Professional Documents
Culture Documents
Permite a una organizacin aparentar usar su red de IP con direcciones diferentes a las que realmente usa. Permite convertir espacio de IP no enrutable en direcciones enrutables. Permite cambiar de ISP de una forma amigable. Definido en el RFC 1631
Posibles esquemas
Las direcciones de las LANs no son enrutables. Por medio del NAT se logra un acceso a Internet
Internet
NAT
LAN 3
LAN 1 LAN 2
Espacio de IP no enrutable
Posibles esquemas
La traslacin puede ser aplicada slo a algunos segmentos (LANs 1-3) sin afectar a los servidores que necesiten una direccin fija de IP.
NAT
Internet
LAN 3
LAN 4
Espacio de IP enrutable
LAN 1 LAN 2
Espacio de IP no enrutable
Trminos
Inside local address
La direccin de IP asignada a un host en la red interna. La direccin es probablemente no legtima.
Tipos de NAT
Traslacin Esttica
Establece un mapeo uno-a-uno entre una direccin inside local y una direccin inside global. Es til cuando un host debe ser accesible desde el exterior mediante una direccin fija.
Traslacin Dinmica
Establece un mapeo entre las direcciones inside local y un pool de direcciones globales.
Configuracin de NAT
ip nat {inside | outside} ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} ip nat inside source {list {access-list-number | name} pool name | static local-ip global-ip} ip nat translation timeout seconds
Ejemplo
La red local sale a Internet por el ISP1 con direcciones ISP2 propias. La red en el Eth 1 del Router C sale por el ISP2 haciendo NAT con el Router B Routers A,B y C deben correr un IGP. Router C debe tener una ruta esttica de ltimo recurso apuntando hacia Router B. ste debe apuntar hacia el ISP2 y Router A hacia el ISP1
Internet
ISP1
s0
Router B Eth 0
s0
Router A Eth 0
Red Local
Configuracin
Router C
interface Ethernet0 ip address 132.250.88.1 255.255.255.0 ip address 132.250.89.1 255.255.255.0 secondary ! interface Ethernet1 ip address 132.250.101.6 255.255.255.0 ! router eigrp 2404 network 132.250.0.0 ! no ip classless ip route 0.0.0.0 0.0.0.0 132.250.101.5
Configuracin
Router B
ip nat translation timeout 7200 ip nat pool red-1 149.245.9.10 149.245.9.253 netmask 255.255.255.0 ip nat inside source list 1 pool red-1 interface Ethernet0 ip address 132.250.101.5 255.255.255.0 ip nat inside ! interface Serial0 ip address 200.23.215.242 255.255.255.252 ip nat outside ! router eigrp 2404 no ip classless ip route 0.0.0.0 0.0.0.0 200.23.215.241 network 132.250.0.0 access-list 1 permit 132.250.88.0 0.0.0.255 access-list 1 permit 132.250.89.0 0.0.0.255
172.16.0.0 - 172.31.255.255
(prefijo 172.16/12, 16 clases B contiguas)
192.168.0.0 - 192.168.255.255
(prefijo 192.168/16, 256 clases C contiguas)
Policy Routing
Policy routing es un mecanismo ms flexible para enrutar paquetes que ruteo basado en fuente. Es un proceso donde el enrutador pone paquetes en un route-map antes de enrutarlos. El route-map determina cual es el siguiente enrutador. Se puede habilitar policy routing si se desea que ciertos paquetes se enruten en alguna forma diferente al path ptimo.
Policy Routing
Router A y la red local salen por el ISP1
Internet
ISP2 ISP1
Router B y las redes conectadas a el salen por el ISP2 Eth 1 Router C debe salir por el ISP1 ISP1
Eth 0 Router C Eth 1
s0
Router B Eth 0
s0
Router A Eth 0
Red Local
Policy Routing
Router A y Router C se configuraran normalmente corriendo un IGP Router B
interface Ethernet0 ip address 131.170.79.3 255.255.255.0 ip policy route-map ruta_alterna ! router eigrp 6342 network 131.170.0.0 ! no ip classless ip route 0.0.0.0 0.0.0.0 131.170.79.2 access-list 2 permit 131.170.68.0 0.0.0.255 access-list 3 permit any route-map ruta_pabellon permit 10 match ip address 2 set ip default next-hop 131.170.79.1 ! route-map ruta_pabellon permit 20 match ip address 3
HSRP
Provee redundancia automtica entre dos enrutadores Cisco. Para IP, HSRP permite que un enrutador asuma las responsabilidades de un segundo enrutador si este segundo falla.
