Вы находитесь на странице: 1из 122

Gua de implementacin de soluciones WAN

Serie febrero 2012


Prlogo

A quin se dirige esta gua? Cmo interpretar los comandos


Esta gua de Cisco Smart Business Architecture (SBA) se destina a personas Muchas de las guas de Cisco SBA proporcionan detalles especficos acerca
con diversos cometidos: de la configuracin de dispositivos de red Cisco que ejecutan Cisco IOS, Cisco
NX-OS u otros sistemas operativos y que se configuran mediante una interfaz
Ingenieros de sistemas que necesitan procedimientos estndar para de lnea de comandos (CLI). En esta seccin se describen las convenciones que
implementar soluciones. se emplean para especificar los comandos que se deben utilizar.
Directores de proyecto encargados de crear declaraciones de trabajo para
Los comandos que se deben introducir en la CLI se indican de la forma siguiente:
implementaciones Cisco SBA.
configure terminal
Partners que venden nuevas tecnologas o crean documentacin para la
implementacin. Los comandos que especifican un valor para una variable se indican de la forma
siguiente:
Formadores que necesitan materiales pedaggicos para el aula o la
formacin prctica. ntp server 10.10.48.17
Los comandos con variables que el usuario debe definir se indican de la forma
En general, las guas de Cisco SBA tambin pueden emplearse para
siguiente:
unificar las prcticas utilizadas por los distintos ingenieros y en las distintas
implementaciones, as como para mejorar la estimacin del alcance y los costes class-map [nombre de clase ms alta]
de las tareas de implementacin. Los comandos que se muestran en un ejemplo interactivo, como un script,
ocuando se incluye el smbolo del sistema, se indican de la forma siguiente:
Serie Router# enable
Cisco se esfuerza por actualizar y mejorar las guas SBA con regularidad. Los comandos largos que no caben en una lnea se subrayan y deben
Amedida que se van desarrollando, las nuevas guas SBA se someten a introducirse como un solo comando:
pruebas junto con el resto de las guas de la serie, para garantizar que wrr-queue random-detect max-threshold 1 100 100 100 100 100
funcionen como un sistema unificado. Para asegurarse de que los diseos
100 100 100
descritos en las distintas guas de Cisco SBA sean compatibles entre s, debe
utilizar guas pertenecientes a la misma serie. Los elementos de la salida del sistema o de los archivos de configuracin de los
dispositivos sobre las que se desea llamar la atencin se destacan de la forma
La serie a la que pertenece cada gua de Cisco SBA se indica en la portada y en siguiente:
la esquina inferior izquierda de cada pgina. La serie a la que pertenece la gua
interface Vlan64
se distingue por el mes y el ao de publicacin, de la siguiente manera:
ip address 10.5.204.5 255.255.255.0
Serie mes ao
Por ejemplo, las guas publicadas en agosto de 2011 pertenecen a la serie Comentarios y preguntas
agosto 2011. Si desea realizar cualquier comentario o tiene alguna pregunta acerca de
Puede acceder a la serie ms reciente de guas de SBA en las siguientes alguna de nuestras guas, acceda al foro cuya direccin figura en la parte
direcciones: inferior de la pgina web correspondiente:
Acceso para clientes: http://www.cisco.com/go/sba
Acceso para clientes: http://www.cisco.com/go/sba
Acceso para partners: http://www.cisco.com/go/sbachannel
Acceso para partners: http://www.cisco.com/go/sbachannel
Si desea recibir notificaciones cuando se publiquen nuevos comentarios en
estos foros, hay una fuente RSS disponible.

Serie febrero 2012 Prlogo


ndice general

Contenido de esta gua de SBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Configuracin del router CE MPLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20


Acerca de SBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Configuracin de un router CE MPLS de sitio remoto. . . . . . . . . . . . . . . . . . . . . . 26
Acerca de esta gua . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Adicin de un enlace MPLS secundario en un router CE MPLS existente. . 35
Configuracin de router de sitio remoto (router dual: router 2). . . . . . . . . . . . . 38
Introduccin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Publicaciones relacionadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Implementacin de una WAN DMVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Objetivos de diseo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Contexto empresarial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Descripcin general de la tecnologa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Descripcin general de la arquitectura. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Detalles de la implementacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Diseo WAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Configuracin del router hub DMVPN.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Calidad de servicio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Configuracin de switch de la DMZ y el firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Optimizacin de WAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Activacin un enlace DMVPN de reserva en un router CE MPLS
existente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Implementacin de la WAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Configuracin de un router de radio DMVPN de sitio remoto. . . . . . . . . . . . . . 73
Objetivos generales del diseo de la arquitectura de la WAN . . . . . . . . . . . . . 14
Implementacin de una capa de distribucin para un sitio remoto WAN. . . . . 82
Implementacin de una WAN MPLS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Nivel de distribucin de un router CE MPLS de sitio remoto. . . . . . . . . . . . . . . 82
Contexto empresarial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Nivel de distribucin del segundo router de sitio remoto. . . . . . . . . . . . . . . . . . 84
Descripcin general de la tecnologa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Configuracin del switch de la capa de distribucin de sitio
Detalles de la implementacin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 remoto WAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Serie febrero 2012 ndice general


Implementacin de calidad de servicio de WAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Apndice A:
lista de productos de implementacin de WAN para organizaciones
Configuracin de QoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
empresariales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Implementacin de optimizacin de aplicaciones con WAAS. . . . . . . . . . . . . . . . 93


Apndice B: suplemento de funciones tcnicas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Contexto empresarial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
vREF de puerta delantera (FVRF) para DMVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Descripcin general de la tecnologa. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Configuracin WAAS/WAE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Apndice C: cambios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

TODOS LOS DISEOS, ESPECIFICACIONES, DECLARACIONES, INFORMACIONES Y RECOMENDACIONES (DENOMINADOS, DE FORMA GENERAL, LOS DISEOS) DEL PRESENTE MANUAL SE OFRECEN TAL CUAL,
CON LOS ERRORES QUE PUEDAN CONTENER. CISCO Y SUS PROVEEDORES RECHAZAN CUALQUIER GARANTA, EXPRESA OIMPLCITA, INCLUIDAS, SIN LIMITACIN, LAS GARANTAS DE COMERCIABILIDAD,
ADECUACIN A UN FIN DETERMINADO E INCUMPLIMIENTO, AS COMO LAS RESULTANTES DE GESTIONES, USO O PRCTICA COMERCIAL. NI CISCO NI SUS PROVEEDORES ASUMIRN EN NINGN CASO
RESPONSABILIDAD POR CUALQUIER DAO INDIRECTO, ESPECIAL, CONSECUENCIAL O ACCIDENTAL, INCLUIDOS, SIN LIMITACIN, LA PRDIDA DE BENEFICIOS O LA PRDIDA O DAOS DE LOS DATOS
DERIVADOS DEL USO INDEBIDO DE ESTE MANUAL, AUN CUANDO SE HUBIESE AVISADO A CISCO O SUS PROVEEDORES DE LA POSIBILIDAD DE QUE SE ORIGINASEN DICHOS DAOS. LOS DISEOS ESTN
SUJETOS A CAMBIOS SIN PREVIO AVISO. LA RESPONSABILIDAD DE LA APLICACIN DE LOS DISEOS RECAE EXCLUSIVAMENTE SOBRE LOS USUARIOS. LOS DISEOS NO CONSTITUYEN ASESORAMIENTO
TCNICO O PROFESIONAL NI DE CUALQUIER OTRO TIPO DE CISCO, SUS PROVEEDORES O PARTNERS. EL USUARIO DEBE CONSULTAR A SUS PROPIOS ASESORES TCNICOS ANTES DE PROCEDER
A LA IMPLEMENTACIN DE LOS DISEOS. LOS RESULTADOS DE LA IMPLEMENTACIN PUEDEN VARIAR EN FUNCIN DE LA APLICACIN O NO DE FACTORES QUE CISCO NO HAYA SOMETIDO A PRUEBAS.

Las direcciones de protocolo de Internet (IP) utilizadas en este documento no son reales. Todos los ejemplos, resultados de comandos y figuras incluidos en este documento se proporcionan con fines ilustrativos
nicamente. El uso de direcciones IP reales en el contenido ilustrativo es fortuito e inintencionado.
2012 Cisco Systems, Inc. Reservados todos los derechos.

Serie febrero 2012 ndice general


Contenido de esta gua de
SBA

Acerca de SBA Acerca de esta gua


La arquitectura Cisco SBA le ayuda a disear e implementar rpidamente una Esta gua de implementacin de estructura se divide en diferentes secciones,
red empresarial de servicio completo. Las implementaciones de Cisco SBA son cada una de las cuales incluye las siguientes partes:
preceptivas, escalables y flexibles, adems de estar listas para ser utilizadas de Contexto empresarial: el reto al que se enfrenta su empresa. Los
forma inmediata. encargados de tomar decisiones comerciales pueden utilizar esta parte
Cisco SBA incluye tecnologas de distinto tipo (LAN, WAN, inalmbricas, de para comprender la importancia de la solucin para las operaciones de
seguridad, de Data Center, de optimizacin de aplicaciones y de comunicaciones sus organizaciones.
unificadas) que se someten a pruebas en su conjunto, como un sistema completo. Descripcin general de la tecnologa: cmo resuelve Cisco este reto.
Este enfoque orientado a componentes simplifica la integracin de varias Los encargados de tomar decisiones tcnicas pueden utilizar esta parte
tecnologas en un mismo sistema y le permite elegir soluciones que resuelven los para comprender cmo funciona la solucin.
problemas de su
Detalles de la implementacin: instrucciones paso a paso para implementar
empresa sin complicaciones tcnicas.
la solucin. Los ingenieros de sistemas pueden utilizar esta parte para
Si desea obtener ms informacin, consulte el documento How to Get Started configurar y poner en marcha la solucin de forma rpida y fiable.
with Cisco SBA (Primeros pasos con Cisco SBA):
Para ver los cambios que se han realizado en esta gua con respecto a la
http://www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/ anterior, consulte Apndice C: cambios.
Smart_Business_Architecture/SBA_Getting_Started.pdf
En la presente gua se da por supuesto que ha ledo la descripcin general del
diseo de la estructura esencial requerida que se muestra en el siguiente diagrama.

Guas de requisitos previos Usted est aqu Guas dependientes

ENT BN
Descripcin general Gua de implementacin Guas de implementacin
de WAN adicionales

El camino hacia el xito


Es preciso leer las guas en las que se basa la presente gua (que se
muestran a su izquierda en el diagrama anterior) para garantizar el xito de la
implementacin de los diseos descritos en ella. Las guas que se muestran a
su derecha dependen de ella.
Acceso para clientes a todas las guas de SBA: http://www.cisco.com/go/sba
Acceso para partners: http://www.cisco.com/go/sbachannel

Serie febrero 2012 Contenido de esta gua de SBA 1


Introduccin

Cisco SBA for Enterprise OrganizationsBorderless Networks es una Publicaciones relacionadas


estructura de red diseada para proporcionar a las redes con 2000 a 10000
usuarios conectados la flexibilidad necesaria para admitir nuevos usuarios o La Gua de diseo (Design Guide) ofrece orientacin sobre el diseo general
servicios de red sin tener que volver a disearlas. Para su implementacin, de Cisco SBA y explica los requisitos que se consideraron al seleccionar los
hemos creado una gua preceptiva, lista para su uso tal cual se proporciona productos especficos.
que se basa en los principios de diseo recomendados y ofrece flexibilidad y La Gua de implementacin de redes de rea local (Local Area Network
escalabilidad. Deployment Guide) describe el acceso a las redes inalmbricas y por cable
La base arquitectnica se describe en una nica gua de diseo, que se con capacidades universales tanto para las LAN de campus ms grandes,
complementa con varias guas de configuracin e implementacin especficas comopara las LAN de sitio remoto ms pequeas. Incluye consideraciones
para cada una de las tres partes de la base: LAN, WAN y periferia de Internet. acerca de la resistencia, la seguridad y la escalabilidad para proporcionar un
entorno de comunicaciones slido. Se trata tambin la calidad de servicio (QoS)
Existen tres guas de implementacin WAN que se centran en elementos para que la arquitectura base pueda admitir mltiples aplicaciones que incluyan
especficos de la arquitectura: aplicaciones multimedia sensibles a las cadas y de baja latencia que coexistan
La presente Gua de implementacin de soluciones WAN proporciona con aplicaciones de datos en una nica red. La gua tambin explica cmo crear
informacin sobre la configuracin del transporte de switching de etiquetas una solucin de acceso para invitados y partners, en la que no sea posible
de multiprotocolo (MPLS), as como del transporte de Internet o banda acceder a la informacin interna confidencial a pesar de utilizar la misma
ancha con una funcin de respaldo. infraestructura inalmbrica que los empleados.
La Gua de implementacin de WAN de nivel 2 (Layer 2 WAN Deployment La Gua de implementacin de la periferia de Internet (Internet Edge
Guide) proporciona informacin sobre la configuracin del transporte de Deployment Guide) se centra en los servicios de seguridad, como los firewalls
VPLS o Metro Ethernet, as como del transporte de Internet o banda ancha y los sistemas de prevencin de intrusiones, que protegen el gateway de
con una funcin de respaldo. su organizacin a Internet. Las opciones de conectividad y routing de los
La Gua de implementacin de sitio remoto de VPN (VPN Remote Site proveedores de servicios de Internet, junto con el equilibrio de carga del
Deployment Guide) proporciona informacin sobre la configuracin del servidor, proporcionan resistencia en el diseo. La seccin de seguridad del
transporte por Internet o banda ancha con una funcin principal o de correo electrnico de esta gua incluye la proteccin del correo electrnico
reserva. frente a spam y malware. La seccin de seguridad en la Web ofrece informacin
para supervisar y controlar el uso aceptable, as como orientacin para
gestionar los riesgos cada vez mayores asociados al acceso de los clientes a
Internet. El diseo de las VPN de acceso remoto admiten usuarios mviles y
teletrabajadores con acceso remoto seguro. Estos elementos se abordan en
secciones separadas, pero se han diseado para funcionar de manera conjunta
con el fin de proporcionar una solucin perifrica de Internet segura.

Serie febrero 2012 Introduccin 2


Figura 1: Descripcin general de Borderless Networks para organizaciones empresariales

Internet Data
Internet
Internet ampliadas Center
Edge
Edge
Internet Routers Dispositivo
Remoto
de seguridad
I WAN
Acceso a VPN de correo
VPN electrnico
Agregacin
de hardware y software Invitado
Teletrabajador/ WLAN
Trabajador mvil

WAN Aceleracin de
Punto de Firewall Internet
aplicaciones VPN
acceso de UCS
inalmbrico Controlador Dispositivo
de LAN W ww
Switches W ww de seguridad
de acceso inalmbrica web
de clientes

Router de sucursal con


aceleracin de aplicaciones
Ncleo
Remoto central de LAN

Concentracin
Distribucin/principal
Switches
Distribution
I central de LAN

Controlador Regional
LAN inalmbrica Router

Aceleracin Switch
de aplicaciones de acceso
de clientes

Oficina
regional Edificio 1 Edificio 2 Edificio 3 Edificio 4

Serie febrero 2012 Introduccin 3


Objetivos de diseo Facilidad de administracin

Esta arquitectura se basa en los requisitos recopilados a partir de la Aunque esta gua se centra en la implementacin de la estructura de la
colaboracin con clientes, partners y personal de campo de Cisco para red, en el diseo se tiene en cuenta la administracin y el funcionamiento
organizaciones con 2000 a 10000 usuarios conectados. A la hora de disear la de la siguiente fase. Las configuraciones de las guas de implementacin
arquitectura, consideramos todos los requisitos recopilados y los objetivos de estn diseadas para permitir que los dispositivos se gestionen a travs de
diseo que indicamos a continuacin. conexiones de administracin de dispositivos normales, por ejemplo, SSH y
HTTPS, as como a travs de NMS. La configuracin de NMS no se incluye en
esta gua.
Facilidad de implementacin, flexibilidad y escalabilidad
Las organizaciones con 2000 a 10000 usuarios suelen estar situadas Preparada para el uso de tecnologa avanzada
en distintas ubicaciones geogrficas, lo que hace que la flexibilidad y la
escalabilidad sean requisitos fundamentales para la red. Este diseo utiliza Flexibilidad, escalabilidad, resistencia y seguridad son caractersticas que
varios mtodos para crear y mantener una red escalable: definen una red preparada para el uso de tecnologa avanzada. El diseo
modular de la arquitectura permite que la empresa aada tecnologas conforme
A travs del mantenimiento de un pequeo nmero de diseos estndar est preparada para implantarlas. Sin embargo, la implementacin de estas
para partes comunes de la red, el personal del soporte tcnico puede tecnologas avanzadas, por ejemplo, las tecnologas de colaboracin, es
ocuparse ms eficazmente del diseo de servicios para la red, la posible gracias a que la arquitectura incluye productos y configuraciones
implementacin de la red y la prestacin de asistencia. preparadas para admitir la colaboracin desde el primer da. Por ejemplo:
Nuestro enfoque de diseo modular mejora la escalabilidad. A partir de un Los switches de acceso proporcionan alimentacin a travs de Ethernet
conjunto de bloques de creacin globales estndar, podemos implementar (PoE) para la implementacin de telfonos sin necesidad de contar con una
una red escalable que cumpla los requisitos. toma de corriente local.
Muchos de los mdulos de plug-in tienen el mismo aspecto en distintas Toda la red est preconfigurada con QoS para admitir voz de alta calidad.
reas de servicio, lo que proporciona coherencia y escalabilidad, puesto
que se puedan utilizar los mismos mtodos de soporte para mantener La multidifusin est configurada en la red para admitir el suministro eficaz
varias reas de la red. Estos mdulos siguen los modelos de diseo de red de voz y vdeo de difusin.
de acceso/distribucin/ncleo estndar y se sirven de tcnicas separacin La red inalmbrica est preconfigurada para dispositivos que envan voz a
de capas para garantizar que las interfaces entre los plug-ins estn bien travs de LAN inalmbrica, lo que proporciona telefona IP a travs de Wi-Fi
definidas. 802.11 (conocida como movilidad) en todas las ubicaciones.
La solucin de periferia de Internet est preparada para proporcionar
Resistencia y seguridad telfonos virtuales a travs de VPN, as como telfonos tradicionales o de
Una de las claves para mantener una red de gran disponibilidad es desarrollar escritorio.
la redundancia adecuada para protegerla frente a fallos. Nuestra arquitectura
cuenta con un equilibrio perfecto entre redundancia y la complejidad inherente
a los sistemas redundantes.
Con la adicin de una cantidad significativa de trfico sensible a los retrasos
y a las cadas como conferencias de voz y vdeo, tambin hacemos bastante
hincapi en los tiempos de recuperacin. La eleccin de diseos que reducen
el tiempo entre la deteccin del fallo y la recuperacin es importante para
garantizar que la red permanece disponible pese a enfrentarse a un fallo menor
de componentes.
La seguridad de las redes tambin es un slido componente de la arquitectura.
En una red amplia, existen muchos puntos de entrada y garantizamos que son
lo ms seguros posible sin hacer que la red sea demasiado difcil de utilizar.
Laproteccin de la red no solo ayuda a mantenerla segura frente a ataques,
sino que tambin es un componente clave para garantizar su resistencia.

Serie febrero 2012 Introduccin 4


Descripcin general de la avanzados de valor aadido en una sola infraestructura. Se trata de una
solucin econmica que puede integrarse perfectamente en cualquier
infraestructura, como por ejemplo IP, Frame Relay, ATM o Ethernet.
arquitectura Las VPN de nivel 3 de MPLS utilizan un modelo de VPN de igual a igual
que aprovecha el Protocolo de gateway fronterizo (BGP) para distribuir
informacin relacionada con la VPN. Este modelo de igual a igual permite
a los suscriptores empresariales externalizar la informacin de routing a
proveedores de servicios, lo que puede producir un gran ahorro de costes y
una reduccin de la complejidad operativa de las empresas.
La Gua de implementacin de soluciones WAN de Cisco SBA for Enterprise
OrganizationsBorderless Networks proporciona un diseo que permite una Los suscriptores que necesiten transportar trfico de multidifusin IP
conectividad optimizada, segura y de alta disponibilidad para varias LAN de pueden activar las VPN multidifusin (MVPN).
sitios remotos.
La WAN aprovecha la VPN MPLS como transporte WAN principal o de
La WAN es la infraestructura de redes que proporciona una interconexin basada reserva (a una VPN MPLS principal alternativa).
en IP entre los sitios remotos separados por grandes distancias geogrficas.
Este documento le muestra cmo implementar la estructura y los servicios de Internet como transporte WAN
red necesarios para permitir lo siguiente: En esencia, Internet es una WAN pblica a gran escala compuesta por varios
Conectividad WAN para entre 25 y 500 sitios remotos proveedores de servicios interconectados. Internet puede proporcionar
conectividad fiable de gran rendimiento entre varias ubicaciones, aunque no
Enlaces principales y secundarios para proporcionar opciones de topologa
dispone de garantas explcitas para estas conexiones. Pese a su naturaleza
redundante y resistencia
de mejor servicio posible segn las circunstancias, Internet es una eleccin
Privacidad de datos mediante el cifrado prudente para un transporte WAN alternativo o para un transporte principal
Optimizacin WAN y aceleracin de aplicaciones cuando no es viable conectarse con otra opcin de transporte.
Acceso LAN inalmbrico y por cable en todos los sitios remotos Las conexiones de Internet suelen formar parte de las conversaciones sobre
la periferia de Internet, sobre todo, en el caso del sitio principal. Los routers
Diseo WAN de sitio remoto tambin suelen contar con conexiones a Internet, pero no
suministran la misma gama de servicios a travs de Internet. Por motivos de
El objetivo principal del diseo es permitir el uso de los siguientes transportes seguridad y de otro tipo, el acceso a Internet desde los sitios remotos suele
de WAN, que suelen implementarse con frecuencia: enrutarse a travs del sitio principal.
VPN de nivel 3 de switching de etiquetas multiprotocolo (MPLS) La WAN utiliza Internet para las conexiones VPN de sitio a sitio como transporte
VPN con Internet WAN de reserva (a una VPN MPLS).
A un nivel superior, la WAN es una red IP y estos transportes se pueden integrar
fcilmente en el diseo. La arquitectura elegida designa un sitio de agregacin de VPN dinmica multipunto
WAN principal anlogo al sitio del hub en un diseo tradicional de hub y radio. Este La VPN dinmica multipunto (DMVPN) es una solucin para crear VPN
sitio cuenta con conexiones directas tanto a transportes de WAN como a conexiones escalables de sitio a sitio que admitan una gran variedad de aplicaciones.
de alta velocidad a los proveedores de servicios seleccionados. Adems, el Sueleutilizarse para la conectividad cifrada de sitio a sitio en redes IP privadas
sitio utiliza equipos de red con escalabilidad para conseguir gran rendimiento y o pblicas, y se puede implementar en todos los routers WAN que se describen
redundancia. El sitio de agregacin de WAN principal reside conjuntamente con el en esta gua de implementacin.
Data Center y normalmente con el Campus o LAN principal tambin.
La DMVPN se seleccion para el cifrado del transporte de Internet porque
ofrece conectividad de malla completa a demanda con una sencilla
Transporte de WAN MPLS
configuracin de hub y radio, y un modelo de implementacin de hub sin
Cisco IOS Software Multiprotocol Label Switching (MPLS) permite a las necesidad de intervencin por parte del usuario para aadir sitios remotos.
empresas y a los proveedores de servicios crear redes inteligentes de La DMVPN tambin admite routers de radio que cuenten con direcciones IP
ltima generacin que suministran una amplia variedad de servicios asignadas de forma dinmica.

Serie febrero 2012 Descripcin general de la arquitectura 5


La DMVPN hace uso de tneles de encapsulacin de routing genrico Tabla 1 - Diseos de agregacin de WAN
multipunto (mGRE) para interconectar el hub y todos los routers de radio.
Aestos tneles de mGRE tambin se les conoce a veces como nubes DMVPN Enlaces Routers
en este contexto. Esta combinacin de tecnologa admite IP de difusin, Modelo WAN perifricos Transporte 1 Transporte 2 Transporte 3
multidifusin y unidifusin, incluida la capacidad de ejecutar protocolos de
WAN100 Dual Dual VPN MPLS A VPN con
routing dentro de los tneles.
Internet

WAN Ethernet WAN500 Varios Varios VPN MPLS A VPN MPLS B VPN con
Internet
Los dos transportes de WAN que se han especificado anteriormente utilizan
Ethernet como el tipo de medio estndar. Ethernet se est convirtiendo en el Las caractersticas de cada diseo son las siguientes:
estndar de transferencia de operador dominante en muchos mercados y es
importante incluir esta tecnologa como el medio principal en las arquitecturas
probadas. Gran parte del contenido de esta gua tambin se puede aplicar a Diseo WAN100
medios no Ethernet (como, por ejemplo, T1/E1, DS-3, OC-3, etc.), pero estos no Hasta 100Mbps de ancho de banda agregado.
se tratan de forma explcita en la gua. Admite hasta 100 sitios remotos.
Dispone de un nico operador de VPN MPLS.
Diseos de agregacin de WAN
Utiliza un nico enlace de Internet.
Los diseos de agregacin de WAN (hub) incluyen dos o ms routers
perifricos WAN. Cuando se hace referencia a routers perifricos WAN en el En la siguiente figura se muestra el diseo WAN100.
contexto de la conexin a un operador o proveedor de servicios, estos suelen Figura 2: Diseo WAN100
denominarse routers perifricos de cliente (CE). Los routers perifricos WAN
que finalizan el trfico de VPN se conocen como routers hub VPN. Todos los
routers perifricos WAN se conectan a una capa de distribucin.
Las opciones de transporte WAN incluyen VPN MPLS y acceso tradicional
a Internet y se conectan a un router CE o a uno hub VPN, respectivamente.
Lainteraccin con cada uno de estos transportes requiere una configuracin y
un mtodo de conexin diferentes.
En esta gua de implementacin se describen dos diseos de agregacin
de WAN: WAN100 y WAN500. La diferencia principal entre ellos es la escala
general de la arquitectura y las capacidades de las diferentes plataformas
elegidas para admitir el diseo.
En ambos diseos, las tareas como el resumen de ruta IP se llevan a cabo en la
capa de distribucin. Existen varios dispositivos que admiten servicios de WAN
y que se deben conectar a la capa de distribucin.
Cada operador de MPLS finaliza en un router WAN dedicado con el objetivo
principal de eliminar los puntos de fallo individuales. En ambos diseos se
utiliza un nico router hub VPN. En la siguiente tabla se comparan los diferentes
modelos.

Serie febrero 2012 Presentation_ID Descripcin general


2008 Cisco Systems, Inc. Reservados todos los derechos. de la arquitectura
Informacin confidencial de Cisco
6
Diseo WAN500 Figura 4: Diseos de sitios remotos de WAN
Hasta 1Gbps de ancho de banda agregado.
Admite hasta 500 sitios remotos.
Dispone de varios operadores de VPN MPLS.
Utiliza un nico enlace de Internet.
En la siguiente figura se muestra el diseo WAN500.
Figura 3: Diseo WAN500

Los diseos de sitios remotos pueden incluir un nico router perifrico WAN 3
Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco

o dos, que pueden ser routers CE o de radio VPN. En algunos casos, un nico
router perifrico WAN puede llevar a cabo las funciones de los routers CE y de
radio VPN.
La mayora de los sitios remotos estn diseados con un nico router WAN.
Sin embargo, en algunos tipos de sitios remotos es necesario establecer un
permetro WAN de router dual. Entre los sitios candidatos a dos routers se
incluyen las ubicaciones de campus remoto u oficina regional con un gran
nmero de usuarios y los sitios con necesidades empresariales crticas
2
que justifiquen la redundancia adicional para eliminar los puntos de fallo
Diseos de sitios remotos de WAN
Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco
individuales.
En esta gua se documentan varios diseos de sitios remotos de WAN, que se
basan en distintas combinaciones de transportes de WAN segn los requisitos
especficos de niveles de servicio y redundancia del sitio.

Serie febrero 2012 Descripcin general de la arquitectura 7


La metodologa de diseo WAN general se basa en un diseo de sitio de Tabla 3 - Opciones LAN para sitios remotos de WAN
agregacin de WAN principal que puede admitir todos los tipos de sitios
remotos segn las diferentes combinaciones de enlaces que se enumeran en
lasiguiente tabla. Routers de sitio remoto de Transportes de
WAN WAN Topologa de LAN
Tabla 2 - Opciones de transporte de sitios remotos de WAN
nico nico Solo acceso
Routers de sitio Transportes Transporte Transporte Distribucin/acceso
remoto de WAN de WAN principal secundario nico Dual Solo acceso
nico nico VPN MPLS A -
Distribucin/acceso
nico Dual VPN MPLS A VPN MPLS B
Dual Dual Solo acceso
nico Dual VPN MPLS A Internet
Distribucin/acceso
nico Dual VPN MPLS B Internet
Dual Dual VPN MPLS A VPN MPLS B Sitios remotos de WAN: topologa LAN
Dual Dual VPN MPLS A Internet Todos los sitios remotos de WAN utilizan el mismo esquema de asignaciones
de VLAN, que se muestra en la siguiente tabla, para obtener coherencia y
Dual Dual VPN MPLS B Internet
modularidad. En esta gua de implementacin se sigue un modelo que puede
aplicarse a cualquier ubicacin con un solo switch de acceso y que puede
La naturaleza modular del diseo de la red le permite crear elementos de ampliarse fcilmente a armarios de acceso adicionales mediante la adicin de
diseo que puede replicar en toda la red. una capa de distribucin.
Tanto los diseos de agregacin de WAN como todos los diseos de sitios Tabla 4 - Sitios remotos de WAN: asignaciones de VLAN
remotos de WAN son bloques de creacin estndar dentro del diseo general.
La replicacin de los bloques de creacin individuales proporciona una sencilla Distribucin/acceso
manera de ampliar la red y permite obtener un mtodo de implementacin VLAN Uso Acceso de nivel 2 de nivel 3
coherente.
VLAN 100 Datos No se utiliza S
(principalmente)
Interconexin de WAN/LAN
VLAN 65 Datos inalmbricos S S
La funcin principal de la WAN es interconectar las LAN de los sitios remotos
y principal. La nica informacin sobre LAN que se proporciona en esta gua VLAN 70 Voz inalmbrica S S
es cmo conectar la LAN del sitio de agregacin de WAN a los dispositivos VLAN 64 Datos 1 S S
de agregacin de WAN y cmo conectar las LAN de los sitios remotos a los
VLAN 69 Voz 1 S S
dispositivos WAN de dichos sitios. Podr encontrar informacin especfica
sobre los componentes LAN del diseo en la Gua de implementacin de Sin asignar Datos 2 No se utiliza S
soluciones LAN de Cisco SBA for Enterprise OrganizationsBorderless Sin asignar Voz 2 No se utiliza S
Networks (Cisco SBA for Enterprise OrganizationsBorderless Networks
LAN Deployment Guide). VLAN99 Trnsito S S

En los sitios remotos, la topologa de LAN depende del nmero de usuarios (solo router dual) (solo router dual)
conectados y de la geografa fsica del sitio. En los de mayores dimensiones, VLAN50 Enlace de router (1) No se utiliza S
puede ser necesario el uso de una capa de distribucin para admitir switches
con varias capas de acceso. Otros sitios puede que solo necesiten un switch VLAN54 Enlace de router (2) No se utiliza S
con una nica capa de acceso conectada directamente a los routers de sitio (solo router dual)
remoto de WAN. En la siguiente tabla se muestran las variantes probadas y
documentadas en esta gua.

Serie febrero 2012 Descripcin general de la arquitectura 8


Acceso de nivel 2 Figura 5: Sitio remoto de WAN: LAN de nivel 2 plana (un nico router)
Los sitios remotos de WAN que no necesitan dispositivos de routing de capa de
distribucin adicionales se consideran planos o sitios de nivel 2 no enrutados
desde una perspectiva LAN. Los routers WAN conectados proporcionan
todos los servicios de nivel 3. Los switches de acceso, a travs de varias
VLAN, pueden admitir servicios como datos (inalmbricos y con cable) y voz
(inalmbrica y con cable). El diseo que se muestra en la siguiente figura ilustra
el esquema de asignaciones de VLAN estandarizadas. Las ventajas de este
diseo son claras: todos los switches de acceso se pueden configurar de
manera idntica, independientemente del nmero de sitios en la configuracin.
Los switches de acceso y su configuracin no estn incluidos en esta
gua. La Gua de implementacin de soluciones LAN de Cisco SBA for
Enterprise OrganizationsBorderless Networks (Cisco SBA for Enterprise
OrganizationsBorderless Networks LAN Deployment Guide) proporciona
informacin sobre la configuracin de varias plataformas de switching de
acceso.
Las subredes de IP estn diseadas en funcin de la VLAN. Este diseo
solo asigna subredes con una mscara de red 255.255.255.0 para la capa
de acceso, aunque se necesiten menos de 254 direcciones IP. (Este modelo
se puede ajustar segn sea necesario a otros esquemas de direccin IP).
Laconexin entre el router y el switch de acceso se debe configurar para
enlaces troncales de VLAN 802.1Q con subinterfaces en el router que coincidan
con las respectivas VLAN en el switch. Las diferentes subinterfaces del router
actan como los gateways predeterminados de IP para las combinaciones de
VLAN y subred de IP.
Un diseo de LAN similar a este se puede utilizar con un permetro de router
dual, tal como se muestra en la siguiente figura. Los cambios introducidos en el
diseo aumentan su complejidad. El primer requisito es ejecutar un protocolo
de routing. Debe configurar el protocolo de routing para gateway interior
mejorado (EIGRP) entre los routers. Para mantener la coherencia con la LAN del
sitio principal, utilice el proceso 100 de EIGRP.
Se debe implementar un protocolo de redundancia de primer salto (FHRP),
puesto que hay dos routers por subred. Para este diseo, Cisco seleccion el
Protocolo de router Hot Standby (HSRP) como el FHRP. HSRP est diseado
para obtener una recuperacin transparente despus de fallos en el router
IP de primer salto. Ofrece una gran disponibilidad de red al proporcionar
redundancia de routing de primer salto para hosts IP configurados con una
direccin IP de gateway predeterminada. Se utiliza en un grupo de routers para
seleccionar un router activo y otro en espera. Cuando hay varios routers en una
LAN, el router activo es el elegido para enrutar paquetes. El router en espera es
el que se hace con el control cuando falla el activo o cuando se cumplen ciertas
condiciones
Presentation_ID 2008predefinidas.
Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco

Serie febrero 2012 Descripcin general de la arquitectura 9


Figura 6: Sitio remoto de WAN: LAN de nivel 2 plana (router dual) Para mejorar los tiempos de convergencia tras un fallo de WAN MPLS, HSRP
cuenta con la capacidad de supervisar la disponibilidad del vecino IP de
prximo salto mediante el uso del EOT y SLA IP. Esta combinacin permite a
un router abandonar su funcin activa de HSRP si su vecino ascendente no
responde, lo que proporciona flexibilidad de red adicional.
HSRP est configurado para permanecer activo en el router con el transporte
WAN de mxima prioridad. El EOT de sondeos de SLA IP se implementa junto
con HSRP para que el router HSRP en espera asociado con el transporte WAN
(alternativo) de menor prioridad se convierta en el router HSRP activo en caso
de que el transporte WAN falle. Los sondeos de SLA IP se envan desde el
router CE MPLS al router PE MPLS para garantizar la disponibilidad del router
del salto siguiente. Esto resulta mucho ms eficaz que simplemente supervisar
el estado de la interfaz de WAN.
Los diseos de router dual tambin garantizan un componente adicional
necesario para el routing correcto en algunos casos. En estos casos, se puede
enviar un flujo de trfico desde un host de sitio remoto a un destino disponible
a travs del transporte WAN alternativo (por ejemplo, un sitio remoto de MPLS +
DMVPN que se comunica con un sitio remoto solo de DMVPN). A continuacin,
el router de transporte WAN principal saca el trfico por la misma interfaz
de datos para enviarlo al router de transporte WAN alternativo, que a su vez
enva el trfico al destino correcto. Esto se denomina conexiones entre nodos
(hair-pinning).
El mtodo apropiado para evitar el envo de trfico por la misma interfaz es
introducir un enlace adicional entre los routers y designar el enlace como una
red de trnsito (Vlan 99). De este modo, no existen hosts conectados a la red
El seguimiento mejorado de objetos (EOT) proporciona una metodologa de trnsito y solo se utiliza para comunicacin de router a router. El protocolo
coherente para que las distintas funciones de routers y switches puede de routing se ejecuta entre las subinterfaces de router asignadas a la red
modificar su funcionamiento condicionalmente en virtud de los objetos de de trnsito. Para modificar este diseo no se necesitan interfaces de router
informacin disponibles en otros procesos. Entre los objetos de los que se adicionales, ya que la configuracin de enlace troncal de VLAN 802.1Q puede
puede efectuar un seguimiento estn incluidos el protocolo de lnea de interfaz, alojar fcilmente una subinterfaz adicional.
la disponibilidad de ruta IP y la disponibilidad segn el acuerdo de nivel de
servicio (SLA) IP, as como muchos ms. Capa de acceso y distribucin
La funcin SLA IP proporciona a un router la capacidad de generar trfico de Es posible que los sitios remotos de grandes dimensiones requieran un entorno
red sinttico que se puede enviar a un respondedor remoto. El respondedor LAN similar al de una LAN de campus pequeo que incluya una capa de
puede ser un terminal IP genrico que puede responder a una solicitud de eco distribucin y de acceso. Esta topologa funciona bien con una configuracin de
(ping) del protocolo de mensajes de control de Internet (ICMP) o puede ser un periferia WAN de router dual o nico. Para implementar este diseo, los routers
router Cisco con un proceso de respondedor SLA IP, que puede responder a deben conectarse a travs de enlaces EtherChannel al switch de distribucin.
un trfico ms complejo como, por ejemplo, sondeos de fluctuacin. El uso de Estos enlaces EtherChannel se configuran como enlaces troncales de VLAN
SLA IP permite al router determinar la disponibilidad de extremo a extremo a un 802.1Q para admitir un enlace punto a punto enrutado con el fin de permitir un
destino y tambin el retardo de ida y vuelta. Con algunos tipos de sondeos ms routing EIGRP con el switch de distribucin, y en el diseo de router dual para
complejos tambin puede calcularse las prdidas y la fluctuacin a lo largo de ofrecer una red de trnsito con el fin de permitir la comunicacin directa entre
la ruta.
n confidencial SLA IP se utiliza conjuntamente con el EOT en este diseo.
de Cisco 5 los routers WAN.

Serie febrero 2012 Descripcin general de la arquitectura 10


Figura 7: Sitio remoto de WAN: conexin a la capa de distribucin Multidifusin IP
La multidifusin IP permite que la infraestructura (routers y switches) replique
un nico flujo de datos IP y que este flujo se enve desde una nica fuente a
varios receptores. La multidifusin IP es mucho ms eficaz que recurrir a flujos
individuales unidifusin o a un flujo de difusin que se propague a cualquier
parte. Algunos ejemplos de aplicaciones de multidifusin IP son la msica de
en espera para telefona IP (MOH) y la retransmisin de vdeo IP.
Para recibir un flujo de datos de multidifusin IP especfico, los hosts finales
deben unirse a un grupo de multidifusin enviando un mensaje de protocolo de
administracin de grupos de Internet (IGMP) a su router de multidifusin local.
En un diseo de multidifusin IP tradicional, el router local se pone en contacto
con otro router de la red que acta como punto de descubrimiento (RP) para
asignar los receptores a fuentes activas, con el fin de que puedan encontrar sus
flujos.
El RP es una operacin de plano de control que se debe situar en el ncleo de
El switch de distribucin gestiona todo el routing de capas de acceso con VLAN la red o cerca de las fuentes de multidifusin IP en un par de routers o switches
troncadas a switches de acceso. No se necesita ningn HSRP cuando el diseo de nivel 3. El routing de multidifusin IP se inicia en la capa de distribucin si
incluye una capa de distribucin. En la siguiente figura se muestra un diseo la capa de acceso es la nivel 2 y ofrece conectividad al RP de multidifusin IP.
completo de capa de acceso y distribucin. Endiseos sin una capa central, la capa de distribucin realiza la funcin de RP.
Figura 8: Sitio remoto de WAN: capa de acceso y distribucin (router
Presentation_ID 6
2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco
Este diseo est completamente habilitado para una implementacin nica
dual) de mbito global de multidifusin IP. El diseo utiliza una estrategia de
implementacin de RP de difusin ilimitada. Esta estrategia ofrece reparto
de la carga y redundancia en redes en modo disperso de multidifusin
independiente de protocolo (PIM SM). Existen dos RP que comparten la carga
para el registro de fuentes y la capacidad para actuar como routers de reserva
activos entre ellos.
La ventaja de esta estrategia desde la perspectiva de WAN es que todos los
dispositivos de routing de IP de la WAN utilizan una configuracin idntica que
hace referencia a los RP de difusin ilimitada. El PIM SM IP se activa en todas
las interfaces, incluidos los bucles invertidos, VLAN y subinterfaces.

Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco 7

Serie febrero 2012 Descripcin general de la arquitectura 11


Calidad de servicio Tabla 5 - Asignaciones de clases de servicios de QoS

La mayora de los usuarios ven la red como un mero mecanismo de utilidad Punto de
de transporte para transferir datos de un punto A a un punto B lo ms rpido cdigo de
posible. Para muchos es una cuestin de velocidad y entrada de datos. servicios Clase de
Yaunque es verdad que las redes IP envan el trfico con el mejor servicio Clase de Comportamiento diferenciados Precedencia servicio
posible segn las circunstancias de forma predeterminada, este tipo de routing servicio por salto (PHB) (DSCP) de IP (IPP) (CoS)
solo funciona bien en aplicaciones que se adaptan a variaciones en la latencia,
la fluctuacin y las prdidas. Pero las redes se han diseado para ofrecer Nivel de red Nivel 3 Nivel 3 Nivel 3 Nivel 2
varios servicios y admiten vdeo y voz en tiempo real, as como trfico de datos. Control de la red CS6 48 6 6
La diferencia est en que las aplicaciones en tiempo real requieren que los
Telefona EF 46 5 5
paquetes lleguen dentro de unos parmetros especficos de prdidas, retraso y
fluctuacin. Sealizacin CS3 24 3 3
En realidad, la red afecta a todos los flujos de trfico y en ella deben tenerse Conferencia AF41, 42, 43 34, 36, 38 4 4
presentes los requisitos de los usuarios finales y los servicios que se les multimedia
ofrecen. An con un ancho de banda ilimitado, las aplicaciones sensibles al Interactivo en CS4 32 4 4
tiempo se ven afectadas por la fluctuacin, el retraso y la prdida de paquetes. tiempo real
La calidad de servicio (QoS) permite que una gran cantidad de aplicaciones y
servicios de usuarios coexistan en la misma red. Transmisin AF31, 32, 34 26, 28, 30 3 3
multimedia
Nuestra arquitectura ofrece opciones de conectividad inalmbricas y con cable
Vdeo de difusin CS5 40 4 4
que proporcionan mecanismos avanzados de clasificacin, establecimiento de
prioridades, creacin de colas y congestin como parte de la QoS integrada Datos de baja AF21, 22, 23 18, 20, 22 2 2
con el fin de ayudar a garantizar el uso ptimo de los recursos de la red. Esta latencia
funcionalidad permite la diferenciacin de aplicaciones y garantiza que cada Operaciones, CS2 16 2 2
una de ellas dispone de una carga apropiada de recursos de la red para administracin y
proteger la experiencia del usuario y garantizar las operaciones coherentes de mantenimiento
las aplicaciones empresariales crticas. (OAM)
La QoS es una funcin fundamental de los dispositivos de infraestructura de Datos masivos AF11, 12, 13 10, 12, 14 1 1
la red que se utilizan en toda esta arquitectura. La QoS permite que una gran
cantidad de aplicaciones y servicios de usuario, entre ellos voz en tiempo real, Scavenger CS1 8 1 1
vdeo de alta calidad y datos sensibles a los retrasos, coexistan en la misma El mejor posible DF 0 0 0
red. Para que la red proporcione servicios predecibles, medibles y a veces (predeterminado)
garantizados, deben gestionarse los parmetros de ancho de banda, retraso,
fluctuacin y prdidas. Aunque no necesite QoS para sus aplicaciones actuales,
puede utilizarla en los protocolos de red y administracin para proteger la
facilidad de administracin y la funcionalidad de la red en condiciones de
trfico normales o de congestin.
El objetivo de este diseo es proporcionar suficientes clases de servicio para
permitirle aadir voz, vdeo interactivo, aplicaciones de datos crticos y trfico
de administracin a la red, ya sea durante la implementacin inicial o ms tarde
con unos costes de ingeniera y efectos en el sistema mnimos.
Las clasificaciones de QoS de la siguiente tabla se aplican a lo largo de todo el
diseo. Esta tabla se incluye como referencia.

