Mostrando entradas con la etiqueta Routing. Mostrar todas las entradas
Mostrando entradas con la etiqueta Routing. Mostrar todas las entradas

martes, 4 de julio de 2017

Terminología NAT - Gráfica



Por Oscar Gerometta

Al implementar y analizar NAT es necesario considerar la terminología que es propia de esta implementación.  El punto de referencia es primariamente el mismo NAT server o NAT box.
  • Red inside.
    Red que se encuentra del lado “interno” del dispositivo NAT.
    Habitualmente coincide con la red LAN.
  • Red outside.
    Red del lado “externo” del dispositivo NAT.
    Habitualmente coincide con la red WAN o Internet.

Se deben considerar también las diferentes direcciones IPv4 en juego en este proceso:
  • Inside Local Address
    Dirección asignada a los dispositivos que se encuentran conectados a la red Inside y que utilizan para sus comunicaciones locales.
  • Inside Global Address.
    Dirección admitida en la red Outside que han de utilizar los dispositivos de la red Inside para establecer comunicaciones a través de la red Outside.
    Es la que representa a una terminal de la red Inside en la red Outside.
  • Outside Local Address.
    Dirección configurada en los dispositivos que se encuentran conectados a la misma rede local, pero en la red Outside.
  • Outside Global Address.
    Dirección que representa a un dispositivo de la red Outside en la red Global.
Tomado de: http://librosnetworking.blogspot.com/2017/07/terminologia-nat-grafica.html
Publicado por en No hay comentarios:
Etiquetas: , , , ,

lunes, 15 de febrero de 2016

Protocolos de enrutamiento de red


Una vez que un(a) ingeniero(a) ha logrado un conocimiento básico de como funciona el enrutamiento (reenvío) de paquetes, el paso siguiente es configurar el método de enrutamiento. En este post se consideran las principales categorías de configuración de enrutamiento y se habla de diferentes tipos de protocolos de enrutamiento dinámico que son frecuentemente utilizados.

Como configurar el enrutamiento de la red

Existen dos principales formas de configurar el enrutamiento: estático y dinámico.

El enrutamiento estático generalmente es usado en redes pequeñas, donde la cantidad de routers a ser configurados es pequeña. De todos modos, el enrutamiento estático es algunas veces usado en redes grandes como una pequeña pieza de una infraestructura de enrutamiento dinámicamente controlada. En estos casos, las rutas estáticas definen típicamente rutas por defecto o tráfico que se dirige de manera controlada de una red a otra.

El Enrutamiento Dinámico está pensado para poder manejar automáticamente cambios en la red a medida que la topología va cambiando y es típicamente utilizado en todos los tipos de redes que no hemos mencionado previamente.

Como un ejemplo, demos un vistazo a la siguiente imagen. Este ejemplo muestra un número de caminos diferentes que un mensaje puede tomar cuando sale desde el router R1 hacia el R6. Por ejemplo, el tráfico podría ir por  R1 > R2 > R4 > R6 ó podría ir por R1 > R3 > R4 > R6.


Cuando se configura enrutamiento estático, típicamente el(la) ingeniero(a) configura una sola ruta para alcanzar el destino. En este caso, para llegar de R1 a R6 usando el camino por R2 y R4 la ruta tendría que ser configurada en R1, R2 y R4 para la ruta de ida y otra ruta será necesaria en R6, R4 y R2 para el camino de regreso. Tenga en mente que esta ruta es solo para una única red de destino.

 Para poder alcanzar cada destino potencial dentro de la red, el(la) ingeniero(a) inicialmente necesita calcular las mejores rutas para cada uno de los posibles destinos y luego configurar individualmente cada ruta a lo largo de cada "mejor camino". Obviamente este proceso puede tomar mucho tiempo. Piense en ¿que pasaría si ocurre una falla a lo largo del "mejor camino" calculado?.

 Esta es la razón por la que se usan protocolos de enrutamiento Dinámico en redes grandes y enrutamiento estático en redes pequeñas o en casos específicos. Los protocolos de enrutamiento dinámico eliminan el problema de la configuración manual, han sido diseñados para manejar topologías complejas y para lidiar con fallas en la red sin la necesidad de atención por parte del(la) administrador(a) de la red.

Tipos de Enrutamiento Dinámico

Luego de haber decido usar un protocolo de enrutamiento dinámico, el(la) ingeniero(a) tiene que tomar algunas decisiones adicionales relacionadas con el tipo de protocolo de enrutamiento dinámico. 

En el nivel mas alto existen dos categorías de protocolos de enrutamiento dinámico: Protocolos de Gateway Exterior (exterior gateway protocols EGPs) y Protocolos de gateway Interior (interior gateway protocols IGPs). 

 
Los EGPs conectan multiples dominios de red, se llaman Exterior porque el protocolo es exterior a los dominios de red. (Un dominio en este caso es una organización específica, un Service Provider o una red bajo una misma administración. También se llama un Sistema Autónomo (AS) ).

Los IGPs manejan el enrutamiento dentro de estos dominios de red. Estos protocolos son los más comunes y cada compañía con una red maneja su propio dominio de red.

Las redes modernas usan solo un protocolo EGP: el Border Gateway Protocol (BGP). 

