Práctica 3: Configuración básica del router
Transcripción
Práctica 3: Configuración básica del router
Laboratorio de redes ITESM Dep. Ciencias Computacionales INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY Laboratorio de Redes 2 Práctica 3 – Configuración básica del router Autor: Ing. Raúl Armando Fuentes Samaniego Duración aproximada: 3 horas Objetivo: El alumno aprenderá lo necesario para una configuración a un enrutador cuyo sistema operativo sea IOS (De Cisco). Al finalizar el laboratorio, el alumno conocerá los elementos de hardware claves de un enrutador así como los comandos necesarios para garantizar un nivel mínimo de seguridad y funcionalidad. Requisitos 2 enrutadores con capacidad para IPv6 Un conmutador Dos computadoras con capacidad para IPv6 y con Packet Tracer instalado. Conectores Seriales y cableado correspondiente. Conceptos de IPv6 de la práctica 1 (y práctica 2) Cisco Se recomienda ampliamente que el alumno realice la lectura del capítulo “CCNA Fundamentals Routing Protocols and Concepts Chapter 1” para reforzar el tema que se introduce en esta práctica. Diagrama de topología Última edición: julio de 2012 Página 1 Laboratorio de redes ITESM Dep. Ciencias Computacionales Tabla de direccionamiento IPv4 Disp. Interfaz Dirección IP Mascara de subred Fa 0/0 S0/0/0 Fa 0/0 S0/0/0 ----- 192.168.1.1 192.168.2.1 192.168.3.1 192.168.2.2 192.168.1.10 192.168.3.10 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Interfaz Fa 0/0 Fa 0/1 S0/0/0 Fa 0/0 S0/0/0 --------- IPv6 Dirección IP 2001:db8:c0ca::192.168.1.1 2001:db8:c0ca:cafe::1 2001:db8:c0ca::192.168.2.1 2001:db8:c0ca::192.168.3.1 2001:db8:c0ca::192.168.2.2 2001:db8:c0ca::192.168.1.10 2001:db8:c0ca::192.168.3.10 SLAAC SLAAC R1 R2 PC1 PC2 Disp. R1 R2 PC1 PC2 PC3 PC3 Prefijo 120 64 120 120 120 120 120 64 64 Gateway por defecto --------192.168.1.1 192.168.3.1 Gateway por defecto ----------2001:db8:c0ca::192.168.1.1 2001:db8:c0ca::192.168.3.1 SLAAC SLAAC Practica En esta actividad se creara una red basada en el diagrama de topología. Se seguirán las indicaciones del instructor para el cableado de la misma y para su configuración. Una vez diseñada y configurada, se examinaran las tablas de ruteo para verificar su correcto funcionamiento. Tarea 1: Conectar la red (Cableado) Conecte una red que sea similar a la del Diagrama de topología. El resultado que se utiliza en esta práctica de laboratorio es de los enrutadores Cisco 2811. Se pueden utilizar otros modelos si estos tienen suficientes interfaces físicas y del tipo mostrado en la topología. Respecto a las computadoras, por el momento conecten todas las PC al switch1 ya que en la tarea 4 se trabajara primero en esa interfaz y al termino de ella se adecuaran las computadoras a como esta en la topología. Conteste las siguientes preguntas: ¿Qué tipo de cable se utiliza para conectar la interfaz Ethernet en una PC host a la interfaz Ethernet en un switch? __________________________ ¿Qué tipo de cable se utiliza para conectar la interfaz Ethernet en un switch a la interfaz Ethernet en un router? __________________________ Última edición: julio de 2012 Página 2 Laboratorio de redes ITESM Dep. Ciencias Computacionales ¿Qué tipo de cable se utiliza para conectar la interfaz Ethernet en un router a la interfaz Ethernet en una PC host? ___________________________________ Tarea preventiva: Borrado de un enrutador A lo largo del laboratorio se estará trabajando con los enrutadores, aunque lo ideal es que el enrutador este previamente en blanco no siempre se puede. (Tener en cuenta políticas indicadas por el instructor acerca de ello) y por lo mismo se sugiere borrar al inicio los enrutadores. Para ello se indican los siguientes pasos que se deben de ejecutar en cada enrutador: Paso 1: Establecer una sesión de terminal (consola o virtual) Se debe de hacer una conexión a la terminal del enrutador, para ello puede usarse por medio de una sesión virtual (Telnet o SSH) o utilizando directamente una sesión de consola que utiliza comunicación serial. La segunda opción es la recomendable ya que no es necesario conocer la configuración TCP/IP del enrutador. Para la conexión serial se necesita un programa que emule una terminal con comunicación serial, por defecto los enrutadores responden a la velocidad 9600 bauds rates con configuración 8NZ1 (8 bits de transmisión, No bit de paridad, un bit de detenerse, y cero control de flujo). En las computadoras del laboratorio para el Sistema Operativo Windows 7 se ofrece un programa denominado Tera-term que ofrece dichos servicios. Si se está manejando Linux, existe el programa Gtk Term para realizar dicha actividad. Proceda a conectar el cable serial – roll over – al puerto consola del enrutador. Si tiene duda, pida apoyo al instructor. Una vez realizada la conexión abra su programa de terminal serial, si no aparece nada en la pantalla presione la tecla “enter” debe aparecer una línea de comando como la siguiente: Router> Paso 2: Entre al modo privilegiado EXEC Router>enable Router# Paso 3: Borre la configuración Para eliminar la configuración, ejecute el comando “erase startup-config”. Cuando se le solicite, presione Intro para [confirm] (confirmar) que realmente desea borrar la configuración que actualmente se guarda en NVRAM. Última edición: julio de 2012 Página 3 Laboratorio de redes ITESM Dep. Ciencias Computacionales Router#erase startup-config Erasing the nvram filesystem will remove all files! Continue? [confirm] [OK] Erase of nvram: complete Router# Paso 4: Recargue la configuración Una vez esté limpia la memoria Nvram se procederá a reiniciar el enrutador, esto se puede lograr mediante instrucción por software o apagando directamente el enrutador. El comando para reiniciarlo en software es Reload. Router#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] Debe evitar el guardar una configuración, ya que es lo contrario a lo que queremos hacer. Una vez el enrutador este reiniciado aparecerá un wizad auto-instalación. Durante todo el laboratorio las configuraciones se harán de forma manual por lo tanto no se utilizara ese wizard. Would you like to enter the initial configuration dialog? [yes/no]: no Would you like to terminate autoinstall? [yes]: [Press Return] Press Enter to accept default. Press RETURN to get started! … … … router# Tarea 2: Realizar la configuración base del router R1 La configuración aquí mostrada, es configuración básica que todo enrutador debe de llevar; Si se tiene duda acerca de lo que el comando realiza o de su sintaxis puede utilizar el símbolo de ayuda “?” con el cual se desplegara información. Si se escribe pegado a una palabra que se esté escribiendo mostrara el comando completo (o los comandos que coincidan con lo escrito hasta ese momento) si se deja un espacio indicara cuales son los siguientes posibles argumentos. NOTA: Para todo las contraseñas en esta y futuras prácticas se les pide que utilicen “class” para modo EXEC y “cisco” para las sesiones consola y virtual. En cualquier caso que dichas contraseñas no sean utilizadas el instructor procederá a anular la calificación del equipo completo. Paso 1: Establecer una sesión consola al enrutador R1 Si no se ha realizado el cableado realícelo ahora siguiendo los pasos del instructor. Última edición: julio de 2012 Página 4 Laboratorio de redes ITESM Dep. Ciencias Computacionales Paso 2: Entre al modo privilegiado EXEC Router>enable Router# Paso 3: Entre al modo de configuración global Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# Paso 4: Configure el nombre del router como R1 El comando hostname <nombre> nos permite configurar un nombre. Router(config)#hostname R1 R1(config)# Paso 5: Desactive la búsqueda DNS Mientras que en un escenario real la capacidad de traducir nombres de forma automática es deseada en un laboratorio donde rara vez se encuentre un servidor DNS resulta perjudicial. Cuando un comando incorrecto (en sintaxis) es introducido el iOS creerá que se trata de un nombre y por lo mismo procederá a traducirlo lo cual es un proceso lento y que solo perjudicara al alumno. Para deshabilitarlo se utilizara el prefijo “NO” al comando que lo habilita, que es ip domainlookup . R1(config)#no ip domain-lookup R1(config)# Paso 6: Configure la contraseña de acceso al modo EXEC Existen dos comandos para la configuración de una contraseña, “secret” y “password” la diferencia entre ellos radica en el modo en que estos son guardados, ya que el primero se guarda utilizando un hash MD5 y el segundo se guarda en texto plano. Por lo mismo en esta y futras prácticas se utilizara “secret” R1(config)#enable secret class R1(config)# La razón de esta contraseña es proteger el acceso del modo invitado ( Router>) al modo privilegiado (Router#) en el cual es posible configurar al enrutador. Paso 7: Configurar un mensaje del día Se puede configurar un mensaje del día mediante el uso del comando “banner motd” R1(config)#banner motd & Enter TEXT message. End with the character '&'. ******************************** !!!SOLO PERSONAL AUTORIZADO!!! Última edición: julio de 2012 Página 5 Laboratorio de redes ITESM Dep. Ciencias Computacionales ******************************** & R1(config)# ¿En qué punto se muestra el titulo? ____________________________________________________________________________ TIP: Si utiliza el comando “exit” ira saliendo lentamente de cada modo, si ejecuta “exit” estando en el modo invitado terminara la conexión, con lo cual puede volver a entrar para contestar esta pregunta. ¿Cuál cree es el motivo por el cual todos los enrutador deben tener un mensaje como este? ____________________________________________________________________________ ¿Es posible sustituir el carácter “&” por otro carácter? (Puede apoyarse con el comando de auto ayuda) ____________________________________________________________________________ Paso 8: Configure la contraseña de consola del router Utilize “cisco” como