Monografía sobre Enrutamiento estático - Redes de computadoras

Integrantes:

Silvestre Acosta, Steven Pereyra Gonzáles, Irvin Vega Guerrero, Jesús Vicitación Pulido, Junior

Profesor:

Díaz Pulido, José Arturo

2013Universidad Nacional de Trujillo - UNT

Ingeniería Mecatrónica

Capítulo I

Enrutam

Enrutamiento Estático

I. Índice:

I. Índice:.........................................................................................................................................................1

II. Dedicatoria:................................................................................................................................................2

III. Introducción:...........................................................................................................................................3

IV. Marco Teórico:........................................................................................................................................4

Vista General..................................................................................................................................................4

Cómo funciona el Enrutamiento Estático.......................................................................................................5

Examen de interfaces del router....................................................................................................................8

Principios de la tabla de enrutamiento.........................................................................................................10

Configuración rutas Estáticas.......................................................................................................................11

AJUSTE DE RUTAS ESTÁTICAS:......................................................................................................................13

ESTABLECIMIENTO DE UNA RUTA ESTÁTICA PARA UNA INTERFAZ DE TÚNEL:............................................25

Habilitación del seguimiento de puerta de enlace:..................................................................................31

REENVIO DE TRÁFICO A LA INTERFAZ NULL:.................................................................................................33

¿Qué es la INTERFAZ NULL?......................................................................................................................33

¿Cómo mostrar una tabla de enrutamiento?..........................................................................................35

RUTAS PERMANENTEMENTE ACTIVAS:.......................................................................................................40

VI. Anexos:.................................................................................................................................................43

VII. Bibliografías:.........................................................................................................................................45

Universidad Nacional de Trujillo – Ingeniería Mecatrónica Página 1


II. Dedicatoria:

A Dios, por darnos la vida,

por hacernos hombres del saber,

y por aprender más en el pasar de los días.

A nuestros padres,

por su comprensión y su apoyo constante,

en este largo camino de la vida.

A nuestra Institución Educativa y maestros,

por los conocimientos que nos ofrecen.



III. Introducción:

Con el desarrollo de la tecnología y las necesidades que los hombres tienen con el uso de la electrónica, y en específico de las comunicaciones a distancia, lo que se busca más es que el servicio sea barato y de buena calidad.

En esta ocasión nosotros hablaremos sobre las rutas que toman las redes para enviar sus datos, siendo los modos de enrutamiento: estático y dinámico, las más utilizables.

La presente monografía se enfoca al modo de enrutamiento estático, que básicamente consiste en hacer que el dato que se envía tome la decisión de donde debe llegar, esta decisión se toma por adelantado.

Pero como mencionamos anteriormente nosotros buscamos que sea económico y muy efectivo, por lo tanto, debemos buscar un algoritmo adecuado y corto. También debemos saber que el camino que tome el algoritmo de un punto a otro sea el mínimo, esa debe ser la función del algoritmo.

El funcionamiento del enrutamiento, la consistencia de este y muchísimos otros puntos serán tocados más adelante, con mucho más profundidad para poder aclarar las dudas de nuestro lector, de esta manera nosotros podemos saber cómo los datos llegan de un emisor a otro, solo esperamos humildemente que la siguiente monografía sea de su agrado.



IV. Marco Teórico:

Vista General

El enrutamiento estático es la alternativa a los protocolos de enrutamiento, donde se especifican

las redes de destino, por donde enviar la información y la distancia administrativa.

El router es una computadora diseñada para fines especiales que desempeña una función clave en

el funcionamiento de cualquier red de datos. Los routers son los principales responsables de la

interconexión de redes por medio de:

la determinación de la mejor ruta para enviar paquetes

el envío de paquetes a su destino.

Los routers envían paquetes al aprender sobre redes remotas y al mantener la información de

enrutamiento. El router es la unión o intersección que conecta múltiples redes IP. La principal

decisión de envío de los routers se basa en la información de Capa 3, la dirección IP de destino.

La tabla de enrutamiento del router se utiliza para encontrar la mejor coincidencia entre la

dirección IP de destino de un paquete y una dirección de red en la tabla de enrutamiento. La tabla

de enrutamiento determinará finalmente la interfaz de salida para enviar el paquete y el router lo

encapsulará en la trama de enlace de datos apropiada para dicha interfaz de salida.

En una red que tiene pocas conexiones a otras redes o en las redes cuyas interconexiones de red

son relativamente estables, suele resultar más práctico definir rutas estáticas que rutas dinámicas.

