Академический Документы
Профессиональный Документы
Культура Документы
Capítulo 1
Terminos:
Adyacencia: Se forma cuando dos routers vecinos han intercambiado información
de routing y han sincronizado sus tablas. Ambos routers están en la misma red.
Configuracion de Ripng
ipv6 router rip NOMBRE ---Habilita un proceso RIPng en el router con un nombre de
proceso.
ipv6 enable ---- se usa para crear de forma automática una dirección link-local de
IPv6.
ipv6 rip NOMBRE enable ---Habilita el proceso especifico RIP denominado NOMBRE
en las interfaces del router.
ipv6 address ffe:001::/48 eui-64 ---configura una dirección de unicast global de IPv6
con un identificador de interfaz(ID:64).
Con esa red o subred (no se pone número DESPUES DE LOS PUNTOS *SI*
ffe:001::/48, *NO* ffe:001::1/48)
**************Configuración de RIPng***********
R1(config)#ipv6 router rip NOMBRE ----se habilita RIP yse pone un nombre de proceso RIP.
R1(config-rtr)#exit
R1(config)#int s0/0/0 --- se entra a la interface.
R1(config-if)# ipv6 rip NOMBRE enable ---se habilita el proceso rip con el nombre
respectivo en esa interface.
R2(config-if)# exit
R2(config-if)# exit
********Ruta Estática***********
R3(config)# ipv6 unicast-routing ----no es necesario activar IPV6 pero se recomienda.
(Red de destino, ip de siguiente salto la ip que me conecta con el otro router con R4 que
seria .1).
R2(config-if)# ipv6 rip NOMBRE default-information only ---me muestra solo una ruta por
default por RIPng.
R1# show ipv6 route rip ----muestra las rutas de Ripng y las por defecto en la tabla de
enrutamiento
R1# clear ipv6 rip NOMBRE ---- comando para borrar las bases de datos RIPng para
refrescar.
R1# show ipv6 rip database ---- examina la base de datos RIPng.
Capítulo 2
Terminología de EIGRP
Eigrp es de cisco y utiliza Multicast y Unicast que aumenta su eficiencia para él envió de
actualizaciones. Es el único protocolo que permite balanceo de cargas desigual.
Neighbor Table: (show ip eigrp neighbors) Lista con todos los vecinos. Esta tabla se construye con
información de Hellos recibidos desde los routers adyacentes. Incluye la lista de vecinos con la
siguiente información:
Dirección IP.
Interfaz saliente.
Holdtime.
Uptime.
Tabla de Routing: (show ip eigrp routing) Lista de las redes disponibles y los mejores caminos. La
ruta se mueve desde la tabla topológica hasta la de routing cuando se identifica el feasible successor.
Tabla Topológica: (show ip eigrp topology) Tabla que contiene todos los caminos anunciados por
los vecinos a todas las redes conocidas. Lista de:
Feasible successors.
Feasible distance.
Advertised distance.
Interfaz saliente.
DUAL: actúa en la tabla topológica para determinar los successors y construir la tabla de routing.
Asegura que las rutas alternativas estén libres de bucles. Ofrece un uso mínimo de ancho de banda.
QUERIES: Son mensajes emitidos por un router cuando pierde una ruta y no existe un sucesor
factible en la tabla de topología.
Estas solicitudes se envían a los routers vecinos para determinar cuál de ellos puede alcanzar al
destino el proceso se repite de forma recursiva hasta el máximo establecido y si nadie ha resuelto la
consulta se entra en un estado SIA (STUCK IN ACTIVE). El SIA indica bucles o un enlace
incorrecto.
Esto se controla usando sumarizacion o stub rounting.
Update: Paquete EIGRP que contiene información sobre los cambios de la red. Se envían
únicamente cuando hay un cambio en la red que afecta a los routers.
Query: Enviado por el router cuando pierde el camino a una red. Si no existe una ruta alternativa
(feasible successor), envía la query a los vecinos preguntando si tienen un feasible successor. Esto
hace que la ruta pase a estado active.
Se utiliza para preguntar a los routers vecinos si tienen algunos caminos alternativos para el prefijo
perdido.
Reply: Respuesta a una query, si el router no tiene información para devolver entonces pregunta a
todos sus vecinos. El Reply se envía por unicast.
Holdtime: Valor configurado en el paquete Hello. Determina cuanto tiempo se va a esperar para
recibir Hellos de un vecino antes de declararlo no disponible.
Smooth Round-Trip Time (SRTT): El tiempo que el router espera después de enviar un paquete
para oír el acknowledge.
Reliable Transport Protocol (RTP): Mecanismo utilizado para determinar los requerimientos de
entrega de los paquetes, asegurando la entrega secuencial del mismo.
Diffusing Update Algorithm (DUAL): Algoritmo que hace que la tabla topológica converja Está
basado en la detección en un tiempo finito de cambios en la topología por parte de los routers. Como
el algoritmo se calcula simultáneamente, se asegura una red libre de bucles.
Advertised Distance (AD): El coste del camino a una red remota desde el vecino (i.e. La métrica
del vecino).
Feasible Condition (FC): Cuando un router una AD más pequeña que su FD.
Feasible Successor (FS): Si un vecino reporta una AD más pequeña que la FD, entonces el vecino
se convierte en Feasible Successor.
Successor: El siguiente router que pasa la FC. Se escoge el que tenga la métrica más baja a un
destino de los FS.
Stuck in Active (SIA): Estado de un router que ya ha enviado paquetes y está esperando los ACKs
de sus vecinos.
Query Scoping: Diseño de red para limitar el ámbito del rango de peticiones, es decir, a qué
distancia se permite que se busque un feasible successor. Esto es necesario para prevenir SIA, lo cual
puede provocar problemas en la red.
Active: Estado de la ruta cuando hay un cambio en la red y no se encuentra un FS. La ruta se
establece en modo Active, y el router pregunta por rutas alternativas.
Passive: Una ruta operacional es pasiva. Si no se ha perdido el camino, el router examina la tabla
topológica en busca de un FS. Si existe un FS se añade a la tabla de routing, si no, el router pregunta
a los vecinos y la ruta se queda en modo active.
Configuraciones de EIGRP
-----------EIGRP IPv6----------
Router(config)#ipv6 unicast-routing
Router(config)#ipv6 router eigrp 100
Router(config-if)#int gi0/0
Router(config-if)#ipv6 eigrp 100
*****************Interfaces Pasivas*****************
R1(config-router)#router eigrp 3
****************************************************************
**************************Comando Debug
*********************************
<cr>
**************************************************************
---------EIGRP Hello---------
R1#debug eigrp packet hello ---Muestra que los paquetes de saludo están siendo
intercambiados en ambas direcciones.
(HELLO)
R1#
Nov 20 08:07:33.135: AS 1, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0
---------EIGRP Routing---------
R3(config)#do debug ip eigrp 100 -----para ver a EIGRP instalar las rutas de la tabla de
enrutamiento cuando se convierten en sus enrutadores adyacentes.
R3(config)#end
*Jun 22 11:06:09.315: RT: add router 2048, all protocols have local database
R3(config-router)# network 10.0.0.0
*Jun 22 11:06:18.591: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 10.1.103.1
(Serial1/0) is up: new adjacency
*Jun 22 11:06:18.591: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 10.1.203.2
(Serial1/1) is up: new adjacency
*Jun 22 11:06:19.055: RT: updating eig
R3# show ip eigrp topology ----Muestra EIGRP-IPv4 tabla de topología para AS (100)
R3(config)# no ip cef
R3(config)# interface S1/0
R3(config-if)# no ip route-cache
R3(config-if)# interface S1/1
R3(config-if)# no ip route-cache
Nota: Con el uso de CEF (Cisco Express Forwarding) es una práctica que una dirección IP
del siguiente salto se utiliza en lugar de una interfaz de salida recomendada.
**********************Balanceo de cargas*****************
R1(config)# interface Serial 1/0 --solo modifica el carácter lógico y no la velocidad física
de la interfaz.
R1(config-if)# bandwidth 128
R1(config-if)# interface Serial 1/1
R1(config-if)# bandwidth 128
R2(config-if)# bandwidth 10 ----el ancho de banda es muy bajo, por esta interfaz no se
enviaran datos, Mientras más ancho de banda, menor costo y por ende mejor es la ruta.
El balanceo de carga se produce cuando el router descubre que por distintos enlaces
tiene la misma métrica de enrutamiento para llegar a la red destino.
En el caso de Eigrp la ruta que tiene la mejor métrica se conoce como ruta sucesor y la
ruta de contingencia se conoce como sucesor factible.
R3 (config-router) # variance 2 --me permite usar rutas con una metrica superior a 10.asi
obtengo varias rutas donde mandar mis datos.
* Jun 22 13: 16: 19.091: EIGRP-IPv4 (100): mesa (predeterminado): ruta instalada para
10.1.2.0/30 (90/21152000) origen (10.1.103.1)
* Jun 22 13: 16: 19.091: EIGRP-IPv4 (100): mesa (predeterminado): ruta instalada para
10.1.2.0/30 (90/40640000) origen (10.1.203.2)
NOTA: La variance 2 Permite el equilibrio de carga desigual costo delimitada por una
distancia máxima de (2)x(FD), donde FD representa la distancia factible para cada ruta en
la tabla de enrutamiento. Ejemplo, (2)x(21152000)= 42304000. El FD del sucesor factible es
40640000 que es menor que la varianza FD-modificada de 42304000.
Por lo tanto, la ruta del sucesor factible convertirse en un sucesor adicional y se añade a la
tabla de enrutamiento. Por lo tanto el router incluirá todas las rutas que
El valor de la variance por defecto es 1 y va del valor 1 al 128. Se utiliza para permitir
métricas de mayor coste en el balanceo de carga desigual.
NOTA: En el caso de Eigrp la ruta que tiene la mejor métrica se conoce como ruta sucesor
y la ruta de contingencia se conoce como sucesor factible.
NOTA: EIGRP utiliza un grupo de constantes denominadas “K” o “K-values” para calcular la
mejor ruta.
NOTA: El algoritmo DUAL (Difussing-Update Algorithm) se utiliza para asegurar que no haya
bucles en cada instancia a través del cómputo de una ruta.
***************EIGRP STUB****************
La característica del ruteo de stub del EIGRP se debe utilizar solamente en los router Stub.
Un router Stub se define como router conectado con el núcleo de la red o la capa de
distribución a través de los cuales el tráfico de tránsito de la base no debe fluir.
EIGRP Stub solo anuncia las redes directamente conectadas y las redes sumarizadas por default, por lo mismo,
los demás routers no envían QUERIES cuando una ruta queda en modo activa. Pero, ¿cómo los demás routers
saben que este dispositivo está trabajando con EIGRP Stub?
Los routers que trabajan en Stub, envían un campo con este feature activado en los mensajes hello.
************DUAL-STACK************
El método de stack doble es un método de integración en el que un nodo tiene implementación y conectividad
para redes IPv4 e IPv6. Es la opción recomendada y requiere que se ejecuten IPv4 e IPv6 simultáneamente. El
router y los switches se configuran para admitir ambos protocolos; el protocolo preferido es IPv6. Cada nodo
tiene dos stacks de protocolos con la configuración en la misma interfaz o en varias interfaces.
El enfoque de stack doble para la integración de IPv6, en el que los nodos tienen stacks de IPv4 e IPv6, será uno
de los métodos de integración más comúnmente utilizados. Un nodo de stack doble elige qué stack utilizar en
función de la dirección de destino del paquete. Un nodo de stack doble debe preferir utilizar IPv6 cuando esté
disponible.
A estos mecanismos se les conoce como tecnologíasde transición. Las tecnologías de transición se clasifican en 3
grupos:
R1(config-router-af)# eigrp router-id 1.1.1.1 ---ID no tiene por qué coincidir con el ID de un router configurado
para IPv4.
Localizo las interfaces que puedo poner en modo pasivo y las configuro hago esto en todos los routers.
