GUIN DE PRCTICAS PARA LOS SERVICIOS VPN-IP Y MACROLAN

El objetivo principal de estas prcticas es entender el funcionamiento de los Servicios y as afianzar los conocimientos sobre la red. La prctica estar dividida en dos partes. una primera prctica de elaboracin de plantillas y una segunda parte de configuracin en maqueta. 1. Practica de elaboracin de plantillas En esta prctica se plantear como escenario, una oficina VPN-IP con redundancia de equipo y de lnea con el esquema que se muestra a continuacin.

Red Cliente:192.168.1.0 /24

Rango 1: 192.168.1.0/25

Rango 2: 192.168.1.128/25FastEthernet 0/0

192.168.1.10

FastEthernet 0/0

192.168.1.20

192.168.1.250

213.0.10.50 213.0.10.51

MHSRPMHSRPIP Virtual 1: 192.168.1.11

IP Virtual 2: 192.168.1.21

Serial 0/0 :FR Serial 0/0 :FR

AtmAtm 0/0 : ADSL 0/0 : ADSL

P E

P E

Servidores accesibles Servidores accesibles desde toda la VPNdesde toda la VPN

Salida a Internet solo para esta Salida a Internet solo para esta sede sede

(no debe propagarse a la VPN)(no debe propagarse a la VPN)

IPs WAN

172.18.1.0/30

IPs WAN

172.18.1.4/30

..

..

..

Loopback: 192.168.134.1/32

Loopback: 192.168.134.2/32

Red Cliente:192.168.1.0 /24

Rango 1: 192.168.1.0/25

Rango 2: 192.168.1.128/25FastEthernet 0/0

192.168.1.10

FastEthernet 0/0

192.168.1.20

192.168.1.250

213.0.10.50 213.0.10.51

MHSRPMHSRPIP Virtual 1: 192.168.1.11

IP Virtual 2: 192.168.1.21

Serial 0/0 :FR Serial 0/0 :FR

AtmAtm 0/0 : ADSL 0/0 : ADSL

P EP E

P EP E

Servidores accesibles Servidores accesibles desde toda la VPNdesde toda la VPN

Salida a Internet solo para esta Salida a Internet solo para esta sede sede

(no debe propagarse a la VPN)(no debe propagarse a la VPN)

IPs WAN

172.18.1.0/30

IPs WAN

172.18.1.4/30

..

..

..

Loopback: 192.168.134.1/32

Loopback: 192.168.134.2/32

Este escenario se pretende utilizar en modo de balanceo de carga, repartiendo el trfico por direccionamiento de cliente. Se quiere que el trfico, originado o con destino al rango 1 del cliente, sea cursado por el enlace FR, mientras el resto de trfico se curse por el enlace ADSL. Como se puede apreciar, en esta sede hay un firewall a travs del cual se puede acceder a unos servidores pblicos y a Internet. Se pretende que todos los equipos conectados a la red de esta sede puedan salir a Internet a travs de dicho firewall, pero no ha de permitirse la salida al resto de la VPNs. Se quiere tambin que el resto de sedes pertenecientes a la VPN puedan acceder a los servidores pblicos desde la propia VPN, sin que sea necesario hacerlo desde Internet. Para esto, se determina adems que el trafico que vaya con destino a los servidores pblicos, entre siempre por el enlace FR (en caso de cada por el ADSL). Una vez conocido el escenario y las condiciones necesarias, se propone el siguiente ejercicio:

Utilizando el libro de plantillas correspondiente al servicio VPN-IP, elaborar las plantillas de configuracin para los dos EDCs. (interfaces fsicos, loopback de gestin, MHSRP y routing con BGP)

Utilizar los datos de configuracin que aparecen en el esquema anterior para completar la plantilla de configuracin elaborada.

2. Configuracin en Maqueta El objetivo principal de esta segunda parte de las prcticas, es realizar labores tanto de provisin como de troubleshooting, para de esta forma, entender el funcionamiento de los Servicios MacroLan y VPN-IP.. Para llevar a cabo esta prctica contamos con los siguientes equipos:

COMO PEs: - Routers CISCO (3745 y 2801).

