martes, 13 de agosto de 2013

CapaOcho.Net: Cambiar secuencia de escape en el CLI de IOS

CapaOcho.Net: Cambiar secuencia de escape en el CLI de IOS: ¿Cuántas veces nos pasó que no podemos cortar un traceroute? Es común que enseñemos en la academia que la secuencia de escape en IOS es CTRL+SHIFT+6 y que a veces también es necesario tocar la letra X. Esto es todo un problema, sobre todo para los recién iniciados....

Publicado por en No hay comentarios.:

jueves, 8 de agosto de 2013

Configuración Túneles GRE

Encapsulación de enrutamiento genérico (GRE) es un protocolo de túnel desarrollado por Cisco que permite la encapsulación de una amplia variedad de protocolos de capa de red dentro de enlaces punto a punto.Su uso principal es crear túneles VPN; GRE, esta definido por los RFC 1701, 1702 y 2784.
Un túnel GRE se utiliza cuando los paquetes deben ser enviados desde una red a otra a través de Internet o de una red insegura. Con GRE, se crea un túnel virtual entre los dos puntos finales (routers Cisco) y los paquetes se envía a través del túnel GRE.
Es importante tener en cuenta que los paquetes que viajan dentro de un túnel GRE no están cifradas como GRE no cifra el túnel, pero lo encapsula con una cabecera GRE. Si se requiere protección de datos, IPSec debe estar configurado para proporcionar confidencialidad de los datos - esto es cuando un túnel GRE se transforma en un túnel GRE VPN seguro.

Cuando abordamos el tema VPNs subyacen detrás dos conceptos:
  • La red virtual, a la que también llamamos túnel, que emula una conexión punto a punto entre 2 nodos conectados a Internet.
  • La encripción de los datos que circulan sobre esa red virtual para darle seguridad al intercambio privado de información sobre una red pública.
¿Cuándo utilizar GRE?
  • Cuando, por ejemplo, es necesario trabajar con un protocolo que no es enrutamble como NetBIOS o con protocolos enrutables diferentes de IP a través de una red IP. Se puede constituir un túnel GRE para trabajar con IPX o AppleTalk sobre una red IP.
  • Cuando debemos conectar dos puntos remotos de una misma red y para ello necesitamos utilizar enlaces que pertenecen a una red diferente.
Mientras que muchos podrían pensar que un túnel GRE IPSec entre dos enrutadores es similar a un sitio a sitio VPN IPSec (Crypto), no lo es. Una diferencia importante es que los túneles GRE permiten paquetes de multidifusión para atravesar el túnel IPSec VPN, mientras que no es compatible con los paquetes de multidifusión. En redes grandes, donde los protocolos de enrutamiento como OSPF, EIGRP son necesarios, los túneles GRE son su mejor apuesta. Por esta razón, más el hecho de que los túneles GRE son mucho más fácil de configurar, los ingenieros prefieren utilizar GRE en lugar de VPN IPSec.

Selección del tipo de túnel a emplear
Cuando se crea un tunnel, normalmente no se especifica el protocolo a utilizar, por lo que los equipos por defecto, seleccionan el protocolo GRE. Sin embargo es posible definir el protocolo, mediante un comando sencillo, como puede verse a continuación:
Router1(config)#interface Tunnel1
Router1(config-if)#tunnel mode ipip

El modo ipip, es el tipo de tunnel que permite encapsular paquetes IP dentro de otro paquete IP, muy útil para permitir la comunicación entre redes IPv6 por medio de redes IPv4. El proceso para seleccionar el protocolo es sencillo y deberá de ser configurado en ambos lados del tunnel, al igual que se definió el protocolo ipip, también puede seleccionarse cualquiera de los siguientes opciones: aurp, cayman, dvmrp, eon, gre ip, gre ip multipoint,
ipip, iptalk

Consideraciones adicionales

  • GRE toma un paquete ya existente, con su encabezado de capa de red, y le agrega un segundo encabezado de capa de red, lo que implica que el paquete que se envía a través del túnel es de mayor longitud por lo que puede ocurrir que esté excediendo la longitud permitida en la interfaz física. Esto provoca el descarte de ese paquete.

    Para solucionar este inconveniente se puede aplicar el comando ip tcp adjust-mss 1436sobre la interfaz túnel para asegurarse de que no se supere el MTU permitido sobre el enlace.

  • El enlace sobre el túnel GRE no requiere ninguna información de estado, por lo que puede ocurrir que un extremo del túnel se encuentre en estado de down y el otro continúe presentándose comoup.

    Para evitar esta situación habilite keepalive en cada extremo del túnel. De este modo cada extremo enviará mensajes de keepalive sobre el túnel y si un extremo no recibe los mensajes enviados por el otro entonces pasará al estado de down.



