Posts tagged "Cisco"

Redes: El comando network

Si precisamente hace unos días durante la realización del videotutorial #101 – OSPF y BGP – Redistribución | Capítulo 1 os comentaba la pequeña característica especial que tiene el comando “network” a la hora de emplearlo cuando configuramos IGPs (Interior Gateway Protocol) como OSPF o EIGRP, he encontrado esta estupenda entrada en el blog “Mis Libros de Networking” donde explican a la perfección su uso y sus características especiales.

Más allá de las configuraciones en sí mismas que podréis revisar accediendo al enlace, me parece realmente interesante mencionar el siguiente párrafo:

El comando network es el que se utiliza para definir en todos los casos qué interfaces del dispositivo participan del proceso de enrutamiento. Los efectos prácticos del comando son 3

1. Identifica las interfaces a través de las cuáles se publica información del protocolo de enrutamiento hacia los dispositivos vecinos.

2. Identifica las interfaces a través de las cuáles se recibe información del protocolo de enrutamiento publicada por los dispositivos vecinos.

3. La red o subred a la que está asociada la interfaz va a ser incluida en el proceso del protocolo de enrutamiento.

Queda bastante clara la explicación y lo que no es el comando network: no publica las redes que define sino que activa las interfaces que la dupla red / máscara incluye y son las redes asociadas a esas interfaces las que se terminarán publicando.

Os recomiendo que le echéis un vistazo al artículo al completo porque no tiene desperdicio.

# El comando Network en Mis Libros de Networking

Conceptos básicos de redes: Wildcards

La mayoría de veces que trabajemos con direcciones IPv4 haremos uso de las conocidas máscaras de red. Tenéis en el blog un post dedicado íntegramente al concepto de subnetting en el que se profundiza en el uso de las máscaras de red.

Si embargo no siempre se usan estas máscaras en las configuraciones de los routers. Existe otro concepto bastante extendido que, al igual que las máscaras de red, se usa como patrón para delimitar qué porción de la dirección IP introducida corresponde a la dirección de red y qué porción a las posibles direcciones de host. Este concepto se conoce como “wildcard”. 

No conozco si existe una traducción al castellano de este mecanismo y su traducción literal queda demasiado mal como para utilizarla en este artículo.

Las wildcards se caracterizan por ser un elemento complementario a las máscaras de red. El patrón que se aplica es, a diferencia de en éstas últimas, el opuesto: cuando hay un 0 se mantiene el valor y cuando hay un 1 se sustituye por un 0.

La mejor forma de entenderlo es con un ejemplo:

Si disponemos de una red /24 como la 192.168.0.1/24, sabemos que el 24 nos indica el número de 1’s que tiene la máscara de red asociada: 255.255.255.0. Si aplicamos la lógica AND entre esta máscara y la dirección IP tendremos como resultado la dirección de red: 192.168.0.x (Siendo x cualquier valor entre 0 y 255)

En el caso de las wildcards tendríamos que usar el número opuesto: 0.0.0.255 para obtener el mismo resultado.

De esta forma la máscara sería 00000000.00000000.00000000.11111111 y sólo en el caso de los 1’s existiría una sustitución por valor 0 en la dirección de red.

Existe un pequeño truco para obtener rápidamente qué valores tenemos disponibles como direcciones de host en una dupla dirección IP + wildcard.

Si por ejemplo disponemos de la dirección 10.0.0.0 con la wildcard 0.0.0.3 las direcciones de host disponibles serían de la 10.0.0.0 a la 10.0.0.3 ¿Sencillo verdad?

Así mismo, como sabemos que la máscara de red es la complementaria, tendríamos que en el ejemplo anterior, para la wildcard 0.0.0.3, nuestra máscara de red debería ser: 255.255.255.252

Se trata de un concepto relativamente sencillo pero que es vital conocer puesto que muchas configuraciones de protocolos de enrutamiento dinámicos, ACLs, route maps, etc., usan este elemento en lugar de las conocidas máscaras de red.

Seguridad en Redes: Arquitectura AAA

En entornos de seguridad informática, AAA representan las siglas para: Authentication (Autenticación), Authorization (Autorización) & Accounting (Registro).

Se trata de una arquitectura de seguridad que permite la gestión de acceso definiendo políticas de seguridad.

Una forma sencilla de recordar las diferencias entre cada una de las “As” de AAA es la siguiente:

Authentication = ¿Quién?

Mediante la autenticación, el sistema descubre quién es el usuario que está tratando de acceder a determinado recurso y, una vez identificado, le aplica las políticas de seguridad definidas en función de su rol

Authorization = ¿Acceso a qué?

Una vez el usuario ha sido autenticado, es decir, identificado, se le aplican las directivas de seguridad necesarias que, finalmente, le permitirán acceso o no a determinados recursos de la red. Esta fase, conocida como autorización, es en la que se definen estos recursos accesibles para determinados roles.

