AnexoTécnico - Teldat h1+ - v1 0 - 16ene2013

CONFIGURACION ROUTER TELDAT H1+
COLOMBIA
ANEXO TECNICO DE SERVICIO

SOLUCIONES TRANSACCIONALES.
Version 1.0
DIRECCIÓN DE INGENIERÍA
Este documento contiene secretos del negocio e

información de propiedad de TELMEX. No está
permitido ningún tipo de utilización de la información
contenida aquí sin previo consentimiento escrito
Ultima actualización: Bogotá, Diciembre de 2011
Confidencial Pag. 1 16/01/2013

CONTROL DE CAMBIOS
Fecha de Ver Cambiado Secciones Motivo del cambio

Cambio . por: Cambiadas
2011-12-30 1.0 Jorge Enrique Todas Primera versión del Documento
Gutierrez
2012-04-12 1.0 Jorge Enrique 4 Inserción diagrama en Escenarios de
Gutierrez Aplicación y actualización scripts con
comentarios de los comandos (en amarillo)
2012-10-11 1.0 Jorge Enrique 5 Adición comando monitoreo señal.
Gutierrez
2013-16-1 1.0 Jorge Enrique 4.2 Adición configuraciones de encripción IPSec.
Gutiérrez
4.1.3 Adición gráfica escenario con dos SIMCARD
y adición comandos de verificación.

Tabla de contenido
CONTROL DE CAMBIOS .............................................................................................................................................. 2
1 INTRODUCCION .................................................................................................................................................... 4
2 ACERCA DEL EQUIPO .......................................................................................................................................... 5
3 CONFIGURACIONES EN EQUIPO TELDAT .................................................................................................... 6
3.1 CONFIGURACION POR DEFECTO. ........................................................................................................... 6

3.2 ELIMINACION CONFIGURACION POR COMANDOS .............................................................................. 8
4 ESCENARIOS APLICACIÓN TELMEX COLOMBIA ...................................................................................... 9
4.1 Configuracion para servicio estándar soluciones transaccionales................................................................ 9

4.1.1 Escenario básico. Un solo enlace 3G(Una sola SIMCARD). ........................................................................ 9
4.1.2 Escenario de conexión fibra como enlace ppal wan y enlace backup por 3G ............................................. 13
4.1.3 Escenario de conexión con 2 SIMCARD, ..................................................................................................... 20
4.2 Configuracion para servicio especial de encripción.................................................................................... 29
4.3 Configuración control de acceso y seguridad del equipo. ........................................................................... 32
4.3.1 Habilitar el SSH y deshabilitar el TELNET.................................................................................................. 33
4.3.2 Habilitar listas de acceso para control de acceso a la gestión del equipo via WAN/LAN. ........................ 34
4.3.3 Tambien controlar el tiempo de permanencia de una sesión. ...................................................................... 35
5 TROUBLESHOOTING ......................................................................................................................................... 36

1 INTRODUCCION
Version y Alcance del documento
Este manual se suministra para los equipos marca TELDAT, específicamente la línea H1+ y es el
equipo homologado por TELMEX para el producto SOLUCIONES TRANSACCIONALES cuyo
requerimiento principal es la interfaz celular para conectarse a las redes móviles 3G.
Aunque el equipo soporta todas las funcionalidades y protocolos que se usan en los demás
servicios TELMEX (INTERNET, canales IP DATA INTRANET, etc), el presente documento
ilustrará la forma de configurar el router para soportar la configuración básica estándar del producto
SOLUCIONES TRANSACCIONALES.
El documento queda publicado para su consulta en la siguiente ruta de la intranet(web):
DIRECCION DE OPERACIONES  GERENCIA DE INGENIERIA  PRODUCTOS Y SERVICIOS IP DATA EQUIPOS 

TELDAT H1+
AnexoTécnico__Teldat h1+_v1.1.doc

2 ACERCA DEL EQUIPO
El TELDAT H1+ es un equipo compacto y sencillo. Posee 1 puerto GigaEthernet para

conectividad WAN y 4 puertos de su módulo de switch Fasthethernet para conectividad LAN.
En el equipo adquirido por Telmex, el puerto Giga que viene por defecto para ser usado como
WAN no será utilizado ya que este requiere una licencia especial para su activación que no ha sido
comprada, por lo anterior la habilitación del puerto WAN se hará usando encapsulación 802.1q
sobre los puertos Fastethernet del módulo switch (VLANs).
En cuanto a la instalación de la SIMCARD para la conectividad 3G, el equipo posee dos tipos de
ranura o slot, una externa y otra interna. La externa es la que aparece en el diagrama anterior como
ranura 4. La ranura interna se encuentra abriendo el equipo e instalando la SIMCARD en el
compartimento que se encuentra cerca a la antena izquierda de 3G(numeral 2). El anterior
procedimiento es necesario cuando el servicio TELMEX a instalar requiere doble SIMCARD.
El equipo al llegar de bodega (TELMEX) debe venir con el cable de consola o adaptador
DB9-RJ4, con 4 antenas (2 para WiFi que no se usarán y 2 para 3G que son las antenas en forma de
paleta). Adicional a lo anterior el equipo viene con un adaptador de voltaje, un cable UTP y un CD
con toda la documentación acerca de comandos y configuración del equipo.
En cuanto a las antenas del equipo, una de ellas es utilizada para la transmisión, y para la
recepción es utilizada la que tenga mejor señal de potencia recibida es seleccionada.
3 CONFIGURACIONES EN EQUIPO TELDAT
3.1 CONFIGURACION POR DEFECTO.
Para dejar el CPE con la configuración de fábrica simplemente tomamos un clip y con el equipo
encendió presionamos el botón de Reset como se muestra en la grafica, dejamos presionado el
Botón por unos 6 segundos y el equipo reinicia a los parámetros de fabrica
Si se está por consola en esta se puede ver lo siguiente al presionar el Botón RST. Lo que aparece
a continuación es también lo mismo que aparece cuando el equipo se inicia por primera vez:
CFE version 1.0.37-102.9-03 for BCM96368 (32bit,SP,BE)

