UNIVERSIDAD VERACRUZANA

Transcripción

1 UNIVERSIDAD VERACRUZANA FACULTAD DE INGENIERÍA EN ELECTRÓNICA Y COMUNICACIONES MANUAL DE PRÁCTICAS AVANZADAS DE ENRUTAMIENTO Y CONMUTACIÓN TRABAJO PRÁCTICO TÉCNICO QUE PARA OBTENER EL TÍTULO DE INGENIERO EN ELECTRÓNICA Y COMUNICACIONES PRESENTA ENRIQUE HIDALGO PEÑA DIRECTOR: ING. CARLOS RODRÍGUEZ FLORES POZA RICA DE HIDALGO, VERACRUZ JULIO DE 2007

2 CONTENIDO CAPÍTULO I INTRODUCCIÓN Justificación Objetivos Características y Funciones Esenciales... 2 CAPÍTULO II: DIRECCIONES IP, SUBREDES Y ESCALABILIDAD DE DIRECCIONES Direcciones IP Clases de direcciones IP Subredes Cómo establecer la máscara de subred VLSM Uso de la máscara de subred de longitud variable (VLSM) Introducción a NAT y PAT Características de NAT y PAT Configuración para Traducción de Direcciones de Red (NAT) Configuración para Traducción de Direcciones de Puerto (PAT) Protocolo de Configuración Dinámica de Hosts (DHCP) Configuración de DHCP CAPÍTULO III ENRUTADORES Y PROTOCOLOS DE ENRUTAMIENTO Enrutadores y su Sistema Operativo de Interconexión de Redes (IOS) Protocolo de Información de Enrutamiento (RIP) Mensajes RIP Configuración de RIP Protocolo de Enrutamiento de Gateway Interior (IGRP) Protocolo de Enrutamiento de Gateway Interior Mejorado (EIGRP) Configuración de IGRP y EIGRP Protocolo Primero la Ruta Libre más Corta (OSPF) i

3 3.6 Listas de Control de Acceso (ACL) Máscara Wildcard Tipos de Listas de Control de Acceso Configuración de OSPF con ACL CAPÍTULO IV CONMUTADORES Conmutadores Capa de acceso y conmutadores de capa de acceso Capa de distribución y conmutadores de capa de distribución Capa de Núcleo y Conmutadores de capa de núcleo Protocolo Spanning-Tree (STP) Operación de Spanning-Tree Enlaces Troncales y LAN Virtuales (VLAN) Redes de Área Local Virtuales Enlaces troncales Protocolo de Enlace Troncal de VLAN (VTP) Enrutamiento entre VLAN Implementación del Enrutamiento entre VLAN CAPÍTULO V TECNOLOGÍAS WAN Protocolo Punto a Punto Encapsulamiento en enlaces seriales Arquitectura PPP Sesiones PPP Autenticación PPP Configuración de un enlace con PPP y CHAP Red Digital de Servicios Integrados Canales ISDN Acceso ISDN Frame Relay Descripción de la Tecnología Frame Relay ii

4 5.3.2 Terminología de Frame Relay Topologías Interfaz de Administración Local Configuración de Enlaces con Frame Relay Desafío de habilidades de Networking Capítulo VI APORTACIONES AL DESARROLLO REFERENCIAS SOFTWARE DE PRUEBA ANEXOS A Archivos de configuración del Desafío de Habilidades de Networking B Recuperación de Imagen del IOS en un router Cisco 2620 / 2621 Series C Recuperación de la imagen IOS de un Switch Catalyst D Lista de Acrónimos usados y su traducción al español iii

5 CAPÍTULO I INTRODUCCIÓN Una de las áreas más importantes de las Telecomunicaciones es la de las Redes de Computadoras y es una de las que han cambiando drásticamente y en muy poco tiempo debido al impacto que ha tenido la implementación de la Internet que en pocos años ha alcanzado niveles de evolución impresionantes, lo mismo que las redes de área local (LAN) y de área amplia (WAN) de las que, por supuesto, surge Internet. Al hablar de los principios que dan lugar a las redes de computadoras se deben tener en cuenta dos tecnologías fundamentales en este ámbito: el Enrutamiento y la Conmutación, que son básicamente quienes permiten que las redes intercambien datos de manera exitosa. Aunado a esas dos tecnologías hay que hacer mención también del direccionamiento IP, de la división en subredes, y de la escalabilidad de direccionamiento IP a través del Protocolo de Configuración Dinámica de Hosts (DHCP) que ayuda a facilitar la administración de direcciones, y las Traducciones de Direcciones de Red (NAT) y de Puerto (PAT) con lo cual se logra direccionar redes privadas hacia redes públicas. Por último, y sin restarles importancia, quedan las tecnologías de Red de Área Amplia, que nos permiten interconectar redes LAN, según los propósitos y necesidades de las empresas. 1.1 Justificación La justificación del presente manual recae en el hecho de que las prácticas de laboratorio contenidas en la currícula de la Academia de Cisco se refieren de manera escueta al tema que se está estudiando en el capítulo que se encuentra leyendo el estudiante. Debido a eso, conforme se va avanzando en el estudio de los temas subsecuentes se corre el riesgo de que el conocimiento obtenido de los temas anteriores quede rezagado, lo cual hace que las habilidades requeridas no se desarrollen de manera óptima para alcanzar el nivel necesario para presentar el examen de Certificación. Dentro del contenido de la currícula existen actividades de laboratorio que no ilustran de manera amplia el tema que las refiere; es por eso que este manual está enfocado a la práctica, y presenta una alternativa para aprender sobre estas tecnologías para complementar el aprendizaje obtenido por otros medios, ya sean de manera autodidacta, en la escuela o en cursos de capacitación; y en un momento dado poder profundizar de manera avanzada en el conocimiento de estos temas, que resulta tan importante para las personas que les interesa desarrollarse profesionalmente en el área de las Tecnologías de la Información. 1

6 1.2 Objetivos El presente manual tiene como objetivos afianzar y ampliar el conocimiento obtenido por los alumnos del Programa Cisco Networking Academy de la FIEC, UV para desarrollar las habilidades necesarias al presentar el examen de Certificación CCNA. Mejorar las aptitudes prácticas de los estudiantes de esta Academia al ofrecer nuevas actividades de laboratorio que interrelacionan los temas vistos en clase y en los laboratorios del curso. Servir como referencia a los estudiantes que no pertenecen a la Academia de Cisco pero que tengan nociones básicas de redes y que desean profundizar de manera autodidacta sobre las Tecnologías de la Información, Conmutación y Enrutamiento. Dar mayor uso al equipo de laboratorio de Cisco existente en la Facultad. 1.3 Características y Funciones Esenciales La función de este manual es primordialmente reforzar la destreza práctica de los alumnos que sean candidatos a la Certificación CCNA de Cisco Systems, ofrecer una alternativa para prepararse y tiene como finalidad aumentar la posibilidad de los sustentantes de aprobar el examen en la medida en que sus habilidades se incrementen con las actividades que aquí se proponen. Este manual, por lo tanto, presenta ejercicios prácticos resueltos donde además se explica detalladamente cada respuesta. La forma en que se proveen los ejercicios tiene un orden lógico de aprendizaje que permite adquirir, desarrollar y perfeccionar las habilidades de las que hemos estado haciendo mención en los apartados anteriores. Además al final del manual se presenta un ejercicio sin respuestas para que los lectores demuestren sus habilidades. Las ubicaciones de las redes son ciudades de Veracruz, en algunos casos, o escuelas. Esto es con la intención de ofrecer un contexto más real al escenario de los ejercicios. De acuerdo con lo anteriormente dicho, es deseable que el lector posea conocimientos de básicos a medios sobre el diseño, implementación, mantenimiento y operación de Redes, así como de configuración de equipos Cisco (especialmente Routers 2600 Series y Switches Catalyst 2900 Series), por lo que se encontrará con que algunas partes de las actividades prácticas no tienen referencia dentro de este manual. Así, se espera que el mismo se encuentre como una herramienta útil en la complementación y profundización de conocimientos en el campo de las Redes. 2

7 3

8 CAPÍTULO II: DIRECCIONES IP, SUBREDES Y ESCALABILIDAD DE DIRECCIONES. 2.1 Direcciones IP Cuando se requiere que dos dispositivos se comuniquen entre sí dentro de una red, es necesario que se puedan localizar e identificar entre sí. Para ello se les asigna una dirección que identifique a cada dispositivo dentro de la red. Todos los dispositivos de red cuentan también con una dirección exclusiva, llamada dirección MAC o dirección física, la cual es asignada por el fabricante de la tarjeta de interfaz de red (NIC). La dirección IP es una secuencia de unos y ceros binarios y tiene una longitud de 32 bits. Debido a que es muy difícil manejar la dirección IP en su formato binario, generalmente se presenta en forma de cuatro números decimales separados por puntos. Cada número decimal es conocido como octeto, debido a que siempre es el equivalente de un número binario de ocho bits. Además, de esta forma es más fácil comprender los patrones numéricos y así se evitan los errores por transposición Clases de direcciones IP Existen tipos diferentes de direcciones IP, para clasificarlas según sus tamaños, los cuales se enuncian a continuación: Clase A: Se usa para admitir redes de tamaño extremadamente grande, con más de 16 millones de hosts. Estas direcciones utilizan sólo el primer octeto para indicar la porción de red. Se identifican porque el primer bit del primer octeto es siempre 0, lo cual da un rango de entre 0 y 127, estos dos números quedan reservados. La dirección se usa para pruebas loopback. Así, todas las direcciones que comiencen con 1 y hasta 126 son de clase A. Clase B: Este tipo de direcciones soporta redes de tamaño moderado a grande. Se usan los primeros dos octetos para identificar la red. Los dos bits más significativos siempre son 10 binario y su rango es de 128 a 191. Clase C: Esta clase de dirección proporciona un espacio de direccionamiento de 254 hosts. Comienza siempre con el binario 110 y su rango es de 192 a 223. Clase D: Esta clase se creó con la finalidad de permitir multicast, así una sola estación puede transmitir simultáneamente una sola corriente de datos a múltiples 4

9 receptores. Los primeros bits de este tipo de dirección siempre son 1110 binario, lo que proporciona un rango de 224 y 239. Clase E: Esta clase de direcciones se definió y reservó para uso en las investigaciones de la Fuerza de Tareas de Ingeniería de Internet (IETF) y no se emiten para su uso en Internet. Sus primeros cuatro bits son todos unos y su rango es de 240 a 255. La figura 2.1 muestra la estructura de las direcciones según su clase. Fig. 2.1 Distribución de las porciones de red y host en las direcciones IP según sus clases. 2.2 Subredes Para crear la estructura de subred, los bits de host se deben reasignar como bits de subred. Este proceso es a veces denominado "pedir bits prestados". El punto de inicio de este proceso se encuentra siempre en el bit de host del extremo izquierdo, aquel que se encuentra más cerca del octeto de red. Las direcciones IP incluyen la porción de red clase A, clase B o clase C además de un campo de subred y un campo de host. Ambos campos se crean a partir de la porción de host original de la dirección IP. Esto se hace mediante la reasignación de bits de la parte de host a la parte original de red de la dirección. La capacidad de dividir la porción de host original de la dirección en nuevas subredes y campos de host ofrece flexibilidad de direccionamiento al administrador 5

10 de la red. Además de contar con flexibilidad, la división en subredes permite que el administrador de la red brinde contención de broadcast y seguridad de bajo nivel en la LAN debido a que el acceso a las otras subredes está disponible solamente a través de los servicios de un enrutador. 6

11 2.2.1 Cómo establecer la máscara de subred La selección del número de bits a utilizar en el proceso de división en subredes dependerá del número máximo de hosts que se requiere por subred. La máscara de subred da al router la información necesaria para determinar en qué red y subred se encuentra un host determinado y se crea mediante el uso de unos binarios en los bits de red. Los bits de subred se determinan mediante la suma de los valores de las posiciones donde se colocaron estos bits. Si se pidieron prestados tres bits, la máscara para direcciones de clase C sería Esta máscara se puede representar con una barra inclinada seguida por el número de bits que se tomaron prestados del campo de host, por ejemplo /27. Para determinar el número de bits que se deberán utilizar, el diseñador de redes calcula cuántos hosts necesita la subred más grande y el número de subredes necesarias. Como ejemplo, la red requiere de 6 subredes con 25 usuarios cada una. El número de subredes que se pueden usar es igual a dos a la potencia del número de bits asignados a subred, menos dos. La razón de restar dos es por las direcciones reservadas de ID de red y la dirección de broadcast. (2 potencia de bits prestados ) 2 = subredes utilizables (2 3 ) 2 = 6 El número de hosts utilizables = dos elevado a la potencia de los bits restantes, menos dos (direcciones reservadas para el ID de subred y el broadcast de subred) (2 potencia de los bits restantes del host ) 2 = hosts utilizables (2 5 ) 2 = 30 El tomar prestados el número adecuado de bits para obtener un número determinado de subredes y de hosts por subred puede generar el desperdicio de direcciones válidas en algunas subredes. La habilidad de usar estas direcciones no la proporciona un enrutamiento con distinción de clase. Sin embargo, el enrutamiento sin distinción de clase permite el uso de estas direcciones. 7

12 2.3 VLSM A medida que las subredes IP han crecido, los administradores han buscado formas de utilizar su espacio de direccionamiento con más eficiencia. A continuación se presenta una técnica que se denomina VLSM (Variable Lenght Subnet Mask o Máscara de Subred de Longitud Variable). Con VLSM, un administrador de red puede usar una máscara larga en las redes con pocos hosts, y una máscara corta en las subredes con muchos hosts. Para poder implementarlo, un administrador de red debe usar un protocolo de enrutamiento que brinde soporte para él, como RIPv2, OSPF, o EIGRP. VLSM permite que una organización utilice más de una máscara de subred dentro del mismo espacio de direccionamiento de red. La implementación de VLSM maximiza la eficiencia del direccionamiento y con frecuencia se conoce como división de subredes en subredes. Un protocolo de enrutamiento que admite VLSM le confiere al administrador de red la libertad para usar distintas máscaras de subred para redes que se encuentran dentro de un sistema autónomo, pudiendo usar una máscara de 30 bits para las conexiones de punto a punto, una máscara de 24 bits para las redes de usuario e incluso una máscara de 22 bits para las redes con hasta 1000 usuarios. En el pasado, se suponía que la primera y la última subred no debían utilizarse. El uso de la primera subred, conocida como la subred cero, no se recomendaba debido a la confusión que podría producirse si una red y una subred tuvieran la misma dirección. Este concepto también se aplicaba al uso de la última subred, conocida como la subred de unos. Con la evolución de las tecnologías de red y el agotamiento de las direcciones IP, el uso de la primera y la última subred se ha convertido en una práctica aceptable si se utilizan junto con VLSM. Los routers Cisco con la versión 12.0 o posterior del IOS Cisco, utilizan la subred cero por defecto. Además VLSM promueve la unificación o el resumen de rutas. El resumen de ruta o la súper red, sólo es posible si los routers de una red utilizan un protocolo de enrutamiento sin clase, como por ejemplo OSPF o EIGRP. Estos protocolos llevan un prefijo que consiste en una dirección IP de 32 bits y una máscara de bits en las actualizaciones de enrutamiento. VLSM aumenta la flexibilidad del resumen de ruta porque utiliza los bits de mayor peso comunes a la izquierda, aun cuando las redes no sean contiguas. Siempre hay que recordar que es importante diseñar un esquema de direccionamiento que permita el crecimiento y no implique el desperdicio de direcciones. Con el siguiente ejercicio se analiza la manera de usar VLSM para evitar el desperdicio de direcciones al asignar subredes y cómo calcular el resumen de ruta. 8

13 2.3.1 Uso de la máscara de subred de longitud variable (VLSM). Situación: Una empresa acaba de recibir la dirección IP de clase C /24 y le han pedido que asigne ese espacio de direcciones sin desperdicios, para lo cual usted decide recurrir al uso de VLSM para poder cumplir el objetivo. La compañía tiene cuatro oficinas ubicadas en Poza Rica, Tampico, Veracruz y Xalapa. En Poza Rica se requiere que haya 28 hosts; en Tampico, 10; en Veracruz, 10 y en Xalapa 12, como se indica en la figura 2.2. Fig. 2.2 Red Corporativa en la que se habrá de aplicar la distribución de direcciones IP mediante VLSM. Objetivo: Aplicar la técnica de VLSM para asignar eficientemente el espacio de direccionamiento de la dirección IP Clase C /24. Calcular la dirección del Resumen de Ruta. 9

14 Paso 1 Ordenar de mayor a menor los requerimientos de espacio de las subredes y definir cuántos bits se usarán para representar las direcciones de host. Poza Rica: 28 hosts 5 bits (Ya que 2 5 =32). Xalapa: 12 hosts 4 bits (Ya que 2 4 =16). Tampico: 10 hosts 4 bits (Ya que 2 4 =16). Veracruz: 10 hosts 4 bits (Ya que 2 4 =16). Al asignar subredes con VLSM es necesario comenzar por la subred que tendrá mayor número de hosts y seguir en orden descendente. Así, las demás subredes quedarán con espacio suficiente. Paso 2 Asignar la primera subred a aquella que requiera mayor espacio. En este caso, la subred Poza_Rica es la que requiere mayor espacio, al tener una demanda de 28 hosts. Para este caso, como usted utiliza cinco bits para representar la subred le permite tener hasta 30 direcciones utilizables (recuerde que la primera y la última no se usan), siendo idóneo para la subred que se está asignando. La dirección de red /24, queda ahora como /27, ya que como sólo se usan 5 bits de la porción de hosts, nos quedan tres para la porción de red, y el prefijo de máscara de subred pasa de /24 a /27 y genera ocho subredes del mismo tamaño (30 hosts) revise la tabla 2.1: /24 Nuevo Prefijo de Red ID de Subred Subredes Rango de direcciones para la subred / (Dirección de red) (Dirección de Broadcast) Tabla 2.1 Aplicación de la máscara /27 a

15 Paso 3 Documentar la subred. Lo siguiente que debe hacer es tomar la subred 0 y asignarla a Poza Rica, y anotar su dirección de red y su rango útil de direcciones como se muestra en la tabla 2.2. Poza Rica Dirección de Red Máscara de Subred Rango útil de direccionamiento a Tabla 2.2 Espacio de direccionamiento de la Subred Poza Rica Paso 4 Continuar asignando las subredes de acuerdo a sus requerimientos de espacio. La siguiente subred en tamaño es Xalapa que requiere 12 hosts y como se estableció antes, cuatro bits representarán a los hosts. Proceda a tomar la siguiente subred libre de la tabla anterior. Cabe mencionar que el espacio de direcciones restante va a ser dividido en 14 subredes de 16 hosts cada una, por lo que no se anotarán todas, sólo la que esté asignando y las siguientes dos y dando continuidad a los ID de red. La tabla 2.3 muestra la nueva disposición del espacio de direcciones. Nuevo Prefijo de Red ID de Subred Subredes Rango de direcciones para la subred / (Dirección de red) (Dirección de Broadcast) Tabla 2.3 Reasignación del espacio de direcciones con máscara /28 De nueva cuenta, se documenta esta subred (Tabla 2.4). Xalapa Dirección de Red Máscara de Subred Rango útil de direccionamiento hasta

16 Tabla 2.4 Espacio de direcciones de la subred Xalapa Continúe con la siguiente subred, que podría ser Tampico, o bien, Veracruz, ya que ambas requieren 10 hosts, y usarán cuatro bits para representar a los hosts. Como son del mismo tamaño que Xalapa y ya se anotaron en la tabla correspondiente, sólo falta documentar ambas subredes. Antes de documentar enliste las nuevas subredes, como lo ha venido haciendo anteriormente (Tabla 2.5). Nuevo Prefijo de Red ID de Subred Subredes Rango de direcciones para la subred / (Dirección de red) (Dirección de Broadcast) Tabla 2.5 Direccionamiento a partir de la tercera subred generada Documente la subred de Tampico, vea la tabla 2.6. Tampico Dirección de Red Máscara de Subred Rango útil de direccionamiento hasta Tabla 2.6 Espacio de direcciones de la subred Tampico Repita para la subred de Veracruz (Tabla 2.7). Nuevo Prefijo de Red ID de Subred Subredes Rango de direcciones para la subred / (Dirección de red) (Dirección de Broadcast) Tabla 2.7 Direccionamiento a partir de la cuarta subred generada 12

17 Documente la subred de Veracruz (Tabla 2.8). Veracruz Dirección de Red Máscara de Subred Rango útil de direccionamiento hasta Tabla 2.8 Espacio de direcciones para la subred Veracruz Paso 5 Asignar las subredes correspondientes a los enlaces punto a punto. Para comenzar a asignar subredes a los enlaces, los cuales sólo requieren dos bits en la porción de host, tome nuevamente la última subred libre, que en este caso es la /24. Como sólo se usarán dos bits, cada subred tendrá espacio para cuatro direcciones únicamente (2 2 =4), y el nuevo prefijo de red será /30. Se necesitan tres subredes, debido a que existen tres enlaces. Anote cómo queda el nuevo espacio de direcciones (Tabla 2.9). Nuevo Prefijo de Red ID de Subred Subredes Rango de direcciones para la subred / (Dirección de red) (Dirección de Broadcast) Nuevo Prefijo de Red ID de Subred Subredes Rango de direcciones para la subred / (Dirección de red) (Dirección de Broadcast) Nuevo Prefijo de Red ID de Subred Subredes Rango de direcciones para la subred / (Dirección de red) (Dirección de Broadcast) 13

18 Tabla 2.9 Asignación de subredes con máscara /30 Ahora sólo resta documentar las subredes de los enlaces. El enlace Poza Rica Tampico es asignado según la tabla 2.10: Enlace Poza Rica Tampico Dirección de Red Máscara de Subred Rango útil de direccionamiento a Tabla 2.10 Espacio de direcciones para el enlace Poza Rica - Tampico La tabla 2.11 muestra la asignación para el enlace Poza Rica Veracruz: Enlace Poza Rica Veracruz Dirección de Red Máscara de Subred Rango útil de direccionamiento a Tabla 2.11 Espacio de direcciones del enlace Poza Rica - Veracruz Finalmente, el enlace entre Veracruz y Xalapa se establece según se muestra en la tabla Enlace Veracruz Xalapa Dirección de Máscara de Rango útil de Red Subred direccionamiento a Tabla 2.12 Espacio de direcciones del enlace Veracruz - Xalapa Paso 6 Calcular la dirección de la red que será publicada como resumen de ruta. Para esto, sólo se deben convertir todas las direcciones de red a binario y revisar todos los bits más significativos que tienen en común las direcciones. Cuando un bit no sea común, se cuentan cuántos bits hay desde la izquierda y (hasta el 14

