados por los protocolos de capas superiores.
CONFIGURACION BASICA DE TUNELES GRE En la actualidad los túneles GRE se utilizan normalmente para transportar tráfico IP en una red IP o sobre un túnel IPsec. La figura muestra una configuración básica de un túnel GRE.
in t e r f a c e s e r i a l 2/1 i p a d d re ss 1 7 2 . 1 6 . 1 . 2 25 5 . 2 5 5 . 2 5 5 . 0 in t e r f a c e t u n n e l 0 i p a d d re ss 19 2 . 1 6 8 . 2 0 0 . 1 25 5 . 2 5 5 . 2 5 5 . 0 t u n n e l so u rc e s e r i a l 2/1 tu n n e l d e s tin a tio n 1 0 . 1 . 3 . 2 t u n n e l mode g re i p
in t e r f a c e s e r i a l 3/2 i p a d d re ss 1 0 . 1 . 3 . 2 255. 2 5 5 . 2 5 5 . 0 in t e r f a c e t u n n e l 2 i p a d d r 192. 1 6 8 . 2 0 0 . 2 255. 2 5 5 . 2 5 5 . 0 t u n n e l so u rc e s e r i a l 3/2 tu n n e l d e s tin a tio n 1 72. 16. 1. 2 t u n n e l mode g re ip
www.FreeLibros.com
©RA-M A
CAPÍTULO 28. TÚNELES GRE SOBRE IPsec
649
Esta configuración incluye: •
Origen del túnel. Interfaz o dirección IP local del router.
•
Destino del túnel. Dirección IP en el extremo remoto.
•
Modo del túnel. Por defecto GRE/IP.
•
Tráfico del túnel. Datos que viajan a través del túnel y por lo tanto van encapsulados en GRE.
En la figura anterior se muestra la configuración de un túnel GRE entre dos extremos. Dicho túnel es definido como una interfaz en cada router, permitiendo de esta manera la opción multiprotocolo. El origen del túnel GRE en un extremo ha de ser el final del túnel en el otro y viceversa. Esta validación es llevada a cabo inicialmente cuando se establece el túnel. Es necesario configurar una subred apropiada y común para el túnel.
TÚNELES GRE SEGUROS El configurar GRE sobre IPsec (GRE over IPsec) implica que el paquete GRE estará situado más alto en la pila que la parte IPsec, para así hacer posible la aseguración de GRE. La figura que sigue muestra el formato del paquete. Modo Túnel C a b e ce ra ESP IP
C a b e ce ra ESP
C a b e ce ra GRE IP
GRE
C ab ecera IP
C ab ecera TCP
DATOS
C ola ESP
GRE
C ab ecera IP
C ab ecera TCP
DATOS
Cola ESP
Modo Transporte C a b e ce ra GRE IP
C a b e ce ra ESP
Como muestra la figura anterior hay múltiples capas en un paquete GRE over IPsec. La capa más protegida es el paquete IP original, encargado de llevar los datos que se quieren transportar. Esta capa está envuelta en una cabecera GRE que da las funcionalidades de enrutamiento. Finalmente figura la capa IPsec que aporta la seguridad necesaria en la transmisión. El resultado es el intercambio satisfactorio y seguro de datos y tráfico de enrutamiento. En la misma figura se puede ver la sobrecarga que producen tantas encapsulaciones, tomando en cuenta que cada cabecera IP son 20 bytes sin contar cabeceras ESP o GRE, puede darse el caso de que se estén transportando más cabeceras que datos, lo que se traduciría en una red menos eficiente.
www.FreeLibros.com
650
REDES CISCO. CCNP a Fondo
©RA-MA
Las implementaciones de GRE over IPsec pueden ser llevadas a cabo en modelos hub-and-spoke o malla completa. Se debe tener en cuenta el número de conexiones necesarias para el modelo ftill-mesh, por ejemplo si existen 10 sitios serán necesarios 45 túneles, mientras que en un modelo hub-and-spoke sólo serán necesarios 9 túneles. La siguiente figura compara estos dos modelos. Malla completa:
Cantidad de túneles =
2
2
=36
Hub-and-spoke:
La mayoría de las implementaciones optan por la opción hub-and-spoke, debido a que es posible enviar tráfico de enrutamiento en el túnel, sin necesidad de estar añadiendo rutas estáticas a medida que la red crece.
www.FreeLibros.com
© RA-MA
CAPÍTULO 28. TÚNELES GRE SOBRE IPsec
651
CONFIGURACION DE GRE SOBRE IPsec CON SDM En párrafos anteriores se ha visto una introducción a SDN, lo que sigue a continuación es cómo configurar túneles con esta misma plataforma y como configurar VPN IPsec. El asistente se carga desde la misma ventana que el asistente para VPN IPsec. La siguiente figura muestra cómo acceder a él.
Para acceder al asistente se deben seguir los siguientes pasos: •
Pulsar el botón Configure en la parte superior de la página.
•
Pulsar en VPN en la barra de tareas de la izquierda.
•
Seleccionar la opcion Site-to-Site VPN en la parte superior.
•
Seguir con la pestaña Create Site to Site VPN.
•
Pulsar el botón Create a Secure GRE tunnel (GRE over IPsec).
•
Pulsar la opción Launch the Selected Task en la parte inferior de la pantalla.
Después de completar estos pasos aparecerá el asistente para configurar un túnel GRE seguro.
www.FreeLibros.com
652
REDES CISCO. CCNP a Fondo
© RA-MA
Los 7 pasos a seguir serán: 1. Crear el túnel GRE. 2. Crear el túnel GRE de backup (opcional). 3. Seleccionar el método de autenticación VPN IPsec. 4. Seleccionar los proposals de IKE. 5. Seleccionar los transform sets de VPN IPsec. 6. Seleccionar el método de enrutamiento para el túnel GRE over IPsec. 7. Validar la configuración del túnel. Para continuar con el asistente pulsar next.
Creación del túnel GRE La siguiente figura muestra la ventana GRE Tunnel Information.
Ésta es la primera pantalla de configuración del asistente, donde se deben configurar las direcciones IP del túnel, las cuales representan la cabecera GRE. El origen del túnel es elegido del desplegable que muestra las interfaces del router o es configurado en forma de dirección IP. El destino del túnel es configurado manualmente y es la IP de destino.
www.FreeLibros.com
©RA-M A
CAPÍTULO 28. TÚNELES GRE SOBRE IPsec
653
La dirección IP del túnel GRE pertenece a la subred del túnel, el otro extremo ha de tener una IP válida dentro de la misma subred y será utilizada para propósitos administrativos y por los protocolos de enrutamiento. La encapsulación GRE over IPsec incrementa considerablemente el tamaño de los paquetes IP y Path MTU está habilitado por defecto. Path MTU discovery utiliza mensajes ICMP del tipo Unreachable para determinar el tamaño máximo del paquete a enviar entre extremos. En caso de que fuera necesario podría llevarse a cabo fragmentación entre los extremos del túnel pero se deben verificar los routers de tránsito y si éstos permitirán fragmentar o no. Una vez finalizado seleccionar next.
Creación del túnel GRE de respaldo Cuando el túnel GRE se caiga el túnel IPsec se caerá también, al configurar un túnel GRE de respaldo se genera redundancia como solución a este problema. En la siguiente captura se muestra la ventana Backup GRE Tunnel Information.
Debido a que el paso anterior es opcional será necesario entrar en la opción Create a backup secure GRE tunnel for resiliance para que se active la ventana. La configuración es similar a la de la ventana anterior. No existe opción de elegir un origen diferente como interfaz de backup, solamente es posible con un destino diferente, que puede ser otra interfaz del router destino u otro router distinto. Pulsar next para continuar.
www.FreeLibros.com
654
©RA-MA
REDES CISCO. CCNP a Fondo
Información VPN IPsec Las ventanas para introducir la información relativa a IPsec son prácticamente iguales a las vistas en el tema de IPsec.
Información de enrutamiento Una vez finalizada la configuración de los túneles GRE e IPsec debe elegir qué protocolo de enrutamiento se ejecutará en el túnel, como muestra la siguiente imagen:
Por defecto viene seleccionado Satic Routing pero es posible elegir entre EIGRP, OSPF o RIP. Cada una de las opciones tiene ventanas de configuración individualizadas para configurar parámetros específicos. Es importante señalar que en caso de haber elegido un túnel GRE de backup, RIP no estará disponible como opción a la hora de elegir un protocolo de enrutamiento. Una vez elegido el mecanismo de enrutamiento, dinámico o estático, pulsar el botón Next y complementar la información relativa.
www.FreeLibros.com
© RA-M A
CAPÍTULO 28. TÚNELES GRE SOBRE IPsec
655
Validación de la configuración Una vez completada la información relativa al protocolo de enrutamiento elegido y pulsado next se abrirá una ventana con un resumen de todo lo configurado, donde se podrá repasar toda la configuración. Seleccionar Finish para confirmar la configuración o en Back para volver atrás. Una vez terminado, los pasos para testear y monitorizar la configuración son exactamente los mismos que con las VPN IPsec.
www.FreeLibros.com
www.FreeLibros.com
Capítulo 29
ALTA DISPONIBILIDAD EN IPsec PUNTOS DE FALLOS COMUNES Las redes tienen en general múltiples puntos de fallo. Las VPN IPsec son conexiones de extremo a extremo que atraviesan normalmente redes no confiables como lo es Internet, formadas por diferentes tipos de dispositivos, donde el fallo de alguno de los componentes puede hacer que la VPN IPsec falle. Estos puntos de fallo incluyen: •
Fallo del enlace de acceso, puede incluir cualquier tipo de problema en las interfaces físicas en los equipos de tránsito entre los extremos de la VPN. Un módulo, un puerto o simplemente el cable pueden ser los causantes de este tipo de fallo.
•
Fallo del peer remoto, conlleva a algún tipo de error en el otro extremo de la conexión.
•
Fallo de algún dispositivo, incluye el fallo de algún dispositivo entre los dos extremos involucrando a éstos.
•
Fallo en el camino, puede ser un problema de enrutamiento o a nivel de transmisión o un problema en algún circuito.
En el diseño VPN IPsec hay que tener en cuenta estos escenarios e implementar redundancia para no perder el flujo de tráficos ante alguno de estos eventos.
www.FreeLibros.com
658
© RA-MA
REDES CISCO. CCNP a Fondo
Soluciones a los puntos de fallos Cada uno de los puntos de fallos puede ser evitado implementando mecanismos de redundancia. Cuanto mayor sea el número de medidas de alta disponibilidad empleadas mayor será el coste de implementación. Para los principales puntos de fallo algunas de las soluciones preventivas pueden ser las siguientes: •
Solución a un fallo del enlace de acceso. Puede evitarse utilizando múltiples interfaces y dispositivos. Las entidades que forman una VPN pueden tener múltiples interfaces, múltiples módulos o incluso múltiples dispositivos.
•
Solución a un fallo del peer remoto. De manera similar al punto anterior este escenario es mitigado usando múltiples interfaces, módulos o incluso dispositivos.
•
Solución a un fallo de algún dispositivo. Teniendo en cuenta que los dispositivos que pueden fallar están fuera del alcance administrativo lo mejor es tener múltiples caminos entre extremos.
•
Solución al fallo en el camino. Como indica el punto anterior la opción adecuada es tener múltiples caminos.
Para conseguir redundancia es necesario eliminar todos los puntos únicos de fallo, esto supondrá duplicar equipos, cableado, tener rutas hacia el mismo destino usando diferentes caminos, usar múltiples ISP, etc.
MECANISMO DE RECUPERACIÓN DE FALLOS Existen dos maneras de reestablecer el servicio despues de un fallo en IPsec. •
Stateless, en este escenario se utilizan conexiones lógicas redundantes para proporcionar caminos primarios y de respaldo. El uso de los diferentes caminos es determinado por el intercambio de mensajes entre los dispositivos finales. El tráfico será enviado por el camino de backup en caso de que el principal falle.
•
Stateful, en este escenario se utilizan equipos redundantes. Normalmente estos dispositivos tienen configuraciones idénticas y se comunican entre ellos para determinar cuál es la mejor alternativa.
www.FreeLibros.com
©RA-M A
CAPÍTULO 29. ALTA DISPONIBILIDAD EN IPsec
659
Mecanismo IPsec stateless Existen 3 métodos stateless o sin clase para detectar y reaccionar ante un fallo. La reacción ideal será que automáticamente se envíe el tráfico en un camino diferente. •
Dead Peer Detection (DPD).
•
Utilizar un IGP en un túnel GRE sobre IPsec.
•
Hot Standby Routing Protocol (HSRP) o VRRP.
Dead Peer Detection DPD es una de las opciones durante la configuración de la VPN IPsec. Existen dos modos de implementar DPD: modo periodic y modo on-demand. DPD modo periodic tiene las siguientes características: • Keepalives DPD son enviados periódicamente entre los dos peers. • Keepalives DPD en suma a los mensajes IPsec rekey, que también son enviados periódicamente a través del túnel. • Keepalives DPD no son enviados si los datos del usuario están atravesando el túnel. • Keepalives DPD son usados sólo cuando el tráfico en el túnel es escaso. La parte negativa de DPD en modo periodic es la sobrecarga que produce en el túnel. IKE de por sí ya envía mensajes de manera periódica, son los conocidos IPsec SA rekeying, que ocurren cuando la vida del túnel IPsec está cerca de expirar. El uso de una VPN IPsec normalmente significa que uno de los extremos está encriptando datos y el otro desencriptando, de nuevo vemos como a este proceso si le añadimos el uso de los DPD keepalives conlleva una sobrecarga en el túnel.
www.FreeLibros.com
660
©RA-M A
REDES CISCO. CCNP a Fondo
DPD modo on-demand tiene las siguientes características: •
Es el modo por defecto en equipos Cisco.
•
Keepalives DPD son enviados si hay dudas acerca de si el extremo remoto está activo. Cuando se envía tráfico a través del túnel se espera una respuesta, si ésta no se produce entonces los keepalives DPD son enviados.
•
Keepalives DPD no son enviados durante los momentos en los que no hay tráfico en el túnel.
•
Es posible que un router no descubra un peer muerto hasta que se intente negociar las SA de IKE o IPsec.
El uso del modo on-demand reduce la sobrecarga introducida en el modo periodic. Pero cabe la posibilidad de que no se use un túnel alternativo inmediatamente después de que un fallo ocurra. Esto no será excesivamente malo cuando no haya datos atravesando el túnel. En la siguiente sintaxis se muestra cómo configurar DPD en Cisco IOS: crypto isakmp keepalive seconds [retries] [periodic | on-demand] set peer ip-address [default]
El comando crypto isakmp keepalive determina el modo y frecuencia de DPD. Por defecto el modo usado es on-demand. Este comando tiene dos opciones referentes a los temporizadores. La opción seconds define la frecuencia de envío de los mensajes DPD en modo periodic. La opción retries define cuánto tiempo esperar para reenviar mensajes DPD después de que el enviado previamente haya fallado.
www.FreeLibros.com
© RA-MA
CAPÍTULO 29. ALTA DISPONIBILIDAD EN IPsec
661
R outer A: crypto isakmp keepalive 10 3
i crypto ipsec transform-set to-central esp-3des esp-sha-hmac
i crypto map central-office 10 ipsec-isakmp set peer 172.20.1.1 default set peer 172.20.1.2 set transform-set to-central match address 120 ¡
access-list 120 permit ip 10.10.1.0 0.0.0.255 10.20.1.0 0.0.0.255
En la figura anterior se muestra la configuración del router A para dos peers. El peer principal (172.20.1.1) está configurado utilizando la opción default. Éste es el peer empleado inicialmente entre las oficinas remota y central. El peer secundario (172.20.1.2) no es utilizado hasta que DPD determina que el primario ha fallado.
IGP en un túnel GRE sobre IPsec Al utilizar GRE sobre IPsec es posible ejecutar protocolos de enrutamiento en el túnel. OSPF e IGRP son rápidos a la hora de detectar fallos en los vecinos, de manera que si se emplean túneles de backup GRE sobre IPsec es posible proporcionar la redundancia necesaria. Se debe tener en cuenta que dichos túneles deberían usar caminos diferentes e incluso dispositivos diferentes en el origen y destino para así eliminar puntos únicos de fallo. Este método genera una sobrecarga en el túnel al tener que enviar tráfico de enrutamiento a través del mismo.
HSRP La mayoría de los host están configurados con una sola puerta de enlace, normalmente esta configuración es enviada por algún servidor DHCP. En caso de que dicha puerta de enlace falle los host quedan aislados. HSRP ofrece la capacidad de usar más de un router como puerta de enlace. Un grupo de routers forman un gateway lógico. Esta dirección IP es utilizada por los host como su puerta de enlace por defecto. Una MAC virtual es asociada con esta IP virtual. El grupo HSRP controla el tráfico enviado a la IP/MAC lógicas designando uno de los miembros como activo y los demás como standby.
www.FreeLibros.com
662
REDES CISCO. CCNP a Fondo
©RA-MA
Solamente existe un router por grupo (por puerta de enlace) con el rol de activo, el resto toman el rol de standby. El router activo y el standby se comunican de manera periódica, de esta forma se efectúa la detección de un fallo en estos dispositivos. En caso de que el activo falle el standby toma control del grupo y se encarga de enviar tráfico destinado a la IP virtual del grupo. En la siguiente muestra vemos una configuración de HSRP en la oficina remota. VPN IPsec 1
VPN IPsec 2
Router A l: interface fastethernet 0/1 ip address 10.10.1.1 255.255.255.0 standby 1 ip 10.1.1.5 standby 1 priority 150 standby 1 preempt
Router A2: interface fastethernet 0/1 ip address 10.10.1.2 255.255.255.0 standby 1 ip 10.1.1.5
Los host en la oficina remota usan 10.10.1.5 como puerta de enlace predeterminada. Esta es la dirección IP del grupo HSRP entre el router A l y A2. El router A l está configurado con una prioridad mayor en HSRP, lo que significa que actuará como activo. El comando preempt dice que en caso de fallo y de que pierda el rol de activo, cuando el enlace se recupere podrá recuperar su rol.
www.FreeLibros.com
© RA-MA
CAPÍTULO 29. ALTA DISPONIBILIDAD EN IPsec
663
En la siguiente figura se muestra una configuración de HSRP en la oficina remota.
Router C:
Router A: c r y p t o map c e n t r a l - o f f i c e isakm p s e t p e e r 1 7 2 . 2 0 . 1. 5
10
ip s e c -
c r y p to dynamic-map from -rem ote 10 se t tra n s fo rm -s e t t r a n s í re v e rse -ro u te
i
c r y p t o map c e n t r a l - o f f i c e from -rem ote
10 dynamic
i
i n t e r f a c e f a s t e t h e r n e t 1/0 i p a d d re ss 1 7 2 . 2 0 . 1 . 1 255. 255. 255. 0 stan dby 1 ip 1 7 2 . 20 . 1. 5 sta n d b y 1 p r i o r i t y 150 stan dby 1 preempt stan dby 1 ñame vpn-rem ote c r y p to map c e n t r a l - o f f i c e redundancy vpn-rem ote
En esta muestra HSRP está configurado entre el router C y el router E para proporcionar redundancia a las conexiones VPN entrantes. La oficina remota está configurada para terminar la conexión VPN en la IP 172.20.1.5, la cual es la IP virtual del grupo HSRP configurado entre los routers C y E en la oficina central. En la muestra se observa la configuración para el router C, la configuración del router E será similar. Además se podría crear un grupo diferente entre los routers C y E para proporcionar redundancia a los hosts, de manera similar a la muestra anterior.
www.FreeLibros.com
664
©RA-MA
REDES CISCO. CCNP a Fondo
La línea de configuración crypto map central-office redundancy vpnremote indica que un grupo HSRP está proporcionando redundancia. La oficina central está configurada con un crypto map dinámico, el cual permite que cualquier oficina remota pueda iniciar una conexión VPN hacia la oficina central. Esto es especialmente útil cuando las oficinas remotas no tienen una IP fija, como ocurre con muchas conexiones DSL. Es necesario recordar que si el router C es el activo y falla, la VPN se caerá. La oficina remota reestablecerá la VPN usando la misma IP (la del grupo HSRP 172.20.1.5) que ahora será controlada por el router E. Cuando el router C vuelva a la vida y tome de nuevo el rol de activo, la VPN se volverá a caer y restablecer nuevamente.
Mecanismo IPsec stateful Este escenario normalmente requiere un juego de dispositivos adicional para que el failover pueda ocurrir, también es necesario un intercambio continuo de datos entre los dispositivos para seguir el estado de las VPN IPsec. Esto implica múltiples túneles IPsec VPN activos de manera que el fallo de uno de ellos conmuta el tráfico inmediatamente hacia uno alternativo. Un entorno stateful elimina la necesidad de esperar hasta que el túnel de backup es creado, ya que la información relativa a las SA es mantenida para el túnel de backup, el cual está siempre preparado para automáticamente enviar tráfico ante la posivilidad de que el primario falle. El cambio del primario al de backup sucede de manera transparente para los usuarios y para el peer VPN IPsec. IP stateful usa dos protocolos: •
HSRP. Se encarga de monitorizar las interfaces entrantes y salientes. Si alguna de ellas cae el router que está en standby asume el rol de activo.
•
SSO (Stateful Switchover). Comparte información de las SA de IKE e IPsec entre los routers activo y de backup de manera que ambos tienen la misma información.
Existen ciertas limitaciones que hay que tener en cuenta: •
Ambos dispositivos (activo y standby) han de correr la misma versión de IOS.
www.FreeLibros.com
© RA-MA
CAPÍTULO 29. ALTA DISPONIBILIDAD EN IPsec
665
•
Estos dispositivos han de estar conectados usando puertos LAN, directamente o a través de un switch. Las interfaces WAN no están soportadas.
•
Las interfaces entrante y saliente deben estar conectadas usando puertos LAN.
•
Solamente es soportado el failover de dispositivo a dispositivo y no entre módulos.
•
No se soporta balanceo de carga, sólo un dispositivo puede estar activo a la vez.
•
Los mensajes de keepalive de IKE no están soportados. Los mensajes DPD sí están soportados.
•
Stateful failover de Layer 2 Tunneling Protocol (L2TP) no esta soportado.
•
Los temporizadores idle de IPsec no están soportados.
Debido a que IPsec stateful failover utiliza HSRP y SSO ambos protocolos han de estar debidamente configurados. En la siguiente figura se muestra la configuración necesaria en la oficina central. VPN IPsec
VPN IPsec secundarla
www.FreeLibros.com
666
REDES CISCO. CCNP a Fondo
©RA-M A
Router C: crypto dynamic-map from-remote 10 set transform-set transí reverse-route
i
crypto map central-office 10 ipsec-isakmp dynamic from-remote
i
interface fastethernet 1/0 ip address 172.20.1.1 255.255.255.0 standby 1 ip 172.20.1.5 standby 1 priority 150 standby 1 preempt standby 1 ñame vpn-remote crypto map central-office redundancy vpn-remote stateful
i
redundancy inter-device scheme standby vpn-remote
i
ipc zone default association 1 protocol sctp local-port 12321 local-ip 10.20.1.1 retransmit-timeout 300 10000 path-retransmit 10 assoc-retransmit 20 remote-port 12321 remote-ip 10.20.1.2
En la figura se muestra como la configuración del crypto map y de la interfaz son similares a las de la figura anterior, la diferencia es la adición del término stateful al crypto map en la interfaz. Esto permite el uso de SSO para llevar a cabo stateful failover. La configuración de HSRP es la misma que antes. La configuración en el router E sería similar a la del router C. El comando redundancy interdevice configura redundancia y entra en el modo de configuration inter-device. Actualmente el único esquema soportado es standby. Hay que resaltar que el nombre del standby, vpn-remote, debe coincidir con el nombre del grupo standby definido con el crypto map en la interfaz. Los siguientes comandos configuran el IPC (Inter-device Communication Protocol) entre las dos puertas de enlace. El comando ipc zone default inicia el enlace de comunicación entre los routers activo y standby. El subcomando association crea una asociación entre los routers activo y standby y utiliza SCTP (Stream Control Transmission Protocol) como protocolo de transporte. En SCTP los puertos SCTP locales y remotos son definidos así como las direcciones IP. El puerto local configurado en este router ha de ser el puerto remoto
www.FreeLibros.com
© RA-MA
CAPÍTULO 29. ALTA DISPONIBILIDAD EN IPsec
667
configurado en el router peer. Las direcciones IP han de ser las direcciones físicas de las interfaces y no virtuales. El comando path-retransmit define el número de intentos de SCTP antes de dar por fallido el intento de crear la sesión. El comando retransmission timeout define el tiempo máximo que SCTP espera antes de retransmitir datos.
IPsec VPN de respaldo para redes WAN Hasta ahora se han visto soluciones para recuperar conectividad para el caso de un fallo en la VPN. Sin embargo existe una alternativa un poco diferente en este uso de las VPN. La idea es asumir que existe una conexión WAN y que se utilizará una VPN a través de Internet como backup en caso de que la interfaz WAN se caiga. Existen dos maneras de usar esta solución: •
La primera es emplear el mismo protocolo de enrutamiento en ambos enlaces, configurando una métrica peor en la interfaz de la VPN, de manera que si la interfaz WAN se cae la tabla de enrutamiento pueda converger y enrutar tráfico a través de la VPN.
•
La segunda opción es utilizar rutas estáticas flotantes para el enrutamiento a través de la VPN. Dichas rutas tienen peor Distancia Administrativa que la del protocolo de enrutamiento utilizado en la interfaz WAN, por lo tanto sólo se instalarán en la tabla de rutas una vez que se haya perdido la ruta a través del enlace WAN.
La idea en ambos casos es usar la conexión WAN normal para enrutar tráfico, pero en caso de que ésta falle poder enviar dicho tráfico de manera temporal hasta que ésta se recupere mediante la VPN a través de Internet.
www.FreeLibros.com
i i i
!
www.FreeLibros.com
Capítulo 30
CISCO EASY VPN INTRODUCCIÓN A CISCO EASY Cisco Easy VPN simplifica el despliegue de VPN en oficinas remotas y para teletrabajadores, permitiendo gestionar de una manera centralizada dichos clientes. Cisco Easy VPN está compuesto por dos componentes, Server y Remóte.
Cisco Easy VPN Remóte Cisco Easy VPN Remóte permite a los dispositivos como los routers con IOS, firewalls PIX, concentradores VPN3000, actuar como clientes VPN remotos, recibiendo políticas de seguridad desde un VPN Server y minimizando así la necesidad de aplicar configuraciones de forma manual. Easy VPN Remóte proporciona gestión descentralizada y automática de las siguientes tareas: •
Parámetros de negociación del túnel.
•
Establecimiento del túnel.
•
Creación automática de NAT y PAT y de cualquier ACL necesaria.
•
Autenticación del usuario.
•
Gestión de las claves de seguridad para encriptar y desencriptar.
www.FreeLibros.com
670
©RA-M A
REDES CISCO. CCNP a Fondo
Cisco Easy VPN Remóte soporta tres modos de operación: •
Client, especifica qué NAT o PAT se utilizará de manera que los dispositivos remotos no están en el mismo rango de direccionamiento que el Server.
•
Network Extensión, especifica que los dispositivos remotos usan direccionamiento totalmente enrutable a través del túnel, formando una sola red lógica.
•
Network Extensión Plus, es exactamente igual al modo anterior pero con la capacidad añadida de pedir una dirección IP de forma automática y asignar la a una interfaz loopback.
El modo cliente está ampliamente extendido y se muestra en la siguiente figura.
10.1.1.4
Como muestra la imagen los host utilizan direccionamiento de la RFC 1918 el cual no es enrutable en Internet. Para enrutar este tráfico se emplea PAT. Con la VPN configurada en modo client la información de enrutamiento pasa entre el sitio central y el sitio remoto.
Cisco Easy VPN Server Hay ciertos requerimientos de hardware y software que se han de cumplir para implementar Easy VPN. •
Cisco Routers 831, 836, 837, 851, 857, 871, 876, 877, 878, serie 1700, serie 2600, serie 3600, serie 7100 VPN, serie 7200, serie 7500. Cisco IOS 12.2(8)T o superior.
www.FreeLibros.com
©RA-M A
CAPÍTULO 30. CISCO EASY VPN
•
Cisco PIX serie 500. PIX OS 6.2 o superior.
•
Cisco Concentrador VPN serie 3000. Software 3.11o superior.
671
Adicionalmente es una necesidad por parte de los Easy VPN Servers emplear políticas ISAKMP con DH versión 2. Esto es necesario porque el protocolo Cisco Unity solamente soporta políticas ISAKMP utilizando DH versión 2. El protocolo Cisco Unity se refiere a la metodología que los clientes VPN usan para determinar el orden de eventos cuando intentan establecer una conexión VPN con el servidor. Un cliente Unity primero ha de identificarse por grupo y en caso de que XAUTH (IKE extended authentication) esté habilitado también por usuario. Cisco Easy VPN Server no se puede configurar con los grupos 1 o 5 de ISAKMP cuando se usa con Easy VPN Client. Para asegurarse de que el túnel es plenamente seguro, Cisco Easy VPN Remóte requiere a la vez autenticación y encriptación en los transforms sets. El protocolo Cisco Unity no soporta AH pero sí ESP. Hay veces en las que una conexión VPN se utiliza como solución de backup del enlace principal, por lo tanto hay que tener en cuenta que Easy VPN no se puede utilizar como backup basándose en el estado del enlace de la interfaz principal (Up/Down). Por último mencionar que no es posible utilizar NAT si split tunneling está habilitado, debido a la posibilidad de solapamiento de direcciones IP.
ESTABLECIMIENTO DE LA CONEXIÓN EASY VPN Cisco Easy VPN Remóte realiza un proceso de dos fases para la autenticación cliente/servidor: •
Fase 1: autenticación a nivel de grupo. Durante esta fase pueden utilizarse dos tipos de autenticación, claves precompartidas o certificados digitales.
•
Fase 2: autenticación extendida o Xauth. El extremo remoto envía un usuario y contraseña al sitio central, de manera que el router remoto queda autenticado. Xauth es opcional pero altamente recomendable.
www.FreeLibros.com
672
©RA-M A
REDES CISCO. CCNP a Fondo
Los siguientes pasos representan la secuencia de conexión de un Cisco Easy VPN Client a un Cisco Easy VPN Server. 1. VPN Client inicia IKE Fase 1. 2. VPN Client establece una SA ISAKMP. 3. Easy VPN Server acepta la SA propuesta. 4. Easy VPN Server comienza la autenticación de usuario. 5. Comienza el modo configuración. 6.
Comienza el proceso RRI (Reverse Route Inject).
7. IPsec modo quick completa la conexión.
IKE Fase 1 Durante este paso inicial el proceso IKE es iniciado. Hay dos posibles formas de autenticación durante este proceso: •
Clave precompartida. El cliente VPN inicia el modo agresivo. Cada extremo es consciente de la clave del otro. Un nombre de grupo ha de ser configurado también, para identificar el perfil del grupo asociado con el cliente.
•
Certificados digitales. El cliente VPN inicia el modo main o principal. Los certificados digitales usan firmas RSA en dispositivos Cisco Easy VPN Remóte. Cuando se utilizan certificados digitales una unidad organizativa con nombre único es usada para identificar el perfil de grupo usado.
Cuando se utiliza el modo agresivo la identidad del dispositivo IOS VPN ha de ser cambiada con el comando crypto isakmp identity hostname. Dicho comando permite el empleo de una dirección IP o de un nombre, tal y como se muestra en las siguientes sintaxis, las dos opciones tienen idénticos resultados: Router(config)#crypto isakmp identity address Router(config)#crypto isakmp key sharedkeystring address 192.168.1.61 Router(config)#crypto isakmp identity hostname Router(config)#crypto isakmp key sharedkeystring hostname R o u t e r .r e m o t o .CCNP Router(config)#ip host R o u t e r .r e m o t o .CCNP 192.168.1.61
www.FreeLibros.com
©RA-M A
CAPÍTULO 30. CISCO EASY VPN
673
Estableciendo una SA ISAKMP Cuando el cliente VPN quiere establecer una SA entre peers envía una serie de propuestas al Easy VPN Server. Ya se ha mencionado anteriormente que Easy VPN sólo soporta ISAKMP DH versión 2. Además del grupo DH se envían varias alternativas de encriptación, hash, autenticación y longitud del grupo DH.
Aceptación de la propuesta SA Una política ISAKMP puede estar compuesta de varias propuestas, la primera de dichas propuestas aceptada será la que encaje con la primera configurada en el VPN Server. Debido a este procedimiento las políticas más seguras deberían estar configuradas primero. Una vez aceptada una propuesta el dispositivo es autenticado y comenzará la autenticación de usuario.
Autenticación de usuario Si el VPN Server está configurado para XAUTH, el VPN Client requerirá necesariamente un usuario y contraseña para que pueda enviarlo al VPN Server. Dicha combinación de usuario y contraseña puede estar guardada localmente, en un servidor TACACS, RADIUS, etc.
Modo configuración El cliente VPN solicita al VPN Server aquellos parámetros que tenga configurados y que necesite enviarle para completar la configuración. El único parámetro obligatorio es el direccionamiento IP, los demás, tales como información DNS o Split tunneling son opcionales.
RRI RRI (Reverse Route Injection) es el proceso de inyectar en el IGP una ruta estática, la cual apunta hacia la red de destino. Esto es útil cuando se utiliza un direccionamiento IP estático por cada cliente y no un almacén de direcciones por VPN. RRI ha de ser habilitado en los crypto maps dinámicos cuando existen múltiples VPN Servers.
www.FreeLibros.com
674
©RA-MA
REDES CISCO. CCNP a Fondo
Modo IPsec rápido El modo quick o rápido de IPsec negocia el establecimiento de una SA para IPsec. Éste es el paso final, una vez que la SA es creada, la conexión se completa y estará activa.
CONFIGURACIÓN DE EASY VPN SERVER Para configurar Easy VPN Server es posible utilizar el modo CLI o Cisco SDM. A continuación se detalla la configuración a través de SDM. La siguiente figura muestra el punto de partida para la configuración. Por todo lo visto anteriormente ya se debería estar lo suficientemente familiarizado con SDM como para llegar a ella sin problemas.
Dentro de las opciones disponibles seleccionar Easy VPN Server. El asistente presenta un número de tareas a realizar: •
Selección de la interfaz de terminación de IPsec.
•
Configuración de las políticas IKE.
•
Configuración de la metodología de búsqueda de las políticas de grupo.
www.FreeLibros.com
©RA-M A
CAPÍTULO 30. CISCO EASY VPN
•
Autenticación del usuario.
•
Configuración de las políticas de grupo
•
Configuración de los transform sets de IPsec.
675
locales.
Antes de realizar la configuración del Easy VPN Server todos los demás servicios tales como AAA, direccionamiento IP, enrutamiento, autoridades certificadoras, DNS, NTP, etc., han de estar funcionando.
Configuración de usuario La configuración de usuarios en SDM se realiza usando la opción additional task en el menú de la izquierda, como muestra la siguiente figura.
Para llegar a este punto es necesario seguir esta secuencia: Additional Rasks > Router Access > User Accounts / View > Add. )
Asistente Easy VPN Server Al pulsar el botón Launch the Selected Task se carga el asistente. La pantalla inicial es un resumen de las tareas a realizar en la que es posible configurar AAA en caso de no haberlo realizado previamente.
www.FreeLibros.com
676
REDES CISCO. CCNP a Fondo
© RA-MA
Al pulsar Next aparecerá la pantalla de selección de la interfaz que se utilizará con Easy VPN. La figura que sigue muestra dicha pantalla.
Una vez seleccionada la interfaz pulsar Next para pasar a la ventana de selección de las propuestas de IKE. Los parámetros a configurar son: •
Prioridad del proposal de IKE.
•
Grupo de Diffie-Hellman (1,2 o 5).
•
Algoritmo de encriptación (DES, 3DES, AES o SEAL).
•
HMAC (SHA-1 o md5).
•
Tiempo de vida de IKE.
La siguiente figura muestra la pantalla donde las nuevas propuestas son añadidas a la lista existente de proposals.
www.FreeLibros.com
©RA-M A
CAPÍTULO 30. CISCO EASY VPN
677
Para configurar los transform sets pulsar Next. Como ocurre con IKE ya existe uno configurado por defecto. Los parámetros a configurar son: •
Nombre del transform set.
•
Algoritmo de encriptación.
•
HMAC.
•
Compresión (opcional).
•
Modo de operación (transporte o túnel).
La siguiente figura muestra la pantalla donde el nuevo transform set es añadido a la lista existente de transform sets.
El siguiente paso es configurar las políticas de grupo y autorización del mismo, las que serán utilizadas por grupos de clientes que empleen la misma información para autenticarse y que tengan la misma configuración. Es posible configurarlo en el Easy VPN Server, en un servidor RADIUS o TACACS externo o ambos. Las líneas de configuración de AAA definirán qué método utilizar en relación a un orden. El siguiente paso en la configuración es el método para XAUTH. La siguiente figura muestra la información relativa.
www.FreeLibros.com
678
REDES CISCO. CCNP a Fondo
©RA-M A
Pulsar Next para pasar a la página Group Authorization/User Group Policies. Aquí es posible configurar grupos de usuarios remotos que utilizarán VPN Client o VPN Remóte. Los atributos configurados en esta página (se ven en las pestañas superiores de la figura) son transferidos al cliente de manera acorde a su pertenencia a grupo.
www.FreeLibros.com
©RA-MA
CAPÍTULO 30. CISCO EASY VPN
679
Una vez introducida la información se accede a la pantalla de resumen de la configuración del VPN Server antes de que sea cargada en el router. Existe la opción de hacer un test de conectividad, como muestra la siguiente figura.
MONITORIZACION DE EASY VPN SERVER En la parte superior de la página principal del SDM está la opción M onitor, como se ve en la figura, donde cada grupo VPN Server puede ser monitorizado individualmente.
www.FreeLibros.com
680
©RA-MA
REDES CISCO. CCNP a Fondo
Desde la CLI los comandos show crypto isakmp sa y show crypto ipsec sa resultan útiles, los siguientes son un ejemplo de ellos: router#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id slot status 172.16.0.4 172.16.1.40 QM_IDLE 1004 0 ACTIVE IPv6 Crypto ISAKMP SA router#show crypto ipsec sa interface: Vlanl Crypto map tag: SDM_CMAP_1, local addr 172.16.0.4 protected v r f : (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remóte ident (addr/mask/prot/port): (172.16.1.190/255*255.255.255/0/0) current_peer 172.16.1.40 port 500 PERMIT, flags={} #pkts encaps: 22, #pkts encrypt: 22, #pkts digest: 22 #pkts decaps: 32, #pkts decrypt: 32, #pkts verify: 32 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 1 local crypto endpt^t 172.16.0.4, remóte crypto endpt.: 172*16.1.40 path mtu 1500, ip mtu 1500 current outbound spi: 0xD35124D3(3545310419) inbound esp sas: spi: 0x7783DD3C( 2005130556) __
www.FreeLibros.com
© RA-MA
CAPÍTULO 30. CISCO EASY VPN
681
in use settings ={Tunnel, } conn id: 2001, flow_id: N E T G X :1, crypto map: SDM_CMAP_1 sa timing: remaining key lifetime (k/sec): (4570709/3346) IV size: 8 bytes replay detection support: Y Status: ACTIVE
Para monitorizar en tiempo real se puede utilizar el comando debug erypto isakmp. La siguiente sintaxis es un resumen del comando. router#debug crypto isakmp 000365: Mar 26 21:00:24.056: ISAKMP (0:0): received packet from CW SA 172.16.1.40 dport 500 sport 500 Global (N) NEW 000366: Mar 26 21:00:24.056: ISAKMP: Created a peer struct for 172.16.1.40, peer port 500 000367: Mar 26 21:00:24.056: ISAKMP: New peer created peer = 0x47910754 peer_handle =0x80000006 000368: Mar 26 21:00:24.056: ISAKMP: Locking peer struct 0x47910754, refcount 1 for crypto_isakmp_process_block 000369: Mar 26 21:00:24.056: ISAKMP:(0):Setting client config settings 487F46E4 000370: Mar 26 21:00:24.056: ISAKMP:(0):(Re)Setting client xauth list and state 000371: Mar 26 21:00:24.056: ISAKMP/xauth: initializing AAA request ! — Beginning authentication process 000372: Mar 26 21:00:24.056: ISAKMP: local port 500, remóte port 500 000373: Mar 26 21:00:24.056: ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = 47E78440 000374: Mar 26 21:00:24.056: ISAKMP:(0): processing SA payload. message ID = 0 Processing ID payload. 000375: Mar 26 21:00:24.056: ISAKMP:(0) message ID = 0 ISAKMP (0:0): ID payload 000376: Mar 26 21:00:24.056
A través de RADIUS o TACACS los siguientes comandos permiten monitorizar el proceso de autenticación en tiempo real: •
Debug aaa authentication
•
Debug aaa authorization
•
Debug radius
www.FreeLibros.com
www.FreeLibros.com
Capítulo 31
IMPLEMENTACIÓN DEL CUENTE VPN CLIENTE CISCO VPN Existe un número necesario de tareas a completar para tener el cliente VPN de Cisco configurado y funcionando: •
Instalación del software.
•
Creación de una nueva conexión.
•
Configuración de las propiedades de autenticación en el cliente.
•
Configuración de tunneling transparente.
•
Habilitar y añadir servidores de respaldo.
•
Configuración de una conexión a Internet vía dialup.
El cliente VPN de Cisco puede ser descargado desde la Web Cisco con el único requerimiento necesario de estar registrado, debido a que es necesario tener una cuenta CCO para acceder al software.
INSTALACIÓN DEL CLIENTE VPN Una vez descargado el software y ejecutado el archivo para su instalación se accede a la pantalla de bienvenida, como se observa en la siguiente muestra:
www.FreeLibros.com
684
© R A -M A
REDES CISCO. CCNP a Fondo
Pulsando Next aparecerá el acuerdo de licencia. Si hay acuerdo de condiciones pulsar Yes.
La siguiente ventana muestra dónde instalará el software, se puede dejar la ubicación por defecto o cambiarla.
www.FreeLibros.com
© R A -M A
CAPÍTULO 31. IMPLEMENTACIÓN DEL CLIENTE VPN
685
La siguiente ventana ofrece la opción de modificar cómo será mostrado el cliente en la opción programas de Windows. Es posible aceptar la opción por defecto o modificarla.
Durante el siguiente paso el software será instalado y una vez terminada la instalación solicitará reiniciar el ordenador para terminar con la instalación.
www.FreeLibros.com
686
REDES CISCO. CCNP a Fondo
© R A -M A
CONFIGURACION DEL CLIENTE VPN En la siguiente imagen se ilustra la interfaz del cliente VPN:
El primer paso será añadir una nueva conexión. Pulsar el botón New para acceder a una pantalla como la siguiente muestra:
El campo Connection Entry es el nombre que llevará la conexión y tiene significado local. Aparece también otro campo llamado Description donde es posible dar una descripción más detallada acerca del propósito de la conexión u otra información relevante.
www.FreeLibros.com
© RA-MA
CAPÍTULO 31. 1MPLEMENTACIÓN DEL CLIENTE VPN
687
El campo Host es donde se configurará la dirección IP o nombre DNS del dispositivo VPN al que se hará la conexión.
Autenticación En la pestaña de autenticación existen tres opciones posibles: •
Group Authentication, es necesario introducir un nombre de usuario y una contraseña.
•
Mutual Group Authentication, en esta opción se utiliza como autenticación un certificado digital raíz que ha de ser compatible con el gateway VPN.
•
Certifícate Authentication, permite usar un certificado digital localmente almacenado.