Serie febrero 2012 Descripcin general de la arquitectura 12


Optimizacin de WAN El protocolo de comunicacin de cach web (WCCP) se utiliza en los routers
para interceptar el trfico que entra en el router procedente de la LAN (origen
Cisco Wide Area Application Services (WAAS) es una solucin de optimizacin en el cliente o el Data Center) o que entra en el router desde la WAN (desde un
de WAN exhaustiva que acelera la provisin de aplicaciones en la WAN, WAE remoto). Como parte de la redireccin del WCCP, el trfico se remite al
proporciona vdeo en oficinas remotas y ofrece alojamiento local de servicios WAE elegido a travs de un tnel de encapsulacin de routing genrico (GRE).
de TI de sitios remotos. Cisco WAAS permite centralizar las aplicaciones y
utilizar el almacenamiento de Data Center mientras se conserva un rendimiento Si existen varios dispositivos WAE en una misma ubicacin, estos pueden
de aplicaciones similar al de una LAN. funcionar como un clster. Los routers que ejecutan la redireccin del WCCP
son responsables del reparto de carga en los diferentes dispositivos WAE en un
WAAS acelera las aplicaciones y los datos en la WAN, optimiza el ancho de clster. En WAAS de alta disponibilidad se utiliza un modelo N+1. Este nombre
banda, potencia Cloud Computing y proporciona alojamiento local de servicios indica que si se necesitan N dispositivos equivalentes para proporcionar el
de TI de sitios remotos, todo con una integracin de redes lder en el sector. rendimiento necesario, se necesita un dispositivo adicional para garantizar la
Cisco WAAS permite a las organizaciones de TI centralizar las aplicaciones y redundancia.
soluciones de almacenamiento sin perjudicar la productividad de los usuarios
mviles y de sitios remotos. El trfico que se va a reinyectar en la red utiliza un mtodo de salida de tnel
GRE WCCP de retorno negociado que conduce de vuelta al router de origen.
WAAS se gestiona de manera centralizada y necesita uno o ms dispositivos Se prefiere este mtodo porque permite que los dispositivos WAE estn
Cisco WAAS Central Manager ubicados fsicamente en el Data Center, pero ubicados a uno o ms saltos enrutados del router WCCP. Existen varias ventajas
accesibles a travs de una interfaz web. asociadas a este mtodo que se tratan con mayor profundidad en las siguientes
El diseo para optimizar el trfico de WAN requiere la implementacin de secciones.
dispositivos o mdulos Cisco Wide Area Application Engine (WAE) en el sitio Una implementacin correcta de WAAS Express requiere los siguientes
de agregacin de WAN y en los sitios remotos de WAN. Los dispositivos WAE elementos:
ejecutan software de WAAS que proporciona los servicios de optimizacin
Un router que cumpla los requisitos correctos de hardware, en concreto una
de WAN. El diseo requiere uno o ms dispositivos WAE en cada ubicacin,
actualizacin al mximo DRAM.
con varios dispositivos ubicados en un sitio para proporcionar resistencia.
La solucin Cisco WAAS funciona como un proxy TCP que se integra de La licencia correcta para activar WAAS Express.
manera transparente con otros servicios de la red y proporciona ventajas de El router de WAAS Express no necesita ningn tipo de reinyeccin ni
optimizacin de WAN a los usuarios finales sin crear tneles de optimizacin a redireccin de trfico, de modo que no se necesita WCCP. Actualmente esta
travs de la WAN. funcin no admite varios enlaces activos, de modo que solo se utiliza en este
Los sitios remotos con ancho de banda reducido pueden utilizar funciones diseo para sitios remotos con un solo transporte WAN.
integradas de WAAS Express (WAASx) en el software Cisco IOS de los routers
Cisco. WAASx incluye algunas de las funciones base de WAAS, pero no
optimizadores de aplicaciones como CIFS y HTTP.
La solucin de optimizacin de WAN se integra perfectamente con los
routers WAN, que controlan la interceptacin y redireccin del trfico para
su optimizacin con WAAS. El diseo establece los dispositivos WAE en
segmentos de redes existentes, lo que elimina la necesidad de realizar
modificaciones importantes en la red.
Una implementacin correcta de WAAS requiere los siguientes elementos:
Un mtodo para interceptar el trfico elegido a la WAN o desde ella.
Capacidad para dirigir el trfico elegido a los dispositivos WAE para llevar a
cabo una correcta optimizacin.
Capacidad para que el dispositivo WAE reinyecte el trfico optimizado en la
red despus de la optimizacin.

Serie febrero 2012 Descripcin general de la arquitectura 13


Implementacin de la WAN
Alta disponibilidad
La red debe tolerar condiciones de fallos individuales, por ejemplo, el fallo
de cualquiera de los enlaces de transporte WAN individuales y de cualquier
dispositivo de red individual en el sitio de agregacin de WAN principal.
Los sitios remotos clasificados como router nico y enlace dual deben
poder tolerar la prdida de cualquiera de los dos transportes de WAN.
Objetivos generales del diseo de la Los sitios remotos clasificados como router y enlace duales deben poder
arquitectura de la WAN tolerar la prdida de un transporte WAN o de un router perifrico.

Routing de IP Preferencias de seleccin de ruta

El diseo tiene los siguientes objetivos de routing de IP: Existen varios flujos de trfico posibles en funcin de los transportes de WAN
que se estn utilizando y de si un sitio remoto est utilizando o no un transporte
Proporcionar una conectividad de routing ptima desde sitios de WAN dual.
agregacin de WAN principales a todas las ubicaciones remotas.
Las funciones individuales de routing de transporte WAN son las siguientes:
Aislar los cambios de topologa de routing de WAN de otras partes de la
red. Sitio conectado a una VPN MPLS:
Garantizar el routing simtrico activo/en espera cuando existen varias Se conecta a un sitio en la misma VPN MPLS; la ruta ptima es la directa
rutas, para facilitar la solucin de problemas y para evitar el exceso de dentro de la VPN MPLS (el trfico no se enva al sitio principal).
suscripciones de los lmites del control de admisin de llamadas (CAC) de Se conecta a cualquier otro sitio; la ruta transcurre a travs del sitio
telefona IP. principal.
Proporcionar routing remoto de sitio a sitio a travs del sitio de agregacin
El uso de transportes de WAN duales se ajusta especialmente bien a la
de WAN principal (modelo de hub y radio).
configuracin de activacin/en espera. Este tipo de configuracin proporciona
Permitir el routing remoto directo de sitio a sitio ptimo cuando los servicios un routing simtrico, con flujo del trfico a lo largo de la misma ruta en ambas
de operador lo permitan (modelo de radio a radio). direcciones. El routing simtrico simplifica la solucin de problemas, ya que los
Admitir la multidifusin IP con origen en el sitio de agregacin de WAN flujos de trfico bidireccional siempre recorren los mismos enlaces.
principal. El diseo da por sentado que uno de los transportes de WAN de la VPN MPLS
En los sitios remotos de WAN, no existe acceso local a Internet para la se ha designado como el transporte principal, que es la ruta preferida en la
navegacin web ni los servicios de nube. Este modelo se conoce como un mayora de las condiciones.
modelo de Internet centralizado. Merece la pena destacar que los sitios con Sitio de conexin dual de VPN MPLS principal + VPN MPLS secundaria:
Internet/DMVPN para el transporte de reserva podran proporcionar funciones
locales de Internet. Sin embargo, en este diseo solo se permite el uso del Se conecta a un sitio en la misma VPN MPLS; la ruta ptima es la directa
enlace de Internet por parte del trfico cifrado a otros sitios de DMVPN. En el dentro de la VPN MPLS (el trfico no se enva al sitio principal).
modelo de Internet centralizado, los sitios remotos de WAN reciben notificacin Se conecta a cualquier otro sitio; la ruta transcurre a travs del sitio
sobre un router predeterminado, junto con los routers internos del Data Center principal.
y del campus.
Sitio de conexin dual de VPN MPLS + DMVPN:
Acceso LAN Se conecta a un sitio en la misma VPN MPLS; la ruta ptima es la directa
dentro de la VPN MPLS (el trfico no se enva al sitio principal).
Todos los sitios remotos admiten acceso LAN inalmbrico y con cable.
Se conecta a cualquier sitio de conexin nica de DMVPN; la ruta ptima es
directa dentro de la DMVPN (solo el trfico inicial se enva al hub DMVPN y,
a continuacin, se simplifica a travs del tnel de radio a radio).
Se conecta a cualquier otro sitio; la ruta transcurre a travs del sitio
principal.

Serie febrero 2012 Implementacin de la WAN 14


Privacidad de los datos (cifrado)
Todo el trfico de sitios remotos se debe cifrar cuando se transporta a travs de
otas
redes IP como Internet.
El uso del cifrado no debe limitar el rendimiento ni la disponibilidad de las
aplicaciones de sitio remoto y debe ser transparente para los usuarios finales.

Calidad de servicio (QoS)


La red debe garantizar que las aplicaciones empresariales mantienen su
rendimiento a lo largo de la WAN durante los periodos de congestin. El
trfico se debe clasificar y poner en cola. Asimismo, la conexin WAN se debe
adaptar para que funcione dentro de las capacidades de la conexin. Cuando
en el diseo de WAN se utiliza una solucin de un proveedor de servicios
con QoS, el tratamiento y la clasificacin de la QoS de la periferia de la WAN
deben alinearse con la solucin del proveedor de servicios para garantizar un
tratamiento coherente de extremo a extremo de la QoS del trfico.

Optimizacin de aplicaciones
Debe optimizarse la mayor parte del trfico de las aplicaciones empresariales
que vaya del sitio de agregacin de WAN a cualquier sitio remoto, as como el
trfico de un sitio remoto a cualquier otro sitio remoto.
El uso de la optimizacin de aplicaciones debe ser transparente para los
usuarios finales. El diseo de optimizacin de aplicaciones debe incluir
componentes de alta disponibilidad para complementar otros componentes de
alta disponibilidad del diseo de la WAN.

Parmetros del diseo


Esta gua de implementacin utiliza algunos parmetros de diseo estndar
y hace referencia a varios servicios de infraestructura de red que no se
encuentran en la WAN. Estos parmetros se enumeran en la siguiente tabla.
Tabla 6 - Parmetros de diseo universal

Servicio de red Direccin IP


Nombre de dominio cisco.local
Active Directory, servidor DNS, servidor DHCP 10.4.48.10
Sistema de control de acceso (ACS) 10.4.48.15
Servidor de protocolo de tiempo de la red (NTP) 10.4.48.17

Serie febrero 2012 Implementacin de la WAN 15


Implementacin de una
Los routers de servicios de agregacin de la serie Cisco ASR 1000 representan
la plataforma de routing de ltima generacin, modular y de servicios
integrados de Cisco. Estn diseados especficamente para la agregacin de

WAN MPLS WAN y cuentan con la flexibilidad necesaria para satisfacer una amplia gama de
capacidades de reenvo de paquetes de entre 3 y 16 mpps, un rendimiento de
ancho de banda del sistema de entre 2,5 y 40 Gbps y capacidad de ampliacin.
Los routers de la serie Cisco ASR 1000 son completamente modulares desde el
punto de vista del hardware y el software, y cuentan con todos los elementos de
un producto de routing de autntica clase de operador, por lo que sirven tanto
Contexto empresarial para redes empresariales, como para redes de proveedores de servicios.

Para que los usuarios de los sitios remotos impulsen su empresa de manera Figura 9: Diseo de WAN 500: conexiones de MPLS
eficaz, las organizaciones necesitan que la WAN proporcione rendimiento
y fiabilidad suficientes. Aunque la mayora de las aplicaciones y servicios
que utiliza el trabajador de un sitio remoto estn situados en una ubicacin
centralizada, el diseo de la WAN debe proporcionar al personal una
experiencia similar para acceder a los recursos, independientemente de la
ubicacin.
Para controlar los costes operativos, la WAN debe admitir la convergencia de
transporte de datos, vdeo y voz en una nica infraestructura de administracin
centralizada. Conforme las organizaciones se adentran en mercados
empresariales globales o multinacionales, necesitan un diseo de red flexible
que permita requisitos de acceso especficos para cada pas y que controle
la complejidad. La ubicuidad de las redes MPLS que ofrecen los operadores
las convierte en un factor necesario para una organizacin que desarrolle una
WAN.
La arquitectura de WAN debe contar con un diseo flexible con el fin de
reducir el tiempo necesario para implementar nuevas tecnologas que admitan
comunicaciones y aplicaciones empresariales de creciente uso. La capacidad
de ampliar fcilmente el ancho de banda o de aadir ms sitios o enlaces
resistentes hace de MPLS un transporte WAN eficaz para las organizaciones en
crecimiento.

Descripcin general de la tecnologa


Diseo de WAN 500
El diseo de WAN 500 permite admitir hasta 500sitios remotos con un ancho
de banda WAN agregado de hasta 1,0Gbps. Los dispositivos ms importantes
son los routers WAN responsables de la QoS y del reenvo IP. Este diseo
utiliza un router de servicios de agregacin Cisco ASR1002 con Embedded
Service Processor 5 (ESP5) para el router CE MPLS.
El diseo de WAN 500 utiliza operadores de MPLS duales y routers CE MPLS
duales.

Serie febrero 2012 Implementacin de una WAN MPLS 16


Diseo de WAN 100 Sitios remotos: seleccin de router CE MPLS
El diseo de WAN 100 permite admitir hasta 100 sitios remotos con un ancho Las especificaciones de las plataformas de routing de sitio remoto de
de banda WAN agregado de hasta 100 Mbps. El diseo de WAN 100 es, WAN concretas no se proporcionan, ya que dichas especificaciones estn
bsicamente, una versin ms pequea del diseo de WAN 500. Esta variante estrechamente vinculadas con el ancho de banda necesario para una ubicacin
se incluye para proporcionar una opcin de ampliacin limitada. Si se espera y con los requisitos potenciales para el uso de las ranuras de mdulos de
un mayor crecimiento del ancho de banda o un aumento en el nmero de sitios, servicio. La posibilidad de implementar esta solucin con diferentes opciones
debe utilizarse el diseo de WAN 500. El uso del diseo de ms capacidad de router es una de las ventajas de un enfoque de diseo modular.
puede evitar los periodos de inactividad innecesarios asociados con las
Hay un gran nmero de factores que deben tenerse en cuenta a la hora de
actualizaciones de dispositivos. Este diseo utiliza el Cisco ASR 1001 para el
seleccionar los routers de sitio remoto de WAN. La capacidad de procesar la
router CE MPLS. El diseo de WAN 100 utiliza un nico operador de MPLS y un
cantidad y tipo de trfico esperados es uno de estos factores, que, adems, es
nico router CE MPLS.
clave para la implementacin inicial. Tambin debe asegurarse de que cuenta
Figura 10: Diseo de WAN 100: conexin de MPLS con suficientes interfaces, ranuras de mdulos y una imagen de software
de Cisco IOS con la licencia correcta que admita el conjunto de funciones
necesarias para esta tipologa. Cisco ha probado cinco modelos de routers
de servicios integrados como routers CE MPLS y el rendimiento esperado se
muestra en la siguiente tabla.
Tabla 7 - Opciones de routers de servicios integrados para sitios
remotos de WAN

Opcin 19411 2911 2921 3925 3945


Ethernet WAN con 25Mbps 35Mbps 50Mbps 100Mbps 150Mbps
servicios 2
Puertos GE 2 3 3 3 3
incorporados
Ranuras del mdulo 0 1 1 2 4
de servicios 3
Opcin de fuente No No No S S
de alimentacin
redundante

Notas:
1. Se recomienda utilizar el 1941 en sitios remotos de router y enlace nicos.
2. Las cifras de rendimiento son conservadoras; se han obtenido cuando
el router canaliza trfico IMIX con servicios intensos configurados y la
utilizacin de la CPU es inferior al 75 por ciento.
3. Algunos mdulos de servicio son de doble ancho.
Los routers CE MPLS en los sitios remotos de WAN se conectan de la misma
manera que los routers CE MPLS en el sitio de agregacin de WAN. El sitio
remoto de WAN MPLS de enlace nico es el bloque de creacin ms bsico
para las ubicaciones remotas. Este diseo se puede utilizar con el router CE
conectado directamente a la capa de acceso o puede admitir una topologa de
LAN ms compleja mediante la conexin del router CE directamente a la capa
de distribucin.

D Serie
2008 Ciscofebrero
Systems,2012
Inc. Reservados todos los derechos. Informacin confidencial de Cisco Implementacin de una WAN MPLS 17 9
El routing de IP es sencillo y se puede gestionar por completo mediante rutas Figura 12: Sitio remoto de operador dual de WAN MPLS (opciones de
estticas en el sitio de agregacin de WAN y rutas estticas predeterminadas enlace dual)
en el sitio remoto. Sin embargo, hay una ventaja significativa al configurar este
tipo de sitio con routing dinmico.
El routing dinmico facilita la adicin y modificacin de redes IP en el sitio
remoto porque los cambios se propagan inmediatamente al resto de la red. Los
sitios conectados a VPN MPLS requieren que el operador gestione el routing
esttico, por lo que para realizar cualquier cambio o modificacin es necesario
enviar una solicitud al operador.
Figura 11: Sitio remoto de WAN MPLS (router y enlace nicos)

El diseo de enlace y router duales sigue mejorando el nivel de alta


disponibilidad del sitio. Este diseo puede tolerar la prdida del router principal,
ya que el router secundario enruta el trfico a travs de la ruta alternativa.
Figura 13: Sitio remoto de WAN MPLS + DMVPN (opciones de enlace
12
Presentation_ID
dual) Informacin confidencial de Cisco
2008 Cisco Systems, Inc. Reservados todos los derechos.

Puede aumentar el diseo bsico de enlace nico aadiendo un transporte


WAN alternativo que utilice un operador de MPLS secundario o una DMVPN a
travs de Internet y que se conecte al mismo router o a uno adicional. Si aade
un enlace ms, proporciona el primer nivel de alta disponibilidad para el sitio
remoto. El router puede detectar automticamente el fallo del enlace principal y
volver a enrutar el trfico a la ruta secundaria. Es obligatorio ejecutar el routing
Presentation_ID
dinmico cuando 2008 rutas.
existan varias Cisco Systems, Inc. Reservados
Los protocolos de todos los derechos.
routing se adaptanInformacin confidencial de Cisco 10
para garantizar el flujo del trfico deseado.
Detalles de diseo
Todos los routers CE MPLS de agregacin de WAN se conectan al mismo
dispositivo de switching resistente en la capa de distribucin. Todos los
dispositivos utilizan conexiones EtherChannel que constan de dos paquetes
de puertos. Este diseo proporciona tanto resistencia como un rendimiento del
reenvo
Presentation_ID
adicional. Puede conseguir
2008 Cisco Systems, Inc. Reservados todos los derechos.
un mayor rendimiento de reenvo mediante
Informacin confidencial de Cisco 1
el aumento del nmero de enlaces fsicos en un EtherChannel.

Serie febrero 2012 Implementacin de una WAN MPLS 18


El transporte WAN a travs de Ethernet es el nico tipo de medio probado e Los sitios con un solo transporte WAN (sitio de conexin nica) no necesitan
incluido en la seccin de configuracin. Tambin se utilizan frecuentemente routing dinmico PE-CE y pueden basarse en el routing esttico porque solo
otros tipos de medios (como por ejemplo, T1/E1); estas tecnologas con hay una nica ruta para cualquier destino. Este diseo solo incluye routing
fiables y se entienden bien. Debido a la multiplicidad de posibles opciones de dinmico PE-CE para proporcionar coherencia en configuraciones de sitios
transporte, tipos de medios y de interfaces, decidimos limitar el objetivo de esta de enlace nico y doblemente conectados. Esto tambin permite llevar a cabo
gua de implementacin. En otras guas podr encontrar documentacin sobre una sencilla transicin de un diseo de sitio remoto de enlace nico a uno
otras variantes. doblemente conectado mediante la adicin de un enlace ms a un sitio remoto
existente.
Las VPN MPLS necesitan un enlace entre un router perifrico de proveedor (PE)
y un router CE. Los routers CE y PE se consideran vecinos de IP en este enlace. Cisco no ha probado los routers PE y su configuracin no se incluye en esta
Los routers CE solo se pueden comunicar con otros routers CE a lo largo de la gua.
WAN mediante routers PE intermedios.
Para una implementacin de WAN VPN MPLS, debe instalar y configurar routers
Figura 14: VPN MPLS (conexiones PE-CE) CE MPLS en todas las ubicaciones, incluido el sitio de agregacin de WAN, y en
todos los sitios remotos conectados a WAN MPLS.
En el sitio de agregacin de WAN, se debe conectar un router CE MPLS a la
capa de distribucin y a su respectivo operador de MPLS. Se utilizan varios
protocolos de routing (EIGRP y BGP) para intercambiar la informacin de
routing. Su configuracin se adapta a partir de los parmetros predeterminados
y en funcin de los flujos de trfico para conseguir el efecto deseado. En la
siguiente figura se muestra la informacin de routing de IP para la topologa de
agregacin de WAN de operador de MPLS nico y dual.
Figura 15: Diseos de WAN500/WAN100: informacin de routing de
Tanto los routers CE como PE son necesarios para disponer de suficiente CE MPLS
informacin de routing de IP para proporcionar un alcance de extremo
a extremo. El mantenimiento de esta informacin de routing requiere
normalmente un protocolo de routing, y BGP suele utilizarse con este fin.
Los diferentes routers CE notifican sus rutas a los routers PE. Los routers PE
propagan la informacin de routing en la red del operador y, a su vez, vuelven
a notificar las rutas a otros routers CE. Esta propagacin de la informacin de
13
routing
Presentation_ID
tambin se conoce comoInformacin
2008 Cisco Systems, Inc. Reservados todos los derechos.
routing dinmico PE-CE y es fundamental
confidencial de Cisco

cuando los sitios cuentan con varios transportes de WAN (a menudo


considerados como doblemente conectados o multiconectados).

Sugerencia tcnica

Los protocolos EIGRP y Open Shortest Path First (OSPF) tambin


son efectivos como protocolos de routing PE-CE, pero podran no
estar disponibles globalmente en todos los operadores de VPN
MPLS.
Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco 1

Serie febrero 2012 Implementacin de una WAN MPLS 19


EIGRP
Proceso
Cisco ha elegido EIGRP como el protocolo de routing principal porque es
fcil de configurar, no requiere gran planificacin, permite un resumen y un
filtrado sencillos, y puede ampliarse a redes de gran tamao. A medida que
las redes crecen, el nmero de prefijos o rutas IP en las tablas de routing Configuracin del router CE MPLS
tambin aumenta. Se recomienda programar el resumen IP en aquellos enlaces
en los que existan lmites lgicos, como por ejemplo los enlaces de capa de 1. Configuracin del switch de distribucin.
distribucin al rea amplia o a un ncleo. Al llevar a cabo el resumen de IP,
puede reducir la cantidad de ancho de banda, los recursos de procesador y la 2. Configuracin de la plataforma de agregacin de WAN.
memoria necesarios para llevar a cabo tablas de rutas de gran tamao y reducir 3. Configuracin de la conectividad de la LAN.
el tiempo de convergencia asociado con un fallo de enlace.
4. Conexin con el router PE MPLS.
En este diseo, el proceso 100 de EIGRP es el proceso EIGRP principal y se
denomina EIGRP-100. 5. Configuracin de EIGRP.

EIGRP-100 se utiliza en el sitio de agregacin de WAN para la conexin a la 6. Configuracin de BGP.


capa de distribucin LAN del sitio principal y en los sitios remotos con routers
WAN duales o con topologas LAN de capa de distribucin.
BGP
Cisco ha elegido BGP como el protocolo de routing para que los routers PE y
CE se conecten al VPN MPLS, ya que es compatible con prcticamente todos Procedimiento 1 Configuracin del switch de distribucin.
los operadores MPLS. En esta funcin, BGP es muy sencillo de configurar y su
mantenimiento es mnimo o nulo. BGP se ampla sin problema y puede utilizarlo
para notificar las direcciones IP agregadas de los sitios remotos.
Sugerencia para el lector
Para utilizar BGP, debe seleccionar un nmero de sistema autnomo (ASN).
En este diseo, utilizamos un ASN privado (65511), segn lo indicado por la
Autoridad de nmeros asignada por Internet (IANA). El intervalo privado de ASN En este procedimiento se asume que el switch de distribucin
va de 64512 a 65534. ya se ha configurado siguiendo las indicaciones de la Gua de
Un diseo MPLS de operador dual requiere una conexin iBGP entre los routers implementacin de soluciones LAN de Cisco SBA for Enterprise
CE para conservar adecuadamente la informacin de routing de los sitios OrganizationsBorderless Networks (Cisco SBA for Enterprise
remotos. OrganizationsBorderless Networks LAN Deployment Guide).
Solo se incluyen los procedimientos necesarios para permitir la
integracin del router de agregacin de WAN en la implementacin.
Detalles de la implementacin
En los procedimientos de esta seccin se incluyen ejemplos de algunos
parmetros. Los parmetros y valores reales que deber usar van a estar
El switch de distribucin de la LAN es la ruta para el Data Center y el campus
determinados por la configuracin de red actual.
principal de la organizacin. La interfaz de canal de puerto de nivel 3 se
Tabla 8 - Servicios de red comunes utilizados en los ejemplos de conecta al switch de distribucin, al router de agregacin de WAN y a los
implementacin puntos iguales del protocolo de routing interno dentro de esta interfaz.

Servicio Direccin
Nombre de host: CE-ASR1002-1
Direccin IP de bucle invertido del router: 10.4.32.241/32
Direccin IP de canal de puerto del router: 10.4.32.2/30

Serie febrero 2012 Implementacin de una WAN MPLS 20


logging event bundle-status
no shutdown
Sugerencia tcnica
Paso 3: Configuracin de las interfaces conectadas al ncleo LAN para
Como prctica recomendada, utilice la misma numeracin de canal resumir la gama de red WAN.
en ambos lados del enlace siempre que sea posible. interface range TenGigabitEthernet1/1/1, TenGigabitEthernet2/1/1
ip summary-address eigrp 100 10.4.32.0 255.255.248.0
ip summary-address eigrp 100 10.5.0.0 255.255.0.0

Paso 1: Configuracin de la interfaz de canal de puerto de nivel 3 y asignacin Paso 4: Permita que el protocolo de routing establezca relaciones de vecino
de la direccin IP. dentro de la interfaz de canal de puerto.
interface Port-channel1 router eigrp 100
description CE-ASR1002-1 no passive-interface Port-channel1
no switchport
ip address 10.4.32.1 255.255.255.252
ip pim sparse-mode Procedimiento 2  onfiguracin de la plataforma de
C
agregacin de WAN.
logging event link-status
carrier-delay msec 0
Dentro de este diseo, existen caractersticas y servicios que son comunes a
no shutdown
todos los routers de agregacin de WAN. Se trata de parmetros del sistema
Paso 2: Configuracin de las interfaces de miembro EtherChannel. que simplifican y aseguran la administracin de la solucin.

Configure las interfaces fsicas que se van a vincular al canal de puerto lgico Paso 1: Configuracin del nombre de host del dispositivo.
por medio del comando channel-group. El nmero del canal de puerto y del
grupo de canal deben coincidir. Configure el nombre de host del dispositivo para facilitar su identificacin.
hostname CE-ASR1002-1
Asimismo, aplique la macro QoS de salida que se defini en el procedimiento
de configuracin de la plataforma con el fin de garantizar que el trfico se Paso 2: Configuracin de los protocolos de administracin del dispositivo.
prioriza adecuadamente.
interface GigabitEthernet1/0/1 HTTP seguro (HTTPS) y Secure Shell (SSH) son sustitutos seguros de los
protocolos HTTP y Telnet. Estos utilizan una capa de conexiones seguras (SSL)
description CE-ASR1002-1 Gig0/0/0 y seguridad de la capa del transporte (TLS) para proporcionar autenticacin de
! dispositivos y cifrado de datos.
interface GigabitEthernet2/0/1
description CE-ASR1002-1 Gig0/0/1
!
interface range GigabitEthernet1/0/1, GigabitEthernet2/0/1
no switchport
macro apply EgressQoS
carrier-delay msec 0
channel-protocol lacp
channel-group 1 mode active
logging event link-status
logging event trunk-status

Serie febrero 2012 Implementacin de una WAN MPLS 21


La administracin segura del dispositivo LAN est disponible gracias a los TACACS+ es el protocolo principal que se utiliza para autenticar los inicios de
protocolos SSH y HTTPS. Ambos protocolos estn cifrados para garantizar sesin de administracin de los dispositivos de infraestructura del servidor
la privacidad. Los protocolos Telnet y HTTP, que no son seguros, estn AAA. En cada dispositivo de infraestructura de red tambin se define una
desactivados. base de datos de usuarios AAA, con el fin de proporcionar una fuente de
ip domain-name cisco.local autenticacin de reserva en caso de que el servidor TACACS+ centralizado no
est disponible.
ip ssh version 2
no ip http server enable secret c1sco123
ip http secure-server service password-encryption
line vty 0 15 !
transport input ssh username admin password c1sco123
aaa new-model
Active el protocolo simple de administracin de red (SNMP) para permitir la
administracin de los dispositivos de infraestructura de red desde un sistema !
de administracin de la red (NMS). SNMPv2c est configurado tanto para una tacacs server TACACS-SERVER-1
cadena de comunidad de solo lectura como para una de lectura-escritura. address ipv4 10.4.48.15
snmp-server community cisco RO key SecretKey
snmp-server community cisco123 RW !
aaa group server tacacs+ TACACS-SERVERS
Paso 3: Configuracin de la autenticacin de usuario segura. server name TACACS-SERVER-1
Active la autenticacin, la autorizacin y la poltica de cuentas (AAA) para !
controlar el acceso. Los controles AAA abarcan todos los accesos de aaa authentication login default group TACACS-SERVERS local
administracin a los dispositivos de infraestructura de red (SSH y HTTPS). aaa authorization exec default group TACACS-SERVERS local
aaa authorization console
Sugerencia para el lector ip http authentication aaa

Paso 4: Configuracin de un reloj sincronizado


El servidor AAA utilizado en esta arquitectura es el Cisco ACS.
El protocolo de tiempo de la red (NTP) est diseado para sincronizar una red
Para obtener ms informacin acerca de la configuracin del
de dispositivos. Normalmente, una red NTP obtiene la hora de una fuente de
ACS, consulte la Gua de implementacin de autorizacin
tiempo fiable como, por ejemplo, un reloj controlado por radio o un reloj atmico
y autenticacin de dispositivos de red de Cisco SBA for
conectado a un servidor de tiempo. A continuacin, el protocolo NTP distribuye
Enterprise OrganizationsBorderless Networks (Cisco SBA for
este tiempo por toda la red de la organizacin.
Enterprise OrganizationsBorderless Networks Network Device
Authentication and Authorization Deployment Guide).

Serie febrero 2012 Implementacin de una WAN MPLS 22


Debe programar los dispositivos de red para que se sincronicen con un Paso 6: Configuracin del routing de unidifusin IP.
servidor NTP local de la red. El servidor NTP local suele hacer referencia a un
EIGRP se configura de cara a la capa ncleo o de distribucin LAN. En este
hilo de reloj ms preciso procedente de una fuente externa. Al configurar los
diseo, la interfaz de canal de puerto y el bucle invertido deben ser interfaces
mensajes de consola, los registros y los resultados de depuracin para que
EIGRP. El bucle invertido puede permanecer como interfaz pasiva. La gama de
incluyan marcas de tiempo, podr referenciar y comparar los eventos de la red.
red debe incluir las dos direcciones IP de interfaz, bien en una instruccin de
ntp server 10.4.48.17 red o en varias. Este diseo sigue la prctica recomendada de asignar la ID del
! router a una direccin de bucle invertido.
clock timezone PST -8 router eigrp 100
clock summer-time PDT recurring network 10.4.0.0 0.1.255.255
! no auto-summary
service timestamps debug datetime msec localtime passive-interface default
service timestamps log datetime msec localtime eigrp router-id 10.4.32.241
Cuando se activa el resultado de la depuracin y el registro sncrono de los
mensajes no solicitados, los mensajes de registro de la consola aparecen en Paso 7: Configuracin del routing de multidifusin IP.
esta despus de que se muestre o imprima el resultado CLI interactivo. Con La multidifusin IP permite que la infraestructura (routers y switches) replique
este comando, podr seguir escribiendo en la consola del dispositivo aunque un nico flujo de datos IP y que este flujo se enve desde una nica fuente a
est activada la depuracin. varios receptores. El uso de la multidifusin IP es mucho ms eficaz que recurrir
line con 0 a flujos individuales unidifusin o a un flujo de difusin que se propague a
logging synchronous cualquier parte. Algunos ejemplos de aplicaciones de multidifusin IP son la
MOH para telefona IP y la retransmisin de vdeo IP.
Paso 5: Configuracin de una interfaz de administracin en banda. Para recibir un flujo de datos de multidifusin IP especfico, los hosts finales
La interfaz de bucle invertido es una interfaz lgica que est disponible en todo deben unirse a un grupo de multidifusin enviando un mensaje IGMP a su
momento, siempre y cuando el dispositivo cuente con alimentacin y pueda router de multidifusin local. En un diseo de multidifusin IP tradicional, el
accederse a una interfaz IP de la red. Debido a esta funcionalidad, la direccin router local se pone en contacto con otro router de la red que acta como
de bucle invertido es la mejor opcin para la administracin en banda de los RP para asignar los receptores a fuentes activas, con el fin de que puedan
switches. Las caractersticas y procesos de nivel 3 tambin estn vinculados a la encontrar sus flujos.
interfaz de bucle invertido con el fin de garantizar la resistencia de los procesos.
En este diseo, que se basa en un funcionamiento multidifusin en modo
La direccin de bucle invertido suele ser una direccin de host con una disperso, se utiliza RP automtico para proporcionar un mtodo escalable y
mscara de direccin de 32 bits. Asigne la direccin de bucle invertido del sencillo de activar un entorno RP de alta resistencia.
bloque de direcciones IP que el switch de distribucin resume al resto de la red.
Active el routing de multidifusin IP para las plataformas del modo de
interface de bucle invertido 0 configuracin global.
ip address 10.4.32.241 255.255.255.255 ip multicast-routing distributed
ip pim sparse-mode Todos los routers y switches de nivel 3 deben configurarse de modo que
El comando ip pim sparse-mode se explicar con mayor detenimiento en el puedan detectar el RP de multidifusin IP con autorp. Utilice el comando ip
paso 3. pim autorp listener para permitir el descubrimiento entre los enlaces en modo
disperso. Esta configuracin puede cambiarse en funcin del diseo y de
Para conseguir una resistencia ptima, vincule los procesos SNMP y SSH con la
las necesidades de la red y permite controlar el entorno de multidifusin IP y
direccin de interfaz de bucle invertido:
ampliarlo si fuera necesario en el futuro.
snmp-server trap-source Loopback0
ip pim autorp listener
ip ssh source-interface Loopback0
Las interfaces de nivel 3 de la red deben activarse para el funcionamiento
ip pim register-source Loopback0
multidifusin en modo disperso.
ip tacacs source-interface Loopback0
ip pim sparse-mode
ntp source Loopback0

Serie febrero 2012 Implementacin de una WAN MPLS 23



Procedimiento 3  onfiguracin de la conectividad de la
C Procedimiento 4 Conexin con el router PE MPLS.
LAN.

Cualquier enlace a capas de distribucin adyacentes deben ser enlaces de Paso 1: Asignacin del ancho de banda de la interfaz.
nivel 3 o EtherChannels de nivel 3. El valor del ancho de banda debe corresponderse con la velocidad de interfaz
real; si utiliza un servicio de velocidad inferior, utilice el valor especificado por el
Paso 1: Configuracin de la interfaz de nivel 3. operador.
interface Port-channel1 El ejemplo muestra una interfaz Gigabit (1000 Mbps) con una velocidad inferior
ip address 10.4.32.2 255.255.255.252 de 300 Mbps.
ip pim sparse-mode interface GigabitEthernet0/0/3
no shutdown bandwidth 300000
Paso 2: Configuracin de las interfaces de miembro EtherChannel.
Configure las interfaces fsicas que se van a vincular al canal de puerto lgico Sugerencia para el lector
por medio del comando channel-group. El nmero del canal de puerto y del
grupo de canal deben coincidir.
interface GigabitEthernet0/0/0 Referencia de comando:
description WAN-D3750X Gig1/0/1 bandwidth kbps
!
(300Mbps = 300000kbps)
interface GigabitEthernet0/0/1
description WAN-D3750X Gig2/0/1
!
interface range GigabitEthernet0/0/0, GigabitEthernet0/0/1 Paso 2: Asignacin de la direccin IP y la mscara de red de la interfaz WAN.
no ip address
El direccionamiento IP utilizado entre los routers CE y PE debe negociarse con
channel-group 1 mode active
su operador MPLS. Normalmente, se utiliza una mscara de red de punto a
no shutdown punto (255.255.255.252).
Paso 3: Configuracin de la interfaz EIGRP. interface GigabitEthernet0/0/3
ip address 192.168.3.1 255.255.255.252
Permita que EIGRP establezca relaciones de vecino en la interfaz para
establecer adyacencias entre iguales y tablas de rutas de intercambio. Paso 3: Activacin administrativa de la interfaz y desactivacin de CDP.
router eigrp 100
No se recomienda el uso de CDP en interfaces externas.
no passive-interface Port-channel 1
interface GigabitEthernet0/0/3
no cdp enable
no shutdown

Serie febrero 2012 Implementacin de una WAN MPLS 24


rutas WAN se etiquetan de forma explcita por su router de agregacin de WAN
Procedimiento 5 Configuracin de EIGRP. (documentado en un procedimiento diferente). Las etiquetas de ruta especficas
utilizadas se muestran a continuacin.
Paso 1: Redistribucin de BGP en EIGRP. Tabla 9 - Informacin de etiquetas de ruta para routers CE MPLS de
agregacin de WAN
Las rutas BGP se redistribuyen en EIGRP con una mtrica predeterminada.
Por defecto, solo se utilizan los valores de retraso y de ancho de banda para el Mtodo de
clculo mtrico. Etiqueta Fuente de la ruta etiqueta Accin
router eigrp [en nmero]
65401 VPN MPLS A Implcito Bloquear
default-metric [ancho de banda] [retraso] 255 1 1500
65402 VPN MPLS B Implcito Bloquear
redistribute bgp [ASN de BGP]
300 WAN de nivel 2 Explcito Aceptar
65512 Routers hub DMVPN Explcito Bloquear
Sugerencia para el lector
En este ejemplo se incluyen todas las fuentes de ruta WAN del diseo de
Referencia de comando: referencia. En funcin del diseo actual de su red, puede que tenga que
bloquear ms etiquetas.
default-metric: fiabilidad del retraso del ancho de banda al cargar
mtu Al crear el mapa de rutas, es importante que incluya una instruccin permit al
final para permitir la instalacin de rutas con etiquetas no coincidentes.
ancho de banda: ancho de banda mnimo de la ruta en kilobytes por
segundo.
Sugerencia tcnica
delay: retraso de la ruta en decenas de microsegundos.

Si configura la redistribucin de rutas mutua sin las caractersticas

de coincidencias, etiquetado y filtrado adecuadas, pueden


Paso 2: Configuracin de un mapa de rutas y una lista de distribucin de producirse situaciones de variacin de rutas, lo que puede causar
entrada para EIGRP. inestabilidad.
Este diseo utiliza la redistribucin de rutas mutua: las rutas BGP se distribuyen
en EIGRP y las rutas EIGRP se distribuyen en BGP (que se describe en el
procedimiento 5). Al utilizar esta configuracin, es importante controlar de route-map BLOCK-TAGGED-ROUTES deny 10
forma estricta la forma en la que la informacin de routing se comparte entre match tag 65401 65402 65512
los diferentes protocolos de routing. De lo contrario, pueden producirse !
situaciones de variacin de rutas, en las que algunas rutas se instalan y eliminan
route-map BLOCK-TAGGED-ROUTES permit 20
varias veces de las tablas de routing del dispositivo. El control adecuado de las
rutas garantiza la estabilidad de las tablas de routing. !
router eigrp 100
En una lista de distribucin de entrada, se utiliza un mapa de rutas para limitar
distribute-list route-map BLOCK-TAGGED-ROUTES in
las rutas aceptadas para su instalacin en la tabla de rutas. Los routers CE
MPLS de agregacin de WAN se configuran para que acepten nicamente rutas default-metric 100000 100 255 1 1500
que no se originen en las fuentes MPLS o WAN DMVPN. Para ello, debe crear redistribute bgp 65511
un mapa de rutas que coincida con cualquier ruta que se origine en la WAN
e indicarlo mediante una etiqueta de ruta especfica. Este mtodo permite la
identificacin dinmica de las diferentes rutas WAN. Las rutas BGP adquiridas
se etiquetan de forma implcita con su fuente AS respectiva, mientras que otras

Serie febrero 2012 Implementacin de una WAN MPLS 25


Paso 3: Redistribucin de EIGRP dentro de BGP.
Procedimiento 6 Configuracin de BGP.
Todas las rutas EIGRP adquiridas por el router CE, incluidas las rutas del
ncleo y de otros sitios WAN, deben notificarse dentro de la WAN. Resulta ms
Paso 1: Activacin de BGP. eficiente resumir estas rutas antes de que se notifiquen al router CE.
Para finalizar este paso, debe utilizar un ASN de BGP. Puede consultar a su Puesto que BGP no propaga una ruta predeterminada mediante redistribucin,
operador MPLS sobre los requisitos para el ASN, aunque puede que se le debe especificar 0.0.0.0 de forma explcita en una instruccin de red.
permita utilizar un ASN privado, segn lo indicado por la IANA. El intervalo router bgp 65511
privado de ASN va de 64512 a 65534. network 0.0.0.0
El router CE solamente notifica las rutas de red al PE mediante BGP cuando: redistribute eigrp 100
La ruta se especifica mediante instrucciones de red y est presente en la
tabla de routing local. Paso 4: Configuracin de iBGP (opcional).
La ruta se redistribuye dentro de BGP. Con operadores MPLS duales, se puede configurar un enlace BGP entre los
routers CE.
router bgp 65511
no synchronization Puesto que los routers CE utilizan el mismo ASN, esta configuracin se
bgp router-id 10.4.32.241 considera una conexin BGP interna (iBGP). Este diseo utiliza iguales iBGP
que usan direcciones de bucle invertido de dispositivo, lo que requiere las
bgp log-neighbor-changes opciones de configuracin update-source y next-hop-self.
no auto-summary
router bgp 65511
Paso 2: Configuracin de eBGP. neighbor 10.4.32.242 remote-as 65511
neighbor 10.4.32.242 update-source Loopback0
Debe configurar BGP con el dispositivo PE del operador MPLS. El operador
MPLS debe proporcionar su ASN (el ASN del paso 1 es el que identifica su neighbor 10.4.32.242 next-hop-self
sitio). Puesto que el router PE del operador utiliza un ASN diferente, esta
configuracin se considera una conexin BGP externa (eBGP).
Es recomendable notificar una ruta para el enlace PE-CE, por lo que debera
incluir esta red en una instruccin de red, que puede utilizarse para determinar
la disponibilidad del router de cara a la solucin de problemas.
router bgp 65511
network 192.168.3.0 mask 255.255.255.252
neighbor 192.168.3.2 remote-as 65401

Serie febrero 2012 Implementacin de una WAN MPLS 26


El siguiente grfico incluye detalles sobre el proceso de configuracin de un
Proceso router CE MPLS de sitio remoto.
Figura 16: Grfico de configuracin de un router CE MPLS de sitio
remoto
Configuracin de un router CE MPLS de sitio remoto
Router CE MPLS de sitio remoto Router CE MPLS de sitio remoto Router CE MPLS de sitio remoto
Enlace y router nicos Router nico, enlace dual Enlace y router duales (1er router)
1. Configuracin del router remoto WAN.
2. Conexin con el router PE MPLS.
Router CE MPLS de sitio remoto
Procedimientos de configuracin 1. Finalizacin de la configuracin universal de router WAN.
3. Configuracin de BGP. 2. Conexin con el router PE MPLS.
3 Configuracin de BGP.
3. BGP

4. Configuracin del routing de la capa de acceso.


5. Configuracin de HSRP de la capa de acceso.
NO S
6. Configuracin de la red de trnsito. Capa de distribucin
Diseo? Router CE MPLS de sitio remoto
Procedimientos de la capa de
distribucin
7. Configuracin de EIGRP (lado de la LAN).
1. Conexin del router CS MPLS.
NO S 2. Configuracin de EIGRP (lado de la LAN).
8. Activacin del seguimiento mejorado de objetos. Router dual
Diseo?

