TOPOLOGIA
ESCENARIO
1. Configurar R1 como Servidor DHCP para los PC
2. Configurar protocolos RIP, OSPF y EIGRP. Redistribuir ambos para que haya conectividad total. No implementar sumarización.
Las rutas EIGRP no deben cambiar su métrica cuando se redistribuyan en OSPF pero tiene que tener un coste inicial de 100 y un tag de 123 aquellas que pasan por ISP-1 y, un coste de 200 y un tag de 345 las que pasen por ISP-2.
Las rutas OSPF deben redistribuirse con la siguiente métrica y un tag de 555 en el EIGRP:
- BW: 400; DLY: 20 ; REL: 255; LD: 1; MTU: 1500
3. Monitorizar desde OFICINA las loopback 4 del router BACKUP con una frecuencia de 10 segundos y que no se pare de monitorizar nunca.
4. Configurar HSRP entre PRINCIPAL y BACKUP. Tenemos que monitorizar el enlace WAN de PRINCIPAL(s1/0) por si cae para que conmute el tráfico y los PC salga a través del router BACKUP
5. Configurar NAT estático para el PC3
6. Configurar NAT dinámico para PC1 y PC2
1. Configuración básica de los equipos
PRINCIPAL#
interface Loopback0
ip address 3.3.3.3 255.255.255.255
interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
interface Loopback1
ip address 192.168.1.1 255.255.255.0
!
interface Loopback2
ip address 192.168.2.1 255.255.255.0
!
interface Loopback3
ip address 192.168.3.1 255.255.255.0
!
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
full-duplex
!
interface Serial1/0
bandwidth 1024
ip address 172.16.1.1 255.255.255.252
!
BACKUP#
interface Loopback0
ip address 4.4.4.4 255.255.255.255
interface Loopback0
ip address 4.4.4.4 255.255.255.255
!
interface Loopback4
ip address 192.168.4.1 255.255.255.0
!
interface Loopback5
ip address 192.168.5.1 255.255.255.0
!
interface Loopback6
ip address 192.168.6.1 255.255.255.0
!
interface Ethernet0/0
ip address 192.168.0.2 255.255.255.0
full-duplex
!
interface Serial1/0
bandwidth 512
ip address 172.16.2.1 255.255.255.252
!
ISP-1#
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface Serial0/0
bandwidth 1024
ip address 172.16.1.2 255.255.255.252
!
interface Serial0/1
ip address 172.16.3.2 255.255.255.252
!
ISP-2#
interface Loopback0
ip address 2.2.2.2 255.255.255.255
interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
interface Serial0/0
bandwidth 512
ip address 172.16.2.2 255.255.255.252
!
interface Serial0/1
ip address 172.16.4.2 255.255.255.252
!
OFICINA#
interface Loopback0
ip address 5.5.5.5 255.255.255.255
interface Loopback0
ip address 5.5.5.5 255.255.255.255
!
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.0
full-duplex
!
interface Ethernet0/1
ip address 10.0.1.1 255.255.255.0
full-duplex
!
interface Serial1/0
ip address 172.16.3.1 255.255.255.252
!
interface Serial1/1
ip address 172.16.4.1 255.255.255.252
!
HTTP-SERVER#
interface Loopback0
ip address 8.8.8.8 255.255.255.255
interface Loopback0
ip address 8.8.8.8 255.255.255.255
!
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.0
full-duplex
!
TELNET-SERVER#
interface Loopback0
ip address 9.9.9.9 255.255.255.255
interface Loopback0
ip address 9.9.9.9 255.255.255.255
!
interface Ethernet0/0
ip address 10.0.1.2 255.255.255.0
full-duplex
!
DHCP en PRINCIPAL
El rango que tenemos que configurar es el 192.168.0.0/24. Tenemos que excluir las ip 192.168.0.1 (LAN de PRINCIPAL), la 192.168.02 (LAN de BACKUP) y también la .3 para la futura virtual del HSRP. Por lo tanto vamos a excluir las 5 primeras direcciones ip y dejarnos 2 para un futuro servicio.
Excluimos las direcciones, creamos un pool o lista del rango que vamos a repartir.