Build Date: Mon May 3 11:15:40 CEST 2010 (gjimenez@orion)
Copyright (C) 2000-2008 Broadcom Corporation.
Parallel flash device: name AM29LV320MT, id 0x2201, size 16384KB

CPU type 0x2A031: 400MHz, Bus: 160MHz, Ref: 64MHz
CPU running TP0
Total memory: 67108864 bytes (64MB)
Boot Address 0xb8000000
*** default configuration required ***
Board IP address : 192.168.1.1:ffffff00

Host IP address : 192.168.1.100
Gateway IP address :
Run from flash/host (f/h) :f
Default host run file name :
Default host flash file name :

Boot delay (0-9 seconds) :1
Boot image (0=latest, 1=previous) : 0
Board Id (0-1) : 96369H1P
Number of MAC Addresses (1-32) :4
Base MAC Address : 00:a0:26:74:80:0c
PSI Size (1-64) KBytes : 24
Main Thread Number [0|1] :0
DHCP running
*** Press CTRL+T to stop DHCP and break into CFE menu ***
*** Press CTRL+T to stop auto run (1 seconds) ***
Auto run second count down: 0
Booting from latest image (0xb8160000) ...
Code Address: 0x80010000, Entry Address: 0x80320000
Booting version 10.08.24
Decompression OK!
Entry at 0x80320000
Closing network.
Disabling Switch ports.
Flushing Receive Buffers...
0 buffers found.
Closing DMA Channels.
Starting program at 0x80320000
CIT software version: h1p-10.08.24

Current software license: 26 144
S/N: 728/08295
........
Default configuration used

Parsing text mode configuration ...
Configuration parsed
Initializing
Press any key to get started

El equipo arrancará finalmente y se situará en el “prompt” con el siguiente mensaje:
Teldat (c)2001-2011
Router model H1+ WL USB IPSec SNA VoIP T+ 26 48 CPU MIPS32 S/N: 728/10146
1 LAN, 1 WLAN
CIT software version: 10.08.12.01.09 Jul 11 2011 14:38:00
*
Press any key to get started
La version mínima recomendada por el fabricante con la que debe llegar el equipo es la 10.08.24
Si no se tiene acceso por consola se puede acceder por puerto Ethernet luego de un reset por
defecto con el botón externo se debe configurar un PC con una IP del segmento 192.168.1.0/24
que no sea la 192.168.1.1 o la 192.168.1.100 y se realiza un telnet a alguna de las dos conectando
el PC a alguno de los puerto LAN 1 a LAN4
3.2 ELIMINACION CONFIGURACION POR COMANDOS
Dentro de la consola del Teldat ingresamos a process 4
REDEBAN *process 4
REDEBAN Config>
Y aplicamos el comando de “no configuration”
REDEBAN Config>no configuration
Salvamos cambios
REDEBAN Config>save yes

Building configuration as text... OK
Writing configuration... OK on Flash as IPSEC
REDEBAN Config>
Luego damos end para regresar a modo global
REDEBAN Config>end
REDEBAN *
Y por ultimo reiniciamos el equipo el cual arrancara con la configuración por defecto
REDEBAN *restart

4 ESCENARIOS APLICACIÓN TELMEX COLOMBIA
4.1 Configuracion para servicio estándar soluciones transaccionales.
4.1.1 Escenario básico. Un solo enlace 3G(Una sola SIMCARD).
Por políticas de la compañía, cuando se va a activar un servicio a través de 3G, siempre se debe
preferir el operador móvil de CLARO. Por lo tanto el ejemplo mostrado se aplica a dicho escenario.
No se tiene enlace Ppal en fibra. Este escenario es utilizado para soluciones de cajeros u oficinas de
clientes con tráfico transaccional que requieran poco ancho de banda y baja exigencia en las
condiciones de disponibilidad del canal.
CLIENTE Config>show config

; Showing Menu and Submenus Configuration for access-level 15 ...
; H1+ WAN WL USB IPSec SNA VoIP T+ Router 26 144 Version 10.08.24
log-command-errors
no configuration
set hostname CLIENTE
add device ppp 1
add device tnip 1
add device eth-subinterface ethernet0/0 2 --> Vlan 2 se asigna hacia la LAN del cliente.
set data-link at cellular0/0

