Práctica 3: Configuración básica del router

Transcripción

Laboratorio de redes
ITESM
Dep. Ciencias Computacionales
INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY
Laboratorio de Redes 2
Práctica 3 – Configuración básica del router
Autor: Ing. Raúl Armando Fuentes Samaniego
Duración aproximada: 3 horas
Objetivo:
El alumno aprenderá lo necesario para una configuración a un enrutador cuyo sistema
operativo sea IOS (De Cisco). Al finalizar el laboratorio, el alumno conocerá los
elementos de hardware claves de un enrutador así como los comandos necesarios para
garantizar un nivel mínimo de seguridad y funcionalidad.
Requisitos





2 enrutadores con capacidad para IPv6
Un conmutador
Dos computadoras con capacidad para IPv6 y con Packet Tracer instalado.
Conectores Seriales y cableado correspondiente.
Conceptos de IPv6 de la práctica 1 (y práctica 2)
Cisco
Se recomienda ampliamente que el alumno realice la lectura del capítulo “CCNA
Fundamentals Routing Protocols and Concepts Chapter 1” para reforzar el tema que
se introduce en esta práctica.
Diagrama de topología
Última edición: julio de 2012
Página 1
ITESM
Tabla de direccionamiento
IPv4
Disp.
Interfaz
Dirección IP
Mascara de subred
Fa 0/0
S0/0/0
Fa 0/0
S0/0/0
-----
192.168.1.1
192.168.2.1
192.168.3.1
192.168.2.2
192.168.1.10
192.168.3.10
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
Interfaz
Fa 0/0
Fa 0/1
S0/0/0
Fa 0/0
S0/0/0
---------
IPv6
Dirección IP
2001:db8:c0ca::192.168.1.1
2001:db8:c0ca:cafe::1
2001:db8:c0ca::192.168.2.1
2001:db8:c0ca::192.168.3.1
2001:db8:c0ca::192.168.2.2
2001:db8:c0ca::192.168.1.10
2001:db8:c0ca::192.168.3.10
SLAAC
SLAAC
R1
R2
PC1
PC2
Disp.
R1
R2
PC1
PC2
PC3
PC3
Prefijo
120
64
120
120
120
120
120
64
64
Gateway por
defecto
--------192.168.1.1
192.168.3.1
Gateway por defecto
----------2001:db8:c0ca::192.168.1.1
2001:db8:c0ca::192.168.3.1
SLAAC
SLAAC
Practica
En esta actividad se creara una red basada en el diagrama de topología. Se seguirán las
indicaciones del instructor para el cableado de la misma y para su configuración. Una vez
diseñada y configurada, se examinaran las tablas de ruteo para verificar su correcto
funcionamiento.
Tarea 1: Conectar la red (Cableado)
Conecte una red que sea similar a la del Diagrama de topología. El resultado que se utiliza en
esta práctica de laboratorio es de los enrutadores Cisco 2811. Se pueden utilizar otros
modelos si estos tienen suficientes interfaces físicas y del tipo mostrado en la topología.
Respecto a las computadoras, por el momento conecten todas las PC al switch1 ya que en la
tarea 4 se trabajara primero en esa interfaz y al termino de ella se adecuaran las
computadoras a como esta en la topología.
Conteste las siguientes preguntas:
¿Qué tipo de cable se utiliza para conectar la interfaz Ethernet en una PC host a la interfaz
Ethernet en un switch? __________________________
¿Qué tipo de cable se utiliza para conectar la interfaz Ethernet en un switch a la interfaz
Ethernet en un router? __________________________
Página 2
ITESM
¿Qué tipo de cable se utiliza para conectar la interfaz Ethernet en un router a la interfaz
Ethernet en una PC host? ___________________________________
Tarea preventiva: Borrado de un enrutador
A lo largo del laboratorio se estará trabajando con los enrutadores, aunque lo ideal es que el
enrutador este previamente en blanco no siempre se puede. (Tener en cuenta políticas
indicadas por el instructor acerca de ello) y por lo mismo se sugiere borrar al inicio los
enrutadores. Para ello se indican los siguientes pasos que se deben de ejecutar en cada
enrutador:
Paso 1: Establecer una sesión de terminal (consola o virtual)
Se debe de hacer una conexión a la terminal del enrutador, para ello puede usarse por medio
de una sesión virtual (Telnet o SSH) o utilizando directamente una sesión de consola que
utiliza comunicación serial. La segunda opción es la recomendable ya que no es necesario
conocer la configuración TCP/IP del enrutador.
Para la conexión serial se necesita un programa que emule una terminal con comunicación
serial, por defecto los enrutadores responden a la velocidad 9600 bauds rates con
configuración 8NZ1 (8 bits de transmisión, No bit de paridad, un bit de detenerse, y cero
control de flujo). En las computadoras del laboratorio para el Sistema Operativo Windows 7
se ofrece un programa denominado Tera-term que ofrece dichos servicios. Si se está
manejando Linux, existe el programa Gtk Term para realizar dicha actividad.
