Vous êtes sur la page 1sur 921

REDES CISCO CCNP a Fondo

GUA DE ESTUDIO PARA PROFESIONALES

www.FreeLibros.com

www.FreeLibros.com

REDES CISCO CCNP a Fondo


GUA DE ESTUDIO PARA PROFESIONALES
Ernesto Ariganello Enrique Barrientos Sevilla

www.FreeLibros.com

Datos catalogrficos Ariganello, Ernesto y Bamentos, Enrique REDES CISCO. CCNP a Fondo. Gua de estudio para Profesionales Primera Edicin Alfaomega Grupo Editor, S.A. de C.V., Mxico ISBN: 978-607-7854-79-1 Formato: 17 x 23 cm Pginas: 924 REDES CISCO. CCNP a Fondo. Gua de estudio para Profesionales Ernesto Ariganello y Enrique Bamentos Sevilla ISBN: 978-84-7897-966-0, edicin original publicada por RA-MA Editorial, Madrid, Espaa Derechos reservados O RA-MA Editorial Primera edicin: Alfaomega Grupo Editor, Mxico, junio 2010 2010 Alfaomega Grupo Editor, S A . de C.V. Pitgoras 1139, Col. Del Valle, 03100, Mxico D.F. Miembro de la Cmara Nacional de la Industria Editorial Mexicana Registro No. 2317 Pg. Web: http://www.alfaomega.coin.mx E-mail: atencionalcliente@alfaomega.com.mx ISBN: 978-607-7854-79-1 Derechos reservados: Esta obra es propiedad intelectual de su autor y los derechos de publicacin en lengua espaola han sido legalmente transferidos al editor. Prohibida su reproduccin parcial o total por cualquier medio sin permiso por escrito del propietario de los derechos del copyright. Nota importante: La informacin contenida en esta obra tiene un fin exclusivamente didctico y, por lo tanto, no est previsto su aprovechamiento a nivel profesional o industrial. Las indicaciones tcnicas y programas incluidos, han sido elaborados con gran cuidado por el autor y reproducidos bajo estrictas normas de control. ALFAOMEGA GRUPO EDITOR, S.A. de C.V. no ser jurdicamente responsable por: errores u omisiones; daos y perjuicios que se pudieran atribuir al uso de la informacin comprendida en este libro, ni por la utilizacin indebida que pudiera drsele. Edicin autorizada para venta en Mxico y todo el continente americano. Impreso en Mxico. Printed in Mxico. Empresas del grupo:
Mxico: Alfaomega Grupo Editor, S A. de C.V. - Pitgoras 1139, Col. Del Valle, Mxico, DF. - CP. 03100. Tel.: (52-55) 5089-7740 - Fax: (52-55) 5575-2420 / 2490. Sin costo: 01-800-020-4396 E-mail: ateiicionalcliente @alfaomega .com .mx Colombia: Alfaomega Colombiana SA . - Carrera 15 No. 64 A 29 - PBX (57-1) 2100122, Bogot, Colombia, Fax: (57-1) 6068648 - E-mail: scliente@alfaomega.com.co Chile: Alfaomega Grupo Editor, S.A. - General del Canto 370-Providencia, Santiago, Chile Tel.: (56-2) 235-4248 - Fax: (56-2) 235-5786 - E-mail: agechile@alfaomega.cl Argentina: Alfaomega Grupo Editor Argentino, S.A. - Paraguay 1307 P.B. 11, Buenos Aires, Argentina, C.P. 1057-Tel.: (54-11) 4811-7183 / 8352,E-mail: ventas@alfaomegaeditor.com.ar

www.FreeLibros.com

INDICE
INTRODUCCIN...................................................................................................................29 PARTE 1......................................................................................................................................37 CAPTULO 1: EIGRP............................................................................................................. 39 INTRODUCCIN A EIGRP.................................................................................................39 Funcionamiento de EIGRP............................................................................................... 40 Mtrica EIGRP................................................................................... ............................... 41 DUAL...................................................................................................................................... 43 Queries............................................................................................................................... 44 Actualizaciones incrementales......................................................................................... 45 Actualizaciones multicast..................................................................................................45 BALANCEO DE CARGA DESIGUAL...............................................................................45 TABLAS EIGRP................................................................................................................... 46 Tabla de vecindad................................................................. ............................................ 46 Contenidos de la tabla de vecinos........................................ .............. !...........................46 Establecimiento de la vecindad........................................................................................ 47 Creando la tabla de topologa........................................................................................... 47 Manteniendo la tablas de topologa...... ...........................................................................49 Agregando una red a la tabla de topologa...................................................................... 49 Suprimiendo una ruta de la tabla de topologa................................................................50 Buscando rutas alternativas...............................................................................................51 Creando la tabla de enrutamiento..................................................................................... 51 Seleccin de rutas EIGRP...................................... .......................................................... 52

www.FreeLibros.com

REDES CISCO. CCNP a Fondo

RA-MA

Actualizando las tablas de enrutamiento en modo pasivo con DUAL........................... 52 Actualizando las tablas de enrutamiento en modo activo con DUA L........................... 53 DISEO DE RED CON EIGRP............................................................................................. 55 Problemas en el diseo de EIGRP..................................................................................... 55 CONFIGURACIN DE EIGRP............................................................................................. 57 Configuracin bsica de EIGRP........................................................................................ 57 Sumarizacin en EIGRP...................................................................................................... 58 Router Stub............................................................................................... ............................59 Balanceo de carga en EIGRP................................ .............................................................60 MEJORANDO EL FUNCIONAMIENTO DE EIGRP........................................................ 61 Temporizadores............................................... .....................................................................61 Autenticacin EIGRP.......................................................................................................... 62 EIGRP en redes WAN......................................................................................................... 63 Optimizacin del ancho de banda......................................................................................64 VERIFICACIN EIGRP......................................................................................................... 64 RESOLUCIN DE FALLOS EN EIGRP............................................................................. 67 CAPTULO 2: OSPF..................................................................................................................69 INTRODUCCIN A OSPF.....................................................................................................69 Funcionamiento de OSPF............... ................................................................................... 70 Mtrica OSPF........................................................................................................................71 Tablas OSPF..........................................................................................................................71 Vecinos OSPF...................................................................................................................... 72 Estados OSPF....................................................................................................................... 73 Router designado y router designado de reserva...............................................................73 Tipos de paquetes OSPF..................................................................................................... 75 reas en OSPF..................................................................................................................... 77 CONFIGURACIN BSICA DE OSPF.............................................................................. 78 Configuracin de OSPF en una sola rea.......................................................................... 78 Cambio del clculo del coste...............................................................................................81 Ejemplo de configuracin de OSPF en una sola rea......................................................82 VERIFICACIN OSPF EN UNA SOLA REA...................................... ............................82 Comandos debug............................................................................................................. ....88 TOPOLOGAS OSPF...............................................................................................................88 Reconocimientos de vecinos...............................................................................................90 Temporizadores.................................................................................................................... 90 Subinterfaces.........................................................................................................................91 Eleccin de una topologa OSPF........................................................................ ............. 91

www.FreeLibros.com

RA-MA

NDICE 7

CONFIGURACIN DE OSPF EN UN ENTORNO NONBROADCAST........................ 93 Configuracin de red del tipo point-to-multipoint en OSPF...........................................94 Configuracin de red del tipo broadcast en OSPF...........................................................94 Configuracin de red del tipo point-to-point con subinterfaces Frame-Relay en OSPF.................................................................................................................................... 95 MLTIPLES REAS OSPF.................................................................................................. 95 Tipos de router en mltiples reas.................................................................................... 96 Anuncios de estado de enlace............................................................................................ 96 TIPOS DE REAS OSPF....................................................................................................... 97 Funcionamiento de OSPF en mltiples reas................................................................... 98 Seleccin de rutas entre reas............................................................................................ 99 Calculando el coste a un rea diferente...........................................................................100 DISEO DE OSPF EN MLTIPLES REAS...................................................................101 Sumarizacin..................................................................................................................... 103 Virtual Links......................................................................................................................103 OSPF multi rea en redes NBMA................................................................................... 104 CONFIGURACIN DE OSPF EN MLTIPLES REAS............................................... 105 Comandos opcionales para OSPF en mltiples reas................................................... 106 Ejemplo de configuracin de OSPF en mltiples reas................................................ 108 VERIFICACIN D OSPF EN MLTIPLES REAS.................................................... 109 RESOLUCIN DE FALLOS EN OSPF MULTI REA.................................................. 113 REAS ESPECIALES OSPF...............................................................................................115 reas Stub......................................................................................................................... 116 reas totally stubby.......................................................................................................... 116 reas not-so-stubby.......................................................................................................... 118 AUTENTICACIN OSPF................................................................................................... 118 Autenticacin en texto plano............................................................................................119 Autenticacin con M D5.................................................................................................. 119 CAPTULO 3: IS -IS ......................................................................................... .....................121 INTRODUCCIN A IS-IS.......................................................... ........................................ 121 Terminologa IS-IS..................................:......................................................................122 Protocolos de la capa de red utilizados en IS-IS............................................................122 Tipos de paquetes IS-IS.................................................................................................... 123 COMPARACIN DE IS-IS CON OSPF............................................................. ...............124 DIRECCIONAMIENTO ISO.............................................................................................. 126 Reglas para el direccionamiento ISO..............................................................................128 Direcciones NET y NSAP......................................... ...................................................... 128

www.FreeLibros.com

REDES CISCO. CCNP a Fondo

RA-MA

Ejemplo de una direccin NET........................................................................................ 128 ADYACENCIAS EN IS-IS................................................................................................... 129 Adyacencias en enlaces punto a punto.............................................................................131 Adyacencias en enlaces broadcast.................................................................................... 131 Adyacencias en enlaces NBMA.......................................................................................132 FUNCIONAMIENTO DE IS-IS............................................................................................132 Proceso de actualizacin................................................................................................... 132 Proceso de enrutamiento................................................................................................... 134 DISEO DE REDES IS-IS.................................................................................................... 136 Soluciones de diseo en redes NBMA con IS-IS............................................................137 Sumarizacin de rutas....................................................................................... ............... 138 CONFIGURACIN BSICA DE IS-IS..............................................................................138 Comandos opcionales de IS-IS........................................................................................ 140 Configuracin de la sumarizacin.................................................................................... 142 Configuracin NBMA....................................................................................................... 144 Configuracin de broadcast en una red NBMA..............................................................144 Configuracin de punto a punto en una red NBM A...................................................... 146 VERIFICACIN IS-IS...........................................................................................................148 RESOLUCIN DE FALLOS EN IS-IS...............................................................................157 CAPTULO 4: IMPLEMENTACIONES CON CISCO IO S .......................................... 159 REDISTRIBUCIN...............................................................................................................159 Funciones de enrutamiento que afectan a la redistribucin...........................................162 Las mtricas y la redistribucin....................................................................................... 162 Seleccin de rutas a travs de protocolos de enrutamiento............................................163 Posibles problemas al redistribuir.................................................................................... 164 Solucin de problemas al redistribuir..............................................................................164 CONTROL DE LAS ACTUALIZACIONES DE ENRUTAMIENTO DURANTE LA REDISTRIBUCIN...............................................................................................................167 CONFIGURACIN DE LA REDISTRIBUCIN............................................................ 171 Configuracin de la mtrica por defecto..........................................................................173 Configuracin; de la mtrica por defecto para OSPF, IS-IS, RIP o BGP..................... 174 Configuracin de la mtrica por defecto en EIGRP....................................................... 174 DISTANCIA ADMINISTRATIVA..................................................................................... 176 COMANDOS OPCIONALES PARA CONTROLARLAS ACTUALIZACIONES DE ENRUTAMIENTO EN LA REDISTRIBUCIN...............................................................177 Ejemplos de redistribucin.................... ........................................................................... 179

www.FreeLibros.com

RA-MA

NDICE 9

CONTROL DE LAS ACTUALIZACIONES DE ENRUTAMIENTO CON FILTRADO........................................................................................................................... 184 VERIFICACIN, MANTENIMIENTO Y RESOLUCIN DE FALLOS......................187 CONTROL DE LA REDISTRIBUCIN CON ROUTE-MAPS..................................... 188 Funcionamiento de los route-maps.................................................................................188 Caractersticas de los route-maps....................................................................................188 CONFIGURACIN DE LOS ROUTE-MAPS.................................................................. 191 Comandos match para la redistribucin con route-maps.............................................. 191 Comandos set para la redistribucin con route-maps...................................................192 VERIFICACIN DE LOS ROUTE-MAPS.......................................................................194 CAPTULO 5: DHCP............................................................................................................. 195 INTRODUCCIN A DHCP.................................................................................................195 Dispositivos DHCP.......................................................................................................... 196 CONFIGURACIN DHCP..................................................................................................197 Configuracin de un servidor DHCP............................................................................. 197 Configuracin de un DHCP Relay..................................................................................198 Configuracin de un cliente DHCP................................................................................ 199 RESOLUCIN DE FALLOS EN DHCP...........................................................................200 CAPTULO 6: BG P................................................................................................................ 201 INTRODUCCIN A BGP....................................................................................................201 Funcionamiento bsico de BGP..................................................................................... 202 Jerarquas BGP................................................................................................................. 203 Cuando utilizar BGP........................................................................................................203 Tablas de BGP.................................................................................................................. 204 CONECTANDO A INTERNET CON BGP...................................................................... 204 Multihoming..................................................................................................................... 205 Informacin de enrutamiento desde Internet............................................... ................. 205 Sincronizacin.............................................................. .............. ...................................206 ESTADOS DE BGP..............................................................................................................209 CONFIGURACIN DE B G P.............................................................................................210 Comandos bsicos..................... ......................................................................................210 Identificando vecinos y definiendo peer-groups........................................................... 210 Direccin IP de origen.... .................................................................................................213 Forzando la direccin del prximo salto.......... ............................................................ 214 Definiendo las redes que sern anunciadas....................................................................215 Agregacin de rutas..........................................................................................................215 Autenticacin....................................... ........................................................................... 216

www.FreeLibros.com

10

REDES CISCO. CCNP a Fondo

____________________________________________

O RA-MA

VERIFICACIN DE BG P....................................................................................................216 Reestableciendo la vecindad............................................................................................ 217 ATRIBUTOS DE BGP.......................................................................................................... 218 Controlando la seleccin de caminos de BG P................................................................221 Uso del atributo Weight....................................................................................................221 Uso del atributo Local-Preference...................................................................................222 Uso del atributo M ED.......................................................................................................224 Uso del atributo AS-path...................................................................................................225 VERIFICACIN DE LOS ATRIBUTOS................ ...........................................................225 CAPTULO 7: MULTICAST................................................................................................ 229 INTRODUCCIN A MULTICAST....................................................................................229 Tipos de direcciones IP .....................................................................................................229 Vdeo en un escenario IP...................................................................................................231 DIRECCIONAMIENTO MULTICAST............................................................................. 233 Direccionamiento MAC multicst.................................................................................. 234 Direccionamiento IP multicst................................. ........................................................236 Aplicaciones multicst................................ ..................................................................... 237 Problemas con multicst....................................................................................................237 Multicst y la capa de enlace............................................................................................ 238 IGMP.............................................................. ........................................................................ 239 IGMPvl...............................................................................................................................239 IGMPv2...............................................................................................................................240 Operacin de IGMPv2...................................................................................................... 241 IGMPv3............................................................................................................................... 241 Determinacin de la versin de IGMP............................................................................ 241 CONFIGURACIN DE IGMP............................................................................................ 242 Grupos IGMP..................................................................................................................... 242 IGMP snooping.................................................................................................................. 243 PROBLEMAS CON MULTICAST................................................................................... .244 ENRUTAMIENTO DE TRFICO MULTICAST............................................................244 Reverse Path Forwarding................................................................................................. 244 rboles multicst............................................... ..............................................................245 rboles de distribucin..................................................................................................... 245 Protocolos de enrutamiento multicst Dense y Sparse..................................................246 PIM...........................................................................................................................................246 PIM dense mode.................................................................................................................246 PIM sparse mode.............................................................................. .................................248

www.FreeLibros.com

RA-M A

NDICE 11

Modo PIM Sparse-Dense................................................................................................ 250 PIM versin 1 ................................................................................................................... 250 PIM versin 2 ....................................................................................................................251 Habilitacin de PIN en modo Sparse-Dense..................................................................251 VERIFICACIN DE ENRUTAMIENTO MULTICAST................................................ 253 Verificacin de rutas........................................................................................................253 Verificacin de vecinos................................................................................................... 254 Verificacin de los Rendezvous Points..........................................................................254 Verificacin del enrutamiento multicst........................................................................255 CAPTULO 8: IP v6................................................................................................................ 257 INTRODUCCIN A IP v.................................................................................................. 257 CABECERA DE UN PAQUETE IP v 6 .............................................................................. 259 Checksum..........................................................................................................................260 Fragmentacin.................................................................................................................. 260 Etiqueta de flujo................................................................................................................261 Formato del direccionamiento IPv6............................................................................... 261 TIPO DE DIRECCIONAMIENTO IPv6............................................................................262 Identificadores de las interfaces......................................................................................262 Direcciones unicast IPv6................................................................................................. 263 Direccin IPv6 global.......................................................................................................264 Direccin IPv6 local.........................................................................................................264 Direcciones IPv6 anycast................................................................................................ 265 Direcciones IPv6 multicst.............................................................................................. 266 Asignamiento de direcciones IPv6.................................................................................268 CONFIGURACIN DE IP v6............................................................................................. 268 Rutas estticas...................................................................................................................269 RIPng.................................................................................................................. .............. 269 EIGRP para IPv6.............................................. ............ .......... :................................. 269 IS-IS para IPv6................................................................................................... ............. 269 MP-BGP4 para IPv6.........................................................................................................270 OSPFv3................................... ......................................................................................... 270 Similitudes entre OSPFv2 y OSPFv3............................................................................270 Diferencias entre OSPFv2 y OSPFv3............................................................................270 Tipos de L S A ................................................................................................................... 272 CONFIGURACIN DE IPv6 EN OSPFV3.......................................................................273 VERIFICACIN DE IPv6 EN OSPFv3............................................................................276 TRANSICIN DESDE IPv4 A IP v6.................................................................................279

www.FreeLibros.com

12

REDES CISCO. CCNP a Fondo

RA-M A

Dual stack........................................................................................................................... 279 Tunneling........................................................... ................................................................ 280 Manual Tunnels.................................................................................................................. 281 Tneles 6-to-4.................................................................................................................... 281 Teredo.............................................................................................................. ................... 283 ISATAP...............................................................................................................................283 Translation............................................................... ...........................................................283 PARTE I I ....................................................................................................................................285 CAPTULO 9: DISEO DE REDES....................................................................................287 FUNCIONALIDAD DE SWITCHING................... ............................................................287 Conmutacin de capa 2 ..................................................................................................... 288 Enrutamiento de capa 3 ................... ................................................................................. 289 Conmutacin de capa 3 ..................................................................................................... 290 Conmutacin de capa 4 ..................................................................................................... 290 Conmutacin multicapa..................................................................................................... 291 REDES DE CAMPUS............................................................................................................291 Modelo de red compartida................................................................................................. 291 Modelo de segmentacin de LAN.................................................................................... 292 Modelo de trfico de red................................................................................................... 293 Modelo de red predecible..................................................................................................294 MODELO DE RED JERRQUICO.....................................................................................294 Nivel de acceso.....................................................v.......................................................... 295 Nivel de distribucin..........................................................................................................295 Nivel de core......................................................................................................... ........... 296 DISEO MODULAR DE RED.............................................................................................296 Bloque de conmutacin..................................................................................................... 297 Dimensionamiento del bloque de conmutacin..............................................................298 Bloque de core.................................................................................................................... 299 Tamao del core en una red de campus...........................................................................301 Bloque de granja de servidores...................................................................................... 301 Bloque de gestin de red.................................. .............................................................. 301 Bloque de frontera de la empresa..................................................................................... 302 Bloque frontera del ISP..................................................................................................... 302 Switch de capa 2 en distribucin...................................................................................... 302 EVALUACIN DE UNA RED EXISTENTE.................................................................... 303

www.FreeLibros.com

RA-MA

NDICE 13

CAPTULO 10: OPERACIN DE CONMUTACIN.....................................................305 CONMUTACIN DE CAPA 2 ............................................................................................ 305 CONMUTACIN MULTICAPA........................................................................................306 TABLAS UTILIZADAS EN CONMUTACIN............................................................... 307 Tabla CAM.........................................................................................................................307 Tabla TCAM......................................................................................................................308 VERIFICACIN DEL CONTENIDO DE LA CAM......................................................... 310 TIPOS DE PUERTOS DE UN SWITCH............................................................................. 311 Ethernet.............................................................................................................................. 311 CSMA/CD.......................................................................................................................... 311 Fast Ethernet.......................................................................................................................312 Gigabit Ethernet................................................................................................................ 313 10-Gigabit Ethernet........................................................................................................... 313 ESTNDARES DE MEDIOS..............................................................................................314 CONFIGURACIN DE PUERTOS DEL SWITCH.......................................................... 315 Causas de error en puertos Ethernet................................................................................ 317 VERIFICACIN DEL ESTADO DE UN PUERTO..........................................................318 CAPTULO 11: REDES VIRTUALES................................................................................ 321 VLAN......................................................................................................................................321 CONFIGURACIN DE VLAN ESTTICAS................................................................... 322 DISEO DE VLAN...............................................................................................................324 ENLACES TRONCALES.................................................................................................... 325 ISL...................................................................................................................................... 326 IEEE 802.1Q..................................................................................................................... 326 CONFIGURACIN DE TRONCALES............................................... .............................. 327 Ejemplo de configuracin de un troncal.........................................................................328 RESOLUCIN DE FALLOS EN LAS V LAN ...... ........................................................... 329 CAPTULO 12: V T P............................................................................ .................... ........... 331 VLAN TRUNKING PROTOCOL........................................................................................331 Dominios de VTP.................... ......................................................................................... 332 Modos de V T P.................................................................................................................. 332 Anuncios de VTP.............................................................................................................. 333 CONFIGURACIN DE VTP.:............................................................................................. 335 VTP Pruning...................................................................................................................... 336 RESOLUCIN DE FALLOS EN VTP ............................................................................... 336

www.FreeLibros.com

14

REDES CISCO. CCNP a Fondo

RA-M A

CAPTULO 13: ETHERCHANNEL....................................................................................339 AGREGACIN DE PUERTOS........................................................................................... 339 Distribucin de trfico.......................................................................................................339 Balanceo de carga.............................................................................................................. 340 PROTOCOLOS DE NEGOCIACIN ETHERCHANNEL.............................................341 PAgP.................................................................................................................................... 341 LACP............................................................................. .....................................................342 CONFIGURACIN ETHERCHANNEL................. ......................................................... 342 Configuracin PAgP......................................................................................................... 343 Configuracin LACP.........................................................................................................344 RESOLUCIN DE FALLOS EN ETHERCHANNEL.............. .......................................344 CAPTULO 14: STP................................................................................................................ 347 INTRODUCCIN A SPANNING TREE PROTOCOL.................................................. 347 Redundancia con switch....................................................................................................348 Solucin a los bucles de capa 2 ................................... .................................................... 350 FUNCIONAMIENTO DE STP...........................................................................................351 Eleccin del switch raz................................................. ................................................. 352 Eleccin del puerto raz..................................................................................................... 353 Eleccin del puerto designado.......................................................................................... 355 ESTADOS STP....................................................................................................................... 355 Temporizadores de STP....................................................................................................357 CAMBIOS DE TOPOLOGAS............................................................................................ 358 TIPOS DE STP....................................................................................................................... 360 CONFIGURACIN DE STP................................................................................................361 Ubicacin del switch raz.......................................................................................................:....361 Configuracin del switch raz.......................................................................................... 364 OPTIMIZACIN DEL FUNCIONAMIENTO DE STP...................................................367 Mejorando la configuracin del root path cost.............................................................. 367 Mejorando la configuracin del port ID.......................................................................... 368 Mejorando la convergencia se STP................................. .........................................................369 CONVERGENCIA DE ENLACES REDUNDANTES..... ............................................... 371 RESOLUCIN DE FALLOS EN STP..............................................................................375 PROTECCIN DE LAS TOPOLOGAS STP.............................. ..................................... 376 Proteccin contra BPDU inesperadas............................................................................. 376 Proteccin contra la prdida repentina de BPD U ..........................................................378 Filtros BPDU para deshabilitar STP................................................................................381 RESOLUCIN DE FALLOS EN LA PROTECCIN DE STP................... ...................381

www.FreeLibros.com

RA-MA

NDICE 15

RAPID SPANNING TREE PROTOCOL.......................................................................... 382 Funcionamiento de RSTP................................................................................................ 382 BPDU en RSTP.................................................................................................................383 Convergencia de RSTP....................................................................................................384 Tipos de puertos............................................................................................................... 384 Sincronizacin...................................................................................................................385 Cambios de topologa en RSTP......................................................................................388 CONFIGURACIN DE RSTP............................................................................................ 389 RAPID PER-VLAN STP......................................................................................................390 MULTIPLE SPANNING TREE PROTOCOL.................................................................. 390 Regiones MST...................................................................................................................391 Instancias de STP dentro de MST.................................................................................. 392 Instancias IST....................................................................................................................392 Instancias MST................................................................................................................. 392 CONFIGURACIN DE MST............................................................................................. 394 CAPTULO 15: CONMUTACIN MULTICAPA..........................................................397 ENRUTAMIENTO ENTRE VLAN................................................................................... 397 CONFIGURACIN DE ENRUTAMIENTO ENTRE VLAN......................................... 398 Configuracin de un puerto de capa 2............................................................................399 Configuracin de un puerto de capa 3............................................................................399 Configuracin de la interfaz S V I................................................................................... 399 CONMUTACIN MULTICAPA CON CEF.................................................................... 400 FIB..................................................................................................................................... 400 Tabla de adyacencias........................................................................................................403 Modificando paquetes......................................................................................................405 Fallback bridging.............................................................................................................. 405 VERIFICACIN DE CONMUTACIN MULTICAPA..................................................406 CAPTULO 16: BALANCEO DE CARGA Y REDUNDANCIA ..... ............................ 411 REDUNDANCIA Y BALANCEO EN SWITCH MULTICAPA.....................................411 HOST STANDBY ROUTER PROTOCOL.... ........... ..........................;................. ........411 Eleccin del router HSRP............................................................................................... 412 Autenticacin HSRP........................................................................................................413 Solucin ante fallos......................................................................................................... 414 Puerta de enlace virtual....................................................................................................415 Balanceo de carga HSRP................................................................................................. 416 VIRTUAL ROUTER REDUNDANCY PROTOCOL......................................................419

www.FreeLibros.com

16

REDES CISCO. CCNP a Fondo

RA-M A

GATEWAY LOAD BALANCING PROTOCOL.............................................................. 422 A VG ....................................................................................................................................422 AVF..................................................................................................................................... 423 Balanceo de carga GLBP..................................................................................................425 Habilitacin de GLBP....................................................................................................... 425 REDUNDANCIA EN EL CHASIS DEL SWITCH........................................................... 428 Supervisoras redundantes..................................................................................................428 Configuracin de la redundancia..................................................................................... 429 Configuracin de la sincronizacin entre supervisores..................................................430 Non-Stop Forwarding........................................................................................................ 430 Fuentes de alimentacin redundantes...............................................................................431 CAPTULO 17: TELEFONA IP.......................................................................................... 435 POWER OVER ETHERNET................................................................................................435 Funcionamiento de PoE ....................................................................................................436 Deteccin de dispositivos alimentados............................................................................436 Proporcionado energa a un dispositivo.......................................................................... 437 CONFIGURACIN DE P oE ................................................................................................439 VERIFICACIN DE PoE ..................................................................................................... 440 VLAN DE VOZ IP.................................................................................................................. 440 Configuracin de la VLAN de v o z .................................................................................. 441 Verificacin de la VLAN de v o z ..................................................................................... 442 CALIDAD DE SERVICIO EN VOZ IP ...............................................................................443 Visin general de QoS....................................................................................................... 443 Best-effort............................................................................................................................444 Servicios integrados...........................................................................................................444 Servicios diferenciados..................................................................................................... 445 MODELO QOS DlFFSERV.................................................................................................... ;445 Clasificacin de capa 2 de QoS........................................................................................ 445 Clasificacin de capa 3 QoS con DSCP................... .......................................................446 Implementacin QoS para v o z ................................................................................. ......447 Configuracin de la frontera de confianza..................... ........ ,....................................449 Configuracin de AutoQoS................................................................ ............................450 VERIFICACIN QoS DE VOZ IP ................................................. .................................... 452 CAPTULO 18: SEGURIDAD DE ACCESO AL SWITCH........................................... 455 SEGURIDAD DE PUERTOS...............................................................................................455 AUTENTICACIN BASADA EN PUERTO..................................................................... 458

www.FreeLibros.com

RA-M A

NDICE 17

Configuracin de 802. IX ................................................................................................ 459 MITIGANDO ATAQUES ESPIAS.....................................................................................461 RECOMENDACIONES PRCTICAS DE SEGURIDAD.............................................. 467 CAPTULO 19: SEGURIDAD CON VLAN..................................................................... 469 LISTAS DE ACCESO VLAN.............................................................................................469 Configuracin de VACL................................................................................................. 469 VLAN PRIVADAS.............................................................................................................. 471 Configuracin de PVLAN............................................................................................... 472 Asociacin de puertos con PVLAN............................................................................... 473 Asociacin de VLAN secundarias y primarias SVI......................................................474 SEGURIDAD EN LOS ENLACES TRONCALES.......................................................... 475 Switch Spoofing............................................................................................................... 475 VLAN Hopping................................................................................................................ 476 CAPTULO 20: REDES INALMBRICAS......................................................................479 INTRODUCCIN A LAS WIRELESS LAN................................................................... 479 Colisiones WLAN....................................................... .................................................... 480 CONSTRUCCIN DE BLOQUES WLAN.......................................................................481 Funcionamiento de un AP............................................................................................... 483 Celdas WLAN.................................................................................................................. 484 RADIOFRECUENCIA EN WLAN.................................................................................... 486 Medicin de la seal de radio frecuencia.......................................................................489 Prdida de seal................................................................................................................490 Ganancia de la seal......................................................................................................... 491 ANTENAS WLAN............................................................................................................... 492 TRAMAS WLAN................................................................................................................. 493 ESTNDARES W LAN...................................................................................................... 494 Agencias reguladoras....................................................................................... .............. 494 802.11b............................................................................................................................494 802.1 l g ............................................................................................ ................................. 495 802.11a........................................................... .................................................................. 495 Estndares adicionales 802.11 ...................... .................................................................495 CAPTULO 21: ARQUITECTURA WLAN......................................................................497 SEGURIDAD W LAN..........................................................................................................497 Antecedentes sobre seguridad.............................................................. ..........................498 Mtodos de seguridad basados en EA P..... ...................................................................499 WPA.................. ................................................................ ...............................................499

www.FreeLibros.com

18

REDES CISCO. CCNP a Fondo

RA-MA

WPA2..................................................................................................................................500 COMPATIBILIDAD DE LOS CLIENTES WIRELESS...................................................501 ASOCIACIN Y ROAMING...............................................................................................501 DISTRIBUCIN DE CELDAS Y CANALES....................................................................503 CAPTULO 22: CISCO UNIFIED WIRELESS NETW ORK........................................505 ARQUITECTURA WLAN TRADICIONAL.....................................................................505 CISCO UNIFIED WIRELESS NETWORK.......................................................................506 Funciones del WLC........................................................................................................... 507 Funciones del LAP............................................................................................................ 508 Patrones de trfico en una red cisco wireless unificada................................................ 509 Asociacin y roaming del LAP................................................................................ ......511 Roaming entre controladores........................................................................................... 511 CONFIGURACIN BSICA WLAN................................................................................ 513 Configuracin del WLC....................................................................................................513 Configuracin del LAP.....................................................................................................517 Configuracin del puerto del switch para el LAP..........................................................518 PARTE III...................................................................................................................................521 CAPTULO 23: TECNOLOGAS DE ACCESO.............................................................. 523 ACCESO POR CABLE.........................................................................................................523 Terminologa de acceso por cable....................................................................................523 Estndares de transmisin por cable............................................................................... 525 Redes hbridas de fibra y coaxial.....................................................................................526 Transmisin de datos por cable........................................................................................526 Problemas de las redes de cable.......................................................................................528 Aprovisionamiento de cable mdem............................................................................... 528 ACCESO POR DSL............................................................................................................... 529 Terminologa DSL............................................................................................................. 529 Limitaciones de DSL......................................................................................................... 531 Tipos de D S L .....................................................................................................................532 Transmisin de datos sobre A D SL..................................................................................533 RFC 1483/2684 BRIDGING................................................................................................ 534 PROTOCOLO PUNTO A PUNTO................................................ .....................................534 PPP SOBRE ETHERNET.....................................................................................................535 Fase de descubrimiento.....................................................................................................536 Fase de sesin PPP............................................................................................................ 537 Variables de la sesin PPPoE....................................................................... ...................538

www.FreeLibros.com

RA-MA

NDICE 19

PPP SOBRE ATM ................................................................................................................ 538 CAPTULO 24: CONFIGURACIN DE DSL..................................................................541 CONFIGURACIN DE ACCESO DSL CON PPPoE..................................................... 541 Configuracin de una interfaz Ethernet ATM PPPoE..................................................542 Configuracin de una interfaz PPPoE Dialer.................................................................543 Configuracin de PAT.....................................................................................................543 Configuracin de DHCP para usuarios D SL.................................................................545 Configuracin de una ruta esttica..................................................................................545 Ejemplo de configuracin de un router CPE..................................................................546 CONFIGURACIN DE ACCESO DSL CON PPPoA.....................................................547 Conexiones PPP sobre A A L5.........................................................................................548 Configuracin de una interfaz ATM para PPPoA......................................................... 549 Configuracin del Dialer DSL PPPoA y Virtual-Template......................................... 550 Ejemplo de configuracin de un router CPE con PPPoA............................................. 551 Ejemplo de configuracin de un router CPE con AAL5MUX.................................... 553 RESOLUCIN DE FALLOS.............................................................................................. 555 Anatoma de la capa 1 ......................................................................................................555 Proceso de resolucin de fallos.......................................................................................556 Inspeccin visual.............................................................................................................. 558 Modo de operacin D SL ................................................................................................. 558 Anlisis de problemas de capa 2 .....................................................................................559 Negociacin PPP.............................................................................................................. 560 CAPTULO 25: M PLS........................................................................................................... 563 INTRODUCCIN A LAS REDES MPLS......................................................................... 563 Conectividad MPLS W A N ............................................................................................. 566 Terminologa MPLS......................................................................................................... 566 Caractersticas de MPLS................................................................................ !.............. 567 Conceptos MPLS........................................................... i................................ ............... 569 MECANISMOS DE CONMUTACIN........................................ !.................................. 570 Conmutacin IP estndar.... .......................;................................................................. 570 Conmutacin CEF................ ............................................................................................571 ARQUITECTURA MPLS............................................................... ....................................572 ETIQUETAS MPLS............................................................................................................. 573 Pilas de etiquetas.............................................................................................................. 574 MPLS en modo trama......................................................................................................575 ENVO DE TRFICO BASADO EN ETIQUETAS....... ................................................. 576

www.FreeLibros.com

20

REDES CISCO. CCNP a Fondo

RA-M A

LIB, LFIB y FIB.................................. DISTRIBUCIN DE ETIQUETAS...... Propagacin de paquetes................... PHP....................................................... CONFIGURACIN MPLS.................... Configuracin de CEF........................ Configuracin de una interfaz MPLS Configuracin de la M TU................. MPLS CON TECNOLOGA V P N ........ VPN tradicionales.............................. VPN peer to peer................................ Ventajas de las VPN........................... Desventajas de las V PN .................... MPLS VPN............................................... Terminologa de MPLS VPN............ Tipos de router en MPLS V PN ......... Router Distinguishers......................... Route Targets...................................... Flujo de paquetes en una red MPLS Envos de paquetes en MPLS VPN.... CAPTULO 26: IPsec................................ INTRODUCCIN A IPsec .................... Caractersticas de IPsec...................... PROTOCOLOS DE IPSEC...................... IKE........................................................ ESP....................................................... A H ........................................................ MODOS DE IPSEC.................................. CABECERAS IPSEC............................... AUTENTICACIN DE VECINOS...... INTERNET KEY EXCHANGE............ Protocolos IKE.................................... Fases IK E............................................. Modos IKE........................................... Otras funciones IKE............................ ALGORITMOS DE ENCRIPTACIN.. Encriptacin simtrica........................

577 580 581 582 582 583 587 589 591 592 594 594 595 597 597 598 599 600 600 601 603 603 604 605 605 606 606 607 608 608 609 609 609 610 611 611 612

www.FreeLibros.com

RA-MA

NDICE 21

Encriptacin asimtrica....................................................................................................612 PUBLIC KEYINFRASTRUCTURE................................................................................. 612 CAPTULO 27: VPN SITE-TO-SITE................................................................................ 615 INTRODUCCIN A LAS VPN SITE-TO-SITE.............................................................. 615 CREACIN DE VPN IPSEC SITE-TO-SITE.....................................................................616 PASO 1: Especificacin de trfico interesante............................................................ .616 PASO 2: IKE fase 1 .........................................................................................................616 IKE Transform Sets.......................................................................................................... 618 Intercambio Diffie-Hellman............................................................................................ 620 Autenticacin de iguales................................................................................................. 620 PASO 3: IKE fase 2 .........................................................................................................620 IPsec Transform Sets........................................................................................................ 621 Asociaciones de seguridad.............................................................................................. 623 Tiempo de vida de SA ..................................................................................................... 624 PASO 4: Transferencia segura de los datos.................................................................. 624 PASO 5: Terminacin del tnel..................................................................................... 624 CONFIGURACIN DE UNA VPN SITE-TO-SITE........................................................624 Configuracin de la poltica ISAKMP...........................................................................625 Configuracin de los IPsec transform sets.................................................................... 626 Configuracin de la Crypto ACL................................................................................... 628 Configuracin del Crypto Map.......................................................................................629 Aplicacin del Crypto Map a una interfaz.................................................................... 629 Configuracin de la ACL en la interfaz.........................................................................630 SECURITY DEVICE MANAGER.....................................................................................631 CONFIGURACIN VPN SITE-TO-SITE CON SDM.....................................................633 Asistente VPN site-to-site............................................................................................... 635 Configuracin rpida....................................................................................................... 636 Configuracin paso a paso........................................................ :................................... 637 Comprobacin del tnel VPN IPsec..............................................................................641 MONITORIZACIN DEL TNEL VPN IPSEC........................ ..................................... 642 CAPTULO 28: TNELES GRE SOBRE IPsec.............................................................. 645 INTRODUCCIN A LOS TNELES GRE...................................................................... 645 CABECERA GRE................................................................................................................646 CONFIGURACIN BSICA DE TNELES GRE.........................................................648 TNELES GRE SEGUROS.......................................................... ..................................... 649 CONFIGURACIN DE GRE SOBRE IPSEC CON SDM ................................................651

www.FreeLibros.com

22

REDES CISCO. CCNP a Fondo

RA-M A

Creacin del tnel GRE..................................................................................................... 652 Creacin del tnel GRE de respaldo................................................................................ 653 Informacin VPN IPsec.................................................................................................... 654 Informacin de enrutamiento........................................................................................... 654 Validacin de la configuracin.........................................................................................655 CAPTULO 29: ALTA DISPONIBILIDAD EN IPsec...................................................... 657 PUNTOS DE FALLOS COMUNES.................................................................................... 657 Soluciones a los puntos de fallos..................................................................................... 658 MECANISMO DE RECUPERACIN DE FALLOS........................................................ 658 Mecanismo IPsec stateless................................................................................................ 659 Dead Peer Detection...........................................................................................................659 IGP en un tnel GRE sobre IPsec.....................................................................................661 HSRP....................................................................................................................................661 Mecanismo IPsec stateful.................................................................................................. 664 IPsec VPN de respaldo para redes W AN........................................................................ 667 CAPTULO 30: CISCO EASY VPN..................................................................................... 669 INTRODUCCIN A CISCO EASY.................................................................................... 669 Cisco Easy VPN Remte................................................................................................... 669 Cisco Easy VPN Server..................................................................................................... 670 ESTABLECIMIENTO DE LA CONEXIN EASY VPN................................................. 671 IKE Fase 1........................................................................................................................... 672 Estableciendo una SAISAKM P.......................................................................................673 Aceptacin de la propuesta S A .........................................................................................673 Autenticacin de usuario....................................................................................................673 Modo configuracin........................................................................................................... 673 RRI....................................................................................................................................... 673 Modo IPsec rpido........................................................................................................... 674 CONFIGURACIN DE EASY VPN SERVER..................................................................674 Configuracin de usuario.................................................................................................. 675 Asistente Easy VPN Server............................................................... ................................675 MONITORIZACIN DE EASY VPN SERVER.... ........................................................... 679 CAPTULO 31: IMPLEMENTACIN DEL CLIENTE V PN ........................................683 CLIENTE CISCO VPN ..........................................................................................................683 INSTALACIN DEL CLIENTE V P N ................................................................................683 CONFIGURACIN DEL CLIENTE V PN ..........................................................................686

www.FreeLibros.com

RA-M A

NDICE 23

Autenticacin....................................................................................................................687 Transporte.......................................................................................................................... 687 Servidores de respaldo.....................................................................................................688 Dial-Up.............................................................................................................................. 689 Verificacin de la configuracin.....................................................................................690 CAPTULO 32: PROTECCIN Y SEGURIDAD DE DISPOSITIVOS......................691 VULNERABILIDAD DE LOS ROUTERS....................................................................... 691 Servicios vulnerables en el router...................................................................................692 Servicios innecesarios e interfaces..................................................................................692 Servicios de administracin............................................................................................ 695 Mecanismos de integridad de rutas................................................................................ 696 Pruebas y escaneos........................................................................................................... 696 Servicios de acceso de seguridad....................................................................................697 Servicios ARP.................................................................................................................. 697 PROTECCIN CON AUTOSECURE............................................................................... 698 UTILIZACIN DE SDM PARA ASEGURAR EL ROUTER......................................... 699 Asistente Security Audit...................................................................................................700 Asistente One-Step Lockdown........................................................................................702 ADMINISTRACIN SEGURA DEL ROUTER.............................................................. 702 Contraseas.......................................................................................................................703 Limitaciones en las sesiones...........................................................................................704 Contraseas en el modo setup.........................................................................................706 Contraseas por lnea de comandos............................................................................... 707 Protecciones adicionales................................................................................................. 708 Longitud de las contraseas............................................................................................ 709 Encriptacin de contraseas............................................................................................709 Banners............................................................................................. ................................ 710 Sesiones individuales............................................................... .......................................711 Niveles de privilegios.......................................................................................................711 VISTAS BASADAS EN ROL.......................................................................................... 712 Proteccin fsica del router............................................ ................................................. 714 CAPTULO 33: AAA................. ............................................................................................715 INTRODUCCIN A AAA,................................................................................................. 715 MODO DE ACCESOS AAA...............................................................................................716 PROTOCOLOS TACACS+ Y RADIUS.............................. .............................................716 CONFIGURACIN DE AAA CON CLI...........................................................................718

www.FreeLibros.com

24

REDES CISCO. CCNP a Fondo

RA-M A

Configuracin de RADIUS...............................................................................................718 Configuracin de TACACS+........................................................................................... 718 Configuracin de A A A ..................................................................................................... 718 CONFIGURACIN DE AAA CON SDM.......................................................................... 725 RESOLUCIN DE FALLOS EN A A A ...............................................................................729 CAPTULO 34: PROTECCIN ANTE AMENAZAS..................................................... 731 ZONAS DESMILITARIZADAS..........................................................................................731 FUNDAMENTOS DE LOS FIREWALLS.................. .......................................................732 COMPONENTES DEL FIREWALL IOS DE CISCO........................... ............................734 OPERACIN DEL FIREWALL IOS...................................................................................735 CONFIGURACIN DEL FIREWALL CON CLI..............................................................736 Eleccin de la interfaz....................................................................................................... 737 Configuracin de la ACL................................................... .............................................. 737 Reglas de inspeccin......................................................................................................... 737 Aplicacin de la ACL y la regla de inspeccin a la interfaz......................................... 738 Verificacin de la configuracin...................................................................................... 739 CONFIGURACIN DEL FIREWALL CON SDM............................................................740 Configuracin avanzada.................................................................................................... 742 OPERACIN DE LOS IDS EIPS........................................................................................ 749 CATEGORAS DE IDS E IPS...............................................................................................749 FIRMAS EN IDS E IPS .......................................................................................................... 750 REACCIN ANTE LAS FIRMAS.......................................................................................751 CONFIGURACIN DE CISCO IOS IPS.............................................................................752 CONFIGURACIN CON SD M ...........................................................................................755 PARTE IV ................................................................................................................................... 761 CAPTULO 35: IMPLEMENTACIONES VoIP................................................................763 INTRODUCCIN A LAS REDES VoIP............................................................................. 763 Componentes de VoIP...................................................................................................... .764 Interfaces analgicas..........................................................................................................765 Interfaces digitales............................................................................... .............................. 766 Fases de una llamada telefnica.....................................................................................767 Tipos de control de llamada..............................................................................................768 DIGITALIZACIN Y ENCAPSULADO DE VOZ............................................................ 771 Conversin analgica digital....................... ............. ....................................................... 771 Conversin digital analgica............................................................................................. 771 Teorema de Nyquist-Shannon y la cuantificacin....................................................... 772

www.FreeLibros.com

RA-M A

NDICE 25

Calidad y compresin del ancho de banda.....................................................................774 Procesadores de seal digital.......................................................................................... 776 ENCAPSULACIN V oIP .................................................................................................. 777 Reduccin del tamao de las cabeceras......................................................................... 779 CLCULO DEL ANCHO DE BANDA............................................................................. 780 Ancho de banda en VoIP................................................................................................. 780 Sobrecarga de la capa de enlace......................................................................................781 Sobrecarga debida a seguridad y tunelizacin...............................................................782 Clculo del ancho de banda total para una llamada de VoIP........................................783 Deteccin de la actividad de voz.....................................................................................785 IMPLEMENTACIN DE VoIP EN UNA RED EMPRESARIAL................................. 786 Gateway de voz en un router Cisco................................................................................ 788 Cisco Callmanager........................................................................................................... 788 Modelos de despliegue V oIP..........................................................................................789 CAPTULO 36: CALIDAD DE SERVICIO...................................................................... 791 CONVERGENCIA DE RED Y QoS...................................................................................791 Ancho de banda disponible............................................................................................. 792 Retraso de extremo a extremo......................................................................................... 793 Variacin del retraso........................................................................................................794 Prdida de paquetes..........................................................................................................794 IMPLEMENTACIN DE QoS........................................................................................... 795 Identificacin del trfico y sus requerimientos............................................................. 796 Clasificacin del trfico.................................................................................................. 796 Definicin de polticas para cada clase.......................................................................... 797 MODELOS DE QoS............................................................................................................. 797 Modelo Best-Effort..........................................................................................................797 Modelo de servicios integrados.......................................................................................798 Modelo de servicios diferenciados................................................................................. 799 MTODOS DE IMPLEMENTACIN DE QoS . ............................................................ 799 Mtodo antiguo de lnea de comandos.......................................................................... 799 Interfaz de lnea de comandos de QoS modular............................................................ 799 AutoQoS............................................................................................................................801 Security Device Manager................................................................................................ 802

www.FreeLibros.com

26

REDES CISCO. CCNP a Fondo

RA-M A

CAPTULO 37: ADMINISTRACIN DEL TRFICO................................................... 807 CLASIFICACIN Y MARCADO DE TRFICO..............................................................807 CoS en la trama Ethernet 802.1Q/P................................................................................. 808 QoS en Frame-Relay y ATM ............................................................................................809 QoS en MPLS..................................................................................................................... 810 CLASES DE SERVICIO Q oS............................................................................................... 815 FRONTERAS DE CONFIANZA......................................................................................... 816 NETWORK B ASED APPLICATION RECOGNITION................................................... 817 CONFIGURACIN DE NB A R ............................................................................................818 CAPTULO 38: ADMINISTRACIN DE COLAS Y CONGESTIN........................ 821 CONGESTIN Y COLAS.................................................................................................... 821 First In First Out................................................................................................................. 823 Priority Queuing................................................................................................................. 823 Round Robin.......................................................................................................................824 Weighted Round Robin..................................................................................................... 824 WEIGHTED FAIR QUEUING.............................................................................................825 Configuracin y monitorizacin de WFQ....................................................................... 827 CLASS BASED WEIGHTED FAIR QUEUING................................................................829 Clasificacin, programacin y garanta de ancho de banda...........................................830 Configuracin y monitorizacin de CBWFQ................................................................. 831 LOW LATENCY QUEUING................................................................................................832 Configuracin y monitorizacin de LLQ.........................................................................832 EVITANDO LA CONGESTIN..........................................................................................834 Limitaciones de tail drop................................................................................................... 834 Random Early Detection................................................................................................... 835 Weighted Random Early Detection................................................................................. 836 Class Based Wighted Random Early Detection............................................................. .837 Configuracin de CBWRED.............................................................................................837 CAPTULO 39: MANIPULACIN DEL TRFICO Y EL ENLACE..........................841 CONTROL Y MANIPULACIN DEL TRFICO............................................................841 Medicin de volumen de trfico...................................................................................... 844 Mecanismos de Policing y Shaping................................................. ............................... 845 MECANISMOS DE EFICIENCIA DEL ENLACE............................................................845 Compresin de la carga til de capa 2 .............................................................................845 Compresin de cabeceras.................................................................................................. 846 Fragmentacin e intercalado.............................................................................................846

www.FreeLibros.com

RA-MA

NDICE 27

CAPTULO 40: PRECLASIFICACIN Y DESPLIEGUE DE Q oS............................ 847 PRECLASIFICACIN DE Q oS ..........................................................................................847 Opciones en la preclasificacin....................................................................................... 847 QoS DE EXTREMO A EXTREMO.................................................................................... 848 Acuerdos de nivel de servicio en Q oS............................................................................849 Implementaciones de QoS en campus empresarial........................................................850 Implementaciones de QoS en el borde W AN................................................................ 851 Control Plae Policing..................................................................................................... 852 CAPTULO 41: IMPLEMENTACIN DE AutoQoS......................................................855 INTRODUCCIN A A utoQo S ..........................................................................................855 IMPLEMENTACIN DE A utoQoS ................................................................................. 857 Despliegue de AutoQoS Enterprise................................................................................ 858 AutoQos VoIP en Switch Catalyst.................................................................................. 859 Automatizacin con AutoQoS........................................................................................ 859 Problemas comunes en AutoQoS.................................................................................... 862 VERIFICACIN DE A utoQo S ......................................................................................... 862 CAPTULO 42: IMPLEMENTACIN DE QoS EN LAS WLAN.................................865 CALIDAD DE SERVICIO EN LAS WLAN.......................................................................865 Descripcin de QoS WLAN.............................................................................................866 Arquitectura SPLIT MAC y LAP................................................................................... 866 IMPLEMENTACIN DE QoS WLAN..............................................................................867 CONFIGURACIN DE QoS EN WLAN...........................................................................869 CAPTULO 43: ENCRIPTACIN Y AUTENTICACIN WLAN...............................873 PROBLEMAS DE SEGURIDAD EN LAS WLAN........................................................... 873 802. IX Y AUTENTICACIN EAP.................................................................................... 873 LEAP..................................................................................................................................874 EAP-FAST....................................................... '............................................ ................ 875 EAP-TLS........................................................... ............................................ .................. 877 PEAP........................................................................................... :................................... 878 WPA, 802.1 li, y WPA2..... .............................................................................................879 CONFIGURACIN DE AUTENTICACIN Y ENCRIPTACIN EN LAP.................882 Autenticacin abierta........................................................................................................ 882 Autenticacin WEP esttica.............................................................................................882 WPA Preshared Key..........................................................................................................883 Autenticacin WEB.......................................................................................................... 884 Autenticacin 802. IX....................................................................................................... 885

www.FreeLibros.com

28

REDES CISCO. CCNP a Fondo

RA-M A

CAPTULO 44: ADMINISTRACIN W LAN................................................................... 887 REDES UNIFICADAS CISCO WIRELESS................. ......................................................887 Implementaciones Cisco W LAN..................................................................................... 888 CISCO WORKS WIRELESS LAN SOLUTION ENGINE...............................................888 Beneficios de WLSE....................................................................................;...................889 Cisco Works WLSE Y WLSE Express...........................................................................889 Configuracin de WLSE Express simplificada.............................................................. 890 Plantillas de configuracin WLSE................................................................................... 890 CISCO WIRELESS CONTROL SYSTEM................... ......................................................890 Caractersticas del sistema WCS.......................................................................................891 Wireless Location Appliance................................ ........................................................... 893 Aplicaciones Wireless Location Appliance.................................................................... 894 CONFIGURACIN DE WCS...............................................................................................894 Configuracin de puntos de acceso.................................................................................. 896 Mapas WCS....... .................................................................................................................896 Deteccin de AP falsos................................................ .....................................................898 APNDICE : MATEMTICAS DE REDES................. .................................................... 899 NMEROS BINARIOS.........................................................................................................899 Conversin de binario a decimal...................................................................................... 900 Conversin de decimal a binario.......................................................................................901 NMEROS HEXADECIMALES........................................................................................ 902 Conversin de nmeros hexadecimales...........................................................................903 DIRECCIONAMIENTO IP................................................................................................... 903 Clases de direccionamiento IP ......................................................................................... 904 SUBREDES............................................................................................................................. 905 Procedimiento para la creacin de subredes................................................................... 905 MSCARAS DE SUBRED DE LONGITUD VARIABLE.............................................. .909 Proceso de creacin de VLSM......................................................................................... 909 Secuencia para la creacin de VLSM ..............................................................................910 Resumen de ruta con VLMS.............................................................................................911 Descripcin del funcionamiento de CIDR...................................................................... 911 WILDCARD............................................................................................. ............................912 Secuencia para la creacin de las wildcard..................................................................... 913 NDICE ALFABTICO...........................................................................................................915

www.FreeLibros.com

INTRODUCCIN
En abril de 1998, Cisco System, Inc. anunci una nueva iniciativa de desarrollo profesional llamada Cisco Career Certifications. Hasta la fecha estas certificaciones han satisfecho las exigencias de los mejores profesionales y empresas del mercado. El CCNP (Cisco Certified NetWork Professional) es la certificacin profesional de Cisco System ubicada en el centro de la pirmide que representa las certificaciones de este gigante de las comunicaciones. El CCNA (Cisco Certified NetWork Associate) es la base y la escala inicial de las certificaciones de redes Cisco y el CCIE (Cisco Certified Intemetwork Expert) es la .cima a la que todo profesional de las redes quisiera llegar. Los exmenes que componen la certificacin se realizan en ingls y no importa el orden con que se presenten, abarcando un extenso y complejo temario exigiendo un alto nivel de conocimientos. Hasta el momento el material bibliogrfico para estos exmenes exista nicamente en ingls.

www.FreeLibros.com

30

REDES CISCO. CCNP a Fondo

RA-M A

Este libro representa un avance en la manera de encarar esta certificacin aportando un valioso material en espaol para todos aquellos hispano parlantes que carecan hasta el momento de un material como ste. Los autores han hecho hincapi en la manera de compilar el material en un slo volumen utilizando ejemplos reales y manteniendo la terminologa tcnica en ingls como se utiliza cotidianamente en los ambientes laborales. No debe confundirse el hecho de que el material en espaol desvirta la profesionalidad de la certificacin, ni que es ms difcil aprobar un examen en ingls estudiando en espaol. Por el contrario este libro puede ser el primer acercamiento de los estudiantes que hasta ahora han tenido como primera barrera el idioma y como segunda, la imposibilidad de tener un material de consulta simplificado y en espaol. Los autores han tenido en cuenta muchos de los trminos cuya traduccin representara una confusin, dejndolos tal cual se les conoce en el argot de las redes aportando adems su experiencia profesional. Respecto a ellos fluye una larga trayectoria en el mbito tcnico y educativo. Ambos poseen valiosas certificaciones tales como el CCAI, CCNP y CCIE, entre otras. El libro contiene cuarenta y cuatro captulos divididos en cuatro partes bien definidas donde se abarcan temas como enrutamiento, conmutacin, VoIP, MPLS, seguridad, wireless, QoS, etc., cuyo orden facilita la lectura y el aprendizaje. Para aquellos que persiguen la certificacin CCNP, deben saber que para obtenerla, adems de los exmenes necesarios segn la versin, es imprescindible poseer la certificacin CCNA y que tanto una como la otra caducan a los tres aos. Los tcnicos que estn en posesin de la certificacin CCNA cuya fecha de caducidad est prxima podrn mantenerla vigente si presentan alguno de los exmenes del CCNP antes de la prescripcin del CCNA. Una buena recomendacin es comenzar la lectura de este libro con tiempo suficiente, mucho antes de la fecha de expiracin del CCNA, efectuar las prcticas y los test necesarios y por qu no, realizar cuestionarios en ingls. Para los tcnicos que slo necesitan material de consulta, todo el contenido del libro ha sido revisado y actualizado de tal manera que no habr obstculos de entendimientos tcnicos o idiomticos y ser sin dudas un beneficio aadido para la resolucin de incidencias o nuevas configuraciones. Para cualquiera de los casos el aporte de este libro trae consigo un gran esfuerzo de ms de dos aos de recopilacin y estudio de materiales, un anlisis de lo que es realmente contribucin y de lo que es slo un discurso intil. Vale decir una vez ms que la experiencia de los autores ha permitido filtrar lo innecesario, valorar lo fundamental y volcarlo de manera racional sobre el papel.

www.FreeLibros.com

RA-M A

INTRODUCCIN

31

Finalmente y ante cualquier duda sobre la certificacin CCNP es posible consultar la Web de Cisco en: http://www.cisco.com/web/leaming/le3/le2/le37/lel0/leaming certification tvpe h ome.html

www.FreeLibros.com

32

REDES CISCO. CCNP a Fondo

RA-M A

Acerca de los autores


Ernesto Ariganello es ingeniero de comunicaciones, instructor certificado de Cisco Networking Academy, imparte cursos relacionados con redes y comunicaciones. Especialista en electrnica de hardware de alta complejidad. Posee varias certificaciones entre ellas el CCNP. Es, adems, consultor especializado en comunicaciones de datos para varias empresas de la Unin Europea. Su trabajo en educacin y formacin es sumamente valorado en Europa y Latinoamrica, fundamentado en clases claras, dinmicas y muy prcticas por donde han pasado ms de 500 alumnos en diferentes centros de formacin y empresas. Ha editado varios libros de los cuales su primera obra Gua de estudio para la certificacin CCNA 640-801 es reconocida como una de las pioneras, con contenidos escritos ntegramente en espaol dedicados al tan valorado examen de certificacin CCNA. Enrique Barrientes Sevilla comenz su carrera tcnico-profesional en el ao 2003. Desde entonces ha compaginado su labor en las telecomunicaciones con la formacin en nuevas tecnologas, impartiendo cursos en varias especialidades tales como Cisco y Microsoft. Ha trabajado en proyectos de grandes magnitudes para varias de las ms importantes empresas espaolas, irlandesas y norteamericanas del sector. Posee varias certificaciones de diversos fabricantes entre las que destaca el CCIE #23973 en la especialidad de Routing and Switching. Actualmente es un referente dentro del grupo de Ingeniera IP de una importante Multinacional y es, adems, colaborador de varias consultoras de la Comunidad Europea. Su pasin por la formacin ha sido, sin dudas, un aporte fundamental para la creacin de este libro.

www.FreeLibros.com

RA-M A

INTRODUCCIN

33

Agradecimientos de Ernesto
Hace ya algunos aos un joven entr en una de mis clases de Frame-Relay con una educacin y una modestia poco comn en jvenes de su edad. Quin dira entonces que aquel joven estara hoy en da dando vueltas por el mundo con su certificacin CCIE bajo el brazo y sin perder en ningn momento los papeles que lo hicieron convertirse en un amigo. Enrique Barrientos es hoy un ejemplo de lucha para todos los jvenes que persiguen una meta digna y honorable. Para l va este agradecimiento. A mis editores, por confiar en m una vez ms, a todos los alumnos e instructores con los que he tenido el placer de trabajar todos estos aos, de los cuales siempre he aprendido algo. A todos ellos tambin va este agradecimiento. A mi familia, a los amigos de Argentina y Espaa por su apoyo constante, a mis compaeros de trabajo que han visto crecer al monstruo hasta convertirse en libro. No debo olvidarme del siempre intrpido Eduardo Collado por su colaboracin en este libro y por su desinteresada amistad. A Elizabeth, mi esposa, cuya energa inagotable mueve cielos y montaas y a mi hijo Germn, convertido en un joven inquieto y talentoso. A ambos gracias por estar siempre presentes en los momentos difciles. Por ltimo pero no menos importante al lector, por confiar en mi trabajo y por honrarme una vez ms con su inters por aprender con mis libros. Ernesto Ariganello

www.FreeLibros.com

34

REDES CISCO. CCNP a Fondo

RA-MA

Agradecimientos de Enrique
Corra el ao 2002 cuando por motivos laborales tuve que irme de Len (como tanta otra gente) para buscar trabajo en Madrid. All tuve la suerte de conocer a Ernesto y Eduardo, ambos fueron mis dos primeros profesores en tecnologas Cisco. Pero no qued ah la cosa, hicieron que mi adaptacin a la gran ciudad fuera ms llevadera y me ensearon varias lecciones de las que no vienen en los libros. Ambos se convirtieron en amigos de esos que puedes contar con los dedos de las manos. Gracias. A mi familia y amigos por su apoyo y por estar ah cuando se les necesita. A Genny, quien da a da no deja de sorprenderme y que sin su apoyo este libro hubiera quedado en la lista de proyectos inacabados. A mis padres, Chony y Quique, por ensearme que en la vida no hay problemas, sino retos que han de ser superados. A mis hermanos Mara y Jess porque cuando hablo con ellos me hacen regresar atrs en el tiempo y recordar mil y una aventuras. A Santi, por ensearme la importancia de buscar la lgica de las cosas. A Marisa, por mostrarme el valor de la constancia. Finalmente al lector, por darme la oportunidad de poder contribuir a su formacin. Enrique Barrientos Sevilla

www.FreeLibros.com

RA-MA

INTRODUCCIN

35

Convenciones sobre sintaxis de comandos


Las convenciones que se utilizan para representar la sintaxis de comandos en este libro son las mismas que se utilizan en Cisco IOS Command Reference. Los autores han preferido conservar los argumentos en idioma ingls tal como apareceran tras ejecutar un comando ayuda. La negrita representa comandos y palabras clave que se escriben tal y como se muestra. La cursiva indica argumentos para los que hay que suministrar valores. Los corchetes [ ] indican elementos opcionales. Las llaves { } contienen una eleccin de palabras clave necesarias. Las barras verticales | separan elementos alternativos y exclusivos entre s. Las llaves y las barras verticales entre corchetes, por ejemplo [x {y | z}] indican una opcin necesaria en un elemento opcional. No es necesario introducir lo que hay entre los corchetes, pero si lo hace, tendr algunas opciones necesarias en los corchetes.

Advertencia
Se ha realizado el mximo esfuerzo para hacer de este libro una obra tan completa y precisa como sea posible, pero no se ofrece ninguna garanta implcita de adecuacin a un fin en particular. La informacin se suministra tal como est. Los autores no sern responsables ante cualquier persona o entidad con respecto a cualquier prdida, dao o perjuicio que pudieran resultar emergentes de la informacin contenida en este libro. Todos los trminos mencionados en este libro que, segn consta, pertenecen a marcas comerciales o marcas de servicios, se utilizan nicamente con fines educativos. No debe considerarse que la utilizacin de un trmino en este libro afecte la validez de cualquier marca comercial o de servicio. Los conceptos, opiniones y grficos expresados en este libro por los autores no son necesariamente los mismos que los de Cisco Systems, Inc. Los iconos y topologas mostradas en este libro se ofrecen con fines de ejemplo y no representan necesariamente un modelo de diseo para redes. Las configuraciones y salidas de los routers se han tomado de equipos reales y se ha verificado su correcto funcionamiento. No obstante, cualquier error en la trasncripcin es absolutamente involuntario.

www.FreeLibros.com

36

REDES CISCO. CCNP a Fondo

RA-MA

Algo para compartir


Este libro que tienen en sus manos es un libro muy especial, detrs de sus pginas hay mucho trabajo, buen hacer, energa, ganas y entusiasmo, en definitiva, algo para compartir. Siempre he tenido la conviccin de que un examen de certificacin y cualificacin tcnica es un examen de conocimientos tcnico y no un examen de idioma, por ello para un estudiante no angloparlante supone un enorme problema enfrentarse a una desmedida montaa de documentacin en una lengua que no es la suya, una vasta bizarra no justificada, que ha quedado resuelta en este libro, aadiendo por otro lado la garanta personal que nos aportan los dos autores de la presente obra. Corra el ao 2003 y tuve la suerte de conocer a Ernesto Ariganello y a Enrique Barrientos, me encontr con dos personas con una enorme motivacin, gran cantidad de conocimiento y una impresionante capacidad de comunicacin. Estuve trabajando con ellos durante unos meses muy intensos, la dimensin con la que vivimos aquel tiempo hizo que nunca volviramos a separarnos. Con ellos tengo recuerdos muy intensos preparando documentacin, planificando laboratorios, configuraciones, el da que Ernesto y yo aprobamos nuestro primer examen terico de CCIE, y por supuesto el correo que Kike nos mand a ambos el 31 de Marzo de 2009, titulado Algo para compartir, donde nos comunicaba que acababa de recibir su aprobado del examen prctico CCIE Routing & Switching, y su nmero de CCIE, el 23.973. Por un lado Ernesto, una persona muy reflexiva, siempre organizando, siempre preparando y siempre a punto; por otro lado Enrique, aunque todos le llamamos Kike, siempre fue, es y ser con toda seguridad una fuente de energa, para el que no existe ni el cansancio ni el agotamiento. Conociendo a los autores, no poda brotar un libro mejor que ste, por un lado la perfeccin siempre buscada por Ernesto y por otro lado la energa exhibida por Kike, y por supuesto, el buen hacer y la calidad del trabajo de ambos, dan como resultado este libro de preparacin del CCNP completo, claro, conciso, siendo el primer material que cubre todo el contenido del CCNP en espaol, una enorme y titnica tarea. Esta obra, a mi form a de ver, pretende que los estudiantes puedan evadirse del lgubre estado que representan las montaas de informacin en ingls para poder acceder a un luminoso estado que insiste en la fortaleza de la formacin tcnica eliminando las barreras idiomticasy culturales. Eduardo Collado

www.FreeLibros.com

PARTE I

www.FreeLibros.com

www.FreeLibros.com

Captulo 1

EIGRP
INTRODUCCIN A EIGRP
EIG R P (Enhanced Interior Gateway Routing Protocol) es un protocolo vector distancia, que usa el mismo sistema de mtricas sofisticadas que IGRP (Interior Gateway Routing Protocol) y que utiliza DUAL (Diffusing Update Algorithm) para crear generar las bases de datos de topolgica. EIGRP utiliza principios de los protocolos de estado de enlace, es por ello que muchas veces se lo llame protocolo hbrido, aunque sera ms correcto llamarlo protocolo de vector distancia avanzado. EIGRP es eficiente tanto en entornos IPv4 como IPv6, los fundamentos no cambian. Es importante tener en cuenta que este protocolo es una solucin propietaria de Cisco, es decir, que en situaciones donde se aplican dispositivos de otros fabricantes no funcionar; de ser as habr que migrar a una solucin estndar en el futuro. EIGRP surge para eliminar las limitaciones de IGRP, aunque sigue siendo sencillo de configurar, utiliza pocos recursos de CPU y memoria. Se trata de un protocolo vector distancia avanzado, manteniendo las mejores caractersticas de los protocolos de ese tipo.

www.FreeLibros.com

40

REDES CISCO. CCNP a Fondo

RA-M A

Cisco define cuatro propiedades principales de EIGRP: Protocol-dependent modules: soporta varios tipos de protocolos de capa 3, como son IPv4 o IPv6.

Reliable Transfer Protocol (RTP): EIGRP enva paquetes utilizando protocolos confiables. Neighbor discovery and recovery: EIGRP utiliza helios para identificar a los nuevos routers vecinos y tambin darse cuenta de la prdida de los mismos. Diffusing Update Algorithm (DUAL): es el algoritmo que EIGRP utiliza para identificar las posibles rutas para alcanzar un destino y para luego elegir la mejor; adems DUAL selecciona caminos alternativos en caso de que el principal falle.

Funcionamiento de EIGRP
EIGRP enva actualizaciones confiables identificando sus paquetes con el protocolo IP nmero 88. Estas actualizaciones confiables o fiables significan que el destino tiene que enviar un acuse de recibo (ACK) al origen, es decir, que debe confirmar que ha recibido los datos. EIGRP utiliza comunicaciones: los siguientes tipos de paquetes IP durante las

Helio: se envan peridicamente usando una direccin multicst para descubrir y mantener relaciones de vecindad. Update: anuncian las rutas, se envan de manera multicst. Ack: se envan para confirmar la recepcin de un update. Query: se usa como consulta de nuevas rutas cuando el mejor camino se ha perdido. Cuando el router que enva la consulta no recibe respuesta de alguno de sus vecinos volver a enviarla pero esta vez en unicast, y as sucesivamente hasta que reciba un reply o hasta un mximo de 16 envos. Reply: es una respuesta a una query, con el camino alternativo o simplemente indicando que no tiene esa ruta.

www.FreeLibros.com

RA-MA

CAPTULO 1. EIGRP

41

Mediante los helios el router descubre a los vecinos, los paquetes son enviados peridicamente para mantenerlos en una lista de vecindad. Cuando no se recibe un helio de un determinado vecino durante un tiempo establecido (hold time) se dar por finalizada la relacin de vecindad y ser necesario recalcular. EIGRP comienza a descubrir vecinos va multicst, esperando confirmaciones va unicast. La tabla de vecinos sirve para verificar que cada uno de ellos responde a los helios; en caso de que no responda se enviar una copia va unicast, hasta un mximo de 16 veces.

Mtrica EIGRP
EIGRP utiliza una mtrica sofisticada basndose en los siguientes factores: Bandwidth, ancho de banda. Load, carga. Reliability, fiabilidad Delay, retraso.

7 t - 7 7 K 2 x bandwidth 7 7 ^ K. mtrica = 256 x K , x bandwidth H ---------------------------1 - K , x delay x ------------- --------256 - load ) reliability + K 4

EIGRP utiliza una mtrica de enrutamiento compuesta. La ruta que posea la mtrica ms baja ser considerada la ruta ms ptima. Las mtricas de EIGRP estn ponderadas mediante constantes desde K1 hasta K5 que convierten los vectores de mtrica EIGRP en cantidades escalables. La mtrica utilizada por EIGRP se compone de: K1 = Bandwidth (ancho de banda): valor mnimo de ancho de banda en kbps en la ruta hacia el destin. Se define como 10 elevado a 7 dividido por el ancho de banda del enlace ms lento de todo el camino. K2 = Reliability (fiabilidad): fiabilidad entre el origen y el destino, determinado por el intercambio de mensajes de actividad expresado en porcentajes. Significa lo confiable que puede ser la interfaz, en un rango expresado entre 255 como mximo y 1 como mnimo, normalmente esta constante no se utiliza.

www.FreeLibros.com

42

REDES CISCO. CCNP a Fondo

RA-M A

K3 = Delay (retraso): retraso de interfaz acumulado a lo largo de la ruta en microsegundos. K4 = Carga: carga de un enlace entre el origen y el destino. Medido en bits por segundo es el ancho de banda real de la ruta. Se expresa en un rango entre 255 como mximo y 1 como mnimo, normalmente esta constante no se utiliza. K5 = MTU: valor de la unidad mxima de transmisin de la ruta expresado en bytes.

La mtrica EIGRP se calcula en base a las variables resultantes de las constantes K1 y K3. Se divide por 107 por el valor mnimo de ancho de banda, mientras que el retraso es la sumatoria de todos los retrasos de la ruta en microsegundos y todo multiplicado por 256.
, . 107 v - i delay\ - / , ------mtrica = 256 x ----------------------------- 1 \Min{anchodebanda) 10 J

En el siguiente ejemplo la ruta hacia el destino desde R l, R2, R3, R4 es elegida como la mejor. El enlace de menor ancho de banda de esta ruta es de 768 Kbps, mientras que en la ruta por R l, R6, R5, R4 el enlace de menor ancho de banda es de 512 Kbps.
M trica =5 02 27 20

M trica= 6689536

www.FreeLibros.com

RA-M A

CAPTULO 1. EIGRP

43

El clculo de la mtrica por R l, R2, R3, R4 es el siguiente:


mtrica = 256 x

f 10 7 + 22000

22000 + 22000
10

= 5022720

El clculo de la mtrica por R l, R6, R5, R4 es el siguiente:


mtrica = 256 x

10 7
512

22000 + 22000 + 22000 ^


10

= 6689536

DUAL
El Diffusing Update Algorithm (DUAL) es el protocolo empleado por EIGRP para encontrar caminos alternativos y libres de bucles (loop) para que en el caso de que el camino principal falle usar una de estas rutas alternativas sin tener que recalcular o lo que es lo mismo, sin tener que preguntar a los vecinos acerca de cmo llegar al destino. La terminologa empleada por DUAL se basa en los siguientes conceptos: Advertised Distance (AD): coste desde el origen hasta el router vecino hasta el destino. Feasible Distance (FD): mejor mtrica desde el router vecino hasta el destino ms la mtrica que el router origen necesita para alcanzar a ese vecino. Feasible Condition (FC): es la condicin que ha de cumplirse para aadir un posible camino a la tabla de topologas La Advertised Distance advertida por el vecino ha de ser menor que la Feasible Distance. Feasible Successor (FS): es la forma d definir un router de respaldo o backup para el caso de que la ruta al vecino a travs del cual estamos encaminando trfico se caiga. El Feasible Successor se habilita sin necesidad de envos de queries a los vecinos para tratar de averiguar otro posible camino hacia el destino.

www.FreeLibros.com

44

REDES CISCO. CCNP a Fondo

RA-MA

Queries
Cuando una ruta se cae y no existe un Feasible Successor en la tabla de topologas, se envan queries a los routers vecinos para determinar cul de ellos puede alcanzar al destino. En el caso de que stos no tengan conocimiento, preguntarn recursivamente a sus respectivos vecinos y as sucesivamente. En el caso de que nadie resuelva la consulta, comienza un estado conocido como SIA (Stuck In Active) y el router dar tiempo vencido a la query. Este estado se puede evitar con un buen diseo de red. EIGRP utiliza Split Horizon como mecanismo de prevencin de loops, evitando enviar actualizaciones de rutas en la misma interfaz por la que han sido recibidas. El siguiente grfico ejemplifica el funcionamiento de las queries. Si el enlace entre el router B y el router C se cae, el router B pierde su nico camino hacia 172.16.0.0. Gracias a las queries el router B puede buscar esa ruta a travs de sus otros vecinos, el router B preguntar al router A y a su vez el router A preguntar al router E.
B c

Las queries se propagarn hasta que algn router responda o hasta que no queden ms routers a los que preguntar. Cuando se enva una querie el router entra en estado active y pone en marcha un contador de tiempo, por defecto 3 minutos. Cuando este tiempo expira y no ha recibido respuesta, el router entra en estado SIA. Generalmente el router entra en este estado cuando existe algn bucle o el alcance de las queries no est debidamente limitado y se va ms all del rea.

www.FreeLibros.com

RA-M A

CAPTULO 1. EIGRP

45

Existen dos maneras de controlar las queries, la primera es mediante sumarizacin y la segunda es mediante stub routing.

Actualizaciones incrementales
EIGRP utiliza peridicamente paquetes helio para mantener la relacin con sus vecinos, pero el caso de las actualizaciones de enrutamiento es diferente ya que slo se intercambian actualizaciones de ruta en el caso de que se pierda o aada una nueva ruta y estas actualizaciones son incrementales. El nico momento que EIGRP utiliza actualizaciones totales es cuando establece las relaciones iniciales con otros routers.

Actualizaciones multicst
EIGRP utiliza direccionamiento multicst y unicast. EIGRP utiliza RTP (Real Time Protocol), que es un protocolo propietario de Cisco para controlar la comunicacin entre paquetes EIGRP. Estos paquetes son enviados con un nmero de secuencia y deben ser confirmados en el destino. Los paquetes Helio y los ACK no necesitan ningn tipo de confirmacin mientras que los paquetes update, query y reply s necesitan confirmacin del destino. Las actualizaciones son enviadas mediante el uso de multicst. Dicha direccin multicst es de Clase D, 224.0.0.10. Cuando el vecino recibe un multicst confirma la recepcin mediante un paquete unicast no confiable. El uso del direccionamiento multicst demuestra la evolucin de este protocolo siendo de esta forma ms efectivo que los protocolos que utilizan broadcast, como por ejemplo RIPvl o IGRP.

BALANCEO DE CARGA DESIGUAL


EIGRP es el nico protocolo de enrutamiento que proporciona la capacidad de hacer balanceo de carga desigual: todos los dems protocolos nos permiten hacer balanceo de carga de forma equitativa a todos los enlaces en el caso de que el coste al destino sea el mismo. Sin embargo EIGRP mediaiite el uso de la varianza permite el balanceo de carga del tipo desigual. Esto se realiza multiplicando la lista feasible por la varianza que por defecto tiene un valor de uno. Si este ltimo valor fuese, por ejemplo, 3 la feasible lista se multiplicara por 3 cualquier otra feasible lista que tuviera un valor menos al producto resultante servira de igual manera para transmitir datos, ahora bien, EIGRP no transmitira datos de forma equitativa por ambos canales sino que utilizara las mtricas para decidir qu porcentaje enviara por cada enlace. Por ejemplo, si un enlace es de 3Mbps y otro de IMbps enviara tres veces ms datos por el primero.

www.FreeLibros.com

46

REDES CISCO. CCNP a Fondo

RA-MA

TABLAS EIGRP
EIGRP mantiene tres tipos de tablas, 1. La tabla de vecindad, en ella se listan todos los vecinos EIGRP. 2. La tabla de topologas, en ella se listan todos los posibles caminos y todas las posibles redes. 3. La tabla de enrutamiento, donde constan la o las redes principales en el caso de tener balanceo de carga.

Tabla de vecindad
La tabla de vecinos es creada y mantenida mediante el uso de paquetes Helio. Estos paquetes son enviados en un principio para descubrir a los vecinos y luego se envan peridicamente para mantener informacin del estado de estos. Helio utiliza la direccin multicst 224.0.0.10. Cada protocolo de capa 3 soportado por EIGRP (IPv4, IPv6, IPX y Apple Talk) tiene su propia tabla de vecinos, esta informacin no es compartida entre estos protocolos.

Contenidos de la tabla de vecinos


La tabla de vecindad contiene las siguientes informaciones: La direccin de capa 3 del vecino. La interfaz a travs de la cual se ha escuchado el helio. El holdtime, que es un perodo de tiempo de espera antes de declarar al vecino como muerto. El perodo del holdtime suele ser por defecto tres veces el intervalo entre los helio. El Uptime que se define como el perodo de tiempo en que se ha recibido el primer helio del vecino. Nmero de secuencia, EIGRP lleva un registro de todos los paquetes que se van enviando entre vecinos, en estos valores se incluye el ltimo nmero de secuencia que se ha enviado al vecino como as tambin el ltimo nmero de secuencia que el vecino ha enviado al router. RTO, retransmisin Timeout, ste es el perodo de tiempo que el router esperar antes de retransmitir un paquete que ya haya sido enviado a travs de un protocolo orientado a la conexin.

www.FreeLibros.com

RA-MA

CAPTULO 1. EIGRP

47

SRTT, Smooth Round Trip Time, con el que se calcula el RTO. Es el tiempo medido en milisegundos que un paquete tarda en llegar a un vecino y recibir un acuse de recibo por parte de ste. Nmero de paquetes en cola, esto permite monitorizar al administrador de la red si existe congestin en la red.

Establecimiento de la vecindad
Todos los routers EIGRP se anuncian' peridicamente a sus vecinos mediante el protocolo helio utilizando la direccin multicst 224.0.0.10. Los dems routers al escuchar estos helio aaden a ste en la tabla de vecindad que se mantiene establecida siempre y cuando se sigan escuchando peridicamente los paquetes helio. Si trascurrido el tiempo de hold timer dicho vecino se declarara como no operacional ser eliminado de la tabla de vecinos. Como se ha dicho anteriormente el hold timer es tres veces el perodo helio, es decir, que si se pierden tres helio se dar por cado al vecino. Para interfaces rpidas o tipo LAN se enviarn paquetes helio cada 5 segundos mientras el hold timer ser de 15. Para el caso de interfaces tipo WAN o ms lentas el perodo ser cada 60 segundos y el hold timer de 180. Para establecerse la vecindad se deben cumplir tres condiciones: 1. El router debe escuchar un helio por parte de su vecino. 2. El sistema autnomo que est configurado en el router EIGRP debe ser igual en ambos vecinos. 3. Los valores de las constantes K utilizados para el clculo de la mtrica tienen que ser iguales para todos los vecinos. La sintaxis muestra un ejemplo de un show ip eigrp neighbors
Router#show ip eigrp neighbors IP-EIGRP neighbors for process 45 H Address Interface Hold Uptime (sec) 0 172.16.2.1 S0/0 10 08:10:01

SRTT

RTO Q Seq Type (ms) Cnt Num 1 1100 2 276

Creando la tabla de topologa


Despus de que el router conoce quines son sus vecinos, es capaz de crear una tabla topolgica y de esa manera asignar el successor y el feasible successors para cada una de las rutas. Adems de los successors se agregan tambin las otras

www.FreeLibros.com

48

REDES CISCO. CCNP a Fondo

RA-M A

rutas que se llaman possibilities. La tabla de topologa se encarga de seleccionar qu rutas sern pasadas a la tabla de enrutamiento. La tabla de topologa contiene la siguiente informacin: El estado de la ruta, activa o pasiva. Informacin de las actualizaciones hacia los vecinos. Informacin de los envos de paquetes query hacia algunos de los vecinos, que de ser as, al menos una de las rutas debe estar marcada como activa. Si se han enviado paquetes query se activa un contador a la espera de una respuesta del vecino. Si se han enviado respuestas a las consultas de algn vecino. Informacin sobre prefijos, mscaras, interfaces, prximosalto, rutas remotas y las distancias feasible y advertised para todas las redes remotas.

La tabla de topologa se ha creado a partir de los paquetes de actualizaciones que se han intercambiado entre los vecinos y de las respuestas a los paquetes query que se han enviado a los dems routers. Las consultas y respuestas que DUAL utiliza son enviadas de manera confiable usando una direccin multicst y el protocolo RTP, propietario de Cisco. Si el router no escucha un acuse de recibo (ACK) dentro del tiempo estipulado, retransmitir el paquete de manera unicast. Si luego de 16 intentos no se obtiene respuesta, se declara a ese vecino como muerto. Cada vez que el router enva un paquete RTP incrementa la secuencia en 1. El router debe escuchar un ACK de cada uno de los routers antes de enviar el siguiente paquete. Esta forma de enviar retransmisiones de manera unicast hace que sea menor el tiempo que se tarda en construir las tablas. Cuando el router tiene conocimiento de la constitucin de la topologa, utiliza DUAL para determinar cul es la mejor ruta hacia la red remota, que es finalmente agregada a la tabla de enrutamiento.

www.FreeLibros.com

RA-MA

CAPTULO 1. EIGRP

49

Manteniendo la tablas de topologa


La tabla de topologas podra cambiar en el caso de que se aadiera una nueva red, de que cambiara el sucesor o de que se perdiera una red. La imagen muestra el flujo de datos cuando el router pierde una conexin.

La tabla de topologa lleva un registro de todos los paquetes que han sido enviados a los vecinos, tambin identifica el estado de las redes. Recordando que el estado activo significa que hay algn tipo de problema en la red, mientras que en pasivo no existe problema alguno. Debido a que la tabla de enrutamiento se construye a partir de la de topologa, sta debe contener toda la informacin que es requerida por sta, incluido el prximo salto (next hop) del vecino con su respectiva mtrica, tomada a partir de la feasible distance.

Agregando una red a la tabla de topologa


Cuando se agrega una red a un router que ya ha convergido, esta nueva red es propagada a todo el dominio EIGRP de la siguiente manera:

www.FreeLibros.com

50

REDES CISCO. CCNP a Fondo

RA-M A

A partir de que el router detecta la nueva red comienza a enviar helio a travs de la interfaz de la nueva red pero no recibe ninguna respuesta debido a que no hay otros routers en el mismo segmento. Esto ltimo no aplica a la tabla de vecinos ningn cambio, pero s agrega una nueva entrada a la tabla de topologas. EIGRP enviar paquetes de actualizacin en la antigua interfaz para dar a conocer a los dems routers la nueva red. Estos paquetes son orientados a la conexin, por lo tanto, se espera un ACK de cada uno de los vecinos. Los routers vecinos actualizarn sus tablas de vecindad comparando los nmeros de secuencia y agregarn la nueva red a la tabla de topologas. Finalmente calcularn la feasible distance y el successor para agregar en la tabla de enrutamiento.

Suprimiendo una ruta de la tabla de topologa


1. Cuando un router pierde conectividad con una de sus redes directamente conectadas, actualiza su tabla de topologa y su tabla de enrutamiento y enva estas actualizaciones a sus vecinos. 2. Una vez que los vecinos reciben esas actualizaciones, actualizan sus tablas de vecindad y la de topologas. 3. A partir de ese momento los vecinos buscarn alternativas para llegar a la ruta remota examinando su tabla de topologa, pero como en este caso haba slo una ruta para llegar al destino, no encontrar ningn tipo de alternativa. 4. Al no encontrar otras rutas disponibles, el vecino enviar paquetes query a todos sus vecinos solicitando informacin para llegar a la red remota. A partir de ese momento la ruta se marca como activa en la tabla de topologa. 5. El router lleva un registro de todos los paquetes tipo query y espera que todos los vecinos le respondan para poder actualizar sus tablas de topologa y vecinos.

6. DUAL comienza a funcionar tan pronto como se pierde conectividad con la red remota, se encarga de determinar cul ser el mejor camino y de agregarlo a la tabla de enrutamiento.

www.FreeLibros.com

RA-MA

CAPTULO 1. EIGRP

51

7. Antes de responder, se enva un query a sus propios vecinos.

8. En caso de que no se encuentre ninguna ruta disponible losvecinos envan un reply como respuesta informando de que no poseen ninguna ruta disponible.
9. Como ningn router puede proporcionar una ruta alternativa borran esa red de la tabla de topologa y de la tabla de enrutamiento.

Buscando rutas alternativas


Cuando un router pierde la informacin de una red ocurre lo siguiente: El router identifica la o las redes afectadas. El router mira en la tabla de topologas para saber si hay alguna ruta alternativa buscando un feasible successor. Si el router encuentra un feasible successor, agrega la ruta a la tabla de enrutamiento. De lo contrario pondr la ruta en activo enviando query a todos los vecinos. Si un vecino tiene informacin de la ruta, enviar una respuesta y se agregar a la tabla de topologas. Si no se reciben respuestas los mensajes son propagados.

Cuando un router enva paquetes query, stos quedan registrados en la tabla de topologas para verificar si se reciben respuestas. Si el router no recibe dicha respuesta el vecino es borrado de la tabla de topologas como as tambin todas las redes que han sido anunciadas por ese vecino. En redes de grandes dimensiones, en enlaces lentos o redes mal diseadas este proceso puede generar algn tipo de problema identificando la ruta perdida como SIA.

Creando la tabla de enrutamiento


La tabla de enrutamiento se construye a partir de la tabla de topologa mediante el uso del algoritmo DUAL. La tabla de topologa contiene toda la informacin de enrutamiento que el router conoce a travs de EIGRP; por medio de esta informacin el router puede ejecutar DUAL y as determinar el sucesor y el feasible successor, el sucesor ser el que finalmente se agregue a la tabla de enrutamiento.

www.FreeLibros.com

52

REDES CISCO. CCNP a Fondo

RA-M A

Seleccin de rutas EIGRP


DUAL utiliza las mtricas para determinar la mejor o mejores rutas hacia un destino. Se pueden tener hasta 16 caminos diferentes hacia un mismo destino. Hay tres tipos diferentes de caminos o rutas: 1. Intemal, rutas que estn directamente configuradas en el router mediante el comando network. 2. Summary, son rutas internas sumarizadas.

3. Extemal, rutas redistribuidas en EIGRP.

Actualizando las tablas de enrutamiento en modo pasivo con DUAL


Cuando una ruta se cae, en principio DUAL busca en la tabla de topologa un feasible successor; en caso de que encuentre uno el router permanece en modo pasivo. La ruta es agregada a la tabla de enrutamiento.

www.FreeLibros.com

RA-MA

CAPTULO 1. EIGRP

53

El grfico muestra una topologa de estudio para observar esta operacin La feasible distance del router A al router G es 10, contando la mtrica de A hacia D y de D hacia G. La advertised distance del router A al router G es 5, anunciada por el vecino D. Se observa que la feasible distance es 10, mayor que la advertised distance que es 5. Cumpliendo de esta manera la feasible condition permitiendo as llegar a ser feasible distance. De esta forma si el enlace entre el router A y el router D se cae, el router A deber mirar en su tabla de topologa. En esta tabla existen rutas alternativas: - De D+H+E hasta G (7+5+7) con una advertised distance de 19. - De D+H+F hasta G (7+5+8) con una advertised distance de 20. - Siendo stas mayores que la feasible distance original que era 10 no cumplen con la condicin para ser el feasible successor. - La ruta entre A+E+G tiene una advertised distance de 7 menor que la original 10, convirtindose de esta forma en el feasible successor reemplazando a la ruta original. - La nueva ruta se agrega a la tabla de enrutamiento. El router A no cambiar en ningn momento de modo pasivo a modo activo.

Actualizando las tablas de enrutamiento en modo activo con DUAL


En el siguiente diagrama no se encuentra ninguna ruta alternativa en la tabla de topologas.

www.FreeLibros.com

54

REDES CISCO. CCNP a Fondo

RA-M A

La tabla de topologas del router A tiene una ruta hacia el router X a travs de D+G. La feasible distance es 20 y la advertised distance desde D es 15. Cuando el router D cae el router A debe buscar una ruta alternativa hacia X. El router A descarta los vecinos B, C, E y F como feasible successors debido a que las advertised distances son de 27, 27, 20 y 21 respectivamente. Estos valores son iguales o mayores que el advertido por el feasible successor, es decir, que no cumplen con la feasible condition. A partir de ese instante el router A se pone en modo activo enviando consultas queries a todos los vecinos. Los routers E y F responden con feasible successor ya que ambos reciben advertised distance de 5 desde el router G. Todos los routers que enviaban queries vuelven al modo pasivo. La tabla de topologa y la tabla de enrutamiento son actualizadas acorde a la nueva red. El router A elige la ruta a travs del router E, ya que la feasible distance es menor y se agrega a la tabla de enrutamiento. La ruta a travs del router F se agrega a la tabla de topologa como un feasible successor.

www.FreeLibros.com

RA-MA

CAPTULO 1. EIGRP

55

DISEO DE RED CON EIGRP


EIGRP fue diseado para su uso en redes grandes y complejas, pero a su vez es muy sensible a los nuevos cambios que se introducen en el diseo de la red. Hay que tener en cuenta ciertos factores que pueden afectar la escalabilidad de EIGRP al incluir cambios en la red: Cantidad de informacin que se envan entre vecinos. Cantidad de routers que reciben actualizaciones. Distancia entre routers vecinos. La cantidad de rutas alternativas hacia redes remotas.

Un diseo de red inadecuado con EIGRP puede causar los siguientes problemas: Router en stuck in active. Congestin de red. Prdida de informacin de enrutamiento.

Rutas inestables. Retransmisiones. Excesivo consumo de memoria y recurso de CPU del router.

Problemas en el diseo de EIGRP


El mayor problema a la hora de disear una red con EIGRP es limitar la cantidad de anuncios y consultas entre los routers y hasta dnde pueden llegar stas. Esto es particularmente importante en enlaces WAN lentos debido a que enviando menos informacin acerca de la red aumenta la capacidad de los datos que se envan entre clientes y servidores, aunque en contraposicin disminuye la informacin a la hora de encontrar caminos alternativos.

www.FreeLibros.com

56

REDES CISCO. CCNP a Fondo

RA-MA

Ante esta situacin hay que encontrar un equilibrio entre sumarizacin y toda otra informacin posible que se pueda enviar por la red. Finalmente el administrador de red preferir aumentar la sumarizacin a disminuirla. EIGRP, por defecto, sumariza todos los prefijos de red que posee hacia la red classfull cuando debe sobrepasar lmites entre redes. Normalmente el administrador de red deshabilita esta configuracin por defecto, para luego aplicar la sumarizacin de manera manual segn l crea conveniente. Ciertas topologas presentan mayores inconvenientes para el uso de EIGRP, en particular las del tipo hub-and-spoke ya que en estas topologas se envan consultas a routers que seguramente no sern capaces de responder con rutas alternativas. En estos casos para hacer que la red sea ms efectiva se pueden emplear filtros o sumarizacin para impedir la propagacin de estas consultas innecesarias. A la hora del diseo se deben tener en cuenta ciertas acciones para no tener problemas con el escalado en el direccionamiento IP: Asignar un direccionamiento IP y organizar los enlaces de manera que la sumarizacin sea efectiva, utilizando para ello un diseo de red jerrquico. Utilizar dispositivos proporcionales a la red de manera que las memorias y CPU puedan soportar con efectividad el protocolo de enrutamiento. Utilizar enlaces de red, especialmente WAN, con suficiente ancho de banda. Utilizar filtros para limitar anuncios innecesarios. Monitorizar la red adecuadamente.

www.FreeLibros.com

RA-MA

CAPTULO 1. EIGRP

57

CONFIGURACIN DE EIGRP Configuracin bsica de EIGRP


EIGRP es un protocolo de enrutamiento classless o sin clase, es decir, que en las actualizaciones enva tanto el prefijo de red como la mscara de subred. Los protocolos de enrutamiento sin clase son capaces de sumarizar. EIGRP permite sumarizar en cualquier tipo de interfaz y de ruta, algo sumamente importante a la hora de disear una red EIGRP escalable. Para la configuracin bsica de EIGRP es necesario activar el protocolo con su correspondiente AS (sistema autnomo) y las interfaces que participan en el proceso.
Router(config)#router eigrp autonomous-system-number Router(config-router)#network network-number

A partir de esta configuracin todas las interfaces relacionadas con el comando network comienzan a buscar routers vecinos dentro del mismo AS para establecer una relacin de vecindad. Para el caso concreto de que dicha interfaz necesite ser advertida pero que no establezca una relacin con el vecino se debe configurar dentro del protocolo de la siguiente manera:
Router(config-router)#passive-interface nterface-number

Con esto de evitar el envo de helio por la interfaz en cuestin. El comando network puede individualizar una interfaz especificando una mscara comodn o wildcard:
Router(config-router)#network network-number [wildcard-network-mask]

Observe el ejemplo:
Router(config)#interface SO Router(config-if)#ip address 172.16.0.1 255.255.255.0 Router(config-if)#interface SI Router(config-if)#ip address 172.16.22.1 255.255.255.0 Router(config)#router eigrp 220 Router(config-router)#network 172.16.0.1 0.0.0.0

www.FreeLibros.com

58

REDES CISCO. CCNP a Fondo

RA-M A

La tabla siguiente muestra una serie de commandos opcionales en la configuracin de EIGRP:

Comando
no auto-summary

Descripcin
Desactiva la sumarizacin classfiil que viene por defecto. Configura manualmente la sumarizacin. Configura un router stub. Configura el balanceo de carga desigual. Cambia la frecuencia de envos de los helio. Cambia los tiempos para considerar que un vecino ha muerto. Cambia el ancho de banda de una interfaz, en este caso EIGRP utiliza este parmetro para calcular su mtrica. Cambia el mximo ancho de banda que EIGRP utilizar, por defecto es el 50%.

ip summary-address

eigrp stub

variance ip hello-interval eigrp autonomoussys tem-number seconds ip hold-time eigrp autonomous-systemnumber seconds

bandwidth

ip bandwidthpercent eigrp asnumber

Sumarizacin en EIGRP
Si se pretende tener una red altamente escalable, tanto en EIGRP como en cualquier otro protocolo, es sumamente importante tener en cuenta el proceso de sumarizacin. Gracias a la sumarizacin se limita la cantidad de anuncios de rutas, se limita el tamao de la tabla de enrutamiento y se optimiza la convergencia de la misma. Al mismo tiempo se limita el reclculo de rutas ayudando as al menor consumo de recursos de memoria y CPU del router. La sumarizacin ayuda a limitar el alcance de las consultas (query) que se van activando recursivamente en todos los routers hasta que se comienzan a recibir respuestas de todos los vecinos. Si se generan sumarizaciones en partes estratgicas

www.FreeLibros.com

RA-MA

CAPTULO 1. EIGRP

59

de la red no se anunciarn rutas innecesarias hacia un determinado destino, haciendo que los routers no pasen al modo Stuck In Active (SIA). En las versiones actuales de IOS la sumarizacin pasa automticamente los lmites classfull entre redes. Esta sumarizacin puede ser muy efectiva pero a la vez un problema si las redes son discontinuas en la red, en cuyo caso ser necesario desactivarla y configurarla de manera manual de la manera que el administrador lo considere conveniente. Existen dos comandos para configurar la sumarizacin, no auto-summary, que sirve para deshabilitar la configuracin global que por defecto hace el router. ip summary address eigrp, que se configura a nivel de interfaz.

La sintaxis para la configuracin en la interfaz es la siguiente:


Router(config-if)#ip summary-address eigrp autonomous-system-number address mask

Router Stub
Los routers stub en EIGRP sirven para enviar una cantidad limitada de informacin entre ellos mismos y los routers de ncleo o core. De esta manera se ahorran recursos de memoria y CPU en los routers stub. Los routers stub solamente tienen un vecino que acorde con buen diseo de red debera ser un router de distribucin, de esta forma el router stub o remoto slo tiene una red que apunta hacia el router de distribucin para alcanzar cualquier otro prefijo en la red. Configurando un router como stub ayuda al buen funcionamiento de la red, las consultas se responden mucho ms rpido. Estos routers responden a esas consultas con mensajes de inaccesibles limitando as el mbito de dichas consultas. La sintaxis de configuracin de EIGRP stub es la siguiente:
Router(config-router)# eigrp stub [receive-only|connected| redistributed|static |summary]

www.FreeLibros.com

60

REDES CISCO. CCNP a Fondo

RA-MA

Los parmetros entre corchetes son opcionales, el ejemplo que sigue muestra la configuracin de un router stub:
RouterB(config)#router eigrp 220 RouterB(config-router)#network 172.16.0.0 255.255.0.0 RouterB(config-router)#eigrp stub

En el siguiente grfico se observan un conjunto de routers que son buenos candidatos para ser configurados como stub

100 . 10 . 100.20 100. 10. 100.24 100. 10. 3.0 100. 10. 4.0 100. 10. 5.0

100 . 10 . 1.0 100 10 2.0

. .

Balanceo de carga en EIGRP


EIGRP de manera automtica balancea carga a travs de enlaces del mismo coste. El mecanismo empleado depender del proceso de switching interno que se tenga en el router. Se puede configurar EIGRP para balancear carga a travs de enlaces de distinto coste, esto lo hace nico ya que los dems IGP no son capaces de hacer este proceso. Para esto se utiliza el comando variance, donde la mtrica hacia la mejor ruta es multiplicada por la varianza utilizada, de esta manera las rutas alternativas con una feasible distance menor que el producto son utilizadas para hacer balanceo de carga.

www.FreeLibros.com

RA-M A

CAPTULO 1. EIGRP

61

La sintaxis muestra la configuracin de la varianza:


Router(config-router)#variance multiplier

El rango de valores de configuracin del multiplicador es 1-128, por defecto dicho valor es 1, lo que quiere decir que el balanceo de carga ser igual. Por lo tanto lo que hace EIGRP es multiplicar la mejor mtrica por dicho valor haciendo posible que todas las rutas hacia un mismo destino que posean mtricas menores a ese producto se incluyan en el balanceo de carga. La cantidad de informacin que se enva por cada enlace es proporcional a la mtrica de cada ruta.

MEJORANDO EL FUNCIONAMIENTO DE EIGRP


Se puede mejorar el desempeo de la red de varias maneras, la sumarizacin y el balanceo de carga son las dos formas principales de hacerlo, pero tambin existen otras tcnicas. Estas incluyen reducir la frecuencia con la que se envan helio y hold timer. Sin embargo hay que ser cuidadoso al reducir dicha frecuencia entre los helio ya que si bien se aumenta el ancho de banda, el tiempo en descubrir que un router no directamente conectado ha cado ser mayor. Como resultado la convergencia de la red ser ms lenta a cambio de un ancho de banda ms efectivo al enviar menos helio a la red. Los valores de configuracin de los intervalos de helio deben cambiarse si se requieren configuraciones especiales, puesto que los valores por defecto son generalmente efectivos. Aunque en muchos casos los valores de configuracin de estos intervalos pueden ser diferentes, se recomienda que dichos valores sean los mismos entre todos los vecinos.

