Curiosidades sobre el VTP

Se me presentó este caso:

Donde SW2 y SW3 están en un edificio conectados por fibra con los puertos trunk. Los switches pertenecen al edificio y no hay ninguna otra forma de pasar otro cable desde la azotea (sw2) hasta la oficina (sw3).

Por otro lado tengo una oficina principal a 2 cuadras (sw3) y quiero comunicar las vlans de la misma con la sucursal que se encuentra en el edificio (sw4). Se entiende? Si no, comenten... =)

Resolución:

Se me ocurrió que la configuración de VTP de los switches del edificio deberían estar en modo transparente y que mis switches debían estar en la principal como vtp mode server y en el edificio vtp mode client. Por supuesto los switches del edificio tienen su dominio vtp diferente al mío.

No se transmitieron las VLANs. Resulta que al parecer hay un bug en los ios de los catalyst 3550 y 3560, que con vtp versión 2 no se permite la comunicación entre 2 dominios vtp diferentes. Cisco dice que si, los libros también, pero en la realidad no camina. Al hacer un debug muestra el siguiente mensaje:

Bueno, esto no es la solución pero cómo nosotros administramos los switches del edificio cambiamos el dominio de los switches SW2 y SW3 al mismo dominio de nosotros. Chévere. Se pasaron las vlans, todo cool... Excepto que... No le hacemos ping a las ips que estan en las VLANs que se pasaron....

Que rayos sucede? Cual es el problema? Será un problema de capa 3?

Respuesta:

Resulta que el problema era de capa 8... Es decir... De nosotros; y es que la respuesta nos la dio un chamo que apenas esta estudiando CCNA. El problema está en la definición de los diferentes modos VTP, los cuales describiré a continuación:

Transparent switches are a perfect solution when placing a managed Cisco switch in the transit path of two VTP enabled switches, this way The VTP Server and VTP client(s) can still communicate through the transparent switch and operate correctly

The downfall to transparent switches is that they must have the same VLAN’s IF they are a transit switch in a VTP domain.

En otras palabras, los switches de "transito" tienen que tener en su base de datos de vlanes las vlanes que quieres transmitir, osea que la información se transmitiera tuvimos que crear en los switches del edificio las vlanes que queriamos pasar.

Ok lo se, es un hueco de seguridad ENORME, no es lo ideal... lo se.... pero tampoco lo se todo asi que mientras tanto lo deje asi. Cuando tenga una solución de niño grande actualizaré este post.

Saludos y feliz dia.

Username para lineas vty y consola

    La seguridad es uno de los aspectos que nunca pueden ser pasados por alto en el mundo del networking. En CCNA Cisco nos enseña a configurar un password de enable y un password para las lineas VTY de la siguiente manera:

Config t

  Enable password cisco

! Donde cisco es el password del router

 Enable secret class

! Haciendo que el verdadero password "class" sea el que permita el acceso y que el mismo este encriptado

  Line vty 0 4

    Password ciscovty

    Exit

  Line console 0

    Password ciscoconsole

    De esa forma el router tendrá un password para telnet (ciscovty), uno para consola (ciscoconsole) y uno para el modo privilegiado (class). Pero que tal si un grupo de personas administran un mismo router y cada quien quiere memorizar una única contraseña y que tengan diferentes privilegios? Pues aquí  es donde entran los nombres de usuarios y contraseña. Cisco dice que los usuarios se configuran de la siguiente manera:

Config t

  Username nestor privilegie 15 password 123

! Donde el nombre de usuario es nestor, tiene todos los privilegios y el password es 123

  Line vty 0 4

    Login local

  Line console 0

    Login local

    De esta manera al ingresar al router por cualquier vía, el mismo pedirá un username y un password. Peeeeero aún tenemos otra falla de seguridad, y es que los passwords de los usuarios no están encriptados, y al hacer login con mi usuario puedo ver las contraseñas de los demás. Es por esto que la sintaxis correcta es la siguiente:

Conf t

  Username nestor privilegie 15 secret 123  

Al utilizar "secret" el password se encriptará en el show run con md5, un algoritmo que actualmente aún es inviolable.

Espero haber podido ayudarlos. Cualquier duda por favor comenten.

Saludos,

  Néstor.

Directo al grano. Comandos básicos de OSPF

Así que últimamente he tenido en mente 3 de las tecnologías mas importantes del mundo del networking: OSPF, BGP y MPLS.

Como apenas estamos comenzando en esto de los blogs, pues vamos paso a paso, comenzando por OSPF. A continuación los comandos básicos para configurar y troubleshootear OSPF. Esta lista la voy a ir modificando con el tiempo, voy a tratar de que se convierta en una especie de indice en linea de los comandos que vaya utilizando en la vida real.

NOTA: este post lo voy a estar actualizando constantemente, actualmente esta incompleto para la configuración básica de ospf pero poco a poco lo continuaré. 