R3(config-router-af)# topology base --redistribuyo las rutas de último recurso desde topology base.
R3(config-router-af-topology)# redistribute static
R3(config-router-af-topology)# exit-af-topology
R3(config-router-af)# exit-address-family
R3(config-router)# address-family ipv6 unicast autonomous-system 6
R3(config-router-af)# topology base
R3(config-router-af-topology)# redistribute static
R3(config-router-af-topology)# exit-af-topology
R3(config-router-af)# exit-address-family
R3(config-router)#
Ruta recursiva.
R1(config)# ip route 10.1.1.0 255.255.255.0 172.16.1.2
La red ala que quiero llegar 10.1.1.0 255.255.255.0, El siguiente salto es la IP 172.16.1.2, que es la IP de la
interface FastEthernet 0/1 en R2. A este tipo de ruta, cisco también le llama ruta recursiva.
Consideremos ahora una modificación al diagrama de ejemplo, se agregó una conexión a Internet como se
muestra en la figura 4. Esto se va a simular con una interface Loopback en R2, para que R1 pueda tener salida a
Internet.
Los protocolos de enrutamiento sin clase incluyen la máscara de subred con la dirección de red en las
actualizaciones de enrutamiento.
Distancia factible (FD): es la métrica calculada más baja para llegar a la red de destino. FD es la métrica
enumerada en la entrada de la tabla de enrutamiento como el segundo número dentro de paréntesis.Con otros
protocolos de enrutamiento también se conoce como la métrica de la ruta.
Sucesor factible (FS):Un sucesor factible es un vecino que tiene una ruta de respaldo sin loops hacia la
misma red que el sucesor y también cumple con la condición de factibilidad.Para poder ser un sucesor factible,
R1 debe satisfacer la condición de factibilidad (FC).
Distancia publicada (AD, Advertised Distance) o Distancia notificada (RD, Reported Distance).
redistribute static :Sirve para, como lo indica su nombre, distribuir rutas estáticas que dicho router tenga
instaladas en su tabla de enrutamiento y así poder compartirlas con los demás routers para
que también puedan alcanzar el destino.
default-information originate: Este comando nos sirve para que el router con salida a internet o con la
ruta 0.0.0.0/0 la pueda compartir con todos los routers que están configurados con el mismo protocolo.
no auto-summary : Al ingresar este comando le decimos al router que NO sumarize las rutas que tiene. Es
de gran utilidad cuando no tenemos redes contiguas.
ip classless: En algunas versiones nuevas del IOS ya viene por defecto configurado. Sirve, entre otras cosas,
para que el router acepte redes con máscaras variables. NO COMPATIBLE CON RIPv1
Ruta 0.0.0.0 : Esta dirección se ingresa como ruta estática y sirve para que el router envíe cualquier cosa por
la interfaz. El comando es 0.0.0.0 (Direccion IP) 0.0.0.0(Mascara) [Interfaz]
Capítulo 3
***********OSPF***********
R2(config)# router ospf 2
R2(config-router)# network 172.16.12.0 0.0.0.3 area 1
R2(config-router)# network 192.168.2.0 0.0.0.255 area 1
R2(config-router)# router-id 2.2.2.2
% OSPF: Reload or use "clear ip ospf process" command, for this to take effect
R2# clear ip ospf process --Esto resetea el proceso ospf para que se aplique la nueva información.
Reset ALL OSPF processes? [no]: yes
R3# clear ip ospf process ---Esto resetea el proceso ospf para que se aplique la nueva información.
Reset ALL OSPF processes? [no]: yes
State: el estado COMPLETO representa la etapa final del proceso de establecimiento del vecino OSPF y denota
que el estado local. El enrutador ha establecido la adyacencia completa del vecino con el vecino remoto de
OSPF. DR significa que la DR y la elección BDR el proceso se ha completado y el enrutador remoto con el ID de
enrutador 1.1.1.1 se ha elegido como DR.
DeadTime: representa el valor del temporizador muerto. Cuando este temporizador expira, el enrutador
termina la relación de vecino. Cada vez que el enrutador recibe un paquete de saludo OSPF de un vecino
específico, restablece el temporizador muerto de vuelta a su valor total.
Entre las rutas que se originan dentro de un sistema autónomo OSPF, OSPF distingue claramente dos tipos de
rutas:
Rutas intra-áreas y rutas inter-áreas. Las rutas dentro del área son rutas que se originan y aprenden en la
misma área local.El carácter "O" es el código para las rutas dentro del área en la tabla de enrutamiento.
El segundo tipo son las rutas inter-áreas, que se originan en otras áreas y se insertan en el área local a la que
pertenece su enrutador. Los caracteres "O IA" son los Código para las rutas inter-áreas en la tabla de
enrutamiento. Las rutas inter-áreas se insertan en otras áreas del ABR.
R3# debug ip ospf adj ---- Muestra la información de adyacencia de vecinos OSPF y los tipos de paquetes
OSPF que están ocurriendo entiempo real.
OSPF adjacency debugging is on
*****************ADYACENCIA OSPF*******************
Una adyacencia OSPF se establece en varios pasos. En el primer paso, los enrutadores que pretenden establecer
un vecino OSPF. Intercambian adyacencias OSPF con paquetes HELLO. Ambos vecinos OSPF están en el estado
ABAJO (el estado inicial de un vecino conversación que indica que no se ha escuchado ningún saludo del
vecino).
Cuando un router recibe un saludo desde el vecino, pero aún no ha visto su propia ID de enrutador en el
paquete de saludo del vecino, pasará al estado INIT. En este estado, El enrutador registrará todas las ID de
enrutador vecino y comenzará a incluirlas en los saludos enviados a los vecinos. Cuando el router ve su propio
ID de enrutador en el paquete de saludo que se recibe del vecino, pasará al estado 2-WAY. Este estado significa
que Se ha establecido comunicación bidireccional con el vecino.
El procedimiento de elección de DR / BDR se produce no solo cuando la red se activa por primera vez, sino
también cuando el DR deja de estar disponible. En este caso, el BDR se convertirá inmediatamente en el DR y se
iniciará la elección del nuevo BDR.
En el segmento de acceso múltiple, es un comportamiento normal que el enrutador en estado DROTHER esté
completamente adyacente a DR / BDR, y en un estado de 2-WAY con todos los demás enrutadores DROTHER
presentes en el segmento.
El proceso de elección de DR / BDR se lleva a cabo en redes de acceso múltiple de difusión y sin transmisión. La
principal diferencia entre los dos está el tipo de dirección IP que se usa en el paquete de saludo.
En las redes de multiaccess broadcast los router usan la dirección IP de destino de multidifusión 224.0.0.6 para
comunicarse con el DR (llamados AllDRRouters) y los usos del DR dirección IP de destino de multidifusión
224.0.0.5 para comunicarse con todos los demás enrutadores que no son de recuperación ante desastres
(denominados AllSPFRouters). En Las redes NBMA, el DR y los enrutadores adyacentes se comunican mediante
unidifusión
Las redes de acceso múltiple, ya sea de difusión (como GigabitEthernet) o no de transmisión (como Frame Relay,
ATM).
Uso de la prioridad OSPF en la elección DR / BDR
• El paquete de saludo de OSPF utilizado en la elección de DR / BDR contiene el campo Prioridad de enrutador.
• El enrutador con la prioridad OSPF más alta será elegido como DR.
• El enrutador con la segunda prioridad OSPF más alta será elegido como BDR.
• El enrutador con la prioridad establecida en 0 no participa en la elección DR / BDR y no es elegible para
convertirse en el DR / BDR.
• DROTHER es un enrutador que no es el DR o BDR.
Si hubo un empate, donde dos enrutadores tienen el mismo valor de prioridad, la ID del enrutador se utiliza
como desempate. Los enrutador con el ID de enrutador más alto se convierte en el DR. El enrutador con la
segunda ID de enrutador más alta se convierte en el BDR.
Establecer la prioridad de la interfaz OSPF el valor va de 1 a 255 esto influira en la elección de DR / BDR a favor
de R1.
La configuración de la prioridad de la interfaz OSPF a 0 evita que el enrutador sea candidato a la función DR /
BDR.
R4(config)# interface GigabitEthernet 0/0 --Esta interfaz no participara en el proceso.
R4(config-if)# ip ospf priority 0
ABR: enrutador dr borde de área, Un router es ABR si hay una interfaz como minimo en Area cero y otras
pueden estar en cualquier otra area.
ASBR: Enrutador de límites del sistema autónomo, Un router es ASBR si se trata de una interfaz en el dominio
OSPF y otra interfaz en otro dominio como RIP, EIGRP.
*********************MTU***********************
La MTU IP determina el tamaño máximo del paquete que se puede reenviar sin fragmentación.
Las MTU no coincidentes pueden llevar a una base de datos OSPF incoherente.
OSPF requiere que se configuren los mismos MTU en ambos lados del enlace.
Los vecinos OSPF con MTU no coincidentes se atascan en el estado de adyacencia EXSTART.
El parámetro MTU de IP determina el tamaño máximo del paquete IP que se puede reenviar fuera de la interfaz
sin fragmentación. Si un paquete con una MTU IP más grande que el máximo llega a la interfaz del enrutador se
descarta. Si las MTU no coinciden entre dos vecinos, esta condición puede introducir problemas con el
intercambio de paquetes de estado de enlace, lo que resulta en retransmisiones continuas.
Para evitar estos problemas, OSPF requiere que la misma MTU IP esté configurada en ambos lados del enlace. Si
los vecinos tienen la MTU IP configurada no coincidente, no podrán formar una adyacencia OSPF
completa. Estarán atrapados en el EXSTART Estado de adyacencia
Ha cambiado el tamaño de MTU de IP en la interfaz R3 GigabitEthernet 0/0 para crear una falta de coincidencia
entre los tamaños de MTU de IP En enlaces entre R3 y R1. Este desajuste generará una situación en la que R3 y
R1 no pueden sincronizar sus bases de datos OSPF y una nueva adyacencia completa entre ellas nunca se
establecerán
Una vez que cambie los valores por defecto de intervalos muertos y de saludo OSPF en el enlace ambos routers
detectarán un saludo desajuste temporizador. Como resultado, no se actualizará el temporizador de tiempo
muerto, por lo que expirará, declarando el vecino OSPF relación como hacia abajo.
Nota: Cuando se cambia sólo el intervalo de saludo OSPF, OSPF cambia automáticamente el intervalo de
muertos a cuatro veces el hello-interval.
Después se cambian los intervalos en los demás router para que coincidan.
Cuando se cambia el temporizadores muertos en R2 hello OSPF y para que coincidan con los temporizadores en
R1, ambos routers en el vínculo deben ser capaz de establecer adyacencia y elegir DR / BDR en el segmento
NBMA. Después de eso, los routers y intercambiarán sincronizar bases de datos de estado de enlace y formar de
adyacencia vecina FULL.
****************Tipos de LSA***************
LSA Tipo 1: Cada router dentro de un área X envía LSA de tipo 1 a sus vecinos. Este LSA nunca sale del área a
la cual pertenece y contiene el Router-ID del remitente, y todos los enlaces que lo conectan.
LSA Tipo 2: Es enviado por el DR (Designated Router) dentro de la red. Él informa a los demás las redes y
máscara que tiene conectados. Este LSA nunca sale del área a la cual corresponde. Es decir, un ABR no lo
reenvía a otra área. El ID de estado de enlace del tipo 2 LSA es la dirección de la interfaz IP del DR.
LSA Tipo 3 de resumen: Las envía un ABR para traspasar la información de un área a otra. OSPF las
denomina “summary”. LSA tipo 3 es el número de red de destino.
LSA Tipo 4 de resumen: Representa a un ASBR (Autonomous System Border Router), El resumen ASBR
enlace de publicidad informa al resto del dominio OSPF como llegar a la ASBR. El ID de estado de enlace incluye
el ID del router de la ASBR descrito.