Temporizadores
El router utiliza los helio para determinar si un vecino ha muerto. Existen dos opciones para declarar a un vecino como cado: una es cuando el router vecino est directamente conectado a una interfaz del router local y sta se cae, este vecino se declarar como muerto. La otra opcin es cuando entre ambos routers existe un dispositivo como un switch, entonces la determinacin de que ha muerto depender del hold timer cuyos tiempos obedecen a la configuracin del helio time. Los tiempos en los intervalos helio deben modificarse disminuyendo los valores en funcin de la rapidez con que interese declarar a un vecino como muerto.

www.FreeLibros.com

62

REDES CISCO. CCNP a Fondo

RA-M A

Los valores recomendables para la configuracin de los intervalos helio en enlaces de alto ancho de banda es de 5 segundos, como es el caso de ethemet, token ring FDDI, PPP, HDLC, ATM o cualquier ancho de banda superior a un TI. Para enlaces de menor ancho de banda el valor recomendable es de 60 segundos. Antes de declarar a un vecino como muerto, el router esperara un hold timer, que por defecto es tres veces el tiempo de un helio. La sintaxis de configuracin de los intervalos helio y hold timer es la siguiente:
Router(config-if)#ip hello-interval eigrp autonomous-system-number seconds Router(config-if)#ip hold-time eigrp autonomous-system-number seconds

El siguiente ejemplo muestra la configuracin del helio y hold timer en una interfaz seial 0
Router(config)#interface Serial 0 Router(config-if)#ip hello-interval eigrp 220 10 Router(config-if)#ip hold-time eigrp 220 30

Autenticacin EIGRP
EIGRP soporta dos formas de autenticacin, mediante la utilizacin de una contrasea simple o mediante una contrasea cifrada MD5. En el caso de las contraseas simples se envan en formato de texto plano. Estas series de caracteres sin encriptar deben ser iguales en el origen y en el destino. Este sistema de autenticacin no es seguro ya que pueden interceptarse y leerse las claves. Contrariamente los valores MD5 son seguros debido al tipo de encriptacin que, a pesar de ser interceptados, no podran leerse. Para especificar el tipo de autenticacin se debe hacer en el modo interfaz:
router(config-if)#ip authentication mode eigrp autonomous-system md5

Para definir la contrasea hay que crear una cadena de claves llamada key chain y luego definir el nombre de la contrasea en el key string.

www.FreeLibros.com

RA-M A

CAPTULO 1. EIGRP

63

router(config-if)#ip authentication key-chain eigrp autonomoussystem chain-name router(config-if)#key chain chain-name router(config-if)#key key-id router(conf ig-keychain-key)#key-string key

El ejemplo que sigue muestra una configuracin de autenticacin EIGRP en un AS 220:


router(config-if)#ip authentication mode eigrp 220 md5 router(config-if)#ip authentication key-chain eigrp 220 secret router(config)#key chain secret router(config-keychain)#key 10 router(config-keychain-key)#key-string contrasea

Lo recomendable es configurar primero la key chain para configurar luego en la interfaz correspondiente la autenticacin, hacerlo de forma inversa puede generar problemas de funcionalidad.

EIGRP en redes WAN


EIGRP es nico entre todos los dems protocolos a la hora de restringirse a s mismo en la utilizacin del ancho de banda, no utilizando por defecto ms del 50% del ancho de banda disponible en el enlace. Recuerde que el comando bandwidth es un valor arbitrario que utilizan los protocolos para el clculo de mtrica y que no es el ancho de banda real del enlace. Segn esto ltimo si el valor configurado en el bandwidth supera el ancho de banda real, podra afectar severamente al funcionamiento de la red al saturar el enlace. Para evitar este problema es necesario hacer un show interface y verificar si el ancho de banda de la interfaz est configurado correctamente.
Router# show interface serial 0 SerialO is up, line protocol is up Hardware is HD64570 Internet address is 172.25.146.182/30 MTU 1500 bytes, BW 1280 Kbit, DLY 20000 usec, 1/255

rely 255/255,

load

La sintaxis para la configuracin del bandwidth en una determinada interfaz es la siguiente:


Router(config-if)#bandwidth speed-of-line

www.FreeLibros.com

64

REDES CISCO. CCNP a Fondo

RA-M A

Optimizacin del ancho de banda


Las redes NBMA (Nonbroadcast Multiaccess) puede tener dos tipos de conexiones, punto a punto o multipunto en cualquiera de estos casos hay que tener en cuenta las siguientes reglas: EIGRP no debe exceder el C IR (Committed Information Rate) de los circuitos virtuales (VC). El trfico generado EIGRP en todos los circuitos virtuales no debe exceder la velocidad de la interfaz. El ancho de banda utilizado por EIGRP en cada circuito virtual debe ser el mismo en ambas direcciones.

El comando bandwidth influye en cmo EIGRP utilizarn los circuitos virtuales en una red NBMA. Si existen varios circuitos virtuales en una red multipunto, EIGRP asume que el ancho de banda debe repartirse por igual en todos los VC limitndose por defecto a utilizar la mitad de ese ancho de banda. Por lo tanto el comando bandwidth debe reflejar el ancho de banda real de la interfaz, es decir, multiplicando el ancho de banda de cada VC por la cantidad de los mismos. Si existen demasiados circuitos virtuales podra suceder que no exista el suficiente ancho de banda para el trfico requerido por EIGRP. En este caso se debe configurar la interfaz con un ancho de banda menor que la velocidad real del circuito, haciendo que EIGRP cambie el porcentaje que por defecto tiene en el uso del ancho de banda.
Router(config-if)#ip bandwidth-percent eigrp autonomous-systemnumber percent

VERIFICACIN EIGRP
A continuacin se describen varios comandos show que muestran el funcionamiento de EIGRP:
Router#show ip eigrp neighbors [type number]

Este comando muestra informacin detallada de los vecinos. Guarda un registro minucioso de las comunicaciones entre el router y sus vecinos, las interfaces y el direccionamiento IP.

www.FreeLibros.com

RA-M A

CAPTULO 1. EIGRP

65

Router# show ip eigrp neighbors

IP-EIGRP Neighbors for process 220 Address interface Holdtime (secs) 198.162.16.34 EthernetO 18 20 198.153.45.16 Ethernetl 172.45.123.22 Ethernet2 33

(h:m:s) 0:00:11 0:02:21 0:01:02

Count Num 0 10 0 11 0 4

Uptime QSeqSRTTRTO (ms) (ms) 6 20 11 25 5 2

Campo
process Address Interface

Descripcin
Nmero de sistema autnomo. Direccin IP del vecino. Interfaz que recibe los helio. Perodo de tiempo medido en segundos antes de declarar , al vecino como muerto.

Holdtime

Uptime

Tiempo transcurrido desde que se recibe la informacin del vecino, en horas, minutos y segundos.

Q Count

Nmero de paquetes EIGRP (update, query, and reply) que el router tiene en cola. Nmero de secuencia del ltimo paquete recibido del vecino. Smooth Round-Trip Time. Tiempo en milisegundos desde que se enva un paquete hasta que se recibe un ACK. Retransmission Timeout, es el tiempo de espera de un ACK antes de reenviar un paquete. Se mide en milisegundos.

Seq Num

SRTT

RTO

Router#show ip eigrp topology [autonomous-system-number [[ipaddress] mask]]

Este comando muestra la tabla de topologas con informacin detallada sobre toda la red, sobre todo las posibles rutas y prximos saltos para esas rutas; tambin muestra los paquetes que se han enviado a los vecinos. El funcionamiento de DUAL, el successor, el feasible successor tambin se muestran con este comando.

www.FreeLibros.com

66

REDES CISCO. CCNP a Fondo

RA-M A

Router# show ip eigrp topology

IP-EIGRP Topology Table for process 220 Codes:P - Passive, A - Active, U - Update, Q - Query, R Reply, r Reply status P 192.100.56.0 255.255.255.0, 2 successors, FD is 0 via 192.100.16.34 (62517761/62261761), Ethernetl via 192.100.45.16 (62517761/62261761), Ethernet2 via 192.100.123.22 (62773761/62517761), EthernetO P 192.100.44.0 255.255.255.0, 1 successors, FD is 406200 via Connected, Ethernetl via 192.100.45.22 (407200/281600), Ethernetl via 192.100.32.31 (432800/307200), EthernetO

Campo
p

Descripcin
Passive. El router no ha recibido ninguna informacin de cambios, lo que indica que la red est estable. Active. Esto ocurre si el successor esta cado, entonces se intenta buscar una ruta alternativa. Update. Valor que indica que se ha enviado una actualizacin a un vecino. Query. Valor que indica que se ha enviado una consulta a un vecino. Reply. Valor que indica que se ha enviado una respuesta a un vecino. Este valor se utiliza junto con las consultas, esto indica que se est esperando una respuesta. Red de destino. Mscara de la red de destino. Es el nmero de rutas o siguiente salto lgico. Direccin del siguiente salto. La primera entrada es del successors y la siguiente del feasible successors. El primero de estos valores en la mtrica EIGRP y el segundo la mtrica advertida por el vecino (AD). Interfaz por la cual EIGRP es anunciado y la interfaz de salida.

Q
R

192.100.44.0 255.255.255.0 successors

via

(62517761/ 62261761)

EthernetO

www.FreeLibros.com

RA-MA

CAPTULO 1. EIGRP

67

Router#show ip eigrp traffic [autonomous-system-number]

Este comando muestra la informacin del trfico EIGRP generado y recibido por el router.
Router# show ip eigrp traffic

IP-EIGRP Traffic Statistics for process 220 Helios sent/received: 118/105 Updates sent/received: 17/13 Queries sent/received: 12/10 Replies sent/received: 10/22 Acks sent/received: 2/4

Campo
process 220 Helios sent/received Updates sent/received Queries sent/received Replies sent/received Acks sent/rece ived

Descripcin
Nmero de sistema autnomo. Nmero de paquetes helio enviados y recibidos por el router. Nmero de paquetes updates enviados y recibidos por el router. Nmero de paquetes queries enviados y recibidos por el router. Nmero de paquetes replies enviados y recibidos por el router. Nmero de paquetes ACK enviados y recibidos por el router.

RESOLUCIN DE FALLOS EN EIGRP


Existen dos herramientas fundamentales para la resolucin de problemas en EIGRP. La primera es la documentacin, a travs de sta se puede tener un diseo ms efectivo y brinda un apoyo a la hora de buscar soluciones cuando existen fallos. La segunda herramienta son los comandos debug que permiten monitorizar lo que est ocurriendo en la red. Como todos los comandos debug hay que extremar los cuidados al utilizarlos ya que podra causar un consumo excesivo de recursos del router hasta dejarlo completamente inoperable.

www.FreeLibros.com

68

REDES CISCO. CCNP a Fondo

RA-MA

Comando
debug ip eigrp packet

Descripcin
Muestra los paquetes EIGRP enviados y recibidos por el router. Los paquetes pueden ser seleccionados hasta 11 tipos. Muestra los paquetes helio enviados y recibidos por el router y el proceso de descubrir a los vecinos. Muestra dinmicamente los cambios en la tabla de enrutamiento. Muestra los procesos resumidos EIGRP.

debug ip eigrp neighbors

debug ip eigrp

debug ip eigrp summary

www.FreeLibros.com

Captulo 2

OSPF
INTRODUCCIN A OSPF
OSPF (Open Shortest Path First) es un protocolo de enrutamiento estndar definido en la RFC 2328. Utiliza el algoritmo SPF (Shortest Path First) para encontrar las mejores rutas hacia los diferentes destinos y es capaz de converger muy rpidamente. Esto ltimo conlleva un alto uso de CPU del router por lo que hay que tener precauciones a la hora de disear la red. Es flexible en el diseo de red y al ser un estndar soporta dispositivos de todos los fabricantes.

Un protocolo de estado de enlace es un protocolo sofisticado que utiliza el algoritmo de Dijkstra para determinar el camino ms corto hacia el destino libre de bucles. Estos protocolos utilizan localmente mayores recursos que los protocolos vector distancia ya que deben calcular ms datos con el objetivo de reducir trfico de red. Los protocolos de estado de enlace llevan un registro de todas las posibles rutas para de esta manera no utilizar las tcnicas de los vectores distancia para evitar bucles. Estas son algunas ventajas de OSPF sobre otros protocolos de estado de enlace: Es un protocolo classless permitiendo sumarizacin. Converge muy rpidamente. Es estndar, lo que permite configurarlo en un escenario con diferentes tipos de fabricantes.

www.FreeLibros.com

70

REDES CISCO. CCNP a Fondo

RA-M A

Aprovecha el ancho de banda disponible. Utiliza multicst en lugar de broadcast. Enva actualizaciones incrementales. Utiliza el coste como nica mtrica.

Funcionamiento de OSPF
Los protocolos vector distancia anuncian rutas hacia los vecinos, pero los protocolos estado de enlace anuncian una lista de todas sus conexiones. Cuando un enlace se cae se envan LSA (Link-State Advertisement), que son compartidas por los vecinos como as tambin una base topolgica LSDB (Link-State Database). Las LSA se identifican con un nmero de secuencia para reconocer las ms recientes, en un rango de 0x8000 0001 al OxFFFF FFFF. Cuando los routers convergen tienen la misma LDSB, a partir de ese momento SPF es capaz de determinar la mejor ruta hacia el destino. La tabla de topologa es la visin que tiene el router de la red dentro del rea en que se encuentra incluyendo adems todos los routers.
Router#show ip ospf database OSPF Router with ID (172.18.6.1) (Process ID 87) Router Link States (Area 10) Link ID Checksum ADV Router Seq# Age 172.18.6.1 0x80000005 0x008367 172.18.6.1 108 172.19.2.1 0x80000004 0x00C25B 172.19.2.1 144 192.168.2.3 0x80000006 OxOOlDDE 192.168.2.3 109 192.168.2.5 0x80000006 0x007CFD 192.168.2.5 109 Net Link States (Area 10) Link ID Checksum Seq# ADV Router Age 172.18.5.3 0x80000003 0x001612 172.19.2.1 144 192.168.1.1 0x80000001 0x007CE5 172.18.6.1 208 192.168.2.1 0x80000001 0x0071EF 172.18.6.1 208 Summary Net Link States (Area 10) Link ID Checksum Seq# ADV Router Age 0.0.0.0 172.19.2.1 0x80000001 0x00F288 978 2.2.2.2 172.19.2.1 0x80000001 0x0096DC 973 2.2.2.3 172.19.2.1 0x80000001 0x008CE5 973 2.2.2.4 172.19.2.1 0x80000001 0x0082EE 973 172.19.2.1 172.19.2.1 0x80000001 0x00298F 973 172.20.10.0 0x80000001 0x 00472a 172.19.2.1 397

Link count 4 1 4 3

Recuerde que la tabla de topologas se actualiza por cada una de las LSA que envan cada uno de los routers dentro de la misma rea y que todos estos routers comparten la misma base de datos. Si existen inconsistencias en esta base de datos podran generarse bucles; es el propio router el encargado de avisar que ha habido algn cambio e informar del mismo. Algunas de stas pueden ser:

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

71

Prdida de conexin fsica o link en algunas de sus interfaces. No se reciben los helio en el tiempo establecido por sus vecinos. Se recibe un LSA con informacin de cambios en la topologa.

En cualquiera de los tres casos anteriores el router generar una LSA enviando a sus vecinos la siguiente informacin: Si la LSA es mas reciente se aade a la base de datos. Se reenvan a todos los vecinos para que actualicen sus tablas y SPF comienza a funcionar. Si el nmero de secuencia es el mismo que el router ya tiene registrado en la base de datos, ignorar esta actualizacin. Si el nmero de secuencia es anterior al que est registrado, el router enviar la versin nueva al router que envi la anterior. De esta forma se asegura que todos los routers poseen la ltima versin.

Mtrica OSPF
El coste es la mtrica utilizada por OSPF. Un factor importante en el intercambio de las LSA es la relativa a la mtrica. La implementacin de Cisco calcula el coste mediante la siguiente formula: _ lOO.OOO.OOOfow 10 i bps Coste = ----------------- = ----------- -------VelocidadEnlace VelocidadEnlace Si existen varios caminos para llegar al destino con el mismo coste, OSPF efecta por defecto un balanceo de carga hasta 4 rutas diferentes. Este valor admite hasta 16 rutas diferentes. OSPF calcula el coste de manera acumulativa tomando en cuenta el coste de la interfaz de salida de cada router.

Tablas OSPF
Todas las operaciones OSPF se basan en tres tablas, que deben mantenerse actualizadas: Tabla de vecinos Tabla de topologas Tabla de enrutamiento

www.FreeLibros.com

72

REDES CISCO. CCNP a Fondo

RA-MA

Vecinos OSPF
OSPF establece relaciones con otros routers mediante el intercambio de mensajes helio. Luego del intercambio inicial de estos mensajes los routers elaboran sus tablas de vecinos, que lista todos los routers que estn ejecutando OSPF y estn directamente conectados. Los mensajes helio son enviados con la direccin multicst 2240.0.0.5 con una frecuencia en redes tipo broadcast cada 10 segundos, mientras que en las redes nonbroadcast cada 30 segundos. El contenido de los helio de describe en la siguiente tabla:
Parmetro Router ID Descripcin
Es un nmero de 32 bit que identifica y hace nico al router. Perodo de envo de los helio y su correspondiente timeout. Lista de todos los ID de los routers. Nmero de rea. La prioridad que designa al DR y el BDR. Direccin IP del DR y BDR. Contrasea, si est habilitada. Indica un stub area.

Helio and dead interval Neighbor list Area ID Priority DR y BDR Authentication Stub Area Flag

Una vez que los routers hayan intercambiado los paquetes helio, comienzan a intercambiar informacin acerca de la red y una vez que esa informacin haya sincronizado los routers forman adyacencias. Una vez logrado el estado Full, las tablas deben mantenerse actualizadas, las LSA son enviadas cuando exista algn cambio o cada 30 minutos como un tiempo de refresco.

www.FreeLibros.com

RA-M A

CAPTULO 2. OSPF

73

Estados OSPF
La siguiente lista describe los estados de una relacin de vecindad:

Down, es el primer estado de OSPF y significa que no se ha escuchado ningn helio de este vecino.
Attempt, este estado es nicamente para redes NBMA, durante

este estado el router enva paquetes helio de tipo unicast hacia el vecino aunque no se hayan recibido helio de ese vecino. Init, se ha recibido un paquete helio de un vecino pero el ID del router no sta listado en ese paquete helio. 2-Way, se ha establecido una comunicacin bidireccional entre dos routers. Exstart, una vez elegidos el DR y el BDR el verdadero proceso de intercambiar informacin del estado del enlace se hace entre los routers y sus DR y BDR. Exchange, en este estado los routers intercambian la informacin de la base de datos DBD. Loading, es en este estado cuando se produce el verdadero intercambio de la informacin de estado de enlace. Full, finalmente los routers son totalmente adyacentes, se intercambian las LSA y las bases de datos de los routers estn sincronizadas.

Los mensajes helio se siguen enviando peridicamente para mantener las adyacencias, en el caso de que no se reciban se dar por perdida dicha adyacencia. Tan pronto como OSPF detecta un problema modifica las LSA correspondientes y enva actualizaciones a todos los vecinos. Este proceso mejora el tiempo de convergencia y reduce al mnimo la cantidad de informacin que se enva a la red.

Router designado y router designado de reserva


Cuando varios routers estn conectados a un segmento de red del tipo broadcast, uno de estos routers del segmento tomar el control y mantendr las adyacencias entre todos los routers de ese segmento. Ese router toma el nombre de DR (Desgnate Router) y ser elegido a travs de la informacin que contienen los mensajes helio que se intercambian los routers. Para una eficaz redundancia tambin se elige un router designado de reserva o BDR. Los DR son creados en

www.FreeLibros.com

74

REDES CISCO. CCNP a Fondo

RA-M A

enlaces multiacceso debido a que el nmero de adyacencias incrementara de manera significativa el trfico en la red, de esta forma el DR y el BDR establecen adyacencias reduciendo la cantidad de adyacencias necesarias. En el caso de no tener DR y DBR la cantidad de adyacencias se establecera de acuerdo a la siguiente frmula: n(n l)

2
Segn esta frmula, cuatro routers establecen 6 adyacencias:
4 (4 - 0 = 6

Esta forma de aadir adyacencias consumira gran cantidad de ancho de banda, recursos de memoria y CPU de los routers. El propsito final del DR es reducir al mximo este consumo de recursos haciendo que todos los dems routers establezcan adyacencias con l, quedando establecida en la formula n - 1.
DR

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

75

El DR recibe actualizaciones y las distribuye a todos los dems routers del segmento asegurndose con acuses de recibo de que stos han recibido correctamente dichas actualizaciones y que poseen una copia sincronizada de la LSDB. Los routers notifican los cambios a travs de la direccin multicst 224.0.0.6 a su vez el DR enva las LSA a los routers por la direccin multicst 224.0.0.5. El BDR escucha pasivamente y mantiene una tabla de relacin con todos los dems routers, en el caso de que el DR deje de enviar helio el BDR tomar el papel del DR. Este concepto de DR y BDR en enlaces punto a punto no tendra sentido puesto que slo se establece una nica adyacencia, por lo tanto no hay necesidad de esta eleccin. Sin embargo, en enlaces punto a punto del tipo ethemet existe eleccin de DR y BDR, para evitar esto se recomienda un diseo del tipo punto a punto y as evitar la eleccin de stos. La eleccin de DR y BDR depender de la interfaz de loopback ms alta que est configurada en el router o tambin en el caso de que est configurado el comando ip ospf priority. Por defecto la prioridad es 1, en un rango 0 a 255, a mayor prioridad mayores posibilidades de que sea elegido como DR. La configuracin de una prioridad 0 hace que el router no participe de la eleccin.
Router(config-if)# ip ospf priority number

En caso de empate en la designacin porque no est configurado este comando o porque los valores son iguales, entonces se remite a la interfaz loopback ms alta; pero si aun as hay igualdades o no hay interfaz de loopback, ser finalmente una interfaz fsica ms alta la que participe en la eleccin del DR. La siguiente prioridad ms baja determinar quin ser el BDR. Una vez concluido el proceso de eleccin si se agregara a la red un router con mejor prioridad no tomara el rol de DR o BDR, esto ocurrira si se caen las adyacencias o se reiniciara el router. Esta regla es importante a tener en cuenta en el momento de iniciar los routers en una red puesto que una vez hecha la eleccin no habr cambios aunque se aadan ms routers. El administrador debe tener en cuenta este proceso considerando como muy importante el orden de inicio de la red. En muchos diseos se aconseja cambiar las prioridades a cero para que la eleccin sea la correcta. Adems de lo dicho anteriormente, para forzar la eleccin de DR y BDR se puede utilizar el comando clear ip ospf process *.

Tipos de paquetes OSPF


Todo el trfico en OSPF se encapsula en paquetes IP siendo reconocido con el puerto 89. OSPF utiliza cinco tipos de paquetes diferentes:

www.FreeLibros.com

76

REDES CISCO. CCNP a Fondo

RA-M A

Helio, establecen directamente.

la

comunicacin

con

vecinos

conectados

Database Descriptor (DBD), envan una lista de los ID de los routers, las LSA y el nmero de secuencia. Esta informacin se utiliza para testear la red. Link State Request (LSR), siguen a los paquetes DBD preguntando por cualquier paquete LSA que se halla perdido. Link State Update (LSU), son las respuestas a las LSR con los datos que se han pedido. Link State Acknowledgements (LSAck), confirm la recepcin del paquete.

Los DBD son la parte primaria de las LSA que tiene el router, los LSR solicitan las LSA completas y los LSU son las respuestas conteniendo las LSA completas que se haban solicitado. Todos los paquetes OSPF tienen un formato comn que se describe en la siguiente tabla: Campo Versin
Type Packet Length Router ID Area ID Checksum

Descripcin
Puede ser versin 2 o 3, segn sea IPv4 o IPv6. Hay 5 tipos de paquetes numerados del 1 al 5. Longitud medida en bytes. Identificador del router de 32 bits. Identificador del rea de 32 bits. Control estndar de 16 bits. OSPFv2 soporta tres tipos de autenticacin: No autenticacin Texto plano Encriptado MD5

Authentication Type

Authentication Data Data

Son 64 bits de datos que pueden estar vacos, contener texto plano o encriptacin MD5. Son los datos que se estn enviando.

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

77

reas en OSPF
Un rea en OSPF es una agrupacin de routers que estn ejecutando el mismo proceso y que tienen una base de datos idntica. Tambin se puede decir que un rea es una subdivisin del dominio de enrutamiento de OSPF. Cada rea ejecuta su propio SPF y las sumarizaciones de redes son pasadas entre las respectivas reas. Si consideramos los problemas que pueden existir con el crecimiento de una red en OSPF con una sola rea, hay varias cuestiones que se deben tener en cuenta: 1. El algoritmo SPF es ejecutado con mayor frecuencia. Cuanto mayor sean las dimensiones de la red mayor posibilidad de fallos en enlaces o cambios topolgicos debiendo recalcular toda la tabla de topologas con el algoritmo SPF. El tiempo de convergencia es mayor cuanto mayor sea el rea. 2. Cuanto mayor sea el rea mayor ser la tabla de enrutamiento. A pesar de que la tabla de enrutamiento no se enva por completo como en los protocolos vector distancia, cuanto ms grande ms tiempo se tardar en hacer una bsqueda en ella, con mayor gasto de recursos. 3. En una red de grandes dimensiones la tabla de topologa puede ser inmanejable, intercambindose entre los routers cada 30 minutos. Finalmente, la base de datos se incrementa en tamao y los clculos aumentan en frecuencia; crece de manera considerable el uso de CPU y memoria afectando directamente a la latencia de la red. Todo esto se traduce en congestiones de red, paquetes perdidos, malos tiempos de convergencia, etc. En OSPF las reas tienen dos niveles de jerarquas, el rea 0 o de backbone y el resto de las reas. Con este diseo jerrquico se pueden implementar sumarizaciones y minimizar la cantidad de entradas en las'tablas. Los routers del rea 0 son llamados routers de backbone, los routers que limitan entre el rea 0 y las dems reas se llaman ABR (Area Border Routers) y los routers que redistribuyen informacin desde algn otro protocolo de enrutamiento se llaman ASBR (Autonomous System Boundary Routers).

www.FreeLibros.com

78

REDES CISCO. CCNP a Fondo

RA-M A

CONFIGURACIN BSICA DE OSPF


Un router que pertenece slo a un rea es denominado router interno, los parmetros para su configuracin son los siguientes: Proceso OSPF, establece en qu nmero de proceso se asocia el router. Interfaces, identifican a las interfaces usadas por OSPF. rea, define un rea para cada interfaz, en este caso todas pertenecen a la misma. Router ID, identificador nico de 32 bits.

Configuracin de OSPF en una sola rea


Para iniciar el proceso de configuracin OSPF se debe identificar el nmero de proceso. Este nmero tiene significado local y pueden existir varios procesos OSPF en un mismo router, aunque hay que tener en cuenta que cuantos ms procesos ms consumo de recursos.
Router(config)# router ospf process-number

Una vez que el proceso OSPF es habilitado se debe identificar las interfaces que participarn en el mismo, debiendo tener especial cuidado con la utilizacin de la mscara comodn o wildcard.
Router(config-router)# network network-number wildcard-mask area area-number

www.FreeLibros.com

RA-M A

CAPTULO 2. OSPF

79

La wildcard permite ser muy especfico, todas las interfaces que entren en el rango de la mscara wildcard participarn del proceso OSPF. El parmetro rea, asocia las interfaces en un rea en particular. El formato del parmetro rea es un campo de 32 bits en decimal simple o notacin decimal de punto. A partir de la identificacin del rea comienzan a intercambiarse los helio, se envan las LSA y el conjunto de los routers comienzan a participar en la red. Cuando el router tiene interfaces en diferentes reas se llama ABR. Existen varias formas de utilizar el comando network aprovechando la flexibilidad de las wildcard: 1. Configurando de manera global todas las interfaces. 2. Configurando las redes a las que pertenecen las interfaces. 3. Configurando las interfaces una a una. Estas opciones pueden ser aplicables con mayor eficacia segn sea el caso. La primera puede ser de rpida configuracin pero con el consiguiente riesgo de que alguna interfaz no deseada se filtre en el proceso OSPF. El tercer caso es ms trabajoso para el administrador pero ms selectivo y seguro. Observe el siguiente ejemplo:

FastEth ern et O/O 19 2 .1 6 8 .1 .1 /2 4

S erial 1/ 172.16.0

v Serial 1/1 J1 7 2 .16.1.3/30

Z
F a stE th e rn e t 0/1 1 9 2 .1 6 8 .2 .1 / 2 4 F a stEth e rn e t 0/2 1 9 2 .1 6 8 .2 .1 / 2 4

www.FreeLibros.com

80

REDES CISCO. CCNP a Fondo

RA-M A

Configurando de manera global todas las interfaces:


Router(router-config)# network 0.0.0.0 255.255.255.255 area 0

Configurando las redes a las que pertenecen las interfaces:


Router(router-config)# network 172.16.0.0 0.0.255.255 area 0 Router(router-config)# network 192.168.100.0 0.0.0.255 area 0

Configurando las interfaces una a una:


Router(router-config)# Router(router-config)# Router(router-config)# Router(router-config)# Router(router-config)# network 192.168.1.1 0.0.0.0 area 0 network 192.168.2.1 0.0.0.0 area 0 network 192.168.3.1 0.0.0.0 area 0 network 172.16.0.1 0.0.0.0 area 0 network 172.16.1.3 0.0.0.0 area 0

Para mejorar el funcionamiento del router interno, el administrador puede definir cul es el mejor router para ser el DR configurando manualmente el ID del router que participa en el dominio OSPF. De esta forma se tiene un mejor control de los eventos que ocurren en la red. Si este comando no ha sido configurado, el router elegir la IP de loopback ms alta que est configurada y si sta tampoco est configurada, entonces ser la IP ms alta de alguna interfaz fsica activa.
Router(config-router)# router-id ip-address

Cisco no recomienda la utilizacin del comando router id, debido a que BGP tambin utiliza este comando y esto puede generar ciertos problemas entre las operaciones entre ambos protocolos. Para evitar esto se recomienda configurar una interfaz de loopback. Con una mscara de subred /32 para minimizar la cantidad de direcciones utilizadas.
Router(config)# interface loopback nterface-number Router(config-if)# ip address p-address subnet-mask

Una vez que el router ID ha sido elegido se mantiene estable aunque las interfaces presenten altibajos; las interfaces de loopback al ser virtuales no son propensas a caerse, salvo que el administrador les haga un shutdown y las deje administrativamente inactivas. Dependiendo del diseo de la red la interfaz de loopback se puede aadir al comando network para poder hacer ping al router ID y de esta manera hacer ms fcil la administracin de la red.

www.FreeLibros.com

RA-M A

CAPTULO 2. OSPF

81

Cambio del clculo del coste


Como se explic en prrafos anteriores, OSPF utiliza el coste como clculo de la mtrica. Este valor se obtiene en base a la formula: 108bps VelocidadEnlace Dependiendo del diseo de red es conveniente efectuar cambios en el clculo del coste para tener un mayor control sobre cmo OSPF clcula la mtrica hacia los destinos. Cuanto menor sea el valor del coste mejor ser el clculo de la mtrica. El valor del coste es de 16 bits, el administrador puede configurarlo en un rango de 0 a 6553 segn la siguiente sintaxis:
Router(config-if )# ip ospf cost cost

El valor por defecto del coste se muestra en la siguiente tabla:


Coste 56-kbps serial link TI (1.544-Mbps serial link) Ethernet Fast Ethernet Gigabit Ethernet 1785 64 10 1 1

Observe que el valor por defecto del coste es idntico para Fast Ethernet que para Giga Ethernet, en este caso es conveniente manipular los valores del coste para que sea el enlace de 1000 el elegido como ruta al destin. Otra forma de que el router calcule el coste es modificando el numerador con que OSPF calcula de manera automtica la mtrica. El valor por defecto es 100, pero oscila en rango de 1 a 4294967.
Router(config-router)# ospf auto-cost reference-bandwidth referencebandwidth

www.FreeLibros.com

82

REDES CISCO. CCNP a Fondo

RA-MA

Es aconsejable aplicar este comando a todas las interfaces que participan en el proceso OSPF. Tambin es importante saber que el comando ip ospf cost sobrescribe cualquier clculo que el router haya hecho de manera automtica.

Ejemplo de configuracin de OSPF en una sola rea


La siguiente sintaxis muestra la configuracin de un router cuyo administrador ha determinado una prioridad 10 para que sea elegido como DR en el segmento del enlace de la Fast Ethernet 0.
RouterA(config)# router ospf 220 RouterA(config-router)# network 192.16.0.0 0.0.255.255 area 0 RouterA(config-router)# interface FastEthernet 0 RouterA(config-if)# ip address 192.168.16.129 255.255.255.240 RouterA(config-if)# ip ospf priority 10 RouterA(config-if)# interface FastEthernet 1 RouterA(config-if)# ip address 192.16.0.193 255.255.255.240 RouterA(config-if)# ip ospf cost 10

VERIFICACIN OSPF EN UNA SOLA REA


A continuacin se describen los comandos ms importantes para la verificacin y control de OSPF en un rea simple:
Router# show ip ospf [process-ld]

Este comando muestra la configuracin de OSPF en un router en particular, es especialmente til para saber el nmero de veces que se ha ejecutado el algoritmo SPF, que es un indicativo de la estabilidad de la red.
Router# show ip ospf 220 Routing Process "ospf 220" with ID 192.168.0.10 Supports only single TOS(TOSO) routes It is an internal router SPF schedule delay 5 secs, Hold time between two SPFs 10 secs Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs Number of external LSA 0. Checksum Sum 0x0 Number of DCbitless external LSA 0 Number of DoNotAge external LSA 0 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Area 3 Number of interfaces in this area is 3 Area has no authentication SPF algorithm executed 10 times Area ranges are Link State Update Interval is 00:30:00 and due in 00:18:54 Link State Age Interval is 00:20:00 and due in 00:08:53 Number of DCbitless LSA 2

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

83

Number of indication LSA 0 Number of DoNotAge LSA 0

Campo
Routing Process "ospf 220" with ID 192.168.0.10 It is an internal router

Descripcin
Muestra el ID del proceso local de OSPF y el router ID de OSPF. Tipo de router (internal, ABR, ASBR). Tiempo que espera SPF para ejecutarse despus de recibir un LSA. Previene ejecutar SPF de manera frecuente. Tiempo mnimo entre clculos de SPF. Se usa en circuitos de OSPF on demand. Se usa en circuitos de OSPF on demand, por ejemplo ISDN. Area a la que pertenece el router, como este router es internal slo pertenece a una. Cuntas interfaces hay en cada rea. Autenticacin si la hay. Cuntas veces se ha ejecutado el algoritmo SPF. Si hay sumarizaciones. El tiempo por defecto de actualizacin de las LSA es 30 minutos y es usado para garantizar la integridad de la base de datos topolgica. Intervalo de borrado max-aged y cundo sern eliminadas las rutas desactualizadas.

SPF schedule delay

Hold time between two SPFs Number of DCbitless external LSA Number of DoNotAge external LSA Area 3 Number of interfaces in this area is 3 Area has no authentication SPF algorithm executed 10 times Area ranges are Link State Update Interval is 00:30:00 and due in 00:18:54 Link State Age Interval is 00:20:00 and due in 00:08:53

Router# show ip ospf neighbor [type number] [neighbor-id] [detail]

Este comando muestra los vecinos OSPF. Puede utilizarse listando todos los vecinos, por interfaces o con detalles ms precisos de los vecinos:
Router# show ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface

www.FreeLibros.com

84

REDES CISCO. CCNP a Fondo

RA-MA

140.100.17.132 FastEthernet1/0 140.100.17.131 FastEthernet1/0 140.100.23.1 1 140.100.32.12 1 140.100.32.11 1 140.100.17.194 1

1 1

FULL/DROTHER FULL/DROTHER

00:00:36 00:00:37

140.100.17.132 140.100.17.131

FULL/BDR 00:00:38 140.100.17.130 FastEthernetl/0 FULL/DROTHER 00:00:35 140.100.32.12 Fddi2/0 FULL/DR 00:00:32 140.100.32.11 Fddi2/0 FULL/DR 00:00:31 140.100.17.194 FastEthernet3/0

Router# show ip ospf neighbor serialO/O Neighbor ID Pri State Dead Time Address Interface 140.100.32.12 1 F U L L /DROTHER 00:00:36 140.100.32.12 serial2/0 140.100.32.11 1 FULL/DR 00:00:32 140.100.32.11 serial2/0

Router# show ip ospf neighbor detail Neighbor 140.100.17.132, interface address 172.100.17.132 In the area 3 via interface FastEthernetl/0 Neighbor priority is 1, State is FULL, 6 State changes DR is 172.100.17.129 BDR is 172.100.17.130 Options 2 Dead timer due in 00:00:35 Neighbor 140.100.17.131, interface address 140.100.17.131 In the area 3 via interface FastEthernetl/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 140.100.17.129 BDR is 140.100.17.130 Options 2 Dead timer due in 00:00:34 Neighbor 140.100.23.1, interface address 140.100.17.130 In the area 3 via interface FastEthernetl/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 140.100.17.129 BDR is 140.100.17.130 Options 2 Dead timer due in 00:00:36 Neighbor 140.100.32.12, interface address 140.100.32.12 In the area 3 via interface Fddi2/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 140.100.32.11 BDR is 140.100.32.10 Options 2 Dead timer due in 00:00:32 Neighbor 140.100.32.11, interface address 140.100.32.11 In the area 3 via interface Fddi2/0 Neighbor priority is 1, State is FULL, 6 state changes DR is 140.100.32.11 BDR is 140.100.32.10 Options 2 Dead timer due in 00:00:38 Neighbor 140.100.17.194, interface address 140.100.17.194 In the area 3 via interface FastEthernet3/0 Neighbor priority is 1, State is FULL, 9 state changes DR is 140.100.17.194 BDR is 140.100.17.1

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

85

CAMPO
Neighbor Neighbor priority

DESCRIPCIN
Router ID. Prioridad enviada en el mensaje helio. Muestra el estado en que se encuentra el vecino: Down Attempt Init 2-Way Exstart Exchange Loading Full Perodo de tiempo que el router esperar sin escuchar helio para declarar al vecino como muerto. Direccin IP del vecino. Hay que tener en cuenta que no tiene por qu ser la misma que la del Router ID. Interfaz por la cual se ha conocido al vecino. Identifica una stub area.

State

Dead Time

Address

Interface Options

Router# show ip protocols

Con el show ip protocols se puede ver la configuracin de los protocolos de enrutamiento que estn habilitados en el router y cmo interactan entreellos. Muestra cundo se producir la siguiente actualizacin.
Router# show ip protocols Routing Protocol is "ospf 220" Sending updates every 0 seconds Invalid after 0 seconds, hold down 0, flushed after 0 Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Redistributing: ospf 220 Routing for Networks: 172.202.0.0 Routing Information Sources: Gateway Distance Last Update 172.202.17.131 110 00:50:23 172.202.17.132 110 00:50:23 172.202.17.194 110 00:07:39

www.FreeLibros.com

86

REDES CISCO. CCNP a Fondo

RA-M A

172.202.23.1 110 00:50:23 Distance: (default is 110)

Campo
Routing Protocol is "ospf 220" Sending updates every 0 seconds

Descripcin
Protocolo de enrutamiento configurado. Frecuencia de las actualizaciones. Para protocolos vector-distancia indica el tiempo que una ruta es considerada vlida. Hold down es un tiempo usado en protocolos vector-distancia. Tiempo en el que un protocolo vectordistancia eliminar una ruta de la tabla de enrutamiento. Indica si hay algn filtro de salida. Indica si hay algn filtro de entrada. Muestra informacin redistribuciones. Configuration del comando network. Direcciones de origen de los router que envan actualizaciones a este router. Direccin del router que proporciona actualizaciones. Distancia Administrativa. Tiempo desde que el router recibi la ltima actualizacin. La Distancia Administrativa se puede cambiar para todo el protocolo o por origen. nos de

Invalid after 0 seconds

hold down 0

flushed after 0

Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Redistributing: ospf 220 Routing for Networks: 172.202.0.0 Routing Information Sources

Gateway Distance Last Update

Distance:

(default is 110)

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

87

Router# show ip route

Este comando muestra la tabla de enrutamiento del router, brinda informacin sobre cmo se alcanza una ruta y a travs de qu interfaz.
Router# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF nter area Ni - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 El - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, Ll - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR p - periodic downloaded static route Gateway of last resort is 10.122.22.129 to network 0.0.0.0 C 10.0.0.0/8 is directly connected, FastEthernetO/1 10.122.0.0/25 is subnetted, 1 subnets C 10.122.22.128 is directly connected, FastEthernet0/0 0 IA 6.0.0.0/8 [110/65] via 5.0.0.2, 00:00:18, Serial0/0 S* 0.0.0.0/0 [1/0] via 10.122.22.129
Router#show ip ospf database

Este comando muestra los contenidos de la base de datos topolgica.


Router# show ip ospf database

OSPF Router with ID (172.100.32.10) Router Link States (Area 2)


Link ID ADV Router Age Seq#

(Process ID 220)

Checksum Link count

172.100.17.131 172.100.17.131 471 0x80000008 0xA469 1 172.100.17.132 172.100.17.132 215 0x80000007 0xA467 1 172.100.17.194 172.100.17.194 1489 0x8000000B 0xFFl6 1 172.100.23.1 172.100.23.1 505 0x80000006 0x56B3 1 172.100.32.10 172.100.32.10 512 0x8000000C 0x46BA 3 172.100.32.11 172.100.32.11 150 0x80000006 0x6A73 1 172.100.32.12 172.100.32.12 1135 0x800.00002 0x8E30 1 Net Link States (Area 2)
Link ID ADV Router Age Seq# Checksum

172.100.17.130 172.100.23.1 220 0x80000007 0x3B42 . 172.100.17.194 172.100.17.194 1490 0x80000002 0xl5C9 172.100.32.11 172.100.32.11 150 0x80000004 0x379E
Router#show ip ospf interface [ t y p e number]

Brinda informacin sobre cmo OSPF est configurado en cada una de las interfaces.

www.FreeLibros.com

88

REDES CISCO. CCNP a Fondo

RA-M A

Router#show ip ospf interface fastethernetO/O FastEthernetO/O is up, line protocol is up Internet Address 172.100.17.129/28, Area 2 Process ID 100, Router ID 172.100.32.10, Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DR, Priority 100 Designated Router (ID) 172.100.32.10, Interface address 172.100.17.129 Backup Designated router (ID) 172.100.23.1, Interface address 172.100.17.130 Timer intervals configured, Helio 10, Dead 40, Wait 40, Retransmit 5 Helio due in 00:00:06 Neighbor Count is 3, Adjacent neighbor count is 2 Adjacent with neighbor 172.100.17.132 Adjacent with neighbor 172.100.17.131 Adjacent with neighbor 172.100.23.1 (Backup Designated Router) Suppress helio for 0 neighbor(s)

Comandos debug
Los comandos debug son apropiados para verificar y solucionar problemas en la red pero hay que utilizarlos con la debida precaucin puesto que podran consumir todos los recursos de CPU del router. Si no se sta conectado por consola ser necesario instalar una estacin terminal monitorizando para que reciba toda la informacin que se genere en el router. Tan pronto como se tenga la informacin necesaria es recomendable deshabilitar el proceso de debug, basta con anteponer un no delante del comando.
Router#debug ip ospf events

Este comando muestra informacin de los eventos relativos a OSPF como pueden ser las adyacencias, flujo de informacin, seleccin de DR y BDR y clculos de SPF.
Router#debug ip packet

Este comando brinda informacin de los paquetes recibidos, generados y enviados. No funcionara para ver trfico que pasa a travs del router si estn habilitados CEF o Fast-switched de las interfaces correspondientes.

TOPOLOGAS OSPF
OSPF tiene la capacidad de enrutar trfico sobre cualquier medio de capa dos (nivel de enlace). OSPF asume que dentro de una red todos los routers podran comunicarse directamente usando multicst y que ningn router ocupa una

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

89

posicin nica o privilegiada dentro de la topologa, aunque muchas veces fsicamente esto no es cierto. Estas posturas que adopta OSPF son correctas para ethemet ya que si existen varios routers conectados a un switch se pueden comunicar entre todos ellos usando multicst y cualquiera de ellos puede tomar el rol de DR. Pero estas afirmaciones no son correctas en entornos NBMA como por ejemplo Frame-Relay, donde multicst y broadcast no son soportados en las interfaces que usan el tipo de red de OSPF NBMA. Los tipos de redes OSPF configurables en routers Cisco son las siguientes: Broadcast multi-access Point-to-point Point-to-multipoint. Nonbroadcast y broadcast (opcin por defecto) Nonbradcast multiaccess (NBMA)

Multicst y broadcast son simulados replicando un envo a cada vecino para suplir la falta de los mismos cuando usamos en las interfaces del router el tipo de red de OSPF NBMA. Las comunicaciones todos a todos no han de ser nunca asumidas en un entorno NBMA. El DR necesitar ser capaz de comunicarse con el resto de los dispositivos de manera directa, por lo que habr que pensar quin asumir ese rol a la hora de disear la red. Los DR sirven para minimizar el trfico en la red asumiendo que siempre estn en contacto con todos los dems dispositivos. En Redes multiacceso como NBMA y broadcast, la eleccin automtica de un DR ser correcta cuando dichas redes sean de malla completa; mientras que en los casos de mallas parciales las configuraciones debern asumirse manualmente. Esto implica modificar las prioridades para que el DR sea el que est en contacto con todos los dems routers. Por ejemplo en una topologa Frame-Relay hub-and-spoke, el DR debera ser el hub porque tiene PYC hacia todos los dems routers que deben tener la prioridad en cero. En redes punto a punto y punto multipunto no se contemplan eleccin de DR y BDR, en ese sentido estas ltimas se comportan como si fueran punto a punto. Cisco agrega a estos tipos de redes la opcin de point-to-multipoint nonbroadcast. -

www.FreeLibros.com

90

REDES CISCO. CCNP a Fondo

RA-MA

Los tipos de redes en OSPF pueden describirse como un estndar RFC o como propietarias de Cisco: RFC-compliant (RFC 2328): compatible con cualquier tipo de fabricante y hace referencia a dos tipos de redes: NBMA Point-to-multipoint

Cisco-specific: especficas de Cisco para redes broadcast, point-tomultipoint (broadcast), point-to-multipoint nonbroadcast, point-topoint y NBMA de las cuales tres son propietarias: Point-to-multipoint nonbroadcast Broadcast Point-to-point

Reconocimientos de vecinos
En redes NBMA los routers no pueden descubrir a sus vecinos dinmicamente por lo que se deben configurar manualmente. Respecto a la eleccin del DR en el tipo de red broadcast, el comportamiento es similar al de las NBMA slo que en ese tipo de red los vecinos se descubren dinmicamente sin necesidad de configuraciones manuales. Para el caso RFC point-to-multipoint los vecinos se descubren dinmicamente, sin embargo en las point-to-multipoint nonbroadcast deben ser configurados manualmente. Esta caracterstica avanzada de configuracin tambin es utilizada para asignar diferentes tipos de costes a los vecinos OSPF debido a que en redes point-to-multipoint OSPF, por defecto, asigna el mismo coste a cada uno, aunque en realidad el ancho de banda sea diferente. Para redes point-to-point el vecino es obviamente el otro router del extremo.

Temporizadores
OSPF enva a intervalos regulares paquetes helios para descubrir nuevos vecinos y para mantener la lista de los que ya conoce. Los vecinos se declaran muertos luego del dead que es por defecto cuatro veces el intervalo de un helio. Las redes broadcast y point-to-point utilizan un intervalo de 10 segundos y un dead de 40 segundos. Los otros tipos de redes utilizan un intervalo helio de 30 y un dead de 120 segundos.

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

91

La siguiente tabla muestra un resumen de los diferentes tipos de redes OSPF:

Sil
DR/BDR Identificacin de vecinos Intervalos de tiempos helio y dead RFC 2328, Cisco Red soportada

Non broadcast
S S

Point-toMultipoint (Broadcast)
No No

Point-toMultipoint Nonbroadcast
No Si

Broadcast

Pointto-Point
No No

S No

30/120

30/120

30/120

10/40

10/40

RFC

RFC

Cisco

Cisco

Cisco

Malla completa

Todas

Todas

Malla completa

Point-topoint

Subinterfaces
En un router Cisco es posible configurar una interfaz fsica con dos o ms subinterfaces, las que pueden ser del tipo point-to-point o multipoint. En una red OSPF una interfaz serie fsica es por defecto del tipo nonbroadcast multiaccess. Las interfaces Frame-Relay multipoint soportan mltiples PVC, stas se pueden configurar utilizando cualquier tipo de red OSPF excepto las punto a punto. Para las subinterfaces multipoint en OSPF el tipo de red por defecto es NBMA. Para el caso de las subinterfaces point-to-point por defecto son tratadas como una red OSPF point-to-point.

Eleccin de una topologa OSPF


Para redes Frame-Relay de malla completa se puede utilizar cualquiera de las opciones de red que ofrece OSPF, sin embargo normalmente se opta por las NBMA. En el caso de elegir una red de tipo broadcast se tendr un descubrimiento

www.FreeLibros.com

92

REDES CISCO. CCNP a Fondo

RA-MA

dinmico de los vecinos. Para cualquiera de los dos casos el funcionamiento es ptimo sin necesidad de recurrir a otros diseos. Para el caso de redes Frame-Relay de malla parcial el DR debe estar en contacto con todos los dems routers de la red. Para que esto sea funcional se pueden utilizar cualquiera de las siguientes opciones: Una red NBMA y elegir manualmente el DR. Una red point-to-multipoint. Dividir la red en varias conexiones punto a punto. Separar una zona de la red que sea malla completa y agregar circuitos punto a punto.

En el siguiente ejemplo se describen los cuatro casos:


R o u te r B

1. Elegir una red NBMA configurando manualmente el DR. Esto ser posible slo si uno de los routers tiene conexin con todos los dems. Para este caso la prioridad en todos los routers debe estar ajustada para que el router A sea el DR. Es conveniente que los routers B, C y D tengan una prioridad de 0 para que no participen en la eleccin del DR. La desventaja de este diseo es que existe un nico punto en comn entre los routers que, en caso de fallos, dejara a los dems routers incomunicados.

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

93

2. Elegir una red point-to-multipoint. Los vecinos reconocern dinmicamente al otro lo que hace que la configuracin de la red en general sea fcil. Se formarn 4 adyacencias en los PVC como si fuera una sumatoria de redes punto a punto. 3. Configurar cada PVC como un circuito separado punto a punto. Esta opcin es la mas fcil de documentar y solucionar conflictos, pero requiere mas configuraciones. 4. Crear subinterfaces en el router A, una tendra el circuito A-C-D en malla completa y la otra una conexin punto a punto hacia el router B.

CONFIGURACIN DE OSPF EN UN ENTORNO NONBROADCAST


Para la configuracin de las interfaces en un entorno nonbroadcast se utiliza el siguiente comando:
Router(config-if )# ip ospf network {broadcast | non-broadcast | point-to-point | {point-to-multipoint [non-broadcast]}}

Hay que tener en cuenta que las interfaces por defecto son del tipo de red OSPF NBMA para entornos nonbroadcast. Si la configuracin de las subinterfaces es del tipo point-to-point automticamente OSPF le asignar un tipo de red pointto-point. Para configurar un router que soporte una red del tipo OSPF nonbroadcast con NBMA hay que identificar los vecinos y elegir el tipo de red para la nube. Como por defecto el tipo de red es NBMA slo ser necesario definir los vecinos. Las condiciones principales son que el DR y el BDR tengan conectividad con todos los dems routers y determinar las prioridades en cada uno de los routers para la correcta eleccin del DR y BDR. La sintaxis para el comando neighbor es:
Router(config-if )# neighbor ip-address [priority number ] [poll-

interval sec ][cost number]

La prioridad puede ajustarse a valores diferentes a 1 que es el que trae por defecto. El valor de prioridad ms alto ser el que se tenga en cuenta. En algunos casos es necesario seguir enviando helio a vecinos que estn inactivos, la frecuencia de envo en estos casos es por defecto 120 segundos y puede

www.FreeLibros.com

94

REDES CISCO. CCNP a Fondo

RA-M A

configurarse con el poll-interval. En el comando neighbor tambin puede configurarse el coste del enlace hacia cada uno de los vecinos.
Router(config)# interface SerialO/1 Router(config-if)# ip address 122.118.12.100 255.255.255.0 Router(config-if)# encapsulation frame-relay Router(config)# router ospf 220 Router(config-router)# network 122.118.12.100 0.0.0.255 area 0 Router(config-router)# neighbor 122.118.12.2 Router(config-router)# neighbor 122.118.12.3 Router(config-router)# neighbor 122.118.12.5

Configuracin de red del tipo point-to-multipoint en OSPF


Con este tipo de red las adyacencias son creadas automticamente en todos los PVC lo que genera ms trabajo para el router pero ofrece mayor flexibilidad a la hora de configurarlo. En este caso no hay eleccin de DR ni BDR y los vecinos son descubiertos de manera automtica. El nico cambio que debe realizarse en la configuracin es pasar del modo NBMA a este tipo de red. El modo de red OSPF point-to-multipoint nonbroadcast aparece a partir de la versin de IOS 11.3a cuya principal novedad es que se permite cambiar el coste por vecino.
Router(config-if)# ip ospf network {pointto-multipoint [non broadcast] } Router(config)# interface SerialO/O Router(config-if)# ip address 122.118.12.1 255.255.255.0 Router(config-if)# encapsulation frame-relay Router(config-if)# ip ospf network point-to-multipoint Router(config)# router ospf 220 Router(config-router)# network 122.118.12.0 0.0.0.255 area 0

Configuracin de red del tipo broadcast en OSPF


En este tipo de red los vecinos son descubiertos automticamente y la frecuencia de envos de los paquetes helio es mayor que en las redes NBMA. Este tipo de red funciona con mejor desempeo que las de tipo completamente mallada.
Router(config)# interface SerialO/1 Router(config-if)# ip address 122.118.12.1 255.255.255.0 Router(config-if)# encapsulation frame-relay Router(config-if)# ip ospf network broadcast Router(config)# router ospf 220 Router(config-router)# network 122.118.12.0 0.0.0.255 area 0

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

95

Configuracin de red del tipo point-to-point con subinterfaces Frame-Relay en OSPF


En este entorno cada subinterface se comporta como si fuera una interfaz fsica punto a punto, la comunicacin entre los routers es directa y las adyacencias se crean automticamente. Simplemente se crean las subinterfaces con un direccionamiento IP que ser luego aadido al comando network en OSPF.
Router(config)# interface SerialO/O Router(config-if)# no ip address Router(config-if)# encapsulation frame-relay Router(config)# interface SerialO/O.l point-to-point Router(config-subif)# ip address 122.118.12.1 255.255.255.0 Router(config-subif)# frame-relay interface-dlci 51 Router(config)# interface Serial0/0.2 point-to-point Router(config-subif)# ip address 122.118.12.1 255.255.255.0 Router(config-subif)# frame-relay interface-dlci 52 Router(config)# router ospf 220 Router(config-router)# network 122.118.12.0 0.255.255.255 area 0

MLTIPLES REAS OSPF


Un rea de OSPF en una agrupacin lgica de routers que estn ejecutando OSPF y que comparten la misma informacin de la base de datos topolgica. Un rea es una subdivisin de un dominio de OSPF. El uso de mltiples reas elimina la necesidad de comunicar todos los detalles de la red entre cada uno de los dispositivos de enrutamiento, manteniendo control y conectividad entre todos ellos. Esta caracterstica diferencia an ms a OSPF de los protocolos vector-distancia. La divisin en reas permite a los routers dentro de un rea mantener sus bases de datos topolgicas limitando as el tamao de dichas bases de datos. Por otra parte las sumarizaciones y enlaces externos aseguran las comunicaciones entre reas y redes fuera del sistema autnomo. Los routers dentro de un rea mantienen una base de datos topolgica consistente y cualquier cambio se debe comunicar a todos los dems dispositivos dentro de ese rea. Cuando la red crece tambin crecen los problemas ya que la base de datos es demasiado grande generando gastos de recursos de memoria y CPU. Los reclculos de SPF aumentan incrementando la congestin entre los enlaces, prdidas de paquetes y sistemas saturados. Finalmente, dividir la red en reas ms pequeas contribuye al mejor rendimiento de la misma. La cantidad de routers en cada una depender del diseo y de la cantidad de enlaces que contenga la misma.

www.FreeLibros.com

96

REDES CISCO. CCNP a Fondo

RA-M A

Tipos de router en mltiples reas


La divisin en reas hace que el desepeo de la red mejore notablemente, parte de esta mejora incluye la tecnologa empleada y el diseo de un modelo jerrquico eficiente. Los routers dentro de este modelo jerrquico tienen diferentes responsabilidades, a saber: Internal router, es el responsable de mantener una base de datos actualizada y precisa de cada una de las LSA dentro de cada una de las reas. Al mismo tiempo enva datos hacia otras redes empleando la ruta ms corta. Todas las interfaces de este router estn dentro de la misma rea. Backbone router, las normas de diseo de OSPF requieren que todas las reas estn conectadas a un rea de backbone o rea 0. Un router dentro de esta rea lleva este nombre. Area Border Router (ABR), este router se encarga de la conexin entre dos o ms reas, mantiene una base topolgica de cada una de las reas a que pertenece y enva actualizaciones LSA a cada una de dichas reas. Autonomous System Boundary Router (ASBR), este router conecta hacia otros dominios de enrutamiento, normalmente ubicados dentro del rea de backbone.

Anuncios de estado de enlace


Las LSA (Link-State Advertisements) son utilizadas para listar todas las rutas posibles. Las LSA ms comunes son las siguientes:

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

97

Router link LSA (tipo 1), cada uno de los routers genera LSA listando cada vecino y el coste hacia cada uno. Las LSA de tipo 1 y de tipo 2 se envan dentro de toda el rea y son empleadas por SPF para elegir rutas. Network link LSA (tipo 2), sta es enviada por el DR y contiene una lista de todos los routers con el que ste forma adyacencias. Al igual que las de tipo 1 se envan dentro de toda el rea y son empleadas por SPF para elegir rutas. Network summary link LSA (tipo 3), son generadas por los ABR para ser enviadas entre reas. Estas LSA listan todos los prefijos en un rea determinada, incluida tambin, si la hubiera, la sumarizacin. AS external ASBR summary link LSA (tipo 4), los ASBR generan este tipo de LSA para advertir de su presencia. Informan a todos los dems routers cmo alcanzar al ASBR. Las LSA de tipo 3 y tipo 4 son denominadas inter-rea porque pasan informacin entre reas. External link LSA (tipo 5), son originadas por ASBR e inundan todo el AS con informacin de rutas externas OSPF o rutas por defecto. NSSA external LSA (tipo 7), son creadas por un ASBR dentro de un NSSA (Not-So-Stubby Area) puesto que no permiten el uso de LSA de tipo 5. En una NSSA habr LSA del tipo 7 informando sobre las rutas externas, el ABR es el encargado de convertirlas al tipo 5.

TIPOS DE REAS OSPF


Adems del rea 0 o rea de backbone, en OSPF se pueden crear otros tipos de reas dependiendo de su utilizacin en la red: Ordinary o standard area, en el rea estndar cada router tiene conocimiento de todos los prefijos que hay en ella y todos poseen la misma base de datos topolgica. Stub area, la particularidad de este rea es no aceptar LSA de tipo 5. En lugar de inyectar LSA de tipo 5 el ABR crea una ruta por defecto que es enviada a los routers internos para que la elijan como camino viable. Las reas stub son tiles para proteger a los routers con poca capacidad de memoria y CPU de ser sobrecargados con muchas rutas externas. Totally stubby area, este rea no acepta LSA de otras reas del tipo 3 y tipo 4 o externas del tipo 5, todas ellas son reempleadas por el ABR con una ruta por defecto. Este tipo de rea protege los routers minimizando sus tablas de enrutamiento evitando que no se inserte en

www.FreeLibros.com

98

REDES CISCO. CCNP a Fondo

RA-M A

ella cualquier otra ruta OSPF que no pertenezca a la propia rea. Esta solucin es propietaria de Cisco. Not-So-Stubby A rea (NSSA), stas son reas stubby que pueden tener ASBR. Como se dijo anteriormente, las stubby no soportan LSA de tipo 5 por lo tanto en las NSSA se utilizan LSA del tipo 7 para diferenciar redes externas. Cuando estas LSA de tipo 7 llegan al ABR ste las convierte al tipo 5.
IM ot-S o-Stubby-Area (NSSA)

T o ta lly S tu b b y Area

Funcionamiento de OSPF en mltiples reas


OSPF tiene la capacidad de poder funcionar a travs de diferentes tipos de reas manteniendo la coherencia del sistema autnomo.

www.FreeLibros.com

RA-M A

CAPTULO 2. OSPF

99

Los routers ABR generan propagaciones de LSA ABR que son del tipo 3 o siunmaries y las enva al rea 0 o de backbone. Las adyacencias entre las reas utilizan LSA del tipo 1 y del tipo 2, que pasan al rea de backbone como summaries o tipo 3 y que sern a su vez inyectadas por otros ABR en otras reas excepto el caso de una totally stubby. Las rutas externas o sumarizaciones de otras reas son recibidas por el ABR y enviadas al rea local. El siguiente grfico muestra las propagaciones de las LSA:

Internet

rea 2

Seleccin de rutas entre reas


La tabla de enrutamiento del router depende de cmo est posicionado en la red y del tipo de rea en que se encuentre. El router elegir siempre entre rutas con caminos alternativos hacia un mismo destinto la que tenga menor distancia administrativa. En el caso de rutas alternativas con OSPF el camino ms apropiado ser el de menor coste hacia ese destino. En el supuesto caso de que los caminos alternativos tengan el mismo coste, OSPF de manera automtica balancear la carga equitativamente hasta en cuatro caminos diferentes. La tabla de enrutamiento conlleva un proceso secuencial donde se muestra la informacin de cmo fue creada hasta la mtrica empleada en cada ruta. Esto hace posible la operacin del router en la red.

www.FreeLibros.com

100

REDES CISCO. CCNP a Fondo

RA-M A

Los eventos ms importantes en la creacin de una tabla de enrutamientos son: El router recibe las LSA. El router construye una base de topologa. El router ejecuta el algoritmo de Dijkstra para calcular la ruta mas corta y aadirla en la tabla de enrutamiento.

La tabla de enrutamiento refleja la topologa de red brindando informacin precisa de dnde estn situadas las redes remotas en relacin con el router local. La informacin contenida en la tabla evitar atravesar reas externas innecesariamente, trfico excesivo o bucles de red.

Calculando el coste a un rea diferente


La ruta hacia otra rea se calcula como el menor coste hacia el ABR sumado al menor coste a travs del rea de backbone. Las rutas externas son aquellas utilizadas por otros dominios o protocolos de enrutamiento descubiertas por OSPF que pueden tener su coste calculado de dos maneras diferentes. E l, en este tipo de rutas el coste del camino hacia el ASBR es aadido al coste externo de dicha ruta. E2, stas son las rutas por defecto. El clculo del coste se hace slo desde el ASBR hacia esa ruta.

En el caso de existir dos rutas hacia un mismo destino las rutas E l son preferidas sobre las E2. Las E2 son muy tiles cuando no se quiere que la ruta dentro del rea local influya en el coste; inversamente, cuando el coste depende de la ruta local se usan las E l . En la primera columna que aparece en la tabla de enrutamiento se muestra el origen de la informacin recibida, en el caso se OSPF adems se muestra el tipo de LSA: Entrada en la tabla de enrutamiento
O (OSPF) 0 IA (OSPF inter-rea)

Tipo de LSA 1 Router / 2 Network


3 Summary (entre reas)

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

101

4 Summary (entre reas) 5 External (entre sistemas autnomos)

OIA 0 El OE2

DISEO DE OSPF EN MLTIPLES REAS


La forma en que se van a dividir las reas tendr un impacto directo en el direccionamiento IP dentro de la red. En este diseo se debe tener especial cuidado con los recursos existentes y no sobrecargarlos, considerando el diseo como escalable. OSPF proporciona con la creacin de reas las herramientas necesarias para que la red pueda seguir creciendo sin exceder los recursos disponibles. En OSPF las sumarizaciones toman su lugar en los ABR. Es recomendable aplicarlas desde el comienzo del diseo generando planes de direccionamiento que incorporen dichas sumarizaciones. Tomando en cuenta que todo el trfico atravesar el backbone, esas sumarizaciones sern muy convenientes, enviando menor cantidad de LSA por toda la red. Es importante pensar durante el diseo que la red puede fallar o dividirse, OSPF ofrece los virtual link permitiendo que reas que no estn directamente conectadas al backbone aparezcan directamente conectadas, es decir, que reas fsicamente no conectadas puedn llegar a estarlo lgicamente. Aunque es posible tener un router conectado a ms de tres reas, Cisco recomienda que en el caso de que esta cantidad sea superior se tenga especial cuidado con el diseo, los resultados de tener ms reas dependern del tipo de router, capacidad de memoria y CPU de cada uno. Tambin influir considerablemente el tipo de topologa y la cantidad de LSA que son generados. Si bien no es una norma se recomienda que cada rea no sobrepase el rango de 40 a 80 routers. OSPF es un protocolo de enrutamiento que utiliza muchos recursos de memoria y CPU para el mantenimiento de ias bases de datos a travs del algoritmo SPF y el envo de LSA, como es el caso de los ABR que mantienen una imagen general de toda la topologa de la red de cada una de las reas en que estn conectados. En sntesis, no es tan importante la cantidad de routers por rea sino el nmero de rutas y la estabilidad de la red debido a que el nmero de LSA que

www.FreeLibros.com

102

REDES CISCO. CCNP a Fondo

RA-M A

habr en la red ser proporcional a la cantidad de recursos consumidos por el router. Las siguientes consideraciones son importantes a tener en cuenta a la hora del diseo de red: Tipo de rea (stub, totally stub o backbone), esto determinar la cantidad y frecuencia de las LSA, por lo tanto el uso requerido de CPU. El tipo de rea tambin afectar a la velocidad de convergencia. Recursos de CPU y memoria en los routers. Los routers pequeos o con poca CPU no estn diseados para manejar bases topolgicas demasiado grandes ni para estar ejecutando continuamente el algoritmo SPF. Velocidad del enlace, cuanta mayor velocidad de transmisin tenga el enlace menor posibilidad de congestin en los paquetes que va transmitiendo. Estabilidad, la frecuencia en la propagacin de las LSA cuando los cambios de topologa lo requieran determina la necesidad de estabilidad de ancho de banda, CPU y memoria. NBMA, para el caso de redes de este tipo es determinante saber si se trata del tipo malla completa o parcial. Para el caso de una malla parcial habr que configurar adecuadamente los routers para que OSPF pueda ejecutarse correctamente. Enlaces externos, para el caso de que existan enlaces externos habr que analizar si stos provocan demasiadas LSA, utilizando la sumarizacin o rutas por defecto; para reducirlos se ahorran gastos de memoria y CPU. Sumarizacin, un diseo jerrquico con un direccionamiento . IP apropiado facilitar el uso de sumarizaciones cuando sea necesario. Cuanta mayor cantidad de sumarizaciones menor cantidad de LSA propagadas.

Incrementando el nmero de vecinos se incrementan los recursos que son asignados para administrar dichos enlaces en el router. Para el caso de una topologa donde haya un DR, podra verse sobrecargado si existen muchos routers en ese enlace. Por esto ltimo es recomendable asignar manualmente el rol de DR a un router dentro de ese segmento que tenga la capacidad suficiente y la memoria y CPU adecuadas. Tambin es importante resaltar que no es conveniente que el mismo router sea seleccionado como DR para ms de un enlace.

www.FreeLibros.com

ra -m a

CAPTULO 2. OSPF

103

El ABR mantiene una tabla topolgica total para cada una de las reas en que est conectado. Esto genera gran utilizacin de recursos y reclculos de SPF ms a menudo. El nmero de reas que dicho router puede soportar depende de su capacidad y del tamao de las reas. En un buen diseo jerrquico donde el mantenimiento de las reas es repartido entre varios routers, no slo se comparte la carga sino que adems se crea redundancia.

Sumarizacin
Uno de los principales valores que posee OSPF es la alta capacidad de escalado, esto tiene relacin directa con la sumarizacin. Un sistema jerrquico de mltiples reas permite sumarizar de manera inteligente en router ABR y ASBR. En OSPF existen dos tipos de formas de sumarizacin: Sumarizacin inter-rea: llevada a cabo por el ABR. Crea LSA de tipo 3 y tipo 4. Las de tipo 4 anuncian los routers ID de los ASBR. Sumarizacin Externa: llevada a cabo en el ASBR. Crea LSA tipo 5.

Virtual Links
Como se dijo previamente, OSPF requiere que todas las reas estn conectadas al rea 0 o de backbone a travs de un ABR. Dicho ABR tendr una copia de la base de datos topolgica completa de cada una de las reas a las que pertenezca. Para los casos en que el administrador deba configurar un rea sin conectividad con el rea 0 podr utilizar los virtual links, creando un puente entre dos ABR para conectar de forma lgica el rea remota con el rea 0. De esta manera la informacin del rea entre los dos ABR fluye a travs del rea intermedia o virtual. Desde el punto de vista de OSPF el ABR tiene una conexin directa con estas tres reas. Este escenario puede verse en varios casos: Una fusin o un fallo asla un rea del rea 0. La existencia de dos reas 0 debido a una fusin. Un rea es crtica y se requiere configurar un link extra para mayor redundancia (pasando ste por otra rea para llegar alrea 0).

www.FreeLibros.com

104

REDES CISCO. CCNP a Fondo

RA-M A

Aunque los virtual links son una herramienta que solventa este tipo de situaciones no se debe pensar en ella desde un punto de vista de diseo, deben ser empleadas como soluciones temporales. Hay que asegurarse de los siguientes puntos antes de implementarlos: Ambos routers deben compartir un rea. El rea de trnsito no puede ser stub. Uno de los routers ha de estar conectado al rea 0.

OSPF multi rea en redes NBMA


En el diseo de redes OSPF existen dos maneras de integrar una red del tipo NBMA en una red OSPF multi rea: Definir la NBMA como rea 0. Esto tiene sentido si el resto de las reas son satlites de sta. De esta manera se consigue que todo el trfico de las dems reas fluya a travs de la red NBMA. Esta solucin es adecuada cuando la red NBMA es del tipo malla completa aunque hay que tener en cuenta que se estarn enviando muchas LSA a travs de enlaces WAN.

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

105

Definir una red central (hub). Crear una red como rea 0 con sitios remotos a manera de satlites (spokes). Esto ser lo ms adecuado si las reas son de tipo stub; la carga de trfico enviada sobre la nube NBMA ser mantenida al mnimo posible.

CONFIGURACIN DE OSPF EN MLTIPLES REAS


Para iniciar el proceso de configuracin de OSPF en mltiples reas se deben ejecutar los siguientes pasos: Definir las interfaces en el router. Identificar qu interfaces participarn en el proceso de OSPF. Identificar el rea. Identificar a que reas pertenecern dichas interfaces. Router ID. Este parmetro identifica al router en la topologa de OSPF.

La siguiente sintaxis habilita la configuracin del protocolo OSPF en el router:


Router(config)# router ospf process-number

El nmero de proceso elegido para la configuracin de OSPF tiene carcter local pudiendo variar entre todos los routers del dominio, sin embargo es una prctica recomendable utilizar el mismo nmero ya que facilita la administracin de dicho dominio. Un router puede ejecutar varios procesos OSPF aunque no es lo ms conveniente debido al consumo de recursos de memoria y CPU. El paso siguiente y dentro del protocolo es identificar las interfaces que participarn en el proceso OSPF y las reas a que pertenecen. Al tener mltiples reas las wildcard desempfian un papel importante en el proceso de configuracin de dichas interfaces puesto que pueden agruparse por error interfaces que no deben participar en ese proceso.
Router(config-router)# network network-number wildcard-mask area area-number

Ejemplo de una configuracin bsica de OSPF mlti rea:

www.FreeLibros.com

106

REDES CISCO. CCNP a Fondo

RA-M A

RouterA(config)# router ospf 220 RouterA(config-router)# network 172.16.20.128 0.0.0.7 area 0 RouterA(config-router)# network 172.16.20.8 0.0.0.7 area 1

Comandos opcionales para OSPF en mltiples reas


OSPF tiene la capacidad de funcionar en grandes redes con una configuracin bsica. Sin embargo para la optimizacin y mejor rendimiento es conveniente aplicar algunos de los siguientes comandos: rea range, para ABR. summary-address, para ASBR. rea area-id stub, para definer un rea stub. rea area-id stub no-summary, define un totally stubby area. rea default-cost, determina el valor de las rutas por defecto del rea. rea virtual-link, utilizado para configurar enlaces virtuales.

El primero de esta lista de comandos opcionales se configura en los routers ABR para anunciar las redes fuera de esa rea. Se utiliza para generar sumarizaciones reduciendo considerablemente el tamao de las bases de datos, particularmente til en el rea de backbone. El parmetro area-id es el identificador del rea de las rutas que se pretende sumarizar.
Router(config-router)# area area-id range address mask

Para deshabilitarlo se ante pone un no al comando:


Router(config-router)# no area area-id range address mask

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

107

La siguiente sintaxis muestra un ejemplo de configuracin de este comando:


RouterABR(config)# router RouterABR(config-router)# RouterABR(config-router)# RouterABR(config-router)# RouterABR(config-router)# RouterABR(config-router)# RouterABR(config-router)# ospf 220 network 190.0.20.128 0.0.0.15 area 0 network 190.0.20.144 0.0.0.15 area 0 network 190.0.20.160 0.0.0.15 area 0 network 190.0.20.176 0.0.0.15 area 0 network 190.0.20.8 0.0.0.7 area 1 area 0 range 190.0.20.128 255.255.255.192

Para sumarizar rutas que llegan al router ASBR va redistribucin se utiliza el comando:
R o u t e r (config-router)#summary-address address mask [not-

advertise][tag tag]

En este comando el parmetro de la direccin IP es la direccin sumarizada y su correspondiente mscara. Un rea que slo tiene un ABR o en la que no importa qu ABR es elegido para salir del rea es una buena eleccin configurarla como stub. Al mismo tiempo si los routers del rea tienen poca capacidad de proceso es conveniente designar el rea con stub. Todos los routers dentro de un rea stub o totally stub deben estar configurados como router stub. Cuando un rea es configurada como stub todas las interfaces que pertenezcan a dicho rea intercambiarn helio con un identificador que las hace reconocibles entre los vecinos stub y as establecer la vecindad.
Router(config-router)# area area-id stub

Con el agregado del parmetro no-summary se configura al ABR de que no enve sumarizaciones, es decir, LSA tipo 3 y tipo 5 desde otras reas. Para alcanzar redes o host fuera del rea los router utilizan una ruta por defecto que es inyectada por el ABR. Este comando slo puede ser configurado en el ABR. El resto de los routers dentro del rea sern configurados como stub para que intercambien los identificadores y se formen las adyacencias.
Router(config-router)# area area-id stub no-summary

El ABR reemplaza las rutas externas por un coste por defecto, que es igual al coste hacia el ABR ms 1. Este coste puede ser modificado para establecer una ruta por defecto especfica. Manipular este parmetro es beneficioso cuando existen dos ABR permitiendo una salida concreta.

www.FreeLibros.com

108

REDES CISCO. CCNP a Fondo

RA-MA

Router(config-router)# area area-id default-cost cost

Cuando no es posible conectar un rea directamente al rea 0 se puede crear un virtual link. La configuracin es simple pero puede acarrear algunos problemas. Alguno de estos problemas es la direccin del extremo final del virtual link. Este comando se configura entre los ABR que comparten un rea en comn y al menos uno de ellos tiene contacto con el rea 0. En la configuracin del virtual link se especifica el rea de trnsito y el router ID del ABR de destino. Se establece una conexin a travs del rea de trnsito que, a pesar de poder contener gran cantidad de routers, para OSPF el ABR remoto ser su prximo salto.
Router(config-router)# area area-id virtual-link router-id

Ejemplo de configuracin de OSPF en mltiples reas


Muchas de las configuraciones y comandos detallados en los prrafos anteriores pueden aplicarse al siguiente ejemplo. La figura ilustra una topologa OSPF de mltiples reas y los comandos utilizados para su configuracin. rea 0

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

109

RouterA(config)# router RouterA(config-router)# RouterA(config-router)# RouterA(config-router)# RouterA(config-router)#


i

ospf 220 network 122.100.17.128 0.0.0.15 area 3 network 122.100.17.192 0.0.0.15 area 2 network 122.100.32.0 0.0.0.255 area 0 network 10.10.10.33 0.0.0.0 area 0

RouterA(config-router )# area 0 range 172.16.20.128 255.255.255.192 RouterA(config-router) # area 3 virtual-link 10.10.10.30

i
RouterA(config-router) # area 2 stub RouterA(config-router) # area 3 stub no-summary RouterA(config-router) # area 3 default-cost 15

i
RouterA(config-router)# interface loopback 0 RouterA(config-if)# ip address 10.10.10.33 255.255.255.255

i
RouterA(config-if)# interface FastEthernet0/0 RouterA(config-if)# ip address 122.100.17.129 255.255.255.240 RouterA(config-if)# ip ospf priority 100

i
RouterA(config-if)# interface FastEthernetO/1 RouterA(config-if)# ip address 122.100.17.193 255.255.255.240 RouterA(config-if)# ip ospf cost 10

i
RouterA(config-if)# interface FastEthernetl/0 RouterA(config-if)# ip address 122.100.32.10 255.255.255.240 RouterA(config-if)# no keepalive RouterA(config-if)# exit RouterM(config)# loopback interface 0 RouterM(config-if)# ip address 10.10.10.30 255.255.255.255 RouterM(config)# router ospf 220 RouterM(config-router)# network 172.16.20.32 0.0.0.7 area 5 RouterM(config-router)# network 10.10.10.30 0.0.0.0 area 0 RouterM(config-router)# area 3 virtual-link 10.10.10.33

VERIFICACIN DE OSPF EN MLTIPLES REAS


Los siguientes comandos junto a los ya vistos en OSPF en rea simple ayudarn a la compresin y resolucin de fallos en las redes OSPF.
Router# show ip ospf border-routers

Este comando muestra los ABR y ASBR que el router interno tiene en su tabla de enrutamiento. Es un excelente comando a la hora de resolver conflictos y permite comprender cmo se esta comunicando la red. Con este comando se puede ver el porqu los usuarios no pueden comunicarse fuera de su rea.
Router# show ip ospf border-routers OSPF Process 100 internal Routing Table Destination Next Hop Cost Type Rte Type Area SPF No

www.FreeLibros.com

110

REDES CISCO. CCNP a Fondo

RA-MA

1 6 0 . 8 9 . 9 7 . 5 3 1 4 4 . 1 4 4 . 1 . 5 3 10 ABR INTRA 0 . 0 . 0 . 3 3 1 6 0 . 8 9 . 1 0 3 . 5 1 1 6 0 . 8 9 . 9 6 . 5 1 10 ABR INTRA 0 . 0 . 0 . 3 3 1 6 0 . 8 9 . 1 0 3 . 5 2 1 6 0 . 8 9 . 9 6 . 5 1 20 ASBR INTER 0 . 0 . 0 . 3 3 1 6 0 . 8 9 . 1 0 3 . 5 2 1 4 4 . 1 4 4 . 1 . 5 3 22 ASBR INTER 0 . 0 . 0 . 3 3

Campo
OSPF Process 100 internal Routing Table Destination

Descripcin
Indica el ID del proceso de OSPF que esta ejecutando el router. Router ID (RID) del destino, ya sea un ABR o un ASBR. Prximo salto para alcanzar al ABR o ASBR. Mtrica hacia el destino. Clasifica el router como ABR o ASBR o ambos. Tipo de ruta: intra-rea o inter-rea. El rea ID del rea desde la cual la ruta es aprendida. Nmero dl clculo de SPF que instal la ruta en la tabla de enrutamiento.

Next Hop Cost Type Rte Type Area

SPF No

Router# show ip route

Este comando es uno de los ms utilizados a la hora de comprender y resolver fallos en redes IP. El ejemplo que sigue se describe en la prxima tabla donde se pueden observar los cdigos LSA en la tabla de enrutamiento.
Router# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF nter area Ni - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 El - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, Ll - IS-IS level-1, L2 - IS-IS level-2, * candidate default U - per-user static route, o ODR Gateway of last resort is not set 172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks O E2 172.16.20.128/29 [110/20] via 172.16.20.9, 00:00:29, Seriall O IA 172.16.20.128/26 [110/74] via 172.16.20.9, 00:01:29, Seriall

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

111

172.16.20.8/29 is directly connected, Seriall E2 192.168.0.0/24 [110/20] via 172.16.20.9, 00:01:29, Seriall

Tipo de

Entrada en la tabla de enrutamiento


O

Descripcin
Generadas por el propio router, lista los enlaces que tiene conectados, el estado y el coste. Son propagadas dentro del rea. Generadas por el DR en una red multiacceso. Incluye las redes generadas dentro de un rea y que podran ser sumarizadas y que son enviadas dentro del rea 0 y entre ABR. Las de tipo 4 indican cmo encontrar al ASBR. Estas LSA no son enviadas dentro de totally stubby areas. Rutas externas que pueden ser configuradas para tener uno o dos valores. El incluye el coste hacia el ASBR ms el coste externo reportado por el ASBR. E2 slo incluye el coste externo.

1 Router Link

2 Network Link

3 or 4 Summary Link (between reas)

OIA

5 Summary Link/ External Link (between autonomous systems)

OE1 o OE2

Router# show ip ospf virtual-links

Este comando muestra los enlaces virtuales de OSPF, puede utilizarse en conjunto con el show ospf neighbor para saber cules son los vecinos conectados. Es aplicable aunque los routers no estn fsicamente conectados sino que lo estn lgicamente con el virtual link.
Router# show ip ospf virtual-links Virtual Link to router 140.100.32.10 is up Transit area 0.0.0.1, via interface EthernetO, Cost of using 10 Transmit Delay is 1 sec, State DROTHER Timer intervals configured, Helio 10, Dead 40, Wait 40, Retransmit 5 Helio due in 0:00:08 Adjacency State FULL

www.FreeLibros.com

112

REDES CISCO. CCNP a Fondo

RA-M A

Campo
Virtual Link to router 140.100.32.10 is up Transit area 0.0.0.1

Descripcin
El RID del otro extremo del virtual link, el cual vemos como vecino. El rea a travs de la cual el virtual link es creado. La interfaz de salida que conecta el virtual link al rea 0. El coste para alcanzar al vecino a travs del virtual link. El delay del enlace. Este valor ha de ser menor que el retransmit timer. El estado del vecino de OSPF. En este caso es DROTHER que significa que es otro diferente de un DR. Tiempo entre helios. Tiempo que el router esperar por un helio antes de declarar al vecino como muerto. El tiempo (en segundos) que el router espera por un ACK para una LSA que ya ha transmitido. Por defecto 5 segundos. El tiempo en el que esperamos recibir un helio del vecino. Especifica el estado de la adyacencia con el vecino. Los routers tienen sus bases de datos topolgicas sincronizadas.

Via interface Ethernet 0

Cost of using 10

Transmit Delay is 1 sec

State DROTHER

Helio 10

Dead 40

Retransmit 5

Helio due in 0:00:08

Adjacency State FULL

Router# show ip ospf database

Muestra todas las entradas en la base de datos de estado de enlace y la informacin de las LSA que se han recibido. Pueden emplearse variaciones de este comando para acceder a informaciones ms especficas. Este comando es til en combinacin con el show ospf neighbor.

www.FreeLibros.com

RA-MA R o u ter# show ip ospf database

CAPTULO 2. OSPF

113

OSPF Router with ID (172.16.20.130) (Process ID 100) Router Link States (Area 0) Link ID ADV Router Age Seq# Checksum Link count 172.16.20.129 172.16.20.129 295 0x80000003 0x419B 1 172.16.20.130 172.16.20.130 298 0x80000002 0x3E9D 1 Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 172.16.20.130 172.16.20.130 298 0x80000001 0xl9DB Summary Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 172.16.20.8 172.16.20.129 291 0x80000001 0x7Dl

Campo
Link ID 172.16.20.129

Descripcin
Router ID. Router ID del router que est advirtiendo. Tiempo del estado de enlace. Nmero de secuencia del enlace. Control del contenido de la LSA. Nmero de interfaces detectadas.

ADV Router 172.16.20.129

Age 295

Seq# 0x80000002

Checksum 0xl9DB

Link count 1

RESOLUCIN DE FALLOS EN OSPF MULTI REA


Para resolver fallos en una red OSPF en mltiples reas puede resultar largo y complejo. Es recomendable seguir una serie de pasos: Mantener los diagramas de red claros y actualizados con la topologa completa de la red. Guardar copias de todas las configuraciones de los routers actualizadas. Documentar todos los cambios que se realicen en la red.

www.FreeLibros.com

114

REDES CISCO. CCNP a Fondo

RA-MA

Una red de mltiples reas OSPF es una red grande y complicada, los comandos que se describen a continuacin ayudan a resolver y prevenir problemas en dicha red.
Router(config-router)# log-adj acency-changes

Este comando es similar a los comandos debug pero utiliza menor cantidad de recursos. Enva menor informacin que los debug y slo acta cuando existe algn cambio de adyacencia. En el siguiente ejemplo se inicia el proceso OSPF, se establecen el log de las adyacencias y se aaden las redes. Posteriormente se observa cmo las interfaces van creando las correspondientes adyacencias.
RouterA(config)# router ospf 1 RouterA(conf ig-router)# log-adj acency-changes RouterA(config-router)# network 0.0.0.0 255.255.255.255 area 0 RouterA(config-router)# end RouterA# 10:30:15: %SYS-5-CONFIG_I: Configured from consol by consol RouterA# 10:30:29: %0SPF-5-ADJCHG: Process 1, Nbr 131.11.14.14 on EthernetO from DOWJ to INIT, Received Helio RouterA# 10:30:38: %0SPF-5-ADJCHG: Process 1, Nbr 131.11.84.8 on EthernetO from DOWN to INIT, Received Helio
RouterA#

10:30:39: %0SPF-5-ADJCHG: Process 1, Nbr INIT to 2WAY, 2-Way Received RouterA# 10:30:48: %OSPF-5-ADJCHG: Process 1, Nbr INIT to 2 WAY, 2-Way Received RouterA# 10:30:54: %OSPF-5-ADJCHG: Process 1, Nbr 2WAY to EXSTART, AdjOK? RouterA# 10:31:18: %0SPF-5-ADJCHG: Process 1, Nbr EXSTART to EXCHANGE, Negotiation Done 10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr 2WAY to EXSTART, AdjOK? 10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr EXSTART to EXCHANGE, Negotiation Done 10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr EXCHANGE to LOADING, Exchange Done 10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr LOADING to FULL, Loading Done 10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr EXCHANGE to LOADING, Exchange Done
RouterA#

131.11.14.14 on EthernetO from

131.11.84.8 on EthernetO from

131.11.84.8 on EthernetO from

131.11.84.8 on EthernetO from 131.11.14.14 on EthernetO from 131.11.14.14 on EthernetO from 131.11.14.14 on.EthernetO from 131.11.14.14 on EthernetO from 131.11.84.8 on EthernetO from

10:31:18: %OSPF-5-ADJCHG: Process 1, Nbr 131.11.84.8 on EthernetO from LOADING to FULL, Loading Done

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

115

Los siguientes comandos debug son de suma utilidad pero como todos ellos deben ser empleados con la debida precaucin puesto que pueden consumir demasiados recursos de CPU del router. El debug ip packet analiza el trfico entre el router local y los host remotos, recordando que en los routers intermedios debe deshabilitarse el CEF. Este debug muestra los paquetes generados, recibidos y enviados y utiliza muchos recursos de CPU. El debug ip ospf events muestra informacin relativa a los eventos OSPF, tales como adyacencias, flujo de informacin, seleccin de router designado y clculos SFP. Muchos de los problemas que se producen en OSPF ocurren durante el proceso del establecimiento de las adyacencias. Los pasos lgicos a seguir en el caso de no ver a un vecino configurado en la misma red son los siguientes: Las configuraciones de ambos routers deben tener la misma mscara de subred, MTU, helio timer e iguales intervalos helio y dead. Que dichos vecinos estn en la misma rea y que sta sea del mismo tipo. Finalmente emplear comandos ayuda y como ltimo recurso los comandos debug.

REAS ESPECIALES OSPF


OSPF soporta diferentes tipos de reas tales como: standard, stub, totally stubby y not-so-stubby. Esto ofrece flexibilidad y permite adaptar el nuevo diseo al entorno de red existente. Hay que recordar que un rea es una parte del dominio de enrutamiento de OSPF donde se ejecuta el algoritmo de Dijkstra para elegir rutas. Esta informacin acerca de los caminos se enva como un bloque entre reas. Las reas nos permiten dividir el dominio en partes ms pequeas capaces de ejecutar SPF de una manera ms eficiente. Un problema que puede ocurrir con OSPF es que un rea puede llegar a contener demasiadas rutas, dicho de otra manera, demasiadas LSA y los routers pueden verse sobrecargados si no tienen la memoria y procesador suficientes como para manejar tanta informacin.

www.FreeLibros.com

116

REDES CISCO. CCNP a Fondo

RA-M A

Un rea estndar maneja diferentes tipos de LSA. Un ABR en un rea estndar enva todas las rutas (externas e intra-rea) a travs del rea estndar. Todas las reas de tipo stub (stub, totally stubby, NSSA) tratan en diferentes niveles de limitar la informacin que los routers deben procesar. Estas reas tienen ciertas caractersticas en comn:
r

El rea 0 no puede ser stub Todos los routers en el rea han de estar configurados como stub Los virtual link no pueden atravesar reas stub

Areas Stub
Son aquellas en las que el ABR filtra todas las LSA externas y las reemplaza por una ruta por defecto. Dependiendo de la cantidad de rutas externas que existan esta solucin puede reducir considerablemente el tamao de la tabla de enrutamiento y el mantenimiento de la misma. Recuerde que rutas externas son las que se redistribuyen en OSPF desde otro protocolo de enrutamiento. Sin embargo, la reduccin de la tabla de enrutamiento conlleva un coste agregado ya que los routers dentro del rea usarn el ABR ms cercano para alcanzar las redes externas. Esto puede causar un enrutamiento ineficiente, enviando el trfico hacia el ABR ms cercano pero eligiendo el camino menos efectivo. Configuracin de un rea stub:
Router(config-router)# area area-id stub

Todos los routers en el rea stub tienen que tener configurado este comando para que puedan estar de acuerdo en la sealizacin stub a la hora de intercambiar helio.
r

Areas totally stubby


Este tipo de reas es una solucin propietaria de Cisco. Lo que se consigue al implementarlas es que los routers ABR supriman las rutas inter-reas y las rutas externas sustituyndolas por rutas por defecto.

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

117

El comando para configurar este tipo de rea es exclusivo para los ABR:
R o u t e r

(config-router)# area area-id stub no-summary

El resto de los routers sern configurados como stub para que se puedan establecer las adyacencias. A continuacin se copia1un extracto de una tabla de enrutamiento de un router de un rea stub: La tabla de enrutamiento que se muestra ms abajo es del mismo router configurado como totally stubby area. Observe la diferencia de datos entre ambas:
10.0.0.0/32 is subnetted, 4 subnets IA 10.0.22.5 [110/782] via 10.21.1.4, 00:02:39, FastEthernetO/O IA 10.0.22.6 [110/782] via 10.21.1.4, 00:02:39, FastEthernetO/O IA 10.0.22.9 [110/782] via 10.21.1.4, 00:02:39, FastEthernetO/O IA 10.0.0.1 [110/1] via 10.21.1.4, 00:02:39, FastEthernetO/O IA 10.0.0.2 [110/782] via 10.21.1.7, 00:02:52, SerialO/O/O [110/782] via 10.21.1.4, 00:02:52, FastEthernetO/O 10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks O 10.21.1.0/24 [110/10] via 10.21.1.4, 00:03:22, FastEthernetO/O C 10.21.2.0/24 is directly connected, LoopbackO C 10.21.3.0/24 is directly connected, SerialO/O/O O 10.0.1.0/24 [110/20] via 10.21.1.7, 00:04:01, SerialO/O/O O 10.0.2.0/24 [110/30] via 10.21.1.4, 00:04:01, FastEthernetO/O O 10.0.3.0/24 [110/30] via 10.21.1.4, 00:04:01, FastEthernetO/O O 10.0.4.0/24 [110/40] via 10.21.1.4, 00:04:01, FastEthernetO/O O IA 10.22.1.0/24 [110/40] via 10.21.1.4, 00:04:01, FastEthernetO/O 0 IA 10.22.2.0/24 [110/40] via 10.21.1.4, 00:04:01, FastEthernetO/O 0 IA 10.22.3.0/24 [110/40] via 10.21.1.4, 00:04:01, FastEthernetO/O 0*IA 0.0.0.0/0 [110/2] via 10.1.1.1, 00:01:51, FastEthernetO/O 10.0.0.0/32 is subnetted, 4 subnets 10.0.0.0/8 is variably subnetted, 7 subnets, 2 masks O 10.21.1.0/24 [110/10] via 10.21.1.4, 00:03:22, FastEthernetO/O C 10.21.2.0/24 is directly connected, LoopbackO C 10.21.3.0/24 is directly connected, SerialO/O/O O 10.0.1.0/24 [110/20] via 10.2.1.7, 00:05:59, SerialO/O/O 0 10.0.2.0/24 [110/30] via 10.21.1.4, 00:05:59, FastEthernetO/O O 10.0.3.0/24 [110/30] via 10.21.1.4, 00:05:59, FastEthernetO/O 0 10.0.4.0/24 [110/40] via 10.21.1.4, 00:05:59, FastEthernetO/O 0*IA 0.0.0.0/0 [110/2] via 10.1.1.1, 00:03:51, FastEthernetO/O

www.FreeLibros.com

118
r

REDES CISCO. CCNP a Fondo

RA-M A

Areas not-so-stubby
Las LSA de tipo 5 no son permitidas en las reas de tipo stub, para solventar este problema se han creado las reas not-so-stubby (NSSA). Una NSSA es un rea stub que permite al ASBR propagar rutas externas dentro del dominio OSPF, existen dos tipos de NSSA, las not-so-stubby y las not-so-totally-stubby. El ASBR enva LSA de tipo 7 dentro del rea NSSA, cuando stas llegan al ABR las convierte en LSA de tipo 5 para ser enviadas al rea 0. Estas LSA de tipo 7 aparecen en la tabla de enrutamiento como redes tipo N I o N2 . El ABR dentro de un rea NSSA no genera automticamente rutas por defecto, para que esto suceda habr que configurar manualmente los comandos nosummary o default-originate. La sintaxis para configurar un rea NSSA en un ABR es la siguiente:
Router(config-router)# area area-id nssa [no-summary]

Todos los routers dentro del rea NSSA deben reconocer el tipo de rea, esto se hace con el siguiente comando:
Router(config-router)# area area-id nssa

Para la verificacin de reas stub el comando show ip protocols proporciona una informacin generalizada sobre los protocolos que se estn ejecutando en el router. Con el show ip ospf se verifican los parmetros de configuracin de OSPF y con el show ip route se podrn observar con detalle las tablas de enrutamiento. Estos comandos son un buen comienzo a la hora de solucionar y analizar problemas en las reas OSPF, los siguientes pueden servir de apoyo a los tres anteriores comandos: show ip show ip show ip show ip ospf route ospf database ospf database nssa-external

AUTENTICACIN OSPF
Los sistemas de redes pueden ser atacados de diferentes maneras, en particular interceptando paquetes OSPF y as conseguir por ejemplo denegacin de servicio o simplemente inyectar rutas que son maliciosas. OSPF por defecto confia en todos los paquetes que recibe, por lo tanto es susceptible a posibles ataques.

www.FreeLibros.com

RA-MA

CAPTULO 2. OSPF

119

OSPF ofrece tres niveles de autenticacin: Nuil, sin autenticacin. Texto plano, la contrasea no est cifrada. Cifrado con el algoritmo MD5.

Por defecto la que se utiliza es la primera de estas opciones.

Autenticacin en texto plano


Este tipo de autenticacin proporciona un nivel de seguridad muy bsico. Cualquier atacante con un nivel de acceso medio podra leer las claves intercambiadas. Antes de la versin de IOS 12.0 esta autenticacin se configuraba por reas, todos los routers dentro de la misma rea compartan la contrasea; actualmente puede hacerse adems por interfaz. La sintaxis de configuracin es en el siguiente orden:
Router(config-if)# ip ospf authentication-key password Router(c o nfig-if )# ip ospf authentication

Autenticacin con MD5


La autenticacin con MD5 (Message Digest) mantiene un buen nivel de seguridad. Con este sistema ambos extremos se aseguran de conocer las claves utilizadas en los mensajes de autenticacin. Para la configuracin con MD5 se debe crear una clave o llave que se utilizar en combinacin con la contrasea para crear el cifrado. Es posible tener ms de una clave activa a la vez. Los routers que participen en la autenticacin deben compartir el nmero de llave y la contrasea. La sintaxis muestra en el siguiente orden la configuracin de esta autenticacin:
Router(config-if)# ip ospf message-digest-key key md5 password Router(config-if)# ip ospf authentication message-digest

Para verificar que la autenticacin est funcionando correctamente se pueden utilizar los comandos:

www.FreeLibros.com

120

REDES CISCO. CCNP a Fondo

RA-M A

ip ospf neighbor, para ver que los vecinos completen las adyacencias. ip ospf interface, muestra informacin de la autenticacin en la interfaz. debug ip ospf adjacency, muestra todos los estados de la autenticacin.

Cuando los routers no estn de acuerdo en el tipo de autenticacin empleada envan un mensaje como el que se muestra a continuacin:
*Dec 03 17:52:17.527: OSPF: Rcv pkt from 10.0.0.1, FastethernetO/O: Mismatch Authentication type. Input packet specified type 0, we use type 1

Para el caso de que las contraseas sean diferentes el mensaje es el siguiente:


*Dec 03 17:55:13.044: OSPF: Rcv pkt from 10.0.0.1, FastethernetO/O: Mismatch Authentication Key Clear Text

www.FreeLibros.com

Captulo 3

IS-IS
INTRODUCCIN A IS IS
IS-IS (Intermedate System-to-Intermediate System) es un protocolo de gateway interior desarrollado en 1980 por DEC y estandarizado por las ISO (International Organization for Standardization) como un protocolo de enrutamiento para el modelo de referencia OSI (Open System Interconnection). En un principio fue diseado con la idea de crear una serie de protocolos que pudieran competir con TCP/IP. La idea original que gener la creacin de IS-IS responde a los siguientes criterios: Crear un protocolo no propietario. Que sea escalable y jerrquico. Eficiente, que permita una rpida y eficaz convergencia sin sobrecargar la red.

Con el transcurso del tiempo a IS-IS se le fueron aadiendo extensiones con el fin de competir y reemplazar a TCP/IP en Internet. Pero finalmente no obtuvo el resultado que se esperaba prevaleciendo TCP/IP entre ambos protocolos. A este IS-IS con extensiones se le llam IS-IS Integrado, actualmente simplemente se le llama IS-IS y es como ser tratado en este libro.

www.FreeLibros.com

122

REDES CISCO. CCNP a Fondo

RA-M A

Recientemente IS-IS est resurgiendo aumentando su popularidad debido a que se tratade un protocolo independiente, escalable y que define tipos de servicios. Tambin se est adaptando su uso en IPv6 y MPLS.

Terminologa IS-IS
Cuando se habla en terminologa OSI, un router es definido como un sistema intermediario (IS) y un PC como un sistema final (ES), por lo tanto el protocolo IS-IS es un sistema router-a-router. Al implementar IS-IS es fundamental interpretar el direccionamiento OSI, el CLNS (Connectionless Network Service), OSI soporta cuatro niveles de enrutamiento, en este caso IS-IS ocupa los dos lugares centrales: Nivel 0, utilizado para encontrar sistemas finales y finales a intermedios. Nivel 1, utilizado para intercambiar rutas dentro deun rea. Nivel 2, es el backbone entra reas. Nivel 3, usado entre sistemas autnomos.

Los routers que ejecutan IS-IS pueden estar en el nivel 1, en el nivel 2 o en ambos. Estos ltimos conectan reas al backbone. Estos niveles emplean el algoritmo de Dijkstra SFP para converger rpidamente.

Protocolos de la capa de red utilizados en IS-IS


Las PDU (Protocol Data Unit) del protocolo IS-IS son encapsulados directamente en tramas de enlace de datos. Todos los paquetes IS-IS comparten la misma cabecera del mismo tamao, a partir de sta hay varios campos que comparten informacin relativa al enrutamiento. Estos campos tienen una longitud variable llamados TLV (Type, Length, Valu). Cada PDU de IS-IS comienza con la cabecera estndar, le siguen los campos especficos y finalmente los campos variables TLV.

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 123

Tipos de paquetes IS-IS


A continuacin se describen los tres tipos de paquetes de IS-IS: Helio: sirven para establecer las adyacencias. Existen tres tipos de paquetes helio: End System Helios (ESH), helio para sistemas finales, ISO los utiliza para conectarse a los router. Los sistemas finales IP no entienden ESH por lo tanto IS-IS interconecta la red local. Intermedate System Helios (ISH), helio de sistema intermediario, los router utilizan el ISH para anunciarse a s mismos de vuelta al ES. Intermediate-To-Intermedate Helios (IIH), sistema intermediario hacia intermediario, los routers utilizan IIH para conocer a otros vecinos IS. Los IIH son transmitidos separadamente a nivel 1 y nivel 2. Debido a que los sistemas punto a punto y broadcast trabajan de manera diferente, las adyacencias tambin se establecen de manera distinta. En una red punto a punto el router slo tiene otro router con el que se puede comunicar, las redes broadcast, en cambio, son redes multiacceso que pueden tener una mezcla de niveles 1 y 2. Por esto ltimo las redes LAN tienen unos paquetes especiales llamados LAN Helio con dos formatos, los de nivel 1 y los de nivel 2. Por lo tanto los enlaces broadcast utilizan paquetes LAN Helio y los enlaces punto a punto paquetes Point-to-point Helio. Helio
ESH ISH Nivel 1 IIH Nivel 2 IIH

Origen
OSI ES IS L1 IS L2 IS

Destino
IS OSI ES L1 IS L2IS

Descripcin
Enlaza ES a IS Anunciis Construye rea Pasa adyacencias de nivel 2

LSP (Link-State Packet): los LSP de un router de nivel 1 son anunciados a todos los routers dentro del rea, stos contienen una lista de todas las adyacencias. De igual manera los routers de nivel 2 anuncian LSP de nivel 2 del mismo dominio. Estos LSP contienen una lista con la informacin de todas las adyacencias de los otros routers de nivel 2 y las reas que el router puede alcanzar.

www.FreeLibros.com

124

REDES CISCO. CCNP a Fondo

RA-M A

Las TLV contienen informacin de nivel 1 y de nivel 2 permitiendo que el formato de las LSP sea el mismo para el router de ambos niveles. Las TLV proporcionan flexibilidad y extensibilidad al protocolo haciendo que el protocolo se adapte a los cambios simplemente agregando nuevas TLV. La estructura de las TLV es la siguiente: Tipo, identifica los anuncios y todas las caractersticas que pertenecen a l, por ejemplo TLV 128 es un anuncio IP. Longitud (length), indica la longitud del siguiente campo, valu que es de longitud variable. Valu, el anuncio adquiere forma de rutas IP, vecinos IS o autenticacin.