1. Configuración Inicial:

Lo PRIMERIIIISIMO que se configura en cualquier protocolo es el router-id. El router-id es, como dice el termino, la identificación o el nombre del router dentro del protocolo de enrutamiento. Cada uno de los routers que hablen ospf en tu red se referirán a un router por su router-id. Hay gente que no le para... yo soy maniático con estas cosas, y lo peor es que si no se configura de primero entonces el router se tomará la libertad de escogerlo por ti, cosa que tampoco me gusta y lo explicare a continuación. A mi me gusta poder hacerle ping, así que el router-id debería ser una Interfaz loopback... por que? pues porque si escoges una interfaz fisica del router esta puede caer en algun momento por X razón... si utilizas una loopback siempre estará arriba.

config t

  Interface loopback 0

    Ip address a.b.c.d

    Exit
  Router ospf 100
    router-id a.b.c.d


2. Para definir cuales interfaces van a hablar OSPF: Uno debe decirle a OSPF a través de cuales interfaces va a conseguir neighbors. A mi me gusta irme por lo seguro de declarar la ip de la interfaz con mascara /32. Me parece que es mas fácil a la vista. También se puede declarar la red completa de la interfaz.

config t
  router ospf 1
    network 192.168.1.1 0.0.0.0 area 0
! En donde 0.0.0.0 es el inverso de la mascara y 0 es el area donde se encuentra esa interfaz




Verificación de OSPF: 

show ip ospf interface brief
show ip protocols
show ip route ospf

Poner el OSPF súper rápido: cuando cae un enlace el ospf puede tardar varios segundos en levantar por otra ruta, lo que puede hacer q los clientes lo noten. Para arreglar esto lo que se hace es actualizar los tiempos de hello y dead en las interfaces:

Interface FastEthernet 0

  Ip ospf hello-interval 1

  Ip ospf dead-interval 3

Interfaces Pasivas: Es para incluir una interfaz en el ospf pero sin transmitir paquetes hellos por ahi mismo.

router ospf 1
    passive-interface FastEthernet 0

Balanceo de carga y número de paths: se refiere al máximo numero de conexiones hacia un mismo sitio. Por default OSPF tiene un máximo de 4. Para aumentar este número:

router ospf 1
    Maximum-path X
    ! donde X es el numero. 

Valor de referencia para cálculo de costos: Los costos son calculados en base a 100Mbps que es la velocidad de FastEthernet. Hoy en día tenemos velocidades mayores a esa, pero como el valor de referencia es 100, para OSPF es lo mismo un enlace FastEthernet que uno GigaEthernet. Para cambiar ese valor usamos el comando auto-cost :

router ospf 1
    auto-cost reference-bandwith 1000
! De esta forma todos los costos serán multiplicados por 10


Modificar Costos en OSPF: Para modificar los costos en ospf se utiliza el comando ip ospf cost directamente en la interfaz:

interface Serial 0/0
    ip ospf cost 1
! Donde 1 es el menor costo que se le puede dar.


Para redistribuir la ruta por default: Es ESENCIAL que la red sepa por donde queda internet. Esto se hace agregando una ruta estática en el router que tiene la salida al mundo exterior:

conf t
  ip route 0.0.0.0 0.0.0.0 a.b.c.d
! Donde a.b.c.d es la direccion ip del ISP. tambien puede ser por dhcp si esta es la forma en que el ISP lo maneja.

Una vez configurada la ruta por default es necesario notificarselo al resto de la red vía OSPF. Esto se hace agregando el siguiente comando:

  router ospf 1
    default-information originate

Para redistribuir rutas de un proceso OSPF a otro: se utiliza el comando redistribute ospf:

router ospf 1
    redistribute ospf 100 subnets
! De esta forma la tabla de enrutamiento del proceso OSPF 100 se esta redistribuyendo en el proceso numero 1


Para filtrar rutas al redistribuir de un proceso a otro: Aveces uno no quiere que un proceso vea absolutamente todas las rutas de otro proceso. Me pasó... been there, done that. Lo resolví con un route-map y una lista de acceso:

    1. Creamos la lista de acceso donde definimos las redes que queremos que se transmitan:

Ip access-list standard ospf

    Permit 200.50.30.0 0.0.0.255

    Exit

    2. Creamos el route-map y lo asociamos a la lista de acceso:

Route-map ospf permit 10

    Match ip address ospf

    Exit

    3. Por último redistribuimos el otro proceso ospf pero solamente las rutas que estamos definiendo en la ACL:

Router ospf 1

    Redistribute ospf 100 subnets route-map ospf

NAT y PAT Según Cisco. (Configuracion)

Esta es la forma más fácil de configurar NAT en un router Cisco.

La arquitectura sería la siguiente:

La dirección IP Pública se encuentra en la interfaz FastEthernet 0 del router, siendo la 200.50.30.1. La dirección IP privada es la 192.168.1.1 en la interfaz Vlan 1.

