PPP CHAP

Este artículo forma parte de una serie de varios artículos que tratan distintas tecnologías WAN en routers y switches para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html
 

PPP CHAP:

CHAP es un protocolo de tres vías utilizado con PPP que además encripta las password antes de enviarlas por la red, por tanto alguien con un tcpdump no va a poder sacar las password a la ligera como sucedía con PAP, y en el mundo real se utiliza bastante mas que PAP.

Configuración CHAP:

username <usuario_remoto> password <contraseña_comun>

Este usuario es el usuario que queremos que nos envíe el otro router.

interface Serialx/x
ppp authentication chap
ppp chap hostname <usuario>
ppp chap password <contraseña_comun>

Hostname es el usuario que vamos a enviar, y la password debe de ser común a ambos para que funcione.

 

Ejemplo

 

Como siempre, con un ejemplo se ve todo mucho mas facil.

 

 

R1:

username R2 password 0 buenastardes

interface Serial0/0
ip address 192.168.1.1 255.255.255.0
encapsulation ppp
ppp authentication chap
ppp chap hostname R1
ppp chap password 0 buenastardes

R2:

username R1 password 0 buenastardes

interface Serial0/0
ip address 192.168.1.2 255.255.255.252
encapsulation ppp
clock rate 56000
ppp authentication chap
ppp chap hostname R2
ppp chap password 0 buenastardes
end

Comandos relacionados:

debug ppp authentication

Si todo va bien deberías tener un output parecido a este al hacer un debug ppp authen, si hay algo que está mal configurado con este debug deberías poder verlo perfectamente

*Mar 2 03:45:49.001: Se0/0 PPP: Authorization required
*Mar 2 03:45:49.029: Se0/0 CHAP: O CHALLENGE id 127 len 23 from "R2"
*Mar 2 03:45:49.029: Se0/0 CHAP: I CHALLENGE id 23 len 23 from "R1"
*Mar 2 03:45:49.029: Se0/0 CHAP: Using hostname from interface CHAP
*Mar 2 03:45:49.029: Se0/0 CHAP: Using password from AAA
*Mar 2 03:45:49.029: Se0/0 CHAP: O RESPONSE id 23 len 23 from "R2"
*Mar 2 03:45:49.033: Se0/0 CHAP: I RESPONSE id 127 len 23 from "R1"
*Mar 2 03:45:49.037: Se0/0 PPP: Sent CHAP LOGIN Request
*Mar 2 03:45:49.037: Se0/0 PPP: Received LOGIN Response PASS
*Mar 2 03:45:49.037: Se0/0 PPP: Sent LCP AUTHOR Request
*Mar 2 03:45:49.037: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 2 03:45:49.041: Se0/0 CHAP: I SUCCESS id 23 len 4
*Mar 2 03:45:49.041: Se0/0 LCP: Received AAA AUTHOR Response PASS
*Mar 2 03:45:49.041: Se0/0 IPCP: Received AAA AUTHOR Response PASS
*Mar 2 03:45:49.045: Se0/0 CHAP: O SUCCESS id 127 len 4
*Mar 2 03:45:49.045: Se0/0 PPP: Sent CDPCP AUTHOR Request
*Mar 2 03:45:49.049: Se0/0 CDPCP: Received AAA AUTHOR Response PASS
*Mar 2 03:45:49.057: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 2 03:45:50.045: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up

PPP y PPP PAP

Este artículo forma parte de una serie de varios artículos que tratan distintas tecnologías WAN en routers y switches para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html

PPP

Point to Point Protcol es un protocolo de nivel 2, como puede ser HDLC, que permite transmitir, encriptar y autenticar comunicaciones. Se puede usar en interfaces Serial, así como en otro tipos de interfaces. Este procolo además es un estandar, es utilizado también por otros fabricantes de equipos de telecomunicaciones, así como a nivel de servidores también se usa en servidores Microsoft.

Configuración:

Configurar ppp sin autenticación es muy sencillo, tan solo es elegir el tipo de encapsulación, pero en lugar de elegir hdlc, elegimos ppp.

R(config)#int s0/0

R(config-if)#encapsulation ppp

Cabe destacar, que independientemente de si quieres usar ppp o hdlc, en ambos extremos debes configurar la misma encapsulación, de lo contrario veras que tienes la interfaz UP, pero el line protocol se queda en Down.

R(config-if)#do show ip int brief

Interface  IP-Address   OK?   Method   Status  Protocol

Serial0/0  192.168.1.2   YES   manual    up       down

Autenticación:

El principal motivo para usar PPP es la posibilidad de incluir autenticación a nivel 2. Para ello tenemos dos protocolos que corren sobre PPP, PAP y CHAP, en este artículo se explicará como se configura y funciona PAP.

PPP PAP:

PAP es un protocolo de dos vías que envía las password en texto plano, esto significa que si alguien esnifa la comunicación justo cuando se inicia con un tcpdump o lo que sea, va a poder ver nuestras claves, por tanto es una buena cagada.

Configuración de PAP:

username <usuario> password <contraseña>

Este usuario es el usuario que queremos que nos envíe el otro router

int serial x/x
encapsulation ppp
ppp authentication pap
ppp pap sent-username <usuario_que_enviamos> password <password_que_enviamos>

Ejemplo:

Con un ejemplo seguro que se ve mas rápido.

R1:

username R2 password 0 buenosdias



interface Serial0/0
ip address 192.168.1.1 255.255.255.252
encapsulation ppp
ppp authentication pap
ppp pap sent-username R1 password 0 buenastardes

R2:

username R1 password 0 buenastardes



interface Serial0/0
ip address 192.168.1.2 255.255.255.252
encapsulation ppp
clock rate 56000
ppp authentication pap
ppp pap sent-username R2 password 0 buenosdias

Y al terminar deberías poder hacer ping.

R2#ping 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/18/36 ms



R2#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/19/56 ms

  

Interfaces Serial con HDLC

Este artículo forma parte de una serie de varios artículos que tratan distintas tecnologías WAN en routers y switches para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html

Interfaces Serial con HDLC:

Las interfaces serial son un tipo de interfaces WAN, que permiten conectar extremos remotos a gran distancia, y que ademástienen una velocidad de conexión relativamente baja.

En una conexión serial uno de los extremos deberá actuar como DTE, y el otro extremo actuará como DCE.

El DCE es el equipo que establecerá la velocidad de reloj, lo que significará a que velocidad se puede transmitir en esa linea.

En cambio el otro extremo no hay que configurar reloj alguno.

Configuración del reloj en el DCE:

R(config)#int s0/0
R(config-if)#clock rate <velocidad_reloj>

Las velocidades de reloj permitidas dependerán del tipo de hardware de tu interfaz, pues hay seriales que permiten mayores velocidades que otros.

R(config-if)#clock rate ?
  With the exception of the following standard values not subject to rounding,

      1200 2400 4800 9600 14400 19200 28800 38400
      56000 64000 128000 2015232

  accepted clockrates will be bestfitted (rounded) to the nearest value
  supportable by the hardware.