Es importante conocer que TLV son soportadas por los dispositivos ya que de esto depende el diseo y configuracin de la red. Los routers receptores ignorarn las TLV que no sean soportadas por stos.

COMPARACIN DE IS IS CON OSPF


IS-IS y OSPF comparten un pasado comn ya que feron desarrollados al mismo tiempo compartiendo muchas cosas en comn. Tal es as que se puede decir que IS-IS es una versin de OSPF en totally stubby areas. Ambos protocolos son del tipo de estado de enlace basado en el algoritmo SFP de Dijkstra, soportan VLSM, tienen una jerarqua de dos niveles, convergen rpidamente y utilizan los helio para establecer relaciones con sus vecinos y crear tablas de topologas. Entre las principales diferencias entre OSPF e IS-IS se pueden destacar: OSPF tiene un rea central o de backbone, mientras que IS-IS utiliza un backbone para todas sus reas. IS-IS utiliza slo un DR (Designated Router) llamado DIS (Designated Intermedate System) y diferentes temporizadores. IS-IS enva anuncios de una manera estndar en paquetes simples mientras que los envos de OSPF varan y son transmitidos segn el tipo que sean. IS-IS se encapsula a nivel de la capa de enlace de datos. OSPF es ms cercano a TCP/IP y est ms relacionado con redes IP, IS-IS puede soportar CLNS e IP a la vez.

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 125

Si bien las principales caractersticas entre ambos protocolos son similares, se detallan a continuacin algunas diferencias especficas entre ambos: reas: ambos protocolos soportan una jerarqua de reas de dos niveles. OSPF utiliza un rea principal o rea 0 la cual est conectada a todas las dems reas, los routers que tienen interfaces conectadas a diferentes reas se llaman ABR. En IS-IS el router pertenece a un rea de nivel 1. Los router de nivel 1-2 son similares al ABR, pertenecen a un rea de nivel 1 pero enrutan separadamente a nivel 2. En IS-IS los routers de nivel 2 pueden pasar por reas de nivel 1, los routers de esta ltima deben estar en el mismo rea para poder intercambiar rutas locales y recibir rutas por defecto de nivel 1-2. Por ltimo, los routers de nivel 2 envan actualizaciones de nivel 2 a travs del backbone. Topologa de LAN: similar a lo que ocurre en OSPF con los DR en IS-IS funcionan los DIS que simulan una topologa punto a punto en un entorno multipunto. Debido a esto muchas veces el DIS es llamado tambin seudo-nodo. stos existen separadamente para ambos niveles y no existen DIS de reserva o backup. En OSPF una vez elegido el DR no ser cambiado aunque entre en la red un router con mejor prioridad; sin embargo en IS-IS el rol del DIS puede cambiar de router si entra en la red un router con prioridad ms alta sin necesidad de cambios en la topologa. En OSPF las adyacencias se establecen con el DR y el BDR, mientras que en IS-IS adems de establecer adyacencia con el DIS todos los routers establecen adyacencia con todos los dems. Los LSP son enviados slo por el DIS.

Anuncios: los anuncios en OSPF son encapsulados por tipo y un router OSPF puede generar diferentes tipos de paquetes para advertir el tipo de conectividad que tiene. Los anuncios de IS-IS son todos de un formato estndar: tipo longitud y valor (TLV). La estructura TLV implica que los anuncios pueden ser fcilmente agrupados y advertidos juntos, empleando menor cantidad de envos haciendo que IS-IS sea fcilmente adaptable. Los anuncios de IS-IS son llamados SNP (Sequence Number Packets), stos listan los LSP en el router en la base de datos del router que est retransmitiendo pero en un formato resumido. Los SNP nunca se envan inundando la red, slo se hace el envo entre vecinos. Los CNP son especficos de cada nivel y pueden ser CSNP (Complete SNP), que listan todas las LSP y PSNP (Partial SNP), que listan slo algunas LSP. Los LSP que no son reconocidos se ignoran y son enviados por inundacin a toda la red.

www.FreeLibros.com

126

REDES CISCO. CCNP a Fondo

RA-MA

Encapsulacin: una diferencia importante entre los dos protocolos es el tipo de encapsulacin utilizada. IS-IS es un protocolo independiente que se ejecuta directamente sobre la capa de enlace, mientras que OSPF est encapsulado dentro de IP. Esto hace que IS-IS pueda adaptarse a diferentes circunstancias con mayor flexibilidad. Un ejemplo de esto ltimo es IPv6 donde IS-IS se adapt sin grandes cambios, mientras que en OSPF fue necesaria la creacin de OSPFv3. Desarrollos futuros: IS-IS ha estado estancado durante largos aos, sin embargo recientemente ha recuperado el inters de los administradores, tanto que Cisco se ha comprometido a llevar este protocolo a niveles de popularidad como los OSPF. Actualmente OSPF tiene diversidad de reas y mtricas ms grandes, la informacin, bibliografa e incluso la ingeniera son mucho ms fciles de conseguir. Las ventajas de IS-IS, como la encapsulacin, la estructura de las TLV y el proceso de LSP, an no han sido aprovechadas ni valoradas por las empresas.

DIRECCIONAMIENTO ISO
OSPF utiliza direccionamiento IP para determinar el router ID, IS-IS utiliza para el mismo propsito un direccionamiento ISO. Las direcciones ISO tienen dos formatos dependiendo del tipo de dispositivo al que se le asigne esa direccin: NSAP, Network Service Access Point NET, Network Entity Title

El esquema de direccionamiento ISO tiene un formato complejo y est bien definido por reglas claras. Estas direcciones poseen un rango de entre 8 y 20 octetos o bytes, mientras que una direccin IP slo consta de 4. La referencia ISO 10589 define tres partes que componen una direccin ISO: rea, en este caso es como una subred IP, describe un grupo o localizacin. ID, identifica un miembro en particular dentro de una localizacin tal como lo determina la parte de host de una direccin IP. SEL, similar a un puerto TCP que identifica un proceso en el host.

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 127

IDP AFI 1 octeto IDI AREA HODSP

DSP System ID 1-8 octetos ID

NSEL 1 octeto SEL

Inter Domain Part (IDP) se utiliza para enrutamiento externo, enruta el sistema autnomo. El IDP est otorgado por la ISO e identifica la organizacin responsable de asignar el formato del resto de la direccin definiendo la estructura DSP. El IDP se subdivide en dos partes: Authority and Format Identifier (AFI), tambin llamado Address Family Identifier, primer octeto, identifica la autoridad que dictamina el formato de la direccin y emite las direcciones. Este byte se identifica tpicamente con 39 como cdigo de pas, 47 cdigo internacional y 49 privado Initial Domain Identifier (IDI), es una organizacin de menor jerarqua que funciona dentro del AFI.

Domain Specific Part (DSP), es utilizado para enrutar dentro del sistema autnomo, contiene tres campos: High Order DSP (HODSP), es el rea dentro del sistema autnomo. System ID, identifica el sistema. El estndar indica que puede contener 6 u 8 octetos, Cisco implementa nicamente el System ID de 6 bytes. Este identificador tiene que ser nico y debe poseer la misma longitud a travs de todo el sistema autnomo. Existen dos maneras de generarlo, una es utilizando simplemente la direccin MAC y la otra es manipular la direccin IP transformndola en un nmero de tres dgitos, por ejemplo la direccin IP 192.168.1.123 quedara como System ID 1921.6800.1123. Este nmero puede ser creado simplemente por el administrador pero puede ser conflictivo si no se realiza correctamente (por ejemplo, duplicacines). NSEL, es un byte que identifica el servicio a nivel de capa de red al cual parar el paquete, 0x00 representa el dispositivo. Un NSAP 0x00 es llamado NET (Network Entity Title).

La diferencia de formato de direccin suele generar confusin, slo basta con recordar que existen dos niveles de jerarqua. Resumiendo se puede decir que el esquema de direccionamiento puede surgir del diseo de un administrador, obtenido del AFI o una entidad como ANSI o GOSIP.

www.FreeLibros.com

128

REDES CISCO. CCNP a Fondo

RA-M A

Reglas para el direccionamiento ISO


Las siguientes definiciones especifican algunas cuestiones sobre el direccionamiento ISO: La direccin ISO se asigna al sistema y no a la interfaz. Normalmente un router posee una direccin NET. En una implementacin convencional de IS-IS el lmite es de 3 NET por rea en una topologa de IS-IS multi-rea. Si mltiples NET son configuradas en el mismo router todas tienen el mismo Sytem ID. La direccin de rea debe ser la misma para todos los router de la misma rea. Todos los routers de nivel 2 tienen que tener el mismo System ID para todo el dominio de nivel 2. Todos los routers de nivel 1 tienen que tener el mismo System ID para todo el dominio de nivel 1.

Direcciones NET y NSAP


Tanto NET como NSAP son direcciones ISO. La primera es especficamente la direccin NSAP del host con el NSEL en 0x00. Este formato de direcciones es el empleado para identificar un router. El System ID debe ser de la misma longitud para todos los IS y ES dentro del dominio de enrutamiento. Cisco soporta System ID de 6 byte.

Ejemplo de una direccin NET


El siguiente ejemplo muestra una direccin NET con un AFI (Authority and Format Identifier) 49, es decir, un direccionamiento cuya estructura es creado por un administrador segn su propio criterio. Debido a que no es necesaria la diferenciacin entre reas, el IDI no ha sido utilizado. Este ejemplo utiliza la MAC del host como System ID, 49.0005.AA00.0301.16CD.00. El primer byte corresponde al AFI, el ltimo byte es SEL, los 6 bytes restantes son el System ID. Cualquier valor entre AFI y System ID ser interpretado como rea (IDI), que en este caso no es necesario indicar. 49.0005. Dentro del dominio Area AA00.0301.16CD. 00 Fuera del dominio SEL System ID

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 129

Este otro ejemplo utiliza la direccin de loopback 122.132.16.19 como System ID, 49.0001.1221.3201.6019.00. 49.0001. Dentro del dominio Area 1221.3201.6019. 00 Fuera del dominio System ID SEL

Por ltimo, un ejemplo de una direccin GOSIP con informacin de enrutamiento externo 47.0005.80ff.f800.0000.0001.0000.0c00.1234.00, esta estructura es demasiado compleja para la utilizacin que hoy en da se le da a IS IS. AFI 47. IDI 0005.80ff.f800.0000. Area HODSP 0001. System ID 0000.0c00.1234. System ID SEL 00 SEL

ADYACENCIAS EN IS-IS
El enrutamiento hacia un destino dentro de un rea es sencillo, el primer IS ubica el destino y lo aade a su tabla de enrutamiento y selecciona la ruta ms corta como lo hara OSPF. En cambio el enrutamiento entre reas es ms complejo. El primer IS recibe un determinado trfico IP que no esta en su tabla de enrutamiento, entonces decide pasar la informacin al router nivel 1-2 ms cercano. Posteriormente este ltimo verifica en su tabla de enrutamiento para enrutar hacia el prximo router de nivel 1-2 ms cercano que est anunciando sumarizaciones que contenga este destino. Las fronteras en IS-IS integrado estn definidas en el enlace, esto significa que el router est completamente en un rea de nivel 1. Para actualizaciones de enrutamiento de nivel 2 externas todos los routers de ese nivel deben ser contiguos. Los routers que comparten un medio comn en IS-IS se hacen vecinos siempre y cuando los paquetes helio que se intercambian tengan cierto criterio comn para formar esas adyacencias. Aunque el proceso de encontrar un vecino comn difiere del tipo de medio; la informacin enviada en los helio bsicamente es la misma.

www.FreeLibros.com

130

REDES CISCO. CCNP a Fondo

RA-M A

rea 0002 Cada helio identifica el origen de ese helio y las capacidades de la interfaz. Si los helio intercambiados comparten un criterio comn se forma la adyacencia y los vecinos IS-IS intercambian informacin de enrutamiento en forma de LSP. De esta forma todos y cada uno de los routers recopilan informacin de las redes conectadas para crear mapas topolgicos detalladamente iguales acerca de la red. Para que entre dos routers se cree una adyacencia y se conserve, ambas interfaces deben estar de acuerdo en lo siguiente: Las MTU (Mximum Packet Size) de las interfaces deben ser las mismas. Ambos routers deben soportar el mismo nivel de enrutamiento, es decir, que un router de nivel 1 se hace adyacente a un router de nivel 1 o nivel 1-2 del mismo rea. Un router de nivel 2 se hace adyacente a un router de nivel 2 o nivel 1-2. Para conectarse hacia otra rea al menos uno de los routers debe estar configurado como nivel 1-2. El System ID tiene que ser nico para cada router. Si se ha configurado autenticacin, sta debe ser idntica en ambos routers. Los helio y hold timers deben ser iguales.

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 131

IS-IS define dos tipos de redes, subredes broadcast y redes punto a punto, mientras que OSPF define 5 tipos de redes. Una red Broadcast, al igual que en OSPF, es una red que soporta broadcast y multicst. Los enlaces punto a punto se consideran que son non-broadcast y pueden ser circuitos virtuales permanentes (PVC) o lneas dedicadas. En IS-IS no existe el tipo de red NBMA por lo tanto las redes multiacceso non-broadcast deben ser creadas como broadcast o punto a punto. Normalmente la solucin implementada es crearlas con subinterfaces punto a punto.

Adyacencias en enlaces punto a punto


Cuando se est utilizando enlaces punto a punto la adyacencia se crea despus de que un paquete helio ha sido recibido. A continuacin cada una de las partes enva un CSNP que es una lista de todos los enlaces que hay en la base de datos de estado de enlace, activando una sincronizacin de la base de datos de cada uno de los dispositivos. Posteriormente helio peridicos mantienen la continuidad de la adyacencia. Si un router no escucha helio dentro del tiempo establecido (holdtime) el vecino es declarado como muerto y la base de datos es limpiada de cualquier entrada asociada a ese router. Cisco define el holdtime como el intervalo helio multiplicado por 3, es decir 30 segundos.

Adyacencias en enlaces broadcast


En un enlace broadcast cada IS recibe paquetes enviados por el DIS, minimizando la cantidad de trfico que es generada para mantener las adyacencias y la base de datos. El DIS tiene la responsabilidad de hacer una inundacin de LSP hacia todos los dispositivos que estn conectados o ejecutando IS-IS. Las adyacencias con los dems routers son mantenidas por el DIS, enviando helio cada 3,3 segundos, tres veces ms rpidos que el perodo de los otros router. De esta manera se asegura de identificar las adyacencias y posibles fallos ms rpidamente. Si existiese un problema con el DIS o apareciese, un router con mayor prioridad es rpidamente identificado y pasa a reemplazar al antiguo DIS. La eleccin del DIS se basa primero en la prioridad ms alta y luego en la direccin ms alta del enlace.

www.FreeLibros.com

132

REDES CISCO. CCNP a Fondo

RA-M A

Adyacencias en enlaces NBMA


El establecimiento y mantenimiento de adyacencias se toma ms complejo en entornos non-broadcast. Un enlace NBMA no es ni un enlace broadcast ni un enlace point-to-point, es un poco de ambas. IS-IS no tiene un tipo de red que sea NBMA. La utilizacin de PVC en un entorno NBMA crea mltiples conexiones como si se tratara de una LAN. Al no tener conocimiento de nubes WAN multiacceso, IS-IS interpreta que el medio es similar a una LAN, por lo tanto adquiere propiedades de broadcast, aunque la nube WAN no posee dichas capacidades de broadcast. Para evitar esta problemtica y posibles errores Cisco recomienda que se configuren los enlaces como una serie de enlaces punto a punto. No hay que utilizar IS-IS en conexiones temporales como dial-up.

FUNCIONAMIENTO DE IS IS
El proceso de enrutamiento de IS-IS puede contemplarse en las siguientes partes: Actualizacin (Update) Decisin (Decisin) Reenvo (Forwarding) Recepcin (Receiving)

Proceso de actualizacin
El router puede enviar paquetes de datos hacia un destino remoto nicamente si entiende la topologa. Cada router enva un LSP que lista todos los routers vecinos y que se propagan a travs de la red. La inundacin de los LSP asegura que cada router tenga una base de datos de estado de enlace idntica. Los routers implicados generan LSP cuando existe algn tipo de cambio en la red como por ejemplo cualquiera de las siguientes situaciones: La cada de una adyacencia. Cambios de estado de una interfaz o asignacin de una nueva mtrica. Cambios en una ruta, por ejemplo debido a una redistribucin.

Los routers almacenan los nuevos LSP en la base de datos de estado de enlace y los identifican para que puedan ser enviados. Si el LSP ya est contenido en la base de datos, el router simplemente lo confirma y lo ignora.

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 133

El router enva estos nuevos LSP hacia sus vecinos los que su vez repiten este mecanismo sucesivamente. Debido a que cada uno de los routers de nivel 1 y los de nivel 2 poseen su propia base de datos de estado de enlace, los LSP de nivel 1 slo son inundados dentro del rea, mientras que los LSP de nivel 2 son enviados a todas las adyacencias de nivel 2. El proceso de propagacin de los LSP depende estrechamente segn el tipo de medio en que fue recibido: Propagacin de LSP en enlaces punto a punto: en este tipo de enlace el ancho de banda puede optimizarse debido a que los dos routers pueden tener la capacidad de enviar actualizaciones o no, adems de no haber necesidad de que las bases de datos estn sincronizadas. El proceso de inundacin sigue la siguiente secuencia: o Cuando una adyacencia es establecida ambas partes envan un paquete con un nmero de secuencia completo CSNP con una versin comprimida de la base de datos de enlace (router ID y nmero de secuencia), Si hay algn LSP que no es recibido con el CSNP se reenvan los LSP perdidos nuevamente, Del mismo modo si la base de datos no contiene algunos de los LSP recibidos en el CSNP, el router receptor solicita el reenvo, Los LSP individuales son pedidos y confirmados a travs de nmeros de secuencia parciales (PSNP) Cuando un LSP es enviado el router inicia un temporizador de tal forma que si no se recibe un ACK en el tiempo establecido, el LSP es reenviado. Este temporizador puede se, configurado, por defecto en los routers Cisco es de 5 segundos.

o o o o

Propagacin de LSP en enlaces broadcast: un seudo-nodo en este tipo de enlaces puede necesitar enviar actualizaciones de nivel 1 y de nivel 2 por medio de direcciones MAC multicst hacia todos los routers de esos niveles. El DIS toma la responsabilidad de ejecutar estas tareas en lugar del seudo-nodo sincronizando las bases de datos. Cumpliendo tareas tales como crear y mantener adyacencias, crear y actualizar los LSP del seudo-nodo e inundar la LAN con los LSP. Los tres pasos principales son: o o Cuando se recibe CSNP el router compara cada LSP comprimida con la base de datos de estado de enlace, Si la base de datos tiene una nueva versin de LSP enviada en CSNP, el router hace multitast del CSNP en la LAN.

www.FreeLibros.com

134

REDES CISCO. CCNP a Fondo

RA-M A

Si la base de datos no tiene una nueva versin de LSP, enva un PSNP solicitando una LSP completa. Aunque la peticin es multicst solamente responde el DIS.

PASO 2: PSNP solicitand o

PASO 1: CSN P o LS P PASO 3: R e sp u esta LSP

Determinacin de la validez del LSP: el LSP posee tres campos que permiten determinar lo reciente que es y si est intacto o corrupto: o Remaining Lifetime: usado para limpiar viejas LSP, pasados 20 minutos sin decepcionar otra, se asume que el router que lo origin ha muerto. Sequence Number: es un identificador de 32 bits, la primera de las LSP tiene valor 1 incrementndose sucesivamente. Checksum: si el router recibe un LSP y el cmputo del checksum no es el correcto, elimina el LSP e inunda la red con ste para que todos los routers lo borren, mientras que el router que lo origin transmite un nuevo LSP.

o o

Proceso de enrutamiento
Una vez que las bases de datos de estado de enlace han sido sincronizadas, es necesario asumir una decisin sobre cmo llegar a un determinado destino. Debido a que los routers y host pueden tener diferentes conexiones hacia cada otro,

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 135

podrn establecerse diferentes rutas y habr que elegir uno de ellos. Para tomar la mejor decisin los protocolos de estado de enlace utilizan el algoritmo de Dijkstra. Este algoritmo crea un rbol hacia todos los posibles destinos. A partir de este rbol se crea la tabla de enrutamiento. Si existe ms de una ruta para alcanzar un destino remoto el criterio para determinar el camino con menor coste es el siguiente: Si existe ms de una ruta con el valor de mtrica ms bajo, los dispositivos Cisco ponen todos o varios caminos en la tabla de enrutamiento. Versiones anteriores de IOS soportan hasta 6 rutas con balanceo de carga, las nuevas versiones soportan mucho ms. Las rutas internas tienen mayor preferencia que las rutas externas. Las rutas de nivel 1 son ms atractivas que las de nivel 2. La direccin IP ms especfica es la direccin que posee la mscara de subred ms larga. Si no existen rutas, la base de datos enva el paquete al router de nivel 2 ms cercano.

La mtrica define el coste del camino o ruta. IS-IS tiene cuatro mtricas pero solamente una es requerida y soportada. Estn definidas por el estndar ISO 10589 y son las siguientes: Default: todo router IS-IS integrado debe soportar esta mtrica. Cisco por defecto utiliza en todas las interfaces un valor de 10 para esta mtrica. Delay: Cisco no soporta esta mtrica. Expense: Cisco no soporta esta mtrica. Error: Cisco no soporta esta mtrica. Por defecto en la interfaz de salida se configuran mtricas de 6 bits. Un campo de 10 bits describe el coste total del camino. A estas mtricas por defecto se les llama narrow. Cisco increment el tamao de la mtrica hasta 24 bits.

www.FreeLibros.com

136

REDES CISCO. CCNP a Fondo

RA-M A

Este campo de mtrica ms largo proporciona ms granularidad y permite distinguir diferentes caminos y nos referimos a ella como wide. Para determinar la mejor ruta es elegida la mtrica ms baja, las rutas externas son elegidas sobre rutas externas. Los routers de nivel 1 tienen preferencia sobre los routers de nivel 2. La nica mtrica soportada por Cisco es la mtrica por defecto, debido a que cada mtrica utilizada en IS-IS requiere un clculo de la base de datos de enlace para router de ambos niveles.

DISEO DE REDES IS IS
El buen funcionamiento de la red depende del buen diseo y de la planificacin con que se haya pensado. Aunque las limitaciones fsicas y tcnicas sean una de las cuestiones a tener siempre en cuenta, hay que intentar crear diseos de redes que satisfagan las necesidades de los usuarios y aplicaciones que van a trabajar en ellas. En IS-IS los criterios de diseo ms importantes a tener en cuenta son las reas y el direccionamiento. Al disear redes jerrquicas con IS-IS es necesario considerar el flujo de datos que se aplicar sobre la red adems de todos los recursos que se requieren para que se pueda ejecutar el protocolo. Mejorar los procesos de actualizaciones sin comprometer recursos y confiabilidad de la red tambin es una cuestin a tener en cuenta. Reducir la cantidad de actualizaciones hace que las bases de datos converjan ms rpidamente, pero la red no tendra tantos recursos de enrutamiento. Al disear las reas hay que mantener dos bases de datos SPF, esto significa mayor consumo de recursos para los routers que pertenecen a ms de un rea. Algunos diseos tpicos pueden ser: Una red totalmente plana que utiliza solamente enrutamiento de nivel 1. Este diseo no escala correctamente debido a que cualquier cambio en la red requiere que se haga una inundacin de SLP hacia todos los routers, en consecuencia al algoritmo SPF se ejecutar constantemente.

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 137

Sin embargo posee la ventaja de que slo habr un algoritmo SPF y no habr enrutamiento entre reas. Una red totalmente plana que utiliza solamente enrutamiento de nivel 2. En este caso si la red necesita expandirse pueden agregarse reas de nivel 1. El rea de nivel 2 tiene total conocimiento de la red sumada la ventaja de estar ejecutndose una sola instancia de SPF. Una red totalmente plana que utiliza la configuracin por defecto de Cisco con todos los ruoters como nivel 1-2. Este diseo permite una migracin bastante sencilla hacia un modelo jerrquico. Sin embargo requiere ms recursos al necesitar dos bases de datos SPF. Una red de modelo jerrquico donde el ncleo o core est ejecutando enrutamiento de nivel 2 con reas de nivel 1 conectadas al core. Los routers de nivel 1-2 interconectan las reas. Este diseo explota todo el potencial y la capacidad de IS-IS; hay varias cuestiones a tener en cuenta: o o El consumo de recursos puede resultar elevado. La decisin de enrutamiento lo determina la mtrica de la interfaz de salida.

Por defecto los routers Cisco ejecutan IS-IS nivel 1-2, pero pueden ser configurados para que sean de nivel 1 o de nivel 2. Sin embargo, la configuracin por defecto evita las particiones de reas, como en el caso de un modelo jerrquico, que pierde una conexin entre un router nivel 1 y un router nivel 1-2. Tambin se evitara de esta manera la prdida del rea. Recuerde siempre que la mtrica por defecto es 10 sin importar el ancho de banda.

Soluciones de diseo en redes NBMA con IS-IS


El diseo de redes WAN en entornos NBMA con IS-IS no es tarea fcil como lo sera por ejemplo con EIGRP en este tipo de topologa. Sin embargo es menos complicado que OSPF. Las redes NBMA como Frame-Relay y ATM no estn soportadas en IS-IS, debiendo emplear otras opciones como por ejemplo configuraciones tipo broadcast imitando una red ethemet o interfaces punto a punto. Esta ltima opcin es la ms recomendada.

www.FreeLibros.com

138

REDES CISCO. CCNP a Fondo

RA-M A

Sumarizacin de rutas
La sumarizacin tiene muchas ventajas: reduce los recursos necesarios en la red y oculta problemas de red dentro de un rea. Si un router no se da cuenta de un cambio o de un problema en la red, las bases de datos no tienen que ser actualizadas ni recalculadas reduciendo as los recursos requeridos para SPF. Cuanto ms detallado sea el conocimiento que el router tenga de la red, ms recursos necesitar. La sumarizacin permite a las reas administrar un conocimiento interno de la red y sumarizar ese conocimiento en las fronteras de la red. Las reglas de sumarizacin de OSPF de mltiples reas se aplican a IS-IS. Las reglas para sumarizar rutas IP en IS-IS son las siguientes: Los routers de nivel 1-2 pueden sumarizar las rutas que estn almacenadas dentro de su propia rea. La sumarizacin se configura en el router nivel 1-2 en el borde del rea, tal como lo hace el ABR en OSPF. Si a un router nivel 1-2 se le configura una ruta sumarizada, se debe configurar tambin en todos los routers nivel 1-2 dentro del rea inyectando actualizaciones de nivel 2. Las rutas de nivel 1 no pueden ser sumarizadas dentro del rea porque el protocolo no lo permite.

CONFIGURACIN BSICA DE IS-IS


Cuando se habla de enrutamiento se debe pensar en una topologa que permita la sumarizacin y la seleccin de direcciones que puedan ser sumarizadas. Los protocolos de enrutamiento asumen esto como hecho. Los tres pasos iniciales para la configuracin de IS-IS son los siguientes: 1. Habilitar el proceso de enrutamiento con el comando router isis. 2. Configurar la direccin NET que asigna el rea. El comando para esto es net network-address. 3. Habilitar IS-IS para IP en las interfaces correspondientes con el comando ip router isis.

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 139

El siguiente ejemplo muestra la configuracin bsica para configurar IS-IS:

ROUTER A B C D E F

DIRECCION ISO
49.000 l.O O O O .O O O O .O O O A.O O 49.0002.0000.0000.000B.00 49.0003.0000.0000.000C.00 49.0001.0000.0000.000D.00 49.0002.O O O O .O O O O .O O O E .O O 49.0003.0000.0000.000F.00 .

interface EthernetO ip address 140.100.96.1 255.255.255.0 iassign the IP address and mask ip router isis

i
interface SerialO no ip address

www.FreeLibros.com

140

REDES CISCO. CCNP a Fondo

RA-M A

encapsulation frame-relay interface SerialO.l point-to-point ip address 140.100.64.1 255.255.255.0 iassign the IP address and mask ip router isis frame-relay interface-dlci 629

i
interface Serial0.2 point-to-point ip address 140.100.32.1 255.255.255.0 iassign the IP address and mask ip router isis frame-relay interface-dlci 931

i
router isis net 49.0001.0000.0000.000a.00

La direccin ISO es similar a lo que en OSPF es el ruoter ID, pero en este caso tambin implica asignacin de rea. Recuerde que por defecto los routers Cisco estn configurados como nivel 1-2. De la misma manera que el comando clns routing no es necesario para IP.

Comandos opcionales de IS-IS


Adems de los comandos convencionales para la configuracin de IS-IS existen algunos comandos apropiados para ciertas situaciones. Configurando un router de nivel 1-2: por defecto los routers soportan ambos niveles. Enrutar estos dos niveles significa enviar dos veces los paquetes helio y los anuncios, es decir, utilizar el doble de envos y procesamientos. Sin embargo esto hace para el administrador la configuracin ms sencilla. Una manera de optimizar el protocolo es reducir la duplicacin innecesaria en ambos niveles. El nivel se configura luego del proceso con el comando is-type level-1 o is-type level-2. Una vez aplicado, todas las interfaces se comunican en el nivel configurado.

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 141

El siguiente ejemplo muestra la configuracin de niveles: rea 0001

rea 0003 Los routers D, E y F slo necesitan soportar nivel 1 porque son internos dentro del rea. El ejemplo de configuracin del router D muestra el proceso:
interface EthernetO ip address 140.100.96.2 255.255.255.0 ip router isis

router isis net 49.0001.0000.0000.OOOd.00 is-type level-1

El nivel de enrutamiento puede ser configurado por interfaz utilizando el comando isis circuit-type level-1 o isis circuittype level-2-only dentro del modo de interfaz. Siguiendo el ejemplo anterior estos comandos se han aplicado a los routersA, B y C. La interfaz serial ha sido configurada a nivel 2.

www.FreeLibros.com

142

REDES CISCO. CCNP a Fondo

RA-M A

Los routers nivel 1-2 envan LSP con un bit adjunto (ATT) en las LSP de nivel 1 que indica son adyacentes a otra rea y es interpretado por el router receptor como una ruta por defecto, es decir, que el router de nivel 2 sirve como un router de trnsito entre reas. La siguiente configuracin muestra al router A como de nivel 1 con su interfaz ethemet conectada al router D, las dems interfaces estn configuradas como nivel 2.
interface EthernetO ip address 140.100.96.1 255.255.255.0 ip router isis isis circuit-type level-1 Configure Level 1 routing on the interface

interface SerialO no ip address encapsulation frame-relay


i

interface SerialO.1 point-to-point ip address 140.100.64.1 255.255.255.0 ip router isis frame-relay interface-dlci 629 isis circuit-type level-2-only ! Configure Level 2 routing on the interface
i

interface SerialO.2 point-to-point ip address 140.100.32.1 255.255.255.0 ip router isis frame-relay interface-dlci 931 isis circuit-type level-2-only Configure Level 2 routing on the interface
i

router isis

Configuracin de la sumarizacin
Una vez que el esquema de direccionamiento de red es interpretado, la configuracin de la sumarizacin es sencilla. Hay tres claves respecto a esto ltimo y son las siguientes: 1. La sumarizacin se configura en los router de nivel 1-2 2. Todos los routers de nivel 1-2 en un rea tienen que sumarizar de la misma manera. 3. Los routers no pueden sumarizar dentro de un rea, slo entre reas.

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 143

Para configurar la sumarizacin se utiliza el comando summary-address seguido de la direccin IP que representa la sumarizacin y la mscara de subred luego del proceso de enrutamiento. Las rutas IP del router B del siguiente ejemplo son sumarizadas en las reas 001 y 003. Este router pertenece a ms de un rea por lo tanto es de nivel 1-2.

rea 0003
interface EthernetO ip address 140.100.104.1 255.255.255.0 ip router isis isis circuit-type level-1
i

interface SerialO no ip address encapsulation frame-relay

interface SerialO.2 point-to-point ip address 140.100.32.2 255.255.255.0 ip router isis isis circuit-type level-2-only frame-relay interface-dlci 931

www.FreeLibros.com

144

REDES CISCO. CCNP a Fondo

RA-M A

interface SerialO.3 point-to-point ip address 140.100.16.2 255.255.255.0 ip router isis isis circuit-type level-2-only frame-relay interface-dlci 631

router isis summary-address 140.100.104.0 255.255.252.0 ! Advertises 140.100.104.0/22 net 49.0002.0000.0000.000b.00

Configuracin NBMA
IS-IS reconoce dos tipos de redes, broadcast y punto a punto. Si el enlace de red no es una lnea serial conectada a un slo router, es decir, punto a punto, IS IS automticamente definir el enlace como broadcast. Debido a que NBMA no es ninguna de las opciones de topologa aceptadas por IS-IS, se deben tener en cuenta ciertas consideraciones a la hora de su configuracin. Para interfaces WAN multiacceso como por ejemplo ATM, x-25 o FrameRelay, es altamente recomendable que la configuracin de la nube NBMA se realice como una topologa de mltiples subinterfaces punto a punto. Este diseo es menos complejo que el modo broadcast resultando una topologa ms slida y cuya configuracin ser tambin ms simple. Un clsico ejemplo de redes NBMA es Frame-Relay, que soporta entornos tanto punto a punto como entornos mallados, aunque como se ha dicho en prrafos anteriores siempre se recomienda enlaces punto a punto.

Configuracin de broadcast en una red NBMA


Si la nube NBMA es totalmente mallada una de las opciones puede ser configurar IS-IS en modo broadcast, aunque no es la mejor opcin. De esta manera IS-IS tratar la red como un medio tipo broadcast y entrara en juego la eleccin del DIS. Si la eleccin del DIS se hace manualmente, hay que tener en cuenta la topologa, el flujo de los datos y la capacidad de los routers. Habitualmente este tipo de topologas no es elegido debido a su complejidad. Los helio y las actualizaciones de enrutamiento son empleados de manera diferente en entornos broadcast y en enlaces punto a punto. Todas las interfaces conectadas a la nube deben estarlo de la misma manera, de lo contrario los helio sern rechazados y no se establecern las adyacencias correspondientes.

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 145

El

siguiente ejem plo m uestra la co n fig u ra ci n de

IS-IS

en u n entorno

F ra m e -R e la y totalm ente m a lla d o:

ROUTER A B C D E F
interface EthernetO

DIRECCION ISO
49.0001.0000.0000.000A.00

49 .O O O 2.O O O O .O O O O .O O O B.O O
49.0003.0000.0000.000c.00 49.0001.0000.0000.000D.00 49.0002.000.OOOO.OOOE.OO 49.0003-OOOO.OOOO.OOOF.OO

ip address 140.100.96.1 255.255.255.0 ip router isis isis circuit-type level-1

i
interface SerialO ip address 140.100.64.1 255.255.255.0 ip router isis

www.FreeLibros.com

146

REDES CISCO. CCNP a Fondo

RA-M A

encapsulation frame-relay frame-relay map clns 629 broadcast IMaps DLCI to the clns process of Router C frame-relay map clns 931 broadcast !Map DLCI to the clns process of Router B frame-relay map ip 140.100.64.2 931 broadcast IMaps DLCI to the Destination IP address of Router B frame-relay map ip 140.100.64.3 629 broadcast IMaps DLCI to the Destination IP address of Router C isis circuit-type level-2-only

router isis net 49.0001.0000.0000.000a.00

El comando frame-relay map ip mapea la direccin IP de destino a travs del DLCI de salida y define la interfaz como broadcast. IS-IS utiliza los enlaces como si fueran enlaces broadcast eligindose un DIS. El comando frame-relay map clns mapea un DLSI hacia un proceso CLNS en el router de destino, sin este comando no aparecern rutas en la tabla de enrutamiento porque IS-IS no podra recibir tramas IS-IS conteniendo LSP. La informacin de IS-IS no viaja en paquetes IP o CLNS, es encapsulada en una trama similar al CLNS y es fundamental para construir la tabla de enrutamiento. Una solucin alternativa o incluso superior es definir subinterfaces y configurar cada una como enlaces punto a punto.

Configuracin de punto a punto en una red NBMA


Las configuraciones punto a punto requieren una direccin IP para cada enlace. Esta es la manera ms recomendable de ejecutar IS-IS sobre redes NBMA, siendo adems la nica manera de hacerlo en redes que no sean de malla completa. Las configuraciones son ms simples y no se requiere la configuracin de los comandos frame-relay map. Slo es necesario crear las subinterfaces, configurarlas como punto a punto, iniciar Frame-Relay, definir los DLSI y, como es lgico, el proceso IS-IS para cada una de las interfaces.

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 147

El siguiente ejemplo muestra este tipo de configuracin. Ms abajo se muestra la configuracin en particular del router A.

ROUTER
A

DIRECCION ISO
49.0001.0000.0000.000A.00 49.0002.0000.O O O O .O O O B.O O 49.0003.0000:0000.000C.00 49.0001.0000.0000.000D.00 49.0002.0000.0000.000E.00 49.0003.0000.0000.000F.00

B C D E F

interface EthernetO ip address 140.100.96.1 255.255.255.0 ip router isis

interface SerialO no ip address encapsulation frame-relay Configure Frame Relay for the interface

www.FreeLibros.com

148

REDES CISCO. CCNP a Fondo

RA-M A

interface SerialO.1 point-to-point Configure subinterface to be point-to-point ip address 140.100.64.1 255.255.255.0 ip router isis frame-relay interface-dlci 629 Define the DLCI to the destination interface SerialO.2 point-to-point ! Configure subinterface as point-to-point ip address 140.100.32.1 255.255.255.0 ip router isis Frame-relay interface-dlci 931 ! Defines DLCI to the destination

Router isis net 49.0001.0000.0000.000a.00

VERIFICACIN IS IS
Los siguientes comandos son sumamente tiles para la verificacin de IS IS. Las sintaxis de estos comandos est basada en la siguiente topologa y en la configuracin del router A:

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 149

ROUTER A B C D E F

DIRECCIN ISO 49 .OOOI.OOOO.OOOO.OOOA.OO


49.0002.0000.0000.000B.00 49.0003.0000.0000.000c.00 49.0001.0000.0000.000D.00 49.0002.0000.0000.O O O E.O O 49.0003.0000.0000.000F.00

interface EthernetO ip address 140.100.96.1 255.255.255.0 ip router isis isis circuit-type level-1

i
interface SerialO no ip address encapsulation frame-relay

i
interface SerialO.1 point-to-point ip address 140.100.64.1 255.255.255.0 ip router isis isis circuit-type level-2-only frame-relay interface-dlci 629

i
interface SerialO.2 point-to-point ip address 140.100.32.1 255.255.255.0 ip router isis isis circuit-type level-2-only frame-relay interface-dlci 931

router isis net 49.0001.0000.0000.000a.0

show clns neighbors: muestra el contenido de la tabla de vecinos y el estado de la tabla de enlace. EL SNPA es la direccin MAC de la interfaz.
show clns area-tag neighbors [type number] [area] [detail]

Campo
area-tag type number Area detail

Descripcin
Nombre del proceso IS-IS multiproceso. Opcional, define el tipo y nmero de interfaz. Opcional, muestra las adyacencias CLNS multi-rea. Opcional, muestra detalles sobre cada adyacencia.

www.FreeLibros.com

150

REDES CISCO. CCNP a Fondo

RA-M A

RouterA#show clns neighbors System Id Interface SNPA State Holdtime 0000.0000.000B Se0.2 DLCI 931 Up 22 0000.0000.000C SeO.l DLCI 629 Up 23 0000.0000.000D EtO OOeO.Ie3d.d56f Up 8

Type L2 L2 Ll

Protocol IS-IS IS-IS IS-IS

Este comando es til para verificar de manera rpida la conectividad, muestra todos los vecinos, los DLCI, el tipo de nivel, etc. Si se requiere mayor profundidad en los datos se puede utilizar el comando show clns neighbor detail. Tambin es til para verificar el esquema de direccionamiento de la red.
RouterA#show clns neighbor detail System Id Interface SNPA State Holdtime Type Protocol 0000.0000.000B Se0.2 DLCI 931 Up 27 L2 IS-IS Area Address(es): 49.0002 IP Address(es): 140.100.32.2* Uptime: 00:05:17 0000.0000.000C SeO.l DLCI 629 Up 28 L2 IS-IS Area Address(es): 49.0003 IP Address(es): 140.100.64.3* Uptime: 00:05:22 0000.0000.000D EtO 00e0.le3d.d56f Up 7 Ll IS-IS Area Address(es): 49.0001 IP Address(es): 140.100.96.2* Uptime: 00:15:01

Campo
System ID Interface SNPA

Descripcin
Direccin del Sistema (6 bytes). Interfaz en la que el vecino fue conocido. Punto de unin a subred (direccin data-link). Los estados son los siguientes: Init. Inicializando. El router est esperando por un mensaje helio de IS-IS. Up. El otro Sistema es alcanzable. Down. El otro Sistema no es alcanzable. Segundos antes de que la adyacencia expire. Tipos de adyacencia, incluye: ES: adyacencia del sistema final. Router adjacency: descubierta va ES-IS o estticamente configurada.

State

Holdtime

Type

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 151

Ll

Muestra las adyacencias Level 1 (opcional). Muestra las adyacencias Level 1 y Level 1-2 (opcional). Muestra las adyacencias Level 2 (opcional). El protocolo de enrutamiento usado para aprender la adyacencia (ES-IS, IS-IS, ISO IGRP, Static, o DECnet).

L1L2

L2

Protocol

show clns interface: configuraciones deficientes en las interfaces provocan que no se establezcan adyacencias. Normalmente es un problema de desigualdad de los parmetros utilizados. Estas configuraciones pueden ser vistas con el comando show clns interface.
Router#show clns Interface [type number] RouterA#show clns interface
EthernetO is up, line protocol is up Checksums enabled, MTU 1497, Encapsulation SAP ERPDUs enabled, min. interval 10 msec. CLNS fast switching enabled CLNS SSE switching disabled

DEC compatibility mode OFF for this interface Next ESH/ISH in 47 seconds Routing Protocol: IS-IS Circuit Type: level-1-2 Interface number 0x0, local circuit ID 0x1 Level-1 Metric: 10, Priority: 64, Circuit ID: A.01 Number of active level-1 adjacencies: 0 Level-2 Metric: 10, Priority: 64, Circuit ID A.01 Number of active level-2 adjacencies: 1 Next IS-IS LAN Level-1 Helio in 1 seconds Next IS-IS LAN Level-2 Helio in 1 seconds SerialO is up, line protocol is up CLNS protocol processing disabled SerialO.1 is up, line protocol is up Checksums enabled, MTU 1500, Encapsulation FRAME-RELAY ERPDUs enabled, min. interval 10 msec. CLNS fast switching disabled CLNS SSE switching disabled DEC compatibility mode OFF for this interface Next ESH/ISH in 58 seconds Routing Protocol: IS-IS Circuit Type: level-1-2 Interface number 0x1, local circuit ID 0x100 Level-1 Metric: 10, Priority: 6 4, Circuit ID: A.00

www.FreeLibros.com

152

REDES CISCO. CCNP a Fondo

RA-M A

Number of active level-1 adjacencies: 0 Level-2 Metric: 10, Priority: 64, Circuit ID: A . 00 Number of active level-2 adjacencies: 1 Next IS-IS Helio in 2 seconds SerialO.2 is up, line protocol is up Checksums enabled, MTU 1500, Encapsulation FRAME-RELAY ERPDUs enabled, min. interval 10 msec. CLNS fast switching disabled CLNS SSE switching disabled DEC compatibility mode OFF for this interface Next ESH/ISH in 24 seconds Routing Protocol: IS-IS Circuit Type: level-1-2 Interface number 0x2, local circuit ID 0x101 Level-1 Metric: 10, Priority: 64, Circuit ID: A . 00 Number of active level-1 adjacencies: 0 Level-2 Metric: 10, Priority: 64, Circuit ID: A.00 Number of active level-2 adjacencies: 1 Next IS-IS Helio in 886 milliseconds

Campo
Checksum MTU Encapsulation Routing Protocol

Descripcin
Puede estar habilitado o deshabilitado. Tamao mximo de un paquete transmitido en esta interfaz. La encapsulacin es siempre SAP (ISOl). Indica si est funcionando ES-IS o IS-IS adems del tipo de helio enviados. Muestra si el enlace est habilitado para Level 1, Level 1-2 o Level 2 de routing. Valor de la mtrica de la interfaz de salida para routing Level-1. Por defecto es 10. La configuracin de la prioridad para la eleccin del DIS, por defecto es 64. Identifica el DIS para Level 1 en caso de que est presente. Nmero de adyacencias de Level 1 formadas en este enlace. Valor de la mtrica de la interfaz de salida para routing Level-2. Por defecto es 10. La configuracin de la prioridad para la eleccin del DIS.

Circuit Type

Level-1 Metric

Priority

Circuit ID Number of Active Level-1 Adjacencies Level-2 Metric

Priority

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 153

Circuit ID Number of Active Level-2 Adjacencies Next IS-IS LAN Level-1 Helio Next IS-IS LAN Level-2 Helio

Identifica el DIS para Level 2 en caso de que est presente. Nmero de adyacencias de Level 2 formadas en este enlace. Nmero de segundos antes de que el prximo helio sea esperado. Nmero de segundos antes de que el prximo helio sea esperado.

show isis database: muestra las LSP almacenadas en la base de datos local. El ID del LSP muestra el System ID del router que la ha generado y si pertenece a un router o un seudo-nodo. La base de datos debe ser idntica dentro del mismo nivel y rea.
show isis area-tag database [lspid] [level-1] [level-2] [11] [12] [detail]

Campo
area-tag

Descripcin
Nombre del proceso. Muestra la base de datos de estado de enlace para nivel 1, es opcional. Muestra la base de datos de estado de enlace para nivel 2, es opcional. Opcional, es la abreviatura para nivel 1. Opcional, es la abreviatura para nivel 2. Es opcional y muestra cada LSP. Identifica la PDU de estado de enlace y muestra el contenido especfico de LSP, es opcional.

level-1

level-2

11 12 detail

lspid

RouterA#show isis database IS-IS Level-1 Link State Database: LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL A.00-00 * 0x00000017 0x76D5 876 1/0/0 IS-IS Level-2 Link State Database: LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL

www.FreeLibros.com

154

REDES CISCO. CCNP a Fondo

RA-M A

A.00-00 * 0x00000018 0000.0000.000B.00-00 OxOOOOOOlA 0000.0000.000B.01-00 0x00000016 C.00-00 OxOOOOOOlE C.01-00 0x00000002 0000.0000.000E.00-00 0x00000018 0000.0000.000D.00-00 OxOOOOOOlA 0000.0000.000D.04-00 0x00000017

0xB74F 0xB561 0x6045 0x6267 0xF25F OxOlOA 0x4l3C OxFCAO

881 872 1095 869 958 858 985 1006

0/0/0 0/0/0 0/0/0 0/0/0 0/0/0 0/0/0 0/0/0 0/0/0

Campo

Descripcin
Indica el router que est transmitiendo. El System ID es seguido por dos octetos. Si el primer octeto es mayor que 0x00 indica que es el DIS. El ltimo octeto indica que si el valor es 0x00 el LSP ha sido enviado completo, de lo contrario ser un fragmento. Nmero de secuencia del LSP. Asegura la integridad de la base de datos al llevar un control de las secuencias de recibo. Control para el paquete LSP completo. Perodo de tiempo en el que el LSP se mantiene vlido. Se mide en segundos. Si tiene un valor 0 indica que ha sido purgado y que est siendo borrado de la base de datos de estado de enlace. El LSP indica que es un router de nivel 2 con rutas fuera del rea. Los routers de nivel 1 lo utilizan para identificar el router de nivel 1-2 ms cercano, al que envan datos fuera del rea. Partition repair capability, no soportado por Cisco. Overload o sobrecarga, indica que el router tiene la base de datos completa debido a una sobrecarga de memoria.

LSPID

LSP Seq Num

LSP Checksum

LSP Holdtime

ATT

OL

show isis database detail: este comando muestra el LSP completo y los campos correspondientes de manera individual.

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 155

La siguiente sintaxis muestra una salida de este comando, se puede observar cada LSP, su rea y la direccin IP de la interfaz que est transmitiendo adems del coste para las rutas IP conocidas. La mtrica por defecto es 10, es decir, que una mtrica de 20 indica que el prefijo est a dos saltos de distancia.
isis database detail IS-IS Level-1 Link State Database: LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL A . 00-00 * 0x00000017 0x76D5 873 1/0/0 Area Address: 49.0001 NLPID : OxCC
RouterA#show

140.100.32.1 IP 140.100.96.0 255.255.255.0 IP 140.100.64.0 255.255.255.0 IP 140.100.32.0 255.255.255.0 IS A.01 IS-IS Level-2 Link State Database: LSPID LSP Seq Num LSP Checksum LSP Holdtime ATT/P/OL A. 00-00 * 0x00000018 0xB74F 877 0 / 0/0 Area Address: 49.0001 OxCC NLPID:
Hostname: A IP Address: 140.100.32.1 IS 0000.0000.000B.00 Metric: 10 IS C.00 Metric: 10 IS 0000.0000.000D.04 Metric: 10 IP 140.100.96.0 255.255.255.0 Metric: 10 IP 140.100.64.0 255.255.255 0 Metric: 10 IP 140.100.32.0 255.255.255 0 Metric: 10

Hostname:A IP Address: Metric: 10 Metric: 10 Metric: 10 Metric: 10

0000.0000.000B.00-00 OxOOOOOOlA 0xB561 Area Address: 49.0002 OxCC NLP I D : 140.100.16.2 IP Address IS A.00 Metric: 10 IS C.00 Metric: 10 IP 140.100.104 255.255.255 Metric: 10 IP 140.100.105 Metric: 20 255.255.255 IP 140.100.106.0 255.255.255. Metric: 20 IP 140.100.107.0 255.255.255. Metric: 20 IP 140.100.32.0 255.255.255.0 Metric: 10 IP 140.100.16.0 255.255.255.0 Met r i c : 10 0000.0000.000B.01-00 0x00000016 0x6045 Metric: 0 IS 0000.0000.000B.00 Metric: 0 IS 0000.0000.000E.00 C.00-00 OxOOOOOOlE 0x6267 863 0/0/0 Area Address: 49.0003 NLPID: OxCC Hostname: C IP Address: 140.100.100.1

868 0 / 0/0

1089 0/0/0

www.FreeLibros.com

156

REDES CISCO. CCNP a Fondo

RA-M A

Metric: 10 IS C.02 Metric: 10 IS A.00 Metric: 10 IS 0000.0000.000B.00 Metric: 10 IP 140.100.100.0 255.255.255.0 Metric: 10 IP 140.100.64.0 255.255.255.0 Metric: 10 IP 140.100.16.0 255.255.255.0 C.01-00 0x00000002 0xF25F Metric: 0 IS C.00 0x00000018 OxOlOA 850 0/0/0 Area Address: 49.0002 0000.0000.000E.00-00 NLPID: OxCC IP Address: 140.100.105.1 M e t r i c : 10 IS 0000.0000.000B.01 M e t r i c : 10 IP 140.100.104.0 255.255.255.0 M e t r i c : 10 IP 140.100.105.0 255.255.255.0 M e t r i c : 10 IP 140 100.106.0 255.255.255.0 M e t r i c : 10 IP 140 100.107.0 255.255.255.0 M e t r i c : 20 IP 140 100.32.0 255.255.255.0 M e t r i c : 20 IP 140 100.16.0 255.255.255.0 0000.0000.000D.00-00 OxOOOOOOlA 0x413C Area Address: 49.0003 NLPID: OxCC IP Address: 140.100.97.1 Metric: 10 IS 0000.0000.000D.04 Metric: 10 IP 140.100.96.0 255.255.255.0 Metric: 10 IP 140.100.97.0 255.255.255.0 Metric: 10 IP 140.100.98.0 255.255.255.0 Metric: 10 IP 140.100.99.0 255.255.255.0 0000.0000.000D.04-00 0x00000017 OxFCAO Metric: 0 IS 0000.0000.000D.00 Metric: 0 IS A . 00

951 0/0/0

976 0/0/0

996 0/0/0

Campo

Descripcin

Area Address

Direcciones de rea que pueden ser alcanzadas desde este router. Muestra el coste entre la interfaz de salida y el vecino advertido o la suma del coste del router que est advirtiendo y el vecino advertido.

Metric

www.FreeLibros.com

RA-MA

CAPTULO 3. IS-IS 157

RESOLUCIN d e

fallo s

EN IS-IS

A pesar de planificarse al mximo, las configuraciones pueden estar mal planteadas o fallar. Los siguientes comandos ayudan a solucionar los problemas que pueden surgir ante estas situaciones. Show isis spf-log: con este comando se pueden conocer los eventos que han generado reclculos SPF para las ltimas 20 acciones. El siguiente ejemplo muestra que el router A envi una LSP y que posteriormente repiti la operacin al establecer nuevamente las adyacencias.
RouterA#show isis spf-log Level 1 SPF log When Duration Nodes Count 1 A. 00-00 1 0 04:23:24 1 1 0 04:08:46 1 1 0 03:53:46 1 1 0 03:38:46 1 1 0 03:23:46 1 1 0 03:08:46 1 1 0 02:53:46 00:53:46 00:38:47 00:23:47 00:15:14 00:08:46

TLVCODE PERIODIC PERIODIC PERIODIC PERIODIC PERIODIC PERIODIC

1 1 PERIODIC 0 1 1 PERIODIC 0 1 1 PERIODIC 0 2 A. 00-00 ATTACHFLAG LSPHEADER 0 1 PERIODIC 1 1 0 Level 2 SPF log When Duration Nodes Count 1 1 PERIODIC 0 03:53:48 PERIODIC 1 1 0 03:38:48 PERIODIC 1 1 0 03:23:48 PERIODIC 1 1 0 03:08:48 PERIODIC 1 1 0 02:53:48 PERIODIC 1 1 0 02:38:48 0 0 0 0 4 4 1 1 3 3 4 7 1 1 5 1 4 5 PERIODIC PERIODIC A. 00-00 NEWDJ LSPHEADER TLVCONTENT PERIODIC A. 00-00 NEWADJ TLVCONTENT 0000.0000.000B.00-00 LSPHEADER

00:38:48 00:23:48 00:15:22 00:08:48 00:05:44 00:05:38 TLVCONTENT

www.FreeLibros.com

158

REDES CISCO. CCNP a Fondo

RA-M A

Campo
When Duration Nodes Count trigger LSP Triggers

Descripcin Es el perodo de tiempo desde que se produjo un reclculo SPF. Muestra las ltimas 19 acciones enhh:mm:ss. Milisegundos que se tard en ejecutar dicha accin SFP. Cantidad de routers y seudo-nodos calculados en la ejecucin de SPF. Cantidad de eventos ocurridos antes de ejecutar un SFP completo. Cuando un clculo completo de SPF ocurre, el ID del LSP se guarda. Lista de todos los eventos que activaron un clculo completo de SPF.

Comandos debug: este comando es una potente herramienta para la resolucin y anlisis de problemas, pero, como siempre, se indica con la cantidad suficiente de proceso como para dejar sin capacidad de memoria y CPU al router. Los comandos debug se describen en la siguiente tabla y para desactivarlos bastar con interponer un No al comando que lo habilit. Un recurso interesante es redirigir los archivos log debido a que cada carcter que se enve a la consola genera una interrupcin en el procesador. Comando
debug isis adj acenciespackets

Descripcin Muestra toda la actividad relativa a las adyacencias. Paquetes helio enviados y recibidos y cambios de las adyacencias en IS-IS. Muestra las estadsticas sobre la elaboracin de rutas entre los routers. Muestra los SNP y los LSP detectados por el router.

debug isis spfstatistics debug isis updatepackets

www.FreeLibros.com

Captulo 4

IMPLEMENTACIONES CON CISCO IOS


REDISTRIBUCIN
Los protocolos de enrutamiento presentan diferentes ventajas y desventajas en distintas situaciones. Un protocolo soportado por dispositivos antiguos como puede ser RIP, que no soporta la operacin de classless, puede ser perjudicial en un entorno de ncleo donde pueden convivir protocolos como OSPF, IS-IS o EIGRP. Es lgico pensar que la mayora de las empresas utilicen el protocolo ms apropiado para su organizacin y que incluso deban ser varios de tipos diferentes. La informacin de enrutamiento entre protocolos diferentes debe ser adaptada a cada uno de ellos, es lo que se llama redistribucin. La redistribucin es un proceso complejo, es importante comprender la operacin de este proceso y cmo afecta al funcionamiento de la red. Cada protocolo de enrutamiento dentro de un sistema autnomo (AS) es un dominio de enrutamiento. Las rutas redistribuidas dentro'de un dominio de enrutamiento se llaman rutas externas, mientras que las rutas nativas a ese dominio son las rutas internas. La mtrica es el proceso principal de seleccin de rutas para un protocolo de enrutamiento. Por lo tanto habr que asumir parmetros por defecto para que dichas mtricas sean aceptadas por otros protocolos de enrutamiento cuando exista un proceso de redistribucin.

www.FreeLibros.com

160

REDES CISCO. CCNP a Fondo

RA-M A

Al efectuar la redistribucin el router ejecuta dos pasos bsicos: 1. El router busca en sus tablas de enrutamiento todas las rutas del protocolo origen y las enva al protocolo destino. 2. El router busca todas las interfaces que estn asociadas al proceso de enrutamiento y las enva al protocolo destino. La siguiente figura muestra una topologa con varios routers que utilizan diferentes protocolos de enrutamiento. El router B tiene entradas de RIP y OSPF. El router C est conectado utilizando EIGRP, pero este protocolo slo sirve para el enlace entre B y C, no propagar rutas que no sean EIGRP. Las actualizaciones de RIP enviadas por las interfaces no incluyen redes de OSPF ni entradas de EIGRP. El router C tiene slo redes directamente conectadas, y aunque EIGRP ha sido configurado, slo propagar las rutas directamente conectadas va EIGRP y utilizar una ruta por defecto apuntando hacia el router B.

La redistribucin slo es viable para procesos de enrutamiento que utilizan el mismo sistema de enrutamiento, es decir, que slo se puede redistribuir entre protocolos que utilizan IPv4 o IPv6, por ejemplo OSPF con EIGRP o RIP en IPv4 y RIPng con OSPFv3.

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

161

Protocolo de enrutamiento Static

Polticas de Redistribucin Requiere redistribucin manual dentro de los dems protocolos de enrutamiento. A menos que est incluida en el comando network del proceso de enrutamiento, requiere redistribucin manual. Requiere redistribucin manual. Redistribuir automticamente entre IGRP y EIGRP si el nmero de sistema autnomo es el mismo. De otra forma requiere redistribucin manual. Requiere redistribucin manual entre diferentes procesos de OSPF y otros protocolos. Requiere redistribucin manual. Requiere redistribucin manual.

Connected

RIP

EIGRP

OSPF IS-IS BGP

La siguiente figura ilustra el proceso de redistribucin dentro de una misma organizacin. Las principales razones para tener mltiples protocolos son: La organizacin est en proceso de trnsito de un protocolo de enrutamiento a otro. La empresa quiere pasar de varios protocolos de enrutamiento a uno slo. Luego de una fusin entre empresas se requiere un anlisis del mejor diseo de red. Existen varios administradores de red que an no han unificado criterios de enrutamiento. Si el dominio de enrutamiento es grande los diferentes entornos pueden tener distintos tipos de necesidades, haciendo que un nico protocolo sea inadecuado. Por ejemplo, EIGRP dentro de la empresa y BGP para conectar diferentes centros.

www.FreeLibros.com

162

REDES CISCO. CCNP a Fondo

RA-M A

Funciones de enrutamiento que afectan a la redistribucin


La redistribucin es la respuesta para dar solucin para ejecutar mltiples protocolos dentro de una red y mantener la conexin dentro de la misma. Antes de establecer distribuciones es necesario conocer posibles problemas que pueden surgir, hay que conocer el funcionamiento de los protocolos y cmo seleccionan las rutas para ser agregadas a la tabla de enrutamiento.

Las mtricas y la redistribucin


Existen diferentes protocolos de enrutamiento para IP y cada uno utiliza mtricas diferentes. Si dos protocolos necesitan compartir informacin por medio de la redistribucin hay que tener en cuenta las diferencias entre las mtricas. Al redistribuir el protocolo que recibe la informacin no tiene un punto de referencia para la mtrica, como es el caso de RIP que no soportara una mtrica de 856. No existe la forma de que los algoritmos puedan comparar la mtrica entre diferentes protocolos. Cuando las rutas son aceptadas dentro de un nuevo protocolo hay que establecer una mtrica de partida para poder calcular la mtrica de este nuevo protocolo. La mtrica de partida (tambin llamada semilla) se asigna a todas las rutas recibidas dentro de un proceso a travs de la redistribucin. Esta mtrica es incrementada desde ese punto a travs de todo el protocolo de enrutamiento. Existen valores de mtrica por defecto, pero muchas veces ese valor por defecto impide que las rutas entren en la tabla de enrutamiento.

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

163

Protocolo EIGRP

Mtrica base Infinita

Accin La ruta no es aadida a la tabla de enrutamiento La ruta es aadida a la tabla de enrutamiento La ruta es aadida a la tabla de enrutamiento La ruta es aadida a la tabla de enrutamiento

IS-IS

0 20 para tipo 2, para las a BGP es 1 MED se toman los valores del IGP

OSPF

BGP

Seleccin de rutas a travs de protocolos de enrutamiento


Cuando los protocolos tienen rutas hacia iguales destinos remotos el proceso de enrutamiento debe decidir qu camino incluir dentro de la tabla de enrutamiento. Tomando en cuenta que las mtricas difieren de un protocolo a otro, esta seleccin se realiza basndose en la distancia administrativa. Recuerde que los routers prefieren siempre la menor distancia administrativa. Cuando se redistribuye dentro de protocolos de enrutamiento IP existen algunas consideraciones a tener en cuenta: Si se est ejecutando ms de un protocolo de enrutamiento, la tabla de enrutamiento incluir la ruta con la distancia administrativa menor. Los protocolos de enrutamiento slo podrn redistribuir las rutas que conocen, por ejemplo si se redistribuye RIP en EIGRP, la tabla de enrutamiento debe tener una entrada para la red de RIP. Cuando una ruta es redistribuida, adquiere la distancia administrativa del nuevo protocolo. Las rutas redistribuidas son denominadas externas.

www.FreeLibros.com

164

REDES CISCO. CCNP a Fondo

RA-MA

Posibles problemas al redistribuir


Un sistema de direccionamiento IP jerrquico diseado para permitir un crecimiento de la red combinado con un simple protocolo de enrutamiento que tenga la capacidad de soportar dicho crecimiento, proporciona una red rpida, estable y confiable. Sin embargo es difcil encontrar redes que slo ejecuten un slo protocolo de enrutamiento, para esos casos es necesario recurrir a la redistribucin. Las soluciones a los problemas ocasionados a partir de la redistribucin son difciles de detectar, debido a que los sntomas aparecen muchas veces lejos de donde se ha configurado el error. Los problemas originados como resultado de una redistribucin incorrecta son los siguientes: Bucles de enrutamiento, los routers envan la informacin de enrutamiento recibida de un AS dentro de ese mismo sistema autnomo. Eleccin de rutas menos ptimas debido a las diferentes mtricas de enrutamiento. El tiempo de convergencia se incrementa debido a las diferentes tecnologas involucradas. Si los diferentes protocolos de enrutamientos convergen en diferentes tiempos puede hacer que se pierdan redes de manera temporal. El proceso de la toma de decisiones y la informacin enviada por algunos protocolos podra ser incompatible con otros protocolos generando errores y configuraciones complejas.

Solucin de problemas al redistribuir


Los bucles de nivel 3 ocurren cuando un protocolo de enrutamiento redistribuye rutas dentro de otro protocolo y recibe esas mismas rutas de vuelta. Este proceso se llama retroalimentacin de rutas (route feedback). Debido a que la mtrica es puesta a cero cuando se ejecuta laredistribucin, elprotocolo de enrutamiento podra verlo como una ruta msadecuada, crendose una enorme confusin. Este problema puede solucionarse con las siguientes configuraciones: Cambiar la mtrica. Cambiar la distancia administrativa.

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

165

Usar rutas por defecto. Utilizar interfaces pasivas con rutas estticas. Utilizar litas de distribucin.

Ms adelante se detallarn las configuraciones de estas soluciones. Restringir la informacin enviada a travs de varios dominios es muchas veces necesario debido a la complejidad de la red reduciendo as la posibilidad de un bucle de enrutamiento. Esto puede hacerse mediante listas de acceso (ACL). Teniendo en cuenta que la distancia administrativa no tiene referencias con la mtrica, muchas veces la ruta elegida no es la de mejor mtrica. Ladistancia administrativa se puede cambiar manualmente con* especial cuidado debidoa que se est manipulando la manera natural que tiene el router de seleccionar las rutas. Esto no debe cambiar los patrones de trficos estipulados dentro de la organizacin. El siguiente comando cambia la distancia administrativa dentro de un protocolo:
Router (conf ig-router )# distance weight [network wi Idear d-mask]J

Recuerde que para las rutas estticas la distancia administrativa es un valor opcional que se coloca al final del comando:
Router(config)# ip route network [mask] {address \ interface} [distance]

Adems de los bucles de enrutamiento otro de los problemas que pueden surgir al redistribuir es el enrutamiento menos adecuado o con peor mtrica (subptimo). Por ejemplo, la distancia administrativa selecciona una ruta menos adecuada cuando existe una red directamente conectada que como un enlace de backup. Aunque ste es un problema de la distancia administrativa, es importante que esa ruta menos adecuada o con peor mtrica no sea propagada dentro del protocolo de enrutamiento al ejecutar la redistribucin. Al disear una red es necesario tener en cuenta los siguientes pasos cuando se configura la redistribucin para evitar los problemas antes mencionados: Hay que tener claro y poseer la documentacin necesaria de: o o o La topologa de la red, fsica y lgica, Los dominios de los protocolos de enrutamiento. El flujo del trfico.

www.FreeLibros.com

166

REDES CISCO. CCNP a Fondo

RA-MA

No solapar protocolos de enrutamiento. Es mucho ms fcil separarlos en diferentes dominios con router actuando como ABRS (OSPF) separando dichos dominios. Esto es lo que se llama comnmente protocolos de core y protocolos edge. Identificar los routers frontera en los cuales se configurar la redistribucin. Determinar cul ser un protocolo de core y cul un protocolo edge. Determinar dentro de qu protocolo se van a redistribuir las rutas.

Si se utiliza redistribucin bidirecional habr que tener en cuenta los siguientes mecanismos: o o o Configurar la mtrica manualmente, Configurar la distancia administrativa manualmente, Utilizar listas de acceso.

Los problemas de los tiempos de convergencia son una de las mayores preocupaciones que existen en un entorno de red. Existen protocolos opuestos tales como RIP, que es muy lento para converger, y EIGRP, que es considerado uno de los ms rpidos. Al compartir informacin entre ambos podran generarse problemas al redistribuir. La red converge a la velocidad del protocolo ms lento, en ciertos puntos esto podra causar timeout y bucles en la red. Habr que calcular y ajustar los temporizadores para solventar estos problemas. Cualquier configuracin en el protocolo de enrutamiento debe hacerse con un total conocimiento de toda la red y de los routers que deben ser configurados. Como norma general los temporizadores deben ajustarse con los mismos valores en todos los routers de la red. El proceso de toma de decisiones y el mecanismo en que la informacin viaja dentro de los protocolos podra ser incompatible y no fcilmente intercambiado generando errores y configuraciones complejas. Cada protocolo de enrutamiento mantiene parmetros especficos propios, entre los cuales se incluyen las mtricas. Parte de la funcin de la redistribucin es administrar estos parmetros entre protocolos de enrutamiento de la mejor manera posible. Esto se ve reflejado cuando la mtrica de un protocolo difiere en su constitucin con el otro. Al redistribuir dentro de OSPF con EIGRP la mtrica de OSPF (coste) se debe redistribuir a varios valores que utiliza EIGRP (bandwidth, load, reliability, delay y MTU) esto puede ser muy limitante. De manera inversa cuando se redistribuye dentro de EIGRP la opcin de configuracin de la mtrica suele ser ajuicio de los administradores ya que existen varias posibilidades y habr que encontrar la que mejor adapte el nico valor de OSPF a los cinco de EIGRP.

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

167

CONTROL DE LAS ACTUALIZACIONES DE ENRUTAMIENTO DURANTE LA REDISTRIBUCIN


Controlar las actualizaciones de enrutamiento puede se beneficioso por las siguientes causas: Para ocultar parte de la red al resto de la organizacin, creando un mbito seguro. Para prevenir bucles de enrutamiento. Para controlar la sobrecarga de red.

Existen varios mtodos para controlar el trfico de enrutamiento cuando se redistribuye: Interfaces pasivas. Rutas estticas. Rutas por defecto. Las interfaces nuil. Listas de distribucin. Mapas de rutas.

Interfaz pasiva: una interfaz pasiva no participa en el proceso de enrutamiento. En RIP el proceso escucha pero no enva actualizaciones de enrutamiento en una interfaz que es pasiva. En OSPF y EIGRP no se envan helio, por lo tanto nunca se podrn formar relaciones de vecindad a travs de la interfaz pasiva. La interfaces que participan en el proceso de enrutamiento son controladas por la configuracin de la interfaz, dicha configuracin instruye al proceso de enrutamiento para que sepa qu interfaces utilizar p o r. medio del comando network. El comando passive interface es til para deshabilitar el proceso de enrutamiento en interfaces especficas y ayuda a prevenir bucles. Rutas estticas: una ruta esttica es la que fue configurada manualmente. Estas toman mayor preferencia a las aprendidas dinmicamente a travs de un protocolo de enrutamiento por su menor distancia administrativa.

www.FreeLibros.com

168

REDES CISCO. CCNP a Fondo

RA-M A

Las rutas estticas no son del todo prcticas en un entorno amplio ya que no pueden aprender dinmicamente los cambios en la topologa de la red. Sin embargo para entornos pequeos o redes stub (con una sola entrada/salida) es una solucin ventajosa. En lugar de redistribuir toda la tabla de enrutamiento entre protocolos las rutas estticas son definidas y redistribuidas. De esta manera se mantiene un estricto control sobre el trfico de la red. Este escenario es tpico cuando BGP y un IGP necesitan intercambiar informacin. Las mejores razones para utilizar rutas estticas son: Si solamente existe una sola ruta no hay necesidad de utilizar un protocolo de enrutamiento. Si entre dos sistemas autnomos no se necesita intercambiar toda la informacin de enrutamiento, slo son imprescindibles algunas pocas rutas. Para cambiar la mscara de la red. Se puede crear estticamente una supemet y redistribuir la ruta esttica dentro del proceso de BGP. Para redistribuir desde un protocolo que es capaz de entender las VLSM a uno que no posee dicha capacidad.

Rutas por defecto: tambin llamadas rutas de ltimo recurso, son las configuradas como 0.0.0.0 mscara 0.0.0.0 y son el ltimo recurso en la tabla de enrutamiento, el router la elegir a menos que no exista otra ms especfica. Las rutas por defecto reducen sobrecarga en la red y complejidad, adems ayudan a prevenir bucles especialmente cuando son usadas en lugar de la redistribucin. Un protocolo de enrutamiento puede usar una ruta por defecto apuntando hacia el otro dominio de nrutamiento, como suele ser en un dominio IGP apuntando a un dominio BGP. Otro ejemplo tpico donde se emplean rutas por defecto son las redes stub que se conectan a otras redes ms grandes.

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

169

Ruta esttica

EIGRP 120

Ruta por defecto

Frame Relay

Red Stub

Interfaz nuil: es una interfaz virtual que se encarga de eliminar todo el trfico que va destinado hacia ella. Es utilizada como un medio para descartar redes como una manera de filtro rudimentario o para redistribuir entre protocolos de enrutamiento classless y classfull. La interfaz nuil es un lugar conveniente para las sumarizaciones, como se detallar en el captulo de BGP. Listas de distribucin: son listas de control de acceso que se aplican al proceso de enrutamiento determinando qu redes se aceptarn en la tabla de enrutamiento y cules podrn ser enviadas. Cuando existe un proceso de redistribucin con otro protocolo es importante controlar la informacin enviada dentro de ese proceso. Este control evita la sobrecarga y los bucles, aumenta la seguridad y ayuda a la administracin de la red. Adems de impedir elecciones de rutas menos adecuadas o sub-ptimas. Estas listas de acceso empleadas en conjunto con un diseo cuidadoso de la red proporcionan un gran control del flujo de trfico. Mapas de ruta: son listas de acceso complejas que permiten una programacin condicional. Las listas de distribucin son listas de acceso que filtran actualizaciones de enrutamiento, mientras que los mapas de rutas o route maps utilizan un criterio de correspondencia para hacer coincidir el trfico y la funcin que se quiere ejecutar sobre l. Con esto se consigue alterar los parmetros dentro de un protocolo de enrutamiento. El resultado obtenido a travs de las listas de distribucin puede ser conseguido de igual manera por los mapas de ruta. Las listas de distribucin son ms fciles de implementar pero no proporcionan tanta granularidad.

www.FreeLibros.com

170

REDES CISCO. CCNP a Fondo

RA-M A

Si un paquete o una ruta coinciden con el criterio definido en la declaracin de la lista de acceso, los cambios definidos en el comando set son ejecutados en el paquete o ruta en cuestin. En la siguiente figura se observa el router A que posee una lista de distribucin que est denegando la propagacin de la red 140.100.32.0 fuera de la Ethemet3. Se trata de conseguir un margen de seguridad haciendo que esta red no sea vista por el router B. Se ha configurado una ruta por defecto para enviar paquetes fuera de la interfaz SerialO, mientras que una ruta esttica enva paquetes fuera de la interfaz Seriall. La interfaz SerialO provee un camino hacia Internet y las rutas estticas son configuradas por el ISP. De esta manera la conectividad hacia el ISP es ms simple que con un enrutamiento dinmico puesto que tratndose de un ISP podra ser enorme. La organizacin tiene una ruta por defecto la cual es utilizada cuando no existe otra ruta ms especfica. En la interfaz Seriall del router A existen rutas estticas configuradas hacia el otro router conectado, de tal manera que no necesite tener un protocolo de enrutamiento ejecutndose. Esto ltimo supone que ese extremo sea una red stub. Por lo tanto la configuracin del router C es simple, demandando pocos recursos del mismo.

10.10.64.0

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

171

CONFIGURACIN DE LA REDISTRIBUCIN
La configuracin de la redistribucin es especfica para cada uno de los protocolos de enrutamiento, por lo tanto siempre se debera consultar las referencias y recomendaciones de Cisco. Todos los protocolos requieren los siguientes dos pasos para configurar la distribucin: 1. Iniciar el proceso de la configuracin de la redistribucin. 2. Definir una mtrica por defecto de las rutas redistribuidas. Los comandos de la redistribucin son configurados como sub-comandos del proceso de enrutamiento. El comando redistribute identifica el protocolo desde el cual las actualizaciones van a ser aceptadas, es decir, que identifica el origen de dichas actualizaciones. Estos comandos constituyen los pasos bsicos al implementar la redistribucin. Dependiendo del diseo de la red posiblemente sean necesarios algunos comandos adicionales. La configuracin de la distancia administrativa, interfaces pasivas y rutas estticas y por defecto se detallar ms adelante. La siguiente sintaxis configura la redistribucin dentro de un protocolo de enrutamiento:
| level-1-2 | level-2} [metric metric-value] [metric-type type-value] [match {internal | external 1 | external 2}] [tag tag-value] [routemap map-tag] [weight weight] [subnets]
Router (config-router)# redistribute protocol [process-id] {level-1

Es un comando sumamente complejo ya que muestra todos los parmetros de los diferentes protocolos. La siguiente tabla define los campos de este comando: Comando Definicin Protocolo de enrutamiento que proporciona las rutas. Puede ser: connected, bgp, eigrp, egp, igrp, isis, isoigrp, mobile, ospf, static o rip. Para BGP, EGP, EIGRP o IGRP, es el nmero de Sistema Autnomo. Para OSPF, es el ID del proceso de OSPF. RIPvl y v2 no lo usan.

Protocol

Process-id

www.FreeLibros.com

172

REDES CISCO. CCNP a Fondo

RA-M A

l
Level-1

Para IS-IS, las rutas nivel 1 son redistribuidas dentro de otros protocolos de enrutamiento IP independientemente de las rutas L2. Para IS-IS, las rutas nivel 1 y nivel 2 son redistribuidas dentro de otros protocolos de enrutamiento IP. Para IS-IS, las rutas nivel 2 son redistribuidas dentro de otros protocolos de enrutamiento IP independientemente. Parmetro opcional usado para especificar la mtrica para las rutas redistribuidas. Cuando se redistribuye en otros protocolos diferentes a OSPF si este valor no es especificado y el comando default-metric tampoco ha sido especificado, las rutas tendrn una mtrica infinita y no sern usadas. Parmetro opcional de OSPF que especifica el tipo de enlace externo. Puede ser 1 para rutas externas tipo 1, o 2 para rutas externas tipo 2. Por defecto es 2. Parmetro opcional de OSPF que especifica el criterio por el cual las rutas de OSPF son redistribuidas en otros dominios de routing. Puede ser: internal, redistribuye rutas que son internas, external 1, redistribuye rutas externas tipo 1. external 2, redistribuye rutas externas tipo 2. Opcional. Es un nmero decimal de 32 bits adjunto a cada una de las rutas externas. Las tags o etiquetas pueden ser usadas para comunicar informacin entre router frontera de sistemas autnomos. Si no especificamos ningn valor, el nmero de. sistema autnomo remoto es usado para rutas desde BGP y EGP; para otros protocolos, se usa cero (0). Opcional. Sirve para indicarle al proceso de la predistribucin que un route map ha de ser referenciado para realizar ciertas acciones (por ejemplo filtrar ciertas rutas) a las rutas importadas desde el protocolo de enrutamiento origen al protocolo de enrutamiento actual.

Level-1-2

Level-2

Metric metric-value

Metric-type type-value

Match

tag ta g - v a lu e

Route-map

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

173

map-tag

Identificador opcional de un route map que est configurado para filtrar las rutas importadas desde el protocolo de enrutamiento origen al protocolo de enrutamiento actual. Esta opcin asigna el atributo weight de BGP cuando redistribuimos dentro de BGP. Es un entero entre 0 y 65,535. Para OSPF, permite importar rutas con VLSM. Es extremadamente importante, en caso contrario se redistribuir solamente la red classfull.

weight weight

subnets

Configuracin de la mtrica por defecto


La mtrica por defecto puede ser configurada de dos maneras diferentes:

1. El comando redistribute permite la asignacin de una mtrica al


protocolo de enrutamiento redistribuido.

2. U 1ilizar el comando default-metric de tal forma que se le asigna una


m arica por defecto a todas las rutas redistribuidas desde todos los proiocolos de enrutamiento al protocolo destino. En caso de que ambos protocolos estn configurados la mtrica asignada por el comando redistribute es el que se toma como referencia. Se utiliza el comando default-metric si se estn redistribuyendo varios protocolos de enrutamiento debido a que existen protocolos que no redistribuirn las mtricas correctamente con el comando redistribute.
Router(config)# router eigrp 100 Router(config-router)# redistribute rip metric 10000 100 255 1 1500 Router(config-router)# network 140.100.0.0

En la sintaxis anterior se puede observar lo siguiente: El uso del comando redistribute. El proceso de enrutamiento desde el cual las rutas estn siendo aceptadas.

www.FreeLibros.com

174

REDES CISCO. CCNP a Fondo

RA-M A

El parmetro mtrica, que en este caso permite que EIGRP asigne una nueva mtrica que todas las rutas que pertenecan a RIP utilizarn cuando se redistribuyan en EIGRP.

Configuracin de la mtrica por defecto para OSPF, IS-IS, RIP o BGP


Es posible redistribuir el protocolo de enrutamiento y mediante el uso de un comando separado definir la mtrica por defecto. No existe ninguna ventaja en asignar la mtrica utilizando el comando redistribute o hacerlo de manera separada. IS-IS no puede definir una mtrica por defecto. La mtrica debe ser asignada al configurar la redistribucin. Si no se asigna ninguna, la de por defecto tendr un coste de 0, se le asignar a la ruta y se descartar. La siguiente sintaxis configura la mtrica por defecto para OSPF, RIP o BGP:
Router(config-router)# default-metric number

Generalmente se recomienda elegir una mtrica lo suficientemente grande como para que las rutas externas no resulten tan interesantes como las rutas internas. Si la red tiene 5 saltos se debe pensar en utilizar una mtrica de 6 o ms. Asignar mtricas por defecto ayuda a prevenir los bucles de enrutamiento.

Configuracin de la mtrica por defecto en EIGRP


La siguiente sintaxis muestra la configuracin de la mtrica por defecto en EIGRP:
Router(config-router)# default-metric bandwidth delay reliability loading mtu

Normalmente se debera tomar como referencia para estos valores la salida de una de las interfaces del router con el comando:
Router# show interface

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

175

El significado de los parmetros de configuracin se describe en la siguiente tabla: Parmetro


Bandwidth

Descripcin
El ancho de banda visto en la ruta hacia el destino, en kilobits por segundo (kbps).

Delay

Delay es una constante que vara en diferentes tipos de interfaces. Este valor es el retraso acumulado en la ruta hacia el destino y se mide en dcimas de microsegundos.

Reliability

La probabilidad de una transmisin satisfactoria dada la historia de la interfaz. Este valor no es usado. Es un nmero entre 0 y 255, donde 255 indica que el router es perfectamente estable y disponible.

Loading

Un nmero entre 0 y 255, donde 255 indica que la lnea esta 100% cargada. Este parmetro no es usado y est configurado a 1.

Mtu

El tamao mximo de paquete que puede viajar a travs de la red. No es usado y est configurado normalmente a 1500.

En el siguiente ejemplo EIGRP asigna la misma mtrica inicial a las redes que provienen de RIP y OSPF. Este ejemplo no es el ms adecuado, requiere consideraciones especiales y filtrado de actualizaciones de enrutamiento porque podra producirse retroalimentacin de rutas.
Router(config)# router eigrp 100 Router(config-router)# redistribute rip Router(config-router)# redistribute ospf 10 Router(config-router)# default-metric 10000 100 255 1 1500 Router(config-router)# network 140.100.0.0

www.FreeLibros.com

176

REDES CISCO. CCNP a Fondo

RA-M A

EIGRP redistribuye 10.1.1.32 desde OSPF, en el otro extremo del dominio EIGRP est redistribuido dentro de RIP. La red es ahora conocida por todos los routers independientemente del protocolo de enrutamiento que estn ejecutando. Para el supuesto caso de que otro router frontera entre el dominio de EIGRP y RIP escuchara la actualizacin de la red 10.1.1.32 la redistribuira dentro del dominio de EIGRP. El resultado final sern .determinaciones de enrutamiento con peores mtricas y segn la topologa hasta bucles de enrutamiento.

DISTANCIA ADMINISTRATIVA
Es importante que a las rutas redistribuidas dentro de otro protocolo se les asigne una mtrica apropiada. De igual manera es importante considerar la posibilidad de controlar la eleccin que el proceso de enrutamiento hace cuando tiene diferentes rutas desde diferentes protocolos hacia el mismo destino. En estos casos la distancia administrativa determina cul ser el protocolo de enrutamiento que ser utilizado en la tabla de enrutamiento. La mtrica slo es relevante en el proceso de eleeccin de rutas dentro de un protocolo. Para asegurarse de que la mejor ruta es la elegida en ciertos casos, ser necesario cambiar la distancia administrativa. La sintaxis del comando depender del protocolo en cuestin. Para EIGRP requiere la configuracin de la distancia administrativa tanto a las rutas externas como a las internas.
Router(config)# distance eigrp internal-distance external-distance

La distancia administrativa interna es la que se aplica a las rutas internas EIGRP, es decir, las aprendidas desde otro router dentro del mismo sistema autnomo. La distancia administrativa externa es la que se aplica a las rutas externas EIGRP, es decir, rutas redistribuidas dentro de EIGRP. Para configurar la distancia administrativa para el resto de los protocolos IP se utiliza el siguiente comando:

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

177

Router(config-router)# distance weight [address mask] [access-listnumber \ ame] [ip]

Campo

Descripcin
Distancia administrativa, valor entre 10 a 255, cuando es 255 indica que el destino es inalcanzable. Los valores entre 0 y 9 son para usos internos. Opcional, asigna una distancia administrativa a las redes que coincidan con esta direccin IP. Opcional, es la mscara wildcard para la direccin IP. Opcional, nmero o nombre de la ACL que es aplicada a las actualizaciones de enrutamiento entrantes. Asigna la distancia administrativa a las redes permitidas. Opcional. Especifica rutas derivadas IP para IS-IS.

weight

address

mask

a c c e s s - lis t number / ame

ip

COMANDOS OPCIONALES PARA CONTROLAR LAS ACTUALIZACIONES DE ENRUTAMIENTO EN LA REDISTRIBUCIN


En muchas oportunidades es necesario controlar el flujo de las actualizaciones entre los protocolos de enrutamiento o cuando atraviesan sistemas autnomos. Las interfaces pasivas, las rutas estticas y las rutas por defecto son las herramientas adecuadas para controlar dicho flujo de datos. Interfaces pasivas: se utiliza en los protocolos de enrutamiento que envan sistemticamente actualizaciones a todas las interfaces incluidas dentro del comando network. Si una de estas interfaces no conecta con otro router es una prdida de recursos. Este comando evita esta prdida de recursos, al mismo tiempo que se previenen malas configuraciones o vecinos no deseados.
Router(config-router)# passive-interface type number

www.FreeLibros.com

178

REDES CISCO. CCNP a Fondo

RA-M A

Rutas estticas: sirven para definir el camino a utilizar aadiendo el prximo salto al que se enviar el trfico. Esta configuracin slo es vlida si la direccin IP del prximo salto existe en la tabla de enrutamiento, de lo contrario debe emplearse la interfaz de salida del router local. Si la ruta esttica debe ser advertida hacia otros routers tendr que ser redistribuida.
Router(config)# ip route prefix mask {address | interface} [distance] [tag tag] [permanent]

Comando
prefix

Descripcin
Direccin IP del destino.

mask

Mscara de la direccin IP del destino.

address

Direccin IP del gateway o prximo salto.

interface

Interfaz de salida para llegar a la red destino.

distance

Opcional, distancia administrativa. Opcional, es un valor que se puede utilizar para que haya coincidencia en los mapas de ruta. Especifica que la ruta no ser suprimida de la tabla de enrutamiento a pesar de que la interfaz asociada se caiga.

tag tag

permanent

Las rutas estticas en redes punto a punto pueden apuntar a la interfaz de salida; las configuradas en redes mltiacceso o multipunto tendrn que tener configurada la direccin del prximo salto.

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

179

Rutas por defecto: en redes grandes existen muchas rutas estticas que configurar, esto no slo conduce a errores iniciales sino que requiere un mantenimiento exhaustivo. En estos casos se recomienda un enrutamiento dinmico a travs de un protocolo de enrutamiento o alternativamente rutas estticas por defecto.
Router (config)# ip route 0.0.0.0 0.0.0.0 {address \ interface}

Estas rutas pueden ser propagadas de manera dinmica en el dominio o ser configuradas manualmente en los routers. Cuando la ruta por defecto es propagada por un protocolo de enrutamiento no es necesaria ninguna configuracin adicional. En el caso de RIPvl solamente puede haber una ruta por defecto. Es una prctica comn redistribuir las rutas por defecto en los routers frontera para propagar las rutas deseadas sin tener que intercambiar las rutas dinmicas con todos los vecinos.

Ejemplos de redistribucin
Ejemplo 1. Redistribucin de rutas sin caminos redundantes. La imagen muestra oficinas remotas conectadas a una oficina central a travs de Frame-Relay. Cada oficina tiene un PVC punto a punto hacia el router de la oficina principal.

www.FreeLibros.com

180

REDES CISCO. CCNP a Fondo

RA-M A

EIGRP se est ejecutando en la nube Frame-Relay evitando sobrecargas en la red, mientras que en los segmentos LAN no hay necesidad de protocolo de enrutamiento. RIP es el protocolo configurado en la oficina principal. Los servidores contenidos en la oficina principal necesitan tener conocimiento de las redes EIGRP, por lo tanto habr que redistribuirlas en RIP. El flujo inverso no es necesario evitando as el trfico bilateral y consumo de recursos.

Fram e-R elay EIGRP

La configuracin es sencilla porque no hay enlaces redundantes. La nube Frame-Relay utiliza enlaces punto a punto, en un futuro se podran aadir ms enlaces a la nube de manera redundante. Este ejemplo es una solucin simple que le permite a la organizacin el uso del hardware existente. Ejemplo 2. Redistribucin de rutas con caminos redundantes. Este caso cubre la redistribucin con caminos redundantes entre diferentes protocolos de enrutamiento y resuelve los problemas de seleccin de rutas que resultan con las redes redistribuidas. En la topologa de la figura el router A est conectado a las redes 120.100.1.0, 120.100.2.0 y 120.100.3.0. Utilizando RIP la red 120.100.1.0 es advertida al router B, la red 120.100.3.0 al router C y la red 120.100.2.0 es advertida al router B y al router C.

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

181

La siguiente es la informacin contenida en la tabla de enrutamiento del router A: Protocolo de enrutamiento


Conectado Conectado Conectado RIP RIP RIP RIP RIP RIP RIP

Red/subred
120.100.1.0/24 120.100.2.0/24 120.100.3.0/24 10.10.10.8/30 10.10.10.12/30 10.10.10.16/30 10.10.10.20/30 10.10.10.24/30 10.10.10.28/30 10.10.10.32/30

Prximo salto
Conectado E0 Conectado El Conectado E2 120.100.3.2 120.100.3.2 120.100.3.2 . 120.100.3.2 120.100.3.2 120.100.3.2 120.100.3.2

Mtrica 0 0 0 1 salto 1 salto 1 salto 1 salto 1 salto 1 salto 1 salto

www.FreeLibros.com

182

REDES CISCO. CCNP a Fondo

RA-MA

La siguiente es la informacin contenida en la tabla de enrutamiento del router B: Protocolo de enrutamiento


RIP RIP Conectado Conectado Conectado Conectado EIGRP EIGRP EIGRP EIGRP

Red/subred
120.100.1.0/24 120.100.2.0/24 120.100.3.0/24 10.10.10.8/30 10.10.10.12/30 10.10.10.16/30 10.10.10.20/30 10.10.10.24/30 10.10.10.28/30 10.10.10.32/30

Prximo salto
120.100.3.1 120.100.3.1 Conectado E0 Conectado SO Conectado SO Conectado SO 10.10.10.9 10.10.10.9 10.10.10.13 10.10.10.13

Mtrica 1 salto 1 salto 0 0 0 0


4201056 4201056 4201056 4201056

La tabla de enrutamiento del router A contiene todas las subredes de la red 10.0.0.0 255.255.255.252. Debido a que RIPvl no enva la mscara de red en las actualizaciones y el router A no est conectado a dicha red se deber configurar RIPv2 entre los router A y router B. La tabla de enrutamiento ve a todos los caminos como nicos, por lo que es necesario saber cules son las rutas accesibles por medio de RIP o EIGRP. La tabla de enrutamiento se mantiene igual an despus de la redistribucin. Dependiendo de los tiempos de las actualizaciones y de la velocidad de convergencia, el router C podra estar desactualizado debido a que los router E, router F y router G le envan informacin sobre cmo llegar a las redes 120.100.2.0 y 120.100.3.0. A su vez el router C tambin recibe informacin del router A. Evidentemente enviar el trfico hacia esas redes por el router A es la mejor opcin, pero como EIGRP tiene una distancia administrativa menor, la ruta para EIGRP es colocada en la tabla de enrutamiento. Suponiendo que la nube Frame-Relay posea caminos iguales para todos los enlaces, las tablas de enrutamiento distribuyen el trfico equitativamente por las tres rutas.

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

183

Las siguientes sintaxis muestran como las configuraciones favorecen a la distancia administrativa de RIP para las redes LAN dentro de sudominio. Los caminos de RIP sern elegidos, las redes 120.100.1.0 y 120.100.2.0 tendrn una distancia administrativa de 200 con la ayuda de listas de acceso.
Router(config)# router rip Router(config-router)# network 120.100.0.0 Router(config-router)# passive interface S0.1 Router(config-router)# redistribute eigrp 100 metric 3 Router(config)# router eigrp 100 Router(config-router)# network 120.100.0.0 R o u t e r (config-router)# passive interface EO Router(config-router)# default-metric 10000 100 255 1 1500 R o u t e r (config-router)# distance 200 0.0.0.0 255.255.255.255 3 R o u t e r (config)# access-list 3 permit 120.100.1.0 R o u t e r (config)# access-list 3 permit 120.100.2.0

El comando distance configura la distancia administrativa para el proceso EIGRP 100 de 90 a 200 haciendo que las rutas de RIP sean las ptimas debido a que la distancia administrativa de RIP es 120. Aadiendo la granularidad de poder elegir las redes que necesitan ser utilizadas en lugar de todas con el uso de las ACL. De esta forma las redes 120.100.1.0 y 120.100.2.0 sern afectadas por el comando distance. El uso de la red 0.0.0.0 con la mscara 255.255.255.255 es un comodn. Ejemplo 3. Redes por defecto en un entorno de redistribucin. La utilizacin de redes por defecto simplifica la configuracin de la distribucin permitiendo redistribuciones en un slo sentido o camino. Esto reduce significativamente la posibilidad de bucles hacia el dominio origen.

Rutas por d e fe cto p ropagadas hacia RIP

| EIGRP y redistribucin de las rutas de RIP

www.FreeLibros.com

184

REDES CISCO. CCNP a Fondo

RA-MA

En este diseo cada router dentro del dominio de RIP tiene conocimiento de todas las redes internas pero las otras redes son accesibles va la red por defecto. La configuracin del router B se muestra en la siguiente sintaxis:
RouterB(config)# router rip RouterB(config-router)# network 190.10.10.0

El router A redistribuye entre RIP y EIGRP con el dominio de RIP actuando como una red stub, la ruta por defecto es configurada como una ruta esttica en el router A y redistribuida dentro de RIP para propagarse en todo su dominio. Los routers internos que slo ejecutan RIP deben estar preparados para recibir la ruta por defecto, la red de destino slo ser alcanzable por medio de esta ruta por defecto. La siguiente es la sintaxis de la configuracin del router A:
RouterA(config)# router eigrp 100 RouterA(config-router)# redistribute rip RouterA(config-router)# default-metric 10000 100 255 1 1500 RouterA(config-router)# network 10.0.0.0 RouterA(config)# router rip RouterA(config-router)# network 190.10.10.0 RouterA(config-router)# default-metric 3 RouterA(config-router)# redistribute static RouterA(config)# ip route 0.0.0.0 0.0.0.0 10.10.10.1

La redistribucin en router A es slo hacia un sentido, EIGRP necesita conocer todas las redes en el dominio de RIP pero en cambio RIP no necesita conocer las redes del mundo exterior.

CONTROL DE LAS ACTUALIZACIONES DE ENRUTAMIENTO CON FILTRADO


Algunos mecanismos, para controlar las actualizaciones de enrutamiento, se han visto en los prrafos anteriores, pero a veces es necesario utilizar herramientas ms potentes y flexibles. Estos mecanismos son listas de acceso que aplicadas a las actualizaciones de enrutamiento se denominan listas de distribucin (distribute lists).

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

185

El proceso y la lgica son similares a las ACL: 1. El router recibe una actualizacin de enrutamiento o est a punto de enviar actualizaciones sobre una o ms redes. 2. El router controla si la interfaz implicada en la accin tiene aplicados filtros. 3. Si existe un filtro, el router examina la ACL para ver si existen coincidencias en alguna de las redes en la actualizacin de enrutamiento. 4. Si no hay coincidencias en los filtros o no existen, la red se enva al proceso de enrutamiento como ocurre normalmente. 5. Si hay coincidencia en un filtro la ruta es procesada acorde a la sentencia de la lista de distribucin. Dicha ruta se anunciara si coincide con un permit o se descartar si coincide con un deny. 6. Si no se encuentra ninguna coincidencia al final de la lista de distribucin, una denegacin implcita descartar la actualizacin. Las actualizaciones de enrutamiento pueden ser filtradas por protocolos de enrutamiento, definiendo una ACL y aplicndola al protocolo. Existen ciertas limitaciones en las listas de distribucin cuando son aplicadas a OSPF, las configuradas como entrantes previenen que las rutas se aadan en la tabla de enrutamiento, pero no previenen que las LSA se propaguen. Por este motivo las listas de distribucin son empleadas prudentemente en los ABR o ASBR. Al crear una lista de distribucin se siguen los siguientes pasos: 1. Identificar la direccin de red que ha de ser filtrada y crear la lista de acceso. Permitir las redes que deben ser anunciadas. 2. Determinar si el filtrado es entrante o propagadas hacia otros routers o salientes. 3. Asignar la ACL utilizando el comando distribute-list. La sintaxis completa del comando en la forma entrante es la siguiente:
Router(config-router)# distribute-list {access-list-number / ame} in [type number]

www.FreeLibros.com

186

REDES CISCO. CCNP a Fondo

RA-M A

Comando
a c c e s s - lis t number 1 ame

Descripcin
Especifica una ACL numerada o nombrada. Aplica la ACL como entrante. Opcional, especifica informacin sobre la interfaz.

in ty p e number

La sintaxis completa del comando en la forma saliente es la siguiente:


R o u te r (c o n fig -r o u te r )# d i s t r i b u t e - l i s t { access-list-number / ame } o u t [ nterface-name | routing-process / autonomous-system-number ]

Comando
a c c e s s - lis t- n u m b e r 1 ame

Descripcin
Especifica nombrada. una ACL numerada o

ou t

Aplica la ACL como saliente. Opcional, nombre de la interfaz donde se producir el filtrado. Opcional, especifica el nombre del proceso de enrutamiento, o si es esttico o directamente conectado. Opcional, nmero del sistema autnomo del proceso de enrutamiento.

n te rfa c e -n a m e

ro u tin g - p ro c e s s

autonom ous-system number

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

187

VERIFICACIN, MANTENIMIENTO Y RESOLUCIN DE FALLOS


Para que la redistribucin funcione adecuadamente y simplificar al mximo los problemas que puedan surgir es necesario tener un conocimiento preciso de la topologa tanto fsica como lgica. Conocer el volumen y los picos de trfico tambin es un tema importante para entender los conflictos de conectividad dentro de la red. Los siguientes comandos ayudarn a entender y resolver problemas ocasionados en la redistribucin: show ip protocol show ip route show ip route routing-protocol show ip eigrp neighbors show ip ospf database

El comando traceroute: este comando puede ser empleado desde el modo usuario, pero se necesita la versin extendida y debe emplearse desde el modo privilegiado. Mostrar la informacin de todos los routers que un paquete ha pasado desde que ha sido enviado. A la versin extendida del comando traceroute se accede pulsando un intro; diferentes cuestiones son presentadas que permitirn la modificacin de ciertos parmetros que vienen por defecto. El comando extendido ping: para hacer comprobaciones bsicas se puede utilizar el comando ping desde el modo usuario. Pero si se requiere emplear todo el potencial que brinda este comando se debe ejecutar desde el modo privilegiado, de esta forma se pueden modificar los parmetros por defecto y personalizarlo segn se necesite. Los comandos traceroute y ping extendido: el. comando traceroute muestra el camino tomado y podr en ciertos casos identificar el problema de la red. Si el comando traceroute falla indica que existe un problema y es un buen punto de partida para solucionarlo. El comando ping es muy til porque puede anunciar cada una de las interfaces que va atravesando si la opcin record es elegida. Aunque tiene una limitacin de 9 saltos. Es posible utilizar una direccin IP origen en los comandos traceroute y ping extendidos, que debe ser una interfaz en el router de origen. Esto permitir chequear ACL, mapas de ruta, etc. Cambiando las direcciones de origen desde todas las interfaces del router se obtiene una visin total del funcionamiento de la red.

www.FreeLibros.com

188

REDES CISCO. CCNP a Fondo

RA-MA

CONTROL DE LA REDISTRIBUCIN CON ROUTEMAPS Funcionamiento de los route-maps


Los route-maps son herramientas que establecen coincidencias con un determinado patrn y que pueden utilizarse para cambiar la cabecera del paquete, el mapa de ruta, etc. Los route-maps son similares a las listas de acceso pero ms complejos debido a que permiten hacer muchas ms cosas. Existen diferentes situaciones donde se pueden emplear los route-maps: Controlar la distribucin: los route-maps pueden permitir o denegar rutas como as tambin cambiar mtricas. Definir polticas para PBR (Policy-Based Routing): las polticas basadas en enrutamiento son creadas a partir de los route-maps para permitir al router tomar decisiones complejas basadas en diferentes criterios del enrutamiento tradicional. Agregar granularidad a la configuracin de NAT (Network Address Translation): un escenario de NAT tradicional est limitado en la simple traduccin de un direccionamiento estticamente, con los route-maps pueden hacerse traducciones de manera arbitraria. Implementar BGP PBR: ms adelante se detallar el funcionamiento en el captulo de BGP.