19 último bit común) se toma como prefijo de red para el resumen. Todos los bits hacia la derecha se sustituyen por ceros y la dirección se convierte a decimal de nuevo. Observe la tabla 2.13 y note que de izquierda a derecha hay 25 bits comunes. Primer Octeto Segundo Tercer Octeto Cuarto Octeto 195 Octeto X IP Decimal Tabla 2.13 Cálculo del resumen de ruta De esta forma, el resumen de ruta queda como / Introducción a NAT y PAT La traducción de direcciones de red (NAT) está diseñada para conservar las direcciones IP y permitir que las redes utilicen direcciones IP privadas en las redes internas. Estas direcciones privadas e internas se convierten en direcciones públicas enrutables. Esto se logra mediante el uso de dispositivos que ejecutan un software NAT especializado, el cual puede aumentar la privacidad de la red al esconder las direcciones IP internas. Cuando un host dentro de una red stub (es decir, que sólo tiene una conexión con su red vecina) desea hacer una transmisión a un host en el exterior, envía el paquete al router del gateway fronterizo, el cual realiza el proceso de NAT, traduciendo la dirección privada interna de un host a una dirección pública, enrutable y externa. En la terminología de NAT, la red interna es el conjunto de redes que están sujetos a traducción. La red externa se refiere a todas las otras direcciones. Dentro de las prácticas, se emplearán los siguientes términos, y que se deben dominar ampliamente. Dirección local interna: la dirección IP asignada al host en la red interna. En general, la dirección no es una dirección IP asignada por el ISP. Es probable que esta dirección sea una dirección privada de RFC Dirección global interna: una dirección IP legítima asignada por InterNIC o un proveedor de servicios que representa una o más direcciones IP locales internas al mundo exterior. 15

20 Dirección local externa: la dirección IP de un host externo, como la conocen los hosts en la red interna. Dirección global externa: la dirección IP asignada a un host en la red externa. El dueño del host asigna esta dirección. RFC 1918 aparta los tres siguientes bloques de direcciones IP privadas (vease la tabla 2.14): Clase Intervalo de direcciones internas Prefijo CIDR según RFC-1918 A /8 B /12 C /16 Tabla 2.14 Direcciones Privadas. Estas direcciones son sólo para el uso particular de la red interna. Los paquetes que contienen a estas direcciones no se enrutan a la Internet. Los ISP por lo general configuran los routers fronterizos para impedir que el tráfico direccionado de forma privada se envíe al exterior. Antes del desarrollo de NAT, un host con dirección privada no podía acceder a la Internet. Con NAT,las empresas individuales pueden direccionar algunos o todos sus hosts con direcciones privadas y utilizar NAT para brindar acceso a la Internet Características de NAT y PAT Las traducciones NAT se pueden usar para una variedad de propósitos y pueden asignarse de manera dinámica o estática. NAT estática está diseñada para permitir que cada dirección local se asocie a su correspondiente dirección global. Esto resulta particularmente útil para los hosts que deban tener una dirección constante que esté accesible desde la Internet, tales como Servidores o Enrutadores y Conmutadores. NAT dinámica está diseñada para asociar una dirección IP privada a una dirección pública. Cualquier dirección IP de un conjunto de direcciones IP públicas se asigna a un host de red. La sobrecarga, o Traducción de direcciones de puerto (PAT), asocia varias direcciones IP privadas a una sola dirección IP pública. Se pueden asociar varias direcciones privadas a una sola dirección pública porque cada dirección privada se diferencia por el número de puerto. PAT utiliza números únicos de puerto origen en la dirección IP global interna para distinguir entre las traducciones. En teoría, el número total de direcciones internas que se pueden traducir a una dirección externa podría ser hasta 65,536 por dirección IP. En realidad, el número de puertos que se pueden asignar a una sola dirección IP es aproximadamente

21 PAT intenta preservar el puerto origen original. Si el puerto origen está en uso, se asigna el primer número de puerto disponible comenzando desde el principio del grupo de puertos correspondiente 0-511, , o Cuando no hay más puertos disponibles y hay más de una dirección IP global interna configurada, PAT utiliza la próxima dirección IP para tratar de asignar nuevamente el puerto origen original. Este proceso continúa hasta que no haya puertos ni direcciones IP internas globales disponibles. NAT ofrece las siguientes ventajas: Elimina la reasignación de una nueva dirección IP a cada host cuando se cambia a un nuevo ISP. NAT elimina la necesidad de re-direccionar todos los hosts que requieran acceso externo, ahorrando tiempo y dinero. Conserva las direcciones mediante la multiplexión a nivel de puerto de la aplicación. Con PAT, los hosts internos pueden compartir una sola dirección IP pública para toda comunicación externa. En este tipo de configuración, se requieren muy pocas direcciones externas para admitir muchos hosts internos, y de este modo se conservan las direcciones IP. Protege la seguridad de la red. Debido a que las redes privadas no publican sus direcciones o topología interna, ellas son razonablemente seguras cuando se las utiliza en conjunto con NAT para tener un acceso externo controlado. A continuación se proponen dos ejercicios para practicar la configuración de NAT y PAT Configuración para Traducción de Direcciones de Red (NAT) Situación: Se ha asignado la dirección /27 a una compañía para el direccionamiento público de su red permitiendo sólo treinta direcciones, pero la red interna necesita una mayor cantidad de ellas. El departamento de Tecnologías de la Información (TI) ha decidido implementar NAT para conseguir que todos los hosts de la red privada sean direccionados hacia el exterior. 17

22 Fig 2.3 Topología de la Red en la que se configurará NAT. Objetivo: Configurar apropiadamente el router de frontera con NAT para que los hosts con direcciones privadas puedan ser enrutados hacia la red pública. Crear asignaciones NAT estáticas para dispositivos como servidores y otros que requieren una dirección IP estática. Crear un conjunto NAT dinámico. Revisar e interpretar la tabla de Traducciones NAT Paso 1 Configurar los enrutadores Una vez conectada la red que se muestra en la Figura 2.3, debe configurar los enrutadores con los parámetros de direccionamiento IP de la tabla 2.15 (Los enlaces deben estar activos). También deberá configurar las contraseñas de consola, de líneas virtuales vty y la contraseña para el modo EXEC Privilegiado. Router Fast Ethernet Serial 0/0 Tipo Serial 0/1 Tipo 18

23 Gateway / /24 DTE DCE ISP / /24 DCE n/a n/a Subdir / /24 DTE n/a n/a Tabla 2.15 Parámetros de Configuración de los enrutadores Después de haber configurado los enrutadores correctamente, proceda a configurar los hosts de las redes locales, según corresponda. Cada red local debe tener al menos un host real, los demás pueden ser interfaces loopback en el router. Verifique la conectividad enviando pings a cada gateway por defecto. Paso 2 Configurar rutas estáticas. Comience por introducir una ruta estática en el ISP hacia la red NAT: ISP(config)#ip route Esta ruta es la que permitirá que cualquier paquete con dirección global interna llegue a su destino. Ahora hay que configurar una ruta por defecto en el router Gateway y una ruta estática hacia la subred Gateway(config)#ip route ISP. Esta ruta por defecto hará que todo el tráfico de salida se vaya directamente al Gateway(config)#ip route Con esta ruta se consigue que el tráfico de entrada hacia la subred , una vez que se ha traducido la dirección NAT se envíe hacia el gateway de esa subred. Por último, tenemos que configurar una ruta por defecto en el router Subdir. Como todo el tráfico de salida únicamente sale hacia Gateway, es más simple utilizar una ruta por defecto. Subdir(config)#ip route Verifique que haya conectividad entre ambas subredes y trate de hacer ping a la interfaz serial de ISP. Sólo debe haber respuesta a los pings entre hosts de las subredes, pero no desde el ISP. 19

24 Paso 3 Configurar las entradas estáticas de NAT. Entre al modo de configuración global en Gateway. El comando ip nat permite configurar la traducción de direcciones de red. Este comando debe llevar los argumentos que a continuación se muestran: Gateway(config)#ip nat inside source static Gateway(config)#ip nat inside source static Gateway(config)#ip nat inside source static Estos comandos establecen entradas estáticas para la tabla de traducciones NAT. Estas entradas estáticas sirven cuando se requieren hosts con direcciones IP estáticas, tales como servidores. Paso 4 Definir la traducción dinámica. Ahora use el argumento pool para definir el conjunto de direcciones que NAT usará para hacer traducciones dinámicas. Gateway(config)#ip nat pool dir_publicas netmask El comando ip nat pool crea el conjunto de traducción dinámica, dir_publicas establece el nombre del conjunto de direcciones, es la primera dirección que se usará en traducción dinámica y es la última del conjunto, y netmask indica la máscara de subred de la dirección de red para NAT. Es necesario establecer una lista de control de acceso para poder asociar el conjunto de direcciones NAT con la red o subred que se traducirá: Gateway(config)#access_list 1 permit Gateway(config)#access_list 1 permit Esta lista de acceso permitirá que solamente las direcciones de las subredes y se traduzcan con NAT. Ahora debe asociar la lista de acceso al conjunto NAT dinámico: Gateway(config)#ip nat inside source list 1 pool dir_publicas Paso 5 Definir la dirección de las interfaces. 20

25 NAT necesita saber si la interfaz de procedencia de un paquete es interna o externa para decidir si la dirección se traducirá de interna local a interna global o viceversa. Para definir una interfaz como interna o externa, se usan los comandos ip nat inside e ip nat outside en el modo de configuración de la interfaz correspondiente, de la siguiente forma: Gateway(config)#interface FastEthernet 0/0 Gateway(config-if)#ip nat inside Gateway(config-if)#exit Gateway(config)#interface Serial 0/0 Gateway(config-if)#ip nat outside Gateway(config-if)#exit Gateway(config)#interface Serial 0/1 Gateway(config-if)#ip nat inside Gateway(config-if)#exit Las interfaces FastEthernet 0/0 y Serial 0/1 se declaran internas debido a que todo el tráfico que pasa por ellas es desde o hacia la red local de la empresa. Serial 0/0 es externa ya que es el enlace hacia el ISP y la Internet. Hay que visualizar al router NAT como una división entre la red de la empresa, que consideraremos como adentro y la red pública (ISP e Internet), que será considerado como afuera. Las interfaces del router que se conectan a redes de adentro se declaran como internas y las que se conectan con afuera son externas, válgase la obviedad. Paso 6 Comprobar que la traducción funciona correctamente. Consulte la tabla de traducciones NAT mediante el comando siguiente: Gateway#show ip nat translations La tabla debe contener todas las direcciones internas locales con su correspondiente traducción a interna global para las entradas estáticas. Abra una ventana de linea de comando en uno de los hosts de la empresa y envíe un ping a , y De preferencia procure enviar un ping desde un host con entrada NAT estática y otro con entrada dinámica. Los pings deben ser exitosos. De lo contrario, con el comando show runningversion puede consultar la configuración NAT y corregir algún error. Introduzca de nuevo el comando show ip nat translations para verificar las traducciones dinámicas que se registraron a raíz del envío de los pings. (Fig. 2.4) 21

26 Fig 2.4 Salida de la Tabla de Traducciones NAT. 22

27 2.4.3 Configuración para Traducción de Direcciones de Puerto (PAT) Situación: Se ha asignado la dirección /27 a una compañía para el direccionamiento público de su red permitiendo sólo treinta direcciones, pero la red interna necesita una mayor cantidad de ellas. El departamento de TI ha decidido implementar NAT para conseguir que todos los hosts de la red privada sean direccionados hacia el exterior. Fig. 2.5 Topología de la Red para configurar PAT. Objetivo: Configurar apropiadamente el router de frontera con NAT para que sus hosts con direcciones privadas puedan ser enrutados hacia la red pública. 23

28 Configurar la asignación de un conjunto NAT con sobrecarga para lograr la traducción de direcciones de puerto (PAT). Revisar e interpretar la tabla de Traducciones y discernir las diferencias que existen entre estas traducciones y las de NAT. Paso 1 Configurar los enrutadores Una vez conectada la red de la figura 2.5, debe configurar los enrutadores con los parámetros de direccionamiento IP de la tabla 2.16 (Los enlaces deben estar activos). También deberá configurar las contraseñas de consola, de líneas virtuales vty y la contraseña para el modo EXEC Privilegiado (a su elección). Router Fast Ethernet Serial 0/0 Tipo Serial 0/1 Tipo ISP / /30 DCE n/a n/a Gateway n/a /30 DTE /30 DCE Finanzas / /30 DTE DCE Recursos /30 DTE /30 DCE Humanos /27 Gerencia / /30 DTE n/a n/a Tabla 2.16 Parámetros de Configuración de los enrutadores. Después de haber configurado los enrutadores correctamente, proceda a configurar los hosts de las redes locales, según corresponda. Cada red local debe tener al menos un host real, los demás pueden ser interfaces loopback en el router. Verifique la conectividad enviando pings a cada gateway por defecto. Paso 2 Configurar rutas estáticas. Comenzamos por introducir una ruta estática en el ISP hacia la red NAT: ISP(config)#ip route Esta ruta es la que permitirá que cualquier paquete con dirección global interna llegue a su destino. Configure una ruta por defecto en el router Gateway y una ruta estática hacia las subredes , y Gateway(config)#ip route Gateway(config)#ip route Gateway(config)#ip route Gateway(config)#ip route

29 La ruta por defecto hará que todo el tráfico de salida se vaya directamente al ISP. Las rutas estáticas, una vez que se haya traducido la dirección NAT, harán que el tráfico de entrada hacia las subredes de /25 se envíe hacia el gateway de cada subred. Finanzas también deberá tener sus entradas de enrutamiento estáticas. Finanzas(config)#ip route Finanzas(config)#ip route Finanzas(config)#ip route Al igual que sucede en el caso anterior, la ruta por defecto envía todo el tráfico de salida hacia Gateway. Las otras dos rutas envían el tráfico local hacia la interfaz correcta. Continuamos con los dos routers restantes: Recursos_Humanos(config)#ip route Recursos_Humanos(config)#ip route Gerencia(config)#ip route Como en Gerencia el tráfico de salida sólo tiene una ruta para fluir, es más simple establecer una ruta por defecto. Paso 3 Configurar las entradas estáticas de NAT. Entre al modo de configuración global en Gateway. Establezca las entradas estáticas de traducción NAT. Gateway(config)#ip nat inside source static Este comando establece una entrada estática para la tabla de traducciones NAT. Como se sabe, este tipo de entradas se asocian a dispositivos que requieren una IP estática. Ésta IP fue asignada a un servidor. Paso 4 Definir la traducción dinámica. Primero cree la lista de acceso que permitirá la traducción de las direcciones que se requieren: Gateway(config)#access_list 1 permit Gateway(config)#access_list 1 permit Gateway(config)#access_list 1 permit

30 Esta lista de acceso permitirá que solamente las direcciones de las subredes de /25 se traduzcan con NAT. Debe crear el conjunto de direcciones que se usará para la traducción dinámica. Gateway(config)#ip nat pool PAT netmask Ahora asocie la lista de acceso al conjunto NAT dinámico e indique que las traducciones se harán con sobrecarga (PAT) Gateway(config)#ip nat inside source list 1 pool PAT overload (En caso de haber sido proveídos con una sola dirección pública, el comando anterior se sustituye por ip nat inside source list 1 interface tipo de interfaz número de interfaz overload. Desde luego, hay que fijarse que la interfaz sea la que se define como externa). Paso 5 Definir la dirección de las interfaces. NAT debe saber si la interfaz de procedencia de un paquete es interna o externa para decidir si la dirección se traducirá de interna local a interna global o viceversa. Para definir una interfaz como interna o externa, se usan los comandos ip nat inside e ip nat outside en el modo de configuración de interfaz de la siguiente forma: Gateway(config)#interface serial 0/0 Gateway(config-if)#ip nat inside Gateway(config-if)#exit Gateway(config)#interface serial 0/1 Gateway(config-if)#ip nat outside Gateway(config-if)#exit Paso 6 Comprobar que la traducción funciona correctamente. Consulte la tabla de traducciones NAT mediante el comando siguiente: Gateway#show ip nat translations La tabla debe contener todas las direcciones internas locales con su correspondiente traducción a interna global para las entradas estáticas. Abra una ventana de linea de comando en uno de los hosts de la empresa y envíe un ping a y Los pings deben ser exitosos. De lo contrario, con el comando show running-version puede consultar la configuración NAT y corregir algún error, de haberlo. 26

31 Introduzca de nuevo el comando show ip nat translations para verificar las traducciones dinámicas que se registraron a raíz del envío de los pings. Todas las direcciones locales internas tendrán asociada la misma dirección global interna, con la diferencia de que después de la dirección se muestra el número de puerto que se utilizó para el envío. Además, en la tabla NAT se muestran las direcciones local externa y global externa, junto con el protocolo de procedencia. Esto se muestra en la figura 2.6. Fig. 2.6 Salida de la tabla de traducciones NAT para verificar la traducción con sobrecarga PAT. 27

32 2.5 Protocolo de Configuración Dinámica de Hosts (DHCP) El Protocolo de configuración dinámica del host (DHCP) funciona en el modo cliente/servidor. DHCP permite que los clientes DHCP de una red IP obtengan sus configuraciones de un servidor DHCP. Es menos trabajoso administrar una red IP cuando se utiliza DHCP. La opción de configuración más significativa que el cliente recibe del servidor es su dirección IP. El cliente pide valores de direccionamiento al servidor DHCP de red. Este servidor administra la asignación de las direcciones IP y responde a las peticiones de configuración de los clientes y puede responder a las peticiones provenientes de muchas subredes. La función de DHCP es brindar un proceso para que el servidor pueda asignar información IP a los clientes. Los clientes alquilan la información de los servidores por un período definido administrativamente. Cuando el período de alquiler se termina, el cliente debe pedir otra dirección, aunque en general, se le reasigna la misma dirección. Los administradores en general prefieren que los servidores de red ofrezcan servicios DHCP porque estas soluciones facilitan el crecimiento y la administración. Los servidores DHCP pueden ofrecer otra información, tal como direcciones del servidor DNS, direcciones del servidor WINS y nombres de dominios. La mayoría de los servidores DHCP también permiten que el administrador defina de forma específica cuáles direcciones MAC de cliente se pueden servir y asignarles cada vez la misma dirección IP de forma automática. DHCP utiliza el Protocolo de datagrama del usuario (UDP) como su protocolo de transporte. El cliente envía mensajes al servidor en el puerto 67. El servidor envía mensajes al cliente en el puerto 68. Tres son los mecanismos para asignar direcciones IP a un cliente. Asignación automática: DHCP asigna de manera automática una dirección IP a un cliente. Asignación manual: el administrador asigna una dirección IP al cliente. DHCP comunica la dirección al cliente. Asignación dinámica: DHCP asigna, o alquila, una dirección IP al cliente por un período de tiempo limitado. Algunos de los parámetros de configuración disponibles son: Máscara de subred Router Nombre de dominio Servidor(es) de denominación de dominio Servidor(es) WINS 28

33 El servidor DHCP crea conjuntos de direcciones IP y parámetros asociados. Los conjuntos están dedicados a una subred IP lógica individual. Esto permite que varios servidores DHCP respondan y que los clientes IP sean móviles. Si varios servidores responden, el cliente puede elegir sólo una de las ofertas. 29

34 2.5.1 Configuración de DHCP Situación: El departamento de TI de una empresa, que tiene tres subredes como muestra la figura 2.7, ha decidido implementar DHCP para facilitar la asignación de parámetros de configuración IP. A usted se le ha encomendado esta tarea. Fig. 2.7 Topología para ejercicio de configuración de DHCP. Objetivo: Configurar los enrutadores correctamente para que proporcionen la siguiente información de configuración IP a los hosts: Dirección IP. Máscara de Subred. Dirección del Gateway Predeterminado. Direcciones de los Servidores DNS. Nombre de Dominio. 30

35 Paso 1 Configuración básica de los enrutadores. La configuración IP de los enrutadores se muestra en la tabla 2.17 Una vez configurados los equipos, proceda con el paso 2. Router Fast Ethernet Serial 0/0 Tipo Serial 0/1 Tipo Finanzas / /30 DCE n/a n/a Recursos / /30 DTE DCE Humanos Gerencia / DTE n/a n/a Tabla 2.17 Configuración de los enrutadores para DHCP. Paso 2 Establecer rutas estáticas. Las rutas estáticas servirán para que los enrutadores puedan comunicarse entre sí sin necesidad de configurar protocolos de enrutamiento. Comience por el enrutador de la subred de Finanzas, introduciendo los comandos siguientes en el modo de configuración global: Finanzas(config)#ip route Continúe con el enrutador de Recursos Humanos: Recursos_Humanos(config)#ip route Recursos_Humanos(config)#ip route Finalmente establezca la ruta desde el enrutador de Gerencia. Gerencia(config)#ip route Paso 3 Verificar la conectividad. Envíe pings desde Finanzas hasta Gerencia. El ping debe ser exitoso. En caso de no ser así, verifique sus rutas estáticas y corrija los errores que encuentre. Si no hay errores, verifique la conexión física. Paso 4 Configurar para DHCP. Entre al modo de configuración global en el enrutador de Finanzas e introduzca los siguientes comandos. 31