  <246-8064000>    DCE clock rate (bits per second)

Por defecto el tipo de encapsulación a nivel 2 permitida por las interfaces Serial es HDLC, HDLC es un tipo de encapsulación para las interfaces punto a punto, viene por defecto pero para configurarla:

R1(config-if)#encapsulation hdlc

Como las interfaces serial con HDLC son punto a punto lo lógico a la hora de configurar una red entre dos serial suele ser configurar interfaces con mascaras /30.

Ejemplo:

 

DTE(R1):

interface Serial0/0
 ip address 192.168.1.1 255.255.255.252

DCE(R2):

interface Serial0/0
 ip address 192.168.1.2 255.255.255.252
 clock rate 56000

Verificación:

R1#ping 192.168.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/8/12 ms

   
R1#show int s0/0 | i HDLC
  Encapsulation HDLC, crc 16, loopback not set
 

Securizar acceso telnet o ssh con una ACL

Este artículo forma parte de una serie de varios artículos que tratan distintas tecnologías de seguridad en routers y switches para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html

ACL para SSH o Telnet:

Crear una ACL que filtre desde que ips se pueden conectar a un router por ssh o por telnet es muy facil.

Lo primero es crear una acl permitiendo las ips que queremos que se puedan conectar al router.

Router(config)#access-list 11 permit 192.168.1.0 0.0.0.255

Una vez nos hemos creado la access list nos metemos dentro de line vty, y usamos el comando access-class,  que establecerá una acl para las conexiones de telnet o SSH.

Router(config)#line vty 0 4

Router(config-line)#access-class 11 in

Como se puede ver es algo muy sencillo, y que debería estar configurado en cualquier router.

CCIE: Ya soy CCIE

Bueno queridos lectores, por fin soy CCIE, tras muchas horas de estudio, muchos euros gastados en rack rental y muchas aventuras y desventuras ya tengo mi número.

Ahora a 7000km de mi casa tengo que pensar que voy a hacer con todas esas horas que antes gastaba en el CCIE y que ahora no se en que gastar.

Posiblemente escriba un par de artículos un poco mas detallados sobre el tema del CCIE, pero por ahora creo que me he ganado unas buenas vacaciones.

Ah bueno y también me he ganado el derecho a poner este logo:

Saludos del CCIE 40905.

Acceso por SSH router cisco

Este artículo forma parte de una serie de varios artículos que tratan distintas tecnologías de seguridad en routers y switches para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html
 

SSH:

Esta es una de esas cosas sencillas, pero muy útiles a la hora de configurar un router.

Habilitar SSH en un router lo que permite es que si alguien está esnifando tu red, no consiga usuarios y contraseñas de acceso a equipos de comunicaciones.

Configuración

aaa new-model <----- Para que pida usuario y contraseña
username networkkings password piruleta

line vty 0 4
   transport imput ssh
   login local <----usa los usuarios definidos localmente( si tienes tacacs omitelo)
exit

crypto key generate rsa 1024 <----crea la clave con la que se va a encriptar la conexión.

Si se te olvida el último paso el router no permitirá el acceso por telnet, ya que no será capaz de generar una conexión encriptada.

1024 es una clave normalita, pero permite el uso de ssh 1 y ssh 2, pero si vas a usar ssh2 seguro puedes poner claves RSA mas gorditas.

 Nota mental, si en ese router sustituyes la supervisora porque se fastidie, no vale tan solo con copiarle la configuración, también hay que generar la clave rsa de nuevo, o si la creaste exportable, pues volversela a cargar.

Por último añadir que no todas las IOS permiten SSH :) , por lo que antes de intentar hacer nada es mejor que compruebes el cisco feature navigator, que es una web que permite comprobar que cosas están habilitadas en cada imagen de IOS.

Cisco feature navigator

Acceso telnet a un router

Este artículo forma parte de una serie de varios artículos que tratan distintas tecnologías de seguridad en routers y switches para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html

 Acceso telnet

Habilitar el aceso a un router por medio de telnet es una de esas cosas sencillas que deberías saber hacer sin pensarlo. Cualquier equipo admite el acceso por medio de telnet.

Lo primero que debes hacer es habilitar una contraseña para enable.

enable password<la_que_quieras>

  line vty 0 4
  login
  password 0 <la_que_quieras> <---la contraseña que te pedirá cuando te conectes por telnet
  exit

<0 4> esto permite habilitar 5 usuarios concurrentes por telnet en el router, si pones 0 6 pues tendrás 7 usuarios concurrentes.

Ver quien esta conectado al router:

Yo estoy por consola, y además me he conectado desde otro router por telnet.

Router#show users
    Line       User       Host(s)              Idle       Location
*  0 con 0                idle                 00:00:00  
 130 vty 0                idle                 00:00:14 192.168.1.1

Si, desde la ip 192.168.1.1.

Echar al que está conectado por telnet:

clear line 130

Y cuando nos hechan vemos lo suguiente.

Router#
[Connection to 192.168.1.2 closed by foreign host]

Enviar un mensaje a un usuario conectado al router:

Router#send 130                  
Enter message, end with CTRL/Z; abort with CTRL/C:
Sal de mi maldito router!!!
^Z
Send message? [confirm]

El otro usuario ve lo siguiente:

Router#


***
***
*** Message from tty0 to tty130:
***
Sal de mi maldito router!!!



Router#

 

Access list extendidas:

Este artículo forma parte de una serie de varios artículos que tratan distintas tecnologías de seguridad en routers y switches para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html
 

Access list extendidas:

Se aplica todo lo que hemos visto para las listas de acceso standard, pero si antes teníamos unas ACL que filtraban el tráfico en base a la IP de origen de los paquetes ahora fitramos en base a:

• IP/red_origen
• IP/red_destino
• Protocolo(TCP/UDP/ICMP...)
• Puerto origen
• Puerto destino

Como os podéis imaginar, con las ACLextendidas si se puede filtrar dignamente, en realidad las ACL  standard son utilizadas para otros propósitos, aunque en un origen eran para filtrar tráfico.

Configuración:

access-list <100-199> permit <protocolo> <red_origen> <wildcard_origen> <eq/lt/gt> <puerto_origen> <red_destino> <wildcard_destino> <eq/lt/gt> <puerto_destino>

Es la misma idea que con las ACL estandar, pero se usa la numeración del 100 al 199, y tenemos que poner el orígen y el destino de los paquetes. Aquí también podemos filtrar a nivel de puerto, tanto de origen como de destino.

• <eq/lt/gt>: Eq significa que el puerto sea igual a, y un numero de puerto. Lt significa que el puerto sea menor a, y gt significa que el número de puerto sea mayor que.

Modificar ACL extendida:

R(config)#ip access-list extended<numero_ACL>

R(config-std-nacl)#<Numero_secuencia> <deny/permit> <red_origen> <wildcard_origen> <puerto> <red_destino> <wildcard_destino>

Protocolos soportados:

  ahp           Authentication Header Protocol
  eigrp         Cisco's EIGRP routing protocol
  esp           Encapsulation Security Payload
  gre           Cisco's GRE tunneling
  icmp          Internet Control Message Protocol
  igmp          Internet Gateway Message Protocol
  ip            Any Internet Protocol
  ipinip        IP in IP tunneling
  nos           KA9Q NOS compatible IP over IP tunneling
  ospf          OSPF routing protocol
  pcp           Payload Compression Protocol
  pim           Protocol Independent Multicast
  tcp           Transmission Control Protocol
  udp           User Datagram Protocol

El funcionamiento por lo demás es el mismo que el de las ACL standard.