Proceda a conectar el cable serial – roll over – al puerto consola del enrutador. Si tiene duda,
pida apoyo al instructor. Una vez realizada la conexión abra su programa de terminal serial, si
no aparece nada en la pantalla presione la tecla “enter” debe aparecer una línea de
comando como la siguiente:
Router>
Paso 2: Entre al modo privilegiado EXEC
Router>enable
Router#
Paso 3: Borre la configuración
Para eliminar la configuración, ejecute el comando “erase startup-config”. Cuando se
le solicite, presione Intro para [confirm] (confirmar) que realmente desea borrar la
configuración que actualmente se guarda en NVRAM.
Página 3
ITESM
Router#erase startup-config
Erasing the nvram filesystem will remove all files! Continue?
[confirm]
[OK]
Erase of nvram: complete
Router#
Paso 4: Recargue la configuración
Una vez esté limpia la memoria Nvram se procederá a reiniciar el enrutador, esto se puede
lograr mediante instrucción por software o apagando directamente el enrutador. El comando
para reiniciarlo en software es Reload.
Router#reload
System configuration has been modified. Save? [yes/no]: no
Proceed with reload? [confirm]
Debe evitar el guardar una configuración, ya que es lo contrario a lo que queremos hacer.
Una vez el enrutador este reiniciado aparecerá un wizad auto-instalación. Durante todo el
laboratorio las configuraciones se harán de forma manual por lo tanto no se utilizara ese
wizard.
Would you like to enter the initial configuration dialog? [yes/no]: no
Would you like to terminate autoinstall? [yes]: [Press Return]
Press Enter to accept default. Press RETURN to get started!
…
…
…
router#
Tarea 2: Realizar la configuración base del router R1
La configuración aquí mostrada, es configuración básica que todo enrutador debe de llevar;
Si se tiene duda acerca de lo que el comando realiza o de su sintaxis puede utilizar el símbolo
de ayuda “?” con el cual se desplegara información. Si se escribe pegado a una palabra que
se esté escribiendo mostrara el comando completo (o los comandos que coincidan con lo
escrito hasta ese momento) si se deja un espacio indicara cuales son los siguientes posibles
argumentos.
NOTA: Para todo las contraseñas en esta y futuras prácticas se les pide
que utilicen “class” para modo EXEC y “cisco” para las sesiones
consola y virtual. En cualquier caso que dichas contraseñas no sean
utilizadas el instructor procederá a anular la calificación del equipo
completo.
Paso 1: Establecer una sesión consola al enrutador R1
Si no se ha realizado el cableado realícelo ahora siguiendo los pasos del instructor.
Página 4
ITESM
Paso 2: Entre al modo privilegiado EXEC
Router>enable
Router#
Paso 3: Entre al modo de configuración global
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
Paso 4: Configure el nombre del router como R1
El comando hostname <nombre> nos permite configurar un nombre.
Router(config)#hostname R1
R1(config)#
Paso 5: Desactive la búsqueda DNS
Mientras que en un escenario real la capacidad de traducir nombres de forma automática es
deseada en un laboratorio donde rara vez se encuentre un servidor DNS resulta perjudicial.
Cuando un comando incorrecto (en sintaxis) es introducido el iOS creerá que se trata de un
nombre y por lo mismo procederá a traducirlo lo cual es un proceso lento y que solo
perjudicara al alumno.
Para deshabilitarlo se utilizara el prefijo “NO” al comando que lo habilita, que es ip domainlookup .
R1(config)#no ip domain-lookup
R1(config)#
Paso 6: Configure la contraseña de acceso al modo EXEC
Existen dos comandos para la configuración de una contraseña, “secret” y “password” la
diferencia entre ellos radica en el modo en que estos son guardados, ya que el primero se
guarda utilizando un hash MD5 y el segundo se guarda en texto plano. Por lo mismo en esta
y futras prácticas se utilizara “secret”
R1(config)#enable secret class
R1(config)#
La razón de esta contraseña es proteger el acceso del modo invitado ( Router>) al modo
privilegiado (Router#) en el cual es posible configurar al enrutador.
Paso 7: Configurar un mensaje del día
Se puede configurar un mensaje del día mediante el uso del comando “banner motd”
R1(config)#banner motd &
Enter TEXT message. End with the character '&'.
********************************
!!!SOLO PERSONAL AUTORIZADO!!!
Página 5
ITESM
******************************** &
R1(config)#
¿En qué punto se muestra el titulo?
____________________________________________________________________________
TIP: Si utiliza el comando “exit” ira saliendo lentamente de cada modo, si ejecuta
“exit” estando en el modo invitado terminara la conexión, con lo cual puede volver a
entrar para contestar esta pregunta.
¿Cuál cree es el motivo por el cual todos los enrutador deben tener un mensaje como este?
____________________________________________________________________________
¿Es posible sustituir el carácter “&” por otro carácter? (Puede apoyarse con el comando de
auto ayuda)
____________________________________________________________________________
Paso 8: Configure la contraseña de consola del router
Utilize “cisco” como contraseña.
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
R1(config)#
El objetivo de esta contraseña es controlar el acceso físico al enrutador cuando se realiza por
medio de un cable serial. Es decir, antes de poder entrar siquiera al modo invitado se
solicitara una contraseña.