user gestion hash-password FDB49F1336B5F1BF51A0D9E394621D01

;
global-profiles dial
; -- Dial Profiles Configuration --
profile H1 default
profile H1 dialout
profile H1 3gpp-accessibility-control traffic 100 all
profile H1 3gpp-apn telmex.corp.comcel.com.co --> APN asociado a la SIMCARD.
profile H1 3gpp-restart-on-disc
profile H1 3gpp-restart-on-cnxs-fails 6 30s
;
exit
;
global-profiles ppp
; -- PPP Profiles Configuration --
lcp-options cellular1/1 default
lcp-options cellular1/1 acfc
lcp-options cellular1/1 pfc
lcp-options cellular1/1 accm 0
;
exit
;
network cellular1/0
; -- Interface AT. Configuration --
coverage-timer 10
;
network mode automatic
network domain cs+ps
exit
;
;
network ppp1
; -- Generic PPP User Configuration --
ip address unnumbered
;
;
ppp
; -- PPP Configuration --
authentication sent-user web ciphered-pwd 0x19A02514F479EDB1
ipcp local address assigned
no ipcp peer-route
lcp echo-req off
exit
;
base-interface
; -- Base Interface Configuration --
base-interface cellular1/1 link
base-interface cellular1/1 profile H1 --> Asociación de la interfaz celular con el perfil de
configuracion 3G(APN)
;
exit
;
exit
;
;
network tnip1
; -- IP Tunnel Net Configuration --
ip address 10.8.1.158 255.255.255.252 --> PEER Dir IP TUNEL 3G
;
;
ip mtu 1410
;
enable
mode gre ip
source ppp1 --> IP que toma la SIMCARD del Operador móvil.
destination 172.25.0.1 --> IP de la loopback en el router de interconexión (Asociada al APN)
keepalive 10s 1
exit
;
network ethernet0/0.2
; -- Ethernet Subinterface Configuration --
description LAN_CLIENTE
;
ip address 10.240.10.81 255.255.255.248
ip address 10.200.61.73 255.255.255.248 secondary
;
;
encapsulation dot1q 2
;
exit
;
protocol ip
; -- Internet protocol user configuration --
route 172.25.0.1 255.255.255.255 ppp1 --> Asegura la alcanzabilidad del tunel remoto.
route 0.0.0.0 0.0.0.0 tnip1 distance 200
;
;
exit
;
;
feature vlan
; -- VLAN configuration --
enable
;
vlan 2 ethernet0/0 port internal
vlan 2 ethernet0/0 port 2
;
tag-default ethernet0/0 port 1 xxxx --> Por estandar se deja para la VLAN xxx de conexion WAN
tag-default ethernet0/0 port 2 2 --> Asociacion de la VLAN de LAN(2) con los puertos fisicos.
tag-default ethernet0/0 port 3 2
;
tag-insertion ethernet0/0 port internal
;
tag-removal ethernet0/0 port 2 --> Puertos LAN que quedan como acceso.
tag-removal ethernet0/0 port 3
;
exit
;
dump-command-errors
end
CLIENTE Config>

4.1.2 Escenario de conexión fibra como enlace ppal wan y enlace backup por 3G
CLIENTE Config>show config

log-command-errors
no configuration
set hostname CLIENTE
add device ppp 1
add device tnip 1
add device eth-subinterface ethernet0/0 2  Vlan 2 se asigna hacia la LAN del cliente.
add device eth-subinterface ethernet0/0 3520  Vlan hacia la WAN –Red metro Telmex.
user gestion hash-password FDB49F1336B5F1BF51A0D9E394621D01
;

profile H1 default
profile H1 dialout
profile H1 3gpp-accessibility-control traffic 100 all
profile H1 3gpp-apn telmex.corp.comcel.com.co  APN asociado a la SIMCARD.
profile H1 3gpp-restart-on-disc
profile H1 3gpp-restart-on-cnxs-fails 6 30s
;
exit
;
global-profiles ppp
;
exit
;
network cellular1/0
coverage-timer 10
;
exit
;
;
network ppp1
;
;
ppp
authentication sent-user web ciphered-pwd 0x19A02514F479EDB1
no ipcp peer-route
lcp echo-req off
exit
;
base-interface
base-interface cellular1/1 profile H1

;
exit
;
exit
;
;
network tnip1
ip address 10.8.1.158 255.255.255.252
;
;
ip mtu 1410
;
enable
mode gre ip
source ppp1  IP que toma la SIMCARD del Operador móvil.
destination 172.25.0.1  IP de la loopback en el router de interconexión (Asociada al APN)
keepalive 10s 1
exit
;
description LAN_CLIENTE
;
ip address 10.240.10.81 255.255.255.248
ip address 10.200.61.73 255.255.255.248 secondary
;
;
;
;
exit
;
description WAN_TELMEX
;
ip address 10.161.139.166 255.255.255.252
;
;
exit
;
protocol ip
router-id 10.161.139.166
;
route 172.25.0.1 255.255.255.255 ppp1
route 0.0.0.0 0.0.0.0 tnip1 distance 200
;
;
exit
;
;
;
protocol bgp  Establecimiento BGP por el enlace PPal de fibra – WAN TELMEX -
; -- Border Gateway Protocol user configuration --
enable
;
as 65535
export as 14080 prot direct 10.240.10.80 mask 255.255.255.248
export as 14080 prot direct 10.200.61.72 mask 255.255.255.248
;
group type external peer-as 14080
; -- BGP group configuration --
peer 10.161.139.165
peer 10.161.139.165 hold-time 15s
exit
;
import as 14080 all
;
exit
;
feature vlan
; -- VLAN configuration --
enable
;
;

;
tag-insertion ethernet0/0 port internal
;
;
exit
;
;
;
dump-command-errors
end
CLIENTE Config>
4.1.2.1 PRUEBAS DE SERVICIO
Validación establecimiento BGP
CLIENTE BGP+routes
Con este comando vemos la tabla de enrutamiento BGP
Validación conocimiento IP lado IS
CLIENTE BGP+routes 190.144.226.4 255.255.255.252 received_from_peer 10.161.139.165