36 Finanzas(config)#ip dhcp pool FINANZAS Este comando introduce al modo de configuración del conjunto DHCP. Una vez ahí, introduzca los siguientes comandos. Finanzas(dhcp-pool)#network Finanzas(dhcp-pool)#default-router Finanzas(dhcp-pool)#dns-server Finanzas(dhcp-pool)#domain-name empresa.com Finanzas(dhcp-pool)#exit De regreso al modo de configuración global, excluya un rango de 10 direcciones para que DHCP no las asigne. Finanzas(config)#ip dhcp excluded-address Finalmente active el servicio DHCP mediante el comando: Finanzas(config)#service dhcp Continúe con los demás enrutadores introduciendo los siguientes comandos: Recursos_Humanos(config)#ip dhcp pool R_H Recursos_Humanos(dhcp-pool)#network Recursos_Humanos(dhcp-pool)#default-router Recursos_Humanos(dhcp-pool)#dns-server Recursos_Humanos(dhcp-pool)#domain-name empresa.com Recursos_Humanos(dhcp-pool)#exit Recursos_Humanos(config)#ip dhcp excluded-address Recursos_Humanos(config)#service dhcp Gerencia(config)#ip dhcp pool GERENCIA Gerencia(dhcp-pool)#network Gerencia(dhcp-pool)#default-router Gerencia(dhcp-pool)#dns-server Gerencia(dhcp-pool)#domain-name empresa.com Gerencia(dhcp-pool)#exit Gerencia(config)#ip dhcp excluded-address Gerencia(config)#service dhcp Paso 5 Configure los hosts para que obtengan su información IP vía DHCP Abra una ventana de línea de comando en uno de los hosts e introduzca el siguiente comando: C:\>ipconfig /renew Este comando envía una petición al servidor DHCP y de esta forma se inicia el proceso de asignación de información IP. Una vez contestada la petición, aparecen los parámetros básicos que provee el servidor (nombre de dominio, dirección IP, máscara de subred y gateway). Si no funciona, debe activar Asignación mediante 32

37 DHCP a través del Panel de Control>Conexiones de Red. En el ícono de Conexión de Area Local, haga clic con el botón secundario del ratón y luego en Propiedades. En en cuadro de diálogo hay un menú, busque Protocolo TCP/IP y haga doble click. Luego, marque la casilla de verificación que dice Obtener Dirección IP Automáticamente. Una vez hecho esto, intente de nuevo el ipconfig /renew. (Fig. 2.8). Fig. 2.8 Salida del comando ipconfig /renew para un host en la red /27 Paso 7 Verifique la conectividad de la red Envíe un ping de un host de Finanzas a uno de Gerencia. El ping debe ser exitoso. De no ser así, verifique que sus hosts tengan correctamente establecida la configuración IP que brindaron los servidores DHCP. 33

38 CAPÍTULO III ENRUTADORES Y PROTOCOLOS DE ENRUTAMIENTO 3.1 Enrutadores y su Sistema Operativo de Interconexión de Redes (IOS) Un enrutador o router, es un dispositivo que toma decisiones sobre el envío de datos y permite la interconexión de redes distintas y les brinda comunicación. La toma de decisiones es crucial, ya que de esta característica depende que redes físicamente distantes y no contiguas se puedan comunicar, como se verá más adelante. Aunque la arquitectura exacta de un router varía de modelo a modelo, los componentes de un router son los siguientes: CPU: La unidad central de procesamiento. Esta unidad ejecuta las instrucciones del sistema operativo. Estas funciones incluyen la inicialización del sistema, las funciones de enrutamiento y el control de la interfaz de red. La CPU es un microprocesador. Los grandes routers pueden tener varias CPU. RAM: La memoria de acceso aleatorio se usa para almacenar la información de las tablas de enrutamiento, el caché de conmutación rápida, la configuración actual y las colas de paquetes. En la mayoría de los routers, la RAM proporciona espacio de tiempo de ejecución para el software IOS de Cisco y sus subsistemas. Por lo general, la RAM se divide de forma lógica en memoria del procesador principal y memoria compartida de entrada/salida (I/O). Las interfaces de almacenamiento temporal de los paquetes comparten la memoria de I/O. El contenido de la RAM se pierde cuando se apaga la unidad. En general, la RAM es una memoria de acceso aleatorio dinámica (DRAM) y puede actualizarse agregando más Módulos de memoria en línea doble (DIMM). Memoria flash: La memoria flash se utiliza para almacenar una imagen completa del software IOS de Cisco. Normalmente el router adquiere el IOS por defecto de la memoria flash. Estas imágenes pueden actualizarse cargando una nueva imagen en la memoria flash. El IOS puede estar comprimido o no. En la mayoría de los routers, una copia ejecutable del IOS se transfiere a la RAM durante el proceso de arranque. En otros routers, el IOS puede ejecutarse directamente desde la memoria flash. Agregando o reemplazando los Módulos de memoria en línea simple flash (SIMM) o las tarjetas PCMCIA se puede actualizar la cantidad de memoria flash. NVRAM: La memoria de acceso aleatorio no volátil (NVRAM) se utiliza para guardar la configuración de inicio. En algunos dispositivos, la NVRAM se implementa utilizando distintas memorias de solo lectura programables, que se pueden borrar electrónicamente (EEPROM). En otros dispositivos, se 34

39 implementa en el mismo dispositivo de memoria flash desde donde se cargó el código de arranque. En cualquiera de los casos, estos dispositivos retienen sus contenidos cuando se apaga la unidad. Buses: La mayoría de los routers contienen un bus de sistema y un bus de CPU. El bus de sistema se usa para la comunicación entre la CPU y las interfaces y/o ranuras de expansión. Este bus transfiere los paquetes hacia y desde las interfaces. El bus de CPU usa para tener acceso a los componentes de almacenamiento del router. Este bus transfiere las instrucciones y los datos hacia o desde las direcciones de memoria especificadas. ROM: La memoria de solo lectura (ROM) se utiliza para almacenar de forma permanente el código de diagnóstico de inicio (Monitor de ROM). Las tareas principales de la ROM son el diagnóstico del hardware durante el arranque del router y la carga del software IOS desde la memoria flash a la RAM. Algunos routers también tienen una versión más básica del IOS que puede usarse como fuente alternativa de arranque. Las memorias ROM no se pueden borrar. Sólo pueden actualizarse reemplazando los chips de ROM. Interfaces: Las interfaces son las conexiones de los routers con el exterior. Los tres tipos de interfaces son la red de área local (LAN), la red de área amplia (WAN) y la Consola/AUX. Las interfaces LAN generalmente constan de uno de los distintos tipos de Ethernet o Token Ring. Estas interfaces tienen chips controladores que proporcionan la lógica necesaria para conectar el sistema a los medios. Las interfaces LAN pueden ser configuraciones fijas o modulares. Las interfaces WAN incluyen la Unidad de servicio de canal (CSU) integrada, la RDSI y la serial. Al igual que las interfaces LAN, las WAN también cuentan con chips controladores. Las interfaces WAN pueden ser de configuraciones fijas o modulares. Los puertos de Consola/AUX son puertos seriales que se utilizan principalmente para la configuración inicial del router. Estos puertos no son puertos de networking. Se usan para realizar sesiones terminales desde los puertos de comunicación del computador o a través de un módem. Fuente de alimentación: La fuente de alimentación brinda la energía necesaria para operar los componentes internos. Los routers de mayor tamaño pueden contar con varias fuentes de alimentación o fuentes modulares. En algunos de los routers de menor tamaño, la fuente de alimentación puede ser externa al router. Un router no puede funcionar sin el IOS. Cada router Cisco tiene una secuencia de arranque predeterminada para ubicar y cargar el IOS. La fuente predefinida del Cisco IOS depende de la plataforma de hardware, pero por lo general el router busca los comandos boot system almacenados en la NVRAM. El Cisco IOS permite varias alternativas. Se puede especificar otras fuentes del software, o el router puede usar su propia secuencia de reserva o alterna para cargarlo. El IOS entre otras funciones permite la ejecución del enrutamiento. El enrutamiento no es otra cosa que instrucciones para ir de una red a otra. Estas 35

40 instrucciones, también conocidas como rutas, pueden ser dadas a un router de forma dinámica, o pueden ser asignadas al router de forma estática. Un router toma decisiones de envío en función de la dirección IP de destino de los paquetes de datos. Todos los dispositivos intermedios usan la dirección IP de destino para guiar el paquete hacia la dirección correcta, de modo que llegue finalmente a su destino. A fin de tomar decisiones correctas, los routers deben aprender la ruta hacia las redes remotas. Cuando los routers usan enrutamiento dinámico, esta información se obtiene de otros routers. Cuando se usa enrutamiento estático, el administrador de la red configura manualmente la información acerca de las redes remotas. Debido a que las rutas estáticas deben configurarse manualmente, cualquier cambio en la topología de la red requiere que el administrador agregue o elimine las rutas estáticas afectadas por dichos cambios. En una red de gran tamaño, el mantenimiento manual de las tablas de enrutamiento puede requerir de una enorme cantidad de tiempo de administración. En redes pequeñas, con pocos cambios, las rutas estáticas requieren muy poco mantenimiento. Debido a los requisitos de administración adicionales, el enrutamiento estático no tiene la escalabilidad o capacidad de adaptarse al crecimiento del enrutamiento dinámico. Aún en redes de gran tamaño, a menudo se configuran rutas estáticas, cuyo objetivo es satisfacer requerimientos específicos, junto con un protocolo de enrutamiento dinámico. Un protocolo de enrutamiento es el esquema de comunicación entre routers que permite que un router comparta información con otros routers acerca de las redes que conoce así como de su proximidad a otros routers. La información que un router obtiene de otro, mediante el protocolo de enrutamiento, es usada para crear y mantener las tablas de enrutamiento. Ejemplos de protocolos de enrutamiento: Protocolo de información de enrutamiento (RIP) Protocolo de enrutamiento de gateway interior (IGRP) Protocolo de enrutamiento de gateway interior mejorado (EIGRP) Protocolo "Primero la ruta más corta" (OSPF) 3.2 Protocolo de Información de Enrutamiento (RIP) El origen del RIP fue el protocolo de Xerox, el GWINFO. RIP evolucionó como un protocolo de enrutamiento de Internet. La última mejora hecha al RIP es la especificación RIP v2, que permite incluir más información en los paquetes RIP y provee un mecanismo de autenticación muy simple. Las mejoras en RIP v2 incluyen: 36

41 Capacidad para transportar mayor información relativa al enrutamiento de paquetes. Mecanismo de autenticación para la seguridad de origen al hacer actualizaciones de las tablas. Soporta enmascaramiento de subredes de longitud variable (VLSM). RIP evita que los bucles de enrutamiento se prolonguen en forma indefinida, mediante la fijación de un límite en el número de saltos permitido en una ruta, desde su origen hasta su destino. El número máximo de saltos permitido en una ruta es de 15. Cuando un router recibe una actualización de enrutamiento que contiene una entrada nueva o cambiada, el valor de la métrica aumenta en 1, para incluir el salto correspondiente a sí mismo. Si este aumento hace que la métrica supere la cifra de 15, se considera que es infinita y la red de destino se considera fuera de alcance. RIP incluye diversas características las cuales están presentes en otros protocolos de enrutamiento. Por ejemplo, RIP implementa los mecanismos de espera y horizonte dividido para prevenir la propagación de información de enrutamiento errónea Mensajes RIP Tipos de mensajes RIP Los mensajes RIP pueden ser de dos tipos. Petición: Enviados por algún enrutador recientemente iniciado que solicita información de los enrutadores vecinos. Respuesta: mensajes con la actualización de las tablas de enrutamiento. Los más comunes son: Mensajes ordinarios: Se envían cada 30 segundos. Para indicar que el enlace y la ruta siguen activos. Mensajes enviados cuando cambia algún coste. Sólo se envían las rutas que han cambiado. Formato de los mensajes RIP Los mensajes tienen una cabecera que incluye el tipo de mensaje y la versión del protocolo RIP, y un máximo de 25 entradas RIP de 20 bytes. Las entradas en RIPv1 contienen la dirección IP de la red de destino y la métrica. 37

42 Las entradas en RIPv2 contienen la dirección IP de la red de destino, su máscara, el siguiente enrutador y la métrica. La autentificación utiliza la primera entrada RIP. El siguiente ejemplo ilustra la configuración de RIP en una red de cuatro routers Configuración de RIP Situación: El dueño de una cadena de restaurantes ha decidido poner en red todas sus sucursales. Como se observa en el diagrama, la cadena tiene locales en Córdoba, Poza Rica, Xalapa y Veracruz. Usted ha sido contratado para lograr interconectar los restaurantes. El dueño le pide que use RIP, pero usted se da cuenta de que tres de las sucursales se direccionaron con VLSM. Tome las medidas pertinentes. Observe la figura 3.1, la cual muestra la topología de la red en cuestión. Fig. 3.1 Topología para ejercicio de configuración de RIP. Objetivo: Configurar los enrutadores para que haya comunicación en la red a través de RIP. 38

43 Migrar RIP a RIPv2 para que de soporte a la red que se subdividió con VLSM. Configurar interfaces pasivas para evitar el envío de broadcasts de información RIP. Identificar en la tabla de enrutamiento las entradas aprendidas por RIP. Paso 1 Configuración básica de los enrutadores. Configure nombres de host e interfaces correctamente en los enrutadores según la siguiente tabla. Todos los DCE deberán tener una velocidad de reloj de Las configuraciones se muestran en la Tabla 3.1. Router Fast Ethernet Serial 0/0 Tipo Serial 0/1 Tipo Córdoba / DCE n/a n/a Poza / /30 DTE /30 DCE Rica Xalapa / /30 DTE /30 DCE Veracruz / /30 DTE n/a n/a Tabla 3.1 Configuración IP para las interfaces de los enrutadores. Compruebe que haya conectividad en los enlaces seriales con el comando ping. De no ser así, verifique su configuración. Configure también los hosts, recuerde que si no puede conectar todas las computadoras, puede usar interfaces loopback. Con los hosts reales, verifique la conectividad haciendo ping a los gateways. (Si usa el Packet Tracer, debe tener la topología completa) Paso 2 Configurar RIP para dar enrutamiento entre las redes. Para configurar RIP ingrese al modo de configuración global y teclee los comandos siguientes: Cordoba(config)#router rip Cordoba(config-router)#network Cordoba(config-router)#network El comando router rip activa el modo de configuración de enrutamiento. El comando network informa a RIP cuáles serán las redes que publicará a los routers 39

44 vecinos. Recuerde que las redes que RIP publica son las que están directamente conectadas. Continúe configurando el RIP en los routers que faltan. Poza_Rica(config)#router rip Poza_Rica(config-router)#network Poza_Rica(config-router)#network Poza_Rica(config-router)#network Xalapa(config)#router rip Xalapa(config-router)#network Xalapa(config-router)#network Xalapa(config-router)#network Veracruz(config)#router rip Veracruz(config-router)#network Veracruz(config-router)#network Paso 3 Verificar las tablas de enrutamiento. Ingrese el comando sh ip route en los routers y observe las salidas. En ellas deberá usted notar que no aparecen todas las rutas. 40

45 Fig. 3.2 Salida del comando show ip route para analizar la tabla de enrutamiento de RIP v1 con VLSM. Las rutas marcadas con R en la tabla (Fig. 3.2) son las que se aprendieron a través de RIP. Note que no aparecen en la tabla de enrutamiento las rutas a las subredes conectadas a las interfaces Ethernet. Esto se debe a que RIP version 1 no soporta VLSM. Recuerde que así se asignaron las subredes para /25, mientras que para la red de Córdoba se asignó /24 y ésta ruta sí es publicada a los demás routers. Paso 4 Migrar a RIP version 2. Para realizar la migración de RIP v1 a RIP v2 lo que hay que hacer es ir al modo de configuración de enrutamiento para RIP e introducir el comando version 2. Cordoba(config)#router rip Cordoba(config-router)#version 2 Continúe para los demás routers. Poza_Rica(config)#router rip Poza_Rica(config-router)#version 2 Xalapa(config)#router rip Xalapa(config-router)#version 2 Veracruz(config)#router rip Veracruz(config-router)#version 2 Paso 5 Verificar que la migración haya sido exitosa Para verificar si se migró correctamente a RIPv2 ejecute el comando show ip protocols con el cual se muestra información sobre los protocolos de enrutamiento que se ejecutan en el router (Fig. 3.3). 41

46 Fig. 3.3 Salida del comando show ip protocols para verificar la migración a RIP v2. Paso 6 Revisar la tabla de enrutamiento y definir interfaces pasivas. Con el comando sh ip route revise la tabla de enrutamiento. Con la migración a RIPv2, las rutas a las LAN de /25 deben estar ya en la tabla (Fig. 3.4). Las interfaces pasivas, como es sabido, impiden que las actualizaciones RIP salgan por esas interfaces. En este caso deberá declarar como pasivas todas las interfaces Ethernet para que no se envíe tráfico innecesario a las LAN. Para establecer una interfaz pasiva se teclea el comando passive-interface tipo-de-interfaz número-de-interfaz. Cordoba(config-router)#passive-interface FastEthernet 0/0 Poza_Rica(config-router)#passive-interface FastEthernet 0/0 Xalapa(config-router)#passive-interface FastEthernet 0/0 Veracruz(config-router)#passive-interface FastEthernet 0/0 Para verificar que se hayan establecido correctamente las interfaces pasivas, ejecute el comando show running-config (Fig. 3.5). 42

47 Fig. 3.4 Salida de la tabla de enrutamiento después de migrar a RIPv2 Fig. 3.5 Salida del comando show running-config para verificar la migración a RIPv2 y la existencia de interfaces pasivas. 3.3 Protocolo de Enrutamiento de Gateway Interior (IGRP) IGRP es un protocolo de enrutamiento de gateway interior (IGP) por vectordistancia. Los protocolos de enrutamiento por vector-distancia comparan matemáticamente las rutas al medir las distancias. Dicha medición se conoce como vector-distancia. Los routers que usan dichos protocolos deben enviar toda o parte de su tabla de enrutamiento en un mensaje de actualización de enrutamiento, a intervalos regulares y a cada uno de sus routers vecinos. A medida que se propaga la información de enrutamiento por toda la red, los routers realizan las siguientes funciones: Identificar nuevos destinos. Conocer de fallas. 43

48 IGRP es un protocolo de enrutamiento de vector-distancia desarrollado por Cisco y envía sus actualizaciones de enrutamiento a intervalos de 90 segundos, las cuales publican las redes de un sistema autónomo en particular. Las características claves de IGRP son las siguientes: La versatilidad para manejar automáticamente topologías indefinidas y complejas. La flexibilidad necesaria para segmentarse con distintas características de ancho de banda y de retardo. La escalabilidad para operar en redes de gran tamaño Por defecto, IGRP usa el ancho de banda y el retardo como métrica. Además puede configurarse para utilizar una combinación de variables para calcular una métrica compuesta. Estas variables incluyen: Ancho de banda Retardo Carga Confiabilidad Interiores IGRP publica tres tipos de rutas: Las rutas interiores son rutas entre subredes de la red conectada a una interfaz de un router. Si la red que está conectada a un router no está dividida en subredes, IGRP no publica rutas interiores. Sistema Las rutas del sistema son rutas hacia redes ubicadas dentro de un sistema autónomo. El IOS de Cisco deriva rutas de sistema de las interfaces de red conectadas directamente y de la información de rutas de sistema suministrada por otros routers que ejecutan IGRP o por servidores de acceso. Las rutas de sistema no incluyen información acerca de las subredes. Exteriores Las rutas exteriores son rutas hacia redes fuera del sistema autónomo (AS), las cuales se tienen en cuenta al identificar un gateway de último recurso. El IOS de Cisco elige un gateway de último recurso de la lista de rutas exteriores que suministra IGRP. El software usa el gateway (router) de último recurso si no se 44

49 encuentra una ruta mejor y si el destino no es una red conectada. Si el sistema autónomo tiene más de una conexión hacia una red externa, cada router puede seleccionar un router exterior diferente como gateway de último recurso. 3.4 Protocolo de Enrutamiento de Gateway Interior Mejorado (EIGRP) EIGRP es un protocolo de enrutamiento propietario de Cisco basado en IGRP. Admite Enrutamiento Interdominio sin Clase (CIDR) y VLSM, lo que permite que los diseñadores de red maximicen el espacio de direccionamiento. En comparación con IGRP, que es un protocolo de enrutamiento con clase, EIGRP ofrece tiempos de convergencia más rápidos, mejor escalabilidad y gestión superior de los bucles de enrutamiento y funciona en las redes IPX y AppleTalk con potente eficiencia. EIGRP es un protocolo de enrutamiento avanzado que se basa en las características normalmente asociadas con los protocolos del estado de enlace. Con frecuencia, se describe EIGRP como un protocolo de enrutamiento híbrido que ofrece lo mejor de los algoritmos de vector-distancia y del estado de enlace. Algunas de las mejores funciones de OSPF, como las actualizaciones parciales y la detección de vecinos, se usan de forma similar con EIGRP. Sin embargo, EIGRP es más fácil de configurar que OSPF. Los routers EIGRP mantienen información de ruta y topología a disposición en la RAM para que puedan reaccionar rápidamente ante los cambios. Esta información se guarda en varias tablas y bases de datos, como son: Tabla de vecinos Tabla de topología Tabla de enrutamiento La tabla de vecinos es la más importante de EIGRP. Cada router mantiene una tabla de vecinos que enumera a los routers adyacentes. Al conocer nuevos vecinos, se registran la dirección y la interfaz del vecino. Esta información se guarda en la tabla de vecinos. La tabla de topología se compone de todas las tablas de enrutamiento EIGRP en el sistema autónomo. El Algoritmo de Actualización Difusa (DUAL) toma la información proporcionada en la tabla de vecinos y la tabla de topología y calcula las rutas de menor costo hacia cada destino. EIGRP rastrea esta información para que los routers EIGRP puedan identificar y conmutar a rutas alternativas rápidamente. La información que el router recibe de DUAL se utiliza para determinar la ruta del sucesor, que es el término utilizado para identificar la ruta principal o la mejor. Los datos en la tabla de topología son: 45