Ejemplo:

  access-list 101 permit tcp host 192.168.1.1 host 80.80.80.80 eq 23
  access-list 101 permit tcp host 192.168.2.1 host 80.80.80.80 eq 23

Rack1R2(config)#do show ip access 101
Extended IP access list 101
    10 permit tcp host 192.168.1.1 host 80.80.80.80 eq telnet
    20 permit tcp host 192.168.2.1 host 80.80.80.80 eq telnet

Access list standard:

Este artículo forma parte de una serie de varios artículos que tratan distintas tecnologías de seguridad en routers y switches para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html

 

Access list standard:

Las access list o ACL son un mecanismo que permite controlar el tráfico que entra o sale por una interfaz. Su funcionamiento es algo bastante sencillo, simplemente se crea una lista con el tráfico que se quiere permitir dejar pasar, y con el tráfico que no se quiere dejar pasar.

Las access list se leen secuencialmente, y cuando un paquete cumple con una linea de una access list, la access list no se sigue leyendo para ese paquete, por ello es extremadamente importante el orden en el que se meten las entradas en una access list, así como asignar números de secuencia correctamente en las ACL.

Las access list solo hacen match con el tráfico que pasa por el router, pero no van a aplicar al tráfico generado desde el propio router, esto significa que si haces un ping desde un router ese tráfico no va a matchear en ninguna ACL del mismo router, pero podrá matchear en una ACL de cualquier otro router.

Todas las ACL por defecto llevan implícitamente aplicada una condición que deniega todo el tráfico en la última linea, esto no hace falta que lo configuremos, simplemente todas las ACL llevan implícito un DENY a todo el tráfico en la última linea.

Crear una ACL standard:

R(config)#access-list <numero_ACL> <permit/deny> <red_origen> <wildcard_origen>

• <numero_ACL>: Por narices las ACL standar tienen números en el rango 1-99, aunque hay un rango extendido entre el 1300 y el 1999 por si las moscas que también se puede usar.
• <permit/deny>: Si queremos dejar pasar ese tráfico, o si queremos no dejarlo pasar.
• <red_origen>: La red de origen de los paquetes que van a atravesar la interfaz.
• <wildcard_origen>: La wildcard que aplicamos.

Usando el mismo número de access list podemos añadir todas las lineas que queramos a una access list, teniendo en cuenta las reglas de las ACL que hemos comentado antes.

Ver una access list:

show ip access-list <numero_ACL>

Rack1R1#show ip access-list 33

Standard IP access list 33

10 permit 192.168.1.1

20 permit 192.168.2.1

30 deny 192.168.1.0, wildcard bits 0.0.0.255

Lo que aparece delante de cada permit o deny es el número de secuencia, y el router siempre va a leer y ordenar las ACL en base al número de secuencia hasta que haga match, y luego no seguirá leyendo.

Modificar una access list:

Hay dos maneras de modificar una access list, la primera es borrar la access list, e introducir la access list con las lineas que queramos, y la otra es un poco mas fina, pero un poco mas entretenida.

R(config)#ip access-list standard <numero_ACL>

R(config-std-nacl)#<Numero_secuencia> <deny/permit> <red_origen> <wildcard_origen>

Si quisieramos eliminar una linea en una ACL tan solo tendríamos que hacer:

R(config)#ip access-list standard <numero_ACL>

R(config-std-nacl)#no <Numero_secuencia>

Aplicar una ACL:

Las ACL no permiten o deniegan el tráfico alegremente, las ACL se aplican a interfaces, puedes aplicar una misma ACL a todas las interfaces que quieras de un router, pero solo se puede aplicar una ACL a cada interfaz, una para input y otra para output.

R#configure terminal

R(config)#int <interfaz>

Rack8R1(config-if)#ip access-group <numero_ACL> <in/out>

• <in/out>: Simplemente desde el punto de vista del router y mirando a la interfaz si la ACL aplica a los paquetes que entran al router por esa interfaz(in) o si salen por esa interfaz(out).

Ejemplo:

Creamos una ACL con cuatro entradas.

access-list 33 permit 192.168.1.1

access-list 33 permit 192.168.2.1

access-list 33 deny 192.168.1.0 0.0.0.255

access-list 33 permit any

Visualizamos la ACL:

Rack1R1#show ip access-list 33

Standard IP access list 33

10 permit 192.168.1.1

20 permit 192.168.2.1

30 deny 192.168.1.0, wildcard bits 0.0.0.255

Modificamos la ACL:

Rack1R1(config)#ip access-list standard 33

Rack1R1(config-std-nacl)#25 permit 192.168.1.0 0.0.0.255

Volvemos a ver la ACL:

Rack1R1#show ip access-lists 33

Standard IP access list 33

10 permit 192.168.1.1

20 permit 192.168.2.1

25 permit 192.168.1.0, wildcard bits 0.0.0.255

30 deny 192.168.1.0, wildcard bits 0.0.0.255

40 permit any

Aplicamos la ACL a una interfaz:

Rack1R1(config)#int e0/0

Rack1R1(config-if)#ip access-group 33 in

Por esa interfaz estaríamos permitiendo que entrase tráfico proveniente de las ip 192.168.1.1, 192.168.2.1 , de las 192.168.1.0 a 192.168.1.127, pero denegándolo a las 192.168.1.128-192.168.1.255, y permitiéndolo a todas las demás.

GLBP

Este artículo forma parte de una serie de varios artículos que tratan los distintos metodos de alta disponibilidad de gateway para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html

GLBP:

Al igual que con HSRP hace algo mas de un año que escribí un artículo sobre GLBP. Como ahora esto ha entrado a formar parte de CCNA, he modificado un poco el artículo, y lo incluyo para CCNA.

http://networkkings-es.blogspot.com/2012/07/glbp-balanceo-de-carga-y-redundancia-de.html

GLBP es un protocolo que permite alta disponibilidad de gateway igual que HSRP, pero que además permite hacer balanceo de carga del tráfico entre varios de routers que haran de gateway con la misma IP.

GLBP tampoco es que sea un protocolo con una tecnología especialmente novedosa, realmente lo único que hace es, que uno de los routers llamado AVG(Active Virtual Gateway) se encarga de responder a todas las peticiones de ARP de todo el mundo en esa vlan para la ip virtual, pero responde a cada cliente con la dirección MAC diferente cada vez, que corresponderá a la de los routers que forman parte del grupo de GLBP, lo que se llama AVF(Active Virtual Forwarders).