    Creación de un túnel GRE Cisco

    Túnel GRE utiliza una interfaz de "túnel" - una interfaz lógica configurada en el router con una dirección IP que los paquetes se encapsulan y decapsulated al entrar o salir del túnel GRE.
    El primer paso es crear nuestra interfaz de túnel en Merida:
    Merida(config)# interface Tunnel0
    Merida(config-if)# ip address 10.10.0.1 255.255.255.0
    Merida(config-if)# ip mtu 1400
    Merida(config-if)# ip tcp adjust-mss 1360
    Merida(config-if)# tunnel source Serial0/0/0
    Merida(config-if)# tunnel destination 200.202.60.2


    Todas las interfaces de túnel de routers participantes siempre deben configurarse con una dirección IP que no se utiliza en ningún otro lugar de la red. Cada interfaz de túnel se le asigna una dirección IP dentro de la misma red que el resto de las interfaces de túnel.
    En nuestro ejemplo, las dos interfaces de túnel son parte de la red 10.10.0.0/24.
    GRE es un protocolo de encapsulación, ajustamos la unidad de transmisión máxima (MTU) de 1400 bytes a un tamaño máximo de segmento (MSS) de 1.360 bytes, Porque la mayoría de MTU de transporte son 1500 bytes y tenemos una sobrecarga añadida a causa de GRE, debemos reducir el MTU para dar cuenta de la sobrecarga adicional. Un valor de 1400 es una práctica común y se asegurará de fragmentación de paquetes innecesarios se mantiene a un mínimo.
    Clausura, se define el origen del túnel, que es la dirección IP pública de Merida, y el destino - la dirección IP pública de Margarita
    Tan pronto como completemos la configuración de Merida, el router confirma la creación del túnel e informar sobre su estado:
    Merida#
    *May 4 21:30:22.971: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
    Dado que la interfaz de túnel 0 es una interfaz lógica se mantendrá hasta incluso si no hay ningún túnel GRE configurado o conectado en el otro extremo.
    A continuación, hay que crear el túnel 0 interfaz en Margarita:
    Margarita(config)# interface Tunnel0
    Margarita(config-if)# ip address 10.10.0.2 255.255.255.0
    Margarita(config-if)# ip mtu 1400
    Margarita(config-if)# ip tcp adjust-mss 1360
    Margarita(config-if)# tunnel source Serial0/0/0
    Margarita(config-if)# tunnel destination 200.201.60.2
    Interfaz de túnel de Margarita está configurado con la fuente apropiada túnel y la dirección IP de destino.Al igual que con Merida, router Margarita se nos informa que el Tunnel0 interfaz está activa:
    R2#
    *May 4 21:32:54.927: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up

    Routing a través del túnel GRE

    En este punto, los dos extremos del túnel están listos y pueden "verse" entre sí.Un eco ICMP desde un extremo lo confirmará:
    Merida# ping 10.10.0.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.10.0.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
    Merida#
    Una vez más, este resultado significa que los dos puntos finales del túnel pueden verse entre sí.Las Estaciones de trabajo de las dos redes todavía no será capaz de llegar al otro lado a menos que se coloca una ruta estática en cada punto final:
    Merida (config) # ip route 192.168.0.0 255.255.255.0 10.10.0.2
    En Merida añadimos una ruta estática a la red 192.168.0.0/24 remota a través de 10.10.0.2, que es el otro extremo de nuestro túnel GRE. Cuando Merida recibe un paquete de la red 192.168.0.0, que ahora conoce el siguiente salto es 10.10.0.2 y por lo tanto lo enviará a través del túnel.
    La misma configuración se debe repetir para Margarita:
    Margarita (config) # ip route 172.16.0.0 255.255.255.0 10.10.0.1

    Ahora ambas redes son capaces de comunicarse libremente entre sí a través del túnel GRE.

Veamos como esta configurado cada uno de los routers en la topologia:

 Merida#sh ru
Building configuration...

 Current configuration : 2137 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Merida
!
!
!
!
ip dhcp excluded-address 172.16.0.1
!
ip dhcp pool LAN1
 network 172.16.0.0 255.255.255.0
 default-router 172.16.0.1
 option 150 ip 172.16.0.1
 dns-server 200.201.60.1
!
!
spanning-tree mode pvst
!
!
interface Tunnel0
 ip address 10.10.0.1 255.255.255.0
 tunnel source Serial0/0/0
 tunnel destination 200.202.60.2
!
!
interface FastEthernet0/0
 ip address 172.16.0.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0/0
 ip address 200.201.60.2 255.255.255.252
!
interface Serial0/0/1
 no ip address
 clock rate 2000000
 shutdown
!
interface Serial0/1/0
 no ip address
 clock rate 2000000
 shutdown
!
interface Serial0/1/1
 no ip address
 clock rate 2000000
 shutdown
!
interface FastEthernet1/0
 switchport mode access
 shutdown
!
interface FastEthernet1/1
 switchport mode access
 shutdown
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
ip route 200.202.60.0 255.255.255.252 Serial0/0/0
ip route 192.168.0.0 255.255.255.0 10.10.0.2
!
!
line con 0
line vty 0 4
 login
!
!
!
end
Margarita#sh ru
Building configuration...