50 Distancia factible (FD): Ésta es la métrica calculada más baja hacia cada destino. Por ejemplo, la distancia factible a A.B.C.D se indica en la tabla de topología como (FD/RD). Origen de la ruta: Número de identificación del router que publicó esa ruta en primer lugar. Este campo se llena sólo para las rutas que se aprenden de una fuente externa a la red EIGRP. El rotulado de rutas puede resultar particularmente útil con el enrutamiento basado en políticas. Distancia reportada (RD): La distancia reportada por un vecino adyacente hacia un destino específico. Por ejemplo, la distancia reportada a A.B.C.D en la tabla aparece como (FD/RD). Información de interfaz: La interfaz a través de la cual se puede alcanzar el destino. Estado de ruta: El estado de una ruta. Una ruta se puede identificar como pasiva, lo que significa que la ruta es estable y está lista para usar, o activa, lo que significa que la ruta se encuentra en el proceso de recálculo por parte de DUAL. Finalmente, la tabla de enrutamiento es donde se guardan las rutas aprendidas de forma dinámica. La tabla de enrutamiento EIGRP contiene las mejores rutas hacia un destino. Esta información se recupera de la tabla de topología. DUAL identifica la ruta de sucesor en base a la información que contienen las tablas de vecinos y de topología y la coloca en la tabla de enrutamiento. Puede haber hasta cuatro rutas de sucesor para cada destino en particular. Éstas pueden ser de costo igual o desigual y se identifican como las mejores rutas sin bucles hacia un destino determinado. Un sucesor factible (FS) es una ruta de respaldo. Estas rutas se identifican al mismo tiempo que los sucesores, pero sólo se mantienen en la tabla de topología. Si una ruta del sucesor colapsa, el router busca un sucesor factible identificado. Esta ruta se promoverá al estado de sucesor. Un sucesor factible debe tener un costo publicado menor que el costo del sucesor actual hacia el destino. Si es imposible identificar un sucesor factible en base a la información actual, el router coloca un estado Activo en una ruta y envía paquetes de consulta a todos los vecinos para recalcular la topología actual. El router puede identificar cualquier nuevo sucesor o sucesor factible a partir de los nuevos datos recibidos de los paquetes de respuesta que responden a los pedidos de consulta. Entonces, el router establecerá el estado de la ruta en Pasivo. Al igual que con IGRP, es posible registrar información adicional acerca de cada ruta en la tabla de topología. EIGRP clasifica a las rutas como internas o externas y agrega un rótulo a cada ruta para identificar esta clasificación. Las rutas internas se originan dentro del AS EIGRP. 46

51 Las rutas externas se originan fuera del AS EIGRP al igual que las rutas aprendidas o redistribuidas desde otros protocolos de enrutamiento como RIP, OSPF e IGRP y las rutas estáticas que se originan fuera del AS EIGRP. El rótulo puede establecerse en un número entre A continuación se presenta un ejercicio en el que se configuran IGRP y EIGRP y además se redistribuyen rutas entre ambos protocolos. 47

52 3.4.1 Configuración de IGRP y EIGRP Situación: Una red de 5 enrutadores debe ser configurada con EIGRP a petición del cliente. Se trata de una universidad que quiere interconectar las LAN de sus facultades. La red de la facultad de Medicina es una red antigua que ejecuta IGRP. Usted deberá interconectar las redes sin quitar IGRP de la red de Medicina. La topología de la red se muestra en la figura 3.6. Fig 3.6 Topología de la red para configurar EIGRP e IGRP. Objetivos: Configurar el protocolo EIGRP para brindar comunicación entre los routers y redistribuir las rutas de IGRP Configurar IGRP en la red de Medicina. Observar la tabla de enrutamiento e identificar las entradas aprendidas por EIGRP. Observar la tabla de enrutamiento de IGRP. Comparar y diferenciar las entradas de enrutamiento de IGRP y EIGRP. Observar e interpretar los datos de la tabla de topología. 48

53 Paso 1 Configuración IP de los enrutadores. Configure los siguientes datos de IP en cada uno de los enrutadores según se indica en la tabla 3.2. Router Fast Ethernet Serial 0/0 Tipo Serial 0/1 Tipo 2620 Series Filosofía / DTE DCE /30 /30 Administración / DCE DCE /30 /30 Rectoría / DTE DTE /30 /30 Ingeniería / DTE DCE / Series Router Fast Ethernet 0/0 Fast Ethernet 0/1 Medicina / /24 Tabla 3.2 Configuración IP de los Routers. Una vez configurados los equipos, verifique que exista conectividad entre los enlaces seriales y entre los FastEthernet de Ingeniería y Medicina. Paso 2 Configurar EIGRP en los routers de Filosofía, Administración, Rectoría e Ingeniería. Entre al modo de configuración global e introduzca los siguientes comandos. Filosofia(config)#router eigrp 100 Filosofia(config-router)#network Filosofia(config-router)#network Filosofia(config-router)#network Administracion(config)#router eigrp 100 Administración(config-router)#network Administración(config-router)#network Administración(config-router)#network Rectoria(config)#router eigrp 100 Rectoria(config-router)#network Rectoria(config-router)#network Rectoria(config-router)#network Ingenieria(config)#router eigrp 100 Ingenieria(config-router)network

54 Ingenieria(config-router)network Ingenieria(config-router)network Paso 3 Configurar IGRP en el router de Medicina. Entre al modo de configuración global e introduzca los comandos siguientes. Medicina(config)#router igrp 100 Medicina(config-router)#network Medicina(config-router)#network Paso 4 Configurar IGRP en el router de Ingeniería Nuevamente en el modo de configuración global introduzca los siguientes comandos. Configurar IGRP en el router de Ingeniería permitirá que este protocolo aprenda rutas publicadas por EIGRP y viceversa. Ingenieria(config)#router igrp 100 Ingenieria(config-router)#network La razón de que EIGRP e IGRP tengan el mismo número de sistema autónomo para ambos protocolos es porque EIGRP e IGRP sólo redistribuyen rutas si pertenecen al mismo AS. Paso 5 Revisar las tablas de enrutamiento. Al revisar las tablas de enrutamiento en los routers que ejecutan EIGRP podrá observar que las rutas aprendidas desde IGRP se marcan con EX (rutas externas). Las tablas de enrutamiento para IGRP no marcan de manera especial las rutas que aprendidas desde EIGRP. Cerciórese de que los routers EIGRP tengan una entrada en la tabla de enrutamiento para y que el router de Medicina tenga entradas para , y Observe la tabla de enrutamiento de Ingenieria. Observe las figuras siguientes. 50

55 Fig. 3.7 Tabla de enrutamiento de Filosofia para mostrar la ruta externa de EIGRP. Fig. 3.8 Tabla de enrutamiento de Medicina. IGRP no marca las rutas externas. Fig. 3.9 Tabla de enrutamiento de Ingeniería. La ejecución de dos protocolos crea entradas para cada protocolo. 51

56 Como se puede observar en la tabla de enrutamiento de Ingenieria (Fig. 3.9), las entradas marcadas con I son las que se aprendieron a través de IGRP, y las que están marcadas con una D son las que se aprendieron a través de EIGRP. Observe que en los routers EIGRP la ruta hacia aparece como una entrada EIGRP marcada con EX, lo cual quiere decir que esa ruta fue redistribuida desde IGRP y se toma como ruta externa.. En los Routers IGRP, las entradas para rutas externas, es decir, hacia las redes , , y aparecen como entradas IGRP sin ninguna marca. En el caso de Ingeniería, y como se muestra en la figura 3.9, el hecho de que los dos protocolos se estén ejecutando al mismo tiempo, hace que en la tabla de enrutamiento aparezcan entradas que cada protocolo aprende por cuenta propia. Cabe mencionar que el hecho de que los dos protocolos estén funcionando es lo que da lugar a la redistribución de las rutas entre ambos protocolos de forma automática. Paso 6 Revisar la tabla de topología de EIGRP. En el modo EXEC privilegiado introduzca el comando show ip eigrp topology 100, donde 100 es el número del sistema autónomo. La tabla de topología (Fig. 3.10) muestra, entre otros datos, el estado de la ruta, la distancia calculada por DUAL (FD, distancia factible), la distancia calculada por el vecino (Distancia reportada) e incluso muestra cuántas rutas disponibles hay hacia un destino (Sucesores). La siguiente figura muestra la tabla de topología del router Ingenieria. 52

57 Fig Tabla de topología de Ingeniería. Observe que para alcanzar la subred de Filosofía, DUAL calculó que existen dos rutas, una a través de y otra a través de Las marcas P en las entradas de topología indican que la ruta está en estado utilizable. Serial 0/0 y Serial 0/1 indican en qué interfaz se obtuvo la información para esa ruta. Note que la ruta hacia (a pesar de que la máscara de esa red es /24, EIGRP la presenta con la máscara por defecto, ya que no se desactivó el resumen automático.) es información redistribuida, obviamente desde IGRP. 3.5 Protocolo Primero la Ruta Libre más Corta (OSPF) OSPF es un protocolo de enrutamiento de estado de enlace basado en estándares abiertos. En comparación con RIP v1 y v2, OSPF es el IGP preferido porque es escalable. RIP se limita a 15 saltos, converge lentamente y a veces elige rutas lentas porque pasa por alto ciertos factores críticos como por ejemplo el ancho de banda al tomar decisiones de determinación de la ruta. OSPF se ha convertido en un protocolo de enrutamiento sólido y escalable adecuado para las redes modernas; se puede usar y configurar en una sola área en las redes pequeñas. Las redes OSPF grandes utilizan un diseño jerárquico. Varias áreas se conectan a un área de distribución (o área 0) que también se denomina backbone. El enfoque del diseño permite el control extenso de las actualizaciones de enrutamiento. La definición de área reduce el gasto de procesamiento, acelera la convergencia, limita la inestabilidad de la red a un área y mejora el rendimiento. Los routers de estado de enlace identifican a los routers vecinos y luego se comunican con los vecinos identificados. OSPF reúne la información de los routers vecinos acerca del estado de enlace de cada router OSPF. Con esta información se inunda a todos los vecinos. Un router OSPF publica sus propios estados de enlace y traslada los estados de enlace recibidos. Los routers procesan la información acerca de los estados de enlace y crean una base de datos del estado de enlace. Cada router del área OSPF tendrá la misma base de datos del estado de enlace. Por lo tanto, cada router tiene la misma información sobre el estado del enlace y los vecinos de cada uno de los demás routers. Cada router luego aplica el algoritmo SPF a su propia copia de la base de datos. Este cálculo determina la mejor ruta hacia un destino. El algoritmo SPF va sumando el costo, un valor que corresponde generalmente al ancho de banda. La ruta de menor costo se agrega a la tabla de enrutamiento, que se conoce también como la base de datos de envío. 53

58 Cada router mantiene una lista de vecinos adyacentes, que se conoce como base de datos de adyacencia. La base de datos de adyacencia es una lista de todos los routers vecinos con los que un router ha establecido comunicación bidireccional. Esto es exclusivo de cada router. Para reducir la cantidad de intercambios de la información de enrutamiento entre los distintos vecinos de una misma red, los routers de OSPF seleccionan un router designado (DR) y un router designado de respaldo (BDR) que sirven como puntos de enfoque para el intercambio de información de enrutamiento. Se requiere una relación de vecino para que los routers OSPF puedan compartir la información de enrutamiento. Un router tiende a ser adyacente con por lo menos un router en cada red IP a la cual está conectado. Los routers OSPF determinan con qué routers pueden intentar formar adyacencias tomando como base el tipo de red a la cual están conectados. Algunos routers tratarán de tender a la adyacencia con respecto a todos los routers vecinos. Otros routers tratarán de hacerse adyacentes con respecto a sólo uno o dos de los routers vecinos. Una vez que se forma una adyacencia entre vecinos, se intercambia la información del estado de enlace. Las interfaces OSPF reconocen automáticamente tres tipos de redes: Multiacceso con capacidad de broadcast, tal como Ethernet Redes punto a punto Multiacceso sin capacidad de broadcast (NMBA), tal como Frame Relay En un segmento de red multiacceso de broadcast, se pueden conectar muchos routers. Si cada router tuviera que establecer adyacencia completa con cada uno de los otros routers e intercambiar información del estado de enlace con cada vecino, el procesamiento tendría un gasto demasiado grande. Si existieran 5 routers, se necesitarían 10 relaciones de adyacencia y se enviarían 10 estados de enlace. Si existieran 10 routers, entonces se necesitarían 45 adyacencias. Por lo general, para n routers, se necesitan n*(n-1)/2 adyacencias. La solución para este gasto es elegir un router designado (DR). Este router se hace adyacente a todos los demás routers del segmento de broadcast. Todos los demás routers del segmento envían su información del estado de enlace al DR. El DR a su vez actúa como portavoz del segmento. El DR envía información del estado de enlace a todos los demás routers del segmento a través de la dirección de multicast para todos los routers OSPF. A pesar de la ganancia en eficiencia que permite la elección de DR, existe una desventaja. El DR representa un punto único de falla. Se elige un segundo router como router designado de respaldo (BDR) para que se haga cargo de las responsabilidades del DR en caso de que éste fallara. Para asegurar de que tanto el DR como el BDR vean todos los estados de enlace que los routers envían a través del segmento, se utiliza la dirección multicast para todos los routers 54

59 designados. En las redes punto a punto sólo existen dos nodos y no se elige ningún DR ni BDR. Ambos routers llegan a ser completamente adyacentes entre sí. 3.6 Listas de Control de Acceso (ACL) Las ACL son listas de condiciones que se aplican al tráfico que viaja a través de la interfaz del router. Estas listas le informan al router qué tipo de paquetes aceptar o rechazar. La aceptación y rechazo se pueden basar en ciertas condiciones específicas. Las ACL permiten la administración del tráfico y aseguran el acceso hacia y desde una red. Es posible crear ACL en todos los protocolos de red enrutados, por ejemplo: el Protocolo de Internet (IP) y el Intercambio de paquetes de internetwork (IPX). Las ACL se pueden configurar en el router para controlar el acceso a una red o subred. Las ACL filtran el tráfico de red. Se definen según el protocolo, la dirección o el puerto. Para controlar el flujo de tráfico en una interfaz, se debe definir una ACL para cada protocolo habilitado en la interfaz. Las ACL controlan el tráfico en una dirección por vez, en una interfaz. Se necesita crear una ACL por separado para cada dirección, una para el tráfico entrante y otra para el saliente. Finalmente, cada interfaz puede contar con varios protocolos y direcciones definidas. Estas son las razones principales para crear las ACL: Limitar el tráfico de red y mejorar el rendimiento de la red. Al restringir el tráfico de video, por ejemplo, las ACL pueden reducir ampliamente la carga de la red y en consecuencia mejorar el rendimiento de la misma. Brindar control de flujo de tráfico. Las ACL pueden restringir el envío de las actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a las condiciones de la red, se preserva el ancho de banda. Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área. Por ejemplo, al Host A se le permite el acceso a la red de Recursos Humanos, y al Host B se le niega el acceso a dicha red. Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del router. Permitir que se enrute el tráfico de correo electrónico, pero bloquear todo el tráfico de telnet. 55

60 Permitir que un administrador controle a cuáles áreas de la red puede acceder un cliente. Analizar ciertos hosts para permitir o denegar acceso a partes de una red. Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP. Las listas de control de acceso funcionan en orden secuencial. Si la primera sentencia de control se cumple, el paquete se pasa o se rechaza, según sea la condición y se omiten las demás sentencias. Si la primera sentencia no se cumple, se pasa a la segunda. Si ésta se cumple, se procede como anteriormente se mencionó. De igual manera y sucesivamente se manejan las demás sentencias de la ACL. Si al final, ninguna sentencia se cumple, entonces la ACL tiene una negación implícita por defecto. Esta negación impide que pasen paquetes que no hayan concordado con ninguna de las sentencias anteriores, por eso hay que ser muy cuidadosos al establecer las sentencias de las listas. Recuerde también que una sentencia que permita todo el tráfico al inicio de la lista puede ocasionar que ya no se revise ninguna de las sentencias subsecuentes y por ende, ocasiona que todo el tráfico pase por el router. Las ACL se crean en el modo de configuración global. Existen varias clases diferentes de ACL: estándar, extendidas, IPX, AppleTalk, entre otras. Cuando configure las ACL en el router, cada ACL debe identificarse de forma única, asignándole un número. Este número identifica el tipo de lista de acceso creado y debe ubicarse dentro de un rango específico de números que es válido para ese tipo de lista. Los números de identificación de las listas estándar están en el rango de 1 99 y de y las listas extendidas van de y de Máscara Wildcard Una máscara wildcard es una cantidad de 32-bits que se divide en cuatro octetos. Una máscara wildcard se compara con una dirección IP. Los números uno y cero en la máscara se usan para identificar cómo tratar los bits de la dirección IP correspondientes. Durante el proceso de máscara wildcard, la dirección IP en la sentencia de la lista de acceso tiene la máscara wildcard aplicada a ella. Esto crea el valor de concordancia, que se utiliza para comparar y verificar si esta sentencia ACL debe procesar un paquete o enviarlo a la próxima sentencia para que se lo verifique. La segunda parte del proceso de ACL consiste en que toda dirección IP que una sentencia ACL en particular verifica, tiene la máscara wildcard de esa sentencia aplicada a ella. El resultado de la dirección IP y de la máscara debe ser igual al valor de concordancia de la ACL. 56

61 Hay dos palabras clave especiales que se utilizan en las ACL, las opciones any y host. Para explicarlo de forma sencilla, la opción any reemplaza la dirección IP con y la máscara wildcard por Esta opción concuerda con cualquier dirección con la que se la compare. La máscara reemplaza la opción host. Esta máscara necesita todos los bits de la dirección ACL y la concordancia de dirección del paquete. Esta opción sólo concuerda con una dirección Tipos de Listas de Control de Acceso Como se explicó anteriormente, existen diferentes tipos de listas de control de acceso. A continuación se mencionan los tres tipos de listas IP. Lista Estándar. Este tipo de lista sólo compara la dirección IP de origen del paquete. Estas listas se deben colocar lo más cerca posible del destino de la red destino. La estructura del comando que configura la lista estándar es la siguiente: Router(config)#access-list número-de-lista {permit deny} dirección-ip-origen máscara-wildcard-origen Lista Extendida. Las listas extendidas permiten evaluar una dirección origen y una dirección destino. Además este tipo de lista permite una comparación más específica al brindar filtrado por tipo de tráfico. Por ejemplo, se puede bloquear tráfico de ICMP, de HTTP, de FTP, Telnet, etc. Las listas extendidas se colocan lo más cerca posible del origen. Su estructura se indica a continuación. Router(config)#access list número-de-lista {permit deny} protocolo dirección- IP-origen máscara-wildcard-origen dirección-ip-destino máscara-wildcard-destino operador puerto Las listas extendidas se identifican con números en el intervalo de 100 a 199 y de 2000 a El campo protocolo indica el protocolo de TCP/IP al que pertenece el tráfico que se bloqueará. El operador puede ser mayor que (gt), menor que (lt), igual (eq), no igual (neq) y un rango de puertos (range). Use el operador para hacer coincidir una dirección con un tipo de tráfico. Si se usa el operador después de la dirección origen, se evalúa el número de puerto origen; si se usa el operador después de la dirección destino, se evalúa el número de puerto destino. Los argumentos entre llaves son obligatorios, escogiendo sólo uno de ellos. Los argumentos en itálicas también son obligatorios, pero varían según los datos específicos en el caso que se ocupen. Listas Nombradas. Estas listas pueden ser estándar o extendidas. Se configuran mediante el comando siguiente. Router(config)#ip access-list {extended Standard} nombre-de-la-lista Router(config-tipo-nacl)# 57

62 Con este indicador se puede empezar a configurar las ACL nombradas de la misma manera que los otros tipos. Sólo que se comienza desde el permit o deny. La ubicación de las listas nombradas es la misma que para las anteriores, es decir, si es una lista nombrada estándar, se coloca cerca del destino. Si es lista nombrada extendida, se coloca cerca del origen. 58

63 3.6.3 Configuración de OSPF con ACL Situación: La universidad del ejemplo anterior decidió cambiar su esquema de direccionamiento a uno que permitiera VLSM. A pesar de que EIGRP lo permitía, IGRP no podía aprender rutas hacia redes divididas por VLSM. La Red de Medicina fue reemplazada por un enlace hacia el ISP y el resto de la red fue dividida con varias máscaras de subred. Se eligió OSPF para enrutar el tráfico entre los campi. Se debe bloquear el acceso desde Filosofía a Internet, desde a Internet, desde a Rectoría y desde Internet a Rectoría. Observe la topología presentada en la figura Objetivos: Fig Topología de la red OSPF. Configurar correctamente el protocolo OSPF para área única. Propagar una ruta por defecto desde el router de frontera a los demás routers OSPF. Configurar la autenticación de las actualizaciones OSPF. Observar la tabla de enrutamiento para diferenciar las entradas OSPF. Configurar correctamente listas de control de acceso para bloquear tráfico selectivamente y colocarlas en las interfaces y routers correctos. 59

64 Paso 1 Configurar los routers con los parámetros de direccionamiento IP. La tabla 3.3 proporciona la configuración que llevarán las interfaces de los routers. Router Fast Ethernet Serial 0/0 Tipo Serial 0/1 Tipo 2620 Series Filosofía / DCE DTE /30 Administración / DTE DTE Rectoría / DTE DCE Ingeniería / DCE DCE 2621 Series Router Fast Ethernet 0/0 Fast Ethernet 0/1 ISP / /24 Tabla 3.3 Configuración IP de los Routers. Una vez configurados todos los routers, verifique que haya conectividad entre las interfaces FastEthernet de Ingeniería y el ISP, así como entre cada par de enlaces seriales. En caso de no lograr éxito en los pings, haga su diagnóstico de fallas y corrija lo que sea necesario hasta que cada ping sea exitoso. Paso 2 Configurar el proceso de enrutamiento de OSPF. Entre al modo de configuración global. Escriba los siguientes comandos. Filosofia(config)#router ospf 100 Filosofia(config-router)#network area 0 Filosofia(config-router)#network area 0 Filosofia(config-router)#network area 0 La expresión es una mascara wildcard. Ésta se calcula sustituyendo los unos por ceros y los ceros por unos en la máscara de subred. Así, para la máscara de la red de Filosofía, su máscara wildcard queda: = = El argumento area 0, al final de la línea quiere decir que la red que se está agregando al proceso de enrutamiento pertenece al área de backbone. Proceda de igual forma para los demás routers. 60

65 Rectoria(config)#router ospf 100 Rectoria(config-router)#network area 0 Rectoria(config-router)#network area 0 Rectoria(config-router)#network area 0 Administracion(config)#router ospf 100 Administracion(config-router)#network area 0 Administracion(config-router)#network area 0 Administracion(config-router)#network area 0 Ingenieria(config)#router ospf 100 Ingenieria(config-router)#network area 0 Ingenieria(config-router)#network area 0 Paso 3 Verificar que el enrutamiento funciona correctamente. En cualquiera de los routers verifique la tabla de enrutamiento. Deben estar presentes todas las redes de /25. Las rutas aprendidas por OSPF deberán estar marcadas por una O. Observe la figura 3.12 Fig Ejemplo de tabla de enrutamiento con entradas OSPF. Paso 4 Establecer una ruta por defecto hacia el ISP. La ruta por defecto hará que todo el tráfico dirigido a Internet vaya directamente al ISP. Esta ruta estática es la que será propagada por OSPF. Ingenieria(config)#ip route Una vez configurada la ruta por defecto, entre al modo de configuración de enrutamiento. Ahora configurará la propagación de la ruta por defecto. 61