Pongo un ejemplo que también deja muy claro como se configura:

Ejemplo:

Router 1 (AVG):

interface Vlan2
ip address 192.168.1.11 255.255.255.0
glbp 2 ip 192.168.1.1
glbp 2 priority 200 <--- es la prioridad del AVG, luego se balancea el tráfico
glbp 2 preempt
glbp 2 authentication md5 key-string GoMiNoLa
end

Router 2 (Standby AVG):

interface Vlan2
ip address 192.168.1.22 255.255.255.0
glbp 2 ip 192.168.1.1

glbp 2 priority 100
glbp 2 preempt
glbp 2 authentication md5 key-string GoMiNoLa
end

También tiene opciones para elegir como balancear el tráfico, se puede elegir también que algunos equipos reciban mas tráfico que otros...etc.

Para todo esto, le podéis echar un vistazo a este link:

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t15/feature/guide/ft_glbp.html

HSRP

Este artículo forma parte de una serie de varios artículos que tratan los distintos metodos de alta disponibilidad de gateway para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html

 

 

HSRP:

 

Hace mas de un año escribí un artículo sobre HSRP en el que comentaba que HSRP es un procolo básico que cualquier administrador de red debería conocer bien,  y que me gustaría que fuera incluído en CCNA, bueno, pues parece que al final alguien pensó lo mismo que yo :) .

 

http://networkkings-es.blogspot.com/2012/07/hsrp-alta-disponibilidad-nivel-de.html

 

Este artículo es un artículo un poco adaptado a CCNA de mi artículo anterior.

 

HSRP es un protocolo que permite tener una ip virtual a parte de la real, y esa ip virtual la tendrá activa un router en un segmento de red, no es posible que esté activa en ambos. Si el router activo pierde conectividad con el pasivo, el router pasivo inmediatamente pasará a tener activa la dirección ip virtual.

El requisito obviamente es que ambos routers estén en la misma lan, y tengan conectividad entre ellos por esa vlan,  .

Configuración:

Dentro de una interfaz, ya sea física, vlan o lo que te de la gana:

standby <nºgrupo> ip <ip_virtual> <---- se pueden configurar varios grupos en la misma vlan por si quieres tener varias icvirtuales
standby <nºgrupo> priority <prioridad 0-250> <---la mayor prioridad gana
standby <nºgrupo> preempt <---sirve para que si un router con prioridad mayor se haga automáticamente activo aunque ya haya uno activo, si no esta activo esperaría hasta que el activo deje de responder

standby <nºgrupo> authentication md5 key-string <PASSWORD>

Resulta conveniente poner password porque si alguien pincha a tu red un equipo con linux y un programa para HSRP sería posible hacer un ataque de Man In The Middle, que por cierto me lo voy a apuntar para otro articulillo mas adelante porque es fácil y divertido de hacer.

Un ejemplo:

Activo:

interface Vlan2
ip address 192.168.1.11 255.255.255.0
standby 2 ip 192.168.1.1
standby 2 priority 200
standby 2 preempt
standby 2 authentication md5 key-string GoMiNoLa

Standby:

interface Vlan2
ip address 192.168.1.22 255.255.255.0
standby 2 ip 192.168.1.1
standby 2 preempt
standby 2 authentication md5 key-string GoMiNoLa

Comprobamos el estado desde el activo:

R1#show standby brief
P indicates configured to preempt.
|
Interface Grp Prio P State Active Standby Virtual IP
Vl2 2 200 P Active local 192.168.1.22 192.168.1.1

Nosotros somos los activos, y el stanby es el 192.168.1.22

Ahora vamos a lanzar un ping desde uno de los routers de abajo, y vamos a incomunicar el activo, y pasado unos segundos lo vamos a poner en juego.

R3#ping 192.168.1.1 repeat 1000

Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!..!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<---los dos paquetes fallidos cuando falla el activo
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<---otro paquete fallido cuando vuelve a ponerse activo
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!
Success rate is 99 percent (996/1000), round-trip min/avg/max = 4/16/68 ms

Aquí podemos ver lo que se ve en el servidor cuando tiramos la interfaz y volvemos a levantarla.

R1(config-if)#shut
R1(config-if)#
*Mar 1 03:09:26.791: %HSRP-5-STATECHANGE: Vlan2 Grp 2 state Active -> Init
*Mar 1 03:09:28.799: %LINK-5-CHANGED: Interface Vlan2, changed state to administratively down
*Mar 1 03:09:29.799: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2, changed state to downno shut
R1(config-if)#
*Mar 1 03:09:38.407: %LINK-3-UPDOWN: Interface Vlan2, changed state to up
*Mar 1 03:09:38.827: %HSRP-5-STATECHANGE: Vlan2 Grp 2 state Listen -> Active
*Mar 1 03:09:39.407: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2, changed state to up

 Además hay que añadir, que hay un comando bastante práctico que es el comando track, el cual permite, que si se cae otra interfaz nuestra prioridad de HSRP se decremente, es algo que se hace para cuando se cae un uplink en un switch de distribución, automáticamente el otro se ponga activo.

R1(config-if)#standby 2 track fastEthernet 0/0 120

Este comando lo que haría es que cuando se caiga la interfaz fa0/0 la prioridad de hsrp para este grupo, en esta ip, y en este router, se decremente en 120, que en el caso del ejemplo pasaría a tener 80.

Por último, y muy importante, HSRP es un protocolo propietario de Cisco, por tanto para routers de otro fabricante tendrás que usar otro protocolo como VRRP.

 

 

Tuneles GRE

Este artículo forma parte de una serie de varios artículos que tratan los distintos tipos de routing en IPV4 e IPV6 para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html

Tuneles GRE:

Hace ya mas de un año que puliqué varios artículos sobre tuneles GRE, pero en estaocasión voy a tomar como base mi primer artículo sobre tuneles GRE, y adaptarlo un poco.

Tuneles GRE BASICO
Tuneles GRE multipunto (AVANZADO)
Tuneles GRE multipunto ejemplo(AVANZADO)
Recursividad en tuneles GRE


Los túneles GRE son una herramienta todoterreno que te puede echar una mano para prácticamente todo, permitiendote saltarte limitaciones de protocolos y tecnologías múltiples y diversas.

El hecho de ser una herramienta tan flexible, que te saca de tantos apuros, hace que el 95% de las veces se hagan "chapuzas" con ellos. Antes de explicar un poco los túneles GRE mi recomendación es, que salvo para circunstancias muy excepcionales intentes evitar los túneles GRE ya que prácticamente siempre va a haber una alternativa mejor diseñada, mas limpia, mejor optimizada, y con un troubleshooting mas sencillo.

¿Que es un tunel GRE?

GRE significa Generic Routing Encapsulation, es una encapsulación para tuneles, por defecto no lleva encriptación, es facil de implementar, funciona bajo IPV4 pero se puede usar direccionamiento de IPV4 e IPV6, y lo mas importante que permite establecer routing dinámico a traves del tunel.

En el fondo resumiendo un poco, lo que hace un tunel GRE es simplemente crear una interfaz virtual entre los dos extremos del tunel, cuando se envían paquetes hacia el otro lado del tunel estos paquetes dentro del tunel tendrán como destino la dirección ip que corresponda, pero para llegar al otro extremo se tendrán que enviar paquetes con destino el otro extremo del tunel. Esto en realidad es tunelizar el tráfico ya que da cara a la red es algo transparente.

