ENRUTAMIENTO IP

CONOCIMIENTOS PREVIOS

REPASO DE IPUn enrutador o router es aquel capaz de leer las IP de los paquetes y localizar la manera de que un paquete llegue a su destino.Lgicamente estamos trabajando a nivel 3 del modelo OSI (red), pues los routers, desmontan el paquete que les llegue hasta poder obtener su IP de destino.Adems los routers con capaces de elegir una ruta u otra en funcin de distintos parmetros que le harn elegir la mejor entrega (best effort). Para ello consulta su TABLA DE RUTAS, que no es ms que un espacio de almacenamiento en el que tiene asociadas unas rutas de red a una interfaz concreta. Si no posee esa ruta, usara ICMP para indicarle al emisor la imposibilidad de llegar al destino y destruye el paquete.

EXAMINANDO TABLA DE RUTASDESTINO DE REDRedes o direcciones a las que el enrutador puede encaminar paquetes.MSCARA DE REDPUERTA DE ACCESODireccin accesible directamente al router, por donde enviar los paquetes en busca de su destino.INTERFAZDireccin IP de la tarjeta de red por la que enviar un paquete para alcanzar un destino determinado.METRICAValor que se asocia a una ruta para elegirla antes que otra en funcin de parmetros como el nmero de routers a atravesar para llegar al destino, saturacin de la red, etc. A MENOR MTRICA MAYOR PRIORIDAD.

DIRECCIONES ESPECIALES127.0.0.0 bucle invertido para comprobar la pila TCP/IP0.0.0.0 identifica la puerta de enlace, es decir, aquellos paquetes cuya direccin no consigue encaminar con las rutas disponibles en la tabla sern enviados a la puerta de enlace.224.0.0.0 direccin de multidifusin255.255.255.255 direccin de difusin.Las tablas de rutas no son exclusivas de los routers, cada estacin tiene su propia tabla de rutas que puede visualizarse a travs del comando route print

OPERACIONES CON LA TABLA DE RUTASCuando una mquina va a mandar un paquete, mira su tabla de rutas para averiguar si conoce ese destino de red.Recordamos que para averiguar el destino de red, multiplicaba en binario la IP de destino por su propia mscara. Si conoce el destino encamina el paquete hacia la interfaz asociada. Si no lo conoce, encamina el paquete hacia la NIC asociada a la red 0.0.0.0. (puerta de enlace predeterminada), si esta no est configurada, devolver un mensaje de error.LAS TABLAS DE RUTAS SE GUARDAN EN RAM, al arrancar el equipo se examinan las redes y se establecen las entradas de la tabla de rutas. Si yo aado entradas manualmente, estas no perduran en el reinicio de la mquina, si bien, como ya veremos, puedo hacer que una ruta sea persistente.REPASO DE CLCULO REALIZADO POR UN EQUIPO ANTE UNA DIRECCIN DADADireccin de destino 10.12.159.3Direccin de origen: 62.158.1.56Mscara de origen: 255.248.0.0El producto de IP destino por mscara = 10.8.0.0Se comprueba si existe una entrada en la tabla de rutas para esa direccin de red.

ENRUTAMIENTO ESTTICOEs cuando el administrador edita la tabla de rutas directamente para aadir acceso a nuevas redes, nuevas puertas de enlace, etc.

Pantalla plana

200.200.3.5

10.0.0.5

200.200.3.6

10.0.0.1

0.0.0.0 200.200.3.6 200.200.3.5200.200.3.0 200.200.3.5 200.200.3.510.0.0.0 200.200.3.6 200.200.3.5

10.0.0.0 10.0.0.1 10.0.0.1200.200.3.0 200.200.3.6 200.200.3.6

0.0.0.0 10.0.0.1 10.0.0.510.0.0.0 10.0.0.5 10.0.0.5200.200.3.0 10.0.0.1 10.0.0.5

PRCTICA-1Escribe las tabla de rutas que habra que aadir en cada uno de estos equipos