Paso 9: Configure la contraseña de líneas virtuales para el enurtador
Utilice cisco como contraseña.
R1(config)#line vty 0 4
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#exit
R1(config)#
Cada sesión virtual toma una línea, por lo mismo es recomendable configurar cierta cantidad
de líneas simultáneamente, “0 4” es un rango de 5 líneas.
¿Cuántas líneas virtuales soporta su enrutador? (Puede apoyarse con el comando de auto
ayuda)
Página 6
ITESM
____________________________________________________________________________
Tarea 3: Configuración de las interfaces
La configuración de las interfaces se debe de hacerse para IPv6 e IPv4.Ttodos los comandos
relacionados a IPv6 poseen “ipv6” mientras que los comandos de IPv4 al ser los comandos
originales solo llevan “ip” en vez de algo como ipv4.
La configuración aquí mostrada, es configuración básica para las interfaces del tipo Ethernet
y Serial, la principal diferencia radica en los elementos a configurar en la Capa 2 del modelo
OSI en cada tipo de interfaz.
Paso 0: Ruteo de paquetes unicast IPv6
A diferencia de paquetes de IPv4, un enrutador por defecto no enrutará paquetes de IPv6 así
que antes debemos asegurarnos de que lo haga. Para ello desde un nivel de configuración
global ejecutamos:
R1(config)#ipv6 unicast-routing
Paso 1: Configure la interfaz Serial 0/0/0 (R1)
Se debe de llegar hasta el nivel de configuración de interfaz (config-if) y específicamente para
la serial 0/0/0.
DCE/DTE: Las comunicaciones seriales (Capa 1-2 OSI) difieren a comunicaciones Ethernet
(Capa 1-2 OSI) en que es una conexión de punto a punto, no es necesario conocer la
dirección del vecino, PERO es necesario sincronizarlos con un reloj maestro. Dicho reloj es
configurado siempre por los dispositivos DCE y durante los escenarios en el laboratorio tales
dispositivos siempre recaerán en los enrutadores.
R1(config-if)#interface serial 0/0/0
R1(config-if)#ipv6 address 2001:db8:c0ca::192.168.2.1/120
R1(config-if)#ip address 192.168.2.1
255.255.255.0
R1(config-if)#clock rate 64000
R1(config-if)#no shutdown
R1(config-if)#
NOTA: Al tratarse de una interfaz serial esta no estará activa hasta que
este correctamente configurada en el otro extremo (R2).
Paso 2: Regrese al modo EXEC (R1)
Utilice el comando end para regresar al modo EXEC.
R1(config-if)#end
R1#
Página 7
ITESM
Paso 3: Configure la interfaz Serial 0/0/0 (R2)
Se debe de llegar hasta el nivel de configuración de interfaz (config-if) y específicamente para
la serial 0/0/0, este enrutador es un dispositivo DTE.
R2(config-if)#interface serial 0/0/0
255.255.255.0
R2(config-if)#
%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed
state to up
R2(config-if)#
NOTA: Si las últimas líneas no aparecen entonces quiere decir que fallo l a
configuración o hay un cableado incorrecto. (Recordando que Router 1
fue previamente configurado así que debería levantarse correctamente la
comunicación entre ambos extremos).
Paso 4: Configure las interfaces Fast Ethernet 0/0
Para R1:
R1(config)#interface fastethernet 0/0
255.255.255.0
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,
changed state to up
R1(config-if)#
Para R2:
R2(config-if)#interface fastethernet 0/0
255.255.255.0
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,
changed state to up
R2(config-if)#
Página 8
ITESM
NOTA: Las últimas líneas solo aparecerán si el enrutador está conectado al
conmutador (que se supone ya lo está).
Notaran en esta ocasión una sintaxis algo diferente a los comandos de la práctica pasada ya que los
últimos puntos han sido escritos en una notación de IPv4. En realidad esto solo es válido dentro de
enrutadores Cisco y lo que realmente hace es convertir la notación decimal a hexadecimal.
Utilicen el comando “show ipv6 interface brief” y anoten las verdaderas direcciones IPv6 que poseen
las interfaces:
R1
R2
Fa 0/0
S0/0/0
Fa 0/0
S0/0/0
Paso 5: Configure la interfaz Fast Ethernet 0/1 en R1
R1(config)#interface fastethernet 0/1
R1(config-if)#ipv6 address 2001:db8:c0ca:cafe::1/64
R1(config-if)#shutdown
El último comando es intencional, por el momento la interfaz estará apagada.
Paso 6: Guarde la configuración
¿Cuál es la sintaxis del comando Copy? (Este comando se ejecuta desde el nivel de
configuración global)
____________________________________________________________________________
Ejemplo usado para R1:
R1#copy running-config startup-config
Building configuration... [OK]
R1#
¿Cuál es la versión más corta que se puede utilizar para este comando?
____________________________________________________________________________
TIP: El comando de auto-ayuda ( “?”) puede ayudarlos.
No olvide guardar también la configuración del Router 2.