NO Router dual S
4 Configuracin del routing de
4. 5.
5 Configuracin de HSRP de la capa de acceso.
acceso
Diseo?

la capa de acceso 6. Configuracin de la red de trnsito.


Utilice este proceso para la configuracin de cualquiera de los siguientes 7. Configuracin de EIGRP (lado de la LAN).
8. Activacin del seguimiento mejorado de
elementos: objetos. 3. Configuracin de la red de trnsito.

Router CE MPLS para un sitio remoto de WAN MPLS (router y enlace


nicos). Router CE MPLS
Configuracin finalizada Configuracin del 2 Router CE MPLS Configuracin del 2
router de sitio remoto Configuracin finalizada router de sitio remoto
Sitio remoto de operador dual de WAN MPLS. Utilice estos procedimientos 1
2009 Cisco Systems, Inc. Todos los derechos reservados. Informacin interna de Cisco
al llevar a cabo la configuracin inicial de un router CE MPLS conectado
de forma dual en un diseo de router nico y enlace dual, o al configurar el

primer router de un diseo de enlace y router duales.
Procedimiento 1 Configuracin del router remoto WAN.
Sitio remoto de WAN MPLS + DMVPN. Utilice estos procedimientos al llevar
a cabo la configuracin inicial de un router de radio DMVPN y CE MPLS de
funcin dual en el diseo de router nico y enlace dual. Dentro de este diseo, existen caractersticas y servicios que son comunes a
todos los routers de sitio remoto WAN. Se trata de parmetros del sistema que
El primer router del diseo de enlace y router duales. simplifican y aseguran la administracin de la solucin.

Paso 1: Configure el nombre de host de dispositivo para facilitar la


identificacin del dispositivo.
hostname [hostname]

Paso 2: Configuracin de los protocolos de administracin del dispositivo.


HTTP seguro (HTTPS) y Secure Shell (SSH) son sustitutos seguros de los
protocolos HTTP y Telnet. Estos utilizan una capa de conexiones seguras (SSL)
y seguridad de la capa del transporte (TLS) para proporcionar autenticacin de
dispositivos y cifrado de datos.

Serie febrero 2012 Implementacin de una WAN MPLS 27


La administracin segura del dispositivo LAN est disponible gracias a los enable secret c1sco123
protocolos SSH y HTTPS. Ambos protocolos estn cifrados para garantizar service password-encryption
la privacidad. Los protocolos Telnet y HTTP, que no son seguros, estn !
desactivados. username admin password c1sco123
ip domain-name cisco.local aaa new-model
ip ssh version 2 !
no ip http server tacacs server TACACS-SERVER-1
ip http secure-server address ipv4 10.4.48.15
line vty 0 15 key SecretKey
transport input ssh !
Active el protocolo simple de administracin de red (SNMP) para permitir la aaa group server tacacs+ TACACS-SERVERS
administracin de los dispositivos de infraestructura de red desde un sistema server name TACACS-SERVER-1
de administracin de la red (NMS). SNMPv2c est configurado tanto para una !
cadena de comunidad de solo lectura como para una de lectura-escritura.
aaa authentication login default group TACACS-SERVERS local
snmp-server community cisco RO aaa authorization exec default group TACACS-SERVERS local
snmp-server community cisco123 RW aaa authorization console
Paso 3: Configuracin de la autenticacin de usuario segura. ip http authentication aaa

Active la autenticacin, la autorizacin y la poltica de cuentas (AAA) para Paso 4: Configuracin de un reloj sincronizado.
controlar el acceso. Los controles AAA abarcan todos los accesos de
administracin a los dispositivos de infraestructura de red (SSH y HTTPS). El protocolo de tiempo de la red (NTP) est diseado para sincronizar una red
de dispositivos. Normalmente, una red NTP obtiene la hora de una fuente de
tiempo fiable como, por ejemplo, un reloj controlado por radio o un reloj atmico
Sugerencia para el lector conectado a un servidor de tiempo. A continuacin, el protocolo NTP distribuye
este tiempo por toda la red de la organizacin.
Debe programar los dispositivos de red para que se sincronicen con un
El servidor AAA utilizado en esta arquitectura es el Cisco
servidor NTP local de la red. El servidor NTP local suele hacer referencia a un
Authentication Control System. Para obtener ms informacin acerca
hilo de reloj ms preciso procedente de una fuente externa. Al configurar los
de la configuracin del ACS, consulte la Gua de implementacin de
mensajes de consola, los registros y los resultados de depuracin para que
autorizacin y autenticacin de dispositivos de red de Cisco SBA
incluyan marcas de tiempo, podr referenciar y comparar los eventos de la red.
for Enterprise OrganizationsBorderless Networks (Cisco SBA for
Enterprise OrganizationsBorderless Networks Network Device ntp server 10.4.48.17
Authentication and Authorization Deployment Guide). ntp update-calendar
!
clock timezone PST -8
TACACS+ es el protocolo principal que se utiliza para autenticar los inicios de clock summer-time PDT recurring
sesin de administracin de los dispositivos de infraestructura del servidor !
AAA. En cada dispositivo de infraestructura de red tambin se define una service timestamps debug datetime msec localtime
base de datos de usuarios AAA, con el fin de proporcionar una fuente de
service timestamps log datetime msec localtime
autenticacin de reserva en caso de que el servidor TACACS+ centralizado no
est disponible.

Serie febrero 2012 Implementacin de una WAN MPLS 28


Cuando se activa el resultado de la depuracin y el registro sncrono de los Para recibir un flujo de datos de multidifusin IP especfico, los hosts finales
mensajes no solicitados, los mensajes de registro de la consola aparecen en deben unirse a un grupo de multidifusin enviando un mensaje IGMP a su
esta despus de que se muestre o imprima el resultado CLI interactivo. Con router de multidifusin local. En un diseo de multidifusin IP tradicional, el
este comando, podr seguir escribiendo en la consola del dispositivo aunque router local se pone en contacto con otro router de la red que acta como
est activada la depuracin. RP para asignar los receptores a fuentes activas, con el fin de que puedan
line con 0 encontrar sus flujos.
logging synchronous En este diseo, que se basa en un funcionamiento multidifusin en modo
disperso, se utiliza RP automtico para proporcionar un mtodo escalable y
Paso 5: Configuracin de una interfaz de administracin en banda. sencillo de activar un entorno RP de alta resistencia.
La interfaz de bucle invertido es una interfaz lgica que est disponible en todo Active el routing de multidifusin IP para las plataformas del modo de
momento, siempre y cuando el dispositivo cuente con alimentacin y pueda configuracin global.
accederse a una interfaz IP de la red. Debido a esta funcionalidad, la direccin
ip multicast-routing
de bucle invertido es la mejor opcin para la administracin en banda de los
switches. Las caractersticas y procesos de nivel 3 tambin estn vinculados Todos los routers y switches de nivel 3 deben configurarse de modo que
a la interfaz de bucle invertido con el fin de garantizar la resistencia de los puedan detectar el RP de multidifusin IP con autorp. Utilice el comando ip
procesos. pim autorp listener para permitir el descubrimiento entre los enlaces en modo
disperso. Esta configuracin puede cambiarse en funcin del diseo y de
La direccin de bucle invertido suele ser una direccin de host con una las necesidades de la red y permite controlar el entorno de multidifusin IP y
mscara de direccin de 32 bits. Asigne la direccin IP de bucle invertido del ampliarlo si fuera necesario en el futuro.
router de sitio remoto de una gama de red nica que no forme parte de ninguna
otra gama de resumen de red interna. ip pim autorp listener
interface Loopback0 Las interfaces de nivel 3 de la red deben activarse para el funcionamiento
multidifusin en modo disperso.
ip address [ip address] 255.255.255.255
ip pim sparse-mode ip pim sparse-mode
El comando ip pim sparse-mode se explicar con mayor detenimiento ms
adelante.
Procedimiento 2 Conexin con el router PE MPLS.
Para conseguir una resistencia ptima, vincule los procesos SNMP y SSH con la
direccin de interfaz de bucle invertido:
snmp-server trap-source Loopback 0 Paso 1: Asignacin del ancho de banda de la interfaz.
ip ssh source-interface Loopback 0 El valor del ancho de banda debe corresponderse con la velocidad de interfaz
ip pim register-source Loopback0 real; si utiliza un servicio de velocidad inferior, utilice el valor especificado por el
ip tacacs source-interface Loopback0 operador.
ntp source Loopback0 El ejemplo muestra una interfaz Gigabit (1000 Mbps) con una velocidad inferior
de 10 Mbps.
Paso 6: Configuracin del routing de multidifusin IP.
interface [tipo de interfaz] [nmero]
La multidifusin IP permite que la infraestructura (es decir, los routers y los bandwidth [ancho de banda (kbps)]
switches) replique un nico flujo de datos IP y que este flujo se enve desde
una nica fuente a varios receptores. El uso de la multidifusin IP es mucho
ms eficaz que recurrir a flujos individuales unidifusin o a un flujo de difusin
que se propague a cualquier parte. Algunos ejemplos de aplicaciones de
multidifusin IP son la MOH para telefona IP y la retransmisin de vdeo IP.

Serie febrero 2012 Implementacin de una WAN MPLS 29


El router CE solamente notifica las rutas de red al PE mediante el BGP en los
siguientes casos:
Sugerencia para el lector
La ruta se especifica mediante instrucciones de red y est presente en la
tabla de routing local.
Referencia de comando: La ruta se redistribuye dentro del BGP (no aplicable en el caso del sitio
bandwidth kbps remoto).
router bgp 65511
10 Mbps = 10000 kbps
no synchronization
bgp router-id [direccin IP de Loopback0]
bgp log-neighbor-changes
Paso 2: Asignacin de la direccin IP y la mscara de red de la interfaz WAN. no auto-summary

El direccionamiento IP utilizado entre los routers CE y PE debe negociarse con Paso 2: Configuracin de eBGP.
su operador MPLS. Normalmente, se utiliza una mscara de red de punto a
punto (255.255.255.252). Debe configurar BGP con el dispositivo PE del operador MPLS. El operador
MPLS debe proporcionar su ASN (el ASN del paso 1 es el que identifica su
interface [tipo de interfaz] [nmero] sitio). Puesto que el router PE del operador utilizar un ASN diferente, esta
ip address [direccin IP] [mscara de red] configuracin se considera una conexin BGP externa (eBGP).

Paso 3: Activacin administrativa de la interfaz y desactivacin de CDP. Es recomendable notificar una ruta para el enlace PE-CE, por lo que debera
incluir esta red en una instruccin de red, que puede utilizarse para determinar
No se recomienda el uso de CDP en interfaces externas. la disponibilidad del router de cara a la solucin de problemas.
interface [tipo de interfaz] [nmero] Debe notificar las redes LAN de sitio remoto. La asignacin IP para los sitios
no cdp enable remotos se ha diseado de forma que todas las redes en uso pueden resumirse
no shutdown mediante una nica ruta agregada. La ruta agregada, configurada como se
muestra a continuacin, suprime las rutas ms especficas. Si existe cualquier
Ejemplo: red LAN en la tabla de rutas, el total se notifica al PE MPLS, lo que ofrece un
cierto nivel de resistencia. Si no se pueden resumir las diferentes redes LAN,
interface GigabitEthernet0/0
deber indicarlas individualmente.
bandwidth 10000
router bgp 65511
ip address 192.168.3.9 255.255.255.252
network [red de enlace PE-CE] mask [mscara de red de enlace PE-
no cdp enable
CE]
no shutdown
network [red de DATOS] mask [mscara de red]
network [red de VOZ] mask [mscara de red]

network [red de DATOS WLAN] mask [mscara de red]


Procedimiento 3 Configuracin de BGP.
network [red de VOZ WLAN] mask [mscara de red]
aggregate-address [direccin IP resumida ] [mscara de red
Paso 1: Activacin de BGP. resumida] summary-only
Para completar este paso, se requiere un ASN de BGP. Quizs pueda reutilizar neighbor [direccin IP de PE] remote-as [ASN del operador]
el mismo valor empleado en el CE VPN MPLS del sitio de agregacin de WAN.
Consulte con su operador MPLS acerca de los requisitos del ASN.

Serie febrero 2012 Implementacin de una WAN MPLS 30


Ejemplo: Todas las interfaces LAN de router que utilicen DHCP para la asignacin IP de
router bgp 65511 las estaciones finales deben utilizar un asistente IP para alcanzar un servidor
DHCP centralizado en este diseo.
no synchronization
bgp router-id 10.5.8.254 Si el router de sitio remoto es el primer router de un diseo de router dual,
bgp log-neighbor-changes HSRP se configura en la capa de acceso. Esto requiere una configuracin IP
modificada en cada subinterfaz.
network 192.168.3.8 mask 255.255.255.252
network 10.5.10.0 mask 255.255.255.0 interface GigabitEthernet [nmero].[nmero de subinterfaz]
network 10.5.11.0 mask 255.255.255.0 encapsulation dot1Q [etiqueta dot1q VLAN]
network 10.5.12.0 mask 255.255.255.0 ip address [red LAN 1] [mscara de red LAN 1]
network 10.5.13.0 mask 255.255.255.0 ip helper-address 10.4.48.10
aggregate-address 10.5.8.0 255.255.248.0 summary-only ip pim sparse-mode
neighbor 192.168.3.10 remote-as 65401
Ejemplo:
no auto-summary
interface GigabitEthernet0/2
no ip address
Procedimiento 4  onfiguracin del routing de la capa de
C no shutdown
acceso. !
interface GigabitEthernet0/2.64
En el diseo de la capa de acceso, los sitios remotos utilizan routing colapsado description Datos
con interfaces troncales 802.1Q a la capa de acceso LAN. La numeracin VLAN encapsulation dot1Q 64
solo es significativa desde un punto de vista local. Los switches de acceso solo ip address 10.5.12.1 255.255.255.0
son de nivel 2.
ip helper-address 10.4.48.10
Paso 1: Activacin de la interfaz fsica. ip pim sparse-mode
!
interface GigabitEthernet [nmero]
interface GigabitEthernet0/2.65
no ip address
description DatosInalmbricos
no shutdown
encapsulation dot1Q 65
Paso 2: Creacin de subinterfaces y asignacin de etiquetas VLAN. ip address 10.5.10.1 255.255.255.0
Despus de activar la interfaz fsica, se pueden asignar las subinterfaces de ip helper-address 10.4.48.10
datos o de voz apropiadas a las VLAN o al switch LAN. El nmero de subinterfaz ip pim sparse-mode
no tiene que ser igual a la etiqueta 802.1Q, aunque de ser as, se simplifica la !
configuracin. La seccin de subinterfaz de la configuracin debe repetirse interface GigabitEthernet0/2.69
para todas las VLAN de datos o de voz. description Voz
interface GigabitEthernet [nmero].[nmero de subinterfaz] encapsulation dot1Q 69
encapsulation dot1Q [etiqueta dot1q VLAN] ip address 10.5.13.1 255.255.255.0
ip helper-address 10.4.48.10
Paso 3: Configuracin de los parmetros de IP para cada subinterfaz.
ip pim sparse-mode
Este diseo utiliza una convencin de direccionamiento IP en la que al router !
de gateway predeterminado se le asigna una combinacin de direccin IP y
mscara IP de N.N.N.1 255.255.255.0, donde N.N.N es la red IP y 1 es el host IP.

Serie febrero 2012 Implementacin de una WAN MPLS 31


interface GigabitEthernet0/2.70 El router con el mayor valor de prioridad en espera es el elegido como el router
description VozInalmbrica HSRP activo. La opcin preempt permite que un router con una prioridad
encapsulation dot1Q 70 ms alta pase a ser el HSRP activo, sin tener que esperar a que se produzca
ip address 10.5.11.1 255.255.255.0 un escenario en el que no haya ningn router en estado HSRP activo. Los
parmetros HSRP relevantes para la configuracin del router se muestran en la
ip helper-address 10.4.48.10 siguiente tabla.
ip pim sparse-mode
Tabla 10 - Parmetros HSRP de sitio remoto de WAN (router dual)
Paso 4: Configuracin del tronco en el switch LAN.
Funcin Direccin IP Direccin Prioridad Prioridad
Utilice un tronco 802.1Q para la conexin de este dispositivo de subida y as Router HSRP virtual (VIP) IP real HSRP PIM DR
permitir que el dispositivo pueda proporcionar los servicios de nivel 3 a todas
las VLAN definidas en el switch de la capa de acceso. Las VLAN permitidas CE MPLS Activo .1 .2 110 110
en el tronco se reducen a las VLAN que estn activas en el switch de acceso. (principal)
Lainspeccin de snooping DHCP y del protocolo de resolucin de direcciones CD MPLS En espera .1 .3 105 105
(ARP) se establece con un parmetro de confianza. (secundario) o
interface GigabitEthernet [nmero] radio DMVPN
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 64,65,69,70 Las direcciones IP asignadas anulan las configuradas en el procedimiento
switchport mode trunk anterior, por lo que la direccin IP de gateway predeterminada es comn en las
diferentes ubicaciones con routers nicos o duales.
macro apply EgressQoS
ip arp inspection trust El diseo de la capa de acceso del router dual requiere una modificacin
ip dhcp snooping trust para permitir una multidifusin resistente. El router designado (DR) como PIM
debe encontrarse en el router HSRP activo. El DR suele elegirse en funcin
logging event link-status
de la direccin IP ms alta y no conoce la configuracin HSRP. En este diseo,
no shutdown el router HSRP activo cuenta con una direccin IP real ms baja que la del
Catalyst 2960-S y 4500 no requieren el comando switchport trunk router HSRP en espera, lo que hace necesario modificar la configuracin PIM.
encapsulation dot1q. Laeleccin del DR PIM puede influenciarse configurando de forma explcita la
prioridad DR en las subinterfaces de cara a la LAN de los routers.
Los siguientes procedimientos (del nmero 11 al 14) son solo relevantes para el
diseo de router dual.

Sugerencia tcnica

Procedimiento 5  onfiguracin de HSRP de la capa de


C
acceso. La prioridad HSRP y PIM DR se muestran con el mismo valor en la
tabla anterior, pero no es obligatorio utilizar los mismos valores.

Solo se aplica al diseo de router dual.



Tiene que configurar HSRP para activar el uso de una IP virtual (VIP) como un
gateway predeterminado que se comparte entre dos routers. El router HSRP
activo es el router CE MPLS conectado al operador MPLS principal, mientras
que el router HSRP en espera es el router conectado al operador MPLS
secundario o de reserva. Configure el router HSRP activo con una prioridad de
espera superior a la del router HSRP en espera.

Serie febrero 2012 Implementacin de una WAN MPLS 32


Este procedimiento debe repetirse para todas las subinterfaces de datos o de !
voz. interface GigabitEthernet0/2.69
interface GigabitEthernet [nmero].[nmero de subinterfaz] description Voz
encapsulation dot1Q [etiqueta dot1q VLAN] encapsulation dot1Q 69
ip address [direccin 1 de red LAN] [direccin de red 1 de red ip address 10.5.13.2 255.255.255.0
de LAN] ip helper-address 10.4.48.10
ip helper-address 10.4.48.10 ip pim dr-priority 110
ip pim sparse-mode ip pim sparse-mode
ip pim dr-priority 110 standby 1 ip 10.5.13.1
standby 1 ip [direccin de gateway 1 de red LAN] standby 1 priority 110
standby 1 priority 110 standby 1 preempt
standby 1 preempt !
interface GigabitEthernet0/2.70
Ejemplo: description VozInalmbrica
interface GigabitEthernet0/2 encapsulation dot1Q 70
no ip address ip address 10.5.11.2 255.255.255.0
no shutdown ip helper-address 10.4.48.10
! ip pim dr-priority 110
interface GigabitEthernet0/2.64 ip pim sparse-mode
description Datos standby 1 ip 10.5.11.1
encapsulation dot1Q 64 standby 1 priority 110
ip address 10.5.12.2 255.255.255.0 standby 1 preempt
ip helper-address 10.4.48.10
ip pim dr-priority 110
ip pim sparse-mode Procedimiento 6 Configuracin de la red de trnsito.
standby 1 ip 10.5.12.1
standby 1 priority 110
Solo se aplica al diseo de router dual.
standby 1 preempt
! La red de trnsito se configura entre los dos routers. Esta red se utiliza para la
comunicacin de router a router y para evitar las conexiones entre nodos. La
interface GigabitEthernet0/2.65
red de trnsito debe utilizar una subinterfaz adicional en la interfaz del router
description DatosInalmbricos que ya se utiliza para los datos o para la voz.
encapsulation dot1Q 65
No hay estaciones finales conectadas a esta red, por lo que no se necesitan
ip address 10.5.10.2 255.255.255.0
HSRP ni DHCP.
ip helper-address 10.4.48.10
interface GigabitEthernet0/2 [nmero].[nmero de subinterfaz]
ip pim dr-priority 110
encapsulation dot1Q [etiqueta dot1q VLAN]
ip pim sparse-mode
ip address [direccin de red de trnsito] [mscara de red de
standby 1 ip 10.5.10.1
trnsito]
standby 1 priority 110
ip pim sparse-mode
standby 1 preempt

Serie febrero 2012 Implementacin de una WAN MPLS 33


Ejemplo: router CE MPLS (principal)
interface GigabitEthernet0/2.99 Sugerencia para el lector
description Red de trnsito
encapsulation dot1Q 99
Referencia de comando:
ip address 10.5.8.1 255.255.255.252
ip pim sparse-mode default-metric: fiabilidad del retraso del ancho de banda al cargar
mtu
ancho de banda: ancho de banda mnimo de la ruta en kilobytes por
Procedimiento 7 Configuracin de EIGRP (lado de la LAN). segundo.
delay: retraso de la ruta en decenas de microsegundos.
Solo se aplica al diseo de router dual.
Debe configurar un protocolo de routing entre los dos routers. Esto garantiza
que el router activo HSRP cuenta con informacin de disponibilidad completa
para todos los sitios remotos WAN. Ejemplo:
router eigrp 100
Paso 1: Activacin de EIGRP-100. default-metric 100000 100 255 1 1500
Configure EIGRP-100 de cara a la capa de acceso. En este diseo, todas las network 10.4.0.0 0.1.255.255
interfaces de cara a la LAN y el bucle invertido deben ser interfaces EIGRP. redistribute bgp 65511
Todas las interfaces, a excepcin de la subinterfaz de red-trnsito, deben passive-interface default
permanecer en pasivo. La gama de red debe incluir todas las direcciones IP de no passive-interface GigabitEthernet0/2.99
interfaz, bien en una instruccin de red o en varias. Este diseo sigue la prctica
eigrp router-id 10.5.48.254
recomendada de asignar la ID del router a una direccin de bucle invertido.
No incluya la interfaz WAN (interfaz de enlace PE-CE MPLS) como una interfaz no auto-summary
EIGRP.
router eigrp 100
network [red] [mscara inversa] Procedimiento 8  ctivacin del seguimiento mejorado de
A
objetos.
passive-interface default
no passive-interface [interfaz de trnsito]
eigrp router-id [direccin IP de Loopback0] Solo se aplica al diseo de router dual.
no auto-summary El router HSRP activo se mantiene como el router activo a menos que se reinicie
o falle. El mantenimiento del router HSRP como el router activo puede producir
Paso 2: Redistribucin de BGP en EIGRP-100.
comportamientos no deseados. Si el transporte VPN MPLS principal fallase, el
Las rutas BGP se redistribuyen en EIGRP con una mtrica predeterminada. router HSRP activo obtendra una ruta alternativa a travs de la red de trnsito
Por defecto, solo se utilizan los valores de retraso y de ancho de banda para el al router HSRP en espera y comenzara a dirigir el trfico a travs de la ruta
clculo mtrico. alternativa. Este routing es subptimo y puede solventarlo utilizando el EOT.
router eigrp 100 El router HSRP activo (CE MPLS principal) puede utilizar la caracterstica de
default-metric [ancho de banda] [retraso] 255 1 1500 SLA de IP para enviar sondas eco a su router PE MPLS. Si este deja de estar
redistribute bgp 65511 disponible, l mismo puede reducir su prioridad HSRP, de forma que el router
HSRP en espera se convertir en el router HSRP activo de forma preventiva.

Serie febrero 2012 Implementacin de una WAN MPLS 34


Este procedimiento nicamente es vlido en routers conectados al transporte Ejemplo:
principal (VPN MPLS). interface range GigabitEthernet0/2.64, GigabitEthernet0/2.65,
GigabitEthernet0/2.69, GigabitEthernet0/2.70
Paso 1: Activacin de la sonda de SLA de IP.
standby 1 track 50 decrement 10
Utilice sondas de eco ICMP (ping) estndar y envelas en intervalos de 15 !
segundos. Las respuestas deben recibirse antes de que caduque el tiempo de
track 50 ip sla 100 reachability
espera de 1000 ms. Si utiliza el router PE MPLS como el destino de la sonda,
la direccin de destino va a ser la misma que la direccin de vecino BGP !
configurada en el procedimiento 3. ip sla 100
ip sla 100 icmp-echo 192.168.3.10 source-interface GigabitEthernet0/0
icmp-echo [direccin IP de destino de sonda] source-interface timeout 1000
[interfaz WAN] threshold 1000
timeout 1000 frequency 15
threshold 1000 ip sla schedule 100 life forever start-time now
frequency 15
ip sla schedule 100 life forever start-time now Proceso
Paso 2: Configuracin del EOT.
Los objetos de los que se efecta un seguimiento se crean en funcin de la
sonda del SLA de IP. Para los objetos de los que se hace un seguimiento, se Adicin de un enlace MPLS secundario en un router CE MPLS
tiene en cuenta el xito o el fracaso de la sonda en llegar al objeto. Si la sonda existente
tiene xito, el estado del objeto sometido a seguimiento es operativo. Si no
tiene xito, el objeto sometido a seguimiento se considera inoperativo. 1. Conexin con el router PE MPLS.
track 50 ip sla 100 reachability 2. Configuracin de BGP para enlace dual

Paso 3: Enlace de HSRP con el objeto sometido a seguimiento.


Se recomienda activar el seguimiento HSRP en todas las subinterfaces de Este conjunto de procedimientos incluye los pasos adicionales necesarios
datos o voz. para completar la configuracin de un router CE MPLS para un sitio remoto de
operador dual de WAN MPLS (router nico y enlace dual).
HSRP puede supervisar el estado del objeto sometido a seguimiento. Si el
estado es inoperativo, la prioridad HSRP queda reducida por la prioridad En los siguientes procedimientos se asume que ya se ha completado la
configurada. Si la reduccin es lo suficientemente significativa, el router HSRP configuracin de un router CE MPLS para un sitio remoto de WAN MPLS (router
en espera ejecuta el comando preemt. y enlace nicos). En ellos solo se incluyen los procedimientos adicionales para
interface [tipo de interfaz] [nmero].[nmero de subinterfaz] aadir un enlace MPLS adicional al router CE MPLS en ejecucin.
standby 1 track 50 decrement 10 El siguiente grfico incluye informacin sobre cmo aadir un enlace MPLS de
reserva a un router CE MPLS de sitio remoto existente.

Serie febrero 2012 Implementacin de una WAN MPLS 35


Figura 17: Grfico de configuracin para aadir un enlace MPLS de
reserva
Sugerencia para el lector
Router CE MPLS
Configuracin finalizada
Referencia de comando:
bandwidth kbps
S
Procedimientos de configuracin de la
Agregar enlace 10 Mbps = 10000 kbps
adicin del 2 enlace de MPLS al router
secundario de MPLS?
CE MPLS existente

1. Conexin con el router PE MPLS. NO


2. Configuracin de BGP para enlace dual.

Agregar copia S
Paso 2: Asignacin de la direccin IP y la mscara de red de la interfaz WAN.
de seguridad
de DMVPN? Procedimientos de configuracin de la
activacin de la copia de seguridad de
El direccionamiento IP utilizado entre los routers CE y PE debe negociarse con
NO
DMVPN en un router CE MPLS existente su operador MPLS. Normalmente, se utiliza una mscara de red de punto a
1. Configuracin de VRF Lite. punto (255.255.255.252).
interface [tipo de interfaz] [nmero]
2. Conexin a Internet.
3. Configuracin de ISAKMP e IPsec.

ip address [direccin IP] [mscara de red]


4. Configuracin del tnel mGRE.
5
5. Configuracin de EIGRP
EIGRP.
6. Configuracin del routing multidifusin IP.

Paso 3: Activacin de la interfaz y desactivacin administrativa de Cisco


Discovery Protocol.
Cisco no recomienda el uso de Cisco Discovery Protocol en interfaces
Sitio completado externas.
2009 Cisco Systems, Inc. Todos los derechos reservados. Informacin interna de Cisco 2 interface [tipo de interfaz] [nmero]
no cdp enable

no shutdown
Procedimiento 1 Conexin con el router PE MPLS.
Ejemplo:
Este procedimiento se aplica a la interfaz utilizada para la conexin con el
operador MPLS secundario o adicional. interface GigabitEthernet0/1
bandwidth 10000
Paso 1: Asignacin del ancho de banda de la interfaz. ip address 192.168.4.13 255.255.255.252
El valor del ancho de banda debe corresponderse con la velocidad de interfaz ip pim sparse-mode
real; si utiliza un servicio de velocidad inferior, utilice el valor especificado por el no cdp enable
operador. no shutdown
El ejemplo muestra una interfaz Gigabit (1000 Mbps) con una velocidad inferior
de 10 Mbps.
interface [tipo de interfaz] [nmero]
bandwidth [ancho de banda (kbps)]

Serie febrero 2012 Implementacin de una WAN MPLS 36


La expresin regular "^$" se corresponde con las rutas originadas desde el sitio
Procedimiento 2 Configuracin de BGP para enlace dual remoto. Este tipo de filtro solamente permite notificar las rutas que se originan
de forma local.
Paso 1: Configuracin de eBGP para aadir un vecino eBGP adicional y ip as-path access-list 10 permit ^$
notificar el enlace PE-CE. !
route-map NO-TRANSIT-AS permit 10
BGP debe configurarse con el dispositivo PE del operador MPLS. El operador
MPLS debe proporcionar su ASN (el ASN de este paso es el que identifica match as-path 10
su sitio). Puesto que el router PE del operador utilizar un ASN diferente, esta
configuracin se considera una conexin BGP externa (eBGP). Paso 3: Ajuste del routing BGP para seleccionar de forma preferente el
operador MPLS principal.
Es recomendable notificar una ruta para el enlace PE-CE, por lo que debera
incluir esta red en una instruccin de red, que puede utilizarse para determinar BGP utiliza un conjunto de reglas muy conocido para determinar la "ruta ptima"
la disponibilidad del router de cara a la solucin de problemas. cuando puede alcanzarse el mismo prefijo de ruta IP mediante dos rutas
diferentes. El diseo de operador dual MPLS proporciona, en muchos casos,
Las redes LAN de sitio remoto ya se notifican en funcin de la configuracin dos rutas con el mismo coste y es probable que la primera ruta seleccionada
ya completada en los procedimientos de configuracin del router CE MPLS de se mantenga como la activa, a menos que el protocolo de routing detecte
sitio remoto. un error. Para conseguir el objetivo de diseo de routing determinista y de
router bgp 65511 comportamiento de routing principal o secundario, es necesario ajustar el BPG.
Para ello, se necesita utilizar un mapa de rutas y un filtro de lista de acceso
network [red de enlace 2 PE-CE] mask [mscara de red de enlace 2
como ruta.
de PE-CE]
router bgp 65511
neighbor [direccin IP dePE 2] remote-as [ASN del operador]
neighbor [direccin IP de PE] route-map PREFER-MPLS-A in
Paso 2: Configure BGP para evitar que el sitio remoto se convierta en un AS de La expresin regular "_65401$" se corresponde con las rutas que se originan
trnsito. desde el AS 65401 (MPLS-A). Esto permite que BGP modifique, de forma
De forma predeterminada, BGP notifica de nuevo todas las rutas BGP selectiva, la informacin de routing de las rutas originadas desde este AS.
adquiridas. En el diseo MPLS dual, esto quiere decir que las rutas MPLS-A se En este ejemplo, la preferencia local de BGP es 200 para el operador MPLS
notifican a MPLS-B, y viceversa. En determinados casos, cuando falla un enlace principal. Las rutas que se originan desde el operador MPLS secundario
al hub MPLS, los sitios remotos se notifican a s mismos como un sistema seguirn utilizando su preferencia local predeterminada de 100. Aplique este
autnomo de trnsito que proporciona acceso entre los dos operadores. A mapa de rutas de entrada al vecino solo para el operador MPLS principal.
menos que se haya designado el sitio remoto de forma especfica para este ip as-path access-list 1 permit _65401$
tipo de comportamiento de routing, con una conexin de ancho de banda !
elevado, se recomienda desactivar el sitio para evitar que se convierta en uno route-map PREFER-MPLS-A permit 10
de trnsito. Para ello, tendr que utilizar un mapa de rutas y un filtro de lista de
match as-path 1
acceso como ruta. Aplique este mapa de rutas de salida a los vecinos de ambos
operadores MPLS. set local-preference 200
!
router bgp 65511
route-map PREFER-MPLS-A permit 20
neighbor [direccin IP de PE] route-map NO-TRANSIT-AS out
neighbor [direccin IP de PE 2] route-map NO-TRANSIT-AS out

Serie febrero 2012 Implementacin de una WAN MPLS 37


Ejemplo: Utilice este conjunto de procedimientos al configurar un sitio remoto de
router bgp 65511 operador dual de WAN MPLS. Utilice estos procedimientos al configurar el
segundo router CE MPLS del diseo de enlace y router duales.
network 192.168.4.12 mask 255.255.255.252
neighbor 192.168.3.14 route-map PREFER-MPLS-A in El siguiente grfico proporciona informacin sobre cmo configurar un router
neighbor 192.168.3.14 route-map NO-TRANSIT-AS out CE MPLS de sitio remoto.
neighbor 192.168.4.14 remote-as 65402 Figura 18: Grfico de configuracin del segundo router CE MPLS de
neighbor 192.168.4.14 route-map NO-TRANSIT-AS out sitio remoto
!
ip as-path access-list 1 permit _65401$
Router CE MPLS de sitio remoto
Enlace y router duales (2 router)

ip as-path access-list 10 permit ^$


!
route-map NO-TRANSIT-AS permit 10
Router CE MPLS de sitio remoto 2
Procedimientos de configuracin 1. Finalizacin de la configuracin universal de router WAN.

match as-path 10
2. Conexin con el router PE MPLS.
3 Configuracin
3. C f de BGP.
G

!
route-map PREFER-MPLS-A permit 10
match as-path 1
NO Capa de distribucin S
set local-preference 200 Diseo?

! Router CE MPLS de sitio remoto 2 Router CE MPLS de sitio remoto 2

route-map PREFER-MPLS-A permit 20 Procedimientos de la capa de Procedimientos de la capa de


acceso di t ib i
distribucin

4. Configuracin del routing de la capa de acceso. 1. Conexin con el router CE MPLS.


5. Configuracin de HSRP de la capa de acceso. 2. Configuracin de EIGRP (lado de la LAN).
6. Configuracin de la red de trnsito. 3. Configuracin de la red de trnsito.
Proceso 7. Configuracin de EIGRP (lado de la LAN).
8
8. C fi
Configuracin
i de
d la
l resistencia
i i de
d bucle
b l invertido.
i id

Sitio completado Sitio completado


Configuracin de router de sitio remoto (router dual: router 2)

1. Finalizacin de la configuracin universal de router WAN


2. Conexin con el router PE MPLS. 2009 Cisco Systems, Inc. Todos los derechos reservados. Informacin interna de Cisco 3

Procedimiento 1  inalizacin de la configuracin universal


F
3. Configuracin de BGP. de router WAN
4. Configuracin del routing de la capa de acceso.
Dentro de este diseo, existen caractersticas y servicios que son comunes a
5. Configuracin de HSRP de la capa de acceso. todos los routers de sitio remoto WAN. Se trata de parmetros del sistema que
6. Configuracin de la red de trnsito. simplifican y aseguran la administracin de la solucin.
7. Configuracin de EIGRP (lado de la LAN). Paso 1: Configure el nombre de host de dispositivo para facilitar la
8. Configuracin de la resistencia de bucle invertido. identificacin del dispositivo.
hostname [hostname]

Serie febrero 2012 Implementacin de una WAN MPLS 38


Paso 2: Configuracin de los protocolos de administracin del dispositivo. AAA. En cada dispositivo de infraestructura de red tambin se define una
base de datos de usuarios AAA, con el fin de proporcionar una fuente de
HTTP seguro (HTTPS) y Secure Shell (SSH) son sustitutos seguros de los
autenticacin de reserva en caso de que el servidor TACACS+ centralizado no
protocolos HTTP y Telnet. Estos utilizan una capa de conexiones seguras (SSL)
est disponible.
y seguridad de la capa del transporte (TLS) para proporcionar autenticacin de
dispositivos y cifrado de datos. enable secret c1sco123
service password-encryption
La administracin segura del dispositivo LAN est disponible gracias a los
protocolos SSH y HTTPS. Ambos protocolos estn cifrados para garantizar !
la privacidad. Los protocolos Telnet y HTTP, que no son seguros, estn username admin password c1sco123
desactivados. aaa new-model
ip domain-name cisco.local !
ip ssh version 2 tacacs server TACACS-SERVER-1
no ip http server address ipv4 10.4.48.15
ip http secure-server key SecretKey
line vty 0 15 !
transport input ssh aaa group server tacacs+ TACACS-SERVERS
El protocolo simple de administracin de red (SNMP) debe activarse para server name TACACS-SERVER-1
permitir la administracin de los dispositivos de infraestructura de red desde !
un sistema de administracin de la red (NMS). SNMPv2c est configurado aaa authentication login default group TACACS-SERVERS local
tanto para una cadena de comunidad de solo lectura como para una de aaa authorization exec default group TACACS-SERVERS local
lectura-escritura. aaa authorization console
snmp-s r community cisco RO ip http authentication aaa
snmp-server community cisco123 RW
Paso 4: Configuracin de un reloj sincronizado
Paso 3: Configuracin de la autenticacin de usuario segura.
El protocolo de tiempo de la red (NTP) est diseado para sincronizar una red
Active la autenticacin, la autorizacin y la poltica de cuentas (AAA) para de dispositivos. Normalmente, una red NTP obtiene la hora de una fuente de
controlar el acceso. Los controles AAA abarcan todos los accesos de tiempo fiable como, por ejemplo, un reloj controlado por radio o un reloj atmico
administracin a los dispositivos de infraestructura de red (SSH y HTTPS). conectado a un servidor de tiempo. A continuacin, el protocolo NTP distribuye
este tiempo por toda la red de la organizacin.
Sugerencia para el lector Debe programar los dispositivos de red para que se sincronicen con un
servidor NTP local de la red. El servidor NTP local suele hacer referencia a un
hilo de reloj ms preciso procedente de una fuente externa. Al configurar los
El servidor AAA utilizado en esta arquitectura es el Cisco mensajes de consola, los registros y los resultados de depuracin para que
Authentication Control System. Para obtener ms informacin acerca incluyan marcas de tiempo, podr referenciar y comparar los eventos de la red.
de la configuracin del ACS, consulte la Gua de implementacin de ntp server 10.4.48.17
autorizacin y autenticacin de dispositivos de red de Cisco SBA
ntp update-calendar
for Enterprise OrganizationsBorderless Networks (Cisco SBA for
Enterprise OrganizationsBorderless Networks Network Device !
Authentication and Authorization Deployment Guide). clock timezone PST -8
clock summer-time PDT recurring
!
service timestamps debug datetime msec localtime
TACACS+ es el protocolo principal que se utiliza para autenticar los inicios de
sesin de administracin de los dispositivos de infraestructura del servidor service timestamps log datetime msec localtime

Serie febrero 2012 Implementacin de una WAN MPLS 39


Cuando se activa el resultado de la depuracin y el registro sncrono de los Para recibir un flujo de datos de multidifusin IP especfico, los hosts finales
mensajes no solicitados, los mensajes de registro de la consola aparecen en deben unirse a un grupo de multidifusin enviando un mensaje IGMP a su
esta despus de que se muestre o imprima el resultado CLI interactivo. Con router de multidifusin local. En un diseo de multidifusin IP tradicional, el
este comando, podr seguir escribiendo en la consola del dispositivo aunque router local se pone en contacto con otro router de la red que acta como
est activada la depuracin. RP para asignar los receptores a fuentes activas, con el fin de que puedan
line con 0 encontrar sus flujos.
logging synchronous En este diseo, que se basa en un funcionamiento multidifusin en modo
disperso, Cisco utiliza autorp como mtodo escalable y sencillo de activar para
Paso 5: Configuracin de una interfaz de administracin en banda. crear un entorno RP de alta resistencia.
La interfaz de bucle invertido es una interfaz lgica que est disponible en todo Active el routing de multidifusin IP para las plataformas del modo de
momento, siempre y cuando el dispositivo cuente con alimentacin y pueda configuracin global.
accederse a una interfaz IP de la red. Debido a esta funcionalidad, la direccin
ip multicast-routing
de bucle invertido es la mejor opcin para la administracin en banda de los
switches. Las caractersticas y procesos de nivel 3 tambin estn vinculados Todos los routers y switches de nivel 3 deben configurarse de modo que
a la interfaz de bucle invertido con el fin de garantizar la resistencia de los puedan detectar el RP de multidifusin IP con autorp. Utilice el comando ip
procesos. pim autorp listener para permitir el descubrimiento entre los enlaces en modo
disperso. Esta configuracin puede cambiarse en funcin del diseo y de
La direccin de bucle invertido suele ser una direccin de host con una las necesidades de la red y permite controlar el entorno de multidifusin IP y
mscara de direccin de 32 bits. Asigne la direccin IP de bucle invertido del ampliarlo si fuera necesario en el futuro.
router de sitio remoto de una gama de red nica que no forme parte de ninguna
otra gama de resumen de red interna. ip pim autorp listener
interface Loopback0 Debe activar todas las interfaces de nivel 3 de la red para el funcionamiento
multidifusin en modo disperso.
ip address [ip address] 255.255.255.255
ip pim sparse-mode ip pim sparse-mode
El comando ip pim sparse-mode se explicar con mayor detenimiento ms
adelante.
Procedimiento 2 Conexin con el router PE MPLS.
Para conseguir una resistencia ptima, vincule los procesos SNMP y SSH con la
direccin de interfaz de bucle invertido:
snmp-server trap-source Loopback 0 Paso 1: Asignacin del ancho de banda de la interfaz.
ip ssh source-interface Loopback 0 El valor del ancho de banda debe corresponderse con la velocidad de interfaz
ip pim register-source Loopback0 real; si utiliza un servicio de velocidad inferior, utilice el valor especificado por el
ip tacacs source-interface Loopback0 operador.
ntp source Loopback0 El ejemplo muestra una interfaz Gigabit (1000 Mbps) con una velocidad inferior
de 10 Mbps.
Paso 6: Configuracin del routing de multidifusin IP.
interface [tipo de interfaz] [nmero]
La multidifusin IP permite que la infraestructura (es decir, los routers y los
bandwidth [ancho de banda (kbps)]
switches) replique un nico flujo de datos IP y que este flujo se enve desde
una nica fuente a varios receptores. El uso de la multidifusin IP es mucho
ms eficaz que recurrir a flujos individuales unidifusin o a un flujo de difusin
que se propague a cualquier parte. Algunos ejemplos de aplicaciones de
multidifusin IP son la MOH para telefona IP y la retransmisin de vdeo IP.