Caractersticas de los route-maps


Los route-maps y las listas de acceso son similares en la lgica. de funcionamiento, se procesan de arriba hacia abajo y en la primera coincidencia se ejecuta la accin permitiendo o denegando, aunque los route-maps permiten hacer muchas ms cosas. Los route-maps pueden cambiar la direccin del prximo salto o la mtrica de la cabecera IP. La cantidad de atributos que los route-maps pueden modificar es enorme. Las caractersticas de los route-maps se pueden resumir en los siguientes conceptos: Una coleccin de sentencias con el mismo nombre se considera un routemap al igual que ocurre con las ACL. Los route-maps son procesados, se arriba hacia abajo hasta que se encuentra la primera coincidencia.

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

189

Cada sentencia de los route-maps puede tener ninguna o ms condiciones de coincidencia. Una sentencia que no tenga ninguna coincidencia se aplica a todo el trfico, similar al any de las ACL. El trfico que no encuentra coincidencia pasa a la siguiente sentencia. Existen dos cuestiones a tener en cuenta: o Una simple coincidencia puede contener mltiples condiciones. Si una de esas condiciones es verdadera, se considerar coincidencia. Esto es una operacin lgica OR. 0 Si existen mltiples coincidencias todas ellas deben ser verdaderas para que la coincidencia sea efectiva. Esto se considera una operacin lgica AND.

Los route-maps tienen ninguna o ms sentencias set, que definen la accin a tomarse. Los parmetros definidos en la sentencia set se aplican siempre que previamente haya habido una coincidencia. Cada sentencia de los route-maps tiene que permitir o denegar. Un trfico permitido es afectado, mientras que un trfico que no encuentra coincidencia no lo ser. El trfico que no es explcitamente permitido ser implcitamente denegado. Dentro de un route-map cada sentencia tiene un nmero de secuencia y puede ser editada individualmente. El uso de los route-maps es muy comn en redes que tengan redistribucin. Pero la utilizacin de stos debe hacerse con total conocimiento del funcionamiento de la red debido a que puede influenciarse incorrectamente el flujo de datos o crear bucles. El siguiente ejemplo describe un route-map llamado RMSIMPLE:
access-list access-list access-list access-list
1

23 33 43 53

permit permit permit permit

23.0.0.0 33.0.0.0 43.0.0.0 53.0.0.0

route-map RMSIMPLE permit 10 match ip address 23 match interface FastEthernetO/O set ip next-hop 67.43.6.7

route-map RMSIMPLE permit 20 match ip address 33


i

route-map RMSIMPLE permit 30

www.FreeLibros.com

190

REDES CISCO. CCNP a Fondo

RA-MA

match ip address 43 53 set ip next-hop 213.35.32.78

route-map RMSIMPLE permit 40 set ip next-hop 76.45.23.7

Todos los route-maps con el mismo nombre forman parte de una lista. 1. Los route-maps estn organizados por nmero de secuencia. En este ejemplo es 10, 20 o 30. 2. Cada sentencia puede tener ninguna o ms coincidencias: En la sentencia 10 hay dos condiciones de coincidencia. Ambas deben ser verdaderas para que el set se aplique. En la sentencia 20 slo hay una coincidencia, de manera que los paquetes denegados no sern considerados. En caso de que este routemap se aplicara a la redistribucin, las rutas denegadas no seran redistribuidas. La sentencia 30 tiene dos coincidencias y con que slo una fuera verdadera el set se aplicar. La sentencia 40 no tiene ningn estado de coincidencia, lo que implica que se le aplicar a todo.

3. Cada sentencia de los route-maps puede tener ninguna o ms sentencias set: Las sentencias 10, 30 y 40 modifican el siguiente salto para todas las coincidencias. La sentencia 20 no posee sentencias set, por lo tanto la nica accin posible ser denegar o permitir.

4. El trfico que coincide con un permit es afectado por el route-map, mientras que el que coincide con un deny o no est en la lista no es afectado por el route-map. La sentencia 20 previene que las coincidencias no sean afectadas por la lista, por lo tanto si hay alguna coincidencia est no se le aplicar un siguiente salto diferente. Finalmente hay un permit any en la sentencia 40 por lo tanto todo el trfico ser afectado.

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

191

CONFIGURACIN DE LOS ROUTE-MAPS


La siguiente sintaxis muestra la configuracin de los route-maps:
R o u t e r

(config)# route-map map-tag [{permit | deny} sequence-number ]

Para borrar por completo el route-map se deber agregar un no inicial al comando anterior. Comando
map-tag

Descripcin
Nombre del route-map. Si existe una coincidencia en el criterio y existe un permit, el paquete es enviado tal como se haya definido en las acciones set, si no hubiera coincidencia pasar a la siguiente sentencia. Indica el orden de procesamiento de las secuencias, si no se especifica los har automticamente de 10 en 10.

permit | deny

sequencenumber

Uno de los potenciales de los route-maps es la posibilidad de cambiar la forma en que el router procesa las rutas y fundamentalmente la opcin de cambiar la mtrica.

Comandos match para la redistribucin con route-maps


La siguiente tabla resume los comandos match. Estos comandos son usados para determinar si la ruta va a ser redistribuida. Comando . ' Descripcin

jjj

match interface (IP)

Distribuye rutas que tienen un prximo salto alcanzable desde la interfaz de salida que se ha especificado. Hace que coincida cualquier ruta que tenga su prximo salto por alguna de las interfaces que se estn listando. Describe el nmero o nombre de la lista.

match ip address [access-listnumber | ame]

www.FreeLibros.com

192

REDES CISCO. CCNP a Fondo

RA-MA

match ip next-hop

Identifica las rutas que poseen el prximo salto que se indica. Redistribuye las rutas que han sido advertidas desde la direccin especificada. Redistribuye las rutas con la mtrica especificada. Redistribuye las rutas del tipo especificado. Redistribuye las rutas en la tabla de enrutamiento que coinciden con las etiquetas especificadas.

match ip routesource match metric match route-type (IP) match tag

Comandos set para la redistribucin con route-maps


Los comandos set funcionan a partir de una coincidencia previa. Mientras los comandos match determinan si la ruta va a ser redistribuida, el parmetro set determinar la forma en que va a ser redistribuida. La sintaxis del comando set es la siguiente:
Router(config-route-map)# set {criteria}

La siguiente tabla resume los comandos set utilizados en la redistribucin. Comando Descripcin
v

set level {level-1 | level-2 | level-1-2 | stub-area | backbone}

Es utilizado por IS-IS para determinar el nivel del router que debera importar las rutas. OSPF lo utiliza para determinar el tipo de rea/router desde el cual las rutas deberan ser importadas. Configura la mtrica para un determinado protocolo de enrutamiento. Configura el tipo de mtrica para el protocolo destino. Configura un valor de etiqueta del protocolo de enrutamiento destino.

set metric (BGP, OSPF, RIP) set metric-type {internal | external | type-1 | type-2} set tag tag-value

www.FreeLibros.com

RA-MA

CAPTULO 4. IMPLEMENTACIONES CON CISCO IOS

193

Una vez configurado, el route-map debe ser vinculado para que ejecute la accin. Este evento se describe en la siguiente sintaxis:
Router ( c o n f ig-router)# redistribute protocol [process-id] map-tag] [route-map

Donde map-tap es el nombre que se va a utilizar para la distribucin y tiene que corresponderse con el nombre especificado con el comando route-map. El ejemplo ilustra la funcionalidad del route-map, la sintaxis corresponde a la siguiente figura:

M t r ic a Red R 3 0 .1.1.0/24 1 R 3 0 .1.2.0/24 R 3 0 .1.3.0/24 R 3 0 .1.4.0/24 R 3 0 .1 .5,0 / 2 4

Red

Mtrica 25 10 30 10 30 10 22000 22000

Red

Mt rica 25 20 3020 30 20 22000 22000

0 3 0 .1 . 1 . 0 / 2 4 0 3 0 .1 . 2 . 0 / 2 4 O 3 0 .1 . 3 . 0 / 2 4 O 3 0 .1 . 4 . 0 / 2 4 0 3 0 .1 . 5 . 0 / 2 4

0 3 0.1 .1,0/24 0 3 0 ,1.2,0/24 O 3 0 .1 . 3 . 0 / 2 4 0 3 0 .1 . 4 . 0 / 2 4 0 30 .1.5,0 /24

2 2

S
3

Router(config)# router ospf 100 Router(config-router)# redistribute rip route-map rip-routes Router (config) # route-map Router (config- route-map)# Router (config- route-map)# Router (config- route-map)# Router (config- route-map)# Router (config) # route-map Router (config- route-map)# Router (config- route-map)# Router (config- route-map)# Router (config- route-map)# Router (config) # route-map rip-routes permit 10 match metric 1 set metric 2500 set metric-type type-1 set tag 100 rip-routes permit 20 match metric 2 set metric 3000 set metric-type type-1 set tag 200 rip-routes permit 30

Router(config-route-map)# set metric 22000

Este route-map examina todas las actualizaciones desde RIPv2 y las redistribuye dentro de OSPF.

www.FreeLibros.com

194

REDES CISCO. CCNP a Fondo

RA-MA

Las rutas con un nmero de saltos de 1 tendrn una mtrica en OSPF con un valor de coste 2500, sern de tipo 1 y tendrn una etiqueta de 100. Las rutas con 2 saltos tendrn una mtrica en OSPF con un valor de coste 3000, sern de tipo 1 y tendrn una etiqueta de 200. Todas las dems rutas tendrn un coste esttico de 22000. En cada una de las sentencias se modifica la mtrica (coste) que las rutas tendrn una vez redistribuidas en OSPF. La configuracin en type-1 indica que la mtrica se incrementar a medida que los saltos aumenten; en cambio en type-2 (por defecto) la mtrica permanecer constante. Finalmente se etiquetan ciertas rutas con un valor de 100, otras con un valor de 200 y otras no han sido etiquetadas. Esto permitir en otros puntos de redistribucin hacer match en funcin de la etiqueta y permitir o denegar en base a esto. Como nota al margen decir que las etiquetas (tags) son extremadamente tiles para escenarios con mltiples puntos de redistribucin bidireccional.

VERIFICACIN DE LOS ROUTE-MAPS


La mayora de los comandos para monitorizar el funcionamiento de los route-maps son los mismos empleados para verificar la redistribucin: show ip protocol show ip route show ip route routing-protocol show ip eigrp neighbors show ip ospf database show route-map

Tal como se explic en la redistribucin el comando traceroute y ping son de mucha utilidad.

www.FreeLibros.com

Captulo 5

DHCP
INTRODUCCIN A DHCP
DHCP (Dynamic Host Control Protocol) desciende del antiguo protocolo BootP, permite a un servidor asignar automticamente a un host direcciones IPv4 y otros parmetros cuando est inicindose. DHCP ofrece dos principales ventajas: 1. DHCP permite que la administracin de la red sea ms fcil y verstil, de lo contrario habra que asignar manualmente el direccionamiento a todos los host, tarea bastante tediosa y que generalmente conlleva errores. 2. DHCP asigna direcciones IP de manera temporal creando un mayor aprovechamiento del espacio en el direccionamiento. Un ejemplo claro son los clientes DSL, ellos slo necesitan la direccin IP cuando estn conectados online. El proceso DHCP sigue los siguientes pasos: 1. El cliente enva un broadcast preguntando por configuracin IP a los servidores, los que respondern con una direccin IP, una mscara, una puerta de enlace y otras informaciones. En este paso el nuevo cliente ha enviado un mensaje en forma de broadcast llamado DHCP discover.

www.FreeLibros.com

196

REDES CISCO. CCNP a Fondo

RA-MA

2.

Cada servidor en la red responder con un Offer. Comnmente en una red pueden existir varios servidores DHCP de manera redundante, es normal que todos intenten responder. El mensaje offer contiene una direccin IP, una mscara, una puerta de enlace, el tiempo de alquiler y los posibles cdigos de opcin.

3. El cliente considera todas las ofertas y elije una. Esta opcin depender del cliente. Por ejemplo Windows XP elegir una direccin IP que previamente se le haya ofrecido, otros sistemas operativos simplemente aceptarn la primera oferta que les llegue. A partir de este momento el cliente enva un mensaje llamado Request en el que bsicamente pregunta sobre la disponibilidad de la IP de la que tiene preferencia. 4. El servidor responde con un ACK informando a su vez que toma conocimiento que el cliente se queda con esa direccin IP. 5. Finalmente el cliente enva un ARP request para esa nueva direccin IP. Si alguien responde, el cliente sabr que esa direccin est en uso y que ha sido asignada a otro cliente lo que iniciar el proceso DHCP nuevamente. Este paso se llama Gratuitous ARP. Existen varios sistemas operativos clientes que utilizan APIPA (Automatic Prvate IP Addressing). Es un proceso por el cual el host configurado para un direccionamiento dinmico se asigna a s mismo una direccin IP al no poder contactar con un servidor DHCP. Las direcciones IP que se autoasignan son del rango 169.254.0.0. De la misma forma que en el quinto paso anterior se enva un Gratuitous ARP para verificar que nadie ms posea dicha direccin antes de quedrsela. Finalmente, cuando se detecta un host con una direccin IP 169.254.X.X significa que no ha podido contactar con el servidor DHCP.

Dispositivos DHCP
Siempre habr al menos dos dispositivos involucrados en el proceso de configuracin del DHCP, un Servidor DHCP y un Cliente DHCP. Ocasionalmente habr otros dispositivos opcionales llamados DHCP relays.

www.FreeLibros.com

r a -m a

CAPTULO 5. DHCP

197

CONFIGURACIN DHCP Configuracin de un servidor DHCP


Los siguientes pasos describen la configuracin de un router ejecutando IOS como servidor DHCP: 1. Crear un almacn (pool) de direcciones que sern asignadas a los clientes.
Router(config)# ip dhcp pool ame

2. Determinar el direccionamiento de red y mscara que se le asignar al pool.


Router(config-dhcp)# network network/mask

3. Configurar el perodo que el cliente podr disponer de esta direccin. Este perodo de alquiler suele ser de tres das; en las versiones de IOS es de un da, pero puede configurarse en horas, minutos y segundos.
R o u t e r (config-dhcp)# lease days

4. Identificar el servidor DNS.


Router(config-dhcp)# dns-server address

5. Identificar la puerta de enlace o gateway.


Router(config-dhcp)# default-router ip-address

6. Excluir si es necesario las direcciones que por seguridad o para evitar conflictos no se necesite que el DHCP otorgue.
R outer(config )#ip dhcp excluded-address start-ip end-ip

Las direcciones IP son siempre asignadas en la misma interfaz que tiene una IP dentro de ese pool. La siguiente sintaxis muestra un ejemplo de configuracin dentro de ese contexto:
Router(config)# interface fastethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255 i255.0 Router(config)# ip dhcp pool 1 Router(config-dhcp)# network 192.168.1.0 /24 Router(config-dhcp)# default-router 192.168.1.1 Router(config-dhcp)# lease 3 Router(config-dhcp)# dns-server 192.168.77.100

Algunos dispositivos IOS reciben direccionamiento IP en algunas interfaces y asignan direcciones IP en otras. Para estos casos DHCP puede importar

www.FreeLibros.com

198

REDES CISCO. CCNP a Fondo

RA-MA

las opciones y parmetros de una interfaz a otra. El siguiente comando para ejecutar esta accin es:
Router(config-dhcp)# import all

Este comando es muy til cuando se debe configurar DHCP en oficinas remotas. El router una vez localizado en su sitio puede determinar el DNS y las opciones locales. La siguiente tabla describe una serie de comandos opcionales: Comando
Service dhcp

Descripcin
Habilita el servidor DHCP que por defecto ya lo est. Configura un agente de base de datos. Deshabilita el login de conflictos. Define las direcciones que sern excluidas del pool. DNS asignado por defecto.

ip dhcp database no ip dhcp conflict logging ip dhcp excludedaddress s t a r t - i p en d -ip domain-name domain

Configuracin de un DHCP Relay


Normalmente los routers no retransmiten trfico broadcast. En algunos casos una excepcin a esta regla podra ser muy til. Un servidor DHCP centralizado que ofrezca un direccionamiento a todas las redes remotas sera ms fcil de administrar y resolver posibles conflictos. Todos los routers en este caso deberan dejar pasar todo el trfico broadcast originado por las transacciones DHCP. Un router configurado para dejar pasar los DHCP request es llamado DHCP Relay. Cuando es configurado, el router permitir el reenvo de broadcast que haya sido enviado a un puerto UDP determinado hacia una localizacin remota. El DHCP Relay reenva los requests y configura la puerta de enlace en el router local.
Router(config-if)# ip helper-address ad d ress

www.FreeLibros.com

RA-MA

CAPTULO 5. DHCP

199

Cuando se configura soporta 8 puertos UDP, cualquier broadcast que se reciba en estos puertos es reenviado a la dileccin IP que se especifica en el comando. Los puertos son los siguientes:
NTP (UDP 37) TACACS (UDP 49) DNS (UDP 53) DHCP (UDP 67 y 68) TFTP (UDP 69) NetBIOS ame Service (UDP 137) NetBIOS datagram service (UDP 138)

Adicionalmente se podran agregar ms puertos con el comando:


Router(config)# ip forward-protocol udp port

El siguiente ejemplo muestra la sintaxis de la configuracin de un puerto UDP adicional:


Router(config)# interface fastethernetO/O Router(config-if)# ip helper-address 192.168.5.100 Router(config-if)# exit Router(config)# ip forward-protocol udp 4400 Router(config)# no ip forward-protocol udp 69

El comando ip dhcp relay information option usado con el DHCP Relay habilita el sistema para insertar la opcin 82 (agent DHCP relay information option) en mensajes Bootrequest que son enviados al servidor DHCP. El servidor puede utilizar esta informacin para asignar la subred correcta.

Configuracin de un cliente DHCP


Configurar IOS para la opcin del DHCP como cliente es simple.
Router(conf ig)# interface fastethernetO/O Router(config-if )# ip address dhcp

Un router puede ser cliente, servidor o ambos a la vez en diferentes interfaces.

www.FreeLibros.com

200

REDES CISCO. CCNP a Fondo

RA-MA

RESOLUCIN DE FALLOS EN DHCP


En un principio ejecutar un show run servir para ver los parmetros estndares de configuracin expuestos anteriormente. Si no se observa dnde est el fallo se puede seguir el siguiente proceso de anlisis. Partiendo de la base de que el cliente DHCP est correctamente configurado y conectado a la red, el servidor DHCP se est ejecutando en el router. 1. Verificar que el cliente no est recibiendo una direccin IP, verificar la conectividad de ambos a la red 2. Verificar que el servidor DHCP est configurado, como as tambin que el cliente es capaz de enviar trfico. 3. Examinar la base de datos DHCP con el comando show ip dhcp database. 4. Para ver la configuracin mas detallada de DHCP se puede utilizar el comando show ip dhcp server statistics. 5. Para mostrar las direcciones IP que han sido asignadas utilizar el comando show ip dhcp binding. Para borrar una direccin en la base de datos clear binding. Para monitorizar las acciones del servidor DHCP debug ip dhcp server events y el debug ip dhcp server packets.

6.

7. Finalmente verificar la existencia de listas de acceso que puedan estar denegando el trfico DHCP.

www.FreeLibros.com

C aptulo 6

BGP
INTRODUCCIN A BGP
BGP (Border Gateway Protocol) es un protocolo de enrutamiento moderno diseado para ser escalable y poder utilizarse en grandes redes creando rutas estables entre las organizaciones. BGP soporta VLSM (Variable Length Subnet Mask), CIDR (Classless Interdomain Routing) y sumarizacin. BGP es un protocolo de enrutamiento extremadamente complejo, usado entre organizaciones multinacionales y en Internet. El principal propsito de BGP es conectar grandes redes o sistemas autnomos. Las grandes organizaciones utilizan BGP como el vnculo entre diferentes divisiones empresariales. BGP se utiliza en Internet para conectar diferentes organizaciones entre s. Es el nico protocolo que actualmente soporta enrutamiento entre dominios. Los dispositivos, equipos y redes controlados por una organizacin son llamados sistemas autnomos, AS. Esto significa independentia, es decir, que cada organizacin es independiente de elegir la forma de conducir el trfico y no se los puede forzar a cambiar dicho mecanismo. Por lo tanto BGP comunica los AS con independencia de los sistemas que utilice cada organizacin. Otro punto clave es que BGP pretende que las redes permanezcan despejadas de trfico innecesario el mayor tiempo posible. Mientras que los IGP estn buscando la ltima informacin y ajustando constantemente las rutas acordes con la nueva informacin que se recibe, BGP est diseado para que las rutas sean estables y que no se estn advirtiendo e intercambiando constantemente. Las

www.FreeLibros.com

202

REDES CISCO. CCNP a Fondo

RA-MA

configuraciones de BGP requieren determinaciones de polticas muy complicadas, de modo que dada la complejidad del protocolo y el inmenso tamao de la tabla de enrutamiento, que pueden ser cientos de miles, no se puede estar cambiando constantemente decisiones de enrutamiento haciendo que los routers estn constantemente sobrecargados.

Funcionamiento bsico de BGP


BGP asocia redes con sistemas autnomos de tal manera que otros router envan trfico hacia el destino a travs de un sistema autnomo. Cuando el trfico llega a los routers frontera de BGP, es trabajo de los routers del IGP encontrar el mejor camino interno. BGP es un protocolo path-vector, aunque mantiene muchas caractersticas comunes con los de vector-distancia. Las rutas son registradas de acuerdo con los sistemas autnomos por donde est pasando y los bucles son evitados rechazando aquellas rutas que tienen el mismo nmero de sistema autnomo al cual estn llegando. La idea de cmo BGP evita los bucles se ilustra en la siguiente figura:

AS-30
172.16.31.0/24 AS-Path 5 172.16.31.0/24 AS-Path 5 30

\
AS-72
172.16.31.0/24 AS-Path 5 30 157 2

AS-15

172.16.31.0/24 AS-Path 5 30 15

RECHAZADO CONTIENE AS-5

Los vecinos BGP son los llamados peers, stos no son automticamente descubiertos sino que deben estar predefinidos. Existen cuatro tipos de mensajes en BGP para que la relacin sea construida y posteriormente mantenida:

www.FreeLibros.com

RA-MA

CAPTULO 6. BGP

203

Open Keepalive Update Notifcation

Cuando el proceso de BGP comienza se crean y mantienen las conexiones entre los peers utilizando el puerto TCP 179 a travs de mensajes BGP open, posteriormente las sesiones son mantenidas enviando constantemente mensajes keepalive y la informacin del peer se mantiene en una tabla de vecinos separada. Si un peer es reseteado, ste enva un mensaje de notificacin para indicar la finalizacin de la relacin. Cuando se establece por primera vez la relacin de vecindad, los routers BGP intercambian sus tablas de enrutamiento por completo utilizando mensajes update. Finalmente slo se enviarn actualizaciones incrementales cuando existan cambios en la red.

Jerarquas BGP
Otros protocolos de enrutamiento han sido creados de tal manera que soporten sumarizaciones y para que se pueda organizar la red de manera jerrquica. Las organizaciones no estn distribuidas jerrquicamente, por lo tanto BGP debe trabajar con cualquier topologa que le sea dada. BGP se beneficia de la sumarizacin de la misma manera que los dems protocolos de enrutamiento, es decir, menos consumo de recursos de memoria y CPU, y tablas de enrutamiento ms pequeas. Una red BGP optimizada ser altamente sumarizada pero no necesariamente de manera jerrquica. BGP por naturaleza proporciona un resumen de las rutas claves identificando los posibles caminos entre sistemas autnomos. Debido a que los AS no estn bien organizados, las redes BGP reflejan esa falta de organizacin. BGP puede ser implementado entre redes o dentro de una red. BGP detecta los bucles mirando las rutas de los AS-Path.

Cuando utilizar BGP


Debido a su complejidad y especializacin para funciones externas, BGP se utiliza para los siguientes casos: BGP es el nico protocolo de enrutamiento que puede conectar una organizacin a diferentes sistemas autnomos.

www.FreeLibros.com

204

REDES CISCO. CCNP a Fondo

RA-MA

BGP debera ser considerado si se desea implementar una poltica de enrutamiento, como por ejemplo controlar el enlace hacia un ISP. BGP es el protocoloadecuado para un AS utilizado como AS de trnsito y se interconecte a otros sistemas autnomos. Un ISP es un tpico AS de trnsito.

BGP probablemente no sea necesario si algunos de los requerimientos anteriores no se cumplen. Si los requerimientos de enrutamiento que se necesitan pueden llevarse a cabo de una manera ms simple, como por ejemplo con una ruta por defecto, no se debera estar pensar en BGP como solucin. Los recursos necesarios para un buen funcionamiento de BGP son elevados, por lo tanto otras opciones deben ser siempre analizadas antes de implementarlo, ahorrando de esta forma dinero en dispositivos y configuraciones complejas.

Tablas de BGP
El enrutamiento a travs de BGP involucra tres tipos de tablas:
Tabla de vecinos Tabla de BGP Tabla de enrutamiento

IP

Las rutas de BGP son mantenidas en una tabla de BGP separada y las mejores rutas son pasadas a la tabla de enrutamiento. A diferencia de los protocolos detallados en los captulos anteriores, BGP no utiliza una mtrica. En su lugar BGP emplea un proceso de 10 pasos para seleccionar las rutas dependiendo de una serie de propiedades. Este tema se detallar ms adelante y es una de las principales cualidades de BGP. En suma, BGP soporta herramientas como route-maps y listas de distribucin que permiten al administrador cambiar el flujo de trfico basado en los atributos de este protocolo.

CONECTANDO A INTERNET CON BGP


Como protocolo de enrutamiento externo BGP es utilizado para conectar hacia y desde Internet y para enrutar trfico dentro, de Internet. Se debe estar completamente seguro de que la cantidad de trfico y rutas no saturar la red. Dos consideraciones importantes en el diseo de BGP son la necesidad de enlaces redundantes hacia Internet, llamados multihoming, y controlar cunto trfico de enrutamiento se quiere recibir desde Internet.

www.FreeLibros.com

RA-M A

CAPTULO 6. BGP

205

Multihoming
En organizaciones modernas la falta de conectividad a Internet puede llevar a la prdida de conectividad a determinados servidores y pginas Web hasta la prdida de telefona IP. Internet contiene una cantidad enorme y variada de trfico y de igual manera importante, es por lo tanto una tarea de los administradores poseer una solucin a la falta de conectividad hacia Internet. Las conexiones redundantes son la solucin a la prdida de un enlace. Esta solucin es conocida como multihoming. La idea del funcionamiento de multihoming es que ante el fallo de un enlace active un segundo enlace hacia Internet. Si estos dos enlaces pueden estar activos a la vez proporcionar una mayor efectividad en la conexin a Internet, mayor rendimiento y redundancia. El balanceo de carga en BGP a travs de mltiples enlaces o diferentes AS son las polticas de configuracin del protocolo. Multihoming podra efectuar mltiples conexiones al mismo ISP o a ISP diferentes. Conectado a ms de un ISP puede generar algunos de los siguientes problemas: 1. El espacio de direccionamiento es advertido de forma incorrecta por el proveedor. 2. Las nu s que se advierten o las rutas externas de las que depende la red son advertidas con diferentes mscaras. Debido a que las ms especficas sern siempre utilizadas, no se tendrn en cuenta los atributos de BGP. 3. Cuando la conexin es a ms de un ISP, el AS puede llegar a ser un sistema autnomo de trnsito entre esos ISP. Esto es rechazado debido a que no es conveniente que el AS tenga trfico ajeno al propio sistema autnomo.

Generalmente el ISP es capaz de tratar con este tipo de problemas y configurar su red para protegerse, aun as no se puede confiar plenamente en que su parte est bien configurada. Tambin es importante el contacto entre los dos ISP implicados para que puedan planificar los cambios necesarios.'

Informacin de enrutamiento desde Internet


Al conectarse a Internet es necesario planificar qu actualizaciones sern enviadas y recibidas desde el mundo exterior. Existen tres formas de conectarse a Internet:

www.FreeLibros.com

206

REDES CISCO. CCNP a Fondo

RA-MA

1. Aceptar slo rutas por defecto desde todos los ISP. En este caso los consumos de recursos sern muy bajos y la seleccin de rutas se har utilizando el router BGP ms cercano. 2. Aceptar algunas rutas ms las rutas por defecto desde los ISP. En este caso el consumo de recursos de memoria y CPU ser medio. El router seleccionar la ruta especfica y si no la conoce lo har a travs del router BGP ms cercano. 3. Aceptar todas las rutas desde todos los ISP, en este caso el consumo de recursos es alto pero en contra posicin siempre se elegir la ruta ms directa. La manera ms fcil de conectarse a Internet es tomar rutas por defecto desde todos los proveedores, proporcionando una ruta redundante en caso de que la principal falle. Si slo se recibe una ruta de cada proveedor la utilizacin de memoria y CPU es muy baja. El punto negativo es que no siempre se elegirn los caminos ms cortos, el trfico se dirigir simplemente hacia el router frontera ms cercano. Si las necesidades de la organizacin no son exigentes, este tipo de conexin es la adecuada. El caso completamente opuesto al anterior es tomar todas las rutas que llegan desde los proveedores, obteniendo el mejor enrutamiento posible. Sin embargo los recursos consumidos son altos. La tabla de enrutamiento de Internet puede contener 300.000 rutas en constante crecimiento (200.000 rutas consumen unos 200 MB de memoria). La sincronizacin de la tabla y la recepcin de actualizaciones consumen ciclos de procesador y capacidad en la red. Normalmente este tipo de conexin es soportada por los ISP en cuyo caso los dispositivos (Cisco GSR 12000) son capaces de soportar todo el trfico y las tablas completas con altas velocidades de conexin. El trmino medio a estas dos situaciones ser emplear algunas rutas especficas y rutas por defecto hacia el proveedor. De esta forma el trfico que el router conoce tomar el camino ms corto y los destinos desconocidos utilizarn las rutas por defecto hacia el router frontera ms cercano. La eleccin de alguna de estas tres opciones es importante pero no permanente, las configuraciones siempre pueden adaptarse a los requerimientos de la organizacin.

Sincronizacin
Cuando un AS proporciona un sistema de trnsito para otros AS y tiene router que no son BGP, el trfico de trnsito podra ser descartado si los routers intermediarios que no ejecutan BGP desconocen esas rutas. La regla de BGP de sincronizacin dice que si un sistema autnomo proporciona un servicio de trnsito

www.FreeLibros.com

RA-MA

CAPTULO 6. BGP

207

a otro sistema autnomo, BGP no debera anunciar ms rutas hasta que todos los routers dentro de ese AS hayan aprendido acerca de esa ruta va un IGP. La siguiente figura muestra un ejemplo de la sincronizacin:

El router C enva actualizaciones acerca de la ruta 170.10.0.0 hacia el router A; el router A y el router B estn ejecutando IBGP (Internal BGP). El router B recibe actualizaciones acerca de la red 170.10.0.0 va IBGP, si el router B quiere alcanzar la red 170.10.0.0, enviar el trfico hacia el router E. Si el router A no redistribuye la red 170.10.0.0 dentro de un IGP, el router E desconoce que la ruta 170.10.0.0 existe, por lo tanto descartar los paquetes. Si el router B advierte al AS 400 que puede alcanzar dicha red antes de que el router E aprenda sobre dicha red va un IGP, el trfico que viene desde el router D hacia el router B con destino 170.10.0.0 pasar por el router E y ser descartado. Esta situacin es controlada con la regla de sincronizacin de BGP, la cual dice que un sistema autnomo, en este caso S 100, pasa trfico desde un AS hacia otro y no advertir una ruta antes de que todos los routers dentro del AS 100 hayan aprendido esa ruta va un IGP. En este caso el router B espera hasta aprender sobre la red 170.10.0.0 va un IGP antes de enviar las actualizaciones al router D. Hay casos en los que es preferible deshabilitar la sincronizacin permitiendo que BGP converja ms rpidamente, pero en estos casos pueden producirse prdidas de paquetes.

www.FreeLibros.com

208

REDES CISCO. CCNP a Fondo

RA-MA

Si algunas de las siguientes condiciones se cumplen es posible que sea necesario deshabilitar la sincronizacin: El sistema autnomo no pasa trfico entre sistemas autnomos. Todos los routers de trnsito ejecutan BGP.

La siguiente figura es un ejemplo de una topologa donde es posible deshabilitar la sincronizacin:

La siguiente sintaxis muestra cmo deshabilitar la sincronizacin dentro del modo de enrutamiento:
Router(config-router)# no synchronization

En las versiones actuales de IOS la sincronizacin viene deshabilitad por defecto, para habilitarla se utiliza el siguiente comando:
R o u t e r (c onfig-router)# synchronization

Complementariamente existen otras maneras opcionales de solventar el problema de la sincronizacin como por ejemplo los routers reflectrs, las confederaciones o MPLS.

www.FreeLibros.com

RA-MA

CAPTULO 6. BGP

209

ESTADOS DE BGP
Los estados que toma BGP son los siguientes:
Idle, durante este estado el router esta buscando a los vecinos, tcnicamente BGP espera una fase llamada start. Este evento

puede ser iniciado por un administrador o por el sistema BGP. Un administrador estableciendo una sesin BGP o reseteando una sesin que ya existe causa un evento start.
Connect, BGP espera que se complete la conexin del protocolo

de transporte, en este caso TCP puerto 179. Si la conexin de TCP se realiza satisfactoriamente, el estado pasa a la fase open sent. En el caso de que no sea satisfactoria el estado cambiar a active.
Active, intenta establecer una vecindad iniciando la conexin a travs del protocolo de transporte. En caso de que lo consiga pasar al siguiente estado, open sent. Cuando el temporizador connect retray expira BGP lo reinicia y vuelve al estado connect. Si un router permanece entre los estados connect y active revela que la conexin TCP no se puede establecer. El estado active indica que el router esta intentando iniciar la sesin TCP. Open Sent, en este estado BGP espera los mensajes open del vecino, estos mensajes son chequeados para verificar que los datos son correctos, que las versiones de BGP sean las debidas como as tambin el nmero del sistema autnomo. Open Confirm, BGP espera los mensajes keepalive, si recibe

estos mensajes de su vecino entonces la sesin pasa al siguiente estado.


Established, es el estado final y el necesario para que BGP

comience a funcionar, se intercambien rutas, actualizaciones o keepalives. Cuando un router permanece todo el tiempo en el estado idle ser necesario verificar la existencia de un salto hacia el vecino con el que se quiere establecer la vecindad. Si el estado es permanentemente active habr que verificar la existencia de un firewall que tenga el puerto TCP 179 abierto.

www.FreeLibros.com

210

REDES CISCO. CCNP a Fondo

RA-MA

El siguiente ejemplo muestra el estado de un router BGP:


Router# show ip bgp neighbors BGP neighbor is 10.1.1.1, remte AS 100, external BGP versin 4, remte router ID 172.31.2.3 BGP state = Established, up for 00:19:10

CONFIGURACIN DE BGP Comandos bsicos


BGP ha sido diseado para conectar diferentes sistemas autnomos entre s. Los pasos para habilitar BGP consisten en identificar el sistema autnomo e identificar a los vecinos y su correspondiente sistema autnomo. La configuracin tambin debe incluir las redes que se quieren anunciar. Para iniciar el proceso BGP se utiliza la siguiente sintaxis:
Router(config)# router bgp autonomous-system-number

A diferencia de muchos otros protocolos BGP slo puede ejecutar un proceso en cada router. Al intentar configurar ms de un proceso BGP el router mostrar el nmero de proceso que se est ejecutando actualmente.

Identificando vecinos y definiendo peer-groups


BGP no se conecta a otros routers de manera automtica, hay que predefinirlos. El comando neighbor es utilizado para definir cada uno de los vecinos y su correspondiente sistema autnomo. Si el AS del vecino es el mismo que el local, habr una conexin IBGP (Internal BGP); si el vecino posee un AS diferente, la conexin es EBGP (External BGP). Una vez que los vecinos son definidos habr mas comandos dentro del comando neighbor que se utilizarn para definir las polticas del filtrado de rutas etc. La siguiente sintaxis muestra la configuracin del comando neighbor:
Router(config-router)# neighbor ip-address remote-as autonomous-system-number

Listar a los vecinos y sus polticas asociadas puede resultar muy pesado. Todos estos grandes bloques de configuracin son difciles de interpretar y de resolver fallos en la red. El concepto del peer-group ayuda a solventar estos problemas.

www.FreeLibros.com

RA-MA

CAPTULO 6. BGP

211

Un peer-goup es un grupo de vecinos que comparten la misma poltica de actualizaciones. Los routers son listados como miembros del mismo peer-group de tal manera que las polticas asociadas con el grupo lo sern tambin del router. De esta forma las polticas son aplicadas a cada vecino aunque tambin se pueden definir parmetros individuales personalizando a cada uno de los vecinos, adems de aplicar una regla general propia del peer-group. Los peer-group adems de reducir la configuracin ayudan a liberar al router de sobrecarga. Si cada vecino es configurado individualmente, entonces el proceso de actualizaciones de BGP tiene que ejecutarse separadamente para cada uno de ellos. Si mltiples vecinos son configurados como un grupo, el proceso de actualizaciones se ejecuta una vez enviando la misma actualizacin para todos los miembros del grupo. Para que esto resulte adecuadamente los miembros del grupo deben ser internos o externos. El comando neighbor peer-group-name es utilizado para crear el peergroup y asociar a los peer dentro de un sistema autnomo. Una vez que el peergroup ha sido definido los miembros son configurados con el comando neighbor peer-group.
R o u t e r (config-router)# neighbor peer-group-name peer-group Router(config-router )# neighbor ip-address / peer-group-name Router(config-router )#

remote-as autonomoussystem-number neighbor ip-address group-name

peer-group

peer-

La siguiente sintaxis muestra la configuracin bsica con tres vecinos:


Router(config)# router bgp 200 Router(config-router)# neighbor 190.55.5.2 remote-as 200 Router(config-router)# neighbor 190.55.5.3 remote-as 200 Router(config-router)# neighbor 190.55.5.4 remote-as 200

El siguiente es un ejemplo de configuracin de peer-group:


Router(config)# router Router(config-router)# Router(config-router)# Router(config-router)# Router(config-router)# Router(config-router)# bgp 200 neighbor neighbor neighbor neighbor neighbor Nom-AS peer-group 190.55.5.2 peer-group Nom-AS 190.55.5.3 peer-group Nom-AS 190.55.5.4 peer-group Nom-AS Nom-AS remote-as 200

El comando neighbor tambin puede ser utilizado para deshabilitar un peer. Normalmente un peer es deshabilitado durante una ventana de mantenimiento o para prevenir cadas y subidas en un enlace.

www.FreeLibros.com

212

REDES CISCO. CCNP a Fondo

RA-M A

Router(config-router)# neighbor shutdown

ip-address

\ peer-group-name

El ejemplo que sigue muestra la configuracin bsica de los comandos requeridos para que BGP funcione entre sistemas autnomos. Segn muestra la topologa el router A en el AS-200 est conectado a los routers en los AS-300, AS400, AS-500 y AS-600.

RouterA(config)# interface SerialO/O.l RouterA(config-int)# ip address 190.55.5.201 255.255.255.252

RouterA(config)# interface Serial0/0.2 RouterA(config-int)# ip address 190.55.5.205 255.255.255.252

i i i

RouterA(config)# interface Serial0/0.3 RouterA(config-int)# ip address 190.55.5.209 255.255.255.252 RouterA(config)# interface SerialO/O.4 RouterA(config-int)# ip address 190.55.5.213 255.255.255.252 RouterA(config)# router RouterA(config-router)# RouterA(config-router)# RouterA(config-router)# RouterA(config-router)# bgp 200 neighbor neighbor neighbor neighbor

190.55.5.202 190.55.5.206 190.55.5.210 190.55.5.214

remote-as remote-as remote-as remote-as

300 400 500 600

www.FreeLibros.com

RA-MA

CAPTULO 6. BGP

213

Direccin IP de origen
Los vecinos de BGP interno no tienen que estar directamente conectados, normalmente un IGP es responsable del enrutamiento dentro del AS de tal forma que los routers que ejecutan BGP pueden alcanzarse mutuamente a travs del enrutamiento proporcionado por el IGP. En la siguiente figura el router A tiene varias direcciones IP. Los routers A y B forman paridad y se encuentran directamente conectados por medio de la red 172.16.1.0, pero si el enlace se cae la interfaz del router B dejara de responder, incluso cuando el router B est directamente conectado al router C, no sabra que hacer debido a qu la direccin configurada para el peer esta cada.

Sin embargo si el peering se establece mediante direcciones de loopback el problema puede solventarse porque a pesar de que el enlace podra caerse, el router B enviar el trfico a travs del router C. Para la configuracin de este ejemplo hay que tener en cuenta que se han utilizado las dicciones de loopback en el IGP. Otro problema que surge es que cuando BGP crea trfico la direccin IP de origen es la de la interfaz de salida, en el router B el trfico hacia el router A tomara el camino directo desde la interfaz 172.16.1.2, pero si el enlace falla el trfico redireccionar desde la direccin IP 175.16.3.1. Esta nueva direccin de origen no encaja con la definida como peer, por lo tanto la conexin ser rechazada. Para permitir caminos redundantes el vnculo de origen tiene que ser el mismo que el vecino espera. La sintaxis del comando en la siguiente:
Router(config-router)# neighbor update-source interface ip-address | peer-group-name

www.FreeLibros.com

214

REDES CISCO. CCNP a Fondo

RA-MA

La configuracin de los routers A y B est en la siguiente sintaxis: Router A :


RouterA(config)# router bgp 100 RouterA(config-router)# neighbor 100.10.1.2 remote-as 100 RouterA(config-router)# neighbor 100.10.1.2 update-source loopbackO

Router B :
RouterB(config)# router bgp 100 RouterB(config-router)# neighbor 100.10.1.1 remote-as 100 RouterB(config-router)# neighbor 100.10.1.1 update-source loopbackO

Ambos routers establecen el peering hacia las direcciones de loopback de sus vecinos y originan trficos desde sus propias loopback permitiendo de esa manera redundancias. Los routers BGP externos normalmente no utilizan ningn protocolo de enrutamiento haciendo peering con direcciones directamente conectadas. Por defecto los paquetes EBGP poseen un valor de TTL igual a uno, lo que previene que puedan viajar a ms de un salto. Sera posible crear un modelo de redundancia en el ejemplo anterior, pero es necesario que se cumplan las siguientes condiciones: Tiene que existir una ruta hacia ambas direcciones por donde se establecer el peer. Debe ajustarse el TTL para que sea capaz de atravesar el nmero necesario de saltos.

Para modificar el TTL por defecto en las conexiones externas se utiliza el siguiente comando:
Router(config-router)# neighbor ip-address \ peer-group-name ebgp-multihop hops

Forzando la direccin del prximo salto


Un next hop de BGP es el punto de entrada al sistema autnomo. Normalmente el prximo salto es la direccin del router frontera, pero hay diversas situaciones donde debe cambiarse. Las rutas recibidas desde vecinos externos sern advertidas con prximo salto, con una direccin externa los vecinos internos

www.FreeLibros.com

RA-MA

CAPTULO 6. BGP

215

podran no reconocerla como una direccin vlida. El comando next-hop-self permite al router sustituir su direccin interna de tal manera que los vecinos internos entendern cmo alcanzar la direccin del prximo salto. La siguiente sintaxis muestra la configuracin de este comando:
R o u t e r (config-router)# neighbor {ip-address | peer-group } next-hop-self

Definiendo las redes que sern anunciadas


El comando network configura las redes que van a ser originadas por este router. Hay una diferencia notable entre el uso del comando network en BGP y en otros protocolos de enrutamiento. Con este comando no se identifican las interfaces que van a ejecutar BGP, sino que se identifican las redes que se van a propagar. Se pueden utilizar mltiples comandos network, tantos como se requiera. El parmetro de la mscara es muy til en BGP puesto que puede funcionar con subnetting y supemetting. La sintaxis del comando es la siguiente:
Router(config-router)# network network-number mask network-mask

Agregacin de rutas
Para agregar o sumarizar rutas en un dominio de BGP se utiliza el siguiente comando:
Router(config-router)# aggregate-address ip-address mask [summary-only] [as-set]

En el caso de que se configure el parmetro summary-only todas las rutas ms especficas sern eliminadas propagndose solamente la sumarizacin de stas. Esto es opcional dependiendo de la topologa existente pero aun as es conveniente enviar la sumarizacin para evitar enviar demasiados prefijos. Cuando se utiliza el parmetro as-set todos los sistemas autnomos que han sido atravesados sern almacenados en el mensaje update. El siguiente ejemplo muestra la configuracin de BGP utilizando el comando aggregate-address, con el parmetro summarization. Las rutas con un prefijo mayor que /16 sern sumarizadas. De esta forma la ruta 10.10.35.8/29 no es vista en las actualizaciones update debido a que est sumarizada dentro de la red 10.20.0.0/16. Cualquier otra ruta que no est sumarizada dentro de esa actualizacin ser listada individualmente. La sumarizacin reduce sobrecarga en la red y simplifica la administracin de la misma.

www.FreeLibros.com

216

REDES CISCO. CCNP a Fondo

RA-MA

Router(config)# interface SerialO Router(config-int)# ip address 10.255.255.201 255.255.255.224 Router(config)# router bgp 100 Router(config-router)# network 10.10.35.8 255.255.255.252 Router(config-router)# network 10.10.27.0 255.255.255.0 Router(config-router)# network 10.10.100.0 255.255.2550.0 Router(config-router)# aggregate-address 10.10.0.0 255.255.0.0 summary-only Router(config-router)# neighbor 10.255.255.202 remote-as 200 Router(config-router)# neighbor 10.255.255.202 next-hop-self Router(config-router)# neighbor 10.255.255.206 remote-as 300 Router(config-router)# neighbor 10.255.255.206 next-hop-self

Autenticacin
La autenticacin es una parte importante en BGP sobretodo para proveedores de servicios (ISP). Sin autenticacin estos ISP estaran expuestos a mltiples ataques desde Internet. La autenticacin de BGP consiste en abordar una clave o contrasea entre los vecinos de tal manera que se enve un hash MD5 con cada paquete BGP. Esta autenticacin es muy simple de configurar y asocia la contrasea con el vecino:
Router(config-router)# neighbor ip-address password password

VERIFICACIN DE BGP
Los comandos show para BGP brindan una informacin clara acerca de las sesiones de BGP y de las opciones de enrutamiento: show ip bgp, muestra la tabla de enrutamiento de BGP. show ip bgp summary, muestra el estado de las sesiones de BGP y tambin el nmero de prefijos aprendidos en cada sesin.

show ip bgp neighbors, muestra la informacin de la conexin TCP hacia los vecinos, as como el tipo y nmero de mensajes BGP que estn intercambindose con cada vecino. Cuando la conexin se establece los vecinos intercambian actualizaciones. show processes cpu, muestra los procesos activos y se usa para identificar los procesos que consumen demasiados recursos, pueden ordenarse por cantidad de recursos consumidos. Otro comando de gran utilidad es el debug, como todos estos comandos debe utilizarse con la debida precaucin. Mostrar la informacin real de los eventos que se estn ejecutando:

www.FreeLibros.com

RA-M A

CAPTULO 6. BGP

217

Router# debug ip bgp [dampening | events

| keepalives | updates]

El Route dampening es un mecanismo para identificar la inestabilidad causada por cadas aleatorias de rutas o flapping. Cuenta la cantidad de veces que una ruta determinada cae aplicando una penalizacin a cada una de estas cadas. De esta manera BGP puede ignorar esas rutas para utilizar las rutas ms estables.

Reestableciendo la vecindad
Luego de configurar cambios en BGP a veces es necesario hacer un hard reset que significa resetear la sesin TCP entre ambos vecinos. Se ejecuta con el siguiente comando:
Router(config-router )# clear ip bgp {* | address} [soft [in|out]]

Este comando desconecta la sesin entre vecinos y la reestablece con la nueva configuracin que ha sido aplicada. BGP solamente intercambia rutas cuando la relacin de vecindad ha sido establecida. A partir de ese momento si los vecinos cambian las polticas, como por ejemplo una nueva lista de distribucin, el nico medio para propagar los cambios sin reiniciar el router es resetear la sesin TCP. Este reinicio puede generar algunos de estos problemas: El reinicio de la sesin tarda bastante tiempo en reestablecerse e interrumpe el trfico mientras se est iniciando nuevamente. Al resetear la sesin los routers lo pueden detectar como una cada de un enlace, pudiendo causar que los pares se desasocien. Al resetear la sesin la tabla de enrutamiento debe ser enviada por completo nuevamente, generando mucho trfico.

Existe una alternativa al hard reset que es un reinicio de sesin menos violento. El soft reset no interrumpe el enrutamiento ni causa flapping. Pueden configurarse tanto para conexiones entrantes como salientes.' La siguiente sintaxis muestra la configuracin de un soft reset de salida:
Router(config-router )# clear ip bgp {* | address} soft out

Un soft reset le indicar al router local que debe enviar su tabla de enrutamiento BGP completa hacia el vecino pero hacindolo de tal manera que la sesin TCP que hay entre ambos no caiga. De esta forma los cambios en la poltica de enrutamiento en direccin hacia el vecino saliente son enviados.

www.FreeLibros.com

218

REDES CISCO. CCNP a Fondo

RA-MA

Hay casos en los que se requiere que el vecino enve sus anuncios siguiendo este sistema, pero la nica manera de hacerlo es a travs del administrador para que ejecute dicho comando en su router. El reseteo suave de entrada permite simular la recepcin de una actualizacin. Para poder ejecutarlo en el router local debe existir una copia no procesada de la actualizacin del vecino. El comando soft-reconfiguration-inbound debe estar pre-configurado para el vecino, como se expone en la siguiente sintaxis. El router guardara dos copias de ese anuncio, antes y despus de procesar:
Router(config-router)# neighbor ip-address soft-reconfiguration inbound

Asumiendo que esta capacidad est disponible, se podr repetir un anuncio previamente guardado, por ejemplo se podra forzar una actualizacin desde el vecino a travs de los nuevos filtros utilizando el siguiente comando:
Router(config-router)# clear ip bgp ip-address soft in

Cada vez que se utilice el comando soft se le est indicando al router que no cierre la sesin TCP.

ATRIBUTOS DE BGP
Las rutas aprendidas va BGP llevan asociados ciertos atributos que sirven para determinar qu rutas son la mejor opcin hacia un destino y si existen varios caminos hacia ese destino en particular. Para disear redes robustas con BGP hay que comprender cmo los atributos de BGP influyen en el proceso de seleccin de rutas. La siguiente tabla muestra los atributos BGP soportados en IOS: Atributo Categora Descripcin
ID y AS del router que lleva a cabo la sumarizacin. No se usa en el proceso de seleccin de caminos. Lista de todos los AS a travs de los cuales ha pasado. Se prefiere el ms corto.

Aggregator

Optional, transitive

AS_Path

Well-known, mandatory

www.FreeLibros.com

RA-M A

CAPTULO 6. BGP

219

Atomic aggregate

Well-known, discretionary

Al generar una sumarizacin enva los AS de las rutas que componen dicha sumarizacin. No se usa en el proceso de seleccin de caminos. Identifica un clster, Route Reflectors. No se usa en el proceso de seleccin de caminos. Etiqueta prefijos. No se usa en el proceso de seleccin de caminos. Indica el nivel de preferencia para alcanzar prefijos externos a travs de los routers internos. Se prefiere el valor ms alto. Indica a vecinos externos qu camino usar para alcanzar prefijos. Peer externo en el AS vecino. No se usa en el proceso de seleccin de caminos. Cdigo de origen. Preferidos en este orden: (i) IGP, (e) EGP, (?) Incomplete. Identifica al Route Reflector. No se usa en el proceso de seleccin de caminos. Propietario de Cisco. Se prefiere el ms alto.

Cluster ID

Optional, nontransitive

Community

Optional, transitive

Local preference Mltiple Exit Discriminator (MED) Next Hop

Well-known, discretionary

Optional, nontransitive Well-known, mandatory Well-known, mandatory Optional, nontransitive Optional, not communicated to peers

Origin

Originator ID

Weight

Es posible que BGP pueda recibir varios anuncios para la misma ruta desde diferentes orgenes. BGP solamente selecciona un camino como el ms adecuado; una vez que dicho camino es seleccionado BGP lo pone en la tabla de enrutamiento y lo propaga a sus vecinos. El proceso de seleccin de rutas completo de BGP sigue el siguiente orden: 1. Se prefiere el camino con el weight ms alto. Este atributo es propietario de Cisco y es local al router en el que se configura.

www.FreeLibros.com

220

REDES CISCO. CCNP a Fondo

RA-M A

2. 3.

Se prefiere el camino con local_pref ms alto. Por defecto toma un valor de 100 pero es posible modificarlo. Se prefieren caminos originados localmente va el comando network o aggregate, o mediante redistribucin desde un IGP. Los caminos locales originados por el comando network o redistribute son preferidos sobre los localmente agregados usando el comando aggregate-address.

4. Se prefiere el camino con el asjpath ms corto. 5. 6. 7. Este paso es omitido si el comando bgp bestpath as-path ignore est configurado. Un as_set cuenta como 1, no importa cuntos AS haya en el set. Los as_confed_sequence y as_confed_set no estn incluidos en la longitud del asjpath. con el origin ms bajo, donde IGP<EGP. con la med ms baja. Por defecto es 0.

Se prefiere el camino Se prefiere el camino

Se prefieren caminos EBGP sobre caminos IBGP. Si se trata de un camino EBGP contina en el paso 9. Se prefiere el camino a travs del IGP con la menor mtrica hacia el next hop de BGP

8.

9. Determinar si se requiere instalar mltiples caminos en la tabla de enrutamiento para BGP Multipath. 10. Cuando ambos caminos son externos se prefiere el que fue recibido primero (el ms antiguo). Esto minimiza el flapping de rutas. Hay que omitir este paso si se cumple alguna de las siguientes condiciones: Est habilitado el comando bgp best path compare-router-id. El router ID es el mismo para mltiples caminos porque las rutas fueron recibidas desde el mismo router. No existe un best path actualmente.

11. Se prefiere la ruta que viene desde el router BGP con el router ID ms bajo. En caso de que el camino contenga atributos de Route Reflectors RR el originator ID es substituido por el router ID en el proceso de seleccin de rutas de BGP. 12. Si el originator o router ID es el mismo para mltiples caminos, preferimos el camino con la lista de clster de menor longitud. Esto solamente est presente en entornos con RR.

www.FreeLibros.com

RA-MA

CAPTULO 6. BGP

221

13. Se prefiere el camino que viene desde el vecino con la direccin IP ms baja correspondiente a la usada durante el establecimiento de la sesin TCP, es decir, la que figura en la configuracin del vecino. Existen tres conceptos fundamentales para la configuracin de BGP La regla de sincronizacin Comportamiento de horizonte dividido en BGP La seleccin de caminos BGP

Controlando la seleccin de caminos de BGP


El propio sistema que BGP utiliza para controlar la seleccin de rutas es bastante sofisticado habr momentos en que el administrador tendr que influir en ese comportamiento modificando los atributos del protocolo. Existen muchos mtodos para influenciar la seleccin de caminos en BGP, pero los route-maps son los ms utilizados. Los cuatro principales atributos qu se suelen modificar son Weight, Local-Preference, MED y AS-path prepending. Los dos primeros se modifican para influenciar cmo sale el trfico del AS y los siguientes indicarn a otros AS cmo se prefiere que ellos alcancen al AS local.

Uso del atributo Weight


Este atributo es propietario de Cisco, selecciona la interfaz de salida cuando existen mltiples rutas hacia un mismo destino. Cuanto ms alto es el valor, mayor preferencia. Este atributo es local al router y no se propaga hacia los dems routers. Este atributo es extremadamente potente, porque es el primero que BGP utiliza en el proceso de seleccin y toma preferencia sobre cualquier otro. Para configurarlo se utiliza el siguiente comando:
Router(config-router)# neighbor {ip-address. | peer-groupname } weight weight

El Weight puede tomar valores entre 0 y 65535, por defecto es 0 a menos que el router est originando la ruta, en cuyo caso el peso por defecto ser 32768. La figura que sigue ilustra el uso del atributo Weight y la sintaxis muestra cmo es elegida la ruta a travs del router Madrid. El Weight ha sido modificado en el router Burgos haciendo preferible el camino a travs del router Madrid sin importar cul sea la red que se est tratando de alcanzar.

www.FreeLibros.com

222

REDES CISCO. CCNP a Fondo

RA-MA

El mejor camino para llegar a la red 130.16.0.0 es a travs del router Len, pero finalmente y por los cambios efectuados ser a travs de Madrid.

Burgos(config)# router Burgos(config-router)# Burgos(config-router)# Burgos(config-router)# Burgos(config-router)#

bgp 100 bgp log-neighbor>changes neighbor 167.55.191.3 remote-as 100 neighbor 167.55.199.2 remote-as 100 neighbor 167.55.199.2 weight 200

Uso del atributo Local-Preference


Este atributo es fcil de configurar: puede hacerlo por defecto o por prefijo. La sintaxis es la siguiente:
Router(config-router)# bgp default local-preference valu

El atributo Local-Preference tiene un rango entre 0 y 4294967295, cuanto ms alto el valor mayor preferencia. Por defecto lleva un valor de 100. El siguiente ejemplo est basado en la siguiente figura, el atributo LocalPreference est configurado en el router Madrid con un valor de 200 y se propaga en todas las actualizaciones a todos los peers.

www.FreeLibros.com

RA-MA

CAPTULO 6. BGP

223

El valor de Local-Preference esta configurado a 100 en el router Len y se propaga a todos los peers. Cuando el router Burgos deba decidir qu ruta utilizar para llegar a la red 130.16.0.0 el Local-Preference ms alto dicta que Madrid es la mejor salida desde el AS.

Madrid(config)# router bgp 100

Madrid(config-router)# bgp default local-preference 200 Madrid(config-router)# aggregate-address 167.55.0.0 255.255.0.0 summary-only Madrid(config-router)# neighbor 100.2.4.4 remote-as 400 Madrid(config-router)# neighbor 100.2.4.4 default-originate

Madrid(config-router)# neighbor 167.55.195.3remote-as 100 Madrid(config-router)# neighbor 167.55.199.1 remote-as 100 Len(config)# router bgp 100

Len(config-router)# Len(config-router)# Leon(config-router)# summary-only Len(config-router)# Len(config-router)# Len(config-router)#

bgp default local-preference 100 network 167.55.0.0 aggregate-address 167.55.0.0 255.255.0.0 neighbor 100.2.3.2 remote-as 300 neighbor 167.55.191.1 remote-as 100 neighbor 167.55.195.2 remote-as 100

www.FreeLibros.com

224

REDES CISCO. CCNP a Fondo

RA-MA

La Local-Preference tambin puede ser aplicada por prefijos. Aunque existen varios mtodos para modificar las rutas los route-maps son los ms utilizados. Para cambiar los parmetros de los route-maps simplemente se modifica el parmetro en el comando neighbor:
Router(config-router)# neighbor {IP | peer group} route-map route-map ame {in|out}

La siguiente sintaxis muestra un route-maps aplicada a todas las rutas redistribuidas desde un peer. Las rutas son comparadas con una ACL y las que son permitidas adquieren una Local-Preference de 500. La lnea 20 no tiene sentencia match por lo tanto aplica a todo el resto de las rutas. Las rutas denegadas adquieren un Local-Preference de 50.
Lisboa(config)# router bgp 100 Lisboa(config-router)# neighbor 10.5.5.25 remote-as 100 Lisboa(config-router)# neighbor 10.5.5.25 route-map example_LP in Lisboa(config-router)# exit Lisboa(config)# access-list 5 permit 10.1.1.0 0.0.0.255 Lisboa(config)# route-map example_LP permit 10 Lisboa(config-rmap)# match ip address 5 Lisboa(config-rmap)# set ip local-preference 500 Lisboa(config)# route-map example_LP permit 20 Lisboa(config-rmap)# set ip local-preference 50

Uso del atributo MED


Este atributo es advertido a los vecinos externos para influenciarlos en el sentido de cmo van a poder alcanzar a nuestro sistema autnomo, es decir, que se modifica el trfico de entrada hacia nuestro AS. Por ejemplo cuando existen enlaces redundantes hacia un ISP y se necesita que el trfico fluya sobre el enlace con mayor capacidad. Con el Weight o con el Local-preference se puede controlar cmo los routers locales envan trfico fuera del sistema autnomo, pero los vecinos externos no reciben esa informacin. Si se configura el atributo MED para que sea ms bajo en uno de los caminos, ste ser elegido por los vecinos pera enviar trfico hacia el AS local. MED es un atributo opcional y transitivo, cuanto menor sea tendr mayor preferencia, por defecto el valor de MED es 0. La sintaxis de configuracin del atributo MED es la siguiente:
Router(config-router)# default-metric valu

www.FreeLibros.com

r a -m a

CAPTULO 6. BGP

225

El ejemplo que sigue muestra un route-map anunciado hacia un peer. En primer lugar las rutas son comparadas con una ACL y las rutas permitidas llevarn una mtrica de 500, la lnea 20 del route-map no incluye una sentencia match por lo tanto todas las dems rutas que sean denegadas por la ACL llevarn una mtrica de 5000.
Router(config)# router bgp 100 Router(config-router)# neighbor 10.6.6.36 remote-as 200 Router(config-router)# neighbor 10.6.6.36 route-map med_rm out Router(config-router)# exit Router(config)# access-list 5 permit 10.1.1.0 0.0.0.255 R o u t e r (config)# route-map med_rm permit 10 Router(config-rmap)# match ip address 5 R o u t e r (config-rmap)# set metric 500 R o u t e r (config)# route-map med_rm permit 20 Router(config-rmap)# set metric 5000

Uso del atributo AS-path


El atributo AS-path prepending es del tipo Well-known y obligatorio para todas las actualizaciones. Es el mecanismo que BGP utiliza para detectar bucles de enrutamiento y que adems es el sistema para decidir que ruta es la ms corta. Mientras ms AS sean atravesados peor ser el camino, siempre se utilizar el ASpath ms corto. EL AS-path que se enva a un vecino puede modificarse utilizando un route-map de esta forma se puede replicar el AS local para conseguir establecer caminos menos preferidos que otros.
Router(config)# router Router(config-router)# Router(config-router)# Router(config-router)# Router(config-router)# bgp 65005 neighbor 193.0.0.2 remote-as 65100 neighbor 193.0.0.2 route-map prepend out route-map PREPEND permit 10 set as-path prepend 65005 65005 65005

VERIFICACIN DE LOS ATRIBUTOS


El comando show ip bgp muestra los atributos, los valores y el estado. Es un buen comando para verificar la configuracin y los cambios efectuados y para administrar el flujo del trfico desde y hacia nuestro AS. Los siguientes ejemplos muestran dos show ip bgp basados en los casos anteriores, observe el cambio del Weight a 200 en el segundo ejemplo y su efecto en la red.

www.FreeLibros.com

226

REDES CISCO. CCNP a Fondo

RA-M A

Chicago# show ip bgp BGP table versin is 22, local router ID is 192.168 .0.231 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure Origin codes: i - IGP, e - EGP , ? incomplete Metric LocPrf Weight Path Network Next Hop 0 400 I 0 100 100.2.4.4 *>i4.0.0.0 0 100 0 300 I *>i5.0.0.0 100.2.3.2 0 100 0 300 I *>il00.2.3.0/29 100.2.3.2 0 100 0 400 I *>il00.2.4.0/29 100.2.4.4 0 100 0 300 I 100.2.3.2 *>il30.16.0.0 0 I 281600 100 167.55.191. 3 r>il67.55.0.0 Chicago# show ip bgp BGP table versin is 8, local router ID is 192.168. 0.231 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,r RIB-failure Origin codes: i - IGP, e - EGP , ? incomplete Metric LocPrf Weight Pat,h Network Next Hop 0 100 200 400 i *>i4.0.0.0 100.2.4.4 0 100 0 300 i *>i5.0.0.0 100.2.3.2 0 100 0 300 i *>il00.2.3.0/29 100.2.3.2 0 100 200 400 i *>il00.2.4.0/29 100.2.4.4 100 200 400 500 300 i 100.2.4.4 *>il30.16.0.0 0 100 0 300 i * i 100.2.3.2 281600 100 0 i r>il67.55.0.0 167.55.191. 3

Campo
BGP table versin

Descripcin
Nmero interno de la versin de la tabla. Se incrementa cuando la tabla cambia. La direccin IP usada como BGP ID. El estado se muestra al principio de cada lnea y puede tomar estos valores: s - suprimido * - vlido > - mejor entrada para esa red i - aprendida via iBGP d - dampening ha sido aplicado

local router ID

status codes

www.FreeLibros.com

.-MA

CAPTULO 6. BGP

227

El cdigo de origen est situado al final del ASpath. Puede ser uno de los siguientes valores:

Origin


Network

i - La red ha sido advertida usando el comando network. e - La red ha sido originada desde EGP (actualmente no se usa). ? - La red ha sido redistribuida en BGP.

Un prefijo. IP del primer vecino externo en el camino. Si es 0.0.0.0 indica que la ruta ha sido auto originada. Atributo de BGP usado para influenciar el trfico de vuelta. Por defecto es 0. Atributo de BGP usado para indicar al AS qu router usar para salir hacia otro AS. Por defecto es 100. Atributo de BGP para indicar al router qu camino tomar para llegar al destino. Es propietario de Cisco y es local al router. Sistemas Autnomos que hay hacia el destino. Puede haber una entrada en este campo por cada AS que haya que atravesar.

Next hop

Metric

LocPrf

Weight

Path

www.FreeLibros.com

www.FreeLibros.com

Captulo 7

MULTICAST
INTRODUCCIN A MULTICAST Tipos de direcciones IP
En una red IP pueden existir tres tipos de direccionamiento: Unicast, los paquetes son enviados desde un origen hacia un slo destino. Broadcast, los paquetes son enviados con un direccionamiento de difusin. Multicst, los paquetes son enviados a una direccin especial de grupo.

Unicast: los paquetes unicasts son enviados a una direccin especfica. Cuando se enva informacin a un determinado grupo ser necesario hacerlo a cada uno de los componentes de dicho grupo, lo que provoca un consumo de ancho de banda. Unicast es enviado por un router o por un switch de capa 3 que encuentra en su tabla de direccionamiento la direccin IP. Un switch de capa 2 confia en la direccin MAC del destino. El envi unicast est habilitado por defecto, es el ms comn de los tres tipos de direccionamiento. Broadcast: es la manera de comunicar exactamente la misma informacin a todo un grupo. Los broadcasts son transmitidos al medio y recibidos por todos los dispositivos. Existen protocolos de enrutamiento que utilizan broadcasts para distribuir la informacin de enrutamiento. En lugar de requerir varios paquetes

www.FreeLibros.com

230

REDES CISCO. CCNP a Fondo

RA-M A

unicast simplemente se enva un paquete que alcanza a todos los dispositivos. Los broadcasts son tiles adems, para cuando se quiere enviar una informacin a un destino desconocido. DHCP utiliza broadcast para asignar direcciones unicast. Las NIC estn programadas para escuchar todo el trfico y de esa manera reconocer el trfico que est destinado a la propia direccin local MAC o la direccin MAC de broadcast y enviar las tramas a las capas superiores. El problema de los broadcasts es que deben ser procesados por la CPU, por ejemplo, un PC que recibe una actualizacin de RIP tendr que procesar el paquete para comprender que no est interesado en el mismo. Los broadcasts en ethemet son enviados a la direccin MAC reservada ffff.ffff.ffff. Los switches de capa 2 inundan los broadcasts fuera de todos los puertos en la misma VLAN. Los broadcasts en IP estn reservados en la direccin 255.255.255.255. Los routers no retransmiten trfico broadcast por defecto. Multicst: son direcciones de grupo. Un dispositivo IP se une a un grupo reconociendo una direccin IP de otro grupo y reprogramando su tarjeta de red (NIC) para copiar todo el trfico destinado a la direccin MAC del grupo. Debido a que el trfico multicst est dirigido a diferentes MAC algunos host prestarn atencin mientras que oros lo ignorarn. EIGRP utiliza 224.0.0.10 y la direccin MAC 0100.5E00.000A, los routers prestarn atencin a este trfico pero un PC lo ignorar. Debido a que multicst permite discriminar el trfico a nivel de la tarjeta de red, es decir, a nivel de enlace de datos, se pierde menos tiempo de procesamiento de dicho trfico. El trfico multicst generalmente es unidireccional, hay un origen que enva el trfico a todos los destinos, mientras que stos devuelven el trfico de manera unicast. El trfico multicst es enviado utilizando el protocolo UDP, por lo tanto no est orientado a la conexin de tal manera que no hay verificacin de que los paquetes sean realmente entregados, dejando esta responsabilidad a los destinos o la aplicacin. Los host que quieren recibir datos de una direccin origen multicst pueden unirse o dejar el grupo de forma dinmica habilitando la direccin MAC del grupo en su tarjeta de red. Un host puede ser miembro de ms de un grupo multicst al mismo tiempo.

www.FreeLibros.com

RA-MA

CAPTULO 7. MULTICAST

231

El trfico multicst solamente es procesado por los host que estn programados para recibirlo, un router por defecto no reenva paquetes multicst a no ser que est habilitado para hacerlo. Por defecto los switch de capa 2 hacen una inundacin de todo el trfico multicst en todos los puertos de la misma VLAN.

Vdeo en un escenario IP
La siguiente figura muestra una topologa en la que el jefe de un departamento de una empresa quiere hablar con los empleados utilizando vdeo sobre IP. Los enlaces Fast Ethernet son de 100 Mbps mientras que los enlaces WAN DS3 son de 45 Mbps. Los Usuarios A, B, C y E quieren atender el pedido pero el usuario D no.

Suponiendo que el flujo del vdeo fuera unicast y de 1 Mbps hara falta un camino de 1 Mbps hacia cada uno de los destinos. Los enlaces Fast Ethernet limitaran la cantidad de clientes a un mximo de 100, y los DS3 los limitaran a un mximo de 45 clientes por enlace. Si se utilizara todo el trfico la red quedara no disponible para el resto de los empleados.

www.FreeLibros.com

232

REDES CISCO. CCNP a Fondo

RA-MA

Cuando se reconoce este problema el administrador de la red trata de redistribuir el vdeo utilizando broadcast, pero no logra conexin debido a que los routers no procesan los broadcast, incluso dentro de una LAN los broadcast son problemticos puesto que llegan a todos los usuarios obligndolos a procesar todo el trfico.

El multicst resolvera esta situacin. Un simple flujo multicst podra ser distribuido a todos los usuarios conservando la capacidad de la red.

www.FreeLibros.com

RA-MA

CAPTULO 7. MULTICAST

233

El trfico multicst se puede enrutar, y los usuarios que no desean verlo simplemente lo ignoran para no sobrecargar a los ordenadores. En el peor escenario posible el usuario D estara recibiendo el trfico pero la tarjeta lo ignorara. En el mejor caso posible el switch es lo suficientemente inteligente como para filtrar ese trfico multicst sabiendo que D no quiere recibirlo. Para ello utilizara IG M P o CGMP.

DIRECCIONAMIENTO MULTICAST
Los sistemas finales y tipos de los sistemas intermedios tienen que ser capaces de distinguir el trfico multicst, unicast y broadcast. Un dispositivo de capa 3 utiliza direcciones reservadas Clase D que van desde la 224.0.0.0 hasta la 239.255.255.255. Los dispositivos de red pueden reconocer rpidamente trfico multicst porque los primeros 4 bits son siempre 1110. Los dispositivos Ethernet de manera similar tienen direcciones especiales para multicst.

www.FreeLibros.com

234

REDES CISCO. CCNP a Fondo

RA-MA

El bit de menor orden en el primer byte de una direccin MAC sirve para indicar si es multicst o unicast, si el valor es 1 indica que la trama es multicst. Adems de este bit las direcciones IP multicst estn mapeadas a un rango especfico de direcciones MAC para ayudar a los host a discriminar el tipo de trfico.

Direccionamiento MAC multicst


A nivel de capa 2 los dispositivos reconocen trfico multicst porque cada direccin IP de multicst est asociada a una direccin MAC de 48 bits. Los primeros 24 bits de la direccin MAC corresponden al OUI (Organizationally Unique Identifier) o cdigo de fabricante y comienzan con 0100.5e y el bit nmero 25 siempre es 0. Los siguientes 23 bits de la direccin MAC son copiados desde los 23 bits ms a la derecha de la direccin IP. El siguiente ejemplo muestra el concepto del mapeo de direcciones:
IP 2 2 7 .6 4 .3 .5

0000 0001 0000 0 0 0 0 0 1 0 0

5 227 _________ 64___________ 3 1 11 0 0011 010 0 0000 0 00 0 0011 0000 0101 O 01 1 1 1 0 010 0 0000 0000 0011 0000 0101 5 E 4 0 0 3 0 5

M AC 0 1 0 0 .5 E 4 0 .0 3 0 5

Solamente los primeros 23 bits desde la derecha son copiados desde la direccin IP a la MAC. Los prefijos ms a la izquierda de la direccin IP y la direccin MAC son fijos y predecibles. Hay 5 bits de la direccin IP dentro del rango que no son transferidos hacia de la direccin MAC multicst, esto crea la posibilidad de que las direcciones MAC de multicst no sean totalmente nicas. Existen 32 direcciones multicst diferentes que pueden corresponder con la misma direccin MAC.

www.FreeLibros.com

RA-MA

CAPTULO 7. MULTICAST

235

1110 0000.0= =224.0 A 1110 0001.0= =225.0 1110 0010.0= =226.0 1110 1101.0= =237.0 1110 1110.0= =238.0 1110 1111.0= =239.0 1110 0000.1= =224.1 1110 0001.1= =225.1 1110 0010.1= =226.1 1110 1101.1= =237.1 1110 1110.1= =238.1 1110 1111.1= =239.1
5 bits que no son tenidos e n cuenta

32 direcciones multicst que pueden corresponder con la misma direccin MAC

Esta situacin queda demostrada en la siguiente figura, donde la NIC es incapaz de distinguir trfico para la direccin 234.64.3.5, 225.192.3.5 y 227.64.3.5.
5 bits que no son tenidos en cuenta

IP 234.64.3.5 IP 225.6192.3.5 IP 227.64.3.5

1110 1010 0 100 0000 0000 0011 0000 0101 1110 0001 1 100 0000 0000 0011 0000 0101 1110 0011 0 100 0000 0000 0011 0000 0101

0000 0001 0000 0000 0101 1 1 1 0 p 100 0000 0000 0011 0000 0101 0 1 0 0 5 E 4 0 0 ' 3 0 5

MAC 0100.5E40.0305

Debido a esta ambigedad el direccionamiento multicst encara un pequeo problema cuando est recibiendo una trama Ethernet que est destinada a una direccin MAC de multicst. Esta direccin MAC podra corresponder a 32 direcciones IP multicst diferentes. El host tiene que recibir y examinar cada trama que incluya la direccin MAC en la que est interesado, sin importar desde qu direccin IP est viajando dicha trama hacia l. El host examina la cabecera del

www.FreeLibros.com

236

REDES CISCO. CCNP a Fondo

RA-MA

paquete para verificar que la direccin IP multicst especfica corresponde al grupo deseado. Para el caso que no sea lo esperado la trama se descarta.

Direccionamiento IP multicst
Sumado al direccionamiento de Clase D de multicst existen varios rangos que se utilizan para un direccionamiento en particular: Link-local addresses (224.0.0.0/24), son usadas en el segmento local, poseen un TTL de 1 de tal manera que los routers no reenvan el trfico debido al valor del TTL. Estas direcciones son fijas y conocidas:

Direccin 224.0.0.1 224.0.0.5 224.0.0.6 224.0.0.9 224.0.0.10

Destino
Todos los hosts. Todos los router OSPF. Todos los DR OSPF. Todos los router RIPv2. Todos los router EIGRP.

Source-specific multicst (232.0.0.0/8), este direccionamiento es una extensin de multicst donde el host puede seleccionar el grupo del cual quiere recibir trfico, o por el contrario lo recibe desde cualquier origen. Se utiliza con IGMPv3. GLOP (233.0.0.0/8), este rango proporciona 256 direcciones IP de multicst para cada sistema autnomo que est registrado. El nmero de AS de 16 bits es utilizado en los octetos centrales, en el ejemplo se observa un AS 1500: 233.0.0.0/8 AS 1500 Donde: 233 es el identificador GLOP 1500=10111011100 AS en binario
S - JV------y------'

5 220 Por lo tanto 233.5.220.0

www.FreeLibros.com

RA-MA

CAPTULO 7. MULTICAST

237

Administratively scoped addresses (239.0.0.0/8), este espacio de direccionamiento es utilizado en dominios de multicst privados. Llevan una similitud con la RFC 1918. Estas direcciones no son enrutadas entre dominios de manera que pueden ser reutilizadas. Dentro de este mbito administrativo la direccin 239.252.0.0/14 es utilizada localmente y la 239.192.0.0/10 para toda la
organizacin.

Globally scoped addresses (224.0.1.0-231.255.255.255 y 234.0.0.0238.255.255.255), este direccionamiento puede ser utilizado por cualquier entidad para enrutar trfico para cualquier organizacin en Internet. Son nicas y globalmente significativas y son asignadas de manera temporal.

Aplicaciones multicst
El direccionamiento multicst es utilizado en muchas aplicaciones, como las utilizadas con las imgenes que distribuyen esas imgenes a travs de multicst. En este escenario, un servidor es cargado con todas las imgenes y cada uno de los clientes puede recibirlas a travs del trfico multicst. Otro uso comn de las aplicaciones multicst es un escenario compartido, donde varios usuarios comparten un espacio de trabajo. Por ltimo agregar que el direccionamiento multicst permite descubrir procesos de enrutamiento. Los procesos de enrutamiento de RIPv2, OSPF y EIGRP descubren a sus vecinos por medio del direccionamiento multicst. Las aplicaciones pueden ser de uno a varios, como por ejemplo las imgenes de varios a varios, como compartir un escenario de trabajo o de varios a uno, como el caso de las actualizaciones de enrutamiento.

Problemas con multicst


Multicst presenta una serie de problemas debido a que el trfico en UDP no existe una funcin de control de envo ni de organizacin de paquetes, ni la capacidad de retransmisin. Sumado a la falta de capacidad para permitir a ciertos usuarios en el mismo segmento recibir trfico multicst y otros no, aunque existen mtodos para corregir este comportamiento. Estos retos pueden resolverse a nivel de protocolo. Para trfico multimedia el orden puede ser controlado utilizando RTP (Real Time Protocol) y los problemas de seguridad pueden resolverse utilizando encriptacin con IPsec.

www.FreeLibros.com

238

REDES CISCO. CCNP a Fondo

RA-MA

Multicst y la capa de enlace


Los switch de capa 2 construyen una tabla que enlaza direcciones MAC con los puertos que llegan hacia ellas. Los switch aprenden acerca de cada direccin MAC y sus correspondientes puertos mirando la direccin MAC de origen cuando recibe trfico. Cuando el switch se inicia desconoce ese mapeo al no poseer tablas almacenadas, por lo que inunda todos los puertos dentro del mismo dominio de broadcast o VLAN. Este mecanismo funciona bien para difusiones, una direccin de broadcast nunca ser una direccin de origen por lo tanto nunca estar en la tabla de direcciones MAC. Los broadcast son siempre reenviados por todos los puertos. El trfico multicst tambin se lo identifica como desconocido porque las direcciones multicst solamente aparecen como direccin de destino. Los switch reenvan todo ese trfico y es el destino final quien elegir las tramas en que est interesado. El trfico multicst hacia un dispositivo que no est interesado en l es un gasto de ancho de banda. Las tarjetas de red que no son suficientemente sofisticadas o modernas no son capaces de discriminar si estn interesadas o no en las tramas que reciben, por lo tanto esto conlleva a que la decisin debe ser tomada por el procesador, gastando recursos del mismo. Existen tres mtodos en los switch Cisco para manejar y optimizar esta situacin. Estos tres mtodos lo que intentan es limitar el trfico multicst a los puertos que realmente quieren recibirlo y ocultarlo a los dems: Entradas estticas en las tablas MAC, mapeando manualmente las entradas MAC. CGMP (Cisco Group Management Protocol). IGMP (Internet Group Management Protocol).

Creando las entradas manualmente de forma esttica es el mtodo ms sencillo de entender, pero no puede reaccionar ante cambios en la red, es decir, no es dinmico. Este sistema conlleva a la manipulacin de muchos switch en la red generando una gran carga de trabajo. Crear las tablas MAC manualmente es ms fcil pero no el mtodo apropiado. CGM P es una solucin propietaria de Cisco. Es un protocolo que se ejecuta entre los switch y los routers. Cuando el router recibe mensajes IGMP pasa la MAC de quien ha solicitado ese trfico multicst y el grupo multicst al cual se hace esa peticin y reenva la informacin al switch. El switch busca en su tabla MAC a quien ha efectuado dicha peticin permitiendo que el trfico multicst de ese grupo pase por el puerto determinado.

www.FreeLibros.com

RA-MA

CAPTULO 7. MULTICAST

239

IGMP snooping es un mtodo que permite al switch comprender cul es el grupo que se est pidiendo y en qu puerto est el receptor. Este mecanismo se hace a nivel de procesador, pudiendo verse sobrecargado segn las exigencias de la red. Los dispositivos Cisco actuales soportan IGMP incorporado en el propio hardware.

IGMP
Antes de que los routers puedan enviar trfico multicst primero tienen que conocer la ubicacin de los clientes. IGMP es el protocolo utilizado entre los clientes y el router para identificarse y solicitar el trfico multicst al router. Para recibir trfico multicst desde una fuente los destinos se unen a un grupo multicst comn identificado por una direccin IP multicst. Un host se une a un grupo enviando una peticin a su router local, sta se lleva a cabo con el Internet Group Management Protocol. Existen tres versiones de este protocolo IGMPvl, IGMPv2 e IGMPv3.

IGMPvl
Para unirse a un grupo de multicst un host enva un Membership Report IGMP, que es un mensaje que este protocolo utiliza para contactarse con el router local. Este mensaje indica al router la direccin o grupo al que quiere unirse ese host. La direccin de multicst es utilizada como la direccin IP de destino y la direccin de grupo es listada en el mensaje. Los routers multicst tienen que interceptar todos los paquetes multicst para recibir los Membership Report y aadir los host a los grupos apropiados. Cada 60 segundos un router denominado querier en cada segmento de red enva una consulta a la direccin multicst de todos los host 224.0.0.1 para confirmar si hay alguno interesado en recibir un grupo multicst. Con que solamente un host responda mantendr el puerto en un estado de reenvo. Los host que estn interesados respondern con Membership Report simpre y cuando nadie lo haya hecho con anterioridad. Los host pueden unirse a un grupo multicst en cualquier momento, pero IGMPvl no tiene un mecanismo que permita al host dejar el grupo cuando ya no esta interesado en seguir recibiendo trfico. Los routers manejan esta situacin haciendo expirar la direccin de grupo multicst si nadie quiere recibir ese trfico. Concretamente, si no se reciben reportes en 3 consultas consecutivas, el grupo expira. Esto significa que el trfico multicst es enviado dentro del segmento hasta tres minutos despus de que todos los miembros del grupo han dejado de escuchar.

www.FreeLibros.com

240

REDES CISCO. CCNP a Fondo

O RA-MA

El router no mantiene una lista completa de los miembros de cada grupo multicst activo, solamente necesita recordar cules son los grupos activos y en qu interfaces. Si en el segmento en cuestin hay uno o ms host que pertenecen a un grupo el router slo enva una copia del paquete multicst a ese segmento.

IGMPv2
Esta versin de IGMP presenta 4 avances significativos: 1. Las consultas o queries pueden ser enviadas como generales a la direccin de todos los host, como en el caso de IGMPvl o enviarlas especficamente a los host de cada grupo. 2. Los host pueden dejar el grupo de manera dinmica. 3. Hay una eleccin de las queries. 4. Hay un Query-interval que es un tiempo estipulado de respuesta. Cuando un host decide dejar el grupo al que se haba unido previamente, enva un mensaje Leave Group a todos los routers a la direccin 224.0.0.2. Todos los routers en el segmento local toman nota de la peticin, el router que est interactuando con el grupo especfico responde preguntando si hay ms host interesados en seguir recibiendo datos para ese grupo con un mensaje Membership report. Si no los hay deja de enviar trfico multicst a ese segmento. Debido a que los routers con IGMPvl no entienden IGMPv2, si hay un router ejecutando IGMPvl todos los routers deben estar configurados con la versin 1. En sentido inverso IGMPv2 entiende la versin 1. En las interfaces PIM (Protocol Independent Multicst), se habilita IGMPv2; el comando para cambiar la versin es el siguiente:
Switch(config-if)# ip igmp versin {1 | 2 | 3}

IGMPv2 aade un mecanismo de seleccin del router que cumple funcin de querie. En IGMPvl esta eleccin estaba a cargo del protocolo enrutamiento; en la versin 2 todos los routers inician como sifueran queries pasan al estado de no queries cuando escuchan que existe otroqueries en segmento con una IP menor.

la de y el

Por ltimo, se aade un tiempo de respuesta Query-interval Este nuevo campo indica a los miembros en cunto tiempo deben responder.

www.FreeLibros.com

RA-MA

CAPTULO 7. MULTICAST

241

Operacin de IGMPv2
Los miembros pueden unirse a un grupo multicst en cualquier momento generando un mensaje llamado Unsolicited report que se enva a la direccin IP multicst deseada. Los routers conectados en ese segmento simplemente observan si por lo menos hay un cliente interesado en ese grupo. Para ver el registro de los miembros en un router se utiliza el siguiente comando:
Router# show ip igmp group IGMP Connected Group Membership Group Address Interface Uptime

Expires

Last Reprter

227.100.100.1 FastEthernetO/O 0d0h28m 00:02:19 192.168.0.105

En la salida anterior se observa que la direccin 227.100.100.1 ha estado activa en la interfaz FastEthemet 0/0 durante 28 minutos, el grupo expirar si no se recibe un membership report en dos minutos. El ltimo dispositivo en enviar un membership report fue desde la IP 192.168.0.105. En IGMPvl los host abandonan los grupos de forma pasiva, simplemente dejan de responder a los membership queries. El inconveniente que surge es que el espacio de tiempo que hay entre que el host no necesita recibir ms trfico y que el router lo reconoce. Durante ese perodo la capacidad de la red est sobrecargada con trfico multicst innecesario. En IGMPv2 los host pueden dejar el grupo de manera explcita utilizando un mensaje Leave. Si otro host enva un mensaje Leave el router asume que al menos un host todava est presente, de lo contrario el router enviar un membership Query.

IGMPv3
IGMPv3 est basado en la versin anterior, aumenta la capacidad de aadir direcciones SSM. Soporta filtrado de origen multicst. Con este filtro un receptor puede hacer una peticin de un grupo multicst y decidir de qu direcciones IP quiere que sea ese origen multicst. Un router que ejecute IGMPv3 puede coexistir con versiones anteriores pero para ello debe bajar a la versin que se requiera.

Determinacin de la versin de IGMP


La mejor forma de verificar los parmetros de IGMP es utilizando el comando show ip igmp interface. En el siguiente ejemplo es de IGMPv2:

www.FreeLibros.com

242

REDES CISCO. CCNP a Fondo

RA-MA

router>show ip igmp interface fastethernetO/O FastEthernetO/O is up, line protocol is up Internet address is 192.168.0.1, subnet mask is 255.255.255.0 IGMP is enabled on interface Current IGMP versin is 2 CGMP is disabled on interface IGMP query interval is 60 seconds IGMP querier timeout is 120 seconds IGMP max query response time is 10 seconds Inbound IGMP access group is not set Multicst routing is enabled on interface Multicst TTL threshold is 0 Multicst designated router (DR) is 192.168.0.1 (this system) IGMP querying router is 192.168.0.1 (this system) Multicst groups joined: 224.0.1.40 227.100.100.1

CONFIGURACIN DE IGMP
IGMP es utilizado para que exista un entendimiento entre los sistemas finales y el router. Sin IGMP los sistemas finales no seran capaces de solicitar trfico multicst al router.

Grupos IGMP
IGMP identifica grupos multicst que son requeridos por clientes. El comando show ip igmp interface muestra la informacin de IGMPv2 en una interfaz:
router#show ip igmp interface eO EthernetO is up, line protocol is up Internet address is 172.16.24.1/29 IGMP is enabled on interface Current IGMP versin is 2 CGMP is disabled on interface IGMP query interval is 60 seconds IGMP querier timeout is 120 seconds IGMP max query response time is 10 seconds Last member query response interval is 1000 ms Inbound IGMP access group is not set IGMP activity: 3 joins, 0 leaves Multicst routing is enabled on interface Multicst TTL threshold is 0 Multicst designated router (DR) is 172.16.24.1 (this system) IGMP querying router is 172.16.24.1 (this system) Multicst groups joined: 224.0.1.40

El show ip igmp groups proporciona informacin especfica acerca de los grupos, en este ejemplo tres grupos han estado activos por lo menos 30 minutos.

www.FreeLibros.com

RA-MA

CAPTULO 7. MULTICAST

243

router#show ip igmp groups IGMP Connected Group Membership Group Address Interface 239.255-255.250 EthernetO 235.80.68.83 EthernetO 224.0.1.40 EthernetO

Uptime Expires 00:33:05 00:02:59 00:33:08 00:02:44 00:33:14 never

Last Reprter 192.168.0.102 192.168.0.1 172.16.24.1

El comando ip igmp join-group se emplea cuando es necesario resolver problemas uniendo una IP a un grupo multicst en particular a travs de una determinada interfaz. El comando ip igmp static-group agrega un puerto de manera esttica a un grupo.

IGMP snooping
IGMP snooping permite a un switch identificar los sistemas finales que estn solicitando trfico multicst y limitar el envo dentro de ese grupo solamente a los usuarios especficos. IGMP snooping no viene configurado por defecto pero puede activarse con el comando ip igmp snooping. Los comandos show multicst group and show multicst router para mostrar los grupos aprendidos y los puertos asociados. El siguiente ejemplo muestra la sintaxis de estos comandos:
Switch#show ip igmp snooping van 6 van 6 IGMP snooping is globally enabled IGMP snooping TCN solicit query is globally disabled IGMP snooping global TCN flood query count is 2 IGMP snooping is enabled on this Van IGMP snooping immediate-leave is disabled on this Van IGMP snooping mrouter learn mode is pim-dvmrp on this Van IGMP snooping source only learning age timer is 10 IGMP snooping is running in IGMP_ONLY mode on this Van IGMP snooping report suppression is enbled on this Van Switch# show multicst router igmp Port Van
1/1 6

Total Number of Entries = 1 '*' - Configured '+' - RGMP-capable Switch> show multicst group igmp VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs/[Protocol Type] 6 01-00-5e-00-01-28 1/1 6 01-00-5e-01-02-03 1/1-2 Total Number of Entries = . 2

www.FreeLibros.com

244

REDES CISCO. CCNP a Fondo

RA-M A

PROBLEMAS CON MULTICAST


Multicst es un tipo de tecnologa que trabaja bastante bien pero tiene el inconveniente de que cuando los terminales se quieren conectar a un determinado grupo y recibir trfico de ste, surge el problema de que necesitan recubrir a los servidores que estn emitiendo trfico de dicho grupo. Esto es fcil de descubrir siempre y cuando ese trfico sea local, pero si el servidor es remoto puede ser un problema. Existen varias maneras de publicar informacin de contacto del servidor. La forma ms sencilla sera enviar un enlace en un e-mail. Existe tambin una aplicacin llamada Session Directory (SD) que distribuye exactamente este tipo de informacin. Con SD se anuncian a s mismos utilizando SDP (Session Description Protocol) va 224.2.127.254. SD es utilizado por Cisco IP/TV para distribuir servidores multicst y descripciones de las sesiones.

ENRUTAMIENTO DE TRFICO MULTICAST


El trfico multicst tiene que ser enrutado con una lgica diferente a la empleada con el trfico IP unicast. Los paquetes IP unicast estn destinados a una simple interfaz incluso si existen mltiples caminos; mientras que los paquetes IP multicst pueden tener diferentes interfaces en su destino dependiendo siempre de la ubicacin de los receptores. Existen varios protocolos de enrutamiento multicst disponibles tales como: MOSPF (Multicst OSPF) DVMRP (Distance Vector Multicst Routing Protocol) Center-Based Trees Core-Based Trees PIM (Protocol Independent Multicst)

Los routers Cisco no soportan Center ni Core-Based Trees y soportan slo una versin limitada de DVMRP simplemente para redistribuir rutas. El nico comando soportado en IOS para MOSPF es para deshabilitar los mensajes LSA del tipo MOSPF, los cuales no estn soportados por Cisco.

Reverse Path Forwarding


Los routers llevan a cabo un test RPF (Reverse Path Forwarding) en cada paquete multicst que reciben. Estas verificaciones sirven para confiraiar que el

www.FreeLibros.com

RA-MA

CAPTULO 7. MULTICAST

245

trfico siempre fluye desde el origen hacia los distintos destinos. El chequeo de RFP es satisfactorio siempre y cuando un paquete multicst que llegue a una interfaz tenga un registro del origen en la tabla de enrutamiento a travs de esa misma interfaz. Al hacer el test RPF el router PIM mira la direccin origen del paquete unicast en su tabla de enrutamiento, de ah el nombre de este mecanismo que funciona de manera contraria al sistema tradicional que siempre mira el destino. Si el prximo salto utilizado para alcanzar la direccin de origen de ese paquete multicst se alcanza a travs de la interfaz en la que el paquete es recibido, entonces es enviado al siguiente router o a los receptores multicst correspondientes o se descartan segn lo que corresponda. ste es el proceso que sigue el mecanismo de RPF.

rboles multicst
Los routers en una red deben determinar el camino para enviar los paquetes multicst desde un origen hacia los recetores. Hay que pensar en la red como si fuera una estructura de rboles. En el origen del rbol est el origen de los paquetes multicst que enva los paquetes de una forma ciega sin saber dnde estn los receptores. El origen no sabe de la lista de elementos finales que son miembros de un grupo multicst. Depende de los routers multicst y de los switch la manipulacin de los paquetes hacia los destinos. Cada router a lo largo del camino se sita en una de las ramas del rbol. Los routers aprenden que ramas del rbol son hogar de receptores de grupos multicst. El trfico es enviado solamente en los enlaces donde existen receptores interesados en recibir ese tipo trfico. Las rutas multicst se escriben como S,G (source and group) cada origen y cada grupo. Si 192.168.0.1 est transmitiendo hacia el grupo 227.182.150.159, la ruta sera algo as como (192.168.0.1, 227.182.150.159) que corresponde a S,G.

Arboles de distribucin
Los caminos usados en enrutamiento multicst son llamados rboles de distribucin (distribution trees) y son dos tipos diferentes: Arboles compartidos: definen un conjunto comn de enlaces en los cuales el trfico multicst debe fluir. Se tienen que precalcular y son muy eficientes en lo que respecta a recursos del router. Utilizan Rendezvous Points (RP) y aparecen en la tabla de enrutamiento como (*, G).

www.FreeLibros.com

246

REDES CISCO. CCNP a Fondo

RA-M A

rboles con origen de ruta: son los que toman el camino directamente hacia el receptor, de manera que cada fuente tiene un conjunto de rutas separadas unidas a l.

Protocolos de enrutamiento multicst Dense y Sparse


Los protocolos de enrutamiento multicst tambin estn definidos como Dense y Sparse. Estos protocolos asumen que todos los host en todos los enlaces estn interesados en recibir trfico multicst. De tal manera que se enviar este trfico hacia todos los caminos. Por otro lado los protocolos Dense and Sparse asumn que nadie quiere trfico hasta que preguntan por l.

PIM
El Protocol Independent Multicst es un protocolo de enrutamiento que puede ser utilizado para enviar trfico multicst entre subredes o segmentos de red. PIM opera independientemente del protocolo IP que se est ejecutando. PIM puede operar en dos modos, pero Cisco ha aadido un tercer tipo: PIM dense mode. PIM sparse mode. PIM sparse-dense mode, propietario de Cisco.

En suma hay dos versiones de protocolo, PIM vl, PIMv2. Por defecto PIMv2 es utilizado en las interfaces de los routers.

PIM dense mode


Los routers PIM pueden configurarse en modo dense si se asume que habr receptores en cada una de las subredes, es decir, que el grupo multicst va a ser propagado densamente en la red. El rbol multicst es construido permitiendo un flujo de trfico desde el origen hacia los router dense en la red. El rbol va creciendo desde el origen hacia los puntos finales. Durante un corto perodo de tiempo el trfico que no es necesario es permitido, cada router va recibiendo trfico para el grupo y cada router tiene que decidir si tiene receptores activos queriendo recibir esos datos. En caso de tenerlos dejar que el flujo contine libremente.

www.FreeLibros.com

RA-MA

CAPTULO 7. MULTICAST

247

Si ningn host se ha registrado va IGMP para ese grupo multicst con el router, ste enva un mensaje prune al origen, de esa manera esa rama del rbol es suprimida para que el trfico innecesario no lo siga atravesando. El rbol resultante es llamado source tree o source distribution tree porque es nico desde el origen hacia los receptores. La siguiente figura muestra la operacin flood-then-prune, es decir, la verificacin de la existencia o no de posibles receptores para poder suprimir el trfico. El rbol es construido a partir de las peticiones join que se generan a travs de todos los switch que son multicapa y que estn en modo dense. A partir de ese momento todos los switch que no tienen host que quieran recibir trfico envan un mensaje prune y son suprimidos del rbol.

Destino A Destino B RBOL COMPLETO

Destino A Destino B RBOL RECORTADO

Los routers PIM dense-mode son conscientes de los vecinos intercambiando mensajes helio, esta informacin acerca de los vecinos es inicialmente utilizada para construir el rbol y posteriormente para suprimir las ramas que no quieren participar.

www.FreeLibros.com

248

REDES CISCO. CCNP a Fondo

RA-MA

En caso de que algn router haya sido suprimido del rbol generando un mensaje prune y si posteriormente existiera algn host que quisiera recibir ese trfico multicst, el router podr lanzar un mensaje grafted al siguiente router para avisarle de que quiere recibir trfico.

PIM sparse mode


PIM sparse mode tiene una manera diferente de operar. EL rbol multicst no se extiende a todos los routers a no ser que haya algn destino interesado en recibir dicho trfico (algn destino que haya enviado un mensaje join IGMP). El rbol multicst es construido desde todos los miembros del grupo al final de la rama y extendindose hasta el punto central o raz que el Rendezvous Point (RP). El rbol crece de manera inversa a lo visto anteriormente, es decir, de las ramas hacia la raz. El modo sparse tambin tiene la idea de un rbol compartido pero la raz o root no es el origen del trfico multicst. La raz de una topolgica PIM sparse mode es un router que est localmente centralizado en la red y se le conoce como RP (Rendezvous Point). El rbol desde el RP hasta los miembros del grupo es realmente un subconjunto del rbol que podra ser suprimido desde el origen hacia los miembros del grupo. Posteriormente si un origen multicst es situado en cualquier parte de la red, se puede registrar con un RP y el rbol podr ser completado. Debido a esto se dice que sparse mode es un rbol compartido. Cuando un receptor se une a un grupo multicst va IGMP el router local enva este trfico hacia el RP a travs del rbol, cada router en el camino aade su rama al rbol compartido. El prune solamente se efecta cuando un miembro es eliminado del grupo. Ese proceso se muestra en la siguiente figura. Este mecanismo es solamente un simple paso, nicamente los routers que tiene un grupo activo pueden unirse al rbol, mientras que los routers que nunca se han unido al grupo no son suprimidos porque nunca han formado parte del grupo.

www.FreeLibros.com

RA-MA

CAPTULO 7. MULTICAST

249

Destino A

Destino B

Una vez que los routers PIM sparse mode reciben trfico desde un origen y aprenden la direccin IP fuente, conmutan a un rbol ms pequeo (shortest-path tree) originado en el servidor multicst. La estructura resultante en esta topologa de los rboles para dense mode y PIM sparse mode junto con el flujo de los datos multicst, son rboles idnticos.

www.FreeLibros.com

250

REDES CISCO. CCNP a Fondo

RA-MA

Modo PIM Sparse-Dense


PIM tiene el potencial de soportar ambos modos, sparse y dense, stos pueden coexistir para diferentes grupos multicst incluso pueden hacerlo en la misma interfaz. Cisco ofrece este modo hbrido que es llamado Sparse-Dense, si existe un RP definido en la red se utilizar el modo sparse; de lo contrario se utilizar el modo dense.

PIM versin 1
Los routers utilizados para la primera versin de PIM pueden ser configurados manualmente utilizando el modo dinmico como auto-RP. Es posible limitar el rango de grupos multicst soportado por el RP utilizando una ACL. La palabra clave override causa que el RP sea preferido sobre cualquiera que sea dinmicamente aprendido. Debido a que el RP no se advierte a s mismo, su direccin y funciones tienen que ser definidas en todos y cada uno de los routers en el dominio PIM, incluido el RP. Esto hace que los cambios futuros en la localizacin del RP sean difciles de hacer debido que habr que volver a definir todo el esquema en cada uno de los routers con los nuevos datos del RP.

www.FreeLibros.com

RA-MA

CAPTULO 7. MULTICAST

251

Cisco proporciona un sistema propietario con una manera de informar a los routers sparse mode de manera automtica sobre qu RP le corresponde a cada grupo. Esto se llama auto-RP. Se identifica un router central que est bien conectado y de manera redundante con la funcin de mapping agent. Esta funcin hace que se aprendan todos los RP que son candidatos porque se anuncian a la direccin 224.0.1.39 conocida como Cisco RP Announce (por definicin todos los routers sparse mode tienen que unirse automticamente a esa direccin IP). El mapping agent enva informacin RP de grupos a todos los routers PIN en la direccin Cisco-RP-Discovery 224.0.1.40. Se enva adems un TTL para limitar el mbito de estos mapeos entre RP y grupos. De esta manera se podr limitar la cantidad de router y host que pueden llegar a ser vlidos. Cada router RP debe ser definido explcitamente, cuando un router sabe que puede ser un RP empezar a anunciarse hacia el mapping agent. Una interfaz que corresponde a la direccin del RP ser advertida e identifica dnde el mapping agent puede ser encontrado, el mbito del anuncio es limitado utilizando TTL. El router tambin puede ser advertido a s mismo como un candidato RP para los grupos permitidos en una ACL con las sintaxis clave group-list. Con la palabra clave interval los anuncios son enviados en un tiempo especfico.

