Uploaded by Fernando Javier Jañez Fernandez

CCNP

advertisement
www.FreeLibros.com
REDES CISCO
CCNP a Fondo
GUÍA DE ESTUDIO PARA PROFESIONALES
www.FreeLibros.com
REDES CISCO
CCNP a Fondo
GUÍA DE ESTUDIO PARA PROFESIONALES
Ernesto Ariganello
Enrique Barrientos Sevilla
www.FreeLibros.com
Datos catalográficos
Ariganello, Ernesto y Bamentos, Enrique
REDES CISCO. CCNP a Fondo. Guía de estudio para
Profesionales
Primera Edición
Alfaomega Grupo Editor, S.A. de C.V., México
ISBN: 978-607-7854-79-1
Formato: 17 x 23 cm
Páginas: 924
REDES CISCO. CCNP a Fondo. Guía de estudio para Profesionales
Ernesto Ariganello y Enrique Bamentos Sevilla
ISBN: 978-84-7897-966-0, edición original publicada por RA-MA Editorial, Madrid, España
Derechos reservados O RA-MA Editorial
Primera edición: Alfaomega Grupo Editor, México, junio 2010
© 2010 Alfaomega Grupo Editor, S A . de C.V.
Pitágoras 1139, Col. Del Valle, 03100, México D.F.
Miembro de la Cámara Nacional de la Industria Editorial Mexicana
Registro No. 2317
Pág. Web: http://www.alfaomega.coin.mx
E-mail: atencionalcliente@alfaomega.com.mx
ISBN: 978-607-7854-79-1
Derechos reservados:
Esta obra es propiedad intelectual de su autor y los derechos de publicación en lengua española
han sido legalmente transferidos al editor. Prohibida su reproducción parcial o total por
cualquier medio sin permiso por escrito del propietario de los derechos del copyright.
Nota importante:
La información contenida en esta obra tiene un fin exclusivamente didáctico y, por lo tanto, no
está previsto su aprovechamiento a nivel profesional o industrial. Las indicaciones técnicas y
programas incluidos, han sido elaborados con gran cuidado por el autor y reproducidos bajo
estrictas normas de control. ALFAOMEGA GRUPO EDITOR, S.A. de C.V. no será jurídicamente
responsable por: errores u omisiones; daños y perjuicios que se pudieran atribuir al uso de la
información comprendida en este libro, ni por la utilización indebida que pudiera dársele.
Edición autorizada para venta en México y todo el continente americano.
Impreso en México. Printed in México.
Empresas del grupo:
México: Alfaomega Grupo Editor, S A. de C.V. - Pitágoras 1139, Col. Del Valle, México, DF. - CP. 03100.
Tel.: (52-55) 5089-7740 - Fax: (52-55) 5575-2420 / 2490. Sin costo: 01-800-020-4396
E-mail: ateiicionalcliente @alfaomega .com .mx
Colombia: Alfaomega Colombiana SA . - Carrera 15 No. 64 A 29 - PBX (57-1) 2100122, Bogotá,
Colombia, Fax: (57-1) 6068648 - E-mail: scliente@alfaomega.com.co
Chile: Alfaomega Grupo Editor, S.A. - General del Canto 370-Providencia, Santiago, Chile
Tel.: (56-2) 235-4248 - Fax: (56-2) 235-5786 - E-mail: agechile@alfaomega.cl
Argentina: Alfaomega Grupo Editor Argentino, S.A. - Paraguay 1307 P.B. “11”, Buenos Aires, Argentina,
C.P. 1057-Tel.: (54-11) 4811-7183 / 8352,E-mail: ventas@alfaomegaeditor.com.ar
www.FreeLibros.com
INDICE
INTRODUCCIÓN...................................................................................................................29
PARTE 1......................................................................................................................................37
CAPÍTULO 1: EIGRP............................................................................................................. 39
INTRODUCCIÓN A EIGRP.................................................................................................39
Funcionamiento de EIGRP............................................................................................... 40
Métrica EIGRP................................................................................... ............................... 41
DUAL...................................................................................................................................... 43
Queries............................................................................................................................... 44
Actualizaciones incrementales......................................................................................... 45
Actualizaciones multicast..................................................................................................45
BALANCEO DE CARGA DESIGUAL...............................................................................45
TABLAS EIGRP................................................................................................................... 46
Tabla de vecindad................................................................. ............................................ 46
Contenidos de la tabla de vecinos........................................ .............. !...........................46
Establecimiento de la vecindad........................................................................................ 47
Creando la tabla de topología........................................................................................... 47
Manteniendo la tablas de topología...... ...........................................................................49
Agregando una red a la tabla de topología...................................................................... 49
Suprimiendo una ruta de la tabla de topología................................................................50
Buscando rutas alternativas...............................................................................................51
Creando la tabla de enrutamiento..................................................................................... 51
Selección de rutas EIGRP...................................... .......................................................... 52
www.FreeLibros.com
6
REDES CISCO. CCNP a Fondo
©RA-MA
Actualizando las tablas de enrutamiento en modo pasivo con DUAL........................... 52
Actualizando las tablas de enrutamiento en modo activo con DUA L........................... 53
DISEÑO DE RED CON EIGRP............................................................................................. 55
Problemas en el diseño de EIGRP..................................................................................... 55
CONFIGURACIÓN DE EIGRP............................................................................................. 57
Configuración básica de EIGRP........................................................................................ 57
Sumarización en EIGRP...................................................................................................... 58
Router Stub............................................................................................... ............................59
Balanceo de carga en EIGRP................................ .............................................................60
MEJORANDO EL FUNCIONAMIENTO DE EIGRP........................................................ 61
Temporizadores............................................... .....................................................................61
Autenticación EIGRP.......................................................................................................... 62
EIGRP en redes WAN......................................................................................................... 63
Optimización del ancho de banda......................................................................................64
VERIFICACIÓN EIGRP......................................................................................................... 64
RESOLUCIÓN DE FALLOS EN EIGRP............................................................................. 67
CAPÍTULO 2: OSPF..................................................................................................................69
INTRODUCCIÓN A OSPF.....................................................................................................69
Funcionamiento de OSPF............... ................................................................................... 70
Métrica OSPF........................................................................................................................71
Tablas OSPF..........................................................................................................................71
Vecinos OSPF...................................................................................................................... 72
Estados OSPF....................................................................................................................... 73
Router designado y router designado de reserva...............................................................73
Tipos de paquetes OSPF..................................................................................................... 75
Áreas en OSPF..................................................................................................................... 77
CONFIGURACIÓN BÁSICA DE OSPF.............................................................................. 78
Configuración de OSPF en una sola área.......................................................................... 78
Cambio del cálculo del coste...............................................................................................81
Ejemplo de configuración de OSPF en una sola área......................................................82
VERIFICACIÓN OSPF EN UNA SOLA ÁREA...................................... ............................82
Comandos debug............................................................................................................. ....88
TOPOLOGÍAS OSPF...............................................................................................................88
Reconocimientos de vecinos...............................................................................................90
Temporizadores.................................................................................................................... 90
Subinterfaces.........................................................................................................................91
Elección de una topología OSPF........................................................................ ............. 91
www.FreeLibros.com
© RA-MA
ÍNDICE 7
CONFIGURACIÓN DE OSPF EN UN ENTORNO NONBROADCAST........................ 93
Configuración de red del tipo point-to-multipoint en OSPF...........................................94
Configuración de red del tipo broadcast en OSPF...........................................................94
Configuración de red del tipo point-to-point con subinterfaces Frame-Relay en
OSPF.................................................................................................................................... 95
MÚLTIPLES ÁREAS OSPF.................................................................................................. 95
Tipos de router en múltiples áreas.................................................................................... 96
Anuncios de estado de enlace............................................................................................ 96
TIPOS DE ÁREAS OSPF....................................................................................................... 97
Funcionamiento de OSPF en múltiples áreas................................................................... 98
Selección de rutas entre áreas............................................................................................ 99
Calculando el coste a un área diferente...........................................................................100
DISEÑO DE OSPF EN MÚLTIPLES ÁREAS...................................................................101
Sumarización..................................................................................................................... 103
Virtual Links......................................................................................................................103
OSPF multi área en redes NBMA................................................................................... 104
CONFIGURACIÓN DE OSPF EN MÚLTIPLES ÁREAS............................................... 105
Comandos opcionales para OSPF en múltiples áreas................................................... 106
Ejemplo de configuración de OSPF en múltiples áreas................................................ 108
VERIFICACIÓN DÉ OSPF EN MÚLTIPLES ÁREAS.................................................... 109
RESOLUCIÓN DE FALLOS EN OSPF MULTI ÁREA.................................................. 113
ÁREAS ESPECIALES OSPF...............................................................................................115
Áreas Stub......................................................................................................................... 116
Áreas totally stubby.......................................................................................................... 116
Áreas not-so-stubby.......................................................................................................... 118
AUTENTICACIÓN OSPF................................................................................................... 118
Autenticación en texto plano............................................................................................119
Autenticación con M D5.................................................................................................. 119
CAPÍTULO 3: IS -IS ......................................................................................... .....................121
INTRODUCCIÓN A IS-IS.......................................................... ........................................ 121
Terminología IS-IS..................................:......................................................................122
Protocolos de la capa de red utilizados en IS-IS............................................................122
Tipos de paquetes IS-IS.................................................................................................... 123
COMPARACIÓN DE IS-IS CON OSPF............................................................. ...............124
DIRECCIONAMIENTO ISO.............................................................................................. 126
Reglas para el direccionamiento ISO..............................................................................128
Direcciones NET y NSAP......................................... ...................................................... 128
www.FreeLibros.com
8
©RA-MA
REDES CISCO. CCNP a Fondo
Ejemplo de una dirección NET........................................................................................ 128
ADYACENCIAS EN IS-IS................................................................................................... 129
Adyacencias en enlaces punto a punto.............................................................................131
Adyacencias en enlaces broadcast.................................................................................... 131
Adyacencias en enlaces NBMA.......................................................................................132
FUNCIONAMIENTO DE IS-IS............................................................................................132
Proceso de actualización................................................................................................... 132
Proceso de enrutamiento................................................................................................... 134
DISEÑO DE REDES IS-IS.................................................................................................... 136
Soluciones de diseño en redes NBMA con IS-IS............................................................137
Sumarización de rutas....................................................................................... ............... 138
CONFIGURACIÓN BÁSICA DE IS-IS..............................................................................138
Comandos opcionales de IS-IS........................................................................................ 140
Configuración de la sumarización.................................................................................... 142
Configuración NBMA....................................................................................................... 144
Configuración de broadcast en una red NBMA..............................................................144
Configuración de punto a punto en una red NBM A...................................................... 146
VERIFICACIÓN IS-IS...........................................................................................................148
RESOLUCIÓN DE FALLOS EN IS-IS...............................................................................157
CAPÍTULO 4: IMPLEMENTACIONES CON CISCO IO S .......................................... 159
REDISTRIBUCIÓN...............................................................................................................159
Funciones de enrutamiento que afectan a la redistribución...........................................162
Las métricas y la redistribución....................................................................................... 162
Selección de rutas a través de protocolos de enrutamiento............................................163
Posibles problemas al redistribuir.................................................................................... 164
Solución de problemas al redistribuir..............................................................................164
CONTROL DE LAS ACTUALIZACIONES DE ENRUTAMIENTO DURANTE LA
REDISTRIBUCIÓN...............................................................................................................167
CONFIGURACIÓN DE LA REDISTRIBUCIÓN............................................................ 171
Configuración de la métrica por defecto..........................................................................173
Configuración; de la métrica por defecto para OSPF, IS-IS, RIP o BGP..................... 174
Configuración de la métrica por defecto en EIGRP....................................................... 174
DISTANCIA ADMINISTRATIVA..................................................................................... 176
COMANDOS OPCIONALES PARA CONTROLARLAS ACTUALIZACIONES DE
ENRUTAMIENTO EN LA REDISTRIBUCIÓN...............................................................177
Ejemplos de redistribución.................... ........................................................................... 179
www.FreeLibros.com
© RA-MA
ÍNDICE 9
CONTROL DE LAS ACTUALIZACIONES DE ENRUTAMIENTO CON
FILTRADO........................................................................................................................... 184
VERIFICACIÓN, MANTENIMIENTO Y RESOLUCIÓN DE FALLOS......................187
CONTROL DE LA REDISTRIBUCIÓN CON ROUTE-MAPS..................................... 188
Funcionamiento de los route-maps.................................................................................188
Características de los route-maps....................................................................................188
CONFIGURACIÓN DE LOS ROUTE-MAPS.................................................................. 191
Comandos match para la redistribución con route-maps.............................................. 191
Comandos set para la redistribución con route-maps...................................................192
VERIFICACIÓN DE LOS ROUTE-MAPS.......................................................................194
CAPÍTULO 5: DHCP............................................................................................................. 195
INTRODUCCIÓN A DHCP.................................................................................................195
Dispositivos DHCP.......................................................................................................... 196
CONFIGURACIÓN DHCP..................................................................................................197
Configuración de un servidor DHCP............................................................................. 197
Configuración de un DHCP Relay..................................................................................198
Configuración de un cliente DHCP................................................................................ 199
RESOLUCIÓN DE FALLOS EN DHCP...........................................................................200
CAPÍTULO 6: BG P................................................................................................................ 201
INTRODUCCIÓN A BGP....................................................................................................201
Funcionamiento básico de BGP..................................................................................... 202
Jerarquías BGP................................................................................................................. 203
Cuando utilizar BGP........................................................................................................203
Tablas de BGP.................................................................................................................. 204
CONECTANDO A INTERNET CON BGP...................................................................... 204
Multihoming..................................................................................................................... 205
Información de enrutamiento desde Internet............................................... ................. 205
Sincronización.............................................................. .............. •...................................206
ESTADOS DE BGP..............................................................................................................209
CONFIGURACIÓN DE B G P.............................................................................................210
Comandos básicos..................... ......................................................................................210
Identificando vecinos y definiendo peer-groups........................................................... 210
Dirección IP de origen.... .................................................................................................213
Forzando la dirección del próximo salto.......... ............................................................ 214
Definiendo las redes que serán anunciadas....................................................................215
Agregación de rutas..........................................................................................................215
Autenticación....................................... ........................................................................... 216
www.FreeLibros.com
10
REDES CISCO. CCNP a Fondo
____________________________________________
O RA-MA
VERIFICACIÓN DE BG P....................................................................................................216
Reestableciendo la vecindad............................................................................................ 217
ATRIBUTOS DE BGP.......................................................................................................... 218
Controlando la selección de caminos de BG P................................................................221
Uso del atributo Weight....................................................................................................221
Uso del atributo Local-Preference...................................................................................222
Uso del atributo M ED.......................................................................................................224
Uso del atributo AS-path...................................................................................................225
VERIFICACIÓN DE LOS ATRIBUTOS................ ...........................................................225
CAPÍTULO 7: MULTICAST................................................................................................ 229
INTRODUCCIÓN A MULTICAST....................................................................................229
Tipos de direcciones IP .....................................................................................................229
Vídeo en un escenario IP...................................................................................................231
DIRECCIONAMIENTO MULTICAST............................................................................. 233
Direccionamiento MAC multicást.................................................................................. 234
Direccionamiento IP multicást................................. ........................................................236
Aplicaciones multicást................................ ..................................................................... 237
Problemas con multicást....................................................................................................237
Multicást y la capa de enlace............................................................................................ 238
IGMP.............................................................. ........................................................................ 239
IGMPvl...............................................................................................................................239
IGMPv2...............................................................................................................................240
Operación de IGMPv2...................................................................................................... 241
IGMPv3............................................................................................................................... 241
Determinación de la versión de IGMP............................................................................ 241
CONFIGURACIÓN DE IGMP............................................................................................ 242
Grupos IGMP..................................................................................................................... 242
IGMP snooping.................................................................................................................. 243
PROBLEMAS CON MULTICAST................................................................................... .244
ENRUTAMIENTO DE TRÁFICO MULTICAST............................................................244
Reverse Path Forwarding................................................................................................. 244
Árboles multicást............................................... ..............................................................245
Árboles de distribución..................................................................................................... 245
Protocolos de enrutamiento multicást Dense y Sparse..................................................246
PIM...........................................................................................................................................246
PIM dense mode.................................................................................................................246
PIM sparse mode.............................................................................. .................................248
www.FreeLibros.com
ÍNDICE 11
©RA-M A
Modo PIM Sparse-Dense................................................................................................ 250
PIM versión 1 ................................................................................................................... 250
PIM versión 2 ....................................................................................................................251
Habilitación de PIN en modo Sparse-Dense..................................................................251
VERIFICACIÓN DE ENRUTAMIENTO MULTICAST................................................ 253
Verificación de rutas........................................................................................................253
Verificación de vecinos................................................................................................... 254
Verificación de los Rendezvous Points..........................................................................254
Verificación del enrutamiento multicást........................................................................255
CAPÍTULO 8: IP v6................................................................................................................ 257
INTRODUCCIÓN A IP vó.................................................................................................. 257
CABECERA DE UN PAQUETE IP v 6 .............................................................................. 259
Checksum..........................................................................................................................260
Fragmentación.................................................................................................................. 260
Etiqueta de flujo................................................................................................................261
Formato del direccionamiento IPv6............................................................................... 261
TIPO DE DIRECCIONAMIENTO IPv6............................................................................262
Identificadores de las interfaces......................................................................................262
Direcciones unicast IPv6................................................................................................. 263
Dirección IPv6 global.......................................................................................................264
Dirección IPv6 local.........................................................................................................264
Direcciones IPv6 anycast................................................................................................ 265
Direcciones IPv6 multicást.............................................................................................. 266
Asignamiento de direcciones IPv6.................................................................................268
CONFIGURACIÓN DE IP v6............................................................................................. 268
Rutas estáticas...................................................................................................................269
RIPng.................................................................................................................. .............. 269
EIGRP para IPv6.............................................. ............
.......... :................................. 269
IS-IS para IPv6................................................................................................... ............. 269
MP-BGP4 para IPv6.........................................................................................................270
OSPFv3................................... ......................................................................................... 270
Similitudes entre OSPFv2 y OSPFv3............................................................................270
Diferencias entre OSPFv2 y OSPFv3............................................................................270
Tipos de L S A ................................................................................................................... 272
CONFIGURACIÓN DE IPv6 EN OSPFV3.......................................................................273
VERIFICACIÓN DE IPv6 EN OSPFv3............................................................................276
TRANSICIÓN DESDE IPv4 A IP v6.................................................................................279
www.FreeLibros.com
12
©RA-M A
REDES CISCO. CCNP a Fondo
Dual stack........................................................................................................................... 279
Tunneling........................................................... ................................................................ 280
Manual Tunnels.................................................................................................................. 281
Túneles 6-to-4.................................................................................................................... 281
Teredo.............................................................................................................. ................... 283
ISATAP...............................................................................................................................283
Translation............................................................... ...........................................................283
PARTE I I ....................................................................................................................................285
CAPÍTULO 9: DISEÑO DE REDES....................................................................................287
FUNCIONALIDAD DE SWITCHING................... ............................................................287
Conmutación de capa 2 ..................................................................................................... 288
Enrutamiento de capa 3 ................... ................................................................................. 289
Conmutación de capa 3 ..................................................................................................... 290
Conmutación de capa 4 ..................................................................................................... 290
Conmutación multicapa..................................................................................................... 291
REDES DE CAMPUS............................................................................................................291
Modelo de red compartida................................................................................................. 291
Modelo de segmentación de LAN.................................................................................... 292
Modelo de tráfico de red................................................................................................... 293
Modelo de red predecible..................................................................................................294
MODELO DE RED JERÁRQUICO.....................................................................................294
Nivel de acceso.....................................................v.......................................................... 295
Nivel de distribución..........................................................................................................295
Nivel de core......................................................................................................... ........... 296
DISEÑO MODULAR DE RED.............................................................................................296
Bloque de conmutación..................................................................................................... 297
Dimensionamiento del bloque de conmutación..............................................................298
Bloque de core.................................................................................................................... 299
Tamaño del core en una red de campus...........................................................................301
Bloque de granja de servidores...................................................................................... 301
Bloque de gestión de red.................................. .............................................................. 301
Bloque de frontera de la empresa..................................................................................... 302
Bloque frontera del ISP..................................................................................................... 302
Switch de capa 2 en distribución...................................................................................... 302
EVALUACIÓN DE UNA RED EXISTENTE.................................................................... 303
www.FreeLibros.com
ÍNDICE 13
© RA-MA
CAPÍTULO 10: OPERACIÓN DE CONMUTACIÓN.....................................................305
CONMUTACIÓN DE CAPA 2 ............................................................................................ 305
CONMUTACIÓN MULTICAPA........................................................................................306
TABLAS UTILIZADAS EN CONMUTACIÓN............................................................... 307
Tabla CAM.........................................................................................................................307
Tabla TCAM......................................................................................................................308
VERIFICACIÓN DEL CONTENIDO DE LA CAM......................................................... 310
TIPOS DE PUERTOS DE UN SWITCH............................................................................. 311
Ethernet.............................................................................................................................. 311
CSMA/CD.......................................................................................................................... 311
Fast Ethernet.......................................................................................................................312
Gigabit Ethernet................................................................................................................ 313
10-Gigabit Ethernet........................................................................................................... 313
ESTÁNDARES DE MEDIOS..............................................................................................314
CONFIGURACIÓN DE PUERTOS DEL SWITCH.......................................................... 315
Causas de error en puertos Ethernet................................................................................ 317
VERIFICACIÓN DEL ESTADO DE UN PUERTO..........................................................318
CAPÍTULO 11: REDES VIRTUALES................................................................................ 321
VLAN......................................................................................................................................321
CONFIGURACIÓN DE VLAN ESTÁTICAS................................................................... 322
DISEÑO DE VLAN...............................................................................................................324
ENLACES TRONCALES.................................................................................................... 325
ISL...................................................................................................................................... 326
IEEE 802.1Q..................................................................................................................... 326
CONFIGURACIÓN DE TRONCALES............................................... .............................. 327
Ejemplo de configuración de un troncal.........................................................................328
RESOLUCIÓN DE FALLOS EN LAS V LAN ...... ........................................................... 329
CAPÍTULO 12: V T P............................................................................ .................... ........... 331
VLAN TRUNKING PROTOCOL........................................................................................331
Dominios de VTP.................... ......................................................................................... 332
Modos de V T P.................................................................................................................. 332
Anuncios de VTP.............................................................................................................. 333
CONFIGURACIÓN DE VTP.:............................................................................................. 335
VTP Pruning...................................................................................................................... 336
RESOLUCIÓN DE FALLOS EN VTP ............................................................................... 336
www.FreeLibros.com
14
©RA-M A
REDES CISCO. CCNP a Fondo
CAPÍTULO 13: ETHERCHANNEL....................................................................................339
AGREGACIÓN DE PUERTOS........................................................................................... 339
Distribución de tráfico.......................................................................................................339
Balanceo de carga.............................................................................................................. 340
PROTOCOLOS DE NEGOCIACIÓN ETHERCHANNEL.............................................341
PAgP.................................................................................................................................... 341
LACP............................................................................. .....................................................342
CONFIGURACIÓN ETHERCHANNEL................. ......................................................... 342
Configuración PAgP......................................................................................................... 343
Configuración LACP.........................................................................................................344
RESOLUCIÓN DE FALLOS EN ETHERCHANNEL.............. .......................................344
CAPÍTULO 14: STP................................................................................................................ 347
INTRODUCCIÓN A SPANNING TREE PROTOCOL.................................................. 347
Redundancia con switch....................................................................................................348
Solución a los bucles de capa 2 ................................... .................................................... 350
FUNCIONAMIENTO DE STP...........................................................................................351
Elección del switch raíz................................................. ................................................. 352
Elección del puerto raíz..................................................................................................... 353
Elección del puerto designado.......................................................................................... 355
ESTADOS STP....................................................................................................................... 355
Temporizadores de STP....................................................................................................357
CAMBIOS DE TOPOLOGÍAS............................................................................................ 358
TIPOS DE STP....................................................................................................................... 360
CONFIGURACIÓN DE STP................................................................................................361
Ubicación del switch raíz.......................................................................................................:....361
Configuración del switch raíz.......................................................................................... 364
OPTIMIZACIÓN DEL FUNCIONAMIENTO DE STP...................................................367
Mejorando la configuración del root path cost.............................................................. 367
Mejorando la configuración del port ID.......................................................................... 368
Mejorando la convergencia se STP................................. .........................................................369
CONVERGENCIA DE ENLACES REDUNDANTES..... ............................................... 371
RESOLUCIÓN DE FALLOS EN STP..............................................................................375
PROTECCIÓN DE LAS TOPOLOGÍAS STP.............................. ..................................... 376
Protección contra BPDU inesperadas............................................................................. 376
Protección contra la pérdida repentina de BPD U ..........................................................378
Filtros BPDU para deshabilitar STP................................................................................381
RESOLUCIÓN DE FALLOS EN LA PROTECCIÓN DE STP................... ...................381
www.FreeLibros.com
ÍNDICE 15
© RA-MA
RAPID SPANNING TREE PROTOCOL.......................................................................... 382
Funcionamiento de RSTP................................................................................................ 382
BPDU en RSTP.................................................................................................................383
Convergencia de RSTP....................................................................................................384
Tipos de puertos............................................................................................................... 384
Sincronización...................................................................................................................385
Cambios de topología en RSTP......................................................................................388
CONFIGURACIÓN DE RSTP............................................................................................ 389
RAPID PER-VLAN STP......................................................................................................390
MULTIPLE SPANNING TREE PROTOCOL.................................................................. 390
Regiones MST...................................................................................................................391
Instancias de STP dentro de MST.................................................................................. 392
Instancias IST....................................................................................................................392
Instancias MST................................................................................................................. 392
CONFIGURACIÓN DE MST............................................................................................. 394
CAPÍTULO 15: CONMUTACIÓN MULTICAPA..........................................................397
ENRUTAMIENTO ENTRE VLAN................................................................................... 397
CONFIGURACIÓN DE ENRUTAMIENTO ENTRE VLAN......................................... 398
Configuración de un puerto de capa 2............................................................................399
Configuración de un puerto de capa 3............................................................................399
Configuración de la interfaz S V I................................................................................... 399
CONMUTACIÓN MULTICAPA CON CEF.................................................................... 400
FIB..................................................................................................................................... 400
Tabla de adyacencias........................................................................................................403
Modificando paquetes......................................................................................................405
Fallback bridging.............................................................................................................. 405
VERIFICACIÓN DE CONMUTACIÓN MULTICAPA..................................................406
CAPÍTULO 16: BALANCEO DE CARGA Y REDUNDANCIA ..... ............................ 411
REDUNDANCIA Y BALANCEO EN SWITCH MULTICAPA.....................................411
HOST STANDBY ROUTER PROTOCOL.... ........... ..........................;................. ........411
Elección del router HSRP............................................................................................... 412
Autenticación HSRP........................................................................................................413
Solución ante fallos......................................................................................................... 414
Puerta de enlace virtual....................................................................................................415
Balanceo de carga HSRP................................................................................................. 416
VIRTUAL ROUTER REDUNDANCY PROTOCOL......................................................419
www.FreeLibros.com
16
©RA-M A
REDES CISCO. CCNP a Fondo
GATEWAY LOAD BALANCING PROTOCOL.............................................................. 422
A VG ....................................................................................................................................422
AVF..................................................................................................................................... 423
Balanceo de carga GLBP..................................................................................................425
Habilitación de GLBP....................................................................................................... 425
REDUNDANCIA EN EL CHASIS DEL SWITCH........................................................... 428
Supervisoras redundantes..................................................................................................428
Configuración de la redundancia..................................................................................... 429
Configuración de la sincronización entre supervisores..................................................430
Non-Stop Forwarding........................................................................................................ 430
Fuentes de alimentación redundantes...............................................................................431
CAPÍTULO 17: TELEFONÍA IP.......................................................................................... 435
POWER OVER ETHERNET................................................................................................435
Funcionamiento de PoE ....................................................................................................436
Detección de dispositivos alimentados............................................................................436
Proporcionado energía a un dispositivo.......................................................................... 437
CONFIGURACIÓN DE P oE ................................................................................................439
VERIFICACIÓN DE PoE ..................................................................................................... 440
VLAN DE VOZ IP.................................................................................................................. 440
Configuración de la VLAN de v o z .................................................................................. 441
Verificación de la VLAN de v o z ..................................................................................... 442
CALIDAD DE SERVICIO EN VOZ IP ...............................................................................443
Visión general de QoS....................................................................................................... 443
Best-effort............................................................................................................................444
Servicios integrados...........................................................................................................444
Servicios diferenciados..................................................................................................... 445
MODELO QOS DlFFSERV.................................................................................................... ;445
Clasificación de capa 2 de QoS........................................................................................ 445
Clasificación de capa 3 QoS con DSCP................... .......................................................446
Implementación QoS para v o z ................................................................................. ......447
Configuración de la frontera de confianza..................... ........ ,....................................449
Configuración de AutoQoS................................................................ ............................450
VERIFICACIÓN QoS DE VOZ IP ................................................. .................................... 452
CAPÍTULO 18: SEGURIDAD DE ACCESO AL SWITCH........................................... 455
SEGURIDAD DE PUERTOS...............................................................................................455
AUTENTICACIÓN BASADA EN PUERTO..................................................................... 458
www.FreeLibros.com
©RA-M A
ÍNDICE 17
Configuración de 802. IX ................................................................................................ 459
MITIGANDO ATAQUES ESPIAS.....................................................................................461
RECOMENDACIONES PRÁCTICAS DE SEGURIDAD.............................................. 467
CAPÍTULO 19: SEGURIDAD CON VLAN..................................................................... 469
LISTAS DE ACCESO VLAN.............................................................................................469
Configuración de VACL................................................................................................. 469
VLAN PRIVADAS.............................................................................................................. 471
Configuración de PVLAN............................................................................................... 472
Asociación de puertos con PVLAN............................................................................... 473
Asociación de VLAN secundarias y primarias SVI......................................................474
SEGURIDAD EN LOS ENLACES TRONCALES.......................................................... 475
Switch Spoofing............................................................................................................... 475
VLAN Hopping................................................................................................................ 476
CAPÍTULO 20: REDES INALÁMBRICAS......................................................................479
INTRODUCCIÓN A LAS WIRELESS LAN................................................................... 479
Colisiones WLAN....................................................... .................................................... 480
CONSTRUCCIÓN DE BLOQUES WLAN.......................................................................481
Funcionamiento de un AP............................................................................................... 483
Celdas WLAN.................................................................................................................. 484
RADIOFRECUENCIA EN WLAN.................................................................................... 486
Medición de la señal de radio frecuencia.......................................................................489
Pérdida de señal................................................................................................................490
Ganancia de la señal......................................................................................................... 491
ANTENAS WLAN............................................................................................................... 492
TRAMAS WLAN................................................................................................................. 493
ESTÁNDARES W LAN...................................................................................................... 494
Agencias reguladoras....................................................................................... .............. 494
802.11b............................................................................................................................494
802.1 l g ............................................................................................ ................................. 495
802.11a........................................................... .................................................................. 495
Estándares adicionales 802.11 ...................... .................................................................495
CAPÍTULO 21: ARQUITECTURA WLAN......................................................................497
SEGURIDAD W LAN..........................................................................................................497
Antecedentes sobre seguridad.............................................................. ..........................498
Métodos de seguridad basados en EA P..... ...................................................................499
WPA.................. ................................................................ ...............................................499
www.FreeLibros.com
18
©RA-MA
REDES CISCO. CCNP a Fondo
WPA2..................................................................................................................................500
COMPATIBILIDAD DE LOS CLIENTES WIRELESS...................................................501
ASOCIACIÓN Y ROAMING...............................................................................................501
DISTRIBUCIÓN DE CELDAS Y CANALES....................................................................503
CAPÍTULO 22: CISCO UNIFIED WIRELESS NETW ORK........................................505
ARQUITECTURA WLAN TRADICIONAL.....................................................................505
CISCO UNIFIED WIRELESS NETWORK.......................................................................506
Funciones del WLC........................................................................................................... 507
Funciones del LAP............................................................................................................ 508
Patrones de tráfico en una red cisco wireless unificada................................................ 509
Asociación y roaming del LAP................................................................................ ......511
Roaming entre controladores........................................................................................... 511
CONFIGURACIÓN BÁSICA WLAN................................................................................ 513
Configuración del WLC....................................................................................................513
Configuración del LAP.....................................................................................................517
Configuración del puerto del switch para el LAP..........................................................518
PARTE III...................................................................................................................................521
CAPÍTULO 23: TECNOLOGÍAS DE ACCESO.............................................................. 523
ACCESO POR CABLE.........................................................................................................523
Terminología de acceso por cable....................................................................................523
Estándares de transmisión por cable............................................................................... 525
Redes híbridas de fibra y coaxial.....................................................................................526
Transmisión de datos por cable........................................................................................526
Problemas de las redes de cable.......................................................................................528
Aprovisionamiento de cable módem............................................................................... 528
ACCESO POR DSL............................................................................................................... 529
Terminología DSL............................................................................................................. 529
Limitaciones de DSL......................................................................................................... 531
Tipos de D S L .....................................................................................................................532
Transmisión de datos sobre A D SL..................................................................................533
RFC 1483/2684 BRIDGING................................................................................................ 534
PROTOCOLO PUNTO A PUNTO................................................ .....................................534
PPP SOBRE ETHERNET.....................................................................................................535
Fase de descubrimiento.....................................................................................................536
Fase de sesión PPP............................................................................................................ 537
Variables de la sesión PPPoE....................................................................... ...................538
www.FreeLibros.com
© RA-MA
ÍNDICE 19
PPP SOBRE ATM ................................................................................................................ 538
CAPÍTULO 24: CONFIGURACIÓN DE DSL..................................................................541
CONFIGURACIÓN DE ACCESO DSL CON PPPoE..................................................... 541
Configuración de una interfaz Ethernet ATM PPPoE..................................................542
Configuración de una interfaz PPPoE Dialer.................................................................543
Configuración de PAT.....................................................................................................543
Configuración de DHCP para usuarios D SL.................................................................545
Configuración de una ruta estática..................................................................................545
Ejemplo de configuración de un router CPE..................................................................546
CONFIGURACIÓN DE ACCESO DSL CON PPPoA.....................................................547
Conexiones PPP sobre A A L5.........................................................................................548
Configuración de una interfaz ATM para PPPoA......................................................... 549
Configuración del Dialer DSL PPPoA y Virtual-Template......................................... 550
Ejemplo de configuración de un router CPE con PPPoA............................................. 551
Ejemplo de configuración de un router CPE con AAL5MUX.................................... 553
RESOLUCIÓN DE FALLOS.............................................................................................. 555
Anatomía de la capa 1 ......................................................................................................555
Proceso de resolución de fallos.......................................................................................556
Inspección visual.............................................................................................................. 558
Modo de operación D SL ................................................................................................. 558
Análisis de problemas de capa 2 .....................................................................................559
Negociación PPP.............................................................................................................. 560
CAPÍTULO 25: M PLS........................................................................................................... 563
INTRODUCCIÓN A LAS REDES MPLS......................................................................... 563
Conectividad MPLS W A N ............................................................................................. 566
Terminología MPLS......................................................................................................... 566
Características de MPLS................................................................................ !.............. 567
Conceptos MPLS........................................................... i................................ ............... 569
MECANISMOS DE CONMUTACIÓN........................................ !.................................. 570
Conmutación IP estándar.... .......................;................................................................. 570
Conmutación CEF................ ............................................................................................571
ARQUITECTURA MPLS............................................................... ....................................572
ETIQUETAS MPLS............................................................................................................. 573
Pilas de etiquetas.............................................................................................................. 574
MPLS en modo trama......................................................................................................575
ENVÍO DE TRÁFICO BASADO EN ETIQUETAS....... ................................................. 576
www.FreeLibros.com
20
©RA-M A
REDES CISCO. CCNP a Fondo
LIB, LFIB y FIB..................................
577
DISTRIBUCIÓN DE ETIQUETAS......
580
Propagación de paquetes...................
581
PHP.......................................................
582
CONFIGURACIÓN MPLS....................
582
Configuración de CEF........................
583
Configuración de una interfaz MPLS
587
Configuración de la M TU.................
589
MPLS CON TECNOLOGÍA V P N ........
591
VPN tradicionales..............................
592
VPN peer to peer................................
594
Ventajas de las VPN...........................
594
Desventajas de las V PN ....................
595
MPLS VPN...............................................
597
Terminología de MPLS VPN............
597
Tipos de router en MPLS V PN .........
598
Router Distinguishers.........................
599
Route Targets......................................
600
Flujo de paquetes en una red MPLS
600
Envíos de paquetes en MPLS VPN....
601
CAPÍTULO 26: IPsec................................
603
INTRODUCCIÓN A IPsec ....................
603
Características de IPsec......................
604
PROTOCOLOS DE IPSEC......................
605
IKE........................................................
605
ESP.......................................................
606
A H ........................................................
606
MODOS DE IPSEC..................................
607
CABECERAS IPSEC...............................
608
AUTENTICACIÓN DE VECINOS......
608
INTERNET KEY EXCHANGE............
609
Protocolos IKE....................................
609
Fases IK E.............................................
609
Modos IKE...........................................
610
Otras funciones IKE............................
611
ALGORITMOS DE ENCRIPTACIÓN..
611
Encriptación simétrica........................
612
www.FreeLibros.com
© RA-MA
ÍNDICE 21
Encriptación asimétrica....................................................................................................612
PUBLIC KEYINFRASTRUCTURE................................................................................. 612
CAPÍTULO 27: VPN SITE-TO-SITE................................................................................ 615
INTRODUCCIÓN A LAS VPN SITE-TO-SITE.............................................................. 615
CREACIÓN DE VPN IPSEC SITE-TO-SITE.....................................................................616
PASO 1: Especificación de tráfico interesante............................................................ .616
PASO 2: IKE fase 1 .........................................................................................................616
IKE Transform Sets.......................................................................................................... 618
Intercambio Diffie-Hellman............................................................................................ 620
Autenticación de iguales................................................................................................. 620
PASO 3: IKE fase 2 .........................................................................................................620
IPsec Transform Sets........................................................................................................ 621
Asociaciones de seguridad.............................................................................................. 623
Tiempo de vida de SA ..................................................................................................... 624
PASO 4: Transferencia segura de los datos.................................................................. 624
PASO 5: Terminación del túnel..................................................................................... 624
CONFIGURACIÓN DE UNA VPN SITE-TO-SITE........................................................624
Configuración de la política ISAKMP...........................................................................625
Configuración de los IPsec transform sets.................................................................... 626
Configuración de la Crypto ACL................................................................................... 628
Configuración del Crypto Map.......................................................................................629
Aplicación del Crypto Map a una interfaz.................................................................... 629
Configuración de la ACL en la interfaz.........................................................................630
SECURITY DEVICE MANAGER.....................................................................................631
CONFIGURACIÓN VPN SITE-TO-SITE CON SDM.....................................................633
Asistente VPN site-to-site............................................................................................... 635
Configuración rápida....................................................................................................... 636
Configuración paso a paso........................................................ :................................... 637
Comprobación del túnel VPN IPsec..............................................................................641
MONITORIZACIÓN DEL TÚNEL VPN IPSEC........................ ..................................... 642
CAPÍTULO 28: TÚNELES GRE SOBRE IPsec.............................................................. 645
INTRODUCCIÓN A LOS TÚNELES GRE...................................................................... 645
CABECERA GRE................................................................................................................646
CONFIGURACIÓN BÁSICA DE TÚNELES GRE.........................................................648
TÚNELES GRE SEGUROS.......................................................... ..................................... 649
CONFIGURACIÓN DE GRE SOBRE IPSEC CON SDM ................................................651
www.FreeLibros.com
22
©RA-M A
REDES CISCO. CCNP a Fondo
Creación del túnel GRE..................................................................................................... 652
Creación del túnel GRE de respaldo................................................................................ 653
Información VPN IPsec.................................................................................................... 654
Información de enrutamiento........................................................................................... 654
Validación de la configuración.........................................................................................655
CAPÍTULO 29: ALTA DISPONIBILIDAD EN IPsec...................................................... 657
PUNTOS DE FALLOS COMUNES.................................................................................... 657
Soluciones a los puntos de fallos..................................................................................... 658
MECANISMO DE RECUPERACIÓN DE FALLOS........................................................ 658
Mecanismo IPsec stateless................................................................................................ 659
Dead Peer Detection...........................................................................................................659
IGP en un túnel GRE sobre IPsec.....................................................................................661
HSRP....................................................................................................................................661
Mecanismo IPsec stateful.................................................................................................. 664
IPsec VPN de respaldo para redes W AN........................................................................ 667
CAPÍTULO 30: CISCO EASY VPN..................................................................................... 669
INTRODUCCIÓN A CISCO EASY.................................................................................... 669
Cisco Easy VPN Remóte................................................................................................... 669
Cisco Easy VPN Server..................................................................................................... 670
ESTABLECIMIENTO DE LA CONEXIÓN EASY VPN................................................. 671
IKE Fase 1........................................................................................................................... 672
Estableciendo una SAISAKM P.......................................................................................673
Aceptación de la propuesta S A .........................................................................................673
Autenticación de usuario....................................................................................................673
Modo configuración........................................................................................................... 673
RRI....................................................................................................................................... 673
Modo IPsec rápido........................................................................................................... 674
CONFIGURACIÓN DE EASY VPN SERVER..................................................................674
Configuración de usuario.................................................................................................. 675
Asistente Easy VPN Server............................................................... ................................675
MONITORIZACIÓN DE EASY VPN SERVER.... ........................................................... 679
CAPÍTULO 31: IMPLEMENTACIÓN DEL CLIENTE V PN ........................................683
CLIENTE CISCO VPN ..........................................................................................................683
INSTALACIÓN DEL CLIENTE V P N ................................................................................683
CONFIGURACIÓN DEL CLIENTE V PN ..........................................................................686
www.FreeLibros.com
©RA-M A
ÍNDICE 23
Autenticación....................................................................................................................687
Transporte.......................................................................................................................... 687
Servidores de respaldo.....................................................................................................688
Dial-Up.............................................................................................................................. 689
Verificación de la configuración.....................................................................................690
CAPÍTULO 32: PROTECCIÓN Y SEGURIDAD DE DISPOSITIVOS......................691
VULNERABILIDAD DE LOS ROUTERS....................................................................... 691
Servicios vulnerables en el router...................................................................................692
Servicios innecesarios e interfaces..................................................................................692
Servicios de administración............................................................................................ 695
Mecanismos de integridad de rutas................................................................................ 696
Pruebas y escaneos........................................................................................................... 696
Servicios de acceso de seguridad....................................................................................697
Servicios ARP.................................................................................................................. 697
PROTECCIÓN CON AUTOSECURE............................................................................... 698
UTILIZACIÓN DE SDM PARA ASEGURAR EL ROUTER......................................... 699
Asistente Security Audit...................................................................................................700
Asistente One-Step Lockdown........................................................................................702
ADMINISTRACIÓN SEGURA DEL ROUTER.............................................................. 702
Contraseñas.......................................................................................................................703
Limitaciones en las sesiones...........................................................................................704
Contraseñas en el modo setup.........................................................................................706
Contraseñas por línea de comandos............................................................................... 707
Protecciones adicionales................................................................................................. 708
Longitud de las contraseñas............................................................................................ 709
Encriptación de contraseñas............................................................................................709
Banners............................................................................................. ................................ 710
Sesiones individuales............................................................... .......................................711
Niveles de privilegios.......................................................................................................711
VISTAS BASADAS EN ROL.......................................................‘................................... 712
Protección física del router............................................ ................................................. 714
CAPÍTULO 33: AAA................. ............................................................................................715
INTRODUCCIÓN A AAA,................................................................................................. 715
MODO DE ACCESOS AAA...............................................................................................716
PROTOCOLOS TACACS+ Y RADIUS.............................. .............................................716
CONFIGURACIÓN DE AAA CON CLI...........................................................................718
www.FreeLibros.com
24
©RA-M A
REDES CISCO. CCNP a Fondo
Configuración de RADIUS...............................................................................................718
Configuración de TACACS+........................................................................................... 718
Configuración de A A A ..................................................................................................... 718
CONFIGURACIÓN DE AAA CON SDM.......................................................................... 725
RESOLUCIÓN DE FALLOS EN A A A ...............................................................................729
CAPÍTULO 34: PROTECCIÓN ANTE AMENAZAS..................................................... 731
ZONAS DESMILITARIZADAS..........................................................................................731
FUNDAMENTOS DE LOS FIREWALLS.................. .......................................................732
COMPONENTES DEL FIREWALL IOS DE CISCO........................... ............................734
OPERACIÓN DEL FIREWALL IOS...................................................................................735
CONFIGURACIÓN DEL FIREWALL CON CLI..............................................................736
Elección de la interfaz....................................................................................................... 737
Configuración de la ACL................................................... .............................................. 737
Reglas de inspección......................................................................................................... 737
Aplicación de la ACL y la regla de inspección a la interfaz......................................... 738
Verificación de la configuración...................................................................................... 739
CONFIGURACIÓN DEL FIREWALL CON SDM............................................................740
Configuración avanzada.................................................................................................... 742
OPERACIÓN DE LOS IDS EIPS........................................................................................ 749
CATEGORÍAS DE IDS E IPS...............................................................................................749
FIRMAS EN IDS E IPS .......................................................................................................... 750
REACCIÓN ANTE LAS FIRMAS.......................................................................................751
CONFIGURACIÓN DE CISCO IOS IPS.............................................................................752
CONFIGURACIÓN CON SD M ...........................................................................................755
PARTE IV ................................................................................................................................... 761
CAPÍTULO 35: IMPLEMENTACIONES VoIP................................................................763
INTRODUCCIÓN A LAS REDES VoIP............................................................................. 763
Componentes de VoIP...................................................................................................... .764
Interfaces analógicas..........................................................................................................765
Interfaces digitales............................................................................... .............................. 766
Fases de una llamada telefónica.....................................................................................767
Tipos de control de llamada..............................................................................................768
DIGITALIZACIÓN Y ENCAPSULADO DE VOZ............................................................ 771
Conversión analógica digital....................... ............. ....................................................... 771
Conversión digital analógica............................................................................................. 771
Teorema de Nyquist-Shannon y la cuantificación....................................................... 772
www.FreeLibros.com
©RA-M A
ÍNDICE 25
Calidad y compresión del ancho de banda.....................................................................774
Procesadores de señal digital.......................................................................................... 776
ENCAPSULACIÓN V oIP .................................................................................................. 777
Reducción del tamaño de las cabeceras......................................................................... 779
CÁLCULO DEL ANCHO DE BANDA............................................................................. 780
Ancho de banda en VoIP................................................................................................. 780
Sobrecarga de la capa de enlace......................................................................................781
Sobrecarga debida a seguridad y tunelización...............................................................782
Cálculo del ancho de banda total para una llamada de VoIP........................................783
Detección de la actividad de voz.....................................................................................785
IMPLEMENTACIÓN DE VoIP EN UNA RED EMPRESARIAL................................. 786
Gateway de voz en un router Cisco................................................................................ 788
Cisco Callmanager........................................................................................................... 788
Modelos de despliegue V oIP..........................................................................................789
CAPÍTULO 36: CALIDAD DE SERVICIO...................................................................... 791
CONVERGENCIA DE RED Y QoS...................................................................................791
Ancho de banda disponible............................................................................................. 792
Retraso de extremo a extremo......................................................................................... 793
Variación del retraso........................................................................................................794
Pérdida de paquetes..........................................................................................................794
IMPLEMENTACIÓN DE QoS........................................................................................... 795
Identificación del tráfico y sus requerimientos............................................................. 796
Clasificación del tráfico.................................................................................................. 796
Definición de políticas para cada clase.......................................................................... 797
MODELOS DE QoS............................................................................................................. 797
Modelo Best-Effort..........................................................................................................797
Modelo de servicios integrados.......................................................................................798
Modelo de servicios diferenciados................................................................................. 799
MÉTODOS DE IMPLEMENTACIÓN DE QoS . ............................................................ 799
Método antiguo de línea de comandos.......................................................................... 799
Interfaz de línea de comandos de QoS modular............................................................ 799
AutoQoS............................................................................................................................801
Security Device Manager................................................................................................ 802
www.FreeLibros.com
26
©RA-M A
REDES CISCO. CCNP a Fondo
CAPÍTULO 37: ADMINISTRACIÓN DEL TRÁFICO................................................... 807
CLASIFICACIÓN Y MARCADO DE TRÁFICO..............................................................807
CoS en la trama Ethernet 802.1Q/P................................................................................. 808
QoS en Frame-Relay y ATM ............................................................................................809
QoS en MPLS..................................................................................................................... 810
CLASES DE SERVICIO Q oS............................................................................................... 815
FRONTERAS DE CONFIANZA......................................................................................... 816
NETWORK B ASED APPLICATION RECOGNITION................................................... 817
CONFIGURACIÓN DE NB A R ............................................................................................818
CAPÍTULO 38: ADMINISTRACIÓN DE COLAS Y CONGESTIÓN........................ 821
CONGESTIÓN Y COLAS.................................................................................................... 821
First In First Out................................................................................................................. 823
Priority Queuing................................................................................................................. 823
Round Robin.......................................................................................................................824
Weighted Round Robin..................................................................................................... 824
WEIGHTED FAIR QUEUING.............................................................................................825
Configuración y monitorización de WFQ....................................................................... 827
CLASS BASED WEIGHTED FAIR QUEUING................................................................829
Clasificación, programación y garantía de ancho de banda...........................................830
Configuración y monitorización de CBWFQ................................................................. 831
LOW LATENCY QUEUING................................................................................................832
Configuración y monitorización de LLQ.........................................................................832
EVITANDO LA CONGESTIÓN..........................................................................................834
Limitaciones de tail drop................................................................................................... 834
Random Early Detection................................................................................................... 835
Weighted Random Early Detection................................................................................. 836
Class Based Wighted Random Early Detection............................................................. .837
Configuración de CBWRED.............................................................................................837
CAPÍTULO 39: MANIPULACIÓN DEL TRÁFICO Y EL ENLACE..........................841
CONTROL Y MANIPULACIÓN DEL TRÁFICO............................................................841
Medición de volumen de tráfico...................................................................................... 844
Mecanismos de Policing y Shaping................................................. ............................... 845
MECANISMOS DE EFICIENCIA DEL ENLACE............................................................845
Compresión de la carga útil de capa 2 .............................................................................845
Compresión de cabeceras.................................................................................................. 846
Fragmentación e intercalado.............................................................................................846
www.FreeLibros.com
© RA-MA
ÍNDICE 27
CAPÍTULO 40: PRECLASIFICACIÓN Y DESPLIEGUE DE Q oS............................ 847
PRECLASIFICACIÓN DE Q oS ..........................................................................................847
Opciones en la preclasificación....................................................................................... 847
QoS DE EXTREMO A EXTREMO.................................................................................... 848
Acuerdos de nivel de servicio en Q oS............................................................................849
Implementaciones de QoS en campus empresarial........................................................850
Implementaciones de QoS en el borde W AN................................................................ 851
Control Plañe Policing..................................................................................................... 852
CAPÍTULO 41: IMPLEMENTACIÓN DE AutoQoS......................................................855
INTRODUCCIÓN A A utoQo S ..........................................................................................855
IMPLEMENTACIÓN DE A utoQoS ................................................................................. 857
Despliegue de AutoQoS Enterprise................................................................................ 858
AutoQos VoIP en Switch Catalyst.................................................................................. 859
Automatización con AutoQoS........................................................................................ 859
Problemas comunes en AutoQoS.................................................................................... 862
VERIFICACIÓN DE A utoQo S ......................................................................................... 862
CAPÍTULO 42: IMPLEMENTACIÓN DE QoS EN LAS WLAN.................................865
CALIDAD DE SERVICIO EN LAS WLAN.......................................................................865
Descripción de QoS WLAN.............................................................................................866
Arquitectura SPLIT MAC y LAP................................................................................... 866
IMPLEMENTACIÓN DE QoS WLAN..............................................................................867
CONFIGURACIÓN DE QoS EN WLAN...........................................................................869
CAPÍTULO 43: ENCRIPTACIÓN Y AUTENTICACIÓN WLAN...............................873
PROBLEMAS DE SEGURIDAD EN LAS WLAN........................................................... 873
802. IX Y AUTENTICACIÓN EAP.................................................................................... 873
LEAP..................................................................................................................................874
EAP-FAST....................................................... '............................................ ................ 875
EAP-TLS........................................................... ............................................ .................. 877
PEAP........................................................................................... :................................... 878
WPA, 802.1 li, y WPA2..... .............................................................................................879
CONFIGURACIÓN DE AUTENTICACIÓN Y ENCRIPTACIÓN EN LAP.................882
Autenticación abierta........................................................................................................ 882
Autenticación WEP estática.............................................................................................882
WPA Preshared Key..........................................................................................................883
Autenticación WEB.......................................................................................................... 884
Autenticación 802. IX....................................................................................................... 885
www.FreeLibros.com
28
©RA-M A
REDES CISCO. CCNP a Fondo
CAPÍTULO 44: ADMINISTRACIÓN W LAN................................................................... 887
REDES UNIFICADAS CISCO WIRELESS................. ......................................................887
Implementaciones Cisco W LAN..................................................................................... 888
CISCO WORKS WIRELESS LAN SOLUTION ENGINE...............................................888
Beneficios de WLSE....................................................................................;...................889
Cisco Works WLSE Y WLSE Express...........................................................................889
Configuración de WLSE Express simplificada.............................................................. 890
Plantillas de configuración WLSE................................................................................... 890
CISCO WIRELESS CONTROL SYSTEM................... ......................................................890
Características del sistema WCS.......................................................................................891
Wireless Location Appliance................................ ........................................................... 893
Aplicaciones Wireless Location Appliance.................................................................... 894
CONFIGURACIÓN DE WCS...............................................................................................894
Configuración de puntos de acceso.................................................................................. 896
Mapas WCS....... .................................................................................................................896
Detección de AP falsos................................................ .....................................................898
APÉNDICE : MATEMÁTICAS DE REDES................. .................................................... 899
NÚMEROS BINARIOS.........................................................................................................899
Conversión de binario a decimal...................................................................................... 900
Conversión de decimal a binario.......................................................................................901
NÚMEROS HEXADECIMALES........................................................................................ 902
Conversión de números hexadecimales...........................................................................903
DIRECCIONAMIENTO IP................................................................................................... 903
Clases de direccionamiento IP ......................................................................................... 904
SUBREDES............................................................................................................................. 905
Procedimiento para la creación de subredes................................................................... 905
MÁSCARAS DE SUBRED DE LONGITUD VARIABLE.............................................. .909
Proceso de creación de VLSM......................................................................................... 909
Secuencia para la creación de VLSM ..............................................................................910
Resumen de ruta con VLMS.............................................................................................911
Descripción del funcionamiento de CIDR...................................................................... 911
WILDCARD............................................................................................. ............................912
Secuencia para la creación de las wildcard..................................................................... 913
ÍNDICE ALFABÉTICO...........................................................................................................915
www.FreeLibros.com
INTRODUCCIÓN
En abril de 1998, Cisco System, Inc. anunció una nueva iniciativa de
desarrollo profesional llamada Cisco Career Certifications. Hasta la fecha estas
certificaciones han satisfecho las exigencias de los mejores profesionales y
empresas del mercado.
El CCNP (Cisco Certified
NetWork
Professional)
es
la
certificación profesional de Cisco
System ubicada en el centro de la
pirámide
que
representa
las
certificaciones de este gigante de las
comunicaciones. El CCNA (Cisco
Certified NetWork Associate) es la
base y la escala inicial de las
certificaciones de redes Cisco y el
CCIE (Cisco Certified Intemetwork
Expert) es la .cima a la que todo
profesional de las redes quisiera llegar.
Los exámenes que componen la certificación se realizan en inglés y no
importa el orden con que se presenten, abarcando un extenso y complejo temario
exigiendo un alto nivel de conocimientos.
Hasta el momento el material bibliográfico para estos exámenes existía
únicamente en inglés.
www.FreeLibros.com
30
©RA-M A
REDES CISCO. CCNP a Fondo
Este libro representa un avance en la manera de encarar esta certificación
aportando un valioso material en español para todos aquellos hispano parlantes que
carecían hasta el momento de un material como éste.
Los autores han hecho hincapié en la manera de compilar el material en un
sólo volumen utilizando ejemplos reales y manteniendo la terminología técnica en
inglés como se utiliza cotidianamente en los ambientes laborales.
No debe confundirse el hecho de que el material en español desvirtúa la
“profesionalidad” de la certificación, ni que es más difícil aprobar un examen en
inglés estudiando en español. Por el contrario este libro puede ser el primer
acercamiento de los estudiantes que hasta ahora han tenido como primera barrera el
idioma y como segunda, la imposibilidad de tener un material de consulta
simplificado y en español.
Los autores han tenido en cuenta muchos de los términos cuya traducción
representaría una confusión, dejándolos tal cual se les conoce en el argot de las
redes aportando además su experiencia profesional. Respecto a ellos fluye una
larga trayectoria en el ámbito técnico y educativo. Ambos poseen valiosas
certificaciones tales como el CCAI, CCNP y CCIE, entre otras.
El libro contiene cuarenta y cuatro capítulos divididos en cuatro partes bien
definidas donde se abarcan temas como enrutamiento, conmutación, VoIP, MPLS,
seguridad, wireless, QoS, etc., cuyo orden facilita la lectura y el aprendizaje.
Para aquellos que persiguen la certificación CCNP, deben saber que para
obtenerla, además de los exámenes necesarios según la versión, es imprescindible
poseer la certificación CCNA y que tanto una como la otra caducan a los tres años.
Los técnicos que estén en posesión de la certificación CCNA cuya fecha de
caducidad esté próxima podrán mantenerla vigente si presentan alguno de los
exámenes del CCNP antes de la prescripción del CCNA.
Una buena recomendación es comenzar la lectura de este libro con tiempo
suficiente, mucho antes de la fecha de expiración del CCNA, efectuar las prácticas
y los test necesarios y por qué no, realizar cuestionarios en inglés.
Para los técnicos que sólo necesitan material de consulta, todo el contenido
del libro ha sido revisado y actualizado de tal manera que no habrá obstáculos de
entendimientos técnicos o idiomáticos y será sin dudas un beneficio añadido para la
resolución de incidencias o nuevas configuraciones.
Para cualquiera de los casos el aporte de este libro trae consigo un gran
esfuerzo de más de dos años de recopilación y estudio de materiales, un análisis de
lo que es realmente contribución y de lo que es sólo un discurso inútil. Vale decir
una vez más que la experiencia de los autores ha permitido filtrar lo innecesario,
valorar lo fundamental y volcarlo de manera racional sobre el papel.
www.FreeLibros.com
© RA-M A
INTRODUCCIÓN
31
Finalmente y ante cualquier duda sobre la certificación CCNP es posible
consultar la Web de Cisco en:
http://www.cisco.com/web/leaming/le3/le2/le37/lel0/leaming certification tvpe h
ome.html
www.FreeLibros.com
32
©RA-M A
REDES CISCO. CCNP a Fondo
Acerca de los autores
Ernesto Ariganello es ingeniero de comunicaciones, instructor certificado
de Cisco Networking Academy, imparte cursos relacionados con redes y
comunicaciones. Especialista en electrónica de hardware de alta complejidad.
Posee varias certificaciones entre ellas el CCNP. Es, además, consultor
especializado en comunicaciones de datos para varias empresas de la Unión
Europea. Su trabajo en educación y formación es sumamente valorado en Europa y
Latinoamérica, fundamentado en clases claras, dinámicas y muy prácticas por
donde han pasado más de 500 alumnos en diferentes centros de formación y
empresas.
Ha editado varios libros de los cuales su primera obra “Guía de estudio
para la certificación CCNA 640-801” es reconocida como una de las pioneras, con
contenidos escritos íntegramente en español dedicados al tan valorado examen de
certificación CCNA.
Enrique Barrientes Sevilla comenzó su carrera técnico-profesional en el
año 2003. Desde entonces ha compaginado su labor en las telecomunicaciones con
la formación en nuevas tecnologías, impartiendo cursos en varias especialidades
tales como Cisco y Microsoft.
Ha trabajado en proyectos de grandes magnitudes para varias de las más
importantes empresas españolas, irlandesas y norteamericanas del sector. Posee
varias certificaciones de diversos fabricantes entre las que destaca el CCIE #23973
en la especialidad de Routing and Switching.
Actualmente es un referente dentro del grupo de Ingeniería IP de una
importante Multinacional y es, además, colaborador de varias consultoras de la
Comunidad Europea. Su pasión por la formación ha sido, sin dudas, un aporte
fundamental para la creación de este libro.
www.FreeLibros.com
©RA-M A
INTRODUCCIÓN
33
Agradecimientos de Ernesto
Hace ya algunos años un joven entró en una de mis clases de Frame-Relay
con una educación y una modestia poco común en jóvenes de su edad. Quién diría
entonces que aquel joven estaría hoy en día dando vueltas por el mundo con su
certificación CCIE bajo el brazo y sin perder en ningún momento los papeles que
lo hicieron convertirse en un amigo. Enrique Barrientos es hoy un ejemplo de
lucha para todos los jóvenes que persiguen una meta digna y honorable. Para él
va este agradecimiento.
A mis editores, por confiar en mí una vez más, a todos los alumnos e
instructores con los que he tenido el placer de trabajar todos estos años, de los
cuales siempre he aprendido algo. A todos ellos también va este agradecimiento.
A mi familia, a los amigos de Argentina y España por su apoyo constante,
a mis compañeros de trabajo que han visto crecer al “monstruo ” hasta convertirse
en libro.
No debo olvidarme del siempre intrépido Eduardo Collado por su
colaboración en este libro y por su desinteresada amistad.
A Elizabeth, mi esposa, cuya energía inagotable mueve cielos y montañas y
a mi hijo Germán, convertido en un joven inquieto y talentoso. A ambos gracias
por estar siempre presentes en los momentos difíciles.
Por último pero no menos importante al lector, por confiar en mi trabajo y
por honrarme una vez más con su interés por aprender con mis libros.
Ernesto Ariganello
www.FreeLibros.com
34
©RA-MA
REDES CISCO. CCNP a Fondo
Agradecimientos de Enrique
Corría el año 2002 cuando por motivos laborales tuve que irme de León
(como tanta otra gente) para buscar trabajo en Madrid. Allí tuve la suerte de
conocer a Ernesto y Eduardo, ambos fueron mis dos primeros profesores en
tecnologías Cisco. Pero no quedó ahí la cosa, hicieron que mi adaptación a la
gran ciudad fuera más llevadera y me enseñaron varias lecciones de las que no
vienen en los libros. Ambos se convirtieron en amigos de esos que puedes contar
con los dedos de las manos. Gracias.
A mi familia y amigos por su apoyo y por estar ahí cuando se les necesita.
A Genny, quien día a día no deja de sorprenderme y que sin su apoyo este
libro hubiera quedado en la lista de proyectos inacabados. A mis padres, Chony y
Quique, por enseñarme que en la vida no hay problemas, sino retos que han de ser
superados. A mis hermanos María y Jesús porque cuando hablo con ellos me
hacen regresar atrás en el tiempo y recordar mil y una aventuras.
A Santi, por enseñarme la importancia de buscar la lógica de las cosas. A
Marisa, por mostrarme el valor de la constancia.
Finalmente al lector, por darme la oportunidad de poder contribuir a su
formación.
Enrique Barrientos Sevilla
www.FreeLibros.com
© RA-MA
INTRODUCCIÓN
35
Convenciones sobre sintaxis de comandos
Las convenciones que se utilizan para representar la sintaxis de comandos
en este libro son las mismas que se utilizan en Cisco IOS Command Reference.
Los autores han preferido conservar los argumentos en idioma inglés tal como
aparecerían tras ejecutar un comando ayuda.
•
La negrita representa comandos y palabras clave que se escriben tal y
como se muestra.
•
La cursiva indica argumentos para los que hay que suministrar valores.
•
Los corchetes [ ] indican elementos opcionales.
•
Las llaves { } contienen una elección de palabras clave necesarias.
•
Las barras verticales | separan elementos alternativos y exclusivos
entre sí.
•
Las llaves y las barras verticales entre corchetes, por ejemplo [x {y |
z}] indican una opción necesaria en un elemento opcional. No es
necesario introducir lo que hay entre los corchetes, pero si lo hace,
tendrá algunas opciones necesarias en los corchetes.
Advertencia
Se ha realizado el máximo esfuerzo para hacer de este libro una obra tan
completa y precisa como sea posible, pero no se ofrece ninguna garantía implícita
de adecuación a un fin en particular. La información se suministra “tal como está”.
Los autores no serán responsables ante cualquier persona o entidad con respecto a
cualquier pérdida, daño o perjuicio que pudieran resultar emergentes de la
información contenida en este libro.
Todos los términos mencionados en este libro que, según consta,
pertenecen a marcas comerciales o marcas de servicios, se utilizan únicamente con
fines educativos. No debe considerarse que la utilización de un término en este
libro afecte la validez de cualquier marca comercial o de servicio.
Los conceptos, opiniones y gráficos expresados en este libro por los
autores no son necesariamente los mismos que los de Cisco Systems, Inc.
Los iconos y topologías mostradas en este libro se ofrecen con fines de
ejemplo y no representan necesariamente un modelo de diseño para redes.
Las configuraciones y salidas de los routers se han tomado de equipos
reales y se ha verificado su correcto funcionamiento. No obstante, cualquier error
en la trasncripción es absolutamente involuntario.
www.FreeLibros.com
36
©RA-MA
REDES CISCO. CCNP a Fondo
Algo para compartir
Este libro que tienen en sus manos es un libro muy especial, detrás de sus
páginas hay mucho trabajo, buen hacer, energía, ganas y entusiasmo, en
definitiva, algo para compartir.
Siempre he tenido la convicción de que un examen de certificación y
cualificación técnica es un examen de conocimientos técnico y no un examen de
idioma, por ello para un estudiante no angloparlante supone un enorme problema
enfrentarse a una desmedida montaña de documentación en una lengua que no es
la suya, una vasta bizarría no justificada, que ha quedado resuelta en este libro,
añadiendo por otro lado la garantía personal que nos aportan los dos autores de
la presente obra.
Corría el año 2003 y tuve la suerte de conocer a Ernesto Ariganello y a
Enrique Barrientos, me encontré con dos personas con una enorme motivación,
gran cantidad de conocimiento y una impresionante capacidad de comunicación.
Estuve trabajando con ellos durante unos meses muy intensos, la
dimensión con la que vivimos aquel tiempo hizo que nunca volviéramos a
separarnos.
Con ellos tengo recuerdos muy intensos preparando documentación,
planificando laboratorios, configuraciones, el día que Ernesto y yo aprobamos
nuestro primer examen teórico de CCIE, y por supuesto el correo que Kike nos
mandó a ambos el 31 de Marzo de 2009, titulado ‘Algo para compartir”, donde
nos comunicaba que acababa de recibir su aprobado del examen práctico CCIE
Routing & Switching, y su número de CCIE, el 23.973.
Por un lado Ernesto, una persona muy reflexiva, siempre organizando,
siempre preparando y siempre a punto; por otro lado Enrique, aunque todos le
llamamos Kike, siempre fue, es y será con toda seguridad una fuente de energía,
para el que no existe ni el cansancio ni el agotamiento.
Conociendo a los autores, no podía brotar un libro mejor que éste, por un
lado la perfección siempre buscada por Ernesto y por otro lado la energía
exhibida por Kike, y por supuesto, el buen hacer y la calidad del trabajo de ambos,
dan como resultado este libro de preparación del CCNP completo, claro, conciso,
siendo el primer material que cubre todo el contenido del CCNP en español, una
enorme y titánica tarea.
Esta obra, a mi form a de ver, pretende que los estudiantes puedan evadirse
del lúgubre estado que representan las montañas de información en inglés para
poder acceder a un luminoso estado que insiste en la fortaleza de la formación
técnica eliminando las barreras idiomáticasy culturales.
Eduardo Collado
www.FreeLibros.com
PARTE I
www.FreeLibros.com
www.FreeLibros.com
Capítulo 1
EIGRP
INTRODUCCIÓN A EIGRP
EIG R P (Enhanced Interior Gateway Routing Protocol) es un protocolo
vector distancia, que usa el mismo sistema de métricas sofisticadas que IGRP
(Interior Gateway Routing Protocol) y que utiliza DUAL (Diffusing Update
Algorithm) para crear generar las bases de datos de topológica. EIGRP utiliza
principios de los protocolos de estado de enlace, es por ello que muchas veces se lo
llame protocolo híbrido, aunque sería más correcto llamarlo protocolo de vector
distancia avanzado. EIGRP es eficiente tanto en entornos IPv4 como IPv6, los
fundamentos no cambian.
Es importante tener en cuenta que este protocolo es una solución
propietaria de Cisco, es decir, que en situaciones donde se aplican dispositivos de
otros fabricantes no funcionará; de ser así habrá que migrar a una solución estándar
en el futuro.
EIGRP surge para eliminar las limitaciones de IGRP, aunque sigue siendo
sencillo de configurar, utiliza pocos recursos de CPU y memoria. Se trata de un
protocolo vector distancia avanzado, manteniendo las mejores características de los
protocolos de ese tipo.
www.FreeLibros.com
40
©RA-M A
REDES CISCO. CCNP a Fondo
Cisco define cuatro propiedades principales de EIGRP:
•
Protocol-dependent modules: soporta varios tipos de protocolos
de capa 3, como son IPv4 o IPv6.
• Reliable Transfer Protocol (RTP): EIGRP envía paquetes
utilizando protocolos confiables.
•
Neighbor discovery and recovery: EIGRP utiliza helios para
identificar a los nuevos routers vecinos y también darse cuenta de
la pérdida de los mismos.
•
Diffusing Update Algorithm (DUAL): es el algoritmo que
EIGRP utiliza para identificar las posibles rutas para alcanzar un
destino y para luego elegir la mejor; además DUAL selecciona
caminos “alternativos” en caso de que el principal falle.
Funcionamiento de EIGRP
EIGRP envía actualizaciones “confiables” identificando sus paquetes con
el protocolo IP número 88. Estas actualizaciones confiables o fiables significan que
el destino tiene que enviar un acuse de recibo (ACK) al origen, es decir, que debe
confirmar que ha recibido los datos.
EIGRP utiliza
comunicaciones:
los
siguientes
tipos
de paquetes
IP
durante
las
•
Helio: se envían periódicamente usando una dirección multicást
para descubrir y mantener relaciones de vecindad.
•
Update: anuncian las rutas, se envían de manera multicást.
•
Ack: se envían para confirmar la recepción de un update.
•
Query: se usa como consulta de nuevas rutas cuando el mejor
camino se ha perdido. Cuando el router que envía la consulta no
recibe respuesta de alguno de sus vecinos volverá a enviarla pero
esta vez en unicast, y así sucesivamente hasta que reciba un reply o
hasta un máximo de 16 envíos.
•
Reply: es una respuesta a una query, con el camino alternativo o
simplemente indicando que no tiene esa ruta.
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
41
Mediante los helios el router descubre a los vecinos, los paquetes son
enviados periódicamente para mantenerlos en una lista de vecindad. Cuando no se
recibe un helio de un determinado vecino durante un tiempo establecido (hold
time) se dará por finalizada la relación de vecindad y será necesario recalcular.
EIGRP comienza a descubrir vecinos vía multicást, esperando
confirmaciones vía unicast. La tabla de vecinos sirve para verificar que cada uno de
ellos responde a los helios; en caso de que no responda se enviará una copia vía
unicast, hasta un máximo de 16 veces.
Métrica EIGRP
EIGRP utiliza una métrica sofisticada basándose en los siguientes factores:
•
Bandwidth, ancho de banda.
•
Load, carga.
•
Reliability, fiabilidad
•
Delay, retraso.
7
t - 7 7 K 2 x bandwidth
7 7 ^
K.
métrica = 256 x K , x bandwidth H---------------------------1- K , x delay x ------------- --------256 - load
) reliability + K 4
EIGRP utiliza una métrica de enrutamiento compuesta. La ruta que posea
la métrica más baja será considerada la ruta más óptima. Las métricas de EIGRP
están ponderadas mediante constantes desde K1 hasta K5 que convierten los
vectores de métrica EIGRP en cantidades escalables.
La métrica utilizada por EIGRP se compone de:
•
K1 = Bandwidth (ancho de banda): valor mínimo de ancho de
banda en kbps en la ruta hacia el destinó. Se define como 10
elevado a 7 dividido por el ancho de banda del enlace más lento de
todo el camino.
•
K2 = Reliability (fiabilidad): fiabilidad entre el origen y el
destino, determinado por el intercambio de mensajes de actividad
expresado en porcentajes. Significa lo confiable que puede ser la
interfaz, en un rango expresado entre 255 como máximo y 1 como
mínimo, normalmente esta constante no se utiliza.
www.FreeLibros.com
42
©RA-M A
REDES CISCO. CCNP a Fondo
•
K3 = Delay (retraso): retraso de interfaz acumulado a lo largo de
la ruta en microsegundos.
•
K4 = Carga: carga de un enlace entre el origen y el destino.
Medido en bits por segundo es el ancho de banda real de la ruta. Se
expresa en un rango entre 255 como máximo y 1 como mínimo,
normalmente esta constante no se utiliza.
•
K5 = MTU: valor de la unidad máxima de transmisión de la ruta
expresado en bytes.
La métrica EIGRP se calcula en base a las variables resultantes de las
constantes K1 y K3. Se divide por 107 por el valor mínimo de ancho de banda,
mientras que el retraso es la sumatoria de todos los retrasos de la ruta en
microsegundos y todo multiplicado por 256.
(
, .
107
v - i delay\
métrica = 256 x ----------------------------- 1- / , ------\Min{anchodebanda)
10 J
En el siguiente ejemplo la ruta hacia el destino desde R l, R2, R3, R4 es
elegida como la mejor. El enlace de menor ancho de banda de esta ruta es de 768
Kbps, mientras que en la ruta por R l, R6, R5, R4 el enlace de menor ancho de
banda es de 512 Kbps.
M é trica =5 02 27 20
M étrica= 6689536
www.FreeLibros.com
CAPÍTULO 1. EIGRP
©RA-M A
43
El cálculo de la métrica por R l, R2, R3, R4 es el siguiente:
métrica
= 256 x
f 10 7 + 22000
+
22000 + 22000
= 5022720
10
El cálculo de la métrica por R l, R6, R5, R4 es el siguiente:
métrica
= 256 x
10 7
512
+
22000 + 22000 + 22000 ^
10
= 6689536
/
DUAL
El Diffusing Update Algorithm (DUAL) es el protocolo empleado por
EIGRP para encontrar caminos alternativos y libres de bucles (loop) para que en el
caso de que el camino principal falle usar una de estas rutas alternativas sin tener
que recalcular o lo que es lo mismo, sin tener que preguntar a los vecinos acerca de
cómo llegar al destino.
La terminología empleada por DUAL se basa en los siguientes conceptos:
•
Advertised Distance (AD): coste desde el origen hasta el router
vecino hasta el destino.
•
Feasible Distance (FD): mejor métrica desde el router vecino
hasta el destino más la métrica que el router origen necesita para
alcanzar a ese vecino.
•
Feasible Condition (FC): es la condición que ha de cumplirse para
añadir un posible camino a la tabla de topologías La Advertised
Distance advertida por el vecino ha de ser menor que la Feasible
Distance.
•
Feasible Successor (FS): es la forma dé definir un router de
respaldo o backup para el caso de que la ruta al vecino a través del
cual estamos encaminando tráfico se caiga. El Feasible Successor
se habilita sin necesidad de envíos de queries a los vecinos para
tratar de averiguar otro posible camino hacia el destino.
www.FreeLibros.com
44
REDES CISCO. CCNP a Fondo
©RA-MA
Queries
Cuando una ruta se cae y no existe un Feasible Successor en la tabla de
topologías, se envían queries a los routers vecinos para determinar cuál de ellos
puede alcanzar al destino. En el caso de que éstos no tengan conocimiento,
preguntarán recursivamente a sus respectivos vecinos y así sucesivamente.
En el caso de que nadie resuelva la consulta, comienza un estado conocido
como SIA (Stuck In Active) y el router dará tiempo vencido a la query. Este estado
se puede evitar con un buen diseño de red.
EIGRP utiliza Split Horizon como mecanismo de prevención de loops,
evitando enviar actualizaciones de rutas en la misma interfaz por la que han sido
recibidas.
El siguiente gráfico ejemplifica el funcionamiento de las queries. Si el
enlace entre el router B y el router C se cae, el router B pierde su único camino
hacia 172.16.0.0. Gracias a las queries el router B puede buscar esa ruta a través de
sus otros vecinos, el router B preguntará al router A y a su vez el router A
preguntará al router E.
B
c
E
Las queries se propagarán hasta que algún router responda o hasta que no
queden más routers a los que preguntar. Cuando se envía una querie el router entra
en estado “active” y pone en marcha un contador de tiempo, por defecto 3 minutos.
Cuando este tiempo expira y no ha recibido respuesta, el router entra en estado
SIA. Generalmente el router entra en este estado cuando existe algún bucle o el
alcance de las queries no está debidamente limitado y se va más allá del área.
www.FreeLibros.com
©RA-M A
CAPÍTULO 1. EIGRP
45
Existen dos maneras de controlar las queries, la primera es mediante
sumarización y la segunda es mediante stub routing.
Actualizaciones incrementales
EIGRP utiliza periódicamente paquetes helio para mantener la relación con
sus vecinos, pero el caso de las actualizaciones de enrutamiento es diferente ya que
sólo se intercambian actualizaciones de ruta en el caso de que se pierda o añada
una nueva ruta y estas actualizaciones son incrementales. El único momento que
EIGRP utiliza actualizaciones totales es cuando establece las relaciones iniciales
con otros routers.
Actualizaciones multicást
EIGRP utiliza direccionamiento multicást y unicast. EIGRP utiliza RTP
(Real Time Protocol), que es un protocolo propietario de Cisco para controlar la
comunicación entre paquetes EIGRP. Estos paquetes son enviados con un número
de secuencia y deben ser confirmados en el destino. Los paquetes Helio y los ACK
no necesitan ningún tipo de confirmación mientras que los paquetes update, query
y reply sí necesitan confirmación del destino. Las actualizaciones son enviadas
mediante el uso de multicást. Dicha dirección multicást es de Clase D, 224.0.0.10.
Cuando el vecino recibe un multicást confirma la recepción mediante un paquete
unicast no confiable. El uso del direccionamiento multicást demuestra la evolución
de este protocolo siendo de esta forma más efectivo que los protocolos que utilizan
broadcast, como por ejemplo RIPvl o IGRP.
BALANCEO DE CARGA DESIGUAL
EIGRP es el único protocolo de enrutamiento que proporciona la capacidad
de hacer balanceo de carga desigual: todos los demás protocolos nos permiten
hacer balanceo de carga de forma equitativa a todos los enlaces en el caso de que el
coste al destino sea el mismo. Sin embargo EIGRP mediaiite el uso de la varianza
permite el balanceo de carga del tipo desigual. Esto se realiza multiplicando la lista
feasible por la varianza que por defecto tiene un valor de uno. Si este último valor
fuese, por ejemplo, 3 la feasible lista se multiplicaría por 3 cualquier otra feasible
lista que tuviera un valor menos al producto resultante serviría de igual manera
para transmitir datos, ahora bien, EIGRP no transmitiría datos de forma equitativa
por ambos canales sino que utilizaría las métricas para decidir qué porcentaje
enviaría por cada enlace. Por ejemplo, si un enlace es de 3Mbps y otro de IMbps
enviaría tres veces más datos por el primero.
www.FreeLibros.com
46
©RA-MA
REDES CISCO. CCNP a Fondo
TABLAS EIGRP
EIGRP mantiene tres tipos de tablas,
1. La tabla de vecindad, en ella se listan todos los vecinos EIGRP.
2. La tabla de topologías, en ella se listan todos los posibles caminos y todas
las posibles redes.
3. La tabla de enrutamiento, donde constan la o las redes principales en el
caso de tener balanceo de carga.
Tabla de vecindad
La tabla de vecinos es creada y mantenida mediante el uso de paquetes
Helio. Estos paquetes son enviados en un principio para descubrir a los vecinos y
luego se envían periódicamente para mantener información del estado de estos.
Helio utiliza la dirección multicást 224.0.0.10. Cada protocolo de capa 3 soportado
por EIGRP (IPv4, IPv6, IPX y Apple Talk) tiene su propia tabla de vecinos, esta
información no es compartida entre estos protocolos.
Contenidos de la tabla de vecinos
La tabla de vecindad contiene las siguientes informaciones:
• La dirección de capa 3 del vecino.
• La interfaz a través de la cual se ha escuchado el helio.
• El holdtime, que es un período de tiempo de espera antes de
declarar al vecino como muerto. El período del holdtime suele ser
por defecto tres veces el intervalo entre los helio.
•
El Uptime que se define como el período de tiempo en que se ha
recibido el primer helio del vecino.
•
Número de secuencia, EIGRP lleva un registro de todos los
paquetes que se van enviando entre vecinos, en estos valores se
incluye el último número de secuencia que se ha enviado al vecino
como así también el último número de secuencia que el vecino ha
enviado al router.
•
RTO, retransmisión Timeout, éste es el período de tiempo que el
router esperará antes de retransmitir un paquete que ya haya sido
enviado a través de un protocolo orientado a la conexión.
www.FreeLibros.com
CAPÍTULO 1. EIGRP
© RA-MA
47
•
SRTT, Smooth Round Trip Time, con el que se calcula el RTO. Es
el tiempo medido en milisegundos que un paquete tarda en llegar a
un vecino y recibir un acuse de recibo por parte de éste.
•
Número de paquetes en cola, esto permite monitorizar al
administrador de la red si existe congestión en la red.
Establecimiento de la vecindad
Todos los routers EIGRP se anuncian' periódicamente a sus vecinos
mediante el protocolo helio utilizando la dirección multicást 224.0.0.10. Los demás
routers al escuchar estos helio añaden a éste en la tabla de vecindad que se
mantiene establecida siempre y cuando se sigan escuchando periódicamente los
paquetes helio. Si trascurrido el tiempo de hold timer dicho vecino se declarara
como no operacional será eliminado de la tabla de vecinos. Como se ha dicho
anteriormente el hold timer es tres veces el período helio, es decir, que si se pierden
tres helio se dará por caído al vecino. Para interfaces rápidas o tipo LAN se
enviarán paquetes helio cada 5 segundos mientras el hold timer será de 15. Para el
caso de interfaces tipo WAN o más lentas el período será cada 60 segundos y el
hold timer de 180.
Para establecerse la vecindad se deben cumplir tres condiciones:
1. El router debe escuchar un helio por parte de su vecino.
2. El sistema autónomo que está configurado en el router EIGRP debe ser
igual en ambos vecinos.
3. Los valores de las constantes “K” utilizados para el cálculo de la
métrica tienen que ser iguales para todos los vecinos.
La sintaxis muestra un ejemplo de un show ip eigrp neighbors
Router#show ip eigrp neighbors
IP-EIGRP neighbors for process 45
H
Address
Interface
Hold Uptime
(sec)
0
172.16.2.1 S0/0
10 08:10:01
SRTT
RTO Q Seq Type
(ms)
Cnt Num
1 1100 2 276
Creando la tabla de topología
Después de que el router conoce quiénes son sus vecinos, es capaz de crear
una tabla topológica y de esa manera asignar el successor y el feasible successors
para cada una de las rutas. Además de los successors se agregan también las otras
www.FreeLibros.com
48
©RA-M A
REDES CISCO. CCNP a Fondo
rutas que se llaman possibilities. La tabla de topología se encarga de seleccionar
qué rutas serán pasadas a la tabla de enrutamiento.
La tabla de topología contiene la siguiente información:
•
El estado de la ruta, activa o pasiva.
•
Información de las actualizaciones hacia los vecinos.
•
Información de los envíos de paquetes query hacia algunos de los
vecinos, que de ser así, al menos una de las rutas debe estar
marcada como activa.
•
Si se han enviado paquetes query se activa un contador a la espera
de una respuesta del vecino.
•
Si se han enviado respuestas a las consultas de algún vecino.
•
Información sobre prefijos, máscaras, interfaces, próximosalto,
rutas remotas y las distancias feasible y advertised para todas las
redes remotas.
La tabla de topología se ha creado a partir de los paquetes de
actualizaciones que se han intercambiado entre los vecinos y de las respuestas a los
paquetes query que se han enviado a los demás routers.
Las consultas y respuestas que DUAL utiliza son enviadas de manera
confiable usando una dirección multicást y el protocolo RTP, propietario de Cisco.
Si el router no escucha un acuse de recibo (ACK) dentro del tiempo estipulado,
retransmitirá el paquete de manera unicast. Si luego de 16 intentos no se obtiene
respuesta, se declara a ese vecino como muerto. Cada vez que el router envía un
paquete RTP incrementa la secuencia en 1. El router debe escuchar un ACK de
cada uno de los routers antes de enviar el siguiente paquete. Esta forma de enviar
retransmisiones de manera unicast hace que sea menor el tiempo que se tarda en
construir las tablas.
Cuando el router tiene conocimiento de la constitución de la topología,
utiliza DUAL para determinar cuál es la mejor ruta hacia la red remota, que es
finalmente agregada a la tabla de enrutamiento.
www.FreeLibros.com
CAPÍTULO 1. EIGRP
© RA-MA
49
Manteniendo la tablas de topología
La tabla de topologías podría cambiar en el caso de que se añadiera una
nueva red, de que cambiara el sucesor o de que se perdiera una red.
La imagen muestra el flujo de datos cuando el router pierde una conexión.
La tabla de topología lleva un registro de todos los paquetes que han sido
enviados a los vecinos, también identifica el estado de las redes. Recordando que el
estado activo significa que hay algún tipo de problema en la red, mientras que en
pasivo no existe problema alguno.
Debido a que la tabla de enrutamiento se construye a partir de la de
topología, ésta debe contener toda la información que es requerida por ésta,
incluido el próximo salto (next hop) del vecino con su respectiva métrica, tomada a
partir de la feasible distance.
Agregando una red a la tabla de topología
Cuando se agrega una red a un router que ya ha convergido, esta nueva red
es propagada a todo el dominio EIGRP de la siguiente manera:
www.FreeLibros.com
50
©RA-M A
REDES CISCO. CCNP a Fondo
•
A partir de que el router detecta la nueva red comienza a enviar
helio a través de la interfaz de la nueva red pero no recibe ninguna
respuesta debido a que no hay otros routers en el mismo segmento.
Esto último no aplica a la tabla de vecinos ningún cambio, pero sí
agrega una nueva entrada a la tabla de topologías.
•
EIGRP enviará paquetes de actualización en la antigua interfaz
para dar a conocer a los demás routers la nueva red. Estos paquetes
son orientados a la conexión, por lo tanto, se espera un ACK de
cada uno de los vecinos.
•
Los routers vecinos actualizarán sus tablas de vecindad
comparando los números de secuencia y agregarán la nueva red a
la tabla de topologías. Finalmente calcularán la feasible distance y
el successor para agregar en la tabla de enrutamiento.
Suprimiendo una ruta de la tabla de topología
1. Cuando un router pierde conectividad con una de sus redes
directamente conectadas, actualiza su tabla de topología y su tabla de
enrutamiento y envía estas actualizaciones a sus vecinos.
2. Una vez que los vecinos reciben esas actualizaciones, actualizan sus
tablas de vecindad y la de topologías.
3. A partir de ese momento los vecinos buscarán alternativas para llegar a
la ruta remota examinando su tabla de topología, pero como en este
caso había sólo una ruta para llegar al destino, no encontrará ningún
tipo de alternativa.
4. Al no encontrar otras rutas disponibles, el vecino enviará paquetes
query a todos sus vecinos solicitando información para llegar a la red
remota. A partir de ese momento la ruta se marca como activa en la
tabla de topología.
5. El router lleva un registro de todos los paquetes tipo query y espera que
todos los vecinos le respondan para poder actualizar sus tablas de
topología y vecinos.
6. DUAL comienza a funcionar tan pronto como se pierde conectividad
con la red remota, se encarga de determinar cuál será el mejor camino
y de agregarlo a la tabla de enrutamiento.
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
51
7. Antes de responder, se envía un query a sus propios vecinos.
8. En caso de que no se encuentre ninguna ruta disponible losvecinos
envían un reply como respuesta informando de que no poseen ninguna
ruta disponible.
9. Como ningún router puede proporcionar una ruta alternativa borran esa
red de la tabla de topología y de la tabla de enrutamiento.
Buscando rutas alternativas
Cuando un router pierde la información de una red ocurre lo siguiente:
•
El router identifica la o las redes afectadas.
•
El router mira en la tabla de topologías para saber si hay alguna
ruta alternativa buscando un feasible successor.
•
Si el router encuentra un feasible successor, agrega la ruta a la
tabla de enrutamiento. De lo contrario pondrá la ruta en activo
enviando query a todos los vecinos.
•
Si un vecino tiene información de la ruta, enviará una respuesta y
se agregará a la tabla de topologías.
•
Si no se reciben respuestas los mensajes son propagados.
Cuando un router envía paquetes query, éstos quedan registrados en la
tabla de topologías para verificar si se reciben respuestas. Si el router no recibe
dicha respuesta el vecino es borrado de la tabla de topologías como así también
todas las redes que han sido anunciadas por ese vecino. En redes de grandes
dimensiones, en enlaces lentos o redes mal diseñadas este proceso puede generar
algún tipo de problema identificando la ruta perdida como SIA.
Creando la tabla de enrutamiento
La tabla de enrutamiento se construye a partir de la tabla de topología
mediante el uso del algoritmo DUAL. La tabla de topología contiene toda la
información de enrutamiento que el router conoce a través de EIGRP; por medio de
esta información el router puede ejecutar DUAL y así determinar el sucesor y el
feasible successor, el sucesor será el que finalmente se agregue a la tabla de
enrutamiento.
www.FreeLibros.com
52
REDES CISCO. CCNP a Fondo
©RA-M A
Selección de rutas EIGRP
DUAL utiliza las métricas para determinar la mejor o mejores rutas hacia
un destino. Se pueden tener hasta 16 caminos diferentes hacia un mismo destino.
Hay tres tipos diferentes de caminos o rutas:
1. Intemal, rutas que están directamente configuradas en el router mediante el
comando network.
2.
Summary, son rutas internas sumarizadas.
3. Extemal, rutas redistribuidas en EIGRP.
Actualizando las tablas de enrutamiento en modo pasivo con
DUAL
Cuando una ruta se cae, en principio DUAL busca en la tabla de topología
un feasible successor; en caso de que encuentre uno el router permanece en modo
pasivo. La ruta es agregada a la tabla de enrutamiento.
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
53
El gráfico muestra una topología de estudio para observar esta operación
•
La feasible distance del router A al router G es 10, contando la
métrica de A hacia D y de D hacia G.
•
La advertised distance del router A al router G es 5, anunciada por
el vecino D.
•
Se observa que la feasible distance es 10, mayor que la advertised
distance que es 5. Cumpliendo de esta manera la feasible condition
permitiendo así llegar a ser feasible distance.
•
De esta forma si el enlace entre el router A y el router D se cae, el
router A deberá mirar en su tabla de topología.
•
En esta tabla existen rutas alternativas:
- De D+H+E hasta G (7+5+7) con una advertised distance de 19.
- De D+H+F hasta G (7+5+8) con una advertised distance de 20.
- Siendo éstas mayores que la feasible distance original que era 10
no cumplen con la condición para ser el feasible successor.
- La ruta entre A+E+G tiene una advertised distance de 7 menor
que la original 10, convirtiéndose de esta forma en el feasible
successor reemplazando a la ruta original.
- La nueva ruta se agrega a la tabla de enrutamiento. El router A
no cambiará en ningún momento de modo pasivo a modo activo.
Actualizando las tablas de enrutamiento en modo activo con
DUAL
En el siguiente diagrama no se encuentra ninguna ruta alternativa en la
tabla de topologías.
www.FreeLibros.com
54
©RA-M A
REDES CISCO. CCNP a Fondo
La tabla de topologías del router A tiene una ruta hacia el router X a través
de D+G. La feasible distance es 20 y la advertised distance desde D es 15. Cuando
el router D cae el router A debe buscar una ruta alternativa hacia X.
•
El router A descarta los vecinos B, C, E y F como feasible
successors debido a que las advertised distances son de 27, 27, 20
y 21 respectivamente. Estos valores son iguales o mayores que el
advertido por el feasible successor, es decir, que no cumplen con la
feasible condition.
•
A partir de ese instante el router A se pone en modo activo
enviando consultas queries a todos los vecinos.
•
Los routers E y F responden con feasible successor ya que ambos
reciben advertised distance de 5 desde el router G.
•
Todos los routers que enviaban queries vuelven al modo pasivo.
•
La tabla de topología y la tabla de enrutamiento son actualizadas
acorde a la nueva red.
•
El router A elige la ruta a través del router E, ya que la feasible
distance es menor y se agrega a la tabla de enrutamiento.
•
La ruta a través del router F se agrega a la tabla de topología como
un feasible successor.
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
55
DISEÑO DE RED CON EIGRP
EIGRP fue diseñado para su uso en redes grandes y complejas, pero a su
vez es muy sensible a los nuevos cambios que se introducen en el diseño de la red.
Hay que tener en cuenta ciertos factores que pueden afectar la escalabilidad
de EIGRP al incluir cambios en la red:
•
Cantidad de información que se envían entre vecinos.
•
Cantidad de routers que reciben actualizaciones.
•
Distancia entre routers vecinos.
•
La cantidad de rutas alternativas hacia redes remotas.
Un diseño de red inadecuado con EIGRP puede causar los siguientes
problemas:
• Router en stuck in active.
• Congestión de red.
•
Pérdida de información de enrutamiento.
• Rutas inestables.
• Retransmisiones.
• Excesivo consumo de memoria y recurso de CPU del router.
Problemas en el diseño de EIGRP
El mayor problema a la hora de diseñar una red con EIGRP es limitar la
cantidad de anuncios y consultas entre los routers y hasta dónde pueden llegar
éstas.
Esto es particularmente importante en enlaces WAN lentos debido a que
enviando menos información acerca de la red aumenta la capacidad de los datos
que se envían entre clientes y servidores, aunque en contraposición disminuye la
información a la hora de encontrar caminos alternativos.
www.FreeLibros.com
56
©RA-MA
REDES CISCO. CCNP a Fondo
Ante esta situación hay que encontrar un equilibrio entre sumarización y
toda otra información posible que se pueda enviar por la red. Finalmente el
administrador de red preferirá aumentar la sumarización a disminuirla.
EIGRP, por defecto, sumariza todos los prefijos de red que posee hacia la
red classfull cuando debe sobrepasar límites entre redes. Normalmente el
administrador de red deshabilita esta configuración por defecto, para luego aplicar
la sumarización de manera manual según él crea conveniente.
Ciertas topologías presentan mayores inconvenientes para el uso de
EIGRP, en particular las del tipo hub-and-spoke ya que en estas topologías se
envían consultas a routers que seguramente no serán capaces de responder con
rutas alternativas.
En estos casos para hacer que la red sea más efectiva se pueden emplear
filtros o sumarización para impedir la propagación de estas consultas innecesarias.
A la hora del diseño se deben tener en cuenta ciertas acciones para no tener
problemas con el escalado en el direccionamiento IP:
•
Asignar un direccionamiento IP y organizar los enlaces de manera
que la sumarización sea efectiva, utilizando para ello un diseño de
red jerárquico.
•
Utilizar dispositivos proporcionales a la red de manera que las
memorias y CPU puedan soportar con efectividad el protocolo de
enrutamiento.
•
Utilizar enlaces de red, especialmente WAN, con suficiente ancho
de banda.
•
Utilizar filtros para limitar anuncios innecesarios.
Monitorizar la red adecuadamente.
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
57
CONFIGURACIÓN DE EIGRP
Configuración básica de EIGRP
EIGRP es un protocolo de enrutamiento classless o sin clase, es decir, que
en las actualizaciones envía tanto el prefijo de red como la máscara de subred. Los
protocolos de enrutamiento sin clase son capaces de sumarizar. EIGRP permite
sumarizar en cualquier tipo de interfaz y de ruta, algo sumamente importante a la
hora de diseñar una red EIGRP escalable.
Para la configuración básica de EIGRP es necesario activar el protocolo
con su correspondiente AS (sistema autónomo) y las interfaces que participan en el
proceso.
Router(config)#router eigrp autonomous-system-number
Router(config-router)#network network-number
A partir de esta configuración todas las interfaces relacionadas con el
comando network comienzan a buscar routers vecinos dentro del mismo AS para
establecer una relación de vecindad. Para el caso concreto de que dicha interfaz
necesite ser advertida pero que no establezca una relación con el vecino se debe
configurar dentro del protocolo de la siguiente manera:
Router(config-router)#passive-interface ínterface-number
Con esto de evitará el envío de helio por la interfaz en cuestión.
El comando network puede individualizar una interfaz especificando una
máscara comodín o wildcard:
Router(config-router)#network network-number [wildcard-network-mask]
Observe el ejemplo:
Router(config)#interface SO
Router(config-if)#ip address 172.16.0.1 255.255.255.0
Router(config-if)#interface SI
Router(config-if)#ip address 172.16.22.1 255.255.255.0
Router(config)#router eigrp 220
Router(config-router)#network 172.16.0.1 0.0.0.0
www.FreeLibros.com
58
©RA-M A
REDES CISCO. CCNP a Fondo
La tabla siguiente muestra una serie de commandos opcionales en la
configuración de EIGRP:
Comando
Descripción
no auto-summary
Desactiva la sumarización classfiil que
viene por defecto.
ip summary-address
Configura manualmente la
sumarización.
eigrp stub
Configura un router stub.
variance
Configura el balanceo de carga
desigual.
ip hello-interval
eigrp autonomoussys tem-number
seconds
Cambia la frecuencia de envíos de los
helio.
ip hold-time eigrp
autonomous-systemnumber seconds
Cambia los tiempos para considerar
que un vecino ha muerto.
bandwidth
Cambia el ancho de banda de una
interfaz, en este caso EIGRP utiliza
este parámetro para calcular su métrica.
ip bandwidthpercent eigrp asnumber
Cambia el máximo ancho de banda que
EIGRP utilizará, por defecto es el 50%.
Sumarización en EIGRP
Si se pretende tener una red altamente escalable, tanto en EIGRP como en
cualquier otro protocolo, es sumamente importante tener en cuenta el proceso de
sumarización. Gracias a la sumarización se limita la cantidad de anuncios de rutas,
se limita el tamaño de la tabla de enrutamiento y se optimiza la convergencia de la
misma. Al mismo tiempo se limita el recálculo de rutas ayudando así al menor
consumo de recursos de memoria y CPU del router.
La sumarización ayuda a limitar el alcance de las consultas (query) que se
van activando recursivamente en todos los routers hasta que se comienzan a recibir
respuestas de todos los vecinos. Si se generan sumarizaciones en partes estratégicas
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
59
de la red no se anunciarán rutas innecesarias hacia un determinado destino,
haciendo que los routers no pasen al modo Stuck In Active (SIA).
En las versiones actuales de IOS la sumarización pasa automáticamente los
límites classfull entre redes. Esta sumarización puede ser muy efectiva pero a la
vez un problema si las redes son discontinuas en la red, en cuyo caso será necesario
desactivarla y configurarla de manera manual de la manera que el administrador lo
considere conveniente.
Existen dos comandos para configurar la sumarización,
•
no auto-summary, que sirve para deshabilitar la configuración global
que por defecto hace el router.
•
ip summary address eigrp, que se configura a nivel de interfaz.
La sintaxis para la configuración en la interfaz es la siguiente:
Router(config-if)#ip summary-address eigrp autonomous-system-number
address mask
Router Stub
Los routers stub en EIGRP sirven para enviar una cantidad limitada de
información entre ellos mismos y los routers de núcleo o core. De esta manera se
ahorran recursos de memoria y CPU en los routers stub.
Los routers stub solamente tienen un vecino que acorde con buen diseño de
red debería ser un router de distribución, de esta forma el router stub o remoto sólo
tiene una red que apunta hacia el router de distribución para alcanzar cualquier otro
prefijo en la red.
Configurando un router como stub ayuda al buen funcionamiento de la red,
las consultas se responden mucho más rápido. Estos routers responden a esas
consultas con mensajes de inaccesibles limitando así el ámbito de dichas consultas.
La sintaxis de configuración de EIGRP stub es la siguiente:
Router(config-router)# eigrp stub [receive-only|connected|
redistributed|static |summary]
www.FreeLibros.com
60
©RA-MA
REDES CISCO. CCNP a Fondo
Los parámetros entre corchetes son opcionales, el ejemplo que sigue
muestra la configuración de un router stub:
RouterB(config)#router eigrp 220
RouterB(config-router)#network 172.16.0.0 255.255.0.0
RouterB(config-router)#eigrp stub
En el siguiente gráfico se observan un conjunto de routers que son buenos
candidatos para ser configurados como stub
100. 10. 100.20
100. 10. 100.24
100 . 10 . 1.0
100 10 2.0
. .
100. 10. 3.0
100. 10. 4.0
100. 10. 5.0
Balanceo de carga en EIGRP
EIGRP de manera automática balancea carga a través de enlaces del mismo
coste. El mecanismo empleado dependerá del proceso de switching interno que se
tenga en el router. Se puede configurar EIGRP para balancear carga a través de
enlaces de distinto coste, esto lo hace único ya que los demás IGP no son capaces
de hacer este proceso. Para esto se utiliza el comando variance, donde la métrica
hacia la mejor ruta es multiplicada por la varianza utilizada, de esta manera las
rutas alternativas con una feasible distance menor que el producto son utilizadas
para hacer balanceo de carga.
www.FreeLibros.com
©RA-M A
CAPÍTULO 1. EIGRP
61
La sintaxis muestra la configuración de la varianza:
Router(config-router)#variance multiplier
El rango de valores de configuración del multiplicador es 1-128, por
defecto dicho valor es 1, lo que quiere decir que el balanceo de carga será igual.
Por lo tanto lo que hace EIGRP es multiplicar la mejor métrica por dicho valor
haciendo posible que todas las rutas hacia un mismo destino que posean métricas
menores a ese producto se incluyan en el balanceo de carga. La cantidad de
información que se envía por cada enlace es proporcional a la métrica de cada ruta.
MEJORANDO EL FUNCIONAMIENTO DE EIGRP
Se puede mejorar el desempeño de la red de varias maneras, la
sumarización y el balanceo de carga son las dos formas principales de hacerlo, pero
también existen otras técnicas. Estas incluyen reducir la frecuencia con la que se
envían helio y hold timer. Sin embargo hay que ser cuidadoso al reducir dicha
frecuencia entre los helio ya que si bien se aumenta el ancho de banda, el tiempo en
descubrir que un router no directamente conectado ha caído será mayor. Como
resultado la convergencia de la red será más lenta a cambio de un ancho de banda
más efectivo al enviar menos helio a la red.
Los valores de configuración de los intervalos de helio deben cambiarse si
se requieren configuraciones especiales, puesto que los valores por defecto son
generalmente efectivos. Aunque en muchos casos los valores de configuración de
estos intervalos pueden ser diferentes, se recomienda que dichos valores sean los
mismos entre todos los vecinos.
Temporizadores
El router utiliza los helio para determinar si un vecino ha muerto. Existen
dos opciones para declarar a un vecino como caído: una es cuando el router vecino
está directamente conectado a una interfaz del router local y ésta se cae, este vecino
se declarará como muerto. La otra opción es cuando entre ambos routers existe un
dispositivo como un switch, entonces la determinación de que ha muerto dependerá
del hold timer cuyos tiempos obedecen a la configuración del helio time.
Los tiempos en los intervalos helio deben modificarse disminuyendo los
valores en función de la rapidez con que interese declarar a un vecino como
muerto.
www.FreeLibros.com
62
©RA-M A
REDES CISCO. CCNP a Fondo
Los valores recomendables para la configuración de los intervalos helio en
enlaces de alto ancho de banda es de 5 segundos, como es el caso de ethemet,
token ring FDDI, PPP, HDLC, ATM o cualquier ancho de banda superior a un TI.
Para enlaces de menor ancho de banda el valor recomendable es de 60 segundos.
Antes de declarar a un vecino como muerto, el router esperara un hold
timer, que por defecto es tres veces el tiempo de un helio.
La sintaxis de configuración de los intervalos helio y hold timer es la
siguiente:
Router(config-if)#ip hello-interval eigrp autonomous-system-number
seconds
Router(config-if)#ip hold-time eigrp autonomous-system-number
seconds
El siguiente ejemplo muestra la configuración del helio y hold timer en una
interfaz seial 0
Router(config)#interface Serial 0
Router(config-if)#ip hello-interval eigrp 220 10
Router(config-if)#ip hold-time eigrp 220 30
Autenticación EIGRP
EIGRP soporta dos formas de autenticación, mediante la utilización de una
contraseña simple o mediante una contraseña cifrada MD5. En el caso de las
contraseñas simples se envían en formato de texto plano. Estas series de caracteres
sin encriptar deben ser iguales en el origen y en el destino. Este sistema de
autenticación no es seguro ya que pueden interceptarse y leerse las claves.
Contrariamente los valores MD5 son seguros debido al tipo de encriptación que, a
pesar de ser interceptados, no podrían leerse.
Para especificar el tipo de autenticación se debe hacer en el modo interfaz:
router(config-if)#ip authentication mode eigrp autonomous-system md5
Para definir la contraseña hay que crear una cadena de claves llamada key
chain y luego definir el nombre de la contraseña en el key string.
www.FreeLibros.com
©RA-M A
CAPÍTULO 1. EIGRP
63
router(config-if)#ip authentication key-chain eigrp autonomoussystem chain-name
router(config-if)#key chain chain-name
router(config-if)#key key-id
router(conf ig-keychain-key)#key-string key
El ejemplo que sigue muestra una configuración de autenticación EIGRP
en un AS 220:
router(config-if)#ip authentication mode eigrp 220 md5
router(config-if)#ip authentication key-chain eigrp 220 secret
router(config)#key chain secret
router(config-keychain)#key 10
router(config-keychain-key)#key-string contraseña
Lo recomendable es configurar primero la key chain para configurar luego
en la interfaz correspondiente la autenticación, hacerlo de forma inversa puede
generar problemas de funcionalidad.
EIGRP en redes WAN
EIGRP es único entre todos los demás protocolos a la hora de restringirse a
sí mismo en la utilización del ancho de banda, no utilizando por defecto más del
50% del ancho de banda disponible en el enlace.
Recuerde que el comando bandwidth es un valor arbitrario que utilizan los
protocolos para el cálculo de métrica y que no es el ancho de banda real del enlace.
Según esto último si el valor configurado en el bandwidth supera el ancho de banda
real, podría afectar severamente al funcionamiento de la red al saturar el enlace.
Para evitar este problema es necesario hacer un show interface y verificar si el
ancho de banda de la interfaz está configurado correctamente.
Router# show interface serial 0
SerialO is up, line protocol is up
Hardware is HD64570
Internet address is 172.25.146.182/30
MTU 1500 bytes, BW 1280 Kbit, DLY 20000 usec,
1/255
rely 255/255,
load
La sintaxis para la configuración del bandwidth en una determinada
interfaz es la siguiente:
Router(config-if)#bandwidth speed-of-line
www.FreeLibros.com
64
©RA-M A
REDES CISCO. CCNP a Fondo
Optimización del ancho de banda
Las redes NBMA (Nonbroadcast Multiaccess) puede tener dos tipos de
conexiones, punto a punto o multipunto en cualquiera de estos casos hay que tener
en cuenta las siguientes reglas:
•
EIGRP no debe exceder el C IR (Committed Information Rate) de los
circuitos virtuales (VC).
•
El tráfico generado EIGRP en todos los circuitos virtuales no debe
exceder la velocidad de la interfaz.
•
El ancho de banda utilizado por EIGRP en cada circuito virtual debe
ser el mismo en ambas direcciones.
El comando bandwidth influye en cómo EIGRP utilizarán los circuitos
virtuales en una red NBMA. Si existen varios circuitos virtuales en una red
multipunto, EIGRP asume que el ancho de banda debe repartirse por igual en todos
los VC limitándose por defecto a utilizar la mitad de ese ancho de banda. Por lo
tanto el comando bandwidth debe reflejar el ancho de banda real de la interfaz, es
decir, multiplicando el ancho de banda de cada VC por la cantidad de los mismos.
Si existen demasiados circuitos virtuales podría suceder que no exista el
suficiente ancho de banda para el tráfico requerido por EIGRP. En este caso se
debe configurar la interfaz con un ancho de banda menor que la velocidad real del
circuito, haciendo que EIGRP cambie el porcentaje que por defecto tiene en el uso
del ancho de banda.
Router(config-if)#ip bandwidth-percent eigrp autonomous-systemnumber percent
VERIFICACIÓN EIGRP
A continuación se describen varios comandos show que muestran el
funcionamiento de EIGRP:
Router#show ip eigrp neighbors [type number]
Este comando muestra información detallada de los vecinos. Guarda un
registro minucioso de las comunicaciones entre el router y sus vecinos, las
interfaces y el direccionamiento IP.
www.FreeLibros.com
©RA-M A
CAPÍTULO 1. EIGRP
65
Router# show ip eigrp neighbors
IP-EIGRP Neighbors for process 220
Address
interface
Holdtime
(secs)
198.162.16.34 EthernetO
18
20
198.153.45.16 Ethernetl
172.45.123.22 Ethernet2
33
Campo
(h:m:s)
0:00:11
0:02:21
0:01:02
Count Num
0
10
0
11
0
4
Uptime QSeqSRTTRTO
(ms) (ms)
6
20
11
25
5
2
Descripción
process
Número de sistema autónomo.
Address
Dirección IP del vecino.
Interface
Interfaz que recibe los helio.
Holdtime
Período de tiempo medido en segundos antes de declarar ,
al vecino como muerto.
Uptime
Tiempo transcurrido desde que se recibe la información
del vecino, en horas, minutos y segundos.
Q Count
Número de paquetes EIGRP (update, query, and reply)
que el router tiene en cola.
Seq Num
Número de secuencia del último paquete recibido del
vecino.
SRTT
Smooth Round-Trip Time. Tiempo en milisegundos
desde que se envía un paquete hasta que se recibe un
ACK.
RTO
Retransmission Timeout, es el tiempo de espera de un
ACK antes de reenviar un paquete. Se mide en
milisegundos.
Router#show ip eigrp topology [autonomous-system-number ¡ [[ipaddress] mask]]
Este comando muestra la tabla de topologías con información detallada
sobre toda la red, sobre todo las posibles rutas y próximos saltos para esas rutas;
también muestra los paquetes que se han enviado a los vecinos. El funcionamiento
de DUAL, el successor, el feasible successor también se muestran con este
comando.
www.FreeLibros.com
66
©RA-M A
REDES CISCO. CCNP a Fondo
Router# show ip eigrp topology
IP-EIGRP Topology Table for process 220
Codes:P - Passive, A - Active, U - Update, Q - Query, R — Reply, r Reply status
P 192.100.56.0 255.255.255.0, 2 successors, FD is 0
via 192.100.16.34 (62517761/62261761), Ethernetl
via 192.100.45.16 (62517761/62261761), Ethernet2
via 192.100.123.22 (62773761/62517761), EthernetO
P 192.100.44.0 255.255.255.0, 1 successors, FD is 406200
via Connected, Ethernetl
via 192.100.45.22 (407200/281600), Ethernetl
via 192.100.32.31 (432800/307200), EthernetO
Campo
Descripción
p
Passive. El router no ha recibido ninguna información de
cambios, lo que indica que la red está estable.
A
Active. Esto ocurre si el successor esta caído, entonces se
intenta buscar una ruta alternativa.
U
Update. Valor que indica que se ha enviado una
actualización a un vecino.
Q
Query. Valor que indica que se ha enviado una consulta a
un vecino.
R
Reply. Valor que indica que se ha enviado una respuesta
a un vecino.
r
Este valor se utiliza junto con las consultas, esto indica
que se está esperando una respuesta.
192.100.44.0
255.255.255.0
successors
Red de destino.
Máscara de la red de destino.
Es el número de rutas o siguiente salto lógico.
via
Dirección del siguiente salto. La primera entrada es del
successors y la siguiente del feasible successors.
(62517761/
62261761)
El primero de estos valores en la métrica EIGRP y el
segundo la métrica advertida por el vecino (AD).
EthernetO
Interfaz por la cual EIGRP es anunciado y la interfaz de
salida.
www.FreeLibros.com
© RA-MA
CAPÍTULO 1. EIGRP
67
Router#show ip eigrp traffic [autonomous-system-number]
Este comando muestra la información del tráfico EIGRP generado y recibido por el
router.
Router# show ip eigrp traffic
IP-EIGRP Traffic Statistics for process 220
Helios sent/received: 118/105
Updates sent/received: 17/13
Queries sent/received: 12/10
Replies sent/received: 10/22
Acks sent/received: 2/4
Descripción
Campo
process 220
Número de sistema autónomo.
Helios
sent/received
Número de paquetes helio enviados y
recibidos por el router.
Updates
sent/received
Número de paquetes updates enviados y
recibidos por el router.
Queries
sent/received
Número de paquetes queries enviados y
recibidos por el router.
Replies
sent/received
Número de paquetes replies enviados y
recibidos por el router.
Acks
sent/rece ived
Número de paquetes ACK enviados y
recibidos por el router.
RESOLUCIÓN DE FALLOS EN EIGRP
Existen dos herramientas fundamentales para la resolución de problemas
en EIGRP. La primera es la documentación, a través de ésta se puede tener un
diseño más efectivo y brinda un apoyo a la hora de buscar soluciones cuando
existen fallos. La segunda herramienta son los comandos debug que permiten
monitorizar lo que está ocurriendo en la red. Como todos los comandos debug hay
que extremar los cuidados al utilizarlos ya que podría causar un consumo excesivo
de recursos del router hasta dejarlo completamente inoperable.
www.FreeLibros.com
68
©RA-MA
REDES CISCO. CCNP a Fondo
Comando
Descripción
debug ip eigrp
packet
Muestra los paquetes EIGRP enviados y
recibidos por el router. Los paquetes
pueden ser seleccionados hasta 11 tipos.
debug ip eigrp
neighbors
Muestra los paquetes helio enviados y
recibidos por el router y el proceso de
descubrir a los vecinos.
debug ip eigrp
Muestra dinámicamente los cambios en
la tabla de enrutamiento.
debug ip eigrp
summary
Muestra los procesos resumidos EIGRP.
www.FreeLibros.com
Capítulo 2
OSPF
INTRODUCCIÓN A OSPF
OSPF (Open Shortest Path First) es un protocolo de enrutamiento estándar
definido en la RFC 2328. Utiliza el algoritmo SPF (Shortest Path First) para
encontrar las mejores rutas hacia los diferentes destinos y es capaz de converger
muy rápidamente. Esto último conlleva un alto uso de CPU del router por lo que
hay que tener precauciones a la hora de diseñar la red. Es flexible en el diseño de
red y al ser un estándar soporta dispositivos de todos los fabricantes.
Un protocolo de estado de enlace es un protocolo sofisticado que utiliza el
algoritmo de Dijkstra para determinar el camino más corto hacia el destino libre
de bucles. Estos protocolos utilizan localmente mayores recursos que los
protocolos vector distancia ya que deben calcular más datos con el objetivo de
reducir tráfico de red. Los protocolos de estado de enlace llevan un registro de
todas las posibles rutas para de esta manera no utilizar las técnicas de los vectores
distancia para evitar bucles.
Estas son algunas ventajas de OSPF sobre otros protocolos de estado de
enlace:
•
Es un protocolo classless permitiendo sumarización.
•
Converge muy rápidamente.
•
Es estándar, lo que permite configurarlo en un escenario con diferentes
tipos de fabricantes.
www.FreeLibros.com
70
©RA-M A
REDES CISCO. CCNP a Fondo
•
Aprovecha el ancho de banda disponible.
•
Utiliza multicást en lugar de broadcast.
•
Envía actualizaciones incrementales.
•
Utiliza el coste como única métrica.
Funcionamiento de OSPF
Los protocolos vector distancia anuncian rutas hacia los vecinos, pero los
protocolos estado de enlace anuncian una lista de todas sus conexiones. Cuando un
enlace se cae se envían LSA (Link-State Advertisement), que son compartidas por
los vecinos como así también una base topológica LSDB (Link-State Database).
Las LSA se identifican con un número de secuencia para reconocer las más
recientes, en un rango de 0x8000 0001 al OxFFFF FFFF. Cuando los routers
convergen tienen la misma LDSB, a partir de ese momento SPF es capaz de
determinar la mejor ruta hacia el destino. La tabla de topología es la visión que
tiene el router de la red dentro del área en que se encuentra incluyendo además
todos los routers.
Router#show ip ospf database
OSPF Router with ID (172.18.6.1) (Process ID 87)
Router Link States (Area 10)
Link ID
Checksum
ADV Router
Seq#
Age
172.18.6.1
0x80000005 0x008367
172.18.6.1
108
172.19.2.1
0x80000004 0x00C25B
172.19.2.1
144
192.168.2.3
0x80000006 OxOOlDDE
192.168.2.3
109
192.168.2.5
0x80000006 0x007CFD
192.168.2.5
109
Net Link States (Area 10)
Link ID
Checksum
Seq#
ADV Router
Age
172.18.5.3
0x80000003 0x001612
172.19.2.1
144
192.168.1.1
0x80000001 0x007CE5
172.18.6.1
208
192.168.2.1
0x80000001 0x0071EF
172.18.6.1
208
Summary Net Link States (Area 10)
Link ID
Checksum
Seq#
ADV Router
Age
0.0.0.0
172.19.2.1
0x80000001 0x00F288
978
2.2.2.2
172.19.2.1
0x80000001 0x0096DC
973
2.2.2.3
172.19.2.1
0x80000001 0x008CE5
973
2.2.2.4
172.19.2.1
0x80000001 0x0082EE
973
172.19.2.1
172.19.2.1
0x80000001 0x00298F
973
172.20.10.0
0x80000001 0x 00472a
172.19.2.1
397
Link count
4
1
4
3
Recuerde que la tabla de topologías se actualiza por cada una de las LSA
que envían cada uno de los routers dentro de la misma área y que todos estos
routers comparten la misma base de datos. Si existen inconsistencias en esta base
de datos podrían generarse bucles; es el propio router el encargado de avisar que ha
habido algún cambio e informar del mismo. Algunas de éstas pueden ser:
www.FreeLibros.com
© RA-MA
CAPÍTULO 2. OSPF
•
Pérdida de conexión física o link en algunas de sus interfaces.
•
No se reciben los helio en el tiempo establecido por sus vecinos.
•
Se recibe un LSA con información de cambios en la topología.
71
En cualquiera de los tres casos anteriores el router generará una LSA
enviando a sus vecinos la siguiente información:
•
Si la LSA es mas reciente se añade a la base de datos. Se reenvían
a todos los vecinos para que actualicen sus tablas y SPF comienza
a funcionar.
•
Si el número de secuencia es el mismo que el router ya tiene
registrado en la base de datos, ignorará esta actualización.
•
Si el número de secuencia es anterior al que está registrado, el
router enviará la versión nueva al router que envió la anterior. De
esta forma se asegura que todos los routers poseen la última
versión.
Métrica OSPF
El coste es la métrica utilizada por OSPF. Un factor importante en el
intercambio de las LSA es la relativa a la métrica. La implementación de Cisco
calcula el coste mediante la siguiente formula:
_
lOO.OOO.OOOfow
10 i bps
Coste = -----------------— = ----------- -------VelocidadEnlace VelocidadEnlace
Si existen varios caminos para llegar al destino con el mismo coste, OSPF
efectúa por defecto un balanceo de carga hasta 4 rutas diferentes. Este valor admite
hasta 16 rutas diferentes. OSPF calcula el coste de manera acumulativa tomando en
cuenta el coste de la interfaz de salida de cada router.
Tablas OSPF
Todas las operaciones OSPF se basan en tres tablas, que deben mantenerse
actualizadas:
•
Tabla de vecinos
•
Tabla de topologías
•
Tabla de enrutamiento
www.FreeLibros.com
72
©RA-MA
REDES CISCO. CCNP a Fondo
Vecinos OSPF
OSPF establece relaciones con otros routers mediante el intercambio de
mensajes helio. Luego del intercambio inicial de estos mensajes los routers
elaboran sus tablas de vecinos, que lista todos los routers que están ejecutando
OSPF y están directamente conectados. Los mensajes helio son enviados con la
dirección multicást 2240.0.0.5 con una frecuencia en redes tipo broadcast cada 10
segundos, mientras que en las redes nonbroadcast cada 30 segundos.
El contenido de los helio de describe en la siguiente tabla:
Parámetro
Descripción
Router ID
Es un número de 32 bit que identifica y
hace único al router.
Helio and dead interval
Período de envío de los helio y su
correspondiente timeout.
Neighbor list
Lista de todos los ID de los routers.
Area ID
Número de área.
Priority
La prioridad que designa al DR y el
BDR.
DR y BDR
Dirección IP del DR y BDR.
Authentication
Contraseña, si está habilitada.
Stub Area Flag
Indica un stub area.
Una vez que los routers hayan intercambiado los paquetes helio,
comienzan a intercambiar información acerca de la red y una vez que esa
información haya sincronizado los routers forman adyacencias.
Una vez logrado el estado Full, las tablas deben mantenerse actualizadas,
las LSA son enviadas cuando exista algún cambio o cada 30 minutos como un
tiempo de refresco.
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-M A
73
Estados OSPF
La siguiente lista describe los estados de una relación de vecindad:
•
Down, es el primer estado de OSPF y significa que no se ha
escuchado ningún helio de este vecino.
•
Attempt, este estado es únicamente para redes NBMA, durante
este estado el router envía paquetes helio de tipo unicast hacia el
vecino aunque no se hayan recibido helio de ese vecino.
•
Init, se ha recibido un paquete helio de un vecino pero el ID del
router no ésta listado en ese paquete helio.
•
2-Way, se ha establecido una comunicación bidireccional entre
dos routers.
•
Exstart, una vez elegidos el DR y el BDR el verdadero proceso de
intercambiar información del estado del enlace se hace entre los
routers y sus DR y BDR.
•
Exchange, en este estado los routers intercambian la información
de la base de datos DBD.
•
Loading, es en este estado cuando se produce el verdadero
intercambio de la información de estado de enlace.
•
Full, finalmente los routers son totalmente adyacentes, se
intercambian las LSA y las bases de datos de los routers están
sincronizadas.
Los mensajes helio se siguen enviando periódicamente para mantener las
adyacencias, en el caso de que no se reciban se dará por perdida dicha adyacencia.
Tan pronto como OSPF detecta un problema modifica las LSA correspondientes y
envía actualizaciones a todos los vecinos. Este proceso mejora el tiempo de
convergencia y reduce al mínimo la cantidad de información que se envía a la red.
Router designado y router designado de reserva
Cuando varios routers están conectados a un segmento de red del tipo
broadcast, uno de estos routers del segmento tomará el control y mantendrá las
adyacencias entre todos los routers de ese segmento. Ese router toma el nombre de
DR (Desígnate Router) y será elegido a través de la información que contienen los
mensajes helio que se intercambian los routers. Para una eficaz redundancia
también se elige un router designado de reserva o BDR. Los DR son creados en
www.FreeLibros.com
74
REDES CISCO. CCNP a Fondo
©RA-M A
enlaces multiacceso debido a que el número de adyacencias incrementaría de
manera significativa el tráfico en la red, de esta forma el DR y el BDR establecen
adyacencias reduciendo la cantidad de adyacencias necesarias.
En el caso de no tener DR y DBR la cantidad de adyacencias se
establecería de acuerdo a la siguiente fórmula:
n(n —l)
2
Según esta fórmula, cuatro routers establecen 6 adyacencias:
4 (4 - 0 = 6
2
Esta forma de añadir adyacencias consumiría gran cantidad de ancho de
banda, recursos de memoria y CPU de los routers. El propósito final del DR es
reducir al máximo este consumo de recursos haciendo que todos los demás routers
establezcan adyacencias con él, quedando establecida en la formula n -1.
DR
www.FreeLibros.com
© RA-MA
CAPÍTULO 2. OSPF
75
El DR recibe actualizaciones y las distribuye a todos los demás routers del
segmento asegurándose con acuses de recibo de que éstos han recibido
correctamente dichas actualizaciones y que poseen una copia sincronizada de la
LSDB. Los routers notifican los cambios a través de la dirección multicást
224.0.0.6 a su vez el DR envía las LSA a los routers por la dirección multicást
224.0.0.5. El BDR escucha pasivamente y mantiene una tabla de relación con todos
los demás routers, en el caso de que el DR deje de enviar helio el BDR tomará el
papel del DR. Este concepto de DR y BDR en enlaces punto a punto no tendría
sentido puesto que sólo se establece una única adyacencia, por lo tanto no hay
necesidad de esta elección. Sin embargo, en enlaces punto a punto del tipo ethemet
existe elección de DR y BDR, para evitar esto se recomienda un diseño del tipo
punto a punto y así evitar la elección de éstos.
La elección de DR y BDR dependerá de la interfaz de loopback más alta
que esté configurada en el router o también en el caso de que esté configurado el
comando ip ospf priority. Por defecto la prioridad es 1, en un rango 0 a 255, a
mayor prioridad mayores posibilidades de que sea elegido como DR. La
configuración de una prioridad 0 hace que el router no participe de la elección.
Router(config-if)# ip ospf priority number
En caso de empate en la designación porque no esté configurado este
comando o porque los valores son iguales, entonces se remite a la interfaz loopback
más alta; pero si aun así hay igualdades o no hay interfaz de loopback, será
finalmente una interfaz física más alta la que participe en la elección del DR. La
siguiente prioridad más baja determinará quién será el BDR. Una vez concluido el
proceso de elección si se agregara a la red un router con mejor prioridad no tomaría
el rol de DR o BDR, esto ocurriría si se caen las adyacencias o se reiniciara el
router. Esta regla es importante a tener en cuenta en el momento de iniciar los
routers en una red puesto que una vez hecha la elección no habrá cambios aunque
se añadan más routers. El administrador debe tener en cuenta este proceso
considerando como muy importante el orden de inicio de la red. En muchos
diseños se aconseja cambiar las prioridades a cero para que la elección sea la
correcta.
Además de lo dicho anteriormente, para forzar la elección de DR y BDR se puede
utilizar el comando clear ip ospf process *.
Tipos de paquetes OSPF
Todo el tráfico en OSPF se encapsula en paquetes IP siendo reconocido
con el puerto 89. OSPF utiliza cinco tipos de paquetes diferentes:
www.FreeLibros.com
76
REDES CISCO. CCNP a Fondo
©RA-M A
•
Helio, establecen
directamente.
la
comunicación
con
vecinos
conectados
•
Database Descriptor (DBD), envían una lista de los ID de los routers,
las LSA y el número de secuencia. Esta información se utiliza para
testear la red.
•
Link State Request (LSR), siguen a los paquetes DBD preguntando
por cualquier paquete LSA que se halla perdido.
•
Link State Update (LSU), son las respuestas a las LSR con los datos
que se han pedido.
•
Link State Acknowledgements (LSAck), confirmá la recepción del
paquete.
Los DBD son la parte primaria de las LSA que tiene el router, los LSR
solicitan las LSA completas y los LSU son las respuestas conteniendo las LSA
completas que se habían solicitado.
Todos los paquetes OSPF tienen un formato común que se describe en la
siguiente tabla:
Campo
Versión
.
