Upload
antonio-d-sousa-barroso
View
47
Download
3
Embed Size (px)
Citation preview
ENRUTAMIENTO IP
CONOCIMIENTOS PREVIOS
REPASO DE IP• Un enrutador o router es aquel capaz
de leer las IP de los “paquetes” y localizar la manera de que un “paquete” llegue a su destino.
• Lógicamente estamos trabajando a nivel 3 del modelo OSI (red), pues los routers, desmontan el paquete que les llegue hasta poder obtener su IP de destino.
• Además los routers con capaces de elegir una ruta u otra en función de distintos parámetros que le harán elegir la mejor entrega (“best effort”). Para ello consulta su TABLA DE RUTAS, que no es más que un espacio de almacenamiento en el que tiene asociadas unas rutas de red a una interfaz concreta. Si no posee esa ruta, usaría ICMP para indicarle al emisor la imposibilidad de llegar al destino y destruye el paquete.
EXAMINANDO TABLA DE RUTAS
• DESTINO DE RED– Redes o direcciones a las que el enrutador puede encaminar paquetes.
• MÁSCARA DE RED
• PUERTA DE ACCESO– Dirección accesible directamente al router, por donde enviará los paquetes en busca de su destino.
• INTERFAZ– Dirección IP de la tarjeta de red por la que enviar un paquete para alcanzar un destino determinado.
• METRICA– Valor que se asocia a una ruta para elegirla antes que otra en función de parámetros como el
número de routers a atravesar para llegar al destino, saturación de la red, etc. A MENOR MÉTRICA MAYOR PRIORIDAD.
• DIRECCIONES ESPECIALES
– 127.0.0.0 bucle invertido para comprobar la pila
TCP/IP
– 0.0.0.0 identifica la puerta de enlace, es decir,
aquellos paquetes cuya dirección no consigue
encaminar con las rutas disponibles en la tabla serán
enviados a la puerta de enlace.
– 224.0.0.0 dirección de multidifusión
– 255.255.255.255 dirección de difusión.
• Las tablas de rutas no son exclusivas de los
routers, cada estación tiene su propia tabla de
rutas que puede visualizarse a través del comando route print
• OPERACIONES CON LA TABLA DE RUTAS– Cuando una máquina va a mandar un “paquete”, mira su tabla de rutas
para averiguar si conoce ese destino de red.• Recordamos que para averiguar el destino de red, multiplicaba en binario la
IP de destino por su propia máscara.
– Si conoce el destino encamina el paquete hacia la interfaz asociada.
– Si no lo conoce, encamina el paquete hacia la NIC asociada a la red 0.0.0.0. (puerta de enlace predeterminada), si esta no está configurada, devolverá un mensaje de error.
• LAS TABLAS DE RUTAS SE GUARDAN EN RAM, al arrancar el equipo se examinan las redes y se establecen las entradas de la tabla de rutas. Si yo añado entradas “manualmente”, estas no perduran en el reinicio de la máquina, si bien, como ya veremos, puedo hacer que una ruta sea persistente.
• REPASO DE CÁLCULO REALIZADO POR UN EQUIPO ANTE UNA DIRECCIÓN DADA– Dirección de destino 10.12.159.3
– Dirección de origen: 62.158.1.56
– Máscara de origen: 255.248.0.0
– El producto de IP destino por máscara = 10.8.0.0
– Se comprueba si existe una entrada en la tabla de rutas para esa dirección de red.
ENRUTAMIENTO ESTÁTICO
• Es cuando el administrador edita la tabla de
rutas directamente para añadir acceso a
nuevas redes, nuevas puertas de enlace, etc.
200.200.3.5 10.0.0.5200.200.3.6 10.0.0.1
0.0.0.0 200.200.3.6 200.200.3.5
200.200.3.0 200.200.3.5 200.200.3.5
10.0.0.0 200.200.3.6 200.200.3.5
10.0.0.0 10.0.0.1 10.0.0.1
200.200.3.0 200.200.3.6 200.200.3.6
0.0.0.0 10.0.0.1 10.0.0.5
10.0.0.0 10.0.0.5 10.0.0.5
200.200.3.0 10.0.0.1 10.0.0.5
PRÁCTICA-1
• Escribe las tabla de rutas que habría que añadir
en cada uno de estos equipos
10.0.25.3 20.0.30.510.0.25.1 15.0.0.1 15.0.0.2 20.0.30.1
• PARA AÑADIR RUTAS ESTÁTICAS
– Usamos el comando Route con los
modificadores necesarios.