ScreenOS mantiene las rutas estáticas hasta que se eliminan explícitamente. No obstante, cuando

sea necesario se puede dar prioridad a rutas dinámicas frente a las estáticas.

Puede ver rutas estáticas en la tabla de enrutamiento de ScreenOS. Para forzar el equilibrio de

cargas, puede configurar en enrutamiento multidireccional de igual coste (ECMP). Para utilizar

únicamente puertas de enlace activas, puede establecer el seguimiento de las puertas de enlace.

Debe establecer por lo menos una ruta predeterminada como una ruta predeterminada (dirección

de red 0.0.0.0/0). Una ruta predeterminada es una entrada comodín para los paquetes destinados a

redes distintas de las definidas en la tabla de enrutamiento.



Cómo funciona el Enrutamiento EstáticoCuando un host envía paquetes a un host de otra red, cada encabezado de paquete contiene la

dirección del host de destino.

Cuando un enrutador recibe un paquete, compara la dirección de destino con todas las direcciones

existentes en la tabla de enrutamiento. El enrutador selecciona en la tabla la ruta más específica a

la dirección de destino y, a partir de la entrada de ruta seleccionada, determina el siguiente salto

(“next-hop”) al que debe reenviar el paquete.

Nota: La ruta más específica se determina aplicando en primer lugar el operador lógico AND bit por

bit a la dirección de destino y a la máscara de red de cada entrada existente en la tabla de

enrutamiento. Por ejemplo, el AND lógico bit por bit de la dirección IP 10.1.1.1 con la máscara de

subred 255.255.255.0 es 10.1.1.0. La ruta que tenga el mayor número de bits con el valor 1 en la

máscara de subred será la más específica (también denominada “ruta con la mayor coincidencia”).

Conexiones del router

La conexión de un router a una red requiere que un conector de interfaz de router esté acoplado a

un conector de cable. Como puede verse en la figura, los routers Cisco admiten diversos tipos de

conectores.

Conectores seriales



Para las conexiones WAN, los routers Cisco admiten los estándares EIA/TIA-232, EIA/TIA-449, V.35,

X.21 y EIA/TIA-530 para conectores seriales, como se muestra. No es importante memorizar estos

tipos de conexiones. Sólo debe saber que un router tiene un puerto DB-60 que puede admitir cinco

estándares de cableado diferentes. Debido a que admite cinco tipos de cableado diferentes, este

puerto a veces se denomina puerto serial cinco en uno. El otro extremo del cable serial cuenta con

un conector adecuado para uno de los cinco estándares posibles.

Nota: La documentación para el dispositivo al que desee conectarse debe indicar el estándar para

dicho dispositivo.

Los routers más nuevos admiten la interfaz serial inteligente que permite enviar una mayor

cantidad de datos a través de una menor cantidad de pins de cable. El extremo serial del cable

serial inteligente es un conector de 26 pins. Es mucho más pequeño que el conector DB-60 que se



utiliza para conectarse a un puerto serial cinco en uno. Estos cables de transición admiten los cinco

estándares seriales y están disponibles en configuraciones DTE o DCE.

Estas designaciones de cables sólo serán de su interés cuando configure su equipo de laboratorio

para simular un entorno "real". En un entorno de producción, usted determina el tipo de cable

según el servicio WAN que utilice.

Se utiliza un conector diferente en un entorno LAN basado en Ethernet. El conector RJ-45 para el

cable de par trenzado no blindado (UTP) es el conector que se utiliza con mayor frecuencia para

conectar interfaces LAN. En cada extremo de un cable RJ-45 debe haber ocho tiras de colores o

pins. El cable Ethernet utiliza los pins 1, 2, 3 y 6 para transmitir y recibir datos.

Pueden utilizarse dos tipos de cables con interfaces LAN Ethernet:

un cable de conexión directa con el mismo orden de pins de colores en cada extremo del

cable

un cable de conexión cruzada con el pin 1 conectado al pin 3 y el pin 2 conectado al pin 6

Los cables de conexión directa se utilizan para conectar lo siguiente:

switch a router,

switch a PC,

hub a PC

hub a servidor

Los cables de conexión cruzada se utilizan para conectar lo siguiente:

switch a switch,

PC a PC,



switch a hub,

hub a hub,

router a router

router a servidor

Examen de interfaces del routerEl comando show ip route se utiliza para mostrar la tabla de enrutamiento. En principio, la tabla de

enrutamiento estará vacía si no se configuró ninguna interfaz.

Nota: Las rutas estáticas y dinámicas no se agregarán a la tabla de enrutamiento hasta que las

interfaces locales adecuadas, también conocidas como interfaces de salida, se hayan configurado

en el router.

