GUIN DE PRCTICAS PARA LOS

SERVICIOS VPN-IP Y MACROLAN

El objetivo principal de estas prcticas es entender el funcionamiento de los Servicios y as afianzar los
conocimientos sobre la red.
La prctica estar dividida en dos partes. una primera prctica de elaboracin de plantillas y una segunda
parte de configuracin en maqueta.
1.

Practica de elaboracin de plantillas

En esta prctica se plantear como escenario, una oficina VPN-IP con redundancia de equipo y de lnea con
el esquema que se muestra a continuacin.
Loopback:
192.168.134.1/32

Red Cliente:192.168.1.0 /24

Rango 1: 192.168.1.0/25
FastEthernet 0/0

Rango 2: 192.168.1.128/25

192.168.1.10

Serial 0/0 :FR

PE

IPs WAN
Salida a Internet solo para esta
sede

172.18.1.4/30

MHSRP

(no debe propagarse a la VPN)

IP Virtual 1: 192.168.1.11

IP Virtual 2: 192.168.1.21

Servidores accesibles
desde toda la VPN

.
.
FastEthernet 0/0
192.168.1.20

Atm 0/0 : ADSL

IPs WAN

PE

172.18.1.0/30
192.168.1.250
213.0.10.50

Loopback:
192.168.134.2/32

213.0.10.51

Este escenario se pretende utilizar en modo de balanceo de carga, repartiendo el trfico por
direccionamiento de cliente. Se quiere que el trfico, originado o con destino al rango 1 del cliente, sea
cursado por el enlace FR, mientras el resto de trfico se curse por el enlace ADSL.
Como se puede apreciar, en esta sede hay un firewall a travs del cual se puede acceder a unos servidores
pblicos y a Internet. Se pretende que todos los equipos conectados a la red de esta sede puedan salir a
Internet a travs de dicho firewall, pero no ha de permitirse la salida al resto de la VPNs.
Se quiere tambin que el resto de sedes pertenecientes a la VPN puedan acceder a los servidores pblicos
desde la propia VPN, sin que sea necesario hacerlo desde Internet. Para esto, se determina adems que el
trafico que vaya con destino a los servidores pblicos, entre siempre por el enlace FR (en caso de cada por
el ADSL).
Una vez conocido el escenario y las condiciones necesarias, se propone el siguiente ejercicio:

Utilizando el libro de plantillas correspondiente al servicio VPN-IP, elaborar las plantillas de

configuracin para los dos EDCs. (interfaces fsicos, loopback de gestin, MHSRP y routing con
BGP)
Utilizar los datos de configuracin que aparecen en el esquema anterior para completar la plantilla
de configuracin elaborada.

2.

Configuracin en Maqueta

El objetivo principal de esta segunda parte de las prcticas, es realizar labores tanto de provisin como de
troubleshooting, para de esta forma, entender el funcionamiento de los Servicios MacroLan y VPN-IP..
Para llevar a cabo esta prctica contamos con los siguientes equipos:

COMO PEs:
- Routers CISCO (3745 y 2801).

COMO EDCs
- CISCO 2801.
- RiverStone 1100.
- Teldat Atlas 150.

La prctica consistir en configurar la red de dos clientes con oficinas Macrolan y VPN-IP, quedando el
esquema de la red de la siguiente forma.

Para acceder a los PEs y configurarlos, lo haremos mediante Telnet desde el servidor ZEUS, utilizando el
siguiente direccionamiento:
-

PE1 10.0.0.10
PE2 10.0.0.20
PE3 10.0.0.30

2.1.

Configuracin de los PEs

Los nicos equipos que tendrn conocimientos de las distintas VPNs y por tanto una tabla de rutas por cada
VRF sern los PEs. Lo primero que tendremos que hacer en estos equipos es habilitar el intercambio de
etiquetas MPLS.
ip cef
mpls label protocol ldp
mpls ldp router-id FastEthernet0/0
mpls ldp loop-detection
frame-relay switching
ip classless
mpls ldp explicit-null
ntp master 1

En el interfaz FastEthernet 0/0, que es con la que nos comunicaremos con el resto de los PEs, tendremos
que aadir las siguientes lneas:
Interface FastEthernet 0/0
mpls ip
mpls mtu 1520

2.1.1.