COMO EDCs

- CISCO 2801. - RiverStone 1100. - Teldat Atlas 150.

La prctica consistir en configurar la red de dos clientes con oficinas Macrolan y VPN-IP, quedando el esquema de la red de la siguiente forma.

Para acceder a los PEs y configurarlos, lo haremos mediante Telnet desde el servidor ZEUS, utilizando el siguiente direccionamiento:

- PE1 10.0.0.10 - PE2 10.0.0.20 - PE3 10.0.0.30

2.1. Configuracin de los PEs Los nicos equipos que tendrn conocimientos de las distintas VPNs y por tanto una tabla de rutas por cada VRF sern los PEs. Lo primero que tendremos que hacer en estos equipos es habilitar el intercambio de etiquetas MPLS.

En el interfaz FastEthernet 0/0, que es con la que nos comunicaremos con el resto de los PEs, tendremos que aadir las siguientes lneas:

2.1.1. Configuracin de las distintas VRFs en los PEs Una vez configurada la conexin MPLS entre los PEs, se pueden empezar a configurar las conexiones de cliente. Como vemos en el esquema de red, cada uno de los PEs dispondr de varias conexiones de cada cliente. Cada una de las conexiones WAN debern ser asignadas a una VRF, por lo tanto la primera tarea ser configurar dichas VRFs. Para la configuracin de las VRFs se necesitar definir los siguientes parmetros:

VPN-IP ROJA: - Router Distinguisher (RD): 100:10 - Route Target: 100:10 - Nombre de la VRF: VPN_IP_ROJA

VPN-IP VERDE: - Router Distinguisher (RD): 100:20 - Route Target: 100:20 - Nombre de la VRF: VPN_IP_VERDE

MACROLAN ROJA: - Router Distinguisher (RD): 100:30 - Route Target: 100:30 - Nombre de la VRF: MACROLAN_ROJA

MACROLAN VERDE: - Router Distinguisher (RD): 100:40 - Route Target: 100:40 - Nombre de la VRF: MACROLAN_VERDE

Y sern necesarios los siguientes comandos:

ip cef mpls label protocol ldp mpls ldp router-id FastEthernet0/0 mpls ldp loop-detection frame-relay switching ip classless mpls ldp explicit-null ntp master 1

ip vrf rd route-target export route-target import export map

Interface FastEthernet 0/0 mpls ip mpls mtu 1520

Donde: - Nombre de la VRF. Este valor es local al PE, es decir, existir una VRF por cada VPN que queramos generar, y esta puede ser distinto entre un PE y otro. Para llevar una concordancia con lo que se suele hacer en explotacin, daremos el mismo nombre a todas las VRFs de cada cliente. - (o RD) Es el identificador de la VPN a nivel MPLS, por tanto este valor TIENE QUE SER EL MISMO EN TODOS LOS PEs, para poder distinguir los paquetes de una VPN de los de otra. - Definimos las polticas de importacin y exportacin de rutas entre distintas VPNs, es decir que VPNs conocen que rutas. 2.1.2. Configuracin de los Interfaces en los PEs Una vez configuradas las VRFs, estamos en condiciones de configurar en los PEs las interfaces de cliente y asignarlas a los distintos routers virtuales. CONEXIONES VPN-IP Las conexiones VPN-IP con los clientes se simularn mediante enlaces punto a punto por los puertos serial de dichos routers. Sern necesarios los siguientes datos:

PE1: - Modelo: CISCO 2801 - IP de Gestin PE: 10.0.0.10 /24 - Id Interface con CISCO1-1: Serial0/3/0

o IP Wan del PE: 10.100.1.5/30 - Id Interface con CISCO2-1: Serial0/3/1

o IP Wan del PE: 10.100.1.1/30 PE2:

- Modelo: CISCO 3745 - IP de Gestin PE: 10.0.0.20 /24 - Id Interface con CISCO1-2: Serial0/0

o IP Wan del PE: 10.100.1.17/30 - Id Interface con CISCO2-2: Serial0/1

o IP Wan del PE: 10.100.1.21/30 - Id Interface con ATLAS1-2: Serial0/3

o IP Wan del PE: 10.100.1.25/30 PE3:

- Modelo: CISCO 3745 - IP de Gestin PE: 10.0.0.30 /24 - Id Interface con CISCO1-3: Serial0/0

o IP Wan del PE: 10.100.1.13/30 - Id Interface con CISCO2-3: Serial0/1

o IP Wan del PE: 10.100.1.9/30 - Id Interface con ATLAS1-3: Serial0/3

o IP Wan del PE: 10.100.1.29/30 Los comandos a utilizar para configurar este tipo de interfaces son los siguientes:

IMPORTANTE!! Si al poner el comando ip vrf forwarding en el interfaz exista ya configurada una direccin IP, esta se desconfigurar, con lo que sera necesario aadirla de nuevo. Donde: Es el nombre del interface o subinterface de interconexin con el cliente (P.E.: Serial 0/1/0). Nombre que describa el EDC de cliente con el que se establece la conexin (Este comando no es obligatorio pero ayuda a la hora de revisar la configuracin). Nombre asignado a la VRF. Direccin IP Wan de la conexin a configurar (como norma general la primera direccin til del rango asignado). CONEXIONES MACROLAN Para las conexiones Macrolan, ser necesario configurar un subinterfaz para cada una de las VLANs que se van a conectar a nuestro PE. Por este subinterfaz solamente se cursara el trfico de la VLAN Nacional, es decir, el que vaya de una sede MacroLan a otra sede MacroLan situada en una MAN distinta. Este subinterfaz, a parte de pertenecer a una VLAN en concreto, ser necesario incluirlo dentro de la VRF a la que pertenezca su VPN, para luego poder importar y exportar las rutas entre los distintos PEs a travs de la redl MPLS.

Los datos a rellenar sern los siguientes: - Identificador del subinterfaz. Generalmente este nmero coincide con el ID de la VLAN para facilitar la localizacin de errores. - Corresponde con el nmero de la VLAN Nacional, a travs de la que los EDCs se comunican con EDCs situados en redes MAN de otras provincias. - Nombre de la VRF.

interface description CONEXION POR SERIAL CON mtu 2098 no ip address encapsulation frame-relay IETF frame-relay lmi-type q933a frame-relay intf-type dce no fair-queue ! Interface . point-to-point Ip vrf forwarding Ip address Frame-realy interface-dlci

interface FastEthernet0/1 no ip address duplex auto speed auto interface FastEthernet0/1. encapsulation dot1Q ip vrf forwarding ip address 10.128.248.1 255.255.248.0 no ip redirects no ip directed-broadcast no ip proxy-arp ip route-cache ip mroute-cache no cdp enable

2.1.3. Configuracin del routing en los PEs

En este aparatado se configurarn los parmetros necesarios para el intercambio de rutas IP entre los EDCs y los PEs, as como el intercambio de direcciones VPN-v4 entre los tres PEs.

Configuracin de RIP en los PEs En el escenario planteado en el esquema, utilizaremos RIP Bidireccional como protocolo de routing entre PEs y EDCs. Para lo cual tendremos que configurar lo siguiente en los PEs:

Tal y como puede apreciarse, las rutas recibidas por RIP las redistribuiremos por BGP al otro PE. A su vez, redistribuimos por RIP las rutas que recibimos por BGP desde el otro PE. Los datos a rellenar sern los siguientes: - Identificador del interfaz fsico en el PE (FastEthernet0/1 para Macrolan, y Serial x/x/x para VPN-IP). - Identificador del subinterfaz (Generalmente este nmero coincide con el ID de la VLAN para las conexiones Macrolan o con el DLCI para las conexiones VPN-IP). - Nombre de la VRF. - El Sistema Autnomo Local identifica al organismo que intenta establecer la sesin BGP (En nuestro caso 65000). Configuracin de MP-BGP en los PEs Antes de definir el BGP en el PE vamos a crear un route-map para filtrar que no se anuncien entre PEs las direcciones de WAN.