HSRP
3.3.3.10
3.3.3.1
3.3.3.2
Router A
1.1.1.1
Router B
1.1.1.2
1.1.1.10
HSRP
3.3.3.10
Ethernet 1
3.3.3.1
3.3.3.2
Router A
1.1.1.3 1.1.1.1
Router B
1.1.1.2
Ethernet 0
router-virtual
1.1.1.10
Terminologa
Active Router
El enrutador que actualmente est forwardeando paquetes como el enrutador virtual
Standby Router
Es el enrutador de respaldo primario
Standby Group
El grupo de enrutadores participand en HSRP que juntos emulan el enrutador virtual
Hello Time
El intervalo entre mensajes HSRP Hello enviados a un enrutador
Hold Time
El intervalo entre la recepcin de un Hello y la suposicin de que el enviante ha fallado
Funcionamiento (RFC2281)
Los enrutadores que esten dentro del mismo grupo contienden por ser el enrutador virtual. El que tenga la mayor prioridad se convierte en el enrutador activo (por default la prioridad=100). El siguiente enrutador en prioridad se convierte en el enrutador de respaldo. El enrutaador activo toma entonces control de la direccin de ip virtual y de la MAC address virtual (La direccin de ip es asignada por el administrador de la red, la asignacin de la MAC address es automtica, para detalles ver RFC2281 punto 6) El enrutador activo deber informar a los dems enrutadores de su disponibilidad mediante paquetes de hello. Estos paquetes deben enviarse en un perodo de tiempo(hello time) menor al hold time. En caso de que estos paquetes no se reciban, el enrutador de respaldo toma el control y se convierte en el nuevo enrutador activo. En cuanto el enrutador con mayor prioridad reenva paquetes de hello, una nueva contencin se lleva a cabo.
HSRP
hostname Router A ! interface ethernet 0 ip address 1.1.1.3 255.255.255.0 standby 1 ip 1.1.1.1 standby 1 preempt standby 1 priority 110 standby 1 authentication hsrp standby 1 timers 5 15 ! router eigrp 1 network 1.0.0.0 network 3.0.0.0 Default de timers 3 y 8 segundos hostname Router B ! interface ethernet 0 ip address 1.1.1.2 255.255.255.0 standby 1 ip 1.1.1.3 standby 1 preempt standby 1 authentication hsrp standby 1 timers 5 15 ! router eigrp 1 network 1.0.0.0 network 2.0.0.0
Monitoreo de HRSP
RouterA#show standby Vlan100 - Group 1 Local state is Active, priority 110, may preempt Hellotime 5 holdtime 15 Next hello sent in 00:00:01.484 Hot standby IP address is 1.1.1.1 configured Active router is local Standby router is 1.1.1.2 expires in 00:00:07 RouterB#show standby Ethernet4/1 - Group 1 Local state is Standby, priority 100, may preempt Hellotime 5 holdtime 15 Next hello sent in 00:00:01.808 Hot standby IP address is 1.1.1.1 configured Active router is 1.1.1.3 expires in 00:00:07 Standby router is local
Monitoreo de HSRP
RouterB#show standby brief P indicates configured to preempt. | Interface Grp Prio P State Active addr Standby addr Group addr Et0 1 100 P Standby 1.1.1.3 local 131.178.100.1
Tipos de VLANs
ATM - Ethernet/Token Ring
LANE
FastEthernet-Gigaethernet
ISL (Cisco) IEEE 802.1Q
ATM Switch
ATM Router
Layer 3 Switching
Beneficios de VLANs
Reduce costos administrativos Membresia fsicamente dispersa. Se puede limitar el dominio de broadcast Los usuarios pueden reasignarse a otra VLAN diferente mediante una aplicacin de administracin Proteccin de entrada a intrusos mediante polticas de membresa Los Servidores pueden estar en muchas VLANs al mismo tiempo Seguridad adicional mediante firewalls entre VLANs reforzadas por un router
Compartido Switched
Sistema de VLANs
Hub
VLANs
100Mb ISL Trunk
Tres dominios de broadcast va VLANs VLANs se mantienen separadas en las troncales Sin comunicacin inter-VLAN
LES/BUS
M AT
AT M
LES/BUS LES/BUS
100Mb Trunks
VLANs transportadas por el trunk VLANs deben ser mapeadas a ELANs Routeo entre ELANs
Ejemplo VLANs