Configuracin de las distintas VRFs en los PEs

Una vez configurada la conexin MPLS entre los PEs, se pueden empezar a configurar las conexiones de
cliente.
Como vemos en el esquema de red, cada uno de los PEs dispondr de varias conexiones de cada cliente.
Cada una de las conexiones WAN debern ser asignadas a una VRF, por lo tanto la primera tarea ser
configurar dichas VRFs.
Para la configuracin de las VRFs se necesitar definir los siguientes parmetros:

VPN-IP ROJA:
- Router Distinguisher (RD): 100:10
- Route Target: 100:10
- Nombre de la VRF: VPN_IP_ROJA
VPN-IP VERDE:
- Router Distinguisher (RD): 100:20
- Route Target: 100:20
- Nombre de la VRF: VPN_IP_VERDE
MACROLAN ROJA:
- Router Distinguisher (RD): 100:30
- Route Target: 100:30
- Nombre de la VRF: MACROLAN_ROJA
MACROLAN VERDE:
- Router Distinguisher (RD): 100:40
- Route Target: 100:40
- Nombre de la VRF: MACROLAN_VERDE

Y sern necesarios los siguientes comandos:

ip vrf <Nombre de la VRF>
rd <Router Distinguisher>
route-target export <Route Target>
route-target import <Route Target>
export map <Nombre de la VRF>

Donde:
<Nombre de la VRF> - Nombre de la VRF. Este valor es local al PE, es decir, existir una VRF por cada
VPN que queramos generar, y esta puede ser distinto entre un PE y otro. Para llevar una concordancia con
lo que se suele hacer en explotacin, daremos el mismo nombre a todas las VRFs de cada cliente.
<Router Distinguisher> - (o RD) Es el identificador de la VPN a nivel MPLS, por tanto este valor TIENE QUE
SER EL MISMO EN TODOS LOS PEs, para poder distinguir los paquetes de una VPN de los de otra.
<Route Target> - Definimos las polticas de importacin y exportacin de rutas entre distintas VPNs, es decir
que VPNs conocen que rutas.

2.1.2.

Configuracin de los Interfaces en los PEs

Una vez configuradas las VRFs, estamos en condiciones de configurar en los PEs las interfaces de cliente y
asignarlas a los distintos routers virtuales.

CONEXIONES VPN-IP
Las conexiones VPN-IP con los clientes se simularn mediante enlaces punto a punto por los puertos serial
de dichos routers. Sern necesarios los siguientes datos:

PE1:
- Modelo: CISCO 2801
- IP de Gestin PE: 10.0.0.10 /24
- Id Interface con CISCO1-1: Serial0/3/0
o IP Wan del PE: 10.100.1.5/30
- Id Interface con CISCO2-1: Serial0/3/1
o IP Wan del PE: 10.100.1.1/30

PE2:
- Modelo: CISCO 3745
- IP de Gestin PE: 10.0.0.20 /24
- Id Interface con CISCO1-2: Serial0/0
o IP Wan del PE: 10.100.1.17/30
- Id Interface con CISCO2-2: Serial0/1
o IP Wan del PE: 10.100.1.21/30
- Id Interface con ATLAS1-2: Serial0/3
o IP Wan del PE: 10.100.1.25/30

PE3:
- Modelo: CISCO 3745
- IP de Gestin PE: 10.0.0.30 /24
- Id Interface con CISCO1-3: Serial0/0
o IP Wan del PE: 10.100.1.13/30
- Id Interface con CISCO2-3: Serial0/1
o IP Wan del PE: 10.100.1.9/30
- Id Interface con ATLAS1-3: Serial0/3
o IP Wan del PE: 10.100.1.29/30

Los comandos a utilizar para configurar este tipo de interfaces son los siguientes:

interface <Id Interface WAN>

description CONEXION POR SERIAL CON <Id EDC de Cliente>
mtu 2098
no ip address
encapsulation frame-relay IETF
frame-relay lmi-type q933a
frame-relay intf-type dce
no fair-queue
!
Interface <Id Interface WAN>.<Id DLCI> point-to-point
Ip vrf forwarding <Nombre de la VRF>
Ip address <Dir Wan> <mascara>
Frame-realy interface-dlci <Id DLCI>
IMPORTANTE!! Si al poner el comando ip vrf forwarding <Nombre de la VRF> en el interfaz exista ya
configurada una direccin IP, esta se desconfigurar, con lo que sera necesario aadirla de nuevo.
Donde:
<Id Interface WAN> Es el nombre del interface o subinterface de interconexin con el cliente (P.E.: Serial
0/1/0).
<Id EDC de Cliente>Nombre que describa el EDC de cliente con el que se establece la conexin (Este
comando no es obligatorio pero ayuda a la hora de revisar la configuracin).
<Id VRF>Nombre asignado a la VRF.
<Direccin IP WAN> Direccin IP Wan de la conexin a configurar (como norma general la primera
direccin til del rango asignado).