Tarea 4: Hosts en una red IPv6
En las últimas dos prácticas se estuvo utilizando simuladores para facilitar el aprendizaje
pero hay un elemento fundamental de IPv6 que no se ha profundizado del todo y es “SLAAC”
(Stateless Auto-configuration) este mecanismo hace uso de un protocolo denominado
“Network Discovery” el cuál se encuentra especificado dentro del protocolo ICMPv6.
Página 9
ITESM
Internet Control Message Protocol para IPv6 (ICMPv6)
Este protocolo de Capa 3 tiene el mismo objetivo que ICMPv4, ser el protocolo de control
de IPv6; con el nosotros podemos verificar sí un host determinado se encuentra en línea, si
un servicio está disponible o no es alcanzable, el actual “trhougput” y velocidad de los
medios involucrados el ruteo que está tomando nuestros paquetes y como un elemento
nuevo en IPv6 el permite la auto-configuración de los nodos además de otras cosas.
El cuerpo del encabezado de ICMPv6 es extremadamente sencillo aunque el cuerpo (los
datos) varían fuertemente. La siguiente ilustración marca el formato de dicho encabezado:
Ilustración 1- Encabezado ICMPv6 tipico
Los diferentes tipos de mensajes que genera ICMPv6 se pueden apreciar en el RFC 2463 (IETF,
1998) y la siguiente tabla es solo unos cuantos de estos “tipos” con sus respectivos códigos.
Tabla 1 – Valores de tipos de ICMPv6
Tipo
Valor
Corresponde a
Código
Valor
Significa
0
No existe ruta al destino
1
1
Destino inalcanzable
(Destination Unreachable)
6
2
3
4
5
6
7
Comunicación con el destino está prohibida a
nivel administrativo.
El destino está más allá de la dirección origen.
Dirección inalcanzable
Puerto inalcanzable
Dirección origen rechazada por política de
ingreso/egreso.
Ruta al destino rechazada.
Error en el encabezado de enrutamiento desde
la fuente.
2
Paquete demasiado grande
0
3
(Packet Too big)
Tiempo excedido
(Time Exceeded)
0
Límite de hop excedidos en transito
1
Tiempo de re-ensamble de fragmentos
Página 10
ITESM
excedido
128
129
133
134
135
136
137
Echo request
Echo Reply
Router solicitation (NDP)
Router Advertisement (NDP)
Neighbor Solicitation (NDP)
Neighbor Advertisement (NDP)
Redirect Message
0
0
0
0
0
0
0
Como notaran la mayor parte de ellos poseen contra partes en IPv4 pero hay varios de
interés que forman parte del protocolo “Neighbor Discovery” pero dichos mensajes de
ICMPv6 hacen uso intensivo de los mensajes multicast y por lo mismo debemos hablar de
ellos.
Multicasting
Multicasting se vuelve un elemento fundamental en el mecanismo de IPv6 y por lo mismo es
indispensable entender su operación. El cual consiste en que existen grupo multicasting
(representados por una dirección multicast) y miembros que pertenecen a dicho grupo.
Estos grupos quedan definidos usualmente por protocolos para la infraestructura de red o
para el uso de una aplicación interna dentro de la red.
En general todo nodo que posea una aplicación o un protocolo que deba participar en un
grupo multicast separará un puerto (UDP usualmente) y además de tomar paquetes con su
dirección IP también tomara los paquetes con la dirección multicast del grupo en el que
participa.
En IPv6 se tiene todo un bloque completo de direcciones para Multicast los cuales empiezan
con FF::/8 y los siguientes 120 bits servirán para identificar a los grupos que participan,
quienes lo reciben e incluso quien lo envía.
En general, una dirección Multicast es definidas por un inicio de FF, los siguientes 4 bits
indica si son servicios predefinidos (existentes en RFC por ejemplo) o servicios
personalizados, después indicara a que nivel pueden llegar los mensajes y los últimos bits
permitirá decidir quiénes escuchan y de ser necesario a quien responderle de forma
individual. Lo anterior se puede apreciar con la siguiente imagen:
Página 11
ITESM
Ilustración 2 – Distribución de una dirección Multicast (2012)
Los bits 9 al 12 son banderas de control (FLAGS) de los cuales dependiendo de su
configuración será como tratar el campo de 112 bits denominado “Group-ID”. Conforme al
RFC 4291 estas son las funciones de los bits:




Bit 9 – Por el momento se encuentra reservado, por lo mismo siempre debe de valer
0 (CERO)
Bit 10 ó R(endzevous Point): Su utilización se encuentra definida en el RFC 3956, en
general se utiliza para multicast entre dominios (Diferentes AS).
Bit 11 ó P(refix-based): Este bit cuando tiene un valor de uno servirá para indicar
que parte del campo “Group-ID” indicará también el prefijo de sub-red del cual es
dirigido (longitud de 64 bits) además de dejar 32 bits para Interface -ID (Identificar
nodos), además siempre que este bit este encendido el bit 12 de berá de valer 1.
Bit 12 ó T(rasient/Well-known) Cuando este bit vale cero nos indica que la dirección
multicasting pertenece a un grupo conocido de multicast, es decir es utilizada por
algún protocolo de uso general ( NDP o protocolos de enrutamiento por ejemplo).