Descripción
Puede ser versión 2 o 3, según sea IPv4 o IPv6.
Type
Hay 5 tipos de paquetes numerados del 1 al 5.
Packet Length
Longitud medida en bytes.
Router ID
Identificador del router de 32 bits.
Area ID
Identificador del área de 32 bits.
Checksum
Control estándar de 16 bits.
Authentication
Type
OSPFv2 soporta tres tipos de autenticación:
• No autenticación
•
•
Texto plano
Encriptado MD5
Authentication
Data
Son 64 bits de datos que pueden estar vacíos,
contener texto plano o encriptación MD5.
Data
Son los datos que se están enviando.
www.FreeLibros.com
© RA-MA
CAPÍTULO 2. OSPF
77
Áreas en OSPF
Un área en OSPF es una agrupación de routers que están ejecutando el
mismo proceso y que tienen una base de datos idéntica. También se puede decir
que un área es una subdivisión del dominio de enrutamiento de OSPF. Cada área
ejecuta su propio SPF y las sumarizaciones de redes son pasadas entre las
respectivas áreas.
Si consideramos los problemas que pueden existir con el crecimiento de
una red en OSPF con una sola área, hay varias cuestiones que se deben tener en
cuenta:
1. El algoritmo SPF es ejecutado con mayor frecuencia. Cuanto mayor sean
las dimensiones de la red mayor posibilidad de fallos en enlaces o cambios
topológicos debiendo recalcular toda la tabla de topologías con el algoritmo
SPF. El tiempo de convergencia es mayor cuanto mayor sea el área.
2. Cuanto mayor sea el área mayor será la tabla de enrutamiento. A pesar de
que la tabla de enrutamiento no se envía por completo como en los
protocolos vector distancia, cuanto más grande más tiempo se tardará en
hacer una búsqueda en ella, con mayor gasto de recursos.
3. En una red de grandes dimensiones la tabla de topología puede ser
inmanejable, intercambiándose entre los routers cada 30 minutos.
Finalmente, la base de datos se incrementa en tamaño y los cálculos
aumentan en frecuencia; crece de manera considerable el uso de CPU y memoria
afectando directamente a la latencia de la red. Todo esto se traduce en congestiones
de red, paquetes perdidos, malos tiempos de convergencia, etc.
En OSPF las áreas tienen dos niveles de jerarquías, el área 0 o de
backbone y el resto de las áreas. Con este diseño jerárquico se pueden implementar
sumarizaciones y minimizar la cantidad de entradas en las'tablas. Los routers del
área 0 son llamados routers de backbone, los routers que limitan entre el área 0 y
las demás áreas se llaman ABR (Area Border Routers) y los routers que
redistribuyen información desde algún otro protocolo de enrutamiento se llaman
ASBR (Autonomous System Boundary Routers).
www.FreeLibros.com
78
©RA-M A
REDES CISCO. CCNP a Fondo
CONFIGURACIÓN BÁSICA DE OSPF
Un router que pertenece sólo a un área es denominado router interno, los
parámetros para su configuración son los siguientes:
•
Proceso OSPF, establece en qué número de proceso se asocia el
router.
•
Interfaces, identifican a las interfaces usadas por OSPF.
•
Área, define un área para cada interfaz, en este caso todas pertenecen a
la misma.
•
Router ID, identificador único de 32 bits.
Configuración de OSPF en una sola área
Para iniciar el proceso de configuración OSPF se debe identificar el
número de proceso. Este número tiene significado local y pueden existir varios
procesos OSPF en un mismo router, aunque hay que tener en cuenta que cuantos
más procesos más consumo de recursos.
Router(config)# router ospf process-number
Una vez que el proceso OSPF es habilitado se debe identificar las
interfaces que participarán en el mismo, debiendo tener especial cuidado con la
utilización de la máscara comodín o wildcard.
Router(config-router)# network network-number wildcard-mask area
area-number
www.FreeLibros.com
©RA-M A
CAPÍTULO 2. OSPF
79
La wildcard permite ser muy específico, todas las interfaces que entren en
el rango de la máscara wildcard participarán del proceso OSPF. El parámetro área,
asocia las interfaces en un área en particular. El formato del parámetro área es un
campo de 32 bits en decimal simple o notación decimal de punto.
A partir de la identificación del área comienzan a intercambiarse los helio,
se envían las LSA y el conjunto de los routers comienzan a participar en la red.
Cuando el router tiene interfaces en diferentes áreas se llama ABR.
Existen varias formas de utilizar el comando network aprovechando la
flexibilidad de las wildcard:
1. Configurando de manera global todas las interfaces.
2. Configurando las redes a las que pertenecen las interfaces.
3. Configurando las interfaces una a una.
Estas opciones pueden ser aplicables con mayor eficacia según sea el caso.
La primera puede ser de rápida configuración pero con el consiguiente riesgo de
que alguna interfaz no deseada se filtre en el proceso OSPF. El tercer caso es más
trabajoso para el administrador pero más selectivo y seguro.
Observe el siguiente ejemplo:
FastEth ern et O/O
19 2 .1 6 8 .1 .1 /2 4
S erial 1/
172.16.0
v Serial 1/1
J1 7 2 .16.1.3/30
Z
F a stE th e rn e t 0/1
1 9 2 .1 6 8 .2 .1 / 2 4
www.FreeLibros.com
F a stEth e rn e t 0/2
1 9 2 .1 6 8 .2 .1 / 2 4
80
©RA-M A
REDES CISCO. CCNP a Fondo
Configurando de manera global todas las interfaces:
Router(router-config)# network 0.0.0.0 255.255.255.255 area 0
Configurando las redes a las que pertenecen las interfaces:
Router(router-config)# network 172.16.0.0 0.0.255.255 area 0
Router(router-config)# network 192.168.100.0 0.0.0.255 area 0
Configurando las interfaces una a una:
Router(router-config)#
Router(router-config)#
Router(router-config)#
Router(router-config)#
Router(router-config)#
network 192.168.1.1 0.0.0.0 area 0
network 192.168.2.1 0.0.0.0 area 0
network 192.168.3.1 0.0.0.0 area 0
network 172.16.0.1 0.0.0.0 area 0
network 172.16.1.3 0.0.0.0 area 0
Para mejorar el funcionamiento del router interno, el administrador puede
definir cuál es el mejor router para ser el DR configurando manualmente el ID del
router que participa en el dominio OSPF. De esta forma se tiene un mejor control
de los eventos que ocurren en la red. Si este comando no ha sido configurado, el
router elegirá la IP de loopback más alta que esté configurada y si ésta tampoco
está configurada, entonces será la IP más alta de alguna interfaz física activa.
Router(config-router)# router-id ip-address
Cisco no recomienda la utilización del comando router id, debido a que
BGP también utiliza este comando y esto puede generar ciertos problemas entre las
operaciones entre ambos protocolos. Para evitar esto se recomienda configurar una
interfaz de loopback. Con una máscara de subred /32 para minimizar la cantidad de
direcciones utilizadas.
Router(config)# interface loopback ínterface-number
Router(config-if)# ip address íp-address subnet-mask
Una vez que el router ID ha sido elegido se mantiene estable aunque las
interfaces presenten altibajos; las interfaces de loopback al ser virtuales no son
propensas a caerse, salvo que el administrador les haga un shutdown y las deje
administrativamente inactivas.
Dependiendo del diseño de la red la interfaz de loopback se puede añadir al
comando network para poder hacer ping al router ID y de esta manera hacer más
fácil la administración de la red.
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-M A
81
I
Cambio del cálculo del coste
Como se explicó en párrafos anteriores, OSPF utiliza el coste como cálculo
de la métrica. Este valor se obtiene en base a la formula:
108bps
VelocidadEnlace
Dependiendo del diseño de red es conveniente efectuar cambios en el
cálculo del coste para tener un mayor control sobre cómo OSPF cálcula la métrica
hacia los destinos. Cuanto menor sea el valor del coste mejor será el cálculo de la
métrica. El valor del coste es de 16 bits, el administrador puede configurarlo en un
rango de 0 a 6553 según la siguiente sintaxis:
Router(config-if )# ip ospf cost cost
El valor por defecto del coste se muestra en la siguiente tabla:
Coste
56-kbps serial link
1785
TI (1.544-Mbps serial
link)
64
Ethernet
10
Fast Ethernet
1
Gigabit Ethernet
1
Observe que el valor por defecto del coste es idéntico para Fast Ethernet
que para Giga Ethernet, en este caso es conveniente manipular los valores del coste
para que sea el enlace de 1000 el elegido como ruta al destinó.
Otra forma de que el router calcule el coste es modificando el numerador
con que OSPF calcula de manera automática la métrica. El valor por defecto es
100, pero oscila en rango de 1 a 4294967.
Router(config-router)# ospf auto-cost reference-bandwidth referencebandwidth
www.FreeLibros.com
82
©RA-MA
REDES CISCO. CCNP a Fondo
Es aconsejable aplicar este comando a todas las interfaces que participan
en el proceso OSPF. También es importante saber que el comando ip ospf cost
sobrescribe cualquier cálculo que el router haya hecho de manera automática.
Ejemplo de configuración de OSPF en una sola área
La siguiente sintaxis muestra la configuración de un router cuyo
administrador ha determinado una prioridad 10 para que sea elegido como DR en
el segmento del enlace de la Fast Ethernet 0.
RouterA(config)# router ospf 220
RouterA(config-router)# network 192.16.0.0 0.0.255.255 area 0
RouterA(config-router)# interface FastEthernet 0
RouterA(config-if)# ip address 192.168.16.129 255.255.255.240
RouterA(config-if)# ip ospf priority 10
RouterA(config-if)# interface FastEthernet 1
RouterA(config-if)# ip address 192.16.0.193 255.255.255.240
RouterA(config-if)# ip ospf cost 10
VERIFICACIÓN OSPF EN UNA SOLA ÁREA
A continuación se describen los comandos más importantes para la
verificación y control de OSPF en un área simple:
Router# show ip ospf [process-ld]
Este comando muestra la configuración de OSPF en un router en particular,
es especialmente útil para saber el número de veces que se ha ejecutado el
algoritmo SPF, que es un indicativo de la estabilidad de la red.
Router# show ip ospf 220
Routing Process "ospf 220" with ID 192.168.0.10
Supports only single TOS(TOSO) routes
It is an internal router
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
Number of external LSA 0. Checksum Sum 0x0
Number of DCbitless external LSA 0
Number of DoNotAge external LSA 0
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Area 3
Number of interfaces in this area is 3
Area has no authentication
SPF algorithm executed 10 times
Area ranges are
Link State Update Interval is 00:30:00 and due in 00:18:54
Link State Age Interval is 00:20:00 and due in 00:08:53
Number of DCbitless LSA 2
www.FreeLibros.com
©RA-MA
CAPÍTULO 2. OSPF
83
Number of indication LSA 0
Number of DoNotAge LSA 0
Campo
Descripción
Routing Process "ospf
220" with ID
192.168.0.10
Muestra el ID del proceso local de OSPF y
el router ID de OSPF.
It is an internal router
Tipo de router (internal, ABR, ASBR).
SPF schedule delay
Tiempo que espera SPF para ejecutarse
después de recibir un LSA. Previene
ejecutar SPF de manera frecuente.
Hold time between two
SPFs
Tiempo mínimo entre cálculos de SPF.
Number of DCbitless
external LSA
Se usa en circuitos de OSPF “on demand”.
Number of DoNotAge
external LSA
Se usa en circuitos de OSPF “on demand”,
por ejemplo ISDN.
Area 3
Number of interfaces in
this area is 3
Area has no
authentication
SPF algorithm executed
10 times
Area ranges are
Area a la que pertenece el router, como
este router es internal sólo pertenece a
una. Cuántas interfaces hay en cada área.
Autenticación si la hay. Cuántas veces se
ha ejecutado el algoritmo SPF. Si hay
sumarizaciones.
Link State Update
Interval is 00:30:00 and
due in
00:18:54
El tiempo por defecto de actualización de
las LSA es 30 minutos y es usado para
garantizar la integridad de la base de datos
topológica.
Link State Age Interval
is 00:20:00 and due in
00:08:53
Intervalo de borrado max-aged y cuándo
serán eliminadas las rutas desactualizadas.
Router# show ip ospf neighbor [type number] [neighbor-id] [detail]
Este comando muestra los vecinos OSPF. Puede utilizarse listando todos
los vecinos, por interfaces o con detalles más precisos de los vecinos:
Router# show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
www.FreeLibros.com
84
© RA-MA
REDES CISCO. CCNP a Fondo
140.100.17.132
FastEthernet1/0
140.100.17.131
FastEthernet1/0
140.100.23.1 1
140.100.32.12 1
140.100.32.11 1
140.100.17.194 1
1
FULL/DROTHER
00:00:36
140.100.17.132
1
FULL/DROTHER
00:00:37
140.100.17.131
FULL/BDR 00:00:38 140.100.17.130 FastEthernetl/0
FULL/DROTHER 00:00:35 140.100.32.12 Fddi2/0
FULL/DR 00:00:32 140.100.32.11 Fddi2/0
FULL/DR 00:00:31 140.100.17.194 FastEthernet3/0
Router# show ip ospf neighbor serialO/O
Neighbor ID Pri State Dead Time Address Interface
140.100.32.12 1 F U L L /DROTHER 00:00:36 140.100.32.12 serial2/0
140.100.32.11 1 FULL/DR 00:00:32 140.100.32.11 serial2/0
Router# show ip ospf neighbor detail
Neighbor 140.100.17.132, interface address 172.100.17.132
In the area 3 via interface FastEthernetl/0
Neighbor priority is 1, State is FULL, 6 State changes
DR is 172.100.17.129 BDR is 172.100.17.130
Options 2
Dead timer due in 00:00:35
Neighbor 140.100.17.131, interface address 140.100.17.131
In the area 3 via interface FastEthernetl/0
Neighbor priority is 1, State is FULL, 6 state changes
DR is 140.100.17.129 BDR is 140.100.17.130
Options 2
Dead timer due in 00:00:34
Neighbor 140.100.23.1, interface address 140.100.17.130
In the area 3 via interface FastEthernetl/0
Neighbor priority is 1, State is FULL, 6 state changes
DR is 140.100.17.129 BDR is 140.100.17.130
Options 2
Dead timer due in 00:00:36
Neighbor 140.100.32.12, interface address 140.100.32.12
In the area 3 via interface Fddi2/0
Neighbor priority is 1, State is FULL, 6 state changes
DR is 140.100.32.11 BDR is 140.100.32.10
Options 2
Dead timer due in 00:00:32
Neighbor 140.100.32.11, interface address 140.100.32.11
In the area 3 via interface Fddi2/0
Neighbor priority is 1, State is FULL, 6 state changes
DR is 140.100.32.11 BDR is 140.100.32.10
Options 2
Dead timer due in 00:00:38
Neighbor 140.100.17.194, interface address 140.100.17.194
In the area 3 via interface FastEthernet3/0
Neighbor priority is 1, State is FULL, 9 state changes
DR is 140.100.17.194 BDR is 140.100.17.1
www.FreeLibros.com
© RA-MA
CAPÍTULO 2. OSPF
CAMPO
85
DESCRIPCIÓN
Neighbor
Router ID.
Neighbor
priority
Prioridad enviada en el mensaje helio.
State
Muestra el estado en que se encuentra el vecino:
• Down
• Attempt
• Init
• 2-Way
• Exstart
• Exchange
• Loading
• Full
Dead Time
Período de tiempo que el router esperará sin escuchar helio
para declarar al vecino como muerto.
Address
Dirección IP del vecino. Hay que tener en cuenta que no
tiene por qué ser la misma que la del Router ID.
Interface
Interfaz por la cual se ha conocido al vecino.
Options
Identifica una stub area.
Router# show ip protocols
Con el show ip protocols se puede ver la configuración de los protocolos de
enrutamiento que estén habilitados en el router y cómo interactúan entreellos.
Muestra cuándo se producirá la siguiente actualización.
Router# show ip protocols
Routing Protocol is "ospf 220"
Sending updates every 0 seconds
Invalid after 0 seconds, hold down 0, flushed after 0
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Redistributing: ospf 220
Routing for Networks:
172.202.0.0
Routing Information Sources:
Gateway Distance Last Update
172.202.17.131 110 00:50:23
172.202.17.132 110 00:50:23
172.202.17.194 110 00:07:39
www.FreeLibros.com
86
©RA-M A
REDES CISCO. CCNP a Fondo
172.202.23.1 110 00:50:23
Distance: (default is 110)
Campo
Descripción
Routing Protocol is "ospf
220"
Protocolo de enrutamiento configurado.
Sending updates every 0
seconds
Frecuencia de las actualizaciones.
Invalid after 0 seconds
Para protocolos vector-distancia indica
el tiempo que una ruta es considerada
válida.
hold down 0
Hold down es un tiempo usado en
protocolos vector-distancia.
flushed after 0
Tiempo en el que un protocolo vectordistancia eliminará una ruta de la tabla
de enrutamiento.
Outgoing update filter list
for all interfaces is not set
Indica si hay algún filtro de salida.
Incoming update filter list
for all interfaces is not set
Indica si hay algún filtro de entrada.
Redistributing: ospf 220
Muestra
información
redistribuciones.
Routing for Networks:
172.202.0.0
Configuration del comando network.
Routing Information Sources
Direcciones de origen de los router que
envían actualizaciones a este router.
Gateway
Dirección del
router que
proporciona actualizaciones.
Distance
Distancia Administrativa.
Last Update
Tiempo desde que el router recibió la
última actualización.
Distance:
La Distancia Administrativa se puede
cambiar para todo el protocolo o por
origen.
(default is 110)
www.FreeLibros.com
de
nos
CAPÍTULO 2. OSPF
©RA-MA
87
Router# show ip route
Este comando muestra la tabla de enrutamiento del router, brinda
información sobre cómo se alcanza una ruta y a través de qué interfaz.
Router# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF Ínter area
Ni - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
El - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, Ll - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter
area
* - candidate default, U - per-user static route, o - ODR
p - periodic downloaded static route
Gateway of last resort is 10.122.22.129 to network 0.0.0.0
C 10.0.0.0/8 is directly connected, FastEthernetO/1
10.122.0.0/25 is subnetted, 1 subnets
C 10.122.22.128 is directly connected, FastEthernet0/0
0 IA 6.0.0.0/8 [110/65] via 5.0.0.2, 00:00:18, Serial0/0
S* 0.0.0.0/0 [1/0] via 10.122.22.129
Router#show ip ospf database
Este comando muestra los contenidos de la base de datos topológica.
Router# show ip ospf database
OSPF Router with ID (172.100.32.10)
Router Link States (Area 2)
Link ID ADV Router Age Seq#
(Process ID 220)
Checksum Link count
172.100.17.131 172.100.17.131 471 0x80000008 0xA469 1
172.100.17.132 172.100.17.132 215 0x80000007 0xA467 1
172.100.17.194 172.100.17.194 1489 0x8000000B 0xFFl6 1
172.100.23.1 172.100.23.1 505 0x80000006 0x56B3 1
172.100.32.10 172.100.32.10 512 0x8000000C 0x46BA 3
172.100.32.11 172.100.32.11 150 0x80000006
0x6A73 1
172.100.32.12 172.100.32.12 1135 0x800.00002 0x8E30 1
Net Link States (Area 2)
Link ID ADV Router Age Seq# Checksum
172.100.17.130 172.100.23.1 220 0x80000007 0x3B42 .
172.100.17.194 172.100.17.194 1490 0x80000002 0xl5C9
172.100.32.11 172.100.32.11 150 0x80000004 0x379E
Router#show ip ospf interface [ t y p e number]
Brinda información sobre cómo OSPF está configurado en cada una de las
interfaces.
www.FreeLibros.com
88
©RA-M A
REDES CISCO. CCNP a Fondo
Router#show ip ospf interface fastethernetO/O
FastEthernetO/O is up, line protocol is up
Internet Address 172.100.17.129/28, Area 2
Process ID 100, Router ID 172.100.32.10, Network Type BROADCAST,
Cost: 1
Transmit Delay is 1 sec, State DR, Priority 100
Designated
Router
(ID)
172.100.32.10,
Interface
address
172.100.17.129
Backup
Designated router
(ID)
172.100.23.1,
Interface
address
172.100.17.130
Timer intervals configured, Helio 10, Dead 40, Wait 40, Retransmit 5
Helio due in 00:00:06
Neighbor Count is 3, Adjacent neighbor count is 2
Adjacent with neighbor 172.100.17.132
Adjacent with neighbor 172.100.17.131
Adjacent with neighbor 172.100.23.1 (Backup Designated Router)
Suppress helio for 0 neighbor(s)
Comandos debug
Los comandos debug son apropiados para verificar y solucionar problemas
en la red pero hay que utilizarlos con la debida precaución puesto que podrían
consumir todos los recursos de CPU del router. Si no se ésta conectado por consola
será necesario instalar una estación terminal monitorizando para que reciba toda la
información que se genere en el router. Tan pronto como se tenga la información
necesaria es recomendable deshabilitar el proceso de debug, basta con anteponer un
“no” delante del comando.
Router#debug ip ospf events
Este comando muestra información de los eventos relativos a OSPF como
pueden ser las adyacencias, flujo de información, selección de DR y BDR y
cálculos de SPF.
Router#debug ip packet
Este comando brinda información de los paquetes recibidos, generados y
enviados. No funcionara para ver tráfico que pasa a través del router si están
habilitados CEF o Fast-switched de las interfaces correspondientes.
TOPOLOGÍAS OSPF
OSPF tiene la capacidad de enrutar tráfico sobre cualquier medio de capa
dos (nivel de enlace). OSPF asume que dentro de una red todos los routers podrían
comunicarse directamente usando multicást y que ningún router ocupa una
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
89
posición única o privilegiada dentro de la topología, aunque muchas veces
físicamente esto no es cierto.
Estas posturas que adopta OSPF son correctas para ethemet ya que si
existen varios routers conectados a un switch se pueden comunicar entre todos
ellos usando multicást y cualquiera de ellos puede tomar el rol de DR.
Pero estas afirmaciones no son correctas en entornos NBMA como por
ejemplo Frame-Relay, donde multicást y broadcast no son soportados en las
interfaces que usan el tipo de red de OSPF NBMA.
Los tipos de redes OSPF configurables en routers Cisco son las siguientes:
•
•
•
•
Broadcast multi-access
Point-to-point
Point-to-multipoint. Nonbroadcast y broadcast (opción por
defecto)
Nonbradcast multiaccess (NBMA)
Multicást y broadcast son simulados replicando un envío a cada vecino
para suplir la falta de los mismos cuando usamos en las interfaces del router el tipo
de red de OSPF NBMA.
Las comunicaciones “todos a todos” no han de ser nunca asumidas en un
entorno NBMA. El DR necesitará ser capaz de comunicarse con el resto de los
dispositivos de manera directa, por lo que habrá que pensar quién asumirá ese rol a
la hora de diseñar la red.
Los DR sirven para minimizar el tráfico en la red asumiendo que siempre
están en contacto con todos los demás dispositivos. En Redes multiacceso como
NBMA y broadcast, la elección automática de un DR será correcta cuando dichas
redes sean de malla completa; mientras que en los casos de mallas parciales las
configuraciones deberán asumirse manualmente. Esto implica modificar las
prioridades para que el DR sea el que esté en contacto con todos los demás routers.
Por ejemplo en una topología Frame-Relay hub-and-spoke, el DR debería ser el
hub porque tiene PYC hacia todos los demás routers que deben tener la prioridad
en cero.
En redes punto a punto y punto multipunto no se contemplan elección de
DR y BDR, en ese sentido estas últimas se comportan como si fueran punto a
punto. Cisco agrega a estos tipos de redes la opción de point-to-multipoint
nonbroadcast.
-
www.FreeLibros.com
90
©RA-MA
REDES CISCO. CCNP a Fondo
Los tipos de redes en OSPF pueden describirse como un estándar RFC o
como propietarias de Cisco:
•
RFC-compliant (RFC 2328): compatible con cualquier tipo de
fabricante y hace referencia a dos tipos de redes:
•
•
•
NBMA
Point-to-multipoint
Cisco-specific: específicas de Cisco para redes broadcast, point-tomultipoint (broadcast), point-to-multipoint nonbroadcast, point-topoint y NBMA de las cuales tres son propietarias:
•
•
•
Point-to-multipoint nonbroadcast
Broadcast
Point-to-point
Reconocimientos de vecinos
En redes NBMA los routers no pueden descubrir a sus vecinos
dinámicamente por lo que se deben configurar manualmente. Respecto a la
elección del DR en el tipo de red broadcast, el comportamiento es similar al de las
NBMA sólo que en ese tipo de red los vecinos se descubren dinámicamente sin
necesidad de configuraciones manuales.
Para el caso RFC point-to-multipoint los vecinos se descubren
dinámicamente, sin embargo en las point-to-multipoint nonbroadcast deben ser
configurados manualmente. Esta característica avanzada de configuración también
es utilizada para asignar diferentes tipos de costes a los vecinos OSPF debido a que
en redes point-to-multipoint OSPF, por defecto, asigna el mismo coste a cada uno,
aunque en realidad el ancho de banda sea diferente.
Para redes point-to-point el vecino es obviamente el otro router del extremo.
Temporizadores
OSPF envía a intervalos regulares paquetes helios para descubrir nuevos
vecinos y para mantener la lista de los que ya conoce. Los vecinos se declaran
muertos luego del dead que es por defecto cuatro veces el intervalo de un helio.
Las redes broadcast y point-to-point utilizan un intervalo de 10 segundos y un dead
de 40 segundos. Los otros tipos de redes utilizan un intervalo helio de 30 y un dead
de 120 segundos.
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-MA
91
La siguiente tabla muestra un resumen de los diferentes tipos de redes
OSPF:
Sil
broadcast
Point-toMultipoint
(Broadcast)
Point-toMultipoint
Nonbroadcast
Broadcast
Pointto-Point
DR/BDR
Sí
No
No
Sí
No
Identificación
de vecinos
Sí
No
Si
No
No
Intervalos de
tiempos helio
y dead
30/120
30/120
30/120
10/40
10/40
RFC 2328,
Cisco
RFC
RFC
Cisco
Cisco
Cisco
Red
soportada
Malla
completa
Todas
Todas
Malla
completa
Point-topoint
Non­
Subinterfaces
En un router Cisco es posible configurar una interfaz física con dos o más
subinterfaces, las que pueden ser del tipo point-to-point o multipoint. En una red
OSPF una interfaz serie física es por defecto del tipo nonbroadcast multiaccess.
Las interfaces Frame-Relay multipoint soportan múltiples PVC, éstas se
pueden configurar utilizando cualquier tipo de red OSPF excepto las punto a punto.
Para las subinterfaces multipoint en OSPF el tipo de red por defecto es NBMA.
Para el caso de las subinterfaces point-to-point por defecto son tratadas
como una red OSPF point-to-point.
Elección de una topología OSPF
Para redes Frame-Relay de malla completa se puede utilizar cualquiera de
las opciones de red que ofrece OSPF, sin embargo normalmente se opta por las
NBMA. En el caso de elegir una red de tipo broadcast se tendrá un descubrimiento
www.FreeLibros.com
92
REDES CISCO. CCNP a Fondo
©RA-MA
dinámico de los vecinos. Para cualquiera de los dos casos el funcionamiento es
óptimo sin necesidad de recurrir a otros diseños.
Para el caso de redes Frame-Relay de malla parcial el DR debe estar en
contacto con todos los demás routers de la red. Para que esto sea funcional se
pueden utilizar cualquiera de las siguientes opciones:
•
Una red NBMA y elegir manualmente el DR.
•
Una red point-to-multipoint.
•
Dividir la red en varias conexiones punto a punto.
•
Separar una zona de la red que sea malla completa y agregar circuitos
punto a punto.
En el siguiente ejemplo se describen los cuatro casos:
R o u te r B
1. Elegir una red NBMA configurando manualmente el DR. Esto será posible
sólo si uno de los routers tiene conexión con todos los demás. Para este
caso la prioridad en todos los routers debe estar ajustada para que el router
A sea el DR. Es conveniente que los routers B, C y D tengan una prioridad
de 0 para que no participen en la elección del DR. La desventaja de este
diseño es que existe un único punto en común entre los routers que, en caso
de fallos, dejaría a los demás routers incomunicados.
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
93
2. Elegir una red point-to-multipoint. Los vecinos reconocerán
dinámicamente al otro lo que hace que la configuración de la red en general
sea fácil. Se formarán 4 adyacencias en los PVC como si fuera una
sumatoria de redes punto a punto.
3. Configurar cada PVC como un circuito separado punto a punto. Esta
opción es la mas fácil de documentar y solucionar conflictos, pero requiere
mas configuraciones.
4. Crear subinterfaces en el router A, una tendría el circuito A-C-D en malla
completa y la otra una conexión punto a punto hacia el router B.
CONFIGURACIÓN DE OSPF EN UN ENTORNO
NONBROADCAST
Para la configuración de las interfaces en un entorno nonbroadcast se
utiliza el siguiente comando:
Router(config-if )# ip ospf network {broadcast | non-broadcast |
point-to-point | {point-to-multipoint [non-broadcast]}}
Hay que tener en cuenta que las interfaces por defecto son del tipo de red
OSPF NBMA para entornos nonbroadcast. Si la configuración de las subinterfaces
es del tipo point-to-point automáticamente OSPF le asignará un tipo de red pointto-point.
Para configurar un router que soporte una red del tipo OSPF nonbroadcast
con NBMA hay que identificar los vecinos y elegir el tipo de red para la nube.
Como por defecto el tipo de red es NBMA sólo será necesario definir los vecinos.
Las condiciones principales son que el DR y el BDR tengan conectividad con todos
los demás routers y determinar las prioridades en cada uno de los routers para la
correcta elección del DR y BDR.
La sintaxis para el comando neighbor es:
Router(config-if )# neighbor ip-address [priority number ] [poll-
interval sec][cost number]
La prioridad puede ajustarse a valores diferentes a 1 que es el que trae por
defecto. El valor de prioridad más alto será el que se tenga en cuenta. En algunos
casos es necesario seguir enviando helio a vecinos que están inactivos, la
frecuencia de envío en estos casos es por defecto 120 segundos y puede
www.FreeLibros.com
94
©RA-M A
REDES CISCO. CCNP a Fondo
configurarse con el poll-interval. En el comando neighbor también puede
configurarse el coste del enlace hacia cada uno de los vecinos.
Router(config)# interface SerialO/1
Router(config-if)# ip address 122.118.12.100 255.255.255.0
Router(config-if)# encapsulation frame-relay
Router(config)# router ospf 220
Router(config-router)# network 122.118.12.100 0.0.0.255 area 0
Router(config-router)# neighbor 122.118.12.2
Router(config-router)# neighbor 122.118.12.3
Router(config-router)# neighbor 122.118.12.5
Configuración de red del tipo point-to-multipoint en OSPF
Con este tipo de red las adyacencias son creadas automáticamente en todos
los PVC lo que genera más trabajo para el router pero ofrece mayor flexibilidad a
la hora de configurarlo. En este caso no hay elección de DR ni BDR y los vecinos
son descubiertos de manera automática. El único cambio que debe realizarse en la
configuración es pasar del modo NBMA a este tipo de red. El modo de red OSPF
point-to-multipoint nonbroadcast aparece a partir de la versión de IOS 11.3a cuya
principal novedad es que se permite cambiar el coste por vecino.
Router(config-if)# ip ospf network {pointto-multipoint [non­
broadcast] }
Router(config)# interface SerialO/O
Router(config-if)# ip address 122.118.12.1 255.255.255.0
Router(config-if)# encapsulation frame-relay
Router(config-if)# ip ospf network point-to-multipoint
Router(config)# router ospf 220
Router(config-router)# network 122.118.12.0 0.0.0.255 area 0
Configuración de red del tipo broadcast en OSPF
En este tipo de red los vecinos son descubiertos automáticamente y la
frecuencia de envíos de los paquetes helio es mayor que en las redes NBMA. Este
tipo de red funciona con mejor desempeño que las de tipo completamente mallada.
Router(config)# interface SerialO/1
Router(config-if)# ip address 122.118.12.1 255.255.255.0
Router(config-if)# encapsulation frame-relay
Router(config-if)# ip ospf network broadcast
Router(config)# router ospf 220
Router(config-router)# network 122.118.12.0 0.0.0.255 area 0
www.FreeLibros.com
© RA-MA
CAPÍTULO 2. OSPF
95
Configuración de red del tipo point-to-point con
subinterfaces Frame-Relay en OSPF
En este entorno cada subinterface se comporta como si fuera una interfaz
física punto a punto, la comunicación entre los routers es directa y las adyacencias
se crean automáticamente. Simplemente se crean las subinterfaces con un
direccionamiento IP que será luego añadido al comando network en OSPF.
Router(config)# interface SerialO/O
Router(config-if)# no ip address
Router(config-if)# encapsulation frame-relay
Router(config)# interface SerialO/O.l point-to-point
Router(config-subif)# ip address 122.118.12.1 255.255.255.0
Router(config-subif)# frame-relay interface-dlci 51
Router(config)# interface Serial0/0.2 point-to-point
Router(config-subif)# ip address 122.118.12.1 255.255.255.0
Router(config-subif)# frame-relay interface-dlci 52
Router(config)# router ospf 220
Router(config-router)# network 122.118.12.0 0.255.255.255 area 0
MÚLTIPLES ÁREAS OSPF
Un área de OSPF en una agrupación lógica de routers que están ejecutando
OSPF y que comparten la misma información de la base de datos topológica. Un
área es una subdivisión de un dominio de OSPF. El uso de múltiples áreas elimina
la necesidad de comunicar todos los detalles de la red entre cada uno de los
dispositivos de enrutamiento, manteniendo control y conectividad entre todos ellos.
Esta característica diferencia aún más a OSPF de los protocolos vector-distancia.
La división en áreas permite a los routers dentro de un área mantener sus
bases de datos topológicas limitando así el tamaño de dichas bases de datos. Por
otra parte las sumarizaciones y enlaces externos aseguran las comunicaciones entre
áreas y redes fuera del sistema autónomo.
Los routers dentro de un área mantienen una base de datos topológica
consistente y cualquier cambio se debe comunicar a todos los demás dispositivos
dentro de ese área. Cuando la red crece también crecen los problemas ya que la
base de datos es demasiado grande generando gastos de recursos de memoria y
CPU. Los recálculos de SPF aumentan incrementando la congestión entre los
enlaces, pérdidas de paquetes y sistemas saturados.
Finalmente, dividir la red en áreas más pequeñas contribuye al mejor
rendimiento de la misma. La cantidad de routers en cada una dependerá del diseño
y de la cantidad de enlaces que contenga la misma.
www.FreeLibros.com
96
©RA-M A
REDES CISCO. CCNP a Fondo
Tipos de router en múltiples áreas
La división en áreas hace que el desepeño de la red mejore notablemente,
parte de esta mejora incluye la tecnología empleada y el diseño de un modelo
jerárquico eficiente. Los routers dentro de este modelo jerárquico tienen diferentes
responsabilidades, a saber:
•
Internal router, es el responsable de mantener una base de datos
actualizada y precisa de cada una de las LSA dentro de cada una de las
áreas. Al mismo tiempo envía datos hacia otras redes empleando la ruta
más corta. Todas las interfaces de este router están dentro de la misma
área.
•
Backbone router, las normas de diseño de OSPF requieren que todas
las áreas estén conectadas a un área de backbone o área 0. Un router
dentro de esta área lleva este nombre.
•
Area Border Router (ABR), este router se encarga de la conexión
entre dos o más áreas, mantiene una base topológica de cada una de las
áreas a que pertenece y envía actualizaciones LSA a cada una de dichas
áreas.
•
Autonomous System Boundary Router (ASBR), este router conecta
hacia otros dominios de enrutamiento, normalmente ubicados dentro
del área de backbone.
Anuncios de estado de enlace
Las LSA (Link-State Advertisements) son utilizadas para listar todas las
rutas posibles. Las LSA más comunes son las siguientes:
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
97
•
Router link LSA (tipo 1), cada uno de los routers genera LSA listando
cada vecino y el coste hacia cada uno. Las LSA de tipo 1 y de tipo 2 se
envían dentro de toda el área y son empleadas por SPF para elegir rutas.
•
Network link LSA (tipo 2), ésta es enviada por el DR y contiene una
lista de todos los routers con el que éste forma adyacencias. Al igual
que las de tipo 1 se envían dentro de toda el área y son empleadas por
SPF para elegir rutas.
•
Network summary link LSA (tipo 3), son generadas por los ABR
para ser enviadas entre áreas. Estas LSA listan todos los prefijos en un
área determinada, incluida también, si la hubiera, la sumarización.
•
AS external ASBR summary link LSA (tipo 4), los ASBR generan
este tipo de LSA para advertir de su presencia. Informan a todos los
demás routers cómo alcanzar al ASBR. Las LSA de tipo 3 y tipo 4 son
denominadas inter-área porque pasan información entre áreas.
•
External link LSA (tipo 5), son originadas por ASBR e inundan todo
el AS con información de rutas externas OSPF o rutas por defecto.
•
NSSA external LSA (tipo 7), son creadas por un ASBR dentro de un
NSSA (Not-So-Stubby Area) puesto que no permiten el uso de LSA de
tipo 5. En una NSSA habrá LSA del tipo 7 informando sobre las rutas
externas, el ABR es el encargado de convertirlas al tipo 5.
TIPOS DE ÁREAS OSPF
Además del área 0 o área de backbone, en OSPF se pueden crear otros
tipos de áreas dependiendo de su utilización en la red:
•
Ordinary o standard area, en el área estándar cada router tiene
conocimiento de todos los prefijos que hay en ella y todos poseen la
misma base de datos topológica.
•
Stub area, la particularidad de este área es no aceptar LSA de tipo 5. En
lugar de inyectar LSA de tipo 5 el ABR crea una ruta por defecto que es
enviada a los routers internos para que la elijan como camino viable. Las
áreas stub son útiles para proteger a los routers con poca capacidad de
memoria y CPU de ser sobrecargados con muchas rutas externas.
•
Totally stubby area, este área no acepta LSA de otras áreas del tipo 3
y tipo 4 o externas del tipo 5, todas ellas son reempleadas por el ABR
con una ruta por defecto. Este tipo de área protege los routers
minimizando sus tablas de enrutamiento evitando que no se inserte en
www.FreeLibros.com
98
©RA-M A
REDES CISCO. CCNP a Fondo
ella cualquier otra ruta OSPF que no pertenezca a la propia área. Esta
solución es propietaria de Cisco.
Not-So-Stubby A rea (NSSA), éstas son áreas stubby que pueden tener
ASBR. Como se dijo anteriormente, las stubby no soportan LSA de
tipo 5 por lo tanto en las NSSA se utilizan LSA del tipo 7 para
diferenciar redes externas. Cuando estas LSA de tipo 7 llegan al ABR
éste las convierte al tipo 5.
IM ot-S o-Stubby-Area
(NSSA)
T o ta lly S tu b b y Area
Funcionamiento de OSPF en múltiples áreas
OSPF tiene la capacidad de poder funcionar a través de diferentes tipos de
áreas manteniendo la coherencia del sistema autónomo.
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-M A
99
Los routers ABR generan propagaciones de LSA ABR que son del tipo 3 o
siunmaries y las envía al área 0 o de backbone. Las adyacencias entre las áreas
utilizan LSA del tipo 1 y del tipo 2, que pasan al área de backbone como
summaries o tipo 3 y que serán a su vez inyectadas por otros ABR en otras áreas
excepto el caso de una totally stubby. Las rutas externas o sumarizaciones de otras
áreas son recibidas por el ABR y enviadas al área local.
El siguiente gráfico muestra las propagaciones de las LSA:
/
Internet
)
Área 2
Selección de rutas entre áreas
La tabla de enrutamiento del router depende de cómo esté posicionado en
la red y del tipo de área en que se encuentre. El router elegirá siempre entre rutas
con caminos alternativos hacia un mismo destinto la que tenga menor distancia
administrativa. En el caso de rutas alternativas con OSPF el camino más apropiado
será el de menor coste hacia ese destino. En el supuesto caso de que los caminos
alternativos tengan el mismo coste, OSPF de manera automática balanceará la
carga equitativamente hasta en cuatro caminos diferentes.
La tabla de enrutamiento conlleva un proceso secuencial donde se muestra
la información de cómo fue creada hasta la métrica empleada en cada ruta. Esto
hace posible la operación del router en la red.
www.FreeLibros.com
100
©RA-M A
REDES CISCO. CCNP a Fondo
Los eventos más importantes en la creación de una tabla de enrutamientos
son:
•
El router recibe las LSA.
•
El router construye una base de topología.
•
El router ejecuta el algoritmo de Dijkstra para calcular la ruta mas corta
y añadirla en la tabla de enrutamiento.
La tabla de enrutamiento refleja la topología de red brindando información
precisa de dónde están situadas las redes remotas en relación con el router local. La
información contenida en la tabla evitará atravesar áreas externas
innecesariamente, tráfico excesivo o bucles de red.
Calculando el coste a un área diferente
La ruta hacia otra área se calcula como el menor coste hacia el ABR
sumado al menor coste a través del área de backbone. Las rutas externas son
aquellas utilizadas por otros dominios o protocolos de enrutamiento descubiertas
por OSPF que pueden tener su coste calculado de dos maneras diferentes.
•
E l, en este tipo de rutas el coste del camino hacia el ASBR es añadido
al coste externo de dicha ruta.
•
E2, éstas son las rutas por defecto. El cálculo del coste se hace sólo
desde el ASBR hacia esa ruta.
En el caso de existir dos rutas hacia un mismo destino las rutas E l son
preferidas sobre las E2. Las E2 son muy útiles cuando no se quiere que la ruta
dentro del área local influya en el coste; inversamente, cuando el coste depende de
la ruta local se usan las E l .
En la primera columna que aparece en la tabla de enrutamiento se muestra
el origen de la información recibida, en el caso se OSPF además se muestra el tipo
de LSA:
Tipo de LSA
Entrada en la tabla de
enrutamiento
1 Router / 2 Network
O (OSPF)
3 Summary (entre áreas)
0 IA (OSPF inter-área)
www.FreeLibros.com
© RA-MA
CAPÍTULO 2. OSPF
4 Summary (entre áreas)
OIA
5 External (entre sistemas
autónomos)
0 El
101
OE2
DISEÑO DE OSPF EN MÚLTIPLES ÁREAS
La forma en que se van a dividir las áreas tendrá un impacto directo en el
direccionamiento IP dentro de la red. En este diseño se debe tener especial cuidado
con los recursos existentes y no sobrecargarlos, considerando el diseño como
escalable. OSPF proporciona con la creación de áreas las herramientas necesarias
para que la red pueda seguir creciendo sin exceder los recursos disponibles.
En OSPF las sumarizaciones toman su lugar en los ABR. Es recomendable
aplicarlas desde el comienzo del diseño generando planes de direccionamiento que
incorporen dichas sumarizaciones. Tomando en cuenta que todo el tráfico
atravesará el backbone, esas sumarizaciones serán muy convenientes, enviando
menor cantidad de LSA por toda la red.
Es importante pensar durante el diseño que la red puede fallar o dividirse,
OSPF ofrece los virtual link permitiendo que áreas que no están directamente
conectadas al backbone aparezcan directamente conectadas, es decir, que áreas
físicamente no conectadas puedén llegar a estarlo lógicamente.
Aunque es posible tener un router conectado a más de tres áreas, Cisco
recomienda que en el caso de que esta cantidad sea superior se tenga especial
cuidado con el diseño, los resultados de tener más áreas dependerán del tipo de
router, capacidad de memoria y CPU de cada uno. También influirá
considerablemente el tipo de topología y la cantidad de LSA que son generados. Si
bien no es una norma se recomienda que cada área no sobrepase el rango de 40 a
80 routers.
OSPF es un protocolo de enrutamiento que utiliza muchos recursos de
memoria y CPU para el mantenimiento de ias bases de datos a través del algoritmo
SPF y el envío de LSA, como es el caso de los ABR que mantienen una imagen
general de toda la topología de la red de cada una de las áreas en que están
conectados.
En síntesis, no es tan importante la cantidad de routers por área sino el
número de rutas y la estabilidad de la red debido a que el número de LSA que
www.FreeLibros.com
102
©RA-M A
REDES CISCO. CCNP a Fondo
habrá en la red será proporcional a la cantidad de recursos consumidos por el
router.
Las siguientes consideraciones son importantes a tener en cuenta a la hora
del diseño de red:
•
Tipo de área (stub, totally stub o backbone), esto determinará la
cantidad y frecuencia de las LSA, por lo tanto el uso requerido de
CPU. El tipo de área también afectará a la velocidad de convergencia.
•
Recursos de CPU y memoria en los routers. Los routers pequeños o
con poca CPU no están diseñados para manejar bases topológicas
demasiado grandes ni para estar ejecutando continuamente el algoritmo
SPF.
•
Velocidad del enlace, cuanta mayor velocidad de transmisión tenga el
enlace menor posibilidad de congestión en los paquetes que va
transmitiendo.
•
Estabilidad, la frecuencia en la propagación de las LSA cuando los
cambios de topología lo requieran determina la necesidad de
estabilidad de ancho de banda, CPU y memoria.
•
NBMA, para el caso de redes de este tipo es determinante saber si se
trata del tipo malla completa o parcial. Para el caso de una malla
parcial habrá que configurar adecuadamente los routers para que OSPF
pueda ejecutarse correctamente.
•
Enlaces externos, para el caso de que existan enlaces externos habrá
que analizar si éstos provocan demasiadas LSA, utilizando la
sumarización o rutas por defecto; para reducirlos se ahorran gastos de
memoria y CPU.
•
Sumarización, un diseño jerárquico con un direccionamiento . IP
apropiado facilitará el uso de sumarizaciones cuando sea necesario.
Cuanta mayor cantidad de sumarizaciones menor cantidad de LSA
propagadas.
Incrementando el número de vecinos se incrementan los recursos que son
asignados para administrar dichos enlaces en el router. Para el caso de una
topología donde haya un DR, podría verse sobrecargado si existen muchos routers
en ese enlace. Por esto último es recomendable asignar manualmente el rol de DR a
un router dentro de ese segmento que tenga la capacidad suficiente y la memoria y
CPU adecuadas. También es importante resaltar que no es conveniente que el
mismo router sea seleccionado como DR para más de un enlace.
www.FreeLibros.com
© ra -m a
CAPÍTULO 2. OSPF
103
El ABR mantiene una tabla topológica total para cada una de las áreas en
que está conectado. Esto genera gran utilización de recursos y recálculos de SPF
más a menudo. El número de áreas que dicho router puede soportar depende de su
capacidad y del tamaño de las áreas. En un buen diseño jerárquico donde el
mantenimiento de las áreas es repartido entre varios routers, no sólo se comparte la
carga sino que además se crea redundancia.
Sumarización
Uno de los principales valores que posee OSPF es la alta capacidad de
escalado, esto tiene relación directa con la sumarización. Un sistema jerárquico de
múltiples áreas permite sumarizar de manera inteligente en router ABR y ASBR.
En OSPF existen dos tipos de formas de sumarización:
•
Sumarización inter-área: llevada a cabo por el ABR. Crea LSA de
tipo 3 y tipo 4. Las de tipo 4 anuncian los routers ID de los ASBR.
•
Sumarización Externa: llevada a cabo en el ASBR. Crea LSA tipo 5.
Virtual Links
Como se dijo previamente, OSPF requiere que todas las áreas estén
conectadas al área 0 o de backbone a través de un ABR. Dicho ABR tendrá una
copia de la base de datos topológica completa de cada una de las áreas a las que
pertenezca.
Para los casos en que el administrador deba configurar un área sin
conectividad con el área 0 podrá utilizar los virtual links, creando un “puente”
entre dos ABR para conectar de forma lógica el área remota con el área 0. De esta
manera la información del área entre los dos ABR fluye a través del área
intermedia o virtual. Desde el punto de vista de OSPF el ABR tiene una conexión
directa con estas tres áreas.
Este escenario puede verse en varios casos:
• Una fusión o un fallo aísla un área del área 0.
• La existencia de dos áreas 0 debido a una fusión.
•
Un área es crítica y se requiere configurar un link extra para mayor
redundancia (pasando éste por otra área para llegar alárea 0).
www.FreeLibros.com
104
©RA-M A
REDES CISCO. CCNP a Fondo
Aunque los virtual links son una herramienta que solventa este tipo de
situaciones no se debe pensar en ella desde un punto de vista de diseño, deben ser
empleadas como soluciones temporales.
Hay que asegurarse de los siguientes puntos antes de implementarlos:
•
Ambos routers deben compartir un área.
•
El área de tránsito no puede ser stub.
•
Uno de los routers ha de estar conectado al área 0.
OSPF multi área en redes NBMA
En el diseño de redes OSPF existen dos maneras de integrar una red del
tipo NBMA en una red OSPF multi área:
•
Definir la NBMA como Área 0. Esto tiene sentido si el resto de las
áreas son satélites de ésta. De esta manera se consigue que todo el
tráfico de las demás áreas fluya a través de la red NBMA. Esta
solución es adecuada cuando la red NBMA es del tipo malla completa
aunque hay que tener en cuenta que se estarán enviando muchas LSA a
través de enlaces WAN.
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-MA
•
105
Definir una red central (hub). Crear una red como área 0 con sitios
remotos a manera de satélites (spokes). Esto será lo más adecuado si
las áreas son de tipo stub; la carga de tráfico enviada sobre la nube
NBMA será mantenida al mínimo posible.
CONFIGURACIÓN DE OSPF EN MÚLTIPLES ÁREAS
Para iniciar el proceso de configuración de OSPF en múltiples áreas se
deben ejecutar los siguientes pasos:
•
Definir las interfaces en el router. Identificar qué interfaces
participarán en el proceso de OSPF.
•
Identificar el área. Identificar a que áreas pertenecerán dichas
interfaces.
•
Router ID. Este parámetro identifica al router en la topología de
OSPF.
La siguiente sintaxis habilita la configuración del protocolo OSPF en el
router:
Router(config)# router ospf process-number
El número de proceso elegido para la configuración de OSPF tiene carácter
local pudiendo variar entre todos los routers del dominio, sin embargo es una
práctica recomendable utilizar el mismo número ya que facilita la administración
de dicho dominio. Un router puede ejecutar varios procesos OSPF aunque no es lo
más conveniente debido al consumo de recursos de memoria y CPU.
El paso siguiente y dentro del protocolo es identificar las interfaces que
participarán en el proceso OSPF y las áreas a que pertenecen. Al tener múltiples
áreas las wildcard desempfian un papel importante en el proceso de configuración
de dichas interfaces puesto que pueden agruparse por error interfaces que no deben
participar en ese proceso.
Router(config-router)# network network-number wildcard-mask area
area-number
Ejemplo de una configuración básica de OSPF múlti área:
www.FreeLibros.com
106
©RA-M A
REDES CISCO. CCNP a Fondo
RouterA(config)# router ospf 220
RouterA(config-router)# network 172.16.20.128 0.0.0.7 area 0
RouterA(config-router)# network 172.16.20.8 0.0.0.7 area 1
Comandos opcionales para OSPF en múltiples áreas
OSPF tiene la capacidad de funcionar en grandes redes con una
configuración básica. Sin embargo para la optimización y mejor rendimiento es
conveniente aplicar algunos de los siguientes comandos:
•
área range, para ABR.
•
summary-address, para ASBR.
•
área area-id stub, para definer un área stub.
•
área area-id stub no-summary, define un totally stubby area.
•
área default-cost, determina el valor de las rutas por defecto del área.
•
área virtual-link, utilizado para configurar enlaces virtuales.
El primero de esta lista de comandos opcionales se configura en los routers
ABR para anunciar las redes fuera de esa área. Se utiliza para generar
sumarizaciones reduciendo considerablemente el tamaño de las bases de datos,
particularmente útil en el área de backbone. El parámetro area-id es el
identificador del área de las rutas que se pretende sumarizar.
Router(config-router)# area area-id range address mask
Para deshabilitarlo se ante pone un no al comando:
Router(config-router)# no area area-id range address mask
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-MA
107
La siguiente sintaxis muestra un ejemplo de configuración de este
comando:
RouterABR(config)# router
RouterABR(config-router)#
RouterABR(config-router)#
RouterABR(config-router)#
RouterABR(config-router)#
RouterABR(config-router)#
RouterABR(config-router)#
ospf 220
network 190.0.20.128 0.0.0.15 area 0
network 190.0.20.144 0.0.0.15 area 0
network 190.0.20.160 0.0.0.15 area 0
network 190.0.20.176 0.0.0.15 area 0
network 190.0.20.8 0.0.0.7 area 1
area 0 range 190.0.20.128 255.255.255.192
Para sumarizar rutas que llegan al router ASBR vía redistribución se utiliza
el comando:
R o u t e r (config-router)#summary-address address mask [not-
advertise][tag tag]
En este comando el parámetro de la dirección IP es la dirección sumarizada
y su correspondiente máscara.
Un área que sólo tiene un ABR o en la que no importa qué ABR es elegido
para salir del área es una buena elección configurarla como stub. Al mismo tiempo
si los routers del área tienen poca capacidad de proceso es conveniente designar el
área con stub.
Todos los routers dentro de un área stub o totally stub deben estar
configurados como router stub. Cuando un área es configurada como stub todas las
interfaces que pertenezcan a dicho área intercambiarán helio con un identificador
que las hace reconocibles entre los vecinos stub y así establecer la vecindad.
Router(config-router)# area area-id stub
Con el agregado del parámetro no-summary se configura al ABR de que no
envíe sumarizaciones, es decir, LSA tipo 3 y tipo 5 desde otras áreas. Para alcanzar
redes o host fuera del área los router utilizan una ruta por defecto que es inyectada
por el ABR. Este comando sólo puede ser configurado en el ABR. El resto de los
routers dentro del área serán configurados como stub para que intercambien los
identificadores y se formen las adyacencias.
Router(config-router)# area area-id stub no-summary
El ABR reemplaza las rutas externas por un coste por defecto, que es igual
al coste hacia el ABR más 1. Este coste puede ser modificado para establecer una
ruta por defecto específica. Manipular este parámetro es beneficioso cuando
existen dos ABR permitiendo una salida concreta.
www.FreeLibros.com
108
©RA-MA
REDES CISCO. CCNP a Fondo
Router(config-router)# area area-id default-cost cost
Cuando no es posible conectar un área directamente al área 0 se puede
crear un virtual link. La configuración es simple pero puede acarrear algunos
problemas. Alguno de estos problemas es la dirección del extremo final del virtual
link. Este comando se configura entre los ABR que comparten un área en común y
al menos uno de ellos tiene contacto con el área 0.
En la configuración del virtual link se especifica el área de tránsito y el
router ID del ABR de destino. Se establece una conexión a través del área de
tránsito que, a pesar de poder contener gran cantidad de routers, para OSPF el ABR
remoto será su próximo salto.
Router(config-router)# area area-id virtual-link router-id
Ejemplo de configuración de OSPF en múltiples áreas
Muchas de las configuraciones y comandos detallados en los párrafos
anteriores pueden aplicarse al siguiente ejemplo. La figura ilustra una topología
OSPF de múltiples áreas y los comandos utilizados para su configuración.
Área 0
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
RouterA(config)# router
RouterA(config-router)#
RouterA(config-router)#
RouterA(config-router)#
RouterA(config-router)#
109
ospf 220
network 122.100.17.128 0.0.0.15 area 3
network 122.100.17.192 0.0.0.15 area 2
network 122.100.32.0 0.0.0.255 area 0
network 10.10.10.33 0.0.0.0 area 0
i
RouterA(config-router )# area 0 range 172.16.20.128 255.255.255.192
RouterA(config-router) # area 3 virtual-link 10.10.10.30
i
RouterA(config-router) # area 2 stub
RouterA(config-router) # area 3 stub no-summary
RouterA(config-router) # area 3 default-cost 15
i
RouterA(config-router)# interface loopback 0
RouterA(config-if)# ip address 10.10.10.33 255.255.255.255
i
RouterA(config-if)# interface FastEthernet0/0
RouterA(config-if)# ip address 122.100.17.129 255.255.255.240
RouterA(config-if)# ip ospf priority 100
i
RouterA(config-if)# interface FastEthernetO/1
RouterA(config-if)# ip address 122.100.17.193 255.255.255.240
RouterA(config-if)# ip ospf cost 10
i
RouterA(config-if)# interface FastEthernetl/0
RouterA(config-if)# ip address 122.100.32.10 255.255.255.240
RouterA(config-if)# no keepalive
RouterA(config-if)# exit
RouterM(config)# loopback interface 0
RouterM(config-if)# ip address 10.10.10.30 255.255.255.255
RouterM(config)# router ospf 220
RouterM(config-router)# network 172.16.20.32 0.0.0.7 area 5
RouterM(config-router)# network 10.10.10.30 0.0.0.0 area 0
RouterM(config-router)# area 3 virtual-link 10.10.10.33
VERIFICACIÓN DE OSPF EN MÚLTIPLES ÁREAS
Los siguientes comandos junto a los ya vistos en OSPF en área simple
ayudarán a la compresión y resolución de fallos en las redes OSPF.
Router# show ip ospf border-routers
Este comando muestra los ABR y ASBR que el router interno tiene en su
tabla de enrutamiento. Es un excelente comando a la hora de resolver conflictos y
permite comprender cómo se esta comunicando la red. Con este comando se puede
ver el porqué los usuarios no pueden comunicarse fuera de su área.
Router# show ip ospf border-routers
OSPF Process 100 internal Routing Table
Destination Next Hop Cost Type Rte Type Area SPF No
www.FreeLibros.com
110
©RA-MA
REDES CISCO. CCNP a Fondo
1 6 0 . 8 9 . 9 7 . 5 3 1 4 4 . 1 4 4 . 1 . 5 3 10 ABR INTRA 0 . 0 . 0 . 3 3
1 6 0 . 8 9 . 1 0 3 . 5 1 1 6 0 . 8 9 . 9 6 . 5 1 10 ABR INTRA 0 . 0 . 0 . 3 3
1 6 0 . 8 9 . 1 0 3 . 5 2 1 6 0 . 8 9 . 9 6 . 5 1 20 ASBR INTER 0 . 0 . 0 . 3 3
1 6 0 . 8 9 . 1 0 3 . 5 2 1 4 4 . 1 4 4 . 1 . 5 3 22 ASBR INTER 0 . 0 . 0 . 3 3
Campo
Descripción
OSPF Process 100
internal Routing Table
Indica el ID del proceso de OSPF que esta
ejecutando el router.
Destination
Router ID (RID) del destino, ya sea un ABR
o un ASBR.
Next Hop
Próximo salto para alcanzar al ABR o
ASBR.
Cost
Métrica hacia el destino.
Type
Clasifica el router como ABR o ASBR o
ambos.
Rte Type
Tipo de ruta: intra-área o inter-área.
Area
El área ID del área desde la cual la ruta es
aprendida.
SPF No
Número dél cálculo de SPF que instaló la
ruta en la tabla de enrutamiento.
Router# show ip route
Este comando es uno de los más utilizados a la hora de comprender y
resolver fallos en redes IP. El ejemplo que sigue se describe en la próxima tabla
donde se pueden observar los códigos LSA en la tabla de enrutamiento.
Router# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF Ínter
area
Ni - OSPF NSSA external type 1, N2 - OSPF NSSA external type
2
El - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, Ll - IS-IS level-1, L2 - IS-IS level-2, * candidate default
U - per-user static route, o — ODR
Gateway of last resort is not set
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
O E2
172.16.20.128/29 [110/20] via 172.16.20.9, 00:00:29, Seriall
O IA
172.16.20.128/26 [110/74] via 172.16.20.9, 00:01:29, Seriall
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-MA
111
172.16.20.8/29 is directly connected, Seriall
E2 192.168.0.0/24 [110/20] via 172.16.20.9, 00:01:29, Seriall
Entrada en la
tabla de
enrutamiento
Descripción
1 Router
Link
O
Generadas por el propio router, lista los
enlaces que tiene conectados, el estado y el
coste. Son propagadas dentro del área.
2 Network
Link
0
Generadas por el DR en una red multiacceso.
OIA
Incluye las redes generadas dentro de un
área y que podrían ser sumarizadas y que
son enviadas dentro del área 0 y entre
ABR. Las de tipo 4 indican cómo
encontrar al ASBR. Estas LSA no son
enviadas dentro de totally stubby areas.
Tipo de
3 or 4
Summary
Link
(between
áreas)
5 Summary
Link/
External
Link
(between
autonomous
systems)
OE1 o OE2
Rutas
externas
que
pueden
ser
configuradas para tener uno o dos valores.
El incluye el coste hacia el ASBR más el
coste externo reportado por el ASBR. E2
sólo incluye el coste externo.
Router# show ip ospf virtual-links
Este comando muestra los enlaces virtuales de OSPF, puede utilizarse en
conjunto con el show ospf neighbor para saber cuáles son los vecinos conectados.
Es aplicable aunque los routers no estén físicamente conectados sino que lo estén
lógicamente con el virtual link.
Router# show ip ospf virtual-links
Virtual Link to router 140.100.32.10 is up
Transit area 0.0.0.1, via interface EthernetO, Cost of using 10
Transmit Delay is 1 sec, State DROTHER
Timer intervals configured, Helio 10, Dead 40, Wait 40, Retransmit 5
Helio due in 0:00:08
Adjacency State FULL
www.FreeLibros.com
112
©RA-M A
REDES CISCO. CCNP a Fondo
Campo
Descripción
Virtual Link to
router 140.100.32.10
is up
El RID del otro extremo del virtual link, el
cual vemos como vecino.
Transit area 0.0.0.1
El área a través de la cual el virtual link es
creado.
Via interface
Ethernet 0
La interfaz de salida que conecta el virtual
link al área 0.
Cost of using 10
El coste para alcanzar al vecino a través del
virtual link.
Transmit Delay is 1
sec
El delay del enlace. Este valor ha de ser
menor que el “retransmit timer”.
State DROTHER
El estado del vecino de OSPF. En este caso
es DROTHER que significa que es otro
diferente de un DR.
Helio 10
Tiempo entre helios.
Dead 40
Tiempo que el router esperará por un helio
antes de declarar al vecino como muerto.
Retransmit 5
El tiempo (en segundos) que el router espera
por un ACK para una LSA que ya ha
transmitido. Por defecto 5 segundos.
Helio due in 0:00:08
El tiempo en el que esperamos recibir un
helio del vecino.
Adjacency State FULL
Especifica el estado de la adyacencia con el
vecino. Los routers tienen sus bases de datos
topológicas sincronizadas.
Router# show ip ospf database
Muestra todas las entradas en la base de datos de estado de enlace y la
información de las LSA que se han recibido. Pueden emplearse variaciones de este
comando para acceder a informaciones más específicas. Este comando es útil en
combinación con el show ospf neighbor.
www.FreeLibros.com
CAPÍTULO 2. OSPF
©RA-MA
113
R o u ter# show ip ospf database
OSPF Router with ID (172.16.20.130) (Process ID 100)
Router Link States (Area 0)
Link ID
ADV Router Age Seq# Checksum Link count
172.16.20.129
172.16.20.129 295 0x80000003 0x419B 1
172.16.20.130
172.16.20.130 298 0x80000002 0x3E9D 1
Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
172.16.20.130 172.16.20.130 298 0x80000001 0xl9DB
Summary Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
172.16.20.8 172.16.20.129 291 0x80000001 0x7Dl
Campo
Descripción
Link ID 172.16.20.129
Router ID.
ADV Router 172.16.20.129
Router ID del router que está
advirtiendo.
Age 295
Tiempo del estado de enlace.
Seq# 0x80000002
Número de secuencia del
enlace.
Checksum 0xl9DB
Control del contenido de la
LSA.
Link count 1
Número de interfaces
detectadas.
RESOLUCIÓN DE FALLOS EN OSPF MULTI ÁREA
Para resolver fallos en una red OSPF en múltiples áreas puede resultar
largo y complejo. Es recomendable seguir una serie de pasos:
•
Mantener los diagramas de red claros y actualizados con la
topología completa de la red.
•
Guardar copias de todas las configuraciones de los routers
actualizadas.
•
Documentar todos los cambios que se realicen en la red.
www.FreeLibros.com
114
©RA-MA
REDES CISCO. CCNP a Fondo
Una red de múltiples áreas OSPF es una red grande y complicada, los
comandos que se describen a continuación ayudan a resolver y prevenir problemas
en dicha red.
Router(config-router)# log-adj acency-changes
Este comando es similar a los comandos debug pero utiliza menor cantidad
de recursos. Envía menor información que los debug y sólo actúa cuando existe
algún cambio de adyacencia. En el siguiente ejemplo se inicia el proceso OSPF, se
establecen el log de las adyacencias y se añaden las redes. Posteriormente se
observa cómo las interfaces van creando las correspondientes adyacencias.
RouterA(config)# router ospf 1
RouterA(conf ig-router)# log-adj acency-changes
RouterA(config-router)# network 0.0.0.0 255.255.255.255 area 0
RouterA(config-router)# end
RouterA#
10:30:15: %SYS-5-CONFIG_I: Configured from consolé by consolé
RouterA#
10:30:29: %0SPF-5-ADJCHG: Process 1, Nbr 131.11.14.14 on EthernetO from
DOWÍJ to INIT, Received Helio
RouterA#
10:30:38: %0SPF-5-ADJCHG: Process 1, Nbr 131.11.84.8 on EthernetO from
DOWN to INIT, Received Helio
RouterA#
10:30:39: %0SPF-5-ADJCHG: Process 1, Nbr
INIT to 2WAY, 2-Way Received
RouterA#
10:30:48: %OSPF-5-ADJCHG: Process 1, Nbr
INIT to 2 WAY, 2-Way Received
RouterA#
10:30:54: %OSPF-5-ADJCHG: Process 1, Nbr
2WAY to EXSTART, AdjOK?
RouterA#
10:31:18: %0SPF-5-ADJCHG: Process 1, Nbr
EXSTART to EXCHANGE, Negotiation Done
10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr
2WAY to EXSTART, AdjOK?
10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr
EXSTART to EXCHANGE, Negotiation Done
10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr
EXCHANGE to LOADING, Exchange Done
10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr
LOADING to FULL, Loading Done
10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr
EXCHANGE to LOADING, Exchange Done
131.11.14.14 on EthernetO from
131.11.84.8 on EthernetO from
131.11.84.8 on EthernetO from
131.11.84.8 on EthernetO from
131.11.14.14 on EthernetO from
131.11.14.14 on EthernetO from
131.11.14.14 on.EthernetO from
131.11.14.14 on EthernetO from
131.11.84.8 on EthernetO from
RouterA#
10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr 131.11.84.8 on EthernetO from
LOADING to FULL, Loading Done
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
115
Los siguientes comandos debug son de suma utilidad pero como todos
ellos deben ser empleados con la debida precaución puesto que pueden consumir
demasiados recursos de CPU del router.
El debug ip packet analiza el tráfico entre el router local y los host
remotos, recordando que en los routers intermedios debe deshabilitarse el CEF.
Este debug muestra los paquetes generados, recibidos y enviados y utiliza muchos
recursos de CPU.
El debug ip ospf events muestra información relativa a los eventos OSPF,
tales como adyacencias, flujo de información, selección de router designado y
cálculos SFP.
Muchos de los problemas que se producen en OSPF ocurren durante el
proceso del establecimiento de las adyacencias. Los pasos lógicos a seguir en el
caso de no ver a un vecino configurado en la misma red son los siguientes:
•
Las configuraciones de ambos routers deben tener la misma máscara de
subred, MTU, helio timer e iguales intervalos helio y dead.
•
Que dichos vecinos estén en la misma área y que ésta sea del mismo
tipo.
•
Finalmente emplear comandos ayuda y como último recurso los
comandos debug.
ÁREAS ESPECIALES OSPF
OSPF soporta diferentes tipos de áreas tales como: standard, stub, totally
stubby y not-so-stubby. Esto ofrece flexibilidad y permite adaptar el nuevo diseño
al entorno de red existente.
Hay que recordar que un área es una parte del dominio de enrutamiento de
OSPF donde se ejecuta el algoritmo de Dijkstra para elegir rutas. Esta información
acerca de los caminos se envía como un bloque entre áreas. Las áreas nos permiten
dividir el dominio en partes más pequeñas capaces de ejecutar SPF de una manera
más eficiente.
Un problema que puede ocurrir con OSPF es que un área puede llegar a
contener demasiadas rutas, dicho de otra manera, demasiadas LSA y los routers
pueden verse sobrecargados si no tienen la memoria y procesador suficientes como
para manejar tanta información.
www.FreeLibros.com
116
©RA-M A
REDES CISCO. CCNP a Fondo
Un área estándar maneja diferentes tipos de LSA. Un ABR en un área
estándar envía todas las rutas (externas e intra-área) a través del área estándar.
Todas las áreas de tipo stub (stub, totally stubby, NSSA) tratan en
diferentes niveles de limitar la información que los routers deben procesar. Estas
áreas tienen ciertas características en común:
•
El área 0 no puede ser stub
•
Todos los routers en el área han de estar configurados como stub
•
Los virtual link no pueden atravesar áreas stub
r
Areas Stub
Son aquellas en las que el ABR filtra todas las LSA externas y las
reemplaza por una ruta por defecto. Dependiendo de la cantidad de rutas externas
que existan esta solución puede reducir considerablemente el tamaño de la tabla de
enrutamiento y el mantenimiento de la misma. Recuerde que rutas externas son las
que se redistribuyen en OSPF desde otro protocolo de enrutamiento.
Sin embargo, la reducción de la tabla de enrutamiento conlleva un coste
agregado ya que los routers dentro del área usarán el ABR más cercano para
alcanzar las redes externas. Esto puede causar un enrutamiento ineficiente,
enviando el tráfico hacia el ABR más cercano pero eligiendo el camino menos
efectivo.
Configuración de un área stub:
Router(config-router)# area area-id stub
Todos los routers en el área stub tienen que tener configurado este
comando para que puedan estar de acuerdo en la señalización stub a la hora de
intercambiar helio.
r
Areas totally stubby
Este tipo de áreas es una solución propietaria de Cisco. Lo que se consigue
al implementarlas es que los routers ABR supriman las rutas inter-áreas y las rutas
externas sustituyéndolas por rutas por defecto.
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
117
El comando para configurar este tipo de área es exclusivo para los ABR:
R o u t e r
(config-router)# area area-id stub no-summary
El resto de los routers serán configurados como stub para que se puedan
establecer las adyacencias.
A continuación se copia1un extracto de una tabla de enrutamiento de un
router de un área stub: La tabla de enrutamiento que se muestra más abajo es del
mismo router configurado como totally stubby area. Observe la diferencia de datos
entre ambas:
10.0.0.0/32 is subnetted, 4 subnets
IA 10.0.22.5 [110/782] via 10.21.1.4, 00:02:39, FastEthernetO/O
IA 10.0.22.6 [110/782] via 10.21.1.4, 00:02:39, FastEthernetO/O
IA 10.0.22.9 [110/782] via 10.21.1.4, 00:02:39, FastEthernetO/O
IA 10.0.0.1 [110/1] via 10.21.1.4, 00:02:39, FastEthernetO/O
IA 10.0.0.2 [110/782] via 10.21.1.7, 00:02:52, SerialO/O/O
[110/782] via 10.21.1.4, 00:02:52, FastEthernetO/O
10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks
O
10.21.1.0/24
[110/10]
via
10.21.1.4,
00:03:22,
FastEthernetO/O
C
10.21.2.0/24 is directly connected,
LoopbackO
C
10.21.3.0/24 is directly connected, SerialO/O/O
O
10.0.1.0/24
[110/20] via 10.21.1.7, 00:04:01,
SerialO/O/O
O
10.0.2.0/24
[110/30] via 10.21.1.4, 00:04:01, FastEthernetO/O
O
10.0.3.0/24
[110/30] via 10.21.1.4, 00:04:01, FastEthernetO/O
O
10.0.4.0/24
[110/40] via 10.21.1.4, 00:04:01, FastEthernetO/O
O IA 10.22.1.0/24
[110/40]
via
10.21.1.4,
00:04:01,
FastEthernetO/O
0 IA 10.22.2.0/24
[110/40]
via
10.21.1.4,
00:04:01,
FastEthernetO/O
0 IA 10.22.3.0/24
[110/40]
via
10.21.1.4,
00:04:01,
FastEthernetO/O
0*IA 0.0.0.0/0 [110/2] via 10.1.1.1, 00:01:51, FastEthernetO/O
10.0.0.0/32 is subnetted, 4 subnets
10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks
O
10.21.1.0/24
[110/10]
via
10.21.1.4,
00:03:22,
FastEthernetO/O
C
10.21.2.0/24 is directly connected,
LoopbackO
C
10.21.3.0/24 is directly connected, SerialO/O/O
O
10.0.1.0/24
[110/20] via 10.2Í.1.7, 00:05:59,
SerialO/O/O
0
10.0.2.0/24
[110/30] via 10.21.1.4, 00:05:59, FastEthernetO/O
O
10.0.3.0/24
[110/30] via 10.21.1.4, 00:05:59, FastEthernetO/O
0
10.0.4.0/24
[110/40] via 10.21.1.4, 00:05:59, FastEthernetO/O
0*IA 0.0.0.0/0 [110/2] via 10.1.1.1, 00:03:51, FastEthernetO/O
www.FreeLibros.com
118
©RA-M A
REDES CISCO. CCNP a Fondo
r
Areas not-so-stubby
Las LSA de tipo 5 no son permitidas en las áreas de tipo stub, para
solventar este problema se han creado las áreas not-so-stubby (NSSA). Una NSSA
es un área stub que permite al ASBR propagar rutas externas dentro del dominio
OSPF, existen dos tipos de NSSA, las not-so-stubby y las not-so-totally-stubby.
El ASBR envía LSA de tipo 7 dentro del área NSSA, cuando éstas llegan
al ABR las convierte en LSA de tipo 5 para ser enviadas al área 0. Estas LSA de
tipo 7 aparecen en la tabla de enrutamiento como redes tipo N I o N2 .
El ABR dentro de un área NSSA no genera automáticamente rutas por
defecto, para que esto suceda habrá que configurar manualmente los comandos nosummary o default-originate.
La sintaxis para configurar un área NSSA en un ABR es la siguiente:
Router(config-router)# area area-id nssa [no-summary]
Todos los routers dentro del área NSSA deben reconocer el tipo de área,
esto se hace con el siguiente comando:
Router(config-router)# area area-id nssa
Para la verificación de áreas stub el comando show ip protocols
proporciona una información generalizada sobre los protocolos que se están
ejecutando en el router. Con el show ip ospf se verifican los parámetros de
configuración de OSPF y con el show ip route se podrán observar con detalle las
tablas de enrutamiento. Estos comandos son un buen comienzo a la hora de
solucionar y analizar problemas en las áreas OSPF, los siguientes pueden servir de
apoyo a los tres anteriores comandos:
•
•
•
•
show ip
show ip
show ip
show ip
ospf
route
ospf database
ospf database nssa-external
AUTENTICACIÓN OSPF
Los sistemas de redes pueden ser atacados de diferentes maneras, en
particular interceptando paquetes OSPF y así conseguir por ejemplo denegación de
servicio o simplemente inyectar rutas que son maliciosas. OSPF por defecto confia
en todos los paquetes que recibe, por lo tanto es susceptible a posibles ataques.
www.FreeLibros.com
CAPÍTULO 2. OSPF
© RA-MA
119
OSPF ofrece tres niveles de autenticación:
•
Nuil, sin autenticación.
•
Texto plano, la contraseña no está cifrada.
•
Cifrado con el algoritmo MD5.
Por defecto la que se utiliza es la primera de estas opciones.
Autenticación en texto plano
Este tipo de autenticación proporciona un nivel de seguridad muy básico.
Cualquier atacante con un nivel de acceso medio podría leer las claves
intercambiadas. Antes de la versión de IOS 12.0 esta autenticación se configuraba
por áreas, todos los routers dentro de la misma área compartían la contraseña;
actualmente puede hacerse además por interfaz.
La sintaxis de configuración es en el siguiente orden:
Router(config-if)# ip ospf authentication-key password
Router(c o nfig-if )# ip ospf authentication
Autenticación con MD5
La autenticación con MD5 (Message Digest) mantiene un buen nivel de
seguridad. Con este sistema ambos extremos se aseguran de conocer las claves
utilizadas en los mensajes de autenticación.
Para la configuración con MD5 se debe crear una clave o llave que se
utilizará en combinación con la contraseña para crear el cifrado. Es posible tener
más de una clave activa a la vez. Los routers que participen en la autenticación
deben compartir el número de llave y la contraseña.
La sintaxis muestra en el siguiente orden la configuración de esta
autenticación:
Router(config-if)# ip ospf message-digest-key key md5 password
Router(config-if)# ip ospf authentication message-digest
Para verificar que la autenticación está funcionando correctamente se
pueden utilizar los comandos:
www.FreeLibros.com
120
©RA-M A
REDES CISCO. CCNP a Fondo
•
ip ospf neighbor, para ver que los vecinos completen las adyacencias.
•
ip ospf interface, muestra información de la autenticación en la
interfaz.
•
debug ip ospf adjacency, muestra todos los estados de la
autenticación.
Cuando los routers no están de acuerdo en el tipo de autenticación
empleada envían un mensaje como el que se muestra a continuación:
*Dec 03 17:52:17.527: OSPF: Rcv pkt from 10.0.0.1, FastethernetO/O:
Mismatch
Authentication type. Input packet specified type 0, we use type 1
Para el caso de que las contraseñas sean diferentes el mensaje es el
siguiente:
*Dec 03 17:55:13.044: OSPF: Rcv pkt from 10.0.0.1, FastethernetO/O:
Mismatch
Authentication Key — Clear Text
www.FreeLibros.com
Capítulo 3
IS-IS
INTRODUCCIÓN A IS IS
IS-IS (Intermedíate System-to-Intermediate System) es un protocolo de
gateway interior desarrollado en 1980 por DEC y estandarizado por las ISO
(International Organization for Standardization) como un protocolo de
enrutamiento para el modelo de referencia OSI (Open System Interconnection). En
un principio fue diseñado con la idea de crear una serie de protocolos que pudieran
competir con TCP/IP.
La idea original que generó la creación de IS-IS responde a los siguientes
criterios:
•
Crear un protocolo no propietario.
•
Que sea escalable y jerárquico.
•
Eficiente, que permita una rápida y eficaz convergencia sin sobrecargar
la red.
Con el transcurso del tiempo a IS-IS se le fueron añadiendo extensiones
con el fin de competir y reemplazar a TCP/IP en Internet. Pero finalmente no
obtuvo el resultado que se esperaba prevaleciendo TCP/IP entre ambos protocolos.
A este IS-IS con extensiones se le llamó IS-IS Integrado, actualmente
simplemente se le llama IS-IS y es como será tratado en este libro.
www.FreeLibros.com
122
©RA-M A
REDES CISCO. CCNP a Fondo
Recientemente IS-IS está resurgiendo aumentando su popularidad debido a
que se tratade un protocolo independiente, escalable y que define tipos de servicios.
También se está adaptando su uso en IPv6 y MPLS.
Terminología IS-IS
Cuando se habla en terminología OSI, un router es definido como un
sistema intermediario (IS) y un PC como un sistema final (ES), por lo tanto el
protocolo IS-IS es un sistema router-a-router.
Al implementar IS-IS es fundamental interpretar el direccionamiento OSI,
el CLNS (Connectionless Network Service), OSI soporta cuatro niveles de
enrutamiento, en este caso IS-IS ocupa los dos lugares centrales:
•
Nivel 0, utilizado para encontrar sistemas finales y finales a
intermedios.
•
Nivel 1, utilizado para intercambiar rutas dentro deun área.
•
Nivel 2, es el backbone entra áreas.
•
Nivel 3, usado entre sistemas autónomos.
Los routers que ejecutan IS-IS pueden estar en el nivel 1, en el nivel 2 o en
ambos. Estos últimos conectan áreas al backbone. Estos niveles emplean el
algoritmo de Dijkstra SFP para converger rápidamente.
Protocolos de la capa de red utilizados en IS-IS
Las PDU (Protocol Data Unit) del protocolo IS-IS son encapsulados
directamente en tramas de enlace de datos. Todos los paquetes IS-IS comparten la
misma cabecera del mismo tamaño, a partir de ésta hay varios campos que
comparten información relativa al enrutamiento. Estos campos tienen una longitud
variable llamados TLV (Type, Length, Valué).
Cada PDU de IS-IS comienza con la cabecera estándar, le siguen los
campos específicos y finalmente los campos variables TLV.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 123
© RA-MA
Tipos de paquetes IS-IS
A continuación se describen los tres tipos de paquetes de IS-IS:
Helio: sirven para establecer las adyacencias. Existen tres tipos de paquetes
helio:
• End System Helios (ESH), helio para sistemas finales, ISO los utiliza
para conectarse a los router. Los sistemas finales IP no entienden ESH
por lo tanto IS-IS interconecta la red local.
• Intermedíate System Helios (ISH), helio de sistema intermediario,
los router utilizan el ISH para anunciarse a sí mismos de vuelta al ES.
• Intermediate-To-Intermedíate Helios (IIH), sistema intermediario
hacia intermediario, los routers utilizan IIH para conocer a otros
vecinos IS. Los IIH son transmitidos separadamente a nivel 1 y nivel 2.
Debido a que los sistemas punto a punto y broadcast trabajan de manera
diferente, las adyacencias también se establecen de manera distinta. En una red
punto a punto el router sólo tiene otro router con el que se puede comunicar, las
redes broadcast, en cambio, son redes multiacceso que pueden tener una mezcla de
niveles 1 y 2. Por esto último las redes LAN tienen unos paquetes especiales
llamados LAN Helio con dos formatos, los de nivel 1 y los de nivel 2. Por lo tanto
los enlaces broadcast utilizan paquetes LAN Helio y los enlaces punto a punto
paquetes Point-to-point Helio.
Origen
Helio
Destino
Descripción
ESH
OSI ES
IS
Enlaza ES a IS
ISH
IS
OSI ES
Anunciáis
Nivel 1 IIH
L1 IS
L1 IS
Construye área
Nivel 2 IIH
L2 IS
L2IS
Pasa adyacencias de nivel 2
LSP (Link-State Packet): los LSP de un router de nivel 1 son anunciados a
todos los routers dentro del área, éstos contienen una lista de todas las adyacencias.
De igual manera los routers de nivel 2 anuncian LSP de nivel 2 del mismo
dominio. Estos LSP contienen una lista con la información de todas las
adyacencias de los otros routers de nivel 2 y las áreas que el router puede alcanzar.
www.FreeLibros.com
124
©RA-M A
REDES CISCO. CCNP a Fondo
Las TLV contienen información de nivel 1 y de nivel 2 permitiendo que el
formato de las LSP sea el mismo para el router de ambos niveles. Las TLV
proporcionan flexibilidad y extensibilidad al protocolo haciendo que el protocolo
se adapte a los cambios simplemente agregando nuevas TLV.
La estructura de las TLV es la siguiente:
•
Tipo, identifica los anuncios y todas las características que pertenecen
a él, por ejemplo TLV 128 es un anuncio IP.
•
Longitud (length), indica la longitud del siguiente campo, valué que
es de longitud variable.
•
Valué, el anuncio adquiere forma de rutas IP, vecinos IS o
autenticación.
Es importante conocer que TLV son soportadas por los dispositivos ya que
de esto depende el diseño y configuración de la red. Los routers receptores
ignorarán las TLV que no sean soportadas por éstos.
COMPARACIÓN DE IS IS CON OSPF
IS-IS y OSPF comparten un pasado común ya que fúeron desarrollados al
mismo tiempo compartiendo muchas cosas en común. Tal es así que se puede decir
que IS-IS es una versión de OSPF en “totally stubby areas”. Ambos protocolos son
del tipo de estado de enlace basado en el algoritmo SFP de Dijkstra, soportan
VLSM, tienen una jerarquía de dos niveles, convergen rápidamente y utilizan los
helio para establecer relaciones con sus vecinos y crear tablas de topologías.
Entre las principales diferencias entre OSPF e IS-IS se pueden destacar:
•
OSPF tiene un área central o de backbone, mientras que IS-IS utiliza
un backbone para todas sus áreas.
•
IS-IS utiliza sólo un DR (Designated Router) llamado DIS (Designated
Intermedíate System) y diferentes temporizadores.
•
IS-IS envía anuncios de una manera estándar en paquetes simples
mientras que los envíos de OSPF varían y son transmitidos según el
tipo que sean.
•
IS-IS se encapsula a nivel de la capa de enlace de datos.
•
OSPF es más cercano a TCP/IP y está más relacionado con redes IP,
IS-IS puede soportar CLNS e IP a la vez.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 125
©RA-MA
Si bien las principales características entre ambos protocolos son similares,
se detallan a continuación algunas diferencias específicas entre ambos:
•
Áreas: ambos protocolos soportan una jerarquía de áreas de dos
niveles. OSPF utiliza un área principal o área 0 la cual está conectada a
todas las demás áreas, los routers que tienen interfaces conectadas a
diferentes áreas se llaman ABR. En IS-IS el router pertenece a un área
de nivel 1. Los router de nivel 1-2 son similares al ABR, pertenecen a
un área de nivel 1 pero enrutan separadamente a nivel 2. En IS-IS los
routers de nivel 2 pueden pasar por áreas de nivel 1, los routers de esta
última deben estar en el mismo área para poder intercambiar rutas
locales y recibir rutas por defecto de nivel 1-2. Por último, los routers
de nivel 2 envían actualizaciones de nivel 2 a través del backbone.
•
Topología de LAN: similar a lo que ocurre en OSPF con los DR en
IS-IS funcionan los DIS que simulan una topología punto a punto en
un entorno multipunto. Debido a esto muchas veces el DIS es llamado
también seudo-nodo. Éstos existen separadamente para ambos niveles
y no existen DIS de reserva o backup. En OSPF una vez elegido el DR
no será cambiado aunque entre en la red un router con mejor prioridad;
sin embargo en IS-IS el rol del DIS puede cambiar de router si entra en
la red un router con prioridad más alta sin necesidad de cambios en la
topología. En OSPF las adyacencias se establecen con el DR y el BDR,
mientras que en IS-IS además de establecer adyacencia con el DIS
todos los routers establecen adyacencia con todos los demás. Los LSP
son enviados sólo por el DIS.
• Anuncios: los anuncios en OSPF son encapsulados por tipo y un router
OSPF puede generar diferentes tipos de paquetes para advertir el tipo
de conectividad que tiene. Los anuncios de IS-IS son todos de un
formato estándar: tipo longitud y valor (TLV). La estructura TLV
implica que los anuncios pueden ser fácilmente agrupados y advertidos
juntos, empleando menor cantidad de envíos haciendo que IS-IS sea
fácilmente adaptable. Los anuncios de IS-IS son llamados SNP
(Sequence Number Packets), éstos listan los LSP en el router en la base
de datos del router que está retransmitiendo pero en un formato
resumido. Los SNP nunca se envían inundando la red, sólo se hace el
envío entre vecinos. Los CNP son específicos de cada nivel y pueden
ser CSNP (Complete SNP), que listan todas las LSP y PSNP (Partial
SNP), que listan sólo algunas LSP. Los LSP que no son reconocidos se
ignoran y son enviados por inundación a toda la red.
www.FreeLibros.com
126
©RA-MA
REDES CISCO. CCNP a Fondo
•
Encapsulación: una diferencia importante entre los dos protocolos es
el tipo de encapsulación utilizada. IS-IS es un protocolo independiente
que se ejecuta directamente sobre la capa de enlace, mientras que
OSPF está encapsulado dentro de IP. Esto hace que IS-IS pueda
adaptarse a diferentes circunstancias con mayor flexibilidad. Un
ejemplo de esto último es IPv6 donde IS-IS se adaptó sin grandes
cambios, mientras que en OSPF fue necesaria la creación de OSPFv3.
•
Desarrollos futuros: IS-IS ha estado estancado durante largos años,
sin embargo recientemente ha recuperado el interés de los
administradores, tanto que Cisco se ha comprometido a llevar este
protocolo a niveles de popularidad como los OSPF. Actualmente OSPF
tiene diversidad de áreas y métricas más grandes, la información,
bibliografía e incluso la ingeniería son mucho más fáciles de conseguir.
Las ventajas de IS-IS, como la encapsulación, la estructura de las TLV
y el proceso de LSP, aún no han sido aprovechadas ni valoradas por las
empresas.
DIRECCIONAMIENTO ISO
OSPF utiliza direccionamiento IP para determinar el router ID, IS-IS
utiliza para el mismo propósito un direccionamiento ISO. Las direcciones ISO
tienen dos formatos dependiendo del tipo de dispositivo al que se le asigne esa
dirección:
•
NSAP, Network Service Access Point
•
NET, Network Entity Title
El esquema de direccionamiento ISO tiene un formato complejo y está bien
definido por reglas claras. Estas direcciones poseen un rango de entre 8 y 20
octetos o bytes, mientras que una dirección IP sólo consta de 4.
La referencia ISO 10589 define tres partes que componen una dirección
ISO:
•
Área, en este caso es como una subred IP, describe un grupo o
localización.
•
ID, identifica un miembro en particular dentro de una localización tal
como lo determina la parte de host de una dirección IP.
•
SEL, similar a un puerto TCP que identifica un proceso en el host.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 127
©RA-MA
IDP
AFI
1 octeto
IDI
HODSP
AREA
DSP
System ID
1-8 octetos
ID
NSEL
1 octeto
SEL
Inter Domain Part (IDP) se utiliza para enrutamiento externo, enruta el
sistema autónomo. El IDP está otorgado por la ISO e identifica la organización
responsable de asignar el formato del resto de la dirección definiendo la estructura
DSP. El IDP se subdivide en dos partes:
•
Authority and Format Identifier (AFI), también llamado Address
Family Identifier, primer octeto, identifica la autoridad que dictamina
el formato de la dirección y emite las direcciones. Este byte se
identifica típicamente con 39 como código de país, 47 código
internacional y 49 privado
•
Initial Domain Identifier (IDI), es una organización de menor
jerarquía que funciona dentro del AFI.
Domain Specific Part (DSP), es utilizado para enrutar dentro del sistema
autónomo, contiene tres campos:
•
High Order DSP (HODSP), es el área dentro del sistema autónomo.
•
System ID, identifica el sistema. El estándar indica que puede contener
6 u 8 octetos, Cisco implementa únicamente el System ID de 6 bytes.
Este identificador tiene que ser único y debe poseer la misma longitud
a través de todo el sistema autónomo. Existen dos maneras de
generarlo, una es utilizando simplemente la dirección MAC y la otra es
manipular la dirección IP transformándola en un número de tres
dígitos, por ejemplo la dirección IP 192.168.1.123 quedaría como
System ID 1921.6800.1123. Este número puede ser creado
simplemente por el administrador pero puede ser conflictivo si no se
realiza correctamente (por ejemplo, duplicaciónes).
•
NSEL, es un byte que identifica el servicio a nivel de capa de red al
cual parar el paquete, 0x00 representa el dispositivo. Un NSAP 0x00 es
llamado NET (Network Entity Title).
La diferencia de formato de dirección suele generar confusión, sólo basta
con recordar que existen dos niveles de jerarquía. Resumiendo se puede decir que
el esquema de direccionamiento puede surgir del diseño de un administrador,
obtenido del AFI o una entidad como ANSI o GOSIP.
www.FreeLibros.com
128
©RA-M A
REDES CISCO. CCNP a Fondo
Reglas para el direccionamiento ISO
Las siguientes definiciones especifican algunas cuestiones sobre el
direccionamiento ISO:
•
La dirección ISO se asigna al sistema y no a la interfaz.
•
Normalmente un router posee una dirección NET. En una
implementación convencional de IS-IS el límite es de 3 NET por área
en una topología de IS-IS multi-área.
•
Si múltiples NET son configuradas en el mismo router todas tienen el
mismo Sytem ID.
•
La dirección de área debe ser la misma para todos los router de la
misma área.
•
Todos los routers de nivel 2 tienen que tener el mismo System ID para
todo el dominio de nivel 2. Todos los routers de nivel 1 tienen que
tener el mismo System ID para todo el dominio de nivel 1.
Direcciones NET y NSAP
Tanto NET como NSAP son direcciones ISO. La primera es
específicamente la dirección NSAP del host con el NSEL en 0x00. Este formato de
direcciones es el empleado para identificar un router.
El System ID debe ser de la misma longitud para todos los IS y ES dentro
del dominio de enrutamiento. Cisco soporta System ID de 6 byte.
Ejemplo de una dirección NET
El siguiente ejemplo muestra una dirección NET con un AFI (Authority
and Format Identifier) 49, es decir, un direccionamiento cuya estructura es creado
por un administrador según su propio criterio. Debido a que no es necesaria la
diferenciación entre áreas, el IDI no ha sido utilizado.
Este ejemplo utiliza la MAC del host como System ID,
49.0005.AA00.0301.16CD.00. El primer byte corresponde al AFI, el último byte es
SEL, los 6 bytes restantes son el System ID. Cualquier valor entre AFI y System
ID será interpretado como área (IDI), que en este caso no es necesario indicar.
49.0005.
Dentro del dominio
Area
AA00.0301.16CD.
00
Fuera del dominio
SEL
System ID
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 129
Este otro ejemplo utiliza la dirección de loopback 122.132.16.19 como
System ID, 49.0001.1221.3201.6019.00.
49.0001.
Dentro del dominio
Area
1221.3201.6019.
00
Fuera del dominio
System ID
SEL
Por último, un ejemplo de una dirección GOSIP con información de
enrutamiento externo 47.0005.80ff.f800.0000.0001.0000.0c00.1234.00, esta
estructura es demasiado compleja para la utilización que hoy en día se le da a IS­
IS.
AFI
47.
IDI
0005.80ff.f800.0000.
Area
HODSP
0001.
System ID
0000.0c00.1234.
System ID
SEL
00
SEL
ADYACENCIAS EN IS-IS
El enrutamiento hacia un destino dentro de un área es sencillo, el primer IS
ubica el destino y lo añade a su tabla de enrutamiento y selecciona la ruta más corta
como lo haría OSPF. En cambio el enrutamiento entre áreas es más complejo.
El primer IS recibe un determinado tráfico IP que no esta en su tabla de
enrutamiento, entonces decide pasar la información al router nivel 1-2 más
cercano. Posteriormente este último verifica en su tabla de enrutamiento para
enrutar hacia el próximo router de nivel 1-2 más cercano que esté anunciando
sumarizaciones que contenga este destino.
Las fronteras en IS-IS integrado están definidas en el enlace, esto significa
que el router está completamente en un área de nivel 1. Para actualizaciones de
enrutamiento de nivel 2 externas todos los routers de ese nivel deben ser contiguos.
Los routers que comparten un medio común en IS-IS se hacen vecinos
siempre y cuando los paquetes helio que se intercambian tengan cierto criterio
común para formar esas adyacencias. Aunque el proceso de encontrar un vecino
común difiere del tipo de medio; la información enviada en los helio básicamente
es la misma.
www.FreeLibros.com
130
©RA-M A
REDES CISCO. CCNP a Fondo
Área 0002
Cada helio identifica el origen de ese helio y las capacidades de la interfaz.
Si los helio intercambiados comparten un criterio común se forma la adyacencia y
los vecinos IS-IS intercambian información de enrutamiento en forma de LSP. De
esta forma todos y cada uno de los routers recopilan información de las redes
conectadas para crear mapas topológicos detalladamente iguales acerca de la red.
Para que entre dos routers se cree una adyacencia y se conserve, ambas interfaces
deben estar de acuerdo en lo siguiente:
•
Las MTU (Máximum Packet Size) de las interfaces deben ser las
mismas.
•
Ambos routers deben soportar el mismo nivel de enrutamiento, es
decir, que un router de nivel 1 se hace adyacente a un router de
nivel 1 o nivel 1-2 del mismo área. Un router de nivel 2 se hace
adyacente a un router de nivel 2 o nivel 1-2.
•
Para conectarse hacia otra área al menos uno de los routers debe
estar configurado como nivel 1-2.
•
El System ID tiene que ser único para cada router.
•
Si se ha configurado autenticación, ésta debe ser idéntica en ambos
routers.
•
Los helio y hold timers deben ser iguales.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 131
©RA-MA
IS-IS define dos tipos de redes, subredes broadcast y redes punto a punto,
mientras que OSPF define 5 tipos de redes. Una red Broadcast, al igual que en
OSPF, es una red que soporta broadcast y multicást. Los enlaces punto a punto se
consideran que son non-broadcast y pueden ser circuitos virtuales permanentes
(PVC) o líneas dedicadas.
En IS-IS no existe el tipo de red NBMA por lo tanto las redes multiacceso
non-broadcast deben ser creadas como broadcast o punto a punto. Normalmente la
solución implementada es crearlas con subinterfaces punto a punto.
Adyacencias en enlaces punto a punto
Cuando se está utilizando enlaces punto a punto la adyacencia se crea
después de que un paquete helio ha sido recibido. A continuación cada una de las
partes envía un CSNP que es una lista de todos los enlaces que hay en la base de
datos de estado de enlace, activando una sincronización de la base de datos de cada
uno de los dispositivos. Posteriormente helio periódicos mantienen la continuidad
de la adyacencia.
Si un router no escucha helio dentro del tiempo establecido (holdtime) el
vecino es declarado como muerto y la base de datos es limpiada de cualquier
entrada asociada a ese router. Cisco define el holdtime como el intervalo helio
multiplicado por 3, es decir 30 segundos.
Adyacencias en enlaces broadcast
En un enlace broadcast cada IS recibe paquetes enviados por el DIS,
minimizando la cantidad de tráfico que es generada para mantener las adyacencias
y la base de datos. El DIS tiene la responsabilidad de hacer una inundación de LSP
hacia todos los dispositivos que estén conectados o ejecutando IS-IS.
Las adyacencias con los demás routers son mantenidas por el DIS,
enviando helio cada 3,3 segundos, tres veces más rápidos que el período de los
otros router. De esta manera se asegura de identificar las adyacencias y posibles
fallos más rápidamente.
Si existiese un problema con el DIS o apareciese, un router con mayor
prioridad es rápidamente identificado y pasa a reemplazar al antiguo DIS. La
elección del DIS se basa primero en la prioridad más alta y luego en la dirección
más alta del enlace.
www.FreeLibros.com
132
REDES CISCO. CCNP a Fondo
©RA-M A
Adyacencias en enlaces NBMA
El establecimiento y mantenimiento de adyacencias se toma más complejo
en entornos non-broadcast. Un enlace NBMA no es ni un enlace broadcast ni un
enlace point-to-point, es un poco de ambas. IS-IS no tiene un tipo de red que sea
NBMA. La utilización de PVC en un entorno NBMA crea múltiples conexiones
como si se tratara de una LAN. Al no tener conocimiento de nubes WAN
multiacceso, IS-IS interpreta que el medio es similar a una LAN, por lo tanto
adquiere propiedades de broadcast, aunque la nube WAN no posee dichas
capacidades de broadcast. Para evitar esta problemática y posibles errores Cisco
recomienda que se configuren los enlaces como una serie de enlaces punto a punto.
No hay que utilizar IS-IS en conexiones temporales como dial-up.
FUNCIONAMIENTO DE IS IS
El proceso de enrutamiento de IS-IS puede contemplarse en las siguientes partes:
•
Actualización (Update)
•
Decisión (Decisión)
•
Reenvío (Forwarding)
•
Recepción (Receiving)
Proceso de actualización
El router puede enviar paquetes de datos hacia un destino remoto
únicamente si entiende la topología. Cada router envía un LSP que lista todos los
routers vecinos y que se propagan a través de la red. La inundación de los LSP
asegura que cada router tenga una base de datos de estado de enlace idéntica. Los
routers implicados generan LSP cuando existe algún tipo de cambio en la red como
por ejemplo cualquiera de las siguientes situaciones:
•
La caída de una adyacencia.
•
Cambios de estado de una interfaz o asignación de una nueva métrica.
•
Cambios en una ruta, por ejemplo debido a una redistribución.
Los routers almacenan los nuevos LSP en la base de datos de estado de
enlace y los identifican para que puedan ser enviados. Si el LSP ya está contenido
en la base de datos, el router simplemente lo confirma y lo ignora.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 133
©RA-MA
El router envía estos nuevos LSP hacia sus vecinos los que su vez repiten
este mecanismo sucesivamente. Debido a que cada uno de los routers de nivel 1 y
los de nivel 2 poseen su propia base de datos de estado de enlace, los LSP de nivel
1 sólo son inundados dentro del área, mientras que los LSP de nivel 2 son enviados
a todas las adyacencias de nivel 2.
El proceso de propagación de los LSP depende estrechamente según el tipo
de medio en que fue recibido:
•
Propagación de LSP en enlaces punto a punto: en este tipo de enlace
el ancho de banda puede optimizarse debido a que los dos routers
pueden tener la capacidad de enviar actualizaciones o no, además de no
haber necesidad de que las bases de datos estén sincronizadas. El
proceso de inundación sigue la siguiente secuencia:
o
o
o
o
o
•
Cuando una adyacencia es establecida ambas partes envían un
paquete con un número de secuencia completo CSNP con una
versión comprimida de la base de datos de enlace (router ID y
número de secuencia),
Si hay algún LSP que no es recibido con el CSNP se reenvían los
LSP perdidos nuevamente,
Del mismo modo si la base de datos no contiene algunos de los
LSP recibidos en el CSNP, el router receptor solicita el reenvío,
Los LSP individuales son pedidos y confirmados a través de
números de secuencia parciales (PSNP)
Cuando un LSP es enviado el router inicia un temporizador de tal
forma que si no se recibe un ACK en el tiempo establecido, el LSP
es reenviado. Este temporizador puede se, configurado, por defecto
en los routers Cisco es de 5 segundos.
Propagación de LSP en enlaces broadcast: un seudo-nodo en este
tipo de enlaces puede necesitar enviar actualizaciones de nivel 1 y de
nivel 2 por medio de direcciones MAC multicást hacia todos los
routers de esos niveles. El DIS toma la responsabilidad de ejecutar
estas tareas en lugar del seudo-nodo sincronizando las bases de datos.
Cumpliendo tareas tales como crear y mantener adyacencias, crear y
actualizar los LSP del seudo-nodo e inundar la LAN con los LSP. Los
tres pasos principales son:
o
o
Cuando se recibe CSNP el router compara cada LSP comprimida
con la base de datos de estado de enlace,
Si la base de datos tiene una nueva versión de LSP enviada en
CSNP, el router hace multitast del CSNP en la LAN.
www.FreeLibros.com
134
©RA-M A
REDES CISCO. CCNP a Fondo
o
Si la base de datos no tiene una nueva versión de LSP, envía un
PSNP solicitando una LSP completa. Aunque la petición es
multicást solamente responde el DIS.
PASO 2: PSNP solicitand o
PASO 1: CSN P o LS P
PASO 3: R e sp u esta LSP
•
Determinación de la validez del LSP: el LSP posee tres campos que
permiten determinar lo reciente que es y si está intacto o corrupto:
o
Remaining Lifetime: usado para limpiar viejas LSP, pasados 20
minutos sin decepcionar otra, se asume que el router que lo originó
ha muerto.
o
Sequence Number: es un identificador de 32 bits, la primera de
las LSP tiene valor 1 incrementándose sucesivamente.
o
Checksum: si el router recibe un LSP y el cómputo del checksum
no es el correcto, elimina el LSP e inunda la red con éste para que
todos los routers lo borren, mientras que el router que lo originó
transmite un nuevo LSP.
Proceso de enrutamiento
Una vez que las bases de datos de estado de enlace han sido sincronizadas,
es necesario asumir una decisión sobre cómo llegar a un determinado destino.
Debido a que los routers y host pueden tener diferentes conexiones hacia cada otro,
www.FreeLibros.com
CAPÍTULO 3. IS-IS 135
©RA-MA
podrán establecerse diferentes rutas y habrá que elegir uno de ellos. Para tomar la
mejor decisión los protocolos de estado de enlace utilizan el algoritmo de Dijkstra.
Este algoritmo crea un árbol hacia todos los posibles destinos. A partir de este árbol
se crea la tabla de enrutamiento.
Si existe más de una ruta para alcanzar un destino remoto el criterio para
determinar el camino con menor coste es el siguiente:
•
Si existe más de una ruta con el valor de métrica más bajo, los
dispositivos Cisco ponen todos o varios caminos en la tabla de
enrutamiento. Versiones anteriores de IOS soportan hasta 6 rutas con
balanceo de carga, las nuevas versiones soportan mucho más.
•
Las rutas internas tienen mayor preferencia que las rutas externas.
•
Las rutas de nivel 1 son más atractivas que las de nivel 2.
•
La dirección IP más específica es la dirección que posee la máscara de
subred más larga.
•
Si no existen rutas, la base de datos envía el paquete al router de nivel
2 más cercano.
La métrica define el coste del camino o ruta. IS-IS tiene cuatro métricas
pero solamente una es requerida y soportada. Están definidas por el estándar ISO
10589 y son las siguientes:
• Default: todo router IS-IS integrado debe soportar esta métrica. Cisco
por defecto utiliza en todas las interfaces un valor de 10 para esta
métrica.
• Delay: Cisco no soporta esta métrica.
• Expense: Cisco no soporta esta métrica.
• Error: Cisco no soporta esta métrica.
Por defecto en la interfaz de salida se configuran métricas de 6 bits. Un
campo de 10 bits describe el coste total del camino. A estas métricas por defecto se
les llama narrow. Cisco incrementó el tamaño de la métrica hasta 24 bits.
www.FreeLibros.com
136
©RA-M A
REDES CISCO. CCNP a Fondo
Este campo de métrica más largo proporciona más granularidad y permite
distinguir diferentes caminos y nos referimos a ella como wide.
Para determinar la mejor ruta es elegida la métrica más baja, las rutas
externas son elegidas sobre rutas externas. Los routers de nivel 1 tienen preferencia
sobre los routers de nivel 2.
La única métrica soportada por Cisco es la métrica por defecto, debido a
que cada métrica utilizada en IS-IS requiere un cálculo de la base de datos de
enlace para router de ambos niveles.
DISEÑO DE REDES IS IS
El buen funcionamiento de la red depende del buen diseño y de la
planificación con que se haya pensado. Aunque las limitaciones físicas y técnicas
sean una de las cuestiones a tener siempre en cuenta, hay que intentar crear diseños
de redes que satisfagan las necesidades de los usuarios y aplicaciones que van a
trabajar en ellas.
En IS-IS los criterios de diseño más importantes a tener en cuenta son las
áreas y el direccionamiento.
Al diseñar redes jerárquicas con IS-IS es necesario considerar el flujo de
datos que se aplicará sobre la red además de todos los recursos que se requieren
para que se pueda ejecutar el protocolo.
Mejorar los procesos de actualizaciones sin comprometer recursos y
confiabilidad de la red también es una cuestión a tener en cuenta. Reducir la
cantidad de actualizaciones hace que las bases de datos converjan más
rápidamente, pero la red no tendría tantos recursos de enrutamiento.
Al diseñar las áreas hay que mantener dos bases de datos SPF, esto
significa mayor consumo de recursos para los routers que pertenecen a más de un
área.
Algunos diseños típicos pueden ser:
•
Una red totalmente plana que utiliza solamente enrutamiento de nivel
1. Este diseño no escala correctamente debido a que cualquier cambio
en la red requiere que se haga una inundación de SLP hacia todos los
routers, en consecuencia al algoritmo SPF se ejecutará constantemente.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 137
© RA-MA
Sin embargo posee la ventaja de que sólo habrá un algoritmo SPF y no
habrá enrutamiento entre áreas.
•
Una red totalmente plana que utiliza solamente enrutamiento de nivel
2. En este caso si la red necesita expandirse pueden agregarse áreas de
nivel 1. El área de nivel 2 tiene total conocimiento de la red sumada la
ventaja de estar ejecutándose una sola instancia de SPF.
•
Una red totalmente plana que utiliza la configuración por defecto de
Cisco con todos los ruoters como nivel 1-2. Este diseño permite una
migración bastante sencilla hacia un modelo jerárquico. Sin embargo
requiere más recursos al necesitar dos bases de datos SPF.
•
Una red de modelo jerárquico donde el núcleo o core está ejecutando
enrutamiento de nivel 2 con áreas de nivel 1 conectadas al core. Los
routers de nivel 1-2 interconectan las áreas. Este diseño explota todo el
potencial y la capacidad de IS-IS; hay varias cuestiones a tener en
cuenta:
o
El consumo de recursos puede resultar elevado.
o
La decisión de enrutamiento lo determina la métrica de la interfaz
de salida.
Por defecto los routers Cisco ejecutan IS-IS nivel 1-2, pero pueden ser
configurados para que sean de nivel 1 o de nivel 2. Sin embargo, la configuración
por defecto evita las particiones de áreas, como en el caso de un modelo jerárquico,
que pierde una conexión entre un router nivel 1 y un router nivel 1-2. También se
evitaría de esta manera la pérdida del área. Recuerde siempre que la métrica por
defecto es 10 sin importar el ancho de banda.
Soluciones de diseño en redes NBMA con IS-IS
El diseño de redes WAN en entornos NBMA con IS-IS no es tarea fácil
como lo sería por ejemplo con EIGRP en este tipo de topología. Sin embargo es
menos complicado que OSPF.
Las redes NBMA como Frame-Relay y ATM no están soportadas en IS-IS,
debiendo emplear otras opciones como por ejemplo configuraciones tipo broadcast
imitando una red ethemet o interfaces punto a punto. Esta última opción es la más
recomendada.
www.FreeLibros.com
138
©RA-M A
REDES CISCO. CCNP a Fondo
Sumarización de rutas
La sumarización tiene muchas ventajas: reduce los recursos necesarios en
la red y oculta problemas de red dentro de un área. Si un router no se da cuenta de
un cambio o de un problema en la red, las bases de datos no tienen que ser
actualizadas ni recalculadas reduciendo así los recursos requeridos para SPF.
Cuanto más detallado sea el conocimiento que el router tenga de la red, más
recursos necesitará. La sumarización permite a las áreas administrar un
conocimiento interno de la red y sumarizar ese conocimiento en las fronteras de la
red.
Las reglas de sumarización de OSPF de múltiples áreas se aplican a IS-IS.
Las reglas para sumarizar rutas IP en IS-IS son las siguientes:
•
Los routers de nivel 1-2 pueden sumarizar las rutas que están
almacenadas dentro de su propia área. La sumarización se configura en
el router nivel 1-2 en el borde del área, tal como lo hace el ABR en
OSPF.
•
Si a un router nivel 1-2 se le configura una ruta sumarizada, se debe
configurar también en todos los routers nivel 1-2 dentro del área
inyectando actualizaciones de nivel 2.
•
Las rutas de nivel 1 no pueden ser sumarizadas dentro del área porque
el protocolo no lo permite.
CONFIGURACIÓN BÁSICA DE IS-IS
Cuando se habla de enrutamiento se debe pensar en una topología que
permita la sumarización y la selección de direcciones que puedan ser sumarizadas.
Los protocolos de enrutamiento asumen esto como hecho. Los tres pasos iniciales
para la configuración de IS-IS son los siguientes:
1. Habilitar el proceso de enrutamiento con el comando router isis.
2. Configurar la dirección NET que asigna el área. El comando para esto
es net network-address.
3. Habilitar IS-IS para IP en las interfaces correspondientes con el
comando ip router isis.
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 139
El siguiente ejemplo muestra la configuración básica para configurar IS-IS:
ROUTER
DIRECCION ISO
A
49.000 l.OOOO.OOOO.OOOA.OO
B
C
D
49.0002.0000.0000.000B.00
E
F
49.0002.OOOO.OOOO.OOOE.OO
49.0003.0000.0000.000F.00 .
49.0003.0000.0000.000C.00
49.0001.0000.0000.000D.00
interface EthernetO
ip address 140.100.96.1 255.255.255.0
iassign the IP address and mask
ip router isis
i
interface SerialO
no ip address
www.FreeLibros.com
140
©RA-M A
REDES CISCO. CCNP a Fondo
encapsulation frame-relay
interface SerialO.l point-to-point
ip address 140.100.64.1 255.255.255.0
iassign the IP address and mask
ip router isis
frame-relay interface-dlci 629
i
interface Serial0.2 point-to-point
ip address 140.100.32.1 255.255.255.0
iassign the IP address and mask
ip router isis
frame-relay interface-dlci 931
i
router isis
net 49.0001.0000.0000.000a.00
La dirección ISO es similar a lo que en OSPF es el ruoter ID, pero en este
caso también implica asignación de área. Recuerde que por defecto los routers
Cisco están configurados como nivel 1-2. De la misma manera que el comando
clns routing no es necesario para IP.
Comandos opcionales de IS-IS
Además de los comandos convencionales para la configuración de IS-IS
existen algunos comandos apropiados para ciertas situaciones.
Configurando un router de nivel 1-2: por defecto los routers soportan
ambos niveles. Enrutar estos dos niveles significa enviar dos veces los paquetes
helio y los anuncios, es decir, utilizar el doble de envíos y procesamientos. Sin
embargo esto hace para el administrador la configuración más sencilla.
Una manera de optimizar el protocolo es reducir la duplicación innecesaria
en ambos niveles. El nivel se configura luego del proceso con el comando is-type
level-1 o is-type level-2. Una vez aplicado, todas las interfaces se comunican en el
nivel configurado.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 141
©RA-MA
El siguiente ejemplo muestra la configuración de niveles:
Área 0001
Área 0003
Los routers D, E y F sólo necesitan soportar nivel 1 porque son internos
dentro del área. El ejemplo de configuración del router D muestra el proceso:
interface EthernetO
ip address 140.100.96.2 255.255.255.0
ip router isis
i
router isis
net 49.0001.0000.0000.OOOd.00
is-type level-1
El nivel de enrutamiento puede ser configurado por interfaz utilizando el
comando isis circuit-type level-1 o isis circuittype level-2-only dentro del modo
de interfaz. Siguiendo el ejemplo anterior estos comandos se han aplicado a los
routersA, B y C. La interfaz serial ha sido configurada a nivel 2.
www.FreeLibros.com
142
©RA-M A
REDES CISCO. CCNP a Fondo
Los routers nivel 1-2 envían LSP con un bit adjunto (ATT) en las LSP de
nivel 1 que indica son adyacentes a otra área y es interpretado por el router receptor
como una ruta por defecto, es decir, que el router de nivel 2 sirve como un router
de tránsito entre áreas.
La siguiente configuración muestra al router A como de nivel 1 con su
interfaz ethemet conectada al router D, las demás interfaces están configuradas
como nivel 2.
interface EthernetO
ip address 140.100.96.1 255.255.255.0
ip router isis
isis circuit-type level-1
¡Configure Level 1 routing on the interface
i
interface SerialO
no ip address
encapsulation frame-relay
i
interface SerialO.1 point-to-point
ip address 140.100.64.1 255.255.255.0
ip router isis
frame-relay interface-dlci 629
isis circuit-type level-2-only
! Configure Level 2 routing on the interface
i
interface SerialO.2 point-to-point
ip address 140.100.32.1 255.255.255.0
ip router isis
frame-relay interface-dlci 931
isis circuit-type level-2-only
¡Configure Level 2 routing on the interface
i
router isis
Configuración de la sumarización
Una vez que el esquema de direccionamiento de red es interpretado, la
configuración de la sumarización es sencilla. Hay tres claves respecto a esto último
y son las siguientes:
1. La sumarización se configura en los router de nivel 1-2
2. Todos los routers de nivel 1-2 en un área tienen que sumarizar de la
misma manera.
3. Los routers no pueden sumarizar dentro de un área, sólo entre áreas.
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 143
Para configurar la sumarización se utiliza el comando summary-address
seguido de la dirección IP que representa la sumarización y la máscara de subred
luego del proceso de enrutamiento.
Las rutas IP del router B del siguiente ejemplo son sumarizadas en las
áreas 001 y 003. Este router pertenece a más de un área por lo tanto es de nivel 1-2.
Área 0003
interface EthernetO
ip address 140.100.104.1 255.255.255.0
ip router isis
isis circuit-type level-1
i
interface SerialO
no ip address
encapsulation frame-relay
i
interface SerialO.2 point-to-point
ip address 140.100.32.2 255.255.255.0
ip router isis
isis circuit-type level-2-only
frame-relay interface-dlci 931
www.FreeLibros.com
144
©RA-M A
REDES CISCO. CCNP a Fondo
interface SerialO.3 point-to-point
ip address 140.100.16.2 255.255.255.0
ip router isis
isis circuit-type level-2-only
frame-relay interface-dlci 631
i
router isis
summary-address 140.100.104.0 255.255.252.0
! Advertises 140.100.104.0/22
net 49.0002.0000.0000.000b.00
Configuración NBMA
IS-IS reconoce dos tipos de redes, broadcast y punto a punto. Si el enlace
de red no es una línea serial conectada a un sólo router, es decir, punto a punto, IS­
IS automáticamente definirá el enlace como broadcast. Debido a que NBMA no es
ninguna de las opciones de topología aceptadas por IS-IS, se deben tener en cuenta
ciertas consideraciones a la hora de su configuración.
Para interfaces WAN multiacceso como por ejemplo ATM, x-25 o FrameRelay, es altamente recomendable que la configuración de la nube NBMA se
realice como una topología de múltiples subinterfaces punto a punto. Este diseño es
menos complejo que el modo broadcast resultando una topología más sólida y cuya
configuración será también más simple.
Un clásico ejemplo de redes NBMA es Frame-Relay, que soporta entornos
tanto punto a punto como entornos mallados, aunque como se ha dicho en párrafos
anteriores siempre se recomienda enlaces punto a punto.
Configuración de broadcast en una red NBMA
Si la nube NBMA es totalmente mallada una de las opciones puede ser
configurar IS-IS en modo broadcast, aunque no es la mejor opción. De esta manera
IS-IS tratará la red como un medio tipo broadcast y entraría en juego la elección
del DIS. Si la elección del DIS se hace manualmente, hay que tener en cuenta la
topología, el flujo de los datos y la capacidad de los routers. Habitualmente este
tipo de topologías no es elegido debido a su complejidad.
Los helio y las actualizaciones de enrutamiento son empleados de manera
diferente en entornos broadcast y en enlaces punto a punto. Todas las interfaces
conectadas a la nube deben estarlo de la misma manera, de lo contrario los helio
serán rechazados y no se establecerán las adyacencias correspondientes.
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 145
El
siguiente ejem plo m uestra la co n fig u ra ció n de
F ra m e -R e la y totalm ente m a lla d o:
ROUTER
DIRECCION ISO
A
49.0001.0000.0000.000A.00
B
C
D
49 .OOO2.OOOO.OOOO.OOOB.OO
E
F
49.0002.000Ó.OOOO.OOOE.OO
49.0003-OOOO.OOOO.OOOF.OO
49.0003.0000.0000.000c.00
49.0001.0000.0000.000D.00
interface EthernetO
ip address 140.100.96.1 255.255.255.0
ip router isis
isis circuit-type level-1
i
interface SerialO
ip address 140.100.64.1 255.255.255.0
ip router isis
www.FreeLibros.com
IS-IS
en u n entorno
146
©RA-M A
REDES CISCO. CCNP a Fondo
encapsulation frame-relay
frame-relay map clns 629 broadcast
IMaps DLCI to the clns process of Router C
frame-relay map clns 931 broadcast
!Map DLCI to the clns process of Router B
frame-relay map ip 140.100.64.2 931 broadcast
IMaps DLCI to the Destination IP address of Router B
frame-relay map ip 140.100.64.3 629 broadcast
IMaps DLCI to the Destination IP address of Router C
isis circuit-type level-2-only
¡
router isis
net 49.0001.0000.0000.000a.00
El comando frame-relay map ip mapea la dirección IP de destino a través
del DLCI de salida y define la interfaz como broadcast. IS-IS utiliza los enlaces
como si fueran enlaces broadcast eligiéndose un DIS.
El comando frame-relay map clns mapea un DLSI hacia un proceso
CLNS en el router de destino, sin este comando no aparecerán rutas en la tabla de
enrutamiento porque IS-IS no podría recibir tramas IS-IS conteniendo LSP.
La información de IS-IS no viaja en paquetes IP o CLNS, es encapsulada
en una trama similar al CLNS y es fundamental para construir la tabla de
enrutamiento.
Una solución alternativa o incluso superior es definir subinterfaces y
configurar cada una como enlaces punto a punto.
Configuración de punto a punto en una red NBMA
Las configuraciones punto a punto requieren una dirección IP para cada
enlace. Esta es la manera más recomendable de ejecutar IS-IS sobre redes NBMA,
siendo además la única manera de hacerlo en redes que no sean de malla completa.
Las configuraciones son más simples y no se requiere la configuración de
los comandos frame-relay map. Sólo es necesario crear las subinterfaces,
configurarlas como punto a punto, iniciar Frame-Relay, definir los DLSI y, como
es lógico, el proceso IS-IS para cada una de las interfaces.
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 147
El siguiente ejemplo muestra este tipo de configuración. Más abajo se
muestra la configuración en particular del router A.
ROUTER
DIRECCION ISO
A
49.0001.0000.0000.000A.00
49.0002.0000.OOOO.OOOB.OO
49.0003.0000:0000.000C.00
49.0001.0000.0000.000D.00 ■
49.0002.0000.0000.000E.00
49.0003.0000.0000.000F.00
B
C
D
E
F
interface EthernetO
ip address 140.100.96.1 255.255.255.0
ip router isis
i
interface SerialO
no ip address
encapsulation frame-relay
¡Configure Frame Relay for the interface
www.FreeLibros.com
148
©RA-M A
REDES CISCO. CCNP a Fondo
interface SerialO.1 point-to-point
¡Configure subinterface to be point-to-point
ip address 140.100.64.1 255.255.255.0
ip router isis
frame-relay interface-dlci 629
¡Define the DLCI to the destination
interface SerialO.2 point-to-point
! Configure subinterface as point-to-point
ip address 140.100.32.1 255.255.255.0
ip router isis
Frame-relay interface-dlci 931
! Defines DLCI to the destination
i
Router isis
net 49.0001.0000.0000.000a.00
VERIFICACIÓN IS IS
Los siguientes comandos son sumamente útiles para la verificación de IS­
IS. Las sintaxis de estos comandos está basada en la siguiente topología y en la
configuración del router A:
www.FreeLibros.com
CAPÍTULO 3. IS-IS 149
©RA-MA
ROUTER
A
B
C
D
E
F
DIRECCIÓN ISO
49 .OOOI.OOOO.OOOO.OOOA.OO
49.0002.0000.0000.000B.00
49.0003.0000.0000.000c.00
49.0001.0000.0000.000D.00
49.0002.0000.0000.OOOE.OO
49.0003.0000.0000.000F.00
interface EthernetO
ip address 140.100.96.1 255.255.255.0
ip router isis
isis circuit-type level-1
i
interface SerialO
no ip address
encapsulation frame-relay
i
interface SerialO.1 point-to-point
ip address 140.100.64.1 255.255.255.0
ip router isis
isis circuit-type level-2-only
frame-relay interface-dlci 629
i
interface SerialO.2 point-to-point
ip address 140.100.32.1 255.255.255.0
ip router isis
isis circuit-type level-2-only
frame-relay interface-dlci 931
i
router isis
net 49.0001.0000.0000.000a.0
show clns neighbors: muestra el contenido de la tabla de vecinos y el
estado de la tabla de enlace. EL SNPA es la dirección MAC de la interfaz.
show clns area-tag neighbors [type number]
Campo
[area]
[detail]
Descripción
area-tag
Nombre del proceso IS-IS multiproceso.
type number
Opcional, define el tipo y número de interfaz.
Area
Opcional, muestra las adyacencias CLNS multi-área.
detail
Opcional, muestra detalles sobre cada adyacencia.
www.FreeLibros.com
150
©RA-M A
REDES CISCO. CCNP a Fondo
RouterA#show clns neighbors
System Id
Interface
SNPA
State Holdtime
0000.0000.000B Se0.2
DLCI 931 Up 22
0000.0000.000C SeO.l
DLCI 629 Up 23
0000.0000.000D EtO
OOeO.Ie3d.d56f Up 8
Type
L2
L2
Ll
Protocol
IS-IS
IS-IS
IS-IS
Este comando es útil para verificar de manera rápida la conectividad,
muestra todos los vecinos, los DLCI, el tipo de nivel, etc. Si se requiere mayor
profundidad en los datos se puede utilizar el comando show clns neighbor detail.
También es útil para verificar el esquema de direccionamiento de la red.
RouterA#show clns neighbor detail
System Id Interface SNPA State Holdtime Type Protocol
0000.0000.000B Se0.2 DLCI 931 Up 27 L2 IS-IS
Area Address(es): 49.0002
IP Address(es): 140.100.32.2*
Uptime: 00:05:17
0000.0000.000C SeO.l DLCI 629 Up 28 L2 IS-IS
Area Address(es): 49.0003
IP Address(es): 140.100.64.3*
Uptime: 00:05:22
0000.0000.000D EtO 00e0.le3d.d56f Up 7 Ll IS-IS
Area Address(es): 49.0001
IP Address(es): 140.100.96.2*
Uptime: 00:15:01
Campo
Descripción
System ID
Dirección del Sistema (6 bytes).
Interface
Interfaz en la que el vecino fue conocido.
SNPA
Punto de unión a subred (dirección data-link).
State
Los estados son los siguientes:
•
Init. Inicializando. El router está
esperando por un mensaje helio de IS-IS.
•
Up. El otro Sistema es alcanzable.
•
Down. El otro Sistema no es alcanzable.
Holdtime
Segundos antes de que la adyacencia expire.
Type
Tipos de adyacencia, incluye:
•
ES: adyacencia del sistema final.
•
Router adjacency: descubierta vía ES-IS o
estáticamente configurada.
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 151
Ll
Muestra las adyacencias Level 1 (opcional).
L1L2
Muestra las adyacencias Level 1 y Level 1-2
(opcional).
L2
Muestra las adyacencias Level 2 (opcional).
Protocol
El protocolo de enrutamiento usado para
aprender la adyacencia (ES-IS, IS-IS, ISO
IGRP, Static, o DECnet).
show clns interface: configuraciones deficientes en las interfaces provocan
que no se establezcan adyacencias. Normalmente es un problema de desigualdad de
los parámetros utilizados. Estas configuraciones pueden ser vistas con el comando
show clns interface.
Router#show clns Interface [type number]
RouterA#show clns interface
EthernetO is up, line protocol is up
Checksums enabled, MTU 1497, Encapsulation SAP
ERPDUs enabled, min. interval 10 msec.
CLNS fast switching enabled
CLNS SSE switching disabled
DEC compatibility mode OFF for this interface
Next ESH/ISH in 47 seconds
Routing Protocol: IS-IS
Circuit Type: level-1-2
Interface number 0x0, local circuit ID 0x1
Level-1 Metric: 10, Priority: 64, Circuit ID: A.01
Number of active level-1 adjacencies: 0
Level-2 Metric: 10, Priority: 64, Circuit ID A.01
Number of active level-2 adjacencies: 1
Next IS-IS LAN Level-1 Helio in 1 seconds
Next IS-IS LAN Level-2 Helio in 1 seconds
SerialO is up, line protocol is up
CLNS protocol processing disabled
SerialO.1 is up, line protocol is up
Checksums enabled, MTU 1500, Encapsulation FRAME-RELAY
ERPDUs enabled, min. interval 10 msec.
