Académique Documents
Professionnel Documents
Culture Documents
COLOMBIA
Version 1.0
DIRECCIÓN DE INGENIERÍA
CONTROL DE CAMBIOS
Tabla de contenido
CONTROL DE CAMBIOS .............................................................................................................................................. 2
1 INTRODUCCION .................................................................................................................................................... 4
5 TROUBLESHOOTING ......................................................................................................................................... 36
1 INTRODUCCION
Este manual se suministra para los equipos marca TELDAT, específicamente la línea H1+ y es el
equipo homologado por TELMEX para el producto SOLUCIONES TRANSACCIONALES cuyo
requerimiento principal es la interfaz celular para conectarse a las redes móviles 3G.
Aunque el equipo soporta todas las funcionalidades y protocolos que se usan en los demás
servicios TELMEX (INTERNET, canales IP DATA INTRANET, etc), el presente documento
ilustrará la forma de configurar el router para soportar la configuración básica estándar del producto
SOLUCIONES TRANSACCIONALES.
En el equipo adquirido por Telmex, el puerto Giga que viene por defecto para ser usado como
WAN no será utilizado ya que este requiere una licencia especial para su activación que no ha sido
comprada, por lo anterior la habilitación del puerto WAN se hará usando encapsulación 802.1q
sobre los puertos Fastethernet del módulo switch (VLANs).
En cuanto a la instalación de la SIMCARD para la conectividad 3G, el equipo posee dos tipos de
ranura o slot, una externa y otra interna. La externa es la que aparece en el diagrama anterior como
ranura 4. La ranura interna se encuentra abriendo el equipo e instalando la SIMCARD en el
compartimento que se encuentra cerca a la antena izquierda de 3G(numeral 2). El anterior
procedimiento es necesario cuando el servicio TELMEX a instalar requiere doble SIMCARD.
El equipo al llegar de bodega (TELMEX) debe venir con el cable de consola o adaptador
DB9-RJ4, con 4 antenas (2 para WiFi que no se usarán y 2 para 3G que son las antenas en forma de
paleta). Adicional a lo anterior el equipo viene con un adaptador de voltaje, un cable UTP y un CD
con toda la documentación acerca de comandos y configuración del equipo.
En cuanto a las antenas del equipo, una de ellas es utilizada para la transmisión, y para la
recepción es utilizada la que tenga mejor señal de potencia recibida es seleccionada.
Confidencial Pag. 5 16/01/2013
CONFIGURACION ROUTER TELDAT H1+
Para dejar el CPE con la configuración de fábrica simplemente tomamos un clip y con el equipo
encendió presionamos el botón de Reset como se muestra en la grafica, dejamos presionado el
Botón por unos 6 segundos y el equipo reinicia a los parámetros de fabrica
Si se está por consola en esta se puede ver lo siguiente al presionar el Botón RST. Lo que aparece
a continuación es también lo mismo que aparece cuando el equipo se inicia por primera vez:
DHCP running
*** Press CTRL+T to stop DHCP and break into CFE menu ***
*** Press CTRL+T to stop auto run (1 seconds) ***
Auto run second count down: 0
Booting from latest image (0xb8160000) ...
Code Address: 0x80010000, Entry Address: 0x80320000
Booting version 10.08.24
Decompression OK!
Entry at 0x80320000
Closing network.
Disabling Switch ports.
Flushing Receive Buffers...
0 buffers found.
Closing DMA Channels.