¿Como se configura?

router(config)#interface tunnel X
router(config-if)# tunnel source ( ip | interface )
router(config-if)# tunnel destination ( destination_ip )
router(config-if)#ip address x.x.x.x y.y.y.y
router(config-if)# ipv6 address ( ipv6_address ) ( ipv6_mask )

¿ Como funcionan ?

Es un protocolo que funciona a nivel 4 y admite una MTU máxima de 1475 bytes, por tanto si prevees que sobre el tunel tiene que fluir tráfico que no admita fragmentación, y que tenga mas de 1475 bytes lo mejor es ir olvidandose. El que avisa no es traidor.

Ejemplo con routing dinámico:

R4:

interface Loopback1
ip address 4.4.4.4 255.255.255.255
!
interface Loopback2
ip address 1.2.3.4 255.255.255.255
!
interface Tunnel1
ip address 10.0.0.1 255.255.255.252
tunnel source Loopback1
tunnel destination 6.6.6.6
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
half-duplex
!
router eigrp 100
network 1.2.3.4 0.0.0.0
network 10.0.0.1 0.0.0.0
auto-summary
!
router rip
version 2
network 4.0.0.0
network 192.168.1.0!

R5:

interface Ethernet0/0
ip address 192.168.1.2 255.255.255.0
half-duplex
!
interface Ethernet0/1
ip address 192.168.2.1 255.255.255.0
half-duplex
router rip
version 2
network 192.168.1.0
network 192.168.2.0

R6:

interface Ethernet0/1
ip address 192.168.2.2 255.255.255.0
half-duplex
interface Loopback1
ip address 6.6.6.6 255.255.255.255
!
interface Loopback2
ip address 4.3.2.1 255.255.255.255
!
interface Tunnel1
ip address 10.0.0.2 255.255.255.252
tunnel source Loopback1
tunnel destination 4.4.4.4

router eigrp 100
network 4.3.2.1 0.0.0.0
network 10.0.0.2 0.0.0.0
no auto-summary
!
router rip
version 2
network 6.0.0.0
network 192.168.2.0

En este mismo ejemplo si se enviase un tracert desde la loopback 1 a la loopback 1 del otro extremo veríamos que hay un solo salto, ya que el router intermedio no está viendo pasar el tráfico de loopback a loopbak, el router intermedio solo ve pasar tráfico perteneciente a un tunel, y lo que haya dentro del tunel no le interesa.

EIGRP para IPV6

Este artículo forma parte de una serie de varios artículos que tratan los distintos tipos de routing en IPV4 e IPV6 para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html

EIGRP para IPV6:

EIGRP para IPV6 utiliza los mismos conceptos aplicados para EIGRP para IPV4, esos conceptos teóricos que deberías haberte estudiado, ruta de sucesor, sucesor factible…etc.

En este artículo nos vamos a meter a configurar EIGRP para IPV6, y lo vamos a verificar.

Configuración:

Al igual que en OSPFv3 hay que poner un router id, y ese router id debe de ser una ip de ipv4, lo que permitirá que sea facil identificar cada router.

 

Ipv6 unicast-routing

Ipv6 router eigrp <numero_sistema_autónomo>

Router-id <IP_de_IPV4>

Además EIGRP para IPV6 debe de configurarse a nivel de interfaz.

interface <las que sean>

ipv6 eigrp <numero_sistema_autónomo>

Ejemplo:

Partiendo de la misma topología que para el ejemplo de OSPFv3 vamos a hacer un ejemplo con EIGRP para IPV6.

R1:

interface Loopback1

ipv6 address 1111::1/128

 ipv6 eigrp 33

!

interface FastEthernet0/0

ipv6 address 2020:12::1/64
 ipv6 eigrp 33
!

interface FastEthernet0/1

ipv6 address 2020:13::1/64
 ipv6 eigrp 33

!

ipv6 router eigrp 33

 router-id 1.1.1.1

 log-adjacency-changes

R2:

interface Loopback1

ipv6 address 2222::2/128
 ipv6 eigrp 33

!

interface FastEthernet0/0

ipv6 address 2020:12::2/64
 ipv6 eigrp 33
!

interface FastEthernet0/1

ipv6 address 2020:24::2/64
 ipv6 eigrp 33
!

interface FastEthernet1/0

ipv6 address 2020:23::2/64
 ipv6 eigrp 33
!

ipv6 router eigrp 33

 router-id 2.2.2.2

 log-adjacency-changes

R3:

interface Loopback1

ipv6 address 3333::3/128
 ipv6 eigrp 33
!

interface FastEthernet0/0

ipv6 address 2020:23::3/64
 ipv6 eigrp 33
!

interface FastEthernet0/1

ipv6 address 2020:34::3/64
 ipv6 eigrp 33
!

interface FastEthernet1/0

 ipv6 address 2020:13::3/64
 ipv6 eigrp 33
!

 ipv6 router eigrp 33

 router-id 3.3.3.3

 log-adjacency-changes

R4:

interface Loopback1

ipv6 address 4444::4/128

 ipv6 eigrp 33

!

interface FastEthernet0/0

ipv6 address 2020:24::4/64

 ipv6 eigrp 33

!

interface FastEthernet0/1

ipv6 address 2020:34::4/64

 ipv6 eigrp 33

!

ipv6 router eigrp 33

 router-id 4.4.4.4

 log-adjacency-changes

Un ping para probar:


R1#ping 4444::4 source loop 1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 4444::4, timeout is 2 seconds:

Packet sent with a source address of 1111::1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 32/40/48 ms

OSPF v3 OSPF para IPV6

Este artículo forma parte de una serie de varios artículos que tratan los distintos tipos de routing en IPV4 e IPV6 para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html

OSPF v3 OSPF para IPV6:

Uno de los pasos para que realmente se pudiera migrar hacia IPV6 era el adaptar los protocolos de routing para funcionar en IPV6, y de eso nace OSPFv3, que simplemente es OSPF para IPV6.

Los conceptos de estado de enlace, la base de datos de OSPF, los neighbor, y demás todo sigue igual. Simplemente lo que se hace es adaptarse a que es IPV6.

Configuración:

Lo primero va a ser habilitar routing para ipv6 en el router, porque sinó va a ser complicada la cosa. ;-)

Ipv6 unicast-routing

Luego ya configuramos OSPF con su respectivo router-id.

Ipv6 router ospf <numero_proceso>

Router-id <IP_de_IPV4>

Si, ha leído usted bien, se le pone un router ID con una ip de IPV4. ¿Por qué?  Pies porque las IP de IPV6 son feas de narices, y para que se distinga bien un router de otro pues le ponemos un router id de IPV4.

Interface fast0/0

Ipv6 ospf area <numero_area>

Esta manera de configurar OSPF también se puede hacer con IPV4, pero me lo había reservado :).