Para que desde todos los PEs se conozcan todas las direcciones hacia todas las sedes de nuestros clientes, entre ellos existe intercambio de routing por BGP. Entre los dos PEs que vamos a utilizar, tendremos que configurar una sesin BGP a travs de la cual intercambiarn routing IPv4. Adems de eso, como vamos a intercambiar VPNs mediante MPLS, es necesario que esta sesin tambin intercambie datos VPNv4 para que conozcan, adems del direccionamiento IP, el de cada una de las VPNs.

ip prefix-list WANS seq 5 permit 10.100.1.0/24 ip prefix-list WANS seq 10 permit 10.128.248.0/21 route-map FILTRO_WANS deny 10 match ip address prefix-list WANS route-map FILTRO_WANS permit 20

router rip version 2 passive-interface default no passive-interface . address-family ipv4 vrf version 2 redistribute bgp metric 2 network 10.0.0.0 no auto-summary exit-address-family

--- CONFIGURACIN GENERAL --------------------------------- router bgp no synchronization bgp log-neighbor-changes neighbor remote-as neighbor update-source FastEthernet0/0 no auto-summary no bgp default ipv4-unicast address-family vpnv4 neighbor activate neighbor route-reflector-client neighbor send-community extended exit-address-family --- CONFIGURACIN ESPECIFICA --------------------------------- address-family ipv4 vrf no auto-summary no synchronization redistribute rip route-map FILTRO_WANS exit-address-family

La configuracin relativa al BGP en cada PE ser la siguiente:

Los datos a sern los siguientes: - El Sistema Autnomo Local identifica al organismo que intenta establecer la sesin BGP. En nuestro caso ser el 65000. - Ser el organismo con el que queremos establecer la sesin BGP. En nuestro caso las sesiones BGP van a ser entre el mismo organismo (por tanto el mismo AS), es decir, van a ser sesiones BGP internas o iBGP, pero en otros casos dichas sesiones pueden ser externas o eBGP. Para hacer intercambio de rutas VPNv4 es obligatorio que las sesiones sean iBGP, con lo que nuestro sistema autnomo remoto ser el 65000. - Es el equipo remoto con el que vamos a intercambiar routing BGP, por tanto con quin vamos a tener establecida la sesin iBGP (En nuestro caso, las direcciones por las cuales se conocen nuestros PEs: 10.0.0.10, 10.0.0.20 y 10.0.0.30). - Nombre de la VRF. Una vez configurado todo esto, pasaremos a describir alguno de los comandos de troubleshooting para la deteccin de problemas. Es muy importante resaltar que cada VPN tendr una tabla de rutas distinta, con lo que ser necesario hacer referencia a ella en cualquier prueba de diagnstico que queramos hacer. Para hacer comprobaciones podemos ejecutar los siguientes comandos: show ip bgp summary - Nos muestra un resumen de las sesiones que hay establecidas:

Para determinar el estado de la sesin BGP, nos fijaremos en la columna de ms a la izquierda State/PfxRcd (Estado/PrefijosRecividos). Para que la sesin est establecida debe aparecer un nmero (el nmero de redes que recibimos por BGP desde este neighbor), no un estado como Active, Stop, Admin Con cualquiera de estos tres estados, la sesin BGP no se habr establecido de forma correcta y sera necesario comprobar la configuracin en ambos extremos. La columna Up/Down nos indica hace cuanto tiempo ha levantado o cado la sesin BGP. show ip bgp neighbors routes - Nos indica las rutas que se reciben desde un neighbor determinado:

NRAMDEL2#sh ip bgp summary Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 193.152.56.94 4 64539 160367 160370 1298412 0 0 14w3d 1 193.152.56.138 4 64538 449685 160402 1298412 0 0 3w4d 2

show ip bgp neighbors advertised-routes - Nos indica las rutas que estamos anunciando a un neighbor determinado:

show ip bgp vpnv4 all summary - Mostramos un resumen de todas las sesiones bgp establecidas para todas las VPNs. show ip bgp vpnv4 vrf - Mostramos un resumen de todas las sesiones bgp establecidas para una VPN en concreto. show ip route vrf - Mostramos la tabla de rutas de una VRF concreta. show ip vrf - Nos muestra los datos con los que est configurada una VRF. 2.2. Configuracin de los EDCs Para entrar a los distintos EDCs, lo haremos por el puerto de consola desde el servidor ZEUS: Para poder acceder ser necesaria la utilizacin de un script con el siguiente formato:

consola EDC Donde EDC es el nombre del equipo al que queremos acceder, en maysculas y sin espacios. 2.2.1. Configuracin de los EDCs de VPN-IP Configuracin de Interfaces La configuracin para los interfaces WAN en los EDCs sern los siguientes: EDCs Teldat:

set data-link frame-relay network description CONEXION POR SERIAL CON PE set frame-size 2098 pvc ; Protocol-address exit ; protocol ip address exit

NRAMDEL2#show ip bgp neighbors 193.152.56.94 routes BGP table version is 1298420, local router ID is 213.0.184.10 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *> 194.224.33.0 193.152.56.94 100 0 64539 i Total number of prefixes 1

NRAMDEL2#show ip bgp neighbors 193.152.56.94 advertised-routes BGP table version is 1298422, local router ID is 213.0.184.10 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path *>i213.0.128.0/17 213.0.184.247 100 0 i

EDCs Cisco:

Donde: Es el nombre del interface fsico de conexin con el PE. Este valor ser: Para el caso de equipos Teldat: serial0/0 Para equipos Cisco: El interface serial disponible, normalmente Serial0/3/0 Direccin IP Wan de la conexin a configurar (como norma general, en los EDCs ser la segunda direccin til del rango asignado). IMPORTANTE!! : el Id de DLCI para cada conexin tiene que coincidir tanto en el PE como en el EDC. Configuracin de RIP En este momento deben estar configurados los interfaces WAN tanto en los EDCs como en los PEs. Y debe haber conectividad a nivel 3 entre el PE y el EDC (esto puede comprobarse haciendo un ping desde el EDC a la direccin IP-WAN del PE). Una vez comprobada la conectividad entre EDC y PE, puede configurarse el RIP, para lo que habr que introducir los siguientes comandos: EDC CISCO - Rip Unidireccional con PE:

donde: Red IP LAN del EDC Mscara en bits de la red IP LAN del EDC Identificador del subinterfaz WAN del EDC (Interfaz.SubInterfaz). Red IP WAN de la conexin. Identificador del interfaz LAN del EDC (Ethernet, FastEthernet)

ip prefix-list 98 description Red Lan de Cliente ip prefix-list 98 seq 15 permit / access-list 99 deny any router rip version 2 passive-interface default no passive-interface network network no auto-summary distribute-list prefix 98 out distribute-list 99 in ! ip route 0.0.0.0 0.0.0.0

interface description CONEXION POR SERIAL CON PE mtu 2098 no ip address encapsulation frame-relay IETF no fair-queue clock rate 2000000 frame-relay lmi-type q933a ! Interface . point-to-point Ip address Frame-relay interface-dlci

EDC TELDAT - Rip Unidireccional con PE:

donde: Red IP LAN del CE anunciada al resto de la VPN. Mscara de red IP LAN completa del CE. Direccin IP del CE utilizada en la red LAN de cliente. Direccin IP del CE utilizada en el enlace con el PE. Direccin IP del PE utilizada en el enlace con el CE. Una vez configurado el routing entre EDC y PE, las direcciones de lan de cada EDC estn siendo anunciadas a los PEs, y estos a su vez la estarn redistribuyendo por BGP al resto de PEs. Esto nos debera de permitir tener accesible desde cualquier EDC, la LAN de cualquier otro EDC que est en la misma VPN. Para confirmar el correcto funcionamiento del servicio, responder a las siguientes cuestiones:

1. Est el PE accesible por Ping desde el EDC? y A que direccin se debe hacer el ping para verificas esto?

2. Est el EDC accesible por ping desde el PE?, Qu tipo de ping debe utilizarse? y A que direccin?

3. Es posible acceder por Telnet al EDC desde el PE? y Cmo debe hacerse? 4. Qu direcciones hay en la tabla de rutas de la VRF? y Cmo se estn conociendo cada una

de ellas? 5. Se estn recibiendo redes por RIP en la VRF?, cuales? 6. Se estn recibiendo redes por BGP en la VRF?, Cuales? 7. Es posible alcanzar por ping (estndar), la IP LAN de un EDC, desde otro EDC de la misma

VPN?, por qu? 8. Cmo podemos realizar un ping de LAN a LAN dentro de la misma VPN?, Funciona?, Por

qu? 9. Es posible hacer un ping de LAN a LAN entre dos oficinas de clientes distintos?, por qu?

Comandos de utilidad en CISCO: ping vrf - Realizamos un ping extendido dentro de una VPN, es decir, utilizando una VRF en concreto. telnet /vrf - Para realizar un telnet a travs de una VRF.

feature access-lists access-list 1 entry 1 default entry 1 permit entry 1 source address exit exit ; protocol ip route 0.0.0.0 0.0.0.0 15 classless exit

protocol rip enable compatibility send rip2-multicast compatibility receive none compatibility send none compatibility receive none ; sending distribute-list 1 exit

2.2.2. Configuracin de los EDCs de MACROLAN El procedimiento general consiste en hacer un volcado de la configuracin segn las plantillas descritas por Desarrollo Tcnico de Servicios, situadas en la unidad de red V:\d_grupos\Documentacion Tecnica de Servicios\Libros de Plantillas\MacroLAN. Debido a que estamos trabajando sobre una maqueta que no est en produccin, utilizaremos unas plantillas basadas en las reales, slo que obviando una serie de parmetros, tales como servidor de tacacs, listas de acceso, servidores de SNMP, etc. Estas plantillas las encontraremos en la unidad Z de la Escuela de Formacin, para ser ms exacto en Z:\Practicas (Tambin adjuntamos una copia en el anexo de este guin de prcticas). Ah encontraremos una plantilla para cada uno de los equipos (RiverStone, Teldat y Cisco). Completar la Plantilla segn los datos facilitados en el esquema del inicio del documento para poder continuar con el troubleshooting del servicio MacroLan. RIVERSTONE Lo primero que haremos ser configurar los distintos puertos con sus correspondientes VLANs. Comenzaremos por habilitar los puertos que vayamos a emplear y dejar el resto deshabilitados. Emplearemos el puerto 16 para la conexin contra la red MAN y el puerto 1 para conectar con la red del cliente:

Una vez realizado esto, tendremos el acceso fsico configurado. Para seguir, tendremos que configurar todas las VLANs que necesitemos. Lo primero ser crear el puerto 16 como enlace troncal, ya que, a travs de este enlace recibiremos la VLAN NACIONAL. Posteriormente crearemos las distintas VLANs e indicaremos los puertos que pertenecen a estas:

Una vez que ya tenemos definidos los puertos, las VLANs y a que VLAN pertenece cada puerto, nos quedar definir los interfaces, es decir, asignar una direccin IP (MacroLan trabaja a nivel 3 con IP) a cada una de las VLANs para poder enrutar a traves suyo. Lo que haremos ser crear interfaces e indicar a que VLAN pertenece dicho interfaz:

Una vez hemos creado los distintos interfaces, podemos comprobar la conectividad sobre todo con el extremo remoto de la VLAN Nacional (la direccin 10.128.248.1), que es la que nos dar conectividad con las sedes del resto de MANs. Hecho esto, podemos comenzar a propagar la red del cliente a travs de la conexin con la MAN. Para ello emplearemos RIP v2. Comenzaremos creando un filtro en el que se indicarn los rangos de IPs que vamos a anunciar hacia la red:

port set et.2. auto-negotiation off duplex full speed 100mbps port set et.2. auto-negotiation off duplex full speed 100mbps port disable et.2. force-link-down port force-link-up et.2.