Transporte La pestaña Transport permite la configuración de túneles transparentes, además de la posibilidad de poder seleccionar IPsec sobre UDP o sobre TCP.
www.FreeLibros.com
688
REDES CISCO. CCNP a Fondo
© R A -M A
El tunneling transparente permite la transferencia segura de paquetes entre el cliente VPN y el gateway VPN a través de un router que ejecuta servicios de firewall. Normalmente dicho gateway VPN también está corriendo NAT o PAT. Los extremos IPsec esperan que la IP de destino sea globalmente alcanzable, pero hoy en día se utiliza NAT o PAT en casi cualquier red, así que el tunneling transparente permite que los extremos IPsec puedan operar en este entorno. La configuración de tunneling transparente ha de ser común en el cliente VPN y en el gateway VPN. Tunneling transparente permite encapsular tráfico ISAKMP y ESP en datagramas TCP o UDP. La decisión de usar IPsec sobre TCP o UDP dependerá de cómo esté configurado en el gateway VPN. Por defecto el tunneling transparente está habilitado en el cliente, pero hay que configurarlos en el gateway VPN. La opción Allow Local LAN Access proporciona acceso a recursos de red locales, como pueden ser impresoras, faxes, etc. Para poder emplearlo ha de estar configurado tanto en el cliente como en el gateway VPN.
Servidores de respaldo La Pestaña Backup Servers sirve para proporcionar redundancia en caso de fallo de un servidor. Siempre es una buena idea contar con al menos otro servidor VPN de respaldo que pueda ser utilizado en caso de que el principal fale. El uso de dichos servidores de respaldo es automático en caso de que el principal no esté disponible. El orden será descendente.
www.FreeLibros.com
© RA-MA
CAPÍTULO 31. IMPLEMENTACIÓN DEL CLIENTE VPN
689
La siguiente figura muestra cómo configurarlos:
Dial-Up En caso de que el servidor VPN sea accesible vía dial-up se configurará desde esta pestaña. Dial-Up
www.FreeLibros.com
690
© R A -M A
REDES CISCO. CCNP a Fondo
Verificación de la configuración Desde la ventana principal del cliente VPN se muestran las conexiones creadas, para utilizar una de ellas simplemente seleccionarla haciendo doble click en ella.
Una vez establecida una conexión el menú Status mostrará las estadísticas:
www.FreeLibros.com
Capítulo 32
PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS VULNERABILIDAD DE LOS ROUTERS Como muchos otros dispositivos los routers Cisco tienen una serie de servicios habilitados por defecto. Muchos de ellos serán de utilidad y otros no, y si no existe un firewall que los proteja, estarán expuestos a diferentes tipos de ataques y vulnerabilidades. En la figura siguiente se observa cómo la red corporativa y la DMZ (Demilitarized Zone) están protegidas de los ataques desde Internet mediante un firewall. Normalmente hay más servicios accesibles en la zona desmilitarizada que en la red corporativa. La DMZ contiene servicios accesibles desde Internet por lo que las políticas de seguridad configuradas en su firewall son menos restrictivas que las configuradas para la red corporativa.
www.FreeLibros.com
692
© R A -M A
REDES CISCO. CCNP a Fondo
J. (
\
Internet
Servicios vulnerables en el router Las siguientes tablas describen los servicios innecesarios agrupados en categorías detallando el estado en que se encuentran y cómo deshabilitarlos.
Servicios innecesarios e interfaces
Servicio
Interfaces del router
Por defecto
Descripción Proporcionan entrada y salida de los paquetes al router. En caso de no utilizarse deberían estar deshabilitadas para prevenir que alguien las pudiera levantar conectando un cable.
Deshabilitado cuando no tienen configuración
Deshabilitado
( c o n f i g - i f )# shutdown
www.FreeLibros.com
© R A -M A
CAPÍTULO 32. PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS
Permite al router actuar com o servidor BootP. Es raramente necesitado y debería ser deshabilitado.
Habilitado
Envía información de manera periódica entre dispositivos Cisco esta información incluye por ejemplo el tipo de dispositivo, versión de IOS, direccionamiento IP, etc. Puede ser utilizado para cargar determinados ataques.
Habilitado (globalmente y en la interfaz)
Permite al router cargar una configuración mientras arranca desde un servidor.
Deshabilitado
Servidor FTP
Permite al router actuar com o servidor FTP utilizando la memoria flash com o almacenamiento de los archivos.
Deshabilitado
Servidor TFTP
Permite al router actuar com o servidor TFTP utilizando la memoria flash com o almacenamiento de los archivos.
Servidor BOOTP
Cisco D iscovery Protocol (CDP)
auto-loading
www.FreeLibros.com
(config)# no ip bootp server
(config)# no
cdp run (config-if)# no
cdp enable
( c o n f i g ) # no service config
(config)# no
Deshabilitado
ftp-server enable
( c o n f i g ) # no tftp-server file-sys:imageñame
693
694
© R A -M A
REDES CISCO. CCNP a Fondo
Servidor NTP
Permite al router recibir fecha y hora desde un servidor NTP y a su vez actuar com o servidor NTP para otros dispositivos. Debería ser configurado de manera adecuada, implementando ACL para limitar los servidores desde los que se recibe fecha y hora y también para limitar a quien enviársela. Es posible el uso de autenticación.
Deshabilitado
( c o n f i g ) # no ntp server ipaddress
Packet assembler/ disassembler (PA D )
Permite acceso a comandos X 25 P A D en una red X 25.
Habilitado
( c o n f i g ) # no service pad
Servicios TCP y UDP
Maintenance Operation Protocol (MOP)
Ejecuta los demonios small services.
Habilitado (inferior a 11.3) Deshabilitado (H-3 y superior)
Es un protocolo mantenimiento DEC.
de
Habilitado (en la mayoría de interfaces Ethernet)
( c o n f i g ) # no service tcpsmall-servers ( c o n f i g ) # no service udpsmall-servers
( c o n f i g - i f ) # no mop enabled
www.FreeLibros.com
© R A -M A
CAPÍTULO 32. PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS
Servicios de administración
Servicio
Simple Network Management Protocol (SNMP)
HTTP Configuración
y monitorización
Domain Ñ am e Service (D N S)
Descripción Permite al router responder a peticiones SNMP así como aplicar cambios de configuración. En algunos casos será necesaria la utilización de ACL para limitar el alcance de las consultas. Permite al router ser monitorizado y configurado vía HTTP o HTTPS. SDM utiliza HTTPS, en caso de no ser utilizado será mejor que esté deshabilitado. En caso de utilización limitar acceso con ACL. Los routers Cisco usan 255.255.255.255 como dirección D N S por defecto en caso de no tener una configurada. Si se utiliza DNS lo mejor es especificar la IP y deshabilitarlo en caso de no utilizarse.
www.FreeLibros.com
defecto
Deshabilitado
Habilitado
( c o n f i g ) # no snmp-server enable
Depende del servicio
( c o n f i g ) # no ip http server ( c o n f i g ) # no ip http secureserver
Habilitado
( c o n f i g ) # no ip domain-lookup
695
696
REDES CISCO. CCNP a Fondo
© R A -M A
Mecanismos de integridad de rutas Servicio
Descripción
ICMP Redirects
Hace que el router envíe un mensaje ICMP redirect cuando un paquete es reenviado vía la misma interfaz en la que es recibido. Puede ser usado por atacantes para enviar paquetes a un dispositivo “no confiable”.
IP Source Routing
Permite al emisor elegir el camino o ruta a través de la cual viajarán los paquetes en la red. Como norma general debería ser deshabilitado.
p;|¡pór:::f:í|'
defecto
Habilitado
Habilitado
Deshabilitado
(config)# no ip icmp redirect (config-if)# no ip redirects
(config)# no ip source-route
Pruebas y escaneos Servicio
Descripción
Finger service
El protocolo Finger (puerto 79) sirve para pedir una lista de usuarios a una unidad de red, dicha información incluye número de línea, nombre de la conexión, tiem po idle y localización del terminal. Es la que aparece cuando se utiliza el comando show users.
ICMP unreachable notification
N otifica al em isor de subredes IP de destino inválidas.
ICMP mask reply
Envía la máscara de subred cuando ésta es pedida.
i/;/ ::-' Por;defecto
Habilitado
Habilitado
Deshabilitado
(config)# no
service finger
(config-if)#
no ip unreachables (config-if)#
Deshabilitado
no ip maskreply
www.FreeLibros.com
© RA-MA
IP directed broadcasts
CAPÍTULO 32. PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS
Puede ser utilizado como ataque DOS. Se trata de tráfico unicast hasta que llega al router que contiene la subred sobre la que se va a lanzar el broadcast.
697
Habilitado ] (IOS (config-if)# anterior no ip a 12.0) directedDeshabilitado broadcast (IOS 12.0 y superiores)
Servicios de acceso de seguridad Descripción
Servicio
IP identification service
RFC1413. Proporciona identidad iniciador de conexión TCP.
TCP keepalives
Ayuda a limpiar conexiones TCP cuando un host remoto ha dejado de procesar paquetes TCP. Ha de ser habilitado para prevenir ciertos ataques DOS.
la del la
Por defecto
Habilitado/Deshabilitado
Habilitado
( c o n f i g ) # no ip identd.
Deshabilitado
( c o n f i g ) # service tcp-keepalives-in. ( c o n f i g ) # service tcp-keepalives-out
Servicios ARP Servicio
Descripción
Gratuitous ARP
Servicio usado com o medio primario en ataques de envenenamiento de ARP.
Proxy ARP
Permite al router resolver direcciones de capa 2. Solamente es útil si el router actúa com o bridge de capa 2.
www.FreeLibros.com
Por defecto Habilitado
Habilitado
Deshabilitado ( c o n f i g ) # no ip arp gratuitous
( c o n f i g ) # no ip arp proxy
698
REDES CISCO. CCNP a Fondo
© R A -M A
PROTECCIÓN CON AUTOSECURE Autosecure es una herramienta de Cisco incorporada en la IOS 12.3 y superiores que ayuda a asegurar los routers más fácilmente. Las tareas que se pueden realizar con Autosecure son las siguientes: •
Servicios y funciones del plano de gestión. Finger, PAD, TCP y UDP small servers, encriptación de contraseñas, keepalives de TCP, CDP, BOOTP, HTTP, source routing, ARP gratuito, proxy ARP, IMCP redirects, respuestas ICMP mask, broadcast dirijido, MOP y banner.
•
Servicios y funciones del plano de reenvío. CEF y ACL.
•
Servicios y funciones de firewall. Firewall IOS de Cisco permite realizar funciones de inspección para determinados protocolos.
•
Funciones de logging. Incluye un visor de sucesos para detectar posibles ataques.
•
NTP. Asegura la configuración de este servicio.
•
Acceso SSH. Es preferible el uso de SSH sobre Telnet. SSH encripta los paquetes mientras que Telnet envía contraseñas en texto plano.
•
Servicios TCP Intercept. Previene ataques de tipo DoS Syn flooding.
Para habilitar Autosecure se utiliza el siguiente comando: Router#auto secure [management | forwarding] [no-interact | full] [login | ntp | ssh | firewall | tcp-intercept]
La opción full es la de por defecto. Si se selecciona no-interact el usuario no será preguntado por los parámetros a introducir. Es posible elegir configuraciones parciales seleccionando alguna de las opciones en lugar de full. Cuando se ejecuta el comando auto secure full ocurren los siguientes eventos: •
Identificación de la interfaz externa o que conecta con Internet.
•
Aseguración del plano de gestión.
•
Creación de un banner o mensaje de seguridad.
www.FreeLibros.com
© R A -M A
CAPÍTULO 32. PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS
•
Configuración de contraseñas, AAA y SSH.
•
Aseguración de las interfaces.
•
Aseguración del plano de reenvío.
699
Antes de ejecutar Autosecure es importante guardar una copia del contenido de la running config en caso de que sea necesario dar marcha atrás. Para IOS 12.3(8)T y superiores Autosecure crea de forma automática una copia de running config que puede ser restaurada usando el comando: configure replace flash:pre_autosec.cfg
UTILIZACION DE SDM PARA ASEGURAR EL ROUTER Ya hemos visto en capítulos anteriores cómo manejar esta herramienta. En las siguientes muestras se verá cómo acceder a los dos asistentes disponibles para asegurar el router:
El primer asistente es llamado Security Audit. Se encarga de realizar un escaneo del router y reportar lo encontrado. Es posible corregir las debilidades de configuración al final del asistente. Es similar a ejecutar la opción full del auto secure en la CLI.
www.FreeLibros.com
700
REDES CISCO. CCNP a Fondo
© R A -M A
Asistente Security Audit Para cargar el asistente se selecciona Perform Security audit, como se muestra en la figura anterior. Se abre una página de bienvenida con información acerca de cómo será el procedimiento. Una vez pulsado Next se prosigue con la siguiente página, donde se configurarán las interfaces del router como internas (seguras) o externas (inseguras), como muestra la siguiente figura:
Se prosigue pulsando Next, ahora conociendo qué interfaces son internas y cuáles son externas. SDM realizará un reporte de seguridad del router, similar al que se ve en la siguiente muestra:
www.FreeLibros.com
© R A -M A
CAPÍTULO 32. PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS
701
Una vez conocido el reporte se abre la posibilidad de solucionar los problemas de seguridad encontrados, como muestra la siguiente figura:
www.FreeLibros.com
702
REDES CISCO. CCNP a Fondo
© R A -M A
Asistente One-Step Lockdown Este asistente está disponible desde la página Security Audit Configure del SDM y realiza funciones similares al Auto secure en CLI. Al seleccionar esta opción se abre una ventana como la de la figura siguiente:
Hay que tener en cuenta que no hará ninguna pregunta, simplemente implementará todas las funciones correctivas mostradas en el reporte de auditoría, por lo tanto se debe tener plena seguridad de lo que se desea hacer.
ADMINISTRACIÓN SEGURA DEL ROUTER El acceso al router puede llevarse a cabo por medio de los siguientes métodos: •
CLI: usando el puerto de consola, el puerto aux o mediante una sesión lógica de Telnet o SSH.
•
Interfaz Web. SDM es accesible vía HTTP o HTTPS.
•
SNMP. El router puede ser configurado o “preguntado” por un servidor o estación SNMP.
www.FreeLibros.com
© RA-MA
CAPÍTULO 32. PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS
703
Contraseñas Algunas de las recomendaciones prácticas a tener en cuenta a la hora de establecer las contraseñas pueden ser las siguientes •
Longitud mínima. Cuantos más caracteres tenga más difícil será descubrirla.
•
Mezcla de diferentes caracteres. Debería incluirse una mezcla de mayúsculas, minúsculas, números, caracteres especiales, etc. De esa manera se eleva la complejidad y las posibilidades de acertar con ella.
•
No usar palabras del diccionario. De esta forma se evitan en la medida de lo posible los llamados ataques de diccionario.
•
Cambiar la contraseña con frecuencia. Limitando así el uso de una contraseña que hubiera estado comprometida.
La siguiente figura muestra puntos de acceso al router que deberían estar protegidos por contraseñas.
Cuando un usuario tiene acceso físico al router podría intentar acceder utilizando una sesión asincrona vía el puerto de consola o el puerto aux. Desde la red el usuario puede intentar acceder vía CLI usando Telnet o SSH o también vía Web con SDM a través de HTTP o HTTPS, incluso SNMP. Todos estos puntos de acceso pueden ser asegurados mediante el empleo adecuado de contraseñas y a su vez limitando el acceso utilizando ACL. Las contraseñas en Cisco comparten las siguientes características:
www.FreeLibros.com
704
REDES CISCO. CCNP a Fondo
© R A -M A
•
Pueden ser de entre 1 y 25 caracteres.
•
El primer carácter no puede ser un número o un espacio.
•
Dentro de la contraseña, a excepción de lo citado arriba, cualquier otra combinación de caracteres es válida.
•
Es aconsejable dentro de la política de seguridad aplicar una subpolítica referente a contraseñas en la que se debe establecer lo siguiente: oLongitud mínima. o Consejos de cómo generar las contraseñas. oFrecuencia de expiración de las contraseñas.
Limitaciones en las sesiones Incluso la contraseña más compleja siempre es susceptible a ser descubierta a través de un ataque de fuerza bruta, por ejemplo. Por defecto, Cisco sólo permite tres intentos de acceso al router, después del tercer fallo la conexión es reseteada, pero después se podrá volver a intentar de manera sucesiva. Muchos dispositivos de red contabilizan el número de intentos fallidos y después de que llegan al umbral deshabilitan el usuario por tiempo limitado o hasta que el administrador lo resetea. En la siguiente muestra se observa cómo configurar un logging de fallos en la autenticación: Router(config)# aaa new-model Router(config)# aaa authentication attempts login 5 Router(config)# aaa authentication login local-policy local
i
Router(config)# security authentication failure rate threshold-rate
log Router(config)#
www.FreeLibros.com
© R A -M A
CAPÍTULO 32. PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS
705
Para que la función security authenticate funcione es necesario implementar AAA (Authentication, Authorization, Accounting) cuyo proceso, en referencia al ejemplo anterior, es el siguiente: •
Habilitar AAA: aaa new-model
•
Incrementar el número de intentos de login a 5
•
Crear una política llamada local-policy que involucra al usuario local del router para autenticar a quien intenta establecer una sesión.
El comando security authentication tiene un sólo parámetro, threshold rate, que define el número de intentos de login fallidos durante un minuto, lo que causaría que un mensaje log fuera generado. Dicho parámetro ha de ser menor o igual a aaa authentication attempts login, de lo contrario el usuario sería desconectado antes de generar el log. Desde el modo de configuración es posible utilizar el comando login para configurar los parámetros relativos a las sesiones y los intentos de autenticación fallidos. Router(config)# aaa new-model Router(config)# aaa authentication attempts login 5 Router(config)# aaa authentication login l o c a l - p o l i c y local
i
Router(config)# login ? block-for Set quiet-mode active time period delay Set delay between successive fail login on-failure Set options for failed login attempt on-success Set options for successful login attempt quiet-mode Set quiet-mode options Router(config)#
Como ocurre con el comando security authentication, para que el login funcione es necesario configurarlo en AAA. Las opciones de login son múltiples: •
Block-for login block-for seconds attempts failed-attempts within watchperiod Permite definir tres parámetros: o
Seconds, número de segundos durante los cuales futuros intentos de login serán denegados (quiet period).
www.FreeLibros.com
706
© R A -M A
REDES CISCO. CCNP a Fondo
o
Failed-attempts, número de intentos fallidos seguidos que hacen activar el parámetro timeout sea invocado.
o
Watch-period, período de tiempo durante el cual los intentos de login fallidos consecutivos tienen que ocurrir para que se invoque el “quiet period”.
•
Delay. Establece un tiempo de retraso entre intentos de login fallidos. El usuario o atacante ha de esperar este período (de 1 a 10 segundos) antes de poder volver a intentar una nueva sesión. Se consigue así frenar la velocidad de cualquier ataque.
•
Las opciones on-failure y on-success habilitan opciones de login para intentos de autenticación fallidos y satisfactorios respectivamente.
•
La opción quiet-mode enlaza una access-class (como las usadas para limitar acceso vía VTY) al comando login. Los dispositivos permitidos en la access class estarán exentos de las opciones login.
Una vez configurados estos parámetros pueden verse a través del comando show login.
Contraseñas en el modo setup Existen dos maneras posibles de acceder al modo setup. La primera es encender el router sin ningún tipo de configuración. La segunda es ejecutando el comando setup desde modo privilegiado. En la siguiente sintaxis se muestra la parte en la que se puede configurar las contraseñas desde el modo Setup. The enable secret is a password used to protect access to privileged EXEC and configuration m o d e s . This password, after entered, becomes encrypted in the configuration. Enter enable secret: CCnP The enable password is used when you do not specify an enable secret password, with some older software versions, and some boot images. Enter enable password: CCnP % Please choose a password that is different from the enable secret Enter enable password: CCnPtest The virtual terminal password is used to protect access to the router over a network interface. Enter virtual terminal password: testCCnP
www.FreeLibros.com
© RA-MA
CAPÍTULO 32. PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS
707
La primera contraseña configurable es la enable secret de acceso a modo privilegiado. Dicha contraseña será encriptada por el router con el algoritmo MD5. La segunda contraseña es la enable password, de acceso a modo privilegiado. Esta contraseña se utilizaba antes de desarrollarse el enable secret. Por defecto se guardada en modo texto y en caso de existir un enable secret, ésta será ignorada. El modo Setup no permite que las contraseñas enable secret y enable password sean iguales, al estar esta última en texto plano por defecto y ser así una vulnerabilidad. La tercera contraseña es la de acceso a terminales virtuales. Se utiliza cuando se intenta acceder al router vía Telnet o SSH. Por defecto es almacenada en texto plano. Con el modo Setup no es posible configurar las contraseñas de aux y consola.
Contraseñas por línea de comandos Todas las contraseñas pueden ser configuradas desde la línea de comandos: •
Consola
•
Aux
•
VTY
•
Enable password
•
Enable secret
La siguiente sintaxis muestra cómo configurar varios de ellos,: Router(config)# enable password p a ssw o rd Router(config)# enable secret p a ssw o rd Router(config)# line { consolé 0 | aux O | vty 0 4 } Router(config-line)# password p a ssw o rd Router(config-line)# login
Por defecto las contraseñas de enable, consola, aux y VTY son almacenadas en texto plano mientras que la enable secret lo hace de manera encriptada.
www.FreeLibros.com
708
REDES CISCO. CCNP a Fondo
© R A -M A
Al acceder vía consola, aux y VTY se accede directamente al modo usuario, donde sólo ciertos comandos son accesibles, generalmente para ver estadísticas. Es necesario acceder a modo enable o privilegiado para realizar el resto de las funciones. Los puertos de consola y aux son locales al router, para entrar por consola es necesario un cable de consola y para acceder por aux es necesario un módem. El comando login en las líneas permite que la contraseña sea chequeada. Sin este comando la contraseña no sería utilizada. Al incluir este comando se hace obligatorio el empleo de una contraseña de acceso.
Protecciones adicionales Utilizando contraseñas no se restringen los intentos de acceso al router debido a que cualquiera con conectividad IP puede tener acceso. El acceso Telnet o SSH puede ser restringido mediante el empleo del comando access-class. Dicho comando está asociado con una ACL que permite o deniega el establecimiento de sesiones telnet o SSH. En la siguiente muestra se observa cómo asociar una access-class a los puertos VTY, en este caso permitiendo iniciar sesiones telnet o SSH a dos host. Router(config)# access-list 10 permit 192.168.10.11 Router(config)# access-list 10 permit 192.168.4.10 Router(config)# line vty 0 4 Router(config-line)# access-class 10 in Router(config-line)# password CCnP Router(config-line)# login Router(config-line)#
También es posible configurar temporizadores en las líneas para que las sesiones sean desconectadas en caso de inactividad. Por defecto son desconectadas a los 10 minutos de inactividad. La siguiente muestra indica los comandos para hacerlo: Router(config)# line { consolé 0 | aux 0 | vty 0 4 } Router(config-line)# exec-timeout minutes [ seconds ] R o u t e r (config-line)#
www.FreeLibros.com
© RA-MA
CAPÍTULO 32. PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS
709
Longitud de las contraseñas Cuanto más largo sea el tamaño de la contraseña más seguro será. En equipos Cisco la longitud máxima es de 25 caracteres y se puede incluir cualquier carácter alfanumérico. La política de seguridad de la red debería especificar la longitud que las contraseñas han de tener. En la siguiente sintaxis se muestra el comando para implementar una longitud mínima en las contraseñas: Router(config)# security passwords min-length length
Una vez aplicado, el comando tendrá efecto sobre las nuevas contraseñas configuradas, no sobre las ya existentes. Es recomendable que la longitud de la contraseña sea entorno a los 10 caracteres aunque ésta puede variar dependiendo de la complejidad de la misma.
Encriptación de contraseñas Todas las contraseñas son guardadas inicialmente en texto plano, a excepción de la enable secret. Si alguien lee la configuración o gana acceso a ella podría verlas fácilmente. Cisco utiliza un algoritmo basado en la clave Vigenere para encriptar las contraseñas. Al utilizar el comando service password-encryption todas las contraseñas quedan encriptadas, para reconocer este sistema se observa como están precedidas por el número 7. Este sistema de encriptación no es potente, simplemente se utiliza para prevenir que algún intruso que vea una muestra de un show run pueda reconocer las contraseñas fácilmente. Existen numerosas aplicaciones que desencriptan este sistema en cuestión de segundos. La siguiente sintaxis muestra un antes y un después de habilitar el comando: Router# show running-config enable password ciscoCCnP line con password login line vty password login
0 CCnPtest 0 4 testCCnP
www.FreeLibros.com
710
REDES CISCO. CCNP a Fondo
© R A -M A
Router# configure terminal Enter configuration commands, one per liné. End with CNTL/Z. Router(config)# service password-encryption Router(config)# end Router# show running-config enable password 7 14L41B180F0B3A2A373B243A3017 line con password login line vty password login
0 7 00071A1507541F031C351D1C5A 0 4 7 11584B56031718180723382727
Router#
La mejor práctica de seguridad es la utilización de un servidor RADIUS o TACACS donde almacenar las contraseñas y poder encriptarlas adecuadamente de tal forma que no sea tarea del router.
Banners Un banner es un mensaje que aparece, según sea, antes o después de ganar acceso al router. Simplemente sirve para dar a conocer la política de seguridad y quién puede acceder al router o incluso un número de contacto del equipo que se encarga de monitorizar el router. Tipos de banners: •
M odt (Message of the day), es el primer mensaje que aparece cuando se accede al router por consola, aux o VTY.
•
Exec, es mostrado cuando un proceso exec se inicia creado.
•
Incoming, es mostrado cuando comienza una sesión Telnet o SSH.
•
Login, es mostrado antes de que el proceso de login (usuario password) comience.
y
El banner nunca debería incluir palabras como “Bienvenido” porque podría interpretarse como una invitación a romper la seguridad del dispositivo desde un punto de vista legal.
www.FreeLibros.com
© RA-MA
CAPÍTULO 32. PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS
711
El comando y un texto típico para un banner modt puede ser el siguiente: Router(config)# banner motd # ** ATENCIÓN ** — Cualquier acceso no autorizado está estrictamente prohibido y será sancionado según marca la ley vigente
# Router(config)#
Sesiones individuales Hasta ahora sólo se ha visto que todos los usuarios, independientemente de la tarea que puedan realizar, se identifican utilizando la misma contraseña. Esto obviamente puede mejorarse con la creación de diferentes usuarios para que cada uno de ellos pueda acceder al router empleando su propia sesión. El siguiente es un ejemplo de usuarios y contraseñas: Router(config)# username Enrique password ciscoCCnP456 Router(config)# username Ernesto secret ciscoCCnP678 Router(config)# line vty 0 4 Router(config-line)# login local
Niveles de privilegios Aunque ya se ha visto cómo se pueden crear diferentes usuarios, hasta ahora todos ellos comparten la misma contraseña para acceder al modo privilegiado. Cisco IOS permite la creación de diferentes niveles de privilegios. Cuando sólo existe un nivel de privilegio todos los usuarios que tienen la contraseña pueden acceder a todas las opciones de igual forma, pero cuando hay varios niveles será necesario establecer qué comandos estarán accesibles según cada nivel. Se pueden configurar hasta 16 niveles. El nivel 0 es el modo de usuario y el 15 es el modo privilegiado. Desde el 1 al 14 permiten personalizarse. El siguiente comando permite la configuración de los niveles en las contraseñas de los usuarios: Router(config)# privilege mode level level command Router(config)# enable secret level level password
www.FreeLibros.com
712
© R A -M A
REDES CISCO. CCNP a Fondo
A través del comando privilege se añaden comandos al nivel que se requiera. El comando enable secret define la contraseña necesaria para acceder a un nivel en particular. Las opciones de estos comandos son las siguientes: •
La opción mode selecciona una opción exec o de configuración que será incluida con este nivel de privilegio.
•
La opción level es el número de nivel, entre 1 y 14.
•
La opción command es el comando que queremos incluir en ese nivel en particular.
La siguiente sintaxis es un ejemplo: Router (confi g)# Router (confi g) # Router (confi g ) # Router (confi g)# Router (confi g) # Router (confi g) # Router (confi g) # Router (confi g ) # Router (config)##
pri vilege interface level 2 ip address pri vilege interface level 2 ip pri vilege configure level 2 interface pri vilege exec level 2 configure terminal pri vilege exec level 2 configure pri vilege exec level 2 show interfaces pri vilege exec level 2 show running-config privilege exec level 2 show enable secret level 2 ciscopriv2
Para moverse entre diferentes niveles se utiliza el siguiente comando: Router >enable level Password: Router#
Finalmente se debe tener en cuenta que cada comando de IOS solamente puede utilizarse en uno de los niveles.
VISTAS BASADAS EN ROL Con esta funcionalidad es posible crear vistas donde cada una de las cuales contendrá una lista de comandos IOS. A diferencia de los niveles de privilegio en este caso es posible que un comando exista en diferentes vistas. Es posible además ser más específico, por ejemplo, asignar una vista para una interfaz en particular y no para todas. Desde la vista Root se pueden crear otras vistas y añadir los comandos.
www.FreeLibros.com
© RA-MA
CAPÍTULO 32. PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS
713
Para configurar las vistas basadas en rol se utiliza AAA, por lo tanto como mínimo es necesario tener configurado el comando aaa new-model. La siguiente sintaxis muestra cómo acceder a la vista Root: Router> enable view [view-name] Password:
Con el comando enable view se accede a la vista Root y con la opción view-name se accede a una vista en particular. Una vez que dentro de la vista Root se pueden crear las vistas individuales. Es posible tener un máximo de 15 vistas individuales por router. Los siguientes comandos permiten crear una vista individual: Router# configure terminal Router(config)# parser view view-name Router(config-view)# password 5 view-password R o u t e r (config-view)# secret view-password R o u t e r (config-view)# commands command-type {include | exelude |
include-exclusive} {LINE | all} R o u t e r (conf ig-view)#
Se observa como detalle el número 5 en la configuración, esto indica que la contraseña será almacenada en formato MD5 y ésa es la única opción. A partir de la versión de IOS 12.4 la única opción disponible es la secret, la cual directamente encripta en formato MD5. Una vez configurada la contraseña la opción commands añade comandos IOS a la vista: •
Command-type selecciona la categoría del comando (exec, configure, interface, etc).
•
Posteriormente se puede elegir include para incluir el comando o exelude para excluirlo. Con la opción include-exclusive se incluye en esta vista sin permitir que se incluya en otras.
•
Se pueden seleccionar líneas individuales con la opción LINE o all para todos los comandos dentro de una categoría.
www.FreeLibros.com
714
REDES CISCO. CCNP a Fondo
© R A -M A
Las vistas individuales pueden ser anidadas en las llamadas super vistas. La siguiente es una muestra de los comandos respectivos: Router(config)# parser view view-name superview Router(config-view)# password 5 view-password Router(config-view)# secret view-password Router(config-view)# view view-name Router(conf ig-view)
Protección física del router Si un intruso gana acceso al router de manera física y no conoce las contraseñas de consola o auxiliar, podría intentar hacer un password recovery, mecanismo que permite acceder al router desde el modo ROMMON para despues cambiar el valor del registro de configuración del sistema de 0x2102 a 0x2142. Este valor del registro hace que una vez que ha cambiado, cuando el router se reinicie no cargará la configuración, pero será accesible simplemente usando el comando show start. Para evitar que alguien pueda hacer un password recovery en el router utilizamos el siguiente comando: Router(config)#no service password-recovery
La utilización de este comando puede resultar problemática y deben coexistir otras instancias o alternativas para recuperar la disponibilidad de la red en caso de catástrofe, como por ejemplo, un segundo router pre-configurado y listo para ser enviado si fuera necesario.
www.FreeLibros.com
Capítulo 33
AAA INTRODUCCIÓN A AAA AAA es el acrónimo de Authentication, Authorization and Accounting. Cada una de las partes se detalla a continuación: •
Authentication. El proceso de autenticación se encarga de verificar que el usuario es quien dice ser, por ejemplo mediante el uso de un nombre de usuario y un password.
•
Authorization. El proceso de autorización determina a qué recursos tiene acceso el usuario una vez que se ha autenticado.
•
Accounting. El proceso de auditoría se encarga de registrar la actividad realizada por el usuario una vez que haya sido autenticado.
El proceso AAA puede resumirse en estas tres preguntas: •
¿Quién es usted?
•
¿ Qué se le permite hacer a este usuario?
•
¿Quéhan estado haciendo los usuarios en la red?
www.FreeLibros.com
716
REDES CISCO. CCNP a Fondo
© R A -M A
MODO DE ACCESOS AAA AAA tiene dos modos de acceso, carácter y paquete, que se resumen en la siguiente tabla: Interfaz
Modo
Descripción
AUX
Carácter
Puerto Auxiliar DTE
Consola
Carácter
Puerto de Consola
TTY
Carácter
Puerto Asincrono
V TY
Carácter
Terminales Virtuales
P PP
Paquete
Interfaces PPP, serial o ISDN
Arap
Paquete
AppleTalk Remóte A ccess (AR A )
NASI
Paquete
NetWare A ccess Server Interface o intefaz serie
PROTOCOLOS TACACS+ Y RADIUS Ambos protocolos se encargan de proporcionar servicios AAA, pero existen diferencias entre ellos. RADIUS está definido en la RFC 2865 y TACACS+ en la RFC 1492. RADIUS utiliza UDP mientras que TACACS+ utiliza TCP, lo que conlleva a una serie de diferencias en el comportamiento de ambos protocolos. •
TCP proporciona dos mecanismos para saber que el servidor ha fallado: uno a través de las banderas RST y el otro a través de los keepalives. En el caso de UDP son las aplicaciones las que deben realizar estas funciones.
•
TCP escala mejor que UDP en grandes redes, especialmente si la red tiende a estar congestionada.
www.FreeLibros.com
© R A -M A
CAPÍTULO 33. AAA. 717
•
TCP permite múltiples conexiones simultáneas a múltiples servidores enviando automáticamente sólo a aquellos que estén activos. UDP necesitaría programación extra en las aplicaciones.
TACACS+ separa completamente los procesos de autenticación y autorización y soporta más protocolos que RADIUS, mientras que RADIUS los unifica. Los siguientes protocolos no son soportados por RADIUS: • AppleTalk Remóte Access (ARA) protocol • NetBIOS Frames Protocol Control protocol • Novell Asynchronous Services Interface (NASI) • X.25 PAD connection RADIUS no permite especificar qué comandos puede utilizar el usuario después de iniciar una sesión en el router, simplemente permite o deniega el acceso al equipo. TACACS+ tiene dos métodos de autorizar el uso de comandos en el router: •
Especificando en el servidor TACACS+ los comandos que se permiten usar a un determinado usuario o grupo.
•
Confiando en los niveles de privilegio. Se lanza una consulta al servidor TACACS+ para ver si el usuario o grupo puede usar un determinado comando en un determinado nivel de privilegio.
www.FreeLibros.com
718
REDES CISCO. CCNP a Fondo
© R A -M A
CONFIGURACIÓN DE AAA CON CLI Configuración de RADIUS En la siguiente sintaxis se muestra una configuración de AAA utilizando RADIUS: aaa new-model radius-server host 10.10.1.5 radius-server key TheRADIUSServerKey username root password MySecretPassword aaa authentication ppp mydiallist radius local aaa authorization network radius local aaa accounting network mynetwork start-stop group radius
Configuración de TACACS+ En la siguiente sintaxis muestra una configuración de AAA utilizando TACACS+: aaa new-model tacacs-server host 10.10.1.5 tacacs-server key TheTacacsServerKey username root password MySecretPassword aaa authentication ppp mydiallist tacacs+ local aaa authorization commands 15 tacacs+ if-authenticated none aaa accounting network start-stop tacacs+
Configuración de AAA •
aaa new-model, sirve para habilitar AAA en el router. Si se utiliza la forma no delante quedará deshabilitado.
•
radius-server host, se utiliza para indicar el servidor RADIUS! El comando tiene varias opciones, la sintaxis completa es la siguiente: radius-server host {hostname \ ip-address} [auth-port portnumber] [acct-port port-number][timeout seconds] [retransmit retries] [key string] [alias{hostname | ip-address}]
La siguiente tabla describe los parámetros:
www.FreeLibros.com
© R A -M A
CAPÍTULO 33. AAA
Parámetro hostname
ip-address
auth-port
port-number
acct-port
port-number
719
Descripción Especifica
un
nombre
para
el
servidor
R A D IU S . Especifica una dirección IP para el servidor R A D IU S . Especifica el puerto U D P para las solicitudes de autenticación. N úm ero de puerto para las autenticaciones (0 no se utiliza; por defecto 1645). Especifica el puerto U D P para las solicitudes de auditoría. N úm ero de puerto para las auditorías (0 no se utiliza; por defecto 1646). Especifica el valor en segundos que el router
timeout
espera por la respuesta del servidor R A D IU S antes de reenviar una petición.
seconds
retransmit
Especifica el valor del timeout. Especifica
el
petición
al
número
de veces
servidor
que
R A D IU S
una es
retransmitida.
retries
Especifica el valor de la retransmisión. Especifica que una clave para autenticar y
key
encriptar será utilizada entre el router y el servidor R A D IU S .
string
alias
•
Especifica el valor de la clave. Especifica hasta 8 alias que se pueden dar a un servidor R A D IU S .
tacacs-server host, se utiliza para indicar el servidor RADIUS. El comando tiene varias opciones, vemos a continuación la sintaxis completa:
www.FreeLibros.com
720
REDES CISCO. CCNP a Fondo
© R A -M A
tacacs-server host {hostname | ip-address) [key string] [nat] [port [integer]] [single-connection] [timeout [integer]] no tacacs-server host {host-name | host-ip-address}
La siguiente tabla describe los parámetros: Parámetro hostname
Nombre del servidor TACACS+.
ip-address
Dirección IP del servidor TACACS+.
key
string
Especifica que una clave para autenticar y encriptar será utilizada entre el router y el servidor TACACS+. Especifica el valor de la clave.
nat
Dirección N A T del cliente que es enviada al servidor TACACS+.
port
Especifica el número de puerto TACACS+ (por defecto = 49)
integer
Especifica el valor del número de puerto TACACS+.
single-connection
•
Descripción
Mantiene una sola conexión abierta.
timeout
Especifica un valor de timeout.
integer
Especifica en segundos el valor el timeout.
radius-server key y tacacs-server key. Ambos comandos cumplen la misma función de configuración de la clave de autenticación para la comunicación entre el router y el servidor. [no] radius-server key {0 string | 7 string | string}
[no] tacacs-server key {0 string | 7 string | string}
www.FreeLibros.com
© R A -M A
CAPÍTULO 33. AAA
721
La siguiente tabla describe los parámetros: Descripción
Parámetro 0 string
La clave se introduce sin encriptación.
7 string
La clave se introduce con encriptación.
string
La clave se introduce sin encriptación.
•
username root password. No es un comando específico de AAA. Sirve para especificar un usuario y contraseña.
•
aaa authentication PPP. Especifica los métodos de autenticación para usar en interfaces seriales PPP. La siguiente sintaxis describe el comando completo: [no]
aaa
authentication
ppp
{default
|
list-name)
[method2...]
La siguiente tabla describe los parámetros: Parámetro
Descripción
d efau lt
U tiliza los métodos de autenticación por defecto cuando un usuario inicia sesión.
list-name
Nombre para autenticación.
una
lista
de
métodos
de
A l menos uno de los siguientes m étodos es utilizado:
•
If-needed: no autentica si el usuario ya está autenticado.
methodl [method2... 7
•
Krb5: usa Kerberos 5.
•
Local: usa la base de datos local.
•
None: no hay autenticación.
•
Radius: usa un servidor RADIUS.
•
Tacacs+: usa un servidor TACACS+
www.FreeLibros.com
methodl
722
© R A -M A
REDES CISCO. CCNP a Fondo
•
aaa authorization, permite definir el grado de acceso de los usuarios. El comando completo para su configuración es el siguiente: [no] aaa authorization {network | exec | commands level reverse-access} {default | listname}[methodl [method2.. .]]
La siguiente tabla describe los parámetros:
Parámetro
Descripción
network
Ejecuta autorización para todos los servicios de red que lo pidan.
exec
Ejecuta autorización para ver si a un usuario le está permitido usar una Shell exec.
commands
Ejecuta autorización para todos los comandos al nivel especificado.
level
N ivel del comando específico que ha de ser autorizado.
reverse-access
Ejecuta autorización para conexiones de acceso reverso com o por ejemplo Telnet reverso.
default
U tiliza los m étodos de autenticación por defecto cuando un usuario inicia sesión.
list-name
Nombre para autenticación.
una
lista
de
m étodos
www.FreeLibros.com
de
|
© RA-MA
CAPÍTULO 33. AA.A
723
A l menos uno de los siguientes métodos es usado: •
If-needed: no autentica si el usuario ya está autenticado.
methodl [method2... 7
•
•
Krb5: usaKerberos 5.
•
Local: usa la base de datos local.
•
None: no hay autenticación.
•
Radius: usa un servidor RADIUS.
•
Tacacs+: usa un servidor TACACS+
aaa accounting, permite guardar un registro con los comandos que ha utilizado cada usuario. El comando completo es el siguiente: [no] aaa accounting {auth-proxy | system | network | exec | connection | commands level} {default | list-name} [vrf vrfname] {start-stop | stop-only | none} [broadcast] group group-name
La siguiente tabla describe los parámetros: Descripción
Parámetro auth-proxy
Lleva a cabo auditoría autenticación de proxy.
de todos
los
eventos
de
system
Lleva a cabo auditoría de todos los eventos del sistema no asociados con usuarios.
network
Lleva a cabo auditoría de todas las peticiones relativas a la red.
exec
Lleva a cabo auditoría de todas las sesiones de Shell exec.
connection
Lleva a cabo auditoría de todas las conexiones de salida desde el servidor de acceso de la red.
www.FreeLibros.com
724
REDES CISCO. CCNP a Fondo
commands level
default
Option
© R A -M A
Lleva a cabo auditoría de todos los comandos al nivel especificado. U tiliza los métodos continuación.
de
auditoría
que
vienen
a
Descripción. Cadena de caracteres usada para nombrar la lista, las opciones son:
•
Group radius: lista de servidores RADIUS.
•
Group tacacs: lista de servidores TACACS+.
•
Group
list-name
vrf vrf-name
start-stop
group-name: un subconjunto servidores RADIUS o TACACS+.
de
Especifica una configuración para VRF. Envía un evento start cuando el proceso inicia y envía un evento stop cuando el proceso finaliza.
stop cuando el proceso finaliza.
stop-only
Envía un evento
broadcast
Habilita el envío de registros de auditoría a múltiples servidores A A A . Cadena de caracteres usada para nombrar la lista, las opciones son:
group groupname
•
Group radius: lista de servidores RADIUS.
•
Group tacacs: TACACS+.
•
Group group-name: un subconjunto de servidores RADIUS o TACACS+.
lista
de
servidores
www.FreeLibros.com
© RA-MA
CAPÍTULO 33. AAA
725
CONFIGURACIÓN DE AAA CON SDM Alternativamente al método CLI es posible configurar AAA utilizando SDM. Para ello se debe iniciar SDM acceder a configure y en la lista Additional Tasks se configura AAA. La siguiente muestra es la primera parte de la configuración, que es el equivalente en CLI a utilizar el comando aaa new-model:
El siguiente paso consiste en configurar los servidores RADIUS TACACS+. Las siguientes imágenes muestran las capturas de pantallas:
www.FreeLibros.com
726
© R A -M A
REDES CISCO. CCNP a Fondo
Los puertos VTY y consola están automáticamente configurados para autenticación y autorización utilizando la base de datos local. Es posible efectuar cambios seleccionando Authentication Policies o Authorization Policies en la lista Additional Tasks, como muestra la siguiente figura:
' ifti Con SDM es posible modificar fácilmente la configuración de autorización. La siguiente imagen muestra cómo modificar la autorización EXEC:
www.FreeLibros.com
© RA-MA
CAPÍTULO 33. A AA
727
Otra tarea que se puede realizar es la creación de cuentas de usuario y sus respectivos contraseñas. Para ello se selecciona la pestaña User accounts/View debajo de Router Access como muestra la siguiente imagen:
www.FreeLibros.com
728
© R A -M A
REDES CISCO. CCNP a Fondo
Existen más configuraciones de AAA dentro de SDM pero están fuera del alcance de este libro, para finalizar se muestran dos imágenes en las que se configura autenticación y autorización para líneas VTY:
traym
.