Como es de esperar, existen varios diferentes IGPs y la elección de uno de ellos dependerá de los requerimientos de cada red. Los más populares IGPs son cuatro:
  • Open Shortest Path First (OSPF)
  • Enhanced Interior Gateway Routing Protocol (EIGRP)
  • Intermediate System to Intermediate System (IS-IS)
  • Routing Information Protocol (RIP)

 Estos protocolos EGP e IGP están categorizados en tres diferentes tipos de protocolos de enrutamiento: Vector-distancia, Estado-enlace y Vector-ruta

Existen un numero importante de diferencias entre estos tipos, los cuales vamos a ver en las siguientes tres secciones.

Protocolos Vector-distancia

Existen algunas características asociadas con los protocolos de enrutamiento Vector-distancia tradicionales:
  • La vista que un Router tiene de la red es solamente la que ha sido descubierta a partir de lo que conocen sus vecinos (También llamado "enrutamiento por rumor").
  • El Router envía una versión completa de su tabla de enrutamiento a sus vecinos en intervalos periódicos
  • Toman un tiempo largo en lograr la convergencia cuando ocurre una falla porque las actualizaciones solo se envían en intervalos regulares
  • En comparación con los protocolos Estado-enlace, los protocolos de Vector-distancia tienen una probabilidad mayor de causar bucles de enrutamiento (Routing loops).

 
El único protocolo moderno que conserva las características tradicionales de Vector-distancia es RIP. Este protocolo envía cada 30 segundos una copia completa de su tabla de enrutamiento a través de todas las interfaces habilitadas con RIP. Una vez que recibe una actualización desde uno de sus vecinos, instala la información recibida en su tabla de enrutamiento (asumiendo que no hay confictos). Si pasa algo y la ruta queda inalcanzable, la ruta permanece en la tabla de enrutamiento por al menos 180 segundos (temporizador de invalido por defecto) antes de ser marcada como "inalcansable". Esta técnica hace lenta la convergencia de una ruta que ha fallado y retraza el tráfico que podría haber sido enrutado por una ruta alternativa.

 RIP tiene tres versiones: RIP versión 1 (RIPv1), RIP versión 2 (RIPv2) y RIP next generation (RIPng). La forma de operar de estas tres versiones es muy similar pero hay algunas diferencias:
  • RIPv1 envia sus actualizaciones en Broadcast, mientras que RIPv2 usa Multicast evitando que los dispositivos "no-RIP" tengan que procesar paquetes extra cada 30 segundos.
  • RIPv2 soporta redes subneteadas (Sin clase, Classless, CIDR, VLSM) mientras que el RIPv1 solo soporta enrutamiento con clase (Classfull)
  • RIPng trabaja de forma similar a RIPv2 pero para direcciones IPv6

 EIGRP es tecnicamente un protocolo Vector-distancia y también se basa en la información de sus vecinos, pero EIGRP tiene varias características sobresalientes que lo hacen actuar como un protocolo Estado-enlace. Por esta razón a veces se considera a EIGRP como un protocolo híbrido, usando recursos de ambos tipos de protocolos. Otras características avanzadas incluyen la creación de adyacencias y actualizaciones parciales disparadas, por mencionar dos de ellas.


Para evitar los bucles de enrutamiento se usan dos métodos diferentes: Envenenamiento en reversa y Horizonte dividido. Envenenamiento en reversa es usado cada vez que una nueva ruta es aprendida de un vecino, cuando esto ocurre el router manda automáticamente una actualización de ruta de vuelta a la interface por la cual aprendió de esta ruta pero con una métrica infinita. Esto previente que el vecino use esa ruta que acaba de aprender.
 
Horizonte dividido es también usado cuando un router publica rutas fuera de sus interfaces. Con el horizonte divido, si una ruta es apredida por medio de una interface entonces no se envía la misma información sobre esa ruta por la misma interface.

Protocolos de Estado-enlace

Los protocolos de Estado-enlace a cada router en una red una vista completa de toda la red, permitiendo que cada router tenga la habilidad de calcular la mejor ruta a cada punto de la red. Todos los protocolos de enrutamiento de Estado-enlace modernos usan el algorimo SPF de Dijkstra.

 Los protocolos de Estado-enlace trabajan estableciendo adyacencias de vecinos con los routers conectados e intercambiando una copia de las redes conocidas (no solamente el contenido de su tabla de enrutamiento) con esos vecinos. Todas las actualizaciones que son recibidas son inmediatamente reenviadas a todos los otros vecinos conectados.

 Ambos protocolos, el OSPF e IS-IS, son protocolos de Estado-enlace y ambos usan el algoritmo de Dijkstra para construir el mapa con las mejores rutas a todos los puntos de la red. De todos modos, su configuración es muy distinta, y la elección de una red sobre otra está basada principalmente en los requerimientos de una red específica.

 OSPF es mayormente implementado en empresas mientras que IS-IS es mas popular en redes de Service Provider.

Protocolos de Vector-ruta


El único protocolo Vector-ruta en uso hoy en día es BGP. Cuando BGP es configurado, va a guardar una copia de todas los Sistemas autónomos (AS) alcanzables (AS es el término BGP para los Dominios de red de los que se habló antes en este post) y el camino para alcanzarlos. Esta información le da al protocolo una vista clara de cuales redes pueden alcanzarse y cual es el camino informado para cada una.

Un router BGP también usa un número diferente de atributos de ruta para determinar cual ruta finalmente usará para alcanzar un destino específico. Dado que BGP es un EGP y es usado para enrutar entre dominios de enrutamiento, es frecuente que existan múltiples caminos hacia un destino. Usando una combinación de estos atributos, un Router elige la ruta que usará.