PRINCIPAL(config)#ip dhcp excluded-address 192.168.0.1 192.168.0.5
PRINCIPAL(config)#ip dhcp pool DHCPLAN
PRINCIPAL(dhcp-config)#default-router 192.168.0.3
PRINCIPAL(dhcp-config)#network 192.168.0.0 255.255.255.0
Vamos a los PC y escribimos "ip dhcp". Para ver la ip: sh ip
2. Enrutamiento, distribución y filtrado
PRINCIPAL#sh run | s router
router eigrp 50
eigrp router-id 3.3.3.3
network 172.16.1.0 0.0.0.3
network 192.168.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
no auto-summary
BACKUP#sh run | s router
router eigrp 50
eigrp router-id 4.4.4.4
network 172.16.2.0 0.0.0.3
network 192.168.0.0
network 192.168.4.0
network 192.168.5.0
network 192.168.6.0
no auto-summary
ISP-1#sh run | s router
router eigrp 50
eigrp router-id 1.1.1.1
network 172.16.1.0 0.0.0.3
no auto-summary
router ospf 1
router-id 1.1.1.1
network 172.16.3.0 0.0.0.3 area 0
Ahora en OFICINA vamos a redistribuir hacia los servidores TELNET y HTTP las rutas OSPF que recibe de los ISP.
eigrp router-id 3.3.3.3
network 172.16.1.0 0.0.0.3
network 192.168.0.0
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
no auto-summary
BACKUP#sh run | s router
router eigrp 50
eigrp router-id 4.4.4.4
network 172.16.2.0 0.0.0.3
network 192.168.0.0
network 192.168.4.0
network 192.168.5.0
network 192.168.6.0
no auto-summary
ISP-1#sh run | s router
router eigrp 50
eigrp router-id 1.1.1.1
network 172.16.1.0 0.0.0.3
no auto-summary
router ospf 1
router-id 1.1.1.1
network 172.16.3.0 0.0.0.3 area 0
ISP-2#sh run | s router
router eigrp 50
eigrp router-id 2.2.2.2
network 172.16.2.0 0.0.0.3
no auto-summary
router ospf 1
router-id 2.2.2.2
network 172.16.4.0 0.0.0.3 area 0
OFICINA#sh run | s router
router ospf 1
router-id 5.5.5.5
network 172.16.3.0 0.0.0.3 area 0
network 172.16.4.0 0.0.0.3 area 0
router rip
version 2
network 10.0.0.0
no auto-summary
TELNET-SERVER#sh run | s router
router rip
version 2
network 9.0.0.0
network 10.0.0.0
no auto-summary
HTTP-SERVER#sh run | s router
router rip
version 2
network 8.0.0.0
network 10.0.0.0
no auto-summary
Comprobamos si todos los vecinos han levantado.
Vamos a redistribuir RIP en OFICINA. Para redistribuir RIP tenemos que hacerlo dentro del proceso OSPF:
OFICINA#sh run | s router ospf
router ospf 1
redistribute rip subnets - Subnets
network 172.16.3.0 0.0.0.3 area 0
network 172.16.4.0 0.0.0.3 area 0
 |
| Vemos en ISP-1 las rutas rip como E2 |
Ahora en OFICINA vamos a redistribuir hacia los servidores TELNET y HTTP las rutas OSPF que recibe de los ISP.
OFICINA#sh run | s router
router rip
version 2
redistribute ospf 1
network 10.0.0.0
no auto-summary
Si vamos a cualquiera de los servidores vemos que no recibimos las rutas OSPF, al menos las conectadas.
Cuando redistribuimos se pierde la métrica, así que tendremos que asegurarnos que se le establece alguna. La métrica en RIP se calcula por saltos, así que le decimos a TELENT y HHTP que las rutas están a 1 salto.
OFICINA(config-router)#redistribute ospf 1 metric 1
Y ahora ya vemos las OSPF del area 0
Configuramos la redistribución en ISP-1:
ISP-1(config-router)#redistribute eigrp 50 subnets metric 100 metric-type 2 tag 123
Hacemos lo mismo en ISP-2 con otra métrica y otro tag. Esta vez lo haremos a través de un route-map. Creamos el route-map y luego lo aplicamos en la redistribución:
ISP-2#sh run | s route-map
route-map REDIS-EIGRP permit 10
set metric 200
set metric-type type-2
set tag 345
ISP-2(config-router)#redistribute eigrp 50 subnets route-map REDIS-EIGRP
Si miramos ahora en OFICINA seguiremos viendo las rutas EIGRP por el interrface s1/0. Cómo hemos redistribuido desde ISP-2 con una métrica mayor (200), está no se instalará en la tabla de rutas. Si ponemos en "down" la interface s1/0 de OFICINA, vermos como se instalan en la tabla de rutas. Ahora tenemos un camino principal y otro secundario. Si levantamos la interface otra vez y se puede ver cómo vuelven a entrar por la s1/0. Hay que tener en cuenta que las loopback de BACKUP se están anunciando a través de PRINCIPAL, ya que son vecinos por el lado LAN.