– Recordamos que las rutas se generan a
iniciarse la máquina y si queremos hacerlas
persistentes, es decir, queremos que no
desaparezcan al apagar la máquina debemos
escribir el modificador –p
PRÁCTICA-2
• En grupos de 3 (1 enrutador y 2 clientes), generar las rutas necesarias para que la máquina-1 llegue a la máquina 2 y viceversa.
• Tendréis que usar 2 direcciones IP asignadas a la misma tarjeta, ya que no disponemos de 2 interfaz.
• Comprobar la tabla de rutas y que podéis llegar de una máquina a otra.
• RECORDAD: Planificar y Documentar.
MÁQUINA-1 MÁQUINA-2ROUTER
PRÁCTICA-3
• Toda la clase va configurar sus 2 direcciones IP para poder comunicarse a través de ellas con las máquinas vecinas.
• OBJETIVO: que cada máquina esté en 2 redes distintas y todas puedan comunicar con todas.
• Uso de tracert para “localizar” problemas
• ¿FUNCIONA? Si la respuesta es que NO razonar por qué y lo que necesitaríamos para que pudiera funcionar
10.0.0.1 20.0.0.2 20.0.0.1 30.0.0.2 30.0.0.1 40.0.0.2
a3s01 a3s02 a3s03
MÁQUINA-1
1 X 10= 10
10.0.0.1
+10=20
20.0.0.2
MÁQUINA-2
2 X 10= 20
20.0.0.1
+10=30
30.0.0.2
MÁQUINA-3
3 X 10= 30
30.0.0.1
+10=40
40.0.0.2
DATO IMPORTANTE
• Un Windows 2000 Server, tiene la capacidad de enrutar, para lo que necesita 2 tarjetas. Si no habilitamos el servicio de enrutamiento y queremos mantener las rutas de manera estática, debemos habilitar el reenvío IP para que pasen los paquetes de una tarjeta a otra (VER AYUDA).
• En la práctica anterior los reenvíos funcionaban porque realmente sólo teníamos una tarjeta FÍSICA.
INSTALANDO SERVICIOS DE
ENRUTAMIENTO Y ACCESO
REMOTO
CONFIGURANDO SERVIDOR• En Windows 2000 Server, el componente ENRUTAMIENTO Y
ACCESO REMOTO se instala con el sistema operativo.
• Para acceder a la consola usamos la ruta PROGRAMAS->HERRAMIENTAS ADMINISTRATIVAS->ENRUTAMIENTO Y ACCESO REMOTO
• Enrutamiento de Windows 2000 ofrece:– Protocolos de enrutamiento dinámico (OSPF, RIP v1
y v2)
– Conexiones bajo demanda
– Filtrado de paquetes
– Traslación de direcciones (NAT)
– Acceso remoto (RAS)
– Enrutado de diversos protocolos
– Etc.
• En la consola de enrutamiento y acceso remoto, podemos seleccionar el equipo a administrar. En un dominio Windows 2000 se necesita pertenecer al grupo “Servidor RAS y IAS” para poder administrarlo.
ENRUTAMIENTO DINAMICO
INTRODUCCIÓN
• Un protocolo de enrutamiento dinámico cumple
con las siguientes funciones.
– Es capaz de elegir dinámicamente la mejor ruta para
un paquete IP.
– Actualiza sus tablas de rutas de manera automática,
comunicando con otros routers con los que se “pasa”
información.
– Ahorra una gran cantidad de trabajo de
administración, pues cada modificación de rutas es
actualizada automáticamente y comunicada al resto
de los routers
PROTOCOLOS DE VECTOR
DISTANCIA• Usan el algoritmo de Bellman-Ford
• Permiten a los routers comunicar el contenido de sus tablas con sus vecinos.
• Asocian una métrica a las rutas para establecer cual es la mejor.
• No tienen “conocimiento” del estado de la red ni de su topología.