66 Ingenieria(config)#router ospf 100 Ingenieria(config-router)#default-information originate. Para que haya comunicación, el ISP deberá tener también una ruta por defecto (Por simplicidad se estableció la ruta por defecto, pero puede probarse también la ruta estática hacia la red /24 con la misma dirección de siguiente salto). ISP(config)#ip route Verifique que las rutas por defecto comuniquen a Ingenieria y el ISP mediante ping. Desde ingeniería haga ping a y y desde ISP haga ping solamente a Paso 5 Verificar que la ruta por defecto ha sido propagada. Para verificar que haya habido propagación de la ruta por defecto, verifique la tabla de enrutamiento de cualquiera de los routers OSPF. La entrada en la tabla debe aparecer como O* E2. Observe la figura Fig Tabla de enrutamiento con una ruta por defecto propagada por OSPF. Paso 6 Configurar la autenticación para las actualizaciones OSPF. La autenticación previene contra husmeadores que puedan robar la información de enrutamiento. Se puede cifrar mediante md5 una contraseña que dos routers compartirán para poder actualizar la información. Teclee los siguientes comandos en el modo de configuración de interfaz. Filosofia(config)#interface serial 0/0 62

67 Filosofia(config-if)#ip ospf message-digest-key 1 md5 7 fiad Filosofia(config-if)#interface serial 0/1 Filosofia(config-if)#ip ospf message-digest-key 1 md5 7 firec Filosofia(config-if)#exit Filosofia(config)#router ospf 100 Filosofia(config-router)#area 0 authentication message-digest Rectoria(config)#interface serial 0/0 Rectoria(config-if)#ip ospf message-digest-key 1 md5 7 recing Rectoria(config-if)#interface serial 0/1 Rectoria(config-if)#ip ospf message-digest-key 1 md5 7 firec Rectoria(config-if)#exit Rectoria(config)#router ospf 100 Rectoria(config-router)#area 0 authentication message-digest Ingenieria(config)#interface serial 0/0 Ingenieria(config-if)#ip ospf message-digest-key 1 md5 7 recing Ingenieria(config-if)#interface serial 0/1 Ingenieria(config-if)#ip ospf message-digest-key 1 md5 7 ading Ingenieria(config-if)#exit Ingenieria(config)#router ospf 100 Ingenieria(config-router)#area 0 authentication message-digest Administracion(config)#interface serial 0/0 Administracion(config-if)#ip ospf message-digest-key 1 md5 7 fiad Administracion(config-if)#interface serial 0/1 Administracion(config-if)#ip ospf message-digest-key 1 md5 7 ading Administracion(config-if)#exit Administracion(config)#router ospf 100 Administracion(config-router)#area 0 authentication message-digest En los comandos anteriores, message-digest-key 1 indica el ID de la contraseña en la interfaz. El md5 7 indica el nivel de encriptación de la contraseña. Finalmente firec, fiad, recing y ading son las contraseñas para cada uno de los enlaces. Debe asegurase que, en un enlace serial, ambas interfaces lleven la misma contraseña. En el modo de configuración de enrutamiento, area 0 autentication messagedigest habilita la autenticación para el área 0. Esta configuración se puede verificar mediante show running-config (Fig. 3.14). 63

68 Fig Salida de show running-config para verificar la autenticación en el router de Administración. Paso 7 Configurar las listas de control de acceso. Como se sabe, las listas de control de acceso permiten o deniegan el paso del tráfico en un red. Dependiendo de si la lista es estándar o extendida, podemos tener un mayor control del tráfico. Tomando en cuenta que las listas estándar se colocan lo más cerca posible del destino y que las listas extendidas se colocan lo más cerca posible del origen, se ha establecido que para impedir que Filosofía tenga acceso a Internet se colocará una lista nombrada extendida en la interfaz FastEthernet. Para bloquear los hosts y se ha de colocar una lista extendida en la interfaz FastEthernet de Administración y para bloquear el tráfico de Internet a Rectoría se colocará una lista extendida en la interfaz FastEthernet de Ingeniería. Todas las listas revisarán el tráfico de entrada. Para los fines que persigue este ejercicio se ha denegado sólo el tráfico ICMP. Internet se simula con la dirección Para configurar la lista de Filosofía, proceda como se indica a continuación. Declare la lista nombrada en el modo de configuración global. Filosofia(config)#ip access-list extended filosofia $(config-nacl)#deny icmp echo $(config-nacl)#permit ip any any $(config-nacl)#permit tcp any any $(config-nacl)#exit Filosofia(config)#interface FastEthernet 0/0 Filosofia(config-if)#ip access-group filosofia in 64

69 El comando deny icmp echo rechaza el tráfico de ping desde la red /27 la máscara wildcard se calcula de la misma forma que para OSPF. Los comandos permit ip any any y permit tcp any any permiten que el resto del tráfico y el tráfico con destino a otra red pasen por la interfaz. En el modo de configuración de interfaz, el comando ip access-group filosofia in establece que el tráfico entrante será revisado por la lista de control filosofia. Ahora continúe con la lista de control de acceso para Administración. Administracion(config)#access-list 101 deny icmp host echo $#access-list 101 deny icmp host echo $#access-list 101 permit ip any any $#access-list 101 permit tcp any any $#exit Administracion(config)#interface fastethernet 0/0 Administracion(config-if)#ip access-group 101 in Ingenieria(config)#access-list 100 deny icmp echo Ingenieria(config)#access-list 100 permit ip any any Ingenieria(config)#access-list 100 permit tcp any any Ingenieria(config)#interface FastEthernet 0/0 Ingenieria(config-if)#ip access-group 100 in La razón por la cual se estableció la lista que bloquea el acceso a Rectoría desde Internet en Ingenieria es que debido a que usted sólo puede configurar los equipos de la Universidad. Entonces, la interfaz más cercana al origen es la fastethernet de Ingenieria. Paso 8 Verificar que las listas de control de acceso funcionan adecuadamente. Configure los hosts conectados a las LAN. En Rectoría debe configurar ; en Filosofía, ; en Administración y , y en ISP Haga ping desde el host en Filosofía a El ping no debe tener éxito. (Fig. 3.15) 65

70 Fig Ping desde hacia Internet. Ahora haga ping desde a y desde a Ambos pings deberán fallar. Las figuras 3.16 y 3.17 muestran estos pings. Además la figura 3.17 muestra también un ping de a Internet, el cual es exitoso según las sentencias de la ACL. Fig Ping desde a Internet. 66

71 Fig Ping desde a en Rectoría y a Internet Por último, haga ping desde hacia Nuevamente el ping deberá fallar. Fig Ping desde hacia CAPÍTULO IV CONMUTADORES 67

72 4.1 Conmutadores Un conmutador o switch es un dispositivo que se encarga de unir un puerto de entrada con uno de salida. En una red, los conmutadores aprenden la dirección MAC del dispositivo que está conectado a cada uno de sus puertos. Basados en esta relación puerto-dirección MAC es como se logra la conmutación de los datos. La construcción de una LAN que satisfaga las necesidades tanto de las organizaciones medianas como grandes tiene muchas más probabilidades de ser exitosa si se utiliza un modelo de diseño jerárquico de tres capas: La capa de acceso, que proporciona a los usuarios el acceso a la red. La capa de distribución, la cual brinda conectividad basada en políticas. La capa de núcleo, que proporciona transporte óptimo entre sitios. A la capa núcleo a veces se le denomina backbone Capa de acceso y conmutadores de capa de acceso. La capa de acceso es el punto de entrada para las estaciones de trabajo y los servidores a la red. En una LAN el dispositivo utilizado en la capa de acceso puede ser un switch (conmutador) o un hub (concentrador). Si se utiliza un hub, se comparte el ancho de banda. Si se utiliza un switch, entonces el ancho de banda es dedicado. Las funciones de la capa de acceso también incluyen el filtrado, que permite a los switches dirigir las tramas sólo hacia el puerto de switch que se encuentra conectado al dispositivo destino, y la microsegmentación de la capa MAC, con la cual, el switch crea pequeños segmentos de Capa 2 denominados microsegmentos. El dominio de colisión puede ser tan pequeño como el equivalente a dos dispositivos. Los switches de la capa de acceso operan en la Capa 2 del modelo OSI y ofrecen servicios como el de asociación de VLAN. El principal propósito de un switch de capa de acceso es permitir a los usuarios finales el acceso a la red Capa de distribución y conmutadores de capa de distribución La capa de distribución de la red se encuentra entre las capas de acceso y núcleo. El propósito de esta capa es ofrecer una definición fronteriza en la cual se puede llevar a cabo la manipulación de paquetes. Esta capa segmenta las redes en dominios de broadcast. Se pueden aplicar políticas y las listas de control de acceso pueden filtrar los paquetes. La capa de distribución aísla los problemas de red para los grupos de trabajo en los cuales se producen y también evita que estos problemas 68

73 afecten la capa de núcleo. Los switches en esta capa operan en las capas OSI 2 y 3. Algunas de las funciones de la capa de distribución en una red conmutada son: Unificación de las conexiones del armario de cableado Definición de dominio de broadcast/multicast Enrutamiento VLAN Cualquier transición de medio que deba producirse Seguridad Los switches de la capa de distribución son los puntos de totalización de múltiples switches de la capa de acceso. El switch debe poder adecuarse al monto total del tráfico desde los dispositivos de la capa de acceso y debe tener un alto rendimiento, dado que es un punto en el cual se encuentra delimitado el dominio de broadcast Capa de Núcleo y Conmutadores de capa de núcleo La capa núcleo es un backbone de conmutación de alta velocidad. Esta capa del diseño de red no realiza ninguna manipulación de paquete. La manipulación de paquetes desaceleraría la conmutación de paquetes. Una infraestructura central con rutas alternas redundantes ofrece estabilidad a la red en caso de que se produzca una única falla del dispositivo. Los switches en esta capa pueden hacer uso de una serie de tecnologías de Capa 2. Teniendo en cuenta que la distancia entre los switches de la capa núcleo no es demasiado grande, los switches pueden usar la tecnología Ethernet. También se pueden utilizar otras tecnologías de Capa 2 como por ejemplo la conmutación de celdas ATM. En un diseño de red, la capa núcleo puede ser enrutada o de Capa 3. Los switches de capa núcleo están diseñados para ofrecer una funcionalidad de Capa 3 eficiente cuando sea necesario. 4.2 Protocolo Spanning-Tree (STP) La redundancia en una red permite que exista tolerancia a las fallas. Las topologías redundantes proporcionan protección contra el tiempo de inactividad de la red. El tiempo de inactividad puede deberse a la falla de un solo enlace, puerto o dispositivo de red. 69

74 La redundancia en una red es necesaria. Ésta se logra mediante la creación de topologías físicas con bucles (loops), aunque estos pueden causar problemas graves en las redes conmutadas. Las topologías redundantes basadas en switches y puentes son susceptibles a las tormentas de broadcasts e inestabilidad de la base de datos de direcciones MAC. Estos problemas pueden inutilizar la red Por lo tanto, la redundancia se debe planificar y supervisar cuidadosamente. Las tormentas de broadcast son transmisiones de múltiples tramas que suceden debido a que cuando un switch recibe un broadcast lo reenvía por todos los puertos, excepto por el puerto por el cual recibió la trama. En una topología redundante, los broadcasts hacen que los switches envíen indefinidamente las tramas una y otra vez. El protocolo Spanning-Tree se usa en redes conmutadas para crear una topología lógica sin loops a partir de una topología física con loops y es una herramienta poderosa que les otorga a los administradores de red la seguridad de contar con una topología redundante sin que exista el riesgo de que se produzcan problemas provocados por los loops de conmutación Operación de Spanning-Tree El Protocolo Spanning-Tree establece un nodo raíz denominado puente raíz. De esta forma se desarrolla una topología que tiene una ruta para llegar a todos los nodos de la red. El árbol se origina desde el puente raíz. Los enlaces redundantes que no forma parte del árbol de primero la ruta más corta se bloquean. Dado que determinadas rutas están bloqueadas, es posible tener una topología sin loops. Las tramas de datos que se reciben en enlaces que están bloqueados se descartan. El Spanning-Tree requiere que los dispositivos de red intercambien mensajes para detectar los loops de puenteo. Los enlaces que generan loops se colocan en estado de bloqueo. Los switches envían mensajes denominados unidades de datos del protocolo puente (BPDU) para permitir la creación de una topología lógica sin loops. Las BPDU se siguen recibiendo en los puertos que están bloqueados. Esto garantiza que si una ruta o un dispositivo activo falla, se puede calcular un nuevo spanning-tree. Las BPDU contienen información que permite que los switches ejecuten acciones específicas: Seleccionar un solo switch que actúe como la raíz del spanning-tree. Calcular la ruta más corta desde sí mismo hacia el switch raíz 70

75 Designar uno de los switches como el switch más cercano a la raíz, para cada segmento LAN. Este switch se denomina switch designado. El switch designado administra todas las comunicaciones desde la LAN hacia el puente raíz. Elegir uno de sus puertos como su puerto raíz, para cada switch que no es un switch raíz. Esta es la interfaz que brinda la mejor ruta hacia el switch raíz. Seleccionar puertos que forman parte del spanning-tree. Estos puertos se denominan puertos designados. Los puertos no designados se bloquean. Una vez que la red se ha estabilizado, se ha producido la convergencia y hay un spanning-tree por red. Como resultado, existen los siguientes elementos para cada red conmutada: Un puente raíz por red Un puerto raíz por puente que no sea raíz Un puerto designado por segmento Puertos no designados o que no se utilizan Los puertos raíz y los puertos designados se usan para enviar (FWD) tráfico de datos. Los puertos no designados descartan el tráfico de datos. Estos puertos se denominan puertos de bloqueo (BLK) o de descarte. La selección del puente raíz se lleva a cabo comparando la ID de puente (BID) que va dentro de las BPDU. Al encender el switch, él supone que es el puente raíz, por lo tanto en la BID (compuesta de la prioridad del switch, 32768, y la dirección MAC) él anuncia que él es el puente raíz, es decir, coloca su MAC tanto en la BIDraíz, como en la BID del emisor de la BPDU. Como todos los switches envían BPDUs, cada switch reemplaza las BID-raíz más altas por las más bajas. De esta forma, el switch que tenga la BID más baja será elegido como puente raíz. 4.3 Enlaces Troncales y LAN Virtuales (VLAN) Redes de Área Local Virtuales Una VLAN es una agrupación lógica de estaciones, servicios y dispositivos de red que no se limita a un segmento de LAN físico. Las VLAN facilitan la administración de grupos lógicos de estaciones y servidores que se pueden comunicar como si estuviesen en el mismo segmento físico de LAN. También facilitan la administración de mudanzas, adiciones y cambios en los miembros de esos grupos. 71

76 Las VLAN segmentan de manera lógica las redes conmutadas según las funciones laborales, departamentos o equipos de proyectos, sin importar la ubicación física de los usuarios o las conexiones físicas a la red. Todas las estaciones de trabajo y servidores utilizados por un grupo de trabajo en particular comparten la misma VLAN, sin importar la conexión física o la ubicación. Las VLAN se crean para brindar servicios de segmentación proporcionados tradicionalmente por routers físicos en las configuraciones de LAN. Las VLAN se ocupan de la escalabilidad, seguridad y gestión de red. Los routers en las topologías de VLAN proporcionan filtrado de broadcast, seguridad y gestión de flujo de tráfico. Los switches no puentean ningún tráfico entre VLAN, dado que esto viola la integridad del dominio de broadcast de las VLAN. El tráfico sólo debe enrutarse entre VLAN. Una red VLAN de extremo a extremo tiene varias características: La asociación a las VLAN para los usuarios se basa en el departamento o función laboral, sin importar la ubicación de los usuarios. Todos los usuarios en una VLAN deberían tener los mismos patrones de flujo de tráfico 80/20 (80% de tráfico en la red interna y 20% de tráfico hacia redes externas). Cada VLAN tiene un conjunto común de requisitos de seguridad para todos los miembros. Las VLAN estáticas son puertos en un switch que se asignan manualmente a una VLAN. Esto se hace con una aplicación de administración de VLAN o configurarse directamente en el switch mediante la CLI. Estos puertos mantienen su configuración de VLAN asignada hasta que se cambien manualmente. Este tipo de VLAN funciona bien en las redes que tienen requisitos específicos: Todos los movimientos son controlados y gestionados. Existe un software sólido de gestión de VLAN para configurar los puertos. El gasto adicional requerido para mantener direcciones MAC de estación final y tablas de filtrado personalizadas no es aceptable Enlaces troncales El enlace troncal de VLAN permite que se definan varias VLAN en toda la organización, agregando etiquetas especiales a las tramas que identifican la VLAN a la cual pertenecen, logrando que varias VLAN sean transportadas por toda una gran red conmutada a través de un backbone, o enlace troncal, común. El enlace troncal de VLAN se basa en estándares, siendo el protocolo de enlace troncal IEEE 802.1Q el que se implementa por lo general en la actualidad. 72

77 Si en dos switches se configuran dos VLAN, cada una requiere que se implemente un enlace de un switch a otro, lo cual implica que se usarán dos puertos en cada switch. Si se agregara una VLAN, o más, entonces se deben asignar dos puertos por VLAN en cada switch. Esto no es buena opción a medida que se necesiten más redes virtuales, a pesar de ser una forma muy sencilla de enlazarlas. En una red conmutada, un enlace troncal es un enlace punto a punto que admite varias VLAN. El propósito de un enlace troncal es conservar los puertos cuando se crea un enlace entre dos dispositivos que implementan las VLAN. Los protocolos de enlace troncal se desarrollaron para administrar la transferencia de tramas de distintas VLAN en una sola línea física de forma eficaz. Ellos establecen un acuerdo para la distribución de tramas a los puertos asociados en ambos entremos del enlace troncal. Los dos tipos de mecanismos de enlace troncal que existen son el filtrado de tramas y el etiquetado de tramas. La IEEE adoptó el etiquetado de tramas como el mecanismo estándar de enlace troncal. Los protocolos de enlace troncal que usan etiquetado de tramas logran un envío de tramas más veloz y facilitan la administración. El único enlace físico entre dos switches puede transportar tráfico para cualquier VLAN. Para poder lograr esto, se rotula cada trama que se envía en el enlace para identificar a qué VLAN pertenece. Existen distintos esquemas de etiquetado para lograr esto, siendo los dos esquemas de etiquetado más comunes ISL (estándar propietario de Cisco) y 802.1Q (estándar abierto de IEEE) para los segmentos Ethernet. El etiquetado de trama coloca un identificador único en el encabezado de cada trama a medida que se envía por todo el backbone de la red. El identificador es comprendido y examinado por cada switch antes de enviar cualquier broadcast o transmisión a otros switches, routers o estaciones finales. Cuando la trama sale del backbone de la red, el switch elimina el identificador antes de que la trama se transmita a la estación final objetivo. El etiquetado de trama funciona a nivel de Capa 2 y requiere pocos recursos de red o gastos administrativos. 4.4 Protocolo de Enlace Troncal de VLAN (VTP) El VTP es un protocolo propietario creado por Cisco para resolver los problemas operativos en redes conmutadas que implementan VLANs. El rol de VTP es mantener la configuración de VLAN de manera unificada en todo un dominio administrativo de red común. VTP es un protocolo de mensajería que usa tramas de enlace troncal de Capa 2 para agregar, borrar y cambiar el nombre de las VLAN en 73

78 un solo dominio. VTP también admite cambios centralizados que se comunican a todos los demás switches de la red. Los mensajes de VTP se encapsulan en las tramas del protocolo de enlace que se use para los troncales y se envían a través de éstos a otros dispositivos. El encabezado VTP varía según el tipo de mensaje VTP, pero por lo general siempre se encuentran los mismos cuatro elementos en todos los mensajes VTP. Versión de protocolo VTP, ya sea la versión 1 ó 2: Tipo de mensaje VTP. Longitud del nombre de dominio de administración. Nombre de dominio de administración. Los switches VTP operan en uno de estos tres modos: Servidor Cliente Transparente Los servidores VTP pueden crear, borrar y modificar los parámetros de las VLAN de todo el dominio. Envían mensajes de actualización VTP por todos los puertos de enlace troncal. Los clientes no pueden hacer modificaciones a las VLAN. Sólo se limitan a procesar los cambios de VLAN publicados por los servidores y a enviar los mensajes VTP. Los switches en modo transparente no atienden a las actualizaciones VTP, sólo las reenvían. Salvo el caso de las publicaciones, VTP está desactivado en el modo transparente. 4.5 Enrutamiento entre VLAN Cuando el host en un dominio de broadcast desea comunicarse con un host en otro dominio de broadcast, debe utilizarse un router. Cuando las VLAN se conectan entre sí, surgen algunos problemas técnicos. Dos de los problemas más comunes que pueden surgir en un entorno de varias VLAN son los siguientes: La necesidad de que los dispositivos de usuario final alcancen hosts no locales Las necesidad de que los hosts en distintas VLAN se comuniquen entre sí La conectividad entre VLAN se puede lograr a través de una conectividad lógica o física. 74

79 La conectividad lógica involucra una conexión única, o un enlace troncal, desde el switch hasta el router. Ese enlace troncal puede admitir varias VLAN. La conectividad física implica una conexión física separada para cada VLAN. Los diseños de "router en un palo" (así se conoce a los enlaces lógicos) emplean un enlace troncal único que conecta el router al resto de la red campus. El tráfico entre VLANs debe alcanzar el router, desde donde podrá desplazarse entre las VLAN. El tráfico viaja entonces de vuelta hacia la estación final deseada utilizando el método de envío de Capa 2 normal. A medida que aumenta la cantidad de VLAN en una red, el enfoque físico de tener una interfaz de router por VLAN se vuelve rápidamente inescalable. Las redes con muchas VLAN deben utilizar el enlace troncal de VLAN para asignar varias VLAN a una interfaz de router única. La ventaja principal del uso del enlace troncal es una reducción en la cantidad de puertos de router y switch que se utiliza. Esto no sólo permite un ahorro de dinero sino también reduce la complejidad de la configuración. Como consecuencia, el enfoque de router conectado a un enlace troncal puede ampliarse hasta un número mucho más alto de VLAN que el diseño de "un enlace por VLAN". Para lograr la conexión mediante enlace troncal, se recurre a las subinterfaces. Una subinterfaz es una interfaz lógica dentro de una interfaz física. Pueden existir varias subinterfaces en una sola interfaz física. Cada subinterfaz admite una VLAN y se le asigna una dirección IP. Para que varios dispositivos en una misma VLAN se puedan comunicar, las direcciones IP de todas las subinterfaces en malla deben encontrarse en la misma red o subred. Para poder establecer una ruta entre las distintas VLAN con subinterfaces, se debe crear una subinterfaz para cada VLAN. Para que el enrutamiento entre VLAN funcione correctamente, todos los routers y switches involucrados deben admitir el mismo encapsulamiento. 75