PIM versin 2
Esta versin incluye bootstrap router, que es un mecanismo estndar para asociar RP con los grupos. La manera que lo ejecuta es similar a como lo hace auto-RP. Primero un bootstrap router BSR es identificado, este router aprende la cantidad de RP candidatos para determinados grupos y los advierte a los routers PIM. Solamente es necesario configurar el BSR y los candidatos a RP, todos los dems routers PIM aprendern de manera automtica; los RP a travs del BSR.

Habilitacin de PIN en modo Sparse-Dense


Para disear una red en un entorno multicst, es necesario seguir tres pasos fundamentales en la configuracin de los routers Cisco: 1. Habilitar el enrutamiento multicst. 2. Habilitar PIM en el modo apropiado en las interfaces seleccionadas. 3. Configurar los RP.

www.FreeLibros.com

252

REDES CISCO. CCNP a Fondo

RA-MA

El enrutamiento multicst no est habilitado por defecto en los routers Cisco, para habilitarlo se utiliza el siguiente comando:
R o u t e r (co n f i g )#ip multicast-routing

Al configurar PIM en una interfaz automticamente inicia IGMP. PIM se habilita a nivel de interfaz, por lo tanto lo primordial es determinar qu interfaces utilizar el router que deban soportar PIM. Para activarlo se debe hacer en cada una de estas interfaces, segn la siguiente sintaxis:
Ro u t e r (config-if)#ip pim {dense-mode

| sparse-dense-mode | sparse-

mode}

Para cambiar la versin de PIM se puede utilizar el siguiente comando dentro del modo de la interfaz correspondiente:
Router(config-if )# ip pim versin {1 | 2}

El paso final es la configuracin de los RP. Para identificar manualmente un RP se utiliza el siguiente comando:
Router(config)# ip pim rp-address ip-address [access-list]

[override]

Alternativamente es posible utilizar auto-RP para descubrir los RP de manera dinmica. Esto involucra dos roles distintos, el de los RP y el de los routers que los advierten. Auto-RP identifica un router que est bien conectado y centralizado denominado mapping agent. Este router aprende cules son los candidatos RP que son anunciados a la direccin 224.0.1.39 conocida como CiscoRP-Announce. El mapping agent compila una lista de todos los candidatos asociados a los grupos y la enva a todos los routers cliente a travs de la direccin 224.0.1.40. Para definir un router como mapping agent se utiliza el siguiente comando:
Router(config)# ip pim send-rp-discovery scope ttl

Una interfaz es utilizada para anunciar una direccin IP desde la cual advertir y que tpicamente es una interfaz loopback. Para definir un router como candidato RP se utiliza el siguiente comando:
Router(config)# ip pim send-rp-announce type mod/num scope ttl

[group-list access-list] [interval seconds]

www.FreeLibros.com

RA-MA

CAPTULO 7. MULTICAST

253

Cuando se configura, el router se anuncia a s mismo como un posible RP para el rango de grupo descrito en la ACL. El anuncio es enviado a la direccin 224.0.1.39. La interfaz es mapeada a una direccin IP especfica para que los clientes puedan alcanzar al RP. Alternativamente PIM versin 2 soporta BSR (Bootstrap Router):
R o u t e r (config)#.

ip pim bsr-candidate type mod/num hash-mask-length

[priority]

El siguiente paso es configurar los candidatos RP:


R o u t e r (config)# ip pim rp-candidate type mod/num ttl [group-list

access-list]

Los mensajes bootstrap inundan por completo el dominio PIM. El mbito de estos anuncios puede ser limitado utilizando routers barrera los cuales no dejarn pasar los mensajes ms all de lo permitido.
R o u t e r (config)# ip pim border

VERIFICACIN DE ENRUTAMIENTO MULTICAST Verificacin de rutas


El comando utilizado para verificar la tabla de enrutamiento multicst es el siguiente:
router#show ip mroute [group-address] [summary] [count][active kpbs]

La opcin summary muestra cada ruta en una lista, la opcin count muestra estadsticas y la opcin active filtra la salida para que solamente muestre fuentes activas. El ejemplo que sigue muestra este comando para verificar una ruta en la tabla:
Router#show ip mroute 227.100.100.10 IP Multicst Routing Table Flags: D - Dense, S - Sparse, C - Connected, L - Local, P - Pruned R - RP-bit set, F - Register flag, T - SPT-bit set, J - Join SPT Timers: Uptime/Expires Interface state: Interface, Next-Hop, State/Mode (*, 227.100.100.100), 00:01:50/00:02:59, RP 172.16.3.1, flags: SPF

www.FreeLibros.com

254

REDES CISCO. CCNP a Fondo

RA-M A

Incoming interface: Tunnel35, RPF nbr 172.16.1.20, Mroute Outgoing interface list: Nuil (170.100.1.1/32, 227.100.100.100), 00:01:50/00:01:09, flags: PFT Incoming interface: EthernetO, RPF nbr 0.0.0.0, Registering Outgoing interface list: Nuil

Las rutas que no son especficas a un origen son del tipo (*,G), las rutas que van hacia la fuente estn listadas como (S,G).

Verificacin de vecinos
Si existe algn tipo de problema en el momento de construir la tabla de enrutamiento multicst ser un buen punto de partida para resolver el problema verificar los vecinos PIM con el comando show ip pim interface.
Router#show ip pim interface Address Interface Version/Mode Nbr Query DR Count Intvl 192.168.0.1 EthernetO v2/S 1 30 192.168.0.10

Este comando muestra la direccin IP asignada tipo unicast, el nombre de la interfaz, la versin de PIM que se est ejecutando, el modo especfico, el nmero de vecino, frecuencia de las consultas, etc. El comando show ip pim neighbor muestra la lista de vecinos:
Router#show ip pim neighbor PIM Neighbor Table Neighbor Address Interface Uptime Expires Ver Mode 192.168.0.10 EthernetO 00:01:37 00:01:05 v2 Sparse

Verificacin de los Rendezvous Points


Incluso cuando el enrutamiento PIM est funcionando, los RP deben ser configurados correctamente para poder encontrar trfico desde las fuentes. El comando show ip pim rp permite verificar los RP configurados y ver las asociaciones que tienen configuradas. Sin ms parmetros este comando mostrar los RP para los grupos activos, si se modifica con el nombre del grupo slo mostrar los grupos seleccionados.
Router(config)#show ip pim rp [group-name | group-address | mapping] Router#show ip pim rp Group: 227.1.1.1, RP: 192.168.5.1, uptime 00:00:20, expires never Router#show ip pim rp mapping PIM Group-to-RP Mappings

www.FreeLibros.com

RA-MA

CAPTULO 7. MULTICAST

255

rp:

Group(s): 224.0.0.0/4, Static 192.168.5.1

Verificacin del enrutamiento multicst


El comando show ip rpf permite verificar la informacin de los envos de reverse-path (RPF).
Router#show ip rpf 172.16.0.1 RPF information for ? (172.16.0.1) RPF interface: SerialO RPF neighbor: ? (172.16.5.2) RPF route/mask: 172.16.0.0/24 RPF type: unicast (ospf 1) RPF recursion count: 0 Doing distance-preferred lookups across tables

www.FreeLibros.com

www.FreeLibros.com

Captulo 8

IPv6
INTRODUCCIN A IPv6
IPv6 ha estado en desarrollo desde mediados de los 90 y durante varios aos. Se haba anunciado al principio como el protocolo que podra expandir el direccionamiento IP, llevar IP mobile a la madurez y finalmente ser capaz de incorporar seguridad a nivel de capa 3. Esas afirmaciones son correctas pero hay que tener en cuenta que a nivel de capa 3 esas capacidades de IPv6 han sido aportadas a IPv4 en los pasados aos. Actualmente las direcciones IPv4 son escasas y la mayor razn en Internet para evolucionar a IPv6 es la necesidad de un mayor direccionamiento. Una de las razones de que el direccionamiento IPv4 sea demasiado escaso es que no ha sido asignado eficientemente. Las direcciones de clase A son excesivamente grandes para la mayora de las organizaciones ya que soportan unas 16.777.214 direcciones de host, mientras que las direcciones de clase C soportan slo 254 direcciones de host. Como resultado de esto muchas organizaciones hacen peticiones de clase B que soportan 65.534 direcciones de host, pero hacen slo un uso parcial de dicho rango. Inicialmente un dispositivo IP requera una direccin pblica. Para prevenir el agotamiento de las direcciones IPv4 la IETF (Internet Engineering Task Forc) adopt el uso de CIDR (Classless Interdomain Routing), VLSM (Variable-Length Subnet Mask) y NAT (Network Address Translation). CIDR y VLSM trabajan juntas a la hora de mejorar el direccionamiento, mientras que NAT oculta clientes y minimiza la necesidad de direcciones pblicas. Otra de las razones de escasez de

www.FreeLibros.com

258

REDES CISCO. CCNP a Fondo

RA-MA

direcciones pblicas es que no han sido asignadas equitativamente a lo largo del mundo. Una gran cantidad de direccionamiento es ocupada por EE.UU. mientras que Europa es el siguiente en la lista con una larga porcin de direcciones. Asia, en cambio tiene un nmero insuficiente de direcciones en comparacin con su poblacin, aunque la percepcin desde EE.UU. es que todava existe espacio libre en el direccionamiento IPv4 en Asia, se reconoce la necesidad de implementar IPv6 y as obtener ms direccionamiento. Otra razn para considerar la necesidad de un mayor direccionamiento es el crecimiento exponencial de la poblacin mundial con el persistente crecimiento de consumibles electrnicos que requieren el uso de direcciones IP. Esta necesidad de direccionamiento IP podra ser atenuada intentando utilizar NAT y asignaciones temporales a travs de DHCP, pero teniendo sistemas intermedios manipulando los paquetes complican el diseo y la resolucin de problemas. El concepto del diseo de Internet con innumerables sistemas intermedios no hace que NAT trabaje adecuadamente, sin embargo es un mal necesario. La longitud de una direccin IPv6 es lo primero que sale a relucir, son 128 bits lo que hace 2128 direcciones IPv6 disponibles. Varias de estas direcciones dan funciones especiales y estn reservadas pero aun as quedaran disponibles aproximadamente 5x1028 direcciones IP por cada habitante del planeta. Lo que permitira que el direccionamiento pueda crecer sin preocupaciones en contraposicin al direccionamiento IPv4 cuya cantidad est limitada a 232. En IPv se utiliza una cabecera ms simplificada que IPv4, haciendo que el procesamiento sea ms eficiente, permitiendo un mecanismo ms flexible y a su vez extensible a otras caractersticas. Una de esas caractersticas es la movilidad, movile IP es un estndar de la IETF que permite a los usuarios con dispositivos wireless estar conectados de manera transparente y moverse a cualquier sitio sin restricciones. La seguridad es otro tema importante, IPsec est presente en cada uno de los dispositivos IPv. Debido a que la migracin de IPv4 a IPv no puede ocurrir tan rpidamente como sera deseable, hay que buscar alternativas para administrar esta transicin.

www.FreeLibros.com

RA-MA

CAPTULO 8. IPv

259

CABECERA DE UN PAQUETE IPv


Los campos en una cabecera IPv son los siguientes:
Versin: es un campo de 4 bits que identifica la versin, en este caso a 6. Traffic Class: similar al campo 2 de IPv4, se utiliza para calidad de

servicio.
Flow Label: campo de 20 bits que permite que el trfico sea etiquetado

para que se pueda manejar de manera ms rpida flujo por flujo.


Payload Length: campo de 16 bits con la longitud del campo de datos. Next Header: similar al campo de protocolo en la cabecera IPv4. Es un

campo de 8 bits que indica cmo los campos despus de la cabecera bsica de IPv deberan ser interpretados. Podra indicar, por ejemplo, que el siguiente campo es TCP o UDP ambos relativos a la capa de transporte o podra indicar que existe una extensin de la cabecera.
Hop Limit: similar al campo TTL en IPv4, es de 8 bits y se incrementa por

cada router intermediario para prevenir bucles, de tal manera que cuando la cuenta llegue a 0 ser descartado. Cuando esto ocurre se enva un mensaje de notificacin al origen.
Source Address y Destination Address: estos campos de 128 bits son las

direcciones IPv6 de origen y de destino de los dispositivos que se estn comunicando.


Extensin Headers: permite agregar ms campos opcionales.

o o o

Hop-by-Hop options: utilizados para routers intermediarios, Destination options: opciones para el nodo final, Routing: utilizado para especificar a los routers intermedios qu

ruta tienen que incluir. El efecto final es forzar el enrutamiento por un camino predefinido.
Fragment: utilizado para dividir los paquetes que son demasiado largos

para la MTU. Esta cabecera reemplaza los campos de fragmentacin de la cabecera IPv4.
Authentication y Encapsulating Security Payload (ESP): se utiliza por

IPsec para proporcionar autenticacin, integridad y confidencialidad de los paquetes. AH y ESP son idnticos en IPv4 y en IPv6. La cabecera IPv6 es optimizada para procesadores de 32 a 64 bits y las extensiones de cabecera permiten la expansin sin tener que forzar a que los campos que no se usan se estn transmitiendo constantemente.

www.FreeLibros.com

260

REDES CISCO. CCNP a Fondo

RA-MA

Las principales diferencias entre las cabeceras de las dos versiones es la longitud de los campos de origen y destino. Tambin hay otros campos que son aparentes como checksum, fragmentacin y la etiqueta de flujo. 0 bits
Versin

8 bits
Traffic Class

16 bits

24 bits
Flow Label

32 bits 64 bits Hop Limit 128 bits 192 bits 256 bits

Payload Length

Next Header Source Address

Destination Address 320 bits Extensin Header

Checksum
En IPv4 cada paquete incluye un checksum en la cabecera. Todos los routers intermediarios tienen que reducir el TTL, esto conlleva a tener que recalcular el checksum cada vez que manipulan un paquete, como resultado el consumo de procesador se incrementa. Teniendo en cuenta que los protocolos de capas superiores tambin realizan un checksum, la cabecera de IPv6 no incluye un campo para este fin concibiendo un enrutamiento ms eficiente.

Fragmentacin
Principalmente hay dos diferencias en la manera en que IPv6 maneja la fragmentacin: La informacin de la fragmentacin se coloca en una extensin de la cabecera. Los routers intermediarios no fragmentan paquetes, en caso de que la fragmentacin sea necesaria la realizar el nodo de origen, reduciendo as la carga de procesos de la red.

Un proceso de descubrimiento determina la MTU ptima para usar en una determinada sesin. El dispositivo de origen IPv6 intenta enviar un paquete, si el dispositivo recibe un mensaje de ICMP de tipo packet too big con la MTU

www.FreeLibros.com

RA-MA

CAPTULO 8. IPv

261

apropiada, retransmite el paquete con la nueva informacin de la MTU que se ha recibido. Este proceso es constante de origen a destino. Los dispositivos llevan a cabo este proceso de descubrimiento cada 5 minutos con el fin de detectar algn cambio. Si las capas superiores no aceptan un cambio en las notificaciones de la MTU desde la capa IPv, se inicia un proceso de fragmentacin de los paquetes que sean demasiado grandes. Aunque las capas superiores siempre deberan evitar enviar mensajes solicitando fragmentacin.

Etiqueta de flujo
Este campo etiqueta el trfico segn va entrando a la red de manera que el trfico similar puede ser etiquetado y rpidamente conmutado a travs del mismo camino sin que cada router intermediario tenga que llevar a cabo un examen para determinar qu tipo de trfico es. El etiquetado de flujo tambin puede estar asociado con parmetros de calidad de servicio (QoS).

Formato del direccionamiento IPv


La primera diferencia respecto a IPv4 es que las direcciones IPv son de 128 bits y estn representadas en un formato hexadecimal en lugar de la notacin decimal tradicional y separada cada parte por dos puntos en lugar de uno. Teniendo de esta forma 8 partes de 16 bits cada una. Como cada dgito hexadecimal se asocia con 4 bits, cada campo de 16 bits ser de 4 dgitos hexadecimales. Un ejemplo de direccin IPv6 puede ser el siguiente: 2001:0000:0001:0002:0000:0000:0000:ABCD Este formato se puede reducir hasta de optimizar la lectura para su comprensin. Hay dos formas para conseguir simplificar tanta cantidad de nmeros: Todos los 0 a la izquierda de cada uno de los campos pueden ser omitidos.

2001:0:1:2:0:0:0:ABCD
Se pueden omitir los campos consecutivos de 0 con independientemente de la cantidad de campos que se abrevie. Este mecanismo slo puede hacerse una vez debido a que luego no se podran reestructurar la cantidad de campos exactamente como eran.

2001:0:1:2::ABCD

www.FreeLibros.com

262

REDES CISCO. CCNP a Fondo

RA-M A

TIPO DE DIRECCIONAMIENTO IPv


En IPv se soportan estas tres clases de direcciones:
Unicast: para enviar a una sola interfaz. Actualmente existen dos tipos de direcciones unicast definidas: o Global-aggregatable unicast. o Link-local unicast.

Multicst: para enviar a todas las interfaces del mismo grupo. Una

direccin IPv del mismo grupo multicst identifica un conjunto de interfaces en diferentes dispositivos.
Anycast: para enviar trfico a la interfaz ms cercana dentro de un grupo.

Una direccin IPv de anycast tambin identifica un conjunto de interfaces en diferentes dispositivos, pero la diferencia de un paquete enviado a una direccin anycast es que dicho paquete est destinado al dispositivo ms cercano. Esto ser determinado por el protocolo de enrutamiento que se est utilizando. Todos los nodos con la misma direccin de anycast debern proporcionar el mismo servicio. Una interfaz puede tener varias direcciones y de diferentes tipos. Los routers tienen que reconocer estas direcciones incluyendo las de anycast y multicst. Las direcciones de multicst estn en el rango FF00::/8, todas las otras direcciones IPv estn en el espacio de direccionamiento unicast. Las direcciones anycast tambin son proporcionadas dentro del mismo espacio. Las direcciones de broadcast no existen en IPv. En todo caso un direccionamiento especial de multicst podra ser considerado como broadcast, donde todos los dispositivos estn interesados en recibir ese trfico.

Identificadores de las interfaces


Los ID de una direccin IPv son utilizados para identificar de manera nica una interfaz, este segmento de la direccin es llamado porcin de host. Estos ID deben ser nicos en los enlaces, tienen una longitud de 64 bits y pueden ser creados dinmicamente basndose en la direccin de la capa de enlace. El tipo de capa de enlace determinar cmo son dinmicamente creadas las interfaces de IPv6 y cmo funcionar la resolucin del direccionamiento. Para Ethernet la interfaz ID est basada en la direccin MAC de la interfaz en un formato llamado EUI-64 (Extended Universal Identifier 64-bit). Este formato

www.FreeLibros.com

RA-MA

CAPTULO 8. IPv6

263

deriva de la direccinMAC de 48bits conelagregadode los-nmeros hexadecimales fffe entre el OUI y el cdigo de vendedor.El sptimo bitdel primer byte del ID de la interfaz resultante corresponde al bit universal local (U/L) asume el valor binario 1. Este bit indica si la interfaz ID es localmente nica en ese enlace o universalmente nica. El octavo bit en el primer byte de la interfaz ID corresponde al individual/group (I/G) que se utiliza para gestionar grupos multicst, en este caso no vara.
OUI 00 11 2F COD.FAB. IA BB 46

0 0

00

1
0
| {

0
|

0
I/G * U/L (asume el valor 1)

0 0

IPv Interfaz ID Ethernet transmite los bits de bajo orden de cada byte primero (a la inversa) el bit U/L es el bit sptimo y el I/G es el octavo de la direccin, por lo tanto el primer bit de la direccin MAC transmitido ser el bit I/G, usado por direcciones broadcast y multicst y el segundo bit transmitido ser el U/L.

Direcciones unicast IPv


Existen dos tipos d direcciones IPv unicast:
Global aggregatable. Link-local.

www.FreeLibros.com

264

REDES CISCO. CCNP a Fondo

RA-M A

Direccin IPv global


La escalabilidad de la red es sumamente importante, es directamente proporcional a la capacidad de sumarizacin que tiene la red. Tal como ocurre con IPv4 los bits ms a la izquierda indican el prefijo de enrutamiento y pueden ser sumarizados. Tericamente existen 264 prefijos IPv. Si cada prefijo fuera almacenado en la memoria del router utilizando 256 bits (32 bytes), entonces la tabla de enrutamiento consumira 5.9xl020 bytes, lo cual es demasiado. Esto se reduce a la importancia que tiene la sumarizacin al momento de construir la tabla de enrutamiento. La siguiente figura muestra un esquema de una direccin Global IPv6, definida por la RFC 3587.
Global Prefix Subnet ID /48 /64 Interface ID

Los primeros 48 bits de la direccin Global IPv6 son utilizados para enrutamiento en Internet en el ISP, los siguientes 16 bits forman el sub-net ID permitiendo as a una empresa subdividir su red. Los restantes 64 bits son la interfaz ID en formato EUI-64. IANA est asignando direcciones que comienzan con el valor binario 001 o en hexadecimal 2000::/3. Este direccionamiento est designado para direcciones globales IPv6 unicast. ste es una octava parte del espacio total del direccionamiento IPv6. IANA utiliza el rango 2001::/16 para registros, que normalmente tienen un rengo /23 y asigna un rango /32 a los ISP. Por ejemplo un ISP podra disponer a una organizacin de la siguiente direccin 2001:0:lAB::/48. En una subred 5 el prefijo sera 2001:0:lAB:5::/64. En un dispositivo con una MAC 00-0F-66-81-19-A3, el formato EUI-64 de la interfaz ID ser 020F:66FF:FE81:19A3. Finalmente la direccin IPv6 completa ser 2001:0:1AB:5:20F :66FF :FE81:19A3.

Direccin IPv6 local


Las direcciones unicast de IPv locales permiten a dispositivos que estn en la misma red local ser capaces de comunicarse sin necesidad de asignacin de un direccionamiento global. Las direcciones locales son utilizadas para el enrutamiento y por los procesos de descubrimiento entre protocolos. Son autoconfiguradas utilizando el prefijo FE80::/10 ms el formato EUI-64 ID, segn muestra la siguiente figura:

www.FreeLibros.com

RA-MA

CAPTULO 8. IPv

265

10 bits

54 bits

64 bits

1111 1110 10
FE80::/10

Interface ID

Por ejemplo una MAC 00-0F-66-81-19-A3 tendr una direccin IPv6 Local FF80: :020F:66FF :FE81:19A3. La RFC 4291 especifica otro tipo de direccin unicast. Las direcciones IPv4 son mapeadas a IPv6 concatenando la direccin 0::FFFF:0:0/96 con una determinada direccin IPv4. Por ejemplo la direccin 10.0.0.1 se convierte en 0::FFFF:AOO:1, debido a que 10.0.0.1 es en hexadecimal 0A00:0001. Estas direcciones pueden ser utilizadas por los host dual-stack, que son aquellos que utilizan ambos tipos de direccionamiento.

Direcciones IPv6 anycast


Una direccin de este tipo es una direccin global que est asignada a dos o ms host. Los dispositivos enrutan hacia la direccin ms cercana utilizando la mtrica proporcionada por el protocolo de enrutamiento. La siguiente figura muestra dos rutas hacia un ISP, ambos routers llevan configuradas la misma direccin IPv6 anycast. Los routers internos simplemente enrutan al cliente hacia el router ms cercano al ISP, en este caso el router A. La redundancia hace que el router B se active y que los routers internos converjan hacia l en el caso de que el router A fallase.

ISP

Las direcciones anycast son creadas asignando la misma direccin a ms de un dispositivo. No existe un espacio de direccionamiento designado para anycast. Los dispositivos que emplearn este tipo de direccin deben ser explcitamente configurados y tiene que saber que la direccin es de anycast.

www.FreeLibros.com

266

REDES CISCO. CCNP a Fondo

RA-MA

Todos los routers tienen que soportar la direccin anycast subnet-router para las subredes en las cuales tienen interfaces. Estas direcciones son las direcciones de unicast con la porcin de la interfaz ID puestas en 0. Los paquetes enviados a la direccin de anycast subnet-router sern entregados a un router especfico en la subred.

Direcciones IPv multicst


Una direccin de multicst identifica un grupo de interfaces. El trfico enviado al grupo llega a todas estas interfaces. Estas pueden a su vez pertenecer a varios grupos multicst simultneamente. Cada interfaz puede reconocer varias direcciones de multicst incluyendo la direccin all-nodes, la direccin solicitednodes o cualquier otra direccin a la que el nodo pertenezca. Los routers deben ser capaces de reconocer la direccin all-roaters. El formato de una direccin IPv de multicst se ilustra en la siguiente figura:
8 bits 1111 1111 FF00::/8 4 bits Flag 4 bits Scope 112 bits Group ID

Como se muestra en la figura la direccin IPv multicst comienza con el prefijo FF00::/8 los siguientes 4 bits son identificadores que se describen a continuacin: 1. El primer identificador o bandera es indefinida y siempre tiene el valor de cero. 2. 3. Conocido como el bit R tiene el valor en binario de 1, cuando el RP est contenido en el paquete multicst. Conocido como el bit P lleva el valor binario 1 en el caso de que la direccin multicst est basada en un prefijo unicast.

4. Es el llamado bit T , si la direccin est asignada permanentemente lleva el valor 0, si por el contrario el valor es 1 la direccin es temporal. Los 4 bits despus de las banderas indican el mbito de la direccin limitando cun lejos esta direccin multicst es capaz de llegar. En IPv4 se utiliza el TTL para poder efectuar esta tarea pero no es un mecanismo exacto debido a que la distancia permitida por el TTL puede ser demasiado larga en una direccin y

www.FreeLibros.com

RA-MA

CAPTULO 8. IPv6

267

demasiado corta en otra. El mbito en IPv es lo suficientemente flexible como para limitar multicst en un sitio o una empresa determinada. Los mbitos estn definidos en hexadecimal y son los siguientes: Valor Valor 1: mbito interfaz-local, usado para las interfaces loopback. 2: mbito link-local, similar al mbito unicast link-local.

Valor 4: mbito admin-local; debe ser administrativamente configurado. Valor 5: mbito site-local; slo abarca un sitio. 8: mbito

Valor pertenecientes a mltiples sitios u organizaciones. Valor E: es de mbito global.

or

El ID del grupo multicst son los 112 bits de menor mbito de la direccin. Todos los dispositivos deberan reconocer y responder a estas direcciones multicst de todos los nodos: FFO1:: 1 correspondiente a la interfaz local. FF02::1 correspondiente al enlace local.

Las direcciones de multicst solicited-nodes son utilizadas en los mensajes de solicitud de vecinos y son enviadas en un enlace local por un dispositivo que quiere determinar la direccin de la capa de enlace de otro dispositivo en el mismo enlace local. Este mecanismo se asemeja a ARP en IPv4. Una direccin de multicst solicited-nodes comienza con el prefijo FF02::1:FF00:/104 y en los ltimos 24 bits insertando las direcciones unicast o anycast del dispositivo. Los routers deben poder responder a las direcciones multicst all-router: FF01 ::2 es la direccin de interfaz local. FF02::2 es la direccin de enlace local. FF05::2 es la direccin del sitio local.

Los routers tambin se unen a otros grupos para soportar protocolos de enrutamiento como por ejemplo, OSPF versin 3 (OSPFv3) utiliza FF02::5 y FF02::6, y RIPng (Routing Information Protocol new generation) utiliza FF02::9.

www.FreeLibros.com

268

REDES CISCO. CCNP a Fondo

RA-MA

Asignamiento de direcciones IPv


Las direcciones Ipv6 pueden ser asignadas de manera manual o de forma dinmica usando DHCPv o autoconfiguracin stateless. Manual: el administrador es el encargado de asignarlas y configurarlas manualmente, supone ms trabajo y demanda llevar un registro de las direcciones que han sido asignadas y a qu host. Autoconfiguracin stateless: cada router anuncia informacin de red incluyendo el prefijo asignado a cada una de sus interfaces. Con la informacin contenida en este anuncio los sistemas finales crean una direccin nica al concatenar el prefijo con el ID en formato EUI-64 de la interfaz. El nombre steteless viene de que ningn dispositivo lleva un registro de las IP que se van asignando. Los sistemas finales piden informacin de red al router usando un mensaje especfico denominado Router Solicitation y los routers responden con un mensaje Router Advertisement. Existe un proceso denominado DAD (Duplcate Address Detection), que se encarga de verificar que las IPs no estn en uso, no sean duplicadas. DHCPv6: se puede definir este mtodo como autoconfiguracin stateful y el funcionamiento es similar a DHCP tradicional, asignando direccionamiento a los host de un rango preconfigurado. Tiene una ventaja aadida y es que rompe la relacin entre MAC e IP (capa 2 y 3) creada si se utiliza la autoconfiguracin stateless, aumentando la seguridad.

CONFIGURACIN DE IPv
IPv6 utiliza versiones actualizadas de los mismos protocolos de enrutamiento disponibles para IPv4. La mayoras de los protocolos trabajan de la misma manera que con IPv4 pero con algunas pequeas diferencias. El enrutamiento en IPv6 puede llevarse a cabo mediante los siguientes protocolos: Rutas estticas RIPng EIGRP para IPv6 IS-IS para IPv6 MP-BGP4 (Multiprotocol BGP) OSPFv3

www.FreeLibros.com

RA-MA

CAPTULO 8. IPv

269

Rutas estticas
Tal como ocurre en IPv4 las rutas estticas en IPv6 se configuran fcilmente. Las rutas por defecto se representan de la siguiente manera El comando para configurar una ruta esttica es el siguiente:
Router(config)# ipv6 route ipv6-prefix/prefix-length {ipv6-address interface-type interface-number [ipv6-address]} [administrativedistance] [administrativemulticast-distance | unicast | multicst] [next-hop-address] [tag tag] |

La RFC 2461, Neighbor Discovery for IPv, especifica que un router debe ser capaz de identificar la direccin de enlace local de los routers vecinos, pero para rutas estticas la direccin del prximo salto debe ser configurada como la direccin link-local del router vecino.

RIPng
RIPng es la nueva generacin de RIP para IPv6 y est basado en RIPv2. Tal como RIPv2, este protocolo es un protocolo de enrutamiento vector-distancia que utiliza la cuenta de saltos como mtrica, con un mximo de 15, y sus actualizaciones son multicst cada 30 segundos. RIPng utiliza la direccin de multicst FF02::9, sta es la direccin del grupo multicst de todos los routers que estn ejecutando RIPng. RIP enva actualizaciones utilizando UDP puerto 521 dentro de los paquetes IPv6, stas incluyen el prefijo IPv6 y la direccin del prximo salto de IPv6.

EIGRP para IPv


Este protocolo est basado en EIGRP para IPv4, tal como pasa con su antecesor es un protocolo vector-distancia avanzado propietario de Cisco que utiliza una mtrica compleja con actualizaciones confiables y el algoritmo DUAL para converger rpidamente. EIGRP para IPv6 se puede configurar a partir de la versin de IOS 12.4(6)T y posteriores.

IS-IS para IPv6


IS-IS es un protocolo que se ejecuta directamente en la capa de enlace de datos, por lo tanto es independiente del protocolo de capa 3 que se est utilizando. Para el manejo de IPv6 con IS-IS solamente se requiere la creacin de un nuevo identificador de protocolo y dos nuevos tipos de TLV, IPv reachability y IPv

www.FreeLibros.com

270

REDES CISCO. CCNP a Fondo

RA-MA

interface address. IS-IS permite una actualizacin de enrutamiento que contenga rutas para IPv4 e IPv a la vez dando como resultando una utilizacin con mayor eficiencia en los enlaces que otros protocolos como OSPF.

MP-BGP4 para IPv


MP-BGP4 incluye nuevas extensiones para IPv que permiten transportar informacin acerca de otros protocolos tales como IPv o MPLS y lleva un nuevo identificador definido para IPv. El atributo de next-hop puede incluir una direccin global unicast de IPv y una direccin link-local. La direccin de red y el atributo NLRI son expresados como prefijos y direcciones IPv.

OSPFv3
OSPFv3 guarda similitudes y diferencias con su antecesor de la versin 2, a continuacin se describen dichas caractersticas.

Similitudes entre OSPFv2 y OSPFv3


OSPFv3 comparte muchas caractersticas de OSPFv2, sigue siendo un protocolo de estado de enlace que utiliza el algoritmo de Dijkstra SPF para seleccionar los mejores caminos a travs de la red. Las rutas en OSPFv3 son organizadas en reas con todas las rutas conectadas al rea 0 o rea de backbone. Los routers OSPFv3 se comunican con sus vecinos intercambiando helio, LSA y tambin DBD y ejecutan el algoritmo SPF contra la base de datos del estado de enlace acumulada (LSDB). OSPFv3 utiliza el mismo tipo de paquetes que la versin 2, forma las relaciones de vecinos con el mismo mecanismo y borra las LSA de forma idntica. Ambas versiones soportan redes NBMA, non-broadcast y punto a punto. Las IOS de Cisco siguen soportando las tres versiones propietarias de la marca (point-topoint, broadcast y point-to-multipoint nonbroadcast). Los diferentes tipos de reas y sus capacidades tambin son soportados en esta nueva versin de OSPF.

Diferencias entre OSPFv2 y OSPFv3


Estos protocolos tienen diferentes caractersticas, la ms relevante es que OSPFv3 soporta prefijos de 128 bits. OSPFv3 se ejecuta directamente dentro de los paquetes IPv y puede coexistir con OSPFv2.

www.FreeLibros.com

RA-MA

CAPTULO 8. IPv6

271

Los dos protocolos nunca intercambiaran informacin mutuamente. Se puede definir este comportamiento como ships in the night que es una terminologa empleada bastante comn que describe un proceso que no influye en otro. Las direcciones de multicst de OSPFv2 son de 224.0.0.5 y 224.0.0.6, OSPFv6 utiliza las direcciones de multicst FF02::5 para todos los routers OSPF y FF02::6 para todos los DR y BDR. Los routers que ejecutan OSPFv3 pueden soportar varias direcciones por interfaz, incluyendo la direccin link-local, la direccin global, la direccin de multicst, las dos direcciones de OSPFv3, etc. OSPFv2 construye las relaciones entre redes con trminos tales como red o subred lo que implica una direccin IP especfica en una interfaz. En cambio OSPFv3 solamente se ocupa de la conexin a travs del enlace hacia su vecino por lo tanto, en la terminologa en OSPFv3 se habla de link. La direccin link-local es el origen de las actualizaciones y no de la direccin local de unicast. La cabecera del paquete de OSPFv3 es de 16 bytes mientras que la de OSPFv2 es de 24 bytes. La autenticacin no se incluye dentro de la versin 3. Los dos campos de autenticacin y tipo de autenticacin que aparecen en la cabecera de OSPFv2 no estn presentes en la versin 3. OSPFv3 confa en las capacidades de IPv para proporcionar autenticacin y encriptacin utilizando extensiones de cabecera.
Versin Type Router ID Packet Length

Area ID Checksum Instance ID 0

OSPFv2 puede ejecutar varios procesos pero slo uno pior enlace. El nuevo campo ID en la cabecera de OSPFv3 es usado para diferenciar procesos de OSPF, dos instancias deben tener el mismo ID para que sean capaces de comunicarse una con la otra. Esto permite a mltiples dominios de enrutamiento comunicarse a travs del mismo enlace. Cada instancia mantiene diferentes tablas de vecinos, bases de datos, estados de enlace y rboles SPF. Sorprendentemente y a pesar de todos estos progresos, en OSPFv3 el router ID y el rea ID an se expresan en nmeros de 32 bits y son escritos en formato decimal como las direcciones IPv4. El

www.FreeLibros.com

272

REDES CISCO. CCNP a Fondo

RA-MA

DR y BDR en OSPFv3 son identificados por el router ID y no por la direccin IP y son elegidos como en OSPFv2.

Tipos de LSA
OSPFv3 y OSPFv2 utilizan un conjunto de LSA similares pero no idnticas. La siguiente tabla muestra las LSA de OSPFv3 incluido el cdigo de funcin el cual indica la funcin de cada LSA. Cdigo

Nombre
Router-LSA

Descripcin
Anuncia el router ID desde un rea hacia un router. Anuncia el router ID desde un rea hacia el DR. Anuncia prefijos desde un rea a otra. Anuncia la ubicacin de un ASBR. Anuncia redistribuciones dentro de OSPF.

Network-LSA Inter-AreaPrefix-LSA Inter-AreaRouter-LSA AS-ExtemalLSA GroupMembership LSA Type-7-LSA

Anuncia informacin multicst.

Anuncia rutas externas NSSA. Anuncia la direccin de un enlace directamente conectado a un vecino. Anuncia prefijos asociados a un router.

Link-LSA

Intra-AreaPrefix-LSA

Las LSA de tipo 1 y 2 no llevan ningn tipo de prefijo o ruta sin embargo contienen ID de 32 bits. Las de tipo 3 y 4 han sido renombradas pero todava

www.FreeLibros.com

RA-MA

CAPTULO 8. IPv6

273

realizan las mismas funciones que en OSPFv2. Las de tipo 8 y 9 son ahora nuevas LSA en OSPFv3. Los prefijos de direccionamiento son almacenados como prefix, options, y prefix length. Son expresadas como prefijo y longitud de prefijo, que es un formato ms flexible que en OSPFv2 con prefijo y mscara. En OSPFv3 los tipos 3 y 9 de LSA llevan toda la informacin del prefijo del dispositivo IPv. En OSPFv4 el prefijo IPv4 es transportada en las LSA de tipo i y 2. Las LSA son originadas desde la direccin link-local de una interfaz y tienen como destino una direccin IPv OSPF de multicst.

CONFIGURACIN DE IPv EN OSPFv3


Antes de la configuracin de cualquier protocolo de enrutamiento, IPv tiene que ser soportado y configurado en el router. Este comando viene por defecto deshabilitado. La siguiente sintaxis muestra la configuracin de IPv:
Router(config)#ipv6 unicast-routing

CEFv (Cisco Express Forwarding versin 6) es una tecnologa de conmutacin avanzada para enviar paquetes IPv. Para CEFv el comando es el siguiente:
Router(config)#ipv6 cef

Para configurar las interfaces con direcciones IPv unicast se utiliza el siguiente comando:
Router(config-if)#ipv6 address ipv6-address/prefix-length [eui-64]

El parmetro eui-64 hace que el router complete los 64 bits de bajo orden de la direccin utilizando el identificador universal extendido EUI-64. La siguiente figura y la sintaxis ms abajo muestran un ejemplo de configuracin IPv6:

www.FreeLibros.com

274

REDES CISCO. CCNP a Fondo

RA-MA

RouterA#configure terminal RouterA(config)#ipv6 unicast-routing RouterA(config)#ipv6 cef RouterA(config)#interface fastethernetO/O RouterA(config-if)#description Local LAN RouterA(config-if)#ipv6 address 2001:0:1:1::2/64 RouterA(config-if)#interface serial 1/0 RouterA(config-if)#description point-to-point connection to Internet RouterA(config-if)#ipv6 address 2001:0:1:5::1/64

Las dos principales diferencias en la configuracin y la resolucin de fallos entre OSPFv2 y OSPFv3 son: La inclusin de la palabra clave IPv6 en los comandos de OSPFv3. Las interfaces son habilitadas en el modo de configuracin de interfaz en OSPFv3 en lugar de utilizar el comando network dentro del protocolo de enrutamiento.

Asumiendo que IPv est habilitado y que las direcciones IPv estn configuradas correctamente en las interfaces correspondientes, los comandos para habilitar OSPFv3 son los siguientes:
Router(config)#ipv6 router ospf process-id Router(config-rtr)#router-id 32-bit-router-id Router(config-rtr)#area area-id range summary-range/prefix-length [advertise | notadvertise] [cost cost ] Router(config-rtr)#interface type number Router(config-if)#ipv6 ospf process-id area area-id [instance instance-id ] Router(config-if)#ipv6 ospf priority priority Router(config-if)#ipv6 ospf cost interface-cost

www.FreeLibros.com

RA-MA

CAPTULO 8. IPv

275

El router ID debe ser un nmero de 32 bits en formato de direccin decimal jpv4 y tiene que ser nico, se puede utilizar para este valor una direccin IPv4 ya establecida en el router. La prioridad funciona de la misma manera que OSPFv2, el valor por defecto de la prioridad es 1. El router con mayor prioridad tiene ms posibilidades de ser DR o BDR, mientras que 0 significa que el router no participar de dicha eleccin. El coste permanece igual en ambas versiones, que p0r defecto es inversamente proporcional al ancho de banda de la interfaz. El coste se puede modificar con el comando ipv6 ospf cost. El comando area range provee sumarizacin, por defecto deshabilitada, en OSPFv3 y en OSPFv2. Para OSPFv3 el coste de una ruta sumarizada es el mayor coste de todas las rutas que la componen. OSPFv3 permite redistribucin de rutas desde y hacia protocolos de enrutamiento IPv y permite la entrada de rutas de la misma manera que lo permite OSPFv2. Para facilitar la comprensin de la configuracin de OSPFv3 se muestra un ejemplo en la siguiente topologa:

1 LoopbackO 2001:0:1:FFFF:: 1/64

Ambos routers son ABR y el router B lleva configurada una interfaz de loopback. La configuracin bsica del router A se muestra en la siguiente sintaxis, mientras que el router B est configurado de una manera similar:
RouterA#configure terminal RouterA(config)#ipv6 unicast-routing RouterA(config)#ipv6 cef RouterA(config)#ipv6 router ospf 1 RouterA(config-rtr)#router-id 10.255.255.1

www.FreeLibros.com

276

REDES CISCO. CCNP a Fondo

RA-MA

RouterA(config-rtr)#interface fastethernetO/O RouterA(config-if)#description Local LAN RouterA(config-if)#ipv6 address 2001:0:1:1::2/64 RouterA(config-if)#ipv6 ospf 1 area 1 RouterA(config-if)#ipv6 ospf cost 10 RouterA(config-if)#ipv6 ospf priority 20 RouterA(config-if)#interface serial 1/0 RouterA(config-if)#description multi-point line to Internet RouterA(config-if)#ipv6 address 2001:0:1:5::1/64 RouterA(config-if)#ipv6 ospf 1 area 0 RouterA(config-if)#ipv6 ospf priority 20

VERIFICACIN DE IPv EN OSPFv3


Para la verificacin de OSPFv3 se pueden emplear muchos de los comandos de la versin 2. El comando show ipv6 route mostrar las rutas advertidas, asumiendo que las rutas estn incluidas en la tabla se podrn emplear otros comandos para la verificacin tales como ping [ipv6] ipv-address. El parmetro ipv es opcional, normalmente la IOS detecta la versin IP que se est utilizando. El siguiente comando activa el reclculo de OSPF y actualiza la tabla de enrutamiento:
clear ipv6 ospf [p r o c e s s - i d ] {process counters [neighbor [neighbor-interface |force-spf | redistribution | \n eighbor-id ]]}

La siguiente sintaxis est basada en la configuracin de los routers del ejemplo anterior:
RouterA#show ipv6 route IPv6 Routing Table - 6 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route II - ISIS Ll, 12 - ISIS L2, IA - ISIS interarea 0 - OSPF intra, OI - OSPF nter, OEl - OSPF ext 1, 0E2 -OSPF ext 2 C 2001:0:1:2::/64 [0/0] via ::, FastEthernetO/O L 2001:0:1:2::2/128 [0/0] via ::, FastEthernetO/O 01 2001:0:1:6::/64 [110/1010] via FE80::213:8OFF:FE63:D676, FastEthernet0/0 O 2001:0:1:FFFF::1/128 [110/10] via FE80::213:8OFF:FE63:D676, FastEthernet0/0 L FE80::/10 [0/0] ia ::, NullO L FF00::/8 [0/0] via ::, NullO

www.FreeLibros.com

RA-MA
RouterA#ping ipv6 2001:0:1:FFFF::1

CAPTULO 8. IPv6

277

Tvpe escape sequence to abort.


Sending
seconds:

5,

100-byte

ICMP Echos

to

2001:0:1:FFFF::1,

timeout

is

i i !
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

Este comando muestra informacin acerca de una interfaz determinada:


show ipv6 interface [brief] [interface-type nterface-number] [prefix] R o u t e r A # s h o w ipv6 interface brief FastEthernetO/O [up/up] FE80::213:80FF:FE63:D66E 2001:0:1:1::2 Seriall/0 [up/down]
F E 8 0 : : 2 1 3 : 8 OFF: F E 6 3 : D66E 2 0 0 1 : 0 : 1 : 5 : :1

Una de las razones de que las rutas de OSPFv3 no sean propagandas desde una interfaz puede ser que no est habilitado OSPFv3correctamente en dicha interfaz. La manera rpida y sencilla de comprobarlo obteniendoa su vez informacin especfica es a travs del comando show ipv6 ospf interface.
RouterA#show ipv6 ospf interface faO/O FastEthernet0/0 is up, line protocol is up

Link Local Address FE80::213:80FF:FE63:D66E, Interface ID 2 Area 1, Process ID 1, Instance ID 0, Router ID 10.255.255.1 Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State BDR, Priority 20 Designated Router (ID) 10.255.255.2, local
F E 8 0 : : 2 1 3 : 8 OFF: F E 6 3 : D676

address address

Backup Designated FE80::213:80FF:FE63


D66E

router

(ID)

10.255.255.1,

local

Timer intervals configured, Helio 10, Dead 40, Wait 40, Retransmit 5 Helio due in 00:00:01 Index 1/1/2, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood sean length is 1, mximum is 2 Last flood sean time is 0 msec, mximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 10.255.255.2 (Designated Router) Suppress helio for 0 neighbor(s)

El router ID y los temporizadores se pueden verificar con el comando show ipv ospf. La verificacin de la relacin de vecindad se puede establecer con el comando show ipv ospf neighbor [detail]. Las bases de datosde OSPFv3 se pueden mostrar utilizando los comandos show ipv ospf database para verificar la lista de LSA recibidas y conocer como las rutas estn siendo propagadas y show

www.FreeLibros.com

278

REDES CISCO. CCNP a Fondo

RA-MA

ipv6 ospf database database-summary proporciona cantidades totales de los diferentes tipos de LSA. A continuacin se copian varias mencionados: salidas de los ejemplos antes

RouterA#show ipv6 ospf Routing Process "ospfv3 1" with ID 10.255.255.1 SPF schedule delay 5 secs, Hold time between two SPFs 10 secs Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs LSA group pacing timer 240 secs Interface flood pacing timer 33 msecs Retransmission pacing timer 66 msecs Number of external LSA 0. Checksum Sum 0x000000 Number of areas in this router is 2. 2 normal 0 stub 0 nssa Area BACKBONE(0) (Inactive) Number of interfaces in this area is 1 SPF algorithm executed 1 times Number of LSA 1. Checksum Sum 0x008A7A Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0 Area 1 Number of interfaces in this area is 1 SPF algorithm executed 9 times Area ranges are 2001:0:1::/80 Passive Advertise Number of LSA 9. Checksum Sum 0x05CCFF Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0 RouterA#show ipv6 ospf neighbor detail Neighbor 10.255.255.2 In the area 1 via interface FastEthernet0/0 Neighbor: interface-id 2, link-local address FE80::213:8OFF:FE63:D676 Neighbor priority is 20, State is FULL, 6 state changes DR is 10.255.255.2 BDR is 10.255.255.1 Options is 0x8lEA8189 Dead timer due in 00:00:31 Neighbor is up for 00:03:28 Index 1/1/1, retransmission queue length 0, number of retransmission 1
First 0x0(0)/ 0 x 0 (0)/ 0 x 0 (0) Next 0x0(0)/ 0 x 0 (0)/ 0 x 0 (0)

Last retransmission sean length is 2, mximum is 2 Last retransmission sean time is 0 msec, mximum is 0 msec RouterA#show ipv6 ospf database database-summary OSPFv3 Router with ID (10.255.255.1) (Process ID 1) Area 0 database summary LSA Type Count Delete Maxage

www.FreeLibros.com

RA-MA

CAPTULO 8. IPv6

279

Router

Network

Link
prefix inter-area Prefix Inter-area Router ipype7 External Subtotal

1 0 0 0 0 0 0 1

0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0

Area 1 database summary 2 0 Router 1 0 Network 2 0 Link 1 0 prefix 0 Inter-area Prefix 1 0 inter-area Router 0 0 0 Type-7 External 0 7 Subtotal Process 1 database summary Count Delete LSA Type 3 0 Router 1 0 Network 2 0 Link 1 0 Prefix 0 Inter-area Prefix 1 Inter-area Router 0 0 0 0 Type-7 External 0 0 0 0 0 0 0 0 Me 0 0 0 0 0 0 0

TRANSICIN DESDE IPv4 A IPv6


Teniendo en cuenta que la mayora de las redes que existen en Internet estn implementadas sobre IPv4 deben existir mecanismos que hagan posible la coexistencia de ambas versiones. Puede haber varios tipos de sistemas para ejecutar esta transicin: Dual stack Tunneling Translation

Dual stack
Con este mecanismo es posible ejecutar IPv4 e IPv a la vez sin comunicacin entre ambas versiones. Los host y los routers llevan configuraciones de las dos versiones de IP y utilizan independientemente unas u otras segn los

www.FreeLibros.com

280

REDES CISCO. CCNP a Fondo

RA-MA

recursos que quieran alcanzar. Si un recurso en concreto proporciona ambas versiones sera conveniente utilizar IPv para alcanzarlo. Para habilitar dual stack en un router Cisco es necesario implementar IPv6 y configurar las interfaces con las direcciones IP correspondientes segn muestra el siguiente ejemplo:
RouterA#configure terminal RouterA(config)#ipv6 unicast-routing RouterA(config)#ipv6 cef RouterA(config)#interface fastethernetO/O RouterA(config-if)#ip address 192.168.0.1 255.255.255.0 RouterA(config-if)#ipv6 address 2001:0:1:1::2/64

Este mecanismo de dualidad permite a los servidores, clientes y aplicaciones moverse gradualmente hacia el nuevo protocolo provocando un mnimo impacto durante el proceso de transicin a IPv.

Tunneling
El mecanismo que proporciona dual stack funciona correctamente siempre y cuando la infraestructura pueda soportar los dos protocolos, pero hay casos en los que los dispositivos slo soportan IPv4, como por ejemplo en equipos de core. Hasta que estos equipos sean actualizados se debe utilizar otro tipo de tcnica que pueda ejecutar IPv a travs de IPv4. Utilizando tneles los routers que estn ejecutando a la vez IPv4 e IPv6 encapsularn el trfico IPv dentro de paquetes IPv4. El origen de los paquetes IPv4 es el propio router local y el destino ser el router en el extremo del tnel. Cuando el router destino recibe el paquete IPv4 lo desencapsula y hace un reenvo del trfico IPv que estaba encapsulado. Este sistema de tunneling es efectivo pero incrementa las MTU debido a que se consumen 20 bytes con cada cabecera IPv4 en los enlaces intermedios y que adems es difcil la resolucin y seguimiento de problemas. Existen cuatro tipos de tneles: Manual tunnels 6-to-4 Teredo ISATAP (Intra-Site Automatic Tunnel Addressing Protocol)

www.FreeLibros.com

RA-MA

CAPTULO 8. IPv6

281

Manual Tunnels
La configuracin de este mecanismo no es difcil, como se muestra en el ejemplo para el router A:

Cabecera IPv6 Origen 2001:0:1:2:: 2 Destino 2001:0:1:1:: 2

D a to sIP v 6

Cabecera IPv4 Origen 192.163.1,1 Destino 192.168.7.1

Cabecera IPv6 Origen 2001:0:1:2:: 2 Destino 2001:0:1:1:: 2

D ato sIP v6

Cabecera IPv6 Origen 2001:0:1:2::2 Destino 2001:0:1:1::2

Datos IPv6

RouterA#configure terminal RouterA(config)#interface tunnelO RouterA(config-if)#ipv6 address 2001:0:1:5::1/64 RouterA(config-if)#tunnel source 192.168.1.1 RouterA(config-if)#tunnel destination 192.168.7.1 RouterA(config-if)#tunnel mode ipv6ip

El comando tunnel mode ipv6ip especifica que el tnel es manual y que IPv es el protocolo pasajero siendo IPv4 el encargado de encapsular y transportar a IPv. El comando show interface tunnel muestra detalles acerca de la interfaz mientras que el comando clear counters tunnel interface-number limpia los contadores mostrados en el comando anterior.

Tneles 6-to-4
Un tnel de este tipo funciona de manera similar a un tnel manual excepto por el hecho de que es creado automticamente. Los tneles 6-to-4 utilizan direcciones IPv6 que enlazan las direcciones 2002: :/16 con la direccin IPv4 de 32 bits del router borde creando un prefijo de 48 bits.

www.FreeLibros.com

282

REDES CISCO. CCNP a Fondo

RA-MA

Un ejemplo de tnel con 6-to-4 es el siguiente, la interfaz tnel en el router A tiene un prefijo de 2002:C0A8:501::/48, donde el valor hexadecimal C0A8:501 equivale a 192.168.5.1 en decimal, que es la direccin IPv4 de esta interfaz. La interfaz tnel en el router B tiene un prefijo de 2002:C0A8:122::/48, donde C0A8:122 es el valor hexadecimal y 192.168.1.34 es la direccin IPv4 en esta interfaz.

Cabecera IPv6 Origen 2002: C0A9:SOI: 1::2 Destino 2 0 0 2 :C 0 A 8 :122:1::2

D atosIP v6

Cabecera IPv4 Origen 192.168,5.1 Destino 192.168.1.34

Cabecera IPv6 Origen 2002: C0 A 8:S 0 1:1: :2 Destino 20O2:COA8:122:1:: 2

Datos IPv6

Cabecera IPv6 Origen 2 00 2:C0A8:S01:1::2 Destino 2002:C Q A 8:122:1:: 2

D atosIPv6

Cada router tiene configurada una ruta esttica hacia el prefijo del otro router. Cuando el router A recibe trfico con una IP de destino de 2002 :C0A8:122:1::2 se activa el siguiente proceso: 1. El router A extrae la direccin IPv4 de la direccin IPv6, en este caso la direccin IPv4 es C0.A8.01.22, equivalente en decimal a 192.168.1.34. 2. El router A encapsula el paquete IPv6 en un paquete IPv4 con una direccin de destino de 192.168.1.34, el paquete es enrutado normalmente a travs de la red IPv4 hacia el router B. 3. El router B recibe el paquete, desencapsula el paquete IPv6 y lo enruta normalmente hacia el destino final IPv6.

www.FreeLibros.com

r a -m a

CAPTULO 8. IPv6

283

Teredo
Otro tipo de tneles son los llamados Teredo. stos encapsulan paquetes IPv en segmentos IPv4 UDP y trabajan de manera similar a los otros mecanismos anteriores con el agregado de poder atravesar redes que estn utilizando NAT y firewall. La RFC 4380 describe el funcionamiento de este mecanismo.

ISATAP
ISATAP trata la red como una NBMA de IPv4 y permite a la red privada IPv4 implementar incrementalmente IPv6 sin actualizar la red. La RFC 4214 describe el funcionamiento de ISATAP.

Translation
El problema del mecanismo de tneles, ya sea manual o automtico, es que es una solucin dual stack. Los clientes IPv6 tienen que seguir soportando IPv4 para conectar con otros dispositivos IPv4. Translation es un tipo de solucin diferente que permite a dispositivos IPv6 comunicarse con dispositivos IPv4 sin necesidad de requerir de dual stack. SIIT (Stateless IP/ICMP Translation) traduce los campos de la cabecera IP, y NAT-PT (NAT Protocol Translation) asocia la direccin IPv a la direccin IPv4. Cuando IPv6 se utiliza en la parte privada de una red, un dispositivo NAT-PT recibe trfico IPv6 en su interfaz de entrada y reemplaza la cabecera IPv6 con una cabecera IPv4 antes de enviar el trfico por la interfaz de salida. El trfico de regreso recibe el tratamiento inverso permitiendo una comunicacin de dos vas. Los dominios de enrutamiento IPv4 e IPv6 tambin pueden estar conectados usando ALG (Application-Level Gateways) o un Proxy. Un Proxy intercepta trfico y lo convierte al protocolo correspondiente. Un ALG independiente es requerido para soportar cada protocolo,. de esta manera este mtodo slo soluciona algunos problemas especficos de translation. BIA (Bump-in-the-API) y BIS (Bump-in-the-Stack) son implementaciones de NAT-PT dentro de un host. BIA/BIS intercepta las llamadas de un sistema IPv4 y dinmicamente responde con IPv, permitiendo, por ejemplo, que un servidor sea reconvertido a IPv6 sin tener que reescribir el cdigo de las aplicaciones. Este sistema no funcionar para aplicaciones que lleven direcciones IP embebidas como por ejemplo ocurre con FTP.

www.FreeLibros.com

www.FreeLibros.com

PARTE II

www.FreeLibros.com

www.FreeLibros.com

Captulo 9

DISEO DE REDES
FUNCIONALIDAD DE SWITCHING
Para iniciar el estudio de las tecnologas de switching es importante conocer qu es y cmo funciona el modelo de referencia OSI. En este punto se considera que ya ha sido asimilado por el lector en fases anteriores de su formacin tcnica en Cisco, aunque s que es funcin de este libro proporcionar al alumno las claves para poder comprender las diferencias entre switching y routing en las capas 2, 3 y 4 del modelo de referencia OSI involucradas en estas funciones. El proceso de encapsulacin de los datos sigue la siguiente secuencia: 1. Datos 2. Segmentos 3. Paquetes 4. Tramas 5. Bits

www.FreeLibros.com

288

REDES CISCO. CCNP a Fondo

RA-MA

La siguiente tabla describe las diferentes capas del modelo OSI, su correspondiente PDU (Protocol Data Unit) y el dispositivo asociado a stas: PDU 7 Aplicacin 6 Presentacin 5 Sesin 4 Transporte 3 Red 2 Enlace de Datos 1 Fsica Segmentos Paquetes Tramas Bits Puertos TCP Router Switch Medios Datos Aplicaciones Dispositivo

Conmutacin de capa 2
La funcin de conmutacin en capa 2 es proporcionada por aquellos dispositivos que son capaces de transportar tramas entre dos interfaces ofreciendo las siguientes capacidades: Aprender direcciones MAC a partir de una trama entrante. Mantener actualizada una tabla en la que se asocie direccin MAC y puerto por el que se aprendi. Reenviar por todos los puertos excepto por el que se recibi tramas de broadcast y multicast. Reenviar por todos los puertos excepto por el que se recibi tramas desconocidas. Evitar bucles de red entre los diferentes equipos involucrados utilizando el protocolo Spanning Tree (STP) o mediante cualquier otra tecnologa o protocolo que pueda ser utilizada para este fin. Es muy importante tener clara la diferencia entre un bridge (puente) y un switch y su desempeo en esta capa, ya que son los dispositivos involucrados fundamentalmente en este nivel. Los bridges son dispositivos capaces de conmutar

www.FreeLibros.com

RA-MA

CAPTULO 9. DISEO DE REDES

289

tramas realizando las funciones arriba detalladas, mientras que los switches, ademas, son capaces de conmutar las tramas y desarrollar esas funcionalidades utilizando ASIC especfico, es decir, los switches son capaces de realizar esas funciones por hardware, de forma mucho ms eficiente y rpida. Se debe tener en cuenta tambin si el proceso de conmutacin se produce al mover tramas entre dos interfaces del mismo tipo en nivel 1, como es el caso de Ethernet, o entre dos interfaces de distinto tipo por ejemplo Ethernet y FDDI. En caso de ser dos interfaces del mismo tipo no ser necesario modificar la cabecera de capa 2, pero en el caso de que la conmutacin se produzca entre dos interfaces de distinto tipo ser necesario modificar la cabecera de capa 2 antes de enviar la trama a la capa 1. La conmutacin en capa 2 puede ser muy apropiada para entornos pequeos donde todos los host comparten el mismo dispositivo de interconexin; pero esta tecnologa no es escalable, ya que al interconectar varios dispositivos de capa 2 hay que tener en cuenta que STP (Spanning Tree Protocol) y los tiempos de convergencia de STP son muy elevados.

Enrutamiento de capa 3
Los dispositivos involucrados en el enrutamiento de capa 3 realizan las siguientes funciones: Los paquetes se reenvan entre redes basndose en direcciones de capa 3. El camino ptimo entre dos puntos se calcula teniendo en cuenta diferentes mtricas como pueden ser saltos, retraso, ancho de banda, combinacin de las anteriores, etc. Para reenviar un paquete el router busca en la tabla de enrutamiento cual es la direccin IP del siguiente salto para el destino concreto y el interfaz saliente del router. El camino ptimo para un destino puede ser elegido entre varias posibilidades, incluso puede ocurrir que existan varios caminos ptimos. Los routers se comunican entre s utilizando protocolos de enrutamiento o routing. Los paquetes de broadcast no se reenviarn (excepto en casos muy concretos). Los paquetes de multicast se reenviarn dependiendo de la

www.FreeLibros.com

290

REDES CISCO. CCNP a Fondo

RA-MA

configuracin que tengan los routers. En el caso del enrutamiento de capa 3 es posible realizar una segmentacin de la red para controlar los broadcast debido a que los broadcast no son reenviados. En cuanto al direccionamiento en el caso del enrutamiento de capa 3 es posible realizar un direccionamiento lgico, ya que se disponen de mecanismos para traducir esas direcciones lgicas de capa 3. Por ejemplo ARP (Protocolo de Resolucin de Direcciones) permite relacionar unvocamente direccionamiento IP (direccionamiento lgico capa 3) con direccionamiento MAC (direccionamiento fsico capa 2). En el caso del enrutamiento de capa 3, el router debe leer la cabecera para conocer el destino, en este proceso adems es posible implementar alguna poltica de seguridad dependiendo de las direcciones de origen y destino. En el enrutamiento de capa 3 las decisiones de ruta se realizan de forma constante con recursos intensivos de CPU, utilizando ciclos, lo cual desencadena un retardo en la toma de decisin.

Conmutacin de capa 3
Los dispositivos que son capaces de conmutar en capa 3 realizan las mismas funciones que los dispositivos capaces de enrutar en capa 3, pero teniendo en cuenta que las decisiones de reenvo se realizan mediante ASIC y no mediante ciclos de CPU, lo cual redunda en una conmutacin a velocidad del medio, eliminando as los posibles cuellos de botella del enrutamiento de capa 3.

Conmutacin de capa 4
La conmutacin en capa 4 permite un control mucho ms exhaustivo del intercambio de la informacin, ya que se comprueban las cabeceras hasta capa 4, es decir, es posible conmutar teniendo en cuenta la aplicacin que se va encaminar. Las funciones que puede realizar un dispositivo capaz de encaminar en capa 4 son las siguientes: La informacin se conmuta teniendo en cuenta la informacin de la aplicacin en capa 4 y por supuesto el direccionamiento en capa 2. Se examina la cabecera de los protocolos de capa 4.

En la lectura de las cabeceras de capa 4 se puede comprobar la aplicacin tanto de origen como de destino.

www.FreeLibros.com

RA-MA

CAPTULO 9. DISEO DE REDES

291

Como se puede demostrar, la conmutacin en capa 4 puede afinar mucho ms acertadamente las decisiones sobre la conmutacin y se pueden tomar decisiones teniendo en cuenta adems de las direcciones de origen y destino las aplicaciones (Calidad de Servicio). La conmutacin se realiza utilizando ASIC especficos muy especializados que permiten realizar esta conmutacin a velocidad de lnea, aunque es cierto que para mantener la informacin sobre MAC de origen, de destino, IP de origen y destino y aplicacin de origen y destino, sern necesarias memorias ms grandes y rpidas, con lo que el coste de estos dispositivos ser generalmente muy elevado.

Conmutacin multicapa
La conmutacin multicapa (Multilayer Switching) permite que los dispositivos sean capaces de conmutar informacin combinando las ventajas de la conmutacin en las capas 2, 3 y 4, ejecutando la conmutacin a velocidad de lnea y gracias al CEF (Cisco Express Forwarding) la tabla de enrutamiento se mantiene actualizada entre los ASIC permitiendo as un alto rendimiento minimizando los retardos de operacin.

REDES DE CAMPUS
Una red de campus consiste en un conjunto de redes LAN en uno o varios edificios, esas LAN pueden utilizar diferentes tecnologas y suelen estar situadas normalmente en la misma rea geogrfica. En el diseo de las redes de campus resulta fundamental conocer el flujo de trfico para poder realizar ese diseo lo ms eficientemente posible. En el diseo de redes de campus existen diversos modelos segn el tipo y necesidad de diseo: Red Compartida Segmentacin de LAN Trfico de Red Red Predecible Red Jerrquico

Modelo de red compartida


En este modelo la disponibilidad y el rendimiento es inversamente proporcional al nmero de host que estn en ella, puede utilizar tecnologas que

www.FreeLibros.com

292

REDES CISCO. CCNP a Fondo

RA-MA

utilicen metodologas de mximo esfuerzo, como Ethernet o deterministas como Token Ring. Tambin se debe tener en cuenta que en sistemas de mximo esfuerzo las colisiones pueden ocurrir, y de hecho ocurren, sin embargo en las tecnologas de token como Token Ring esto no ocurre porque la ocupacin del medio va por tumos o tokens de manera ordenada y precisa. Para solucionar el problema del rendimiento en la red compartida se puede optar por dividir la red en distintos dominios de colisin, mediante bridges o switches. Es importante recordar que los bridges o switches no reenvan las tramas por todos los puertos a no ser que se trate de un reenvo de broadcast o multicast. En el caso del broadcast y del multicast se produce una inundacin por el total de puertos y en el caso del broadcast las tramas son ledas y procesadas por todos los host del segmento, a diferencia del trfico de multicast que slo es procesado por los host del segmento que estn suscritos al grupo de multicast en concreto. Si se analiza el trfico de una red compartida se podr ver la relacin directa que existe entre el nmero de host y el nmero de tramas de broadcast, ya que son muchos los protocolos que utilizan broadcast en capa 2, como por ejemplo DHCP, GNS, ARP, etc. En este modelo hay que destacar que existe el problema aadido de que los dispositivos de capa 2 permiten pasar los broadcast y multicast, as que el rendimiento de la red mejorar, pero extendiendo los broadcast de capa 2 ms all de los lmites establecidos por los switches y bridges de capa 2.

Modelo de segmentacin de LAN


El modelo de segmentacin de LAN va ms all que el modelo de red compartida porque no se permite que los broadcast de capa 2 se extiendan ms all de los lmites establecidos, esto se hace dividiendo la red en varias LAN o VLAN. Para ello se establecen los lmites de los segmentos utilizando dispositivos de capa 3, de esta forma se limitarn los broadcast de capa 3. Los dispositivos de nivel 3 que se pueden utilizar en este modelo son routers o switches de capa 3, los cuales proporcionan todas las ventajas de los dispositivos de capa 2, pero adems aaden una segmentacin al nivel lgico establecido en la capa 3, con lo que el rendimiento mejora tambin en el caso de disponer de broadcast de capa 2.

www.FreeLibros.com

r A-MA

CAPTULO 9. DISEO DE REDES

293

La segmentacin se puede realizar dividiendo en LAN o en VLAN, la diferencia bsica reside en que la LAN utilizar todo el medio para ella sola, mientras que la VLAN utilizar un etiquetado o encapsulado que permitir diferenciar el trfico de una VLAN con el de otra, de esta forma el trfico no se mezclar pudiendo disponer de una segmentacin lgica que permitir una flexibilidad mucho ms grande. El siguiente ejemplo ilustra un modelo de segmentacin con un router:

Modelo de trfico de red


Este modelo se basa en el movimiento de informacin dentro de la red. En redes corporativas estndar se puede aplicar el modelo del 80/20, es decir, el 80% del trfico se queda en el segmento local y slo el 20% del trfico atraviesa el core de la red. Esta situacin puede parecer la ms normal, pero habr que tener en cuenta que existen redes en las cuales el trfico mayoritariamente atraviesa el core de la red, por ejemplo, una red de una empresa de hosting en la que la mayora del trfico no es interno sino que es trfico que va a salir a Internet y que atravesar el core o ncleo de la red. El modelo del 80/20 puede ser uno de los modelos ms comunes utilizados, pero implica que los servidores de aplicacin se encuentran ms cerca del usuario y no se disponen de servicios centralizados masivos. Este modelo tiene una serie de requisitos importantes: Los recursos ms utilizados tienen que estar lo ms prximos al usuario como sea posible.

www.FreeLibros.com

294

REDES CISCO. CCNP a Fondo

RA-MA

Las aplicaciones tienen que estar distribuidas de forma que el trfico se quede siempre que sea posible en el segmento local. Los usuarios con idnticos requisitos tienen que estar lo ms prximos posible, ya sea proximidad fsica en el caso de LAN o proximidad lgica en el caso de VLAN. Este modelo puede sin embargo ser complejo para el administrador de la red y puede no ser viable si la utilizacin de aplicaciones cliente-servidor es muy extensa. En el caso de disponer de una red en la que la arquitectura cliente-servidor sea la predominante, entonces lo conveniente es el entorno 20/80, en el cual la mayora del trfico atravesar el core de la red; por supuesto esta otra visin requerir que el diseo de la red sea totalmente diferente y adaptado a esas necesidades. Este modelo se describe a continuacin.

Modelo de red predecible


El modelo predecible tiene que ser el modelo que permita adaptar la topologa de la red a los requisitos del trfico y que haga posible el menor mantenimiento. Este modelo afrontar el desafo del entorno 20/80 y deber estar basado en varias capas, las cuales sern acceso, distribucin y core, que se describen posteriormente.

MODELO DE RED JERRQUICO


Este modelo es el modelo ms conocido de Cisco y se basa en dividir la red de forma lgica en tres niveles o capas: Acceso Distribucin Core Cada uno de estos niveles realizar una funcin bien diferenciada y permitir que el trfico pueda ser tratado de forma independiente segn el lugar de la red en que se encuentre. El resultado es una topologa escalable, fcilmente modificable y aislable que permite un trabajo ptimo, lamentablemente no todas las redes de empresas tienen suficiente estructura como para poder montar claramente un modelo jerrquico, sin embargo para redes de tamao considerable esta opcin termina por ser la nica viable.

www.FreeLibros.com

RA-MA

CAPTULO 9. DISEO DE REDES

295

Nivel de acceso
El nivel de acceso es el ms prximo al usuario y donde se conectan los host. En este nivel comnmente se dispone de switches de capa 2 con una gran densidad de puertos, con dispositivos de bajo coste. En este nivel tambin hay que tener en cuenta que es donde se concentra el trfico de usuario que tiene que ir al nivel superior, con lo que es necesario tener en cuenta que los switches de acceso tendrn que disponer de puertos de uplink que tpicamente soportarn varias VLAN. Es en este nivel donde se aplican los primeros filtros al trfico, se definen VLAN y se comienza a aplicar QoS (Calidad de Servicio).

Nivel de distribucin
Este nivel es el encargado de comunicar la capa de acceso con la de core y de interconectar varios niveles de acceso diferentes. Es en este nivel donde se agregar el trfico proveniente de las capas inferiores y el primer lugar donde se comenzar a utilizar switching de capa 3 para poder hacer la interconexin entre redes. En este nivel es muy importante que los equipos dispongan de puertos de alta velocidad; donde la QoS tiene una presencia ms persistente. Al ser el primer nivel en implementar la capa 3 ser hasta aqu donde lleguen los broadcast de las capas inferiores y donde se implementarn polticas de filtrados (ACL).

www.FreeLibros.com

296

REDES CISCO. CCNP a Fondo

RA-MA

Nivel de core
Este nivel tiene una nica y principal funcin que es mover el trfico lo ms rpidamente posible suministrando comunicacin hacia el exterior sin realizar ninguna tarea ms que no sea imprescindible.

DISEO MODULAR DE RED


Aunque en el captulo anterior se haya descrito el diseo de red por capas tambin es posible definir este diseo mediante lo que se llama bloques. Estos bloques son unidades lgicas funcionales de equipos que ofrecen un servicio determinado. Los bloques en los cuales se puede definir una red de campus son los siguientes: Bloque de conmutacin: switches de acceso junto con sus switches de distribucin. Bloque de core: el backbone de la red. Bloque de granja de servidores: conjunto de servidores con sus switches de acceso y distribucin.

Bloque de gestin: recursos de gestin de red con sus switches de acceso y distribucin. Bloque de frontera de la empresa: recursos necesarios para conectar la empresa al exterior con sus switches de acceso y distribucin. Bloque de frontera del ISP: servicios externos del ISP contratados por la empresa con sus interfaces al bloque de frontera de la empresa.

www.FreeLibros.com

RA-MA

CAPTULO 9. DISEO DE REDES

297

Bloque frontera del ISP

Bloque de granja de servidores

Bloque de conmutacin

Bloque de conmutacin
El bloque de conmutacin contiene dispositivos de conmutacin del nivel de acceso y distribucin. Hay que tener en cuenta que todos los bloques tienen que estar conectados al bloque de core para proporcionar conectividad extremo a extremo en toda la red. El bloque de conmutacin por un lado tendr los switches de capa 2 de acceso y por otro lado tendr switches de capa 3 de distribucin, es decir, en este nivel hay funcionalidades tanto de capa 2 como de capa 3. En este bloque los usuarios finales se conectan, al switch de acceso mediante un puerto dedicado, los switches de acceso se conectan a los switches de distribucin de la misma forma y los de distribucin a su vez conectarn el bloque con el bloque de core. Este bloque proporciona, adems, un blindaje en cuanto al trfico, ya que los broadcast no deben ir ms all del bloque y por supuesto el protocolo Spanning Tree tambin queda confinado en el bloque. En este tipo de bloque es muy importante que las VLAN se queden en el mismo y que no salgan de ah, ya que es conveniente que el trfico de broadcast no circule por el core. La forma de evitar esto es limitando los dominios de difusin.

www.FreeLibros.com

298

REDES CISCO. CCNP a Fondo

RA-MA

Dimensionamiento del bloque de conmutacin


Los bloques de conmutacin no pueden ser tan grandes como usuarios haya en la organizacin, muchas veces es necesario dividirlo, pero teniendo en cuenta una serie de factores que afectan al diseo. Para poder dimensionar adecuadamente el bloque de conmutacin se debe tener en cuenta los patrones de trfico, la capacidad de conmutacin de capa 3 en la capa de distribucin, nmeros de usuarios, lmites de las VLAN o incluso el tamao de los dominios de Spanning Tree. Lamentablemente el anlisis de estos requerimientos a priori se encuentra fuera del mbito del CCNP, pero lo que s est dentro del mbito es detectar el momento en el que ese bloque de conmutacin se queda pequeo, esto sucede cuando: Los routers de capa 3 de la capa de distribucin son un cuello de botella y los recursos de CPU aumentan demasiado. Los broadcast y multicast provocan lentitud en los switches del bloque. Para disear correctamente el bloque de conmutacin es necesario proporcionar a los switches de acceso enlaces redundantes a los switches de distribucin, y estos ltimos pueden balancear el trfico a los equipos de core ya que al ejecutar protocolos de enrutamiento de capa 3 es posible realizar este tipo de configuracin. Para proporcionar una redundancia adecuada los dos uplinks de los switches de acceso tienen que estar conectados a dos switches de distribucin, proporcionando redundancia uno del otro.
A la capa de core

Aunque el tema de la virtualizacin queda tambin fuera del temario del CCNP e incluso tambin fuera del CCIE, existen ya tcnicas para proporcionar redundancia en capa 2 como es el uso de la tecnologa VSS de Cisco Systems y utilizando EtherChannels y eliminando el uso de Spanning Tree entre los switches de acceso y los de distribucin, o incluso sin tener virutalizacin se puede

www.FreeLibros.com

RA-MA

CAPTULO 9. DISEO DE REDES

299

proporcionar una redundancia mediante MSTP (tema que se explicar ms adelante) balanceando unas VLAN por un trunk y otras VLAN por otro trank, de esta manera se proporciona un balanceo de trfico entre los dispositivos de capa 2 de acceso y distribucin. Por supuesto tambin existen otras posibilidades similares utilizando virtualizacin en otros fabricantes, actualmente en Juniper y Nortel, adems de Cisco. Posibilidades de balanceo existen en capa 2, pero estas mejoras no han estado disponibles hasta finales de 2008 y slo en la gama 6500 de Cisco, as que sa es la razn por la que este tema no se incluye en el CCNP, al menos de momento.

Bloque de core
Para conectar al menos 2 bloques de conmutacin es necesario la existencia del bloque de core en la red. El bloque de core puede funcionar con prcticamente cualquier tecnologa, aunque este libro se va a centrar en enlaces gigabit ethemet y 10 gigabit ethemet. Su funcin principal, como se explicado anteriormente, es mover los datos de la forma ms rpida posible, sa es la razn por la que antiguamente este bloque funcionase nicamente en capa 2, pero actualmente los precios de los switches de capa 3 ya no son los mismos y hoy en da este bloque se construye sobre switches multicapa. Para el diseo de este bloque existen dos posibilidades principales: Bloque Colapsado, es aquel en el que la jerarqua del bloque de core est colapsado con el nivel de distribucin de los otros bloques, es decir, el bloque de acceso se divide en acceso y distribucin, el nivel de acceso se queda en el bloque de conmutacin y el bloque de distribucin pasa al bloque de core. De esta forma se ahorran equipos en los bloques de conmutacin, pero los broadcast de nivel 3 y las VLAN llegan hasta el core, lo cual podra afectar al rendimiento. Este tipo de core slo podra tener sentido en redes pequeas.

www.FreeLibros.com

300

REDES CISCO. CCNP a Fondo

RA-MA

Enlaces de core

Bloque de conmutacin A

Bloque de conmutacin B

Hay que tener en cuenta que este modelo no es escalable ya que no puede extenderse demasiado. Core Dual, este tipo de core contacta de forma redundante dos o ms bloques de conmutacin y en l est totalmente diferenciado el nivel de distribucin con nivel 3, que se queda en cada uno de los bloques de conmutacin, y el nivel de core, con lo que el trfico de broadcast de nivel 3 se queda en cada uno de los bloques de conmutacin y no llega hasta el bloque de core.

Bloque de conmutacin A

Bloque de conmutacin B

La ventaja fundamental del bloque de core funcionando como dual core es que es posible utilizar uplinks de cada uno de los bloques de conmutacin de forma paralela y balanceada. Esto es posible gracias a los protocolos de enrutamiento de capa 3, que permiten balancear el trfico de esta manera, gracias a que los switches de distribucin de los bloques de conmutacin y los switches del core son switches de capa 3.

www.FreeLibros.com

r a -m a

CAPTULO 9. DISEO DE REDES

301

Tamao del core en una red de campus


Una consideracin muy importante e interesante a tener en cuenta es relativa al tamao del core en una red de campus. El tamao es totalmente dependiente del nmero de bloques que existan por debajo del bloque de core, se ha de tener en cuenta que cada bloque tendr dos uplinks hacia el core que deben ser non-blocking, es decir, los switches de core tienen que tener la capacidad de aceptar que las interfaces puedan estar al 100% de capacidad. Otro factor a tener en cuenta en cuanto al tamao es el o los protocolos de enrutamiento a utilizar. Ya se ha dicho que se ejecutar un protocolo de enrutamiento entre los bloques para poder ofrecer redundancia y balanceo entre los uplinks de los bloques de conmutacin hacia el bloque de core, cuanto ms grande sea la red ms actualizaciones de enrutamiento sern necesarias y esto puede afectar al rendimiento. Estas limitaciones son las responsables de determinar si son necesarios ms equipos o ms grandes y potentes en el bloque de core.

Bloque de granja de servidores


Un servidor deber estar situado en el bloque de granja de servidores y los servidores adems debern estar accesibles desde cualquier bloque de conmutacin. Los servidores comnmente disponen de una interfaz de red y esto implica un punto nico de fallo. Para solucionar esto se puede duplicar el servidor conectando cada uno a un switch de acceso diferente o instalar una segunda interfaz en el servidor a otro switch de acceso (dual-homing).

Bloque de gestin de red


Es muy comn que este tipo de redes dispongan de algunos sistemas de gestin de red donde se monitorice el estado de cada uno de los equipos, enlaces, etc. Este bloque tiene justo la visin contraria al bloque de granja de servidores, ya que desde el bloque de gestin de red es necesario llegar al resto de la red y no al revs. En este bloque es donde se sitan las aplicaciones de gestin y monitorizacin, los servidores de syslog, los servidores AAA, aplicaciones de administracin de usuarios remotos, etc.

www.FreeLibros.com

302

REDES CISCO. CCNP a Fondo

RA-MA

Bloque de frontera de la empresa


Es muy comn que este tipo de redes dispongan de conectividad con elementos externos a la empresa y es ah donde comienza la frontera de la empresa. El concepto de frontera de la empresa sin embargo puede ser dividido en diferentes categoras: Acceso a Internet: conexin con uno o varios ISP, soportando el trfico saliente de la empresa, as como el acceso a servicios pblicos, en este bloque se suelen situar elementos de seguridad perimetral. Acceso remoto y VPN: es muy comn que los trabajadores de una empresa puedan conectarse de forma remota a la red principal, adems hay que tener en cuenta que existe trfico de voz que tambin utilizar este bloque como punto de entrada. Comercio electrnico: bloque donde se sitan los servicios y servidores necesarios para el comercio electrnico, as como equipos de seguridad y conectividad contra uno o varios ISP.

Acceso WAN: en este bloque se realiza la conexin de otras delegaciones de la empresa u extensiones de la red a otros puntos, se puede utilizar cualquier tecnologa como Frame-Relay, ATM o RDSI.

Bloque frontera del ISP


Se puede considerar como el bloque de frontera del ISP, con lo que es exactamente igual que el bloque anterior, pero visto desde fuera.

Switch de capa 2 en distribucin


Como se ha dicho anteriormente es posible utilizar switches de capa 2 en capa de distribucin, pero esta prctica tiene sus problemas, aunque puede ser recomendada en el caso de que no se disponga de suficientes recursos como para utilizar dispositivos de capa 3 en la capa de distribucin de los diferentes bloques. Aunque esta prctica tiene varios problemas hay que tener en cuenta los principales que estn relacionados con la extensin y contencin de VLAN y la utilizacin de Spanning Tree. En cuanto a las VLAN la utilizacin de switches de capa 2 en distribucin provocar que todo el trfico de las VLAN escale hasta el core, pasando los

www.FreeLibros.com

RA-MA

CAPTULO 9. DISEO DE REDES

303

broadcast y todo el trfico no necesario, redundando en una utilizacin poco ptima de enlaces de uplink.

Bloque de conmutacin A

Bloque de conmutacin B

La redundancia de nivel 3 entre distribucin y core no podr ser posible debido a que no existen protocolos de enrutamiento para realizar el balanceo de trfico, as que la mala utilizacin de los uplinks por la extensin de las VLAN se ver drsticamente empeorada por la imposibilidad de balancear el trfico con STP estndar.

EVALUACIN DE UNA RED EXISTENTE


Evaluar correctamente una red es fundamental para posteriormente pasar el modelo a modelo por bloques, lo primero es disponer de un mapa de red. Cuando se habla de conseguir un mapa de red no hay que limitarse a realizar un mapa que muestre la conexin entre dispositivos. Los mapas topolgicos de capa 3, donde se puede conocer la disposicin de las VLAN y el flujo del trfico, son tanto o ms importante que los mapas de topologa fsica. Por supuesto si no existe un mapa de la red siempre ser posible conseguirlo, por ejemplo con dispositivos Cisco, mediante CDP e ir descubriendo los equipos paso a paso. Mediante el comando show cdp neighbors se obtiene informacin sobre los dispositivos directamente conectados, pero con una visin muy reducida:

www.FreeLibros.com

304

REDES CISCO. CCNP a Fondo

RA-MA

Switch-B# show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID Switch-A Gig 1/1 105 S I WS-C3550-4Gig 0/1 Switch-C Gig 2/1 139 S I WS-C3550-4Gig 0/1 Router Gig 3/1 120 R Cisco 2610Fas 0/0

Existe tambin la opcin de ampliar la informacin con el comando show cdp neighbors detail:
Switch-# show cdp neighbors detail Device ID: Switch-B

Entry address(es): 192.168.254.17 Platform: cisco WS-C4506, Capabilities: Router Switch IGMP Interface: GigabitEthernetO/1, Port ID (outgoing port): GigabitEthernetl/1 Holdtime : 134 sec Versin : Cisco Internetwork Operating System Software IOS (tm) Catalyst 4000 L3 Switch Software (cat4000-l9S-M), Versin 12.2(18)EW, EARLY
DEPLOYMENT RELEASE SOFTWARE (fcl)

TAC Support: http://www.cisco.com/tac Copyright 1986-2004 by cisco Systems, Inc. Compiled Fri 30-Jan-04 02:04 by hqluong advertisement versin: 2 VTP Management Domain: '' Dplex: full Management address(e s ):

Recordando siempre que estos comandos slo sirven cuando todos los equipos de la red son Cisco y tienen el protocolo CDP habilitado. Una vez que se dispone de los mapas de red es necesario adaptar la topologa a los bloques detallados anteriormente, para ello habr que agrupar los servidores en el bloque de granja de servidores, los equipos de usuarios en bloques de conmutacin y as con todo lo dems. Segn se desarrolle esta tarea seguramente habr que mover algunos equipos o incluso poner ms switches, pero con estos cambios se dispondr de una red mucho mejor planificada, escalable y consiguiendo una red donde en caso de producirse alguna incidencia ese problema quedar situado en un bloque sin inundar la red completa.

www.FreeLibros.com

Captulo 10

OPERACIN DE CONMUTACIN
CONMUTACIN DE CAPA 2
Un switch de capa 2 es considerado como un bridge multipuerto, donde cada puerto tiene su propio dominio de colisin, aislado del resto. El reenvo de trfico se realiza utilizando las MAC que el switch ha aprendido, ya sea de forma esttica o de forma dinmica y todos aquellos destinos que no conozcan y las tramas de multicast y broadcast sern reenviadas por todos los puertos de la misma VLAN excepto por el que ha llegado. En el caso de MAC aprendidas de forma dinmica el switch crea una tabla donde se indica puerto, MAC y VLAN asociada a esa MAC, la VLAN de una MAC se aprende de la configuracin del puerto por el que se ha aprendido la MAC. En el caso de estar utilizando Spanning Tree el proceso de aprendizaje de direcciones MAC se realiza en los puertos que Spanning Tree permite que estn activos, aunque esta informacin ya se extender ms detalldamente en la seccin de Spanning Tree. Al llegar una trama al puerto del switch, sta se sita en una de las colas de entrada que contienen las tramas a reenviar con diferentes prioridades. El switch no slo tiene que saber dnde reenviar las tramas sino cmo hacerlo tomando informacin a partir de las polticas de forwarding; estas decisiones las toma de forma simultnea utilizando diferentes partes del hardware involucrado en la decisin de switching.

www.FreeLibros.com

306

REDES CISCO. CCNP a Fondo

RA-MA

Tabla de forwarding de capa 2: la MAC de destino se busca en la tabla junto con la VLAN de esa MAC, si se encuentra se saca a la cola de salida, si no es as se prepara la trama para inundacin. ACL de Seguridad: listas de acceso que evalan la MAC, direcciones IP, protocolos e informacin de capa 4; estas decisiones las hace la TCAM (Temary Conten Addressable Memory). ACL de QoS: se clasifican las tramas entrantes en funcin de la QoS; estas decisiones las hace la TCAM.

CONMUTACIN MULTICAPA
Los switch Cisco disponen de dos generaciones de MLS (Multilayer Switching): Route Catching: sta es la generacin ms antigua y requiere una RP (Route Processor) y una SE (Switching Engine), este tipo de MLS tambin se conoca como LAN Switching. En este caso la RP es la encargada de buscar el camino adecuado y lo almacena, la SE simplemente es la encargada de recordar esa decisin. Basado en topologa: sta es la generacin ms moderna y utiliza ASIC especializados para construir una base de datos nica con toda la topologa de la red. Este tipo de conmutacin es conocido como CEF (Cisco Express Forwarding). Una vez determinada la ruta se almacena en la FIB (Forwarding Information Base), lugar donde se puede consultar cada vez que entre una peticin igual.

Las decisiones a tomar con un paquete de capa 3 son exactamente las mismas que con una trama de capa 2 y adems aadiendo la tabla de forwarding de capa 3. La tabla de forwarding de capa 3 consulta la FIB y el prefijo ms largo que coincida es el deseado, adems la FIB contiene la MAC del siguiente salto y el VLAN ID, de tal forma que en esa comprobacin no hay que mirar nada ms. Existen paquetes que no pueden ser conmutados directamente por CEF y tienen que ser procesados de forma diferente: Peticiones de ARP Paquetes IP con TTL expirado o MTU excedida

www.FreeLibros.com

RA-MA

CAPTULO 10. OPERACIN DE CONMUTACIN

307

Broadcast IP que son reenviados como unicasts como son las peticiones de DHCP o las funiones de ip-helper Actualizaciones de enrutamiento Paquetes de CDP Paquetes encriptados Paquetes no IP y no IPX

t a b l a s u t il iz a d a s e n c o n m u t a c i n

Tabla CAM
Todos los switches de Cisco utilizan la CAM (Conten Addressable Memory) para conmutar en nivel 2. Segn llega una trama la direccin MAC de origen es guardada en la CAM junto con la informacin de VLAN de la configuracin del puerto, tambin se guarda junio con una marca temporal por si esa misma MAC es aprendida por otro puerto, de esta forma el switch es capaz de determinar por dnde se aprendi la ltima vez y as eliminar la ms antigua. La tabla CAM tiene un tamao determinado que vara en funcin de cada equipo, pero en definitiva es de tamao limitado y puede llenarse y provocar un desbordamiento. En caso de desbordamiento de la CAM es muy til reducir el tiempo de permanencia de la entrada en la tabla CAM y cambiar de los 300 segundos por defecto a un valor ms pequeo.
Switch(config)# mac address-table aging-time seconds

Existen casos en los que la MAC no se aprender de forma dinmica, por ejemplo un interfaz que slo reciba trfico y que nunca enve, en ese caso se podr configurar la entrada en la CAM de forma manual de la siguiente forma:
Switch(config)# mac address-table static mac-address van vlan-id interface type mod/num

Las direcciones MAC en un Cisco siempre utilizan el formato de dividir la MAC en tres partes separadas con puntos, es decir, 00:60:40:ab:40:ll se convertira en 0060.40ab.4011.

www.FreeLibros.com

308

REDES CISCO. CCNP a Fondo

RA-MA

Para poder ver la tabla CAM en un swich Cisco se utiliza el comando:


Switch# show mac address-table dynamic [address mac-address \ interface type mod/num ]

En el caso de que se desee eliminar una entrada especfica de la tabla CAM puede hacerse con el comando:
Switch# clear mac address-table dynamic [address mac-address | interface type mod/num | van vlan-id ]

Tabla TCAM
La TCAM (Temary Conten Addressable Memory) es una extensin de la CAM con un ndice que permi buscar las enradas, pero con la diferencia de que en la CAM el ndice es la direccin MAC y en la TCAM es un valor dependiente de la informacin que contenga. Las TCAM estn compuestas por combinaciones de un Valor, una Mscara y un Resultado. Valor: es un campo de 134 bits que contiene direcciones de origen y destino e informacin relevante del protocolo que se est utilizando. Mscara: es otro campo de 134 bits y se utiliza para realizar la comparacin. Resultado: es el valor numrico que representa la accin a tomar que no tiene por qu ser permitir o denegar, en este caso el abanico de posibilidades es ms amplio. Como se puede, ver en la siguiente tabla el valor es dependiente del protocolo que se est utilizando: ACL Valor, mscara y resultado
Origen MAC (48), destino MAC (48), Ethertype (16) Origen IP (32), destino IP (32), protocolo (16), cdigo ICMP (8), tipo ICMP (4), IPtipo de servicio (ToS) (8)

Ethernet

ICMP

www.FreeLibros.com

RA-MA

CAPTULO 10. OPERACIN DE CONMUTACIN

309

Extended IP using TCP/UDP

Origen IP (32), destino IP (32), protocolo (16), IP ToS (8), puerto de origen (16), operador de origen (4), puerto destino (16), operador de destino (4) Origen IP (32), destino IP (32), protocolo (16), IP ToS (8) Origen IP (32), destino IP (32), protocolo (16), IP ToS (8), tipo de mensaje IGMP (8) Origen IPX (32), destino IPX (32), nodo destino (48), tipo de paquete IPX (16)

Other IP

IGMP

IPX

En las TCAM se utiliza el concepto de Entidades de Control de Acceso, ACE. En este caso una ACE es una comparacin exacta, es decir, una comparacin que en una lista de acceso se lee el comparador eq, por ejemplo:
access-list prueba permit tcp any host 10.0.0.1 eq 80

En el caso de utilizar en las listas de acceso un comparativo de otro tipo como gt, lt, neq o range el resultado no va a ser una nica posibilidad, as que no se podrn utilizar ACE, para esto habr que utilizar LOU (Logical Operation Unit). Las LOU internamente se pueden convertir en conjuntos de ACE, pero surge el problema que para LOU haya una cantidad limitada de espacio que podra provocar un desbordamiento de memoria, la razn de esta situacin es porque los switches tienen que incorporar las ACE en los ASIC y stos disponen de una capacidad determinada. Con el fin de ahorrar espacio, los contenidos de las LOU pueden ser reutilizados por otras ACE que necesiten las mismas comparaciones y los mismos valores. Por supuesto toda esta operacin con las LOU y Tas ACE las hacen los equipos de forma transparente y sin intervencin ninguna del usuario. Tambin denotar que se pueden dividir las ACE en mltiples ACE, todo dependiendo de los ASIC especficos de los equipos. En el caso de las TCAM el funcionamiento es totalmente transparente al usuario y no es posible realizar operaciones en ella.

www.FreeLibros.com

310

REDES CISCO. CCNP a Fondo

RA-MA

VERIFICACIN DEL CONTENIDO DE LA CAM


La siguiente sintaxis muestra el comando para ver el contenido de la tabla CAM:
Switch# show mac address-table dynamic [address mac-address \ interface type mod/num \ van vlan-id ]

Para eliminar el contenido de la tabla se puede utilizar el comando clear:


Switch# clear mac address-table dynamic [address mac-address \ interface type mod/num | van vlan-id]

El siguiente es un ejemplo de un show mac address-table dynamic:


SW4507#sh mac address-table dynamic Unicast Entries van mac address type protocols port

_ _ ____ j
1 1 1 1 1 1 1 1 1 0000.0c07.acOa 0000.74bl.a886 0000.74bb.2273 0000.74bb.4bc0 0001.e65b.5aff 0001.e6b6.615e 0007.e917.cc61 000f.fe47.cl3e 000f.fe47.cl6c dynamic ip dynamic ip dynamic ip dynamic ip dynamic ip dynamic ip dynamic ip dynamic ip

____ __ _._____ _____ _____


GigabitEthernet3/26 GigabitEthernet4/21 GigabitEthernet4/47 GigabitEthernet3/43 GigabitEthernet4/4 7 GigabitEthernet4/48 FastEthernet5/3 7 GigabitEthernet4/47 GigabitEthernet4/47

dynamic i p,ipx

1 1 1 1 1

0014.5elf.Illa 0014.699e.0820 0024.f91b.a41b 0024.f91b.bclb 0800.3716.44e9

dynamic ip dynamic ip,other dynamic ip,assigned dynamic ip,assigned

FastEthernet5/2 GigabitEthernet3/1 GigabitEthernet3/27 GigabitEthernet3/2 6

dynamic ip,ipx,other GigabitEthernet3/19

www.FreeLibros.com

RA-MA

CAPTULO 10. OPERACIN DE CONMUTACIN

311

TIPOS DE PUERTOS DE UN SWITCH Ethernet


Cuando comnmente se habla de Ethemet se hace referencia a Ethemet basada en la norma de la IEEE 802.3, la cual describe Ethemet como un medio compartido que adems es dominio de colisin y de difusin. En Ethemet dos estaciones no pueden transmitir simultneamente y cuantas ms estaciones existan en el segmento ms probabilidad existe de colisin, esto slo ocurre en modo halfduplex, en el que una estacin no es capaz de transmitir y recibir a la vez. Ethemet est basada en la tecnologa CSMA/CD (Carrier Sense Mltiple Access Collision Detect), que describe un modo de operacin en sistemas de contienda o mximo esfuerzo. En enlaces conmutados Ethemet puede solucionar el problema del medio compartido dedicando a cada estacin un puerto del switch, de esta forma cada estacin tendra su propio dominio de colisin y no podr colisionar, o al menos estas colisiones seran mucho menos repetitivas. En el caso de full-duplex una estacin podra enviar y recibir tramas de forma simultnea, lo cual har que el rendimiento del medio, por ejemplo de 10 Mbps ascienda hasta 20 Mbps, 10 para la transmisin y otros 10 para la recepcin. En cuanto al medio utilizado en Ethemet el ms comn es cable de cobre de par trenzado tipo UTP, con el que se pueden alcanzar hasta 100 metros. En el CCNA se haca referencia a 10BASE-2, 10BASE-5 y 10BASE-T, en este caso se hace referencia a 10BASE-T y no se trata 10BASE-2 y 10BASE-5 porque es una tecnologa que ha cado en desuso.

CSMA/CD
La tecnologa Ethemet utiliza para controlar las colisiones dentro de un determinado segmento el protocolo CSMA/CD (Carrier Sense Mltiple Access Collision Detect) y deteccin de colisiones. En la prctica, esto significa que varios puestos pueden tener acceso al medio y que, para que un puesto pueda acceder a dicho medio, deber detectar la portadora para asegurarse de que ningn otro puesto est utilizndolo. Si el medio se encuentra en uso, el puesto proceder a mantener en suspenso el envo de datos. En caso de que haya dos puestos que no detectn ningn otro trfico, ambos tratarn de transmitir al mismo tiempo, dando como resultado una colisin.

www.FreeLibros.com

312

REDES CISCO. CCNP a Fondo

RA-MA

A partir de esta colisin las estaciones emiten una seal de congestin para asegurarse de que existe una colisin y se genera un algoritmo de espera con el que las estaciones retransmitirn aleatoriamente.

Fast Ethernet
Fast Ethemet est definido en el estndar IEEE 802.3u, el cual define un nuevo estndar que compartiendo la subcapa de acceso al medio (MAC) con IEEE 802.3 pueda transmitir a 100 Mbps. La diferencia con IEEE 802.3 estriba en la modificacin del medio fsico manteniendo la operacin CSMA/CD y la subcapa MAC. Aunque el medio ms utilizado en Fast Ethemet es el cableado UTP categora 5, existe la posibilidad de utilizar cableado UTP de menor calidad o por el contrario la utilizacin de fibra monomodo y mltimodo con las que se obtiene una mayor longitud en el segmento. Fast Ethemet proporciona la capacidad de full-duplex al igual que Ethemet, mejorando su rendimiento hasta 200 Mbps, y proporcionando la autonegociacin. La especificacin Fast Ethemet dispone de compatibilidad con Ethemet tradicional, as que los puertos en el caso de 100BASE-T pueden ser 10/100, adems de la velocidad es posible negociar el dplex de la transmisin. Para la autonegociacin se establecen una serie de prioridades en las cuales existen unos modos ms prioritarios que otros y el orden de eleccin es el siguiente: . 100BASE-T2 (full dplex) 100BASE-TX (full dplex) 100BASE-T2 (half dplex) 100BASE-T4 100BASE-TX 10BASE-T (full dplex) 10BASE-T

Cisco recomienda de todos modos no utilizar autonegociacin y configurar los puertos en ambos extremos de forma manual para asegurar el modo de operacin deseado. Cisco adems permite en Fast Ethemet la agregacin de puertos para conseguir mayor ancho de banda, esto se consigue mediante Fast EtherChannel, el cual se tratar ms adelante.

www.FreeLibros.com

RA-MA

CAPTULO 10. OPERACIN DE CONMUTACIN

313

Gigabit Ethernet
El estndar Gigabit Ethemet (IEEE 802.3z) es una mejora sobre Fast Ethernet que permite proporcionar velocidades de 1 Gbps, pero para conseguir este resultado fue necesario utilizar el estndar ANSI X3T11 - Fiberchannel junto con el estndar IEEE 802.3. De esta forma surgi un nuevo estndar con el mismo modo de operacin que Ethemet, pero a 1 Gbps. Gigabit Ethemet permite la compatibilidad con sus predecesores, existen puertos de 10/100/1000 y es posible la autonegociacin, sta se realiza igual que en el caso de Fast Ethemet, pero aadiendo como ms prioritario 1000BASE-T (full dplex) y posteriormente 1 0 0 0 BASE-T (half dplex). Sin embargo Cisco dispone de hardware que no es compatible con 10/100 como es el caso de las tarjetas WS-X6724-SFP, que slo soportan 1000 full dplex en mdulos SFP. Por supuesto la capacidad de agregacin tambin existe en Gigabit Ethemet denominndose Gigabit EtherChannel. Los equipos Cisco soportan como interfaces Gigabit Ethemet adems de los puertos RJ la posibilidad de utilizar GBIC o SFP para poder conectar fibra con conectores LC en el caso de los GBICs o con conectores mini LC en el caso de los SFP.