Ttw&rXIJXbá
*.
UwRingt*-
-
l«H»
—
nmiouk
Sécürt •ft’DMa
|
j
I"» *»
hpt*Prote«4
tbourtAuffsi-ü
UttiajfKlUíKt AttítteJicsianptítct
"rá?f>/n=trTLl
r '
^>c
1
i ; ¡
i C jD i i c r
**A
|
Quhlul Pwixm
F7 T«h#l
P SS H
? r M i<
'¿ í
^
■m . i t í
r ' c 1: rsw * .j
»
URLPutería ZanaPaire
....... ■
__Z6m
jVMA&ftirs ardOroues
J-SpAMíte/w*
r Oroyp?
QhAocjnd*
PoKtlw 4tfh«rftalcQ í AjSiorteitfon
S-^AiíTrtrtmBQft^ííao ^§3llsNwrff
LftMtPfttt*
toutarfr0i1«i$r&)0
^üHHTtKatoiPoftcy1 ArtWLaBcnPOtf
m.vf
sKíaeapL
S-£l3C^ifiji^anan«Ana^éMgAt
www.FreeLibros.com
© R A -M A
CAPÍTULO 33. AAA
729
RESOLUCIÓN DE FALLOS EN AAA Existen varios comandos debug que se pueden utilizar usar para este propósito, que como siempre que se utilicen con comandos debug ha de hacerse con cuidado y con la plena seguridad de no saturar el router. La siguiente tabla muestra los principales comandos debug: Comando
Descripción
debug aaa authentication
Muestra información sobre los eventos de autenticación.
debug aaa authorization
Muestra información sobre los eventos de autorización.
debug aaa accounting
Muestra información sobre los eventos de auditoría.
debug radius
Muestra información relativa a RADIUS.
debug tacacs
Muestra información relativa a TACACS+.
Los siguientes son ejemplos de algunos de los comandos debug más utilizados: Router#debug aaa authentication 4:50:12: AAA/AUTHEN: create_user user = ' ' ruser='' port='ttyl9' r e m_addr='10.10.1.1' authen_type=l service=l priv=l 4:32:10: AAA/AUTHEN/START (0): port='ttyl9' l i s t = " action=LOGIN service=LOGIN 4::32:¡10: AAA/AUTHEN/START (0): using "default" list 4::32:i10: AAA/AUTHEN/START (42987541): Method=TACACS+ 4::32:110: TAC+ (42987541): received authen response status = GETUSER 4::32::10: AAA/AUTHEN (42987541): status = GETUSER 4;:32::13: AAA/AUTHEN/CONT (42987541): continue_login 4::32::13 : AAA/AUTHEN (42987541): status = GETUSER 4;:32::13: AAA/AUTHEN (42987541): Method=TACACS+ 4:¡32::13: T A C + : send A U T H E N /CONT packet 4::32:¡13: TAC+ (42987541): received authen response status = GETPASS 4::32:¡13: AAA/AUTHEN (42987541): status = GETPASS 4::32 ::18: AAA/AUTHEN/CONT (42987541): continue_login 4::32::18: AAA/AUTHEN (42987541): status = GETPASS 4::32:¡18: AAA/AUTHEN (42987541): Method=TACACS+ 4;:32::18: T A C + : send AUTHEN/CONT packet
www.FreeLibros.com
730
© RA-M A
REDES CISCO. CCNP a Fondo
4:32:18: TAC+ (42987541): received authen response status = PASS 4:32:18: AAA/AUTHEN (42987541): status = PASS Router#debug aaa authorization 5:18:43: AAA/AUTHOR (0): u s e r = 'c a r r e l ' 5:18:43: AAA/AUTHOR (0): send AV service=shell 5:18:43: AAA/AUTHOR (0): send AV cmd* 5:18:43: AAA/AUTHOR (754913891): Method=TACACS+ 5:18:43: AAA/AUTHOR/TAC+ (754913891): user=carrel 5:18:43: AAA/AUTHOR/TAC + (754913891): send AV service=shell 5:18:43: AAA/AUTHOR/TAC+ (754913891): send AV cmd* 5:18:43: AAA/AUTHOR (754913891): Post authorization status = FAIL
Router#debug radius brief RADIUS protocol debugging is on RADIUS packet hex dump debugging is off RADIUS protocol in brief format debugging is on 00:05:21: RADIUS: Initial Transmit ISDN 0:D:23 id 6 10.10.10.1:1824, Accounting-Request, len 358 10:05:21: %ISDN-6-C0NNECT: Interface Serial0:22 is now connected to 5555551212 10:05:26: RADIUS: Retransmit id 6 10:05:31: RADIUS: Tried all servers. 10:05:31: RADIUS: No valid server found. Trying any viable server 10:05:31: RADIUS: Tried all servers. 10:05:31: RADIUS: No response for id 7 10:05:31: RADIUS: Initial Transmit ISDN 0:D:23 id 8 10.0.0.0:1823, Access-Request, len 171 10:05:36: RADIUS: Retransmit id 8 10:05:36: RADIUS: Received from id 8 1.7.157.1:1823, Access-Accept, len 115 10:05:47: %ISDN-6-DISC0NNECT: Interface Serial0:22 disconnected from 5555551212, cali lasted 26 seconds 10:05:47: RADIUS: Initial Transmit ISDN 0:D:23 id 9 10.0.0.1:1824, Accounting-Request, len 775 10:05:47: RADIUS: Received from id 9 1.7.157.1:1824, Accountingresponse, len 20
www.FreeLibros.com
Capítulo 34
PROTECCIÓN ANTE AMENAZAS ZONAS DESMILITARIZADAS Cisco IOS Firewall utiliza las DMZ (Demilitarized Zone) como medio para aislar servicios de la red interna. Las DMZ no pueden clasificarse ni como redes internas ni como redes externas. La siguiente figura ilustra una red con una DMZ:
En este caso la DMZ está posicionada entre la red interna o corporativa e Internet. De esta manera la red interna no quedaría comprometida ante un ataque a los servidores situados en la DMZ. El acceso a la DMZ normalmente es controlado por firewalls dedicados, como pueden ser los PIX o ASA de Cisco o por un router con múltiples interfaces.
www.FreeLibros.com
732
REDES CISCO. CCNP a Fondo
© R A -M A
La mejor opción es configurar varias DMZ como solución a los ataques, aunque es la más costosa. De esta forma se consigue un mayor aislamiento y se protegen individualmente diferentes tipos de servicios, como se muestra en la siguiente figura: DM Z l
Servidor de correo
DMZ 2
Servidor FTP
FUNDAMENTOS DE LOS FIREWALLS Los firewalls son dispositivos que están diseñados para bloquear el acceso no autorizado. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar o descifrar el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los firewalls pueden ser implementados en hardware o software, o una combinación de ambos. Los firewalls pueden usar cualquiera de estas tres tecnologías: Filtrado de paquetes. Utiliza IP y puertos con ACL. Desde el punto de vista tecnológico resulta la implementación más simple de todas. Se basa en la creación de ACL, que permiten o deniegan el tráfico. No se lleva un registro del estado de las conexiones. El ejemplo de la figura muestra un mecanismo en el que el tráfico FTP es permitido hacia un host y todo lo demás denegado:
www.FreeLibros.com
© R A -M A
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
733
Tráfico FTP permitido
Servidor
Otros tipos de tráfico denegado
FTP
Gateway de capa de aplicación. Funciona del mismo modo que un servidor proxy. Esta implementación utiliza un servidor que proporciona servicios proxy. El tráfico del usuario es interceptado por este servidor, quien responde como si se tratase del servidor que provee el servicio. Proporciona una alternativa segura debido a que las conexiones nunca se establecen con el servidor situado en la red interna, sino que finalizan en la DMZ. La siguiente figura es un ejemplo del caso:
U s u a rio fin a l
Intercepta todos |os paquetes de y hacia el servidor FTP
Responde sólo a las peticiones del servidor Proxy
Filtrado Statefull Inspection. Utiliza ACL pero además lleva un registro del estado de las conexiones. Esta implementación es la evolución de filtrado de paquetes tradicional. En este caso el firewall lleva un registro de las conexiones establecidas. El firewall no aceptará tráfico de entrada a no ser que ese tráfico corresponda a una conexión que se haya establecido o a una conexión que se esté iniciando desde la red interna. Además, este tipo de tecnología permite realizar filtrados basándose en la capa 7 o capa de aplicación del modelo OSI. El ejemplo más claro es una sesión FTP en la que la transferencia de datos ocurre en un canal separado al que primeramente se utiliza para negociar la conexión. Estos firewalls son capaces de reconocer ese comportamiento y actualizar sus tablas de estado acorde a ello.
www.FreeLibros.com
734
REDES CISCO. CCNP a Fondo
© R A -M A
Ahora bien, para conexiones UDP al no establecer una sesión no es posible llevar un registro y es necesario utilizar el método de filtrado tradicional. La siguiente tabla muestra cómo son manejados los diferentes tipos de protocolos por éste tipo de firewalls. Aplicaciones
Características
TCP
Chequea el flujo de información y el número de secuencia de cada canal.
UDP
Es difícil de seguir, no hay números de secuencia. Chequea los timeouts, registra direcciones IP de origen y destino, registra puertos UDP de origen y destino.
Applications
Está pendiente de la negociación de las aplicaciones.
Connectionless services (GRE, IPsec, and so on)
Normalmente por defecto opera en el modo de filtrado de paquetes stateless.
COMPONENTES DEL FIREWALL IOS DE CISCO El firewall IOS de Cisco cuenta con los siguientes componentes: •
Firewall IOS. Se trata de un Firewall Stateful Packet que tiene las siguientes características: o Permite o deniega tráfico específico TCP o UDP. o Mantiene un registro del estado de las conexiones. o Modifica las ACL dinámicamente. o Protege contra ataques DoS. o Inspecciona los paquetes que pasan por la interfaz.
www.FreeLibros.com
© R A -M A
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
•
735
Proxy de autenticación. Es un servicio proxy de autenticación y autorización que utiliza RADIUS o TACACS+. Puede utilizarse para los siguientes protocolos: o HTTP. o HTTPS. o FTP. o Telnet.
•
IPS. Es un sistema Cisco IOS para la detección de intrusos capaz de identificar y responder a más de 700 tipos de ataque. Cuando identifica un ataque puede responder con alguna de las siguientes acciones: Descripción
Acción Eliminar
Descarta los paquetes.
Bloquear
Bloquea el envío por un período determinado de tiempo.
Resetear
Finaliza las sesiones TCP y realiza un reset.
Alarma
Envía una alarma a un servidor syslog o SDM.
OPERACIÓN DEL FIREWALL IOS La siguiente lista de protocolos es reconocida por el firewall IOS: •
BGP
•
FTP/FTP S
•
HTTP/HTTP S
•
ICMP
•
Kazaa
•
RTSP (Real Networks)
•
RADIUS
www.FreeLibros.com
736
© R A -M A
REDES CISCO. CCNP a Fondo
•
Signaling protocols
•
H.323
•
Skinny
•
SIP
•
SMTP
•
SNMP
•
SQL*NET
•
TACACS+
•
Telnet
•
TFTP
•
TCP (single channel)
•
UDP (single channel)
•
UNIX R-commands (rlogin, rexec, and so on)
•
Multimedia protocols
•
Microsoft NetShow
•
Stream Works
•
VDOLive
Como se mencionó anteriormente IOS Firewall modifica las ACL de manera dinámica a medida que los datos pasan a través de la interfaz.
CONFIGURACIÓN DEL FIREWALL CON CLI La configuración de un firewall se basa en la utilización de ACL y de reglas de inspección aplicadas a nivel de interfaz. Las reglas de inspección proporcionan la funcionalidad necesaria para llevar un registro de las conexiones activas y denegar tráfico cuando sea necesario. Por ejemplo, cuando una regla de inspección TCP es aplicada a una interfaz un paquete TCP reset (RST) no será permitido a través de la interfaz a no ser que exista una conexión previamente establecida con el dispositivo que envía el TCP RST.
www.FreeLibros.com
© R A -M A
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
737
Cuando se utilizan reglas de inspección se debe aplicar una ACL a la interfaz. Un paquete podría ser denegado por la ACL, por la regla de inspección o por ambas. El paquete es primero chequeado por la ACL y si es permitido será chequeado luego por la regla de inspección. Si también es permitido el paquete pasará finalmente por dicha interfaz. Hay cinco pasos a seguir para aplicar reglas de inspección utilizando CLI.
Elección de la interfaz Hay dos reglas generales que ayudan a elegir dónde y cómo aplicar la ACL y la regla de inspección: •
En una interfaz donde se origina tráfico no confiable: o Aplicar la ACL en dirección de entrada a la interfaz de tal manera que sólo el tráfico permitido por la ACL sea inspeccionado. oAplicar la regla de inspección en dirección de entrada a la interfaz de tal manera que sólo el tráfico considerado seguro recorrerá la interfaz.
•
Para el resto de las interfaces. Aplicar la ACL en la dirección de salida de la interfaz de manera que todo el tráfico no deseado sea descartado en vez de ser enviado a la red.
Configuración de la ACL Se deben utilizar ACL extendidas también cuando se utilizan reglas de inspección. El lector debería ser capaz de configurar ACL extendidas vistas ampliamente en el temario del CCNA. La ACL de la siguiente muestra será aplicada a la interfaz externa. ip access-list extended acl_from_outside permit tcp any host 10.10.1.9 eq 25 permit tcp any host 10.10.1.15 eq 80 deny ip any any log
Reglas de inspección Para definir las reglas de inspección se utiliza el siguiente comando:
www.FreeLibros.com
738
© R A -M A
REDES CISCO. CCNP a Fondo
[no] ip inspect ñame [timeout seconds]
inspection-name protocol
[alert
{on
| off}]
En la siguiente tabla se muestran las opciones del comando. P a r á m e tro
D e s c r ip c ió n
inspectionname
D efine el nombre del rol.
protocol
D efine el protocolo que será inspeccionado. Soportan más de 170 protocolos: TCP, U D P, ICMP, SMTP, ESMTP, SMTP, EM STP, CUSEEME, FTP, FTPS, HTTP, H 323, NETSHOW , RCMD, RealAudio, RPC, RTSP, SIP, SKINNY, SQLNET, TFTP, VDOLive.
alert {on | off}
Habilita o deshabilita las alertas.
timeout seconds
Determina el intervalo de tiempo entre actualizaciones de las alertas. Por defecto, 10 segundos.
El siguiente es un ejemplo: Router(config)#ip inspect trail on timeout 60 Router (conf ig) #ip inspect trail on timeout 30
ñame
from_outside
ftp
ñame
from__outside
http
alert alert
off
audit-
on
audit-
Aplicación de la ACL y la regla de inspección a la interfaz El primer paso será habilitar a u d it tr a ils para permitir el uso de mensajes log, así como de habiliar el log en caso de que no lo estuviera previamente. Router(config)#ip inspect audit-trail ! enables the delivery of audit trail messages using syslog Router(config)#logging on ! turns on logging Router(config)#logging host 10.10.1.20 ! sets out logging server to 10.10.1.20 Router(config)#no ip inspect alert-off ! turns on real-time alerts
www.FreeLibros.com
© RA-MA
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
739
Se deben aplicar las configuraciones realizadas previamente a la interfaz, la siguiente muestra es un ejemplo: Router(config)#int e0/0 Router(config-if)#ip inspect from_outside in Router(config-if)#ip access-group acl_from_outside in Router(config-if)#Az
Verificación de la configuración El siguiente comando ayuda a verificar la configuración realizada: show ip inspect [ñame inspection-name | config | interface | session {detail} |statistics | all]
La siguiente tabla muestra las opciones posibles con este comando: Parám etro
Descripción
ñame inspectionname
Muestra la configuración del inspection ñame.
config
Muestra las entradas IP.
interface
Muestra la configuración de la interfaz.
session
Muestra las sesiones establecidas.
detail
Muestra detalles sesiones.
statistics
Muestra información sobre estadísticas.
all
Muestra toda la información.
adicionales
de
las
Los siguientes son dos ejemplos de la salida de dos de las opciones del comando:
www.FreeLibros.com
740
© R A -M A
REDES CISCO. CCNP a Fondo
Router#show ip inspect session Established Sessions Session 70A64274 (172.16.1.12:32956)=>(10.10.1.5:25) tcp SIS_OPEN Created 00:00:07, Last heard 00:00:03 Bytes sent (initiator:responder) [137:319] acl created 2 Inbound access-list acl_from_outside applied to interface Ethernet0/0
Router#show ip inspect all Session audit trail is enabled one-minute (sampling period) thresholds are [400:500] connections max-incomplete sessions thresholds are [400:500] max-incomplete tcp connections per host is 50. Block-time 0 minute. tcp synwait-time is 30 sec — tcp finwait-time is 5 sec tcp idle-time is 3600 sec — udp idle-time is 30 sec dns-timeout is 5 sec Inspection Rule Configuration Inspection ñame inspect_from_outside tcp timeout 3600 udp timeout 30 ftp timeout 3600 Interface Configuration Interface EthernetO Inbound inspection rule is inspect_from_outside tcp timeout 3600 udp timeout 30 ftp timeout 3600 Outgoing inspection rule is not set Inbound access list is acl_from_outside Outgoing access list is not set Established Sessions Session 25A6E1C (10.3.0.1:46065)=>(10.1.1.9:25) ftp SIS_0PEN Session 25A34A0 (10.1.1.9:20)=>(10.3.0.1:46072) ftp-data SIS_OPEN
CONFIGURACIÓN DEL FIREWALL CON SDM La configuración del firewall mediante la herramienta SDM no es otra cosa que llevar a cabo los cinco pasos descritos en el apartado anterior pero de una manera gráfica. El primer paso es iniciar SDM, seleccionar en la opción Configure y elegir la opción Firewall and ACL a la izquierda. Como se ve en la siguiente muestra, la opción por defecto es configurar un Firewall Básico:
www.FreeLibros.com
© R A -M A
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
741
Seleccionar la opción Launch the selected task y aparecerá la ventana de configuración de interfaces, como se ve en la siguiente muestra:
Seleccionar las correspondientes interfaces internas y externas y seguir con Next. A continuación aparecerá un resumen como el que se ve en la siguiente muestra:
www.FreeLibros.com
742
REDES CISCO. CCNP a Fondo
© R A -M A
En este punto la configuración básica está terminada, pero se podrían realizar modificaciones a través de la pestaña Edit Firewall Policy/ACL, como muestra la siguiente imagen:
Configuración avanzada El primer paso es iniciar SDM, seleccionar la opción Configure y elegir la opción Firewall and ACL a la izquierda. Seleccionar la opción para configurar un Firewall avanzado como se observa en la siguiente muestra:
www.FreeLibros.com
© R A -M A
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
743
Seleccionar la opción Launch the selected task, aparecerá la ventana para la configuración de interfaces, que ahora permitirá elegir varias interfaces internas y varias interfaces externas, y elegir una como DMZ.
www.FreeLibros.com
744
REDES CISCO. CCNP a Fondo
© R A -M A
Pulsando Next se accede a la ventana de configuración de propiedades relativas a la DMZ.
El siguiente paso es añadir servicios a la DMZ, como se observa en la siguiente imagen:
www.FreeLibros.com
© RA-MA
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
745
Una vez añadidos los servicios necesarios aparecerán como muestra la siguiente imagen:
Pulsando Next se accede a la ventana Advanced Firewall Security Configuratíon donde se puede utilizar una de las tres políticas de seguridad predefinidas en SDM (High Security, Médium Security o Low Security) o utilizar una política personalizada. En la siguiente muestra seleccionar la opción de política de seguridad personalizada:
www.FreeLibros.com
746
© R A -M A
REDES CISCO. CCNP a Fondo
Cuando aparece la ventana Application Security, seleccionar alguna de las aplicaciones predefinidas de la lista que aparece a la izquierda.
Aun después de configurar todos los protocolos y aplicaciones necesarios en la red es posible volver atrás y editar el modo de inspección por defecto dentro de la política de seguridad. Como se observa en la siguiente muestra es posible definir alertas, auditorías y temporizadores por cada uno de los protocolos.
www.FreeLibros.com
© R A -M A
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
747
En la siguiente muestra aparece un resumen de la política de seguridad, que se debe revisar antes de que se aplique.
www.FreeLibros.com
748
© R A -M A
REDES CISCO. CCNP a Fondo
Una vez configurada la política de seguridad se debe habilitar logging. Para esto se accede a la opción de configuración como aparece en la siguiente muestra:
Finalmente se ha completado la configuración. Ahora será posible monitorizar el router como muestra la siguiente imagen:
www.FreeLibros.com
© R A -M A
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
749
O P E R A C IÓ N D E L O S I D S E IP S Actualmente existen varios mecanismos de intrusión. Los dos sistemas contra estos mecanismos son los Intrusión Detection Systems (IDS) y los Intrusión Prevention Systems (IPS). Ambos pueden estar basados en hardware o en software, siendo los primeros preferidos aunque de mayor coste. Los IDS no están situados en el camino del tráfico, sino que reciben una copia del tráfico que va pasando y lo analizan. En caso de detectar alguna actividad maliciosa pueden enviar una alerta a una estación de monitorización e incluso pueden configurar dinámicamente otros dispositivos como routers y firewalls para, por ejemplo, detener un ataque mediante una ACL. Hay que tener en cuenta que los primeros paquetes del ataque pasarán a la red, debido a que el IDS no está en medio sino que recibe una copia del tráfico para posteriormente actuar en consecuencia. Los IPS están en el medio del tráfico, es decir, el tráfico ha de pasar a través de ellos. En caso de detectar alguna amenaza pueden enviar un mensaje a la estación de monitorización y/o bloquear los paquetes sospechosos. Debido a que todo el tráfico pasa a través del IPS, no es necesario configurar otros dispositivos en la red para que bloqueen el tráfico. Los IDS e IPS pueden ser empleados en conjunto, por ejemplo cuando no se desea que un IPS bloquee tráfico legítimo suponiendo que sea una amenaza; en este caso es recomendable utilizar un IDS para que envíe una alerta a la estación de monitorización mientras que para el tráfico que pueda determinarse como una amenaza pude emplearse un IPS. Estos dispositivos son útiles a la hora de detectar virus, gusanos, troyanos y exploits.
C A T E G O R Í A S D E I D S E IP S Es posible categorizar los IDS e IPS en dos tipos: •
Red. Se encuentran situados en la red ya sea en hardware específico o como función añadida a otro dispositivo. Reciben el nombre de NIDS (Network Intrusión Detection Systems) o NIPS (Network Intrusión Prevention Systems). Estos sistemas permiten monitorizar varios dispositivos de red pudiendo aumentar el número de dispositivos sin tener por ello que aumentar el número de sistemas. Permiten detectar ataques del tipo buffer overflow, reconocimiento de red, DoS.
www.FreeLibros.com
750
© R A -M A
REDES CISCO. CCNP a Fondo
•
Estos sistemas solamente pueden detectar y prevenir actividades intrusivas. En caso de que algún paquete malicioso pase, estos sistemas no serán capaces de saber si el ataque fue llevado a cabo o no. No pueden examinar tráfico encriptado. Si la red crece mucho habría que añadir más y el coste será alto.
•
Host. Son normalmente módulos de software que residen en la estación o servidor que proporcionan servicios de detección y prevención para ese dispositivo en particular. Son llamadas HIDS (Host Intrusión Detection Systems) o HIPS (Host Intrusión Prevention Systems). Permiten ver el tráfico de un ataque aunque éste se encuentre encriptado. Normalmente todas las implementaciones son HIPS, como por ejemplo Cisco Security Agent.
Otro método de categorización de sistemas IDS e IPS dependenderá de cómo identifican el tráfico malicioso: •
Basados en firmas digitales. Buscan un patrón de bits específico en los paquetes.
•
Basados en políticas. Examinan cadenas de paquetes para determinar patrones y comportamientos.
•
Basados en anomalías. Buscan por comportamientos que se desvíen de lo normal.
F I R M A S E N ID S E IP S Una firma es un patrón de tráfico que causa una reacción cuando pasa por un IDS o IPS. Los IPS e IDS examinan los paquetes utilizando SME (Signature Microengine) para detectar firmas. Hay cuatro categorías de firmas: •
Exploit. Típicamente identifica los paquetes maliciosos que coincidan con un patrón determinado de tráfico. Cada exploit tiene una firma única, por lo tanto cada ataque requiere una firma para su detección. Si un exploit es modificado será necesaria una nueva firma o de lo contrario no se podrá detectar.
•
Conexión. Esta firma está pendiente de las conexiones de red válidas y de los protocolos. Se conoce de antemano el comportamiento de las conexiones y protocolos por lo tanto cualquier comportamiento fuera de lo normal puede ser detectado como amenaza, aunque a veces el término “normal” sea subjetivo.
www.FreeLibros.com
© R A -M A
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
751
•
Cadena. Generalmente utilizan expresiones regulares para coincidir con determinados patrones.
•
DoS. Estas firmas examinan el comportamiento típico de los ataques DoS. Existen muchas debido a que existen gran variedad de ataques DoS. Para el caso de que el ataque se modifique una nueva firma será necesaria para poder reconocerlo.
R E A C C I Ó N A N T E L A S F IR M A S Una vez que la firma es detectada, los IDS o IPS reaccionan de alguna manera. En un dispositivo Cisco los mensajes de alerta pueden ser enviados utilizando syslog o Security Device Event Exchange (SDEE), que es más seguro. Las reacciones incluyen las siguientes: • Enviar una alarma a la estación de gestión o monitorización. Normalmente alguna acción más es aplicada aparte de ésta. • Descartar el paquete. Esta acción no debería afectar a usuarios legítimos en caso por ejemplo de que las IP hayan sido burladas, caso común en ataques DoS. • Resetear la conexión. Solamente tiene efecto en flujos TCP, para UDP no existe nada específico. •
Bloquear el tráfico desde un origen por un período de tiempo. De esta manera se impone un bloqueo al origen del ataque para ganar tiempo para efectuar un análisis del ataque. El bloqueo de tráfico debe realizarse solamente si las IP son burladas, de lo contrario el tráfico legítimo podría verse afectado.
•
Bloquear el tráfico en la conexión por un período de tiempo. Imponiendo un bloqueo en el tráfico del ataque. Los ataques que utilizan protocolos orientados a la conexión no emplean normalmente IP burladas debido a la necesidad de comunicación en dos sentidos. Pero incluso si la capacidad para establecer la conexión es bloqueada, el atacante podría utilizar otros métodos o conjuntos de diferentes métodos.
www.FreeLibros.com
752
REDES CISCO. CCNP a Fondo
© R A -M A
C O N F I G U R A C I Ó N D E C IS C O I O S IP S Realizar una configuración básica para transformar un router en un NIPS (Network Intrusión Prevention Systems) es una tarea simple, se deben seguir los siguientes pasos: •
Especificar la dirección del SDF. Es posible que existan varios, pero solamente uno puede ser utilizado.
• Configurar el parámetro de fallo. Esto indica al dispositivo IOS qué hacer si la examinación de firmas (SME) no es capaz de escanear el tráfico. • Crear una regla IPS. Se nombra una regla y se utiliza la SDF definida previamente. De manera opcional es posible utilizar una ACL para restringir qué tráfico será escaneado. •
Asociar la regla IPS a una interfaz. Para que la regla sea operacional ha de estar asociada a una interfaz.
La siguiente es una muestra en la que se siguen los pasos definidos previamente: ! step 1 — define the location of the SDF Router(config)#ip ips sdf ? builtin Use the built in signature definition file location Location of the signature definition file Router(config)#ip ips sdf builtin ! step 2 — define the behavior if an SME fails Router(config)#ip ips fail ? closed Do not forward traffic of the failed module. Router(config)#ip ips fail closed ! step 3 — create an IPS rule, and optionally apply an ACL Router(config)#ip ips ñame ? WORD Ñame of IPS rule Router(config)#ip ips ñame testCCNP ? list Specify an access list to match Router(config)#ip ips ñame testips list 100 ! step 4 — apply the IPS rule to an interface Router(config)#interface fastethernet 0/0 Router(config-if)#ip ips testCCNP ? in Inbound IPS out Outbound IPS Router(config-if)#ip ips testCCNP in Router(config-if)#
www.FreeLibros.com
© R A -M A
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
753
El comando ip ips sdf builtin solamente se utiliza si existe una SDF no estándar. El comando ip ips fail closed indica al router que ha de descartar paquetes si no hay una SME disponible para escanearlos. El comando no ip ips fail closed reenvía todo el tráfico que no es escaneado. El comando ip ips ñame testips list 100 crea una regla llamada testCCNP y aplica la ACL número 100 para seleccionar qué paquetes serán escaneados. El comando ip ips testips in aplica la regla IPS a la interfaz F0/0. Es posible, además, configurar parámetros adicionales como los siguientes: •
Agrupar SDF.
•
Deshabilitar, borrar y filtrar firmas específicas dentro de una SDF.
•
Cambiar la localización de la SDF.
La siguiente sintaxis muestra cómo aplicar los anteriores parámetros. ! optional step 1 — merge SDFs Router#copy flash:attack-drop.sdf ips-sdf Router#copy ips-sdf flash:newsignatures.sdf Router#config term Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip ips sdf location ? WORD URL of the signature definition file Router(config)#ip ips sdf location flash:newsignatures.sdf ! optional step 2 — disable, delete, and filter selected signatures Router(config)#ip ips signature 1107 ? Sub signature id delete Delete the specified signature disable Disable the specified signature list Specify an access list to match Router(config)#ip ips signature 5037 0 delete %IPS Signature 5037:0 is marked for deletion %IPS The signature will be deleted when signatures are reloaded or saved Router(config)#ip ips signature 1107 0 disable %IPS Signature 1107:0 is disabled Router(config)#ip ips signature 6190 0 list 152 %IPS Signature 6190:0 will use acl 152 ! optional step 3 — change the location of the SDF Router(config)#ip ips ñame newips list 123
www.FreeLibros.com
754
© R A -M A
REDES CISCO. CCNP a Fondo
Router(config)#interface fastethernet 0/0 Router(config-if)#ip ips newips in Router(config-if)#
El comando show ip ips configuratíon muestra la configuración de IPS. En las siguientes sintaxis se muestran una configuración básica y otra más completa con comandos de configuración opcionales: Router#show ip ips configuration Configured SDF L o c a t i o n s : none Builtin signatures are enabled and loaded Last successful SDF load time: 01:51:57 UTC Sep 22 2006 IDS fail closed is enabled Fastpath ips is enabled Quick run mode is enabled Event notification through syslog is enabled Event notification through Net Director is disabled Event notification through SDEE is enabled
Total Active Signatures: 132 Total Inactive Signatures: 0 Signature 1107:0 disable PostOffice:HostID:0 OrgID:0 Msg dropped:0 :Curr Event Buf Size:0 Configured:100 Post Office is not enabled - No connections are active IDS Rule Configuration IPS ñame testips acl list 100 Interface Configuration Interface FastEthernet0/0 Inbound IPS rule is testCCNP acl list 100 Outgoing IPS rule is not set Router#show ip ips configuration Configured SDF Locations: f l ash:newsignatures.sdf Builtin signatures are enabled and loaded Last successful SDF load time: 02:15:08 UTC Sep 22 2006 IDS fail closed is enabled Fastpath ips is enabled Quick run mode is enabled Event notification through syslog is enabled
Event notification through Net Director is disabled Event notification through SDEE is enabled
Total Active Signatures: 183 Total Inactive Signatures: 0 Signature 6190:0 list 152 Signature 1107:0 disable PostOffice:HostID:0 0rglü:0 Msg dropped:0 :Curr Event Buf Size:0 Configured:100 Post Office is not enabled - No connections are active IDS Rule Configuration
www.FreeLibros.com
© R A -M A
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
755
IPS ñame testCCNP acl list 100 IPS ñame newips acl list 100 Interface Configuration Interface FastEthernetO/O Inbound IPS rule is newips acl list 100 Outgoing IPS rule is not set Router#
C O N F IG U R A C IÓ N C O N SD M Para configurar el IPS desde SDM es necesario acceder a la opción Configure y seleccionar en Intrusión Prevention en la parte izquierda de la ventana, como muestra la siguiente figura:
Aparecerán dos pestañas en la parte superior de la pantalla:
www.FreeLibros.com
756
REDES CISCO. CCNP a Fondo
© R A -M A
•
Create IPS, que carga un asistente que permite crear nuevas reglas.
•
Edit IPS, permite acceder a las reglas, firmas y configuraciones de interfaces existentes.
Para crear una nueva regla IPS pulsar Launch IPS Rule Wizard en la pestaña Create IPS, aparecerá una descripción de lo que se permitirá hacer; pulsar Next para acceder a la siguiente pantalla. La primera parte de la configuración se trata de elegir qué interfaces serán internas y cuáles externas, esta pantalla mostrará aquellas interfaces que no están actualmente configuradas para IPS.
La siguiente pantalla permite elegir la localización de la SDF:
www.FreeLibros.com
© R A -M A
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
757
Si fuera necesario añadir firmas a la SDF pulsar el botón Add en la parte derecha de la pantalla para acceder a dicha opción.
Una vez completada esa configuración mostrará un resumen:
www.FreeLibros.com
758
© R A -M A
REDES CISCO. CCNP a Fondo
Pulsar Finish y SDM enviará la configuración al router. La siguiente ventana aparecerá una vez finalizada:
Nuevamente en la ventana principal del SDM se podrá elegir la opción Edit IPS. Dicha opción tiene cuatro posibles menús de configuración en la parte izquierda de la pantalla:
www.FreeLibros.com
© R A -M A
CAPÍTULO 34. PROTECCIÓN ANTE AMENAZAS
759
•
IPS Policies, permite habilitar o deshabilitar el IPS en una interfaz así como elegir la dirección en que se aplicará. También permite añadir una ACL para escanear paquetes de forma específica.
•
Global Settings, muestra un resumen de la configuración global y permite añadir o borrar SDF.
•
SDEE messages, muestra los eventos SDEE.
•
Signaturas, muestra todas las firmas que están cargadas actualmente. Se puede añadir, borrar, habilitar o deshabilitar firmas de manera individual.
Como nota final es recomendable aplicar las reglas IPS en dirección de entrada a la interfaz, de esa manera los paquetes serán inspeccionados antes de que atraviesen el router.
www.FreeLibros.com
www.FreeLibros.com
PARTE IV
www.FreeLibros.com
www.FreeLibros.com
Capítulo 35
IM PLEMENTACIONES VoIP I N T R O D U C C I Ó N A L A S R E D E S V o IP Normalmente cuando se habla de este tipo de redes se piensa que la principal ventaja es el bajo coste en las llamadas de larga distancia, pero éste no es justamente uno de los principales motivos por los cuales las redes de VoIP son mejores que las tradicionales analógicas. Los mayores beneficios de las redes de VoIP son los siguientes: •
Mayor eficiencia en el uso del ancho de banda y de la electrónica de red. Menores costes de transmisión. Las redes de VoIP no utilizan ningún canal dedicado, éstas comparten el ancho de banda de la red con otras aplicaciones.
•
Gastos de red consolidados. Las aplicacioijes de datos de voz y vídeo convergen en el mismo hardware, software y soporte. Todas operan en una infraestructura común y bajó el mismo grupo de administradores.
•
Incrementa la productividad. Los teléfonos IP Cisco son más que simples teléfonos, con los teléfonos IP se puede acceder a los directorios de usuarios, a bases de datos, es decir, que el teléfono se convierte en un sofisticado dispositivo de comunicación que permite ejecutar muchas aplicaciones en el propio terminal.
www.FreeLibros.com
764
© R A -M A
REDES CISCO. CCNP a Fondo
•
Acceso a nuevos dispositivos de comunicación. Contrariamente a la telefonía analógica los teléfonos IP pueden comunicarse con dispositivos tales como PC, dispositivos de red, asistentes digitales etc., a través de la conectividad IP.
Componentes de VoIP Una red de VoIP tiene que llevar a cabo diferentes funciones, algunas de ellas obligatorias y otras opcionales. Algunos dispositivos pueden realizar múltiples y simultáneas aplicaciones. La siguiente lista describe los principales componentes de una red de VoIP: Teléfonos, podrían coexistir con los teléfonos analógicos, teléfonos PBX, teléfonos IP, Cisco IP, etc. Gateway, interconectan los dispositivos que no necesariamente son accesibles desde una red IP, por ejemplo en una comunicación de un teléfono IP hacia un red de telefonía analógica. MCU (Multipoint Control Units), es un componente de hardware de conferencia que combina los medios recibidos por los participantes de una videoconferencia y los devuelve hacia los otros. Servidores de aplicaciones y bases de datos, estos están disponibles para cada una de las aplicaciones requeridas y opcionales dentro de la red de telefonía IP. Gatekeepers, es posible obtener dos tipos de servicios independientes como enrutamiento de llamada resolviendo una llamada hacia un nombre o dirección IP, CAC (Cali Admission Control) otorga permisos para intentar llevar a cabo la llamada. Agentes de llamada, en un modelo de control de llamadas centralizadas es necesario efectuar un enrutamiento de llamadas, resolución de direcciones, establecimiento de la llamada, etc., son manejados por los CA (Cali Agents). Terminales de vídeo, necesarios para videoconferencias. DSP, dispositivos conversores de señales analógicas a señales digitales y viceversa, mediante la utilización de diferentes algoritmos de codificación y decodificación (Códec).
www.FreeLibros.com
© R A -M A
CAPÍTULO 35. IMPLEMENTACIONES VoIP
765
La siguiente figura ilustra una compañía con dos oficinas remotas, la oficina principal utiliza teléfonos IP, pero la oficina remota sólo utiliza teléfonos PBX:
Sitio Remoto
Todas las llamada realizadas con los teléfonos IP son dependientes del protocolo IP por lo tanto necesitan señalización, encapsulación y transporte IP, además de la digitalización inicial. No siempre los dispositivos de telefonía IP necesitan utilizar un gateway. Si es necesario recibir llamadas de una red PBX o PSTN o que ciertas llamadas deban atravesar una red analógica será entonces necesario el uso de un gateway.
Interfaces analógicas Un gateway puede poseer diferentes tipos de interfaces analógicas: •
FXS (Foreign Exchange Station), una conexión FX tiene un enlace hacia una oficina final (FXO) y proporciona operaciones como tono digital, colección de dígitos y llamadas hacia otros sistemas
www.FreeLibros.com
766
REDES CISCO. CCNP a Fondo
© R A -M A
finales. La interfaz FXS está diseñada para dispositivos analógicos, fax y módem. •
FXO (Foreign Exchange Office), poseen un conector de teléfono para ser conectado a un conmutador PSTN, esta interfaz actúa como un dispositivo analógico normal, como lo es un teléfono analógico antiguo.
•
E&M (Earth y Magneto o Ear y Mouth), proporcionan un troncal de conectividad analógica PBX hacia PBX pero cualquiera de los dos gateway PBX o PSTN CO podría mantener conectividad con esta interfaz. Existen cinco tipos de interfaces E&M basadas en la circuitería, la señal, tipo de cableado y batería.
La siguiente figura muestra un gateway con un fax conectado en la interfaz FXS. La interfaz FXO está conectada al switch PSTN CO y su interfaz E&M está conectada al switch PBX. El gateway tiene conectividad VoIP a través del switch LAN. Servidor de aplicaciones
Video conferencia T eléfono PBX
Interfaces digitales Los gateway también pueden conectar hacia un telco o switch PBX utilizando interfaces digitales. Un gateway puede tener interfaces digitales básicas BRI, TI (USA) /E l (Europa). Éstas pueden ser configuradas como una interfaz primaria PRI de RDSI (ISDN) y utilizar el canal de señalización asociado CAS (Channel Associated Signaling).
www.FreeLibros.com
© R A -M A
CAPÍTULO 35. IMPLEMENTACIONES VoIP
767
Las interfaces BRI y PRI utilizan CCS (Common Channel Signaling) mientras que el canal D (Delta) es dedicado para señalización de mensajes (por ejemplo, Q31). Los canales de datos no pierden bits dedicados a la señalización debido a que existe un canal dedicado a ello. La siguiente tabla muestra una comparación de la interfaces digitales:
Tipo de Interfaz
Canales de 64 Kbps Voz y Datos
Señalización
Sobrecarga
Total ancho de banda
BRI
2
16 kbps (canal D)
48 kbps
192 kbps
TI CAS
24
In-band
8 kbps
1544 kbps
TI CCS
23
64 kbps (canal D)
8 kbps
1544 kbps
El CAS
30
64 kbps
64 kbps
2048 kbps
El CCS
30
64 kbps (canal D)
64 kbps
2048 kbps
Fases de una llamada telefónica Los 3 protocolos de control más populares utilizados en señalización VoIP son: •
H.323, que es un estándar ITU.
•
MGCP (Media Gateway Control Protocol), que es un estándar IETF.
•
SIP (Session Initiation Protocol), que es un estándar IETF.
Sin importar el protocolo de señalización utilizado una llamada VoIP tiene 3 fases principales: •
Establecimiento de llamada. Durante la primera fase un número de teléfono tiene que ser resuelto contra una dirección IP, donde el mensaje de petición IP será enviado, esto se denomina enrutamiento de llamada. CAC (Cali Admission Control) es un proceso opcional que determina si la red tiene el suficiente ancho de banda para establecer la llamada. Si el ancho
www.FreeLibros.com
768
REDES CISCO. CCNP a Fondo
© R A -M A
de banda es inadecuado, se envía un mensaje de respuesta al origen indicando que la llamada no puede establecerse por falta de recursos. Si el enrutamiento de llamada y el CAC son satisfactorios, un mensaje de petición de llamada se envía al destino. Si este último acepta la llamada se negocian los siguientes parámetros antes de que comience la conversación: o
La dirección IP utilizada como origen y destino de VoIP entre los puntos extremos.
o
Los números de puertos UDP de origen y destino que RTP debe utilizar en cada punto final de la llamada.
o
Algoritmo de compresión que se utilizará en la llamada, por ejemplo G.729, G.711 u otro estándar similar.
•
Mantenimiento de la llamada. El mantenimiento de llamada recoge estadísticas como paquetes intercambiados, pérdidas, retrasos, variaciones en el retraso etc. Los puntos finales que recogen esta información pueden analizar localmente los datos y suministrar información acerca de la calidad de llamada si así es requerido.
•
Finalización de la llamada. La terminación de la llamada ocurre normalmente cuando uno de los puntos finales ha terminado la comunicación. El dispositivo envía una notificación hacia otros dispositivos finales y los dispositivos de control para informar que ha liberado los recursos antes suministrados.
