lunes, 30 de abril de 2012

Configurar un router como servidor TFTP

Alguna vez he necesitado un servidor TFTP en una LAN sin capacidad de routing, como por ejemplo cuando un equipo se queda en rommon porque alguien la ha pifiado al actualizar una IOS, pero esto normalmente no es posible.

Una manera muy sencilla de solucionar esto es configurar uno de tus routers o switches como un servidor tftp temporalmente, de este modo puedes copiar esa IOS de un router a otro. La "única" limitación es que se trata de un servidor tftp de solo lectura, no se puede utilizar ese tftp para guardar información desde otro router.

En cualquier caso se trata de un truco bastante práctico para situaciones complicadas.

tftp-server <directorio>:<fichero>

Publicado por en No hay comentarios:
Etiquetas: , ,

lunes, 23 de abril de 2012

DHCP: Configuración servidor, cliente, y relay DHCP en router cisco

DHCP es uno de esos servicios básicos que hay en cualquier red, en algunos sitios se hace en servidores , y en otros se hace a nivel de router, también hay entornos en los que la dirección ip de un router se configura por medio de DHCP, sobre todo en túneles L2TP y ADSL.

Configuración del servidor:

Lo primero y muy importante es configurar las ip que no queremos entregar porque están reservadas, es importante configurarlo al principio, porque de lo contrario es posible que sirvamos la ip por DHCP justo antes de configurar la exclusión.

ip dhcp excluded-address <ip_prohibidas_separadas_espacios>

Luego creamos el pool con el nombre que queramos, las ip a servir, y el gateway y los servidores DNS, por último el tiempo que queremos que la IP quede reservada para el mismo equipo.

ip dhcp pool LAN
 network x.x.x.x /x
 default-router <ip_gateway>
 dns-server <dns1> <dns2>
 lease <dias> <horas> <--- Cuanto tiempo dura la concesión de la ip

Configuración del cliente DHCP:

Para configurar que un router adquiera una ip dinámicamente por DHCP es muy sencillo.

inteface Fa0/0
 ip add dhcp

Ejemplo:

DHCP SERVER:

ip dhcp excluded-address 192.168.1.1
ip dhcp pool LAN
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.11
   dns-server 192.168.1.11 192.168.1.22  
Comprobamos las concesiones de ip:

R1#show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address          Client-ID/             Lease expiration        Type
            Hardware address/
            User name
192.168.1.3         0063.6973.636f.2d63.    Mar 02 2002 01:22 AM    Automatic
                    6330.332e.3032.6363.
                    2e30.3030.302d.566c.
                    32
192.168.1.4         0063.6973.636f.2d63.    Mar 02 2002 01:56 AM    Automatic
                    6330.322e.3032.6363.
                    2e30.3030.302d.566c.
                    32

DHCP CLIENT:

interface Vlan2
 ip address dhcp
end
Cuando nos concede la ip en el router aparece lo siguiente:

*Mar  1 01:56:44.823: %DHCP-6-ADDRESS_ASSIGN: Interface Vlan2 assigned DHCP address 192.168.1.4, mask 255.255.255.0, hostname R3
Hacer relay de DHCP:

En el ejemplo estábamos suponiendo que teníamos el router estaba en la misma Vlan que los clientes, pero si el servidor no esta en la misma Vlan que los clientes, lo que debemos hacer es configurar un relay de DHCP, que en lo que consiste es configurar el router que esta en la misma lan que los clientes como intermediario, y este intermediario lo que hace es enviar estas peticiones de DHCP a un servidor que tenga configurado.

El router que hace de intermediario:

interface FastEthernet 0/0
   ip helper-address <ip_DHCP>

Publicado por en No hay comentarios:
Etiquetas: , , , ,

lunes, 16 de abril de 2012

Telecomunicaciones: Mapa de cableado submarino

Estaba hace unos días haciendo que estudiaba cuando no se como me encontré con esta web.

http://www.submarinecablemap.com/

Se trata de una web con detalles de todos los cableados submarinos civiles que hay en el planeta. Se trata de cableados de fibra óptica a través de los que se pasa tanto señales de audio como de datos.



Aproximadamente el 80% de la información que pasa por estos cables son datos:
Internet
VPNs/MPLS internacionales

La verdad es que nunca he estado muy puesto en el tema pero me llama la atención que los principales cables submarinos de España están todos en la provincia de Cádiz.

Los "propietarios" de los cables, ya os los imaginais, los Tier-1 de Internet, donde por la parte española esta TIWS(Telefónica International Wholesale Services) que tiene su punto fuerte en Europa, latinoamérica y norteamérica.

Para los que no sepan lo que es un Tier 1,2...etc:

http://en.wikipedia.org/wiki/Tier_1_network

Me ha parecido algo curioso, no todo van a ser configuraciones :-) .
Publicado por en No hay comentarios:
Etiquetas: ,

lunes, 9 de abril de 2012

VACLs: Filtrando tráfico a nivel 2

Alguna vez, resolviendo algún problema de conectividad en una red, en la que pasa lo típico de que un servidor no puede llegar a un sitio, pero si puede llegar a otro, aparece la típica persona de sistemas muy ajena al mundo de las redes y dice, "La culpa es del firewall, nos estais capando", entonces es cuando me toca decir la típica cosa que no es 100% cierta, pero que permite seguir resolviendo la incidencia sin buscar fantasmas.