Flags: A active, M multipath, D deleted, N not install, I incomplete
Proto Route/Mask NextHop Pref Pref2 Metr Metr2 ASPath
A---- BGP 190.144.226.4/30 10.161.139.165 170 0 0 none (65535) 14080
Incomplete (Id 3)( a02010)
CLIENTE BGP+
Verificación en PE
GCHICONORTE#sh ip bgp vpnv4 vrf saturacion-nov2 neighbors 10.161.139.166 routes

BGP table version is 334823171, local router ID is 10.10.66.107

Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,

r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path

Route Distinguisher: 100:3474 (default for vrf saturacion-nov2)
*> 10.200.61.72/29 10.161.139.166 1 0 65535 ?
* 10.240.10.80/29 10.161.139.166 1 0 65535 ?
Total number of prefixes 2

GCHICONORTE#
Realizamos pruebas de PING y Traza desde el Teldat hacia la IP 190.144.226.6 lo hacemos desde
P 3 en protocol ip
CLIENTE IP+traceroute 190.144.226.6 source 10.240.10.81
Press any key to abort.
Tracing the route to: 190.144.226.6 [],

Protocol: UDP, 30 hops max, 56 byte packets
1 141 ms 149 ms 139 ms 10.161.139.165

2 132 ms 129 ms 129 ms 10.161.31.174
3 142 ms 129 ms 129 ms 190.144.226.6
Trace complete.
CLIENTE IP+
Con lo cual validamos conectividad OK por la Wan de Fibra
Dejamos el ping extendido y desconectamos la Wan de Fibra en el CPE Teldat
Realizamos verificación de ping y traza de nuevo
CLIENTE IP+ping 190.144.226.6 source 10.240.10.81
PING : 56 data bytes

64 bytes from 190.144.226.6: icmp_seq=1. time=314. ms
---- PING Statistics----

7 packets transmitted, 5 packets received, 28% packet loss
round-trip (ms) min/avg/max = 314/428/834
CLIENTE IP+
Con esto Garantizamos que el Paquete pasa por el Backup 3G

1 1747 ms 369 ms 389 ms 10.8.1.157

2 * 722 ms 449 ms 10.161.57.121
3 382 ms 459 ms 399 ms 10.161.31.173
4 372 ms 389 ms 439 ms 190.144.226.6
Trace complete.
CLIENTE IP+
Subimos de nuevo la Wan de Fibra y validamos que retorne por el ppal.
CLIENTE IP+ping 190.144.226.6 source 10.240.10.81
PING : 56 data bytes

---- PING Statistics----

4 packets transmitted, 3 packets received, 25% packet loss
round-trip (ms) min/avg/max = 1/1/1
CLIENTE IP+

1 1 ms 2 ms 1 ms 10.161.139.165
2 2 ms 2 ms 2 ms 10.161.31.174
3 1 ms 1 ms 1 ms 190.144.226.6
Trace complete.
CLIENTE IP+
4.1.3 Escenario de conexión con 2 SIMCARD,
DEMO_2SIMCARD Config>show all-config

log-command-errors
no configuration
set hostname CLIENTE_COD-SERVICIO
add device ppp 1  Se definen en el equipo las interfaces túneles que soportarán la conexión 3G.
add device ppp 2
add device tnip 1
add device tnip 2

add device tnip 3

add device loopback 2
add device loopback 7
feature access-lists
; -- Access Lists user configuration --
access-list 100
entry 1 default
entry 1 permit
entry 1 source address 4.4.4.0 255.255.254.0
entry 1 destination address 172.16.116.0 255.255.255.0
;
exit
;
exit
;
profile TIGO default
profile TIGO dialout
profile TIGO local-address 222222222
profile TIGO 3gpp-accessibility-control traffic 100 all
profile TIGO 3gpp-apn xxxxxxxxx  APN para la conexión 3G de Backup (TIGO)
profile TIGO 3gpp-restart-on-disc
;
profile COMCEL default
profile COMCEL dialout
profile COMCEL local-address 111111111
profile COMCEL 3gpp-accessibility-control traffic 100 all
profile COMCEL 3gpp-apn xxxxxxx.comcel.com.co  APN para la conexión 3G Ppal (COMCEL)
profile COMCEL 3gpp-restart-on-disc
;
exit
;
global-profiles ppp
;
exit
;
;
network ethernet0/0
; -- Ethernet Interface User Configuration --
ip address 4.4.4.1 255.255.254.0
;
exit
;
;
network cellular1/0
coverage-timer 10
;
;
sim external-socket-1 pin ciphered 0x41EDDF31006925E8
sim external-socket-1 local-address 111111111  Asocia la SIM externa al perfil de COMCEL.
sim internal-socket-2 pin ciphered 0xB3B6C6B3352F6A10
sim internal-socket-2 local-address 222222222  Asocia la SIM interna al perfil de TIGO(Backup).
sim supervision enable
sim return-criteria time after 10
sim return-criteria registration-lost over 1
sim registration-criteria lost over 1
sim return-criteria nsla-advisor 7
sim nsla-criteria nsla-advisor 5
;
exit
;
;
network ppp1  Interfaz lógica PPP para conexión PPAL por COMCEL
;
ppp
no ipcp peer-route
lcp echo-req off
exit
;
base-interface
base-interface cellular1/1 profile COMCEL
;
exit
;
exit
;
;
network ppp2  Interfaz lógica PPP para conexión alterna por TIGO
;
ppp
no ipcp peer-route
lcp echo-req off
exit
;
base-interface
base-interface cellular1/1 profile TIGO
;
exit
;
exit
;
network tnip1  Túnel GRE enlace PPAL 3G
description 3G_PPAL_COMCEL_A_TELMEX_MPLS
;
ip address 10.3.1.6 255.255.255.252
;
enable
mode gre ip
source ppp1  Origen túnel.
destination 172.24.10.240  Destino delTúnel para PPAL 3G en Loopback router remoto.
path-mtu-discovery
exit
;
network tnip2
description 3G_BACKUP_TIGO_A_TELMEX_MPLS
;
ip address 10.3.0.2 255.255.255.252
;
;
;
;
enable
mode gre ip
source ppp2
destination 172.24.10.5  Destino delTúnel para backup 3G en Loopback router remoto.
path-mtu-discovery
exit
;
;
event
; -- ELS Config --
enable trace subsystem SPF ALL
exit
;
feature ssh
; -- SSH protocol configuration --
server
; -- SSH Server --
enable
exit
;
feature nsm
; -- Network Service Monitor configuration --
operation 1
; -- NSM Operation configuration --
type echo ipicmp 10.15.0.10
frequency 3
timeout 1500
exit
;
operation 2
; -- NSM Operation configuration --
type echo ipicmp 10.16.0.2
frequency 3
timeout 1500
exit
;
schedule 1 life forever
schedule 1 start-time now
schedule 2 life forever
schedule 2 start-time now
exit
;
feature nsla
; -- Feature Network Service Level Advisor --
enable
;
filter 5 nsm-op 1 rtt
filter 5 significant-samples 5
filter 5 activation threshold 2000
filter 5 activation sensibility 80
filter 5 activation stabilization-time 60
filter 5 deactivation threshold 1500
filter 5 deactivation sensibility 80
filter 5 deactivation stabilization-time 25
;
filter 7 nsm-op 2 rtt
filter 7 significant-samples 5
filter 7 activation threshold 2000
filter 7 activation sensibility 80
filter 7 activation stabilization-time 60
filter 7 deactivation threshold 1500
filter 7 deactivation sensibility 80
filter 7 deactivation stabilization-time 25
;
alarm 5 filter-id 5
;
alarm 7 filter-id 7
;
advisor 5 alarm-id 5
;
advisor 7 alarm-id 7
;
exit
;
protocol ip
route 172.24.10.240 255.255.255.255 ppp2 230