Vamos a filtrar en PRINCIPAL las loopback de BACKUP porque queremos que desde fuera, se lleguen a estas loopbacks directamente al BACKUP, sin pasar por PRINCIPAL.Vamos a utilizar un distribute-list. Hay que crear primero el access-list y luego llamarlo desde el proceso EIGRP:
PRINCIPAL(config)#ip access-list standard FILTRO-INTERNO
PRINCIPAL(config-std-nacl)#deny 192.168.4.0 0.0.0.255 log
PRINCIPAL(config-std-nacl)#deny 192.168.5.0 0.0.0.255 log
PRINCIPAL(config-std-nacl)#deny 192.168.6.0 0.0.0.255 log
PRINCIPAL(config-std-nacl)#permit any log
PRINCIPAL(config-router)#distribute-list FILTRO-INTERNO in e0/0
Y ahora en OFICINA vemos las loopback de BACKUP entrando por el s1/1.
 |
| Vemos en el log del access-list cómo permite y deniega |
Ahora redistribuimos en los ISP el OSPF para que entre en el AS de EIGRP. Ni OFICINA ni BAKCUP tienen rutas de OSPF ni de RIP.
ISP-1(config-router)#redistribute ospf 1 metric 400 20 255 1 1500
ISP-2(config-router)#redistribute ospf 1 metric 400 20 255 1 1500
 |
| Todas las rutas en la tabla. Las loopback de BACKUP se reciben por fuera... |
3. Monitorización
Creamos un IP SLA con ICMP desde OFICINA haci ala loopback 4.
OFICINA(config)#ip sla monitor 4
OFICINA(config-sla-monitor)#type echo protocol ip IcmpEcho 192.168.4.1
OFICINA(config-sla-monitor-echo)#frequency 10
OFICINA(config)#ip sla monitor schedule 4 start-time now life forever
 |
| sh ip sla monitor statistics para ver la sonda |
NOTA. dependiendo de la versión de IOS puede ser que cambie algún comando pero siempre será bastante intuitivo.
4. HSRP
Una de las utilidades de IP SLA es complementarlo con HSRP. Vamos a configurar la redundacia y monitorizaremos el enlcae WAN de PRINCIPAL por si cae, que conmute a backup.
Para configurar HSRP tenemos que otorgar el rol de primario al PRINCIPAL. Eso lo hacemos dándole mayor prioridad. La prioridad por defecto es 100 y, gana, la más alta. Todo se configura a nivel de la interface por la que se van a conecer los vecinos HSRP, es decir, aquí en el laboratorio será la e0/0 en ambos.
PRINCIPAL#sh run int e0/0
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
full-duplex
standby 1 ip 192.168.0.3 - Ip Virtual. Es la puerta de enlace para los PC
standby 1 priority 110 - Le subimos la prioridad a 110. El BACKUP se queda en 100.
standby 1 preempt delay minimum 5
standby 1 track 100 decrement 20 - Si el track 100 detecta fallo, baja la prioridad 20 puntos.
Preempt es para que conmute. Lo retrasamos 5 segundos para evitar que si en el enlace primario hay un flapeo único (cuando la interface se cae por 1 segundo por alguna razón no importante y vuelve a levantar) que conmute al BAKCUP. Si cae por más de 5 segundos, es decir, ya existe un problema permamente en la línea, entonces conmuta al BACKUP.
BACKUP#sh run int e0/0
interface Ethernet0/0
ip address 192.168.0.2 255.255.255.0
full-duplex
standby 1 ip 192.168.0.3 - Ip Virtual. Es la puerta de enlace para los PC
standby 1 preempt - Conmuta inmediatamente al PRINCIPAL
 |
| PRINCIPAL con prioridad 110 como ACTIVE |
 |
| BACKUP con prioridad 100 como STANDBY |
Ahora vamos a utilizar la opción TRACK. Con esto apuntamos un IP SLA hacia el vecino de PRINCIPAL, es decir, el ISP-1 y, si cae este enlace, el procolo HSRP le asignará una prioridad de 90 (le bajamos 20 con el comando decrement) y conmutará la BACKUP.