Resumen

La opción de usar un método de enrutamiento dinámico o estático es determinado frecuentemente por el tamaño de la red. Si la red es muy pequeña (unos cuantos nodos) una solución con enrutamiento estático puede funcionar. De todos modos, aunque la red sea pequeña, un método de enrutamiento dinámico puede ser usado sin tener que hacer mucha configuración y este va a seguir siendo útil a medida que la red crezca.


El tipo de protocolo de enrutamiento dinámico a ser usado, finalmente, puede depender de la marca del equipo de enrutamiento que esté en uso. OSPF y EIGRP son dos de los protocolos de enrutamiento mas populares usados en redes empresariales. Uno de los dos, el EIGRP, es considerado mas sencillo de configurar, pero hasta hace no mucho tiempo ha sido un protocolo propietario de Cisco y en consecuencia no estaba disponible en equipos de otras marcas.

Si usted está instalando solamente equipo Cisco, la selección dependerá mas del entrenamiento que haya recibido su personal de redes y cual protocolo entienden mejor.

----------------------------------------
Post basado en el artículo de Sean Wilkins, publicado por CiscoPress en : http://www.ciscopress.com/articles/article.asp?p=2435847 con aportes del editor del blog

Traducido por José R. Torrico Gumucio - Cisco Networking Academy Instructor
Publicado por en 1 comentario:
Etiquetas: , , , , , , , , , , , ,

lunes, 25 de enero de 2016

Disponible en Bolivia: Apunte rápido CCNP ROUTE v5.1


Fecha de publicación: 21 de septiembre de 2015

Autor: Oscar A. Gerometta
CCSI / CCNA R&S / CCDA / CCNAwir / CCNA sec. / CCBF.
 Creador –en el año 2000- del primer curso de apoyo para alumnos de Cisco Networking 
Academy program que se preparan a rendir su examen de certificación CCNA, logrando entre sus alumnos un nivel de aprobación superior al 95%.

Texto:
Se trata de una síntesis de los contenidos de estudio comprendidos en el nuevo examen de certificación ROUTE 300-101.

Está alineado al examen CCNP ROUTE 300-101. 

Contenidos:
  • El examen de certificación ROUTE.
  • Conceptos básicos de enrutamiento IP.
  • Implementación de RIPng.
  • Implementación de EIGRP.
  • Implementación de OSPF.
  • Redistribución de rutas.
  • Implementación de control de rutas.
  • BGP - Conexión corporativa a Internet.
  • Protección de routers y protocolos de enrutamiento.
  • Anexo 1: Glosario de siglas.
  • Anexo 2: Protocolo IS-IS.
Cantidad de páginas: 265

 Algunas notas sobre esta versión:
  • Cubre la totalidad del temario.
  • Incluye enrutamiento IPv6.
  • Se incluye tanto la configuración de OSPFv3 como Named EIGRP.
  • IS-IS no es parte del temario del examen, ha sido incluido solo como información complementaria.
  • Por tratarse de un Apunte Rápido no incluye laboratorios.
Para la compra

Para costos y formas de envío en Bolivia comuníquese con: libros.networking.bolivia@gmail.com

SUPER PROMO! - Por la compra de tu libro en formato impreso obtienes el acceso a la promo para comprar el mismo título en formato digital por solamente 4 $us.

Otras opciones:

* Solo formato e-book  disponible para la compra en línea ingresando aquí.
* Argentina y resto del mundo (Excepto Bolivia):  diríjase directamente a Ediciones EduBooks por correo electrónico escribiendo  a libros.networking@gmail.com

Links


Publicado por en 2 comentarios:
Etiquetas: , , , , , , ,

miércoles, 6 de enero de 2016

¿Que es IPv6 Mobility?

IPv6 Mobility - Conceptos básicos

Por Oscar Gerometta

En la actualidad IP mobility es la única solución para mantener la conectividad en dispositivos que transitan a través de múltiples redes de acceso, que por ejemplo pasar de la red 4G a la red inalámbrica (802.11) y de allí a la red cableada. 
 
En estos casos, y para que esto sea posible, los dispositivos terminales debieran estar siempre accesibles con su dirección IP inicial. 

Esto requiere que el terminal pueda pasar de una red de acceso a otra de modo transparente, manteniendo su conexión. 

Debe ser transparente tanto para el usuario que se desplaza con su dispositivo móvil como para los dispositivos con los que se está comunicando.
 
IP Mobility se basa en un conjunto de conceptos específicos:


 

Home network

Red en la cual se conecta inicialmente el nodo móvil y en la cual recibe una dirección IP que lo identifica.

La dirección IP del nodo móvil es una IP correspondiente al segmento IP de la home network.

Home agent

Gateway (router) a través del cual el nodo móvil mantiene su comunicación activa cuando se encuentra en otros segmentos de red que no son su red inicial.

Es el default gateway original del nodo móvil y representa al mobile node en el home link cuando se ha desplazado. Por esto, responde los requerimientos de DAD y los mensajes network solicitation que se hacen a la home address del nodo móvil.

En él se registra el nodo móvil con su care-of address cuando se desplaza hacia el foreign link.

Mientras el nodo móvil esté fuera de su home link el home agent intercepta el tráfico que tiene como destino la home address del nodo móvil y lo coloca en un túnel que tiene como destino la care-of address correspondiente.

Mobile node


Dispositivo identificado con una dirección IPv6 que se desplaza desde la home network hacia otros segmentos de red manteniendo su identidad IP original.