vlan make trunk-port et.2. exclude-default-vlan vlan create NACIONAL ip id vlan create CLIENTE01 ip id vlan add ports et.2. to NACIONAL vlan add ports et.2. to CLIENTE01

interface create ip IPNACIONAL address-netmask / vlan NACIONAL interface create ip IPCLIENTE01 address-netmask / vlan CLIENTE01

ip-router policy create filter REDESCLIENTE network / exact ip-router policy add filter REDESCLIENTE network / exact

REDESCLIENTE - Nombre del filtro que vamos a utilizar posteriormente. / - Red del cliente que quiere propagarse por la red. El filtro que hemos creado anteriormente, lo aplicaremos al route-map para que machee todo lo que cumpla dicho filtro, para las redes que vamos a anunciar por la red Nacionala:

El siguiente paso ser pasar a definir propiamente el RIP. Hablaremos RIP por el interfaz Nacional, indicando el route-map correspondiente. Tambin desactivamos el proceso poison-reverse para disminuir el tamao de los anuncios de routing y activamos el proceso RIP:

El ltimo paso sera permitir por la VLAN Nacional nicamente el anuncio de las redes a travs del PE para que el resto de EDCs, que tambin tienen conexin con esta VLAN no nos las anuncien:

route-map RIPNACIONAL permit 10 match-prefix filter REDESCLIENTE route-map RIPNACIONAL deny 65535 match-prefix network all

rip set auto-summary disable rip set poison-reverse disable rip add interface IPNACIONAL rip set interface IPNACIONAL type multicast version 2 rip set interface IPNACIONAL route-map-out RIPNACIONAL rip start

ip-router policy create rip-import-source PE-NACIONAL gateway ip-router policy import source PE-NACIONAL network all ip-router policy create rip-import-source RIPNACIONAL interface IPNACIONAL ip-router policy import source RIPNACIONAL network all restrict rip start

TELDAT ATLAS 250 En el caso de los Atlas 250, comenzaremos configurando a nivel fsico los interfaces ethernet que vamos a emplear; el interfaz 0 lo conectaremos a la LAN del cliente, y el interfaz 1 lo conectaremos con la red MAN. Esto lo haremos en el men network del proceso de configuracin:

Continuaremos configurando ahora la VLAN que vamos a utilizar, en este caso una NACIONAL. Esto lo haremos mediante un subinterfaz:

El siguiente paso ser ya asignar a cada uno de los subinterfaces configurados su direccin IP correspondiente. Esto lo haremos en el men protocol ip del proceso de configuracin:

Una vez hemos creado los distintos interfaces, podemos comprobar la conectividad sobre todo con el extremo remoto de la VLAN Nacional (la direccin 10.128.248.1), que es la que nos dar conectividad con las sedes del resto de MANs. Hecho esto, podemos comenzar a propagar la red del cliente a travs de la conexin con la MAN. Para ello emplearemos RIP v2, quedando su configuracin de la forma que sigue:

network ethernet0/1 no auto-negotiation duplex full exit network ethernet0/0 no auto-negotiation duplex full exit

add device eth-subinterface ethernet0/1 network ethernet0/1. encapsulation dot1q exit

protocol ip address ethernet0/0 address ethernet0/1.

protocol rip enable ; Configura temporizadores para tiempo de convergencia de 90 segundos. timers 30 90 90 ; Habilitamos el envo y recepcin de rutas por RIP de la VLAN Nacional. compatibility send rip2-multicast compatibility receive rip2

Lo siguiente que haremos ser crear una lista de acceso para filtrar los anuncios a travs de la VLAN Nacional, y permitiendo nicamente los hechos por el PE:

Ahora slo nos quedar establecer las IPs que vamos a anunciar desde el EDC al resto de la red:

; Se desactiva el protocolo RIP en la LAN de cliente que por defecto queda habilitada. compatibility send none compatibility receive none ; Se desactiva la funcin de "poison reverse" para disminuir el tamao de los anuncios ; de routing sobre la MAN. sending no poisoned-reverse ; Se deshabilita el envo de las rutas aprendidas por OSPF que viene habilitado por ; defecto. sending no ospf-routes sending no ospf-routes exit

feature access-lists access-list 100 entry 1 default entry 1 permit entry 1 source address 255.255.255.255 entry 1 destination port-range 520 520 entry 1 protocol udp entry 3 default entry 3 deny entry 3 destination port-range 520 520 entry 3 protocol udp entry 1000 default entry 1000 permit exit exit ; Aplicariamos la lista de acceso en el interfaz correspondiente a la VLAN Nacional. protocol ip access-group ethernet0/1. 100 in exit

feature access-lists access-list 2 entry 1 default entry 1 permit entry 1 source address entry 2 default entry 2 permit entry 2 source address exit exit protocol rip sending distribute-list 2 exit

CISCO 2801 En los routers CISCO todo ser mucho ms sencillo. Configuraremos los interfaces a nivel fsico para fijar la velocidad y el modo duplex tanto del puerto utilizado para conectar a la MAN como para el empleado para la LAN del cliente. Adems, para este ltimo, configuraremos directamente la direccin IP correspondiente a la red de cliente.

El siguiente paso consistir en configurar un subinterfaz en el puerto de acceso a la MAN, para la VLAN que queremos configurar:

Una vez hemos creado los distintos interfaces, podemos comprobar la conectividad sobre todo con el extremo remoto de la VLAN Nacional (la direccin 10.128.248.1), que es la que nos dar conectividad con las sedes del resto de MANs. Hecho esto, podemos comenzar a propagar la red del cliente a travs de la conexin con la MAN. Para ello emplearemos RIP v2. Lo primero que configuraremos sern los parmetros generales del RIP y la red por donde se va a hablar y recibir routing, es decir, por la IP Nacional:

El siguiente paso va a ser configurar el router de tal forma que no reciba RIP por la VLAN Nacional ms que del PE, para ello crearemos una prefix-list y haremos una distribucin de rutas de esta prefix-list sobre el interfaz de la VLAN Nacional:

interface FastEthernet0/0 ip address speed 100 full-duplex no keepalive no shutdown interface FastEthernet0/1 speed 100 full-duplex no shutdown

interface FastEthernet0/1. encapsulation dot1Q ip address

router rip version 2 no auto-summary timers basic 30 90 90 90 network network exit

ip prefix-list PENACIONAL seq 5 permit /32 router rip distribute-list gateway PENACIONAL in FastEthernet0/1. exit

Lo ltimo que vamos a configurar va a ser los anuncios que propagaremos hacia la red MAN. Esto lo haremos utilizando una prefix-list que incluya las redes a anunciar (las redes del cliente) y aplicndolo en el protocolo RIP en forma de distribute-list:

2.3. Ejercicios Prcticos

1. Modificar las polticas de importacin y exportacin de las VRFs para dar visibilidad entre oficinas VPN-IP y Macrolan del mismo cliente. a. Se accede mediante un ping de LAN a LAN, desde una oficina Macolan a una VPN-IP? b. Mediante que protocolo de routing, conoce una VRF de Macrolan las direcciones de

oficinas VPN-IP? 2. En este ejercicio, se propone un cambio de escenario. Donde cada uno de nuestros cliente,

tienen dos oficinas Macrolan que pasarn a ser centrales y el resto sucursales. Los clientes quieren que las centrales tengan conectividad con el resto de oficinas de la VPN, pero que las sucursales no tengan conectividad entre ellas.

a. Modificar las polticas de importacin y exportacin de las VRFs para conseguir este funcionamiento.

b. Verificar que puede realizarse un ping de Lan a Lan entre cualquier sucursal y las centrales. c. Verificar que desde la Lan de una sucursal no puede alcanzarse la de otra sucursal del

mismo cliente.

3. En este ltimo ejercicio se propone unificar a nuestros dos clientes, dando a las centrales de ambos clientes visibilidad de toda la red, a las sucursales de las cuatro centrales e imposibilitando la visibilidad entre sucursales.

ip prefix-list REDESCLIENTE seq 5 permit / ip prefix-list REDESCLIENTE seq 10 permit / router rip distribute-list prefix REDESCLIENTE out FastEthernet0/1. exit