Cualquier ip de una red destino que el router no tenga ninguna coincidencia en su tabla de

enrutamiento, este ocupará la ruta por defecto y mandara el paquete hacia donde se le indicó en

esta. Las rutas estáticas por defecto también se crean en modo configuración Global.

La estructura es la siguiente:

ip route 0.0.0.0 0.0.0.0 [ip interfaz siguiente salto]

Ejemplo: router(config)#ip route 0.0.0.0 0.0.0.0 120.0.0.2

O también puede ser;

ip route 0.0.0.0 0.0.0.0 [interfaz de salida]

Ejemplo: router(config)#ip route 0.0.0.0 0.0.0.0 s0/1



La Figura 2 representa una red que utiliza enrutamiento estático y un ejemplo de paquete IP. En

este ejemplo, el host 1 de la red A desea acceder al host 2 de la red

C. El paquete que se enviará incluye los siguientes datos en el encabezado:

Dirección IP de origen

Dirección IP de destino

Carga (mensaje)

En la Tabla 1, el enrutador X tiene configurada una ruta estática hacia la red C con la puerta de

enlace (siguiente salto) como enrutador Y. Cuando el enrutador X recibe el paquete destinado al

host 2 de la red C, compara la dirección de destino del paquete con el contenido de su tabla de

enrutamiento y detecta que la última entrada corresponde a la ruta más específica para la dirección

de destino. En la última entrada de ruta se especifica que el tráfico destinado a la red C debe



enviarse al enrutador Y para su entrega. El enrutador Y recibe el paquete y, como sabe que la red C

está conectada directamente, envía el paquete a través de la interfaz conectada a esa red.

Si el enrutador Y falla o si la conexión entre el enrutador Y y la red C deja de estar disponible, el

paquete no puede alcanzar el host 2. Aunque existe otra ruta hacia la red C a través del enrutador

Z, no está configurada de forma estática en el enrutador X, por lo que éste no detecta la ruta

alternativa.

Principios de la tabla de enrutamientoPresentaremos tres principios de la tabla de enrutamiento, como los describe Alex Zinin en su libro

Cisco IP Routing.

Principio 1: "Cada router toma su decisión por sí solo según la información que tenga en su propia

tabla de enrutamiento".

R1 tiene tres rutas estáticas en su tabla de enrutamiento y toma decisiones de envío solamente

basado en la información de la tabla de enrutamiento. R1 no consulta las tablas de enrutamiento

de ningún otro router. Tampoco tiene información acerca de si esos routers tienen rutas hacia otras

redes o no. Es responsabilidad del administrador de red que cada router tenga información acerca

de las redes remotas.

Principio 2: "El hecho de que un router tenga cierta información en su tabla de enrutamiento no

significa que los demás routers tengan la misma información".

R1 no sabe qué información tienen los demás routers en su tabla de enrutamiento. Por ejemplo, R1

tiene una ruta hacia la red 192.168.2.0/24 a través del router R2. Todos los paquetes que coincidan

con esta ruta pertenecen a la red 192.168.2.0/24 y se enviarán al router R2. R1 no tiene

información acerca de si R2 tiene una ruta a la red 192.168.2.0/24 o no. Una vez más, el

administrador de red será responsable de garantizar que el router del siguiente salto también tenga

una ruta hacia esta red.

Utilizando el Principio 2, todavía necesitamos configurar el enrutamiento apropiado en los demás

routers (R2 y R3) para asegurarnos de que tengan rutas hacia estas tres redes.

Principio 3: "La información de enrutamiento sobre una ruta desde una red hacia otra no brinda

información de enrutamiento sobre la ruta inversa o de regreso".



La mayor parte de la comunicación entre las redes es bidireccional. Esto significa que los paquetes

deben trasladarse en ambas direcciones entre los dispositivos finales involucrados. Un paquete de

la PC1 puede alcanzar a la PC3 porque todas los routers involucrados tienen rutas hacia la red de

destino 192.168.2.0/24. Sin embargo, el éxito de cualquier paquete que regrese desde la PC3 a la

PC1 depende de si los routers involucrados tienen o no una ruta hacia la ruta de regreso, la red

172.16.3.0/24 de la PC1.

Utilizando el Principio 3 como guía, configuraremos rutas estáticas adecuadas en los demás routers

para asegurarnos de que tengan rutas de regreso a la red 172.16.3.0/24.

Configuración rutas EstáticasLa configuración de rutas estáticas, si bien es un tema bastante simple, siempre trae

complicaciones a la hora de implementarlo, sobre todo cuando hay más de 2 routers en la

topología.