Starting program at 0x80320000
Teldat (c)2001-2011
Router model H1+ WL USB IPSec SNA VoIP T+ 26 48 CPU MIPS32 S/N: 728/10146
1 LAN, 1 WLAN
CIT software version: 10.08.12.01.09 Jul 11 2011 14:38:00
*
Press any key to get started
La version mínima recomendada por el fabricante con la que debe llegar el equipo es la 10.08.24
Si no se tiene acceso por consola se puede acceder por puerto Ethernet luego de un reset por
defecto con el botón externo se debe configurar un PC con una IP del segmento 192.168.1.0/24
que no sea la 192.168.1.1 o la 192.168.1.100 y se realiza un telnet a alguna de las dos conectando
el PC a alguno de los puerto LAN 1 a LAN4
REDEBAN *process 4
REDEBAN Config>
Salvamos cambios
REDEBAN Config>end
REDEBAN *
Y por ultimo reiniciamos el equipo el cual arrancara con la configuración por defecto
REDEBAN *restart
Por políticas de la compañía, cuando se va a activar un servicio a través de 3G, siempre se debe
preferir el operador móvil de CLARO. Por lo tanto el ejemplo mostrado se aplica a dicho escenario.
No se tiene enlace Ppal en fibra. Este escenario es utilizado para soluciones de cajeros u oficinas de
clientes con tráfico transaccional que requieran poco ancho de banda y baja exigencia en las
condiciones de disponibilidad del canal.
log-command-errors
no configuration
set hostname CLIENTE
add device ppp 1
add device tnip 1
add device eth-subinterface ethernet0/0 2 --> Vlan 2 se asigna hacia la LAN del cliente.
set data-link at cellular0/0
set data-link at cellular0/1
set data-link at cellular1/0
set data-link at cellular1/1
;
base-interface
; -- Base Interface Configuration --
base-interface cellular1/1 link
base-interface cellular1/1 profile H1 --> Asociación de la interfaz celular con el perfil de
configuracion 3G(APN)
;
exit
;
exit
;
;
network tnip1
; -- IP Tunnel Net Configuration --
ip address 10.8.1.158 255.255.255.252 --> PEER Dir IP TUNEL 3G
;
;
ip mtu 1410
;
enable
mode gre ip
source ppp1 --> IP que toma la SIMCARD del Operador móvil.
destination 172.25.0.1 --> IP de la loopback en el router de interconexión (Asociada al APN)
keepalive 10s 1
exit
;
network ethernet0/0.2
; -- Ethernet Subinterface Configuration --
description LAN_CLIENTE
;
ip address 10.240.10.81 255.255.255.248
ip address 10.200.61.73 255.255.255.248 secondary
;
;
encapsulation dot1q 2
;
exit
;
protocol ip
; -- Internet protocol user configuration --
route 172.25.0.1 255.255.255.255 ppp1 --> Asegura la alcanzabilidad del tunel remoto.
route 0.0.0.0 0.0.0.0 tnip1 distance 200
;
Confidencial Pag. 11 16/01/2013
CONFIGURACION ROUTER TELDAT H1+
;
exit
;
;
feature vlan
; -- VLAN configuration --
enable
;
vlan 2 ethernet0/0 port internal
vlan 2 ethernet0/0 port 2
vlan 2 ethernet0/0 port 3
vlan 2 ethernet0/0 port 4
;
tag-default ethernet0/0 port 1 xxxx --> Por estandar se deja para la VLAN xxx de conexion WAN
tag-default ethernet0/0 port 2 2 --> Asociacion de la VLAN de LAN(2) con los puertos fisicos.
tag-default ethernet0/0 port 3 2
tag-default ethernet0/0 port 4 2
;
tag-insertion ethernet0/0 port internal
;
tag-removal ethernet0/0 port 2 --> Puertos LAN que quedan como acceso.
tag-removal ethernet0/0 port 3
tag-removal ethernet0/0 port 4
;
exit
;
dump-command-errors
end
CLIENTE Config>
4.1.2 Escenario de conexión fibra como enlace ppal wan y enlace backup por 3G
log-command-errors
no configuration
set hostname CLIENTE
add device ppp 1
add device tnip 1
add device eth-subinterface ethernet0/0 2 Vlan 2 se asigna hacia la LAN del cliente.
add device eth-subinterface ethernet0/0 3520 Vlan hacia la WAN –Red metro Telmex.