Cuando vale 1, significa que está utilizando direcciones multicasting definidas por los
administradores de la red de la empresa para aplicaciones particulares de la empresa.
En síntesis el bit más importante es el número 12, durante el laboratorio de redes cuando
trabajemos con mensajes multicasting lo haremos utilizando direcciones bien conocidas
(Well-known) y por lo mismo el valor de los 4 bits será 0h (numero hexadecimal).
Los siguientes 4 bits en la dirección identifican el alcance que el mensaje multicasting tiene
dentro de la red. Sus valores importarán principalmente cuando el bit 12 valga cero. Por el
Página 12
ITESM
momento en el actual RFC 4291 de los 16 posibles valores 3 se hallan reservados (no
tendrán uso) y 6 se encuentran sin asignar. Y estos alcances o “scopes” son:
Tabla 2 – Bits de alcance
Nombre
Interface/NodeLocal
Valor
(Hex)
1
Link-Local
2
Admin-Local
4
Site-Local
OrganizationLocal
Global
5
8
Sin asignar
6,7,9,
A,B,C
,D
0,3,F
Reservado
E
Descripción
El alcance de este mensajes es solo de una única interfaz en un nodo, es
decir, el mensaje multicasting nunca saldrá del nodo que lo emitió por lo
mismo solo sirve para transmisiones lógicas (Loopback)
El alcance de estos mensajes es el mismo que el alcance de un mensaje
unicast del bloque FE80::/10
Es el alcance más pequeño que debe ser configurado por la administración.
No es derivado del dispositivo o de otras configuraciones automáticas. (No
se verán durante el curso del laboratorio).
(DEPRECATED)El alcance es solo un sitio (dentro de una organización)
El alcance del mensaje debe ser a múltiples sitios dentro de una misma
organización. (Toda la red interna).
Tienen capacidad de pasar por todo a la red interna y más halla (Se debe de
tener especial cuidado con su uso).
Por el momento queda disponible para administradores de redes para
definir sus propios alcances (Aunque conviene más que el bit P este
encendido).
Reservado, no se debe de utilizar. Si un nodo recibe un paquete de ellos lo
tira o lo trata como si fuese un scope Global (si utiliza el valor F).
Una vez definido el alcance del mensaje queda por definir quien lo recibe y para ello están
los últimos 120 bits denominado “Group-ID” (En algunos casos puede ser partido a la mitad,
la parta alta en cero y la otra denominado “Interface-ID”). Cuando el bit T vale este bloque
posee los siguientes posibles valores:
Tabla 3 – Valores de “group ID” cuando el bit T(ransient) vale cero
::1
::2
::3
::4
::5
::6
::7
::8
::9
::A
All-Nodes (hosts)
All-Routers
Sin asignar
Enrutador con DVMPR
OSPF IGP
OSPF IGP DR
ST router
ST hosts
RIP
EIGRP
::B
::C
::D
::E
::16
::101
::1:1
::1:2
::1:3
::1:FFxx:xxxx
Todo los agentes móviles
SSDP
Enrutadores con PIM
RSVP-encapsulation
LLMNR
Servidores NTP
Link name
Agentes “DHCP relay”
DNS & LLMNR
SNMA o Solicited-Name
Multicast Address (X
representa los 24 bits mas
bajos de la MAC del nodo)
Página 13
ITESM
NOTA: Las direcciones multicast de los protocolos RIP, EIGRP, OSFP
se verán más a fondo en prácticas posteriores. Pero todas se refieren
a que enrutadores (dentro de ese Scope) que estén usando el
protocolo de enrutamiento escuchen los mensajes de esa dirección
multicast en particular.
Como ejemplo de estos mensajes Multicast podemos tomar que si se envía un mensaje
multicast FF02::1 quienes deben de atenderlo son todo los nodos de un enlace local. Si se
envía con FF02::2 es para todo los enrutadores del área. Si se enviara con FF05::2 va
destinado a todo los enrutadores de la empresa.
Pero la última entrada de la tabla 3: 1::ffxx:xxx es de particular interés, los bits en X
representan los 24 bits para identificar a un dispositivo y su propósito es opuesto a lo s otros
casos. En este, el mensaje multicast está definido para que todos lo escuchen y que puedan
identificar al remitente con los 24 bits más bajos, este tipo de dirección Multicast es
aprovechado por el protocolo “Neighbor Discovery” para lograr su come tido.
Neighbor Discovery Prtocol (NDP)
Su función es permitir la configuración de un nodo de forma automática mediante lo
denominado “stateless”, detectar su Gateway y configurarlo así como validad la existencia de
vecinos locales. Viene a sustituir el hibrido de ARP, ICMP Router Discovery (RDISC) e ICMP
Redirect de IPv4.
Este protocolo hace un uso intensivo de 3 direcciones de IPv6 en: dirección invalida
( :: ) ,direcciones multicast de alcance local a todo los nodos (FF0x::01) y una dirección
multicast de alcance local denominada SNMA (Solicited Node Multicast Address) que utiliza
los 24 bits más bajos de la MAC del nodo.