10-Gigabit Ethernet
En el caso de 10-Gigabit Ethemet (IEEE 802.3ae) funciona sobre una nueva capa fsica totalmente diferente a las anteriores, pero manteniendo la subcapa MAC exactamente igual que las versiones antecesoras. 10-Gigabit Ethemet slo funcionar a 10 Gbps full dplex, en este caso no existe compatibilidad con versiones anteriores de Ethemet ya que la capa fsica no es compatible. En cuanto a la capa fsica se disponen de dos tipos de interfaces dependientes del medio PMD (Physical Media Dependent):

. LAN PHY: interconecta switches dentro de la misma red de campus. W AN PHY: interfaces para entornos WAN que utilicen tecnologas de
transmisin sncrona. Lo normal en cuanto a estas interfaces es la interconexin con un cable directo o en el caso de utilizar enlaces WAN se suele utilizar 10-Gigabit Ethemet

www.FreeLibros.com

314

REDES CISCO. CCNP a Fondo

RA-MA

sobre DWDM, proporcionando as transparencia y utilizando interfaces LAN PHY. La ptica en este tipo de interfaces se realiza mediante transceptores XENPAK o los ms modernos y reducidos X2.

ESTNDARES DE MEDIOS
Las siguientes tablas describen los diferentes estndares y tecnologas de cableado: Tipo de Ethernet
10-Mbps Ethemet Fast Ethemet Gigabit Ethernet 10-Gigabit Ethemet

Tipo de medio
10BASE-X 100BASE-X 1000BASE-X 10GBASE-X

Estndar
IEEE 802.3 IEEE 802.3u IEEE 802.3z (Fibra) IEEE 802.3ab (UTP) IEEE 802.3ae

Tecnologa 10BASE-T 100BASE-TX 100BASE-T2 100BASE-T4

Tipo de cable EIA/TIA Categora 5 UTP EIA/TIA Categora 5 UTP EIA/TIA Categora 3, 4, 5 UTP EIA/TIA Categora 3, 4, 5 UTP Fibra Mltimodo (MMF); 62.5-micrones core, 125micrones (62.5/125) Fibra monomodo (SMF)

Pares 2 2 2 4 1 1 1 4

Longitud 100 m 100 m 100 m 100 m 400 m half dplex 2000 m full dplex 10 km 25 m 100 m

100BASE-FX

1000BASE-CX 1000BASE-T

Par trenzado blindado (STP) EIA/TIA Categora 5 UTP

www.FreeLibros.com

RA-MA

CAPTULO 10. OPERACIN DE CONMUTACIN

315

1000BASE-SX

MMF con 62.5-micrones; 850-nm lser MMF con 50-micrones; 850-nm lser MMF con 62.5- micrones; 1300-nm lser

1 1 1 1 1 1 1

275 m 550 m 550 m 550 m 10 km 70 km 100 km

1000BASELX/LH

SMF con 50- micrones; 1300-nm lser SMF con 9- micrones; 1300-nm lser SMF con 9- micrones; 1550-nmlser SMF con 8- micrones; 1550-nm lser

1000BASE-ZX

10GBASESR/SW (850 nm serial) 10GBASELR/LW (1310 nm serial) 10GBASEER/EW (1550 nm serial) 10GBASE-LX4 (1310 nm WWDM)

MMF: 50 micrones MMF: 62.5 micrones SMF: 9 micrones

11

66 m 33 m

10 km

SMF: 9 micrones MMF: 50 micrones MMF: 62.5 micrones SMF: 9 micrones

40 km

11 1

300 m 300 m 10 km

CONFIGURACIN DE PUERTOS DEL SWITCH


El proceso de configuracin de los puertos de un switch se inicia identificando el puerto o los puertos segn muestran los siguientes comandos:
Switch(config)# interface t y p e m odule/num ber Switch(config)# interface range t y p e m odule/num ber [ , m odule/number ...]

ty p e

www.FreeLibros.com

n
316 REDES CISCO. CCNP a Fondo________________________________________________________ RA-MA

La siguiente sintaxis muestra un ejemplo de configuracin de varios puertos a la vez:


Switch(config)# interface range fastethernet 0/5 , fastethernet 0/12 , fastethernet 0/14 , fastethernet 0/36

Es posible adems abreviar las configuraciones con el comando range configurando un rango de puertos continuos desde el primero hasta el ltimo:
Switch(config)#
number

interface

range

type

module/first-number

last-

Cuando en el proceso de configuracin intervienen siempre los mismos puertos puede definirse un grupo determinado que asocie dichos puertos. El primer paso en esta configuracin ser definir cules son los puertos que se asociarn y posteriormente nombrar el grupo con el comando range macro:
Switch(config)# define interface-range macro-name type module/number [,type module/ number ...] [type module/first-number last-number]

[...]
Switch(config)# interface range macro macro-name

El siguiente ejemplo configura un rango de puertos en un grupo llamado CCNP:


Switch(config)# define interface-range CCNP gig 2/1 , gig 2/3 2/5 , gig 3/1 , gig 3/10, gig 3/32 3/48 Switch(config)# interface range macro CCNP

Una vez accedido a la interfaz o interfaces que se deseen configurar se podr aadir una descripcin significativa del puerto. Esta descripcin slo tiene carcter administrativo y no influye en la manipulacin de las tramas, sin embargo presta un servicio de ayuda al administrador para la identificacin de los puertos:
switch(config-if)#description description-string

La velocidad del puerto y el mtodo de transmisin se configura con los siguientes comandos:
switch(config-if)#speed {10 | 100 | 1000} switch(config-if)#duplex {auto | full | half)

www.FreeLibros.com

RA-MA

CAPTULO 10. OPERACIN DE CONMUTACIN

317

Un ejemplo completo ser:


s w i t c h (config-if)#description P C s W i t c h ( c o n f ig-if)#speed 1 0 0 0 s w i t c h ( c o n f ig-if)#duplex

switch(config)#interface FastEthernet 0/14 de Servidores full

Causas de error en puertos Ethernet


Por defecto los switches Cisco son capaces de detectar los errores de forma autnoma, en caso de detectarse un error el switch dejar ese puerto en un estado llamado errdisable y el puerto quedar deshabilitado durante 300 segundos, para recuperar el puerto ser necesario deshabilitarlo con el comando shutdown y posteriormente lo contrario con un no shutdown.
switch#show interfaces gigabitethernet 5/13 status port
Gi5/13

ame

Status Van err-disabled 100

Dplex full

Speed Type 1000 lOOOBaseSX

Las causas posibles de error son las que se pueden ver con el comando
show errdisable recovery:
switch#show errdisable recovery
ErrDisable Reason Timer Status

udld bpduguard security-violatio channel-misconfig pagp-flap dtp-flap link-flap 12ptguard psecure-violation gbic-invalid dhcp-rate-limit mac-limit nicast-flood arp-inspection

Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled Enabled

Timer interval: 300 seconds

A partir del momento en el que se detecta una causa de error, el puerto quedar deshabilitado durante 300 segundos para que el puerto no caiga en el momento de detectar una condicin de error es posible utilizar el siguiente comando:
switch (config )#errdisable. recovery cause [all / cause-name]

www.FreeLibros.com

318

REDES CISCO. CCNP a Fondo

RA-MA

Para modificar el tiempo en el que el puerto queda deshabilitado se utiliza el siguiente comando:
switch(config)#errdisable recovery interval seconds

Donde segundos es un valor entre 30 y 86400 (24 horas).

VERIFICACIN DEL ESTADO DE UN PUERTO


Para verificar el estado de un puerto, su velocidad, contadores, paquetes transmitidos y recibidos puede utilizarse el comando siguiente:
Switch# show interfaces type module/number

El siguiente ejemplo muestra la configuracin del Puerto Fast Ethemet


0/ 22 :
Switch# show interfaces fastethernet 0/22 FastEthernetO/13 is up, line protocol is up Hardware is Fast Ethernet, address is OOdO.589c.3e8d (bia OOdO.589c.3e8d) MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive not set Auto-duplex (Half), Auto Speed (100), 100BASETX/FX ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:00:01, output hang never Last clearing of "show interface" counters never Queueing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 0 drops 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 81000 bits/sec, 49 packets/sec 500867 packets input, 89215950 bytes Received 12912 broadcasts, 374879 runts, 0 giants, 0 throttles 37487 9 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 0 multicast 0 input packets with dribble condition detected 89672388 packets output, 2205443729 bytes, 0 underruns 0 output errors, 0 collisions, 3 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out

Para verificar el estado de los puertos IP en general puede utilizarse el siguiente comando que se muestra en el ejemplo:

www.FreeLibros.com

RA-MA Switch#sh ip interface brief

CAPTULO 10. OPERACIN DE CONMUTACIN

319

interface Vlanl FastEthernet1/0/1 FastEthernet1/0/2 FastEthernet1/0/3 FastEthernet1/0/4 FastEthernet1/0/5 FastEthernet1/0/6

IP-Address 10.0.168.5 unassigned unassigned unassigned unassigned unassigned unassigned

OK? Method Status YES NVRAM YES unset YES unset YES unset YES unset YES unset YES unset up down up down up down up

Protocol up down up down up down up

FastEthernet3/0/4 5 FastEthernet3/0/4 6
Fas tEthernet3/0/4 7 Fas tEthernet3/0/4 8

unassigned unassigned unassigned unassigned unassigned unassigned unassigned unassigned

YES unset YES unset YES unset YES unset YES unset YES unset YES unset YES unset

up up up up down down up down

up up up up down down up down

GigabitEthernet3/0/1 GigabitEthernet3/0/2 GigabitEthernet3/0/3 GigabitEthernet3/0/4

www.FreeLibros.com

M = r r * r . . - * v-

www.FreeLibros.com

Captulo 11

REDES VIRTUALES
VLAN
Una red totalmente construida sobre dispositivos de capa 2 es una red llamada red plana. Este tipo de redes se componen de un nico dominio de difusin, es decir, los broadcast inundan toda la red, lo que hace que al aumentar el nmero de host aumente el nmero de broadcast disminuyendo el desempeo de la red. Sin embargo las redes conmutadas permiten eliminar las limitaciones impuestas por las redes planas dividiendo dicha red en varias redes virtuales (VLAN). Las VLAN (Virtual LAN) proveen seguridad, segmentacin, flexibilidad, permiten agrupar usuarios de un mismo dominio de broadcast con independencia de su ubicacin fsica en la red. Usando la tecnologa VLAN se pueden agrupar lgicamente puertos del switch y los usuarios conectados a ellos en grupos de trabajo con inters comn. Una VLAN por definicin es un dominio de difusin creado de forma lgica. Utilizando la electrnica y los medios existentes es posible asociar usuarios lgicamente con total independencia de su ubicacin fsica incluso a travs de una WAN. Las VLAN pueden existir en un slo switch o bien abarcar varios de ellos. La tecnologa de VLAN est pensada para la capa de acceso donde los host se agregan a una u otra VLAN de forma esttica o de forma dinmica.

www.FreeLibros.com

322

REDES CISCO. CCNP a Fondo

RA-MA

Las VLAN estticas son las que los puertos deben agregarse de forma manual. En este tipo de VLAN no es necesario ningn tipo de negociacin por parte del switch y toda la configuracin se realiza manualmente por el administrador quien es, adems, el encargado de asignar cada puerto a cada VLAN de forma manual. Una vez que el puerto del switch est asignado a una VLAN son los ASCI especficos del switch los que se encargan de mantener el trafico que entre por ese puerto dentro de la VLAN asociada. Las VLAN dinmicas son muy utilizadas y se basan en la MAC del dispositivo que se conecte a un puerto determinado, son utilizadas por ejemplo en el caso de utilizar IEEE 802. IX para proporcionar seguridad. Las VLAN dinmicas utilizan algn software de gestin como Cisco Works para su funcionalidad.

CONFIGURACIN DE VLAN ESTTICAS


Por defecto los puertos de un switch estn asociados a la VLAN 1 de tipo Ethemet y la MTU (Unidad Mxima de Transmisin) se limita a 1500 bytes. Sin embargo es posible utilizar VLAN con otra numeracin, en concreto desde el 1 hasta el 1005, donde desde el 1002 hasta el 1005 estn reservadas para funciones de Token Ring y FDDI la VLAN 1 tambin est reservada como VLAN por defecto o administracin. Sin embargo los switches de Cisco mayoritariamente son capaces de soportar la versin 3 de VTP (VLAN Trunking Protocol), lo cual implica que pueden utilizar las VLAN del rango 1-4094, de esta forma se establece la compatibilidad con el estndar IEEE 802.1Q. Para poder utilizar el rango extendido

www.FreeLibros.com

RA-MA

CAPTULO 11. REDES VIRTUALES

323

es imprescindible que el comando vtp mode transparent est habilitado en con figuracin global. El proceso de configuracin de una VLAN se inicia crendola y posteriormente nombrndola:
Switch(config)# van vlan-num Switch(config-vlan)# ame vlan-naine

Si no se configura el nombre a la VLAN, sta utilizar un nombre compuesto por la palabra VLAN seguida del nmero de VLAN, para facilitar la administracin es recomendable definir el nombre en la configuracin. Tambin es posible en algunos de los switches de Cisco crear la VLAN automticamente al agregar un puerto a una nueva VLAN, a pesar de esta funcionalidad lo mejor es crear la VLAN en cualquier tipo de switch Cisco. Para eliminar una VLAN del switch se utiliza el comando:
switch(config)#no van vlan-num

o desde la memoria flash eliminando el archivo vlan.dat. Una vez creada la VLAN es necesario asignar a sta los puertos necesarios siguiendo el siguiente proceso:
Switch(config)# interface type module/number Switch(config-if)# switchport Switch(config-if)# switchport mode access Switch(config-if)# switchport access van vlan-num

En algunos casos la lnea de comandos switchport mode access puede suprimirse. El comando switchport cuando no lleva argumentos lo que hace es indicarle al switch que se trata de un puerto de capa 2, en los. switch multicapa de Cisco, por defecto todos los puertos son de nivel 3. Con el comando switchport mode access se le indica que se trata de un puerto de acceso donde se conectarn los host y no otros switches. Y con el comando switchport access van se le indica que VLAN es la que est asociada a la interfaz. Los dispositivos o host que se conecten a un puerto de acceso no conocen el nmero de la VLAN, el trfico es etiquetado a la VLAN una vez llegue al puerto del switch correspondiente.

www.FreeLibros.com

324

REDES CISCO. CCNP a Fondo

RA-MA

Una vez configurados los puertos y asociados cada uno a su VLAN se puede comprobar la configuracin con el comando show van como se puede ver en el siguiente ejemplo:
Switch# show VLAN ame 1 default 2 Recursos 5 Ventas active van Status active Ports Gil/1, Gil/2, G3/20, G4/20 G4/2, G4/3, G4/4, G4/5, G4/6, G4/7, G2/5, G2/6, G2/7, G2/8,G2/9, G2/10, G2/11, G2/12

DISEO DE VLAN
Hay consideraciones de diseo que aunque puedan parecer obvias es importante recordar. Se recomienda una VLAN por cada subred IP, aunque es posible utilizar varios rangos en una misma VLAN, no es nada recomendable. Otro factor de diseo importante es no permitir que las VLAN se propaguen ms all de la capa de distribucin, es decir, que no estn presentes en el core siempre que sea posible de tal de manera que el trfico de broadcast permanezca lo ms alejado del mismo, pero esto no es siempre viable, para ello hay dos modelos a seguir: VLAN extremo a extremo, este tipo de VLAN est disponible en toda la red y proporciona una flexibilidad absoluta. Utilizando VLAN extremo a extremo es posible conectar un dispositivo a este tipo de VLAN desde cualquier punto de la red, por tanto la VLAN tiene que estar disponible en cualquier switch de acceso de la red. En una red de tamao grande no es una buena prctica este tipo de VLAN ya que su trfico termina atravesando el bloque de core al conectar diversos mdulos de conmutacin. VLAN locales, en redes donde el modelo 20/80 sea l ms utilizado, es decir donde el 20% del trfico se queda en el segmento y el 80% sube al core, este tipo de implementacin es la ideal debido a que la mayora del trfico de la VLAN no tiene como destino la misma VLAN. Este tipo de implementacin necesita equipos de nivel 3 que sean capaces de enrutar el trfico entre las diferentes VLAN que compongan la red.

www.FreeLibros.com

r
CAPTULO 11. REDES VIRTUALES 325

enlaces tro ncales


Los troncales o trunk son enlaces capaces de transportar el trfico de ms de una VLAN y se suele utilizar entre switches para transportar entre ellos las VLAN de acceso de los diferentes switches separando de forma lgica el trfico de cada VLAN, pero utilizando un nico enlace fsico. Ante la imposibilidad de poder dedicar un enlace a cada VLAN independientemente la solucin para poder transportar todo el trfico por un nico enlace fsico es a travs de un trunk. En muchos casos es necesario agrupar usuarios de la misma VLAN que se encuentran ubicados en diferentes zonas; para conseguir esta comunicacin los switches utilizan un enlace troncal. A medida que las tramas salen del switch son etiquetadas para indicar a qu VLAN corresponden, esta etiqueta es retirada una vez que entra en el switch de destino para ser enviada al puerto de VLAN correspondiente. Cisco permite utilizar trunk en puertos Fast Ethemet, Gigabit Ethemet y agregaciones Fast EtherChannel y Gigabit EtherChannel. En un trunk es imprescindible diferenciar el trfico de cada una de las VLAN, de tal manera que se le asigna un identificador a cada trama entrante llamado VLAN-ID. Para poder identificar el trfico en un enlace troncal existen dos posibilidades de etiquetado: ISL (Inter-Switch Link protocol) . IEEE 802.1Q
E n la c e T r o n c a l

www.FreeLibros.com

326

REDES CISCO. CCNP a Fondo

RA-MA

ISL
ISL (Inter Switch Link) es un protocolo propietario de Cisco que est cayendo en desuso en el que se le aade a la trama de cada VLAN 26 bytes de cabecera y 4 bytes de cola. En realidad ISL encapsula la trama origen, que se suma al etiquetado que se aplica en la trama ms el etiquetado del propio ISL; se podra considerar que es de un doble encapsulado. En ISL en la cabecera se define el VLAN-ID y en la cola un CRC. Aunque ISL es un protocolo propietario de Cisco no todos los switches Cisco lo soportan, por lo tanto se recomienda no utilizarlo.
E n la c e T ro n c a l ISL

Cabecera ISL 26 Bytes

CRC 4 Bytes

IEEE 802.1Q
El protocolo IEEE 802.1Q es el estndar y es compatible con otros fabricantes, es un trunk en el que podran interoperar un switch Cisco con otro de otro fabricante. El protocolo IEEE 802.1Q adems introduce el concepto de VLAN Nativa, que comprendera todo el trfico que entra en el trunk sin ser etiquetado. El funcionamiento del IEEE 802.1Q se basa en un etiquetado simple, ya que no se aade cabecera ni cola nueva. En IEEE 802.1Q simplemente se aade un campo de 4 bytes en la trama justo despus del campo de direccin origen. Los dos primeros bytes del campo de IEEE 802.1Q son el TPID (Tag Protocol Identifier) y siempre tendr un valor de 0x8100, indicando que se trata de una trama 802.1Q. Los otros dos bytes se denominan TC I (Tag Control Information), los cuales contienen 3 bits de prioridad, adems del bit de formato cannico que indica si la direccin MAC es Ethemet o Token Ring; los 12 bits restantes son el VLAN-ID. Si se tiene en cuenta la sobrecarga de identificar las VLAN hay que tener presente que para el caso de ISL se aaden 30 bytes a cada trama, mientras que IEEE 802.1Q slo aade 4, esto implica que en el caso de utilizar ISL la trama puede superar los 1518 bytes que es el lmite de Ethemet.

www.FreeLibros.com

RA-MA

CAPTULO 11. REDES VIRTUALES

327

En el caso de 802.1Q los switches pueden cumplir el estndar IEEE 8Q2.3ac el cual extiende el tamao de las tramas hasta 1522 bytes sin tener que utilizar giants. El protocolo propietario de Cisco DTP (Dynamic Trunking Protocol) le permite a un router Cisco negociar de manera automtica si el trunk es 802.1Q o ISL.
E n la c e T ro n c a l 8 0 2 . 1Q

TRAM A

Direccin Destino Direccin Origen


E tiq u e ta 8 0 2 . 1Q

FCS

4 Bytes

CONFIGURACIN DE TRONCALES
Por defecto los puertos de capa 2 de los switches son puertos de acceso, para que stos funcionen como puertos troncales hay que configurarlos segn las siguientes sintaxis:
Switch(config)# interface type mod/port Switch(config-if)# switchport Switch(config-if)# switchport trunk encapsulation {isl | dotlq | negotiate} Switch(config-if)# switchport trunk native van vlan-id Switch(config-if)# switchport trunk allowed v a n {vlan-list | all | {add | except | remove} vlan-list} Switch(config-if)# switchport mode {trunk | dynamic {desirable | auto}}

En la configuracin de los troncales intervienen varios parmetros, en la encapsulacin existen tres posibilidades de configuracin: Isl: el trunk se formar utilizando ISL. dotlq: el trunk se formar utilizando IEEE 802.1Q. negotiate: el trunk se formar utilizando el protocolo DTP de Cisco.

www.FreeLibros.com

328

REDES CISCO. CCNP a Fondo

RA-MA

El comando switchport trunk native van slo se utiliza con la encapsulacin dotlq e indica que VLAN ser la VLAN de administracin o nativa, por lo tanto no llevar etiqueta alguna. El comando switchport trunk allowed van se utiliza para aadir o borrar VLAN del trunk, aunque la opcin except lo que har ser permitir todas excepto la que se indique. Es importante tener en cuenta que en los casos donde exista demasiado trfico el trunk se puede aplicar no slo en una interfaz individual sino en una agregacin Fast EtherChannel o Gigabit EtherChannel ampliando as el ancho de banda del enlace. Para ver el estado de una interfaz troncal se utiliza el comando show interface type mod/port trunk, la sintaxis que sigue muestra un ejemplo:
Switch# show Port Mode G2/1 on Port G2/1 Port G2/1 Port G2/1 interface gigabitethernet 0/2 trunk Encapsulation Status Native van 802.lq trunking 1 Vlans allowed on trunk 1-4094 Vlans allowed and active inmanagementdomain 1-2,526,539,998,1002-1005 Vlans in spanning tree forwarding state and not pruned 1-2,526,539,998,1002-1005

Ejemplo de configuracin de un troncal


En el siguiente ejemplo dos switches estn conectados troncalmente a travs de sus interfaces gigabitethernet 0/1. Aunque existen varias VLAN configuradas slo transportarn por el troncal las VLAN 100 hasta la 105. La VLAN 100 es la nativa y se utiliza la encapsulacin 802.lq. Ms abajo se muestran algunos comandos show aplicados al ejemplo, se observan en ellos las interfaces troncales y las que no estn activas entre otros conceptos:
Switch(config)# interface gigabitethernet 0/1 Switch(config-if)# switchport trunk encapsulation dotlq Switch(config-if)# switchport trunk native van 100 Switch(config-if)# switchport trunk allowed van 100-105 Switch(config-if)# switchport mode dynamic desirable Switch# show interface gigabitethernet 0/1 trunk Port Mode Encapsulation S tatus Native van GiO/1 desirable 802.lq not-trunking 100 Port Vlans allowed on trunk

www.FreeLibros.com

RA-MA

CAPTULO 11. REDES VIRTUALES

329

GiO/1 port GiO/1 port GiO/1 Switch# show port ame Gi0/1 q Iq /2 GiO/1

10 Vlans allowed and active in management domain 100 Vlans in spanning tree forwarding state and not pruned none interface status Status Van Dplex Speed Type notconnect 1 auto 1000 lOOOBaseSX notconnect 1 auto 1000 lOOOBaseSX connected 100 full 1000 lOOOBaseSX

RESOLUCIN DE FALLOS EN LAS VLAN


Una VLAN puede ser slo un segmento de una red o puede atravesar varios switches, por lo tanto si no existe comunicacin de extremo a extremo, y suponiendo que el direccionamiento IP es correcto, ser necesario verificar las configuraciones de las VLAN, los puertos y las conexiones troncales. Los comndos show que sirven para este seguimiento son: show van id vlan-id show interface type mod/num switchport show interface [type mod/num\ trunk
Switch# show van id 5 VLAN ame Status Ports

5 Recursos

active

VLAN Type SAID Trans2

G2/1, G2/2, G2/3, G2/4 G4/2, G4/3, G4/4, G4/5 G4/6, G4/7, G4/8, G4/9 G4/10, G4/11, G4/12 MTU Parent RingNo BridgeNo Stp BrdgMode Trans

5 enet 100002 1500Primary Secondary Type

Ports

Switch# show interface fastethernet 0/2 switchport ame: FaO/2 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: static access Administrative Trunking Encapsulation: dotlq Operational Trunking Encapsulation: native Negotiation of Trunking: On

www.FreeLibros.com

330

REDES CISCO. CCNP a Fondo

RA-MA

Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default)


Administrative private-vlan host-association: none Administrative private-vlan mapping: none

Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001
Protected: false

Unknown unicast blocked: disabled Unknown multicast blocked: disabled Voice VLAN: none (Inactive) Appliance trust: none
Switch# show interface fastethernet 0/2 trunk

Port FaO/2 Port FaO/2 Port FaO/2 Port FaO/2

Mode Encapsulation Status Native van auto 802.lq not-trunking 1 Vlans allowed on trunk 1 Vlans allowed and active in management domain 1 Vlans in spanning tree forwarding state and not pruned 1

www.FreeLibros.com

Captulo 12

VTP
VLAN TRUNKING PROTOCOL
La configuracin de VLAN en una red de entorno pequeo puede ser fcilmente administrable, mientras que en entornos grandes la administracin puede resultar muy engorrosa y complicada debido a que se tienen que configurar todas las VLAN en todos los switches y puede ser fcil que alguna VLAN no se configure en alguno de los switches, sobre todo en el diseo de VLAN de extremo a extremo. En el caso de una red con un tamao considerable es importante mantener una consistencia en las VLAN que se van creando, para esto resulta muy recomendable disponer de algn mecanismo que permita tener todos los switches sincronizados en cuanto a las VLAN de la red. VTP (VLAN Trunking Protocol) proporciona un medio sencillo de mantener una configuracin de VLAN coherente a travs de toda la red conmutada. VTP permite soluciones de red conmutada fcilmente escalable a otras dimensiones, reduciendo la necesidad de configuracin manual de la red. Es un protocolo propietario de Cisco de capa 2 que permite intercambiar informacin sobre VLAN entre trunk de forma que los switches de la red tengan la base de datos de VLAN sincronizadas en todo momento desde un punto central de la red. En el caso de no utilizar switches Cisco o de querer interconectar switches Cisco con otros de otro fabricante no se podra utilizar VTP debiendo utilizar algn protocolo abierto como GVRP (GARP VLAN Registration Protocol). GARP y GVRP estn definidos en los estndares IEEE 802.ID y 802.1Q (clusula 11)

www.FreeLibros.com

332

REDES CISCO. CCNP a Fondo

RA-MA

respectivamente y tienen funcionalidades muy similares al VTP pero como protocolos abiertos. VTP es un protocolo de mensajera de capa 2 que mantiene la misma relacin de la configuracin VLAN a travs de un dominio de administracin comn, gestionando las adiciones, supresiones y cambios de nombre de las VLAN a travs de las redes. Existen varias versiones de VTP en el caso particular de nuestro enfoque no es fundamental especificar las diferencias entre ellas.

Dominios de VTP
VTP utiliza dominios para agrupar a los switches que comparten la misma informacin de VLAN. Varios switches interconectados comparten un mismo entorno VTP y cada switch se configura para residir en ese determinado dominio VTP. Dentro de un dominio de VTP se intercambia la siguiente informacin gracias a los anuncios de VTP: Nombre del Dominio Versin de VTP Lista de VLAN Parmetros especficos de cada VLAN

Modos de VTP
Los switches dentro de un dominio de VTP pueden funcionar de tres formas diferentes: Modo servidor: los servidores son los encargados de crear y mantener la informacin de todas las VLAN en la red y son los encargados de pasar esta informacin al resto de switches. Por defecto los switches Cisco estn en modo servidor. Modo cliente: los switches en modo cliente no pueden hacer ninguna modificacin en las VLAN y mantienen la informacin de VLAN gracias a los mensajes que son enviados desde los switches servidores.

www.FreeLibros.com

RA-MA

CAPTULO 12. VTP

333

Modo transparente: los switches en modo transparente no participan en el proceso de VTP pero reenvan los mensajes de VTP de forma diferente dependiendo de la versin de VTP. Si es VTP versin 1 slo se reenvan los mensajes de VTP que tengan como versin 1 y que correspondan al nombre de dominio que tengan configurado. En VTP versin 2 sin embargo los switches transparentes son capaces de reenviar los mensajes VTP aunque no correspondan ni a la versin que tiene el switch configurado ni al dominio en el que est incluido este switch en modo transparente.

Dominio VTP

Anuncios de VTP
Los switches que utilizan VTP versin 1 o versin 2 anuncian las VLAN (slo desde la 1 hasta la 1005), nmeros de versin de configuracin y parmetros de cada VLAN por los trunk para notificar esta informacin al resto de los switches de dominio mediante mensajes de multicast. La versin 3 de VTP permite la utilizacin de VLAN en el rango 1-4096, lo que hara a VTP compatible con el estndar IEEE 802.1Q, pero de momento slo est disponible para switches Cisco funcionando con CatOS. Es importante comentar que el nmero de versin de configuracin empieza siempre en 0 y que cada vez que se produce un cambio el nmero de versin de configuracin se incrementa en 1 y el mensaje con nmero de versin de configuracin ms alto se considera el ltimo y por tanto el que hay que

www.FreeLibros.com

334

REDES CISCO. CCNP a Fondo

RA-MA

sincronizar. Tambin es importante saber que por defecto los anuncios de VTP se transmiten en texto plano y sin contrasea, es decir, sin encriptacin, con lo que no se realiza un intercambio de informacin seguro realizando un intercambio de contrasea. Dicho esto, surge un problema bastante serio. Teniendo en cuenta que los switches Cisco por defecto estn en modo servidor y que los clientes VTP almacenan la informacin que tenga el nmero de versin de configuracin ms alto, es posible que se utilice un switch incorporado de algn otro sitio donde su nmero de versin de configuracin sea ms alto. Al estar este ltimo por defecto en modo servidor, existe la posibilidad de que este nuevo switch incorporado en la red sobrescriba la configuracin de todos los switches de la red borrando y/o creando VLAN y por tanto modificando la configuracin y dando lugar a fallos en la red. Por su puesto si ese switch se introdujera en modo cliente y tuviera un nmero de versin de configuracin ms alto que el servidor, ignorara las actualizaciones y esto significara que el switch no actualizara su configuracin. Es sumamente importante antes de incorporar un switch nuevo en la red asegurarse de que el nmero de versin de la configuracin se establece a 0, pero como no existe ningn comando que haga esto directamente habr que hacerlo de forma indirecta con cualquiera de estas dos formas: Cambiando el modo del switch a transparente y posteriormente otra vez a servidor. Cambiando el nombre del dominio de VTP a uno cualquiera que no se utilice y volviendo luego a configurar el dominio de VTP correcto.

Una vez asumidas estas precauciones se podr proceder a instalar el nuevo switch. Los anuncios de VTP se generan de tres formas diferentes: Summary Advertisements: estos anuncios se generan por el servidor cada 300 segundos o cada vez que se ha realizado un cambio en la base de datos de VLAN. Subsets Advertisements: estos anuncios se crean cada vez que se genera un cambio en alguna VLAN. Advertisements Requested from Clients: este tipo de anuncios se enva cada vez que un cliente necesita que se le actualice la configuracin, por ejemplo despus de un reset del equipo.

www.FreeLibros.com

RA-MA

CAPTULO 12. VTP

335

Los switches que operan en modo servidor no necesitan que se les pase la configuracin despus de un reset ya que guardan la informacin de VTP y de las VLAN en el fichero vlan.dat en la Flash, con lo que los resets no implican prdida alguna de informacin.

CONFIGURACIN DE VTP
La configuracin de VTP en los switches Cisco con IOS es bastante sencilla ya que lo nico que hay que configurar es el dominio de VTP y el modo, opcionalmente la versin, contrasea, etc. Por defecto la configuracin que se utilizar al configurar VTP es la versin 1, aunque la versin 2 tiene las siguientes ventajas sobre la versin 1: En los switches en modo transparente la versin 2 permitir que se reenven los anuncios recibidos de VTP independientemente de su versin o dominio. La versin 2 realiza una comprobacin de consistencia al introducir los comandos por CLI o mediante SNMP, pero no realizara esta comprobacin en los anuncios recibidos desde otros switches. Soporte para Token Ring

Configurar la versin de VTP es tan simple como introducir este comando en el modo de configuracin global:
switch(config)#vtp versin {1 | 2}

Para configurar el modo y la contrasea en las actualizaciones VTP utilizaremos los siguientes comandos:
switch(config)#vtp mode { server | transparent | client} switch(config)#vtp password password

Un ejemplo de configuracin podra ser el siguiente:


switch(config)#vtp versin 2 switch(config)#vtp mode server switch(config)#vtp password CcNp

www.FreeLibros.com

336

REDES CISCO. CCNP a Fondo

RA-MA

VTP Pruning
El VTP Pruning o recorte es un mtodo que impide que las actualizaciones de VTP se reenven por todos los puertos de trunk, de esta forma se limita la propagacin de VTP a una porcin de la red bien definida, reduciendo as el proceso de informacin y el trfico innecesario por los enlaces troncales. VTP utiliza mensajes multicast y stos al igual que los mensajes de broadcast por defecto se reenvan por todos los puertos de la VLAN excepto por el que se ha recibido. La configuracin de VTP Pruning tampoco resulta ser demasiado engorrosa, por defecto est deshabilitado y ser necesario entonces habilitarlo de la siguiente forma:
switch(config)#vtp pruning switch(config-if)#switchport trunk pruning van { add | except | none | remove } llsta-de-vlans

Como se puede apreciar se utiliza la misma terminologa que en los comandos de configuracin de trunk, por lo que no es necesario explicar la terminologa ya que se ha hecho en prrafos anteriores.

RESOLUCIN DE FALLOS EN VTP


VTP es un protocolo en apariencia sencillo de configurar, pero puede que resulte complicado para resolver fallos en grandes redes teniendo en cuenta los parmetros globales entre switches, por eso es importante reparar la siguiente lista en caso de problemas: Si el switch est en modo transparente, comprobar la versin que se est utilizando, hay que tener en cuenta que si no reenva anuncios de VTP puede ser por estar utilizando la versin 1, que es la que viene por defecto.

Comprobar que no haya ms de un switch en modo servidor. Comprobar que todos los enlaces troncales estn configurados como trunk y no como puertos de acceso. Comprobar que el nombre de dominio VTP sea el mismo en todos los switches. Comprobar que la contrasea sea la misma. Comprobar la versin en todos los switches para que coincida.

www.FreeLibros.com

RA-MA

CAPTULO 12. VTP

337

Los siguientes comandos son los que brindan soporte para resolver fallos de VTP: show vtp status show vtp counters show van brief show interfaces switchport module module number
Switch# show vtp status VTP Versin C o n f iguration Revisin Mximum VLANs supported locally Number of existing VLANs VTP Operating Mode VTP Domain ame VTP Pruning Mode VTP V2 Mode VTP Traps Generation MD5 digest OxOE

2 250 1005 33 Server Lab_Network Enabled Enabled Disabled 0xE6 0x F 8 0x3E OxDD 0xA4 0xF5 0xC2

Configuration last modified by 172.20.52.18 at 9-22-99 11:18:20 Local updater ID is 172.20.52.18 on interface Vil (lowest numbered V LAN interface found)

Switch# Switch# show vtp counters VTP statistics: Summary advertisements received : 1 Subset advertisements received : 1 Request advertisements received : 0 Summary advertisements transmitted : 31 Subset advertisements transmitted : 1 Request advertisements transmitted : 0 Number of config revisin errors : 0 Number of config digest errors : 0 Number of VI summary errors : 0 VTP pruning statistics: Trunk Join Transmitted Join Received eived from capable device Fa5/9 Switch# Switch# show van brief VLAN ame 1555 1564
0

Summary advts rec non-pruning-

Status

Ports

www.FreeLibros.com

338

REDES CISCO. CCNP a Fondo

RA-MA

1 2 3 4 5 10

default VLAN0002 VLAN 0003 VLAN0004 VLAN0005 VLAN0010

active active active active active active

Fa5/9 Fa5/9 Fa5/9 Fa5/9 Fa5/9 Fa5/9

Switch# show interfaces switchport module 1 ame:Gil/I Switchport:Enabled Administrative Mode:dynamic auto Operational Mode:down Administrative Trunking Encapsulation:negotiate Negotiation of Trunking:0n Access Mode VLAN:1 (default) Trunking Native Mode VLAN:1 (default) Administrative private-vlan host-association:none Administrative private-vlan mapping:none Operational private-vlan:none Trunking VLANs Enabled:ALL Pruning VLANs Enabled:2-1001

www.FreeLibros.com

Captulo 13

ETHERCHANNEL
a g r e g a c i n d e p u e r t o s
Los dispositivos Cisco permiten realizar agregacin de enlaces con la finalidad de aumentar el ancho de banda disponible a travs de la tecnologa EtherChannel. La agregacin de puertos en Cisco se puede realizar con interfaces Fast Ethemet, Gigabit Ethemet o 10 Gigabit Ethernet. Con la tecnologa EtherChannel es posible aadir hasta 8 enlaces de forma que se comporten como si slo fueran uno, eliminando la posibilidad de formar bucles de capa 2 debido a que el comportamiento de estos enlaces es el de un nico enlace. La tecnologa EtherChannel permite una distribucin que no llega a ser un balanceo de carga perfecto por los mtodos que utiliza, pero permite la correcta distribucin del trfico, adems si uno de los enlaces que componen la agregacin fallara, el trfico se distribuira entre los restantes sin perder la conectividad. Sin embargo no es posible agregar enlaces as sin ms, es necesario que todos los enlaces que componen el EtherChannel tengan la misma configuracin en cuanto a velocidad, dplex, VLAN que transportan, VLAN nativa y en caso de ser necesario idntica configuracin de Spanning Tree.

Distribucin de trfico
El trfico es distribuido a travs de los enlaces del EtherChannel de manera determinstica. No por ello la carga ya a ser distribuida equitativamente, esto

www.FreeLibros.com

340

REDES CISCO. CCNP a Fondo

RA-MA

depender del algoritmo de encriptacin empleado. El algoritmo puede usar la direccin IP de origen, de destino, etc. Si solamente una IP o nmero de puerto son computados en el hash (combinacin de valores), el switch reenva cada trama utilizando uno o ms bits de bajo orden del valor del hash como ndice dentro de los enlaces que forman el EthemChannel. Si dos direcciones IP o nmeros de puerto son computados en el hash, el switch lleva a cabo una operacin XOR (OR exclusiva) en uno o ms de los bits de bajo orden de la direccin IP o puerto TCP/UDP como ndice dentro de los enlaces que forman el EthemChannel. ltimo bit del cuarto octeto de la direccin IP
Direccin 1: xxxxxxxO Direccin 2: xxxxxxxO Direccin 1: xxxxxxxO Direccin 2: xxxxxxxl Direccin 1: xxxxxxxl Direccin 2: xxxxxxxO Direccin 1: xxxxxxxl Direccin 2: xxxxxxxl

Operacin XOR entre dos miembros EtherChannel


xxxxxxxO: Utilizar: 0

xxxxxxxl: Utilizar: 1

xxxxxxxl: Utilizar: 1

xxxxxxxO: Utilizar: 0

Balanceo de carga
El siguiente comando se utiliza para configurar la manera en que las tramas sern distribuidas en el EthemChannel:
Switch(config)#port-channel load-balance method

La siguiente lista describe las posibles opciones del parmetro method: srp-ip: direccin IP de origen

dst-ip: direccin IP de destino src-dst-ip: direcciones IP de origen y destino src-mac: direccin MAC de origen dst-mac: direccin MAC de destino

www.FreeLibros.com

RA-MA

CAPTULO 13. ETHERCHANNEL

341

src-dst-mac: direcciones MAC de origen y destino src-port: puerto (capa 4) de origen dst-port: puerto de destino src-dst-port: puertos de origen y destino

La configuracin por defecto es utilizar IP origen XOR IP destino, lo cual equivale al mtodo src-dst-ip. Por defecto para los Catalyst 2970 y 3560 es srcmac para switching de capa 2 y src-dst-ip para capa 3. Hay que prestar especial atencin en el caso de que se est utilizando un router para la configuracin del EthemChannel, debido a que los routers utilizan la bumed-in MAC en las tramas Ethemet incluso cuando envadatos a y desde diferentes direcciones IP. Esto quiere decir que la MAC de destino ser siempre la misma. Se debera elegir el mtodo de balanceo de carga que permita una mayor distribucin de datos entre los enlaces, por ejemplo, si la mayora del trfico es IP lo que ms sentido tiene es hacer balanceo de carga acorde a direcciones IP o nmeros de puerto TCP/UDP. En caso de que el switch se encontrase con trfico no IP pasara al siguiente mtodo que es distribuir las tramas acorde a la direccin MAC. Los switch proporcionan proteccin hacia los bucles dentro de un EthemChannel. Cuando se recibe un broadcast o multicast en uno de los puertos del EthemChannel ste no se vuelve a reenviar en el resto de los miembros.

P R O T O C O L O S D E N E G O C IA C I N E T H E R C H A N N E L
Actualmente existen dos opciones para utilizar como protocolos de negociacin en EthemChannel: PAgP, propietaria de Cisco. LACP, como solucin abierta.

PA gP
PAgP (Port Aggregation Protocol) es un protocolo propietario de Cisco. Los paquetes PAgP son intercambiados entre switch a travs de los enlaces

www.FreeLibros.com

342

REDES CISCO. CCNP a Fondo

RA-M a

configurados para ello. Los vecinos son identificados y sus capacidades comparadas con las capacidades locales. Para que se forme el EthemChannel los dos puertos han de estar configurados de manera idntica. Es mejor siempre realizar cualquier cambio sobre la interfaz EthemChannel, de esta manera el cambio afectar a todos los miembros asegurndose as que no haya conflictos de configuracin. Existen dos modos de configurar PAgP. Modo activo, desirable, en el cual el switch intentar formar un EthemChannel de manera activa y modo pasivo; auto, en el que el switch responder a peticiones para formar el EthemChannel.

LACP
LACP (Link ggregation Control Protocol) es la opcin abierta y viene definida en el estndar 802.3ad, tambin conocida como IEEE 802.3 Clusula 43 "Link Aggregation". El funcionamiento es bastante parecido al de PAgP, pero en el caso de LACP se asignan roles a cada uno de los extremos basndose en la prioridad del sistema, que se conforma con 2 bytes de prioridad ms 6 de MAC. Los puertos son seleccionados y activados acorde al valor port priority (2 bytes de prioridad seguido de 2 bytes de nmero de puerto), el valor ms bajo indica mayor prioridad. Se pueden definir hasta 16 enlaces por cada EthemChannel. Existen dos modos de configurar LACP. Modo activo (active), en el cual el switch intentar formar un EthemChannel de manera activa, y modo pasivo (passive), en el que el switch responder a peticiones de formar el EthemChannel.

C O N F IG U R A C I N E T H E R C H A N N E L
EtherChannel puede configurarse de forma manual o dinmicamente utilizando los protocolos de negociacin LACP o PAgP, por lo tanto la configuracin depender de la opcin ms adecuada que se haya elegido en cada caso. El modo on es un modo de configuracin en el cual se establece toda la configuracin del puerto de forma manual, no existe ningn tipo de negociacin entre los puertos para establecer un grupo. En este tipo de configuracin es necesario que ambos extremos estn en modo on.

www.FreeLibros.com

RA-MA

CAPTULO 13. ETHERCHANNEL

343

S w i t c h (config-if)#channel-group

gwitch(config)#interface type mod/num number mode on

Configuracin PAgP
Para la configuracin de EtherChannel la creacin del PortChannel se realizar automticamente a partir de la configuracin del ChannelGroup, llevando asociada la misma numeracin. Los comandos necesarios para dicha configuracin son los siguientes:
S w i t c h (c o n f i g )#interface type mod/num S w i t c h (c o n f ig-if )#channel-protocol pagp
Switch

(config-if)#channel-group number mode {on | {auto | desirable} [non-silent]}

El comando channel-protocol puede no estar disponible en algunos modelos antiguos en los que solamente existe el modo pagp. La interfaz EthemChannel es una interfaz lgica que agrupar a todos los enlaces miembros del EthemChannel y puede tomar un valor de entre 1 y 64. Cada interfaz que quiera ser miembro debe de ser asignada a l. Por defecto PAgP opera en un sub modo silent tanto en modo desirable como en modo auto, permitiendo formar el EthemChannel incluso si no se reciben paquetes PAgP del otro extremo. El porqu de este comportamiento es simple, no siempre se puede asumir que el otro extremo ser otro dispositivo Cisco, por ejemplo, si en lugar del switch existe un servidor de archivos, ser capaz de formar el EthemChannel. Si se conoce de antemano que el dispositivo conectado ser Cisco por lo que habr una comunicacin de paquetes PAgP es recomendable utilizar el parmetro non-silent. La siguiente sintaxis es un ejemplo de configuracin':
Switch(config)#port-channel load-balance src-dst-port Switch(config)#interface range gig 3/1 4 Switch(config-if)#channel-protocol pagp Switch(config-if)#channel-group 1 mode desirable non-silent

www.FreeLibros.com

344

REDES CISCO. CCNP a Fondo

RA-MA

Configuracin LACP
La configuracin de LACP es muy similar a PAgP para lo cual se utilizan los siguientes comandos:
Switch(c onfig )#lacp system-priority priority Swit ch(conf ig)#interface type mod/num Switch (config-if )#channel-protocol lacp Switch(config-if )#channel-group number mode {on | passive Switch(config-if )#lacp port-priority priority

| active}

El primer paso es asignar la prioridad (entre 1 y 65535 donde 32768 es la de por defecto) para decidir quin ser el que inicie la creacin del EthemChannel. En caso de empate en las prioridades gana el que tenga la MAC ms baja. Cada interfaz ha de estar asignada al mismo nmero de EthemChannel (entre 1 y 16) y configurada como active o pasive. Es posible configurar ms interfaces de las permitidas en el EthemChannel para que entren en funcionamiento en caso de que falle alguna de las activas. Utilizando el comando lacp port-priority se asignan prioridades (entre 1 y 65535 donde 32768 es la de por defecto) teniendo en cuenta que el valor ms bajo es la mayor prioridad. La siguiente sintaxis es un ejemplo de configuracin:
Switch(config)#lacp system-priority 100 Switch(config)#interface range gig 2/1 4 , gig 3/1 4 Switch(config-if)#channel-protocol lacp Switch(config-if)#channel-group 1 mode active Switch(config-if)#lacp port-priority 100 Switch(config-if)#exit Switch(config)#interface range gig 2/5 8 , gig 3/5 8 Switch(config-if)#channel-protocol lacp Switch(config-if)#channel-group 1 mode active

RESOLUCIN DE FALLOS EN ETHERCHANNEL


Hay varios puntos clave a tener en cuenta: Si se utiliza el modo on no se enviarn paquetes LACP o PAgP por lo tanto ambos extremos han de estar en modo on.

www.FreeLibros.com

r A-MA

CAPTULO 13. ETHERCHANNEL

345

Los modos active (LACP) o desirable (PAgP) preguntarn activamente al otro extremo. Los modos passive (LACP) o auto (PAgP) participarn en el EthemChannel pero slo si reciben primero paquetes desde el otro extremo. PAgP modo desirable y auto por defecto contienen el parmetro silent por lo que podrn negociar incluso si no escuchan paquetes desde el otro extremo.

Para la verificacin del EtherChannel se pueden utilizar los siguientes comandos:

show etherchannel summary show etherchannel port show etherchannel summary show etherchannel port show etherchannel port-channel show etherchannel detail show etherchannel load-balance show etherchannel port-channel show {pagp | lacp} neighbor
show lacp sys-id

www.FreeLibros.com

346

REDES CISCO. CCNP a Fondo

r a -m a

Switch# show etherchannel summary Flags: D - down P - in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 u - unsuitable for bundling U - in use f - failed to allocate aggregator d - default port Number of channel-groups in use: 1 Number of aggregators: 1 Group Port-channel Protocol Ports

-------- +------------------- +---------------- +--------------------------------------1 Pol(SU) PAgP FaO/41(P) FaO/42(P) FaO/43 FaO/44(P )FaO/45(P ) FaO/46(P) FaO/4 7 (P) FaO/48(P)

Switch# show etherchannel port Channel-group listing:

Group: 1
Ports in the group:

Port: FaO/41
Port state = Up Mstr In-Bndl

Channel group= 1 Mode = Port-channel = Pol GC = Port index = 0 Load = Flags: S - Device Consistent
A - Device physical port. Timers:

Desirable-Sl Gcchange = 0 0x00010001 Pseudo port-channel = Pol 0x00 Protocol = PgP is sending Slow helio. C - Device state.
is in Auto mode. P Device

is in
on

learns

d - PAgP is down.
H - Helio timer is running. Q - Quit timer is running.

S - Switching timer is running. I - Interface timer is running. Local information: Helio Partner PAgP Learning Group

Con los comandos show running-config interface es posible ver la configuracin relativa al EthemChannel. Tambin se puede utilizar el comando show interface para ver los parmetros del EthemChannel.

www.FreeLibros.com

Captulo 14

SIP
IN T R O D U C C I N A S P A N N I N G T R E E P R O T O C O L
STP (Spanning Tree Protocol) proporciona soporte a nivel de la capa 2 de forma que los errores o fallos se pueden solventar de manera automtica; est definido en el estndar IEEE 802. ID. Un switch de capa 2 imita las funciones de un bridge transparente, tiene que ofrecer segmentacin entre dos redes mientras permanece de manera transparente para los dispositivos finales que estn conectados a l. Un bridge o un switch opera de la siguiente manera: Inicialmente un switch no posee ningn conocimiento de la red, por lo que debe escuchar las tramas que le llegan a cada uno de sus puertos para averiguar en qu red reside cada dispositivo. El bridge asume que cada dispositivo de origen est localizado detrs del puerto del cual ha recibido dicha trama mirando su MAC. A medida que el proceso de escucha contina el bridge construye una tabla que relaciona direcciones MAC de origen con nmeros de puertos. El bridge puede actualizar la tabla para reemplazar las direcciones MAC o detectar el cambio de localizacin de un puerto a otro. De esta manera podr enviar las tramas mirando la MAC de destino buscando dicha direccin en la tabla y enviarla posteriormente a travs del puerto donde el dispositivo final est localizado.

www.FreeLibros.com

348

REDES CISCO. CCNP a Fondo

RA-MA

Si una trama llega con una direccin de destino broadcast el bridge debe enviar la trama a travs de todos los puertos disponibles salvo por el puerto por donde se ha recibido. A este proceso se lo llama flood. Si una trama llega con una direccin de destino que no es localizada en la tabla del bridge, ste no podr determinar por cul de sus puertos debe enviar la trama al destino. En estos casos el bridge trata esta trama como si fuera un broadcast siguiendo el mismo proceso que hara con una trama de difusin. A estas tramas se las llaman unknown unicast. Una vez que el destino responde a dicha trama, el bridge localiza el puerto para usos futuros.

Las tramas enviadas a travs del bridge no pueden ser modificadas por el propio bridge, es decir, que el proceso de bridging es absolutamente transparente. El bridging o switching son efectivos, cualquier trama es enviada, tanto cuando se conoce la direccin de destino como cuando no. Siempre se alcanza el dispositivo final, por cualquiera de los procesos antes mencionados.

Redundancia con switch


Cuando es necesaria la redundancia entre segmentos, pueden utilizarse dos o ms switches interconectando los segmentos de red.

Switch A Segmento 2

Switch B

n.
Esta conexin de manera transparente no debera afectar el funcionamiento de la red. Sin embargo cuando las tramas son enviadas y los switches no tienen conocimiento en sus tablas MAC de los puertos de entrada y salida pueden producirse algunos problemas.

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

349

Al recibir una trama desde el segmento 1 ambos switches envan la trama por los puertos correspondientes hacia el segmento 2. El resultado final es que el segmento 2 recibe una trama duplicada, sin ser esto un gran problema, no es lo deseado. Cuando los switches no tienen conocimiento de las direcciones MAC recibidas el problema puede ser mayor. Al recibir una trama por el segmento 1 ocurre lo siguiente: 1. El switch A y el switch B reciben la trama por los puertos conectados en el segmento 1. Como es la primera vez que se recibe esta trama ambos switches guardan la MAC en sus respectivas tablas asociadas al puerto de recepcin. 2. Debido a que la localizacin del destino en el segmento 2 es desconocida ambos switches deciden enviar esa trama a travs de todos los puertos disponibles (unknown unicast). 3. Cada switch enva copia de la trama a sus puertos en el segmento 2. El destino recibe dos tramas destinadas hacia l, pero a su vez el switch A recibe la trama enviada por el switch B y viceversa. 4. El switch A al recibir la nueva trama detecta que el origen est en el segmento 2 y actualiza sus tablas, pero este dato es incorrecto. El mismo proceso es replicado por el switch B. 5. A este nivel ninguno de los switches tiene informacin certera sobre el destino debido a que an no existe registro en las correspondientes tablas MAC. La trama es enviada, entonces, por todos los puertos salvo por los que ha sido recibida. 6. Los switches vuelven a recibir la trama por los puertos correspondientes al segmento 1, por lo que se reinicia todo el proceso nuevamente y de manera permanente. Este proceso es conocido como bucle en este caso de nivel 2 o bucle de switching. Ninguno de los switches se da cuenta de la existencia del otro por lo tanto cada uno trata de enviar las tramas desde un segmento hacia el otro constantemente.

www.FreeLibros.com

350

REDES CISCO. CCNP a Fondo

RA-MA

Si este proceso ocurriese con una trama de broadcast, el bucle se hubiera generado de igual manera, o incluso peor. La trama de broadcast estara circulando perpetuamente y cada uno de los usuarios finales en ambos segmentos estara recibiendo constantemente tramas de difusin, fenmeno conocido como tormenta de broadcast. Este fenmeno puede hacer decaer notablemente el rendimiento de la red. Para evitar fsicamente este problema la desconexin fsica del bucle o el apagado de uno de los dos switches es la solucin.

Solucin a los bucles de capa 2


Los switches de capa 2 cuando funcionan en paralelo, no se dan cuenta de la existencia del otro. STP proporciona el mecanismo necesario para que los switches reconozcan la existencia del otro y puedan negociar un camino libre de bucles. Estos bucles son descubiertos antes de que puedan formarse y los enlaces conflictivos son desconectados automticamente. Cada switch ejecuta el algoritmo STP basndose en la informacin recibida por los switch vecinos. Este algoritmo elige un punto de referencia en la red y calcula todos los caminos redundantes. Cuando localiza caminos redundantes STP elige alguno de esos caminos para enviar las tramas y bloquea el resto de los posibles caminos. STP calcula una estructura de rbol que abarca todos los switches de un segmento determinado. Los caminos redundantes son colocados en un estado de bloqueo evitando que se

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

351

enven tramas. Obteniendo como resultado una red libre de bucles. En el caso de que el puerto que este enviando tramas falle, STP vuelve a recalcular su algoritmo para que los enlaces bloqueados apropiados sean reactivados.

F U N C IO N A M IE N T O d e s t p
STP funciona de manera que los switches puedan operar entre ellos intercambiando mensajes de datos a travs de las BPDU (Bridge Protocol Data Units). En la terminologa de STP es comn hablar de bridge en lugar de switch debido a que originalmente STP fue diseado para los puentes o bridges, por lo tanto en el transcurso de este libro se utilizarn como trminos similares. Cada switch enva las BPDU a travs de un puerto usando la direccin MAC de ese puerto como direccin de origen, el switch no sabe de la existencia de otros switches por lo que las BPDU son enviadas con la direccin de destino multicast 01-80-C2-00-00-00. Existen dos tipos de BPDU:
Configuration BPDU: utilizadas para el clculo de STP Topology Change Notification (TCN) BPDU: utilizada para

anunciar los cambios en la topologa de la red. Las configuration BPDU contienen campos mostrados en la siguiente tabla:
Campo
ProtocolID Versin Message Type Flags Root Bridge ID Root Path Cost Sender Bridge ID

Cantidad de bytes
2 1 1 1 8 4 8

www.FreeLibros.com

352

REDES CISCO. CCNP a Fondo

RA-MA

Port ID Message Age Mximum Age Helio Time Forward Delay

2 2 2 2 2

El intercambio de los mensajes BPDU tiene la funcin de elegir puntos de referencia para conseguir una topologa STP estable. Los bucles pueden ser identificados y eliminados poniendo puertos redundantes especficos en los estados de bloqueando o standby. Varios de los campos de la BPDU son relativos a la identificacin del switch al coste de los caminos y a los valores de los temporizadores, todos trabajan al unsono para que la red pueda converger en una topologa de STP comn eligiendo los mismos puntos de referencia dentro de la red. Por defecto las BPDU son enviadas a travs de todos los puertos cada 2 segundos de tal manera que la informacin de la topologa actual se intercambia para identificar los bucles rpidamente.

Eleccin del switch raz


Todos los switches de la red deben estar de acuerdo en elegir un marco comn como referencia para crear una topologa de capa 2 libre de bucles. Este punto de referencia se llama switch raz o root bridge. Para determinar el root bridge se lleva a cabo un proceso de eleccin, cada switch posee un bridge ID, que es un identificador nico que lo diferencia de todos los dems switches. El bridge ID es un valor de 8 bytes que consiste en los campos que se detallan:
Bridge Priority: son 2 bytes, es la prioridad de un switch en relacin a todos los dems, este campo puede tener un valor entre 0 y 65535, cuyo valor por defecto es 32768 (0x8000). Direccin MAC son 6 bytes, esta direccin puede tener origen en

un mdulo Supervisor o en el backplcine, dentro de un rango de 1024 direcciones que son asignadas a cada uno dependiendo del

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

353

modelo del switch. De cualquiera de las maneras es nica e inamovible. Cuando un switch se enciende no tiene una visin clara de su alrededor, por lo que se considera a s mismo como root bridge. El proceso de eleccin se inicia cuando todos los switches envan BPDU con el ID del root brige puesto como su propio ID y su Sender Bridge ID, que es su propio ID. Este ltimo indica a los dems switches quin es el verdadero emisor del mensaje BPDU. A partir de la eleccin del root bridge las BPDU de configuracin slo son enviadas por el root bridge. Todos los dems switches deben confiar en estas BPDU aadiendo el Sender Bridge ID a ese mensaje. Los mensajes BPDU recibidos son analizados para saber si un mejor root bridge se ha incorporado. Esta evaluacin depende de la prioridad, que debe ser de un valor menor que las dems. Para el caso de que dicho valor de prioridad sea igual al actual, la MAC ms baja se aplicar para la determinacin de la prioridad. Cuando un switch escucha acerca de un root bridge, es decir, un switch con una prioridad menor a la de s mismo, reemplaza el root bridge ID anunciado en sus BPDU. El switch anunciar entonces dicho ID como root y su propio Sender Bridge ID. Los switches convergen y se ponen de acuerdo sobre quin ser el root bridge.

Eleccin del puerto raz


Una vez determinado el root bridge, cada uno de los dems switches que no son root deben identificar su posicin en la red en relacin con el root bridge. Esta accin se realiza seleccionando solamente un puerto raz en cada uno de los switches. El puerto raz siempre apunta hacia el actual root bridge. STP utiliza el concepto de coste para determinar y seleccionar un puerto raz, lo que significa evaluar el coste de la ruta llamado Root Path Cost. Este valor es el coste acumulativo de todos los enlaces hacia el root bridge. Un simple enlace de un switch tambin conlleva un coste asociado a l. A medida que los Root Path Cost atraviesan la red, otros switch pueden modificar su valor de manera acumulativa. El Root Path Cost no est dentro de la BPDU, solamente atae al puerto del switch local donde ste reside. Cuanto mayor sea el ancho de banda del enlace menor ser el coste del enlace. IEEE 802.ID define un Root Path Cost de 1000 Mbps dividido por el ancho de banda del enlace en Mbps. Las redes modernas superan este valor por lo que fue necesario cambiar los valores del coste.

www.FreeLibros.com

354

REDES CISCO. CCNP a Fondo

O RA-MA

La siguiente tabla muestra los valores de estos costes:


Ancho de banda
4 Mbps 10 Mbps 16 Mbps 45 Mbps 100 Mbps 155 Mbps 622 Mbps 1 Gbps 10 Gbps

Coste antiguo de STP 250 100 63 22 10 6 2 1 0

Coste actual de STP 250 100 62 39 19 14 6 4 2

El valor del coste se determina de la siguiente manera: El root bridge enva una BPDU con un valor de root path cost de 0 ya que su puerto est asociado directamente al switch. Cuando el siguiente switch recibe la BPDU aade su propio coste donde fue recibida la BPDU. El vecino enva esa BPDU con el valor acumulativo modificando as el root path cost. El incremento es directamente proporcional al coste de los puertos de entrada a medida que la BPDU se recibe en cada uno de los switches de la topologa. El root path cost se va incrementando a medida que las BPDU entran en los puertos.

Despus de este incremento el switch guarda ese valor en la memoria, el valor ms bajo de los almacenados ser el nuevo path cost.

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

355

Eleccin del puerto designado


Para eliminar la posibilidad de bucles de capa 2 en la red, STP realiza un clculo para determinar los puertos designados en cada segmento de red. Cuando una trama aparece en un segmento todos los switches intentan enviarla hacia el otro segmento. Este comportamiento debe ser controlado de tal manera que slo un puerto enve trfico desde y hacia ese segmento. El puerto que realiza esta tarea se llama puerto designado. Los switches eligen slo un puerto designado para cada segmento basndose en el menor root path cost acumulativo hacia el root bridge. Cuando un switch recibe un root path cost mayor al que tiene asume el rol de puerto designado para ese segmento por el que recibe la root path cost mayor que la que posee. Con todo lo visto hasta ahora los puertos siguen en actividad por lo*que aun as pueden producirse bucles. STP tiene una serie de estados progresivos por lo cuales cada puerto debe pasar. En cada proceso de determinacin cuando dos o ms enlaces tengan el mismo root path cost, se determina la diferencia en el siguiente orden: 1. El menor de los root bridge ID 2. El menor root path cost hacia el root bridge 3. EL menor sender bridge ID 4. El menor sender port ID

E STA D O S STP
Para participar en el proceso de STP cada puerto tiene que progresar a travs de una serie de estados. Un puerto comienza en el estado desconectado hasta llegar al estado de activo si tiene permitido enviar tramas. Los estados de STP son los siguientes:
Desconectado,

son los puertos que han sido apagados administrativamente por el administrador de la red o por fallos en el sistema, es un estado que no participa de la progresin normal de STP para un puerto. forma que no pueda generar bucles de red. En este estado un

Bloqueando, es el estado de un puerto cuando se inicia de tal

www.FreeLibros.com

356

REDES CISCO. CCNP a Fondo

RA-M a

puerto no puede recibir ni transmitir datos, slo puede recibir BPDU desde los vecinos sin poder aadir direcciones MAC en su tabla; adems, los puertos que estn en modo standby para evitar bucles entran con el estado bloqueando. Escuchando, un puerto pasa a este estado si el switch interpreta que el puerto puede ser seleccionado como puerto raz o puerto designado como previo al envo de tramas. En este estado no se pueden enviar ni recibir tramas pero s pueden recibir y enviar BPDU de tal manera que el switch participa activamente en el proceso de STP. Si no hay mayores cambios el puerto vuelve al estado anterior, si por el contrario los cambios ocurren se pasa al siguiente estado. Aprendiendo, luego del perodo transcurrido llamado forward delay el puerto pasa a este estado donde puede enviar y recibir BPDU registrando, ahora s, las MAC a las tablas correspondientes. El puerto participa de esta manara de forma silenciosa en el proceso mientras puede tener una visin de las tablas de direcciones MAC. Enviando, despus de otro perodo transcurrido el puerto pasa a este estado donde puede enviar y recibir tramas, aprender direcciones MAC y guardarlas en las tablas, y enviar y recibir BPDU. El puerto es ahora completamente funcional en la topologa STP.

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

357

La siguiente sintaxis muestra la salida de un puerto progresando en el proceso STP.


Switch(config)# interface fastethernet 0/1 Switch(config-if )#no shutdown Switch(config-if)#A-Z *Mar 16 14:31:00 UTC: STP SW: FaO/l new blocking req for 1 vlans Switch#show spanning interface fastethernet 0/1
V a n ame Port ID Prio.Nbr Cost Sts Designated Cost Bridge ID Port ID Prio.Nbr

VLAN0001 128.1 19 LIS 0 32769 000a.f40a.2980 128.1 *Mar 16 14:31:15 UTC: STP SW: Fa0/1 new learning req for 1 vlans

Switch#show spanning
Van ame Port ID Prio.Nbr

interface fastethernet 0/1


Designated Cost Bridge ID Port ID Prio.Nbr

Cost Sts

VLAN0001 128.1 19 LRN 0 32768 OOdO.5849.4100 32.129 *Mar 16 14:31:30 UTC: STP SW: Fa0/1 new forwarding req for 1 vlans Switch#show spanning interface fastethernet 0/1 Van Port ID Designated Port ID ame Prio.Nbr Cost Sts Cost Bridge ID Prio.Nbr VLAN0001 128.1 19 FWD 0 32768 OOd O .5849.4100 32.129

Este ejemplo comienza con la interfaz administrativamente deshabilitada. Cuando se habilita, el comando show spanning interface muestra el estado que va tomando sucesivamente. Para monitorizar el estado de todos los puertos se utiliza el comando debug spanning-tree switch state.

Temporizadores de STP
STP opera de tal manera que los switches intercambian las BPDU entre s. Las BPDU toman una cantidad finita de tiempo para viajar en la red de un switch hacia otro, adems los cambios o fallos en la topologa pueden influir en la propagacin de las BPDU. Es importante que los switches no converjan hasta que todos stos reciban exactamente la misma informacin. STP utiliza 3 temporizadores para asegurarse de que la convergencia de la red sea la adecuada y que los bucles no puedan desarrollarse. Estos temporizadores y sus valores por defecto son los siguientes:

Helio, es el intervalo de tiempo en el cual las configuration BPDU se envan desde el root switch. La configuracin se realiza nicamente en el root switch y determina el temporizador helio de todos los dems switch debido a que stos slo confan en las

www.FreeLibros.com

358

REDES CISCO. CCNP a Fondo

r a -m a

BPDU de configuracin recibidas desde el root. Aun as todos los dems switches tienen un temporizador local incorporado utilizado para temporizar las BPDU cuando hay cambios de topologas. El valor estndar por defecto es de 2 segundos. Forward delay, es el intervalo de tiempo en el que un switch est entre los estados de escuchando y aprendiendo, el valor por defecto es de 15 segundos para cada uno de los estados. Max (mximum) Age, es el intervalo de tiempo que un switch guarda una BPDU antes de descartarla. Mientras se est ejecutando STP cada puerto del switch mantiene un registro de la mejor BPDU que ha escuchado. En caso de que el puerto del switch pierda contacto con el origen de esa BPDU el switch asume que ha ocurrido algn cambio en la topologa, cuando el perodo Max Age termine la BPBU es eliminada. Por defecto el valor de este temporizador es de 20 segundos. Los temporizadores de STP pueden ser ajustados y configurados en el switch, no obstante cualquier cambio debe ser debidamente planificado y es recomendable hacerlo slo en el root. Todos estos temporizadores son apropiados para una red de hasta 7 switches, desde el root hasta el ms lejano. Finalmente el tiempo total desde el primer estado hasta el ltimo es de 50 segundos.

C A M B IO S D E T O P O L O G A S
Para anunciar un cambio en una topologa de red activa los switch utilizan las BPDU TCN, la siguiente tabla muestra el formato de estos mensajes: Campo ProtocolID Versin Message Type Cantidad de bytes 2 1 1

Puede considerarse como un cambio de topologa cuando un switch mueve un puerto al estado de enviando o lo hace desde el estado enviando o aprendiendo

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

359

al estado bloqueando. El switch enva las BPDU TCN a travs de su puerto root para que lleguen al root bridge para informar del cambio de topologa. Si un puerto estuviese configurado como port fast no enviara las BPDU TCN. El switch contina enviando estas BPDU en intervalos de helio hasta recibir un ACK desde su vecino. Cuando los vecinos reciben las BPDU TCN las propagan hacia el root bridge y envan sus propias ACK. Lo mismo ocurre con el root bridge, pero adems ste agrega una bandera o etiqueta llamada topology change para sealizar el cambio de topologa. Esta informacin sirve para que todos los otros switch acorten los temporizadores de 300 segundos al tiempo del Forward delay, que son 15 segundos. Esta condicin tiene el efecto de eliminar las tablas MAC mucho ms rpido de lo que es normalmente. Cambios de topologas directos: son aquellos que pueden ser detectados directamente en una interfaz de un switch, por ejemplo un enlace trunk que se cae, los switches de ambos extremos pueden detectar el fallo. La ausencia de este enlace cambia la topologa de bridging y otros switches de la red deben ser notificados para que asuman los cambios de la nueva topologa. Cambios de topologas indirectos: son cuando se produce un fallo que no involucre directamente a los puertos del switch pero que afecta al funcionamiento de la topologa, por ejemplo un firewall del proveedor entre el enlace. El efecto final ser que las BPDU no pueden llegar al destino. STP puede detectar y recuperarse de fallos indirectos gracias a los mecanismos de los temporizadores. Aunque los enlaces permanecen activos las BPDU son filtradas en algn punto. Como resultado del fallo indirecto, la topologa no cambia directamente, la ausencia de BPDU provoca el inicio de los temporizadores. El Max Age puede ser de 20 segundos a lo que se le suma el tiempo hasta que la siguiente BPDU de configuracin es recibida (2 segundos), ms el tiempo de retardo del puerto en los estados escuchando (15 segundos) y aprendiendo (15 segundos), sumando un total de 52 segundos. Cambios de topologas insignificantes: un puerto de un switch en capa de acceso conectado directamente a un usuario que cambia de' estado provoca que el switch deba informar al root de los cambios en la topologa. El proceso de notificacin de STP se inicia. A pesar del cambio en la topologa las modificaciones no alteran el funcionamiento del bridging STP. Las tablas en los switch son modificadas eliminando las entradas en desuso. En principio esto no causara ningn problema en el desempeo de la red, pero en redes grandes muchos altibajos en los puertos por apagados y encendidos de terminales generarn reclculos en las tablas, envos innecesarios de broadcast y de paquetes unknown unicasts, degradando el funcionamiento de la red.

www.FreeLibros.com

360

REDES CISCO. CCNP a Fondo

RA-MA

Los dispositivos Catalyst poseen un mecanismo de prevencin llamado port fast que se configura en los puertos para dispositivos finales, evitando el envo de las BPDU TCN cuando existe algn cambio en el estado del puerto.

T IP O S D E S T P
Common Spanning Tree: el estndar IEEE 802.1Q especifica cmo las VLAN pueden ser puestas en trunk entre switch, tambin especifica slo una instancia de STP que abarca todas las VLAN, a esta instancia se la conoce como CST (Common Spanning Tree). Todas las BPDU son transmitidas sobre los trunk utilizando la VLAN nativa sin etiquetar las tramas. Con una sola instancia STP para muchas VLAN simplifica la configuracin del switch y reduce la utilizacin de CPU y los clculos de STP, pero tener slo un instancia tambin tiene ciertas limitaciones. Los enlaces redundantes entre switch sern bloqueados por lo que no hay posibilidades de hacer balanceo de carga. Per-VLAN Spanning Tree: Cisco posee un versin propietaria de STP que ofrece mayor flexibilidad que la versin estndar que es el PVST, el cual opera una instancia STP por cada una de las VLAN. Esto permite que cada instancia de STP se configure independientemente ofreciendo mayor rendimiento y optimizando las condiciones. Al tener mltiples instancias de STP es posible el balanceo de carga en los enlaces redundantes cuando son asignados a diferentes VLAN. Per-VLAN Spanning Tree Plus: es una segunda versin propietaria que Cisco tiene de STP que permite interoperar con PVST y CST. El PVST+ es soportado por los switches Catalyst que ejecuten PVST, PVST+ y CST sobre 802.1Q. PVST+ acta como un traductor entre grupos de switches CST y grupos PVST. PVST+ se comunica directamente con PVST con trunk ISL, mientras que con CST intercambia BPDU como tramas no etiquetadas utilizando la VLAN nativa. Las BPDU de otras instancias STP (otras VLAN) son propagadas a travs de la porcin de CST de la red mediante el trunk. PVST+ enva las BPDU utilizando una direccin nica de multicast.

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

361

CONFIGURACIN DE STP
Los clculos de STP son predecibles, pero existen otros factores que podran influenciar en las decisiones de STP haciendo que el resultado no sea el ideal. Uno de los principales ajustes que se pueden hacer en STP es elegir la determinacin del root bridge dentro de la red. Tambin se podran configurar enlaces redundantes para el balanceo de carga en paralelo como as tambin que STP converja mas rpidamente y de manera previsible ante un evento inesperado o cambio de topologa. Por defecto STP est habilitado para todas las VLAN y en todos los puertos del switch. Si alguna instancia de STP ha sido deshabilitada puede rehabilitarse con el siguiente comando:
S w i t c h (config)#

spanning-tree van vlan-id

De la misma manera si es necesario rehabilitar STP en una VLAN o un puerto determinado:


Switch (config-if)# spanning-tree van vlan-id

Ubicacin del switch raz


Aunque STP puede funcionar sin necesidad de tener que elegir la situacin del root bridge, sta es una de las determinaciones que se deben tener en cuenta antes de comenzar a configurar el protocolo. El root bridge es elegido como un punto de referencia comn dentro de la red y todos los dems switches tienen conectados sus puertos con el mejor coste hacia l. La eleccin tambin est basada en que el root bridge puede convertirse en el punto central de la red que interconecta otros segmentos de la red. En definitiva el root bridge puede estar soportando muchas cargas de conmutacin. Si la eleccin del root bridge se deja a criterio del propio STP puede ocurrir que dicha eleccin no sea la mejor. Un switch ms lento o antiguo que deba soportar grandes cargas de trfico no es el candidato ideal para serlo. La eleccin del root bridge est basada en el switch que tenga el menor bridge ID, compuesto por la prioridad y la direccin MAC teniendo en cuenta que por defecto la prioridad es la misma en todos los switches.

www.FreeLibros.com

362

REDES CISCO. CCNP a Fondo

RA-MA

Una MAC baja correspondiente a un switch no deseado determinar que ste sea el root bridge.

Si todos los switches se dejan configurados con sus valores por defecto slo es elegido un root bridge, lo cual no deja claro cul ser el root bridge de respaldo en caso de fallos, por lo tanto la redundancia tambin es un factor a tener en cuenta. La siguiente figura muestra una porcin de una tpica red de campus de modelo jerrquico:

Switch A 32768 0O-0O-0C-07-AC-0A

Switch B 32768 00-00-0C-07-AC-0B

El switch A y el switch B son los dispositivos de acceso mientras que el switch C y el switch D forman el core y el switch E conecta una granja de servidores al core de la red. La mayora de los switches tienen enlaces redundantes hacia otras capas de la jerarqua, el switch B slo tiene una conexin hacia el core.

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

363

Este switch est pendiente de actualizarse donde un nuevo enlace se configurar hacia el core. Siguiendo los parmetros de configuracin por defecto el switch A se convertir en el root bridge porque tiene la MAC ms baja ya que la prioridad es igual para todos los switches (32768). La siguiente figura muestra el estado de convergencia de STP:

Switch A 32768 O0-OQ-OC-O7-AC-OA

Switch B 32768 00-00-QC-07-AC-0B

El switch A ha sido elegido root bridge aunque no puede tomar ventaja de los enlaces de 1 Gbps que tienen conectados los dems switches. Los puertos en estado bloqueando, identificados con una X, no transmiten trfico. Finalmente la siguiente figura muestra la misma red slo con los enlaces funcionales, donde se observa la estructura de STP final.

www.FreeLibros.com

364

REDES CISCO. CCNP a Fondo

RA-MA

Switch A 32768 OO-0O-OC-O7-AC-OA

Switch B 32768 00 -00 -0 C -0 7 -A C -0 B

El root bridge elegido es un dispositivo de la capa de acceso, las estaciones de trabajo del switch A pueden alcanzar los servidores en el switch E cruzando la capa de core. Sin embargo las estaciones de trabajo conectadas al switch B tienen que cruzar la capa de core, volver a la capa de acceso regresar nuevamente al core para alcanzar al switch E. El resultado final no es el ms eficiente, el switch A al ser un dispositivo de acceso no es un switch que pueda soportar demasiado trfico y adems sus enlaces son lentos.

Configuracin del switch raz


Para prevenir lo sucedido en el ejemplo anterior es necesario llevar a cabo dos acciones: 1. Configurar un switch adecuado como el root bridge. 2. Configurar otro switch como root de respaldo en caso de que el primero falle.

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

365

Como punto de referencia comn ambos dispositivos deberan estar ubicados cerca del centro de la red, por ejemplo un switch de capa de distribucin podra desempear un mejor papel que otro en la capa de acceso. En caso de tener una red plana, un switch cerca de la granja de servidores sera la mejor opcin como root bridge. Para configurar un switch Catalyst como root bridge se pueden utilizar los siguientes mtodos: Manualmente configurando la prioridad, de manera que tenga un valor menor que el resto, para que gane la eleccin. Obviamente se debe conocer el valor de prioridad de todos los dems switches. El comando para esta accin es el siguiente:
Switch(config)# spanning-tree van vlan-list priority bridgepriority

El valor bridge-priority es por defecto 32768, pero el rango de configuracin va desde 0 a 65535. En caso de que est habilitado el system ID extendido de STP la prioridad por defecto ser 32768 ms el nmero de VLAN. En este ltimo caso el rango estar comprendido entre 0 y 61440 pero slo se podrn utilizar mltiplos de 4096. Cuanto ms baja la priorio id mejor. Los switches Catalyst slo ejecutan una instancia STP por cada V j^AN (PVST+), siempre se debera configurar un root bridge apropiado para cada VLAN. El siguiente comando configura la prioridad para la VLAN 5 y la VLAN 100 a un valor de 4096:
Switch(config)# spanning-tree van 5,100 priority 4096

Es posible hacer que el propio switch tome la determinacin de prioridad para ser el root bridge basndose en ciertas condiciones del resto de los switches de la red. Para llevar a cabo esta funcin se utiliza el comando siguiente:
Switch(config)# spanning-tree van vlan-id root {primary | secondary} [diameter diameter]

Este comando es una macro que ejecuta otros comandos, es decir, que el switch busca en la topologa activa en la red quin es el root bridge y se autoconfigura una prioridad menor de la que ste tiene. Esto hace que al utilizar el parmetro primary el switch se convierta en root bridge (utiliza una prioridad de 24576), mientras que con el parmetro secondary la prioridad alcanza un valor de 28672.

www.FreeLibros.com

366

REDES CISCO. CCNP a Fondo

RA-MA

Como ejemplo final se muestra en la siguiente sintaxis la salida de un switch que est usando su prioridad por defecto para la VLAN 100. En el modo extendido system ID la prioridad ser entonces 32868, es decir, 32768 ms 100 del nmero de VLAN.
Switch# show spanning-tree van 100 VLAN0100 Spanning tree enabled protocol ieee Root ID Priority 4200 Address 000b.5f65.lf80 Cost 4 Port 1 (GigabitEthernetO/l) Helio Time 2 sec Max Age 2 0 sec Forward Delay 15 sec Bridge ID Priority 32868 (priority 32768 sys-id-ext 100) Address 000c.8554.9a80 Helio Time 2 sec Max Age 2 0 sec Forward Delay 15 sec Aging Time 300

La prioridad por defecto es mayor que el actual root bridge, de tal manera que este switch no puede convertirse en root bridge. Ahora se configura con el mtodo automtico para intentar que esta situacin cambie:
Switch(config)# spanning-tree van 100 root primary % Failed to make the bridge root for van 100 % It may be possible to make the bridge root by setting the priority % for some (or all) of these instances to zero.

El mtodo ha fallado, la prioridad del actual root bridge es de 4200 y debido a que esa prioridad es menor que 24576 el switch local tratar de poner su propia prioridad a menos de ese valor. Aunque la prioridad resultante es 104 la configuracin de system ID extendido requiere que este valor sea mltiplo de 4096 y slo hay un valor que podra funcionar que es 0. Este mecanismo automtico no puede usar dicho valor. Finalmente habr que buscar otras alternativas de configuracin como configurar esa prioridad de 0 manualmente:
Switch(config)# spanning-tree van 100 priority 0

En este ejemplo la prioridad resultante al estar utilizando system ID extendido ser de 100 (prioridad 0 ms VLAN ID 100).
Switch# show spanning-tree van 100 VLAN0100 Spanning tree enabled protocol ieee Root ID Priority 100 Address 000c.8554.9a80 This bridge is the root Helio Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 100 (priority 0 sys-id-ext 100)

www.FreeLibros.com

r A-MA

CAPTULO 14. STP

367

Address 000c.8554.9a80

Helio Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300

OPTIMIZACIN DEL FUNCIONAMIENTO DE STP


La decisin ms importante en el diseo de STP es la ubicacin del root bridge, otras decisiones, como por ejemplo un camino libre de bucles, ocurrirn luego de ejecutarse el mecanismo de STP. Existirn razones especiales donde esos caminos necesiten una mejora u optimizacin adicional. Como se explic en prrafos anteriores los criterios de eleccin se llevan a cabo segn: El menor bridge ID El menor root path cost El menor sender bridge ID El menor sender port ID

Mejorando la configuracin del root path cost


El root path cost para cada puerto en el switch es determinado por los costes acumulativos a medida que las BPDU van viajando. Cuando un switch recibe una BPDU el coste del puerto que recibe se suma a root path cost de esa BPDU. El valor por defecto es inversamente proporcional al ancho de banda del puerto, este valor es confgurable. Antes de modificar el root path cost de los switch se debera calcular el root path cost de todos los enlaces alternativos. Estos cambios deben hacerse con mucha precaucin. El siguiente comando sirve para modificar el coste de un puerto:
Switch (config-if)# spanning-tree [van vlan-id] cost cost

Si el parmetro van es utilizado, entonces el coste del puerto es modificado nicamente para esa VLAN en particular, de lo contrario el coste se modifica para todas las VLAN de ese puerto. El coste tiene un rango 1 hasta 65535. Hay unos valores estndar que corresponden al ancho de banda del puerto.

www.FreeLibros.com

368

REDES CISCO. CCNP a Fondo

RA-M a

Ancho de banda
4 Mbps 10 Mbps 16 Mbps 45 Mbps 100 Mbps 155 Mbps

Coste antiguo de STP 250 100 63 22 10 6 2 1 0

Coste actual de STP 250 100 62 39 19 14 6 4 2

622 Mbps
1 Gbps 10 Gbps

El siguiente ejemplo cambiar el coste de los puertos de la VLAN 10 a un valor de 2:


Switch(config-if)# spanning-tree van 10 cost 2

Para ver el coste de una interfaz se puede utilizar el siguiente comando:


Switch# show spanning-tree interface type mod/num [cost] Switch# show spanning-tree interface gigabitEthernet 0/1 Van Role Sts Cost Prio.Nbr Type VLAN0001 VLAN0010 VLAN0020 Root Desg Root FWD 4 FWD 2 FWD 4 128.1 128.1 128.1 P2p P2p P2p

Mejorando la configuracin del port ID


El ltimo criterio en la decisin de STP es el port ID. ste es el identificador del puerto que utiliza el switch y que tiene un valor de 16 bits de los cuales 8 bits corresponden a la prioridad y 8 bits al nmero del puerto. La prioridad del puerto es un valor entre 0 y 255 y que por defecto para todos es de 128. El nmero de puerto tiene un rango entre 0 y 255 y representa la ubicacin fsica del puerto real. Los nmeros de puerto comienzan con 1 en los puertos 0/1 y se van

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

369

incrementado a travs de cada mdulo y es un valor fijo ya que se basa en la localizacin del hardware del switch. Dependiendo de los mdulos utilizados los nmeros de puerto no tienen por qu ser consecutivos. El port ID puede modificar la decisin de STP a travs de la prioridad, el siguiente comando modifica ese parmetro:
Switch

(config-if )# spanning-tree [van vlan-list ] port-priority

p o rt-p rio rity

Se puede modificar la prioridad del puerto para una o ms VLAN utilizando el parmetro van a travs de un rango de valores separados por comas de lo contrario la prioridad del puerto se aplica a todas las VLAN. Un valor de prioridad menor indica un grado de preferencia o mejor camino hacia el root bridge. El siguiente ejemplo cambiar la prioridad del puerto 3/16 de 128 a 64 para las VLAN 10 y 100. Los cambios pueden observarse en la sintaxis ms abajo:
S w i t c h (config)# interface gigabitethernet 3/16 Switch(config-if )# spanning-tree van 10,100 port-priority 64

Switch# show spanning-tree interface gigabitEthernet 3/16 Van Role Sts Cost Prio.Nbr Type

VLAN0010 Desg FWD 4 64.144 Edge P2p VLAN0100 Desg FWD 4 64.144 Edge P2p VLAN0200 Desg FWD 4 128.144 Edge P2p

Mejorando la convergencia se STP


STP utiliza varios temporizadores, una secuencia de estados a travs de los cuales los puertos deben pasar y unas condiciones de cambios de topologas especficas para prevenir los bucles de capa 2. Cada uno de estos 3 parmetros est configurado con valores por defecto y para un tamao de red especfico. En la mayora de los casos la operacin por defecto de STP es suficiente para mantener la red libre de bucles. Existen otras situacionesdonde slo la utilizacin de los parmetros por defecto de STP puede retrasar eldesempeo de la red al tener que esperar que los temporizadores expiren sus tiempos. Por ejemplo, cuando una terminal se conecta a un puerto del switch no puede generar ningn bucle de red. Otra situacin tiene que ver con el tamao de la red de capa 2. En una red pequea los valores de los temporizadores por defecto pueden retrasar su funcionamiento por lo que deberan ser configurados con valores ms pequeos. Estas u otras situaciones son las que necesitan una modificacin de los temporizadores STP.

www.FreeLibros.com

370

REDES CISCO. CCNP a Fondo

RA-MA

La modificacin manual de los temporizadores puede llevarse a cabo con los siguientes comandos:
Switch(config)# spanning-tree [van vlan-id ] helio-time seconds Switch(config)# spanning-tree [van vlan-id] forward-time seconds Switch(config)# spanning-tree [van vlan-id ] max-age seconds

Estos temporizadores pueden se modificados para una sola instancia STP con el parmetro vlan-id o para todas si este parmetro es omitido. El temporizador helio es el que regula el envo las BPDU desde el root hacia todos los dems switch. Este temporizador tambin configura el intervalo de tiempo en el que el switch espera escuchar helio de sus vecinos. Las BPDU de configuracin por defecto se envan cada 2 segundos, para modificar este parmetro el rango posible es de 1 a 10 segundos. El temporizador forward delay determina la cantidad de tiempo en que el puerto est en los estados escuchando y aprendiendo antes de pasar al estado de enviando. Este valor por defecto es de 15 segundos y puede modificarse con el parmetro forward delay, entre 4 y 30 segundos. Este temporizador debe ser configurado con especial atencin, porque de ste depende la propagacin de las BPDU a travs de los switches. Valores inadecuados dependiendo del tamao de la red pueden permitir la creacin de bucles en la red. El temporizador max age especifica el tiempo de vida de una BPDU almacenada que ha sido recibida en un puerto designado. Aun as las BPDU son tambin recibidas en puertos no designados en los tiempos especficos. Si un fallo en el envo de las BPDU ajeno a la red, como el filtrado por ACL o firewall, el switch que est,a recibiendo espera que el temporizador max age termine para escuchar otras BPDU. A partir de este mecanismo el puerto no designado pasa al estado aprendiendo, el puerto pasa a ser el designado y se reestablece la conectividad en el segmento. Para modificar el valor por defecto de este temporizador de 20 segundos se utiliza el parmetro max age entre 6 y 40 segundos. La configuracin de los temporizadores de STP puede realizarse tambin automticamente. Los switches Catalyst utilizan el siguiente comando para la configuracin automtica de los temporizadores
Switch(config)# spanning-tree van vlan-list root {primary secondary} [diameter diameter [helio-time helio-time ]] |

Los temporizadores de STP sern ajustados acorde a la especificacin IEEE 802.ID con slo indicar el dimetro de la red tomado como el nmero

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

371

mximo de switch que el trfico debe atravesar en la red de capa 2. Este rango puede variar desde 1 a 7 switches. El parmetro helio time es opcional, cuyo valor por defecto es de 2 segundos. El siguiente ejemplo configura un helio time de 1 segundo, ms abajo se muestra el resultado en un comando show:
S w i t c h

(config)# spanning-tree van 100 root primary diameter 3

helio-time 1
Switch# show spanning-tree van 100

VLAN0100
Spanning tree enabled protocol ieee Root ID Priority 100 Address 0 0 0 c .8554.9a80 This bridge is the root

Helio Time 1 sec Max Age 7 sec Forward Delay 5 sec Bridge ID Priority 100 (priority 0 sys-id-ext 100) Address 000c.8554.9a80 Helio Time 1 sec Max Age 7 sec Forward Delay 5 sec Aging Time 300

C O N V E R G E N C IA D E E N L A C E S R E D U N D A N T E S
Existen mtodos adicionales que hacen que la convergencia STP sea ms rpida en casos de fallos del enlace. Estos mtodos son los siguientes: Port Fast, habilita conectividad rpida para los puertos conectados a estaciones de trabajo o equipos terminales mientras stos estn inicializando. Uplink Fast, habilita el enlace uplink rpido del switch en la capa de acceso cuando existen conexiones duales hacia la capa de distribucin. Backbone Fast, habilita una rpida convergencia en el core de la red despus de que un cambio de topologa ocurre en STP.

Port fast: una estacin de trabajo de usuario final est conectada a un puerto de un switch en la capa de acceso. Si la estacin de trabajo se apaga y se enciende el switch, verifica el cambio de estado del puerto lo que significa que ste no ser utilizable hasta que los tiempos permitan que pase desde el estado de bloqueando a enviando. Con los temporizadores por defecto de STP esa transicin lleva al menos 30 segundos, es decir, que la estacin de trabajo no podr enviar ni

www.FreeLibros.com

372

REDES CISCO. CCNP a Fondo

r a -m a

recibir datos hasta que transcurra dicho perodo. Para el caso de que se est empleando un enlace EtherChannnel con PAgP habr que sumarle unos 20 segundos ms. En puertos de switch que conectan slo hacia simples estaciones de trabajo los bucles de capa 2 nunca sern posibles. Los switches Catalyst ofrecen la caracterstica port fast la cual baja los tiempos de cambio de estado de STP. Cuando el enlace de la estacin de trabajo se levanta en el puerto port fast, el switch mueve inmediatamente el estado del puerto a enviando. Una de las caractersticas ms ventajosas es que las BPDU TCN no son enviadas ante los cambios de estado de los puertos configurados como port fast. Por defecto port fast est deshabilitado en todos los puertos. Para configurarlo a todos los puertos de acceso se puede utilizar el siguiente comando:
Switch(config)# spanning-tree portfast default

Para deshabilitarlo bastar con anteponer un no delante del comando. Es evidente que un puerto conectado a un dispositivo de capa 2 o a un hub no debe tener habilitada esta opcin. De la misma manera se puede configurar la caracterstica port fast en algn puerto especfico con la siguiente serie de comandos:
Switch(config)# interface type mod/num Switch(config-if)# switchport host switchport mode will be set to access spanning-tree portfast will be enabled channel group will be disabled

La verificacin del estado del puerto puede hacerse con el siguiente comando, ms abajo se muestra la sintaxis de un ejemplo:
Switch# show spanning-tree interface type mod/num portfast Switch# show spanning-tree interface fastethernet 0/1 portfast VLAN0010 enabled

Uplink Fast: tomando como ejemplo un switch de la capa de acceso que tiene Uplink o enlaces redundantes hacia los switches de distribucin. Normalmente un slo enlace estar en estado enviando mientras que el otro estar en estado bloqueando. En el caso de fallo en el primer enlace habr que esperar 50 segundos antes de que el puerto del enlace redundante pudiera ser utilizado.

www.FreeLibros.com

ra -m a

CAPTULO 14. STP

373

La caracterstica de Uplink Fast permite mantener uno de los puertos en el estado de envo y los dems en el estado de bloqueando pero preparados para ser utilizados inmediatamente en el caso de que el primero falle. El siguiente comando habilita esta caracterstica:
S w i t c h

(config)# spanning-tree uplinkfast second]

[max-update-rate pkts-per-

Cuando se habilita Uplink Fast se hace para todos los puertos y todas las VLAN. Mantiene un registro de todos los posibles caminos hacia el root bridge. Este comando no est permitido en el root bridge y mantiene el switch configurado en el extremo de la capa de acceso no permitiendo que sea root en ningn momento. La prioridad del switch es elevada a 49152 haciendo que su eleccin como root bridge sea prcticamente imposible. Incrementa el coste de los puertos hasta 3000 para que no sean caminos deseados hacia el root por otros switch que estuvieran por debajo de ste. El switch avisa del nuevo estado de los enlaces enviando tramas multicast con destino 0100.0ccd.cdcd en lugar de las estaciones contenidas en la tabla CAM. De esta manera hace que los host aprendan las direcciones hacia el origen. El siguiente es un ejemplo de un show spanning-tree uplinkfast
Switch# show spanning-tree uplinkfast UplinkFast is enabled Station update rate set to 150 packets/sec. UplinkFast statistics Number of transitions via uplinkFast (all VLANs) : 2 Number of proxy multicast addresses transmitted (all VLANs) ame Interface List VLAN0001 GiO/1(fwd) VLAN0010 GiO/1(fwd) VLAN0100 GiO/1(fwd)

: 52

Backbone Fast: en el backbone de la red en la capa de core se utiliza un mtodo diferente para hacer que la convergencia STP sea mas breve. Backbone Fast funciona manteniendo al switch constantemente comprobando si existen caminos alternativos hacia el root bridge, para el caso de que se detecte un fallo de un enlace indirecto. Estos fallos de enlaces indirectos ocurren cuando un enlace que no est directamente conectado falla. Cuando el switch recibe una BPDU inferior desde su bridge designado en su puerto raz o en un puerto en el estado

www.FreeLibros.com

374

REDES CISCO. CCNP a Fondo

RA-M a

bloqueando, detectar un fallo en un enlace indirecto. Las BPDU con un nmero de secuencia inferior son enviadas por bridge designados que han perdido su conexin hacia el root bridge y anuncindose a s mismos como nuevos root bridge. Normalmente un switch debe esperar que los temporizadores max age expiren para responder a BPDU inferiores a la que ya se conocen. Pero con Backbone Fast se puede determinar cundo existen otros caminos alternativos hacia el root bridge segn los tipos de puertos que reciben las BPDU inferiores: Si la BPDU inferior se recibe en un puerto que est en el estado bloqueando el switch considera el root port y todos los dems puertos en estado bloqueando como caminos alternativos hacia el root bridge. Si una BPDU inferior llega al root port, el switch considerar todos los puertos que estn en el estado bloqueando como caminos alternativos hacia el root bridge. Si la BPDU llega al root port y no existen puertos bloqueando, el switch asume que ha perdido conectividad con el root bridge. Backbone Fast permite estos mecanismos antes de que el temporizador max age expire.

Detectar caminos alternativos hacia el root bridge involucra un proceso interactivo con otros switches. Si el switch local tiene puertos bloqueados, Backbone Fast utiliza el protocolo RLQ (Root Link Query) para verificar que los switches que tiene por encima tienen conexiones establecidas hacia el root bridge. Backbone Fast es simple de configurar y opera haciendo que el temporizador max age sea ms breve cuando es necesario. Pero aun con este proceso los puertos debern pasar por los estados escuchando y aprendiendo. Finalmente el tiempo queda reducido de 50 a 30 segundos. Para la configuracin de Backbone Fast se utiliza el siguiente comando:
Switch(config)# spanning-tree backbonefast

Backbone Fast debe estar habilitado en todos los switches de la red debido al requerimiento de peticiones RLQ para mantener informados a todos los switches sobre la estabilidad de la red. El protocolo RLQ slo funciona si Backbone Fast est activo.

www.FreeLibros.com

r A-MA

CAPTULO 14. STP

375

La verificacin de Backbone Fast puede comprobarse con el siguiente comando:


Switch# show spanning-tree backbonefast

R E S O L U C I N d e f a l l o s e n s t p
Debido a que STP utiliza diferentes tipos de contadores y clculos dinmicos, predecir su estado es complejo. La informacin para resolver y verificar el funcionamiento de STP puede verse en la siguiente tabla:

Comando
Switch# show spanningtree

Funcin Muestra todos los parmetros STP para todas las VLAN con un resumen de la informacin del puerto. Muestra todos los parmetros STP para todas las VLAN con la informacin del puerto muy detallada. Muestra el estado STP de los puertos del switch. Identifica el Root Bridge ID, el Root Port y el Root Path Cost. Muestra el bridge ID y los temporizadores STP del switch local. Muestra el estado STP Uplink Fast. Muestra el estado Backbone Fast. STP

Switch# show spanningtree detail

Switch# show spanningtree [van vlan-id ] summary Switch# show spanningtree [van vlan-id ] root Switch# show spanningtree [van vlan-id ] bridge Switch# show spanningtree uplinkfast Switch# show spanningtree backbonefast

www.FreeLibros.com

376

REDES CISCO. CCNP a Fondo

RA-MA

PROTECCIN DE LAS TOPOLOGAS STP Proteccin contra BPDU inesperadas


Una red ejecutando STP utiliza las BPDU para la comunicacin entre los switches. De esta manera reconocen la existencia de los dems switches de la topologa. Una vez que el root bridge es elegido enva las BPDU hacia los dems que confan en l. De manera eventual todos los switch del dominio STP reciben las BPDU de tal forma que convergen estables y libres de bucles. Para mantener esta topologa de manera eficiente la ubicacin del root bridge debe ser previsible. Lo mejor es la configuracin manual del mismo y adems otro switch que pueda tomar esa funcin si el primero falla. Se debe tener en cuenta qu ocurrira si otro switch se conecta a la red de manera que intente ser el nuevo root bridge y cul es la manera de evitarlo. Despus de que la topologa STP ha convergido y est libre de bucles, los puertos del switch toman diferentes roles: Root port, es el puerto raz con el menor root path cost hacia el root bridge. Designated port, es el puerto designado de un segmento de LAN que est ms cerca del root. Este puerto es el que enva las BPDU hacia abajo en el rbol de STP. Blocking port, es el puerto en estado bloqueando, que no es ni root ni puerto designado. Alternate port, es un puerto alternativo candidato a ser root port, tambin estn cerca del root bridge pero en estado bloqueando. Estn preparados para ser utilizados rridamente por la caracterstica de STP Uplink Fast. Forwarding port, son puertos en estado de enviando donde no se espera otra actividad STP, son las conexiones finales a los usuarios.

El root bridge siempre se espera detectarlo en los puertos raz o en los puertos alternativos porque son los que estn ms cerca de l. En el supuesto caso de que otro switch sea introducido en la red con una prioridad mejor que la que posee el actual root, podra llegar a convertirse en el nuevo root bridge y la topologa podra converger en una nueva forma. Esto es vlido para STP porque el switch con el menor ID siempre ganar la eleccin de root.

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

377

Esto no siempre es lo deseable, la nueva topologa STP podra ser inadecuada, mientras que a su vez la reconvergencia de la red hara que estuviese indisponible durante un determinado perodo. La caracterstica Root Guard ie desarrollada para controlar cundo los candidatos a ser root bridge se conectan en la red. Bsicamente un switch aprende e identifica la bridge ID del root si otro switch anuncia una mejor. Donde Root Guard est habilitado el switch local no permitir al nuevo switch que se convierta en root, mientras que BPDU superiores estn llegando a ese puerto, ste mantendr un estado inconsistente STP. En este estado no se podr enviar ni recibir datos pero se pueden recibir BPDU para detectar un nuevo anuncio del root. Bsicamente lo que hace Root Guart es que un puerto solamente pueda enviar BPDU pero no recibirlas. Previene que un puerto se convierta en puerto raz donde normalmente las BPDU podran ser recibidas desde el root bridge. Esta caracterstica est deshabilitada por defecto y se habilita nicamente por puerto utilizando el siguiente comando:
Switch(config-if )# spanning-tree guard root

Cuando las BPDU superiores no son recibidas el puerto vuelve a pasar por los estados STP y regresa a su estado normal. La utilizacin de Root Guard afecta a todas las VLAN asociadas al puerto, es recomendable configurarlo en los puertos donde nunca se espera un root bridge para alguna de esas VLAN. Para ver el estado inconsistente de un puerto puede hacerse con el siguiente comando:
Switch# show spanning-tree inconsistentports

Cuando Port Fast es habilitado no se espera encantar ningn dispositivo que genere BPDU, es decir, nada que pueda provocar un bucle. Cuando por error se conecta un switch a un puerto en el que se ha habilitado Port Fast, existe un problema potencial de que se genere un bucle y an ms cuando el nuevo switch se anuncia como posible root bridge. La caracterstica BPDU Giuard fue creada para garantizar la integridad de los puertos del switch Port Fast para que si alguna BPDU es recibida, el puerto se ponga inmediatamente en estado errdisable. El puerto pasa a una condicin de error y es desactivado, teniendo que ser manualmente rehabilitado o automticamente recuperado a travs de la funcin de un temporizador.

www.FreeLibros.com

378

REDES CISCO. CCNP a Fondo

RA-MA

Por defecto BPDU Guard est deshabilitado en todos los puertos del switch pudiendo configurarse con el siguiente comando:
Switch(config)# spanning-tree portfast bpduguard default Switch(config-if)# spanning-tree bpduguard enable

Los puertos que tienen Port Fast habilitado tambin tendrn BPDU Guard habilitado. Como en la mayora de los comandos para desactivar BPDU Guard bastar con anteponer un no a la lnea de comandos, por ejemplo para un puerto determinado:
Switch(config-if)# no spanning-tree bpduguard enable

Se debera configurar BPDU Guard en todos los puertos con Port Fast para prevenir que un switch pueda ser aadido a ese puerto de manera intencionada o por error. La capa de acceso es un ejemplo de utilizacin de este mecanismo.