CLNS fast switching disabled
CLNS SSE switching disabled
DEC compatibility mode OFF for this interface
Next ESH/ISH in 58 seconds
Routing Protocol: IS-IS
Circuit Type: level-1-2
Interface number 0x1, local circuit ID 0x100
Level-1 Metric: 10, Priority: 64, Circuit ID: A.00
www.FreeLibros.com
152
©RA-M A
REDES CISCO. CCNP a Fondo
Number of active level-1 adjacencies: 0
Level-2 Metric: 10, Priority: 64, Circuit ID: A . 00
Number of active level-2 adjacencies: 1
Next IS-IS Helio in 2 seconds
SerialO.2 is up, line protocol is up
Checksums enabled, MTU 1500, Encapsulation FRAME-RELAY
ERPDUs enabled, min. interval 10 msec.
CLNS fast switching disabled
CLNS SSE switching disabled
DEC compatibility mode OFF for this interface
Next ESH/ISH in 24 seconds
Routing Protocol: IS-IS
Circuit Type: level-1-2
Interface number 0x2, local circuit ID 0x101
Level-1 Metric: 10, Priority: 64, Circuit ID: A . 00
Number of active level-1 adjacencies: 0
Level-2 Metric: 10, Priority: 64, Circuit ID: A.00
Number of active level-2 adjacencies: 1
Next IS-IS Helio in 886 milliseconds
Campo
Descripción
Checksum
Puede estar habilitado o deshabilitado.
MTU
Tamaño máximo de un paquete transmitido en
esta interfaz.
Encapsulation
La encapsulación es siempre SAP (ISOl).
Routing Protocol
Indica si está funcionando ES-IS o IS-IS además
del tipo de helio enviados.
Circuit Type
Muestra si el enlace está habilitado para Level 1,
Level 1-2 o Level 2 de routing.
Level-1 Metric
Valor de la métrica de la interfaz de salida para
routing Level-1. Por defecto es 10.
Priority
La configuración de la prioridad para la elección
del DIS, por defecto es 64.
Circuit ID
Identifica el DIS para Level 1 en caso de que
esté presente.
Number of Active Level-1
Adjacencies
Número de adyacencias de Level 1 formadas en
este enlace.
Level-2 Metric
Valor de la métrica de la interfaz de salida para
routing Level-2. Por defecto es 10.
Priority
La configuración de la prioridad para la elección
del DIS.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 153
©RA-MA
Circuit ID
Identifica el DIS para Level 2 en caso de que
esté presente.
Number of Active Level-2
Adjacencies
Número de adyacencias de Level 2 formadas en
este enlace.
Next IS-IS LAN Level-1
Helio
Número de segundos antes de que el próximo
helio sea esperado.
Next IS-IS LAN Level-2
Helio
Número de segundos antes de que el próximo
helio sea esperado.
show isis database: muestra las LSP almacenadas en la base de datos
local. El ID del LSP muestra el System ID del router que la ha generado y si
pertenece a un router o un seudo-nodo. La base de datos debe ser idéntica dentro
del mismo nivel y área.
show isis area-tag database
[lspid]
[level-1]
[level-2]
[11]
[12]
[detail]
Descripción
Campo
area-tag
Nombre del proceso.
level-1
Muestra la base de datos de estado de enlace para
nivel 1, es opcional.
level-2
Muestra la base de datos de estado de enlace para
nivel 2, es opcional.
11
Opcional, es la abreviatura para nivel 1.
12
Opcional, es la abreviatura para nivel 2.
detail
Es opcional y muestra cada LSP.
lspid
Identifica la PDU de estado de enlace y muestra el
contenido específico de LSP, es opcional.
RouterA#show isis database
IS-IS Level-1 Link State Database:
LSPID
LSP Seq Num
LSP Checksum LSP Holdtime ATT/P/OL
A.00-00
* 0x00000017
0x76D5
876
1/0/0
IS-IS Level-2 Link State Database:
LSPID
LSP Seq Num
LSP Checksum LSP Holdtime ATT/P/OL
www.FreeLibros.com
154
©RA-M A
REDES CISCO. CCNP a Fondo
A.00-00
* 0x00000018
0000.0000.000B.00-00 OxOOOOOOlA
0000.0000.000B.01-00 0x00000016
C.00-00
OxOOOOOOlE
C.01-00
0x00000002
0000.0000.000E.00-00 0x00000018
0000.0000.000D.00-00 OxOOOOOOlA
0000.0000.000D.04-00 0x00000017
Campo
0xB74F
0xB561
0x6045
0x6267
0xF25F
OxOlOA
0x4l3C
OxFCAO
881
872
1095
869
958
858
985
1006
0/0/0
0/0/0
0/0/0
0/0/0
0/0/0
0/0/0
0/0/0
0/0/0
Descripción
LSPID
Indica el router que está transmitiendo. El System
ID es seguido por dos octetos. Si el primer octeto es
mayor que 0x00 indica que es el DIS. El último
octeto indica que si el valor es 0x00 el LSP ha sido
enviado completo, de lo contrario será un
fragmento.
LSP Seq Num
Número de secuencia del LSP. Asegura la
integridad de la base de datos al llevar un control de
las secuencias de recibo.
LSP Checksum
Control para el paquete LSP completo.
LSP Holdtime
Período de tiempo en el que el LSP se mantiene
válido. Se mide en segundos. Si tiene un valor 0
indica que ha sido purgado y que está siendo
borrado de la base de datos de estado de enlace.
ATT
El LSP indica que es un router de nivel 2 con rutas
fuera del área. Los routers de nivel 1 lo utilizan para
identificar el router de nivel 1-2 más cercano, al que
envían datos fuera del área.
P
“Partition repair capability”, no soportado por
Cisco.
OL
Overload o sobrecarga, indica que el router tiene la
base de datos completa debido a una sobrecarga de
memoria.
show isis database detail: este comando muestra el LSP completo y los
campos correspondientes de manera individual.
www.FreeLibros.com
©RA-MA
CAPÍTULO 3. IS-IS 155
La siguiente sintaxis muestra una salida de este comando, se puede
observar cada LSP, su área y la dirección IP de la interfaz que está transmitiendo
además del coste para las rutas IP conocidas. La métrica por defecto es 10, es decir,
que una métrica de 20 indica que el prefijo está a dos saltos de distancia.
isis database detail
IS-IS Level-1 Link State Database:
LSPID
LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL
A . 00-00
* 0x00000017 0x76D5
873
1/0/0
Area Address: 49.0001
NLPID :
OxCC
RouterA#show
Hostname:A
IP Address:
Metric: 10
Metric: 10
Metric: 10
Metric: 10
140.100.32.1
IP 140.100.96.0 255.255.255.0
IP 140.100.64.0 255.255.255.0
IP 140.100.32.0 255.255.255.0
IS A.01
IS-IS Level-2 Link State Database:
LSPID
LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL
A. 00-00
* 0x00000018 0xB74F
877
0 / 0/0
Area Address: 49.0001
OxCC
NLPID:
Hostname: A
IP Address: 140.100.32.1
IS 0000.0000.000B.00
Metric: 10
IS C.00
Metric: 10
IS 0000.0000.000D.04
Metric: 10
IP 140.100.96.0 255.255.255.0
Metric: 10
IP 140.100.64.0 255.255.255 0
Metric: 10
IP 140.100.32.0 255.255.255 0
Metric: 10
0000.0000.000B.00-00 OxOOOOOOlA 0xB561
Area Address: 49.0002
OxCC
NLP I D :
140.100.16.2
IP Address
IS A.00
Metric: 10
IS C.00
Metric: 10
IP 140.100.104
255.255.255
Metric: 10
IP 140.100.105
Metric: 20
255.255.255
IP 140.100.106.0 255.255.255.
Metric: 20
IP 140.100.107.0 255.255.255.
Metric: 20
IP 140.100.32.0 255.255.255.0
Metric: 10
IP 140.100.16.0 255.255.255.0
Met r i c : 10
0000.0000.000B.01-00 0x00000016 0x6045
Metric: 0
IS 0000.0000.000B.00
Metric: 0
IS 0000.0000.000E.00
C.00-00 OxOOOOOOlE 0x6267 863 0/0/0
Area Address: 49.0003
NLPID:
OxCC
Hostname: C
IP Address: 140.100.100.1
www.FreeLibros.com
868 0 / 0/0
1089 0/0/0
156
©RA-M A
REDES CISCO. CCNP a Fondo
Metric:
10 IS C.02
Metric:
10 IS A.00
Metric:
10 IS 0000.0000.000B.00
Metric:
10 IP 140.100.100.0 255.255.255.0
Metric:
10 IP 140.100.64.0 255.255.255.0
Metric:
10 IP 140.100.16.0 255.255.255.0
C.01-00
0x00000002 0xF25F
Metric: 0 IS C.00
0x00000018 OxOlOA 850 0/0/0
Area Address: 49.0002
0000.0000.000E.00-00 NLPID: OxCC
IP Address: 140.100.105.1
M e t r i c : 10
IS 0000.0000.000B.01
M e t r i c : 10
IP 140.100.104.0 255.255.255.0
M e t r i c : 10
IP 140.100.105.0 255.255.255.0
M e t r i c : 10
IP 140 100.106.0 255.255.255.0
M e t r i c : 10
IP 140 100.107.0 255.255.255.0
M e t r i c : 20
IP 140 100.32.0 255.255.255.0
M e t r i c : 20
IP 140 100.16.0 255.255.255.0
0000.0000.000D.00-00 OxOOOOOOlA 0x413C
Area Address: 49.0003
NLPID:
OxCC
IP Address: 140.100.97.1
Metric: 10
IS 0000.0000.000D.04
Metric:
10 IP 140.100.96.0 255.255.255.0
Metric:
10 IP 140.100.97.0 255.255.255.0
Metric:
10 IP 140.100.98.0 255.255.255.0
Metric:
10 IP 140.100.99.0 255.255.255.0
0000.0000.000D.04-00 0x00000017 OxFCAO
Metric: 0
IS 0000.0000.000D.00
Metric: 0
IS
A . 00
Campo
951 0/0/0
976 0/0/0
996 0/0/0
Descripción
Area
Address
Direcciones de área que pueden ser alcanzadas
desde este router.
Metric
Muestra el coste entre la interfaz de salida y el
vecino advertido o la suma del coste del router
que está advirtiendo y el vecino advertido.
www.FreeLibros.com
CAPÍTULO 3. IS-IS 157
©RA-MA
RESOLUCIÓN d e
fallo s
EN IS-IS
A pesar de planificarse al máximo, las configuraciones pueden estar mal
planteadas o fallar. Los siguientes comandos ayudan a solucionar los problemas
que pueden surgir ante estas situaciones.
Show isis spf-log: con este comando se pueden conocer los eventos que
han generado recálculos SPF para las últimas 20 acciones. El siguiente ejemplo
muestra que el router A envió una LSP y que posteriormente repitió la operación al
establecer nuevamente las adyacencias.
RouterA#show isis spf-log
Level 1 SPF log
When Duration Nodes Count
1
A. 00-00
1
0
04:23:24
1
1
0
04:08:46
1
1
0
03:53:46
1
1
0
03:38:46
1
1
0
03:23:46
1
1
0
03:08:46
1
1
0
02:53:46
TLVCODE
PERIODIC
PERIODIC
PERIODIC
PERIODIC
PERIODIC
PERIODIC
1
1
PERIODIC
0
1
1
PERIODIC
0
1
1
PERIODIC
0
2
A. 00-00 ATTACHFLAG LSPHEADER
0
1
PERIODIC
1
1
0
Level 2 SPF log
When Duration Nodes Count
1
1
PERIODIC
0
03:53:48
PERIODIC
1
1
0
03:38:48
PERIODIC
1
1
0
03:23:48
PERIODIC
1
1
0
03:08:48
PERIODIC
1
1
0
02:53:48
PERIODIC
1
1
0
02:38:48
00:53:46
00:38:47
00:23:47
00:15:14
00:08:46
00:38:48
00:23:48
00:15:22
00:08:48
00:05:44
00:05:38
TLVCONTENT
0
0
0
0
4
4
1
1
3
3
4
7
1
1
5
1
4
5
PERIODIC
PERIODIC
A. 00-00 NEWÁDJ LSPHEADER TLVCONTENT
PERIODIC
A. 00-00 NEWADJ TLVCONTENT
0000.0000.000B.00-00
LSPHEADER
www.FreeLibros.com
158
REDES CISCO. CCNP a Fondo
Campo
©RA-M A
Descripción
When
Es el período de tiempo desde que se produjo un recálculo SPF.
Muestra las últimas 19 acciones enhh:mm:ss.
Duration
Milisegundos que se tardó en ejecutar dicha acción SFP.
Nodes
Cantidad de routers y seudo-nodos calculados en la ejecución de
SPF.
Count
Cantidad de eventos ocurridos antes de ejecutar un SFP completo.
trigger LSP
Cuando un cálculo completo de SPF ocurre, el ID del LSP se guarda.
Triggers
Lista de todos los eventos que activaron un cálculo completo de
SPF.
Comandos debug: este comando es una potente herramienta para la
resolución y análisis de problemas, pero, como siempre, se indica con la cantidad
suficiente de proceso como para dejar sin capacidad de memoria y CPU al router.
Los comandos debug se describen en la siguiente tabla y para desactivarlos bastará
con interponer un No al comando que lo habilitó. Un recurso interesante es
redirigir los archivos log debido a que cada carácter que se envíe a la consola
genera una interrupción en el procesador.
Comando
debug isis
adj acenciespackets
Descripción
Muestra toda la actividad relativa a las
adyacencias. Paquetes helio enviados y
recibidos y cambios de las adyacencias en
IS-IS.
debug isis spfstatistics
Muestra las estadísticas sobre la elaboración
de rutas entre los routers.
debug isis updatepackets
Muestra los SNP y los LSP detectados por el
router.
www.FreeLibros.com
Capítulo 4
IMPLEMENTACIONES CON CISCO IOS
REDISTRIBUCIÓN
Los protocolos de enrutamiento presentan diferentes ventajas y desventajas
en distintas situaciones. Un protocolo soportado por dispositivos antiguos como
puede ser RIP, que no soporta la operación de classless, puede ser perjudicial en un
entorno de núcleo donde pueden convivir protocolos como OSPF, IS-IS o EIGRP.
Es lógico pensar que la mayoría de las empresas utilicen el protocolo más
apropiado para su organización y que incluso deban ser varios de tipos diferentes.
La información de enrutamiento entre protocolos diferentes debe ser adaptada a
cada uno de ellos, es lo que se llama redistribución.
La redistribución es un proceso complejo, es importante comprender la
operación de este proceso y cómo afecta al funcionamiento de la red.
Cada protocolo de enrutamiento dentro de un sistema autónomo (AS) es un
dominio de enrutamiento. Las rutas redistribuidas dentro'de un dominio de
enrutamiento se llaman rutas externas, mientras que las rutas nativas a ese dominio
son las rutas internas.
La métrica es el proceso principal de selección de rutas para un protocolo
de enrutamiento. Por lo tanto habrá que asumir parámetros por defecto para que
dichas métricas sean aceptadas por otros protocolos de enrutamiento cuando exista
un proceso de redistribución.
www.FreeLibros.com
160
©RA-M A
REDES CISCO. CCNP a Fondo
Al efectuar la redistribución el router ejecuta dos pasos básicos:
1. El router busca en sus tablas de enrutamiento todas las rutas del
protocolo origen y las envía al protocolo destino.
2. El router busca todas las interfaces que están asociadas al proceso de
enrutamiento y las envía al protocolo destino.
La siguiente figura muestra una topología con varios routers que utilizan
diferentes protocolos de enrutamiento. El router B tiene entradas de RIP y OSPF.
El router C está conectado utilizando EIGRP, pero este protocolo sólo sirve para el
enlace entre B y C, no propagará rutas que no sean EIGRP. Las actualizaciones de
RIP enviadas por las interfaces no incluyen redes de OSPF ni entradas de EIGRP.
El router C tiene sólo redes directamente conectadas, y aunque EIGRP ha
sido configurado, sólo propagará las rutas directamente conectadas vía EIGRP y
utilizará una ruta por defecto apuntando hacia el router B.
La redistribución sólo es viable para procesos de enrutamiento que utilizan
el mismo sistema de enrutamiento, es decir, que sólo se puede redistribuir entre
protocolos que utilizan IPv4 o IPv6, por ejemplo OSPF con EIGRP o RIP en IPv4
y RIPng con OSPFv3.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
Protocolo de
enrutamiento
161
Políticas de Redistribución
Static
Requiere redistribución manual dentro de los
demás protocolos de enrutamiento.
Connected
A menos que esté incluida en el comando network
del
proceso
de
enrutamiento,
requiere
redistribución manual.
RIP
Requiere redistribución manual.
EIGRP
Redistribuirá automáticamente entre IGRP y
EIGRP si el número de sistema autónomo es el
mismo. De otra forma requiere redistribución
manual.
OSPF
Requiere redistribución manual entre diferentes
procesos de OSPF y otros protocolos.
IS-IS
Requiere redistribución manual.
BGP
Requiere redistribución manual.
La siguiente figura ilustra el proceso de redistribución dentro de una misma
organización. Las principales razones para tener múltiples protocolos son:
•
La organización está en proceso de tránsito de un protocolo de
enrutamiento a otro.
•
La empresa quiere pasar de varios protocolos de enrutamiento a uno
sólo.
•
Luego de una fusión entre empresas se requiere un análisis del mejor
diseño de red.
•
Existen varios administradores de red que aún no han unificado
criterios de enrutamiento.
•
Si el dominio de enrutamiento es grande los diferentes entornos pueden
tener distintos tipos de necesidades, haciendo que un único protocolo
sea inadecuado. Por ejemplo, EIGRP dentro de la empresa y BGP para
conectar diferentes centros.
www.FreeLibros.com
162
©RA-M A
REDES CISCO. CCNP a Fondo
Funciones de enrutamiento que afectan a la redistribución
La redistribución es la respuesta para dar solución para ejecutar múltiples
protocolos dentro de una red y mantener la conexión dentro de la misma. Antes de
establecer distribuciones es necesario conocer posibles problemas que pueden
surgir, hay que conocer el funcionamiento de los protocolos y cómo seleccionan las
rutas para ser agregadas a la tabla de enrutamiento.
Las métricas y la redistribución
Existen diferentes protocolos de enrutamiento para IP y cada uno utiliza
métricas diferentes. Si dos protocolos necesitan compartir información por medio
de la redistribución hay que tener en cuenta las diferencias entre las métricas. Al
redistribuir el protocolo que recibe la información no tiene un punto de referencia
para la métrica, como es el caso de RIP que no soportaría una métrica de 856. No
existe la forma de que los algoritmos puedan comparar la métrica entre diferentes
protocolos. Cuando las rutas son aceptadas dentro de un nuevo protocolo hay que
establecer una métrica de partida para poder calcular la métrica de este nuevo
protocolo.
La métrica de partida (también llamada semilla) se asigna a todas las rutas
recibidas dentro de un proceso a través de la redistribución. Esta métrica es
incrementada desde ese punto a través de todo el protocolo de enrutamiento.
Existen valores de métrica por defecto, pero muchas veces ese valor por defecto
impide que las rutas entren en la tabla de enrutamiento.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
Protocolo
EIGRP
Métrica base
Infinita
163
Acción
La ruta no es añadida a la
tabla de enrutamiento
IS-IS
0
La ruta es añadida a la tabla
de enrutamiento
OSPF
20 para tipo 2, para
las a BGP es 1
La ruta es añadida a la tabla
de enrutamiento
BGP
MED se toman los
valores del IGP
La ruta es añadida a la tabla
de enrutamiento
Selección de rutas a través de protocolos de enrutamiento
Cuando los protocolos tienen rutas hacia iguales destinos remotos el
proceso de enrutamiento debe decidir qué camino incluir dentro de la tabla de
enrutamiento.
Tomando en cuenta que las métricas difieren de un protocolo a otro, esta
selección se realiza basándose en la distancia administrativa. Recuerde que los
routers prefieren siempre la menor distancia administrativa.
Cuando se redistribuye dentro de protocolos de enrutamiento IP existen
algunas consideraciones a tener en cuenta:
•
Si se está ejecutando más de un protocolo de enrutamiento, la tabla de
enrutamiento incluirá la ruta con la distancia administrativa menor.
•
Los protocolos de enrutamiento sólo podrán redistribuir las rutas que
conocen, por ejemplo si se redistribuye RIP en EIGRP, la tabla de
enrutamiento debe tener una entrada para la red de RIP.
•
Cuando una ruta es redistribuida, adquiere la distancia administrativa
del nuevo protocolo.
•
Las rutas redistribuidas son denominadas externas.
www.FreeLibros.com
164
©RA-MA
REDES CISCO. CCNP a Fondo
Posibles problemas al redistribuir
Un sistema de direccionamiento IP jerárquico diseñado para permitir un
crecimiento de la red combinado con un simple protocolo de enrutamiento que
tenga la capacidad de soportar dicho crecimiento, proporciona una red rápida,
estable y confiable. Sin embargo es difícil encontrar redes que sólo ejecuten un
sólo protocolo de enrutamiento, para esos casos es necesario recurrir a la
redistribución.
Las soluciones a los problemas ocasionados a partir de la redistribución
son difíciles de detectar, debido a que los síntomas aparecen muchas veces lejos de
donde se ha configurado el error. Los problemas originados como resultado de una
redistribución incorrecta son los siguientes:
•
Bucles de enrutamiento, los routers envían la información de
enrutamiento recibida de un AS dentro de ese mismo sistema
autónomo.
•
Elección de rutas menos óptimas debido a las diferentes métricas de
enrutamiento.
•
El tiempo de convergencia se incrementa debido a las diferentes
tecnologías involucradas. Si los diferentes protocolos de enrutamientos
convergen en diferentes tiempos puede hacer que se pierdan redes de
manera temporal.
•
El proceso de la toma de decisiones y la información enviada por
algunos protocolos podría ser incompatible con otros protocolos
generando errores y configuraciones complejas.
Solución de problemas al redistribuir
Los bucles de nivel 3 ocurren cuando un protocolo de enrutamiento
redistribuye rutas dentro de otro protocolo y recibe esas mismas rutas de vuelta.
Este proceso se llama retroalimentación de rutas (route feedback). Debido a que la
métrica es puesta a cero cuando se ejecuta laredistribución, elprotocolo de
enrutamiento podría verlo como una ruta másadecuada, creándose una enorme
confusión.
Este problema puede solucionarse con las siguientes configuraciones:
•
Cambiar la métrica.
•
Cambiar la distancia administrativa.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
•
Usar rutas por defecto.
•
Utilizar interfaces pasivas con rutas estáticas.
•
Utilizar litas de distribución.
165
Más adelante se detallarán las configuraciones de estas soluciones.
Restringir la información enviada a través de varios dominios es muchas
veces necesario debido a la complejidad de la red reduciendo así la posibilidad de
un bucle de enrutamiento. Esto puede hacerse mediante listas de acceso (ACL).
Teniendo en cuenta que la distancia administrativa no tiene referencias con la
métrica, muchas veces la ruta elegida no es la de mejor métrica. Ladistancia
administrativa se puede cambiar manualmente con* especial cuidado debidoa que
se está manipulando la manera natural que tiene el router de seleccionar las rutas.
Esto no debe cambiar los patrones de tráficos estipulados dentro de la
organización.
El siguiente comando cambia la distancia administrativa dentro de un
protocolo:
Router (conf ig-router )# distance weight [network wi Idear d-mask]J
Recuerde que para las rutas estáticas la distancia administrativa es un valor
opcional que se coloca al final del comando:
Router(config)# ip route network [mask] {address \ interface}
[distance]
Además de los bucles de enrutamiento otro de los problemas que pueden
surgir al redistribuir es el enrutamiento menos adecuado o con peor métrica (subóptimo). Por ejemplo, la distancia administrativa selecciona una ruta menos
adecuada cuando existe una red directamente conectada que como un enlace de
backup. Aunque éste es un problema de la distancia administrativa, es importante
que esa ruta menos adecuada o con peor métrica no sea propagada dentro del
protocolo de enrutamiento al ejecutar la redistribución.
Al diseñar una red es necesario tener en cuenta los siguientes pasos cuando
se configura la redistribución para evitar los problemas antes mencionados:
•
Hay que tener claro y poseer la documentación necesaria de:
o
o
o
La topología de la red, física y lógica,
Los dominios de los protocolos de enrutamiento.
El flujo del tráfico.
www.FreeLibros.com
166
©RA-MA
REDES CISCO. CCNP a Fondo
•
No solapar protocolos de enrutamiento. Es mucho más fácil separarlos
en diferentes dominios con router actuando como ABRS (OSPF)
separando dichos dominios. Esto es lo que se llama comúnmente
protocolos de core y protocolos edge.
•
Identificar los routers frontera en los cuales se configurará la
redistribución.
•
Determinar cuál será un protocolo de core y cuál un protocolo edge.
•
Determinar
•
Si se utiliza redistribución bidirecional habrá que tener en cuenta los
siguientes mecanismos:
o
o
o
dentro de qué protocolo se van a redistribuir las rutas.
Configurar la métrica manualmente,
Configurar la distancia administrativa manualmente,
Utilizar listas de acceso.
Los problemas de los tiempos de convergencia son una de las mayores
preocupaciones que existen en un entorno de red. Existen protocolos opuestos tales
como RIP, que es muy lento para converger, y EIGRP, que es considerado uno de
los más rápidos. Al compartir información entre ambos podrían generarse
problemas al redistribuir. La red converge a la velocidad del protocolo más lento,
en ciertos puntos esto podría causar timeout y bucles en la red. Habrá que calcular
y ajustar los temporizadores para solventar estos problemas. Cualquier
configuración en el protocolo de enrutamiento debe hacerse con un total
conocimiento de toda la red y de los routers que deben ser configurados. Como
norma general los temporizadores deben ajustarse con los mismos valores en todos
los routers de la red.
El proceso de toma de decisiones y el mecanismo en que la información
viaja dentro de los protocolos podría ser incompatible y no fácilmente
intercambiado generando errores y configuraciones complejas. Cada protocolo de
enrutamiento mantiene parámetros específicos propios, entre los cuales se incluyen
las métricas. Parte de la función de la redistribución es administrar estos
parámetros entre protocolos de enrutamiento de la mejor manera posible.
Esto se ve reflejado cuando la métrica de un protocolo difiere en su
constitución con el otro. Al redistribuir dentro de OSPF con EIGRP la métrica de
OSPF (coste) se debe redistribuir a varios valores que utiliza EIGRP (bandwidth,
load, reliability, delay y MTU) esto puede ser muy limitante. De manera inversa
cuando se redistribuye dentro de EIGRP la opción de configuración de la métrica
suele ser ajuicio de los administradores ya que existen varias posibilidades y habrá
que encontrar la que mejor adapte el único valor de OSPF a los cinco de EIGRP.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
167
CONTROL DE LAS ACTUALIZACIONES DE
ENRUTAMIENTO DURANTE LA REDISTRIBUCIÓN
Controlar las actualizaciones de enrutamiento puede se beneficioso por las
siguientes causas:
•
Para ocultar parte de la red al resto de la organización, creando un
ámbito seguro.
•
Para prevenir bucles de enrutamiento.
•
Para controlar la sobrecarga de red.
Existen varios métodos para controlar el tráfico de enrutamiento cuando se
redistribuye:
•
Interfaces pasivas.
•
Rutas estáticas.
•
Rutas por defecto.
•
Las interfaces nuil.
•
Listas de distribución.
•
Mapas de rutas.
Interfaz pasiva: una interfaz pasiva no participa en el proceso de
enrutamiento. En RIP el proceso escucha pero no envía actualizaciones de
enrutamiento en una interfaz que es pasiva. En OSPF y EIGRP no se envían helio,
por lo tanto nunca se podrán formar relaciones de vecindad a través de la interfaz
pasiva.
La interfaces que participan en el proceso de enrutamiento son controladas
por la configuración de la interfaz, dicha configuración instruye al proceso de
enrutamiento para que sepa qué interfaces utilizar p o r. medio del comando
network. El comando passive interface es útil para deshabilitar el proceso de
enrutamiento en interfaces específicas y ayuda a prevenir bucles.
Rutas estáticas: una ruta estática es la que fue configurada manualmente.
Estas toman mayor preferencia a las aprendidas dinámicamente a través de un
protocolo de enrutamiento por su menor distancia administrativa.
www.FreeLibros.com
168
©RA-M A
REDES CISCO. CCNP a Fondo
Las rutas estáticas no son del todo prácticas en un entorno amplio ya que
no pueden aprender dinámicamente los cambios en la topología de la red. Sin
embargo para entornos pequeños o redes stub (con una sola entrada/salida) es una
solución ventajosa.
En lugar de redistribuir toda la tabla de enrutamiento entre protocolos las
rutas estáticas son definidas y redistribuidas. De esta manera se mantiene un
estricto control sobre el tráfico de la red. Este escenario es típico cuando BGP y un
IGP necesitan intercambiar información.
Las mejores razones para utilizar rutas estáticas son:
•
Si solamente existe una sola ruta no hay necesidad de utilizar un
protocolo de enrutamiento.
•
Si entre dos sistemas autónomos no se necesita intercambiar toda la
información de enrutamiento, sólo son imprescindibles algunas pocas
rutas.
•
Para cambiar la máscara de la red. Se puede crear estáticamente una
supemet y redistribuir la ruta estática dentro del proceso de BGP.
•
Para redistribuir desde un protocolo que es capaz de entender las
VLSM a uno que no posee dicha capacidad.
Rutas por defecto: también llamadas rutas de último recurso, son las
configuradas como 0.0.0.0 máscara 0.0.0.0 y son el último recurso en la tabla de
enrutamiento, el router la elegirá a menos que no exista otra más específica.
Las rutas por defecto reducen sobrecarga en la red y complejidad, además
ayudan a prevenir bucles especialmente cuando son usadas en lugar de la
redistribución.
Un protocolo de enrutamiento puede usar una ruta por defecto apuntando
hacia el otro dominio de énrutamiento, como suele ser en un dominio IGP
apuntando a un dominio BGP.
Otro ejemplo típico donde se emplean rutas por defecto son las redes stub
que se conectan a otras redes más grandes.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
169
Ruta estática
EIGRP 120
Ruta por defecto
Frame
Relay ¡
Red Stub
Interfaz nuil: es una interfaz virtual que se encarga de eliminar todo el
tráfico que va destinado hacia ella. Es utilizada como un medio para descartar redes
como una manera de filtro rudimentario o para redistribuir entre protocolos de
enrutamiento classless y classfull. La interfaz nuil es un lugar conveniente para las
sumarizaciones, como se detallará en el capítulo de BGP.
Listas de distribución: son listas de control de acceso que se aplican al
proceso de enrutamiento determinando qué redes se aceptarán en la tabla de
enrutamiento y cuáles podrán ser enviadas. Cuando existe un proceso de
redistribución con otro protocolo es importante controlar la información enviada
dentro de ese proceso. Este control evita la sobrecarga y los bucles, aumenta la
seguridad y ayuda a la administración de la red. Además de impedir elecciones de
rutas menos adecuadas o sub-óptimas. Estas listas de acceso empleadas en conjunto
con un diseño cuidadoso de la red proporcionan un gran control del flujo de tráfico.
Mapas de ruta: son listas de acceso complejas que permiten una
programación condicional. Las listas de distribución son listas de acceso que filtran
actualizaciones de enrutamiento, mientras que los mapas de rutas o route maps
utilizan un criterio de correspondencia para hacer coincidir el tráfico y la función
que se quiere ejecutar sobre él. Con esto se consigue alterar los parámetros dentro
de un protocolo de enrutamiento. El resultado obtenido a través de las listas de
distribución puede ser conseguido de igual manera por los mapas de ruta. Las listas
de distribución son más fáciles de implementar pero no proporcionan tanta
granularidad.
www.FreeLibros.com
170
REDES CISCO. CCNP a Fondo
©RA-M A
Si un paquete o una ruta coinciden con el criterio definido en la declaración
de la lista de acceso, los cambios definidos en el comando set son ejecutados en el
paquete o ruta en cuestión.
En la siguiente figura se observa el router A que posee una lista de
distribución que está denegando la propagación de la red 140.100.32.0 fuera de la
Ethemet3. Se trata de conseguir un margen de seguridad haciendo que esta red no
sea vista por el router B.
Se ha configurado una ruta por defecto para enviar paquetes fuera de la
interfaz SerialO, mientras que una ruta estática envía paquetes fuera de la interfaz
Seriall. La interfaz SerialO provee un camino hacia Internet y las rutas estáticas son
configuradas por el ISP. De esta manera la conectividad hacia el ISP es más simple
que con un enrutamiento dinámico puesto que tratándose de un ISP podría ser
enorme.
La organización tiene una ruta por defecto la cual es utilizada cuando no
existe otra ruta más específica.
En la interfaz Seriall del router A existen rutas estáticas configuradas hacia el
otro router conectado, de tal manera que no necesite tener un protocolo de
enrutamiento ejecutándose. Esto último supone que ese extremo sea una red stub. Por
lo tanto la configuración del router C es simple, demandando pocos recursos del
mismo.
10.10.64.0
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
171
CONFIGURACIÓN DE LA REDISTRIBUCIÓN
La configuración de la redistribución es específica para cada uno de los
protocolos de enrutamiento, por lo tanto siempre se debería consultar las
referencias y recomendaciones de Cisco.
Todos los protocolos requieren los siguientes dos pasos para configurar la
distribución:
1. Iniciar el proceso de la configuración de la redistribución.
2. Definir una métrica por defecto de las rutas redistribuidas.
Los comandos de la redistribución son configurados como sub-comandos
del proceso de enrutamiento. El comando redistribute identifica el protocolo
desde el cual las actualizaciones van a ser aceptadas, es decir, que identifica el
origen de dichas actualizaciones.
Estos comandos constituyen los pasos básicos al implementar la
redistribución. Dependiendo del diseño de la red posiblemente sean necesarios
algunos comandos adicionales. La configuración de la distancia administrativa,
interfaces pasivas y rutas estáticas y por defecto se detallará más adelante.
La siguiente sintaxis configura la redistribución dentro de un protocolo de
enrutamiento:
Router (config-router)# redistribute protocol [process-id] {level-1
|
level-1-2 | level-2} [metric metric-value] [metric-type type-value]
[match {internal | external 1 | external 2}] [tag tag-value] [routemap map-tag] [weight weight] [subnets]
Es un comando sumamente complejo ya que muestra todos los parámetros
de los diferentes protocolos. La siguiente tabla define los campos de este comando:
Definición
Comando
Protocol
Protocolo de enrutamiento que proporciona las rutas.
Puede ser: connected, bgp, eigrp, egp, igrp, isis, isoigrp, mobile, ospf, static o rip.
Process-id
Para BGP, EGP, EIGRP o IGRP, es el número de
Sistema Autónomo. Para OSPF, es el ID del proceso
de OSPF. RIPvl y v2 no lo usan.
www.FreeLibros.com
172
REDES CISCO. CCNP a Fondo
l
©RA-M A
Level-1
Para IS-IS, las rutas nivel 1 son redistribuidas dentro
de otros protocolos de enrutamiento IP
independientemente de las rutas L2.
Level-1-2
Para IS-IS, las rutas nivel 1 y nivel 2 son
redistribuidas dentro de otros protocolos de
enrutamiento IP.
Level-2
Para IS-IS, las rutas nivel 2 son redistribuidas dentro
de otros protocolos de enrutamiento IP
independientemente.
Metric metric-value
Parámetro opcional usado para especificar la métrica
para las rutas redistribuidas. Cuando se redistribuye
en otros protocolos diferentes a OSPF si este valor no
es especificado y el comando default-metric
tampoco ha sido especificado, las rutas tendrán una
métrica infinita y no serán usadas.
Metric-type
type-value
Parámetro opcional de OSPF que especifica el tipo de
enlace externo. Puede ser 1 para rutas externas tipo 1,
o 2 para rutas externas tipo 2. Por defecto es 2.
Match
Parámetro opcional de OSPF que especifica el
criterio por el cual las rutas de OSPF son
redistribuidas en otros dominios de routing. Puede
ser:
internal, redistribuye rutas que son internas,
external 1, redistribuye rutas externas tipo 1.
external 2, redistribuye rutas externas tipo 2.
tag ta g - v a lu e
Opcional. Es un número decimal de 32 bits adjunto a
cada una de las rutas externas. Las tags o etiquetas
pueden ser usadas para comunicar información entre
router frontera de sistemas autónomos. Si no
especificamos ningún valor, el número de. sistema
autónomo remoto es usado para rutas desde BGP y
EGP; para otros protocolos, se usa cero (0).
Route-map
Opcional. Sirve para indicarle al proceso de la
predistribución que un route map ha de ser
referenciado para realizar ciertas acciones (por
ejemplo filtrar ciertas rutas) a las rutas importadas
desde el protocolo de enrutamiento origen al
protocolo de enrutamiento actual.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
map-tag
Identificador opcional de un route map que está
configurado para filtrar las rutas importadas desde el
protocolo de enrutamiento origen al protocolo de
enrutamiento actual.
weight weight
Esta opción asigna el atributo weight de BGP cuando
redistribuimos dentro de BGP. Es un entero entre 0 y
65,535.
subnets
Para OSPF, permite importar rutas con VLSM. Es
extremadamente importante, en caso contrario se
redistribuirá solamente la red classfull.
173
Configuración de la métrica por defecto
La métrica por defecto puede ser configurada de dos maneras diferentes:
1. El comando redistribute permite la asignación de una métrica al
protocolo de enrutamiento redistribuido.
2. U 1ilizar el comando default-metric de tal forma que se le asigna una
m arica por defecto a todas las rutas redistribuidas desde todos los
proiocolos de enrutamiento al protocolo destino.
En caso de que ambos protocolos estén configurados la métrica asignada
por el comando redistribute es el que se toma como referencia. Se utiliza el
comando default-metric si se están redistribuyendo varios protocolos de
enrutamiento debido a que existen protocolos que no redistribuirán las métricas
correctamente con el comando redistribute.
Router(config)# router eigrp 100
Router(config-router)# redistribute rip metric 10000 100 255 1 1500
Router(config-router)# network 140.100.0.0
En la sintaxis anterior se puede observar lo siguiente:
•
El uso del comando redistribute.
•
El proceso de enrutamiento desde el cual las rutas están siendo
aceptadas.
www.FreeLibros.com
174
REDES CISCO. CCNP a Fondo
•
©RA-M A
El parámetro métrica, que en este caso permite que EIGRP asigne una
nueva métrica que todas las rutas que pertenecían a RIP utilizarán
cuando se redistribuyan en EIGRP.
Configuración de la métrica por defecto para OSPF, IS-IS,
RIP o BGP
Es posible redistribuir el protocolo de enrutamiento y mediante el uso de
un comando separado definir la métrica por defecto. No existe ninguna ventaja en
asignar la métrica utilizando el comando redistribute o hacerlo de manera
separada.
IS-IS no puede definir una métrica por defecto. La métrica debe ser
asignada al configurar la redistribución. Si no se asigna ninguna, la de por defecto
tendrá un coste de 0, se le asignará a la ruta y se descartará.
La siguiente sintaxis configura la métrica por defecto para OSPF, RIP o
BGP:
Router(config-router)# default-metric number
Generalmente se recomienda elegir una métrica lo suficientemente grande
como para que las rutas externas no resulten tan interesantes como las rutas
internas.
Si la red tiene 5 saltos se debe pensar en utilizar una métrica de 6 o más.
Asignar métricas por defecto ayuda a prevenir los bucles de enrutamiento.
Configuración de la métrica por defecto en EIGRP
La siguiente sintaxis muestra la configuración de la métrica por defecto en
EIGRP:
Router(config-router)# default-metric bandwidth delay reliability
loading mtu
Normalmente se debería tomar como referencia para estos valores la salida
de una de las interfaces del router con el comando:
Router# show interface
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
175
El significado de los parámetros de configuración se describe en la
siguiente tabla:
Parámetro
Descripción
Bandwidth
El ancho de banda visto en la ruta hacia el destino, en
kilobits por segundo (kbps).
Delay
Delay es una constante que varía en diferentes tipos de
interfaces. Este valor es el retraso acumulado en la ruta
hacia el destino y se mide en décimas de
microsegundos.
Reliability
La probabilidad de una transmisión satisfactoria dada
la historia de la interfaz. Este valor no es usado. Es un
número entre 0 y 255, donde 255 indica que el router
es perfectamente estable y disponible.
Loading
Un número entre 0 y 255, donde 255 indica que la
línea esta 100% cargada. Este parámetro no es usado y
está configurado a 1.
Mtu
El tamaño máximo de paquete que puede viajar a
través de la red. No es usado y está configurado
normalmente a 1500.
En el siguiente ejemplo EIGRP asigna la misma métrica inicial a las redes
que provienen de RIP y OSPF. Este ejemplo no es el más adecuado, requiere
consideraciones especiales y filtrado de actualizaciones de enrutamiento porque
podría producirse retroalimentación de rutas.
Router(config)# router eigrp 100
Router(config-router)# redistribute rip
Router(config-router)# redistribute ospf 10
Router(config-router)# default-metric 10000 100 255 1 1500
Router(config-router)# network 140.100.0.0
www.FreeLibros.com
176
REDES CISCO. CCNP a Fondo
©RA-M A
EIGRP redistribuye 10.1.1.32 desde OSPF, en el otro extremo del dominio
EIGRP está redistribuido dentro de RIP. La red es ahora conocida por todos los
routers independientemente del protocolo de enrutamiento que estén ejecutando.
Para el supuesto caso de que otro router frontera entre el dominio de EIGRP y RIP
escuchara la actualización de la red 10.1.1.32 la redistribuiría dentro del dominio
de EIGRP. El resultado final serán .determinaciones de enrutamiento con peores
métricas y según la topología hasta bucles de enrutamiento.
DISTANCIA ADMINISTRATIVA
Es importante que a las rutas redistribuidas dentro de otro protocolo se les
asigne una métrica apropiada. De igual manera es importante considerar la
posibilidad de controlar la elección que el proceso de enrutamiento hace cuando
tiene diferentes rutas desde diferentes protocolos hacia el mismo destino. En estos
casos la distancia administrativa determina cuál será el protocolo de enrutamiento
que será utilizado en la tabla de enrutamiento. La métrica sólo es relevante en el
proceso de eleección de rutas dentro de un protocolo. Para asegurarse de que la
mejor ruta es la elegida en ciertos casos, será necesario cambiar la distancia
administrativa. La sintaxis del comando dependerá del protocolo en cuestión. Para
EIGRP requiere la configuración de la distancia administrativa tanto a las rutas
externas como a las internas.
Router(config)# distance eigrp internal-distance external-distance
La distancia administrativa interna es la que se aplica a las rutas internas
EIGRP, es decir, las aprendidas desde otro router dentro del mismo sistema
autónomo. La distancia administrativa externa es la que se aplica a las rutas
externas EIGRP, es decir, rutas redistribuidas dentro de EIGRP. Para configurar la
distancia administrativa para el resto de los protocolos IP se utiliza el siguiente
comando:
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
© RA-MA
177
Router(config-router)# distance weight [address mask] [access-listnumber \ ñame] [ip]
Campo
Descripción
weight
Distancia administrativa, valor entre 10 a 255, cuando es 255
indica que el destino es inalcanzable. Los valores entre 0 y 9
son para usos internos.
address
Opcional, asigna una distancia administrativa a las redes que
coincidan con esta dirección IP.
mask
Opcional, es la máscara wildcard para la dirección IP.
a c c e s s - lis t number / ñame
Opcional, número o nombre de la ACL que es aplicada a las
actualizaciones de enrutamiento entrantes. Asigna la
distancia administrativa a las redes permitidas.
ip
Opcional. Especifica rutas derivadas IP para IS-IS.
COMANDOS OPCIONALES PARA CONTROLAR LAS
ACTUALIZACIONES DE ENRUTAMIENTO EN LA
REDISTRIBUCIÓN
En muchas oportunidades es necesario controlar el flujo de las
actualizaciones entre los protocolos de enrutamiento o cuando atraviesan sistemas
autónomos. Las interfaces pasivas, las rutas estáticas y las rutas por defecto son las
herramientas adecuadas para controlar dicho flujo de datos.
Interfaces pasivas: se utiliza en los protocolos de enrutamiento que envían
sistemáticamente actualizaciones a todas las interfaces incluidas dentro del
comando network. Si una de estas interfaces no conecta con otro router es una
pérdida de recursos. Este comando evita esta pérdida de recursos, al mismo tiempo
que se previenen malas configuraciones o vecinos no deseados.
Router(config-router)# passive-interface type number
www.FreeLibros.com
178
©RA-M A
REDES CISCO. CCNP a Fondo
Rutas estáticas: sirven para definir el camino a utilizar añadiendo el
próximo salto al que se enviará el tráfico.
Esta configuración sólo es válida si la dirección IP del próximo salto existe
en la tabla de enrutamiento, de lo contrario debe emplearse la interfaz de salida del
router local. Si la ruta estática debe ser advertida hacia otros routers tendrá que ser
redistribuida.
Router(config)# ip route prefix mask {address | interface}
[distance] [tag tag] [permanent]
Comando
Descripción
prefix
Dirección IP del destino.
mask
Máscara de la dirección IP del destino.
address
Dirección IP del gateway o próximo salto.
interface
Interfaz de salida para llegar a la red destino.
distance
Opcional, distancia administrativa.
tag tag
Opcional, es un valor que se puede utilizar para
que haya coincidencia en los mapas de ruta.
permanent
Especifica que la ruta no será suprimida de la
tabla de enrutamiento a pesar de que la interfaz
asociada se caiga.
Las rutas estáticas en redes punto a punto pueden apuntar a la interfaz de
salida; las configuradas en redes múltiacceso o multipunto tendrán que tener
configurada la dirección del próximo salto.
www.FreeLibros.com
©RA-MA
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
179
Rutas por defecto: en redes grandes existen muchas rutas estáticas que
configurar, esto no sólo conduce a errores iniciales sino que requiere un
mantenimiento exhaustivo. En estos casos se recomienda un enrutamiento
dinámico a través de un protocolo de enrutamiento o alternativamente rutas
estáticas por defecto.
Router (config)# ip route 0.0.0.0 0.0.0.0 {address \ interface}
Estas rutas pueden ser propagadas de manera dinámica en el dominio o ser
configuradas manualmente en los routers. Cuando la ruta por defecto es propagada
por un protocolo de enrutamiento no es necesaria ninguna configuración adicional.
En el caso de RIPvl solamente puede haber una ruta por defecto.
Es una práctica común redistribuir las rutas por defecto en los routers
frontera para propagar las rutas deseadas sin tener que intercambiar las rutas
dinámicas con todos los vecinos.
Ejemplos de redistribución
Ejemplo 1. Redistribución de rutas sin caminos redundantes. La imagen
muestra oficinas remotas conectadas a una oficina central a través de Frame-Relay.
Cada oficina tiene un PVC punto a punto hacia el router de la oficina principal.
www.FreeLibros.com
180
©RA-M A
REDES CISCO. CCNP a Fondo
EIGRP se está ejecutando en la nube Frame-Relay evitando sobrecargas en la red,
mientras que en los segmentos LAN no hay necesidad de protocolo de
enrutamiento. RIP es el protocolo configurado en la oficina principal.
Los servidores contenidos en la oficina principal necesitan tener
conocimiento de las redes EIGRP, por lo tanto habrá que redistribuirlas en RIP. El
flujo inverso no es necesario evitando así el tráfico bilateral y consumo de recursos.
Fram e-R elay
EIGRP
(
¡
La configuración es sencilla porque no hay enlaces redundantes. La nube
Frame-Relay utiliza enlaces punto a punto, en un futuro se podrían añadir más
enlaces a la nube de manera redundante.
Este ejemplo es una solución simple que le permite a la organización el uso
del hardware existente.
Ejemplo 2. Redistribución de rutas con caminos redundantes. Este caso
cubre la redistribución con caminos redundantes entre diferentes protocolos de
enrutamiento y resuelve los problemas de selección de rutas que resultan con las
redes redistribuidas.
En la topología de la figura el router A está conectado a las redes
120.100.1.0, 120.100.2.0 y 120.100.3.0. Utilizando RIP la red 120.100.1.0 es
advertida al router B, la red 120.100.3.0 al router C y la red 120.100.2.0 es
advertida al router B y al router C.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
© RA-MA
181
La siguiente es la información contenida en la tabla de enrutamiento del
router A:
Red/subred
Próximo
salto
Conectado
120.100.1.0/24
Conectado E0
0
Conectado
120.100.2.0/24
Conectado El
0
Conectado
120.100.3.0/24
Conectado E2
0
RIP
10.10.10.8/30
120.100.3.2
1 salto
RIP
10.10.10.12/30
120.100.3.2
1 salto
RIP
10.10.10.16/30
120.100.3.2 .
1 salto
RIP
10.10.10.20/30
120.100.3.2
1 salto
RIP
10.10.10.24/30
120.100.3.2
1 salto
RIP
10.10.10.28/30
120.100.3.2
1 salto
RIP
10.10.10.32/30
120.100.3.2
1 salto
Protocolo de
enrutamiento
www.FreeLibros.com
Métrica
182
REDES CISCO. CCNP a Fondo
©RA-MA
La siguiente es la información contenida en la tabla de enrutamiento del
router B:
Protocolo de
enrutamiento
Red/subred
Próximo
salto
RIP
120.100.1.0/24
120.100.3.1
1 salto
RIP
120.100.2.0/24
120.100.3.1
1 salto
Conectado
120.100.3.0/24
Conectado E0
0
Conectado
10.10.10.8/30
Conectado SO
0
Conectado
10.10.10.12/30
Conectado SO
0
Conectado
10.10.10.16/30
Conectado SO
0
EIGRP
10.10.10.20/30
10.10.10.9
4201056
EIGRP
10.10.10.24/30
10.10.10.9
4201056
EIGRP
10.10.10.28/30
10.10.10.13
4201056
EIGRP
10.10.10.32/30
10.10.10.13
4201056
Métrica
La tabla de enrutamiento del router A contiene todas las subredes de la red
10.0.0.0 255.255.255.252. Debido a que RIPvl no envía la máscara de red en las
actualizaciones y el router A no está conectado a dicha red se deberá configurar
RIPv2 entre los router A y router B.
La tabla de enrutamiento ve a todos los caminos como únicos, por lo que es
necesario saber cuáles son las rutas accesibles por medio de RIP o EIGRP. La tabla
de enrutamiento se mantiene igual aún después de la redistribución.
Dependiendo de los tiempos de las actualizaciones y de la velocidad de
convergencia, el router C podría estar desactualizado debido a que los router E,
router F y router G le envían información sobre cómo llegar a las redes 120.100.2.0
y 120.100.3.0.
A su vez el router C también recibe información del router A.
Evidentemente enviar el tráfico hacia esas redes por el router A es la mejor opción,
pero como EIGRP tiene una distancia administrativa menor, la ruta para EIGRP es
colocada en la tabla de enrutamiento. Suponiendo que la nube Frame-Relay posea
caminos iguales para todos los enlaces, las tablas de enrutamiento distribuyen el
tráfico equitativamente por las tres rutas.
www.FreeLibros.com
©RA-MA
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
183
Las siguientes sintaxis muestran como las configuraciones favorecen a la
distancia administrativa de RIP para las redes LAN dentro de sudominio. Los
caminos de RIP serán elegidos, las redes 120.100.1.0 y 120.100.2.0 tendrán una
distancia administrativa de 200 con la ayuda de listas de acceso.
Router(config)# router rip
Router(config-router)# network 120.100.0.0
Router(config-router)# passive interface S0.1
Router(config-router)# redistribute eigrp 100 metric 3
Router(config)# router eigrp 100
Router(config-router)# network 120.100.0.0
R o u t e r (config-router)# passive interface EO
Router(config-router)# default-metric 10000 100 255 1 1500
R o u t e r (config-router)# distance 200 0.0.0.0 255.255.255.255 3
R o u t e r (config)# access-list 3 permit 120.100.1.0
R o u t e r (config)# access-list 3 permit 120.100.2.0
El comando distance configura la distancia administrativa para el proceso
EIGRP 100 de 90 a 200 haciendo que las rutas de RIP sean las óptimas debido a
que la distancia administrativa de RIP es 120. Añadiendo la granularidad de poder
elegir las redes que necesitan ser utilizadas en lugar de todas con el uso de las
ACL. De esta forma las redes 120.100.1.0 y 120.100.2.0 serán afectadas por el
comando distance. El uso de la red 0.0.0.0 con la máscara 255.255.255.255 es un
comodín.
Ejemplo 3. Redes por defecto en un entorno de redistribución. La
utilización de redes por defecto simplifica la configuración de la distribución
permitiendo redistribuciones en un sólo sentido o camino. Esto reduce
significativamente la posibilidad de bucles hacia el dominio origen.
Rutas por d e fe cto
p ropagadas hacia RIP
www.FreeLibros.com
\
| EIGRP y redistribución
de las rutas de RIP
184
©RA-MA
REDES CISCO. CCNP a Fondo
En este diseño cada router dentro del dominio de RIP tiene conocimiento
de todas las redes internas pero las otras redes son accesibles vía la red por defecto.
La configuración del router B se muestra en la siguiente sintaxis:
RouterB(config)# router rip
RouterB(config-router)# network 190.10.10.0
El router A redistribuye entre RIP y EIGRP con el dominio de RIP
actuando como una red stub, la ruta por defecto es configurada como una ruta
estática en el router A y redistribuida dentro de RIP para propagarse en todo su
dominio.
Los routers internos que sólo ejecutan RIP deben estar preparados para
recibir la ruta por defecto, la red de destino sólo será alcanzable por medio de esta
ruta por defecto.
La siguiente es la sintaxis de la configuración del router A:
RouterA(config)# router eigrp 100
RouterA(config-router)# redistribute rip
RouterA(config-router)# default-metric 10000 100 255 1 1500
RouterA(config-router)# network 10.0.0.0
RouterA(config)# router rip
RouterA(config-router)# network 190.10.10.0
RouterA(config-router)# default-metric 3
RouterA(config-router)# redistribute static
RouterA(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.1
La redistribución en router A es sólo hacia un sentido, EIGRP necesita
conocer todas las redes en el dominio de RIP pero en cambio RIP no necesita
conocer las redes del mundo exterior.
CONTROL DE LAS ACTUALIZACIONES DE
ENRUTAMIENTO CON FILTRADO
Algunos mecanismos, para controlar las actualizaciones de enrutamiento,
se han visto en los párrafos anteriores, pero a veces es necesario utilizar
herramientas más potentes y flexibles. Estos mecanismos son listas de acceso que
aplicadas a las actualizaciones de enrutamiento se denominan listas de distribución
(distribute lists).
www.FreeLibros.com
©RA-MA
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
185
El proceso y la lógica son similares a las ACL:
1. El router recibe una actualización de enrutamiento o está a punto de enviar
actualizaciones sobre una o más redes.
2. El router controla si la interfaz implicada en la acción tiene aplicados
filtros.
3. Si existe un filtro, el router examina la ACL para ver si existen
coincidencias en alguna de las redes en la actualización de enrutamiento.
4. Si no hay coincidencias en los filtros o no existen, la red se envía al
proceso de enrutamiento como ocurre normalmente.
5. Si hay coincidencia en un filtro la ruta es procesada acorde a la sentencia
de la lista de distribución. Dicha ruta se anunciara si coincide con un
permit o se descartará si coincide con un deny.
6. Si no se encuentra ninguna coincidencia al final de la lista de distribución,
una denegación implícita descartará la actualización.
Las actualizaciones de enrutamiento pueden ser filtradas por protocolos de
enrutamiento, definiendo una ACL y aplicándola al protocolo. Existen ciertas
limitaciones en las listas de distribución cuando son aplicadas a OSPF, las
configuradas como entrantes previenen que las rutas se añadan en la tabla de
enrutamiento, pero no previenen que las LSA se propaguen. Por este motivo las
listas de distribución son empleadas prudentemente en los ABR o ASBR.
Al crear una lista de distribución se siguen los siguientes pasos:
1. Identificar la dirección de red que ha de ser filtrada y crear la lista de
acceso. Permitir las redes que deben ser anunciadas.
2. Determinar si el filtrado es entrante o propagadas hacia otros routers o
salientes.
3. Asignar la ACL utilizando el comando distribute-list.
La sintaxis completa del comando en la forma entrante es la siguiente:
Router(config-router)# distribute-list {access-list-number / ñame}
in [type number]
www.FreeLibros.com
186
REDES CISCO. CCNP a Fondo
©RA-M A
Descripción
Comando
a c c e s s - lis t number 1 ñame
Especifica una ACL numerada o
nombrada.
in
Aplica la ACL como entrante.
ty p e number
Opcional, especifica información
sobre la interfaz.
La sintaxis completa del comando en la forma saliente es la siguiente:
R o u te r (c o n fig -r o u te r )# d i s t r i b u t e - l i s t { access-list-number / ñame}
o u t [ ínterface-name | routing-process / autonomous-system-number]
Descripción
Comando
a c c e s s - lis t- n u m b e r
1 ñame
Especifica
nombrada.
ou t
Aplica la ACL como saliente.
ín te rfa c e -n a m e
Opcional, nombre de la interfaz donde se
producirá el filtrado.
ro u tin g - p ro c e s s
Opcional, especifica el nombre del proceso
de enrutamiento, o si es estático o
directamente conectado.
autonom ous-system number
Opcional, número del sistema autónomo
del proceso de enrutamiento.
una
ACL
numerada
o
www.FreeLibros.com
©RA-MA
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
187
VERIFICACIÓN, MANTENIMIENTO Y RESOLUCIÓN
DE FALLOS
Para que la redistribución funcione adecuadamente y simplificar al máximo
los problemas que puedan surgir es necesario tener un conocimiento preciso de la
topología tanto física como lógica. Conocer el volumen y los picos de tráfico
también es un tema importante para entender los conflictos de conectividad dentro
de la red.
Los siguientes comandos ayudarán a entender y resolver problemas
ocasionados en la redistribución:
•
•
•
•
•
show ip protocol
show ip route
show ip route routing-protocol
show ip eigrp neighbors
show ip ospf database
El comando traceroute: este comando puede ser empleado desde el modo
usuario, pero se necesita la versión extendida y debe emplearse desde el modo
privilegiado. Mostrará la información de todos los routers que un paquete ha
pasado desde que ha sido enviado. A la versión extendida del comando traceroute
se accede pulsando un intro; diferentes cuestiones son presentadas que permitirán
la modificación de ciertos parámetros que vienen por defecto.
El comando extendido ping: para hacer comprobaciones básicas se puede
utilizar el comando ping desde el modo usuario. Pero si se requiere emplear todo el
potencial que brinda este comando se debe ejecutar desde el modo privilegiado, de
esta forma se pueden modificar los parámetros por defecto y personalizarlo según
se necesite.
Los comandos traceroute y ping extendido: el. comando traceroute
muestra el camino tomado y podrá en ciertos casos identificar el problema de la
red. Si el comando traceroute falla indica que existe un problema y es un buen
punto de partida para solucionarlo. El comando ping es muy útil porque puede
anunciar cada una de las interfaces que va atravesando si la opción “record” es
elegida. Aunque tiene una limitación de 9 saltos. Es posible utilizar una dirección
IP origen en los comandos traceroute y ping extendidos, que debe ser una interfaz
en el router de origen. Esto permitirá chequear ACL, mapas de ruta, etc.
Cambiando las direcciones de origen desde todas las interfaces del router se
obtiene una visión total del funcionamiento de la red.
www.FreeLibros.com
188
©RA-MA
REDES CISCO. CCNP a Fondo
CONTROL DE LA REDISTRIBUCIÓN CON ROUTEMAPS
Funcionamiento de los route-maps
Los route-maps son herramientas que establecen coincidencias con un
determinado patrón y que pueden utilizarse para cambiar la cabecera del paquete,
el mapa de ruta, etc. Los route-maps son similares a las listas de acceso pero más
complejos debido a que permiten hacer muchas más cosas.
Existen diferentes situaciones donde se pueden emplear los route-maps:
•
Controlar la distribución: los route-maps pueden permitir o denegar rutas
como así también cambiar métricas.
•
Definir políticas para PBR (Policy-Based Routing): las políticas basadas
en enrutamiento son creadas a partir de los route-maps para permitir al
router tomar decisiones complejas basadas en diferentes criterios del
enrutamiento tradicional.
•
Agregar granularidad a la configuración de NAT (Network Address
Translation): un escenario de NAT tradicional está limitado en la simple
traducción de un direccionamiento estáticamente, con los route-maps
pueden hacerse traducciones de manera arbitraria.
•
Implementar BGP PBR: más adelante se detallará el funcionamiento en
el capítulo de BGP.
Características de los route-maps
Los route-maps y las listas de acceso son similares en la lógica. de
funcionamiento, se procesan de arriba hacia abajo y en la primera coincidencia se
ejecuta la acción permitiendo o denegando, aunque los route-maps permiten hacer
muchas más cosas. Los route-maps pueden cambiar la dirección del próximo salto
o la métrica de la cabecera IP. La cantidad de atributos que los route-maps pueden
modificar es enorme. Las características de los route-maps se pueden resumir en
los siguientes conceptos:
•
Una colección de sentencias con el mismo nombre se considera un routemap al igual que ocurre con las ACL.
•
Los route-maps son procesados, se arriba hacia abajo hasta que se
encuentra la primera coincidencia.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
•
189
Cada sentencia de los route-maps puede tener ninguna o más condiciones
de coincidencia. Una sentencia que no tenga ninguna coincidencia se
aplica a todo el tráfico, similar al any de las ACL. El tráfico que no
encuentra coincidencia pasa a la siguiente sentencia. Existen dos
cuestiones a tener en cuenta:
o Una simple coincidencia puede contener múltiples condiciones. Si
una de esas condiciones es verdadera, se considerará coincidencia.
Esto es una operación lógica OR.
0 Si existen múltiples coincidencias todas ellas deben ser verdaderas
para que la coincidencia sea efectiva. Esto se considera una
operación lógica AND.
•
Los route-maps tienen ninguna o más sentencias set, que definen la acción
a tomarse. Los parámetros definidos en la sentencia set se aplican siempre
que previamente haya habido una coincidencia.
•
Cada sentencia de los route-maps tiene que permitir o denegar. Un tráfico
permitido es afectado, mientras que un tráfico que no encuentra
coincidencia no lo será.
•
El tráfico que no es explícitamente permitido será implícitamente
denegado.
•
Dentro de un route-map cada sentencia tiene un número de secuencia y
puede ser editada individualmente.
•
El uso de los route-maps es muy común en redes que tengan redistribución.
Pero la utilización de éstos debe hacerse con total conocimiento del
funcionamiento de la red debido a que puede influenciarse incorrectamente
el flujo de datos o crear bucles.
El siguiente ejemplo describe un route-map llamado RMSIMPLE:
access-list
access-list
access-list
access-list
23
33
43
53
permit
permit
permit
permit
23.0.0.0
33.0.0.0
43.0.0.0
53.0.0.0
1
route-map RMSIMPLE permit 10
match ip address 23
match interface FastEthernetO/O
set ip next-hop 67.43.6.7
¡
route-map RMSIMPLE permit 20
match ip address 33
i
route-map RMSIMPLE permit 30
www.FreeLibros.com
190
REDES CISCO. CCNP a Fondo
©RA-MA
match ip address 43 53
set ip next-hop 213.35.32.78
¡
route-map RMSIMPLE permit 40
set ip next-hop 76.45.23.7
Todos los route-maps con el mismo nombre forman parte de una lista.
1. Los route-maps están organizados por número de secuencia. En este
ejemplo es 10, 20 o 30.
2. Cada sentencia puede tener ninguna o más coincidencias:
•
En la sentencia 10 hay dos condiciones de coincidencia. Ambas deben
ser verdaderas para que el set se aplique.
•
En la sentencia 20 sólo hay una coincidencia, de manera que los
paquetes denegados no serán considerados. En caso de que este routemap se aplicara a la redistribución, las rutas denegadas no serían
redistribuidas.
•
La sentencia 30 tiene dos coincidencias y con que sólo una fuera
verdadera el set se aplicará.
•
La sentencia 40 no tiene ningún estado de coincidencia, lo que implica
que se le aplicará a todo.
3. Cada sentencia de los route-maps puede tener ninguna o más sentencias
set:
•
Las sentencias 10, 30 y 40 modifican el siguiente salto para todas las
coincidencias.
•
La sentencia 20 no posee sentencias set, por lo tanto la única acción
posible será denegar o permitir.
4. El tráfico que coincide con un permit es afectado por el route-map,
mientras que el que coincide con un deny o no está en la lista no es
afectado por el route-map.
•
La sentencia 20 previene que las coincidencias no sean afectadas por la
lista, por lo tanto si hay alguna coincidencia está no se le aplicará un
siguiente salto diferente.
•
Finalmente hay un permit any en la sentencia 40 por lo tanto todo el
tráfico será afectado.
www.FreeLibros.com
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
191
CONFIGURACIÓN DE LOS ROUTE-MAPS
La siguiente sintaxis muestra la configuración de los route-maps:
R o u t e r
(config)# route-map map-tag [{permit | deny} sequence-number]
Para borrar por completo el route-map se deberá agregar un no inicial al
comando anterior.
Descripción
Comando
map-tag
Nombre del route-map.
permit | deny
Si existe una coincidencia en el criterio y existe
un permit, el paquete es enviado tal como se
haya definido en las acciones set, si no hubiera
coincidencia pasará a la siguiente sentencia.
sequencenumber
Indica el orden de procesamiento de las
secuencias, si no se especifica los hará
automáticamente de 10 en 10.
¡
Uno de los potenciales de los route-maps es la posibilidad de cambiar la
forma en que el router procesa las rutas y fundamentalmente la opción de cambiar
la métrica.
Comandos match para la redistribución con route-maps
La siguiente tabla resume los comandos match. Estos comandos son
usados para determinar si la ruta va a ser redistribuida.
Comando
. '
-
Descripción
jjj
match interface
(IP)
Distribuye rutas que tienen un próximo salto
alcanzable desde la interfaz de salida que se ha
especificado. Hace que coincida cualquier ruta que
tenga su próximo salto por alguna de las interfaces que
se están listando.
match ip address
[access-listnumber | ñame]
Describe el número o nombre de la lista.
www.FreeLibros.com
192
REDES CISCO. CCNP a Fondo
©RA-MA
match ip next-hop
Identifica las rutas que poseen el próximo salto que se
indica.
match ip routesource
Redistribuye las rutas que han sido advertidas desde la
dirección especificada.
match metric
Redistribuye las rutas con la métrica especificada.
match route-type
(IP)
Redistribuye las rutas del tipo especificado.
match tag
Redistribuye las rutas en la tabla de enrutamiento que
coinciden con las etiquetas especificadas.
Comandos set para la redistribución con route-maps
Los comandos set funcionan a partir de una coincidencia previa. Mientras
los comandos match determinan si la ruta va a ser redistribuida, el parámetro set
determinará la forma en que va a ser redistribuida.
La sintaxis del comando set es la siguiente:
Router(config-route-map)# set {criteria}
La siguiente tabla resume los comandos set utilizados en la redistribución.
Comando
Descripción
v
set level {level-1 |
level-2 | level-1-2 |
stub-area | backbone}
Es utilizado por IS-IS para determinar el
nivel del router que debería importar las
rutas. OSPF lo utiliza para determinar el
tipo de área/router desde el cual las rutas
deberían ser importadas.
set metric (BGP, OSPF,
RIP)
Configura la métrica para un determinado
protocolo de enrutamiento.
set metric-type {internal
| external | type-1 |
type-2}
Configura el tipo de métrica para el
protocolo destino.
set tag tag-value
Configura un valor de etiqueta del
protocolo de enrutamiento destino.
www.FreeLibros.com
I
CAPÍTULO 4. IMPLEMENTACIONES CON CISCO IOS
©RA-MA
193
Una vez configurado, el route-map debe ser vinculado para que ejecute la
acción. Este evento se describe en la siguiente sintaxis:
Router ( c o n f ig-router)# redistribute protocol [process-id]
map-tag]
[route-map
Donde map-tap es el nombre que se va a utilizar para la distribución y
tiene que corresponderse con el nombre especificado con el comando route-map.
El ejemplo ilustra la funcionalidad del route-map, la sintaxis corresponde a
la siguiente figura:
M é t r ic a
Red
R 3 0 .1.1.0/24
1
R 3 0 .1.3.0/24
2
2
R 3 0 .1.4.0/24
S
R 3 0 .1 .5,0 / 2 4
3
R 3 0 .1.2.0/24
Red
Métrica
Red
Mét rica
0 3 0 .1 . 1 . 0 / 2 4
25 10
0 3 0.1 .1,0/24
25 20
0 3 0 .1 . 2 . 0 / 2 4
30 10
O 3 0 .1 . 3 . 0 / 2 4
30 10
0 3 0 ,1.2,0/24
O 3 0 .1 . 3 . 0 / 2 4
3020
30 20
O 3 0 .1 . 4 . 0 / 2 4
0 3 0 .1 . 5 . 0 / 2 4
22000
22000
0 3 0 .1 . 4 . 0 / 2 4
22000
0 30 .1.5,0 /24
22000
Router(config)# router ospf 100
Router(config-router)# redistribute rip route-map rip-routes
Router (config) # route-map
Router (config- route-map)#
Router (config- route-map)#
Router (config- route-map)#
Router (config- route-map)#
Router (config) # route-map
Router (config- route-map)#
Router (config- route-map)#
Router (config- route-map)#
Router (config- route-map)#
Router (config) # route-map
rip-routes permit 10
match metric 1
set metric 2500
set metric-type type-1
set tag 100
rip-routes permit 20
match metric 2
set metric 3000
set metric-type type-1
set tag 200
rip-routes permit 30
Router(config-route-map)# set metric 22000
Este route-map examina todas las actualizaciones desde RIPv2 y las
redistribuye dentro de OSPF.
www.FreeLibros.com
194
REDES CISCO. CCNP a Fondo
©RA-MA
Las rutas con un número de saltos de 1 tendrán una métrica en OSPF con
un valor de coste 2500, serán de tipo 1 y tendrán una etiqueta de 100. Las rutas con
2 saltos tendrán una métrica en OSPF con un valor de coste 3000, serán de tipo 1 y
tendrán una etiqueta de 200. Todas las demás rutas tendrán un coste estático de
22000.
En cada una de las sentencias se modifica la métrica (coste) que las rutas
tendrán una vez redistribuidas en OSPF. La configuración en type-1 indica que la
métrica se incrementará a medida que los saltos aumenten; en cambio en type-2
(por defecto) la métrica permanecerá constante. Finalmente se etiquetan ciertas
rutas con un valor de 100, otras con un valor de 200 y otras no han sido
etiquetadas. Esto permitirá en otros puntos de redistribución hacer match en
función de la etiqueta y permitir o denegar en base a esto.
Como nota al margen decir que las etiquetas (tags) son extremadamente
útiles para escenarios con múltiples puntos de redistribución bidireccional.
VERIFICACIÓN DE LOS ROUTE-MAPS
La mayoría de los comandos para monitorizar el funcionamiento de los
route-maps son los mismos empleados para verificar la redistribución:
•
show ip protocol
•
show ip route
•
show ip route routing-protocol
•
show ip eigrp neighbors
•
show ip ospf database
•
show route-map
Tal como se explicó en la redistribución el comando traceroute y ping son
de mucha utilidad.
www.FreeLibros.com
Capítulo 5
DHCP
INTRODUCCIÓN A DHCP
DHCP (Dynamic Host Control Protocol) desciende del antiguo protocolo
BootP, permite a un servidor asignar automáticamente a un host direcciones IPv4 y
otros parámetros cuando está iniciándose.
DHCP ofrece dos principales ventajas:
1. DHCP permite que la administración de la red sea más fácil y versátil, de
lo contrario habría que asignar manualmente el direccionamiento a todos
los host, tarea bastante tediosa y que generalmente conlleva errores.
2. DHCP asigna direcciones IP de manera temporal creando un mayor
aprovechamiento del espacio en el direccionamiento. Un ejemplo claro son
los clientes DSL, ellos sólo necesitan la dirección IP cuando están
conectados online.
El proceso DHCP sigue los siguientes pasos:
1. El cliente envía un broadcast preguntando por configuración IP a los
servidores, los que responderán con una dirección IP, una máscara, una
puerta de enlace y otras informaciones. En este paso el nuevo cliente ha
enviado un mensaje en forma de broadcast llamado DHCP discover.
www.FreeLibros.com
196
REDES CISCO. CCNP a Fondo
2.
©RA-MA
Cada servidor en la red responderá con un Offer. Comúnmente en una red
pueden existir varios servidores DHCP de manera redundante, es normal
que todos intenten responder. El mensaje offer contiene una dirección IP,
una máscara, una puerta de enlace, el tiempo de alquiler y los posibles
códigos de opción.
3. El cliente considera todas las ofertas y elije una. Esta opción dependerá del
cliente. Por ejemplo Windows XP elegirá una dirección IP que
previamente se le haya ofrecido, otros sistemas operativos simplemente
aceptarán la primera oferta que les llegue. A partir de este momento el
cliente envía un mensaje llamado Request en el que básicamente pregunta
sobre la disponibilidad de la IP de la que tiene preferencia.
4. El servidor responde con un ACK informando a su vez que toma
conocimiento que el cliente se queda con esa dirección IP.
5. Finalmente el cliente envía un ARP request para esa nueva dirección IP. Si
alguien responde, el cliente sabrá que esa dirección está en uso y que ha
sido asignada a otro cliente lo que iniciará el proceso DHCP nuevamente.
Este paso se llama Gratuitous ARP.
Existen varios sistemas operativos clientes que utilizan APIPA (Automatic
Prívate IP Addressing). Es un proceso por el cual el host configurado para un
direccionamiento dinámico se asigna a sí mismo una dirección IP al no poder
contactar con un servidor DHCP.
Las direcciones IP que se autoasignan son del rango 169.254.0.0. De la
misma forma que en el quinto paso anterior se envía un Gratuitous ARP para
verificar que nadie más posea dicha dirección antes de quedársela.
Finalmente, cuando se detecta un host con una dirección IP 169.254.X.X
significa que no ha podido contactar con el servidor DHCP.
Dispositivos DHCP
Siempre habrá al menos dos dispositivos involucrados en el proceso de
configuración del DHCP, un Servidor DHCP y un Cliente DHCP.
Ocasionalmente habrá otros dispositivos opcionales llamados DHCP relays.
www.FreeLibros.com
CAPÍTULO 5. DHCP
© r a -m a
197
CONFIGURACIÓN DHCP
Configuración de un servidor DHCP
Los siguientes pasos describen la configuración de un router ejecutando
IOS como servidor DHCP:
1. Crear un almacén (pool) de direcciones que serán asignadas a los clientes.
Router(config)# ip dhcp pool ñame
2. Determinar el direccionamiento de red y máscara que se le asignará al
pool.
Router(config-dhcp)# network network/mask
3. Configurar el período que el cliente podrá disponer de esta dirección. Este
período de alquiler suele ser de tres días; en las versiones de IOS es de un
día, pero puede configurarse en horas, minutos y segundos.
R o u t e r (config-dhcp)# lease days
4. Identificar el servidor DNS.
Router(config-dhcp)# dns-server address
5. Identificar la puerta de enlace o gateway.
Router(config-dhcp)# default-router ip-address
6. Excluir si es necesario las direcciones que por seguridad o para evitar
conflictos no se necesite que el DHCP otorgue.
R outer(config )#ip dhcp excluded-address start-ip end-ip
Las direcciones IP son siempre asignadas en la misma interfaz que tiene
una IP dentro de ese pool. La siguiente sintaxis muestra un ejemplo de
configuración dentro de ese contexto:
Router(config)# interface fastethernet 0/0
Router(config-if)# ip address 192.168.1.1 255.255 i255.0
Router(config)# ip dhcp pool 1
Router(config-dhcp)# network 192.168.1.0 /24
Router(config-dhcp)# default-router 192.168.1.1
Router(config-dhcp)# lease 3
Router(config-dhcp)# dns-server 192.168.77.100
Algunos dispositivos IOS reciben direccionamiento IP en algunas
interfaces y asignan direcciones IP en otras. Para estos casos DHCP puede importar
www.FreeLibros.com
198
REDES CISCO. CCNP a Fondo
©RA-MA
las opciones y parámetros de una interfaz a otra. El siguiente comando para
ejecutar esta acción es:
Router(config-dhcp)# import all
Este comando es muy útil cuando se debe configurar DHCP en oficinas
remotas. El router una vez localizado en su sitio puede determinar el DNS y las
opciones locales.
La siguiente tabla describe una serie de comandos opcionales:
Comando
Descripción
Service dhcp
Habilita el servidor DHCP que por
defecto ya lo está.
ip dhcp database
Configura un agente de base de
datos.
no ip dhcp conflict
logging
Deshabilita el login de conflictos.
ip dhcp excludedaddress s t a r t - i p en d -ip
Define las direcciones que serán
excluidas del pool.
domain-name domain
DNS asignado por defecto.
Configuración de un DHCP Relay
Normalmente los routers no retransmiten tráfico broadcast. En algunos
casos una excepción a esta regla podría ser muy útil. Un servidor DHCP
centralizado que ofrezca un direccionamiento a todas las redes remotas sería más
fácil de administrar y resolver posibles conflictos. Todos los routers en este caso
deberían dejar pasar todo el tráfico broadcast originado por las transacciones
DHCP.
Un router configurado para dejar pasar los DHCP request es llamado
DHCP Relay. Cuando es configurado, el router permitirá el reenvío de broadcast
que haya sido enviado a un puerto UDP determinado hacia una localización
remota. El DHCP Relay reenvía los requests y configura la puerta de enlace en el
router local.
Router(config-if)# ip helper-address ad d ress
www.FreeLibros.com
CAPÍTULO 5. DHCP
© RA-MA
199
Cuando se configura soporta 8 puertos UDP, cualquier broadcast que se
reciba en estos puertos es reenviado a la dilección IP que se especifica en el
comando. Los puertos son los siguientes:
•
NTP (UDP 37)
•
TACACS (UDP 49)
•
DNS (UDP 53)
•
DHCP (UDP 67 y 68)
•
TFTP (UDP 69)
•
NetBIOS ñame Service (UDP 137)
•
NetBIOS datagram service (UDP 138)
Adicionalmente se podrían agregar más puertos con el comando:
Router(config)# ip forward-protocol udp port
El siguiente ejemplo muestra la sintaxis de la configuración de un puerto
UDP adicional:
Router(config)# interface fastethernetO/O
Router(config-if)# ip helper-address 192.168.5.100
Router(config-if)# exit
Router(config)# ip forward-protocol udp 4400
Router(config)# no ip forward-protocol udp 69
El comando ip dhcp relay information option usado con el DHCP Relay
habilita el sistema para insertar la opción 82 (agent DHCP relay information
option) en mensajes Bootrequest que son enviados al servidor DHCP. El servidor
puede utilizar esta información para asignar la subred correcta.
Configuración de un cliente DHCP
Configurar IOS para la opción del DHCP como cliente es simple.
Router(conf ig)# interface fastethernetO/O
Router(config-if )# ip address dhcp
Un router puede ser cliente, servidor o ambos a la vez en diferentes
interfaces.
www.FreeLibros.com
200
REDES CISCO. CCNP a Fondo
©RA-MA
RESOLUCIÓN DE FALLOS EN DHCP
En un principio ejecutar un show run servirá para ver los parámetros
estándares de configuración expuestos anteriormente. Si no se observa dónde está
el fallo se puede seguir el siguiente proceso de análisis.
Partiendo de la base de que el cliente DHCP está correctamente
configurado y conectado a la red, el servidor DHCP se está ejecutando en el router.
1. Verificar que el cliente no está recibiendo una dirección IP, verificar la
conectividad de ambos a la red
2. Verificar que el servidor DHCP esté configurado, como así también que el
cliente es capaz de enviar tráfico.
3. Examinar la base de datos DHCP con el comando show ip dhcp database.
4. Para ver la configuración mas detallada de DHCP se puede utilizar el
comando show ip dhcp server statistics.
5.
Para mostrar las direcciones IP que han sido asignadas utilizar el comando
show ip dhcp binding. Para borrar una dirección en la base de datos clear
binding.
6.
Para monitorizar las acciones del servidor DHCP debug ip dhcp server
events y el debug ip dhcp server packets.
7. Finalmente verificar la existencia de listas de acceso que puedan estar
denegando el tráfico DHCP.
www.FreeLibros.com
C apítulo 6
BGP
INTRODUCCIÓN A BGP
BGP (Border Gateway Protocol) es un protocolo de enrutamiento moderno
diseñado para ser escalable y poder utilizarse en grandes redes creando rutas
estables entre las organizaciones. BGP soporta VLSM (Variable Length Subnet
Mask), CIDR (Classless Interdomain Routing) y sumarización.
BGP es un protocolo de enrutamiento extremadamente complejo, usado
entre organizaciones multinacionales y en Internet. El principal propósito de BGP
es conectar grandes redes o sistemas autónomos. Las grandes organizaciones
utilizan BGP como el vínculo entre diferentes divisiones empresariales. BGP se
utiliza en Internet para conectar diferentes organizaciones entre sí.
Es el único protocolo que actualmente soporta enrutamiento entre
dominios. Los dispositivos, equipos y redes controlados por una organización son
llamados sistemas autónomos, AS. Esto significa independentia, es decir, que cada
organización es independiente de elegir la forma de conducir el tráfico y no se los
puede forzar a cambiar dicho mecanismo. Por lo tanto BGP comunica los AS con
independencia de los sistemas que utilice cada organización.
Otro punto clave es que BGP pretende que las redes permanezcan
despejadas de tráfico innecesario el mayor tiempo posible. Mientras que los IGP
están buscando la última información y ajustando constantemente las rutas acordes
con la nueva información que se recibe, BGP está diseñado para que las rutas sean
estables y que no se estén advirtiendo e intercambiando constantemente. Las
www.FreeLibros.com
202
©RA-MA
REDES CISCO. CCNP a Fondo
configuraciones de BGP requieren determinaciones de políticas muy complicadas,
de modo que dada la complejidad del protocolo y el inmenso tamaño de la tabla de
enrutamiento, que pueden ser cientos de miles, no se puede estar cambiando
constantemente decisiones de enrutamiento haciendo que los routers estén
constantemente sobrecargados.
Funcionamiento básico de BGP
BGP asocia redes con sistemas autónomos de tal manera que otros router
envían tráfico hacia el destino a través de un sistema autónomo. Cuando el tráfico
llega a los routers frontera de BGP, es trabajo de los routers del IGP encontrar el
mejor camino interno.
BGP es un protocolo path-vector, aunque mantiene muchas características
comunes con los de vector-distancia. Las rutas son registradas de acuerdo con los
sistemas autónomos por donde está pasando y los bucles son evitados rechazando
aquellas rutas que tienen el mismo número de sistema autónomo al cual están
llegando. La idea de cómo BGP evita los bucles se ilustra en la siguiente figura:
AS-30
172.16.31.0/24
AS-Path 5
172.16.31.0/24
AS-Path 5 30
\
AS-15
AS-72
172.16.31.0/24
AS-Path 5 30 157 2
172.16.31.0/24
AS-Path 5 30 15
RECHAZADO
CONTIENE AS-5
Los vecinos BGP son los llamados peers, éstos no son automáticamente
descubiertos sino que deben estar predefinidos. Existen cuatro tipos de mensajes en
BGP para que la relación sea construida y posteriormente mantenida:
www.FreeLibros.com
CAPÍTULO 6. BGP
©RA-MA
•
Open
•
Keepalive
•
Update
•
Notifícation
203
Cuando el proceso de BGP comienza se crean y mantienen las conexiones
entre los peers utilizando el puerto TCP 179 a través de mensajes BGP open,
posteriormente las sesiones son mantenidas enviando constantemente mensajes
keepalive y la información del peer se mantiene en una tabla de vecinos separada.
Si un peer es reseteado, éste envía un mensaje de notificación para indicar la
finalización de la relación. Cuando se establece por primera vez la relación de
vecindad, los routers BGP intercambian sus tablas de enrutamiento por completo
utilizando mensajes update. Finalmente sólo se enviarán actualizaciones
incrementales cuando existan cambios en la red.
Jerarquías BGP
Otros protocolos de enrutamiento han sido creados de tal manera que
soporten sumarizaciones y para que se pueda organizar la red de manera jerárquica.
Las organizaciones no están distribuidas jerárquicamente, por lo tanto BGP debe
trabajar con cualquier topología que le sea dada. BGP se beneficia de la
sumarización de la misma manera que los demás protocolos de enrutamiento, es
decir, menos consumo de recursos de memoria y CPU, y tablas de enrutamiento
más pequeñas.
Una red BGP optimizada será altamente sumarizada pero no
necesariamente de manera jerárquica. BGP por naturaleza proporciona un resumen
de las rutas claves identificando los posibles caminos entre sistemas autónomos.
Debido a que los AS no están bien organizados, las redes BGP reflejan esa falta de
organización. BGP puede ser implementado entre redes o dentro de una red. BGP
detecta los bucles mirando las rutas de los AS-Path.
Cuando utilizar BGP
Debido a su complejidad y especialización para funciones externas, BGP
se utiliza para los siguientes casos:
•
BGP es el único protocolo de enrutamiento que puede conectar una
organización a diferentes sistemas autónomos.
www.FreeLibros.com
204
©RA-MA
REDES CISCO. CCNP a Fondo
•
BGP debería ser considerado si se desea implementar una política de
enrutamiento, como por ejemplo controlar el enlace hacia un ISP.
•
BGP es el protocoloadecuado para un AS utilizado como AS de tránsito y
se interconecte a otros sistemas autónomos. Un ISP es un típico AS de
tránsito.
BGP probablemente no sea necesario si algunos de los requerimientos
anteriores no se cumplen. Si los requerimientos de enrutamiento que se necesitan
pueden llevarse a cabo de una manera más simple, como por ejemplo con una ruta
por defecto, no se debería estar pensar en BGP como solución. Los recursos
necesarios para un buen funcionamiento de BGP son elevados, por lo tanto otras
opciones deben ser siempre analizadas antes de implementarlo, ahorrando de esta
forma dinero en dispositivos y configuraciones complejas.
Tablas de BGP
El enrutamiento a través de BGP involucra tres tipos de tablas:
•
•
•
Tabla de vecinos
Tabla de BGP
Tabla de enrutamiento
IP
Las rutas de BGP son mantenidas en una tabla de BGP separada y las
mejores rutas son pasadas a la tabla de enrutamiento. A diferencia de los protocolos
detallados en los capítulos anteriores, BGP no utiliza una métrica. En su lugar BGP
emplea un proceso de 10 pasos para seleccionar las rutas dependiendo de una serie
de propiedades. Este tema se detallará más adelante y es una de las principales
cualidades de BGP. En suma, BGP soporta herramientas como route-maps y listas
de distribución que permiten al administrador cambiar el flujo de tráfico basado en
los atributos de este protocolo.
CONECTANDO A INTERNET CON BGP
Como protocolo de enrutamiento externo BGP es utilizado para conectar
hacia y desde Internet y para enrutar tráfico dentro, de Internet. Se debe estar
completamente seguro de que la cantidad de tráfico y rutas no saturará la red. Dos
consideraciones importantes en el diseño de BGP son la necesidad de enlaces
redundantes hacia Internet, llamados multihoming, y controlar cuánto tráfico de
enrutamiento se quiere recibir desde Internet.
www.FreeLibros.com
CAPÍTULO 6. BGP
©RA-M A
205
Multihoming
En organizaciones modernas la falta de conectividad a Internet puede llevar
a la pérdida de conectividad a determinados servidores y páginas Web hasta la
pérdida de telefonía IP. Internet contiene una cantidad enorme y variada de tráfico
y de igual manera importante, es por lo tanto una tarea de los administradores
poseer una solución a la falta de conectividad hacia Internet. Las conexiones
redundantes son la solución a la pérdida de un enlace. Esta solución es conocida
como multihoming.
La idea del funcionamiento de multihoming es que ante el fallo de un
enlace active un segundo enlace hacia Internet. Si estos dos enlaces pueden estar
activos a la vez proporcionará una mayor efectividad en la conexión a Internet,
mayor rendimiento y redundancia. El balanceo de carga en BGP a través de
múltiples enlaces o diferentes AS son las políticas de configuración del protocolo.
Multihoming podría efectuar múltiples conexiones al mismo ISP o a ISP
diferentes. Conectado a más de un ISP puede generar algunos de los siguientes
problemas:
1. El espacio de direccionamiento es advertido de forma incorrecta por el
proveedor.
2. Las nu s que se advierten o las rutas externas de las que depende la red
son advertidas con diferentes máscaras. Debido a que las más específicas
serán siempre utilizadas, no se tendrán en cuenta los atributos de BGP.
3.
Cuando la conexión es a más de un ISP, el AS puede llegar a ser un
sistema autónomo de tránsito entre esos ISP. Esto es rechazado debido a
que no es conveniente que el AS tenga tráfico ajeno al propio sistema
autónomo.
Generalmente el ISP es capaz de tratar con este tipo de problemas y
configurará su red para protegerse, aun así no se puede confiar plenamente en que
su parte esté bien configurada. También es importante el contacto entre los dos ISP
implicados para que puedan planificar los cambios necesarios.'
Información de enrutamiento desde Internet
Al conectarse a Internet es necesario planificar qué actualizaciones serán
enviadas y recibidas desde el mundo exterior.
Existen tres formas de conectarse a Internet:
www.FreeLibros.com
206
©RA-MA
REDES CISCO. CCNP a Fondo
1. Aceptar sólo rutas por defecto desde todos los ISP. En este caso los
consumos de recursos serán muy bajos y la selección de rutas se hará
utilizando el router BGP más cercano.
2. Aceptar algunas rutas más las rutas por defecto desde los ISP. En este caso
el consumo de recursos de memoria y CPU será medio. El router
seleccionará la ruta específica y si no la conoce lo hará a través del router
BGP más cercano.
3. Aceptar todas las rutas desde todos los ISP, en este caso el consumo de
recursos es alto pero en contra posición siempre se elegirá la ruta más
directa.
La manera más fácil de conectarse a Internet es tomar rutas por defecto
desde todos los proveedores, proporcionando una ruta redundante en caso de que la
principal falle. Si sólo se recibe una ruta de cada proveedor la utilización de
memoria y CPU es muy baja. El punto negativo es que no siempre se elegirán los
caminos más cortos, el tráfico se dirigirá simplemente hacia el router frontera más
cercano. Si las necesidades de la organización no son exigentes, este tipo de
conexión es la adecuada.
El caso completamente opuesto al anterior es tomar todas las rutas que
llegan desde los proveedores, obteniendo el mejor enrutamiento posible. Sin
embargo los recursos consumidos son altos. La tabla de enrutamiento de Internet
puede contener 300.000 rutas en constante crecimiento (200.000 rutas consumen
unos 200 MB de memoria). La sincronización de la tabla y la recepción de
actualizaciones consumen ciclos de procesador y capacidad en la red.
Normalmente este tipo de conexión es soportada por los ISP en cuyo caso los
dispositivos (Cisco GSR 12000) son capaces de soportar todo el tráfico y las tablas
completas con altas velocidades de conexión.
El término medio a estas dos situaciones será emplear algunas rutas
específicas y rutas por defecto hacia el proveedor. De esta forma el tráfico que el
router conoce tomará el camino más corto y los destinos desconocidos utilizarán
las rutas por defecto hacia el router frontera más cercano. La elección de alguna de
estas tres opciones es importante pero no permanente, las configuraciones siempre
pueden adaptarse a los requerimientos de la organización.
Sincronización
Cuando un AS proporciona un sistema de tránsito para otros AS y tiene
router que no son BGP, el tráfico de tránsito podría ser descartado si los routers
intermediarios que no ejecutan BGP desconocen esas rutas. La regla de BGP de
sincronización dice que si un sistema autónomo proporciona un servicio de tránsito
www.FreeLibros.com
CAPÍTULO 6. BGP
© RA-MA
207
a otro sistema autónomo, BGP no debería anunciar más rutas hasta que todos los
routers dentro de ese AS hayan aprendido acerca de esa ruta vía un IGP.
La siguiente figura muestra un ejemplo de la sincronización:
El router C envía actualizaciones acerca de la ruta 170.10.0.0 hacia el
router A; el router A y el router B están ejecutando IBGP (Internal BGP). El router
B recibe actualizaciones acerca de la red 170.10.0.0 vía IBGP, si el router B quiere
alcanzar la red 170.10.0.0, enviará el tráfico hacia el router E. Si el router A no
redistribuye la red 170.10.0.0 dentro de un IGP, el router E desconoce que la ruta
170.10.0.0 existe, por lo tanto descartará los paquetes. Si el router B advierte al AS
400 que puede alcanzar dicha red antes de que el router E aprenda sobre dicha red
vía un IGP, el tráfico que viene desde el router D hacia el router B con destino
170.10.0.0 pasará por el router E y será descartado.
Esta situación es controlada con la regla de sincronización de BGP, la cual
dice que un sistema autónomo, en este caso ÁS 100, pasa tráfico desde un AS hacia
otro y no advertirá una ruta antes de que todos los routers dentro del AS 100 hayan
aprendido esa ruta vía un IGP. En este caso el router B espera hasta aprender sobre
la red 170.10.0.0 vía un IGP antes de enviar las actualizaciones al router D. Hay
casos en los que es preferible deshabilitar la sincronización permitiendo que BGP
converja más rápidamente, pero en estos casos pueden producirse pérdidas de
paquetes.
www.FreeLibros.com
208
©RA-MA
REDES CISCO. CCNP a Fondo
Si algunas de las siguientes condiciones se cumplen es posible que sea
necesario deshabilitar la sincronización:
•
El sistema autónomo no pasa tráfico entre sistemas autónomos.
•
Todos los routers de tránsito ejecutan BGP.
La siguiente figura es un ejemplo de una topología donde es posible
deshabilitar la sincronización:
La siguiente sintaxis muestra cómo deshabilitar la sincronización dentro
del modo de enrutamiento:
Router(config-router)# no synchronization
En las versiones actuales de IOS la sincronización viene deshabilitadá por
defecto, para habilitarla se utiliza el siguiente comando:
R o u t e r (c onfig-router)# synchronization
Complementariamente existen otras maneras opcionales de solventar el
problema de la sincronización como por ejemplo los routers reflectórs, las
confederaciones o MPLS.
www.FreeLibros.com
CAPÍTULO 6. BGP
© RA-MA
209
ESTADOS DE BGP
Los estados que toma BGP son los siguientes:
•
Idle, durante este estado el router esta buscando a los vecinos,
técnicamente BGP espera una fase llamada start. Este evento
puede ser iniciado por un administrador o por el sistema BGP. Un
administrador estableciendo una sesión BGP o reseteando una
sesión que ya existe causa un evento start.
•
Connect, BGP espera que se complete la conexión del protocolo
de transporte, en este caso TCP puerto 179. Si la conexión de TCP
se realiza satisfactoriamente, el estado pasa a la fase open sent. En
el caso de que no sea satisfactoria el estado cambiará a active.
•
Active, intenta establecer una vecindad iniciando la conexión a
través del protocolo de transporte. En caso de que lo consiga
pasará al siguiente estado, open sent. Cuando el temporizador
connect retray expira BGP lo reinicia y vuelve al estado connect.
Si un router permanece entre los estados connect y active revela
que la conexión TCP no se puede establecer. El estado active
indica que el router esta intentando iniciar la sesión TCP.
•
Open Sent, en este estado BGP espera los mensajes open del
vecino, estos mensajes son chequeados para verificar que los datos
son correctos, que las versiones de BGP sean las debidas como así
también el número del sistema autónomo.
•
Open Confirm, BGP espera los mensajes keepalive, si recibe
estos mensajes de su vecino entonces la sesión pasa al siguiente
estado.
•
Established, es el estado final y el necesario para que BGP
comience a funcionar, se intercambien rutas, actualizaciones o
keepalives.
Cuando un router permanece todo el tiempo en el estado idle será necesario
verificar la existencia de un salto hacia el vecino con el que se quiere establecer la
vecindad. Si el estado es permanentemente active habrá que verificar la existencia
de un firewall que tenga el puerto TCP 179 abierto.
www.FreeLibros.com
210
©RA-MA
REDES CISCO. CCNP a Fondo
El siguiente ejemplo muestra el estado de un router BGP:
Router# show ip bgp neighbors
BGP neighbor is 10.1.1.1, remóte AS 100, external
BGP versión 4, remóte router ID 172.31.2.3
BGP state = Established, up for 00:19:10
CONFIGURACIÓN DE BGP
Comandos básicos
BGP ha sido diseñado para conectar diferentes sistemas autónomos entre
sí. Los pasos para habilitar BGP consisten en identificar el sistema autónomo e
identificar a los vecinos y su correspondiente sistema autónomo. La configuración
también debe incluir las redes que se quieren anunciar.
Para iniciar el proceso BGP se utiliza la siguiente sintaxis:
Router(config)# router bgp autonomous-system-number
A diferencia de muchos otros protocolos BGP sólo puede ejecutar un
proceso en cada router. Al intentar configurar más de un proceso BGP el router
mostrará el número de proceso que se está ejecutando actualmente.
Identificando vecinos y definiendo peer-groups
BGP no se conecta a otros routers de manera automática, hay que
predefinirlos. El comando neighbor es utilizado para definir cada uno de los
vecinos y su correspondiente sistema autónomo. Si el AS del vecino es el mismo
que el local, habrá una conexión IBGP (Internal BGP); si el vecino posee un AS
diferente, la conexión es EBGP (External BGP). Una vez que los vecinos son
definidos habrá mas comandos dentro del comando neighbor que se utilizarán para
definir las políticas del filtrado de rutas etc.
La siguiente sintaxis muestra la configuración del comando neighbor:
Router(config-router)# neighbor ip-address remote-as
autonomous-system-number
Listar a los vecinos y sus políticas asociadas puede resultar muy pesado.
Todos estos grandes bloques de configuración son difíciles de interpretar y de
resolver fallos en la red. El concepto del peer-group ayuda a solventar estos
problemas.
www.FreeLibros.com
CAPÍTULO 6. BGP
©RA-MA
211
Un peer-goup es un grupo de vecinos que comparten la misma política de
actualizaciones. Los routers son listados como miembros del mismo peer-group de
tal manera que las políticas asociadas con el grupo lo serán también del router. De
esta forma las políticas son aplicadas a cada vecino aunque también se pueden
definir parámetros individuales personalizando a cada uno de los vecinos, además
de aplicar una regla general propia del peer-group.
Los peer-group además de reducir la configuración ayudan a liberar al
router de sobrecarga. Si cada vecino es configurado individualmente, entonces el
proceso de actualizaciones de BGP tiene que ejecutarse separadamente para cada
uno de ellos. Si múltiples vecinos son configurados como un grupo, el proceso de
actualizaciones se ejecuta una vez enviando la misma actualización para todos los
miembros del grupo. Para que esto resulte adecuadamente los miembros del grupo
deben ser internos o externos.
El comando neighbor peer-group-name es utilizado para crear el peergroup y asociar a los peer dentro de un sistema autónomo. Una vez que el peergroup ha sido definido los miembros son configurados con el comando neighbor
peer-group.
R o u t e r (config-router)# neighbor peer-group-name peer-group
Router(config-router )# neighbor ip-address / peer-group-name
remote-as autonomoussystem-number
neighbor ip-address
group-name
Router(config-router )#
peer-group
peer-
La siguiente sintaxis muestra la configuración básica con tres vecinos:
Router(config)# router bgp 200
Router(config-router)# neighbor 190.55.5.2 remote-as 200
Router(config-router)# neighbor 190.55.5.3 remote-as 200
Router(config-router)# neighbor 190.55.5.4 remote-as 200
El siguiente es un ejemplo de configuración de peer-group:
Router(config)# router
Router(config-router)#
Router(config-router)#
Router(config-router)#
Router(config-router)#
Router(config-router)#
bgp 200
neighbor
neighbor
neighbor
neighbor
neighbor
Nom-AS peer-group
190.55.5.2 peer-group Nom-AS
190.55.5.3 peer-group Nom-AS
190.55.5.4 peer-group Nom-AS
Nom-AS remote-as 200
El comando neighbor también puede ser utilizado para deshabilitar un
peer. Normalmente un peer es deshabilitado durante una ventana de mantenimiento
o para prevenir caídas y subidas en un enlace.
www.FreeLibros.com
212
©RA-M A
REDES CISCO. CCNP a Fondo
Router(config-router)# neighbor
shutdown
ip-address
\ peer-group-name
El ejemplo que sigue muestra la configuración básica de los comandos
requeridos para que BGP funcione entre sistemas autónomos. Según muestra la
topología el router A en el AS-200 está conectado a los routers en los AS-300, AS400, AS-500 y AS-600.
RouterA(config)# interface SerialO/O.l
RouterA(config-int)# ip address 190.55.5.201 255.255.255.252
I
RouterA(config)# interface Serial0/0.2
RouterA(config-int)# ip address 190.55.5.205 255.255.255.252
i
RouterA(config)# interface Serial0/0.3
RouterA(config-int)# ip address 190.55.5.209 255.255.255.252
i
RouterA(config)# interface SerialO/O.4
RouterA(config-int)# ip address 190.55.5.213 255.255.255.252
i
RouterA(config)# router
RouterA(config-router)#
RouterA(config-router)#
RouterA(config-router)#
RouterA(config-router)#
bgp 200
neighbor
neighbor
neighbor
neighbor
190.55.5.202
190.55.5.206
190.55.5.210
190.55.5.214
remote-as
remote-as
remote-as
remote-as
www.FreeLibros.com
300
400
500
600
CAPÍTULO 6. BGP
©RA-MA
213
Dirección IP de origen
Los vecinos de BGP interno no tienen que estar directamente conectados,
normalmente un IGP es responsable del enrutamiento dentro del AS de tal forma
que los routers que ejecutan BGP pueden alcanzarse mutuamente a través del
enrutamiento proporcionado por el IGP.
En la siguiente figura el router A tiene varias direcciones IP. Los routers A
y B forman paridad y se encuentran directamente conectados por medio de la red
172.16.1.0, pero si el enlace se cae la interfaz del router B dejaría de responder,
incluso cuando el router B está directamente conectado al router C, no sabría que
hacer debido a qué la dirección configurada para el peer esta caída.
Sin embargo si el peering se establece mediante direcciones de loopback el
problema puede solventarse porque a pesar de que el enlace podría caerse, el router
B enviará el tráfico a través del router C. Para la configuración de este ejemplo hay
que tener en cuenta que se han utilizado las dicciones de loopback en el IGP.
Otro problema que surge es que cuando BGP crea tráfico la dirección IP de
origen es la de la interfaz de salida, en el router B el tráfico hacia el router A
tomaría el camino directo desde la interfaz 172.16.1.2, pero si el enlace falla el
tráfico redireccionará desde la dirección IP 175.16.3.1. Esta nueva dirección de
origen no encaja con la definida como peer, por lo tanto la conexión será
rechazada. Para permitir caminos redundantes el vínculo de origen tiene que ser el
mismo que el vecino espera. La sintaxis del comando en la siguiente:
Router(config-router)# neighbor
update-source interface■
www.FreeLibros.com
ip-address
| peer-group-name
214
©RA-MA
REDES CISCO. CCNP a Fondo
La configuración de los routers A y B está en la siguiente sintaxis:
Router A :
RouterA(config)# router bgp 100
RouterA(config-router)# neighbor 100.10.1.2 remote-as 100
RouterA(config-router)# neighbor 100.10.1.2 update-source
loopbackO
Router B :
RouterB(config)# router bgp 100
RouterB(config-router)# neighbor 100.10.1.1 remote-as 100
RouterB(config-router)# neighbor 100.10.1.1 update-source
loopbackO
Ambos routers establecen el peering hacia las direcciones de loopback de
sus vecinos y originan tráficos desde sus propias loopback permitiendo de esa
manera redundancias.
Los routers BGP externos normalmente no utilizan ningún protocolo de
enrutamiento haciendo peering con direcciones directamente conectadas. Por
defecto los paquetes EBGP poseen un valor de TTL igual a uno, lo que previene
que puedan viajar a más de un salto. Sería posible crear un modelo de redundancia
en el ejemplo anterior, pero es necesario que se cumplan las siguientes
condiciones:
•
Tiene que existir una ruta hacia ambas direcciones por donde se
establecerá el peer.
•
Debe ajustarse el TTL para que sea capaz de atravesar el número
necesario de saltos.
Para modificar el TTL por defecto en las conexiones externas se utiliza el
siguiente comando:
Router(config-router)# neighbor ip-address \ peer-group-name
ebgp-multihop hops
Forzando la dirección del próximo salto
Un next hop de BGP es el punto de entrada al sistema autónomo.
Normalmente el próximo salto es la dirección del router frontera, pero hay diversas
situaciones donde debe cambiarse. Las rutas recibidas desde vecinos externos serán
advertidas con próximo salto, con una dirección externa los vecinos internos
www.FreeLibros.com
CAPÍTULO 6. BGP
©RA-MA
215
podrían no reconocerla como una dirección válida. El comando next-hop-self
permite al router sustituir su dirección interna de tal manera que los vecinos
internos entenderán cómo alcanzar la dirección del próximo salto. La siguiente
sintaxis muestra la configuración de este comando:
R o u t e r (config-router)# neighbor {ip-address | peer-group}
next-hop-self
Definiendo las redes que serán anunciadas
El comando network configura las redes que van a ser originadas por este
router. Hay una diferencia notable entre el uso del comando network en BGP y en
otros protocolos de enrutamiento. Con este comando no se identifican las interfaces
que van a ejecutar BGP, sino que se identifican las redes que se van a propagar. Se
pueden utilizar múltiples comandos network, tantos como se requiera. El parámetro
de la máscara es muy útil en BGP puesto que puede funcionar con subnetting y
supemetting. La sintaxis del comando es la siguiente:
Router(config-router)# network network-number mask network-mask
Agregación de rutas
Para agregar o sumarizar rutas en un dominio de BGP se utiliza el siguiente
comando:
Router(config-router)# aggregate-address ip-address mask
[summary-only] [as-set]
En el caso de que se configure el parámetro summary-only todas las rutas
más específicas serán eliminadas propagándose solamente la sumarización de éstas.
Esto es opcional dependiendo de la topología existente pero aun así es conveniente
enviar la sumarización para evitar enviar demasiados prefijos. Cuando se utiliza el
parámetro as-set todos los sistemas autónomos que han sido atravesados serán
almacenados en el mensaje update.
El siguiente ejemplo muestra la configuración de BGP utilizando el
comando aggregate-address, con el parámetro summarization. Las rutas con un
prefijo mayor que /16 serán sumarizadas. De esta forma la ruta 10.10.35.8/29 no es
vista en las actualizaciones update debido a que está sumarizada dentro de la red
10.20.0.0/16. Cualquier otra ruta que no esté sumarizada dentro de esa
actualización será listada individualmente. La sumarización reduce sobrecarga en
la red y simplifica la administración de la misma.
www.FreeLibros.com
216
©RA-MA
REDES CISCO. CCNP a Fondo
Router(config)# interface SerialO
Router(config-int)# ip address 10.255.255.201 255.255.255.224
Router(config)# router bgp 100
Router(config-router)# network 10.10.35.8 255.255.255.252
Router(config-router)# network 10.10.27.0 255.255.255.0
Router(config-router)# network 10.10.100.0 255.255.2550.0
Router(config-router)# aggregate-address 10.10.0.0
255.255.0.0 summary-only
Router(config-router)# neighbor 10.255.255.202 remote-as 200
Router(config-router)# neighbor 10.255.255.202 next-hop-self
Router(config-router)# neighbor 10.255.255.206 remote-as 300
Router(config-router)# neighbor 10.255.255.206 next-hop-self
Autenticación
La autenticación es una parte importante en BGP sobretodo para
proveedores de servicios (ISP). Sin autenticación estos ISP estarían expuestos a
múltiples ataques desde Internet. La autenticación de BGP consiste en abordar una
clave o contraseña entre los vecinos de tal manera que se envíe un hash MD5 con
cada paquete BGP. Esta autenticación es muy simple de configurar y asocia la
contraseña con el vecino:
Router(config-router)# neighbor ip-address password password
VERIFICACIÓN DE BGP
Los comandos show para BGP brindan una información clara acerca de las
sesiones de BGP y de las opciones de enrutamiento:
•
show ip bgp, muestra la tabla de enrutamiento de BGP.
•
show ip bgp summary, muestra el estado de las sesiones de BGP
y también el número de prefijos aprendidos en cada sesión.
• show ip bgp neighbors, muestra la información de la conexión
TCP hacia los vecinos, así como el tipo y número de mensajes
BGP que están intercambiándose con cada vecino. Cuando la
conexión se establece los vecinos intercambian actualizaciones.
• show processes cpu, muestra los procesos activos y se usa para
identificar los procesos que consumen demasiados recursos,
pueden ordenarse por cantidad de recursos consumidos.
Otro comando de gran utilidad es el debug, como todos estos comandos
debe utilizarse con la debida precaución. Mostrará la información real de los
eventos que se están ejecutando:
www.FreeLibros.com
CAPÍTULO 6. BGP
©RA-M A
Router# debug ip bgp [dampening | events
217
| keepalives | updates]
El Route dampening es un mecanismo para identificar la inestabilidad
causada por caídas aleatorias de rutas o flapping. Cuenta la cantidad de veces que
una ruta determinada cae aplicando una penalización a cada una de estas caídas. De
esta manera BGP puede ignorar esas rutas para utilizar las rutas más estables.
Reestableciendo la vecindad
Luego de configurar cambios en BGP a veces es necesario hacer un hard
reset que significa resetear la sesión TCP entre ambos vecinos. Se ejecuta con el
siguiente comando:
Router(config-router )# clear ip bgp {* | address}[soft [in|out]]
Este comando desconecta la sesión entre vecinos y la reestablece con la
nueva configuración que ha sido aplicada. BGP solamente intercambia rutas
cuando la relación de vecindad ha sido establecida. A partir de ese momento si los
vecinos cambian las políticas, como por ejemplo una nueva lista de distribución, el
único medio para propagar los cambios sin reiniciar el router es resetear la sesión
TCP.
Este reinicio puede generar algunos de estos problemas:
•
El reinicio de la sesión tarda bastante tiempo en reestablecerse e
interrumpe el tráfico mientras se está iniciando nuevamente.
•
Al resetear la sesión los routers lo pueden detectar como una caída
de un enlace, pudiendo causar que los pares se desasocien.
•
Al resetear la sesión la tabla de enrutamiento debe ser enviada por
completo nuevamente, generando mucho tráfico.
Existe una alternativa al hard reset que es un reinicio de sesión menos
violento. El soft reset no interrumpe el enrutamiento ni causa flapping. Pueden
configurarse tanto para conexiones entrantes como salientes.'
La siguiente sintaxis muestra la configuración de un soft reset de salida:
Router(config-router )# clear ip bgp {* | address} soft out
Un soft reset le indicará al router local que debe enviar su tabla de
enrutamiento BGP completa hacia el vecino pero haciéndolo de tal manera que la
sesión TCP que hay entre ambos no caiga. De esta forma los cambios en la política
de enrutamiento en dirección hacia el vecino saliente son enviados.
www.FreeLibros.com
218
©RA-MA
REDES CISCO. CCNP a Fondo
Hay casos en los que se requiere que el vecino envíe sus anuncios
siguiendo este sistema, pero la única manera de hacerlo es a través del
administrador para que ejecute dicho comando en su router.
El reseteo suave de entrada permite simular la recepción de una
actualización. Para poder ejecutarlo en el router local debe existir una copia no
procesada de la actualización del vecino.
El comando soft-reconfiguration-inbound debe estar pre-configurado
para el vecino, como se expone en la siguiente sintaxis. El router guardara dos
copias de ese anuncio, antes y después de procesar:
Router(config-router)# neighbor ip-address soft-reconfiguration
inbound
Asumiendo que esta capacidad está disponible, se podrá repetir un anuncio
previamente guardado, por ejemplo se podría forzar una actualización desde el
vecino a través de los nuevos filtros utilizando el siguiente comando:
Router(config-router)# clear ip bgp ip-address soft in
Cada vez que se utilice el comando soft se le está indicando al router que
no cierre la sesión TCP.
ATRIBUTOS DE BGP
Las rutas aprendidas vía BGP llevan asociados ciertos atributos que sirven
para determinar qué rutas son la mejor opción hacia un destino y si existen varios
caminos hacia ese destino en particular. Para diseñar redes robustas con BGP hay
que comprender cómo los atributos de BGP influyen en el proceso de selección de
rutas.
La siguiente tabla muestra los atributos BGP soportados en IOS:
Atributo
Categoría
Descripción
Aggregator
Optional, transitive
ID y AS del router que lleva a cabo la
sumarización. No se usa en el proceso
de selección de caminos.
AS_Path
Well-known,
mandatory
Lista de todos los AS a través de los
cuales ha pasado. Se prefiere el más
corto.
www.FreeLibros.com
©RA-M A
CAPÍTULO 6. BGP
Atomic
aggregate
Well-known,
discretionary
Al generar una sumarización envía los
AS de las rutas que componen dicha
sumarización. No se usa en el proceso
de selección de caminos.
Cluster ID
Optional,
nontransitive
Identifica un clúster, Route Reflectors.
No se usa en el proceso de selección de
caminos.
Community
Optional, transitive
Etiqueta prefijos. No se usa en el
proceso de selección de caminos.
Local
preference
Well-known,
discretionary
Indica el nivel de preferencia para
alcanzar prefijos externos a través de los
routers internos. Se prefiere el valor más
alto.
Múltiple Exit
Discriminator
(MED)
Optional,
nontransitive
Indica a vecinos externos qué camino
usar para alcanzar prefijos.
Next Hop
Well-known,
mandatory
Peer externo en el AS vecino. No se usa
en el proceso de selección de caminos.
Origin
Well-known,
mandatory
Código de origen. Preferidos en este
orden: (i) IGP, (e) EGP, (?) Incomplete.
Originator ID
Optional,
nontransitive
Identifica al Route Reflector. No se usa
en el proceso de selección de caminos.
Weight
Optional, not
communicated
to peers
Propietario de Cisco. Se prefiere el más
alto.
219
Es posible que BGP pueda recibir varios anuncios para la misma ruta desde
diferentes orígenes. BGP solamente selecciona un camino como el más adecuado;
una vez que dicho camino es seleccionado BGP lo pone en la tabla de enrutamiento
y lo propaga a sus vecinos.
El proceso de selección de rutas completo de BGP sigue el siguiente orden:
1. Se prefiere el camino con el weight más alto. Este atributo es propietario
de Cisco y es local al router en el que se configura.
www.FreeLibros.com
220
©RA-M A
REDES CISCO. CCNP a Fondo
2.
Se prefiere el camino con local_pref más alto. Por defecto toma un valor
de 100 pero es posible modificarlo.
3.
Se prefieren caminos originados localmente vía el comando network o
aggregate, o mediante redistribución desde un IGP. Los caminos locales
originados por el comando network o redistribute son preferidos sobre
los localmente agregados usando el comando aggregate-address.
4. Se prefiere el camino con el asjpath más corto.
•
Este paso es omitido si el comando bgp bestpath as-path ignore
está configurado.
•
Un as_set cuenta como 1, no importa cuántos AS haya en el “set”.
•
Los as_confed_sequence y as_confed_set no están incluidos en la
longitud del asjpath.
5.
Se prefiere el camino
con el origin más bajo, donde IGP<EGP.
6.
Se prefiere el camino
con la med más baja. Por defecto es 0.
7.
Se prefieren caminos EBGP sobre caminos IBGP. Si se trata de un camino
EBGP continúa en el paso 9.
8.
Se prefiere el camino a través del IGP con la menor métrica hacia el next
hop de BGP
9. Determinar si se requiere instalar múltiples caminos en la tabla de
enrutamiento para BGP Multipath.
10. Cuando ambos caminos son externos se prefiere el que fue recibido
primero (el más antiguo). Esto minimiza el flapping de rutas. Hay que
omitir este paso si se cumple alguna de las siguientes condiciones:
•
Está habilitado el comando bgp best path compare-router-id.
•
El router ID es el mismo para múltiples caminos porque las rutas
fueron recibidas desde el mismo router.
•
No existe un “best path” actualmente.
11. Se prefiere la ruta que viene desde el router BGP con el router ID más
bajo. En caso de que el camino contenga atributos de Route Reflectors RR
el originator ID es substituido por el router ID en el proceso de selección
de rutas de BGP.
12. Si el originator o router ID es el mismo para múltiples caminos,
preferimos el camino con la lista de clúster de menor longitud. Esto
solamente está presente en entornos con RR.
www.FreeLibros.com
© RA-MA
CAPÍTULO 6. BGP
221
13. Se prefiere el camino que viene desde el vecino con la dirección IP más
baja correspondiente a la usada durante el establecimiento de la sesión
TCP, es decir, la que figura en la configuración del vecino.
Existen tres conceptos fundamentales para la configuración de BGP
•
La regla de sincronización
•
Comportamiento de horizonte dividido en BGP
•
La selección de caminos BGP
Controlando la selección de caminos de BGP
El propio sistema que BGP utiliza para controlar la selección de rutas es
bastante sofisticado habrá momentos en que el administrador tendrá que influir en
ese comportamiento modificando los atributos del protocolo. Existen muchos
métodos para influenciar la selección de caminos en BGP, pero los route-maps son
los más utilizados.
Los cuatro principales atributos qué se suelen modificar son Weight,
Local-Preference, MED y AS-path prepending. Los dos primeros se modifican
para influenciar cómo sale el tráfico del AS y los siguientes indicarán a otros AS
cómo se prefiere que ellos alcancen al AS local.
Uso del atributo Weight
Este atributo es propietario de Cisco, selecciona la interfaz de salida
cuando existen múltiples rutas hacia un mismo destino. Cuanto más alto es el valor,
mayor preferencia. Este atributo es local al router y no se propaga hacia los demás
routers. Este atributo es extremadamente potente, porque es el primero que BGP
utiliza en el proceso de selección y toma preferencia sobre cualquier otro.
Para configurarlo se utiliza el siguiente comando:
Router(config-router)# neighbor {ip-address. | peer-groupname} weight weight
El Weight puede tomar valores entre 0 y 65535, por defecto es 0 a menos
que el router esté originando la ruta, en cuyo caso el peso por defecto será 32768.
La figura que sigue ilustra el uso del atributo Weight y la sintaxis muestra
cómo es elegida la ruta a través del router Madrid. El Weight ha sido modificado
en el router Burgos haciendo preferible el camino a través del router Madrid sin
importar cuál sea la red que se está tratando de alcanzar.
www.FreeLibros.com
222
REDES CISCO. CCNP a Fondo
©RA-MA
El mejor camino para llegar a la red 130.16.0.0 es a través del router León,
pero finalmente y por los cambios efectuados será a través de Madrid.
Burgos(config)# router
Burgos(config-router)#
Burgos(config-router)#
Burgos(config-router)#
Burgos(config-router)#
bgp 100
bgp log-neighbor>changes
neighbor 167.55.191.3 remote-as 100
neighbor 167.55.199.2 remote-as 100
neighbor 167.55.199.2 weight 200
Uso del atributo Local-Preference
Este atributo es fácil de configurar: puede hacerlo por defecto o por prefijo.
La sintaxis es la siguiente:
Router(config-router)# bgp default local-preference valué
El atributo Local-Preference tiene un rango entre 0 y 4294967295, cuanto
más alto el valor mayor preferencia. Por defecto lleva un valor de 100.
El siguiente ejemplo está basado en la siguiente figura, el atributo LocalPreference está configurado en el router Madrid con un valor de 200 y se propaga
en todas las actualizaciones a todos los peers.
www.FreeLibros.com
CAPÍTULO 6. BGP
©RA-MA
223
El valor de Local-Preference esta configurado a 100 en el router León y se
propaga a todos los peers. Cuando el router Burgos deba decidir quá ruta utilizar
para llegar a la red 130.16.0.0 el Local-Preference más alto dicta que Madrid es la
mejor salida desde el AS.
Madrid(config)# router bgp 100
¡
Madrid(config-router)# bgp default local-preference 200
Madrid(config-router)# aggregate-address 167.55.0.0
255.255.0.0 summary-only
Madrid(config-router)# neighbor 100.2.4.4 remote-as 400
Madrid(config-router)# neighbor 100.2.4.4 default-originate
i
Madrid(config-router)# neighbor 167.55.195.3‘remote-as 100
Madrid(config-router)# neighbor 167.55.199.1 remote-as 100
León(config)# router bgp 100
¡
León(config-router)#
León(config-router)#
Leon(config-router)#
summary-only
León(config-router)#
León(config-router)#
León(config-router)#
bgp default local-preference 100
network 167.55.0.0
aggregate-address 167.55.0.0 255.255.0.0
neighbor 100.2.3.2 remote-as 300
neighbor 167.55.191.1 remote-as 100
neighbor 167.55.195.2 remote-as 100
www.FreeLibros.com
224
©RA-MA
REDES CISCO. CCNP a Fondo
La Local-Preference también puede ser aplicada por prefijos. Aunque
existen varios métodos para modificar las rutas los route-maps son los más
utilizados. Para cambiar los parámetros de los route-maps simplemente se modifica
el parámetro en el comando neighbor:
Router(config-router)# neighbor {IP | peer group} route-map
route-map ñame {in|out}
La siguiente sintaxis muestra un route-maps aplicada a todas las rutas
redistribuidas desde un peer. Las rutas son comparadas con una ACL y las que son
permitidas adquieren una Local-Preference de 500. La línea 20 no tiene sentencia
match por lo tanto aplica a todo el resto de las rutas. Las rutas denegadas
adquieren un Local-Preference de 50.
Lisboa(config)# router bgp 100
Lisboa(config-router)# neighbor 10.5.5.25 remote-as 100
Lisboa(config-router)# neighbor 10.5.5.25 route-map example_LP in
Lisboa(config-router)# exit
Lisboa(config)# access-list 5 permit 10.1.1.0 0.0.0.255
Lisboa(config)# route-map example_LP permit 10
Lisboa(config-rmap)# match ip address 5
Lisboa(config-rmap)# set ip local-preference 500
Lisboa(config)# route-map example_LP permit 20
Lisboa(config-rmap)# set ip local-preference 50
Uso del atributo MED
Este atributo es advertido a los vecinos externos para influenciarlos en el
sentido de cómo van a poder alcanzar a nuestro sistema autónomo, es decir, que se
modifica el tráfico de entrada hacia nuestro AS. Por ejemplo cuando existen
enlaces redundantes hacia un ISP y se necesita que el tráfico fluya sobre el enlace
con mayor capacidad. Con el Weight o con el Local-preference se puede controlar
cómo los routers locales envían tráfico fuera del sistema autónomo, pero los
vecinos externos no reciben esa información. Si se configura el atributo MED para
que sea más bajo en uno de los caminos, éste será elegido por los vecinos pera
enviar tráfico hacia el AS local.
MED es un atributo opcional y transitivo, cuanto menor sea tendrá mayor
preferencia, por defecto el valor de MED es 0.
La sintaxis de configuración del atributo MED es la siguiente:
Router(config-router)# default-metric valué
www.FreeLibros.com
CAPÍTULO 6. BGP
© r a -m a
225
El ejemplo que sigue muestra un route-map anunciado hacia un peer. En
primer lugar las rutas son comparadas con una ACL y las rutas permitidas llevarán
una métrica de 500, la línea 20 del route-map no incluye una sentencia match por
lo tanto todas las demás rutas que sean denegadas por la ACL llevarán una métrica
de 5000.
Router(config)# router bgp 100
Router(config-router)# neighbor 10.6.6.36 remote-as 200
Router(config-router)# neighbor 10.6.6.36 route-map med_rm out
Router(config-router)# exit
Router(config)# access-list 5 permit 10.1.1.0 0.0.0.255
R o u t e r (config)# route-map med_rm permit 10
Router(config-rmap)# match ip address 5
R o u t e r (config-rmap)# set metric 500
R o u t e r (config)# route-map med_rm permit 20
Router(config-rmap)# set metric 5000
Uso del atributo AS-path
El atributo AS-path prepending es del tipo Well-known y obligatorio para
todas las actualizaciones. Es el mecanismo que BGP utiliza para detectar bucles de
enrutamiento y que además es el sistema para decidir que ruta es la más corta.
Mientras más AS sean atravesados peor será el camino, siempre se utilizará el ASpath más corto.
EL AS-path que se envía a un vecino puede modificarse utilizando un
route-map de esta forma se puede replicar el AS local para conseguir establecer
caminos menos preferidos que otros.
Router(config)# router
Router(config-router)#
Router(config-router)#
Router(config-router)#
Router(config-router)#
bgp 65005
neighbor 193.0.0.2 remote-as 65100
neighbor 193.0.0.2 route-map prepend out
route-map PREPEND permit 10
set as-path prepend 65005 65005 65005
VERIFICACIÓN DE LOS ATRIBUTOS
El comando show ip bgp muestra los atributos, los valores y el estado. Es
un buen comando para verificar la configuración y los cambios efectuados y para
administrar el flujo del tráfico desde y hacia nuestro AS.
Los siguientes ejemplos muestran dos show ip bgp basados en los casos
anteriores, observe el cambio del Weight a 200 en el segundo ejemplo y su efecto
en la red.
www.FreeLibros.com
226
REDES CISCO. CCNP a Fondo
©RA-M A
Chicago# show ip bgp
BGP table versión is 22, local router ID is 192.168 .0.231
Status codes: s suppressed, d damped, h history, * valid, > best,
i - internal, r RIB-failure
Origin codes: i - IGP, e - EGP , ? ñ incomplete
Metric
LocPrf Weight Path
Network
Next Hop
0 400 I
0
100
100.2.4.4
*>i4.0.0.0
0
100
0 300 I
*>i5.0.0.0
100.2.3.2
0
100
0 300 I
*>il00.2.3.0/29 100.2.3.2
0
100
0 400 I
*>il00.2.4.0/29 100.2.4.4
0
100
0 300 I
100.2.3.2
*>il30.16.0.0
0 I
281600
100
167.55.191. 3
r>il67.55.0.0
Chicago# show ip bgp
BGP table versión is 8, local router ID is 192.168. 0.231
Status codes: s suppressed, d damped, h history, * valid, > best,
i - internal,r RIB-failure
Origin codes: i - IGP, e - EGP , ? — incomplete
Metric
LocPrf Weight Pat,h
Network
Next Hop
0
100
200 400 i
*>i4.0.0.0
100.2.4.4
0
100
0 300 i
*>i5.0.0.0
100.2.3.2
0
100
0 300 i
*>il00.2.3.0/29 100.2.3.2
0
100
200 400 i
*>il00.2.4.0/29 100.2.4.4
100 200 400 500 300 i
100.2.4.4
*>il30.16.0.0
0
100
0 300 i
* i
100.2.3.2
281600
100
0
i
r>il67.55.0.0
167.55.191. 3
Campo
Descripción
BGP table versión
Número interno de la versión de la tabla. Se
incrementa cuando la tabla cambia.
local router ID
La dirección IP usada como BGP ID.
status codes
El estado se muestra al principio de cada línea y
puede tomar estos valores:
•
s - suprimido
•
* - válido
•
> - mejor entrada para esa red
•
i - aprendida via iBGP
•
d - dampening ha sido aplicado
www.FreeLibros.com
CAPÍTULO 6. BGP
.-MA
El código de origen está situado al final del ASpath. Puede ser uno de los siguientes valores:
•
Origin
•
•
i - La red ha sido advertida usando el
comando network.
e - La red ha sido originada desde EGP
(actualmente no se usa).
? - La red ha sido redistribuida en BGP.
Network
Un prefijo.
Next hop
IP del primer vecino externo en el camino. Si es
0.0.0.0 indica que la ruta ha sido auto originada.