LSA Tipo 5 Sistema Autónomo: son generados por ASBRs, Representa a una ruta externa redistribuida
dentro de OSPF desde otro protocolo (Ej: EIGRP). El ASBR toma las rutas provenientes del protocolo externo y
las reenvía como tipo 5 a todas las áreas internas, excepto a las de tipo Stub. El ID de estado de enlace del tipo 5
LSA es el número de red externa.
Tipo 7: Se utiliza en el área de tipo especial de NSSA de rutas externas, Las normas de OSPF dicen que
solamente en un área Backbone (Area 0) debería haber redistribución. En un área NSSA se puede conectar un
router que tenga conexión con otro protocolo de enrutamiento externo (ej: RIP) y el ASBR enviaría esas redes en
formato de tipo 7, de tal manera que el ABR las tome y las redistribuya como tipo 5.
NOTA: Las LSA de tipo 1 y 2 están presentes en todas las áreas y nunca se envían fuera de la cual pertenecen.
Las demás LSA se envían entre áreas dependiendo de la función que cumplan.
Tipo 8, 9: Se utiliza en OSPFv3 para las direcciones locales de vínculo y el prefijo intra-zona
Tipo 10, 11: LSA genéricos, también llamados opaco, lo que permitirá futuras ampliaciones de OSPF
Se unen Areas que no estan unidas al Area 0 o Backbone atravez de otra área. En este caso hay
que unir una de las áreas cero con la otra área cero atravez de Area 1.
R2(config)# router ospf 1
R2(config-router)# area 1 virtual-link 3.3.3.3 ----Pongo la ip del otro router como si fuera un siguiente salto.
R2(config-router)#
Tipos de Area
Standard
Backbone (Area 0)
Stub Area
Totally Stubby Area
Not-so-stuby Area (NSSA)
Totally Stubby NSSA
Standard
Es el área por defecto y permite actualización de enlaces, sumarización de rutas y rutas externas
Backbone
Es el área principal de una topología OSPF. Es obligatorio que exista y todas las demás deben estar conectadas a
ella. Se etiqueta como area 0 y tiene las mismas características de un área estándar.
Area OSPF Stub
Este tipo de área no acepta información acerca de rutas externas al sistema autónomo (redistribución), tales
como rutas desde orígenes no OSPF. Si los routers necesitan enrutar hacia redes ubicadas fuera del sistema
autónomo OSPF, utilizan una ruta por defecto (0.0.0.0/0) que es enviada por el ABR hacia los demás routers
internos del área Stub. En esta área no se permiten ASBR (a menos que el ABR sea al mismo tiempo un ASBR).
Para configurar un área como Stub, todos los routers que pertenecen a ella deben ser configurados como tal.
routers stub no formarán adyacencias con routers no-stub.
Esta área es propietaria de Cisco y no acepta rutas de sistemas autónomos externos (redistribución) o rutas
sumarizadas desde otras áreas internas del sistema autónomo. Al igual que en las áreas Stub, los ABR envían
una ruta por defecto para todas las rutas externas y SUMARIZADAS (esa es la diferencia con Stub). En esta área
no se permiten ASBR (a menos que el ABR sea al mismo tiempo un ASBR.
Solo se distribuyen las rutas que estén en la tabla de enrutamiento y solo se distribuye hacia afuera.
default-information originate: Este comando nos sirve para que el router con salida a internet o con la ruta
0.0.0.0/0 la pueda compartir con todos los routers que estan configurados con el mismo protocolo.
Para generar una ruta predeterminada, utilice el comando de configuración de OSPF default-information
originate always. El always es necesario para generar una ruta por defecto en este escenario. Sin esta palabra
clave, una ruta por defecto sólo se genera en el OSPF si es que existe en la tabla de enrutamiento.
El origen de la información predeterminada redistribuirá cualquier ruta predeterminada, ya sea desde otro
enrutador o si crea una ruta estática predeterminada en sí misma, incluso puede provenir de un protocolo de
enrutamiento diferente, pero tiene que estar presente en la tabla de enrutamiento.
Tenga en cuenta que el comando ALWAYS sigue apareciendo como un O * E2, por lo que técnicamente
redistribuye una ruta predeterminada que apunta a sí mismo
Para comprobar que la ruta por defecto aparece en R2 y R3 con el show ip route.
R2 # show ip route
O * E2 0.0.0.0/0 [110/1] a través de 10.1.12.1, 00:00:13, Serial1 / 0
ip classless: En algunas versiones nuevas del IOS ya viene por defecto configurado. Sirve, entre otras cosas, para
que el router acepte redes con máscaras variables. NO COMPATIBLE CON RIPv1
• El valor de coste es un número positivo de 16 bits entre 1 y 65.535, donde un valor más bajo es una métrica
más deseable.
El ancho de banda de referencia se establece en 100 Mbps por defecto.
• En los enlaces de alto ancho de banda de 100 Mbps (y más), la asignación automática de costos ya no
funciona
• “En estos enlaces, los costos de OSPF se deben ajustar manualmente en cada interfaz.”
• El costo OSPF se recalcula después de cada cambio de ancho de banda, y el algoritmo de Dijkstra determina la
mejor ruta mediante la adición de todos los costos de los vínculos a lo largo de un camino.
Modificar el ancho de banda de referencia
R1(config)#router ospf 1
R1(config-router)#auto-cost reference-bandwidth 10000
R1(config)#int serial2/0
R1(config-if)# bandwidth 10000
R1(config)#int serial2/0
R1(config-if)# ip ospf cost 500
Cálculo del costo de las rutas dentro de la zona
• Para calcular el coste de las rutas dentro de la zona, el router analiza en primer lugar la base de datos OSPF e
identifica todas las subredes dentro de su área.
• Para cada ruta posible, OSPF calcula el costo para llegar al destino mediante la suma de los costos de interfaz
individuales.
• Para cada subred, la ruta con el menor costo total es seleccionada como la mejor ruta.
A pesar de que la ruta Interárea podría tener un menor coste para la subred específica, la ruta intra-área es
siempre la opción preferida.
NOTA: OSPF a las rutas externas type 2 O E2 por default le asigna un métrica de 20.
R1(config)#router ospf 1
R1(config-router-af)#summary-prefix 2001:DB8:0:1::/56
ABR
R1(config)#router ospf 1
R1(config-router)#area 1 range 192.168.20.0 255.255.252.0
R1(config-router)#area 2 range 192.168.32.0 255.255.248.0
Configuración de OSPFV3
Routers Cisco IOS ofrecen dos métodos de configuración de OSPF para IPv6:
• El uso de la tradicional ipv6 router OSPF comando de configuración global.
• Usando el nuevo estilo OSPFv3 enrutador comando de configuración global.
R1(config)#ipv6 unicast-routing
R1(config-if)# ipv6 router ospf 1
R1(config-rtr)#router-id 1.1.1.1
R1(config-rtr)#passive-interface loop0
R1(config)#int loop0
R1(config-if)# ipv6 ospf 1 area 0 ---configuro las interfaces según al área que van a pertenecer.
R1(config)#int s2/0
R1(config-if)# ipv6 ospf 1 area 0
R1(config)#int s1/0
R1(config-if)# ipv6 ospf 1 area 1
Configuración de OSPFv3
R1(config)#ipv6 unicast-routing
R1(config-if)# router ospf v3 1
R1(config-rtr)#router-id 1.1.1.1
R1(config-rtr)#passive-interface loop0
R1(config)#int loop0
R1(config-if)#ospfv3 1 ipv6 area 0
R1(config)#int s1/0
R1(config-if)# ospfv3 1 ipv6 area 0
R1(config)#int s1/1
R1(config-if)# ospfv3 1 ipv6 area 2
R1(config)#int loop0
R1(config-if)#ospfv3 1 ipv4 area 0
R1(config)#int s1/0
R1(config-if)# ospfv3 1 ipv4 area 0
R1(config)#int s1/1
R1(config-if)# ospfv3 1 ipv4 area 2
Se le permite activar selectivamente el proceso OSPFv3 para una familia de direcciones (IPv4
o IPv6) en una interfaz determinada.
R1(config)#router ospfv3 1
R1(config-router)#address-family ipv4 unicast
R1(config-router-af)#passive-interface loop0
R1(config)#router ospfv3 1
R1(config-router)#address-family ipv6 unicast
R1(config-router-af)#area 2 stub no-summary
R3(config)#router ospfv3 1
R3(config-router)#address-family ipv6 unicast
R3(config-router-af)#area 2 stub
Sumarizacion OSPFv3
R1(config)#router ospfv3 1
R1(config-router)#address-family ipv6 unicast
R1(config-router-af)#area 1 range 2001:DB8:0:220::/60
R1(config)#router ospfv3 1
R1(config-router)#address-family ipv6 unicast
R1(config-router-af)#summary-prefix 2001:DB8:0:1::/56
NOTA: El comando area range este comando se utiliza en el ABR y el comando summary-prefix se usa para
resumir en el ASBR.
Comandos de revisión:
R1#show ospfv3 neighbor
R1#show ospfv3 database inter-area prefix
R1#show ip route ospfv3
R1#show ipv6 route ospf
Capítulo 4
Enrutamiento
Cuando se ejecutan múltiples protocolos de enrutamiento, un router puede aprender de una ruta de diferentes
fuentes de enrutamiento. Si un router aprende de un destino específico a partir de dos diferentes dominios de
enrutamiento, la ruta con la menor distancia administrativa conseguiría instalada en la tabla de enrutamiento.
Redistribución de rutas
Redistribución de información de enrutamiento sobre las rutas que el router ha aprendido con otros protocolos
de enrutamiento.
Cuando un router redistribuye rutas, sólo se propaga rutas que se encuentran en la tabla de enrutamiento. Por
lo tanto, un router puede redistribuir
• Dinámicamente rutas aprendidas
• Rutas estáticas
• Rutas conectadas directas.
• default-métrica comando de configuración del router, que establece la Seed Metric (Metrica de semilla) para
todas las rutas redistribuidas. La métrica predeterminada especificada se aplica a todos los protocolos que se
redistribuyen en este protocolo.
Rutas redistribuidas en EIGRP y RIP se les asigna una métrica de infinito. Esto informa al router que la ruta es
inalcanzable y no debe ser objeto de publicidad. Por lo tanto, una métrica de semillas debe se especificó. Las
excepciones a esta regla se redistribuyen las rutas y las rutas conectadas o estáticas que están siendo
redistribuidos entre dos sistemas autónomos EIGRP.
E1: Tipo rutas externas O E1 calculan el costo añadiendo el coste externa a la interna de costes de cada enlace
que las cruces de paquetes. Use este tipo cuando hay múltiples ASBRs publicidad de una ruta externa al mismo
sistema autónomo para evitar el enrutamiento óptimo.
E2 (por defecto): El costo externo de rutas O E2 es fijo y no cambia a través del dominio OSPF. Utilice este tipo si
sólo un asbr es la publicidad de una ruta externa al sistema autónomo
NOTAS
OSPF por default asigna una métrica de 20 para rutas externas tipo 2 OE2 por esto no es necesario ponerle una
métrica.
EIGRP asigna una métrica de 170 para rutas externas.
Rutas redistribuidas en el OSPF se les asigna un tipo predeterminado 2 (E2) métrica de 20. Sin embargo, las
rutas BGP redistribuidos se les asignan un valor predeterminado tipo 2 métrica de 1.
En EIGRP y RIP cuando hago una redistribución sin métrica me asigna una métrica infinita Esto informa al router
que la ruta es inalcanzable y no la distribuye.
Practicas
Para realizar actualizaciones de enrutamiento más eficiente y en última instancia, reducir el tamaño de las
tablas de enrutamiento, rutas EIGRP contiguos pueden resumirse a cabo una interfaz mediante el uso del
comando:
Con el comando range puedo configurar varias rutas interarea ya sumarizadas en una solo en el área 20.