contraseña. R1(config)#line console 0 R1(config-line)#password cisco R1(config-line)#login R1(config-line)#exit R1(config)# El objetivo de esta contraseña es controlar el acceso físico al enrutador cuando se realiza por medio de un cable serial. Es decir, antes de poder entrar siquiera al modo invitado se solicitara una contraseña. Paso 9: Configure la contraseña de líneas virtuales para el enurtador Utilice cisco como contraseña. R1(config)#line vty 0 4 R1(config-line)#password cisco R1(config-line)#login R1(config-line)#exit R1(config)# Cada sesión virtual toma una línea, por lo mismo es recomendable configurar cierta cantidad de líneas simultáneamente, “0 4” es un rango de 5 líneas. ¿Cuántas líneas virtuales soporta su enrutador? (Puede apoyarse con el comando de auto ayuda) Última edición: julio de 2012 Página 6 Laboratorio de redes ITESM Dep. Ciencias Computacionales ____________________________________________________________________________ Tarea 3: Configuración de las interfaces La configuración de las interfaces se debe de hacerse para IPv6 e IPv4.Ttodos los comandos relacionados a IPv6 poseen “ipv6” mientras que los comandos de IPv4 al ser los comandos originales solo llevan “ip” en vez de algo como ipv4. La configuración aquí mostrada, es configuración básica para las interfaces del tipo Ethernet y Serial, la principal diferencia radica en los elementos a configurar en la Capa 2 del modelo OSI en cada tipo de interfaz. Paso 0: Ruteo de paquetes unicast IPv6 A diferencia de paquetes de IPv4, un enrutador por defecto no enrutará paquetes de IPv6 así que antes debemos asegurarnos de que lo haga. Para ello desde un nivel de configuración global ejecutamos: R1(config)#ipv6 unicast-routing Paso 1: Configure la interfaz Serial 0/0/0 (R1) Se debe de llegar hasta el nivel de configuración de interfaz (config-if) y específicamente para la serial 0/0/0. DCE/DTE: Las comunicaciones seriales (Capa 1-2 OSI) difieren a comunicaciones Ethernet (Capa 1-2 OSI) en que es una conexión de punto a punto, no es necesario conocer la dirección del vecino, PERO es necesario sincronizarlos con un reloj maestro. Dicho reloj es configurado siempre por los dispositivos DCE y durante los escenarios en el laboratorio tales dispositivos siempre recaerán en los enrutadores. R1(config-if)#interface serial 0/0/0 R1(config-if)#ipv6 address 2001:db8:c0ca::192.168.2.1/120 R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown R1(config-if)# NOTA: Al tratarse de una interfaz serial esta no estará activa hasta que este correctamente configurada en el otro extremo (R2). Paso 2: Regrese al modo EXEC (R1) Utilice el comando end para regresar al modo EXEC. R1(config-if)#end R1# Última edición: julio de 2012 Página 7 Laboratorio de redes ITESM Dep. Ciencias Computacionales Paso 3: Configure la interfaz Serial 0/0/0 (R2) Se debe de llegar hasta el nivel de configuración de interfaz (config-if) y específicamente para la serial 0/0/0, este enrutador es un dispositivo DTE. R2(config-if)#interface serial 0/0/0 R2(config-if)#ipv6 address 2001:db8:c0ca::192.168.2.2/120 R2(config-if)#ip address 192.168.2.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)# %LINK-5-CHANGED: Interface Serial0/0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2(config-if)# NOTA: Si las últimas líneas no aparecen entonces quiere decir que fallo l a configuración o hay un cableado incorrecto. (Recordando que Router 1 fue previamente configurado así que debería levantarse correctamente la comunicación entre ambos extremos). Paso 4: Configure las interfaces Fast Ethernet 0/0 Para R1: R1(config)#interface fastethernet 0/0 R1(config-if)#ipv6 address 2001:db8:c0ca::192.168.1.1/120 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R1(config-if)# Para R2: R2(config-if)#interface fastethernet 0/0 R2(config-if)#ipv6 address 2001:db8:c0ca::192.168.3.1/120 R2(config-if)#ip address 192.168.3.1 255.255.255.0 R2(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R2(config-if)# Última edición: julio de 2012 Página 8 Laboratorio de redes ITESM Dep. Ciencias Computacionales NOTA: Las últimas líneas solo aparecerán si el enrutador está conectado al conmutador (que se supone ya lo está). Notaran en esta ocasión una sintaxis algo diferente a los comandos de la práctica pasada ya que los últimos puntos han sido escritos en una notación de IPv4. En realidad esto solo es válido dentro de enrutadores Cisco y lo que realmente hace es convertir la notación decimal a hexadecimal. Utilicen el comando “show ipv6 interface brief” y anoten las verdaderas direcciones IPv6 que poseen las interfaces: R1 R2 Fa 0/0 S0/0/0 Fa 0/0 S0/0/0 Paso 5: Configure la interfaz Fast Ethernet 0/1 en R1 R1(config)#interface fastethernet 0/1 R1(config-if)#ipv6 address 2001:db8:c0ca:cafe::1/64 R1(config-if)#shutdown El último comando es intencional, por el momento la interfaz estará apagada. Paso 6: Guarde la configuración ¿Cuál es la sintaxis del comando Copy? (Este comando se ejecuta