Metric
Atributo de BGP usado para influenciar el tráfico
de vuelta. Por defecto es 0.
LocPrf
Atributo de BGP usado para indicar al AS qué
router usar para salir hacia otro AS. Por defecto
es 100.
Weight
Atributo de BGP para indicar al router qué
camino tomar para llegar al destino. Es
propietario de Cisco y es local al router.
Path
Sistemas Autónomos que hay hacia el destino.
Puede haber una entrada en este campo por cada
AS que haya que atravesar.
www.FreeLibros.com
227
www.FreeLibros.com
Capítulo 7
MULTICAST
INTRODUCCIÓN A MULTICAST
Tipos de direcciones IP
En una red IP pueden existir tres tipos de direccionamiento:
•
Unicast, los paquetes son enviados desde un origen hacia un sólo destino.
•
Broadcast, los paquetes son enviados con un direccionamiento de
difusión.
•
Multicást, los paquetes son enviados a una dirección especial de grupo.
Unicast: los paquetes unicasts son enviados a una dirección específica.
Cuando se envía información a un determinado grupo será necesario hacerlo a cada
uno de los componentes de dicho grupo, lo que provoca un consumo de ancho de
banda. Unicast es enviado por un router o por un switch de capa 3 que encuentra
en su tabla de direccionamiento la dirección IP. Un switch de capa 2 confia en la
dirección MAC del destino. El envió unicast está habilitado por defecto, es el más
común de los tres tipos de direccionamiento.
Broadcast: es la manera de comunicar exactamente la misma información
a todo un grupo. Los broadcasts son transmitidos al medio y recibidos por todos los
dispositivos. Existen protocolos de enrutamiento que utilizan broadcasts para
distribuir la información de enrutamiento. En lugar de requerir varios paquetes
www.FreeLibros.com
230
©RA-M A
REDES CISCO. CCNP a Fondo
unicast simplemente se envía un paquete que alcanza a todos los dispositivos. Los
broadcasts son útiles además, para cuando se quiere enviar una información a un
destino desconocido. DHCP utiliza broadcast para asignar direcciones unicast.
Las NIC están programadas para escuchar todo el tráfico y de esa manera
reconocer el tráfico que está destinado a la propia dirección local MAC o la
dirección MAC de broadcast y enviar las tramas a las capas superiores.
El problema de los broadcasts es que deben ser procesados por la CPU, por
ejemplo, un PC que recibe una actualización de RIP tendrá que procesar el paquete
para comprender que no está interesado en el mismo.
Los broadcasts en ethemet son enviados a la dirección MAC reservada
ffff.ffff.ffff. Los switches de capa 2 inundan los broadcasts fuera de todos los
puertos en la misma VLAN. Los broadcasts en IP están reservados en la dirección
255.255.255.255. Los routers no retransmiten tráfico broadcast por defecto.
Multicást: son direcciones de grupo. Un dispositivo IP se une a un grupo
reconociendo una dirección IP de otro grupo y reprogramando su tarjeta de red
(NIC) para copiar todo el tráfico destinado a la dirección MAC del grupo. Debido a
que el tráfico multicást está dirigido a diferentes MAC algunos host prestarán
atención mientras que oros lo ignorarán. EIGRP utiliza 224.0.0.10 y la dirección
MAC 0100.5E00.000A, los routers prestarán atención a este tráfico pero un PC lo
ignorará.
Debido a que multicást permite discriminar el tráfico a nivel de la tarjeta de
red, es decir, a nivel de enlace de datos, se pierde menos tiempo de procesamiento
de dicho tráfico.
El tráfico multicást generalmente es unidireccional, hay un origen que
envía el tráfico a todos los destinos, mientras que éstos devuelven el tráfico de
manera unicast. El tráfico multicást es enviado utilizando el protocolo UDP, por lo
tanto no está orientado a la conexión de tal manera que no hay verificación de que
los paquetes sean realmente entregados, dejando esta responsabilidad a los destinos
o la aplicación.
Los host que quieren recibir datos de una dirección origen multicást
pueden unirse o dejar el grupo de forma dinámica habilitando la dirección MAC
del grupo en su tarjeta de red. Un host puede ser miembro de más de un grupo
multicást al mismo tiempo.
www.FreeLibros.com
© RA-MA
CAPÍTULO 7. MULTICAST
231
El tráfico multicást solamente es procesado por los host que están
programados para recibirlo, un router por defecto no reenvía paquetes multicást a
no ser que esté habilitado para hacerlo. Por defecto los switch de capa 2 hacen una
inundación de todo el tráfico multicást en todos los puertos de la misma VLAN.
Vídeo en un escenario IP
La siguiente figura muestra una topología en la que el jefe de un
departamento de una empresa quiere hablar con los empleados utilizando vídeo
sobre IP. Los enlaces Fast Ethernet son de 100 Mbps mientras que los enlaces
WAN DS3 son de 45 Mbps. Los Usuarios A, B, C y E quieren atender el pedido
pero el usuario D no.
Suponiendo que el flujo del vídeo fuera unicast y de 1 Mbps haría falta un
camino de 1 Mbps hacia cada uno de los destinos. Los enlaces Fast Ethernet
limitarían la cantidad de clientes a un máximo de 100, y los DS3 los limitarían a un
máximo de 45 clientes por enlace. Si se utilizara todo el tráfico la red quedaría no
disponible para el resto de los empleados.
www.FreeLibros.com
232
REDES CISCO. CCNP a Fondo
© RA-MA
Cuando se reconoce este problema el administrador de la red trata de
redistribuir el vídeo utilizando broadcast, pero no logra conexión debido a que los
routers no procesan los broadcast, incluso dentro de una LAN los broadcast son
problemáticos puesto que llegan a todos los usuarios obligándolos a procesar todo
el tráfico.
El multicást resolvería esta situación. Un simple flujo multicást podría ser
distribuido a todos los usuarios conservando la capacidad de la red.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
233
El tráfico multicást se puede enrutar, y los usuarios que no desean verlo
simplemente lo ignoran para no sobrecargar a los ordenadores.
En el peor escenario posible el usuario D estaría recibiendo el tráfico pero
la tarjeta lo ignoraría. En el mejor caso posible el switch es lo suficientemente
inteligente como para filtrar ese tráfico multicást sabiendo que D no quiere
recibirlo. Para ello utilizaría IG M P o CGMP.
DIRECCIONAMIENTO MULTICAST
Los sistemas finales y tipos de los sistemas intermedios tienen que ser
capaces de distinguir el tráfico multicást, unicast y broadcast.
Un dispositivo de capa 3 utiliza direcciones reservadas Clase D que van
desde la 224.0.0.0 hasta la 239.255.255.255. Los dispositivos de red pueden
reconocer rápidamente tráfico multicást porque los primeros 4 bits son siempre
1110. Los dispositivos Ethernet de manera similar tienen direcciones especiales
para multicást.
www.FreeLibros.com
234
©RA-MA
REDES CISCO. CCNP a Fondo
El bit de menor orden en el primer byte de una dirección MAC sirve para
indicar si es multicást o unicast, si el valor es 1 indica que la trama es multicást.
Además de este bit las direcciones IP multicást están mapeadas a un rango
específico de direcciones MAC para ayudar a los host a discriminar el tipo de
tráfico.
Direccionamiento MAC multicást
A nivel de capa 2 los dispositivos reconocen tráfico multicást porque cada
dirección IP de multicást está asociada a una dirección MAC de 48 bits.
Los primeros 24 bits de la dirección MAC corresponden al OUI
(Organizationally Unique Identifier) o código de fabricante y comienzan con
0100.5e y el bit número 25 siempre es 0. Los siguientes 23 bits de la dirección
MAC son copiados desde los 23 bits más a la derecha de la dirección IP.
El siguiente ejemplo muestra el concepto del mapeo de direcciones:
IP 2 2 7 .6 4 .3 .5
0000 0001 0000 0 0 0 0
0
1
0
0
5
227 _________ 64___________ 3
1 11 0 0011 010 0 0000 0 00 0 0011 0000 0101
O í 01 1 1 1 0 010 0 0000 0000 0011 0000 0101
5
E
4
0
0
3
0
5
M AC 0 1 0 0 .5 E 4 0 .0 3 0 5
Solamente los primeros 23 bits desde la derecha son copiados desde la
dirección IP a la MAC. Los prefijos más a la izquierda de la dirección IP y la
dirección MAC son fijos y predecibles.
Hay 5 bits de la dirección IP dentro del rango que no son transferidos hacia
de la dirección MAC multicást, esto crea la posibilidad de que las direcciones
MAC de multicást no sean totalmente únicas. Existen 32 direcciones multicást
diferentes que pueden corresponder con la misma dirección MAC.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
235
1110 0000.0= =224.0
A
1110 0001.0= =225.0
1110 0010.0= =226.0
1110 1101.0= =237.0
1110 1110.0= =238.0
1110 1111.0= =239.0
32 direcciones multicást
que pueden
corresponder con
la misma dirección MAC
1110 0000.1= =224.1
1110 0001.1= =225.1
1110 0010.1= =226.1
1110 1101.1= =237.1
1110 1110.1= =238.1
1110 1111.1= =239.1
5 bits que no son
tenidos e n cuenta
Esta situación queda demostrada en la siguiente figura, donde la NIC es
incapaz de distinguir tráfico para la dirección 234.64.3.5, 225.192.3.5 y 227.64.3.5.
5 bits que no son
tenidos en cuenta
IP 234.64.3.5
1110 1010 0 100 0000 0000 0011 0000 0101
IP 225.6192.3.5
1110 0001 1 100 0000 0000 0011 0000 0101
1110 0011 0 100 0000 0000
IP 227.64.3.5
0011 0000 0101
0000 0001 0000 0000 0101 1 1 1 0 p 100 0000 0000 0011 0000 0101
0
1
0
0
5
E
4
0
0 '
3
0
5
MAC 0100.5E40.0305
Debido a esta ambigüedad el direccionamiento multicást encara un
pequeño problema cuando está recibiendo una trama Ethernet que está destinada a
una dirección MAC de multicást. Esta dirección MAC podría corresponder a 32
direcciones IP multicást diferentes. El host tiene que recibir y examinar cada trama
que incluya la dirección MAC en la que está interesado, sin importar desde qué
dirección IP está viajando dicha trama hacia él. El host examina la cabecera del
www.FreeLibros.com
236
©RA-MA
REDES CISCO. CCNP a Fondo
paquete para verificar que la dirección IP multicást específica corresponde al grupo
deseado. Para el caso que no sea lo esperado la trama se descarta.
Direccionamiento IP multicást
Sumado al direccionamiento de Clase D de multicást existen varios rangos
que se utilizan para un direccionamiento en particular:
Link-local addresses (224.0.0.0/24), son usadas en el segmento local,
poseen un TTL de 1 de tal manera que los routers no reenvían el tráfico debido al
valor del TTL. Estas direcciones son fijas y conocidas:
Dirección
Destino
224.0.0.1
Todos los hosts.
224.0.0.5
Todos los router OSPF.
224.0.0.6
Todos los DR OSPF.
224.0.0.9
Todos los router RIPv2.
224.0.0.10
Todos los router EIGRP.
Source-specific multicást (232.0.0.0/8), este direccionamiento es una
extensión de multicást donde el host puede seleccionar el grupo del cual quiere
recibir tráfico, o por el contrario lo recibe desde cualquier origen. Se utiliza con
IGMPv3.
GLOP (233.0.0.0/8), este rango proporciona 256 direcciones IP de
multicást para cada sistema autónomo que esté registrado. El número de AS de 16
bits es utilizado en los octetos centrales, en el ejemplo se observa un AS 1500:
233.0.0.0/8
AS 1500
Donde:
233 es el identificador GLOP
1500=10111011100 AS en binario
S - JV------y------'
5
220
Por lo tanto 233.5.220.0
www.FreeLibros.com
©RA-MA
CAPÍTULO 7. MULTICAST
237
Administratively scoped addresses (239.0.0.0/8), este espacio de
direccionamiento es utilizado en dominios de multicást privados. Llevan una
similitud con la RFC 1918. Estas direcciones no son enrutadas entre dominios de
manera que pueden ser reutilizadas. Dentro de este ámbito administrativo la
dirección 239.252.0.0/14 es utilizada localmente y la 239.192.0.0/10 para toda la
organización.
Globally scoped addresses (224.0.1.0-231.255.255.255 y 234.0.0.0238.255.255.255), este direccionamiento puede ser utilizado por cualquier entidad
para enrutar tráfico para cualquier organización en Internet. Son únicas y
globalmente significativas y son asignadas de manera temporal.
Aplicaciones multicást
El direccionamiento multicást es utilizado en muchas aplicaciones, como
las utilizadas con las imágenes que distribuyen esas imágenes a través de multicást.
En este escenario, un servidor es cargado con todas las imágenes y cada uno de los
clientes puede recibirlas a través del tráfico multicást. Otro uso común de las
aplicaciones multicást es un escenario compartido, donde varios usuarios
comparten un espacio de trabajo.
Por último agregar que el direccionamiento multicást permite descubrir
procesos de enrutamiento. Los procesos de enrutamiento de RIPv2, OSPF y EIGRP
descubren a sus vecinos por medio del direccionamiento multicást.
Las aplicaciones pueden ser de uno a varios, como por ejemplo las
imágenes de varios a varios, como compartir un escenario de trabajo o de varios a
uno, como el caso de las actualizaciones de enrutamiento.
Problemas con multicást
Multicást presenta una serie de problemas debido a que el tráfico en UDP
no existe una función de control de envío ni de organización de paquetes, ni la
capacidad de retransmisión. Sumado a la falta de capacidad para permitir a ciertos
usuarios en el mismo segmento recibir tráfico multicást y otros no, aunque existen
métodos para corregir este comportamiento.
Estos retos pueden resolverse a nivel de protocolo. Para tráfico multimedia
el orden puede ser controlado utilizando RTP (Real Time Protocol) y los problemas
de seguridad pueden resolverse utilizando encriptación con IPsec.
www.FreeLibros.com
238
REDES CISCO. CCNP a Fondo
©RA-MA
Multicást y la capa de enlace
Los switch de capa 2 construyen una tabla que enlaza direcciones MAC
con los puertos que llegan hacia ellas. Los switch aprenden acerca de cada
dirección MAC y sus correspondientes puertos mirando la dirección MAC de
origen cuando recibe tráfico. Cuando el switch se inicia desconoce ese mapeo al no
poseer tablas almacenadas, por lo que inunda todos los puertos dentro del mismo
dominio de broadcast o VLAN. Este mecanismo funciona bien para difusiones, una
dirección de broadcast nunca será una dirección de origen por lo tanto nunca estará
en la tabla de direcciones MAC. Los broadcast son siempre reenviados por todos
los puertos.
El tráfico multicást también se lo identifica como desconocido porque las
direcciones multicást solamente aparecen como dirección de destino. Los switch
reenvían todo ese tráfico y es el destino final quien elegirá las tramas en que está
interesado. El tráfico multicást hacia un dispositivo que no está interesado en él es
un gasto de ancho de banda. Las tarjetas de red que no son suficientemente
sofisticadas o modernas no son capaces de discriminar si están interesadas o no en
las tramas que reciben, por lo tanto esto conlleva a que la decisión debe ser tomada
por el procesador, gastando recursos del mismo.
Existen tres métodos en los switch Cisco para manejar y optimizar esta
situación. Estos tres métodos lo que intentan es limitar el tráfico multicást a los
puertos que realmente quieren recibirlo y ocultarlo a los demás:
•
Entradas estáticas en las tablas MAC, mapeando manualmente las entradas
MAC.
•
CGMP (Cisco Group Management Protocol).
•
IGMP (Internet Group Management Protocol).
Creando las entradas manualmente de forma estática es el método más
sencillo de entender, pero no puede reaccionar ante cambios en la red, es decir, no
es dinámico. Este sistema conlleva a la manipulación de muchos switch en la red
generando una gran carga de trabajo. Crear las tablas MAC manualmente es más
fácil pero no el método apropiado.
CGM P es una solución propietaria de Cisco. Es un protocolo que se
ejecuta entre los switch y los routers. Cuando el router recibe mensajes IGMP pasa
la MAC de quien ha solicitado ese tráfico multicást y el grupo multicást al cual se
hace esa petición y reenvía la información al switch. El switch busca en su tabla
MAC a quien ha efectuado dicha petición permitiendo que el tráfico multicást de
ese grupo pase por el puerto determinado.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
239
IGMP snooping es un método que permite al switch comprender cuál es el
grupo que se está pidiendo y en qué puerto está el receptor. Este mecanismo se
hace a nivel de procesador, pudiendo verse sobrecargado según las exigencias de la
red. Los dispositivos Cisco actuales soportan IGMP incorporado en el propio
hardware.
IGMP
Antes de que los routers puedan enviar tráfico multicást primero tienen que
conocer la ubicación de los clientes. IGMP es el protocolo utilizado entre los
clientes y el router para identificarse y solicitar el tráfico multicást al router. Para
recibir tráfico multicást desde una fuente los destinos se unen a un grupo multicást
común identificado por una dirección IP multicást. Un host se une a un grupo
enviando una petición a su router local, ésta se lleva a cabo con el Internet Group
Management Protocol.
Existen tres versiones de este protocolo IGMPvl, IGMPv2 e IGMPv3.
IGMPvl
Para unirse a un grupo de multicást un host envía un Membership Report
IGMP, que es un mensaje que este protocolo utiliza para contactarse con el router
local. Este mensaje indica al router la dirección o grupo al que quiere unirse ese
host. La dirección de multicást es utilizada como la dirección IP de destino y la
dirección de grupo es listada en el mensaje. Los routers multicást tienen que
interceptar todos los paquetes multicást para recibir los Membership Report y
añadir los host a los grupos apropiados.
Cada 60 segundos un router denominado querier en cada segmento de red
envía una consulta a la dirección multicást de todos los host 224.0.0.1 para
confirmar si hay alguno interesado en recibir un grupo multicást. Con que
solamente un host responda mantendrá el puerto en un estado de reenvío. Los host
que estén interesados responderán con Membership Report siémpre y cuando nadie
lo haya hecho con anterioridad.
Los host pueden unirse a un grupo multicást en cualquier momento, pero
IGMPvl no tiene un mecanismo que permita al host dejar el grupo cuando ya no
esta interesado en seguir recibiendo tráfico. Los routers manejan esta situación
haciendo expirar la dirección de grupo multicást si nadie quiere recibir ese tráfico.
Concretamente, si no se reciben reportes en 3 consultas consecutivas, el grupo
expira. Esto significa que el tráfico multicást es enviado dentro del segmento hasta
tres minutos después de que todos los miembros del grupo han dejado de escuchar.
www.FreeLibros.com
240
O RA-MA
REDES CISCO. CCNP a Fondo
El router no mantiene una lista completa de los miembros de cada grupo multicást
activo, solamente necesita recordar cuáles son los grupos activos y en qué
interfaces. Si en el segmento en cuestión hay uno o más host que pertenecen a un
grupo el router sólo envía una copia del paquete multicást a ese segmento.
IGMPv2
Esta versión de IGMP presenta 4 avances significativos:
1. Las consultas o queries pueden ser enviadas como generales a la dirección
de todos los host, como en el caso de IGMPvl o enviarlas específicamente
a los host de cada grupo.
2. Los host pueden dejar el grupo de manera dinámica.
3. Hay una elección de las queries.
4. Hay un Query-interval que es un tiempo estipulado de respuesta.
Cuando un host decide dejar el grupo al que se había unido previamente,
envía un mensaje Leave Group a todos los routers a la dirección 224.0.0.2. Todos
los routers en el segmento local toman nota de la petición, el router que está
interactuando con el grupo específico responde preguntando si hay más host
interesados en seguir recibiendo datos para ese grupo con un mensaje Membership
report. Si no los hay deja de enviar tráfico multicást a ese segmento.
Debido a que los routers con IGMPvl no entienden IGMPv2, si hay un
router ejecutando IGMPvl todos los routers deben estar configurados con la
versión 1. En sentido inverso IGMPv2 entiende la versión 1.
En las interfaces PIM (Protocol Independent Multicást), se habilita
IGMPv2; el comando para cambiar la versión es el siguiente:
Switch(config-if)# ip igmp versión {1 | 2 | 3}
IGMPv2 añade un mecanismo de selección del router que cumple
función de querie. En IGMPvl esta elección estaba a cargo del protocolo
enrutamiento; en la versión 2 todos los routers inician como sifueran queries
pasan al estado de no queries cuando escuchan que existe otroqueries en
segmento con una IP menor.
la
de
y
el
Por último, se añade un tiempo de respuesta Query-interval Este nuevo
campo indica a los miembros en cuánto tiempo deben responder.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
© RA-MA
241
Operación de IGMPv2
Los miembros pueden unirse a un grupo multicást en cualquier momento
generando un mensaje llamado Unsolicited report que se envía a la dirección IP
multicást deseada. Los routers conectados en ese segmento simplemente observan
si por lo menos hay un cliente interesado en ese grupo. Para ver el registro de los
miembros en un router se utiliza el siguiente comando:
Router# show ip igmp group
IGMP Connected Group Membership
Group Address Interface
Uptime
Expires
Last Repórter
227.100.100.1 FastEthernetO/O 0d0h28m 00:02:19 192.168.0.105
En la salida anterior se observa que la dirección 227.100.100.1 ha estado
activa en la interfaz FastEthemet 0/0 durante 28 minutos, el grupo expirará si no se
recibe un membership report en dos minutos. El último dispositivo en enviar un
membership report fue desde la IP 192.168.0.105.
En IGMPvl los host abandonan los grupos de forma pasiva, simplemente
dejan de responder a los membership queries. El inconveniente que surge es que el
espacio de tiempo que hay entre que el host no necesita recibir más tráfico y que el
router lo reconoce. Durante ese período la capacidad de la red está sobrecargada
con tráfico multicást innecesario.
En IGMPv2 los host pueden dejar el grupo de manera explícita utilizando
un mensaje Leave. Si otro host envía un mensaje Leave el router asume que al
menos un host todavía está presente, de lo contrario el router enviará un
membership Query.
IGMPv3
IGMPv3 está basado en la versión anterior, aumenta la capacidad de añadir
direcciones SSM. Soporta filtrado de origen multicást. Con este filtro un receptor
puede hacer una petición de un grupo multicást y decidir de qué direcciones IP
quiere que sea ese origen multicást.
Un router que ejecute IGMPv3 puede coexistir con versiones anteriores
pero para ello debe bajar a la versión que se requiera.
Determinación de la versión de IGMP
La mejor forma de verificar los parámetros de IGMP es utilizando el
comando show ip igmp interface. En el siguiente ejemplo es de IGMPv2:
www.FreeLibros.com
242
REDES CISCO. CCNP a Fondo
©RA-MA
router>show ip igmp interface fastethernetO/O
FastEthernetO/O is up, line protocol is up
Internet address is 192.168.0.1, subnet mask is 255.255.255.0
IGMP is enabled on interface
Current IGMP versión is 2
CGMP is disabled on interface
IGMP query interval is 60 seconds
IGMP querier timeout is 120 seconds
IGMP max query response time is 10 seconds
Inbound IGMP access group is not set
Multicást routing is enabled on interface
Multicást TTL threshold is 0
Multicást designated router (DR) is 192.168.0.1 (this system)
IGMP querying router is 192.168.0.1 (this system)
Multicást groups joined: 224.0.1.40 227.100.100.1
CONFIGURACIÓN DE IGMP
IGMP es utilizado para que exista un entendimiento entre los sistemas
finales y el router. Sin IGMP los sistemas finales no serían capaces de solicitar
tráfico multicást al router.
Grupos IGMP
IGMP identifica grupos multicást que son requeridos por clientes. El
comando show ip igmp interface muestra la información de IGMPv2 en una
interfaz:
router#show ip igmp interface eO
EthernetO is up, line protocol is up
Internet address is 172.16.24.1/29
IGMP is enabled on interface
Current IGMP versión is 2
CGMP is disabled on interface
IGMP query interval is 60 seconds
IGMP querier timeout is 120 seconds
IGMP max query response time is 10 seconds
Last member query response interval is 1000 ms
Inbound IGMP access group is not set
IGMP activity: 3 joins, 0 leaves
Multicást routing is enabled on interface
Multicást TTL threshold is 0
Multicást designated router (DR) is 172.16.24.1 (this system)
IGMP querying router is 172.16.24.1 (this system)
Multicást groups joined: 224.0.1.40
El show ip igmp groups proporciona información específica acerca de los
grupos, en este ejemplo tres grupos han estado activos por lo menos 30 minutos.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
router#show ip igmp groups
IGMP Connected Group Membership
Group Address
Interface
239.255-255.250
EthernetO
235.80.68.83
EthernetO
224.0.1.40
EthernetO
Uptime Expires
00:33:05 00:02:59
00:33:08 00:02:44
00:33:14 never
243
Last Repórter
192.168.0.102
192.168.0.1
172.16.24.1
El comando ip igmp join-group se emplea cuando es necesario resolver
problemas uniendo una IP a un grupo multicást en particular a través de una
determinada interfaz. El comando ip igmp static-group agrega un puerto de
manera estática a un grupo.
IGMP snooping
IGMP snooping permite a un switch identificar los sistemas finales que
están solicitando tráfico multicást y limitar el envío dentro de ese grupo solamente
a los usuarios específicos. IGMP snooping no viene configurado por defecto pero
puede activarse con el comando ip igmp snooping. Los comandos show multicást
group and show multicást router para mostrar los grupos aprendidos y los puertos
asociados.
El siguiente ejemplo muestra la sintaxis de estos comandos:
Switch#show ip igmp snooping vían 6
vían 6
IGMP snooping is globally enabled
IGMP snooping TCN solicit query is globally disabled
IGMP snooping global TCN flood query count is 2
IGMP snooping is enabled on this Vían
IGMP snooping immediate-leave is disabled on this Vían
IGMP snooping mrouter learn mode is pim-dvmrp on this Vían
IGMP snooping source only learning age timer is 10
IGMP snooping is running in IGMP_ONLY mode on this Vían
IGMP snooping report suppression is enábled on this Vían
Switch# show multicást router igmp
Port Vían
1/1
6
Total Number of Entries = 1
'*' - Configured
'+' - RGMP-capable
Switch> show multicást group igmp
VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs/[Protocol
Type]
6 01-00-5e-00-01-28 1/1
6 01-00-5e-01-02-03 1/1-2
Total Number of Entries =. 2
www.FreeLibros.com
244
©RA-M A
REDES CISCO. CCNP a Fondo
PROBLEMAS CON MULTICAST
Multicást es un tipo de tecnología que trabaja bastante bien pero tiene el
inconveniente de que cuando los terminales se quieren conectar a un determinado
grupo y recibir tráfico de éste, surge el problema de que necesitan recubrir a los
servidores que están emitiendo tráfico de dicho grupo. Esto es fácil de descubrir
siempre y cuando ese tráfico sea local, pero si el servidor es remoto puede ser un
problema.
Existen varias maneras de publicar información de contacto del servidor.
La forma más sencilla sería enviar un enlace en un e-mail. Existe también una
aplicación llamada Session Directory (SD) que distribuye exactamente este tipo de
información. Con SD se anuncian a sí mismos utilizando SDP (Session Description
Protocol) vía 224.2.127.254. SD es utilizado por Cisco IP/TV para distribuir
servidores multicást y descripciones de las sesiones.
ENRUTAMIENTO DE TRÁFICO MULTICAST
El tráfico multicást tiene que ser enrutado con una lógica diferente a la
empleada con el tráfico IP unicast. Los paquetes IP unicast están destinados a una
simple interfaz incluso si existen múltiples caminos; mientras que los paquetes IP
multicást pueden tener diferentes interfaces en su destino dependiendo siempre de
la ubicación de los receptores.
Existen varios protocolos de enrutamiento multicást disponibles tales
como:
•
•
•
•
•
MOSPF (Multicást OSPF)
DVMRP (Distance Vector Multicást Routing Protocol)
Center-Based Trees
Core-Based Trees
PIM (Protocol Independent Multicást)
Los routers Cisco no soportan Center ni Core-Based Trees y soportan sólo
una versión limitada de DVMRP simplemente para redistribuir rutas. El único
comando soportado en IOS para MOSPF es para deshabilitar los mensajes LSA del
tipo MOSPF, los cuales no están soportados por Cisco.
Reverse Path Forwarding
Los routers llevan a cabo un test RPF (Reverse Path Forwarding) en cada
paquete multicást que reciben. Estas verificaciones sirven para confiraiar que el
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
245
tráfico siempre fluye desde el origen hacia los distintos destinos. El chequeo de
RFP es satisfactorio siempre y cuando un paquete multicást que llegue a una
interfaz tenga un registro del origen en la tabla de enrutamiento a través de esa
misma interfaz. Al hacer el test RPF el router PIM mira la dirección origen del
paquete unicast en su tabla de enrutamiento, de ahí el nombre de este mecanismo
que funciona de manera contraria al sistema tradicional que siempre mira el
destino. Si el próximo salto utilizado para alcanzar la dirección de origen de ese
paquete multicást se alcanza a través de la interfaz en la que el paquete es recibido,
entonces es enviado al siguiente router o a los receptores multicást
correspondientes o se descartan según lo que corresponda. Éste es el proceso que
sigue el mecanismo de RPF.
Árboles multicást
Los routers en una red deben determinar el camino para enviar los paquetes
multicást desde un origen hacia los recetores. Hay que pensar en la red como si
fuera una estructura de árboles. En el origen del árbol está el origen de los paquetes
multicást que envía los paquetes de una forma ciega sin saber dónde están los
receptores. El origen no sabe de la lista de elementos finales que son miembros de
un grupo multicást. Depende de los routers multicást y de los switch la
manipulación de los paquetes hacia los destinos. Cada router a lo largo del camino
se sitúa en una de las ramas del árbol. Los routers aprenden que ramas del árbol
son hogar de receptores de grupos multicást. El tráfico es enviado solamente en los
enlaces donde existen receptores interesados en recibir ese tipo tráfico.
Las rutas multicást se escriben como S,G (source and group) cada origen y
cada grupo. Si 192.168.0.1 está transmitiendo hacia el grupo 227.182.150.159, la
ruta sería algo así como (192.168.0.1, 227.182.150.159) que corresponde a S,G.
r
Arboles de distribución
Los caminos usados en enrutamiento multicást son llamados árboles de
distribución (distribution trees) y son dos tipos diferentes:
•
Arboles compartidos: definen un conjunto común de enlaces en
los cuales el tráfico multicást debe fluir. Se tienen que precalcular
y son muy eficientes en lo que respecta a recursos del router.
Utilizan Rendezvous Points (RP) y aparecen en la tabla de
enrutamiento como (*, G).
www.FreeLibros.com
246
REDES CISCO. CCNP a Fondo
•
©RA-M A
Árboles con origen de ruta: son los que toman el camino
directamente hacia el receptor, de manera que cada fuente tiene un
conjunto de rutas separadas unidas a él.
Protocolos de enrutamiento multicást Dense y Sparse
Los protocolos de enrutamiento multicást también están definidos como
Dense y Sparse. Estos protocolos asumen que todos los host en todos los enlaces
están interesados en recibir tráfico multicást. De tal manera que se enviará este
tráfico hacia todos los caminos. Por otro lado los protocolos Dense and Sparse
asumán que nadie quiere tráfico hasta que preguntan por él.
PIM
El Protocol Independent Multicást es un protocolo de enrutamiento que
puede ser utilizado para enviar tráfico multicást entre subredes o segmentos de red.
PIM opera independientemente del protocolo IP que se está ejecutando.
PIM puede operar en dos modos, pero Cisco ha añadido un tercer tipo:
•
PIM dense mode.
•
PIM sparse mode.
•
PIM sparse-dense mode, propietario de Cisco.
En suma hay dos versiones de protocolo, PIM vl, PIMv2. Por defecto
PIMv2 es utilizado en las interfaces de los routers.
PIM dense mode
Los routers PIM pueden configurarse en modo dense si se asume que habrá
receptores en cada una de las subredes, es decir, que el grupo multicást va a ser
propagado densamente en la red. El árbol multicást es construido permitiendo un
flujo de tráfico desde el origen hacia los router dense en la red.
El árbol va creciendo desde el origen hacia los puntos finales. Durante un
corto período de tiempo el tráfico que no es necesario es permitido, cada router va
recibiendo tráfico para el grupo y cada router tiene que decidir si tiene receptores
activos queriendo recibir esos datos. En caso de tenerlos dejará que el flujo
continúe libremente.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
247
Si ningún host se ha registrado vía IGMP para ese grupo multicást con el
router, éste envía un mensaje prune al origen, de esa manera esa rama del árbol es
suprimida para que el tráfico innecesario no lo siga atravesando. El árbol resultante
es llamado source tree o source distribution tree porque es único desde el origen
hacia los receptores.
La siguiente figura muestra la operación flood-then-prune, es decir, la
verificación de la existencia o no de posibles receptores para poder suprimir el
tráfico. El árbol es construido a partir de las peticiones join que se generan a través
de todos los switch que son multicapa y que están en modo dense. A partir de ese
momento todos los switch que no tienen host que quieran recibir tráfico envían un
mensaje prune y son suprimidos del árbol.
Destino A Destino B
ÁRBOL COMPLETO
Destino A Destino B
ÁRBOL RECORTADO
Los routers PIM dense-mode son conscientes de los vecinos
intercambiando mensajes helio, esta información acerca de los vecinos es
inicialmente utilizada para construir el árbol y posteriormente para suprimir las
ramas que no quieren participar.
www.FreeLibros.com
248
© RA-MA
REDES CISCO. CCNP a Fondo
En caso de que algún router haya sido suprimido del árbol generando un
mensaje prune y si posteriormente existiera algún host que quisiera recibir ese
tráfico multicást, el router podrá lanzar un mensaje grafted al siguiente router para
avisarle de que quiere recibir tráfico.
PIM sparse mode
PIM sparse mode tiene una manera diferente de operar. EL árbol multicást
no se extiende a todos los routers a no ser que haya algún destino interesado en
recibir dicho tráfico (algún destino que haya enviado un mensaje join IGMP).
El árbol multicást es construido desde todos los miembros del grupo al
final de la rama y extendiéndose hasta el punto central o raíz que el Rendezvous
Point (RP). El árbol crece de manera inversa a lo visto anteriormente, es decir, de
las ramas hacia la raíz.
El modo sparse también tiene la idea de un árbol compartido pero la raíz o
root no es el origen del tráfico multicást. La raíz de una topológica PIM sparse
mode es un router que está localmente centralizado en la red y se le conoce como
RP (Rendezvous Point).
El árbol desde el RP hasta los miembros del grupo es realmente un
subconjunto del árbol que podría ser suprimido desde el origen hacia los miembros
del grupo. Posteriormente si un origen multicást es situado en cualquier parte de la
red, se puede registrar con un RP y el árbol podrá ser completado. Debido a esto se
dice que sparse mode es un árbol compartido.
Cuando un receptor se une a un grupo multicást vía IGMP el router local
envía este tráfico hacia el RP a través del árbol, cada router en el camino añade su
rama al árbol compartido. El prune solamente se efectúa cuando un miembro es
eliminado del grupo. Ese proceso se muestra en la siguiente figura.
Este mecanismo es solamente un simple paso, únicamente los routers que
tiene un grupo activo pueden unirse al árbol, mientras que los routers que nunca se
han unido al grupo no son suprimidos porque nunca han formado parte del grupo.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
©RA-MA
Destino A
249
Destino B
Una vez que los routers PIM sparse mode reciben tráfico desde un origen y
aprenden la dirección IP fuente, conmutan a un árbol más pequeño (shortest-path
tree) originado en el servidor multicást.
La estructura resultante en esta topología de los árboles para dense mode y
PIM sparse mode junto con el flujo de los datos multicást, son árboles idénticos.
www.FreeLibros.com
250
REDES CISCO. CCNP a Fondo
©RA-MA
Modo PIM Sparse-Dense
PIM tiene el potencial de soportar ambos modos, sparse y dense, éstos
pueden coexistir para diferentes grupos multicást incluso pueden hacerlo en la
misma interfaz. Cisco ofrece este modo híbrido que es llamado Sparse-Dense, si
existe un RP definido en la red se utilizará el modo sparse; de lo contrario se
utilizará el modo dense.
PIM versión 1
Los routers utilizados para la primera versión de PIM pueden ser
configurados manualmente utilizando el modo dinámico como auto-RP. Es posible
limitar el rango de grupos multicást soportado por el RP utilizando una ACL. La
palabra clave override causa que el RP sea preferido sobre cualquiera que sea
dinámicamente aprendido. Debido a que el RP no se advierte a sí mismo, su
dirección y funciones tienen que ser definidas en todos y cada uno de los routers en
el dominio PIM, incluido el RP. Esto hace que los cambios futuros en la
localización del RP sean difíciles de hacer debido que habrá que volver a definir
todo el esquema en cada uno de los routers con los nuevos datos del RP.
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
© RA-MA
251
Cisco proporciona un sistema propietario con una manera de informar a los
routers sparse mode de manera automática sobre qué RP le corresponde a cada
grupo. Esto se llama auto-RP. Se identifica un router central que esté bien
conectado y de manera redundante con la función de mapping agent. Esta función
hace que se aprendan todos los RP que son candidatos porque se anuncian a la
dirección 224.0.1.39 conocida como Cisco RP Announce (por definición todos los
routers sparse mode tienen que unirse automáticamente a esa dirección IP).
El mapping agent envía información RP de grupos a todos los routers PIN
en la dirección Cisco-RP-Discovery 224.0.1.40. Se envía además un TTL para
limitar el ámbito de estos mapeos entre RP y grupos. De esta manera se podrá
limitar la cantidad de router y host que pueden llegar a ser válidos.
Cada router RP debe ser definido explícitamente, cuando un router sabe
que puede ser un RP empezará a anunciarse hacia el mapping agent.
Una interfaz que corresponde a la dirección del RP será advertida e
identifica dónde el mapping agent puede ser encontrado, el ámbito del anuncio es
limitado utilizando TTL. El router también puede ser advertido a sí mismo como
un candidato RP para los grupos permitidos en una ACL con las sintaxis clave
group-list. Con la palabra clave interval los anuncios son enviados en un tiempo
específico.
PIM versión 2
Esta versión incluye bootstrap router, que es un mecanismo estándar para
asociar RP con los grupos. La manera que lo ejecuta es similar a como lo hace
auto-RP. Primero un bootstrap router BSR es identificado, este router aprende la
cantidad de RP candidatos para determinados grupos y los advierte a los routers
PIM. Solamente es necesario configurar el BSR y los candidatos a RP, todos los
demás routers PIM aprenderán de manera automática; los RP a través del BSR.
Habilitación de PIN en modo Sparse-Dense
Para diseñar una red en un entorno multicást, es necesario seguir tres pasos
fundamentales en la configuración de los routers Cisco:
1. Habilitar el enrutamiento multicást.
2. Habilitar PIM en el modo apropiado en las interfaces seleccionadas.
3.
Configurar los RP.
www.FreeLibros.com
252
REDES CISCO. CCNP a Fondo
©RA-MA
El enrutamiento multicást no está habilitado por defecto en los routers
Cisco, para habilitarlo se utiliza el siguiente comando:
R o u t e r (co n f i g )#ip multicast-routing
Al configurar PIM en una interfaz automáticamente inicia IGMP. PIM se
habilita a nivel de interfaz, por lo tanto lo primordial es determinar qué interfaces
utilizará el router que deban soportar PIM. Para activarlo se debe hacer en cada una
de estas interfaces, según la siguiente sintaxis:
Ro u t e r (config-if)#ip pim {dense-mode
| sparse-dense-mode | sparse-
mode}
Para cambiar la versión de PIM se puede utilizar el siguiente comando
dentro del modo de la interfaz correspondiente:
Router(config-if )# ip pim versión {1 | 2}
El paso final es la configuración de los RP. Para identificar manualmente
un RP se utiliza el siguiente comando:
Router(config)# ip pim rp-address ip-address [access-list]
[override]
Alternativamente es posible utilizar auto-RP para descubrir los RP de
manera dinámica. Esto involucra dos roles distintos, el de los RP y el de los routers
que los advierten. Auto-RP identifica un router que está bien conectado y
centralizado denominado mapping agent. Este router aprende cuáles son los
candidatos RP que son anunciados a la dirección 224.0.1.39 conocida como CiscoRP-Announce. El mapping agent compila una lista de todos los candidatos
asociados a los grupos y la envía a todos los routers cliente a través de la dirección
224.0.1.40.
Para definir un router como mapping agent se utiliza el siguiente comando:
Router(config)# ip pim send-rp-discovery scope ttl
Una interfaz es utilizada para anunciar una dirección IP desde la cual
advertir y que típicamente es una interfaz loopback.
Para definir un router como candidato RP se utiliza el siguiente comando:
Router(config)# ip pim send-rp-announce type mod/num scope ttl
[group-list access-list] [interval seconds]
www.FreeLibros.com
CAPÍTULO 7. MULTICAST
© RA-MA
253
Cuando se configura, el router se anuncia a sí mismo como un posible RP
para el rango de grupo descrito en la ACL. El anuncio es enviado a la dirección
224.0.1.39. La interfaz es mapeada a una dirección IP específica para que los
clientes puedan alcanzar al RP.
Alternativamente PIM versión 2 soporta BSR (Bootstrap Router):
R o u t e r (config)#.
ip pim bsr-candidate type mod/num hash-mask-length
[priority]
El siguiente paso es configurar los candidatos RP:
R o u t e r (config)# ip pim rp-candidate type mod/num ttl [group-list
access-list]
Los mensajes bootstrap inundan por completo el dominio PIM. El ámbito
de estos anuncios puede ser limitado utilizando routers barrera los cuales no
dejarán pasar los mensajes más allá de lo permitido.
R o u t e r (config)# ip pim border
VERIFICACIÓN DE ENRUTAMIENTO MULTICAST
Verificación de rutas
El comando utilizado para verificar la tabla de enrutamiento multicást es el
siguiente:
router#show ip mroute [group-address] [summary]
[count][active kpbs]
La opción summary muestra cada ruta en una lista, la opción count
muestra estadísticas y la opción active filtra la salida para que solamente muestre
fuentes activas.
El ejemplo que sigue muestra este comando para verificar una ruta en la
tabla:
Router#show ip mroute 227.100.100.10Ó
IP Multicást Routing Table
Flags: D - Dense, S - Sparse, C - Connected, L - Local, P - Pruned
R - RP-bit set, F - Register flag, T - SPT-bit set, J - Join
SPT
Timers: Uptime/Expires
Interface state: Interface, Next-Hop, State/Mode
(*, 227.100.100.100), 00:01:50/00:02:59, RP 172.16.3.1, flags: SPF
www.FreeLibros.com
254
REDES CISCO. CCNP a Fondo
©RA-M A
Incoming interface: Tunnel35, RPF nbr 172.16.1.20, Mroute
Outgoing interface list: Nuil
(170.100.1.1/32, 227.100.100.100), 00:01:50/00:01:09, flags: PFT
Incoming interface: EthernetO, RPF nbr 0.0.0.0, Registering
Outgoing interface list: Nuil
Las rutas que no son específicas a un origen son del tipo (*,G), las rutas
que van hacia la fuente están listadas como (S,G).
Verificación de vecinos
Si existe algún tipo de problema en el momento de construir la tabla de
enrutamiento multicást será un buen punto de partida para resolver el problema
verificar los vecinos PIM con el comando show ip pim interface.
Router#show ip pim interface
Address
Interface Version/Mode Nbr Query DR
Count Intvl
192.168.0.1 EthernetO v2/S 1
30 192.168.0.10
Este comando muestra la dirección IP asignada tipo unicast, el nombre de
la interfaz, la versión de PIM que se está ejecutando, el modo específico, el número
de vecino, frecuencia de las consultas, etc.
El comando show ip pim neighbor muestra la lista de vecinos:
Router#show ip pim neighbor
PIM Neighbor Table
Neighbor Address
Interface Uptime
Expires Ver Mode
192.168.0.10
EthernetO 00:01:37 00:01:05 v2 Sparse
Verificación de los Rendezvous Points
Incluso cuando el enrutamiento PIM está funcionando, los RP deben ser
configurados correctamente para poder encontrar tráfico desde las fuentes. El
comando show ip pim rp permite verificar los RP configurados y ver las
asociaciones que tienen configuradas. Sin más parámetros este comando mostrará
los RP para los grupos activos, si se modifica con el nombre del grupo sólo
mostrará los grupos seleccionados.
Router(config)#show ip pim rp [group-name | group-address | mapping]
Router#show ip pim rp
Group: 227.1.1.1, RP: 192.168.5.1, uptime 00:00:20, expires never
Router#show ip pim rp mapping
PIM Group-to-RP Mappings
www.FreeLibros.com
©RA-MA
CAPÍTULO 7. MULTICAST
255
Group(s): 224.0.0.0/4, Static
192.168.5.1
rp:
Verificación del enrutamiento multicást
El comando show ip rpf permite verificar la información de los envíos de
reverse-path (RPF).
Router#show ip rpf 172.16.0.1
RPF information for ? (172.16.0.1)
RPF interface: SerialO
RPF neighbor: ? (172.16.5.2)
RPF route/mask: 172.16.0.0/24
RPF type: unicast (ospf 1)
RPF recursion count: 0
Doing distance-preferred lookups across tables
www.FreeLibros.com
í
www.FreeLibros.com
Capítulo 8
IPv6
INTRODUCCIÓN A IPv6
IPv6 ha estado en desarrollo desde mediados de los 90 y durante varios
años. Se había anunciado al principio como el protocolo que podría expandir el
direccionamiento IP, llevar IP mobile a la madurez y finalmente ser capaz de
incorporar seguridad a nivel de capa 3. Esas afirmaciones son correctas pero hay
que tener en cuenta que a nivel de capa 3 esas capacidades de IPv6 han sido
aportadas a IPv4 en los pasados años. Actualmente las direcciones IPv4 son
escasas y la mayor razón en Internet para evolucionar a IPv6 es la necesidad de un
mayor direccionamiento.
Una de las razones de que el direccionamiento IPv4 sea demasiado escaso
es que no ha sido asignado eficientemente. Las direcciones de clase A son
excesivamente grandes para la mayoría de las organizaciones ya que soportan unas
16.777.214 direcciones de host, mientras que las direcciones de clase C soportan
sólo 254 direcciones de host. Como resultado de esto muchas organizaciones hacen
peticiones de clase B que soportan 65.534 direcciones de host, pero hacen sólo un
uso parcial de dicho rango.
Inicialmente un dispositivo IP requería una dirección pública. Para prevenir
el agotamiento de las direcciones IPv4 la IETF (Internet Engineering Task Forcé)
adoptó el uso de CIDR (Classless Interdomain Routing), VLSM (Variable-Length
Subnet Mask) y NAT (Network Address Translation). CIDR y VLSM trabajan
juntas a la hora de mejorar el direccionamiento, mientras que NAT oculta clientes y
minimiza la necesidad de direcciones públicas. Otra de las razones de escasez de
www.FreeLibros.com
258
REDES CISCO. CCNP a Fondo
©RA-MA
direcciones públicas es que no han sido asignadas equitativamente a lo largo del
mundo. Una gran cantidad de direccionamiento es ocupada por EE.UU. mientras
que Europa es el siguiente en la lista con una larga porción de direcciones. Asia, en
cambio tiene un número insuficiente de direcciones en comparación con su
población, aunque la percepción desde EE.UU. es que todavía existe espacio libre
en el direccionamiento IPv4 en Asia, se reconoce la necesidad de implementar
IPv6 y así obtener más direccionamiento.
Otra razón para considerar la necesidad de un mayor direccionamiento es
el crecimiento exponencial de la población mundial con el persistente crecimiento
de consumibles electrónicos que requieren el uso de direcciones IP.
Esta necesidad de direccionamiento IP podría ser atenuada intentando
utilizar NAT y asignaciones temporales a través de DHCP, pero teniendo sistemas
intermedios manipulando los paquetes complican el diseño y la resolución de
problemas. El concepto del diseño de Internet con innumerables sistemas
intermedios no hace que NAT trabaje adecuadamente, sin embargo es un mal
necesario.
La longitud de una dirección IPv6 es lo primero que sale a relucir, son 128
bits lo que hace 2128 direcciones IPv6 disponibles. Varias de estas direcciones dan
funciones especiales y están reservadas pero aun así quedarían disponibles
aproximadamente 5x1028 direcciones IP por cada habitante del planeta. Lo que
permitiría que el direccionamiento pueda crecer sin preocupaciones en
contraposición al direccionamiento IPv4 cuya cantidad está limitada a 232.
En IPvó se utiliza una cabecera más simplificada que IPv4, haciendo que el
procesamiento sea más eficiente, permitiendo un mecanismo más flexible y a su
vez extensible a otras características. Una de esas características es la movilidad,
movile IP es un estándar de la IETF que permite a los usuarios con dispositivos
wireless estar conectados de manera transparente y moverse a cualquier sitio sin
restricciones.
La seguridad es otro tema importante, IPsec está presente en cada uno de
los dispositivos IPvó.
Debido a que la migración de IPv4 a IPvó no puede ocurrir tan
rápidamente como sería deseable, hay que buscar alternativas para administrar esta
transición.
www.FreeLibros.com
CAPÍTULO 8. IPvó
© RA-MA
259
CABECERA DE UN PAQUETE IPvó
Los campos en una cabecera IPvó son los siguientes:
•
Versión: es un campo de 4 bits que identifica la versión, en este caso a 6.
•
Traffic Class: similar al campo 2 de IPv4, se utiliza para calidad de
servicio.
•
Flow Label: campo de 20 bits que permite que el tráfico sea etiquetado
para que se pueda manejar de manera más rápida flujo por flujo.
•
Payload Length: campo de 16 bits con la longitud del campo de datos.
•
Next Header: similar al campo de protocolo en la cabecera IPv4. Es un
campo de 8 bits que indica cómo los campos después de la cabecera básica
de IPvó deberían ser interpretados. Podría indicar, por ejemplo, que el
siguiente campo es TCP o UDP ambos relativos a la capa de transporte o
podría indicar que existe una extensión de la cabecera.
•
Hop Limit: similar al campo TTL en IPv4, es de 8 bits y se incrementa por
cada router intermediario para prevenir bucles, de tal manera que cuando la
cuenta llegue a 0 será descartado. Cuando esto ocurre se envía un mensaje
de notificación al origen.
•
Source Address y Destination Address: estos campos de 128 bits son las
direcciones IPv6 de origen y de destino de los dispositivos que se están
comunicando.
•
Extensión Headers: permite agregar más campos opcionales.
o
o
o
Hop-by-Hop options: utilizados para routers intermediarios,
Destination options: opciones para el nodo final,
Routing: utilizado para especificar a los routers intermedios qué
ruta tienen que incluir. El efecto final es forzar el enrutamiento por
un camino predefinido.
•
Fragment: utilizado para dividir los paquetes que son demasiado largos
para la MTU. Esta cabecera reemplaza los campos de fragmentación de la
cabecera IPv4.
•
Authentication y Encapsulating Security Payload (ESP): se utiliza por
IPsec para proporcionar autenticación, integridad y confidencialidad de los
paquetes. AH y ESP son idénticos en IPv4 y en IPv6.
La cabecera IPv6 es optimizada para procesadores de 32 a 64 bits y las
extensiones de cabecera permiten la expansión sin tener que forzar a que los
campos que no se usan se estén transmitiendo constantemente.
www.FreeLibros.com
260
©RA-MA
REDES CISCO. CCNP a Fondo
Las principales diferencias entre las cabeceras de las dos versiones es la
longitud de los campos de origen y destino. También hay otros campos que son
aparentes como checksum, fragmentación y la etiqueta de flujo.
0 bits
Versión
8 bits
16 bits
Traffic
Class
Payload Length
24 bits
32 bits
64 bits
Flow Label
Next Header
Hop Limit
Source Address
128 bits
192 bits
256 bits
Destination Address
320 bits
Extensión Header
Checksum
En IPv4 cada paquete incluye un checksum en la cabecera. Todos los
routers intermediarios tienen que reducir el TTL, esto conlleva a tener que
recalcular el checksum cada vez que manipulan un paquete, como resultado el
consumo de procesador se incrementa. Teniendo en cuenta que los protocolos de
capas superiores también realizan un checksum, la cabecera de IPv6 no incluye un
campo para este fin concibiendo un enrutamiento más eficiente.
Fragmentación
Principalmente hay dos diferencias en la manera en que IPv6 maneja la
fragmentación:
•
La información de la fragmentación se coloca en una extensión de la
cabecera.
•
Los routers intermediarios no fragmentan paquetes, en caso de que la
fragmentación sea necesaria la realizará el nodo de origen, reduciendo así
la carga de procesos de la red.
Un proceso de descubrimiento determina la MTU óptima para usar en una
determinada sesión. El dispositivo de origen IPv6 intenta enviar un paquete, si el
dispositivo recibe un mensaje de ICMP de tipo packet too big con la MTU
www.FreeLibros.com
CAPÍTULO 8. IPvó
©RA-MA
261
apropiada, retransmite el paquete con la nueva información de la MTU que se ha
recibido. Este proceso es constante de origen a destino. Los dispositivos llevan a
cabo este proceso de descubrimiento cada 5 minutos con el fin de detectar algún
cambio. Si las capas superiores no aceptan un cambio en las notificaciones de la
MTU desde la capa IPvó, se inicia un proceso de fragmentación de los paquetes
que sean demasiado grandes. Aunque las capas superiores siempre deberían evitar
enviar mensajes solicitando fragmentación.
Etiqueta de flujo
Este campo etiqueta el tráfico según va entrando a la red de manera que el
tráfico similar puede ser etiquetado y rápidamente conmutado a través del mismo
camino sin que cada router intermediario tenga que llevar a cabo un examen para
determinar qué tipo de tráfico es. El etiquetado de flujo también puede estar
asociado con parámetros de calidad de servicio (QoS).
Formato del direccionamiento IPvó
La primera diferencia respecto a IPv4 es que las direcciones IPvó son de
128 bits y están representadas en un formato hexadecimal en lugar de la notación
decimal tradicional y separada cada parte por dos puntos en lugar de uno. Teniendo
de esta forma 8 partes de 16 bits cada una. Como cada dígito hexadecimal se asocia
con 4 bits, cada campo de 16 bits será de 4 dígitos hexadecimales.
Un ejemplo de dirección IPv6 puede ser el siguiente:
2001:0000:0001:0002:0000:0000:0000:ABCD
Este formato se puede reducir hasta de optimizar la lectura para su
comprensión. Hay dos formas para conseguir simplificar tanta cantidad de
números:
•
Todos los 0 a la izquierda de cada uno de los campos pueden ser omitidos.
2001:0:1:2:0:0:0:ABCD
•
Se pueden omitir los campos consecutivos de 0 con
independientemente de la cantidad de campos que se abrevie. Este
mecanismo sólo puede hacerse una vez debido a que luego no se podrían
reestructurar la cantidad de campos exactamente como eran.
2001:0:1:2::ABCD
www.FreeLibros.com
262
©RA-M A
REDES CISCO. CCNP a Fondo
TIPO DE DIRECCIONAMIENTO IPvó
En IPvó se soportan estas tres clases de direcciones:
•
Unicast: para enviar a una sola interfaz. Actualmente existen dos tipos de
direcciones unicast definidas:
o Global-aggregatable unicast.
o
•
Link-local unicast.
Multicást: para enviar a todas las interfaces del mismo grupo. Una
dirección IPvó del mismo grupo multicást identifica un conjunto de
interfaces en diferentes dispositivos.
•
Anycast: para enviar tráfico a la interfaz más cercana dentro de un grupo.
Una dirección IPvó de anycast también identifica un conjunto de interfaces
en diferentes dispositivos, pero la diferencia de un paquete enviado a una
dirección anycast es que dicho paquete está destinado al dispositivo más
cercano. Esto será determinado por el protocolo de enrutamiento que se
esté utilizando. Todos los nodos con la misma dirección de anycast
deberán proporcionar el mismo servicio.
Una interfaz puede tener varias direcciones y de diferentes tipos. Los
routers tienen que reconocer estas direcciones incluyendo las de anycast y
multicást.
Las direcciones de multicást están en el rango FF00::/8, todas las otras
direcciones IPvó están en el espacio de direccionamiento unicast. Las direcciones
anycast también son proporcionadas dentro del mismo espacio. Las direcciones de
broadcast no existen en IPvó. En todo caso un direccionamiento especial de
multicást podría ser considerado como broadcast, donde todos los dispositivos
están interesados en recibir ese tráfico.
Identificadores de las interfaces
Los ID de una dirección IPvó son utilizados para identificar de manera
única una interfaz, este segmento de la dirección es llamado porción de host. Estos
ID deben ser únicos en los enlaces, tienen una longitud de 64 bits y pueden ser
creados dinámicamente basándose en la dirección de la capa de enlace.
El tipo de capa de enlace determinará cómo son dinámicamente creadas las
interfaces de IPv6 y cómo funcionará la resolución del direccionamiento. Para
Ethernet la interfaz ID está basada en la dirección MAC de la interfaz en un
formato llamado EUI-64 (Extended Universal Identifier 64-bit). Este formato
www.FreeLibros.com
CAPÍTULO 8. IPv6
© RA-MA
263
deriva de
la
direcciónMAC de
48bits conelagregadode los-números
hexadecimales fffe entre el OUI y el código de vendedor.El séptimo bitdel primer
byte del ID de la interfaz resultante corresponde al bit universal local (U/L) asume
el valor binario 1. Este bit indica si la interfaz ID es localmente única en ese enlace
o universalmente única.
El octavo bit en el primer byte de la interfaz ID corresponde al
individual/group (I/G) que se utiliza para gestionar grupos multicást, en este caso
no varía.
OUI
00
0 0
00
1
0
COD.FAB.
11
0
2F
0
|
0
0 0
0
BB
46
0
|
{
0
IA
► I/G
* U/L (asume el valor 1)
0
1
0
IPvó Interfaz ID
Ethernet transmite los bits de bajo orden de cada byte primero (a la
inversa) el bit U/L es el bit séptimo y el I/G es el octavo de la dirección, por lo
tanto el primer bit de la dirección MAC transmitido será el bit I/G, usado por
direcciones broadcast y multicást y el segundo bit transmitido será el U/L.
Direcciones unicast IPvó
Existen dos tipos dé direcciones IPvó unicast:
•
Global aggregatable.
•
Link-local.
www.FreeLibros.com
264
©RA-M A
REDES CISCO. CCNP a Fondo
Dirección IPvó global
La escalabilidad de la red es sumamente importante, es directamente
proporcional a la capacidad de sumarización que tiene la red. Tal como ocurre con
IPv4 los bits más a la izquierda indican el prefijo de enrutamiento y pueden ser
sumarizados. Teóricamente existen 264 prefijos IPvó. Si cada prefijo fuera
almacenado en la memoria del router utilizando 256 bits (32 bytes), entonces la
tabla de enrutamiento consumiría 5.9xl020 bytes, lo cual es demasiado. Esto se
reduce a la importancia que tiene la sumarización al momento de construir la tabla
de enrutamiento.
La siguiente figura muestra un esquema de una dirección Global IPv6,
definida por la RFC 3587.
Global Prefix
Interface ID
Subnet ID
/48
/64
Los primeros 48 bits de la dirección Global IPv6 son utilizados para
enrutamiento en Internet en el ISP, los siguientes 16 bits forman el sub-net ID
permitiendo así a una empresa subdividir su red. Los restantes 64 bits son la
interfaz ID en formato EUI-64.
IANA está asignando direcciones que comienzan con el valor binario 001 o
en hexadecimal 2000::/3. Este direccionamiento está designado para direcciones
globales IPv6 unicast. Éste es una octava parte del espacio total del
direccionamiento IPv6. IANA utiliza el rango 2001::/16 para registros, que
normalmente tienen un rengo /23 y asigna un rango /32 a los ISP.
Por ejemplo un ISP podría disponer a una organización de la siguiente
dirección 2001:0:lAB::/48. En una subred 5 el prefijo sería 2001:0:lAB:5::/64. En
un dispositivo con una MAC 00-0F-66-81-19-A3, el formato EUI-64 de la interfaz
ID será 020F:66FF:FE81:19A3. Finalmente la dirección IPv6 completa será
2001:0:1AB:5:20F :66FF :FE81:19A3.
Dirección IPv6 local
Las direcciones unicast de IPvó locales permiten a dispositivos que estén
en la misma red local ser capaces de comunicarse sin necesidad de asignación de
un direccionamiento global. Las direcciones locales son utilizadas para el
enrutamiento y por los procesos de descubrimiento entre protocolos. Son autoconfiguradas utilizando el prefijo FE80::/10 más el formato EUI-64 ID, según
muestra la siguiente figura:
www.FreeLibros.com
CAPÍTULO 8. IPvó
© RA-MA
10 bits
54 bits
64 bits
1111 1110 10
0
Interface ID
265
FE80::/10
Por ejemplo una MAC 00-0F-66-81-19-A3 tendrá una dirección IPv6
Local FF80: :020F:66FF :FE81:19A3.
La RFC 4291 especifica otro tipo de dirección unicast. Las direcciones
IPv4 son mapeadas a IPv6 concatenando la dirección 0::FFFF:0:0/96 con una
determinada dirección IPv4. Por ejemplo la dirección 10.0.0.1 se convierte en
0::FFFF:AOO:1, debido a que 10.0.0.1 es en hexadecimal 0A00:0001. Estas
direcciones pueden ser utilizadas por los host dual-stack, que son aquellos que
utilizan ambos tipos de direccionamiento.
Direcciones IPv6 anycast
Una dirección de este tipo es una dirección global que está asignada a dos o
más host. Los dispositivos enrutan hacia la dirección más cercana utilizando la
métrica proporcionada por el protocolo de enrutamiento.
La siguiente figura muestra dos rutas hacia un ISP, ambos routers llevan
configuradas la misma dirección IPv6 anycast. Los routers internos simplemente
enrutan al cliente hacia el router más cercano al ISP, en este caso el router A. La
redundancia hace que el router B se active y que los routers internos converjan
hacia él en el caso de que el router A fallase.
ISP
Las direcciones anycast son creadas asignando la misma dirección a más
de un dispositivo. No existe un espacio de direccionamiento designado para
anycast. Los dispositivos que emplearán este tipo de dirección deben ser
explícitamente configurados y tiene que saber que la dirección es de anycast.
www.FreeLibros.com
266
REDES CISCO. CCNP a Fondo
©RA-MA
Todos los routers tienen que soportar la dirección anycast subnet-router
para las subredes en las cuales tienen interfaces. Estas direcciones son las
direcciones de unicast con la porción de la interfaz ID puestas en 0. Los paquetes
enviados a la dirección de anycast subnet-router serán entregados a un router
específico en la subred.
Direcciones IPvó multicást
Una dirección de multicást identifica un grupo de interfaces. El tráfico
enviado al grupo llega a todas estas interfaces. Estas pueden a su vez pertenecer a
varios grupos multicást simultáneamente. Cada interfaz puede reconocer varias
direcciones de multicást incluyendo la dirección all-nodes, la dirección solicitednodes o cualquier otra dirección a la que el nodo pertenezca. Los routers deben ser
capaces de reconocer la dirección all-roaters.
El formato de una dirección IPvó de multicást se ilustra en la siguiente
figura:
8 bits
4 bits
4 bits
112 bits
1111 1111
Flag
Scope
Group ID
FF00::/8
Como se muestra en la figura la dirección IPvó multicást comienza con el
prefijo FF00::/8 los siguientes 4 bits son identificadores que se describen a
continuación:
1. El primer identificador o bandera es indefinida y siempre tiene el valor de
cero.
2.
Conocido como el bit “R ” tiene el valor en binario de 1, cuando el RP esté
contenido en el paquete multicást.
3.
Conocido como el bit “P ” lleva el valor binario 1 en el caso de que la
dirección multicást esté basada en un prefijo unicast.
4. Es el llamado bit “T ”, si la dirección está asignada permanentemente lleva
el valor 0, si por el contrario el valor es 1 la dirección es temporal.
Los 4 bits después de las banderas indican el ámbito de la dirección
limitando cuán lejos esta dirección multicást es capaz de llegar. En IPv4 se utiliza
el TTL para poder efectuar esta tarea pero no es un mecanismo exacto debido a que
la distancia permitida por el TTL puede ser demasiado larga en una dirección y
www.FreeLibros.com
CAPÍTULO 8. IPv6
© RA-MA
267
demasiado corta en otra. El ámbito en IPvó es lo suficientemente flexible como
para limitar multicást en un sitio o una empresa determinada.
Los ámbitos están definidos en hexadecimal y son los siguientes:
•
Valor
1: ámbito interfaz-local, usado para las interfaces loopback.
•
Valor
2: ámbito link-local, similar al ámbito unicast link-local.
•
Valor 4: ámbito admin-local; debe ser administrativamente
configurado.
•
Valor
•
Valor
pertenecientes a múltiples sitios u organizaciones.
•
Valor E: es de ámbito global.
5: ámbito site-local; sólo abarca un sitio.
8: ámbito
El ID del grupo multicást son los 112 bits de menor ámbito de la dirección.
Todos los dispositivos deberían reconocer y responder a estas direcciones
multicást de todos los nodos:
•
FFO1:: 1 correspondiente a la interfaz local.
•
FF02::1 correspondiente al enlace local.
Las direcciones de multicást solicited-nodes son utilizadas en los mensajes
de solicitud de vecinos y son enviadas en un enlace local por un dispositivo que
quiere determinar la dirección de la capa de enlace de otro dispositivo en el mismo
enlace local. Este mecanismo se asemeja a ARP en IPv4. Una dirección de
multicást solicited-nodes comienza con el prefijo FF02::1:FF00:/104 y en los
últimos 24 bits insertando las direcciones unicast o anycast del dispositivo.
Los routers deben poder responder a las direcciones multicást all-router:
•
FF01 ::2 es la dirección de interfaz local.
•
FF02::2 es la dirección de enlace local.
•
FF05::2 es la dirección del sitio local.
Los routers también se unen a otros grupos para soportar protocolos de
enrutamiento como por ejemplo, OSPF versión 3 (OSPFv3) utiliza FF02::5 y
FF02::6, y RIPng (Routing Information Protocol new generation) utiliza FF02::9.
www.FreeLibros.com
or
268
REDES CISCO. CCNP a Fondo
©RA-MA
Asignamiento de direcciones IPvó
Las direcciones Ipv6 pueden ser asignadas de manera manual o de forma
dinámica usando DHCPvó o autoconfiguración stateless.
•
Manual: el administrador es el encargado de asignarlas y
configurarlas manualmente, supone más trabajo y demanda llevar
un registro de las direcciones que han sido asignadas y a qué host.
•
Autoconfiguración stateless: cada router anuncia información de
red incluyendo el prefijo asignado a cada una de sus interfaces.
Con la información contenida en este anuncio los sistemas finales
crean una dirección única al concatenar el prefijo con el ID en
formato EUI-64 de la interfaz. El nombre steteless viene de que
ningún dispositivo lleva un registro de las IP que se van asignando.
Los sistemas finales piden información de red al router usando un
mensaje específico denominado Router Solicitation y los routers
responden con un mensaje Router Advertisement. Existe un
proceso denominado DAD (Duplícate Address Detection), que se
encarga de verificar que las IPs no estén en uso, no sean
duplicadas.
•
DHCPv6: se puede definir este método como autoconfiguración
stateful y el funcionamiento es similar a DHCP tradicional,
asignando direccionamiento a los host de un rango preconfigurado.
Tiene una ventaja añadida y es que rompe la relación entre MAC e
IP (capa 2 y 3) creada si se utiliza la autoconfiguración stateless,
aumentando la seguridad.
CONFIGURACIÓN DE IPvó
IPv6 utiliza versiones actualizadas de los mismos protocolos de
enrutamiento disponibles para IPv4. La mayorías de los protocolos trabajan de la
misma manera que con IPv4 pero con algunas pequeñas diferencias. El
enrutamiento en IPv6 puede llevarse a cabo mediante los siguientes protocolos:
•
•
•
•
•
•
Rutas estáticas
RIPng
EIGRP para IPv6
IS-IS para IPv6
MP-BGP4 (Multiprotocol BGP)
OSPFv3
www.FreeLibros.com
CAPÍTULO 8. IPvó
©RA-MA
269
Rutas estáticas
Tal como ocurre en IPv4 las rutas estáticas en IPv6 se configuran
fácilmente. Las rutas por defecto se representan de la siguiente manera
El
comando para configurar una ruta estática es el siguiente:
Router(config)# ipv6 route ipv6-prefix/prefix-length {ipv6-address
interface-type interface-number [ipv6-address]} [administrativedistance] [administrativemulticast-distance | unicast | multicást]
[next-hop-address] [tag tag]
|
La RFC 2461, Neighbor Discovery for IPvó, especifica que un router debe
ser capaz de identificar la dirección de enlace local de los routers vecinos, pero
para rutas estáticas la dirección del próximo salto debe ser configurada como la
dirección link-local del router vecino.
RIPng
RIPng es la nueva generación de RIP para IPv6 y está basado en RIPv2.
Tal como RIPv2, este protocolo es un protocolo de enrutamiento vector-distancia
que utiliza la cuenta de saltos como métrica, con un máximo de 15, y sus
actualizaciones son multicást cada 30 segundos. RIPng utiliza la dirección de
multicást FF02::9, ésta es la dirección del grupo multicást de todos los routers que
están ejecutando RIPng.
RIP envía actualizaciones utilizando UDP puerto 521 dentro de los
paquetes IPv6, éstas incluyen el prefijo IPv6 y la dirección del próximo salto de
IPv6.
EIGRP para IPvó
Este protocolo está basado en EIGRP para IPv4, tal como pasa con su
antecesor es un protocolo vector-distancia avanzado propietario de Cisco que
utiliza una métrica compleja con actualizaciones confiables y el algoritmo DUAL
para converger rápidamente. EIGRP para IPv6 se puede configurar a partir de la
versión de IOS 12.4(6)T y posteriores.
IS-IS para IPv6
IS-IS es un protocolo que se ejecuta directamente en la capa de enlace de
datos, por lo tanto es independiente del protocolo de capa 3 que se esté utilizando.
Para el manejo de IPv6 con IS-IS solamente se requiere la creación de un nuevo
identificador de protocolo y dos nuevos tipos de TLV, IPvó reachability y IPvó
www.FreeLibros.com
270
REDES CISCO. CCNP a Fondo
©RA-MA
interface address. IS-IS permite una actualización de enrutamiento que contenga
rutas para IPv4 e IPvó a la vez dando como resultando una utilización con mayor
eficiencia en los enlaces que otros protocolos como OSPF.
MP-BGP4 para IPvó
MP-BGP4 incluye nuevas extensiones para IPvó que permiten transportar
información acerca de otros protocolos tales como IPvó o MPLS y lleva un nuevo
identificador definido para IPvó. El atributo de next-hop puede incluir una
dirección global unicast de IPvó y una dirección link-local. La dirección de red y el
atributo NLRI son expresados como prefijos y direcciones IPvó.
OSPFv3
OSPFv3 guarda similitudes y diferencias con su antecesor de la versión 2,
a continuación se describen dichas características.
Similitudes entre OSPFv2 y OSPFv3
OSPFv3 comparte muchas características de OSPFv2, sigue siendo un
protocolo de estado de enlace que utiliza el algoritmo de Dijkstra SPF para
seleccionar los mejores caminos a través de la red. Las rutas en OSPFv3 son
organizadas en áreas con todas las rutas conectadas al área 0 o área de backbone.
Los routers OSPFv3 se comunican con sus vecinos intercambiando helio, LSA y
también DBD y ejecutan el algoritmo SPF contra la base de datos del estado de
enlace acumulada (LSDB).
OSPFv3 utiliza el mismo tipo de paquetes que la versión 2, forma las
relaciones de vecinos con el mismo mecanismo y borra las LSA de forma idéntica.
Ambas versiones soportan redes NBMA, non-broadcast y punto a punto. Las IOS
de Cisco siguen soportando las tres versiones propietarias de la marca (point-topoint, broadcast y point-to-multipoint nonbroadcast). Los diferentes tipos de áreas
y sus capacidades también son soportados en esta nueva versión de OSPF.
Diferencias entre OSPFv2 y OSPFv3
Estos protocolos tienen diferentes características, la más relevante es que
OSPFv3 soporta prefijos de 128 bits. OSPFv3 se ejecuta directamente dentro de los
paquetes IPvó y puede coexistir con OSPFv2.
www.FreeLibros.com
CAPÍTULO 8. IPv6
©RA-MA
271
Los dos protocolos nunca intercambiaran información mutuamente. Se
puede definir este comportamiento como ships in the night que es una terminología
empleada bastante común que describe un proceso que no influye en otro.
Las direcciones de multicást de OSPFv2 son de 224.0.0.5 y 224.0.0.6,
OSPFv6 utiliza las direcciones de multicást FF02::5 para todos los routers OSPF y
FF02::6 para todos los DR y BDR. Los routers que ejecutan OSPFv3 pueden
soportar varias direcciones por interfaz, incluyendo la dirección link-local, la
dirección global, la dirección de multicást, las dos direcciones de OSPFv3, etc.
OSPFv2 construye las relaciones entre redes con términos tales como “red”
o “subred” lo que implica una dirección IP específica en una interfaz. En cambio
OSPFv3 solamente se ocupa de la conexión a través del enlace hacia su vecino por
lo tanto, en la terminología en OSPFv3 se habla de “link”. La dirección link-local
es el origen de las actualizaciones y no de la dirección local de unicast.
La cabecera del paquete de OSPFv3 es de 16 bytes mientras que la de
OSPFv2 es de 24 bytes.
La autenticación no se incluye dentro de la versión 3. Los dos campos de
autenticación y tipo de autenticación que aparecen en la cabecera de OSPFv2 no
están presentes en la versión 3. OSPFv3 confía en las capacidades de IPvó para
proporcionar autenticación y encriptación utilizando extensiones de cabecera.
Versión
Type
Packet Length
Router ID
Area ID
Checksum
Instance ID
0
OSPFv2 puede ejecutar varios procesos pero sólo uno pior enlace. El nuevo
campo ID en la cabecera de OSPFv3 es usado para diferenciar procesos de OSPF,
dos instancias deben tener el mismo ID para que sean capaces de comunicarse una
con la otra. Esto permite a múltiples dominios de enrutamiento comunicarse a
través del mismo enlace. Cada instancia mantiene diferentes tablas de vecinos,
bases de datos, estados de enlace y árboles SPF. Sorprendentemente y a pesar de
todos estos progresos, en OSPFv3 el router ID y el área ID aún se expresan en
números de 32 bits y son escritos en formato decimal como las direcciones IPv4. El
www.FreeLibros.com
272
REDES CISCO. CCNP a Fondo
©RA-MA
DR y BDR en OSPFv3 son identificados por el router ID y no por la dirección IP y
son elegidos como en OSPFv2.
Tipos de LSA
OSPFv3 y OSPFv2 utilizan un conjunto de LSA similares pero no
idénticas. La siguiente tabla muestra las LSA de OSPFv3 incluido el código de
función el cual indica la función de cada LSA.
Código
Nombre
Descripción
1
Router-LSA
Anuncia el router ID desde un
área hacia un router.
2
Network-LSA
Anuncia el router ID desde un
área hacia el DR.
3
Inter-AreaPrefix-LSA
Anuncia prefijos desde un área a
otra.
4
Inter-AreaRouter-LSA
Anuncia la ubicación de un
ASBR.
5
AS-ExtemalLSA
Anuncia redistribuciones dentro
de OSPF.
6
GroupMembership
LSA
Anuncia información multicást.
7
Type-7-LSA
Anuncia rutas externas NSSA.
8
Link-LSA
Anuncia la dirección de un
enlace directamente conectado a
un vecino.
9
Intra-AreaPrefix-LSA
Anuncia prefijos asociados a un
router.
Las LSA de tipo 1 y 2 no llevan ningún tipo de prefijo o ruta sin embargo
contienen ID de 32 bits. Las de tipo 3 y 4 han sido renombradas pero todavía
www.FreeLibros.com
© RA-MA
CAPÍTULO 8. IPv6
273
realizan las mismas funciones que en OSPFv2. Las de tipo 8 y 9 son ahora nuevas
LSA en OSPFv3.
Los prefijos de direccionamiento son almacenados como prefix, options, y
prefix length. Son expresadas como prefijo y longitud de prefijo, que es un formato
más flexible que en OSPFv2 con prefijo y máscara.
En OSPFv3 los tipos 3 y 9 de LSA llevan toda la información del prefijo
del dispositivo IPvó. En OSPFv4 el prefijo IPv4 es transportada en las LSA de tipo
i y 2.
Las LSA son originadas desde la dirección link-local de una interfaz y
tienen como destino una dirección IPvó OSPF de multicást.
CONFIGURACIÓN DE IPvó EN OSPFv3
Antes de la configuración de cualquier protocolo de enrutamiento, IPvó
tiene que ser soportado y configurado en el router. Este comando viene por defecto
deshabilitado. La siguiente sintaxis muestra la configuración de IPvó:
Router(config)#ipv6 unicast-routing
CEFvó (Cisco Express Forwarding versión 6) es una tecnología de
conmutación avanzada para enviar paquetes IPvó. Para CEFvó el comando es el
siguiente:
Router(config)#ipv6 cef
Para configurar las interfaces con direcciones IPvó unicast se utiliza el
siguiente comando:
Router(config-if)#ipv6 address ipv6-address/prefix-length [eui-64]
El parámetro eui-64 hace que el router complete los 64 bits de bajo orden
de la dirección utilizando el identificador universal extendido EUI-64.
La siguiente figura y la sintaxis más abajo muestran un ejemplo de
configuración IPv6:
www.FreeLibros.com
274
REDES CISCO. CCNP a Fondo
©RA-MA
RouterA#configure terminal
RouterA(config)#ipv6 unicast-routing
RouterA(config)#ipv6 cef
RouterA(config)#interface fastethernetO/O
RouterA(config-if)#description Local LAN
RouterA(config-if)#ipv6 address 2001:0:1:1::2/64
RouterA(config-if)#interface serial 1/0
RouterA(config-if)#description point-to-point connection to Internet
RouterA(config-if)#ipv6 address 2001:0:1:5::1/64
Las dos principales diferencias en la configuración y la resolución de fallos
entre OSPFv2 y OSPFv3 son:
•
La inclusión de la palabra clave IPv6 en los comandos de OSPFv3.
•
Las interfaces son habilitadas en el modo de configuración de interfaz en
OSPFv3 en lugar de utilizar el comando network dentro del protocolo de
enrutamiento.
Asumiendo que IPvó está habilitado y que las direcciones IPvó están
configuradas correctamente en las interfaces correspondientes, los comandos para
habilitar OSPFv3 son los siguientes:
Router(config)#ipv6 router ospf process-id
Router(config-rtr)#router-id 32-bit-router-id
Router(config-rtr)#area area-id range summary-range/prefix-length
[advertise | notadvertise] [cost cost]
Router(config-rtr)#interface type number
Router(config-if)#ipv6
ospf
process-id
area
area-id
[instance
instance-id]
Router(config-if)#ipv6 ospf priority priority
Router(config-if)#ipv6 ospf cost interface-cost
www.FreeLibros.com
CAPÍTULO 8. IPvó
©RA-MA
275
El router ID debe ser un número de 32 bits en formato de dirección decimal
jpv4 y tiene que ser único, se puede utilizar para este valor una dirección IPv4 ya
establecida en el router. La prioridad funciona de la misma manera que OSPFv2, el
valor por defecto de la prioridad es 1. El router con mayor prioridad tiene más
posibilidades de ser DR o BDR, mientras que 0 significa que el router no
participará de dicha elección. El coste permanece igual en ambas versiones, que
p0r defecto es inversamente proporcional al ancho de banda de la interfaz. El coste
se puede modificar con el comando ipv6 ospf cost.
El comando area range provee sumarización, por defecto deshabilitada, en
OSPFv3 y en OSPFv2. Para OSPFv3 el coste de una ruta sumarizada es el mayor
coste de todas las rutas que la componen.
OSPFv3 permite redistribución de rutas desde y hacia protocolos de
enrutamiento IPvó y permite la entrada de rutas de la misma manera que lo permite
OSPFv2.
Para facilitar la comprensión de la configuración de OSPFv3 se muestra un
ejemplo en la siguiente topología:
1 LoopbackO
2001:0:1:FFFF:: 1/64
Ambos routers son ABR y el router B lleva configurada una interfaz de
loopback. La configuración básica del router A se muestra en la siguiente sintaxis,
mientras que el router B está configurado de una manera similar:
RouterA#configure terminal
RouterA(config)#ipv6 unicast-routing
RouterA(config)#ipv6 cef
RouterA(config)#ipv6 router ospf 1
RouterA(config-rtr)#router-id 10.255.255.1
www.FreeLibros.com
276
REDES CISCO. CCNP a Fondo
©RA-MA
RouterA(config-rtr)#interface fastethernetO/O
RouterA(config-if)#description Local LAN
RouterA(config-if)#ipv6 address 2001:0:1:1::2/64
RouterA(config-if)#ipv6 ospf 1 area 1
RouterA(config-if)#ipv6 ospf cost 10
RouterA(config-if)#ipv6 ospf priority 20
RouterA(config-if)#interface serial 1/0
RouterA(config-if)#description multi-point line to Internet
RouterA(config-if)#ipv6 address 2001:0:1:5::1/64
RouterA(config-if)#ipv6 ospf 1 area 0
RouterA(config-if)#ipv6 ospf priority 20
VERIFICACIÓN DE IPvó EN OSPFv3
Para la verificación de OSPFv3 se pueden emplear muchos de los
comandos de la versión 2. El comando show ipv6 route mostrará las rutas
advertidas, asumiendo que las rutas estén incluidas en la tabla se podrán emplear
otros comandos para la verificación tales como ping [ipv6] ipvó-address. El
parámetro ipvó es opcional, normalmente la IOS detecta la versión IP que se está
utilizando.
El siguiente comando activa el recálculo de OSPF y actualiza la tabla de
enrutamiento:
clear ipv6 ospf [p r o c e s s - i d ] {process
counters [neighbor [neighbor-interface
|force-spf | redistribution |
\n eighbor-id ]]}
La siguiente sintaxis está basada en la configuración de los routers del
ejemplo anterior:
RouterA#show ipv6 route
IPv6 Routing Table - 6 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
U - Per-user Static route
II - ISIS Ll, 12 - ISIS L2, IA
- ISIS interarea
0 - OSPF intra, OI - OSPF Ínter, OEl - OSPF ext 1, 0E2 -OSPF
ext 2
C 2001:0:1:2::/64 [0/0]
via ::, FastEthernetO/O
L 2001:0:1:2::2/128 [0/0]
via ::, FastEthernetO/O
01 2001:0:1:6::/64 [110/1010]
via FE80::213:8OFF:FE63:D676, FastEthernet0/0
O 2001:0:1:FFFF::1/128 [110/10]
via FE80::213:8OFF:FE63:D676, FastEthernet0/0
L FE80::/10 [0/0]
ia ::, NullO
L FF00::/8 [0/0]
via ::, NullO
www.FreeLibros.com
CAPÍTULO 8. IPv6
©RA-MA
RouterA#ping
ipv6
277
2001:0:1:FFFF::1
Tvpe escape sequence to abort.
Sending
5,
100-byte
ICMP Echos
to
2001:0:1:FFFF::1,
timeout
is
2
seconds:
i i ¡ •!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
Este comando muestra información acerca de una interfaz determinada:
show ipv6 interface [brief] [interface-type ínterface-number]
[prefix]
R o u t e r A # s h o w ipv6 interface brief
FastEthernetO/O
[up/up]
FE80::213:80FF:FE63:D66E
2001:0:1:1::2
Seriall/0
[up/down]
F E 8 0 : : 2 1 3 : 8 OFF: F E 6 3 : D66E
2 0 0 1 : 0 : 1 : 5 : :1
Una de las razones de que las rutas de OSPFv3 no sean propagandas desde
una interfaz puede ser que no esté habilitado OSPFv3correctamente en dicha
interfaz. La manera rápida y sencilla de comprobarlo obteniendoa su vez
información específica es a través del comando show ipv6 ospf interface.
RouterA#show ipv6 ospf interface faO/O
FastEthernet0/0 is up, line protocol is up
Link Local Address FE80::213:80FF:FE63:D66E, Interface ID 2
Area 1, Process ID 1, Instance ID 0, Router ID 10.255.255.1
Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 20
Designated
Router
(ID)
10.255.255.2,
local
address
F E 8 0 : : 2 1 3 : 8 OFF: F E 6 3 : D676
Backup
Designated
FE80::213:80FF:FE63
router
(ID)
10.255.255.1,
local
address
D66E
Timer intervals configured, Helio 10, Dead 40, Wait 40, Retransmit 5
Helio due in 00:00:01
Index 1/1/2, flood queue length 0
Next 0x0(0)/0x0(0)/0x0(0)
Last flood sean length is 1, máximum is 2
Last flood sean time is 0 msec, máximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 10.255.255.2 (Designated Router)
Suppress helio for 0 neighbor(s)
El router ID y los temporizadores se pueden verificar con el comando show
ipvó ospf. La verificación de la relación de vecindad se puede establecer con el
comando show ipvó ospf neighbor [detail]. Las bases de datosde OSPFv3 se
pueden mostrar utilizando los comandos show ipvó ospf database para verificar la
lista de LSA recibidas y conocer como las rutas están siendo propagadas y show
www.FreeLibros.com
278
REDES CISCO. CCNP a Fondo
©RA-MA
ipv6 ospf database database-summary proporciona cantidades totales de los
diferentes tipos de LSA.
A continuación se copian varias
mencionados:
salidas
de los ejemplos antes
RouterA#show ipv6 ospf
Routing Process "ospfv3 1" with ID 10.255.255.1
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
LSA group pacing timer 240 secs
Interface flood pacing timer 33 msecs
Retransmission pacing timer 66 msecs
Number of external LSA 0. Checksum Sum 0x000000
Number of areas in this router is 2. 2 normal 0 stub 0 nssa
Area BACKBONE(0) (Inactive)
Number of interfaces in this area is 1
SPF algorithm executed 1 times
Number of LSA 1. Checksum Sum 0x008A7A
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0
Area 1
Number of interfaces in this area is 1
SPF algorithm executed 9 times
Area ranges are
2001:0:1::/80 Passive Advertise
Number of LSA 9. Checksum Sum 0x05CCFF
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0
RouterA#show ipv6 ospf neighbor detail
Neighbor 10.255.255.2
In the area 1 via interface FastEthernet0/0
Neighbor:
interface-id
2,
link-local
address
FE80::213:8OFF:FE63:D676
Neighbor priority is 20, State is FULL, 6 state changes
DR is 10.255.255.2 BDR is 10.255.255.1
Options is 0x8lEA8189
Dead timer due in 00:00:31
Neighbor is up for 00:03:28
Index
1/1/1,
retransmission
queue
length
0,
number of
retransmission 1
First 0x0(0)/ 0 x 0 (0)/ 0 x 0 (0) Next 0x0(0)/ 0 x 0 (0)/ 0 x 0 (0)
Last retransmission sean length is 2, máximum is 2
Last retransmission sean time is 0 msec, máximum is 0 msec
RouterA#show ipv6 ospf database database-summary
OSPFv3 Router with ID (10.255.255.1) (Process ID 1)
Area 0 database summary
LSA Type
Count Delete Maxage
www.FreeLibros.com
CAPÍTULO 8. IPv6
©RA-MA
Router
Network
Link
prefix
inter-area Prefix
Inter-area Router
ipype—7 External
Subtotal
1
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
0
0
279
Area 1 database summary
2
0
Router
1
0
Network
2
0
Link
1
0
prefix
0
Inter-area Prefix 1
0
inter-area Router 0
0
0
Type-7 External
0
7
Subtotal
Process 1 database summary
Count Delete
LSA Type
3
0
Router
1
0
Network
2
0
Link
1
0
Prefix
0
Inter-area Prefix 1
Inter-area Router 0
0
0
0
Type-7 External
0
0
0
0
0
0
0
0
Me
0
0
0
0
0
0
0
TRANSICIÓN DESDE IPv4 A IPv6
Teniendo en cuenta que la mayoría de las redes que existen en Internet
están implementadas sobre IPv4 deben existir mecanismos que hagan posible la
coexistencia de ambas versiones. Puede haber varios tipos de sistemas para ejecutar
esta transición:
•
Dual stack
•
Tunneling
•
Translation
Dual stack
Con este mecanismo es posible ejecutar IPv4 e IPvó a la vez sin
comunicación entre ambas versiones. Los host y los routers llevan configuraciones
de las dos versiones de IP y utilizan independientemente unas u otras según los
www.FreeLibros.com
280
REDES CISCO. CCNP a Fondo
©RA-MA
recursos que quieran alcanzar. Si un recurso en concreto proporciona ambas
versiones sería conveniente utilizar IPvó para alcanzarlo.
Para habilitar dual stack en un router Cisco es necesario implementar IPv6
y configurar las interfaces con las direcciones IP correspondientes según muestra el
siguiente ejemplo:
RouterA#configure terminal
RouterA(config)#ipv6 unicast-routing
RouterA(config)#ipv6 cef
RouterA(config)#interface fastethernetO/O
RouterA(config-if)#ip address 192.168.0.1 255.255.255.0
RouterA(config-if)#ipv6 address 2001:0:1:1::2/64
Este mecanismo de dualidad permite a los servidores, clientes y
aplicaciones moverse gradualmente hacia el nuevo protocolo provocando un
mínimo impacto durante el proceso de transición a IPvó.
Tunneling
El mecanismo que proporciona dual stack funciona correctamente siempre
y cuando la infraestructura pueda soportar los dos protocolos, pero hay casos en los
que los dispositivos sólo soportan IPv4, como por ejemplo en equipos de core.
Hasta que estos equipos sean actualizados se debe utilizar otro tipo de técnica que
pueda ejecutar IPvó a través de IPv4.
Utilizando túneles los routers que están ejecutando a la vez IPv4 e IPv6
encapsularán el tráfico IPvó dentro de paquetes IPv4. El origen de los paquetes
IPv4 es el propio router local y el destino será el router en el extremo del túnel.
Cuando el router destino recibe el paquete IPv4 lo desencapsula y hace un reenvío
del tráfico IPvó que estaba encapsulado.
Este sistema de tunneling es efectivo pero incrementa las MTU debido a
que se consumen 20 bytes con cada cabecera IPv4 en los enlaces intermedios y que
además es difícil la resolución y seguimiento de problemas.
Existen cuatro tipos de túneles:
•
•
•
•
Manual tunnels
6-to-4
Teredo
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol)
www.FreeLibros.com
CAPÍTULO 8. IPv6
©RA-MA
281
Manual Tunnels
La configuración de este mecanismo no es difícil, como se muestra en el
ejemplo para el router A:
Cabecera IPv6
Origen 2001:0:1:2:: 2
Destino 2001:0:1:1:: 2
D a to sIP v 6
Cabecera IPv4
Origen 192.163.1,1
Destino 192.168.7.1
Cabecera IPv6
Origen 2001:0:1:2:: 2
Destino 2001:0:1:1:: 2
D ato sIP v6
Cabecera IPv6
Origen 2001:0:1:2::2
Destino 2001:0:1:1::2
Datos IPv6
RouterA#configure terminal
RouterA(config)#interface tunnelO
RouterA(config-if)#ipv6 address 2001:0:1:5::1/64
RouterA(config-if)#tunnel source 192.168.1.1
RouterA(config-if)#tunnel destination 192.168.7.1
RouterA(config-if)#tunnel mode ipv6ip
El comando tunnel mode ipv6ip especifica que el túnel es manual y que
IPvó es el protocolo pasajero siendo IPv4 el encargado de encapsular y transportar
a IPvó.
El comando show interface tunnel muestra detalles acerca de la interfaz
mientras que el comando clear counters tunnel interface-number limpia los
contadores mostrados en el comando anterior.
Túneles 6-to-4
Un túnel de este tipo funciona de manera similar a un túnel manual excepto
por el hecho de que es creado automáticamente. Los túneles 6-to-4 utilizan
direcciones IPv6 que enlazan las direcciones 2002: :/16 con la dirección IPv4 de 32
bits del router borde creando un prefijo de 48 bits.
www.FreeLibros.com
282
©RA-MA
REDES CISCO. CCNP a Fondo
Un ejemplo de túnel con 6-to-4 es el siguiente, la interfaz túnel en el router
A tiene un prefijo de 2002:C0A8:501::/48, donde el valor hexadecimal C0A8:501
equivale a 192.168.5.1 en decimal, que es la dirección IPv4 de esta interfaz. La
interfaz túnel en el router B tiene un prefijo de 2002:C0A8:122::/48, donde
C0A8:122 es el valor hexadecimal y 192.168.1.34 es la dirección IPv4 en esta
interfaz.
Cabecera IPv6
Origen 2002: C0A9:SOI: 1::2
Destino 2 0 0 2 :C 0 A 8 :122:1::2
D atosIP v6
Cabecera IPv4
Origen 192.168,5.1
Destino 192.168.1.34
Cabecera IPv6
Origen 2002: C0 A 8:S 0 1:1: :2
Destino 20O2:COA8:122:1:: 2
Cabecera IPv6
Origen 2 00 2:C0A8:S01:1::2
Destino 2002:C Q A 8:122:1:: 2
Datos IPv6
D atosIPv6
Cada router tiene configurada una ruta estática hacia el prefijo del otro
router. Cuando el router A recibe tráfico con una IP de destino de
2002 :C0A8:122:1::2 se activa el siguiente proceso:
1. El router A extrae la dirección IPv4 de la dirección IPv6, en este caso la
dirección IPv4 es C0.A8.01.22, equivalente en decimal a 192.168.1.34.
2. El router A encapsula el paquete IPv6 en un paquete IPv4 con una
dirección de destino de 192.168.1.34, el paquete es enrutado normalmente
a través de la red IPv4 hacia el router B.
3. El router B recibe el paquete, desencapsula el paquete IPv6 y lo enruta
normalmente hacia el destino final IPv6.
www.FreeLibros.com
CAPÍTULO 8. IPv6
© r a -m a
283
Teredo
Otro tipo de túneles son los llamados Teredo. Éstos encapsulan paquetes
IPvó en segmentos IPv4 UDP y trabajan de manera similar a los otros mecanismos
anteriores con el agregado de poder atravesar redes que están utilizando NAT y
firewall. La RFC 4380 describe el funcionamiento de este mecanismo.
ISATAP
ISATAP trata la red como una NBMA de IPv4 y permite a la red privada
IPv4 implementar incrementalmente IPv6 sin actualizar la red. La RFC 4214
describe el funcionamiento de ISATAP.
Translation
El problema del mecanismo de túneles, ya sea manual o automático, es que
es una solución dual stack. Los clientes IPv6 tienen que seguir soportando IPv4
para conectar con otros dispositivos IPv4. Translation es un tipo de solución
diferente que permite a dispositivos IPv6 comunicarse con dispositivos IPv4 sin
necesidad de requerir de dual stack.
SIIT (Stateless IP/ICMP Translation) traduce los campos de la cabecera
IP, y NAT-PT (NAT Protocol Translation) asocia la dirección IPvó a la dirección
IPv4. Cuando IPv6 se utiliza en la parte privada de una red, un dispositivo NAT-PT
recibe tráfico IPv6 en su interfaz de entrada y reemplaza la cabecera IPv6 con una
cabecera IPv4 antes de enviar el tráfico por la interfaz de salida. El tráfico de
regreso recibe el tratamiento inverso permitiendo una comunicación de dos vías.
Los dominios de enrutamiento IPv4 e IPv6 también pueden estar
conectados usando ALG (Application-Level Gateways) o un Proxy. Un Proxy
intercepta tráfico y lo convierte al protocolo correspondiente. Un ALG
independiente es requerido para soportar cada protocolo,. de esta manera este
método sólo soluciona algunos problemas específicos de translation.
BIA (Bump-in-the-API) y BIS (Bump-in-the-Stack) son implementaciones
de NAT-PT dentro de un host. BIA/BIS intercepta las llamadas de un sistema IPv4
y dinámicamente responde con IPvó, permitiendo, por ejemplo, que un servidor sea
reconvertido a IPv6 sin tener que reescribir el código de las aplicaciones. Este
sistema no funcionará para aplicaciones que lleven direcciones IP embebidas como
por ejemplo ocurre con FTP.
www.FreeLibros.com
www.FreeLibros.com
PARTE II
www.FreeLibros.com
www.FreeLibros.com
Capítulo 9
DISEÑO DE REDES
FUNCIONALIDAD DE SWITCHING
Para iniciar el estudio de las tecnologías de switching es importante
conocer qué es y cómo funciona el modelo de referencia OSI. En este punto se
considera que ya ha sido asimilado por el lector en fases anteriores de su formación
técnica en Cisco, aunque sí que es función de este libro proporcionar al alumno las
claves para poder comprender las diferencias entre switching y routing en las capas
2, 3 y 4 del modelo de referencia OSI involucradas en estas funciones.
El proceso de encapsulación de los datos sigue la siguiente secuencia:
1. Datos
2. Segmentos
3. Paquetes
4. Tramas
5. Bits
www.FreeLibros.com
288
REDES CISCO. CCNP a Fondo
©RA-MA
La siguiente tabla describe las diferentes capas del modelo OSI, su
correspondiente PDU (Protocol Data Unit) y el dispositivo asociado a éstas:
PDU
Dispositivo
Datos
Aplicaciones
Segmentos
Puertos TCP
Paquetes
Router
Tramas
Switch
Bits
Medios
7 Aplicación
6 Presentación
5 Sesión
4 Transporte
3 Red
2 Enlace de Datos
1 Física
Conmutación de capa 2
La función de conmutación en capa 2 es proporcionada por aquellos
dispositivos que son capaces de transportar tramas entre dos interfaces ofreciendo
las siguientes capacidades:
• Aprender direcciones MAC a partir de una trama entrante.
• Mantener actualizada una tabla en la que se asocie dirección MAC y
puerto por el que se aprendió.
• Reenviar por todos los puertos excepto por el que se recibió tramas de
broadcast y multicast.
• Reenviar por todos los puertos excepto por el que se recibió tramas
desconocidas.
• Evitar bucles de red entre los diferentes equipos involucrados utilizando
el protocolo Spanning Tree (STP) o mediante cualquier otra tecnología
o protocolo que pueda ser utilizada para este fin.
Es muy importante tener clara la diferencia entre un bridge (puente) y un
switch y su desempeño en esta capa, ya que son los dispositivos involucrados
fundamentalmente en este nivel. Los bridges son dispositivos capaces de conmutar
www.FreeLibros.com
CAPÍTULO 9. DISEÑO DE REDES
© RA-MA
289
tramas realizando las funciones arriba detalladas, mientras que los switches,
ademas, son capaces de conmutar las tramas y desarrollar esas funcionalidades
utilizando ASIC específico, es decir, los switches son capaces de realizar esas
funciones por hardware, de forma mucho más eficiente y rápida.
Se debe tener en cuenta también si el proceso de conmutación se produce
al mover tramas entre dos interfaces del mismo tipo en nivel 1, como es el caso de
Ethernet, o entre dos interfaces de distinto tipo por ejemplo Ethernet y FDDI. En
caso de ser dos interfaces del mismo tipo no será necesario modificar la cabecera
de capa 2, pero en el caso de que la conmutación se produzca entre dos interfaces
de distinto tipo será necesario modificar la cabecera de capa 2 antes de enviar la
trama a la capa 1.
La conmutación en capa 2 puede ser muy apropiada para entornos
pequeños donde todos los host comparten el mismo dispositivo de interconexión;
pero esta tecnología no es escalable, ya que al interconectar varios dispositivos de
capa 2 hay que tener en cuenta que STP (Spanning Tree Protocol) y los tiempos de
convergencia de STP son muy elevados.
Enrutamiento de capa 3
Los dispositivos involucrados en el enrutamiento de capa 3 realizan las
siguientes funciones:
• Los paquetes se reenvían entre redes basándose en direcciones de capa
3.
• El camino óptimo entre dos puntos se calcula teniendo en cuenta
diferentes métricas como pueden ser saltos, retraso, ancho de banda,
combinación de las anteriores, etc.
• Para reenviar un paquete el router busca en la tabla de enrutamiento
cual es la dirección IP del siguiente salto para el destino concreto y el
interfaz saliente del router.
• El camino óptimo para un destino puede ser elegido entre varias
posibilidades, incluso puede ocurrir que existan varios caminos
óptimos.
• Los routers se comunican entre sí utilizando protocolos de enrutamiento
o routing.
• Los paquetes de broadcast no se reenviarán (excepto en casos muy
concretos).
• Los
paquetes
de
multicast
www.FreeLibros.com
se reenviarán
dependiendo
de
la
290
REDES CISCO. CCNP a Fondo
©RA-MA
configuración que tengan los routers.
En el caso del enrutamiento de capa 3 es posible realizar una segmentación
de la red para controlar los broadcast debido a que los broadcast no son reenviados.
En cuanto al direccionamiento en el caso del enrutamiento de capa 3 es
posible realizar un direccionamiento lógico, ya que se disponen de mecanismos
para traducir esas direcciones lógicas de capa 3. Por ejemplo ARP (Protocolo de
Resolución de Direcciones) permite relacionar unívocamente direccionamiento IP
(direccionamiento lógico capa 3) con direccionamiento MAC (direccionamiento
físico capa 2).
En el caso del enrutamiento de capa 3, el router debe leer la cabecera para
conocer el destino, en este proceso además es posible implementar alguna política
de seguridad dependiendo de las direcciones de origen y destino.
En el enrutamiento de capa 3 las decisiones de ruta se realizan de forma
constante con recursos intensivos de CPU, utilizando ciclos, lo cual desencadena
un retardo en la toma de decisión.
Conmutación de capa 3
Los dispositivos que son capaces de conmutar en capa 3 realizan las
mismas funciones que los dispositivos capaces de enrutar en capa 3, pero teniendo
en cuenta que las decisiones de reenvío se realizan mediante ASIC y no mediante
ciclos de CPU, lo cual redunda en una conmutación a velocidad del medio,
eliminando así los posibles cuellos de botella del enrutamiento de capa 3.
Conmutación de capa 4
La conmutación en capa 4 permite un control mucho más exhaustivo del
intercambio de la información, ya que se comprueban las cabeceras hasta capa 4, es
decir, es posible conmutar teniendo en cuenta la aplicación que se va encaminar.
Las funciones que puede realizar un dispositivo capaz de encaminar en
capa 4 son las siguientes:
• La información se conmuta teniendo en cuenta la información de la
aplicación en capa 4 y por supuesto el direccionamiento en capa 2.
•
Se examina la cabecera de los protocolos de capa 4.
• En la lectura de las cabeceras de capa 4 se puede comprobar la
aplicación tanto de origen como de destino.
www.FreeLibros.com
CAPÍTULO 9. DISEÑO DE REDES
©RA-MA
291
Como se puede demostrar, la conmutación en capa 4 puede afinar mucho
más acertadamente las decisiones sobre la conmutación y se pueden tomar
decisiones teniendo en cuenta además de las direcciones de origen y destino las
aplicaciones (Calidad de Servicio).
La conmutación se realiza utilizando ASIC específicos muy especializados
que permiten realizar esta conmutación a velocidad de línea, aunque es cierto que
para mantener la información sobre MAC de origen, de destino, IP de origen y
destino y aplicación de origen y destino, serán necesarias memorias más grandes y
rápidas, con lo que el coste de estos dispositivos será generalmente muy elevado.
Conmutación multicapa
La conmutación multicapa (Multilayer Switching) permite que los
dispositivos sean capaces de conmutar información combinando las ventajas de la
conmutación en las capas 2, 3 y 4, ejecutando la conmutación a velocidad de línea
y gracias al CEF (Cisco Express Forwarding) la tabla de enrutamiento se mantiene
actualizada entre los ASIC permitiendo así un alto rendimiento minimizando los
retardos de operación.
REDES DE CAMPUS
Una red de campus consiste en un conjunto de redes LAN en uno o varios
edificios, esas LAN pueden utilizar diferentes tecnologías y suelen estar situadas
normalmente en la misma área geográfica.
En el diseño de las redes de campus resulta fundamental conocer el flujo de
tráfico para poder realizar ese diseño lo más eficientemente posible. En el diseño
de redes de campus existen diversos modelos según el tipo y necesidad de diseño:
• Red Compartida
• Segmentación de LAN
• Tráfico de Red
• Red Predecible
• Red Jerárquico
Modelo de red compartida
En este modelo la disponibilidad y el rendimiento es inversamente
proporcional al número de host que estén en ella, puede utilizar tecnologías que
www.FreeLibros.com
292
REDES CISCO. CCNP a Fondo
©RA-MA
utilicen metodologías de máximo esfuerzo, como Ethernet o deterministas como
Token Ring. También se debe tener en cuenta que en sistemas de máximo esfuerzo
las colisiones pueden ocurrir, y de hecho ocurren, sin embargo en las tecnologías
de token como Token Ring esto no ocurre porque la ocupación del medio va por
tumos o tokens de manera ordenada y precisa.
Para solucionar el problema del rendimiento en la red compartida se puede
optar por dividir la red en distintos dominios de colisión, mediante bridges o
switches.
Es importante recordar que los bridges o switches no reenvían las tramas
por todos los puertos a no ser que se trate de un reenvío de broadcast o multicast.
En el caso del broadcast y del multicast se produce una inundación por el
total de puertos y en el caso del broadcast las tramas son leídas y procesadas por
todos los host del segmento, a diferencia del tráfico de multicast que sólo es
procesado por los host del segmento que están suscritos al grupo de multicast en
concreto.
Si se analiza el tráfico de una red compartida se podrá ver la relación
directa que existe entre el número de host y el número de tramas de broadcast, ya
que son muchos los protocolos que utilizan broadcast en capa 2, como por ejemplo
DHCP, GNS, ARP, etc.
En este modelo hay que destacar que existe el problema añadido de que los
dispositivos de capa 2 permiten pasar los broadcast y multicast, así que el
rendimiento de la red mejorará, pero extendiendo los broadcast de capa 2 más allá
de los límites establecidos por los switches y bridges de capa 2.
Modelo de segmentación de LAN
El modelo de segmentación de LAN va más allá que el modelo de red
compartida porque no se permite que los broadcast de capa 2 se extiendan más allá
de los límites establecidos, esto se hace dividiendo la red en varias LAN o VLAN.
Para ello se establecen los límites de los segmentos utilizando dispositivos de capa
3, de esta forma se limitarán los broadcast de capa 3.
Los dispositivos de nivel 3 que se pueden utilizar en este modelo son
routers o switches de capa 3, los cuales proporcionan todas las ventajas de los
dispositivos de capa 2, pero además añaden una segmentación al nivel lógico
establecido en la capa 3, con lo que el rendimiento mejora también en el caso de
disponer de broadcast de capa 2.
www.FreeLibros.com
CAPÍTULO 9. DISEÑO DE REDES
© r A-MA
293
La segmentación se puede realizar dividiendo en LAN o en VLAN, la
diferencia básica reside en que la LAN utilizará todo el medio para ella sola,
mientras que la VLAN utilizará un etiquetado o encapsulado que permitirá
diferenciar el tráfico de una VLAN con el de otra, de esta forma el tráfico no se
mezclará pudiendo disponer de una segmentación lógica que permitirá una
flexibilidad mucho más grande.
El siguiente ejemplo ilustra un modelo de segmentación con un router:
Modelo de tráfico de red
Este modelo se basa en el movimiento de información dentro de la red. En
redes corporativas estándar se puede aplicar el modelo del 80/20, es decir, el 80%
del tráfico se queda en el segmento local y sólo el 20% del tráfico atraviesa el core
de la red. Esta situación puede parecer la más normal, pero habrá que tener en
cuenta que existen redes en las cuales el tráfico mayoritariamente atraviesa el core
de la red, por ejemplo, una red de una empresa de hosting en la que la mayoría del
tráfico no es interno sino que es tráfico que va a salir a Internet y que atravesará el
core o núcleo de la red.
El modelo del 80/20 puede ser uno de los modelos más comunes utilizados,
pero implica que los servidores de aplicación se encuentran más cerca del usuario y
no se disponen de servicios centralizados masivos.
Este modelo tiene una serie de requisitos importantes:
• Los recursos más utilizados tienen que estar lo más próximos al usuario
como sea posible.
www.FreeLibros.com
294
REDES CISCO. CCNP a Fondo
©RA-MA
• Las aplicaciones tienen que estar distribuidas de forma que el tráfico se
quede siempre que sea posible en el segmento local.
• Los usuarios con idénticos requisitos tienen que estar lo más próximos
posible, ya sea proximidad física en el caso de LAN o proximidad
lógica en el caso de VLAN.
Este modelo puede sin embargo ser complejo para el administrador de la
red y puede no ser viable si la utilización de aplicaciones cliente-servidor es muy
extensa.
En el caso de disponer de una red en la que la arquitectura cliente-servidor
sea la predominante, entonces lo conveniente es el entorno 20/80, en el cual la
mayoría del tráfico atravesará el core de la red; por supuesto esta otra visión
requerirá que el diseño de la red sea totalmente diferente y adaptado a esas
necesidades. Este modelo se describe a continuación.
Modelo de red predecible
El modelo predecible tiene que ser el modelo que permita adaptar la
topología de la red a los requisitos del tráfico y que haga posible el menor
mantenimiento. Este modelo afrontará el desafío del entorno 20/80 y deberá estar
basado en varias capas, las cuales serán acceso, distribución y core, que se
describen posteriormente.
MODELO DE RED JERÁRQUICO
Este modelo es el modelo más conocido de Cisco y se basa en dividir la red
de forma lógica en tres niveles o capas:
• Acceso
• Distribución
• Core
Cada uno de estos niveles realizará una función bien diferenciada y
permitirá que el tráfico pueda ser tratado de forma independiente según el lugar de
la red en que se encuentre. El resultado es una topología escalable, fácilmente
modificable y aislable que permite un trabajo óptimo, lamentablemente no todas las
redes de empresas tienen suficiente estructura como para poder montar claramente
un modelo jerárquico, sin embargo para redes de tamaño considerable esta opción
termina por ser la única viable.
www.FreeLibros.com
CAPÍTULO 9. DISEÑO DE REDES
©RA-MA
295
Nivel de acceso
El nivel de acceso es el más próximo al usuario y donde se conectan los
host. En este nivel comúnmente se dispone de switches de capa 2 con una gran
densidad de puertos, con dispositivos de bajo coste. En este nivel también hay que
tener en cuenta que es donde se concentra el tráfico de usuario que tiene que ir al
nivel superior, con lo que es necesario tener en cuenta que los switches de acceso
tendrán que disponer de puertos de uplink que típicamente soportarán varias
VLAN.
Es en este nivel donde se aplican los primeros filtros al tráfico, se definen
VLAN y se comienza a aplicar QoS (Calidad de Servicio).
Nivel de distribución
Este nivel es el encargado de comunicar la capa de acceso con la de core y
de interconectar varios niveles de acceso diferentes. Es en este nivel donde se
agregará el tráfico proveniente de las capas inferiores y el primer lugar donde se
comenzará a utilizar switching de capa 3 para poder hacer la interconexión entre
redes. En este nivel es muy importante que los equipos dispongan de puertos de
alta velocidad; donde la QoS tiene una presencia más persistente. Al ser el primer
nivel en implementar la capa 3 será hasta aquí donde lleguen los broadcast de las
capas inferiores y donde se implementarán políticas de filtrados (ACL).
www.FreeLibros.com
296
REDES CISCO. CCNP a Fondo
©RA-MA
Nivel de core
Este nivel tiene una única y principal función que es mover el tráfico lo
más rápidamente posible suministrando comunicación hacia el exterior sin realizar
ninguna tarea más que no sea imprescindible.
DISEÑO MODULAR DE RED
Aunque en el capítulo anterior se haya descrito el diseño de red por capas
también es posible definir este diseño mediante lo que se llama bloques. Estos
bloques son unidades lógicas funcionales de equipos que ofrecen un servicio
determinado.
Los bloques en los cuales se puede definir una red de campus son los
siguientes:
• Bloque de conmutación: switches de acceso junto con sus switches de
distribución.
•
Bloque de core: el backbone de la red.
•
Bloque de granja de servidores: conjunto de servidores con sus switches
de acceso y distribución.
• Bloque de gestión: recursos de gestión de red con sus switches de acceso y
distribución.
• Bloque de frontera de la empresa: recursos necesarios para conectar la
empresa al exterior con sus switches de acceso y distribución.
•
Bloque de frontera del ISP: servicios
externos
del ISP contratados por la
empresa con sus interfaces al bloque de frontera de la empresa.
www.FreeLibros.com
© RA-MA
CAPÍTULO 9. DISEÑO DE REDES
297
Bloque
frontera del ISP
Bloque de granja de
servidores
Bloque de
conmutación
Bloque de conmutación
El bloque de conmutación contiene dispositivos de conmutación del nivel
de acceso y distribución. Hay que tener en cuenta que todos los bloques tienen que
estar conectados al bloque de core para proporcionar conectividad extremo a
extremo en toda la red. El bloque de conmutación por un lado tendrá los switches
de capa 2 de acceso y por otro lado tendrá switches de capa 3 de distribución, es
decir, en este nivel hay funcionalidades tanto de capa 2 como de capa 3.
En este bloque los usuarios finales se conectan, al switch de acceso
mediante un puerto dedicado, los switches de acceso se conectan a los switches de
distribución de la misma forma y los de distribución a su vez conectarán el bloque
con el bloque de core. Este bloque proporciona, además, un blindaje en cuanto al
tráfico, ya que los broadcast no deben ir más allá del bloque y por supuesto el
protocolo Spanning Tree también queda confinado en el bloque. En este tipo de
bloque es muy importante que las VLAN se queden en el mismo y que no salgan
de ahí, ya que es conveniente que el tráfico de broadcast no circule por el core. La
forma de evitar esto es limitando los dominios de difusión.
www.FreeLibros.com
298
REDES CISCO. CCNP a Fondo
©RA-MA
Dimensionamiento del bloque de conmutación
Los bloques de conmutación no pueden ser tan grandes como usuarios
haya en la organización, muchas veces es necesario dividirlo, pero teniendo en
cuenta una serie de factores que afectan al diseño.
Para poder dimensionar adecuadamente el bloque de conmutación se debe
tener en cuenta los patrones de tráfico, la capacidad de conmutación de capa 3 en la
capa de distribución, números de usuarios, límites de las VLAN o incluso el
tamaño de los dominios de Spanning Tree. Lamentablemente el análisis de estos
requerimientos a priori se encuentra fuera del ámbito del CCNP, pero lo que sí está
dentro del ámbito es detectar el momento en el que ese bloque de conmutación se
queda pequeño, esto sucede cuando:
• Los routers de capa 3 de la capa de distribución son un cuello de botella y
los recursos de CPU aumentan demasiado.
• Los broadcast y multicast provocan lentitud en los switches del bloque.
Para diseñar correctamente el bloque de conmutación es necesario
proporcionar a los switches de acceso enlaces redundantes a los switches de
distribución, y estos últimos pueden balancear el tráfico a los equipos de core ya
que al ejecutar protocolos de enrutamiento de capa 3 es posible realizar este tipo de
configuración. Para proporcionar una redundancia adecuada los dos uplinks de los
switches de acceso tienen que estar conectados a dos switches de distribución,
proporcionando redundancia uno del otro.
A la capa de
core
Aunque el tema de la virtualización queda también fuera del temario del
CCNP e incluso también fuera del CCIE, existen ya técnicas para proporcionar
redundancia en capa 2 como es el uso de la tecnología VSS de Cisco Systems y
utilizando EtherChannels y eliminando el uso de Spanning Tree entre los switches
de acceso y los de distribución, o incluso sin tener virutalización se puede
www.FreeLibros.com
CAPÍTULO 9. DISEÑO DE REDES
©RA-MA
299
proporcionar una redundancia mediante MSTP (tema que se explicará más
adelante) balanceando unas VLAN por un trunk y otras VLAN por otro trank, de
esta manera se proporciona un balanceo de tráfico entre los dispositivos de capa 2
de acceso y distribución. Por supuesto también existen otras posibilidades similares
utilizando virtualización en otros fabricantes, actualmente en Juniper y Nortel,
además de Cisco. Posibilidades de balanceo existen en capa 2, pero estas mejoras
no han estado disponibles hasta finales de 2008 y sólo en la gama 6500 de Cisco,
así que ésa es la razón por la que este tema no se incluye en el CCNP, al menos de
momento.
Bloque de core
Para conectar al menos 2 bloques de conmutación es necesario la
existencia del bloque de core en la red. El bloque de core puede funcionar con
prácticamente cualquier tecnología, aunque este libro se va a centrar en enlaces
gigabit ethemet y 10 gigabit ethemet.
Su función principal, como se explicado anteriormente, es mover los datos
de la forma más rápida posible, ésa es la razón por la que antiguamente este bloque
funcionase únicamente en capa 2, pero actualmente los precios de los switches de
capa 3 ya no son los mismos y hoy en día este bloque se construye sobre switches
multicapa.
Para el diseño de este bloque existen dos posibilidades principales:
•
Bloque Colapsado, es aquel en el que la jerarquía del bloque de core está
colapsado con el nivel de distribución de los otros bloques, es decir, el
bloque de acceso se divide en acceso y distribución, el nivel de acceso se
queda en el bloque de conmutación y el bloque de distribución pasa al
bloque de core.
De esta forma se ahorran equipos en los bloques de conmutación, pero los
broadcast de nivel 3 y las VLAN llegan hasta el core, lo cual podría afectar
al rendimiento. Este tipo de core sólo podría tener sentido en redes
pequeñas.
www.FreeLibros.com
300
REDES CISCO. CCNP a Fondo
©RA-MA
Enlaces de core
Bloque de
conmutación A
Bloque de
conmutación B
Hay que tener en cuenta que este modelo no es escalable ya que no puede
extenderse demasiado.
•
Core Dual, este tipo de core contacta de forma redundante dos o más
bloques de conmutación y en él está totalmente diferenciado el nivel de
distribución con nivel 3, que se queda en cada uno de los bloques de
conmutación, y el nivel de core, con lo que el tráfico de broadcast de nivel
3 se queda en cada uno de los bloques de conmutación y no llega hasta el
bloque de core.
Bloque de
conmutación A
Bloque de
conmutación B
La ventaja fundamental del bloque de core funcionando como dual core es
que es posible utilizar uplinks de cada uno de los bloques de conmutación
de forma paralela y balanceada. Esto es posible gracias a los protocolos de
enrutamiento de capa 3, que permiten balancear el tráfico de esta manera,
gracias a que los switches de distribución de los bloques de conmutación y
los switches del core son switches de capa 3.
www.FreeLibros.com
©
r a -m a
CAPÍTULO 9. DISEÑO DE REDES
301
Tamaño del core en una red de campus
Una consideración muy importante e interesante a tener en cuenta es
relativa al tamaño del core en una red de campus.
El tamaño es totalmente dependiente del número de bloques que existan
por debajo del bloque de core, se ha de tener en cuenta que cada bloque tendrá dos
uplinks hacia el core que deben ser non-blocking, es decir, los switches de core
tienen que tener la capacidad de aceptar que las interfaces puedan estar al 100% de
capacidad.
Otro factor a tener en cuenta en cuanto al tamaño es el o los protocolos de
enrutamiento a utilizar. Ya se ha dicho que se ejecutará un protocolo de
enrutamiento entre los bloques para poder ofrecer redundancia y balanceo entre los
uplinks de los bloques de conmutación hacia el bloque de core, cuanto más grande
sea la red más actualizaciones de enrutamiento serán necesarias y esto puede
afectar al rendimiento.
Estas limitaciones son las responsables de determinar si son necesarios más
equipos o más grandes y potentes en el bloque de core.
Bloque de granja de servidores
Un servidor deberá estar situado en el bloque de granja de servidores y los
servidores además deberán estar accesibles desde cualquier bloque de
conmutación.
Los servidores comúnmente disponen de una interfaz de red y esto implica
un punto único de fallo. Para solucionar esto se puede duplicar el servidor
conectando cada uno a un switch de acceso diferente o instalar una segunda
interfaz en el servidor a otro switch de acceso (dual-homing).
Bloque de gestión de red
Es muy común que este tipo de redes dispongan de algunos sistemas de
gestión de red donde se monitorice el estado de cada uno de los equipos, enlaces,
etc.
Este bloque tiene justo la visión contraria al bloque de granja de servidores,
ya que desde el bloque de gestión de red es necesario llegar al resto de la red y no
al revés. En este bloque es donde se sitúan las aplicaciones de gestión y
monitorización, los servidores de syslog, los servidores AAA, aplicaciones de
administración de usuarios remotos, etc.
www.FreeLibros.com
302
REDES CISCO. CCNP a Fondo
©RA-MA
Bloque de frontera de la empresa
Es muy común que este tipo de redes dispongan de conectividad con
elementos externos a la empresa y es ahí donde comienza la “frontera” de la
empresa.
El concepto de frontera de la empresa sin embargo puede ser dividido en
diferentes categorías:
• Acceso a Internet: conexión con uno o varios ISP, soportando el tráfico
saliente de la empresa, así como el acceso a servicios públicos, en este
bloque se suelen situar elementos de seguridad perimetral.
• Acceso remoto y VPN: es muy común que los trabajadores de una
empresa puedan conectarse de forma remota a la red principal, además hay
que tener en cuenta que existe tráfico de voz que también utilizará este
bloque como punto de entrada.
•
Comercio electrónico: bloque donde se sitúan los servicios y servidores
necesarios para el comercio electrónico, así como equipos de seguridad y
conectividad contra uno o varios ISP.
• Acceso WAN: en este bloque se realiza la conexión de otras delegaciones
de la empresa u extensiones de la red a otros puntos, se puede utilizar
cualquier tecnología como Frame-Relay, ATM o RDSI.
Bloque frontera del ISP
Se puede considerar como el bloque de frontera del ISP, con lo que es
exactamente igual que el bloque anterior, pero visto desde fuera.
Switch de capa 2 en distribución
Como se ha dicho anteriormente es posible utilizar switches de capa 2 en
capa de distribución, pero esta práctica tiene sus problemas, aunque puede ser
recomendada en el caso de que no se disponga de suficientes recursos como para
utilizar dispositivos de capa 3 en la capa de distribución de los diferentes bloques.
Aunque esta práctica tiene varios problemas hay que tener en cuenta los
principales que están relacionados con la extensión y contención de VLAN y la
utilización de Spanning Tree.
En cuanto a las VLAN la utilización de switches de capa 2 en distribución
provocará que todo el tráfico de las VLAN escale hasta el core, pasando los
www.FreeLibros.com
CAPÍTULO 9. DISEÑO DE REDES
© RA-MA
303
broadcast y todo el tráfico no necesario, redundando en una utilización poco
óptima de enlaces de uplink.
Bloque de
conmutación A
Bloque de
conmutación B
La redundancia de nivel 3 entre distribución y core no podrá ser posible
debido a que no existen protocolos de enrutamiento para realizar el balanceo de
tráfico, así que la mala utilización de los uplinks por la extensión de las VLAN se
verá drásticamente empeorada por la imposibilidad de balancear el tráfico con STP
estándar.
EVALUACIÓN DE UNA RED EXISTENTE
Evaluar correctamente una red es fundamental para posteriormente pasar el
modelo a modelo por bloques, lo primero es disponer de un mapa de red.
Cuando se habla de conseguir un mapa de red no hay que limitarse a
realizar un mapa que muestre la conexión entre dispositivos. Los mapas
topológicos de capa 3, donde se puede conocer la disposición de las VLAN y el
flujo del tráfico, son tanto o más importante que los mapas de topología física.
Por supuesto si no existe un mapa de la red siempre será posible
conseguirlo, por ejemplo con dispositivos Cisco, mediante CDP e ir descubriendo
los equipos paso a paso.
Mediante el comando show cdp neighbors se obtiene información sobre
los dispositivos directamente conectados, pero con una visión muy reducida:
www.FreeLibros.com
304
REDES CISCO. CCNP a Fondo
©RA-MA
Switch-B# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route
Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID Local Intrfce Holdtme Capability Platform Port ID
Switch-A Gig 1/1 105 S I WS-C3550-4Gig 0/1
Switch-C Gig 2/1 139 S I WS-C3550-4Gig 0/1
Router Gig 3/1 120 R Cisco 2610Fas 0/0
Existe también la opción de ampliar la información con el comando show
cdp neighbors detail:
Switch-# show cdp neighbors detail
Device ID: Switch-B
Entry address(es): 192.168.254.17
Platform: cisco WS-C4506, Capabilities: Router Switch IGMP
Interface: GigabitEthernetO/1, Port ID (outgoing port):
GigabitEthernetl/1
Holdtime : 134 sec
Versión :
Cisco Internetwork Operating System Software
IOS (tm) Catalyst 4000 L3 Switch Software (cat4000-l9S-M), Versión
12.2(18)EW, EARLY
DEPLOYMENT RELEASE SOFTWARE
(fcl)
TAC Support: http://www.cisco.com/tac
Copyright 1986-2004 by cisco Systems, Inc.
Compiled Fri 30-Jan-04 02:04 by hqluong
advertisement versión: 2
VTP Management Domain: ''
Dúplex: full
Management address(e s ):
Recordando siempre que estos comandos sólo sirven cuando todos los
equipos de la red son Cisco y tienen el protocolo CDP habilitado.
Una vez que se dispone de los mapas de red es necesario adaptar la
topología a los bloques detallados anteriormente, para ello habrá que agrupar los
servidores en el bloque de granja de servidores, los equipos de usuarios en bloques
de conmutación y así con todo lo demás.
Según se desarrolle esta tarea seguramente habrá que mover algunos
equipos o incluso poner más switches, pero con estos cambios se dispondrá de una
red mucho mejor planificada, escalable y consiguiendo una red donde en caso de
producirse alguna incidencia ese problema quedará situado en un bloque sin
inundar la red completa.
www.FreeLibros.com
Capítulo 10
OPERACIÓN DE CONMUTACIÓN
CONMUTACIÓN DE CAPA 2
Un switch de capa 2 es considerado como un bridge multipuerto, donde
cada puerto tiene su propio dominio de colisión, aislado del resto.
El reenvío de tráfico se realiza utilizando las MAC que el switch ha
aprendido, ya sea de forma estática o de forma dinámica y todos aquellos destinos
que no conozcan y las tramas de multicast y broadcast serán reenviadas por todos
los puertos de la misma VLAN excepto por el que ha llegado. En el caso de MAC
aprendidas de forma dinámica el switch crea una tabla donde se indica puerto,
MAC y VLAN asociada a esa MAC, la VLAN de una MAC se aprende de la
configuración del puerto por el que se ha aprendido la MAC.
En el caso de estar utilizando Spanning Tree el proceso de aprendizaje de
direcciones MAC se realiza en los puertos que Spanning Tree permite que estén
activos, aunque esta información ya se extenderá más detalládamente en la sección
de Spanning Tree.
Al llegar una trama al puerto del switch, ésta se sitúa en una de las colas de
entrada que contienen las tramas a reenviar con diferentes prioridades.
El switch no sólo tiene que saber dónde reenviar las tramas sino cómo
hacerlo tomando información a partir de las políticas de forwarding; estas
decisiones las toma de forma simultánea utilizando diferentes partes del hardware
involucrado en la decisión de switching.
www.FreeLibros.com
306
REDES CISCO. CCNP a Fondo
©RA-MA
•
Tabla de forwarding de capa 2: la MAC de destino se busca en
la tabla junto con la VLAN de esa MAC, si se encuentra se saca a
la cola de salida, si no es así se prepara la trama para inundación.