Tipos de control de llamada Existen dos mecanismos de control de llamada, control de llamada distribuido y control de llamada centralizado. Los protocolos H.323 y SIP (Session Initiation Protocol) están clasificados como distribuidos, mientras que MGCP (Media Gateway Control Protocol) está considerado como centralizado. En el modelo distribuido múltiples servicios están involucrados en el establecimiento, mantenimiento, finalización y otros aspectos de la llamada. Los dispositivos que llevan a cabo estas tareas poseen la inteligencia y la configuración adecuada para esta tarea. La siguiente figura muestra un caso donde dos teléfonos analógicos están conectados a interfaces FXS de dos gateway Cisco que tienen actividad sobre una red de VoIP y utilizan el protocolo H.323 (distribuido). Desde el momento en que el dispositivo que inicia la llamada hasta que el dispositivo final recibe el aviso existen 7 pasos que ilustran el modelo de llamada distribuida:
www.FreeLibros.com
© R A -M A
CAPÍTULO 35. IMPLEMENTACIONES VoIP
769
1. Descolgar el teléfono que va a iniciar la llamada y su gateway de voz proporciona un tono de llamada y espera por los dígitos. 2. El teléfono que llama envía los dígitos y su gateway de voz los recibe. 3. El gateway de voz determina si puede enrutar la llamada o si tiene configurado el destino para el cual está recibiendo los dígitos. 4. El gateway envía un mensaje de inicialización de llamada al router del extremo con la información del número marcado. 5. El router de destino recibe la información de la inicialización de llamada junto con la información enviada. 6. El gateway de destino determina si conoce el número marcado, si lo conoce y si está asociado a una interfaz local FXS determinada. 7.
Si el puerto FXS no está ocupado y está configurado para aceptar la llamada, se envía un voltaje AC al puerto FXS para que el teléfono conectado a dicha interfaz suene. Cuando se descuelga se considera que la llamada ha sido respondida, por lo que el tráfico de voz es enviado entre ambas partes. Paso 2
Paso 1
Paso 7
Paso 3
-----
-
Paso5y6
Mientras la llamada está en proceso los extremos pueden monitorizarla basándose en la cantidad de paquetes recibidos y descartados junto con los retrasos y jitter experimentados. En el modelo distribuido los puntos finales deben tener la suficiente inteligencia y configuración para saber si la llamada es aceptable o no. En el modelo distribuido los gateway manejan la finalización de la llamada además de las otras tareas pertinentes. Si existieran cientos o miles de dispositivos finales, cada uno debería poseer la inteligencia y configuración para ser capaz de mantener la llamada hacia cada uno de los demás destinos. Un modelo totalmente distribuido no es escalable. Para despliegue a gran escala de H.323 o SIP se deben añadir dispositivos especiales para que ofrezcan una solución manejable y escalable. Por ejemplo un gatekeeper H.323 o un tipo de servidor SIP especial. El control de llamadas centralizadas libera a los gateway y a los dispositivos finales de realizar tareas como el enrutamiento de llamadas y la
www.FreeLibros.com
770
REDES CISCO. CCNP a Fondo
© R A -M A
inicialización o terminación de las mismas. Los puntos finales MGCP no tienen que tener la inteligencia ni la obligación para llevar a cabo esas tareas. La siguiente figura muestra un simple caso en el que dos teléfonos analógicos están conectados a interfaces FXS en dos gateway de voz Cisco que tienen conectividad sobre la red IP y que están configurados para utilizar el protocolo de señalización del modelo centralizado MGCP. La secuencia de eventos desde que se levanta el auricular hasta que suena el teléfono en el otro extremo es la siguiente: 1. En el teléfono conectado en el puerto FXS de R1 se levanta el auricular, R1 detecta este evento (petición de servicio) y notifica al CA. 2. El CA instruye al R1 para proporcionar tono de llamada en el puerto FXS, recoge los dígitos uno por vez y los envía hacia el CA. 3. R1 proporciona el tono de llamada, recoge los dígitos marcados y los envía al CA, uno por vez. 4. El CA utilizando su tabla de enrutamiento de llamada y otras informaciones determina que la llamada es para un puerto FXS en R2. Se asume que este último también está bajo el control del mismo CA. La capacidad de enrutamiento de llamada del CA no sólo determina que R2 es el destino también informa qué interfaz de R2 es la que debe recibir esa llamada. 5. Una vez que el enrutamiento de llamada ha sido satisfactorio, se inician los chequeos de restricciones, CA notifica a R2 de una llamada entrante, que envía un voltaje de llamada de corriente alterna al puerto apropiado FXS.
Mientras la llamada está en proceso los puntos finales R1 y R2 del ejemplo recopilan y analizan las estadísticas de llamada, como son los paquetes enviados y perdidos, el retraso, etc. Si la calidad de la llamada fuera inaceptable, el CA sería notificado por lo que seguramente se terminaría la llamada. En un modelo centralizado los puntos finales no son responsables del control de llamada. El CA
www.FreeLibros.com
© RA-M A
CAPÍTULO 35. IMPLEMENTACIONES VoIP
771
es un componente crítico dentro del sistema centralizado que para evitar puntos de fallo es necesario que existan tecnologías para tolerancia a los fallos. Es más fácil administrar un sistema centralizado que distribuido porque solamente los CA necesitan ser configurados y mantenidos.
DIGITALIZACIÓN Y ENCAPSULADO DE VOZ Conversión analógica digital La conversión de analógico a digital involucra cuatro pasos principales: 1.
Muestreo, es el proceso de capturar y guardar periódicamente la voz. El resultado del muestreo es llamado PAM (Pulse Amplitude Modulation).
2.
Cuantificación, es el proceso de asignación de valores numéricos a la amplitud de cada una de las muestras de la señal PAM.
3. Codificación, es el proceso de representar los resultados de la cuantificación para cada muestra PAM en formato binario, por ejemplo, cada muestra puede ser expresada utilizando un número binario de 8 bits que puede dar un total de 256 posibles valores. 4.
Compresión, es el último paso para convertir una señal analógica a digital y es un paso opcional, el propósito de la compresión es reducir el número de bits que deben ser transmitidos por segundo con la menor degradación de la calidad de la voz.
Un método común de convertir una voz analógica a digital es PCM (Pulse Code Modulation) basada en tomar 8000 muestras por segundo y codificar la muestra en un número binario de 8 bits. PCM genera 64000 bps, es decir, 64 kbps sin utilizar ningún método de compresión. Lo que significa una capacidad ideal para transmitir la señal PCM.
Conversión digital analógica Cuando un switch o un router tienen un dispositivo analógico conectado como puede ser un teléfono, un fax o un móden y reciben una señal de voz, tiene que convertir la señal analógica recibida a digital o VoIP antes de transmitirla hacia otro dispositivo. La siguiente figura muestra cuándo un router recibe una señal analógica y la convierte a digital, encapsulando la voz en paquetes IP para enviarlos al router del otro extremo, donde la señal de voz digital tiene que ser desencapsulada. El switch o el router deben convertir la señal de voz digital a señal
www.FreeLibros.com
772
© R A -M A
REDES CISCO. CCNP a Fondo
de voz analógica y enviarla a través del puerto FXS donde está conectado el teléfono.
Señal digital
Señal analógica
E n c a p s u la c ió n y d e s e n c a p s u la c ió n
WWW
Señal analógica
Señal digital
m
u
r
WWW
Paquetes IP
^ T e lé fo n o 2 1-D e s e o m p re s i ó n 2 -D e c o d ific a c ió n 3 -F iltra d o 4 -R e c o n s tr u c c ió n d e la s e ñ a l
T e lé fo n o 1 1 -M u e s tre o 2 -C u a n t ific a c ió n 3 - C o d ific a c ió n 4 - C o m p re s ió n
La conversión de la señal digital nuevamente a señal analógica involucra los siguientes pasos: •
Descompresión (opcional)
•
Decodificación y filtrado
•
Reconstrucción de la señal analógica
Si la señal transmitida digitalmente hubiera sido comprimida en el origen, el extremo que la recibe debe en primer lugar descomprimirla. Las señales recibidas en binario son llevadas nuevamente a números, lo que regenera la señal PAM. Finalmente un mecanismo de filtrado intenta filtrar la mayor cantidad posible de ruido que la digitalización y compresión hayan podido introducir e intenta regenerar la señal analógica desde la señal PAM. La señal analógica recuperada en muy similar a la señal enviada desde el origen.
Teorema de Nyquist-Shannon y la cuantificación El teorema de Nyquist-Shannon trata sobre el muestreo de las señales, que no debe ser confundido o asociado con la cuantificación, proceso que sigue al de muestreo en la digitalización de una señal y que, al contrario del muestreo, no es reversible. En el proceso de cuantificación se produce una pérdida de información, incluso en el caso ideal teórico, que se traduce en una distorsión conocida como error o ruido de cuantificación y que establece un límite teórico superior a la relación señal-ruido. Dicho de otro modo, desde el punto de vista del teorema, las muestras discretas de una señal son valores exactos que aún no han sufrido
www.FreeLibros.com
© R A -M A
CAPÍTULO 35. IMPLEMENTACIONES VoIP
773
redondeo o truncamiento alguno sobre una precisión determinada, esto es, aún no han sido cuantificadas. El teorema demuestra que la reconstrucción exacta de una señal periódica continua en banda base a partir de sus muestras es matemáticamente posible si la señal está limitada en banda y la tasa de muestreo es superior al doble de su ancho de banda. Dicho de otro modo, la información completa de la señal analógica original que cumple el criterio anterior está descrita por la serie total de muestras que resultaron del proceso de muestreo. No hay nada, por tanto, de la evolución de la señal entre muestras que no esté perfectamente definido por la serie total de muestras.
Durante el proceso de cuantificación se mide el nivel de tensión de cada una de las muestras, obtenidas en el proceso de muestreo, y se les atribuye un valor finito de amplitud, seleccionado por aproximación dentro de un margen de niveles previamente fijado. Los valores preestablecidos para ajustar la cuantificación se eligen en función de la propia resolución que utilice el código empleado durante la codificación. Si el nivel obtenido no coincide exactamente con ninguno, se toma como valor el inferior más próximo. En este momento, la señal analógica (que puede tomar cualquier valor) se convierte en una señal digital, ya que los valores que están preestablecidos son finitos. No obstante, todavía rio se traducé al sistema binario. La señal ha quedado representada por un valor finito que durante la codificación (siguiente proceso de la conversión analógico digital) será cuando se transforme en una sucesión de ceros y unos.
www.FreeLibros.com
774
REDES CISCO. CCNP a Fondo
© R A -M A
Finalmente, la señal digital que resulta tras la cuantificación es diferente a la señal eléctrica analógica que la originó, algo que se conoce como error de cuantificación. El error de cuantificación se interpreta como un ruido añadido a la señal tras el proceso de decodificación digital. Si este ruido de cuantificación se mantiene por debajo del ruido analógico de la señal a cuantificar (que siempre existe), la cuantificación no tendrá ninguna consecuencia sobije la señal de interés. Existen dos variaciones de logaritmos de cuantificacijím: •
ji-Law, es el método más utilizado en Estadds Unidos y Japón.
•
A-Law, es una modificación del método anterior utilizado generalmente en otros países distintos a los anteriores.
Calidad y compresión del ancho de banda Existen varios estándares ITU de compresión, éstos se diferencian basándose en los siguientes factores: •
Requerimientos de ancho de banda.
•
Degradación de la calidad que pueden causar.
•
Retraso que puedan originar.
•
Sobrecarga de la CPU debido a su complejidad.
Existen varias técnicas desarrolladas para medir la calidad de la señal de voz que tiene que ser procesada por diferentes códecs o algoritmos de compresión. Una de las técnicas estándar ITU para medir la calidad de los códecs de voz es MOS (Mean Opinión Store). Los valores MOS utilizan un rango desde 1, que es el peor, hasta 5 que es el mejor. La siguiente tabla muestra varios de los códecs estándar ITU y sus correspondientes requerimientos: Estándar Códec
Sigla asociada
Bit Rate (BW)
Calidad MOS
G.711
PCM
64 Kbps
4.10
G.726
ADPCM
32, 24, 16 Kbps
3.85 (for 32 Kbps)
www.FreeLibros.com
© RA-MA
CAPÍTULO 35. IMPLEMENTACIONES VoIP
G.728
LDCELP
16 Kbps
3.61
G.729
CSACELP
8 Kbps
3.92
G.729A
CSACELP Anexo a
8 Kbps
3.90
775
MOS es un método estándar ITU de medición de calidad de la voz basándose en el juicio de diferentes participantes, de modo que es un método subjetivo. La siguiente tabla muestra cada una de las clasificaciones junto con sus correspondientes interpretaciones: Puntuación
Calidad
Nivel de distorsión
5
Excelente
Imperceptible
4
Buena
Levemente perceptible pero no molesta
3
Justo
Perceptible, levemente molesto
2
Pobre
Molesto pero aceptable
1
Insatisfactoria
Muy molesto, inaceptable
La medida PSQM (Perceptual Speech Quality Measurement) es el estándar ITU P.861, es otra medida de calidad de voz implementada para testear los equipos de sistemas ofrecidos por diferentes fabricantes. PSQM se basa en comparar la entrada de la señal de voz original en el extremo que está enviando con lo que se recibe. Utiliza una escala desde la peor señal, que es 0, hasta 6,5, que es la mejor. El sistema de medida PAMS (Perceptual Analysis Measurement System) fue desarrollado en los años 90 por British Telecom. Es un sistema de medición de calidad de voz que puede predecir la calidad del discurso de manera subjetiva. El PESQ (Perceptual Evaluation of Speech Quality) es el estándar ITU P.862 y se basa en el trabajo realizado por la KPN en Holanda y la British Telecommunications. PESQ combina a PSQM y PAMS. Es un sistema de medida objetivo.
www.FreeLibros.com
776
© R A -M A
REDES CISCO. CCNP a Fondo
Procesadores de señal digital Los dispositivos habilitados para voz tienen procesadores especiales llamados DSP (Digital Signal Processor). Éstos se utilizan en módulos de VoIP llamados PVDM (Packet Voice DSP Modules). Ciertos dispositivos como los módulos de voz VMN (Voice Network Modules) poseen ranuras especiales para conectar los PVDM. La siguiente figura muestra un módulo de red NM-HDV que tiene 5 ranuras para PVDM, en el caso de la imagen hay 4 conectados. Ranuras o slots PVDM2
Los DSP proporcionan principalmente los siguientes servicios: •
Terminación de voz
•
Transcodificación
•
Conferencia
Las llamadas hacia o desde interfaces de voz de un gateway de voz son terminadas por los DSP, donde cada uno lleva a cabo una conversión de señal analógica digital y viceversa. También llevan a cabo la compresión, cancelación de eco, detección de actividad de voz VAD, generación de ruido de confort GNC, manejo de jitter y otras muchas más funciones. Cuando las dos partes en la llamada utilizan diferentes tipos de códecs, un recurso de DSP se necesita para llevar a cabo la descompresión de los códecs, mecanismo llamado transcodificador. También pueden funcionar como bridge de conferencias, pudiendo recibir señales simultáneamente, efectuar la mezcla y enviar las respuestas a los participantes de dicha conferencia. Si todos los participantes utilizan el mismo códec, se trata de una conferencia en modo simple, no existe transcodificación de códecs. Cuando los participantes utilizan diferentes
www.FreeLibros.com
© R A -M A
CAPÍTULO 35. IMPLEMENTACIONES VoIP
777
códecs se trata de una conferencia en modo mixto donde se realiza una transcodificación. S itio local
C o d e e G .711
ENCAPSULACIÓN VoIP Cuando dos teléfonos analógicos de extremo a extremo intentan comunicarse se inicia un mecanismo entre los routers finales que consiste en los siguientes pasos: •
Convertir la señal analógica recibida desde el teléfono en la interfaz FXS a digital a través de algún códec como puede ser G.711.
•
Encapsular la señal de voz digital en paquetes de VoIP.
•
Enrutar los paquetes IP hacia el otro router.
•
Desencapsular la voz digital de los paquetes IP recibidos.
•
Convertir la voz digital a analógica y transmitirlo en la interfaz FXS.
En estos casos y en contraste con la red PSTN no existe uncamino dedicado de origen a destino por el que se realiza la llamada. Los paquetes IP que encapsulan la voz digitalizada (20 milisegundos de audio por defecto) se envían de manera independiente por la red IP y podrían llegar fuera de orden y experimentar ciertos tipos de retraso o jitter. La congestión, pérdida y retardo propios de la red también son factores influyentes. Aunque el término VoIP implica que la voz digitalizada es encapsulada en paquetes IP, otros protocolos y mecanismos también participan del proceso. Aunque los dos principales protocolos de transporte son TCP y UDP, ninguno de
www.FreeLibros.com
778
REDES CISCO. CCNP a Fondo
© R A -M A
éstos por sí solo es capaz de transportar voz en tiempo real. RTP (Realtime Transport Protocol), que se ejecuta sobre UDP utilizando los puertos 16384 hasta 32767, ofrece una buena solución para transporte de voz y vídeo en tiempo real. La siguiente tabla compara TCP, UDP y RTP con respecto a la confiabilidad, números de secuencias, etc.:
Característica
Requerido para Voz
TCP
UDP
RTP
Confiabilidad
No
Sí
No
No
Número de secuencia
Sí
Sí
No
Sí
Tiempos de estampado
Sí
No
No
Sí
Multiplexación
Sí
Sí
Sí
No
TCP proporciona confiabilidad identificando con un número de secuencia los segmentos que son enviados y esperando un ACK para esos números de segmentos en el dispositivo apropiado. Si un router de un segmento no recibe un ACK antes de que el temporizador expire, el segmento TCP se envía nuevamente. Este modelo no es bueno para aplicaciones en tiempo real como voz debido a que los reenvíos provocarían que la voz llegase demasiado tarde y no fuera útil. La confiabilidad no es, entonces, una característica necesaria para un protocolo de transporte de voz. UDP y RTP no ofrecen confiabilidad en el transporte; la segmentación de los datos, identificación de secuencias, reordenación y reensamble de los datos son servicios que el protocolo de transporte debe ofrecer si las aplicaciones no son capaces de llevarlas a cabo por sí solas. El receptor debe recibir la información de audio o vídeo de una manera constante mientras el origen lo va liberando, de lo contrario el sonido sería distinto o incluso incomprensible. Marcando los tiempos de envío se sincronizan al mismo tiempo el receptor y el origen. RTP añade este mecanismo de estampado de tiempos en los segmentos que parten del origen. Los flujos RTP son diferenciados basándose en un número de puerto único UDP que se asigna para cada flujo RTP; los números de puertos UDP 16384 a 32767 están reservados para RTP. RTP se ejecuta sobre UDP por lo tanto no tiene capacidad de multiplexación.
www.FreeLibros.com
© RA-MA
CAPÍTULO 35. IMPLEMENTACIONES VoIP
779
RTP utiliza además marcas horarias como TCP, por lo tanto es posible concluir diciendo que RTP es el protocolo adecuado para transmisiones de voz y vídeo en tiempo real.
Reducción del tamaño de las cabeceras Una manera efectiva de reducir el peso impuesto por las múltiples cabeceras de IP, UDP y RTP es la utilización del cRTP (Compressed RTP), aunque su nombre podría implicar que solamente se comprime la cabecera RTP, la técnica que se utiliza reduce realmente las cabeceras IP, UDP y RTP. cRTP tiene que ser aplicado en ambos extremos del enlace y esencialmente el que envía y el que recibe tienen que estar de acuerdo en un número que es asociado con los 40 bytes de las cabeceras IP, TCP y UDP. Es importante recordar que cRTP se aplica por enlace. Los restantes paquetes no llevan los 40 bytes de la cabecera, sino que llevan el número asociado con esos 40 bytes (hash). El tamaño de las cabeceras se puede reducir hasta 4 bytes y si los acuses de recibo no se utilizan, hasta 2 bytes. Si durante el proceso cRTP se detecta un fallo o error de envío la cabecera entera es enviada nuevamente. Los beneficios de utilizar se reflejan mejor que para cargas de 80 Kbps 64 Kbps para G.711 establecer cRTP en un enlace hay
cRTP con cargas útiles de datos de voz pequeñas grandes. El ancho de banda requerido disminuye y de 24 Kbps a 8,8 Kbps para G.729. Antes de que tener en cuenta los siguientes factores:
•
Ofrece ahorros en el ancho de banda, pero se recomienda sólo para enlaces lentos (menos de 2 Mbps).
•
Sobrecarga del procesador, el dispositivo donde se implementará debe poseer recursos suficientes.
•
Incrementa un retardo extra debido a los cálculos y trabajo relativo con las cabeceras.
•
Es posible limitar el número de sesiones cRTP en un enlace. Por defecto Cisco permite hasta 16 sesiones a la vez.
www.FreeLibros.com
780
REDES CISCO. CCNP a Fondo
© R A -M A
CÁLCULO DEL ANCHO DE BANDA Ancho de banda en VoIP Los DSP convierten señales de voz analógica a señales de voz digital a través de un códec determinado. El DSP genera una serie de bits por segundos, una muestra se obtiene cada 10 milisegundos cuyo tamaño dependerá del tipo de códec utilizado. La siguiente tabla muestra cómo puede variar el tamaño de la muestra según el códec que se utilice. Tamaño de
Tamaño de dos muestras digitalizadas (20 ms)
Ancho de banda del códec
Tamaño de la muestra digital en bits (lOms)
G.711: 64 Kbps
64,000 bps x 10/1000 sec = 640 bits
80 bytes
2 x 80= 160 bytes
G.726 r32: 32 Kbps
32,000 bps x 10/1000 sec = 320 bits
40 bytes
2 x 40 = 80 bytes
G.726 r24: 24 Kbps
24,000 bps x 10/1000 sec = 240 bits
30 bytes
2 x 30 = 60 bytes
G.726 rl6: 16 Kbps
16,000 bps x 10/1000 sec =160 bits
20 bytes
2 x 20 = 40 bytes
G.728: 16 Kbps
16,000 bps x 10/1000 sec =160 bits
20 bytes
2 x 20 = 40 bytes
G.729: 8 Kbps
8000 bps x 10/1000 sec = 80 bits
10 bytes
2 x 10 = 20 bytes
digitalizada (10 ms)
El tamaño total de la trama de capa 2 encapsulando un paquete de VoIP depende de los siguientes factores: •
Velocidad y tamaño del paquete, se mide en pps (paquetes por segundo) es inversamente proporcional al tamaño del paquete (expresado en bytes).
•
Sobrecarga de la cabecera IP, se refiere al número total de bytes en las cabeceras RTP, UDP e IP. Sin compresión la sobrecarga es de 40 bytes.
www.FreeLibros.com
© R A -M A
CAPÍTULO 35. IMPLEMENTACIONES VoIP
781
•
Sobrecarga de la cabecera de la capa de enlace, el tamaño depende del tipo de encapsulación o el tipo de trama. Para el caso de Ethernet es de 18 bytes, y para 802. lq, 22 byte.
•
Sobrecarga de los túneles, únicamente para los casos donde se utilizan, GRE (Generic routing encapsulation), L2TP (Layer 2 Tunneling Protocol), IPsec (IP security), 802.1Q y MPLS son técnicas de tunelización comunes cada una con una sobrecarga en particular.
Los códecs pueden ser de diferentes tipos, el tamaño de cada paquete de VoIP depende del tipo de códec utilizado y el número de muestra encapsulada dentro de cada paquete de VoIP. La siguiente lista describe alguno de ellos: •
G.711 PCM
•
G.726 ADPCM (adaptive differential pulse code modulation)
•
G.722 (wideband speech encoding standard)
•
G.728 LDCELP (low delay code exited linear prediction)
•
G.729 CS-ACELP (conjúgate structure algebraic code exited linear prediction)
Los DSP producen una muestra digital de 10 milisegundos de señal de voz analógica, esto es común entre dispositivos de voz Cisco, también es posible poner más de dos muestras de VoIP si es necesario. El período de enpaquetamiento es la suma de la señal analógica de voz expresada en milisegundos que es encapsulada en cada paquete IP en formato digitalizado. El problema añadido de sumar muchas muestras de voz digital en un paquete IP es que cuando el paquete es descartado se pierde demasiada voz en el proceso. Dicha pérdida tiene un efecto negativo en la calidad de la llamada mayor que cuando se pierden simples paquetes. Además de que se añade un retraso extra.
Sobrecarga de la capa de enlace El transmitir un paquete IP sobre un enlace requiere encapsular el paquete IP en una trama que sea apropiada para dicho enlace y a través del protocolo adecuado para ese enlace. Cualquier paquete que sea transmitido fuera de una determinada interfaz debe ser encapsulado según el protocolo que ésta esté utilizando.
www.FreeLibros.com
782
REDES CISCO. CCNP a Fondo
© R A -M A
Cuando un router recibe un paquete puede entrar con un cierto tipo de encapsulación como por ejemplo Ethernet, el paquete es desencapsulado y se inicia el proceso de enrutamiento. Una vez determinada la interfaz de salida se encapsula en la trama para la interfaz adecuada y su respectiva configuración. Finalmente el paquete puede dejar el router a través de una interfaz distinta como puede ser PPP. La sobrecarga de la capa de enlace para Ethernet, Frame-Relay, MLP y dotlQ es 18, 6, 6 y 22 respectivamente. Durante el cálculo del ancho de banda total requerido para una llamada de VoIP por cada tipo de enlace se debe considerar la sobrecarga de la capa de enlace adecuada.
Sobrecarga debida a seguridad y tunelización IPsec (IP security) es un conjunto de protocolos estándar de la IETF que permiten la transmisión segura de información. IPsec puede operar en dos modos, modo transporte y modo túnel. En modo transporte la encriptación es aplicada solamente a la carga útil del paquete IP mientras que en modo túnel la encriptación se aplica a todo el paquete, incluyendo la cabecera. Cuando la cabecera es encriptada los routers intermedios no pueden leer su información, de manera que es necesario el uso de una segunda cabecera para que estos routers puedan leer cierta información. Esta nueva cabecera supone 20 bytes extra de sobrecarga. Además tanto en modo transporte como modo túnel es posible utilizar AH (Autentication Header) para proporcionar autenticación y/o ESP (Encapsulating Security Payload) para proporcionar autenticación y encriptación. Todo esto ha de tenerse en cuenta a la hora de calcular los requerimientos de ancho de banda necesarios para VoIP. Existen otros protocolos que tunelizan el tráfico sin añadir seguridad y que son los siguientes: •
GRE (Generic Routing Encapsulation). Transporta datos de capa 2 o de capa 3 sobre redes IP.
•
L2F/L2TP (Layer 2 Forwarding / Layer 2 Tunneling Protocol). Transportan tramas PPP sobre IP.
•
PPPoE (PPP over Ethernet). Transporta tramas PPP sobre Ethernet.
•
QinQ. Transporta tramas dotlq encapsuladas en una segunda VLAN ocultando a los switches la primera VLAN ID.
La utilización de cualquiera de estos protocolos de tunelización se debe tener muy en cuenta a la hora de calcular los requerimientos de ancho de banda para VoIP.
www.FreeLibros.com
© R A -M A
CAPÍTULO 35. IMPLEMENTACIONES VoIP
783
A continuación se muestran los tamaños de sobrecarga de IPsec y de los principales protocolos de tunelización. Protocolo
Tamaño de la cabecera
IPsec Transport Mode Con DES o 3DES y MD5 y SHA1 para encriptación y autenticación.
30 a 37 bytes
IPsec Transport Mode Con ESP y AES para encriptación y AES-XCBC para autenticación.
38 a 53 bytes
50 a 57 bytes IPsec Tunnel Mode o 58 a 73 bytes L2TP
24 bytes
GRE
24 bytes
MPLS
4 bytes
PPPoE
8 bytes
Cálculo del ancho de banda total para una llamada de VoIP Existen una serie de propósitos para los cuales es necesario conocer el ancho de banda que ocupan las llamadas de VoIP, como por ejemplo los siguientes: •
Diseño y planificación de la capacidad de los enlaces.
•
CAC
•
QoS
Para calcular el ancho de banda consumido en una llamada de VoIP es necesario determinar las siguientes cuestiones:
www.FreeLibros.com
784
© R A -M A
REDES CISCO. CCNP a Fondo
•
Determinar el códec y el período de encapsulación. Diferentes códecs generan distintos números de bits por segundo, generalmente en un rango entre 5,3 Kbps y 64 Kbps. El número de muestras de voz digital encapsuladas en cada paquete IP determina el período de encapsulación. Para dispositivos de Voz Cisco el período que lleva empaquetar es de 20 ms, por lo que cada paquete de VoIP encapsulará dos muestras de 10 ms de voz digital.
•
Determinar información especifica al enlace. Verificar si cRTP es utilizado y si hay tunelización o seguridad aplicada.
•
Calcular el tamaño de empaquetamiento. Para ello se multiplica el ancho de banda del códec por el período que lleva empaquetar y se divide el resultado entre 8. Así se obtiene el tamaño de la carga útil de voz en bytes.
•
Calcular el tamaño total de la trama. Se suman el tamaño de las cabeceras IP, UDP, RTP o cRTP, más las cabeceras opcionales de tunelización y de la capa de enlace vista en el paso segundo. Todo se agrega a la carga útil de voz calculada en el paso tercero. El resultado es el tamaño total de la trama.
•
Calcular el volumen de paquetes. El volumen de paquetes es inverso al período de empaquetamiento (convertido a segundos). En otras palabras, dividir 1 entre el período de empaquetamiento.
•
Cálculo del ancho de banda total. Se calcula multiplicando el tamaño total de la trama (paso cuarto) convertido a bits por el volumen de paquetes (paso quinto).
La siguiente figura muestra una trama de VoIP y dos métodos para calcular el ancho de banda requerido para una llamada. El primer método está basado en los 6 pasos descritos anteriormente. El segundo método se aplica en el tamaño total de la trama sobre la carga útil, que es igual al ancho de banda requerido sobre ancho de banda de los códecs. E
C a b e ce ra capa 2
D
C a b e ce ra tú n e l
C
C a b e ce ra s e g u r id a d
B
C a b e ce ra s IP + U D P + R T P o cR TP
A
V o z d ig ita liz a d a (El tamaño depende del tipo de códec y de la encapsulación del paquete IP
www.FreeLibros.com
© R A -M A
CAPÍTULO 35. IMPLEMENTACIONES VoIP
785
Método 1: A (cantidad de voz digitalizada en bytes) = ^ ( b P^xPeriodode^paquetamientotseg)
F (tamaño total de la trama en bits) = 8x(E + D + C + B + A)
R (volumen del paquete) = ---------------------------------------Período de empaquetamiento (seg)
Ancho de banda (kbps) = ^ ^ 1000
Método 2: . , i i Códec (bps) x Período de empaquetamiento (seg) A (cantidad de voz digitalizada en bytes) = ------------- ------------------ —-------------- —— 8 bytes F (tamaño total de la trama en bytes) = (E + D + C + B + A) Anchode banda = Códec(bps)xF A Tamaño total _ Ancho de banda requerido Tamaño carga útil Ancho de banda del códec
Una vez calculado el ancho de banda necesario para una llamada de VoIP se puede calcular el ancho de banda total que se reservará para VoIP teniendo en cuenta el máximo número de llamadas concurrentes que se necesitan tener.
Detección de la actividad de voz VAD (Voice Activity Detection) es una función habilitada en redes de VoIP que sirve para detectar silencios (pausas en el diálogo) y audio en una sola dirección de tal manera que no genera datos, ahorrando así ancho de banda. En una conversación normal hasta una tercera parte de la misma son silencios.
www.FreeLibros.com
786
© R A -M A
REDES CISCO. CCNP a Fondo
Cuando alguien pone música en el teléfono (MOH) en un período de espera, mientras se espera solamente se envía voz en una dirección. La cantidad de ancho de banda ahorrado con VAD depende de los siguientes factores: •
Durante una conversación telefónica normalmente sólo una persona habla a la vez, de tal manera que la persona que escucha no necesita enviar datos. Lo mismo se aplica a quien está recibiendo MOH.
•
Si el ruido de fondo es alto VAD no puede detectar silencio y no se produce ahorro de ancho de banda.
•
Existen factores varios durante la llamada que hacen que VAD pueda gestionar mejor o peor los recursos. Por ejemplo durante una sesión e-learning en la que solamente una persona envía voz VAD puede ahorrar una cantidad considerable de ancho de banda.
Los estudios dicen que la media de ancho de banda que se puede ahorrar con el uso de VAD es de alrededor de un 35%.
IMPLEMENTACIÓN DE VoIP EN UNA RED EMPRESARIAL Los principales elementos relativos a telefonía en una implementación empresarial de VoIP de Cisco son: gateway, gatekeeper, Cisco Unified CallManager y teléfonos IP Cisco. Los teléfonos necesitan al CallManager, que actúa como una PBX. Los gateways proporcionan conectividad entre analógico, digital, dispositivos de telefonía IP y circuitos. El gatekeeper es un dispositivo H323 que proporciona enrutamiento de llamadas o servicios CAC. Las implementaciones de VoIP pueden variar dependiendo de muchos factores. La siguiente figura muestra una empresa con tres oficinas remotas:
www.FreeLibros.com
© R A -M A
CAPÍTULO 35. IMPLEMENTACIONES VoIP
787
Teléfonos PBX
En la oficina A funciona una implementación de servicios de telefonía IP. Dicha oficina cuenta con un clúster de Cisco Unified CallManager y todos los empleados usan teléfonos IP. Está conectada a la oficina B mediante una red MAN de tipo Metro Ethernet, y a la oficina C usando un enlace WAN tipo ATM o Frame-Relay. En caso de que la MAN o WAN fallen, las llamadas deberán ser enrutadas a través de la PSTN, al igual que en caso de congestión (haciendo uso de Automated Altemate Routing, AAR). Las llamadas hacia o desde el exterior de la empresa son realizadas mediante la PSTN. La oficina B está conectada a la oficina A mediante una red MAN de alta velocidad y sus teléfonos IP están gestionados por el clúster de Cisco Unified CallManager en la oficina A. Las llamadas de VoIP entre las oficinas B y A se efectúan a través de la red MAN. Las llamadas entre las oficinas B y C van por la red MAN hasta A y después por la WAN hasta C. Las llamadas de la oficina C a B usarán el camino inverso. Si el enlace MAN se cae se utilizaría Survivable Remóte Site Telephony (SRST), que está implementado en el Gateway y permite que los teléfonos de la oficina B puedan comunicarse entre sí, además permite una llamada externa a través de la PSTN. La figura muestra que el gateway tiene dos interfaces FXO, una está conectada al número de emergencias dejando el otro puerto para una llamada externa.
www.FreeLibros.com
788
© R A -M A
REDES CISCO. CCNP a Fondo
La oficina C cuenta con una vieja PBX y teléfonos clásicos. Un gateway de voz proporciona conectividad entre la propia oficina C y la PSTN y también con el resto de los teléfonos en otras oficinas a través de la WAN. El tráfico de voz normalmente usará el camino a través de la WAN a no ser que ésta esté caída, entonces usará la PSTN. Todas las llamadas externas a la empresa desde y hacia C serán cursadas por la PSTN.
Gateway de voz en un router Cisco Los gateway proporcionan conectividad entre interfaces analógicas como por ejemplo FXO, FXS, interfaces digitales como T l/E l, BRI y dispositivos de telefonía IP como por ejemplo fax, teléfono analógico. Los gateway convierten señales digitales a analógicas y viceversa. También pueden ser capaces de manejar distintos tipos de códecs. Estas capacidades dependen de los DSP instalados en el gateway y en las características de la IOS. SRST (Survivable Remóte Site Telephony) es una función de IOS realmente útil en sitios donde los teléfonos IP están gestionados desde otra oficina, por ejemplo desde la oficina central. En caso de pérdida de conectividad con la oficina central los teléfonos quedarían inutilizados, a no ser que el gateway tuviera la función SRST, entonces esos teléfonos podrían comunicarse entre sí, mantener ciertas funciones y enrutar un número de llamadas limitadas por la PSTN. En caso de que la IOS permita implementar Cisco CallManager Express es posible tener un dispositivo que podría ser el gateway actuando como CallManager, esta función es útil en sitios remotos pequeños. Además de las características vistas los gateway pueden ofrecer más servicios dependiendo del software que ejecuten.
Cisco CaUmanager CCM (Cisco CallManager) es un software de procesamiento de llamadas y el principal componente de Cisco Unified Communication System. CCM soporta los protocolos de señalización MGCP, H323, SIP y SCCP. Las siguientes son varias de las funciones que Cisco Unified CallManager proporciona: • Procesamiento de llamadas. CCM lleva a cabo enrutamiento de llamadas, señalización y contabilización. Además tiene capacidades de gestión de ancho de banda y CoS.
www.FreeLibros.com
© R A -M A
CAPÍTULO 35. IMPLEMENTACIONES VoIP
789
•
Administración del plan de llamadas. CCM actúa como el CA para gateways MGCP y teléfonos IP. El plan de llamadas se administra e implementa en el CCM, liberando a sus clientes de necesitar esa información.
•
Control y señalización de dispositivos. CCM realiza la señalización para sus clientes y controla su configuración y comportamiento.
•
Administración de las funcionalidades de los teléfonos. Los archivos de configuración de los teléfonos IP se guardan en el CCM, de manera que el cliente al inicializarse obtiene la configuración del CCM.
•
Servicios de directorio y XML. Estos servicios pueden estar disponibles desde el CCM. Los teléfonos pueden hacer búsquedas en el directorio y los dispositivos XML pueden ser gestionados como si se tratara de teléfonos IP.
•
Interfaz de programación para aplicaciones externas. Cisco Systems proporciona una API (Application Programming Interface) para ser usada por aplicaciones externas y que así puedan trabajar y comunicarse con Cisco Unified CallManager.
Modelos de despliegue VoIP Existen varios modelos de despliegue usando Cisco Unified CallManager: •
Sitio simple. Tal y como el nombre indica la empresa tiene solamente un sitio donde se implementa un clúster de Cisco CallManager. Los teléfonos IP y los posibles gateways MGCP están gestionados por el CCM, quien puede comunicarse con dispositivos H323 y SIP. Las llamadas desde y hacia el exterior son cursadas a través de la PSTN.
•
Múltiples sitios con procesamiento de llamadas centralizado. En este escenario existen múltiples sitios y en uno de ellos, normalmente el principal o central, CCM está implementado. Los teléfonos IP y posibles gateway están gestionados por el CCM que está localizado en el sitio central. Aquí el tráfico de señalización siempre viajará a través de los enlaces que conectan los sitios, incluso para llamadas locales dentro de un sitio. El tráfico de VoIP no viajará por dichos enlaces si la llamada es local. Normalmente cada sitio tiene una conexión PSTN para realizar y recibir llamadas
www.FreeLibros.com
790
REDES CISCO. CCNP a Fondo
© R A -M A
extemas o para ser usado en caso de que el enlace con la oficina principal se caiga. •
Múltiples sitios con procesamiento de llamadas distribuido. En este caso cada sitio tiene su propio clúster de Cisco CallManager. Cuando se cursan llamadas dentro de cada sitio el tráfico de señalización y VoIP no viaja por los enlaces WAN.
•
Clúster sobre enlaces WAN. En este modelo el clúster de Cisco CallManager está expandido en diferentes sitios y se comunica vía enlaces WAN. Para que funcione adecuadamente el máximo retraso RTT no ha de ser superior a 40 ms.
www.FreeLibros.com
Capítulo 36
CALIDAD DE SERVICIO CONVERGENCIA DE RED Y QoS Actualmente las redes soportan diferentes tipos de aplicaciones tales como voz, vídeo y datos sobre una infraestructura común. La convergencia de todos estos tipos de aplicaciones conjuntas representa un reto para el personal administrador encargado de ello. El retardo aceptable para un paquete de VoIP es de 150 a 200 ms y el jitter o variación en el retardo ha de ser mínimo para mantener la consistencia de la llamada. Por el contrario, una aplicación de datos tal como FTP no es tan sensitiva al retardo y el jitter ni siquiera sería apreciado. Cuando conjuntamente existen voz y datos en la red se deben usar mecanismos para hacer que puedan coexistir. Muchas aplicaciones de datos están basadas en protocolos orientados a la conexión como TCP, cuando pierden un segmento otro es retransmitido, mientras que las aplicaciones de voz o vídeo tienen una tolerancia mínima hacia las pérdidas de datos. Debido a esto es necesario implementar mecanismos que prioricen determinados tipos de tráfico cuando exista congestión en la red. Los fallos en la red afectan a todas las aplicaciones, mientras la red converge después de un fallo quienes más sufren el desperfecto son los usuarios que estén usando aplicaciones interactivas de voz o vídeo, pudiendo incluso perder la llamada.
www.FreeLibros.com
792
REDES CISCO. CCNP a Fondo
© R A -M A
Existen cuatro cuestiones importantes a tener en cuenta en redes convergentes: •
Ancho de banda disponible.
•
Retraso de extremo a extremo.
•
Jitter o fluctuación en el retraso.
•
Pérdida de paquetes.
Ancho de banda disponible Los paquetes normalmente fluyen usando el camino con mejor ancho de banda. El mejor ancho de banda disponible en la ruta es el del enlace con menor ancho de banda. En la siguiente figura se observa que la ruta a través de los router R1-R2-R3-R4 es el mejor camino del cliente al servidor, y 10 Mbps es el máximo ancho de banda del camino. El ancho de banda disponible es el máximo ancho de banda de la ruta dividido entre el número de flujos.
www.FreeLibros.com
© RA-M A
CAPÍTULO 36. CALIDAD DE SERVICIO
793
La falta de ancho de banda hace que las aplicaciones se degraden debido al retraso y a la pérdida de paquetes. Esto es detectado de forma inmediata por los usuarios de aplicaciones de voz o vídeo. Es posible resolver los problemas de ancho de banda con algunos de los siguientes recursos: •
Incrementar el ancho de banda. Lo cual es efectivo pero costoso. Aunque dependiendo del escenario en algunos casos es recomendable.
•
Usar mecanismos de QoS de clasificación y marcado así como mecanismos de encolamiento apropiados. De esta manera se enviarán primero los paquetes más importantes.
•
Usar técnicas de compresión. Compresión a capa 2, compresión de cabeceras TCP, cRTP (RTP header compression), etc. Siempre es preferible compresión en hardware en vez de en software, ya que el mecanismo en sí usa muchos recursos de CPU.
Retraso de extremo a extremo Hay diferentes tipos de retraso desde origen a destino. El retraso de extremo a extremo es la suma de estos cuatro tipos de retraso: •
Retraso de procesamiento, es el tiempo que un dispositivo de capa 3 tarda en mover un paquete desde la interfaz de entrada a la de salida. El tipo de CPU así como la arquitectura de hardware influyen en esto.
•
Retraso de encolamiento, es el tiempo que un paquete pasa en la cola de salida de una interfaz. Dependerá de lo ocupado que esté el router, del número de paquetes esperando, del tipo de cola y del ancho de banda de la interfaz.
•
Retraso de señalización, es el tiempo empleado en poner en el medio físico todos los bits de una trama.
•
Retraso de propagación, es el tiempo que se tarda en transmitir en el medio físico los bits correspondientes a una trama. Depende del tipo de medio físico.
www.FreeLibros.com
794
© R A -M A
REDES CISCO. CCNP a Fondo
Variación del retraso Las fluctuaciones en el retraso reciben el nombre dejitter.Se produce cuando los paquetes llegan al destino a velocidades diferentes a las que se emitieron desde el origen. Para paquetes de VoIP o vídeo es esencial que la aplicación sea capaz de liberarlos en el destino a ia misma velocidad y en el mismo orden que fueron emitidos en un principio. Esto lo hace sirviéndose del buffer, que es donde se van almacenando a medida que llegan y de RTP (Real-Time Transport Protocol) que sella los paquetes para que sean entregados en orden. Algunas de las claves para ayudar a reducir el jitter son las siguientes: •
Incrementar en ancho de banda.
•
Priorizar los paquetes sensitivos.
•
Usar técnicas de compresión de capa 2.
•
Usar técnicas de compresión de cabeceras.
