Configuraciones Networking Equipos TELDAT Ing. Cesar Ildefonso Agosto 2019 © 2019 – Teldat S.A. – All rights reserved Ficheros y Licenciamiento Teldat Los ficheros Teldat son totalmente independientes entre si. Se pueden cargar licencias sin tener que actualizar el software del equipo. CIT Teldat Software del equipo Licencias IPSec Wifi 3G Voz SNA etc © 2019 – Teldat S.A. – All rights reserved 2 Firmwares ATLAS Teldat V: WAN Ethernet, xDSL y 3G 4 4 3 5 2 6 1 El Teldat V cuenta en placa base con un interfaz ADSL2+/VDSL, un switch Giga Ethernet de 4 puertos 10/100/1000 y opcional 1 GE y WiFi opcional. Módulo Hardware de encriptación opcional. Eficaz para oficinas pequeñas y medianas < 20 personas El Teldat V dispone de los siguientes interfaces: Switch de encendido Switch de 4 puertos GE. Interfaz ADSL/POTS, VDSL/ADSL2+. Toma para las antenas WiFi. Módulo interno mini PCI para Wi-Fi. Opcional. Conector USB HOST 2.0 Tipo A, permite módems USB 3G/4G Puerto de GE (opcional) © 2019 – Teldat S.A. – All rights reserved 3 Teldat V: WAN Ethernet, xDSL y 3G PROTOCOLOS 802.1X ATM BFD BGP CDP DHCP DLSw IGMP IPSec L2TP LDAP LLC Netflow NHRP NOE NTP PPP RADIUS RC4 RIP SCCP SIP SNMP TACACS+ TIDP UDP, TCP, Telnet y FTP VRRP OTRAS Bridge y Routing simultáneo (IRB www.cisco.com) IPSec (CPU www.broadcom.com) MAC filter (Bridge) NAT dinámico/estático NSLA NSM OSPF SSH (para gestión) TVRP WRR (backup de interfaces) X25 X509 XOT INTERFACES ADSL (y como subInterface) AT commands Celular Dial-Up Ethernet (y como subInterface loopback) TNIP (VPNs GRE) USB WiFi THROUGHPUT Teldat V BW NAT + ACL+ QoS 14 Mbps © 2019 – Teldat S.A. – All rights reserved BW full servicios 10 Mbps Teldat V: WAN Ethernet, xDSL y 3G Túnel IPSec HSPA Internet Teldat V Respaldo 3G Principal Ethernet MPLS ADSL Dos posibilidades de backup 4G/3G: Integrado en el router (profesional, gestionado) Modem USB Opción WiFi 802.11 b/g/N activable en remoto (licencia) IPSec por defecto Switch integrado de 4 puertas 10/100 con VLAN © 2019 – Teldat S.A. – All rights reserved Headquarters Acceso ADSL / Serial(TDM) = Router C1+LS 3 2 1 4 5 El Teldat C1+LS cuenta con acceso ADSL y Serial en un mismo equipo, además acceso 3G como backup y un switch Fast Ethernet de 4 puertos 10/100 El Teldat C1+LS dispone de los siguientes interfaces: 1. 2. 3. 4. 5. Acceso ADSL Acceso Linea Serial V.35 Interfaz HSUPA / HSDPA / UMTS / GPRS / GSM Switch FastEthernet de 4 puertos. Conector para alimentación (F.A externa). © 2019 – Teldat S.A. – All rights reserved Professional Grade Management Teldat CLI: full control of all router SW and HW elements Professional text based configuration Troubleshooting: Powerful real-time event system, dynamic configuration changes, automatic fallback to the last stable configuration, single configuration text file , two firmware images operating + factory safe, etc. Compatible with TeldaGES and other businessclass network management and communications service platforms SNMP, Syslog, telnet, SSH2, FTP, TFTP, NTP, RADIUS, etc. E.g: On board Wi-Fi user management and accounting © 2019 – Teldat S.A. – All rights reserved Periférico Modulo de Telecontrol (MTC) 2 3 1 Solución innovadora de gestión remota de energía a cualquier dispositivo conectado. Altamente utilizado en escenarios que necesiten encender, apagar y reiniciar dispositivos a distancia. El MTC dispone de los siguientes interfaces: 1. Alimentación de dispositivo a controlar 2. Conector a puerto consola del Router 3. Conector a toma de corriente © 2019 – Teldat S.A. – All rights reserved Escenario Módulo de Telecontrol (MTC) ❖Permite reinicio remoto de cualquier dispositivo ❖No requiere configuración. ❖No utiliza puertos de DATOS (conexión vía puerto consola) © 2019 – Teldat S.A. – All rights reserved Router Oficina = Atlas i60 Router modular, permite incorporar distintas tecnologìas insertando mòdulos PCM: Modulos para Datos: Modulos para Voz: Dirigido a Servicios de 100Mbps Ethernet • Interfaz GigaEthernet. El ATLAS 60 tiene dos interfaces para conectarse a redes Ethernet 10/100/1000 Base-T. • Puerto de SWITCH 16/8 con tarjeta de expansión (PoE opcional) • ADSL opcional • slot 3G Interno para backup (ocional) • Interface USB para 3G (opcional) • PoE opcional • Wifi-n Opcional. • HW encryption en la placa base (incluido) © 2019 – Teldat S.A. – All rights reserved Router Oficina = Atlas i60 Switch + Core1: CIT Core2: Linux Router Server Atlas i60 ❖ Equipo altamente flexible y modular. Permite múltiples medios de acceso insertando módulos PCM para las distintas tecnologías: Datos: G.SHDSL, XDSL, Serial, SPF, RDSI, E1/PRI Voz: FXS, FXO, E1 ❖El ATLAS i60 es un routers con tecnología de 4ta generación que incorpora un procesador de doble núcleo. • Un núcleo utilizado exclusivamente para conectividad (Routing) • Un núcleo basado en LINUX Debian como servidor de aplicaciones (Server) © 2019 – Teldat S.A. – All rights reserved Router Oficina = Atlas i60 INTERNAL WI-FI SLOT INTERNAL 3G SLOT MULTIPURPOSE VOICE/DATA SLOT LED CONSOLE USB INTERNAL SIM TRAY INTERNAL HARD DISK VDSL2/ADSL2+ SLOT EXTERNAL SIM TRAY 2 x GE SWITCH 8 x FE POE POWER SUPPLY © 2019 – Teldat S.A. – All rights reserved POWER SUPPLY AND SWITCH +8 x FE SWITCH OR 2ND. MULTIPURPOSE VOICE /DATA Router Oficina = Atlas i60 Funcionalidades Funcionalidad ACAT Funcionalidad AFS (Adv. Firewall System) Bridge QoS (BRS) Bridge y Routing simultáneo (IRB en Cisco) Compresión propietaria X25/FR Datáfono Sobre X25 (conv. IP a X25) Dial Routing Funcionalidades para METRO Caché DNS Cliente DNS Dynamic DNS Subinterface Ethernet ATLAS 60 Ethernet OAM Filtrado MAC (Bridge) P.P.S. máx. (x1000) Cliente HTTP para sonda Web Mbps (72 bytes) Soporte IPSec tarjeta MPC Autenticación MD5 (RIP, TVRP, BGP,...) Protocolo MGCP Soporte para Módulo de Telecontrol Mbps (1500 bytes) NAT de puertos Mbps (72 bytes) Caché Netbios (en Bridge) Filtro Netbios (en Bridge) Soporte Netbios (en Bridge) Mbps (1500 bytes) Funcionalidad NSLA (alertas sobre sondas) Funcionalidad NSM (sondas) Nº túneles IPSec Soporte PCMCIA (tarjetas pinchables) Funcionalidad PoE Terminales ToIP Funcionalidad Policy Routing Líneas de voz máx. Control interfaz impresoras VisorAlarm Consultas SNMP sobre ACLs MIB estándar MIB privada de monitorización MIB2 Sonda Web IP Presence Service (SPI) de Telefónica M2M Servidor SSH (para gestión) Cliente STUN Funcionalidad VRF Soporte tarjeta PMC 3 x puertos serie Funcionalidad WRR (backup de interfaces © 2019 – Teldat S.A. – All rights reserved SIN CIFRAR THROUGHPUT 3DES Protocolos Protocolo ATM Protocolo ASDP Protocolo ASTM Protocolo BAN (RFC1490) Protocolo BFD Protocolo BGP Bridge Protocolo CDP Protocolo DHCP Protocolo DLSw Protocolo 802.1X Protocolo FR Protocolo H323 Protocolo IGMP Protocolo IP y ARP Protocolo IPSec Protocolo R2 RDSI Protocolo L2TP Protocolo LDAP Protocolo LLC Protocolo MGCP Protocolo Netflow Protocolo NHRP Protocolo NOE Protocolo NTP Protocolo OSPF Protocolo PPP Protocolo RADIUS Protocolo RC4 Protocolo RIP Protocolo SCADA Protocolo SCCP Protocolo SIP Protocolo SNMP Protocolo TACACS+ Protocolos UDP, TCP, Telnet y FTP Protocolo TIDP Protocolo TRMTP Protocolo TVRP (=HSRP) Protocolo SIPS/SRTP Protocolo VRRP Protocolo X25 Protocolo X28 Protocolo X509 Protocolo XOT Mbps (IMIX) Mbps (IMIX) Sin servicios 140 94 Con servicios 82 55 410 260 1000 1000 21 90 (50 para 1200 túneles) 200 500 (1200 con tarjeta adicional) 300 4 x PRI Aplicaciones sobre Atlas i60 IDS/IPS • Detecta y previene ataques intrusos. Anti-virus • Detecta y elimina del tráfico WEB e EMAIL: virus, malware, phishing… Anti-spam • Protége del envío de mail no solicitados, normalmente con contenido malicioso. URL filtering • Clasificación, acceso y control de contenido WEB © 2019 – Teldat S.A. – All rights reserved Teldat ATLAS = Plataforma Abierta Ventajas Plataforma Abierta ATLAS i60: Clientes pueden desarrollar sus propias aplicaciones. Terceros pueden desarrollar aplicaciones para ATLAS i60. Se puede portar sobre ATLAS aplicaciones ya desarrolladas. Switch + Core1: CITCore2: Linux Router Server © 2019 – Teldat S.A. – All rights reserved Escenario Router ATLAS Agencia Teldat ATLAS Principal ISP 1 HSRP, eBGP ISP 2 Secundario ❖Los routers Teldat son compatibles con HSRP. © 2019 – Teldat S.A. – All rights reserved Teldat iM8 Es un router potente, hasta 1000 Mbps simétricos, y muy escalable gracias a un slot y una ámplia variedad de tarjetas. Integra conectividad óptico/eléctrica hacia el exterior y conmutador Ethernet de 8 puertos hacia el interior, además de punto de acceso Wi-Fi y 3G/4G. © 2019 – Teldat S.A. – All rights reserved Teldat RS123 La gama Teldat RS123 tiene un diseño optimizado en costes y con sus diferentes modelos pueden adaptarse perfectamente a los requerimientos de cualquier usuario. Dispone de una potente arquitectura hardware que permite velocidades de 200 Mbps simétricos con servicios habilitados. Incluye todas las funcionalidades demandadas a un router profesional, como routing, seguridad, calidad de servicio y gestión. Con los licenciamientos adecuados puede llegar a 1000 Mbps © 2019 – Teldat S.A. – All rights reserved Atlas i70 El Atlas-i70 se integra perfectamente en las redes de comunicaciones tradicionales de las oficinas y a la vez permite una fácil migración a redes SDWAN asegurando la inversión del cliente y simplificando el proceso de transición entre tecnologias ya que el mismo hardware es operativo para los dos tipos de servicios. Es un equipo para redes de alta velocidad, basado en una arquitectura hardware optimizada que le permite ofrecer un alto rendimiento en la transmisión y cifrado de datos corporativos de hasta 1Gbps bidireccional. © 2019 – Teldat S.A. – All