desde el nivel de configuración global) ____________________________________________________________________________ Ejemplo usado para R1: R1#copy running-config startup-config Building configuration... [OK] R1# ¿Cuál es la versión más corta que se puede utilizar para este comando? ____________________________________________________________________________ TIP: El comando de auto-ayuda ( “?”) puede ayudarlos. No olvide guardar también la configuración del Router 2. Tarea 4: Hosts en una red IPv6 En las últimas dos prácticas se estuvo utilizando simuladores para facilitar el aprendizaje pero hay un elemento fundamental de IPv6 que no se ha profundizado del todo y es “SLAAC” (Stateless Auto-configuration) este mecanismo hace uso de un protocolo denominado “Network Discovery” el cuál se encuentra especificado dentro del protocolo ICMPv6. Última edición: julio de 2012 Página 9 Laboratorio de redes ITESM Dep. Ciencias Computacionales Internet Control Message Protocol para IPv6 (ICMPv6) Este protocolo de Capa 3 tiene el mismo objetivo que ICMPv4, ser el protocolo de control de IPv6; con el nosotros podemos verificar sí un host determinado se encuentra en línea, si un servicio está disponible o no es alcanzable, el actual “trhougput” y velocidad de los medios involucrados el ruteo que está tomando nuestros paquetes y como un elemento nuevo en IPv6 el permite la auto-configuración de los nodos además de otras cosas. El cuerpo del encabezado de ICMPv6 es extremadamente sencillo aunque el cuerpo (los datos) varían fuertemente. La siguiente ilustración marca el formato de dicho encabezado: Ilustración 1- Encabezado ICMPv6 tipico Los diferentes tipos de mensajes que genera ICMPv6 se pueden apreciar en el RFC 2463 (IETF, 1998) y la siguiente tabla es solo unos cuantos de estos “tipos” con sus respectivos códigos. Tabla 1 – Valores de tipos de ICMPv6 Tipo Valor Corresponde a Código Valor Significa 0 No existe ruta al destino 1 1 Destino inalcanzable (Destination Unreachable) 6 2 3 4 5 6 7 Comunicación con el destino está prohibida a nivel administrativo. El destino está más allá de la dirección origen. Dirección inalcanzable Puerto inalcanzable Dirección origen rechazada por política de ingreso/egreso. Ruta al destino rechazada. Error en el encabezado de enrutamiento desde la fuente. 2 Paquete demasiado grande 0 3 (Packet Too big) Tiempo excedido (Time Exceeded) 0 Límite de hop excedidos en transito 1 Tiempo de re-ensamble de fragmentos Última edición: julio de 2012 Página 10 Laboratorio de redes ITESM Dep. Ciencias Computacionales excedido 128 129 133 134 135 136 137 Echo request Echo Reply Router solicitation (NDP) Router Advertisement (NDP) Neighbor Solicitation (NDP) Neighbor Advertisement (NDP) Redirect Message 0 0 0 0 0 0 0 Como notaran la mayor parte de ellos poseen contra partes en IPv4 pero hay varios de interés que forman parte del protocolo “Neighbor Discovery” pero dichos mensajes de ICMPv6 hacen uso intensivo de los mensajes multicast y por lo mismo debemos hablar de ellos. Multicasting Multicasting se vuelve un elemento fundamental en el mecanismo de IPv6 y por lo mismo es indispensable entender su operación. El cual consiste en que existen grupo multicasting (representados por una dirección multicast) y miembros que pertenecen a dicho grupo. Estos grupos quedan definidos usualmente por protocolos para la infraestructura de red o para el uso de una aplicación interna dentro de la red. En general todo nodo que posea una aplicación o un protocolo que deba participar en un grupo multicast separará un puerto (UDP usualmente) y además de tomar paquetes con su dirección IP también tomara los paquetes con la dirección multicast del grupo en el que participa. En IPv6 se tiene todo un bloque completo de direcciones para Multicast los cuales empiezan con FF::/8 y los siguientes 120 bits servirán para identificar a los grupos que participan, quienes lo reciben e incluso quien lo envía. En general, una dirección Multicast es definidas por un inicio de FF, los siguientes 4 bits indica si son servicios predefinidos (existentes en RFC por ejemplo) o servicios personalizados, después indicara a que nivel pueden llegar los mensajes y los últimos bits permitirá decidir quiénes escuchan y de ser necesario a quien responderle de forma individual. Lo anterior se puede apreciar con la siguiente imagen: Última edición: julio de 2012 Página 11 Laboratorio de redes ITESM Dep. Ciencias Computacionales Ilustración 2 – Distribución de una dirección Multicast (2012) Los bits 9 al 12 son banderas de control (FLAGS) de los cuales dependiendo de su configuración será como tratar el campo de 112 bits denominado “Group-ID”. Conforme al RFC 4291 estas son las funciones de los bits: Bit 9 – Por el momento se encuentra reservado, por lo mismo siempre debe de valer 0 (CERO) Bit 10 ó R(endzevous Point): Su utilización se encuentra definida en el RFC 3956, en general se utiliza para multicast entre dominios (Diferentes AS). Bit 11 ó P(refix-based): Este bit cuando tiene un valor de uno servirá para indicar que parte del campo “Group-ID” indicará también el prefijo de sub-red del cual es dirigido (longitud de 64 bits) además de dejar 32 bits para Interface -ID (Identificar nodos), además siempre que este bit este encendido el bit 12 de berá de valer 1. Bit 12 ó T(rasient/Well-known) Cuando este bit vale cero nos indica que la dirección multicasting pertenece a un grupo conocido de multicast, es decir es utilizada por algún protocolo de uso general ( NDP o protocolos de enrutamiento por ejemplo). Cuando vale 1, significa que está utilizando direcciones multicasting definidas por los administradores de la red de la empresa para aplicaciones particulares de la empresa. En síntesis el bit más importante es el número 12, durante el laboratorio de redes cuando trabajemos con mensajes multicasting lo haremos utilizando direcciones bien conocidas (Well-known) y por lo mismo el valor de los 4 bits será 0h (numero hexadecimal). Los siguientes 4 bits en la dirección identifican el alcance que el mensaje multicasting tiene dentro de la red. Sus valores importarán principalmente cuando el bit 12 valga cero. Por el Última edición: julio de 2012 Página 12 Laboratorio de redes ITESM Dep. Ciencias Computacionales momento en el actual RFC 4291 de los 16 posibles valores 3 se hallan reservados (no tendrán uso) y 6 se encuentran sin asignar. Y estos alcances o “scopes” son: Tabla 2 – Bits de alcance Nombre Interface/NodeLocal Valor (Hex) 1 Link-Local 2 Admin-Local 4 Site-Local OrganizationLocal Global 5 8 Sin asignar 6,7,9, A,B,C ,D 0,3,F Reservado E Descripción El alcance de este mensajes es solo de una única interfaz en un nodo, es decir, el mensaje multicasting nunca saldrá del nodo que lo emitió por lo mismo solo sirve para transmisiones lógicas (Loopback) El alcance de estos mensajes es el mismo que el alcance de un mensaje unicast del bloque FE80::/10 Es el alcance más pequeño que debe ser configurado por la administración. No es derivado del dispositivo o de otras configuraciones automáticas. (No se verán durante el curso del laboratorio). (DEPRECATED)El alcance es solo un sitio (dentro de una organización) El alcance del mensaje debe ser a múltiples sitios dentro de una misma organización. (Toda la red interna). Tienen capacidad de pasar por todo a la red interna y más halla (Se debe de tener especial cuidado con su uso). Por el momento queda disponible para administradores de redes para definir sus propios alcances (Aunque conviene más que el bit P este encendido). Reservado, no se debe de utilizar. Si un nodo recibe un paquete de ellos lo tira o lo trata como si fuese un scope Global (si utiliza el valor F). Una vez definido el alcance del mensaje queda por definir quien lo recibe y para ello están los últimos 120 bits denominado “Group-ID” (En algunos casos puede ser partido a la mitad, la parta alta en cero y la otra denominado “Interface-ID”). Cuando el bit T vale este bloque posee los siguientes posibles valores: Tabla 3 – Valores de “group ID” cuando el bit T(ransient) vale cero ::1 ::2 ::3 ::4 ::5 ::6 ::7 ::8 ::9 ::A All-Nodes (hosts) All-Routers Sin asignar Enrutador con DVMPR OSPF IGP OSPF IGP DR ST router ST hosts RIP EIGRP Última edición: julio de 2012 ::B ::C ::D ::E ::16 ::101 ::1:1 ::1:2 ::1:3 ::1:FFxx:xxxx Todo los agentes móviles SSDP Enrutadores con PIM RSVP-encapsulation LLMNR Servidores NTP Link name Agentes “DHCP relay” DNS & LLMNR SNMA o Solicited-Name Multicast Address (X representa los 24 bits mas bajos de la MAC del nodo) Página 13 Laboratorio de redes ITESM Dep. Ciencias Computacionales NOTA: Las direcciones multicast de los protocolos RIP, EIGRP, OSFP se verán más a fondo en prácticas posteriores. Pero todas se refieren a que enrutadores (dentro de ese Scope) que estén usando el protocolo de enrutamiento escuchen los mensajes de esa dirección multicast en particular. Como ejemplo de estos mensajes Multicast podemos tomar que si se envía un mensaje multicast FF02::1 quienes deben de atenderlo son todo los nodos de un enlace local. Si se envía con FF02::2 es para todo los enrutadores del área. Si se enviara con FF05::2 va destinado a todo los enrutadores de la empresa. Pero la última entrada de la tabla 3: 1::ffxx:xxx es de particular interés, los bits en X representan los 24 bits para identificar a un dispositivo y su propósito es opuesto a lo s otros casos. En este, el mensaje multicast está definido para que todos lo escuchen y que puedan identificar al remitente con los 24 bits más bajos, este tipo de dirección Multicast es aprovechado por el protocolo “Neighbor Discovery” para lograr su come tido. Neighbor Discovery Prtocol (NDP) Su función es permitir la configuración de un nodo de forma automática mediante lo denominado “stateless”, detectar su Gateway y configurarlo así como validad la existencia de vecinos locales. Viene a sustituir el hibrido de ARP, ICMP