80 4.6 Implementación del Enrutamiento entre VLAN Situación: Una empresa requiere la formación de VLAN, ya que tiene personal de dos diferentes departamentos, Ventas y Contabilidad, en dos pisos diferentes. Además, se requiere conectar con una oficina remota. Usted deberá realizar los procedimientos necesarios para lograr las tareas asignadas. La topología se muestra en la figura 4.1. Fig. 4.1 Distribución de las VLAN y topología de la empresa. Objetivos: Configurar enlaces troncales entre los switches para dar redundancia a la red. Configurar el Protocolo de Enlace Troncal de VLAN. Revisar el Protocolo Spanning-Tree. Crear VLAN en los switches a través de la base de datos de VLAN. Crear un enlace troncal entre el switch y el router. Asignar subintefaces en el router para enrutamiento entre VLAN y configurar el encapsulamiento adecuado. Verificar la conectividad entre las VLAN. 76

81 Antes de comenzar todo el ejercicio se recomienda llevar a cabo el siguiente procedimiento: Borre el archivo de configuración activa (erase startup-config) y recargue el Switch (reload). Después introduzca el comando delete flash:vlan.dat en el modo EXEC privilegiado, y luego desconecte el cable de alimentación. Esto borra la base de datos de VLAN y garantiza que ninguna configuración anterior afecte el resultado de la práctica. Vuelva a conectar el cable de alimentación y comience el ejercicio. Paso 1 Conecte la red que se presenta en el diagrama. Para simplificar un poco la práctica, básese en el diagrama de la figura 4.2 para crear la red que se requiere configurar. Conecte un cable de conexión directa en el puerto Fa0/1 de Switch0 y conecte el extremo en Fa0/0 de Router0. Conecte dos cables de conexión cruzada, uno en Fa0/2 y otro en Fa0/3 en Switch0 y los extremos en Fa0/2 y Fa0/3 de Switch1. Fig. 4.2 Topología a utilizarse para la práctica 4.5. Paso 2 Configurar parámetros IP en los routers. La tabla 4.1 muestra la configuración IP de cada router. Router Fast Ethernet Serial 0/0 Tipo Clock rate Router0 n/a (no shutdown) /24 DCE Router / /24 DTE n/a Tabla 4.1 Parámetros IP de los routers. Paso 3 Configurar las subinterfaces en Router0. Para crear una subinterfaz, entre al modo de configuración de interfaz de FastEthernet 0/0 y active la interfaz mediante el comando no shutdown. A continuación introduzca los siguientes comandos. Router0(config)#interface FastEthernet 0/0 77

82 Router0(config-if)#no shutdown Router0(config-if)#interface FastEthernet 0/0.1 Router0(config-subif)#encapsulation dot1q 1 Router0(config-subif)#ip address Router0(config-subif)#interface FastEthernet 0/0.2 Router0(config-subif)#encapsulation dot1q 10 Router0(config-subif)#ip address Router0(config-subif)#interface FastEthernet 0/0.3 Router0(config-subif)#encapsulation dot1q 20 Router0(config-subif)#ip address Router0(config-subif)#end El comando encapsulation dot1q numero-de-vlan indica a la interfaz que los paquetes se etiquetarán según el estándar 802.1Q de IEEE. El número de vlan asocia a la subinterfaz con una VLAN. Sólo el tráfico proveniente de o saliente a esa VLAN será admitido en esa subinterfaz. Paso 4 Configurar los switches. En Switch0, configure la interfaz VLAN1 con la dirección IP y en Switch1, El gateway por defecto para ambos es Switch0(config)#interface vlan 1 Switch0(config-if)#ip address Switch0(config-if)#no shutdown Switch0(config-if)#exit Switch0(config)#ip default-gateway Switch1(config)#interface vlan 1 Switch1(config-if)#ip address Switch1(config-if)#no shutdown Switch1(config-if)#exit Switch1(config)#ip default-gateway Paso 5 Crear las VLAN en ambos switches. Desde el modo EXEC privilegiado ingrese el comando vlan database. Este comando permite modificar la base de datos de VLAN. Usted deberá crear las VLAN Ventas y Contabilidad, con ID de 10 y 20 respectivamente. Switch0#vlan database Switch0(vlan)#vlan 10 name Contabilidad Switch0(vlan)#vlan 20 name Ventas Switch1#vlan database Switch1(vlan)#vlan 10 name Contabilidad Switch1(vlan)#vlan 20 name Ventas Paso 6 Asignar puertos a las VLAN. 78

83 Para que los hosts puedan acceder a las VLAN, los switches deben tener asociados los puertos a cada red virtual. En este caso, la VLAN 10 tendrá asignados los puertos FastEthernet 0/9 a 0/19 y la VLAN 20 tendrá los FastEthernet 0/17 a 0/24 en ambos switches. En el modo de configuración de interfaz introduzca los siguientes comandos para asignar un puerto a una VLAN. Por cuestiones de espacio sólo se transcribirán los comandos para asignar los dos primeros puertos de cada VLAN. Switch0(config)#interface FastEthernet 0/9 Switch0(config-if)#switchport mode access Switch0(config-if)#switchport access vlan 10 Switch0(config)#interface FastEthernet 0/10 Switch0(config-if)#switchport mode access Switch0(config-if)#switchport access vlan 10 Switch0(config)#interface FastEthernet 0/17 Switch0(config-if)#switchport mode access Switch0(config-if)#switchport access vlan 20 Switch0(config)#interface FastEthernet 0/18 Switch0(config-if)#switchport mode access Switch0(config-if)#switchport access vlan 20 Switch1(config)#interface FastEthernet 0/9 Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 10 Switch1(config)#interface FastEthernet 0/10 Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 10 Switch1(config)#interface FastEthernet 0/17 Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 20 Switch1(config)#interface FastEthernet 0/18 Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 20 No será necesario asociar puertos a la VLAN 1, ya que, por defecto, todos los puertos se encuentran asociados a ésta. Paso 7 Habilitar los enlaces troncales. En el modo de configuración de interfaz de FastEthernet 0/1, 0/2 y 0/3 de Switch0, y en FastEthernet 0/2 y 0/3 de Switch1, introduzca los siguientes comandos. No es necesario configurar encapsulamiento en los switches Catalyst 2950 Series ya que éstos no admiten el encapsulamiento ISL de Cisco y sólo permiten el encapsulamiento 802.1Q de IEEE. Switch0(config)#interface FastEthernet 0/1 Switch0(config-if)#switchport mode trunk Switch0(config)#interface FastEthernet 0/2 Switch0(config-if)#switchport mode trunk Switch0(config)#interface FastEthernet 0/3 79

84 Switch0(config-if)#switchport mode trunk Switch1(config)#interface FastEthernet 0/2 Switch1(config-if)#switchport mode trunk Switch1(config)#interface FastEthernet 0/3 Switch1(config-if)#switchport mode trunk Paso 8 Verificar la conectividad. Envíe un ping desde los dos switches hacia Después envíe ping entre los switches, es decir, de Switch0 a y de Switch1 a Finalmente, envíe ping desde Router0 hacia y Todos los pings deberán tener éxito. En caso contrario, realice el diagnóstico de fallas. Paso 9 Revisar la base de datos de VLAN. Introduzca el comando show vlan en el modo EXEC privilegiado para observar la base de datos VLAN (Fig. 4.3). Fig. 4.3 Salida del comando show vlan en Switch0 para observar las VLAN existentes. Paso 10 Configurar el VTP. Desde el modo de configuración global introduzca los comandos siguientes. Switch0(config)#vtp version 2 Switch0(config)#vtp domain Group_1 Switch0(config)#vtp mode server Switch1(config)#vtp version 2 80

85 Switch1(config)#vtp domain Group_1 Switch1(config)#vtp mode client Switch1 recibirá las actualizaciones VTP y las procesará. Switch0 será el emisor de las actualizaciones VTP. Sólo se podrá modificar la base de datos VLAN en Switch0, lo cual automáticamente hará que se modifique la base de datos VLAN de Switch1. Paso 11 Verificar Spanning-Tree y VTP. Mediante los comandos show spanning-tree y show vtp status se obtiene información sobre ambos protocolos. Cada VLAN posee su propio árbol de expansión. Cada árbol muestra los temporizadores, la prioridad del switch, si él es el puente raíz y muestra los puertos conectados y el estado de spanning-tree en el que se encuentran. Fig. 4.4 Salida del comando show spanning-tree en Switch1. Observe la información de Spanning-Tree (Fig. 4.4). En Switch1 el puerto FastEthernet0/3 aparece en estado BLK (bloqueado), mientras que en Switch0 aparece en FWD (envío). STP eligió como puente raíz a Switch0. Los puertos designados son FastEthernet 0/1, 0/2 y 0/3 de Switch0 y FastEthernet 0/2 de Switch1, el cual es el puerto raíz. FastEthernet 0/3 fue bloqueado para evitar el loop lógico. Si el enlace en Fa0/2 fallara, entraría Fa0/3 después del recálculo de Spanning-Tree (Se sugiere desconectar Fa0/2 y tras un minuto introducir el comando show spanning-tree en Switch1 y observar lo que sucede). 81

86 Fig. 4.5 Salida del comando show vtp status en Switch0. El comando show vtp status (Fig 4.5) muestra información sobre la versión de VTP, cuántas VLAN existen, el modo de operación, el nombre de dominio VTP y la interfaz de recepción de actualizaciones (Local Updater en el caso de los Servidores). Paso 12 Verificar la conectividad dentro de las VLAN. Conecte dos hosts a los puertos de la VLAN 10 (en el mismo o en diferente switch). Configúrelos con una dirección IP válida en /24. El gateway por defecto para esta VLAN es Haga ping de un host al otro. Debe ser exitoso. Si no es así, revise sus asignaciones de puerto, la base de datos de VLAN y los enlaces troncales entre los switches. Ahora cambie los hosts a puertos de la VLAN 20. Cambie las direcciones IP a direcciones válidas en /24. El gateway es Los pings deben ser exitosos. Por último, conecte uno de los hosts a un puerto de VLAN 10 y el otro a un puerto de VLAN 20. Haga ping. Debe haber respuesta. En caso de no haber, realice el diagnóstico de fallas incluyendo la revisión de la asignación de las subinterfaces en el router. No se probará conectividad con VLAN 1, ya que al activarse otras VLAN, ésta queda restringida sólo a cuestiones administrativas. Paso 13 Configurar RIP en ambos routers para brindar comunicación de extremo a extremo. En Router0 configure RIP para publicar las redes , y No se publicará , ya que está restringida. En Router1 RIP deberá publicar a y Verifique que las rutas RIP aparezcan en la tabla de enrutamiento. 82

87 Paso 14 Verificar la conectividad de extremo a extremo. Una vez que se hayan publicado las rutas, conecte un host directamente a la interfaz FastEthernet de Router1. Asigne una dirección IP válida y envíe un ping a ambos hosts en las VLAN (debe haber uno en cada VLAN). Los ping deberán tener éxito. En caso contrario realice el diagnóstico de fallas. Una vez lograda la comunicación, haga ping desde las VLAN hacia la red remota. 83

88 CAPÍTULO V TECNOLOGÍAS WAN 5.1 Protocolo Punto a Punto El Protocolo punto a punto (PPP) es el protocolo de preferencia para las conexiones WAN conmutadas seriales. Puede manejar tanto la comunicación síncrona como la asíncrona e incluye la detección de los errores. Y, lo que es más, incorpora un proceso de autenticación que utiliza CHAP o PAP. PPP se puede utilizar en diversos medios físicos, incluyendo cable de par trenzado, líneas de fibra óptica o transmisión satelital Encapsulamiento en enlaces seriales Al principio, las comunicaciones seriales se basaban en protocolos orientados a los caracteres. Los protocolos orientados a bits eran más eficientes pero también eran propietarios. En 1979, ISO aceptó al HDLC como protocolo estándar de enlace de datos orientado a bit que encapsula los datos en enlaces de datos seriales y síncronos. HDLC utiliza la transmisión síncrona serial y brinda una comunicación entre dos puntos libre de errores. HDLC define la estructura del entramado de Capa 2 que permite el control de flujo y de errores mediante acuses de recibo y un esquema de ventanas. Cada trama presenta el mismo formato ya sea una trama de datos o una trama de control. El HDLC estándar, en sí, no admite múltiples protocolos en un solo enlace ya que no cuenta con una forma de indicar cuál es el protocolo que se transporta. Cisco ofrece una versión propietaria de HDLC. La trama HDLC de Cisco utiliza un campo "tipo" propietario que actúa como campo de protocolo. Este campo permite que varios protocolos de capa de red compartan el mismo enlace serial. HDLC es el protocolo de Capa 2 por defecto para las interfaces seriales de los routers Cisco. HDLC define los tres siguientes tipos de tramas, cada uno con diferente formato de campo de control. Tramas de información (tramas I): transportan los datos que se transmitirán para la estación. Se cuenta con control adicional de flujo y de errores y los datos pueden ser adicionados a una trama de información. Tramas de supervisión (tramas S): proporcionan los mecanismos de petición/respuesta cuando no se utiliza el adicionar datos. 84

89 Tramas no enumeradas (tramas U): brindan funciones de control de enlace suplementarias tales como configuración inicial de la conexión. El campo del código identifica el tipo de trama U Arquitectura PPP PPP utiliza una arquitectura en capas. La arquitectura en capas es un modelo, diseño o plan lógico que ayuda a la comunicación entre las capas interconectadas. El modelo de Interconexión de sistemas abiertos (OSI) es la arquitectura en capas que se utiliza en el networking. PPP proporciona un método para encapsular datagramas de varios protocolos en un enlace de punto a punto y utiliza la capa de enlace de datos para probar esta conexión. Por lo tanto, PPP está compuesto por dos subprotocolos: Protocolo de control de enlaces: se utiliza para establecer el enlace de punto a punto. Protocolo de control de red: se utiliza para configurar los distintos protocolos de capa de red. Se puede configurar PPP en los siguientes tipos de interfaces físicas: Serial asíncrona. Serial síncrona Interfaz serial de alta velocidad (HSSI) Red digital de servicios integrados (ISDN) PPP utiliza el Protocolo de control de enlace (LCP) para negociar y configurar las opciones de control en el enlace de datos de la WAN. PPP utiliza el componente del Protocolo de control de red (NCP) para encapsular y negociar las opciones para los diferentes protocolos de capa de red. El LCP se ubica en la parte más alta de la capa física y se utiliza para establecer, configurar y probar la conexión de enlace de datos. PPP también utiliza LCP para acordar, de forma automática, opciones de formato de encapsulamiento tales como: Autenticación. Las opciones de autenticación requieren que la parte del enlace que realiza la llamada introduzca información de autenticación para ayudar a asegurar que el usuario cuente con el permiso del administrador de red para realizar la llamada. Los routers pares intercambian mensajes de autenticación. Las dos opciones de autenticación son: el Protocolo de autenticación de contraseña (PAP) y el Protocolo de autenticación de intercambio de señales (CHAP). Compresión. Las opciones de compresión aumentan la tasa de transferencia efectiva en las conexiones PPP al reducir la cantidad de datos en la trama que debe recorrer el enlace. El protocolo descomprime la trama al llegar a su 85

90 destino. Stacker y Predictor son dos protocolos de compresión disponibles en los routers Cisco. Detección de errores. Los mecanismos de detección de errores con PPP habilitan un proceso para identificar las condiciones de falla. Las opciones de Calidad y Número mágico ayudan a garantizar un enlace de datos confiable y sin bucles. Multienlace. Cisco IOS Versión 11.1 y posteriores admiten el PPP multienlace. Esta alternativa proporciona balanceo de la carga en las interfaces del router que usa PPP. LCP también hace lo siguiente: Maneja límites variables del tamaño de paquete. Detecta errores comunes de mala configuración. Termina el enlace. Determina cuándo un enlace funciona correctamente o cuándo falla. PPP permite que varios protocolos de capa de red operen en el mismo enlace de comunicación. Para cada protocolo de capa de red que se utiliza, se proporciona un Protocolo de control de red (NCP) distinto. Los NCP incluyen campos funcionales que contienen códigos estandarizados que indican el tipo de protocolo de capa de red que encapsula PPP Sesiones PPP El establecimiento de una sesión PPP tiene tres fases: Estas son: establecimiento del enlace, autenticación y fase del protocolo de la capa de red. Las tramas LCP se utilizan para realizar el trabajo de cada una de las fases LCP. Las tres siguientes clases de tramas LCP se utilizan en una sesión PPP: Las tramas de establecimiento de enlace se utilizan para establecer y configurar un enlace. Las tramas de terminación del enlace se utilizan para terminar un enlace. Las tramas de mantenimiento del enlace se utilizan para administrar y depurar un enlace. Las tres fases para el establecimiento de una sesión PPP son: Fase de establecimiento del enlace: en esta fase, cada dispositivo PPP envía tramas LCP para configurar y probar el enlace de datos. Los paquetes LCP contienen un campo de opción de configuración que permite que los dispositivos negocien el uso de opciones tales como la unidad máxima de transmisión (MTU), la compresión de determinados campos PPP y el protocolo de autenticación de enlace. Antes de poder intercambiar cualquier 86

91 datagrama de capa de red, primero, LCP debe abrir la conexión y negociar los parámetros de configuración. Esta fase queda completa después de enviar y recibir una trama de acuse de recibo de configuración. Fase de autenticación (optativa): una vez establecido el enlace, se puede autenticar el dispositivo par. La autenticación, en caso de que se utilice, se lleva a cabo antes de que comience la fase del protocolo de la capa de red. Como parte de esta fase, el LCP también permite efectuar una prueba opcional de determinación de la calidad del enlace. El enlace se prueba para determinar si su calidad es suficiente para activar los protocolos de capa de red. Fase de protocolo de capa de red: en esta fase, los dispositivos PPP envían paquetes NCP para seleccionar y configurar uno o varios protocolos de capa de red (como IP). Después de configurar cada uno de los protocolos de la capa de red elegidos, se pueden enviar paquetes de cada uno de los protocolos de capa de red a través del enlace. Si LCP cierra el enlace, informa a los protocolos de la capa de red, para que puedan tomar las medidas adecuadas. El enlace PPP queda configurado para las comunicaciones hasta que se presenta una de las siguientes situaciones: Las tramas LCP o NCP cierran el enlace. Se vence el tiempo de inactividad. Interviene el usuario Autenticación PPP PPP cuenta con dos protocolos para autenticación de los enlaces: el Protocolo de Autenticación de Contraseña (PAP) y el Protocolo de Autenticación de Intercambio de Señales (CHAP). PAP ofrece un método sencillo para que un nodo remoto establezca su identidad, mediante el intercambio de señales de dos vías. Una vez que se ha completado la fase de establecimiento del enlace PPP, el nodo remoto envía el conjunto de nombre de usuario/contraseña por el enlace repetidas veces hasta que se acusa recibo de la autenticación o la conexión se termina. PAP no es un protocolo de autenticación sólido. Las contraseñas se envían por el enlace en texto no cifrado. CHAP se utiliza al iniciar un enlace y verifica, la identidad del nodo remoto por medio de un intercambio periódico de señales de tres vías. Después de completar la 87

92 fase de establecimiento del enlace PPP, el host envía un mensaje de comprobación al nodo remoto. El nodo remoto responde con un valor calculado mediante la función hash de una vía que, en general, es Message Digest 5 (MD5). Esta respuesta se basa en la contraseña y el mensaje de comprobación. El router local verifica la respuesta contra su propio cálculo del valor hash esperado. Si los valores concuerdan, se acusa recibo de la autenticación; de lo contrario, la conexión termina de inmediato. CHAP brinda protección contra los intentos de reproducción a través del uso de un valor de comprobación variable que es exclusivo e impredecible. Como la comprobación es única y aleatoria, el valor hash resultante también será único y aleatorio Configuración de un enlace con PPP y CHAP Situación: Se requiere interconectar tres routers mediante PPP para interconectar las LAN a las que proveen servicio. Para brindar seguridad a los enlaces punto a punto se precisa autenticación mediante CHAP. Observe la topología de la figura 5.1. Fig 5.1 Topología utilizada para la configuración de PPP y CHAP Objetivos: Configurar correctamente el encapsulamiento PPP en las interfaces seriales de los routers. Configurar el nombre de usuario y la contraseña para la autenticación CHAP. Paso 1 Asignar direcciones IP en las interfaces. 88

93 La tabla 5.1 muestra la configuración que han de llevar los enrutadores. Router Fast Ethernet Serial 0/0 Tipo Serial 0/1 Tipo Izquierda n/a /30 DTE n/a n/a Centro n/a /30 DCE DCE Derecha n/a n/a n/a DTE Tabla 5.1 Configuración IP de los routers Paso 2 Verificar la conectividad. Haga ping de una interfaz serial a la otra. El ping debe ser exitoso. Si no es así, realice el diagnóstico correspondiente. Paso 3 Configurar el encapsulamiento PPP en las interfaces seriales. Para configurar PPP en una interfaz, entre en el modo de configuración de la interfaz. Una vez ahí, introduzca los comandos siguientes. Centro(config)#interface Serial 0/0 Centro(config-if)#encapsulation ppp Centro(config-if)#interface Serial 0/1 Centro(config-if)#encapsulation ppp Centro(config-if)#end Proceda de igual manera en los otros routers en las interfaces que correspondan. Paso 4 Verificar la conectividad. Una vez configurado el encapsulamiento PPP, debe haber conectividad. Haga ping entre las interfaces de cada enlace. Debe haber éxito. Paso 5 Configurar la autenticación CHAP. En el modo de configuración global se introducen el nombre del router remoto y la contraseña, que será común en ambos routers. Izquierda(config)#username Centro password cisco Centro(config)#username Izquierda password cisco Centro(config)#username Derecha password cisco Derecha(config)#username Centro password cisco 89