Cuando el nodo móvil se desplaza, cambia su localización pero no cambia su identidad.

En función de esto el mobile node se registra con su home agent desde su nueva localización para que el home agent genere un túnel hasta el modo móvil para enviarle los paquetes que están dirigidos a su home link.

Home link

Prefijo que identifica el enlace inicial sobre el cual se establece conectividad entre el nodo móvil y el home agent.

Todo el tráfico que tiene como destino el nodo móvil es enrutado a través de Internet hacia este home link.

Foreign link

Segmento de red diferente al home link, al cual se ha desplazado el nodo móvil.

Home address

Dirección unicast ruteable asignada al nodo móvil y utilizada como dirección permanente de ese nodo. Es una dirección perteneciente al segmento del home link.

Un dispositivo móvil puede contar con múltiples home address.

Care-of address

Dirección de unicast ruteable asociada con el nodo móvil mientras se encuentra en el foreign link.

Si bien es posible que un nodo móvil reciba varias CoA en el foreign link, en el home agent se registrará una de esas direcciones como asociada a la home address, y recibe el nombre de CoA primaria.
Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
 el Glosario de Siglas y Términos de Networking
que está disponible en la Librería en Línea de EduBooks.

Tomado de:http://librosnetworking.blogspot.com/
Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

lunes, 16 de noviembre de 2015

IPv6: Implementando Dual Stack

Implementación de IPv6: Dual Stack

Por Oscar Gerometta

Quizás, la estrategia preferida para la transición hacia las arquitecturas IPv6 es dual-stack: cada nodo opera simultáneamente con IPv4 e IPv6. 

Esto permite una transición progresiva uno a uno manteniendo la operación de la red y permitiendo administrar las transiciones.

Es particularmente útil sobre todo porque algunas aplicaciones requieren ser modificadas para operar sobre IPv6 y de esta manera al mantener ambos stacks operativos las aplicaciones viejas o que aún están pendientes de ser actualizadas pueden seguir operando sin dificultades, mientras que las aplicaciones nuevas o actualizadas comienzan a operar preferentemente sobre IPv6.

 Hay disponible una API (Application Programming Interface) que soporta requerimientos DNS para IPv4 e IPv6 y permite responder a diferentes situaciones:

  • Una aplicación que no soporta IPv6 o está forzada a utilizar IPv4, hace una solicitud DNS de un registro tipo A para IPv4.
    En consecuencia la aplicación enviará su solicitud de servicio utilizando IPv4 como protocolo de transporte. El servidor DNS responderá enviando exclusivamente la dirección IPv4 correspondiente al nombre que se consulta.
  • Una aplicación que soporta solamente IPv6 o prefiere utilizar IPv6 operará sobre IPv6.
    La aplicación envía una solicitud exclusivamente de un registro AAAA con lo que obtendrá una dirección IPv6.
    En consecuencia la aplicación establecerá la conexión con el servidor utilizando IPv6 como protocolo de transporte en capa de red.
    Esto también se aplica cuando el dispositivo solamente tiene una dirección IPv6 configurada.
  • Una aplicación que puede operar indistintamente con IPv4 o IPv6. Para cada nombre que debe resolver se envía una solicitud DNS que requiere los registros de ambos versiones de direcciones (IPv4 e IPv6).
    El servidor DNS responde enviando todas las direcciones IP disponibles (v4 y/o v6) que están asociadas a ese nombre.
    Ya con la información de ambos protocolos, es la aplicación la que elije utilizar una u otra. El comportamiento propuesto por defecto (RFC 3484) es utilizar la dirección IPv6, y por lo tanto operar con paquetes IPv6. Este comportamiento debiera ser posible de modificar a nivel del nodo.
Cisco IOS soporta la operación en modo dual-stack tan pronto como ambos protocolos están configurados en una interfaz. 

A partir de ese punto puede reenviar ambos tipos de tráfico.
 
Eso puede realizarse tanto cuando se asignan direcciones estáticas o por un proceso de configuración dinámica o de autoconfiguración.

Enlaces relacionados
Tomado de: http://librosnetworking.blogspot.com/2015/11/implementacion-de-ipv6-dual-stack.html
Publicado por en No hay comentarios:
Etiquetas: , , , , , , , ,

miércoles, 28 de octubre de 2015

Conociendo Dynamic Multipoint VPN (DMVPN)


Por Jeremy Stretch

Operación de DMVPN


Una Dynamic Multipoint VPN (Red privada virtual multipunto dinámica) es una iteración evolucionada de los túneles "Hub and Spoke" (Note que DMVPN por si misma no es un protocolo, mas bien un concepto de diseño).

En una topología genérica "Hub and Spoke" se implementan túneles estáticos (usando típicamente GRE o IPSEC) entre un router "hub" ubicado en el centro y sus "Spokes" o satélites, los cuales generalmente conectan oficinas sucursales a la sede central. 

Cada nuevo "Spoke" requiere que se haga una configuración adicional en el router "Hub" y el tráfico entre los "Spokes" debe ser desviado a través del "HUB" para que salga de un túnel y luego ingrese en otro. Mientras que esta podría ser una solución aceptable a pequeña escala, se vuelve difícil de manejar cuando los "Spokes" van multiplicándose y creciendo en número.

DMVPN ofrece una solución elegante a este problema: Túneles GRE multipunto.

Recordemos que un túnel GRE encapsula paquetes IP con un encabezado GRE y un nuevo encabezado IP para poder transportar el paquete a través de una red no confiable.