 Current configuration : 2144 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Margarita
!
!
!
!
ip dhcp excluded-address 192.168.0.1
!
ip dhcp pool LAN2
 network 192.168.0.0 255.255.255.0
 default-router 192.168.0.1
 option 150 ip 192.168.0.1
 dns-server 200.202.60.1
!
!
spanning-tree mode pvst
!
!
interface Tunnel0
 ip address 10.10.0.2 255.255.255.0
 tunnel source Serial0/0/0
 tunnel destination 200.201.60.2
!
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0/0
 ip address 200.202.60.2 255.255.255.252
!
interface Serial0/0/1
 no ip address
 clock rate 2000000
 shutdown
!
interface Serial0/1/0
 no ip address
 clock rate 2000000
 shutdown
!
interface Serial0/1/1
 no ip address
 clock rate 2000000
 shutdown
!
interface FastEthernet1/0
 switchport mode access
 shutdown
!
interface FastEthernet1/1
 switchport mode access
 shutdown
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
ip route 200.201.60.0 255.255.255.252 Serial0/0/0
ip route 172.16.0.0 255.255.255.0 10.10.0.1
!
!
line con 0
line vty 0 4
 login
!
!
!
end
WAN#sh ru
Building configuration...

 Current configuration : 1797 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname WAN
!
!
no ip domain-lookup
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto
 shutdown
!
interface Serial0/0/0
 ip address 200.201.60.1 255.255.255.252
 clock rate 2000000
!
interface Serial0/0/1
 ip address 200.202.60.1 255.255.255.252
 clock rate 2000000
!
interface Serial0/1/0
 no ip address
 clock rate 2000000
 shutdown
!
interface Serial0/1/1
 no ip address
 clock rate 2000000
 shutdown
!
interface FastEthernet1/0
 switchport mode access
 shutdown
!
interface FastEthernet1/1
 switchport mode access
 shutdown
!
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
!
!
line con 0
line vty 0 4
 login
!
!
!
end

Fuentes:
http://librosnetworking.blogspot.com/2006/12/introduccin-tneles-gre.html
http://materias.fi.uba.ar/7543/download/conf_gre.pdf
http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/868-cisco-router-gre-ipsec.html
Publicado por en No hay comentarios.:

viernes, 2 de agosto de 2013

Configuración de VoIP en equipos Cisco


Topologia 
Equipos usados:
-Router Cisco 2811
-Switch Cisco 2960
-Telefonos Ip 7960

 ojo: omitire explicación de algunos de los pasos suponiendo que ya están empapados en esos temas y me centrare solamente en la configuración de servicios de VoIP

 Configuración de los router's:

 R0:
Config de interfaces
R0(config)#int fa 0/0
R0(config-if)#ip add 192.168.0.1 255.255.255.0
R0(config-if)#no shutdown
R0(config-if)#description LAN VoIP

 R0(config)#int serial 0/0/0
R0(config-if)#ip add 172.16.0.1 255.255.255.252
R0(config-if)#no shutdown
R0(config-if)#description WAN VoIP
R0(config-if)#clock rate 64000

 Config del servicio DHCP
R0(config)#ip  dhcp pool voip
R0(dhcp-config)#network 192.168.0.0 255.255.255.0
R0(dhcp-config)#default-router 192.168.0.1
R0(dhcp-config)#option 150 ip 192.168.0.1
R0(dhcp-config)#exit
R0(config)#ip dhcp exclude-address 192.168.0.1 192.168.0.10

 R1:
Config de interfaces
R1(config)#int fa 0/0
R1(config-if)#ip add 192.168.100.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#description LAN VoIP

 R1(config)#int serial 0/0/0
R1(config-if)#ip add 172.16.0.2 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#description WAN VoIP
Config del servicio DHCP
R1(config)#ip  dhcp pool voip
R1(dhcp-config)#network 192.168.100.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.100.1
R1(dhcp-config)#option 150 ip 192.168.100.1
R1(dhcp-config)#exit
R0(config)#ip dhcp exclude-address 192.168.100.1 192.168.100.10
Configuración del servicio de telefonía en ambos Router
                                         (R0 y R1)

 Cisco Unified CallManager Express (CME) es una versión más ligera de la
aplicación Call Manager (CM) para servidores. CM corre en servidores
dedicados mientras que CME corre directamente en los routers.
  • 1. Habilita las funcionalidades de CME en el router.