route 172.24.10.5 255.255.255.255 ppp1
route 10.200.8.0 255.255.255.0 tnip1
route 10.200.69.0 255.255.255.0 tnip1
route 172.16.116.0 255.255.255.0 tnip1
route 3.3.3.0 255.255.255.0 tnip1
route 10.200.160.0 255.255.255.0 tnip1
route 10.200.8.0 255.255.255.0 tnip2 230
route 10.200.69.0 255.255.255.0 tnip2 230
route 172.16.116.0 255.255.255.0 tnip2 230
route 3.3.3.0 255.255.255.0 tnip2 230
route 10.200.160.0 255.255.255.0 tnip2 230
route 172.17.253.0 255.255.255.0 tnip2 230
route 10.111.111.5 255.255.255.255 tnip1
route 10.111.111.5 255.255.255.255 tnip2 230
route 172.17.253.0 255.255.255.0 10.3.0.1
;
classless
;
exit
;
dump-command-errors
end
DEMO_2SIMCARD Config>
Verificación de la operación del servicio 3G cuando está por el canal de BACKUP:
TELDAT H1 cellular1/1 AT+list

Daughter Board = SOFTUSB Device Adapter
Module Manufacturer = QISDA
Module Model = H20
Module Firmware = Qisda Build Ver: 7225A-SLCAAVZA-3240,SW Ver: 1.09,Boot
Block ver
IMEI = 353030020124376
IMSI = 732101039502566
SIM Card ICC = 89571010009137833383
Drop by ping failed =0
Drop by tracert failed =0
Drop by traffic failed =0
Dialers registered = BACKUP, PPAL
Current dialer registered = BACKUP
State = (5) CONNECT
Call request =5
Access Point Name = telmexath.comcel.com.co

Total connection time = 30 minutes 36 seconds
Current connection time = 30 minutes 36 seconds
Time to stablish connection = 3 sec
Module Reset detected =4
Cuando se sube el servicio por el canal principal de 3G:
TELDAT H1 cellular1/1 AT+list

Daughter Board = SOFTUSB Device Adapter
Module Manufacturer = QISDA
Module Model = H20
Module Firmware = Qisda Build Ver: 7225A-SLCAAVZA-3240,SW Ver: 1.09,Boot
Block ver
IMEI = 353030020124376
IMSI = 732103015950559
SIM Card ICC = 89577321030159505593
Drop by ping failed =0
Drop by tracert failed =0
Drop by traffic failed =0
Dialers registered = BACKUP, PPAL
Current dialer registered = PPAL
State = (5) CONNECT
Call request =1
Access Point Name = telmex.ath
Total connection time = 59 seconds
Current connection time = 59 seconds
Time to stablish connection = 2 sec
Verificación en router de interconexión en COMCEL:
COMCEL_VENECIA#sh run int tun 18

interface Tunnel18
description --- TUNNEL-COMCEL-BPOPULAR-3G ---
ip vrf forwarding AvalBogBPO
ip address 192.168.28.1 255.255.255.252
no ip route-cache cef
tunnel source 192.168.107.105
tunnel destination 192.168.100.1
tunnel vrf AvalBogBPO
end
COMCEL_VENECIA#
ip route vrf AvalBogBPO 10.100.76.0 255.255.254.0 Tunnel18 name INTERWAN_SIMCARD_BPOP (TODAS