Router Discovery (RDISC) e ICMP Redirect de IPv4. Este protocolo hace un uso intensivo de 3 direcciones de IPv6 en: dirección invalida ( :: ) ,direcciones multicast de alcance local a todo los nodos (FF0x::01) y una dirección multicast de alcance local denominada SNMA (Solicited Node Multicast Address) que utiliza los 24 bits más bajos de la MAC del nodo. Como ya se mencionó prácticamente NDP consiste de 4 mensajes de ICMPv6 los cuales: Última edición: julio de 2012 Página 14 Laboratorio de redes ITESM Dep. Ciencias Computacionales El primer par se maneja entre nodos cuando se están asignando direcciones y cuando se desea establecer una comunicación con un nodo local. El segundo grupo es el que permite que el nodo conozca que direcciones de otros “scopes” debe de configurar (si sus prefijos son de 64 bitS) y registra al Gateway. Existe un quinto tipo de mensaje de NDP denominado “Redirect Message” pero no es objeto de estudio en este laboratorio. Ya en prácticas pasadas vimos los resultados de “SLAAC” pero se logra combinando los 4 mensajes de NDP en los siguientes 6 pasos: 0. Habilitar interfaz (primera vez) 1. Auto-Configuración de la dirección local (FE80::/10) y su respectivo “Duplicated Address Detection” (DAD) 2. Envió del mensaje “Router Discovery” 3. (Opcional) Si un enrutador respondió el mensaje del paso 2 entonces tomar de su respuesta los prefijos de las direcciones globales correspondientes y generar SLAAC en cada una de ellas (Solo direcciones con prefijo de 64). 4. (Opcional) Envío de mensaje “Default Router Neighbor Discovery” (Request) 5. (Opcional) Espera de captura y toma de información de “Default Router Neighbor Discovery” (Reply) 6. Por cada dirección global que se tenga, realizar un DAD Lo que diferencia cada mensaje en cada paso serán los campos de direcciones y los datos del mensaje ICMP. La tabla siguiente muestra un resumen de tales pasos. Proceso 1** DAD 2 Router Mensaje Neighbor Solicitation D. Origen* :: D. Destino* FF02::1:FF[TentL] Neighbor Solicitation FE80::[Tentativa] FF02::1:FF[TentL] Router Solicitation FE80::[ Asignada] FF02::2 Discovery 3 Global Prefix Router FE80::[Router] Advertisement 4 Neighbor Neighbor Solicitation FE80::[ Asignada] Última edición: julio de 2012 FE80::[ Asignada] FF02:1:FF[RoutL] Características Adicionales El campo target posee la dirección unicast (FE80::/10) tentativa Si aparece este mensaje significa que la dirección tentativa ya está tomada. Si la dirección Origen es la invalida entonces no hay “source-link Address”. Este mensaje dispara el mensaje del paso 3 (si existen enrutadores en el enlace local). La diferencia entre un mensaje de este tipo automático de uno solicitado por NDP es el destino, si se utiliza la dirección All-Nodes es el primer caso. En este punto se asignan direcciones tentativas de las direcciones globales. El campo Link-Layer Address contendrá la Mac Address del Página 15 Laboratorio de redes ITESM Dep. Ciencias Computacionales nodo origen. Este paso solo ocurre si existe un router. Discovery (request) 5 Neighbor Discover y (Reply) 6 Global DAD Neighbor FE80:: [ Asignada] FE80:: [RoutL] Advertisement Neighbor Solicitation :: FF02::1:FF[TentL] El campo target posee la dirección unicast (2000::/10) tentativa. Este paso se repite por cada dirección global *Todas las direcciones (origen y destino) tienen un prefijo de 128 ** Primero se carga una dirección local tentativa, se deja pasar un tiempo aleatorio y entonces se envía el primer mensaje. Microsoft y GNU/Linux NDP es implementado de forma distinta en los S.O. contemporáneos ya que las reglas del RFC que lo definen se fueron actualizando desde 1998 (sufriendo cambios importantes en el 2004 y 2009). Los casos mejores documentados son Microsoft, que implemento IPv6 en el 2003 en el S.O. Windows XP Service Pack 2 (y esta implementación es la misma en todo los siguientes S.O.) y el kernel Linux de los S.O. GNU/Linux que lo implemento en la versión 2.5 mediante USAGI y cuya ultima actualización significativa fue en el 2005. En el caso de Microsoft ellos implementan simultáneamente los servicios de NPD, DHCPv6 y las traducciones de nombres de dominios mediante 3 servidores (que pertenecen al bloque FEC0::/10 ya en “deprecated” u obsoleto). Por lo mismo el inicio de la implementación de NDP es con un mensaje ICMPv6 denominado “Multicast Listener Report V2” caracterizado porque la dirección origen es invalida ( :: ) y además realiza los 6 pasos de NDP de forma paralela (en la premisa que la asignación de la dirección al ser pseudo-aleatoria dificulta el que se hallen duplicados). En el caso de los sistemas que utilizan USAGI también hacen uso de LLMNR (relacionados a dominios de DNS) e inician su proceso mediante el mismo mensaje que Microsoft: “Multicast Listener Report V2” pero no maneja los 3 servidores DNS ni habilita por defecto DHCPv6. Paso 1: Preparar computadoras. Siga los pasos indicados por el instructor para elegir el S.O. de cada