rights reserved Puerto consola en Teldat V, Atlas 60, iM8, Atlas i70 Cable consola DB9, adaptador y cable UTP © 2019 – Teldat S.A. – All rights reserved Puerto consola en RS123 Bits per second: 115200 Data bits: 8 Parity: open Stopbits: 1 Flow control: open USB type B © 2019 – Teldat S.A. – All rights reserved Configuración por defecto El router Teldat viene de fábrica con una configuración básica por defecto donde el puerto WAN Ethernet tiene una dirección IP 192.168.1.1 Al cual se puede ingresar por telnet o ftp desde le puerto WAN o desde un puerto del switch, además desde la consola. © 2019 – Teldat S.A. – All rights reserved Cargar una plantilla *p 4 Config> … Pegar plantilla … Corregir cualquier error de sintaxis Config>save Save configuration (Yes/No)? y Warning: Running-config has been changed Building configuration as text... OK Writing configuration... OK on Flash Config> ..Crtl-P.. *restart Are you sure to restart the system(Yes/No)? y Restarting. Please wait ... APP DATA DUMP..... © 2019 – Teldat S.A. – All rights reserved Generar una plantilla de configuración *p 5 Config$show config ; Showing Menu and Submenus Configuration for access-level 15 ... ; ATLASi60Router IPSec SNA VoIP 28 104 Version 10.09.18 ; Warning: dynamic configuration is not saved! log-command-errors no configuration ………Contendido de la configuración…………. dump-command-errors end Seleccionar el texto de la configuración y guardarlo en un archivo texto © 2019 – Teldat S.A. – All rights reserved Restaurar Config Fábrica *** Does reset button work properly? *** Resetting board... CFE version 1.0.37-102.9-03 for BCM96368 (32bit,SP,BE) Build Date: Mon May 3 11:15:40 CEST 2010 (gjimenez@orion) Copyright (C) 2000-2008 Broadcom Corporation. Parallel flash device: name AM29LV320MT, id 0x2201, size 16384KB CPU type 0x2A031: 400MHz, Bus: 160MHz, Ref: 64MHz CPU running TP0 Total memory: 67108864 bytes (64MB) Boot Address 0xb8000000 *** default configuration required *** Board IP address Host IP address Gateway IP address : 192.168.1.1:ffffff00 : 192.168.1.100 : Conectar a cualquier puerto de switch. Realizar TELNET a IP de fábrica 192.168.1.1 © 2019 – Teldat S.A. – All rights reserved Press Reset 30 seg ACTUALIZACIÓN DE SOFTWARE por ftp ftp 192.168.1.1 Se usa la dirección 192.168.1.1 en caso el router tenga configuración defecto. Si el router tuviera cargada otra configuración se debe usar la dirección IP del switch, también se puede ingresar por ftp al puerto WAN con la dirección respectiva © 2019 – Teldat S.A. – All rights reserved Procedimiento de actualización por ftp En el modo cmd de la PC o laptop ubicarse en la carpeta donde se encuentra el archivo del CTI o licencia, se verifica con comando dir C:\>dir Directorio de C:\ 03/09/2013 05:04 a.m. MAPISVC.INF 13,967,104 irp.bin ------------> EL CIT A CARGAR Luego se efectúa la conexión ftp C:\>ftp 192.168.1.1 ----------------------------> NOS CONECTAMOS AL GATEWAY LAN Conectado a 192.168.1.1. 220 FTP server ready, 1 active clients of 4 simultaneous clients allowed. Usuario (192.168.1.1:(none)): root -----------> USUARIO ES ROOT (SUPER USUARIO) 331 User name accepted, need password. Contraseña: ------------------------> CONTRASEÑA: SOLO SE DA ENTER 230 User login complete. © 2019 – Teldat S.A. – All rights reserved CARGA DEL ARCHIVO DE CONFIGURACIÓN ftp> bin -----------------> PARA TRANSFERIR UN ARCHIVO BINARIO 200 TYPE is set to IMAGE. ftp> hash -------------> ME NUESTRA MARCAS EN EL ORIGEN Y SE RECONOZCA EN EL DESTINO. ftp> put irp.bin ------> PUT, PERMITE TRANSFERIR EL ARCHIVO DE LA MAQUINA LOCAL A LA REMOTA 200 PORT is set to IP ADDR = 192.168.1.100 PORT = 56878 150 Data connection open, checked file transfer in process... ################################################################################ ................... ################### 226 STOR completed, 13967104 bytes processed, data connection is closed. ------> EL CIT se cargo al Buffer del equipo ftp: 13967104 bytes enviados en 3.58segundos 3906.88a KB/s. ftp> quote site savebuffer ----------------> Guarda el CIT que se cargo en Buffer a la FLASH Conexión cerrada por el host remoto. -------> esperamos 50 seg, aun se pierda conexion el CIT se seguira cargando... ftp>bin Desconectado. ftp>bye -----------> SALIMOS 221 Goodbye. © 2019 – Teldat S.A. – All rights reserved VERIFICACIÓN DE LA CARGA DEL CIT C:\>ftp 192.168.1.1 ---> Volvermos a conectarnos. Usuario (192.168.1.1:(none)): root --> root 331 User name accepted, need password. Contraseña: ----------------------> ENTER ftp> ftp> quote site coherence ------> verificamos si ya cargo el CIT 550 Disk not available ftp> quote site coherence -----> NUEVAMENTE verificamos si ya cargo el CIT 550-COHERENCE results CIT v10.9.13 ID 0x00000000 HDW LVL 14 ---> LISTO YA CARGO! BOOT v03 HDW LVL 4 550 COHERENCE results end ftp> © 2019 – Teldat S.A. – All rights reserved VERIFICACIÓN DE NUEVA VERSIÓN *p 3 Console Operator +config Teldat's Router, ATLASi60 IPSec SNA VoIP 28 104 S/N: 757/01443 Profile: irp ID: L28.104 Boot ROM release: BIOS CODE VERSION: 02.09 Apr 23 2014 19:03:37 L1 © 2019 – Teldat S.A. – All rights reserved Configuración Teldat Estructura de la consola Config “en Caliente” Configuración dinámica (P 5) Router Config $ Config $ network ethernet0/0 Ctrl+P Running-config (P 5) Proceso Raíz (P 1) * Monitor (P 3) Ctrl + P Configuración Estática (P 4) Router Config > Config (P 4) Ctrl + P Monitorización (P 3) Router + Config + network ethernet0/0 © 2019 – Teldat S.A. – All rights reserved Config > network ethernet0/0 Necesario salvar y reiniciar !!! P 1 - Menú inicial (*) *RESTART Are you sure to restart the system(Yes/No)? Y Restarting. Please wait ................................ APP DATA DUMP...................................... Running application Flash configuration read Initializing *LOGOUT Do you wish to end connection (Yes/No)? *TELNET 192.168.0.100 Trying to connect... (Press Control S to come back to local router) Telnet conection closed. *TELNET Telnet destination [192.168.0.100]? Telnet source [192.6.2.176]? Telnet port [23]? Trying to connect... (Press Control S to come back to local router) © 2019 – Teldat S.A. – All rights reserved P 5 – Config Dinámica Router model ATLAS 2 8 CPU MPC860 1 LAN, 3 WAN Lines, 1 ISDN Line S/N: 403/00674 *PROCESS 5 Config $ P1 * *P 5 Configuración Dinámica Config $ Cntrl-P © 2019 – Teldat S.A. – All rights reserved P 4 – Config Estática Router model ATLAS 2 8 CPU MPC860 1 LAN, 3 WAN Lines, 1 ISDN Line S/N: 403/00674 *PROCESS 4 Config > P1 * *P 4 Configuración Estática Config > Cntrl-P © 2019 – Teldat S.A. – All rights reserved Protocol vs Feature La mayoria de funcionalidades TELDAT se ubican en el menú PROTOCOL o FEATURE Administración de protocolos CPE> protocol <protocolo> > protocol Funcionalidades y Servicios VS. CPE> feature <nombre_feature> > feature ? ? arp Access ARP protocol access-lists Generic IP lists monitoring asrt Access ASRT protocol afs Advanced firewall system feature bfd Access BFD protocol bandwidth-reservation Bandwidth-Reservation System feature monitoring bgp Access BGP protocol dns DNS monitoring environment dep Access DEP protocol dns-updater DNS UPDATER monitoring enviroment dhcp Access DHCP protocol istud IPSEC Tunnel Server Discovery Protocol monitoring dls Access DLS protocol ldap LDAP (Lightweight Directory Access Protocol) h323 Access H323 protocol mac-filtering MAC-Filtering feature monitoring ip Access IP protocol netflow Netflow client monitoring ipv6 Access IPv6 protocol nsla NSLA (Network Service Level Advisor) monitoring l2tp Access L2TP protocol nsm NSM (Network Service Monitor) monitoring mgcp Access MGCP protocol policy-map Policy map monitoring noe Access NOE protocol power-switch TeleControl Module control environment ospf Access OSPF protocol radius RADIUS feature monitoring rip Access RIP protocol rmon RMON (Remote Network Monitoring) sccp Access SCCP protocol syslog Syslog client monitoring sip Access SIP protocol tftp Access the device’s TFTP client. snmp Access SNMP protocol wrr-backup-wan WAN Reroute feature monitoring …….. …….. © 2019 – Teldat S.A. – All rights reserved Manual: Dm 704, Configuración y Monitorización Proceso 4 - Configuración Configuración Config > Listar, Borrar, Salvar: Listado de interfaces: config> list devices Lista configuración del menú actual config> show menu Lista config del menú actual y submenus config> show config Menú: IP Borrado total (no dinámico) Submenú: IPSec config> no configuration Borrado selectivo: config> no xxx Salvar a fichero: Mismo nombre: (ip address, bgp, device x, etc) Config> save © 2019 – Teldat S.A. – All rights reserved P 3 – Monitorización Teldat (c)2001-2003 Router model ATLAS 2 8 CPU MPC860 1 LAN, 3 WAN Lines, 1 ISDN Line S/N: 403/00674 * PROCESS 3 + P1 *P 3 Cntrl-P * Monitorización © 2019 – Teldat S.A. – All rights reserved Proceso 3 - Monitorización Monitorización S/N licencia CPE + configuration Teldat's Router, H1+ WAN WL USB IPSec SNA VoIP T+ 26 144 Profile: h1p ID: H1+-16F64R L26.144 Boot ROM release: CFE V03 S/N: 728/04963 Ver. BIOS System Info: 96369H1P PCB:0x219 CHIP_ID:0x6369 REV:0xB2 Watchdog: Enabled Ver. CIT Software release: 10.08.12.01.09 Jul 11 2011 14:38:00 Hostname: CPE Active user: administrador Date: Saturday, 01/06/12 Time: 00:22:43 Router uptime: 22m29s Descripción 6 interfaces: Connector EXP/SWITCH WAN ANT USB/HOST SLOT1 SLOT1 Interface ethernet0/0 ethernet0/1 wlan0/0 cellular0/0 cellular1/0 cellular1/1 MAC/Data-Link Ethernet/IEEE 802.3 Ethernet/IEEE 802.3 WLAN Async serial line Async serial line Async serial line Fecha, Hora, Uptime Status Up Down Up Down Down Down © 2019 – Teldat S.A. – All rights