Serie febrero 2012 Implementacin de una WAN MPLS 40


El router CE solamente notifica las rutas de red al PE mediante el BGP en los
siguientes casos:
Sugerencia para el lector
La ruta se especifica mediante instrucciones de red y est presente en la
tabla de routing local.
Referencia de comando: La ruta se redistribuye dentro del BGP (no aplicable en el caso del sitio
bandwidth kbps remoto).
router bgp 65511
10 Mbps = 10000 kbps
no synchronization
bgp router-id [direccin IP de Loopback0]
bgp log-neighbor-changes
Paso 2: Asignacin de la direccin IP y la mscara de red de la interfaz WAN. no auto-summary
Deber negociar el direccionamiento IP utilizado entre los routers CE y PE con
su operador MPLS. Normalmente, se utiliza una mscara de red de punto a Paso 2: Configuracin de eBGP.
punto (255.255.255.252). Debe configurar BGP con el dispositivo PE del operador MPLS. El operador
interface [tipo de interfaz] [nmero] MPLS debe proporcionar su ASN (el ASN del paso 1 es el que identifica su
ip address [direccin IP] [mscara de red] sitio). Puesto que el router PE del operador utilizar un ASN diferente, esta
configuracin se considera una conexin BGP externa (eBGP).
Paso 3: Activacin de la interfaz y desactivacin administrativa de Cisco Es recomendable notificar una ruta para el enlace PE-CE, por lo que debera
Discovery Protocol. incluir esta red en una instruccin de red, que puede utilizarse para determinar
Cisco no recomienda el uso de Cisco Discovery Protocol en interfaces la disponibilidad del router de cara a la solucin de problemas.
externas. Las redes LAN de sitio remoto deben notificarse. La asignacin IP para los sitios
interface [tipo de interfaz] [nmero] remotos se ha diseado de forma que todas las redes en uso pueden resumirse
no cdp enable mediante una nica ruta agregada. La ruta agregada, configurada como se
muestra a continuacin, suprime las rutas ms especficas. Si existe cualquier
no shutdown
red LAN en la tabla de rutas, el total se notifica al PE MPLS, lo que ofrece un
Ejemplo: cierto nivel de resistencia. Si no se pueden resumir las diferentes redes LAN,
deber indicarlas individualmente.
interface GigabitEthernet0/0
router bgp 65511
bandwidth 25000
network [red de enlace PE-CE] mask [mscara de red de enlace PE-
ip address 192.168.4.9 255.255.255.252
CE]
no cdp enable
network [red de DATOS] mask [mscara de red]
no shutdown
network [red de VOZ] mask [mscara de red]
network [red de DATOS WLAN] mask [mscara de red]

Procedimiento 3 Configuracin de BGP. network [red de VOZ WLAN] mask [mscara de red]
aggregate-address [direccin IP resumida ] [mscara de red
resumida] summary-only
Paso 1: Activacin de BGP. neighbor [direccin IP de PE] remote-as [ASN del operador]
Para finalizar este paso, debe utilizar un ASN de BGP. Quizs pueda reutilizar
el mismo valor empleado en el CE VPN MPLS del sitio de agregacin de WAN.
Consulte con su operador MPLS acerca de los requisitos del ASN.

Serie febrero 2012 Implementacin de una WAN MPLS 41


Paso 3: Configuracin de iBGP entre los routers CE MPLS de sitio remoto. Ejemplo: router CE MPLS (secundario)
El diseo de MPLS de operador dual requiere la configuracin de un enlace router bgp 65511
BGP entre los routers CE. Puesto que los routers CE utilizan el mismo ASN, esta no synchronization
configuracin se considera una conexin BGP interna (iBGP). Este diseo utiliza bgp router-id 10.5.8.253
iguales iBGP que usan direcciones de bucle invertido de dispositivo, lo que bgp log-neighbor-changes
requiere las opciones de configuracin update-source y next-hop-self.
network 192.168.4.8 mask 255.255.255.252
Debe completar este paso en ambos routers CE MPLS de sitio remoto. Tenga network 10.5.10.0 mask 255.255.255.0
en cuenta que la sesin de iBGP no se establecer hasta que complete los network 10.5.11.0 mask 255.255.255.0
pasos de la red de trnsito y EIGRP (lado de la LAN).
network 10.5.12.0 mask 255.255.255.0
router bgp 65511 network 10.5.13.0 mask 255.255.255.0
neighbor [Loopback0 de vecino iBGP] remote-as 65511 aggregate-address 10.5.8.0 255.255.248.0 summary-only
neighbor [Loopback0 de vecino iBGP] update-source Loopback0 neighbor 10.5.8.254 remote-as 65511
neighbor [Loopback0 de vecino iBGP] next-hop-self neighbor 10.5.8.254 update-source Loopback0
Paso 4: Configure BGP para evitar que el sitio remoto se convierta en un AS de neighbor 10.5.8.254 next-hop-self
trnsito. neighbor 192.168.4.10 remote-as 65402
neighbor 192.168.4.10 route-map NO-TRANSIT-AS out
De forma predeterminada, BGP notifica de nuevo todas las rutas BGP
adquiridas. En el diseo MPLS dual, esto significa que las rutas de MPLS-A no auto-summary
se notificarn a MPLS-B y viceversa. En determinados casos, cuando falla !
un enlace al hub MPLS, los sitios remotos se notifican a s mismos como ip as-path access-list 10 permit ^$
un sistema autnomo de trnsito que proporciona acceso entre los dos !
operadores. A menos que se haya designado el sitio remoto de forma route-map NO-TRANSIT-AS permit 10
especfica para este tipo de comportamiento de routing, con una conexin de
match as-path 10
ancho de banda elevado, se recomienda desactivar el sitio para evitar que se
convierta en uno de trnsito. Debe utilizar un mapa de rutas y un filtro de lista
de acceso como ruta. Es necesario aplicar este mapa de rutas a ambos routers Ejemplo: router CE MPLS (principal)
CE MPLS de sitio remoto. Cada router aplicar esta salida al vecino para su router bgp 65511
operador MPLS respectivo. bgp router-id 10.5.8.254
router bgp 65511 neighbor 10.5.8.253 remote-as 65511
neighbor [direccin IP de PE 2] route-map NO-TRANSIT-AS out neighbor 10.5.8.253 update-source Loopback0
La expresin regular "^$" se corresponde con las rutas originadas desde el sitio neighbor 10.5.8.253 next-hop-self
remoto. Este tipo de filtro solamente permite notificar las rutas que se originan neighbor 192.168.3.10 route-map NO-TRANSIT-AS out
de forma local. !
ip as-path access-list 10 permit ^$ ip as-path access-list 10 permit ^$
! !
route-map NO-TRANSIT-AS permit 10 route-map NO-TRANSIT-AS permit 10
match as-path 10 match as-path 10

Serie febrero 2012 Implementacin de una WAN MPLS 42


Ejemplo:
Procedimiento 4  onfiguracin del routing de la capa de
C
acceso. interface GigabitEthernet0/2
no ip address
En el diseo de la capa de acceso, los sitios remotos utilizan routing colapsado no shutdown
con interfaces troncales 802.1Q a la capa de acceso LAN. La numeracin VLAN !
solo es significativa desde un punto de vista local. Los switches de acceso solo !
son de nivel 2. interface GigabitEthernet0/2.64
description Datos
Paso 1: Activacin de la interfaz fsica.
encapsulation dot1Q 64
interface [tipo de interfaz] [nmero] ip helper-address 10.4.48.10
no ip address ip pim sparse-mode
no shutdown !
Paso 2: Creacin de subinterfaces y asignacin de etiquetas VLAN. interface GigabitEthernet0/2.65
description DatosInalmbricos
Tras activar la interfaz fsica, puede asignar las subinterfaces de datos o voz
encapsulation dot1Q 65
adecuadas a las VLAN del switch LAN. El nmero de subinterfaz no tiene que
ser igual a la etiqueta 802.1Q, aunque de ser as, se simplifica la configuracin. ip helper-address 10.4.48.10
La seccin de subinterfaz de la configuracin debe repetirse para todas las ip pim sparse-mode
VLAN de datos o de voz. !
interface [tipo de interfaz] [nmero].[nmero de subinterfaz] interface GigabitEthernet0/2.69
encapsulation dot1Q [etiqueta dot1q VLAN] description Voz
encapsulation dot1Q 69
Paso 3: Configuracin de los parmetros de IP para cada subinterfaz. ip helper-address 10.4.48.10
Este diseo utiliza una convencin de direccionamiento IP en la que al router ip pim sparse-mode
de gateway predeterminado se le asigna una combinacin de direccin IP y !
mscara IP de N.N.N.1 255.255.255.0, donde N.N.N es la red IP y 1 es el host IP. interface GigabitEthernet0/2.70
Todas las interfaces LAN de router que utilicen DHCP para la asignacin IP de description VozInalmbrica
las estaciones finales deben utilizar un asistente IP para alcanzar un servidor encapsulation dot1Q 70
DHCP centralizado en este diseo. ip helper-address 10.4.48.10
Este router CE MPLS de sitio remoto es el segundo router de un diseo de ip pim sparse-mode
router dual y HSRP se configura en la capa de acceso. Las asignaciones de IP
de la interfaz real se configurarn en el siguiente procedimiento.
interface [tipo de interfaz] [nmero].[nmero de subinterfaz]
encapsulation dot1Q [etiqueta dot1q VLAN]
ip helper-address [direccin IP del servidor DHCP]

Serie febrero 2012 Implementacin de una WAN MPLS 43



Procedimiento 5  onfiguracin de HSRP de la capa de
C
acceso. Sugerencia tcnica

Configure HSRP para que utilice la direccin IP virtual (VIP) como un gateway La prioridad HSRP y PIM DR se muestran con el mismo valor en la
predeterminado que se comparte entre dos routers. El router HSRP activo es el tabla anterior, pero no es obligatorio utilizar los mismos valores.
router CE MPLS conectado al operador MPLS principal, mientras que el router
HSRP en espera es el router conectado al operador MPLS secundario o de
reserva. Configure el router HSRP activo con una prioridad de espera superior a
la del router HSRP en espera. Repita este procedimiento para todas las subinterfaces de datos o de voz.
El router con el mayor valor de prioridad en espera es el elegido como el router interface GigabitEthernet [nmero].[nmero de subinterfaz]
HSRP activo. La opcin preempt permite que un router con una prioridad encapsulation dot1Q [etiqueta dot1q VLAN]
ms alta pase a ser el HSRP activo, sin tener que esperar a que se produzca ip address [direccin 1 de red LAN] [direccin de red 1 de red
un escenario en el que no haya ningn router en estado HSRP activo. Los de LAN]
parmetros HSRP relevantes para la configuracin del router se muestran en la
siguiente tabla. ip helper-address 10.4.48.10
ip pim sparse-mode
Tabla 11 - Parmetros HSRP de sitio remoto de WAN (router dual) ip pim dr-priority 110
standby 1 ip [direccin de gateway 1 de red LAN]
Funcin Direccin IP Direccin Prioridad Prioridad
Router HSRP virtual (VIP) IP real HSRP PIM DR standby 1 priority 110
standby 1 preempt
CE MPLS Activo .1 .2 110 110
(principal)
Ejemplo: router CE MPLS (secundario)
CD MPLS En .1 .3 105 105
(secundario) espera interface GigabitEthernet0/2
o radio no ip address
DMVPN no shutdown
!
El diseo de la capa de acceso del router dual requiere una modificacin para interface GigabitEthernet0/2.64
permitir una multidifusin resistente. El router designado (DR) como PIM debe description Datos
encontrarse en el router HSRP activo. El DR suele elegirse en funcin de la encapsulation dot1Q 64
direccin IP ms alta y no conoce la configuracin HSRP. En este diseo, el
ip address 10.5.12.3 255.255.255.0
router HSRP activo cuenta con una direccin IP real ms baja que la del router
HSRP en espera, lo que hace necesario modificar la configuracin PIM. La ip helper-address 10.4.48.10
eleccin del DR PIM puede influenciarse configurando de forma explcita la ip pim dr-priority 105
prioridad DR en las subinterfaces de cara a la LAN de los routers. ip pim sparse-mode
standby 1 ip 10.5.12.1
standby 1 priority 105
standby 1 preempt
!
interface GigabitEthernet0/2.65
description DatosInalmbricos
encapsulation dot1Q 65
ip address 10.5.10.3 255.255.255.0

Serie febrero 2012 Implementacin de una WAN MPLS 44


ip helper-address 10.4.48.10 No hay estaciones finales conectadas a esta red, por lo que no se necesitan
ip pim dr-priority 105 HSRP ni DHCP.
ip pim sparse-mode interface [tipo de interfaz] [nmero].[nmero de subinterfaz]
standby 1 ip 10.5.10.1 encapsulation dot1Q [etiqueta dot1q VLAN]
standby 1 priority 105 ip address [direccin de red de trnsito] [mscara de red de
standby 1 preempt trnsito]
!
interface GigabitEthernet0/2.69 Ejemplo: router CE MPLS (secundario)
description Voz interface GigabitEthernet0/2.99
encapsulation dot1Q 69 description Red de trnsito
ip address 10.5.13.3 255.255.255.0 encapsulation dot1Q 99
ip helper-address 10.4.48.10 ip address 10.5.8.2 255.255.255.252
ip pim dr-priority 105
ip pim sparse-mode
standby 1 ip 10.5.13.1 Procedimiento 7 Configuracin de EIGRP (lado de la LAN).
standby 1 priority 105
standby 1 preempt Debe configurar un protocolo de routing entre los dos routers. Esto garantiza
! que el router activo HSRP cuenta con informacin de disponibilidad completa
interface GigabitEthernet0/2.70 para todos los sitios remotos WAN.
description VozInalmbrica
Paso 1: Activacin de EIGRP-100.
encapsulation dot1Q 70
ip address 10.5.11.3 255.255.255.0 Configure EIGRP-100 de cara a la capa de acceso. En este diseo, todas las
interfaces de cara a la LAN y el bucle invertido deben ser interfaces EIGRP.
ip helper-address 10.4.48.10
Todas las interfaces, a excepcin de la subinterfaz de red-trnsito, deben
ip pim dr-priority 105 permanecer en pasivo. La gama de red debe incluir todas las direcciones IP de
ip pim sparse-mode interfaz, bien en una instruccin de red o en varias. Este diseo sigue la prctica
standby 1 ip 10.5.11.1 recomendada de asignar la ID del router a una direccin de bucle invertido.
standby 1 priority 105 No incluya la interfaz WAN (interfaz de enlace PE-CE MPLS) como una interfaz
standby 1 preempt EIGRP.
router eigrp 100
network [red] [mscara inversa]
Procedimiento 6 Configuracin de la red de trnsito. passive-interface default
no passive-interface [interfaz de trnsito]
Configure la red de trnsito entre los dos routers. Esta red se utiliza para la eigrp router-id [direccin IP de Loopback0]
comunicacin de router a router y para evitar las conexiones entre nodos. La no auto-summary
red de trnsito debe utilizar una subinterfaz adicional en la interfaz del router
que ya se utiliza para los datos o para la voz.

Serie febrero 2012 Implementacin de una WAN MPLS 45


Paso 2: Redistribucin de BGP en EIGRP-100.
Procedimiento 8  onfiguracin de la resistencia de bucle
C
Las rutas BGP se redistribuyen en EIGRP con una mtrica predeterminada. invertido.
Por defecto, solo se utilizan los valores de retraso y de ancho de banda para el
clculo mtrico.
router eigrp 100 Solo se aplica al diseo de router dual.
default-metric [ancho de banda] [retraso] 255 1 1500 Los routers de sitio remoto cuentan con administracin en banda configurada
redistribute bgp 65511 mediante la interfaz de bucle invertido. Para garantizar la disponibilidad de la
interfaz de bucle invertido en un diseo de router dual, redistribuya el bucle
invertido del router adyacente en el protocolo de routing WAN.
Sugerencia para el lector Si el protocolo WAN es EIGRP.

Referencia de comando: Paso 1: Configuracin de una lista de acceso para limitar la redistribucin
nicamente a la direccin IP de bucle invertido del router adyacente.
default-metric: fiabilidad del retraso del ancho de banda al cargar ip access-list standard R[number]-LOOPBACK
mtu permit [IP Address of Adjacent Router Loopback]
ancho de banda: ancho de banda mnimo de la ruta en kilobytes por !
segundo. route-map LOOPBACK-ONLY permit 10
match ip address R[number]-LOOPBACK
delay: retraso de la ruta en decenas de microsegundos.
Paso 2: Configuracin de EIGRP para redistribuir la direccin IP de bucle
invertido del router adyacente. El routing EIGRP de zonas internas debe
ajustarse para permitir rutas redistribuidas.
Ejemplo: router eigrp [as]
router eigrp 100 redistribute eigrp 100 route-map LOOPBACK-ONLY
default-metric 100000 100 255 1 1500 eigrp stub connected summary redistributed
network 10.4.0.0 0.1.255.255 Si el protocolo WAN es BGP.
redistribute bgp 65511
passive-interface default Paso 3: Configuracin de BGP para notificar la red de bucle invertido del
no passive-interface GigabitEthernet0/2.99 router adyacente.
eigrp router-id 10.5.48.254 router bgp 65511
no auto-summary network 10.5.12.0 mask 255.255.255.0
network 10.5.13.0 mask 255.255.255.0

Serie febrero 2012 Implementacin de una WAN MPLS 46


Implementacin de una
El router de VPN DMVPN se conecta a Internet de forma indirecta a travs de
una interfaz de zona desmilitarizada (DMZ) dentro del permetro de Internet.
Para obtener ms detalles sobre la conexin a Internet del sitio principal,

WAN DMVPN consulte la Gua de implementacin del permetro de Internet de Cisco SBA
for Enterprise OrganizationsBorderless Networks (Cisco SBA for Enterprise
OrganizationsBorderless Networks Internet Edge Deployment Guide). El
router hub VPN se conecta a la interfaz de zona desmilitarizada, en lugar de
conectarse directamente al router de un proveedor de servicios de Internet.
Figura 19: Conexin DMVPN del diseo de WAN 500
Contexto empresarial
Las empresas necesitan que la red WAN ofrezca el suficiente rendimiento y
fiabilidad para que los usuarios de sitios remotos puedan hacer su trabajo
con eficiencia y apoyen a la empresa. Aunque la mayora de las aplicaciones
y servicios que utiliza el trabajador de un sitio remoto estn situados en una
ubicacin centralizada, el diseo de la WAN debe proporcionar al personal
una experiencia similar para acceder a los recursos, independientemente de la
ubicacin.
El servicio MPLS basado en el operador no siempre est disponible o resulta
rentable para que una organizacin lo utilice como transporte WAN con el fin
de permitir la conexin con sitios remotos. Las VPN IP basadas en Internet
ofrecen un modo de transporte opcional que puede utilizarse como una buena
opcin de reserva para el transporte de red MPLS principal o que puede servir
como transporte de red principal para un sitio remoto. Una arquitectura de red
flexible debe incluir VPN con Internet como opcin de transporte sin aumentar
considerablemente la complejidad del diseo en general.
Aunque las redes VPN IP Internet son una opcin interesante para lograr una
conectividad WAN eficaz, cada vez que una organizacin enva datos a travs
de una red pblica, estos se ponen en peligro. La prdida o corrupcin de los
datos puede suponer una violacin de la normativa vigente y daar la imagen
pblica de la empresa. En cualquiera de los dos casos, las repercusiones
econmicas pueden ser considerables para la organizacin. Para transportar
datos de forma segura a travs de redes pblicas como Internet, se requiere la
aplicacin del cifrado adecuado para proteger la informacin empresarial.
Los routers de servicios de agregacin de la serie Cisco ASR1000 representan
Descripcin general de la tecnologa Presentation_ID la plataforma de routing de ltima
2008 Cisco Systems, Inc. Reservados todos los derechos.
Informacin generacin,
confidencial de Cisco modular y de servicios 15
integrados de Cisco. Estn diseados especficamente para la agregacin de
WAN y cuentan con la flexibilidad necesaria para satisfacer una amplia gama de
Diseo de WAN 500 capacidades de reenvo de paquetes de entre 3 y 16 mpps, un rendimiento de
El diseo de WAN 500 permite admitir hasta 500sitios remotos con un ancho ancho de banda del sistema de entre 2,5 y 40 Gbps y capacidad de ampliacin.
de banda WAN agregado de hasta 1,0Gbps. Los dispositivos ms importantes Los routers de la serie Cisco ASR 1000 son completamente modulares
son los routers WAN responsables de la QoS y del reenvo IP. Este diseo utiliza desde el punto de vista del hardware y el software, y cuentan con todos los
el router de servicios de agregacin Cisco ASR1002 configurado con un ESP5 elementos de un producto de routing de autntica clase de operador, por lo
como router hub de red privada virtual multipunto dinmica (DMVPN). que sirven tanto para redes empresariales, como para redes de proveedores
El diseo de WAN 500 utiliza un solo proveedor de servicios de Internet y un de servicios.
nico router hub DMVPN.

Serie febrero 2012 Implementacin de una WAN DMVPN 47


Diseo de WAN 100 Seleccin de router de radio DMVPN para sitios remotos
El diseo de WAN 100 permite admitir hasta 100 sitios remotos con un ancho Las especificaciones de las plataformas de routing de sitio remoto de
de banda WAN agregado de hasta 100 Mbps. El diseo de WAN 100 es, WAN concretas no se proporcionan, ya que dichas especificaciones estn
bsicamente, una versin de menor escala del diseo de WAN 500. Esta estrechamente vinculadas con el ancho de banda necesario para una ubicacin
variante se incluye para proporcionar una opcin de ampliacin limitada. Si y con los requisitos potenciales para el uso de las ranuras de mdulos de
espera un mayor crecimiento del ancho de banda o un aumento en el nmero servicio. La posibilidad de implementar esta solucin con diferentes opciones
de sitios, utilice el diseo de WAN 500. El uso del diseo de ms capacidad de router es una de las ventajas de un enfoque de diseo modular.
puede evitar los periodos de inactividad innecesarios asociados con las
Hay un gran nmero de factores que deben tenerse en cuenta a la hora de
actualizaciones de dispositivos. Este diseo utiliza el Cisco ASR1001 o el router
seleccionar los routers de sitio remoto de WAN. La capacidad de procesar la
de servicios integrados Cisco 3945E como router hub DMVPN. El diseo de
cantidad y tipo de trfico esperados es uno de estos factores, que, adems, es
WAN 100 utiliza un solo proveedor de servicios de Internet y un nico router
clave para la implementacin inicial. Tambin debe asegurarse de que cuenta
hub DMVPN.
con suficientes interfaces, ranuras de mdulos y una imagen de Cisco IOS con
Figura 20: Conexin DMVPN del diseo de WAN 100 la licencia correcta que admita el conjunto de funciones necesarias para esta
tipologa. Cisco ha probado cinco modelos de routers de servicios integrados
como routers de radio DMVPN y el rendimiento esperado se muestra en la
siguiente tabla.
Tabla 12 - Opciones de router de sitio remoto de WAN

Opcin 2911 2921 3925 3945


Ethernet WAN con 35Mbps 50Mbps 100Mbps 150Mbps
servicios1
Puertos GE incorporados 3 3 3 3
Ranuras de mdulo de 1 1 2 4
servicio2
Opcin de fuente de No No S S
alimentacin redundante

Notas:
1. Las cifras de rendimiento son conservadoras; se han obtenido cuando
el router canaliza trfico Internet mix (IMIX) con una configuracin de
servicios de gran volumen y una utilizacin de la CPU inferior al 75%.
2. Algunos mdulos de servicio son de doble ancho.
Los routers de radio DMVPN y los sitios remotos de WAN se conectan a Internet
directamente a travs de una interfaz de router. Ms adelante en esta gua se
tratarn los detalles acerca de la configuracin de seguridad de los routers de
sitio remoto conectados a Internet. El sitio remoto de DMVPN de enlace nico
2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco 15 es el ms bsico de los bloques de creacin de cualquier ubicacin remota.
Puede utilizar este diseo con el router CE conectado directamente a la capa
de acceso, o bien puede utilizarlo para admitir una topologa de LAN ms
compleja si conecta el router CE directamente a una capa de distribucin.

Serie febrero 2012 Implementacin de una WAN DMVPN 48


El routing de IP es muy sencillo y puede realizarse totalmente mediante routing Figura 22: Sitio remoto de WAN MPLS + DMVPN (opciones de enlace
esttico, utilizando rutas estticas en el sitio de agregacin de WAN y rutas dual)
estticas predeterminadas en el sitio remoto. Sin embargo, hay una ventaja
significativa al configurar este tipo de sitio con routing dinmico. Es fcil
agregar o modificar redes IP en el sitio remoto si se utiliza routing dinmico,
pues los cambios realizados se propagan inmediatamente al resto de la red.
Figura 21: Sitio remoto de DMVPN (enlace y router nicos)

Reenvo de ruta virtual y reenvo de ruta virtual


de puerta delantera
El reenvo de ruta virtual (VRF, por sus siglas en ingls) es una tecnologa
Presentation_ID utilizada
2008 Cisco Systems, Inc. Reservados todos los derechos. en redes
Informacin informticas
confidencial de Cisco que permite que varios ejemplos de una tabla de 12
routing coexistan en el mismo router al mismo tiempo. Puesto que los ejemplos
de routing son independientes, puede utilizar las mismas direcciones IP
solapadas sin que interfieran unas con otras. Con frecuencia, en el contexto de
MPLS, VRF tambin se conoce como routing y reenvo VPN.
La conexin DMVPN puede ser el transporte WAN principal, o bien la Puede implementar VRF en un dispositivo de red utilizando diferentes tablas de
alternativa a un transporte WAN MPLS. Puede agregar el diseo de enlace routing, procedimiento que se conoce como bases de reenvo de informacin
nico DMVPN a un diseo de WAN MPLS existente para aadir flexibilidad (FIB), una por cada VRF. De forma alternativa, un dispositivo de red puede tener
adicional conectndolos al mismo router o a un router adicional. Al aadir un la capacidad de configurar routers virtuales diferentes, cada uno de ellos con
enlace adicional, se proporciona el primer nivel de alta disponibilidad para el su propia FIB a la que no puede acceder ningn otro router virtual en el mismo
sitio remoto. El router detecta automticamente un fallo en el enlace principal dispositivo.
cial de Ciscoy el trfico se desva a una ruta secundaria. Es obligatorio ejecutar el17 routing
dinmico cuando existan varias rutas. Los protocolos de routing se adaptan La forma ms sencilla de implementacin VRF es VRF Lite. En esta
para garantizar el flujo del trfico deseado. implementacin, cada router de la red participa en el entorno de routing virtual
de igual a igual. Las configuraciones VRF Lite solo son significativas a nivel local.
El diseo de enlace y router duales sigue mejorando el nivel de alta
disponibilidad del sitio. Este diseo puede tolerar la prdida del router La poltica de routing de IP que se utiliza en este diseo para los sitios remotos
principal y el trfico puede desviarse mediante el router secundario (a travs de WAN no permite el acceso directo a Internet para la navegacin web u otros
de la ruta alternativa). fines. Cualquier host de sitio remoto que acceda a Internet deber hacerlo a
travs de la periferia de Internet del sitio principal. El host final requiere una
ruta predeterminada para todos los destinos de Internet. Sin embargo, esta ruta
debe forzar el trfico a travs de los transportes WAN primario o secundario
(VPN MPLS o tnel DMVPN). Este requisito entra en conflicto con el requisito
ms general de router de radio VPN, por el cual una ruta predeterminada de
cara a Internet invoca el tnel VPN.

Serie febrero 2012 Implementacin de una WAN DMVPN 49


El conflicto de rutas predeterminadas se resuelve mediante el uso de VRF en Detalles de diseo
el router. Un router puede tener varias tablas de routing que mantienen una
El router hub DMVPN se conecta a un dispositivo de switching resistente
separacin lgica dentro del dispositivo. Esta separacin es similar a un router
en la capa de distribucin y en la DMZ. El router DMVPN utiliza conexiones
virtual desde el punto de vista del reenvo. El VRF global se corresponde con
EtherChannel formadas por paquetes de dos puertos. Este diseo proporciona
la tabla de routing tradicional y a los VRF adicionales se les asignan nombres y
tanto resistencia como un rendimiento del reenvo adicional. Puede conseguir
descriptores de rutas (RD). Ciertas funciones del router tienen en cuenta el VRF,
un mayor rendimiento de reenvo mediante el aumento del nmero de enlaces
incluidos el routing esttico y los protocolos de routing, el reenvo de interfaz
fsicos en un EtherChannel.
y la tunelacin IPSec. Este conjunto de funciones se utiliza junto con DMVPN
para permitir el uso de varias rutas predeterminadas tanto para los routers hub Los routers hub DMVPN deben tener suficiente informacin de routing de
DMVPN como para los routers de radio DMVPN. Esta combinacin de funciones IP para poder ofrecer alcance de extremo a extremo. Para mantener esta
se conoce como VRF de puerta delantera (FVRF) porque el VRF est de frente informacin de routing normalmente se necesita un protocolo de routing, para
a Internet y las interfaces internas del router y el tnel mGRE permanecen en el lo que se utiliza EIGRP. Se usan dos procesos EIGRP independientes, uno para
VRF global. El apndice Suplemento de funciones tcnicas incluye los detalles el routing interno en la LAN (EIGRP-100) y el otro para DMVPN (EIGRP-200).
tcnicos de FVRF. La razn principal para utilizar dos procesos EIGRP separados es simplificar
la seleccin de la ruta en el sitio de agregacin de WAN si se utiliza una ruta
Figura 23: vREF de puerta delantera (FVRF)
principal de WAN MPLS y una ruta DMVPN alternativa. Este mtodo garantiza
que tanto las rutas adquiridas MPLS como las rutas adquiridas DMVPN
aparecen como rutas externas EIGRP despus de haber sido redistribuidas en
el proceso EIGRP-100 utilizado en la LAN de campus.
En el sitio de agregacin de WAN debe conectar el router DMVPN a la capa de
distribucin y a la DMZ-VPN que proporciona la conexin a Internet. Los routers
hub DMVPN utilizan FVRF y tienen una ruta predeterminada esttica con el VRF
INET-PUBLIC apuntando a la interfaz de la zona desmilitarizada.
Figura 24: Detalles de routing DMVPN de los diseos WAN500/100

Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco 20

o Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco 19

Serie febrero 2012 Implementacin de una WAN DMVPN 50


EIGRP Hay un parmetro de unidad mxima de transmisin (MTU) para cada enlace
en una red IP y generalmente es de 1500 bytes. Los paquetes IP de ms de
Cisco utiliza IGRP mejorado (EIGRP) como el protocolo de routing principal
1500 bytes deben fragmentarse cuando se transmiten por estos enlaces.
porque es fcil de configurar, no requiere gran planificacin, permite un
La fragmentacin no es recomendable y puede afectar al rendimiento de la
resumen y un filtrado sencillos y puede ampliarse a redes de gran tamao. A
red. Para evitarla, el tamao del paquete original ms la sobrecarga no debe
medida que las redes crecen, el nmero de prefijos o rutas IP en las tablas
superar los 1500 bytes, por lo que el emisor deber reducir el tamao del
de routing tambin aumenta. Se recomienda programar el resumen de IP en
paquete original. En previsin de otra posible sobrecarga, Cisco recomienda la
aquellos enlaces en los que existan lmites lgicos, como por ejemplo los
configuracin de interfaces de tnel con una MTU de 1400 bytes.
enlaces de capa de distribucin al rea amplia o a un ncleo. Al llevar a cabo el
resumen de IP, puede reducir la cantidad de ancho de banda, los recursos de Existen mtodos dinmicos para que los clientes de red conozcan la MTU de
procesador y la memoria necesarios para llevar a cabo tablas de rutas de gran la ruta, lo que les permitir reducir el tamao de los paquetes que transmiten.
tamao y reducir el tiempo de convergencia asociado con un fallo de enlace. No obstante, en muchos casos, estos mtodos dinmicos no tienen xito,
normalmente debido a que los dispositivos de seguridad filtran el trfico de
En este diseo, el proceso 100 de EIGRP es el proceso EIGRP principal y se
descubrimiento necesario. La imposibilidad de averiguar la MTU de la ruta
denomina EIGRP-100.
crea la necesidad de un mtodo que permita a los clientes de red conocer de
Utilice EIGRP-100 en el sitio de agregacin de WAN para la conexin a la capa forma fiable cul es el tamao adecuado para el paquete. La solucin consiste
de distribucin LAN del sitio principal y en los sitios remotos con routers WAN en implementar el comando ip tcp adjust mss [size] en los routers WAN, lo
duales o con topologas LAN de capa de distribucin. Utilice EIGRP-200 para que influye en el valor de tamao de segmento mximo (MSS) de TCP del que
los tneles DMVPN. Debe configurar EIGRP-200 para el routing de zonas informan los hosts finales.
internas en todos los routers de sitio remoto para mejorar la estabilidad de la
El MSS define la cantidad mxima de datos que el host puede aceptar en un
red y reducir el uso de recursos.
solo datagrama IP/TCP. El valor MSS se enva como una opcin de encabezado
TCP solo en segmentos TCP SYN. Cada lado de una conexin TCP informa de
Cifrado su valor MSS al otro lado. Se requiere que el host emisor limite el tamao de los
El principal objetivo del cifrado es proporcionar confidencialidad, integridad datos en un solo segmento TCP a un valor menor o igual al MSS indicado por el
y autenticidad a los datos mediante el cifrado de paquetes IP durante la host receptor.
transferencia de los datos a travs de una red. Los encabezados IP y TCP combinados alcanzan 40 bytes de sobrecarga,
Las cargas tiles cifradas se encapsulan, a continuacin, con un nuevo por lo que el valor MSS tpico indicado por los clientes de red ser 1460. Este
encabezado (o varios) y se transmiten a travs de la red. Los encabezados diseo incluye tneles cifrados con una MTU de 1400 bytes, por lo que el MSS
adicionales introducen una cierta cantidad de sobrecarga a la longitud total del utilizado por los terminales debera configurarse en 1360 para reducir al mnimo
paquete. La siguiente tabla muestra la sobrecarga de paquetes asociada con cualquier impacto de la fragmentacin. En esta solucin, el comando ip tcp
el cifrado en funcin de los encabezados adicionales necesarios para varias adjust mss 1360 se implementa en todas las interfaces del router de cara a la
combinaciones de IPsec y GRE. WAN.

Tabla 13 - Sobrecarga asociada con IPsec y GRE DMVPN


Encapsulamiento Sobrecarga Esta solucin utiliza Internet para el transporte WAN. Por razones de privacidad
y seguridad de los datos, todo el trfico de sitio a sitio que pasa por Internet
GRE solamente 24 bytes
debe estar cifrado. Existen diversas tecnologas de cifrado, pero el mtodo
IPsec (modo transporte) que proporciona la mejor combinacin de rendimiento, escalabilidad,
IPsec (modo tnel) 52 bytes compatibilidad con aplicaciones y facilidad de implementacin es DMVPN.

IPsec (modo transporte) + GRE 60 bytes La mayora de los casos prcticos de esta gua de diseo utilizan Internet/
DMVPN como transporte WAN secundario que requiere un diseo DMVPN de
IPsec (modo tnel) + GRE 76 bytes nube nica y hub nico. Los routers DMVPN utilizan interfaces de tnel que
admiten unidifusin IP adems de multidifusin IP y trfico de difusin, incluido
el uso de protocolos de routing dinmico. Una vez que el tnel de radio a hub

Serie febrero 2012 Implementacin de una WAN DMVPN 51


inicial est activo, es posible crear tneles dinmicos de radio a radio cuando lo Figura 25: Nube nica DMVPN
requieran los flujos de trfico IP de sitio a sitio.
La informacin que requiere un radio para establecer tneles dinmicos de
radio a radio y resolver adecuadamente otros radios se proporciona a travs del
protocolo de resolucin del siguiente salto (NHRP). Los tneles de radio a radio
permiten el routing ptimo del trfico entre ubicaciones sin reenvo indirecto
a travs del hub. Los tneles de radio a radio inactivos agotan el tiempo de
espera tras un periodo de inactividad.
Es habitual que haya un firewall entre el router hub DMVPN e Internet. En
muchos casos, el firewall puede proporcionar la traduccin de direcciones
de red (NAT) de una direccin IP RFC-1918 interna (como 10.4.128.33) a una
direccin IP enrutable en Internet. La solucin DMVPN funciona bien con NAT
pero requiere el uso del modo de transporte IPsec para admitir un hub DMVPN
tras una NAT esttica.
DMVPN requiere el uso de intervalos keepalive de la Asociacin para la
seguridad en Internet y protocolo de gestin de claves (ISAKMP) para la
deteccin de puntos inactivos (DPD), que es fundamental para facilitar la
rpida reconvergencia y para que el registro de radio funcione correctamente
en caso de que un hub DMVPN se vuelva a cargar. Este diseo permite que
un radio detecte un fallo en un punto de cifrado y que la sesin ISAKMP con
ese punto es obsoleta, lo que permite que se cree uno nuevo. Sin DPD, la
asociacin de seguridad (SA) IPsec debe agotar el tiempo de espera (el tiempo
predeterminado es 60 minutos) y, cuando el router no puede renegociar una
nueva SA, se inicia una nueva sesin ISAKMP. El mximo tiempo de espera es
de aproximadamente 60 minutos.
Una de las principales ventajas de la solucin DMVPN es que los routers
de radio pueden utilizar direcciones asignadas dinmicamente, a menudo
utilizando DHCP de un proveedor de Internet. Los routers de radio pueden
utilizar una ruta de Internet predeterminada para poder llegar a los routers hub
y tambin a otras direcciones de radio.

El router hub
Presentation_ID
DMVPN tiene una direccin IP esttica
2008 Cisco Systems, Inc. Reservados todos los derechos.
asignada a su interfaz
Informacin confidencial de Cisco
pblica. Esta configuracin es esencial para un funcionamiento correcto, pues
cada router de radio tiene esta direccin IP integrada en sus configuraciones.

Serie febrero 2012 Implementacin de una WAN DMVPN 52



Detalles de la implementacin Procedimiento 1 Configuracin del switch de distribucin.
En los procedimientos de esta seccin se incluyen ejemplos de algunos
parmetros. Los parmetros y valores reales que deber usar van a estar
determinados por la configuracin de red actual.
Tabla 14 - Servicios de red comunes utilizados en los ejemplos de Sugerencia para el lector
implementacin
En este procedimiento se asume que el switch de distribucin
Servicio Direccin ya se ha configurado siguiendo las indicaciones de la Gua de
Nombre de host: VPN-ASR1002-1 implementacin de soluciones LAN de Cisco SBA for Enterprise
Direccin IP de bucle invertido del router: 10.4.32.243/32 OrganizationsBorderless Networks (Cisco SBA for Enterprise
OrganizationsBorderless Networks LAN Deployment Guide).
Direccin IP de canal de puerto del router: 10.4.32.18/30 En esta gua solo se incluyen los procedimientos necesarios para
permitir la integracin del router de agregacin de WAN en la
implementacin.

Proceso
El switch de distribucin de la LAN es la ruta para el Data Center y el campus
principal de la organizacin. La interfaz de canal de puerto de nivel 3 se
Configuracin del router hub DMVPN. conecta al switch de distribucin, al router de agregacin de WAN y a los
puntos iguales del protocolo de routing interno dentro de esta interfaz.
1. Configuracin del switch de distribucin.
2. Configuracin de la plataforma de agregacin de WAN.
Sugerencia para el lector
3. Configuracin de la conectividad de la LAN.
4. Configuracin de VRF Lite.
Como prctica recomendada, utilice la misma numeracin de canal
5. Conexin a la DMZ de Internet. en ambos lados del enlace siempre que sea posible.
6. Configuracin de ISAKMP e IPsec.

7. Configuracin del tnel mGRE.
8. Configuracin de EIGRP. Paso 1: Configuracin de la interfaz de canal de puerto de nivel 3 y asignacin
de la direccin IP.
interface Port-channel3
description VPN-ASR1002-1
no switchport
ip address 10.4.32.17 255.255.255.252
ip pim sparse-mode
logging event link-status
carrier-delay msec 0
no shutdown

Serie febrero 2012 Implementacin de una WAN DMVPN 53


Paso 2: Configuracin de las interfaces de miembro EtherChannel.
Procedimiento 2  onfiguracin de la plataforma de
C
Configure las interfaces fsicas que se van a vincular al canal de puerto lgico agregacin de WAN.
por medio del comando channel-group. El nmero del canal de puerto y del
grupo de canal deben coincidir.
Dentro de este diseo, existen caractersticas y servicios que son comunes a
Asimismo, aplique la macro QoS de salida que se defini en el procedimiento todos los routers de agregacin de WAN. Se trata de parmetros del sistema
de configuracin de la plataforma con el fin de garantizar que el trfico se que simplifican y aseguran la administracin de la solucin.
prioriza adecuadamente.
interface GigabitEthernet1/0/3 Paso 1: Configuracin del nombre de host del dispositivo.
description VPN-ASR1002-1 Gig0/0/0 hostname VPN-ASR1002-1
!
Paso 2: Configuracin de los protocolos de administracin del dispositivo.
interface GigabitEthernet2/0/3
description VPN-ASR1002-1 Gig0/0/1 HTTP seguro (HTTPS) y Secure Shell (SSH) son sustitutos seguros de los
protocolos HTTP y Telnet. Estos utilizan una capa de conexiones seguras (SSL)
!
y seguridad de la capa del transporte (TLS) para proporcionar autenticacin de
interface range GigabitEthernet1/0/3, GigabitEthernet2/0/3 dispositivos y cifrado de datos.
no switchport
La administracin segura del dispositivo LAN est disponible gracias a los
macro apply EgressQoS
protocolos SSH y HTTPS. Ambos protocolos estn cifrados para garantizar
carrier-delay msec 0 la privacidad. Los protocolos Telnet y HTTP, que no son seguros, estn
channel-protocol lacp desactivados.
channel-group 3 mode active
cdp run
logging event link-status
ip domain-name cisco.local
logging event trunk-status
ip ssh version 2
logging event bundle-status
no ip http server
no shutdown
ip http secure-server
Paso 3: Configuracin de las interfaces conectadas al ncleo LAN para line vty 0 15
resumir la gama de red WAN. transport input ssh
interface range TenGigabitEthernet1/1/1, TenGigabitEthernet2/1/1 El protocolo simple de administracin de red (SNMP) debe activarse para
ip summary-address eigrp 100 10.4.32.0 255.255.248.0 permitir la administracin de los dispositivos de infraestructura de red desde
ip summary-address eigrp 100 10.5.0.0 255.255.0.0 un sistema de administracin de la red (NMS). SNMPv2c est configurado
tanto para una cadena de comunidad de solo lectura como para una de
Paso 4: Permita que el protocolo de routing establezca relaciones de vecino lectura-escritura.
dentro de la interfaz de canal de puerto. snmp-server community cisco RO
router eigrp 100 snmp-server community cisco123 RW
no passive-interface Port-channel3
Paso 3: Configuracin de la autenticacin de usuario segura.
Active la autenticacin, la autorizacin y la poltica de cuentas (AAA) para
controlar el acceso. Todo acceso de administracin de dispositivos de
infraestructura de red (SSH y HTTPS) se controla con AAA.