¿Cual es esa mentijilla piadosa? 
Que los firewalls filtran tráfico entre equipos de diferentes vlanes, que no es posible filtrar tráfico de equipos en la misma VLAN. Es una mentirijilla porque existen firewalls transparentes, y porque si se puede filtrar a nivel de VLAN con VACL, pero me ha tocado decir esa mentirijilla varias veces en entornos que no usaban VACL, ni Firewalls en modo bridge.

¿Que es una VACL?
VACL simplemente es una ACL a nivel de vlan, permite filtrar el tráfico que pasa por una VLAN a nivel 2.

¿Que equipos permiten usar VACL?
Switches y routers basados en Asics, osea en switches y routers nuevecillos, por tanto lo de intentar probarlo en GNS3 va a ser que no.  :(

¿Como se configuran?
Primero se configura una ACL para seleccionar el trafico que queremos seleccionar, al estilo de un route-map.
ip access-list extended NO_NETBIOS
permit ip any any eq 139
Luego configuramos el vlan access-map.


vlan access-map filtro_NETBIOS_VLAN_100 10 
match ip address NO_NETBIOS <----seleccionamos el netbios y lo filtramos
 action drop
 vlan access-map filtro_NETBIOS_VLAN_100 20
  action forward<----el resto de tráfico sigue pasando sin problema

Y por último asignamos el filtro a las vlans que nos apetezca.

vlan filter filtro_NETBIOS_VLAN_100 vlan-list 100

Para los que sean un poco curiosos, se pueden hacer mas cosas con VACL, como por ejemplo denegar tráficos en base a la MAC, o incluso interferir en spanning tree filtrando BPDUs...etc, cuidado con esto último o podeis crear una tormenta de broadcast. :D


Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

lunes, 2 de abril de 2012

NTP: Configurando tu router como servidor NTP

NTP es el protocolo que permite que todos los equipos de una red tengan la misma fecha y hora, cosa importante si deseas evitar que tus correos salgan hoy con una fecha pasada o futura :-| .

NTP funciona por medio de statum, que son el número de saltos a los que se encuentra un servidor NTP de una fuente fiable de tiempo, como son un reloj atómico, o un reloj radiocontrolado. Por tanto un servidor que tenga integrado un reloj radiocontrolado tendría un stratum 1, un servidor que coja la hora de ese servidor tendría un stratum 2...etc.

La principal regla de NTP es que esta pensado para ser un protocolo libre de loops, por tanto para evitar esto, un servidor de un stratum superior nunca puede actualizar a un servidor con un stratum inferior, pero si al reves. Por otro lado, dos servidores de NTP con el mismo stratum pueden sincronizarse, tarda un ratillo, pero terminan sincronizándose, el tiempo en sincronizarse dependerá de la diferencia de tiempo que haya entre ellos.



Un router también puede hacer de servidor de NTP, y el stratum es una parte configurable.

ntp master <stratum>
ntp source Loopback0 <----siempre recomiendo que sea un loopback

Para configurar un router para que coja la hora de un servidor NTP:

ntp server <ip_ntp>
ntp source Loopback0

También es posible configurar mas de un servidor ntp para coger la hora de ellos, y seleccionar uno como preferido.

ntp server 10.0.0.1
ntp server 10.0.0.2 prefer
 Ejemplo sencillo:

R1(NTP Master):
ntp master 1
interface Ethernet0/0
 ip address 192.168.1.1 255.255.255.0

R2 (cliente NTP):
ntp server 192.168.1.1
interface Ethernet0/0
ip address 192.168.1.2 255.255.255.0
Unos show para ver como queda:
R1#show ntp status
Clock is synchronized, stratum 1, reference is .LOCL.
nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18
reference time is D38F2CC6.B53F504E (17:41:26.707 UTC Fri Jun 22 2012)
clock offset is 0.0000 msec, root delay is 0.00 msec
root dispersion is 0.02 msec, peer dispersion is 0.02 msec

R2#show ntp status
Clock is synchronized, stratum 2, reference is 192.168.1.1
nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18
reference time is D38F2CDF.EE3B8538 (17:41:51.930 UTC Fri Jun 22 2012)
clock offset is -1.2206 msec, root delay is 3.94 msec
root dispersion is 11.70 msec, peer dispersion is 10.45 msec
También se puede emitir broadcast y multicast para NTP, de modo un cliente multicast/broadcast en el segmento de red podría coger la hora.

Servidor para multicast/broadcast:

interface Ethernet 0/0
  ntp multicast <ip_multicast_que_sirve>
  ntp broadcast
  Cliente multicast y broadcast en un router:
interface Ethernet 0/0
ntp multicast client <ip_multicast_que_sirve>
ntp broadcast client
 También se puede configurar autenticación, pero eso os lo dejo que lo busquéis vosotros.

http://www.cisco.com/en/US/docs/switches/datacenter/sw/5_x/nx-os/system_management/configuration/guide/sm_3ntp.html
Publicado por en No hay comentarios:
Etiquetas: , , , ,
Suscribirse a: Entradas (Atom)