Network Kings: Networking y tecnología en español

viernes, 12 de junio de 2015

[MPLS desde cero] OSPF entre PE y CE

Este artículo forma parte de un grupo de artículos llamado MPLS para Dummies en el que se pretende dar una iniciación práctica de como configurar una red MPLS básica. Si sigues los pasos uno a uno, con las configuraciones que aquí se presentan es imposible que no puedas montar tu propia red MPLS :) .

Configuración:

Si leíste el anterior artículo de este grupo de artículos verás que es hacer exactamente lo mismo que hacíamos con RIP, pero ahora con OSPF. Si no lo has leído, te recomiendo que leas la serie completa de MPLS para Dummies.

R9:

router ospf 1
router-id 100.0.0.9
network 100.0.0.9 0.0.0.0 area 0
network 192.168.49.9 0.0.0.0 area 0

R10:

router ospf 1
router-id 100.0.0.10
network 100.0.0.10 0.0.0.0 area 0
network 192.168.105.10 0.0.0.0 area 0

R4:

router ospf 109 vrf VPN910
net 192.168.49.4 0.0.0.0 area 0
redistribute bgp 40905 subnets

router bgp 40905
address-family ipv4 vrf VPN910
redistribute ospf 109

R5:

router ospf 109 vrf VPN910
net 192.168.105.5 0.0.0.0 area 0
redistribute bgp 40905 subnets

router bgp 40905
address-family ipv4 vrf VPN910
redistribute ospf 109

Verificación:

Fácil y para toda la familia :-) .

R9:

R9#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override
Gateway of last resort is not set
      100.0.0.0/32 is subnetted, 2 subnets
C        100.0.0.9 is directly connected, Loopback0
O IA     100.0.0.10 [110/21] via 192.168.49.4, 00:00:25, Ethernet0/0.49
      192.168.49.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.49.0/24 is directly connected, Ethernet0/0.49
L        192.168.49.9/32 is directly connected, Ethernet0/0.49
O IA 192.168.105.0/24 [110/11] via 192.168.49.4, 00:00:25, Ethernet0/0.49

R9#ping 100.0.0.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/5 ms

R9#trace 100.0.0.10
Type escape sequence to abort.
Tracing the route to 100.0.0.10
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.49.4 1 msec 1 msec 0 msec
2 20.0.14.1 4 msec 3 msec 2 msec
3 192.168.105.5 [MPLS: Label 26 Exp 0] 2 msec 3 msec 3 msec
4 192.168.105.10 5 msec 3 msec *

R10:

R10#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override
Gateway of last resort is not set
      100.0.0.0/32 is subnetted, 2 subnets
O IA     100.0.0.9 [110/21] via 192.168.105.5, 00:03:57, Ethernet0/0.105
C        100.0.0.10 is directly connected, Loopback0
O IA 192.168.49.0/24 [110/11] via 192.168.105.5, 00:03:57, Ethernet0/0.105
      192.168.105.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.105.0/24 is directly connected, Ethernet0/0.105
L        192.168.105.10/32 is directly connected, Ethernet0/0.105

R10#ping 100.0.0.9
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.0.0.9, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/4 ms

R10#trace 100.0.0.9
Type escape sequence to abort.
Tracing the route to 100.0.0.9
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.105.5 1 msec 0 msec 0 msec
2 20.0.15.1 4 msec 4 msec 3 msec
3 192.168.49.4 [MPLS: Label 25 Exp 0] 3 msec 2 msec 3 msec
4 192.168.49.9 3 msec 3 msec *

R4:

R4#show ip route vrf VPN910
Routing Table: VPN910
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override
Gateway of last resort is not set
      100.0.0.0/32 is subnetted, 2 subnets
O        100.0.0.9 [110/11] via 192.168.49.9, 00:07:46, Ethernet0/0.49
B        100.0.0.10 [200/11] via 100.0.0.5, 00:07:40
      192.168.49.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.49.0/24 is directly connected, Ethernet0/0.49
L        192.168.49.4/32 is directly connected, Ethernet0/0.49
B     192.168.105.0/24 [200/0] via 100.0.0.5, 00:07:40