Las rutas estáticas, a diferencia de las rutas dinámicas que son aprendidas por los routers mediante

protocolos de enrutamiento, son asignadas manualmente en el router por el admin para que se

produzca el enrutamiento de paquetes a una red destino.

El uso de rutas estáticas es recomendable solo en redes de pequeña envergadura debido a que

normalmente los cambios de topología son mínimos y fáciles de administrar. No es recomendable

utilizar rutas estáticas en redes medianas o grandes, solo para servicios específicos junto a

protocolos de enrutamiento, ya que al no ser escalable un cambio en la topología implicaría

modificar manualmente una gran cantidad de rutas estáticas en las tablas de enrutamiento de los

dispositivos.

Tiene que definir por lo menos algunas rutas estáticas incluso cuando utilice protocolos de

enrutamiento dinámicos. Es necesario definir rutas estáticas cuando se cumplen condiciones como

las siguientes:

Para agregar una ruta predeterminada (0.0.0.0/0) a la tabla de enrutamiento de un enrutador

virtual (VR) es necesario definir una ruta estática. Por ejemplo, si está utilizando dos VR en el mismo

dispositivo de seguridad, la tabla de enrutamiento de trust-vr podría contener una ruta



predeterminada que especificaría untrust-vr como el salto siguiente. Esto permitiría enrutar hacia

untrust-vr el tráfico destinado a direcciones no expresadas en la tabla de enrutamiento de trust-vr.

También puede definir una ruta predeterminada en untrust-vr para desviar el tráfico de la dirección

IP específica a direcciones no encontradas en la tabla de enrutamiento de untrust-vr.

Si una red no está conectada directamente con el dispositivo de seguridad pero es accesible a

través de un enrutador de una interfaz contenida en un enrutador virtual (VR), debe definirse una

ruta estática hacia la red que contenga la dirección IP del enrutador. Por ejemplo, la interfaz de

zona Untrust puede ser una subred con dos enrutadores, cada uno de los cuales se conecta a

diferentes proveedores de servicio de Internet (ISP). Debe definir cuál enrutador va a utilizar para

reenviar el tráfico a ISP específicos.

Si está utilizando dos VR en el mismo dispositivo de seguridad y llega tráfico entrante a una interfaz

de untrust-vr destinado a una red conectada a una interfaz de trust-vr, deberá definir una entrada

estática en la tabla de enrutamiento de untrust-vr para la red dedestino, indicando trust-vr como

salto siguiente. Puede evitar establecer una ruta estática en este caso, si exporta las rutas de trust-

vr a untrust-vr.

Cuando el dispositivo funciona en modo transparente, es necesario definir rutas estáticas que

dirijan el tráfico administrativo originado en el dispositivo mismo (distinto del tráfico de usuario que

pasa por el cortafuegos) a los destinos remotos. Por ejemplo, deberá definir rutas estáticas que

dirijan los mensajes de syslog, SNMP y WebTrends a la dirección de un administrador remoto.

También deberá definir rutas que dirijan las peticiones de autenticación a los servidores RADIUS,

SecurID y LDAP, y las comprobaciones de URL al servidor Websense.

La interfaz a través de la cual se reenvía el tráfico enrutado. La interfaz puede ser cualquier

interfaz compatible con ScreenOS, como una interfaz física (por ejemplo, ethernet1/2) o una

interfaz de túnel. También puede especificar la interfaz Null para determinadas aplicaciones.

Consulte la “Reenvío de tráfico a la interfaz Null” en la página 10.



Opcionalmente, puede definir los siguientes elementos:

La métrica de ruta se utiliza para seleccionar la ruta activa cuando existen varias rutas hacia

la misma red de destino y todas con el mismo valor de preferencia. La métrica

predeterminada para las rutas estáticas es 1.

Una etiqueta de ruta es un valor que se puede utilizar como filtro al redistribuir rutas. Por

ejemplo, puede seleccionar importar solamente aquellas rutas que contengan valores de

etiqueta especificados a un VR.

Valor de preferencia para la ruta. De forma predeterminada, todas las rutas estáticas tienen

el mismo valor de preferencia que se establece en el VR.

Si la ruta es permanente (se mantiene activa aunque la interfaz del reenvío esté inactiva o se

haya eliminado la dirección IP de la interfaz).