LAS OFICINAS)
COMCEL_VENECIA#
ip route 192.168.100.1 255.255.255.255 192.168.107.30 name APN ---> DEBERIA ESTAR APUNTADO A LA
VRF AVALBogBPO.EL TUNEL ACTUALMENTE ESTA CAIDO.
Verificación en router de interconexión en TIGO:
address-family ipv4 vrf AvalBogBPO

redistribute static route-map FILTRO_BPOPULAR-3G
redistribute ospf 3 vrf AvalBogBPO metric 110 match internal external 2
neighbor 10.161.105.165 remote-as 14080
neighbor 10.161.105.165 description TELMEX BANCO POPULAR BACKUP - BPP0994
neighbor 10.161.105.165 timers 10 30
neighbor 10.161.105.165 activate
neighbor 10.161.105.165 route-map BACKUP_BPO in
no synchronization
exit-address-family
TELM_INTERCONEXION3G#sh route-map FILTRO_BPOPULAR-3G

route-map FILTRO_BPOPULAR-3G, permit, sequence 10
Match clauses:
ip address prefix-lists: FILTRO_BPOPULAR-3G-LIST
Set clauses:
Policy routing matches: 0 packets, 0 bytes
TELM_INTERCONEXION3G# sh ip prefix-list FILTRO_BPOPULAR-3G-LIST
ip prefix-list FILTRO_BPOPULAR-3G-LIST: 5 entries
seq 5 deny 172.24.10.5/32
seq 15 deny 10.11.4.56/29
seq 25 deny 10.3.0.0/24 ge 25
seq 35 deny 172.22.126.0/23
seq 50 permit 0.0.0.0/0 le 32
TELM_INTERCONEXION3G#sh ip bgp vpnv4 vrf AvalBogBPO 10.200.8.0

BGP routing table entry for 100:16004:0.0.0.0/0, version 3463435
Paths: (1 available, best #1, table AvalBogBPO)
Not advertised to any peer
14080 64601
10.161.105.165 from 10.161.105.165 (10.10.66.107)
Origin IGP, localpref 50, valid, external, best
Extended Community: RT:100:16004
mpls labels in/out 6796/nolabel

TELM_INTERCONEXION3G#sh ip bgp vpnv4 vrf AvalBogBPO 172.16.116.0
BGP routing table entry for 100:16004:0.0.0.0/0, version 3463435
Paths: (1 available, best #1, table AvalBogBPO)
Not advertised to any peer
14080 64601
10.161.105.165 from 10.161.105.165 (10.10.66.107)
Origin IGP, localpref 50, valid, external, best
Extended Community: RT:100:16004
mpls labels in/out 6796/nolabel
TELM_INTERCONEXION3G#
4.2 Configuracion para servicio especial de encripción.
El router TELDAT está homologado por CLARO COLOMBIA para soportar servicios de
encripción IPSec. Su arquitectura permite garantizar la confidencialidad de los datos así
como asegurar que el proceso de encripción y desencripción de paquetes sea llevado a cabo
por un componente de hardware (subprocesador) independiente al procesador que ejecuta las
labores de enrutamiento o “forwarding” de paquetes. Lo anterior se ajusta a los
requerimientos que la “Superintendencia”, en su circular 052, le exige a los clientes para sus
operaciones financieras. El fabricante TELDAT ha certificado ante CLARO COLOMBIA,
mediante carta, lo anteriormente mencionado.
Para configurar IPSec debemos seguir los siguientes pasos:

 Seleccionar el tráfico que queremos que sea cifrado.
 Habilitar el protocolo.
 Configurar Templates. (Definición de algoritmos, direcciones IP, gestión claves)
o ISAKMP
o DYNAMIC
o Configurar la Key-Preshared.
 Configurar SPD (Base de datos de Políticas de seguridad a aplicar)
A continuación se muestran las configuraciones de servicio de Encripción, utilizando los

siguientes parámetros:
Servicio o Protocolo de seguridad: ESP (Proporciona autenticación y confidencialidad de los
datos).
Se propone ejemplo trabajando en modo túnel entre direcciones IPs ya conocidas.
La gestión de claves (Renovación en el menor tiempo posible) se propone de forma
automática y no manual. Esto se hace con IPSec IKE (Internet Key Exchange) el cual opera

basado en la plataforma llamada ISAKMP).

Algoritmo de autenticación: MD5.
ipsec
; -- IPSec user configuration --
enable  Habilitación del protocol IPSec.
assign-access-list 100
;
template 1 default
template 1 isakmp aes128 md5
template 1 source-address 172.46.0.113
template 1 destination-address 10.136.1.27
template 1 ike group two
template 1 keepalive dpd
;
template 2 default
template 2 dynamic esp aes128 md5
template 2 source-address 172.46.0.113
template 2 destination-address 10.136.1.27
;
map-template 100 2
key preshared ip 10.136.1.27 ciphered 0x747D31056EF9C9CAC
advanced keep-alive packets 300
advanced keep-alive timeout 8
advanced dpd packets 8
advanced dpd interval 300
exit
;
exit
;
access-list 100
entry 1 default
entry 1 permit
;
entry 2 default
entry 2 permit
;
entry 3 default
entry 3 permit
;
entry 4 default
entry 4 permit
;
entry 5 default
entry 5 permit
;
entry 6 default
entry 6 permit
;
exit
;
;
protocol ip
route 0.0.0.0 0.0.0.0 ppp1
classless
;
network loopback10
; -- Loopback interface configuration --
ip address 172.46.0.113 255.255.255.255
;
TELDAT H1 Config>
Para mayor detalle en configuraciones asociadas a servicios de encripción sobre TELDAT y

comandos de monitoreo del servicio se puede consultar la documentación publicada por
Ingeniería en:
DIRECCION DE OPERACIONES  GERENCIA DE INGENIERIA  PRODUCTOS Y SERVICIOS IP DATA EQUIPOS 