Pérdida de paquetes La pérdida de paquetes ocurre cuando un router no tiene más espacio libre en el buffer de memoria de la interfaz de salida para almacenar los nuevos paquetes que le llegan, debiendo descartarlos. TCP reenvía los paquetes descartados, a la vez que reduce el tamaño de ventana. Aplicaciones UDP como TFTP por ejemplo pueden generar más tráfico en la red al tener que retransmitir un archivo completo en caso de pérdida de paquetes. Para llamadas de VoIP la pérdida de paquetes resulta en conversaciones entrecortadas, mientras que para vídeo la imagen parece congelarse. Con los mecanismos de QoS adecuados es posible evitar estas situaciones. •
A través del comando show interface es posible obtener información cuando existan pérdidas de paquetes o congestión:
•
Output drop: número de paquetes descartados, debido a que la cola de salida de la interfaz está llena.
•
Input queue drop: si la CPU está sobrecargada el router podría tener problemas al procesar paquetes entrantes, incrementando este contador.
www.FreeLibros.com
© R A -M A
CAPÍTULO 36. CALIDAD DE SERVICIO
795
•
Ignore: número de tramas ignoradas debido a falta de espacio en el buffer.
•
Overrun: cuando la CPU está sobrecargada podría no proporcionar espacio en el buffer lo suficientemente rápido, haciendo que se descarten paquetes.
•
Frame error: incluye las tramas con CRC no válido, las que son más pequeñas que el standard (runts) y las gigantes (giants).
Los siguientes métodos pueden utilizarse para reducir o evitar la pérdida de paquetes: •
Incrementar el ancho de banda.
•
Incrementar el tamaño del buffer. Modificando los valores por defecto.
•
Proporcionar un ancho de banda garantizado. Usando herramientas de QoS tales como CBWFQ (Class Based Weighted Fair Queuing) o LLQ (Low Latency Queuing).
•
Evitar la congestión. Descartando aleatoriamente paquetes antes de que las colas se llenen. Para esto existen métodos como RED (Random Early Detection) y WRED (Weighted Random Early Detection).
IMPLEMENTACION DE QoS QoS se define como la habilidad de la red para proporcionar un mejor o especial servicio a un conjunto de usuarios o aplicaciones en detrimento de otros usuarios o aplicaciones. Para implementar QoS hay que llevar a cabo tres pasos: •
Identificar tipos de tráfico y sus requerimientos.
•
Clasificación del tráfico basándose identificados.
•
Definir las políticas para cada clase.
www.FreeLibros.com
en
los requerimientos
796
© R A -M A
REDES CISCO. CCNP a Fondo
Identificación del tráfico y sus requerimientos Es el punto de partida en cualquier implementación de QoS y conlleva los siguientes apartados: •
Llevar a cabo una auditoría de red. Es aconsejable tomar estos datos durante los momentos en que la red esté más ocupada así como durante otros períodos.
•
Determinar la importancia de cada aplicación. El modelo de negocio determinará la importancia de cada aplicación. Se pueden definir clases de tráfico y los requerimientos para cada clase.
•
Definir niveles de servicio para cada clase de tráfico. Cada clase identificada previamente ha de tener un nivel de servicio que constará de características como ancho de banda garantizado, retraso, preferencia a la hora de que se descarte, etc.
Clasificación del tráfico Es posible clasificar desde unas pocas a cientos de variaciones de tráfico dentro de diferentes clases. Las clases definidas han de ir de acuerdo a las necesidades y objetivos de negocio. Las siguientes clases son el resultado de varios estudios y está demostrado que sino todas, alguna de ellas aparecerá en cualquier red empresarial: • Clase de VoIP, como su propio nombre indica corresponde al tráfico de VoIP. •
Clase de aplicaciones de misión aplicaciones de alta importancia.
crítica,
corresponde
a
• Clase de tráfico de señalización, pertenece al tráfico de señalización de VoIP, vídeo, etc. • Clase de tráfico de aplicaciones de transacción, son aplicaciones del tipo de bases de datos interactivas, etc. • Clase Best-effort, esta clase engloba el tráfico no estipulado en las anteriores y se le proporciona el ancho de banda que sobre. • Clase sin importancia, corresponde a servicios o aplicaciones que se consideran inferiores a las Best-effort. Podrían ser e-mail personal, aplicaciones P2P, juegos online, etc.
www.FreeLibros.com
© R A -M A
CAPÍTULO 36. CALIDAD DE SERVICIO
797
Definición de políticas para cada clase Este paso conlleva el completar las siguientes tareas: •
Especificar un ancho de banda máximo.
•
Especificar un ancho de banda mínimo garantizado.
•
Asignar niveles de prioridad.
•
Usar herramientas que sean adecuadas para la congestión gestionándola, eliminándola, etc.
La tabla siguiente muestra un ejemplo de una política de QoS.
Clase
Prioridad
Tipo de cola
Ancho de banda Mín/Máx
Herramienta
Voice
5
Prioridad
1 Mbps Mín 1 Mbps Máx
Prioridad de cola
Business mission critical
4
CBWFQ
1 Mbps Mín
CBWFQ
Signaling
3
CBWFQ
400 Kbps Mín
CBWFQ
Transactional
2
CBWFQ
1 Mbps Mín
CBWFQ
Best-effort
1
CBWFQ
500 Kbps Máx
CBWFQ CB-Policing
Scavenger
0
CBWFQ
Máx 100 Kbps
CBWFQ CB-Policing WRED
MODELOS DE QoS Modelo Best-Effort El modelo Best-Effort significa que no hay QoS aplicado, de manera que todos los paquetes dentro de la red independientemente del tipo que sean reciben el mismo trato. Como beneficio de este sistema está la facilidad de implementación, ya que no hay que hacer nada para ponerlo en funcionamiento, pero tiene como
www.FreeLibros.com
798
REDES CISCO. CCNP a Fondo
© R A -M A
desventaja que no es posible garantizar ningún tipo de servicio a ninguna aplicación.
Modelo de servicios integrados Se trata del primer modelo que proporcionó QoS de extremo a extremo y basado en la señalización explícita y reserva de recursos de red para aquellas aplicaciones que los necesitan. El protocolo usado para la señalización es el RSVP (Resource Reservation Protocol). Cuando una aplicación tiene un requerimiento de ancho de banda RSVP va salto por salto a lo largo del camino intentando hacer la reserva solicitada en cada uno de los routers que se encuentra en la ruta. Si la reserva se puede hacer la aplicación podrá operar; pero si algún elemento en el camino no tiene los recursos suficientes la aplicación tendrá que esperar. Para implementar Servicios Integrados de manera satisfactoria además de RSVP debería habilitarse lo siguiente: • •
Control de Admisión, en caso de que los recursos no puedan proporcionarse sin afectar a las aplicaciones actualmente en uso se deberían denegar.
•
Clasificación, el tráfico perteneciente a una aplicación que ha solicitado una reserva se debería clasificar y ser reconocido por los routers en el camino.
•
Políticas, es necesario tomar acciones cuando las aplicaciones excedan la utilización de los recursos acordados.
•
Encolamiento, es importante que los dispositivos puedan almacenar los paquetes mientras se envían los que estaban primero.
•
Programación, funciona junto con el encolamiento y hace referencia al caso en el que existan varias colas y qué cantidad de datos podrían transmitir cada una en cada ciclo.
Los beneficios de Servicios Integrados son el control de admisión de recursos de extremo a extremo, políticas de control de admisión por petición y señalización de números de puerto dinámicos. Como desventajas mencionar que cada flujo activo necesita señalización continua, usando así recursos extra y haciendo que no sea un modelo altamente escalable.
www.FreeLibros.com
© R A -M A
CAPÍTULO 36. CALIDAD DE SERVICIO
799
Modelo de servicios diferenciados Éste modelo es el más actual de los tres y ha sido desarrollado para suplir las deficiencias de sus predecesores. Está explicado detalladamente en las RFC 2474 y 2475. Será el modelo de QoS que se trate con mayor detalle en este libro. Servicios Diferenciados usa PHB (Per-Hop Behavior), que hace referencia al comportamiento por salto. Esto significa que cada salto en el camino está programado para proporcionar un nivel de servicio específico a cada clase de tráfico. Con este modelo, el tráfico es en principio clasificado y marcado. A medida que fluye en la red va recibiendo distinto trato dependiendo de su marca. En los servicios diferenciados hay que tener en cuenta que: •
El tráfico es clasificado.
•
Las políticas de QoS son aplicadas dependiendo de la clase.
•
Se debe elegir el nivel de servicio para cada tipo de clase que corresponderá a unas necesidades determinadas.
Como ventajas principales mencionar la escalabilidad y habilidad para soportar muchos tipos de niveles de servicio. Como puntos negativos el servicio no es absolutamente garantizado y es más complejo de implementar.
MÉTODOS DE IMPLEMENTACIÓN DE QoS Método antiguo de línea de comandos CLI (Legacy Command-Line Interface) consiste en la configuración mayormente a nivel de interfaz de los servicios requeridos, haciendo que cada nueva configuración deba implementarse desde cero. Se trata de un modelo de configuración no modular, lo que quiere decir que no ofrece facilidades para aprovechar configuraciones existentes y que induce más al error.
Interfaz de línea de comandos de QoS modular Cisco ha introducido MQC (Modular QoS Command-Line Interface) para resolver las limitaciones del método anterior, además de incluir la utilización de nuevas herramientas de QoS. Se trata de una arquitectura modular, eficiente y más rápida de usar que el método antiguo..
www.FreeLibros.com
800
REDES CISCO. CCNP a Fondo
© R A -M A
Implementar QoS con MQC requiere de tres pasos necesarios: •
Definir las clases de servicio usando el comando class-map.
•
Definir políticas para las clases definidas usando el comando policy-map.
•
Aplicar las políticas en dirección de entrada o salida a una interfaz, usando el comando service-policy.
A cada class map se le aplica un nombre, sensitivo a mayúsculas y minúsculas, y está compuesta por una o mas sentencias. Una o todas esas sentencias deben coincidir dependiendo de si el class map tiene el parámetro match-any o match-all, y en caso de no estar definido por defecto está match-all. El ejemplo que sigue muestra dos class maps. La primera se llama VoIP y especifica que todo el tráfico que pase por la ACL 100 será clasificado como VoIP. La segunda es llamada Aplicaciones y especifica que todo el tráfico que pase por la ACL 101 será clasificado como aplicaciones de la empresa. class-map VoIP match access-group 100
i
class-map Aplicaciones match access-group 101
En el ejemplo ambos class map tienen una sola sentencia y como no se ha especificado match-any o match-all aplica el de por defecto que es match-all, aunque al tener una sola sentencia el resultado sería el mismo independientemente de cuál se aplique. También se podría utilizar la condición no match. En la siguiente sintaxis se asocian las características de QoS requeridas a cada clase. Un policy map tiene un nombre sensitivo a mayúsculas y minúsculas y permite tener asociadas hasta 256 clases. Se observa como la clase VoIP es asignada a una cola de prioridad estricta con un ancho de banda garantizado de 256 Kbs. La clase Aplicaciones ha sido asignada a una cola WFQ en la que contará con un mínimo de ancho de banda de 256 Kbs. Todo el tráfico restante será asignado a la clase class-default y le será dado el ancho de banda restante. policy-map Politicas class VoIP priority 256 class Aplicaciones bandwidth 256 class class-default fair-queue
www.FreeLibros.com
© R A -M A
CAPÍTULO 36. CALIDAD DE SERVICIO
801
Finalmente se aplica el policy map a una interfaz, pudiendo aplicarlo a más de una, y dependiendo de la configuración será de entrada o salida. En el ejemplo siguiente se aplica a la interfaz serial 1/0 en dirección de salida: interface serial 1/0 service-policy output Enterprise-Policy
Los siguientes tres comandos ayudan a mostrar y verificar las clases y políticas configuradas así como las aplicadas a una interfaz: •
Show class-map
•
Show policy-map
•
Show policy-map interface interface
AutoQoS AutoQoS permite generar los comandos de configuración de QoS de un dispositivo de forma automática. Actualmente se utiliza AutoQoS Discovery, capaz de analizar el tráfico de la red para posteriormente generar clases de tráfico basadas en ese análisis. Además según el tipo de interfaz también podría añadir características como fragmentación e interleaving, multilink, traffic shaping, etc. AutoQoS tiene como principal ventaja que es fácil de implementar y puede hacerse por parte de administradores sin experiencia en QoS. AutoQoS contempla todos estos aspectos a la hora de hacer el despliegue: •
Clasificación. AutoQoS fo r the Enterprise, mediante el uso de AutoQoS Discovery descubre de forma automática aplicaciones y protocolos, usando NBAR (Network Based Application Recognition). Se sirve de CDP para saber si hay teléfonos IP presentes.
•
Generación de políticas. Proporciona el tratamiento adecuado al tráfico previamente clasificado. También contempla opciones como fragmentación, compresión, etc.
•
Configuración. Simplemente se necesita introducir el comando auto qos en la interfaz elegida.
•
Monitorización y reporte. Genera mensajes logging, traps de SNMP y resúmenes. .
www.FreeLibros.com
802
© R A -M A
REDES CISCO. CCNP a Fondo
•
Consistencia. Existe consistencia e interoperabilidad diferentes routers configurados con auto qos.
entre
Antes de poder usar AutoQoS hay que tener la seguridad de tener CEF habilitado (por defecto lo está) y que cada interfaz posea el ancho de banda correcto, especialmente las interfaces WAN, y configurado el ancho de banda que realmente existe y no el que viene por defecto. El siguiente ejemplo muestra una interfaz serial configurada con el ancho de banda adecuado, CEF y AutoQoS. ip cef interface serial 1/0 bandwidth 256 ip address 10.1.1.1 255.255.255.252 auto qos voip
En el ejemplo se usa el comando auto qos voip, pertenece a la primera generación de AutoQoS. Para usar AutoQoS for Enterprise primero se debe utilizar el comando auto discovery qos para analizar y descubrir el tráfico, y posteriormente el comando auto qos para terminar la configuración.
Security Device Manager SDM es una aplicación Web que permite realizar diferentes tipos de gestiones sobre varios routers de entre las plataformas 830 a 7301. El asistente SDM para QoS permite realizar estas tres funciones específicas: •
Implementar QoS
•
Monitorizar QoS
•
Resolver problemas de QoS
La figura muestra la página principal del SDM, que se compone de dos secciones: •
About Your Router
•
Configuratíon Overview
www.FreeLibros.com
© R A -M A
CAPÍTULO 36. CALIDAD DE SERVICIO
803
Los otros dos botones importantes en la barra de tareas principal son Configure y Monitor. Ambos a su izquierda tienen una serie de opciones de entre las cuales se puede configurar y monitorizar calidad de servicio. Para empezar a crear una política de QoS se deben seguir los siguientes pasos: •
Hacer clic en el botón Configure de la barra de herramientas principal del SDM.
•
Hacer clic en el botón Quality of Service en la barra de herramientas de la izquierda.
•
Hacer clic en la pestaña Create QoS Policy. Hacer clic en Launch QoS Wizard.
www.FreeLibros.com
804
© R A -M A
REDES CISCO. CCNP a Fondo
El asistente indica que SDM por defecto creará políticas de QoS para manejar dos tipos de tráfico, Real-Time y Business-Critical.
La siguiente ventana nos pide seleccionar una interfaz a la que se le aplicará la política.
www.FreeLibros.com
© R A -M A
CAPÍTULO 36. CALIDAD DE SERVICIO
805
Después solicita introducir los porcentajes de ancho de banda para las dos clases de tráfico creadas.
Por último aparecerá un resumen con todo lo que se ha hecho. Presionando Finish se generará la configuración y se aplicará.
www.FreeLibros.com
806
© R A -M A
REDES CISCO. CCNP a Fondo
Para monitorizar QoS usando SDM hay que hacer clic en el botón Monitor de la barra de herramientas de la ventana principal de SDM. Después seleccionar Traffic Status.
www.FreeLibros.com
Capítulo 37
ADMINISTRACIÓN DEL TRÁFICO CLASIFICACIÓN Y MARCADO DE TRÁFICO Clasificar es el proceso de identificar y categorizar tipos de tráfico en clases. La categorización se ha hecho tradicionalmente basándose en ACL, pero además es posible utilizar descriptores de tráfico como: •
Interfaz de entrada.
•
Valor del CoS.
•
Dirección IP de origen o destino.
•
Valor de IP Precedence o DSCP en la cabecera IP.
•
Valor EXP en la cabecera MPLS.
•
Tipo de aplicación.
La clasificación comienza con el comando class-map, que es un componente del Cisco IOS MQC (Modular QoS Command-line interface). El parámetro match dentro del class-map puede referirse a una ACL, a un descriptor de tráfico o al protocolo NBAR (Network Based Application Recognition). Siempre se debe intentar clasificar y marcar el tráfico tan cerca del origen como sea posible. Siendo la capa de acceso de la red el lugar ideal.
www.FreeLibros.com
808
©RA-M A
REDES CISCO. CCNP a Fondo
Marcar es el proceso de etiquetar tráfico basándose en su categoría. Los campos usados para el marcado dependen de si es en capa 2 (CoS, EXP, DE, CLP) o capa 3 (IP Precedence, DSCP).
CoS en la trama Ethernet 802.1Q/P 802.lq es un modelo de enlace troncal estandarizado definido por la IEEE. Dentro de la cabecera existe un campo de 3 bits llamado PRI o CoS 802. Ip. El CoS (Class of Service) es utilizado para propósitos de QoS y puede tener 8 posibles valores. La siguiente tabla describe los valores de los bits CoS 802.Ip dentro de la cabecera: CoS (bits)
(Decimal)
000
0
Routine
001
1
P rio rity
010
2
Im m ediate
011
3
Flash
Señal de llam ada
100
4
Flash-O verride
Videoconferencia
101
5
C ritical
Voz
110
6
Internet
111
7
N e tw o rk
Aplicación Datos Datos de m edia prioridad
Datos de alta prioridad
Reservado (intern etw ork control) Reservado(netw ork control)
www.FreeLibros.com
©RA-M A
CAPÍTULO 37. ADMINISTRACIÓN DEL TRÁFICO
809
La siguiente figura muestra la cabecera de 4 bytes 802. lq: Preám bulo
SFD
DA
SA
8Q2.1Q/P Tipo Datos FCS
l TPID 0x8100 16 bits
CFI 1 bit
PRI 3 bits
VLAN ID 12 bits
i CoS
QoS en Frame-Relay y ATM Los estándares de QoS de Frame Relay y ATM fueron definidos y usados antes de que la IETF definiera los estándares QoS actuales. En Frame-Relay por ejemplo se han usado los campos FECN (Forward Explicit Congestión Notification), BECN (Backguard Explicit Congestión Notification) y DE (Discard Elegible) de la cabecera para llevar a cabo tareas de notificación de congestión y notificación de probabilidad de descarte. Una celda ATM tiene un bit CLP (Cell Lost Priority) para indicar la probabilidad de descarte, si va puesto a 0 tendrá menos probabilidad de ser descartado que si va puesto a 1. La siguiente figura muestra el campo DE en la cabecera Frame-Relay: Etiqueta
DLCI
C/R
Frame-Relay
Información
EA | D LCI FECN BE C N
FCS
DE
EA
t D iscard El igibi lity
(Oo 1)
www.FreeLibros.com
Etiqueta
810
©RA-M A
REDES CISCO. CCNP a Fondo
QoS en MPLS Los paquetes MPLS cuentan con una o más etiquetas de 4 bytes. Cada etiqueta MPLS contiene el campo EXP, que es usado para propósitos de QoS. Dicho campo se compone de 3 bits y por lo tanto es compatible con IP Precedence y CoS.
Cabecera MPLS
48 48 Bits Bits
16 ^ Bits
DA
T IP O E T IQ U ETA
SA
20 Bits
3 Bits
1 8 ^ Bits Bits
EXP.
S
TTL
PA Q U E T E IP
/
Campo experimental utilizado para QoS
Originalmente se usaban los 3 bits más significativos (más a la izquierda) del campo TOS, los cuales reciben el nombre de IP Precedence, y dan un total de 8 posibles combinaciones, cuanto más alto el número mayor prioridad. La siguiente figura muestra una cabecera IP y detalla el campo TOS mostrando los posibles valores de IP Precedence. Cabecera IP
ToS 8 B its 3 B its
4 B its
1 Bit
IP Preced ence
www.FreeLibros.com
©RA-M A
CAPÍTULO 37. ADMINISTRACIÓN DEL TRÁFICO
811
IP Precedence Decimal
Binario
Nombre
0
000
Routine
1
001
Priority
2
010
Im m ediate
3
011
Flash
4
100
Flash-Override
5
101
Critical
6
110
7
111
Intem etw ork Control N e tw o rk Control
Los valores 6 y 7 son usados por diferentes protocolos en su tráfico de gestión y no está permitido que se configuren para aplicaciones. La redefinición del byte TOS dio lugar al campo DiffServ, usando los 6 bits más significativos (más a la izquierda), lo que aumenta la flexibilidad y las opciones. Los 2 bits menos significativos son llamadas ECN (Explicit Congestión Notification) y se usan para control del flujo. DSCP (Differentiated Services Code Point) es compatible con IP Precedence, lo que hace que la migración sea más fácil. En la terminología Diffserv, el comportamiento de reenvío asignado a un DSCP se denomina PHB (Per-hop Behavior). El PHB define la precedencia de reenvío que un paquete marcado en relación con otro tráfico del sistema con Diffserv. Esta precedencia determina si el sistema con IP QoS o Diffserv reenvía o descarta dicho paquete. Para un paquete reenviado, cada enrutador Diffserv que el paquete encuentra en la ruta hasta su destino aplica el mismo PHB. La excepción ocurre si otro sistema Diffserv cambia el DSCP.
www.FreeLibros.com
812
©RA-MA
REDES CISCO. CCNP a Fondo
Existen cuatro tipos de PHB con los valores del DSCP: •
Selector de Clase PHB, poniendo a 000 los 3 bits menos significativos del DSCP se obtiene compatibilidad con IP Precedence.
•
PHB por defecto, con los 3 bits más significativos del IP Precedence/DSCP se obtiene un resultado de Best-effort.
•
PHB Assured Forwarding (AF), con los 3 bits más significativos del DSCP puestos a 001, 010, 011o 100 (AF1, AF2, AF3, AF4) se usa para garantizar ancho de banda.
•
PHB Expedite Forwarding (EF), con los 3 bits más significativos del DSCP puestos a 101 (el campo DSCP sería 101110 equivalente a 46 en decimal) se usa para proporcionar un servicio de bajo retardo.
La siguiente tabla muestra el campo configuraciones del DSCP para los distintos PHB: Bits DSCP
DiffServ
y
las
posibles
TIPO
-
-
-
0
0
0
Selector de Clase P H B
0
0
0
-
-
0
P H B por defecto
0
0
1
-
-
0
0
1
0
-
-
0
0
1
1
-
-
0
1
0
0
-
-
0
1
0
1
1
1
0
P H B Assured Forwarding
P H B Expedite Forwarding
El PHB EF proporciona un retardo y jitter bajos, ahora bien, el ancho de banda dedicado para EF ha de ser limitado, sino podría consumir el ancho de banda de las demás clases. EF se debe implementar en colas de prioridad estricta para hacer que los datos se envíen lo más rápido posible.
www.FreeLibros.com
CAPÍTULO 37. ADMINISTRACIÓN DEL TRÁFICO
©RA-MA
813
El equivalente en IP Precedence sería 101 y podría ser usado por dispositivos no preparados para usar DSCP, pero serían compatibles entre sí. El PHB AF proporciona cuatro colas diferentes para cuatro distintas clases de tráfico (AFxy). Para cada cola se hace una reserva de ancho de banda, en caso de que el tráfico exceda ese ancho de banda podría dar lugar a descarte de paquetes. Para prevenir que esto no ocurra se utilizan técnicas como WRED dentro de cada una de las colas, indicando al router qué paquetes descartar en caso de que la cola se empiece a llenar. Dentro de la clase AFxy se especifica la probabilidad de descarte del paquete y puede ser mínima, media o alta (01, 10, 11). Hay que destacar que cuanto menor sea el valor mejor, es decir, menos probabilidad de descarte. Resumiendo, hay dos características dentro del PHB AF: •
Cuatro clases de tráfico son asignadas a cuatro colas, cada una con un ancho de banda mínimo reservado.
•
En cada cola se implementa una técnica para evitar congestión descartando los paquetes elegidos antes de que la cola se llene. Probabilidad de descarte Clase Media
Baja
Clase 1
Clase 2
Clase 3
Clase 4
Alta AF13
AF11
AF12
D S C P 10:
D S C P 12:
(0 0 1 0 1 0 )
(0 0 1 1 0 0 )
A F 21
AF22
AF23
D S C P 18:
D S C P 20:
D S C P 22:
(0 1 0 0 1 0 )
(0 1 01 00)
(0 1 0 1 1 0 )
A F 31 D S C P 26:
A F32
A F 33
D S C P 28:
D S C P 30:
(0 1 1 0 1 0 )
(01.1100)
(0 1 1 1 1 0 )
AF41
A F42
AF43
D S C P 34:
D S C P 36:
D S C P 38:
(1 0 0 0 1 0 )
(1 0 0 1 0 0 )
(1 0 0 1 1 0 )
www.FreeLibros.com
D S C P 14: (00 11 10)
814
REDES CISCO. CCNP a Fondo
©RA-M A
Es importante tener en cuenta los siguientes puntos acerca de AF: •
Existen cuatro clases: AF1, AF2, AF3 y AF4. Ninguna tiene ventaja sobre las otras, dependerá del modo de configuración.
•
Si se utiliza el modelo DSCP, el segundo dígito (y) representa la probabilidad de descarte y es mejor cuanto más bajo, por ejemplo, AF41 tiene menos probabilidad de ser descartado que AF43.
•
Es posible encontrar el valor decimal correspondiente para cada AFxy usando la siguiente fórmula: D SC P (decim al) = 8* + Por ejemplo: A F 21 = ( 8 x 2 ) + ( 2 x 3 ) = 22
•
Cada clase AFx es compatible con un valor de IP Precedence. Así A Fly corresponde con IP Precedence 1, AF2y con IP Precedence 2, AF3y con IP Precedence 3 y AF4y con IP Precedence 4.
•
Durante la implementación hay que reservar el ancho de banda adecuado a cada cola para evitar retraso y descartes. Es posible utilizar herramientas de QoS que limiten el tráfico que va entrando en cada cola para poder llevarlo a cabo.
•
Si existe ancho de banda disponible y la cola AF no está limitada, podría usarlo sobrepasando el límite de lo que tenía reservado.
Hay que tener en cuenta que para poder desplegar QoS de extremo a extremo todos los dispositivos intermedios han de estar configurados y soportar QoS. Esto no es difícil ya que tanto CoS como EXP, IP Precedence, DSCP, etc. pueden ser compatibles entre sí usando los 3 bits de la primera especificación de QoS.
www.FreeLibros.com
©RA-M A
CAPÍTULO 37. ADMINISTRACIÓN DEL TRÁFICO
815
CLASES DE SERVICIO QoS Planificar e implementar una política de QoS involucra 3 pasos: •
Paso 1. Identificar los diferentes tipos de tráfico en la red y sus requerimientos. Es posible la utilización de herramientas como NBAR. Es importante categorizar y documentar los tipos de tráfico según su importancia.
•
Paso 2. Dividir los diferentes tipos de tráfico previamente identificados en clases. Cada clase de servicio estará compuesta por uno o más tipos de tráfico (recibe el nombre de BA) y tendrá un tratamiento diferente. Como ejemplo el siguiente modelo típicamente usado en ISP: o Misión crítica. o Tráfico transaccional. o Best-effort. o Tráfico residual.
•
Paso 3. Definición de las políticas de QoS para cada clase de servicio. Esto requiere un entendimiento de las necesidades de QoS y de las aplicaciones que corren en la red. Como norma general se suelen usar cuatro o cinco clases de tráfico y lo ideal es no asignar demasiadas aplicaciones a las clases de mayor prioridad. Las siguientes son algunas de las clases de tráfico más comunes: o VoIP. o Aplicaciones de misión crítica, por ejemplo, SAP y Oracle. o Aplicaciones de transacción o interactivas, por ejemplo,Telnet o ssh. o Aplicaciones para mover datos, como son FTP o TFTP. o Aplicaciones Best-Effort como por ejemplo www. o Aplicaciones residuales como por ejemplo P2P.
Una tarea requerida durante la implementación de QoS en la red será unir y traducir entre las marcas de CoS, IP Precedence, DSCP y EXP. La tabla siguiente muestra la manera recomendaba por Cisco así como su correspondiente tipo de tráfico:
www.FreeLibros.com
816
REDES CISCO. CCNP a Fondo
©RA-MA
CoS o IP Precedence
DSCP Decimal
DSCP Binario
Best E ffo rt
0
0
000000
Scavenger
1
8
00 10 00
B u lk D a ta
1
AutoQoS
N e tw o rk M anagem ent Telephony Signaling L ocal M issio n C ritical Streaming M e d ia T ra ffic Interactive V id e o T ra ffic
Nombre BE (Best E ffo rt) CS1 (Class Selector 1)
10
001010
A F ll
12
0 0 11 00
A F12
14
0 0 11 10
AF13
2
16
010000
3
26
011010
28
011100
30
011110
32
100000
34
100010
36
100100
AF42
38
100110
A F43
46
101110
EF
3
4
4
C S2 (Class Selector 2)
AF31
A F 32 AF33
C S 4 (Class Selector 4 ) AF41
Interactive V o ice Bearer
5
T ra ffic
FRONTERAS DE CONFIANZA Los dispositivos finales como pueden ser PC, teléfonos IP, switches y routers localizados en diferentes niveles de la jerarquía de la red podrían marcar los paquetes IP o las tramas 802.1Q/P. Una madida importante en el diseño es decidir dónde localizar las fronteras de confianza. Dichas fronteras formarán un perímetro, dentro del cual los diferentes dispositivos respetarán y confiarán en las marcas de QoS realizadas dentro de ese perímetro. Las marcas hechas por dispositivos fuera de ese perímetro son eliminadas o chequeadas. A la hora de decidir dónde colocar la frontera de confianza hay que tener en cuenta que los dispositivos confiables deberían estar dentro de nuestro control administrativo y que dependiendo del dispositivo tendrá capacidad para realizar
www.FreeLibros.com
©RA-M A
CAPÍTULO 37. ADMINISTRACIÓN DEL TRÁFICO
817
unas tareas u otras. Con esto en consideración la frontera de confianza puede ser implementada en una de las siguientes capas: •
Sistema final.
•
Capa de Acceso.
•
Capa de Distribución.
NETWORK BASED APPLICATION RECOGNITION NBAR es una potente herramienta de QoS que permite realizar las siguientes funciones: •
Descubrimiento de protocolos. Reconoce un número limitado de protocolos, pero dicho número puede ampliarse cargando nuevos PDLM (Packet Description Language Modules) en la memoria flash. Dichos PDLM son publicados por Cisco de manera eventual.
•
Recolección de estadísticas de tráfico. Permite identificar aplicaciones y protocolos que están transitando una interfaz en particular, ya sea en dirección de entrada o de salida. Clasificación de tráfico. Puede clasificar tráfico inspeccionando el flujo de tráfico más allá de capa 3 o capa 4.
www.FreeLibros.com
818
©RA-MA
REDES CISCO. CCNP a Fondo
A pesar de tener muchas ventajas, NBAR tiene ciertas limitaciones: •
No soporta interfaces Fast Etherchannel.
•
Sólo puede manejar hasta 24 URL, host, o MIMES de manera simultánea.
•
Solamente analiza los primeros 400 bytes de cada paquete.
•
Sólo funciona si CEF está habilitado.
•
No soporta paquetes multicast, fragmentados y los asociados con tráfico HTTP seguro.
•
No puede analizar tráfico destinado u originado en el router en el que NBAR está configurado, debido a que dicho tráfico no es procesado por CEF.
CONFIGURACIÓN DE NBAR Como primera medida es necesario verificar si es preciso ampliar la lista de protocolos y aplicaciones que NBAR es capaz de reconocer. Será necesario descargar del website de Cisco diferentes PDLM, para lo que será imprescindible el acceso con cuenta CCO. Una vez efectuada la descarga se debe copiar en la flash del router o en un servidor TFTP. El siguiente comando permite instalar el archivo: Router(config)#ip nbar pdlm pdlm-name
El formato del pdlm-name ha de ser tipo URL, por ejemplo, para instalar el archivo desde la flash se utiliza el comando flash://cisco.pdlm; mientras que para instalarlo desde el servidor TFTP, tftp://10.0.0.1/cisco.pdlm. Para modificar el número de puerto asociado a un protocolo o añadir un puerto a la lista de puertos asociada con un protocolo se utiliza el siguiente comando: Router(config)#ip number
nbar
port-map
protocol-name
[tcp
| udp]
port-
Es posible especificar hasta 16 números de puerto adicionales. Para ver la relación actual entre protocolos y puertos se utiliza el siguiente comando:
www.FreeLibros.com
©RA-M A
CAPÍTULO 37. ADMINISTRACIÓN DEL TRÁFICO
819
Router#show ip nbar port-map [protocol-name]
El siguiente ejemplo muestra la salida del comando anterior. Router# show ip nbar portmap port-map bgp tcp 179 port-map dhcp udp 67 68 port-map dns udp 53 port-map dns tcp 53
Para habilitar el descubrimiento de protocolos de NBAR se utiliza el siguiente comando: Router(config-if)#ip nbar protocol-discovery
Para mostrar las estadísticas recopiladas se utiliza el siguiente comando, si no se específica una interfaz mostrará las estadísticas de todas. Router#show ip nbar protocol-discovery
El ejemplo muestra un ejemplo de la salida de este comando. Router# show ip nbar protocol-discovery Ethernet 0/0/0 Input Output Protocol Packet Count Packet Count Byte Count Byte Count 5 minute(bps)5 minute(bps) eigrp
60 3600
0 0
0
0
bgp
0
0
0 0
0 0
Al usar NBAR para clasificar un tipo de tráfico específico es posible utilizarlo dentro de un class map. Para ello se utiliza el modelo de configuración MQC: Router(config-cmap)#match protocol protocol-name
Donde protocol-name se refiere a una aplicación o protocolo soportada por NBAR tal como puede ser www, ip, ftp, ipx, etc.
www.FreeLibros.com
820
©RA-M A
REDES CISCO. CCNP a Fondo
El siguiente ejemplo muestra cómo usar NBAR para identificar tráfico HTTP (clasificarlo en un class map), para posteriormente limitarlo con un policy map y finalmente aplicarlo a una interfaz. Se ha modificado el protocolo para que además del puerto 80 tenga en cuenta el 8080 típicamente usado por proxy. Lo que resume el modelo MQC de configuración de QoS. Finalmente se ha configurado NBAR en la interfaz serial 1/1. ip nbar port-map http tcp 80 8080
¡
class-map www match protocol http
i
policy-map www-ltd-bw class www bandwidth 512
i
interface serial 1/1 ip nbar protocol-discovery service-policy output www-ltd-bw
i
Una de las características más importantes de NBAR es su capacidad de realizar una inspección de los paquetes más allá de capa 3 o 4. La clasificación del tráfico se realiza según los siguientes criterios: •
Clasificación del tráfico basándose en el nombre de la URL o parte de ella.
•
Clasificación del tráfico basándose en el tipo MIME.
•
Clasificación del tráfico de transferencia de archivos entre aplicaciones punto a punto usando expresiones regulares.
•
Clasificación del tráfico basándose en los tipos de datos RTP o en el códec.
Los comandos utilizados dentro del class map para categorizar tráfico acorde a las clasificaciones vistas son los siguientes: Router(config-cmap)#match Router(config-cmap)#match Router(config-cmap)#match Router(config-cmap)#match expression Router(config-cmap)#match payload-type-string]
protocol protocol protocol protocol protocol
http url url-string http host host-name http mime mime-type fasttrack file-transfer regularrtp [audio
| video |payload-type
www.FreeLibros.com
Capítulo 38
ADMINISTRACIÓN DE COLAS Y CONGESTIÓN CONGESTIÓN Y COLAS La congestión ocurre cuando el ritmo con el que llegan los paquetes al router es mayor que el ritmo con el que salen. Esto puede ser causado principalmente cuando la o las interfaces de salida tiene menos capacidad o son más lentas que la interfaz de entrada, como por ejemplo si los paquetes llegan en un enlace de Giga y han de salir por un enlace Ethernet. También podría ocurrir que el tráfico llegase por dos o más interfaces y solamente pudiera salir por una, que tiene menos ancho de banda que las de entrada. Los dispositivos de red pueden reaccionar de diferentes maneras ante una congestión. Para situaciones en que la congestión sea permanente habría que pensar en un incremento del ancho de banda, pero para situaciones donde la congestión es temporal es posible implementar diferentes técnicas de encolamiento, que se pueden elegir dependiendo del objetivo que se busque. Si una cola está llena y le llegan nuevos paquetes, se produce un fenómeno conocido como tail drop. Dicho fenómeno hace que mientras la cola esté llena los paquetes entrantes sean descartados a medida que llegan. Para evitar la caída o el tail drop ciertos paquetes que están en la cola se descartan para evitar que todos los nuevos paquetes entrantes sean descartados. La elección de qué paquetes serán descartados dependerá del tipo de cola. Por defecto todas las interfaces, excepto aquellas con una velocidad de 2,048 Mbps o menos, usan un sistema FIFO (First In, First Out).
www.FreeLibros.com
822
©RA-M A
REDES CISCO. CCNP a Fondo
La arquitectura de encolamiento en una interfaz está compuesta por dos componentes, la cola de software y la cola de hardware (TxQ). Si la cola de hardware no se llena, no habrá paquetes en la cola de software. Pero si la cola de hardware estuviera congestionada o llena, entonces los paquetes se almacenarían en la cola de software y serían procesados por el mecanismo de encolamiento que hubiera implementado (FIFO, PQ, CQ, RR, LLQ, etc.) para posteriormente ser pasados a la cola de hardware, que siempre usa un mecanismo FIFO. El mecanismo de encolamiento por software normalmente cuenta con un determinado número de colas, cada una perteneciente a una clase de tráfico, donde los paquetes son asignados una vez que llegan a la interfaz. En caso de que la cola esté llena los paquetes son descartados directamente (tail drop). Si no existieran las colas de software todo el tráfico sería encolado a través de la cola de hardware que siempre es FIFO, de manera que ciertas aplicaciones sufrirían más que otras y no habría manera de dar un trato adecuado al tráfico. En caso de configurar la cola de hardware con un valor demasiado grande se obtendría un resultado similar al mencionado anteriormente; mientras que si la cola de hardware es demasiado pequeña se llenará pronto y los nuevos paquetes serán asignados más rápidamente a la cola de software, que dependiendo de su configuración les dará un trato u otro. Se recomienda no cambiar la configuración de la cola de hardware a no ser que sea necesario, el comando tx-ring-limit modifica el modo de configuración de la cola en la interfaz. Podemos ver el tamaño de la cola de hardware con el comando show controllers. controllers Interface EOBCO Hardware is DEC21143 dec21140_ds=0x6107CA20, registers=0x3C018000, ib=0x78A7380 rx ring entries=128, tx ring entries=256, af setup failed=0 rxring=0x78A7480, rxr shadow=0x6107CC0C, rx_head=6, rx_tail=0 txring=0x78A7CC0, txr shadow=0x6107CE38, tx_head=18, tx_tail=18, tx_count=0 PHY link up CSR0=0xF8024882/ CSRl=OxFFFFFFFF, CSR2=0xFFFFFFFF, CSR3=0x78A7480 CSR4=0x78A7CC0, CSR5=0xF0660000, CSR6=0x320CA002, CSR7=0xF3FFA261 CSR8=0xE0000000, CSR9=0xFFFDC3FF, CSRlO=OxFFFFFFFF, CSRll=0x0 CSRl2=0xC6, CSRl3=0xFFFF0000, CSRl4=0xFFFFFFFF, CSRl5=0x8FF80000 DEC21143 PCI registers: bus_no=0, device_no=6 CFID=0x00191011, CFCS=0x02800006, CFRV=0x02000041, CFLT=0x0000FF00 CBIO=OxO1124401, CBMA=0x48018000, CFIT=0x28140100, CFDD=0x00000400
R o u te r # s h o w
www.FreeLibros.com
©RA-M A
CAPÍTULO 38. ADMINISTRACIÓN DE COLAS Y CONGESTIÓN
823
Mil registers: Register 0x00: FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF Register 0x08: FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF Register 0x10: FFFF FFFF FFFF FFFF FFFF FFFF FFFF FFFF Register 0x18: throttled==0, enabled=0, disabled=0 rx_fifo_overflow=0, rx_no_enp=0, rx_discard=0 tx_underrun_err=0, tx_jabber_timeout=0, tx_carrier_loss=0 tx_no_carrier=0, tx_late_collision=0, tx_excess_coll=0 tx_collision_cnt=26, tx_deferred=0, fatal_tx_err=0, tbl_overflow=0 HW addr filter: 0x78Dl0E0, ISL Disabled Entry= 0: Addr=0000.0000.0000 Entry= 1: Addr=0000.0000.0000 Entry= 2: Addr=0000.0000.0000 Entry= 3: Addr=0000.0000.0000 Entry= 4: Addr=0000.0000.0000 Entry= 5: Addr=0000.0000.0000 Entry= 6: Addr=0000.0000.0000 Entry= 7: Addr=0000.0000.0000
First In First Out FIFO (First In First Out) es el mecanismo con que la cola de hardware siempre procesa los paquetes. Las colas de software se utiliza por defecto en interfaces de velocidad igual a 2,048 Mbps o inferior, como pueden ser las E l. La configuración no es compleja, un sólo comando basta para habilitarla, y los paquetes simplemente llegan, se ponen en la cola y esperan a ser enviados, el primero en llegar será el primero en salir. La clase de paquete o la prioridad no importan, simplemente importa quién llega primero. Esto puede ocasionar un problema debido a que algunas aplicaciones de descarga como FTP pueden saturar en enlace evitando el paso de paquetes de VoIP o dejando pasar solamente algunos, causando que las llamadas suenen entrecortadas o que incluso se caigan.
Priority Queuing PQ (Priority Queuing) tiene cuatro colas de prioridad disponibles: 1. Alta 2. Media 3. Normal 4. Baja
www.FreeLibros.com
824
©RA-MA
REDES CISCO. CCNP a Fondo
Es necesario determinar qué paquetes estarán en cada una de ellas, si no se configuran serán asignadas por defecto a la normal. Como mecanismo para clasificar paquetes dentro de las colas normalmente se usan ACL. Siempre que haya paquetes dentro de la cola de prioridad alta serán enviados hasta que esté vacía, entonces, el algoritmo enviará un paquete de la cola de prioridad media, para después volver a la cola de prioridad alta; en caso de que no tenga nada volverá a la cola de prioridad media, y en caso de que ésta tampoco tenga nada irá a la cola de prioridad normal para enviar un sólo paquete y volver a la cola de prioridad alta, y así sucesivamente. PQ siempre prioriza el tráfico de la cola de prioridad alta, no dando lugar a enviar paquetes en las otras hasta que esté vacía, por lo tanto hay que configurar este tipo de cola con precaución. Con el comando priority-list se puede definir el tráfico que irá destinado dentro de cada una de las colas. R R R R R R R R R
o u t e r ( c o n f i g )#access-list 101 permit ip any any precedence o u t e r ( c o n f ig)#access-list 102 permit ip any any precedence o u t e r ( c o n f i g )#access-list 103 permit ip any any precedence o u t e r ( c o n f ig)#priority-list 1 protocol ip high list 101 o u t e r ( c o n f ig)#priority-list 1 protocol ip médium list 102 o u t e r ( c o n f i g )#priority-list 1 protocol ip normal list 103 o u t e r ( c o n f i g )#priority-list 1 default low o u t e r ( c o n f i g ) #inter f ace EthernetO o u t e r ( c o n f i g - i f ) #priority-group 1
5 tos 12 4 3
Round Robín En el método RR (Round Robin) existen un conjunto de colas a las que se les asignan distintos tipos de tráfico; el concepto es enviar un paquete de cada una y pasar a la siguiente, así sucesivamente. Se empieza desde la primera, se envía un paquete y se pasa a la segunda, a la tercera, hasta llegar a la última y empezar de nuevo. Es un método equitativo pero si una de las colas tuviera paquetes de mayor tamaño que las otras estaría disfrutando de más prioridad, al estar enviando más cantidad de datos en cada tumo. No es posible priorizar tráfico con este método debido a que todas las colas son tratadas igualmente.