AJUSTE DE RUTAS ESTÁTICAS:En la Figura 3 en la página 6, un dispositivo de seguridad que opera con su interfaz de zona Trust en

modo de traducción de direcciones de red (NAT) protege una red de múltiples niveles. Se utiliza

tanto administración local como remota (a través de NetScreen-Security Manager). El dispositivo de

seguridad envía capturas SNMP e informes syslog al administrador local (situado en una red de la

zona Trust) y envía informes de NetScreen-Security Manager al administrador remoto (situado en

una red de la zona Untrust). El dispositivo utiliza un servidor SecurID en la zona desmilitarizada

(DMZ) para autenticar usuarios y un servidor Websense en la zona Trust para realizar el filtrado de

web. Las tablas de enrutamiento trust-vr y untrust-vr deben incluir rutas para los siguientes

destinos:

untrust-vr

1. Puerta de enlace predeterminada hacia Internet (ruta predeterminada para el VR)

2. Administrador remoto en la subred 3.3.3.0/24

3. La subred 2.2.40.0/24 en DMZ

4. La subred 2.20.0.0/16 en DMZ

trust-vr

5. untrust-vr para todas las direcciones no encontradas en la tabla de

6. enrutamiento de trust-vr (ruta predeterminada para el VR)



7. La subred 10.10.0.0/16 en la zona Trust



Figura 3: Configuración de rutas estáticas

WebUI

1. untrust-vr

Network > Routing > Destination > untrust-vr New: Introduzca los siguientes datos para crear la

puerta de enlace predeterminada untrust y haga clic en OK:

Network Address/Netmask: 0.0.0.0/0

Gateway: (seleccione)

Interface: ethernet3



Gateway IP Address: 2.2.2.2

Network > Routing > Destination> untrust-vr New: Introduzca los siguientes datos para dirigir los

informes del sistema generados por el dispositivo de seguridad a la administración remota, luego

haga clic en OK:





Network > Routing > Destination > untrust-vr New: Introduzca los siguientes

datos y haga clic en OK:





Network > Routing > Destination > untrust-vr New: Introduzca los siguientes






2. trust-vr

Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:


Next Hop Virtual Router Name: (seleccione); untrust-vr

Network > Routing > Destination > trust-vr New: Introduzca los siguientes




















NOTA: Para eliminar una entrada, haga clic en Remove. Aparecerá un mensaje pidiendo

confirmación para realizar la eliminación. Haga clic en OK para continuar o en Cancel para cancelar

la acción.

CLI

1. untrust-vr

set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2






2. trust-vr

set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr

set vrouter trust-vr route 10.10.0.0/16 interface ethernet1 gateway 10.1.1.2



EJEMPLO: Configuración de rutas estática-Router Cisco (Publicado por Victor E. Martinez

G. el 20 febrero, 2013)

En nuestro escenario tendremos tres routers con dos redes locales (LAN) como podemos ver más

abajo:

Inicialmente configuraremos el router 1 (R1) con las rutas estáticas necesarias para que pueda

tener comunicación con todos los equipos en la red, luego configuraremos el router 2 (R2) con el

mismo propósito y luego el router 3 (R3).

A medida que se haga la configuración, se explicaran los pasos uno por uno y al final de la

configuración de cada equipo se verificara el estado de la comunicación entre los equipos con

pruebas de conectividad (ping).

1. Sintaxis del comando para configurar una ruta estática (ip route).



2. Configuración del router 1 (R1).



5. Estado general de la red.

1. Sintaxis del comando para configurar una ruta estática (ip route):

Para configurar la ruta de manera estática hacia la red utilizamos el comando “ ip route” seguido de

la dirección IP de la red (ejemplo: 10.0.1.0) seguido de la mascara de subred

(ejemplo:“255.255.255.0”) seguido por la dirección IP de la interfaz del router al que se enviara el

paquete con la solicitud de la red no directamente conectada (IP de siguiente salto)

(ejemplo:“10.0.0.2”) o la interfaz por la que saldrá el paquete para llegar a la red no directamente

conectada (ejemplo:“serial 1/1/0”):

NOTA: mostrare dos ejemplos, el primer ejemplo indicando el método de utilizar la dirección IP de

la interfaz del router de la red directamente conectada (IP de siguiente salto) y el segundo ejemplo

indicando el método de utilizar la interfaz por la cual saldrá el paquete para llegar a la red no

directamente conectada.

2. Configuración del Router 1 (R1):

R1 conoce actualmente las redes directamente conectadas, estas se pueden ver con el comando

“show ip route” desde el modo privilegiado (R1#):

[R1#show ip route]

Las redes directamente conectadas están indicadas por la letra “C”:

10.0.0.0/24 is subnetted, 2 subnets

C 10.0.0.0 is directly connected, Serial1/1/0

C 10.0.3.0 is directly connected, FastEthernet0/0

Como podemos ver, las redes directamente conectadas son las redes 10.0.0.0/24 y 10.0.3.0/24.