• Cuando reciben una tabla de rutas de un enrutador vecino:– Añade las entradas que no tiene y les incrementa la métrica
– Si la ruta la conoce y su métrica es superior o igual a la que el ya tiene, la desecha.
– Si la ruta la conoce pero la métrica es menor, la añade, sustituyendo a su antigua ruta.
• Las tablas de los routers se comunican por broadcast, los protocolos menos evolucionados, por multicast los más modernos y por unicast los que permiten configurar vecinos predeterminados.
• Son protocolos de vector distancia:– RIPv1
– RIPv2
PROTOCOLOS DEL ESTADO DE
ENLACE• Usan el algoritmo SPF (Short Path First)
• No se intercambian tabla de enrutamiento, sino los datos que permiten construir dicha tabla. Para ello tienen un buen conocimiento de la topología de la red en su conjunto. Este conocimiento lo obtienen a través de paquetes “LSP” (Link State Packet) que se envían entre los routers que tienen estos protocolos instalados.
• Utilizan métricas sofisticadas para saber la velocidad de la red, saturación, etc. para poder encaminar el “paquete” por la ruta más conveniente.
• Es un protocolo de este tipo OSPF.
RIP
• Usa el número de saltos como métrica
• Windows 2000 implementa tanto la versión 1 como la 2.
• Tiene un límite de saltos de 15 (15 enrutadores). Sin embargo en la implementación de Windows 2000 estos enrutadores se quedan en 14 pues Windows 2000 entiende el primer router se encuentra a 2 saltos.
A
D
B C
A a D tiene 2 rutas, una con 1
salto y la otra con 3 saltos, se
quedaría con la de 1 salto
IMPLEMENTANDO RIP
• Ver vídeo de instalación
• Hay que configurar RIP para cada tarjeta. Ver vídeo de ejemplo.
FICHA GENERAL TARJETA RIP
• El uso de multidifusión (sólo con versión 2) es de gran valor, pues evita sobrecargar la red.
• La casilla “Coste añadido para las rutas”, nos permite alterar la métrica para que se elija una ruta antes que otra. En el caso de la figura, a igualdad de saltos, me interesa que elija la ruta rápida. Para ello incremento la métrica de la que quiero evitar.
• La casilla “Etiquetas para las rutas anunciadas” (solo para versión 2) nos permite añadir “palabras” a las tramas enviadas por los routers para poder distinguir las rutas que han sido aprendidas por RIP de otras (por ejemplo OSPF)
• La casilla “Activar autentificación”: establece una palabra clave sin la cual los routers no se comunicarían (es de bajo nivel pues se envía en texto plano)
A
D
B
C
T1
56 Kbps
T1
T1
FICHA SEGURIDAD TARJETA RIP
FICHA VECINOS TARJETA RIP
FICHA AVANZADAS TARJETA RIP
PRACTICA-4
• Según el escenario de la “práctica-3” en el que todo el aula estába unida como ROUTERS:
• Unimos el último router al primero
• Instalamos RIP en cada equipo
• Configuramos la tarjeta de red en cada equipo con los valores por defecto
• Comprobamos comunicación con todas las redes, y resolvemos problemas con el comando tracert.
• Observamos la tabla de rutas que se genera.
• ¿Podemos llegar a todas las redes? (por qué).
PRÁCTICA-5
• En grupos de 3 aproximadamente, nos aislamos del resto de routers con las opciones de “vecinos” y observamos nuestra tabla de rutas de nuevo.
• Probamos las opciones de contraseña.
• Analizamos las tramas RIP con el monitor de red y comprobamos la teoría entregada en las fotocopias.
• El objetivo es impedir que se comuniquen las tablas de rutas con todos los routers y sólo con mis vecinos. Para comprobarlo intentamos comunicar con estos vecinos (repuesta positiva) e intentamos comunicar con el resto de redes (respuesta negativa).
• Después deshabilitamos los vecinos (todo el aula a la vez), pero establecemos contraseñas en grupos de 3. Misma comprobación que antes.
DIFERENCIAS ENTRE RIPv1 Y RIPv2 y
COEXISTENCIA CON OTROS PROTOCOLOS
• RIPv2 aporta sobre RIPv1– RRIPv2 es capaz de anunciar rutas por multicast
– RIPv2 puede usar autenticación por contraseña
– RIPv2 soporta VLSM (Variable Length Subnet Mask) permitiendo uso adecuado de las subredes.