Pantalla plana

10.0.25.3

20.0.30.5

10.0.25.1

15.0.0.1

15.0.0.2

20.0.30.1

PARA AADIR RUTAS ESTTICASUsamos el comando Route con los modificadores necesarios.Recordamos que las rutas se generan a iniciarse la mquina y si queremos hacerlas persistentes, es decir, queremos que no desaparezcan al apagar la mquina debemos escribir el modificador p

PRCTICA-2En grupos de 3 (1 enrutador y 2 clientes), generar las rutas necesarias para que la mquina-1 llegue a la mquina 2 y viceversa.Tendris que usar 2 direcciones IP asignadas a la misma tarjeta, ya que no disponemos de 2 interfaz.Comprobar la tabla de rutas y que podis llegar de una mquina a otra.RECORDAD: Planificar y Documentar.

Pantalla plana

Servidor

MQUINA-1

MQUINA-2

ROUTER

PRCTICA-3Toda la clase va configurar sus 2 direcciones IP para poder comunicarse a travs de ellas con las mquinas vecinas.OBJETIVO: que cada mquina est en 2 redes distintas y todas puedan comunicar con todas. Uso de tracert para localizar problemasFUNCIONA? Si la respuesta es que NO razonar por qu y lo que necesitaramos para que pudiera funcionar

Basta con seleccionar y escribir el texto. Use los controladores para ajustar el interlineado.

Servidor

40.0.0.2

a3s01

a3s02

a3s03

MQUINA-11 X 10= 1010.0.0.1+10=2020.0.0.2

MQUINA-22 X 10= 2020.0.0.1+10=3030.0.0.2

MQUINA-33 X 10= 3030.0.0.1+10=4040.0.0.2

10.0.0.1

20.0.0.2

20.0.0.1

30.0.0.2

30.0.0.1

DATO IMPORTANTEUn Windows 2000 Server, tiene la capacidad de enrutar, para lo que necesita 2 tarjetas. Si no habilitamos el servicio de enrutamiento y queremos mantener las rutas de manera esttica, debemos habilitar el reenvo IP para que pasen los paquetes de una tarjeta a otra (VER AYUDA).En la prctica anterior los reenvos funcionaban porque realmente slo tenamos una tarjeta FSICA.

INSTALANDO SERVICIOS DE ENRUTAMIENTO Y ACCESO REMOTO

CONFIGURANDO SERVIDOREn Windows 2000 Server, el componente ENRUTAMIENTO Y ACCESO REMOTO se instala con el sistema operativo.Para acceder a la consola usamos la ruta PROGRAMAS->HERRAMIENTAS ADMINISTRATIVAS->ENRUTAMIENTO Y ACCESO REMOTO

Enrutamiento de Windows 2000 ofrece:Protocolos de enrutamiento dinmico (OSPF, RIP v1 y v2)Conexiones bajo demandaFiltrado de paquetesTraslacin de direcciones (NAT)Acceso remoto (RAS)Enrutado de diversos protocolosEtc.En la consola de enrutamiento y acceso remoto, podemos seleccionar el equipo a administrar. En un dominio Windows 2000 se necesita pertenecer al grupo Servidor RAS y IAS para poder administrarlo.

ENRUTAMIENTO DINAMICO

INTRODUCCINUn protocolo de enrutamiento dinmico cumple con las siguientes funciones.Es capaz de elegir dinmicamente la mejor ruta para un paquete IP.Actualiza sus tablas de rutas de manera automtica, comunicando con otros routers con los que se pasa informacin.Ahorra una gran cantidad de trabajo de administracin, pues cada modificacin de rutas es actualizada automticamente y comunicada al resto de los routers

PROTOCOLOS DE VECTOR DISTANCIAUsan el algoritmo de Bellman-FordPermiten a los routers comunicar el contenido de sus tablas con sus vecinos.Asocian una mtrica a las rutas para establecer cual es la mejor.No tienen conocimiento del estado de la red ni de su topologa.Cuando reciben una tabla de rutas de un enrutador vecino:Aade las entradas que no tiene y les incrementa la mtricaSi la ruta la conoce y su mtrica es superior o igual a la que el ya tiene, la desecha.Si la ruta la conoce pero la mtrica es menor, la aade, sustituyendo a su antigua ruta.Las tablas de los routers se comunican por broadcast, los protocolos menos evolucionados, por multicast los ms modernos y por unicast los que permiten configurar vecinos predeterminados. Son protocolos de vector distancia:RIPv1RIPv2