•
ACL de Seguridad: listas de acceso que evalúan la MAC,
direcciones IP, protocolos e información de capa 4; estas
decisiones las hace la TCAM (Temary Contení Addressable
Memory).
•
ACL de QoS: se clasifican las tramas entrantes en función de la
QoS; estas decisiones las hace la TCAM.
CONMUTACIÓN MULTICAPA
Los switch Cisco disponen de dos generaciones de MLS (Multilayer
Switching):
•
Route Catching: ésta es la generación más antigua y requiere una
RP (Route Processor) y una SE (Switching Engine), este tipo de
MLS también se conocía como LAN Switching. En este caso la RP
es la encargada de buscar el camino adecuado y lo almacena, la SE
simplemente es la encargada de “recordar” esa decisión.
•
Basado en topología: ésta es la generación más moderna y utiliza
ASIC especializados para construir una base de datos única con
toda la topología de la red. Este tipo de conmutación es conocido
como CEF (Cisco Express Forwarding). Una vez determinada la
ruta se almacena en la FIB (Forwarding Information Base), lugar
donde se puede consultar cada vez que entre una petición igual.
Las decisiones a tomar con un paquete de capa 3 son exactamente las
mismas que con una trama de capa 2 y además añadiendo la tabla de forwarding de
capa 3.
La tabla de forwarding de capa 3 consulta la FIB y el prefijo más largo que
coincida es el deseado, además la FIB contiene la MAC del siguiente salto y el
VLAN ID, de tal forma que en esa comprobación no hay que mirar nada más.
Existen paquetes que no pueden ser conmutados directamente por CEF y
tienen que ser procesados de forma diferente:
•
Peticiones de ARP
•
Paquetes IP con TTL expirado o MTU excedida
www.FreeLibros.com
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
© RA-MA
307
•
Broadcast IP que son reenviados como unicasts como son las
peticiones de DHCP o las funiones de ip-helper
•
Actualizaciones de enrutamiento
•
Paquetes de CDP
•
Paquetes encriptados
•
Paquetes no IP y no IPX
t a b l a s u t il iz a d a s e n c o n m u t a c ió n
Tabla CAM
Todos los switches de Cisco utilizan la CAM (Contení Addressable
Memory) para conmutar en nivel 2.
Según llega una trama la dirección MAC de origen es guardada en la CAM
junto con la información de VLAN de la configuración del puerto, también se
guarda junio con una marca temporal por si esa misma MAC es aprendida por otro
puerto, de esta forma el switch es capaz de determinar por dónde se aprendió la
última vez y así eliminar la más antigua.
La tabla CAM tiene un tamaño determinado que varía en función de cada
equipo, pero en definitiva es de tamaño limitado y puede llenarse y provocar un
desbordamiento. En caso de desbordamiento de la CAM es muy útil reducir el
tiempo de permanencia de la entrada en la tabla CAM y cambiar de los 300
segundos por defecto a un valor más pequeño.
Switch(config)# mac address-table aging-time seconds
Existen casos en los que la MAC no se aprenderá de forma dinámica, por
ejemplo un interfaz que sólo reciba tráfico y que nunca envíe, en ese caso se podrá
configurar la entrada en la CAM de forma manual de la siguiente forma:
Switch(config)# mac address-table static mac-address vían vlan-id
interface type mod/num
Las direcciones MAC en un Cisco siempre utilizan el formato de dividir la
MAC en tres partes separadas con puntos, es decir, 00:60:40:ab:40:ll se
convertiría en 0060.40ab.4011.
www.FreeLibros.com
308
REDES CISCO. CCNP a Fondo
©RA-MA
Para poder ver la tabla CAM en un swich Cisco se utiliza el comando:
Switch# show mac address-table dynamic [address mac-address \
interface type mod/num]
En el caso de que se desee eliminar una entrada específica de la tabla CAM
puede hacerse con el comando:
Switch# clear mac address-table dynamic [address mac-address |
interface type mod/num | vían vlan-id]
Tabla TCAM
La TCAM (Temary Contení Addressable Memory) es una extensión de la
CAM con un índice que permiíá buscar las eníradas, pero con la diferencia de que
en la CAM el índice es la dirección MAC y en la TCAM es un valor dependiente
de la información que contenga.
Las TCAM están compuestas por combinaciones de un Valor, una Máscara
y un Resultado.
• Valor: es un campo de 134 bits que contiene direcciones de origen y
destino e información relevante del protocolo que se está utilizando.
• Máscara: es otro campo de 134 bits y se utiliza para realizar la
comparación.
• Resultado: es el valor numérico que representa la acción a tomar que no
tiene por qué ser permitir o denegar, en este caso el abanico de
posibilidades es más amplio.
Como se puede, ver en la siguiente tabla el valor es dependiente del
protocolo que se esté utilizando:
-
ACL
Valor, máscara y resultado
Ethernet
Origen MAC (48), destino MAC (48),
Ethertype (16)
ICMP
Origen IP (32), destino IP (32), protocolo (16),
código ICMP (8), tipo ICMP (4), IPtipo de
servicio (ToS) (8)
www.FreeLibros.com
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
©RA-MA
Extended IP using
TCP/UDP
Origen IP (32), destino IP (32), protocolo (16),
IP ToS (8), puerto de origen (16), operador de
origen (4), puerto destino (16), operador de
destino (4)
Other IP
Origen IP (32), destino IP (32), protocolo (16),
IP ToS (8)
IGMP
Origen IP (32), destino IP (32), protocolo (16),
IP ToS (8), tipo de mensaje IGMP (8)
IPX
Origen IPX (32), destino IPX (32), nodo
destino (48), tipo de paquete IPX (16)
309
En las TCAM se utiliza el concepto de Entidades de Control de Acceso,
ACE. En este caso una ACE es una comparación exacta, es decir, una comparación
que en una lista de acceso se lee el comparador eq, por ejemplo:
access-list prueba permit tcp any host 10.0.0.1 eq 80
En el caso de utilizar en las listas de acceso un comparativo de otro tipo
como gt, lt, neq o range el resultado no va a ser una única posibilidad, así que no se
podrán utilizar ACE, para esto habrá que utilizar LOU (Logical Operation Unit).
Las LOU internamente se pueden convertir en conjuntos de ACE, pero
surge el problema que para LOU haya una cantidad limitada de espacio que podría
provocar un desbordamiento de memoria, la razón de esta situación es porque los
switches tienen que incorporar las ACE en los ASIC y éstos disponen de una
capacidad determinada.
Con el fin de ahorrar espacio, los contenidos de las LOU pueden ser
reutilizados por otras ACE que necesiten las mismas comparaciones y los mismos
valores. Por supuesto toda esta operación con las LOU y Tas ACE las hacen los
equipos de forma transparente y sin intervención ninguna del usuario.
También denotar que se pueden dividir las ACE en múltiples ACE, todo
dependiendo de los ASIC específicos de los equipos. En el caso de las TCAM el
funcionamiento es totalmente transparente al usuario y no es posible realizar
operaciones en ella.
www.FreeLibros.com
310
REDES CISCO. CCNP a Fondo
©RA-MA
VERIFICACIÓN DEL CONTENIDO DE LA CAM
La siguiente sintaxis muestra el comando para ver el contenido de la tabla
CAM:
Switch# show mac address-table dynamic [address mac-address \
interface type mod/num \ vían vlan-id]
Para eliminar el contenido de la tabla se puede utilizar el comando clear:
Switch# clear mac address-table dynamic [address mac-address \
interface type mod/num | vían vlan-id]
El siguiente es un ejemplo de un show mac address-table dynamic:
SW4507#sh mac address-table dynamic
Unicast Entries
vían
mac address
port
type
protocols
__ ____ -j
____ __ _._____ _____ _____
1
0000.0c07.acOa
dynamic ip
GigabitEthernet3/26
1
0000.74bl.a886
dynamic ip
GigabitEthernet4/21
1
0000.74bb.2273
dynamic ip
GigabitEthernet4/47
1
0000.74bb.4bc0
dynamic ip
GigabitEthernet3/43
1
0001.e65b.5aff
dynamic ip
GigabitEthernet4/4 7
1
0001.e6b6.615e
dynamic ip
GigabitEthernet4/48
1
0007.e917.cc61
dynamic ip
FastEthernet5/3 7
1
000f.fe47.cl3e
dynamic ip
GigabitEthernet4/47
1
000f.fe47.cl6c
dynamic i p,ipx
GigabitEthernet4/47
1
0014.5elf.Illa
dynamic ip
FastEthernet5/2
1
0014.699e.0820
dynamic ip,other
GigabitEthernet3/1
1
0024.f91b.a41b
dynamic ip,assigned
GigabitEthernet3/27
1
0024.f91b.bclb
dynamic ip,assigned
GigabitEthernet3/2 6
1
0800.3716.44e9
dynamic ip,ipx,other GigabitEthernet3/19
www.FreeLibros.com
©RA-MA
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
311
TIPOS DE PUERTOS DE UN SWITCH
Ethernet
Cuando comúnmente se habla de Ethemet se hace referencia a Ethemet
basada en la norma de la IEEE 802.3, la cual describe Ethemet como un medio
compartido que además es dominio de colisión y de difusión. En Ethemet dos
estaciones no pueden transmitir simultáneamente y cuantas más estaciones existan
en el segmento más probabilidad existe de colisión, esto sólo ocurre en modo halfduplex, en el que una estación no es capaz de transmitir y recibir a la vez.
Ethemet está basada en la tecnología CSMA/CD (Carrier Sense Múltiple
Access Collision Detect), que describe un modo de operación en sistemas de
contienda o máximo esfuerzo.
En enlaces conmutados Ethemet puede solucionar el problema del medio
compartido dedicando a cada estación un puerto del switch, de esta forma cada
estación tendría su propio dominio de colisión y no podrá colisionar, o al menos
estas colisiones serían mucho menos repetitivas.
En el caso de full-duplex una estación podría enviar y recibir tramas de
forma simultánea, lo cual hará que el rendimiento del medio, por ejemplo de 10
Mbps ascienda hasta 20 Mbps, 10 para la transmisión y otros 10 para la recepción.
En cuanto al medio utilizado en Ethemet el más común es cable de cobre
de par trenzado tipo UTP, con el que se pueden alcanzar hasta 100 metros. En el
CCNA se hacía referencia a 10BASE-2, 10BASE-5 y 10BASE-T, en este caso se
hace referencia a 10BASE-T y no se trata 10BASE-2 y 10BASE-5 porque es una
tecnología que ha caído en desuso.
CSMA/CD
La tecnología Ethemet utiliza para controlar las colisiones dentro de un
determinado segmento el protocolo CSMA/CD (Carrier Sense Múltiple Access
Collision Detect) y detección de colisiones. En la práctica, esto significa que varios
puestos pueden tener acceso al medio y que, para que un puesto pueda acceder a
dicho medio, deberá detectar la portadora para asegurarse de que ningún otro
puesto esté utilizándolo. Si el medio se encuentra en uso, el puesto procederá a
mantener en suspenso el envío de datos. En caso de que haya dos puestos que no
detectán ningún otro tráfico, ambos tratarán de transmitir al mismo tiempo, dando
como resultado una colisión.
www.FreeLibros.com
312
REDES CISCO. CCNP a Fondo
©RA-MA
A partir de esta colisión las estaciones emiten una señal de congestión para
asegurarse de que existe una colisión y se genera un algoritmo de espera con el que
las estaciones retransmitirán aleatoriamente.
Fast Ethernet
Fast Ethemet está definido en el estándar IEEE 802.3u, el cual define un
nuevo estándar que compartiendo la subcapa de acceso al medio (MAC) con IEEE
802.3 pueda transmitir a 100 Mbps.
La diferencia con IEEE 802.3 estriba en la modificación del medio físico
manteniendo la operación CSMA/CD y la subcapa MAC.
Aunque el medio más utilizado en Fast Ethemet es el cableado UTP
categoría 5, existe la posibilidad de utilizar cableado UTP de menor calidad o por
el contrario la utilización de fibra monomodo y múltimodo con las que se obtiene
una mayor longitud en el segmento.
Fast Ethemet proporciona la capacidad de full-duplex al igual que
Ethemet, mejorando su rendimiento hasta 200 Mbps, y proporcionando la
autonegociación.
La especificación Fast Ethemet dispone de compatibilidad con Ethemet
tradicional, así que los puertos en el caso de 100BASE-T pueden ser 10/100,
además de la velocidad es posible negociar el dúplex de la transmisión.
Para la autonegociación se establecen una serie de prioridades en las cuales
existen unos modos más prioritarios que otros y el orden de elección es el
siguiente:
•
.
•
•
•
•
•
100BASE-T2 (full dúplex)
100BASE-TX (full dúplex)
100BASE-T2 (half dúplex)
100BASE-T4
100BASE-TX
10BASE-T (full dúplex)
10BASE-T
Cisco recomienda de todos modos no utilizar autonegociación y configurar
los puertos en ambos extremos de forma manual para asegurar el modo de
operación deseado. Cisco además permite en Fast Ethemet la agregación de puertos
para conseguir mayor ancho de banda, esto se consigue mediante Fast
EtherChannel, el cual se tratará más adelante.
www.FreeLibros.com
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
©RA-MA
313
Gigabit Ethernet
El estándar Gigabit Ethemet (IEEE 802.3z) es una mejora sobre Fast
Ethernet que permite proporcionar velocidades de 1 Gbps, pero para conseguir este
resultado fue necesario utilizar el estándar ANSI X3T11 - Fiberchannel junto con
el estándar IEEE 802.3. De esta forma surgió un nuevo estándar con el mismo
modo de operación que Ethemet, pero a 1 Gbps. Gigabit Ethemet permite la
compatibilidad con sus predecesores, existen puertos de 10/100/1000 y es posible
la autonegociación, ésta se realiza igual que en el caso de Fast Ethemet, pero
añadiendo como más prioritario 1000BASE-T (full dúplex) y posteriormente
1 0 0 0 BASE-T (half dúplex).
Sin embargo Cisco dispone de hardware que no es compatible con 10/100
como es el caso de las tarjetas WS-X6724-SFP, que sólo soportan 1000 full dúplex
en módulos SFP.
Por supuesto la capacidad de agregación también existe en Gigabit
Ethemet denominándose Gigabit EtherChannel.
Los equipos Cisco soportan como interfaces Gigabit Ethemet además de
los puertos RJ la posibilidad de utilizar GBIC o SFP para poder conectar fibra con
conectores LC en el caso de los GBICs o con conectores mini LC en el caso de los
SFP.
10-Gigabit Ethernet
En el caso de 10-Gigabit Ethemet (IEEE 802.3ae) funciona sobre una
nueva capa física totalmente diferente a las anteriores, pero manteniendo la
subcapa MAC exactamente igual que las versiones antecesoras. 10-Gigabit
Ethemet sólo funcionará a 10 Gbps full dúplex, en este caso no existe
compatibilidad con versiones anteriores de Ethemet ya que la capa física no es
compatible.
En cuanto a la capa física se disponen de dos tipos de interfaces
dependientes del medio PMD (Physical Media Dependent):
. LAN PHY: interconecta switches dentro de la misma red de campus.
• WAN PHY: interfaces para entornos WAN que utilicen tecnologías de
transmisión síncrona.
Lo normal en cuanto a estas interfaces es la interconexión con un cable
directo o en el caso de utilizar enlaces WAN se suele utilizar 10-Gigabit Ethemet
www.FreeLibros.com
314
REDES CISCO. CCNP a Fondo
©RA-MA
sobre DWDM, proporcionando así transparencia y utilizando interfaces LAN
PHY.
La óptica en este tipo de interfaces se realiza mediante transceptores
XENPAK o los más modernos y reducidos X2.
ESTÁNDARES DE MEDIOS
Las siguientes tablas describen los diferentes estándares y tecnologías de
cableado:
Tipo de Ethernet
Tipo de medio
Estándar
10-Mbps Ethemet
10BASE-X
IEEE 802.3
Fast Ethemet
100BASE-X
IEEE 802.3u
Gigabit Ethernet
1000BASE-X
IEEE 802.3z (Fibra)
IEEE 802.3ab (UTP)
10-Gigabit Ethemet
10GBASE-X
IEEE 802.3ae
Tecnología
Tipo de cable
Pares
Longitud
10BASE-T
EIA/TIA Categoría 5 UTP
2
100 m
100BASE-TX
EIA/TIA Categoría 5 UTP
2
100 m
2
100 m
4
100 m
Fibra Múltimodo (MMF);
62.5-micrones core, 125micrones (62.5/125)
1
400 m half
dúplex 2000 m
full dúplex
Fibra monomodo (SMF)
1
10 km
1000BASE-CX
Par trenzado blindado (STP)
1
25 m
1000BASE-T
EIA/TIA Categoría 5 UTP
4
100 m
100BASE-T2
100BASE-T4
100BASE-FX
EIA/TIA Categoría 3, 4, 5
UTP
EIA/TIA Categoría 3, 4, 5
UTP
www.FreeLibros.com
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
©RA-MA
1000BASE-SX
1000BASELX/LH
1000BASE-ZX
10GBASESR/SW (850 nm
serial)
10GBASELR/LW (1310 nm
serial)
10GBASEER/EW (1550 nm
serial)
10GBASE-LX4
(1310 nm
WWDM)
MMF con 62.5-micrones;
850-nm láser
1
275 m
MMF con 50-micrones;
850-nm láser
1
550 m
MMF con 62.5- micrones;
1300-nm láser
1
550 m
SMF con 50- micrones;
1300-nm láser
1
550 m
SMF con 9- micrones;
1300-nm láser
1
10 km
SMF con 9- micrones;
1550-nmláser
1
70 km
SMF con 8- micrones;
1550-nm láser
1
100 km
MMF: 50 micrones MMF:
62.5 micrones
11
66 m 33 m
SMF: 9 micrones
1
10 km
SMF: 9 micrones
1
40 km
MMF: 50 micrones MMF:
62.5 micrones
11
300 m 300 m
SMF: 9 micrones
1
10 km
315
CONFIGURACIÓN DE PUERTOS DEL SWITCH
El proceso de configuración de los puertos de un switch se inicia
identificando el puerto o los puertos según muestran los siguientes comandos:
Switch(config)# interface t y p e m odule/num ber
Switch(config)# interface range t y p e m odule/num ber [ ,
m odule/number ...]
www.FreeLibros.com
ty p e
n
316
REDES CISCO. CCNP a Fondo________________________________________________________ ©RA-MA
La siguiente sintaxis muestra un ejemplo de configuración de varios
puertos a la vez:
Switch(config)# interface range fastethernet 0/5 , fastethernet 0/12
, fastethernet 0/14 , fastethernet 0/36
Es posible además abreviar las configuraciones con el comando range
configurando un rango de puertos continuos desde el primero hasta el último:
Switch(config)#
interface
range
type
module/first-number
—
last-
number
Cuando en el proceso de configuración intervienen siempre los mismos
puertos puede definirse un grupo determinado que asocie dichos puertos. El primer
paso en esta configuración será definir cuáles son los puertos que se asociarán y
posteriormente nombrar el grupo con el comando range macro:
Switch(config)# define interface-range macro-name type module/number
[,type module/ number ...] [type module/first-number — last-number]
[...]
Switch(config)# interface range macro macro-name
El siguiente ejemplo configura un rango de puertos en un grupo llamado
CCNP:
Switch(config)# define interface-range CCNP gig 2/1 , gig 2/3 — 2/5
, gig 3/1 , gig 3/10, gig 3/32 — 3/48
Switch(config)# interface range macro CCNP
Una vez accedido a la interfaz o interfaces que se deseen configurar se
podrá añadir una descripción significativa del puerto. Esta descripción sólo tiene
carácter administrativo y no influye en la manipulación de las tramas, sin embargo
presta un servicio de ayuda al administrador para la identificación de los puertos:
switch(config-if)#description description-string
La velocidad del puerto y el método de transmisión se configura con los
siguientes comandos:
switch(config-if)#speed {10 | 100 | 1000}
switch(config-if)#duplex {auto | full | half)
www.FreeLibros.com
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
© RA-MA
317
Un ejemplo completo será:
switch(config)#interface FastEthernet 0/14
de Servidores
s w i t c h (config-if)#description P C
s W i t c h ( c o n f ig-if)#speed 1 0 0 0
s w i t c h ( c o n f ig-if)#duplex
full
Causas de error en puertos Ethernet
Por defecto los switches Cisco son capaces de detectar los errores de forma
autónoma, en caso de detectarse un error el switch dejará ese puerto en un estado
llamado errdisable y el puerto quedará deshabilitado durante 300 segundos, para
recuperar el puerto será necesario deshabilitarlo con el comando shutdown y
posteriormente lo contrario con un no shutdown.
switch#show interfaces gigabitethernet 5/13 status
port
Gi5/13
Ñame
Status
Vían
err-disabled 100
Dúplex
full
Speed Type
1000 lOOOBaseSX
Las causas posibles de error son las que se pueden ver con el comando
show errdisable recovery:
switch#show errdisable recovery
ErrDisable Reason
Timer Status
udld
bpduguard
security-violatio
channel-misconfig
pagp-flap
dtp-flap
link-flap
12ptguard
psecure-violation
gbic-invalid
dhcp-rate-limit
mac-limit
únicast-flood
arp-inspection
Enabled
Enabled
Enabled
Enabled
Enabled
Enabled
Enabled
Enabled
Enabled
Enabled
Enabled
Enabled
Enabled
Enabled
Timer interval: 300 seconds
A partir del momento en el que se detecta una causa de error, el puerto
quedará deshabilitado durante 300 segundos para que el puerto no caiga en el
momento de detectar una condición de error es posible utilizar el siguiente
comando:
switch (config )#errdisable. recovery cause [all / cause-name]
www.FreeLibros.com
318
REDES CISCO. CCNP a Fondo
©RA-MA
Para modificar el tiempo en el que el puerto queda deshabilitado se utiliza
el siguiente comando:
switch(config)#errdisable recovery interval seconds
Donde segundos es un valor entre 30 y 86400 (24 horas).
VERIFICACIÓN DEL ESTADO DE UN PUERTO
Para verificar el estado de un puerto, su velocidad, contadores, paquetes
transmitidos y recibidos puede utilizarse el comando siguiente:
Switch# show interfaces type module/number
El siguiente ejemplo muestra la configuración del Puerto Fast Ethemet
0/ 22 :
Switch# show interfaces fastethernet 0/22
FastEthernetO/13 is up, line protocol is up
Hardware is Fast Ethernet, address is OOdO.589c.3e8d (bia
OOdO.589c.3e8d)
MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec,
reliability 255/255, txload 2/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive not set
Auto-duplex (Half), Auto Speed (100), 100BASETX/FX ARP type: ARPA,
ARP
Timeout 04:00:00
Last input never, output 00:00:01, output hang never
Last clearing of "show interface" counters never
Queueing strategy: fifo
Output queue 0/40, 0 drops; input queue 0/75, 0 drops
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 81000 bits/sec, 49 packets/sec
500867 packets input, 89215950 bytes
Received 12912 broadcasts, 374879 runts, 0 giants, 0 throttles
37487 9 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 0 multicast
0 input packets with dribble condition detected
89672388 packets output, 2205443729 bytes, 0 underruns
0 output errors, 0 collisions, 3 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
Para verificar el estado de los puertos IP en general puede utilizarse el
siguiente comando que se muestra en el ejemplo:
www.FreeLibros.com
CAPÍTULO 10. OPERACIÓN DE CONMUTACIÓN
©RA-MA
Switch#sh ip interface brief
interface
IP-Address
OK? Method Status
Protocol
up
up
Vlanl
10.0.168.5
YES NVRAM
FastEthernet1/0/1
unassigned
YES unset
down
down
FastEthernet1/0/2
unassigned
YES unset
up
up
FastEthernet1/0/3
unassigned
YES unset
down
down
FastEthernet1/0/4
unassigned
YES unset
up
up
FastEthernet1/0/5
unassigned
YES unset
down
down
FastEthernet1/0/6
unassigned
YES unset
up
up
FastEthernet3/0/4 5
unassigned
YES unset
up
up
FastEthernet3/0/4 6
unassigned
YES unset
up
up
Fas tEthernet3/0/4 7
unassigned
YES unset
up
up
Fas tEthernet3/0/4 8
unassigned
YES unset
up
up
GigabitEthernet3/0/1
unassigned
YES unset
down
down
GigabitEthernet3/0/2
unassigned
YES unset
down
down
GigabitEthernet3/0/3
unassigned
YES unset
up
up
GigabitEthernet3/0/4
unassigned
YES unset
down
down
www.FreeLibros.com
319
M ’= r r * r . . - * v-
www.FreeLibros.com
Capítulo 11
REDES VIRTUALES
VLAN
Una red totalmente construida sobre dispositivos de capa 2 es una red
llamada “red plana”. Este tipo de redes se componen de un único dominio de
difusión, es decir, los broadcast inundan toda la red, lo que hace que al aumentar el
número de host aumente el número de broadcast disminuyendo el desempeño de la
red. Sin embargo las redes conmutadas permiten eliminar las limitaciones
impuestas por las redes planas dividiendo dicha red en varias redes virtuales
(VLAN).
Las VLAN (Virtual LAN) proveen seguridad, segmentación, flexibilidad,
permiten agrupar usuarios de un mismo dominio de broadcast con independencia
de su ubicación física en la red. Usando la tecnología VLAN se pueden agrupar
lógicamente puertos del switch y los usuarios conectados a ellos en grupos de
trabajo con interés común. Una VLAN por definición es un dominio de difusión
creado de forma lógica.
Utilizando la electrónica y los medios existentes es posible asociar usuarios
lógicamente con total independencia de su ubicación física incluso a través de una
WAN. Las VLAN pueden existir en un sólo switch o bien abarcar varios de ellos.
La tecnología de VLAN está pensada para la capa de acceso donde los host
se agregan a una u otra VLAN de forma estática o de forma dinámica.
www.FreeLibros.com
322
REDES CISCO. CCNP a Fondo
©RA-MA
Las VLAN estáticas son las que los puertos deben agregarse de forma
manual. En este tipo de VLAN no es necesario ningún tipo de negociación por
parte del switch y toda la configuración se realiza manualmente por el
administrador quien es, además, el encargado de asignar cada puerto a cada VLAN
de forma manual.
Una vez que el puerto del switch está asignado a una VLAN son los ASCI
específicos del switch los que se encargan de mantener el trafico que entre por ese
puerto dentro de la VLAN asociada.
Las VLAN dinámicas son muy utilizadas y se basan en la MAC del
dispositivo que se conecte a un puerto determinado, son utilizadas por ejemplo en
el caso de utilizar IEEE 802. IX para proporcionar seguridad. Las VLAN dinámicas
utilizan algún software de gestión como Cisco Works para su funcionalidad.
CONFIGURACIÓN DE VLAN ESTÁTICAS
Por defecto los puertos de un switch están asociados a la VLAN 1 de tipo
Ethemet y la MTU (Unidad Máxima de Transmisión) se limita a 1500 bytes. Sin
embargo es posible utilizar VLAN con otra numeración, en concreto desde el 1
hasta el 1005, donde desde el 1002 hasta el 1005 están reservadas para funciones
de Token Ring y FDDI la VLAN 1 también está reservada como VLAN por
defecto o administración.
Sin embargo los switches de Cisco mayoritariamente son capaces de
soportar la versión 3 de VTP (VLAN Trunking Protocol), lo cual implica que
pueden utilizar las VLAN del rango 1-4094, de esta forma se establece la
compatibilidad con el estándar IEEE 802.1Q. Para poder utilizar el rango extendido
www.FreeLibros.com
CAPÍTULO 11. REDES VIRTUALES
©RA-MA
323
es imprescindible que el comando vtp mode transparent esté habilitado en
con figuración global.
El proceso de configuración de una VLAN se inicia creándola y
posteriormente nombrándola:
Switch(config)# vían vlan-num
Switch(config-vlan)# ñame vlan-naine
Si no se configura el nombre a la VLAN, ésta utilizará un nombre
compuesto por la palabra VLAN seguida del número de VLAN, para facilitar la
administración es recomendable definir el nombre en la configuración.
También es posible en algunos de los switches de Cisco crear la VLAN
automáticamente al agregar un puerto a una nueva VLAN, a pesar de esta
funcionalidad lo mejor es crear la VLAN en cualquier tipo de switch Cisco.
Para eliminar una VLAN del switch se utiliza el comando:
switch(config)#no vían vlan-num
o desde la memoria flash eliminando el archivo vlan.dat.
Una vez creada la VLAN es necesario asignar a ésta los puertos necesarios
siguiendo el siguiente proceso:
Switch(config)# interface type module/number
Switch(config-if)# switchport
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vían vlan-num
En algunos casos la línea de comandos switchport mode access puede
suprimirse.
El comando switchport cuando no lleva argumentos lo que hace es
indicarle al switch que se trata de un puerto de capa 2, en los. switch multicapa de
Cisco, por defecto todos los puertos son de nivel 3.
Con el comando switchport mode access se le indica que se trata de un
puerto de acceso donde se conectarán los host y no otros switches. Y con el
comando switchport access vían se le indica que VLAN es la que está asociada a
la interfaz. Los dispositivos o host que se conecten a un puerto de acceso no
conocen el número de la VLAN, el tráfico es etiquetado a la VLAN una vez llegue
al puerto del switch correspondiente.
www.FreeLibros.com
324
REDES CISCO. CCNP a Fondo
©RA-MA
Una vez configurados los puertos y asociados cada uno a su VLAN se
puede comprobar la configuración con el comando show vían como se puede ver
en el siguiente ejemplo:
Switch# show
VLAN Ñame
vían
Status
1 default
active
2 Recursos
5 Ventas
active
Ports
Gil/1, Gil/2, GÍ3/20,
GÍ4/20
GÍ4/2, GÍ4/3, GÍ4/4,
GÍ4/5, GÍ4/6, GÍ4/7,
GÍ2/5, GÍ2/6, GÍ2/7,
GÍ2/8,GÍ2/9, GÍ2/10,
GÍ2/11, GÍ2/12
DISEÑO DE VLAN
Hay consideraciones de diseño que aunque puedan parecer obvias es
importante recordar. Se recomienda una VLAN por cada subred IP, aunque es
posible utilizar varios rangos en una misma VLAN, no es nada recomendable.
Otro factor de diseño importante es no permitir que las VLAN se
propaguen más allá de la capa de distribución, es decir, que no estén presentes en el
core siempre que sea posible de tal de manera que el tráfico de broadcast
permanezca lo más alejado del mismo, pero esto no es siempre viable, para ello hay
dos modelos a seguir:
•
VLAN extremo a extremo, este tipo de VLAN está disponible en toda la
red y proporciona una flexibilidad absoluta. Utilizando VLAN extremo a
extremo es posible conectar un dispositivo a este tipo de VLAN desde
cualquier punto de la red, por tanto la VLAN tiene que estar disponible en
cualquier switch de acceso de la red. En una red de tamaño grande no es
una buena práctica este tipo de VLAN ya que su tráfico termina
atravesando el bloque de core al conectar diversos módulos de
conmutación.
•
VLAN locales, en redes donde el modelo 20/80 sea él más utilizado, es
decir donde el 20% del tráfico se queda en el segmento y el 80% sube al
core, este tipo de implementación es la ideal debido a que la mayoría del
tráfico de la VLAN no tiene como destino la misma VLAN. Este tipo de
implementación necesita equipos de nivel 3 que sean capaces de enrutar el
tráfico entre las diferentes VLAN que compongan la red.
www.FreeLibros.com
r
CAPÍTULO 11. REDES VIRTUALES
325
enlaces tro ncales
Los troncales o trunk son enlaces capaces de transportar el tráfico de más
de una VLAN y se suele utilizar entre switches para transportar entre ellos las
VLAN de acceso de los diferentes switches separando de forma lógica el tráfico de
cada VLAN, pero utilizando un único enlace físico. Ante la imposibilidad de poder
dedicar un enlace a cada VLAN independientemente la solución para poder
transportar todo el tráfico por un único enlace físico es a través de un trunk.
En muchos casos es necesario agrupar usuarios de la misma VLAN que se
encuentran ubicados en diferentes zonas; para conseguir esta comunicación los
switches utilizan un enlace troncal. A medida que las tramas salen del switch son
etiquetadas para indicar a qué VLAN corresponden, esta etiqueta es retirada una
vez que entra en el switch de destino para ser enviada al puerto de VLAN
correspondiente.
Cisco permite utilizar trunk en puertos Fast Ethemet, Gigabit Ethemet y
agregaciones Fast EtherChannel y Gigabit EtherChannel.
En un trunk es imprescindible diferenciar el tráfico de cada una de las
VLAN, de tal manera que se le asigna un identificador a cada trama entrante
llamado VLAN-ID. Para poder identificar el tráfico en un enlace troncal existen
dos posibilidades de etiquetado:
• ISL (Inter-Switch Link protocol)
.
IEEE 802.1Q
E n la c e T r o n c a l
www.FreeLibros.com
326
REDES CISCO. CCNP a Fondo
©RA-MA
ISL
ISL (Inter Switch Link) es un protocolo propietario de Cisco que está
cayendo en desuso en el que se le añade a la trama de cada VLAN 26 bytes de
cabecera y 4 bytes de cola. En realidad ISL encapsula la trama origen, que se suma
al etiquetado que se aplica en la trama más el etiquetado del propio ISL; se podría
considerar que es de un doble encapsulado. En ISL en la cabecera se define el
VLAN-ID y en la cola un CRC.
Aunque ISL es un protocolo propietario de Cisco no todos los switches
Cisco lo soportan, por lo tanto se recomienda no utilizarlo.
E n la c e T ro n c a l ISL
Cabecera ISL
26 Bytes
CRC
4 Bytes
IEEE 802.1Q
El protocolo IEEE 802.1Q es el estándar y es compatible con otros
fabricantes, es un trunk en el que podrían interoperar un switch Cisco con otro de
otro fabricante. El protocolo IEEE 802.1Q además introduce el concepto de VLAN
Nativa, que comprendería todo el tráfico que entra en el trunk sin ser etiquetado. El
funcionamiento del IEEE 802.1Q se basa en un etiquetado simple, ya que no se
añade cabecera ni cola nueva. En IEEE 802.1Q simplemente se añade un campo de
4 bytes en la trama justo después del campo de dirección origen.
Los dos primeros bytes del campo de IEEE 802.1Q son el TPID (Tag
Protocol Identifier) y siempre tendrá un valor de 0x8100, indicando que se trata de
una trama 802.1Q. Los otros dos bytes se denominan TC I (Tag Control
Information), los cuales contienen 3 bits de prioridad, además del bit de formato
canónico que indica si la dirección MAC es Ethemet o Token Ring; los 12 bits
restantes son el VLAN-ID.
Si se tiene en cuenta la sobrecarga de identificar las VLAN hay que tener
presente que para el caso de ISL se añaden 30 bytes a cada trama, mientras que
IEEE 802.1Q sólo añade 4, esto implica que en el caso de utilizar ISL la trama
puede superar los 1518 bytes que es el límite de Ethemet.
www.FreeLibros.com
CAPÍTULO 11. REDES VIRTUALES
©RA-MA
327
En el caso de 802.1Q los switches pueden cumplir el estándar IEEE
8Q2.3ac el cual extiende el tamaño de las tramas hasta 1522 bytes sin tener que
utilizar giants.
El protocolo propietario de Cisco DTP (Dynamic Trunking Protocol) le
permite a un router Cisco negociar de manera automática si el trunk es 802.1Q o
ISL.
E n la c e T ro n c a l 8 0 2 . 1Q
TRAM A
FCS
Dirección
Destino
Dirección
Origen
E tiq u e ta 8 0 2 . 1Q
4 Bytes
CONFIGURACIÓN DE TRONCALES
Por defecto los puertos de capa 2 de los switches son puertos de acceso,
para que éstos funcionen como puertos troncales hay que configurarlos según las
siguientes sintaxis:
Switch(config)# interface type mod/port
Switch(config-if)# switchport
Switch(config-if)# switchport trunk encapsulation {isl | dotlq |
negotiate}
Switch(config-if)# switchport trunk native vían vlan-id
Switch(config-if)# switchport trunk allowed ví a n ■{vlan-list | all |
{add | except | remove} vlan-list}
Switch(config-if)# switchport mode {trunk | dynamic {desirable |
auto}}
En la configuración de los troncales intervienen varios parámetros, en la
encapsulación existen tres posibilidades de configuración:
•
•
•
Isl: el trunk se formará utilizando ISL.
dotlq: el trunk se formará utilizando IEEE 802.1Q.
negotiate: el trunk se formará utilizando el protocolo DTP de Cisco.
www.FreeLibros.com
328
REDES CISCO. CCNP a Fondo
©RA-MA
El comando switchport trunk native vían sólo se utiliza con la
encapsulación dotlq e indica que VLAN será la VLAN de administración o nativa,
por lo tanto no llevará etiqueta alguna.
El comando switchport trunk allowed vían se utiliza para añadir o borrar
VLAN del trunk, aunque la opción except lo que hará será permitir todas excepto
la que se indique.
Es importante tener en cuenta que en los casos donde exista demasiado
tráfico el trunk se puede aplicar no sólo en una interfaz individual sino en una
agregación Fast EtherChannel o Gigabit EtherChannel ampliando así el ancho de
banda del enlace.
Para ver el estado de una interfaz troncal se utiliza el comando show
interface type mod/port trunk, la sintaxis que sigue muestra un ejemplo:
Switch# show
Port
Mode
GÍ2/1 on
Port
GÍ2/1
Port
GÍ2/1
Port
GÍ2/1
interface gigabitethernet 0/2 trunk
Encapsulation
Status
Native vían
802.lq
trunking
1
Vlans allowed on trunk
1-4094
Vlans allowed and active inmanagementdomain
1-2,526,539,998,1002-1005
Vlans in spanning tree forwarding state and not pruned
1-2,526,539,998,1002-1005
Ejemplo de configuración de un troncal
En el siguiente ejemplo dos switches están conectados troncalmente a
través de sus interfaces gigabitethernet 0/1. Aunque existen varias VLAN
configuradas sólo transportarán por el troncal las VLAN 100 hasta la 105. La
VLAN 100 es la nativa y se utiliza la encapsulación 802.lq.
Más abajo se muestran algunos comandos show aplicados al ejemplo, se
observan en ellos las interfaces troncales y las que no están activas entre otros
conceptos:
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# switchport trunk encapsulation dotlq
Switch(config-if)# switchport trunk native vían 100
Switch(config-if)# switchport trunk allowed vían 100-105
Switch(config-if)# switchport mode dynamic desirable
Switch# show interface gigabitethernet 0/1 trunk
Port
Mode
Encapsulation S
tatus Native vían
GiO/1 desirable
802.lq
not-trunking 100
Port
Vlans allowed on trunk
www.FreeLibros.com
CAPÍTULO 11. REDES VIRTUALES
©RA-MA
329
GiO/1
port
10°
Vlans allowed and active in management domain
GiO/1
port
GiO/1
Switch# show
port Ñame
Gi0/1
q Iq /2
GiO/1
100
Vlans in spanning tree forwarding state and not pruned
none
interface status
Status
Vían Dúplex Speed Type
notconnect
1
auto 1000 lOOOBaseSX
notconnect
1
auto 1000 lOOOBaseSX
connected
100
full 1000 lOOOBaseSX
RESOLUCIÓN DE FALLOS EN LAS VLAN
Una VLAN puede ser sólo un segmento de una red o puede atravesar
varios switches, por lo tanto si no existe comunicación de extremo a extremo, y
suponiendo que el direccionamiento IP es correcto, será necesario verificar las
configuraciones de las VLAN, los puertos y las conexiones troncales.
Los comándos show que sirven para este seguimiento son:
• show vían id vlan-id
• show interface type mod/num switchport
• show interface [type mod/num\ trunk
Switch# show vían id 5
VLAN Ñame
Status
5 Recursos
active
VLAN
Type SAID
Trans2
Ports
GÍ2/1, GÍ2/2, GÍ2/3, GÍ2/4
GÍ4/2, GÍ4/3, GÍ4/4, GÍ4/5
GÍ4/6, GÍ4/7, GÍ4/8, GÍ4/9
GÍ4/10, GÍ4/11, GÍ4/12
MTU Parent RingNo BridgeNo Stp BrdgMode Transí
5
enet 100002
1500Primary Secondary Type
Ports
-
-
Switch# show interface fastethernet 0/2 switchport
Ñame: FaO/2
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: static access
Administrative Trunking Encapsulation: dotlq
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
www.FreeLibros.com
-
0
0
n
330
REDES CISCO. CCNP a Fondo
©RA-MA
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Protected:
false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Voice VLAN: none (Inactive)
Appliance trust: none
Switch# show interface fastethernet 0/2 trunk
Port
FaO/2
Port
FaO/2
Port
FaO/2
Port
FaO/2
Mode
Encapsulation Status
Native vían
auto
802.lq
not-trunking 1
Vlans allowed on trunk
1
Vlans allowed and active in management domain
1
Vlans in spanning tree forwarding state and not pruned
1
www.FreeLibros.com
Capítulo 12
VTP
VLAN TRUNKING PROTOCOL
La configuración de VLAN en una red de entorno pequeño puede ser
fácilmente administrable, mientras que en entornos grandes la administración
puede resultar muy engorrosa y complicada debido a que se tienen que configurar
todas las VLAN en todos los switches y puede ser fácil que alguna VLAN no se
configure en alguno de los switches, sobre todo en el diseño de VLAN de extremo
a extremo. En el caso de una red con un tamaño considerable es importante
mantener una consistencia en las VLAN que se van creando, para esto resulta muy
recomendable disponer de algún mecanismo que permita tener todos los switches
sincronizados en cuanto a las VLAN de la red.
VTP (VLAN Trunking Protocol) proporciona un medio sencillo de
mantener una configuración de VLAN coherente a través de toda la red conmutada.
VTP permite soluciones de red conmutada fácilmente escalable a otras
dimensiones, reduciendo la necesidad de configuración manual de la red. Es un
protocolo propietario de Cisco de capa 2 que permite intercambiar información
sobre VLAN entre trunk de forma que los switches de la red tengan la base de
datos de VLAN sincronizadas en todo momento desde un punto central de la red.
En el caso de no utilizar switches Cisco o de querer interconectar switches
Cisco con otros de otro fabricante no se podría utilizar VTP debiendo utilizar algún
protocolo abierto como GVRP (GARP VLAN Registration Protocol). GARP y
GVRP están definidos en los estándares IEEE 802.ID y 802.1Q (cláusula 11)
www.FreeLibros.com
332
REDES CISCO. CCNP a Fondo
©RA-MA
respectivamente y tienen funcionalidades muy similares al VTP pero como
protocolos abiertos.
VTP es un protocolo de mensajería de capa 2 que mantiene la misma
relación de la configuración VLAN a través de un dominio de administración
común, gestionando las adiciones, supresiones y cambios de nombre de las VLAN
a través de las redes.
Existen varias versiones de VTP en el caso particular de nuestro enfoque
no es fundamental especificar las diferencias entre ellas.
Dominios de VTP
VTP utiliza dominios para agrupar a los switches que comparten la misma
información de VLAN. Varios switches interconectados comparten un mismo
entorno VTP y cada switch se configura para residir en ese determinado dominio
VTP.
Dentro de un dominio de VTP se intercambia la siguiente información
gracias a los anuncios de VTP:
•
Nombre del Dominio
•
Versión de VTP
•
Lista de VLAN
•
Parámetros específicos de cada VLAN
Modos de VTP
Los switches dentro de un dominio de VTP pueden funcionar de tres
formas diferentes:
•
Modo servidor: los servidores son los encargados de crear y
mantener la información de todas las VLAN en la red y son los
encargados de pasar esta información al resto de switches. Por
defecto los switches Cisco están en modo servidor.
•
Modo cliente: los switches en modo cliente no pueden hacer
ninguna modificación en las VLAN y mantienen la información de
VLAN gracias a los mensajes que son enviados desde los switches
servidores.
www.FreeLibros.com
CAPÍTULO 12. VTP
©RA-MA
•
333
Modo transparente: los switches en modo transparente no
participan en el proceso de VTP pero reenvían los mensajes de
VTP de forma diferente dependiendo de la versión de VTP. Si es
VTP versión 1 sólo se reenvían los mensajes de VTP que tengan
como versión 1 y que correspondan al nombre de dominio que
tengan configurado. En VTP versión 2 sin embargo los switches
transparentes son capaces de reenviar los mensajes VTP aunque no
correspondan ni a la versión que tiene el switch configurado ni al
dominio en el que esté incluido este switch en modo transparente.
Dominio VTP
Anuncios de VTP
Los switches que utilizan VTP versión 1 o versión 2 anuncian las VLAN
(sólo desde la 1 hasta la 1005), números de versión de configuración y parámetros
de cada VLAN por los trunk para notificar esta información al resto de los switches
de dominio mediante mensajes de multicast. La versión 3 de VTP permite la
utilización de VLAN en el rango 1-4096, lo que haría a VTP compatible con el
estándar IEEE 802.1Q, pero de momento sólo está disponible para switches Cisco
funcionando con CatOS.
Es importante comentar que el número de versión de configuración
empieza siempre en 0 y que cada vez que se produce un cambio el número de
versión de configuración se incrementa en 1 y el mensaje con número de versión de
configuración más alto se considera el último y por tanto el que hay que
www.FreeLibros.com
334
REDES CISCO. CCNP a Fondo
©RA-MA
sincronizar. También es importante saber que por defecto los anuncios de VTP se
transmiten en texto plano y sin contraseña, es decir, sin encriptación, con lo que no
se realiza un intercambio de información seguro realizando un intercambio de
contraseña.
Dicho esto, surge un problema bastante serio. Teniendo en cuenta que los
switches Cisco por defecto están en modo servidor y que los clientes VTP
almacenan la información que tenga el número de versión de configuración más
alto, es posible que se utilice un switch incorporado de algún otro sitio donde su
número de versión de configuración sea más alto. Al estar este último por defecto
en modo servidor, existe la posibilidad de que este nuevo switch incorporado en la
red sobrescriba la configuración de todos los switches de la red borrando y/o
creando VLAN y por tanto modificando la configuración y dando lugar a fallos en
la red. Por su puesto si ese switch se introdujera en modo cliente y tuviera un
número de versión de configuración más alto que el servidor, ignoraría las
actualizaciones y esto significaría que el switch no actualizaría su configuración.
Es sumamente importante antes de incorporar un switch nuevo en la red
asegurarse de que el número de versión de la configuración se establece a 0, pero
como no existe ningún comando que haga esto directamente habrá que hacerlo de
forma indirecta con cualquiera de estas dos formas:
•
Cambiando el modo del switch a transparente y posteriormente
otra vez a servidor.
•
Cambiando el nombre del dominio de VTP a uno cualquiera que
no se utilice y volviendo luego a configurar el dominio de VTP
correcto.
Una vez asumidas estas precauciones se podrá proceder a instalar el nuevo
switch.
Los anuncios de VTP se generan de tres formas diferentes:
•
Summary Advertisements: estos anuncios se generan por el
servidor cada 300 segundos o cada vez que se ha realizado un
cambio en la base de datos de VLAN.
•
Subsets Advertisements: estos anuncios se crean cada vez que se
genera un cambio en alguna VLAN.
•
Advertisements Requested from Clients: este tipo de anuncios se
envía cada vez que un cliente necesita que se le actualice la
configuración, por ejemplo después de un reset del equipo.
www.FreeLibros.com
CAPÍTULO 12. VTP
©RA-MA
335
Los switches que operan en modo servidor no necesitan que se les pase la
configuración después de un reset ya que guardan la información de VTP y de las
VLAN en el fichero vlan.dat en la Flash, con lo que los resets no implican pérdida
alguna de información.
CONFIGURACIÓN DE VTP
La configuración de VTP en los switches Cisco con IOS es bastante
sencilla ya que lo único que hay que configurar es el dominio de VTP y el modo,
opcionalmente la versión, contraseña, etc.
Por defecto la configuración que se utilizará al configurar VTP es la
versión 1, aunque la versión 2 tiene las siguientes ventajas sobre la versión 1:
•
En los switches en modo transparente la versión 2 permitirá que se
reenvíen los anuncios recibidos de VTP independientemente de su
versión o dominio.
•
La versión 2 realiza una comprobación de consistencia al
introducir los comandos por CLI o mediante SNMP, pero no
realizaría esta comprobación en los anuncios recibidos desde otros
switches.
•
Soporte para Token Ring
Configurar la versión de VTP es tan simple como introducir este comando
en el modo de configuración global:
switch(config)#vtp versión {1 | 2}
Para configurar el modo y la contraseña en las actualizaciones VTP
utilizaremos los siguientes comandos:
switch(config)#vtp mode { server | transparent | client}
switch(config)#vtp password password
Un ejemplo de configuración podría ser el siguiente:
switch(config)#vtp versión 2
switch(config)#vtp mode server
switch(config)#vtp password CcNp
www.FreeLibros.com
336
REDES CISCO. CCNP a Fondo
©RA-MA
VTP Pruning
El VTP Pruning o recorte es un método que impide que las actualizaciones
de VTP se reenvíen por todos los puertos de trunk, de esta forma se limita la
propagación de VTP a una porción de la red bien definida, reduciendo así el
proceso de información y el tráfico innecesario por los enlaces troncales. VTP
utiliza mensajes multicast y éstos al igual que los mensajes de broadcast por
defecto se reenvían por todos los puertos de la VLAN excepto por el que se ha
recibido.
La configuración de VTP Pruning tampoco resulta ser demasiado
engorrosa, por defecto está deshabilitado y será necesario entonces habilitarlo de la
siguiente forma:
switch(config)#vtp pruning
switch(config-if)#switchport trunk pruning vían { add | except |
none | remove } llsta-de-vlans
Como se puede apreciar se utiliza la misma terminología que en los
comandos de configuración de trunk, por lo que no es necesario explicar la
terminología ya que se ha hecho en párrafos anteriores.
RESOLUCIÓN DE FALLOS EN VTP
VTP es un protocolo en apariencia sencillo de configurar, pero puede que
resulte complicado para resolver fallos en grandes redes teniendo en cuenta los
parámetros globales entre switches, por eso es importante reparar la siguiente lista
en caso de problemas:
•
Si el switch está en modo transparente, comprobar la versión que se está
utilizando, hay que tener en cuenta que si no reenvía anuncios de VTP
puede ser por estar utilizando la versión 1, que es la que viene por defecto.
• Comprobar que no haya más de un switch en modo servidor.
• Comprobar que todos los enlaces troncales estén configurados como trunk
y no como puertos de acceso.
• Comprobar que el nombre de dominio VTP sea el mismo en todos los
switches.
• Comprobar que la contraseña sea la misma.
• Comprobar la versión en todos los switches para que coincida.
www.FreeLibros.com
©RA-MA
CAPÍTULO 12. VTP
337
Los siguientes comandos son los que brindan soporte para resolver fallos
de VTP:
show vtp status
show vtp counters
show vían brief
show interfaces switchport module module number
Switch# show vtp status
VTP Versión
C o n f iguration Revisión
Máximum VLANs supported locally
Number of existing VLANs
VTP Operating Mode
VTP Domain Ñame
VTP Pruning Mode
VTP V2 Mode
VTP Traps Generation
MD5 digest
OxOE
2
250
1005
33
Server
Lab_Network
Enabled
Enabled
Disabled
0xE6 0x F8 0x3E OxDD 0xA4 0xF5 0xC2
Configuration last modified by 172.20.52.18 at 9-22-99 11:18:20
Local updater ID is 172.20.52.18 on interface Vil (lowest numbered V
LAN interface found)
Switch#
Switch# show vtp counters
VTP statistics:
Summary advertisements received
: 1
Subset advertisements received
: 1
Request advertisements received
: 0
Summary advertisements transmitted : 31
Subset advertisements transmitted : 1
Request advertisements transmitted : 0
Number of config revisión errors
: 0
Number of config digest errors
: 0
Number of VI summary errors
: 0
VTP pruning statistics:
Trunk
Join Transmitted Join Received
eived from
Summary advts rec
non-pruning-
capable device
Fa5/9
1555
1564
0
Switch#
Switch# show vían brief
VLAN Ñame
www.FreeLibros.com
Status
Ports
338
1
2
3
4
5
10
REDES CISCO. CCNP a Fondo
default
VLAN0002
VLAN 0003
VLAN0004
VLAN0005
VLAN0010
©RA-MA
active
active
active
active
active
active
Fa5/9
Fa5/9
Fa5/9
Fa5/9
Fa5/9
Fa5/9
Switch# show interfaces switchport module 1
Ñame:Gil/I
Switchport:Enabled
Administrative Mode:dynamic auto
Operational Mode:down
Administrative Trunking Encapsulation:negotiate
Negotiation of Trunking:0n
Access Mode VLAN:1 (default)
Trunking Native Mode VLAN:1 (default)
Administrative private-vlan host-association:none
Administrative private-vlan mapping:none
Operational private-vlan:none
Trunking VLANs Enabled:ALL
Pruning VLANs Enabled:2-1001
www.FreeLibros.com
Capítulo 13
ETHERCHANNEL
a g r e g a c ió n d e p u e r t o s
Los dispositivos Cisco permiten realizar agregación de enlaces con la
finalidad de aumentar el ancho de banda disponible a través de la tecnología
EtherChannel. La agregación de puertos en Cisco se puede realizar con interfaces
Fast Ethemet, Gigabit Ethemet o 10 Gigabit Ethernet.
Con la tecnología EtherChannel es posible añadir hasta 8 enlaces de forma
que se comporten como si sólo fueran uno, eliminando la posibilidad de formar
bucles de capa 2 debido a que el comportamiento de estos enlaces es el de un único
enlace.
La tecnología EtherChannel permite una distribución que no llega a ser un
balanceo de carga perfecto por los métodos que utiliza, pero permite la correcta
distribución del tráfico, además si uno de los enlaces que componen la agregación
fallara, el tráfico se distribuiría entre los restantes sin perder la conectividad. Sin
embargo no es posible agregar enlaces así sin más, es necesario que todos los
enlaces que componen el EtherChannel tengan la misma configuración en cuanto a
velocidad, dúplex, VLAN que transportan, VLAN nativa y en caso de ser
necesario idéntica configuración de Spanning Tree.
Distribución de tráfico
El tráfico es distribuido a través de los enlaces del EtherChannel de manera
determinística. No por ello la carga ya a ser distribuida equitativamente, esto
www.FreeLibros.com
340
REDES CISCO. CCNP a Fondo
©RA-MA
dependerá del algoritmo de encriptación empleado. El algoritmo puede usar la
dirección IP de origen, de destino, etc.
Si solamente una IP o número de puerto son computados en el hash
(combinación de valores), el switch reenvía cada trama utilizando uno o más bits
de bajo orden del valor del hash como índice dentro de los enlaces que forman el
EthemChannel. Si dos direcciones IP o números de puerto son computados en el
hash, el switch lleva a cabo una operación XOR (OR exclusiva) en uno o más de
los bits de bajo orden de la dirección IP o puerto TCP/UDP como índice dentro de
los enlaces que forman el EthemChannel.
Último bit del cuarto
octeto de la dirección IP
Operación XOR entre dos
miembros EtherChannel
Dirección 1: xxxxxxxO
Dirección 2: xxxxxxxO
xxxxxxxO: Utilizará: 0
Dirección 1: xxxxxxxO
Dirección 2: xxxxxxxl
xxxxxxxl: Utilizará: 1
Dirección 1: xxxxxxxl
Dirección 2: xxxxxxxO
xxxxxxxl: Utilizará: 1
Dirección 1: xxxxxxxl
Dirección 2: xxxxxxxl
xxxxxxxO: Utilizará: 0
Balanceo de carga
El siguiente comando se utiliza para configurar la manera en que las tramas
serán distribuidas en el EthemChannel:
Switch(config)#port-channel load-balance method
La siguiente lista describe las posibles opciones del parámetro method:
•
srp-ip: dirección IP de origen
• dst-ip: dirección IP de destino
•
src-dst-ip: direcciones IP de origen y destino
•
src-mac: dirección MAC de origen
•
dst-mac: dirección MAC de destino
www.FreeLibros.com
CAPÍTULO 13. ETHERCHANNEL
©RA-MA
•
src-dst-mac: direcciones MAC de origen y destino
•
src-port: puerto (capa 4) de origen
•
dst-port: puerto de destino
•
src-dst-port: puertos de origen y destino
341
La configuración por defecto es utilizar IP origen XOR IP destino, lo cual
equivale al método src-dst-ip. Por defecto para los Catalyst 2970 y 3560 es srcmac para switching de capa 2 y src-dst-ip para capa 3.
Hay que prestar especial atención en el caso de que se esté utilizando un
router para la configuración del EthemChannel, debido a que los routers utilizan la
“bumed-in MAC” en las tramas Ethemet incluso cuando envíadatos a y desde
diferentes direcciones IP. Esto quiere decir que la MAC de destino será siempre la
misma.
Se debería elegir el método de balanceo de carga que permita una mayor
distribución de datos entre los enlaces, por ejemplo, si la mayoría del tráfico es IP
lo que más sentido tiene es hacer balanceo de carga acorde a direcciones IP o
números de puerto TCP/UDP. En caso de que el switch se encontrase con tráfico
no IP pasaría al siguiente método que es distribuir las tramas acorde a la dirección
MAC.
Los switch proporcionan protección hacia los bucles dentro de un
EthemChannel. Cuando se recibe un broadcast o multicast en uno de los puertos
del EthemChannel éste no se vuelve a reenviar en el resto de los miembros.
P R O T O C O L O S D E N E G O C IA C I Ó N E T H E R C H A N N E L
Actualmente existen dos opciones para utilizar como protocolos de
negociación en EthemChannel:
•
PAgP, propietaria de Cisco.
•
LACP, como solución abierta.
PA gP
PAgP (Port Aggregation Protocol) es un protocolo propietario de Cisco.
Los paquetes PAgP son intercambiados entre switch a través de los enlaces
www.FreeLibros.com
342
REDES CISCO. CCNP a Fondo
©RA-M a
configurados para ello. Los vecinos son identificados y sus capacidades
comparadas con las capacidades locales.
Para que se forme el EthemChannel los dos puertos han de estar
configurados de manera idéntica. Es mejor siempre realizar cualquier cambio sobre
la interfaz EthemChannel, de esta manera el cambio afectará a todos los miembros
asegurándose así que no haya conflictos de configuración.
Existen dos modos de configurar PAgP. Modo activo, desirable, en el cual
el switch intentará formar un EthemChannel de manera activa y modo pasivo;
auto, en el que el switch responderá a peticiones para formar el EthemChannel.
LACP
LACP (Link Ággregation Control Protocol) es la opción abierta y viene
definida en el estándar 802.3ad, también conocida como IEEE 802.3 Cláusula 43
"Link Aggregation". El funcionamiento es bastante parecido al de PAgP, pero en el
caso de LACP se asignan roles a cada uno de los extremos basándose en la
prioridad del sistema, que se conforma con 2 bytes de prioridad más 6 de MAC.
Los puertos son seleccionados y activados acorde al valor port priority (2
bytes de prioridad seguido de 2 bytes de número de puerto), el valor más bajo
indica mayor prioridad. Se pueden definir hasta 16 enlaces por cada
EthemChannel.
Existen dos modos de configurar LACP. Modo activo (active), en el cual el
switch intentará formar un EthemChannel de manera activa, y modo pasivo
(passive), en el que el switch responderá a peticiones de formar el EthemChannel.
C O N F IG U R A C IÓ N E T H E R C H A N N E L
EtherChannel puede configurarse de forma manual o dinámicamente
utilizando los protocolos de negociación LACP o PAgP, por lo tanto la
configuración dependerá de la opción más adecuada que se haya elegido en cada
caso.
El modo on es un modo de configuración en el cual se establece toda la
configuración del puerto de forma manual, no existe ningún tipo de negociación
entre los puertos para establecer un grupo. En este tipo de configuración es
necesario que ambos extremos estén en modo on.
www.FreeLibros.com
CAPÍTULO 13. ETHERCHANNEL
©RA-MA
343
gwitch(config)#interface type mod/num
number mode on
S w i t c h (config-if)#channel-group
Configuración PAgP
Para la configuración de EtherChannel la creación del PortChannel se
realizará automáticamente a partir de la configuración del ChannelGroup, llevando
asociada la misma numeración. Los comandos necesarios para dicha configuración
son los siguientes:
S w i t c h (c o n f i g )#interface type mod/num
S w i t c h (c o n f ig-if )#channel-protocol pagp
(config-if)#channel-group number mode {on | {auto | desirable}
[non-silent]}
Switch
El comando channel-protocol puede no estar disponible en algunos
modelos antiguos en los que solamente existe el modo pagp.
La interfaz EthemChannel es una interfaz lógica que agrupará a todos los
enlaces miembros del EthemChannel y puede tomar un valor de entre 1 y 64. Cada
interfaz que quiera ser miembro debe de ser asignada a él.
Por defecto PAgP opera en un sub modo silent tanto en modo desirable
como en modo auto, permitiendo formar el EthemChannel incluso si no se reciben
paquetes PAgP del otro extremo. El porqué de este comportamiento es simple, no
siempre se puede asumir que el otro extremo será otro dispositivo Cisco, por
ejemplo, si en lugar del switch existe un servidor de archivos, será capaz de formar
el EthemChannel.
Si se conoce de antemano que el dispositivo conectado será Cisco por lo
que habrá una comunicación de paquetes PAgP es recomendable utilizar el
parámetro non-silent.
La siguiente sintaxis es un ejemplo de configuración':
Switch(config)#port-channel load-balance src-dst-port
Switch(config)#interface range gig 3/1 — 4
Switch(config-if)#channel-protocol pagp
Switch(config-if)#channel-group 1 mode desirable non-silent
www.FreeLibros.com
344
REDES CISCO. CCNP a Fondo
©RA-MA
Configuración LACP
La configuración de LACP es muy similar a PAgP para lo cual se utilizan
los siguientes comandos:
Switch(c onfig )#lacp system-priority priority
Swit ch(conf ig)#interface type mod/num
Switch (config-if )#channel-protocol lacp
Switch(config-if )#channel-group number mode {on | passive
| active}
Switch(config-if )#lacp port-priority priority
El primer paso es asignar la prioridad (entre 1 y 65535 donde 32768 es la
de por defecto) para decidir quién será el que inicie la creación del EthemChannel.
En caso de empate en las prioridades gana el que tenga la MAC más baja.
Cada interfaz ha de estar asignada al mismo número de EthemChannel
(entre 1 y 16) y configurada como active o pasive.
Es posible configurar más interfaces de las permitidas en el EthemChannel
para que entren en funcionamiento en caso de que falle alguna de las activas.
Utilizando el comando lacp port-priority se asignan prioridades (entre 1 y 65535
donde 32768 es la de por defecto) teniendo en cuenta que el valor más bajo es la
mayor prioridad.
La siguiente sintaxis es un ejemplo de configuración:
Switch(config)#lacp system-priority 100
Switch(config)#interface range gig 2/1 — 4 , gig 3/1 — 4
Switch(config-if)#channel-protocol lacp
Switch(config-if)#channel-group 1 mode active
Switch(config-if)#lacp port-priority 100
Switch(config-if)#exit
Switch(config)#interface range gig 2/5 — 8 , gig 3/5 — 8
Switch(config-if)#channel-protocol lacp
Switch(config-if)#channel-group 1 mode active
RESOLUCIÓN DE FALLOS EN ETHERCHANNEL
Hay varios puntos clave a tener en cuenta:
•
Si se utiliza el modo on no se enviarán paquetes LACP o PAgP
por lo tanto ambos extremos han de estar en modo on.
www.FreeLibros.com
CAPÍTULO 13. ETHERCHANNEL
© r A-MA
345
•
Los modos active (LACP) o desirable (PAgP) preguntarán
activamente al otro extremo.
•
Los modos passive (LACP) o auto (PAgP) participarán en el
EthemChannel pero sólo si reciben primero paquetes desde el otro
extremo.
•
PAgP modo desirable y auto por defecto contienen el parámetro
silent por lo que podrán negociar incluso si no escuchan paquetes
desde el otro extremo.
Para la verificación del EtherChannel se pueden utilizar los siguientes
comandos:
•
show etherchannel summary
•
show etherchannel port
•
show etherchannel summary
•
show etherchannel port
•
show etherchannel port-channel
•
show etherchannel detail
•
show etherchannel load-balance
•
show etherchannel port-channel
•
show {pagp | lacp} neighbor
show lacp sys-id
www.FreeLibros.com
346
REDES CISCO. CCNP a Fondo
©
r a -m a
Switch# show etherchannel summary
Flags: D - down P - in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
u - unsuitable for bundling
U - in use f - failed to allocate aggregator
d - default port
Number of channel-groups in use: 1
Number of aggregators:
1
Group Port-channel Protocol
Ports
-------- +------------------- +---------------- +--------------------------------------1
Pol(SU)
PAgP
FaO/41(P) FaO/42(P)
FaO/43 FaO/44(P )FaO/45(P )
FaO/46(P) FaO/4 7 (P) FaO/48(P)
Switch# show etherchannel port
Channel-group listing:
Group: 1
Ports in the group:
Port: FaO/41
Port state
= Up Mstr In-Bndl
Channel group= 1 Mode =
Port-channel = Pol GC =
Port index
= 0 Load =
Flags:
S - Device
Consistent
A - Device
physical port.
Desirable-Sl Gcchange = 0
0x00010001 Pseudo port-channel = Pol
0x00 Protocol = PÁgP
is sending Slow helio. C - Device
state.
is
in
Auto
mode.
P
-
Device
is in
learns
on
d - PAgP is down.
Timers:
H - Helio timer is running. Q - Quit timer is running.
S - Switching timer is running. I - Interface timer is
running.
Local information:
Helio
Partner PAgP Learning Group
Con los comandos show running-config interface es posible ver la
configuración relativa al EthemChannel. También se puede utilizar el comando
show interface para ver los parámetros del EthemChannel.
www.FreeLibros.com
Capítulo 14
SIP
IN T R O D U C C IÓ N A S P A N N I N G T R E E P R O T O C O L
STP (Spanning Tree Protocol) proporciona soporte a nivel de la capa 2 de
forma que los errores o fallos se pueden solventar de manera automática; está
definido en el estándar IEEE 802. ID.
Un switch de capa 2 imita las funciones de un bridge transparente, tiene
que ofrecer segmentación entre dos redes mientras permanece de manera
transparente para los dispositivos finales que están conectados a él.
Un bridge o un switch opera de la siguiente manera:
•
Inicialmente un switch no posee ningún conocimiento de la red,
por lo que debe “escuchar” las tramas que le llegan a cada uno de
sus puertos para averiguar en qué red reside cada dispositivo. El
bridge asume que cada dispositivo de origen está localizado detrás
del puerto del cual ha recibido dicha trama mirando su MAC. A
medida que el proceso de escucha continúa el bridge construye una
tabla que relaciona direcciones MAC de origen con números de
puertos. El bridge puede actualizar la tabla para reemplazar las
direcciones MAC o detectar el cambio de localización de un puerto
a otro. De esta manera podrá enviar las tramas mirando la MAC de
destino buscando dicha dirección en la tabla y enviarla
posteriormente a través del puerto donde el dispositivo final está
localizado.
www.FreeLibros.com
348
REDES CISCO. CCNP a Fondo
•
©RA-MA
Si una trama llega con una dirección de destino broadcast el bridge
debe enviar la trama a través de todos los puertos disponibles salvo
por el puerto por donde se ha recibido. A este proceso se lo llama
flood. Si una trama llega con una dirección de destino que no es
localizada en la tabla del bridge, éste no podrá determinar por cuál
de sus puertos debe enviar la trama al destino. En estos casos el
bridge trata esta trama como si fuera un broadcast siguiendo el
mismo proceso que haría con una trama de difusión. A estas
tramas se las llaman unknown unicast. Una vez que el destino
responde a dicha trama, el bridge localiza el puerto para usos
futuros.
Las tramas enviadas a través del bridge no pueden ser modificadas por el
propio bridge, es decir, que el proceso de bridging es absolutamente transparente.
El bridging o switching son efectivos, cualquier trama es enviada, tanto
cuando se conoce la dirección de destino como cuando no. Siempre se alcanza el
dispositivo final, por cualquiera de los procesos antes mencionados.
Redundancia con switch
Cuando es necesaria la redundancia entre segmentos, pueden utilizarse dos
o más switches interconectando los segmentos de red.
Switch B
Switch A
Segmento 2
n.
Esta conexión de manera transparente no debería afectar el funcionamiento
de la red. Sin embargo cuando las tramas son enviadas y los switches no tienen
conocimiento en sus tablas MAC de los puertos de entrada y salida pueden
producirse algunos problemas.
www.FreeLibros.com
CAPÍTULO 14. STP
© RA-MA
349
Al recibir una trama desde el segmento 1 ambos switches envían la trama
por los puertos correspondientes hacia el segmento 2. El resultado final es que el
segmento 2 recibe una trama duplicada, sin ser esto un gran problema, no es lo
deseado.
Cuando los switches no tienen conocimiento de las direcciones MAC
recibidas el problema puede ser mayor. Al recibir una trama por el segmento 1
ocurre lo siguiente:
1. El switch A y el switch B reciben la trama por los puertos conectados en el
segmento 1. Como es la primera vez que se recibe esta trama ambos
switches guardan la MAC en sus respectivas tablas asociadas al puerto de
recepción.
2. Debido a que la localización del destino en el segmento 2 es desconocida
ambos switches deciden enviar esa trama a través de todos los puertos
disponibles (unknown unicast).
3. Cada switch envía copia de la trama a sus puertos en el segmento 2. El
destino recibe dos tramas destinadas hacia él, pero a su vez el switch A
recibe la trama enviada por el switch B y viceversa.
4. El switch A al recibir la nueva trama detecta que el origen está en el
segmento 2 y actualiza sus tablas, pero este dato es incorrecto. El mismo
proceso es replicado por el switch B.
5. A este nivel ninguno de los switches tiene información certera sobre el
destino debido a que aún no existe registro en las correspondientes tablas
MAC. La trama es enviada, entonces, por todos los puertos salvo por los
que ha sido recibida.
6. Los switches vuelven a recibir la trama por los puertos correspondientes al
segmento 1, por lo que se reinicia todo el proceso nuevamente y de manera
permanente.
Este proceso es conocido como “bucle” en este caso de nivel 2 o bucle de
switching. Ninguno de los switches se da cuenta de la existencia del otro por lo
tanto cada uno trata de enviar las tramas desde un segmento hacia el otro
constantemente.
www.FreeLibros.com
350
REDES CISCO. CCNP a Fondo
©RA-MA
Si este proceso ocurriese con una trama de broadcast, el bucle se hubiera
generado de igual manera, o incluso peor. La trama de broadcast estaría circulando
perpetuamente y cada uno de los usuarios finales en ambos segmentos estaría
recibiendo constantemente tramas de difusión, fenómeno conocido como tormenta
de broadcast. Este fenómeno puede hacer decaer notablemente el rendimiento de
la red.
Para evitar físicamente este problema la desconexión física del bucle o el
apagado de uno de los dos switches es la solución.
Solución a los bucles de capa 2
Los switches de capa 2 cuando funcionan en paralelo, no se dan cuenta de
la existencia del otro. STP proporciona el mecanismo necesario para que los
switches reconozcan la existencia del otro y puedan negociar un camino libre de
bucles. Estos bucles son descubiertos antes de que puedan formarse y los enlaces
conflictivos son desconectados automáticamente. Cada switch ejecuta el algoritmo
STP basándose en la información recibida por los switch vecinos. Este algoritmo
elige un punto de referencia en la red y calcula todos los caminos redundantes.
Cuando localiza caminos redundantes STP elige alguno de esos caminos para
enviar las tramas y bloquea el resto de los posibles caminos. STP calcula una
estructura de árbol que abarca todos los switches de un segmento determinado. Los
caminos redundantes son colocados en un estado de bloqueo evitando que se
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
351
envíen tramas. Obteniendo como resultado una red libre de bucles. En el caso de
que el puerto que este enviando tramas falle, STP vuelve a recalcular su algoritmo
para que los enlaces bloqueados apropiados sean reactivados.
F U N C IO N A M IE N T O d e s t p
STP funciona de manera que los switches puedan operar entre ellos
intercambiando mensajes de datos a través de las BPDU (Bridge Protocol Data
Units). En la terminología de STP es común hablar de bridge en lugar de switch
debido a que originalmente STP fue diseñado para los puentes o bridges, por lo
tanto en el transcurso de este libro se utilizarán como términos similares. Cada
switch envía las BPDU a través de un puerto usando la dirección MAC de ese
puerto como dirección de origen, el switch no sabe de la existencia de otros
switches por lo que las BPDU son enviadas con la dirección de destino multicast
01-80-C2-00-00-00.
Existen dos tipos de BPDU:
•
Configuration BPDU: utilizadas para el cálculo de STP
•
Topology Change Notification (TCN) BPDU: utilizada para
anunciar los cambios en la topología de la red.
Las configuration BPDU contienen campos mostrados en la siguiente
tabla:
Campo
Cantidad de
bytes
ProtocolID
2
Versión
1
Message Type
1
Flags
1
Root Bridge ID
8
Root Path Cost
4
Sender Bridge ID
8
www.FreeLibros.com
352
REDES CISCO. CCNP a Fondo
©RA-MA
Port ID
2
Message Age
2
Máximum Age
2
Helio Time
2
Forward Delay
2
El intercambio de los mensajes BPDU tiene la función de elegir puntos de
referencia para conseguir una topología STP estable. Los bucles pueden ser
identificados y eliminados poniendo puertos redundantes específicos en los estados
de bloqueando o standby. Varios de los campos de la BPDU son relativos a la
identificación del switch al coste de los caminos y a los valores de los
temporizadores, todos trabajan al unísono para que la red pueda converger en una
topología de STP común eligiendo los mismos puntos de referencia dentro de la
red.
Por defecto las BPDU son enviadas a través de todos los puertos cada 2
segundos de tal manera que la información de la topología actual se intercambia
para identificar los bucles rápidamente.
Elección del switch raíz
Todos los switches de la red deben estar de acuerdo en elegir un marco
común como referencia para crear una topología de capa 2 libre de bucles. Este
punto de referencia se llama switch raíz o root bridge.
Para determinar el root bridge se lleva a cabo un proceso de elección, cada
switch posee un bridge ID, que es un identificador único que lo diferencia de todos
los demás switches. El bridge ID es un valor de 8 bytes que consiste en los campos
que se detallan:
•
Bridge Priority: son 2 bytes, es la prioridad de un switch en
relación a todos los demás, este campo puede tener un valor entre
0 y 65535, cuyo valor por defecto es 32768 (0x8000).
•
Dirección MAC son 6 bytes, esta dirección puede tener origen en
un módulo Supervisor o en el backplcine, dentro de un rango de
1024 direcciones que son asignadas a cada uno dependiendo del
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
353
modelo del switch. De cualquiera de las maneras es única e
inamovible.
Cuando un switch se enciende no tiene una visión clara de su alrededor,
por lo que se considera a sí mismo como root bridge. El proceso de elección se
inicia cuando todos los switches envían BPDU con el ID del root brige puesto
como su propio ID y su Sender Bridge ID, que es su propio ID. Este último indica
a los demás switches quién es el verdadero emisor del mensaje BPDU. A partir de
la elección del root bridge las BPDU de configuración sólo son enviadas por el root
bridge. Todos los demás switches deben confiar en estas BPDU añadiendo el
Sender Bridge ID a ese mensaje. Los mensajes BPDU recibidos son analizados
para saber si un mejor root bridge se ha incorporado. Esta evaluación depende de la
prioridad, que debe ser de un valor menor que las demás. Para el caso de que dicho
valor de prioridad sea igual al actual, la MAC más baja se aplicará para la
determinación de la prioridad.
Cuando un switch escucha acerca de un root bridge, es decir, un switch con
una prioridad menor a la de sí mismo, reemplaza el root bridge ID anunciado en
sus BPDU. El switch anunciará entonces dicho ID como root y su propio Sender
Bridge ID. Los switches convergen y se ponen de acuerdo sobre quién será el root
bridge.
Elección del puerto raíz
Una vez determinado el root bridge, cada uno de los demás switches que
no son root deben identificar su posición en la red en relación con el root bridge.
Esta acción se realiza seleccionando solamente un puerto raíz en cada uno de los
switches. El puerto raíz siempre apunta hacia el actual root bridge. STP utiliza el
concepto de coste para determinar y seleccionar un puerto raíz, lo que significa
evaluar el coste de la ruta llamado Root Path Cost. Este valor es el coste
acumulativo de todos los enlaces hacia el root bridge. Un simple enlace de un
switch también conlleva un coste asociado a él.
A medida que los Root Path Cost atraviesan la red, otros switch pueden
modificar su valor de manera acumulativa. El Root Path Cost no está dentro de la
BPDU, solamente atañe al puerto del switch local donde éste reside. Cuanto mayor
sea el ancho de banda del enlace menor será el coste del enlace. IEEE 802.ID
define un Root Path Cost de 1000 Mbps dividido por el ancho de banda del enlace
en Mbps. Las redes modernas superan este valor por lo que fue necesario cambiar
los valores del coste.
www.FreeLibros.com
354
REDES CISCO. CCNP a Fondo
O RA-MA
La siguiente tabla muestra los valores de estos costes:
Ancho de banda
Coste antiguo
de STP
Coste actual
de STP
4 Mbps
250
250
10 Mbps
100
100
16 Mbps
63
62
45 Mbps
22
39
100 Mbps
10
19
155 Mbps
6
14
622 Mbps
2
6
1 Gbps
1
4
10 Gbps
0
2
El valor del coste se determina de la siguiente manera:
•
El root bridge envía una BPDU con un valor de root path cost de 0
ya que su puerto está asociado directamente al switch.
•
Cuando el siguiente switch recibe la BPDU añade su propio coste
donde fue recibida la BPDU.
•
El vecino envía esa BPDU con el valor acumulativo modificando
así el root path cost.
•
El incremento es directamente proporcional al coste de los puertos
de entrada a medida que la BPDU se recibe en cada uno de los
switches de la topología.
•
El root path cost se va incrementando a medida que las BPDU
entran en los puertos.
Después de este incremento el switch guarda ese valor en la memoria, el
valor más bajo de los almacenados será el nuevo path cost.
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
355
Elección del puerto designado
Para eliminar la posibilidad de bucles de capa 2 en la red, STP realiza un
cálculo para determinar los puertos designados en cada segmento de red. Cuando
una trama aparece en un segmento todos los switches intentan enviarla hacia el otro
segmento. Este comportamiento debe ser controlado de tal manera que sólo un
puerto envíe tráfico desde y hacia ese segmento. El puerto que realiza esta tarea se
llama puerto designado.
Los switches eligen sólo un puerto designado para cada segmento
basándose en el menor root path cost acumulativo hacia el root bridge. Cuando un
switch recibe un root path cost mayor al que tiene asume el rol de puerto designado
para ese segmento por el que recibe la root path cost mayor que la que posee.
Con todo lo visto hasta ahora los puertos siguen en actividad por lo*que aun
así pueden producirse bucles. STP tiene una serie de estados progresivos por lo
cuales cada puerto debe pasar.
En cada proceso de determinación cuando dos o más enlaces tengan el
mismo root path cost, se determina la diferencia en el siguiente orden:
1. El menor de los root bridge ID
2. El menor root path cost hacia el root bridge
3. EL menor sender bridge ID
4. El menor sender port ID
E STA D O S STP
Para participar en el proceso de STP cada puerto tiene que progresar a
través de una serie de estados. Un puerto comienza en el estado desconectado hasta
llegar al estado de activo si tiene permitido enviar tramas.
Los estados de STP son los siguientes:
son los puertos que han sido apagados
administrativamente por el administrador de la red o por fallos en
el sistema, es un estado que no participa de la progresión normal
de STP para un puerto.
•
Desconectado,
•
Bloqueando, es el estado de un puerto cuando se inicia de tal
forma que no pueda generar bucles de red. En este estado un
www.FreeLibros.com
356
REDES CISCO. CCNP a Fondo
©RA-M a
puerto no puede recibir ni transmitir datos, sólo puede recibir
BPDU desde los vecinos sin poder añadir direcciones MAC en su
tabla; además, los puertos que están en modo standby para evitar
bucles entran con el estado bloqueando.
•
Escuchando, un puerto pasa a este estado si el switch interpreta
que el puerto puede ser seleccionado como puerto raíz o puerto
designado como previo al envío de tramas. En este estado no se
pueden enviar ni recibir tramas pero sí pueden recibir y enviar
BPDU de tal manera que el switch participa activamente en el
proceso de STP. Si no hay mayores cambios el puerto vuelve al
estado anterior, si por el contrario los cambios ocurren se pasa al
siguiente estado.
•
Aprendiendo, luego del período transcurrido llamado forward
delay el puerto pasa a este estado donde puede enviar y recibir
BPDU registrando, ahora sí, las MAC a las tablas
correspondientes. El puerto participa de esta manara de forma
silenciosa en el proceso mientras puede tener una visión de las
tablas de direcciones MAC.
•
Enviando, después de otro período transcurrido el puerto pasa a
este estado donde puede enviar y recibir tramas, aprender
direcciones MAC y guardarlas en las tablas, y enviar y recibir
BPDU. El puerto es ahora completamente funcional en la
topología STP.
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
357
La siguiente sintaxis muestra la salida de un puerto progresando en el
proceso STP.
Switch(config)# interface fastethernet 0/1
Switch(config-if )#no shutdown
Switch(config-if)#A-Z
*Mar 16 14:31:00 UTC: STP SW: FaO/l new blocking req for 1 vlans
Switch#show spanning interface fastethernet 0/1
V ía n
Ñame
Port ID
Prio.Nbr
Cost Sts
Designated
Cost Bridge ID
Port ID
Prio.Nbr
VLAN0001 128.1 19
LIS
0 32769 000a.f40a.2980 128.1
*Mar 16 14:31:15 UTC: STP SW: Fa0/1 new learning req for 1 vlans
Switch#show spanning
Vían
Ñame
Port ID
Prio.Nbr
interface fastethernet 0/1
Cost Sts
Designated
Cost Bridge ID
Port ID
Prio.Nbr
VLAN0001 128.1 19
LRN
0 32768 OOdO.5849.4100 32.129
*Mar 16 14:31:30 UTC: STP SW: Fa0/1 new forwarding req for 1 vlans
Switch#show spanning interface fastethernet 0/1
Vían
Port ID
Designated
Port ID
Ñame
Prio.Nbr
Cost Sts
Cost Bridge ID
Prio.Nbr
VLAN0001 128.1 19
FWD
0 32768 OOd O .5849.4100 32.129
Este ejemplo comienza con la interfaz administrativamente deshabilitada.
Cuando se habilita, el comando show spanning interface muestra el estado que va
tomando sucesivamente. Para monitorizar el estado de todos los puertos se utiliza
el comando debug spanning-tree switch state.
Temporizadores de STP
STP opera de tal manera que los switches intercambian las BPDU entre sí.
Las BPDU toman una cantidad finita de tiempo para viajar en la red de un switch
hacia otro, además los cambios o fallos en la topología pueden influir en la
propagación de las BPDU. Es importante que los switches no converjan hasta que
todos éstos reciban exactamente la misma información.
STP utiliza 3 temporizadores para asegurarse de que la convergencia de la
red sea la adecuada y que los bucles no puedan desarrollarse. Estos temporizadores
y sus valores por defecto son los siguientes:
•
Helio, es el intervalo de tiempo en el cual las configuration BPDU
se envían desde el root switch. La configuración se realiza
únicamente en el root switch y determina el temporizador helio de
todos los demás switch debido a que éstos sólo confían en las
www.FreeLibros.com
358
REDES CISCO. CCNP a Fondo
©
r a -m a
BPDU de configuración recibidas desde el root. Aun así todos los
demás switches tienen un temporizador local incorporado utilizado
para temporizar las BPDU cuando hay cambios de topologías. El
valor estándar por defecto es de 2 segundos.
•
Forward delay, es el intervalo de tiempo en el que un switch está
entre los estados de escuchando y aprendiendo, el valor por
defecto es de 15 segundos para cada uno de los estados.
•
Max (máximum) Age, es el intervalo de tiempo que un switch
guarda una BPDU antes de descartarla. Mientras se está ejecutando
STP cada puerto del switch mantiene un registro de la mejor
BPDU que ha escuchado. En caso de que el puerto del switch
pierda contacto con el origen de esa BPDU el switch asume que ha
ocurrido algún cambio en la topología, cuando el período Max Age
termine la BPBU es eliminada. Por defecto el valor de este
temporizador es de 20 segundos.
•
Los temporizadores de STP pueden ser ajustados y configurados
en el switch, no obstante cualquier cambio debe ser debidamente
planificado y es recomendable hacerlo sólo en el root. Todos estos
temporizadores son apropiados para una red de hasta 7 switches,
desde el root hasta el más lejano. Finalmente el tiempo total desde
el primer estado hasta el último es de 50 segundos.
C A M B IO S D E T O P O L O G ÍA S
Para anunciar un cambio en una topología de red activa los switch utilizan
las BPDU TCN, la siguiente tabla muestra el formato de estos mensajes:
Campo
Cantidad de bytes
ProtocolID
2
Versión
1
Message
Type
1
Puede considerarse como un cambio de topología cuando un switch mueve
un puerto al estado de enviando o lo hace desde el estado enviando o aprendiendo
www.FreeLibros.com
© RA-MA
CAPÍTULO 14. STP
359
al estado bloqueando. El switch envía las BPDU TCN a través de su puerto root
para que lleguen al root bridge para informar del cambio de topología. Si un puerto
estuviese configurado como port fast no enviaría las BPDU TCN. El switch
continúa enviando estas BPDU en intervalos de helio hasta recibir un ACK desde
su vecino. Cuando los vecinos reciben las BPDU TCN las propagan hacia el root
bridge y envían sus propias ACK. Lo mismo ocurre con el root bridge, pero
además éste agrega una bandera o etiqueta llamada topology change para señalizar
el cambio de topología. Esta información sirve para que todos los otros switch
acorten los temporizadores de 300 segundos al tiempo del Forward delay, que son
15 segundos. Esta condición tiene el efecto de eliminar las tablas MAC mucho más
rápido de lo que es normalmente.
Cambios de topologías directos: son aquellos que pueden ser detectados
directamente en una interfaz de un switch, por ejemplo un enlace trunk que se cae,
los switches de ambos extremos pueden detectar el fallo. La ausencia de este enlace
cambia la topología de bridging y otros switches de la red deben ser notificados
para que asuman los cambios de la nueva topología.
Cambios de topologías indirectos: son cuando se produce un fallo que no
involucre directamente a los puertos del switch pero que afecta al funcionamiento
de la topología, por ejemplo un firewall del proveedor entre el enlace. El efecto
final será que las BPDU no pueden llegar al destino. STP puede detectar y
recuperarse de fallos indirectos gracias a los mecanismos de los temporizadores.
Aunque los enlaces permanecen activos las BPDU son filtradas en algún punto.
Como resultado del fallo indirecto, la topología no cambia directamente, la
ausencia de BPDU provoca el inicio de los temporizadores. El Max Age puede ser
de 20 segundos a lo que se le suma el tiempo hasta que la siguiente BPDU de
configuración es recibida (2 segundos), más el tiempo de retardo del puerto en los
estados escuchando (15 segundos) y aprendiendo (15 segundos), sumando un total
de 52 segundos.
Cambios de topologías insignificantes: un puerto de un switch en capa de
acceso conectado directamente a un usuario que cambia de' estado provoca que el
switch deba informar al root de los cambios en la topología. El proceso de
notificación de STP se inicia. A pesar del cambio en la topología las
modificaciones no alteran el funcionamiento del bridging STP. Las tablas en los
switch son modificadas eliminando las entradas en desuso. En principio esto no
causaría ningún problema en el desempeño de la red, pero en redes grandes muchos
altibajos en los puertos por apagados y encendidos de terminales generarán
recálculos en las tablas, envíos innecesarios de broadcast y de paquetes unknown
unicasts, degradando el funcionamiento de la red.
www.FreeLibros.com
360
REDES CISCO. CCNP a Fondo
©RA-MA
Los dispositivos Catalyst poseen un mecanismo de prevención llamado
port fast que se configura en los puertos para dispositivos finales, evitando el
envío de las BPDU TCN cuando existe algún cambio en el estado del puerto.
T IP O S D E S T P
Common Spanning Tree: el estándar IEEE 802.1Q especifica cómo las
VLAN pueden ser puestas en trunk entre switch, también especifica sólo una
instancia de STP que abarca todas las VLAN, a esta instancia se la conoce como
CST (Common Spanning Tree).
Todas las BPDU son transmitidas sobre los trunk utilizando la VLAN
nativa sin etiquetar las tramas. Con una sola instancia STP para muchas VLAN
simplifica la configuración del switch y reduce la utilización de CPU y los cálculos
de STP, pero tener sólo un instancia también tiene ciertas limitaciones. Los enlaces
redundantes entre switch serán bloqueados por lo que no hay posibilidades de hacer
balanceo de carga.
Per-VLAN Spanning Tree: Cisco posee un versión propietaria de STP
que ofrece mayor flexibilidad que la versión estándar que es el PVST, el cual opera
una instancia STP por cada una de las VLAN. Esto permite que cada instancia de
STP se configure independientemente ofreciendo mayor rendimiento y
optimizando las condiciones. Al tener múltiples instancias de STP es posible el
balanceo de carga en los enlaces redundantes cuando son asignados a diferentes
VLAN.
Per-VLAN Spanning Tree Plus: es una segunda versión propietaria que
Cisco tiene de STP que permite interoperar con PVST y CST. El PVST+ es
soportado por los switches Catalyst que ejecuten PVST, PVST+ y CST sobre
802.1Q.
PVST+ actúa como un traductor entre grupos de switches CST y grupos
PVST. PVST+ se comunica directamente con PVST con trunk ISL, mientras que
con CST intercambia BPDU como tramas no etiquetadas utilizando la VLAN
nativa. Las BPDU de otras instancias STP (otras VLAN) son propagadas a través
de la porción de CST de la red mediante el trunk. PVST+ envía las BPDU
utilizando una dirección única de multicast.
www.FreeLibros.com
CAPÍTULO 14. STP
© RA-MA
361
CONFIGURACIÓN DE STP
Los cálculos de STP son predecibles, pero existen otros factores que
podrían influenciar en las decisiones de STP haciendo que el resultado no sea el
ideal. Uno de los principales ajustes que se pueden hacer en STP es elegir la
determinación del root bridge dentro de la red.
También se podrían configurar enlaces redundantes para el balanceo de
carga en paralelo como así también que STP converja mas rápidamente y de
manera previsible ante un evento inesperado o cambio de topología.
Por defecto STP está habilitado para todas las VLAN y en todos los
puertos del switch. Si alguna instancia de STP ha sido deshabilitada puede
rehabilitarse con el siguiente comando:
S w i t c h (config)#
spanning-tree vían vlan-id
De la misma manera si es necesario rehabilitar STP en una VLAN o un
puerto determinado:
Switch (config-if)# spanning-tree vían vlan-id
Ubicación del switch raíz
Aunque STP puede funcionar sin necesidad de tener que elegir la situación
del root bridge, ésta es una de las determinaciones que se deben tener en cuenta
antes de comenzar a configurar el protocolo.
El root bridge es elegido como un punto de referencia común dentro de la
red y todos los demás switches tienen conectados sus puertos con el mejor coste
hacia él. La elección también está basada en que el root bridge puede convertirse
en el punto central de la red que interconecta otros segmentos de la red. En
definitiva el root bridge puede estar soportando muchas cargas de conmutación. Si
la elección del root bridge se deja a criterio del propio STP puede ocurrir que dicha
elección no sea la mejor. Un switch más lento o antiguo que deba soportar grandes
cargas de tráfico no es el candidato ideal para serlo.
La elección del root bridge está basada en el switch que tenga el menor
bridge ID, compuesto por la prioridad y la dirección MAC teniendo en cuenta que
por defecto la prioridad es la misma en todos los switches.
www.FreeLibros.com
362
REDES CISCO. CCNP a Fondo
©RA-MA
Una MAC baja correspondiente a un switch no deseado determinará que
éste sea el root bridge.
Si todos los switches se dejan configurados con sus valores por defecto
sólo es elegido un root bridge, lo cual no deja claro cuál será el root bridge de
respaldo en caso de fallos, por lo tanto la redundancia también es un factor a tener
en cuenta.
La siguiente figura muestra una porción de una típica red de campus de
modelo jerárquico:
Switch A
32768
0O-0O-0C-07-AC-0A
Switch B
32768
00-00-0C-07-AC-0B
El switch A y el switch B son los dispositivos de acceso mientras que el
switch C y el switch D forman el core y el switch E conecta una granja de
servidores al core de la red.
La mayoría de los switches tienen enlaces redundantes hacia otras capas de
la jerarquía, el switch B sólo tiene una conexión hacia el core.
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
363
Este switch está pendiente de actualizarse donde un nuevo enlace se
configurará hacia el core. Siguiendo los parámetros de configuración por defecto el
switch A se convertirá en el root bridge porque tiene la MAC más baja ya que la
prioridad es igual para todos los switches (32768).
La siguiente figura muestra el estado de convergencia de STP:
Switch A
32768
O0-OQ-OC-O7-AC-OA
Switch B
32768
00-00-QC-07-AC-0B
El switch A ha sido elegido root bridge aunque no puede tomar ventaja de
los enlaces de 1 Gbps que tienen conectados los demás switches. Los puertos en
estado bloqueando, identificados con una X, no transmiten tráfico.
Finalmente la siguiente figura muestra la misma red sólo con los enlaces
funcionales, donde se observa la estructura de STP final.
www.FreeLibros.com
364
REDES CISCO. CCNP a Fondo
Switch A
32768
OO-0O-OC-O7-AC-OA
©RA-MA
Switch B
32768
00 -00 -0 C -0 7 -A C -0 B
El root bridge elegido es un dispositivo de la capa de acceso, las estaciones
de trabajo del switch A pueden alcanzar los servidores en el switch E cruzando la
capa de core. Sin embargo las estaciones de trabajo conectadas al switch B tienen
que cruzar la capa de core, volver a la capa de acceso regresar nuevamente al core
para alcanzar al switch E.
El resultado final no es el más eficiente, el switch A al ser un dispositivo de
acceso no es un switch que pueda soportar demasiado tráfico y además sus enlaces
son lentos.
Configuración del switch raíz
Para prevenir lo sucedido en el ejemplo anterior es necesario llevar a cabo
dos acciones:
1. Configurar un switch adecuado como el root bridge.
2. Configurar otro switch como root de respaldo en caso de que el
primero falle.
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
365
Como punto de referencia común ambos dispositivos deberían estar
ubicados cerca del centro de la red, por ejemplo un switch de capa de distribución
podría desempeñar un mejor papel que otro en la capa de acceso. En caso de tener
una red plana, un switch cerca de la granja de servidores sería la mejor opción
como root bridge.
Para configurar un switch Catalyst como root bridge se pueden utilizar los
siguientes métodos:
•
Manualmente configurando la prioridad, de manera que tenga un valor
menor que el resto, para que gane la elección. Obviamente se debe conocer
el valor de prioridad de todos los demás switches. El comando para esta
acción es el siguiente:
Switch(config)# spanning-tree vían vlan-list priority bridgepriority
El valor bridge-priority es por defecto 32768, pero el rango de
configuración va desde 0 a 65535. En caso de que esté habilitado el system
ID extendido de STP la prioridad por defecto será 32768 más el número de
VLAN. En este último caso el rango estará comprendido entre 0 y 61440
pero sólo se podrán utilizar múltiplos de 4096. Cuanto más baja la
priorio id mejor. Los switches Catalyst sólo ejecutan una instancia STP por
cada V j^AN (PVST+), siempre se debería configurar un root bridge
apropiado para cada VLAN. El siguiente comando configura la prioridad
para la VLAN 5 y la VLAN 100 a un valor de 4096:
Switch(config)# spanning-tree vían 5,100 priority 4096
•
Es posible hacer que el propio switch tome la determinación de prioridad
para ser el root bridge basándose en ciertas condiciones del resto de los
switches de la red. Para llevar a cabo esta función se utiliza el comando
siguiente:
Switch(config)# spanning-tree vían vlan-id root {primary |
secondary} [diameter diameter]
Este comando es una macro que ejecuta otros comandos, es decir, que el
switch busca en la topología activa en la red quién es el root bridge y se
autoconfigura una prioridad menor de la que éste tiene. Esto hace que al
utilizar el parámetro primary el switch se convierta en root bridge (utiliza
una prioridad de 24576), mientras que con el parámetro secondary la
prioridad alcanza un valor de 28672.
www.FreeLibros.com
366
REDES CISCO. CCNP a Fondo
©RA-MA
Como ejemplo final se muestra en la siguiente sintaxis la salida de un
switch que está usando su prioridad por defecto para la VLAN 100. En el modo
extendido system ID la prioridad será entonces 32868, es decir, 32768 más 100 del
número de VLAN.
Switch# show spanning-tree vían 100
VLAN0100
Spanning tree enabled protocol ieee
Root ID
Priority
4200
Address 000b.5f65.lf80
Cost 4
Port 1 (GigabitEthernetO/l)
Helio Time 2 sec Max Age 2 0 sec Forward Delay 15 sec
Bridge ID Priority 32868 (priority 32768 sys-id-ext 100)
Address 000c.8554.9a80
Helio Time 2 sec Max Age 2 0 sec Forward Delay 15 sec
Aging Time 300
La prioridad por defecto es mayor que el actual root bridge, de tal manera
que este switch no puede convertirse en root bridge. Ahora se configura con el
método automático para intentar que esta situación cambie:
Switch(config)# spanning-tree vían 100 root primary
% Failed to make the bridge root for vían 100
% It may be possible to make the bridge root by setting the priority
% for some (or all) of these instances to zero.
El método ha fallado, la prioridad del actual root bridge es de 4200 y
debido a que esa prioridad es menor que 24576 el switch local tratará de poner su
propia prioridad a menos de ese valor. Aunque la prioridad resultante es 104 la
configuración de system ID extendido requiere que este valor sea múltiplo de 4096
y sólo hay un valor que podría funcionar que es 0. Este mecanismo automático no
puede usar dicho valor. Finalmente habrá que buscar otras alternativas de
configuración como configurar esa prioridad de 0 manualmente:
Switch(config)# spanning-tree vían 100 priority 0
En este ejemplo la prioridad resultante al estar utilizando system ID
extendido será de 100 (prioridad 0 más VLAN ID 100).
Switch# show spanning-tree vían 100
VLAN0100
Spanning tree enabled protocol ieee
Root ID
Priority 100
Address 000c.8554.9a80
This bridge is the root
Helio Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 100 (priority 0 sys-id-ext 100)
www.FreeLibros.com
CAPÍTULO 14. STP
© r A-MA
367
Address 000c.8554.9a80
Helio Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
OPTIMIZACIÓN DEL FUNCIONAMIENTO DE STP
La decisión más importante en el diseño de STP es la ubicación del root
bridge, otras decisiones, como por ejemplo un camino libre de bucles, ocurrirán
luego de ejecutarse el mecanismo de STP. Existirán razones especiales donde esos
caminos necesiten una mejora u optimización adicional.
Como se explicó en párrafos anteriores los criterios de elección se llevan a
cabo según:
•
El menor bridge ID
•
El menor root path cost
•
El menor sender bridge ID
•
El menor sender port ID
Mejorando la configuración del root path cost
El root path cost para cada puerto en el switch es determinado por los
costes acumulativos a medida que las BPDU van viajando. Cuando un switch
recibe una BPDU el coste del puerto que recibe se suma a root path cost de esa
BPDU. El valor por defecto es inversamente proporcional al ancho de banda del
puerto, este valor es confígurable.
Antes de modificar el root path cost de los switch se debería calcular el
root path cost de todos los enlaces alternativos. Estos cambios deben hacerse con
mucha precaución.
El siguiente comando sirve para modificar el coste de un puerto:
Switch (config-if)# spanning-tree [vían vlan-id] cost cost
Si el parámetro vían es utilizado, entonces el coste del puerto es
modificado únicamente para esa VLAN en particular, de lo contrario el coste se
modifica para todas las VLAN de ese puerto. El coste tiene un rango 1 hasta
65535. Hay unos valores estándar que corresponden al ancho de banda del puerto.
www.FreeLibros.com
368
REDES CISCO. CCNP a Fondo
©RA-M a
Ancho de banda
Coste antiguo
de STP
Coste actual
de STP
4 Mbps
250
250
10 Mbps
100
100
16 Mbps
63
62
45 Mbps
22
39
100 Mbps
10
19
155 Mbps
6
14
622 Mbps
2
6
1 Gbps
1
4
10 Gbps
0
2
El siguiente ejemplo cambiará el coste de los puertos de la VLAN 10 a un
valor de 2:
Switch(config-if)# spanning-tree vían 10 cost 2
Para ver el coste de una interfaz se puede utilizar el siguiente comando:
Switch# show spanning-tree interface type mod/num [cost]
Switch# show spanning-tree interface gigabitEthernet 0/1
Vían
Role Sts Cost Prio.Nbr Type
VLAN0001
VLAN0010
VLAN0020
Root
Desg
Root
FWD 4
FWD 2
FWD 4
128.1
128.1
128.1
P2p
P2p
P2p
Mejorando la configuración del port ID
El último criterio en la decisión de STP es el port ID. Éste es el
identificador del puerto que utiliza el switch y que tiene un valor de 16 bits de los
cuales 8 bits corresponden a la prioridad y 8 bits al número del puerto. La prioridad
del puerto es un valor entre 0 y 255 y que por defecto para todos es de 128. El
número de puerto tiene un rango entre 0 y 255 y representa la ubicación física del
puerto real. Los números de puerto comienzan con 1 en los puertos 0/1 y se van
www.FreeLibros.com
CAPÍTULO 14. STP
© RA-MA
369
incrementado a través de cada módulo y es un valor fijo ya que se basa en la
localización del hardware del switch. Dependiendo de los módulos utilizados los
números de puerto no tienen por qué ser consecutivos.
El port ID puede modificar la decisión de STP a través de la prioridad, el
siguiente comando modifica ese parámetro:
Switch
(config-if )# spanning-tree [vían vlan-list] port-priority
p o rt-p rio rity
Se puede modificar la prioridad del puerto para una o más VLAN
utilizando el parámetro vían a través de un rango de valores separados por comas
de lo contrario la prioridad del puerto se aplica a todas las VLAN. Un valor de
prioridad menor indica un grado de preferencia o mejor camino hacia el root
bridge.
El siguiente ejemplo cambiará la prioridad del puerto 3/16 de 128 a 64 para
las VLAN 10 y 100. Los cambios pueden observarse en la sintaxis más abajo:
S w i t c h (config)# interface gigabitethernet 3/16
Switch(config-if )# spanning-tree vían 10,100 port-priority 64
Switch# show spanning-tree interface gigabitEthernet 3/16
Vían Role Sts Cost Prio.Nbr Type
VLAN0010 Desg FWD 4 64.144 Edge P2p
VLAN0100 Desg FWD 4 64.144 Edge P2p
VLAN0200 Desg FWD 4 128.144 Edge P2p
Mejorando la convergencia se STP
STP utiliza varios temporizadores, una secuencia de estados a través de los
cuales los puertos deben pasar y unas condiciones de cambios de topologías
específicas para prevenir los bucles de capa 2. Cada uno de estos 3 parámetros está
configurado con valores por defecto y para un tamaño de red específico. En la
mayoría de los casos la operación por defecto de STP es suficiente para mantener
la red libre de bucles. Existen otras situacionesdonde sólo la utilización de los
parámetros por defecto de STP puede retrasar eldesempeño de la red al tener que
esperar que los temporizadores expiren sus tiempos. Por ejemplo, cuando una
terminal se conecta a un puerto del switch no puede generar ningún bucle de red.
Otra situación tiene que ver con el tamaño de la red de capa 2. En una red pequeña
los valores de los temporizadores por defecto pueden retrasar su funcionamiento
por lo que deberían ser configurados con valores más pequeños. Estas u otras
situaciones son las que necesitan una modificación de los temporizadores STP.
www.FreeLibros.com
370
REDES CISCO. CCNP a Fondo
©RA-MA
La modificación manual de los temporizadores puede llevarse a cabo con
los siguientes comandos:
Switch(config)# spanning-tree [vían vlan-id] helio-time seconds
Switch(config)# spanning-tree [vían vlan-id] forward-time seconds
Switch(config)# spanning-tree [vían vlan-id] max-age seconds
Estos temporizadores pueden se modificados para una sola instancia STP
con el parámetro vlan-id o para todas si este parámetro es omitido.
El temporizador helio es el que regula el envío las BPDU desde el root
hacia todos los demás switch. Este temporizador también configura el intervalo de
tiempo en el que el switch espera escuchar helio de sus vecinos. Las BPDU de
configuración por defecto se envían cada 2 segundos, para modificar este
parámetro el rango posible es de 1 a 10 segundos.
El temporizador forward delay determina la cantidad de tiempo en que el
puerto está en los estados escuchando y aprendiendo antes de pasar al estado de
enviando. Este valor por defecto es de 15 segundos y puede modificarse con el
parámetro forward delay, entre 4 y 30 segundos. Este temporizador debe ser
configurado con especial atención, porque de éste depende la propagación de las
BPDU a través de los switches. Valores inadecuados dependiendo del tamaño de la
red pueden permitir la creación de bucles en la red.
El temporizador max age especifica el tiempo de vida de una BPDU
almacenada que ha sido recibida en un puerto designado. Aun así las BPDU son
también recibidas en puertos no designados en los tiempos específicos. Si un fallo
en el envío de las BPDU ajeno a la red, como el filtrado por ACL o firewall, el
switch que est,a recibiendo espera que el temporizador max age termine para
escuchar otras BPDU. A partir de este mecanismo el puerto no designado pasa al
estado aprendiendo, el puerto pasa a ser el designado y se reestablece la
conectividad en el segmento. Para modificar el valor por defecto de este
temporizador de 20 segundos se utiliza el parámetro max age entre 6 y 40
segundos.
La configuración de los temporizadores de STP puede realizarse también
automáticamente. Los switches Catalyst utilizan el siguiente comando para la
configuración automática de los temporizadores
Switch(config)# spanning-tree vían vlan-list root {primary
secondary} [diameter diameter [helio-time helio-time]]
|
Los temporizadores de STP serán ajustados acorde a la especificación
IEEE 802.ID con sólo indicar el diámetro de la red tomado como el número
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
371
máximo de switch que el tráfico debe atravesar en la red de capa 2. Este rango
puede variar desde 1 a 7 switches. El parámetro helio time es opcional, cuyo valor
por defecto es de 2 segundos.
El siguiente ejemplo configura un helio time de 1 segundo, más abajo se
muestra el resultado en un comando show:
S w i t c h
(config)# spanning-tree vían 100 root primary diameter 3
helio-time 1
Switch# show spanning-tree vían 100
VLAN0100
Spanning tree enabled protocol ieee
Root ID Priority 100
Address 0 0 0 c .8554.9a80
This bridge is the root
Helio Time 1 sec Max Age 7 sec Forward Delay 5 sec
Bridge ID Priority 100 (priority 0 sys-id-ext 100)
Address 000c.8554.9a80
Helio Time 1 sec Max Age 7 sec Forward Delay 5 sec
Aging Time 300
C O N V E R G E N C IA D E E N L A C E S R E D U N D A N T E S
Existen métodos adicionales que hacen que la convergencia STP sea más
rápida en casos de fallos del enlace. Estos métodos son los siguientes:
•
Port Fast, habilita conectividad rápida para los puertos conectados
a estaciones de trabajo o equipos terminales mientras éstos están
inicializando.
•
Uplink Fast, habilita el enlace uplink rápido del switch en la capa
de acceso cuando existen conexiones duales hacia la capa de
distribución.
•
Backbone Fast, habilita una rápida convergencia en el core de la
red después de que un cambio de topología ocurre en STP.
Port fast: una estación de trabajo de usuario final está conectada a un
puerto de un switch en la capa de acceso. Si la estación de trabajo se apaga y se
enciende el switch, verifica el cambio de estado del puerto lo que significa que éste
no será utilizable hasta que los tiempos permitan que pase desde el estado de
bloqueando a enviando. Con los temporizadores por defecto de STP esa transición
lleva al menos 30 segundos, es decir, que la estación de trabajo no podrá enviar ni
www.FreeLibros.com
372
REDES CISCO. CCNP a Fondo
© r a -m a
recibir datos hasta que transcurra dicho período. Para el caso de que se esté
empleando un enlace EtherChannnel con PAgP habrá que sumarle unos 20
segundos más.
En puertos de switch que conectan sólo hacia simples estaciones de trabajo
los bucles de capa 2 nunca serán posibles. Los switches Catalyst ofrecen la
característica port fast la cual baja los tiempos de cambio de estado de STP.
Cuando el enlace de la estación de trabajo se levanta en el puerto port fast, el
switch mueve inmediatamente el estado del puerto a enviando. Una de las
características más ventajosas es que las BPDU TCN no son enviadas ante los
cambios de estado de los puertos configurados como port fast.
Por defecto port fast está deshabilitado en todos los puertos. Para
configurarlo a todos los puertos de acceso se puede utilizar el siguiente comando:
Switch(config)# spanning-tree portfast default
Para deshabilitarlo bastará con anteponer un no delante del comando. Es
evidente que un puerto conectado a un dispositivo de capa 2 o a un hub no debe
tener habilitada esta opción.
De la misma manera se puede configurar la característica port fast en
algún puerto específico con la siguiente serie de comandos:
Switch(config)# interface type mod/num
Switch(config-if)# switchport host
switchport mode will be set to access
spanning-tree portfast will be enabled
channel group will be disabled
La verificación del estado del puerto puede hacerse con el siguiente
comando, más abajo se muestra la sintaxis de un ejemplo:
Switch# show spanning-tree interface type mod/num portfast
Switch# show spanning-tree interface fastethernet 0/1 portfast
VLAN0010 enabled
Uplink Fast: tomando como ejemplo un switch de la capa de acceso que
tiene Uplink o enlaces redundantes hacia los switches de distribución.
Normalmente un sólo enlace estará en estado enviando mientras que el otro estará
en estado bloqueando. En el caso de fallo en el primer enlace habrá que esperar 50
segundos antes de que el puerto del enlace redundante pudiera ser utilizado.
www.FreeLibros.com
© .
CAPÍTULO 14. STP
ra -m a
373
La característica de Uplink Fast permite mantener uno de los puertos en el
estado de envío y los demás en el estado de bloqueando pero preparados para ser
utilizados inmediatamente en el caso de que el primero falle.
El siguiente comando habilita esta característica:
(config)# spanning-tree uplinkfast
second]
S w i t c h
[max-update-rate pkts-per-
Cuando se habilita Uplink Fast se hace para todos los puertos y todas las
VLAN. Mantiene un registro de todos los posibles caminos hacia el root bridge.
Este comando no está permitido en el root bridge y mantiene el switch configurado
en el extremo de la capa de acceso no permitiendo que sea root en ningún
momento.
La prioridad del switch es elevada a 49152 haciendo que su elección como
root bridge sea prácticamente imposible. Incrementa el coste de los puertos hasta
3000 para que no sean caminos deseados hacia el root por otros switch que
estuvieran por debajo de éste.
El switch avisa del nuevo estado de los enlaces enviando tramas multicast
con destino 0100.0ccd.cdcd en lugar de las estaciones contenidas en la tabla CAM.
De esta manera hace que los host aprendan las direcciones hacia el origen.
El siguiente es un ejemplo de un show spanning-tree uplinkfast
Switch# show spanning-tree uplinkfast
UplinkFast is enabled
Station update rate set to 150 packets/sec.
UplinkFast statistics
Number of transitions via uplinkFast (all VLANs) : 2
Number of proxy multicast addresses transmitted (all VLANs)
Ñame Interface List
: 52
VLAN0001 GiO/1(fwd)
VLAN0010 GiO/1(fwd)
VLAN0100 GiO/1(fwd)
Backbone Fast: en el backbone de la red en la capa de core se utiliza un
método diferente para hacer que la convergencia STP sea mas breve. Backbone
Fast funciona manteniendo al switch constantemente comprobando si existen
caminos alternativos hacia el root bridge, para el caso de que se detecte un fallo de
un enlace indirecto. Estos fallos de enlaces indirectos ocurren cuando un enlace
que no está directamente conectado falla. Cuando el switch recibe una BPDU
inferior desde su bridge designado en su puerto raíz o en un puerto en el estado
www.FreeLibros.com
374
REDES CISCO. CCNP a Fondo
©RA-M a
bloqueando, detectará un fallo en un enlace indirecto. Las BPDU con un número de
secuencia inferior son enviadas por bridge designados que han perdido su conexión
hacia el root bridge y anunciándose a sí mismos como nuevos root bridge.
Normalmente un switch debe esperar que los temporizadores max age
expiren para responder a BPDU inferiores a la que ya se conocen. Pero con
Backbone Fast se puede determinar cuándo existen otros caminos alternativos
hacia el root bridge según los tipos de puertos que reciben las BPDU inferiores:
•
Si la BPDU inferior se recibe en un puerto que está en el estado
bloqueando el switch considera el root port y todos los demás
puertos en estado bloqueando como caminos alternativos hacia el
root bridge.
•
Si una BPDU inferior llega al root port, el switch considerará todos
los puertos que están en el estado bloqueando como caminos
alternativos hacia el root bridge.
•
Si la BPDU llega al root port y no existen puertos bloqueando, el
switch asume que ha perdido conectividad con el root bridge.
Backbone Fast permite estos mecanismos antes de que el
temporizador max age expire.
Detectar caminos alternativos hacia el root bridge involucra un proceso
interactivo con otros switches. Si el switch local tiene puertos bloqueados,
Backbone Fast utiliza el protocolo RLQ (Root Link Query) para verificar que los
switches que tiene por encima tienen conexiones establecidas hacia el root bridge.
Backbone Fast es simple de configurar y opera haciendo que el
temporizador max age sea más breve cuando es necesario. Pero aun con este
proceso los puertos deberán pasar por los estados escuchando y aprendiendo.
Finalmente el tiempo queda reducido de 50 a 30 segundos.
Para la configuración de Backbone Fast se utiliza el siguiente comando:
Switch(config)# spanning-tree backbonefast
Backbone Fast debe estar habilitado en todos los switches de la red debido
al requerimiento de peticiones RLQ para mantener informados a todos los switches
sobre la estabilidad de la red. El protocolo RLQ sólo funciona si Backbone Fast
está activo.
www.FreeLibros.com
CAPÍTULO 14. STP
© r A-MA
375
La verificación de Backbone Fast puede comprobarse con el siguiente
comando:
Switch# show spanning-tree backbonefast
R E S O L U C IÓ N d e f a l l o s e n s t p
Debido a que STP utiliza diferentes tipos de contadores y cálculos
dinámicos, predecir su estado es complejo. La información para resolver y verificar
el funcionamiento de STP puede verse en la siguiente tabla:
Comando
Función
Switch# show spanningtree
Muestra todos los parámetros
STP para todas las VLAN con
un resumen de la información
del puerto.
Switch# show spanningtree detail
Muestra todos los parámetros
STP para todas las VLAN con
la información del puerto muy
detallada.
Switch# show spanningtree [vían vlan-id]
summary
Muestra el estado STP de los
puertos del switch.
Switch# show spanningtree [vían vlan-id ] root
Identifica el Root Bridge ID, el
Root Port y el Root Path Cost.
Switch# show spanningtree [vían vlan-id]
bridge
Muestra el bridge ID y los
temporizadores STP del switch
local.
Switch# show spanningtree uplinkfast
Muestra el estado STP Uplink
Fast.
Switch# show spanningtree backbonefast
Muestra el estado
Backbone Fast.
www.FreeLibros.com
STP
376
REDES CISCO. CCNP a Fondo
©RA-MA
PROTECCIÓN DE LAS TOPOLOGÍAS STP
Protección contra BPDU inesperadas
Una red ejecutando STP utiliza las BPDU para la comunicación entre los
switches. De esta manera reconocen la existencia de los demás switches de la
topología. Una vez que el root bridge es elegido envía las BPDU hacia los demás
que confían en él. De manera eventual todos los switch del dominio STP reciben
las BPDU de tal forma que convergen estables y libres de bucles. Para mantener
esta topología de manera eficiente la ubicación del root bridge debe ser previsible.
Lo mejor es la configuración manual del mismo y además otro switch que pueda
tomar esa función si el primero falla.
Se debe tener en cuenta qué ocurriría si otro switch se conecta a la red de
manera que intente ser el nuevo root bridge y cuál es la manera de evitarlo.
Después de que la topología STP ha convergido y está libre de bucles, los
puertos del switch toman diferentes roles:
•
Root port, es el puerto raíz con el menor root path cost hacia el
root bridge.
•
Designated port, es el puerto designado de un segmento de LAN
que está más cerca del root. Este puerto es el que envía las BPDU
hacia abajo en el árbol de STP.
•
Blocking port, es el puerto en estado bloqueando, que no es ni
root ni puerto designado.
•
Alternate port, es un puerto alternativo candidato a ser root port,
también están cerca del root bridge pero en estado bloqueando.
Están preparados para ser utilizados ráridamente por la
característica de STP Uplink Fast.
•
Forwarding port, son puertos en estado de enviando donde no se
espera otra actividad STP, son las conexiones finales a los
usuarios.
El root bridge siempre se espera detectarlo en los puertos raíz o en los
puertos alternativos porque son los que están más cerca de él. En el supuesto caso
de que otro switch sea introducido en la red con una prioridad mejor que la que
posee el actual root, podría llegar a convertirse en el nuevo root bridge y la
topología podría converger en una nueva forma. Esto es válido para STP porque el
switch con el menor ID siempre ganará la elección de root.
www.FreeLibros.com
©RA-MA
CAPÍTULO 14. STP
377
Esto no siempre es lo deseable, la nueva topología STP podría ser
inadecuada, mientras que a su vez la reconvergencia de la red haría que estuviese
indisponible durante un determinado período.
La característica Root Guard ñie desarrollada para controlar cuándo los
candidatos a ser root bridge se conectan en la red. Básicamente un switch aprende e
identifica la bridge ID del root si otro switch anuncia una mejor. Donde Root
Guard está habilitado el switch local no permitirá al nuevo switch que se convierta
en root, mientras que BPDU superiores están llegando a ese puerto, éste mantendrá
un estado inconsistente STP. En este estado no se podrá enviar ni recibir datos pero
se pueden recibir BPDU para detectar un nuevo anuncio del root. Básicamente lo
que hace Root Guart es que un puerto solamente pueda enviar BPDU pero no
recibirlas. Previene que un puerto se convierta en puerto raíz donde normalmente
las BPDU podrían ser recibidas desde el root bridge.
Esta característica está deshabilitada por defecto y se habilita únicamente
por puerto utilizando el siguiente comando:
Switch(config-if )# spanning-tree guard root
Cuando las BPDU superiores no son recibidas el puerto vuelve a pasar por
los estados STP y regresa a su estado normal. La utilización de Root Guard afecta a
todas las VLAN asociadas al puerto, es recomendable configurarlo en los puertos
donde nunca se espera un root bridge para alguna de esas VLAN.
Para ver el estado inconsistente de un puerto puede hacerse con el siguiente
comando:
Switch# show spanning-tree inconsistentports
Cuando Port Fast es habilitado no se espera encantar ningún dispositivo
que genere BPDU, es decir, nada que pueda provocar un bucle. Cuando por error
se conecta un switch a un puerto en el que se ha habilitado Port Fast, existe un
problema potencial de que se genere un bucle y aún más cuando el nuevo switch se
anuncia como posible root bridge. La característica BPDU Giuard fue creada para
garantizar la integridad de los puertos del switch Port Fast para que si alguna
BPDU es recibida, el puerto se ponga inmediatamente en estado errdisable. El
puerto pasa a una condición de error y es desactivado, teniendo que ser
manualmente rehabilitado o automáticamente recuperado a través de la función de
un temporizador.
www.FreeLibros.com
378
REDES CISCO. CCNP a Fondo
©RA-MA
Por defecto BPDU Guard está deshabilitado en todos los puertos del
switch pudiendo configurarse con el siguiente comando:
Switch(config)# spanning-tree portfast bpduguard default
Switch(config-if)# spanning-tree bpduguard enable
Los puertos que tienen Port Fast habilitado también tendrán BPDU Guard
habilitado.
Como en la mayoría de los comandos para desactivar BPDU Guard bastará
con anteponer un no a la línea de comandos, por ejemplo para un puerto
determinado:
Switch(config-if)# no spanning-tree bpduguard enable
Se debería configurar BPDU Guard en todos los puertos con Port Fast para
prevenir que un switch pueda ser añadido a ese puerto de manera intencionada o
por error. La capa de acceso es un ejemplo de utilización de este mecanismo.
Protección contra la pérdida repentina de BPDU
Cisco tiene dos características que ayudan a detectar y prevenir la pérdida
inesperada de BPDU:
•
Loop guard
•
Unidirectional Link Detection (UDLD)
Suponiendo que un Puerto del switch esté recibiendo BPDU y que su
estado sea bloqueando, este puerto constituye un camino redundante. El estado
bloqueando indica que no es puerto raíz ni puerto designado y que permanecerá en
ese estado mientras un flujo estable de BPDU sea recibido. Si las BPDU están
siendo enviadas por un enlace y el flujo se detiene por alguna razón, la última
BPDU conocida se mantiene hasta que el temporizador Max Age expire. Entonces
la BPDU es eliminada y el switch interpreta al no recibir más BPDU que no existe
otro dispositivo conectado. El switch comienza a mover el puerto por los estados
de STP hasta iniciar el movimiento de tráfico lo que potencialmente podría generar
un bucle de capa 2. Para prevenir esta situación se puede habilitar la característica
de STP Loop guard.
Una vez funcionando, Loop guard, mantiene un registro de la actividad de
los puertos no designados. Mientras las BPDU se reciben se permite un
comportamiento del puerto siguiendo los procesos normales de STP. Cuando las
BPDU se pierden Loop guard mueve el puerto a un estado llamado loop
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
379
¡n c o n siste n t. El puerto es bloqueado para prevenir que se formen bucles y
mantener el puerto en su rol de no designado.
Cuando las BPDU no son recibidas en el puerto, permite que el puerto pase
por los estados STP y se convierta en un puerto activo, de manera que proporciona
un mecanismo automático sin intervención manual.
Por defecto Loop guard está deshabilitado en todos los puertos, el siguiente
comando lo configura de manera global:
S w i t c h (config)#
spanning-tree loopguard default
De la misma manera se puede habilitar o deshabilitar en cada puerto:
S w i t c h (config-if)# [no] spanning-tree guard loop
Aunque su configuración se aplica para todo el puerto Loop guard no
bloquea el puerto completo sino que lo hace por VLAN. Se puede habilitar en
todos los puertos del switch sin importar sus funciones, el switch averigua qué
puertos son no designados y monitoriza la actividad de las BPDU para mantenerlos
en ese estado. Los puertos designados son los puertos raíz, los puertos designados y
los puertos que normalmente están en estado bloqueando.
En una red de campus los switches están conectados por enlaces
bidireccionales donde el tráfico puede fluir en dos direcciones. Si un enlace tiene
un problema físico los dos switches que interconecta el enlace detectan el problema
apareciendo como no conectado. Pero si sólo una parte del enlace, ya sea
transmisor o receptor, tuviera un fallo atípico, como el mal funcionamiento de un
transceptor, los switches podrían ver que el tráfico fluye en ambas direcciones
cuando en realidad el enlace está estropeado y el tráfico fluye sólo en una
dirección. Este problema se conoce como unidirectional link.
Un link unidireccional tiene un peligro potencial en las topologías STP
haciendo que las BPDU no sean recibidas en uno de los extremos del enlace.
Cuando un puerto no recibe BPDU interpreta de forma segura que puede avanzar
entre los estados de STP hasta terminar enviando tráfico. Cuando esto ocurre en un
enlace bidireccional se forma un bucle y el switch nunca se dará cuenta del error.
Cisco ofrece una solución propietaria UDLD (UniDirectional Link
Detection). Al estar habilitado UDLD monitoriza de manera activa el puerto para
ver si el enlace es realmente bidireccional. El switch envía tramas UDLD
especiales identificando el puerto en intervalos de tiempo regulares.
www.FreeLibros.com
380
REDES CISCO. CCNP a Fondo
©RA-MA
UDLD espera que el switch responda a estas tramas por el mismo enlace, si
ambos extremos reciben la trama el enlace tiene que ser bidireccional. Si las tramas
que son respondidas no se ven, el enlace es unidireccional por algún otro motivo o
fallo. Para que el proceso de respuesta se produzca ambos extremos del enlace
deben estar configurados para UDLD.
Los mensajes UDLD se envían por defecto cada 15 segundos. El objetivo
final de UDLD es detectar enlaces unidireccionales antes de que STP tenga tiempo
de mover el puerto desde el estado de bloqueando hasta el estado de enviando. Por
lo tanto el tiempo debe ser inferior al temporizador max age más los intervalos de
forward delay. UDLD puede detectar un enlace unidireccional después de que los
mensajes UDLD sean perdidos durante 3 intervalos, es decir, 45 segundos.
UDLD tiene dos modos de operación:
•
Modo de operación UDLD normal: cuando un enlace
unidireccional es detectado se permite que el puerto continúe su
operabilidad, UDLD simplemente marca el puerto como en un
estado indeterminado y genera un mensaje en el syslog.
•
Modo de operación UDLD agresivo: cuando un enlace
unidireccional es detectado el switch toma una acción para
reestablecer el enlace. Básicamente el puerto es puesto en el estado
errdisable de manera que no podrá ser utilizado.
La configuración de UDLD puede hacerse por puerto o de manera global
para todos los puertos que sean de fibra óptica de cualquier tipo. Por defecto
UDLD esta deshabilitado en todos los puertos del switch, para configurarlos se
utiliza la siguiente sintaxis:
Switch(config)# udld {enable | aggressive | message time seconds}
Para uso normal se utiliza el parámetro enable, mientras que para el modo
agresivo se utiliza el parámetro aggressive. El último parámetro se utiliza para
poner el intervalo de los mensajes en un rango de entre 7 y 90 segundos.
Para habilitar o deshabilitar UDLD por puerto se utiliza el siguiente
comando:
Switch(config-if)# udld {enable | aggressive | disable}
Se puede habilitar de manera segura UDLD en todos los puertos del
switch, éste determinará cuáles son los puertos de fibra donde aplicarlo. Los
puertos de cobre no sufrirán las características que permiten los enlaces
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
381
unidireccionales. UDLD detecta la condición de unidireccionalidad en un enlace,
por lo tanto en un EtherChannel sólo el enlace donde se produce esta condición
será deshabilitado.
Filtros BPDU para deshabilitar STP
Normalmente STP opera en todos los puertos del switch en un esñierzo
para tratar de que no se formen los bucles de capa 2. Las BPDU son enviadas a
todos los puertos del switch, incluso en los que Port Fast está habilitado. Las
BPDU también pueden ser recibidas y procesadas si son recibidas por otro switch
de un dominio STP diferente. Aunque STP debería estar siempre ejecutándose, en
ciertos casos habrá que prevenir el envío de las BPDU o su proceso en uno o más
puertos del switch. Para conseguir este objetivo se puede utilizar filtrado de las
BPDU que por defecto está deshabilitado en todos los puertos del switch.