set data-link at cellular0/0
set data-link at cellular0/1
set data-link at cellular1/0
set data-link at cellular1/1
user gestion hash-password FDB49F1336B5F1BF51A0D9E394621D01
;
global-profiles dial
; -- Dial Profiles Configuration --
profile H1 default
profile H1 dialout
profile H1 3gpp-accessibility-control traffic 100 all
profile H1 3gpp-apn telmex.corp.comcel.com.co APN asociado a la SIMCARD.
profile H1 3gpp-restart-on-disc
profile H1 3gpp-restart-on-cnxs-fails 6 30s
;
exit
;
global-profiles ppp
; -- PPP Profiles Configuration --
lcp-options cellular1/1 default
lcp-options cellular1/1 acfc
lcp-options cellular1/1 pfc
lcp-options cellular1/1 accm 0
;
exit
;
network cellular1/0
; -- Interface AT. Configuration --
coverage-timer 10
;
network mode automatic
network domain cs+ps
exit
;
;
network ppp1
; -- Generic PPP User Configuration --
ip address unnumbered
;
;
ppp
; -- PPP Configuration --
authentication sent-user web ciphered-pwd 0x19A02514F479EDB1
ipcp local address assigned
no ipcp peer-route
lcp echo-req off
exit
;
base-interface
; -- Base Interface Configuration --
base-interface cellular1/1 link
Confidencial Pag. 14 16/01/2013
CONFIGURACION ROUTER TELDAT H1+
;
protocol ip
; -- Internet protocol user configuration --
router-id 10.161.139.166
;
route 172.25.0.1 255.255.255.255 ppp1
route 0.0.0.0 0.0.0.0 tnip1 distance 200
;
;
exit
;
;
;
protocol bgp Establecimiento BGP por el enlace PPal de fibra – WAN TELMEX -
; -- Border Gateway Protocol user configuration --
enable
;
as 65535
export as 14080 prot direct 10.240.10.80 mask 255.255.255.248
export as 14080 prot direct 10.200.61.72 mask 255.255.255.248
;
group type external peer-as 14080
; -- BGP group configuration --
peer 10.161.139.165
peer 10.161.139.165 hold-time 15s
exit
;
import as 14080 all
;
exit
;
feature vlan
; -- VLAN configuration --
enable
;
vlan 2 ethernet0/0 port internal
vlan 2 ethernet0/0 port 2
vlan 2 ethernet0/0 port 3
vlan 2 ethernet0/0 port 4
vlan 3520 ethernet0/0 port internal
vlan 3520 ethernet0/0 port 1
;
tag-default ethernet0/0 port 1 3520
Confidencial Pag. 16 16/01/2013
CONFIGURACION ROUTER TELDAT H1+
CLIENTE BGP+routes
CLIENTE BGP+
Verificación en PE
Realizamos pruebas de PING y Traza desde el Teldat hacia la IP 190.144.226.6 lo hacemos desde
P 3 en protocol ip
CLIENTE IP+
CLIENTE IP+
1 1 ms 2 ms 1 ms 10.161.139.165
2 2 ms 2 ms 2 ms 10.161.31.174
3 1 ms 1 ms 1 ms 190.144.226.6
Trace complete.
CLIENTE IP+
log-command-errors
no configuration
set hostname CLIENTE_COD-SERVICIO
add device ppp 1 Se definen en el equipo las interfaces túneles que soportarán la conexión 3G.
add device ppp 2
add device tnip 1
add device tnip 2
;
exit
;
;
network ethernet0/0
; -- Ethernet Interface User Configuration --
ip address 4.4.4.1 255.255.254.0
;
exit
;
;
network cellular1/0
; -- Interface AT. Configuration --
coverage-timer 10
;
;
sim external-socket-1 pin ciphered 0x41EDDF31006925E8
sim external-socket-1 local-address 111111111 Asocia la SIM externa al perfil de COMCEL.
sim internal-socket-2 pin ciphered 0xB3B6C6B3352F6A10
sim internal-socket-2 local-address 222222222 Asocia la SIM interna al perfil de TIGO(Backup).