Ahora tenemos que configurar las rutas que nos permitan establecer comunicación con las redes

que no están directamente conectadas que son la 10.0.1.0/24 y 10.0.2.0/24.

Configuración de la ruta estática para la red 10.0.1.0/24:

Primer ejemplo: IP del siguiente salto.

[R1(config)#ip route 10.0.1.0 255.255.255.0 10.0.0.2]

Segundo ejemplo: Interfaz por donde se alcanzara la red no directamente conectada.

[R1(config)#ip route 10.0.1.0 255.255.255.0 serial 1/1/0]

NOTA: En este escenario ambos ejemplos tendrán los mismos resultados.





[R1(config)#ip route 10.0.2.0 255.255.255.0 10.0.0.2]



NOTA: en este escenario ambos ejemplos tendrán los mismos resultados.

Estado de la conexión entre redes:

Hasta este punto el router uno solo tiene conectividad con sus redes directamente conectadas a

pesar de que el router tenga las rutas estáticas hacia las redes no directamente conectadas. Las

rutas que veremos en este punto serán las siguientes:


S 10.0.1.0 is directly connected, Serial1/1/0



NOTA: el resultado anterior se mostrara al configurar las rutas con la interfaz por donde saldrá los

paquetes a buscar la red deseada.

El motivo de que no se pueda alcanzar las demás redes es que los routers en las demás redes aun

no saben como alcanzar las redes del router 1 (R1). Este problema lo solucionaremos mas adelante.

3. Configuración del router 2 (R2)



[R2#show ip route]












[R2(config)#ip route 10.0.3.0 255.255.255.0 10.0.0.1]







[R2(config)#ip route 10.0.2.0 255.255.255.0 10.0.1.2]





Hasta este punto el router 2 (R2) tiene comunicación con todos los equipos en la red. Las rutas que

conoce el router en este punto son las siguientes:








4. Configuración Router 3 (R3):





[R3#show ip route]












[R3(config)#ip route 10.0.3.0 255.255.255.0 10.0.1.1]





[R3(config)#ip route 10.0.0.0 255.255.255.0 10.0.1.1]





En este punto el router 3 (R3) tiene comunicación con todos los equipos en la red. Las rutas que

conoce el router en este punto son las siguientes:








5. Estado general de la red:

Completando estos pasos logramos que todos los equipos en la red tengan comunicación entre si,

esto es debido a que los tres routers conocen como llegar a cada uno de los equipos.



Para probar la comunicación realizamos pruebas de ping desde cada equipo de capa 3 en la red

(Routers y PC) entre sí.

ESTABLECIMIENTO DE UNA RUTA ESTÁTICA PARA UNA INTERFAZ DE TÚNEL:En la Figura 4, un host fiable reside en una subred diferente de la interfaz fiable. Un servidor del

protocolo de transferencia de archivos (FTP) recibe tráfico a través de un túnel VPN. Se necesita

establecer una ruta estática para dirigir el tráfico que sale por la interfaz de túnel al enrutador

interno que conduce a la subred donde reside el servidor.

WebUI




Interface: tunnel.1


NOTA: Para que el tunnel.1 aparezca en la lista desplegable Interface, debe crear primero

la interfaz tunnel.1.






CLI

set vrouter trust-vr route 10.2.2.5/32 interface tunnel.1


EJEMPLO: TUNNEL GRE PACKET TRACER 5.3.2 (Blog Diario de Ingeniería)



El diagrama de la topología es el siguiente

La configuración básica cada interfaz del Reuter y OSPF area 0.

Router0

interface FastEthernet0/0

description ENLACE CENTRAL-ISP

ip address 10.91.24.1 255.255.255.252

duplex auto

speed auto


description LAN CENTRAL

ip address 192.168.1.1 255.255.255.0

duplex auto

speed auto

router ospf 100

log-adjacency-changes

network 10.91.24.0 0.0.0.3 area 0



Router2


description ENLACE SUCURSAL-ISP

ip address 10.91.24.6 255.255.255.252

duplex auto

speed auto


description LAN SUCURSAL

ip address 192.168.2.1 255.255.255.0

duplex auto

speed auto

router ospf 100


network 10.91.24.4 0.0.0.3 area 0

Router1


description ENLACE ISP-CENTRAL

ip address 10.91.24.2 255.255.255.252

duplex auto

speed auto


description ENLACE ISP-SUCURSAL

ip address 10.91.24.5 255.255.255.252

duplex auto



speed auto

router ospf 100


network 10.91.24.0 0.0.0.3 area 0

network 10.91.24.4 0.0.0.3 area 0

Ojo es importante mencionar que las únicas redes que se anuncian son las del proveedor de