94 Ahora, se debe configurar la autenticación en las interfaces. Centro(config)#interface serial 0/0 Centro(config-if)#ppp authentication chap Centro(config-if)#interface serial 0/1 Centro(config-if)ppp authentication chap Proceda de la misma manera en los routers Izquierda y Derecha, en las interfaces que correspondan. Paso 6 Verificar que PPP y CHAP estén configurados correctamente. Los comandos show running-config y show interface serial número-deinterfaz muestran la configuración de encapsulamiento en las interfaces seriales. Introduzca ambos comandos en el modo EXEC privilegiado y observe la salida que presentan. En las figuras 5.2 y 5.3 se muestran las salidas de dichos comandos Fig. 5.2 Salida de show running-config para mostrar que PPP y CHAP se encuentran configurados en las interfaces seriales. 90

95 Fig 5.3 Salida del comando show interface serial 0/0 para mostrar que PPP está activo en la interfaz Serial 0/0 del router. Paso 7 Verificar conectividad. Después de verificar la configuración de PPP y CHAP revise que haya conectividad. Haga ping en cada enlace serial. En caso de que el ping falle, revise la configuración de la autenticación. Paso 8 (opcional) Verificar la interconexión. Configure cualquier protocolo de enrutamiento en los tres routers (se sugiere RIP, por ser el más sencillo). Una vez que haya configurado el protocolo que eligió y que haya verificado que haya una ruta aprendida por RIP en la tabla de enrutamiento en los routers Izquierda y Derecha, haga ping de Serial 0/0 en Izquierda a Serial 0/1 en Derecha y viceversa. Ambos pings deben ser exitosos. 91

96 5.2 Red Digital de Servicios Integrados Las Redes digitales de servicios integrados (Integrated Services Digital Network, ISDN) son redes que proporcionan conectividad digital de extremo a extremo para dar soporte a una amplia gama de servicios, que incluye servicios de datos y de voz. Las ISDN permiten la operación de múltiples canales digitales al mismo tiempo a través del mismo cable telefónico normal utilizado en las líneas analógicas, pero las ISDN transmiten señales digitales y no analógicas. La latencia es mucho menor en una línea ISDN que en una línea analógica. Las compañías telefónicas desarrollaron la tecnología ISDN con el fin de crear redes totalmente digitales. La ISDN permite que las señales digitales se transmitan a través del cableado telefónico existente. Esto se hizo posible cuando se actualizaron los switches de las compañías telefónicas para que manejaran señales digitales. En general, las ISDN se utilizan para los empleados que trabajan fuera de la oficina y para la interconexión de pequeñas oficinas remotas a las LAN corporativas Canales ISDN La conexión utiliza canales portadores de 64 kbps (B) para transportar voz y datos, y una señal, canal delta (D), para la configuración de llamadas y otros propósitos. La interfaz de acceso básico (BRI) ISDN está destinada al uso doméstico y a las pequeñas empresas y provee dos canales B de 64 kbps y un canal D de 16 kbps (2B+D) Para las instalaciones más grandes, está disponible la interfaz de acceso principal (PRI) ISDN. En América del Norte, PRI ofrece veintitrés canales B de 64 kbps y un canal D de 64 kbps, para un total de velocidad de transmisión de hasta 1,544 Mbps. Esto incluye algo de carga adicional para la sincronización. En Europa, Australia, y otras partes del mundo, PRI ISDN ofrece treinta canales B y un canal D para un total de velocidad de transmisión de hasta 2,048 Mbps, incluyendo la carga de sincronización. Una aplicación común de ISDN es la de ofrecer capacidad adicional según la necesidad en una conexión de línea alquilada. La línea alquilada tiene el tamaño para transportar el tráfico usual mientras que ISDN se agrega durante los períodos de demanda pico. ISDN también se utiliza como respaldo en caso de que falle la línea alquilada. Las tarifas de ISDN se calculan según cada canal B y son similares a las de las conexiones analógicas. 92

97 5.2.2 Acceso ISDN Los canales B se pueden usar para transmisiones digitales de voz. En este caso, se utiliza métodos especializados para la digitalización de la voz. Los canales B también pueden utilizarse para el transporte de datos a velocidades relativamente altas. De este modo, la información se transporta en el formato de tramas, mediante el control de enlace de datos de alto nivel (HDLC) o el protocolo PPP como protocolos de Capa 2. El PPP es mucho más sólido que el HDLC ya que ofrece un mecanismo para la autenticación y negociación de la configuración de protocolos y enlaces compatibles. Se considera a las ISDN como conexiones conmutadas por circuito. El canal B es la unidad elemental para la conmutación por circuito. El canal D transporta mensajes de señalización tales como establecimiento y corte de la llamada, para el control de llamadas en los canales B. El tráfico en el canal D emplea el Protocolo de procedimiento de acceso al enlace en canales D (LAPD). El LAPD es un protocolo de capa de enlace de datos basado en el HDLC. 5.3 Frame Relay Descripción de la Tecnología Frame Relay Frame Relay es un servicio WAN de conmutación de paquetes, orientado a conexión. Fue diseñada para permitir que los equipos ISDN tuvieran acceso a servicios conmutados por paquetes en un canal B. Sin embargo, es ahora una tecnología independiente que opera en la capa de enlace de datos del modelo de referencia OSI y utiliza un subconjunto del protocolo de control de enlace de datos de alto nivel (HDLC) llamado Procedimiento de Acceso a Enlaces para Frame Relay (LAPF), Las tramas transportan datos entre los dispositivos de usuarios (DTE) y el equipo de comunicaciones de datos (DCE) en la frontera de la WAN. Una red Frame Relay puede ser privada, pero es más común que se usen los servicios de una compañía de servicios externa. Una red de este tipo consiste, en general, de muchos switches Frame Relay esparcidos geográficamente, los cuales se interconectan mediante líneas troncales. Con frecuencia, se usa Frame Relay para la interconexión de LAN. En estos casos, un router en cada una de las LAN será el DTE. Una conexión serial, como una línea arrendada T1/E1, conecta el router al switch Frame Relay de la compañía de servicio en su punto de presencia más cercano al router. El switch Frame Relay es un dispositivo DCE. Las tramas se envían y entregan desde un DTE a otro utilizando la red de Frame Relay creada por los DCE de la compañía de servicios. 93

98 5.3.2 Terminología de Frame Relay La conexión a través de la red Frame Relay entre dos DTE se denomina circuito virtual (VC). Los circuitos virtuales pueden establecerse de forma dinámica mediante el envío de mensajes de señalización a la red. En este caso se denominan circuitos virtuales conmutados (SVC). Sin embargo, los SVC no son muy comunes. Por lo general se usan circuitos virtuales permanentes (PVC), previamente configurados por la compañía de servicios. Frame Relay no tiene mecanismos de recuperación de errores, porque fue diseñada para operar en líneas digitales de alta calidad. El control de errores se lleva a cabo en las capas superiores de OSI. El router conectado a la red Frame Relay puede disponer de múltiples circuitos virtuales que lo conectan a diversos destinos. Esto hace que Frame Relay sea una alternativa muy económica. Con esta configuración, todos los destinos comparten una sola línea de acceso y una sola interfaz. Se generan ahorros adicionales ya que la capacidad de la línea de acceso se establece según las necesidades de ancho de banda promedio de los circuitos virtuales, y no según las necesidades máximas de ancho de banda. Los diversos circuitos virtuales en la línea de acceso única se diferencian mediante un identificador de canal de enlace de datos (DLCI) para cada circuito. El DLCI se almacena en el campo de dirección de cada trama transmitida y solamente tiene importancia local. Puede ser diferente en cada extremo de un VC Topologías Es improbable que Frame Relay sea económica cuando sólo se necesita interconectar dos lugares mediante una conexión punto a punto. Frame Relay resulta más atractiva económicamente cuando se requiera interconectar múltiples lugares. Por lo general se utiliza la topología en estrella. Al implementar una topología en estrella con Frame Relay, cada ubicación remota tiene un enlace de acceso a la nube de Frame Relay mediante un único VC. El nodo central tiene un enlace de acceso con múltiples VC, uno por cada ubicación remota. Debido a que las tarifas de Frame Relay no se establecen en función de la distancia, el nodo central no necesita estar situado en el centro geográfico de la red. 94

99 Se elige una topología de malla completa cuando los servicios a los que se debe tener acceso están geográficamente dispersos y se necesita de un acceso altamente confiable a los mismos. Con una malla completa, todos los sitios están interconectados entre ellos. A diferencia de lo que ocurre con las interconexiones mediante líneas arrendadas, con Frame Relay se puede implementar una malla completa sin hardware adicional. Es necesario configurar VC adicionales en los enlaces existentes para pasar de una topología en estrella a una de malla completa. En las redes de gran tamaño la topología de malla completa rara vez resulta atractiva económicamente. Esto se debe a que el número de enlaces necesario para una topología de malla completa crece hasta alcanzar casi el cuadrado del número de lugares. Aunque en Frame Relay los equipos no son un problema, hay un límite de 1000 VC por enlace. En la práctica, las redes de mayor tamaño usan por lo general una topología de malla parcial. Con la malla parcial, hay más interconexiones que las de una disposición en estrella, pero no tantas como en una malla completa. El esquema a usar depende en mucho de las necesidades de flujo de datos. Puede haber problemas de alcance, sin importar la topología de Frame Relay, cuando se usa una sola interfaz para interconectar varios lugares. Esto se debe a la naturaleza de acceso múltiple sin broadcast (NBMA) de Frame Relay. El horizonte dividido es una técnica que se utiliza en los protocolos de enrutamiento para prevenir los loops de enrutamiento que no permite el envío de actualizaciones de enrutamiento por la misma interfaz que recibió la información de la ruta. Esto puede causar problemas en las actualizaciones de enrutamiento en un entorno de Frame Relay donde múltiples PVC comparten una sola interfaz física Interfaz de Administración Local Cuando los fabricantes implementaron la Frame Relay como una tecnología separada y no como un componente de ISDN, decidieron que era necesario disponer de DTE para obtener información sobre el estado de la red de forma dinámica. Esta característica no estaba incluida en el diseño original. Las extensiones creadas para habilitar la transferencia de la información de estado se llaman Interfaz de administración local (LMI). El campo de 10 bits del DLCI permite identificadores de VC que van desde 0 hasta Las extensiones LMI se reservan algunos de estos identificadores. Esto reduce el número de VC permitidos. Los mensajes LMI se intercambian entre los DTE y los DCE utilizando los DLCI reservados. Las extensiones LMI incluyen las siguientes: El mecanismo de actividad, el cual comprueba que un VC esté en funcionamiento 95

100 El mecanismo multicast El control de flujo La capacidad de dar significado global a los DLCIs. El mecanismo de estado de los VC Existen varios tipos de LMI, todos incompatibles entre ellos. El tipo de LMI configurado en el router debe coincidir con el utilizado por el proveedor de servicios. Los routers Cisco soportan tres tipos de LMI: Cisco: las extensiones LMI originales ANSI: las correspondientes al estándar ANSI T1.617 Anexo D q933a: las correspondientes al estándar UIT Q933 Anexo A Los mensajes LMI se envían a través de una variante de las tramas LAPF. Esta variante incluye cuatro campos adicionales en el encabezado, a fin de hacerlos compatibles con las tramas LAPD que se utilizan en la tecnología ISDN. El campo de dirección lleva uno de los DLCI reservados. Seguido a esto se encuentran los campos de control, de discriminación de protocolos y el de referencia de llamadas, los cuales no cambian. El cuarto campo indica el tipo de mensaje LMI. Los mensajes de estado LMI combinados con los mensajes del ARP inverso permiten que un router vincule direcciones de capa de red con direcciones de la capa de enlace de datos. Cuando un router que está conectado a una red Frame Relay arranca, envía un mensaje de consulta de estado LMI a la red. La red contesta con un mensaje de estado LMI que contiene detalles de cada VC configurado en el enlace de acceso. 96

101 5.3.5 Configuración de Enlaces con Frame Relay Situación: Se requiere interconectar las LAN de dos oficinas remotas. El análisis de costos indica que la mejor opción es contratar Frame Relay para lograr el propósito. Usted debe levantar el enlace y verificar que haya comunicación entre ambas LAN. La topología de este ejercicio se presenta en la figura 5.4. Fig. 5.4 Topología para la red de Frame Relay. Objetivos: Configurar el encapsulamiento Frame Relay en una interfaz serial. Configurar el tipo de LMI correcto para el enlace. Configurar un mapa estático IP-DLCI. Verificar la conexión. Paso 1 Configuración del Switch Frame Relay. La nube del diagrama es en realidad otro router Cisco 2620 Series. Conecte la red como se muestra. Los DCE deben estar conectados a la nube Frame Relay. Una vez que se ha conectado todo debidamente, proceda a configurar el switch Frame Relay (nube). El nombre de host será Frame_Relay. De igual manera, en el modo de configuración global introduzca los comandos siguientes. Frame_Relay(config)#frame-relay switching Frame_Relay(config)#interface serial 0/0 Frame_Relay(config-if)#clock rate Frame_Relay(config-if)#encapsulation frame-relay Frame_Relay(config-if)#frame-relay lmi-type ansi Frame_Relay(config-if)#frame relay intf-type dce 97

102 Frame_Relay(config-if)#frame relay route 102 interface serial 0/1 201 Frame_Relay(config-if)#no shutdown Frame_Relay(config-if)#interface serial 0/1 Frame_Relay(config-if)#clock rate Frame_Relay(config-if)#encapsulation frame-relay Frame_Relay(config-if)#frame-relay lmi-type ansi Frame_Relay(config-if)#frame-relay intf-type dce Frame_Relay(config-if)#frame relay route 201 interface serial 0/0 102 Frame_Relay(config-if)#no shutdown Paso 2 Configurar los routers de cada oficina. Configure los routers con los nombres que se indican en el diagrama (1 y 2) y proceda como se indica a continuación. En el router 1: 1(config)#interface FastEthernet 0/0 1(config-if)#ip address (config-if)#no shutdown 1(config-if)#interface serial 0/0 1(config-if)#ip address (config-if)#no shutdown En el router 2: 2(config)#interface FastEthernet 0/0 2(config-if)#ip address (config-if)#no shutdown 2(config-if)#int serial 0/1 2(config-if)#ip address (config-if)#no shutdown Paso 3 Configurar el encapsulamiento para Frame Relay. En cada router, introduzca los siguientes comandos en las interfaces que correspondan. Router 1 (Serial 0/0): 1(config-if)#encapsulation frame-relay 1(config-if)#frame-relay lmi-type ansi 1(config-if)#frame-relay map ip broadcast Router 2 (Serial 0/1): 2(config-if)#encapsulation frame-relay 2(config-if)#frame-relay lmi-type ansi 2(config-if)#frame-relay map ip broadcast 98

103 El commando frame-relay map ip asocia el DLCI local con la dirección IP del router remoto. Es decir, si un paquete es enviado hacia , el router 1 lo enviará a través del DLCI 102 (se han asignado estos números en relación al la dirección de los datos. 102 representa que el router 1 envía datos a router 2. De igual manera, 201 implica que 2 le envía datos a 1). El argumento broadcast permite que la interfaz reenvíe broadcasts como unicasts (en caso de usar un enlace multipunto) por cada DLCI y con ellos las actualizaciones de enrutamiento. Aunque no se use un enlace multipunto es necesario este argumento, ya que Frame Relay por defecto no reenvía broadcasts. Paso 4 Verificar la conectividad. Haga Ping desde la interfaz serial de 1 hasta la interfaz serial de 2. El ping debe ser exitoso. En caso de no ser así, verifique que el mapeo IP a DLCI sea correcto y que el tipo de encapsulamiento sea idéntico en los routers y el switch Frame Relay. El tipo de LMI también debe coincidir. Paso 5 Mostar la información sobre Frame Relay. En el modo EXEC privilegiado se pueden introducir comandos que proporcionan información sobre los PVC, los DLCI y el encapsulamiento. Éstos son: show frame-relay map, show frame-relay pvc y show frame-relay lmi. La figura 5.x muestran las salidas de estos comandos. En la figura 5.5 se muestran las salidas de estos comandos. Fig.5.5 Salidas de show frame-relay map, show frame-relay lmi y show frame-relay PVC. 99

104 Paso 6 Configurar el enrutamiento. Como es sabido, para que las LAN puedan comunicarse entre sí se necesita tener un protocolo de enrutamiento funcionando. Configure RIP versión 2 para brindar enrutamiento entre las LAN. Cuando termine, revise la tabla de enrutamiento. Debe haber rutas aprendidas por RIP. Paso 7 Verificar conectividad de extremo a extremo. Configure los hosts con direcciones IP de las subredes que les corresponda según las direcciones de las interfaces Fast Ethernet. Una vez hecho esto, haga ping de un host a otro. El ping debe tener éxito. 100

105 5.4 Desafío de habilidades de Networking Situación: La empresa Migewiki, con oficinas originalmente sólo en Papantla, se ha expandido y abrió dos oficinas más en Xalapa. Debido al flujo comercial de la región Norte de Veracruz ha pasado sus oficinas administrativas a Poza Rica para atender desde ahí todos los asuntos de comercialización, y dejó en Papantla una red grande, donde se lleva a cabo el trabajo técnico. En Xalapa, las sucursales atenderán la demanda de servicios en la región centro del estado. Los ingenieros y analistas de Migewiki proponen PPP con CHAP en los enlaces entre Papantla y Poza Rica y para los enlaces entre las dos oficinas de Xalapa. También sugieren Frame Relay para conectar la zona Norte con Xalapa, a través de Poza Rica y Xalapa 1. La topología propuesta por el equipo de Migewiki se presenta en la figura 5.6. Fig. 5.6 Topología presentada por los ingenieros de Migewiki para el proyecto de interconexión de la red. Las redes presentan los siguientes requerimientos de espacio de direcciones: Papantla: 350 hosts. Poza Rica: 50 hosts, divididos según las VLAN. Ventas requiere 30; Contabilidad, 10 y Gerencia, 10. Xalapa 1: 630 hosts. Xalapa 2: 420 hosts. 101

106 Migewiki cuenta con un espacio de direccionamiento público de 30 direcciones clase C con la dirección de red de /27. Todas las tareas de configuración se cumplirán por partes y en un tiempo indicado. Etapa I Asignar subredes en las LAN y los enlaces seriales Asigne las subredes de la manera más eficiente. Use la técnica más conveniente para estos efectos. Para el direccionamiento interno, los ingenieros han decidido usar una dirección privada de clase B /16. Dispone usted de 45 minutos para cumplir esta parte del proyecto. Recuerde documentarlo y registrarlo como en el ejercicio Use el mismo formato del ejercicio. Guarde bien su documentación. Puede serle útil más adelante en caso de problemas. Etapa II Configuración Básica e IP de los enrutadores Configure los enrutadores según lo requerido por el personal de Migewiki. Los hostname serán las ciudades u oficinas donde se ubican los equipos. Así mismo las contraseñas de line con 0, vty 0 4 (papantla, poza, xalapa1 y xalapa2 en ambas líneas) y el enable secret (migewiki en todos los routers). Configure las interfaces Fast Ethernet y Seriales según las direcciones de subred y las máscaras que calculó en la etapa I. No configure Fast Ethernet en Poza Rica, ya que esto se hará en la etapa III. Para finalizar esta etapa, configure EIGRP en el sistema autónomo 100, como el protocolo que brindará comunicación entre sucursales y las interfaces pasivas para optimizar el flujo de tráfico. Configure en Papantla la Fast Ethernet 0/1 con la dirección /24. Ésta servirá como salida hacia el ISP. Documente esta etapa y conserve la documentación. En los formatos debe incluir el nombre de host, contraseñas (consola, vt y enable secret), Interfaz (tipo y número) con su dirección IP y máscara de subred, e información sobre el protocolo de enrutamiento (AS, interfaces pasivas, etc). Para esta etapa usted dispone de 90 minutos. Etapa III Implementación de Redes Locales Virtuales En Poza Rica se implementarán tres VLAN en las dos plantas del edificio. Éstas se llamarán Ventas (VLAN 10), Contabilidad (VLAN 20) y Gerencia (VLAN 30). El Switch de la planta baja (hostname Piso_1) fungirá como servidor VTP y conectará las VLAN con el router mientras que el switch de la planta alta (hostname Piso_2) será cliente VTP. El dominio VTP se llamará poza_rica. El Gateway de los switches será Se asignarán los puertos a las VLAN en grupos de 7 (Fa0/4-Fa0/10 en Ventas, Fa0/11-Fa0/17 en Contabilidad y Fa0/18-Fa0/24 en Gerencia.) Configure el enlace de router en un palo con encapsulamiento 802.1Q. No olvide anunciar las VLAN para el enrutamiento mediante EIGRP en el AS 100 En su reporte incluya el 102

107 nombre de host de cada switch, las VLAN configuradas en él, dirección IP de VLAN 10, modo VTP, encapsulamiento de los enlaces troncales y las subinterfaces (en el router) indicando a qué VLAN pertenecen, sus direcciones IP y máscaras de subred. Usted cuenta con 40 minutos para completar esta etapa. Etapa IV Configuración de enlaces WAN. PPP será configurado en el enlace entre Papantla (Serial 0/0) y Poza Rica (Serial 1) y también entre Xalapa 1 (Serial 0/1) y Xalapa 2 (Serial 0/0), con CHAP como método de autenticación. La contraseña para Papantla-Poza Rica es zonanorte y para Xalapa1-Xalapa2 será xalapas. Poza Rica y Xalapa 1 serán los DCE de los enlaces PPP (con una velocidad de 56000). Entre Poza Rica (Serial 0/0) y Xalapa 1 (Serial 0/0) se levantará un enlace Frame Relay. Implemente un switch Frame-Relay con un router Cisco 2620 Series (refiérase al ejercicio 5.3.5). Levante las conexiones PPP y Frame Relay. Haga pruebas de conectividad y documente su trabajo. El formato de reporte (por router) debe incluir el nombre del host, Interfaz (Tipo y dirección IP con máscara de subred), encapsulamiento, método de autenticación (si aplica), tipo de LMI, número de DLCI (si ambos aplican), prueba con ping (IP fuente, IP destino y resultado del ping) y prueba con telnet de extremo a extremo (IP fuente, IP destino y resultado). Para esta etapa usted cuenta con 40 minutos. Etapa V Configuración de Direccionamiento Público. Como se mencionó anteriormente, Migewiki posee la dirección /27 para su direccionamiento público. En este sentido, observe cuántas direcciones públicas se tienen y cuántos hosts privados habrá que direccionar hacia la Internet Proceda a configurar NAT (elija el mejor método de traducción según el número de hosts y de direcciones) en Papantla. Asigne estáticamente las primeras dos direcciones públicas a los hosts y El reporte para esta etapa incluye el nombre del conjunto NAT, la lista de control que permite la traducción, las direcciones públicas asignadas estáticamente a las privadas y la posición de las interfaces del router (internas o externas). Esta etapa debe completarse en 30 minutos. Etapa VI Creación de Listas de Control de Acceso Se crearán listas NOMBRADAS EXTENDIDAS que controlen el tráfico de la siguiente manera: VLAN 10 tiene prohibido el acceso a Internet. El tráfico entrante a Papantla sólo puede ser HTTP, POP3 y DNS. Proviniendo de cualquier fuente tiene prohibido el acceso a cualquier subred. Xalapa 2 tiene prohibido el tráfico Web de salida. 103