sim supervision enable
sim return-criteria time after 10
sim return-criteria registration-lost over 1
sim registration-criteria lost over 1
sim return-criteria nsla-advisor 7
sim nsla-criteria nsla-advisor 5
;
network mode automatic
network domain cs+ps
exit
;
;
network ppp1 Interfaz lógica PPP para conexión PPAL por COMCEL
; -- Generic PPP User Configuration --
ip address unnumbered
;
ppp
; -- PPP Configuration --
ipcp local address assigned
no ipcp peer-route
lcp echo-req off
exit
;
Confidencial Pag. 22 16/01/2013
CONFIGURACION ROUTER TELDAT H1+
base-interface
; -- Base Interface Configuration --
base-interface cellular1/1 link
base-interface cellular1/1 profile COMCEL
;
exit
;
exit
;
;
network ppp2 Interfaz lógica PPP para conexión alterna por TIGO
; -- Generic PPP User Configuration --
ip address unnumbered
;
ppp
; -- PPP Configuration --
ipcp local address assigned
no ipcp peer-route
lcp echo-req off
exit
;
base-interface
; -- Base Interface Configuration --
base-interface cellular1/1 link
base-interface cellular1/1 profile TIGO
;
exit
;
exit
;
network tnip1 Túnel GRE enlace PPAL 3G
; -- IP Tunnel Net Configuration --
description 3G_PPAL_COMCEL_A_TELMEX_MPLS
;
ip address 10.3.1.6 255.255.255.252
;
enable
mode gre ip
source ppp1 Origen túnel.
destination 172.24.10.240 Destino delTúnel para PPAL 3G en Loopback router remoto.
path-mtu-discovery
exit
;
Confidencial Pag. 23 16/01/2013
CONFIGURACION ROUTER TELDAT H1+
network tnip2
; -- IP Tunnel Net Configuration --
description 3G_BACKUP_TIGO_A_TELMEX_MPLS
;
ip address 10.3.0.2 255.255.255.252
;
;
;
;
enable
mode gre ip
source ppp2
destination 172.24.10.5 Destino delTúnel para backup 3G en Loopback router remoto.
path-mtu-discovery
exit
;
;
event
; -- ELS Config --
enable trace subsystem SPF ALL
exit
;
feature ssh
; -- SSH protocol configuration --
server
; -- SSH Server --
enable
exit
;
feature nsm
; -- Network Service Monitor configuration --
operation 1
; -- NSM Operation configuration --
type echo ipicmp 10.15.0.10
frequency 3
timeout 1500
exit
;
operation 2
; -- NSM Operation configuration --
type echo ipicmp 10.16.0.2
frequency 3
Confidencial Pag. 24 16/01/2013
CONFIGURACION ROUTER TELDAT H1+
timeout 1500
exit
;
schedule 1 life forever
schedule 1 start-time now
schedule 2 life forever
schedule 2 start-time now
exit
;
feature nsla
; -- Feature Network Service Level Advisor --
enable
;
filter 5 nsm-op 1 rtt
filter 5 significant-samples 5
filter 5 activation threshold 2000
filter 5 activation sensibility 80
filter 5 activation stabilization-time 60
filter 5 deactivation threshold 1500
filter 5 deactivation sensibility 80
filter 5 deactivation stabilization-time 25
;
filter 7 nsm-op 2 rtt
filter 7 significant-samples 5
filter 7 activation threshold 2000
filter 7 activation sensibility 80
filter 7 activation stabilization-time 60
filter 7 deactivation threshold 1500
filter 7 deactivation sensibility 80
filter 7 deactivation stabilization-time 25
;
alarm 5 filter-id 5
;
alarm 7 filter-id 7
;
advisor 5 alarm-id 5
;
advisor 7 alarm-id 7
;
exit
;
protocol ip
; -- Internet protocol user configuration --
Confidencial Pag. 25 16/01/2013
CONFIGURACION ROUTER TELDAT H1+
COMCEL_VENECIA#
Confidencial Pag. 27 16/01/2013
CONFIGURACION ROUTER TELDAT H1+
ip route 192.168.100.1 255.255.255.255 192.168.107.30 name APN ---> DEBERIA ESTAR APUNTADO A LA
VRF AVALBogBPO.EL TUNEL ACTUALMENTE ESTA CAIDO.