Primero configuramos las direcciones IP en las interfaces:

Router#configure terminal

Router(config)#interface FastEthernet 0

Router(config-if)#ip address 200.50.30.1 255.255.255.0

Router(config-if)#no shutdown 

Router(config-if)#exit

Router(config)#interface Vlan 1

Router(config-if)#ip address 192.168.1.1 255.255.255.0

Router(config-if)#no shutdown 

Router(config-if)#exit

Luego creamos una lista de acceso la cual llamaremos "internet" donde vamos a definir el bloque de direcciones IP a las cuales queremos aplicarles el NAT/PAT.

Router(config)#ip access-list standard internet

Router(config-std-nacl)#permit 192.168.1.0 0.0.0.255

Router(config-std-nacl)#exit

Luego aplicamos la configuración del NAT con el comando ip nat inside

Router(config)#ip nat inside source list internet interface fastEthernet 0 overload

Vamos a detenernos un minuto en esa sentencia para que entendamos que es lo que le estamos diciendo al router que haga:

1. ip nat inside: es el comando que se utiliza para ingresar los comando asociados con NAT

2. Source list internet: Estamos definiendo las direcciones IP que queremos natear. Al ingresar source list estamos haciendo referencia a una lista de acceso. Por último internet se refiere al nombre que le colocamos a la lista de acceso en el paso anterior.

3. interface fastEthernet 0: Se refiere a la interfaz que tiene la dirección IP pública.

4. overload: Este comando mágico es el que crea el PAT. Esto es lo que permite que el bloque completo de direcciones IPs definidas en la lista de acceso pueda salir con una única dirección IP pública.

Por último tenemos que definir cual es la interfaz de la LAN y cual es la de la WAN. Esto lo hacemos con los comandos ip nat inside e ip nat outside.

Router(config)#interface Vlan 1
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#interface FastEthernet 0
Router(config-if)#ip nat outside
Router(config-if)#exit

Listo! con este simple procedimiento podemos realizar un NAT/PAT exitoso en un router Cisco.

Espero haber podido ayudarlos y cualquier duda por favor comenten.

Saludos,
  Néstor.

NAT for dummies (O para estudiantes... por que no?)

    Cuando diseñaron las primeras redes, se creo un direccionamiento IP el cual se creía que duraría para siempre. Estamos hablando de un numero compuesto por 4 octetos de bits, o sea desde el numero 0.0.0.0 hasta el numero 255.255.255.255 lo que hace un total de 4.294.967.296 direcciones IP. A los viejos se le pusieron los ojos como huevos fritos y creyeron que este numero era mas que suficiente... pero pocos años después se dieron cuenta de que se quedaron cortos. Entonces mientras se fumaban unas buenas lumpias pensaron: que tal si hiciéramos que las direcciones IP de una red privada no necesariamente fueran visibles para todo el mundo...? que tal si pudiéramos utilizar una única dirección IP pública y que a través de esta se comunicaran todas las direcciones privadas de un mismo sitio?

    Entonces crearon la maraña mas hermosa que pudieron inventar en el mundo del networking... El NAT y el PAT. Las siglas NAT vienen de Network Address Translation (traducción de dirección de red) lo que hace es convertir una dirección IP en otra. Así de simple. Es como un Alias... como que en mi casa me dicen chucho pero para el resto del mundo me llaman Jesús. Si se entiende?

    En su casa ustedes tienen uno o varios computadores, los celulares que se conectan por WIFI, tal vez impresoras también por WIFI, Ipads, Tabletas, etc. Cada uno de esos equipos tiene una dirección IP privada, lo mas probable es que sea algo así como 192.168.1.X. Estas direcciones IP las asigna el routercito inalámbrico que conecta todos los dispositivos en su casa. Resulta que su routercito tiene una sola dirección IP pública que recibe de su proveedor de servicio de Internet (se abrevia ISP). Entonces qué es lo que hace el router? el convierte las direcciones ip privadas que tienen cada uno de sus dispositivos en la dirección IP pública que les entrega el ISP, de esta manera cada uno puede salir a internet.

    Y cómo hacen desde internet para diferenciar cada uno de los dispositivos que están en mi casa? pues ahí es donde entra el PAT. PAT significa Port Address Translation, y lo que hace es que una vez que se lleva a cabo el NAT, el PAT le asigna una serie de Puertos lógicos a cada uno de los dispositivos. Así se diferencia uno de otro sin problemas y se ahorran direcciones IP públicas que ya están casi que contadas. Tambien es por eso que se creo el IPv6... pero eso ya es otra entrada de blog.

    Espero que me hayan entendido, cualquier pregunta comenten =P

    Saludos,
      Néstor.

PD: Si quieres saber como configurar NAT en un router cisco mira mi siguiente post:
http://networkingmaracaibo.blogspot.com/2013/05/nat-y-pat-segun-cisco-configuracion.html

Hello world

Esta es mi primera entrada de mi primer Blog Ever. La idea es tener un backup de todo lo que tengo en mi mente referente a Networking en internet.
Vamos a ver como nos va.

Saludos,
 Nestor.