R5:

R5#show ip route vrf VPN910
Routing Table: VPN910
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override
Gateway of last resort is not set
      100.0.0.0/32 is subnetted, 2 subnets
B        100.0.0.9 [200/11] via 100.0.0.4, 00:08:06
O        100.0.0.10 [110/11] via 192.168.105.10, 00:08:06, Ethernet0/0.105
B     192.168.49.0/24 [200/0] via 100.0.0.4, 00:08:06
      192.168.105.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.105.0/24 is directly connected, Ethernet0/0.105
L        192.168.105.5/32 is directly connected, Ethernet0/0.105

lunes, 8 de junio de 2015

[MPLS para Dummies] RIP entre PE y CE

Configuración:

Aquí vamos a configurar RIP contra el cliente, en otros artículos configuraremos otros protocolos de routing diferentes. Lo cierto es que esta es la parte más fácil, configuramos RIP en los PE y CE, para luego redistribuir entre RIP y BGP en los PE.

R7:

router rip
version 2
network 100.0.0.0
network 192.168.47.0
no auto-summary

R8:

router rip
version 2
network 100.0.0.0
network 192.168.58.0
no auto-summary

R4:

router rip
address-family ipv4 vrf VPN78
redistribute bgp 40905 metric 10
network 192.168.47.0
no auto-summary
version 2
exit-address-family
redistribute rip

router bgp 40905
address-family ipv4 vrf VPN78
redistribute connected
redistribute rip
exit-address-family

R5:

router rip
!
address-family ipv4 vrf VPN78
redistribute bgp 40905 metric 10
network 192.168.58.0
no auto-summary
version 2
exit-address-family
redistribute rip

router bgp 40905
address-family ipv4 vrf VPN78
redistribute connected
redistribute rip
exit-address-family

Verificación:

Como se puede ver, tenemos las rutas en la tabla de rutas de los clientes, y no hay rutas de otros clientes. Se puede hacer ping, se puede hacer tracert…etc.

El único detalle importante es en los PE, que para alcanzar las redes del otro site tenemos una dirección IP de la tabla de routing global. Si lo miramos a nivel de CEF se ve cual es la etiqueta de MPLS que vamos a usar para llegar al otro site. Ahí está la magia.

R7:

R7#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override
Gateway of last resort is not set
      100.0.0.0/32 is subnetted, 2 subnets
C        100.0.0.7 is directly connected, Loopback0
R        100.0.0.8 [120/10] via 192.168.47.4, 00:00:10, Ethernet0/0.47
      192.168.47.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.47.0/24 is directly connected, Ethernet0/0.47
L        192.168.47.7/32 is directly connected, Ethernet0/0.47
R     192.168.58.0/24 [120/10] via 192.168.47.4, 00:00:10, Ethernet0/0.47

R7#ping 100.0.0.8 source loo 0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.0.0.8, timeout is 2 seconds:
Packet sent with a source address of 100.0.0.7
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/3 ms

R7#trace 100.0.0.8
Type escape sequence to abort.
Tracing the route to 100.0.0.8
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.47.4 1 msec 1 msec 1 msec
2 20.0.14.1 4 msec 4 msec 5 msec
3 192.168.58.5 [MPLS: Label 24 Exp 0] 3 msec 3 msec 3 msec
4 192.168.58.8 3 msec 3 msec *

R8:

R8#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override
Gateway of last resort is not set
      100.0.0.0/32 is subnetted, 2 subnets
R        100.0.0.7 [120/10] via 192.168.58.5, 00:00:02, Ethernet0/0.58
C        100.0.0.8 is directly connected, Loopback0
R     192.168.47.0/24 [120/10] via 192.168.58.5, 00:00:02, Ethernet0/0.58
      192.168.58.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.58.0/24 is directly connected, Ethernet0/0.58
L        192.168.58.8/32 is directly connected, Ethernet0/0.58

R8#ping 100.0.0.7
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.0.0.7, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/5 ms