R3(config)# router ospf 1
R3(config-router)# area 20 range 192.168.8.0 255.255.252.0 --rango de rutas sumarizadas
Para redistribuir las rutas EIGRP en el OSPF, R2 redistribute eigrp 1 subnets. El comando subnets es necesario
porque, por defecto, sólo se redistribuye en OSPF redes con clase y superredes.
Para redistribuir las rutas OSPF en EIGRP, redistribute ospf 1 metric 10000 100 255 1 1500. A diferencia de
OSPF, EIGRP debe especificar la métrica asociada a las rutas redistribuidas. La orden le dice en EIGRP redistribuir
el proceso OSPF 1 con estas métricas: el ancho de banda de 10000, retraso de 100, la fiabilidad de 255/255, la
carga de 1/255, y una MTU de 1500. EIGRP requiere una métrica semilla.
Como alternativa, también se puede establecer una semilla por defecto métrica con la default-métric.
R2(config)# router eigrp 1
R2(config-router)# default-metric 10000 100 255 1 1500
R2(config-router)# redistribute ospf 1
R2(config-router)# end
Las rutas externas para las interfaces de bucle R1 48, 50 y 51. Loopbacks 48 y 49 se resumieron anteriormente
con EIGRP, van a ser incluidos cuando se redistribuya el EIGRP en el OSPF.
Se puede resumir todo esto en una superred en R2 utilizando los siguientes comandos.
Rutas resumidas
Para redistribuir el EIGRP de rutas IPv6 en OSPFv3 se debe usar el comando redistribute eigrp 1 include-
connected. En OSPF y EIGRP no es necesario anunciar las redes directamente conectadas pero en OSPPFv3 si es
necesario.
A diferencia de OSPFv3, EIGRP para IPv6 debe especificar la métrica asociada a las rutas redistribuidas. La orden
le dice EIGRP para redistribuir proceso OSPF 1 con estas métricas: el ancho de banda de 10000, retraso de 100,
la fiabilidad de 255/255, la carga de 1/255, y una MTU de 1500.
Mostrar la tabla de enrutamiento en R1 para verificar las rutas redistribuidas. rutas OSPFv3 redistribuidos se
muestran en R1 como EX, lo que significa que son EIGRP externa para rutas IPv6.
Mostrar la tabla de enrutamiento en R3 para ver las rutas redistribuidas. rutas EIGRP redistribuidos etiquetados
en la tabla de enrutamiento R3 como O E2, lo que significa que son OSPF tipo externo 2. Tipo 2 es el valor
predeterminado tipo externo OSPF.
R1# tclsh
foreach address {
172.16.1.1
192.168.40.1
} { ping $address }
Capítulo 5
Filtrado de Rutas
Para qué Rutas de filtro
•A veces, métrica o tipo de ruta externa debe ser cambiado para algunas rutas.
•A veces, sólo un subconjunto de rutas debe ser redistribuido.
• Listas de prefijos: Una lista de prefijos es una alternativa a las ACL diseñado para filtrar rutas. Puede ser
utilizado con las listas de distribución, mapas de rutas, y otros comandos.
• Mapas de rutas: Mapas de rutas complejas son listas de acceso que permiten las condiciones que se
ensayaron frente a un paquete o la ruta, y luego las acciones tomadas para modificar los atributos del paquete o
la ruta.
Se utiliza para manipular el tráfico de la red y machear utilizando Match y set, si no hay un match me machea
todo.
Cuando hay redistribución multipunto se taguean las rutas. El taggin sirve para identificar tráfico y taguearlo.
Listas de distribución:
Una lista distribuir permite una ACL que se aplicará a las actualizaciones de enrutamiento.
ACL clásicos no afectar al tráfico que se origina por el router, por lo que la aplicación de uno a una
interfaz no tiene efecto en los anuncios de enrutamiento de salida.
Al vincular una ACL a una lista de distribución, las actualizaciones de enrutamiento se pueden controlar
independientemente de su fuente.
ACL se configuran en el modo de configuración global y luego se asocian con una lista distribucion bajo el
protocolo de enrutamiento.
La ACL debe permitir que las redes que deben ser objeto de publicidad o redistribuido y negar las redes
que deben ser filtrados.
Se aplica la ACL a las actualizaciones de enrutamiento para ese protocolo. Las opciones en el comando
distribute-list permite a las actualizaciones a filtrar en base a tres factores:
• Interfaz de entrada
• Interfaz de salida
• La redistribución de otro protocolo de enrutamiento.
Utilizan al comando distribute-list in para controlar que las rutas se procesan en las actualizaciones de ruteo
entrantes.
Utilizan al comando distribute-list out para controlar que las rutas se incluyen en las actualizaciones de ruteo
saliente.
R3(config)#router ospf 10
R3(config)#redistribute eigrp 100 -----redistribuyo actualizaciones que vengan de eigrp a ospf.
R3(config)#distribute-list 7 out eigrp 100 -----permito que lo que venga de eigrp con las redes definidas en el
access-list 7 salgan hacia ospf.
Listas de prefijos
Las listas de prefijos son similares a las listas de acceso de muchas maneras.
Una lista de prefijos puede constar de cualquier número de líneas, cada una de las cuales indica una prueba y
un resultado.
El enrutador puede interpretar las líneas en el orden especificado, aunque Cisco IOS software optimiza las
listas de prefijos para procesar en una estructura de árbol.
Cuando un enrutador evalúa una ruta contra la lista de prefijos, la primera línea que coincide resultará en un
"permiso" o "negar".
Si ninguna de las líneas en la lista coincide, el resultado es "negar implícitamente".
Cada línea de Prefix List está asociado a un número de secuencia que por defecto van aumentando de 5 en 5
este numero se genera por defecto pero se puede poner.
R3(config)#router ospf 10
R3(config-router)#redistribute eigrp 100 subnets
R3(config-router)distribute-list prefix PRUEBA out eigrp 100
Mapas de Rutas
Los mapas de ruta son listas de acceso complejas que permiten probar algunas condiciones contra el
paquete o ruta en cuestión usando comandos de coincidencia.
Si las condiciones coinciden, se pueden realizar algunas acciones para modificar los atributos del paquete o
ruta.
Dentro de un mapa de ruta, cada instrucción de mapa de ruta está numerada y, por lo tanto, puede Ser
editado individualmente.
Las declaraciones en un mapa de ruta corresponden a las líneas de una lista de acceso.
• El mapa de ruta se aplica a una interfaz utilizando la configuración de la interfaz de mapa de ruta de la política
ip mando.
BGP
• Además del filtrado, los mapas de ruta proporcionan una manipulación sofisticada de los atributos de ruta de
BGP. El mapa de ruta se aplica mediante el comando de configuración del enrutador vecino BGP.
Ejemplo: R1 y R4 se pueden configurar para soportar la redistribución mutua sin ningún mecanismo de filtrado.
• R1 y R4 se pueden configurar para soportar la redistribución mutua usando mapas de rutas.
Puede usar todas estas herramientas como parte de una estrategia integrada para implementar un control de
ruta.
Capítulo 6
PBR (Policy Baced Routing)
NOTA: El PBR solo se realiza en la interfaz por donde entra el tráfico. Primero se realiza un Match y luego se da
un SET esto se realiza para crear políticas para controlar el tráfico. El Match me identifica el tráfico y el SET me
realiza la acción.
Configuracion PBR
BR1(config)#ip access-list extended PRUEBA --creo la lista PRUEBA
BR1(config-ext-nacl)#permit ip host 192.168.110.10 any ---permito el tráfico con esta ip
BR1(config-ext-nacl)#exit
BR1(config)#route-map PRUEBA-MAP --creo un route-map que machee mi acces-list
BR1(config-route-map)#match ip address PRUEBA ----la access-list dice que permita la ip 192.168.110.10 salir.
BR1(config-route-map)#set ip next-hop 10.10.10.0 ---si el macheo está bien le digo a esa ip que para salir debe
BR1(config-route-map)#exit usar un siguiente salto10.10.10.0.
BR1(config)#int E0/1
BR1(config-if)#ip policy route-map PRUEBA-MAP --Aplico la política a la interfaz por donde entra el trafico
BR1(config-if)#exit
IP SLA
Implementación del control de ruta utilizando Cisco IOS IP SLA
PBR es un mecanismo de control de ruta estática. No puede responder dinámicamente a los cambios en estado de
la red. IPsla Permiten cambiar las rutas según las condiciones de la red, como la fluctuación de fase, la latencia, la
carga y otros factores.
IOS IP SLAs se puede utilizar en conjunción con otras herramientas, incluyendo los siguientes:
o Seguimiento de objetos, realizar un seguimiento de la accesibilidad de los objetos especificados.
o sondas Cisco IOS IP SLA, para enviar diferentes tipos de sondas hacia los objetos deseados.
o Las rutas estáticas con opciones de seguimiento, como una alternativa más sencilla a PBR.
o Mapas de ruta con PBR, para asociar los resultados del seguimiento al proceso de enrutamiento.
Características IP SLA
o SLA Cisco IOS IP realizan la medición del rendimiento de red dentro de los dispositivos de Cisco.
o Los SLAs IP utilizan el monitoreo de tráfico activo (generación de tráfico de una manera continua, fiable, y
de manera predecible) para medir el rendimiento de red.
o IP SLA enviar datos de forma activa simuladas a través de la red para medir rendimiento entre múltiples
ubicaciones de red o a través de múltiples rutas de red.
o La información recopilada incluye datos sobre el tiempo de respuesta, de una vía de latencia,
jitter(fluctuacion), paquete perdido, Anotando calidad de voz, la disponibilidad de recursos de red,
rendimiento de las aplicaciones, y el servidor tiempo de respuesta.
o En su forma más simple, IP SLA verificar si una elemento de red, Tal como una dirección IP en una interfaz
del router o un puerto TCP abierto sobre un host IP, está activo y sensible.
Configuración IP SLA
Cuando se usa IP SLA se debe asignar un número de identificación de la operación de IP SLA a
configurar.
Configurar IP SLA y la pista de objetos para ISP 1
R1(config)#ip sla 11
R1(config-ip-sla)#icmp-echo 10.1.3.3 source-interface Ethernet 0/0
R1(config-ip-sla-echo)#frequency 10
R1(config-ip-sla-echo)#exit
R1(config)#ip sla Schedule 11 start-time now life forever
Configuraciones
Redirigir el tráfico web desde BR1 a HQ mediante PBR
BR1(config)#ip access-list extended PRUEBA-TRAFICO ---Creo una acceslist
BR1(config-ext-nacl)#remark permit only web traffic
BR1(config-ext-nacl)#permit tcp any any eq 80 --permito cualquier tráfico web http
BR1(config-ext-nacl)# permit tcp any any eq 443 --permito cualquier tráfico web https
BR1(config-ext-nacl)#exit
Practicas
o Todo el tráfico procedente de R4 LAN A debe tomar la R3 -> R2 -> ruta R1.
o Todo el tráfico procedente de R4 LAN B debe tomar la R3 -> ruta R1.
En el router R3, crear una lista de acceso estándar llamada PRUEBA-ACL para identificar la red LAN B R4.
R3(config)# ip access-list standard PRUEBA-ACL
R3(config-std-nacl)# remark ACL matches R4 LAN B traffic
R3(config-std-nacl)# permit 192.168.4.128 0.0.0.127 ----permito la red 128 de R4
R3(config-std-nacl)# exit
Crear un mapa de rutas llamado R3-a-R1 que coincide con PRUEBA-ACL y establece la interfaz
del siguiente salto a la R1 serial 1/1 interfaz.
En R3, crear una ACL estándar que identifica todas las redes LAN R4.
R3(config)# access-list 1 permit 192.168.4.0 0.0.0.255
R3(config)# exit
R4# traceroute 192.168.1.1 source 192.168.4.1 ---se hace un ping desde 192.168.4.1 hasta alcanzar
192.168.1.1
1 172.16.34.3 0 msec 0 msec 4 msec
2 172.16.23.2 0 msec 0 msec 4 msec
3 172.16.12.1 4 msec 0 msec *
R4# traceroute 192.168.1.1 source 192.168.4.129 1 ---se hace un ping desde 192.168.4.129 hasta alcanzar
192.168.1.1
1 172.16.34.3 12 msec 12 msec 16 msec
2 172.16.13.1 28 msec 28 msec
NOTA: el trafico 192.168.4.1 se enviara por la ruta hacia R2 ya que se configuro que la red 192.168.4.129 viaja
por R2.