FastEth 0.1 Vlan 101 ISL Switch-A Trunk Vlan 101 Router-1 FastEth 0.1 Vlan 1 ... FastEth 0.n Vlan n interface FastEthernet0/0 no ip address full-duplex ! interface FastEthernet0/0.1 description Conexion al Campus encapsulation isl 101 ip address 10.1.1.1 255.255.255.0 ! interface FastEthernet1/0 no ip address full-duplex ! interface FastEthernet1/0.1 encapsulation isl 1 ip address 10.10.10.1 255.255.255.0 ip helper-address 131.178.1.1 ! interface FastEthernet1/0.2 encapsulation isl 50 ip address 10.1.2.1 255.255.255.0
Fastethernet switch-1
Switch-2
Switch-3 Switch-4
Layer 3 switching
MPLS Multi-Protocol Label Switching (IETF), Tag Switching (Prop.Cisco) MLS Multi-Layer Switching (Propietario de Cisco) MPOA Multi-Protocol Over ATM (LANEATM) IP-switching (ATM, prop. de Ipsilon)
MPLS-Tag Switching
Incrementar la demanda de throughput Escalamiento Ingeniera de Trfico Incremento de la funcionalidad del enrutamiento de IP. Simplificar la integracin de ATM y tecnologas basadas en IP. La idea bsica es integrar la capa 3 del modelo OSI con la capa 2 (ATM). Obteniendo los beneficios de la rapidez de mover datos en ATM con hardware optimizado y las ventajas de lo protocolos de enrutamiento de IP.
MPLS-Tag Switching
En L3 convencional, cada vez que un paquete atraviesa una red, cada enrutador extrae la informacin de forwardeo del encabezado de nivel 3. Este anlisis se repite cuantas veces un paquete atraviese hops. En MPLS-TS, el encabezado de nivel 3 slo es analizado una vez. Entonces es mapeado a un pequeo prefijo llamado etiqueta (tag-label). En cada salto, la decisin de forwardeo es hecha solamente en el valor de la etiqueta. No hay necesidad de reanalizar el encabezado de nivel 3. Debido a que la etiqueta es de tamao fijo, esto es rpido y simple.
MPLS-Tag Switching
Una red MPLS-TS consiste en tag edge routers y tag switches. Tag edge routers se localizan en los lmites de la red y usan los protocolos estndares de enrutamiento para crear las tablas de enrutamiento. Basados en las tablas de enrutamiento, usan el Tag Distribution Protocol (TDP) para aplicar y distribuir etiquetas entre otros tag edge routers o tag switches. Tag switches estn localizados en el centro de la red. Estos reciben informacin a trvs de TDP y construyen su tabla de forwarding. Entonces mueven paquetes en base en etiquetas sin mirar al encabezado de L3.
MPLS-Tag Switching
Tag edge router Tag Switch (Switch ATM o enrutador
MLS
MLS provee conmutacin a nivel 3 basado en hardware para algunas de las series de switches Cisco. MLS conmuta flujos de paquetes de IP unicast entre subredes usando circuitos integrados para aplicaciones avanzadas de uso especfico (ASIC). Esta conmutacin en hardware, permite la descarga de procesamiento de los enrutadores tradicionales. Los paquetes son conmutados de esta forma siempre y cuando se tenga un path entre los dos host que los generan.
MLS
Los paquetes que no tengan un path parcial o completo hacia sus destinos son enviados por enrutadores en la forma tradicional (OSPF, EIGRP, RIP, IS-IS). MLS provee estadsticas de trfico que pueden usarse para identificar las caractersticas de trfico para administracin, planeacin y resolucin de problemas. MLS usa NetFlow Data Export (NDE) para exportar estadsticas de flujos de trfico.
Componentes de MLS
Multilayer Switching-Switching Engine (MLS-SE)
La MLS-SE provee los servicios de Layer 3 LAN-switching .
MLS
Host A y Host B estn en diferente VLAN. EL primer paquete de A es enviado a su enrutador (gateway o MLSRP). EL MLS-SE identifica el flujo de trfico y las MAC Address involucradas (A, B y enrutador) y crea una entrada en su cache. (solo si el flujo fue vlido) El siguiente paquete de A a B es identificado nuevamente por el MLS-SE, al ya existir una tabla en el cache, el MLSSE intercepta el paquete y modifica el contenido del header de L2 (MAC fuente y destino) y el header de L3 (TTL, checksum)
MLS