 Router(config)#telephony-service
Router(config-telephony)#
  • 2. Configuraremos en 5 host la posibilidad de teléfonos disponibles. Luego configure el número máximo de números de directorio a 5.

 Router(config-telephony)#max-ephones 5
Router(config-telephony)#max-dn 5
  • 3. Configure la dirección origen (source address) para SCCP (Skinny Client Control Protocol). Para ello utilice la dirección IP de la interface FastEthernet del router con número de puerto 2000.

 Router(config-telephony)#ip source-address 192.168.0.1 port 2000 --->para R0
Router(config-telephony)#ip source-address 192.168.100.1 port 2000 --->para R1
  • 4. Asignación automática de los números telefónicos

 Router(config-telephony)#auto assign 4 to 6
Router(config-telephony)#auto assign 1 to 5
Router(config-telephony)#exit
  • 5. Configuremos los  teléfonos de nuestra topologia.

 R0(config)#ephone-dn 1
R0(config-ephone-dn)#number 02742712083
R0(config)#ephone-dn 2
R0(config-ephone-dn)#number 02742711363
R0(config)#ephone-dn 3
R0(config-ephone-dn)#number 02742714865

 Para R1 se configurar de la misma forma pero con sus respectivos números telefónicos en el diagrama aparecen los que use.
Configuración de los Switch's:

 En ambos switch's hacemos:

Lo primero será configurar 5 de las interfaces del Swtich, este proceso lo puedes hacer puerto por puerto o utilizar el rango de 1 a 5.

 Switch(config)#interface range fa0/1 – 5

 Ahora dejemos esos puertos a modo de Acceso. Recuerda que todos los comandos que escribamos de aquí en adelante sin salirnos de este rango de puertos, afectaran a todos los puertos contenidos en el rango, para el caso los puertos del 1 al 5.

 Switch(config-if-range)#switchport mode Access

 El comando anterior estable los puertos de nuestro rango en un modo Trunking de acceso incondicional. Ahora asígnale propiedades de voz a tu rango que a la vez será parte de la VLAN 1 o desde ahora VLAN de Voz.

 Switch(config-if-range)#switchport voice vlan 1

 Presiona CTL+Z para regresar al modo privilegiado y luego guarda la
configuración con el siguiente comando

 Switch(config)#wr


Nota: Hasta este momento debemos poder realizar llamadas internamente en nuestro propio segmento de red es decir en la LAN individual de R0 y R1. Podemos probar intentar llamar de la LAN de R0 a R1 y verificar que todavía no tenemos conexión y viceversa, para poder llamarnos desde distintas LAN atravesando la WAN debemos configurar "Dial planes".

Si nos damos cuenta en la configuracion de los routers las interfaces seriales de la WAN para R0 es 172.16.0.1 y para R1 la .2, bien.

Configuración de "dial plan" para llamarnos desde R0 a R1 y viceversa:

R0: Debemos realizar 3 dial plan, una para cada uno de las extensiones de R1; e igualmente en R1, 3 dial plan unos para cada una de las extesiones de R0. Ejemplo en R0:
  • Creamos el dial plan numero 1, a media que creamos dial plan vamos avanzando en el numero quiero decir que el proximo dial plan sera el 2...
R0(config)#dial-peer voice 1 voip

  • Redirige una llamada dirigida al interno 02122712083 de R1
R0(config-dial-peer)# destination-pattern 02122712083


  • A través del enlace serial (sobre IP) hacia R1

R0(config-dial-peer)#session target ipv4:172.16.0.2

Ejemplo en R1:

  • Creamos el dial plan
R0(config)#dial-peer voice 1 voip

  • Redirige una llamada dirigida al interno 02742711363 de R0
R0(config-dial-peer)# destination-pattern 02742711363


  • A través del enlace serial (sobre IP) hacia R0

R0(config-dial-peer)#session target ipv4:172.16.0.1
__________________________________________________________________________
Existe otra manera de poder llamarnos de LAN(R0) a LAN(R1) sin embargo no lo explico debido a que lo realice en Packettracer y no me funciono, que es realizando un solo dial plan con un numero de extensión que nos permita discar ese muero para indicar que queremos realizar una llamada externa.

 Tome informacion para realizar la practica de:
http://librosnetworking.blogspot.com

Publicado por en No hay comentarios.:
Suscribirse a: Entradas (Atom)