Router R1
R1(config)# ip route 0.0.0.0 0.0.0.0 209.165.201.1
R1(config)#
Este comando muestra el número de éxitos, fracasos y resultados de las últimas operaciones de ping.
R1# show ip sla statistics
IPSLAs Latest Operation Statistics
IPSLA operation id: 11
Latest RTT: 8 milliseconds
Latest operation start time: 10:33:18 UTC Sat Jan 10 2019
Latest operation return code: OK
Number of successes: 51
Number of failures: 0
Operation time to live: Forever
Configurar una ruta estática flotante que aparece o desaparece en función del éxito o el
fracaso de la IP SLA.
R1(config)# track 1 ip sla 11 reachability ---creo un monitoreo de accesibilidad basado en la ipsla 11
R1(config-track)# delay down 10 up 1 ----si en el monitoreo de 10 segundos hay 1 segundo caído
R1(config-track)# exit activo el tráfico por mi segunda mejor ruta.
R1(config)# ip route 0.0.0.0 0.0.0.0 209.165.201.1 2 track 1 --se crea una ruta por defecto con una distancia
administrativa 2, cuando el ping de Track 1 este activo el trafico correrá por 209.165.201.1. Y si no cambiara a
la otra ruta.
Capítulo 7
BGP
El objetivo principal de BGP es proporcionar un enrutamiento entre dominios Sistema que garantiza el
intercambio de enrutamiento sin bucles. Información entre sistemas autónomos. Enrutadores BGP intercambiar
información sobre rutas a redes de destino.
Un router que tiene un proceso BGP activo se llama BGP speaker. Para poder intercambiar información de
encaminamiento BGP, dos routers vecinos (dos BGP speakers) deben establecer una sesión BGP a través del
puerto 179 de TCP. En este caso estos dos routers se llaman peers o neighbors. y luego intercambian sus tablas.
Tabla BGP
La tabla BGP es independiente de la tabla de enrutamiento IP en el enrutador.
El router ofrece las mejores rutas de la tabla BGP a la tabla de enrutamiento IP, la mejor ruta, basada en la
distancia administrativa se instalara en la tabla de enrutamiento IP. Se puede configurarse para compartir
información entre las dos tablas (por la redistribución).
Externo BGP (eBGP) rutas (rutas BGP aprendidas de un sistema autónomo externo) tienen una distancia
administrativa por defecto de 20.
BGP interno (ibgp) rutas (rutas BGP aprendieron desde dentro del sistema autónomo propio) tienen una
administrativa por defecto distancia de 200.
Interno (ibgp) Externo (eBGP)
Tipos de mensajes BGP:
Open: Abrir
Keepalive: mantener vivo
Update: Actualizar
Notification: Notificacion
Configuracion BGP
Solamente una instancia de BGP se puede configurar en un router a la vez.
Remote-as Es para activar una sesión BGP para los vecinos externos e internos y para identificar una enrutador
del mismo nivel con el que el router local establecerá una sesión.
Ejemplo
Configuración
R1(config)#router bgp 65100 ----Pongo el AS de mi router
R1(config-router)#neighbor 209.165.202.130 remote-as 65000 ---Pongo la ip de mi vecino y su AS.
Un asterisco (*) en la primera columna significa que la dirección del siguiente salto es válido.
Mayor que ( > ) En la segunda columna indica el mejor camino para una ruta seleccionado por BGP.
Si en al principio, Si está en blanco, BGP supo la ruta desde un bgp externo. Si tiene una i un ibgp vecino ha
anunciado esta ruta al router quiere decir que es una ruta interna.
Si en la columna next-hop esta una ruta 0.0.0.0 esto significa que es una ruta interna propia del router y
que el mismo es quien anuncio la ruta. El next-hop me dice que router me anuncia las redes.
En la columna Path tiene una i, el enrutador original probablemente usó una Comando de red para
introducir esta red en BGP.
En la columna Path tiene una e significa que el enrutador original aprendió esto red de EGP, que es el
antecesor histórico de BGP.
Un signo de interrogación (?) Significa que el proceso BGP original no puede verificar absolutamente la
disponibilidad de esta red porque es redistribuido de un IGP en el proceso de BGP.
Se observa que la entrada no es designado como mejor ruta; el carácter > no se encuentra, Esto se debe a que
R3 no tiene una ruta a la dirección del siguiente salto (209.165.202.129), Y Por lo tanto, la ruta no está instalada
en la tabla de enrutamiento.
Problema R3 aprende esta ruta de R2 sabe la red pero el siguiente salto no lo alcanza entonces se debe
indicarle a R3 desde R2 que el siguiente salto para llegar a esa ruta es desde R2.
Next-hop-self
R2(config)#router bgp 65000
R2(config-router)#neighbor 172.16.23.3 next-hop-self ----esto indica que yo soy quien anuncia la ruta, y
le dice a R3 que para llegar a esa ruta el siguiente salto soy yo R2. Y R3 lo aprende cuando se intercambian las
tablas.
R3#show ip bgp
EBGP Multihop
BGP externo: de forma predeterminada requiere que dos enrutadores estén conectados directamente entre
sí para establecer una adyacencia adyacente. Esto se debe a que los enrutadores eBGP utilizan un TTL de
uno para sus paquetes BGP. Cuando el vecino BGP está a más de un salto de distancia, el TTL disminuirá a 0 y se
descartará.
En el caso de eBGP, los enrutadores de pares con frecuencia tienen conexión directa, y el bucle de retorno no se
aplica.
Si se usa la dirección IP de una interfaz de bucle invertido en el comando de vecino, necesita una configuración
adicional en el enrutador vecino. El enrutador vecino debe informar al BGP del uso de una interfaz de bucle
invertido en lugar de una interfaz física para iniciar la conexión TCP del vecino BGP.
Para los paquetes BGP, la fuente dirección IP debe coincidir con la dirección de la correspondiente vecino
declaración sobre el otro router. De otra manera, Los routers no lograra ser capaz de establecer la sesión BGP, y
el paquete será ignorado.
Cambiamos las direcciones a loopback para asegurarse que siempre estarán activas. R2 Y R3 están en el mismo
AS interno.
R1(config)#ip route 192.168.2.2 255.255.255.255 209.165.202.130 ----creo una ruta para llegar a R2, esta ruta
estático es para permitir que los vecinos sin conexión se alcancen entre sí ya que hay rutas no conectadas
directamente.
R1(config)#router bgp 65100
R1(config-router)#no neighbor 209.165.202.130 ---Elimino la ruta fisica anterior.
R1(config-router)#neighbor 192.168.2.2 remote-as 65000
R1(config-router)#neighbor 192.168.2.2 update-source loopback 0 ----Le agrego el comando a mi ruta de
loopback para que esta sea mi ruta de origen.
R2(config)#ip route 209.165.201.1 255.255.255.255 209.165.202.129 ----creo una ruta para llegar a R1, esta
ruta estático es para permitir que los vecinos sin conexión se alcancen entre sí ya que hay rutas no
conectadas directamente.
R2(config)#router bgp 65000
R2(config-router)#no neighbor 209.165.202.129 ---Elimino la ruta fisica anterior.
R2(config-router)#neighbor 209.165.201.1 remote-as 65100
R2(config-router)#neighbor 209.165.201.1 update-source loopback 0 ----Le agrego el comando a mi
ruta de loopback para que esta sea mi ruta de origen.
NOTA: Este comando update-source siempre se realiza cuando se usan loopback para configurar Ebgp.
Se activa el comando ebgp-multihop para avisar que el destino está a más de un salto ya que la loopback no
está directamente conectada.
BGP no está diseñado para realizar el equilibrio de carga; caminos son elegidos debido a la política, no se basa el
ancho de banda.
Atributos BGP
Los atributos BGP se utilizan para mantenerse al tanto de la información específica de la ruta tal como la
información sobre el recorrido, la preferenciade rutas, el siguiente salto y la información sobre agregación, que
son utilizados por BGP para filtrar y elegir la mejor ruta. Cada mensaje de ACTUALIZACIÓN tiene una secuencia
de longitud variable de atributos de ruta en forma de longitud variable, tipo de atributo, longitud del atributo,
valor delatributo.
4. AS-Path: Si ninguna de las rutas se originó por el enrutador local, prefiere la ruta con el más corto AS-path. La
que tenga menor cantidad de saltos.
5. Origin e/?: Prefiere las rutas internas sobre las externas, Si la longitud AS-path es lo mismo, prefiero el más
bajo origen código (IGP < EGP < incomplete).
6. MED: Si todos los códigos de origen son los mismos, prefieren la ruta con el más baja Metrica. (el MED se
intercambia entre autónoma sistemas).
7. EGBP sobre IBGP: Si las rutas tienen el mismo MED, prefieren caminos externos (eBGP) que los caminos
internos (ibgp).
8. Prefiere el camino atreves de IGP más cercano al vecino. ósea el camino interno más cortó.
9. Prefiere la ruta más antigua o estable que ha estado más tiempo en estado UP.
NOTAS: Si alguna ruta tiene un parámetro igual o no cumple con alguno va bajando parámetros hasta llegar al
11 que sería el último parámetro para escoger la mejor ruta.
Si las rutas son externas no hay local preference. El local preference solo se utiliza de manera interna.
Atributos BGP
Los atributos BGP pueden ser optional, mandatory o discretionary, y transitive o nontransitive. Un atributo
también puede ser parcial.
Los atributos definidos por BGP incluyen los siguientes:
NOTA: Además, Cisco ha definido un atributo de peso weight para BGP. El weightes deconfigurado localmente
en un router y no se propaga a otros routers BGP.
El atributo AS-path:
Es la lista de números de sistema autónomo que atravesó una ruta para llegar a un destino, con el número de
sistema autónomo de destino al final de la lista.
El atributo Weight
El atributo weight es un atributo definido por Cisco utilizado para el proceso de selección de ruta.
CON PREFIX-LIST
R1(config)#ip prefix-list PRUEBA permit 209.165.201.0/24 le 28 ----creo un prefix-list pèrmito la red
209.165.201.0 y todo lo que este de /24 hasta/28.
R1(config)#route-map PRUEBA-PESO permit 10 -----creo una rote-map el 10 es solo un
numero de secuencia.
R1(config-route-map)#match ip address prefix-list PRUEBA ----Macheo todo las redes que estan en
R1(config-route-map)#set weight 150 mi prefix-list y les agrego un peso de 150 a esa ruta.
Weight
Local-preference
CE1#show ip bgp
AS-Path
NOTAS: El comando set as-path prepend (anteponer) permite configurar más de un número de sistema
autónomo.
Para hacer el Path mas largo se debe poner siempre el mismo sistema autónomo cuantas veces se desea del
el router donde se esta haciendo la configuración en este caso CE1. Ejemplo:
61000 65000 63000
62000 68520
65000 65000 65000 65000 65000
MED (Metrica)
Expresiones significado
.* Cualquier cosa.
^$ Rutas de origen local.
^100_ Aprendida de AS 100
_100$ Originada en AS 100
_100_ Cualquier instancia de AS 100
^[0-9]+$ Directamente conectada AS 100
Configuraciones
GW1(config)#ip as-path Access-list 1 permit ^$ ---creo una accesslist que permita solo las rutas
generadas en mis sitema automo.
GW1(config)#router bgp 65000 ---Activo bgp
GW1(config-router)#neighbor 209.165.201.1 filter-list 1 out ----Agrego mis vecinos y le agrego lista
de filtrado para que me filtre solo las rutas generadas en mis sitema automo asi solo le mostrara esas rutas a
los demás routers.