Weighted Round Robin WRR (Weighted Round Robin) es una versión modificada de RR en la que se pueden asignar pesos a las colas, haciendo que esos valores correspondan con el ancho de banda que tienen permitido utilizar, de esta manera se pueden favorecer a determinadas colas para que puedan enviar más cantidad de datos que otras durante su tumo.
www.FreeLibros.com
©RA-M A
CAPÍTULO 38. ADMINISTRACIÓN DE COLAS Y CONGESTIÓN
825
La configuración de WRR debe ser cuidadosa, se puede incurrir en el error de no estar dividiendo el ancho de banda exactamente como se piensa. Por ejemplo, en una interfaz con una MTU de 1500 bytes (Ethernet por defecto) donde se ha configurado Custom Queue (CQ), que es un mecanismo de encolamiento basado en WRR. Se han creado dos colas para procesar 3000 bytes de cada cola por tumo, la primera cola envía dos paquetes de 1500 bytes cada uno y pasa el tumo a la segunda cola, que tiene esperando tres paquetes, el primero es de 1500 bytes, el segundo es de 1400 y el tercero es de 1500. Al sumar los dos primeros encuentra que todavía hay espacio y añade el tercero, como consecuencia hay un exceso de 1400 bytes durante su tumo.
WEIGHTED FAIR QUEUING WFQ (Weighted Fair Queuing) es el método de encolamiento por defecto en los router Cisco para interfaces serial de 2,048 Mbps (El) o inferiores y es utilizado por CBWFQ y LLQ. o, WFQ realiza las siguientes funciones: •
Divide el tráfico en flujos.
•
Proporciona una cantidad de ancho de banda justo a los flujos activos.
•
Hace que los flujos con poco volumen de tráfico sean despachados más rápido.
•
Proporciona más ancho de banda a los flujos con más prioridad.
WFQ elimina los problemas de retraso, jitter, sobre utilización de un flujo que posee FIFO y la sobre utilización de la cola de prioridad en el sistema PQ. WFQ es un algoritmo basado en flujos, los paquetes llegan y son categorizados en diferentes tipos de flujos asignados a diferentes colas FIFO. Los flujos pueden ser identificados según a lo siguiente: •
Dirección IP de origen.
•
Dirección IP de destino.
•
Número de protocolo.
•
Campo ToS.
www.FreeLibros.com
826
©RA-MA
REDES CISCO. CCNP a Fondo
•
Número de puerto de origen TCP/UDP.
•
Número de puerto de destino TCP/UDP.
Un cifrado o hash es generado basándose en los valores previos y como todos los paquetes pertenecientes a un determinado flujo tendrán el mismo hash, serán por lo tanto asignados a la misma cola. WFQ no funciona con interfaces túneles o con encriptación debido a que el algoritmo ha de acceder a los campos de la cabecera del paquete para calcular el hash. Hay que tener en cuenta que dependiendo de cómo esté de llena la cola de la interfaz, y a su vez de si está dentro del umbral de descarte, el paquete podría ser descartado. A los paquetes que entran en la cola se les asigna un número de secuencia. En caso de que todos los flujos tengan el mismo peso y el mismo nivel de prioridad, WFQ divide equitativamente el ancho de banda de la interfaz entre los diferentes flujos. Como resultado los flujos con poco volumen de tráfico son enviados rápidamente a la cola de hardware mientras que los flujos con alto volumen de tráfico construyen sus correspondientes colas y esperan a ser enviados. El número de colas es dinámico y depende del número de flujos, WFQ se encarga de añadir o borrar colas cuando sea necesario. La cantidad de colas está limitada por defecto para permitir hasta 256, pero es posible modificar la configuración y cambiar los valores entre 16 y 4096 (potencia de 2). Los flujos dinámicos WFQ permiten hasta 8 colas para paquetes del sistema y hasta 1000 colas para flujos RSVP. En caso de que se excediera el número de flujos activos se asignarían a colas ya existentes, pero habría que plantearse entonces otro sistema de encolamiento. WFQ posee una cola de contención para todos los paquetes de todos los flujos y su valor es el resultado de la suma de todos los paquetes presentes en la arquitectura WFQ. Si un paquete llegara cuando la cola de contención está llena sería descartado. Este mecanismo es denominado “descarte agresivo”. Hay una excepción, y es que si el paquete fuera asignado a una cola vacía se evitaría que fuese descartado. Cada cola dentro de WFQ cuenta con un umbral de descarte denominado Congestive Discard Threshold (CDT). Dicho CDT se usa para el “descarte temprano” y funciona de la siguiente manera: cuando llega un nuevo paquete y la cola no está llena pero se ha alcanzado el umbral CDT, se comprueba el número de
www.FreeLibros.com
>
©RA-M A
CAPÍTULO 38. ADMINISTRACIÓN DE COLAS Y CONGESTIÓN
827
secuencia del paquete entrante con el de otros paquetes, si se encuentra otro paquete en esa cola u otra con un número de secuencia mayor que el del paquete entrante, se descarta el del número y secuencia más altos. WFQ da números de secuencia altos a paquetes procedentes de flujos de alta demanda de ancho de banda, como por ejemplo uno proveniente de una descarga FTP. WFQ tiene los siguientes beneficios: • • •
La configuración es simple y no hace falta clasificar previamente. Se garantiza que todas las colas podrán enviar paquetes. Se descartan paquetes en flujos de tráfico agresivos y se agiliza los no agresivos.
•
Es un protocolo estándar.
WFQ tiene las siguientes desventajas: •
El sistema de clasificación y la programación de la salida de los paquetes de la cola no puede ser modificada.
•
Solamente es soportado en enlaces lentos (hasta 2,048 Mbps).
•
No se garantiza prevención del retraso o un ancho de banda mínimo para ningún flujo.
•
Podría darse el caso de que múltiples flujos fueran asignados a la misma cola.
Configuración y monitorización de WFQ WFQ está habilitado por defecto en interfaces seriales que tengan un ancho de banda igual o menor a 2,048 Mbps. Para deshabilitarlo y habilitarlo nuevamente se utiliza el comando fair queue. Los siguientes comandos muestran los parámetros opcionales WFQ: Router(config-if)#fair-queue [cdt [dynamic-queues [reservablequeues]]] Router(config-if)#hold-queue max-limit out
El segundo comando sirve para configurar el máximo número de paquetes que una interfaz puede almacenar en su cola de software de salida.
www.FreeLibros.com
828
©RA-M A
REDES CISCO. CCNP a Fondo
El parámetro cdt indica el umbral de paquetes permitidos en cada cola antes de comenzar a descartar, por defecto es 64 y puede configurarse con valores de potencia de 2 entre 16 y 4096. El parámetro dynamic-queues permite indicar el máximo número de colas dinámicas que se pueden generar en valores entre 16 y 4096, por defecto es 256. El parámetro reservable-queues establece el número de colas reservadas, por defecto es 0 y podemos configurarlo con valores entre 0 y 1000. Se usa por ejemplo en interfaces configuradas con RSVP. Para ver la configuración de WFQ se utiliza el comando show interface: Router#show interfaces serial 1/0 Seriall/0 is up, line protocol is up Hardware is CD2430 in sync mode MTU 1500 bytes, BW 128000 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation FRAME-RELAY, loopback not set Keepalive not set LMI DLCI 1023 LMI type is CISCO frame relay DTE FR SVC disabled, LAPF state down Broadcast queue 0/64, broadcasts sent/dropped 105260/0, interface broadcasts 9 2894 Last input 00:00:00, output 00:00:02, output hang never Last clearing of "show interface" counters 2d20h Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops:
0 Queueing strategy: weighted fair _ Output queue: 0/1000/64/0 (size/max total/threshold/drops) ! Conversations Q/10/256 (active/max active/max total)
5 minute input rate 2000 bits/sec, 1 packets/sec 5 minute output rate 2 000 bits/sec, 0 packets/sec 228008 packets input, 64184886 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 218326 packets output, 62389216 bytes, 0 underruns 0 output errors, 0 collisions, 3 interface resets 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up
El comando show queue interface muestra información más detallada: Router# show queue atm2/0.33 ve 33 Interface ATM2/0.33 VC 0/33 Queueing strategy: wei> Total output drops per VC: 18149 Output queue: 57/512/64/18149 (size/max total/threshold/drops) Reserved Conversations 3/3 (allocated/max allocated)
www.FreeLibros.com
©RA-M A
CAPÍTULO 38. ADMINISTRACIÓN DE COLAS Y CONGESTIÓN
829
(depth/weight/discards/tail drops/interleaves) 29/4096/7908/0/0 Conversation 264, rinktype: ip, length: 254 source: 10.1.1.1, destination: 10.0.2.20, id: 0x0000, ttl: 59, TOS: 0 prot: 17, source port 1, destination port 1 (depth/weight/discards/tail drops/interleaves) 28/4096/10369/0/0 Conversation 265, linktype: ip, length: 254 source: 10.1.1.1, destination: Í0.0.2.20, id: 0x0000, ttl: 59, TOS: 32 prot: 17, source port 1, destination port 2
CLASS BASED WEIGHTED FAIR QUEUING CBWFQ (Class Based Weighted Fair Queuing) permite la definición manual de clases, cada una de las cuales es asignada a su propia cola. Dichas clases se definen mediante el uso de class maps. Cada una de las colas tiene definido un mínimo de ancho de banda que puede utilizar, pero como su propio nombre indica, es un mínimo, en caso de haber más ancho de banda libre podría emplearlo. CBWFQ permite la creación de hasta 64 colas, cada una de las cuales es del tipo FIFO, con un ancho de banda garantizado y un límite máximo de paquetes, que en caso de ser alcanzado produciría un tail drop, aunque podría evitarse con métodos avanzados como WRED. Además de estas posibles 64 colas existe una denominada clase por defecto (class-default) que usa un método de encolamiento WFQ y que si no se especifica lo contrario le será asignado el ancho de banda restante, al igual que el resto de las colas permite usar WRED. Existen plataformas como los 7500 que permiten configurar incluso otras 64 colas con WFQ en vez de FIFO. CBWFQ tiene los siguientes beneficios: •
Permite la definición de clases de tráfico mediante el uso de class maps.
•
Permite la reserva de ancho de banda por cada clase de tráfico basándose en ciertos criterios.
•
Proporciona granularidad al permitir definir hasta 64 clases diferentes de flujos de tráfico.
La desventaja de CBWFQ es que no incorpora ningún mecanismo para favorecer el tráfico en tiempo real de aplicaciones como VoIP o vídeo.
www.FreeLibros.com
830
©RA-M A
REDES CISCO. CCNP a Fondo
Clasificación, programación y garantía de ancho de banda La clasificación del tráfico en CBWFQ se realiza mediante MQC, usando class maps. Las posibilidades de clasificación dependen de la versión de IOS, tipo de interfaz, encapsulación, etc. La garantía de ancho de banda ofrecida en cada una de las colas está basada en una de estas tres posibles asignaciones: •
Ancho de banda: utilizando el comando bandwidth se puede reservar una cierta cantidad de ancho de banda (medido en Kbps) para la clase. Este ancho de banda es tomado del disponible en la interfaz. Por defecto el máximo ancho de banda disponible en una interfaz es el 75% del ancho de banda total de la misma, pero es modificable mediante el comando max-reserved-bandwidth.
•
Porcentaje de ancho de banda: utilizando el comando bandwidth percent se puede reservar una cantidad de ancho de banda de manera porcentual al ancho de banda disponible en la interfaz. Se puede sobrescribir el ancho de banda de una interfaz con el comando bandwidth.
•
Porcentaje del ancho de banda que queda: utilizando el comando bandwidth remaining percent es posible asignar a una clase determinada cierta cantidad del ancho de banda sobrante en la interfaz. Cualquiera que sea esta cantidad será restada de la porción de ancho de banda disponible del ancho de banda total de dicha interfaz.
El comando max-reserved-bandwidth se configura a nivel de interfaz, su valor por defecto es 75, lo que significa que el 75% del ancho de banda disponible de la interfaz puede ser reservado. Para calcular el ancho de banda disponible se multiplica el ancho de banda de la interfaz por el ancho de banda reservado y restando a ese resultado todas las reservas hechas. Por defecto al reservar un 75% del ancho de banda de la interfaz queda un 25% para tráfico de control como puede ser CDP, por ejemplo. Si existe la necesidad de modificar este valor habría que hacerlo conociendo los posibles resultados.
www.FreeLibros.com
© RA-MA
CAPÍTULO 38. ADMINISTRACIÓN DE COLAS Y CONGESTIÓN
831
Configuración y monitorización de CBWFQ El primer paso en la configuración CBWFQ es definir las clases de tráfico mediante el uso de class maps, como muestra la siguiente sintaxis: ¡
class-map Transacciones match access-group 100
i
class-map Aplicaciones match access-group 101
i
El segundo paso es crear un policy-map para asociar los class-maps y donde se configurarán las opciones específicas para cada cola, como muestra la siguiente sintaxis:
¡ policy-map Politicas-empresariales class Transacciones Bandwidth 128 queue-limit 50 class Aplicaciones bandwidth 256 queue-limit 90 class class-default fair-queue 16
Por último se aplica el policy-map a una interfaz a través del comando service-policy a nivel de interfaz: interface serial 1/0 service-policy output Politicas-empresariales
Para ver la información relativa a un policy-map se utiliza el comando show policy-map interface: Router# show policy-map interface el/1 Ethernetl/1 output : pol Weighted Fair Queueing Class classl Output Queue: Conversation 264 Bandwidth 937 (kbps) Max Threshold 64 (packets) (total/discards/tail drops) 11548/0/0 Class class2 Output Queue: Conversation 265 Bandwidth 937 (kbps) Max Threshold 64 (packets) (total/discards/tail drops) 11546/0/0 Class class3
www.FreeLibros.com
832
REDES CISCO. CCNP a Fondo
©RA-M A
Output Queue: Conversation 266 Bandwidth 937 (kbps) Max Threshold 64 (packets) (total/discards/tail drops) 11546/0/0
LOW LATENCY QUEUING Hasta ahora no se ha tratado ningún mecanismo de encolamiento que cubriera las necesidades que tienen las aplicaciones en tiempo real. LLQ (Low Latency Queuing) cuenta con una cola de prioridad estricta que es usada para aplicaciones en tiempo real que son sensitivas al retraso y al jitter. Pero a diferencia de QC por ejemplo, en LLQ esta cola está limitada, impidiendo así que anule a las demás. Para lograr un mecanismo, se le asigna un ancho de banda a la cola, pero limitando su uso. En caso de que haya congestión LLQ sólo usará el ancho de banda que se le ha asignado, permitiendo así que las demás colas también puedan enviar. Este sistema es similar a CBWFQ pero difiere en la adición de colas de prioridad estricta con el uso del comando strict-priority. Se debe tener en cuenta que son posibles más de una cola de prioridad estricta, siendo dos usadas en muchos casos para VoIP y vídeo. LLQ ofrece todos los beneficios de CBWFQ y además proporciona una o más colas de prioridad estricta que garantizarán ancho de banda a aplicaciones sensitivas al retraso y al jitter. Dichas colas no evitarán que el resto puedan seguir transmitiendo durante períodos de congestión ya que estarán limitadas.
Configuración y monitorización de LLQ La configuración es casi idéntica a la de CBWFQ excepto por el uso del parámetro priority en vez de bandwidth. router(config-pmap-c)#priority bandwidth {bur s t } router(config-pmap-c)#priority percent percentage {burst}
El parámetro burst se refiere a ráfagas temporales y se mide en bytes. Se puede definir un valor entero de entre 32 a 2000000. De esta manera permitirá de manera temporal ráfagas (tráfico por encima del ancho de banda limitado) de hasta la cantidad de bytes configurados. router(config)# policy-map empresarial router(config-pmap)# class voz router(config-pmap-c)# priority 50 router(config-pmap)# class negocio router(config-pmap-c)# bandwidth 200
www.FreeLibros.com
© RA-MA
CAPÍTULO 38. ADMINISTRACIÓN DE COLAS Y CONGESTIÓN
833
router(config-pmap)# class class-default router(config-pmap-c)# fair-queue
Para monitorizar LLQ se utiliza el comando show policy-map interface: router# show policy-map interface serial 1/0 Seriall/0 Service-policy output: A W I D (2022) Class-map: supercontrol (match-all) (2035/5) 4253851 packets, 306277272 bytes 1 minute offered rate 499000 bps, drop rate 0 bps Match: ip dscp 46 (2037) Strict Priorit^ Output Queue: Conversation 264 Bandwidth 500 (kbps) (pkts matched/bytes matched) 4248148/305866656 (total drops/bytes drops) 5/3jj0 Class-map: control (match-all) (2023/2) 251162 packets, 375236Ó28 bytes 1 minute offered rate 612000 bps, drop rate 0 bps Match: ip dscp 18 20 22 (2025) Weighted Fair Queueing Output Queue: Conversation 265 Bandwidth 25 (%) (pkts matched/bytes matched) 3/4482 (depth/total drops/no-buffer drops) 0/0/0 mean queue depth: 0 Dscp Random drop Tail drop Minimum Máximum Mark (Prec) pkts/bytes pkts/bytes threshold threshold probability 0(0) 0/0 0/0 20 40 1/10 1 0/0 0/0 22 40 1/10 2 0/0 0/0 24 40 1/10 3 0/0 0/0 26 40 1/10 4 0/0 0/0 28 40 1/10 ( . . .up to DSCP 63..... ) 61 0/0 0/0 30 40 1/10 62 0/0 0/0 32 40 1/10 63 0/0 0/0 34 40 1/10 rsvp 0/0 0/0 36 40 1/10
4719109 packets, 1000522466 bytes 1 minute offered rate 1625000 bps, drop rate 0 bps Match: any (2041) 4719109 packets, 1000522466 bytes 1 minute rate 1625000 bps
www.FreeLibros.com
834
©RA-M A
REDES CISCO. CCNP a Fondo
EVITANDO LA CONGESTIÓN Evitar la congestión engloba una serie de mecanismos de QoS que sirven para que no se produzca el fenómeno tail drop, es decir, para evitar en la medida de lo posible que se descarten paquetes. Dichos mecanismos pueden ser RED, WRED y CBWRED.
Limitaciones de tail drop El fenómeno tail drop ocurría cuando llegaban nuevos paquetes a una cola llena, la que simplemente los descarta ante la imposibilidad de encolarlos. Tail drop tiene consecuencias nefastas en flujos de datos TCP. Una de ellas es la sincronización global de TCP. Cuando Tail drop ocurre, los flujos de datos TCP (asumiendo que hay varios) se detienen y reducen su tamaño de ventana simultáneamente, a esto se le conoce como slow start. A partir de este proceso la utilización de la interfaz baja notablemente, está menos congestionada y aumenta el ancho de banda disponible. Siguiendo el comportamiento natural de TCP, los flujos de datos empiezan a aumentar el tamaño de ventana. En un período de tiempo la interfaz volverá a estar congestionada y el ciclo se repetirá de nuevo. Utilización del enlace
El resultado de la sincronización global de TCP es pasar de períodos de congestión a períodos de baja utilización de la interfaz, ambos casos son no deseados. Este fenómeno solamente afecta a flujos de tráfico TCP y durante este proceso, los flujos de tráfico UDP o tráfico no IP, si los hubiera, tomarían ventaja y utilizando el ancho de banda disponible después de un período de congestión, dejarían a los flujos TCP quizás fuera de juego.
www.FreeLibros.com
©RA-M A
CAPÍTULO 38. ADMINISTRACIÓN DE COLAS Y CONGESTIÓN
835
Random Early Detection RED (Random Early Detection) es un mecanismo que previene el tail drop descartando paquetes de manera aleatoria antes de que éste se produzca. La cantidad de paquetes que son descartados crece a medida que va creciendo el tamaño de la cola de la interfaz. RED no diferencia entre flujos y simplemente descarta aleatoriamente; estadísticamente hablando la idea es que descartará más paquetes provenientes de flujos agresivos. Ya que RED no descarta paquetes de todos los flujos, no todas las conexiones TCP frenarán y acelerarán al mismo tiempo, provocando la sincronización global. RED sólo es efectivo cuando la mayor parte de los flujos de datos son TCP, ya que el resto de los flujos no disminuirían ante un descarte de paquetes por parte de RED. RED determina cuándo descartar paquetes basándose en dos valores, el umbral mínimo y el umbral máximo. Cuando el tamaño de la cola es menor que el umbral mínimo no se produce ningún descarte. Si el tamaño de la cola es superior al umbral mínimo e inferior al umbral máximo, se produce un descarte aleatorio de paquetes. Si el tamaño de la cola es superior al umbral máximo, se descartan todos los paquetes. El descarte aleatorio de paquetes que se produce entre el umbral mínimo y máximo es calculado en base a un valor llamado denominador de probabilidad de marca (MPD) y se descartarán 1 de cada cierta cantidad de MDP. Por ejemplo, si el valor del MPD se establece en 10 y el tamaño de la cola tiene establecido un umbral mínimo y máximo, RED descartará 1 de cada 10 paquetes. Las figuras muestran el comportamiento de un flujo de datos TCP con y sin RED: Utilización del enlace
www.FreeLibros.com
836
©RA-M A
REDES CISCO. CCNP a Fondo
Utilización del enlaoe
El valor umbral mínimo no debería ser demasiado bajo, para no empezar a descartar paquetes innecesariamente. La diferencia entre el valor mínimo y el valor máximo tampoco debería ser muy baja, para que RED pueda prevenir la sincronización global de TCP.
Weighted Random Early Detection WRED (Weighted Random Early Detection) funciona de manera similar a RED, pero con la capacidad añadida de poder decidir qué tráfico descartar en caso de que fuera necesario. Con WRED es posible configurar diferentes perfiles (umbral mínimo, máximo y MPD) para dar más prioridad a unos flujos de tráfico que a otros. La prioridad se basa en los valores IP Precedence o DSCP. En el siguiente ejemplo el umbral mínimo para tráfico con valores IP Precedence de 3, 4, y 5 está puesto a 26, mientras que el umbral mínimo para tráfico con valores IP Precedence 6 y 7 está puesto a 32. El umbral mínimo para tráfico RSVP es 38. El umbral máximo es 40 para todos y el MPD es 10. Probabilidad de descarte enlace
www.FreeLibros.com
©RA-M A
CAPÍTULO 38. ADMINISTRACIÓN DE COLAS Y CONGESTIÓN
837
WRED considera el tráfico RSVP sensitivo a los descartes, de manera que el tráfico que no sea RSVP es descartado primero. Por otra parte, los flujos de tráfico no IP son considerados menos importantes que los IP y se empiezan a descartar antes. WRED no debe aplicarse a colas de tráfico VoIP, ya que dicho tráfico es extremadamente sensitivo a los descartes de paquetes y daría lugar a conversaciones entrecortadas, además de tratarse de tráfico UDP.
Class Based Wighted Random Early Detection CBWRED (Class Based Wighted Random Early Detection) es el resultado de aplicar WRED a las clases de CBWFQ descriptas en párrafos anteriores.
Configuración de CBWRED Para habilitar CBWRED en una interfaz se utiliza el comando randomdetect. Por defecto se emplea IP Precedence, por lo tanto existen 8 perfiles disponibles, mientras que con DSCP existen 64 posibles perfiles. El tráfico que no sea IP será categorizado como valor de IP Precedence 0. CBWRED no puede ser configurado en una interfaz simultáneamente con CQ, PQ o WFQ. CBWRED se configura a través del comando random-detect en cada una de las clases del policy-map. Por cada valor de IP Precedence o DSCP es posible configurar un perfil con un umbral mínimo, máximo y un MPD. Con el tamaño por defecto de la cola de contención (hold-queue) en el rango de 0 a 4096 el umbral mínimo será 1 y el máximo 4096. Por defecto el MPD será 10. Los comandos para configurar WRED basado en DSCP y los perfiles respectivos son los siguientes: R o u t e r ( r o u t e r - p o l i c y - c ) # random-detect R o u t e r ( r o u t e r - p o l i c y - c )#random-detect
dscp-based dscp dscp-value min-threshold
max-threshold mark-prob-denominator R o u t e r ( r o u t e r - p o l i c y - c )#random-detect precedence min-threshold max-threshold mark-prob-denominator '
precedence-value
Al aplicar WRED a cada una de las colas se modifica el comportamiento por defecto tail drop. Además, dentro de cada cola WRED puede haber un perfil diferente para cada valor de IP Precedence o DSCP, como se muestra en los siguientes ejemplos: class-map Negocios match ip precedence 3 4 class-map Bulk match ip precedence 1 2
www.FreeLibros.com
838
REDES CISCO. CCNP a Fondo
©RA-MA
i policy-map Organización class Negocios bandwidth percent 30 random-detect random-detect precedence 3 26 40 random-detect precedence 4 28 40 class Bulk bandwidth percent 20 random-detect random-detect precedence 1 22 36 random-detect precedence 2 24 36 class class-default fair-queue random-detect class-map Negocios match ip dscp af21 af22 af23 cs2 class-map Bulk match ip dscp afll afl2 afl3 csl
10 10
10 10
i
policy-map Organización class Negocios bandwidth percent 30 random-detect dscp-based random-detect dscp af21 32 40 10 random-detect dscp af22 28 40 10 random-detect dscp af23 24 40 10 random-detect dscp cs2 22 40 10 class Bulk bandwidth percent 20 random-detect dscp-based random-detect dscp afll 32 36 10 random-detect dscp afl2 28 36 10 random-detect dscp afl3 24 36 10 random-detect dscp csl 22 36 10 class class-default fair-queue random-detect dscp-based
Las estadísticas de los paquetes se pueden ver con el comando show policy-map interface: show policy-map interface serial3/l Serial3/1
R o u te r#
S e r v ic e - p o lic y o u tp u t: s a m p le - p o lic y C la s s - m a p : v o i p ( m a t c h - a ll)
0 packets, 0 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: ip precedence 5 Weighted Fair Queueing Strict Priority Output Queue: Conversation 264
www.FreeLibros.com
©RA-M A
CAPÍTULO 38. ADMINISTRACIÓN DE COLAS Y CONGESTIÓN
Bandwidth 128 (kbps) Burst 3200 (Bytes) (pkts matched/bytes matched) 0/0 (total drops/bytes drops) 0/0 Class-map: oro (match-all) 0 packets, 0 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: ip precedence 2 W e ig h t e d F a i r O u tp u t Q ueue:
Q u e u e in g C o n v e r s a tio n
265 Bandwidth 100 (kbps) Max Threshold 64 (packets) ( p k t s m a t c h e d / b y t e s m a tc h e d ) (d e p th / to ta l d ro p s / n o -b u ffe r C la s s -m a p :
p la t a
0/0 d ro p s)
0/0/0
( m a t c h - a ll)
0 packets, 0 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: ip precedence 1 W e ig h t e d F a i r
Q u e u e in g
Output Queue: Conversation 266 Bandwidth 80 (kbps) (pkts matched/bytes matched) 0/0 (depth/total drops/no-buffer drops) 0/0/0 exponential weight: 9 mean queue depth: 0 c la s s
T r a n s m itt e d
Random d r o p
T a il
pkts/bytes pkts/bytes pkts/bytes 20 0/0 0 0/0 0/0 22 0/0 1 0/0 0/0 24 2 0/0 0/0 0/0 26 0/0 0/0 3 0/0 28 4 0/0 0/0 0/0 30 0/0 0/0 5 0/0 32 0/0 6 0/0 0/0 34 0/0 0/0 7 0/0 36 0/0 0/0 rsvp 0/0
d r o p M in im um Máximum M a rk
thresh 40 40 40 40 40 40 40 40 40
C la s s - m a p : c l a s s - d e f a u l t (m a tc h -a n y ) 0 p a c k e ts , 0 b y te s 5 m in u t e o f f e r e d r a t e 0 b p s , d r o p M a tch :
any
www.FreeLibros.com
thresh prob 1/10 1/10 1/10 1/10 1/10 1/10 1/10 1/10 1/10
ra te
0 bps
www.FreeLibros.com
Capítulo 39
MANIPULACIÓN DEL TRÁFICO Y EL ENLACE CONTROL Y MANIPULACIÓN DEL TRÁFICO Existen dos mecanismos para amoldar el tráfico a las necesidades de la red. Ambos miden la cantidad de tráfico y lo comparan con una política o un acuerdo de nivel de servicio (SLA). SLA (Service Level Agreement) es utilizado normalmente por las empresas o ISP en lo que respecta al manejo de ancho de banda, tráfico, disponibilidad, fiabilidad, etc. Cuando dicho SLA (Service Level Agreement) se sobrepasa y hay un exceso en el tráfico enviado, se pueden utilizar métodos para su regulación: •
Shaping, utiliza buffers para retardar el envío de dicho tráfico. Es aplicado en dirección de salida.
•
Policing, descarta ese tráfico o en algunos casos lo remarca. Puede aplicarse tanto en salida como en entrada.
La utilización de shaping es recomendable en los siguientes casos: •
Para frenar la velocidad a la que el tráfico es enviado a través de una red WAN. En caso de que el sitio remoto o la red del proveedor tengan problemas de congestión el dispositivo que envía puede ser notificado, usando por ejemplo BECN en Frame-Relay, almacenando tráfico y bajando la cantidad enviada hasta que las condiciones de la red mejoren. Dos casos comunes es cuando un sitio remoto tiene una conexión al proveedor a menor velocidad
www.FreeLibros.com
842
©RA-MA
REDES CISCO. CCNP a Fondo
que la del sitio que envía. Otro caso es cuando al sitio remoto le están llegando datos de múltiples sitios saturando así su conexión. •
Para cumplir con la velocidad de suscripción. Dependiendo del SLA que exista con el proveedor habrá que aplicar shaping para los enlaces WAN o MetroEthemet.
•
Para enviar diferentes clases de tráfico a diferentes velocidades. Si en el SLA se especifica una velocidad máxima para una clase de tráfico en particular el dispositivo que envía tendrá que aplicar shaping basado en clase.
La utilización de policing es recomendable en los siguientes casos: •
Para limitar la velocidad a un valor menor que la velocidad del medio o interfaz física. Suele darse el caso cuando un proveedor ofrece un servicio de acceso a su red a través de una interfaz que puede proporcionar una velocidad mayor a la del SLA acordado.
•
Para limitar la velocidad del tráfico en cada clase. Esto ocurre cuando el SLA pactado incluye diferentes velocidades por clase de tráfico.
•
Para remarcar tráfico. Normalmente se remarca el tráfico si excede el SLA para que posteriormente otros dispositivos puedan tomar alguna acción.
La siguiente figura muestra una red de una compañía con un sitio central y tres sitios remotos usando Frame-Relay como WAN para interconectarlos. Para enviar tráfico desde el sitio central hacia el sitio M adrid es necesario configurar shaping en el sitio central para no sobrecargar el sitio remoto. En Burgos en cambio es conveniente configurar policing para enviar tráfico a una velocidad inferior a la de la interfaz física. Pueden existir numerosas opciones diferentes.
www.FreeLibros.com
©RA-M A
CAPÍTULO 39. MANIPULACIÓN DEL TRÁFICO Y EL ENLACE
843
WAN
Toledo
Shaping y Policing tienen las siguientes similitudes y diferencias: •
Ambos miden el tráfico y a veces se mide de manera separada para diferentes clases.
•
Policing puede aplicarse tanto de entrada como de salida, pero shaping solamente de salida.
•
Policing descarta o remarca el tráfico excedente, mientras que shaping lo almacena en buffers.
•
Shaping requiere memoria para almacenar el tráfico excedente.
•
Cuando policing descarta tráfico los flujos. TCP volverán a enviar el tráfico descartado, pero los que no son TCP puede ser que envíen más de lo que se descartó.
•
Policing tiene la capacidad de marcar o remarcar tráfico.
•
Shaping puede funcionar como respuesta a ciertas condiciones en las que se encuentre la red, por ejemplo congestión.
www.FreeLibros.com
844
©RA-M A
REDES CISCO. CCNP a Fondo
Medición de volumen de tráfico Los dispositivos Cisco utilizan un sistema de “fichas y cubo” para medir el volumen del tráfico. Existen otras variaciones de este sistema pero en este libro sólo se cubre el básico. La idea es la siguiente: se tienen un cubo, fichas y un conjunto de datos que se deben enviar. Para transmitir un byte el cubo ha de contener una ficha. Las fichas se van incorporando periódicamente al cubo a un ritmo equivalente al SLA. Si el tamaño de los datos a transmitir (en bytes) es menor que la cantidad de fichas almacenadas en el cubo, se dice que el tráfico se ajusta (conform), entonces se eliminan del cubo tantas fichas como datos se hayan enviado. Esta situación da lugar a una acción que normalmente es enviar. Por otra parte, si el tráfico a enviar (en bytes) excede la cantidad de fichas dentro del cubo, se dice que el tráfico excede (exceed). En esta situación las fichas no son eliminadas del cubo y el tráfico será almacenado para enviarlo más tarde (shaping) o descartado o marcado (policing). Para entender este mecanismo es necesario conocer estos 3 conceptos importantes: •
CIR (Committed Information transferencia.
Rate).
Velocidad media de
•
Bc (Committed Burst). Ráfaga de tráfico alcanzable transmitiendo a la velocidad media.
•
Tc (Committed Time Interval). Intervalo de tiempo de referencia
Donde la relación entre éstos es la siguiente: CIR(Bps) =
Bc (bits) Tc (seg)
En vez de continuamente enviar fichas al cubo y cuando éste se llene descartarlas, lo que se hace es enviarlas cuando hay actividad de tráfico. Cada vez que un paquete llega se hace un cálculo entre la diferencia de tiempo desde la llegada del nuevo paquete y la llegada del anterior paquete, y añade el número de fichas correspondiente. La fórmula es la siguiente: CIR Número de fichas añadidas = Diferencia de tiempo x-
www.FreeLibros.com
©RA-M A
CAPÍTULO 39. MANIPULACIÓN DEL TRÁFICO Y EL ENLACE
845
Mecanismos de Policing y Shaping Existen políticas basadas en clase, de manera que usando MQC el policing es aplicado a una clase dentro de un policy-map usando el comando pólice. Existe shaping basado en clase, de manera que usando MQC el shaping es aplicado a una clase dentro de un policy-map. Cuando se usa en conjunto con CBWFQ permite controlar el límite de velocidad del tráfico de salida para una clase, mientras que el parámetro bandw idth garantiza un ancho de banda mínimo para la clase. Es posible efectuar shaping en Frame-Relay usando Frame-Relay traffic shaping que soporta fragmentación e intercalado (FRF.12), a diferencia del shaping basado en clase que no lo soporta. Por otra parte tanto el shaping basado en clase como Frame-Relay traffic shaping soportan el uso de FECN y BECN. Cuando un router recibe BECN hará shaping en su interfaz de salida para aminorar la velocidad a la que envía. Si recibe FECN entonces enviará tramas con BECN al otro extremo para informarle de que tiene que aminorar.
MECANISMOS DE EFICIENCIA DEL ENLACE Los principales mecanismos que se usan hoy en día para eficiencia del enlace están basados en compresión y fragmentación. Existen diferentes tipos de compresión como pueden ser compresión del enlace, compresión de la carga útil de capa 2, compresión de cabeceras RTP y compresión de cabeceras TCP. La fragmentación se utiliza normalmente en combinación con el intercalado, concepto que se detalla posteriormente. La compresión tiene como objetivo conseguir que haya más ancho de banda libre en el enlace, mientras que la fragmentación intenta minimizar los retardos.
Compresión de la carga útil de capa 2 Como su nombre indica esta técnica comprime toda la carga útil de una trama de capa 2, por ejemplo si la trama está encapsulando un paquete IP comprimiría todo ese paquete. Se suele usar en conexiones WAN tales como Frame-Relay, HDLC, PPP, X.25, etc. Los dispositivos Cisco soportan Stacker, Predictor y Microsoft Point-toPoint Compression (MPPC). La principal diferencia entre estos tipos es el uso que hacen de la CPU. Con este tipo de compresión es posible reducir el retardo de serialización y a la vez aumentar el rendimiento ya que las tramas son más pequeñas, el incremento de ancho de banda dependerá de cada algoritmo. Hay que tener en
www.FreeLibros.com
846
©RA-MA
REDES CISCO. CCNP a Fondo
cuenta que dependiendo de la complejidad del algoritmo y de si es procesado en hardware o software, se introducirá cierto retardo. A cambio se conseguirá que la latencia, es decir, el retraso de extremo a extremo sea más reducido.
Compresión de cabeceras Al comprimir las cabeceras se dispone de más ancho de banda, reduciendo así el retardo de serialización y aumentando el rendimiento. Tal y como su nombre indica solamente se comprimen las cabeceras, ya sean TCP, UDP, RTP, etc. Pero no los datos. De manera que su uso resulta útil cuando el tamaño de los datos es pequeño. La compresión de cabeceras en TCP y RTP usa un concepto sencillo y es que todos los datos pertenecientes al mismo flujo probablemente tendrán las mismas cabeceras, por lo tanto generan referencias cortas para identificar dichas cabeceras. Al habilitar compresión TCP o RTP es para todo el tráfico que pasa por el enlace. La compresión de cabeceras no hace uso intensivo de la CPU, por lo que el retardo que introduce prácticamente es inapreciable.
Fragmentación e intercalado Cuando una interfaz está congestionada los paquetes pasan primero por la cola de software y sea cual sea su algoritmo, en una segunda instancia pasarán a la cola de hardware que será FIFO, una vez que les llegue su tumo serán enviados. Aun implementando técnicas como LLQ o incluso en situaciones en las que no haya congestión y los paquetes vayan directamente a la cola de hardware, se pueden producir situaciones inaceptables para tráfico sensible al retraso, porque al ser la cola de hardware FIFO, dichos paquetes tendrán que esperar su tumo para ser enviados. Latencia aceptable para los paquetes de VoIP es de 150 a 200 ms. En una situación en la que un paquete de VoIP llega a la cola de hardware y se coloca detrás de un paquete de datos de 1500 bytes, tendrá que esperar el retardo de serialización de dicho paquete hasta que llegue su tumo; ahora bien, es posible utilizar L F I (Link Fragmentation and Interleaving) para especificar el tamaño máximo de unidad de datos que se permite enviar. De esta manera los paquetes de tamaño pequeño pueden introducirse en medio de flujos de tráfico de datos más pesados.
www.FreeLibros.com
Capítulo 40
PRECLASIFICACION Y DESPLIEGUE DE QoS PRECLASIFICACIÓN DE QoS La preclasificación en QoS ha sido diseñada para que las interfaces túnel puedan clasificar los paquetes en la salida de la interfaz antes de que sean encriptados y tunelizados. Para el caso puntual de este libro se abordará la preclasificación en dos tipos diferentes de túneles: IPsec y GRE. Tanto IPsec como GRE encapsulan el paquete original en los extremos del túnel usando una nueva cabecera IP, de manera que el paquete IP original ya no está disponible para ser usado por los mecanismos de QoS en la salida. Cuando los paquetes pertenecientes a diferentes flujos o aplicaciones son transportados a través de un túnel, todos son encapsulados con la misma cabecera IP, por lo tanto todos tienen idénticas IP de origen y destino así como número de protocolo. El único campo que les diferencia és el campo TOS, ya que éste se copia desde la cabecera original a la nueva cabecera, por lo tánto siempre se podría utilizar dicho campo aunque existieran limitaciones en otras funciones basadas por ejemplo en las direcciones IP de origen y destino, número de protocolo, puertos de origen y destino, etc. Para utilizar esas opciones se deberá configurar la preclasificación.
Opciones en la preclasificación Muchas de las configuraciones de QoS que son aplicadas en interfaces físicas también lo pueden ser en interfaces túnel.
www.FreeLibros.com
848
©RA-M A
REDES CISCO. CCNP a Fondo
Como se ha visto previamente tanto con GRE como con IPsec, si la clasificación de los paquetes se va a hacer basándose en el campo TOS no es necesaria configuración extra. La complicación surge cuando es necesario efectuar la clasificación basándose en otros campos diferentes a TOS. El comando qos pre-classify habilita al router para hacer una copia del paquete antes de que sea encapsulado o encriptado de tal manera que el servicepolicy aplicado en la interfaz de salida pueda hacer la clasificación basándose en los campos de la cabecera IP original. El service-policy puede estar aplicado a la interfaz física, afectando así a todos los túneles, o puede estar aplicado a determinados túneles específicamente, no afectando así al resto. El comando qos pre-clasify es configurado a nivel de interfaz y es válido para interfaces túnel, virtual templates y crypto maps. El siguiente ejemplo muestra una política de QoS aplicada a una interfaz física y la sintaxis de configuración del comando qoes pre-clasify en la interfaz túnel: interface seri'all/1 ip address 10.1.1.1 255.255.255.252 service-policy output al-punto-remoto crypto map vpn interface tunnell ip address 192.168.1.1 255.255.255.252 tunnel source seriall/1 tunnel destination 10.1.1.2 crypto map vpn qos pre-classify crypto map vpn 10 ipsec-isakmp set peer 10.1.1.2 set transform-set remote-branch-vpn match ip address 100
IHSJ
QOS DE EXTREMO A EXTREMO El despliegue de QoS de extremo a extremo supone que todos los dispositivos en el camino serán capaces de entender y ejecutar QoS y esto también involucra a terceras partes como puede ser una red de un ISP, que puede utilizarse para dar conectividad a una oficina remota. En las premisas del cliente se deben llevar a cabo la clasificación y marcado. Si dicho tráfico atravesará una red ajena como es la del Proveedor de Servicios, se deberán establecer ciertos acuerdos con la tercera parte para que el
www.FreeLibros.com
©RA-M A
CAPÍTULO 40. PRECLASIFICACIÓN Y DESPLIEGUE DE QoS 849
tráfico, en base a las marcas que lleve, sea confiado o remarcado. Una vez fuera de la red del Proveedor de Servicios las políticas de QoS en el destino tendrán lugar.
Acuerdos de nivel de servicio en QoS Un SLA (Service Level Agreements) es un acuerdo contractual entre dos partes, normalmente identificados como la empresa y el proveedor de servicios. Dichos servicios pueden ser líneas dedicadas punto a punto, acceso a Internet, etc. Es recomendable monitorizar dicho SLA para que ambas partes cumplan con lo acordado. Los parámetros que se suelen negociar en relación a QoS son: •
Retraso.
•
Jitter.
•
Pérdida de paquetes.
•
Rendimiento.
•
Disponibilidad del servicio.
El desarrollo de la telefonía IP y aplicaciones interactivas han hecho que cada vez sean más importantes los SLA relativos a QoS. Tradicionalmente las empresas han usado Circuitos Virtuales (VC) ya sean permanentes o temporales (PVC o SVC) para proporcionar conectividad entre sitios remotos. En este tipo de servicios no es posible negociar un SLA relativo a QoS, ya que el servicio que se presta es de capa 1 y 2. El SLA se centra en parámetros como velocidad media de transferencia (CIR), ráfaga de tráfico alcanzable transmitiendo a la v.elocidad media (Bc> committed burst), ráfaga en exceso (Be, excess burst) y velocidad máxima de transferencia. Cuando los enlaces WAN se congestionan hay que aplicar técnicas de QoS tales como Frame-Relay traffic shaping, compresión de cabeceras, LLQ, etc. Actualmente hay muchos proveedores que ofrecen servicios de capa 3 mediante el uso de MPLS VPN, lo que proporciona muchas más ventajas que los servicios de capa 1 o 2 tradicionales. Escalabilidad, facilidad de provisión y flexibilidad del servicio son sinónimos de las MPLS VPN. Al trabajar en capa 3 se pueden, ahora si, establecer SLA relativos a QoS.
www.FreeLibros.com
850
©RA-M A
REDES CISCO. CCNP a Fondo
Implementaciones de QoS en campus empresarial El ejemplo de la siguiente figura muestra una serie de dispositivos situados en diferentes capas, desde Acceso, pasando por Distribución hasta llegar al Core.