reserved Estado de Interfaces Restaurar Config Fábrica *** Does reset button work properly? *** Resetting board... CFE version 1.0.37-102.9-03 for BCM96368 (32bit,SP,BE) Build Date: Mon May 3 11:15:40 CEST 2010 (gjimenez@orion) Copyright (C) 2000-2008 Broadcom Corporation. Parallel flash device: name AM29LV320MT, id 0x2201, size 16384KB CPU type 0x2A031: 400MHz, Bus: 160MHz, Ref: 64MHz CPU running TP0 Total memory: 67108864 bytes (64MB) Boot Address 0xb8000000 *** default configuration required *** Board IP address Host IP address Gateway IP address : 192.168.1.1:ffffff00 : 192.168.1.100 : Conectar a cualquier puerto de switch. Realizar TELNET a IP de fábrica 192.168.1.1 © 2019 – Teldat S.A. – All rights reserved Press Reset 30 seg Diagrama router Teldat Internet Switch Router WAN LAN © 2019 – Teldat S.A. – All rights reserved Laboratorio BGP eth0/1: 200.0.0.1 CPE AS 100 Eth0/0: 200.0.0.2 :eth0/1 eth0/0 eth0/0 192.168.1.1 /24 ISP AS 200 Eth0/0: Loopack2: 192.168.2.1 /24 172.16.1.1 /24 Loopback2: 172.16.2.1 /24 network ethernet0/1 ip address 200.0.0.1 255.255.255.252 exit network ethernet0/1 ip address 200.0.0.2 255.255.255.252 exit network ethernet0/0 ip address 192.168.1.1 255.255.255.0 exit network ethernet0/0 ip address 172.16.1.1 255.255.255.0 exit network loopback2 ip address 192.168.2.1 255.255.255.0 exit network loopback2 ip address 172.16.2.1 255.255.255.0 exit protocol ip router-id 200.0.0.1 exit protocol bgp enable as 100 protocol ip router-id 200.0.0..2 exit protocol bgp enable as 200 export as 200 prot direc 192.168.1.0 mask 255.255.255.0 group type external peer-as 200 peer 200.0.0.2 exit exit export as 100 prot direct 172.16.1.0 mask 255.255.255.0 group type external peer-as 100 peer 200.0.0.1 exit exit © 2019 – Teldat S.A. – All rights reserved INTERFAZ ETHERNET Las tarjetas o módulos ethernet de los equipos Teldat tienen dos comportamientos: Como un sólo puerto físico de conexión con su configuración particular: MAC, dirección IP, Filtros, etc… Como un puerto físico con subinterfaces permitiendo que sobre el mismo conector dispongamos de varias instancias lógicas que permiten por ejemplo disponer de redes locales virtuales(VLAN) , varias direcciones IP, etc. Un interfaz físico el router lo da de alta automáticamente en su configuración, los subinterfaces es necesario generarlos en config. Los puertos físicos por defecto están en modo autonegociación, soportando especificaciones según modelo. Ethernetx/y representa interfaz lan en : x: slot, y :puerto Dentro de cada interfaz/subinterfaz ethernet se configura principalmente: • Direccionamiento IP y máscara • Etiquetado VLAN • Dirección MAC, Filtros, Policys, etc… Muchos de estos parámetros son también configurables desde run. © 2019 – Teldat S.A. – All rights reserved Configuración de interfaces log-command-errors no configuration set hostname ATM set inactivity-timer 5 add device eth-subinterface ethernet0/0 2 add device eth-subinterface ethernet0/0 3 add device loopback 1 ; ; network ethernet0/0 ; -- Ethernet Interface User Configuration -description "LAN" load-interval 30 ; exit ; network ethernet0/1 ; -- Ethernet Interface User Configuration -description "WAN" ; ip address 10.16.35.105 255.255.255.252 ; load-interval 30 no ip icmp redirects no auto-negotiation duplex full speed 100mbps ; exit ; network loopback1 ; -- Loopback interface configuration -description "Loopback Gestion" ; ip address 10.233.157.27 255.255.255.255 ; © 2019 – Teldat S.A. – All rights reserved Monitorización (+) CPE1 IP+ interface-addresses Interface IP Addresses: IP asignada a cada interface: CPE+ protocol IP IP+ interface-addresses ethernet0/0 192.168.1.1/24 ethernet0/1 200.0.0.1/30 loopback2 192.168.2.1/24 loopback3 192.168.3.1/24 Special IP Addresses: internal-address 0.0.0.0 management-address 0.0.0.0 router-id 200.0.0.1 global-address 192.168.1.1 + configuration interfaces: Connector Verificar estado y descripción de interface: CPE+ configuration Interface MAC/Data-Link Status EXP/SWITCH ethernet0/0 Ethernet/IEEE 802.3 Up WAN ethernet0/1 Ethernet/IEEE 802.3 Down ANT wlan0/0 WLAN Down USB/HOST cellular0/0 Async serial line Down USB/HOST cellular0/1 Async serial line Down SLOT1 cellular1/0 Async serial line Down SLOT1 cellular1/1 Async serial line Down --- loopback2 Null device Up --- loopback3 Null device Up © 2019 – Teldat S.A. – All rights reserved Monitorización (+) Memoria utilizada: Estadísticos de tráfico por interfaz +STATISTICS +statistics Unicast Interface Multicast Bytes Packets Bytes Pqts Rcv Pqts Rcv Received Transmitted Transmitted ethernet0/0 0 0 0 1132 59996 serial0/0 0 0 0 0 0 40 0 560 cellular1/0 © 2019 – Teldat S.A. – All rights reserved 20 320 Monitorización (+) Monitoreo de Bitrate de interfaz: Primero debemos ingresar a la interface de interés: *P 3 +network ethernet0/1 Estado de un interfaz ethernet. Autonegociación Desabilitado Estado Enlace Velocidad Tipo de conexión © 2019 – Teldat S.A. – All rights reserved Monitorización (+) Primero debemos ingresar al SWITCH : Monitoreo estado de cada puerto de switch +network ETHERNET0/0 List Status = Verificación duplexaje, velocidad, conexión física ethernet0/0 ETH+ REPEATER-SWITCH MACs aprendidas por Switch H1 ethernet0/0 ETH+ repeater-switch H1 ethernet0/0 Switch+ list dynamic-mac-table retrieving information ... VLAN MAC TYPE AGE PRI PMAP ---- ------------ ------- --- --- ---0000 60EB6930536B Dynamic Yes 000 0001 © 2019 – Teldat S.A. – All rights reserved MAC Interna de HW Monitorización (+) Indicar interface de interés: Verificar CRC de interfaces +network ETHERNET X/X ethernet0/1 ETH + counters Rx (Ingress) counters Tx (Egress) counters Good byte count hi = 0 Good and bad byte count hi = 0 Good byte count lo = 0 Good and bad byte count lo = 0 Good broadcast packets = 0 Good broadcast packets = 0 Good multicast packets = 0 Good multicast packets = 0 Good unitcast packets = 0 Good unicast packets = 0 Total collisions in all tx pkts = 0 Missed packets = 0 Tx pkts with single collisions = 0 Undersized packets (<63 with good crc) = 0 Tx pkts with multiple collisions = 0 Oversized packets (>1522 with good crc) = 0 Tx pkts with excessive cols = 0 Fragments (<63 with bad crc) = 0 Tx pkts with late cols = 0 Jabbers (>1522 with bad crc) = 0 Tx pkts deferred = 0 Alignment errors (only) = 0 Tx pause pkts sent = 0 Pkts with RXERR assertions (symbol errs) = 0 Tx pkts dropped (underrun) = 0 Crc errors (only) = 0 MAC control, PAUSE = 0 © 2019 – Teldat S.A. – All rights reserved VLANs El switch de los equipos permite distribuir sus puertos en diferentes VLANs o hacer trunking de varias VLANs por puerto. Un módulo de switch dispone de los puertos físicos de conexión y de un puerto interno(no visible) que lo conecta con la CPU para cuando son necesarias funciones de nivel 3(IP). Para los interfaces de switch se soporta la configuración en config/run (salvo la generación de subinterfaces que es sólo en el nivel config). Normalmente el procedimiento para trabajar con VLANs es el siguiente: • • Generar subinterfaces ethernet sobre el interfaz de switch, un subinterfaz por cada VLAN a soportar en el switch. o Dentro de la funcionalidad o menú vlan del equipo configurar: o A qué VLAN pertenece cada puerto y la etiqueta del tráfico por defecto. o Etiquetar o desetiquetar tráfico(tag-removal). *Dependiendo de la versión de CIT se borra 1 etiqueta VLAN o todas. Asociar si es necesario el tráfico VLAN a un puerto virtual del router para progresarlo a nivel 3 Configurar cada subinterfaz ethernet con su VLAN y resto de funcionalidades de nivel 2 y 3(dirección IP, Filtros, etc…) A continuación se muestra un ejemplo de configuración de la funcionalidad VLAN para los puertos 1(vlan 101) y 2(vlan 102, pero el tráfico entra sin etiqueta vlan) de un switch © 2019 – Teldat S.A. – All rights reserved Diagrama VLANs Switch Router LAN VLAN 3 VLAN 2 Sub interfaces eth 0/0.2 eth 0/0.3 © 2019 – Teldat S.A. – All rights reserved WAN Feature VLAN network ethernet0/0.2 ; -- Ethernet Subinterface Configuration -description "--- VLAN 2 DATOS---" ; ip address 192.168.1.10 255.255.255.248 ; encapsulation dot1q 2 ; exit ; network ethernet0/0.3 ; -- Ethernet Subinterface Configuration -description "--- VLAN 3 CAJEROS---" ; ip address 192.168.1.11 255.255.255.248 ; encapsulation dot1q 3 ; exit ; feature vlan ; -- VLAN configuration -enable ; vlan 2 ethernet0/0 port internal vlan 2 ethernet0/0 port 2 vlan 2 ethernet0/0 port 3 vlan 2 ethernet0/0 port 4 vlan 3 ethernet0/0 port internal vlan 3 ethernet0/0 port 1 ; tag-default ethernet0/0 port 1 3 tag-default ethernet0/0 port 2 2 tag-default ethernet0/0 port 3 2 tag-default ethernet0/0 port 4 2 ; tag-removal ethernet0/0 port 1 tag-removal ethernet0/0 port 2 tag-removal ethernet0/0 port 3 tag-removal ethernet0/0 port 4 ; exit ; dump-command-errors end © 2019 – Teldat S.A. – All rights reserved INTERFAZ LTE (4G) LTE significa Long Term Evolution. Es un estándar de comunicaciones móviles desarrollado por la 3GPP con el objetivo principal de aumentar el ancho de banda y facilitar la conmutación de paquetes ya que es una tecnologia pensada más para aplicaciones. Dentro de los equipos LTE requiere de unos parámetros adicionales de configuración a tener en cuenta: • • • Se requieren dos APNs configurados en los equipos: o Uno, nuevo, para el registro en la red LTE(siempre en contexto 1) y se configura en cellularx/0, suele depender de la operadora. o Y el otro es el mismo de siempre: para establecer las conexiones de datos, configurable en el perfil de llamadas. Sólo se recomienda el envio de datos sobre interfaz Direc-IP(NDIS) La filosofia de configuración es la misma: o Configuración interfaz de gestión: cellularx/0. o Configuración de perfil de llamada. o Alta del interfaz direct-ip y su configuración: protocolo IP, autenticación, interfaz base, etc © 2019 – Teldat S.A. – All rights reserved Configuración interfaz celular 4G log-command-errors no configuration add device direct-ip 1 set data-link at cellular0/0 set data-link at cellular0/1 set data-link at cellular1/0 set data-link nic cellular1/1 global-profiles dial ; -- Dial Profiles Configuration -profile 4GLINK default profile 4GLINK dialout profile 4GLINK 3gpp-accessibility-control traffic 100 all profile 4GLINK 3gpp-apn movistar.pe profile 4GLINK 3gpp-pdp-type ipv4v6 ; exit ; network cellular1/0 ; -- Interface AT. Configuration -coverage-timer 15 registration-apn movistar.pe pdp-type ipv4v6 ; network mode automatic network domain cs+ps exit ; ; network direct-ip1 ; -- Generic Direct IP Encapsulation User Configuration -ip address dhcp-negotiated ; base-interface ; -- Base Interface Configuration -base-interface cellular1/1 link base-interface cellular1/1 profile 4GLINK ; exit ; © 2019 – Teldat S.A. – All rights reserved Continuación Configuración interfaz celular direct-ip ; -- Direct IP encapsulator user configuration -address dhcp authentication sent-user movistar password 1234 exit ; exit ; ; protocol ip ; -- Internet protocol user configuration -route 0.0.0.0 0.0.0.0 direct-ip1 ; rule 1 local-ip direct-ip1 remote-ip any rule 1 napt translation ; classless exit ; dump-command-errors end © 2019 – Teldat S.A. – All rights reserved Interfaz WiFi La utilización del interfaz Wireless LAN (WLAN) permite la conexión de varios equipos en red sin utilizar cables. Para ello, los paquetes se radian utilizando bandas de frecuencia y modulaciones estandarizadas. El estándar que define el funcionamiento de una red Wireless LAN es el 802.11 del IEEE. El interfaz WLAN se autodetecta en el equipo con el identificador: wlanx/0, siendo x=slot ocupado. Es un interfaz que soporta subinterfaces al igual que los de tipo lan para añadir SSIDs configurados. El equipo dispone de dos roles de funcionamiento exclusivos entre sí: • • Como Estación Cliente Como Access Point El procedimiento general de configuración consta de: • • • Confíguración parámetros físicos del interfaz (canal a utilizar, modo de funcionamiento, potencia de transmisión, tramas beacon, umbral de fragmentación, antena a utilizar,...), ACLs MAC de acceso, etc Configuración de parámetros de calidad de servicio (WMM). No es habitual modificarlo. Configuración independiente de cada BSS(Basic Service Set) configurado: SSID, seguridad, autenticación, cifrado, etc © 2019 – Teldat S.A. – All rights reserved WiFi y 3G log-command-errors no configuration set inactivity-timer disabled add device ppp 1 add device bvi 0 set data-link at cellular0/0 set data-link at cellular0/1 set data-link at cellular1/0 set data-link at cellular1/1 global-profiles dial ; -- Dial Profiles Configuration -profile H1 default profile H1 dialout profile H1 3gpp-accessibility-control rx-timer 60s profile H1 3gpp-apn movistar.pe profile H1 3gpp-restart-on-disc ; exit global-profiles ppp ; -- PPP Profiles Configuration -lcp-options cellular1/1 default lcp-options cellular1/1 acfc lcp-options cellular1/1 pfc lcp-options cellular1/1 accm 0 ; lcp-options cellular1/0 default lcp-options cellular1/0 acfc lcp-options cellular1/0 pfc lcp-options cellular1/0 accm 0 ; exit ; network ethernet0/0 ; -- Ethernet Interface User Configuration -description LAN_SW_PORT ; ; exit © 2019 – Teldat S.A. – All rights reserved Continuación WiFi con 3G network wlan0/0 ; -- Wireless LAN Interface. Configuration -bss "MOVIL" privacy-invoked rsn wpa2 cipher aes-ccmp akm-suite psk wpa-psk passphrase plain eventos exit ; exit ; network cellular1/0 ; -- Interface AT. Configuration -coverage-timer 10 network mode automatic network domain cs+ps exit network ppp1 ; -- Generic PPP User Configuration -ip address unnumbered ; ppp ; -- PPP Configuration – authentication sent-user movistar@datos password 1234 chap refuse ipcp local address assigned no ipcp peer-route lcp echo-req off exit ; base-interface ; -- Base Interface Configuration -base-interface cellular1/1 link base-interface cellular1/1 profile H1 ; exit exit © 2019 – Teldat S.A. – All rights reserved Continuación WiFi con 3G network bvi0 ; -- Bridge Virtual Interface configuration -ip address 192.168.1.2 255.255.255.0 ; exit ; protocol asrt ; -- ASRT Bridge user configuration -bridge irb port ethernet0/0 1 port wlan0/0 2 route-protocol ip exit protocol ip ; -- Internet protocol user configuration -route 0.0.0.0 0.0.0.0 ppp1 ; rule 1 local-ip ppp1 remote-ip any rule 1 napt translation ; classless exit © 2019 – Teldat S.A. – All rights reserved DHCP El protocolo DHCP permite asignar en forma dinámica las direcciones IP de una red LAN © 2019 – Teldat S.A. – All rights reserved WiFi con 3G: DHCP protocol dhcp ; -- DHCP Configuration -server ; -- DHCP Server Configuration -enable ; global default-lease-time 4h ; subnet POOL_DHCP 0 network 192.168.1.0 255.255.255.0 subnet POOL_DHCP 0 range 192.168.1.10 192.168.1.100 subnet POOL_DHCP 0 dns-server 8.8.8.8 subnet POOL_DHCP 0 router 192.168.1.2 ; exit ; exit ; dump-command-errors end © 2019 – Teldat S.A. – All rights reserved INTERFAZ ADSL El interfaz ADSL utiliza una tecnologia que opera dentro de la familia xDSL (ADSL, SDSL, etc.) basada en el par de cobre de la línea telefónica normal para ofrecer servicios de banda ancha. En el router puede ser un módulo insertable(equipos modulares) o venir en placa base(equipos compactos). Características del inferfaz en relación con los equipos: • • • • • El interfaz opera a nivel físico como una especie de módem contra un DSLAM de operadora. Una vez la modulación levanta la línea correctamente, ADSL2+ o ADSL, el protocolo de nivel 2 soportado es ATM. El protocolo ATM transmitirá tráfico por enlaces virtuales en base a VPI/VCI, cada enlace representará un subinterfaz ATM. Sobre cada uno de esos enlaces/subinterfaces operará otro protocolo de nivel 2 o 3 como: PPP, IP, PPPoE, etc. La tarjeta Adsl se detectará automáticamente en el router con nombre atmx/0(slot x, puerto 0) sin embargo los subinterfaces deben generarse desde config © 2019 – Teldat S.A. – All rights reserved INTERFAZ ADSL log-command-errors no configuration add device ppp 1 add device atm-subinterface atm0/0 1 add device loopback 1 set hostname ADSL ; feature access-lists ; -- Access Lists user configuration -access-list 100 entry 1 default entry 1 permit entry 1 source address interface ppp1 ; exit ; exit network ethernet0/0 ; -- Ethernet Interface User Configuration -ip address 10.10.0.1 255.255.255.0 ; exit ; network atm0/0 ; -- ATM interface configuration -mtu 1500 aal-connection 1 pvc 8 60 ; pvc 8 60 default ; phy ; ------ ADSL Config ------open-mode ansi-t1.413 annex A ; fallback 1 open-mode g.dmt annex A delay 15 fallback 2 open-mode g.dmt annex HW delay 15 fallback recommence delay 90 exit exit © 2019 – Teldat S.A. – All rights reserved Continuación ADSL network atm0/0.1 ; -- ATM subinterface configuration -aal-connection-requested 1 default ; exit ; ; network ppp1 ; -- Generic PPP User Configuration -ip address unnumbered ; ppp ; -- PPP Configuration -authentication sent-user speedy ciphered-pwd 0x424A858FD7A44E1A ipcp local address assigned exit base-interface ; -- Base Interface Configuration -base-interface atm0/0.1 link ; exit ; pppoe ; -- PPPoE User Configuration -enable pppoe exit ; exit ; network loopback1 ; -- Loopback interface configuration -ip address 172.16.1.1 255.255.255.255 ; exit © 2019 – Teldat S.A. – All rights reserved Continuación ADSL protocol ip ; -- Internet protocol user configuration -route 0.0.0.0 0.0.0.0 ppp1 ; rule 1 local-ip ppp1 remote-ip any rule 1 napt translation ; exit ; classless exit ; dump-command-errors end © 2019 – Teldat S.A. – All rights reserved Enrutamiento Tipo de rutas dentro de los equipos: Directas: se generan automáticamente en la tabla de rutas por cada interfaz que tiene configurada una dirección IP de una red. Estáticas: son introducidas manualmente en la configuración desde run/config, siguen el estado UP/DOWN del interfaz de salida. Dinámicas: son aprendidas mediante alguno de los protocolos de routing dinámico(RIP/OPSF/BGP etc) Condicionales: son rutas estáticas generadas manualmente pero se activan o no condicionadas por un track relacionado con una sonda. Indirectas: una dirección IP es accesible a través de otra ruta de la tabla de rutas (routing recursivo) Las rutas estáticas y condicionales se generan desde run/config entrando en el menú protocol ip, mediante el comando: route <red, subred o host> <mascara> <salto> [<coste/distance>] [track nsla-advisor <id>], © 2019 – Teldat S.A. – All rights reserved Configuración de rutas estáticas Entrada en menú de configuración IP: protocol ip Ruta estática siguiente salto una dirección IP:10.10.10.1 route 192.168.1.0 255.255.255.128 10.10.10.1 Ruta estática via dirección IP:10.10.10.1 y métrica 10: route 192.168.1.0 255.255.255.128 10.10.10.1 10 Ruta estática via dirección IP:10.10.10.1 y métrica administrativa 250 route 192.168.1.0 255.255.255.128 10.10.10.1 distance 250 Ruta con siguiente salto una interfaz ethernet: route 192.168.2.0 255.255.255.0 eth 0/1 Borrado de una ruta: no route 192.168.1.0255.255.255.128 10.10.10.1 exit © 2019 – Teldat S.A. – All rights reserved Monitoreo y verificación de rutas El CIT dispone de mecanismos de análisis para el diagnóstico de problemas relacionados con una comunicación IP: Ping: Puede realizarse desde cualquier menú de la consola y soporta modo extendido para configurar sus opciones. Traceroute: verifica los saltos