Serie febrero 2012 Implementacin de una WAN DMVPN 54


Debe programar los dispositivos de red para que se sincronicen con un
servidor NTP local de la red. El servidor NTP local suele hacer referencia a un
Sugerencia para el lector
hilo de reloj ms preciso procedente de una fuente externa. Al configurar los
mensajes de consola, los registros y los resultados de depuracin para que
En esta arquitectura, el servidor AAA es Cisco Access Control incluyan marcas de tiempo, podr referenciar y comparar los eventos de la red.
System (ACS). Para obtener ms informacin acerca de la ntp server 10.4.48.17
configuracin del ACS, consulte la Gua de implementacin de !
autorizacin y autenticacin de dispositivos de red de Cisco SBA clock timezone PST -8
for Enterprise OrganizationsBorderless Networks (Cisco SBA for
Enterprise OrganizationsBorderless Networks Network Device clock summer-time PDT recurring
Authentication and Authorization Deployment Guide). !
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime

TACACS+ es el protocolo principal que se utiliza para autenticar los inicios de Cuando se activa el resultado de la depuracin y el registro sncrono de los
sesin de administracin de los dispositivos de infraestructura del servidor mensajes no solicitados, los mensajes de registro de la consola aparecen en
AAA. En cada dispositivo de infraestructura de red tambin se define una esta despus de que se muestre o imprima el resultado CLI interactivo. Este
base de datos de usuarios AAA, con el fin de proporcionar una fuente de comando tambin le permite seguir escribiendo en la consola del dispositivo
autenticacin de reserva en caso de que el servidor TACACS+ centralizado aunque est activada la depuracin.
noest disponible. line con 0
enable secret c1sco123 logging synchronous
service password-encryption
Paso 5: Configuracin de una interfaz de administracin en banda.
!
username admin password c1sco123 La interfaz de bucle invertido es una interfaz lgica que est disponible en todo
momento, siempre y cuando el dispositivo cuente con alimentacin y pueda
aaa new-model
accederse a una interfaz IP de la red. Debido a esta funcionalidad, la direccin
! de bucle invertido es la mejor opcin para la administracin en banda de los
tacacs server TACACS-SERVER-1 switches. Las caractersticas y procesos de nivel 3 tambin estn vinculados
address ipv4 10.4.48.15 a la interfaz de bucle invertido con el fin de garantizar la resistencia de los
key SecretKey procesos.
! La direccin de bucle invertido suele ser una direccin de host con una
aaa group server tacacs+ TACACS-SERVERS mscara de direccin de 32 bits. Asigne la direccin de bucle invertido del
server name TACACS-SERVER-1 bloque de direcciones IP que el switch de distribucin resume al resto de la red.
! interface Loopback 0
aaa authentication login default group TACACS-SERVERS local ip address 10.4.32.243 255.255.255.255
aaa authorization exec default group TACACS-SERVERS local ip pim sparse-mode
aaa authorization console
El comando ip pim sparse-mode se explicar con mayor detenimiento ms
ip http authentication aaa adelante en este procedimiento.
Paso 4: Configuracin de un reloj sincronizado
El protocolo de tiempo de la red (NTP) est diseado para sincronizar una red
de dispositivos. Normalmente, una red NTP obtiene la hora de una fuente de
tiempo fiable como, por ejemplo, un reloj controlado por radio o un reloj atmico
conectado a un servidor de tiempo. A continuacin, el protocolo NTP distribuye
este tiempo por toda la red de la organizacin.

Serie febrero 2012 Implementacin de una WAN DMVPN 55


Para conseguir una resistencia ptima, vincule los procesos SNMP y SSH con la Todos los routers y switches de nivel 3 deben configurarse de modo que
direccin de interfaz de bucle invertido: puedan detectar el RP de multidifusin IP con autorp. Utilice el comando ip
snmp-server trap-source Loopback0 pim autorp listener para permitir el descubrimiento entre los enlaces en modo
disperso. Esta configuracin puede cambiarse en funcin del diseo y de
ip ssh source-interface Loopback0
las necesidades de la red y permite controlar el entorno de multidifusin IP y
ip pim register-source Loopback0 ampliarlo si fuera necesario en el futuro.
ip tacacs source-interface Loopback0
ip pim autorp listener
ntp source Loopback0
Las interfaces de nivel 3 de la red deben activarse para el funcionamiento
Paso 6: Configuracin del routing unidifusin IP. multidifusin en modo disperso.
ip pim sparse-mode
Configure EIGRP de cara a la capa ncleo o de distribucin LAN. En este
diseo, la interfaz de canal de puerto y el bucle invertido deben ser interfaces
EIGRP. El bucle invertido puede permanecer como interfaz pasiva. La gama de
red debe incluir las dos direcciones IP de interfaz, bien en una instruccin de Procedimiento 3  onfiguracin de la conectividad de la
C
red o en varias. Este diseo sigue la prctica recomendada de asignar la ID del LAN.
router a una direccin de bucle invertido.
router eigrp 100 Cualquier enlace a capas de distribucin adyacentes deben ser enlaces de
network 10.4.0.0 0.1.255.255 nivel 3 o EtherChannels de nivel 3.
no auto-summary
Paso 1: Configuracin de la interfaz de nivel 3.
passive-interface default
interface Port-channel3
eigrp router-id 10.4.32.243
ip address 10.4.32.18 255.255.255.252
Paso 7: Configuracin del routing multidifusin IP. ip pim sparse-mode
Con la multidifusin IP puede replicar un nico flujo de datos IP mediante no shutdown
la infraestructura (routers y switches) y enviarlo desde una nica fuente a
diferentes receptores. El uso de la multidifusin IP es mucho ms eficaz que
Paso 2: Configuracin de las interfaces de miembro EtherChannel.
recurrir a flujos individuales unidifusin o a un flujo de difusin que se propague Configure las interfaces fsicas que se van a vincular al canal de puerto lgico
a cualquier parte. Algunos ejemplos de aplicaciones de multidifusin IP son la por medio del comando channel-group. El nmero del canal de puerto y del
MOH para telefona IP y la retransmisin de vdeo IP. grupo de canal deben coincidir.
Para recibir un flujo de datos de multidifusin IP especfico, los hosts interface GigabitEthernet0/0/0
finales deben unirse a un grupo de multidifusin enviando un mensaje de description WAN-D3750X Gig1/0/3
administracin de grupos de Internet (IGMP) a su router de multidifusin local. !
En un diseo de multidifusin IP tradicional, el router local se pone en contacto
interface GigabitEthernet0/0/1
con otro router de la red que acta como RP para asignar los receptores a
fuentes activas, con el fin de que puedan encontrar sus flujos. description WAN-D3750X Gig2/0/3
!
En este diseo, que se basa en un funcionamiento multidifusin en modo
interface range GigabitEthernet0/0/0, GigabitEthernet0/0/1
disperso, se utiliza RP automtico para proporcionar un mtodo escalable y
sencillo de activar un entorno RP de alta resistencia. no ip address
channel-group 3 mode active
Active el routing de multidifusin IP para las plataformas del modo de
cdp enable
configuracin global.
no shutdown
ip multicast-routing distributed

Serie febrero 2012 Implementacin de una WAN DMVPN 56


Paso 3: Configuracin de la interfaz EIGRP.
Procedimiento 5 Conexin a la DMZ de Internet.
Permita que EIGRP establezca relaciones de vecino en la interfaz para
establecer adyacencias entre iguales y tablas de rutas de intercambio.
El hub DMVPN requiere una conexin a Internet y en este diseo est
router eigrp 100 conectado a travs de un dispositivo Cisco ASA5500 Adaptive Security
no passive-interface Port-channel 3 Appliance que utiliza una interfaz DMZ creada y configurada especficamente
para un router de terminacin de VPN.

Procedimiento 4 Configuracin de VRF Lite. Paso 1: Activacin de la interfaz, seleccin de VRF y asignacin de la direccin
IP.
Se crea un VRF de cara a Internet para que admita FVRF para DMVPN. El La direccin IP que se utilice para la interfaz de cara a Internet del router hub
nombre VRF es arbitrario, aunque resulta til seleccionar un nombre que DMVPN debe ser una direccin enrutable en Internet. Existen dos mtodos
describa el VRF. Tambin debe configurarse un descriptor de ruta (RD) posibles para realizar esta tarea:
asociado para que el VRF funcione. La configuracin RD tambin crea las tablas Asignar una direccin IP enrutable directamente al router.
de routing y reenvo, y asocia el RD a la instancia VRF.
Asignar una direccin no enrutable RFC-1918 directamente al router y
Este diseo utiliza VRF Lite de forma que el valor RD puede elegirse de utilizar una NAT esttica en Cisco ASA5500 para traducir la direccin IP del
forma arbitraria. Cuando se utilizan varios VRF de forma similar, una prctica router en una direccin IP enrutable.
recomendada es utilizar la misma combinacin VRF/RD en los diferentes
dispositivos. Sin embargo, esta convencin no es obligatoria. Este diseo asume que Cisco ASA5500 est configurado para NAT esttica
para el router hub DMVPN.
ip vrf INET-PUBLIC
rd 65512:1 El diseo DMVPN utiliza FVRF, por lo que esta interfaz debe ubicarse en el VRF
configurado en el procedimiento anterior.
interface GigabitEthernet0/0/3
Sugerencia para el lector ip vrf forwarding INET-PUBLIC
ip address 192.168.18.10 255.255.255.0
no shutdown
Referencia de comando:
Un RD puede estar relacionado con un ASN (formado por un ASN Paso 2: Configuracin de routing predeterminado especfico de VRF.
y un nmero arbitrario) o con una direccin IP (formada por una El VRF creado para FVRF debe tener su propia ruta a Internet predeterminada.
direccin IP y un nmero arbitrario). Esta ruta predeterminada dirige a la direccin IP de la interfaz DMZ de
ASA5500.
Puede introducir un RD en cualquiera de estos formatos:
ip route vrf INET-PUBLIC 0.0.0.0 0.0.0.0 192.168.18.1
Nmero de sistema autnomo de 16 bits: su nmero de 32 bits
Por ejemplo: 65512:1.
Direccin IP de 32 bits: su nmero de 16 bits.
Por ejemplo: 192.168.122.15:1.

Serie febrero 2012 Implementacin de una WAN DMVPN 57


Figura 26: Vistas fsica y lgica de la conexin DMZ crypto isakmp policy 10
encr aes 256
hash sha
authentication pre-share
group 2

Paso 3: Creacin del perfil ISAKMP.


El perfil ISAKMP crea una asociacin entre una direccin de identidad, un VRF y
la creacin de claves de cifrado. Las direcciones comodn dentro de un VRF se
las referencia como 0.0.0.0.
crypto isakmp profile FVRF-ISAKMP-INET-PUBLIC
Firewall Firewall
keyring DMVPN-KEYRING
match identity address 0.0.0.0 INET-PUBLIC

Paso 4: Definicin del conjunto de transformacin IPsec.


Un conjunto de transformacin es una combinacin aceptable de protocolos
de seguridad, algoritmos y otros parmetros que se aplican al trfico protegido
por IPsec. Los puntos iguales aceptan utilizar un conjunto de transformacin
Internet Internet determinado al proteger un flujo de datos concreto.
El conjunto de transformacin IPsec para DMVPN utiliza los siguientes
Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco 22 elementos:

Procedimiento 6 Configuracin de ISAKMP e IPsec. ESP con el algoritmo de cifrado AES de 256 bits.
ESP con el algoritmo de autenticacin SHA (variante HMAC)

Paso 1: Configuracin de la creacin de claves de cifrado. Dado que el router hub DMVPN se encuentra tras un dispositivo NAT, la
transformacin IPsec debe configurarse para el modo transporte.
Con la creacin de claves de cifrado se define una clave (o contrasea)
crypto ipsec transform-set AES256/SHA/TRANSPORT esp-aes 256 esp-
previamente compartida (PSK) vlida para fuentes IP que sean accesibles
dentro de un VRF particular. Esta clave es un comodn PSK si se aplica sha-hmac
a cualquier IP de origen. La clave de comodn se configura utilizando la mode transport
combinacin de mscara y de red 0.0.0.00.0.0.0.
Paso 5: Creacin del perfil IPsec.
crypto keyring DMVPN-KEYRING vrf INET-PUBLIC
pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123 El perfil IPsec crea una asociacin entre el perfil ISAKMP y el conjunto de
transformacin IPsec.
Paso 2: Configuracin de la poltica ISAKMP. crypto ipsec profile DMVPN-PROFILE
La poltica ISAKMP para DMVPN utiliza los siguientes elementos: set transform-set AES256/SHA/TRANSPORT
Estndar de cifrado avanzado (AES) con una clave de 256 bits set isakmp-profile FVRF-ISAKMP-INET-PUBLIC

Estndar de hash seguro (SHA)


Autenticacin mediante PSK
Grupo Diffie-Hellman: 2

Serie febrero 2012 Implementacin de una WAN DMVPN 58


NHRP requiere que todos los dispositivos dentro de una nube DMVPN utilicen
Procedimiento 7 Configuracin del tnel mGRE. la misma ID de red y clave de autenticacin. El tiempo de espera de la cach de
NHRP debe configurarse en 600 segundos.
Paso 1: Configuracin de los parmetros de interfaz bsicos. EIGRP (configurado en el siguiente procedimiento) depende de un transporte
multidifusin y requiere NHRP para agregar routers automticamente a las
Las interfaces de tnel se crean a medida que se configuran. El nmero de asignaciones NHRP multidifusin.
tnel es arbitrario, aunque es recomendable comenzar a numerar a partir de
10, ya que algunas otras caractersticas implementadas en este diseo pueden El comando ip nhrp redirect permite que el hub DMVPN notifique a los routers
requerir tneles y, de hacerlo, seleccionarn nmeros ms bajos de forma de radio que existe una ruta ms ptima para una red de destino, lo que puede
predeterminada. ser necesario para las comunicaciones directas entre radios DMVPN.
El parmetro de ancho de banda debe establecerse de modo que se ajuste al interface Tunnel10
ancho de banda de Internet del operador principal o secundario respectivo. ip nhrp authentication cisco123
ip nhrp map multicast dynamic
Establezca la MTU IP en 1400 y el valor ip tcp adjust-mss en 1360. Hay una
diferencia de 40 bytes, lo que corresponde a la longitud del encabezado TCP y ip nhrp network-id 101
IP combinado. ip nhrp holdtime 600
interface Tunnel10 ip nhrp redirect
bandwidth 10000 Paso 4: Activacin del modo de acceso mltiple sin retransmisin (NBMA) PIM
ip address 10.4.34.1 255.255.254.0 para el tnel DMVPN.
no ip redirects
Las redes DMVPN de radio a radio plantean un reto nico, ya que los radios
ip mtu 1400 no pueden intercambiar informacin de forma directa entre s, incluso aunque
ip tcp adjust-mss 1360 se encuentren en la misma red lgica. Esta incapacidad de intercambiar
informacin de forma directa tambin puede causar problemas al ejecutar la
Paso 2: Configuracin del tnel. multidifusin IP.
DMVPN utiliza tneles GRE (mGRE) multipunto. Este tipo de tnel solamente Para resolver este problema se requiere un mtodo en el que se haga un
requiere una interfaz de origen. La interfaz de origen es la que se conecta a seguimiento por separado de los mensajes de combinacin de cada vecino PIM
Internet. Establezca el comando tunnel vrf en el VRF definido previamente para remoto. Cuando el router se encuentra en modo PIM NBMA, cada vecino PIM
FVRF. remoto se trata como si estuviera conectado al router mediante un enlace punto
Para activar el cifrado de esta interfaz, es necesario aplicar el perfil IPsec a punto.
configurado en el procedimiento anterior.
interface Tunnel10
tunnel source GigabitEthernet0/0/3 Sugerencia tcnica
tunnel mode gre multipoint
tunnel vrf INET-PUBLIC No active el PIM en la interfaz DMZ de Internet, ya que no debe
tunnel protection ipsec profile DMVPN-PROFILE solicitarse ningn trfico multidifusin desde esta interfaz.

Paso 3: Configuracin de NHRP.


El router hub DMVPN acta como servidor NHRP para todos los radios. NHRP interface Tunnel10
se utiliza en los routers remotos para determinar los destinos de tnel para los ip pim sparse-mode
puntos iguales conectados al tnel mGRE.
ip pim nbma-mode

Serie febrero 2012 Implementacin de una WAN DMVPN 59


Paso 5: Configuracin de EIGRP. Paso 2: Etiquetado y redistribucin de las rutas.
EIGRP se configura en el procedimiento 8, pero antes deben configurarse Este diseo utiliza la redistribucin de rutas mutua. Las rutas de DMVPN
algunos requisitos especficos para la interfaz de tnel mGRE. del proceso EIGRP-200 se redistribuyen en EIGRP-100 y el resto de las
rutas adquiridas de EIGRP-100 se redistribuyen en EIGRP-200. Puesto
Las redes DMVPN de radio a radio plantean un reto nico, ya que los radios no
que el protocolo de routing es el mismo, no se requiere ninguna mtrica
pueden intercambiar informacin de forma directa entre s, incluso aunque se
predeterminada.
encuentren en la misma red lgica. Esta limitacin requiere que el router hub
DMVPN notifique las rutas de otros radios de la misma red. El horizonte dividido Al utilizar la redistribucin de rutas mutua, es importante controlar de forma
evita normalmente la notificacin de estas rutas, pero puede ignorarse con el estricta la forma en que la informacin de routing se comparte entre los
comando no ip split-horizon eigrp. diferentes protocolos de routing. De lo contrario, pueden producirse situaciones
de variacin de rutas, en las que algunas rutas se instalan y eliminan varias
El intervalo hello de EIGRP se incrementa a 20 segundos y el tiempo de espera
veces de las tablas de routing del dispositivo. El control adecuado de las rutas
de EIGRP se incrementa a 60 segundos para poder acoger hasta 500 sitios
garantiza la estabilidad de las tablas de routing.
remotos en una nica nube DMVPN.
interface Tunnel10 Se utiliza una lista de distribucin de entrada en los routers CE MPLS de
agregacin de WAN para limitar las rutas que se aceptan para la instalacin en
ip hello-interval eigrp 200 20
la tabla de rutas. Estos routers se configuran para que solo se acepten las rutas
ip hold-time eigrp 200 60 que no provengan de las fuentes MPLS y DMVPN WAN. Para realizar esta tarea,
no ip split-horizon eigrp 200 el router hub DMVPN debe etiquetar explcitamente las rutas WAN adquiridas
de DMVPN durante el proceso de redistribucin de rutas. Las etiquetas de ruta
especficas en uso se muestran en la tabla siguiente.
Procedimiento 8 Configuracin de EIGRP. Tabla 15 - Informacin de etiquetas de ruta del router hub DMVPN

Puede utilizar dos procesos EIGRP en los routers hub DMVPN. El motivo Mtodo de
principal del proceso adicional es garantizar que las rutas adquiridas por Etiqueta Fuente de la ruta etiqueta Accin
los WAN remotos aparezcan como rutas externas de EIGRP en el switch 65401 MPLS A Implcito Aceptar
de distribucin WAN. Si utiliza un solo proceso, las rutas de sitio remoto
aparecern como rutas internas de EIGRP en el switch de distribucin WAN, lo 65402 MPLS B Implcito Aceptar
que sera preferible a las rutas adquiridas de VPN MPLS. 300 WAN de nivel 2 Explcito Aceptar

Paso 1: Activacin de un proceso EIGRP-200 adicional para DMVPN. 65512 Routers hub DMVPN Explcito Etiquetar

Configure EIGRP-200 para la interfaz mGRE DMVPN. Las rutas del otro proceso
En este ejemplo se incluyen todas las fuentes de ruta WAN del diseo de
EIGRP se redistribuyen. Puesto que el protocolo de routing es el mismo, no se
referencia. En funcin del diseo actual de su red, puede que tenga que utilizar
requiere ninguna mtrica predeterminada.
ms etiquetas.
La interfaz de tnel es la nica interfaz EIGRP y su gama de red debe router eigrp 100
enumerarse explcitamente.
redistribute eigrp 200 route-map SET-ROUTE-TAG-DMVPN
router eigrp 200 !
network 10.4.34.0 0.0.1.255 router eigrp 200
passive-interface default redistribute eigrp 100
no passive-interface Tunnel10 !
eigrp router-id 10.4.32.243 route-map SET-ROUTE-TAG-DMVPN permit 10
no auto-summary match interface Tunnel10
set tag 65512

Serie febrero 2012 Implementacin de una WAN DMVPN 60


!
Proceso interface range GigabitEthernet1/0/24, GigabitEthernet2/0/24
switchport trunk encapsulation dot1q
switchport trunk allowed vlan add 1118
Configuracin de switch de la DMZ y el firewall switchport mode trunk
macro apply EgressQoS
1. Configuracin del switch DMZ. logging event link-status
2. Configuracin de la interfaz de zona desmilitarizada. logging event trunk-status
no shutdown
3. Configuracin de la traduccin de direcciones de red.
4. Configuracin de la poltica de seguridad. Paso 3: Configure las interfaces que estn conectadas al router
DMVPN-aggregation.

interface GigabitEthernet1/0/7
description VPN-ASR1002-1
switchport access vlan 1118
Procedimiento 1 Configuracin del switch DMZ. switchport host
macro apply EgressQoS
logging event link-status
no shutdown
Sugerencia para el lector

En este procedimiento se asume que el switch ya se ha configurado Procedimiento 2  onfiguracin de la interfaz de zona
C
desmilitarizada.
siguiendo las indicaciones de la Gua de implementacin de
soluciones LAN de Cisco SBA for Enterprise Organizations
Borderless Networks (Cisco SBA for Enterprise Organizations La zona desmilitarizada (DMZ) del firewall es una parte de la red en la que se
Borderless Networks LAN Deployment Guide). En esta gua solo se suele restringir el trfico que va hacia otras partes de la red y el que viene
incluyen los procedimientos necesarios para permitir la integracin de ellas. Las organizaciones ubican los servicios de red en una DMZ para su
del firewall en la implementacin. exposicin a Internet. Estos servidores normalmente no pueden tener permiso
para iniciar conexiones a la red "interna", excepto en circunstancias especficas.
La red DMZ se conecta a los dispositivos a travs de la interfaz GigabitEthernet
de los mismos mediante un enlace de VLAN troncal para permitir la mayor
Paso 1: Configure el switch DMZ para que sea la raz del rbol de extensin de flexibilidad en caso de que sea necesario aadir nuevas VLAN para conectar
la VLAN que contiene el router DMVPN-aggregation. DMZ adicionales. El enlace troncal conecta los dispositivos a una pila de
vlan 1118 switches de acceso 3750x para proporcionar resistencia. A cada interfaz
spanning-tree vlan 1118 root primary VLAN de la DMZ de Cisco ASA se asigna una direccin IP, que ser el gateway
predeterminado para cada una de las subredes de VLAN. El switch de la DMZ
Paso 2: Configure las interfaces que estn conectadas a los dispositivos de ofrece solo capacidad de switching de nivel 2; las interfaces VLAN del switch de
forma troncal. la DMZ no tienen asignada una direccin IP, excepto una interfaz VLAN con una
direccin IP para gestionar el switch.
interface GigabitEthernet1/0/24
description IE-ASA5540a Gig0/1
!
interface GigabitEthernet1/0/24
description IE-ASA5540b Gig0/1

Serie febrero 2012 Implementacin de una WAN DMVPN 61


Figura 27: Topologa y servicios de VLAN de la DMZ. Paso 3: Seleccione Enable Interface (Activar interfaz) y, a continuacin, haga
clic en OK (Aceptar).

Sugerencia tcnica 31
Paso 4: En el panel Interface (Interfaz), haga clic en Add > Interface (Agregar> Interfaz).
ntation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco

Al establecer la conectividad DMZ como una VLAN troncal, se Paso 5: En la lista Hardware Port (Puerto de hardware), seleccione la interfaz
obtiene la mxima flexibilidad. configurada en el paso 1. (Ejemplo: GigabitEthernet0/1).

Paso 6: En el cuadro VLAN ID (ID de VLAN), introduzca el nmero de VLAN de


la DMZ. (Ejemplo: 1118).
Paso 1: En Configuration > Device Setup > Interfaces (Configuracin >
Configuracin del dispositivo > Interfaces), haga clic en la interfaz conectada al Paso 7: En el cuadro Subinterface ID (ID de subinterfaz), introduzca el nmero
switch de la DMZ. (Ejemplo: GigabitEthernet0/1). de VLAN de la DMZ. (Ejemplo: 1118).

Paso 2: Haga clic en Edit (Editar). Paso 8: Introduzca un valor en Interface Name (Nombre de interfaz). (Ejemplo:
dmz-dmvpn).

Paso 9: En el cuadro Security Level (Nivel de seguridad), introduzca un valor de 75.

Paso 10: Introduzca un valor en IP Address (Direccin IP) de la interfaz.


(Ejemplo: 192.168.18.1).

Paso 11: Introduzca un valor en Subnet Mask (Mscara de subred) y,


acontinuacin, haga clic en OK (Aceptar). (Ejemplo: 255.255.255.0).

Serie febrero 2012 Implementacin de una WAN DMVPN 62


Paso 12: Haga clic en Apply (Aplicar). Paso 16: Haga clic en Apply (Aplicar).

Paso 13: En Configuration > Device Management > High Availability


(Configuracin > Administracin de dispositivos > Alta disponibilidad), haga clic
en Failover (Conmutacin por error).

Paso 14: En la pestaa Interfaces, para la interfaz que ha creado en el paso


4, en la columna Standby IP address (Direccin IP en espera), introduzca la
direccin IP de la unidad en espera. (Ejemplo: 192.168.18.2).

Paso 15: Seleccione Monitored (Controlada).

Serie febrero 2012 Implementacin de una WAN DMVPN 63


Paso 6: Haga clic en Apply (Aplicar).
Procedimiento 3  onfiguracin de la traduccin de
C
direcciones de red.

La DMZ utiliza direccionamiento de red privado (RFC 1918) que no se puede


enrutar a Internet, por lo que el firewall debe traducir la direccin DMZ del
router DMVPN-aggregation en una direccin pblica externa.
En la siguiente tabla se muestra un ejemplo de asignacin de una direccin
DMZ a una IP pblica.

Direccin DMZ Direccin pblica del router DMVPN-


del router aggregation (enrutable externamente
DMVPN-aggregation despus de NAT)
192.168.18.10 172.16.130.1 (ISP-A)

Paso 1: En Configuration > Firewall > Objects (Configuracin > Firewall >
Objetos), haga clic en Network Objects/Groups (Objetos/grupos de red).
Primero, agregue un objeto de red a la direccin pblica del router DMVPN-
aggregation en la conexin de Internet principal.

Paso 2: Haga clic en Add > Network Object (Agregar > Objeto de red).
A continuacin, agregue un objeto de red a la direccin DMZ privada del router
Paso 3: En el cuadro de dilogo Add Network Object (Agregar objeto de red), DMVPN-aggregation.
en el cuadro Name (Nombre), introduzca una descripcin de la direccin IP
pblica del router DMVPN-aggregation. (Ejemplo: outside-dmvpn-ISPa). Paso 7: Haga clic en Add > Network Object (Agregar > Objeto de red).

Paso 4: En la lista Type (Tipo), seleccione Host. Paso 8: En el cuadro de dilogo Add Network Object (Agregar objeto de red),
en el cuadro Name (Nombre), introduzca una descripcin de la direccin IP
Paso 5: En el cuadro IP Address (Direccin IP), introduzca la direccin IP DMZ privada del router DMVPN-aggregation. (Ejemplo: dmz-dmvpn-1).
pblica del router y, a continuacin, haga clic en OK (Aceptar). (Ejemplo:
172.16.130.1). Paso 9: En la lista Type (Tipo), seleccione Host.

Paso 10: En el cuadro IP Address (Direccin IP), introduzca la direccin IP


DMZ privada del router. (Ejemplo: 192.168.18.10).

Paso 11: Haga clic en las dos flechas hacia abajo. El panel NAT se ampla.

Paso 12: Seleccione Add Automatic Address Translation Rules (Agregar


reglas de traduccin de direcciones automticas).

Serie febrero 2012 Implementacin de una WAN DMVPN 64


Paso 13: En la lista Translated Addr (Direcciones traducidas), seleccione el Paso 15: En la lista Destination Interface (Interfaz de destino), seleccione el
objeto de red creado en el Step 2. nombre de la interfaz para la conexin a Internet principal y, a continuacin,
haga clic en OK (Aceptar). (Ejemplo: outside-16).

Paso 16: Haga clic en OK (Aceptar).

Paso 17: Haga clic en Apply (Aplicar).

Paso 14: Haga clic en Advanced (Opciones avanzadas).

Serie febrero 2012 Implementacin de una WAN DMVPN 65


Paso 3: Haga clic en Add > Insert (Agregar > Insertar).
Procedimiento 4 Configuracin de la poltica de seguridad.
Debe activar los routers remotos DMVPN para comunicarse con los routers de
agregacin DMVPN en la DMZ.
La DMZ de DMVPN proporciona un capa de proteccin adicional para reducir
la probabilidad de que se produzcan determinados tipos de errores de
Paso 4: En la lista Destination (Destino), seleccione el grupo de objetos de red
configuracin de los routers DMVPN que expongan la red empresarial en
creado en el Procedimiento 2 paso 16. (Ejemplo: dmz-dmvpn-network/24).
Internet. Por medio de un filtro se consigue que solo el trfico relacionado con
DMVPN llegue a los routers DMVPN-aggregation.
Paso 5: En el cuadro de lista Service (Servicio), introduzca esp, udp/4500,
Tabla 16 - Protocolos DMVPN necesarios (router de agregacin) udp/isakmp y, a continuacin, haga clic en OK (Aceptar).

Nombre Protocolo Uso


non500-isakmp UDP 4500 IPsec mediante NAT-T
isakmp UDP 500 ISAKMP
esp IP 50 IPsec

Tabla 17 - Protocolos opcionales: router DMVPN-aggregation

Nombre Protocolo Uso


icmp echo ICMP tipo 0, cdigo 0 Permitir pings remotos

icmp echo-reply ICMP tipo 8, cdigo 0 Permitir respuestas de ping


(desde nuestras solicitudes)

icmp ttl-exceeded ICMP tipo 11, cdigo 0 Permitir respuestas de


traceroute
(desde nuestras solicitudes)
icmp ICMP tipo 3, cdigo 3 Permitir respuestas de
port-unreachable traceroute
(desde nuestras solicitudes) A continuacin, debe insertar una nueva regla para permitir el trfico de
Puertos UDP altos UDP > 1023 Permitir traceroute remoto diagnstico a los routers DMVPN-aggregation.

Paso 6: Haga clic en Add > Insert (Agregar > Insertar).


Paso 1: En Configuration > Firewall (Configuracin > Firewall), haga clic en Debe activar los routers remotos DMVPN para comunicarse con los routers de
Access Rules (Reglas de acceso). agregacin DMVPN en la DMZ.

Paso 2: Haga clic en la regla que prohibe el trfico de la DMZ hacia otras Paso 7: En la lista Destination (Destino), seleccione el objeto de red creado
redes. automticamente para la DMZ de DMVPN. (Ejemplo: dmz-dmvpn-network/24).

A continuacin, debe insertar una nueva regla encima de la regla seleccionada.

Serie febrero 2012 Implementacin de una WAN DMVPN 66


Paso 8: En el cuadro de lista Service (Servicio), introduzca icmp/echo, icmp/ Este conjunto de procedimientos incluye los pasos adicionales necesarios
echo-reply y, a continuacin, haga clic en OK (Aceptar). para completar la configuracin de un router de radio CE MPLS y DMVPN con
funcin dual para un sitio remoto de WAN MPLS + DMVPN (router nico, enlace
dual).
En los siguientes procedimientos se asume que ya se ha completado la
configuracin de un router CE MPLS para un sitio remoto de WAN MPLS (router
y enlace nicos). Aqu solo se incluyen los procedimientos adicionales para
agregar un enlace de reserva DMVPN al router CE MPLS en ejecucin.
El siguiente grfico proporciona informacin sobre cmo agregar un enlace de
reserva de DMVPN a un router CE MPLS de sitio remoto existente.
Figura 28: Grfico de configuracin para aadir un enlace DMVPN de
reserva

Router CE MPLS
Configuracin finalizada

S Agregar enlace
Procedimientos de configuracin de la
adicin del 2 enlace de MPLS al router
secundario de MPLS?
CE MPLS existente

1. Conexin con el router PE MPLS. NO


2. Configuracin de BGP para enlace dual.

Agregar copia S
Paso 9: Haga clic en Apply (Aplicar). de seguridad
de DMVPN? Procedimientos de configuracin de la
activacin de la copia de seguridad de
DMVPN en un router CE MPLS existente
NO

Proceso 1.
2.
Configuracin de VRF Lite.
Conexin a Internet.
3. Configuracin de ISAKMP e IPsec.
4. Configuracin del tnel mGRE.
5
5. Configuracin de EIGRP
EIGRP.
6. Configuracin del routing multidifusin IP.

Activacin un enlace DMVPN de reserva en un router CE MPLS


existente

1. Configuracin de VRF Lite. Sitio completado

2. Conexin a Internet. 2009 Cisco Systems, Inc. Todos los derechos reservados. Informacin interna de Cisco 2

3. Configuracin de ISAKMP e IPsec.



4. Configuracin del tnel mGRE. Procedimiento 1 Configuracin de VRF Lite.
5. Configuracin de EIGRP.
Se crea un VRF de cara a Internet para que admita FVRF para DMVPN.
6. Configuracin del routing multidifusin IP. Elnombre VRF es arbitrario, aunque resulta til seleccionar un nombre que
describa el VRF. Tambin debe configurarse un RD asociado para que el VRF
sea funcional. La configuracin RD tambin crea las tablas de routing y reenvo,
y asocia el RD a la instancia VRF.

Serie febrero 2012 Implementacin de una WAN DMVPN 67


Este diseo utiliza VRF Lite de forma que el valor RD puede elegirse de Paso 1: Active la interfaz, seleccione VRF y active el DHCP.
forma arbitraria. Cuando se utilizan varios VRF de forma similar, una prctica
El diseo DMVPN utiliza FVRF, por lo que esta interfaz debe ubicarse en el VRF
recomendada es utilizar la misma combinacin VRF/RD en los diferentes
configurado en el procedimiento anterior.
dispositivos. Sin embargo, esta convencin no es obligatoria.
interface GigabitEthernet 0/1
ip vrf INET-PUBLIC
ip vrf forwarding INET-PUBLIC
rd 65512:1
ip address dhcp
no shutdown
Sugerencia para el lector
Paso 2: Configuracin y aplicacin de la lista de acceso.
La lista de acceso IP debe permitir los protocolos especificados en la siguiente
Referencia de comando: tabla. La lista de acceso se aplica de forma entrante en la interfaz WAN, por lo
que el filtrado se realiza en el trfico destinado al router.
Un RD puede estar relacionado con un ASN (formado por un ASN
y un nmero arbitrario) o con una direccin IP (formada por una Tabla 18 - Protocolos DMVPN necesarios
direccin IP y un nmero arbitrario).
Nombre Protocolo Uso
Puede introducir un RD en cualquiera de estos formatos:
non500-isakmp UDP 4500 IPsec mediante NAT-T
Nmero de sistema autnomo de 16 bits: su nmero de 32 bits
isakmp UDP 500 ISAKMP
Por ejemplo: 65512:1. esp IP 50 IPsec
Direccin IP de 32 bits: su nmero de 16 bits. bootpc UDP 68 DHCP

Por ejemplo: 192.168.122.15:1.


Lista de acceso de ejemplo:
interface GigabitEthernet 0/1
ip access-group ACL-INET-PUBLIC in
ip access-list extended ACL-INET-PUBLIC
permit udp any any eq non500-isakmp
Procedimiento 2 Conexin a Internet. permit udp any any eq isakmp
permit esp any any
Los sitios remotos que utilizan DMVPN pueden utilizar direcciones IP asignadas permit udp any any eq bootpc
esttica o dinmicamente. Cisco ha probado el diseo con una direccin
externa asignada por DHCP, que tambin proporciona una ruta predeterminada
configurada dinmicamente.
El router de radio DMVPN se conecta directamente a Internet sin utilizar un
firewall adicional. La garanta de esta conexin se consigue de dos formas.
Puesto que la interfaz de Internet se encuentra en un VRF aparte, ningn flujo
de trfico puede acceder al VRF global a excepcin del trfico que se dirige
a travs del tnel DMVPN. Este diseo proporciona una seguridad implcita.
De forma adicional, existe una lista de acceso IP que solo permite el trfico
necesario para un tnel cifrado, as como un DHCP y varios protocolos ICMP
para la resolucin de problemas.

Serie febrero 2012 Implementacin de una WAN DMVPN 68


Los protocolos adicionales incluidos en la tabla que se muestra a continuacin Paso 2: Configuracin de la poltica ISAKMP y la deteccin de puntos
pueden ser de utilidad en la resolucin de problemas, aunque estos no son inactivos.
necesarios de forma explcita para permitir que el DMVPN funcione correctamente.
La poltica ISAKMP para DMVPN utiliza los siguientes elementos:
Tabla 19 - Protocolos opcionales para el router de radio DMVPN Estndar de cifrado avanzado (AES) con una clave de 256 bits
Nombre Protocolo Uso Estndar de hash seguro (SHA)

icmp echo ICMP tipo 0, cdigo 0 Permitir pings remotos Autenticacin mediante PSK

icmp echo-reply ICMP tipo 8, cdigo 0 Permitir respuestas de ping Grupo Diffie-Hellman: 2
(desde nuestras solicitudes) DPD se activa con intervalos keepalive enviados cada 30 segundos, con un
icmp ttl-exceeded ICMP tipo 11, cdigo 0 Permitir respuestas de intervalo de reintento de 5 segundos, lo que se considera una opcin de
traceroute (desde nuestras configuracin razonable para detectar un hub que no funcione correctamente.
solicitudes) crypto isakmp policy 10
icmp ICMP tipo 3, cdigo 3 Permitir respuestas de encr aes 256
port-unreachable traceroute (desde nuestras hash sha
solicitudes) authentication pre-share
Puertos UDP altos UDP > 1023, TTL=1 Permitir traceroute remoto group 2
!
Las entradas opcionales adicionales para que una lista de acceso admita ping crypto isakmp keepalive 30 5
son las siguientes:
Paso 3: Creacin del perfil ISAKMP.
permit icmp any any echo
permit icmp any any echo-reply El perfil ISAKMP crea una asociacin entre una direccin de identidad, un VRF
y una creacin de claves de cifrado. Las direcciones comodn dentro de un VRF
Las entradas opcionales adicionales para que una lista de acceso admita
se las referencia como 0.0.0.0.
traceroute son las siguientes:
crypto isakmp profile FVRF-ISAKMP-INET-PUBLIC
permit icmp any any ttl-exceeded ! for traceroute
keyring DMVPN-KEYRING
(sourced)
match identity address 0.0.0.0 INET-PUBLIC
permit icmp any any port-unreachable ! for traceroute
(sourced) Paso 4: Definicin del conjunto de transformacin IPsec.
permit udp any any gt 1023 ttl eq 1 ! for traceroute
Un conjunto de transformacin es una combinacin aceptable de protocolos
(destination) de seguridad, algoritmos y otros parmetros que se aplican al trfico protegido
por IPsec. Los puntos iguales aceptan utilizar un conjunto de transformacin
determinado al proteger un flujo de datos concreto.
Procedimiento 3 Configuracin de ISAKMP e IPsec.
El conjunto de transformacin IPsec para DMVPN utiliza los siguientes
elementos:
Paso 1: Configuracin de la creacin de claves de cifrado. ESP con el algoritmo de cifrado AES de 256 bits.
Con la creacin de claves de cifrado se define una clave (o contrasea) ESP con el algoritmo de autenticacin SHA (variante HMAC)
previamente compartida (PSK) vlida para fuentes IP que sean accesibles
dentro de un VRF particular. Esta clave es un comodn PSK si se aplica
a cualquier IP de origen. La clave de comodn se configura utilizando la
combinacin de mscara y de red 0.0.0.00.0.0.0.
crypto keyring DMVPN-KEYRING vrf INET-PUBLIC
pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123

Serie febrero 2012 Implementacin de una WAN DMVPN 69


El router hub DMVPN est detrs de un dispositivo NAT, por lo que se debe Para activar el cifrado de esta interfaz, es necesario aplicar el perfil IPsec
configurar la transformacin IPsec para el modo de transporte. configurado en el procedimiento anterior.
crypto ipsec transform-set AES256/SHA/TRANSPORT esp-aes 256 esp- interface Tunnel10
sha-hmac tunnel source GigabitEthernet 0/1
mode transport tunnel mode gre multipoint
tunnel vrf INET-PUBLIC
Paso 5: Creacin del perfil IPsec. tunnel protection ipsec profile DMVPN-PROFILE
El perfil IPsec crea una asociacin entre el perfil ISAKMP y el conjunto de
transformacin IPsec. Paso 3: Configuracin de NHRP.
crypto ipsec profile DMVPN-PROFILE El router hub DMVPN es el servidor NHRP para todos los radios. NHRP se utiliza
set transform-set AES256/SHA/TRANSPORT en los routers remotos para determinar los destinos de tnel para los puntos
set isakmp-profile FVRF-ISAKMP-INET-PUBLIC iguales conectados al tnel mGRE.
El router de radio requiere varias instrucciones de configuracin adicionales
para definir el servidor NHRP (NHS) e instrucciones de asignacin NHRP para
Procedimiento 4 Configuracin del tnel mGRE. la direccin IP del tnel mGRE del router hub DMVPN. La configuracin de
EIGRP (realizada en el procedimiento 5 que se detalla a continuacin) se basa
en un transporte multidifusin. Los routers de radio requieren asignacin de
Paso 1: Configuracin de los parmetros de interfaz bsicos. multidifusin dinmica NHRP.
Las interfaces de tnel se crean a medida que se configuran. El nmero de El valor que se utiliza en el NHS es la direccin del tnel mGRE para el router
tnel es arbitrario, aunque es recomendable comenzar a numerar a partir de hub DMVPN. Las entradas de asignacin deben configurarse fuera del valor
10, ya que algunas otras caractersticas implementadas en este diseo pueden de NAT del hub DMVPN, al igual que en la configuracin de Cisco ASA5500.
requerir tneles y, de hacerlo, seleccionarn nmeros ms bajos de forma Este diseo utiliza los valores que se muestran en la tabla que aparece a
predeterminada. continuacin.
El parmetro de ancho de banda debe coincidir con el ancho de banda de Tabla 20 - Informacin de direccin IP del hub DMVPN
Internet.
NHS (direccin del
Establezca la MTU IP en 1400 y el valor ip tcp adjust-mss en 1360. Hay una Direccin DMZ del Direccin externa del tnel mGRE del hub
diferencia de 40 bytes, lo que corresponde a la longitud del encabezado TCP y hub DMVPN hub DMVPN DMVPN)
IP combinado.
192.168.18.10 172.16.130.1 10.4.34.1
interface Tunnel10
bandwidth [ancho de banda (kbps)]
NHRP requiere que todos los dispositivos dentro de una nube DMVPN utilicen
ip address [direccin IP] [mscara de red] la misma ID de red y clave de autenticacin. El tiempo de espera de la cach de
no ip redirects NHRP debe configurarse en 600 segundos.
ip mtu 1400
Este diseo admite routers de radio DMVPN que reciben sus direcciones
ip tcp adjust-mss 1360 IP externas a travs del DHCP. Despus de un reinicio, es posible que
estos routers adquieran diferentes direcciones IP. Cuando el router intenta
Paso 2: Configuracin del tnel.
registrarse en el servidor NHRP, puede aparecer como duplicado en relacin
DMVPN utiliza tneles GRE (mGRE) multipunto. Este tipo de tnel solamente con una entrada que ya se encuentre en la cach y ser rechazado. La opcin
requiere una interfaz de origen. La interfaz de origen debe ser la misma registration no-unique le permite sobrescribir entradas de cach existentes.
que la utilizada para conectarse a Internet. El comando tunnel vrf debera Esta caracterstica solo es necesaria en los clientes NHRP (routers de radio
establecerse en el VRF definido previamente para FVRF. DMVPN).