CONEXIONES MACROLAN
Para las conexiones Macrolan, ser necesario configurar un subinterfaz para cada una de las VLANs que se
van a conectar a nuestro PE. Por este subinterfaz solamente se cursara el trfico de la VLAN Nacional, es
decir, el que vaya de una sede MacroLan a otra sede MacroLan situada en una MAN distinta.
Este subinterfaz, a parte de pertenecer a una VLAN en concreto, ser necesario incluirlo dentro de la VRF a
la que pertenezca su VPN, para luego poder importar y exportar las rutas entre los distintos PEs a travs de
la redl MPLS.

interface FastEthernet0/1
no ip address
duplex auto
speed auto
interface FastEthernet0/1.<Subinterfaz>
encapsulation dot1Q <ID VLAN>
ip vrf forwarding <Nombre de la VRF>
ip address 10.128.248.1 255.255.248.0
no ip redirects
no ip directed-broadcast
no ip proxy-arp
ip route-cache
ip mroute-cache
no cdp enable
Los datos a rellenar sern los siguientes:
<Subinterfaz> - Identificador del subinterfaz. Generalmente este nmero coincide con el ID de la VLAN para
facilitar la localizacin de errores.
<ID VLAN> - Corresponde con el nmero de la VLAN Nacional, a travs de la que los EDCs se comunican
con EDCs situados en redes MAN de otras provincias.
<Nombre de la VRF> - Nombre de la VRF.

2.1.3.

Configuracin del routing en los PEs

En este aparatado se configurarn los parmetros necesarios para el intercambio de rutas IP entre los
EDCs y los PEs, as como el intercambio de direcciones VPN-v4 entre los tres PEs.

Configuracin de RIP en los PEs

En el escenario planteado en el esquema, utilizaremos RIP Bidireccional como protocolo de routing entre
PEs y EDCs. Para lo cual tendremos que configurar lo siguiente en los PEs:
router rip
version 2
passive-interface default
no passive-interface <Interfaz>.<Subinterfaz>
address-family ipv4 vrf <Nombre de la VRF>
version 2
redistribute bgp <Sistema Autnomo> metric 2
network 10.0.0.0
no auto-summary
exit-address-family

Tal y como puede apreciarse, las rutas recibidas por RIP las redistribuiremos por BGP al otro PE. A su vez,
redistribuimos por RIP las rutas que recibimos por BGP desde el otro PE.
Los datos a rellenar sern los siguientes:
<Interfaz> - Identificador del interfaz fsico en el PE (FastEthernet0/1 para Macrolan, y Serial x/x/x para
VPN-IP).
<Subinterfaz> - Identificador del subinterfaz (Generalmente este nmero coincide con el ID de la VLAN para
las conexiones Macrolan o con el DLCI para las conexiones VPN-IP).
<Nombre de la VRF> - Nombre de la VRF.
<Sistema Autnomo> - El Sistema Autnomo Local identifica al organismo que intenta establecer la sesin
BGP (En nuestro caso 65000).

Configuracin de MP-BGP en los PEs

Antes de definir el BGP en el PE vamos a crear un route-map para filtrar que no se anuncien entre PEs las
direcciones de WAN.
ip prefix-list WANS seq 5 permit 10.100.1.0/24
ip prefix-list WANS seq 10 permit 10.128.248.0/21
route-map FILTRO_WANS deny 10
match ip address prefix-list WANS
route-map FILTRO_WANS permit 20

Para que desde todos los PEs se conozcan todas las direcciones hacia todas las sedes de nuestros
clientes, entre ellos existe intercambio de routing por BGP. Entre los dos PEs que vamos a utilizar,
tendremos que configurar una sesin BGP a travs de la cual intercambiarn routing IPv4. Adems de eso,
como vamos a intercambiar VPNs mediante MPLS, es necesario que esta sesin tambin intercambie datos
VPNv4 para que conozcan, adems del direccionamiento IP, el de cada una de las VPNs.