Red de Campus LAN WAN Router Borde WAN Switch Acceso
Switch Distribución
Switch Core
Las siguientes son algunas recomendaciones para la implementación QoS en un modelo de Campus: •
Clasificar y marcar lo más cerca posible del origen. A ser posible en la capa de acceso, liberando así a las demás capas de hacer este trabajo.
•
Aplicar pólice lo más cerca posible del origen. De esta manera se evita que el tráfico no deseado viaje más allá de lo necesario consumiendo recursos y ancho de banda.
•
Establecer límites de confianza. Es posible confiar en las marcas de los teléfonos IP, pero no de los PC.
•
Clasificar y marcar Voz y vídeo como alta prioridad. Este tipo de tráfico es el más sensitivo al retardo, jitter, etc. Los usuarios finales pueden verse directamente afectados.
•
Usar el tipo de cola apropiado a cada situación. Dependiendo de cuál sea el objetivo existen una variedad de mecanismos de encolamiento para elegir el más apropiado.
•
QoS basado en hardware cuando sea posible. Debido a que el QoS basado en software normalmente tiende a sobrecargar al procesador principal.
www.FreeLibros.com
© RA-MA
CAPÍTULO 40. PRECLASIFICACIÓN Y DESPLIEGUE DE QoS 851
Para redes tipo Campus los switches de acceso implementadas las siguientes políticas: •
Confianza, clasificación y marcado.
•
Limitación o remarcado.
•
Encolamiento.
deberán tener
Para redes tipo Campus los switches de distribución deberán tener implementadas las siguientes políticas: •
Confianza del campo DSCP.
•
Encolamiento.
Implementaciones de QoS en el borde WAN Estas configuraciones son implementaciones en dispositivos CE (Customer Edge) y PE (Provider Edge). Dichos dispositivos terminan los circuitos WAN haciendo uso de tecnologías como Frame-Relay y ATM.
ISP
Borde WAN
Frame-Relay
www.FreeLibros.com
852
©RA-MA
REDES CISCO. CCNP a Fondo
Para el tráfico que está saliendo del sitio del cliente a través del CE se deberán aplicar políticas de QoS en la salida del CE y en la entrada del PE. Cuando éste tráfico cruce la red del proveedor y salga a través de otro PE alcanzará de nuevo otro CE y será necesario aplicar políticas de QoS en la salida del PE y en la entrada del CE. Dichas políticas variarán dependiendo de si el CE es gestionado por el cliente o es controlado por el proveedor.
Control Plañe Policing Los ataques contra el Control Plañe son una realidad de hoy en día, por lo que Cisco ha desarrollado un mecanismo de QoS, CoPP (Control Plañe Policing), que permite gestionar el tráfico que entra en el Control Plañe. Siempre es recomendable el uso de esta funcionalidad. Normalmente el procesador del router se encarga de enrutar o enviar la mayoría del tráfico que le llega, mecanismo conocido como el data plañe. Básicamente el destino del tráfico es otro diferente al propio router. Ahora bien, hay determinados tipos de tráfico, como por ejemplo actualizaciones de enrutamiento, tráfico de gestión, keepalives, etc. que están destinados al propio router, esto es conocido como plano de control o Control Plañe. Si el plano de control recibe excesivo tráfico puede dar lugar a los siguientes acontecimientos: •
CPU, memoria o buffers cercanos a 100% de utilización.
•
Pérdida de actualizaciones de enrutamiento o keepalives, dando como resultado intermitencias en las interfaces o flaps.
•
Tiempos de respuesta lentos.
•
Retardo excesivo para procesar paquetes en las interfaces.
Para la configuración de CoPP se utiliza MQC (Modular QoS Commandline interface). Estos son los pasos a seguir: 1. Definir un criterio para clasificar los paquetes a través de un class-map. 2. Definir una política por medio de un policy-map. 3. Desde el modo de configuración del plano de control se aplica la política.
www.FreeLibros.com
: y
~y-"-;:
© R A -M A
CAPÍTULO 40. PRECLASIFICACIÓN Y DESPLIEGUE DE QoS 853
El ejemplo que sigue muestra una configuración en la que se permiten a dos host confiables (10.1.1.1 y 10.1.1.2) que envíen tráfico Telnet al plano de control sin ningún tipo de limitación, mientras que a todo el resto de tráfico Telnet se le aplica un máximo determinado, descartando paquetes en caso de que se exceda. i class-map telnet match access-group 100
i
policy-map telnet-politica class telnet pólice 80000 conform transmit exceed drop
i
control-plane service-policy input telnet-policy
¡
access-list 100 deny tcp host 10.1.1.1 any eq telnet access-list 100 deny tcp host 10.1.1.2 any eq telnet access-list 100 permit tcp any any eq telnet
www.FreeLibros.com
www.FreeLibros.com
Capítulo 41
IMPLEMENTACIÓN DE AutoQoS INTRODUCCIÓN A AutoQoS Cisco AutoQoS es una herramienta de automatización de despliegue de QoS para entornos de pequeña o mediana empresa. AutoQoS presenta los siguientes beneficios: •
Las autoconfiguraciones que genera pueden servir para cubrir la mayor parte de necesidades.
•
Protege las aplicaciones de misión crítica de otras aplicaciones menos importantes, garantizándoles un trato preferente y recursos necesarios.
•
Su implementación no requiere un conocimiento profundo de QoS.
•
Las configuraciones generadas están basadas en MQC y siguen las recomendaciones de Cisco.
•
Es posible modificar las configuraciones después de que hayan sido generadas.
La primera versión de AutoQoS se ilamó AutoQoS VoIP. Fue pensada para aquellos que tenían VoIP en la red pero no contaban con el conocimiento adecuado para implementar QoS. AutoQoS VoIP utiliza NBAR para clasificar los paquetes y marcar el DSCP, puede ser configurado tanto en routers como en switches. La segunda versión recibe el nombre de AutoQoS Enterprise y sólo está disponible
www.FreeLibros.com
856
©RA-M A
REDES CISCO. CCNP a Fondo
para routers. Esta versión tiene capacidades añadidas para voz, vídeo, datos, además de otra característica llamada “protocol discovery”. Para desplegar AutoQoS Enterprise es necesario realizarlo en dos fases: •
Descubrir los tipos y volúmenes de tráfico usando NBAR. Una vez hecho se generarán las políticas adecuadas.
•
Implementar las políticas previamente generadas.
AutoQoS Enterprise cubre las cinco fases clave en un despliegue de QoS: •
Clasificación, mediante el uso de NBAR puede clasificar los paquetes de manera inteligente. Además, a través de CDP puede saber cuándo está conectado en la red un teléfono IP.
•
Generación de políticas, las políticas son generadas de acuerdo al dispositivo, configuración de la interfaz y tráfico observado.
•
Configuración, su implementación en las interfaces es muy sencilla.
•
Monitorización y Reportes, puede generar automáticamente alertas, traps de SNMP, entradas en el logging y reportes. Con la herramienta QPM es posible ver, monitorizar y posteriormente evaluar la información obtenida.
•
Consistencia, las configuraciones generadas son suficientemente consistentes y en caso de querer modificarlas se puede hacer fácilmente usando MQC.
Durante la fase de descubrimiento de aplicaciones se utiliza NBAR para analizar en tiempo real el tráfico que pasa a través de una interfaz tanto de entrada como de salida. NBAR puede identificar y clasificar los siguientes tipos de aplicaciones: •
Aplicaciones que usan un puerto TCP/UDP conocido.
•
Aplicaciones que usan primeramente un puerto TCP/UDP conocido pero que una vez iniciada la comunicación negocian otro puerto diferente. Cambian de puerto dinámicamente. Algunas aplicaciones no IP,
www.FreeLibros.com
©RA-M A
CAPÍTULO 41. IMPLEMENTACIÓN DE AutoQoS 857
•
Aplicaciones HTTP basadas en URL, tipo MIME o nombre del host.
IMPLEMENTACIÓN DE AutoQoS Antes de implementar AutoQoS es necesario leer la documentación del router en el que se intentará aplicar para obtener información sobre el tipo de interfaz, aunque como norma general es posible implementar AutoQoS en los siguientes tipos de interfaces: • Interfaces Seriales con encapsulación PPP o HDLC. •
Subinterfaces Frame-Relay Point-to-Point.
• Subinterfaces ATM Point-to-Point en interfaces Serial lentas (768 kbps). • Enlaces Frame-Relay - ATM. AutoQoS habilitará determinadas herramientas de QoS dependiendo del tipo de interfaz, ancho de banda y encapsulación. Se debe tener presente que si posteriormente es necesario modificar el ancho de banda, AutoQoS no será capaz de reaccionar ante el cambio. Los siguientes ejemplos son herram ientas que pueden ser habilitadas con AutoQoS: • LLQ. Reservando una cola de prioridad para tráfico de VoIP, garantizando así su trato preferente pero a la vez limitando su uso. • cRTP. Reduciendo la cabecera IP/UDP/RTP de 40 a 2/4 bytes (sin/con CRC) • LFI. Fragmentando grandes paquetes de flujos pesados, permitiendo el poder intercalar paquetes de otros flujos. Los prerrequisitos que deben cumplirse antes de habilitar AutoQoS son los siguientes: • CEF tiene que estar habilitado en la interfaz que se quiere configurar. • La interfaz no ha de tener aplicado ningún service-policy. • Es requisito configurar el ancho de banda adecuado en cada interfaz.
www.FreeLibros.com
858
©RA-M A
REDES CISCO. CCNP a Fondo
•
Si se van a utilizar traps de SNMP será necesario configurar SNMP propiamente.
Despliegue de AutoQoS Enterprise El proceso de despliegue implica dos pasos. El primero es auto-discovery y el segundo es generar las políticas MQC. Durante el primer paso AutoQoS Enterprise utiliza NBAR para descubrir tráfico, dicho tráfico se analiza en tiempo real y será utilizado posteriormente para generar las políticas MQC. Cuanto más tiempo se analice el tráfico más exactos serán los resultados, pero por norma general un período de tres días debería ser suficiente. Durante el segundo paso AutoQoS Enterprise utiliza los resultados del paso anterior para generar la configuración haciendo uso de MQC y aplicarla a las interfaces correspondientes. Para habilitar el proceso de descubrimiento de tráfico se utiliza el siguiente comando: Router(config-if)#auto discovery qos [trust]
Con este comando se especifica el tráfico de acuerdo al esquema de clasificación de NBAR, pero si se utiliza el parámetro trust se clasificarán los paquetes según la marca que tengan puesta. Para ver los resultados del proceso de descubrimiento automático se utiliza el siguiente comando: Router#show auto discovery qos
Para implementar AutoQoS en la interfaz deseada se utiliza el siguiente comando: Router(config-if)#auto qos [voip [trust] [fr-atm]]
Con el parámetro voip se implementará AutoQoS VoIP en lugar de AutoQoS Enterprise. El parámetro trust se utiliza para confiar en la marca de los paquetes entrantes. El parámetro fr-atm se usa en enlaces Frame-Relay - ATM.
www.FreeLibros.com
©RA-M A
CAPÍTULO 41. IMPLEMENTACIÓN DE AutoQoS 859
AutoQos VoIP en Switch Catalyst Para habilitar AutoQoS VoIP en switches Catalyst se utilizan los siguientes dos comandos: switch(config-if)#auto qos voip cisco-phone switch(config-if)#auto qos voip trust
El primero de los comandos se utiliza cuando hay conectado al switch un PC o un teléfono IP. CDP V2 debe estar habilitado en ese puerto para que el switch pueda determinar si hay un teléfono IP u otro dispositivo conectado. Cuando un teléfono IP es detectado se confiará en las marcas del tráfico de entrada, pero si por el contrario es un PC lo que hay conectado no se confiará en las marcas del tráfico entrante. El comando auto qos voip trust se utiliza cuando lo que hay conectado es otro dispositivo confiable del que se puede confiar en el tráfico marcado que envía, como puede ser un switch o un router.
Automatización con AutoQoS AutoQoS puede llevar a cabo las siguientes tareas generando las configuraciones apropiadas: •
Definir fronteras de confianza y confiar o no confiar en la marca de los paquetes acorde a ellas.
•
Definir clases de tráfico basándose en las aplicaciones y protocolos descubiertos en la red.
•
Crear los mecanismos de encolamiento adecuados.
•
Habilitar herramientas específicas a cada interface.
•
Definir alarmas y eventos logging para una óptima monitorización.
•
Definir los enlaces COS-DSCP/DSCP-COS para cuando las marcas de QoS pasan de capa 2 a 3 o d e 3 a 2 respectivamente.
www.FreeLibros.com
860
©RA-M A
REDES CISCO. CCNP a Fondo
La siguiente tabla muestra las clases de tráfico que AutoQoS puede definir: Class Ñame Enrutam iento IP
Vos interactiva
Tipo de tráfico T ráfico de protocolos de enrutamiento T ráfico portador de voz
V íd e o
T ráfico interactivo de
interactivo
vídeo
V íd e o streaming
T ráfico de difusión de vídeo
Señalización
T ráfico de señal y control
telefonía
telefónico
Tráfico
Base de datos
interactivo
transacciones
A dm inistración
T ráfico de administración
de red
de red
Datos a granel
transferencias de datos,
DSCP
CoS
CS6
6
EF
5
A F 41
4
CS4
4
CS3
3
A F 21
2
CS2
2
AF11
1
CS1
1
BE
0
T ráfico en general, W eb , servicios, etc. Datos poco
Entretenim iento, tráfico
importantes
best-effort, etc.
B est-E ffo rt
T ráfico no crítico, misceláneo, etc.
La siguiente tabla muestra las funciones DiffServ (Servicios Diferenciados) que AutoQoS puede llevar a cabo.
www.FreeLibros.com
©RA-M A
CAPÍTULO 41. IMPLEMENTACIÓN DE AutoQoS 861
Cisco IOS QoS
DiffServ Classification
N B A R , IP precedence, D S C P , or CoS (trusted)
M a rk in g
Class-based m arking
Congestión
L L Q (Strict P Q +
management
C B W F Q ), B W W R R (Catalyst L A N ) CB TS1
Shaping FRTS2 Congestión avoidance
W RED3
LFI L in k efficiency
MLP cR TP
Para asegurar una buena calidad de voz y vídeo a la vez que se reserva el ancho de banda apropiado para el resto del tráfico, AutoQoS habilita, siempre que sea necesario, los más modernos mecanismos de encolamiento, LLQ y WRR. AutoQoS habilita FRTS siempre particularmente importante por dos motivos:
que
sea
necesario.
FRTS
es
•
La velocidad física de la interface es normalmente mayor que el CIR. Por lo que es necesario aplicar la técnica adecuada para adecuar el tráfico.
•
Las topologías son muchas veces en hub-and-spoke lo que hace que necesitemos aplicar técnicas para no sobrecargar un sitio remoto que reciba tráfico simultáneo de varios.
WRED es el mecanismo para evitar congestión aplicado por AutoQoS cuando es necesario. Los mecanismos de eficiencia del enlace incluidos en AutoQoS son LFI, MLP, fragmentación en Frame-Relay y cRTP.
www.FreeLibros.com
862
REDES CISCO. CCNP a Fondo
©RA-M A
Problemas comunes en AutoQoS AutoQoS ha sido desarrollado para satisfacer las necesidades empresariales generando una serie de configuraciones para escenarios comunes, las cuales no tienen por qué adaptarse a todas y cada una de las redes. Algunos de los problemas más comunes que se pueden encontrar en la utilización de AutoQoS pueden ser: •
Se generan demasiadas clases. En esta situación es necesario modificar manualmente la configuración para reducir el número de clases, asignando dos o más tipos de tráfico por clase, según a las necesidades que se tengan.
•
Las configuraciones generadas por AutoQoS no se adaptan a los cambios en la red. Como se ha visto anteriormente las configuraciones que AutoQoS genera lo hace en base a las estadísticas recopiladas por el proceso de descubrimiento. Si en algún momento el ancho de banda de una interfaz cambia, AutoQoS no será capaz de adaptarse. Como solución es posible deshabilitar AutoQoS y volver a habilitarlo para que tenga en cuenta los nuevos valores, o modificarlo manualmente.
•
Las configuraciones generadas por AutoQoS no se adaptan a un escenario en particular, incluso después de dejar el proceso de descubrimiento por un largo período de tiempo. Debido a que AutoQoS no puede adaptarse absolutamente a todas las particularidades de todas las redes, existirán situaciones en las que será necesario intervenir manualmente y modificar las configuraciones que hayan sido generadas automáticamente.
Para modificar dichas configuraciones es posible utilizar tanto el Cisco QoS Policy Manager (QMP) como la línea de comandos con el sistema modular MQC.
VERIFICACIÓN DE AutoQoS En la siguiente tabla muestra los comandos que se pueden utilizar en router y switch para la verificación de AutoQoS:
www.FreeLibros.com
CAPÍTULO 41. IMPLEMENTACIÓN DE AutoQoS 863
©RA-M A
Comando
Dispositivo Router
show auto discovery qos [interface interface]
Router
show auto qos [interface interface]
Router
show policy-map interface interface
Sw itch
show auto qos [interface interface]
Sw itch
show mis qos interface [interface ) vían vlan-id \ buffers | policers | queuing j statistics]
Sw itch
show mis qos maps [cos-dscp | dscp-cos]
AutoQoS no siempre genera las configuraciones de manera perfecta, por lo que cierta intervención manual puede llevarse a cabo para cumplir con los objetivos requeridos. Hay varios comandos show que son muy útiles para ver qué partes han de ser reconfiguradas. El comando show auto qos muestra todos los mecanismos y configuraciones que AutoQoS ha habilitado en el router. Entre los datos más importantes que se pueden obtener están: •
Número de clases de tráfico.
•
Opciones de clasificación.
•
Marcado del tráfico.
•
Mecanismos dé encolamiento.
•
Traffic Shaping/Policing.
•
Parámetros relativos a Frame-Relay.
•
Las interfaces, subinterfaces o circuitos virtuales donde los parámetros han sido aplicados.
www.FreeLibros.com
864
©RA-M A
REDES CISCO. CCNP a Fondo
Existen principalmente dos motivos por los que será necesario modificar una configuración generada por AutoQoS. El primero de ellos es porque no satisface ciertas necesidades y particularidades. El segundo es porque hay condiciones de la red que han cambiado, siendo AutoQoS incapaz de adaptarse dinámicamente al cambio. La siguiente sintaxis es un ejemplo del comando show auto qos: switch#
show auto qos
I n it ia l
c o n fig u r a t io n
a p p lie d
b y A u to Q o S :
wrr-queue bandwidth 20 1 80 0 no w rr-q u e u e
co s-m ap
wrr-queue eos 1 0 1 2 4 wrr-queue eos 3 3 6 7 wrr-queue eos 4 5 mis qos map cos-dscp 0 8 16 26 32 46 48 56
i
interface FastEthernet0/3 m is m is
qos t r u s t qos t r u s t
d e v ic e eos
c is c o - p h o n e
www.FreeLibros.com
Capítulo 42
IMPLEMENTACION DE QoS EN LAS WLAN CALIDAD DE SERVICIO EN LAS WLAN La popularidad de las WLAN está creciendo exponencialmente y su implementación es cada vez más frecuente. La siguiente figura muestra una implementación WLAN típica donde dos switches de acceso están conectados a un switch de distribución; el switch de la derecha muestra equipos conectados a él mediante cableado, pero el de la izquierda está conectado a un Wireless Lan Controller (WLC) el cual a su vez está conectado y controlando a dos Access Point (AP). Cada cliente wireless se comunica con un AP enviando y recibiendo tramas sobre un medio de Radiofrecuencia (RF).
www.FreeLibros.com
866
©RA-MA
REDES CISCO. CCNP a Fondo
Descripción de QoS WLAN IEEE ha desarrollado el estándar 802.1 le, que incluye extensiones de QoS para redes WLAN. Durante el proceso de desarrollo de este estándar Wi-Fi Alliance presentó una especificación llamada Wi-Fi Multimedia (WMM) como solución temporal. W M M es un subconjunto en sí del estándar 802.1 le. En WMM existen 4 clases de acceso para categorizar niveles de prioridad, mientras que en 802.1 le existen 8. Utilizando CSMA/CA con DCF (Distributed Coordinated Function) cada cliente genera un número aleatorio y espera a que el canal RF esté libre durante el intervalo de tiempo DIFS (Distributed Coordinated Function InterFrame Space). Cuando el canal queda libre el número aleatorio disminuye en una unidad, hasta que llegue a 0; una vez a 0 el cliente podrá enviar datos. El sistema CSMA/CA utilizando DCF otorga a todos los dispositivos la misma prioridad, por lo tanto es un sistema basado en best-effort. Sin embargo, WMM, proporciona priorización del tráfico usando cuatro categorías: Platinum para voz, Gold para vídeo, Silver para best-effort y Brom e residual. En realidad estos niveles son simplemente colas que dan más o menos prioridad al tráfico. El tráfico no asignado manualmente a alguna de ellas será categorizado en la cola Plata (best-effort). La siguiente tabla muestra la relación entre los niveles de prioridad en 802.1 le y las categorías de acceso en WMM: ^
Prioridad 802.11e
Categoría
Platinum, voz
6o7
Gold, vídeo
4o5
Silver, best-effort
0o3
Bronze, residual
1o 2
Arquitectura SPLIT MAC y LAP Para centralizar la seguridad, despliegue, gestión y control de las WLAN, la arquitectura Split MAC traspasa ciertas funciones típicamente encomendadas a los AP a otros dispositivos que las realizarán de manera centralizada.
www.FreeLibros.com
©RA-M A
CAPÍTULO 42. IMPLEMENTACIÓN DE QoS EN LAS WLAN 867
La siguiente tabla muestra una serie de funciones realizada por los AP tradicionales separando dichas funciones entre las que son realizadas en tiempo real y las que no: Funciones 802.11/MAC en tiempo real
Funciones 802.11/MAC en tiempo no real
802.1 le/WMM planificación y colas
Administración
MAC encriptación /desencriptación Capa 2
Autenticación
Mensajes de control y procesos
Fragmentación
Almacenamiento de paquetes
Puenteo a través de Ethernet y WLAN
Para implementar una arquitectura centralizada Cisco desarrolló una arquitectura centralizada de AP ligeros (LAP o LWAP) con arquitectura Split MAC en su core. La arquitectura Split-MAC divide los protocolos de datos, control y las funcionalidades del AP de 802.11 entre los LAP y los controladores WLAN centralizados. Las funciones que se hacen en tiempo real son asignadas al LAP mientras que las que no son en tiempo real se asignan al controlador centralizado.
IMPLEMENTACIÓN DE QoS WLAN Los estándares de QoS para redes wireless están definidos como 802.1 le y WMM. En este tipo de redes es importante analizar cómo enlazar los campos de prioridad en las cabeceras 802.Ip o DSCP (o IP Precedence) con 802.1 le o WMM. El la arquitectura centralizada de wireless LWAP, el controlador WLAN se encarga de asegurar que todo el tráfico que pasa a través de él dirigidá a los AP mantiene la información relativa a QoS. Los datos WLAN originados en el cliente y destinados hacia el AP pasan por el controlador WLAN, tunelizados, usando el protocolo LW APP (Lightweight Access Point Protocol). De igual forma es aplicable para el tráfico proveniente de la red cableada hacia el cliente wireless que pasará a través del mismo túnel. La siguiente figura ilustra este concepto.
www.FreeLibros.com
868
© R A -M A
REDES CISCO. CCNP a Fondo
/
\
\
\\
S ^
/
i //
Para mantener QoS de extremo a extremo, el controlador WLAN en el final del túnel y el LWAP en el otro extremo tienen que llevar a cabo ciertas asociaciones entre las marcas de los datos del tráfico que reciben y el que deben enviar. El controlador WLAN y el LWAP envían y reciben datos LWAPP entre sí. Los datos LWAPP tienen un campo equivalente tanto al CoS como al DSCP. El LWAP y los clientes intercambian RF, usando 802.1 le o WMM para QoS. La tabla siguiente muestra las asociaciones entre DSCP, 802. Ip o CoS y los valores 802.1 le: Prioridad basada en tipo de tráfico Cisco 802.1Q/P
IP DSCP
Prioridad 802.1p
Prioridad 802.11e
56-62
7
7
48
6
7
46 (EF)
5
6
Vídeo
34 (AF41)
4
5
Control de voz
26 (AF31)
3
4
Gold
18 (AF21)
2
2
Silver
10 (AF11)
1
1
0 (BE)
0
0o3
Control de red Enrutamiento IP Voz
Best-Effort
www.FreeLibros.com
CAPÍTULO 42. IMPLEMENTACIÓN DE QoS EN LAS WLAN 869
©RA-M A
La siguiente figura muestra las asociaciones que se van creando a medida que el tráfico se mueve por los diferentes dispositivos de la red WLAN.
CONFIGURACIÓN DE QoS EN WLAN Los controladores WLAN cuentan con una interfaz Web como muestra la siguiente imagen:
CíwroJ Gwwat tiwentorv tntníldi
00? J k Flow Control Mndo i.WAPPTreis|»rt Atcwlo EJiwmirt
¿urw 3 >1
Marta
jJ
Aqoh&siíw&toa4 0áiFandn9 Paerio PBBr fttackim) Motltf -NrtvvorKTime Prolacoí Qo>Profiltr*
fBrtéyied^]
The A*r t»n»vUtttrUi«j trt AP ffKVy#3'3
Fík * s s ip Gh6ulér €9iiintivr M«dí Netvwrtr Tim* Ptat*ai qos ProtOfc'í
¡ftr'a»f^9y^ruS
Description
P ar-U ior H ofld* IdH* C ontraéis *
ifténg$0*tt ífcant 0*U »4*«?
JJWrtíRMl-fíM* OvfirthoAlfQoB HJtf'met,
h* (fc)
queyeOn** Wtrtu} Qn8 Protncnl Pr*ao»>Tj¡»
Aunque el EDCF configura la prioridad o categoría de acceso para cada perfil, vemos como editando podemos configurar varios parámetros por nosotros mismos. Otra opción del M e n ú b a r es WLANs, que permite crear, configurar y borrar WLAN del controlador. También es posible configurarlas una vez creadas usando la opción e d it, tal como muestra la siguiente imagen:
fttMWMAj PuMcití* péTivr ¡folian íltfl* ol Sei V.** p«ííf
__ """
U far «Sccurity
«mln fe****
""
|¡
c WC
(ttct) |1NP
«jBSrtf(bo>|
¿1
ta a tbc »te
r-cs+nísac»«m*r«
BfnwiMrtSSICJ
p. ímblpíí
Air^ftlE AJSo#AM
P
CííntEítfuWon
P. EAibtwj '
t-JÜIM r (.m
OHCí Scnir
r CutiTtó*
CHCP
P “ s»ffvr*d
¡.¿ytf 3 Sflts-ffly
r ,
r.
*w?Ir Puí«7
íw“
[¿a**
**
df
c*» *
te uíííí i*1Wft¿rV?**«n o sMílitd, e
...... *¿rtnntr dírtís? C*If H fiót {-tíííKrtSiJ ti
fekm*
2Swü«t'"
*
Además es posible configurar cada WLAN dentro de las categorías Platinum, Gold, Silver y Bronze. En la misma sección aparece la configuración de la interacción de WMM o 802.í le entre los clientes y el AP que son:
www.FreeLibros.com
872
©RA-M A
REDES CISCO. CCNP a Fondo
•
D is a b le d .
Las peticiones de QoS de WMM o 802.li e serán
ignoradas. Las opciones de QoS son ofrecidas a clientes compatibles con WMM o 802.1 le. Si el cliente no es compatible se usará el QoS por defecto.
•
A llo w e d .
•
R e q u ir e d .
Todos los clientes han de ser compatibles con WMM o 802.1 le para usar esta WLAN.
www.FreeLibros.com
C a p í t u lo 4 3
ENCRIPTACIÓN Y AUTENTICACIÓN WLAN PROBLEMAS DE SEGURIDAD EN LAS WLAN El primer problema visible que se encuentra en las redes WLAN es que por defecto los AP propagan el SSID libremente, de manera que cualquier cliente puede solicitar conectarse a él. Si no se configura ningún método de autenticación el cliente podría unirse a la red y acceder a ella. Otro problema, además, son los AP falsos, donde podría darse el caso de que el cliente se conecte a un AP sin saber que se trata de un AP fraudulento y en ese caso el atacante podría recopilar información sensitiva.
802.1X Y AUTENTICACIÓN EAP EAP (Extensible Autentication Protocol) o 802. lx es un protocolo estándar desarrollado por la IEEE que permite a los switches realizar autenticación por puerto. Algunas de las características de 802.1x son las siguientes: •
Utiliza un servidor RADIUS como método de autenticación, almacenando así la base de datos de usuarios y contraseñas en una localización centralizada.
•
La autenticación entre el cliente y el servidor RADIUS es mutua.
www.FreeLibros.com
874
REDES CISCO. CCNP a Fondo
©RA-M A
•
Puede usar diferentes tipos de encriptación tales como AES, WPA, TKIP, WEP.
•
Si no hay intervención manual, entonces y de forma automática utiliza llaves dinámicas WEP para la encriptación, las cuales son derivadas después de pasar la autenticación.
•
Se pueden emplear contraseñas de un sólo uso (OTP) y encriptarlas ya que de otra manera viajarían en texto plano en aplicaciones inseguras como por ejemplo Telnet.
•
Soporta roaming.
•
Las políticas de control están centralizadas.
Los componentes necesarios para implementar una arquitectura 802.lx son los siguientes: •
Cliente compatible E A P , conocido como s u p lic a n t.
•
AP compatible con EAP que será el a u te n tic a d o r .
•
Servidor RADIUS compatible con EAP que brinda el servidor de autenticación.
Suplicante
Autenticador
Servidor de autenticación
Servidor RADIUS
S ervidor de Base de Datos
(Opcional)
En la figura se observa como un cliente envía las credenciales al autenticador, quien a su vez las envía al servidor de autenticación. Este comprobará que son correctas en su base de datos y determinará el nivel de acceso que se concederá a ese usuario.
LEAP C is c o LEAP (Lightweight Extensible Authentication Protocol) es uno de los tipos de autenticación de 802. lx para redes WLAN. Es soportado tanto por WPA como por WPA2. Soporta autenticación manual entre cliente y servidor
www.FreeLibros.com
©RA-M A
CAPÍTULO 43. ENCRIPTACIÓN Y AUTENTICACIÓN WLAN 875
mediante la introducción de nombre de usuario y contraseña. Proporciona encriptación dinámica para cada sesión. Cisco LEAP está incluido en todos los productos Wireless de Cisco. Las características más sobresalientes de LEAP son las siguientes: •
Roaming rápido y seguro a nivel de capa 2 y 3.
•
Un sólo login a través del Directorio Activo de Microsoft.
•
Soporta un amplio rango de sistemas operativos (Linux, Mac, Microsoft, DOS).
Punto de acceso
Cliente
Servidor RADIUS
Inicio Petición de identidad
...... ........... ....
Servidor Windows NT
El AP bloquea todas las peticiones hasta que se complete la autenticación
Identidad
Identidad
El servidor RADIUS autentica al cliente
El cliente autentica al servidor RADIUS
Clave de administración. WPA, CCKM
La figura anterior muestra el proceso de autenticación de Cisco LEAP. El cliente Wireless solamente puede transmitir tráfico EAP hasta que es autenticado por el servidor RADIUS. La autenticación puede ser iniciada tanto por el cliente como por el AP. En cualquier caso el cliente responde al AP con un usuario, el AP lo encapsula en un mensaje RADIUS y lo envía al servidor de autenticación RADIUS.
EAP-FAST EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) fue inicialmente desarrollado por Cisco y posteriormente estandarizado.
www.FreeLibros.com
876
©RA-M A
REDES CISCO. CCNP a Fondo
Cisco LEAP requiere el uso de contraseñas complejas, por lo tanto la opción de EAP-FAST es adecuada para aquellos clientes queno puedan implementar ese tipo de políticas de contraseñas y que no quieran usar certificados digitales. Características: •
Compatible con el sistema de validación única de Windows.
•
No requiere certificados o el uso de PKI en los clientes.
•
Soporta clientes Windows 2000/XP/CE.
•
Proporciona soporte para 802.1 li, 802.lx, TKIP y AES.
•
Soporta WPA y WPA en clientes Windows 2000/XP.
•
Soporta Wireless Domain Services (WDS) y roaming rápido y seguro con Cisco Centralized Key Management (C C K M ).
•
Soporta contraseñas que expiran o cambian.
EAP-FAST se establece a través de las siguientes 3 fases: •
F ase
0. El cliente es dinámicamente aprovisionado con una P A C (Protected Access Credential) a través de un túnel seguro. También cabe la opción de aprovisionar al cliente de forma manual y evitar esta fase.
•
F ase
•
F a s e 2. El cliente envía sus credenciales al servidor RADIUS a través del túnel seguro. El servidor RADIUS autentica al cliente y establece la política de autorización.
1. El servidor A A A y el cliente usan PAC para autenticarse entre sí y establecer un túnel seguro.
La figura muestra el proceso de autenticación EAP-FAST. El cliente Wireless solamente puede transmitir tráfico EAP hasta que es autenticado por el servidor RADIUS. Una vez autenticado se generan unas llaves que son utilizadas dinámicamente para encriptar tráfico por el tiempo que dure la sesión.
www.FreeLibros.com
CAPÍTULO 43. ENCRIPTACIÓN Y AUTENTICACIÓN WLAN 877
©RA-M A
Punto de acceso
Cliente
Servidor RADIUS
Inicio Petición de identidad
............. .....
Servidor Base de Datos
El AP bloquea todas las peticiones hasta que se complete la autenticación
Identidad
Identidad
Clave de administración, WPA, CCKM
4--------------------------------------- *
EAP-TLS EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) utiliza el protocolo TLS (Transport Layer Security) que proporciona transferencia de datos segura en redes públicas como por ejemplo Internet. EAP-TLS utiliza PKI, por lo tanto el cliente y el servidor AAA han de obtener un certificado digital desde una Autoridad Certificadora para demostrar su autenticidad. La siguiente figura muestra el proceso de autenticación de ÉAP-TLS. El cliente se asocia al AP y sólo se le es permitido enviar tráfico EAP cuando es autenticado por el servidor RADIUS. Una vez autenticado se negocian las llaves para la encriptación de la sesión, que puede ser WEP o 802.11 i.
www.FreeLibros.com
878
©RA-M A
REDES CISCO. CCNP a Fondo
EiBBtagSg Cliente
Punto de acceso Servidor RADIUS
Inicio Petición ..... .
de identidad
Autoridad Certificadora
El AP bloquea todas las peticiones hasta que se complete la autenticación Identidad
Identidad
Certificado del servidor Certificado del cliente
Se genera una clave aleatoria
>» Clave de administración W PA
PEAP PEAP (Protected Extensible Authentication Protocol) es otro tipo de autenticación 802. lx desarrollada por Cisco Systems, Microsoft y RSA Security y posteriormente estandarizado por la IEEE. PEAP utiliza una infraestructura PKI pero sólo es obligatorio instalar los certificados digitales en el servidor, no es necesario en los clientes. PEAP funciona en dos fases: •
Fase 1. Se autentica el servidor y se genera un túnel TLS.
•
Fase 2. El cliente es autenticado usando EAP-GTC o EAPMSCHAPv2 dentro del túnel TLS.
La siguiente figura muestra el proceso de autenticación de EAP-TLS. El cliente se asocia al AP y sólo se le es permitido enviar tráfico EAP cuando es autenticado por el servidor RADIUS. Una vez autenticado se negocian las llaves para la encriptación de la sesión, que puede ser WEP o 802.11 i.
www.FreeLibros.com
© RA-MA
CAPÍTULO 43. ENCRIPTACIÓN Y AUTENTICACIÓN WLAN 879
mggggjjl Punto de acceso
Cliente
Servidor RADIUS
Inicio Petición de identidad
.......................
Servidor Base de Datos
El AP bloquea todas las peticiones hasta que se complete la autenticación Identidad
Identidad
Establecimiento de un túnel encriptado Certificado del servidor Certificado del cliente
---------------- ► ............................► Autenticación EAP
-------
.......
Clave de administración WPA
WPA, 802.11Í, y WPA2 WPA es una solución estándar para proporcionar seguridad y cubrir los defectos de WEP. Las principales características de WPA son las siguientes: « Gestión de llaves de autenticación usando 802. lx o PSK. ® Una vez que el usuario se ha autenticado satisfactoriamente se derivan las llaves para proporcionar integridad y encriptación a los mensajes. Dichas llaves son guardadas en los clientes y en los AP. ® Utilización de TKIP (Temporal Key Integrity Protocol) y MIC (Message Integrity Check) para asegurar el sistema contra vulnerabilidades como pueden ser los ataques de intrusos. •
Utilización de llaves de encriptación diferentes por cada paquete.
En la figura que sigue se muestra el proceso de autenticación de WPA y 802.11 i. Primero el cliente y el AP intercambian una petición de asociación inicial y se ponen de acuerdo en el uso de ima capacidad de seguridad específica. Posteriormente el cliente y el servidor RADIUS llevan a cabo la autenticación estándar 802.lx. Si dicha autenticación es satisfactoria el servidor genera y envia una llave maestra al AP, el cliente por su parte genera la misma llave. Estas llaves son llamadas PMK. Posteriormente el cliente y el AP realizan un saludo de 4 vías
www.FreeLibros.com
880
©RA-M A
REDES CISCO. CCNP a Fondo
para verificar la validez del AP, creando una sesión de confianza entre el AP y el cliente. El paso final es un saludo de 2 vías entre cliente y AP que tiene como objetivo derivar las llaves GTK (Group Transient Key) y MIC.
Cliente Descubrimiento de capacidades de seguridad
Servidor Autenticación
Autenticación 802. lx Clave de administración 802.lx
Claves PMK
Saludo de cuatro vías Saludo de dos vías
Aunque WPA es un método
seguro puede presentar algunas desventajas:
•
WPA utiliza TKIP, confía en encriptación RC4, que no es de las opciones existentes más seguras.
•
WPA requiere soporte de firmware, de los controladores y del sistema operativo. Por lo que puede ser costoso reemplazar parte de la infraestructura si ésta no lo soporta.
•
WPA es susceptible a un ataque DoS conocido. Si el AP recibe dos paquetes sucesivos con MIC erróneas dicho AP deja de dar servicio durante un minuto.
Poco después de que WPA estuviera disponible la IEEE ratificó el estándar 802.11 i, que proporciona una autenticación, encriptación y gestión de llaves de manera más segura que su predecesor WEP. Los principales componentes añadidos con 802.1 li: •
Autenticación 802.lx.
•
Encriptación AES.
•
Gestión de llaves.
WPA2 es el sucesor de WAP y es capaz de interoperar con 802.11 i. WPA2 incorpora AES (Advanced Encryption Standard) como algoritmo de encriptación.
www.FreeLibros.com
©RA-M A
CAPÍTULO 43. ENCRIPTACIÓN Y AUTENTICACIÓN WLAN 881
Las principales características de WPA2 son las siguientes: •
Utiliza 802.lx para el proceso de autenticación.
•
Utiliza un método de renovación y distribución de llaves similar al de WPA.
•
Soporta Proactive Key Caching (PKC).
•
Soporta Intrusión Detection System (IDS).
WPA y WPA2 tienen dos modos, Personal y Enterprise, la siguiente tabla muestra los métodos de autenticación y encriptación usados en cada uno de ellos: WPA2
Modo
Enterprise
Autenticación: IEEE 802.1x/EAP Encriptación: TKIP/MIC Autenticación: PSK
Personal
Encriptación: TKIP/MIC
Autenticación: IEEE 802.1x/EAP Encriptación: AES-CCMP
Autenticación: PSK Encriptación: AES-CCMP
Aunque WPA2 es mucho más seguro que WPA todavía tiene algunos pormenores: •
El cliente necesita un controlador compatible con EAP.
•
El servidor RADIUS tiene que soportar EAP:
•
Consume más recursos de CPU que WPA, por lo que en algún caso quizás sea necesario actualizar hardware.
www.FreeLibros.com
882
©RA-M A
REDES CISCO. CCNP a Fondo
CONFIGURACIÓN DE AUTENTICACIÓN Y ENCRIPTACIÓN EN LAP Autenticación abierta Con una autenticación abierta no se produce ni autenticación ni encriptación, y se suele usar en lugares públicos como cafés, bibliotecas, aeropuertos, etc. normalmente sólo para acceso a Internet. Para configurar la autenticación a través de un navegador se requiere la IP del controlador WLAN, posteriormente se accede en la opción WLAN en la barra de tareas principal. Desde ahí se puede crear o editar una nueva WLAN. La figura muestra una captura de pantalla, la parte remarcada indica dónde configurar autenticación abierta, seleccionando la opción None.
Autenticación WEP estática Para configurar este tipo de autenticación se debe seleccionar la opción Static W EP del desplegable de la captura anterior. Una vez seleccionado aparece una pantalla similar a la siguiente captura, donde se pueden configurar los parámetros WEP:
www.FreeLibros.com
©RA-M A
CAPÍTULO 43. ENCRIPTACIÓN Y AUTENTICACIÓN WLAN 883
WPA Preshared Key Para configurar este tipo de autenticación es necesario seleccionar la opción WPA o WPA1 + WPA2 del desplegable de la primera captura. La imagen muestra la parte correspondiente a la configuración:
www.FreeLibros.com
884
©RA-M A
REDES CISCO. CCNP a Fondo
Autenticación WEB Con este tipo de autenticación es posible autenticar a los usuarios a través del navegador Web, de manera que cuando intentan acceder a la WLAN se les presenta un cuadro de diálogo para que se identifiquen con nombre de usuario y contraseña. Se suele utilizar para dar accesos temporales, los datos no son encriptados ni hay autenticación MIC o por paquete. Para configurar este tipo de autenticación se debe seguir el siguiente orden: WLAN>Edit>Security Policies, en la sección Layer 3>Web Policy, como muestra la siguiente captura:
Existe la opción de configurar Authentication, donde se solicitará un nombre de usuario y contraseña que será comprobado contra la base de datos local o Passthrough. La página de login es personalizable, pudiendo efectuar cambios personales como muestra la figura que sigue:
www.FreeLibros.com
©RA-M A
CAPÍTULO 43. ENCRIPTACIÓN Y AUTENTICACIÓN WLAN 885
Autenticación 802.IX Éste es el tipo de autenticación por defecto, una vez seleccionado aparecerán en la parte inferior de la pantalla las opciones posibles para su configuración:
www.FreeLibros.com
886
©RA-M A
REDES CISCO. CCNP a Fondo
En el menú Layer 2 Security aparece la opción para elegir la opción WPA:
WLAN» WI.AW AP firvwf VIAN
wmmnjiiti r*» Swwl 0raidouiS£3ü
|o¡»M«í¿J I" c u n tc n c iim it r*» C * C U m *.
P
* W«b witv
AlrWrtftJE
AlktrAAA
PZncW M d•• (55
GWPS*r»e<
Ct
3wrS4*
©HC* Atf4f-
r
*4 A c c o u n ts .
•
En la columna U s e r Ñ a m e seleccionar ro o t.