 Los túneles GRE punto a punto tienen exactamente dos extremos y cada túnel en el router requiere una interface virtual separada con su propia configuración independiente. 

Contrariamente, un túnel multipunto GRE permite que existan mas de dos extremos y es tratado como una red de acceso múltiple sin broadcast (NBMA).

 Usemos esta topología de ejemplo:

Formación de túneles GRE multipunto:

Mientras que una configuración típica de "Hub and Spoke" requeriría tres túneles separados expandiéndose desde el router R1 hacia cada uno de los router "Spoke", el GRE multipunto permite que los cuatro routers puedan comunicarse usando una sola única interface túnel en la misma subred IP (192.168.0.0/24). Esta configuración NBMA es habilitada por el Next Hop Resolution Protocol el cual permite que los túneles multipunto sean construidos dinámicamente.

Next Hop Resolution Protocol (NHRP)


NHRP (definido en el RFC 2332) es el "catalizador" que facilita el establecimiento del túnel dinámico, al proveer una resolución de direcciones "túnel a interface física". Los clientes NHRP (los router "Spoke") realizan una solicitud al "next hop server" (NHS) (el router HUB) para obtener la dirección física de otro router "Spoke".

Es interesante notar que, en nuestro escenario, la designación como el NHS es el único atributo que distingue al router R1 como el router "Hub".

Configuración DMVPN


Comencemos por examinar la configuración del router R1:


interface FastEthernet0/0
 ip address 172.16.15.2 255.255.255.252
!
interface Tunnel0
 ip address 192.168.0.1 255.255.255.0
 ip nhrp map multicast dynamic
 ip nhrp network-id 1
 tunnel source 172.16.15.2
 tunnel mode gre multipoint

La primera cosa que seguramente notaremos es que el túnel no tiene un destino especificado explícitamente. Esto es porque los túneles multipunto son construidos dinámicamente desde los "Spokes" DMVPN hacia el router "Hub"; el router "Hub" no necesita tener preconfigurada las direcciones de los "Spokes".

 También note que el modo de túnel ha sido designado como "GRE multipoint".

 El comando ip nhrp network-id 1 identifica de manera única la red DMVPN, los túneles no se formarán entre routers con un ID diferente de red.

 El comando ip nhrp map multicast dynamic habilita el reenvío de tráfico multicast a través del túnel a los "Spoke" dinámicos (lo cual es requerido por la mayoría de los protocolos de enrutamiento dinámico). 

 La configuración de los router "Spoke" es muy similar a la del router "Hub". A continuación se presenta aquí la configuración tomada del router R2:

interface FastEthernet0/0
 ip address 172.16.25.2 255.255.255.252
!
interface Tunnel0
 ip address 192.168.0.2 255.255.255.0
 ip nhrp map 192.168.0.1 172.16.15.2
 ip nhrp map multicast 172.16.15.2
 ip nhrp network-id 1
 ip nhrp nhs 192.168.0.1
 tunnel source 172.16.25.2
 tunnel mode gre multipoint

Ahora vemos dos nuevos comandos en comparación con los usados en el router "Hub". El comando ip nhrp nhs 192.168.0.1 designa a router R1 como el NHS (que es la única funcionalidad única del router "Hub"), y ip nhrp map 192.168.0.1 172.16.15.2 que mapea estáticamente la dirección NHS hacia la dirección física del router R1.
El comando ip nhrp multicast también difiere ligeramente de como está aplicado en el router "Hub" en que el tráfico de multicast está solamente permitido desde los "Spokes" hacia el "Hub", no desde un "Spoke" a otro "Spoke".
Después de completar la configuración de túnel en cada router, podemos verificar que las sesiones DMVPN se han establecido entre el router "Hub" y cada "Spoke":

R1# show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
    N - NATed, L - Local, X - No Socket
    # Ent --> Number of NHRP entries with same NBMA peer

Tunnel0, Type:Hub, NHRP Peers:3, 
 # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1     172.16.25.2     192.168.0.2    UP 00:57:47 D    
 1     172.16.35.2     192.168.0.3    UP 00:45:56 D    
 1     172.16.45.2     192.168.0.4    UP 00:45:46 D

Tunelización Dinámica


Mientras que DMVPN sin duda provee una configuración ordenada, lo que resulta brillante  es su habilidad para establecer dinámicamente túneles "Spoke" a "Spoke". 

En una configuración típica de una topología "Hub and Spoke", un paquete destinado desde R2 a R4 necesitaría ser enrutado a través del router R1, salir del túnel R2 y ser re-encapsulado para ingresar en el túnel R4.

Claramente un mejor camino se encuentra a través de R5 y DMVPN nos permite tomar esta ventaja.

Vea en esta captura de paquetes el tráfico desde R2 a R4. El tráfinco inicialmente sigue el camino a través de R1 como se describió previamente, mientras un túnel dinámico se esta construyendo desde R2 a R4 usando NHRP. Luego que el nuevo túnel se ha establecido, el tráfico fluye a través de él, obviando completamente el router R1. Podemos ver que un nuevo túnel se ha establecido luego que se ha detectado tráfico destinado para R4:


R2# show dmvpn
...

Tunnel0, Type:Spoke, NHRP Peers:1, 
 # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1     172.16.15.2     192.168.0.1    UP 01:08:02 S

R2# ping 192.168.0.4

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/37/56 ms

R2# show dmvpn
...