Ejemplo:

Ejemplo con la misma topología que en el artículo de OSPF para IPV4:

R1:

interface Loopback1

ipv6 address 1111::1/128

 ipv6 ospf 6 area 0

!

interface FastEthernet0/0

ipv6 address 2020:12::1/64

 ipv6 ospf 6 area 0

!

interface FastEthernet0/1

ipv6 address 2020:13::1/64

 ipv6 ospf 6 area 0

!

ipv6 router ospf 6

 router-id 1.1.1.1

 log-adjacency-changes

R2:

interface Loopback1

ipv6 address 2222::2/128

 ipv6 ospf 6 area 0

!

interface FastEthernet0/0

ipv6 address 2020:12::2/64

 ipv6 ospf 6 area 0

!

interface FastEthernet0/1

ipv6 address 2020:24::2/64

 ipv6 ospf 6 area 0

!

interface FastEthernet1/0

ipv6 address 2020:23::2/64

 ipv6 ospf 6 area 0

!

ipv6 router ospf 6

 router-id 2.2.2.2

 log-adjacency-changes

R3:

interface Loopback1

ipv6 address 3333::3/128

 ipv6 ospf 6 area 0

!

interface FastEthernet0/0

ipv6 address 2020:23::3/64

 ipv6 ospf 6 area 0

!

interface FastEthernet0/1

ipv6 address 2020:34::3/64

 ipv6 ospf 6 area 0

!

interface FastEthernet1/0

 ipv6 address 2020:13::3/64

 ipv6 ospf 6 area 0

!

 ipv6 router ospf 6

 router-id 3.3.3.3

 log-adjacency-changes

R4:

interface Loopback1

ipv6 address 4444::4/128

 ipv6 ospf 6 area 0

!

interface FastEthernet0/0

ipv6 address 2020:24::4/64

 ipv6 ospf 6 area 0

!

interface FastEthernet0/1

ipv6 address 2020:34::4/64

 ipv6 ospf 6 area 0

!

ipv6 router ospf 6

 router-id 4.4.4.4

 log-adjacency-changes

Un ping para probar:

R1#ping 4444::4 source loop 1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 4444::4, timeout is 2 seconds:

Packet sent with a source address of 1111::1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 32/40/48 ms



 

Funciona, no tiene nada de especial, es el mismo routing, pero con direcciones un poco mas feas.

EIGRP:

Este artículo forma parte de una serie de varios artículos que tratan los distintos tipos de routing en IPV4 e IPV6 para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html

EIGRP:

Al igual que con OSPF, en este artículo no pretendo entrar en toda la teoría sobre EIGRP, que es mucha, y muy importante conocerla, simplemente vamos a entrar a configurar EIGRP, pero vamos a entender lo que hacemos por medio de comandos show. Cabe de todos modos recordar que EIGRP es un protocolo desarrollado por Cisco, y por tanto es propietario suyo.
La configuración de EIGRP es bastante sencilla, luego entender el comportamiento del protocolo ya tiene un poco mas de chicha  ;-)

R(config)#router eigrp <Numero de sistema autónomo>
R(config-router)#network< red> <mascara_wildcard>

Numero de sistema autónomo: Tiene que coincidir en todos los routers que quieran hacerse vecinos. En realidad no tiene porque ser el sistema autónomo de verdad al que poseas, es mas, salvo que seas un operador o empresa muy grande no deberías tener un sistema autónomo propio.

Red y mascara de wildcard: Es la red por la que queremos hablar eigrp, esto significa que si ponemos una ip cualquiera y una máscara de wilcard 0.0.0.0(equivalente a red /32) solo hablaremos por esa intefaz. En cambio si ponemos 0.0.0.0 255.255.255.255(equivalente 0.0.0.0/0) hablaríamos EIGRP por todas las intefaces del router. A mí me gusta usar siempre 0.0.0.0 como wildcard porque me gusta controlar completamente porque interfaz hablo routing

Ejemplo:

Mismo mapa que para OSPF, así se pueden comparar.

R1:

conf t

interface Loopback1

 ip address 1.1.1.1 255.255.255.255

interface FastEthernet0/0

 ip address 192.168.12.1 255.255.255.0

 no shut

interface FastEthernet0/1

 ip address 192.168.13.1 255.255.255.0

 no shut


router eigrp 33

network 1.1.1.1 0.0.0.0

net 192.168.12.1 0.0.0.0

net 192.168.13.1 0.0.0.0

end

 

R2:

conf t

interface Loopback0

 ip address 2.2.2.2 255.255.255.255

no shut

interface FastEthernet0/0

 ip address 192.168.12.2 255.255.255.0

no shut

interface FastEthernet0/1

 ip address 192.168.24.2 255.255.255.0

no shut

interface FastEthernet1/0

 ip address 192.168.23.2 255.255.255.0

no shut


router eigrp 33

 network 2.2.2.2 0.0.0.0

 network 192.168.12.2 0.0.0.0

 network 192.168.23.2 0.0.0.0

 network 192.168.24.2 0.0.0.0

end

R3:

conf t



interface Loopback0

 ip address 3.3.3.3 255.255.255.255

 no shut

interface FastEthernet0/0

 ip address 192.168.23.3 255.255.255.0

 no shut

interface FastEthernet0/1

 ip address 192.168.34.3 255.255.255.0

 no shut

interface FastEthernet1/0

 ip address 192.168.13.3 255.255.255.0

 no shut


 router eigrp 33

 network 3.3.3.3 0.0.0.0

 network 192.168.13.3 0.0.0.0

 network 192.168.23.3 0.0.0.0

 network 192.168.34.3 0.0.0.0

end 

R4:

conf t

interface Loopback0

 ip address 4.4.4.4 255.255.255.255

 no shut

interface FastEthernet0/0

 ip address 192.168.24.4 255.255.255.0

 no shut

interface FastEthernet0/1

 ip address 192.168.34.4 255.255.255.0

 no shut


router eigrp 33

 network 4.4.4.4 0.0.0.0

 network 192.168.24.4 0.0.0.0

 network 192.168.34.4 0.0.0.0

 

Vecinos:

Al igual que en OSPF  en EIGRP también nos hacemos vecinos de los routers que nos rodean, e intercambiamos información.

R1#show ip eigrp neighbors
IP-EIGRP neighbors for process 33

H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq

                                            (sec)         (ms)       Cnt Num

1   192.168.13.3            Fa0/1             11 00:01:45   63   378  0  15

0   192.168.12.2            Fa0/0             14 00:02:00   70   420  0  20

Se puede ver que R1 tiene dos vecinos, que son R2 y R3.



Tabla de rutas de R1:
La tabla de rutas de R1 en este caso es muy muy parecida, solo que en este caso aparece una D delante de las rutas para indicar que es EIGRP, y en este caso la distancia administrativa es 90, que es inferior a la de OSPF, por tanto a igualdad de rutas siempre elijo EIGRP.