PROTOCOLOS DEL ESTADO DE ENLACEUsan el algoritmo SPF (Short Path First)No se intercambian tabla de enrutamiento, sino los datos que permiten construir dicha tabla. Para ello tienen un buen conocimiento de la topologa de la red en su conjunto. Este conocimiento lo obtienen a travs de paquetes LSP (Link State Packet) que se envan entre los routers que tienen estos protocolos instalados.Utilizan mtricas sofisticadas para saber la velocidad de la red, saturacin, etc. para poder encaminar el paquete por la ruta ms conveniente.Es un protocolo de este tipo OSPF.

RIPUsa el nmero de saltos como mtricaWindows 2000 implementa tanto la versin 1 como la 2.Tiene un lmite de saltos de 15 (15 enrutadores). Sin embargo en la implementacin de Windows 2000 estos enrutadores se quedan en 14 pues Windows 2000 entiende el primer router se encuentra a 2 saltos.

A

D

B

C

A a D tiene 2 rutas, una con 1 salto y la otra con 3 saltos, se quedara con la de 1 salto

IMPLEMENTANDO RIPVer vdeo de instalacinHay que configurar RIP para cada tarjeta. Ver vdeo de ejemplo.

FICHA GENERAL TARJETA RIP

El uso de multidifusin (slo con versin 2) es de gran valor, pues evita sobrecargar la red.La casilla Coste aadido para las rutas, nos permite alterar la mtrica para que se elija una ruta antes que otra. En el caso de la figura, a igualdad de saltos, me interesa que elija la ruta rpida. Para ello incremento la mtrica de la que quiero evitar.La casilla Etiquetas para las rutas anunciadas (solo para versin 2) nos permite aadir palabras a las tramas enviadas por los routers para poder distinguir las rutas que han sido aprendidas por RIP de otras (por ejemplo OSPF)La casilla Activar autentificacin: establece una palabra clave sin la cual los routers no se comunicaran (es de bajo nivel pues se enva en texto plano)

A

D

B

C

T1

56 Kbps

T1

T1

FICHA SEGURIDAD TARJETA RIP

FICHA VECINOS TARJETA RIP

FICHA AVANZADAS TARJETA RIP

PRACTICA-4Segn el escenario de la prctica-3 en el que todo el aula estba unida como ROUTERS:Unimos el ltimo router al primeroInstalamos RIP en cada equipoConfiguramos la tarjeta de red en cada equipo con los valores por defectoComprobamos comunicacin con todas las redes, y resolvemos problemas con el comando tracert.Observamos la tabla de rutas que se genera.Podemos llegar a todas las redes? (por qu).

PRCTICA-5En grupos de 3 aproximadamente, nos aislamos del resto de routers con las opciones de vecinos y observamos nuestra tabla de rutas de nuevo.Probamos las opciones de contrasea.Analizamos las tramas RIP con el monitor de red y comprobamos la teora entregada en las fotocopias.El objetivo es impedir que se comuniquen las tablas de rutas con todos los routers y slo con mis vecinos. Para comprobarlo intentamos comunicar con estos vecinos (repuesta positiva) e intentamos comunicar con el resto de redes (respuesta negativa).Despus deshabilitamos los vecinos (todo el aula a la vez), pero establecemos contraseas en grupos de 3. Misma comprobacin que antes.