PRINCIPAL(config)# track 100 ip route 172.16.1.0 255.255.255.252 reachability
 |
| Tracking del enlace y rol HSRP en ACTIVE |
Nota: la versión de IOS no me permite usar IP SLA. En versiones anteriores se hace así. Un ejemplo ficiticio con IP SLA:
(config-if)#standby 1 track 201 decrement 20
(config)#track 201 ip sla 203
(config)#ip sla 203
(config- ip sla)#icmp-echo 213.50.174.214 source-ip 213.50.174.215
(config- ip sla)#frequency 5
(config)#ip sla schedule 203 life forever start-time now ageout 3600
Ahora vamos a poner en down el enlace WAN de PRINCIPAL. Vamos al equipo ISP-1 y tiramos el interface. Así simulamos un erro de proveedor.
ISP-1(config)#int s0/0
ISP-1(config-if)#sh
 |
| Cae el enlace y empiezan a hablar por el HSRp. Cambia el ro a STANDBY |
 |
| BACKUP se queda como ACTIVE |
En cuanto levantemos el interface s0/0 de ISP-1, el track se dará cuenta, el HSRP empezará a hablar y, el rol de ACTIVE volverá al PRINCIPAL gracias a la prioridad 110
5. Configurar NAT estático para el PC3
Lo primero de todo es asignarle una ddirección ip fija al PC. yo le he puesto la 192.168.0.8/24 y, lo más importante, le ponemos como Puerta de Enlcae (Gateway) la 192.168.0.2, la e0/0 del router BACKUP. Probad con un trace que elige el camino del BACKUP.
Ahora configuramos NAT estático a esa dirección en BACKUP:
BACKUP(config)#ip nat inside source static 192.168.0.8 172.16.2.1
Lo primero de todo es asignarle una ddirección ip fija al PC. yo le he puesto la 192.168.0.8/24 y, lo más importante, le ponemos como Puerta de Enlcae (Gateway) la 192.168.0.2, la e0/0 del router BACKUP. Probad con un trace que elige el camino del BACKUP.
Ahora configuramos NAT estático a esa dirección en BACKUP:
BACKUP(config)#ip nat inside source static 192.168.0.8 172.16.2.1
Y configuramos las interfaces para que hagan NAT:
BACKUP#sh run
interface Ethernet0/0
ip address 192.168.0.2 255.255.255.0
ip nat inside
full-duplex
standby 1 ip 192.168.0.3
standby 1 preempt
end
!
interface Serial1/0
bandwidth 512
ip address 172.16.2.1 255.255.255.252
ip nat outside
end
Lanzamos ping contra 8.8.8.8 y vemos las traducciones de NAT:
 |
| sh ip nat translations para ver las direcciones traducidas |
Creamos el access-list para permitir a las direcciones de los PC-1 y 2.
PRINCIPAL#
access-list 100 permit ip host 192.168.0.6 any
access-list 100 permit ip host 192.168.0.7 any
Creamos el pool y el nat
PRINCIPAL#
ip nat pool NAT-DINAMICO 172.16.1.1 172.16.1.1 netmask 255.255.255.252
ip nat inside source list 100 pool NAT-DINAMICO
Si os fijáis el rango que le he puesto al pool (172.16.1.1 172.16.1.1) solo tiene un dirección ip, ya que provvedor nos da una máscra /30.
Configuramos NAT en las interfaces (ip nat inside / outisde) y lanzamos un ping desde el PC1 hacia el 8.8.8.8 para ver las traducciones en PRINCIPAL.
Sin embargo, cómo solo tenemos una dirección ip en el pool del NAT, si vamos al PC2 y lanzamos un ping, este fallará, ya que la sesión NAT ha sido establecida con PC1 antes y no tiene otra dirección ip en el pool para asignarle.
Podemos hacer un "clear ip nat translations" para eliminar las sesiones NAT del PRINCIPAL y lanzaar desde PC2. Ahora debería llegar, pero tendremos la imposibilidad de hacer con PC1 porque la sesión NAt ya la tiene PC2.
Para resolver este problema, no solo cuando tenemos una dirección, sino también cunado tenemos un pool de 8 direcciones pero detrás del router hay cientos de usuarios, le debemos añadir ala configuración de NAT el atributo "overload".
PRINCIPAL#clear ip nat translation * - para eliminar las sessiones NAT
PRINCIPAL(config)#ip nat inside source list 100 pool NAT-DINAMICO overload
Ahora lanzando ping tanto desde PC1 como PC2 nos dejará pasar el tráfico y nateará ambas ip
 |
| Vemos los 5 ping nateados de cada PC |
5. VPN
No hay comentarios:
Publicar un comentario