R1#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.12.0/24 is directly connected, FastEthernet0/0
     1.0.0.0/32 is subnetted, 1 subnets
C       1.1.1.1 is directly connected, Loopback1
C    192.168.13.0/24 is directly connected, FastEthernet0/1
     2.0.0.0/32 is subnetted, 1 subnets
D       2.2.2.2 [90/156160] via 192.168.12.2, 00:01:02, FastEthernet0/0
     3.0.0.0/32 is subnetted, 1 subnets
D       3.3.3.3 [90/156160] via 192.168.13.3, 00:00:48, FastEthernet0/1
     4.0.0.0/32 is subnetted, 1 subnets
D       4.4.4.4 [90/158720] via 192.168.13.3, 00:00:36, FastEthernet0/1
                [90/158720] via 192.168.12.2, 00:00:36, FastEthernet0/0
D    192.168.24.0/24 [90/30720] via 192.168.12.2, 00:19:29, FastEthernet0/0
D    192.168.23.0/24 [90/30720] via 192.168.13.3, 00:19:29, FastEthernet0/1
                     [90/30720] via 192.168.12.2, 00:19:29, FastEthernet0/0
D    192.168.34.0/24 [90/30720] via 192.168.13.3, 00:19:29, FastEthernet0/1

Probando conectividad:

R1#ping 4.4.4.4 source loop 1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/40/48 ms

OSPF con un solo area

Este artículo forma parte de una serie de varios artículos que tratan los distintos tipos de routing en IPV4 e IPV6 para CCNA R&S, para ir al índice del curso tienes este link:

http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html

OSPF:

Si se me permite tener un protocolo de routing favorito, ese sin duda es OSPF,¿Por qué? , ni idea, pero siempre me ha gustado. En este artículo no pretendo entrar en toda la teoría sobre OSPF, que es mucha, y muy importante conocerla, simplemente vamos a entrar a configurar OSPF con un único área, pero vamos a entender lo que hacemos por medio de comandos show.

Configuración:

La configuración de OSPF, al igual que la de otros protocolos es bastante sencilla, lo complicado es entender, y predecir el comportamiento.

R(config)#router ospf <Numero de Proceso>
R2(config-router)#network <red> <mascara_wildcard> area <numero_area>

Numero de proceso: Puedes poner el número que te venga en gana, NO tiene poque coincidir entre los routers, simplemente es un número para identificar al proceso de OSPF, existe simplemente porque puedes configurar varios OSPF en el mismo router ;) .

Red y mascara de wildcard: Es la red por la que queremos hablar ospf, esto significa que si ponemos una ip cualquiera y una máscara de wilcard 0.0.0.0(equivalente a red /32) solo hablaremos por esa intefaz. En cambio si ponemos 0.0.0.0 255.255.255.255(equivalente 0.0.0.0/0) hablaríamos OSPF por todas las intefaces del router. A mí me gusta usar siempre 0.0.0.0 como wildcard porque me gusta controlar completamente porque interfaz hablo routing.

Numero de área: Debe coincidir, acostúmbrate a usar 0 por un tema de diseño que se verá en otro capítulo.


Si en un link ambos extremos tienen configurado ospf debería aparecer algo como esto:

*Mar 1 00:32:50.783: %OSPF-5-ADJCHG: Process 4, Nbr 2.2.2.2 on FastEthernet0/0 from LOADING to FULL, Loading Done

Tus routers se han hecho amigos, se irán de copas juntos, y a partir de ahora intercambiarán información de routing :-D.

Ejemplo:

Dada la siguiente topología vamos a configurar OSPF, todos los routers además tendran una loopback que tendrá como direccion ip el numero de router en todos los octetos, por lo que el router R1 tendra como loopback 1.1.1.1.


R1:

interface Loopback1
ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0
ip address 192.168.12.1 255.255.255.0
!
interface FastEthernet0/1
ip address 192.168.13.1 255.255.255.0
!
!
router ospf 1
log-adjacency-changes
network 1.1.1.1 0.0.0.0 area 0
network 192.168.12.1 0.0.0.0 area 0
network 192.168.13.1 0.0.0.0 area 0
!

R2:

interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
interface FastEthernet0/0
ip address 192.168.12.2 255.255.255.0
!
interface FastEthernet0/1
ip address 192.168.24.2 255.255.255.0
!
interface FastEthernet1/0
ip address 192.168.23.2 255.255.255.0
!
!
router ospf 2
log-adjacency-changes
network 2.2.2.2 0.0.0.0 area 0
network 192.168.12.2 0.0.0.0 area 0
network 192.168.23.2 0.0.0.0 area 0
network 192.168.24.2 0.0.0.0 area 0

R3:

interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
interface FastEthernet0/0
ip address 192.168.23.3 255.255.255.0
!
interface FastEthernet0/1
ip address 192.168.34.3 255.255.255.0
!
interface FastEthernet1/0
ip address 192.168.13.3 255.255.255.0
!
!
router ospf 3
log-adjacency-changes
network 3.3.3.3 0.0.0.0 area 0
network 192.168.13.3 0.0.0.0 area 0
network 192.168.23.3 0.0.0.0 area 0
network 192.168.34.3 0.0.0.0 area 0

R4:

interface Loopback0
ip address 4.4.4.4 255.255.255.255
!
interface FastEthernet0/0
ip address 192.168.24.4 255.255.255.0
!
interface FastEthernet0/1
ip address 192.168.34.4 255.255.255.0
!
!
router ospf 4
log-adjacency-changes
network 4.4.4.4 0.0.0.0 area 0
network 192.168.24.4 0.0.0.0 area 0
network 192.168.34.4 0.0.0.0 area 0

Vamos a ver los vecinos:

Desde R1 podemos ver que tenemos dos vecinos, los cuales se identifican con el router ID, que por defecto es la ip de loopback más alta de cada router. Pero debajo de Address podemos ver cuál es la IP de la que me he hecho vecino.

R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
3.3.3.3 1 FULL/DR 00:00:35 192.168.13.3 FastEthernet0/1
2.2.2.2 1 FULL/DR 00:00:38 192.168.12.2 FastEthernet0/0

Tabla de routing de cada dispositivo:

Si te fijas bien puedes ver que las rutas aprendidas automáticamente por OSPF aparecen con una O delante, en lugar de la S de cuando configurábamos rutas estáticas. Además se puede ver 110/X , 110 es la distancia administrativa, y el valor de detrás de la barra es la métrica.

R1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
C 192.168.12.0/24 is directly connected, FastEthernet0/0
1.0.0.0/32 is subnetted, 1 subnets
C 1.1.1.1 is directly connected, Loopback1
C 192.168.13.0/24 is directly connected, FastEthernet0/1
2.0.0.0/32 is subnetted, 1 subnets
O 2.2.2.2 [110/2] via 192.168.12.2, 00:04:35, FastEthernet0/0
3.0.0.0/32 is subnetted, 1 subnets
O 3.3.3.3 [110/2] via 192.168.13.3, 00:04:35, FastEthernet0/1
4.0.0.0/32 is subnetted, 1 subnets
O 4.4.4.4 [110/3] via 192.168.13.3, 00:04:36, FastEthernet0/1
                [110/3] via 192.168.12.2, 00:04:36, FastEthernet0/0
O 192.168.24.0/24 [110/2] via 192.168.12.2, 00:04:36, FastEthernet0/0
O 192.168.23.0/24 [110/2] via 192.168.13.3, 00:04:36, FastEthernet0/1
                               [110/2] via 192.168.12.2, 00:04:36, FastEthernet0/0
O 192.168.34.0/24 [110/2] via 192.168.13.3, 00:04:37, FastEthernet0/1