Tunnel0, Type:Spoke, NHRP Peers:2, 
 # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1     172.16.15.2     192.168.0.1    UP 01:08:27 S    
 1     172.16.45.2     192.168.0.4    UP 00:00:03 D

Note que el túnel a R4 ha sedo marcado como dinámico, en contraste con el túnel estático hacia el Hub/NHS.

Añadiendo cifrado

Hasta este punto los túneles han sido configurados como texto plano por simplificar el ejemplo, pero en el mundo real probablemente quisiéramos incluir protección IPsec a los túneles que atraviesan rutas no confiables.

Afortunadamente, la solución es tan simple como aplicar una política de protección IPsec a la interface túnel en cada router. Aquí se presenta un perfil IPsec usando una llave ISAKMP pre-compartida para demostración:

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key P4ssw0rd address 172.16.0.0 255.255.0.0
!
crypto ipsec transform-set MyTransformSet esp-aes esp-sha-hmac
!
crypto ipsec profile MyProfile
 set transform-set MyTransformSet
!
interface Tunnel0
 tunnel protection ipsec profile MyProfile

Después de reiniciar las interfaces de túnel, podemos ver que las sesiones DMVPN ha sido reconstruidas mostrando esta vez encriptación. 


R1# show dmvpn
...

Tunnel0, Type:Hub, NHRP Peers:3, 
 # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1     172.16.25.2     192.168.0.2    UP 00:02:28 D    
 1     172.16.35.2     192.168.0.3    UP 00:02:26 D    
 1     172.16.45.2     192.168.0.4    UP 00:02:25 D

R1# show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
172.16.15.2     172.16.35.2     QM_IDLE           1002    0 ACTIVE
172.16.15.2     172.16.25.2     QM_IDLE           1001    0 ACTIVE
172.16.15.2     172.16.45.2     QM_IDLE           1003    0 ACTIVE


 ----------------------------------------------------------
Post Original: http://packetlife.net/blog/2008/jul/23/dynamic-multipoint-vpn-dmvpn/

Traducción por: José R. Torrico Gumucio - Instructor Cisco Networking Academy
Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

lunes, 21 de septiembre de 2015

Nuevo Apunte Rápido: CCNP ROUTE V5.1

Apunte Rápido ROUTE v5.1

Por Oscar Gerometta
 
Hace ya 10 años que comencé con la publicación de manuales de estudio en temas de networking. Finalmente he logrado iniciar la publicación de una serie de manuales dedicados específicamente a los exámenes de certificación que se requieren para completar la certificación CCNP R&S y la certificación CCDP.
 
Continuando una línea de trabajo que ya tiene su trayectoria propia, la de los Apuntes Rápidos, pongo ahora a disposición de quienes están preparando su examen el Apunte Rápido ROUTE 300-101 versión 5.1.
 
Si lo que estás necesitando es un manual sintético, semejante a los que ya publiqué para CCNA R&S, que abarque la totalidad del temario del examen de certificación de modo directo y simple, en castellano, este es el manual indicado.

 El Apunte Rápido desarrolla de modo sintético la totalidad del temario del examen de certificación. 

En este caso particular he incluido en un anexo aparte (porque en realidad no es parte del temario del examen) un breve desarrollo sobre el protocolo IS-IS. Si bien IS-IS no es parte del temario del examen de certificación es un protocolo de enrutamiento que tiene importancia creciente en algunos entornos específicos y por lo tanto me pareció útil incluirlo como un apartado al final del manual.
 
En este manual se encuentran todos los contenidos necesarios para completar la preparación del examen de certificación.
 
Si eres un alumno de Academia o de Learning Partner, es posible que este manual te sea suficiente y al momento de estudiar utilices los materiales oficiales que recibiste durante tu cursada para aclarar dudas o buscar referencias necesarias.
 
Para quienes estudian por sí mismo (auto-estudio), este manual les sirve como referencia de base y deberán complementarlo con investigación personal.
 
Como es propio de los Apuntes Rápidos que desarrollo, no incluye herramientas pedagógicas (que son propias de las Guías de Preparación para el Examen), tales como mapas conceptuales, resúmenes, notas, cuestionarios, anexos de ejercicios, etc. Por el momento no tengo prevista la publicación de una guía de preparación para estos exámenes sino que el plan es continuar con el Apunte Rápido SWITCH.

 Fecha de publicación: 21 de septiembre de 2015
Autor: Oscar A. Gerometta
CCSI / CCNA R&S / CCDA / CCNAwir / CCNA sec. / CCBF.
Creador –en el año 2000- del primer curso de apoyo para alumnos de Cisco Networking 
Academy program que se preparan a rendir su examen de certificación CCNA, logrando entre sus alumnos un nivel de aprobación superior al 95%.

Texto:
Se trata de una síntesis de los contenidos de estudio comprendidos en el nuevo examen de certificación ROUTE 300-101.
 
Está alineado al examen CCNP ROUTE 300-101. 


Contenidos:
  • El examen de certificación ROUTE.
  • Conceptos básicos de enrutamiento IP.
  • Implementación de RIPng.
  • Implementación de EIGRP.
  • Implementación de OSPF.
  • Redistribución de rutas.
  • Implementación de control de rutas.
  • BGP - Conexión corporativa a Internet.
  • Protección de routers y protocolos de enrutamiento.
  • Anexo 1: Glosario de siglas.
  • Anexo 2: Protocolo IS-IS.
Cantidad de páginas: 265

 Algunas notas sobre esta versión:
  • Cubre la totalidad del temario.
  • Incluye enrutamiento IPv6.
  • Se incluye tanto la configuración de OSPFv3 como Named EIGRP.
  • IS-IS no es parte del temario del examen, ha sido incluido solo como información complementaria.
  • Por tratarse de un Apunte Rápido no incluye laboratorios.
Para la compra
Apunte Rápido ROUTE 300-101 versión 5.1 en formato e-book ya se encuentra disponible, y se puede comprar en línea ingresando aquí.
 