R8#trace 100.0.0.7
Type escape sequence to abort.
Tracing the route to 100.0.0.7
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.58.5 1 msec 1 msec 1 msec
2 20.0.15.1 3 msec 4 msec 4 msec
3 192.168.47.4 [MPLS: Label 23 Exp 0] 3 msec 4 msec 3 msec
4 192.168.47.7 3 msec 3 msec *

R4:

R4#show ip route vrf VPN78
Routing Table: VPN78
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override
Gateway of last resort is not set
      100.0.0.0/32 is subnetted, 2 subnets
R        100.0.0.7 [120/1] via 192.168.47.7, 00:00:08, Ethernet0/0.47
B        100.0.0.8 [200/1] via 100.0.0.5, 00:10:21
      192.168.47.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.47.0/24 is directly connected, Ethernet0/0.47
L        192.168.47.4/32 is directly connected, Ethernet0/0.47
B     192.168.58.0/24 [200/0] via 100.0.0.5, 00:10:21

R4#show ip cef vrf VPN78 100.0.0.8 detail
100.0.0.8/32, epoch 0, flags rib defined all labels
recursive via 100.0.0.5 label 24
    nexthop 20.0.14.1 Ethernet0/0.14 label 16005

R5:

R5#show ip route vrf VPN78
Routing Table: VPN78
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override
Gateway of last resort is not set
      100.0.0.0/32 is subnetted, 2 subnets
B        100.0.0.7 [200/1] via 100.0.0.4, 00:12:03
R        100.0.0.8 [120/1] via 192.168.58.8, 00:00:26, Ethernet0/0.58
B     192.168.47.0/24 [200/0] via 100.0.0.4, 00:12:03
      192.168.58.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.58.0/24 is directly connected, Ethernet0/0.58
L        192.168.58.5/32 is directly connected, Ethernet0/0.58

R5#show ip cef vrf VPN78 100.0.0.7 detail
100.0.0.7/32, epoch 0, flags rib defined all labels
recursive via 100.0.0.4 label 23
    nexthop 20.0.15.1 Ethernet0/0.15 label 16001

viernes, 5 de junio de 2015

[MPLS para Dummies] Creando VRFs

Configuración:

El siguiente paso consiste en configurar las tablas de routing virtuales(VRF) de cada PE para cada uno de sus clientes. De esta manera en el propio PE habrá tablas de routing independientes con la información de cada cliente, que serán estancas y de esa manera la información de cada cliente se mantendrá siempre aislada. Lo que hacemos es crear un VRF por cliente, le asignaremos un RT que será el identificación de cada cliente y asignaremos las interfaces que correspondan a cada cliente.

R4:

vrf definition VPN78
rd 78:4
!
address-family ipv4
route-target export 78:78
route-target import 78:78
exit-address-family

vrf definition VPN910
rd 910:4
!
address-family ipv4
route-target export 910:910
route-target import 910:910
exit-address-family

R4(config)#interface Ethernet0/0.47
R4(config-subif)#vrf forwarding VPN78
% Interface Ethernet0/0.47 IPv4 disabled and address(es) removed due to disabling VRF VPN78
R4(config-subif)# ip address 192.168.47.4 255.255.255.0
R4(config-subif)#interface Ethernet0/0.49
R4(config-subif)#vrf forwarding VPN910
% Interface Ethernet0/0.49 IPv4 disabled and address(es) removed due to disabling VRF VPN910
R4(config-subif)# ip address 192.168.49.4 255.255.255.0

R5:

vrf definition VPN78
rd 78:5
!
address-family ipv4
route-target export 78:78
route-target import 78:78
exit-address-family
vrf definition VPN910
rd 910:5
!
address-family ipv4
route-target export 910:910
route-target import 910:910
exit-address-family

R5(config)#int e0/0.58
R5(config-subif)#vrf forwarding VPN78
% Interface Ethernet0/0.58 IPv4 disabled and address(es) removed due to disabling VRF VPN78
R5(config-subif)# ip address 192.168.58.5 255.255.255.0
R5(config-subif)#interface Ethernet0/0.105
R5(config-subif)#vrf forwarding VPN910
% Interface Ethernet0/0.105 IPv4 disabled and address(es) removed due to disabling VRF VPN910
R5(config-subif)# ip address 192.168.105.5 255.255.255.0

Verificación:

Un detalle a tener en cuenta es que cuando asignas interfaz a un vrf la dirección ip queda borrada y toca volver a asignarla :D . En este caso los routers pares representan a un cliente, y los impares a otro, lo que vamos a hacer va a ser comunicar dos sedes de cada cliente.