Serie febrero 2012 Implementacin de una WAN DMVPN 70


El comando ip nhrp redirect permite que el hub DMVPN notifique a los routers
de radio que existe una ruta ms ptima para una red de destino, lo que puede Procedimiento 5 Configuracin de EIGRP.
ser necesario para las comunicaciones directas entre radios DMVPN. Los
routers de radio DMVPN tambin utilizan switches entre radios al crear tneles En el router de radio DMVPN, se ejecuta un nico proceso EIGRP-200. Todas
de este tipo. las interfaces del router son del tipo EIGRP, pero solo la interfaz del tnel
interface Tunnel10 DMVPN es no pasiva. La gama de red debe incluir todas las direcciones IP de
ip nhrp authentication cisco123 interfaz, bien en una instruccin de red o en varias. Este diseo sigue la prctica
recomendada de asignar la ID del router a una direccin de bucle invertido.
ip nhrp map 10.4.34.1 172.16.130.1 Todos los routers de radio DMVPN deben ejecutar routing EIGRP de rutas
ip nhrp map multicast 172.16.130.1 internas para mejorar la estabilidad de la red y reducir el uso de recursos.
ip nhrp network-id 101 router eigrp 200
ip nhrp holdtime 600 network 10.4.34.0 0.0.1.255
ip nhrp nhs 10.4.34.1 network 10.5.0.0 0.0.255.255
ip nhrp registration no-unique passive-interface default
ip nhrp shortcut no passive-interface Tunnel10
ip nhrp redirect eigrp router-id [direccin IP de Loopback0]
Paso 4: Configuracin de EIGRP. eigrp stub connected summary
no auto-summary
EIGRP se configura en el Procedimiento 5 que aparece a continuacin, aunque
antes tendr que configurar algunos requisitos especficos para la interfaz de
tnel mGRE.
Procedimiento 6 Configuracin del routing multidifusin IP.
El intervalo hello de EIGRP se incrementa a 20 segundos y el tiempo de espera
de EIGRP se incrementa a 60 segundos para poder acoger hasta 500 sitios
Este procedimiento incluye los pasos adicionales para completar le
remotos en una nica nube DMVPN.
configuracin de multidifusin IP cuando se aade la capacidad de reserva de
interface Tunnel10 DMVPN a un router con multidifusin IP ya activada.
ip hello-interval eigrp 200 20
ip hold-time eigrp 200 60 Paso 1: Configuracin de PIM en la interfaz de tnel DMVPN.
Las redes LAN de sitio remoto deben notificarse. La asignacin IP para los sitios Utilice el modo disperso como modo de funcionamiento de la interfaz de
remotos se ha diseado de forma que todas las redes en uso pueden resumirse multidifusin IP y para activarlo en todas las interfaces de nivel 3, incluidas las
mediante una nica ruta agregada. La direccin agregada, configurada como interfaces de tnel DMVPN.
se muestra a continuacin, suprime las rutas ms especficas. Si alguna red del
resumen aparece en la tabla de rutas, el resumen se notifica al hub DMVPN, lo
que ofrece un cierto nivel de resistencia. Si las diferentes redes LAN no pueden
resumirse, EIGRP seguir notificando las rutas especficas.
Sugerencia tcnica
interface Tunnel10
ip summary-address eigrp 200 [red de resumen] [mscara de No active el PIM en la interfaz DMZ de Internet, ya que no debe
resumen] solicitarse ningn trfico multidifusin desde esta interfaz.


interface Tunnel10
ip pim sparse-mode

Serie febrero 2012 Implementacin de una WAN DMVPN 71


Paso 2: Activacin del modo PIM NBMA para el tnel DMVPN.
Las redes DMVPN de radio a radio plantean un reto nico, ya que los radios
otas
no pueden intercambiar informacin de forma directa entre s, incluso aunque
se encuentren en la misma red lgica. Esta incapacidad de intercambiar
informacin de forma directa tambin puede causar problemas al ejecutar la
multidifusin IP.
Para resolver el problema con NBMA, tiene que implementar un mtodo en el
que se haga un seguimiento por separado de los mensajes de combinacin
de cada vecino PIM remoto. Cuando el router se encuentra en modo PIM
NBMA, cada vecino PIM remoto se trata como si estuviera conectado al router
mediante un enlace punto a punto.
interface Tunnel10
ip pim nbma-mode

Paso 3: Configuracin de la prioridad DR para el router de radio DMVPN.


Un funcionamiento multidifusin adecuado a travs de una nube DMVPN
requiere que el router hub asuma la funcin de router designado (DR) como
PIM. Los routers de radio nunca deben actuar como DR. Puede evitarlo, puede
establecer en 0 la prioridad DR para los radios.
interface Tunnel10
ip pim dr-priority 0

Serie febrero 2012 Implementacin de una WAN DMVPN 72


Figura 29: Grfico de configuracin de un router de radio DMVPN de
Proceso sitio remoto

Router CE MPLS de sitio remoto


Enlace y router duales (2 router)

Configuracin de un router de radio DMVPN de sitio remoto

1. Finalizacin de la configuracin universal de router WAN. Router CE MPLS de sitio remoto 2


Procedimientos de configuracin 1. Finalizacin de la configuracin universal de router WAN.
2. Conexin con el router PE MPLS.
2. Configuracin de VRF Lite. 3 Configuracin
3. C f de BGP.
G

3. Conexin a Internet.
4. Configuracin de ISAKMP e IPsec.
NO Capa de distribucin S
5. Configuracin del tnel mGRE. Diseo?

6. Configuracin de EIGRP. Router CE MPLS de sitio remoto 2


Procedimientos de la capa de
Router CE MPLS de sitio remoto 2
Procedimientos de la capa de
acceso di t ib i
distribucin
7. Configuracin del routing multidifusin IP.
4. Configuracin del routing de la capa de acceso. 1. Conexin con el router CE MPLS.
5. Configuracin de HSRP de la capa de acceso. 2. Configuracin de EIGRP (lado de la LAN).
8. Configuracin de HSRP de la capa de acceso. 6. Configuracin de la red de trnsito. 3. Configuracin de la red de trnsito.
7. Configuracin de EIGRP (lado de la LAN).
9. Configuracin de la red de trnsito. 8
8. C fi
Configuracin
i de
d la
l resistencia
i i de
d bucle
b l invertido.
i id

10. Configuracin de EIGRP (lado de la LAN).


Sitio completado Sitio completado
11. Configuracin de la resistencia de bucle invertido.

2009 Cisco Systems, Inc. Todos los derechos reservados. Informacin interna de Cisco 3

Procedimiento 1  inalizacin de la configuracin universal


F
Utilice este conjunto de procedimientos al configurar un sitio remoto de WAN de router WAN.
MPLS + DMVPN. Utilice estos procedimientos al configurar el segundo router
del diseo de enlace y router duales.
Dentro de este diseo, existen caractersticas y servicios que son comunes a
El grfico siguiente proporciona informacin sobre cmo completar la todos los routers de sitio remoto WAN. Se trata de parmetros del sistema que
configuracin de un router de radio DMVPN de sitio remoto. simplifican y aseguran la administracin de la solucin.

Paso 1: Configure el nombre de host de dispositivo para facilitar la


identificacin del dispositivo.
hostname [hostname]

Paso 2: Configuracin de los protocolos de administracin del dispositivo.


HTTP seguro (HTTPS) y Secure Shell (SSH) son sustitutos seguros de los
protocolos HTTP y Telnet. Estos utilizan una capa de conexiones seguras (SSL)
y seguridad de la capa del transporte (TLS) para proporcionar autenticacin de
dispositivos y cifrado de datos.

Serie febrero 2012 Implementacin de una WAN DMVPN 73


La administracin segura del dispositivo LAN est disponible gracias a los username admin password c1sco123
protocolos SSH y HTTPS. Ambos protocolos estn cifrados para garantizar aaa new-model
la privacidad. Los protocolos Telnet y HTTP, que no son seguros, estn !
desactivados. tacacs server TACACS-SERVER-1
ip domain-name cisco.local address ipv4 10.4.48.15
ip ssh version 2 key SecretKey
no ip http server !
ip http secure-server aaa group server tacacs+ TACACS-SERVERS
line vty 0 15 server name TACACS-SERVER-1
transport input ssh !
El protocolo simple de administracin de red (SNMP) debe activarse para aaa authentication login default group TACACS-SERVERS local
permitir la administracin de los dispositivos de infraestructura de red desde aaa authorization exec default group TACACS-SERVERS local
un sistema de administracin de la red (NMS). SNMPv2c est configurado aaa authorization console
tanto para una cadena de comunidad de solo lectura como para una de
ip http authentication aaa
lectura-escritura.
snmp-server community cisco RO Paso 4: Configuracin de un reloj sincronizado
snmp-server community cisco123 RW El protocolo de tiempo de la red (NTP) est diseado para sincronizar una red
de dispositivos. Normalmente, una red NTP obtiene la hora de una fuente de
Paso 3: Configuracin de la autenticacin de usuario segura.
tiempo fiable como, por ejemplo, un reloj controlado por radio o un reloj atmico
Active la autenticacin, la autorizacin y la poltica de cuentas (AAA) para conectado a un servidor de tiempo. A continuacin, el protocolo NTP distribuye
controlar el acceso. Los controles AAA abarcan todos los accesos de este tiempo por toda la red de la organizacin.
administracin a los dispositivos de infraestructura de red (SSH y HTTPS). Debe programar los dispositivos de red para que se sincronicen con un
servidor NTP local de la red. El servidor NTP local suele hacer referencia a un
Sugerencia para el lector hilo de reloj ms preciso procedente de una fuente externa. Al configurar los
mensajes de consola, los registros y los resultados de depuracin para que
incluyan marcas de tiempo, podr referenciar y comparar los eventos de la red.
El servidor AAA utilizado en esta arquitectura es el Cisco ntp server 10.4.48.17
Authentication Control System. Para obtener ms informacin acerca ntp update-calendar
de la configuracin del ACS, consulte la Gua de implementacin de
!
autorizacin y autenticacin de dispositivos de red de Cisco SBA
for Enterprise OrganizationsBorderless Networks (Cisco SBA for clock timezone PST -8
Enterprise OrganizationsBorderless Networks Network Device clock summer-time PDT recurring
Authentication and Authorization Deployment Guide). !
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
Cuando se activa el resultado de la depuracin y el registro sncrono de los
TACACS+ es el protocolo principal que se utiliza para autenticar los inicios de mensajes no solicitados, los mensajes de registro de la consola aparecen en
sesin de administracin de los dispositivos de infraestructura del servidor esta despus de que se muestre o imprima el resultado CLI interactivo. Con
AAA. En cada dispositivo de infraestructura de red tambin se define una este comando, podr seguir escribiendo en la consola del dispositivo aunque
base de datos de usuarios AAA, con el fin de proporcionar una fuente de est activada la depuracin.
autenticacin de reserva en caso de que el servidor TACACS+ centralizado no
est disponible. line con 0
logging synchronous
enable secret c1sco123
service password-encryption
!

Serie febrero 2012 Implementacin de una WAN DMVPN 74


Paso 5: Configuracin de una interfaz de administracin en banda. En este diseo, que se basa en un funcionamiento multidifusin en modo
disperso, Cisco utiliza autorp como mtodo escalable y sencillo de activar para
La interfaz de bucle invertido es una interfaz lgica que est disponible en todo
crear un entorno RP de alta resistencia.
momento, siempre y cuando el dispositivo cuente con alimentacin y pueda
accederse a una interfaz IP de la red. Debido a esta funcionalidad, la direccin Active el routing de multidifusin IP para las plataformas del modo de
de bucle invertido es la mejor opcin para la administracin en banda de los configuracin global.
switches. Las caractersticas y procesos de nivel 3 tambin estn vinculados ip multicast-routing
a la interfaz de bucle invertido con el fin de garantizar la resistencia de los
procesos. Todos los routers y switches de nivel 3 deben configurarse de modo que
puedan detectar el RP de multidifusin IP con autorp. Utilice el comando ip
La direccin de bucle invertido suele ser una direccin de host con una pim autorp listener para permitir el descubrimiento entre los enlaces en modo
mscara de direccin de 32 bits. Asigne la direccin IP de bucle invertido del disperso. Esta configuracin puede cambiarse en funcin del diseo y de
router de sitio remoto de una gama de red nica que no forme parte de ninguna las necesidades de la red y permite controlar el entorno de multidifusin IP y
otra gama de resumen de red interna. ampliarlo si fuera necesario en el futuro.
interface Loopback0 ip pim autorp listener
ip address [ip address] 255.255.255.255 Debe activar todas las interfaces de nivel 3 de la red para el funcionamiento
ip pim sparse-mode multidifusin en modo disperso.
El comando ip pim sparse-mode se explicar con mayor detenimiento ms ip pim sparse-mode
adelante en este procedimiento.
Para conseguir una resistencia ptima, vincule los procesos SNMP y SSH con la
direccin de interfaz de bucle invertido:
Procedimiento 2 Configuracin de VRF Lite.
snmp-server trap-source Loopback0
ip ssh source-interface Loopback0 Se crea un VRF de cara a Internet para que admita FVRF para DMVPN. El
ip pim register-source Loopback0 nombre VRF es arbitrario, aunque resulta til seleccionar un nombre que
ip tacacs source-interface Loopback0 describa el VRF. Tambin debe configurar un RD asociado para que el VRF sea
ntp source Loopback0 funcional. La configuracin RD crea las tablas de routing y reenvo, y asocia el
RD a la instancia VRF.
Paso 6: Configuracin del routing de multidifusin IP. Este diseo utiliza VRF Lite de forma que el valor RD puede elegirse de
La multidifusin IP permite que la infraestructura (es decir, los routers y los forma arbitraria. Cuando se utilizan varios VRF de forma similar, una prctica
switches) replique un nico flujo de datos IP y que este flujo se enve desde recomendada es utilizar la misma combinacin VRF/RD en los diferentes
una nica fuente a varios receptores. El uso de la multidifusin IP es mucho dispositivos. Sin embargo, esta convencin no es obligatoria.
ms eficaz que recurrir a flujos individuales unidifusin o a un flujo de difusin ip vrf INET-PUBLIC
que se propague a cualquier parte. Algunos ejemplos de aplicaciones de rd 65512:1
multidifusin IP son la MOH para telefona IP y la retransmisin de vdeo IP.
Para recibir un flujo de datos de multidifusin IP especfico, los hosts finales
deben unirse a un grupo de multidifusin enviando un mensaje de protocolo de
administracin de grupos de Internet (IGMP) a su router de multidifusin local.
En un diseo de multidifusin IP tradicional, el router local se pone en contacto
con otro router de la red que acta como RP para asignar los receptores a
fuentes activas, con el fin de que puedan encontrar sus flujos.

Serie febrero 2012 Implementacin de una WAN DMVPN 75


Paso 2: Configuracin y aplicacin de la lista de acceso.
Sugerencia para el lector La lista de acceso IP debe permitir los protocolos especificados en la siguiente
tabla. La lista de acceso se aplica de forma entrante en la interfaz WAN, por lo
que el filtrado se realiza en el trfico destinado al router.
Referencia de comando:
Tabla 21 - Protocolos DMVPN necesarios
Un RD puede estar relacionado con un ASN (formado por un ASN
y un nmero arbitrario) o con una direccin IP (formada por una Nombre Protocolo Uso
direccin IP y un nmero arbitrario).
non500-isakmp UDP 4500 IPsec mediante NAT-T
Puede introducir un RD en cualquiera de estos formatos: isakmp UDP 500 ISAKMP
Nmero de sistema autnomo de 16 bits: su nmero de 32 bits esp IP 50 IPsec

Por ejemplo: 65512:1. bootpc UDP 68 DHCP

Direccin IP de 32 bits: su nmero de 16 bits. Lista de acceso de ejemplo:


Por ejemplo: 192.168.122.15:1. interface GigabitEthernet0/1
ip access-group ACL-INET-PUBLIC in
ip access-list extended ACL-INET-PUBLIC
permit udp any any eq non500-isakmp
permit udp any any eq isakmp
permit esp any any
Procedimiento 3 Conexin a Internet.
permit udp any any eq bootpc
Los protocolos adicionales incluidos en la tabla que se muestra a continuacin
Los sitios remotos que utilizan DMVPN pueden utilizar direcciones IP asignadas
pueden ser de utilidad en la resolucin de problemas, aunque estos no
esttica o dinmicamente. Hemos probado el diseo con una direccin externa
son necesarios de forma explcita para permitir que el DMVPN funcione
asignada por DHCP, que tambin proporciona una ruta predeterminada
correctamente.
configurada dinmicamente.
Tabla 22 - Protocolos opcionales para el router de radio DMVPN
El router de radio DMVPN se conecta directamente a Internet sin utilizar un
firewall adicional. La garanta de esta conexin se consigue de dos formas.
Nombre Protocolo Uso
Puesto que la interfaz de Internet se encuentra en un VRF aparte, ningn flujo
de trfico puede acceder al VRF global a excepcin del trfico que se dirige icmp echo ICMP tipo 0, cdigo 0 Permitir pings remotos
a travs del tnel DMVPN. Este diseo proporciona una seguridad implcita. icmp echo-reply ICMP tipo 8, cdigo 0 Permitir respuestas de
De forma adicional, existe una lista de acceso IP que solo permite el trfico ping (desde nuestras
necesario para un tnel cifrado, as como un DHCP y varios protocolos ICMP solicitudes)
para la resolucin de problemas.
icmp ttl-exceeded ICMP tipo 11, cdigo 0 Permitir respuestas
Paso 1: Active la interfaz, seleccione VRF y active el DHCP. de traceroute (desde
nuestras solicitudes)
El diseo DMVPN utiliza FVRF, por lo que esta interfaz debe ubicarse en el VRF
configurado en el procedimiento anterior. icmp port-unreachable ICMP tipo 3, cdigo 3 Permitir respuestas
de traceroute (desde
interface GigabitEthernet0/1 nuestras solicitudes)
ip vrf forwarding INET-PUBLIC
Puertos UDP altos UDP > 1023, TTL=1 Permitir traceroute
ip address dhcp remoto
no shutdown

Serie febrero 2012 Implementacin de una WAN DMVPN 76


Las entradas opcionales adicionales para que una lista de acceso admita ping DPD se activa con intervalos keepalive enviados cada 30 segundos, con un
son las siguientes: intervalo de reintento de 5 segundos, lo que se considera una opcin de
permit icmp any any echo configuracin razonable para detectar un hub que no funcione correctamente.
permit icmp any any echo-reply crypto isakmp policy 10
Las entradas opcionales adicionales para que una lista de acceso admita encr aes 256
traceroute son las siguientes: hash sha
permit icmp any any ttl-exceeded ! for traceroute authentication pre-share
(sourced) group 2
permit icmp any any port-unreachable ! for traceroute !
(sourced) crypto isakmp keepalive 30 5
permit udp any any gt 1023 ttl eq 1 ! for traceroute Paso 3: Creacin del perfil ISAKMP.
(destination)
El perfil ISAKMP crea una asociacin entre una direccin de identidad, un VRF
y una creacin de claves de cifrado. Las direcciones comodn dentro de un VRF
se las referencia como 0.0.0.0.
Procedimiento 4 Configuracin de ISAKMP e IPsec.
crypto isakmp profile FVRF-ISAKMP-INET-PUBLIC
keyring DMVPN-KEYRING
Paso 1: Configuracin de la creacin de claves de cifrado. match identity address 0.0.0.0 INET-PUBLIC
Con la creacin de claves de cifrado se define una PSK (o contrasea) vlida Paso 4: Definicin del conjunto de transformacin IPsec.
para fuentes IP que sean accesibles dentro de un VRF particular. Esta clave es
un comodn PSK si se aplica a cualquier IP de origen. La clave de comodn se Un conjunto de transformacin es una combinacin aceptable de protocolos
configura utilizando la combinacin de mscara y de red 0.0.0.00.0.0.0. de seguridad, algoritmos y otros parmetros que se aplican al trfico protegido
crypto keyring DMVPN-KEYRING vrf INET-PUBLIC por IPsec. Los puntos iguales aceptan utilizar un conjunto de transformacin
determinado al proteger un flujo de datos concreto.
pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123
El conjunto de transformacin IPsec para DMVPN utiliza los siguientes
Paso 2: Configuracin de la poltica ISAKMP y la deteccin de puntos inactivos elementos:
(DPD). ESP con el algoritmo de cifrado AES de 256 bits.
La poltica ISAKMP para DMVPN utiliza los siguientes elementos: ESP con el algoritmo de autenticacin SHA (variante HMAC)
Estndar de cifrado avanzado (AES) con una clave de 256 bits El router hub DMVPN est detrs de un dispositivo NAT, por lo que debe
Estndar de hash seguro (SHA) configurar la transformacin IPsec para el modo de transporte.
Autenticacin mediante PSK crypto ipsec transform-set AES256/SHA/TRANSPORT esp-aes 256 esp-
Grupo Diffie-Hellman: 2 sha-hmac
mode transport

Paso 5: Creacin del perfil IPsec.


El perfil IPsec crea una asociacin entre el perfil ISAKMP y el conjunto de
transformacin IPsec.
crypto ipsec profile DMVPN-PROFILE
set transform-set AES256/SHA/TRANSPORT
set isakmp-profile FVRF-ISAKMP-INET-PUBLIC

Serie febrero 2012 Implementacin de una WAN DMVPN 77


El router de radio requiere varias instrucciones de configuracin adicionales
Procedimiento 5 Configuracin del tnel mGRE. para definir el servidor NHRP (NHS) e instrucciones de asignacin NHRP para
la direccin IP del tnel mGRE del router hub DMVPN. La configuracin de
EIGRP (realizada en el procedimiento 5 que se detalla a continuacin) se basa
Paso 1: Configuracin de los parmetros de interfaz bsicos. en un transporte multidifusin. Los routers de radio requieren asignacin de
Las interfaces de tnel se crean al configurarlas. El nmero de tnel es multidifusin dinmica NHRP.
arbitrario, aunque es recomendable comenzar a numerar a partir de 10, ya Para el valor NHS, utilice la direccin del tnel mGRE del router hub DMVPN.
que algunas otras caractersticas implementadas en este diseo pueden Las entradas de asignacin deben configurarse fuera del valor de NAT del hub
requerir tneles y, de hacerlo, seleccionarn nmeros ms bajos de forma DMVPN, al igual que en la configuracin de Cisco ASA5500. Este diseo utiliza
predeterminada. los valores que se muestran en la tabla que aparece a continuacin.
El parmetro de ancho de banda debe coincidir con el ancho de banda de Tabla 23 - Informacin de direccin IP del hub DMVPN
Internet.
La MTU IP se debe establecer en 1400 e ip tcp adjust-mss se debe establecer Direccin DMZ del Direccin externa del NHS (direccin del tnel
en 1360. Hay una diferencia de 40 bytes, lo que corresponde a la longitud del hub DMVPN hub DMVPN mGRE del hub DMVPN)
encabezado TCP y IP combinado. 192.168.18.10 172.16.130.1 10.4.34.1
interface Tunnel10
bandwidth [ancho de banda (kbps)] NHRP requiere que todos los dispositivos dentro de una nube DMVPN utilicen
ip address [direccin IP] [mscara de red] la misma ID de red y clave de autenticacin. Debe establecer el tiempo de
no ip redirects espera de la cach de NHRP en 600segundos.
ip mtu 1400 Este diseo admite routers de radio DMVPN que reciben sus direcciones
ip tcp adjust-mss 1360 IP externas a travs del DHCP. Despus de un reinicio, es posible que
estos routers adquieran diferentes direcciones IP. Cuando el router intenta
Paso 2: Configuracin del tnel. registrarse en el servidor NHRP, puede aparecer como duplicado en relacin
con una entrada que ya se encuentre en la cach y ser rechazado. La opcin
DMVPN utiliza tneles GRE (mGRE) multipunto. Este tipo de tnel solamente registration no-unique le permite sobrescribir entradas de cach existentes.
requiere una interfaz de origen. La interfaz de origen debe ser la misma que la Esta caracterstica solo es necesaria en los clientes NHRP (routers de radio
utilizada para conectarse a Internet. Debe establecer el comando tunnel vrf en DMVPN).
el VRF definido anteriormente para FVRF.
El comando ip nhrp redirect permite que el hub DMVPN notifique a los routers
Para activar el cifrado en esta interfaz, debe aplicar el perfil IPsec que ha de radio que existe una ruta ms ptima para una red de destino, lo que puede
configurado en el procedimiento anterior. ser necesario para las comunicaciones directas entre radios DMVPN. Los routers
interface Tunnel10 de radio DMVPN tambin utilizan switches entre radios al crear tneles de este
tunnel source GigabitEthernet0/1 tipo.
tunnel mode gre multipoint interface Tunnel10
tunnel vrf INET-PUBLIC ip nhrp authentication cisco123
tunnel protection ipsec profile DMVPN-PROFILE ip nhrp map 10.4.34.1 172.16.130.1
ip nhrp map multicast 172.16.130.1
Paso 3: Configuracin de NHRP.
ip nhrp network-id 101
El router hub DMVPN es el servidor NHRP para todos los radios. NHRP se utiliza ip nhrp holdtime 600
en los routers remotos para determinar los destinos de tnel para los puntos ip nhrp nhs 10.4.34.1
iguales conectados al tnel mGRE.
ip nhrp registration no-unique
ip nhrp shortcut
ip nhrp redirect

Serie febrero 2012 Implementacin de una WAN DMVPN 78


Paso 4: Configuracin de EIGRP.
Procedimiento 7 Configuracin del routing multidifusin IP.
EIGRP se configura en el Procedimiento 6 que aparece a continuacin, aunque
antes tendr que configurar algunos requisitos especficos para la interfaz de
Este procedimiento incluye los pasos adicionales para completar la
tnel mGRE.
configuracin de multidifusin IP cuando se aade la capacidad de copia de
Aumente el intervalo hello de EIGRP a 20 segundos y el tiempo de espera de reserva de DMVPN a un router con multidifusin IP ya activada.
EIGRP a 60 segundos para poder acoger hasta 500 sitios remotos en una nica
nube DMVPN. Paso 1: Configuracin de PIM en la interfaz de tnel DMVPN.
interface Tunnel10 Cisco recomienda que utilice el modo disperso como modo de funcionamiento
ip hello-interval eigrp 200 20 de la interfaz de multidifusin IP y para activarlo en todas las interfaces de nivel
ip hold-time eigrp 200 60 3, incluidas las interfaces de tnel DMVPN.

Debe notificar las redes LAN de sitio remoto. La asignacin IP para los sitios
remotos se ha diseado de forma que todas las redes en uso pueden resumirse
mediante una nica ruta agregada. La direccin agregada, configurada como Sugerencia tcnica
se muestra a continuacin, suprime las rutas ms especficas. Si alguna red del
resumen aparece en la tabla de rutas, el resumen se notifica al hub DMVPN, lo
No active el PIM en la interfaz DMZ de Internet, ya que no debe
que ofrece un cierto nivel de resistencia. Si las diferentes redes LAN no pueden
solicitarse ningn trfico multidifusin desde esta interfaz.
resumirse, EIGRP seguir notificando las rutas especficas.
interface Tunnel10

ip summary-address eigrp 200 [red de resumen] [mscara de
interface Tunnel10
resumen]
ip pim sparse-mode

Paso 2: Activacin del modo PIM NBMA para el tnel DMVPN.


Procedimiento 6 Configuracin de EIGRP. Las redes DMVPN de radio a radio plantean un reto nico, ya que los radios
no pueden intercambiar informacin de forma directa entre s, incluso aunque
En el router de radio DMVPN, se ejecuta un nico proceso EIGRP-200. Todas se encuentren en la misma red lgica. Esta incapacidad de intercambiar
las interfaces del router son del tipo EIGRP, pero solo la interfaz del tnel informacin de forma directa tambin puede causar problemas al ejecutar la
DMVPN es no pasiva. La gama de red debe incluir todas las direcciones IP de multidifusin IP.
interfaz, bien en una instruccin de red o en varias. Este diseo sigue la prctica Para resolver el problema con NBMA, tiene que implementar un mtodo en el
recomendada de asignar la ID del router a una direccin de bucle invertido. que se haga un seguimiento por separado de los mensajes de combinacin
Todos los routers de radio DMVPN deben ejecutar routing EIGRP de rutas de cada vecino PIM remoto. Cuando el router se encuentra en modo PIM
internas para mejorar la estabilidad de la red y reducir el uso de recursos. NBMA, cada vecino PIM remoto se trata como si estuviera conectado al router
router eigrp 200 mediante un enlace punto a punto.
network 10.4.34.0 0.0.1.255 interface Tunnel10
network 10.5.0.0 0.0.255.255 ip pim nbma-mode
passive-interface default
no passive-interface Tunnel10
Paso 3: Configuracin de la prioridad DR para el router de radio DMVPN.
eigrp router-id [direccin IP de Loopback0] Un funcionamiento multidifusin adecuado a travs de una nube DMVPN
eigrp stub connected summary requiere que el router hub asuma la funcin de router designado (DR) como
PIM. Los routers de radio nunca deben actuar como DR. Puede evitarlo, puede
no auto-summary
establecer en 0 la prioridad DR para los radios.
interface Tunnel10
ip pim dr-priority 0

Serie febrero 2012 Implementacin de una WAN DMVPN 79


Repita este procedimiento para todas las subinterfaces de datos o de voz.
Procedimiento 8  onfiguracin de HSRP de la capa de
C
acceso. interface [tipo de interfaz] [nmero].[nmero de subinterfaz]
encapsulation dot1Q [etiqueta dot1q VLAN]
Configure HSRP para activar una VIP que utilizar como un gateway ip address [direccin 1 de red LAN] [direccin de red 1 de red
predeterminado que se comparte entre dos routers. El router HSRP activo es el de LAN]
router CE MPLS conectado al operador MPLS principal, mientras que el router ip helper-address 10.4.48.10
HSRP en espera es el router de radio DMVPN. Configure el router HSRP en ip pim sparse-mode
espera con una prioridad de espera inferior a la del router HSRP activo.
ip pim dr-priority 105
El router con el mayor valor de prioridad en espera es el elegido como el router standby 1 ip [direccin de gateway 1 de red LAN]
HSRP activo. La opcin preempt permite que un router con una prioridad standby 1 priority 105
ms alta pase a ser el HSRP activo, sin tener que esperar a que se produzca
standby 1 preempt
un escenario en el que no haya ningn router en estado HSRP activo. Los
parmetros HSRP relevantes para la configuracin del router se muestran en la
siguiente tabla. Ejemplo:
interface GigabitEthernet0/2.64
Tabla 24 - Parmetros HSRP de sitio remoto de WAN (router dual)
description Datos
Funcin Direccin IP Direccin Prioridad Prioridad encapsulation dot1Q 64
Router HSRP virtual (VIP) IP real HSRP PIM DR ip address 10.5.52.3 255.255.255.0
CE MPLS Activo .1 .2 110 110 ip helper-address 10.4.48.10
(principal) ip pim dr-priority 105
CD MPLS En espera .1 .3 105 105 ip pim sparse-mode
(secundario) standby 1 ip 10.5.52.1
o radio standby 1 priority 105
DMVPN standby 1 preempt
!
El diseo de la capa de acceso del router dual requiere una modificacin interface GigabitEthernet0/2.69
para permitir una multidifusin resistente. El DR PIM debe encontrarse en el description Voz
router HSRP activo. El DR suele elegirse en funcin de la direccin IP ms
alta y no conoce la configuracin HSRP. En este diseo, el router HSRP activo encapsulation dot1Q 69
cuenta con una direccin IP real ms baja que la del router HSRP en espera, ip address 10.5.53.3 255.255.255.0
lo que hace necesario modificar la configuracin PIM. La eleccin del DR PIM ip helper-address 10.4.48.10
puede influenciarse configurando de forma explcita la prioridad DR en las ip pim dr-priority 105
subinterfaces de cara a la LAN de los routers. ip pim sparse-mode
standby 1 ip 10.5.53.1
standby 1 priority 105
Sugerencia tcnica standby 1 preempt

La prioridad HSRP y la prioridad PIM DR se muestran en la tabla


anterior con el mismo valor, pero no es obligatorio utilizar los mismos
valores.

Serie febrero 2012 Implementacin de una WAN DMVPN 80


EIGRP-200 ya est configurado para la interfaz mGRE DMVPN. Las rutas de
Procedimiento 9 Configuracin de la red de trnsito. este proceso EIGRP se redistribuyen. Puesto que el protocolo de routing es el
mismo, no se requiere ninguna mtrica predeterminada.
La red de trnsito se configura entre los dos routers. Esta red se utiliza para la router eigrp 100
comunicacin de router a router y para evitar las conexiones entre nodos. La redistribute eigrp 200
red de trnsito debe utilizar una subinterfaz adicional en la interfaz del router
que ya se utiliza para los datos o para la voz.

No hay estaciones finales conectadas a esta red, por lo que no se necesitan Procedimiento 11  onfiguracin de la resistencia de bucle
C
HSRP ni DHCP. invertido.
interface GigabitEthernet0/2.99
description Red de trnsito
Solo se aplica al diseo de router dual.
encapsulation dot1Q 99
ip address 10.5.48.2 255.255.255.252 Los routers de sitio remoto cuentan con administracin en banda configurada
ip pim sparse-mode mediante la interfaz de bucle invertido. Para garantizar la disponibilidad de la
interfaz de bucle invertido en un diseo de router dual, redistribuya el bucle
invertido del router adyacente en el protocolo de routing WAN.

Procedimiento 10 Configuracin de EIGRP (lado de la LAN).


Opcin 1. El protocolo WAN es EIGRP.
Se debe configurar un protocolo de routing entre los dos routers. Esto garantiza Paso 1: Configuracin de una lista de acceso para limitar la redistribucin
que el router activo HSRP cuenta con informacin de disponibilidad completa nicamente a la direccin IP de bucle invertido del router adyacente.
para todos los sitios remotos WAN.
ip access-list standard R[number]-LOOPBACK
Paso 1: Activacin de EIGRP-100. permit [IP Address of Adjacent Router Loopback]
!
Configure EIGRP-100 de cara a la capa de acceso. En este diseo, todas las
interfaces de cara a la LAN y el bucle invertido deben ser interfaces EIGRP. route-map LOOPBACK-ONLY permit 10
Todas las interfaces, a excepcin de la subinterfaz de red-trnsito, deben match ip address R[number]-LOOPBACK
permanecer en pasivo. La gama de red debe incluir todas las direcciones IP de
interfaz, bien en una instruccin de red o en varias. Este diseo sigue la prctica Paso 2: Configuracin de EIGRP para redistribuir la direccin IP de bucle
recomendada de asignar la ID del router a una direccin de bucle invertido. invertido del router adyacente. El routing EIGRP de zonas internas debe
No incluya la interfaz WAN (interfaz de enlace PE-CE MPLS) como una interfaz ajustarse para permitir rutas redistribuidas.
EIGRP. router eigrp [as]
router eigrp 100 redistribute eigrp 100 route-map LOOPBACK-ONLY
network 10.5.0.0 0.0.255.255 eigrp stub connected summary redistributed
passive-interface default
no passive-interface GigabitEthernet0/2.99 Opcin 2. El protocolo WAN es BGP.
eigrp router-id [direccin IP de Loopback0]
Paso 1: Configuracin de BGP para notificar la red de bucle invertido del
no auto-summary router adyacente.
Paso 2: Redistribucin de EIGRP-200 (DMVPN) en EIGRP-100. router bgp 65511
network 10.5.12.0 mask 255.255.255.0
Este paso solo debe completarse en el router de radio DMVPN.
network 10.5.13.0 mask 255.255.255.0

Serie febrero 2012 Implementacin de una WAN DMVPN 81


Implementacin de una
Paso 1: Configuracin de la interfaz de canal de puerto.
Cree la interfaz de canal de puerto. Como prctica recomendada, utilice la

capa de distribucin para un


misma numeracin de canal en ambos lados del enlace siempre que sea
posible.
interface Port-channel [nmero]
sitio remoto WAN no ip address

Paso 2: Configuracin de subinterfaces de canal de puerto y asignacin de


direcciones IP.
Despus de haber activado la interfaz fsica, asigne las subinterfaces
Utilice este conjunto de procedimientos para configurar un router CE MPLS correspondientes a las VLAN en el switch de capa de distribucin. El nmero
para un sitio remoto de WAN MPLS (router y enlace nicos). Esta seccin de subinterfaz no tiene que ser igual a la etiqueta 802.1Q, aunque de ser as, se
incluye todos los procedimientos necesarios para conectarse a una capa de simplifica la configuracin.
distribucin. La subinterfaz configurada en el router se corresponde con una interfaz VLAN
Tambin puede utilizar este conjunto de procedimientos para un operador dual en el switch de la capa de distribucin. El trfico se enruta entre los dispositivos
MPLS o un sitio remoto de WAN MPLS + DMVPN. Utilice estos procedimientos y la VLAN acta como un enlace punto a punto.
para conectar una capa de distribucin a un router de radio CE MPLS y DMVPN interface Port-channel [nmero].[nmero de subinterfaz]
con funcin dual en el diseo de router nico y enlace dual. Utilice estos encapsulation dot1Q [etiqueta dot1q VLAN]
procedimientos cuando conecte una capa de distribucin al primer router del
ip address [direccin IP] [mscara de red]
diseo de router y enlace duales.
Paso 3: Activacin administrativa de los miembros del grupo de canal de
Proceso puerto y asignacin del grupo de canal correspondiente.
No todas las plataformas de router pueden admitir LCAP para negociar con el
switch, por lo que debe configurar EtherChannel de forma esttica.
Nivel de distribucin de un router CE MPLS de sitio remoto interface [tipo de interfaz] [nmero]
1. Conexin del router CE MPLS. no ip address
channel-group [nmero]
2. Configuracin de EIGRP (lado de la LAN).
no shutdown
3. Configuracin de la red de trnsito.
Ejemplo:
interface Port-channel1
no ip address
!
Procedimiento 1 Conexin del router CE MPLS. interface Port-channel1.50
encapsulation dot1Q 50
Una interfaz de canal de puerto de nivel 2 se conecta con el switch de ip address 10.5.0.1 255.255.255.252
distribucin WAN. Esta conexin permite incluir varios VLAN en el EtherChannel ip pim sparse-mode
si fuera necesario. !
La siguiente configuracin crea un enlace EtherChannel entre el router y el interface GigabitEthernet0/1
switch con dos miembros del grupo de canal. no ip address

Serie febrero 2012 Implementacin de una capa de distribucin para un sitio remoto WAN 82
channel-group 1
no shutdown
Sugerencia para el lector
!
interface GigabitEthernet0/2
no ip address Referencia de comando:
channel-group 1 default-metric: fiabilidad del retraso del ancho de banda al cargar
no shutdown mtu
ancho de banda: ancho de banda mnimo de la ruta en kilobytes por

segundo.
Procedimiento 2 Configuracin de EIGRP (lado de la LAN).
delay: retraso de la ruta en decenas de microsegundos.
Debe configurar un protocolo de routing entre el router y la capa de
distribucin.