Accounting = Log.

La última A es la encarga de registrar todos los accesos y movimientos que se realicen a través del sistema de seguridad para disponer de esa información en cualquier momento. Esta parte de la arquitectura puede parecer la menos importante al ser la menos crítica durante la fase de acceso a los recursos pero es de vital importancia cuando se realizan análisis post-incidente para poder encontrar las causas raíz de una brecha de seguridad.

Fundamentalmente existen dos protocolos muy extendidos para la implementación de servicios AAA: RADIUS y TACACS+.

RADIUS

Es la versión pública y más extendida de protocolo AAA. Se trata de un protocolo cliente-servidor que proporciona los tres servicios AAA de forma centralizada y que se ha convertido en el modelo estándar de IETF.

TACACS+

Es la evolución del protocolo TACACS realizada por Cisco que permite añadir a la original autenticación de la que disponía éste de autorización y registro para así convertirlo en un protocolo AAA completo.

LAB: Configuración Básica de OSPF

Dado el siguiente escenario:

LAB_1

Tenemos dos routers asociados a dos redes LAN independientes que no tienen conectividad entre sí. El objetivo de este laboratorio será definir un área OSPF común en el que los routers intercambien las rutas a su redes internas a través de la misma.

Para ello configuramos en primer lugar el router de Valencia:

Empezaremos definiendo las interfaces. Al tratarse de un router de la serie 1700 sólo disponemos de una interfaz FastEthernet que será la que emplearemos para conectarnos con el router del ISP. Para emular la subred de Valencia asignaremos la IP del rango 10.1.0.0/16 a una interfaz Loopback que hará las funciones de equipo dentro de la subred.

interface FastEthernet0
 description ENLACE CON MADRID
 ip address 10.0.0.1 255.255.255.252

interface Loopback0
 ip address 10.1.0.1 255.255.0.0
!

Realizaremos el mismo proceso en el router de Madrid:

interface FastEthernet0
 description ENLACE CON VALENCIA
 ip address 10.0.0.5 255.255.255.252

interface Loopback0
 ip address 10.1.0.1 255.255.0.0

Y por último el router del ISP dispondrá de dos enlaces FastEthernet dedicados a cada sede:

interface FastEthernet0/0
 description ISP TO VALENCIA
 ip address 10.0.0.2 255.255.255.252
!
interface FastEthernet1/0
 description ISP TO MADRID
 ip address 10.0.0.6 255.255.255.252
!

Una vez configurados los equipos podemos comprobar que desde la LAN de Valencia no se alcanza la LAN de Madrid.

VALENCIA#ping 10.2.0.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Si observamos la tabla de enrutamiento veremos cómo, como es obvio, el router de Valencia sólo puede alcanzar las redes a las que está conectado.

VALENCIA#sh ip route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C       10.0.0.0/30 is directly connected, FastEthernet0
C       10.1.0.0/16 is directly connected, Loopback0

Para solucionar esta situación haremos uso de un protocolo de enrutamiento dinámico: OSPF.

Debemos definir un Área OSPF en la que los tres dispositivos intercambien rutas. Como el Router ISP no tiene rutas propias que intercambiar nos servirá exclusivamente de pasarela entre Valencia y Madrid.

Configuraremos de forma análoga OSPF tanto en Valencia como en Madrid.

VALENCIA
router ospf 1
 log-adjacency-changes
 network 10.0.0.0 0.0.0.3 area 0
 network 10.1.0.0 0.0.255.255 area 0

MADRID
router ospf 1
 log-adjacency-changes
 network 10.0.0.4 0.0.0.3 area 0
 network 10.2.0.0 0.0.255.255 area 0

Por último configuraremos OSPF en el ISP y observaremos como se producen las adyacencias oportunas.

router ospf 1
 log-adjacency-changes
 network 10.0.0.0 0.0.0.3 area 0
 network 10.0.0.4 0.0.0.3 area 0

Una vez el proceso converge, las rutas de todos los dispositivos han sido compartidas y nos encontramos con que las tablas de enrutamiento de los 3 routers han sufrido una actualización gracias al proceso OSPF. Esto nos va a permitir tener interconectividad entre las redes LAN de Madrid y Valencia.

VALENCIA#ping 10.2.0.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 36/52/96 ms

ISP#sh ip route
Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
C       10.0.0.8/30 is directly connected, FastEthernet2/0
O       10.2.0.1/32 [110/2] via 10.0.0.5, 00:07:28, FastEthernet1/0
O       10.1.0.1/32 [110/2] via 10.0.0.1, 00:07:28, FastEthernet0/0
C       10.0.0.0/30 is directly connected, FastEthernet0/0
C       10.0.0.4/30 is directly connected, FastEthernet1/0

Podéis descargaros la topología para GNS3  con la configuración aplicada desde el siguiente enlace:

http://www.sergiomadrigal.com/labs/OSPF1.zip

[CCNA-Voice] 2. Conceptos básicos: Interfaces FXS, FXO y DSP.