Como ya se mencionó prácticamente NDP consiste de 4 mensajes de ICMPv6 los cuales:
Página 14
ITESM
El primer par se maneja entre nodos cuando se están asignando direcciones y cuando se
desea establecer una comunicación con un nodo local. El segundo grupo es el que permite
que el nodo conozca que direcciones de otros “scopes” debe de configurar (si sus prefijos
son de 64 bitS) y registra al Gateway. Existe un quinto tipo de mensaje de NDP denominado
“Redirect Message” pero no es objeto de estudio en este laboratorio.
Ya en prácticas pasadas vimos los resultados de “SLAAC” pero se logra combinando los 4
mensajes de NDP en los siguientes 6 pasos:
0. Habilitar interfaz (primera vez)
1. Auto-Configuración de la dirección local (FE80::/10) y su respectivo “Duplicated
Address Detection” (DAD)
2. Envió del mensaje “Router Discovery”
3. (Opcional) Si un enrutador respondió el mensaje del paso 2 entonces tomar de su
respuesta los prefijos de las direcciones globales correspondientes y generar SLAAC
en cada una de ellas (Solo direcciones con prefijo de 64).
4. (Opcional) Envío de mensaje “Default Router Neighbor Discovery” (Request)
5. (Opcional) Espera de captura y toma de información de “Default Router Neighbor
Discovery” (Reply)
6. Por cada dirección global que se tenga, realizar un DAD
Lo que diferencia cada mensaje en cada paso serán los campos de direcciones y los datos del
mensaje ICMP. La tabla siguiente muestra un resumen de tales pasos.
Proceso
1**
DAD
2
Router
Mensaje
Neighbor
Solicitation
D. Origen*
::
D. Destino*
FF02::1:FF[TentL]
Neighbor
Solicitation
FE80::[Tentativa]
FF02::1:FF[TentL]
Router
Solicitation
FE80::[ Asignada]
FF02::2
Discovery
3
Global
Prefix
Router
FE80::[Router]
Advertisement
4
Neighbor
Neighbor Solicitation
FE80::[ Asignada]
FE80::[ Asignada]
FF02:1:FF[RoutL]
Características Adicionales
El campo target posee la
dirección unicast (FE80::/10)
tentativa
Si aparece este mensaje significa
que la dirección tentativa ya está
tomada.
Si la dirección Origen es la
invalida entonces no hay
“source-link Address”.
Este mensaje dispara el mensaje
del paso 3 (si existen enrutadores
en el enlace local).
La diferencia entre un mensaje
de este tipo automático de uno
solicitado por NDP es el destino,
si se utiliza la dirección All-Nodes
es el primer caso.
En este punto se asignan
direcciones tentativas de las
direcciones globales.
El campo Link-Layer Address
contendrá la Mac Address del
Página 15
ITESM
nodo origen.
Este paso solo ocurre si existe un
router.
Discovery
(request)
5
Neighbor
Discover
y (Reply)
6
Global
DAD
Neighbor
FE80:: [ Asignada] FE80:: [RoutL]
Advertisement
Neighbor
Solicitation
::
FF02::1:FF[TentL]
El campo target posee la
dirección unicast (2000::/10)
tentativa.
Este paso se repite por cada
dirección global
*Todas las direcciones (origen y destino) tienen un prefijo de 128
** Primero se carga una dirección local tentativa, se deja pasar un tiempo aleatorio y
entonces se envía el primer mensaje.
Microsoft y GNU/Linux
NDP es implementado de forma distinta en los S.O. contemporáneos ya que las reglas del
RFC que lo definen se fueron actualizando desde 1998 (sufriendo cambios importantes en el
2004 y 2009). Los casos mejores documentados son Microsoft, que implemento IPv6 en el
2003 en el S.O. Windows XP Service Pack 2 (y esta implementación es la misma en todo los
siguientes S.O.) y el kernel Linux de los S.O. GNU/Linux que lo implemento en la versión 2.5
mediante USAGI y cuya ultima actualización significativa fue en el 2005.
En el caso de Microsoft ellos implementan simultáneamente los servicios de NPD, DHCPv6 y
las traducciones de nombres de dominios mediante 3 servidores (que pertenecen al bloque
FEC0::/10 ya en “deprecated” u obsoleto). Por lo mismo el inicio de la implementación de
NDP es con un mensaje ICMPv6 denominado “Multicast Listener Report V2” caracterizado
porque la dirección origen es invalida ( :: ) y además realiza los 6 pasos de NDP de forma
paralela (en la premisa que la asignación de la dirección al ser pseudo-aleatoria dificulta el
que se hallen duplicados).
En el caso de los sistemas que utilizan USAGI también hacen uso de LLMNR (relacionados a
dominios de DNS) e inician su proceso mediante el mismo mensaje que Microsoft: “Multicast
Listener Report V2” pero no maneja los 3 servidores DNS ni habilita por defecto DHCPv6.
Paso 1: Preparar computadoras.
Siga los pasos indicados por el instructor para elegir el S.O. de cada computadora pero todas
requieren tener Wireshark ya capturando paquetes.