La configuración puede hacerse de manera global afectando de esta manera
a todos los puertos utilizando el siguiente comando:
Switch(config)# spanning-tree portfast bpdufilter default
Todos los puertos que tienen Port Fast habilitado también tendrán los
filtros BPDU habilitados. De la misma forma puede configurarse hacerse por
puertos:
Switch(config-if)# spanning-tree bpdufilter {enable | disable}
RESOLUCION DE FALLOS EN LA PROTECCIÓN DE
STP
Debido a que existen diversos métodos de protección de STP disponibles,
la siguiente tabla expone algunos de los comandos necesarios para la resolución y
análisis de fallos:
Comando
Función
Switch# show spanning-tree
inconsistentports
Lista los puertos que están en un
estado inconsistente.
Switch# show spanning-tree
interface type
mod/num [detail]
Muestra razones detalladas de
inconsistencias.
www.FreeLibros.com
382
REDES CISCO. CCNP a Fondo
©RA-MA
Switch# show spanning-tree
summary
Switch# show udld [type
mod/num]
Switch# udld reset
Muestra el estado de las BPDU.
Muestra el estado del UDLD en
uno o más puertos.
Rehabilita puertos que UDLD
agresivo ha puesto en errdisable.
RAPID SPANNING TREE PROTOCOL
RSTP está definido en el estándar IEEE 802.1W y fue desarrollado para
usar los conceptos principales del estándar 802.ID pero con un tiempo de
convergencia mucho más rápido. RSTP puede ser aplicado a una o múltiples
instancias, es decir a una o varias VLAN. Para aplicarlo a varias VLAN se utiliza
el mecanismo propietario de Cisco PVST+ de tal forma que con esta combinación
se consigue la versión rápida RPVST+.
RSTP también puede ser utilizado como parte de MST (Múltiple Spanning
Tree) del estándar 802.IS.
Funcionamiento de RSTP
En el estándar 802.ID, como se explicó en párrafos anteriores, cada puerto
del switch tiene diferentes roles y estados, sólo el estado enviando permite enviar y
recibir datos. El estado del puerto está vinculado con el rol que debe cumplir, un
puerto que está bloqueando no podrá ser nunca un puerto raíz o designado. RSTP
lleva a cabo una rápida convergencia dejando a cada switch interactuar con sus
vecinos a través de cada puerto. Esta interacción se lleva a cabo basándose en el rol
de cada puerto y no de manera estricta según las BPDU, que son enviadas desde el
root bridge. Luego de la determinación del rol cada puerto obtiene un estado que
indica que hacer con los datos que le llegan.
En una topología RSTP el root bridge se elige de la misma manera que en
el estándar 802.ID. Una vez que todos los switch están de acuerdo en la
identificación del root, se determinan los roles de los puertos que pueden ser los
siguientes:
•
Root port, es el puerto raíz con el menor root path cost hacia el root
bridge.
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
383
•
Designated port, es el puerto designado de un segmento de LAN que está
más cerca del root. Este puerto es el que envía las BPDU hacia abajo en el
árbol de STP.
•
Alternate port, es un puerto que tiene un camino alternativo hacia el root
y diferente del camino que utiliza el root port para llegar al root bridge.
Este camino es menos deseable que el root port.
•
Backup port, proporciona redundancia en un segmento donde otro switch
está conectado. Si este segmento común se pierde el switch no podría tener
otro camino hacia el root.
RSTP sólo define estados de puertos acorde a lo que el switch hace con las
tramas que le llegan. Un puerto puede tener algunos de los siguientes estados:
•
Descartando, las tramas de entrada simplemente son eliminadas, no se
aprende ninguna dirección MAC; este estado combina los estados
desconectado, bloqueando y aprendiendo del 802.ID.
•
Aprendiendo, las tramas que le llegan son eliminadas pero las direcciones
MAC quedan almacenadas.
•
Enviando, las tramas de entrada son enviadas acorde a la dirección MAC
que han sido aprendidas.
BPDU en RSTP
En STP las BPDU se originan en el root bridge y se envían a todos los
switches que están por debajo del árbol; debido a esta propagación de las BPDU la
convergencia en 802.ID tiene que esperar que se cumplan todas las condiciones
para hacerse efectiva. RSTP utiliza el mismo formato de BPDU para
compatibilidad con STP, pero algunos de los bits que no son utilizados en el campo
type ahora serán usados. El puerto del switches que esta enviando se identifica a sí
mismo por su rol y estado en RSTP, el campo de la versión de BPDU se pone a un
valor de 2 para distinguirlas de su antecesor. RSTP utiliza un proceso interactivo
mediante el cual dos switches vecinos pueden negociar cambios de estado. Algunos
de los bits de las BPDU se utilizan como identificadores en los mensajes durante
esta negociación.
Las BPDU se envían por todos los puertos del switch en los intervalos
helio sin importar si son recibidas o no desde el root. De esta manera cualquier
switch en cualquier ubicación de la red puede desempeñar un rol activo en el
mantenimiento de la topología. Los switches también pueden recibir BPDU de
manera regular desde sus vecinos. Cuando se pierden varias BPDU seguidas se
www.FreeLibros.com
3 84
REDES CISCO. CCNP a Fondo
©RA-MA
presume que el vecino ha caído y toda la información relativa de los puertos hacia
el vecino se elimina automáticamente. Esto significa que el switch puede detectar
un fallo en el vecino dentro de 3 veces el intervalo helio, por defecto 6 segundos,
en lugar de esperar que expire el tiempo del temporizador max age como en el caso
de STP 802. ID.
Debido a que RSTP distingue las BPDU 802.ID pueden coexistir ambas
versiones. Cada puerto intentará operar acorde a las BPDU de STP que recibe.
Existe un temporizador específico que mantiene el protocolo que ha escuchado el
puerto y no lo cambia hasta recibir otra versión de STP diferente.
Convergencia de RSTP
La convergencia de RSTP en una red es el proceso que demanda a los
switches pasar desde un estado de independencia a un estado de uniformidad en el
que todos los switches están de acuerdo sobre quién es el root y se crea una
topología libre de bucles.
La convergencia es un proceso de dos estados:
1. Un root bridge común debe ser elegido y todos los switches tienen
que tener conocimiento de él.
2. El estado de todos los puertos de cada uno de los switch en el
dominio de STP tiene que pasar desde el estado bloqueando al
estado apropiado para prevenir bucles.
La convergencia toma un tiempo porque los mensajes tienen que ser
propagados de switch a switch. El STP tradicional también requiere además que
varios temporizadores expiren para que los puertos puedan de manera segura
transmitir datos. RSTP tiene una manera diferente de operar, el switch toma la
decisión de enviar tráfico o no, basándose en el tipo de puerto.
Tipos de puertos
Cada puerto del switch puede ser reconocido como uno de estos tipos:
• Puerto frontera, éste es un puerto en el borde de la red.
Normalmente lo único
que conecta son terminales.
Tradicionalmente este tipo de puerto se ha identificado con la
característica port fast, RSTP mantiene el mismo concepto. En
este puerto no se puede crear un bucle ya que está conectado a un
host por lo tanto puede de manera inmediata pasar ál estado de
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
385
enviando, pero si por alguna razón se escuchan BPDU
automáticamente pierde su estado de último puerto o frontera
(edge).
•
Puerto raíz, es el puerto que tiene el mejor coste hacia el root en
la instancia de STP. Solamente un puerto raíz puede ser
seleccionado al mismo tiempo, aunque pueden existir varios
puertos alternativos. En el caso de la existencia de caminos
alternativos los puertos son identificados como puertos raíz
alternativos y pueden, de manera inmediata, enviar tráfico en el
caso de que el puerto raíz falle.
•
Puerto punto a punto, es cualquier puerto que conecte hacia otro
switch y se convierta en puerto designado. Un rápido
reconocimiento con el vecino define el estado del puerto en lugar
de los típicos temporizadores. El intercambio de las BPDU se
realiza de común acuerdo. Un switch propone que su puerto sea el
designado, si el otro switch está de acuerdo responde con un
mensaje de confirmación.
Los puertos punto a punto son determinados de manera automática por el
modo dúplex en uso. Los puertos full dúplex son considerados punto a punto
porque solamente 2 switches pueden pertenecer al enlace. La convergencia de STP
puede acontecer rápidamente en enlaces punto a punto a través de saludos de dos
vías RSTP entre los switches.
Los puertos half dúplex se considera que están en un medio compartido
con la posibilidad de que existan 2 o más switches, por lo que no serán puertos
punto a punto. En estos casos se utiliza el sistema de convergencia tradicional STP
802.ID, por lo que los tiempos de convergencia son más elevados.
Sincronización
Para participar en la convergencia de RSTP un switch debe decidir el
estado de cada uno de sus puertos. Los puertos que no son frontera comienzan en el
estado descartando, luego de que las BPDU se intercambian entre el switch y sus
vecinos se identifica el puerto raíz. Si un puerto recibe una BPDU desde un vecino
ese puerto es el raíz.
Para cada puerto que no sea frontera el switch intercambia un saludo de
dos vías en forma de “propuesta/acuerdo” para decidir el estado de cada extremo
del enlace, cada switch asume entonces que sus puertos deberían llegar a ser
www.FreeLibros.com
386
REDES CISCO. CCNP a Fondo
©
r a -m a
puertos designados para ese segmento. Un mensaje de propuesta sugiriendo este
mecanismo se envía a los vecinos del switch.
Cuando un switch recibe un mensaje de propuesta en un puerto ocurre lo
siguiente:
1.
Si la propuesta del que envía tiene una BPDU superior, el switch local se
da cuenta de que el que envía debe ser el switch designado y su puerto
toma el rol de nuevo puerto raíz.
2. Antes de que el switch esté de acuerdo debe sincronizarse a sí mismo con
la topología.
3. Todos los puertos que no sean frontera, son movidos inmediatamente al
estado descartando (bloqueando) de tal manera que no puedan formar
bucles.
4.
Se envía un mensaje de acuerdo de regreso al emisor indicando que el
switch está de acuerdo con la nueva elección del puerto designado.
Además se informa del proceso de sincronización a los demás switch.
5. El puerto raíz se pasa inmediatamente al estado enviando, pudiendo ya
enviar datos.
6. Por cada puerto que no sea frontera que está en estado descartando, envía
un mensaje de propuesta al vecino respectivo.
7. Un mensaje de acuerdo es recibido desde un vecino en un puerto que no
sea frontera.
8. El puerto que no es frontera inmediatamente se mueve al estado enviando.
www.FreeLibros.com
CAPITULO 14. STP
©RA-MA
387
La siguiente figura muestra este proceso:
1-Propuesta
4-Acuerdo
5-Enviando
2-Sincronizando
><
3-Bloqueando
7-Acuerdo
8-Enviando
La convergencia de RSTP comienza con un switch enviando un mensaje de
propuesta, el receptor de la propuesta debe sincronizarse el mismo para
efectivamente aislarse del resto de la topología.
Todos los puertos que no sean frontera son bloqueados hasta que
mensaje de propuesta pueda enviarse, causando que todos los vecinos
sincronicen a sí mismos. Este mecanismo crea una ola de sincronización en
switches en la que pueden decidir aceptar los enlaces si los vecinos están
acuerdo.
un
se
los
de
La siguiente figura muestra cómo la ola de sincronización viaja a través de
la red en 3 intervalos de tiempo sucesivos. Junto con la ola se aíslan los switches
previniendo de esta forma los bucles de red:
www.FreeLibros.com
388
REDES CISCO. CCNP a Fondo
©RA-MA
P ro p u e s ta
Todo el proceso de convergencia pasa rápidamente a la velocidad de la
transmisión de las BPDU sin necesidad de temporizadores, un puerto designado
que envía un mensaje de propuesta podría no recibir un mensaje de acuerdo. Si el
switch vecino no entiende RSTP o tiene un problema en responder, el switch que
está enviando tendrá que seguir los parámetros de STP 802.ID. El puerto debe
moverse a través de los estados escuchando y aprendiendo antes de enviar datos.
Cambios de topología en RSTP
RSTP detecta un cambio de topología sólo cuando un puerto que no es
frontera pasa al estado enviando. RSTP utiliza todos sus mecanismos de
convergencia para prevenir rápidamente los bucles de red. Los cambios de
topologías son detectados de tal forma que las tablas de bridging son actualizadas y
corregidas en los puertos que han cambiado de estado.
Cuando el cambio de topología se detecta, el switch propaga los nuevos
cambios a otros switch en la red, de tal manera que puedan, actualizar también sus
tablas de bridging. Este proceso es similar al mecanismo de convergencia y
sincronización, los mensajes TC (Topology Change) se propagan a través de la red
en una ola expansiva.
www.FreeLibros.com
CAPÍTULO 14. STP
© RA-MA
389
Las BPDU con su bit TC configurado se envían a través de todos los
puertos designados que no sean frontera hasta que el temporizador TC expira (2
intervalos del temporizador helio). Esta notificación da aviso del nuevo cambio de
topología, además de que todas las direcciones MAC asociadas con los puertos
designados que no son frontera son eliminadas de la CAM. Este mecanismo fuerza
a que las nuevas direcciones sean aprendidas después del cambio, cuando los host
están en enlaces diferentes.
Todos los switches vecinos que reciben los mensajes TC también tienen
que eliminar las tablas MAC aprendidas en todos los puertos excepto en el que
recibe el mensaje TC. Los switches enviarán los mensajes TC a través de todos los
puertos designados que no sean frontera y así sucesivamente hasta completar la
topología.
CONFIGURACIÓN DE RSTP
Por defecto los switches operan en el modo PVST+ usando el STP 802.ID
tradicional. RSTP no puede ser utilizado hasta que un modo diferente de STP esté
habilitado, RSTP es un mecanismo que está por debajo de MST o RPVST+. Los
únicos cambios de configuración relativos a RSTP afectan al tipo de enlace o
puerto para saber cómo se va a negociar la información de la topología con los
vecinos.
Para configurar un puerto para RSTP frontera se utiliza el siguiente
comando:
Switch(config-if)# spanning-tree portfast
Este comando es similar al de STP 802.ID, una vez habilitado el puerto el
switch considera que sólo tiene host conectados y es por lo tanto un puerto
frontera. Por defecto RSTP automáticamente decide que un puerto es punto a punto
cuando está operando en full dúplex como en el caso de los .puertos conectados a
otros switches. Por alguna razón necesaria el puerto puede forzarse a transmitir en
half dúplex, para que funcione en modo punto a punto puede utilizarse el siguiente
comando:
Switch(config-if)# spanning-tree link-type point-to-point
www.FreeLibros.com
390
REDES CISCO. CCNP a Fondo
©RA-MA
RAPID PER-VLAN STP
La eficiencia de cada instancia de STP puede mejorarse configurando el
switch para que utilice RSTP esto significa que cada VLAN tendrá su propia
instancia independiente de RSTP ejecutándose en el switch, conocido como
RPVST+ (Rapid Per VLAN STP plus). Solamente en necesario un paso en la
configuración para cambiar el modo se STP para comenzar a utilizar RPVSTP+,
esto se lleva a cabo con el siguiente comando:
Switch(config)# spanning-tree mode rapid-pvst
Este comando debe utilizarse con cuidado cuando la red está en producción
debido a que cualquier proceso de STP que esté en actividad se reiniciará. Este
proceso haría que cualquier enlace que esté funcionando en la red tuviera que pasar
por todos los estados de STP dejando la red no disponible durante un período de
tiempo con la consiguiente pérdida de datos.
Para volver al modo tradicional de STP se utiliza el siguiente comando:
Switch(config)# spanning-tree mode pvst
Los switches vecinos tienen que soportan ambos protocolos, tanto RSTP
como 802.ID. El switch puede detectar el tipo de STP del vecino por la versión
que recibe en las BPDU. El comando show spanning-tree vían sirve para ver la
versión que se está utilizando.
Switch# show spanning-tree vían 441
VLAN0441
Spanning tree enabled protocol rstp
Root ID
Priority
4267
Address
OOdO.0457.38aa
Cost
3
Port
833 (Port-channel1)
Helio Time 2 sec Max Age 20
sec Forward Delay 15 séc
La salida anterior muestra la información relativa a la instancia RSTP para
la VLAN 441, en este caso la versión que se esta utilizando es RSTP.
MULTIPLE SPANNING TREE PROTOCOL
MST (Múltiple Spanning Tree Protocol) permite ejecutar en una o más
VLAN una sola instancia de STP de tal manera que permite ajustar las
configuraciones a los requerimientos necesarios. MST es conocido con el estándar
802.IS.
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
391
MST está constituido bajo el concepto de asociar una o más VLAN a una
sola instancia STP, múltiples instancias de STP pueden ser utilizadas cada una de
ellas soportando grupos diferentes de VLAN. Cada instancia puede ser configurada
de manera que envíe tráfico direccionalmente según las VLAN asociadas con
dichas instancias.
Para configurar MST en una red son necesarios los siguientes requisitos:
•
Determinar el número de instancias necesarias para soportar las
topologías necesarias.
•
Comprobar si es necesario asociar un conjunto de VLAN a cada
instancia.
Regiones MST
MST difiere de los otros tipos de STP, aunque puede inter operar con ellos.
Si un switch está configurado para MST tiene que averiguar cuáles de sus vecinos
también ejecutan MST. Este mecanismo se hace a través de la configuración de
regiones. Cada switch en una región ejecuta ciertos parámetros de MST
compatibles con otros switches dentro de dicha región. En la mayoría de las redes,
una sola región es suficiente aunque es posible la configuración de más de una.
Dentro de cada región todos los switches tienen que ejecutar las mismas
instancias de MST y los siguientes atributos:
1. Nombre de configuración de MST
2. Número de revisión de MST
3. Tablas de instancias asociadas a VLAN de MST
Cuando dos switches tienen el mismo número y conjuntos de atributos
entonces pertenecen a la misma región, de lo contrario se encuentran en regiones
separadas. Las BPDU de MST contienen atributos de configuración de tal manera
que los switches que reciben estas BPDU pueden compararlas contra la
configuración MST local. Si los atributos coinciden la instancia MST será
compartida como parte de la misma región, de lo contrario el switch es visto como
parte de otra región.
Cuando hay un límite entre dos regiones cada región ve a la otra como si
fuera STP 802.ID.
www.FreeLibros.com
392
REDES CISCO. CCNP a Fondo________________________________________________________ ©RA-MA
Instancias de STP dentro de MST
MST fue diseñado para inter operar con todas las formas de STP de tal
manera que tiene que soportar instancias de cada una de ellas. Para comprender
mejor este concepto hay que pensar en el rol de la red con una sola topología CST,
de tal manera que una instancia de STP representa todas y cada una de las VLAN
así como las regiones MST. Dicha CST mantiene una topología libre de bucles a la
vez que integra todas las formas de STP que pudieran estar en uso.
Para hacer esto CST ve cada región como una nube, integrándola como si
fuera un único switch ya que no tiene idea de los que hay en esa región. CST
mantiene una topología libre de bucles solamente con los enlaces que conectan las
regiones entre sí y a switches independientes con 802.1Q CST.
Instancias IST
Dentro de cada región MST se ejecuta una instancia IST (Intemal
Spanning Tree) para mantener actualizada la topología libre de bucles entre los
enlaces donde CST conoce los límites entre regiones y todos los switches dentro
de éstas. Una instancia IST es como una CST localmente significativa unida a los
switches frontera de cada región. El IST representa la región entera como un sólo
bridge virtual hacia el CST exterior. Las BPDU se intercambian a través de la
VLAN nativa en los límites de la región como si estuviera operando un sólo CST.
IST
Instancias MST
MST posee la capacidad de mapear múltiples VLAN a un número
determinado de instancias STP. Dentro de una región las instancias reales de MST
(MSTI) existen junto con IST. Cisco soporta un máximo de 16 MSTI en cada
www.FreeLibros.com
CAPÍTULO 14. STP
©RA-MA
393
región. IST figura como MSTI con el número 0 y están disponibles desde el 1 al
15.
La siguiente figura muestra como las diferentes MSTI pueden existir
dentro de una región MST. La porción de la izquierda es idéntica a la figura
anterior, 2 instancias MST 1 y MST 2 están configuradas con VLAN diferentes
mapeadas a cada una. Sus topologías siguen la estructura de nombre de la red pero
cada una converge de manera diferente.
MSTI i
Dentro de la nube MST existen 3 instancias independientes de STP
coexistiendo, MST 1, MST 2 Y IST. Sólo IST (MST 0) envía y recibe BPDU MST
conteniendo información de cada una de las instancias.
Cada una de las MSTI se combina con la IST sólo en el límite de la región
para formar un sub-árbol de CSP. Sólo BPDU IST serán enviadas fuera de la
región.
www.FreeLibros.com
394
REDES CI SCO. CCNP a Fondo
©RA-MA
CONFIGURACIÓN DE MST
Los atributos de MST se configuran de manera manual en cada región, no
existe ningún método automático para propagar esta información de un switch a
otro. Para definir una región MST se utiliza la siguiente serie de comandos:
1. Habilitar MST en el switch:
Switch(config)# spanning-tree mode mst
2. Entrar en el modo de configuración de MST:
Switch(config)# spanning-tree mst configuration
3. Asignar un nombre de configuración de región con un máximo de 32
caracteres:
Switch(config-mst)# ñame ñame
4. Asignar un número de revisión para la región en un rango de 0 a
65535.
Switch(config-mst)# revisión versión
Este número sirve para determinar los cambios ocurridos en la
configuración. Cada vez que se efectúa un cambio este número se
incrementa en 1. La configuración de la región incluyendo el número
de revisión tiene que ser igual en todos los switches de la región.
5. Asociar las VLAN a instancias de MST:
Switch(config-mst)# instance instance-id vían vlan-list
Los números de VLAN pueden estar dentro del rango de 1 a 4094, por
defecto todas las VLAN están mapeadas a la instancia 0 de IST.
6.
Se verifican los cambios pendientes:
Switch(config-mst)# show pending
7. Al salir del modo de configuración se activa el proceso:
Switch(config-mst)# exit
Después de que MST ha sido habilitado y configurado, las operaciones de
PVST+ se detienen y el switch cambia a la configuración RSTP. Un switch no
puede ejecutar a la vez MST y PVST+. Es posible además configurar los
parámetros que utiliza MST cuando interactúa con CST o 802.ID tradicional, los
www.FreeLibros.com
CAPÍTULO 14. STP
© RA-MA
395
parámetros y temporizadores son idénticos y los comandos muy similares
exceptuando por el parámetro MST.
La siguiente tabla resume dichos comandos:
Comando
Descripción
Switch(config)# spanning-tree mst
instance-id root {primary |
secondary} [diameter diameter]
Configura el root bridge.
Switch(config)# spanning-tree mst
instance-id priority bridgepriority
Configura la prioridad del
bridge.
Switch(config)# spanning-tree mst
instance-id cost cost
Configura el coste del puerto.
Switch(config)# spanning-tree mst
instance-id port-priority portpriority
Configura la prioridad del
puerto.
Switch(config)# spanning-tree mst
helio-time seconds
Switch(config)# spanning-tree mst
forward-time seconds
Switch(config)# spanning-tree mst
max-age seconds
www.FreeLibros.com
Configura los temporizadores
STP.
www.FreeLibros.com
Capítulo 15
CONMUTACIÓN MULTICAPA
ENRUTAMIENTO ENTRE VLAN
En capítulos anteriores se describe el funcionamiento de las VLAN.
Básicamente una VLAN es un dominio de diñisión típicamente usado para separar
dispositivos generalmente en capa de acceso.
Para el envío y recepción de paquetes entre las VLAN es posible utilizar
cualquiera de estos mecanismos:
•
Un router con conexiones físicas hacia cada una de las VLAN.
•
Un router con conexiones lógicas hacia cada una de las VLAN.
•
Un switch multicapa.
Los switch multicapa pueden realizar conmutación de. capa 2 con interfaces
de capa 2 y enrutamiento entre VLAN con interfaces de capa 3. Estas interfaces de
capa 3 podrían ser puertos del switch o interfaces SVI (Switch Virtual Interface),
que es una interfaz de capa 3 virtual asignada a una VLAN.
La siguiente figura muestra cómo se pueden utilizar los diferentes tipos de
interfaz:
www.FreeLibros.com
398
REDES CISCO. CCNP a Fondo
©RA-MA
VLAN 3
VLAN 4
VLAN 2
VLAN 3
VLAN 4
Switch
Multicapa
CONFIGURACIÓN DE ENRUTAMIENTO ENTRE VLAN
Para poder enrutar entre VLAN es necesario el servicio de un dispositivo
capaz de realizar enrutamiento capa 3 a través de un protocolo de enrutamiento o
rutas estáticas.
Debido a que los switches multicapa cuentan con diferentes tipos de
interfaces es necesario especificar de qué manera será utilizada cada interfaz del
switch. Dependiendo del modelo los puertos serán por defecto de capa 2 (Cisco
series 2950, 3560, 4500) o capa 3 (Cisco series 6500).
Un puerto puede ser de capa 2 o capa 3 dependiendo de la configuración
del comando switchport. Para ver en qué capa está configurado el puerto se puede
utilizar el siguiente comando:
Switch# show interface type mod/num switchport
Si la salida muestra switchport como enabled o habilitado entonces el
puerto será de capa 2 si lo muestra como disabled o deshabilitado será de capa 3.
Switch# show interface gigabitethernet 0/1 switchport
Ñame: Gi0/1
Switchport: Disabled
Switch#
www.FreeLibros.com
CAPÍTULO 15. CONMUTACIÓN MULTICAPA
©RA-MA
399
Configuración de un puerto de capa 2
Para configurar un puerto para que opere a nivel de capa 2 se utiliza el
siguiente comando:
S wi t c h ( c o n f i g ) # interface type mod/num
S w i t c h ( c o n f i g - i f )# switchport
Configuración de un puerto de capa 3
Para configurar un puerto para que trabaje a nivel de capa 3 se utiliza el
siguiente comando:
Switch(conf ig)# interface type mod/num
Switch(conf ig-if)# no switchport
S w i t c h (config-if)# ip address ip-address mask [secondary]
Hay que tener en cuenta que el último comando sirve para darle una
dirección IP al puerto una vez convertido a capa 3.
Configuración de la interfaz SVI
Es posible asignar una dirección IP a una interfaz virtual SVI (Switch
Virtual Interface) que identifique a una VLAN en particular, lo que resulta de suma
utilidad cuando existe tráfico que entra y sale de dicha VLAN.
En la figura anterior se observa la interfaz virtual VLAN 10, que utiliza los
puertos de capa 2 para recibir o enviar tráfico.
Para configurar una
SVI se utilizan los siguientes comandos:
Switch(config)# interface vían vlan-id
Switch(config-if)# ip address ip-address mask [secondary]
Para que la interfaz SVI funcione correctamente se debe crear previamente
la VLAN y que a su vez esté activa y asignada a algún puerto de capa 2 que esté
habilitado. La interfaz SVI no debe estar en el estado shutdown.
La siguiente sintaxis muestra la configuración de una interfaz SVI:
Switch(config)# vían 100
Switch(config-vlan)# ñame CCNP
Switch(config-vlan)# exit
Switch(config-if)#interface fastethernet 0/1
Switch(config-if)#switchport access vían 100
www.FreeLibros.com
400
REDES CISCO. CCNP a Fondo
© r a -m a
Switch(config)# interface vían 100
Switch(config-if)# ip address 192.168.0.1 255.255.255.0
Switch(config-if)# no shutdown
CONMUTACIÓN MULTICAPA CON CEF
Los switches Catalyst pueden usar diferentes métodos de envío de tráfico,
CEF (Cisco Express Forwarding) es el más comúnmente utilizado en la actualidad.
El switching multicapa comenzó como una técnica combinada entre la
procesadora de enrutamiento RP (Routing Processor) y el mecanismo de switching
SE (Switching Engine). El funcionamiento de este mecanismo consiste en que el
primer paquete sea procesado por la RP y los siguientes por la SE. A este proceso
se lo conoce como NetFlow o route cache switching.
Route cache switching ha dado paso a un mecanismo más eficiente basado
en la búsqueda dinámica de información en las tablas, el llamado CEF.
Las siguientes plataformas permiten implementar CEF en hardware y
dependiendo del tipo de IOS lo tendrán habilitado por defecto: 2950; 3550; 3560;
3750; 4500 con Supervisor III, IV o V; 6500 con Supervisor 2/MSFC2 o
Supervisor 720/ MSFC3 integrada.
CEF espera a que la tabla de enrutamiento de capa 3 esté construida para
entonces generar de manera dinámica la tabla de envío de paquetes o tabla CEF
que permitirá conmutar dichos paquetes rápidamente.
Dependiendo de la plataforma CEF suele estar configurado por defecto.
Para deshabilitarlo es posible utilizar los comandos no ip route-cache cef o no ip
cef. Para habilitarlo nuevamente bastará con el comando ip cef.
FIB
En la tabla de enrutamiento consta toda la información de capa 3 ordenada
con las entradas más específicas en primer lugar.
La FIB (Forwarding Information Base) es la tabla utilizada por CEF, se
construye dinámicamente a partir de la tabla de enrutamiento. Cuando la tabla de
enrutamiento se modifica, la FIB se actualiza automáticamente. Dicha tabla
también tiene las entradas ordenadas por el criterio sobre cuáles son las más
específicas y cuenta además con la información sobre el próximo salto.
www.FreeLibros.com
©RA-MA
CAPÍTULO 15. CONMUTACIÓN MULTICAPA
401
Se puede ver la FIB asociada con una interfaz o VLAN usando el siguiente
comando:
Switch#show ip cef [type mod/num | vían vlan-id]
[detail]
La siguiente sintaxis muestra un ejemplo de las entradas de la FIB:
Switch# show ip cef vían 100
prefix
10.1.1.0/24
10.1.1.2/32
10.1.1-3/32
Next Hop
attached
10.1.1.2
10.1.1.3
Interface
VlanlOO
VlanlOO
VlanlOO
Las entradas FIB pueden verse también especificando un prefijo y máscara
de subred a través del siguiente comando:
Switch#show
[detail]
ip
cef
[prefix-ip
prefix-mask]
[longer-prefixes]
La siguiente sintaxis muestra la FIB asociada a un prefijo específico, el
parámetro longer-prefixes hace que se muestre cualquier prefijo incluido dentro de
esa máscara, no solamente el específico.
Switch# show ip cef 110.10.0.0 255.255.0.0
Next Hop
Interface
Prefix
attached
110.10.1.0/24
VlanlOO
110.10.1.2/32
VlanlOO
10.1.1.2
110.10.1.3/32
VlanlOO
10.1.1.3
attached
Vlanl05
110.10.2.0/24
192.168.1.2 Vlan30
110.10.3.0/26
192.168.1.3 Vlan30
192.168.1.2 Vlan30
110.10.3.64/26
192.168.1.3 Vlan30
192.168.1.4 Vlan30
110.10.3.18/26
192.168.1.3
Vlan30
Con el parámetro detail se obtiene información más detallada:
Switch# show ip cef 110.10.3.0 255.255.255.192 detail
110.10.3.0/26, versión 270, epoch 0, per-destination sharing
0 packets, 0 bytes
via 192.168.1.2, Vlan30, 0 dependencies
traffic share 1
next hop 192.168.1.2, Vlan30
valid adjacency
via 192.168.1.3, Vlan30, 0 dependencies
traffic share 1
next hop 192.168.1.3, Vlan30
www.FreeLibros.com
402
REDES CISCO. CCNP a Fondo
©RA-MA
valid adjacency
0 packets, 0 bytes switched through the prefix
tmstats: external 0 packets, 0 bytes
internal 0 packets, 0 bytes
El contador versión indica el número de veces que la entrada ha sido
actualizada desde que la tabla fue generada. El contador epoch indica el número de
veces que toda la tabla CEF ha sido eliminada y regenerada. También se detalla
que para llegar a la subred 110.10.3.0/26 existen dos posibles saltos, lo que indica
que se hace balanceo de carga por destino.
Una vez que la tabla de CEF está construida los paquetes sonconmutados
mediante el SE, que es mucho más eficiente y rápido que una búsqueda en la tabla
de enrutamiento mediante el RP.
En algunas situaciones este proceso no puede funcionar debidamente,
algunas de las posibles causas de que un paquete no pudiera ser enviado mediante
la FIB pueden ser:
•
La entrada no se puede localizar en la FIB.
•
La FIB está llena.
•
El TTL del paquete IP se ha agotado.
•
La MTU es excedida por lo que el paquete ha de ser fragmentado.
•
Un ICMP Redirect está involucrado.
•
El tipo de encapsulación no es soportado.
•
Los paquetes
encriptación.
•
Una ACL con la opción log configurada en ella ha sido activada.
•
NAT ha de ser usado (excepto para los Catalyst 6500 Sup 720 que
lo implementan en hardware).
son
tunelizados,
requiriendo
compresión
o
CEF además de poder utilizarse en una simple plataforma de hardware
como es el caso, por ejemplo, de los switches 3560, también puede usarse de
manera distribuida cuando el hardware lo permite, a esto se le conoce como
distributed CEF o dCEF. DCEF permite que por ejemplo los módulos de los
6500 puedan guardar instancias independientes de CEF liberando así a las tarjetas
supervisoras de dicha carga.
www.FreeLibros.com
CAPÍTULO 15. CONMUTACIÓN MULTICAPA
©RA-MA
403
Tabla de adyacencias
Un router guarda una tabla que contiene información de capa 3 con prefijos
y próximos saltos, una tabla ARP que contiene las asociaciones entre la capa 3 y la
correspondiente dirección de capa 2, dichas tablas son guardadas de forma
independiente.
FIB guarda el próximo salto para cada entrada y además la dirección de
capa 2 asociada con esa puerta de enlace. Esta parte de la FIB es conocida como
tabla de adyacencias. Para mostrar esta tabla se utiliza el siguiente comando:
Switch#show adjacency [type mod/num \ vían vlan-id] [summary |
detail]
Con el parámetro summary se puede conocer el número total de
adyacencias a través de una interfaz o SVI, como se muestra en la siguiente
sintaxis:
Switch# show adjacency summary
Adjacency Table has 106 adjacencies
Table epoch: 0 (106 entries at this epoch)
Interface
Adjacency Count
21
Vlan30
3
VlanlOO
1
VlanlOl
47
Vlanl02
7
Vlanl03
27
Vlanl05
Con el parámetro detail se obtiene información detallada sobre las
adyacencias, como se muestra en la siguiente sintaxis:
Switch# show adjacency vían 30 detail
Protocol
IP
Interface
Vlan30
IP
Vlan30
Address
192.168.1.2(5)
0 packets, 0 bytes
000A5E45B145000E387D51000800
ARP 01:52:50
Epoch: 0
192.168.1.3(5)
1 packets, 104 bytes
000CF1C909A0000E387D51000800
ARP 04:02:11
Epoch: 0
En las entradas de la sintaxis se aprecia la dirección IP y la MAC del host
directamente conectado. La MAC corresponde a los primeros 6 octetos del código
www.FreeLibros.com
404
REDES CISCO. CCNP a Fondo
©RA-MA
en hexadecimal, el resto de la cadena está formado por la MAC de la interfaz de
capa 3 y por el valor EtherType que para IP es 0x800.
La tabla de adyacencias se construye a partir de la tabla ARP, como se
muestra en el ejemplo anterior, utilizando el temporizador age. En caso de no
conocerse una entrada ARP, la entrada en la FIB aparecerá como CEF glean. Esto
significa que CEF no puede enviar paquetes debido a que desconoce la dirección
de capa 2, en este caso será necesario que la maquinaria de capa 3 genere un ARP
request para obtener un ARP reply con dicha información.
La siguiente sintaxis muestra un ejemplo del estado glean:
Switch# show ip cef adjacency glean
Prefix Next Hop Interface
10.1.1.2/32 attached VlanlOl
127.0.0.0/8 attached EOBCO/O
Switch# show ip arp 10.1.1.2
Switch# show ip cef 10.1.1.2 255.255.255.255 detail
10.1.1.2/32, versión 688, epoch 0, attached, connected
0 packets, 0 bytes
via VlanlOl, 0 dependencies
valid glean adjacency
Los paquetes recibidos durante el tiempo en el que una entrada en la FIB
está en estado glean esperando por la resolución ARP son descartados para evitar
que la colas se llenen y que la maquinaria de capa 3 se sobrecargue enviando
peticiones ARP duplicadas. Esto es conocido como throttling. En caso de no
recibir un ARP reply en 2 segundos, el throttling es liberado y se envía otro ARP
request. Cuando el ARP reply es recibido el throttling es liberado y la entrada FIB
se completa de manera que los paquetes puedan ser enviados usando hardware.
La tabla de adyacencias puede contener también estos tipos de entradas:
•
Nuil adjacency: usada para conmutar paquetes destinados a la interfaz
nuil. Dicha interfaz absorbe el tráfico destinado hacia ella sin realmente
enrutarlo, simplemente lo elimina.
•
Drop adjacency: usada para conmutar paquetes que no pueden ser
enviados debido a un fallo en la encapsulación, a una dirección que no se
puede resolver, un protocolo no soportado, falta de ruta, falta de
adyacencia o error de checksum. El siguiente comando muestra la
información contenida:
www.FreeLibros.com
CAPÍTULO 15. CONMUTACIÓN MULTICAPA
©RA-MA
405
Switch# show cef drop
CEF Drop Statistics
Slot Encap_fail Unresolved Unsupported No_route No_adj
ChkSum_ Err
RP
8799327
Switch#
1
45827
5089667
32
0
•
Discard Adjacency: usada cuando los paquetes son descartados debido a
una ACL u otro tipo de política.
•
Punt Adjacency: usada cuando los paquetes han de ser enviados a la
maquinaria de capa 3 para un procesamiento más intensivo, las razones
para ello aparecen en los contadores de la siguiente sintaxis:
Switch# show cef not-cef-switched
CEF Packets passed on to next switching layer
Slot No_adj No_encap Unsupp'ted Redirect Receive Options
Access Frag
3579706 0
0
Switch#
RP
0
0
41258564
0
0
Modificando paquetes
Antes de que un paquete pueda ser enviado usando CEF la cabecera del
paquete debe ser modificada reescribiendo ciertos parámetros. La siguiente lista
muestra los cambios efectuados a los paquetes que se enviarán a través de CEF:
•
Dirección de destino de capa 2, se cambia por la MAC del
siguiente salto.
•
Dirección de origen de capa 2, se cambia por la MAC de la
interfaz de capa 3 de salida del switch.
•
El TTL de IP disminuye en una unidad.
•
El checksum de IP se recalcula.
•
El checksum de capa 2 se recalcula.
Estas tareas son llevadas a cabo también en un router tradicional, pero un
switch multicapa cuenta con hardware específico para reescribir el paquete que
hace que el rendimiento y la velocidad sean mayores.
Fallback bridging
Para aquellos protocolos que CEF no puede enrutar en un switch como
ocurre con Appletalk, IPX, SNA o LAT, se utiliza Fallback bridging, que se basa
www.FreeLibros.com
406
REDES CISCO. CCNP a Fondo
©RA-MA
en la asociación de cada SVI con las VLAN en las que residen protocolos no
enrutables a un grupo denominado bridge group, de tal manera que las VLAN
asociadas al mismo bridge group pueden enviarse tráfico de manera transparente.
Los bridge groups usados en fallback bridging no interactúan con el
switching normal de capa 2. Mantienen una instancia especial de STP denominada
VLAN-Bridge STP que no intercambia BPDUs con STP del tipo 802.Id, RSTP o
MST.
Para configurar fallback bridging primero debe definirse un grupo:
Switch(config)#bridge-group bridge-group protocol vlan-bridge
Posteriormente se asignan las SVI dentro del grupo:
Switch(config)#interface vían vlan-id
Switch(config-if)#bridge-group bridge-group
Es posible configurar hasta 31 grupos en un switch. Para configurar
VLAN-Bridge STP se utilizan las diferentes opciones del comando bridge-group
bridge-group.
VERIFICACIÓN DE CONMUTACIÓN MULTICAPA
Para verificar la configuración de capa 2 de un puerto se utiliza el siguiente
comando:
Switch#show interface type mod/num switchport
Switch# show interface fastethernet 1/0/33 switchport
Ñame: Fal/0/33
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dotlq
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
www.FreeLibros.com
CAPÍTULO 15. CONMUTACIÓN MULTICAPA
©RA-MA
407
Operational private-vlan: none
Trunking VLANs Enabled: ALL
pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
La salida muestra la VLAN de acceso o el modo de trunk utilizado y la
VLAN nativa. Los modos administrativos muestran de qué manera ha sido
configurado el puerto mientras que los modos operacionales muestran el estado
activo del puerto.
Puede utilizarse el mismo comando para verificar la configuración de un
puerto de capa 3, en este caso la salida indica que la capa 2 está deshabilitada como
se muestra en la siguiente sintaxis:
Switch# show interface fastethernet 0/16 switchport
Ñame: FaO/16
Switchport: Disabled
El mismo comando sin el parámetro switchport puede servir para ver el
estado físico de la interfaz. Para ver un resumen de todas las interfaces se utiliza el
comando show interface status.
Para verificar la configuración de una SVI se utiliza el siguiente comando:
Switch#show interface vían vlan-id
Para ver las VLAN configuradas en un switch se utiliza el comando show
vían, como muestra el siguiente ejemplo:
Switch# show vían
VLAN Ñame
Status
1 default
active
2 VLAN0002
5 VLAN0005
active
active
Ports
Fa0/5, FaO/6, FaO/7, FaO/8.
Fa0/9, Fa0/10, FaO/11, FaO/12
FaO/131 Fa0/14, FaO/15,‘FaO/17
FaO/18, Fa0/19, Fa0/20, FaO/21
FaO/22, FaO/23, FaO/24, FaO/25
FaO/26, FaO/27, FaO/28, FaO/29
Fa0/30, FaO/32, FaO/33, FaO/34
FaO/36, FaO/37, FaO/38, FaO/39
FaO/41, FaO/42, FaO/43, FaO/44
FaO/45, FaO/46, FaO/47, GiO/1
GiO/2
Fa0/40
www.FreeLibros.com
408
REDES CISCO. CCNP a Fondo
©RA-M a
Para mostrar información IP detallada de una interfaz del switch se utiliza
el comando show ip interface, como muestra la siguiente sintaxis:
Switch# show ip interface vían 101
VlanlOl is up, line protocol is up
Internet address is 10.1.1.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is not set
Proxy ARP is enabled
Local Proxy ARP is disabled
Security level is default
Split horizon is enabled
ICMP redirects are always sent
ICMP unreachables are always sent
ICMP mask replies are never sent
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Flow switching is disabled
IP CEF switching is enabled
IP Feature Fast switching turbo vector
IP Feature CEF switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, Distributed, CEF
Router Discovery is disabled
IP output packet accounting is disabled
IP access violation accounting is disabled
TCP/IP header compression is disabled
RTP/IP header compression is disabled
Probe proxy ñame replies are disabled
Policy routing is disabled
Network address translation is disabled
WCCP Redirect outbound is disabled
WCCP Redirect inbound is disabled
El comando show ip interfaces brief muestra un resumen de todas las
interfaces, como muestra el siguiente ejemplo:
Switch# show ip interface brief
Interface
IP-Address
unassigned
Vlanl
Vlan54
10.3.1.6
VlanlOl
10.1.1.1
GigabitEthernet1/1 10.1.5.1
OK?Method
YES NVRAM
YES manual
YES manual
YES manual
Status
down
up
up
up
Protocol
down
up
up
up
www.FreeLibros.com
CAPITULO 15. CONMUTACION MULTICAPA
©RA-MA
409
CEF depende de que la información de enrutamiento sea correcta y que
esté almacenada en el mecanismo hardware de envío de capa 3. Esta información
está contenida en la FIB y se mantiene dinámicamente. Para ver la FIB se utiliza el
siguiente comando:
Switch#show ip cef
prefix
Next Hop
0.0.0.0/32
receive
192. 168. 1 9 9 . 0/24
attached
192.168.199.0/32
receive
192.168.199.1/32
receive
192.168.199.2/32 192.168.199.2
192.168.199.255/32 receive
Interface
Vlanl
Vlanl
Para verificar la FIB relativa a una interfaz se utiliza el siguiente comando:
Switch#show ip cef type mod/num [detail]
Para verificar fallback bridging existen dos comandos:
•
Switch# show bridge group
•
Switch# show bridge bridge-group [verbose]
El primero muestra los grupos activos junto con el estado de STP. El
segundo muestra los contenidos de la tabla de bridging para un grupo específico.
www.FreeLibros.com
www.FreeLibros.com
Capítulo 16
BALANCEO DE CARGA Y REDUNDANCIA
REDUNDANCIA Y BALANCEO EN SWITCH
MULTICAPA
Los switches multicapa pueden actuar como puertas de enlace y también
participar en los procesos de enrutamiento como lo hacen los routers tradicionales.
Para proporcionar tolerancia a fallos o alta disponibilidad cuando están
actuando como puertas de enlace los switch multicapa pueden utilizar los
siguientes protocolos:
•
HSRP (Host Standby Routing Protocol).
•
VRRP (Virtual Router Redundancy Protocol).
•
GLBP (Gateway Load Balancing Protocol):
HOST STANDBY ROUTER PROTOCOL
HSRP (Host Standby Router Protocol) es un protocolo propietario de
Cisco que permite que varios routers o switches multicapa aparezcan como una
sola puerta de enlace. La RFC 2281 describe con detalle este protocolo.
Cada uno de los routers que proporcionan redundancia es asignado a un
grupo HSRP común, un router es elegido como primario o active, otro como
www.FreeLibros.com
412
REDES CISCO. CCNP a Fondo
© RA-MA
secundario o standby y el resto estarán escuchando en estado listen. Los routers
intercambian mensajes helio entre ellos para comprobar que todo está en orden.
Los mensajes helio se envían de manera multicast a través de la dirección IP
224.0.0.2 por el puerto UDP 1985.
Un grupo HSRP puede ser asignado con un valor entre 0 y 255. Algunos
switches Catalyst sólo admiten un máximo de 16 grupos con un valor único,
permitiendo repetir valores para aumentar la cantidad de grupos debido a que éstos
son sólo localmente significativos a la interfaz en la que se configuran.
Elección del router HSRP
La elección del tipo de router está basada en una escala de prioridades que
va de 0 a 255. Por defecto si no existe configuración previa, la prioridad toma el
valor de 100. El router con la prioridad más alta se convierte en el router active del
grupo y en caso de que todos los routers tengan la misma prioridad será active
aquel con la IP más alta configurada en su interfaz de HSRP.
Para configurar la prioridad se utiliza el siguiente comando:
Switch(config-if)#standby group priority priority
Al configurar HSRP en una interfaz el router se mueve entre una serie de
estados hasta alcanzar el estado final que dependerá de la prioridad y del estado del
resto de los miembros del grupo. Los estados HSRP son los siguientes:
•
Disabled, desactivado.
•
Init, iniciándose.
•
Listen, escuchando.
•
Speak, hablando.
•
Standby, en espera.
•
Active, activo.
Los mensajes helio se envían cada 3 segundos. Un router en el estado de
standby es el único que monitoriza los helio del router activo. Cuando el
temporizador holdtime (3 veces el intervalo helio o 10 segundos) se inicia se
presume que el router activo ha caído, el router en el estado standby pasará
entonces al estado active y en caso de haber uno o más routers en el estado listen el
de mayor prioridad pasará al estado standby.
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
© RA-MA
413
Para cambiar los temporizadores de HSRP es necesario hacerlo en todos
los routers del grupo, el holdtime debería ser siempre al menos 3 veces el intervalo
helio. El comando para efectuar dicho cambio es el siguiente:
S w i t c h ( c o n f ig-if)#standby
group timers [msec] helio [msec] holdtime
Es necesario tener en cuenta que cuanto más rápido se envíen los helio más
rápido se detectarán problemas en la red pero a su vez se estaría generando un
aumento de tráfico, consumiendo más ancho de banda y haciendo que los routers
procesen mayor cantidad de información, habrá entonces que buscar un término
medio adecuado a los requerimientos de la red.
Una vez que un router es elegido como activo mantendrá su estado incluso
si otros routers con mayor prioridad son detectados. Es importante tener en cuenta
para evitar que un router no deseado sea elegido como activo, iniciar la red
encendiendo primero el router adecuado para cumplir el rol de activo.Este
comportamiento es posible corregirlo de manera que el router con mayor prioridad
sea siempre el activo, para esto se puede utilizar el siguiente comando:
Sw i t c h (config-if)#standby group preempt
[delay [minimum seconds]
[reload seconds]]
Por defecto después de aplicar este comando el router del grupo con mayor
prioridad siempre será el activo y tomará su rol inmediatamente. La configuración
del parámetro delay puede efectuarse de la siguiente manera:
•
Minimum, se fuerza al router a esperar un tiempo determinado a partir de
que la interfaz esté operativa antes de tomar el rol de activo.
•
Reload, se fuerza al router a esperar un tiempo determinado a partir del
reinicio antes de tomar el rol de activo.
Autenticación HSRP
HSRP permite ser configurado con dos tipos diferentes de autenticación,
todos los miembros del grupo deben coincidir en el tipo y clave. Los dos modos de
autenticación HSRP son:
•
Texto plano. Los mensajes de HSRP son enviados con una cadena en texto
plano de hasta ocho caracteres esta cadena debe ser igual en todos los
routers del grupo. El siguiente comando puede configurarlo:
Switch(config-if)#standby group authentication string
www.FreeLibros.com
414
REDES CISCO. CCNP a Fondo
©RA-MA
•
MD5. Un cifrado del tipo MD5 (Message Digest 5) es computado en una
porción de cada mensaje HSRP y en la clave secreta configurada en cada
router del grupo.
•
El hash MD5 es enviado junto con los mensajes HSRP. Cuando un
mensaje es recibido el router recalcula el cifrado del mensaje y de su
propia clave, en caso de coincidencia el mensaje será aceptado. Este tipo
de autenticación es, obviamente, mucho más segura que en texto plano.
Para configurarla se utiliza el siguiente comando:
Switch(config-if)#standby group authentication md5 key-string
[0 | 7] string
•
Por defecto la clave se pone en texto plano, una vez introducida aparecerá
encriptada en la configuración. Para copiar y pegar dicha clave en otros
routers es posible copiarla ya encriptada y especificar la opción 7 delante
de la clave antes de pegarla.
•
Alternativamente se puede usar una cadena de claves que, aunque hace que
la configuración sea más compleja, proporciona mayor flexibilidad. Los
comandos son los siguientes:
Switch(config)#key chain chain-name
Switch(config-keychain)#key key-number
Switch(config-keychain-key)#key-string [0 | 7] string
Switch(config)#interface type mod/num
Switch(config-if)#standby
chain-name
group authentication md5
key-chain
Solución ante fallos
HSRP tiene un mecanismo que le ayuda a comprobar el estado de otras
interfaces, si un router que está activo pierde sus enlaces con el resto del mundo y
su interfaz HSRP todavía está habilitada, seguirá siendo el elegido para enviar
paquetes, convirtiéndose en un agujero negro.
Para estos casos HSRP verifica el estado de otras interfaces, para que en
caso de fallos la prioridad del router sea dinámicamente disminuida (el valor es 10
por defecto), volviéndose a incrementar cuando la interfaz asuma su estado normal.
www.FreeLibros.com
. , AA
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA 415
© r A-MA________________________________________________________________________________________
Esta característica se conoce con el nombre de tracking y se configura de la
siguiente manera:
Switch(config-if )#standby group track type mod/num [decrementvalue]
Puerta de enlace virtual
Además de la dirección IP única que cada router tiene configurada en las
interfaces que ejecutan HSRP hay una dirección IP común, conocida como IP
virtual o de HSRP.
Los host entonces pueden apuntar a esa IP como su puerta de enlace,
teniendo la certeza de que siempre habrá algún router respondiendo. Hay que tener
en cuenta que tanto la IP real como la de HSRP han de pertenecer al mismo rango.
Para asignar la IP virtual se utiliza el siguiente comando:
Switch( c o n f i g - i f )#standby group ip ip-address [secondary]
La opción secondary se utiliza sólo cuando las direcciones IP son
secundarias.
Además de la dirección MAC única asignada a cada una de las interfaces
existe una MAC virtual o de HSRP asociada a la IP virtual.
HSRP define un formato específico para ello representado como
0000.0c07.acxx, donde xx representa el grupo de HSRP en formato hexadecimal.
Por ejemplo para el grupo HSRP 2 será 0000.0c07.ac02.
En la siguiente figura se observa una red que usa dos switches multicapa
configurados para HSRP con el grupo 1 e IP virtual 192.168.1.1. Catalyst Norte es
el activo con una prioridad 200 y está respondiendo a peticiones ARP para la
puerta de enlace. Catalyst Sur está en standby y no responderá a no ser que
Catalyst Norte falle.
www.FreeLibros.com
416
REDES CISCO. CCNP a Fondo
©RA-MA
Catalyst Norte
Catalyst Sur
VLAN 50
Puerta de enlace: 1 9 2 .1 6 8 .1 .1
ARP: 0000.0c07.ac01
La siguiente sintaxis muestra la configuración de Catalyst Norte.
Cat_Norte(config)# interface vían 50
Cat_Norte(config-if)# ip address 192.168.1.10 255.255.255.0
Cat_Norte(config-if)# standby 1 priority 200
Cat_Norte(config-if)# standby 1 preempt
Cat_Norte(config-if)# standby 1 ip 192.168.1.1
Balanceo de carga HSRP
Hasta ahora solamente el router que está en activo puede enviar tráfico y el
resto de los enlaces están en standby sin enviar datos, proporcionando tolerancia a
fallos pero no balanceo de carga.
Para poder llevar a cabo el balanceo de carga en HSRP es necesario utilizar
al menos 2 grupos, para el caso de tener dos switches, SW1 sería activo en un
grupo y standby en el otro mientras que SW2 actuaría con el rol contrario a SW1
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
©RA-MA
417
para esos mismos grupos. El conjunto de host que utilicen estas puertas de enlace
deberán ser asignados mitad con una IP y mitad con otra IP.
La siguiente muestra representa este escenario. Catalyst Norte es activo
para el grupo 1 con IP 192.168.1.1 y es standby del grupo 2 con IP 192.168.1.2.
Catalyst Sur tiene una configuración similar pero tomando el rol contrario para
cada grupo.
C a ta lyst Norte
Catalyst Sur
H S R P 1: A c tiv e 200 1 9 2 .1 6 8 .1 .1
MAC: 0 0 0 0 .0 c0 7 .a c0 1
H S R P 2: S ta n d b y 100 1 9 2 .1 6 8 ,1 .2
MAC: 0 0 0 0 ,0 c 0 7 .a c0 2
H S R P 1: S tan d b y 100 1 9 2 .1 6 8 .1 .1
M A C :0 00 0,O c0 7,a c0 1
H S R P 2: A c tiv e 200 1 9 2 .1 6 8 .1 ,2
M A C :0 0 0 0 ,0 c0 7 ,a c0 2
VLAN 50
VLAN 50
1 9 2 ,1 6 8 .1 .1 0
OOOO.aaaa.aaaa
19 2.16 8.1 ,1 1
OOOO.bbbb.bbbb
Pu e rta de enlace: 1 9 2 .1 6 8 .1 .1
ARP: 0000.0c07.ac01
Puerta de enlace: 19 2.1 6 8 ,1 ,2
•
ARP: 0 0 0 0 .0 c0 7 .a c0 1
VLAN 50
Cat_Norte(config)# interface vían 50
Cat_Norte(config-if)# ip address 192.168.1.10 255.255.255.0
Cat_Norte(config-if)# standby 1 priority 200
Cat_Norte(config-if)# standby 1 preempt
Cat_Norte(config-if)# standby 1 ip 192.168.1.1
www.FreeLibros.com
418
REDES CISCO. CCNP a Fondo
©RA-M a
Cat_Norte(config-if)#
standby 1 authentication CCnP
Cat_Norte(config-if)#
standby 2 priority 100
Cat_Norte(config-if)#
standby 2 ip 192.168.1.2
Cat_Norte(config-if)#
standby 2 authentication CCnP
Cat_Sur(config)# interface vían 50
Cat_Sur(config-if)# ip address 192.168.1.11 255.255.255.0
Cat_Sur(config-if)# standby 1 priority 100
Cat_Sur(config-if)# standby 1 ip 192.168.1.1
Cat_Sur(config-if)# standby 1 authentication CCnP
Cat_Sur(config-if)# standby 2 priority 200
Cat_Sur(config-if)# standby 2 preempt
Cat_Sur(config-if)# standby 2 ip 192.168.1.2
Cat_Sur(config-if)# standby 2 authentication CCnP
Para mostrar información acerca de HSRP se utiliza el comando:
Router#show standby [brief] [vían vlan-id / type mod/num]
Los siguientes ejemplos muestran la salida de este comando basándose en
la configuración de la muestra anterior.
C atNo r t e # show standby vían 50 brief
P indicates configured to preempt.
I
Interface Grp Prio P State Active addr Standby addr Group addr
V150
1
200 P Active local
192.168.1.11 192.168.1.1
V150
2
100
Standby 192.168.1.11 local
192.168.1.2
C atNo r t e # show standby vían 50
Vlan50 - Group 1
Local state is Active, priority 200, may preempt
Hellotime 3 sec, holdtime 10 sec
Next helio sent in 2.248
Virtual IP address is 192.168.1.1 configured
Active router is local
Standby router is 192.168.1 .’ll expires in 9.860
virtual mac address is 0000.0c07.acOl
Authentication text "CCnP"
2 state changes, last state change 00:11:58
IP redundancy ñame is "hsrp-Vl50-l" (default)
Vlan50 - Group 2
^
Local state is .Standby, priority 100
Hellotime 3 sec, holdtime 10 sec
Next helio sent in 1.302
Virtual IP address is 192.168.1.2 configured
L^Ó. 1.íl>, priority 200 expires in 7.812
Authentication text "CCnP"
4 state changes, last state change 00:10:04
IP redundancy ñame is "hsrp-V150-2" (default)
www.FreeLibros.com
©RA-MA
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
419
Cat S u r # s h o w standby vían 50 brief
"
P indicates configured to preempt.
i n t e r f a c e Grp Prio PS t a t e
Active addr Standby addr Group addr
vl50
1
100
'standby 192.168.1.10 local
192.168.1.1
vl50
,2
200 P Active
local
192.168.1.10 192.168.1.2
Cat S u r # s h o w standby vían 50
Vlan50 - Group 1
Local state is Standby, priority 100
Hellotime 3 sec, holdtime 10 sec
Next helio sent in 0.980
Virtual IP address is 192.168.1.1 configured
Active router is 192.168.1.10, priority 200 expires in 8.128
Standby router is local
Authentication text "CCnP"
1 state changes, last state change 00:01:12
IP redundancy ñame is "hsrp-Vl50-l" (default)
Vlan50 - Group 2
Local state is Active, priority 200, may preempt
Hellotime 3 sec, holdtime 10 sec
Next helio sent in 2.888
Virtual IP address is 192.168.1.2 configured
Active router is local
Standby router is 192.168.1.10 expires in 8.500
Virtual mac address is 0000.0c07.ac02
Authentication text "CCnP"
1 state changes, last state change 00:01:16
VIRTUAL ROUTER REDUNDANCY PROTOCOL
VRRP (Virtual Router Redundancy Protocol) es un protocolo estándar
definido en la RFC 2338, con un funcionamiento y configuración similares a
HSRP, una comparación entre ambos es la siguiente:
•
VRRP proporciona una IP redundante compartida entre un grupo de
routers, de los cuales está el activo que recibe el nombre de master
mientras que el resto se les conoce como backup. El master es aquel con
mayor prioridad en el grupo.
•
Los grupos pueden tomar un valor entre 0 y 255, mientras que la prioridad
asignada a un router puede tomar valores entre 1 y 254 siendo 254 la más
alta y 100 el valor por defecto.
•
La dirección MAC virtual tiene el formato 0000.5e00.01xx, donde xx es el
número de grupo en formato hexadecimal.
•
Los helio de VRRP son enviados cada 1 segundo.
www.FreeLibros.com
420
REDES CISCO. CCNP a Fondo
©RA-MA
•
Por defecto los routers configurados con VRRP toman el rol de master en
cualquier momento.
•
VRRP no tiene un mecanismo para llevar un registro del estado de las
interfaces de la manera que lo hace HSRP.
El proceso de configuración de VRRP se realiza mediante los siguientes comandos:
•
Asignación de la prioridad:
vrrp group priority level
•
Cambio del intervalo del temporizador:
vrrp group timers advertise [msec] interval.
•
Para aprender el intervalo desde el router master.
vrrp group timers learn
•
Deshabilita la función de automáticamente tomar el rol de master:
no vrrp group preempt
•
Cambia el retraso en tomar el rol de master, por defecto es 0 segundos:
vrrp group preempt [delay seconds]
•
Habilita la autenticación:
vrrp group authentication string
•
Configura la IP virtual:
vrrp group ip ip-address [secondary]
La siguiente sintaxis es un ejemplo de configuración:
Cat_Norte(config)# interface vían 50
Cat_Norte(config-if)# ip address 192.168.1.10 255.255.255.0
Cat_Norte(config-if)# vrrp 1 priority 200
Cat_Norte(config-if)# vrrp 1 ip 192.168.1.1
Cat_Norte(config-if)# vrrp 2 priority 100
Cat_Norte(config-if)# no vrrp 2 preempt
Cat_Norte(config-if)# vrrp 2 ip 192.168.1.2
Cat_Sur(config)# interface vían 50
Cat_Sur(config-if)# ip address 192.168.1.11 255.255.255.0
Cat_Sur(config-if)# vrrp 1 priority 100
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
©-RA-MA
Cat Sur(config-if)#
Cat~Sur(config-if)#
Cat~Sur(config-if)#
Cat- Sur(config-if)#
421
no vrrp 1 preempt
vrrp 1 ip 192.168.1.1
vrrp 2 priority 200
vrrp 2 ip 192.168.1.2
La siguiente salida corresponde a los comandos show vrrp brief y show
vrrp:
Cat Norte# show vrrp brief
Interface Grp Pri Time Own Pre
Vlan50
1
200 3218
Y
State Master addr
Master 192.168.1.10
Vlan50
B a c k u p 192.168.1.11
2
100 3609
Cat Sur# show vrrp brief
Interface Grp Pri Time Own Pre
Vlan50
Vlan50
1
2
100 3609
200 3218
Group addr
192.168.1.1
192.168.1.2
State Master addr
Group addr
Backup 192.168.1.10
192.168.1.1
Master 192.168.1.11 192.168.1.2
Y
Cat_Norte# show vrrp
Vlan50 - Group 1
State is Master
Virtual IP address is 192.168.1.1
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 1.000 sec
Preemption is enabled
min delay is 0.000 sec
Priority is 200
Authentication is enabled
Master Router is 192.168.1.10 (local),
priority is 200
Master Advertisement interval is
1.000 sec
Master Down interval is 3.218 sec
Vlan50 - Group 2
State is Backup
Virtual IP address is 192.168.1.2
Virtual MAC address is 0000.5e00.0102
Advertisement interval is 1.000 sec
Preemption is disabled
Priority is 100
Authentication is enabled
Master Router is 192.168.1.11, priority
is 200
Master Advertisement interval is
1.000 sec
Master Down interval is 3.609 sec
(expires in 2.977 sec)
Cat_Sur# show vrrp
Vlan50 - Group 1
State is Backup
Virtual IP address is 192.168.1.1
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 1.000 sec
Preemption is disabled
www.FreeLibros.com
422
REDES CISCO. CCNP a Fondo
©RA-MA
Priority is 100
Authentication is enabled
Master Router is 192.168.1.10, priority
is 200
Master Advertisement interval is
1.000 sec
Master Down interval is 3.609 sec
(expires in 2.833 sec)
Vlan50 - Group 2
State is Master
Virtual IP address is 192.168.1.2
Virtual MAC address is 0000.5e00.0102
Advertisement interval is 1.000 sec
Preemption is enabled
min delay is 0.000 sec
Priority is 200
Authentication is enabled
Master Router is 192.168.1.11 (local),
priority is 200
Master Advertisement interval is
1.000 sec
Master Down interval is 3.218 sec
GATEWAY LOAD BALANCING PROTOCOL
GLBP (Gateway Load Balancing Protocol) es un protocolo propietario de
Cisco que sirve para añadir balanceo de carga sin la necesidad de utilizar múltiples
grupos a la función de redundancia con HSRP o VRRP.
Múltiples routers o switches son asignados a un mismo grupo, pudiendo
todos ellos participar en el envío de tráfico. La ventaja de GLBP es que los host
clientes no han de dividirse y apuntar a diferentes puertas de enlace, todos pueden
tener la misma. El balanceo de carga se lleva a cabo respondiendo a los clientes
con diferentes direcciones MAC, de manera que aunque todos apuntan a la misma
IP la dirección MAC de destino es diferente, repartiendo de esta manera el tráfico
entre los diferentes routers.
AVG
Uno de los routers del grupo GLBP es elegido como “puerta de enlace
virtual activa” o AVG (Active Virtual Gateway), dicho router es el de mayor
prioridad del grupo o en caso de no haberse configurado dicha prioridad, será el de
IP más alta. El AVG responde a las peticiones ARP de los clientes y la MAC que
envía dependerá del algoritmo de balanceo de carga que se esté utilizando.
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
©RA-MA
423
El AVG también asigna las MAC virtuales a cada uno de los routers del
grupo, pudiéndose usar hasta 4 MAC virtuales por grupo. Cada uno de esos routers
recibe el nombre de AVF (Active Virtual Forwarding) y se encarga de enviar el
tráfico recibido en su MAC virtual. Otros routers en el grupo pueden funcionar
como backup en caso de que el AVF falle.
La prioridad GLBP se configura con el siguiente comando:
Switch (config-if )#glbp group priority level
El rango de números que pueden usarse para definir grupos asume valores
entre 0 y 1023. El rango de prioridades es entre 1 y 255 siendo 255 la más alta y
100 la de por defecto.
Como ocurre en HSRP se tiene que habilitar la función preemt en caso de
ser necesario, ya que por defecto no está permitido tomar el rol de AVG a no ser
que éste falle. El siguiente comando lo configura:
Switch(config-if )#glbp group preempt [delay minimum seconds]
Para monitorizar el estado de los routers AVG se envían helio cada 3
segundos y en caso de no recibir respuesta en el intervalo de holdtime de 10
segundos, se considera que el vecino está caído. Es posible modificar estos
temporizadores con el siguiente comando:
Switch(config-if )#glbp group timers [msec] hellotime [msec] holdtime
Para modificar los temporizadores se debe tener en cuenta que el holdtime
debería ser al menos 3 veces mayor que el helio.
AVF
GLBP también usa mensajes helio para monitorizar los AVF (Active
Virtual Forwarder). Cuando el AVG detecta que un AVF ha fallado asigna el rol a
otro router, el cual podría ser o no otro AVF, teniendo entonces que enviar el
tráfico destinado a 2 MAC virtuales.
Para solventar el problema de estar respondiendo a mensajes destinados a
dos MAC virtuales se usan dos temporizadores:
•
Redirect. Determina cuándo el AVG dejará de usar la MAC del
router que falló para respuestas ARP.
www.FreeLibros.com
424
REDES CISCO. CCNP a Fondo
•
©RA-M a
Timeout. Cuando expira la MAC y el AVF que había fallado son
eliminados del grupo, asumiendo que ese AVF no se recuperará.
Los clientes necesitan entonces renovar su memoria y obtener la
nueva MAC.
El temporizador redirect es de 10 minutos por defecto, pudiendo
configurarse hasta un máximo de 1 hora. El temporizador timeout es de 4 horas por
defecto, pudiendo configurarse dentro del rango de 18 horas. Es posible ajustar
estos valores usando el siguiente comando:
Switch(config-if )#glbp g ro u p timers redirect r e d i r e c t t i m e o u t
GLBP usa una función de “peso” para determinar qué router será el AVF
para una MAC virtual dentro de un grupo. Cada router comienza con un peso
máximo entre 1 y 255 siendo por defecto 100. Cuando una interfaz en particular
falla, el peso es disminuido en el valor que esté configurado. GLBP usa umbrales
para determinar si un router puede o no ser el AVF. Si el valor del peso está por
debajo de ese umbral el router no puede asumir ese rol, pero si dicho valor volviera
a superar el umbral entonces sí podría.
GLBP necesita tener conocimiento sobre qué interfaces utilizarán este
mecanismo y cómo ajustar su peso. El siguiente comando especifica dicha interfaz:
S witch(c onfig )#track o b j e c t - n u m b e r interface t y p e mod/num {lineprotocol | ip routing}
El valor object-number simplemente referencia el objeto que se está
monitorizando y puede tener un valor entre 1 y 500. Las condiciones a verificar
pueden ser line-protocol o ip-routing. Seguidamente es necesario definir los
umbrales del peso para lo cual se utiliza el siguiente comando:
Switch(config-if )#glbp g ro u p weighting máximum [lower l o w e r ] [upper
upper]
El parámetro máximum indica con qué valor se inicia y los valores lower
y upper definen cuándo o cuándo no el router puede actuar como AVF.
Finalmente se debe indicar a GLBP qué objetos ha de monitorizar para
aplicar los umbrales de “peso”. Para ello se utiliza el siguiente comando:
Switch(config-if )#glbp g ro u p weighting track o b j e c t - n u m b e r
[decrement v a l u é ]
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
©RA-MA
425
El parámetro valué indica el valor que se disminuirá cuando el objeto
nionitorizado falle. Por defecto es 10 y puede ser configurado con un valor entre 1
y 254.
Balanceo de carga GLBP
AVG establece el balanceo de carga enviando MAC virtuales a los
clientes. Previamente estas MAC virtuales han sido asignadas a los AVF
permitiendo hasta un máximo de 4 MAC virtuales por grupo.
Los siguientes algoritmos se utilizan para el balanceo de carga con GLBP:
•
Round Robin, cada nueva petición ARP para la IP virtual recibe
la siguiente MAC virtual disponible. La carga de tráfico se
distribuye equitativamente entre todos los routers del grupo
asumiendo que los clientes envían y reciben la misma cantidad de
tráfico.
•
Weighted, el valor del peso configurado en la interfaz
perteneciente al grupo será la referencia para determinar la
proporción de tráfico enviado a cada AVF.
•
Host dependent, cada cliente que envía una petición ARP es
respondido siempre con la misma MAC. Es útil para clientes que
necesitan que la MAC de la puerta de enlace sea siempre la misma.
El método de balanceo de carga utilizado se selecciona con el siguiente
comando:
Switch(config-if )#glbp group load-balancing [round-robin | weighted
| host-dependent]
Habilitación de GLBP
Para habilitar GLBP se debe asignar una IP virtual al grupo mediante el
siguiente comando:
Switch(config-if )#glbp group ip [ip-address [secondary]]
Cuando en el comando la dirección IP no se configura será aprendida de
otro router del grupo. Para el caso puntual de la configuración del posible AVG es
necesario especificar la IP virtual para que los demás routers puedan conocerla.
www.FreeLibros.com
426
REDES CISCO. CCNP a Fondo
©RA-MA
En la siguiente figura existen 3 switches multicapa participando en un
grupo común GLBP. Catalyst A es elegido como AVG y por lo tanto coordina el
proceso. El AVG responde todas las peticiones de la puerta de enlace 192.168.1.1.
Dicho router se identifica a sí mismo y a Catalyst B y Catalyst C como AVF del
grupo.
C a ta ly s t A
AVF
C a ta ly s t B
S ta n d b y AVF
C a ta ly s t C
vM AC 0 0 00 .0 000 .0 001
vMAC 0000.0000.0002
vMAC 0000.0000.0003
VLAN SO
192.168.1.10
OOOO.aaaa.aaaa
VLAN SO
192,168.1.11
OOOO.bbbb.bbbb
VLAN 50
192.168.1.12
0 0 0 0 .cccc.cccc
Puerta de enlace:
Puerta de enlace:
Puerta de enlace:
Puerta de enlace:
192.168.1.1
192.168.1,1
192.168,1.1
192.168.1.1
ARP: 00 00 .0000.0001
ARP: 0000 .0 000 ,0 002
ARP: 00 00 .0000.0003
ARP: 0000.0000.0001
VLAN 50
CatalystA(config)# interface vían 50
CatalystA(config-if)# ip address 192.168.1.10 255.255.255.0
CatalystA(config-if)# glbp 1 priority 200
CatalystA(config-if)# glbp 1 preempt
CatalystA(config-if)# glbp 1 ip 192.168.1.1
CatalystB(config)# interface vían 50
CatalystB(config-if)# ip address 192.168.1.11 255.255.255.0
CatalystB(config-if)# glbp 1 priority 150
CatalystB(config-if)# glbp 1 preempt
CatalystB(config-if)# glbp 1 ip 192.168.1.1
www.FreeLibros.com
©RA-MA
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
427
Catal y s t C (config)# interface vían 50
(config-if)# ip address 192.168.1.12 255.255.255.0
glbp 1 priority 100
C ata l y s t C (config-if)# glbp 1 ip 192.168.1.1
C a t a l y s t C
C a t a l y s t C (config-if)#
Utilizando el método de balanceo de carga round-robin, cada uno de los
pC hace peticiones ARP de la puerta de enlace. Al iniciar los PC de izquierda a
derecha el AVG va asignando la siguiente MAC virtual secuencialmente.
Para ver información acerca de la operación de GLBP se pueden utilizar
los comandos show glbp brief o show glbp, como se muestra en los siguientes dos
ejemplos.
CatalystA# show glbp
Interface Grp Fwd Pri
V150
1
200
V150
1 1 7
V150
1 2
7
V150
1 3
7
brief
State
Active
Active
Listen
Listen
Address
192.168.1.1
00 0 7 .b400.0101
00 0 7 .b400.0102
00 0 7 .b400.0103
Active
Standby
local
192.168.1.11
local
192.168.1.11
192.168.1.13
CatalystB# show glbp brief
Interface Grp Fwd Pri State Address
Active
Standby
V150
1 1 7
Listen 00 0 7 .b400.0101 192.168.1.10
V150
1 2
7
Active 00 0 7 .b400.0102
local
V150
1 3
7
Listen 00 0 7 .b400.0103 192.168.1.13
CatalystC# show glbp brief
Interface Grp Fwd Pri State
V150
192.168.1.11
V150
1
V150
1
V150
1
Address
100 Listen
Active
192.168.1.1
Standby
192.168.1.10
Listen 0007.b400.0101 192.168.1.10 Listen 0007.b400.0102 192.168.1.11 Active 00 0 7 .b400.0103 local
CatalystA# show glbp
Vlan50 - Group 1
State is Active
7 state changes, last state change 03:28:05
Virtual IP address is 192.168.1.1
Helio time 3 sec, hold time 10 sec
Next helio sent in 1.672 secs
Redirect time 600 sec, forwarder time-out 14400 sec
Preemption enabled, min delay 0 sec
Active is local
Standby is 192.168.1.11, priority 150 (expires in 9.632 sec)
Priority 200 (configured)
Weighting 100 (default 100), thresholds: lower 1, upper 100
Load balancing: round-robin
There are 3 forwarders (1 active)
Forwarder 1
State is Active
www.FreeLibros.com
428
REDES CISCO. CCNP a Fondo
©RA-M a
3 state changes, last state change 03:27:37
MAC address is 0007.b400.0101 (default)
Owner ID is OOdO.0229.b80a
Redirection enabled
Preemption enabled, min delay 30 sec
Active is local, weighting 100
'
Forwarder 2
State is Listen
MAC address is 0007.b400.0102 (learnt)
Owner ID is 0007.b372.dc4a
Redirection enabled, 598.308 sec remaining (máximum 600 sec)
Time to live: 14398.308 sec (máximum 14400 sec)
Preemption enabled, min delay 30 sec
Active is 192.168.1.11 (primary), weighting 100 (expires in 8.308
sec)
Forwarder 3
State is Listen
MAC address is 0007.b400.0103 (learnt)
Owner ID is 00d0.ff8a.2c0a
Redirection enabled, 599.892 sec remaining (máximum 600 sec)
Time to live: 14399.892 sec (máximum 14400 sec)
Preemption enabled, min delay 30 sec
Active is 192.168.1.13 (primary), weighting 100 (expires in 9.892
sec)
REDUNDANCIA EN EL CHASIS DEL SWITCH
Algunos equipos tienen la capacidad de proporcionar redundancia en la
procesadora y se lleva a cabo usando hardware de backbup, o lo que es lo mismo,
una procesadora principal y una secundaria.
Dichos equipos también cuentan con fuentes de alimentación redundantes,
de nada serviría un equipo capaz de proporcionar redundancia entre procesadoras si
quedase indisponible por un simple fallo eléctrico.
Supervisoras redundantes
Hay varias plataformas como es el caso de la serie 6500 que aceptan dos
módulos o tarjetas supervisoras en el mismo chasis. De manera que uno funciona
como activo y otro como standby.
El módulo que está activo se encontrará en estado totalmente operacional,
mientras que el que está en standby estará parcialmente inicializado preparado para
actuar en caso de que el principal falle.
Es posible configurar los siguientes modos de redundancia:
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
© r A-MA
429
•
RPR (Route Processor Redundancy). La procesadora redundante está
parcialmente arrancada e inicializada. Si la supervisora activa falla, deberá
reiniciar todas las tarjetas del switch este proceso hace inicializar las
funciones completas de supervisora que estaba en estado redundante. Los
Catalyst 6500 con supervisoras 2 y 720, Catalyst 4500R con supervisoras
IV y V soportan RPR. El tiempo de cambio de estado es superior a 2
minutos.
•
RPR+ (Route Processor Redundancy Plus). La procesadora redundante está
arrancada, pero las funciones de. capa 2 y 3 no están inicializadas. Si la
procesadora activa falla, la supervisora redundante finalizará su
inicialización sin tener que reiniciar al resto de tarjetas, de manera que los
puertos mantendrán su estado. Los Catalyst 6500 con supervisoras 2 y 720
RPR+. El tiempo de cambio de estado es superior a 30 segundos.
•
SSO (Stateful Switchover). La procesadora redundante está totalmente
arrancada e inicializada, y la información sincronizada con la supervisora
principal. Las funciones de capa 2 se mantienen entre ambas supervisoras
de manera que la conmutación puede continuar ante el evento de un fallo
de la supervisora principal, y las interfaces no variarán de estado durante el
mismo. Los Catalyst 6500 con supervisoras 720, Catalyst 4500R con
supervisoras IV y V soportan RPR. El tiempo de cambio de estado es
superior a 1 segundo.
Configuración de la redundancia
El proceso de configuración de redundancia de supervisoras se inicia
mediante el siguiente comando:
Router(config)#redundancy
Posteriormente se debe seleccionar un modo determinado:
Router(config-red)#mode {rpr | rpr-plus | sso}
Cuando se utilice RPR+ o SSO ambas supervisoras deben poseer la misma
imagen IOS. Cuando sea la primera vez que se configura redundancia en el equipo
habrá que hacerlo tanto en la supervisora principal como en la secundaria.
Para verificar el modo de redundancia y el estado se utiliza el siguiente
comando:
Router#show redundancy status
www.FreeLibros.com
430
REDES CISCO. CCNP a Fondo
©RA-M a
La siguiente salida muestra un ejemplo de este comando:
Router# show redundancy states
my state = 13 -ACTIVE
peer state = 8 -STANDBY HOT
Mode = Dúplex
Unit = Secondary
ünit ID — 2
Redundancy Mode (Operational) = Route Processor Redundancy Plus
Redundancy Mode (Configured) = Route Processor Redundancy Plus
Split Mode = Disabled
Manual Swact = Enabled
Communications = Up
client count = 11
client_notification_TMR = 30000 milliseconds
keep_alive TMR = 9000 milliseconds
keep_alive count = 1
keep_alive threshold = 18
RF debug mask = 0x0
Configuración de la sincronización entre supervisoras
Por defecto, la supervisora activa sincroniza su configuración activa y su
registro de configuración con la supervisora standby. Se puede especificar más
información para que sea sincronizada. Para esto se utilizan los siguientes
comandos:
R o u t e r (conf ig)#redundancy
R o u t e r (config-red )#main-cpu
Router(config-r-mc )#auto-sync {startup-config | config-register |
bootvar}
Non-Stop Forwarding
Existe otra forma de redundancia para las plataformas 4500 y 6500 (con
supervisoras 720) junto con SSO. Non-Stop Forwarding o NSF es un método
propietario de Cisco usado para reconstruir rápidamente la RIB (Routing
Information Base) después de que se haya producido un cambio de supervisoras.
La RIB es utilizada para construir la FIB para que cualquier módulo del switch
lleve a cabo la operación CEF.
En lugar de esperar a que la FIB se reconstruya el router consigue
asistencia de vecinos configurados con NSF. Estos vecinos pueden pasar
información de enrutamiento a la supervisora que está en standby, haciendo así que
las tablas se actualicen rápidamente.
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
© r A-MA
431
NSF debe estar configurado en la propia configuración de los protocolos
de enrutamiento de los switches considerados como vecinos. Es soportado por
BGP,EIGRP, OSPF y IS-IS.
La siguiente tabla muestra los pasos de configuración para los diferentes
protocolos.
Protocolo
BGP
Configuración
Router(config)# router bgp as-number
R o u t e r (config-router)# bgp graceful-
restart
EIGRP
Router(config)# router eigrp as-number
Router(config-router)# nsf
OSPF
Router(config)# router ospf process-id
Router(config-router)# nsf
IS-IS
Router(config)# router
Router(config-router)#
Router(config-router)#
[minutes]
Router(config-router)#
[seconds]
isis [tag]
nsf [cisco | ietf]
nsf interval
nsf t3 {manual
| adjacency}
Router(config-router)# nsf interface wait
seconds
Fuentes de alimentación redundantes
Las plataformas 4500R y 6500 admiten fuentes de alimentación
redundantes en el mismo chasis. La cantidad de energía proporcionada ha de ser
idéntica.
Pueden configurarse dos modos de operación:
•
Modo combinado. Ambas fuentes de alimentación proporcionan
energía simultáneamente al switch. La energía total requerida por
el switch puede exceder la proporcionada por una de las fuentes,
pero no por ambas. Con este método no hay redundancia debido a
que si una de las fuentes falla varias de las tarjetas del switch
podrían apagarse dependiendo de la cantidad de energía
proporcionada por la fuente que ha quedado en funcionamiento.
www.FreeLibros.com
432
REDES CISCO. CCNP a Fondo
•
©RA-M a
Modo redundante. Cada una de las fuentes puede proporcionar el
total de energía necesitado por el chasis. Si una falla la otra
comienza a funcionar automáticamente.
Por defecto el modo usado es el redundante. Para ver la configuración se
utiliza el siguiente comando:
Switch#show power [redundancy-mode | status | available | used |
total]
La sintaxis es un ejemplo de la salida del comando:
Switch# show power
system
system
system
system
power redundancy mode = redundant
power total =
1153.32 Watts (27.46 Amps @ 42V)
power used =
693.42 Watts (16.51 Amps @ 42V)
power available =
459.90 Watts (10.95 Amps § 42V)
Power-Capacity PS-Fan Output Oper
PS Type
Watts A @42V Status Status State
1
2
WS-CAC-1300W
WS-CAC-1300W
Slot Card-Type
1
2
3
4
5
1153 *32 27.46 O K
1153.32 27.46 O K
OK
on
OK
on
Pwr-Requested Pwr-Alíocated Admin Oper
Watts A @42V Watts A @42V State State
WS-X6K-SUP2-2GE
145.32
WS-X6348-RJ45
WS-X6516-GBIC
WS-C6500-SFM
100.38
142.80
117.18
3.46 145
145
2.39 100
3.40 142
2.79 17.
32 3.46
32 3.46
38 2.39
80 3.40
8 2.79
on
on
on
on
on
on
on
on
El comando show power también muestra información acerca del estado
de cada módulo del switch, la cantidad de energía que está pidiendo recibir y la que
realmente se le está otorgando.
Cuando el switch tenga conectados dispositivos que requieran Inline Power
o Power Over Ethemet (PoE) se puede utilizar el comando show power inline
como muestra el siguiente ejemplo:
Switch# show power inline
Interface Admin Oper Power
(Watts)
Fa3/1
Fa3/2
Fa3/3
Fa3/4
Fa3/5
Fa3/6
auto
auto
auto
auto
auto
auto
off
on
on
on
on
on
0 n/a
6.2 cisco
6.2 cisco
5.6 Cisco
5.6 Cisco
6.3 Cisco
Device
AIR-AP1230B-A
AIR-AP1230B-A
IP Phone 7905
IP Phone 7905
IP Phone 7940
www.FreeLibros.com
CAPÍTULO 16. BALANCEO DE CARGA Y REDUNDANCIA
©RA-MA
Fa3 /7
Fa3/8
Fa3 /9
Fa3/10
Fa3/H
Fa3/12
Fa3/13
Fa3/14
auto
auto
auto
auto
auto
auto
auto
auto
on
on
off
on
off
on
on
on
6.3 Cisco
6.3 Cisco
0 n/a
6.3 Cisco
0 n/a
6.3 Cisco
6.3 Cisco
6.3 Cisco
433
IP Phone 7940
IP Phone 7940
IP Phone 7912
IP Phone 7940
IP Phone 7940
IP Phone 7940
El modo de proporcionar energía puede cambiarse usando el siguiente
comando:
S w i t c h (config)#
power redundancy-mode {redundant | combined}
Es posible seleccionar un determinado módulo para proporcionarle energía;
con un no antepuesto delante del comando se dejará de suministrar energía a dicho
módulo:
S w i t c h (config)# [no] power enable module
www.FreeLibros.com
slo t
www.FreeLibros.com
Capítulo 17
TELEFONÍA IP
POWER OVER ETHERNET
Un teléfono IP Cisco es como otro nodo cualquiera de la red, necesita
energía para que pueda funcionar. Dicha energía la puede conseguir de dos fuentes
diferentes:
•
Un adaptador AC (Corriente Alterna) externo.
•
PoE (Power over Ethemet) sobre el cable de datos de red.
El adaptador AC externo se conecta a una toma de corriente transformando
la corriente alterna de la red eléctrica a 48 voltios de corriente continua (48 VDC).
Estos adaptadores son útiles si no es posible utilizar PoE, pero con un fallo de
energía en la red eléctrica el teléfono IP fallaría. Con PoE este problema no
existiría, se estarían dando los 48 voltios DC que el teléfono IP necesita a través del
cable de par trenzado utilizado para la conectividad Ethemet. El origen de la
energía en PoE es el switch Catalyst con lo que no se necesita otra fuente de
energía adicional a menos que sé utilice un adaptador AC como fuente redundante.
PoE tiene el beneficio adicional de que puede ser gestionado y
monitorizado, funciona con teléfonos IP Cisco o con cualquier otro dispositivo
compatible. Con un nodo que no necesite funcionar con PoE, como un PC normal,
el switch simplemente no ofrece la energía en el cable.
www.FreeLibros.com
436
REDES CISCO. CCNP a Fondo
©RA-MA
El switch Catalyst podría estar conectado a una UPS (Uninterruptible
Power Supply) o utilizar fuentes alternativas, para que en el caso de que la
principal falle sigua siendo capaz de alimentar al teléfono IP.
Funcionamiento de PoE
Un switch Catalyst puede ofrecer PoE en sus puertos sólo si está diseñado
para hacerlo. Tiene que tener una o más fuentes de alimentación preparadas para
brindar la carga adicional que ofrecerá a los dispositivos conectados. PoE está
disponible en muchas plataformas incluyendo los Catalyst 3750 PWR, los 4500 y
los 6500.
Existen dos métodos de proporcionar PoE a los dispositivos conectados:
•
Cisco Inline Power (ILP), es un método propietario de Cisco
desarrollado antes del estándar IEEE 802.3 AF.
•
IEEE 802.3 AF, es un método estándar que ofrece compatibilidad
entre diferentes fabricantes y cumple la misma función que su
antecesor.
Detección de dispositivos alimentados
El switch siempre mantiene la energía deshabilitada cuando el puerto está
caído pero tiene que detectar cuándo un dispositivo que necesita alimentación se
conecta al puerto. En caso de conexión el switch tiene que comenzar a generar la
energía para que el dispositivo pueda inicializarse y hacerse operacional. Sólo a
partir de ese momento el enlace Ethemet será establecido.
Existen dos métodos de PoE para que los switch Catalyst intenten detectar
a los dispositivos alimentados. Para IEEE 802.3AF los dispositivos comienzan
dando una pequeño voltaje a través de los pares transmisores de par trenzado
variando de esta forma la resistencia del par. Si se miden 25 KO (25000 Ohms) se
presume que el dispositivo esta disponible.
El switch también puede aplicar diferentes voltajes para comprobar los
valores de resistencia correspondiente; estos valores son aplicados por el
dispositivo alimentado para indicar a cuáles de las 5 clases de potencia del estándar
IEEE 802.3AF pertenecen. Conociendo esto, el switch asigna el valor máximo de
energía de consumo solicitado por el dispositivo. La siguiente tabla define estas 5
clases de energías o potencias.
www.FreeLibros.com
©RA-MA
CAPÍTULO 17. TELEFONÍA IP
Máxima Potencia
ofrecida con 48V
Característica de
0
15,4W
Clase por defecto.
1
4,0W
Clase opcional.
2
7,0W
Clase opcional.
3
15.4W
Clase opcional.
—
Reservado para futuros
usos.
Clase de
Potencia
4
437
La clase por defecto se utiliza si el dispositivo no soporta el sistema de
descubrimiento de energía.
El método Cisco ILP toma un camino distinto al del 802.3AF, en lugar de
ofrecer voltajes y chequear el nivel de la resistencia el switch envía un tono a una
frecuencia de 340 KHz (340000 ciclos por segundo) en el par transmisor del cable
de par trenzado. El tono se envía antes del voltaje para que el switch detecte si el
dispositivo es capaz de soportar ILP antes de brindar energía. Los dispositivos que
no estén preparados para recibir estos niveles de tensión podrían resultar dañados.
Un dispositivo alimentado como un teléfono IP genera un bucle en los
pares transmisores y receptores de su propia conexión Ethemet mientras efectúa el
proceso de encendido. Cuando se ésta conectando a ILP el switch puede oír este
tono de test donde se ha formado el bucle, asumiendo de manera segura que puede
aplicar energía al dispositivo sin dañarlo.
Proporcionado energía a un dispositivo
La energía puede ser proporcionada de dos maneras:.
•
Cisco ILP proporciona la energía sobre los cables de par trenzado
2 y 3, que son los pares de datos, con 48 VDC.
•
IEEE 802.3AF, la energía puede ser proporcionada de la misma
manera, es decir, sobre los pares 2 y 3 o además sobre los pares 1 y
4.
www.FreeLibros.com
438
REDES CISCO. CCNP a Fondo
©RA-MA
Pin 1: Blanco naranja
Par 2
Pin 2: Naranja
Pin 3: Blanco verde
Pin 4: Azul
Pin 5: Blanco Azul
Pin 6: Blanco verde
Pin 7: Blanco marrón
Par 4
Pin 8: Marrón
Ahora el dispositivo tiene la posibilidad de encenderse y establecer los
enlaces Ethemet. La oferta de energía entregada al dispositivo por defecto puede
ser cambiada a un valor más ajustado, esto puede ayudar a suplir menor energía
ajustándose a la realidad que los dispositivos necesitan. Con 802.3AF la oferta de
energía puede cambiarse detectando la clase de energía del dispositivo. Para Cisco
ILP el switch puede intentar efectuar un intercambio de mensajes CDP con el
dispositivo. Si la información de CDP es devuelta, el switch podrá descubrir los
requerimientos reales del dispositivo, reduciendo la energía a la que realmente
necesita.
Con los comandos debug ilpower controller y debug cdp packets,
pueden verse los cambios de energía, en el ejemplo siguiente se muestra como la
energía ha sido reducida de 15000 mW a 6300 mW:
00:58:46: ILP uses AC Disconnect(Fal/0/47): state= ILP_DETECTING_S,
event=
PHY_CSCO_DETECTED_EV
00:58:46: %ILPOWER-7-DETECT: Interface Fal/0/47: Power Device
detected: Cisco PD
00:58:46: Ilpower PD device 1 class 2 from interface (Fal/0/47)
00:58:46: ilpower new power from pd discovery Fal/0/47, power_status
ok
00:58:46: Ilpower interface (Fal/0/47) power status change,
allocated power 15400
00:58:46: ILP Power apply to ( Fal/0/47 ) Okay
00:58:46: ILP Start PHY Cisco IP phone detection ( Fal/0/47 ) Okay
00:58:46: %ILPOWER-5-POWER_GRANTED: Interface Fal/0/47: Power
granted
00:58:46: ILP uses AC Disconnect(Fal/0/47): state=
ILP_CSCO_PD_DETECTED_S, event=IEEE_PWR_GOOD_EV
00:58:48: ILP State_Machine ( Fal/0/47 ): State=
ILP_PWR_GOOD_USE_IEEE_DISC_S, Event=PHY_LINK_UP_EV
www.FreeLibros.com
©RA-MA
CAPÍTULO 17. TELEFONÍA IP
439
0 0 ;5 8 ;4 8 : ILP uses AC Disconnect(Fal/0/47): state=
XLP PWR_GOOD_USE_IEEE_DISC_S, event=PHY_LINK_UP_EV
0 0 ;5^8 :50 í %LINK-3-UPDOWN: Interface FastEthernetl/0/47 , changed
state to up
00:58:50: CDP-AD: Interface FastEthernetl/0/47 coming up
0 0 :5 8 :50: ilpower_powerman_power_available_tlv: about sending patlv
on Fal/0/47
00:58:50: req id 0, man id 1, pwr avail 15400, pwr man — 1
00:58:50: CDP-PA: versión 2 packet sent out on FastEthernetl/0/47
00:58:51: %LINEPR0T0-5-UPD0WN: Line protocol on Interface
FastEthernetl/0/47, changed state to up
00:58:54: CDP-PA: Packet received from SIP0012435D594D on interface
FastEthernetl/0/47
00:58:54: **Entry NOT found in cache**
00:58:54: Interface(Fal/0/47) - processing oíd tlv from cdp, request
6300, current allocated 15400
00:58:54: Interface (Fal/0/47) efficiency is 100
00:58:54: ilpower_powerman_power_available_tlv: about sending patlv
on Fal/0/47
00:58:54: req id 0, man id 1, pwr avail 6300, pwr man — 1
00:58:54: CDP-PA: versión 2 packet sent out on FastEthernetl/0/47
CONFIGURACIÓN DE PoE
PoE se configura de manera sencilla, cada Puerto del switch puede detectar
automáticamente la presencia de un dispositivo capacitado para ILP antes de
aplicar energía al puerto. También puede configurarse de tal manera que el puerto
no acepte ILP. Por defecto todos los puertos del switch intentan descubrir
dispositivos que sean ILP para cambiar este comportamiento se utiliza la siguiente
serie de comandos:
Switch(config)# interface type mod/num
Switch(config-if)# power inline {auto [max milli-watts]
[max milli-watts] \ never}
\ static
Por defecto todas las interfaces del switch están configuradas en auto,
donde el dispositivo y la oferta de energía se descubren automáticamente. La oferta
de energía por defecto es 15,4 W (Watts); este valor de máxima energía puede
configurarse a través del parámetro max de 4000 a 15400 mW.
Es posible configurar una oferta de energía estática con el parámetro static
si el dispositivo no es capaz de interactuar con cualquiera de los métodos de
descubrimiento de energía. Para deshabilitar PoE en el puerto de tal manera que
nunca se detecten dispositivos y no se ofrezca energía se utiliza el parámetro
never.
www.FreeLibros.com
440
REDES CISCO. CCNP a Fondo
©RA-M a
VERIFICACION DE PoE
El estado de la energía se puede verificar en los puertos del switch con el
siguiente comando:
Switch# show power inline [ t y p e mod/num]
El siguiente ejemplo proporciona una salida del comando; si la interfaz se
muestra como n/a, se ha utilizado ILP; de lo contrario es 802.3AF
Switch# show power inline
Module Available Used Remaining
(Watts) (Watts) (Watts)
1 370.0 39.0 331.0
Interface Admin Oper Power Device
(Watts)
Class Max
Fal/0/1
Fal/0/2
Fal/0/3
Fal/0/4
Fal/0/5
Fal/0/6
Fal/0/7
n/a 15.4
n/a 15.4
n/a 15.4
PD 0 15.4
PD 1 15.4
n/a 15.4
n/a 15.4
auto
on 6.5 AIR-AP1231G-A-K9
auto
on 6.3 IP Phone
7940
auto
on 6.3 IP Phone
7960
auto
on 15.4 Ieee
auto
on 4.5 Ieee
static on 15.4 n/a
auto off 0.0 n/a
VLAN DE VOZ IP
Un teléfono IP Cisco proporciona una conexión de datos para un PC
terminal además de su propia conexión, esto permite que sólo se instale un cable
Ethemet por usuario. El teléfono IP de Cisco también puede controlar algunos de
los aspectos sobre cómo los paquetes son presentados al switch. La mayoría de los
teléfonos IP Cisco tienen un switch incorporado de 3 puertos que se conecta hacia
el switch principal, al usuario y al propio teléfono internamente.
Los puertos de voz y del PC de usuario funcionan como puertos de un
switch en modo de acceso, el puerto que conecta al switch principal puede operar
como un troncal 802.1Q o como puerto de acceso.
El modo de enlace entre el teléfono y el switch es negociado, pudiendo
configurar el switch para instruir al teléfono para que use un determinado caso de
802.1Q o una simple VLAN de acceso. Con un troncal el tráfico de voz puede ser
aislado del tráfico de datos proporcionando seguridad y capacidades de calidad de
servicio. Como un enlace de acceso de voz y datos se combina en la misma VLAN,
simplifica otros aspectos de la configuración del switch porque no se necesita tener
una VLAN de voz separada. Pero aun así se podría comprometer la calidad de la
www.FreeLibros.com
CAPÍTULO 17. TELEFONÍA IP
©RA-MA
441
voz dependiendo de la mezcla de aplicaciones del PC y del tráfico que hay en el
enlace.
Configuración de la VLAN de voz
Los paquetes de voz junto con la información de calidad de servicio se
llevan en una única VLAN de voz conocida como VVID (Voice VLAN ID) o
sobre una VLAN nativa o PVID (port VLAN ID). En el enlace del teléfono IP sólo
necesitará configurar el puerto del switch donde se conectará, el switch instruye al
teléfono para seguir el modo seleccionado, además el puerto del switch no necesita
ninguna configuración especial de troncal. Si es necesario un troncal 802.1Q se
forma un troncal especial de manera automática negociado mediante DTP
(Dynamic Trunking Protocol) y CDP.
Se utiliza el siguiente comando de configuración de interfaz para
seleccionar el modo se VLAN de voz que se utilizará:
Switch(config-if)# switchport voice vían {vlan-id \ dotlp | untagged
| none}
La siguiente tabla muestra los tipos de configuración de VLAN de voz:
Parámetro
Transporte
VLAN voz
QoS (CoS
bits)
vlan-id
PC datos
VLAN vlan-id
802. IP
dotlp
PC datos
VLANO
802.IP
untagged
PC datos y voz
—
—
none (defecto)
PC datos y voz
—
—
La condición por defecto para cada puerto del switch donde no se usan
enlaces troncales es none. Todos los modos excepto none utilizan un modo
especial del troncal 802.1Q. La única diferencia entre dotlp y untagged es la
manera en que encapsulan el tráfico de voz. El modo dotlp dispone los paquetes de
voz en la VLAN 0 lo cual requiere una configuración de vlan-id que no sea la
nativa, pero no necesita la creación de VLAN de voz. El modo untagged pone los
paquetes de voz en la VLAN nativa por lo que no necesita vlan-id ni una VLAN de
voz única.
www.FreeLibros.com
442
REDES CISCO. CCNP a Fondo
©RA-MA
El modo más versátil utiliza vlan-id, voz y tráfico de usuario son
transportados por separado, los paquetes de voz además contienen información de
calidad de servicio (QoS) en el enlace en el campo correspondiente a 802. IP.
El caso especial 802.IP trunk se habilita automáticamente a través del
intercambio de información CDP entre el switch y el teléfono IP. El troncal
contiene 2 VLAN, la de voz etiquetada VVID y la de datos. La VLAN de acceso
del puerto del switch se utiliza como la VLAN de datos, que lleva los paquetes
desde y hacia el PC conectado al puerto correspondiente en el teléfono IP. Si un
teléfono IP se elimina y el PC se conecta al mismo puerto del switch funcionará
normalmente debido a que la vían de datos estará en el puerto de acceso, incluso
cuando el troncal especial no siga funcionando.
Verificación de la VLAN de voz
Se puede verificar el modo de operación del puerto del switches ya sea de
acceso o troncales y la VLAN de voz utilizando el comando show interface
switchport.
Switch# show interfaces fastEthernet 1/0/1 switchport
Ñame: Fal/0/1
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 10 (VLAN0010)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: 110 (VoIP)
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dotlq
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
www.FreeLibros.com
©RA-MA
CAPÍTULO 17. TELEFONÍA IP
443
Cuando en el troncal del teléfono IP no está activo no se muestra en los
comandos show, pero es posible saber que la VLAN est"a llevada en los enlaces
troncales mirando la actividad de Spanning Tree. STP ejecuta dos instancias, una
para la VLAN de datos y otra para la VLAN de voz y se muestran con el comando
show spanning-tree interface.
El siguiente ejemplo muestra un switch que está configurado con la VLAN
10 para datos y la VLAN 110 para voz y la VLAN 99 como nativa:
show running-config interface fastethernet 1/0/1
interface FastEthernetl/0/1
switchport trunk native vían 99
switchport access vían 63
switchport voice vían 306
Switch# show spanning-tree interface fastethernet 1/0/1
Vían Role Sts Cost Prio.Nbr Type
Switch#
VLAN0010 Desg FWD 19 128.51 P2p
VLAN0110 Desg FWD 19 128.51 P2p
CALIDAD DE SERVICIO EN VOZ IP
En una red normal con poca utilización un switch envía los paquetes tan
pronto como le llegan, pero si la red está congestionada los paquetes no pueden ser
entregados en un tiempo razonable. Tradicionalmente la disponibilidad de la red se
incrementa aumentando el ancho de banda de los enlaces o el hardware de los
switch. QoS (Quality of Service) ofrece técnicas utilizadas en la red para priorizar
un tráfico determinado respecto a otros. El aspecto más importante de transportar
tráfico de voz en una red de datos es mantener un nivel de QoS adecuado. Los
paquetes de voz deben ser entregados lo más rápido posible con mínima
fluctuación, pocas pérdidas y mínimo retraso.
Visión general de QoS
Diferentes tipos de aplicaciones tienen a su vez diferentes requerimientos
acerca de cómo deben ser enviados sus datos de extremo a extremo, por ejemplo es
aceptable que se espere una pequeña cantidad de tiempo para mostrar una página
Web, sin embargo los mismos retrasos no serían tolerables para una imagen de
vídeo o una conversación telefónica. Cualquier pérdida o retraso en la entrega de
los paquetes puede arruinar el propósito de la aplicación.
Existen 3 conceptos básicos que pueden ocurrir a los paquetes cuando son
enviados a través de la red.
www.FreeLibros.com
444
REDES CISCO. CCNP a Fondo
©RA-MA
•
Delay o retraso, cuando un paquete es enviado a través de la red su
entrega sufre un retraso en un período debido al tiempo que requiere el
medio de transmisión, el tiempo requerido por el router y el switch en
buscar en sus tablas, etc. El retraso total desde el principio hasta el final es
conocido como latencia. En síntesis, el retraso puede considerarse como
tiempo desde que el usuario presiona una tecla hasta que ese carácter se ve
en el terminal correspondiente.
•
Fluctuación o jitter, algunas aplicaciones se encargan de la entrega de una
serie de datos relacionados. La entrega de estos paquetes puede retrasarse
de tal manera que no pueden llegar a tiempos previsibles. Esta variación en
el retraso se conoce como jitter. Los medios de audio son particularmente
susceptibles a las fluctuaciones si los datos de audio no llegan con una
velocidad adecuada y constante pueden ocurrir cortes.
•
Pérdidas, en casos extremos los paquetes que entran en un medio muy
congestionado se eliminan sin que nunca lleguen a ser entregados. Una
cierta pérdida de paquetes es normal y aceptable y ciertamente recuperable
por algunas aplicaciones que utilizan un protocolo confiable orientado a la
conexión, como puede ser TCP. Otras aplicaciones no son tolerantes y los
paquetes eliminados se pierden.
Para solucionar y aliviar este tipo de condiciones una red puede emplear 3
tipos básicos de QoS:
•
Best-effort
•
Servicios integrados
•
Servicios diferenciados
Best-effort
Este método simplemente envía paquetes a medida que los va recibiendo
sin aplicar ninguna tarea específica real, los switches y los routers hacen su trabajo
de la mejor manera para entregar los paquetes lo más rápido posible sin importar el
tipo de tráfico o las prioridades de servicio.
Servicios integrados
La idea básica detrás de este sistema es preacordar un camino para los
datos que necesitan prioridad a lo largo del camino completo. Comenzó a
desarrollarse con la RFC 1633, que se refiere a RSVP (Resource Reservation
Protocol) desarrollado como el mecanismo para programar y reservar el ancho de
www.FreeLibros.com
©RA-MA
CAPÍTULO 17. TELEFONÍA IP
445
banda adecuado del camino de una aplicación. El origen de la aplicación requiere
los parámetros de QoS a través de RSVP, cada dispositivo de red a lo largo del
camino tiene que verificar que esa petición puede ser soportada. Cuando el
recorrido del camino completo está de acuerdo en las mínimas características
requeridas, el camino se acepta. El origen es señalizado con una confirmación para
poder empezar a utilizar el camino.
Servicios diferenciados
El modelo de servicios integrados no es capaz de escalar muy bien debido
a la cantidad de los recursos que necesita para estar reservando los anchos de
banda. Los servicios diferenciados (DiffServ) permiten a cada dispositivo de red
manejar los paquetes de una manera individual, cada router o switch puede
configurar sus propias políticas de calidad de servicio para seguir y para tomar
decisiones acerca de cómo deben enviar los paquetes.
Los servicios diferenciados no requieren reservas previas a la calidad de
servicio, se manejan dinámicamente de manera distribuida, es decir, mientras los
servicios integrados aplican QoS por flujo, DiffServ aplica la QoS a un grupo de
flujos similares por salto. DiffServ también se basa en las decisiones de QoS
tomadas en la información contenida en el campo 2 de la cabecera del paquete IP.
En este libro se tratarán más a fondo los conceptos de los servicios
diferenciales.
MODELO QoS DIFFSERV
Los servicios diferenciados generan un comportamiento diferente por salto
en cada router o switch inspeccionando la cabecera de cada paquete para decidir
cómo realizar el envío de ese paquete. Toda la información necesaria para esta
decisión viaja en la cabecera, que por sí misma no puede disponer su propio
manejo, simplemente presenta ciertas banderas, etiquetas ó marcas que servirán
para ser utilizadas en la decisión de envío basada en las políticas de QoS
configuradas en cada router o switch a lo largo del camino.
Clasificación de capa 2 de QoS
Las tramas de capa 2 por sí mismas no tienen un mecanismo que indique la
prioridad o importancia de su contenido. Una trama simplemente es tan importante
como otra, de esta manera un switch de capa 2 solamente puede enviar tramas de la
manera Best-effort. Cuando las tramas son transportadas de un switch a otro
switch a través del troncal surge la posibilidad de clasificarlas. La encapsulación
www.FreeLibros.com
446
REDES CISCO. CCNP a Fondo
©RA-MA
que viaja por el troncal incluye la identificación de VLAN, un campo que permite
marcar el coste y la clase de servicio (CoS) en cada trama. Esto es utilizado por los
switch frontera para tomar decisiones de QoS. Después de que el trunk es
desencapsulado en el switch remoto la información CoS es descartada.
Las dos maneras de encapsular el trunk son:
•
IEEE 802.1Q, donde cada trama es encapsulada con un VLAN ID
de 12 bits y un campo de usuario de 3 bits de prioridad (802.IP)
que indica el CoS de la trama en un rango de 0 a 7. Las tramas de
la VLAN nativa no son encapsuladas adquiriendo el coste por
defecto del switch que recibe la trama.
•
ISL, cada trama es encapsulada con un VLAN ID de 15 bits, en el
campo User de 4 bits los 3 bits más bajos indican la CoS. Aunque
ISL no es un estándar los switchs Catalyst toman decisiones de
CoS copiando los bits de 802.IP desde los troncales 802.1Q dentro
de los bits User cost en los troncales ISL, permitiendo que la
información CoS se propague entre troncales con diferentes
encapsulaciones.
Clasificación de capa 3 QoS con DSCP
Desde el comienzo los paquetes IP siempre han tenido un byte llamado
ToS (Type of Service) que puede ser utilizado para marcar paquetes. Este byte se
divide en 3 bits llamado IP Precedence y 4 bits que son el valor ToS. El modelo de
DiffServ mantiene el Byte IP ToS pero lo utiliza de una manera más escalable.
Este byte también se conoce como DS (Differentiated Service) con un formato
diferente, los 6 bits DS se conocen como DSCP (Differentiated Service Code
Point), que es un valor determinado por cualquier dispositivo DiffServ de la red.
No se debe confundir con la terminología que utiliza QoS, los Bytes ToS y
DS son lo mismo, incluso ocupan la misma ubicación en la cabecera IP, solamente
su nombre y la manera que el valor se interpreta es diferente. Los bits DSCP
permiten compatibilidad con los bits IP precedentes de tal manera que un
dispositivo que no sea capaz de interpretar todo ese campo podría descifrar sólo la
información de QoS.
Los campos DiffServ se muestran en el siguiente gráfico:
DS5
DS4
DS3
DS2
DS1
DSO
ECN
ECN
DSCP
www.FreeLibros.com
CAPÍTULO 17. TELEFONÍA IP
©RA-MA
447
DSCP ocupa 6 bits (DS5-DS0). Los tres bits de selección de clase o Class
Selector (DS5 a DS3) categorizan los paquetes en siete clases:
• Clase 0, es la clase por defecto, simplemente ofrece el servicio
Best-effort.
• Clases 1 a 4, llamadas AF (Assured Forwarding). Cuanto más
altos sean los números de la clase AF, más prioridad tendrá el
tráfico y menos probabilidad de ser eliminado o rechazado en caso
de congestión.
• Clase 5, conocida como EF (Expedited Forwarding). LTsada para
dar el mayor servicio, es la que tiene menos probabilidad de ser
eliminada, se suele usar para tráfico de voz o vídeo.
• Clases 6 y 7, son también llamadas Internetwork Control y
Network Control. Son usadas por los routers y switches para
tráfico de control en STP, protocolos de enrutamiento, etc. En
definitiva, para aquellos servicios que mantienen la red
operacional.
Cada clase representada en el DSCP tiene tres niveles de posibilidad de
descarte, representados en los bits DS2 a DSO, pero hay que tener en cuenta que
DSO siempre tiene el valor 0.
• Baja probabilidad de descarte: 1.
• Media probabilidad de descarte: 2.
• Alta probabilidad de descarte: 3.
Dentro de una misma clase los paquetes con más alta probabilidad de
descarte son eliminados primero, tomando en cuenta que la probabilidad de
descarte es mayor cuanto mayor es el valor.
Implementación QoS para voz
Para manipular los paquetes acorde a las políticas de QoS, un switch tiene
que identificar el nivel de servicio que cada paquete tiene que recibir. Este proceso
se conoce como clasificación, cada paquete se clasifica acorde a un tipo de tráfico,
por ejemplo TCD o UDP, según los parámetros configurados en las ACL, routemaps, etc. Los paquetes IP llevan consigo los valores DSCP dentro de las
cabeceras a lo largo de todo el camino de la red. Las tramas en un troncal también
llevan un valor de coste asociado con ellas, por lo tanto, un switch puede decidir si
confiar en ToS, DSCP o CoS, que han sido asignados previamente a los paquetes
www.FreeLibros.com
448
REDES CISCO. CCNP a Fondo
©RA-MA
de entrada. Si el switch confía en algunos de estos valores, se utilizarán para tomar
decisiones de calidad de servicio dentro del switch. Si dichos valores no son
confiables pueden ser eliminados o reasignados, de esta manera un switch puede
asumir nuevos valores para que sean aceptados dentro de las políticas de gestión.
Esto último puede prevenir la intrusión de usuarios no autorizados en la red.
Todos y cada uno de los switches deben confiar en los valores de QoS
entrantes generalmente una organización debe confiar en los paramentos de QoS
dentro de la propia red. En la frontera con otra organización o ISP QoS típicamente
no debería ser confiable. Es prudente confiar en valores de QoS que hayan sido
asignados por los propios dispositivos de red, de esta forma los valores de QoS
producidos por los usuarios finales no deberían ser confiados hasta que la red
pueda verificarlos o sobrescribirlos.
El perímetro formado por los switches que no confían en el QoS de entrada
se llama frontera de confianza. Esta frontera está en el extremo de la red
empresarial, en capa de acceso, marcaciones WAN y límites con los ISP. Cuando
la frontera de confianza ha sido identificada a través de los puertos no confiables
dentro de ese perímetro, los puertos pueden ser configurados para confiar en los
valores QoS de entrada.
La siguiente figura muestra una red en la que se define una frontera de
confianza; está definida en la red de usuarios finales y redes públicas:
No confiable
_
En el Catalyst A el puerto GigaEthemet 2/1 está configurado para recibir
datos de entrada no confiables. El Catalyst B está conectado a un PC que también
es no confiable, el teléfono IP en el puerto FastEthemet 0/1 es un caso especial
porque soporta su propio tráfico de voz y tráfico de usuario final, por lo que la
frontera de confianza no puede estar definida exactamente en ese puerto.
www.FreeLibros.com
CAPÍTULO 17. TELEFONÍA IP
© r A-MA
449
Configuración de la frontera de confianza
Cuando un teléfono IP se conecta a un switch es como si se añadiera otro
switch a la red. Si se instala un teléfono IP como parte de la red se puede confiar en
la información de QoS emitida por el teléfono.
El teléfono IP tiene dos fuentes de emisión de datos:
•
Datos propios del teléfono. El teléfono puede controlar la
información de QoS que se incluye en los paquetes de voz.
•
Datos de usuario en el puerto del switch. Son paquetes del
puerto del PC de datos generados en algún otro sitio, de tal manera
que la información de QoS no será confiable.
Un switch instruye al teléfono IP que tiene conectado mediante mensajes
CDP acerca de cómo debería extender la confianza QoS a su propio puerto de
usuario de datos. La configuración de la extensión de estos datos de confianza
siguen los siguientes pasos:
1. Se habilita QoS en el switch. Por defecto está deshabilitado globalmente en
el switch y toda la información de QoS se permite entre puertos de un
switch a otro. Al habilitar QoS todos los puertos del switch quedan
configurados como no confiables.
Switch(config)# mis qos
2. Definición de los parámetros que serán utilizados. Es posible elegir entre
confiar en el CoS, IP precedente o DSCP de los paquetes de entrada en los
puertos del switch, aunque sólo uno de estos parámetros puede ser
seleccionado. Generalmente un teléfono IP puede ser configurado con los
parámetros eos porque el teléfono puede controlar los valores en su troncal
de VLAN.
Switch(config)# interface type mod/num
Switch(config-if)# mis qos trust {eos | ip-precedence | dscp}
3. Confianza condicional:
Switch(config-if)# mis qos trust device cisco-phone
Si este comando se configura, los parámetros de QoS definidos en el paso
anterior serán confiables solamente si un teléfono IP se detecta a través de
www.FreeLibros.com
450
REDES CISCO. CCNP a Fondo
©RA-MA
CDP. Cuando no se detecta el teléfono los parámetros de QoS no son
confiados.
4. Indicaciones para extender la frontera de confianza del teléfono IP.
Normalmente la información de QoS de un PC conectado a un teléfono
debería ser no confiable debido a que las aplicaciones del PC podrían
intentar utilizar unos campos de CoS o DSCP si son mejores a los suyos
para ganar mejor acceso a la red, en este caso el parámetro eos se
sobrescribe al valor de 0.
Switch(config-if )# switchport priority extend {eos valué \
trust}
El PC puede estar ejecutando alguna aplicación confiable que hace
peticiones de QoS de niveles específicos de servicio, en este caso el
teléfono IP puede extender la confianza hasta el PC, permitiendo que los
bits del coste sean enviados a través del teléfono IP sin modificarlo, para
esto se utiliza el parámetro trust. Por defecto un switch instruye a un
teléfono IP que tiene conectado un PC para que lo considere como no
confiable. El teléfono sobrescribirá los valores de coste a 0.
Los uplink con conexiones hacia otros switches deberían ser considerados
como puertos confiables siempre y cuando estén conectados a dispositivos
confiables de la frontera de confianza de QoS. Para configurar un puerto uplink en
un switch para que sea confiado se utilizan los siguientes comandos:
Switch(config)# interface type mod/num
Switch(config-if )# mis qos trust eos
El parámetro de confianza trust no es condicional, el switch confiará sólo
en los valores de coste que son encontrados en los paquetes de entrada.
Los switches poseen un mapeo de los valores de coste llamado CoS-toDSCP, que se utiliza para convertir los valores CoS de entrada en valores DSCP.
Configuración de AutoQoS
Los switches Cisco pueden configurarse para soportar una variedad de
mecanismos y parámetros de QoS, la lista y las características de los comandos de
configuración pueden ser enormes y la configuración real resulta muy compleja.
Ésta es una razón para que los tópicos relativos a QoS no se traten en la totalidad
en este libro. Para simplificar la configuración, Cisco introdujo la característica de
Auto-QoS para casi todas las plataformas. Utilizando una cantidad mínima de
www.FreeLibros.com
CAPÍTULO 17. TELEFONÍA IP
©RA-MA
451
comandos se puede habilitar el switch para que automáticamente configure todos
los parámetros de QoS.
Auto-QoS es realmente manejado por un comando macro el cual se
encarga de añadir otros comandos de configuración como si fuesen introducidos
manualmente. Gracias a esto Auto-QoS permite la rápida configuración de los
switches que aún permanecen con la configuración por defecto. La utilización de
Auto-QoS en switches ya configurados podría sobrescribir algunos de los
comandos ya configurados.
Auto-QoS maneja los siguientes modos de configuración de QoS:
•
Habilta QoS.
•
Mapea CoS-to-DSCP hacia QoS.
•
Configura mejor las colas de entrada y salida.
•
Genera colas de prioridad estrictas para salidas de voz.
•
Establece una interfaz QoS que será la frontera de confianza.
Los siguientes pasos de configuración se utilizan para configurar AutoQoS:
•
Selección de la interfaz que será la frontera de QoS:
Switch(config)# interface type mod/num
•
Habilitar Auto-QoS con la confianza apropiada:
Switch(config-if)# auto qos voip {cisco-phone | ciscosoftphone | trust}
Si el puerto del switch está conectado a un teléfono IP, se debería utilizar el
parámetro cisco-phone. Si está conectado un PC con .la aplicación Cisco
softphone, se deberá elegir el parámetro cisco-softphóne. Los paquetes que llegan
con valores de DSCP de 24, 26 y 46 son confiables, los paquetes con otro tipo de
valor se pondrán con un DSCP en 0. En un puerto uplink de switch hacia otro
switch o un router, se debería utilizar el comando trust. Todos los paquetes
recibidos en ese puerto deberían ser confiables, la información de QoS debería
quedar intacta.
El comando auto qos voip aparecerá en la configuración del switch junto
con los otros comandos que él mismo inserta.
www.FreeLibros.com
452
REDES CISCO. CCNP a Fondo
©RA-MA
VERIFICACIÓN QoS DE VOZ IP
Un puerto del switch puede ser configurado para que confíe en el estado de
QoS con el dispositivo conectado. Si ese dispositivo es un teléfono IP, el switch
puede instruir al teléfono y extender la confianza de QoS a un PC que tenga
conexión a dicho teléfono.
Para verificar que la confianza ha sido extendida al teléfono IP se utiliza el
siguiente comando:
Switch#show mis qos interface type mod/num
Si el puerto es confiable todo el tráfico enviado por el teléfono IP es
aceptado con la información de QoS permaneciendo intacta. Si el puerto no es
confiable, los paquetes, incluso los de voz, podrán tener la información sobrescrita
por el switch. La siguiente salida muestra un ejemplo:
Switch# show mis qos interface fastethernet 0/1
FastEthernet0/1
trust state: trust eos
trust mode: trust eos
trust enabled flag: ena
COS override: dis
default COS: 0
DSCP Mutation Map: Default DSCP Mutation Map
Trust device: none
Se puede verificar como un teléfono IP ha sido instruido para tratar la
información de QoS entrante del PC conectado en la última línea de la sintaxis
anterior (trust device:). También puede verse en el siguiente comando en la línea
Appliance trust:
Switch# show interface fastethernet 0/1 switchport
Ñame: FaO/1
Switchport: Enabled
[output deleted...]
Voice VLAN: 2 (VLAN0002)
Appliance trust: none
Si el dispositivo es de confianza la línea de comandos mostraría Appliance
trust: trusted.
www.FreeLibros.com
©RA-MA
CAPÍTULO 17. TELEFONÍA IP
453
El siguiente ejemplo muestra cuándo un teléfono IP se conecta, más abajo
aparece la sintaxis; cuándo el teléfono IP no está conectado al puerto del switch y
no es detectado y el parámetro trust no está habilitado.
S w i t c h # show running-config interface fastethernet 0/47
Building configuration...
Current configuration : 219 bytes
i
interface FastEthernetO/47
switchport access vían 10
switchport trunk encapsulation dotlq
switchport mode access
switchport voice vían 100
mis qos trust device cisco-phone
mis qos trust eos
no mdix auto
end
Switch# show mis qos interface fastethernet 0/1
FastEthernetO/1
trust mode: trust eos
COS override: dis
default COS: 0
DSCP Mutation Map: Default DSCP Mutation Map
Trust device: cisco-phone
Cuando el teléfono IP se conecta se le aplica energía para ser detectado,
entonces la confianza de QoS condicional, en este caso CoS, es habilitada:
6dl8h: %ILPOWER-7-DETECT: Interface Fal/0/1: Power Device detected:
Cisco PD
6dl8h: %ILPOWER-5-POWER_GRANTED: Interface Fal/0/1: Power granted
6dl8h: %LINK-3-UPDOWN: Interface FastEthernetl/0/1, changed state to
up
6dl8h:
%LINEPROTO-5-UPDOWN:
Line
protocol
on
Interface
FastEthernetl/0/1, changed state
to up
6dl8h: %SWITCH_Q0S_TB-5-TRUST_DEVICE_DETECTED: cisco-phone detected
on port Fal/
0/1, port trust enabled.
Switch# show mis qos interface fastethernet 1/0/1
FastEthernet1/0/1
trust mode: trust eos
COS override: dis
default COS: 0
DSCP Mutation Map: Default DSCP Mutation Map
www.FreeLibros.com
454
REDES CISCO. CCNP a Fondo
© r a -m a
La autoconfiguración de QoS en un puerto puede verse con el siguiente
comando:
Switch# show auto qos interface fastethernet 0/37
FastEthernetO/37
auto qos voip cisco-phone
www.FreeLibros.com
Capítulo 18
SEGURIDAD DE ACCESO AL SWITCH
SEGURIDAD DE PUERTOS
En algunos entornos la red debe estar asegurada para controlar qué
estaciones terminales podrán tener acceso a la red. Cuando las estaciones de trabajo
son estacionarias, sus direcciones MAC siempre se espera que se conecten al
mismo puerto de la capa de acceso. En estaciones móviles la MAC puede ser
aprendida dinámicamente o ser añadida en una lista de direcciones que se esperan
en ese puerto. Los switches Catalyst poseen una característica llamada portsecurity que controla las direcciones MAC asignadas a cada puerto. Para iniciar la
configuración de seguridad de puertos en un switch se comienza con el siguiente
comando:
Switch(config-if)#switchport port-security
Posteriormente se deben identificar un conjunto de direcciones MAC
permitidas en ese puerto. Estas direcciones pueden ser configuradas explícitamente
o de forma dinámica a través del tráfico entrante por ese puerto, en cada interfaz
que utiliza port-security se debe especificar un número máximo de direcciones
MAC que serán permitidas:
Switch(config-if)#switchport port-security máximum max-addr
El rango de MAC permitidas va desde 1 a 1024. Cada interfaz configurada
con port-security aprende dinámicamente las direcciones MAC por defecto y
espera que esas direcciones aparezcan en esa interfaz en el futuro. Este proceso se
www.FreeLibros.com
456
REDES CISCO. CCNP a Fondo
© r a -m a
llama sticky MAC addresses. Las direcciones MAC se aprenden cuando las tramas
de los host pasan a través de la interfaz, que aprende hasta el número máximo de
direcciones que tiene permitidas. Las direcciones aprendidas también son
eliminadas si los host conectados no transmiten en un período determinado. La
siguiente sintaxis muestra la configuración de direcciones MAC para un puerto a
un máximo de 5:
Switch(config-if)#switchport port-security máximum 5
También se puede definir estáticamente una o más direcciones MAC en
una interfaz, cualquiera de las direcciones configuradas tendrá permitido el acceso
a la red a través de ese puerto:
Switch(config-if)#switchport port-security mac-address mac-addr
Si el número de direcciones estáticas dado es menor que el número
máximo de direcciones que puede aprender dinámicamente, el resto de las
direcciones se aprenderán dinámicamente. Por lo tanto, se debe tener un control
apropiado sobre cuantas direcciones se deben permitir.
Finalmente se debe definir cómo una interfaz con seguridad de puerto
debería reaccionar si ocurre un intento de violación para eso se utiliza el siguiente
comando:
Switch(config-if)# switchport port-security violation {shutdown |
restrict |protect}
Cuando más del número máximo de direcciones MAC permitidas o una
dirección MAC desconocida se detecta se interpreta como una violación. El puerto
del switch toma algunas de las siguientes acciones cuando ocurre una violación:
•
Shutdown, el puerto automáticamente se pone en el estado errdisable, lo
que hace dejarlo inoperable y tendrá que ser habilitado manualmente o
utilizando la recuperación de errdisable.
•
Restrict, el puerto permanente activo pero los paquetes desde las
direcciones MAC que están violando la restricción son eliminados. El
switch continúa ejecutando el temporizador de los paquetes que están
violando la condición y puede enviar un trap de SNMP a un servidor
Syslog para alertar de lo que está ocurriendo.
•
Protect, el puerto sigue habilitado pero los paquetes de las direcciones que
están violando la condición son eliminados, no queda ninguna constancia
de lo que está aconteciendo en el puerto.
www.FreeLibros.com
CAPÍTULO 18. SEGURIDAD DE ACCESO AL SWITCH
©RA-MA
457
Un ejemplo del modo restrict se detalla en la siguiente sintaxis:
interface GigabitEthernetO/11
switchport access vían 991
switchport mode access
switchport port-security
switchport port-security violation restrict
spanning-tree portfast
Cuando el número máximo de direcciones MAC se excede se guarda un
log cuya sintaxis se muestra a continuación:
jun 3 17:18:41.888 E D T : %PORT_SECURITY-2-PSECURE_VIOLATION: Security
violation
occurred, caused by MAC address 0000.5e0 0 .0101 on port
GigabitEthernetO/11.
En caso de que se cumpla la condición restrict o protect se deberían
eliminar las direcciones MAC que no son permitidas con el siguiente comando:
Switch#clear port-security dynamic [address mac-addr | interface
type mod/num]
En el modo shutdown la acción de port-security es mucho más drástica.
Cuando el número máximo de direcciones MAC es sobrepasado el siguiente
mensaje log indica que el puerto ha sido puesto en modo errdisable:
Jun 3 17:14:19.018 EDT: %PM-4-ERR_DISABLE: psecure-violation error
detected on
GiO/ll, putting GiO/11 in err-disable state
Jun 3 17:14:19.022 EDT: %PORT_SECURITY-2-PSECURE_VIOLATION: Security
violation
occurred, caused by MAC address 0003.a089.efc5 on port
GigabitEthernetO/11.