Cuando nos introducimos por primera vez en el mundo de la voz IP empiezan a aparecer como por arte de magia un sinfín de nuevos conceptos, siglas, dispositivos que pese a tener relación directa con los equipos con los que trabajamos en el mundo de las redes, son desconocidos para nosotros.

En esta primera entrega vamos a definir tres conceptos básicos con los que nos encontramos nada más empezar.

Interfaces FXO y FXS.

Estamos acostumbrados, o al menos deberíamos, a tratar con puertos de red: RJ-45 para las conexiones LAN (Ethernet) y RJ-11 para las conexiones WAN (ADSL o similares).

Con la llegada de la voz IP a los dispositivos de redes se hizo necesario añadir interfaces para conectar equipos de voz a los routers/switches.

De esta necesidad nacieron las interfaces FXO y FXS.

FXS (Foreing Exchange Station) es una interfaz que nos permite conectar un teléfono analógico convencional, como el que tenemos en casa y que éste pase a formar parte de la red de voz IP. ¿Cómo? Gracias a los DSP de los que hablaremos en un momento. Por ahora, baste decir que es una interfaz que proporciona tono de llamada a los equipos que se conectan y que, por tanto, les permite interactuar con el sistema de voz IP.

FXO (Foreign Exchange Office) es una interfaz preparada para conectarse con pasarelas de voz (voice gateways) u otros dispositivos de telefonía (PBX, centralitas,etc.). En este caso, esta interfaz recibe el tono de llamada del dispositivo que se conecta a ella.

fxs-fxo-no-pbx

Ambas interfaces suelen tener puertos RJ-11 como terminación por lo que no debemos confundirlos con otras
interfaces de conexión.

¿Y después?

Una vez el dispositivo analógico se conecta correctamente al equipo de voz éste debe realizar un proceso de conversión. Como recordaréis, os explicaba en un capítulo anterior cómo se produce el paso del mundo analógico al mundo digital. 

Es en este punto donde entran en acción los DSP.

DSP (Digital Signal Processing).

Los routers que se utilizan para voz IP son en esencia los mismos que se venían empleando para las redes convencionales hasta ahora.

Esto significa que estaban dimensionados (en memoria y capacidad de proceso) para sobrellevar sin problemas las necesidades que una red pudiera requerir. Sin embargo el proceso de conversión analógico-digital es muy costoso y requiere de mucha capacidad para poder llevarse a cabo con éxito y en tiempo real. Así, dada esta nueva necesidad, surgió la opción de rediseñar por completo los equipos o bien seguir utilizando los que hasta ahora se venían empleando añadiéndoles circuitos dedicados para el procesado de voz.

Los DSP son estos circuitos dedicados y se dedican, casi en exclusividad, a realizar los complejos procesos matemáticos que requiere la conversión analógico-digital.

De modo que cuando estamos diseñando nuestro sistema de voz IP debemos tener en cuenta cuántos equipos analógicos van a coexistir: teléfonos analógicos, RTB (Red Telefónica Básica), pasarelas de voz, etc., y sobre ello calcular el número de conversaciones que van a tener que convertirse simultáneamente para decidirnos por el tamaño  del DSP a instalar.

 

Próxima parada: red IP

Parecía un camino largo cuando comenzamos hace ya algún tiempo a pasear de la mano de la tecnología IP. Imaginaos si se pensaba que era largo el trayecto que lo que en su día se concibió como un espacio de direccionamiento casi inagotable ahora es una de las mayores fuentes de preocupación para los creadores de la red y lo que nos obligará tarde o temprano a emplear la nueva versión de direcciones: IPv6.

Pero vayamos despacio. Antes que nada deberemos presentar a la actriz principal de esta breve historia. IP son las siglas de Internet Protocol. Dirección IP es la matrícula que tendrán los dispositivos que estén dentro de la red IP. Una forma unívoca de localizarlos. El DNI de un dispositivo.

La integración de servicios (Voz, internet, multimedia, inalámbrica…) en una única red terminará por dotar a cada uno de los elementos de nuestra vida cotidiana (teléfono móvil, PDA, PC, nevera, lavadora…) de una dirección IP que lo identifique en la red de redes y mediante la que se pueda acceder al mismo desde cualquier punto del mundo.

Pensad por un momento la cantidad de cosas que se podrán hacer si desde cualquier lugar, ya sea el trabajo, en las Bahamas o en frente de casa, podamos acceder sin mayor problema a cualquier elemento de nuestro entorno y manejarlo a nuestro antojo.