para alcanzar un destino, Accesible desde monitor->protocolo ip. Listado de rutas y verificar si existe ruta para un destino. © 2019 – Teldat S.A. – All rights reserved VERIFICACIÓN DE ENRUTAMIENTO Monitorización IP: Ping a un destino especificando origen, longitud, nº. pings, timeout: Verificación direcciones IP del router: ping 192.6.2.236 source 192.6.2.13 data-bytes 100 num-pings 25 timeout 1000 avoid-fragm Tabla de rutas completa: Ping a destino por defecto: ping 192.6.2.236 Traceroute: monitor interface dump-routing-table Tabla de rutas sólo estáticas: static-routes exit protocol ip traceroute 172.25.6.0 source 192.6.2.13 © 2019 – Teldat S.A. – All rights reserved route 172.25.6.0 No net route, using default Comandos de monitoreo de rutas Destination: 0.0.0.0 Mask: 0.0.0.0 Route type: monitor stat Distance: protocol ip Tag: 0 interface Next hop(s): 0 192.6.2.12 (ethernet0/0 Interface IP Addresses: ethernet0/0 ) Age: --------------- 192.6.2.185/24 Special IP Addresses: 10 static-routes ---------------- internal-address 192.6.2.13 management-address 0.0.0.0 router-id 192.6.2.13 global-address 192.6.2.13 Flags: A added to routing table, R refresh, T track up Type Net State CNFG Ar 0.0.0.0/0 © 2019 – Teldat S.A. – All rights reserved Cost 0 Next_hop Int Circuit 192.6.2.12 ethernet0/0 N/A Tabla de rutas dump-routing-table Type Dest net/Mask Cost Age Next hop(s) Stat(2)[0] 0.0.0.0/0 [ 60/1 ] 0 172.24.78.130 (eth0/0) (C) Sbnt(0)[0] 1.0.0.0/8 [240/1 ] 0 None Stat(3)[0] 1.1.1.1/32 [ 60/1 ] 0 ethernet0/0 0 2.2.2.2 0 3.3.3.3 © 2019 – Teldat S.A. – All rights reserved (C) Continuación tabla de rutas Type Dest net/Mask Sbnt(0)[0] 2.0.0.0/8 RIP(0)[0] Cost Age [240/1 ] 0 2.2.2.2/32 [ 60/1 ] 0 Sbnt(0)[0] 3.0.0.0/8 BGP(1)[0] [240/1 ] 0 3.3.3.3/32 [ 60/1 ] 0 Next hop(s) None 172.24.0.98 (eth0/0) None 172.24.51.38 (eth0/0) SPF(0)[1] 172.24.0.0/16 [ 0/1 ] 1 ethernet0/0 Dir(0)[1] 192.6.1.0/24 [ 0/1 ] 0 ethernet0/0 SPF(0)[1] 192.6.1.251/32 [ 0/0 ] 0 SNK/0 Default gateway in use. Type Cost Age Next hop Stat 1 0 192.6.1.3 (ethernet0/0) 10 shown 0 172.24.78.130 (ethernet0/0) (C) Routing table size: 768 nets (64512 bytes), 10 nets known, © 2019 – Teldat S.A. – All rights reserved Event Logging System (ELS) p3 event ; -- ELS Config -enable trace subsystem BGP.004 enable trace event TVRP.015 exit p3 event enable filter filter add 1 “.236” -1 action exclude enable trace subsystem afs all © 2019 – Teldat S.A. – All rights reserved Visualización de eventos p3 +view 06/15/15 18:23:40 06/15/15 18:23:41 06/15/15 18:23:41 06/15/15 18:23:41 06/15/15 18:23:44 06/15/15 18:23:44 06/15/15 18:23:44 06/15/15 18:23:44 06/15/15 18:23:46 NAPT.008 No NAPT to Unknown ICMP packet NSLA.003 filter/1 sample = 159 -> DEACTIVE NAPT.015 In unknown IDENT 3318 NAPT.008 No NAPT to Unknown ICMP packet IKE.054 IKE(195.53.155.14): Info: NAT Keepalive received NAPT.024 No NAPT to In pkt (200.48.225.130 -> 192.168.1.101) unknown conn NAPT.024 No NAPT to In pkt (64.233.177.99 -> 192.168.1.101) unknown conn NAPT.024 No NAPT to In pkt (200.48.225.130 -> 192.168.1.101) unknown conn NAPT.024 No NAPT to In pkt (200.48.225.130 -> 192.168.1.101) unknown con +hide © 2019 – Teldat S.A. – All rights reserved LISTA DE SUBSISTEMAS ELS config>list subsystem Name Events Description AAA 48 Authentication, Authorization, Accounting ACT 1 Alsa Custom Trap ACL 3 Access List ADSL 8 ADSL AFS 57 Advanced Filtering Subsystem ARP 18 Address Resolution Protocol ASDP 25 Asynchronous Serial Device Proxy ASYN 5 Asynchronous Serial Line AT 20 AT Commands Interface ATM 15 Asynchronous Transfer Mode BAN 29 Boundary Access Node BFD 53 Bidirectional Forwarding Detection …………………………………………….. VLI 8 Virtual Linux Interface VOIP 14 Voice over IP VRRP 15 Virtual Router Redundancy Protocol WLAN 12 Wireless LAN WWAN 16 Wireless WAN Interface X252 23 X.25 Layer 2 X253 27 X.25 Layer 3 X28 6 X28 Network © 2019 – Teldat S.A. – All rights reserved Sniffer Teldat *P 5 feature sniffer capture ip-forwarder 10000 ---> esperamos 1 minuto, en laptop: nos ponemos en el rango ip del router que estamos conectados directamente mientras tanto vamos haciendo ping desde cmd laptop con la direccion de ip loopack de router remoto. nos posicionamos en D: >ftp "ip de ethernet de router" user:"root" password: >cd .. >cd mem >dir (para verificar la captura) >bin >get capture.cap luego nos vamos a la d y abrimos nuestro archivo wireshark © 2019 – Teldat S.A. – All rights reserved Captura Sniffer formato pcap © 2019 – Teldat S.A. – All rights reserved Port mirror para monitoreo Configuración port mirror en interfaz switch: Entrada en el interfaz switch monitor network ethernetx/y repeater 1 Configuración del puerto nº 1 de escucha al nº4: 4 Puerto espejo port-monitor enable 4 1 Una vez finalizado el mirror se deshabilita: port-monitor disable Salida a menú principal exit exit Sniffer © 2019 – Teldat S.A. – All rights reserved Enrutamiento dinámico BGP Border Gateway Protocol El Router Teldat soporta la versión BGP-4, que se adoptó en 1995 y ha sido definida en la RFC 1771. BGP-4 soporta CIDR (Classless Inter Domain Routing) y es el protocolo de enrutamiento que actualmente se usa de forma mayoritaria para encaminar la información entre sistemas autónomos. Al igual que la mayoría de los protocolos del tipo IGP, BGP envía solamente una actualización completa del encaminamiento una vez que se establece una sesión BGP, enviando posteriormente sólo cambios incrementales. BGP opera en dos modos: • EBGP(BGP exterior) se utiliza entre distintos sistemas autónomos. • IBGP (BGP interior) se utiliza entre routers BGP dentro del mismo sistema autónomo. AS: Autonomous System © 2019 – Teldat S.A. – All rights reserved Configuración BGP La configuración de protocolo BGP tiene la estructura siguiente: • • • • • • Establecer la direción IP que identifica al equipo (comando config->protocol ip -> router-id ) Habilitar el protocolo BGP (comando enable) Establecer el número de Sistema Autónomo del equipo (comando as) Definir las conexiones BGP (comando group): pueden ser salientes o entrantes, en cualquier caso se ha de configurar: o Alta de peer destino o Configuración de las características de intercambio contra el peer remoto: hold time, route-maps in/out, etc Definir las políticas de importación y exportación de rutas (comandos import y export). Configurar métrica y preferencia por defecto de las rutas (comandos default-metric y preference). © 2019 – Teldat S.A. – All rights reserved Configuración iBGP Configuración de protocolo iBGP: Configuración router-id para BGP: protocol ip router-id 172.26.1.2 exit Se habilita el protocolo BGP: protocol bgp enable Se da de alta el Sistema Autónomo 100 y se configura que exporte todo tipo de rutas: as 100 export as 100 prot all all Se entra en la configuración del AS 100 para iBGP: group type internal peer-as 100 Se configura el diálogo con el peer remoto 172.26.1.1 y parámetros por defecto: peer 172.26.1.1 exit exit © 2019 – Teldat S.A. – All rights reserved Se exportan al SA externo 5000 sólo las rutas directas indicadas(actúa como filtro de salida genérico): Configuración eBGP export as 5000 prot direct 172.10.12.0 mask 255.255.255.0 Se entra en la configuración del AS 5000: Configuración de protocolo eBGP: group type external peer-as 5000 Configuración router-id para BGP: protocol ip Se configura el diálogo con el peer remoto 200.10.10.1 configurando un hold-time de 15s. router-id 172.26.1.2 peer 200.10.10.1 exit peer 200.10.10.1 hold-time 15s Se habilita el protocolo BGP: exit protocol bgp enable Se importan rutas determinadas desde el SA 5000(actúa como filtro de entrada genérico) Se da de alta el Sistema Autónomo local 5002: import as 5000 192.168.0.0 mask 255.255.0.0 as 5002 exit © 2019 – Teldat S.A. – All rights reserved Caso red BGP © 2019 – Teldat S.A. – All rights reserved Ejemplo de Configuración BGP protocol bgp ; -- Border Gateway Protocol user configuration -enable ; as 64564 router-id 10.134.192.2 ; address-family ipv4 ; -- BGP IPv4 address family configuration -export as 6147 prot all all ; exit address-family ipv6 ; -- BGP IPv6 address family configuration -export as 6147 prot all all ; exit ; group type external peer-as 6147 ; -- BGP group configuration -peer 10.134.192.1 peer 2001:1388:1a:11:4192::1 peer 2001:1388:1a:11:4192::1 address-family ipv6 unicast exit ; exit © 2019 – Teldat S.A. – All rights reserved Monitorización BGP (+) ✓ Estado de conexión BGP *p 3 +protocolo bgp Router100 BGP+ summary Configuration running Neighbor V AS MsgRcvd MsgSent 10.130.251.113 4 6147 101 115 BGP summary, 1 group, 1 peer. Established (Terminó Convergencia BGP) NumEst 1 State Time Established 17m9s ✓ Rutas aprendidas Router100 BGP+ routes Flags: A active, M multipath, D deleted, N not install, I incomplete Proto Route/Mask NextHop Pref Pref2 Metr Metr2 ASPath A--N- Dir 172.24/16 172.24.78.116 0 0 1 0 Incomplete ----- dir 172.24/16 172.24.78.116 0 0 1 0 Incomplete A--N- Dir 192.168.1/30 192.168.1.1 0 0 1 0 Incomplete ----- dir 192.168.1/30 192.168.1.1 0 0 1 0 Incomplete (Id (Id (Id (Id 1) 1) 1) 1) ( ( ( ( a00002) 200808) a00002) 200808) ---N- BGP 192.168.1/30 192.168.1.2 -170 0 -1 -1 (100) 200 Incomplete (Id 2)( 202056) A---- BGP 192.168.2/24 192.168.1.2 170 0 -1 -1 (100) 200 Incomplete (Id 2)( a02010) © 2019 – Teldat S.A. – All rights reserved Dm753 Protocolo BGP Monitorización BGP ✓ Rutas aprendidas por un PEER BGP específico: BGP+ routes received_from_peer 200.0.0.2 Flags: A active, M multipath, D deleted, N not install, I incomplete Proto Route/Mask NextHop Pref Pref2 Metr Metr2 A---- BGP 192.168.2/24 200.0.0.2 170 0 0 none ASPath (100) 200 I) ✓ Rutas publicadas a un PEER BGP específico: BGP+ routes sent_to_peer 200.0.0.1 Flags: A active, M multipath, D deleted, N not install, I incomplete Proto Route/Mask NextHop Pref Pref2 Metr Metr2 ASPath A--N- Dir 172.16.1/24 172.16.1.1 0 0 1 0 Incomplete (Id 1) ( a00002) A--N- Dir 172.16.2/24 172.16.2.1 0 0 1 0 Incomplete (Id 1) ( a00002) © 2019 – Teldat S.A. – All rights reserved Dm753 Protocolo BGP Monitorización – Tabla de Enrutamiento ✓ Tabla de Enrutamiento: *P3 + protocol IP Mejores Rutas IP+ dump-routing-table BGP Direct Conect BGP Type Dest net /Mask Cost Age Dir(0)[1] 172.24.0.0/16 [ 0/1 ] 0 Sbnt(0)[0] 192.168.1.0/24 [240/1 ] 0 Dir(0)[1] 192.168.1.0/30 [ 0/1 ] 0 BGP(0)[0] 192.168.2.0/24 [170/1 ] 0 Routing table size: 768 nets (64512 bytes), 4 nets © 2019 – Teldat S.A. – All rights reserved Next hop(s) ethernet0/0 None serial0/0 192.168.1.2 (serial0/0) known, 4 shown Dm753 Protocolo BGP Listas de Acceso ACL Los routers se sirven de listas de control de acceso (ACL) para identificar el tráfico que pasa por ellos. Una lista de acceso IP es un listado secuencial (basado en el orden de entrada no en el índice) de condiciones de permiso o prohibición que se aplican a direcciones IP origen o destino, puertos origen o destino, etc. Tipos de listas de acceso: • • • Estándar(desde 1 a 99): sólo comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. Extendidas(desde 100 a1999): son las más comunes, comprueban tanto la dirección de origen como la de destino de cada paquete, también pueden verificar protocolos específicos, números de puertos y otros parámetros., son habituales en filtros y QoS. Stateful(desde 5000 a 9999): comprueban tanto la dirección origen y destino del paquete como el estado y el tipo de la sesión. Para poder configurar listas stateful debe estar habilitada la facilidad AFS. Las ACLs tienen sentido si posteriormente se aplican sobre alguna funcionalidad o protocolo. El resultado de la búsqueda en una ACL puede tener los siguientes valores: No encontrado, Permitir o Denegar © 2019 – Teldat S.A. – All rights reserved Configuración ACL Se configura en la entrada nº1 la ip destino del tráfico: Configuración de ACL extendida: Entrada en menú de configuración de ACLs y alta ACL nº 100: config entry 1 destination address 172.60.1.163 255.255.255.255 Se configura el puerto origen del tráfico en la entrada nº1 : entry 1 source port-range 20 21 feature access-lists Se configura el protocolo en la entrada nº 1: access 100 Alta de la entrada nº1 en la ACL como tráfico permitido: entry 1 default entry 1 protocol tcp exit Se configura una descripción de la finalidad de la ACL: entry 1 permit Se configura en la entrada nº1 la red origen del tráfico: entry 1 source address 172.24.51.0 255.255.255.0 description “ACL extendida de ejemplo” exit exit © 2019 – Teldat S.A. – All rights reserved Ejemplo ACL Se quiere configurar un tráfico seguro entre el Host A y Host B mediante una VPN IPSec. Se debe configurar un ACL que filtre el tráfcio que va a usar el túnel © 2019 – Teldat S.A. – All rights reserved ACL para VPN Router 1 Config>feature access-lists -- Access Lists user configuration – Access Lists config>access-list 101 Extended Access List 101>entry 1 source address 172.24.51.57 255.255.255.255 Extended Access List 101>entry 1 destination address 172.60.1.163 255.255.255.255 Router 2 Config>feature access-lists -- Access Lists user configuration – Access Lists config>access-list 101 Extended Access List 101>entry 1 source address 172.60.1.163 255.255.255.255 Extended Access List 101>entry 1 destination address 172.24.51.57 255.255.255.255 © 2019 – Teldat S.A. – All rights reserved ACL para VPN Configuración IPSec en ambos routers Config>p ip -- Internet protocol user configuration – IP config>ipse -- IPSec user configuration – IPSec config>assign-access-list 101 IPSec config>template 2 def IPSec config>map-template 101 2 © 2019 – Teldat S.A. – All rights reserved Enrutamiento basado en políticas (PBR route-map) En ocasiones se presentan escenarios de routing complejos en los que no basta con aplicar un protocolo de routing dinámico sin más, sino que es necesario que varios protocolos de routing interoperen entre ellos intercambiando rutas, definir qué rutas y de qué modo deben propagarse con más criterios que la dirección IP de destino. Para abordar estos escenarios se hace necesario definir unas políticas de routing, que especifiquen de forma precisa el manejo de las rutas en los protocolos de routing. Las políticas de routing se definen mediante route-maps. Un route-map se compone de varias entradas que especifican básicamente en qué casos actuar (cláusulas match) y qué acciones realizar (cláusulas set). Una vez definidos los route-maps se pueden aplicar a distintas funcionalidades como policy routing, redistribución de rutas, filtrado de rutas y control de propagación de rutas. © 2019 – Teldat S.A. – All rights reserved Configuración route-maps Configuración Route-Maps: • • • • Alta de route map en config/run mediante el comando: feature route-map Configurar criterios de selección del tráfico sobre el que se aplica el route-map Configurar los cambios a aplicar al tráfico seleccionado Aplicar route-map a algún protocolo o policy. © 2019 – Teldat S.A. – All rights reserved access-list 302 Ejemplo Route-map description "ACL trafico servicio 2: audio, video, ToIP Cisco" entry 10 description audio+ToIPCisco log-command-errors no configuration entry 10 default set hostname PBR1 entry 10 permit feature access-lists entry 10 ds-field 46 -- Access Lists user configuration – entry 20 description video entry 20 default access-list 301 entry 20 permit description "ACL trafico servicio 1: todo lo que no es acl 302" entry 100 default entry 20 ds-field 34 entry 100 permit entry 40 default exit entry 40 deny exit exit © 2019 – Teldat S.A. – All rights reserved Ejemplo Route-map feature route-map entry 3 default -- Route maps user configuration – entry 3 permit route-map "LAN_PBR" entry 3 match ip address 301 entry 2 default entry 2 permit entry 3 set ip next-hop 192.168.189.249 entry 2 match ip address 302 exit entry 2 set ip next-hop 192.168.189.250 exit © 2019 – Teldat S.A. – All rights reserved Ejemplo Route-map network ethernet0/0 -- Ethernet Interface User Configuration – description LAN_PRIVADA ip address 10.130.3.55 255.255.255.240 ip policy route-map LAN_PBR ip tcp adjust-mss 1460 exit ; protocol ip -- Internet protocol user configuration – internal-ip-address 10.130.3.55 router-id 10.130.3.55 route 0.0.0.0 0.0.0.0 10.130.3.49 10 route 10.130.10.64 255.255.255.192 ethernet0/0 classless local policy route-map LAN_PBR exit © 2019 – Teldat S.A. – All rights reserved Funcionalidad NAT La funcionalidad de NAT(Network Address Translation) permite el cambio de direcciones IP por otras y contempla las siguientes posibilidades: • NAT estático: la correspondencia de direcciones locales y globales es unívoca. • NAT dinámico: se establece una correspondencia de direcciones locales en un pool de direcciones globales. • NAPT/PAT (Enmascaramiento) : Es un caso particular de NAT dinámico. Aquí muchas direcciones locales son trasladadas a una misma dirección global y se permiten más de “n” conexiones porque se multiplexan usando información de puertos (TCP, UDP). Los equipos Teldat disponen de dos modos de configuración del NAT: tradicional y nueva. La configuración que se va a detallar a continuación corresponde a una integración tradicional de NAT. La funcionalidad de NAT se configura desde: protocol ip. © 2019 – Teldat S.A. – All rights reserved Funcionalidad NAT © 2019 – Teldat S.A. – All rights reserved Conceptos NAT Definiciones y conceptos: Interfaz local: Es el interfaz que está en contacto o a través del cual se llega a la red local (dominio local). Interfaz global : Es el interfaz que está en contacto o a través del cual se llega a la red global (dominio global). Red local: Es el conjunto de direcciones locales sobre los que se quiere que actúe una regla de NAT. Red global: Es el conjunto de direcciones globales sobre los que se quiere que actúe la regla. Hay dos tipos de transformación: •Origen interno: A todo paquete que pase del dominio local al global (siempre que cumpla los demás requisitos de la regla) se le cambiará la dirección origen local por la correspondiente global. Y viceversa. •Destino interno: A todo paquete que pase del dominio local al global (siempre que cumpla los demás requisitos de la regla) se le cambiará la dirección destino local por la correspondiente global. Y viceversa. © 2019 – Teldat S.A. – All rights reserved Sentidos de Transformación NAT Hay cinco sentidos de transformación: • Local a Global: Si el paquete entra por el interfaz local y sale por el interfaz global y su dirección (origen o destino) pertenece a la red local entonces cambiar dirección (origen o destino) local por su correspondiente dirección global. • Global a Local: Si el paquete entra por el interfaz global y su dirección (origen o destino) pertenece a la red global entonces cambiar dirección (origen o destino) global por su correspondiente dirección local. • Local a Global y Global a Local: las dos anteriores simultáneamente. • No cambiar local: Si el paquete entra por el interfaz local y sale por el interfaz global y su dirección (origen o destino) pertenece a la red local entonces no realizar cambio alguno. Este tipo de regla sirve para definir excepciones y evitar que se apliquen otras reglas más genéricas. • No cambiar global: Si el paquete entra por el interfaz global y su dirección (origen o destino) pertenece a la red global entonces no realizar cambio alguno. Este tipo de regla sirve para definir excepciones y evitar que se apliquen otras reglas