Para consultas de precios o compras en formato impreso, diríjase directamente a Ediciones EduBooks por correo electrónico escribiendo  a libros.networking@gmail.com

Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.

Tomado de: http://librosnetworking.blogspot.com/2015/09/apunte-rapido-route-v51.html
Publicado por en No hay comentarios:
Etiquetas: , , , , , , , ,

viernes, 4 de septiembre de 2015

El virtual link en OSPF

Por Oscar Gerometta

OSPF es un protocolo de estado de enlace que aplica un esquema jerárquico de red en el que el área 0 es el área de backbone que interconecta todas las áreas no backbone.

Cada área debe tener continuidad física, y uno de los desafíos en redes que tienen gran extensión geográfico puede ser mantener la continuidad del área 0.

Para estos casos (u otros semejantes) en los que el esquema jerárquico de OSPF se ve afectado por la falta de continuidad física de un área, la implementación de enlaces virtuales (virtual links) permite dar continuidad a las áreas de modo transitorio.

Cisco insiste especialmente en que esta es una solución transitoria y no permanente, y que el problema debiera ser luego resuelto a partir del rediseño de la red.

En estos casos:

  • El área a través de la cual se constituye el enlace virtual se denomina área de tránsito.
  • La posibilidad de enlaces virtuales está contemplada en el estándar.
  • Permiten solucionar discontinuidades temporales en una red. No deben ser una solución permanente.
  • Opera como una adyacencia estándar OSPF, pero no requiere que estén directamente conectados.
  • El protocolo hello intercambia paquetes cada 10 segundos sobre el enlace.
  • Los LSAs aprendidos sobre enlaces virtuales utilizan la configuración DNA (DoNotAge) para prevenir tráfico excesivo.


Configuración: 
Router(config)#router ospf [process id] 
Router(config-router)#area [ID área de tránsito] virtual-link [router ID] 

Tomado de: http://librosnetworking.blogspot.com/2015/08/el-virtual-link-en-ospf.html
Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , , ,

viernes, 10 de julio de 2015

Direcciones IPv6 link local

Por Oscar Gerometta
 
IPv6 es un protocolo completamente diferente de su predecesor, IPv4. Diferente no sólo en la longitud de las direcciones que utiliza (128 bits en total) sino en múltiples aspectos. Uno de ellos: en una misma interfaz pueden encontrarse múltiples direcciones IP simultáneamente.

Uno de los motivos de esta multiplicidad de direcciones es que en IPv6 hay diferentes direcciones de unicast: direcciones unicast globales, direcciones unicast unique local y direcciones unicast link local (sobre estos diferentes tipos sugiero revisar el post "Tipos de direcciones IPv6").

Las direcciones IPv6 link local

Una de las tantas innovaciones que introduce IPv6 son estas direcciones: toda interfaz que implementa IPv6 tiene al menos una dirección asignada, la dirección de link local.

Las direcciones de link local pertenecen a un rango específico definido por el prefijo FE80::/10 (1111 1110 10xx xxxx/10).

La porción de nodo o identificador de interfaz de estas direcciones puede obtenerse por configuración manual o automáticamente. Para la asignación automática aplican 2 procedimientos:

  • EUI-64, utilizado principalmente para la asignación en interfaces de dispositivos de infraestructura.
    Es el implementado por IOS.
  • RFC 3014, utilizado preferentemente en interfaces de dispositivos terminales.
    Es el implementado en sistemas de escritorio como Microsoft o Mac OS X.
Son direcciones utilizadas para el establecimiento de comunicaciones entre interfaces alojadas en el mismo segmento de red (dominio de broadcast) identifican a la interfaz únicamente dentro del enlace al que se encuentra conectada.

Aseguran la operación de múltiples protocolos aún antes de que la interfaz tenga asignada una dirección IPv6 global unicast o unique local. Por este motivo se utilizan en procesos de configuración automática, descubrimiento de vecinos, etc. Son utilizadas para identificar los neighbor de los protocolos de enrutamiento y el próximo salto en la tabla de enrutamiento.

No son ruteables. Los paquetes que tienen una dirección de link local como origen o destino no deben ser reenviados por los dispositivos de capa 3.

 Sintetizando
  • Estas direcciones se configuran automáticamente siempre que el protocolo IPv6 esté habilitado en la interfaz, sin necesidad del operador.
  • Pueden ser definidas estáticamente.
    Router(config-if)#ipv6 address FE80::1 link-local
  • Son accesibles solamente dentro del mismo segmento de red.
  • Solamente responden ping desde interfaces en el mismo segmento de red.
  • Se pueden verificar utilizando los comandos show habituales.
    Router#show ipv6 interface
    Router#show ipv6 interface brief
  • Se utilizan para la operación de múltiples procesos como stateless configuration, enrutamiento dinámico y NDP (Neighbor Discovery Protocol).
Enlaces de referencia
Bibliografía sugerida
Tomado de:http://librosnetworking.blogspot.com/2015/07/direcciones-ipv6-link-local.html
Publicado por en No hay comentarios:
Etiquetas: , , , , , , , ,

domingo, 28 de junio de 2015

Los 3 Principios de enrutamiento

En algunas secciones de este curso haremos referencia a tres principios relacionados con las tablas de enrutamiento que lo ayudarán a comprender, configurar y solucionar problemas de enrutamiento.