La configuracin relativa al BGP en cada PE ser la siguiente:

--- CONFIGURACIN GENERAL --------------------------------router bgp <Sistema Autnomo Local>
no synchronization
bgp log-neighbor-changes
neighbor <IP Neighbor> remote-as <Sistema Autnomo Remoto>
neighbor <IP Neighbor> update-source FastEthernet0/0
no auto-summary
no bgp default ipv4-unicast
address-family vpnv4
neighbor <IP Neighbor> activate
neighbor <IP Neighbor> route-reflector-client
neighbor <IP Neighbor> send-community extended
exit-address-family
--- CONFIGURACIN ESPECIFICA --------------------------------address-family ipv4 vrf <Nombre de la VRF>
no auto-summary
no synchronization
redistribute rip route-map FILTRO_WANS
exit-address-family

Los datos a sern los siguientes:

<Sistema Autnomo Local> - El Sistema Autnomo Local identifica al organismo que intenta establecer la
sesin BGP. En nuestro caso ser el 65000.
<Sistema Autnomo Remoto> - Ser el organismo con el que queremos establecer la sesin BGP. En
nuestro caso las sesiones BGP van a ser entre el mismo organismo (por tanto el mismo AS), es decir, van a
ser sesiones BGP internas o iBGP, pero en otros casos dichas sesiones pueden ser externas o eBGP. Para
hacer intercambio de rutas VPNv4 es obligatorio que las sesiones sean iBGP, con lo que nuestro sistema
autnomo remoto ser el 65000.
<IP Neighbor> - Es el equipo remoto con el que vamos a intercambiar routing BGP, por tanto con quin
vamos a tener establecida la sesin iBGP (En nuestro caso, las direcciones por las cuales se conocen
nuestros PEs: 10.0.0.10, 10.0.0.20 y 10.0.0.30).
<Nombre de la VRF> - Nombre de la VRF.

Una vez configurado todo esto, pasaremos a describir alguno de los comandos de troubleshooting para la
deteccin de problemas. Es muy importante resaltar que cada VPN tendr una tabla de rutas distinta, con lo
que ser necesario hacer referencia a ella en cualquier prueba de diagnstico que queramos hacer.
Para hacer comprobaciones podemos ejecutar los siguientes comandos:
show ip bgp summary - Nos muestra un resumen de las sesiones que hay establecidas:
NRAMDEL2#sh ip bgp summary
Neighbor
193.152.56.94
193.152.56.138

V
AS MsgRcvd MsgSent
4 64539 160367 160370
4 64538 449685 160402

TblVer
1298412
1298412

InQ OutQ Up/Down

0
0 14w3d
0
0 3w4d

State/PfxRcd
1
2

Para determinar el estado de la sesin BGP, nos fijaremos en la columna de ms a la izquierda

State/PfxRcd (Estado/PrefijosRecividos). Para que la sesin est establecida debe aparecer un nmero (el
nmero de redes que recibimos por BGP desde este neighbor), no un estado como Active, Stop, Admin
Con cualquiera de estos tres estados, la sesin BGP no se habr establecido de forma correcta y sera
necesario comprobar la configuracin en ambos extremos.
La columna Up/Down nos indica hace cuanto tiempo ha levantado o cado la sesin BGP.
show ip bgp neighbors <Neighbor> routes - Nos indica las rutas que se reciben desde un neighbor
determinado:

NRAMDEL2#show ip bgp neighbors 193.152.56.94 routes

BGP table version is 1298420, local router ID is 213.0.184.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete
Network
*> 194.224.33.0

Next Hop
193.152.56.94

Metric LocPrf Weight Path

100
0 64539 i

Total number of prefixes 1

show ip bgp neighbors <Neighbor> advertised-routes - Nos indica las rutas que estamos anunciando a un
neighbor determinado:
NRAMDEL2#show ip bgp neighbors 193.152.56.94 advertised-routes
BGP table version is 1298422, local router ID is 213.0.184.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete
Network
*>i213.0.128.0/17

Next Hop
213.0.184.247

Metric LocPrf Weight Path

100
0 i

show ip bgp vpnv4 all summary - Mostramos un resumen de todas las sesiones bgp establecidas para todas
las VPNs.
show ip bgp vpnv4 vrf <Nombre de la VRF> - Mostramos un resumen de todas las sesiones bgp
establecidas para una VPN en concreto.
show ip route vrf <Nombre de la VRF> - Mostramos la tabla de rutas de una VRF concreta.
show ip vrf <Nombre de la VRF> - Nos muestra los datos con los que est configurada una VRF.

2.2.

Configuracin de los EDCs

Para entrar a los distintos EDCs, lo haremos por el puerto de consola desde el servidor ZEUS: Para poder
acceder ser necesaria la utilizacin de un script con el siguiente formato:
consola EDC
Donde EDC es el nombre del equipo al que queremos acceder, en maysculas y sin espacios.

2.2.1.