Paso 1: Activacin de EIGRP-100. Ejemplo:


Configure EIGRP-100 de cara a la capa de distribucin. En este diseo, todas router eigrp 100
las subinterfaces de cara a la capa de distribucin y el bucle invertido deben default-metric 100000 100 255 1 1500
ser interfaces EIGRP. El resto de interfaces deben permanecer en pasivo. La network 10.5.0.0 0.0.255.255
gama de red debe incluir todas las direcciones IP de interfaz, bien en una
passive-interface default
instruccin de red o en varias. Este diseo sigue la prctica recomendada de
asignar la ID del router a una direccin de bucle invertido. no passive-interface Port-channel1.50
eigrp router-id 10.5.48.254
router eigrp 100
no auto-summary
network 10.5.0.0 0.0.255.255
passive-interface default

no passive-interface [interfaz]
Procedimiento 3 Configuracin de la red de trnsito.
eigrp router-id [direccin IP de Loopback0]
no auto-summary
Solo se aplica al diseo de router dual.
Paso 2: Redistribucin de BGP en EIGRP-100.
Configure la red de trnsito entre los dos routers. Esta red se utiliza para la
Complete este paso solo en un router CE MPLS.
comunicacin de router a router y para evitar las conexiones entre nodos.
Las rutas BGP se redistribuyen en EIGRP con una mtrica predeterminada. La red de trnsito debe utilizar una subinterfaz adicional en la interfaz
Por defecto, solo se utilizan los valores de retraso y de ancho de banda para el EtherChannel que ya se utilice para conectarse a la capa de distribucin.
clculo mtrico.
La red de trnsito debe ser una interfaz EIGRP no pasiva.
router eigrp [en nmero]
default-metric [ancho de banda] [retraso] 255 1 1500
redistribute bgp 65511

Serie febrero 2012 Implementacin de una capa de distribucin para un sitio remoto WAN 83
No hay estaciones finales conectadas a esta red, por lo que no se necesitan Paso 1: Configuracin de la interfaz de canal de puerto.
HSRP ni DHCP.
Cree la interfaz de canal de puerto. Como prctica recomendada, utilice la
interface Port-channel1.99 misma numeracin de canal en ambos lados del enlace siempre que sea
description Red de trnsito posible.
encapsulation dot1Q 99 interface Port-channel [nmero]
ip address 10.5.0.9 255.255.255.252 no ip address
ip pim sparse-mode
! Paso 2: Configuracin de subinterfaces de canal de puerto y asignacin de
direcciones IP.
router eigrp 100
no passive-interface Port-channel1.99 Despus de haber activado la interfaz fsica, asigne las subinterfaces
correspondientes a las VLAN en el switch de capa de distribucin. El nmero
de subinterfaz no tiene que ser igual a la etiqueta 802.1Q, aunque de ser as, se
Proceso simplifica la configuracin.
La subinterfaz configurada en el router se corresponde con una interfaz VLAN
en el switch de la capa de distribucin. El trfico se enruta entre los dispositivos
y la VLAN acta como un enlace punto a punto.
Nivel de distribucin del segundo router de sitio remoto
interface Port-channel [nmero].[nmero de subinterfaz]
1. Conexin del router de radio DMVPN encapsulation dot1Q [etiqueta dot1q VLAN]
2. Configuracin de EIGRP (lado de la LAN). ip address [direccin IP] [mscara de red]

3. Configuracin de la red de trnsito. Paso 3: Activacin de los miembros del grupo de canal de puerto y asignacin
del grupo de canal correspondiente.
No todas las plataformas de router pueden admitir LCAP para negociar con el
Utilice este conjunto de procedimientos para un sitio remoto de WAN MPLS switch, por lo que EtherChannel se configura de forma esttica.
de operador dual o un sitio remoto de WAN MPLS + DMVPN. Utilice estos interface [tipo de interfaz] [nmero]
procedimientos para conectar una capa de distribucin al configurar el no ip address
segundo router del diseo de router dual y duales.
channel-group [nmero]
no shutdown
Procedimiento 1 Conexin del router de radio DMVPN
Ejemplo:
Una interfaz de canal de puerto de nivel 2 se conecta con el switch de interface Port-channel2
distribucin WAN. Esta conexin permite incluir varios VLAN en el EtherChannel
no ip address
si fuera necesario.
!
La siguiente configuracin crea un enlace EtherChannel entre el router y el interface Port-channel2.54
switch con dos miembros del grupo de canal.
encapsulation dot1Q 54
ip address 10.5.0.5 255.255.255.252
ip pim sparse-mode
!
interface GigabitEthernet0/1
no ip address

Serie febrero 2012 Implementacin de una capa de distribucin para un sitio remoto WAN 84
channel-group 2
no shutdown
Sugerencia para el lector
!
interface GigabitEthernet0/2
no ip address Referencia de comando:
channel-group 2 default-metric: fiabilidad del retraso del ancho de banda al cargar
no shutdown mtu
ancho de banda: ancho de banda mnimo de la ruta en kilobytes por

segundo.
Procedimiento 2 Configuracin de EIGRP (lado de la LAN).
delay: retraso de la ruta en decenas de microsegundos.
Debe configurar un protocolo de routing entre el router y la capa de
distribucin. La opcin1 del paso2 es relevante para un router CE MPLS.
Siconfigura un router de radio DMVPN, siga el paso2 de la opcin2.
Ejemplo: opcin1, router CE MPLS
Paso 1: Activacin de EIGRP-100. router eigrp 100
default-metric 100000 100 255 1 1500
EIGRP-100 se configura de cara a la capa de distribucin. En este diseo, todas
network 10.5.0.0 0.0.255.255
las subinterfaces de cara a la capa de distribucin y el bucle invertido deben
ser interfaces EIGRP. El resto de interfaces deben permanecer en pasivo. redistribute bgp 65511
Lagama de red debe incluir todas las direcciones IP de interfaz, bien en una passive-interface default
instruccin de red o en varias. Este diseo sigue la prctica recomendada de no passive-interface Port-channel2.54
asignar la ID del router a una direccin de bucle invertido. eigrp router-id 10.5.48.253
router eigrp [en nmero] no auto-summary
network [network] [mscara inversa]
passive-interface default Opcin 2. Redistribucin de EIGRP-200 (DMVPN) en EIGRP-100 (solo
no passive-interface [interfaz] router de radio DMVPN).
eigrp router-id [direccin IP de Loopback0] Realice este paso solo en el router de radio DMVPN.
no auto-summary EIGRP-200 ya est configurado para la interfaz mGRE DMVPN. Las rutas de
este proceso EIGRP se redistribuyen. Puesto que el protocolo de routing es el
Paso 2: Configuracin del router. mismo, no se requiere ninguna mtrica predeterminada.
router eigrp [en nmero]
Opcin 1. Redistribucin de BGP en EIGRP-100 (solo router CE MPLS)
redistribute eigrp [en nmero (DMVPN)]
Complete este paso solo en un router CE MPLS. Las rutas BGP se redistribuyen Ejemplo: opcin2, router de radio DMVPN
en EIGRP con una mtrica predeterminada. Por defecto, solo se utilizan los
valores de retraso y de ancho de banda para el clculo mtrico. router eigrp 100
network 10.5.0.0 0.0.255.255
router eigrp [en nmero]
redistribute eigrp 200
default-metric [ancho de banda] [retraso] 255 1 1500
passive-interface default
redistribute bgp [ASN de BGP]
no passive-interface Port-channel2.54
eigrp router-id 10.5.0.253
no auto-summary

Serie febrero 2012 Implementacin de una capa de distribucin para un sitio remoto WAN 85

Procedimiento 3 Configuracin de la red de trnsito. Procedimiento 1  inalizacin de la configuracin universal
F
del switch de distribucin.

Solo se aplica al diseo de router dual. En esta gua se asume que el switch de la capa de distribucin ya se ha
configurado. Solo se incluyen los procedimientos necesarios para completar
Configure la red de trnsito entre los dos routers. Esta red se utiliza para la
la conexin del switch a los routers perifricos WAN. Para obtener ms
comunicacin de router a router y para evitar las conexiones entre nodos.
informacin sobre la configuracin del switch de la capa de distribucin,
La red de trnsito debe utilizar una subinterfaz adicional en la interfaz
consulte la Gua de implementacin de soluciones LAN de Cisco SBA for
EtherChannel que ya se utilice para conectarse a la capa de distribucin.
Enterprise OrganizationsBorderless Networks (Cisco SBA for Enterprise
La red de trnsito debe ser una interfaz EIGRP no pasiva. OrganizationsBorderless Networks LAN Deployment Guide).
No hay estaciones finales conectadas a esta red, por lo que no se necesitan
HSRP ni DHCP.
interface [tipo de interfaz] [nmero].[nmero de subinterfaz] Procedimiento 2 Conexin a los routers WAN.
encapsulation dot1Q [etiqueta dot1q VLAN]
ip address [direccin de red de trnsito] [mscara de red de Las interfaces de canal de puerto se conectan a routers WAN nicos o duales, y
estas conexiones son canales de puerto de capa2. La siguiente configuracin
trnsito]
crea un enlace EtherChannel entre el switch y un router con dos miembros de
grupo de canal. Si es necesario, repita este procedimiento para un router WAN
Ejemplo: router de radio DMVPN adicional.
interface Port-channel2.99
description Red de trnsito Paso 1: Creacin de la VLAN para el enlace del router en el switch, creacin de
encapsulation dot1Q 99 la interfaz VLAN y asignacin de la direccin IP.
ip address 10.5.0.10 255.255.255.252 Cree la VLAN punto a punto para el enlace del router.
ip pim sparse-mode vlan [nmero de la VLAN]
!
Cree la interfaz VLAN y asigne la direccin IP para el enlace punto a punto.
router eigrp 100
interface Vlan [nmero de la VLAN]
no passive-interface Port-channel2.99
ip address [direccin IP] [mscara de red]
no shutdown
Proceso
Paso 2: Configuracin de la interfaz de canal de puerto y configuracin para
enlaces troncales de VLAN 802.1q.
Como prctica recomendada, utilice la misma numeracin de canal en ambos
Configuracin del switch de la capa de distribucin de sitio remoto lados del enlace siempre que sea posible.
WAN
interface Port-channel [nmero]
1. Finalizacin de la configuracin universal del switch de distribucin. switchport trunk encapsulation dot1q
switchport trunk allowed vlan [nmero de la VLAN]
2. Conexin a los routers WAN.
switchport mode trunk
3. Configuracin de EIGRP.
Paso 3: Activacin administrativa de los miembros del grupo de canal de
4. Configuracin de una VLAN como red de trnsito.
puerto y asignacin del grupo de canal correspondiente. Configuracin para los
enlaces troncales de VLAN 802.1.

Serie febrero 2012 Implementacin de una capa de distribucin para un sitio remoto WAN 86
No todas las plataformas de router pueden admitir LCAP para negociar con el
switch, por lo que debe configurar EtherChannel de forma esttica. Procedimiento 3 Configuracin de EIGRP.
interface [tipo de interfaz] [nmero]
switchport trunk encapsulation dot1q Active EIGRP para el espacio de direccin IP que utilizar la red. Si lo necesita
para la red, puede introducir varias instrucciones de red. Desactive el resumen
switchport trunk allowed vlan [nmero de la VLAN] automtico de las redes IP y active todos los enlaces enrutados como pasivos
switchport mode trunk de forma predeterminada. La direccin IP del bucle invertido 0 se utiliza para la
channel-group [nmero] mode on ID del router EIGRP para garantizar la mxima resistencia.
no shutdown El diseo de capa de distribucin lgica nica utiliza stateful switchover
(conmutacin stateful) y direccionamiento ininterrumpido para proporcionar
Ejemplo: conmutacin por error en menos de un segundo en caso de que se produzca
vlan 50 un error en los datos del supervisor o el plano de control. Esta capacidad
! reduce la prdida de paquetes en la conmutacin a la lgica redundante y
mantiene el flujo de paquetes cuando el plano de datos est todava intacto
interface Port-channel1
para los nodos adyacentes. En el enfoque de capa de distribucin basado en
description MPLS CE router pila, sigue existiendo un punto de control lgico nico y el plano de control
switchport trunk encapsulation dot1q principal de una pila puede conmutar por error a otro miembro de la pila, lo
switchport trunk allowed vlan 50 que proporciona redundancia en cuestin de un segundo o menos. Cuando
switchport mode trunk el switch supervisor o principal de una plataforma de distribucin pasa del
! supervisor activo al supervisor Hot-Standby, continuar conmutando los flujos
de trfico de datos IP en el hardware. No obstante, el supervisor necesita
interface GigabitEthernet1/0/1
tiempo para restablecer puntos iguales bidireccionales del panel de control
description MPLS CE router port 1 con vecinos de routing EIGRP y evitar que el router igual elimine adyacencias
switchport trunk encapsulation dot1q debido a conexiones errneas que pueden causar la bsqueda de rutas
switchport trunk allowed vlan 50 alternativas y la interrupcin del trfico. Para que el supervisor disponga del
switchport mode trunk tiempo necesario para recuperarse, se dispone de un parmetro Nonstop
Forwarding (NSF) que hace que el protocolo de routing espere a que el switch
channel-group 1 mode on
de punto igual supervisor dual se recupere. Se considera que el router vecino
no shutdown cuenta con deteccin NSF si dispone de una versin de IOS que reconoce
! un igual NSF. Todas las plataformas utilizadas en este diseo cuentan con
interface GigabitEthernet2/0/1 deteccin NSF para los protocolos de routing en uso.
description MPLS CE router port 2 Debe configurar el switch de capa de distribucin para activar NSF para
switchport trunk encapsulation dot1q el protocolo en uso de forma que pueda indicar a un igual cuando pase al
switchport trunk allowed vlan 50 supervisor Hot-Standby para que el vecino igual le d tiempo a restablecer el
switchport mode trunk protocolo EIGRP en ese nodo. No es necesario ajustar los temporizadores NSF
channel-group 1 mode on predeterminados en esta red. No se necesita ninguna configuracin adicional
para un router igual con deteccin NSF.
no shutdown
! router eigrp [en nmero]
interface Vlan50 network [network] [mscara inversa]
ip address 10.5.0.2 255.255.255.252 passive-interface default
no shutdown no passive-interface [interfaz]
eigrp router-id [direccin IP de Loopback0]
no auto-summary
nsf

Serie febrero 2012 Implementacin de una capa de distribucin para un sitio remoto WAN 87
Ejemplo: Ejemplo:
router eigrp 100 vlan 99
network 10.5.0.0 0.0.255.255 !
passive-interface default interface Port-channel1
no passive-interface Vlan50 switchport trunk allowed vlan add 99
eigrp router-id 10.5.0.252 !
no auto-summary interface GigabitEthernet1/0/1
nsf switchport trunk allowed vlan add 99
!
interface GigabitEthernet2/0/1
Procedimiento 4  onfiguracin de una VLAN como red de
C switchport trunk allowed vlan add 99
trnsito.

Solo se aplica al diseo de router dual.


La red de trnsito se configura entre dos routers. Sin embargo, no es necesario
que exista un enlace fsico entre ambos. En su lugar, puede utilizar una VLAN
de trnsito. La capa de distribucin extiende la VLAN entre los dos enlaces
EtherChannel de capa2. La capa de distribucin no participa en el routing en
la red de trnsito, por lo que no se necesita una interfaz VLAN para la VLAN de
trnsito.

Paso 1: Creacin de la VLAN de trnsito en el switch.


Cree la VLAN de trnsito.
vlan [nmero de la VLAN]

Paso 2: Agregue la VLAN de trnsito a la interfaz troncal de canal de puerto y


los miembros de canal de puerto existentes.
interface Port-channel [nmero]
switchport trunk allowed vlan add [nmero de la VLAN]
!
interface [tipo de interfaz] [nmero]
switchport trunk allowed vlan add [nmero de la VLAN]

Serie febrero 2012 Implementacin de una capa de distribucin para un sitio remoto WAN 88
Implementacin de calidad
seguida del nombre que desea asignar a la clase de servicio. Despus de
haber configurado el comando class-map, debe definir los valores especficos,
como DSCP, y los protocolos de coincidencia con el comando match. Para ello,

de servicio de WAN utilizar las dos formas siguientes del comando match: match dscp y match
protocol.
Utilice los pasos siguientes para configurar los mapas de clase WAN y los
criterios de coincidencia.

Paso 1: Creacin de los mapas de clase para las coincidencias DSCP.


Al configurar la calidad de servicio de periferia de WAN, se define el modo de
salida del trfico de la red. Es fundamental que la clasificacin, la marcacin Repita este paso para crear un mapa de clase para cada una de las seis clases
y las asignaciones de ancho de banda se ajusten a la oferta del proveedor de servicio WAN indicadas en la tabla siguiente.
de servicios para garantizar un tratamiento coherente de calidad de servicio
No es necesario que configure explcitamente la clase predeterminada.
integral.
class-map match-any [nombre de class-map]
match dscp [valor dcsp] [valor(es) adicional(es) dscp
Proceso opcional(es)]
Tabla 25 - Clases de calidad de servicio

Clase de Valores Ancho de Prevencin de


Configuracin de QoS
servicio Tipo de trfico DSCP banda (%) congestin
1. Creacin de los mapas de calidad de servicio para clasificar el VOICE Trfico de voz ef 10(PQ) -
trfico. INTERACTIVE- Vdeo interactivo cs4, af41 23 (PQ) -
VIDEO (videoconferencia)
2. Creacin del mapa de polticas para marcar el trfico BGP.
CRITICAL-DATA Altamente af31, cs3 15 Basado en
3. Adicin de trfico ISAKMP a Network-Critical. interactivo (como DSCP
4. Definicin del mapa de polticas para utilizar la poltica de colas. clientes ligeros
de Telnet, Citrix y
5. Configuracin de las polticas de calidad de servicio en la interfaz Oracle)
fsica. DATA Datos af21 19 Basado en
DSCP
6. Aplicacin de la poltica de calidad de servicio a una interfaz fsica.
SCAVENGER Scavenger af11, cs1 5 -
NETWORK- Protocolos de cs6, cs2 3 -
CRITICAL routing. Trfico
de operaciones,
administracin y
Procedimiento 1  reacin de los mapas de calidad de
C mantenimiento
servicio para clasificar el trfico.
(OAM).
Predeterminado El mejor posible. other 25 Aleatoria
Utilice el comando class-map para definir una clase de trfico e identificar el
trfico que se asociar al nombre de clase. Estos nombres de clase se utilizan
al configurar mapas de polticas que definen las acciones que desea realizar Paso 2: Creacin de un mapa de clase para las coincidencias de protocolo BGP.
respecto del tipo de trfico. El comando class-map establece la lgica de
coincidencia. En este caso, la palabra clave match-any indica que los mapas El trfico BGP no est etiquetado explcitamente con un valor DSCP. Utilice
coinciden con cualquiera de los criterios especificados. La palabra clave va NBAR para establecer coincidencias BGP por protocolo.

Serie febrero 2012 Implementacin de calidad de servicio de WAN 89


Este paso solo se requiere para un router de agregacin de WAN CE MPLS o un
router WAN CE MPLS de sitio remoto que utilice BGP. Procedimiento 2  reacin del mapa de polticas para
C
marcar el trfico BGP.
class-map match-any [nombre de class-map]
match ip protocol [nombre del protocolo]
Este procedimiento solo se requiere para un router de agregacin de WAN CE
MPLS o un router WAN CE MPLS de sitio remoto que utilice BGP.
Ejemplo:
Para garantizar el tratamiento adecuado del trfico de routing BGP en la red
class-map match-any VOICE
WAN, debe asignar un valor DSCP de cs6. Aunque el mapa de clase que ha
match dscp ef creado en el paso anterior asigna todo el trfico BGP a la clase denominada
! BGP, debe configurar un mapa de polticas para asignar el valor DSCP
class-map match-any INTERACTIVE-VIDEO necesario a todo el trfico BGP.
match dscp cs4 af41 policy-map MARK-BGP
! class BGP-ROUTING
class-map match-any CRITICAL-DATA set dscp cs6
match dscp af31 cs3
!
class-map match-any DATA Procedimiento 3  dicin de trfico ISAKMP a Network-
A
match dscp af21 -Critical.
!
class-map match-any SCAVENGER Para una conexin WAN con DMVPN debe garantizar el tratamiento adecuado
del trfico ISAKMP en la red WAN. La clasificacin de este trfico requiere la
match dscp af11 cs1
creacin de una lista de acceso y la adicin del nombre de la lista de acceso al
! mapa de clase NETWORK-CRITICAL creado en el procedimiento1.
class-map match-any NETWORK-CRITICAL
Este procedimiento solo se requiere para un router hub de agregacin de WAN
match dscp cs6 cs2
DMVPN o un router de radio WAN DMVPN de sitio remoto.
!
class-map match-any BGP-ROUTING Paso 1: Creacin de la lista de acceso.
match protocol bgp ip access-list extended ISAKMP
permit udp any eq isakmp any eq isakmp
Sugerencia tcnica Paso 2: Adicin de los criterios de coincidencia al mapa de clase NETWORK-
CRITICAL existente.
No es necesario configurar una clase del mejor servicio posible. Esta class-map match-any NETWORK-CRITICAL
se incluye de forma implcita en class-default como se muestra en el match access-group name ISAKMP
procedimiento 4.

Serie febrero 2012 Implementacin de calidad de servicio de WAN 90


Ejemplo:
Procedimiento 4  efinicin del mapa de polticas para
D
utilizar la poltica de colas. policy-map WAN
class VOICE
Este procedimiento se aplica a todos los routers WAN. priority percent 10
class INTERACTIVE-VIDEO
El mapa de polticas WAN hace referencia a los nombres de clase que cre
priority percent 23
en los procedimientos anteriores y define el comportamiento de las colas
y el ancho de banda mximo asignado a cada clase. Esta especificacin se class CRITICAL-DATA
consigue mediante el uso de un mapa de polticas. Cada clase del mapa de bandwidth percent 15
polticas invoca una cola de salida, asigna un porcentaje de ancho de banda random-detect dscp-based
y asocia una clase de trfico especfica a esa cola. Una clase predeterminada class DATA
adicional define el mnimo de ancho de banda permitido disponible para la
bandwidth percent 19
mejor opcin de trfico.
random-detect dscp-based
Los mapas de polticas del router local definen siete clases, mientras que la class SCAVENGER
mayora de los proveedores de servicios solo ofrecen seis clases de servicio.
bandwidth percent 5
El mapa de polticas NETWORK-CRITICAL se define para garantizar la
clasificacin, la marcacin y las colas correctas del trfico crtico para la red de class NETWORK-CRITICAL
salida a la red WAN. Despus de transmitir el trfico al proveedor de servicios, bandwidth percent 3
este reasigna normalmente el trfico crtico para la red a la clase de datos service-policy MARK-BGP
crticos. La mayora de los proveedores realizan esta reasignacin mediante la class class-default
coincidencia de los valores DSCP cs6 y cs2. bandwidth percent 25
random-detect
Paso 1: Creacin del mapa de polticas principal.
policy-map [nombre-mapa-poltica]
Los pasos 26 se repiten para cada clase de la Table 25, incluida class-default. Sugerencia tcnica

Paso 2: Aplicacin del mapa de clase creado anteriormente.


Aunque estas asignaciones de ancho de banda representan un buen
class [nombre-clase] punto de partida, es importante considerar los requisitos de trfico
por clase actuales y ajustar los parmetros de ancho de banda en
Paso 3: (Optativo) Asignacin del ancho de banda mximo garantizado para la
consecuencia.
clase.
bandwidth percent [porcentaje]

Paso 4: (Optativo) Definicin de la cola de prioridad para la clase.
priority percent [porcentaje]

Paso 5: (Optativo) Aplicacin de la poltica de servicio secundaria.


Este es un paso optativo solo para la clase de servicio NETWORK-CRITICAL con
la poltica de servicio secundaria MARK-BGP.
service-policy [nombre-mapa-poltica]

Paso 6: (Optativo) Definicin del mecanismo de congestin.


random-detect [tipo]

Serie febrero 2012 Implementacin de calidad de servicio de WAN 91


Ejemplo:
Procedimiento 5 
Configuracin de las polticas de calidad
de servicio en la interfaz fsica. Este ejemplo muestra un router con un enlace de 20Mbps en la interfaz
GigabitEthernet0/0 y un enlace de 10Mbps en la interfaz GigabitEthernet0/1.
Dado que las interfaces WAN utilizan Ethernet como tecnologa de acceso, policy-map WAN-INTERFACE-G0/0
puede que el punto de demarcacin entre la empresa y el proveedor de class class-default
servicios ya no tenga una limitacin de ancho de banda de interfaz fsica. shape average 20000000
En su lugar, se contratar una cantidad especfica de ancho de banda con el
service-policy WAN
proveedor de servicios. Para garantizar que la carga ofrecida al proveedor de
servicios no excede la velocidad contratada y que, por lo tanto, el proveedor !
no descarta parte del trfico, necesita configurar el modelado en la interfaz policy-map WAN-INTERFACE-G0/1
fsica. Este modelado se consigue con una poltica de calidad de servicio. class class-default
Debe configurar una poltica de calidad de servicio en la interfaz Ethernet shape average 10000000
externa; esta poltica principal incluye un gestor que hace referencia a una service-policy WAN
poltica secundaria o subordinada que permite el establecimiento de colas a
la velocidad modelada. Esta configuracin recibe el nombre de Hierarchical
Class-Based Weighted Fair Queuing (HCBWFQ). Al configurar el comando
shape promedio, asegrese de que el valor coincide con la velocidad de ancho Procedimiento 6  plicacin de la poltica de calidad de
A
de banda contratada con su proveedor de servicios. servicio a una interfaz fsica.

Este procedimiento se aplica a todos los routers WAN. Puede repetir este
Para invocar el modelado y las colas en una interfaz fsica, debe aplicar la
procedimiento varias veces si tiene dispositivos que cuenten con diferentes
poltica principal que configur en el procedimiento anterior.
conexiones WAN a diferentes interfaces.
Este procedimiento se aplica a todos los routers WAN. Puede repetir este
Paso 1: Creacin del mapa de polticas principal. procedimiento varias veces si tiene dispositivos que cuenten con diferentes
conexiones WAN a diferentes interfaces.
Le recomendamos que incluya el nombre de la interfaz en el nombre del mapa
de polticas principal.
Paso 1: Seleccin de la interfaz WAN.
policy-map [nombre-mapa-poltica]
interface [tipo de interfaz] [nmero]
Paso 2: Configuracin del gestor.
Paso 2: Aplicacin de la poltica de calidad de servicio WAN.
class [nombre-clase]
La poltica de servicio se debe aplicar en la direccin de salida.
shape [promedio | pico] [ancho de banda (kbps)]
service-policy output [nombre-mapa-poltica]
Paso 3: Aplicacin de la poltica de servicio secundaria.
policy-map [nombre-mapa-poltica] Ejemplo:
interface GigabitEthernet0/0
service-policy output WAN-INTERFACE-G0/0
!
interface GigabitEthernet0/1
service-policy output WAN-INTERFACE-G0/1

Serie febrero 2012 Implementacin de calidad de servicio de WAN 92


Implementacin Descripcin general de la tecnologa

de optimizacin de Agregacin de WAN


El sitio de agregacin de WAN utiliza un clster de dos o ms dispositivos

aplicaciones con WAAS WAE para proporcionar funciones WAAS. Los dispositivos WAE se conectan al
switch de capa de distribucin. Las conexiones utilizan EtherChannel tanto para
mejorar el rendimiento como la flexibilidad. Los dispositivos WAE se conectan a
la red de servicios WAN configurada en el switch de distribucin.
El diseo de WAN500 utiliza un clster de dispositivos WAE-7371. Serequieren
como mnimo 2dispositivos (para una redundancia N+1). De igual modo,
el diseo de WAN100 utiliza un clster de dispositivos WAE-7341 y se
Contexto empresarial requieren como mnimo 2dispositivos (para una redundancia N+1). En la
El nmero de sitios de trabajo remotos aumenta da a da, por lo que los tabla que aparece a continuacin, se proporciona informacin adicional
administradores de redes necesitan herramientas que les ayuden a garantizar un sobre el dimensionamiento WAE. Los nmeros de distribucin ramificada se
rendimiento slido de las aplicaciones en ubicaciones remotas. Las tendencias ms corresponden con el nmero total de dispositivos WAE en iguales remotos.
recientes demuestran que el nmero de sitios remotos sigue aumentando y que cada Tabla 26 - Opciones de agregacin de WAN
vez se contratan a ms empleados para trabajar desde sitios remotos. Los motivos
de estas tendencias son la expansin global, laatraccin y retencin de empleados, Distrib.
fusiones y adquisiciones, ahorros de costes y la concienciacin medioambiental. Nm. mx. Enlace WAN ramificada
Mientras tanto, los requisitos de las comunicaciones del sitio remoto continan conexiones mx. Rendimiento de ncleo
evolucionando e incluyen ahora aplicaciones de colaboracin, vdeo y TCP recomendado optimizado mx.
tecnologas Web 2.0. Adems, tambin se exige cada vez un mayor rendimiento Dispositivo optimizadas [Mbps] mx. [Mbps] [iguales]
de los sitios remotos y de la red WAN. WAVE-594-8GB 750 50 250 50
La tendencia de las empresas hacia la consolidacin del Data Center tambin WAVE-594-12GB 1300 100 300 100
contina creciendo. Los esfuerzos de consolidacin se materializan en el
WAE-694-16GB 2500 200 450 150
desplazamiento de la mayor parte de los activos de los sitios remotos al Data
Center para cumplir con normativas que garantizan la seguridad centralizada y WAE-694-24GB 6000 200 500 300
un mayor control sobre los activos de datos corporativos. WAE-7341 12000 310 1000 1400
La consolidacin del Data Center a la vez que crecen los usuarios en sitios remotos WAE-7371 50000 1000 2500 2800
implica que un nmero creciente de empleados remotos acceden a aplicaciones
empresariales basadas en LAN mediante redes WAN relativamente lentas. Estas WAVE-7541 18000 500 1000 700
aplicaciones cada vez usan ms multimedia y son ms sensibles a la latencia, por WAVE-7571 60000 1000 2000 1400
lo que el personal de TI y redes se enfrenta al reto de mantener los tiempos de
WAVE-8541 150000 2000 4000 2800
respuesta de las aplicaciones remotas sincronizados con las experiencias de los
usuarios locales conectados a los servidores de las aplicaciones empresariales en
el Data Center. Los usuarios locales disponen de velocidades LAN multimegabit Los usuarios registrados en cisco.com disponen de una herramienta de
y, a diferencia de sus homlogos al otro extremo de una conexin WAN, no les dimensionamiento WAAS ms interactiva y global:
afectan los retrasos debido a la distancia. http://tools.cisco.com/WAAS/sizing
La optimizacin de las aplicaciones puede aumentar el rendimiento de la WCCP es un protocolo desarrollado por Cisco. Su objetivo es interceptar
red, as como mejorar la seguridad y el suministro de aplicaciones. Cisco y redirigir de forma transparente el trfico de un dispositivo de red a un
WAN Optimization es una solucin arquitectnica que incluye un conjunto de dispositivo WCCP, como un WAE que ejecuta WAAS (tratado ms adelante).
herramientas y tcnicas que se combinan dentro de un enfoque de sistemas
estratgico para proporcionar el mejor rendimiento de optimizacin WAN de su
clase y reducir al mnimo el coste total de propiedad.

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 93


Los routers CE MPLS y DMVPN tienen WCCP activado. La redireccin WCCP de los dispositivos WAE dependen principalmente del nmero de usuarios
utiliza los grupos de servicio 61 y 62 para hacer coincidir el trfico para su finales y los anchos de banda de los enlaces WAN. Los sitios con ancho de
redireccin. Los grupos de servicio siguientes deben utilizarse en pares: banda bajo (< 2Mbps) y router y enlace nicos tambin pueden usar las
El grupo de servicio 61 utiliza la direccin de origen para redirigir el trfico. funciones WAASx integradas del router.
El grupo de servicio 62 utiliza la direccin de destino para redirigir el trfico. Hay un gran nmero de factores que deben tenerse en cuenta en la seccin
de la plataforma de optimizacin WAN de sitios remotos WAN. El parmetro
Este diseo utiliza WCCP61 de forma entrante en interfaces de cara a la LAN principal es el ancho de banda del enlace WAN. Una vez cumplido el requisito
para establecer correspondencias en los datos no optimizados obtenidos del de ancho de banda, el elemento siguiente que debe considerarse es el
Data Center destinados a clientes en sitios remotos WAN. WCCP62 se utiliza nmero mximo de conexiones TCP concurrentes y optimizadas. En la tabla
de forma entrante en interfaces de cara a la WAN y se corresponde con los que aparece a continuacin, se proporciona informacin adicional sobre el
datos optimizados obtenidos de los sitios remotos WAN. WCCP62 se utiliza de dimensionamiento WAE. El rendimiento optimizado se corresponde con el
forma saliente en interfaces LAN para los routers de radio DMVPN. ancho de banda aparente tras la optimizacin correcta mediante WAAS.
Las conexiones del switch a los routers CE MPLS y DMVPN son enlaces punto Tabla 27 - Opciones de dispositivo WAE de sitio remoto WAN
a punto enrutados. Este diseo exige la utilizacin de un tnel GRE de retorno
negociado desde el dispositivo WAE al router. Cuando un diseo utiliza un tnel Nm. mx. Enlace WAN
GRE de retorno negociado, no es necesario ampliar la VLAN de servicios WAN conexiones mx. Rendimiento
para incluir los routers CE MPLS y DMVPN. TCP recomendado optimizado
Figura 30: Agregacin de WAN: topologa WAAS Dispositivo optimizadas [Mbps] mx. [Mbps]
Cisco1941/WAASX1 150 4 8
SRE-700-S 200 20 200
SRE-700-M 500 20 200
SRE-900-S 200 50 300
SRE-900-M 500 50 300
SRE-900-L 1000 50 300
WAVE-294-4GB 200 10 100
WAVE-294-8GB 500 20 150
WAVE-594-8GB 750 50 250
WAVE-594-12GB 1300 100 300
WAE-694-16GB 2500 200 450
WAE-694-24GB 6000 200 500
WAE-7341 12000 310 1000
WAE-7371 50000 1000 2500
WAVE-7541 18000 500 1000
WAVE-7571 60000 1000 2000
Sitios remotos
Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco 23
WAVE-8541 150000 2000 4000
El diseo de optimizacin WAN para los sitios remotos puede variar ligeramente
Notas:
segn las caractersticas especficas del sitio. Los sitios con un nico router
utilizan un nico WAE (no redundante). De igual forma, todos los sitios con 1. Solo diseo de enlace nico
routers duales utilizan dispositivos WAE duales. El tamao y diseo especficos

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 94


Los usuarios registrados en cisco.com disponen de una herramienta de La conexin de los dispositivos WAE a la LAN debe ser coherente,
dimensionamiento WAAS ms interactiva y global: independientemente del diseo de hardware seleccionado. Todas las
conexiones WAE se realizan mediante interfaces externas. La ventaja de este
http://tools.cisco.com/WAAS/sizing
mtodo es que no es necesario crear una red especializada especfica para
El router integrado WAASx proporciona un subconjunto de las funciones WAAS conectar los dispositivos WAE y que tanto el SRE como los dispositivos pueden
disponibles en las plataformas WAE. La versin actual del software WAASx usar un diseo idntico. La interfaz interna del SRE no se utiliza para este
es compatible con los diseos WAN de enlace nico, es rentable y fcil de diseo, excepto para el arranque inicial de la configuracin del dispositivo.
implementar. No se necesitan cambios de diseo ni en la arquitectura para
Para esta solucin debe conectar un cable Ethernet externo desde cada
activar estas funciones en el router.
mdulo SRE.
Figura 31: Sitio remoto WAN: topologa WAASx
Debe conectar los dispositivos WAE a la VLAN de datos del switch de acceso
en todos los diseos de capa2.
Figura 32: Sitio remoto WAN: topologa WAAS (conexin de capa de
acceso)

Cuando la implementacin utiliza un diseo de capa de distribucin, los


dispositivos WAE se deben conectar a la VLAN de datos principal en el switch
Los diseos de WAE descritos anteriormente incluyen un router Service Ready de distribucin.
Engine (SRE) y un dispositivo externo. Todas las variantes ejecutan el mismo
software WAAS y disponen de las mismas funciones. La diferencia principal es Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco 25
el modo de conexin LAN de estos dispositivos:
SRE: una interfaz interna (solo conexin a router), una interfaz externa
Dispositivo: dos interfaces (ambas externas)

Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco 24

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 95


Figura 33: Sitio remoto WAN: topologa WAAS (conexin de capa de
distribucin) Proceso

Configuracin WAAS/WAE

1. Instalacin de la mquina virtual vWAAS.


2. Configuracin de WAAS Central Manager.
3. Configuracin del switch para los dispositivos WAE.
4. Configuracin de los dispositivos WAE.
5. Configuracin de los dispositivos WAE SRE.
6. Configuracin de switch remoto para dispositivos WAE
7. Configuracin de WCCPv2 en los routers.
8. Configuracin de Central Manager para WAASx.
9. Configuracin de routers WAAS Express.
Siempre que sea posible, conecte los dispositivos WAE a travs de ambas
interfaces mediante EtherChannel para obtener rendimiento y fiabilidad.
Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco 26

La versin 2 de WCCP est activada en los routers WAN para redirigir el trfico
a los dispositivos WAAS.

La redireccin WCCP utiliza los grupos de servicio 61 y 62 para hacer coincidir Procedimiento 1 Instalacin de la mquina virtual vWAAS.
el trfico para su redireccin. Los grupos de servicio siguientes deben utilizarse
en pares:
Este procedimiento es optativo y solo se requiere si utiliza Virtual WAAS
El grupo de servicio 61 utiliza la direccin de origen para redirigir el trfico. (vWAAS).
El grupo de servicio 62 utiliza la direccin de destino para redirigir el trfico.
vWAAS se proporciona como dispositivo de Open Virtual Appliance (OVA).
Este diseo utiliza WCCP61 de forma entrante en subinterfaces VLAN de cara El dispositivo OVA viene prediseado con disco, memoria, CPU, NIC y otros
a la LAN para establecer correspondencias en datos no optimizados obtenidos parmetros de configuracin relacionados con la mquina virtual. Se trata de un
de los clientes destinados a Data Center (u otros sitios remotos). En todos los estndar del sector y muchos dispositivos virtuales estn disponibles en este
casos, WCCP62 se utiliza de forma entrante en interfaces de cara a la WAN formato.Se proporciona un archivo OVA diferente para cada modelo vWAAS.
para establecer correspondencias en datos optimizados obtenidos de Data
Center (u otros sitios remotos).
Como el dispositivo WAE se conecta a la VLAN de datos, este diseo requiere Sugerencia tcnica
la utilizacin de un tnel GRE de retorno negociado desde el dispositivo WAE al
router. Al utilizar un tnel GRE de retorno negociado, no necesita crear una red
nueva en los routers exclusivamente para conectar los dispositivos WAE. Los archivos OVA solo estn disponibles en formato DVD y en la
actualidad no pueden descargarse en www.cisco.com.
Los pasos siguientes proporcionan una descripcin general de las
instrucciones necesarias para configurar un entorno WAAS bsico.

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 96


Paso 1: Implementacin de la plantilla de OVF con el cliente VMWare vSphere. Paso 2: Configuracin como Central Manager.
Primero debe instalar el OVA de vWAAS en el servidor VMware ESX/ESXi 1. Application Accelerator
mediante vSphere antes de configurar vWAAS. 2. Central Manager
Select device mode [1]: 2
Paso 2: Configuracin del dispositivo mediante la consola de VMware.
Paso 3: Configuracin de la zona horaria.
Los procedimientos y pasos de configuracin de los dispositivos vWAAS
Central Manager y vWAAS Application Accelerator son idnticos a los de los Enter Time Zone <Time Zone Hours(-23 to 23) Minutes(0-59)> [UTC 0
dispositivos WAE y los diseos SRE. Seleccione el procedimiento siguiente 0]: PST -8 0
correcto para completar la configuracin vWAAS.
Paso 4: Configuracin de la interfaz de administracin, de la direccin IP y del
gateway predeterminado.

Procedimiento 2 Configuracin de WAAS Central Manager. No. Interface Name IP Address Network Mask
1. GigabitEthernet 1/0 dhcp
Utilice un dispositivo Cisco WAVE-574 para la funcin Central Manager en 2. GigabitEthernet 2/0 dhcp
la ubicacin principal para proporcionar administracin, configuracin y Select Management Interface [1]: 1
elaboracin de informes grficos a la red WAAS. Este dispositivo reside en Enable Autosense for Management Interface? (y/n)[y]: y
el conjunto de servidores porque no se encuentra directamente en la ruta Enable DHCP for Management Interface? (y/n)[y]: n
de reenvo de la optimizacin WAN, pero proporciona servicios de gestin y Enter Management Interface IP Address
monitorizacin. La configuracin inicial de Central Manager requiere acceso
desde el terminal al puerto de la consola para las opciones de configuracin <a.b.c.d or a.b.c.d/X(optional mask bits)> [Not configured]:
bsicas y la asignacin de la direccin IP. Para todos los dispositivos WAE, el 10.4.48.100/24
nombre de usuario predeterminado de fbrica es admin y la contrasea es Enter Default Gateway IP Address [Not configured]: 10.4.48.1
default.
Paso 5: Configuracin de DNS, de host y de los parmetros de NTP.
Puede iniciar la herramienta de configuracin inicial introduciendo el comando
setup en la lnea de comandos. Enter Domain Name Server IP Address [Not configured]: 10.4.48.10
Enter Domain Name(s) (Not configured): cisco.local
Paso 1: Ejecucin de setup. Enter Host Name (None): WAAS-WCM-1
Parameter Default Value Enter NTP Server IP Address [None]: 10.4.48.17
1. Device Mode Application Accelerator
Paso 6: Seleccin de la licencia adecuada.
2. Interception Method WCCP
The product supports the following licenses:
3. Time Zone UTC 0 0
1. Enterprise
4. Management Interface GigabitEthernet 1/0
Enter the license(s) you purchased [1]: 1
5. Autosense Enabled
6. DHCP Enabled
ESC Quit ? Help WAAS Default Configuration

Press y to select above defaults, n to configure all, <1-6>
to change specific default [y]: n

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 97


Paso 7: Verificacin de los parmetros de configuracin y comienzo del Paso 9: Desconexin de telnet.
reinicio. no telnet enable
Parameter Configured Value
1. Device Mode Central Manager Paso 10: Acceso a WAAS Central Manager mediante la interfaz web.
2. Time Zone PST -8 0 Cuando finalice el reinicio, el dispositivo Central Manager estar en
3. Management Interface GigabitEthernet 1/0 funcionamiento y se deber poder acceder a l mediante un navegador web
4. Autosense Enabled a travs de la direccin IP asignada durante el paso6 de la herramienta de
configuracin o el nombre de host asociado si se ha configurado en DNS.
5. DHCP Disabled
Especifique HTTP seguro y el nmero de puerto8443 para acceder a Central
6. IP Address 10.4.48.100 Manager. Por ejemplo: https://10.4.48.100:8443. Inicie sesin mediante el
7. IP Network Mask 255.255.255.0 nombre de usuario predeterminado admin (administrador) y la contrasea
8. IP Default Gateway 10.4.48.1 default (predeterminada).
9. DNS IP Address 10.4.48.10
10. Domain Name(s) cisco.local Paso 11: Haga clic en My WAN (Mi WAN) > Manage Devices (Administrar
dispositivos). Central Manager aparece en la ventana My WAN (Mi WAN) como
11. Host Name WAAS-WCM-1
el nico dispositivo administrado.
12. NTP Server Address 10.4.48.17
13. License Enterprise Figura 34: WAAS Central Manager, lista inicial de dispositivos
administrados
ESC Quit ? Help ! CLI WAAS Final Configuration

Press y to select configuration, d to toggle defaults
display, <1-13> to change specific parameter [y]: y
Apply WAAS Configuration: Device Mode changed in SETUP; New
configuration takes effect after a reload. If applicable,
registration with CM, CM IP address, WAAS WCCP configuration etc,
are applied after the reboot. Initiate system reload?
<y/n> [n] y
Are you sure? <y/n> [n]: y

Paso 8: Despus del reinicio, inicie sesin en WAAS Central Manager y


activacin de SSH.
Para activar SSH, necesita generar la clave RSA y activar el servicio sshd.
ssh-key-generate key-length 2048
sshd version 2
sshd enable

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 98


Paso 12: Configuracin del grupo de usuarios administradores de red. Despus de crear el grupo, haga clic en la ficha Role Management
(Administracin de funciones) y haga clic en la X para asignar la funcin.
La interfaz web de Central Manager requiere un grupo de usuarios con la
asignacin de la funcin correcta para autorizar a los usuarios desde una base
de datos AAA externa. Este paso debe completarse antes de activar AAA en el
paso siguiente y solo se puede realizar mediante la interfaz web.
En Admin (Administrador) > AAA, haga clic en User Groups (Grupos de
usuarios).

Despus de asignar la funcin correctamente, aparecer una marca verde de


verificacin grande junto al icono.

Haga clic en Create (Crear) y, a continuacin, escriba un nombre en el campo


Name (Nombre). Este nombre debe coincidir exactamente (distingue entre
maysculas y minsculas) con el nombre de grupo utilizado en el servidor
AAA. Por ejemplo, Network Admins (Administradores de red) en esta
implementacin.