El router TELDAT está homologado por CLARO COLOMBIA para soportar servicios de
encripción IPSec. Su arquitectura permite garantizar la confidencialidad de los datos así
como asegurar que el proceso de encripción y desencripción de paquetes sea llevado a cabo
por un componente de hardware (subprocesador) independiente al procesador que ejecuta las
labores de enrutamiento o “forwarding” de paquetes. Lo anterior se ajusta a los
requerimientos que la “Superintendencia”, en su circular 052, le exige a los clientes para sus
operaciones financieras. El fabricante TELDAT ha certificado ante CLARO COLOMBIA,
mediante carta, lo anteriormente mencionado.
ipsec
; -- IPSec user configuration --
enable Habilitación del protocol IPSec.
assign-access-list 100
;
template 1 default
template 1 isakmp aes128 md5
template 1 source-address 172.46.0.113
template 1 destination-address 10.136.1.27
template 1 ike group two
template 1 keepalive dpd
;
template 2 default
template 2 dynamic esp aes128 md5
template 2 source-address 172.46.0.113
template 2 destination-address 10.136.1.27
;
map-template 100 2
key preshared ip 10.136.1.27 ciphered 0x747D31056EF9C9CAC
advanced keep-alive packets 300
advanced keep-alive timeout 8
advanced dpd packets 8
advanced dpd interval 300
exit
;
exit
;
; -- Access Lists user configuration --
access-list 100
entry 1 default
entry 1 permit
entry 1 source address 10.153.2.82 255.255.255.255
entry 1 destination address 10.129.0.10 255.255.255.255
;
entry 2 default
entry 2 permit
entry 2 source address 10.153.2.82 255.255.255.255
entry 2 destination address 10.129.0.107 255.255.255.255
;
Confidencial Pag. 30 16/01/2013
CONFIGURACION ROUTER TELDAT H1+
entry 3 default
entry 3 permit
entry 3 source address 10.153.2.82 255.255.255.255
entry 3 destination address 10.129.0.150 255.255.255.255
;
entry 4 default
entry 4 permit
entry 4 source address 10.153.2.82 255.255.255.255
entry 4 destination address 10.136.1.27 255.255.255.255
;
entry 5 default
entry 5 permit
entry 5 source address 10.153.2.82 255.255.255.255
entry 5 destination address 10.129.3.142 255.255.255.255
;
entry 6 default
entry 6 permit
entry 6 source address 10.153.2.82 255.255.255.255
entry 6 destination address 10.129.3.44 255.255.255.255
;
exit
;
;
protocol ip
; -- Internet protocol user configuration --
route 0.0.0.0 0.0.0.0 ppp1
classless
;
network loopback10
; -- Loopback interface configuration --
ip address 172.46.0.113 255.255.255.255
;
TELDAT H1 Config>
El siguiente es un scrip ejemplo de configuración para ofrecer privilegios, hasta cierto nivel,
de monitoreo y ejecución de algunos comandos.