Configuracin de los EDCs de VPN-IP

Configuracin de Interfaces
La configuracin para los interfaces WAN en los EDCs sern los siguientes:
EDCs Teldat:
set data-link frame-relay <Id Interface WAN>
network <Id Interface WAN>
description CONEXION POR SERIAL CON PE
set frame-size 2098
pvc <Id DLCI>
;
Protocol-address <Ip Wan PE> <Id DLCI>
exit
;
protocol ip
address <Id Interface WAN> <Direccin IP WAN> <Mascara>
exit

EDCs Cisco:
interface <Id Interface WAN>
description CONEXION POR SERIAL CON PE
mtu 2098
no ip address
encapsulation frame-relay IETF
no fair-queue
clock rate 2000000
frame-relay lmi-type q933a
!
Interface <Id Interface WAN>.<Id DLCI> point-to-point
Ip address <Direccion IP WAN> <mascara>
Frame-relay interface-dlci <Id DLCI>

Donde:
<Id Interface WAN> Es el nombre del interface fsico de conexin con el PE. Este valor ser:
Para el caso de equipos Teldat: serial0/0
Para equipos Cisco: El interface serial disponible, normalmente Serial0/3/0
<Direccin IP WAN> Direccin IP Wan de la conexin a configurar (como norma general, en los EDCs ser
la segunda direccin til del rango asignado).
IMPORTANTE!! : el Id de DLCI para cada conexin tiene que coincidir tanto en el PE como en el EDC.

Configuracin de RIP
En este momento deben estar configurados los interfaces WAN tanto en los EDCs como en los PEs. Y
debe haber conectividad a nivel 3 entre el PE y el EDC (esto puede comprobarse haciendo un ping desde el
EDC a la direccin IP-WAN del PE).
Una vez comprobada la conectividad entre EDC y PE, puede configurarse el RIP, para lo que habr que
introducir los siguientes comandos:
EDC CISCO - Rip Unidireccional con PE:
ip prefix-list 98 description Red Lan de Cliente
ip prefix-list 98 seq 15 permit <red LAN>/<Longitud de la Mscara>
access-list 99 deny any
router rip
version 2
passive-interface default
no passive-interface <id SubInterfaz WAN>
network <red WAN EDC>
network <red LAN>
no auto-summary
distribute-list prefix 98 out <id interfaz WAN>
distribute-list 99 in <id interfaz LAN>
!
ip route 0.0.0.0 0.0.0.0 <id interfaz WAN>

donde:
<red LAN>
Red IP LAN del EDC
<Longitud de la Mscara> Mscara en bits de la red IP LAN del EDC
<id SubInterfaz WAN> Identificador del subinterfaz WAN del EDC (Interfaz.SubInterfaz).
<red WAN EDC>
Red IP WAN de la conexin.
<id interfaz LAN>
Identificador del interfaz LAN del EDC (Ethernet, FastEthernet)

EDC TELDAT - Rip Unidireccional con PE:

feature access-lists
access-list 1
entry 1 default
entry 1 permit
entry 1 source address <red LAN CE> <mascara LAN CE>
exit
exit
;
protocol ip
route 0.0.0.0 0.0.0.0 <ip WAN PE> 15
classless
exit
protocol rip
enable
compatibility <ip WAN CE> send rip2-multicast
compatibility <ip WAN CE> receive none
compatibility <ip LAN CE> send none
compatibility <ip LAN CE> receive none
;
sending <ip WAN CE> distribute-list 1
exit

donde:
<red LAN CE>
<mascara LAN CE>
<ip LAN CE>
<ip WAN CE>
<ip WAN PE>

Red IP LAN del CE anunciada al resto de la VPN.

Mscara de red IP LAN completa del CE.
Direccin IP del CE utilizada en la red LAN de cliente.
Direccin IP del CE utilizada en el enlace con el PE.
Direccin IP del PE utilizada en el enlace con el CE.