Proteccin contra la prdida repentina de BPDU


Cisco tiene dos caractersticas que ayudan a detectar y prevenir la prdida inesperada de BPDU: Loop guard Unidirectional Link Detection (UDLD)

Suponiendo que un Puerto del switch est recibiendo BPDU y que su estado sea bloqueando, este puerto constituye un camino redundante. El estado bloqueando indica que no es puerto raz ni puerto designado y que permanecer en ese estado mientras un flujo estable de BPDU sea recibido. Si las BPDU estn siendo enviadas por un enlace y el flujo se detiene por alguna razn, la ltima BPDU conocida se mantiene hasta que el temporizador Max Age expire. Entonces la BPDU es eliminada y el switch interpreta al no recibir ms BPDU que no existe otro dispositivo conectado. El switch comienza a mover el puerto por los estados de STP hasta iniciar el movimiento de trfico lo que potencialmente podra generar un bucle de capa 2. Para prevenir esta situacin se puede habilitar la caracterstica de STP Loop guard. Una vez funcionando, Loop guard, mantiene un registro de la actividad de los puertos no designados. Mientras las BPDU se reciben se permite un comportamiento del puerto siguiendo los procesos normales de STP. Cuando las BPDU se pierden Loop guard mueve el puerto a un estado llamado loop

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

379

n c o n siste n t. El puerto es bloqueado para prevenir que se formen bucles y mantener el puerto en su rol de no designado.

Cuando las BPDU no son recibidas en el puerto, permite que el puerto pase por los estados STP y se convierta en un puerto activo, de manera que proporciona un mecanismo automtico sin intervencin manual. Por defecto Loop guard est deshabilitado en todos los puertos, el siguiente comando lo configura de manera global:
S w i t c h (config)#

spanning-tree loopguard default

De la misma manera se puede habilitar o deshabilitar en cada puerto:


S w i t c h (config-if)# [no] spanning-tree guard loop

Aunque su configuracin se aplica para todo el puerto Loop guard no bloquea el puerto completo sino que lo hace por VLAN. Se puede habilitar en todos los puertos del switch sin importar sus funciones, el switch averigua qu puertos son no designados y monitoriza la actividad de las BPDU para mantenerlos en ese estado. Los puertos designados son los puertos raz, los puertos designados y los puertos que normalmente estn en estado bloqueando. En una red de campus los switches estn conectados por enlaces bidireccionales donde el trfico puede fluir en dos direcciones. Si un enlace tiene un problema fsico los dos switches que interconecta el enlace detectan el problema apareciendo como no conectado. Pero si slo una parte del enlace, ya sea transmisor o receptor, tuviera un fallo atpico, como el mal funcionamiento de un transceptor, los switches podran ver que el trfico fluye en ambas direcciones cuando en realidad el enlace est estropeado y el trfico fluye slo en una direccin. Este problema se conoce como unidirectional link. Un link unidireccional tiene un peligro potencial en las topologas STP haciendo que las BPDU no sean recibidas en uno de los extremos del enlace. Cuando un puerto no recibe BPDU interpreta de forma segura que puede avanzar entre los estados de STP hasta terminar enviando trfico. Cuando esto ocurre en un enlace bidireccional se forma un bucle y el switch nunca se dar cuenta del error. Cisco ofrece una solucin propietaria UDLD (UniDirectional Link Detection). Al estar habilitado UDLD monitoriza de manera activa el puerto para ver si el enlace es realmente bidireccional. El switch enva tramas UDLD especiales identificando el puerto en intervalos de tiempo regulares.

www.FreeLibros.com

380

REDES CISCO. CCNP a Fondo

RA-MA

UDLD espera que el switch responda a estas tramas por el mismo enlace, si ambos extremos reciben la trama el enlace tiene que ser bidireccional. Si las tramas que son respondidas no se ven, el enlace es unidireccional por algn otro motivo o fallo. Para que el proceso de respuesta se produzca ambos extremos del enlace deben estar configurados para UDLD. Los mensajes UDLD se envan por defecto cada 15 segundos. El objetivo final de UDLD es detectar enlaces unidireccionales antes de que STP tenga tiempo de mover el puerto desde el estado de bloqueando hasta el estado de enviando. Por lo tanto el tiempo debe ser inferior al temporizador max age ms los intervalos de forward delay. UDLD puede detectar un enlace unidireccional despus de que los mensajes UDLD sean perdidos durante 3 intervalos, es decir, 45 segundos. UDLD tiene dos modos de operacin: Modo de operacin UDLD normal: cuando un enlace unidireccional es detectado se permite que el puerto contine su operabilidad, UDLD simplemente marca el puerto como en un estado indeterminado y genera un mensaje en el syslog. Modo de operacin UDLD agresivo: cuando un enlace unidireccional es detectado el switch toma una accin para reestablecer el enlace. Bsicamente el puerto es puesto en el estado errdisable de manera que no podr ser utilizado.

La configuracin de UDLD puede hacerse por puerto o de manera global para todos los puertos que sean de fibra ptica de cualquier tipo. Por defecto UDLD esta deshabilitado en todos los puertos del switch, para configurarlos se utiliza la siguiente sintaxis:
Switch(config)# udld {enable | aggressive | message time seconds }

Para uso normal se utiliza el parmetro enable, mientras que para el modo agresivo se utiliza el parmetro aggressive. El ltimo parmetro se utiliza para poner el intervalo de los mensajes en un rango de entre 7 y 90 segundos. Para habilitar o deshabilitar UDLD por puerto se utiliza el siguiente comando:
Switch(config-if)# udld {enable | aggressive | disable}

Se puede habilitar de manera segura UDLD en todos los puertos del switch, ste determinar cules son los puertos de fibra donde aplicarlo. Los puertos de cobre no sufrirn las caractersticas que permiten los enlaces

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

381

unidireccionales. UDLD detecta la condicin de unidireccionalidad en un enlace, por lo tanto en un EtherChannel slo el enlace donde se produce esta condicin ser deshabilitado.

Filtros BPDU para deshabilitar STP


Normalmente STP opera en todos los puertos del switch en un esierzo para tratar de que no se formen los bucles de capa 2. Las BPDU son enviadas a todos los puertos del switch, incluso en los que Port Fast est habilitado. Las BPDU tambin pueden ser recibidas y procesadas si son recibidas por otro switch de un dominio STP diferente. Aunque STP debera estar siempre ejecutndose, en ciertos casos habr que prevenir el envo de las BPDU o su proceso en uno o ms puertos del switch. Para conseguir este objetivo se puede utilizar filtrado de las BPDU que por defecto est deshabilitado en todos los puertos del switch. La configuracin puede hacerse de manera global afectando de esta manera a todos los puertos utilizando el siguiente comando:
Switch(config)# spanning-tree portfast bpdufilter default

Todos los puertos que tienen Port Fast habilitado tambin tendrn los filtros BPDU habilitados. De la misma forma puede configurarse hacerse por puertos:
Switch(config-if)# spanning-tree bpdufilter {enable | disable}

RESOLUCION DE FALLOS EN LA PROTECCIN DE STP


Debido a que existen diversos mtodos de proteccin de STP disponibles, la siguiente tabla expone algunos de los comandos necesarios para la resolucin y anlisis de fallos: Comando
Switch# show spanning-tree inconsistentports Switch# show spanning-tree interface type mod/num [detail]

Funcin
Lista los puertos que estn en un estado inconsistente. Muestra razones detalladas de inconsistencias.

www.FreeLibros.com

382

REDES CISCO. CCNP a Fondo

RA-MA

Switch# show spanning-tree summary Switch# show udld [type

Muestra el estado de las BPDU. Muestra el estado del UDLD en uno o ms puertos. Rehabilita puertos que UDLD agresivo ha puesto en errdisable.

mod/num]
Switch# udld reset

RAPID SPANNING TREE PROTOCOL


RSTP est definido en el estndar IEEE 802.1W y fue desarrollado para usar los conceptos principales del estndar 802.ID pero con un tiempo de convergencia mucho ms rpido. RSTP puede ser aplicado a una o mltiples instancias, es decir a una o varias VLAN. Para aplicarlo a varias VLAN se utiliza el mecanismo propietario de Cisco PVST+ de tal forma que con esta combinacin se consigue la versin rpida RPVST+. RSTP tambin puede ser utilizado como parte de MST (Mltiple Spanning Tree) del estndar 802.IS.

Funcionamiento de RSTP
En el estndar 802.ID, como se explic en prrafos anteriores, cada puerto del switch tiene diferentes roles y estados, slo el estado enviando permite enviar y recibir datos. El estado del puerto est vinculado con el rol que debe cumplir, un puerto que est bloqueando no podr ser nunca un puerto raz o designado. RSTP lleva a cabo una rpida convergencia dejando a cada switch interactuar con sus vecinos a travs de cada puerto. Esta interaccin se lleva a cabo basndose en el rol de cada puerto y no de manera estricta segn las BPDU, que son enviadas desde el root bridge. Luego de la determinacin del rol cada puerto obtiene un estado que indica que hacer con los datos que le llegan. En una topologa RSTP el root bridge se elige de la misma manera que en el estndar 802.ID. Una vez que todos los switch estn de acuerdo en la identificacin del root, se determinan los roles de los puertos que pueden ser los siguientes: Root port, es el puerto raz con el menor root path cost hacia el root bridge.

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

383

Designated port, es el puerto designado de un segmento de LAN que est ms cerca del root. Este puerto es el que enva las BPDU hacia abajo en el rbol de STP.

Alternate port, es un puerto que tiene un camino alternativo hacia el root y diferente del camino que utiliza el root port para llegar al root bridge. Este camino es menos deseable que el root port. Backup port, proporciona redundancia en un segmento donde otro switch est conectado. Si este segmento comn se pierde el switch no podra tener otro camino hacia el root.

RSTP slo define estados de puertos acorde a lo que el switch hace con las tramas que le llegan. Un puerto puede tener algunos de los siguientes estados: Descartando, las tramas de entrada simplemente son eliminadas, no se aprende ninguna direccin MAC; este estado combina los estados desconectado, bloqueando y aprendiendo del 802.ID. Aprendiendo, las tramas que le llegan son eliminadas pero las direcciones MAC quedan almacenadas. Enviando, las tramas de entrada son enviadas acorde a la direccin MAC que han sido aprendidas.

BPDU en RSTP
En STP las BPDU se originan en el root bridge y se envan a todos los switches que estn por debajo del rbol; debido a esta propagacin de las BPDU la convergencia en 802.ID tiene que esperar que se cumplan todas las condiciones para hacerse efectiva. RSTP utiliza el mismo formato de BPDU para compatibilidad con STP, pero algunos de los bits que no son utilizados en el campo type ahora sern usados. El puerto del switches que esta enviando se identifica a s mismo por su rol y estado en RSTP, el campo de la versin de BPDU se pone a un valor de 2 para distinguirlas de su antecesor. RSTP utiliza un proceso interactivo mediante el cual dos switches vecinos pueden negociar cambios de estado. Algunos de los bits de las BPDU se utilizan como identificadores en los mensajes durante esta negociacin. Las BPDU se envan por todos los puertos del switch en los intervalos helio sin importar si son recibidas o no desde el root. De esta manera cualquier switch en cualquier ubicacin de la red puede desempear un rol activo en el mantenimiento de la topologa. Los switches tambin pueden recibir BPDU de manera regular desde sus vecinos. Cuando se pierden varias BPDU seguidas se

www.FreeLibros.com

3 84

REDES CISCO. CCNP a Fondo

RA-MA

presume que el vecino ha cado y toda la informacin relativa de los puertos hacia el vecino se elimina automticamente. Esto significa que el switch puede detectar un fallo en el vecino dentro de 3 veces el intervalo helio, por defecto 6 segundos, en lugar de esperar que expire el tiempo del temporizador max age como en el caso de STP 802. ID. Debido a que RSTP distingue las BPDU 802.ID pueden coexistir ambas versiones. Cada puerto intentar operar acorde a las BPDU de STP que recibe. Existe un temporizador especfico que mantiene el protocolo que ha escuchado el puerto y no lo cambia hasta recibir otra versin de STP diferente.

Convergencia de RSTP
La convergencia de RSTP en una red es el proceso que demanda a los switches pasar desde un estado de independencia a un estado de uniformidad en el que todos los switches estn de acuerdo sobre quin es el root y se crea una topologa libre de bucles. La convergencia es un proceso de dos estados: 1. Un root bridge comn debe ser elegido y todos los switches tienen que tener conocimiento de l. 2. El estado de todos los puertos de cada uno de los switch en el dominio de STP tiene que pasar desde el estado bloqueando al estado apropiado para prevenir bucles. La convergencia toma un tiempo porque los mensajes tienen que ser propagados de switch a switch. El STP tradicional tambin requiere adems que varios temporizadores expiren para que los puertos puedan de manera segura transmitir datos. RSTP tiene una manera diferente de operar, el switch toma la decisin de enviar trfico o no, basndose en el tipo de puerto.

Tipos de puertos
Cada puerto del switch puede ser reconocido como uno de estos tipos: Puerto frontera, ste es un puerto en el borde de la red. Normalmente lo nico que conecta son terminales. Tradicionalmente este tipo de puerto se ha identificado con la caracterstica port fast, RSTP mantiene el mismo concepto. En este puerto no se puede crear un bucle ya que est conectado a un host por lo tanto puede de manera inmediata pasar l estado de

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

385

enviando, pero si por alguna razn se escuchan BPDU automticamente pierde su estado de ltimo puerto o frontera (edge). Puerto raz, es el puerto que tiene el mejor coste hacia el root en la instancia de STP. Solamente un puerto raz puede ser seleccionado al mismo tiempo, aunque pueden existir varios puertos alternativos. En el caso de la existencia de caminos alternativos los puertos son identificados como puertos raz alternativos y pueden, de manera inmediata, enviar trfico en el caso de que el puerto raz falle. Puerto punto a punto, es cualquier puerto que conecte hacia otro switch y se convierta en puerto designado. Un rpido reconocimiento con el vecino define el estado del puerto en lugar de los tpicos temporizadores. El intercambio de las BPDU se realiza de comn acuerdo. Un switch propone que su puerto sea el designado, si el otro switch est de acuerdo responde con un mensaje de confirmacin.

Los puertos punto a punto son determinados de manera automtica por el modo dplex en uso. Los puertos full dplex son considerados punto a punto porque solamente 2 switches pueden pertenecer al enlace. La convergencia de STP puede acontecer rpidamente en enlaces punto a punto a travs de saludos de dos vas RSTP entre los switches. Los puertos half dplex se considera que estn en un medio compartido con la posibilidad de que existan 2 o ms switches, por lo que no sern puertos punto a punto. En estos casos se utiliza el sistema de convergencia tradicional STP 802.ID, por lo que los tiempos de convergencia son ms elevados.

Sincronizacin
Para participar en la convergencia de RSTP un switch debe decidir el estado de cada uno de sus puertos. Los puertos que no son frontera comienzan en el estado descartando, luego de que las BPDU se intercambian entre el switch y sus vecinos se identifica el puerto raz. Si un puerto recibe una BPDU desde un vecino ese puerto es el raz. Para cada puerto que no sea frontera el switch intercambia un saludo de dos vas en forma de propuesta/acuerdo para decidir el estado de cada extremo del enlace, cada switch asume entonces que sus puertos deberan llegar a ser

www.FreeLibros.com

386

REDES CISCO. CCNP a Fondo

r a -m a

puertos designados para ese segmento. Un mensaje de propuesta sugiriendo este mecanismo se enva a los vecinos del switch. Cuando un switch recibe un mensaje de propuesta en un puerto ocurre lo siguiente: 1. Si la propuesta del que enva tiene una BPDU superior, el switch local se da cuenta de que el que enva debe ser el switch designado y su puerto toma el rol de nuevo puerto raz.

2. Antes de que el switch est de acuerdo debe sincronizarse a s mismo con la topologa. 3. Todos los puertos que no sean frontera, son movidos inmediatamente al estado descartando (bloqueando) de tal manera que no puedan formar bucles. 4. Se enva un mensaje de acuerdo de regreso al emisor indicando que el switch est de acuerdo con la nueva eleccin del puerto designado. Adems se informa del proceso de sincronizacin a los dems switch.

5. El puerto raz se pasa inmediatamente al estado enviando, pudiendo ya enviar datos. 6. Por cada puerto que no sea frontera que est en estado descartando, enva un mensaje de propuesta al vecino respectivo. 7. Un mensaje de acuerdo es recibido desde un vecino en un puerto que no sea frontera. 8. El puerto que no es frontera inmediatamente se mueve al estado enviando.

www.FreeLibros.com

RA-MA

CAPITULO 14. STP

387

La siguiente figura muestra este proceso:

1-Propuesta

4-Acuerdo

5-Enviando 2-Sincronizando

><

3-Bloqueando

7-Acuerdo

8-Enviando

La convergencia de RSTP comienza con un switch enviando un mensaje de propuesta, el receptor de la propuesta debe sincronizarse el mismo para efectivamente aislarse del resto de la topologa. Todos los puertos que no sean frontera son bloqueados hasta que mensaje de propuesta pueda enviarse, causando que todos los vecinos sincronicen a s mismos. Este mecanismo crea una ola de sincronizacin en switches en la que pueden decidir aceptar los enlaces si los vecinos estn acuerdo. un se los de

La siguiente figura muestra cmo la ola de sincronizacin viaja a travs de la red en 3 intervalos de tiempo sucesivos. Junto con la ola se aslan los switches previniendo de esta forma los bucles de red:

www.FreeLibros.com

388

REDES CISCO. CCNP a Fondo

RA-MA

P ro p u e s ta

Todo el proceso de convergencia pasa rpidamente a la velocidad de la transmisin de las BPDU sin necesidad de temporizadores, un puerto designado que enva un mensaje de propuesta podra no recibir un mensaje de acuerdo. Si el switch vecino no entiende RSTP o tiene un problema en responder, el switch que est enviando tendr que seguir los parmetros de STP 802.ID. El puerto debe moverse a travs de los estados escuchando y aprendiendo antes de enviar datos.

Cambios de topologa en RSTP


RSTP detecta un cambio de topologa slo cuando un puerto que no es frontera pasa al estado enviando. RSTP utiliza todos sus mecanismos de convergencia para prevenir rpidamente los bucles de red. Los cambios de topologas son detectados de tal forma que las tablas de bridging son actualizadas y corregidas en los puertos que han cambiado de estado. Cuando el cambio de topologa se detecta, el switch propaga los nuevos cambios a otros switch en la red, de tal manera que puedan, actualizar tambin sus tablas de bridging. Este proceso es similar al mecanismo de convergencia y sincronizacin, los mensajes TC (Topology Change) se propagan a travs de la red en una ola expansiva.

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

389

Las BPDU con su bit TC configurado se envan a travs de todos los puertos designados que no sean frontera hasta que el temporizador TC expira (2 intervalos del temporizador helio). Esta notificacin da aviso del nuevo cambio de topologa, adems de que todas las direcciones MAC asociadas con los puertos designados que no son frontera son eliminadas de la CAM. Este mecanismo fuerza a que las nuevas direcciones sean aprendidas despus del cambio, cuando los host estn en enlaces diferentes. Todos los switches vecinos que reciben los mensajes TC tambin tienen que eliminar las tablas MAC aprendidas en todos los puertos excepto en el que recibe el mensaje TC. Los switches enviarn los mensajes TC a travs de todos los puertos designados que no sean frontera y as sucesivamente hasta completar la topologa.

CONFIGURACIN DE RSTP
Por defecto los switches operan en el modo PVST+ usando el STP 802.ID tradicional. RSTP no puede ser utilizado hasta que un modo diferente de STP est habilitado, RSTP es un mecanismo que est por debajo de MST o RPVST+. Los nicos cambios de configuracin relativos a RSTP afectan al tipo de enlace o puerto para saber cmo se va a negociar la informacin de la topologa con los vecinos. Para configurar un puerto para RSTP frontera se utiliza el siguiente comando:
Switch(config-if)# spanning-tree portfast

Este comando es similar al de STP 802.ID, una vez habilitado el puerto el switch considera que slo tiene host conectados y es por lo tanto un puerto frontera. Por defecto RSTP automticamente decide que un puerto es punto a punto cuando est operando en full dplex como en el caso de los .puertos conectados a otros switches. Por alguna razn necesaria el puerto puede forzarse a transmitir en half dplex, para que funcione en modo punto a punto puede utilizarse el siguiente comando:
Switch(config-if)# spanning-tree link-type point-to-point

www.FreeLibros.com

390

REDES CISCO. CCNP a Fondo

RA-MA

RAPID PER-VLAN STP


La eficiencia de cada instancia de STP puede mejorarse configurando el switch para que utilice RSTP esto significa que cada VLAN tendr su propia instancia independiente de RSTP ejecutndose en el switch, conocido como RPVST+ (Rapid Per VLAN STP plus). Solamente en necesario un paso en la configuracin para cambiar el modo se STP para comenzar a utilizar RPVSTP+, esto se lleva a cabo con el siguiente comando:
Switch(config)# spanning-tree mode rapid-pvst

Este comando debe utilizarse con cuidado cuando la red est en produccin debido a que cualquier proceso de STP que est en actividad se reiniciar. Este proceso hara que cualquier enlace que est funcionando en la red tuviera que pasar por todos los estados de STP dejando la red no disponible durante un perodo de tiempo con la consiguiente prdida de datos. Para volver al modo tradicional de STP se utiliza el siguiente comando:
Switch(config)# spanning-tree mode pvst

Los switches vecinos tienen que soportan ambos protocolos, tanto RSTP como 802.ID. El switch puede detectar el tipo de STP del vecino por la versin que recibe en las BPDU. El comando show spanning-tree van sirve para ver la versin que se est utilizando.
Switch# show spanning-tree van 441 VLAN0441 Spanning tree enabled protocol rstp Root ID Priority 4267 Address OOdO.0457.38aa Cost 3 Port 833 (Port-channel1) Helio Time 2 sec Max Age 20 sec Forward Delay 15 sc

La salida anterior muestra la informacin relativa a la instancia RSTP para la VLAN 441, en este caso la versin que se esta utilizando es RSTP.

MULTIPLE SPANNING TREE PROTOCOL


MST (Mltiple Spanning Tree Protocol) permite ejecutar en una o ms VLAN una sola instancia de STP de tal manera que permite ajustar las configuraciones a los requerimientos necesarios. MST es conocido con el estndar 802.IS.

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

391

MST est constituido bajo el concepto de asociar una o ms VLAN a una sola instancia STP, mltiples instancias de STP pueden ser utilizadas cada una de ellas soportando grupos diferentes de VLAN. Cada instancia puede ser configurada de manera que enve trfico direccionalmente segn las VLAN asociadas con dichas instancias. Para configurar MST en una red son necesarios los siguientes requisitos: Determinar el nmero de instancias necesarias para soportar las topologas necesarias. Comprobar si es necesario asociar un conjunto de VLAN a cada instancia.

Regiones MST
MST difiere de los otros tipos de STP, aunque puede inter operar con ellos. Si un switch est configurado para MST tiene que averiguar cules de sus vecinos tambin ejecutan MST. Este mecanismo se hace a travs de la configuracin de regiones. Cada switch en una regin ejecuta ciertos parmetros de MST compatibles con otros switches dentro de dicha regin. En la mayora de las redes, una sola regin es suficiente aunque es posible la configuracin de ms de una. Dentro de cada regin todos los switches tienen que ejecutar las mismas instancias de MST y los siguientes atributos: 1. Nombre de configuracin de MST 2. Nmero de revisin de MST 3. Tablas de instancias asociadas a VLAN de MST Cuando dos switches tienen el mismo nmero y conjuntos de atributos entonces pertenecen a la misma regin, de lo contrario se encuentran en regiones separadas. Las BPDU de MST contienen atributos de configuracin de tal manera que los switches que reciben estas BPDU pueden compararlas contra la configuracin MST local. Si los atributos coinciden la instancia MST ser compartida como parte de la misma regin, de lo contrario el switch es visto como parte de otra regin. Cuando hay un lmite entre dos regiones cada regin ve a la otra como si fuera STP 802.ID.

www.FreeLibros.com

392

REDES CISCO. CCNP a Fondo________________________________________________________ RA-MA

Instancias de STP dentro de MST


MST fue diseado para inter operar con todas las formas de STP de tal manera que tiene que soportar instancias de cada una de ellas. Para comprender mejor este concepto hay que pensar en el rol de la red con una sola topologa CST, de tal manera que una instancia de STP representa todas y cada una de las VLAN as como las regiones MST. Dicha CST mantiene una topologa libre de bucles a la vez que integra todas las formas de STP que pudieran estar en uso. Para hacer esto CST ve cada regin como una nube, integrndola como si fuera un nico switch ya que no tiene idea de los que hay en esa regin. CST mantiene una topologa libre de bucles solamente con los enlaces que conectan las regiones entre s y a switches independientes con 802.1Q CST.

Instancias IST
Dentro de cada regin MST se ejecuta una instancia IST (Intemal Spanning Tree) para mantener actualizada la topologa libre de bucles entre los enlaces donde CST conoce los lmites entre regiones y todos los switches dentro de stas. Una instancia IST es como una CST localmente significativa unida a los switches frontera de cada regin. El IST representa la regin entera como un slo bridge virtual hacia el CST exterior. Las BPDU se intercambian a travs de la VLAN nativa en los lmites de la regin como si estuviera operando un slo CST.

IST

Instancias MST
MST posee la capacidad de mapear mltiples VLAN a un nmero determinado de instancias STP. Dentro de una regin las instancias reales de MST (MSTI) existen junto con IST. Cisco soporta un mximo de 16 MSTI en cada

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

393

regin. IST figura como MSTI con el nmero 0 y estn disponibles desde el 1 al 15. La siguiente figura muestra como las diferentes MSTI pueden existir dentro de una regin MST. La porcin de la izquierda es idntica a la figura anterior, 2 instancias MST 1 y MST 2 estn configuradas con VLAN diferentes mapeadas a cada una. Sus topologas siguen la estructura de nombre de la red pero cada una converge de manera diferente.
MSTI i

Dentro de la nube MST existen 3 instancias independientes de STP coexistiendo, MST 1, MST 2 Y IST. Slo IST (MST 0) enva y recibe BPDU MST conteniendo informacin de cada una de las instancias. Cada una de las MSTI se combina con la IST slo en el lmite de la regin para formar un sub-rbol de CSP. Slo BPDU IST sern enviadas fuera de la regin.

www.FreeLibros.com

394

REDES CI SCO. CCNP a Fondo

RA-MA

CONFIGURACIN DE MST
Los atributos de MST se configuran de manera manual en cada regin, no existe ningn mtodo automtico para propagar esta informacin de un switch a otro. Para definir una regin MST se utiliza la siguiente serie de comandos: 1. Habilitar MST en el switch:
Switch(config)# spanning-tree mode mst

2. Entrar en el modo de configuracin de MST :


Switch(config)# spanning-tree mst configuration

3. Asignar un nombre de configuracin de regin con un mximo de 32 caracteres:


Switch(config-mst)# ame ame

4. Asignar un nmero de revisin para la regin en un rango de 0 a 65535.


Switch(config-mst)# revisin versin

Este nmero sirve para determinar los cambios ocurridos en la configuracin. Cada vez que se efecta un cambio este nmero se incrementa en 1. La configuracin de la regin incluyendo el nmero de revisin tiene que ser igual en todos los switches de la regin. 5. Asociar las VLAN a instancias de MST:
Switch(config-mst)# instance instance-id van vlan-list

Los nmeros de VLAN pueden estar dentro del rango de 1 a 4094, por defecto todas las VLAN estn mapeadas a la instancia 0 de IST. 6. Se verifican los cambios pendientes:
Switch(config-mst)# show pending

7. Al salir del modo de configuracin se activa el proceso:


Switch(config-mst)# exit

Despus de que MST ha sido habilitado y configurado, las operaciones de PVST+ se detienen y el switch cambia a la configuracin RSTP. Un switch no puede ejecutar a la vez MST y PVST+. Es posible adems configurar los parmetros que utiliza MST cuando interacta con CST o 802.ID tradicional, los

www.FreeLibros.com

RA-MA

CAPTULO 14. STP

395

parmetros y temporizadores son idnticos y los comandos muy similares exceptuando por el parmetro MST. La siguiente tabla resume dichos comandos: Comando
Switch(config)# spanning-tree mst instance-id root {primary | secondary} [diameter diameter ] Switch(config)# spanning-tree mst instance-id priority bridgepriority Switch(config)# spanning-tree mst instance-id cost cost Switch(config)# spanning-tree mst instance-id port-priority portpriority Switch(config)# spanning-tree mst helio-time seconds Switch(config)# spanning-tree mst forward-time seconds Switch(config)# spanning-tree mst max-age seconds

Descripcin
Configura el root bridge.

Configura la prioridad del bridge.

Configura el coste del puerto.

Configura la prioridad del puerto.

Configura los temporizadores STP.

www.FreeLibros.com

www.FreeLibros.com

Captulo 15

CONMUTACIN MULTICAPA
ENRUTAMIENTO ENTRE VLAN
En captulos anteriores se describe el funcionamiento de las VLAN. Bsicamente una VLAN es un dominio de diisin tpicamente usado para separar dispositivos generalmente en capa de acceso. Para el envo y recepcin de paquetes entre las VLAN es posible utilizar cualquiera de estos mecanismos: Un router con conexiones fsicas hacia cada una de las VLAN. Un router con conexiones lgicas hacia cada una de las VLAN. Un switch multicapa.

Los switch multicapa pueden realizar conmutacin de. capa 2 con interfaces de capa 2 y enrutamiento entre VLAN con interfaces de capa 3. Estas interfaces de capa 3 podran ser puertos del switch o interfaces SVI (Switch Virtual Interface), que es una interfaz de capa 3 virtual asignada a una VLAN. La siguiente figura muestra cmo se pueden utilizar los diferentes tipos de interfaz:

www.FreeLibros.com

398

REDES CISCO. CCNP a Fondo

RA-MA

VLAN 3

VLAN 4

VLAN 2 VLAN 3 VLAN 4

Switch Multicapa

CONFIGURACIN DE ENRUTAMIENTO ENTRE VLAN


Para poder enrutar entre VLAN es necesario el servicio de un dispositivo capaz de realizar enrutamiento capa 3 a travs de un protocolo de enrutamiento o rutas estticas. Debido a que los switches multicapa cuentan con diferentes tipos de interfaces es necesario especificar de qu manera ser utilizada cada interfaz del switch. Dependiendo del modelo los puertos sern por defecto de capa 2 (Cisco series 2950, 3560, 4500) o capa 3 (Cisco series 6500). Un puerto puede ser de capa 2 o capa 3 dependiendo de la configuracin del comando switchport. Para ver en qu capa est configurado el puerto se puede utilizar el siguiente comando:
Switch# show interface type mod/num switchport

Si la salida muestra switchport como enabled o habilitado entonces el puerto ser de capa 2 si lo muestra como disabled o deshabilitado ser de capa 3.
Switch# show interface gigabitethernet 0/1 switchport ame: Gi0/1 Switchport: Disabled Switch#

www.FreeLibros.com

RA-MA

CAPTULO 15. CONMUTACIN MULTICAPA

399

Configuracin de un puerto de capa 2


Para configurar un puerto para que opere a nivel de capa 2 se utiliza el siguiente comando:
S wi t c h ( c o n f i g ) # interface type mod/num S w i t c h ( c o n f i g - i f )# switchport

Configuracin de un puerto de capa 3


Para configurar un puerto para que trabaje a nivel de capa 3 se utiliza el siguiente comando:
Switch(conf ig)# interface type mod/num Switch(conf ig-if)# no switchport
S w i t c h (config-if)# ip address ip-address mask [secondary]

Hay que tener en cuenta que el ltimo comando sirve para darle una direccin IP al puerto una vez convertido a capa 3.

Configuracin de la interfaz SVI


Es posible asignar una direccin IP a una interfaz virtual SVI (Switch Virtual Interface) que identifique a una VLAN en particular, lo que resulta de suma utilidad cuando existe trfico que entra y sale de dicha VLAN. En la figura anterior se observa la interfaz virtual VLAN 10, que utiliza los puertos de capa 2 para recibir o enviar trfico. Para configurar una

SVI se utilizan los siguientes comandos:

Switch(config)# interface van vlan-id Switch(config-if)# ip address ip-address mask [secondary]

Para que la interfaz SVI funcione correctamente se debe crear previamente la VLAN y que a su vez est activa y asignada a algn puerto de capa 2 que est habilitado. La interfaz SVI no debe estar en el estado shutdown. La siguiente sintaxis muestra la configuracin de una interfaz SVI:
Switch(config)# van 100 Switch(config-vlan)# ame CCNP Switch(config-vlan)# exit Switch(config-if)#interface fastethernet 0/1 Switch(config-if)#switchport access van 100

www.FreeLibros.com

400

REDES CISCO. CCNP a Fondo

r a -m a

Switch(config)# interface van 100 Switch(config-if)# ip address 192.168.0.1 255.255.255.0 Switch(config-if)# no shutdown

CONMUTACIN MULTICAPA CON CEF


Los switches Catalyst pueden usar diferentes mtodos de envo de trfico, CEF (Cisco Express Forwarding) es el ms comnmente utilizado en la actualidad. El switching multicapa comenz como una tcnica combinada entre la procesadora de enrutamiento RP (Routing Processor) y el mecanismo de switching SE (Switching Engine). El funcionamiento de este mecanismo consiste en que el primer paquete sea procesado por la RP y los siguientes por la SE. A este proceso se lo conoce como NetFlow o route cache switching. Route cache switching ha dado paso a un mecanismo ms eficiente basado en la bsqueda dinmica de informacin en las tablas, el llamado CEF. Las siguientes plataformas permiten implementar CEF en hardware y dependiendo del tipo de IOS lo tendrn habilitado por defecto: 2950; 3550; 3560; 3750; 4500 con Supervisor III, IV o V; 6500 con Supervisor 2/MSFC2 o Supervisor 720/ MSFC3 integrada. CEF espera a que la tabla de enrutamiento de capa 3 est construida para entonces generar de manera dinmica la tabla de envo de paquetes o tabla CEF que permitir conmutar dichos paquetes rpidamente. Dependiendo de la plataforma CEF suele estar configurado por defecto. Para deshabilitarlo es posible utilizar los comandos no ip route-cache cef o no ip cef. Para habilitarlo nuevamente bastar con el comando ip cef.

FIB
En la tabla de enrutamiento consta toda la informacin de capa 3 ordenada con las entradas ms especficas en primer lugar. La FIB (Forwarding Information Base) es la tabla utilizada por CEF, se construye dinmicamente a partir de la tabla de enrutamiento. Cuando la tabla de enrutamiento se modifica, la FIB se actualiza automticamente. Dicha tabla tambin tiene las entradas ordenadas por el criterio sobre cules son las ms especficas y cuenta adems con la informacin sobre el prximo salto.

www.FreeLibros.com

RA-MA

CAPTULO 15. CONMUTACIN MULTICAPA

401

Se puede ver la FIB asociada con una interfaz o VLAN usando el siguiente
comando:
Switch#show ip cef [type mod/num | van vlan-id] [detail]

La siguiente sintaxis muestra un ejemplo de las entradas de la FIB:


Switch# show ip cef van 100

prefix 10.1.1.0/24 10.1.1.2/32 10.1.1-3/32

Next Hop attached 10.1.1.2 10.1.1.3

Interface VlanlOO VlanlOO VlanlOO

Las entradas FIB pueden verse tambin especificando un prefijo y mscara de subred a travs del siguiente comando:
Switch#show [detail] ip cef [prefix-ip prefix-mask] [longer-prefixes]

La siguiente sintaxis muestra la FIB asociada a un prefijo especfico, el parmetro longer-prefixes hace que se muestre cualquier prefijo incluido dentro de esa mscara, no solamente el especfico.
Switch# show ip cef 110.10.0.0 255.255.0.0 Next Hop Interface Prefix attached 110.10.1.0/24 VlanlOO 110.10.1.2/32 VlanlOO 10.1.1.2 110.10.1.3/32 VlanlOO 10.1.1.3 attached Vlanl05 110.10.2.0/24 192.168.1.2 Vlan30 110.10.3.0/26 192.168.1.3 Vlan30 192.168.1.2 Vlan30 110.10.3.64/26 192.168.1.3 Vlan30 192.168.1.4 Vlan30 110.10.3.18/26 192.168.1.3 Vlan30

Con el parmetro detail se obtiene informacin ms detallada:


Switch# show ip cef 110.10.3.0 255.255.255.192 detail 110.10.3.0/26, versin 270, epoch 0, per-destination sharing 0 packets, 0 bytes via 192.168.1.2, Vlan30, 0 dependencies traffic share 1 next hop 192.168.1.2, Vlan30 valid adjacency via 192.168.1.3, Vlan30, 0 dependencies traffic share 1 next hop 192.168.1.3, Vlan30

www.FreeLibros.com

402

REDES CISCO. CCNP a Fondo

RA-MA

valid adjacency 0 packets, 0 bytes switched through the prefix tmstats: external 0 packets, 0 bytes internal 0 packets, 0 bytes

El contador versin indica el nmero de veces que la entrada ha sido actualizada desde que la tabla fue generada. El contador epoch indica el nmero de veces que toda la tabla CEF ha sido eliminada y regenerada. Tambin se detalla que para llegar a la subred 110.10.3.0/26 existen dos posibles saltos, lo que indica que se hace balanceo de carga por destino. Una vez que la tabla de CEF est construida los paquetes sonconmutados mediante el SE, que es mucho ms eficiente y rpido que una bsqueda en la tabla de enrutamiento mediante el RP. En algunas situaciones este proceso no puede funcionar debidamente, algunas de las posibles causas de que un paquete no pudiera ser enviado mediante la FIB pueden ser: La entrada no se puede localizar en la FIB. La FIB est llena. El TTL del paquete IP se ha agotado. La MTU es excedida por lo que el paquete ha de ser fragmentado. Un ICMP Redirect est involucrado. El tipo de encapsulacin no es soportado. Los paquetes encriptacin. son tunelizados, requiriendo compresin o

Una ACL con la opcin log configurada en ella ha sido activada. NAT ha de ser usado (excepto para los Catalyst 6500 Sup 720 que lo implementan en hardware).

CEF adems de poder utilizarse en una simple plataforma de hardware como es el caso, por ejemplo, de los switches 3560, tambin puede usarse de manera distribuida cuando el hardware lo permite, a esto se le conoce como distributed CEF o dCEF. DCEF permite que por ejemplo los mdulos de los 6500 puedan guardar instancias independientes de CEF liberando as a las tarjetas supervisoras de dicha carga.

www.FreeLibros.com

RA-MA

CAPTULO 15. CONMUTACIN MULTICAPA

403

Tabla de adyacencias
Un router guarda una tabla que contiene informacin de capa 3 con prefijos y prximos saltos, una tabla ARP que contiene las asociaciones entre la capa 3 y la correspondiente direccin de capa 2, dichas tablas son guardadas de forma
independiente.

FIB guarda el prximo salto para cada entrada y adems la direccin de capa 2 asociada con esa puerta de enlace. Esta parte de la FIB es conocida como tabla de adyacencias. Para mostrar esta tabla se utiliza el siguiente comando:
Switch#show adjacency [type mod/num \ van vlan-id ] [summary | detail]

Con el parmetro summary se puede conocer el nmero total de adyacencias a travs de una interfaz o SVI, como se muestra en la siguiente sintaxis:
Switch# show adjacency summary Adjacency Table has 106 adjacencies Table epoch: 0 (106 entries at this epoch) Interface Adjacency Count 21 Vlan30 3 VlanlOO 1 VlanlOl 47 Vlanl02 7 Vlanl03 27 Vlanl05

Con el parmetro detail se obtiene informacin detallada sobre las adyacencias, como se muestra en la siguiente sintaxis:
Switch# show adjacency van 30 detail

Protocol IP

Interface Vlan30

IP

Vlan30

Address 192.168.1.2(5) 0 packets, 0 bytes 000A5E45B145000E387D51000800 ARP 01:52:50 Epoch: 0 192.168.1.3(5) 1 packets, 104 bytes 000CF1C909A0000E387D51000800 ARP 04:02:11

Epoch: 0

En las entradas de la sintaxis se aprecia la direccin IP y la MAC del host directamente conectado. La MAC corresponde a los primeros 6 octetos del cdigo

www.FreeLibros.com

404

REDES CISCO. CCNP a Fondo

RA-MA

en hexadecimal, el resto de la cadena est formado por la MAC de la interfaz de capa 3 y por el valor EtherType que para IP es 0x800. La tabla de adyacencias se construye a partir de la tabla ARP, como se muestra en el ejemplo anterior, utilizando el temporizador age. En caso de no conocerse una entrada ARP, la entrada en la FIB aparecer como CEF glean. Esto significa que CEF no puede enviar paquetes debido a que desconoce la direccin de capa 2, en este caso ser necesario que la maquinaria de capa 3 genere un ARP request para obtener un ARP reply con dicha informacin. La siguiente sintaxis muestra un ejemplo del estado glean:
Switch# show ip cef adjacency glean Prefix Next Hop Interface 10.1.1.2/32 attached VlanlOl 127.0.0.0/8 attached EOBCO/O

Switch# show ip arp 10.1.1.2 Switch# show ip cef 10.1.1.2 255.255.255.255 detail 10.1.1.2/32, versin 688, epoch 0, attached, connected 0 packets, 0 bytes via VlanlOl, 0 dependencies valid glean adjacency

Los paquetes recibidos durante el tiempo en el que una entrada en la FIB est en estado glean esperando por la resolucin ARP son descartados para evitar que la colas se llenen y que la maquinaria de capa 3 se sobrecargue enviando peticiones ARP duplicadas. Esto es conocido como throttling. En caso de no recibir un ARP reply en 2 segundos, el throttling es liberado y se enva otro ARP request. Cuando el ARP reply es recibido el throttling es liberado y la entrada FIB se completa de manera que los paquetes puedan ser enviados usando hardware. La tabla de adyacencias puede contener tambin estos tipos de entradas: Nuil adjacency: usada para conmutar paquetes destinados a la interfaz nuil. Dicha interfaz absorbe el trfico destinado hacia ella sin realmente enrutarlo, simplemente lo elimina. Drop adjacency: usada para conmutar paquetes que no pueden ser enviados debido a un fallo en la encapsulacin, a una direccin que no se puede resolver, un protocolo no soportado, falta de ruta, falta de adyacencia o error de checksum. El siguiente comando muestra la informacin contenida:

www.FreeLibros.com

RA-MA

CAPTULO 15. CONMUTACIN MULTICAPA

405

Switch# show cef drop CEF Drop Statistics Slot Encap_fail Unresolved Unsupported No_route No_adj ChkSum_ Err

RP 8799327 Switch#

45827

5089667

32

Discard Adjacency: usada cuando los paquetes son descartados debido a una ACL u otro tipo de poltica. Punt Adjacency: usada cuando los paquetes han de ser enviados a la maquinaria de capa 3 para un procesamiento ms intensivo, las razones para ello aparecen en los contadores de la siguiente sintaxis:
Switch# show cef not-cef-switched CEF Packets passed on to next switching layer Slot No_adj No_encap Unsupp'ted Redirect Receive Options Access Frag
RP

3579706 0 0 Switch#

41258564

Modificando paquetes
Antes de que un paquete pueda ser enviado usando CEF la cabecera del paquete debe ser modificada reescribiendo ciertos parmetros. La siguiente lista muestra los cambios efectuados a los paquetes que se enviarn a travs de CEF: Direccin de destino de capa 2, se cambia por la MAC del siguiente salto. Direccin de origen de capa 2, se cambia por la MAC de la interfaz de capa 3 de salida del switch. El TTL de IP disminuye en una unidad. El checksum de IP se recalcula. El checksum de capa 2 se recalcula.

Estas tareas son llevadas a cabo tambin en un router tradicional, pero un switch multicapa cuenta con hardware especfico para reescribir el paquete que hace que el rendimiento y la velocidad sean mayores.

Fallback bridging
Para aquellos protocolos que CEF no puede enrutar en un switch como ocurre con Appletalk, IPX, SNA o LAT, se utiliza Fallback bridging, que se basa

www.FreeLibros.com

406

REDES CISCO. CCNP a Fondo

RA-MA

en la asociacin de cada SVI con las VLAN en las que residen protocolos no enrutables a un grupo denominado bridge group, de tal manera que las VLAN asociadas al mismo bridge group pueden enviarse trfico de manera transparente. Los bridge groups usados en fallback bridging no interactan con el switching normal de capa 2. Mantienen una instancia especial de STP denominada VLAN-Bridge STP que no intercambia BPDUs con STP del tipo 802.Id, RSTP o MST. Para configurar fallback bridging primero debe definirse un grupo:
Switch(config)#bridge-group bridge-group protocol vlan-bridge

Posteriormente se asignan las SVI dentro del grupo:


Switch(config)#interface van vlan-id Switch(config-if)#bridge-group bridge-group

Es posible configurar hasta 31 grupos en un switch. Para configurar VLAN-Bridge STP se utilizan las diferentes opciones del comando bridge-group bridge-group.

VERIFICACIN DE CONMUTACIN MULTICAPA


Para verificar la configuracin de capa 2 de un puerto se utiliza el siguiente comando:
Switch#show interface type mod/num switchport Switch# show interface fastethernet 1/0/33 switchport ame: Fal/0/33 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dotlq Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none

www.FreeLibros.com

RA-MA

CAPTULO 15. CONMUTACIN MULTICAPA

407

Operational private-vlan: none Trunking VLANs Enabled: ALL pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL

La salida muestra la VLAN de acceso o el modo de trunk utilizado y la VLAN nativa. Los modos administrativos muestran de qu manera ha sido configurado el puerto mientras que los modos operacionales muestran el estado activo del puerto. Puede utilizarse el mismo comando para verificar la configuracin de un puerto de capa 3, en este caso la salida indica que la capa 2 est deshabilitada como se muestra en la siguiente sintaxis:
Switch# show interface fastethernet 0/16 switchport ame: FaO/16 Switchport: Disabled

El mismo comando sin el parmetro switchport puede servir para ver el estado fsico de la interfaz. Para ver un resumen de todas las interfaces se utiliza el comando show interface status. Para verificar la configuracin de una SVI se utiliza el siguiente comando:
Switch#show interface van vlan-id

Para ver las VLAN configuradas en un switch se utiliza el comando show van, como muestra el siguiente ejemplo:
Switch# show van VLAN ame Status 1 default active Ports Fa0/5, FaO/6, FaO/7, FaO/8. Fa0/9, Fa0/10, FaO/11, FaO/12 FaO/13 1 Fa0/14, FaO/15,FaO/17 FaO/18, Fa0/19, Fa0/20, FaO/21 FaO/22, FaO/23, FaO/24, FaO/25 FaO/26, FaO/27, FaO/28, FaO/29 Fa0/30, FaO/32, FaO/33, FaO/34 FaO/36, FaO/37, FaO/38, FaO/39 FaO/41, FaO/42, FaO/43, FaO/44 FaO/45, FaO/46, FaO/47, GiO/1 GiO/2 Fa0/40

2 VLAN0002 5 VLAN0005

active active

www.FreeLibros.com

408

REDES CISCO. CCNP a Fondo

RA-M a

Para mostrar informacin IP detallada de una interfaz del switch se utiliza el comando show ip interface, como muestra la siguiente sintaxis:
Switch# show ip interface van 101 VlanlOl is up, line protocol is up Internet address is 10.1.1.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Flow switching is disabled IP CEF switching is enabled IP Feature Fast switching turbo vector IP Feature CEF switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast, Distributed, CEF Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Probe proxy ame replies are disabled Policy routing is disabled Network address translation is disabled WCCP Redirect outbound is disabled WCCP Redirect inbound is disabled

El comando show ip interfaces brief muestra un resumen de todas las interfaces, como muestra el siguiente ejemplo:
Switch# show ip interface brief Interface IP-Address unassigned Vlanl Vlan54 10.3.1.6 VlanlOl 10.1.1.1 GigabitEthernet1/1 10.1.5.1 OK?Method YES NVRAM YES manual YES manual YES manual Status down up up up Protocol down up up up

www.FreeLibros.com

RA-MA

CAPITULO 15. CONMUTACION MULTICAPA

409

CEF depende de que la informacin de enrutamiento sea correcta y que est almacenada en el mecanismo hardware de envo de capa 3. Esta informacin est contenida en la FIB y se mantiene dinmicamente. Para ver la FIB se utiliza el siguiente comando:
Switch#show ip cef prefix Next Hop 0.0.0.0/32 receive 192. 168. 1 9 9 . 0/24 attached 192.168.199.0/32 receive 192.168.199.1/32 receive 192.168.199.2/32 192.168.199.2 192.168.199.255/32 receive

Interface Vlanl

Vlanl

Para verificar la FIB relativa a una interfaz se utiliza el siguiente comando:


Switch#show ip cef type mod/num [detail]

Para verificar fallback bridging existen dos comandos: Switch# show bridge group Switch# show bridge bridge-group [verbose]

El primero muestra los grupos activos junto con el estado de STP. El segundo muestra los contenidos de la tabla de bridging para un grupo especfico.

www.FreeLibros.com

www.FreeLibros.com

Captulo 16

BALANCEO DE CARGA Y REDUNDANCIA


REDUNDANCIA Y BALANCEO EN SWITCH MULTICAPA
Los switches multicapa pueden actuar como puertas de enlace y tambin participar en los procesos de enrutamiento como lo hacen los routers tradicionales. Para proporcionar tolerancia a fallos o alta disponibilidad cuando estn actuando como puertas de enlace los switch multicapa pueden utilizar los siguientes protocolos: HSRP (Host Standby Routing Protocol). VRRP (Virtual Router Redundancy Protocol). GLBP (Gateway Load Balancing Protocol):

HOST STANDBY ROUTER PROTOCOL


HSRP (Host Standby Router Protocol) es un protocolo propietario de Cisco que permite que varios routers o switches multicapa aparezcan como una sola puerta de enlace. La RFC 2281 describe con detalle este protocolo. Cada uno de los routers que proporcionan redundancia es asignado a un grupo HSRP comn, un router es elegido como primario o active, otro como

www.FreeLibros.com

412

REDES CISCO. CCNP a Fondo

RA-MA

secundario o standby y el resto estarn escuchando en estado listen. Los routers intercambian mensajes helio entre ellos para comprobar que todo est en orden. Los mensajes helio se envan de manera multicast a travs de la direccin IP 224.0.0.2 por el puerto UDP 1985. Un grupo HSRP puede ser asignado con un valor entre 0 y 255. Algunos switches Catalyst slo admiten un mximo de 16 grupos con un valor nico, permitiendo repetir valores para aumentar la cantidad de grupos debido a que stos son slo localmente significativos a la interfaz en la que se configuran.

Eleccin del router HSRP


La eleccin del tipo de router est basada en una escala de prioridades que va de 0 a 255. Por defecto si no existe configuracin previa, la prioridad toma el valor de 100. El router con la prioridad ms alta se convierte en el router active del grupo y en caso de que todos los routers tengan la misma prioridad ser active aquel con la IP ms alta configurada en su interfaz de HSRP. Para configurar la prioridad se utiliza el siguiente comando:
Switch(config-if)#standby group priority priority

Al configurar HSRP en una interfaz el router se mueve entre una serie de estados hasta alcanzar el estado final que depender de la prioridad y del estado del resto de los miembros del grupo. Los estados HSRP son los siguientes: Disabled, desactivado. Init, inicindose. Listen, escuchando. Speak, hablando. Standby, en espera. Active, activo.

Los mensajes helio se envan cada 3 segundos. Un router en el estado de standby es el nico que monitoriza los helio del router activo. Cuando el temporizador holdtime (3 veces el intervalo helio o 10 segundos) se inicia se presume que el router activo ha cado, el router en el estado standby pasar entonces al estado active y en caso de haber uno o ms routers en el estado listen el de mayor prioridad pasar al estado standby.

www.FreeLibros.com

RA-MA

CAPTULO 16. BALANCEO DE CARGA Y REDUNDANCIA

413

Para cambiar los temporizadores de HSRP es necesario hacerlo en todos los routers del grupo, el holdtime debera ser siempre al menos 3 veces el intervalo helio. El comando para efectuar dicho cambio es el siguiente:
S w i t c h ( c o n f ig-if)#standby

group timers [msec] helio [msec] holdtime

Es necesario tener en cuenta que cuanto ms rpido se enven los helio ms rpido se detectarn problemas en la red pero a su vez se estara generando un aumento de trfico, consumiendo ms ancho de banda y haciendo que los routers procesen mayor cantidad de informacin, habr entonces que buscar un trmino medio adecuado a los requerimientos de la red. Una vez que un router es elegido como activo mantendr su estado incluso si otros routers con mayor prioridad son detectados. Es importante tener en cuenta para evitar que un router no deseado sea elegido como activo, iniciar la red encendiendo primero el router adecuado para cumplir el rol de activo.Este comportamiento es posible corregirlo de manera que el router con mayor prioridad sea siempre el activo, para esto se puede utilizar el siguiente comando:
Sw i t c h (config-if)#standby group preempt

[delay [minimum seconds]

[reload seconds]]

Por defecto despus de aplicar este comando el router del grupo con mayor prioridad siempre ser el activo y tomar su rol inmediatamente. La configuracin del parmetro delay puede efectuarse de la siguiente manera: Minimum, se fuerza al router a esperar un tiempo determinado a partir de que la interfaz est operativa antes de tomar el rol de activo. Reload, se fuerza al router a esperar un tiempo determinado a partir del reinicio antes de tomar el rol de activo.

Autenticacin HSRP
HSRP permite ser configurado con dos tipos diferentes de autenticacin, todos los miembros del grupo deben coincidir en el tipo y clave. Los dos modos de autenticacin HSRP son: Texto plano. Los mensajes de HSRP son enviados con una cadena en texto plano de hasta ocho caracteres esta cadena debe ser igual en todos los routers del grupo. El siguiente comando puede configurarlo:
Switch(config-if)#standby group authentication string

www.FreeLibros.com

414

REDES CISCO. CCNP a Fondo

RA-MA

MD5. Un cifrado del tipo MD5 (Message Digest 5) es computado en una porcin de cada mensaje HSRP y en la clave secreta configurada en cada router del grupo. El hash MD5 es enviado junto con los mensajes HSRP. Cuando un mensaje es recibido el router recalcula el cifrado del mensaje y de su propia clave, en caso de coincidencia el mensaje ser aceptado. Este tipo de autenticacin es, obviamente, mucho ms segura que en texto plano. Para configurarla se utiliza el siguiente comando:
Switch(config-if)#standby group authentication md5 key-string [0 | 7] string

Por defecto la clave se pone en texto plano, una vez introducida aparecer encriptada en la configuracin. Para copiar y pegar dicha clave en otros routers es posible copiarla ya encriptada y especificar la opcin 7 delante de la clave antes de pegarla. Alternativamente se puede usar una cadena de claves que, aunque hace que la configuracin sea ms compleja, proporciona mayor flexibilidad. Los comandos son los siguientes:
Switch(config)#key chain chain-name Switch(config-keychain)#key key-number Switch(config-keychain-key)#key-string [0 | 7] string Switch(config)#interface type mod/num Switch(config-if)#standby chain-name group authentication md5 key-chain

Solucin ante fallos


HSRP tiene un mecanismo que le ayuda a comprobar el estado de otras interfaces, si un router que est activo pierde sus enlaces con el resto del mundo y su interfaz HSRP todava est habilitada, seguir siendo el elegido para enviar paquetes, convirtindose en un agujero negro. Para estos casos HSRP verifica el estado de otras interfaces, para que en caso de fallos la prioridad del router sea dinmicamente disminuida (el valor es 10 por defecto), volvindose a incrementar cuando la interfaz asuma su estado normal.

www.FreeLibros.com

. , AA CAPTULO 16. BALANCEO DE CARGA Y REDUNDANCIA 415 r A-MA________________________________________________________________________________________

Esta caracterstica se conoce con el nombre de tracking y se configura de la siguiente manera:


Switch(config-if )#standby group track type mod/num [decrementvalue]

Puerta de enlace virtual


Adems de la direccin IP nica que cada router tiene configurada en las interfaces que ejecutan HSRP hay una direccin IP comn, conocida como IP virtual o de HSRP. Los host entonces pueden apuntar a esa IP como su puerta de enlace, teniendo la certeza de que siempre habr algn router respondiendo. Hay que tener en cuenta que tanto la IP real como la de HSRP han de pertenecer al mismo rango. Para asignar la IP virtual se utiliza el siguiente comando:
Switch( c o n f i g - i f )#standby group ip ip-address [secondary]

La opcin secondary se utiliza slo cuando las direcciones IP son secundarias. Adems de la direccin MAC nica asignada a cada una de las interfaces existe una MAC virtual o de HSRP asociada a la IP virtual. HSRP define un formato especfico para ello representado como 0000.0c07.acxx, donde xx representa el grupo de HSRP en formato hexadecimal. Por ejemplo para el grupo HSRP 2 ser 0000.0c07.ac02. En la siguiente figura se observa una red que usa dos switches multicapa configurados para HSRP con el grupo 1 e IP virtual 192.168.1.1. Catalyst Norte es el activo con una prioridad 200 y est respondiendo a peticiones ARP para la puerta de enlace. Catalyst Sur est en standby y no responder a no ser que Catalyst Norte falle.

www.FreeLibros.com

416

REDES CISCO. CCNP a Fondo

RA-MA

Catalyst Norte

Catalyst Sur

VLAN 50
Puerta de enlace: 1 9 2 .1 6 8 .1 .1 ARP: 0000.0c07.ac01

La siguiente sintaxis muestra la configuracin de Catalyst Norte.


Cat_Norte(config)# interface van 50 Cat_Norte(config-if)# ip address 192.168.1.10 255.255.255.0 Cat_Norte(config-if)# standby 1 priority 200 Cat_Norte(config-if)# standby 1 preempt Cat_Norte(config-if)# standby 1 ip 192.168.1.1

Balanceo de carga HSRP


Hasta ahora solamente el router que est en activo puede enviar trfico y el resto de los enlaces estn en standby sin enviar datos, proporcionando tolerancia a fallos pero no balanceo de carga. Para poder llevar a cabo el balanceo de carga en HSRP es necesario utilizar al menos 2 grupos, para el caso de tener dos switches, SW1 sera activo en un grupo y standby en el otro mientras que SW2 actuara con el rol contrario a SW1

www.FreeLibros.com

RA-MA

CAPTULO 16. BALANCEO DE CARGA Y REDUNDANCIA

417

para esos mismos grupos. El conjunto de host que utilicen estas puertas de enlace debern ser asignados mitad con una IP y mitad con otra IP. La siguiente muestra representa este escenario. Catalyst Norte es activo para el grupo 1 con IP 192.168.1.1 y es standby del grupo 2 con IP 192.168.1.2. Catalyst Sur tiene una configuracin similar pero tomando el rol contrario para cada grupo.
C a ta lyst Norte
H S R P 1: A c tiv e 200 1 9 2 .1 6 8 .1 .1 MAC: 0 0 0 0 .0 c0 7 .a c0 1 H S R P 2: S ta n d b y 100 1 9 2 .1 6 8 ,1 .2 MAC: 0 0 0 0 ,0 c 0 7 .a c0 2

Catalyst Sur
H S R P 1: S tan d b y 100 1 9 2 .1 6 8 .1 .1 M A C :0 00 0,O c0 7,a c0 1 H S R P 2: A c tiv e 200 1 9 2 .1 6 8 .1 ,2 M A C :0 0 0 0 ,0 c0 7 ,a c0 2

VLAN 50
1 9 2 ,1 6 8 .1 .1 0 OOOO.aaaa.aaaa

VLAN 50
19 2.16 8.1 ,1 1 OOOO.bbbb.bbbb

Pu e rta de enlace: 1 9 2 .1 6 8 .1 .1 ARP: 0000.0c07.ac01

Puerta de enlace: 19 2.1 6 8 ,1 ,2 ARP: 0 0 0 0 .0 c0 7 .a c0 1

VLAN 50

Cat_Norte(config)# interface van 50 Cat_Norte(config-if)# ip address 192.168.1.10 255.255.255.0 Cat_Norte(config-if)# standby 1 priority 200 Cat_Norte(config-if)# standby 1 preempt Cat_Norte(config-if)# standby 1 ip 192.168.1.1

www.FreeLibros.com

418

REDES CISCO. CCNP a Fondo

RA-M a

Cat_Norte(config-if)# standby 1 authentication CCnP Cat_Norte(config-if)# standby 2 priority 100 Cat_Norte(config-if)# standby 2 ip 192.168.1.2 Cat_Norte(config-if)# standby 2 authentication CCnP Cat_Sur(config)# interface van 50 Cat_Sur(config-if)# ip address 192.168.1.11 255.255.255.0 Cat_Sur(config-if)# standby 1 priority 100 Cat_Sur(config-if)# standby 1 ip 192.168.1.1 Cat_Sur(config-if)# standby 1 authentication CCnP Cat_Sur(config-if)# standby 2 priority 200 Cat_Sur(config-if)# standby 2 preempt Cat_Sur(config-if)# standby 2 ip 192.168.1.2 Cat_Sur(config-if)# standby 2 authentication CCnP

Para mostrar informacin acerca de HSRP se utiliza el comando:


Router#show standby [brief] [van vlan-id / type mod/num]

Los siguientes ejemplos muestran la salida de este comando basndose en la configuracin de la muestra anterior.
C atNo r t e # show standby van 50 brief P indicates configured to preempt.

Interface Grp Prio P State Active addr Standby addr Group addr V150 1 200 P Active local 192.168.1.11 192.168.1.1 V150 2 100 Standby 192.168.1.11 local 192.168.1.2 C atNo r t e # show standby van 50 Vlan50 - Group 1 Local state is Active, priority 200, may preempt Hellotime 3 sec, holdtime 10 sec Next helio sent in 2.248 Virtual IP address is 192.168.1.1 configured Active router is local Standby router is 192.168.1 . ll expires in 9.860 virtual mac address is 0000.0c07.acOl Authentication text "CCnP" 2 state changes, last state change 00:11:58 IP redundancy ame is "hsrp-Vl50-l" (default) Vlan50 - Group 2 ^ Local state is .Standby, priority 100 Hellotime 3 sec, holdtime 10 sec Next helio sent in 1.302 Virtual IP address is 192.168.1.2 configured L^. 1.l>, priority 200 expires in 7.812 Authentication text "CCnP" 4 state changes, last state change 00:10:04 IP redundancy ame is "hsrp-V150-2" (default)

www.FreeLibros.com

RA-MA

CAPTULO 16. BALANCEO DE CARGA Y REDUNDANCIA

419

Cat S u r # s h o w standby van 50 brief

"

P indicates configured to preempt.

i n t e r f a c e Grp Prio PS t a t e Active addr Standby addr Group addr vl50 1 100 'standby 192.168.1.10 local 192.168.1.1 vl50 , 2 200 P Active local 192.168.1.10 192.168.1.2 Cat S u r # s h o w standby van 50 Vlan50 - Group 1 Local state is Standby, priority 100 Hellotime 3 sec, holdtime 10 sec Next helio sent in 0.980 Virtual IP address is 192.168.1.1 configured Active router is 192.168.1.10, priority 200 expires in 8.128 Standby router is local Authentication text "CCnP" 1 state changes, last state change 00:01:12 IP redundancy ame is "hsrp-Vl50-l" (default) Vlan50 - Group 2 Local state is Active, priority 200, may preempt Hellotime 3 sec, holdtime 10 sec Next helio sent in 2.888 Virtual IP address is 192.168.1.2 configured Active router is local Standby router is 192.168.1.10 expires in 8.500 Virtual mac address is 0000.0c07.ac02 Authentication text "CCnP" 1 state changes, last state change 00:01:16

VIRTUAL ROUTER REDUNDANCY PROTOCOL


VRRP (Virtual Router Redundancy Protocol) es un protocolo estndar definido en la RFC 2338, con un funcionamiento y configuracin similares a HSRP, una comparacin entre ambos es la siguiente: VRRP proporciona una IP redundante compartida entre un grupo de routers, de los cuales est el activo que recibe el nombre de master mientras que el resto se les conoce como backup. El master es aquel con mayor prioridad en el grupo. Los grupos pueden tomar un valor entre 0 y 255, mientras que la prioridad asignada a un router puede tomar valores entre 1 y 254 siendo 254 la ms alta y 100 el valor por defecto. La direccin MAC virtual tiene el formato 0000.5e00.01xx, donde xx es el nmero de grupo en formato hexadecimal. Los helio de VRRP son enviados cada 1 segundo.

www.FreeLibros.com

420

REDES CISCO. CCNP a Fondo

RA-MA

Por defecto los routers configurados con VRRP toman el rol de master en cualquier momento. VRRP no tiene un mecanismo para llevar un registro del estado de las interfaces de la manera que lo hace HSRP.

El proceso de configuracin de VRRP se realiza mediante los siguientes comandos: Asignacin de la prioridad:
vrrp group priority level

Cambio del intervalo del temporizador:


vrrp group timers advertise [msec] interval.

Para aprender el intervalo desde el router master.


vrrp group timers learn

Deshabilita la funcin de automticamente tomar el rol de master:


no vrrp group preempt

Cambia el retraso en tomar el rol de master, por defecto es 0 segundos:


vrrp group preempt [delay seconds]

Habilita la autenticacin:
vrrp group authentication string

Configura la IP virtual:
vrrp group ip ip-address [secondary]

La siguiente sintaxis es un ejemplo de configuracin:


Cat_Norte(config)# interface van 50 Cat_Norte(config-if)# ip address 192.168.1.10 255.255.255.0 Cat_Norte(config-if)# vrrp 1 priority 200 Cat_Norte(config-if)# vrrp 1 ip 192.168.1.1 Cat_Norte(config-if)# vrrp 2 priority 100 Cat_Norte(config-if)# no vrrp 2 preempt Cat_Norte(config-if)# vrrp 2 ip 192.168.1.2 Cat_Sur(config)# interface van 50 Cat_Sur(config-if)# ip address 192.168.1.11 255.255.255.0 Cat_Sur(config-if)# vrrp 1 priority 100

www.FreeLibros.com

-RA-MA

CAPTULO 16. BALANCEO DE CARGA Y REDUNDANCIA

421

Cat Sur(config-if)# Cat~Sur(config-if)# Cat~Sur(config-if)# Cat- Sur(config-if)#

no vrrp 1 preempt vrrp 1 ip 192.168.1.1 vrrp 2 priority 200 vrrp 2 ip 192.168.1.2

La siguiente salida corresponde a los comandos show vrrp brief y show vrrp:
Cat Norte# show vrrp brief Interface Grp Pri Time Own Pre Vlan50 1 200 3218 Y
Vlan50 2 100 3609

State Master addr Master 192.168.1.10


B a c k u p 192.168.1.11

Group addr
192.168.1.1 192.168.1.2

Cat Sur# show vrrp brief Interface Grp Pri Time Own Pre
Vlan50 Vlan50 1 2 100 3609 200 3218

Y Cat_Norte# show vrrp Vlan50 - Group 1 State is Master Virtual IP address is 192.168.1.1

State Master addr Group addr Backup 192.168.1.10 192.168.1.1 Master 192.168.1.11 192.168.1.2

Virtual MAC address is 0000.5e00.0101


Advertisement interval is 1.000 sec Preemption is enabled min delay is 0.000 sec Priority is 200 Authentication is enabled

Master Router is 192.168.1.10 (local), priority is 200


Master Advertisement interval is

1.000 sec Master Down interval is 3.218 sec Vlan50 - Group 2


State is Backup

Virtual IP address is 192.168.1.2 Virtual MAC address is 0000.5e00.0102 Advertisement interval is 1.000 sec Preemption is disabled Priority is 100 Authentication is enabled Master Router is 192.168.1.11, priority is 200
Master Advertisement interval is 1.000 sec Master Down interval is 3.609 sec (expires in 2.977 sec)

Cat_Sur# show vrrp Vlan50 - Group 1


State is Backup

Virtual IP address is 192.168.1.1 Virtual MAC address is 0000.5e00.0101 Advertisement interval is 1.000 sec Preemption is disabled

www.FreeLibros.com

422

REDES CISCO. CCNP a Fondo

RA-MA

Priority is 100 Authentication is enabled Master Router is 192.168.1.10, priority is 200 Master Advertisement interval is 1.000 sec Master Down interval is 3.609 sec (expires in 2.833 sec) Vlan50 - Group 2
State is Master

Virtual IP address is 192.168.1.2 Virtual MAC address is 0000.5e00.0102 Advertisement interval is 1.000 sec Preemption is enabled
min delay is 0.000 sec Priority is 200 Authentication is enabled

Master Router is 192.168.1.11 (local),


priority is 200

Master Advertisement interval is 1.000 sec Master Down interval is 3.218 sec

GATEWAY LOAD BALANCING PROTOCOL


GLBP (Gateway Load Balancing Protocol) es un protocolo propietario de Cisco que sirve para aadir balanceo de carga sin la necesidad de utilizar mltiples grupos a la funcin de redundancia con HSRP o VRRP. Mltiples routers o switches son asignados a un mismo grupo, pudiendo todos ellos participar en el envo de trfico. La ventaja de GLBP es que los host clientes no han de dividirse y apuntar a diferentes puertas de enlace, todos pueden tener la misma. El balanceo de carga se lleva a cabo respondiendo a los clientes con diferentes direcciones MAC, de manera que aunque todos apuntan a la misma IP la direccin MAC de destino es diferente, repartiendo de esta manera el trfico entre los diferentes routers.

AVG
Uno de los routers del grupo GLBP es elegido como puerta de enlace virtual activa o AVG (Active Virtual Gateway), dicho router es el de mayor prioridad del grupo o en caso de no haberse configurado dicha prioridad, ser el de IP ms alta. El AVG responde a las peticiones ARP de los clientes y la MAC que enva depender del algoritmo de balanceo de carga que se est utilizando.

www.FreeLibros.com

RA-MA

CAPTULO 16. BALANCEO DE CARGA Y REDUNDANCIA

423

El AVG tambin asigna las MAC virtuales a cada uno de los routers del grupo, pudindose usar hasta 4 MAC virtuales por grupo. Cada uno de esos routers recibe el nombre de AVF (Active Virtual Forwarding) y se encarga de enviar el trfico recibido en su MAC virtual. Otros routers en el grupo pueden funcionar como backup en caso de que el AVF falle. La prioridad GLBP se configura con el siguiente comando:
Switch (config-if )#glbp group priority level

El rango de nmeros que pueden usarse para definir grupos asume valores entre 0 y 1023. El rango de prioridades es entre 1 y 255 siendo 255 la ms alta y 100 la de por defecto. Como ocurre en HSRP se tiene que habilitar la funcin preemt en caso de ser necesario, ya que por defecto no est permitido tomar el rol de AVG a no ser que ste falle. El siguiente comando lo configura:
Switch(config-if )#glbp group preempt [delay minimum seconds ]

Para monitorizar el estado de los routers AVG se envan helio cada 3 segundos y en caso de no recibir respuesta en el intervalo de holdtime de 10 segundos, se considera que el vecino est cado. Es posible modificar estos temporizadores con el siguiente comando:
Switch(config-if )#glbp group timers [msec] hellotime [msec] holdtime

Para modificar los temporizadores se debe tener en cuenta que el holdtime debera ser al menos 3 veces mayor que el helio.

AVF
GLBP tambin usa mensajes helio para monitorizar los AVF (Active Virtual Forwarder). Cuando el AVG detecta que un AVF ha fallado asigna el rol a otro router, el cual podra ser o no otro AVF, teniendo entonces que enviar el trfico destinado a 2 MAC virtuales. Para solventar el problema de estar respondiendo a mensajes destinados a dos MAC virtuales se usan dos temporizadores: Redirect. Determina cundo el AVG dejar de usar la MAC del router que fall para respuestas ARP.

www.FreeLibros.com

424

REDES CISCO. CCNP a Fondo

RA-M a

Timeout. Cuando expira la MAC y el AVF que haba fallado son eliminados del grupo, asumiendo que ese AVF no se recuperar. Los clientes necesitan entonces renovar su memoria y obtener la nueva MAC.

El temporizador redirect es de 10 minutos por defecto, pudiendo configurarse hasta un mximo de 1 hora. El temporizador timeout es de 4 horas por defecto, pudiendo configurarse dentro del rango de 18 horas. Es posible ajustar estos valores usando el siguiente comando:
Switch(config-if )#glbp g ro u p timers redirect r e d i r e c t t i m e o u t

GLBP usa una funcin de peso para determinar qu router ser el AVF para una MAC virtual dentro de un grupo. Cada router comienza con un peso mximo entre 1 y 255 siendo por defecto 100. Cuando una interfaz en particular falla, el peso es disminuido en el valor que est configurado. GLBP usa umbrales para determinar si un router puede o no ser el AVF. Si el valor del peso est por debajo de ese umbral el router no puede asumir ese rol, pero si dicho valor volviera a superar el umbral entonces s podra. GLBP necesita tener conocimiento sobre qu interfaces utilizarn este mecanismo y cmo ajustar su peso. El siguiente comando especifica dicha interfaz:
S witch(c onfig )#track o b j e c t - n u m b e r interface t y p e mod/num {lineprotocol | ip routing}

El valor object-number simplemente referencia el objeto que se est monitorizando y puede tener un valor entre 1 y 500. Las condiciones a verificar pueden ser line-protocol o ip-routing. Seguidamente es necesario definir los umbrales del peso para lo cual se utiliza el siguiente comando:
Switch(config-if )#glbp g ro u p weighting mximum [lower l o w e r ] [upper

upper]

El parmetro mximum indica con qu valor se inicia y los valores lower y upper definen cundo o cundo no el router puede actuar como AVF. Finalmente se debe indicar a GLBP qu objetos ha de monitorizar para aplicar los umbrales de peso. Para ello se utiliza el siguiente comando:
Switch(config-if )#glbp g ro u p weighting track o b j e c t - n u m b e r

[decrement v a l u ]

www.FreeLibros.com

RA-MA

CAPTULO 16. BALANCEO DE CARGA Y REDUNDANCIA

425

El parmetro valu indica el valor que se disminuir cuando el objeto nionitorizado falle. Por defecto es 10 y puede ser configurado con un valor entre 1 y 254.

Balanceo de carga GLBP


AVG establece el balanceo de carga enviando MAC virtuales a los clientes. Previamente estas MAC virtuales han sido asignadas a los AVF permitiendo hasta un mximo de 4 MAC virtuales por grupo. Los siguientes algoritmos se utilizan para el balanceo de carga con GLBP: Round Robin, cada nueva peticin ARP para la IP virtual recibe la siguiente MAC virtual disponible. La carga de trfico se distribuye equitativamente entre todos los routers del grupo asumiendo que los clientes envan y reciben la misma cantidad de trfico. Weighted, el valor del peso configurado en la interfaz perteneciente al grupo ser la referencia para determinar la proporcin de trfico enviado a cada AVF. Host dependent, cada cliente que enva una peticin ARP es respondido siempre con la misma MAC. Es til para clientes que necesitan que la MAC de la puerta de enlace sea siempre la misma.

El mtodo de balanceo de carga utilizado se selecciona con el siguiente comando:


Switch(config-if )#glbp group load-balancing [round-robin | weighted

| host-dependent]

Habilitacin de GLBP
Para habilitar GLBP se debe asignar una IP virtual al grupo mediante el siguiente comando:
Switch(config-if )#glbp group ip [ip-address [secondary]]

Cuando en el comando la direccin IP no se configura ser aprendida de otro router del grupo. Para el caso puntual de la configuracin del posible AVG es necesario especificar la IP virtual para que los dems routers puedan conocerla.

www.FreeLibros.com

426

REDES CISCO. CCNP a Fondo

RA-MA

En la siguiente figura existen 3 switches multicapa participando en un grupo comn GLBP. Catalyst A es elegido como AVG y por lo tanto coordina el proceso. El AVG responde todas las peticiones de la puerta de enlace 192.168.1.1. Dicho router se identifica a s mismo y a Catalyst B y Catalyst C como AVF del grupo.
C a ta ly s t A AVF
vM AC 0 0 00 .0 000 .0 001 VLAN SO 192.168.1.10 OOOO.aaaa.aaaa

C a ta ly s t B S ta n d b y AVF
vMAC 0000.0000.0002 VLAN SO 192,168.1.11 OOOO.bbbb.bbbb

C a ta ly s t C
vMAC 0000.0000.0003 VLAN 50 192.168.1.12 0 0 0 0 .cccc.cccc

Puerta de enlace: 192.168.1.1 ARP: 00 00 .0000.0001

Puerta de enlace: 192.168.1,1 ARP: 0000 .0 000 ,0 002

Puerta de enlace: 192.168,1.1 ARP: 00 00 .0000.0003

Puerta de enlace: 192.168.1.1 ARP: 0000.0000.0001

VLAN 50 CatalystA(config)# interface van 50 CatalystA(config-if)# ip address 192.168.1.10 255.255.255.0 CatalystA(config-if)# glbp 1 priority 200 CatalystA(config-if)# glbp 1 preempt CatalystA(config-if)# glbp 1 ip 192.168.1.1 CatalystB(config)# interface van 50 CatalystB(config-if)# ip address 192.168.1.11 255.255.255.0 CatalystB(config-if)# glbp 1 priority 150 CatalystB(config-if)# glbp 1 preempt CatalystB(config-if)# glbp 1 ip 192.168.1.1

www.FreeLibros.com

RA-MA

CAPTULO 16. BALANCEO DE CARGA Y REDUNDANCIA

427

Catal y s t C (config)# interface van 50


C a t a l y s t C (config-if)#

(config-if)# ip address 192.168.1.12 255.255.255.0 glbp 1 priority 100 C ata l y s t C (config-if)# glbp 1 ip 192.168.1.1
C a t a l y s t C

Utilizando el mtodo de balanceo de carga round-robin, cada uno de los pC hace peticiones ARP de la puerta de enlace. Al iniciar los PC de izquierda a derecha el AVG va asignando la siguiente MAC virtual secuencialmente. Para ver informacin acerca de la operacin de GLBP se pueden utilizar los comandos show glbp brief o show glbp, como se muestra en los siguientes dos ejemplos.
CatalystA# show glbp Interface Grp Fwd Pri V150 1 200 V150 1 1 7 V150 1 2 7 V150 1 3 7

brief
State Active Active Listen Listen Address 192.168.1.1 00 0 7 .b400.0101 00 0 7 .b400.0102 00 0 7 .b400.0103 Active Standby local 192.168.1.11 local 192.168.1.11 192.168.1.13

CatalystB# show glbp brief Interface Grp Fwd Pri State Address Active Standby V150 1 1 7 Listen 00 0 7 .b400.0101 192.168.1.10 V150 1 2 7 Active 00 0 7 .b400.0102 local V150 1 3 7 Listen 00 0 7 .b400.0103 192.168.1.13 CatalystC# show glbp brief Interface Grp Fwd Pri State

V150 192.168.1.11 V150 1 V150 1 V150 1

Address 100 Listen

Active
192.168.1.1

Standby
192.168.1.10

Listen 0007.b400.0101 192.168.1.10 Listen 0007.b400.0102 192.168.1.11 Active 00 0 7 .b400.0103 local

CatalystA# show glbp Vlan50 - Group 1 State is Active 7 state changes, last state change 03:28:05 Virtual IP address is 192.168.1.1 Helio time 3 sec, hold time 10 sec Next helio sent in 1.672 secs Redirect time 600 sec, forwarder time-out 14400 sec Preemption enabled, min delay 0 sec Active is local Standby is 192.168.1.11, priority 150 (expires in 9.632 sec) Priority 200 (configured) Weighting 100 (default 100), thresholds: lower 1, upper 100 Load balancing: round-robin There are 3 forwarders (1 active) Forwarder 1 State is Active

www.FreeLibros.com

428

REDES CISCO. CCNP a Fondo

RA-M a

3 state changes, last state change 03:27:37 MAC address is 0007.b400.0101 (default) Owner ID is OOdO.0229.b80a Redirection enabled Preemption enabled, min delay 30 sec Active is local, weighting 100 ' Forwarder 2 State is Listen MAC address is 0007.b400.0102 (learnt) Owner ID is 0007.b372.dc4a Redirection enabled, 598.308 sec remaining (mximum 600 sec) Time to live: 14398.308 sec (mximum 14400 sec) Preemption enabled, min delay 30 sec Active is 192.168.1.11 (primary), weighting 100 (expires in 8.308
sec)

Forwarder 3 State is Listen MAC address is 0007.b400.0103 (learnt) Owner ID is 00d0.ff8a.2c0a Redirection enabled, 599.892 sec remaining (mximum 600 sec) Time to live: 14399.892 sec (mximum 14400 sec) Preemption enabled, min delay 30 sec Active is 192.168.1.13 (primary), weighting 100 (expires in 9.892
sec)

REDUNDANCIA EN EL CHASIS DEL SWITCH


Algunos equipos tienen la capacidad de proporcionar redundancia en la procesadora y se lleva a cabo usando hardware de backbup, o lo que es lo mismo, una procesadora principal y una secundaria. Dichos equipos tambin cuentan con fuentes de alimentacin redundantes, de nada servira un equipo capaz de proporcionar redundancia entre procesadoras si quedase indisponible por un simple fallo elctrico.

Supervisoras redundantes
Hay varias plataformas como es el caso de la serie 6500 que aceptan dos mdulos o tarjetas supervisoras en el mismo chasis. De manera que uno funciona como activo y otro como standby. El mdulo que est activo se encontrar en estado totalmente operacional, mientras que el que est en standby estar parcialmente inicializado preparado para actuar en caso de que el principal falle. Es posible configurar los siguientes modos de redundancia:

www.FreeLibros.com

r A-MA

CAPTULO 16. BALANCEO DE CARGA Y REDUNDANCIA

429

RPR (Route Processor Redundancy). La procesadora redundante est parcialmente arrancada e inicializada. Si la supervisora activa falla, deber reiniciar todas las tarjetas del switch este proceso hace inicializar las funciones completas de supervisora que estaba en estado redundante. Los Catalyst 6500 con supervisoras 2 y 720, Catalyst 4500R con supervisoras IV y V soportan RPR. El tiempo de cambio de estado es superior a 2 minutos. RPR+ (Route Processor Redundancy Plus). La procesadora redundante est arrancada, pero las funciones de. capa 2 y 3 no estn inicializadas. Si la procesadora activa falla, la supervisora redundante finalizar su inicializacin sin tener que reiniciar al resto de tarjetas, de manera que los puertos mantendrn su estado. Los Catalyst 6500 con supervisoras 2 y 720 RPR+. El tiempo de cambio de estado es superior a 30 segundos. SSO (Stateful Switchover). La procesadora redundante est totalmente arrancada e inicializada, y la informacin sincronizada con la supervisora principal. Las funciones de capa 2 se mantienen entre ambas supervisoras de manera que la conmutacin puede continuar ante el evento de un fallo de la supervisora principal, y las interfaces no variarn de estado durante el mismo. Los Catalyst 6500 con supervisoras 720, Catalyst 4500R con supervisoras IV y V soportan RPR. El tiempo de cambio de estado es superior a 1 segundo.

Configuracin de la redundancia
El proceso de configuracin de redundancia de supervisoras se inicia mediante el siguiente comando:
Router(config)#redundancy

Posteriormente se debe seleccionar un modo determinado:


Router(config-red)#mode {rpr | rpr-plus | sso}

Cuando se utilice RPR+ o SSO ambas supervisoras deben poseer la misma imagen IOS. Cuando sea la primera vez que se configura redundancia en el equipo habr que hacerlo tanto en la supervisora principal como en la secundaria. Para verificar el modo de redundancia y el estado se utiliza el siguiente comando:
Router#show redundancy status

www.FreeLibros.com

430

REDES CISCO. CCNP a Fondo

RA-M a

La siguiente salida muestra un ejemplo de este comando:


Router# show redundancy states

my state = 13 -ACTIVE peer state = 8 -STANDBY HOT Mode = Dplex Unit = Secondary nit ID 2 Redundancy Mode (Operational) = Route Processor Redundancy Plus Redundancy Mode (Configured) = Route Processor Redundancy Plus Split Mode = Disabled Manual Swact = Enabled Communications = Up client count = 11 client_notification_TMR = 30000 milliseconds keep_alive TMR = 9000 milliseconds keep_alive count = 1 keep_alive threshold = 18 RF debug mask = 0x0

Configuracin de la sincronizacin entre supervisoras


Por defecto, la supervisora activa sincroniza su configuracin activa y su registro de configuracin con la supervisora standby. Se puede especificar ms informacin para que sea sincronizada. Para esto se utilizan los siguientes comandos:
R o u t e r (conf ig)#redundancy R o u t e r (config-red )#main-cpu Router(config-r-mc )#auto-sync {startup-config | config-register |

bootvar}

Non-Stop Forwarding
Existe otra forma de redundancia para las plataformas 4500 y 6500 (con supervisoras 720) junto con SSO. Non-Stop Forwarding o NSF es un mtodo propietario de Cisco usado para reconstruir rpidamente la RIB (Routing Information Base) despus de que se haya producido un cambio de supervisoras. La RIB es utilizada para construir la FIB para que cualquier mdulo del switch lleve a cabo la operacin CEF. En lugar de esperar a que la FIB se reconstruya el router consigue asistencia de vecinos configurados con NSF. Estos vecinos pueden pasar informacin de enrutamiento a la supervisora que est en standby, haciendo as que las tablas se actualicen rpidamente.

www.FreeLibros.com

r A-MA

CAPTULO 16. BALANCEO DE CARGA Y REDUNDANCIA

431

NSF debe estar configurado en la propia configuracin de los protocolos de enrutamiento de los switches considerados como vecinos. Es soportado por BGP,EIGRP, OSPF y IS-IS. La siguiente tabla muestra los pasos de configuracin para los diferentes protocolos.
Protocolo Configuracin
Router(config)# router bgp as-number R o u t e r (config-router)# bgp graceful-

BGP

restart
Router(config)# router eigrp as-number Router(config-router)# nsf Router(config)# router ospf process-id Router(config-router)# nsf

EIGRP

OSPF

IS-IS

Router(config)# router Router(config-router)# Router(config-router)# [minutes] Router(config-router)#

isis [tag] nsf [cisco | ietf] nsf interval nsf t3 {manual

[seconds] seconds

| adjacency}

Router(config-router)# nsf interface wait

Fuentes de alimentacin redundantes


Las plataformas 4500R y 6500 admiten fuentes de alimentacin redundantes en el mismo chasis. La cantidad de energa proporcionada ha de ser idntica. Pueden configurarse dos modos de operacin: Modo combinado. Ambas fuentes de alimentacin proporcionan energa simultneamente al switch. La energa total requerida por el switch puede exceder la proporcionada por una de las fuentes, pero no por ambas. Con este mtodo no hay redundancia debido a que si una de las fuentes falla varias de las tarjetas del switch podran apagarse dependiendo de la cantidad de energa proporcionada por la fuente que ha quedado en funcionamiento.

www.FreeLibros.com

432

REDES CISCO. CCNP a Fondo

RA-M a

Modo redundante. Cada una de las fuentes puede proporcionar el total de energa necesitado por el chasis. Si una falla la otra comienza a funcionar automticamente.

Por defecto el modo usado es el redundante. Para ver la configuracin se utiliza el siguiente comando:
Switch#show power [redundancy-mode | status | available | used | total]

La sintaxis es un ejemplo de la salida del comando:


Switch# show power

power redundancy mode = redundant power total = 1153.32 Watts (27.46 Amps @ 42V) power used = 693.42 Watts (16.51 Amps @ 42V) power available = 459.90 Watts (10.95 Amps 42V) Power-Capacity PS-Fan Output Oper PS Type Watts A @42V Status Status State 1 2 WS-CAC-1300W WS-CAC-1300W 1153 *32 27.46 O K 1153.32 27.46 O K
OK on OK on Pwr-Requested Pwr-Alocated Admin Oper Watts A @42V Watts A @42V State State

system system system system

Slot Card-Type

1 2 3 4 5

WS-X6K-SUP2-2GE WS-X6348-RJ45 WS-X6516-GBIC WS-C6500-SFM

145.32 100.38 142.80 117.18

3.46 145 145 2.39 100 3.40 142 2.79 17.

32 3.46 32 3.46 38 2.39 80 3.40 8 2.79

on on on on

on on on on

El comando show power tambin muestra informacin acerca del estado de cada mdulo del switch, la cantidad de energa que est pidiendo recibir y la que realmente se le est otorgando. Cuando el switch tenga conectados dispositivos que requieran Inline Power o Power Over Ethemet (PoE) se puede utilizar el comando show power inline como muestra el siguiente ejemplo:
Switch# show power inline Interface Admin Oper Power (Watts) Device

Fa3/1 Fa3/2 Fa3/3 Fa3/4 Fa3/5 Fa3/6

auto auto auto auto auto auto

off on on on on on

0 n/a 6.2 cisco 6.2 cisco 5.6 Cisco 5.6 Cisco 6.3 Cisco

AIR-AP1230B-A AIR-AP1230B-A IP Phone 7905 IP Phone 7905 IP Phone 7940

www.FreeLibros.com

RA-MA

CAPTULO 16. BALANCEO DE CARGA Y REDUNDANCIA

433

Fa3 /7 Fa3/8 Fa3 /9 Fa3/10 Fa3/H Fa3/12 Fa3/13 Fa3/14

auto auto auto auto auto auto auto auto

on on off on off on on on

6.3 Cisco 6.3 Cisco 0 n/a 6.3 Cisco 0 n/a 6.3 Cisco 6.3 Cisco 6.3 Cisco

IP Phone 7940 IP Phone 7940 IP Phone 7912 IP Phone 7940 IP Phone 7940 IP Phone 7940

El modo de proporcionar energa puede cambiarse usando el siguiente comando:


S w i t c h (config)#

power redundancy-mode {redundant | combined}

Es posible seleccionar un determinado mdulo para proporcionarle energa; con un no antepuesto delante del comando se dejar de suministrar energa a dicho mdulo:
S w i t c h (config)# [no] power enable module

slo t

www.FreeLibros.com

www.FreeLibros.com

Captulo 17

TELEFONA IP
POWER OVER ETHERNET
Un telfono IP Cisco es como otro nodo cualquiera de la red, necesita energa para que pueda funcionar. Dicha energa la puede conseguir de dos fuentes diferentes: Un adaptador AC (Corriente Alterna) externo. PoE (Power over Ethemet) sobre el cable de datos de red.

El adaptador AC externo se conecta a una toma de corriente transformando la corriente alterna de la red elctrica a 48 voltios de corriente continua (48 VDC). Estos adaptadores son tiles si no es posible utilizar PoE, pero con un fallo de energa en la red elctrica el telfono IP fallara. Con PoE este problema no existira, se estaran dando los 48 voltios DC que el telfono IP necesita a travs del cable de par trenzado utilizado para la conectividad Ethemet. El origen de la energa en PoE es el switch Catalyst con lo que no se necesita otra fuente de energa adicional a menos que s utilice un adaptador AC como fuente redundante. PoE tiene el beneficio adicional de que puede ser gestionado y monitorizado, funciona con telfonos IP Cisco o con cualquier otro dispositivo compatible. Con un nodo que no necesite funcionar con PoE, como un PC normal, el switch simplemente no ofrece la energa en el cable.

www.FreeLibros.com

436

REDES CISCO. CCNP a Fondo

RA-MA

El switch Catalyst podra estar conectado a una UPS (Uninterruptible Power Supply) o utilizar fuentes alternativas, para que en el caso de que la principal falle sigua siendo capaz de alimentar al telfono IP.

Funcionamiento de PoE
Un switch Catalyst puede ofrecer PoE en sus puertos slo si est diseado para hacerlo. Tiene que tener una o ms fuentes de alimentacin preparadas para brindar la carga adicional que ofrecer a los dispositivos conectados. PoE est disponible en muchas plataformas incluyendo los Catalyst 3750 PWR, los 4500 y los 6500. Existen dos mtodos de proporcionar PoE a los dispositivos conectados: Cisco Inline Power (ILP), es un mtodo propietario de Cisco desarrollado antes del estndar IEEE 802.3 AF. IEEE 802.3 AF, es un mtodo estndar que ofrece compatibilidad entre diferentes fabricantes y cumple la misma funcin que su antecesor.

Deteccin de dispositivos alimentados


El switch siempre mantiene la energa deshabilitada cuando el puerto est cado pero tiene que detectar cundo un dispositivo que necesita alimentacin se conecta al puerto. En caso de conexin el switch tiene que comenzar a generar la energa para que el dispositivo pueda inicializarse y hacerse operacional. Slo a partir de ese momento el enlace Ethemet ser establecido. Existen dos mtodos de PoE para que los switch Catalyst intenten detectar a los dispositivos alimentados. Para IEEE 802.3AF los dispositivos comienzan dando una pequeo voltaje a travs de los pares transmisores de par trenzado variando de esta forma la resistencia del par. Si se miden 25 KO (25000 Ohms) se presume que el dispositivo esta disponible. El switch tambin puede aplicar diferentes voltajes para comprobar los valores de resistencia correspondiente; estos valores son aplicados por el dispositivo alimentado para indicar a cules de las 5 clases de potencia del estndar IEEE 802.3AF pertenecen. Conociendo esto, el switch asigna el valor mximo de energa de consumo solicitado por el dispositivo. La siguiente tabla define estas 5 clases de energas o potencias.

www.FreeLibros.com

RA-MA

CAPTULO 17. TELEFONA IP

437

Clase de Potencia 0 1 2 3

Mxima Potencia ofrecida con 48V 15,4W 4,0W 7,0W 15.4W

Caracterstica de

Clase por defecto. Clase opcional. Clase opcional. Clase opcional. Reservado para futuros usos.

La clase por defecto se utiliza si el dispositivo no soporta el sistema de descubrimiento de energa. El mtodo Cisco ILP toma un camino distinto al del 802.3AF, en lugar de ofrecer voltajes y chequear el nivel de la resistencia el switch enva un tono a una frecuencia de 340 KHz (340000 ciclos por segundo) en el par transmisor del cable de par trenzado. El tono se enva antes del voltaje para que el switch detecte si el dispositivo es capaz de soportar ILP antes de brindar energa. Los dispositivos que no estn preparados para recibir estos niveles de tensin podran resultar daados. Un dispositivo alimentado como un telfono IP genera un bucle en los pares transmisores y receptores de su propia conexin Ethemet mientras efecta el proceso de encendido. Cuando se sta conectando a ILP el switch puede or este tono de test donde se ha formado el bucle, asumiendo de manera segura que puede aplicar energa al dispositivo sin daarlo.

Proporcionado energa a un dispositivo


La energa puede ser proporcionada de dos maneras:. Cisco ILP proporciona la energa sobre los cables de par trenzado 2 y 3, que son los pares de datos, con 48 VDC. IEEE 802.3AF, la energa puede ser proporcionada de la misma manera, es decir, sobre los pares 2 y 3 o adems sobre los pares 1 y 4.

www.FreeLibros.com

438

REDES CISCO. CCNP a Fondo


Pin 1: Blanco naranja Par 2 Pin 2: Naranja Pin 3: Blanco verde Pin 4: Azul Pin 5: Blanco Azul Pin 6: Blanco verde Pin 7: Blanco marrn Par 4 Pin 8: Marrn

RA-MA

Ahora el dispositivo tiene la posibilidad de encenderse y establecer los enlaces Ethemet. La oferta de energa entregada al dispositivo por defecto puede ser cambiada a un valor ms ajustado, esto puede ayudar a suplir menor energa ajustndose a la realidad que los dispositivos necesitan. Con 802.3AF la oferta de energa puede cambiarse detectando la clase de energa del dispositivo. Para Cisco ILP el switch puede intentar efectuar un intercambio de mensajes CDP con el dispositivo. Si la informacin de CDP es devuelta, el switch podr descubrir los requerimientos reales del dispositivo, reduciendo la energa a la que realmente necesita. Con los comandos debug ilpower controller y debug cdp packets, pueden verse los cambios de energa, en el ejemplo siguiente se muestra como la energa ha sido reducida de 15000 mW a 6300 mW:
00:58:46: ILP uses AC Disconnect(Fal/0/47): state= ILP_DETECTING_S, event= PHY_CSCO_DETECTED_EV 00:58:46: %ILPOWER-7-DETECT: Interface Fal/0/47: Power Device detected: Cisco PD 00:58:46: Ilpower PD device 1 class 2 from interface (Fal/0/47) 00:58:46: ilpower new power from pd discovery Fal/0/47, power_status ok 00:58:46: Ilpower interface (Fal/0/47) power status change, allocated power 15400 00:58:46: ILP Power apply to ( Fal/0/47 ) Okay 00:58:46: ILP Start PHY Cisco IP phone detection ( Fal/0/47 ) Okay 00:58:46: %ILPOWER-5-POWER_GRANTED: Interface Fal/0/47: Power granted 00:58:46: ILP uses AC Disconnect(Fal/0/47): state= ILP_CSCO_PD_DETECTED_S, event=IEEE_PWR_GOOD_EV 00:58:48: ILP State_Machine ( Fal/0/47 ): State= ILP_PWR_GOOD_USE_IEEE_DISC_S, Event=PHY_LINK_UP_EV

www.FreeLibros.com

RA-MA

CAPTULO 17. TELEFONA IP

439

0 0 ;5 8 ;4 8 : ILP uses AC Disconnect(Fal/0/47): state= XLP PWR_GOOD_USE_IEEE_DISC_S, event=PHY_LINK_UP_EV 0 0 ;5^8 :50 %LINK-3-UPDOWN: Interface FastEthernetl/0/47 , changed

state to up 00:58:50: CDP-AD: Interface FastEthernetl/0/47 coming up


0 0 :5 8 :50: ilpower_powerman_power_available_tlv: about sending patlv on Fal/0/47 00:58:50: req id 0, man id 1, pwr avail 15400, pwr man 1 00:58:50: CDP-PA: versin 2 packet sent out on FastEthernetl/0/47 00:58:51: %LINEPR0T0-5-UPD0WN: Line protocol on Interface FastEthernetl/0/47, changed state to up 00:58:54: CDP-PA: Packet received from SIP0012435D594D on interface

FastEthernetl/0/47 00:58:54: **Entry NOT found in cache**

00:58:54: Interface(Fal/0/47) - processing od tlv from cdp, request 6300, current allocated 15400 00:58:54: Interface (Fal/0/47) efficiency is 100 00:58:54: ilpower_powerman_power_available_tlv: about sending patlv on Fal/0/47 00:58:54: req id 0, man id 1, pwr avail 6300, pwr man 1 00:58:54: CDP-PA: versin 2 packet sent out on FastEthernetl/0/47

CONFIGURACIN DE PoE
PoE se configura de manera sencilla, cada Puerto del switch puede detectar automticamente la presencia de un dispositivo capacitado para ILP antes de aplicar energa al puerto. Tambin puede configurarse de tal manera que el puerto no acepte ILP. Por defecto todos los puertos del switch intentan descubrir dispositivos que sean ILP para cambiar este comportamiento se utiliza la siguiente serie de comandos:
Switch(config)# interface type mod/num Switch(config-if)# power inline {auto [max milli-watts] [max milli-watts] \ never} \ static

Por defecto todas las interfaces del switch estn configuradas en auto, donde el dispositivo y la oferta de energa se descubren automticamente. La oferta de energa por defecto es 15,4 W (Watts); este valor de mxima energa puede configurarse a travs del parmetro max de 4000 a 15400 mW. Es posible configurar una oferta de energa esttica con el parmetro static si el dispositivo no es capaz de interactuar con cualquiera de los mtodos de descubrimiento de energa. Para deshabilitar PoE en el puerto de tal manera que nunca se detecten dispositivos y no se ofrezca energa se utiliza el parmetro never.

www.FreeLibros.com

440

REDES CISCO. CCNP a Fondo

RA-M a

VERIFICACION DE PoE
El estado de la energa se puede verificar en los puertos del switch con el siguiente comando:
Switch# show power inline [ t y p e mod/num]

El siguiente ejemplo proporciona una salida del comando; si la interfaz se muestra como n/a, se ha utilizado ILP; de lo contrario es 802.3AF
Switch# show power inline Module Available Used Remaining (Watts) (Watts) (Watts)

1 370.0 39.0 331.0


Interface Admin Oper Power Device (Watts)

Class Max

Fal/0/1 Fal/0/2 Fal/0/3 Fal/0/4 Fal/0/5 Fal/0/6 Fal/0/7

auto on 6.5 AIR-AP1231G-A-K9 auto on 6.3 IP Phone 7940 auto on 6.3 IP Phone 7960 auto on 15.4 Ieee auto on 4.5 Ieee static on 15.4 n/a auto off 0.0 n/a

n/a 15.4 n/a 15.4 n/a 15.4 PD 0 15.4 PD 1 15.4 n/a 15.4 n/a 15.4

VLAN DE VOZ IP
Un telfono IP Cisco proporciona una conexin de datos para un PC terminal adems de su propia conexin, esto permite que slo se instale un cable Ethemet por usuario. El telfono IP de Cisco tambin puede controlar algunos de los aspectos sobre cmo los paquetes son presentados al switch. La mayora de los telfonos IP Cisco tienen un switch incorporado de 3 puertos que se conecta hacia el switch principal, al usuario y al propio telfono internamente. Los puertos de voz y del PC de usuario funcionan como puertos de un switch en modo de acceso, el puerto que conecta al switch principal puede operar como un troncal 802.1Q o como puerto de acceso. El modo de enlace entre el telfono y el switch es negociado, pudiendo configurar el switch para instruir al telfono para que use un determinado caso de 802.1Q o una simple VLAN de acceso. Con un troncal el trfico de voz puede ser aislado del trfico de datos proporcionando seguridad y capacidades de calidad de servicio. Como un enlace de acceso de voz y datos se combina en la misma VLAN, simplifica otros aspectos de la configuracin del switch porque no se necesita tener una VLAN de voz separada. Pero aun as se podra comprometer la calidad de la

www.FreeLibros.com

RA-MA

CAPTULO 17. TELEFONA IP

441

voz dependiendo de la mezcla de aplicaciones del PC y del trfico que hay en el enlace.