108 Documente lo siguiente: host, lista de control de acceso (nombre y sentencias), interfaz en donde se hayan colocado ACL (tipo y sentido de la lista), resultados de las pruebas según las sentencias de cada lista. Para completar esta etapa, se dispone de 60 minutos. Etapa VII DHCP Migewiki ha pedido que se configure DHCP en todas sus sucursales. El nombre de dominio es migewiki.net.mx, los servidores DNS son y Los nombres de los conjuntos DHCP serán los nombres del host. Excluya 50 direcciones (desde la primera) en Papantla, 10 en cada VLAN de Poza Rica, 50 en Xalapa 1 y 20 en Xalapa 2. El reporte de esta etapa incluye nombre de host, nombre del conjunto DHCP, rango excluido, rango de asignación dinámica, servidores DNS y nombre del dominio. Verifique la operación de DHCP en todos los routers antes de terminar con esta etapa. Dispone de 25 minutos. Conserve la documentación, en orden, para cualquier problema que se presente en el futuro. 104

109 Capítulo VI APORTACIONES AL DESARROLLO Durante el desarrollo de este manual se encontraron algunas situaciones útiles. La configuración de los enrutadores y conmutadores es muy sencilla cuando se conoce bien la función de cada comando que se usa y la definición de las funciones que se implementan en dichos equipos. Es importante haber estudiado previamente la teoría que describe cada tema y practicar la configuración. Es ampliamente recomendado utilizar la ayuda de los comandos (comando?). De esta forma se tiene un panorama más amplio acerca de la correcta utilización del comando, de su sintaxis y de su estructura. En general se recomienda usar la tecla TAB para completar comandos automáticamente y usar estos en forma abreviada. Por lo común basta con escribir la mitad de ellos (si son cortos no aplica). Si usando este atajo apareciera %Ambiguous command en el indicador de la línea de comando, introduzca el comando hasta donde lo había escrito y ponga un signo de interrogación sin espacio. Esto le dará una lista de los comandos que comienzan igual y podrá revisar hasta qué parte del comando es posible abreviar. Autocompletar comandos con TAB y usar las abreviaturas ahorran tiempo al configurar. Recuerde que en la práctica laboral el tiempo es un factor importante. Nunca intente comenzar a configurar sin tener una visión general de lo que se va a hacer. Se recomienda leer detenidamente los ejercicios antes de empezar a trabajar en la configuración. Esto a su vez ayuda mucho a memorizar los comandos y la secuencia que hay que seguir al configurar cualquier función en los equipos. Todo tiene un orden y debe respetarse, ya que hay servicios que no se activan si se omiten pasos en el procedimiento. Sea cuidadoso si requiere borrar o actualizar el archivo de configuración activa (startup-config). Un error al teclear el nombre del archivo puede ocasionar la pérdida del archivo imagen del IOS. Use TAB para completar el nombre del archivo de configuración (aplica también para running-config). Ponga mucha atención en sus conexiones físicas. Respete las etiquetas de DCE y DTE. Si las invierte por omisión o por error el enlace simplemente no se activará nunca. En el caso específico de la asignación de subredes con VLSM resulta particularmente útil escribir las direcciones IP en forma binaria y especificando los bits de la porción de subred y los de la porción de host. Esto ayuda a tener un orden lógico y bien definido en el acomodo de los bits. Además es mucho más sencillo hacerlo de esta manera que en forma decimal. Cuando se trabaja en la implementación de NAT y PAT es muy útil visualizar el límite entre las redes interna y externa. De esta forma se facilita la tarea de definir 105

110 las interfaces NAT como internas o externas. Conviene también recurrir a la ayuda de los comandos, ya que éstos son muy largos. Procure memorizar la estructura de éstos. Es común el error de configurar un resumen de ruta en la ACL que permite la traducción para un conjunto NAT. Nunca haga esto. Es más seguro establecer una sentencia permit por cada subred que se traducirá. Si configura rutas estáticas desde redes externas, éstas deben apuntar a la red NAT y no a la red privada. Los protocolos de enrutamiento son muy sencillos de configurar, recuerde que la clave es publicar solamente las redes o subredes que se encuentran DIRECTAMENTE CONECTADAS. En OSPF y ACL las máscaras wildcard pueden generar cierto nivel de confusión. Para calcularlas con facilidad recuerde que lo mejor es convertir la máscara de subred a su forma binaria, cambiar los unos por ceros y viceversa. Una vez hecho esto, convierta de nuevo a la forma decimal. El éxito en la resolución de problemas reside en la correcta interpretación de los comandos show asociados a cada protocolo y de las pruebas de conectividad. Para verificar la operación correcta de las ACL, deberá intentar usar las aplicaciones que correspondan y esperar el comportamiento según las sentencias de las listas. La implementación de VLAN es más engorrosa que difícil. Ponga especial atención nuevamente a los comandos. Una vez que tenga bien conocidos todos ellos le resultará sencillo configurar las redes virtuales en los switches y proveer enrutamiento entre ellas. Como se vio anteriormente, la configuración de tecnologías WAN es muy sencilla. Ponga mucha atención al momento de configurar mapas estáticos al implementar enlaces con Frame Relay. La clave es relacionar el DLCI LOCAL con la dirección IP REMOTA. Cuando realice las pruebas de conectividad y tenga problemas (especialmente si espera una respuesta exitosa de ping) y sus conexiones y configuraciones sean correctas, verifique la configuración del Firewall de Windows. Comúnmente está activado, así que la solución más simple es desactivarlo. Una opción más atractiva para evitar dejar sin protección a la PC está en la pestaña Opciones Avanzadas en el cuadro de diálogo de configuración del Firewall. Ahí encontrará una opción para configurar ICMP. Pulse sobre el botón Configuración y marque todas las casillas de verificación. Por último y como recomendación fundamental: no deje de practicar. Es muy importante, y como todo, es la práctica lo que lleva al dominio de las destrezas. Primero estudie detenidamente sus ejercicios y después ponga manos a la obra. Cuando considere que ya domina las configuraciones impóngase límites de tiempo para completar todo el procedimiento hasta que logre vencer al reloj. Complemente su nivel de práctica con un profundo estudio de los aspectos teóricos. Centre su atención en comprender y diferenciar la teoría de cada Tecnología WAN. 106

111 107

112 REFERENCIAS dhcp.htm spf.htm _ea1/configuration/guide/swvlan.html _ea1/configuration/guide/swvlan.html Navarro i Fajardo, Sergio 13 de marzo de 2007 SOFTWARE DE PRUEBA Packet Tracer 4.01 Cisco Systems Inc The Boson NetSim V Swartz, John; Altman, Chad; Rajala, David Boson Software Inc PumpKIN V TFTP Server Klever Group 108

113 ANEXOS A Archivos de configuración del Desafío de Habilidades de Networking. Papantla Current configuration : 1785 bytes version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Papantla logging rate-limit console 10 except errors enable secret 5 $1$vl5g$TQwO.Ud6PVYYz1ifRsSMJ0 username Poza_Rica password 0 zonanorte ip subnet-zero no ip finger ip dhcp excluded-address ip dhcp pool papantla network default-router dns-server domain-name migewiki.net.mx interface FastEthernet0/0 ip address ip access-group papantla out ip nat inside duplex auto speed auto interface Serial0/0 ip address ip nat inside encapsulation ppp no fair-queue ppp authentication chap interface FastEthernet0/1 ip address ip nat outside duplex auto speed auto 109

114 interface Serial0/1 no ip address shutdown router eigrp 100 passive-interface FastEthernet0/0 passive-interface FastEthernet0/1 network network auto-summary eigrp log-neighbor-changes ip nat pool migewiki netmask ip nat inside source list 1 pool migewiki overload ip nat inside source static ip nat inside source static ip classless no ip http server ip access-list extended papantla permit tcp any eq www permit tcp any eq pop permit tcp any eq domain deny ip any any deny tcp any any access-list 1 permit access-list 1 permit access-list 1 permit access-list 1 permit access-list 1 permit access-list 1 permit line con 0 password papantla login transport input none line aux 0 line vty 0 4 password papantla login end Poza Rica Current configuration : 2106 bytes version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Poza_Rica logging rate-limit console 10 except errors enable secret 5 $1$QHHM$fDDQntAvH0Fl.c0jiOWDi0 username Papantla password 0 zonanorte ip subnet-zero 110

115 no ip finger ip dhcp excluded-address ip dhcp excluded-address ip dhcp excluded-address ip dhcp pool ventas network default-router dns-server domain-name migewiki.net.mx ip dhcp pool conta network default-router dns-server domain-name migewiki.net.mx ip dhcp pool gerencia network default-router dns-server domain-name migewiki.net.mx interface FastEthernet0/0 no ip address duplex auto speed auto interface FastEthernet0/0.1 encapsulation dot1q 10 ip address interface FastEthernet0/0.2 encapsulation dot1q 20 ip address interface FastEthernet0/0.3 encapsulation dot1q 30 ip address interface Serial0/0 ip address ip access-group poza out encapsulation frame-relay no fair-queue frame-relay map ip broadcast frame-relay lmi-type ansi interface Serial0/1 ip address ip access-group poza out encapsulation ppp clockrate ppp authentication chap router eigrp 100 passive-interface FastEthernet0/0 network auto-summary eigrp log-neighbor-changes 111

116 ip classless no ip http server ip access-list extended poza deny tcp host any deny ip host any permit tcp any permit ip any permit tcp any permit ip any deny tcp deny ip permit ip any any permit tcp any any line con 0 password poza login transport input none line aux 0 line vty 0 4 password poza login no scheduler allocate end Xalapa 1 Current configuration : 1267 bytes version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Xalapa_1 logging rate-limit console 10 except errors enable secret 5 $1$UO0/$ost2wirJIwXcIVnKnbvCw/ username Xalapa_2 password 0 xalapas ip subnet-zero no ip finger ip dhcp excluded-address ip dhcp pool xalapa1 network default-router dns-server domain-name migewiki.net.mx interface FastEthernet0/0 ip address duplex auto 112

117 speed auto interface Serial0/0 ip address encapsulation frame-relay no fair-queue frame-relay map ip broadcast frame-relay lmi-type ansi interface Serial0/1 ip address encapsulation ppp clockrate ppp authentication chap router eigrp 100 passive-interface FastEthernet0/0 network auto-summary eigrp log-neighbor-changes ip classless no ip http server line con 0 password xalapa1 login transport input none line aux 0 line vty 0 4 password xalapa1 login no scheduler allocate end Xalapa 2 Current configuration : 1236 bytes version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Xalapa_2 logging rate-limit console 10 except errors enable secret 5 $1$MgLM$19UrNWQ8JXWWUkBXzRbpC/ username Xalapa_1 password 0 xalapas ip subnet-zero no ip finger ip dhcp excluded-address ip dhcp pool xalapa2 network default-router

118 dns-server domain-name migewiki.net.mx interface FastEthernet0/0 ip address ip access-group xalapa in duplex auto speed auto interface Serial0/0 ip address encapsulation ppp ppp authentication chap interface Serial0/1 no ip address shutdown router eigrp 100 passive-interface FastEthernet0/0 network auto-summary eigrp log-neighbor-changes ip classless no ip http server ip access-list extended xalapa deny tcp eq www permit ip any any permit tcp any any line con 0 password xalapa2 login transport input none line aux 0 line vty 0 4 password xalapa2 login no scheduler allocate end Switch Frame Relay Current configuration : 856 bytes version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Frame_Relay logging rate-limit console 10 except errors 114

119 ip subnet-zero no ip finger frame-relay switching interface FastEthernet0/0 no ip address shutdown duplex auto speed auto interface Serial0/0 no ip address encapsulation frame-relay no fair-queue clockrate frame-relay lmi-type ansi frame-relay intf-type dce frame-relay route 102 interface Serial0/1 201 interface Serial0/1 no ip address encapsulation frame-relay clockrate frame-relay lmi-type ansi frame-relay intf-type dce frame-relay route 201 interface Serial0/0 102 ip classless no ip http server line con 0 transport input none line aux 0 line vty 0 4 no scheduler allocate end Switch Piso 1 Current configuration : 2074 bytes version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Piso_1 ip subnet-zero spanning-tree extend system-id 115

120 interface FastEthernet0/1 switchport mode trunk no ip address interface FastEthernet0/2 switchport mode trunk no ip address interface FastEthernet0/3 switchport mode trunk no ip address interface FastEthernet0/4 switchport access vlan 10 switchport mode access no ip address interface FastEthernet0/5 switchport access vlan 10 switchport mode access no ip address interface FastEthernet0/6 switchport access vlan 10 switchport mode access no ip address interface FastEthernet0/7 switchport access vlan 20 switchport mode access no ip address interface FastEthernet0/8 switchport access vlan 20 switchport mode access no ip address interface FastEthernet0/9 switchport access vlan 20 switchport mode access no ip address interface FastEthernet0/10 switchport access vlan 30 switchport mode access no ip address interface FastEthernet0/11 switchport access vlan 30 switchport mode access no ip address interface FastEthernet0/12 switchport access vlan 30 switchport mode access no ip address interface FastEthernet0/13 no ip address interface FastEthernet0/14 no ip address interface FastEthernet0/15 no ip address 116

121 interface FastEthernet0/16 no ip address interface FastEthernet0/17 no ip address interface FastEthernet0/18 no ip address interface FastEthernet0/19 no ip address interface FastEthernet0/20 no ip address interface FastEthernet0/21 no ip address interface FastEthernet0/22 no ip address interface FastEthernet0/23 no ip address interface FastEthernet0/24 no ip address interface Vlan1 no ip address no ip route-cache shutdown interface Vlan10 ip address no ip route-cache ip default-gateway ip http server line con 0 password cisco login line vty 0 4 password cisco login line vty 5 15 password cisco login end Switch Piso 2 Current configuration : 1992 bytes version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption 117

122 hostname Piso_2 ip subnet-zero spanning-tree extend system-id interface FastEthernet0/1 switchport mode trunk no ip address interface FastEthernet0/2 switchport mode trunk no ip address interface FastEthernet0/3 switchport mode trunk no ip address interface FastEthernet0/4 switchport access vlan 10 switchport mode access no ip address interface FastEthernet0/5 switchport access vlan 10 switchport mode access no ip address interface FastEthernet0/6 switchport access vlan 10 switchport mode access no ip address interface FastEthernet0/7 switchport access vlan 20 switchport mode access no ip address interface FastEthernet0/8 switchport access vlan 20 switchport mode access no ip address interface FastEthernet0/9 switchport access vlan 20 switchport mode access no ip address interface FastEthernet0/10 switchport access vlan 30 switchport mode access no ip address interface FastEthernet0/11 switchport access vlan 30 switchport mode access no ip address interface FastEthernet0/12 switchport access vlan 30 switchport mode access no ip address 118

123 interface FastEthernet0/13 no ip address interface FastEthernet0/14 no ip address interface FastEthernet0/15 no ip address interface FastEthernet0/16 no ip address interface FastEthernet0/17 no ip address interface FastEthernet0/18 no ip address interface FastEthernet0/19 no ip address interface FastEthernet0/20 no ip address interface FastEthernet0/21 no ip address interface FastEthernet0/22 no ip address interface FastEthernet0/23 no ip address interface FastEthernet0/24 no ip address interface Vlan1 no ip address no ip route-cache shutdown interface Vlan10 ip address no ip route-cache ip default-gateway ip http server line con 0 line vty 5 15 end 119

124 B Recuperación de Imagen del IOS en un router Cisco 2620 / 2621 Series Cuando un router pierde la imagen del sistema operativo, arrancará en el modo de Monitor de ROM, o rommon. Si esto le llegara a suceder, siga los siguientes pasos para restablecer el sistema operativo del router. Instale un servidor TFTP en una computadora (se recomienda ampliamente el PumpKIN de Klever Group, disponible en el sitio Ubique una copia de la imagen del IOS en la carpeta del servidor (generalmente es C:\Documents and Settings\usuario-actual, si está usando Windows XP). Conecte el router con un cable cruzado a la PC que hospeda al servidor TFTP y configure una IP privada válida en la PC. Conéctese al puerto de consola y espere el indicador de rommon. Una vez en rommon, proceda como se indica. rommon1>ip_address=dirección-ip-para-el-router (En la misma subred del Servidor) rommon2>ip_subnet_mask=mascara-de-subred-del-router rommon3>default_gateway=gateway-para-el-router (Es la misma IP del Servidor) rommon4>tftp_server=dirección-ip-del-servidor rommon5>tftp_file=nombre-del-archivo-de-imagen-ios Respete las mayúsculas y minúsculas, ya que el rommon SÍ distingue mayusculas y minúsculas cuando se trata de las variables de entorno. Para verificar que las variables hayan sido correctamente introducidas, escriba set y presione enter. Esto muestra todas las variables que introdujo. Verifíquelas y una vez que esté seguro de que son correctas y de que el servidor TFTP está corriendo y sin restricciones, teclee tftpdnld. Esto establece la sesión TFTP para la transferencia de la imagen del IOS. El router comenzará a descargar el archivo del servidor, y una vez terminado se instalará automáticamente. Apague el router y enciéndalo de nuevo. Debe iniciar ya con el IOS. 120

125 C Recuperación de la imagen IOS de un Switch Catalyst 2950 De igual forma que en un router, un switch que ha perdido la imagen de IOS no puede brindar toda su funcionalidad. Para restablecer el IOS en el switch, se sigue el procedimiento que se presenta a continuación. Conéctese al puerto de consola del Switch. Si aparece un indicador como #switch:, entonces hay que recuperar el IOS. Introduzca los siguientes comandos. #switch:flash_init #switch:load_helper #switch:copy xmodem: flash:nombre-de-imagen-de-ios Debe tener el archivo en la computadora desde la que esté conectado al switch. Si usa HyperTerminal, vaya al menú Transferir>Enviar archivo. Haga esto inmediatamente después de haber presionado enter en el comando copy xmodem en el switch. Cuando haga click en Enviar archivo del menú Transferir, aparecerá un cuadro de diálogo. Busque el archivo de imagen IOS y seleccione el protocolo Xmodem. Haga click en enviar. Este proceso toma algo de tiempo, debido a que la transferencia por Xmodem se hace aproximadamente a 1kB/seg. Sea paciente. Una vez descargado el IOS, verifique que se haya copiado. #switch:dir flash: Esto muestra los archivos existentes en la memoria flash. Ahora establezca la imagen copiada como la imagen de arranque. #switch:set BOOT flash:nombre-del-archivo-del-ios Al igual que en el router, sea cuidadoso de respetar mayúsculas y minúsculas. Para terminar, reinicie el switch quitando el cable de alimentación y volviendo a conectarlo. Debe arrancar normalmente. 121

126 D Lista de Acrónimos usados y su traducción al español ACL, Access Control List. Lista de Control de Acceso. AS, Autonomous System. Sistema Autónomo. BID. Bridge ID, Identificador de Puente. BPDU. Bridge Protocol Data Unit, Unidad de Datos del Protocolo de Puente. BRI ISDN, Basic Rate Interface, Interfaz de Tipo Básico (o Interfaz de Acceso Básico) ISDN. CHAP, Challenge Handshake Authentication Protocol, Protocolo de Autenticación de Desafío de Apretón de Manos (o Protocolo de Autenticación de Intercambio de señales). CLI. Command Line Interface, Interfaz de Línea de Comandos. DHCP, Dinamic Host Configuration Protocol, Protocolo de Configuración Dinámica de Hosts. DLCI, Data Link Connection Identifier, Identificador de Conexión de Enlace de Datos. EIGRP Enhanced Interior Gateway Routing Protocol, Protocolo de Enrutamiento de Gateway Interior Mejorado. HDLC, High-Level Data Link Control, Control de Enlace de Datos de Alto Nivel. IGRP, Interior Gateway Routing Protocol, Protocolo de Enrutamiento de Gateway Interior. IOS, nternetworking Operating System. Sistema Operativo de Interconexión de redes. ISDN, Integrated Services Digital Network, Red Digital de Servicios Integrados. LAN, Local Area Network, Red de área local LCP, Link Control Protocol, Protocolo de Control del Enlace. LMI. Local Management Interface, Interfaz de Administración Local. NAT, Network Address Translation, Traducción de Direcciones de Red. NCP, Network Control Protocol, Protocolo de Control de Red. OSPF, Open Shortest Path First, Primero la Ruta Libre más Corta. PAP, Password Authentication Protocol, Protocolo de Autenticación de Contraseña. PAT, Port Address Translation, Traducción de Direcciones de Puerto. PPP, Point-to-point Protocol. Protocolo de Punto a Punto. PRI ISDN. Primary Rate Interface, Interfaz de Tipo Primario (o Interfaz de Acceso Primario) ISDN. RIP, Routing Information Protocol, Protocolo de Información de Enrutamiento. STP, Spanning Tree Protocol, Protocolo del Árbol de Expansión. VLAN, Virtual Local Area Network, Red Virtual de Área Local. VLSM, Variable Lenght Subnet Mask, Máscara de Subred de Longitud Variable VTP, VLAN Trunking Protocol, Protocolo de Enlace Troncal de VLAN. WAN, Wide Area Network, Red de area extensa. 122

127 123