GW2(config)#ip as-path Access-list 1 permit ^$ ---creo una accesslist que permita solo las rutas
generadas en mis sitema automo.
GW2(config)#router bgp 65000 ---Activo bgp
GW2(config-router)#neighbor 209.165.201.5 filter-list 1 out ----Agrego mis vecinos y le agrego lista
de filtrado para que me filtre solo las rutas generadas en mis sitema automo asi solo le anunciara esas rutas a
los demás routers.
GW2(config)#ip as-path Access-list 1 permit ^65200_ ---Me muestra todas las redes con el AS de vecino
65200.
GW2(config)#ip as-path Access-list 1 permit _65200$ ---Me muestra todas las redes generadas en el
ultimo AS.
GW2(config)#show bgp regexp ^65000$ ---Me muestra todas las rutas locales de mi router con
el 65000.
NOTA: Para que me muestre las rutas filtradas de usar el comando show bgp regexp y luego la ecuación de
filtrado ejem: _65200$
R1#show bgp ipv6 unicast ---Comando para ver la tabla BGP ipv6
NOTAS:
o Las dos familias de direcciones IPv4 e IPv6 pueden utilizar un solo vecino IPv4 o dos sesiones separadas se
pueden establecer, una para cada familia de direcciones.
o Corriendo IPv6 sobre IPv4 requiere una sesión modificación del atributo del siguiente salto.
o Cuando se utilizan dos sesiones separadas para IPv4 e IPv6, no hay necesidad para implementar mapas de
rutas para sobrescribir el parámetro de salto siguiente.
o Tenga en cuenta que los vecinos IPv6 no se ven con el comando show ip BGP para ver el resumen se debe
utilizarla el comando show bgp ipv6 unicast.
o El intercambio de direcciones con los vecinos BGP está habilitada para la familia de direcciones IPv4 por
defecto. Asi que en una familia de direcciones IPv6, un vecino necesita ser activado mediante el comando
neighbor 2001:DB8:0:2::2 activate dentro del Address Family.
PRACTICAS
Router(config)# no ip domain-lookup
Router(config)# line con 0
Router(config-line)# logging synchronous
Router(config-line)# exec-timeout 0 0
exec-timeout: debe ser utilizado para cerrar las sesiones que quedan inactivas. Por default, las sesiones se
desconectan tras 10 minutos de inactividad.
Para eliminar este temporizador se puede realizar de dos maneras:
(config-line)# exec-timeout 0
(config-line)# no exec-timeout
Practica
Primero se configuran las Interfaces
Configurar EIGRP.
SanJose1(config)# router eigrp 1
SanJose1(config-router)# network 172.16.0.0
SanJose2(config)# router eigrp 1
SanJose2(config-router)# network 172.16.0.0
SanJose1(config-router)# neighbor 192.168.1.5 remote-as 200 ---apunto a una ip física de ISP, NO necesito
poner otro comando ya que esta ip esta directamente conectada.
SanJose1(config-router)# network 172.16.0.0 ----Anuncio la red física no la de la loopback. Es al contrario
que en ISP.
----------------------------------------------------------------------------------------------------
SanJose2(config-router)# neighbor 192.168.1.1 remote-as 200 ---apunto a una ip física de ISP, NO necesito
poner otro comando ya que esta ip esta directamente conectada.
SanJose2(config-router)# network 172.16.0.0 ----Anuncio la red física no la de la loopback. Es al contrario
que en ISP.
----------------------------------------------------------------------------------------------------
Agrego las demás redes para que los routers las conozcan también se podría hacer con eigrp.
ISP(config)# router bgp 200
ISP(config-router)# network 192.168.1.0 mask 255.255.255.252
ISP(config-router)# network 192.168.1.4 mask 255.255.255.252
Configurar BGP next-hop-self
SanJose2#sh ip bgp
SanJose2 tiene a 192.168.100.0 en su tabla BGP, pero no en su tabla de enrutamiento. La tabla BGP muestra el
siguiente salto a 192.168.100.0 como 192.168.1.5.
Debido SanJose2 no tiene una ruta a la dirección del siguiente salto de 192.168.1.5 en su tabla de
enrutamiento, no se instalará la red 192.168.100.0 en la tabla de enrutamiento. No va a instalar una ruta si no
sabe cómo llegar al siguiente salto.
SanJose2#show ip ro
Ahora Sanjose2 ya sabe cual es el siguiente salto para llegar hasta ISP y como la ruta es valida se agrega a
la tabla enrutamiento.
SanJose2#sh ip bgp
SanJose2#show ip ro
Prender la interfaz otra vez para que escoja el camino principal el otro quedara como secundario por si
uno falla.
ISP(config)# interface serial 1/1
ISP(config-if)# no shutdown
Realiza un restablecimiento suave de la relación de bgp vecinos en ambas direcciones (in, out), es decir,
dentro y fuera.
SanJose1# clear ip bgp * sof
SanJose2# clear ip bgp * sof
SanJose1#sh ip bgp ---Se cambia la mejor ruta la red de ISP por otra.
SanJose2#sh ip bgp ---Sanjose2 cambia a una ruta mas larga para llegar a ISP.
SanJose2#sh ip bgp ----se sigue prefiriendo la ruta con mayor Local Preference de 150
Configurar MP-BGP
ISP(config)# ipv6 unicast-routing --Activo ipv6
ISP(config)# router bgp 65100
ISP(config-router)# bgp router-id 1.1.1.1 ---Agrego un routerID BGP.
ISP(config-router)# neighbor 192.168.1.2 remote-as 65000 ---Agrego mi vecino sanjose 1 con una
interfaz física.
ISP(config-router)# address-family ipv6 unicast -----activo le AF ipv6 para agregar redes ipv6.
ISP(config-router-af)# network 2001:DB8:BEEF:1::/64 ---agrego mi red loopback ipv6.
ISP(config-router-af)# neighbor 192.168.1.2 activate ----activo mi vecino.
ISP(config-router-af)# neighbor 192.168.1.2 route-map PRUEBA out ----Le aplico una routemap a mi vecino
sanjose1 que le dice que el siguiente salto es la ipv6 2001:DB8:FEED:1::1. de ISP.
ISP(config-router-af)# exit
El mapa de ruta del siguiente salto-IPV6 está configurado para sobrescribir el parámetro de salto siguiente con
la dirección IPv6 del siguiente salto apropiado. Observe que la dirección del siguiente salto es la dirección IPv6
local de este router, ISP. El vecino, SanJose1, utilizará esta dirección IPv6, ya que es la dirección del siguiente
salto en su tabla de BGP IPv6.
SANJOSE1
Habilitar enrutamiento IPv6 en SanJose1 y luego configurar BGP para AS 65 000 con una ID de enrutador de
2.2.2.2. La dirección IPv4 del ISP se utilizará para la sesión de transporte IPv4 BGP con el ISP.
SanJose1(config)# router bgp 65000 --Activo ipv6
SanJose1(config-router)# bgp router-id 2.2.2.2 ---Agrego un router ID BGP.
SanJose1(config-router)# neighbor 192.168.1.1 remote-as 65100 ---Agrego mi vecino hacia ISP.
Configuro IBGP en SanJose1 con SanJose2 para IPv4 e IPv6. update-source Loopback0 indica al router que va a
utilizar la dirección IP de la interfaz de bucle de retorno 0 como la dirección IP de origen para todos los
mensajes BGP enviado a este vecino.
SanJose1(config-router)# neighbor 172.17.3.1 remote-as 65000 ---Agrego otro vecino hacia sanjose2 y
es una ipv4 de loopback.
SanJose1(config-router)# neighbor 172.17.3.1 update-source Loopback0 ----agrego el comando
obligatorio cuando se configuran loopback como ip de origen.
Entre en el modo de configuración del router AF IPv4 para SanJose1. Anuncio la red 172.16.2.0/24. Activo el
vecino IPv4 dentro de la AF IPv4 para la EBGP sesión igualitaria con ISP.
SanJose1(config-router-af)# neighbor 2001:DB8:CAFE:33::1 activate ----- activo mi otro vecino looback ipv6
de sanjose2.
SanJose1(config-router-af)# neighbor 2001:DB8:CAFE:33::1 next-hop-self -----le agrego un siguiente salto
a loop ipv6 de sanjose2 para que pueda llegar a ISP.
SanJose1(config-router-af)# exit-address-family
SANJOSE2
Comandos de verificación
ISP# show bgp ipv4 unicast summary --- Resumen de direcciones unicast IPV4.
ISP# show bgp ipv6 unicast summary --- Resumen de direcciones unicast IPV6.
ISP# show bgp ipv4 unicast --- Redes hacia los vecinos y como llegar de ipv4.
ISP# show bgp ipv6 unicast --- Redes hacia los vecinos y como llegar de ipv6.
Capítulo 8
La Arquitectura operacional de un enrutador se puede clasificar en tres planos:
• Plano de gestión: Este plano tiene que ver con el tráfico que se envía al dispositivo y se utiliza para la
gestión de dispositivos. Asegurar este plano implica el uso de contraseñas seguras, autenticación de usuarios, la
implementación de la interfaz de línea de comandos basada en roles (CLI), a través de Secure Shell (SSH),
habilitar el registro, utilizando el protocolo de tiempo de red (NTP), asegurando protocolo simple de
administración de redes (SNMP), y asegurar los archivos del sistema.
• Plano de control: Este plano está preocupado con decisiones de envío de paquetes, tales como
operaciones de protocolo de enrutamiento. Asegurar este plano implica el uso de la autenticación de protocolo
de enrutamiento.
• Plano de datos: Este plano también se conoce como el plano de reenvío, ya que se ocupa de la
transmisión de los datos a través de un router. Asegurar este plano generalmente implica el uso de listas de
control de acceso (ACL).
AAA
Authentication, Authorization, Accounting (Contabilidad)
La implementación del modelo AAA ofrece las siguientes ventajas:
o Mayor flexibilidad y control de la configuración de acceso.
o Escalabilidad.
o Múltiples sistemas de respaldo.
Métodos de autenticación estandarizados Los usuarios deben autenticarse en una base de datos de
autenticación, que puede ser almacenado:
. RADIUS y TACACS + .
RADIUS: Es un protocolo estándar abierto. Combina la autenticación y autorización en un servicio que utiliza el
puerto UDP 1812 (o UDP 1645), y el servicio de contabilidad utiliza el puerto UDP 1813 (o UDP 1646). RADIUS
no cifra todo el mensaje intercambiado entre el dispositivo y el servidor. Sólo la parte de la contraseña de la
cabecera del paquete RADIUS está cifrada.
TACACS +: Es un protocolo propietario de Cisco que separa los tres servicios AAA utilizando el puerto TCP más
fiable 49. TACACS + encripta todo el mensaje intercambiado por lo tanto la comunicación entre el dispositivo y
el servidor TACACS + es completamente segura.
R1(config)# aaa group server radius RADIUS-GRUPO ---creo un grupo de servidores radius.
R1(config-sg-radius)# server name RADIUS1 ---Agrego los server que pertenecerán al grupo.
R1(config-sg-radius)# server name RADIUS2 los cuales ya tienen sus usuarios y contraseñas.
R1(config-sg-radius)# exit
R1(config)# aaa authentication login default group RADIUS-GRUPO local ----- Todos los usuarios se
autentican utilizando el servidor Radius (el primer método). Si el servidor no responde, entonces se usa la
base de datos local del enrutador (el segundo método). Para la autenticación local, se debe definir el nombre
de usuario y la contraseña. Solo la contraseña es sensible a mayúsculas.
R1(config)# line vty 0 4 ----entro a la configuración de vty para accesos remotos y permit0 4 accesos
multiples.
R1(config-line)# login authentication TELNET-LOGIN ----Creo la autentificación de telnet con el grupo
TELNET-LOGIN.
R1(config-sg-radius)# exit
R1(config)# aaa group server tacacs TACACS-GRUPO ---creo un grupo de servidores radius.
R1(config-sg-radius)# server name TACACS1 ---Agrego los server que pertenecerán al grupo.