• Coexistencia con otros protocolos– Otros protocolos como OSPF pueden usarse simultáneamente
con RIP, el problema viene por los valores de métrica aportados que no son comparables. Así que ¿Cómo decide ante una misma ruta cual camino elegir? Hay que configurarlo a través de un coeficiente llamado DISTANCIA ADMINISTRATIVA, a menor coeficiente más fiable será el protocolo.
– Si queremos “forzarlo” a través de la consola… VER VÍDEO EXPLICATIVO.
OSPF• Open Short Path First (abrir el camino más corto
primero)
• Es un protocolo de estado de enlace
• Usa el algoritmo de Dijkista
• Sus características principales son:– Alta velocidad de convergencia (tiempo que tardan todos los
routers en disponer de la misma tabla de rutas)
– Soporta VLSM (trabajo con redes subneteadas)
– Envía sólo datos cuando es necesario y no a un tiempo establecido como RIP.
– No tiene problemas de bucle ni límite de saltos
– Su implementación requiere una alta comprensión de los parámetros que usa y una terminología asociada
IMPLEMENTANDO OSPF
• La instalación de OSPF es idéntica a la de RIP.
• Al igual que RIP hay que asociar el protocolo a cada tarjeta que queremos que lo implemente
• Las opciones de configuración posibles, como son las zonas, seguridad, vecinos NBMA, requieren de la lectura previa de la terminología OSPF (referida en las fotocopias)
FILTRADO DE PAQUETES IP
CONCEPTOS GENERALES• Los filtros se aplican sobre tarjetas y no sobre el router en general
• Los filtros permiten establecer qué tráfico y de qué tipo se va a permitir, bien por direcciones IP o bien por protocolos y puertos.
• FILTROS DE ENTRADA:– El paquete llega a la tarjeta y es comparado (IP origen, IP destino,
puertos…) con el filtro, si no está permitido se manda un mensaje al emisor y NO PASA A SER EXAMINADA LA TABLA DE RUTAS.
• FILTROS DE SALIDA:– Primero, como un paquete IP normal, se comprueba la tabla de rutas
para decidir por qué interfaz va a salir. Una vez en la interfaz, se compara su IP origen, IP destino, puertos, etc. con el filtro y toma la decisión marcada en el filtro.
• El Filtro de entrada consume menos recursos del router, si bien la decisión de establecer un filtro de entrada o salida depende del escenario de implementación:– Si queremos que desde muchas redes no se pueda acceder a una
máquina en otra red, lo lógico sería aplicar un filtro de salida sobre la interfaz a la que pertenece la máquina de destino.
– Si por el contrario queremos que desde una red no se pueda acceder a muchas estableceremos un filtro de entrada.
EQUIPO A PROTEGER
DE ACCESOS
FILTRO
DE
SALIDA
FILTRO DE
ENTRADA
EL EQUIPO NO
DEBE ACCEDER A
NINGUNA DE LAS
TRES REDES
Antes de establecer un filtro hay que realizar la siguiente planificación:
- ¿Sobre que tarjeta voy a realizar el filtro?
- ¿Es un filtro de entrada o de salida?
- ¿Afecta a máquinas en concreto o a redes enteras?
- ¿Qué tipo de tráfico quiero filtrar (TCP, ICMP,) y que servicio (puerto 23, etc.)?
- ¿Qué acción deseo para el filtro?:
- Procesar todos los paquetes a los que no se aplica el filtro (dejo pasar todo menos lo
que cumple con el filtro)
- Omitir todos los paquetes que no cumplen con el filtro (no dejo pasar nada que no
cumpla con el criterio del filtro)
• Ejemplo de filtro:
– Aplicar sobre la conexión de área local (1)
– Filtro de entrada
– Sobre la red de destino 192.168.0.0
– Para el protocolo ICMP
– Deje pasar el resto del tráfico.