Una vez configurado el routing entre EDC y PE, las direcciones de lan de cada EDC estn siendo
anunciadas a los PEs, y estos a su vez la estarn redistribuyendo por BGP al resto de PEs. Esto nos
debera de permitir tener accesible desde cualquier EDC, la LAN de cualquier otro EDC que est en la
misma VPN.
Para confirmar el correcto funcionamiento del servicio, responder a las siguientes cuestiones:
1. Est el PE accesible por Ping desde el EDC? y A que direccin se debe hacer el ping para
verificas esto?
2. Est el EDC accesible por ping desde el PE?, Qu tipo de ping debe utilizarse? y A que
direccin?
3. Es posible acceder por Telnet al EDC desde el PE? y Cmo debe hacerse?
4. Qu direcciones hay en la tabla de rutas de la VRF? y Cmo se estn conociendo cada una
de ellas?
5. Se estn recibiendo redes por RIP en la VRF?, cuales?
6. Se estn recibiendo redes por BGP en la VRF?, Cuales?
7. Es posible alcanzar por ping (estndar), la IP LAN de un EDC, desde otro EDC de la misma
VPN?, por qu?
8. Cmo podemos realizar un ping de LAN a LAN dentro de la misma VPN?, Funciona?, Por
qu?
9. Es posible hacer un ping de LAN a LAN entre dos oficinas de clientes distintos?, por qu?
Comandos de utilidad en CISCO:
ping vrf <Nombre de la VRF> <IP Destino> - Realizamos un ping extendido dentro de una VPN, es decir,
utilizando una VRF en concreto.
telnet <IP Destino> /vrf <Nombre de la VRF> - Para realizar un telnet a travs de una VRF.

2.2.2.

Configuracin de los EDCs de MACROLAN

El procedimiento general consiste en hacer un volcado de la configuracin segn las plantillas descritas por
Desarrollo Tcnico de Servicios, situadas en la unidad de red V:\d_grupos\Documentacion Tecnica de
Servicios\Libros de Plantillas\MacroLAN. Debido a que estamos trabajando sobre una maqueta que no est
en produccin, utilizaremos unas plantillas basadas en las reales, slo que obviando una serie de
parmetros, tales como servidor de tacacs, listas de acceso, servidores de SNMP, etc. Estas plantillas las
encontraremos en la unidad Z de la Escuela de Formacin, para ser ms exacto en Z:\Practicas (Tambin
adjuntamos una copia en el anexo de este guin de prcticas). Ah encontraremos una plantilla para cada
uno de los equipos (RiverStone, Teldat y Cisco).
Completar la Plantilla segn los datos facilitados en el esquema del inicio del documento para poder
continuar con el troubleshooting del servicio MacroLan.

RIVERSTONE
Lo primero que haremos ser configurar los distintos puertos con sus correspondientes VLANs.
Comenzaremos por habilitar los puertos que vayamos a emplear y dejar el resto deshabilitados.
Emplearemos el puerto 16 para la conexin contra la red MAN y el puerto 1 para conectar con la red del
cliente:
port set et.2.<Puerto de Acceso a la Red> auto-negotiation off duplex full speed 100mbps
port set et.2.<Puerto de Cliente> auto-negotiation off duplex full speed 100mbps
port disable et.2.<Resto de Puertos> force-link-down
port force-link-up et.2.<Puerto de Cliente>

Una vez realizado esto, tendremos el acceso fsico configurado. Para seguir, tendremos que configurar
todas las VLANs que necesitemos.
Lo primero ser crear el puerto 16 como enlace troncal, ya que, a travs de este enlace recibiremos la
VLAN NACIONAL. Posteriormente crearemos las distintas VLANs e indicaremos los puertos que pertenecen
a estas:
vlan make trunk-port et.2.<Puerto de Acceso a la Red> exclude-default-vlan
vlan create NACIONAL ip id <VLAN Nacional>
vlan create CLIENTE01 ip id <VLAN Cliente>
vlan add ports et.2.<Puerto de Acceso a la Red> to NACIONAL
vlan add ports et.2.<Puerto de Cliente> to CLIENTE01

Una vez que ya tenemos definidos los puertos, las VLANs y a que VLAN pertenece cada puerto, nos
quedar definir los interfaces, es decir, asignar una direccin IP (MacroLan trabaja a nivel 3 con IP) a cada
una de las VLANs para poder enrutar a traves suyo. Lo que haremos ser crear interfaces e indicar a que
VLAN pertenece dicho interfaz:
interface create ip IPNACIONAL address-netmask <IP Nacional>/<Mascara> vlan NACIONAL
interface create ip IPCLIENTE01 address-netmask <IP LAN>/<Mascara> vlan CLIENTE01

Una vez hemos creado los distintos interfaces, podemos comprobar la conectividad sobre todo con el
extremo remoto de la VLAN Nacional (la direccin 10.128.248.1), que es la que nos dar conectividad con
las sedes del resto de MANs.
Hecho esto, podemos comenzar a propagar la red del cliente a travs de la conexin con la MAN. Para ello
emplearemos RIP v2. Comenzaremos creando un filtro en el que se indicarn los rangos de IPs que vamos
a anunciar hacia la red:
ip-router policy create filter REDESCLIENTE network <Red de Cliente 1>/<Mascara> exact
ip-router policy add filter REDESCLIENTE network <Red de Cliente 2>/<Mascara> exact

REDESCLIENTE - Nombre del filtro que vamos a utilizar posteriormente.