Configuracin de la VLAN de voz


Los paquetes de voz junto con la informacin de calidad de servicio se llevan en una nica VLAN de voz conocida como VVID (Voice VLAN ID) o sobre una VLAN nativa o PVID (port VLAN ID). En el enlace del telfono IP slo necesitar configurar el puerto del switch donde se conectar, el switch instruye al telfono para seguir el modo seleccionado, adems el puerto del switch no necesita ninguna configuracin especial de troncal. Si es necesario un troncal 802.1Q se forma un troncal especial de manera automtica negociado mediante DTP (Dynamic Trunking Protocol) y CDP. Se utiliza el siguiente comando de configuracin de interfaz para seleccionar el modo se VLAN de voz que se utilizar:
Switch(config-if)# switchport voice van {vlan-id \ dotlp | untagged | none}

La siguiente tabla muestra los tipos de configuracin de VLAN de voz: Parmetro vlan-id
dotlp untagged none (defecto)

Transporte PC datos PC datos PC datos y voz PC datos y voz

VLAN voz VLAN vlan-id VLANO

QoS (CoS bits) 802. IP 802.IP

La condicin por defecto para cada puerto del switch donde no se usan enlaces troncales es none. Todos los modos excepto none utilizan un modo especial del troncal 802.1Q. La nica diferencia entre dotlp y untagged es la manera en que encapsulan el trfico de voz. El modo dotlp dispone los paquetes de voz en la VLAN 0 lo cual requiere una configuracin de vlan-id que no sea la nativa, pero no necesita la creacin de VLAN de voz. El modo untagged pone los paquetes de voz en la VLAN nativa por lo que no necesita vlan-id ni una VLAN de voz nica.

www.FreeLibros.com

442

REDES CISCO. CCNP a Fondo

RA-MA

El modo ms verstil utiliza vlan-id, voz y trfico de usuario son transportados por separado, los paquetes de voz adems contienen informacin de calidad de servicio (QoS) en el enlace en el campo correspondiente a 802. IP. El caso especial 802.IP trunk se habilita automticamente a travs del intercambio de informacin CDP entre el switch y el telfono IP. El troncal contiene 2 VLAN, la de voz etiquetada VVID y la de datos. La VLAN de acceso del puerto del switch se utiliza como la VLAN de datos, que lleva los paquetes desde y hacia el PC conectado al puerto correspondiente en el telfono IP. Si un telfono IP se elimina y el PC se conecta al mismo puerto del switch funcionar normalmente debido a que la van de datos estar en el puerto de acceso, incluso cuando el troncal especial no siga funcionando.

Verificacin de la VLAN de voz


Se puede verificar el modo de operacin del puerto del switches ya sea de acceso o troncales y la VLAN de voz utilizando el comando show interface switchport.
Switch# show interfaces fastEthernet 1/0/1 switchport ame: Fal/0/1 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: On Access Mode VLAN: 10 (VLAN0010) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: 110 (VoIP) Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dotlq Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none

www.FreeLibros.com

RA-MA

CAPTULO 17. TELEFONA IP

443

Cuando en el troncal del telfono IP no est activo no se muestra en los comandos show, pero es posible saber que la VLAN est"a llevada en los enlaces troncales mirando la actividad de Spanning Tree. STP ejecuta dos instancias, una para la VLAN de datos y otra para la VLAN de voz y se muestran con el comando show spanning-tree interface. El siguiente ejemplo muestra un switch que est configurado con la VLAN 10 para datos y la VLAN 110 para voz y la VLAN 99 como nativa:
show running-config interface fastethernet 1/0/1 interface FastEthernetl/0/1 switchport trunk native van 99 switchport access van 63 switchport voice van 306 Switch# show spanning-tree interface fastethernet 1/0/1 Van Role Sts Cost Prio.Nbr Type
Switch#

VLAN0010 Desg FWD 19 128.51 P2p VLAN0110 Desg FWD 19 128.51 P2p

CALIDAD DE SERVICIO EN VOZ IP


En una red normal con poca utilizacin un switch enva los paquetes tan pronto como le llegan, pero si la red est congestionada los paquetes no pueden ser entregados en un tiempo razonable. Tradicionalmente la disponibilidad de la red se incrementa aumentando el ancho de banda de los enlaces o el hardware de los switch. QoS (Quality of Service) ofrece tcnicas utilizadas en la red para priorizar un trfico determinado respecto a otros. El aspecto ms importante de transportar trfico de voz en una red de datos es mantener un nivel de QoS adecuado. Los paquetes de voz deben ser entregados lo ms rpido posible con mnima fluctuacin, pocas prdidas y mnimo retraso.

Visin general de QoS


Diferentes tipos de aplicaciones tienen a su vez diferentes requerimientos acerca de cmo deben ser enviados sus datos de extremo a extremo, por ejemplo es aceptable que se espere una pequea cantidad de tiempo para mostrar una pgina Web, sin embargo los mismos retrasos no seran tolerables para una imagen de vdeo o una conversacin telefnica. Cualquier prdida o retraso en la entrega de los paquetes puede arruinar el propsito de la aplicacin. Existen 3 conceptos bsicos que pueden ocurrir a los paquetes cuando son enviados a travs de la red.

www.FreeLibros.com

444

REDES CISCO. CCNP a Fondo

RA-MA

Delay o retraso, cuando un paquete es enviado a travs de la red su entrega sufre un retraso en un perodo debido al tiempo que requiere el medio de transmisin, el tiempo requerido por el router y el switch en buscar en sus tablas, etc. El retraso total desde el principio hasta el final es conocido como latencia. En sntesis, el retraso puede considerarse como tiempo desde que el usuario presiona una tecla hasta que ese carcter se ve en el terminal correspondiente. Fluctuacin o jitter, algunas aplicaciones se encargan de la entrega de una serie de datos relacionados. La entrega de estos paquetes puede retrasarse de tal manera que no pueden llegar a tiempos previsibles. Esta variacin en el retraso se conoce como jitter. Los medios de audio son particularmente susceptibles a las fluctuaciones si los datos de audio no llegan con una velocidad adecuada y constante pueden ocurrir cortes. Prdidas, en casos extremos los paquetes que entran en un medio muy congestionado se eliminan sin que nunca lleguen a ser entregados. Una cierta prdida de paquetes es normal y aceptable y ciertamente recuperable por algunas aplicaciones que utilizan un protocolo confiable orientado a la conexin, como puede ser TCP. Otras aplicaciones no son tolerantes y los paquetes eliminados se pierden.

Para solucionar y aliviar este tipo de condiciones una red puede emplear 3 tipos bsicos de QoS: Best-effort Servicios integrados Servicios diferenciados

Best-effort
Este mtodo simplemente enva paquetes a medida que los va recibiendo sin aplicar ninguna tarea especfica real, los switches y los routers hacen su trabajo de la mejor manera para entregar los paquetes lo ms rpido posible sin importar el tipo de trfico o las prioridades de servicio.

Servicios integrados
La idea bsica detrs de este sistema es preacordar un camino para los datos que necesitan prioridad a lo largo del camino completo. Comenz a desarrollarse con la RFC 1633, que se refiere a RSVP (Resource Reservation Protocol) desarrollado como el mecanismo para programar y reservar el ancho de

www.FreeLibros.com

RA-MA

CAPTULO 17. TELEFONA IP

445

banda adecuado del camino de una aplicacin. El origen de la aplicacin requiere los parmetros de QoS a travs de RSVP, cada dispositivo de red a lo largo del camino tiene que verificar que esa peticin puede ser soportada. Cuando el recorrido del camino completo est de acuerdo en las mnimas caractersticas requeridas, el camino se acepta. El origen es sealizado con una confirmacin para poder empezar a utilizar el camino.

Servicios diferenciados
El modelo de servicios integrados no es capaz de escalar muy bien debido a la cantidad de los recursos que necesita para estar reservando los anchos de banda. Los servicios diferenciados (DiffServ) permiten a cada dispositivo de red manejar los paquetes de una manera individual, cada router o switch puede configurar sus propias polticas de calidad de servicio para seguir y para tomar decisiones acerca de cmo deben enviar los paquetes. Los servicios diferenciados no requieren reservas previas a la calidad de servicio, se manejan dinmicamente de manera distribuida, es decir, mientras los servicios integrados aplican QoS por flujo, DiffServ aplica la QoS a un grupo de flujos similares por salto. DiffServ tambin se basa en las decisiones de QoS tomadas en la informacin contenida en el campo 2 de la cabecera del paquete IP. En este libro se tratarn ms a fondo los conceptos de los servicios diferenciales.

MODELO QoS DIFFSERV


Los servicios diferenciados generan un comportamiento diferente por salto en cada router o switch inspeccionando la cabecera de cada paquete para decidir cmo realizar el envo de ese paquete. Toda la informacin necesaria para esta decisin viaja en la cabecera, que por s misma no puede disponer su propio manejo, simplemente presenta ciertas banderas, etiquetas marcas que servirn para ser utilizadas en la decisin de envo basada en las polticas de QoS configuradas en cada router o switch a lo largo del camino.

Clasificacin de capa 2 de QoS


Las tramas de capa 2 por s mismas no tienen un mecanismo que indique la prioridad o importancia de su contenido. Una trama simplemente es tan importante como otra, de esta manera un switch de capa 2 solamente puede enviar tramas de la manera Best-effort. Cuando las tramas son transportadas de un switch a otro switch a travs del troncal surge la posibilidad de clasificarlas. La encapsulacin

www.FreeLibros.com

446

REDES CISCO. CCNP a Fondo

RA-MA

que viaja por el troncal incluye la identificacin de VLAN, un campo que permite marcar el coste y la clase de servicio (CoS) en cada trama. Esto es utilizado por los switch frontera para tomar decisiones de QoS. Despus de que el trunk es desencapsulado en el switch remoto la informacin CoS es descartada. Las dos maneras de encapsular el trunk son: IEEE 802.1Q, donde cada trama es encapsulada con un VLAN ID de 12 bits y un campo de usuario de 3 bits de prioridad (802.IP) que indica el CoS de la trama en un rango de 0 a 7. Las tramas de la VLAN nativa no son encapsuladas adquiriendo el coste por defecto del switch que recibe la trama. ISL, cada trama es encapsulada con un VLAN ID de 15 bits, en el campo User de 4 bits los 3 bits ms bajos indican la CoS. Aunque ISL no es un estndar los switchs Catalyst toman decisiones de CoS copiando los bits de 802.IP desde los troncales 802.1Q dentro de los bits User cost en los troncales ISL, permitiendo que la informacin CoS se propague entre troncales con diferentes encapsulaciones.

Clasificacin de capa 3 QoS con DSCP


Desde el comienzo los paquetes IP siempre han tenido un byte llamado ToS (Type of Service) que puede ser utilizado para marcar paquetes. Este byte se divide en 3 bits llamado IP Precedence y 4 bits que son el valor ToS. El modelo de DiffServ mantiene el Byte IP ToS pero lo utiliza de una manera ms escalable. Este byte tambin se conoce como DS (Differentiated Service) con un formato diferente, los 6 bits DS se conocen como DSCP (Differentiated Service Code Point), que es un valor determinado por cualquier dispositivo DiffServ de la red. No se debe confundir con la terminologa que utiliza QoS, los Bytes ToS y DS son lo mismo, incluso ocupan la misma ubicacin en la cabecera IP, solamente su nombre y la manera que el valor se interpreta es diferente. Los bits DSCP permiten compatibilidad con los bits IP precedentes de tal manera que un dispositivo que no sea capaz de interpretar todo ese campo podra descifrar slo la informacin de QoS. Los campos DiffServ se muestran en el siguiente grfico: DS5 DS4 DS3 DS2 DS1 DSO ECN ECN

DSCP

www.FreeLibros.com

RA-MA

CAPTULO 17. TELEFONA IP

447

DSCP ocupa 6 bits (DS5-DS0). Los tres bits de seleccin de clase o Class Selector (DS5 a DS3) categorizan los paquetes en siete clases: Clase 0, es la clase por defecto, simplemente ofrece el servicio Best-effort. Clases 1 a 4, llamadas AF (Assured Forwarding). Cuanto ms altos sean los nmeros de la clase AF, ms prioridad tendr el trfico y menos probabilidad de ser eliminado o rechazado en caso de congestin. Clase 5, conocida como EF (Expedited Forwarding). LTsada para dar el mayor servicio, es la que tiene menos probabilidad de ser eliminada, se suele usar para trfico de voz o vdeo. Clases 6 y 7, son tambin llamadas Internetwork Control y Network Control. Son usadas por los routers y switches para trfico de control en STP, protocolos de enrutamiento, etc. En definitiva, para aquellos servicios que mantienen la red operacional. Cada clase representada en el DSCP tiene tres niveles de posibilidad de descarte, representados en los bits DS2 a DSO, pero hay que tener en cuenta que DSO siempre tiene el valor 0. Baja probabilidad de descarte: 1. Media probabilidad de descarte: 2. Alta probabilidad de descarte: 3. Dentro de una misma clase los paquetes con ms alta probabilidad de descarte son eliminados primero, tomando en cuenta que la probabilidad de descarte es mayor cuanto mayor es el valor.

Implementacin QoS para voz


Para manipular los paquetes acorde a las polticas de QoS, un switch tiene que identificar el nivel de servicio que cada paquete tiene que recibir. Este proceso se conoce como clasificacin, cada paquete se clasifica acorde a un tipo de trfico, por ejemplo TCD o UDP, segn los parmetros configurados en las ACL, routemaps, etc. Los paquetes IP llevan consigo los valores DSCP dentro de las cabeceras a lo largo de todo el camino de la red. Las tramas en un troncal tambin llevan un valor de coste asociado con ellas, por lo tanto, un switch puede decidir si confiar en ToS, DSCP o CoS, que han sido asignados previamente a los paquetes

www.FreeLibros.com

448

REDES CISCO. CCNP a Fondo

RA-MA

de entrada. Si el switch confa en algunos de estos valores, se utilizarn para tomar decisiones de calidad de servicio dentro del switch. Si dichos valores no son confiables pueden ser eliminados o reasignados, de esta manera un switch puede asumir nuevos valores para que sean aceptados dentro de las polticas de gestin. Esto ltimo puede prevenir la intrusin de usuarios no autorizados en la red. Todos y cada uno de los switches deben confiar en los valores de QoS entrantes generalmente una organizacin debe confiar en los paramentos de QoS dentro de la propia red. En la frontera con otra organizacin o ISP QoS tpicamente no debera ser confiable. Es prudente confiar en valores de QoS que hayan sido asignados por los propios dispositivos de red, de esta forma los valores de QoS producidos por los usuarios finales no deberan ser confiados hasta que la red pueda verificarlos o sobrescribirlos. El permetro formado por los switches que no confan en el QoS de entrada se llama frontera de confianza. Esta frontera est en el extremo de la red empresarial, en capa de acceso, marcaciones WAN y lmites con los ISP. Cuando la frontera de confianza ha sido identificada a travs de los puertos no confiables dentro de ese permetro, los puertos pueden ser configurados para confiar en los valores QoS de entrada. La siguiente figura muestra una red en la que se define una frontera de confianza; est definida en la red de usuarios finales y redes pblicas:

No confiable

En el Catalyst A el puerto GigaEthemet 2/1 est configurado para recibir datos de entrada no confiables. El Catalyst B est conectado a un PC que tambin es no confiable, el telfono IP en el puerto FastEthemet 0/1 es un caso especial porque soporta su propio trfico de voz y trfico de usuario final, por lo que la frontera de confianza no puede estar definida exactamente en ese puerto.

www.FreeLibros.com

r A-MA

CAPTULO 17. TELEFONA IP

449

Configuracin de la frontera de confianza


Cuando un telfono IP se conecta a un switch es como si se aadiera otro switch a la red. Si se instala un telfono IP como parte de la red se puede confiar en la informacin de QoS emitida por el telfono. El telfono IP tiene dos fuentes de emisin de datos: Datos propios del telfono. El telfono puede controlar la informacin de QoS que se incluye en los paquetes de voz. Datos de usuario en el puerto del switch. Son paquetes del puerto del PC de datos generados en algn otro sitio, de tal manera que la informacin de QoS no ser confiable.

Un switch instruye al telfono IP que tiene conectado mediante mensajes CDP acerca de cmo debera extender la confianza QoS a su propio puerto de usuario de datos. La configuracin de la extensin de estos datos de confianza siguen los siguientes pasos: 1. Se habilita QoS en el switch. Por defecto est deshabilitado globalmente en el switch y toda la informacin de QoS se permite entre puertos de un switch a otro. Al habilitar QoS todos los puertos del switch quedan configurados como no confiables.
Switch(config)# mis qos

2. Definicin de los parmetros que sern utilizados. Es posible elegir entre confiar en el CoS, IP precedente o DSCP de los paquetes de entrada en los puertos del switch, aunque slo uno de estos parmetros puede ser seleccionado. Generalmente un telfono IP puede ser configurado con los parmetros eos porque el telfono puede controlar los valores en su troncal de VLAN.
Switch(config)# interface type mod/num Switch(config-if)# mis qos trust {eos | ip-precedence | dscp}

3. Confianza condicional:
Switch(config-if)# mis qos trust device cisco-phone

Si este comando se configura, los parmetros de QoS definidos en el paso anterior sern confiables solamente si un telfono IP se detecta a travs de

www.FreeLibros.com

450

REDES CISCO. CCNP a Fondo

RA-MA

CDP. Cuando no se detecta el telfono los parmetros de QoS no son confiados. 4. Indicaciones para extender la frontera de confianza del telfono IP. Normalmente la informacin de QoS de un PC conectado a un telfono debera ser no confiable debido a que las aplicaciones del PC podran intentar utilizar unos campos de CoS o DSCP si son mejores a los suyos para ganar mejor acceso a la red, en este caso el parmetro eos se sobrescribe al valor de 0.
Switch(config-if )# switchport priority extend {eos valu \

trust}

El PC puede estar ejecutando alguna aplicacin confiable que hace peticiones de QoS de niveles especficos de servicio, en este caso el telfono IP puede extender la confianza hasta el PC, permitiendo que los bits del coste sean enviados a travs del telfono IP sin modificarlo, para esto se utiliza el parmetro trust. Por defecto un switch instruye a un telfono IP que tiene conectado un PC para que lo considere como no confiable. El telfono sobrescribir los valores de coste a 0. Los uplink con conexiones hacia otros switches deberan ser considerados como puertos confiables siempre y cuando estn conectados a dispositivos confiables de la frontera de confianza de QoS. Para configurar un puerto uplink en un switch para que sea confiado se utilizan los siguientes comandos:
Switch(config)# interface type mod/num Switch(config-if )# mis qos trust eos

El parmetro de confianza trust no es condicional, el switch confiar slo en los valores de coste que son encontrados en los paquetes de entrada. Los switches poseen un mapeo de los valores de coste llamado CoS-toDSCP, que se utiliza para convertir los valores CoS de entrada en valores DSCP.

Configuracin de AutoQoS
Los switches Cisco pueden configurarse para soportar una variedad de mecanismos y parmetros de QoS, la lista y las caractersticas de los comandos de configuracin pueden ser enormes y la configuracin real resulta muy compleja. sta es una razn para que los tpicos relativos a QoS no se traten en la totalidad en este libro. Para simplificar la configuracin, Cisco introdujo la caracterstica de Auto-QoS para casi todas las plataformas. Utilizando una cantidad mnima de

www.FreeLibros.com

RA-MA

CAPTULO 17. TELEFONA IP

451

comandos se puede habilitar el switch para que automticamente configure todos los parmetros de QoS. Auto-QoS es realmente manejado por un comando macro el cual se encarga de aadir otros comandos de configuracin como si fuesen introducidos manualmente. Gracias a esto Auto-QoS permite la rpida configuracin de los switches que an permanecen con la configuracin por defecto. La utilizacin de Auto-QoS en switches ya configurados podra sobrescribir algunos de los comandos ya configurados. Auto-QoS maneja los siguientes modos de configuracin de QoS: Habilta QoS. Mapea CoS-to-DSCP hacia QoS. Configura mejor las colas de entrada y salida. Genera colas de prioridad estrictas para salidas de voz. Establece una interfaz QoS que ser la frontera de confianza.

Los siguientes pasos de configuracin se utilizan para configurar AutoQoS: Seleccin de la interfaz que ser la frontera de QoS:
Switch(config)# interface type mod/num

Habilitar Auto-QoS con la confianza apropiada:


Switch(config-if)# auto qos voip {cisco-phone | ciscosoftphone | trust}

Si el puerto del switch est conectado a un telfono IP, se debera utilizar el parmetro cisco-phone. Si est conectado un PC con .la aplicacin Cisco softphone, se deber elegir el parmetro cisco-softphne. Los paquetes que llegan con valores de DSCP de 24, 26 y 46 son confiables, los paquetes con otro tipo de valor se pondrn con un DSCP en 0. En un puerto uplink de switch hacia otro switch o un router, se debera utilizar el comando trust. Todos los paquetes recibidos en ese puerto deberan ser confiables, la informacin de QoS debera quedar intacta. El comando auto qos voip aparecer en la configuracin del switch junto con los otros comandos que l mismo inserta.

www.FreeLibros.com

452

REDES CISCO. CCNP a Fondo

RA-MA

VERIFICACIN QoS DE VOZ IP


Un puerto del switch puede ser configurado para que confe en el estado de QoS con el dispositivo conectado. Si ese dispositivo es un telfono IP, el switch puede instruir al telfono y extender la confianza de QoS a un PC que tenga conexin a dicho telfono. Para verificar que la confianza ha sido extendida al telfono IP se utiliza el siguiente comando:
Switch#show mis qos interface type mod/num

Si el puerto es confiable todo el trfico enviado por el telfono IP es aceptado con la informacin de QoS permaneciendo intacta. Si el puerto no es confiable, los paquetes, incluso los de voz, podrn tener la informacin sobrescrita por el switch. La siguiente salida muestra un ejemplo:
Switch# show mis qos interface fastethernet 0/1 FastEthernet0/1 trust state: trust eos trust mode: trust eos trust enabled flag: ena COS override: dis default COS: 0 DSCP Mutation Map: Default DSCP Mutation Map Trust device: none

Se puede verificar como un telfono IP ha sido instruido para tratar la informacin de QoS entrante del PC conectado en la ltima lnea de la sintaxis anterior (trust device:). Tambin puede verse en el siguiente comando en la lnea Appliance trust:
Switch# show interface fastethernet 0/1 switchport ame: FaO/1 Switchport: Enabled [output deleted...] Voice VLAN: 2 (VLAN0002) Appliance trust: none

Si el dispositivo es de confianza la lnea de comandos mostrara Appliance trust: trusted.

www.FreeLibros.com

RA-MA

CAPTULO 17. TELEFONA IP

453

El siguiente ejemplo muestra cundo un telfono IP se conecta, ms abajo aparece la sintaxis; cundo el telfono IP no est conectado al puerto del switch y no es detectado y el parmetro trust no est habilitado.
S w i t c h # show running-config interface fastethernet 0/47 Building configuration... Current configuration : 219 bytes

i
interface FastEthernetO/47 switchport access van 10 switchport trunk encapsulation dotlq switchport mode access switchport voice van 100 mis qos trust device cisco-phone mis qos trust eos no mdix auto end Switch# show mis qos interface fastethernet 0/1
FastEthernetO/1

trust mode: trust eos COS override: dis default COS: 0 DSCP Mutation Map: Default DSCP Mutation Map Trust device: cisco-phone

Cuando el telfono IP se conecta se le aplica energa para ser detectado, entonces la confianza de QoS condicional, en este caso CoS, es habilitada:
6dl8h: %ILPOWER-7-DETECT: Interface Fal/0/1: Power Device detected: Cisco PD 6dl8h: %ILPOWER-5-POWER_GRANTED: Interface Fal/0/1: Power granted 6dl8h: %LINK-3-UPDOWN: Interface FastEthernetl/0/1, changed state to up 6dl8h: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernetl/0/1, changed state to up 6dl8h: %SWITCH_Q0S_TB-5-TRUST_DEVICE_DETECTED: cisco-phone detected on port Fal/ 0/1, port trust enabled. Switch# show mis qos interface fastethernet 1/0/1 FastEthernet1/0/1 trust mode: trust eos COS override: dis default COS: 0 DSCP Mutation Map: Default DSCP Mutation Map

www.FreeLibros.com

454

REDES CISCO. CCNP a Fondo

r a -m a

La autoconfiguracin de QoS en un puerto puede verse con el siguiente comando:


Switch# show auto qos interface fastethernet 0/37 FastEthernetO/37 auto qos voip cisco-phone

www.FreeLibros.com

Captulo 18

SEGURIDAD DE ACCESO AL SWITCH


SEGURIDAD DE PUERTOS
En algunos entornos la red debe estar asegurada para controlar qu estaciones terminales podrn tener acceso a la red. Cuando las estaciones de trabajo son estacionarias, sus direcciones MAC siempre se espera que se conecten al mismo puerto de la capa de acceso. En estaciones mviles la MAC puede ser aprendida dinmicamente o ser aadida en una lista de direcciones que se esperan en ese puerto. Los switches Catalyst poseen una caracterstica llamada portsecurity que controla las direcciones MAC asignadas a cada puerto. Para iniciar la configuracin de seguridad de puertos en un switch se comienza con el siguiente comando:
Switch(config-if)#switchport port-security

Posteriormente se deben identificar un conjunto de direcciones MAC permitidas en ese puerto. Estas direcciones pueden ser configuradas explcitamente o de forma dinmica a travs del trfico entrante por ese puerto, en cada interfaz que utiliza port-security se debe especificar un nmero mximo de direcciones MAC que sern permitidas:
Switch(config-if)#switchport port-security mximum max-addr

El rango de MAC permitidas va desde 1 a 1024. Cada interfaz configurada con port-security aprende dinmicamente las direcciones MAC por defecto y espera que esas direcciones aparezcan en esa interfaz en el futuro. Este proceso se

www.FreeLibros.com

456

REDES CISCO. CCNP a Fondo

r a -m a

llama sticky MAC addresses. Las direcciones MAC se aprenden cuando las tramas de los host pasan a travs de la interfaz, que aprende hasta el nmero mximo de direcciones que tiene permitidas. Las direcciones aprendidas tambin son eliminadas si los host conectados no transmiten en un perodo determinado. La siguiente sintaxis muestra la configuracin de direcciones MAC para un puerto a un mximo de 5:
Switch(config-if)#switchport port-security mximum 5

Tambin se puede definir estticamente una o ms direcciones MAC en una interfaz, cualquiera de las direcciones configuradas tendr permitido el acceso a la red a travs de ese puerto:
Switch(config-if)#switchport port-security mac-address mac-addr

Si el nmero de direcciones estticas dado es menor que el nmero mximo de direcciones que puede aprender dinmicamente, el resto de las direcciones se aprendern dinmicamente. Por lo tanto, se debe tener un control apropiado sobre cuantas direcciones se deben permitir. Finalmente se debe definir cmo una interfaz con seguridad de puerto debera reaccionar si ocurre un intento de violacin para eso se utiliza el siguiente comando:
Switch(config-if)# switchport port-security violation {shutdown | restrict |protect}

Cuando ms del nmero mximo de direcciones MAC permitidas o una direccin MAC desconocida se detecta se interpreta como una violacin. El puerto del switch toma algunas de las siguientes acciones cuando ocurre una violacin: Shutdown, el puerto automticamente se pone en el estado errdisable, lo que hace dejarlo inoperable y tendr que ser habilitado manualmente o utilizando la recuperacin de errdisable. Restrict, el puerto permanente activo pero los paquetes desde las direcciones MAC que estn violando la restriccin son eliminados. El switch contina ejecutando el temporizador de los paquetes que estn violando la condicin y puede enviar un trap de SNMP a un servidor Syslog para alertar de lo que est ocurriendo. Protect, el puerto sigue habilitado pero los paquetes de las direcciones que estn violando la condicin son eliminados, no queda ninguna constancia de lo que est aconteciendo en el puerto.

www.FreeLibros.com

RA-MA

CAPTULO 18. SEGURIDAD DE ACCESO AL SWITCH

457

Un ejemplo del modo restrict se detalla en la siguiente sintaxis:


interface GigabitEthernetO/11 switchport access van 991 switchport mode access switchport port-security switchport port-security violation restrict spanning-tree portfast

Cuando el nmero mximo de direcciones MAC se excede se guarda un log cuya sintaxis se muestra a continuacin:
jun 3 17:18:41.888 E D T : %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0000.5e0 0 .0101 on port
GigabitEthernetO/11.

En caso de que se cumpla la condicin restrict o protect se deberan eliminar las direcciones MAC que no son permitidas con el siguiente comando:
Switch#clear port-security dynamic [address mac-addr | interface type mod/num]

En el modo shutdown la accin de port-security es mucho ms drstica. Cuando el nmero mximo de direcciones MAC es sobrepasado el siguiente mensaje log indica que el puerto ha sido puesto en modo errdisable:
Jun 3 17:14:19.018 EDT: %PM-4-ERR_DISABLE: psecure-violation error detected on GiO/ll, putting GiO/11 in err-disable state Jun 3 17:14:19.022 EDT: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0003.a089.efc5 on port GigabitEthernetO/11. Jun 3 17:14:20.022 EDT: %LINEPROTO-5-UPDOWN: Line protocol on Interface Gigabit EthernetO/11, changed state to down Jun 3 17:14:21.023 EDT: %LINK-3-UPDOWN: Interface . GigabitEthernetO/11, changed state to down

El estado de un puerto puede verse con el comando show port-security interface:


Switch#show port-security interface gigabitethernet 0/11 Port Security : Enabled Port Status : Secure-shutdown Aging Time : Aging Type : SecureStatic Address 0 mins Absolute Disabled

Aging :

www.FreeLibros.com

458

REDES CISCO. CCNP a Fondo

RA-MA

Mximum MAC Addresses : Total MAC Addresses : Configured MAC Addresses : Sticky MAC Addresses : Last Source Address : Security Violation Count :

1 0 0 0
0003.a089.efc5

Para ver un resumen rpido del estado del puerto puede utilizarse el siguiente comando:
Switch#show interfaces status err-disabled Port ame Status Reason GiO/11 Test port err-disabled psecure-violation

Hay que recordar que cuando un puerto est en el estado errdisable se debe recuperar manualmente o de manera automtica. La secuencia de comandos para la recuperacin manual es la siguiente:
Switch(config)#interface type mod/num Switch(config-if)#shutdown Switch(config-if)#no shutdown

Finalmente se puede ver un resumen del estado de port-security con el siguiente comando:
Switch#show port-security Secure Port MaxSecureAddr Action
(C o u n t ) (C o u n t ) (C o u n t )

CurrentAddr

SecurityViolation

Security

GiO/11 GiO/12

5 1

1 0

0 0

Restrict Shutdown

Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 6176

AUTENTICACION BASADA EN PUERTO


Los switches Catalyst pueden soportar autenticacin basada en puerto que resulta una combinacin de autenticacin AAA (Authentication, Authorization, Accounting) y de port-security. Esta caracterstica se basa en el estndar IEEE 802.IX, cuando est habilitado un puerto del switch no pasar trfico hasta que el usuario se autentique con el switch. Si la autenticacin es satisfactoria el usuario podr utilizar el puerto con normalidad. En la autenticacin basada en puerto tanto el switch como el PC del usuario tienen que soportar el estndar 802.IX usando EAPOL (Extensible

www.FreeLibros.com

RA-MA

CAPTULO 18. SEGURIDAD DE ACCESO AL SWITCH

459

Authentication Protocol over LAN). Dicho estndar es un protocolo que se ejecuta entre el cliente y el switch que est brindando el servicio de red. Si el cliente del pC est configurado para utilizar 802.IX pero el switch no lo soporta, el PC abandona el protocolo y se comunica normalmente; pero a la inversa, es decir, si el switch est configurado con autenticacin y el PC no lo soporta, el puerto del switch permanecer en estado no autorizado de manera que no enviar trfico a ese cliente. Un puerto del switch con 802. IX comienza en el estado no autorizado, de tal manera que solamente el nico tipo de datos que permite pasar es del propio protocolo 802.IX. Tanto el cliente como el switch pueden comenzar la sesin 802.IX. El estado autorizado del puerto finaliza cuando el usuario del puerto termina la sesin causando que el cliente 802.IX informe al switch que regrese al estado no autorizado. El switch puede finalizar la sesin del usuario cuando lo crea necesario; en caso de que as ocurra, el cliente tiene que re-autenticarse para continuar utilizando el puerto.

Configuracin de 802.IX
La autenticacin basada en puerto puede ser administrada por uno o ms servidores RADIUS (Remte Authentication Dial-In User Service). Aunque muchos switches Cisco soportan otros mtodos de autenticacin slo RADIUS soporta el estndar 802.IX. El mtodo de autenticacin real de RADIUS tiene que ser configurado inicialmente y luego el 802. IX. Los siguientes pasos muestran dicha configuracin: 1. Habilitacin de AAA en el switch. Por defecto AAA est deshabilitado; para habilitarlo se utiliza el siguiente comando:
Switch(config)#aaa new-model

El parmetro new-model hace referencia al mtodo de listas que se van a utilizar para la autenticacin. 2. Definicin de los servidores RADIUS externos. En primer lugar se define cada servidor junto con la clave compartida; esta cadena solamente es conocida por el switch y el servidor y proporciona una clave de encriptacin para la autenticacin del usuario.
Switch(config)#radius-server [key string] host {hostname \ ip-address}

Este comando debe repetirse segn tantos servidores existan en la red.

www.FreeLibros.com

460

REDES CISCO. CCNP a Fondo

RA-MA

3. Definicin del mtodo de autenticacin 802.1X. Con el siguiente comando los servidores de autenticacin RADIUS que se han definido en el switch utilizarn la autenticacin 802. IX:
Switch(config)#aaa radius authentication dotlx default group

4. Habilitacin de 802.1x en el switch.


Switch(config)#dotlx system-auth-control

5. Configuracin de los puertos del switch con 802.IX.


Switch(config)#dotlx system-auth-control Switch(config)# interface type mod/num Switch(config-if)#dotlx port-control {force-authorized | force-unauthorized | auto}

Donde: force-authorized: el puerto es forzado para que siempre autorice cualquier conexin de cliente, no es necesario la autenticacin; ste es el estado por defecto para todos los puertos cuando 802. IX est habilitado. force-unauthorized: el puerto es forzado para no autorizar nunca la conexin de un cliente, como resultado ese puerto no pasar al estado autorizado. Auto: el puerto utiliza un intercambio de 802. IX para moverse desde el estado unauthorized hacia el estado authorized cuando la autenticacin resulte satisfactoria. Esto requiere una aplicacin capaz de soportar dicho estndar en el PC del cliente. Por defecto todos los puertos del switch estn en el estado forceauthorized pero si el objetivo es la utilizacin de 802.IX los puertos deben estar configurados en auto, de tal manera que se emplee dicho mecanismo de autenticacin. 6. Permitir mltiples host en un puerto del switch. El estndar 802. IX soporta casos en los cuales mltiples host estn conectados a un simple puerto del switch ya sea a travs de un hub o de otros switch de acceso. En este caso se debe configurar el puerto con el siguiente comando:
Switch(config-if)#dotlx host-mode multi-host

El comando show dotlx all se utiliza para verificar las operaciones de 802. IX en cada puerto del switch donde est configurado. El siguiente es un ejemplo de autenticacin basada en 802. IX, donde hay configurados dos servidores RADIUS y varios puertos del switch estn utilizando 802.IX para autenticacin y asociacin con la VLAN 100:

www.FreeLibros.com

RA-MA

CAPTULO 18. SEGURIDAD DE ACCESO AL SWITCH

461

Switch(config)#aaa new-model Switch(config)#radius-server host 100.30.1.1 key PruebaCCNP Switch(config)#radius-server host 100.30.1.2 key OtraCCNP Switch(config)#aaa authentication dotlx default group radius Switch(config)#dotlx system-auth-control Switch(config)#interface range FastEthernetO/1 - 40 Switch(config-if)#switchport access van 100 Switch(config-if)#switchport mode access Switch(config-if)#dotlx port-control auto

m it ig a n d o a t a q u e s e s p a s
Los usuarios maliciosos intentan enviar informacin falsa a los switches o host intentando utilizar mecanismos de burla falseando las puertas de enlace. El objetivo del atacante es interceptar el trfico enviando paquetes al afectado como si ste fuera la puerta de enlace o el router. El atacante puede obtener informacin del trfico de paquetes antes de que lleguen a su verdadero destino. Los switches Catalyst poseen tres mecanismos de proteccin ante estos ataques que se describen a continuacin: DHCP Snooping: un servidor DHCP proporciona la informacin que un cliente necesita para operar dentro de una red. Un atacante puede activar un servidor DHCP falso en el mismo segmento en que se encuentra el cliente; cuando el cliente hace la peticin DHCP el falso servidor podra enviar el DHCP reply con su propia direccin IP sustituyendo a la verdadera puerta de enlace. Los paquetes destinados hacia fuera de la red local seran enviados al servidor del atacante que podr enviarlos a la direccin correcta pero primero podr examinar cada paquete que va interceptando. El atacante est en el medio del camino, el cliente nunca se da cuenta de ello, accin conocida como man-in-the-middle. Los switches Catalys poseen la caracterstica DHCP Snooping para prevenir este tipo de ataque. Cuando est configurado, los puertos estn categorizados como confiables o no confiables. Los servidores DHCP legtimos pueden encontrarse en puertos confiables, mientras que todos los dems host estn detrs de los puertos no confiables. Un switch intercepta todas las peticiones DHCP que vienen de los puertos no confiables antes de pasarlas a la VLAN correspondiente. Cualquier respuesta DHCP reply viniendo desde un puerto no confiable se descarta, adems el puerto pasar al estado errdisable. DHCP Snooping mantiene un registro de todos los enlaces de los DHCP completados, lo que significa que posee conocimiento de las direcciones MAC, direcciones IP, tiempo de alquiler, etc. del cliente.

www.FreeLibros.com

462

REDES CISCO. CCNP a Fondo

RA-MA

El siguiente comando configura DHCP Snooping en el switch:


Switch(config)#ip dhcp snooping

El siguiente paso consiste en identificar la VLAN donde DHCP Snooping se implementar:


Switch(config)#ip dhcp snooping van vlan-id [vlan-id]

Posteriormente se configuran los puertos localizados los servidores DHCP reales:


Switch(config)#interface type mod/num Switch(config-if)#ip dhcp snooping trust

confiables

donde estn

Para los puertos no confiables se permite un nmero ilimitado de peticiones DHCP, para limitarlo se puede utilizar el siguiente comando:
Switch(config)#interface type mod/num Switch(config-if)#ip dhcp snooping limit rate rate

El parmetro rate tiene un rango de 1 a 2048 paquetes DHCP por segundo. Puede, adems, configurarse el switch para que use la opcin DHCP 82 descripta en la RFC 3046. Aadiendo la opcin 82 la informacin acerca del cliente que ha generado la peticin DHCP es ms amplia. Adems, la respuesta DHCP (en caso de que la hubiera) traer contenida la informacin de la opcin 82. El switch intercepta la respuesta y compara los datos de la opcin 82 para confirmar que la respuesta viene de un puerto vlido en el mismo. Esta caracterstica est habilitada por defecto; no obstante, para habilitar la opcin 82 se utiliza el siguiente comando:
Switch(config)# ip dhcp snooping information option

El estado del DHCP Snooping puede verse con el siguiente comando:


Switch#show ip dhcp snooping [binding]

El parmetro binding se utiliza para mostrar todas las relaciones conocidas de DHCP que han sido recibidas. En el siguiente ejemplo se observa la configuracin de DHCP Snooping, las interfaces FastEthemet 0/5 a la 0/16 son consideradas no confiables, la cantidad de peticiones estn limitadas a 3 por segundo. El servidor DHCP conocido est localizado en la interfaz GigaEthemet 0/1:

www.FreeLibros.com

RA-MA

CAPTULO 18. SEGURIDAD DE ACCESO AL SWITCH

463

Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping van 104 Switch(config)#interface range fastethernet 0/5 16 Switch(config-if)#ip dhcp snooping limit rate 3 Switch(config-if)#interface gigabitethernet 0/1 Switch(config-if)#ip dhcp snooping trust Switch#show ip dhcp snooping DHCP snooping is enabled DHCP snooping is configured on following VLANs: 104 insertion of option 82 is enabled Interface Trusted Rate limit (pps)
Switch

FastEthernetO/35 FastEthernetO/36 GigabitEthernetO/1

no no yes

3 3 unlimited

IP Sourse Guard: el falseo de direcciones es uno ms de los diferentes tipos de ataques que son difciles de mitigar. Normalmente un host es asignado a una direccin IP y se espera utilizar la misma para todo el trfico que enva. Un PC que est comprometido no tiene por qu utilizar su direccin IP, podra comenzar a utilizar direcciones falsas. stas son a menudo utilizadas como el origen del ataque de denegacin de servicio. Si la direccin origen no existe realmente el trfico de vuelta nunca encontrar el camino hacia su origen. Los routers o dispositivos de capa 3 llevan a cabo test simples para direcciones de origen falseadas cuando stas pasan a travs de ellos. Si la red es conocida y pertenece a una VLAN determinada, los paquetes entrantes desde esa VLAN nunca deberan tener una direccin IP diferente en su direccionamiento. Pero es difcil detectar direcciones falsas cuando son utilizadas dentro de la VLAN o subred correspondiente. De esta manera un host comprometido podra atacar a todos los host dentro de su propia subred. Los switches Catalyst pueden utilizar la caracterstica IP Sourse Guard para detectar y suprimir ataques de direcciones falsas, incluso dentro de la misma subred. Un switch de capa 2 aprende y guarda la direccin MAC por puerto, y utiliza un mtodo para buscar la direccin MAC y ver la asociacin IP correspondiente. IP Sourse Guard realiza este proceso haciendo uso de la base de datos de DHCP Snooping, como tambin de la base de direcciones estticas.

www.FreeLibros.com

464

REDES CISCO. CCNP a Fondo

RA-MA

Los paquetes que llegan al switch pueden ser comprobados por cualquiera de estas dos condiciones: 1. La direccin IP de origen tiene que ser idntica a la direccin IP aprendida por DHCP Snooping o por una entrada esttica. Un puerto con ACL dinmica se utiliza para filtrar el trfico, el switch automticamente crea esta ACL aadiendo la direccin de origen aprendida a la ACL y aplicndola en el puerto donde se aprendi la direccin correspondiente. 2. La direccin MAC de origen tiene que ser idntica a la direccin MAC aprendida en el puerto del switch y el DHCP Snooping. Se utiliza port-security para filtrar el trfico no deseado. Si la direccin es diferente a la que ha sido aprendida o configurada estticamente, el switch descarta el paquete. Para la configuracin de IP Sourse Guard se debe configurar DHCP Snooping. Para que se detecten direcciones MAC falsas es necesaria la configuracin de port-security. Para los host que no utilizan DHCP se puede configurar un direccionamiento esttico con el siguiente comando:
Switch(config)#ip source binding mac-address van vlan-id ip-address interface type mod/num

En este caso la direccin MAC del host es asociada a la VLAN y direccin IP correspondiente junto con el puerto adecuado. Se habilita IP Sourse Guard en uno o ms puertos del switch con los siguientes comandos:
Switch(config)#interface type mod/num Switch(config-if)#ip verify source [port-security]

El comando ip verify source inspeccionar el origen de la direccin IP, es posible aadir el parmetro port-security para hacer lo mismo con la direccin MAC. Para verificar el estado de IP Sourse Guard se utiliza el siguiente comando:
Switch#show ip verify source [interface type mod/num]

www.FreeLibros.com

RA-MA

CAPTULO 18. SEGURIDAD DE ACCESO AL SWITCH

465

Si es necesario verificar la informacin contenida en la base de datos de direcciones de origen aprendidas dinmica o estticamente, se utiliza el siguiente comando:
Switch#show ip source bindng [ip-address ] [mac-address ] [dhcpsnooping | static] [interface type mod/num] [van vlan-id]

Inspeccin dinmica de ARP: los host utilizan normalmente ARP (Address Resolution Protocol) para resolver direcciones MAC no conocidas a direcciones IP conocidas. La direccin MAC es necesaria para enviar un paquete y encapsular en capa 2, el host enva un broadcast con una peticin ARP con la direccin IP del destino solicitando la MAC. Si algunos de los host estn utilizando esa direccin IP, responder con un ARP reply conteniendo su direccin MAC. El proceso de ARP funciona adecuadamente entre dispositivos confiables, pero si un atacante puede enviar su propia respuesta ARP con una direccin MAC maliciosa, el origen de la peticin asociar la IP a la MAC del atacante. El origen almacenar en su tabla ARP una MAC falsa pudiendo enviar los paquetes IP hacia esa direccin. En este escenario el atacante est en el medio del camino, los paquetes son enviados al atacante en lugar de al host real de destino. Este ataque es conocido como ARP poisoning o ARP spoofing, y es considerado como un ataque del tipo man-in-the-middle. Los switches Catalyst pueden utilizar DAI (Dynamic ARP Inspection) para mitigar este tipo de ataque. DAI trabaja de manera similar a DHCP snooping, todos los puertos del switch son clasificados como confiables o no. El switch intercepta e inspecciona todos los paquetes ARP que llegan a los puertos no confiables. Cuando una respuesta ARP es recibida en un puerto no confiable, el switch verifica la MAC y la direccin IP reportada en el paquete de respuesta contra unos valores conocidos. El switch puede obtener la informacin confiable de ARP por entradas estticas o aprendidas dinmicamente en la base de datos de DHCP Snooping habilitado previamente. Si la respuesta contiene valores conflictivos se elimina generando un mensaje de log. Para la configuracin de DAI se debe habilitar en una o ms VLAN con el siguiente comando:
Switch(config)#ip arp inspection van vlan-range

El parmetro van permite la configuracin de una VLAN o un rango determinado. Por defecto todos los puertos asociados con el rango de VLAN son considerados como no confiables. El switch local no inspeccionar los paquetes

www.FreeLibros.com

466

REDES CISCO. CCNP a Fondo

RA-MA

ARP que le llegan a los puertos confiables. Para configurar un puerto como confiable se utilizan los siguientes comandos:
S w i t c h (c o n f i g )#interface type mod/num Switch(config-if )#ip arp inspection trust

Si existen host con direccin IP esttica configurada no habr mensajes DHCP que se intercambien y que puedan ser inspeccionados, por lo cual habr que configurar una ACL de ARP que defina estticamente las asociaciones MAC a direcciones IP. Los siguientes comandos se aplican a uno o ms host y se configuran de la siguiente manera:
Switch(config)#arp access-list acl-name Switch(config-acl)#permit ip host sender-ip mac host sender-jnac[log] S witch(config - a c l )#exit

Las ACL deben ser asociadas a DAI a travs de los siguientes comandos:
Sw i t c h (conf ig)#ip arp inspection filter arp-acl-name van vlan-range

[static]

Existe una denegacin implcita al final de la ACL de ARP: si no se encuentra ninguna coincidencia, la respuesta ARP es considerada invlida. Es posible especificar ms validaciones en los contenidos de los paquetes de respuesta ARP. Por defecto slo se utilizan para la verificacin las direcciones MAC y direcciones IP contenidas en los paquetes de respuesta ARP. Esto no significa que las verificaciones de las direcciones MAC sean las reales contenidas en la cabecera ARP. Para que as ocurra y se verifiquen las direcciones MAC para que sean realmente las que vienen listadas dentro del propio paquete de respuesta, se utiliza el siguiente comando:
S witch(conf ig)#ip arp inspection validate {[src-mac]

[dst-mac] [ip]}

Habr que especificar al menos una de las 3 opciones siguientes: src-mac: compara la direccin MAC de origen en la cabecera Ethemet con la MAC enviada en la respuesta ARP. dst-mac: compara la direccin MAC de destino en la cabecera Ethemet con la direccin MAC en la respuesta ARP. ip: verifica la direccin IP del que enva en todas las peticiones ARP, compara la direccin IP del destino con la direccin de destino en todas las respuestas ARP.

www.FreeLibros.com

RA-MA

CAPTULO 18. SEGURIDAD DE ACCESO AL SWITCH

467

El siguiente es un ejemplo de configuracin DAI:


Switch(config)#ip arp inspection van 10 Switch(config)#arp access-list direccin S w i t c h (config-acl)#permit ip host 192.168.1.10 mac 0006.5b02.a841 S w i t c h (config-acl)#exit Switch(config)#ip arp inspection filter direccin van 10 Switch(config)#interface gigabitethernet 0/1 Switch(config-if)#ip arp inspection trust

host

Para la verificacin del estado de configuracin de DAI puede utilizarse el comando show ip arp inspection.

RECOMENDACIONES PRCTICAS DE SEGURIDAD


Configuracin de contraseas seguras: siempre que sea posible se debe utilizar el comando enable secret para configurar la contrasea en el modo privilegiado en el switch, de esta manera se obtiene un mecanismo de encriptacin (MD5) ms seguro que con el obtenido a travs del comando enable password. Para que automticamente las contraseas sin cifrar sean encriptadas es preciso utilizar el comando Service password-encryption. Se podra utilizar servidores AAA externos para autenticar a los usuarios siempre que sea posible. Los nombres de usuario y contrasea se mantienen externamente de tal manera que no son almacenados ni administrados en el switch. Con un sistema centralizado de usuarios en ms escalable que la configuracin de cada uno de ellos por separado en cada switch. Utilizacin de banners del sistema: cuando los usuarios acceden a un switch deberan saber cules son las polticas de la organizacin. Los banners deberan estar configurados con este tipo de informacin para que los usuarios se notifiquen cada vez que se conectan. El comando banner motd define el texto para que aparezca al conectarse. Deshabilitar los servicios innecesarios o inseguros: los dispositivos Cisco tienen servicios habilitados por defecto que no se utilizarn. Para ajustar an ms la seguridad se deberan definir qu servicios son necesarios en la organizacin, todo lo que est en funcionamiento puede ser explotado con fines maliciosos. Un ejemplo tpico es el servicio HTTP de los switches Catalyst, que debera deshabilitarse con el comando no ip http Server. De la misma manera otros servicios como service tcp-small-servers, service udp-small-servers, service finger y service config deberan estar deshabilitados.

www.FreeLibros.com

468

REDES CISCO. CCNP a Fondo

RA-MA

Asegurar la consola del switch: hay muchos entornos en los cuales el switch est aislado fsicamente para que nadie pueda conectar un cable de consola, aun as la contrasea de consola debera estar siempre habilitada. Es apropiado utilizar las mismas pautas de autenticacin que tengan las lneas VTY. Asegurar el acceso VTY: todas las lneas VTY del switch deben tener control de acceso. Adems la utilizacin de ACL puede limitar el origen de las direcciones IP permitidas va telnet o SSH. El comando show user all se utiliza para ver cada una de las lneas VTY que se estn utilizando para entrar al switch. Utilizar SSH siempre que sea posible: aunque telnet es fcil de configurar y utilizar, no es un mtodo seguro. Cada carcter escrito en telnet viaja en texto plano sin ningn tipo de encriptacin. SSH utiliza un mtodo de encriptacin seguro y fuerte. Las versiones de IOS, deben ser capaces de soportar este sistema de cifrado. Asegurar el acceso SNMP: para prevenir que usuarios no autorizados ejecuten cambios en la configuracin del switch se debera deshabilitar cualquier acceso de lectura escritura SNMP. Los comandos para hacerlo son snmp-server community string RW. Es recomendable la configuracin de los comandos de slo lectura, sumado a ACL con permisos especficos. Asegurar los puertos del switch no utilizados: Cada puerto del switch no utilizado debera estar deshabilitado porque no se espera que ningn usuario se conecte a l. El comando shutdown deja al puerto en un estado de desconexin administrativo. Adems el puerto debe ser de acceso evitando que alguien intente negociar un troncal con el switch. Otra opcin es asociar los puertos no utilizados a una VLAN aislada. Asegurar las operaciones de STP: un usuario malicioso podra inyectar BPDU de STP para de esa manera estropear la topologa de la organizacin. Siempre debera estar habilitada la caracterstica BPDU Guard de tal forma que los puertos se desactivaran si se recibieran BPDU inesperadas. Asegurar el uso de CDP: por defecto los anuncios de CDP se envan a cada puerto del switch cada 60 segundos. Aunque CDP es una potente herramienta, tambin enviar informacin relativa al switch a los posibles atacantes. Slo debera estar habilitado contra otros dispositivos Cisco confiables. El comando no cdp enable deshabilita el protocolo en las interfaces no deseadas.

www.FreeLibros.com

Captulo 19

SEGURIDAD CON VLAN


LISTAS DE ACCESO VLAN
Para controlar el trfico que pasa a travs de un switch pueden utilizarse las ACL. Cuando las ACL normales son configuradas en un Catalyst podrn filtrar el trfico mediante el uso de la TCAM (Temary Content Addressable Memory): cada ACL se aplica a una interfaz acorde a la direccin de entrada o salida del trfico. Los paquetes sern filtrados por hardware de manera que no influye en el rendimiento del dispositivo, slo los paquetes que se intercambian entre VLAN pueden ser filtrados de sta con este mecanismo. Los paquetes dentro de la misma VLAN no pueden ser filtrados con este proceso multicapa. Las VACL (VLAN ACL) son filtros que pueden afectar el manejo de los paquetes dentro de una misma VLAN.

Configuracin de VACL
Las VACL (VLAN Access Lists) se configuran a travs de una VLAN access map que tiene un formato similar a un route-maps. Una VLAN access map consiste en una o ms sentencias con un nombre en comn. En principio se debe definir la VACL con el siguiente comando:
Switch(config)# van access-map map-name [sequence-number]

Las sentencias son evaluadas acorde al nmero de secuencia, cada sentencia puede tener una o ms condiciones de coincidencia seguidas de una

www.FreeLibros.com

470

REDES CISCO. CCNP a Fondo

RA-MA

accin determinada. Posteriormente se definen las condiciones para esas coincidencias que identifican el trfico para ser filtrado. Las coincidencias se llevan a cabo por las ACL (de cualquier tipo), que deben configurarse de manera independiente. La configuracin de una de las condiciones de coincidencia puede ser alguna de las siguientes:
Switch(config-access-map)# match ip address {acl-number \ acl-name} Switch(config-access-inap)# match ipx address {acl-number \ acl-name} Switch(config-access-map)# match mac address acl-name

Los comandos pueden repetirse tantas veces como condiciones sean necesarias, la primera coincidencia encontrada desencadenar la accin a tomar. El siguiente comando define la accin a seguir por el access map:
Switch(config-access-map)# action {drop | forward [capture] redirect type mod/num} |

Una VACL puede descartar un paquete que ha coincidido, enviarlo o redireccionarlo hacia otra interfaz. La TCAM lleva a cabo la accin de coincidencia en la VACL. Por ltimo, la VACL se debe aplicar a una VLAN con el siguiente comando:
Switch(config)# van filter map-name vlan-list vlan-list

Las VACL se aplican globalmente a una o ms VLAN listadas y no a una interfaz VLAN (SVI). Tomando en cuenta que la VACL funciona dentro de la VLAN, no es necesario aplicar direccin de entrada o salida del trfico porque es para el propio trfico dentro de la VLAN. Por ejemplo, cuando se quiere filtrar trfico en la VLAN 99 de tal manera que el host 192.168.99.7 no tenga permiso para contactar con otro host en su red local. La ACL denominada CCNP es creada para identificar el trfico entre este host y cualquier otro host dentro de su subred. Cuando la VLAN access map est definida de forma que la ACL local permita el trfico IP, el paquete es descartado. Todo otro trfico es enviado.
Switch(config)# ip access-list extended CCNP Switch(config-acl)# permit ip host 192.168.99.17 192.168.99.0 0.0.0.255 Switch(config-acl)# exit Switch(config)# van access-map block 10 Switch(config-access-map)# match ip address local Switch(config-access-map)# action drop Switch(config-access-map)# van access-map block 20 Switch(config-access-map)# action forward Switch(config-access-map)# exit Switch(config)# van filter block vlan-list 99

www.FreeLibros.com

RA'MA

CAPTULO 19. SEGURIDAD CON VLAN

471

VLAN PRIVADAS
Generalmente el trfico se permite sin ningn tipo de restriccin dentro de la misma VLAN. Los paquetes son enviados desde un host hacia otro y normalmente son recibidos por el host de destino, gracias a la naturaleza de capa 2 que tienen los switches. Pero si un host enva un paquete de broadcast, todos los dems host dentro de la misma VLAN lo recibirn. Una VACL puede filtrar los paquetes entre un origen y los destinos en la misma VLAN si ambos estn conectados al mismo switch. Es muy til poder segmentar trfico en una VLAN sin tener que utilizar mltiples VLAN y un router. Las PVLAN (Prvate VLAN) solucionan este problema. Sintticamente se puede decir que una VLAN normal puede estar lgicamente asociada con una VLAN secundaria, los host asociados con la VLAN secundaria podrn comunicarse con la VLAN primaria (por ejemplo, con un router) pero no con otros de la VLAN secundaria. Una VLAN secundaria se configura como uno de los siguientes tipos: Isolated (aislada): cualquier puerto asociado con una VLAN aislada podr alcanzar la VLAN primaria, pero no podr alcanzar otro puerto en la VLAN secundaria. En suma, los host asociados con la misma estn aislados entre s pero no de la VLAN primaria. Community: cualquier puerto asociado con una VLAN community puede comunicarse con otros y adems con la VLAN primaria, pero no podr comunicarse con cualquier otra VLAN secundaria. Esto proporciona una segmentacin bsica para granjas de servidores y grupos de trabajo dentro de una organizacin, ofreciendo un aislamiento entre organizaciones.

Todas la VLAN secundarias deben estar asociadas con una VLAN primaria para llevar a cabo una relacin unidireccional. Las PVLAN estn configuradas utilizando como base VLAN normales, pero VTP no enva informacin sobre las PVLAN por lo que stas son slo significativamente locales al switches. Cada una de las PVLAN tiene que configurarse localmente en cada uno de los switches que estn interconectados. Cada puerto del switch que utiliza una PVLAN debe configurarse con una asociacin de VLAN; tambin el puerto debe definirse en alguno de los siguientes modos:

www.FreeLibros.com

472

REDES CISCO. CCNP a Fondo

RA-MA

Promiscuo: el puerto del switch se conecta a un router, firewall o algn dispositivo que hace las veces de gateway. El puerto puede comunicarse con cualquier dispositivo conectado ya sea VLAN primarias o secundarias. Las reglas de las PVLAN son ignoradas. Host: el puerto del switch est conectado a un host normal que reside en una VLAN aislada o community. El puerto slo se comunica con puertos promiscuos o con puertos de la misma VLAN community.

La siguiente figura muestra la operacin bsica de la PVLAN, en la imagen se muestran algunos PC conectados a una VLAN community secundaria, las dos VLAN community estn asociadas con una VLAN primaria donde se conecta el router. El router se conecta a un puerto promiscuo en la VLAN primaria y un host se conecta a una VLAN secundaria aislada de tal manera que slo podr comunicarse con los routers en el puerto promiscuo.
VLAN Primaria

VLAN 10 1A
v l a n T o 'T/2

VLAN SOl/T

2/1

VLA[ ^20j/T
/LAN 20 1/5

Configuracin de PVLAN
El primer paso en la configuracin de la PVLAN es definir alguna VLAN secundaria, para ello se utiliza el siguiente comando:
Switch(config)# van vlan-id Switch(config-vlan)# private-vlan {isolated | community}

La VLAN secundaria puede ser isolated o community, lo siguiente es definir la VLAN primaria:
Switch(config)# van vlan-id Switch(config-vlan)# private-vlan primary Switch(config-vlan)# private-vlan association {secndary-vlan-list \ add secondary-vlan-list | remove secondary-vlan-list }

La VLAN primaria debe estar correctamente asociada con todas la VLAN secundarias utilizando el parmetro association. Si la VLAN primaria ya ha sido

www.FreeLibros.com

RA-MA

CAPTULO 19. SEGURIDAD CON VLAN

473

configurada, se podr aadir slo el parmetro remove para la asociaciones individuales. Estos comandos de configuracin de VLAN slo proporcionan los mecanismos para brindar conectividad unidireccional desde la VLAN secundaria a la primaria. Tambin se debe asociar cada puerto del switch individual con sus VLAN privadas respectivas.

Asociacin de puertos con PVLAN


Una vez definida la funcin del puerto que participar en la PVLAN puede configurarse con el siguiente comando:
S w i t c h ( config-if)#

switchport mode private-vlan {host | promiscuous}

Si el host conectado a este puerto es un router o firewall o un gateway para la VLAN, se utiliza el parmetro promiscuous para que el host sea alcanzable por otros puertos asociados con la VLAN primaria. Para los puertos en modo isolated o community se utiliza el parmetro host. Para un puerto no promiscuo se debe asociar el puerto del switch con la VLAN primaria o secundaria apropiada. Hasta ahora slo se han configurado las PVLAN, el puerto del switch tiene que saber cmo interactuar con los diferentes tipos de VLAN a travs de los siguientes comandos:
Switch(config-if)# switchport private-vlan host-association primaryvlan-id secondary-vlan-id

Cuando un puerto del switch se asocia a una PVLA no hay que configurarlo como un puerto de acceso a una VLAN esttica. El puerto toma posesin de la VLAN primaria y secundaria de manera simultnea, pero esto no significa que participar en mltiples VLAN sino que tomar un comportamiento unidireccional entre la VLAN secundaria y la VLAN primaria. Un puerto promiscuo se debe asociar a la VLAN primaria y a la VLAN secundaria. Estos puertos pueden comunicarse con cualquier otro dispositivo en una PVLAN. Los puertos en modo promiscuo exhiben un comportamiento bidireccional mientras que los puertos en VLAN secundarias exhiben un comportamiento en modo unidireccional. Este es un comportamiento lgico. El siguiente comando asocia puertos en modo promiscuo a VLAN primarias y secundarias:
Switch(config-if)# switchport private-vlan mapping primary-vlan-id secondary-vlan-list | {add secondary-vlan-list} | {remove secondaryvlan-list }

www.FreeLibros.com

474

REDES CISCO. CCNP a Fondo

RA-MA

Como ejemplo, en la figura anterior, el switch est configurado con la sintaxis que sigue. Los PC en los puertos Fast 1/1 y 1/2 estn en una comunidad VLAN 10 y los puertos Fast 1/4 y 1/5 estn en la comunidad VLAN 20 y el host en Fast 1/3 est aislado en la VLAN 30. El router est en el modo promiscuo en la VLAN primaria. Cada VLAN tiene asignado un rol y la primaria est asociada con la secundaria. Cada puerto est asociado a una VLAN determinada.
Switch(config)# van 10 Switch(config-vlan)# private-vlan community Switch(config)# van 20 Switch(config-vlan)# private-vlan community Switch(config)# van 30 Switch(config-vlan)# private-vlan isolated Switch(config)# van 100 Switch(config-vlan)# private-vlan primary Switch(config-vlan)# private-vlan association 10,20,30 Switch(config-vlan)# exit Switch(config)# interface range fastethernet 1/1 - 1/2 Switchconfig# switchport private-vlan host Switch(config-if)# switchport private-vlan host-association 100 10 Switch(config)# interface range fastethernet 1/4 - 1/5 Switchconfig# switchport private-vlan host Switch(config-if)# switchport private-vlan host-association 100 20 Switch(config)# interface fastethernet 1/3 Switchconfig# switchport private-vlan host Switch(config-if)# switchport private-vlan host-association 100 30 Switch(config)# interface fastethernet 2/1 Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 100 10,20,30

Asociacin de VLAN secundarias y primarias SVI


En las SVI (Switched Virtual Interfaces) o interfaces de VLAN configuradas como interfaces de capa 3 se deben configurar algunas asociaciones adicionales para las PVLAN. Considerando la SVI para una PVLAN 100 que tiene una direccin IP y participa en el trfico de enrutamiento, las VLAN secundarias 40, que estn aisladas y la 50, que es comunitaria, estn asociadas en capa 2 con la PVLAN segn muestra la sintaxis siguiente:
Switch(config)# van 40 Switch(config-vlan)# private-vlan isolated van 50 Switch(config-vlan)# private-vlan community van 200 Switch(config-vlan)# private-vlan primary Switch(config-vlan)# private-vlan association 40,50 Switch(config-vlan)# exit Switch(config)# interface van 200 Switch(config-if)# ip address 192.168.199.1 255.255.255.0

www.FreeLibros.com

RA-MA

CAPTULO 19. SEGURIDAD CON VLAN

475

La VLAN primaria 200 puede enviar trfico de capa 3 pero las asociaciones de VLAN secundarias slo funcionarn a nivel de capa 2. Para permitir trfico de capa 2 a capa 3 desde las VLAN secundarias se debe aadir una asociacin de PVLAN hacia la interfaz SVI utilizando el siguiente comando:
S w i t c h (config-if)# private-vlan mapping {secondary-vlan-list \ add secondary-vlan-list | remove secondary-vlan-list}

La funcin de la VLAN SVI primaria es extender las VLAN secundarias en lugar de utilizar o extender SVI para cada una de ellas. Si varias asociaciones ya se han establecido y han sido configuradas para la VLAN SVI primaria, se pueden utilizar los parmetros add o remove para aadir asociaciones secundarias. El ejemplo muestra una asociacin de la PVLAN:
Switch(config)# interface van 200

Switch(config-iff)# private-vlan mapping 40,50

SEGURIDAD EN LOS ENLACES TRONCALES Switch Spoofing


Como se ha visto en captulos anteriores, dos switches pueden estar conectados a travs de enlaces troncales para llevar trfico de mltiples VLAN. El troncal no tiene por qu estar siempre presente, los switches dinmicamente lo pueden negociar mediante el intercambio de mensajes DTP (Dynamic Trunking Protocol). Si bien DTP puede facilitar la administracin del switch, se expone a que los puertos del switch queden comprometidos. Si un puerto mantiene su configuracin por defecto donde el trunk est en auto, podra ser indagado por un puerto de otro switch tambin en auto u on enlazando entonces un troncal. Cuando un PC de usuario est conectado en ese puerto nunca se utilizara DTP, de tal forma que el puerto funcionara en modo acceso de una VLAN determinada. Un usuario malicioso podra explotar el uso de DTP e intentar negociar un troncal, lo que hara aparecer el PC como un switch. Una vez que el troncal se negocia el atacante tendr el acceso a las VLAN permitidas por ese troncal. El atacante puede recibir cualquier tipo de trfico enviado por cualquiera de las VLAN del troncal y enviar trfico por cualquiera de ellas.

www.FreeLibros.com

476

REDES CISCO. CCNP a Fondo

RA-MA

La siguiente sintaxis muestra la configuracin del puerto del switch por defecto, dynamic auto, de tal manera que est esperando la negociacin de algn dispositivo DTP conectado.
Switch# show interfaces fastethernet 1/0/46 switchport ame: Fal/0/46 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: trunk Administrative Trunking Encapsulation: negotiate Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dotlq Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none

La solucin a esta situacin consiste en configurar todos los puertos del switch de la manera que se espera que funcione y dejar los no utilizados apagados o shutdown. Por ejemplo, en lugar de dejar los puertos en modo auto para el caso de que sean puertos de usuario, configurarlos manualmente en modo de acceso evitando trfico malicioso:
Switch(config)# interface type mod/num Switch(config-if)# switchport access van vlan-id Switch(config-if)# switchport mode access

VLAN Hopping
Cuando se est asegurando un troncal se debe tener en cuenta el mecanismo de ataque llamado VLAN hopping. Consiste en que un atacante posicionado en una VLAN de acceso puede enviar tramas con etiquetas 802.1Q falsas, sin la necesidad de un router, de tal manera que los paquetes parecern de una VLAN completamente diferente.

www.FreeLibros.com

RA-MA

CAPTULO 19. SEGURIDAD CON VLAN

477

Para que este mecanismo pueda aplicarse se deben cumplir las siguientes
condiciones:

El atacante debe estar conectado a un puerto de acceso del switch. El switch tiene que estar configurado con un troncal 802.1Q. El troncal debe tener la VLAN de acceso del atacante configurada como VLAN nativa.

La siguiente figura muestra cmo trabaja VLAN Hopping: el atacante en la VLAN 10 enva tramas doblemente etiquetadas como si se utilizara 802.1Q, naturalmente el atacante no est en un enlace troncal. El intento consiste en engaar al switch como si el enlace fuera un troncal a travs de las etiquetas falsas 802.1Q y de la VLAN a donde se quiere llegar.
' VLAN A ;H oppin gV

Switch Local

Switch Remoto

Cuando el switch local recibe tramas doblemente etiquetadas decide enviarlas a travs de las interfaces troncales. Como la primera etiqueta tiene el mismo VLAN ID de la nativa del atacante, se elimina de la trama y se enva al troncal. El switch entiende que la VLAN nativa debe permanecer no etiquetada. Cuando el switch remoto recibe la trama examina la etiqueta 802.1Q antes de quitarla descubriendo la etiqueta falsa de la VLAN 20. El switch enva la trama normalmente hacia la VLAN 20. Ahora el atacante puede enviar sin problemas tramas de la VLAN 10 ocultas hacia la VLAN 20. Todo el proceso mediante conmutacin de capa 2.

www.FreeLibros.com

478

REDES CISCO. CCNP a Fondo

RA-M A

La clave para este tipo de ataque se basa en el uso de VLAN nativas no etiquetadas. Para solucionar este tipo de ataques se pueden seguir los siguientes pasos: Configurar la VLAN nativa como una VLAN falsa o una que no est en uso. Recortar la VLAN nativa de los enlaces del troncal.

Si el troncal slo debe llevar las VLAN 10 y 20, se debera configurar la VLAN nativa con un valor de una VLAN que no se est utilizando, por lo tanto, la VLAN nativa podra recortarse del troncal configurndolo en el propio enlace segn muestra la siguiente sintaxis:
Switch(config)# van 500 Switch(config-vlan)# ame CCNP_nativa Switch(config-vlan)# exit Switch(config)# interface gigabitethernet 1/1 Switch(config-if)# switchport trunk encapsulation dotlq Switch(config-if)# switchport trunk native van 800 Switch(config-if)# switchport trunk allowed van remove 800 Switch(config-if)# switchport mode trunk

Otra alternativa es forzar a los troncales 802.1Q para aadir etiquetas a la VLAN nativa, de esta manera el ataque VLAN Hopping no funcionar porque el switch no eliminar la primera etiqueta de la VLAN nativa etiquetada. Para forzar al switch a etiquetar la VLAN nativa se utiliza el siguiente comando:
Switch(config)# van dotlq tag native

www.FreeLibros.com

Captulo 20

REDES INALMBRICAS
INTRODUCCIN A LAS WIRELESS LAN
Una red Ethemet tradicional est definida en los estndares IEEE 802.3. Cada conexin Ethemet tiene que operar bajo unas condiciones controladas, especialmente en lo que se refiere al enlace fsico. Tanto el estado, la velocidad y el modo de Dplex deben operar tal como lo describe el estndar. Las redes inalmbricas estn constituidas de una manera similar, pero definidas en el estndar IEEE 802.11. Los dispositivos Ethemet cableados tienen que recibir y transmitir tramas Ethemet acordes al protocolo CSMA/CD (Carrier Sense Mltiple Access/Collision Detect) en un segmento de red compartido donde los host se comunican de modo Half Dplex: cada host puede hablar libremente y posteriormente escuchar si hay colisiones con otros dispositivos que tambin estn intentando hablar. El proceso completo de detectar colisiones en conexiones cableadas de una longitud mxima funciona tambin cuando la trama viaja desde un origen a un destino antes de llegar al extremo final. Los enlaces Ethemet Full Dplex o conmutados no sufren colisiones ni compiten por el uso del ancho de banda, aunque siguen las mismas normas que Half Dplex. Aunque las redes inalmbricas se basan en el mismo mecanismo, el medio wireless es ms difcil de controlar. Cuando un PC comparte un segmento de red, lo hace con un nmero conocido de host; cuando el mismo PC utiliza una red wireless utiliza la atmsfera como medio en la capa de acceso, al igual que otros usuarios que son libres de utilizarla.

www.FreeLibros.com

480

REDES CISCO. CCNP a Fondo

RA-MA

Un WLAN (Wireless LAN) utiliza un medio compartido donde un nmero indeterminado de host puede competir por el medio en cualquier momento. Las colisiones son un hecho constante en una WLAN porque est en modo Half Dplex y siempre dentro de la misma frecuencia. Slo una estacin puede transmitir en un determinado momento de tiempo. Para lograr el modo Full Dplex todas las estaciones que transmiten y las que reciben deberan hacerlo en frecuencias diferentes. Operacin no permitida en IEEE 802.11.

Colisiones WLAN
Cuando dos o ms estaciones wireless transmiten al mismo tiempo las seales se mezclan, las estaciones receptoras vern el resultado como errores, ruidos o datos incorrectos. Como mecanismo de comprobacin cuando una estacin trasmite una trama la estacin receptora debe responder con un ACK para dar aviso de la correcta recepcin de la trama. Las tramas ACK sirven como un medio rudimentario para la deteccin de colisiones, pero no logra prevenirlas. El estndar IEEE 802.11 utiliza un mtodo preventivo llamado CSMA/CA (Carrier Sense Mltiple Access Collision Avoidance). Mientras que las redes cableadas detectan las colisiones, las redes inalmbricas intentan evitarlas. Todas las estaciones deben escuchar antes de poder transmitir una trama. Cuando una estacin necesita enviar una trama pueden cumplirse estas dos condiciones: Ningn otro dispositivo est transmitiendo. La estacin puede transmitir su trama de inmediato. La estacin receptora debe enviar una trama ACK para confirmar que la trama original lleg bien y libre de colisiones. Otro dispositivo est en ese momento transmitiendo una trama. La estacin tiene que esperar hasta que la trama en progreso se haya completado. La estacin espera un perodo aleatorio de tiempo para transmitir su propia trama.

Adems de este proceso las estaciones deben esperar un tiempo aleatorio antes de transmitir llamado DCF Interframe Space (DIFS); si hay ms de una estacin esperando para transmitir no generarn colisiones. Las estaciones chequean las cabeceras con la informacin del tiempo y esperan antes de transmitir sus tramas. Como todas las estaciones interpretan el mismo tiempo contenido en la

www.FreeLibros.com

RA-MA

CAPTULO 20. REDES INALMBRICAS

481

trama transmitida, cada una de ellas decidir si transmite o no su propia trama. Al tiempo especfico contenido en la trama emisora se le suma otro perodo aleatorio antes de transmitir su propia trama. Todo este proceso es llamado DCF (Distributed Coordination Function) y aunque el tiempo es aleatorio siempre existe la posibilidad de que dos o ms estaciones elijan el mismo valor para ese perodo. No existe ningn otro mecanismo que evite transmisiones simultneas que generen una colisin. A partir de una colisin las estaciones no recibirn los ACK y tendrn que enviar sus tramas nuevamente. Las tramas estn constantemente en el aire y cualquiera puede recibirlas.

CONSTRUCCIN DE BLOQUES WLAN


Una red wireless bsica no comprende ningn tipo de organizacin; un PC con capacidad wireless puede conectarse en cualquier parte y en cualquier momento. Naturalmente debe existir algo ms que permita enviar o recibir sobre el medio inalmbrico antes de que el PC pueda comunicarse. En la terminologa 802.11 un grupo de dispositivos wireless se llama SSID (Service Set Identifier), que es una cadena de texto incluida en cada trama que se enva. Si hay coincidencia entre receptor y emisor se produce el intercambio. El PC se convierte en cliente de la red wireless y para esto debe poseer un adaptador inalmbrico y un software que interacten con los protocolos wireless. El estndar 802.11 permite que dos clientes wireless se comuniquen entre s sin necesidad de otros medios de red, conocido como red ad-hoc o Independent Basic Service Set (IBSS). Como muestra la siguiente figura:

www.FreeLibros.com

482

REDES CISCO. CCNP a Fondo

RA-M A

No existe control incorporado sobre la cantidad de dispositivos que pueden transmitir y recibir tramas sobre un medio wireless. Tambin depender de la posibilidad de que agentes externos permitan transmitir a otras estaciones sin dificultad, lo que hace que proporcionar un medio adecuado wireless sea difcil. BSS (Basic Service Set) centraliza el acceso y controla sobre el grupo de dispositivos inalmbricos utilizando un AP (Access Point) como un concentrador del Service Set. Cualquier cliente wireless intentando usar la red tiene que completar una condicin de membresa con el AP. El AP o punto de acceso lleva a cabo ciertas consideraciones antes de permitir transmitir a la estacin: EL SSID debe concordar. Una tasa de transferencia de datos compatible. Las mismas credenciales de autenticacin.

La membresa con el AP se llama asociacin, el cliente debe enviar un mensaje de peticin de asociacin. El AP permite o deniega la asociacin enviando un mensaje de respuesta de asociacin. Una vez asociadas todas las comunicaciones desde y hacia el cliente pasarn por el AP. Los clientes ahora no pueden comunicarse directamente con otros sin la intervencin del AP.

Un AP es un concentrador pero no es pasivo como un hub Ethemet, gestiona y administra la red wireless anunciando su propia presencia para que los clientes puedan asociarse y controla el proceso de la comunicacin. Es adems responsable de enviar los ACK a las estaciones que estn enviando.

www.FreeLibros.com

RA-MA

CAPITULO 20. REDES INALMBRICAS

483

Un AP puede funcionar como un uplink hacia una red Ethemet porque dispone de capacidad inalmbrica y de cableado. Los AP situados en sitios diferentes pueden estar conectados entre ellos con una infraestructura de switching. Esta topologa recibe el nombre en el estndar 802.11 ESS (Extended Service Set).

En ESS un cliente puede asociarse con un AP, pero si el cliente se mueve a una localizacin diferente puede intercambiarse con otro AP ms cercano.

Funcionamiento de un AP
La funcin primaria del AP es puentear datos wireless del aire hasta la red tradicional cableada. Un AP puede aceptar conexiones de un nmero de clientes wireless de tal manera que stos se convierten en miembros de la LAN como si fueran conexiones cableadas. Un AP tambin puede actuar como un bridge formando un enlace inalmbrico desde una LAN hacia otra en largas distancias. Los enlaces entre los AP son utilizados normalmente para conectividad entre edificios. Cisco ha desarrollado una plataforma AP que puede puentear redes desde un AP hacia otro AP en grandes distancias externas.

www.FreeLibros.com

484

REDES CISCO. CCNP a Fondo

RA-MA

E n la c e tro n ca l V LA N 200 VLA N 400

SSID "Desarrollo" I

Los AP actan como un punto central controlando el acceso de los clientes a la red LAN. Cualquier intento de acceso a la WLAN debe establecer inicialmente conexin con el AP, quien permitir un acceso abierto o restringido segn las credenciales de autenticacin. Los clientes deben efectuar un saludo de dos vas antes de asociarse. El AP puede solicitar ms condiciones antes de la asociacin, antes de permitir el acceso al cliente, como credenciales especficas o volumen de datos. El AP puede compararse con un mecanismo de traduccin donde las tramas de un medio son enviadas a otro en capa 2; tambin asocia el SSID a una o mltiples VLAN, como se muestra en la figura anterior.

Celdas WLAN
Un AP puede proporcionar conectividad WLAN solamente a los clientes dentro de su cobertura, la seal est definida por la emisin que pueda tener la antena. En un espacio abierto podra describirse como una forma circular alrededor

www.FreeLibros.com

RA-MA

CAPTULO 20. REDES INALMBRICAS

485

de la antena omnidireccional. El patrn de ondas emitidas tiene tres dimensiones, afectando tambin a los pisos superiores e inferiores de un edificio. La ubicacin de los AP tiene que estar cuidadosamente planificada para proporcionar cobertura en toda el rea necesaria. El hecho de que los clientes sean mviles hace que la cobertura de los AP sea diferente a lo que se espera debido a los objetos que puedan interponerse entre ellos y las antenas. El rea de cobertura del AP se denomina celda. Los clientes dentro de una celda pueden asociarse con el AP y utilizar libremente la WLAN.

Celda

C lie n te fuera del rango

La celda est limitando la capacidad de operacin de los clientes a su radio de cobertura. Para expandir el rea total de la cobertura WLAN pueden sumarse ms celdas en zonas cercanas simplemente distribuyendo los AP en dichas zonas. La idea es que la suma de las celdas pueda cubrir cada una de las reas donde un cliente est localizado.

www.FreeLibros.com

486

REDES CISCO. CCNP a Fondo

RA-MA

Los clientes pueden moverse desde una celda AP a otra y sus asociaciones se van pasando de un AP a otro, mecanismo llamado roaming. Los datos que se estn confiando en un AP una vez que el cliente se mueve de celda deben ser confiados por el nuevo AP. Esto minimiza la posibilidad de prdidas de datos durante el proceso de roaming. Un buen diseo de una red WLAN intenta aprovechar al mximo la cobertura de un AP minimizando la cantidad de puntos de acceso necesarios para cubrir una zona determinada reduciendo a su vez el coste de la instalacin. Tambin es importante recordar que el medio es Half Dplex y que a mayor cantidad de usuarios menor ancho de banda disponible. Para entornos seguros el tamao de la celda se reduce en microceldas o picoceldas bajando la potencia del AP.

RADIOFRECUENCIA EN WLAN
Las comunicaciones por R F (Radiofrecuencia) comienzan con una oscilacin transmitida desde un dispositivo que ser recibida en uno o varios dispositivos. Esta oscilacin de la seal se basa en una constante llamada frecuencia. El transmisor y el receptor deben estar en la misma frecuencia para transmitir la misma seal. La estacin trasmisora tiene un dispositivo transmisor unido a* una antena, y al igual que el receptor, que recibe la seal a travs de su antena. Un rango de frecuencias se llama banda, como el utilizado en estaciones de radio de AM (Amplitud Modulada) o FM (Frecuencia Modulada). Muchas comunicaciones de WLAN ocurren dentro de la banda de 2,4 GHz comprendido en un rango de 2,412 a 2,484 GHz; mientras que otras utilizan una banda de 5 GHz en un rango de 5,150 a 5,825 GHz. La seal emitida por una estacin wireless se llama portadora (carrier) es una seal constante a una determinada frecuencia. Una estacin de radio que slo transmite la portadora no est emitiendo datos de ningn tipo. Para agregar informacin, el transmisor debe modular la portadora para insertar la informacin que desea transmitir. Las estaciones receptoras deben revertir el proceso demodulando la portadora para recuperar la informacin original. Los mtodos de modulacin pueden ser diferentes segn hagan variar la frecuencia o la amplitud de la seal portadora. Las WLAN utilizan unas tcnicas de modulacin ms complejas porque sus volmenes de datos son mayores que los de audio.

www.FreeLibros.com

RA'M A

CAPTULO 20. REDES INALMBRICAS

487

El principio de la modulacin WLAN es empaquetar tantos datos como sean posibles dentro de una seal y de esa manera minimizar las posibles prdidas por interferencias o ruidos. Cuando los datos se pierden deben ser retransmitidos utilizando ms recursos. Aunque el receptor espera encontrar la portadora en una frecuencia fija, la modulacin hace que la portadora vare cada cierto tiempo. Esta variacin de la frecuencia de la portadora se llama canal, a la que se hace referencia con un tipo de numeracin. Los canales WLAN estn definidos en el estndar 802.11. Las caractersticas de una seal de RF pueden variar segn el medio que atraviesa, por interferencias electromagnticas, ruidos, seales de otras RF, etc. Algunas de estas causas son las siguientes: Reflexin: la RF viaja a travs del aire como una onda, si se encontrase con un material reflectivo la seal puede ser reflejada o rebotada.

Refraccin: cuando la seal RF atraviesa cuerpos de diferentes densidades puede ser refractada, reduciendo la calidad y la velocidad de la onda.

www.FreeLibros.com

488

REDES CISCO. CCNP a Fondo

RA-MA

Absorcin: cuando una seal de RF atraviesa un material que pueda absorber su energa la seal ser atenuada; cuanto ms denso sea el material ms atenuacin sufrir la seal.

Dispersin: cuando la seal RF se topa con un medio muy denso o irregular puede dispersarse en diferentes direcciones.

.Mmmm

Difraccin: cuando la seal de RF se topa con un objeto que puede interrumpir o absorber intensidad podra crear una zona muerta en la cobertura.

Zonas de Fresnel: uno de los factores que influyen en una seal de radio es la distancia que debe sortear hasta el destino. Tcnicamente la zona Fresnel es el volumen de espacio entre emisor y receptor de RF, de manera que el desfase entre las ondas en dicho volumen no supere los 180.

www.FreeLibros.com

RA-MA

CAPTULO 20. REDES INALMBRICAS

489

ni
Algunos de los factores que se deben tener en cuenta en las zonas Fresnel pueden ser: Utilizacin de antenas correctas. Ausencia de condiciones climatolgicas adversas. Visin directa. Altura correcta de las antenas.

Medicin de la seal de radio frecuencia


Una seal de RF puede ser medida en funcin de su potencia o energa en unidades de Watts (W) o miliwatt, que es una milsima parte de un Watt. Por ejemplo, un telfono mvil puede tener una potencia aproximada de 200 mW y un punto de acceso WLAN entre 1 y 100 mW. Los valores de potencia pueden variar en un amplio rango, las comparaciones y los clculos son complicados. Los decibelios (dB) se utilizan para manejar volmenes de potencia a partir de una referencia conocida. Son logaritmos representados en un amplio rango de valores en una escala lineal. Para el clculo del volumen de potencia en dB s utiliza la siguiente frmula:
P. s eal
^referencia J

dB = 10 log 10

www.FreeLibros.com

490

REDES CISCO. CCNP a Fondo

RA-MA

Donde la seal de referencia puede ser comparada en 1 mW o en 1 W. Para cualquiera de los casos la abreviatura de los decibelios puede ser: dBm, referenciada con 1 Mw dBw, referenciada con 1 W

La potencia utilizada en las WLAN ronda los 100 mW o menos, por lo tanto se utiliza la abreviatura dBm.

Prdida de seal
Cuando una seal de RF deja el transmisor incluso antes de que alcance la antena, est sujeta a influencias externas que pueden reducir su intensidad. Esta prdida de seal puede proceder de cualquiera de estos factores: Prdida provocada por el cable desde el transmisor a la antena. Prdida de espacio libre a medida que la seal viaja por el aire. Obstculos externos. Interferencias y ruidos externos. Prdida provocada por el cable desde la antena al receptor.

Estas prdidas son acumulativas trabajando juntas y degradando la seal. La prdida de extremo a extremo se llama prdida de camino. Las interferencias externas debido a la existencia de otras instalaciones inalmbricas y la distancia entre transmisor y receptor pueden ser un problema. La potencia de una transmisin RF es inversamente proporcional al cuadrado de la distancia hasta el origen, lo que significa que el nivel de la seal cae rpidamente cuanto ms lejos est el receptor.

www.FreeLibros.com

r A-MA

CAPTULO 20. REDES INALMBRICAS

491

El siguiente cuadro describe la prdida de seal segn la distancia:, Distancia


1m 5m 10 m 25 m 50 m 100 m

Potencia
100 m W 4.0 m W 1.0 m W 0.16 m W 0.04 m W 0.01 m W

dBm
+ 20 dBm + 6 dBm 0 dBm - 8 dB m - 1 4 dBm - 2 0 dB m

Ganancia de la seal
Una seal de RF tambin puede estar influida por factores que incrementen notablemente su potencia. La ganancia total de seal puede ser producida por la ganancia de la antena del transmisor y la ganancia de la antena del receptor. Una antena no puede agregar potencia a la seal por s misma, pero puede focalizar la energa RF dentro de un patrn ms estrecho. La ganancia de la antena tambin es un mecanismo para calcular la potencia de la seal de RF. Una antena isotrpica es aquella que es capaz de propagar la seal en todas las direcciones equitativamente. La imposibilidad de focalizar la energa RF hace que sea un estndar para la comparacin de ganancia. La unidad de ganancia de las antenas se da normalmente en dBi. El clculo de los dBi se efecta con la misma frmula que los dB tomando en cunta que la referencia viene de una antena isotrpica. La potencia real de la seal transmitida depender del tipo de antena y de la longitud del cable desde el transmisor/receptor hacia la antena. Un clculo ms realista de la potencia se puede efectuar con el llamado EIRP (Effective Isotropic Radiated Power). Para calcular la EIRP se debe aadir la potencia del transmisor (en dBm) a la ganancia de la antena del transmisor (dBi) menos la prdida provocada por el cable (db).

www.FreeLibros.com

492

REDES CISCO. CCNP a Fondo

RA-M A

Finalmente, la ganancia total del sistema ser la suma de lasganancias y la resta de las prdidas.Si el resultado total es igual al resultado total de lasprdidas, el receptor estar fuera del rango: Ganancia total = Potencia transmitida (dBm) + Ganancia de la antena transmisora (dBi) + Ganancia de la antena receptora (dBi) - Prdida del cable transmisor (dB) - Prdida del cable receptor (dB) - Sensibilidad del receptor (dB)

ANTENAS WLAN
Existe una gran variedad de tipos y modelos de antenas WLAN, las ms conocidas son las siguientes: Antena omnidireccional: pueden adoptar forma de un cilindro alargado, son plegables dependiendo del montaje del punto de acceso. Otro tipo de antena omnidireccional es la tipo dipolo incorporada dentro de los propios AP. Estas antenas propagan la seal equitativamente en todas las direcciones en un plano pero no a lo largo de la longitud de la antena. Es adecuada para una habitacin grande porque distribuye la seal de manera igualitaria. La ganancia de esta antena suele ser de 2 dBi. Antena semidirecional: cubren un rea amplia alargada y son adecuadas para cubrir espacios alargados donde la antena se localiza en un extremo del rea. Tambin se utilizan para cubrir zonas exteriores desde el edificio hacia afuera. Tienen un patrn de emisin ovalado y su ganancia va desde 6 a 8 dBi; las antenas tipo Yagui tienen una ganancia de 10 a 20 dBi.

www.FreeLibros.com

RA-MA

CAPTULO 20. REDES INALMBRICAS

493

Antena direccional: una seal de RF en largas d istan cias debe ser propagada en una lnea imaginaria sin interrupciones. Las antenas direccionales y las altamente direccionales estn construidas para esta funcin. Focalizan la seal en un patrn elptico alargado y delgado. Se utiliza normalmente para enlaces entre edificios. Las antenas parablicas utilizan un disco para focalizar la seal recibida dentro de una antena montada en el centro. Esta antena es la que mayor ganancia tiene de todas, 22 dBi.

TRAMAS WLAN
Cualquier dispositivo asociado a los estndares 802.11 tiene que utilizar cierto tipo de tramas para comunicarse dentro de las redes WLAN. Algunas tramas son utilizadas por clientes wireless mientras que otras son para uso del AP. Las tramas pueden clasificarse en: Tramas de gestin: se utilizan para gestionar los mensajes de la WLAN y la asociacin de los clientes. Este tipo de trama incluye: o o o Transmisiones anunciando el AP y sus parmetros wireless. Asociacin de clientes, reasociacin y disociaciones. Autenticacin y desauntenticacin de clientes.

Tramas de control: utilizadas para controlar las asociaciones del cliente con el AP, incluyen: o o Sonda de peticin y respuesta, cuando un cliente solicita informacin acerca del AP. Mensajes RTS y CTS cuando el AP tiene que intervenir para evaluar tramas de diferentes valores.

Tramas de datos: se envan desde cualquier dispositivo wireless. Generalmente contienen los datos o la carga til.

Las tramas WLAN tienen una cabecera de 32 bytes y un FCS (Frame Check Sequence) de 4 bytes. Las direcciones de origen y destino contenidas en las tramas es una direccin MAC 48 bits, como en Ethemet 802.3. Las tramas de gestin incluyen un campo BSSID (Basic Service Set Identifier) de 48 bits.

www.FreeLibros.com

494

REDES CISCO. CCNP a Fondo

RA-MA

ESTNDARES WLAN
Todos los estndares WLAN estn incluidos en las series IEEE 802.11. Definen la operacin de capa 1 y de capa 2, que incluye las frecuencias, los canales wireless, el rendimiento, la seguridad, la movilidad, etc.

Agencias reguladoras
La frecuencia de las WLAN utiliza una banda que no tiene licencias lo que permite a cualquiera utilizarla sin ningn permiso. Pero existe una regulacin que establece reglas sobre qu frecuencias estn disponibles y qu potencias se pueden utilizar. Algunas de las agencias reguladoras pueden ser: Federal Communications Commission (FCC, http://www.fcc.gov) Electrical and Electronics Engineers (IEEE, http://www.ieee.org). European Telecommunications Standard Institute (ETSI, http://www.etsi.org). Existen otras organizaciones que ofrecen ayuda e informacin para desarrolladores y usuarios como: La alianza Wi-Fi (http://www.wi-fi.com). La alianza Wireless Ethernet Compatibility (WECA). La asociacin WLANA (http://www.wlana.org).

802.11b
El estndar 802.11b define el uso de WLAN en la banda de 2,4 GHz (de 2,4 a 2,5 GHz). La FCC permite a las WLAN utilizar solamente el rango especfico de 2,4 a 2,4835 GHz. La banda de 2,4 GHz es conocida como ISM (Industrial, Scientific, and Medical). Consiste en 14 canales de 22 MHz de amplitud. Los dispositivos que operan en WLAN utilizan la modulacin DSSS (Direct Sequence Spread Spectrum). El volumen de transmisin de datos puede variar segn las condiciones y capacidades del cliente. 802.11b permite velocidades de transmisin de 1, 2, 5,5 y 11 Mbps. Un AP y un cliente pueden negociar la tasa de transferencia de datos que se intercambiarn una vez realizada la asociacin.

www.FreeLibros.com

RA-MA

CAPTULO 20. REDES INALMBRICAS

495

802.11g
El estndar 802.1 lg se construye a partir de los fundamentos del 802.11b, pero ofreciendo tasas de transferencia ms altas a partir de tcnicas de modulacin mas complejas. Es compatible con su antecesor 802.11b, permitiendo la interoperabilidad entre dispositivos. Opera en la misma banda de la 802.11. La tcnica de modulacin utilizada por el estndar 802.1 lg se denomina OFDM (Orthogonal Frequency Divisin Multiplexing). Los dispositivos pueden soportar tasas de transferencias de hasta 54 Mbps.

802.11a
El estndar 802.11a define el uso de WLAN en la banda de 5 GHz que puede dividirse en tres grupos: Banda baja: para uso en interiores en la frecuencia de 5,15 a 5,25 GHz. Banda media: para uso en interiores y exteriores en la frecuencia de 5,25 a 5,35 GHz. Banda alta: para uso externo en la frecuencia de 5,725 a 5,825 GHz.

El estndar 802.1 la permite que la tasa de transferencia sea escalable desde 6, 9, 12, 18, 24, 36, 48 y 54 Mbps, sin embargo tpicamente el rendimiento mximo suele ser de 28 Mbps. Como ocurre con el resto de los estndares cuanto ms cerca de los AP mayor velocidad de transferencia.

Estndares adicionales 802.11


La IEE ha desarrollado estndares adicionales basados en el 802.11 de WLAN. Algunos de ellos son: 802.11 e, cubre calidad de servicio para las WLAN. 802.1 li, cubre fundamentos avanzados de seguridad. 802.1 ln, aplica mejoras para un mayor rendimiento.

www.FreeLibros.com

www.FreeLibros.com

C aptulo 21

ARQUITECTURA WLAN
SEGURIDAD WLAN
Como concentrador central de BSS (Basic Service Set) un AP gestiona las WLAN de los clientes dentro de su rango. Todo el trfico desde y hacia un cliente pasa a travs del AP para alcanzar otros clientes en la BSS o clientes cableados localizados en cualquier otro sitio. Los clientes no se pueden comunicar directamente entre s. El AP es el dispositivo donde se implementarn varias formas de seguridad, por ejemplo, el control de la membresa WLAN autenticando a los clientes: en caso de un fallo de autenticacin no le ser permitido el uso de la red wireless. Tambin el AP y sus clientes pueden trabajar juntos para asegurar los datos que fluyen entre ellos. Cuando un cliente establece una conexin wireless primero tiene que buscar un AP que sea alcanzable y presentar su membresa. El cliente tiene que negociar su membresa y las medidas de seguridad en la siguiente secuencia: 1. Usar un SSID que concuerde con el AP. 2. Autenticarse con el AP. 3. Utilizar un mtodo (opcional) de encriptacin de paquetes (privacidad de datos). 4. Utilizar un mtodo (opcional) de autenticacin de paquetes (integridad de datos). 5. Construir una asociacin con el AP.

www.FreeLibros.com

498

REDES CISCO. CCNP a Fondo

RA-M a

Antecedentes sobre seguridad


En las redes 802.11 los clientes pueden autenticarse con un AP utilizando alguno de los siguientes mtodos:
1. Autenticacin abierta, en este mtodo no utiliza ningn tipo de

autenticacin, simplemente ofrece un acceso abierto al AP.


2. Pre-Phared Key (PSK), se define una clave secreta en el cliente y en

el AP. Si la clave concuerda se le concede el acceso al cliente. El proceso de autenticacin en estos dos mtodos se termina cuando el AP admite el acceso. El AP posee suficiente informacin en s mismo para de manera independiente determinar si el cliente puede o no tener acceso. La autenticacin abierta y PSK son considerados mtodos antiguos, no escalables y poco seguros. En el caso de la autenticacin abierta slo el SSID es solicitado y aunque hace que la configuracin sea extremadamente fcil, no proporciona ningn tipo de medida de seguridad. La autenticacin compartida (PSK) utiliza una clave conocida como WEP (Wireless Equivalence Protocol) que se guarda en el cliente y en al AP. Cuando un cliente intenta unirse a la WLAN el AP presenta un desafo al cliente quien exhibe su clave WEP para hacer un cmputo y enviar de vuelta la clave y el desafo al AP, si los valores son idnticos el cliente es finalmente autenticado. La clave WEP tambin sirve para autenticar cada paquete cuando se enva por la WLAN, sus contenidos son procesados por un mecanismo criptogrfico. Cuando los paquetes son recibidos en el otro extremo el contenido se desencripta utilizando la misma clave WEP. Este mtodo de autenticacin es, obviamente, ms seguro que la autenticacin abierta pero aun as tiene su lado negativo: No se escala bien porque el uso de una cadena de claves tiene que estar configurada en cada dispositivo. No es del todo seguro. Las claves permanecen hasta su reconfiguracin manual. Las claves pueden ser desencriptadas.

www.FreeLibros.com

RA-MA

CAPTULO 21. ARQUITECTURA WLAN

499

Mtodos de seguridad basados en EAP


EAP (Extensible Authentication Protocol) es el mecanismo bsico de seguridad de muchas redes wireless. EAP est definido en la RFC 3748 y fue diseado para manejar las autenticaciones de usuario va PPP. Debido a que es extensible permite una variedad de mtodos de entornos de seguridad. La RFC 4017 cubre las variantes de EAP que pueden ser utilizadas en WLAN tales como: LEAP (Lightweight EAP), desarrollado por Cisco. Se utiliza un servidor RADIUS externo para manejar la autenticacin de los clientes. EAP-TLS, definido en la RFC 2716 y utiliza TLS (Transport Layer Security) para autenticar a los clientes de manera segura. Basado en SSL (Secure Socket Layer), utilizado para acceder a sesiones Web seguras. Cada AP tiene que tener un certificado generado por una autoridad certificadora. Cada vez que el cliente intenta autenticarse el servidor crea una clave nueva y ser nica para cada cliente. PEAP (Protected EAP o EAP-PEAP), es similar al EAP-TLS. Requiere un certificado digital slo en el servidor de autenticacin de tal manera que el mismo puede autenticar a los clientes con Microsoft Challenge Handshake Authentication Protocol versin 2 (MSCHAPv2). Cada vez que el cliente intenta autenticarse el servidor crea una clave nueva y ser nica para cada cliente. EAP-FAST (EAP Flexible Authentication via Secure Tunneling), es un mtodo de seguridad wireless desarrollado por Cisco. Su nombre indica flexibilidad reduciendo la complejidad de la configuracin. No se utilizan certificados digitales. Construye un tnel seguro entre el cliente y el servidor utilizando PAC (Protected Access Credential) como nica credencial para construir el tnel.

WPA
El estndar IEEE 802.1 li se centra en resolver los problemas de seguridad en las WLAN, incluso abarca ms all que la autenticacin del cliente utilizando claves WEP. WPA (Wi-Fi Protected Access) utiliza varios de los componentes del estndar 802.11 proporcionando las siguientes medidas de seguridad: Autenticacin de cliente utilizando 802.lx o llave precompartida. Autenticacin mutua entre cliente y servidor.

www.FreeLibros.com

500

REDES CISCO. CCNP a Fondo

RA-M a

Privacidad de los datos con T K IP (Temporal Key Integrity Protocol). Integridad de los datos utilizando M IC (Message Integrity Check).

TKIP acenta la encriptacin WEP en hardware dentro de los clientes wireless y el AP. El proceso de encriptacin WEP permanece pero las llaves son generadas ms frecuentemente que con los mtodos EAP. TKIP genera nuevas llaves por cada paquete. Se crea una llave inicial cuando el cliente se autentica por algn mtodo AEP, la llave se genera con una mezcla de la direccin MAC del transmisor con un nmero de secuencia. Cada vez que un paquete es enviado la llave WEP se actualiza incrementalmente. WPA puede utilizar llaves precompartidas para autenticacin si no se utilizan servidores de autenticacin externos. Para estos casos la llave precompartida se utiliza slo para la autenticacin mutua entre el cliente y el AP. La privacidad de datos y la encriptacin no utilizan la llave precompartida. TKIP se encarga de la encriptacin de la llave para la posterior encriptacin WEP. El proceso M IC se utiliza para generar una huella digital por cada paquete que se enva en la WLAN comparndolo con los contenidos al recibir el paquete. De esta manera se consigue la integridad de los datos para que no puedan modificarse y poder compararlos con la huella enviada. Por cada paquete MIC se genera una llave con un clculo complejo que solamente pude ser generado en una sola d