R2#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
C 192.168.12.0/24 is directly connected, FastEthernet0/0
1.0.0.0/32 is subnetted, 1 subnets
O 1.1.1.1 [110/2] via 192.168.12.1, 00:05:14, FastEthernet0/0
O 192.168.13.0/24 [110/2] via 192.168.23.3, 00:05:14, FastEthernet1/0
                               [110/2] via 192.168.12.1, 00:05:14, FastEthernet0/0
2.0.0.0/32 is subnetted, 1 subnets
C 2.2.2.2 is directly connected, Loopback0
3.0.0.0/32 is subnetted, 1 subnets
O 3.3.3.3 [110/2] via 192.168.23.3, 00:05:14, FastEthernet1/0
4.0.0.0/32 is subnetted, 1 subnets
O 4.4.4.4 [110/2] via 192.168.24.4, 00:05:16, FastEthernet0/1
C 192.168.24.0/24 is directly connected, FastEthernet0/1
C 192.168.23.0/24 is directly connected, FastEthernet1/0
O 192.168.34.0/24 [110/2] via 192.168.24.4, 00:05:16, FastEthernet0/1
                               [110/2] via 192.168.23.3, 00:05:16, FastEthernet1/0



R3#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
O 192.168.12.0/24 [110/2] via 192.168.23.2, 00:05:46, FastEthernet0/0
                               [110/2] via 192.168.13.1, 00:05:46, FastEthernet1/0
1.0.0.0/32 is subnetted, 1 subnets
O 1.1.1.1 [110/2] via 192.168.13.1, 00:05:46, FastEthernet1/0
C 192.168.13.0/24 is directly connected, FastEthernet1/0
2.0.0.0/32 is subnetted, 1 subnets
O 2.2.2.2 [110/2] via 192.168.23.2, 00:05:46, FastEthernet0/0
3.0.0.0/32 is subnetted, 1 subnets
C 3.3.3.3 is directly connected, Loopback0
4.0.0.0/32 is subnetted, 1 subnets
O 4.4.4.4 [110/2] via 192.168.34.4, 00:05:48, FastEthernet0/1
O 192.168.24.0/24 [110/2] via 192.168.34.4, 00:05:48, FastEthernet0/1
                               [110/2] via 192.168.23.2, 00:05:48, FastEthernet0/0
C 192.168.23.0/24 is directly connected, FastEthernet0/0
C 192.168.34.0/24 is directly connected, FastEthernet0/1


R4#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set

O 192.168.12.0/24 [110/2] via 192.168.24.2, 00:06:10, FastEthernet0/0
1.0.0.0/32 is subnetted, 1 subnets
O 1.1.1.1 [110/3] via 192.168.34.3, 00:06:10, FastEthernet0/1
[110/3] via 192.168.24.2, 00:06:10, FastEthernet0/0
O 192.168.13.0/24 [110/2] via 192.168.34.3, 00:06:10, FastEthernet0/1
2.0.0.0/32 is subnetted, 1 subnets
O 2.2.2.2 [110/2] via 192.168.24.2, 00:06:10, FastEthernet0/0
3.0.0.0/32 is subnetted, 1 subnets
O 3.3.3.3 [110/2] via 192.168.34.3, 00:06:11, FastEthernet0/1
4.0.0.0/32 is subnetted, 1 subnets
C 4.4.4.4 is directly connected, Loopback0
C 192.168.24.0/24 is directly connected, FastEthernet0/0
O 192.168.23.0/24 [110/2] via 192.168.34.3, 00:06:11, FastEthernet0/1
                               [110/2] via 192.168.24.2, 00:06:11, FastEthernet0/0
C 192.168.34.0/24 is directly connected, FastEthernet0/1

Verificar nuestro proceso de OSPF:

R1#show ip ospf
Routing Process "ospf 1" with ID 1.1.1.1
Start time: 00:35:03.448, Time elapsed: 00:07:17.844
Supports only single TOS(TOS0) routes
Supports opaque LSA
Supports Link-local Signaling (LLS)
Supports area transit capability
Router is not originating router-LSAs with maximum metric
Initial SPF schedule delay 5000 msecs
Minimum hold time between two consecutive SPFs 10000 msecs
Maximum wait time between two consecutive SPFs 10000 msecs
Incremental-SPF disabled
Minimum LSA interval 5 secs
Minimum LSA arrival 1000 msecs
LSA group pacing timer 240 secs
Interface flood pacing timer 33 msecs
Retransmission pacing timer 66 msecs
Number of external LSA 0. Checksum Sum 0x000000
Number of opaque AS LSA 0. Checksum Sum 0x000000
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Number of areas transit capable is 0
External flood list length 0
Area BACKBONE(0)
Number of interfaces in this area is 3 (1 loopback)
Area has no authentication
SPF algorithm last executed 00:06:38.096 ago
SPF algorithm executed 4 times
Area ranges are
Number of LSA 9. Checksum Sum 0x046A21
Number of opaque link LSA 0. Checksum Sum 0x000000
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0

Como se puede ver aparece nuestro router ID, a que area pertenecemos, y cuantas interfaces “hablan” OSPF.


Base de datos:

Si te has estudiado la teoría de CCNA sabrás que OSPF es un protocolo de routing basado en estado de enlace, y por tanto tiene una base de datos con todos los routers, que interfaces tienen y demás. Si quieres curiosear un poco aquí te dejo un pequeño snapshot.

R1#show ip ospf database

OSPF Router with ID (1.1.1.1) (Process ID 1)
Router Link States (Area 0)
Link ID ADV Router Age Seq# Checksum Link count
1.1.1.1 1.1.1.1 441 0x80000004 0x0059CA 3
2.2.2.2 2.2.2.2 449 0x80000007 0x00B434 4
3.3.3.3 3.3.3.3 442 0x80000007 0x00556C 4
4.4.4.4 4.4.4.4 598 0x80000004 0x00B007 3
Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
192.168.12.2 2.2.2.2 449 0x80000001 0x008F1F
192.168.13.3 3.3.3.3 442 0x80000001 0x007E26
192.168.23.2 2.2.2.2 649 0x80000001 0x007A21
192.168.24.2 2.2.2.2 603 0x80000001 0x00A1F4
192.168.34.3 3.3.3.3 603 0x80000001 0x002D56

Conectividad y alta disponibilidad:


A continuación lo que voy a hacer es lanzar un ping desde la loopback de R1 a la loopback de R4, voy a tirar uno de los caminos que me lleva a esa loopback, y vamos a ver que pasa.

R1# ping 4.4.4.4 source loop 1 rep 1000
Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 4.4.4.4, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!
*Mar 1 01:23:58.711: %OSPF-5-ADJCHG: Process 1, Nbr 2.2.2.2 on FastEthernet0/0 from FULL to DOWN, Neighbor Down: Dead timer expired!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!

Success rate is 99 percent (997/1000), round-trip min/avg/max = 16/40/76 ms

Como se puede ver se pierden tres paquetes únicamente, el solito se adapta a la topología, y cuando ve que uno de los caminos está muerto lo saca de la tabla de rutas.