DIFERENCIAS ENTRE RIPv1 Y RIPv2 y COEXISTENCIA CON OTROS PROTOCOLOSRIPv2 aporta sobre RIPv1RRIPv2 es capaz de anunciar rutas por multicastRIPv2 puede usar autenticacin por contraseaRIPv2 soporta VLSM (Variable Length Subnet Mask) permitiendo uso adecuado de las subredes.Coexistencia con otros protocolosOtros protocolos como OSPF pueden usarse simultneamente con RIP, el problema viene por los valores de mtrica aportados que no son comparables. As que Cmo decide ante una misma ruta cual camino elegir? Hay que configurarlo a travs de un coeficiente llamado DISTANCIA ADMINISTRATIVA, a menor coeficiente ms fiable ser el protocolo.Si queremos forzarlo a travs de la consola VER VDEO EXPLICATIVO.

OSPFOpen Short Path First (abrir el camino ms corto primero)Es un protocolo de estado de enlaceUsa el algoritmo de DijkistaSus caractersticas principales son:Alta velocidad de convergencia (tiempo que tardan todos los routers en disponer de la misma tabla de rutas)Soporta VLSM (trabajo con redes subneteadas)Enva slo datos cuando es necesario y no a un tiempo establecido como RIP.No tiene problemas de bucle ni lmite de saltosSu implementacin requiere una alta comprensin de los parmetros que usa y una terminologa asociada

IMPLEMENTANDO OSPFLa instalacin de OSPF es idntica a la de RIP.Al igual que RIP hay que asociar el protocolo a cada tarjeta que queremos que lo implementeLas opciones de configuracin posibles, como son las zonas, seguridad, vecinos NBMA, requieren de la lectura previa de la terminologa OSPF (referida en las fotocopias)

FILTRADO DE PAQUETES IP

CONCEPTOS GENERALESLos filtros se aplican sobre tarjetas y no sobre el router en generalLos filtros permiten establecer qu trfico y de qu tipo se va a permitir, bien por direcciones IP o bien por protocolos y puertos.FILTROS DE ENTRADA:El paquete llega a la tarjeta y es comparado (IP origen, IP destino, puertos) con el filtro, si no est permitido se manda un mensaje al emisor y NO PASA A SER EXAMINADA LA TABLA DE RUTAS.FILTROS DE SALIDA:Primero, como un paquete IP normal, se comprueba la tabla de rutas para decidir por qu interfaz va a salir. Una vez en la interfaz, se compara su IP origen, IP destino, puertos, etc. con el filtro y toma la decisin marcada en el filtro.El Filtro de entrada consume menos recursos del router, si bien la decisin de establecer un filtro de entrada o salida depende del escenario de implementacin:Si queremos que desde muchas redes no se pueda acceder a una mquina en otra red, lo lgico sera aplicar un filtro de salida sobre la interfaz a la que pertenece la mquina de destino.Si por el contrario queremos que desde una red no se pueda acceder a muchas estableceremos un filtro de entrada.

Antes de establecer un filtro hay que realizar la siguiente planificacin: Sobre que tarjeta voy a realizar el filtro? Es un filtro de entrada o de salida? Afecta a mquinas en concreto o a redes enteras? Qu tipo de trfico quiero filtrar (TCP, ICMP,) y que servicio (puerto 23, etc.)? Qu accin deseo para el filtro?: Procesar todos los paquetes a los que no se aplica el filtro (dejo pasar todo menos lo que cumple con el filtro) Omitir todos los paquetes que no cumplen con el filtro (no dejo pasar nada que no cumpla con el criterio del filtro)

EQUIPO A PROTEGER DE ACCESOS

FILTRO DE SALIDA

FILTRO DE ENTRADA

EL EQUIPO NO DEBE ACCEDER A NINGUNA DE LAS TRES REDES

Ejemplo de filtro:Aplicar sobre la conexin de rea local (1)Filtro de entradaSobre la red de destino 192.168.0.0Para el protocolo ICMPDeje pasar el resto del trfico.VER VDEO IMPLEMENTACINCuando el filtro lo quiero implementar sobre una mquina en concreto he de poner la mscara de red a 255.255.255.255

PRACTICA-6En grupos de 3, establecemos filtros para:Slo permitir telnet a la mquina del otro lado del routerPermitir todo el trfico menos telnetBloquear que se puede hacer un telnet o comprobar conectividad con las patas del router (algo habitual en internet)

Pantalla plana

Servidor

MQUINA-1

MQUINA-2

ROUTER

ENRUTAMIENTO BAJO DEMANDA

INTRODUCCINLa conexin bajo demanda se usa cuando:Las redes son de pago tipo RDSI, RTC, y por su coste quiero que sean conexiones temporales.Permite usar filtros y la aplicacin de horarios de conexin para mayor seguridad y aprovechar tarificaciones especiales.