Jun 3 17:14:20.022 EDT: %LINEPROTO-5-UPDOWN: Line protocol on
Interface Gigabit EthernetO/11, changed state to down
Jun 3 17:14:21.023 EDT: %LINK-3-UPDOWN: Interface .
GigabitEthernetO/11, changed state to down
El estado de un puerto puede verse con el comando show port-security
interface:
Switch#show port-security interface gigabitethernet 0/11
Port Security :
Enabled
Port Status :
Secure-shutdown
Aging Time :
Aging Type :
SecureStatic Address
Aging :
0 mins
Absolute
Disabled
www.FreeLibros.com
458
REDES CISCO. CCNP a Fondo
©RA-MA
Máximum MAC Addresses :
Total MAC Addresses :
Configured MAC Addresses :
Sticky MAC Addresses :
Last Source Address :
Security Violation Count :
1
0
0
0
0003.a089.efc5
1
Para ver un resumen rápido del estado del puerto puede utilizarse el
siguiente comando:
Switch#show interfaces status err-disabled
Port Ñame Status Reason
GiO/11 Test port err-disabled psecure-violation
Hay que recordar que cuando un puerto está en el estado errdisable se debe
recuperar manualmente o de manera automática. La secuencia de comandos para la
recuperación manual es la siguiente:
Switch(config)#interface type mod/num
Switch(config-if)#shutdown
Switch(config-if)#no shutdown
Finalmente se puede ver un resumen del estado de port-security con el
siguiente comando:
Switch#show port-security
Secure Port MaxSecureAddr
Action
CurrentAddr
SecurityViolation
Security
(C o u n t ) (C o u n t ) (C o u n t )
GiO/11
GiO/12
5
1
1
0
0
0
Restrict
Shutdown
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6176
AUTENTICACION BASADA EN PUERTO
Los switches Catalyst pueden soportar autenticación basada en puerto que
resulta una combinación de autenticación AAA (Authentication, Authorization,
Accounting) y de port-security. Esta característica se basa en el estándar IEEE
802.IX, cuando está habilitado un puerto del switch no pasará tráfico hasta que el
usuario se autentique con el switch. Si la autenticación es satisfactoria el usuario
podrá utilizar el puerto con normalidad.
En la autenticación basada en puerto tanto el switch como el PC del
usuario tienen que soportar el estándar 802.IX usando EAPOL (Extensible
www.FreeLibros.com
CAPÍTULO 18. SEGURIDAD DE ACCESO AL SWITCH
©RA-MA
459
Authentication Protocol over LAN). Dicho estándar es un protocolo que se ejecuta
entre el cliente y el switch que está brindando el servicio de red. Si el cliente del
pC está configurado para utilizar 802.IX pero el switch no lo soporta, el PC
abandona el protocolo y se comunica normalmente; pero a la inversa, es decir, si el
switch está configurado con autenticación y el PC no lo soporta, el puerto del
switch permanecerá en estado “no autorizado” de manera que no enviará tráfico a
ese cliente.
Un puerto del switch con 802. IX comienza en el estado no autorizado, de
tal manera que solamente el único tipo de datos que permite pasar es del propio
protocolo 802.IX. Tanto el cliente como el switch pueden comenzar la sesión
802.IX. El estado autorizado del puerto finaliza cuando el usuario del puerto
termina la sesión causando que el cliente 802.IX informe al switch que regrese al
estado no autorizado. El switch puede finalizar la sesión del usuario cuando lo crea
necesario; en caso de que así ocurra, el cliente tiene que re-autenticarse para
continuar utilizando el puerto.
Configuración de 802.IX
La autenticación basada en puerto puede ser administrada por uno o más
servidores RADIUS (Remóte Authentication Dial-In User Service). Aunque
muchos switches Cisco soportan otros métodos de autenticación sólo RADIUS
soporta el estándar 802.IX.
El método de autenticación real de RADIUS tiene que ser configurado
inicialmente y luego el 802. IX. Los siguientes pasos muestran dicha configuración:
1.
Habilitación de AAA en el switch. Por defecto AAA está deshabilitado;
para habilitarlo se utiliza el siguiente comando:
Switch(config)#aaa new-model
El parámetro new-model hace referencia al método de listas que se van a
utilizar para la autenticación.
2. Definición de los servidores RADIUS externos. En primer lugar se
define cada servidor junto con la clave compartida; esta cadena
solamente es conocida por el switch y el servidor y proporciona una
clave de encriptación para la autenticación del usuario.
Switch(config)#radius-server
[key string]
host
{hostname
\ ip-address}
Este comando debe repetirse según tantos servidores existan en la red.
www.FreeLibros.com
460
REDES CISCO. CCNP a Fondo
©RA-MA
3. Definición del método de autenticación 802.1X. Con el siguiente
comando los servidores de autenticación RADIUS que se han definido
en el switch utilizarán la autenticación 802. IX:
Switch(config)#aaa
radius
authentication
dotlx
default
group
4. Habilitación de 802.1x en el switch.
Switch(config)#dotlx system-auth-control
5. Configuración de los puertos del switch con 802.IX.
Switch(config)#dotlx system-auth-control
Switch(config)# interface type mod/num
Switch(config-if)#dotlx port-control {force-authorized |
force-unauthorized | auto}
Donde:
•
force-authorized: el puerto es forzado para que siempre autorice
cualquier conexión de cliente, no es necesario la autenticación;
éste es el estado por defecto para todos los puertos cuando 802. IX
está habilitado.
•
force-unauthorized: el puerto es forzado para no autorizar nunca
la conexión de un cliente, como resultado ese puerto no pasará al
estado autorizado.
•
Auto: el puerto utiliza un intercambio de 802. IX para moverse
desde el estado unauthorized hacia el estado authorized cuando
la autenticación resulte satisfactoria. Esto requiere una aplicación
capaz de soportar dicho estándar en el PC del cliente.
Por defecto todos los puertos del switch están en el estado forceauthorized pero si el objetivo es la utilización de 802.IX los
puertos deben estar configurados en auto, de tal manera que se
emplee dicho mecanismo de autenticación.
6. Permitir múltiples host en un puerto del switch. El estándar 802. IX
soporta casos en los cuales múltiples host están conectados a un simple
puerto del switch ya sea a través de un hub o de otros switch de acceso.
En este caso se debe configurar el puerto con el siguiente comando:
Switch(config-if)#dotlx host-mode multi-host
El comando show dotlx all se utiliza para verificar las operaciones de
802. IX en cada puerto del switch donde está configurado.
El siguiente es un ejemplo de autenticación basada en 802. IX, donde hay
configurados dos servidores RADIUS y varios puertos del switch están utilizando
802.IX para autenticación y asociación con la VLAN 100:
www.FreeLibros.com
©RA-MA
CAPÍTULO 18. SEGURIDAD DE ACCESO AL SWITCH
461
Switch(config)#aaa new-model
Switch(config)#radius-server host 100.30.1.1 key PruebaCCNP
Switch(config)#radius-server host 100.30.1.2 key OtraCCNP
Switch(config)#aaa authentication dotlx default group radius
Switch(config)#dotlx system-auth-control
Switch(config)#interface range FastEthernetO/1 - 40
Switch(config-if)#switchport access vían 100
Switch(config-if)#switchport mode access
Switch(config-if)#dotlx port-control auto
m it ig a n d o a t a q u e s e s p ía s
Los usuarios maliciosos intentan enviar información falsa a los switches o
host intentando utilizar mecanismos de burla falseando las puertas de enlace. El
objetivo del atacante es interceptar el tráfico enviando paquetes al afectado como si
éste fuera la puerta de enlace o el router. El atacante puede obtener información del
tráfico de paquetes antes de que lleguen a su verdadero destino. Los switches
Catalyst poseen tres mecanismos de protección ante estos ataques que se describen
a continuación:
DHCP Snooping: un servidor DHCP proporciona la información que un
cliente necesita para operar dentro de una red. Un atacante puede activar un
servidor DHCP falso en el mismo segmento en que se encuentra el cliente; cuando
el cliente hace la petición DHCP el falso servidor podría enviar el DHCP reply con
su propia dirección IP sustituyendo a la verdadera puerta de enlace. Los paquetes
destinados hacia fuera de la red local serían enviados al servidor del atacante que
podrá enviarlos a la dirección correcta pero primero podrá examinar cada paquete
que va interceptando. El atacante está en el medio del camino, el cliente nunca se
da cuenta de ello, acción conocida como man-in-the-middle.
Los switches Catalys poseen la característica DHCP Snooping para
prevenir este tipo de ataque. Cuando está configurado, los puertos están
categorizados como confiables o no confiables. Los servidores DHCP legítimos
pueden encontrarse en puertos confiables, mientras que todos los demás host están
detrás de los puertos no confiables. Un switch intercepta todas las peticiones
DHCP que vienen de los puertos no confiables antes de pasarlas a la VLAN
correspondiente. Cualquier respuesta DHCP reply viniendo desde un puerto no
confiable se descarta, además el puerto pasará al estado errdisable.
DHCP Snooping mantiene un registro de todos los enlaces de los DHCP
completados, lo que significa que posee conocimiento de las direcciones MAC,
direcciones IP, tiempo de alquiler, etc. del cliente.
www.FreeLibros.com
462
REDES CISCO. CCNP a Fondo
©RA-MA
El siguiente comando configura DHCP Snooping en el switch:
Switch(config)#ip dhcp snooping
El siguiente paso consiste en identificar la VLAN donde DHCP Snooping
se implementará:
Switch(config)#ip dhcp snooping vían vlan-id [vlan-id]
Posteriormente se configuran los puertos
localizados los servidores DHCP reales:
confiables
donde están
Switch(config)#interface type mod/num
Switch(config-if)#ip dhcp snooping trust
Para los puertos no confiables se permite un número ilimitado de
peticiones DHCP, para limitarlo se puede utilizar el siguiente comando:
Switch(config)#interface type mod/num
Switch(config-if)#ip dhcp snooping limit rate rate
El parámetro rate tiene un rango de 1 a 2048 paquetes DHCP por segundo.
Puede, además, configurarse el switch para que use la opción DHCP 82
descripta en la RFC 3046. Añadiendo la opción 82 la información acerca del
cliente que ha generado la petición DHCP es más amplia. Además, la respuesta
DHCP (en caso de que la hubiera) traerá contenida la información de la opción 82.
El switch intercepta la respuesta y compara los datos de la opción 82 para
confirmar que la respuesta viene de un puerto válido en el mismo. Esta
característica está habilitada por defecto; no obstante, para habilitar la opción 82 se
utiliza el siguiente comando:
Switch(config)# ip dhcp snooping information option
El estado del DHCP Snooping puede verse con el siguiente comando:
Switch#show ip dhcp snooping [binding]
El parámetro binding se utiliza para mostrar todas las relaciones conocidas
de DHCP que han sido recibidas.
En el siguiente ejemplo se observa la configuración de DHCP Snooping,
las interfaces FastEthemet 0/5 a la 0/16 son consideradas no confiables, la cantidad
de peticiones están limitadas a 3 por segundo. El servidor DHCP conocido está
localizado en la interfaz GigaEthemet 0/1:
www.FreeLibros.com
CAPÍTULO 18. SEGURIDAD DE ACCESO AL SWITCH
©RA-MA
463
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vían 104
Switch(config)#interface range fastethernet 0/5 — 16
Switch(config-if)#ip dhcp snooping limit rate 3
Switch(config-if)#interface gigabitethernet 0/1
Switch(config-if)#ip dhcp snooping trust
Switch#show ip dhcp snooping
DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
104
insertion of option 82 is enabled
Interface
Trusted
Rate limit (pps)
Switch
FastEthernetO/35
FastEthernetO/36
GigabitEthernetO/1
no
no
yes
3
3
unlimited
IP Sourse Guard: el falseo de direcciones es uno más de los diferentes
tipos de ataques que son difíciles de mitigar. Normalmente un host es asignado a
una dirección IP y se espera utilizar la misma para todo el tráfico que envía. Un PC
que está comprometido no tiene por qué utilizar su dirección IP, podría comenzar a
utilizar direcciones falsas.
Éstas son a menudo utilizadas como el origen del ataque de denegación de
servicio. Si la dirección origen no existe realmente el tráfico de vuelta nunca
encontrará el camino hacia su origen. Los routers o dispositivos de capa 3 llevan a
cabo test simples para direcciones de origen falseadas cuando éstas pasan a través
de ellos.
Si la red es conocida y pertenece a una VLAN determinada, los paquetes
entrantes desde esa VLAN nunca deberían tener una dirección IP diferente en su
direccionamiento. Pero es difícil detectar direcciones falsas cuando son utilizadas
dentro de la VLAN o subred correspondiente. De esta manera un host
comprometido podría atacar a todos los host dentro de su propia subred.
Los switches Catalyst pueden utilizar la característica IP Sourse Guard
para detectar y suprimir ataques de direcciones falsas, incluso dentro de la misma
subred. Un switch de capa 2 aprende y guarda la dirección MAC por puerto, y
utiliza un método para buscar la dirección MAC y ver la asociación IP
correspondiente. IP Sourse Guard realiza este proceso haciendo uso de la base de
datos de DHCP Snooping, como también de la base de direcciones estáticas.
www.FreeLibros.com
464
REDES CISCO. CCNP a Fondo
©RA-MA
Los paquetes que llegan al switch pueden ser comprobados por cualquiera
de estas dos condiciones:
1. La dirección IP de origen tiene que ser idéntica a la dirección IP
aprendida por DHCP Snooping o por una entrada estática. Un
puerto con ACL dinámica se utiliza para filtrar el tráfico, el switch
automáticamente crea esta ACL añadiendo la dirección de origen
aprendida a la ACL y aplicándola en el puerto donde se aprendió la
dirección correspondiente.
2. La dirección MAC de origen tiene que ser idéntica a la dirección
MAC aprendida en el puerto del switch y el DHCP Snooping. Se
utiliza port-security para filtrar el tráfico no deseado.
Si la dirección es diferente a la que ha sido aprendida o configurada
estáticamente, el switch descarta el paquete.
Para la configuración de IP Sourse Guard se debe configurar DHCP
Snooping. Para que se detecten direcciones MAC falsas es necesaria la
configuración de port-security. Para los host que no utilizan DHCP se puede
configurar un direccionamiento estático con el siguiente comando:
Switch(config)#ip source binding mac-address vían vlan-id ip-address
interface type mod/num
En este caso la dirección MAC del host es asociada a la VLAN y dirección
IP correspondiente junto con el puerto adecuado.
Se habilita IP Sourse Guard en uno o más puertos del switch con los
siguientes comandos:
Switch(config)#interface type mod/num
Switch(config-if)#ip verify source [port-security]
El comando ip verify source inspeccionará el origen de la dirección IP, es
posible añadir el parámetro port-security para hacer lo mismo con la dirección
MAC.
Para verificar el estado de IP Sourse Guard se utiliza el siguiente
comando:
Switch#show ip verify source [interface type mod/num]
www.FreeLibros.com
© RA-MA
CAPÍTULO 18. SEGURIDAD DE ACCESO AL SWITCH
465
Si es necesario verificar la información contenida en la base de datos de
direcciones de origen aprendidas dinámica o estáticamente, se utiliza el siguiente
comando:
Switch#show ip source bindng [ip-address] [mac-address] [dhcpsnooping | static] [interface type mod/num] [vían vlan-id]
Inspección dinámica de ARP: los host utilizan normalmente ARP
(Address Resolution Protocol) para resolver direcciones MAC no conocidas a
direcciones IP conocidas. La dirección MAC es necesaria para enviar un paquete y
encapsular en capa 2, el host envía un broadcast con una petición ARP con la
dirección IP del destino solicitando la MAC. Si algunos de los host están utilizando
esa dirección IP, responderá con un ARP reply conteniendo su dirección MAC.
El proceso de ARP funciona adecuadamente entre dispositivos confiables,
pero si un atacante puede enviar su propia respuesta ARP con una dirección MAC
maliciosa, el origen de la petición asociará la IP a la MAC del atacante. El origen
almacenará en su tabla ARP una MAC falsa pudiendo enviar los paquetes IP hacia
esa dirección. En este escenario el atacante está en el medio del camino, los
paquetes son enviados al atacante en lugar de al host real de destino.
Este ataque es conocido como ARP poisoning o ARP spoofing, y es
considerado como un ataque del tipo man-in-the-middle. Los switches Catalyst
pueden utilizar DAI (Dynamic ARP Inspection) para mitigar este tipo de ataque.
DAI trabaja de manera similar a DHCP snooping, todos los puertos del switch son
clasificados como confiables o no. El switch intercepta e inspecciona todos los
paquetes ARP que llegan a los puertos no confiables.
Cuando una respuesta ARP es recibida en un puerto no confiable, el switch
verifica la MAC y la dirección IP reportada en el paquete de respuesta contra unos
valores conocidos. El switch puede obtener la información confiable de ARP por
entradas estáticas o aprendidas dinámicamente en la base de datos de DHCP
Snooping habilitado previamente. Si la respuesta contiene valores conflictivos se
elimina generando un mensaje de log.
Para la configuración de DAI se debe habilitar en una o más VLAN con el
siguiente comando:
Switch(config)#ip arp inspection vían vlan-range
El parámetro vían permite la configuración de una VLAN o un rango
determinado. Por defecto todos los puertos asociados con el rango de VLAN son
considerados como no confiables. El switch local no inspeccionará los paquetes
www.FreeLibros.com
466
REDES CISCO. CCNP a Fondo
©RA-MA
ARP que le llegan a los puertos confiables. Para configurar un puerto como
confiable se utilizan los siguientes comandos:
S w i t c h (c o n f i g )#interface type mod/num
Switch(config-if )#ip arp inspection trust
Si existen host con dirección IP estática configurada no habrá mensajes
DHCP que se intercambien y que puedan ser inspeccionados, por lo cual habrá que
configurar una ACL de ARP que defina estáticamente las asociaciones MAC a
direcciones IP. Los siguientes comandos se aplican a uno o más host y se
configuran de la siguiente manera:
Switch(config)#arp access-list acl-name
Switch(config-acl)#permit ip host sender-ip mac host sender-jnac[log]
S witch(config - a c l )#exit
Las ACL deben ser asociadas a DAI a través de los siguientes comandos:
Sw i t c h (conf ig)#ip arp inspection filter arp-acl-name vían vlan-range
[static]
Existe una denegación implícita al final de la ACL de ARP: si no se
encuentra ninguna coincidencia, la respuesta ARP es considerada inválida.
Es posible especificar más validaciones en los contenidos de los paquetes
de respuesta ARP. Por defecto sólo se utilizan para la verificación las direcciones
MAC y direcciones IP contenidas en los paquetes de respuesta ARP. Esto no
significa que las verificaciones de las direcciones MAC sean las reales contenidas
en la cabecera ARP. Para que así ocurra y se verifiquen las direcciones MAC para
que sean realmente las que vienen listadas dentro del propio paquete de respuesta,
se utiliza el siguiente comando:
S witch(conf ig)#ip arp inspection validate {[src-mac]
[dst-mac] [ip]}
Habrá que especificar al menos una de las 3 opciones siguientes:
• src-mac: compara la dirección MAC de origen en la cabecera Ethemet
con la MAC enviada en la respuesta ARP.
• dst-mac: compara la dirección MAC de destino en la cabecera Ethemet
con la dirección MAC en la respuesta ARP.
• ip: verifica la dirección IP del que envía en todas las peticiones ARP,
compara la dirección IP del destino con la dirección de destino en todas las
respuestas ARP.
www.FreeLibros.com
©RA-MA
CAPÍTULO 18. SEGURIDAD DE ACCESO AL SWITCH
467
El siguiente es un ejemplo de configuración DAI:
Switch(config)#ip arp inspection vían 10
Switch(config)#arp access-list dirección
S w i t c h (config-acl)#permit
ip
host
192.168.1.10
mac
0006.5b02.a841
S w i t c h (config-acl)#exit
Switch(config)#ip arp inspection filter dirección vían 10
Switch(config)#interface gigabitethernet 0/1
Switch(config-if)#ip arp inspection trust
host
Para la verificación del estado de configuración de DAI puede utilizarse el
comando show ip arp inspection.
RECOMENDACIONES PRÁCTICAS DE SEGURIDAD
Configuración de contraseñas seguras: siempre que sea posible se debe
utilizar el comando enable secret para configurar la contraseña en el modo
privilegiado en el switch, de esta manera se obtiene un mecanismo de encriptación
(MD5) más seguro que con el obtenido a través del comando enable password.
Para que automáticamente las contraseñas sin cifrar sean encriptadas es preciso
utilizar el comando Service password-encryption. Se podría utilizar servidores
AAA externos para autenticar a los usuarios siempre que sea posible. Los nombres
de usuario y contraseña se mantienen externamente de tal manera que no son
almacenados ni administrados en el switch. Con un sistema centralizado de
usuarios en más escalable que la configuración de cada uno de ellos por separado
en cada switch.
Utilización de banners del sistema: cuando los usuarios acceden a un
switch deberían saber cuáles son las políticas de la organización. Los banners
deberían estar configurados con este tipo de información para que los usuarios se
notifiquen cada vez que se conectan. El comando banner motd define el texto para
que aparezca al conectarse.
Deshabilitar los servicios innecesarios o inseguros: los dispositivos
Cisco tienen servicios habilitados por defecto que no se utilizarán. Para ajustar aún
más la seguridad se deberían definir qué servicios son necesarios en la
organización, todo lo que esté en funcionamiento puede ser explotado con fines
maliciosos. Un ejemplo típico es el servicio HTTP de los switches Catalyst, que
debería deshabilitarse con el comando no ip http Server.
De la misma manera otros servicios como service tcp-small-servers,
service udp-small-servers, service finger y service config deberían estar
deshabilitados.
www.FreeLibros.com
468
REDES CISCO. CCNP a Fondo
©RA-MA
Asegurar la consola del switch: hay muchos entornos en los cuales el
switch está aislado físicamente para que nadie pueda conectar un cable de consola,
aun así la contraseña de consola debería estar siempre habilitada. Es apropiado
utilizar las mismas pautas de autenticación que tengan las líneas VTY.
Asegurar el acceso VTY: todas las líneas VTY del switch deben tener
control de acceso. Además la utilización de ACL puede limitar el origen de las
direcciones IP permitidas vía telnet o SSH. El comando show user all se utiliza
para ver cada una de las líneas VTY que se están utilizando para entrar al switch.
Utilizar SSH siempre que sea posible: aunque telnet es fácil de
configurar y utilizar, no es un método seguro. Cada carácter escrito en telnet viaja
en texto plano sin ningún tipo de encriptación. SSH utiliza un método de
encriptación seguro y fuerte. Las versiones de IOS, deben ser capaces de soportar
este sistema de cifrado.
Asegurar el acceso SNMP: para prevenir que usuarios no autorizados
ejecuten cambios en la configuración del switch se debería deshabilitar cualquier
acceso de lectura escritura SNMP. Los comandos para hacerlo son snmp-server
community string RW. Es recomendable la configuración de los comandos de
sólo lectura, sumado a ACL con permisos específicos.
Asegurar los puertos del switch no utilizados: Cada puerto del switch no
utilizado debería estar deshabilitado porque no se espera que ningún usuario se
conecte a él. El comando shutdown deja al puerto en un estado de desconexión
administrativo. Además el puerto debe ser de acceso evitando que alguien intente
negociar un troncal con el switch. Otra opción es asociar los puertos no utilizados a
una VLAN aislada.
Asegurar las operaciones de STP: un usuario malicioso podría inyectar
BPDU de STP para de esa manera estropear la topología de la organización.
Siempre debería estar habilitada la característica BPDU Guard de tal forma que
los puertos se desactivarían si se recibieran BPDU inesperadas.
Asegurar el uso de CDP: por defecto los anuncios de CDP se envían a
cada puerto del switch cada 60 segundos. Aunque CDP es una potente herramienta,
también enviará información relativa al switch a los posibles atacantes. Sólo
debería estar habilitado contra otros dispositivos Cisco confiables. El comando no
cdp enable deshabilita el protocolo en las interfaces no deseadas.
www.FreeLibros.com
Capítulo 19
SEGURIDAD CON VLAN
LISTAS DE ACCESO VLAN
Para controlar el tráfico que pasa a través de un switch pueden utilizarse las
ACL. Cuando las ACL normales son configuradas en un Catalyst podrán filtrar el
tráfico mediante el uso de la TCAM (Temary Content Addressable Memory): cada
ACL se aplica a una interfaz acorde a la dirección de entrada o salida del tráfico.
Los paquetes serán filtrados por hardware de manera que no influye en el
rendimiento del dispositivo, sólo los paquetes que se intercambian entre VLAN
pueden ser filtrados de ésta con este mecanismo. Los paquetes dentro de la misma
VLAN no pueden ser filtrados con este proceso multicapa.
Las VACL (VLAN ACL) son filtros que pueden afectar el manejo de los
paquetes dentro de una misma VLAN.
Configuración de VACL
Las VACL (VLAN Access Lists) se configuran a través de una VLAN
access map que tiene un formato similar a un route-maps. Una VLAN access map
consiste en una o más sentencias con un nombre en común.
En principio se debe definir la VACL con el siguiente comando:
Switch(config)# vían access-map map-name [sequence-number]
Las sentencias son evaluadas acorde al número de secuencia, cada
sentencia puede tener una o más condiciones de coincidencia seguidas de una
www.FreeLibros.com
470
REDES CISCO. CCNP a Fondo
©RA-MA
acción determinada. Posteriormente se definen las condiciones para esas
coincidencias que identifican el tráfico para ser filtrado. Las coincidencias se llevan
a cabo por las ACL (de cualquier tipo), que deben configurarse de manera
independiente. La configuración de una de las condiciones de coincidencia puede
ser alguna de las siguientes:
Switch(config-access-map)# match ip address {acl-number \ acl-name}
Switch(config-access-inap)# match ipx address {acl-number \ acl-name}
Switch(config-access-map)# match mac address acl-name
Los comandos pueden repetirse tantas veces como condiciones sean
necesarias, la primera coincidencia encontrada desencadenará la acción a tomar. El
siguiente comando define la acción a seguir por el access map:
Switch(config-access-map)# action {drop | forward [capture]
redirect type mod/num}
|
Una VACL puede descartar un paquete que ha coincidido, enviarlo o
redireccionarlo hacia otra interfaz. La TCAM lleva a cabo la acción de
coincidencia en la VACL. Por último, la VACL se debe aplicar a una VLAN con el
siguiente comando:
Switch(config)# vían filter map-name vlan-list vlan-list
Las VACL se aplican globalmente a una o más VLAN listadas y no a una
interfaz VLAN (SVI). Tomando en cuenta que la VACL funciona dentro de la
VLAN, no es necesario aplicar dirección de entrada o salida del tráfico porque es
para el propio tráfico dentro de la VLAN.
Por ejemplo, cuando se quiere filtrar tráfico en la VLAN 99 de tal manera
que el host 192.168.99.7 no tenga permiso para contactar con otro host en su red
local. La ACL denominada CCNP es creada para identificar el tráfico entre este
host y cualquier otro host dentro de su subred. Cuando la VLAN access map esté
definida de forma que la ACL local permita el tráfico IP, el paquete es descartado.
Todo otro tráfico es enviado.
Switch(config)# ip access-list extended CCNP
Switch(config-acl)# permit ip host 192.168.99.17 192.168.99.0
0.0.0.255
Switch(config-acl)# exit
Switch(config)# vían access-map block 10
Switch(config-access-map)# match ip address local
Switch(config-access-map)# action drop
Switch(config-access-map)# vían access-map block 20
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vían filter block vlan-list 99
www.FreeLibros.com
CAPÍTULO 19. SEGURIDAD CON VLAN
©RA'MA
471
VLAN PRIVADAS
Generalmente el tráfico se permite sin ningún tipo de restricción dentro de
la misma VLAN. Los paquetes son enviados desde un host hacia otro y
normalmente son recibidos por el host de destino, gracias a la naturaleza de capa 2
que tienen los switches.
Pero si un host envía un paquete de broadcast, todos los demás host dentro
de la misma VLAN lo recibirán. Una VACL puede filtrar los paquetes entre un
origen y los destinos en la misma VLAN si ambos están conectados al mismo
switch. Es muy útil poder segmentar tráfico en una VLAN sin tener que utilizar
múltiples VLAN y un router.
Las PVLAN (Prívate VLAN) solucionan este problema. Sintéticamente se
puede decir que una VLAN normal puede estar lógicamente asociada con una
VLAN secundaria, los host asociados con la VLAN secundaria podrán
comunicarse con la VLAN primaria (por ejemplo, con un router) pero no con otros
de la VLAN secundaria. Una VLAN secundaria se configura como uno de los
siguientes tipos:
•
Isolated (aislada): cualquier puerto asociado con una VLAN
aislada podrá alcanzar la VLAN primaria, pero no podrá alcanzar
otro puerto en la VLAN secundaria. En suma, los host asociados
con la misma están aislados entre sí pero no de la VLAN primaria. -
•
Community: cualquier puerto asociado con una VLAN
community puede comunicarse con otros y además con la VLAN
primaria, pero no podrá comunicarse con cualquier otra VLAN
secundaria. Esto proporciona una segmentación básica para granjas
de servidores y grupos de trabajo dentro de una organización,
ofreciendo un aislamiento entre organizaciones.
Todas la VLAN secundarias deben estar asociadas con una VLAN primaria
para llevar a cabo una relación unidireccional. Las PVLAN están configuradas
utilizando como base VLAN normales, pero VTP no envía información sobre las
PVLAN por lo que éstas son sólo significativamente locales al switches. Cada una
de las PVLAN tiene que configurarse localmente en cada uno de los switches que
están interconectados.
Cada puerto del switch que utiliza una PVLAN debe configurarse con una
asociación de VLAN; también el puerto debe definirse en alguno de los siguientes
modos:
www.FreeLibros.com
472
REDES CISCO. CCNP a Fondo
©RA-MA
•
Promiscuo: el puerto del switch se conecta a un router, firewall o
algún dispositivo que hace las veces de gateway. El puerto puede
comunicarse con cualquier dispositivo conectado ya sea VLAN
primarias o secundarias. Las reglas de las PVLAN son ignoradas.
•
Host: el puerto del switch está conectado a un host normal que
reside en una VLAN aislada o community. El puerto sólo se
comunica con puertos promiscuos o con puertos de la misma
VLAN community.
La siguiente figura muestra la operación básica de la PVLAN, en la imagen
se muestran algunos PC conectados a una VLAN community secundaria, las dos
VLAN community están asociadas con una VLAN primaria donde se conecta el
router. El router se conecta a un puerto promiscuo en la VLAN primaria y un host
se conecta a una VLAN secundaria aislada de tal manera que sólo podrá
comunicarse con los routers en el puerto promiscuo.
VLAN
Primaria
VLAN 10 1A
v l a n T o 'T/2
2/1
VLAN SOl/T
VLA[
^20j/T
/LAN 20 1/5
i
Configuración de PVLAN
El primer paso en la configuración de la PVLAN es definir alguna VLAN
secundaria, para ello se utiliza el siguiente comando:
Switch(config)# vían vlan-id
Switch(config-vlan)# private-vlan {isolated | community}
La VLAN secundaria puede ser isolated o community, lo siguiente es
definir la VLAN primaria:
Switch(config)# vían vlan-id
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association {secóndary-vlan-list \
add secondary-vlan-list | remove secondary-vlan-list}
La VLAN primaria debe estar correctamente asociada con todas la VLAN
secundarias utilizando el parámetro association. Si la VLAN primaria ya ha sido
www.FreeLibros.com
CAPÍTULO 19. SEGURIDAD CON VLAN
©RA-MA
473
configurada, se podrá añadir sólo el parámetro remove para la asociaciones
individuales. Estos comandos de configuración de VLAN sólo proporcionan los
mecanismos para brindar conectividad unidireccional desde la VLAN secundaria a
la primaria. También se debe asociar cada puerto del switch individual con sus
VLAN privadas respectivas.
Asociación de puertos con PVLAN
Una vez definida la función del puerto que participará en la PVLAN puede
configurarse con el siguiente comando:
S w i t c h ( config-if)#
switchport mode private-vlan {host | promiscuous}
Si el host conectado a este puerto es un router o firewall o un gateway para
la VLAN, se utiliza el parámetro promiscuous para que el host sea alcanzable por
otros puertos asociados con la VLAN primaria. Para los puertos en modo isolated
o community se utiliza el parámetro host. Para un puerto no promiscuo se debe
asociar el puerto del switch con la VLAN primaria o secundaria apropiada. Hasta
ahora sólo se han configurado las PVLAN, el puerto del switch tiene que saber
cómo interactuar con los diferentes tipos de VLAN a través de los siguientes
comandos:
Switch(config-if)# switchport private-vlan host-association primaryvlan-id secondary-vlan-id
Cuando un puerto del switch se asocia a una PVLA no hay que
configurarlo como un puerto de acceso a una VLAN estática. El puerto toma
posesión de la VLAN primaria y secundaria de manera simultánea, pero esto no
significa que participará en múltiples VLAN sino que tomará un comportamiento
unidireccional entre la VLAN secundaria y la VLAN primaria.
Un puerto promiscuo se debe asociar a la VLAN primaria y a la VLAN
secundaria. Estos puertos pueden comunicarse con cualquier otro dispositivo en
una PVLAN. Los puertos en modo promiscuo exhiben un comportamiento
bidireccional mientras que los puertos en VLAN secundarias exhiben un
comportamiento en modo unidireccional. Este es un comportamiento lógico.
El siguiente comando asocia puertos en modo promiscuo a VLAN
primarias y secundarias:
Switch(config-if)# switchport private-vlan mapping primary-vlan-id
secondary-vlan-list | {add secondary-vlan-list} | {remove secondaryvlan-list}
www.FreeLibros.com
474
REDES CISCO. CCNP a Fondo
©RA-MA
Como ejemplo, en la figura anterior, el switch está configurado con la
sintaxis que sigue. Los PC en los puertos Fast 1/1 y 1/2 están en una comunidad
VLAN 10 y los puertos Fast 1/4 y 1/5 están en la comunidad VLAN 20 y el host en
Fast 1/3 está aislado en la VLAN 30. El router está en el modo promiscuo en la
VLAN primaria. Cada VLAN tiene asignado un rol y la primaria está asociada con
la secundaria. Cada puerto está asociado a una VLAN determinada.
Switch(config)# vían 10
Switch(config-vlan)# private-vlan community
Switch(config)# vían 20
Switch(config-vlan)# private-vlan community
Switch(config)# vían 30
Switch(config-vlan)# private-vlan isolated
Switch(config)# vían 100
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 10,20,30
Switch(config-vlan)# exit
Switch(config)# interface range fastethernet 1/1 - 1/2
Switchconfig# switchport private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 10
Switch(config)# interface range fastethernet 1/4 - 1/5
Switchconfig# switchport private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 20
Switch(config)# interface fastethernet 1/3
Switchconfig# switchport private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 30
Switch(config)# interface fastethernet 2/1
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 100 10,20,30
Asociación de VLAN secundarias y primarias SVI
En las SVI (Switched Virtual Interfaces) o interfaces de VLAN
configuradas como interfaces de capa 3 se deben configurar algunas asociaciones
adicionales para las PVLAN. Considerando la SVI para una PVLAN 100 que tiene
una dirección IP y participa en el tráfico de enrutamiento, las VLAN secundarias
40, que están aisladas y la 50, que es comunitaria, están asociadas en capa 2 con la
PVLAN según muestra la sintaxis siguiente:
Switch(config)# vían 40
Switch(config-vlan)# private-vlan isolated vían 50
Switch(config-vlan)# private-vlan community vían 200
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 40,50
Switch(config-vlan)# exit
Switch(config)# interface vían 200
Switch(config-if)# ip address 192.168.199.1 255.255.255.0
www.FreeLibros.com
©RA-MA
CAPÍTULO 19. SEGURIDAD CON VLAN
475
La VLAN primaria 200 puede enviar tráfico de capa 3 pero las
asociaciones de VLAN secundarias sólo funcionarán a nivel de capa 2. Para
permitir tráfico de capa 2 a capa 3 desde las VLAN secundarias se debe añadir una
asociación de PVLAN hacia la interfaz SVI utilizando el siguiente comando:
S w i t c h (config-if)# private-vlan mapping {secondary-vlan-list \ add
secondary-vlan-list | remove secondary-vlan-list}
La función de la VLAN SVI primaria es extender las VLAN secundarias
en lugar de utilizar o extender SVI para cada una de ellas. Si varias asociaciones ya
se han establecido y han sido configuradas para la VLAN SVI primaria, se pueden
utilizar los parámetros add o remove para añadir asociaciones secundarias. El
ejemplo muestra una asociación de la PVLAN:
Switch(config)# interface vían 200
Switch(config-iff)# private-vlan mapping 40,50
SEGURIDAD EN LOS ENLACES TRONCALES
Switch Spoofing
Como se ha visto en capítulos anteriores, dos switches pueden estar
conectados a través de enlaces troncales para llevar tráfico de múltiples VLAN. El
troncal no tiene por qué estar siempre presente, los switches dinámicamente lo
pueden negociar mediante el intercambio de mensajes DTP (Dynamic Trunking
Protocol).
Si bien DTP puede facilitar la administración del switch, se expone a que
los puertos del switch queden comprometidos. Si un puerto mantiene su
configuración por defecto donde el trunk está en auto, podría ser indagado por un
puerto de otro switch también en auto u on enlazando entonces un troncal.
Cuando un PC de usuario está conectado en ese puerto nunca se utilizaría
DTP, de tal forma que el puerto funcionaría en modo acceso de una VLAN
determinada. Un usuario malicioso podría explotar el uso de DTP e intentar
negociar un troncal, lo que haría aparecer el PC como un switch. Una vez que el
troncal se negocia el atacante tendrá el acceso a las VLAN permitidas por ese
troncal.
El atacante puede recibir cualquier tipo de tráfico enviado por cualquiera
de las VLAN del troncal y enviar tráfico por cualquiera de ellas.
www.FreeLibros.com
476
REDES CISCO. CCNP a Fondo
©RA-MA
La siguiente sintaxis muestra la configuración del puerto del switch por
defecto, dynamic auto, de tal manera que está esperando la negociación de algún
dispositivo DTP conectado.
Switch# show interfaces fastethernet 1/0/46 switchport
Ñame: Fal/0/46
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: trunk
Administrative Trunking Encapsulation: negotiate
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dotlq
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled Capture VLANs Allowed: ALL
Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
La solución a esta situación consiste en configurar todos los puertos del
switch de la manera que se espera que funcione y dejar los no utilizados apagados
o shutdown. Por ejemplo, en lugar de dejar los puertos en modo auto para el caso
de que sean puertos de usuario, configurarlos manualmente en modo de acceso
evitando tráfico malicioso:
Switch(config)# interface type mod/num
Switch(config-if)# switchport access vían vlan-id
Switch(config-if)# switchport mode access
VLAN Hopping
Cuando se está asegurando un troncal se debe tener en cuenta el
mecanismo de ataque llamado VLAN hopping. Consiste en que un atacante
posicionado en una VLAN de acceso puede enviar tramas con etiquetas 802.1Q
falsas, sin la necesidad de un router, de tal manera que los paquetes parecerán de
una VLAN completamente diferente.
www.FreeLibros.com
CAPÍTULO 19. SEGURIDAD CON VLAN
©RA-MA
477
Para que este mecanismo pueda aplicarse se deben cumplir las siguientes
condiciones:
•
El atacante debe estar conectado a un puerto de acceso del switch.
•
El switch tiene que estar configurado con un troncal 802.1Q.
•
El troncal debe tener la VLAN de acceso del atacante configurada
como VLAN nativa.
La siguiente figura muestra cómo trabaja VLAN Hopping: el atacante en la
VLAN 10 envía tramas doblemente etiquetadas como si se utilizara 802.1Q,
naturalmente el atacante no está en un enlace troncal. El intento consiste en
engañar al switch como si el enlace fuera un troncal a través de las etiquetas falsas
802.1Q y de la VLAN a donde se quiere llegar.
' VLAN
A
;H oppin gV
Switch Local
Switch Remoto
Cuando el switch local recibe tramas doblemente etiquetadas decide
enviarlas a través de las interfaces troncales. Como la primera etiqueta tiene el
mismo VLAN ID de la nativa del atacante, se elimina de la trama y se envía al
troncal. El switch entiende que la VLAN nativa debe permanecer no etiquetada.
Cuando el switch remoto recibe la trama examina la etiqueta 802.1Q antes de
quitarla descubriendo la etiqueta falsa de la VLAN 20. El switch envía la trama
normalmente hacia la VLAN 20. Ahora el atacante puede enviar sin problemas
tramas de la VLAN 10 ocultas hacia la VLAN 20. Todo el proceso mediante
conmutación de capa 2.
www.FreeLibros.com
478
REDES CISCO. CCNP a Fondo
©RA-M A
La clave para este tipo de ataque se basa en el uso de VLAN nativas no
etiquetadas. Para solucionar este tipo de ataques se pueden seguir los siguientes
pasos:
•
Configurar la VLAN nativa como una VLAN falsa o una que no esté en
uso.
•
Recortar la VLAN nativa de los enlaces del troncal.
Si el troncal sólo debe llevar las VLAN 10 y 20, se debería configurar la
VLAN nativa con un valor de una VLAN que no se esté utilizando, por lo tanto, la
VLAN nativa podría recortarse del troncal configurándolo en el propio enlace
según muestra la siguiente sintaxis:
Switch(config)# vían 500
Switch(config-vlan)# ñame CCNP_nativa
Switch(config-vlan)# exit
Switch(config)# interface gigabitethernet 1/1
Switch(config-if)# switchport trunk encapsulation dotlq
Switch(config-if)# switchport trunk native vían 800
Switch(config-if)# switchport trunk allowed vían remove 800
Switch(config-if)# switchport mode trunk
Otra alternativa es forzar a los troncales 802.1Q para añadir etiquetas a la
VLAN nativa, de esta manera el ataque VLAN Hopping no funcionará porque el
switch no eliminará la primera etiqueta de la VLAN nativa etiquetada. Para forzar
al switch a etiquetar la VLAN nativa se utiliza el siguiente comando:
Switch(config)# vían dotlq tag native
www.FreeLibros.com
Capítulo 20
REDES INALÁMBRICAS
INTRODUCCIÓN A LAS WIRELESS LAN
Una red Ethemet tradicional está definida en los estándares IEEE 802.3.
Cada conexión Ethemet tiene que operar bajo unas condiciones controladas,
especialmente en lo que se refiere al enlace físico. Tanto el estado, la velocidad y el
modo de Dúplex deben operar tal como lo describe el estándar. Las redes
inalámbricas están constituidas de una manera similar, pero definidas en el estándar
IEEE 802.11. Los dispositivos Ethemet cableados tienen que recibir y transmitir
tramas Ethemet acordes al protocolo CSMA/CD (Carrier Sense Múltiple
Access/Collision Detect) en un segmento de red compartido donde los host se
comunican de modo Half Dúplex: cada host puede hablar libremente y
posteriormente escuchar si hay colisiones con otros dispositivos que también están
intentando hablar. El proceso completo de detectar colisiones en conexiones
cableadas de una longitud máxima funciona también cuando la trama viaja desde
un origen a un destino antes de llegar al extremo final.
Los enlaces Ethemet Full Dúplex o conmutados no sufren colisiones ni
compiten por el uso del ancho de banda, aunque siguen las mismas normas que
Half Dúplex. Aunque las redes inalámbricas se basan en el mismo mecanismo, el
medio wireless es más difícil de controlar.
Cuando un PC comparte un segmento de red, lo hace con un número
conocido de host; cuando el mismo PC utiliza una red wireless utiliza la atmósfera
como medio en la capa de acceso, al igual que otros usuarios que son libres de
utilizarla.
www.FreeLibros.com
480
REDES CISCO. CCNP a Fondo
©RA-MA
Un WLAN (Wireless LAN) utiliza un medio compartido donde un número
indeterminado de host puede competir por el medio en cualquier momento. Las
colisiones son un hecho constante en una WLAN porque está en modo Half Dúplex
y siempre dentro de la misma frecuencia. Sólo una estación puede transmitir en un
determinado momento de tiempo.
Para lograr el modo Full Dúplex todas las estaciones que transmiten y las
que reciben deberían hacerlo en frecuencias diferentes. Operación no permitida en
IEEE 802.11.
Colisiones WLAN
Cuando dos o más estaciones wireless transmiten al mismo tiempo las
señales se mezclan, las estaciones receptoras verán el resultado como errores,
ruidos o datos incorrectos. Como mecanismo de comprobación cuando una
estación trasmite una trama la estación receptora debe responder con un ACK para
dar aviso de la correcta recepción de la trama.
Las tramas ACK sirven como un medio rudimentario para la detección de
colisiones, pero no logra prevenirlas. El estándar IEEE 802.11 utiliza un método
preventivo llamado CSMA/CA (Carrier Sense Múltiple Access Collision
Avoidance). Mientras que las redes cableadas detectan las colisiones, las redes
inalámbricas intentan evitarlas. Todas las estaciones deben escuchar antes de poder
transmitir una trama.
Cuando una estación necesita enviar una trama pueden cumplirse estas dos
condiciones:
•
Ningún otro dispositivo está transmitiendo. La estación puede
transmitir su trama de inmediato. La estación receptora debe enviar
una trama ACK para confirmar que la trama original llegó bien y
libre de colisiones.
•
Otro dispositivo está en ese momento transmitiendo una
trama. La estación tiene que esperar hasta que la trama en
progreso se haya completado. La estación espera un período
aleatorio de tiempo para transmitir su propia trama.
Además de este proceso las estaciones deben esperar un tiempo aleatorio
antes de transmitir llamado DCF Interframe Space (DIFS); si hay más de una
estación esperando para transmitir no generarán colisiones. Las estaciones
chequean las cabeceras con la información del tiempo y esperan antes de transmitir
sus tramas. Como todas las estaciones interpretan el mismo tiempo contenido en la
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
©RA-MA
481
trama transmitida, cada una de ellas decidirá si transmite o no su propia trama. Al
tiempo específico contenido en la trama emisora se le suma otro período aleatorio
antes de transmitir su propia trama.
Todo este proceso es llamado DCF (Distributed Coordination Function) y
aunque el tiempo es aleatorio siempre existe la posibilidad de que dos o más
estaciones elijan el mismo valor para ese período. No existe ningún otro
mecanismo que evite transmisiones simultáneas que generen una colisión.
A partir de una colisión las estaciones no recibirán los ACK y tendrán que
enviar sus tramas nuevamente.
Las tramas están constantemente en el aire y cualquiera puede recibirlas.
CONSTRUCCIÓN DE BLOQUES WLAN
Una red wireless básica no comprende ningún tipo de organización; un PC
con capacidad wireless puede conectarse en cualquier parte y en cualquier
momento. Naturalmente debe existir algo más que permita enviar o recibir sobre el
medio inalámbrico antes de que el PC pueda comunicarse.
En la terminología 802.11 un grupo de dispositivos wireless se llama SSID
(Service Set Identifier), que es una cadena de texto incluida en cada trama que se
envía. Si hay coincidencia entre receptor y emisor se produce el intercambio. El PC
se convierte en cliente de la red wireless y para esto debe poseer un adaptador
inalámbrico y un software que interactúen con los protocolos wireless.
El estándar 802.11 permite que dos clientes wireless se comuniquen entre
sí sin necesidad de otros medios de red, conocido como red ad-hoc o Independent
Basic Service Set (IBSS).
Como muestra la siguiente figura:
www.FreeLibros.com
482
REDES CISCO. CCNP a Fondo
©RA-M A
No existe control incorporado sobre la cantidad de dispositivos que pueden
transmitir y recibir tramas sobre un medio wireless. También dependerá de la
posibilidad de que agentes externos permitan transmitir a otras estaciones sin
dificultad, lo que hace que proporcionar un medio adecuado wireless sea difícil.
BSS (Basic Service Set) centraliza el acceso y controla sobre el grupo de
dispositivos inalámbricos utilizando un AP (Access Point) como un concentrador
del Service Set. Cualquier cliente wireless intentando usar la red tiene que
completar una condición de membresía con el AP.
El AP o punto de acceso lleva a cabo ciertas consideraciones antes de
permitir transmitir a la estación:
•
EL SSID debe concordar.
•
Una tasa de transferencia de datos compatible.
•
Las mismas credenciales de autenticación.
La membresía con el AP se llama asociación, el cliente debe enviar un
mensaje de petición de asociación. El AP permite o deniega la asociación enviando
un mensaje de respuesta de asociación. Una vez asociadas todas las
comunicaciones desde y hacia el cliente pasarán por el AP. Los clientes ahora no
pueden comunicarse directamente con otros sin la intervención del AP.
Un AP es un concentrador pero no es pasivo como un hub Ethemet,
gestiona y administra la red wireless anunciando su propia presencia para que los
clientes puedan asociarse y controla el proceso de la comunicación. Es además
responsable de enviar los ACK a las estaciones que están enviando.
www.FreeLibros.com
CAPITULO 20. REDES INALÁMBRICAS
©RA-MA
483
Un AP puede funcionar como un uplink hacia una red Ethemet porque
dispone de capacidad inalámbrica y de cableado. Los AP situados en sitios
diferentes pueden estar conectados entre ellos con una infraestructura de switching.
Esta topología recibe el nombre en el estándar 802.11 ESS (Extended Service Set).
En ESS un cliente puede asociarse con un AP, pero si el cliente se mueve a
una localización diferente puede intercambiarse con otro AP más cercano.
Funcionamiento de un AP
La función primaria del AP es puentear datos wireless del aire hasta la red
tradicional cableada. Un AP puede aceptar conexiones de un número de clientes
wireless de tal manera que éstos se convierten en miembros de la LAN como si
fueran conexiones cableadas.
Un AP también puede actuar como un bridge formando un enlace
inalámbrico desde una LAN hacia otra en largas distancias. Los enlaces entre los
AP son utilizados normalmente para conectividad entre edificios. Cisco ha
desarrollado una plataforma AP que puede puentear redes desde un AP hacia otro
AP en grandes distancias externas.
www.FreeLibros.com
484
REDES CISCO. CCNP a Fondo
©RA-MA
E n la c e tro n ca l
V LA N 200
VLA N 400
SSID "Desarrollo" I
Los AP actúan como un punto central controlando el acceso de los clientes
a la red LAN. Cualquier intento de acceso a la WLAN debe establecer inicialmente
conexión con el AP, quien permitirá un acceso abierto o restringido según las
credenciales de autenticación. Los clientes deben efectuar un saludo de dos vías
antes de asociarse. El AP puede solicitar más condiciones antes de la asociación,
antes de permitir el acceso al cliente, como credenciales específicas o volumen de
datos.
El AP puede compararse con un mecanismo de traducción donde las
tramas de un medio son enviadas a otro en capa 2; también asocia el SSID a una o
múltiples VLAN, como se muestra en la figura anterior.
Celdas WLAN
Un AP puede proporcionar conectividad WLAN solamente a los clientes
dentro de su cobertura, la señal está definida por la emisión que pueda tener la
antena. En un espacio abierto podría describirse como una forma circular alrededor
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
©RA-MA
485
de la antena omnidireccional. El patrón de ondas emitidas tiene tres dimensiones,
afectando también a los pisos superiores e inferiores de un edificio.
La ubicación de los AP tiene que estar cuidadosamente planificada para
proporcionar cobertura en toda el área necesaria. El hecho de que los clientes sean
móviles hace que la cobertura de los AP sea diferente a lo que se espera debido a
los objetos que puedan interponerse entre ellos y las antenas.
El área de cobertura del AP se denomina celda. Los clientes dentro de una
celda pueden asociarse con el AP y utilizar libremente la WLAN.
Celda
C lie n te fuera del
rango
La celda está limitando la capacidad de operación de los clientes a su radio
de cobertura. Para expandir el área total de la cobertura WLAN pueden sumarse
más celdas en zonas cercanas simplemente distribuyendo los AP en dichas zonas.
La idea es que la suma de las celdas pueda cubrir cada una de las áreas donde un
cliente esté localizado.
www.FreeLibros.com
486
REDES CISCO. CCNP a Fondo
©RA-MA
Los clientes pueden moverse desde una celda AP a otra y sus asociaciones
se van pasando de un AP a otro, mecanismo llamado roaming. Los datos que se
están confiando en un AP una vez que el cliente se mueve de celda deben ser
confiados por el nuevo AP. Esto minimiza la posibilidad de pérdidas de datos
durante el proceso de roaming.
Un buen diseño de una red WLAN intenta aprovechar al máximo la
cobertura de un AP minimizando la cantidad de puntos de acceso necesarios para
cubrir una zona determinada reduciendo a su vez el coste de la instalación.
También es importante recordar que el medio es Half Dúplex y que a mayor
cantidad de usuarios menor ancho de banda disponible.
Para entornos seguros el tamaño de la celda se reduce en microceldas o
picoceldas bajando la potencia del AP.
RADIOFRECUENCIA EN WLAN
Las comunicaciones por R F (Radiofrecuencia) comienzan con una
oscilación transmitida desde un dispositivo que será recibida en uno o varios
dispositivos. Esta oscilación de la señal se basa en una constante llamada
frecuencia. El transmisor y el receptor deben estar en la misma frecuencia para
transmitir la misma señal. La estación trasmisora tiene un dispositivo transmisor
unido a* una antena, y al igual que el receptor, que recibe la señal a través de su
antena.
Un rango de frecuencias se llama banda, como el utilizado en estaciones de
radio de AM (Amplitud Modulada) o FM (Frecuencia Modulada).
Muchas comunicaciones de WLAN ocurren dentro de la banda de 2,4 GHz
comprendido en un rango de 2,412 a 2,484 GHz; mientras que otras utilizan una
banda de 5 GHz en un rango de 5,150 a 5,825 GHz.
La señal emitida por una estación wireless se llama portadora (carrier) es
una señal constante a una determinada frecuencia. Una estación de radio que sólo
transmite la portadora no está emitiendo datos de ningún tipo. Para agregar
información, el transmisor debe modular la portadora para insertar la información
que desea transmitir. Las estaciones receptoras deben revertir el proceso
demodulando la portadora para recuperar la información original. Los métodos de
modulación pueden ser diferentes según hagan variar la frecuencia o la amplitud de
la señal portadora. Las WLAN utilizan unas técnicas de modulación más complejas
porque sus volúmenes de datos son mayores que los de audio.
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
©RA'M A
487
El principio de la modulación WLAN es empaquetar tantos datos como
sean posibles dentro de una señal y de esa manera minimizar las posibles pérdidas
por interferencias o ruidos. Cuando los datos se pierden deben ser retransmitidos
utilizando más recursos.
Aunque el receptor espera encontrar la portadora en una frecuencia fija, la
modulación hace que la portadora varíe cada cierto tiempo. Esta variación de la
frecuencia de la portadora se llama canal, a la que se hace referencia con un tipo de
numeración. Los canales WLAN están definidos en el estándar 802.11.
Las características de una señal de RF pueden variar según el medio que
atraviesa, por interferencias electromagnéticas, ruidos, señales de otras RF, etc.
Algunas de estas causas son las siguientes:
•
Reflexión: la RF viaja a través del aire como una onda, si se encontrase
con un material reflectivo la señal puede ser reflejada o rebotada.
•
Refracción: cuando la señal RF atraviesa cuerpos de diferentes densidades
puede ser refractada, reduciendo la calidad y la velocidad de la onda.
www.FreeLibros.com
488
REDES CISCO. CCNP a Fondo
©RA-MA
•
Absorción: cuando una señal de RF atraviesa un material que pueda
absorber su energía la señal será atenuada; cuanto más denso sea el
material más atenuación sufrirá la señal.
•
Dispersión: cuando la señal RF se topa con un medio muy denso o
irregular puede dispersarse en diferentes direcciones.
.Mmmm
•
Difracción: cuando la señal de RF se topa con un objeto que puede
interrumpir o absorber intensidad podría crear una zona muerta en la
cobertura.
•
Zonas de Fresnel: uno de los factores que influyen en una señal de radio
es la distancia que debe sortear hasta el destino. Técnicamente la zona
Fresnel es el volumen de espacio entre emisor y receptor de RF, de manera
que el desfase entre las ondas en dicho volumen no supere los 180°.
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
©RA-MA
489
ni
Algunos de los factores que se deben tener en cuenta en las zonas Fresnel
pueden ser:
•
Utilización de antenas correctas.
•
Ausencia de condiciones climatológicas adversas.
•
Visión directa.
•
Altura correcta de las antenas.
Medición de la señal de radio frecuencia
Una señal de RF puede ser medida en función de su potencia o energía en
unidades de Watts (W) o miliwatt, que es una milésima parte de un Watt. Por
ejemplo, un teléfono móvil puede tener una potencia aproximada de 200 mW y un
punto de acceso WLAN entre 1 y 100 mW.
Los valores de potencia pueden variar en un amplio rango, las
comparaciones y los cálculos son complicados. Los decibelios (dB) se utilizan para
manejar volúmenes de potencia a partir de una referencia conocida. Son logaritmos
representados en un amplio rango de valores en una escala lineal.
Para el cálculo del volumen de potencia en dB sé utiliza la siguiente
fórmula:
dB = 10 log 10
P.señal
^referencia J
www.FreeLibros.com
490
REDES CISCO. CCNP a Fondo
©RA-MA
Donde la señal de referencia puede ser comparada en 1 mW o en 1 W. Para
cualquiera de los casos la abreviatura de los decibelios puede ser:
•
dBm, referenciada con 1 Mw
•
dBw, referenciada con 1 W
La potencia utilizada en las WLAN ronda los 100 mW o menos, por lo
tanto se utiliza la abreviatura dBm.
Pérdida de señal
Cuando una señal de RF deja el transmisor incluso antes de que alcance la
antena, está sujeta a influencias externas que pueden reducir su intensidad. Esta
pérdida de señal puede proceder de cualquiera de estos factores:
•
Pérdida provocada por el cable desde el transmisor a la antena.
•
Pérdida de espacio libre a medida que la señal viaja por el aire.
•
Obstáculos externos.
•
Interferencias y ruidos externos.
•
Pérdida provocada por el cable desde la antena al receptor.
Estas pérdidas son acumulativas trabajando juntas y degradando la señal.
La pérdida de extremo a extremo se llama “pérdida de camino”.
Las interferencias externas debido a la existencia de otras instalaciones
inalámbricas y la distancia entre transmisor y receptor pueden ser un problema. La
potencia de una transmisión RF es inversamente proporcional al cuadrado de la
distancia hasta el origen, lo que significa que el nivel de la señal cae rápidamente
cuanto más lejos esté el receptor.
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
© r A-MA
491
El siguiente cuadro describe la pérdida de señal según la distancia:,
Distancia
Potencia
dBm
1m
100 m W
+ 20 dBm
5m
4.0 m W
+ 6 dBm
10 m
1.0 m W
0 dBm
25 m
0.16 m W
- 8 dB m
50 m
0.04 m W
- 1 4 dBm
100 m
0.01 m W
- 2 0 dB m
Ganancia de la señal
Una señal de RF también puede estar influida por factores que incrementen
notablemente su potencia. La ganancia total de señal puede ser producida por la
ganancia de la antena del transmisor y la ganancia de la antena del receptor.
Una antena no puede agregar potencia a la señal por sí misma, pero puede
focalizar la energía RF dentro de un patrón más estrecho.
La ganancia de la antena también es un mecanismo para calcular la
potencia de la señal de RF. Una antena isotrópica es aquella que es capaz de
propagar la señal en todas las direcciones equitativamente. La imposibilidad de
focalizar la energía RF hace que sea un estándar para la comparación de ganancia.
La unidad de ganancia de las antenas se da normalmente en dBi. El cálculo de los
dBi se efectúa con la misma fórmula que los dB tomando en cuánta que la
referencia viene de una antena isotrópica.
La potencia real de la señal transmitida dependerá del tipo de antena y de la
longitud del cable desde el transmisor/receptor hacia la antena.
Un cálculo más realista de la potencia se puede efectuar con el llamado
EIRP (Effective Isotropic Radiated Power). Para calcular la EIRP se debe añadir la
potencia del transmisor (en dBm) a la ganancia de la antena del transmisor (dBi)
menos la pérdida provocada por el cable (db).
www.FreeLibros.com
492
REDES CISCO. CCNP a Fondo
©RA-M A
Finalmente, la ganancia total del sistema será la suma de lasganancias y la
resta de las pérdidas.Si el resultado total es igual al resultado total de laspérdidas,
el receptor estará fuera del rango:
Ganancia total =
Potencia transmitida (dBm)
+ Ganancia de la antena transmisora (dBi)
+ Ganancia de la antena receptora (dBi)
- Pérdida del cable transmisor (dB)
- Pérdida del cable receptor (dB)
- Sensibilidad del receptor (dB)
ANTENAS WLAN
Existe una gran variedad de tipos y modelos de antenas WLAN, las más
conocidas son las siguientes:
Antena omnidireccional: pueden adoptar forma de un
cilindro alargado, son plegables dependiendo del montaje
del punto de acceso. Otro tipo de antena omnidireccional es
la tipo dipolo incorporada dentro de los propios AP. Estas
antenas propagan la señal equitativamente en todas las
direcciones en un plano pero no a lo largo de la longitud de
la antena. Es adecuada para una habitación grande porque
distribuye la señal de manera igualitaria. La ganancia de
esta antena suele ser de 2 dBi.
Antena semidirecional: cubren un área
amplia alargada y son adecuadas para cubrir
espacios alargados donde la antena se
localiza en un extremo del área. También se
utilizan para cubrir zonas exteriores desde el
edificio hacia afuera. Tienen un patrón de
emisión ovalado y su ganancia va desde 6 a
8 dBi; las antenas tipo Yagui tienen una
ganancia de 10 a 20 dBi.
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
©RA-MA
493
Antena direccional: una señal de RF en largas
d istan cias debe ser propagada en una línea imaginaria
sin interrupciones. Las antenas direccionales y las
altamente direccionales están construidas para esta
función. Focalizan la señal en un patrón elíptico
alargado y delgado. Se utiliza normalmente para
enlaces entre edificios. Las antenas parabólicas utilizan
un disco para focalizar la señal recibida dentro de una
antena montada en el centro. Esta antena es la que
mayor ganancia tiene de todas, 22 dBi.
TRAMAS WLAN
Cualquier dispositivo asociado a los estándares 802.11 tiene que utilizar
cierto tipo de tramas para comunicarse dentro de las redes WLAN. Algunas tramas
son utilizadas por clientes wireless mientras que otras son para uso del AP.
Las tramas pueden clasificarse en:
•
•
•
Tramas de gestión: se utilizan para gestionar los mensajes de la
WLAN y la asociación de los clientes. Este tipo de trama incluye:
o
Transmisiones anunciando el AP y sus parámetros wireless.
o
Asociación de clientes, reasociación y disociaciones.
o
Autenticación y desauntenticación de clientes.
Tramas de control: utilizadas para controlar las asociaciones del
cliente con el AP, incluyen:
o
Sonda de petición y respuesta, cuando un cliente solicita
información acerca del AP.
o
Mensajes RTS y CTS cuando el AP tiene que intervenir para
evaluar tramas de diferentes valores.
Tramas de datos: se envían desde cualquier dispositivo wireless.
Generalmente contienen los datos o la carga útil.
Las tramas WLAN tienen una cabecera de 32 bytes y un FCS (Frame
Check Sequence) de 4 bytes. Las direcciones de origen y destino contenidas en las
tramas es una dirección MAC 48 bits, como en Ethemet 802.3. Las tramas de
gestión incluyen un campo BSSID (Basic Service Set Identifier) de 48 bits.
www.FreeLibros.com
494
REDES CISCO. CCNP a Fondo
©RA-MA
ESTÁNDARES WLAN
Todos los estándares WLAN están incluidos en las series IEEE 802.11.
Definen la operación de capa 1 y de capa 2, que incluye las frecuencias, los canales
wireless, el rendimiento, la seguridad, la movilidad, etc.
Agencias reguladoras
La frecuencia de las WLAN utiliza una banda que no tiene licencias lo que
permite a cualquiera utilizarla sin ningún permiso. Pero existe una regulación que
establece reglas sobre qué frecuencias están disponibles y qué potencias se pueden
utilizar.
Algunas de las agencias reguladoras pueden ser:
• Federal Communications Commission (FCC, http://www.fcc.gov)
• Electrical and Electronics Engineers (IEEE, http://www.ieee.org).
• European Telecommunications Standard Institute (ETSI,
http://www.etsi.org).
Existen otras organizaciones que ofrecen ayuda e información para
desarrolladores y usuarios como:
•
La alianza Wi-Fi (http://www.wi-fi.com).
•
La alianza Wireless Ethernet Compatibility (WECA).
•
La asociación WLANA (http://www.wlana.org).
802.11b
El estándar 802.11b define el uso de WLAN en la banda de 2,4 GHz (de
2,4 a 2,5 GHz). La FCC permite a las WLAN utilizar solamente el rango específico
de 2,4 a 2,4835 GHz. La banda de 2,4 GHz es conocida como ISM (Industrial,
Scientific, and Medical). Consiste en 14 canales de 22 MHz de amplitud.
Los dispositivos que operan en WLAN utilizan la modulación DSSS
(Direct Sequence Spread Spectrum). El volumen de transmisión de datos puede
variar según las condiciones y capacidades del cliente. 802.11b permite
velocidades de transmisión de 1, 2, 5,5 y 11 Mbps. Un AP y un cliente pueden
negociar la tasa de transferencia de datos que se intercambiarán una vez realizada
la asociación.
www.FreeLibros.com
CAPÍTULO 20. REDES INALÁMBRICAS
©RA-MA
495
802.11g
El estándar 802.1 lg se construye a partir de los fundamentos del 802.11b,
pero ofreciendo tasas de transferencia más altas a partir de técnicas de modulación
mas complejas. Es compatible con su antecesor 802.11b, permitiendo la
interoperabilidad entre dispositivos. Opera en la misma banda de la 802.11. La
técnica de modulación utilizada por el estándar 802.1 lg se denomina OFDM
(Orthogonal Frequency División Multiplexing). Los dispositivos pueden soportar
tasas de transferencias de hasta 54 Mbps.
802.11a
El estándar 802.11a define el uso de WLAN en la banda de 5 GHz que
puede dividirse en tres grupos:
•
Banda baja: para uso en interiores en la frecuencia de 5,15 a 5,25 GHz.
•
Banda media: para uso en interiores y exteriores en la frecuencia de 5,25 a
5,35 GHz.
•
Banda alta: para uso externo en la frecuencia de 5,725 a 5,825 GHz.
El estándar 802.1 la permite que la tasa de transferencia sea escalable desde
6, 9, 12, 18, 24, 36, 48 y 54 Mbps, sin embargo típicamente el rendimiento máximo
suele ser de 28 Mbps.
Como ocurre con el resto de los estándares cuanto más cerca de los AP
mayor velocidad de transferencia.
Estándares adicionales 802.11
La IEE ha desarrollado estándares adicionales basados en el 802.11 de
WLAN. Algunos de ellos son:
•
802.11 e, cubre calidad de servicio para las WLAN.
•
802.1 li, cubre fundamentos avanzados de seguridad.
•
802.1 ln, aplica mejoras para un mayor rendimiento.
www.FreeLibros.com
i „
www.FreeLibros.com
C apítulo 21
ARQUITECTURA WLAN
SEGURIDAD WLAN
Como concentrador central de BSS (Basic Service Set) un AP gestiona las
WLAN de los clientes dentro de su rango. Todo el tráfico desde y hacia un cliente
pasa a través del AP para alcanzar otros clientes en la BSS o clientes cableados
localizados en cualquier otro sitio. Los clientes no se pueden comunicar
directamente entre sí.
El AP es el dispositivo donde se implementarán varias formas de
seguridad, por ejemplo, el control de la membresía WLAN autenticando a los
clientes: en caso de un fallo de autenticación no le será permitido el uso de la red
wireless. También el AP y sus clientes pueden trabajar juntos para asegurar los
datos que fluyen entre ellos.
Cuando un cliente establece una conexión wireless’ primero tiene que
buscar un AP que sea alcanzable y presentar su membresía. El cliente tiene que
negociar su membresía y las medidas de seguridad en la siguiente secuencia:
1. Usar un SSID que concuerde con el AP.
2. Autenticarse con el AP.
3. Utilizar un método (opcional) de encriptación de paquetes (privacidad de
datos).
4. Utilizar un método (opcional) de autenticación de paquetes (integridad de
datos).
5. Construir una asociación con el AP.
www.FreeLibros.com
498
REDES CISCO. CCNP a Fondo
©RA-M a
Antecedentes sobre seguridad
En las redes 802.11 los clientes pueden autenticarse con un AP utilizando
alguno de los siguientes métodos:
1.
Autenticación abierta, en este método no utiliza ningún tipo de
autenticación, simplemente ofrece un acceso abierto al AP.
2.
Pre-Phared Key (PSK), se define una clave secreta en el cliente y en
el AP. Si la clave concuerda se le concede el acceso al cliente.
El proceso de autenticación en estos dos métodos se termina cuando el AP
admite el acceso. El AP posee suficiente información en sí mismo para de manera
independiente determinar si el cliente puede o no tener acceso. La autenticación
abierta y PSK son considerados métodos antiguos, no escalables y poco seguros.
En el caso de la autenticación abierta sólo el SSID es solicitado y aunque hace que
la configuración sea extremadamente fácil, no proporciona ningún tipo de medida
de seguridad.
La autenticación compartida (PSK) utiliza una clave conocida como WEP
(Wireless Equivalence Protocol) que se guarda en el cliente y en al AP. Cuando un
cliente intenta unirse a la WLAN el AP presenta un desafío al cliente quien exhibe
su clave WEP para hacer un cómputo y enviar de vuelta la clave y el desafío al AP,
si los valores son idénticos el cliente es finalmente autenticado.
La clave WEP también sirve para autenticar cada paquete cuando se envía
por la WLAN, sus contenidos son procesados por un mecanismo criptográfico.
Cuando los paquetes son recibidos en el otro extremo el contenido se desencripta
utilizando la misma clave WEP. Este método de autenticación es, obviamente, más
seguro que la autenticación abierta pero aun así tiene su lado negativo:
•
No se escala bien porque el uso de una cadena de claves tiene que
estar configurada en cada dispositivo.
•
No es del todo seguro.
•
Las claves permanecen hasta su reconfiguración manual.
•
Las claves pueden ser desencriptadas.
www.FreeLibros.com
CAPÍTULO 21. ARQUITECTURA WLAN
©RA-MA
499
Métodos de seguridad basados en EAP
EAP (Extensible Authentication Protocol) es el mecanismo básico de
seguridad de muchas redes wireless. EAP está definido en la RFC 3748 y fue
diseñado para manejar las autenticaciones de usuario vía PPP.
Debido a que es extensible permite una variedad de métodos de entornos
de seguridad. La RFC 4017 cubre las variantes de EAP que pueden ser utilizadas
en WLAN tales como:
•
LEAP (Lightweight EAP), desarrollado por Cisco. Se utiliza un servidor
RADIUS externo para manejar la autenticación de los clientes.
•
EAP-TLS, definido en la RFC 2716 y utiliza TLS (Transport Layer
Security) para autenticar a los clientes de manera segura. Basado en SSL
(Secure Socket Layer), utilizado para acceder a sesiones Web seguras.
Cada AP tiene que tener un certificado generado por una autoridad
certificadora. Cada vez que el cliente intenta autenticarse el servidor crea
una clave nueva y será única para cada cliente.
•
PEAP (Protected EAP o EAP-PEAP), es similar al EAP-TLS. Requiere un
certificado digital sólo en el servidor de autenticación de tal manera que el
mismo puede autenticar a los clientes con Microsoft Challenge Handshake
Authentication Protocol versión 2 (MSCHAPv2). Cada vez que el cliente
intenta autenticarse el servidor crea una clave nueva y será única para cada
cliente.
•
EAP-FAST (EAP Flexible Authentication via Secure Tunneling), es un
método de seguridad wireless desarrollado por Cisco. Su nombre indica
flexibilidad reduciendo la complejidad de la configuración. No se utilizan
certificados digitales. Construye un túnel seguro entre el cliente y el
servidor utilizando PAC (Protected Access Credential) como única
credencial para construir el túnel.
WPA
El estándar IEEE 802.1 li se centra en resolver los problemas de seguridad
en las WLAN, incluso abarca más allá que la autenticación del cliente utilizando
claves WEP. WPA (Wi-Fi Protected Access) utiliza varios de los componentes del
estándar 802.11 proporcionando las siguientes medidas de seguridad:
•
Autenticación de cliente utilizando 802.lx o llave precompartida.
•
Autenticación mutua entre cliente y servidor.
www.FreeLibros.com
500
REDES CISCO. CCNP a Fondo
©RA-M a
•
Privacidad de los datos con T K IP (Temporal Key Integrity Protocol).
•
Integridad de los datos utilizando M IC (Message Integrity Check).
TKIP acentúa la encriptación WEP en hardware dentro de los clientes
wireless y el AP. El proceso de encriptación WEP permanece pero las llaves son
generadas más frecuentemente que con los métodos EAP. TKIP genera nuevas
llaves por cada paquete. Se crea una llave inicial cuando el cliente se autentica por
algún método AEP, la llave se genera con una mezcla de la dirección MAC del
transmisor con un número de secuencia. Cada vez que un paquete es enviado la
llave WEP se actualiza incrementalmente.
WPA puede utilizar llaves precompartidas para autenticación si no se
utilizan servidores de autenticación externos. Para estos casos la llave
precompartida se utiliza sólo para la autenticación mutua entre el cliente y el AP.
La privacidad de datos y la encriptación no utilizan la llave precompartida. TKIP se
encarga de la encriptación de la llave para la posterior encriptación WEP.
El proceso M IC se utiliza para generar una huella digital por cada paquete
que se envía en la WLAN comparándolo con los contenidos al recibir el paquete.
De esta manera se consigue la integridad de los datos para que no puedan
modificarse y poder compararlos con la huella enviada. Por cada paquete MIC se
genera una llave con un cálculo complejo que solamente pude ser generado en una
sola dirección. Para desencriptarlo es necesario conocer la dirección MAC del
destino para efectuar los cálculos necesarios.
WPA2
WPA (Wi-Fi Protected Access versión 2) está basado en el estándar
802.1 li final. Se extiende mucho más en las medidas de seguridad que WPA. Para
la encriptación de los datos se utiliza AES (Advanced Encryption Standard) que es
un método robusto y escalable adoptado para utilizarlo por muchas organizaciones
gubernamentales. Soporta TKIP para la encriptación de los datos y compatibilidad
con WPA.
Con WPA o con autenticación EAP un cliente wireless tiene que autenticar
al AP que visita, si el cliente se está moviendo de un AP a otro el continuo proceso
de autenticación puede llegar a ser tedioso. WPA2 resuelve este problema
utilizando PKC (Proactive Key Caching) donde un cliente se auténtica sólo una
vez en el primer AP que se encuentra. Si el resto de los AP soportan WPA2 y están
configurados como un grupo lógico, la autenticación se pasa automáticamente de
un AP a otro.
www.FreeLibros.com
CAPÍTULO 21. ARQUITECTURA WLAN
©RA-MA
501
COMPATIBILIDAD DE LOS CLIENTES WIRELESS
Existe una gran variedad de dispositivos wireless: PC portátiles, teléfonos,
PDA, adaptadores de red, etc. Cada uno de ellos puede a su vez pertenecer a un
tipo diferente de fabricante. Estos son en general los llamados ASD (Application
Specific Devices). Los AP Cisco poseen compatibilidad con muchos de estos
dispositivos. Para ver las características de los dispositivos que se van a conectar
Cisco ha desarrollado un programa llamado CCX (Cisco Compatible Extensions)
cuyas versiones y aplicaciones se muestran en la siguiente tabla:
Versión CCX
Características
CCXvl
802.11 básico, compatible con 802.IX
LEAP y múltiples SSID.
autenticación
CCXv2
W PA 802X autenticación PEAP. Roaming
M onitorizacion de interferencias.
CCXv3
W PA2, incluyendo encriptación AES, autenticación
802. IX para EAP-FAST. W i-Fi Multimedia (WMM) para
QoS.
CCXv4
Cisco Network Adm ission Control (NAC) Cali admission
control para voz IP (VoIP). Reportes de métrica para
VoIP. Roaming mejorado 802.11.
CCKM.
ASOCIACIÓN Y ROAMING
Cuando un cliente wireless se asocia con un AP todos los datos que van
hacia y desde el cliente tienen que pasar por dicho AP. Luego de que la asociación
entre cliente y AP se establece, la asociación se mantiene mientras el cliente se
mantenga dentro del rango del AP. Cuando la potencia de la señal cae por debajo
del umbral aceptable el cliente perderá la conexión.
Otros AP pueden añadirse para que el cliente pueda moverse dentro de un
área más amplia. Los AP añadidos deben ser distribuidos cuidadosamente para
permitir moverse al cliente desde un AP hacia otro. El proceso de roaming es el
que se produce cuando la asociación de un AP pasa al siguiente de tal maneta que
la asociación wireless se mantiene durante el traslado del cliente.
www.FreeLibros.com
502
REDES CISCO. CCNP a Fondo
©RA-M a
El proceso de roaming se lleva a cabo con AP adyacentes y configurados
con canales que no se solapen asegurando que el cliente reciba señales de un AP
sin interferir con las señales de otro AP. El cliente puede tomar dos aproximaciones
para decidir efectuar el roaming:
•
El cliente puede activamente buscar otros AP adyacentes antes de
que necesite utilizar el roaming.
•
El cliente puede buscar AP adyacentes después de que se dé cuenta
de efectuar el roaming.
El estándar 802.11 no se encarga de decidir sobre el proceso de roaming, es
el cliente el que toma la decisión de asociación, de esta manera los algoritmos de
roaming son específicos de cada fabricante.
En el algoritmo del roaming se tienen en cuenta la intensidad y la calidad
de la señal, un cálculo de las señales perdidas por colisiones e interferencias, etc.
Estos factores son usualmente las condiciones lógicas que indican la calidad de la
conexión. Una vez que un cliente decide moverse, sea cual fuere el motivo, debe
buscar un potencial AP buscando en los otros canales activos.
El cliente puede tomar dos aproximaciones al proceso de búsqueda:
•
Búsqueda pasiva: el cliente busca otros canales disponibles
escuchando las señales 802.11.
•
Búsqueda activa: el cliente envía tramas del tipo probe request
para indagar sobre los AP disponibles.
Cuando un cliente busca pasivamente sólo espera recibir las señales RF
correspondientes, como ocurre con dispositivos pasivos como pueden ser los
teléfonos wireless.
En una búsqueda activa el cliente lleva el control del proceso porque tiene
que enviar tramas de gestión probe request hacia cualquier posible canal y esperar
las tramas probe response de cualquier AP que esté escuchando y anunciando su
existencia. Este mecanismo resulta más eficiente que el pasivo porque los AP son
identificados según la demanda.
www.FreeLibros.com
CAPÍTULO 21. ARQUITECTURA WLAN
©RA-MA
503
Cuando el cliente sale de la cobertura de un AP envía un mensaje de
disociación por el canal correspondiente hacia dicho AP, quedando libre para
asociarse con el siguiente AP encontrado por otro canal a partir de una respuesta de
asociación del nuevo AP.
El proceso de roaming en 802.11 ocurre a nivel de capa 2 tal como sucede
en una red cableada en capa de acceso dentro de la misma VLAN. Durante el
movimiento del cliente su dirección IP permanece invariable, esto hace que no se
pierda tiempo en solicitar nuevas direcciones IP.
Existe un tiempo muerto durante el proceso de disociación y asociación
con el nuevo AP, pero la meta final del roaming es mantener ese tiempo muerto a
un mínimo para que las aplicaciones susceptibles no se vean afectadas
adversamente.
Si el tamaño de la WLAN es muy grande lo recomendable es dividirla en
diferentes subredes y VLAN. Para estos casos los clientes wireless tendrán que
cruzar límites de capa 3 mientras se están moviendo; por lo tanto la dirección IP
del cliente cambiará desde un AP a otro. Este proceso involucra mucho más que las
simples peticiones y asociaciones de 802.11, suma un tiempo muerto adicional
cuando el cliente está solicitando y recibiendo la nueva dirección IP. El roaming de
capa 3 no es nativo a los estándares de 802.11. Más adelante se detallarán los
mecanismos de funcionamiento para este tipo de roaming.
DISTRIBUCIÓN DE CELDAS Y CANALES
Al diseñar una WLAN existen dos metas básicas: dimensionar las celdas
de los AP y seleccionar los canales para las celdas de los AP.
El tamaño de las celdas determina la cantidad de AP que tienen que
desplegarse para cubrir un área. Además del tema económico el tamaño de la celda
puede afectar el correcto funcionamiento de los AP y de los clientes mientras se
mueven entre ellos y se sitúan en diferentes localizaciones. Todas las asociaciones
dentro de la misma celda deben compartir el mismo ancho de banda y competir por
el acceso, si la celda es muy grande habrá muchos usuarios compitiendo por el
acceso al medio. Cuanto más lejos se sitúe el cliente del AP menor será su taza de
transferencia, es decir, menor rendimiento. La potencia de propagación del AP
puede ajustarse para que no se solape con otras celdas que estén operando en el
mismo canal. Cuando un AP falla el área cubierta por éste quedará en silencio.
www.FreeLibros.com
504
REDES CISCO. CCNP a Fondo
© RA-M a
Para minimizar el solapamiento de canales e interferencias las celdas AP
deberían estar designadas de tal manera que los AP adyacentes utilicen diferentes
canales. Con 802.11b y 802.1 lg la limitación es de 1, 6 y 11 canales. Una
combinación alternada de los canales puede cubrir una extensa zona, según muestra
la siguiente figura:
www.FreeLibros.com
C apítulo 22
CESCO UNIFIED WIRELESS NETWORK
ARQUITECTURA WLAN TRADICIONAL
Tradicionalmente la arquitectura WLAN se centra en los AP. Cada uno de
los AP funciona como un concentrador de su propio BSS dentro de la celda donde
los clientes se localizan para obtener la correspondiente asociación con el AP. El
tráfico desde y hacia cada cliente debe pasar por el AP.
Cada AP debe ser configurado individualmente aunque puede darse el caso
de que varios utilicen las mismas políticas. Cada AP opera de manera
independiente utilizando su propio canal de RF, la asociación con los clientes y la
seguridad. En síntesis cada AP es autónomo. Por este último motivo la gestión de
la seguridad en una red wireless puede ser difícil. Cada AP autónomo maneja sus
propias políticas de seguridad, no existe un lugar común para monitorizar la
seguridad, detección de intrusos, políticas de ancho de banda, etc.
Gestionar las operaciones de RF de varios AP autónomos puede ser
también bastante difícil. Cuestiones como las interferencias, la selección de
canales, la potencia de salida, cobertura, solapamientos y zonas negras pueden ser
partes conflictivas para la configuración de los AP autónomos.
Cisco ofrece un modelo diferente unificado como solución a los AP
autónomos.
www.FreeLibros.com
506
REDES CISCO. CCNP a Fondo
©RA-MA
CISCO UNIFIED WIRELESS NETWORK
Cisco ofrece un conjunto de funciones integrales a las redes WLAN y las
lo ha llamado Cisco Unified Wireless Network Architecture. Esta nueva
arquitectura ofrece las siguientes capacidades centralizadas de tal manera que los
dispositivos de la red inalámbrica las reciben independientemente de donde se
encuentren:
•
Seguridad
•
Desarrollo
•
Administración
•
Control
Para centralizar estos aspectos de la WLAN muchas de las funciones de los
AP tienen que ser movidas hacia una localización central.
Los procesos de tiempo real involucran el envío de las tramas 802.11, las
señales de los AP y los mensajes probe. La encriptación de los datos también se
maneja por paquete y en tiempo real. El AP debe interactuar con los clientes
wireless en la capa MAC, estas funciones son parte del hardware del AP acerca de
los clientes. Las funciones de gestión no son integrales al manejo de tramas sobre
señales RF, pero son cuestiones que se deben administrar centralizadamente. Así,
estas funciones son instaladas en una plataforma central lejos del AP.
En este sistema de Cisco unificado se puede elegir un AP determinado para
llevar la operación 802.11 en tiempo real. Este AP se llama LAP (Lightweight
Access Point) porque tiene menos trabajo que lo que hace un AP autónomo.
Las funciones de gestión se llevan a cabo en el W LC (Wireless LAN
Controller) que es común a varios AP. Las funciones del WLC son la autenticación
de usuarios, políticas de seguridad, administración de canales, niveles de potencia
de salida, etc.
Esta división de tareas se conoce como arquitectura split-MAC, donde las
operaciones normales de MAC son separadas en dos ubicaciones distintas, esto
ocurre por cada LAP en la red. Cada uno tiene que unirse a sí mismo con un WLC
de manera que pueda encender y soportar a los clientes wireless. El WLC se
convierte en el concentrador que soporta un número variado de LAP en la red
conmutada.
www.FreeLibros.com
CAPÍTULO 22. CISCO UNIFIED WIRELESS NETWORK
©RA-MA
507
El proceso de asociación del LAP con el WLC se produce a través de un
túnel para pasar los mensajes relativos a 802.11 y los datos de los clientes. Los
LAP y el WLC pueden estar localizados en la misma subred o VLAN pero no tiene
que ser siempre así. El túnel hace posible el encapsulado de los datos entre ambos
AP dentro de nuevos paquetes IP. Los datos tunelizados pueden ser conmutados o
enrutados a través de la red del campus según muestra la siguiente figura:
LWAPP
Encriptado para gestión
LWAPP
Desencriptado para datos
de usuarios
El LAP y el WLC utilizan el LWAPP (Lightweight Access Point Protocol)
como mecanismo de tuneling dividido en dos modos diferentes:
•
Mensajes de control LWAPP, son mensajes utilizados para la
configuración del LAP y gestionan la operación. Estos mensajes
están autenticados y encriptados de tal manera que el LAP es
controlado de manera segura solamente por el WLC.
•
Datos LWAPP, los paquetes hacia y desde los clientes wireless
son asociados con el LAP. Los datos son encapsulados dentro de
LWAPP pero no están encriptados entre el AP y el WLC.
Cada LAP y WLC se autentican mutuamente coii certificados digitales
(X.509) que deben estar preinstalados por el fabricante. Usando este sistema de
certificados cada dispositivo es autenticado antes de formar parte del Cisco Unified
Wireless NetWork Architecture.
Funciones del WLC
Una vez que los túneles LWAPP se construyen desde el WLC a uno o más
LAP, el WLC puede comenzar a ofrecer una cantidad de funciones adicionales:
www.FreeLibros.com
508
REDES CISCO. CCNP a Fondo
•
©RA-MA
Asignación de canales dinámicos: el WLC elige la configuración de los
canales de RF que usará cada LAP basándose en otros AP activos en el
área.
•
Optimización del poder de transmisión: el WLC configura el poder de
transmisión para cada LAP en función de la cobertura de área necesaria. El
poder de transmisión también se ajusta automáticamente de manera
periódica.
•
Solución de fallos en la cobertura: si un LPA deja de funcionar, el
agujero que deja la falta de cobertura es solucionado aumentando el poder
de transmisión en los LAP que hay alrededor de manera automática.
•
Roaming flexible: los clientes pueden moverse libremente en capa 2 o en
capa 3 con un tiempo de roaming muy rápido.
•
Balanceo de carga dinámico: cuando 2 o más LAP están posicionados
para cubrir la misma área geográfica el WLC puede asociar los clientes con
el LAP menos usado distribuyendo la carga de clientes entre los LAP.
•
M onitorización de RF: el WLC gestiona cada LAP de manera que pueda
buscar los canales y monitorizar el uso de la RF. Escuchando en un canal el
WLC puede conseguir información sobre interferencias, ruido, señales de
diversos tipos.
•
Gestión de la seguridad: el WLC puede requerir a los clientes wireless
que obtengan una dirección IP de un servidor DHCP confiable antes de
permitirles su asociación con la WLAN.
Para manejar un gran número de LAP se pueden desplegar varios WLC de
manera redundante. La gestión de varios WLC puede requerir un esfuerzo
significativo, debido a que el número de AP y clientes para ser monitorizados y
gestionados puede ser elevado.
El Cisco Wireless Control System, CWCS, es una plataforma opcional que
puede ser utilizada de manera gráfica para las configuraciones y monitorización de
todos los WLC, LAP y monitorización de clientes de la red.
Funciones del LAP
El LAP (Lightweight Access Point) lleva una configuración muy básica, el
AP debe encontrar un WLC para recibir la configuración de tal manera que nunca
necesite ser configurado por el puerto de consola.
www.FreeLibros.com
CAPÍTULO 22. CISCO UNIFIED WIRELESS NETWORK
©RA-MA
509
Los siguientes pasos detallan el proceso de inicio que el LAP tiene que
completar antes de entrar en actividad:
1. Se obtiene una dirección de un servidor DHCP.
2. El LAP aprende la dirección IP de los WLC disponibles.
3. Envía una petición de unión al primer WLC que encuentra en la lista de
direcciones. Si el primero no responde se intenta con el siguiente. Cuando
el WLC acepta al LAP envía una respuesta para hacer efectiva la unión.
4.
El WLC compara el código de imagen del LAP con el código que tiene
localmente almacenado, el LAP descarga la imagen y se reinicia.
5. El WLC y el LAP construyen un túnel seguro LWAPP para tráfico de
gestión y otro similar no seguro para los datos del cliente.
El LAP tiene que obtener una dirección IP del WLC utilizando algunos de
estos métodos:
•
Un servidor DHCP con la opción 43.
•
Con la IP subnet broadcast, el LAP efectúa un broadcast con un
mensaje de petición esperando encontrar un WLC en la misma
subred. Esta función sólo es posible si existe adyacencia de capa 2.
Un LAP siempre estará unido a un WLC pero puede contener una lista de 3
WLC (primario, secundario y terciario). Cuando el WLC experimente un fallo el
LAP no será capaz de mantener la asociación con los clientes, entonces se
reiniciará intentando encontrar un nuevo WLC disponible.
Patrones de tráfico en una red cisco wireless unificada
Debido a que los LAP conectan a la red cableada a través de túneles
lógicos LWAPP los patrones de tráfico entrante y saliente de la WLAN son
diferentes a las redes WLAN tradicionales.
El tráfico desde un cliente viaja desde el LAP, a través del túnel LWAPP,
hacia el WLC y es enviado fuera a través de la red del campus. El tráfico entre dos
clientes wireless tendrá el mismo recorrido anterior y de vuelta hacia el cliente
destino. Esta secuencia se muestra en la siguiente figura:
www.FreeLibros.com
510
REDES CISCO. CCNP a Fondo
©RA-MA
Para el siguiente caso existen 2 VLAN que sirven para llevar tráfico desde
los clientes inalámbricos que están asociados con sus respectivos SSID. Las VLAN
pasan a través del troncal entre el WLC y el switch, pero no se extienden más allá.
El LAP y el WLC están interconectados por una VLAN diferente aislada de las
otras 2 VLAN. Las VLAN de acceso son llevadas a través del túnel LWAPP de tal
manera que sólo existen lógicamente de manera local.
www.FreeLibros.com
CAPÍTULO 22. CISCO UNIFIED WIRELESS NETWORK
©RA-MA
511
Asociación y roaming del LAP
Los clientes inalámbricos tienen que negociar una asociación con el LAP,
como ocurre en las 802.11, pero la arquitectura de MAC dividida tiene un efecto
diferente en el proceso de asociación con los clientes. Un LAP maneja en tiempo
real todas las tareas inalámbricas intercambiando información con el WLC. En
efecto, los clientes negocian su asociación con el WLC directamente.
•
Todas las asociaciones de clientes pueden ser gestionadas desde
una ubicación centraliza.
•
El roaming de los clientes se lleva a cabo de una manera más
rápida y más fácil.
Con los AP autónomos un cliente se mueve trasladando su asociación
desde un AP hacia otro. El cliente debe negociar el movimiento con el AP
independientemente y los AP deben asegurarse de que los datos que poseen sean
enviados a la siguiente asociación. El roaming autónomo funciona sólo en capa 2.
Otros mecanismos han de ser añadidos para soportar el roaming de capa 3.
Con los LAP el cliente también se mueve trasladando igualmente su
asociación. Desde el punto de vista del cliente la asociación se produce desde un
AP hacia otro AP, pero en realidad se produce desde un WLC a otro WLC acorde
con las uniones con los LAP. De esta manera se soporta roaming de capa 2 y de
capa 3. La dirección del cliente puede ser la misma mientras se está moviendo y no
importa qué túnel LWAPP utiliza el cliente para alcanzar el controlador.
La asociación de un cliente se produce con el WLC a través del LAP,
cuando el cliente se mueve cambiando de celda cambia de LAP y de túnel
LWAPP. Si los LAP pertenecen al mismo controlador el WLC será el mismo aun
cuando el cliente se mueva de celda en celda (intra-controller roam).
Roaming entre controladores
En casos donde el cliente deba moverse de un controlador a otro, por
ejemplo en una WLAN muy grande que contenga varios LAP y que estén
soportados por varios WLC, los LAP podrían estar distribuidos en diferentes
controladores con el propósito de balancear la carga o redundancia.
Cuando el cliente se mueve desde una celda a otra se encentra con el
mismo SSID y el cliente puede mover su asociación hacia el siguiente WLC.
Mientras los dos controladores estén localizados en la misma subred IP pueden
pasarse fácilmente las asociaciones entre ellos. Esto se hace a través del
www.FreeLibros.com
512
REDES CISCO. CCNP a Fondo
©
r a -m a
intercambio del mensaje de movilidad donde se transfiere la información del
cliente. Una vez que el intercambio se ha realizado el cliente puede comenzar a
utilizar el túnel LWAPP con el nuevo WLC. El proceso de roaming ha sido
completamente transparente para el cliente que sigue manteniendo su misma
dirección IP.
El escenario es ahora una ubicación con los WLC en dos redes diferentes.
El cliente comienza con una asociación inicial y una dirección IP correspondiente a
la VLAN del SSID. Cuando el cliente se mueve hacia la celda del próximo LAP, la
asociación ocurre a través de ese nuevo LAP y su correspondiente WLC que le
ofrece acceso a la nueva VLAN. La dirección IP del cliente hasta ahora permanece
constante. Los WLC están en VLAN diferentes por lo que la dirección IP del
cliente será diferente en la nueva ubicación. Los dos controladores crean un túnel
E ther-IP (definido en la RFC 3378) entre ellos con el propósito específico de
pasar tráfico del cliente. Este túnel es la manera que tienen los controladores de
encapsular la capa MAC dentro del paquete IP utilizando el Protocolo IP 97. Todo
el tráfico del cliente, aun estando en una celda y una VLAN diferente, pasará por el
túnel.
El WLC inicial aceptará todo el tráfico de ese cliente y lo enviará al WLC
apropiado que tenga la nueva asociación.
A
www.FreeLibros.com
© RA-MA
CAPÍTULO 22. CISCO UNIFIED WIRELESS NETWORK
513
Mientras el cliente continúe movilizándose el WLC original será su punto
de referencia en la red, mientras que los otros WLC serán ajenos e intercambiarán
los datos del cliente a través del túnel Ether-IP.
Un cliente puede moverse hacia cualquier LAP y su correspondiente WLC
asociado mientras permanezca dentro del mismo grupo de movilidad. Un grupo de
movilidad puede contener hasta 24 WLC de cualquier tipo de plataforma. La
cantidad de LAP puede variar dependiendo de la plataforma del controlador.
CONFIGURACIÓN BÁSICA WLAN
Configuración del WLC
Un Cisco WLC posee diferentes tipos de interfaces utilizadas para distintos
propósitos, la decisión de la distribución y conexión de las interfaces puede resultar
la parte más difícil de decidir. Un WLC posee las siguientes interfaces:
•
Gestión, contenida dentro de la propia red.
•
AP
•
Virtual, para conexiones DHCP de los clientes.
•
Puertos de servicio, vía de acceso en caso de fallos.
•
Puerto del sistema de distribución, normalmente un troncal que
manager, usada por
descubrimiento y asociación.
los
túneles
LWAPP
para
el
conecta con un switch de campus.
•
Dinámica, creada sólo cuando se necesita por el uso de los túneles
LWAPP, es llamada también interfaz de usuario y lleva la misma
IP original del cliente.
El proceso de configuración de los WLC se inicia a través del puerto de
consola y el asistente de configuración a través de la línea de comandos. Una vez
que el WLC se inicia aparecerán una serie de preguntas de manera interactiva
solicitando la siguiente información:
1. Nombre del sistema, identifica al WLC y puede ser de hasta 32
caracteres.
2. Usuario y contraseña administrativo, por defecto serán admin y
admin respectivamente.
www.FreeLibros.com
514
REDES CISCO. CCNP a Fondo
©RA-MA
3. Dirección IP del puerto de servicio, puede ser por DHCP o
estática, con esta última se solicitarán los datos pertinentes a IP,
máscara, gateway, número de VLAN de gestión.
4. Dirección IP del servidor DHCP.
5. Dirección IP de la interfaz de gestión del AP.
6. Dirección IP de la interfaz virtual.
7. Nombre del grupo de movilidad, tiene que ser idéntico dentro de
todo el grupo de movilidad.
8.
SSID por defecto, utilizado por los LAP cuando se unen al
controlador. El WLC enviará otros SSID hacia otros LAP luego de
la asociación.
9. Preguntará si los clientes obtienen direcciones IP automáticamente
por DHCP.
10. Configuración del servidor RADIUS.
11. Código de país.
12. Habilitación de 802.11 (a, b, g).
13. Habilitación de la característica de administración de RF
(RRM).
Finalmente y luego de guardar la configuración, el WLC se reiniciará.
Despues de este punto se podrá configurar el WLC desde la interfaz Web.
El WLC utiliza interfaces dinámicas para asociar las VLAN en los puertos
de sistema de distribución con los SSID. Los siguientes pasos describen este
proceso de configuración:
•
Crear una interfaz dinámica para los clientes inalámbricos.
•
Crear una WLAN unida a la interfaz dinámica.
Desde la barra de tareas del WLC se selecciona la pestaña controller, en la
categoría interfaces en la columna de la izquierda. El botón new muestra la
siguiente ventana:
www.FreeLibros.com
CAPÍTULO 22. CISCO UNIFIED WIRELESS NETWORK
©RA-MA
515
NetWOffcRfltfl*»
tfitamaíDltCPSvmer
WtWHrtvMwwmtnt
Haháfaial9l)l5£1
Sp*ankgT***
PtHti
M«ttpr CoeifoJlrr
NelworiiTlwfPrrtíttrf
Q6Stfrófiks
El nombre descriptivo de la interfaz virtual es en este caso Inter CCNP y
está asociada a la VLAN 200.
La dirección IP para la interfaz dinámica y el DHCP se configuran desde la
siguiente pantalla:
www.FreeLibros.com
516
REDES CISCO. CCNP a Fondo
©RA-MA
Finalmente se definirá una WLAN que servirá a los clientes asociados con
los LAP que están unidos al WLC. Desde la pestaña wlan y con el botón new se
configura el SSID que será utilizado en la WLAN:
Por último se asocia el SSID con la interfaz dinámica, que en este caso
serán SSID W lan Estudio y la interfaz Inter CCNP:
WLAN*>fcOR
IR
wian v»m
j
WltaEtfadfo
B ocim ly PíjlírJuí
AjfWTjSUtoi
fcf*
T tontft
Qy/jMysíSwvím(0*5)
whh Rpt
Ví»4c-írtSt:0
♦PV*5n*W*
pUWttí
I’* * * 3
jO
OHAC
jj
nCItMCACUmt C& C*Ctm*
L4t«f3S*a¿jntf
ETi
«re*«íe
A3sM AAA
n
HeMfjctíMSsi
RE*»kW*‘ (w^" 'T _"í
OHCí<S*r**r
fjOiiffri*
<w»)
OWC#-Aí4f.WíspMww* nR*9U^(1
W VHt¡MR*4»*íl
JES3EECT®
1
H-WAf Ucn)Swtshtaj. O
* H-itCM* Utstl Sw)-_.J--éQ>uá ivWarírJ errihi IPfffC, líT ?, W ? , £
www.FreeLibros.com
CAPÍTULO 22. CISCO UNIFIED WIRELESS NETWORK
©RA-MA
517
Configuración del LAP
Los LAP de Cisco están configurados para que necesiten una mínima
intervención manual. El WLC puede gestionar todos los aspectos de las
operaciones del LAP, incluyendo la sincronización de la imagen.
Los LAP funcionan con 48 VDC y un consumo de 15 W, la cantidad
exacta de potencia consumida depende de la cantidad de RP que se esté utilizando.
La energía puede ser proporcionada por medio de un adaptador AC/DC, PoE o un
adaptador de alimentación intercalado en la conexión de red simulando PoE.
Si la energía se proporciona sobre el cable Ethernet la longitud del mismo
influirá negativamente sobre la potencia de la energía entregada. Un cable de 100
metros provoca un incremento de 2,5 W a la energía total consumida por el AP.
Una vez que el WLC ha sido configurado y está operacional un LAP puede
ser introducido en la red sin ningún tipo de configuración previa. El LAP sólo
necesita dos datos de información para ser capaz de arrancar y empezar a
comunicarse con el WLC.
•
Dirección IP para sí mismo.
•
Dirección IP de uno o más WLC.
Es posible conectarse al puerto de consola del LAP y configurar esta
información, pero eso provoca tareas administrativas que no son normalmente
necesarias. Un servidor DHCP en la red será suficiente para proporcionar la
dirección IP a los LAP. A partir de la obtención de la dirección IP el LAP buscará
un WLC y creará un túnel LWAPP.
El LAP encontrará a los WLC simplemente enviando un broadcast en la
subred, cualquier WLC disponible responderá permitiendo al LAP construir un
listado de direcciones. Si los WLC están localizados en subredes IP diferentes a las
de los LAP las direcciones de los WLC pueden obtenerse en los contenidos de la
opción 43 de DHCP. Todos los modelos de LAP utilizan una cadena de dígitos
hexadecimales llamados TLV (Type, Length, Valué).
Como ejemplo, un switch está configurado como servidor DHCP para
proporcionar las direcciones IP al LAP:
Switch(config)# ip dhcp pool pool-name
Switch (dhcp-config)# network ip-address subnet-mask
Switch (dhcp-config)# default-router ip-address
Switch (dhcp-configO# dns-server ip-address
Switch (dhcp-config)# option 43 {ascii | hex} string
Switch (dhcp-config)# exit
www.FreeLibros.com
518
REDES CISCO. CCNP a Fondo
©RA-MA
El LWAPP utiliza los puertos UDP 12222 y 12223, por lo tanto estos
puertos deben estar permitidos entre el LAP y el WLC cuando existe algún firewall
o ACL.
Utilizando la interfaz Web del WLC se puede verificar el estado de los
LAP, desde la ventana M onitor Summary debajo de Access Point Summary se
puede ingresar al punto Detail:
Sove Configuraron
MONITOR
WLANs
CONTROLLER
WIRELESS
SECURITY
M iH A G E M E hr
COMÍ-W-.DS
P¡n¡i
lo g c
HELP
All APS
S ea rch b y E llie rn o t MAC j
Statistics
Controller
AP ID
Ethern et MAC
Adniln S tatu s
? E Í “ ,lo n “ l
Status
P o rt
a0:lS:2b:f9vtl)!30
Enablo
«EG
29
Wireless
RoqueAP;
Known Rogue APS
ñogue Clients
AdhoeRogu&s
302.11a Radios
a02.11b/g Rádios
Cliente
RADIUS S<jrvflrs
Configuración del puerto del switch para el LAP
Antes de conectar el LAP al puerto del switch se debe verificar que esté
correctamente configurado. El LAP requiere un puerto en modo de acceso,
asociado a una VLAN determinada.
Es recomendable separar al AP de las VLAN de acceso de los usuarios y
asociarlo a una VLAN exclusiva de gestión con una subred reservada para este fin.
RSTP también puede funcionar en los puertos de acceso de los LAP. La VLAN de
los LAP no se extiende más allá de la cobertura de éstos, por lo tanto no se
formarán bucles fuera del área.
www.FreeLibros.com
©RA-MA
CAPÍTULO 22. CISCO UNIFIED WIRELESS NETWORK
Los siguientes comandos IOS configuran un puerto del switch:
Switch(config)# vían lap-vlan-num
Switch(config-vlan)# ñame lap-vlan-name
Switch(config-vlan)# exit
Switch(config)# interface type mod/num
Switch(config-if)# switchport
Switch (config-if )# switchport access vían lap-vlan-num
Switch (config-if )# switchport host
Switch(config-if )# power inline auto
Switch(config-if )# no shutdown
Switch(config- i f )# exit
www.FreeLibros.com
519
www.FreeLibros.com
PARTE III
www.FreeLibros.com
www.FreeLibros.com
C apítulo 23
TECNOLOGÍAS DE ACCESO
ACCESO POR CABLE
Las tecnologías de acceso por cable son las populares y proporcionan
conectividad mediante redes MAN a comunidades, edificios, empresas, etc. a
través de una conexión común.
Es posible efectuar transmisiones de señales de televisión, conexión a
Internet y telefonía por el mismo medio. Estos servicios se ofrecen habitualmente
por las compañías proveedoras de servicios.
Terminología de acceso por cable
Algunos de los términos más comunes utilizados en la tecnología de acceso
por cable son los siguientes:
•
Banda ancha. Transmisión de datos usando un método de
multiplexación para usar más eficientemente el ancho de banda
disponible.
www.FreeLibros.com
524
REDES CISCO. CCNP a Fondo
©RA-MA
•
En el caso del cable, el término “banda ancha” se refiere a
multiplexación por división en la frecuencia (FDM) de múltiples
señales en un ancho de banda de radio frecuencia (RF) amplio
sobre una red híbrida de fibra y coaxial (HFC). FDM es un medio
para asignar ancho de banda a información proveniente de
diferentes canales en el mismo cable.
•
CATV. Servicio de antena de televisión comunitaria.
•
Cable coaxial. Es un tipo específico de cable usado en sistemas de
televisión y en determinadas redes.
•
Tap. Dispositivo utilizado para dividir la potencia de la señal de
entrada RF.
•
Amplificador. Dispositivo para amplificar una señal de RF.
•
Receptor-Distribuidor. Instalación maestra donde las señales son
recibidas, procesadas, formateadas y distribuidas a la red de cable.
•
Red de transporte. Son los medios físicos por los que antenas
remotas están conectadas a las instalaciones de RecepciónDistribución.
•
Red de distribución. Es una arquitectura formada por un cable
central del que cuelgan otros cables que llegan a edificios u otras
localizaciones.
•
Nodo. Lleva a cabo una conversión óptica a RF de las señales
CATV.
En la siguiente se muestra una arquitectura típica de red por cable:
www.FreeLibros.com
© RA-MA
CAPÍTULO 23. TECNOLOGÍAS DE ACCESO
525
Estándares de transmisión por cable
La transmisión de señales a través de un cable se realiza por medio de la
modulación de la señal. La modulación es la adición de información a una señal
portadora electrónica u óptica. En sí, es el proceso de variar la forma de una onda
para llevar un mensaje. La forma de la onda puede ser cambiada en amplitud,
frecuencia, fase o en una combinación de esas tres.
Los estándares que regulan la forma en que se reáliza la transmisión por
cable son los siguientes:
•
NTSC (National Televisión Standards Committee), utilizado
principalmente en Estados Unidos.
•
PAL (Phase Altemating Line), utilizado en gran parte de Europa,
Africa, Asia, Australia, Brasil y Argentina.
•
SECAM (Systéme Electronic Couleur avec Memoire), utilizado en
Francia y algunos sitios de Europa del este.
www.FreeLibros.com
526
REDES CISCO. CCNP a Fondo
©RA-MA
Redes híbridas de fibra y coaxial
La fibra reduce el número de amplificadores necesarios en las redes de
transporte y distribución. Los tramos de fibra implementados en la red varían entre
proveedores y hay quienes apuestan por usarla en la mayor parte de su red llegando
hasta las premisas del abonado. La fibra transporta la señal usando láser o diodos
LED, dependiendo del tipo implementado.
La fibra presenta muchas ventajas sobre el cable tradicional, es más fina y
ligera, no presenta pérdida de señal y es inmune a fuentes externas de
electromagnetismo que pudieran producir interferencias. Respecto a la
manipulación sobre las instalaciones el cable suele resultar más rígido, mientras
que la fibra es más maleable, aunque requiere de habilidades técnicas y
herramientas especiales para su instalación.
Existen numerosas redes que cuentan con fibra en su parte central y
utilizan cableado coaxial hasta las premisas del abonado, las combinaciones
pueden ser múltiples.
Transmisión de datos por cable
Las especificaciones relativas al mecanismo de transmisión de datos a
través del cable son dictadas por la DOCSIS (Data Over Cable Service Interface
Specifications) cuya arquitectura está compuesta por los siguientes componentes:
•
CMTS (Cable Modem Termination System). Reside en el
Receptor-Distribuidor. Modula la señal hacia el cable modem y
demodula la respuesta.
•
CM (Cable Modem). Es un dispositivo CPE que modula y
demodula señales hacia y desde el CMTS.
•
Servicios back office. Servicios tales como DHCP, TFTP, etc. son
proporcionados para que el CM sea operativo.
El Receptor-Distribuidor CMTS se comunica con los CM localizados en
los hogares de los abonados y les proporciona acceso a Internet. Un segmento de
red puede soportar entre 500 y 2000 dispositivos, que compartirán el ancho de
banda de subida y bajada. Según las especificaciones DOCSIS 2.0 la velocidad de
bajada soportada será 40 Mbps y la de subida 30 Mbps. En la especificación
DOCSIS 3.0 será de 160 Mbps de bajada y 120 Mbps de subida. En cualquier caso
el rango de velocidad real suele ser entre 256 Kbps y 6 Mbps.
www.FreeLibros.com
CAPÍTULO 23. TECNOLOGÍAS DE ACCESO
©RA-MA
527
La siguiente muestra proporciona una ilustración del funcionamiento de las
redes de cable.
i
Internet
Granja de
servidores
Nodo
Bajada
Paso 3
Nodo
Paso 4
Amplificador
Paso 5
Splitter
Subida
Paso 5
Splitter
En sentido de bajada el Receptor-Distribuidor local (LHE) recibe señal de
televisión a través de antenas satelitales, antenas de RF, servidores de vídeo
analógicos y digitales, programación local y desde otros Receptores-Distribuidores.
•
El Receptor-Distribuidor local distribuye estas señales a través de una red
de distribución a los abonados. Las señales son combinadas dentro del
cable coaxial y posteriormente pasadas a un transmisor de fibra en el
propio Receptor-Distribuidor.
•
El transmisor de fibra del Receptor-Distribuidor lleva a cabo la conversión
de señal de RF a óptica, la cual pasa a través de la red y llega a un nodo de
fibra que está localizado cerca de las premisas de los abonados, donde se
lleva a cabo una conversión de óptica a RF.
•
La señal de radiofrecuencia es enviada a través del cable coaxial a la casa
del abonado por diferentes nodos hasta alcanzar los dispositivos finales.
www.FreeLibros.com
528
REDES CISCO. CCNP a Fondo
•
©RA-MA
El splitter RF divide la señal combinada RF en piezas individuales, en este
caso, datos y vídeo. El vídeo está dirigido al aparato de televisión y los
datos al cable módem, quien se encarga de demodular la señal
convirtiéndola así a digital antes de enviarla al dispositivo final que estará
en una LAN o WLAN.
Problemas de las redes de cable
Al utilizar un medio común todos los abonados compiten por usar el ancho
de banda. La seguridad es un problema asociado si no se implementan medidas
adecuadas, debido a que todos los abonados usan el mismo medio físico. La sobre
utilización del CMTS puede añadir un problema más si no se gestiona
adecuadamente.
La instalación física puede ser compleja dependiendo de cómo sea el
acceso al edificio o a los abonados.
Aprovisionamiento de cable módem
Los pasos a seguir están definidos en el DOCSIS y son los siguientes:
•
Establecimiento del camino de bajada. Cuando se inicializa, el CM escanea
y bloquea el camino de bajada para el canal de datos RF que tiene
asignado, estableciendo así las capas física y de enlace.
•
Establecimiento del camino de subida. El CM escucha los mensajes de
gestión que le llegan por el camino de bajada. Esto incluye información
acerca de cómo y cuándo comunicarse en el canal de subida, estableciendo
así las capas física y de enlace del camino de subida.
•
Establecimiento de las capas 1 y 2. Conexión establecida desde el CM
hasta el CMTS para construir las capas física y de enlace.
•
Asignación de dirección IP. Mediante el uso de DHCP la capa 3 queda
completada.
•
Obteniendo la configuración DOCSIS. El CM pide el archivo de
configuración DOCSIS al servidor TFTP. También cabe la opción de
cargar el archivo en el CM manualmente.
•
Registro de QoS con el CMTS. Se produce una negociación de parámetros
de QoS entre el CM y el CMTS.
•
Inicialización de la red. Una vez que todos los pasos anteriores se han
completado el CM está listo para acceder a la . red y proporcionar
www.FreeLibros.com
© RA-MA
CAPÍTULO 23. TECNOLOGÍAS DE ACCESO
529
enrutamiento para los host que esten conectados en la LAN o WLAN.
Además NAT para permitirá que varios host puedan compartir la misma
dirección IP de salida.
ACCESO POR DSL
Las líneas DSL (Digital Subscriber Line) son soluciones comunes de
acceso que cuentan con la ventaja añadida de que se pueden utilizar sobre la
infraestructura telefónica existente, lo que hace que no sea necesario desplegar un
nuevo cable para su implementación.
La figura muestra una arquitectura típica con un teletrabajador usando
DSL. Durante el transcurso de una llamada de voz hay una gran cantidad de ancho
de banda que no se usa. La voz usa solamente una pequeña parte de las frecuencias
disponibles en los cables de par trenzado.
Terminología DSL
Los siguientes términos describen las características, funciones y
terminologías utilizadas en las tecnologías DSL:
•
Amplitud, mide la magnitud de la oscilación de la forma de la
onda.
•
CO (Central Office), oficina central del proveedor.
•
CPE (Customer Premises Equipment), equipo terminal localizado
en las instalaciones del abonado.
www.FreeLibros.com
530
REDES CISCO. CCNP a Fondo
•
©
r a -m a
ATU-C (ADSL Transmission Unit-Central office), es un módem
DSL en la CO del proveedor al que se conecta el abonado.
•
ATUR-R (ADSL Transmission Unit-Remote), es un módem o
router DSL en las premisas del abonado que se conecta al
proveedor.
•
Downstream, es la línea de bajada. Transmisión desde CO al
abonado.
•
DSLAM (DSL Access Multiplexer), dispositivo que contiene
varios ATU-C.
•
Frecuencia, medida del número de ciclos de una forma de onda en
un tiempo dado.
•
Código de
•
línea, técnica utilizada para representar señales
digitales y que puedan ser transmitidas en cables de par trenzado.
Volumen máximo de datos, máxima velocidad de transferencia
posible.
•
•
Microfiltro, filtro pasivo conectado al conector RJ11
en las
instalaciones del abonado. Es necesario para mantener la calidad
de la voz en dispositivos analógicos cuando se utiliza DSL y voz
tradicional en la misma línea.
M odulación, el proceso de variar una forma de onda periódica y
así usar esa señal para transportar un mensaje.
•
Síncrono o asincrono, relación entre las velocidades de bajada y
subida.
•
NID (Network Interface Device), dispositivo CPE que proporciona
el punto de terminación en el bucle local.
•
Fase, medida de la posición relativa en el tiempo de dos formas de
onda con frecuencia idéntica.
•
Splitter, dispositivo instalado para separar el tráfico DSL del
tráfico POTS.
•
Upstream (línea de subida), transmisión desde el abonado hacia el
CO.
•
Longitud de onda, medida de la distancia entre un patrón de
unidades de ondas que se va repitiendo.
www.FreeLibros.com
©RA-MA
CAPÍTULO 23. TECNOLOGÍAS DE ACCESO
531
Limitaciones de DSL
DSL es una tecnología económica gracias al uso del cableado telefónico
existente pero guarda ciertas limitaciones como las siguientes:
•
Distancia desde el CPE hasta el DSLAM. La siguiente tabla describe la
relación de las distancias y las diferentes tecnologías DSL:
Tecnología
.:■■■ DSL
Volumen de datos
en bajada y subida
Distancia máxima
A D SL
8 Mbps/1 Mbps
18.000 ft/5.480 Km
VDSL
55 M bps/13 Mbps
4.500 ft/1.370 Km
IDSL
144 kbps/144 kbps
18.000 ñ/5.480 Km
SDSL
768 kbps/768 kbps
22.000 ft/6.700 Km
G.SHDSL
2,3 M bps/2,3 Mbps
28.000 ft/8.500 Km
•
Interferencias de radio AM. Dichas interferencias pueden afectar a la
señal causando degradación del rendimiento.
•
Cable para puenteo. Son extensiones de cable extra entre el CPE y la
CO que se utilizan para realizar pruebas y que pueden causar ruido,
reflexiones, etc.
•
Crosstalk. Interferencias entre dos cables unidos debido al
electromagnetismo. Ocurre cuando hay solapamiento entre canales.
• Cable de fibra óptica. Las señales ADSL no pueden ser convertidas de
analógica a digital y analógica de nuevo si una porción del cable es
fibra óptica.
•
Desajuste de impedancia. Cuando ocurre en el bucle local produce
ecos, resultando esto en ruido.
• Bobinas de carga. Se utilizan para extender el rango del bucle local en
operaciones de voz. Distorsionan las frecuencias DSL y deberían ser
eliminadas.
www.FreeLibros.com
532
REDES CISCO. CCNP a Fondo
© r a -m a
•
Atenuación de la señal. Degradación de la señal en largas distancias.
•
Diámetro del cable. Variaciones en el grosor del cable pueden afectar
al rendimiento introduciendo desajustes de impedancia.
Tipos de DSL
Es posible clasificar el servicio DSL en dos variantes:
•
DSL Asimétrica comúnmente llamada ADSL. Las velocidades de bajada y
subida son diferentes, siendo típicamente la de subida más pequeña que la
de bajada. Sus variantes son las siguientes:
•
ADSL. Versión estándar que soporta velocidades de bajada de 1,5
Mbps a 8 Mbps y de subida de entre 16 Kbps a 1 Mbps. Permite el
uso de voz y transmisión de datos a alta velocidad sobre la misma
línea.
•
G.Lite ADSL. Versión estándar que soporta velocidades de hasta
1,5 Mbps de bajada y 512 Kbps de subida y no necesita del uso de
splitters cuando coexiste con voz tradicional en la misma línea.
•
(Rate-Adaptative DSL). Versión no estándar que
automáticamente ajusta la velocidad de conexión en beneficio de
la calidad de la voz.
•
RADSL
•
VDSL (Very-high-bit-rate DSL). Soporta velocidades de entre 15
Mbps y 55 Mbps. Se usa en lugares donde la distancia hacia la CO
es pequeña.
SDSL, DSL Simétrica. Las velocidades de bajada y subida son iguales.
•
SDSL. Proporciona velocidades idénticas de bajada y subida que
varían entre 128 Kbps y 2,32 Mbps.
•
G.SHDSL. (Symmetric High-data-rate DSL). Versión estándar
que mejora la calidad de SDSL permitiendo distancias más largas.
Permite volúmenes de transferencia de entre 192Kbps y 2.3 Mbps.
•
HDSL
(high-data-rate DSL). Diseñada para proporcionar
velocidades de 768 Kbps en cada dirección y así ajustarse a la
velocidad de una TI (1,544 Mbps) o E l (2,048 Mbps). No permite
el uso de voz en la misma línea de par trenzado.
•
HDSL2 (second-generation HDSL). Evolución de HDSL que
permite el uso de voz, v,ideo o datos en la misma línea.
www.FreeLibros.com
©RA-MA
CAPÍTULO 23. TECNOLOGÍAS DE ACCESO
533
• IDSL (ISDN
DSL). Soporta velocidades de hasta 144 Kbps (dos
canales de 64 Kbps más el de señalización de 16 Kbps). Permite el
uso de Digital Loop Carrier DLC y no soporta voz tradicional en
la misma línea.
Transmisión de datos sobre ADSL
En la transmisión de datos sobre ADSL están involucrados protocolos
como PPP, ATM y Ethernet.
Un DSLÁM es un dispositivo situado en la CO y que contiene varias
tarjetas DSL o ATU-Cs. Su función es mover datos desde el abonado hasta el
siguiente punto en dirección al punto final, que sería un switch ATM integrado en
otro DSLAM. Cuando los datos pasan por la red ATM se transmiten usando celdas
hasta llegar al punto de agregación en la salida a Internet del proveedor.
La siguiente figura muestra una vista de dicha arquitectura.
Par telefónico
Internet
ATM
Router
agregación
DSL
Splitter
PSTN
Switch de voz
CO
Existen tres formas de encapsular y transportar datos desde el CPE al
router de agregación:
•
RFC 1483/2684 Bridging. Define encapsulación de datos
multiprotocolo (AAL5SNAP) sobre circuitos ATM. Básicamente
es bridging de las tramas Ethernet del abonado sobre la red ATM.
www.FreeLibros.com
534
REDES CISCO. CCNP a Fondo
©RA-MA
•
PPP sobre Ethernet. Utiliza tramas Ethernet para encapsular y
transportar tramas PPP.
•
PPP sobre ATM. Utiliza celdas ATM para encapsular y transportar
tramas PPP.
RFC 1483/2684 BRIDGING
Define el transporte de uno o varios protocolos sobre un sólo circuito
virtual (VC) ATM. Esta solución es muy sencilla y requiere una configuración
mínima o incluso inexistente en el CPE. Como desventajas presenta un bajo nivel
de seguridad y un número bajo de usuarios soportados en las instalaciones del
abonado.
PROTOCOLO PUNTO A PUNTO
Hay que recordar que PPP (Point-to-Point Protocol) es un método estándar
(RFC 1661) de encapsulación de protocolos de capas superiores en conexiones
punto a punto visto con detalle en el CCNA. Es una extensión de HDLC (HighLevel Data Link Control) cuyo paquete está compuesto por:
•
LC P (Link Control Protocol). Sirve para negociar los parámetros
del enlace, tamaño del paquete y tipo de autenticación (si la
hubiera).
•
NCP (NetWork Control Protocol). Contiene información acerca de
protocolos de capas superiores.
•
Date Fram es. Contiene los datos.
PPP utiliza ciertos mecanismos para establecer, mantener y terminar un
enlace:
•
Establecer la comunicación, para lo cual cada dispositivo final ha de enviar
paquetes LCP para configurar y testear el enlace.
•
Una vez que el enlace está establecido y las capacidades negociadas, se
intercambian paquetes NCP para elegir y configurar uno o más protocolos
de la capa de red.
•
Una vez elegido y configurado el protocolo de la capa de red es posible el
envío de tráfico a través del enlace.
www.FreeLibros.com
©RA-MA
•
CAPÍTULO 23. TECNOLOGÍAS DE ACCESO
535
El enlace permanece configurado a no ser que se reciban paquetes
explícitos LCP o NCP que pidan la finalización del enlace o que debido a
un evento externo el enlace se caiga.
Existe además la opción de autenticación a través de PAP (Password
Authentication Protocol) o CHAP (Challenge Handshake Authentication Protocol).
PPP SOBRE ETHERNET
PPPoE está descrito en la RFC 2516 y proporciona la capacidad de
conectar una serie de host sobre un dispositivo “puente” a un concentrador de
acceso remoto, pudiendo hacer uso de autenticación PAP o CHAP para añadir
seguridad.
La capa 1 DSL termina en el DSLAM y quien se encarga de enviar los
datos a través del medio existente, ya sea fibra o cobre, hasta la red ATM. Desde el
CPE hasta el router de agregación solamente se utilizan las capas 1 y 2 del modelo
OSI. Una vez que se negocia la sesión PPP entre CPE y el router de agregación
comienza la utilización de la capa 3.
El direccionamiento IP que recibe el CPE es asignado por el proveedor
usando DHCP. El aprovisionamiento de abonados se realiza por abonado y no por
sitio.
www.FreeLibros.com
536
REDES CISCO. CCNP a Fondo
© r a -m a
Para proporcionar conexiones punto a punto sobre Ethernet cada sesión
PPP debe aprender la dirección MAC del par remoto y establecer una sesión única.
Esto es realizado por un protocolo incluido en PPPoE que realiza este
descubrimiento.
El proceso de inicialización de PPPoE tiene dos fases adicionales:
•
Fase de descubrimiento.
•
Fase de sesión PPP.
Fase de descubrimiento
Para iniciar la sesión PPP el CPE debe primero realizar un descubrimiento
para identificar la MAC del dispositivo con el que va a establecer la vecindad con
el par (peer). Debe establecerse unaSESSION ID.
Durante el proceso de
descubrimiento el CPE descubre todos los recursosdisponibles
en el router de
agregación y elige uno.
La fase de descubrimiento consta de cuatro pasos:
• El cliente PPPoE envía un paquete PPPoE PADI (Active Discovery
Initiation) para pedir el servicio. La MAC de destino viaja como un
broadcast.
•
El router de agregación responde con un paquete PPPoE PADO (Active
Discovery Offer) describiendo el o los servicios ofertados. La MAC de
destino es la del cliente.
• El cliente PPPoE envía de manera unicast un PPPoE PADR (Active
Discovery Request) al router de agregación, pidiendo que se pase a la fase
de Sesión.
•
El router de agregación envía de manera unicast un PPPoE Active
Discovery Session-Confirmation al cliente, asignando un Session-ID o un
ID de sesión y confirmando el paso a la fase de Sesión.
La figura siguiente muestra la estructura de la trama PPPoE:
www.FreeLibros.com
CAPÍTULO 23. TECNOLOGÍAS DE ACCESO
©RA-MA
6 Bytes
6 Bytes
2 Bytes
MAC
Destino
MAC
Origen
Tipo
Carga útil
537
CRC
/
Ver Tipo jcodlgj ID Long Datos
La dirección MAC de destino durante la fase de Descubrimiento es un
broadcast (FFFF.FFFFF.FFFF). La dirección MAC de origen sin embargo es la del
router CPE. El campo ether_type estará con un valor de 0x8863 (tramas de control
PPPoE durante la fase de Descubrimiento) o 0x8864 (tramas de datos PPPoE
durante la fase de Sesión PPP).
PPPoE requiere el uso de información adicional contenida en la sub
cabecera y que es la siguiente:
•
•
El campo ver es 4 bits y es 0x1.
El campo type (no confundir con ether type) es 4 bits y es 0x1.
•
El campo code es 8 bits y su valor varía dependiendo de dónde estemos en
la fase de Descubrimiento. Durante la fase de Sesión es 0x00.
•
El campo session id es de 16 bits. Su valor varía dependiendo de dónde
estemos en la fase de Descubrimiento. Durante la fase de Sesión es fijo y
de hecho define la sesión PPP junto con las direcciones Ethernet
source addr y destination addr. El valor OxFFFF está reservado para uso
futuro y no se puede usar.
•
El campo length es 16 bits. Indica la longitud de la carga útil PPPoE. No
incluye la longitud de las cabeceras Ethernet o PPPoE.
Fase de sesión PPP
Una vez que la fase de Sesión PPPoE comienza los datos PPP pueden ser
transmitidos. Esta transmisión es enteramente unicast entre el CPE y el router de
agregación.