más genéricas. Por defecto una regla NAT tiene: Tipo de transformación: origen interno (TRANSLATE SOURCE) / Sentido de la transformación: local a global y global a local (DIRECTION BOTH) © 2019 – Teldat S.A. – All rights reserved Ejemplo NAT Configuración NAT estático para trasladar la red 138.201.0.0/16 a la red 1.3.0.0/16 para el tráfico que entra por el interfaz ethernet0/0 y sale por el serial0/0: © 2019 – Teldat S.A. – All rights reserved Configuración NAT Entrada en el menú de nat estático y habilitarlo: Se indica que se quiere modificar la red local: 138.201.0.0/16: config protocol ip nat static enable rule 1 local-network 138.201.0.0 255.255.0.0 Se da de alta la regla nº 1, interfaz local ethernet0/0: rule 1 global-network 1.3.0.0 255.255.0.0 exit rule 1 default rule 1 local-interface ethernet0/0 Se define una ruta para poder progresar tráfico a la red global: Alta del interfaz global de la regla nº 1: route 1.3.0.0 255.255.0.0 ethernet0/1 exit Por la red global: 1.3.0.0/16 (misma máscara, se traslada una a una): rule 1 global-interface serial0/0 © 2019 – Teldat S.A. – All rights reserved Funcionalidad NAPT/PAT: config La facilidad NAPT (Network Address Port Translation)/PAT traslada las direcciones de una red origen a una sóla dirección global multiplexada en puertos. Es la funcionalidad típicamente utilizada en escenarios para navegar en internet desde una conexión con una IP pública. Se puede hacer que esa facilidad aplicada sobre el tráfico tenga dos excepciones para: • Publicar puertos del dominio local: puertos visibles. Se permite el acceso a un puerto TCP/UDP de un servidor interno. • Publicar una red del dominio local: red visible. Se permite acceso a una red interna desde el exterior. © 2019 – Teldat S.A. – All rights reserved Ejemplo NAT/PAT Configuración NAPT para navegar por internet sobre el interfaz atm0/0.1 y publicando el puerto 2323 de la IP del interfaz atm0/0.1 que se traspasa a la IP interna de un PC local: 192.168.1.2 puerto 23: Se le asigna a la regla nº 1 la funcionalidad de NAPT: se traslada el tráfico origen que salga por atm0/0.1 por la ip de ese interfaz. rule 1 napt translation Entrada en el menú de nat estático y habilitarlo: Se entra dentro del menú PAT para configurar el puerto visible: Config nat pat protocol ip Se da de alta el puerto visible 2323 público y reenviar el tráfico contra la IP 192.168.1.2 puerto 23: Se da de alta la regla nº 1 que afecta al tráfico que sale por el interfaz atm0/0.1 contra cualquier destino: rule 1 local-ip atm0/0.1 remote-ip any visible port 2323 rule 1 ip 192.168.1.2 port 23 exit exit © 2019 – Teldat S.A. – All rights reserved VPN Protocolo IPSec IPSec es una plataforma de seguridad a nivel de red desarrollada por el IPSec Working Group de la IETF. IPSec se concentra en los siguientes problemas de seguridad: • Autenticación del origen de los datos: verificar que los datos recibidos han sido enviados por quien dice haberlos enviado. • Integridad de los datos: verificar que los datos recibidos no han sido modificados por el camino. • Confidencialidad de los datos: ocultar los datos utilizando un algoritmo de encriptación. • Protección tipo Anti-Replica: evitar que un intruso nos reenvíe alguno de nuestros mensajes y no seamos capaces de detectarlo. • Gestión automática de claves criptográficas. Para solucionar estos aspectos, IPSec define dos servicios distintos de seguridad: • ESP: Encapsulating Security Payload: Proporciona confidencialidad, autenticación de dirección origen en cada paquete IP, integridad, y protección ante réplicas. • AH: Authentication Header: Proporciona autenticación de dirección origen en cada paquete IP, integridad y protección ante réplicas, pero no ofrece confidencialidad de los datos. © 2019 – Teldat S.A. – All rights reserved VPN Protocolo IPSec La plataforma IPSec permite dos modos de funcionamiento, pudiendo emplear en cada uno de ellos cualquiera de los dos servicios de seguridad ESP o AH: • Modo Transporte: permite una comunicación segura, normalmente establecida entre dos hosts pero en ningún caso enmascara la dirección origen y destino del paquete a enviar. • Modo Túnel: se encapsula el paquete IP original entero en un nuevo paquete IP, ocultando así todo el contenido original. © 2019 – Teldat S.A. – All rights reserved FASES IPSec Una VPN IPSec tiene un funcionamiento que se puede resumir en dos fases: • Fase 1: es en la que se ponen de acuerdo los extremos de la VPN en los parámetros de seguridad que protegerán la negociación incluyendo la autenticación de esos extremos mediante: • Una clave común (Pre-shared Key): La misma clave manualmente introducida en los dos equipos extremos de la VPN. • Autenticación con Firmas: La autenticación de los dos extremos del Túnel se realiza mediante una firma digital y el sistema de intercambio de claves “Diffie Hellman”. • Autenticación con Cifrado de Clave Pública: La autenticación se realiza por RSA previo conocimiento de la clave pública del otro router. Las claves públicas del otro extremo del Túnel se pueden obtener mediante certificados. En la configuración de la VPN estos parámetros se definen en lo que se denomina template isakmp. • Fase 2: Se negocian entre extremos del Túnel, ya montado, los algoritmos y claves para establecer una “Security Association”(SA) de comunicación que permita cifrar los datos con los requerimientos acordados. La gestión de esas claves es dinámica entre los extremos. En la configuración de la VPN estos parámetros se definen en lo que se denomina template dynamic. Es en este punto donde el tráfico, seleccionado mediante ACLs y asociado a un template dynamic, se cifra. La configuración del protocolo IPSec es desde config/run->protocol ip->ipsec. © 2019 – Teldat S.A. – All rights reserved Ejemplo Configuración VPN IPSec Router 1: log-command-errors no configuration set hostname router1 feature access-lists access-list 100 entry 1 default entry 1 permit entry 1 source address 10.0.0.0 255.255.255.0 entry 1 destination address 192.168.1.0 255.255.255.0 exit exit © 2019 – Teldat S.A. – All rights reserved Ejemplo Configuración VPN IPSec Router 1: protocol ip route 0.0.0.0 0.0.0.0 80.1.1.2 Classless ; ipsec enable ; assign-access-list 100 template 1 default template 1 isakmp tdes md5 template 1 destination-address 80.1.1.2 template 1 ike mode aggressive template 1 ike idtype fqdn template 2 default template 2 dynamic esp tdes md5 template 2 source-address 80.1.1.1 template 2 destination-address 80.1.1.2 map-template 100 2 key preshared hostname router* plain clave exit exit © 2019 – Teldat S.A. – All rights reserved Ejemplo Configuración VPN IPSec Router 2: log-command-errors no configuration ; set hostname router2 feature access-lists access-list 100 entry 1 default entry 1 permit entry 1 source address 192.168.1.0 255.255.255.0 entry 1 destination address 10.0.0.0 255.255.255.0 ; exit exit © 2019 – Teldat S.A. – All rights reserved Ejemplo Configuración VPN IPSec Router 2: protocol ip route 0.0.0.0 0.0.0.0 80.1.1.1 classless ipsec enable assign-access-list 100 template 1 default template 1 isakmp tdes md5 template 1 destination-address 80.1.1.1 template 1 ike mode aggressive template 1 ike idtype fqdn template 2 default template 2 dynamic esp tdes md5 template 2 source-address 80.1.1.2 template 2 destination-address 80.1.1.1 map-template 100 2 key preshared hostname router* plain clave ; exit exit © 2019 – Teldat S.A. – All rights reserved Monitoreo protocolo IPSec monitor protocol ip ipsec lis sa negotiation all SA NEGOTIATION SA 54 (i_cookie=0xd5a04a00ce28530c r_cookie=0x4734ac9b10a99cf9) Inic=210.210.210.11 Resp=210.210.210.12 SRC=210.210.210.11 DES=210.210.210.12 STATE=5 LifeTime:12h0m0s (11h57m57s) ClientSRC=192.60.1.164 ClientDES=172.24.51.57 Rule=0 Ifc=ppp200 ISAKMP_SA available, STATE=ESTABLISH :Purgetime=15 ISAKMP_NEGII id 0xb906469c, (0xa22a731e/0xc508758d) SRC=192.60.1.164/32 DES=172.24.51.57/32 LifeTime:4h0m0s 10000 kbytes (3h57m56s 9991 kbytes ) encode pkts:120 (err:0), decode pkts:120 (err:0) © 2019 – Teldat S.A. – All rights reserved Monitoreo protocolo IPSec eventos IKE p3 event enable filter enable trace subsystem ike all 10/08/12 14:22:58 CET IKE.036 IKE(200.10.10.1): Local Starting Neg 10/08/12 14:22:58 CET IKE.006 IKE(200.10.10.1): Creating ISAKMP NEG (connection #4) 10/08/12 14:22:58 CET IKE.053 IKE(200.10.10.4): ->200.10.10.1,HdrID 0x0, conn 4,[sa] 10/08/12 14:22:58 CET IKE.053 IKE(200.10.10.4): ->200.10.10.1,prop 1 isakmp #1 10/08/12 14:22:58 CET IKE.053 IKE(200.10.10.4): ->200.10.10.1,trans 1 id=1,encryp aes,hash sha,grp desc 1,auth presh,key len 256,life sec,duration 3600 10/08/12 14:22:58 CET IKE.053 IKE(200.10.10.1): ->200.10.10.4,HdrID 0x0, conn 4,[sa] 10/08/12 14:22:58 CET IKE.053 IKE(200.10.10.1): ->200.10.10.4,prop 1 isakmp #1 10/08/12 14:22:58 CET IKE.053 IKE(200.10.10.1): ->200.10.10.4,trans 1 id=1,encryp aes,hash sha,grp desc 1,auth presh,key len 256,life sec,duration 3600 10/08/12 14:22:58 CET IKE.001 IKE(200.10.10.1): Matching template #1 10/08/12 14:22:58 CET IKE.053 IKE(200.10.10.4): ->200.10.10.1,HdrID 0x0, con ………………………….. 