computadora pero todas requieren tener Wireshark ya capturando paquetes. Última edición: julio de 2012 Página 16 Laboratorio de redes ITESM Dep. Ciencias Computacionales Paso 2: SLAAC PC1 a PC4 Este paso requiere que el instructor maneje adecuadamente el manejo de NDP o bien poseen material adicional para apoyar Siga los pasos del instructor para ir capturando los mensajes de comunicación del protocolo NDP con el sniffer Wireshark. El instructor indicara en qué momento se conectara activara la interfaz de red del Enrutador. Paso 3: Conecte PC1 y PC2 tal como se muestra en la topología. Cambie de lugar las computadoras de PC1 y PC2 a sus respectivos lugares. ¿Cuál es la diferencia del tipo de dirección en las nuevas interfaces en comparación con la anterior?? _____________________________________________________________________ ¿ES posible que mediante los mensajes de “Router Adverstiment” se pueda notificar esta nueva tipo de dirección y que el nodo se pueda configurar? TIP: Recuerde que IPv6 permite múltiples direcciones así que debe de asegurarse de que estén borradas las anteriores. Última edición: julio de 2012 Página 17 Laboratorio de redes ITESM Dep. Ciencias Computacionales Tarea 5: Verificación de configuración y pruebas de conectividad Esta tarea consistirá en hacer una prueba de red cuyo objetivo es validar que de extremo a extremo exista conectividad. Los pasos seguidos aquí son métodos adecuados para cualquier configuración de red y se recomienda seguirlos en esta y futuras prácticas. Paso 1: Validar tablas de enrutamiento La tabla de ruteo es el corazón de las decisiones de los enrutadores, por esta ocasión solo nos enfocaremos en validar las entradas que estén correctas. En futuras prácticas se profundizara más en la tabla de ruteo, sus componentes y funciones. Cada enrutador debe tener 2 interfaces (Con conexiones directas y locales) tal como se muestra a continuación: R1#show ipv6 route IPv6 Routing Table - Default - 5 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, M - MIPv6, R - RIP, I1 - ISIS L1 I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D – EIGRP EX - EIGRP external O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 C 2001:DB8:C0CA::C0A8:100/120 [0/0] via FastEthernet0/0, directly connected L 2001:DB8:C0CA::C0A8:101/128 [0/0] via FastEthernet0/0, receive C 2001:DB8:C0CA::C0A8:200/120 [0/0] via Serial0/0/0, directly connected L 2001:DB8:C0CA::C0A8:201/128 [0/0] via Serial0/0/0, receive L FF00::/8 [0/0] via Null0, receive R2#show ipv6 route IPv6 Routing Table - Default - 5 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, M - MIPv6, R - RIP, I1 - ISIS L1 I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D – EIGRP EX - EIGRP external O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 C 2001:DB8:C0CA::C0A8:200/120 [0/0] via Serial0/0/0, directly connected L 2001:DB8:C0CA::C0A8:202/128 [0/0] via Serial0/0/0, receive C 2001:DB8:C0CA::C0A8:300/120 [0/0] Última edición: julio de 2012 Página 18 Laboratorio de redes ITESM L L Dep. Ciencias Computacionales via FastEthernet0/0, directly connected 2001:DB8:C0CA::C0A8:301/128 [0/0] via FastEthernet0/0, receive FF00::/8 [0/0] via Null0, receive Los valores de las direcciones locales (Fe80::/8) van a una sola interfaz, de hecho es null0, , en la tabla de ruteo se puede apreciar que tiene L en dirección completamente de host (el prefijo es 128) mientras que las redes están con prefijos de 120 Paso 2: Validar estado de las interfaces (Opcional) Si por alguna razón las tablas de ruteo no muestran la información anterior, es necesario verificar el estado de la interfaz. Si una interfaz tiene un error de configuración (Capa IP) o bien tiene problemas físicos (Capa de conexión física) la interfaz no será agregada a la tabla de ruteo. Un modo fácil de checar esto, es con el comando “show ipv6 interface brief” R1#show ipv6 interface brief FastEthernet0/0 [up/up] FE80::6FE:7FFF:FE37:BF48 2001:DB8:C0CA::C0A8:101 FastEthernet0/1 [administratively down/down] Unassigned Serial0/0/0 [up/up] FE80::6FE:7FFF:FE37:BF48 2001:DB8:C0CA::C0A8:201 Serial0/0/1 [administratively down/down] Unassigned SSLVPN-VIF0 [up/up] unassigned R2#show ipv6 interface brief FastEthernet0/0 [up/up] FE80::6FE:7FFF:FEEB:7C10 2001:DB8:C0CA::C0A8:301 FastEthernet0/1 [administratively down/down] Unassigned Serial0/0/0 [up/up] FE80::6FE:7FFF:FEEB:7C10 2001:DB8:C0CA::C0A8:202 Serial0/0/1 [administratively down/down] Unassigned SSLVPN-VIF0 [up/up] unassigned Los elementos entre corchetes se refieren a [Capa 1/Capa 2] del modelo de protocolo TCP/IP. Si falla el primer componente automáticamente falla el Segundo, por lo tanto revise el cableado utilizado. Última edición: julio de 2012 Página 19 Laboratorio de redes ITESM Dep. Ciencias Computacionales Observación: Un error extremadamente común en el laboratorio es la conexión incorrecta de los cables Null modem para identificar al dispositivo DCE. Paso 3: Probar la conectividad de hosts