servicios la 10.91.24.0/30 y la 10.91.24.4/30 en un contexto real el proveedor redistribuye una

ruta estática hacia el cliente por medio de un protocolo IGP avanzado como OSPF o IS-IS por

esa razón el cliente no enruta las redes LAN hacia el proveedor es decir que las redes 192.168... no

se incluirán al proceso de OSPF estas podrán comunicarse por medio del tunel Gre que

construiremos

La configuración del tunnel se realiza en los extremos de la topología en el Router0 y Router2, en el

tunnel se utilizara una red punto a punto con el único propósito de comunicar el tunnel para el cual

se utilizara la red 1.1.1.0/30

La configuración del tunnel es la siguiente

Router0

interface Tunnel10

ip address 1.1.1.1 255.255.255.252

tunnel source FastEthernet0/0

tunnel destination 10.91.24.6

ip route 192.168.2.0 255.255.255.0 1.1.1.2

Router2

interface Tunnel10

ip address 1.1.1.2 255.255.255.252

tunnel source FastEthernet0/0

tunnel destination 10.91.24.1



ip route 192.168.1.0 255.255.255.0 1.1.1.5

Ojo en cada router configuramos una dirección de la red 1.1.1.0/30 y en cada uno configuramos

una ruta estática hacia la Lan del router en el otro extremo con la dirección del próximo salto

siendo la ip del otro extremo del tunnel, el source del tunnel es la interfaz externa del router y el

destination es la direccion Ip externa del otro extremo del tunnel.

Podemos verificar si hemos configurado todo correctamente en cada router podremos hacer ping

hacia la ip del tunnel en el otro extremo

Router0#ping 1.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 0/2/5 ms

Router0#ping 1.1.1.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 1.1.1.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 9/10/12 ms

Y la prueba final es realizar un ping desde la Lan Central hacia la Lan Sucursal el ping es exitoso si el

tunnel se encuentra correctamente configurado, aun cuando en el Router del centro no existan

rutas para alcanzar estas redes las LAN se pueden comunicar como si estuvieran directamente

conectadas ya que los paquetes entre la LAN se encapsulan en el Tunnel y se reemplazan los

encabezados de capa 3, por esta razón Es importante que sea posible la comunicación entre las

interfaces externas de los Routers

Packet Tracer PC Command Line 1.0

PC>ipconfig

IP Address......................: 192.168.1.2



Subnet Mask.....................: 255.255.255.0

Default Gateway.................: 192.168.1.1

PC>ping 192.168.2.1

Pinging 192.168.2.1 with 32 bytes of data:

Reply from 192.168.2.1: bytes=32 time=38ms TTL=254




Ping statistics for 192.168.2.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)



Habilitación del seguimiento de puerta de enlace:¿Qué es una puerta de enlace?

Un gateway (puerta de enlace) es un dispositivo que permite interconectar redes con

protocolos y arquitecturas diferentes a todos los niveles de comunicación. Su propósito es

traducir la información del protocolo utilizado en una red al protocolo usado en la red de

destino.

Una puerta de enlace o gateway es normalmente un equipo informático configurado para

hacer posible a las máquinas de una red local (LAN) conectadas a él de un acceso hacia una

red exterior, generalmente realizando para ello operaciones de traducción de direcciones IP

(NAT: Network Address Translation). Esta capacidad de traducción de direcciones permite

aplicar una técnica llamada IP Masquerading (enmascaramiento de IP), usada muy a menudo

para dar acceso a Internet a los equipos de una red de área local compartiendo una única

conexión a Internet, y por tanto, una única dirección IP externa.



La dirección IP de un gateway (o puerta de enlace) a menudo se parece a 192.168.1.1 o

192.168.0.1 y utiliza algunos rangos predefinidos, 127.x.x.x, 10.x.x.x, 172.x.x.x, 192.x.x.x, que

engloban o se reservan a las redes locales.

En caso de usar un ordenador como gateway, necesariamente deberá tener instaladas 2

tarjetas de red.

En entornos domésticos se usan los routers ADSL como gateways para conectar la red local

doméstica con la red que es Internet, si bien esta puerta de enlace no conecta 2 redes con

protocolos diferentes, si que hace posible conectar 2 redes independientes haciendo uso del

ya mencionado NAT.

Sobre la habilitación del seguimiento:

Se puede configurar un dispositivo de seguridad para dar seguimiento a la accesibilidad de las

puertas de enlace. Este dispositivo va calificar dependiendo si estas puertas están activas o

inactivas.