10/08/12 14:22:58 CET IKE.053 IKE(200.10.10.4): ->200.10.10.1,prop 1 esp #1,# 1205704163(0xb8226a1d) 10/08/12 14:22:58 CET IKE.053 IKE(200.10.10.4): ->200.10.10.1,trans 1 id=aes,encap tunnel,life sec,duration 3600,auth alg sha,key len 256 © 2019 – Teldat S.A. – All rights reserved Funcionalidad NTP: config El protocolo NTP (Network Time Protocol) tiene como misión sincronizar un conjunto de relojes de red usando un conjunto distribuido de clientes y servidores. El protocolo NTP se construye sobre UDP (User Datagram Protocol), que permite mecanismos de transporte no orientados a conexión. El router Teldat incorpora un cliente NTP para conseguir sincronizar su reloj con fuentes externas y por defecto es UTC 1. La configuración es desde feature ntp y tiene dos partes: • Configuración global del protocolo: • Cliente Broadcast: Permite al cliente NTP recibir mensajes de difusión (Broadcast) NTP de referencias conocidas. • Desplazamiento UMT: Permite al cliente NTP fijar la zona horaria en la que se encuentra. • Intervalo de poll por defecto. • Dirección IP origen con que saldrán los paquetes dirigidos al servidor. • Configuración de los equipos/SV NTP de referencia: • Dirección IP y puerto del par de referencia. • Habilitar como Cliente Broadcast: Sólo tiene sentido si el equipo permite el funcionamiento como cliente broadcast. • Intervalo de poll: Sólo tiene sentido cuando el cliente NTP no se va a comportar como cliente broadcast respecto a esta referencia © 2019 – Teldat S.A. – All rights reserved Configuración NTP Configuración funcionalidad NTP: Entrada en la funcionalidad DNS: config feature ntp Se habilita NTP y se configura IP origen: protocol source-address 192.168.2.2 Se configura el intervalo global de poll a 128s: poll-interval 128 Se configuran los SV NTP de referencia: peer address 1 192.168.134.227 peer address 2 192.168.134.86 exit © 2019 – Teldat S.A. – All rights reserved Monitoreo NTP monitor feature ntp list global Global NTP Statistics ---------------------------------------------------------------------Received Packets 12 Sent Packets 4 New Version Packets 12 Old Version Packets 0 Wrong Version Packets 0 Rejected Packets 0 Broadcast Packets 12 Control Mode Packets 0 Private Mode Packets 0 Client Mode Packets 0 Server Mode Packets 0 Active Mode Packets 0 Passive Mode Packets 0 Processed Packets 12 Old Packets 0 © 2019 – Teldat S.A. – All rights reserved Bogus Packets 0 Funcionalidad BRS(QoS)-1 El Sistema de Reserva de Ancho de Banda (Bandwidth Reservation System -BRS-) es una facilidad que permite aplicar funcionalidades de Calidad de Servicio (QoS) en los interfaces de salida del equipo. En concreto el BRS integra las siguientes funcionalidades: • Clasificación del tráfico: se puede seleccionar el tráfico origen sobre el que se han de aplicar políticas de calidad. • Marcado de tráfico : se pueden cambiar características del tráfico como por ejemplo el campo DSCP o el COS. • Reparto de ancho de banda : el tráfico marcado puede tener un ancho de banda asignado. • Priorización : el tráfico marcado puede priorizarse sobre otro tipo de tráfico. • Limitación de ancho de banda (traffic shaping) : el tráfico marcado puede tener un límite superior de ancho de banda asignado. © 2019 – Teldat S.A. – All rights reserved Mecanismo QoS Mecanismos para la clasificación del tráfico: • Con filtros específicos, con etiquetas o por protocolos: son filtros predeterminados para un tráfico, por ejemplo: Netbios, SNA, Multicast-IP, DLSw etc. Son poco flexibles. • Con listas de acceso: es el mecanismo más habitual, permite definir completamente en base a las ACLs el tráfico a marcar Marcado de Tráfico de las dos siguientes formas: • Tráfico clasificado con filtros, etiquetas o protocolo: se marca con el comando MATCH <criterio> <datos> class <clase> <prioridad> SET <tipo de marcado y valor a marcar>. • Tráfico clasificado con ACLs: se marca con el comando ACCESS-LIST <n> <clase> <prioridad> SET <tipo de marcado y valor a marcar> © 2019 – Teldat S.A. – All rights reserved Mecanismo QoS Reparto del ancho de banda: • Se generan clases de tráfico que se asocian a un marcador(ACL o filtro) y a esa clase de tráfico se le adjudica un porcentaje o peso del ancho de banda que se le permite utilizar. • El sistema de clases se activa en el momento en que un interfaz entra en congestión, mientras eso no ocurra una clase o varias pueden repartirse el ancho de banda que otras no utilicen Priorización: puede ser de dos tipos • Priorización inter-clase(entre clases diferentes): A cada clase de tráfico se asigna, además de un porcentaje de ancho de banda, una prioridad. Pueden ser: real-time, high, normal(valor por defecto para una clase) y low en orden de prioridad decreciente. • Priorización intra-clase(dentro de la misma clase): Cada clase BRS tiene cuatro colas y dentro de ella el tráfico se puede asignar a una u otra cola, el orden de prioridad es: urgent, high, normal(valor por defecto) y low. © 2019 – Teldat S.A. – All rights reserved Mecanismo QoS © 2019 – Teldat S.A. – All rights reserved Calidad de Servicio ✓ Configuración Bandwith Reservation System: $ feature bandwidth-reservation ; -- Bandwidth Reservation user configuration -network ethernet0/0 Indico la Interface de salida enable class voz 45 class voz set precedence 5 Creo Clase de Tráfico y marco ; paquetes class servicios 25 class servicios set precedence 1 ; class datos 10 class datos set precedence 1 ; access-list 160 voz Asigno ACL previamente creado a cada Clase de Trafico access-list 150 servicios access-list 170 datos © 2019 – Teldat S.A. – All rights reserved Dm753 Protocolo BGP Type of Service ✓ Classify VoIP, Video and Data traffic received on LAN interface. Apply "access-list" bynetworks, hosts, protocolsorports. © 2019 – Teldat S.A. – All rights reserved © 2019 – Teldat S.A. – All rights reserved Configuración QoS Ejemplo: Definir prioridades de envío de tráfico por diferentes puertos: 100, 200, 300, 400, 500, 600 feature access-lists access-list 300 ; -- Access Lists user configuration -description "PUERTO 300" access-list 100 entry 1 default description "PUERTO 100" entry 1 permit entry 1 default entry 1 source address 200.60.92.248 255.255.255.248 entry 1 permit entry 1 destination port-range 300 300 entry 1 source address 200.60.92.248 255.255.255.248 entry 1 protocol udp entry 1 destination port-range 100 100 exit entry 1 protocol udp ; exit access-list 400 ; description "PUERTO 400" access-list 200 entry 1 default description "PUERTO 200" entry 1 permit entry 1 default entry 1 source address 200.60.92.248 255.255.255.248 entry 1 permit entry 1 destination port-range 400 400 entry 1 source address 200.60.92.248 255.255.255.248 entry 1 protocol udp entry 1 destination port-range 200 200 exit entry 1 protocol udp ; exit ; © 2019 – Teldat S.A. – All rights reserved Configuración QoS access-list 500 description "PUERTO 500" entry 1 default entry 1 permit entry 1 source address 200.60.92.248 255.255.255.248 entry 1 destination port-range 500 500 entry 1 protocol udp exit ; access-list 600 description "PUERTO 600" entry 1 default entry 1 permit entry 1 source address 200.60.92.248 255.255.255.248 entry 1 destination port-range 600 600 entry 1 protocol udp exit exit © 2019 – Teldat S.A. – All rights reserved Ejemplo cuadro de Precedence Precedencia0 :Routine - Bronce :2M Precedencia1 :Priority - Plata :2M Precedencia2 :Inmediate - Oro : 2M Precedencia3 : Flash - Platinum : 2M Precedencia4 : Flash override - Video : 2M Precedencia5 :Critical - Real Time (Voz) : 2M © 2019 – Teldat S.A. – All rights reserved Bandwidth Reservation Mediante el feature "bandwidth-reservation" se configura a las clases y se prioriza los paquetes en la interface de salida Ethernet0/1. feature bandwidth-reservation ;Bandwidth Reservation user configuration network ethernet0/1 enable class control 100 real-time class local 10 class default 40 class bronce 10 class bronce rate-limit 2048 class bronce exceed classify voz class plata 10 class plata rate-limit 2048 class plata exceed classify voz class oro 10 class oro rate-limit 2048 class oro exceed classify voz class platinium 10 class platinium rate-limit 2048 class platinium exceed classify voz class video 10 class video rate-limit 2048 ; class voz 100 real-time class voz rate-limit 2048 ; access-list access-list access-list access-list access-list access-list 100 200 300 400 500 600 ; rate-limit 12288 exit exit © 2019 – Teldat S.A. – All rights reserved bronce low set precedence 0 plata normal set precedence 1 oro normal set precedence 2 platinium normal set precedence 3 video normal set precedence 4 voz urgent set precedence 5 Monitoreo Marcado de Paquetes Ingreso a interface habilitada con Bandwithreservation +feature bandwidth-reservation BRS+ network ethernet0/0 BRS [i ethernet0/0]+ cache 10 entries in cache 1 ethernet0/2.5 192.168.1.128 -> 192.168.100.25 tos 160 label 0 protocol 17 udp ports 51020 -> 5214 class voz priority high set tos 160 mask 224 2 ethernet0/2.5 192.168.250.201 -> 192.168.100.28 tos 168 label 0 protocol 17 udp ports 28224 -> 5258 class voz priority high set tos 160 mask 224 3 ethernet0/2.5 192.168.250.201 -> 192.168.100.28 tos 168 label 0 protocol 17 udp ports 28225 -> 5259 class voz priority high set tos 160 mask 224 Clase de Tráfico Marcado © 2019 – Teldat S.A. – All rights reserved Dm753 Protocolo BGP Configuración y pruebas de marcado con TOS extremo a extremo © 2019 – Teldat S.A. – All rights reserved Verificación de tráfico Resultado generador de tráfico en los 6 canales, el tráfico es limitado porc el router a 2Mbps por canal: © 2019 – Teldat S.A. – All rights reserved Verificación de tráfico Resultado cuando se retira tráfico de voz, el tráfico en exceso se redistribuye en los 5 canales © 2019 – Teldat S.A. – All rights reserved Verificación de tráfico Aplicamos comando "traffic-shape-group" que muestra el Throughput por cada clase. © 2019 – Teldat S.A. – All rights reserved Verificación de tráfico Se genera tráfico en clase BRONCE hasta saturar, se visualiza la clase con estado C (Congested) y se ejecuta la política que el tráfico excedente sea reasignado a la clase VOZ. © 2019 – Teldat S.A. – All rights reserved © 2019 – Teldat S.A. – All rights reserved