<Red de Cliente x>/<Mascara> - Red del cliente que quiere propagarse por la red.
El filtro que hemos creado anteriormente, lo aplicaremos al route-map para que machee todo lo que cumpla
dicho filtro, para las redes que vamos a anunciar por la red Nacionala:
route-map RIPNACIONAL permit 10 match-prefix filter REDESCLIENTE
route-map RIPNACIONAL deny 65535 match-prefix network all

El siguiente paso ser pasar a definir propiamente el RIP. Hablaremos RIP por el interfaz Nacional,
indicando el route-map correspondiente. Tambin desactivamos el proceso poison-reverse para disminuir el
tamao de los anuncios de routing y activamos el proceso RIP:
rip set auto-summary disable
rip set poison-reverse disable
rip add interface IPNACIONAL
rip set interface IPNACIONAL type multicast version 2
rip set interface IPNACIONAL route-map-out RIPNACIONAL
rip start

El ltimo paso sera permitir por la VLAN Nacional nicamente el anuncio de las redes a travs del PE para
que el resto de EDCs, que tambin tienen conexin con esta VLAN no nos las anuncien:
ip-router policy create rip-import-source PE-NACIONAL gateway <IP PE Nacional>
ip-router policy import source PE-NACIONAL network all
ip-router policy create rip-import-source RIPNACIONAL interface IPNACIONAL
ip-router policy import source RIPNACIONAL network all restrict
rip start

TELDAT ATLAS 250

En el caso de los Atlas 250, comenzaremos configurando a nivel fsico los interfaces ethernet que vamos a
emplear; el interfaz 0 lo conectaremos a la LAN del cliente, y el interfaz 1 lo conectaremos con la red MAN.
Esto lo haremos en el men network del proceso de configuracin:
network ethernet0/1
no auto-negotiation
duplex full
exit
network ethernet0/0
no auto-negotiation
duplex full
exit

Continuaremos configurando ahora la VLAN que vamos a utilizar, en este caso una NACIONAL. Esto lo
haremos mediante un subinterfaz:
add device eth-subinterface ethernet0/1 <VLAN Nacional>
network ethernet0/1.<VLAN Nacional>
encapsulation dot1q <VLAN Nacional>
exit

El siguiente paso ser ya asignar a cada uno de los subinterfaces configurados su direccin IP
correspondiente. Esto lo haremos en el men protocol ip del proceso de configuracin:
protocol ip
address ethernet0/0 <IP LAN> <Mascara>
address ethernet0/1.<VLAN Nacional> <IP Nacional> <Mascara>

Una vez hemos creado los distintos interfaces, podemos comprobar la conectividad sobre todo con el
extremo remoto de la VLAN Nacional (la direccin 10.128.248.1), que es la que nos dar conectividad con
las sedes del resto de MANs.
Hecho esto, podemos comenzar a propagar la red del cliente a travs de la conexin con la MAN. Para ello
emplearemos RIP v2, quedando su configuracin de la forma que sigue:
protocol rip
enable
; Configura temporizadores para tiempo de convergencia de 90 segundos.
timers 30 90 90
; Habilitamos el envo y recepcin de rutas por RIP de la VLAN Nacional.
compatibility <IP Nacional> send rip2-multicast
compatibility <IP Nacional> receive rip2

; Se desactiva el protocolo RIP en la LAN de cliente que por defecto queda habilitada.
compatibility <IP LAN> send none
compatibility <IP LAN> receive none
; Se desactiva la funcin de "poison reverse" para disminuir el tamao de los anuncios
; de routing sobre la MAN.
sending <IP Nacional> no poisoned-reverse
; Se deshabilita el envo de las rutas aprendidas por OSPF que viene habilitado por
; defecto.
sending <IP LAN> no ospf-routes
sending <IP Nacional> no ospf-routes
exit

Lo siguiente que haremos ser crear una lista de acceso para filtrar los anuncios a travs de la VLAN
Nacional, y permitiendo nicamente los hechos por el PE:
feature access-lists
access-list 100
entry 1 default
entry 1 permit
entry 1 source address <IP PE Nacional> 255.255.255.255
entry 1 destination port-range 520 520
entry 1 protocol udp
entry 3 default
entry 3 deny
entry 3 destination port-range 520 520
entry 3 protocol udp
entry 1000 default
entry 1000 permit
exit
exit
; Aplicariamos la lista de acceso en el interfaz correspondiente a la VLAN Nacional.
protocol ip
access-group ethernet0/1.<VLAN Nacional> 100 in
exit