R1(config-sg-radius)# server name TACACS2 los cuales ya tienen sus usuarios y contraseñas.
R1(config-sg-radius)# exit
R1(config)# aaa authentication login default group TACACS-GRUPO local ----- Todos los usuarios se
autentican utilizando el servidor Radius (el primer método). Si el servidor no responde, entonces se usa la
base de datos local del enrutador (el segundo método). Para la autenticación local, defina el nombre de
usuario y la contraseña.
R1(config)# line vty 0 4 ----entro a la configuración de vty para accesos remotos y permit0 4 accesos
multiples.
R1(config-line)# login authentication TELNET-LOGIN ----Creo la autentificación de telnet con el grupo
TELNET-LOGIN.
R1(config-sg-radius)# exit
crypto key generate rsa modulus 2048 ----- Genero el par de claves de cifrado RSA para el router. Configurar
las claves RSA con 1024 para el número de los bits de módulo. El valor por defecto es 512, y el rango es de 360
a a 2.048.
R1(config-ext-nacl)#permit tcp host 10.0.0.10 any eq 22 ------permito cualquier trafico de esa ip por el
puerto tcp 22.
Implementar registro
Los administradores de red necesitan para implementar el registro para obtener información sobre lo que está
sucediendo en su red.
Aunque el registro se puede realizar de forma local en un router, este método no es escalable.
Por lo tanto, es importante poner en práctica el registro de destino externo.
. NTP .
Protocolo de tiempo de red (NTP): se puede utilizar para sincronizar los dispositivos de red a la hora
correcta. También es importante que las entradas de registro del sistema se marquen con la hora y fecha
correcta.
Modos de NTP
• Servidor: También llamado el maestro NTP, ya que proporciona información de la hora exacta a los clientes.
Se habilita con el comando (ntp master).
• Cliente: Sincroniza su hora con el servidor NTP. Un cliente NTP está habilitado con el comando (ntp peer).
R1(config)#ntp server 209.165.200.254 -----se configura con NTP apuntando a un server NTP.
R1(config)#clock timezone EST -5
R1(config)#clock summer-time EST recurring
S1(config)#ntp server 10.0.0.1 -----apunto a R1 que será con quien abtendre la hora.
S1(config)#clock timezone EDT -5
S1(config)#clock summer-time EDT recurring 10.0.0.0/30
S1(config)#ntp peer 172.16.0.2 -----se configura como NTP cliente y pongo mi IP.
S2(config)#ntp server 10.0.1.1 -----apunto a R1 que será con quien abtendre la hora.
S1(config)#clock timezone EST -5
S1(config)#clock summer-time EST recurring
S2(config)#ntp peer 172.16.0.1 -----se configura como NTP cliente y pongo mi IP.
Autentificacion
NTP autentica la fuente de la información, por lo que solo se beneficia El cliente NTP. Los dispositivos Cisco solo
admiten la autenticación MD5 para NTP.
MD5: Con la autenticación MD5, la contraseña no pasa por la red. MD5 es un algoritmo condensado de
mensaje especificado en RFC 1321. MD5 se considera el modo de autenticación OSPF más seguro. Cuando
configure la autenticación, debe configurar un área completa con el mismo tipo de autenticación.
Versiones NTP
NTP Versiones 3 y 4
NTP4: Es compatible con IPv4 e IPv6 y es compatible hacia atrás con NTPv3. NTPv3 no es compatible con IPv6.
IPv6 utiliza mensajes de multidifusión en lugar de mensajes de difusión IPv4 para enviar y recibir
actualizaciones de reloj.
Mejora de la seguridad sobre NTPv3 como NTPv4 proporciona un marco de seguridad conjunto, basada en la
criptografía de clave pública y certificados X509 estándar.
. SNMP .
SNMP define la información de gestión entre estos tres elementos:
Administrador SNMP: recoge la información de un agente SNMP utilizando la acción Get y puede cambiar
configuraciones de un agente mediante la acción de conjunto.
Agentes SNMP (nodo gestionado): Reside en el cliente de red SNMP gestionados y responde al conjunto
del gestor SNMP y peticiones GET a la MIB local.
• Los agentes SNMP pueden configurarse para enviar información en tiempo real directamente a un
SNMP'manager usando trampas (o notificaciones).
Base de Información de Gestión (MIB): Reside en el cliente de red y almacena datos administrados por
SNMP sobre el funcionamiento del dispositivo, incluidos los recursos y de la actividad. Los datos MIB están
disponibles para los administradores SNMP autenticados.
Versiones de SNMP
SNMPv1: versión original, que utiliza cadenas de comunidad para la autenticación. Estas cadenas de
comunidad se intercambian en el texto claro y por lo tanto muy inseguro. Es considerado como obsoleto.
SNMPv3: Vercion actualizada de SNMPv2 que añade mejoras de seguridad y configuración remota.
Específicamente, SNMPv3 proporciona autenticación, integridad de mensajes y el cifrado.
noAuthNoPriv: Autentica los mensajes SNMP mediante una cadena de comunidad de texto sin cifrar.
authNoPriv: Autentica mensajes SNMP usando ya sea HMAC con MD5 o HMAC con SHA-1.
authPriv: Autentica mensajes SNMP utilizando cualquiera HMAC-MD5 o SHA nombres de usuario y cifra los
mensajes SNMP utilizando DES, 3DES o AES
• Sólo lectura (RO): Proporciona acceso a las variables MIB, pero no permite que estas variables sean
cambiados, sólo lectura. Dado que la seguridad es tan débil en SNMPv2, muchas organizaciones utilizan
solamente SNMP en este modo de sólo lectura.
• Lectura-escritura (RW): Proporciona acceso de lectura y escritura a todos los objetos en la MIB.
Configuración de SNMPv2
R1(config)#ip access-list standart PRUEBA-SNMP ---configuro una ACL para limitar quién tiene acceso
el acceso SNMP en el dispositivo.
R1(config-std-nacl)#remark identifique el host del administrador SNMP
R1(config-std-nacl)#permit host 10.1.2.3
R1(config-std-nacl)#exit
R1(config)#snmp-server comunity pa55w0rd ro PRUEBA-SNMP
Configuración de SNMPv3
R1(config)#ip access-list standart PRUEBA-SNMP3 ---configuro una ACL para limitar quién tiene
acceso el acceso SNMP en el dispositivo.
R1(config-std-nacl)#permit host 192.168.1.0 0.0.0.255
R1(config-std-nacl)#exit
R1(config)#snmp-server view SNMP-RO iso included
R1(config)#snmp-server group ADMIN v3 priv read SNMP-RO access PERMIT-ADMIN
R1(config)#snmp-server user BCB ADMIN auth sha cisco12345 priv aes 128 cisco54321
R1(config)#end
Configuracion de Backups
Se pueden utilizar dos variables con el camino mando:
• $ h será reemplazado con el nombre de host del dispositivo.
• $ t será reemplazado con fecha y hora del archivo.
Forma Manual
R1(config)#archive
R1(config-archive)#path fp://admin.cisco123@10.1.2.3/$h.cfg
R1(config-archive)#exit
R1#archive config
Forma Automatica
R1(config)#archive
R1(config-archive)#write-memory
R1(config-archive)#time-period 10000
R1(config-archive)#end
. SCP .
La función Secure Copy (SCP) proporciona un método seguro y autenticado para copiar archivos de imagen del
router de configuración del router o Activación de SCP en un router.
El propósito de enrutamiento de Protocolo de autenticación
La falsificación de la información de encaminamiento es una clase más util de ataque que se dirige a la
información transportada dentro del protocolo de enrutamiento.
R1(config)#int e0/1
R1(config-if)#ip ospf authentication
R1(config-if)#ip ospf authentication-key PRUEBA ---solo admite 8 caracteres.
R1(config-archive)#exit
R1(config)#int e0/0
R1(config-if)#ip ospf authentication
R1(config-if)#ip ospf authentication-key PRUEBA
R1(config-archive)#exit
Hashing authentication
Paso 1. Cuando R1 envía una actualización de enrutamiento para R2, se utiliza un algoritmo de hash como
MD5 o SHA. El algoritmo de hash es esencialmente una compleja fórmula matemática que utiliza los datos de la
actualización de OSPF y una clave secreta predefinida para generar un valor hash único (firma). La firma
resultante sólo puede deducirse mediante el uso de la actualización OSPF y la clave secreta que sólo es conocida
por el emisor y el receptor.
Paso 2. La firma (signature) resultante se añade a la actualización de enrutamiento y se envía a R2
Paso 3. Cuando R2 recibe la actualización de enrutamiento y utiliza el mismo algoritmo de hash como R1 para
calcular un valor hash. En concreto, se utiliza los datos de la actualización OSPF recibido y su clave secreta
predefinida.
Cadena clave:
Key ID: se configura mediante el key-id, el rango va de 1 a 255.
Key string (password): Se Configura mediante el key-string y la clave de contraseña.
Key lifetimes: Se Configura mediante el send-lifetime.
R1(config)#int e0/0 ------ especifique la interfaz que usted quiere configurar la autenticación del
mensaje del EIGRP encendido.
R1(config-if)#ip authentication mode eigrp 100 md5 ----- Los 100 es el número del sistema autónomo de
la red. el md5 indica que el hash del md5 debe ser utilizado para la autenticación.
R1(config-if)#ip authentication key-chain eigrp 100 EIGRP-KEYS --- Especifico el llavero que se debe
utilizar para la autenticación que seria EIGRP-KEYS.
R1(config)#int e0/0
R1(config-if)#ip authentication mode eigrp 100 md5
R1(config-if)#ip authentication key-chain eigrp 100 EIGRP-KEYS
R1(config)#key 2
R1(config-keychain-key)#key-string CLAVE3
R1(config-keychain-key)#accept-lifetime 22.45.00 Mar 21 2020 infinite -----Esta segunda configuración
se activara 15 minutos antes de que vensa la anterior y durara para siempre será infinita.
R1(config-keychain-key)#sent-lifetime 22.45.00 Mar 21 2020 infinite
R1(config-keychain-key)#exit
R1(config)#int e0/0 ------ especifique la interfaz que usted quiere configurar la autenticación del
mensaje del EIGRP encendido.
R1(config-if)#ip authentication mode eigrp 100 md5 ----- Los 100 es el número del sistema autónomo de
la red. el md5 indica que el hash del md5 debe ser utilizado para la autenticación.
R1(config-if)#ip authentication key-chain eigrp 100 EIGRP-KEYS --- Especifico el llavero que se debe
utilizar para la autenticación que seria EIGRP-KEYS.
NOTA: El modo Nombrado, solamente una instancia única del EIGRP necesita ser creada. Puede ser utilizada
para todos los tipos de la familia del direccionamiento. También soporta los VRF múltiples limitados solamente
por los recursos de sistema disponible.
Null (nula): este es el método predeterminado y significa que no se usa ninguna autenticación para
OSPF.
Simple password authentication (autenticación por contraseña simple): también se conoce
como “autenticación con texto no cifrado”, porque la contraseña en la actualización se envía como texto
no cifrado a través de la red. Este método se considera un método antiguo de autenticación de OSPF.
MD5 authentication (autenticación MD5): se trata del método de autenticación más seguro y
recomendado. La autenticación MD5 proporciona mayor seguridad, dado que la contraseña nunca se
intercambia entre peers (compañeros). En cambio, se calcula mediante el algoritmo MD5. La coincidencia de los
resultados autentica al emisor.
R3(config)#int e0/0
R3(config-if)#ip ospf authentication message-digest
R3(config-if)#ip ospf message-digest-key 1 md5 CLAVE ---La longitud de la contraseña máxima es de
16 caracteres.
NOTA: El primer comando habilita la autenficacion para una interfaz específica y el otro para todas las
interfaces del área. SI lo hago en el área solo tendría que entrar en cada interfaz y habilitar un número de
llave y una contraseña.
R1(config)#router ospf 1
R1(config-router)#area 0 authentication message-digest ---habilito la autenticación para todas
las interfaces del router en el área 0.