•
Introducir una nueva contraseña en el cuadro de diálogo N e w P a s s w o r d y confirmar con C o n fir m N e w P a ssw o r d .
•
Confirmar con S u b m it.
Para añadir un nuevo controlador se siguen los siguientes pasos: •
Iniciar sesión en C is c o W C S .
•
Ir a C o n fig u r e > C o n tr o lle r s en la página A ll C o n tr o lle r s.
•
En el menú desplegable S e le c t a C o m m a n d seleccionar A d d C o n tr o lle r s y G O .
•
Se introduce la dirección IP del controlador, máscara de subred y las opciones SNMP tal y como muestra la siguiente figura.
•
Finalizar con
I 9» Wt
!(£»■**
rftttfttf Ieck ttto
,í¡ ''i
OK. , .
,m-A
www.FreeLibros.com
.
..
I y «
""
i-
896
©RA-MA
REDES CISCO. CCNP a Fondo
Configuración de puntos de acceso Para ver un resumen de todos los LWAP en la base de datos de Cisco WCS seleccionar C o n f ig u r e > A c c e s s P o in ts. Desde aquí es posible añadir o eliminar los AP de otros fabricantes. Cuando se añade un WLC a WCS normalmente se añaden a su vez todos sus LWAP. En la figura se muestra la captura de la página A ll A c c e s s P o in ts .
Mapas WCS Cisco WCS puede usar planos reales de campus, edificios o pisos para visualizar de manera conjunta los entornos físicos y de RF. Para añadir un mapa de campus se siguen los siguientes pasos: •
Guardar el mapa en formato .jpg, jpeg, .gif o .png.
•
Importar el mapa.
•
Elegir la pestaña M o n it o r > M a p s .
•
En el menú desplegable S e le c t a C o m m a n d > N e w C a m p u s y G o.
•
En la página N e w C a m p u s indicar un nombre y contacto.
•
Seleccionar B r o w s e y seleccionar el campus.
www.FreeLibros.com
©RA-M A
CAPÍTULO 44. ADMINISTRACIÓN WLAN 897
•
Finalmente M a n t a in A s p e c t R a tio para que WCS no distorsione el mapa y O K .
La figura siguiente muestra un ejemplo de la página M a p s:
Es posible además añadir un nuevo edificio sin necesidad de utilizar mapas a través de los siguientes pasos: •
En la pestaña M o n it o r seleccionar M a p s.
•
Elegir el campus deseado.
•
Continuar en S e le c t a C o m m a n d > N e w B u ild in g y G o.
•
Crear un edificio virtual para organizar los mapas de suelo relacionados.
•
Elegir P la c e para colocar los edificios en forma de rectángulos en el mapa del campus, como muestra la figura.
•
Mover el edificio a la ubicación elegida.
•
Guardar con S a v e.
www.FreeLibros.com
898
©RA-M A
REDES CISCO. CCNP a Fondo
Detección de AP falsos El proceso de detección de AP falsos se basa en los LWAP que ya se encuentran operativos y sus asociaciones con los controladores. El WLC detecta un AP falso y automáticamente notifica a WCS, el cual crea una alarma que aparece en la esquina inferior izquierda de la interfaz de usuario. Estas alarmas están listadas en la página R o g u e A c c e s s P o in t A la r m s , donde se detalla la severidad de la alarma, la dirección MAC, el fabricante, tipo de radio, el RSSI más potente del AP, fecha y hora, número de canal y SSID. Para ver la localización en el mapa del falso AP se elige M a p de la página o desde la barra de menú M o n it o r > M a p s > B u ild in g Ñ a m e > F lo o r Ñ a m e . Una pequeña calavera y tibias cruzadas indican la localización del falso AP. R ogu e A P M A C A d d ress
www.FreeLibros.com
A p é n d ic e
MATEMÁTICAS DE REDES NÚMEROS BINARIOS Los dispositivos emiten y reciben pulsos eléctricos o luminosos. Estos pulsos poseen dos estados, SÍ y NO. Este sistema de dos signos se le llama binario. Matemáticamente hablando un sistema binario está compuesto por dos estados de unos y ceros siendo por lo tanto una potencia en base 2. En informática se llama bits a la unidad que tiene también dos estados; un byte es un grupo de ocho bits. Un octeto o un byte se expresa de la siguiente manera: 00000000 Cada uno de estos bits que componen el octeto posee dos estados, 1 y 0, obteniendo por lo tanto 256 estados con todas las combinaciones posibles. 00000000 00000001 00000010 00000011 00000100 0 1111111 11111111
www.FreeLibros.com
900
©RA-MA
REDES CISCO. CCNP a Fondo
Para que estos bits sean más entendibles conviene trasladarlos al modo decimal al que se está más acostumbrado cotidianamente por lo tanto si son potencias de 2, su valor será: 27 2 6 25 2 4 23 22 2 1 2o 2°=1 2 1= 2 22= 4
23 = 8 2 4 = 16 2 5= 32 2 6= 64 27= 128
Los bits que resulten iguales a 1 tendrán el valor correspondiente a esa potencia, mientras que los que permanezcan en 0 tendrán un valor igual a cero, finalmente se suma el conjunto de los decimales resultantes y se obtiene el equivalente en decimal.
Conversión de binario a decimal Para pasar de binario a decimal es posible utilizar la siguiente técnica: 0000001
(en b in a r io ) = 0 0 0 0 0 0 2 ° (e n d e c im a l) =1 E n el o c te to : 0 + 0 + 0 + 0 + 0 + 0 + 0 + 1
0 1 0 0 1 0 0 1 ( e n b i n a r i o ) = 0 2 50 0 2 30 0 2 ° ( e n d e c i m a l ) = 7 3 E n el o c te to : 0 + 6 4 + 0 + 0 + 8 + 0 + 0 + 1
D íg it o b in a r io P o te n c ia de dos V a lo r d e c im a l
octavo
séptimo
sexto
quinto
cuarto
tercero
segundo
primero
27
26
25
24
23
22
21
2°
128
64
32
16
8
4
2
1
www.FreeLibros.com
©RA-M A
APÉNDICE. MATEMÁTICAS DE REDES 901
Conversión de decimal a binario Para pasar de decimal a binario es posible utilizar la siguiente técnica: C o n v e r tir a b in a r io e l n ú m e r o d e c im a l 195:
V a lo r b in a r io
R e s u lta d o
128
¿Entra en 195?
195-128
Sí = 67
64
¿Entra en 67?
67-64
m II 35
32
¿Entra en 3?
3-32
N o,
siguiente
16
¿Entra en 3?
3-16
N o,
siguiente
8
¿Entra en 3?
3-8
N o,
siguiente
4
¿Entra en 3?
3-4
N o,
siguiente
2
¿Entra en 3?
3-2
S í= 1
1
¿Entra en 1?
1-1
Sí = 0
Donde los SÍ equivalen al valor binario UNO y los NO al valor binario CERO. P o r lo ta n to 1 9 5 e s e q u iv a le n te en b in a r io a 1 1 0 0 0 0 1 1
www.FreeLibros.com
902
©RA-M A
REDES CISCO. CCNP a Fondo
NÚMEROS HEXADECIMALES Los números hexadecimales se basan en potencias de 16, utilizando símbolos alfanuméricos, la siguiente tabla le ayudará a convertir números hexadecimales en binarios o en decimales: N úm ero
N úm ero
N úm ero
d e c im a l
h e x a d e c im a l
b in a r io
0
0
0000
1
1
0001
2
2
0010
3
3
0011
4
4
0100
5
5
0101
6
6
0110
7
7
0111
8
8
1000
9
9
1001
10
A
1010
11
B
1011
12
C
1100
13
D
1101
14
E
1110
15
F
1111
www.FreeLibros.com
©RA-M A
APÉNDICE. MATEMÁTICAS DE REDES 903
Conversión de números hexadecimales Siguiendo el ejemplo anterior el número 195 es igual al número binario:
11000011 Divida este octeto en dos grupos de cuatro: 1100
0011
Busque el valor correspondiente en la tabla de estos dos grupos de bits. Al número binario 1100 le corresponde el número hexadecimal C. Al número binario 0011 le corresponde el número hexadecimal 3. Por lo tanto 195 es igual a 11000011 en binario y al C3 en hexadecimal. Para que no existan confusiones los números hexadecimales se identifican con un Ox delante, en este caso 0xC3. El proceso inverso será si tenemos el número hexadecimal OxAE donde: A es igual a 1010 E es igual a 1110 Por lo tanto OxAE es igual el número binario 10101 1 1 0 si se convierte este número a decimal: 2 7+ 0 + 2 5+ 0 + 2 3+ 2 2+ 2 1+0 = 174
DIRECCIONAMIENTO IP Una dirección IP consta de dos partes. Una parte identifica la red donde se conecta el sistema y la segunda identifica el sistema en particular de esa red. Este tipo de dirección recibe el nombre de d ir e c c ió n je r á r q u ic a porque contiene diferentes niveles. Una dirección IP combina estos dos identificadores en un sólo número. Este número debe ser exclusivo, porque las direcciones repetidas harían imposible el enrutamiento. La primera parte identifica la dirección de la red del sistema. La segunda parte, la del host, identifica qué máquina en particular de la red. Las dos partes que componen la dirección se establecen claramente a partir de la máscara de red o subred. El uso de decimales separados por puntos permite una mejor comprensión de los patrones numéricos. Esta notación decimal también evita
www.FreeLibros.com
904
©RA-M A
REDES CISCO. CCNP a Fondo
que se produzca una gran cantidad de errores por transposición, que se producirían si sólo se utilizaran números binarios. El siguiente ejemplo muestra una típica dirección IP con su respectiva máscara, donde se aprecia la parte de red y la parte de host. Dirección IP 172.16.1.3 Máscara 255.255.0.0 172
1
16
10101100 255 11111111
3
00010000
00000001
00000011
255
0
0
11111111
00000000
00000000
Porción de red
Porción de host
Clases de direccionamiento IP Direccionamiento C la s e A: Rango de direcciones IP: 1.0.0.0 a 127.0.0.0 Máscara de red: 255.0.0.0 Direcciones privadas: 10.0.0.0 a 10.255.255.255 Direccionamiento C la s e B : Rango de direcciones IP: 128.0.0.0 a 191.255.0.0 Máscara de red: 255.255.0.0 Direcciones privadas: 172.16.0.0 a 172.31.255.255 Direccionamiento C la s e C : Rango de direcciones IP: 192.0.0.0 a 223.255.255.0 Máscara de red: 255.255.255.0 Direcciones privadas: 192.168.0.0 a 192.168.255.255 Direccionamiento C la s e D : Rango de direcciones IP: 224.0.0.0 a 239.255.255.255 Uso multicast o multidifusión
www.FreeLibros.com
APÉNDICE. MATEMÁTICAS DE REDES 905
©RA-M A
Direccionamiento C la s e E : Rango de direcciones IP: 240.0.0.0 a 254.255.255.255 Uso experimental o científico La dirección 127.0.0.1 es llamada Dirección de loopback o interfaz virtual. La máscara 255.255.255.255 es llamada máscara de nodo y se utiliza para identificar un host específico.
SUBREDES Las redes se pueden dividir en redes más pequeñas, para el mayor aprovechamiento de las mismas, que llamaremos s u b r e d e s , además de contar con esta flexibilidad, la división en subredes permite que el administrador de la red brinde contención de broadcast y seguridad de bajo nivel en la LAN. La división en subredes ofrece seguridad ya que el acceso a las otras subredes está disponible solamente a través de los servicios de un router. Las clases de direcciones IP disponen de 256 a 16,8 millones de host según su clase.
Procedimiento para la creación de subredes El proceso de creación de subredes comienza pidiendo “prestado” al rango de host la cantidad de bits necesaria para la cantidad de subredes requeridas. Se debe tener especial cuidado en esta acción de pedir ya que deben quedar como mínimo 2 bits del rango de host. La máxima cantidad de bits disponibles para este propósito depende del tipo de clase: •
C la s e A :
•
C la s e
•
C la s e C:
cantidad disponible 22 bits
B: cantidad disponible 14 bits cantidad disponible 6 bits
Cada bit que se toma del rango de host posee dos estados 0 y 1 por lo tanto si se toman 3 bits de un octeto existirán 8 estados diferentes: 23 = 8
www.FreeLibros.com
906
©RA-M A
REDES CISCO. CCNP a Fondo
B its d e
d e c im a l
p r e s ta d o s
P a s o 1 -Piense
V a lo r
000
00000
0
00 1
00000
32
010
00000
64
011
00000
96
100
00000
128
101
00000
160
110
00000
192
111
00000
224
en binarios.
P a s o 2-Encuentre la máscara de subred adecuada para la cantidad de subredes que le solicitan, independientemente de la dirección IP lo que nos importa es la máscara de red. A cada bit tomado del rango de host le corresponden dos estados.
El siguiente cuadro es aplicable a todos los tipos de redes adecuándolo al octeto correspondiente: D íg it o
C a n tid a d d e
M áscara
b in a r io
su b red es
d e su b red
octavo
2
128
séptimo
4
192
sexto
8
224
quinto
16
240
www.FreeLibros.com
APÉNDICE. MATEMÁTICAS DE REDES 907
© RA-MA
cuarto
32
248
tercero
64
252
segundo
128
254
primero
256
255
O b s e r v e e l e je m p lo :
Crear 1 0 s u b r e d e s a partir de una red clase C . Del cuadro anterior se desprende que para diez subredes se deben utilizar 5 bits, recuerde que los valores no siempre pueden ser exactos. M á s c a r a d e r e d 2 5 5 .2 5 5 .2 5 5 .0 R an go d e red Rango de host 11111111.11111111.11111111.00000000
Cuarto octeto 1110000 Coloque en 1 (uno) los bits que resultaron de la operación anterior y súmelos, recuerde el valor de cada bit dentro del octeto: 128, 64, 32, 16, 8, 4, 2, 1. Se obtiene:
11110000 1 2 8 + 64 + 32 + 16 = 24 0
La máscara de subred de clase C para obtener 10 subredes (en este caso 16) es: 2 5 5 .2 5 5 .2 5 5 .2 4 0 P a s o 3-Identifique las correspondientes direcciones IP de las subredes restando a 2 5 6 , que es la cantidad máxima de combinaciones que tiene un octeto, el valor de la máscara obtenida. Este número será la dirección de la primera subred utilizable que a su vez es el incremento o constante para determinar las siguientes subredes.
www.FreeLibros.com
908
REDES CISCO. CCNP a Fondo
©RA-M A
El incremento constante en este caso será de 16: 2 5 6 - 2 4 0 = 016
Paso 4-Obtenga las direcciones IP de las subredes, observe el cuadro siguiente: Número de subred
Valor del octeto
Valor decimal
0
00000000
0
1
00010000
16
2
00100000
32
3
00110000
48
4
01000000
64
5
01010000
80
6
01100000
96
7
01110000
112
8
10000000
128
9
10010000
144
10
10100000
160
11
10110000
176
12
11000000
192
13
11010000
208
14
11100000
224
15
11110000
240
www.FreeLibros.com
APÉNDICE. MATEMÁTICAS DE REDES 909
©RA-M A
Paso 5-Por último identifique los host que integran las subredes utilizando el resto de los bits que han quedado libres en el rango de host. Hasta ahora se ha trabajado con los bits de izquierda a derecha en el rango de host en el octeto correspondiente, ahora se hará con los bits restantes pero de derecha a izquierda.
MÁSCARAS DE SUBRED DE LONGITUD VARIABLE El crecimiento exponencial de las redes ha hecho que el direccionamiento IPv4 no permita un desarrollo y una escalabilidad acorde a lo deseado por los administradores de red. IPv4 pronto será reemplazado por IP versión 6 (IPv6) como protocolo dominante de Internet. IPv6 posee un espacio de direccionamiento prácticamente ilimitado y algunos administradores ya han empezado a implementarlo en sus redes. Para dar soporte al direccionamiento IPv4 se ha creado VLSM (máscara de subred de longitud variable) que permite incluir más de una máscara de subred dentro de una misma dirección de red. VLSM es soportado únicamente por protocolos sin clase tales como OSPF, RIPv2 y EIGRP. El uso de las máscaras de subred de longitud variable permitirá el uso más eficaz del direccionamiento IP. Al permitir niveles de jerarquía se pueden resumir diferentes direcciones en una sola, evitando gran cantidad de actualizaciones de ruta. Para el enlace serial entre los routers se utilizará una máscara /30 que permita el uso de 2 host. Elija una de las subredes creadas en el paso anterior, esta subred elegida NO podrá utilizarse con la máscara /28 puesto que se seguirá dividiendo en subredes más pequeñas.
Proceso de creación de VLSM La red 192.168.1.0/24 será dividida en 14 subredes válidas. Observe que se tendrá en cuenta la 192.168.1.0 al configurar el comando ip subnet-zero: 1 9 2 .1 6 8 .1 .0 /2 8 1 9 2 .1 6 8 .1 .1 6 /2 8 1 9 2 .1 6 8 .1 .3 2 /2 8 1 9 2 .1 6 8 .1 .4 8 /2 8 1 9 2 .1 6 8 .1 .6 4 /2 8 1 9 2 .1 6 8 .1 .8 0 /2 8
www.FreeLibros.com
910
©RA-M A
REDES CISCO. CCNP a Fondo
1 9 2 .1 6 8 .1 .9 6 /2 8 1 9 2 .1 6 8 .1 .1 1 2 /2 8 1 9 2 .1 6 8 .1 .1 2 8 /2 8 1 9 2 .1 6 8 .1 .1 4 4 /2 8 1 9 2 .1 6 8 .1 .1 6 0 /2 8 1 9 2 .1 6 8 .1 .1 7 6 /2 8 1 9 2 .1 6 8 .1 .1 9 2 /2 8 1 9 2 .1 6 8 .1 .2 0 8 /2 8 1 9 2 .1 6 8 .1 .2 2 4 /2 8 1 9 2 .1 6 8 .1 .2 4 0 /2 8
Secuencia para la creación de VLSM Paso 1-Piense en binario. Paso 2-La red 192.168.1.0/24 se divide en subredes con una máscara /28, escriba en binario el último octeto. /2 4
/2 8
0000 0000 =0 0001 0000 = 16 0010 0000 =32 1000 0000 =128
Paso 3-Elija una de las subredes para dividirla con una máscara /30, en caso la 128. Trace una línea que separe los bits con la máscara /28 y otra separe los bits con máscara /30. Las subredes se obtienen haciendo combinaciones correspondientes entre el bit 128 y los contenidos entre las paralelas.
este que las dos
/2 4 /2 8 /3 0 1 0 0 0 00 0 0 = 1 2 8 1 0 0 0 01 0 0 = 1 3 2 1 0 0 0 10 0 0 = 1 3 6 1 0 0 0 11 0 0 = 1 4 0
Paso 4-Las direcciones de host se obtienen haciendo la combinación con los dos bits libres en cada una de las subredes obtenidas.
www.FreeLibros.com
APÉNDICE. MATEMÁTICAS DE REDES 911
©RA-M A
En binarios:
1 7 2 .1 6 .0 .0 /1 6 1 7 2 .1 6 .8 .0 /2 1 1 7 2 .1 6 .1 0 .0 /2 4 1 7 2 .1 6 .1 0 .1 2 8 /2 6 1 7 2 .1 6 .1 0 .1 3 2 /3 0
Resumen de ruta con VLMS El resumen de ruta CIDR (agregación de ruta o supemetting) reduce la cantidad de rutas que un router debe mantener en sus tablas anunciando y manteniendo una sola dirección que contenga a las demás. El router de resumen tiene múltiples entradas de redes consecutivas, siendo éste el principal factor en el resumen de ruta, pero sólo anunciará al router remoto la red que contiene a todas las demás.
Descripción del funcionamiento de CIDR Imagine que un router posee un rango de redes directamente conectadas, de la 172.16.168.0/24 a la 172.16.175.0/24. El router buscará el bit común más alto para determinar cuál será el resumen de ruta.
www.FreeLibros.com
912
©RA-M A
REDES CISCO. CCNP a Fondo
E n b in a r io s :
T ercer
C u a r to
o c te to
S egundo o c te to
o c te to
o c te to
172.16.168.0/24
10101100
00010000
10101 000
00000000
172.16.169.0/24
10101100
00010000
10101 001
00000000
172.16.170.0/24
10101100
00010000
10101 dio
00000000
172.16.171.0/24
10101100
00010000
10101 011
00000000
172.16.172.0/24
10101100
00010000
10101 100
00000000
172.16.173.0/24
10101100
00010000
10101 101
00000000
172.16.174.0/24
10101100
00010000
10101 110
00000000
172.16.175.0/24
10101100
00010000
10101 111
00000000
D ir e c c ió n d e su b red
P r im e r
= 21 R e s u m e n 172.16.168.0/21 B its c o m u n e s
B its n o com unes O d e h ost
Por lo tanto para el rango especificado el router utilizará la dirección 172.16.168.0/21 para el resumen de ruta solicitado.
WILDCARD Las listas de acceso y algunos protocolos de enrutamiento hacen uso del concepto conocido como máscara comodín o wildcard. Aunque parece similar a la máscara de red, la máscara wildcard parece la inversa de la máscara de red. Las posiciones de bit establecidas a 1 en la máscara wildcard que coinciden con el bit correspondiente de la máscara de red serán ignorados, mientras que los que posean el valor 0 serán tenidos en cuenta por el router. Una máscara wildcard de 0.0.0.255 coincide con cualquier número en el rango 0 a 255 que aparezca en el cuarto octeto de una dirección IP. Una máscara wildcard de 0.0.3.255 coincide con cualquier dirección IP que tenga un 0, 1 o 3 en el tercer octeto y cualquier número en el cuarto octeto. Las máscaras wildcard permiten que el administrador de red especifique, por ejemplo, rangos de direcciones.
www.FreeLibros.com
©RA-M A
APÉNDICE. MATEMÁTICAS DE REDES 913
Secuencia para la creación de las wildcard La red 192.168.1.0/24 posee una máscara que identifica a los primeros 24 bits como pertenecientes a la red y los últimos 8 al rango de host, por lo tanto éstos deberán ser ignorados por el router poniendo los bits en 1 en la máscara wildcard: Dirección ip
192
168
1
0
En binarios
11000000
10101000
00000001
00000000
Máscara de red
11111111
11111111
11111111
00000000
Wildcard
00000000
00000000
00000000
11111111
Resultado
Se tienen en cuenta 8 bits
Se tienen en cuenta 8 bits
Se tienen en cuenta 8 bits
Ignorados
El mismo caso con la subred 172.16.32.0/19: Dirección ip
172
16
32
0
En binarios
10101100
00010000
00100000
00000000
Máscara red
11111111
11111111
11100000
00000000
Wildcard
00000000
00000000
00011111
11111111
Se tienen en cuenta 8 bits
Se tienen en cuenta 8 bits
Se tienen en cuenta 3 bits se ignoran 5
Ignorados
Resultado
de
www.FreeLibros.com
www.FreeLibros.com
INDICE ALFABETICO 1 10-Gigabit Ethernet.................................. 313
8 802.11a.................................................... 495 802.11b....................................................494 802.1 le .................................................... 495 802.1 lg.................................................... 495 802.1 l i .................................................... 495 802.1 ln.................................................... 495 802.1Q.....................................................326 802.3af....................................................436
A AAA........................................................715 AAA, configuración.................................725 AAA, modos........................................... 716 AAL5......................................................548 Absorción...................................... ........ 488 Acceso.....................................................295 Access Point............................................ 863 Accounting.............................................. 715 Ack.......................................... ................ 40 Administración de tráfico......................... 805 ADSL......................................................533 Agentes de llamada................................. 762 AH.......................................................... 606 A-Law.....................................................772
www.FreeLibros.com
Antenas................................................... 492 AP falsos................................................. 896 AP, configuración....................................894 Área not-so-stubby................................... 118 Área stub................................................. 116 Área totally stubby................................... 116 Ataques espias..........................................461 Autenticación 802.lx ...............................459 Autenticación de puertos.......................... 458 Authentication......................................... 715 Authorization.......................................... 715 AutoQoS................................................. 799 AutoQoS Enterprise................................. 856 AutoQoS VoIP........................................ 857 AutoQoS, implementación....................... 855 AutoQoS, introducción............................ 853 AutoQoS, verificación............................. 860 Autosecure.............................................. 698 AVF................................... i..................423 AVG................:......................................422
B Banda Ancha............................................523 Banner.....................................................710 Best-effort............................................... 795 BGP, agregación de rutas......................... 215 BGP, atributo AS-path prepending...........225 BGP, atributo local-preference................ 222 BGP, atributo MED................................ 224 BGP, atributo weight............................... 221
916
©RA-M A
REDES CISCO. CCNP a Fondo
BGP, atributos................................................ 218 BGP, autenticación........................................ 216 BGP, configuración....................................... 210 BGP, estados.................................................. 209 BGP, introducción..........................................201 BGP, jerarquías..............................................203 BGP, multihoming........................................ 205 BGP, operaciones básicas............................ 202 BGP, sincronización...................................... 206 BGP, tablas..................................................... 204 BGP, vecinos.................................................. 210 BGP, verificación.......................................... 216 BGP, verificación de atributos.....................225 Bloque de conmutación.................................298 Bloque de core...............................................299 BPDU.............................................................. 351 Broadcast........................................................ 229 Brónze............................................................ 864
c C A M ...............................................................307 CATV..............................................................524 CBWFQ...............................................793, 827 CBWRED........................................................835 CCM................................................................ 786 C E ................................................................... 849 CEF...................................................... 400, 571 CEF, configuración............................ 400, 583 CEF, verificación.......................................... 408 CIDR...............................................................909 CIDR, funcionamiento..................................909 Cisco Easy VPN............................................ 669 Cisco Express Forwarding........................... 571 Cisco Wireless Control System................... 888 Cisco Works WLSE......................................886 Class Based Weighted Fair Queuing.........827 Class Based Wighted Random Early Detection................................................... 835 CLI.................................................................. 797 Cliente VPN Cisco......................... .............. 683 CLP........................................ ........................ 807 Compresión de cabeceras............................. 844 Congestión..................................................... 819 Conmutación..................................................305 Conmutación Capa 2 .................................... 288 Conmutación Capa 3 .................................... 290 Conmutación Capa 4 .................................... 290 Conmutación Múlticapa............................... 291 Contraseñas....................................................707
Contraseñas, encriptación............................709 Control Plañe Policing................................. 850 CoPP...............................................................850 Core.................................................................296 C o S ................................................................. 806 CPE, configuración...................................... 546 cRTP...............................................................777 Crypto m ap....................................................629 CSMA/CA............................................ 480, 864 CSMA/CD..................................................... 311 Customer Edge.............................................. 849
D dBm.................................................................490 dBw................................................................ 490 Decibeles........................................................ 489 DHCP, configuración del cliente................ 199 DHCP, configuración del servidor.............. 196 DHCP, funcionamiento................................ 195 DHCP, proceso............................................. 195 DHCP, R elay................................................. 198 DHCP, resolución de fallos.......................... 199 Diffie-Hellman.............................................. 620 DiffServ......................................................... 809 Difracción......................................................488 DIFS............................................................... 864 Dijkstra............................................................. 69 Dirección jerárquica..................................... 901 Direccionamiento IP .................................... 901 Direccionamiento IS O ................................. 126 Dispersión......................................................488 Distancia administrativa............................... 176 Distribución.................................................. 295 D M Z ...................................................... 691, 731 DOCSIS......................................................... 526 D P D ............................................................... 659 D R yB D R ........................................................ 73 DSAP............................................................. 549 DSL................................................................ 529 DSL, DHCP................................................ ..545 DSL, limitaciones.........................................531 DSL, resolución de fallos.................. ........ 555 DSL, terminología........................................ 529 DSL, tipos........................................... ........ 532 DSLAM ......................................................... 533 D SP......................:....................................... 762 DTP............................................................. ...475 D UAL........................................................39,43
www.FreeLibros.com
© RA-MA
ÍNDICE ALFABÉTICO 917
E E&M .............................................................. 764 EAP........................................................ 499, 871 EAP-FAST.....................................................873 EAP-TLS........................................................875 EIGRP, actualizaciones.................................. 45 EIGRP, ancho de banda................................. 41 EIGRP, autenticación..................................... 62 EIGRP, carga.................................................. 42 EIGRP, configuración.................................... 57 EIGRP, constantes...........................................41 EIGRP, diseño................................................. 55 EIGRP, fiabilidad............................................41 EIGRP, introducción...................................... 39 EIGRP, métrica............................................... 41 EIGRP, MTU.................................................. 42 EIGRP, paquetes.............................................40 EIGRP, retraso................................................42 EIGRP, selección de rutas..............................52 EIGRP, sumarización..................................... 58 EIGRP, verificación....................................... 64 Encapsulación...............................................287 Encriptación asimétrica................................612 Encriptación simétrica..................................612 Enrutamiento Capa 3 ....................................289 Enrutamiento VLAN....................................398 ESP.................................................................606 Estándares..................................................... 314 EtherChannel.................................................339 Ethernet..........................................................311 Extensible Autentication Protocol...............871
F Fallback......................................................... 405 Fast Ethernet.................................................312 FIB.................................................................400 FIFO............................................................... 821 Filtrado de actualizaciones de enrutamiento.............................................184 Firewall IOS..................................................734 Firewall, configuración............................... 736 Firewalls........................................................ 732 Firmas............................................... .......... 750 First In First Out............................................821 Flood............................................................. 348 Fragmentación e intercalado.......................844 Frontera de confianza..........................449, 814 Fuentes redundantes.....................................431 FXO............................................................... 764 FX S................................................................763
www.FreeLibros.com
G G.711 PCM................................................... 779 G.722..............................................................779 G.726 ADPCM............................................ 779 G.728 LDCELP.............................................779 G.729 CS-ACELP........................................ 779 Gatekeepers................................................... 762 Gigabit Ethernet............................................313 GLBP............................................................ 422 GLBP, balanceo de carga............................ 425 GLBP, habilitación...................................... 425 GNC...............................................................774 Gold...............................................................864 GRE...............................................................574 GRE, cabecera...............................................646 GRE, configuración..................................... 648 GRE, introducción....................................... 645 GRE, seguro..................................................649 GRE, sobre IPsec..........................................651
H H.32 3...........................................................765 HDLC............................................................ 534 H elio............................................................... 40 HSRP, autenticación....................................413 HSRP, balanceo de carga............................ 416 HSRP, fallos..................................................414 HSRP, introducción..................................... 411 HSRP, puerta de enlace............................... 415 HSRP, tipo de router....................................412
I IDS.................................................................749 IDS, categorías............................................. 749 IGMP, configuración.................................. 242 IGMP, funcionamiento................................ 239 IGMP, snooping.................... ....................... 243 IGM Pvl........................................................239 IGMPv2........................................................240 IGMPv3........................................................ 241 IKE.......................................................605,609 IKE, fases..... ............................ ...................609 IKE, modos.................................................. 610 ILP................................................................ 436 Interfaz SVI.................................................. 399 IPS........................................................735,749 IPsec.............................................................. 603 IPsec, cabeceras...........................................608
918
©RA-M A
REDES CISCO. CCNP a Fondo
IPsec, características................................ 604 IPsec, modos............................................ 607 IPsec, vecinos........................................... 608 IPv6 tipos de direccionamiento.................262 IPv6, anycast............................................ 265 IPv6, cabecera..........................................259 IPv6, características.................................. 258 IPv6, checksum........................................ 260 IPv6, configuración.................................. 268 IPv6, configuración de OSPFv3................272 IPv6, configuración OSPFv3.....................273 IPv6, dual stack........................................279 IPv6, EIGRP.............................................269 IPv6, etiqueta de flujo.............................. 261 IPv6, formato........................................... 261 IPv6, fragmentación................................. 260 IPv6, global..............................................264 IPv6, identificadores de interfaces............262 IPv6, introducción.................................... 257 IPv6, ISATAP..........................................283 IPv6, IS-IS................................................269 IPv6, local................................................264 IPv6, MP-BGP4.......................................270 IPv6, multicast.........................................266 IPv6, OSPFv3...........................................270 IPv6, RIPng..............................................269 IPv6, rutas estáticas..................................269 IPv6, teredo..............................................283 IPv6, transición IPv4................................ 279 IPv6, translation....................................... 283 IPv6, túneles 6-to-4.................................. 281 IPv6, tunneling.........................................280 IPv6, verificación con OSPFv3................ 276 ISAKMP...................................................609 IS-IS, actualización!................................. 132 IS-IS, adyacencias.................................... 129 IS-IS, comparado con OSPF.....................124 IS-IS, configuración........................ 136,138 IS-IS, direcciones NET y NSAP...............128 IS-IS, diseño.............................................136 IS-IS, funcionamiento................................. 132 IS-IS, introducción................................... 121 IS-IS, paquetes......................................... 123 IS-IS, resolución de fallos........................ 157 IS-IS, sumarización.................................. 137 IS-IS, terminologías................................. 122 IS-IS, verificación.................................... 148 ISL........................................................... 326 IST........................................................... 392
J Jitter........................ ................................789
L LACP...................................................... 342 LAP......................................................... 508 LCP..................................................534, 560 LEAP...................................................... 872 LFI.......................................................... 844 LFIB.................................................573, 577 LIB.......................................................... 577 Lightweight Access Point Protocol...........865 LLQ................................................. 793, 830 Low Latency Queuing..............................830 LSA.................................................... 70, 96 LSP..........................................................123 LSR......................................................... 569 LWAPP............................................507, 865
M Máscara comodín.....................................910 Máscara de subred de longitud variable....907 Máscara wildcard.....................................910 MCU....................................................... 762 MGCP..................................................... 765 MLS........................................................ 306 Modelo de Campus..................................291 Modelo Jerárquico...................................294 MPLS LDP............................................. 580 MPLS TE................................................ 572 MPLS VPN............................................. 597 MPLS VPN PHP......................................602 MPLS VPN, terminología........................597 MPLS, arquitectura..................................572 MPLS, características..............................567 MPLS, conceptos.................................... 569 MPLS, configuración.............................. 582 MPLS, etiquetas.......................................573 MPLS, introducción.................................563 MPLS, MTU..............!........................... 589 MPLS, PHP............................................ 582 MPLS, router CE.................................... 598 MPLS, router P ....................................... 599 MPLS, router PE......................................598 MPLS, terminología.................................566 MPLS, tipo de router................................598 MPLS, tramas......................................... 575 MPLS, Wan............................... .............566
www.FreeLibros.com
ÍNDICE ALFABÉTICO 919
©RA-M A
MPPC..............................................................843 M QC...................................................... 797, 805 M ST................................................................390 MST, configuración......................................394 MST, instancias............................................. 392 MST, regiones................................................391 Multicast, árboles............................................ 245 Multicast, configuración PIM ........................251 Multicast, Dense and Sparse..........................246 Multicast, direccionamiento I P ..................... 236 Multicast, direccionamiento MAC................234 Multicast, enrutando tráfico...........................244 Multicast, introducción.................................. 229 Multicast, PIM ................................................ 246 Multicast, PIMvl.............................................250 Multicast, PIMv2............................................. 251 Multicast, problemática..................................244 Multicast, tipos de direccionemiento.........233 * Multicast, verificación.................................... 253 Multicasts.......................................................230
N N B A R ............................................................ 815 NCP........................................................534, 560 NET.... ............................................................126 NIPS............................................................... 752 NM-HDV...................................................... 774 NTSC............................................................. 525 Números binarios..........................................897 Números binarios, conversión..................... 899 Números hexadecimales...............................900 Números hexadecimales, conversión........901 Nyquist-Shannon...........................................770
O Oakley............................................................609 OSI................................................................. 287 OSPF, áreas..................................................... 77 OSPF, áreas especiales................................. 115 OSPF, autenticación..................................... 118 OSPF, configuración broadcast......:..............94 OSPF, configuración en múltiples áreas ...105 OSPF, configuración en un área....................78 OSPF, configuración nonbroadcast.............. 93 OSPF, configuración point-to-niultipoint....94 OSPF, configuración point-to-point............. 95 OSPF, coste..................................................... 71 OSPF, diseño................................................. 101 OSPF, DR y B D R .......................................... 73
www.FreeLibros.com
OSPF, estado de enlace.............................. 96 OSPF, estados............................................73 OSPF, helio............................................... 72 OSPF, introducción....................................69 OSPF, métrica............................................71 OSPF, múltiples áreas.......................... 95,98 OSPF, paquetes..........................................75 OSPF, prioridad.........................................75 OSPF, resolución de fallos........................113 OSPF, subinterfaces................................... 91 OSPF, sumarización..................................103 OSPF, tablas...............................................71 OSPF, timers............................................. 90 OSPF, tipos de áreas..................................97 OSPF, tipos de router.................................96 OSPF, topologías....................................... 88 OSPF, vecinos........................................... 72 OSPF, verificación en múltiples áreas.....109 OSPF, verificación en un área.................... 82
P PAgP.......................................................341 PAL.........................................................525 PAM........................................................769 PAT.........................................................543 PDLM..................................................... 815 PDU........................................................288 PE849 PEAP.......................................................876 PHB................................................797,810 PHP.........................................................582 PIM........................................................ 246 PKI......................................................... 612 Platinum..................................................864 PoE, configuración.................................. 439 PoE, funcionamiento............................... 436 PoE, introducción..................................... 435 PoE, verificación................ .....................440 Policing...................................................839 PPP................. ....................................... 534 PPP, negociación..................................... 560 PPPoA............................................. 538, 547 PPPoA, configuración..............................549 PPPoA, dialer.......................^................ 550 PPPoE.....................................................535 PPPoE, ATM..........................................542 PPPoE, configuración...................... 541, 542 PQ................. .........................................821 Priority Queuing.......................................821 Proxy de autenticación.............................735 PSK........................................................ 498
920
O RA-MA
REDES CISCO. CCNP a Fondo
Punto de acceso............................................. 483 PVDM.............................................................11A PVLAN...........................................................471 PVLAN, configuración................................ 472
Q QoS, auto........................................................ 450 QoS, clases..................................................... 813 QoS, clasificación.........................................794 QoS, DSCP.....................................................446 QoS, extremo a extremo............................... 846 QoS, implementación....................................793 QoS, introducción......................................... 443 QoS, métodos.................................................797 QoS, modelos.................................................795 QoS, políticas.................................................795 QoS, preclasificación....................................845 QoS, verificación........................................... 452 QoS, VoIP......................................................447 Queries............................................................. 44 Query.................................................................40
R Radiofrecuencia............................................. 486 Radiofrecuencia, medición.......................... 489 RADIUS.................................................716, 873 Random Early Detection.............................. 833 RED........................................................ 793, 833 Redes Unificadas Cisco Wireless................885 Redistribición, selección de rutas................163 Redistribución............................ ...................159 Redistribución, bucles.................................. 164 Redistribución, comandos opcionales.......177 Redistribución, configuración......................171 Redistribución, ejemplos.............................. 179 Redistribución, métricas............................... 162 Redistribución, problemas............................ 163 Redistribución, verificación.........................187 Redundancia multicapa................................ 411 Redundancia, configuración........................ 429 Reflexión........................................................487 Refracción......................................................487 Reply................................................................ 40 Resumen de ruta............................................ 909 Roaming......................................................... 501 Round Robin..................................................822 Route-maps.................................................... 188 Route-maps, configuración.......................... 191 RPVST+.........................................................390 R R ...................................................................822
RRI..................................................................674 RSTP, configuración.................................... 389 RSTP, convergencia..................................... 384 RSTP, fimcionamineto.................................382 RSTP, introducción...................................... 382 RSTP, puertos...............................................384 RSTP, sincronización................................... 385 RSTP, topologías..........................................388 RSV P.....................................................572, 796 RTP.................................................................792
s S A D ................................................................623 SCTP.............................................................. 666 SDM.............................................. 631,699, 800 SECAM.......................................................... 525 - Security Audit.....................-.......................700 Seguridad con V LA N ..................................469 Seguridad de puertos.................................... 455 SFP....................................................................69 Shaping.......................................................... 839 Silver.............................................................. 864 Sincronización entre supervisoras.............. 430 SIP...................................................................765 SLA.................................................................847 SME............................................................... 750 SPD.............................................................. ..623 SPI...................................................................623 Split MAC......................................................864 SRST.............................................................. 786 SSAP.............................................................. 549 Stateful...........................................................658 Stateless.........................................................658 STP................................................................ 347 STP, BPDU guard........................................ 377 STP, bucles................................................... 350 STP, configuración.......................................361 STP, estados.................................................. 355 STP, funcionamiento.................................... 351 STP, protección.............................................376 STP, puerto designado.................................355 STP, puerto raíz.................................... .....353 STP, redundancia..........................................371 STP, resolución de fallos............................ 375 STP, root guard.............................................376 STP, switch raíz.... .......................................352 STP, temporizadores........................... 357, 370 STP, tipos...................................................... 360 STP, topologías.............................................358 STP, U D LD ..................................................379 Subredes....................................................... 903
www.FreeLibros.com
©RA-M A
ÍNDICE ALFABÉTICO 921
Subredes, creación.........................................903 Supervisoras redundantes.............................428 SVI................................................................. 474 Switch multicapa.................................. 306, 397 Switch spoofmg............................................. 475
T TACACS+..................................................... 716 Tail drop................................................ 819, 832 TCAM............................................................308 TDP................................................................ 587 Tipos de direcciones IP................................229 TKIP............................................................... 877 TLS................................................................ 875 TLY................................................................ 122 Tormenta de broadcast.................................350 Transform set................................................618 Troncales....................................................... 325
u u-Law.............................................................772 Unicasts......................................................... 229 Update..............................................................40
V VACL............................................................ 469 VAD...................................................... 774, 783 VCI.................................................................539 Video en IP.................................................... 231 Virtual link.................................................... 103 VLAN............................................................321 VLAN hopping............................................ 476 VLANVoIP..................................................440 VLSM ........................................................... 907 VLSM, creación........................................... 907 VoIP, ancho de banda..................................778 VoIP, componentes......................................762 VoIP, conversión.......................................... 769 VoIP, fases....................................................765 VoIP, interfaces analógicas............... ........ 763 VoIP, interfaces digitales............................ 764 VoIP, introducción.............................. .......761 VoIP, modelos.............................................. 787 VPN sobre MPLS......................................... 591 VPN, desventajas......................................... 595 VPN, fallos....................................................657 VPN, peer to peer......................................... 594 VPN, site-to-site........................................... 615
www.FreeLibros.com
VPN, tradicionales....................................... 592 VPN, ventajas...............................................594 VRRP.............................................................419 VTP................................................................ 331 VTP, configuración...................................... 335 VTP, dominios..............................................332 VTP, modos..................................................332 VTP, pruning................................................336
w WCS.....................................................885,888 WCS Location...............................................889 WCS Location + 2700 Series...................... 889 WCS, configuración..................................... 892 WCS, mapas..................................................894 Weighted Fair Queuing................................823 Weighted Random Early Detection..........834 Weighted Round Robin................................822 WEP...................................................... 498, 880 WFQ..............................................................823 Wildcard........................................................ 910 Wildcard, creación....................................... 911 Wireless........................................................ 479 Wireless Lan Controller...............................863 Wireless Location Appliance...................... 891 WLAN, antenas............................................ 492 WLAN, arquitectura....................................505 WLAN, autenticación.................................. 871 WLAN, bloques............................................481 WLAN, celdas.............................................. 484 WLAN, configuración.................................513 WLAN, estándares.......................................494 WLAN, introducción...................................480 WLAN, seguridad................................497, 871 WLAN, tramas............................................. 493 W LC...........................................506,507, 863 WLSE............................................................ 886 WLSE Express........................;...................888 WMM................. ■.........................................864 W PA................................................... 499, 877 WPA2.................. '............................... 500, 878 WRED...................................................811, 834
X XOR.............................................................. 340
z Zonas de Fresnel..........................................488