; -- Privilege Configuration --
privilege 7 ">config>feature *>*"
privilege 7 ">config>network *>*"
privilege 7 ">config>ping *"
privilege 7 ">config>protocol ip>access-control>*" all
privilege 7 ">config>protocol ip>access-group *" all
privilege 7 ">config>protocol ip>address *" all
privilege 7 ">config>protocol ip>administrative-distance *" all
privilege 7 ">config>protocol ip>aggregation-route *" all
privilege 7 ">config>protocol ip>broadcast-address *" all
privilege 7 ">config>protocol ip>classless *" all
privilege 7 ">config>protocol ip>description *" all
privilege 7 ">config>protocol ip>directed-broadcast *" all
privilege 7 ">config>protocol ip>dns-domain-name *" all
privilege 7 ">config>protocol ip>filter *" all
privilege 7 ">config>protocol ip>icmp-redirects *" all
privilege 7 ">config>protocol ip>icmp-unreachables *" all
privilege 7 ">config>protocol ip>id-route *" all
privilege 7 ">config>protocol ip>internal-ip-address *" all
privilege 7 ">config>protocol ip>ip-param *" all
privilege 7 ">config>protocol ip>list *" all
privilege 7 ">config>protocol ip>local *" all
privilege 7 ">config>protocol ip>management-ip-address *" all
privilege 7 ">config>protocol ip>multipath *" all
privilege 7 ">config>protocol ip>nat>*" all
privilege 7 ">config>protocol ip>no *" all
privilege 7 ">config>protocol ip>policy *" all
privilege 7 ">config>protocol ip>pool *" all
privilege 7 ">config>protocol ip>proxy-arp>*" all
privilege 7 ">config>protocol ip>proxy-igmp>*" all
privilege 7 ">config>protocol ip>route *" all
privilege 7 ">config>protocol ip>router-id *" all
privilege 7 ">config>protocol ip>rule *" all
privilege 7 ">config>protocol ip>tvrp>*" all
privilege 7 ">config>protocol ip>vrf>*" all
privilege 7 ">config>protocol ip>vrrp>*" all
privilege 7 ">config>protocol>*" all
privilege 7 ">config>save yes" all
Confidencial Pag. 32 16/01/2013
CONFIGURACION ROUTER TELDAT H1+
;
user telmex hash-password CD4FA7FF12022E650B04EBC1EB088660
user telmex access-level 7 strict
;
user popular hash-password 2FD4CCAF02390266456AAA60EDF08BFB
user popular access-level 8 strict
p5
Config$
server
; -- SSH Server --
enable
exit
exit
set telnet
; -- Telnet user configuration --
set max-telnets 0
exit
;
4.3.2 Habilitar listas de acceso para control de acceso a la gestión del equipo via WAN/LAN.
La idea es que en la lista de acceso solo se permita acceder al equipo via SSH desde la red
10.X.X.X.
p5
Config$
feature access-lists
; -- Access Lists user configuration --
access-list 100
;
; Entrada 1 denegando el telnet hacia la wan del equipo.
entry 1 default
entry 1 deny
entry 1 destination port-range 23 23
entry 1 protocol tcp
;
; Entrada 2 permitiendo el SSH
entry 2 default
entry 2 permit
entry 2 source address 10.0.0.0 255.0.0.0
entry 2 destination port-range 22 22
entry 2 protocol tcp
;
; Entrada 3 permitiendo otros tráficos que deban ir por la wan
entry 3 default
entry 3 permit
entry 3 protocol tcp
entry 3 destination port-range 999 999
;
; Entrada 4 permitiendo otros tráficos que deban ir por la wan
entry 4 default
entry 4 permit
;
; Entrada 5 permitiendo otros tráficos que deban ir por la wan
entry 5 default
entry 5 permit
;
; Entrada 6 permitiendo otros tráficos que deban ir por la wan
entry 6 default
entry 6 permit
;
; Entrada 7 permitiendo otros tráficos que deban ir por la wan
entry 7 default
entry 7 permit
;
; Entrada 8 denegando el resto de tráfico
entry 8 default
entry 8 deny
;
;
exit
;
;
exit
Luego se aplica ésta lista de acceso en la interfaz WAN, en sentido IN , por ejemplo:
network ethernet0/0.1
; -- Ethernet Subinterface Configuration --
ip access-group 100 in
exit
Para no dejar sesiones remotas al equipo, se puede activar el parámetro "innactivity-timer" con un
temporizador para cerrar sesiones sin actividad: (El valor numérico es en minutos):
P5
Config$ set inactivity-timer 5
5 TROUBLESHOOTING
El nivel de potencia ideal sería -53 dBm o menor, pero debe funcionar sin problemas hasta en -70
dBm, y el proveedor informa que ha tenido casos de funcionamiento hasta en -93 dBm en sitios de
muy baja cobertura con tiempos altos y algunas perdidas de paquetes. En tales situaciones se pueden
adquirir antenas especiales de mayor ganancia.