a gateway por defecto Desde PC1, ¿es posible dar ping a la interfaz Ethernet de R1 (Gateway)? Desde PC2, ¿es posible dar ping a la interfaz Ethernet de R2 (Gateway)? ____ ____ Si para alguna de las preguntas anteriores la respuesta es no, resuelva el problema de configuración y utilice el siguiente proceso sistemático para encontrar el error: 1. Verifique las PC. ¿Están conectadas físicamente al router correcto? (La conexión puede realizarse a través de un switch o en forma directa.) __________ ¿Titilan las luces de enlaces en todos los puertos correspondientes? _________ 2. Verifique las configuraciones de las PC. ¿Coinciden con el Diagrama de topología? __________ 3. Verifique las interfaces del router mediante el comando show ip interface brief. ¿Están las interfaces conectada y conectada? __________ Si responde sí a estos tres pasos, entonces podrá hacer ping al gateway por defecto con éxito. Paso 4: Conectividad entre enrutadores R1 y R2 ¿Es posible hacer ping al enrutador R2 desde R1 mediante el comando ping 2001:db8:c0ca::c0a8:202? ________ ¿Es posible hacer ping al enrutador R1 desde R2 mediante el comando ping 2001:db8:c0ca::c0a8:201? ________ Si para las preguntas anteriores la respuesta es no, resuelva el problema de configuración y utilice el siguiente proceso sistemático para encontrar el error: 1. Verifique la conexión. ¿Están los routers conectados físicamente? ________ ¿Titilan las luces de enlaces en todos los puertos correspondientes? ________ 2. Verifique las configuraciones de los routers. ¿Coinciden con el Diagrama de topología? ________ ¿Configuró el comando clock rate en el lado DCE del enlace? ________ 3. Verifique las interfaces del router mediante el comando show ipv6 interface brief. ¿Están las interfaces “conectada” y “conectada”? ________ Si responde sí a estos tres pasos, entonces podrá hacer ping de R2 a R1 y de R2 a R1 con éxito. Tarea 6: Prueba final (Extremo a extremo) y reflexión Realice los siguientes pings: 1. 2. 3. Pc1 a PC2 (o viceversa) PC1 a R2 (S0/0/0) PC2 a R1 (S0/0/0) Ninguno de los pings puede dar éxito. Haga un momento de análisis y conteste la siguiente pregunta: Última edición: julio de 2012 Página 20 Laboratorio de redes ITESM Dep. Ciencias Computacionales ¿Ocurre lo mismo en IPv4? ___________________________________________________________________ ___________________________________________________________________ ¿Qué falta en la red que impide la comunicación sea completada con éxito? ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ TIP: Los mensajes “echo request” del caso 2 si llegan hasta R2, pero este no es capaz de regresar la respuesta “echo reply” a PC1. Revisión Notifique al instructor al terminar la práctica y una vez revisado proceda a la limpieza del equipo. Limpieza del equipo Una vez terminada la práctica, ejecute los pasos de la tarea preventiva “Borrado de un router”. Además recoja el equipo y cables utilizados y acomódelos como le sea indicado por el instructor. Por último, si está utilizando Windows y uso Netsh, ejecute el comando Netsh interface ipv6 delete address interface=”Nombre Interfaz” address=X:X:X:X:X:X:X:X/D Si utilizo más de una dirección, entonces proceda a borrarlas todas con el comando: Netsh interface ipv6 reset Este comando necesita que la maquina sea reiniciada. Recuerden, que si uno de los equipos de cómputo o dispositivos de red no está debidamente borrado todo el equipo puede hacerse acree dor a que la calificación de la práctica sea nula. Reflexión “IPv6 unicast routing” es el comando utilizado para permitir el ruteo de paquetes de IPv6. En iOS 12.4(T) – con el cuál fueron elaborados estas prácticas – dicho comando se encuentra deshabilitado por defecto. ¿Por qué considera que solo se permite el ruteo de paquetes IPv4? ___________________________________________________________________ ___________________________________________________________________ ___________________________________________________________________ Última edición: julio de 2012 Página 21 Laboratorio de redes ITESM Dep. Ciencias Computacionales Bibliografía Cisco. (25 de Febrero de 2011 ). Implementing IPv6 Addressing and Basic Connectivity . Recuperado el Julio de 2011, de Cisco System: http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6addrg_bsc_con.html Cisco Networking Academy. (2006). CCNP: Building Scalable Internetworks V5.0.3.0 - IPv6. Cisco Networking Academy. (2007). CCNA Exploration - Accesing the Want - IP Addressing Services. IANA.org. (s.f.). IANA IPv4 Address Space Registry. Recuperado el 13 de Junio de 2011, de IANA: http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml Microsoft. (5 de Enero de 2005). Microsoft Technet. Recuperado el 2011, de Neighbor Discovery (ND): http://technet.microsoft.com/enus/library/cc778019%28WS.10%29.aspx Wireshark. (14 de Junio de 2010). Leuter Discovering IPv6 with Wireshark. Obtenido de Wireshark University. Última edición: julio de 2012 Página 22