Página 16
ITESM
Paso 2: SLAAC PC1 a PC4
Este paso requiere que el instructor maneje adecuadamente el manejo de NDP o bien
poseen material adicional para apoyar
Siga los pasos del instructor para ir capturando los mensajes de comunicación del protocolo
NDP con el sniffer Wireshark. El instructor indicara en qué momento se conectara activara
la interfaz de red del Enrutador.
Paso 3: Conecte PC1 y PC2 tal como se muestra en la topología.
Cambie de lugar las computadoras de PC1 y PC2 a sus respectivos lugares.
¿Cuál es la diferencia del tipo de dirección en las nuevas interfaces en comparación con la
anterior??
_____________________________________________________________________
¿ES posible que mediante los mensajes de “Router Adverstiment” se pueda notificar esta
nueva tipo de dirección y que el nodo se pueda configurar?
TIP: Recuerde que IPv6 permite múltiples direcciones así que debe de asegurarse de
que estén borradas las anteriores.
Página 17
ITESM
Tarea 5: Verificación de configuración y pruebas de conectividad
Esta tarea consistirá en hacer una prueba de red cuyo objetivo es validar que de extremo a
extremo exista conectividad.
Los pasos seguidos aquí son métodos adecuados para cualquier configuración de red y se
recomienda seguirlos en esta y futuras prácticas.
Paso 1: Validar tablas de enrutamiento
La tabla de ruteo es el corazón de las decisiones de los enrutadores, por esta ocasión solo
nos enfocaremos en validar las entradas que estén correctas. En futuras prácticas se
profundizara más en la tabla de ruteo, sus componentes y funciones.
Cada enrutador debe tener 2 interfaces (Con conexiones directas y locales) tal como se
muestra a continuación:
R1#show ipv6 route
IPv6 Routing Table - Default - 5 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, M - MIPv6, R - RIP, I1 - ISIS L1
I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D – EIGRP
EX - EIGRP external
O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
C
2001:DB8:C0CA::C0A8:100/120 [0/0]
via FastEthernet0/0, directly connected
L
2001:DB8:C0CA::C0A8:101/128 [0/0]
via FastEthernet0/0, receive
C
2001:DB8:C0CA::C0A8:200/120 [0/0]
via Serial0/0/0, directly connected
L
2001:DB8:C0CA::C0A8:201/128 [0/0]
via Serial0/0/0, receive
L
FF00::/8 [0/0]
via Null0, receive
R2#show ipv6 route
IPv6 Routing Table - Default - 5 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, M - MIPv6, R - RIP, I1 - ISIS L1
I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D – EIGRP
EX - EIGRP external
O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
C
2001:DB8:C0CA::C0A8:200/120 [0/0]
via Serial0/0/0, directly connected
L
2001:DB8:C0CA::C0A8:202/128 [0/0]
via Serial0/0/0, receive
C
2001:DB8:C0CA::C0A8:300/120 [0/0]
Página 18
ITESM
L
L
via FastEthernet0/0, directly connected
2001:DB8:C0CA::C0A8:301/128 [0/0]
via FastEthernet0/0, receive
FF00::/8 [0/0]
via Null0, receive
Los valores de las direcciones locales (Fe80::/8) van a una sola interfaz, de hecho es null0, ,
en la tabla de ruteo se puede apreciar que tiene L en dirección completamente de host (el
prefijo es 128) mientras que las redes están con prefijos de 120
Paso 2: Validar estado de las interfaces (Opcional)
Si por alguna razón las tablas de ruteo no muestran la información anterior, es necesario
verificar el estado de la interfaz. Si una interfaz tiene un error de configuración (Capa IP) o
bien tiene problemas físicos (Capa de conexión física) la interfaz no será agregada a la tabla
de ruteo.
Un modo fácil de checar esto, es con el comando “show ipv6 interface brief”
R1#show ipv6 interface brief
FastEthernet0/0
[up/up]
FE80::6FE:7FFF:FE37:BF48
2001:DB8:C0CA::C0A8:101
FastEthernet0/1
[administratively down/down]
Unassigned
Serial0/0/0
[up/up]
FE80::6FE:7FFF:FE37:BF48
2001:DB8:C0CA::C0A8:201
Serial0/0/1
Unassigned
SSLVPN-VIF0
[up/up]
unassigned
R2#show ipv6 interface brief
FastEthernet0/0
[up/up]
FE80::6FE:7FFF:FEEB:7C10
2001:DB8:C0CA::C0A8:301
FastEthernet0/1
Unassigned
Serial0/0/0
[up/up]
FE80::6FE:7FFF:FEEB:7C10
2001:DB8:C0CA::C0A8:202
Serial0/0/1
Unassigned
SSLVPN-VIF0
[up/up]
unassigned
Los elementos entre corchetes se refieren a [Capa 1/Capa 2] del modelo de protocolo TCP/IP.
Si falla el primer componente automáticamente falla el Segundo, por lo tanto revise el
cableado utilizado.
Página 19
ITESM
Observación: Un error extremadamente común en el laboratorio es la
conexión incorrecta de los cables Null modem para identificar al dispositivo
DCE.