IMPLEMENTACINNecesidades:Una tarjeta mdem RDSI o RTCUna conexin a internet para este router y as poder configurar una VPN.PASOS A SEGUIR1 CONFIGURAR SERVIDOR Hay que indicarle al servidor que se configure tambin como enrutador de marcado a peticin. VER VDEOAl hacerlo nos aparecer en la consola un nuevo aparatado denominado puertos2 AADIR UNA TARJETA, bien un mdem o establecer el uso de una VPN. VER VDEO (con mdem), ms adelante trabajaremos en la creacin de VPN.Tenemos que crear una cuenta para que el otro router tenga acceso al mo (se crea en la SAM del equipo)Tenemos tambin que dar las credenciales de una cuenta vlida en el router remoto para que nos deje conectar.

CONFIGURACIONPodemos, como se dijo anteriormente, establecer unos horarios en los que se puedan efectuar las llamadas y unos filtros que determinen cuando activar la llamada (en funcin del tipo de trfico o la red a la que vayan dirigida)En el siguiente ejemplo se limita la conexin a los das laborables de la semana de 8 a 22 horas y se activa un filtro para que slo se conecta cuando se quiera llegar a la red 20.0.0.0 para realizar un TELNET.VER VDEO DE IMPLEMENTACIN

OPCIONESEn las opciones de la conexin, podemos establecer los parmetros tpicos de una conexin temporal

CONFIGURAR ENTRADA DE CONEXIONESCuando un equipo remoto quiere acceder a mi red necesita una direccin IP valida en mi red (adems de las credenciales vistas anteriormente).Estas direcciones pueden ser asignadas manualmente o a travs de un pequeo DHCP que incorpora la consola ENRUTAMIENTO Y ACCESO REMOTO.En el ejemplo de implementacin se van a otorgar un rango de direcciones vlidas en mi red que ser de la 192.168.0.75 a la 192.168.0.90 VER VDEO.

ACTIVAR MARCADO A PETICIONTras todas las configuraciones anteriores tenemos que decidir que tipo de trfico va a disparar el marcado a peticin.En el ejemplo decidimos que cuando se necesite llegar a la red 20.0.0.0 se active la conexin. VER VDEOImportante asegurarse de que est marcado el checkbox que dice usar este enrutador para iniciar las conexiones de marcado a peticin

PRACTICA-7Al no disponer de un mdem para la realizacin del marcado a peticin, se propondr la prctica para una VPN.En grupos de 3, un cliente y 2 enrutadoresEl enrutador 1 generar una conexin de marcado a peticin cuando el cliente solicite una ruta que mantiene el enrutador 2 para poder resolver la peticin del clienteEsta prctica queda pendiente hasta que estudiemos las VPN en el prximo mdulo ACCESO REMOTO

MULTIDIFUSIONLos routers, por defecto, no dejan pasar multidifusiones ni broadcast.Para que enrutaran multidifusiones deberan disponer de un protocolo llamado DVMRP (distance vector multicasting routing protocol)Windows 2000 no incorpora ese protocolo, pero s IGMP, que le permite estar a la escucha de los puestos que en su red usan multicast, y s deja pasar los paquetes multicast que han sido solicitados por las mquinas de su segmento.Para ello hay que configurar en la pata del router por el que le llegan los paquetes multidifusin del exterior, como PROXY IGMP y la pata del router interna, de las mquinas que estn a la escucha de multidifusin en modo ENRUTADOR IGMP.VER VDEO EXPLICATIVO