R4:

R4#show ip vrf interfaces Interface              IP-Address      VRF                              Protocol
Et0/0.47               192.168.47.4    VPN78                            up
Et0/0.49               192.168.49.4    VPN910                           up

R5:

R5#show ip vrf interfaces
Interface              IP-Address      VRF                              Protocol
Et0/0.58               192.168.58.5    VPN78                            up
Et0/0.105              192.168.105.5   VPN910                           up

martes, 2 de junio de 2015

Nexus: Consideraciones de diseño al usar VDC

Introducción:

Este artículo pertenece a un grupo de artículos dedicados a tecnologías específicas de los equipos Nexus que pertenecen a la gama de Datacenter de Cisco. En estos artículos pretendo explicar brevemente cómo funcionan ciertas tecnologías que son propias de los Nexus, y que tienen poco que ver con el resto de switches.

Una interfaz solo puede estar en un único VDC:

Por lo general una interfaz tan solo puede pertenecer a un único VDC, pero hay dos claras excecpiones a esto.

Todos los VDC comparten la misma interfaz de management, esta interfaz puede tener asignada diferente ip en cada VDC(todos en la misma red), y esto permitiría administrar todos los VDC cada uno con su IP. No está permitido el tráfico de interfaz de management de un VDC a interfaz de management de otro VDC.

Una interfaz puede asignarse al VDC de storage, y a otro VDC al mismo tiempo, de modo que el tráfico FCoE va al VDC de storage, y el tráfico Ethernet al VDC “normal”.

El tipo de tarjeta influye mucho:

Cuando vas a asignar puertos no todas las tarjetas permiten asociar un único puerto a un VDC, esto es porque hay tarjetas que tienen un chip dedicado por puerto, y otras que tienen un chip dedicado por grupo de puertos(sobresuscripción).

Para ilustrar dejo algunos ejemplos de la página de Cisco de cuan diferente puede ser la distribución de puertos según el tipo de tarjeta, cada dos puertos, cada cuatro, o sin restricciones. Recomiendo encarecidamente hacer clic en los links de abajo a la página de Cisco Systems para comprobar cómo se reparten los puertos en cada tarjeta.

Escenarios típicos:

Separación de entornos de firewall:

En este ejemplo en lugar de comprar equipos físicos diferentes para la zona segura y no segura, lo que se hace es configurar un VDC para proveer de puertos a lo que consideramos la zona no segura, y otro VDC para la zona segura. Si lo hiciésemos en un solo equipo sin VDC cualquier fallo de configuración de VLANs permitiría acceder al core.

Consolidación modelo tres capas:

En este ejemplo en lugar de tener dos equipos de Core, dos de Distribución, y N de Acceso lo que hacemos es juntar las capas de Core y Distribución en dos dispositivos físicos, pero que realmente se dividen en dos VDC, uno de Distribución y otro de Core.

VDC OTV:

Aquí lo que hacemos es crear un VDC que va a ejecutar la funcionalidad de OTV, y como clientes de OTV tendrá a uno o varios VDC.

Artículos recomendados:

http://www.cisco.com/c/en/us/products/collateral/switches/nexus-7000-series-switches/white_paper_c11-701112.html

http://www.cisco.com/c/en/us/products/collateral/switches/nexus-7000-10-slot-switch/White_Paper_Tech_Overview_Virtual_Device_Contexts.html

http://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/nx-os/virtual_device_context/configuration/guide/vdc_nx-os_cfg/vdc_overview.html#pgfId-1084821