Paso 3: Probar la conectividad de hosts a gateway por defecto
Desde PC1, ¿es posible dar ping a la interfaz Ethernet de R1 (Gateway)?
Desde PC2, ¿es posible dar ping a la interfaz Ethernet de R2 (Gateway)?
____
____
Si para alguna de las preguntas anteriores la respuesta es no, resuelva el problema de
configuración y utilice el siguiente proceso sistemático para encontrar el error:
1. Verifique las PC.
¿Están conectadas físicamente al router correcto? (La conexión puede realizarse a
través de un switch o en forma directa.) __________ ¿Titilan las luces de enlaces en
todos los puertos correspondientes? _________
2. Verifique las configuraciones de las PC.
¿Coinciden con el Diagrama de topología? __________
3. Verifique las interfaces del router mediante el comando show ip interface brief.
¿Están las interfaces conectada y conectada? __________
Si responde sí a estos tres pasos, entonces podrá hacer ping al gateway por defecto con
éxito.
Paso 4: Conectividad entre enrutadores R1 y R2
¿Es posible hacer ping al enrutador R2 desde R1 mediante el comando ping
2001:db8:c0ca::c0a8:202? ________
¿Es posible hacer ping al enrutador R1 desde R2 mediante el comando ping
2001:db8:c0ca::c0a8:201? ________
Si para las preguntas anteriores la respuesta es no, resuelva el problema de configuración y
utilice el siguiente proceso sistemático para encontrar el error:
1. Verifique la conexión.
¿Están los routers conectados físicamente? ________
¿Titilan las luces de enlaces en todos los puertos correspondientes? ________
2. Verifique las configuraciones de los routers.
¿Coinciden con el Diagrama de topología? ________
¿Configuró el comando clock rate en el lado DCE del enlace? ________
3. Verifique las interfaces del router mediante el comando show ipv6 interface brief.
¿Están las interfaces “conectada” y “conectada”? ________
Si responde sí a estos tres pasos, entonces podrá hacer ping de R2 a R1 y de R2 a R1 con
éxito.
Tarea 6: Prueba final (Extremo a extremo) y reflexión
Realice los siguientes pings:
1.
2.
3.
Pc1 a PC2 (o viceversa)
PC1 a R2 (S0/0/0)
PC2 a R1 (S0/0/0)
Ninguno de los pings puede dar éxito. Haga un momento de análisis y conteste la
siguiente pregunta:
Página 20
ITESM
¿Ocurre lo mismo en IPv4?
___________________________________________________________________
___________________________________________________________________
¿Qué falta en la red que impide la comunicación sea completada con éxito?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
TIP: Los mensajes “echo request” del caso 2 si llegan hasta R2, pero este no es
capaz de regresar la respuesta “echo reply” a PC1.
Revisión
Notifique al instructor al terminar la práctica y una vez revisado proceda a la limpieza del
equipo.
Limpieza del equipo
Una vez terminada la práctica, ejecute los pasos de la tarea preventiva “Borrado de un
router”. Además recoja el equipo y cables utilizados y acomódelos como le sea indicado
por el instructor.
Por último, si está utilizando Windows y uso Netsh, ejecute el comando
Netsh interface ipv6 delete address interface=”Nombre Interfaz” address=X:X:X:X:X:X:X:X/D
Si utilizo más de una dirección, entonces proceda a borrarlas todas con el comando:
Netsh interface ipv6 reset
Este comando necesita que la maquina sea reiniciada.
Recuerden, que si uno de los equipos de cómputo o dispositivos de red no está
debidamente borrado todo el equipo puede hacerse acree dor a que la calificación
de la práctica sea nula.
Reflexión
“IPv6 unicast routing” es el comando utilizado para permitir el ruteo de paquetes de IPv6. En
iOS 12.4(T) – con el cuál fueron elaborados estas prácticas – dicho comando se encuentra
deshabilitado por defecto.
¿Por qué considera que solo se permite el ruteo de paquetes IPv4?
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
Página 21
ITESM
Bibliografía
Cisco. (25 de Febrero de 2011 ). Implementing IPv6 Addressing and Basic Connectivity .
Recuperado el Julio de 2011, de Cisco System:
http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6addrg_bsc_con.html
Cisco Networking Academy. (2006). CCNP: Building Scalable Internetworks V5.0.3.0 - IPv6.
Cisco Networking Academy. (2007). CCNA Exploration - Accesing the Want - IP Addressing
Services.
IANA.org. (s.f.). IANA IPv4 Address Space Registry. Recuperado el 13 de Junio de 2011, de
IANA: http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml
Microsoft. (5 de Enero de 2005). Microsoft Technet. Recuperado el 2011, de Neighbor
Discovery (ND): http://technet.microsoft.com/enus/library/cc778019%28WS.10%29.aspx
Wireshark. (14 de Junio de 2010). Leuter Discovering IPv6 with Wireshark. Obtenido de
Wireshark University.
Página 22

Práctica 3: Configuración básica del router

Transcripción

Documentos relacionados

DHCPv6 - 6DEPLOY

IPv6 - Cudi

versión PDF - Portal IPv6