R1(config)#int e0/0
R1(config-if)#ip ospf message-digest-key 1 md5 CLAVE2
R1(config-if)#exit
R4(config)#router ospf 1 ---habilito la autenticación para todas las interfaces del router
en el área 0.
R4(config-router)#area 0 authentication message-digest
R4(config)#int e0/0
R4(config-if)#ip ospf message-digest-key 1 md5 CLAVE2
R4(config-if)#exit
Configurar OSPFv2 criptográfico Ejemplo de autenticación
R1(config)#key chain PRUEBA ---creo un llavero
R1(config-keychain)#key 1 ---creo un ID de llavero
R1(config-keychain-key)#key-string CLAVE ---creo una clave de llavero
R1(config-keychain-key)#cryptographic-algorithm ?
Autenticación OSPFv3
La mayoría de los protocolos de enrutamiento IPv4 admiten algún tipo de autenticación de vecino,
proporcionada por una contraseña de texto simple o HMAC MD5. Sin embargo, OSPFv3 (OSPF para IPv6) no
incluye ninguna capacidad de autenticación propia; en su lugar, se basa totalmente en IPsec para asegurar las
comunicaciones entre vecinos.
R1(config)#router ospfv3
R1(config-router)#area 0 authentication ipsec spi 500 sha1 1234567890123456789012345678901234567890
o Índice de Política de Seguridad (SPI). El SPI funciona de manera similar a los números clave en un
llavero, pero se comunica a través de AH y debe coincidir entre los dos extremos de la adyacencia.El
número SPI es arbitrario, pero debe estar entre 256.
o Como SHA1 es el algoritmo más fuerte, lo elegiremos y especificaremos una cadena de bits aleatoria
como nuestra clave. La longitud de la clave debe ser exacta: 40 dígitos hexadecimales.
R4(config)#router ospfv3
R4(config-router)#area 0 authentication ipsec spi 500 sha1 1234567890123456789012345678901234567890
SHA1 es un algoritmo criptográfico de hash, ha sido utilizado para asegurar datos, comprobar su integridad y
para garantizar la seguridad de las conexiones a Internet. Ya no es seguro. SHA-256 más seguro.
Podemos saber si un archivo que originalmente tenía un hash “abc”, tras enviarlo por Internet, el destinatario
consigue la misma suma “abc” y no una suma diferente que podía indicar que el archivo ha sido modificado en
un punto intermedio de la transferencia e incluso que se ha descargado mal.
Al igual que EIGRP y OSPF, BGP también es compatible con la autenticación MD5 vecino. Para generar un valor
hash MD5, BGP utiliza la clave secreta compartida y partes de las cabeceras IP y TCP y la carga útil TCP.
La autenticación MD5 con éxito requiere la misma contraseña en ambos interlocutores BGP.
Configuración IPv4
La tabla de enrutamiento de un router cuando aplicamos el comando show ip route es conocida como la tabla
de enrutamiento global o por defecto. Cuando utilizamos VRF, se crean nuevas tablas de enrutamiento que
pertenecen a cada VRF y no comparten información de rutas unas con otras, es decir están completamente
aisladas y funcionan simultáneamente.
Una instancia VRF es esencialmente un router lógico y se compone de una tabla de enrutamiento IP, una tabla
de forwarding, un conjunto de interfaces que utilizan la tabla de forwarding, y un conjunto de normas y
protocolos de enrutamiento que determinan lo que entra en la tabla de forwarding.
Mantiene la Seguridad de la red porque el tráfico está segmentado de forma automática. VRF es
conceptualmente similar a la creación de VLAN de Capa 2 pero opera en la Capa 3. Sin embargo, las cosas se
vuelven un poco más complejas cuando es necesario enrutar el tráfico de un VRF a otro.
Un típico ejemplo del uso de VRF sería un Proveedor de Servicio (ISP) que utiliza el mismo router para enrutar el
tráfico de varios clientes, al implementar VRF separa el tráfico de los diferentes clientes dentro del mismo
router. Se puede usar para separar voz, datos y video, Para crear redes separadas privadas virtuales (VPN).
VRF y VRF-Lite
• VRF se asocia generalmente con un proveedor de servicio que se ejecuta la conmutación por etiquetas
multiprotocolo (MPLS), ya que los dos trabajan bien juntos. En una red de proveedores, MPLS aísla el tráfico de
red de cada cliente, y una VRF se mantiene para cada cliente.
. Configuracion de VRF .
Central(config)#int s0/0/0 ----entro ala interfaz dentro de ella aplico la VRF-A y le pongo una IP.
Central(config-vrf)#ip vrf forwarding VRF-A --- le aplico el VRF aesa interfaz.
Central(config-vrf)#ip address 10.10.1.1 255.255.255.252
Central(config-vrf)#clock rate 2000000
Central(config-vrf)#no shut
Central(config-vrf)#exit
Central(config)#int s0/0/1 ----entro ala interfaz dentro de ella aplico la VRF-A y le pongo una IP.
Central(config-vrf)#ip vrf forwarding VRF-A
Central(config-vrf)#ip address 10.20.2.1 255.255.255.252
Central(config-vrf)#no shut
Central(config-vrf)#exit
Central(config)#int s0/1/0 ----entro ala interfaz dentro de ella aplico la VRF-B y le pongo una IP.
Central(config-vrf)#ip vrf forwarding VRF-B
Central(config-vrf)#ip address 10.30.3.1 255.255.255.252
Central(config-vrf)#clock rate 2000000
Central(config-vrf)#no shut
Central(config-vrf)#exit
Central(config)#int s0/1/1 ----entro ala interfaz dentro de ella aplico la VRF-B y le pongo una IP.
Central(config-vrf)#ip vrf forwarding VRF-B
Central(config-vrf)#ip address 10.40.4.1 255.255.255.252
Central(config-vrf)#no shut
Central(config-vrf)#exit
Comandos de verificación.
Central#sh ip route | begin Gateway
Central#sh ip eigrp vrf VRF-A neighbors ---Solo me muestra vecinos ligados a VRF-A.
Central#sh ip route vrf VRF-B | begin Gateway ---Solo me muestra vecinos ligados a VRF-B
Ejemplo:
El cliente A y el B tienen las mismas ips de loopback el router no puede llegar a la red A desde la B ya que las ips
son iguales.
Para esto se realizan VRF-A y VRF-B y se segmentas las redes con tablas separadas, tendrán las mismas ips pero
estarán en tablas separadas asi el router las diferenciara y ya podrán comunicarse una red con otra.
PRACTICAS .
R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.2 ---configuro una ruta estatica hacia el ISP.
R3(config)# ip route 0.0.0.0 0.0.0.0 10.2.2.1 ---configuro una ruta estatica hacia el ISP.
R2(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.1 ---configuro una ruta estatica hacia la lo0 de R1.
R2(config)# ip route 192.168.3.0 255.255.255.0 10.2.2.2 ---configuro una ruta estatica hacia la lo0 de R3.
----Configuro una contraseña de la consola y permito el inicio de sesión para los routers.
R1(config)# line console 0
R1(config-line)# password ciscoconpass
R1(config-line)# exec-timeout 5 0
R1(config-line)# login
R1(config-line)# logging synchronous
R1(config-line)# exit
-----El puerto aux se utiliza para gestionar un router de forma remota mediante un módem y casi nunca se
utiliza asi que lo desactivamos.
R1(config)# line aux 0
R1(config-line)# no exec
R1(config-line)# end
Nota: cifrado de la contraseña se aplica a todas las contraseñas, incluyendo el nombre de usuario contraseñas,
las contraseñas clave de autenticación, la contraseña privilegiada de comandos, la consola y las claves de acceso
de línea de terminales virtuales, y el vecino BGP contraseñas.
-----Configuro una advertencia a los usuarios no autorizados con un ( MOTD) mensaje-del-día, el signo de
dólar ($) se utiliza para iniciar y terminar el mensaje.
Activación de AAA Autenticación RADIUS con el usuario local para copia de seguridad.
R1(config)# line vty 0 4 ----entro a la configuración de vty para accesos remotos y permit0 4 accesos
multiples.
R1(config-line)# login authentication TELNET-LOGIN ----Creo la autentificación de telnet y creo el grupo
anterior TELNET-LOGIN.
R1(config-sg-radius)# exit
Secure Shell (SSH) es un protocolo de red que establece una conexión de emulación de terminal segura a un
router u otro dispositivo de red. SSH encripta toda la información que pasa a través del enlace de red y
proporciona la autenticación del equipo remoto. SSH reemplazo a Telnet como la herramienta de acceso
remoto.
Nota: Para un router para apoyar SSH, debe estar configurado con la autenticación local, (servicios de AAA, o
nombre de usuario) o la autenticación de contraseña. En esta tarea, se configura un nombre de usuario y la
autenticación SSH local.
R1(config)# crypto key zeroize rsa ---El router utiliza el par de claves RSA para la autenticación y el
cifrado de los datos transmitidos SSH. Puede ser aconsejable borrar cualquier par de claves existentes en el
router con zeroize.
R1(config)#crypto key generate rsa general-keys modulus 1024 ----- Genero el par de claves de cifrado
RSA para el router. Configurar las claves RSA con 1024 para el número de los bits de módulo. El valor por
defecto es 512, y el rango es de 360 a a 2.048.
R1(config)#username JAVIER privilege 15 secret CLAVE ---Agrego un usuario y una clave
------Configuro las líneas vty para utilizar solamente las conexiones SSH.
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# end
R1# ssh -l ADMIN 10.2.2.2 ---- Entro en SSH para ingresar a R3 dede R1.
Nota: SSH requiere que login local puede configurar comandos. Sin embargo, en el paso anterior hemos
habilitado la autenticación AAA utilizando el método de autenticación TELNET-LOGIN, por lo tanto, login local
no es necesario.
Nota: Si se agrega la palabra clave telnet al comando transport input, los usuarios pueden conectarse
mediante Telnet, así como SSH. Sin embargo el router será menos seguro. Si sólo se especifica SSH, el anfitrión
de conexión debe tener instalado un cliente SSH.
PRACTICA
Enrutamiento EIGRP Y OSPF mediante la autenticación SHA
SHA sólo se puede configurar cuando se utiliza el método llamado EIGRP.
Configuracion con EIGRP
R1(config)# router eigrp ROUTE --utilizo el modo nombrado en vez de un numero pongo algún
nombre.
R1(config-router)# address-family ipv4 autonomous-system 1 -----creo un AF y pongo mi numero de
AS.
R1(config-router-af)# network 10.1.1.0 0.0.0.3 ---Agrego las redes dentro de AF
R1(config-router-af)# network 192.168.1.0 0.0.0.255
R1(config)# router eigrp ROUTE ---entroa eigrp en con el nombre común con los demás router
R1(config-router)# address-family ipv4 autonomous-system 1
R1(config-router-af)# af-interface s1/0 ---entro ala interfaz donde aplicare las autentificaciones.
R1(config-router-af-interface)# authentication key-chain PRUEBA-R1 ---aplico la autentificación
PRUEBA-R1 a esa interfaz.
R1(config-router-af-interface)# authentication mode hmac-sha-256 CLAVE2 ---aplico la
autentificación en modo hmac-sha-256 y pongo otra clave.
Configuracion de R2
R2(config)# key chain PRUEBA-R2
R2(config-keychain)# key 1
R2(config-keychain-key)# key-string CLAVE1
R2(config-keychain-key)# exit
Configuracion de R3
R3(config)# key chain PRUEBA-R3
R3(config-keychain)# key 1
R3(config-keychain-key)# key-string CLAVE1
R3(config-keychain-key)# exit
Configuracion de R2
Configuracion de R3
R3(config)# key chain PRUEBA
R3(config-keychain)# key 1
R3(config-keychain-key)# key-string CLAVE1
R3(config-keychain-key)# cryptographic-algorithm hmac-sha-256
R3(config-keychain-key)# exit