VER VÍDEO IMPLEMENTACIÓN
• Cuando el filtro lo quiero implementar
sobre una máquina en concreto he de
poner la máscara de red a
255.255.255.255
PRACTICA-6
• En grupos de 3, establecemos filtros para:– Sólo permitir telnet a la máquina del otro lado del
router
– Permitir todo el tráfico menos telnet
– Bloquear que se puede hacer un telnet o comprobar conectividad con las “patas” del router (algo habitual en internet)
MÁQUINA-1 MÁQUINA-2ROUTER
ENRUTAMIENTO BAJO
DEMANDA
INTRODUCCIÓN
• La conexión bajo demanda se usa
cuando:
– Las redes son de “pago” tipo RDSI, RTC, y
por su coste quiero que sean conexiones
temporales.
• Permite usar filtros y la aplicación de
horarios de conexión para mayor
seguridad y aprovechar tarificaciones
especiales.
IMPLEMENTACIÓN
• Necesidades:– Una tarjeta módem RDSI o RTC
– Una conexión a internet para este router y así poder configurar una VPN.
• PASOS A SEGUIR
• 1º CONFIGURAR SERVIDOR– Hay que indicarle al servidor que se configure también como enrutador
de marcado a petición. VER VÍDEO
– Al hacerlo nos aparecerá en la consola un nuevo aparatado denominado “puertos”
• 2º AÑADIR UNA TARJETA, bien un módem o establecer el uso de una VPN. VER VÍDEO (con módem), más adelante trabajaremos en la creación de VPN.– Tenemos que crear una cuenta para que el otro router tenga acceso al
mío (se crea en la SAM del equipo)
– Tenemos también que dar las credenciales de una cuenta válida en el router remoto para que nos deje conectar.
CONFIGURACION
• Podemos, como se dijo anteriormente, establecer unos horarios en los que se puedan efectuar las llamadas y unos filtros que determinen cuando activar la llamada (en función del tipo de tráfico o la red a la que vayan dirigida)
• En el siguiente ejemplo se limita la conexión a los días laborables de la semana de 8 a 22 horas y se activa un filtro para que sólo se conecta cuando se quiera llegar a la red 20.0.0.0 para realizar un TELNET.
• VER VÍDEO DE IMPLEMENTACIÓN
OPCIONES
• En las opciones de la
conexión, podemos
establecer los
parámetros típicos de
una conexión
temporal…
CONFIGURAR ENTRADA DE
CONEXIONES• Cuando un equipo remoto quiere acceder a mi
red necesita una dirección IP valida en mi red (además de las credenciales vistas anteriormente).
• Estas direcciones pueden ser asignadas manualmente o a través de un “pequeño” DHCP que incorpora la consola ENRUTAMIENTO Y ACCESO REMOTO.
• En el ejemplo de implementación se van a otorgar un rango de direcciones válidas en mi red que será de la 192.168.0.75 a la 192.168.0.90 VER VÍDEO.
ACTIVAR MARCADO A PETICION
• Tras todas las configuraciones anteriores tenemos que decidir que tipo de tráfico va a “disparar” el marcado a petición.
• En el ejemplo decidimos que cuando se necesite llegar a la red 20.0.0.0 se active la conexión. VER VÍDEO
– Importante asegurarse de que está marcado el “checkbox” que dice “usar este enrutador para iniciar las conexiones de marcado a petición”
PRACTICA-7
• Al no disponer de un módem para la realización del marcado a petición, se propondrá la práctica para una VPN.
• En grupos de 3, un cliente y 2 enrutadores
• El enrutador 1 generará una conexión de marcado a petición cuando el cliente solicite una ruta que mantiene el enrutador 2 para poder resolver la petición del cliente
• Esta práctica queda pendiente hasta que estudiemos las VPN en el próximo módulo “ACCESO REMOTO”
MULTIDIFUSION
• Los routers, por defecto, no dejan pasar multidifusiones ni broadcast.
• Para que enrutaran multidifusiones deberían disponer de un protocolo llamado DVMRP (distance vector multicasting routing protocol)
• Windows 2000 no incorpora ese protocolo, pero sí IGMP, que le permite estar a la escucha de los puestos que en su red usan multicast, y sí deja pasar los paquetes “multicast” que han sido solicitados por las máquinas de su segmento.
• Para ello hay que configurar en la “pata del router” por el que le llegan los paquetes multidifusión del exterior, como PROXY IGMP y la “pata del router” interna, de las máquinas que están a la escucha de multidifusión en modo ENRUTADOR IGMP.
• VER VÍDEO EXPLICATIVO