Ahora slo nos quedar establecer las IPs que vamos a anunciar desde el EDC al resto de la red:
feature access-lists
access-list 2
entry 1 default
entry 1 permit
entry 1 source address <Red de Cliente 1> <Mascara>
entry 2 default
entry 2 permit
entry 2 source address <Red de Cliente 2> <Mascara>
exit
exit
protocol rip
sending <IP Nacional> distribute-list 2
exit

CISCO 2801
En los routers CISCO todo ser mucho ms sencillo. Configuraremos los interfaces a nivel fsico para fijar la
velocidad y el modo duplex tanto del puerto utilizado para conectar a la MAN como para el empleado para la
LAN del cliente. Adems, para este ltimo, configuraremos directamente la direccin IP correspondiente a la
red de cliente.
interface FastEthernet0/0
ip address <IP LAN> <Mascara>
speed 100
full-duplex
no keepalive
no shutdown
interface FastEthernet0/1
speed 100
full-duplex
no shutdown

El siguiente paso consistir en configurar un subinterfaz en el puerto de acceso a la MAN, para la VLAN que
queremos configurar:
interface FastEthernet0/1.<VLAN Nacional>
encapsulation dot1Q <VLAN Nacional>
ip address <IP Nacional> <Mascara>

Una vez hemos creado los distintos interfaces, podemos comprobar la conectividad sobre todo con el
extremo remoto de la VLAN Nacional (la direccin 10.128.248.1), que es la que nos dar conectividad con
las sedes del resto de MANs.
Hecho esto, podemos comenzar a propagar la red del cliente a travs de la conexin con la MAN. Para ello
emplearemos RIP v2.
Lo primero que configuraremos sern los parmetros generales del RIP y la red por donde se va a hablar y
recibir routing, es decir, por la IP Nacional:
router rip
version 2
no auto-summary
timers basic 30 90 90 90
network <IP Nacional>
network <LAN Cliente> <Mscara>
exit

El siguiente paso va a ser configurar el router de tal forma que no reciba RIP por la VLAN Nacional ms que
del PE, para ello crearemos una prefix-list y haremos una distribucin de rutas de esta prefix-list sobre el
interfaz de la VLAN Nacional:
ip prefix-list PENACIONAL seq 5 permit <IP PE Nacional>/32
router rip
distribute-list gateway PENACIONAL in FastEthernet0/1.<VLAN Nacional>
exit

Lo ltimo que vamos a configurar va a ser los anuncios que propagaremos hacia la red MAN. Esto lo
haremos utilizando una prefix-list que incluya las redes a anunciar (las redes del cliente) y aplicndolo en el
protocolo RIP en forma de distribute-list:
ip prefix-list REDESCLIENTE seq 5 permit <Red de Cliente 1>/<Mascara>
ip prefix-list REDESCLIENTE seq 10 permit <Red de Cliente 1>/<Mascara>
router rip
distribute-list prefix REDESCLIENTE out FastEthernet0/1.<VLAN Nacional>
exit

2.3.

Ejercicios Prcticos
1. Modificar las polticas de importacin y exportacin de las VRFs para dar visibilidad entre
oficinas VPN-IP y Macrolan del mismo cliente.
a. Se accede mediante un ping de LAN a LAN, desde una oficina Macolan a una VPN-IP?
b. Mediante que protocolo de routing, conoce una VRF de Macrolan las direcciones de
oficinas VPN-IP?
2. En este ejercicio, se propone un cambio de escenario. Donde cada uno de nuestros cliente,
tienen dos oficinas Macrolan que pasarn a ser centrales y el resto sucursales. Los clientes
quieren que las centrales tengan conectividad con el resto de oficinas de la VPN, pero que las
sucursales no tengan conectividad entre ellas.

a. Modificar las polticas de importacin y exportacin de las VRFs para conseguir este
funcionamiento.
b. Verificar que puede realizarse un ping de Lan a Lan entre cualquier sucursal y las centrales.
c. Verificar que desde la Lan de una sucursal no puede alcanzarse la de otra sucursal del
mismo cliente.
3. En este ltimo ejercicio se propone unificar a nuestros dos clientes, dando a las centrales de
ambos clientes visibilidad de toda la red, a las sucursales de las cuatro centrales e
imposibilitando la visibilidad entre sucursales.