La RFC2516 establece que la MRU (Máximum Receivable Unit) para el
tamaño de la carga útil negociada en PPPoE sea de 1492 bytes. La cabecera PPPoE
es 6 bytes y hay que sumarle 2 bytes del campo Protocol-ID. Si se suman esas 3
www.FreeLibros.com
538
REDES CISCO. CCNP a Fondo
©RA-MA
cifras se obtiene un valor de 1500 bytes, que es el valor por defecto de la MTU en
interfaces Ethernet.
El campo ether_type en la cabecera Ethernet posee un valor de 0x8864. El
campo PPPoE code tiene que ser 0x00. El campo session_id no ha de cambiar
durante la sesión PPPoE y ha de ser el valor asignado durante la fase de
Descubrimiento. La carga útil PPPoE contiene una trama PPP. La trama comienza
con el PPP Protocol-ID (PID).
Variables de la sesión PPPoE
Normalmente existen tres métodos de conectar al abonado a la red:
•
Ubicar un router con capacidades DSL en la casa del abonado. Este router
tendrá un módem DSL integrado y un cliente PPPoE. Esta opción evita la
necesidad de instalar software PPPoE en los dispositivos del abonado que
requieran de conexión. El router proporcionará al abonado DHCP,
NAT/PAT y otros servicios como pueden ser DNS.
•
Ubicar un router sin capacidades DSL en la casa del abonado. Esta opción
requiere la instalación adicional de un módem externo en la parte del
abonado para terminar la conexión DSL. El router debería tener software
PPPoE para proporcionar una conexión constante. Además ejecutará
DHCP, NAT/PAT y otros servicios como pueden ser DNS.
•
Ubicar un módem DSL externo en la casa del abonado. Con esta opción es
necesario instalar clientes PPPoE en todos los host del abonado que
requieran el servicio.
PPP SOBRE ATM
La operación de PPPoA es similar a la de PPPoE, de hecho ambas usan
funciones de la RFC 1483/2684. La diferencia es que PPPoA no es una solución
que utilice bridging, sino que utiliza enrutamiento. PPPoA utiliza el entramado
ATM Adaptation Layer 5 (AAL5) junto con encapsulación Logical Link Control/
Subnetwork Access Protocol (LLC/SAP) en circuitos virtuales! Es posible el uso
de PVC (Circuitos Virtuales Permanentes) o SVC (Circuitos Virtuales
Temporales) aunque solamente en este caso se van a cubrir los PVC.
www.FreeLibros.com
CAPÍTULO 23. TECNOLOGÍAS DE ACCESO
©RA-MA
539
Es necesario recordar brevemente algunos conceptos básicos de ATM.
ATM utiliza celdas de 53 bytes como medio de encapsulación. La cabecera
es de 5 bytes y los 48 bytes restantes se utilizan para la carga útil (payload). En la
siguiente figura se muestra el proceso de encapsulación en ATM:
Subcapa
Transporte
Red
AAL 5
LLC/SNAP
ATM
Subcapa SAR
AAL5 S A R -P D U 4 8 'B v te s I
AAL5 SAR-PD U 48 B v t e s l
AAL 5 S A P PIJU W hylt-s
Capa
física
n
AAL5 SAR-PD U 48 Bvtes
ATM
AAL5 SAR-PD U 48 Bytes |
Se trata simplemente de otro método de encapsulación a capa 2. Una de las
principales diferencias es la adición de “segmentación y reunión” (SAR), que no es
más que otra idea de segmentar en el origen y unir en el destino. Un SAR es
añadido para asegurar que el destino será capaz de unir las piezas. Posteriormente
las cabeceras ATM son añadidas a las nuevas PDU SAR completando así la
creación de las celdas ATM.
ATM utiliza circuitos virtuales que son reconocidos con identificadores de
conexión únicos. Cada identificador de conexión está compuesto por dos números:
•
VPI (Virtual Path Identifier), el rango válido de VPI soportado por
la cabecera de la celda ATM es de 0 a 255
•
VCI (Virtual Circuit Identifier), el rango válido de VCI soportado
por la cabecera de la celda User Network Interface (UNI) es de 0 a
65535.
Los rangos de VCI 0-15 y 16-31 están reservados. El proveedor de
servicios se encargará de asignar VPI/VCI por cada circuito virtual aprovisionado.
El proceso es similar a PPPoE, las fases de Descubrimiento y Sesión son llevadas a
cabo para establecer conexión con el router de agregación.
www.FreeLibros.com
www.FreeLibros.com
C apítulo 24
r
CONFIGURACION DE DSL
CONFIGURACION DE ACCESO DSL CON PPPoE
Configurar un router doméstico DSL implica enlazar varias piezas y partes
que deben estar ensambladas debidamente para su correcto funcionamiento. La
tecnología empleada en la capa 1 es DSL y se extiende desde el CPE hasta el
DSLAM. En la capa 2 es posible tener varios protocolos. La capa 3 es establecida
entre el CPE y el router de agregación.
PPPoE
Tráfico de datos
->
Internet )
ATM
DSL
DSLAM
Tráfico de
- voz
--- >
Switch de voz
CO
www.FreeLibros.com
Router
agregación
DSL
542
REDES CISCO. CCNP a Fondo
©RA-MA
Existen varias maneras de configurar PPPoE, generalmente es el propio
proveedor quien decide cómo hacerlo. Entre las áreas que suponen la configuración
figuran las siguientes:
•
Configuración de la interfaz Ethemet/ATM.
•
Configuración de la interfaz Dialer.
•
Configuración de PAT.
•
Configuración de DHCP.
•
Configuración de la ruta estática por defecto.
Existen dos posibles maneras de configurar DSL en el CPE:
•
PPPoE en interfaces Ethernet. En este caso el router tiene dos interfaces
Ethernet, una conecta con el proveedor y la otra con el abonado.
•
PPPoE en interfaces ATM. En este caso el router tiene una interfaz ATM
que conecta con el proveedor y otra Ethernet con el abonado.
Configuración de una interfaz Ethernet ATM PPPoE
En la siguiente sintaxis se observa un ejemplo de configuración del cliente
PPPoE en una interfaz Ethernet:
i
interface EthernetO/O
ip address 172.16.0.1 255.255.0.0
i
interface EthernetO/1
no ip address
pppoe enable
pppoe-client dial-pool-number 1
i
Se observa como la funcionalidad PPPoE queda habilitada y la interfaz es
asignada a un dialer pool. La interfaz EO/1 es asociada de manera lógica a un
dialer y un circuito ATM PVC es aprovisionado.
www.FreeLibros.com
©RA-MA
CAPÍTULO 24. CONFIGURACIÓN DE DSL
543
Para los casos en los que la interfaz sea ATM se utiliza este otro tipo de
configuración:
I
interface EthernetO/O
ip address 172.16.0.1 255.255.0.0
i
interface ATM0/0
no ip address
dsl operating-mode auto
pvc 8/35
pppoe-client dial-pool-number 1
i
Configuración de una interfaz PPPoE Dialer
El dialer es la interfaz de cara al proveedor. En la siguiente sintaxis se
muestra una configuración básica de dicha interfaz:
¡
interface DialerO
ip address negotiated
ip mtu 1492
encapsulation ppp
dialer pool 1
i
En la configuración se observa cómo se especifica que la dirección IP ha
de ser obtenida a través de un servicio DHCP; también la MTU es configurada para
un tamaño de 1492 y con encapsulación PPP. El comando dialer-pool asocia la
interfaz dialer con la interfaz Ethernet que tenía configurado el pppoe-client.
Dicha asociación se efectúa a través de un número, que debe ser el mismo en
ambas interfaces, en este caso 1.
Configuración de PAT
NAT es una herramienta que se encarga de cambiar o trasladar direcciones
IP cuando el tráfico pasa a través de un router. PAT es una extensión de NAT que
permite que varias IP internas utilicen una sola IP externa. Esto se consigue
utilizando un identificador único por medio de un número de puerto en la IP
externa para cada una de las IP internas. Tanto NAT como PAT se tratan
extensamente en el temario contenido en el CCNA.
La interfaces internas son las que pertenecen a la red privada y
normalmente son del rango de la RFC 1918. No son enrutables en Internet y están
clasificadas en dos tipos:
www.FreeLibros.com
544
REDES CISCO. CCNP a Fondo
©RA-MA
•
Interna Local, IP asignada a un host en la red privada.
•
Interna Global, es como una IP privada; es vista desde la red pública.
Las interfaces externas son las que existen en la red del proveedor o en
Internet, dependiendo de la implementación pueden ser de la RFC 1918 o pueden
ser direcciones de Internet enrutables. Están clasificadas en dos tipos:
•
Externa Local, es como la IP de un host externo; es vista en la red interna.
•
Externa Global, IP asignada a un host externo.
172.16.0.2/16
EO/Q
172.16.0.1/16
IP NAT inside
DSLAM
xxxxxxx
Internet )
Interfaz física: E0/1 o ATM 0/0
Interfaz lógica: DialerO
IP NAT outside
Dirección origen: 172.16.0.2:1031
Dirección destino: 72.163.4.161:80
PAT
1
Dirección origen: 64.32.16.8:1031
www.cisco.com
Dirección destino: 72.163.4.161:80
Con la utilización de NAT es preciso que exista una dirección IP externa
por cada IP interna que necesite ser traducida. Pero con PAT se utilizan sockets o
combinaciones de Puerto y dirección IP interna, lo que permite tener hasta 65535
conexiones empleando una sola IP como dirección externa.
En la siguiente muestra se observa la porción de configuración de PAT.
i
interface EthernetO/O
ip nat inside
i
interface DialerO
ip nat outside
i
ip nat inside source list 100 interface dialerO overload
access-list 100 permit ip 172.16.0.0 0.0.255.255 any
www.FreeLibros.com
©RA-MA
CAPÍTULO 24. CONFIGURACIÓN DE DSL
545
La configuración hará que se traduzca cualquier IP recibida en la interfaz
interna que tenga coincidencia con la ACL 100 por la IP externa del Dialer 0. La
configuración del parámetro overload habilita PAT como medio de traslación de
direcciones.
Configuración de DHCP para usuarios DSL
El CPE puede funcionar como servidor DHCP para los host de la red del
abonado. Siempre se debería excluir del rango de direcciones asignables todas
aquellas que ya existan en la red o que puedan estar configuradas estáticamente,
como puede ser el caso de servidores de impresión o la propia interfaz LAN del
router.
La siguiente sintaxis muestra un ejemplo de configuración:
i
ip dhcp excluded-address 172.16.0.1 172.16.0.9
i
ip dhcp pool PCLAN
import all
network 172.16.0.0 255.255.0.0
default-router 172.16.0.1
Con el comando dhcp exclude-address se especifica una o varias IP que
no serán asignadas. Con la opción import all se importan parámetros de la base de
datos del servidor DHCP. Con el comando default router se asigna la dirección IP
del que será la puerta de enlace predeterminada.
Configuración de una ruta estática
Normalmente la red donde se encontrará el abonado o teletrabajador es una
red aislada con un único punto de salida, por lo que una ruta estática por defecto
será suficiente para conseguir conectividad, no hay necesidad de mantener una
tabla de rutas con rutas específicas ya que el próximo salto siempre será el mismo
para todas.
La configuración es muy simple y se muestra en la siguiente sintaxis:
i
ip route O.0.0.0 0.0.0.0 interface dialerO
i
Todo el tráfico hacia redes diferentes a la 172.16.0.0 será enviado por el
Dialer 0.
www.FreeLibros.com
546
REDES CISCO. CCNP a Fondo
©RA-MA
Ejemplo de configuración de un router CPE
En general la configuración de un router CPE es bastante simple, la
siguiente sintaxis muestra un ejemplo de configuración:
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
¡
hostname PPPoE-CPE
i
memory-size iomem 5
enable secret 5 3gg5hdf8kbt4
i
username Ernesto privilege 15 secret 5 9hfdk9glf002
username Enrique privilege 15 secret 5 5hdd56grf5f
clock timezone est -6
clock summer-time cdt recurring
no aaa new-model
ip subnet-zero
no ip domain lookup
ip domain ñame mydomain.com
ip name-server 4.2.2.1
i
ip dhcp excluded-address 172.16.0.1 172.16.0.9
! Configures DHCP Exclusions
I
ip dhcp pool PCLAN
! Creates DHCP Pool
import all
network 172.16.0.0 255.255.0.0
default-router 172.16.0.1
!
interface EthernetO/O
description ***Red privada interna***
ip address 172.16.0.1 255.255.0.0
ip nat inside
í Specifies NAT role
I
interface ATM0/0
description ***Interfaz fisica a dialerO***
no ip address
dsl operating-mode auto
pvc 8/35
! Creates ATM PVC
pppoe-client dial-pool-number 1
! Assigns dial pool
¡
interface DialerO
description ***Red externa XSP***
ip address negotiated
www.FreeLibros.com
©RA-MA
CAPÍTULO 24. CONFIGURACIÓN DE DSL
547
ip mtu 1492
i configures MTU
ip nat outside
i specifies NAT role
encapsulation ppp
dialer pool 1
i Dialer association
i
ip classless
ip route 0.0.0.0 0.0.0.0 interface dialerO
¡ Sets static default
no ip http server
no ip http secure-server
ip nat inside source list 100 interface dialerO overload
! Configures NAT/PAT
i
access-list 100 permit ip 172.16.0.0 0.0.255.255 any
! Specifies addresses to NAT
i
line con 0
exec-timeout 0 0
login local
line aux 0
line vty 0 4
exec-timeout 240 0
login local
i
scheduler max-task-time 5000
ntp peer 172.16.1.50
ntp server 172.118.25.3 prefer
i
End
PPPoE-CPE#show pppoe session all
%No active L2TP tunnels
%No active L2F tunnels
PPPoE Session Information Total tunnels 1 sessions 1
Session count: 1
PPPoE Session Information
SID RemMAC
LocMAC
Intf■Vast OIntf VP/VC
1
0050.7359.35b7 0001.96a4.84ac Vil UP
ATMO .8/35
CONFIGURACIÓN DE ACCESO DSL CON PPPOA
La configuración de PPPoA es similar a la configuración de PPPoE aunque
hay que tener en cuenta ciertas diferencias como:
® Configuración de una interfaz ATM.
® Configuración de un PVC o SVC.
www.FreeLibros.com
548
REDES CISCO. CCNP a Fondo
©RA-MA
En la siguiente figura se observa una topología de PPPoA.
Tráfico de datos
->
I—
ATM
Internet
R outer
agregación
DSL
DSLAM
DSL
Tráfico de
VOZ
PSTN
- ->
Switch de voz
CO
La principal diferencia con PPPoE es que la encapsulación empleada ahora
es la definida en la RFC 1483/2684, encapsulación de PPP en celdas ATM.
Como ocurre con PPPoE existe una interfaz virtual que será asociada con
el PVC configurado en la interfaz ATM. Esta interfaz encapsula cada conexión
PPP en un PVC o SVC separado de manera que hace parecer que cada sesión
termina en una interfaz serial PPP tradicional.
Conexiones PPP sobre AAL5
Existen tres tipos de conexión posibles, las dos primeras opciones están
definidas en le RFC 2364, la tercera opción es propietaria de Cisco:
•
AAL5VCMUX, Circuitos Virtuales multiplexados sobre AAL5.
Especifica la capacidad de crear un circuito virtual por protocolo para
transportar la carga útil (payload) de diferentes protocolos enrutados (IP,
IPX, Appletalk, etc.).
•
AAL5SNAP, LLC encapsulando PPP sobre AAL5. Este método utiliza un
sólo circuito virtual para transportar todos los protocolos. Para soportar
este proceso es necesaria información adicional en la ATM CPCS-PDU
(Common Part Convergence Sublayer Protocol Data Unit). La técnica de
encapsulación de LLC permite definir un número de protocolo dentro de la
www.FreeLibros.com
© RA-MA
CAPÍTULO 24. CONFIGURACIÓN DE DSL
549
cabecera LLC haciendo así que los datos (payload) queden identificados
para ese protocolo. La cabecera LLC contiene la siguiente información:
o
DSAP (Destination Service Access Point). Identificador de red de
destino en el otro extremo utilizado por los protocolos de la capa
de red del modelo OSI como CLNS (Connectionless Network
Service). En encapsulación NSAP toma el valor OxFE.
o
SSAP (Source Service Access Point). Identificador de red de
origen utilizado por los protocolos de la capa de red del modelo
OSI. En encapsulación NSAP toma el valor OxFE.
o
Fram e Type. Determina el tipo de trama usado y por lo tanto su
estructura. También se conoce como Control. El valor es 0x03.
Las celdas son enviadas del CPE al DSLAM, para ser entonces
conmutadas y enviadas al router de agregación. La sobrecarga de cabeceras
que existente por la estructura de tramas Ethernet queda eliminada con el
uso de PPPoA porque el CPE usa la encapsulación PPPoA en vez de hacer
bridging como ocurría en PPPoE.
•
Cisco PPPoA (Cisco PPP over ATM). Es una solución propietaria de Cisco
y como tal necesita infraestructura Cisco de extremo a extremo. Múltiples
PVC pueden ser configurados en múltiples subinterfaces. La configuración
es similar a otros PVC ATM con la excepción de que se usa el tipo de
encapsulación aal5ciscoppp.
Configuración de una interfaz ATM para PPPoA
Normalmente en cualquier solución PPPoA existe un CPE con dos
interfaces, una Ethernet y otra ATM. La interfaz Ethernet es la que conecta el
abonado al router, la siguiente sintaxis muestra un ejemplo:
i
interface EthernetO/O
description ****Red interna privada****
ip address 172.16.0.1 255.255.0.0
i
Una vez lograda la conectividad a nivel de capa 1 el subsistema PPP del
router se inicializará y enviará peticiones de configuración PPP al router de
agregación. La siguente sintaxis es un ejemplo de configuración de AAL5MUX:
www.FreeLibros.com
550
REDES CISCO. CCNP a Fondo
©RA-MA
interface EthernetO/O
ip address 172.16.0.1 255.255.0.0
i
interface ATM0/0
no ip address
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
i
En el ejemplo siguiente se observa la sintaxis de una configuración similar
pero que utiliza AAL5SNAP. Además se muestra cómo el uso del comando dsl
operating-mode auto permite que la interfaz DSL autodetecte el método de
modulación en lugar de tener que definirlo manualmente.
i
interface ATM0/0
no ip address
dsl operating-mode auto
interface ATM0/0.1 multipoint
class-int ppp-default
pvc 8/35
¡
vc-class atm ppp-default
encapsulation aal5snap
protocol ppp virtual-template 1
ubr 256
i
Configuración del Dialer DSL PPPoA y Virtual-Template
La interfaz dialer del CPE es aquella que conecta con el proveedor de
servicios. La siguiente muestra es la sintaxis de una configuración básica:
¡
interface ATM0/0
no ip address
dsl operating-mode auto
pvc 8/35
pppoe-client dial-pool-number 1
i
interface DialerO
ip address negotiated
ip mtu 1492
encapsulation ppp
dialer pool 1
www.FreeLibros.com
©RA-MA
CAPÍTULO 24. CONFIGURACIÓN DE DSL
551
Con esta configuración se especifica que el dialer ha de obtener una
dirección IP dinámicamente usando DHCP, la MTU ha sido modificada, y la
encapsulación configurada para PPP. Para finalizar el comando dialer pool asocia
el dialer a la interfaz ATM en la que el comando pppoe-client dialer-poolnumber fue configurado.
Las virtual templates son interfaces lógicas que proporcionan
características o configuraciones a las interfaces físicas que están asociadas a ellas
0 bajo su control. Un ejemplo de configuración de las mismas se muestra en la
siguiente sintaxis:
1
interface virtual-templatel
encapsulation ppp
ip address negotiated
ip nat outside
ppp authentication chap
ppp chap hostname cpe_router@CCNP.com
ppp chap password 0 CCnP
i
Los comandos relativos a CHAP y NAT se han añadido con propósitos de
obtener una configuración más completa y real.
Ejemplo de configuración de un router CPE con PPPoA
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
i
hostname PPPoA-CPE
i
memory-size iomem 5
enable secret 5 2hglfg321g
i
username Emma privilege 15 secret 5 dsf4f5744fd
username Amanda privilege 15 secret 5 5hr5j41dp
clock timezone est -6
clock summer-time cdt recurring
no aaa new-model
ip subnet-zero
no ip domain lookup
ip domain ñame mydomain.com
ip ñame-server 4.2.2.1
i
ip dhcp excluded-address 172.16.0.1 172.16.0.9
i
ip dhcp pool PCLAN
www.FreeLibros.com
552
REDES CISCO. CCNP a Fondo
©RA-MA
import all
network 172.16.0.0 255.255.0.0
default-router 172.16.0.1
i
interface Ethernet0/0
description ***Red interna privada***
ip address 172.16.0.1 255.255.0.0
ip nat inside
i
interface ATM0/0
no ip address
dsl operating-mode auto
! Auto detect Modulation method
¡
interface ATM0/0.1 multipoint
class-int ppp-default
! Configure interface characteristics
pvc 8/35
¡
interface virtual-templatel
! Configures virtual-template
encapsulation ppp
ip address negotiated
ip nat outside
i
vc-class atm ppp-default
! Class sets circuit characteristics
encapsulation aal5snap
protocol ppp virtual-templatel
! Ties circuit to virtual-template
ubr 256
i
ip
ip
no
no
ip
i
classless
route 0.0.0.0 0.0.0.0 interface virtual-templatel
ip http server
ip http secure-server
nat inside source list 100 interface virtual-templatel overload
access-list 100 permit ip 172.16.0.0 0.0.255.255 any
¡
line con 0
exec-timeout 0 0
login local
line aux 0
line vty 0 4
exec-timeout 240 0
login local
i
scheduler max-task-time 5000
ntp peer 172.16.1.50
ntp server 172.118.25.3 prefer
i
End
www.FreeLibros.com
©RA-MA
CAPÍTULO 24. CONFIGURACIÓN DE DSL
553
Ejemplo de configuración de un router CPE con AAL5MUX
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
i
hostname PPPoA-837
i
boot-start-marker
boot-end-marker
¡
memory-size iomem 5
logging buffered 65536 debugging
enable secret 5 dmyd5j265gf
i
username Emma privilege 15 secret 5 jfd584fdd£k
username Amanada privilege 15 secret 5 hmf816fd8k
clock timezone est -6
clock summer-time cdt recurring
no aaa new-model
ip subnet-zero
no ip domain lookup
ip domain ñame mydomain.com
ip name-server 4.2.2.1
i
ip dhcp excluded-address 172.16.0.1 172.16.0.9
i
ip dhcp pool Almacen_lan
import all
network 172.16.0.0 255.255.0.0
default-router 172.16.0.1
dns-server 4.2.2.1
domain-name midomain.com
option 150 ip 172.68.2.93
netbios-name-server 172.68.235.228 xxx.68.235.229
i
ip cef
¡
interface EthernetO
description ****Red privada interna****
ip address 172.16.0.1 255.255.0.0
ip nat inside
i
interface ATM0
no ip address
ip route-cache flow
no ip mroute-cache
load-interval 30
no atm ilmi-keepalive
dsl operating-mode auto
¡
interface ATM0.35 point-to-point
www.FreeLibros.com
554
REDES CISCO. CCNP a Fondo
©RA-MA
description **** subinterfaz ATM DSL****
no ip mroute-cache
pvc dsl 0/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
i
interface Dialerl
description ****Interfaz loyica salida****
ip address negotiated
ip nat outside
ip mtu 1492
encapsulation ppp
ip tcp adjust-mss 542
dialer pool 1
ppp authentication pap callin
ppp chap refuse
ppp pap sent-username ccnp.com password 7 gf51dskjk4
i
ip
ip
no
no
ip
¡
classless
route 0.0.0.0 0.0.0.0 Dialerl
ip http server
ip http secure-server
nat inside source list 100 interface dialerl overload
access-list 100 permit ip 172.16.0.0 0.0.255.255 any
i
control-plane
¡
rtr responder
banner motd
ESTA PROHIBIDO EL ACCESO NO AUTORIZADO A ESTE DISPOSITIVO DE RED.
Usted debe tener el permiso explícito para acceder o configurar este
dispositivo. Todas las actividades realizadas en este dispositivo
son
registradas, las violaciones de esta política pueden producir una
acción disciplinaria.
"C
i
line con 0
exec-timeout 0 0
login local
line aux 0
line vty 0 4
exec-timeout 240 0
login local
i
exception memory mínimum 786432
scheduler max-task-time 5000
sntp server 172.5.41.41
sntp server 172.5.41.40
sntp server 172.210.169.40
i
end
www.FreeLibros.com
©RA-MA
CAPÍTULO 24. CONFIGURACIÓN DE DSL
RESOLUCIÓN d e
555
fallos
Para la resolución de fallos el comienzo adecuado será iniciar desde la capa
1 hasta la capa 7, es decir, desde abajo hasta arriba, a no ser que exista cierto grado
de certeza de que el problema está en una capa determinada, por lo que se debería
verificar dicha capa antes. La siguiente tabla muestra el modelo de referencia OSI y
sus respectivas capas:
Capa
Protocolo
7 Aplicación
Aplicaciones
específicas, FTP,
e-mail, etc.
6 Presentación
5 Sesión
4 Transporte
TCP, UDP
3 Red
IP, ICMP, ARP, RARP,
etc.
2 Enlace de Datos
Frame-Relay, Ethernet,
ATM, PPP, etc.
1 Física
Bits
Anatomía de la capa 1
Generalmente es posible distinguir dos subcapas dentro de la capa 1 que
realizan diferentes funciones. Estas incluyen:
•
La subcapa de convergencia de transmisión (TC).
•
La subcapa dependiente del medio físico (PMD).
El proceso de colocar los bits de una manera formalizada y predeterminada
es conocido como framing. El proceso de transmitir dichos bits es conocido como
line coding. Una vez que esto está hecho el trabajo de las subcapas TC y PMD es
organizar (poner en fila) y enviar los bits a través de la interfaz adecuada.
Existen varios puntos dentro de la red ADSL en los que pueden encontrarse
errores físicos, la imagen muestra una topología típica de ADSL:
www.FreeLibros.com
556
REDES CISCO. CCNP a Fondo
©RA-MA
Tráfico de datos
ATM
vJVXXXA]
CU
—
telefónico
------ '"| Internet
Router
agregación
DSL
DSLAM
DSL
Tráfico de
voz
PSTN
---->
Switch de voz
CO
En la topología existen diferentes dispositivos en el camino de extremo a
extremo, cada vez que los bits llegan a un dispositivo, éste ha de ponerlos en cola y
enviarlos por la interfaz adecuada, la cual puede ser cobre, fibra, etc. Cualquier
probleiña en un tramo del cableado entre el abonado y el DSLAM resultará en un
fallo de la sesión PPP.
Proceso de resolución de fallos
La manera más sencilla de verificar en qué capa iniciar el proceso de
resolución de un fallo es mediante el uso del comando show ip interfaces brief. La
siguiente sintaxis muestra un ejemplo:
Router#show ip interface brief
Interface
ATMO
ATM0.1
EthernetO
IP-Address
unassigned
unassigned
10.10.10.1
OK?
YES
YES
YES
Method
manual
unset
manual
Status
up
up
up
Protocol
up
up
up
Las columnas Status y Protocol representan la capa física y de enlace de
datos del modelo OSI y proporcionan una valiosa información. Si ambas columnas
están en estado up, indicarán que la interfaz funciona correctamente pero si el
Status es down o presenta intermitencias pasando por los estados up y down
constantemente, significará que existe un problema a nivel de capa física. Cuando
existe un problema en la capa física no sólo la columna Status mostrará un estado
down, como consecuencia del fallo físico la columna Protocol también mostrará
un estado down.
www.FreeLibros.com
©RA-MA
CAPÍTULO 24. CONFIGURACIÓN DE DSL
557
17:
Apr 2 21:59:01.536: %LINEPROTO-5-UPDOWN: Line protocol on
Interface GigabitEthernetO/1, changed State to down
000218:
Apr 2 21:59:01.536: %OSPF-5-ADJCHG:Process 1, Nbr 3.3.3.3
on GigabitEthernetO/1
from FULL to DOWN, Neighbor Down: Interface down or detached
000219:
Apr 2 21:59:01.544:
%LDP-5-NBRCHG: LDP Neighbor 3.3.3.3:0
(1 ) is DOWN (Interface
not operational)
0 0 0 2
BM2821#
000220:
Apr 2
21:59:11.536: %LINEPROTO-5-UPDOWN:
Line protocol
on
Interface GigabitEthernetO/1, changed State to up
BM2 821#
000221:
Apr 2 21:59:21.536: %OSPF-5-ADJCHG:Process 1, Nbr 3.3.3.3
on GigabitEthernetO/1
from INIT to DOWN, Neighbor Down: Interface down or detached
000222:
Apr 2 21:59:21.536: %LINEPROTO-5-UPDOWN: Line protocol on
Interface GigabitEthernetO/1, changed state to down
000223:
Apr 2 21:59:31.536: %LINEPROTO-5-UPDOWN: Line protocol on
Interface GigabitEthernetO/1, changed state to up
Si el Status muestra la interfaz en un estado Administratively down es
porque ha sido desactivada manualmente por el administrador. La siguiente
sintaxis muestra un ejemplo:
Router#show interface atm 0
ATM0 is administratively down, line protocol is down
Para habilitar administrativamente la interfaz se utiliza el comando no
shutdown:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface atm 0
Router(configif)#no shutdown
Router#show interface atm 0
ATM0 is up, line protocol is up
Hardware is PQUICC_SAR (with Alcatel ADSL Module)
Finalmente con el comando show dsl interface atmO se verifica el estado
final de la interfaz:
Router#show dsl int atm 0
ATU-R (DS) ATU-C (US)
Modem Status: Showtime (DMTDSL_SHOWTIME)
DSL Mode: ITU G.992.1 (G.DMT)
! Output omitted for brevity
www.FreeLibros.com
558
REDES CISCO. CCNP a Fondo
©RA-MA
Inspección visual
Otro punto lógico para resolver un fallo es hacer una inspección visual
sobre las luces o Leds del CPE. Particularmente debería haber una que se denomina
CD Carrier Detect, cuando hay conectividad se mantiene en verde fijo. No
obstante es recomendable mirar las instrucciones del CPE para ver lo que
significan todos los colores y cada uno de los leds. Otro punto a tener en cuenta es
el cableado. Si la conexión no se establece habrá que asegurarse de que el cable
empleado funciona correctamente, de que no esté roto ni cortado alguno de sus
hilos, así como de que está crimpado de manera adecuada en el conector R Jll
siguiendo el orden correcto de colores.
Pin 2 negro
Pin 3 rojo
Pin 4 verde
Pin 5 am arillo
También es importante observar la existencia de algún microfiltro en el
conector. Hay que recordar que los microfiltros se utilizan únicamente para
dispositivos analógicos.
Modo de operación DSL
Si la modulación está configurada de manera incorrecta la línea no se
habilitará. La modulación ha de concordar en el CPE y en el proveedor. La
siguiente tabla muestra los diferentes tipos de modulación soportados:
Modo de
operación
Descripción
auto
N egocia automáticamente
con el D SLAM
an si-dm t
Utiliza el modo A N SI
T1.413
itu-dmt
U tiliza el modo G.992.1
sp litterless
U tiliza el modo G .992.2 o el
G.Lite
www.FreeLibros.com
© RA-MA
CAPÍTULO 24. CONFIGURACIÓN DE DSL
559
En los dispositivos Cisco puede utilizarse el comando dsl operating-mode
auto para que el router negocie la modulación de manera automática.
Análisis de problemas de capa 2
Una vez que se ha verificado que la capa física funciona correctamente, la
capa 2 se encargará de negociar los canales de subida y de bajada.
El CPE negociará un PVC de ATM. Dicho PVC puede estar previamente
provisionado en el CPE.
Con el comando debug atm events puede observarse este proceso:
Router#debug atm events
ATM events debugging is on
2dl8h: RX interrupt: conid =
2dl8h: Data Cell received on
2dl8h: RX interrupt: conid =
2dl8h: Data Cell received on
0, rxBd
vpi = 8
0, rxBd
vpi = 8
= 0x80C7EF74 length=52
vci = 35
= 0x80C7EEC0 length=52
vci = 35
Con el comando debug atm packets es posible ver el estado del tráfico
ATM que llega a la interfaz y el tipo de encapsulación correspondiente:
Router#debug atm packet
03:21:32:
VCD:0x2
TYPE:0007
03: 2 Í :32:
C021 09AB
03:21:32:
03:21:32:
A T M O (I ):
V P I :0x1
VCI:0xl
Type:0x0
S A P :AAAA CTL:03
Length;0x30
0000 0050 7359 35B7 0001 96A4 84AC 8864 1100
000C 0235
279F 0000 0000
OUI:0080C2
0001
000E
Una buena herramienta de pruebas es el ping atm, que es una extensión del
Cisco Extended Ping con la que pueden enviarse celdas OAM (ATM Operation,
Administration, and Maintenance) al siguiente dispositivo ATM de la red para
comprobar que el tramo local funciona correctamente. -El siguiente ejemplo
muestra cómo comprobar que el segmento ATM local está funcionando
correctamente:
Router#ping atm interface atm 0/1 8 35 seg-loopback
Type escape sequence to abort.
Sending Seg-Loopback 5, 53-byte OAM Echoes to a neighbor, timeout is
5 seconds:
¡i
i i i
Success rate is 100 percent (5/5)
www.FreeLibros.com
560
REDES CISCO. CCNP a Fondo
© R A -M A
Negociación PPP
A partir de la determinación del correcto funcionamiento de la
configuración y encapsulación ATM, el siguiente paso es comprobar la
negociación PPP. Las siguientes son las fases de PPP hasta que se establece la
negociación:
•
LCP (Link Control Protocol). Fase obligatoria en la que se
negocian parámetros de establecimiento, configuración y testeo.
•
Autenticación. Fase opcional que es llevada a cabo si previamente
se ha establecido que habrá autenticación.
•
NCP (NetWork Control Protocol). Fase obligatoria en la que se
configuran protocolos de control individuales por cada protocolo
de capa 3 que exista.
Los comandos más útiles para la monitorización de PPP son debug ppp
negotiation y debug ppp authentication. En el siguiente ejemplo se observa
cómo el intento de autenticación por parte de CCnP fue fallido mientras que
clientl fue autenticado de manera satisfactoria.
Router#debug ppp negotiation
PPP protocol negotiation debugging is on
Router#debug ppp authentication
PPP authentication debugging is on
06:36:03:
ATMO PPP: Treating connection as a callout
06:36:03:
ATMO PPP: Phase is ESTABLISHING, Active Open
[0 sess,
load]
06:36:03:
ATMO PPP: No remóte authentication for call-out
06:36:03:
ATMO LCP: O CONFREQ [Closed] id 1 len 10
!— "O" indicates an outbound packet; in this, case a request.
06:36:03:
ATMO LCP: MagicNumber 0x03013D43 (0x050603013D43)
06:36:03:
ATMO LCP: I CONFACK [REQsent] id 1 len 10
!— “ I" indicates an inbound packet; in this case, an
acknowledgement.
06:36:03:
ATMO LCP: MagicNumber 0x03013D43 (0x050603013D43)
06:36:05:
ATMO LCP: I CONFREQ [ACKrcvd] id 2 len 15
06:36:05: ATMO LCP: AuthProto CHAP (0x0305C22305)
I— Authentication protocol is CHAP
06:36:05:
ATMO LCP: MagicNumber 0x65E315E5 (0x050665E315E5)
06:36:05:
ATMO LCP: O CONFACK [ACKrcvd] id 2 len 15
06:36:05: ATMO LCP: AuthProto CHAP (0x0305C22305)
06:36:05: ATMO L C P ^ MagicNumber 0x65E315E5 (0x050665E315E5)
06:36:05: ATMO LCP: State is Open
!—
PPP Successfully negotiated because state^ is "Open"
CHALLENGE id 9 len 26 from "CCnP"
www.FreeLibros.com
1
© RA-MA
CAPÍTULO 24. CONFIGURACIÓN DE DSL
561
0 6 :36s05: ATMO CHAP: Using alternate hostname Client1
06:36:05: ATMO CHAP: Username CCnP nat found
Router hostname (nrp-b) is not the CHAP username; client1 is the
CHAP username
(36:36:05: ATMO CHAP: Using default password
06:36:05: ATMO CHAP: O RESPONSE id 9 len 28 from "clientl"
06:36:05: ATMO CHAP: I SUCCESS id 9 len 4
¡— Authentication succeeds
06:36:05:
ATMO PPP: Phase is FORWARDING [0 sess, 1 load]
06:36:05:
ATMO PPP: Phase is AUTHENTICATING [0 sess, 1 load]
06:36:05:
ATMO PPP: Phase is UP [0 sess, 1 load]
06:36:05:
ATMO IPCP: O CONFREQ [Closed] id
1 len 10
¡— Outbound request fo-r IP Control Protocol initialization
06:36:05: ATMO IPCP: Address 0.0.0.0 (0x030600000000)
06:36:05: ATMO CDPCP: O CONFREQ [Closed] id 1 len 4
!— Outbound request for CDP Control Protocol initialization
06:36:05: ATMO IPCP: I CONFREQ [REQsent] id 1 len 10
06:36:05: ATMO IPCP: Address 8.8.8.1 (0x030608080801)
06:36:05: ATMO IPCP: Address 8.8.8.1 (0x030608080801)
www.FreeLibros.com
www.FreeLibros.com
Capítulo 25
MPLS
INTRODUCCIÓN A LAS REDES MPLS
MPLS (Multiprotocol Label Switching) es una tecnología Wan que está
definida en la RFC 3031. Para poder saber cómo funciona esta nueva tecnología así
como las ventajas que introduce, es necesario saber cómo funcionaban sus
antecesores. Las conexiones WAN tradicionales son conexiones de capa 2 que se
pueden clasificar como punto a punto o multipunto. Estas redes no entienden de
calidad de servicio de capa 3 (QoS). En algunos casos muy específicos se pueden
priorizar circuitos en los dispositivos frontera.
A través de las redes WAN existe muy poco o casi nada de protección del
tráfico. Las WAN tradicionalmente existen en un número limitado de arquitecturas
según cada empresa y también dependen del ancho de banda de cada uno de dichos
sitios.
Los modelos de arquitectura más comunes son los siguientes:
•
Hub-and-spoke
•
Malla parcial
•
Malla completa
•
Hub-and-spoke redundante
www.FreeLibros.com
564
REDES CISCO. CCNP a Fondo
© RA-M A
Todas estas tecnologías tienen sus ventajas y desventajas relacionadas
generalmente con el coste y con la cantidad de conexiones que permiten efectuar.
A medida que la cantidad de conexiones y ancho de banda se incrementa también
lo hace el coste. Un mayor ancho de banda y mayor diversidad de rutas
proporcionan mayor flexibilidad y redundancia.
La siguiente figura ilustra el modelo de red Hub-and-spoke. En ella se
puede ver un dispositivo central denominado Hub, que es el sitio donde están
conectados todos los demás. Para cualquier spoke que quiera enviar tráfico hacia
otro, necesariamente debe pasar a través del Hub. Esta topología es la más
comúnmente utilizada ya que es la que menor coste conlleva. Pero a su vez es la
que menor redundancia posee. En caso del que el Hub caiga, toda la topología de
red es afectada.
Para crear redundancia es posible utilizar el modelo de Malla parcial. Este
tipo de topología es más costosa que el modelo anterior pero proporciona la
redundancia necesaria en los servicios críticos. La siguiente figura muestra dicha
topología.
www.FreeLibros.com
©RA-MA
CAPÍTULO 25. MPLS
565
Para los casos en los que la velocidad de convergencia es más importante
que los gastos de arquitectura, la red de Malla completa es la más conveniente. En
la siguiente figura se ve como la red proporciona redundancia, cada uno de los
sitios está directamente conectado con todos los demás sitios. Cada vez que la red
crece es necesario añadir una gran cantidad de circuitos.
Para calcular en número de circuitos necesarios según sea el incremento de
dispositivos se utiliza la siguiente fórmula:
c _ n(n-l)
2
Donde C es la cantidad de circuitos requeridos y n el número de
dispositivos a interconectarse. Un ejemplo pueden ser 5 dispositivos que
necesitarán 10 circuitos.
Este modelo tiene el beneficio de ofrecer una mínima latencia y máxima
redundancia en la red.
Un modelo que fue ganando mayor empleo es el de Hub-and-spoke
redundante. Esta topología puede llevar varios tipos de nombres, tales como
multihub-and-spoke, dual-hub-and-spoke, etc. La siguiente figura ilustra esta
topología.
www.FreeLibros.com
566
REDES CISCO. CCNP a Fondo
©RA-M A
Este modelo de arquitectura dependerá del coste que se quiera invertir en
este tipo de topología. El diseñador de red preferirá el mayor número de
redundancia posible sin importar el coste, tratando de construir la red de la mejor
manera posible y escalable en el futuro.
Conectividad MPLS WAN
MPLS extiende la capa 3 entre todas las oficinas centrales, oficinas
remotas, sohos, etc. La red MPLS aunque es propiedad del ISP no deja de ser una
extensión de la red de la empresa. Para verlo de manera más simple: es como si
toda la red fuera un único router con múltiples interfaces. Esta red WAN
proporciona conexiones combinadas de todos contra todos sin tener que estar
gestionando un número elevado de circuitos.
Tal como ocurre con cualquier tipo de red, las redes MPLS convergen de
manera dinámica, soportan múltiples protocolos de enrutamiento y pueden utilizar
políticas de calidad de servicio.
Terminología MPLS
La mayoría de los términos relacionados con MPLS están definidos en la
RFC 3031. Los principales términos que se utilizarán en este capítulo son los
siguientes:
•
Label, es un identificador de tamaño fijo que identifica un grupo de redes
que comparten un destino común. Normalmente tiene significado local.
•
Label stack, es un conjunto de etiquetas donde cada una es independiente
de las otras.
www.FreeLibros.com
©RA-MA
CAPÍTULO 25. MPLS
567
•
Label swap, es la operación básica de envío en la red MPLS, consiste en
identificar el tráfico de entrada y colocarle una etiqueta de salida.
•
Label-switched hop (LSH), es el salto entre dos nodos MPLS en el cual el
envío se hace a través de etiquetas.
•
Label-switched path (LSP), es el camino a través de uno o más LSR
según la jerarquía.
•
Label switching router (LSR), es un nodo MPLS capaz de enviar
paquetes etiquetados.
•
MPLS domain, es un conjunto de nodos que llevan a cabo enrutamiento
de MPLS y que normalmente pertenecen al mismo dominio administrativo.
•
MPLS edge node, es un nodo MPLS que conecta con un nodo vecino que
está fuera del dominio MPLS.
•
MPLS egress node, es un nodo MPLS que maneja tráfico que está o deja
la red MPLS.
•
MPLS ingress node, es un nodo edge que maneja tráfico que entra en el
dominio MPLS.
•
MPLS label, es una etiqueta que se añade en la cabecera del paquete y que
representa el FEC del paquete.
•
MPLS node, es un nodo que ejecuta MPLS, es capaz de conocer los
protocolos de control de MPLS y a su vez de operar con los protocolos de
enrutamiento tradicionales de capa 3 y hacer un envío de paquetes basado
en etiquetas. Este nodo es capaz de hacer también envíos de paquetes
nativos de capa 3.
Características de MPLS
Como su nombre indica, MPLS es ún mecanismo de conmutación que
ejecuta un proceso de conmutar paquetes MPLS incluyendo el análisis de una
etiqueta. Esta etiqueta contiene la información de envío necesaria para poder
conmutar el paquete dentro del LSR. Es posible que dicho envío de tráfico de datos
a nivel de MPLS se realice por dispositivos que no sean capaces de hacer este
mismo tipo de envío a nivel de capa 3. De otra manera, los LSR no necesitan
ejecutar enrutamiento de capa 3. Las etiquetas normalmente corresponden a redes
de destino aunque también podrían corresponder a otro tipo de variables como son
VPN de capa 3, circuitos virtuales de capa 2, calidad de servicio, etc. Estas
opciones son configurables en cada uno de los dispositivos. Por esta razón MPLS
no fue diseñado únicamente para enviar paquetes IP.
www.FreeLibros.com
568
REDES CISCO. CCNP a Fondo
© RA-M A
A medida que los paquetes van atravesando la red de router a router, el rol
de cada uno de ellos es tomar la determinación de envío, llevar a cabo una
conmutación de rutas y enviar los paquetes al siguiente salto. MPLS se basa en la
idea de que las cabeceras de capa 3 contienen más información de la necesaria para
tomar decisiones de envío. Los principios básicos de enrutamiento también se
aplican a MPLS, esencialmente la elección del dispositivo del siguiente salto sin
importar la naturaleza del proceso de enrutamiento que se está ejecutando.
Este mecanismo se lleva a cabo de la siguiente manera:
•
Ordenar conjuntos de paquetes en diferentes clases basados en la
información de la red de destino FEC (Forwarding Equivalence Classes).
•
Mapeo de cada FEC con una determinada dirección del siguiente salto.
Todos los paquetes destinados a la misma FEC son iguales para el router,
siempre tomarán la misma ruta debido a que el camino ya esta asociado con una
FEC.
En el enrutamiento tradicional un router entenderá que dos paquetes
pertenecen a la misma FEC si la dirección de destino tiene coincidencia con la
misma red que tiene asociada en la tabla de enrutamiento.
A medida que los paquetes son enviados a los dispositivos que siguen en la
ruta son asignados a una FEC basándose en la visión en particular que ese router
tiene de la red. De manera que los paquetes que pertenecen a una FEC en un router
pertenezcan luego a otra FEC en el siguiente router.
En MPLS sólo hay un momento en el que el paquete es examinado y un
momento en el que se asigna una FEC y ocurre en el MPLS ingress node. La FEC
es codificada como una etiqueta cuando el paquete es enviado al siguiente salto de
tal manera que los paquetes son etiquetados antes del envío. En los siguientes
saltos lo único que se examina es la FEC o etiqueta y no habrá una búsqueda en la
tabla de enrutamiento en los siguientes saltos. La etiqueta de entrada es utilizada
como un indicador pata permitir la elección de una etiqueta de salida identificando
al dispositivo, que será el próximo salto. A partir de ese momento la etiqueta de
ingreso és descartada por el dispositivo y reemplazada por la etiqueta de salida que
guiará al paquete hacia el siguiente salto. Este proceso se repite sucesivamente en
cada dispositivo siguiente.
En MPLS solamente los LSR frontera llevan a cabo una búsqueda en la
tabla de enrutamiento. Todos los demás LSR llevan a cabo las decisiones de envío
basándose solamente en la etiqueta y no en la información de capa 3. Esto
www.FreeLibros.com
© RA-MA
CAPÍTULO 25. MPLS
569
disminuye notablemente la latencia haciendo que el envío sea más rápido. Los ISP
utilizan tecnologías MPLS para permitir que la información de enrutamiento de
cada cliente sea aislada entre cada uno de sus otros clientes dentro de la nube del
propio proveedor. Por este motivo las redes MPLS son llamadas redes MPLS VPN.
Las rutas son etiquetadas con un RD que las mantiene como únicas y separadas del
resto.
Conceptos MPLS
MPLS es nada más que un mecanismo de conmutación de tráfico. En lugar
de mirar en la cabecera de capa 3 los dispositivos MPLS sencillamente miran en las
etiquetas haciéndolos independientes de los protocolos de capa 3. La etiqueta de un
paquete de entrada es examinada y comparada con la base de datos de etiquetas.
Basándose en la información contenida en dicha tabla se le asigna una nueva
etiqueta para ser asociada al paquete y que sea enviado fuera de la interfaz
correspondiente.
E tiq u e ta e n tra n te 20
E tiq u e ta en tra n te 45
La figura anterior muestra dos routers de core y dos routers de frontera en
la nube MPLS. El flujo de tráfico está destinado al host 192.168.1.10/24. Cada uno
de los routers construye una etiqueta asociando una subred de destino a una
etiqueta. Existe por lo tanto una etiqueta de entrada y otra de salida asociada con
cada destino en estas tablas. Este es el motivo por cual estos routers se llaman LSR
(Label Switching Routers).
Los routers de core no buscan en sus tablas de enrutamiento, el primer
router frontera hace la búsqueda en la tabla de enrutamiento y añade una etiqueta
de salida, una vez que el paquete es enviado viaja de dispositivo en dispositivo
www.FreeLibros.com
570
REDES CISCO. CCNP a Fondo
© R A -M A
donde se toman decisiones de envío basadas únicamente en las etiquetas. El LSR
en el core sólo mira la etiqueta de entrada y la reemplaza con otra de salida
apropiada con el envío de destino hacia el próximo salto. El router frontera final
elimina la etiqueta y busca en su tabla de enrutamiento para hacer el envío al
correspondiente destino.
Normalmente el LSR, que es inmediatamente anterior al router frontera de
destino, efectúa una operación retirando la etiqueta del paquete enviándolo al
router frontera como un paquete nativo de capa 3. Esta operación es conocida como
PHP (Penultimate Hop Pop) y tiene como ventaja que el router final no tendrá que
realizar dos operaciones, quitar la etiqueta y enrutar, sino sólo una, enrutar.
MECANISMOS DE CONMUTACIÓN
El mecanismo de MPLS en los routers Cisco está basado en CEF (Cisco
Express Forwarding) y es un mecanismo necesario para el funcionamiento de
MPLS. Existen dos mecanismos de conmutación dentro de un router:
•
Process switching, cada paquete es procesado de manera individual y es
necesario efectuar una búsqueda en la tabla de enrutamiento antes de
enviar cada paquete. Éste es el mecanismo más simple y el que más
recursos consume.
•
Cactae-driven switching, los paquetes de destino son almacenados en la
memoria y utilizados para hacer envíos. Para un destino en particular, el
primer paquete es procesado de manera individual haciendo una entrada en
la memoria del router, de manera que otros paquetes que repiten ese mismo
patrón hacia ese destino son procesados sin necesidad de enrutamiento.
•
Topology-driven switching, la FIB (Forwarding Information Base) se
construye antes de que se realicen las tareas de envío.
Conmutación IP estándar
El proceso de enrutamiento en general es relativamente fácil. Dentro de la
red corporativa se utiliza un IGP y un EGP para conectar a un sistema autónomo
externo, que en la mayoría de los casos suele ser BGP. Para anunciar las redes
internas de la empresa las rutas son redistribuidas entre estas dos entidades. Las
rutas deben ser consideradas públicamente enrutables en el supuesto caso de que
sean enviadas hacia Internet.
Para que una ruta sea añadida dentro de la tabla de enrutamiento de BGP,
la tabla de enrutamiento del IGP tendrá que tener conocimiento previo sobre esa
www.FreeLibros.com
© R A -M A
CAPÍTULO 25. MPLS
571
ruta, en caso contrario BGP no tendrá en cuenta esa ruta como válida, incluso
cuando esté listada en su propia tabla. Cuando BGP recibe una actualización desde
Un vecino que incluye la propagación de un nuevo prefijo, se efectúa una entrada
en la tabla de BGP en el caso de que se seleccione como la mejor ruta hacia el
destino basándose en los cálculos de métrica.
Cuando por primera vez llega un paquete con destino hacia una red
asociada con el nuevo prefijo, el router busca en la memoria fast-switching para ver
si existe alguna entrada; cuando no existe coincidencia el router busca en la tabla
de enrutamiento para asociar la interfaz de salida y el próximo salto. El paquete es
enviado y se añade una nueva entrada a la memoria fast-switching con la
información del nuevo destino.
Los paquetes posteriores ni tendrán que sufrir el retraso asociado con una
búsqueda en la tabla de enrutamiento. La memoria de fast-switching tendrá la
información apropiada de la interfaz de salida y el próximo salto. Este proceso
ocurre a nivel de interrupción, lo que significa que el paquete es procesado
inmediatamente. La encapsulación a nivel de enlace de datos se coloca desde una
cabecera preestablecida que contiene la dirección de capa 2 de origen y destino. No
es necesario entonces ejecutar un ARP (Address Resolution Protocol) para resolver
esta cuestión ya que la información se obtuvo del primer paquete que se almacenó
en la memoria fast-switching.
Las entradas son mantenidas durante 60 segundos, cuando no existe
utilización de las mismas se eliminan, debiendo iniciar el proceso nuevamente
cuando sea necesario.
Conmutación CEF
CEF (Cisco Express Forwarding) es una tecnología que utiliza la FIB
(Forwarding Information Base) y que es una imagen de la tabla de enrutamiento.
Cuando existe algún cambio en la topología la FIB se actualiza basándose en los
cambios de dicha tabla. La FIB mantiene un listado de rutas y una dirección de
próximo salto provistas por el protocolo de enrutamiento de capa 3. CEF
simplemente copia dicha información.
Las actualizaciones de CEF FIB no son activadas por los paquetes sino por
los cambios en la red y acorde a la convergencia de las tablas de enrutamiento. Este
sistema de actualización es dependiente pero al mismo tiempo aislado del tipo de
algoritmo utilizado por el protocolo, ya sea vector-distancia o de estado de enlace.
La FIB se diferencia de la memoria fast-switching porque no contiene
información sobre la interfaz de salida y la correspondiente encapsulación de capa
www.FreeLibros.com
572
REDES CISCO. CCNP a Fondo
© R A -M A
2. CEF mantiene para este propósito una tabla de adyacencias. Los nodos son
adyacentes si son capaces de tener contacto a través de una conexión de capa 2. Las
adyacencias se construyen a nivel de capa de enlace y son enlazadas a la FIB, de
esta forma se simplifica la necesidad de hacer ARP. Cuando surgen nuevas
adyacencias la tabla se actualiza junto con toda la información pertinente al nuevo
dispositivo.
Habilitar CEF en dispositivos que apuntan hacia Internet no es una
decisión fácil de tomar si la tabla de Internet es redistribuida en ese router debido al
trabajo que esto puede suponer. La tabla de rutas de Internet pueden contener unas
300000 rutas y unos 24000 sistemas autónomos lo que supondría un enorme
trabajo y un consumo elevado de recursos para mantener esta tabla CEF.
Para dispositivos de gama alta CEF funciona de modo distribuido
permitiendo a los equipos ejecutar instancias independientes de CEF en cada una
de sus tarjetas, reduciendo así la carga de manutención de la FIB. Esto proporciona
un sistema se conmutación más rápido y eficiente.
ARQUITECTURA MPLS
El alcance de los conceptos que abarcan MPLS es muy extenso,
sobrepasando incluso el temario de este libro. En términos de arquitectura, MPLS
separa los mecanismos de enrutamiento tradicionales en dos componentes
principales:
1. Plano de control, mantiene la tabla de enrutamiento y las etiquetas que se
intercambian entre los dispositivos adyacentes.
2. Data plañe, este plano envía tráfico basándose en direcciones destinos o
etiquetas, también es conocido como plano de reenvío o forwarding plañe.
El plano de control se encarga de lidiar con las complejidades del
enrutamiento en general éste incluye protocolos como OSPF, EIGRP IS-IS, BGP
etc. Además de los típicos protocolos de enrutamiento existen protocolos de
distribución de etiquetas como TDP (Tag Distribution Protocol) y LDP (Label
Distribution Protocol). TDP es el predecesor y fue creado por Cisco. Una vez que
este protocolo comenzó a dar los resultados esperados solventando los problemas
de tráfico con etiquetas, se creó un estándar como el LDP.
El RSVP (Resource Reservation Protocol) se utiliza por MPLS para
proporcionar el llamado MPLS TE (MPLS Traffic Engineering) que es un
mecanismo que permite reservas de ancho de banda a través de la red MPLS.
RSVP asigna, si está disponible, ancho de banda bajo demanda para alguien que
www.FreeLibros.com
© RA-MA
CAPÍTULO 25. MPLS
573
haga peticiones de requerimiento. Este mecanismo es utilizado básicamente para
tráfico de voz o para tráfico de crítico.
El data plañe existe únicamente con la finalidad de enviar tráfico
basándose en la información obtenida a través del protocolo de enrutamiento o del
LDP. La LFIB (Label Forwarding Information Base) se crea para almacenar
información de etiquetas para ser usadas por la forwarding-engine, es decir, por el
mecanismo de envíos cuando se envían los paquetes a esos destinos.
La LFIB se construye mediante la información obtenida mediante LDP,
BGP y RSVP o una combinación de alguno de ellos.
ETIQUETAS MPLS
MPLS, tal cual ocurre en el enrutamiento tradicional, se basa en los
destinos. Las funciones de las etiquetas MPLS son separar las operaciones de envío
desde los destinos de capa 3 contenidos en la cabecera de los paquetes asociando
una etiqueta con una FEC (Forwarding Equivalence Class). Siendo éste un
mecanismo altamente eficiente para el envío de información.
Las FEC son un conjunto de paquetes IP enviados de la misma manera,
sobre la misma ruta y con el mismo tratamiento salto por salto. Una FEC podría
corresponder a una red de destino o alguna clase de tráfico que el LSR considere
significativo. Cada LSR en un LSP ordenará los paquetes en FEC asignándoles
etiquetas coherentemente.
Las etiquetas definen el destino, pero también pueden definir el nivel de
servicio. El tráfico puede ser clasificado por tipo basándose en el SLA (Service
Level Agreement). Estos pueden ser negociados con los ISP de tal manera que se
obtenga un diseño reutilizable con otras redes MPLS. Las etiquetas son agregadas a
los paquetes por los dispositivos LSR frontera, que en muchos casos pertenecen al
ISP y es quien determinará la localización de estos dispositivos.
Las etiquetas MPLS proporcionan un mecanismo por el cual los paquetes
pueden ser ordenados en varios FEC sin la necesidad de examinar la cabecera de
capa 3. Cada LSP a lo largo del camino utiliza la etiqueta para tomar decisiones de
envío para cada paquete. Dicha etiqueta es insertada entre la cabecera de capa 2 y
la cabecera de capa 3. Este mecanismo se llama frame mode MPLS.
www.FreeLibros.com
574
REDES CISCO. CCNP a Fondo
©RA-M A
20 bits
3 bits
1 bit
8 bits
Label
Exp CoS
S
TTL
La meta final es reducir la cantidad de información necesaria para realizar
envíos de paquetes y al mismo tiempo eliminar la dependencia de enviar
información de capa 3 generando una total independencia del protocolo
correspondiente a dicha capa.
La etiqueta está formada por una estructura de 32 bits en 4 octetos que
incluyen los siguientes campos:
•
Label, 20 bits, éste es el propio campo de la etiqueta. Puede tener
valores desde 0 a 1048575.
•
Experimental CoS, 3 bits, no está definido en la RPC 3031, Cisco
utiliza este campo para CoS (Class of Service).
•
Bottom of Stack Indicator, 1 bit, es utilizado cuando existen
múltiples etiquetas MPLS en un mismo paquete. Puede tomar
valores de 0 y 1; un valor en 1 indica que esta etiqueta es la última
del stack.
•
Time To Live (TTL), 8 bits, cumple las mismas funciones que en
la cabecera IP.
Pilas de etiquetas
Es posible una remota comparación de los paquetes con la encapsulación
IP, la cual puede ocurrir por ejemplo con GRE (Generic Routing Encapsulation)
para transportar tráfico IP. Esencialmente este mecanismo permite transportar
tráfico IP, por cada paquete que hay en el túnel hay dos cabeceras IP, solamente la
primera es utilizada para tomar decisiones de enrutamiento hasta que el paquete
alcanza el destino del túnel, en ese punto la cabecera IP extra es eliminada. Label
stack funciona de una manera similar, se añaden de manera específica y se
eliminan cuando no son necesarios.
Las etiquetas que están por debajo no son examinadas hasta que la etiqueta
precedente es utilizada y eliminada del stack. La utilización de etiquetas en general
es relativamente fácil en diseños MPLS normales, es posible que existan escenarios
donde deban emplearse varias etiquetas MPLS para conseguir el propósito
deseado.
www.FreeLibros.com
©RA-MA
CAPÍTULO 25. MPLS
575
Algunos de los escenarios más comunes pueden ser los siguientes:
•
MPLS VPN, es este caso MPBGP (Multiprotocol BGP) se utiliza para
propagar información relevante a la segunda etiqueta sobre paquetes que
identifiquen VPN.
•
MPLS TE (Traffic Engineering), utiliza RSVP para establecer túneles
LSP. RSVP propaga información adicional sobre etiquetas usadas para
identificar el túnel LSP.
•
MPLS VPN con MPLS TE, tres o más etiquetas se añaden en una trama,
donde se incluyen la etiqueta MPLS primaries, otra etiqueta VPN y la
etiqueta de Traffic Engineering para el LSP.
En las cabeceras MPLS el PID (Protocol Identifier) identifica el tipo de
protocolo de capa 3 que se va a utilizar. El PID puede ser modificado para indicar
que dos o más etiquetas han sido insertadas.
El procesamiento de las etiquetas siempre se basa en la primera de ellas,
sin tener en cuenta las siguientes. Estas se ubican por niveles por lo que obtienen el
nombre de Level 1, level 2, etc. Una vez que las etiquetas han cumplido su función
son eliminadas, a través del mecanismo Pop.
MPLS en modo trama
Las tramas o frames en modo MPLS denotan el uso de MPLS con
encapsulación Ethernet o con otro tipo de interfaces que encapsulen con algún tipo
de trama o fi^ame. Existe otra modalidad llamada MPLS Cell, que funciona con
ATM, que está fuera del contenido de este libro.
Cuando un router PE recibe un paquete tiene que tomar una decisión como
un router normal si la interfaz de salida es una interfaz con MPLS activo, el router
inserta una etiqueta y encapsula el paquete en la estructura de la trama de capa 2
que corresponda. Este router también puede modificar el campo del tipo de
Ethernet en la cabecera de la trama para especificar si fuera necesario el protocolo
de capa 3. Finalmente envía el paquete a la dirección del próximo salto
correspondiente.
Si el router que recibe el paquete es un LSR, en el core procesará el
paquete basándose en las etiquetas de entrada y salida. Nunca se toman decisiones
de enrutamiento en router que no son PE debido a que la FIB ha sido previamente
construida y todos los destinos ya están establecidos.
www.FreeLibros.com
576
REDES CISCO. CCNP a Fondo
© R A -M A
ENVÍO DE TRÁFICO BASADO EN ETIQUETAS
El envío de tráfico MPLS es realizado por dispositivos que son capaces de
hacer una búsqueda de etiquetas y sustituirlas por las siguientes. Este tipo de
dispositivo no analiza la cabecera de capa de red. La nomenclatura y el propósito
de estos dispositivos se establecen según la posición dentro de la arquitectura
MPLS. Un LSR (Label Switching Routers) es un nodo MPLS capaz de enviar
tráfico de capa 3 basándose en las etiquetas correspondientes a cada paquete.
Los LSR deben tener la capacidad de funcionar tanto en el Plano de
control como en el Data plañe, es este último el que contiene la información de
enrutamiento, tal como ocurre con los protocolos de enrutamiento tradicionales.
En MPLS todo funciona a través de etiquetas, incluso cuando cada LSR
tenga una tabla de enrutamiento actualizada y en convergencia, no tomará
decisiones de envío de enrutamiento. El LSR mantendrá su tabla de enrutamiento
sólo para asegurar que la FIB está actualizada con la versión más reciente, de tal
manera que las etiquetas puedan ser asignadas correctamente y los paquetes sean
finalmente enviados.
La distribución de las etiquetas es función del protocolo de distribución de
etiquetas como puede ser LDP, quien se encarga de construir las LFIB en el Data
plañe.
Un dispositivo frontera LSR se encargará de enviar paquetes con el
añadido funcional de tener que eliminar o remover etiquetas, no debe ser
necesariamente un router PE.
Según la decisión de envío del LSR frontera pueden existir varios tipos de
escenarios:
•
Un paquete puede ser enviado como un paquete IP normal basado en la
dirección IP del destino; en este caso la interfaz de salida no tiene
habilitado MPLS.
•
Un paquete recibido puede ser enviado como un paquete etiquetado MPLS
basado en la dirección IP; en este caso la interfaz de salida tiene habilitado
MPLS.
•
Un paquete etiquetado es recibido y enviado basándose únicamente en la
etiqueta. La etiqueta de entrada se examina y se cambia según la LFIB de
tal manera que pueda ser enviado al próximo salto MPLS.
www.FreeLibros.com
© RA-MA
•
CAPÍTULO 25. MPLS
577
Un paquete etiquetado se recibe y es enviado basándose en la etiqueta
aunque la LFIB muestra que el LSR frontera es el MPLS de salida; en este
caso la etiqueta es eliminada y el paquete es enviado normalmente.
Si un paquete etiquetado recibido se pierde es un síntoma de que faltan
datos en la LFIB, incluso si el destino está mapeado en la tabla de enrutamiento.
Como ya se ha descrito anteriormente, MPLS es independiente del
protocolo de capa 3 que se esté utilizando. Generalmente este protocolo suele ser
IP. Cuando todos los routers de la red han elaborado su tabla de enrutamiento, con
todos los destinos dentro de la red, entonces la red ha convergido.
La convergencia es más o menos rápida dependiendo de los protocolos de
enrutamiento. Cuando existen eventos que no permiten que la convergencia sea
efectiva, afectará al rendimiento de la red. Cuando existen recursos inalcanzables
porque la red es inestable puede producirse un impacto considerable en la misma.
LIB, LFIB y FIB
Estos tres términos están asociados pero a la vez son independientes. La
configuración correcta de un protocolo de enrutamiento avanzado puede limitar los
efectos de la convergencia en la red, esto siempre es deseable debido a que cuando
el router está convergiendo no enrutará tráfico. MPLS depende el protocolo de
routing subyacente para tomar la formación que necesita y construir las LFIB.
Éstas son esencialmente la “tabla de rutas” de las etiquetas.
Las etiquetas son compartidas a través de protocolos de distribución pero la
información se construye inicialmente por medio de los protocolos de
enrutamiento. Si la red IP experimenta problemas de convergencia u otras
inestabilidades, la red MPLS se verá afectada. Una vez que la tabla de
enrutamiento se construye y la red converge, cada LSR asigna etiquetas a cada
destino de red reflejado en la tabla de enrutamiento; éstas tienen significado local y
se almacenan en la LIB (Label Information Base).
El LSR anuncia sus etiquetas asignadas a los vecinos adyacentes quienes a
su vez lo hacen a sus pares. Estos últimos asocian la información de etiquetas
recibidas asociándolas con el próximo salto con la finalidad de alcanzar el destino
apropiado. Toda esta información se almacena en las FIB y LFIB.
Cada LSR construye su LIB, LFIB y FIB basándose en las etiquetas
recibidas. Normalmente sólo las redes del ISP asignarán etiquetas del tipo
allocation, imposition, swapping, y/o popping. Una red empresarial no tiene
necesidad de ver este tipo de etiquetas.
www.FreeLibros.com
578
REDES CISCO. CCNP a Fondo
© R A -M A
LIB forma parte del Plano de control cuya base de datos es usada por el
LDP para la distribución de etiquetas. Cuando esto ocurre los prefijos IP son
asociados con sus entradas de etiquetas locales y el próximo salto con la
información aprendida anteriormente.
La LIB mantiene el enlace entre los prefijos IP, la etiqueta asignada y la
etiqueta que se asignará.
La LFIB es parte del Data plañe y funciona como la base de datos usada
para enviar paquetes ya etiquetados. El IGP se utiliza para propagar la tabla de
enrutamiento a todos los routers MPLS a través de la red.
Basándose en la información compartida cada uno de los routers determina
la ruta con la métrica más atractiva para los diferentes destinos de red. Las
etiquetas generadas localmente se anuncian a los pares que están en sentido
ascendente hacia el destino.
Finalmente se tienen etiquetas de entrada y de salida tanto para el tráfico
ascendente como para el descendente.
Si el destino no está etiquetado, será entonces enrutado en lugar de ser
conmutado por etiquetas.
La siguiente sintaxis muestra la composición de una LFIB:
Router#show mpls forwarding-table
Bytes
tag
Outgoing Next
Local
Outgoing
Prefix
tag
tag or VC
or Tunnel Id
switched interface
16
Pop tag
1.1.1.1/32 0
GiO/1
17
Pop tag
2.2.2.2/32 0
GiO/1
10.10.1.1
18
Pop tag
3.3.3.3/32 0
GiO/1
10.10.1.1
10.10.1.1
Si un destino de salida es alcanzado por una interfaz de salida que no es
MPLS, se utiliza la información contenida en la FIB ignorando la LIB y la LFIB.
www.FreeLibros.com
©RA-MA
CAPÍTULO 25. MPLS
Etiqueta
entrante
Prefijo
10.3
10,1
10.4
Etiqueta
saliente
11
20
38
Etiqueta
entrante
IS
40
SS
Prefijo
579
Etiqueta
saliente
10,3
10.1
10.4
En todos los routers de la figura anterior el protocolo de enrutamiento IP ha
alcanzado el estado de convergencia. La LIB, LFIB y FIB están construidas a partir
de dicho protocolo y con las actualizaciones de LDP. El protocolo de enrutamiento
anuncia destinos de su red IP mientras que el LSR construye las etiquetas para cada
uno de los destinos aprendidos.
El siguiente ejemplo muestra las FIB de GBP y OSPF
Router#sh ip bgp
BGP table versión is 11, local router ID is 192.168.1.1
Status codes: s suppressed, d damped, h históry, * valid,
> best, i - internal, r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? — incortiplete
Network v
Next Hop -Metric LocPrf Weight Path
*>il.1.1.1/32
10.10.1.1
0
100
0
i
*>i2.2.2.2/32
10.10.1.1
0
100
0
i
*>i3.3.3.3/32
10.10.1.1
0
100
0
i
* ilO.10.1.0/24 10.10.1.1
0
100
0
i
*>
0.0.0.0
0
32768 i
*> 172.16.0.0
0.0.0.0
0
32768 i
*> 192.168.1.0 0.0.0.0
0
32768 i
*> 192.168.1.2/32 0.0.0.0
0
32768 ?
Router#sh ip ro
www.FreeLibros.com
580
REDES CISCO. CCNP a Fondo
© R A -M A
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF Ínter
area
Ni - OSPF NSSA external type 1, N2 - OSPF NSSA external type
2
El - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS suimnary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS ínter area, * - candidate default, U - per-user
static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is 172.16.0.1 to network 0.0.0.0
1.0.0.0/32 is subnetted, 1 subnets
O
1.1.1.1 [110/2] via 10.10.1.1, 00:01:23, GigabitEthernetO/1
2.0.0.0/32 is subnetted, 1 subnets
0
2.2.2.2 [110/2] via 10.10.1.1, 00:01:23, GigabitEthernetO/1
3.0.0.0/32 is subnetted, 1 subnets
0
3.3.3.3 [110/2] via 10.10.1.1, 00:01:23, GigabitEthernetO/1
C 172.16.0.0/16 is directly connected, Vlanl
10.0.0.0/24 is subnetted, 1 subnets
C
10.10.1.0 is directly connected, GigabitEthernetO/1
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C
192.168.1.0/24 is directly connected, VlanlOO
S
192.168.1.2/32 is directly connected, Service-Engine0/0
S* 0.0.0.0/0 [1/0] via 172.16.0.1
DISTRIBUCIÓN DE ETIQUETAS
MPLS añade una sobrecarga adicional para la comunicación entre routers
adyacentes, sumada a la propagación de los prefijos de enrutamiento se agregan las
funcionalidades de mantenimiento de las LIB y LFIB junto con las tablas de
adyacencia, generando un consumo de recursos extra. -CEF, LDP y otros procesos
contribuyen también al aumento de consumo de dichos recursos.
La distribución de etiquetas se lleva a cabo a través de un protocolo de
distribución de etiquetas, como LDP, particularmente MPLS LDP.
Hay que tener en cuenta que la arquitectura de MPLS permite dos formas
de propagar la información necesaria:
1. Extender la funcionalidad de los protocolos existentes.
2.
Crear nuevos protocolos dedicados a la tarea de intercambios de etiquetas.
Extender la funcionalidad de un protocolo existente requiere bastante
tiempo y esfuerzo, especialmente en BGP y OSPF. LDP se implementa en el Panel
www.FreeLibros.com
© RA-MA
CAPÍTULO 25. MPLS
581
de control para intercambiar etiquetas con los vecinos, almacenando los resultados
en la LIB.
En una arquitectura MPLS la decisión de asignar una etiqueta en particular
a un FEC es propiedad del LSR en cada host a lo largo del camino. El LSR anterior
informa al siguiente LSR sobre las etiquetas decididas para esa FEC, esto implica
esencialmente que las etiquetas se asignan en sentido ascendente hacia el destino.
El flujo del tráfico es un factor importante teniendo en cuenta que ocurre
en un sentido bidireccional, es decir, que las etiquetas serán propagadas en ambas
direcciones. Split Horizon hace que las etiquetas sean distribuidas en sentido
descendente evitando que se propaguen hacia el vecino que propagó la etiqueta. La
FIB está sujeta a las normas de horizonte dividido por defecto desde el punto de
vista del enrutamiento, por lo tanto la LIB y la LFIB también lo están.
La distribución de etiquetas puede ocurrir de dos formas:
•
Unsolicited downstream
•
Downstream-ondemand
Cualquiera de los dos casos ocurre ante un evento de convergencia, un
vecino MPLS puede enviar (Unsolicited downstream) o solicitar que le envíen
alguna actualización (Downstream-ondemand). Un ejemplo es cuando una etiqueta
no está asociada a un FEC determinado.
Propagación de paquetes
Un paquete de entrada puede ser enviado de múltiples maneras incluyendo
con o sin imposición de etiquetas. El dispositivo LSR frontera será el encargado de
ejecutar Pop para quitar la etiqueta.
Un paquete que no contenga ninguna etiqueta puede ser etiquetado y
enviado por un router borde LSR aunque existen excepciones a este proceso en los
casos en los que durante la convergencia de red la información de destino esté
incompleta.
Cuando un paquete llega a un LSR antes de que tenga conocimiento de la
etiqueta asociada a la FEC para reenviar el paquete ya etiquetado, el envío se
realizará basándose en la información almacenada en la FIB. Este paquete será
enviado al próximo salto según dicha información. El router siguiente realiza una
búsqueda tratando de encontrar la información del mapeo de la etiqueta con la FEC
www.FreeLibros.com
582
REDES CISCO. CCNP a Fondo
© R A -M A
correspondiente. En caso de que la tenga, el router incluye la etiqueta y envía el
paquete. En caso de que fiiera así el proceso se vuelve a repetir.
Puede ser posible que el router utilice CEF para conmutar el paquete
durante todo el camino de la red. El motivo de este mecanismo es permitir el envío
de paquetes en tiempo de convergencia en situaciones donde los routers MPLS no
tienen etiquetas para una FEC en particular.
PHP
Cuando existe una ruta MPLS desde un origen hacia un destino se crea un
LSP (Label Switched Path), que es esencialmente un túnel entre ambos extremos
basándose en una FEC en particular. Se podría decir que este túnel lleva asociados
varios caminos posibles debido a que pueden existir varias FEC que compartan
etiquetas en algún punto en particular de este camino. Los LSR frontera contienen
una FEC en especial, lo que permite el ejecutar un mecanismo llamado pemiltimate
hop popping, PHP.
PHP es una característica propia de MPLS habilitada por defecto. En un
LSR frontera de salida se realiza una búsqueda en la LFIB para localizar paquetes
etiquetados. En caso de que la red se encuentre directamente conectada no se
incluye ninguna etiqueta para ese destino en particular, es decir, la etiqueta es
eliminada y se realiza una búsqueda en la FIB. Este proceso demanda dos tipos de
búsquedas distintas de manera redundante.
La eficacia de PHP permite al LSR anterior al LSR frontera quitar la
etiqueta antes de enviarla, de ahí el termino penultimate hop popping haciendo que
no se realicen búsquedas redundantes innecesarias.
CONFIGURACIÓN MPLS
La configuración de los routers MPLS es bastante simple, teniendo siempre
en cuenta ciertas consideraciones tales como el tamaño de la red y el número de
prefijos que serán propagados.
MPLS y la sobrecarga asociada pueden llegar a ser un factor significativo
en lo que respecta a consumo de recursos de un router.
En un entorno de ISP el router debe mantener toda la tabla de Internet,
sumando más de 300000 prefijos. Dentro del ámbito del ISP se ejecutará algún
protocolo IGP, tal como IS-IS, y un EGP, como puede ser BGP. Cada protocolo
mantiene un número determinado de prefijos. BGP lo hará en este caso con todos
www.FreeLibros.com
© RA-MA
CAPÍTULO 25. MPLS
583
los prefijos públicos anunciados mientras que el IGP tendrá todos los destinos
internos de la red del ISP. Por lo tanto la cantidad de información que se tiene que
mantener actualizada en bastante grande. Sumándose a todo esto la necesidad de
mantener la tabla CEF más las tablas que requieren el uso de MPLS, como la FIB,
LIB y LFIB. Junto con la información de adyacencias requeridas por el IGP, el
EGP y MPLS. Con todo esto es fácil entender por qué los routers pueden
sobrecargarse.
La idea que fundamenta a MPLS es aplicar etiquetas entre los campos de
capa 3 y capa 2 aunque puede causar problemas en paquetes grandes. La adición de
estos 4 bytes adicionales podría causar que las tramas mayores de lo permitido por
las MTU configuradas en la interfaz no permitan pasar dichas tramas. Esta es una
más de las consideraciones dentro de las configuraciones de las interfaces que hay
que tener en cuenta.
La configuración en la habilitación de MPLS es muy simple y consiste en
muy pocos pasos:
1.
Configurar CEF. Cef debe estar habilitado como un requisito previo a la
configuración de MPLS. En las IOS actuales vieneconfigurado
por
defecto.
2.
Configurar MPLS modo trama en interfaces.
3.
Configurar los tamaños de MTU apropiados.
Configuración de CEF
CEF es un mecanismo propietario de Cisco, es un sistema de conmutación
altamente rápido y eficiente. CEF proporciona un mecanismo de conmutación en
capa 3 que optimiza el rendimiento y estabilidad en redes grandes. Consume menos
recursos de CPU que otros mecanismos de conmutación permitiendo liberar más
ciclos de CPU para otras aplicaciones.
CEF puede ser ejecutado de modo central o modo distribuido. En modo
central sólo es posible una sola instancia en cada router. CEF en modo distribuido
(dCEF) está diseñado para ser ejecutado en router de gama alta, permitiendo a
cada tarjeta del router ejecutar y mantener su propio mecanismo de conmutación
haciendo que las conmutaciones se ejecuten dentro de la propia tarjeta.
Como se ha explicado anteriormente la FIB es una copia de la tabla de
enrutamiento, conteniendo todos los prefijos de enrutamiento conocidos de dicha
tabla. CEF utiliza la FIB para mantener actualizada su tabla de adyacencias. La FIB
se utiliza para tomar decisiones a nivel IP y la tabla de adyacencia proporciona
www.FreeLibros.com
584
REDES CISCO. CCNP a Fondo
© R A -M A
información a nivel de capa 2 incluyendo la información de próximo salto de dicha
capa. Ambas constituyen la base operacional para CEF.
CEF utiliza la tabla de adyacencias para incluir información de capa 2 en el
tráfico de salida, esto evita la necesidad de utilizar ARP como mecanismo de
resolución de capa 2 y 3
CEF se habilita de manera global con el siguiente comando:
router(conf ig)#ip cef
Opcionalmente el comando también puede ser habilitado en modo
distribuido dependiendo de la plataforma que se use:
router(conf ig)#ip cef distributed
El modo distribuido de CEF solamente deberiá ser utilizado cuando las
tarjetas o módulos del router son capaces de ejecutar express forwarding. Lo que
permite a la procesadora de la tarjeta manejar las funcionalidades de conmutación.
Para habilitar CEF en una interfaz en particular se utiliza el siguiente
comando dentro del modo de la interfaz en cuestión:
router(config-if )#ip route-cache cef
Para deshabilitar cualquiera de los anteriores comandos bastará con
anteponer no a cualquiera de ellos.
Existen varias opciones adicionales para la configuración de CEF:
•
CEF load balancing, puede ser configurado por destino o por paquete.
•
CEF network accounting, permite obtener estadísticas de tráfico tales
como paquetes y bytes conmutados para un determinado prefijo.
•
CEF distributed tunnel switching, esta opción es habilitada
automáticamente con CEF y permite la conmutación de túneles tales como
los GRE. Esta opción no es configurable.
www.FreeLibros.com
©RA-M A
CAPÍTULO 25. MPLS
585
Para monitorizar y ver estadísticas de CEF se puede utilizar el siguiente
comando:
router#show ip cef detail
IP CEF with switching (Table Versión 21), flags=0x0
16 routes, 0 reresolve, 0 unresolved (0 oíd, 0 n e w ) , peak 0
16 leaves, 24 nodes, 27392 bytes, 29 inserts, 13 invalidations
0 load sharing elements, 0 bytes, 0 references
universal per-destination load sharing algorithm, id CB41AB75
3(0) CEF resets, 0 revisions of existing leaves
Resolution Timer: Exponential (currently ls, peak ls)
0 in-place/0 aborted modifications
refcounts: 6433 leaf, 6400 node
Table epoch: 0 (16 entries at this epoch)
Adjacency Table has 2 adjacencies
0.0.0.0/0, versión 0, epoch 0, attached, default route handler
0 packets, 0 bytes
via 0.0.0.0, 0 dependencies
valid no route adjacency
0.0.0.0/32, versión 1, epoch 0, receive
1.1.1.1/32, versión 18, epoch 0, connected, receive
tag information set
local tag: implicit-null
2.2.2.2/32, versión 19, epoch 0, connected, receive
tag information set
local tag: implicit-null
3.3.3.3/32, versión 20, epoch 0, connected, receive
tag information set
local tag: implicit-null
10.10.1.0/24, versión 13, epoch 0, attached, connected
0 packets, 0 bytes
tag information set
local tag: implicit-null
via GigabitEthernetO/l, 0 dependencies
valid glean adjacency
10.10.1.0/32, versión 11, epoch 0, receive
10.10.1.1/32, versión 10, epoch 0, receive
10.10.1.2/32,
versión
14,
epoch 0, connected,
cached adjacency
10. 1 0 . 1.2
0 packets, 0 bytes
via 10.10.1.2, GigabitEthernetO/l, 0 dependencies
next hop 10.10.1.2, GigabitEthernetO/1
valid cached adjacency
10.10.1.255/32, versión 12, epoch 0, receive
172.16.0.0/16, versión 15, epoch 0, cached adjacency 10.10.1.2
0 packets, 0 bytes
tag information set
local tag: 16
via 10.10.1.2, GigabitEthernetO/1, 0 dependencies
next hop 10.10.1.2, GigabitEthernet0/1
valid cached adjacency
tag rewrite with Gi0/1, 10.10.1.2, tags imposed: {>
www.FreeLibros.com
586
REDES CISCO. CCNP a Fondo
© R A -M A
192.168.1.0/24, versión 16, epoch 0, cached adjacency 10.10.1.2
0 packets, 0 bytes
tag information set
local tag: 17
via 10.10.1.2, GigabitEthernet0/1, 0 dependencies
next hop 10.10.1.2, GigabitEthernetO/1
valid cached adjacency
tag rewrite with Gi0/1, 10.10.1.2, tags imposed: {}
192.168.1.2/32, versión 17, epoch 0, cached adjacency 10.10.1.2
0 packets, 0 bytes
tag information set
local tag: 18
via 10.10.1.2, GigabitEthernetO/1, 0 dependencies
next hop 10.10.1.2, GigabitEthernetO/1
valid cached adjacency
tag rewrite with Gi0/1, 10.10.1.2, tags imposed: {}
224.0.0.0/4, versión 7, epoch 0
0 pac k e t s , 0 bytes
via 0 .0.0.0, 0 dependencies
next hop 0 .0 .0 .0
valid drop adjacency
224.0.0.0/24, versión 3, epoch 0, receive
255.255.255.255/32, versión 2, epoch 0, receive
Otros parámetros de configuración para el show ip CEF están expuestos
en la siguiente tabla:
Parámetro
Descripción
Unresolved
Muestra entradas CEF no resueltas.
Summary
Muestra un resumen de la FIB.
Adjacency
Muestra entradas FIB conocidas a
través de una interfaz y next-hop
en particular.
A.B.C.D
Muestra una entrada FIB para una
red de destino específica.
A.B.C.D A.B.C.D
Muestra una entrada FIB para una
red de destino y máscara
específica.
Longer-prefixes
Muestra una entrada FIB para
todos los destinos específicos.
www.FreeLibros.com
© R A -M A
CAPÍTULO 25. MPLS
Detail
Muestra información detallada de
la FIB.
Type number
Muestra entradas FIB específicas
de una interfaz.
587
Hay circunstancias en que CEF puede provocar la inestabilidad de la red,
para esos momentos los siguientes comandos pueden dar algún tipo de soporte:
•
clear adjacency
•
clear ip cef inconsistency
•
clear cef interface
•
debug ip cef
•
debug ip cef events
Configuración de una interfaz MPLS
El siguiente paso en la implementación de MPLS consiste en la
configuración de los parámetros de la interfaz, esto significa la habilitación de un
protocolo de etiquetas. En algunos entornos se utiliza el TDP (Tag Distribution
Protocol), protocolo propietario de Cisco, pero no es un estándar compatible con
otros fabricantes. Fue creado por Cisco cuando no había ninguna solución para
implementar con MPLS. Posteriormente fue estandarizado dando como resultado el
LDP (Label Distribution Protocol).
Para habilitar MPLS en un router basta con el comando mpls ip en la
configuración global o en cada una de las interfaces donde deba ejecutarse. Por
defecto los routers Cisco llevan el soporte MPLS implementado. Puede ser
deshabilitado anteponiendo un no antes del comando.
MPLS se configura de manera individual en cada una de las interfaces que
participen en el entorno MPLS para posteriormente habilitar un protocolo de
distribución con el comando mpls label protocol.
www.FreeLibros.com
588
REDES CISCO. CCNP a Fondo
© R A -M A
La siguiente tabla muestra los parámetros que puede tener este comando:
Parámetro
Descripción
both
Para utilizar LDP o TDP.
ldp
Para LDP
tdp
Para TDP
El parámetro both puede utilizarse con interfaces multiacceso donde
existen vecino que puedan ejecutar ambos protocolos.
LDP es el protocolo por defecto para el intercambio de etiquetas a partir de
la versión de IOS 12.4(3). En las versiones anteriores el protocolo por defecto era
TDP. Para evitar confusiones siempre es mejor definir el protocolo manualmente.
Las interfaces que no son MPLS deberían tener ACL aplicadas para
bloquear tráfico TDP o LDP. Ambos utilizan puertos UDP para excluir a los
vecinos y posteriormente TCP para establecer las sesiones que funcionan como
transporte de este protocolo. LDP utiliza los puertos TCP/UDP 711 y LDP utiliza
los puertos TCP/UDP 646. UDP se utiliza constantemente para el descubrimiento
de los vecinos.
Sin el comando mpls ip habilitado en las interfaces las adyacencias no se
formarán. En un entorno multifabricante se debe tener la precaución de no utilizar
nunca TDP debido a que sólo funcionan en routers Cisco; el parámetro both evita
posibles confusiones.
La siguiente sintaxis muestra la aplicación de algunos de los comandos
anteriores:
Router_A#show running-config
Building conf i guration...
versión 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime m sec
service password-encryption
service sequence-numbers
¡
hostname Router_A
i
no logging buffered
www.FreeLibros.com
© RA-MA
CAPÍTULO 25. MPLS
589
clock timezone CST -6
clock summer-time CDT recurring
i
i
ip cef
i
interface GigabitEthernetO/1
ip address 10.10.1.1 255.255.255.0
dúplex full
speed 1000
mpls label protocol ldp
mpls ip
i
line con 0
logging synchronous
login local
line aux 0
line vty 0 4
login local
transport input telnet ssh
line vty 5 15
login local
transport input telnet ssh
end
Configuración de la MTU
Como se ha mencionado anteriormente el agregado de una o más etiquetas
al paquete que va atravesando la red MPLS podría causar un exceso del tamaño de
la MTU en las interfaces. Este es el problema más común experimentado en el
despliegue de redes MPLS. Suele ocurrir en las interfaces LAN donde
normalmente la MTU es de 1500 bytes. La mayor parte de las interfaces WAN
poseen una MTU mucho mayor.
El tamaño de la MTU tiene que ser incrementado por una cantidad igual o
superior a los bytes que suponen el agregado de las etiquetas. Si sólo se añaden 4
bytes sólo será posible incertar una sola etiqueta. Por lo tanto-siempre se aconsejan
MTU de 1512 bytes o mayor.
El comando para la configuración de la MTU con esos valores en MPLS es
el siguiente:
Router(config-if )#mpls mtu 1512
El rango posible para el tamaño de las MTU es de 64 a 65535 bytes.
www.FreeLibros.com
590
REDES CISCO. CCNP a Fondo
© R A -M A
Para verificar que las adyacencias LDP se han establecido se puede utilizar
el siguiente comando:
Router#sh mpls ldp neighbor
Peer LDP Ident: 192.168.1.1:0; Local LDP Ident 3.3.3.3:0
TCP connection: 192.168.1.1.17080 - 3.3.3.3.646
State: Oper; Msgs sent/rcvd: 17/18; Downstream
Up time: 00:07:01
LDP discovery sources:
GigabitEthernetO/l, Src IP addr: 10.10.1.2
Addresses bound to peer LDP Ident:
172.16.0.4 192.168.1.1 10.10.1.2
La monitorización de etiquetas en tiempo real puede hacerse con el
comando debug mpls ldp bindings:
Router#debug mpls ldp bindings
LDP Label Information Base (LIB) changes debugging is on
Router#
000049: Apr 20 19:18:33.271: tib: find route tags: 10.10.1.0/24,
GiO/1, nh 0.0.0.0, res nh
0.0.0.0
000050: Apr 20 19:18:33.271: tagcon: announce labels for:
10.10.1.0/24; nh 0.0.0.0, GiO/
1, inlabel imp-null, outlabel unknown (from 0.0.0.0:0), find route
tags
000051: Apr 20 19:18:33.271: tagcon: tc_iprouting_table_change:
10.10.1.0/255.255.255.0,
event 0x1
000052: Apr 20 19:18:33.271: tagcon: rib change:
10.10.1.0/255.255.255.0; event 0x1; ndb
attrflags 0x1000220; ndb->pdb_index 0x0
000053: Apr 20 19:18:33.271: tib: find route tags: 1.1.1.1/32, Lol,
nh 0.0.0.0, res nh
0.0.0.0
000054: Apr 20 19:18:33.271: tagcon: announce labels for:
1.1.1.1/32; nh 0.0.0.0, Lol,
inlabel imp-null, outlabel unknown (from 0.0.0.0:0), find route tags
000055: Apr 20 19:18:33.271: tagcon: tc_iprouting_table_change:
1.1.1.1/255.255.255.255,
event 0x1
000056: Apr 20 19:18:33.271: tagcon: rib change:
1.1.1.1/255.255.255.255; event 0x1; ndb
attrflags 0x1000220; ndb->pdb_index 0x0
000057: Apr 20 19:18:33.271: tib: find route tags: 2.2.2.2/32, L o 2 ,
nh 0.0.0.0, res nh
0.0.0.0
000058: Apr 20 19:18:33.271: tagcon: announce labels for:
2.2.2.2/32; nh 0.0.0.0, L o 2 ,
inlabel imp-nu l l , outlabel unknown (from 0.0.0.0:0), find route tags
www.FreeLibros.com
© R A -M A
CAPÍTULO 25. MPLS
591
000059: Apr 20 19:18:33.271: tagcon: tc_iprouting_table_change:
2.2.2.2/255.255.255.255,
event 0x1
000060: Apr 20 19:18:33.271: tagcon: rib change:
2.2.2.2/255.255.255.255; event 0x1; ndb
attrflags 0x1000220; ndb->pdb_index 0x0
000061: Apr 20 19:18:33.271: tib: find route tags: 3.3.3.3/32, Lo3,
nh 0. 0. 0.0, res nh
. .
0 0 0.0
000062: Apr 20 19:18:33.271: tagcon: announce labels for:
3.3.3.3/32; nh 0.0.0.0, L o 3 ,
inlabel imp-null, outlabel unknown (from 0 .0.0.0 :0), find route tags
000063: Apr 20 19:18:33.271: tagcon: tc_iprouting_table_change:
3.3.3.3/255.255.255.255,
event 0x1
000064: Apr 20 19:18:33.275: tagcon: rib change:
3.3.3.3/255.255.255.255; event 0x1; ndb
attrflags 0x1000220; ndb->pdb_index 0x0
000065: Apr 20 19:18:33.275: tib: find route tags: 172.16.0.0/16,
GiO/1, nh 10.10.1.2, res
nh 10.10.1.2
000066: Apr 20 19:
MPLS CON TECNOLOGÍA VPN
Para comprender debidamente la tecnología que ofrecen las VPN sobre
MPLS es necesario comprender anticipadamente los posibles problemas que
pueden surgir. Las VPN en MPLS son una solución WAN de capa 3 que soluciona
el problema de las WAN de capa 2, proporcionando conectividad de muchos a
muchos entre sitios de una manera económica y efectiva. En el pasado cada vez
que era necesario extender la topología suponía un desembolso importante de
dinero lo que siempre hacía difícil dicha extensión. Una topología de malla
extendida puede ser muy robusta pero extremadamente costosa, mientras que otras
menos caras no ofrecen la solución adecuada.
MPLS significó la respuesta y la solución a esté problema. Con esta
tecnología es posible tener una topología de malla completa pero con la capacidad
de hacerlo a nivel de capa 3. La posibilidad de arquitectura que proporciona esta
solución es la creación de redes WAN entre los circuitos existentes a nivel de capa
2.
La idea de las VPN siempre se asocia con los conceptos de privacidad y
seguridad. El término VPN abarca conceptos muy amplios, la siguiente figura
ilustra algunos de éstos:
www.FreeLibros.com
592
REDES CISCO. CCNP a Fondo
© R A -M A
VPN tra d ic io n a le s
VPN
nivel 1
¡
VPN
,
X' 25
Tl/n
a
DSO
E l/n x DSO |
I
Frame-RelayJ
ATM
- VPN .
nlyel^ y
jt
CREE
IPsec
Redes V irtu a le s
En escénica esta figura muestra la evolución de la VPN y cómo éstas
abarcan un conjunto diferente de tecnologías dependiendo de cómo sean
desarrolladas o desplegadas.
Las VPN permiten el uso de infraestructura compartida ofrecida por un ISP
para implementar redes privadas. El uso de seguridad está sujeto a negociación, los
ISP ofrecen servicios adicionales tales como firewall para filtrar tráfico indeseado.
Desde un punto de vista de implementación de VPN existen dos tipos de
modelos:
1. Overlay VPN, o tradicionales, incluye tecnologías como X.25, FrameRelay, ATM (Asynchronous Transfer Mode) para VPN de capa 2 y túneles
GRE e IPsec para VPN de nivel 3.
2. Peer to peer VPN, son implementadas con ISP compartidos y las
infraestructuras son realizadas con ACL para separar a los distintos
clientes.
VPN tradicionales
Las VPN tradicionales han sido utilizadas durante mucho tiempo y se
basan en el modelo de capa 2 en el que el ISP ofrece una cantidad de circuitos
virtuales. Como muchas otras tecnologías de red las conexiones VPN van
evolucionando desde capa 1 hasta las capas superiores. El concepto de VPN
www.FreeLibros.com
©RA-M A
CAPÍTULO 25. MPLS
593
comenzó años atrás cuando se utilizaban circuitos TDM (Time-Division
Multiplex); la evolución fue constante hasta alcanzar la capa 2 y la capa 3.
Las implementaciones de VPN de capa 1 fueron ofrecidas por algunos ISP
como simples circuitos de capa 1. Esto incluye tecnologías como RDSI y también
los servicios DS como T I de 1544 Mbps o E l de 2048 Mbps. Otras tecnologías
como SONET o SDH también fueron implementadas posteriormente con el objeto
de ofrecer mayor velocidad.
El ISP implementaba la capa 1 y el cliente era el responsable de aplicar las
características necesarias de capa 2.
Las VPN de capa 2 tienen relación con tecnologías como X.25, FrameRelay, ATM, HDLC, SDLC, SMDS y otras. En este punto el ISP ofrece servicios
de capa 1 y capa 2 dejando los servicios de niveles superiores a discreción del
cliente. La siguiente figura muestra el clásico ejemplo de una VPN de capa 2:
La conectividad tradicional WAN conlleva parámetros de configuración
manual de capa 3 para opciones de enrutamiento a través de los circuitos WAN. Un
ejemplo son las opciones de broadcast en las configuraciones Frame-Relay para
permitir que las actualizaciones de enrutamiento se transmitan sin problemas.
www.FreeLibros.com
594
© RA-MA
REDES CISCO. CCNP a Fondo
VPN peer to peer
Las VPN peer to peer hacen que el ISP tenga un papel más activo en las
operaciones de enrutamiento de cada cliente. El ISP mantendrá información de
instancias de enrutamiento separadas dentro de su red. El router CE (Customer
Edge) comparte información sólo con el router PE (Provider Edge) a través del
circuito del ISP. Esta conexión e intercambio de información con el ISP facilita el
concepto de VPN peer to peer.
Esta evolución hace que la VPN no sólo transporte tráfico de capa 3 sino
que además sepa de qué tipo de tráfico se trata y sepa para qué utilizarlo. La
siguiente figura ilustra este concepto:
Incluso cuando el bucle local permanece igual, el sentido y escénica de la
red ha cambiado. El proveedor de servicios toma parte activa en la infraestructura
de enrutamiento. Una topología de malla extendida se pone en funcionamiento con
un sólo enlace hacia la red del proveedor. La red es ahora mucho más robusta
porque es una extensión de la red del ISP.
Ventajas de las VPN
Como tecnología de acceso avanzada ofrece múltiples posibilidades. Las
opciones para la conectividad se adaptan a los requisitos de cada empresa. Los
beneficios de las VPN son conocidos y además útiles para pequeñas y grandes
empresas.
www.FreeLibros.com
©RA-MA
CAPÍTULO 25. MPLS
595
Las VPN tradicionales son fáciles de implementar tanto del lado del ISP
como por el del cliente. El proveedor no participa en los procesos de enrutamiento.
Las VPN peer to peer proporcionan una solución óptima en los procesos de
enrutamiento empleando topologías de malla completa proporcionando
redundancias entre todos los sitios, sin necesidad de implementar cambios desde el
punto de vista del cliente.
Agregar sitios nuevos es tan simple como el agregado de nuevos routers e
interconectarlos a un nuevo bucle local. La configuración no requiere múltiples
circuitos para proporcionar capacidades de malla completa.
Desventajas de las VPN
El coste y las tareas administrativas asociadas en grandes empresas con las
topologías de malla completa pueden ser enormes. Para reducir el número de
circuitos virtuales requeridos se deben sacrificar posibles rutas redundantes.
Esto requiere un control administrativo permanente de los circuitos
virtuales para mantener la conectividad necesaria.
Las VPN tradicionales también tienen problemas de sobrecarga cuando se
utiliza IPsec o GRE. Los principales beneficios de las VPN peer to peer pueden ser
también su principal desventaja, como por ejemplo en la participación del
enrutamiento del cliente.
La información de enrutamiento de las distintas redes es redistribuida entre
el CE y el PE. Deben aplicarse filtros de enrutamiento en las interfaces de los
routers para proteger ambas partes de flujos de rutas no deseadas. El cliente debe
confiar en la capacidad del ISP para configurar y mantener la infraestructura de
enrutamiento.
En sitios críticos con routers redundantes y varias conexiones a distintos
ISP, se deben tener consideraciones tales como la diversificación de los circuitos
de manera que no todos éstos terminen en el mismo PE. El objetivo final es tratar
de eliminar en lo posible puntos comunes de fallos.
www.FreeLibros.com
596
REDES CISCO. CCNP a Fondo
© R A -M A
La siguiente figura muestra este concepto:
Circuito redundante
con un único CE
con un único PE
ISP
Circuito redundante
con varios en CE y PE
Como se ve en la figura es necesario que las rutas que son anunciadas por
un circuito no sean redistribuidas fuera del PE para que no regresen por el circuito
del CE impedir así posibles bucles de enrutamiento. Un simple filtrado en los
routers PE ofrecería una solución.
Otra posible desventaja es que los routers PE podrán ser un recurso
compartido, es decir, que pueden existir varios clientes compartiéndolo. Este punto
es negociable con el ISP.
Junto con la asignación de recursos el ISP tiene que ser capaz de manera
efectiva de tratar con muchos clientes que estarán utilizando direccionamientos
privados, esto hace que la manutención de tablas de enrutamiento para cada cliente
sea complicada e incluso más importante al repetirse los prefijos en muchos casos.
El filtrado excesivo de rutas debe llevarse a cabo con la debida precaución ya que
puede degradar la calidad del servicio.
www.FreeLibros.com
©RA-MA
CAPÍTULO 25. MPLS
597
MPLS VPN
MPLS VPN contiene lo mejor de las VPN tradicionales y de las VPN peer
to peer al mismo tiempo pero en un sólo producto. MPLS VPN son precisamente
implementaciones de VPN peer to peer. La información de enrutamiento de cada
cliente es guardada de manera segura y separada del resto de la información de los
otros clientes mediante los RD (Route Distinguisher), que hacen que cada cliente
sea único. El uso de los RD permite al ISP darle a cada cliente una separación
lógica del resto aunque no estén físicamente separados. La información específica
es actualizada por los propios protocolos de enrutamiento en instancias separadas
en el mismo RD.
La tabla creada por el protocolo de enrutamiento en el RD se llama VRF
(Virtual Routing and Forwarding). Básicamente se puede decir que es una instancia
de la tabla de enrutamiento.
Terminología de MPLS VPN
Muchas de las terminologías de MPLS VPN han sido explicadas
anteriormente, sin embargo el resumen y otros términos agregados son los
siguientes:
•
C network: red interna del cliente.
•
CE: router del cliente que se conecta al PE.
•
Label-Switched Path (LSP): es la ruta establecida para el uso de
etiquetas en los paquetes a través de la red P en el tránsito hacia un
destino en particular.
•
P network: red del proveedor de servicio.
•
P router: es el router MPLS en el core o backbone de la red y nunca
está de cara al cliente. No lleva rutas VPN.
•
PE router: es el router MPLS del ISP, contiene rutas VPN y es el
dispositivo que se conecta al router CE.
•
Penultimate Hop Pop (PHP): es el router P anterior al router P de
destino y que se encarga de quitar la etiqueta y entregar el paquete al
router PE.
•
PoP: punto de presencia del ISP.
www.FreeLibros.com
598
REDES CISCO. CCNP a Fondo
© R A -M A
•
Route Distinguisher (RD): es un identificador de 64 bits que se
antepone delante de la dirección IPv4 haciendo que ésta sea
globalmente única.
•
Route Target (RT): es un atributo que se asocia a las rutas VPNv4
BGP.
•
Virtual Routing and Forwarding table (VRF): es una instancia de
enrutamiento específica para un cliente.
Tipos de router en MPLS VPN
Arquitectura del router CE: desempeña un rol importante, es el
dispositivo del cliente que está ejecutando un IGP e intercambia rutas a los vecinos
descubiertos a través de cualquier protocolo, es decir que podrán intercambiar rutas
con el PE independientemente del protocolo que el cliente tenga configurado o
incluso con rutas estáticas.
El router CE no conoce el mecanismo MPLS y no participa en ningún
punto de su arquitectura, sencillamente envía y recibe información de enrutamiento
y la intercambia con el PE.
Arquitectura del router PE: es similar al típico PoP en la red del
proveedor en el modelo dedicado peer to peer. La mayor diferencia es que en esa
arquitectura está comprimida en un sólo dispositivo. Los routers PE son
dispositivos de gama alta como por ejemplo los routers Cisco 7200 VXR.
Cada cliente tiene asignado su propio RD y su tabla VRF dedicada para
mantener los procesos de enrutamiento dentro de la infraestructura del proveedor
de servicio. El enrutamiento dentro del backbone del ISP se ejecuta a través de otro
proceso de enrutamiento con las redes propias del proveedor. El PE es un router
que ejecuta diferentes instancias de protocolos de enrutamiento para mantener rutas
específicas del cliente y rutas dentro del core del ISP.
La VRF proporciona un aislamiento de las rutas del cliente, la información
que contienen debe ser intercambiada entre los diferentes routers PE. Debe
ejecutarse un protocolo de enrutamiento entre todos los routers PE para
intercambiar la información de enrutamiento del cliente sin involucrar a los
routers P.
BGP es el único protocolo que proporciona la escalabilidad y flexibilidad
necesarias para mantener el enrutamiento entre todos los PE de la red. Las
relaciones de vecindad de la red se configuran entre los routers PE para que puedan
www.FreeLibros.com
©RA-M A
CAPÍTULO 25. MPLS
599
intercambiar los prefijos de un cliente. La tabla de enrutamiento global en la red P
no necesita llevar ninguna de las redes del cliente.
Arquitectura del router P: forman el backbone de la red P. Éstos no
llevan rutas VPN y utilizan protocolos tales como IS-IS, OSPF o BGP; funcionan
únicamente sobre la red del proveedor y sólo poseen información de la red P en sus
tablas de enrutamiento. Interactúan con los routers PE para intercambiar tráfico
BGP y trasladar información de enrutamiento hacia los PE remotos. BGP es
generalmente el protocolo preferido en redes P debido a su la escalabilidad y
funcionalidad y no porque sea un requisito de MPLS.
Router Distinguishers
En los routers P se presenta el problema añadido de que muchos clientes
utilizarán direccionamiento privado, lo que provoca que muchos de éstos tengan
prefijos repetidos, por lo que existe una necesidad de mantener las rutas de los
clientes separadas y de manera individual. Lo que diferenciará estas redes es que
aunque tengan el mismo direccionamiento pertenecerán a interfaces diferentes.
Los RD permiten que los prefijos sean mantenidos de manera única, este
identificador es de 64 bits y se añade delante de la dirección IPv4. Estas
direcciones resultantes son direcciones VPNv4 que serán anunciadas entre routers
vecinos BGP en los routers PE. La implementación conocida como MPBGP
soporta muchas familias de direcciones distintas a IPv4. Éste crea una entidad de
92 bits conocida como dirección VPNv4.
Un IGP ejecutándose a través de un bucle local permite mover información
de enrutamiento entre los routers PE y CE. Esta información de enrutamiento es
redistribuida dentro de MPBGP, los prefijos se convierten entonces en prefijos
VPNv4. Los routers PE tienen relaciones de vecindad establecidas vía IBGP y
BGP, de manera que el intercambio de rutas es directo con los demás. Una vez que
el PE recibe información VPNv4 de su vecino él RD, es removido y la información
de las rutas es redistribuida dentro del IGP del cliente y pueden ser enviadas al
Router CE para propagarlas a través de la empresa.
Los valores del RD no tienen un significado especial o específico,
simplemente están diseñados para permitir que las estructuras de enrutamiento
puedan funcionar con otras aunque estén solapadas. Si todas las redes de los
clientes fueran diferentes nunca podría existir un problema de solapamiento.
www.FreeLibros.com
600
REDES CISCO. CCNP a Fondo
© R A -M A
Normalmente cada cliente tiene un sólo RD asignado pero existen casos en
los que éstos quieran ocultar información de enrutamiento entre departamentos u
otros motivos dentro de la red VPN MPLS; en estos casos habrá que utilizar
múltiples RD.
Route Targets
Para indicar que un sitio pertenece a muchas MPLS VPN hace falta un
método adecuado en el que un conjunto de identifícadores VPN puedan ser unidos
a unas rutas para indicar esa asociación. Un RD es el método adecuado para una
simple VPN; los RT (Route Targets) se crearon para participar en topologías VPN
más complejas.
Un RT es un atributo adicional que es aplicado a un prefijo IPv4 de BGP
para indicar asociación a una VPN. El RT es asociado a la ruta una vez que es
convertida a ruta VPNv4 por los routers PE. Los RT adjuntos a la ruta son
llamados export RT y se configuran independientemente para cada VRF en cada
uno de los PE. Los export RT identifican las VPN a las cuales los sitios asociados
en particular con una VRF pertenecen.
Los import RT son aquellos que especifican unas rutas asociadas en
particular con una VRF. Cuando las rutas VPNv4 se propagan a los router PE
vecinos, las rutas deben ser importadas dentro de una VRF en particular y deben
ser posteriormente seleccionadas esta función es propia de los import RT. Cada
VRF en un PE puede tener múltiples import RT identificando el conjunto de VPN
desde las cuales la VRF est,a aceptando rutas.
En los casos de topologías VPN con solapamientos los RT se utilizan para
identificar la asociación de la VPN y para además permitir más opciones en
escenarios más complejos.
Con esta implementación el CE anuncia rutas del PE a las que se les añade
un RD para crear una dirección única VPNv4. Estas rutas son agregadas a las VRF
apropiadas para la propagación hacia los PE remotos y redistribuidas a todos los
routers CE.
Flujo de paquetes en una red MPLS
Los siguientes pasos describen la secuencia de envío de los paquetes
MPLS de extremo a extremo, la figura posterior muestra el flujo de dichos
paquetes a través de una red MPLS:
www.FreeLibros.com
© R A -M A
CAPÍTULO 25. MPLS
601
1. Los routers PE reciben una actualización de IPv4 desde el router CE
normalmente a través de un IGP configurado comúnmente; estas rutas son
almacenadas en la tabla VRF correspondiente.
2.
Las rutas del cliente desde la VRF son soportadas como rutas VPNv4
dentro de la instancia de MPBGP y propagadas hacia otros routers PE. Para
llegar a dichas rutas VPNv4 los RD se añaden delante de las entradas de
ruta. Para ser exportadas los export RT son puestos también en esas rutas
para especificar la asociación con la VPN respectiva.
3.
Los routers PE que reciben las actualizaciones de MPBGP importan las
rutas VPN de entrada dentro de las correspondientes VRF, según los
valores especificados por los import RT que están asociados a esas rutas y
tablas VRF individuales.
4. Las rutas VPNv4 son instaladas en las tablas VRF y redistribuidas dentro
de la instancia IGP ejecutándose entre los routers CE y los PE para ser
propagadas a la red del cliente.
Actualizaciones
IPv4 vía IGP
Actualizaciones MPBGP
Actualizaciones
IPV4 vía IGP
Desde el punto de vista del cliente los CE no tienen conocimiento de la red
MPLS, las actualizaciones de enrutamiento son simplemente transportadas para
lograr la conectividad de extremo a extremo.
Envíos de paquetes en MPLS VPN
Los routers PE utilizan una pila de dos etiquetas para identificar los
paquetes VPN para enviarlos a través de la red P. Dicha pila de etiquetas es
añadida por el router P de entrada. La etiqueta superior en la pila será utilizada por
el LDP para atravesar la red P con el bit S en dicha etiqueta con un valor de 0.
La segunda etiqueta será asignada por el router PE de salida. El propósito
de dicha etiqueta es brindar la correspondiente información al router PE para enviar
ese tráfico. Esta etiqueta puede apuntar a una interfaz de salida o a una tabla VRF.
Si la etiqueta apunta a una interfaz de salida, se realiza una búsqueda de etiquetas
www.FreeLibros.com
602
© R A -M A
REDES CISCO. CCNP a Fondo
en el paquete VPN y si lo hace a una tabla VRF la búsqueda de etiquetas se realiza
para obtener la instancia VRF destino. Posteriormente se realiza una exploración en
la tabla de enrutamiento en la instancia de la VRF. El bit S en la segunda etiqueta
llevará un valor 1. Este bit es el llamado end o f stack, lo que indica que si su valor
es 0 hay más etiquetas en la pila. La última etiqueta en la pila de etiquetas, por lo
tanto, tendrá siempre el valor de este bit en 1.
La segunda etiqueta apuntará hacia una interfaz de salida cuando el router
CE sea el próximo salto en la ruta VPN. Esta misma etiqueta apuntará a una tabla
VRF para rutas VPN agregadas, rutas VPN hacia la interfaz nuil e interfaces VPN
directamente conectadas.
Los routers P llevan a cabo conmutación de etiquetas basándose solamente
en la primera etiqueta de la pila, la segunda etiqueta no es analizada. El PE de
salida lleva a cabo una conmutación de etiquetas basándose en la segunda etiqueta
debido a que la primera ya ha sido removida para enviar posteriormente el paquete
acorde a los parámetros correspondientes.
Resulta ineficiente para el PE de salida tener que tratar con dos etiquetas, el
uso de PHP permite que el router P final en el LSP remueva esa etiqueta liberando
de ese trabajo al router PE. Esto permite que el router PE lleve a cabo su función
utilizando la etiqueta VPN en la pila para que una vez eliminada la etiqueta se
inicie una búsqueda de enrutamiento IP y pueda ser enviado convenientemente.
www.FreeLibros.com
Capítulo 26
IPsec
INTRODUCCIÓN A IPsec
IPsec es un conjunto de características que protegen los datos IP cuando
éstos viajan desde una entidad a otra. Las localizaciones involucradas en la VPN
definen el tipo de VPN. Una localización podría ser un cliente final tal como un
PC, una pequeña oficina remota o una oficina remota más grande o datacenter, etc.,
la combinación de cualquiera de estas localizaciones determinará el tipo de VPN en
uso, por ejemplo una pequeña oficina SOHO (Small Office Home Office)
conectándose a la oficina principal podría ser una VPN site-to-site. Es importante
recordar que solamente IPsec puede proteger la capa de red, la capa IP y
superiores, transporte y usuario.
IPsec no puede brindar servicio a la capa de enlace. Si fuese necesaria la
protección de dicha capa, habrá que buscar entonces otro tipo de encriptación para
el enlace.
Las características o servicios de IPsec están implementados por una serie
de protocolos estándar. Es importante que la implementación de IPsec esté
fundamentada sobre estándares abiertos para que de esta manera permita
interoperabilidad entre diferentes fabricantes. Los protocolos procedentes de IPsec
no especifican una autenticación o encriptación en particular ni tampoco técnicas
de generación de claves o SÁ.
IPsec se basa en protocolos primarios que ayudan a implementar su
arquitectura global, como IKE, ESP y AH, los cuales se detallrán más adelante.
www.FreeLibros.com
604
REDES CISCO. CCNP a Fondo
© R A -M A
Es importante comprender que estos protocolos están basados en
estándares abiertos, IPsec los utiliza para autenticación, encriptación, generación de
llaves y establecimiento de asociaciones de seguridad. IPsec es utilizado para
proteger el flujo de los datos a través de una VPN, pero una VPN no
necesariamente tiene que requerir que estos contenidos estén protegidos. Una VPN
puede ser simplemente un túnel o un enlace entre dos puntos finales, por lo tanto la
cabecera o etiqueta es identificada como tal pero el contenido interno está
disponible para cualquiera que lo quiera inspeccionar entre dichos extremos
finales. Entonces una VPN IPsec puede ser considerada segura y protegida
mientras que otro tipo de VPN no comparte este tipo de características.
Características de IPsec
Las características de IPsec consisten en lo siguiente:
•
Confidencialidad de los datos
•
Integridad de los datos
•
Autenticación del origen de los datos
•
Anti-replay
Es importante comprender el significado de cada una de estas
características y los protocolos que las implementan.
La confidencialidad de los datos involucran los datos dentro de la VPN
privada de IPsec y entre los participantes de la VPN. Muchas de las VPN se
realizan a través de Internet, es decir, que muchos de los datos podrían ser
interceptados y examinados. Cualquier tipo de tráfico corre siempre el riesgo de ser
examinado por lo tanto no solamente debe verse a Internet con esa vulnerabilidad
sino también cualquier otra ruta posible.
Confidencialidad de los datos involucra la encriptación de los datos para
hacerlos ilegibles, los paquetes que son encriptados al ser interceptados por otras
personas no podrán ser leídos, solamente los podrá interpretar el receptor. El uso de
la encriptación implica la selección de un algoritmo de encriptación y un medio
para distribuir las llaves de encriptación involucradas.
La confidencialidad de los datos no es requerido en las VPN IPsec.
A menudo los paquetes viajan encriptados cuando pasan por una VPN pero
la confidencialidad es una característica opcional en IPsec.
www.FreeLibros.com
© R A -M A
CAPÍTULO 26. IPsec
605
La integridad de los datos es una garantía de que los datos no han sido
modificados o alterados durante el tránsito a través de la VPN IPsec.
Integridad de los datos en sí mismo no proporciona la integridad de los
datos. Típicamente utiliza un algoritmo hash para verificar si los datos dentro de un
paquete han sido modificados entre dos puntos finales. Los paquetes que han sido
identificados como dudosos no son aceptados.
La autenticación del origen de los datos valida el origen en la VPN IPsec.
Esta característica se realiza por cada uno de los extremos de la VPN para asegurar
que el otro extremo es exactamente quien debe ser, el que está conectado. Esta
característica es dependiente del servicio de integridad de datos, la autenticación
del origen de los datos no podría existir por sí sola.
Anti-replay asegura que los paquetes no están duplicados dentro de una
VPN, esto se lleva a cabo a través del número de secuencia de los paquetes y de un
sistema de ventanas deslizantes en el receptor. El número de secuencias es
comparado con la ventana deslizante para detectar paquetes que llegan más tarde,
dichos paquetes se consideran como duplicados y son eliminados. Como ocurre
con la confidencialidad de los datos, Anti-replay se considera como una
característica opcional.
PROTOCOLOS DE IPsec
Los tres protocolos principales utilizados por IPsec son los siguientes:
•
IKE (Internet Key Exchange)
•
ESP (Encapsulating Security Payload)
•
AH (Authentication Header)
Juntos estos tres protocolos ayudan a implementar su arquitectura global y
ofrecen las características mencionadas anteriormente. Cada VPN IPsec utiliza una
combinación de estos protocolos para proporcionar las características requeridas
por la VPN.
IKE
IKE (Internet Key Exchange) ofrece un marco para el intercambio de la
negociación de seguridad y llaves de autenticación. Existe una variedad de
opciones entre dos extremos IPsec. La negociación segura de estos parámetros
utilizada para establecer la VPN IPsec se lleva a cabo por IKE.
www.FreeLibros.com
606
© R A -M A
REDES CISCO. CCNP a Fondo
IKE también intercambia llaves utilizadas para los algoritmos de
encriptación simétrica dentro de VPN IPsec. Comparados con otros algoritmos de
encriptación los algoritmos simétricos tienden a ser más eficientes y fáciles de
implementar por hardware. La utilización de tales algoritmos requierén un material
de llaves apropiados, IKE proporciona los mecanismos de intercambio de dichas
llaves.
ESP
ESP (Encapsulating Security Payload) proporciona el marco para la
confidencialidad de los datos, integridad de los datos autenticación del origen de
los datos y opcionalmente características como Anti-replay.
ESP es el único protocolo de IPsec que proporciona encriptación de los
datos pero también puede proporcionar todas las otras características de IPsec.
Debido a esto último ESP es mayoritariamente utilizado en VPN IPsec hoy
en día. Los siguientes procesos de encriptación están disponibles en ESP:
•
DES (Data Encryption Standard) es un método de autenticación
muy antiguo que está bastante extendido.
•
3DES (Triple Data Encryption Standard) es un bloque
encriptado que utiliza tres veces DES.
•
AES (Advanced Encryption Standard) es uno de los algoritmos
de llaves simétricas más populares actualmente.
AH
AH (Authentication Header) proporciona el marco para la integridad de los
datos, autenticación del origen de los datos y características opcionales como antireplay. Confidencialidad de los datos no es proporcionada por AH.
AH se asegura que los datos no han sido modificados o interferidos pero no
esconde estos datos cuando están transitando. La utilización de AH de manera
solitaria ha caído en desuso en favor de ESP
Ambos, AH y ESP utilizan HMAC (Hash-based Message Authentication
Code) como chequeo para la autenticación e integridad. La siguiente tabla muestra
los algoritmos de hash de HMAC
www.FreeLibros.com
© RA-MA
CAPÍTULO 26. IPsec
Algoritmo Hash
Entrada
Salida
Utilizado
por IPsec
Message Digest 5 (MD5)
Variable
128 bits
128 bits
Secure Hash Algorithm
(SHA-1)
Variable
160 bits
Primeros 96
bits
607
Ambos MD5 y SHA-1 utilizan una llave secreta compartida para el cálculo
de los valores de autenticación del mensaje.
La fuerza criptográfica de HMAC depende de las propiedades de la
función de hash subyaciente. MD5 y SHA-1 toman datos de entradas de longitud
variable y crean un hash de longitud fija, la diferencia es el tamaño y la fuerza del
hash que ha sido creado. Aunque IPsec utiliza solamente los primeros 96 bits de los
160 del hash de SHA-1, es considerado más seguro que MD5.
MODOS DE IPsec
IPsec ofrece dos modos de configuración diferentes dependiendo de hasta
dónde se quieran proteger los datos.
• Modo Transporte, la cabecera IPsec es insertada justo después de la
cabecera IP, de manera que la cabecera IP original está expuesta y no es
protegida. Los datos en la capa de transporte y superiores son los que se
benefician de IPsec.
• Modo Túnel, en este caso tanto la cabecera IP original como el resto de
datos del paquete son protegidos. Este modo genera una nueva cabecera IP
que contiene las direcciones IP de los terminadorés IPsec (por ejemplo
concentradores VPN o router). De esta manera las direcciones IP expuestas
son las de los terminadores pero no la de los host que están detrás de ellos.
www.FreeLibros.com
608
© R A -M A
REDES CISCO. CCNP a Fondo
‘Zona no
IPsec
T ra m a
g e n é r ic a
Cabecera Cabecera Cabeosra
Capa 4
C apa 2
Capa 3
P a q u e te
IP
C abecera Cabecera Cabecera 3 t>atw V TCP/UDP
IP
Capa 2
M odo
T ra n sp o rte
M odo
Túnel
Cabecera Cabecera
Capa 2
IP
Cabecera
Capa 2
N ueva ¡1
C a b IP M
CABECERAS IPsec
Tanto AH, reconocido con el número de protocolo IP 51, como ESP,
protocolo IP número 50, son implementados mediante la adición de cabeceras al
paquete IP original. La VPN puede usar uno de los dos o ambos, aunque hay que
recordar que si se utiliza ESP el uso adicional de AH no conlleva un mayor
beneficio ya que ESP implementa por sí mismo todas las funcionalidades de IPsec.
AUTENTICACIÓN DE VECINOS
Con la autenticación del vecino se garantiza que el extremo IPsec es quien
realmente se supone que ha de ser. Existen cinco métodos para autenticar al vecino:
•
Usuario y contraseña, donde un usuario y su respectiva
contraseña son definidos en ambos extremos. No es una solución
muy segura ya que esos datos son almacenados localmente y son
susceptibles de robo.
•
Contraseña de un sólo uso (OTP), este método es bueno para
establecer sesiones de una en una, si alguien descubre una
contraseña utilizada previamente no le servirá de nada.
www.FreeLibros.com
© RA-MA
CAPÍTULO 26. IPsec
609
•
Sistemas biométricos, analizan una parte de las características del
ser humano, por ejemplo las huellas digitales, la retina, etc. Es un
método muy seguro ya que duplicar dichas características sería
prácticamente imposible.
•
Claves pre compartidas, similar al método de usuario y
contraseña, pero en este caso se utiliza un valor configurable en
ambos extremos.
•
Certificados digitales, este método es muy común y cada vez
gana más terreno de utilización. Un certificado digital es emitido
para cada dispositivo por parte de una CA y será válido solamente
en el dispositivo para el que ha sido emitido.
INTERNET KEY EXCHANGE
Una conexión IPsec entre dos dispositivos puede ser establecida
configurando manualmente llaves de encriptación en ambos extremos, pero esto no
es óptimo ni escalable. La solución es usar una arquitectura IKE.
Protocolos IKE
IKE es un método para intercambiar de manera dinámica parámetros y
claves IPsec para que se puedan establecer las SA. Las SA o asociaciones de
seguridad son acuerdos de parámetros IPsec entre dos peers.
IKE usa los siguientes protocolos:
•
ISAKMP, Internet Security Association and Key Management
Protocol, que define cómo establecer, negociar, modificar y borrar
las SA.
•
Oakley, utiliza el algoritmo DH (Diffie-Hellman) para gestionar el
intercambio de claves sobre SA.
Fases IKE
El protocolo IKE puede dividirse en dos partes que crean una
comunicación segura entre los dos extremos IPsec. Aunque son dos fases primarias
y obligatorias, existe también una tercera opcional:
www.FreeLibros.com
610
© R A -M A
REDES CISCO. CCNP a Fondo
•
Fase 1. Es obligatoria. Una SA bidireccional es establecida entre
los dos peers. Puede ser establecida usando dos modos, modo
main o modo agresivo, los cuales serán vistos posteriormente.
•
Fase 1.5. Es opcional. Proporciona una capa adicional de
autenticación llamada Xauth o autenticación extendida, cuya
finalidad es validar al usuario que va a hacer uso de la conexión
segura.
•
Fase 2. Es obligatoria. Se establecen SA unidireccionales entre los
peers usando los parámetros acordados en la fase 1. Durante esta
fase se utiliza el modo quick.
Modos IKE
Modo main. Consiste en el intercambio de seis mensajes entre los peers,
que pueden simplificarse en estos tres conceptos:
•
Parámetros IPsec y políticas de seguridad. El iniciador envía una o más
propuestas y el vecino selecciona la apropiada.
•
Intercambio de llaves públicas Diffie-Hellman. Son enviadas entre los dos
peers.
•
Autenticación de la sesión ISAKMP. Cada extremo es autenticado por el
otro.
Modo agresivo. Consiste en el intercambio de tres mensajes entre los
peers:
•
El iniciador envía todos los datos, incluyendo parámetros IPsec, políticas
de seguridad y llaves públicas DH.
•
El vecino autentica el paquete y envía una propuesta de parámetros,
material clave y una identificación.
•
El iniciador autentica el paquete.
Modo rápido. Se utiliza durante la Fase 2 y su negociación está protegida
por la SA estipulada en la Fase 1. Negocia las SA utilizadas para encriptar datos a
través de la conexión IPsec. También gestiona el intercambio de llaves para esas
SA.
www.FreeLibros.com
©RA-M A
CAPÍTULO 26. IPsec
611
Otras funciones IKE
Además de intercambiar llaves y parámetros IPsec, IKE puede realizar las
siguientes funciones:
•
Dead Peer Detection (DPD). Es un mecanismo que envía helio de manera
periódica entre los peers para detectar fallos.
•
NAT transversal. Para que PAT pueda funcionar necesita obtener
información de puertos que de otro modo no podría leer al estar
encriptados cuando se utiliza IPsec. Insertando una cabecera UDP antes de
la cabecera ESP se permite que el router pueda mantener la tabla PAT,
como aparece en la siguiente figura:
PAT
Red
Pública
Paquete IP
original
i
Cabecera- Cab IP
Capa 2 Externa f
NAT
Cabecera
Transversal
Capa 2
Cab IP
Externa
Cabecera
UDP
•
Modo Configuration. Centraliza las configuraciones que han de ser
enviadas a los clientes. Cisco Easy VPN es un claro ejemplo de gestión
centralizada.
•
Xauth, IKE extended authentication. Autentica al usuario que hará uso del
túnel seguro para verificar que es quien dice ser.
ALGORITMOS DE ENCRIPTACIÓN
La encriptación no es más que la aplicación de un algoritmo matemático y
una llave a una serie de datos para hacerlos ilegibles a todos excepto a quien pueda
desencriptarlos.
www.FreeLibros.com
612
© R A -M A
REDES CISCO. CCNP a Fondo
Encriptación simétrica
Estos algoritmos se basan en el uso de u
Download