Estos principios se extraen del libro de Alex Zinin, Cisco IP Routing.

1. Cada router toma su decisión en forma independiente, según la información de su propia tabla de enrutamiento.

2. El hecho de que un router tenga cierta información en su tabla de enrutamiento no significa que los otros routers tengan la misma información.

3. La información de enrutamiento sobre una ruta desde una red a otra no suministra información de enrutamiento sobre la ruta inversa o de regreso.

¿Cuál es el efecto de estos principios? Observemos el ejemplo en la figura.
 
 
1. Después de tomar su decisión de enrutamiento, el router R1 envía al router R2 el paquete destinado a la PC2. R1 sólo conoce la información de su propia tabla de enrutamiento, que indica que el router R2 es el router del siguiente salto. R1 no sabe si R2 efectivamente tiene o no una ruta hacia la red de destino.

2. Es responsabilidad del administrador de red asegurarse de que todos los routers bajo su control tengan información de enrutamiento completa y precisa de manera tal que los paquetes puedan enviarse entre cualquiera de las dos redes. Esto puede lograrse mediante el uso de rutas estáticas, un protocolo de enrutamiento dinámico o una combinación de ambas opciones.

3. El router R2 logró enviar el paquete hacia la red de destino de la PC2. Sin embargo, R2 descartó el paquete desde la PC2 a la PC1. Aunque R2 tiene información en su tabla de enrutamiento sobre la red de destino de la PC2, no sabemos si tiene la información para la ruta de regreso hacia la red de la PC1.

Enrutamiento asimétrico

Dado que los routers no necesariamente tienen la misma información en sus tablas de enrutamiento, los paquetes pueden recorrer la red en un sentido, utilizando una ruta, y regresar por otra ruta. Esto se denomina enrutamiento asimétrico. El enrutamiento asimétrico es más común en Internet, que usa el protocolo de enrutamiento BGP, que en la mayoría de las redes internas.

Este ejemplo implica que cuando se diseña una red y se resuelven problemas en ella, el administrador de red debe verificar la siguiente información de enrutamiento:

¿Existe una ruta de origen a destino que esté disponible en ambos sentidos?

¿Es la ruta que se tomó en ambos sentidos la misma ruta?  (El enrutamiento asimétrico no es inusual, pero a veces puede causar otros problemas.)

Tomado de: https://cerebrote.wordpress.com/ con algunos aportes del editor del blog.
Publicado por en 2 comentarios:
Etiquetas: , , , , , , ,

domingo, 21 de junio de 2015

DHCP Relay en Cisco IOS

Por Oscar Gerometta

Dado que el inicio de la operación del protocolo DHCP se realiza sin contar una dirección de origen y utilizando broadcast como destino, las solicitudes (el discovery generado por el cliente DHCP) no son de suyo ruteables hacias otras subredes. 

De aquí que en principio el protocolo DHCP supone que el servidor y el cliente están conectados a la misma red o subred.

Cuando se desea utilizar servidores DHCP que se encuentran alojados en una red o subred diferente se puede utilizar un agente DHCP relay. 

Un DHCP relay es un dispositivo que recibe las solicitudes de los clientes en formato de broadcast y las reenvía como unicast a la dirección del servidor DHCP.

  • DHCP Discovery.
    El cliente DHCP envía una solicitud en formato de broadcast.
  • DHCP Relay.
    El agente DHCP relay que recibe el broadcast lo retransmite a uno o más servidores utilizando unicast e incluyendo su dirección como dirección de gateway.
  • DHCP Offer.
    El servidor utiliza la dirección de gateway que recibe en la solicitud para determinar a qué subred pertenece el host solicitante y asigna entonces una configuración que corresponda esa subred.
    El servidor DHCP reserva una dirección IP para el cliente y envía la respuesta en un paquete unicast a la dirección del gateway, que luego lo reenvía a la red local.
  • DHCP Request.
    El cliente responde en formato broadcast realizando una solicitud explícita de la configuración ofrecida por el servidor.
    El agente DHCP relay interviene nuevamente reenviando la información al servidor DHCP.
  • DHCP Acknowledgement.
    Se envía un paquete en formato unicast al DHCP relay que luego lo reenvía al cliente, incluyendo la información de configuración que el cliente ha aceptado.
    Esto completa el proceso.
En estos casos el servidor DHCP responde al DHCP relay y éste se ocupa de reenviarlo al cliente DHCP.

Configuración de un router IOS como DHCP relay

El servicio de DHCP relay se habilita en la interfaz de capa 3 más cercana al cliente DHCP (usualmente, la que opera como default-gateway de la red o subred).

En la configuración es necesario especificar la dirección IP de uno o más servidores DHCP que han de responder las solicitudes. 

Si hay varios servidores DHCP en una misma subred se puede especificar directamente la dirección reservada de subred, de este modo responderá cualquiera de los servidores DHCP de esa subred.

Router#configure terminal
Router(config)#interface GigabitEthernet 0/0
Router(config-if)#ip helper-address [IP servidor DHCP]



Documentación de referencia:

Fuente: Mis libros de Networking
Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , , ,
Suscribirse a: Entradas (Atom)