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 99


Paso 13: Configuracin de la autenticacin de usuario segura.
Procedimiento 3  onfiguracin del switch para los
C
Active la autenticacin AAA para el control de acceso. Los controles AAA dispositivos WAE.
abarcan todos los accesos de administracin a los dispositivos WAAS/WAE
(SSH y HTTPS).
El switch de distribucin WAN es la ubicacin correcta para conectar
Durante la configuracin de WAAS/WAE, se crea un usuario de administracin dispositivos fsicamente en el sitio de agregacin de WAN, como los
local. Esta cuenta de usuario proporciona la capacidad de gestionar el dispositivos WAE que admiten optimizacin WAN. Este tipo de dispositivo
dispositivo en caso de que el servidor TACACS+ centralizado no est requiere una conexin resistente, pero no un protocolo de routing. Para
disponible o si no dispone de un servidor TACACS+ en su organizacin. establecerla, puede utilizarse un enlace EtherChannel de nivel 2.
En esta gua se asume que el switch de la capa de distribucin ya se ha
configurado. Solo se incluyen los procedimientos necesarios para completar
Sugerencia tcnica la conexin del switch a los dispositivos WAE. La informacin completa
sobre la configuracin del switch de la capa de distribucin se incluye
en la Gua de implementacin de soluciones LAN de Cisco SBA for
Los detalles de la configuracin AAA que se muestran sirven Enterprise OrganizationsBorderless Networks (Cisco SBA for Enterprise
nicamente para dispositivos WAAS. Es necesario realizar tareas OrganizationsBorderless Networks LAN Deployment Guide).
de configuracin adicionales en el servidor AAA para obtener la
autorizacin de usuario correcta. No pase a la configuracin de Debe crear una VLAN y una SVI para este dispositivo y otros con requisitos de
autenticacin de usuario segura sin antes completar los pasos conectividad similares. A esta VLAN se la denomina red de servicio WAN.
relevantes que se incluyen en la Gua de implementacin de
autorizacin y autenticacin de dispositivos de red de Cisco SBA Paso 1: Creacin de la VLAN y la SVI.
for Enterprise OrganizationsBorderless Networks (Cisco SBA for vlan [nmero de la VLAN]
Enterprise OrganizationsBorderless Networks Network Device name [nombre de la VLAN]
Authentication and Authorization Deployment Guide).
!
interface Vlan [nmero de la VLAN]

ip address [direccin IP] [mscara de red]


El siguiente cdigo permite configurar TACACS+ como el mtodo primario
no shutdown
para la autenticacin del usuario (inicio de sesin) y la autorizacin de usuarios
(configuracin). Paso 2: Configuracin de los enlaces EtherChannel de nivel 2 para los
tacacs key SecretKey dispositivos y asociacin de estos a la VLAN.
tacacs password ascii interface Port-channel [nmero]
tacacs host 10.4.48.15 primary switchport access vlan [nmero de la VLAN]
! !
authentication login local enable secondary interface [tipo] [nmero]
authentication login tacacs enable primary switchport access vlan [nmero de la VLAN]
authentication configuration local enable secondary channel-group [nmero] mode on
authentication configuration tacacs enable primary no shutdown
authentication fail-over server-unreachable

Paso 14: Despus de realizar los cambios de configuracin, guarde la


configuracin.
copy running-config startup-config

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 100


Ejemplo: La configuracin inicial de los aceleradores de aplicaciones WAE requiere
vlan 350 acceso desde el terminal al puerto de la consola para las opciones de
configuracin bsicas y la asignacin de la direccin IP. Para todos los
name WAN_Service_Net
dispositivos WAE, el nombre de usuario predeterminado de fbrica es admin y
! la contrasea es default.
interface Port-channel7
Los pasos de configuracin de la herramienta de configuracin para los
description bn-wae-1 EtherChannel
dispositivos aceleradores de aplicaciones WAE son similares a los indicados
switchport access vlan 350 para la configuracin de Central Manager hasta la seleccin del acelerador de
! aplicacin como el modo de dispositivo en el paso2. Al seleccionar este modo,
interface GigabitEthernet1/0/2 el script de configuracin cambia para permitirle registrar el dispositivo WAE en
description bn-wae-1 port 1 Central Manager y definir el mtodo de intercepcin del trfico como WCCP.
switchport access vlan 350
Paso 1: Ejecucin de setup.
channel-group 7 mode on
no shutdown Puede iniciar la herramienta de configuracin inicial introduciendo el comando
! setup en la lnea de comandos.
interface GigabitEthernet2/0/2 Parameter Default Value
description bn-wae-1 port 2 1. Device Mode Application Accelerator
switchport access vlan 350 2. Interception Method WCCP
channel-group 7 mode on 3. Time Zone UTC 0 0
no shutdown 4. Management Interface GigabitEthernet 1/0
! 5. Autosense Enabled
interface Vlan350 6. DHCP Enabled
ip address 10.4.32.129 255.255.255.192 ESC Quit ? Help WAAS Default Configuration
no shutdown
Press y to select above defaults, n to configure all, <1-6>
to change specific default [y]: n
Procedimiento 4 Configuracin de los dispositivos WAE.
Paso 2: Configuracin como acelerador de aplicaciones.
En el sitio de agregacin de WAN debe implementarse un clster de 1. Application Accelerator
dispositivos Cisco WAE-7341 para proporcionar la terminacin de cabecera 2. Central Manager
para el trfico WAAS bidireccional a los sitios remotos de la WAN. Estos Select device mode [1]: 1
dispositivos se conectan directamente al switch de capa de distribucin WAN
mediante un tnel GRE de retorno negociado para comunicarse con los routers Paso 3: Configuracin del mtodo de intercepcin.
WCCP. 1. WCCP
Tambin puede implementar dispositivos WAE en sitios remotos WAN 2. Other
individualmente o como parte de un clster WAE. Debe utilizar este procedimiento Select Interception Method [1]: 1
para configurar dispositivos WAE en sitios remotos WAN. Para configurar los
dispositivos WAE, utilice la misma herramienta de configuracin que utiliz Paso 4: Configuracin de la zona horaria.
para la configuracin inicial de WAAS Central Manager. Estos dispositivos solo Enter Time Zone <Time Zone Hours(-23 to 23) Minutes(0-59)> [UTC 0
necesitan la configuracin bsica a travs del puerto de la consola para asignar los
parmetros iniciales. Cuando haya completado la configuracin, puede administrar 0]: PST -8 0
la red WAAS en su totalidad mediante la consola de WAAS Central Manager.

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 101


Paso 5: Configuracin de la interfaz de administracin, de la direccin IP y del Paso 9: Verificacin de los parmetros de configuracin.
gateway predeterminado. Parameter Configured Value
No. Interface Name IP Address Network Mask 2. Interception Method WCCP
1. GigabitEthernet 1/0 dhcp 3. Time Zone PST -8 0
2. GigabitEthernet 2/0 dhcp 4. Management Interface GigabitEthernet 1/0
Select Management Interface [1]: 1 5. Autosense Enabled
Enable Autosense for Management Interface? (y/n)[y]: y 6. DHCP Disabled
Enable DHCP for Management Interface? (y/n)[y]: n 7. IP Address 10.4.32.161
Enter Management Interface IP Address 8. IP Network Mask 255.255.255.192
<a.b.c.d or a.b.c.d/X(optional mask bits)> [Not configured]: 9. IP Default Gateway 10.4.32.129
10.4.32.161/26 10. CM IP Address 10.4.48.100
Enter Default Gateway IP Address [Not configured]: 10.4.32.129 11. DNS IP Address 10.4.48.10
Enter Central Manager IP Address (WARNING: An invalid entry will 12. Domain Name(s) cisco.local
cause SETUP to take a long time when applying WAAS configuration) 13. Host Name WAE7341-1
[None]: 10.4.48.100 14. NTP Server Address 10.4.48.17
15. WCCP Router List 10.4.32.241 10.4.32.242 10.4.32.243
Paso 6: Configuracin de DNS, de host y de los parmetros de NTP.
16. License Enterprise
Enter Domain Name Server IP Address [Not configured]: 10.4.48.10
ESC Quit ? Help ! CLI WAAS Final Configuration
Enter Domain Name(s) (Not configured): cisco.local

Enter Host Name (None): WAE7341-1
Press y to select configuration, <F2> to see all configuration,
Enter NTP Server IP Address [None]: 10.4.48.17
d to toggle defaults display, <1-16> to change specific
Paso 7: Configuracin de la lista de router WCCP. parameter [y]: y
Applying WAAS configuration on WAE ...
Enter WCCP Router (max 4) IP Address list (ip1 ip2 ...) []:
May take a few seconds to complete ...
10.4.32.241 10.4.32.242 10.4.32.243
Si la conexin del switch a WAE est configurada como canal de puerto, este
Paso 8: Seleccin de la licencia adecuada. procedimiento fallar porque el script de configuracin WAE no activa el canl
The product supports the following licenses: de puerto. Si esto ocurre, el registro con WAAS Central Manager se completa
manualmente en el paso 11.
1. Transport
2. Enterprise Paso 10: (Opcional) Configuracin de la conexin de canal de puerto para
3. Enterprise & Video conectar WAE a la pila del switch de distribucin.
4. Enterprise & Virtual-Blade
Este es un paso opcional que solo es necesario al conectar WAE mediante un
5. Enterprise, Video & Virtual-Blade canal de puerto para una conexin fiable.
Enter the license(s) you purchased [2]: 2
interface GigabitEthernet 1/0
no ip address 10.4.32.161 255.255.255.192
exit
!
primary-interface PortChannel 1

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 102


! Paso 13: Configuracin de la lista de router WCCP.
interface PortChannel 1
El script de configuracin ha generado una router-list en funcin de la
ip address 10.4.32.161 255.255.255.192 informacin proporcionada. Para ver la configuracin del dispositivo, introduzca
exit el siguiente comando:
! WAE-7341-1# show running-config | include wccp router-list
interface GigabitEthernet 1/0 wccp router-list 8 10.4.32.241 10.4.32.242 10.4.32.243
channel-group 1
La lista de routers 8 se usa de forma especfica con WCCP configurado en un
exit router de gateway predeterminado. Este diseo utiliza retorno negociado GRE y
interface GigabitEthernet 2/0 direcciones bucle invertido de router, por lo que tenemos que crear una lista de
channel-group 1 router nueva y eliminar la lista de router 8.
exit Todas las configuraciones WAE de este diseo utilizan la lista de router 1.
Paso 11: (Opcional) Registro con WAAS Central Manager. no wccp router-list 8 10.4.32.241 10.4.32.242 10.4.32.243
wccp router-list 1 10.4.32.241 10.4.32.242 10.4.32.243
Una vez configurado el canal de puerto, WAE puede acceder a WAAS Central
Manager. Ejecute el comando cms enable para forzar el registro manual. Este diseo utiliza autenticacin entre los routers y WAE.

Este es un paso opcional que solo es necesario si falla el intento inicial de NOTA: los routers de la serie ASR1000 deben utilizar el modo mask-assign de
registro del paso 9. WCCP para que WCCP funcione correctamente.
cms enable Si alguno de los routers WCCP es de la serie Cisco ASR1000, cambie el ajuste
Registering WAAS Application Engine... predeterminado de hash-source-ip a mask-assign. Este cambio se realiza en los
Sending device registration request to Central Manager with dispositivos WAE, no en los routers.
address 10.4.48.100 wccp tcp-promiscuous router-list-num 1 password c1sco123 mask-
Please wait, initializing CMS tables assign
Successfully initialized CMS tables El resto de plataformas de router pueden utilizar el ajuste predeterminado:
Registration complete. wccp tcp-promiscuous router-list-num 1 password c1sco123
Please preserve running configuration using copy running-config
startup-config. Paso 14: Activacin de SSH.
Otherwise management service will not be started on reload and Para activar el protocolo SSH, se debe generar la clave RSA y activar el servicio
node will be shown offline in WAAS Central Manager UI. sshd.
management services enabled ssh-key-generate key-length 2048
Hay varios parmetros adicionales no predeterminados activados en los sshd version 2
dispositivos WAE para completar la configuracin. Estos ajustes se configuran sshd enable
en los pasos del 13 al 15.
Paso 15: Desconexin de telnet.
Paso 12: Configuracin del retorno negociado GRE. no telnet enable
Todos los dispositivos WAE utilizan retorno negociado GRE con sus respectivos
routers WCCP. Paso 16: Configuracin de la autenticacin de usuario segura.
egress-method negotiated-return intercept-method wccp Active la autenticacin AAA para el control de acceso. Los controles AAA
abarcan todos los accesos de administracin a los dispositivos WAAS/WAE
(SSH y HTTPS).

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 103


Durante la configuracin de WAAS/WAE, se crea un usuario de administracin Paso 1: Configuracin del acceso de la consola y direcciones IP de SRE en el
local. Esta cuenta de usuario permite administrar el dispositivo en caso de que router host.
el servidor TACACS+ centralizado no est disponible o no se disponga de un
Para permitir el acceso de la consola a los mdulos SRE, deben introducirse los
servidor TACACS+ en la organizacin.
siguientes comandos en el router host.
El siguiente cdigo permite configurar TACACS+ como el mtodo primario interface SM1/0
para la autenticacin del usuario (inicio de sesin) y la autorizacin de usuarios
ip address 1.1.1.1 255.255.255.252
(configuracin).
service-module external ip address 10.5.52.8 255.255.255.0
tacacs key SecretKey
service-module ip default-gateway 10.5.52.1
tacacs password ascii
no shutdown
tacacs host 10.4.48.15 primary
!
authentication login local enable secondary Sugerencia tcnica
authentication login tacacs enable primary
authentication configuration local enable secondary
La direccin IP 1.1.1.1 asignada a SM/0 es arbitraria en este diseo y
authentication configuration tacacs enable primary
solo es significativa localmente para el router host.
authentication fail-over server-unreachable

Paso 17: Guardado de la configuracin.


Despus de realizar los cambios de configuracin, guarde la configuracin. Paso 2: (Opcional) Configuracin de una exencin de AAA para dispositivos
copy running-config startup-config SRE.
Si se ha activado AAA en el router, se le solicitarn credenciales de inicio de
sesin para el router y WAAS, lo que puede resultar confuso. Para desactivar
Procedimiento 5  onfiguracin de los dispositivos WAE
C la autenticacin del router inicial, se requiere la creacin de un mtodo AAA,
SRE. que se aplica a la configuracin de lnea especfica en el router asociado con el
SRE/NME.
En este diseo, en funcin de los requisitos de rendimiento, puede utilizar Cree el mtodo de inicio de sesin AAA:
diversos dispositivos WAE o formatos SRE para el equipo WAAS de sitio
remoto. aaa authentication login MODULE none
Determine qu nmero de lnea se asigna a SRE. El siguiente ejemplo de
Es posible insertar los mdulos SRE directamente en la ranura de mdulo
resultado muestra la lnea 67.
correspondiente del router de sitio remoto y configurarlos de forma diferente
a los dispositivos. Si utiliza un dispositivo, puede seguir el conjunto de Br203-2921-1# show run | begin line con 0
procedimientos para el dispositivo WAE de agregacin de WAN con parmetros line con 0
de direccionamiento de sitio remoto. logging synchronous
Aunque el router de sitio remoto puede comunicarse directamente con el SRE line aux 0
mediante la placa base del router, este diseo utiliza las interfaces externas line 67
de los mdulos, lo que permite una implementacin del diseo uniforme no activation-character
independientemente del dispositivo WAE elegido. La interfaz SM debe no exec
estar activada y tener asignada una direccin IP arbitraria (significativa solo
transport preferred none
localmente) para que pueda accederse a ella a travs de una sesin de consola
desde el router host. transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
Para que esta configuracin funcione correctamente, debe conectar la interfaz
stopbits 1
externa a la red de datos en el switch de acceso o distribucin.

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 104


flowcontrol software Paso 5: Configuracin del mtodo de intercepcin.
line vty 0 4 1. WCCP
password 7 04585A150C2E1D1C5A 2. Other
transport input ssh Select Interception Method [1]: 1
Limite el acceso a la consola SRE/NME creando una lista de acceso. El nmero
de la lista de acceso es arbitrario, pero la direccin IP debe coincidir con la Paso 6: Configuracin de la zona horaria.
direccin asignada a la interfaz SM en el paso anterior. Enter Time Zone <Time Zone Hours(-23 to 23) Minutes(0-59)> [UTC 0
access-list 67 permit 1.1.1.1 0]: PST -8 0
Asigne el mtodo a la lnea adecuada:
Paso 7: Configuracin de la interfaz de administracin, de la direccin IP y del
line 67 gateway predeterminado.
login authentication MODULE
Este diseo utiliza la interfaz externa como interfaz de administracin.
access-class 67 in
transport output none No. Interface Name IP Address Network Mask
1. GigabitEthernet 1/0 unassigned unassigned
Paso 3: Conexin a la consola WAE mediante una sesin del router host. (internal)
Una vez asignada la direccin IP y activada la interfaz, es posible abrir una 2. GigabitEthernet 2/0 dhcp
sesin en el dispositivo WAE y ejecutar el script de configuracin. Para todos (external)
los dispositivos WAE, el nombre de usuario predeterminado de fbrica es admin Select Management Interface [1]: 2
y la contrasea es default. Enable Autosense for Management Interface? (y/n)[y]: y
NOTA: si utiliza autenticacin de usuario segura en el router y no ha creado una Enable DHCP for Management Interface? (y/n)[y]: n
exencin de AAA, deber realizar la autenticacin con unas credenciales de
inicio de sesin del router vlidas antes de iniciar la sesin en la consola WAE.
Br203-2921-1# service-module sm 1/0 session Sugerencia tcnica

Paso 4: Ejecucin de setup.


Si recibe la siguiente advertencia, puede ignorarla ya que la
Puede iniciar la herramienta de configuracin inicial introduciendo el comando configuracin de direccin IP se ha proporcionado anteriormente.
setup en la lnea de comandos. *** You have chosen to disable DHCP! Any network
Parameter Default Value configuration learnt from DHCPserver will be unlearnt!
Device Mode Application Accelerator SETUP will indicate failure as the managementinterface
1. Interception Method WCCP cannot be brought up - Please make sure WAE Management
2. Time Zone UTC 0 0 Interface IPaddress and Default Gateway are configured
3. Management Interface GigabitEthernet 1/0 (internal) from the Router; Press ENTER to continue:
Autosense Disabled
DHCP Disabled

ESC Quit ? Help WAAS Default Configuration

Press y to select above defaults, n to configure all, <1-3>
to changespecific default [y]: n

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 105


Paso 8: Configuracin de la direccin de Central Manager. Paso 12: Verificacin de los parmetros de configuracin.
Enter Central Manager IP Address (WARNING: An invalid entry will Parameter Configured Value
cause SETUP to take a long time when applying WAAS configuration) 1. Interception Method WCCP
[None]: 10.4.48.100 2. Time Zone PST -8 0
3. Management Interface GigabitEthernet 2/0 (external)
Paso 9: Configuracin de DNS, de host y de los parmetros de NTP. 4. Autosense Enabled
Enter Domain Name Server IP Address [Not configured]: 10.4.48.10 5. DHCP Disabled
Enter Domain Name(s) (Not configured): cisco.local IP Address 10.5.52.8
Enter Host Name (None): Br203-WAE-SRE700-1 IP Network Mask 255.255.255.0
Enter NTP Server IP Address [None]: 10.4.48.17 IP Default Gateway 10.5.52.1
6. CM IP Address 10.4.48.100
Paso 10: Configuracin de la lista de router WCCP.
7. DNS IP Address 10.4.48.10
Enter WCCP Router (max 4) IP Address list (ip1 ip2 ...) []:
8. Domain Name(s) cisco.local
10.5.48.253 10.5.48.254
9. Host Name Br203-WAE-SRE700-1
Paso 11: Seleccin de la licencia adecuada. 10. NTP Server Address 10.4.48.17
The product supports the following licenses: 11. WCCP Router List 10.5.48.253 10.5.48.254
1. Transport 12. License Enterprise
2. Enterprise ESC Quit ? Help ! CLI WAAS Final Configuration
3. Enterprise & Video
Enter the license(s) you purchased [2]: 2 Press y to select configuration, <F2> to see all configuration,
d to toggle defaults display, <1-12> to change specific
parameter [y]: y
Router WCCP configuration
First WCCP router IP in the WCCP router list seems to be an
external address; WCCP configuration on external routers is
not allowed through SETUP. Please press ENTER to apply WAAS
configuration on WAE ...
Applying WAAS configuration on WAE ...
May take a few seconds to complete ...
WAAS configuration applied successfully!!
Saved configuration to memory.
Press ENTER to continue ...
Se le mostrar una plantilla de configuracin WCCP de router recomendada.
Esta configuracin del router se tratar en profundidad en el siguiente
procedimiento, por lo que no es necesario que retenga esta informacin.

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 106


Paso 13: Configuracin del retorno negociado GRE. El siguiente cdigo permite configurar TACACS+ como el mtodo primario
para la autenticacin del usuario (inicio de sesin) y la autorizacin de usuarios
Todos los dispositivos WAE utilizan retorno negociado GRE con sus respectivos
(configuracin).
routers WCCP:
tacacs key SecretKey
egress-method negotiated-return intercept-method wccp
tacacs password ascii
Paso 14: Configuracin de la lista de router WCCP. tacacs host 10.4.48.15 primary
!
El script de configuracin ha generado una router-list en funcin de la
informacin proporcionada. Para ver la configuracin del dispositivo, introduzca authentication login local enable secondary
el siguiente comando: authentication login tacacs enable primary
Br203-WAE-SRE700-1# show running-config | include wccp router- authentication configuration local enable secondary
list authentication configuration tacacs enable primary
wccp router-list 8 10.5.48.253 10.5.48.254 authentication fail-over server-unreachable
La lista de routers 8 se usa de forma especfica con WCCP configurado en un
router de gateway predeterminado. Este diseo utiliza retorno negociado GRE y
Paso 18: Guardado de la configuracin.
direcciones bucle invertido de router, por lo que tenemos que crear una lista de
router nueva y eliminar la lista de router 8. Despus de realizar los cambios de configuracin, guarde la configuracin.
Todas las configuraciones WAE de este diseo utilizan la lista de router 1. copy running-config startup-config
no wccp router-list 8 10.5.48.253 10.5.48.254 Cada dispositivo WAE se registra con WAAS Central Manager al activarse en la
wccp router-list 1 10.5.48.253 10.5.48.254 red. Puede comprobar este registro utilizando el comando show cms info en el
dispositivo WAE correspondiente o a travs de la interfaz web a WCM.
Este diseo utiliza autenticacin entre los routers y los dispositivos WAE.
Tras completar esta configuracin, puede volver a la lnea de comando del
wccp tcp-promiscuous service-pair 61 62 router-list-num 1
router host introduciendo la secuencia de escape Ctrl-Shift-6 x.
password c1sco123
Figura 35: Lista de dispositivos administrados generada por WAAS
Paso 15: Activacin de SSH. Central Manager
Para activar el protocolo SSH es necesario generar la clave RSA y activar el
servicio sshd.
ssh-key-generate key-length 2048
sshd version 2
sshd enable

Paso 16: Desconexin de telnet.


no telnet enable
Paso 17: Configuracin de la autenticacin de usuario segura.
Active la autenticacin AAA para el control de acceso. Los controles AAA
abarcan todos los accesos de administracin a los dispositivos WAAS/WAE
(SSH y HTTPS).
Durante la configuracin de WAAS/WAE, se crea un usuario de administracin
local. Esta cuenta de usuario proporciona la capacidad de gestionar el
dispositivo en caso de que el servidor TACACS+ centralizado no est
disponible o si no dispone de un servidor TACACS+ en su organizacin.

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 107


Ejemplo:
Procedimiento 6  onfiguracin de switch remoto para
C
dispositivos WAE vlan 100
name Data
Si utiliza un diseo de capa de distribucin de sitio remoto, el switch de !
distribucin es el lugar adecuado para conectar fsicamente los dispositivos interface Port-channel7
WAE. Este tipo de dispositivo requiere una conexin resistente, pero no description bn-wae-1 EtherChannel
un protocolo de routing. Para establecerla, puede utilizarse un enlace switchport access vlan 100
EtherChannel de nivel 2.
!
En esta gua se asume que el switch de la capa de distribucin ya se ha interface GigabitEthernet1/0/3
configurado. Solo se incluyen los procedimientos necesarios para completar description bn-wae-1 port 1
la conexin del switch a los dispositivos WAE. La informacin completa
switchport access vlan 100
sobre la configuracin del switch de la capa de distribucin se incluye
en la Gua de implementacin de soluciones LAN de Cisco SBA for channel-group 7 mode on
Enterprise OrganizationsBorderless Networks (Cisco SBA for Enterprise no shutdown
OrganizationsBorderless Networks LAN Deployment Guide). !
Este diseo ubica los dispositivos WAE en la VLAN de datos (principal). Es interface GigabitEthernet2/0/3
necesario crear una VLAN y una SVI para esta VLAN si an no existen. description bn-wae-1 port 2
switchport access vlan 100
Paso 1: Creacin de VLAN y SVI (si fuera necesario). channel-group 7 mode on
vlan [nmero de la VLAN] no shutdown
name [nombre de la VLAN] !
! interface Vlan100
interface Vlan [nmero de la VLAN] ip address 10.5.1.1 255.255.255.0
ip address [direccin IP] [mscara de red] no shutdown
no shutdown

Paso 2: Configuracin de los enlaces EtherChannel de nivel 2 para los Procedimiento 7 Configuracin de WCCPv2 en los routers.
dispositivos y asociacin de estos a la VLAN.
interface Port-channel [nmero] En este diseo, WCCP desva el trfico de red destinado a la WAN al sistema
switchport access vlan [nmero de la VLAN] WAAS para optimizar el rendimiento. Este mtodo ofrece una implementacin
! limpia con cableado adicional mnimo y requiere que se configuren los routers
interface [tipo] [nmero] de agregacin de WAN y sitio remoto para WCCP.
switchport access vlan [nmero de la VLAN]
Paso 1: Configuracin de los parmetros globales WCCP y activacin de los
channel-group [nmero] mode on servicios 61 y 62.
no shutdown
! Debe activar los servicios 61 y 62 para la redireccin WCCP para WAAS. Estos
servicios deberan utilizar la versin 2 de WCCP. Como prctica recomendada,
interface [tipo] [nmero] exima ciertos tipos de trfico crticos de la redireccin WCCP por medio de una
switchport access vlan [nmero de la VLAN] lista de redireccin.
channel-group [nmero] mode on
no shutdown

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 108


Para evitar que dispositivos WAE no autorizados se unan al clster de WAAS, Ejemplo: opcin 1
debe configurar una lista de grupo y una contrasea. ip wccp version 2
ip wccp version 2 ip wccp 61 redirect-list WAAS-REDIRECT-LIST group-list BN-WAE
ip wccp 61 redirect-list [redireccin ACL] group-list [grupo ACL] password c1sco123
password [contrasea] ip wccp 62 redirect-list WAAS-REDIRECT-LIST group-list BN-WAE
ip wccp 62 redirect-list [redireccin ACL] group-list [grupo ACL] password c1sco123
password [contrasea] !
! interface Port-channel1
ip access-list standard [grupp ACL] ip wccp 61 redirect in
permit [IP de miembro del clster de WAAS] !
permit [IP de miembro del clster de WAAS] interface GigabitEthernet0/0/3
! ip wccp 62 redirect in
ip access-list extended [redireccin ACL] !
deny tcp [direccin IP origen] [direccin IP destino] any eq ip access-list standard BN-WAE
[puerto TCP] permit 10.4.32.161
deny tcp [direccin IP origen] [direccin IP destino] any eq permit 10.4.32.162
[puerto TCP] ip access-list extended WAAS-REDIRECT-LIST
! Additional lines as necessary remark WAAS WCCP Redirect List
deny tcp [direccin IP origen] [direccin IP destino] any eq deny tcp any any eq 22
[puerto TCP] deny tcp any eq 22 any
permit tcp any any deny tcp any eq telnet any
deny tcp any any eq telnet
Paso 2: Configuracin de la redireccin WCCP en las interfaces LAN y WAN.
deny tcp any eq bgp any
deny tcp any any eq bgp
Opcin 1. Todos los routers WAAS excepto los routers hub DMVPN
deny tcp any any eq 123
Deben identificarse las interfaces especficas en las que se intercepte el trfico deny tcp any eq 123 any
entrante y saliente de la WAN.
permit tcp any any
El trfico procedente de la red LAN se intercepta con el servicio 61 entrante en
todas las interfaces LAN. No es necesario configurar la intercepcin de WCCP Opcin 2. Routers hub DMVPN
en las interfaces de voz y VLAN de voz.
Deben identificarse las interfaces especficas en las que se intercepte el trfico
interface [tipo de interfaz] [nmero] entrante y saliente de la WAN.
ip wccp 61 redirect in
El trfico procedente de la red LAN se intercepta con el servicio 61 entrante en
El trfico procedente de la WAN se intercepta con el servicio 62 entrante en las interfaces LAN.
todas las interfaces WAN, incluidas las interfaces de tnel DMVPN (pero no sus
interfaces fsicas subyacentes). interface [tipo de interfaz] [nmero]
ip wccp 61 redirect in
interface [tipo de interfaz] [nmero]
ip wccp 62 redirect in Los routers hub DMVPN requieren WCCP 62 saliente en la interfaz LAN para
permitir la creacin dinmica de tneles de radio a radio.
El trfico procedente de la red WAN se intercepta con el servicio 62 saliente en
las interfaces LAN.

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 109


interface [tipo de interfaz] [nmero]
ip wccp 62 redirect out Procedimiento 8  onfiguracin de Central Manager para
C
WAASx.
Ejemplo: opcin 2
ip wccp version 2 Puede utilizar WAAS Central Manager para administrar de forma centralizada
ip wccp 61 redirect-list WAAS-REDIRECT-LIST group-list BN-WAE los routers WAASx, de forma similar a un dispositivo WAE. Debe definir un
password c1sco123 nombre de usuario y una contrasea que WCM utilizar para acceder a los
ip wccp 62 redirect-list WAAS-REDIRECT-LIST group-list BN-WAE routers WAASx con fines de control y administracin. Estas comunicaciones se
aseguran mediante HTTPS, que requiere el uso de certificados digitales.
password c1sco123
! Paso 1: Configuracin de credenciales para routers WAASx.
interface Port-channel3
ip wccp 61 redirect in En la interfaz web de WAAS Central Manager (https://10.4.48.100:8443),
configure las credenciales de inicio de sesin y contrasea para
ip wccp 62 redirect out el router WAASx. Puede hacerlo editando el grupo del dispositivo
! AllWAASExpressGroup. Desde la pgina principal de WAAS Central Manager,
ip access-list standard BN-WAE haga clic en My Wan -> Manage Device Groups (Mi Wan -> Administrar grupos
permit 10.4.32.161 de dispositivo) a la izquierda.
permit 10.4.32.162 Figura 36: Administracin de grupos del dispositivo en WAAS Central
ip access-list extended WAAS-REDIRECT-LIST Manager
remark WAAS WCCP Redirect List
deny tcp any any eq 22
deny tcp any eq 22 any
deny tcp any eq telnet any
deny tcp any any eq telnet
deny tcp any eq bgp any
deny tcp any any eq bgp
deny tcp any any eq 123
deny tcp any eq 123 any
permit tcp any any

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 110


Para seleccionar el grupo del dispositivo, haga clic en AllWAASExpressGroup Paso 2: Exportacin del certificado digital de confianza de WCM.
y, a continuacin, en la ficha Admin (asociada al grupo de dispositivo
Para activar las comunicaciones seguras entre WCM y el router es necesario
AllWAASExpressGroup).
instalar el certificado digital de WCM en cada uno de los routers WAASx. El
Figura 37: AllWAASExpressGroup de WAAS Central Manager certificado puede exportarse en formato de correo de privacidad mejorada
(PEM) Base64. Este comando est disponible a travs de la interfaz de lnea de
comandos del dispositivo.
WAAS-WCM-1#show crypto certificate-detail admin | begin BEGIN
...skipping
-----BEGIN CERTIFICATE-----
<certificate data deleted>
-----END CERTIFICATE-----
Dado que esta informacin es necesaria para todos los routers WAASx, copie y
pegue este certificado y despus gurdelo en un archivo seguro.

Procedimiento 9 Configuracin de routers WAAS Express.

Para activar la optimizacin de WAN integrada, es necesario activar la


optimizacin de WAAS en la interfaz WAN del router. WAASx tambin puede
administrarse de forma centralizada con el mismo WAAS Central Manager
utilizado con dispositivos WAE. El router tambin debe estar configurado
Haga clic en WAAS Express Credentials (Credenciales de WAAS Express). correctamente para comunicarse de forma segura con WCM.
Figura 38: Credenciales de WAASx en WAAS Central Manager Tenga en cuenta que WAASx es una funcin con licencia especial. Esta licencia
deber estar instalada en un router con suficiente DRAM para admitir la
funcionalidad WAASx.
Los routers WAASx deben estar configurados con la mxima capacidad de
DRAM.
No se utiliza redireccin WCCP en una implementacin WAASx. No es
necesario desviar el trfico a un dispositivo externo, ya que la optimizacin del
trfico se realiza en el router.

Paso 1: Activacin de WAAS en la interfaz WAN.


WAASx se ha diseado para que pueda activarse con un solo comando.
En un router de sitio remoto con interfaz WAN GigabitEthernet0/0.
interface GigabitEthernet0/0
waas enable

Introduzca el nombre de usuario y la contrasea correspondientes, que tiene


pensado configurar en el router WAASx o en el servidor AAA central. El ejemplo
muestra el nombre de usuario sbawaasx y la contrasea c1sco123.

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 111


Paso 2: Configuracin del punto de confianza autofirmado y generacin del Paso 4: Creacin de un punto de confianza e importacin del certificado de
certificado digital. WAAS Central Manager.
En el router WAASx, configure un punto de confianza autofirmado persistente crypto pki trustpoint WAAS-WCM
y realice el registro. Este paso es necesario incluso si ya tiene un punto de revocation-check none
confianza autofirmado generado automticamente desde el HTTPS que enrollment terminal pem
se activ anteriormente. Asegrese de emparejar el nombre de host y el exit
nombre de dominio que ya estn configurados en el router para el campo
crypto pki authenticate WAAS-WCM
subject-alt-name.
Enter the base 64 encoded CA certificate.
crypto pki trustpoint SELF-SIGNED-TRUSTPOINT
End with a blank line or the word quit on a line by itself
enrollment selfsigned
A continuacin, pegue el certificado PEM de WAAS Central Manager que se
subject-alt-name Br204-1941.cisco.local
gener en el procedimiento anterior.
revocation-check none
-----BEGIN CERTIFICATE-----
rsakeypair SELF-SIGNED-RSAKEYPAIR 2048
<certificate data deleted>
exit
-----END CERTIFICATE-----
crypto pki enroll SELF-SIGNED-TRUSTPOINT
Certificate has the following attributes:
The router has already generated a Self Signed Certificate for
Fingerprint MD5: 2EA6FF8F 38ABC32F 25168396 1A587F17
trustpoint TP-self-signed-xxxxxx.
Fingerprint SHA1: 8DAB6185 7B95FC4C 34FDACDC A8F2B1A4 8074709B
If you continue the existing trustpoint and Self Signed
% Do you accept this certificate? [yes/no]: yes
Certificate will be deleted.
Trustpoint CA certificate accepted.
Do you want to continue generating a new Self Signed Certificate?
% Certificate successfully imported
[yes/no]: yes
% Include the router serial number in the subject name? [yes/no]: Paso 5: Registro del router WAASx con WAAS Central Manager.
no
Tras generar e instalar correctamente los certificados digitales, puede registrar
% Include an IP address in the subject name? [no]: no
el router con WCM.
Generate Self Signed Router Certificate? [yes/no]: yes
waas cm-register https://10.4.48.100:8443/wcm/register
Router Self Signed Certificate successfully created
El router aparece como un dispositivo administrado en WCM.
Paso 3: Configuracin del servidor y el cliente HTTPS.
Configure el router WAASx para que utilice una interfaz de bucle invertido
como fuente de cualquier comunicacin de cliente HTTP.
ip http client source-interface Loopback0
Activacin del servidor seguro HTTPS.
ip http secure-server
ip http secure-trustpoint SELF-SIGNED-TRUSTPOINT

Serie febrero 2012 Implementacin de optimizacin de aplicaciones con WAAS 112


Apndice A:
lista de productos de implementacin de WAN para
organizaciones empresariales

rea funcional Producto Nmeros de pieza Versin de software


Diseo de WAN 500
Agregacin de WAN ASR1002 ASR1002-5G-VPN/K9 IOS-XE 15.1(3)S0a
ASR1002-PWR-AC
Agregacin de WAN: WAAS Central Dispositivo WAVE-594 WAAS WAVE-594-K9 4.4.1 (WAAS-UNIVERSAL-K9)
Manager
WAAS-ENT-APL
Agregacin de WAN: aceleracin de Dispositivo WAE-7571-K9 WAAS WAE-7571-K9 4.4.1 (WAAS-UNIVERSAL-K9)
aplicaciones WAAS
WAAS-ENT-APL
Diseo de WAN 100
Agregacin de WAN: ASR1001 ASR1001-2.5G-VPNK9 IOS-XE 15.1(3)S0a
ASR1001-PWR-AC
Agregacin de WAN: WAAS Central Dispositivo WAVE-594 WAAS WAVE-594-K9 4.4.1 (WAAS-UNIVERSAL-K9)
Manager
WAAS-ENT-APL
Agregacin de WAN: aceleracin de Dispositivo WAE-7541-K9 WAAS WAE-7541-K9 4.4.1 (WAAS-UNIVERSAL-K9)
aplicaciones WAAS
WAAS-ENT-APL
Routers de sitio remoto de WAN
Router de sitio remoto de WAN Cisco1941 C1941-WAASX-SEC/K9 15.1(4)M2
SL-19-DATA-K9
Router de sitio remoto de WAN Cisco2911 C2911-VSEC/K9 15.1(4)M2
SL-29-DATA-K9
Router de sitio remoto de WAN Cisco2921 C2921-VSEC/K9 15.1(4)M2
SL-29-DATA-K9
Router de sitio remoto de WAN Cisco3925 C3925-VSEC/K9 15.1(4)M2
SL-39-DATA-K9
Router de sitio remoto de WAN Cisco3945 C3945-VSEC/K9 15.1(4)M2
SL-39-DATA-K9

Serie febrero 2012 ApndiceA: listadeproductosdeimplementacindeWANparaorganizacionesempresariales 113


rea funcional Producto Nmeros de pieza Versin de software
WAAS de sitio remoto de WAN
Application Accelerator SM-SRE-700-K9 SM-SRE-700-K9 4.4.1 (WAAS-UNIVERSAL-K9)
WAAS-ENT-SM
Application Accelerator SM-SRE-900-K9 SM-SRE-900-K9 4.4.1 (WAAS-UNIVERSAL-K9)
WAAS-ENT-SM

Application Accelerator WAVE-294 WAVE-294-K9 4.4.1 (WAAS-UNIVERSAL-K9)


WAAS-ENT-APL

Application Accelerator WAVE-594 WAVE-594-K9 4.4.1 (WAAS-UNIVERSAL-K9)


WAAS-ENT-APL

Application Accelerator WAVE-694 WAVE-694-K9 4.4.1 (WAAS-UNIVERSAL-K9)


WAAS-ENT-APL

Serie febrero 2012 ApndiceA:listadeproductosdeimplementacindeWANparaorganizacionesempresariales 114


Apndice B: suplemento de
Si necesita ampliar la red interna (y las mismas opciones de routing
predeterminadas disponibles para los usuarios internos), deber notificar una
ruta predeterminada al router hub VPN. Para obtener ms informacin, consulte

funciones tcnicas la seccin A de la siguiente figura.


Figura 40: Tnel IPsec antes/despus de la inyeccin de una ruta
predeterminada

vREF de puerta delantera (FVRF) para DMVPN


Para crear un tnel IPsec, es necesario que exista posibilidad de conexin entre
los routers encriptados. Cuando se utiliza Internet, los routers usan una ruta
predeterminada para contactar con sus iguales.
Figura 39: Tnel IPsec

Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco 28
La notificacin de una ruta predeterminada al router hub (con una ruta
predeterminada existente) es problemtica. Esta ruta requiere una mayor
distancia administrativa para convertirse en la ruta activa predeterminada, que,
a continuacin, reemplaza la ruta predeterminada que permite la conexin de
igual a igual del tnel IPsec. Esta notificacin de routing rompe el tnel tal como
se muestra en la seccin B de la figura anterior.
Mediante la introduccin de un VRF INET-PUBLIC externo (mostrado en rojo),
elrouter hub puede admitir varias rutas predeterminadas. La red interna
contina en el VRF global. Esto se muestra en la seccin A de la siguiente figura.

Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco 27
Serie febrero 2012 Apndice B: suplemento de funciones tcnicas 115
Routing predeterminado simplificado y rutas predeterminadas estticas en
los VRF INET-PUBLIC
Sugerencia tcnica
Capacidad para admitir rutas predeterminadas para el trfico de usuarios
finales a travs de tneles VPN
La mayora de las funciones adicionales del router hub no requieren Posibilidad de utilizar routing predeterminado dinmico para sitios con
VRF. varios transportes de WAN
Capacidad para crear tneles radio a radio con DMVPN con el trfico de
usuario final dirigido de forma predeterminada a travs de tneles VPN
Figura 41: Tnel IPsec con agregacin FVRF
La siguiente figura muestra el diseo final que utiliza FVRF tanto en el sitio de
agregacin de WAN como en un sitio remoto WAN.
Figura 42: FVRF: configuracin final

29
Esta configuracin se conoce como FVRF porque Internet est contenido en
Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco

un VRF. La alternativa a este diseo es dentro de VRF (IVRF), en el que la red


interna se encuentra en un VRF en el hub VPN e Internet permanece en el VRF
global. Este mtodo no se incluye en esta gua.
Ahora es posible restablecer el tnel IPSec en el router igual remoto. Ya que la
poltica de sitio remoto requiere el acceso central a Internet para los usuarios
finales, se notifica una ruta predeterminada a travs del tnel. Esta notificacin
causa un problema de routing predeterminado similar en el router remoto.
Laruta predeterminada del tnel reemplaza la predeterminada en direccin a
Internet y la conexin de tnel se rompe tal como se muestra en la seccin B de
la figura anterior. Presentation_ID 2008 Cisco Systems, Inc. Reservados todos los derechos. Informacin confidencial de Cisco 30
Esta configuracin requiere que F-VRF tambin se use en el router de sitio
remoto. Las principales ventajas del uso de esta solucin son las siguientes:

Serie febrero 2012 Apndice B: suplemento de funciones tcnicas 116


Apndice C: cambios
otas
Este apndice resume los cambios introducidos en esta gua desde la serie
Cisco SBA anterior.
Para multidifusin IP, se ha activado Cisco Auto RP con el fin de simplificar
la implementacin.
Para las interfaces de bucle invertido de router de sitio remoto, se
recomienda el uso de un rango de direcciones IP que no forme parte de la
gama de resumen de ninguna otra parte de la red.
Para AAA, se han actualizado los comandos con una nueva sintaxis.
Para las opciones de plataforma de agregacin de WAN, se ha eliminado el
router de servicios integrados Cisco 3945E.
Para las opciones de plataforma de aceleracin de aplicaciones, se han
eliminado los dispositivos de la generacin anterior.

Serie febrero 2012 Apndice C: cambios 117


SMART BUSINESS ARCHITECTURE

Sede central en Amrica Sede central en Asia-Pacfico Sede central en Europa


Cisco Systems, Inc. Cisco Systems (EE. UU.) Pte. Ltd. Cisco Systems International BV
San Jos, CA Singapur Amsterdam, Pases Bajos

Cisco tiene ms de 200 oficinas en todo el mundo. Las direcciones, los nmeros de telfono y fax se encuentran en la web de Cisco en www.cisco.com/go/offices.

Cisco y el logotipo de Cisco son marcas registradas de Cisco Systems, Inc. o de sus filiales en los Estados Unidos y en otros pases. Podr consultar una lista de las marcas registradas de Cisco en www.cisco.com/go/trademarks. Todas las marcas registradas de terceros mencionadas en este
documento pertenecen a sus respectivos propietarios. El uso de la palabra partner no implica la existencia de una asociacin entre Cisco y cualquier otra compaa. (1005R)

B-0000164-1 1/12