TELDAT H1+  CAPACITACION  CTVPN. Documento CTVPN.PDF

4.3 Configuración control de acceso y seguridad del equipo.
El siguiente es un scrip ejemplo de configuración para ofrecer privilegios, hasta cierto nivel,
de monitoreo y ejecución de algunos comandos.
; -- Privilege Configuration --
privilege 7 ">config>feature *>*"
privilege 7 ">config>network *>*"
privilege 7 ">config>ping *"
privilege 7 ">config>protocol ip>access-control>*" all
privilege 7 ">config>protocol ip>access-group *" all
privilege 7 ">config>protocol ip>address *" all
privilege 7 ">config>protocol ip>administrative-distance *" all
privilege 7 ">config>protocol ip>aggregation-route *" all
privilege 7 ">config>protocol ip>broadcast-address *" all
privilege 7 ">config>protocol ip>classless *" all
privilege 7 ">config>protocol ip>description *" all
privilege 7 ">config>protocol ip>directed-broadcast *" all
privilege 7 ">config>protocol ip>dns-domain-name *" all
privilege 7 ">config>protocol ip>filter *" all
privilege 7 ">config>protocol ip>icmp-redirects *" all
privilege 7 ">config>protocol ip>icmp-unreachables *" all
privilege 7 ">config>protocol ip>id-route *" all
privilege 7 ">config>protocol ip>internal-ip-address *" all
privilege 7 ">config>protocol ip>ip-param *" all
privilege 7 ">config>protocol ip>list *" all
privilege 7 ">config>protocol ip>local *" all
privilege 7 ">config>protocol ip>management-ip-address *" all
privilege 7 ">config>protocol ip>multipath *" all
privilege 7 ">config>protocol ip>nat>*" all
privilege 7 ">config>protocol ip>no *" all
privilege 7 ">config>protocol ip>policy *" all
privilege 7 ">config>protocol ip>pool *" all
privilege 7 ">config>protocol ip>proxy-arp>*" all
privilege 7 ">config>protocol ip>proxy-igmp>*" all
privilege 7 ">config>protocol ip>route *" all
privilege 7 ">config>protocol ip>router-id *" all
privilege 7 ">config>protocol ip>rule *" all
privilege 7 ">config>protocol ip>tvrp>*" all
privilege 7 ">config>protocol ip>vrf>*" all
privilege 7 ">config>protocol ip>vrrp>*" all
privilege 7 ">config>protocol>*" all
privilege 7 ">config>save yes" all
privilege 7 ">config>set *" all

privilege 7 ">config>time list" all
privilege 7 ">logout" all
privilege 7 ">monitor>*" all
privilege 7 ">process 2>*" all
;
privilege 8 ">config>feature access-lists>*" all
privilege 8 ">config>network ethernet0/0"
privilege 8 ">config>ping *"
privilege 8 ">config>protocol ip>ipsec>*" all
privilege 8 ">config>save yes" all
privilege 8 ">logout" all
privilege 8 ">monitor>*"
privilege 8 ">monitor>event>*" all
privilege 8 ">monitor>feature access-lists>*" all
privilege 8 ">monitor>network *>*" all
privilege 8 ">monitor>protocol ip>ipsec>*" all
privilege 8 ">process 2>*" all
;
;
user telmex hash-password CD4FA7FF12022E650B04EBC1EB088660
user telmex access-level 7 strict
;
user popular hash-password 2FD4CCAF02390266456AAA60EDF08BFB
user popular access-level 8 strict
4.3.1 Habilitar el SSH y deshabilitar el TELNET.
p5
Config$
user teldat password teldat

;
feature ssh
; -- SSH protocol configuration --
server
; -- SSH Server --
enable

exit
exit
Para deshabilitar el telnet, se debe poner un número máximo de sesiones permitidas= 0, lo

que quiere decir que por telnet no se va a abrir ningún socket TCP.
set telnet
; -- Telnet user configuration --
set max-telnets 0
exit
;
4.3.2 Habilitar listas de acceso para control de acceso a la gestión del equipo via WAN/LAN.
La idea es que en la lista de acceso solo se permita acceder al equipo via SSH desde la red
10.X.X.X.
p5
Config$
feature access-lists
access-list 100
;
; Entrada 1 denegando el telnet hacia la wan del equipo.
entry 1 default
entry 1 deny
entry 1 destination port-range 23 23
entry 1 protocol tcp
;
; Entrada 2 permitiendo el SSH
entry 2 default
entry 2 permit
;
; Entrada 3 permitiendo otros tráficos que deban ir por la wan
entry 3 default
entry 3 permit

;
entry 4 default
entry 4 permit
;
entry 5 default
entry 5 permit
;
entry 6 default
entry 6 permit
;
entry 7 default
entry 7 permit
;
; Entrada 8 denegando el resto de tráfico
entry 8 default
entry 8 deny
;
;
exit
;
;
exit
Luego se aplica ésta lista de acceso en la interfaz WAN, en sentido IN , por ejemplo:
ip access-group 100 in
exit
4.3.3 Tambien controlar el tiempo de permanencia de una sesión.
Para no dejar sesiones remotas al equipo, se puede activar el parámetro "innactivity-timer" con un
temporizador para cerrar sesiones sin actividad: (El valor numérico es en minutos):
P5
Config$ set inactivity-timer 5

5 TROUBLESHOOTING
Monitoreo potencia de señal recibida:
REDE_RMC0587 cellular1/0 AT+network status

Querying...Please wait...
Registration state: Home network
PLMN Public Land Mobile Network code: 732101
PLMN Public Land Mobile Network name: COMCEL
Cell Location Area Code 0x3aac (15020), Identification 0xabe2 (44002)
System Mode WCDMA
Available module bands:
"GSM850","GSM900","GSM1800","GSM1900","UMTS850","UMTS1900","UMTS2100" (00df)
Available band: "UMTS850"
Network technology currently in use: HSDPA/HSUPA
UTRAN Radio Frequency Channel Number: 1037
Receive signal code power of the active set's strongest cells(RSCP): -86 dBm
Total energy per chip per power density value of set's strongest cells(EcIo): -5 dB
Last EcIo measured in WCDMA DATA mode: -5 dB
Primary Scrambling Code (PSC) 0x0009 (9)
RRC State: 3 - CELL_PCH
RX level (dBm):-85
Coverage level: 3 (*** )
El nivel de potencia ideal sería -53 dBm o menor, pero debe funcionar sin problemas hasta en -70
dBm, y el proveedor informa que ha tenido casos de funcionamiento hasta en -93 dBm en sitios de
muy baja cobertura con tiempos altos y algunas perdidas de paquetes. En tales situaciones se pueden
adquirir antenas especiales de mayor ganancia.

AnexoTécnico - Teldat h1+ - v1 0 - 16ene2013

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AnexoTécnico - Teldat h1+ - v1 0 - 16ene2013

Uploaded by

Copyright:

Available Formats

CONFIGURACION ROUTER TELDAT H1+

ANEXO TECNICO DE SERVICIO

Este documento contiene secretos del negocio e

Ultima actualización: Bogotá, Diciembre de 2011

Confidencial Pag. 1 16/01/2013

Fecha de Ver Cambiado Secciones Motivo del cambio

Confidencial Pag. 2 16/01/2013

2 ACERCA DEL EQUIPO .......................................................................................................................................... 5

3 CONFIGURACIONES EN EQUIPO TELDAT .................................................................................................... 6

3.1 CONFIGURACION POR DEFECTO. ........................................................................................................... 6

4 ESCENARIOS APLICACIÓN TELMEX COLOMBIA ...................................................................................... 9

4.1 Configuracion para servicio estándar soluciones transaccionales................................................................ 9

Confidencial Pag. 3 16/01/2013

Version y Alcance del documento

El documento queda publicado para su consulta en la siguiente ruta de la intranet(web):

DIRECCION DE OPERACIONES  GERENCIA DE INGENIERIA  PRODUCTOS Y SERVICIOS IP DATA EQUIPOS 

Confidencial Pag. 4 16/01/2013

2 ACERCA DEL EQUIPO

El TELDAT H1+ es un equipo compacto y sencillo. Posee 1 puerto GigaEthernet para

3 CONFIGURACIONES EN EQUIPO TELDAT

3.1 CONFIGURACION POR DEFECTO.

CFE version 1.0.37-102.9-03 for BCM96368 (32bit,SP,BE)

Parallel flash device: name AM29LV320MT, id 0x2201, size 16384KB

*** default configuration required ***

Board IP address : 192.168.1.1:ffffff00

Default host flash file name :

CIT software version: h1p-10.08.24

Default configuration used

Press any key to get started

Confidencial Pag. 7 16/01/2013

El equipo arrancará finalmente y se situará en el “prompt” con el siguiente mensaje:

3.2 ELIMINACION CONFIGURACION POR COMANDOS

Dentro de la consola del Teldat ingresamos a process 4

Y aplicamos el comando de “no configuration”

REDEBAN Config>no configuration

REDEBAN Config>save yes

Luego damos end para regresar a modo global

Confidencial Pag. 8 16/01/2013

4 ESCENARIOS APLICACIÓN TELMEX COLOMBIA

4.1 Configuracion para servicio estándar soluciones transaccionales.

4.1.1 Escenario básico. Un solo enlace 3G(Una sola SIMCARD).

CLIENTE Config>show config

Confidencial Pag. 9 16/01/2013

user gestion hash-password FDB49F1336B5F1BF51A0D9E394621D01

Confidencial Pag. 12 16/01/2013

CLIENTE Config>show config

Confidencial Pag. 13 16/01/2013

base-interface cellular1/1 profile H1

tag-default ethernet0/0 port 2 2

4.1.2.1 PRUEBAS DE SERVICIO

Validación establecimiento BGP

Con este comando vemos la tabla de enrutamiento BGP

Validación conocimiento IP lado IS

CLIENTE BGP+routes 190.144.226.4 255.255.255.252 received_from_peer 10.161.139.165

GCHICONORTE#sh ip bgp vpnv4 vrf saturacion-nov2 neighbors 10.161.139.166 routes

Confidencial Pag. 17 16/01/2013

Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,

Network Next Hop Metric LocPrf Weight Path

Total number of prefixes 2

CLIENTE IP+traceroute 190.144.226.6 source 10.240.10.81

Press any key to abort.

Tracing the route to: 190.144.226.6 [],

1 141 ms 149 ms 139 ms 10.161.139.165

* default configuration required *