Por ejemplo, si no se puede obtener acceso a una puerta, el dispositivo de seguridad cambia

la ruta a inactiva, lo contrario pasa si tenemos acceso a la puerta de enlace.

Ahora un ejemplo practico:

Puede utilizar este comando para agregar una ruta estática con una puerta de enlace de

seguimiento para la dirección IP 1.1.1.254 con prefijo 1.1.1.0 y una longitud de 24. Establezca

el seguimiento de la puerta de enlace introduciendo la dirección IP de la puerta de enlace

pero no establezca la interfaz.

WebUI

Network > Routing > Destination: Haga clic en New y luego introduzca lo siguiente:

IPv4/Netmask: 1.1.1.0/24



CLI



set vrouter trust route 1.1.1.0/24 gateway 1.1.1.254

unset vrouter trust route 1.1.1.0/24 gateway 1.1.1.254

save.

REENVIO DE TRÁFICO A LA INTERFAZ NULL:

¿Qué es la INTERFAZ NULL?Interfaz NULL no es la interfaz física, es una interfaz virtual.

La interfaz NULL se utiliza típicamente para la prevención de los bucles de enrutamiento.

Enhanced Interior Gateway Routing Protocol (EIGRP), por ejemplo, siempre se crea una ruta a

la interfaz Null0 cuando resume un grupo de rutas. Cada vez que un protocolo de

enrutamiento se resume, esto significa que el router podría recibir tráfico para cualquier

dirección IP dentro de ese resumen. Debido a que no todas las direcciones IP están siempre

en uso, existe el riesgo de un bucle de paquetes.

Si una ruta estática está configurada para la red a la interfaz null0, los paquetes serán

descartados sin el mensaje de ICMP o sin tener que configurar una lista de acceso. La interfaz

null proporciona un método alternativo de tráfico de filtrado. Usted puede evitar la

sobrecarga implicada con el uso de listas de acceso al dirigir el tráfico de red no deseado a la

interfaz nula.

Algunas configuraciones básicas de la INTERFAZ NULL:

R1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#interface null0

R1(config-if)#ip unreachable

R1(config-if)#end

R1#

R1#configure terminal


R1(config)#ip route 0.0.0.0 0.0.0.0 null 0

R1(config)#end



Para verificar la configuracion de la INTERFAZ NULL, usamos el comando “show interfaz

null0”:

R1#show interface null0

Null0 is up, line protocol is up

Hardware is Unknown

MTU 1500 bytes, BW 10000000 Kbit/sec, DLY 0 usec,

reliability 0/255, txload 0/255, rxload 0/255

Encapsulation ARPA, loopback not set

Last input never, output never, output hang never

Last clearing of "show interface" counters never

Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

0 packets input, 0 bytes, 0 no buffer

Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

45 packets output, 4500 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

0 unknown protocol drops

0 output buffer failures, 0 output buffers swapped out

Con respecto al reenvio de tráfico:

Las rutas estáticas que reenvían tráfico a la interfaz NULL se utilizan principalmente con 3 objetivos:

a. Impedir la consulta de rutas en otras tablas de enrutamiento.

b. Impedir que el tráfico de túnel se envie a interfaces que no son de tuneles.

c. Evitar bucles de tráfico.

1. Impedir la consulta de rutas en otras tablas de enrutamiento:

¿Qué es una tabla de Enrutamiento?



El daemon de enrutamiento de cada sistema actualiza la tabla con todas las rutas conocidas.

El núcleo del sistema lee la tabla de enrutamiento antes de reenviar paquetes a la red local.

La tabla de enrutamiento enumera las direcciones IP de las redes que conoce el sistema,

incluida la red local predeterminada del sistema. La tabla también enumera la dirección IP

de un sistema de portal para cada red conocida. El portal es un sistema que puede recibir

paquetes de salida y reenviarlos un salto más allá de la red local. A continuación se incluye

una tabla de enrutamiento simple en una red sólo de IPv4:

Routing Table: IPv4

Destination Gateway Flags Ref Use Interface

-------------------- -------------------- ----- ----- ------ ---------

default 172.20.1.10 UG 1 532 ce0

224.0.0.0 10.0.5.100 U 1 0 bge0

10.0.0.0 10.0.5.100 U 1 0 bge0

127.0.0.1 127.0.0.1 UH 1 57 lo0

¿Cómo mostrar una tabla de enrutamiento?

Para ver la tabla de enrutamiento, debe introducir el comando show ip route, desde el

modo usuario o privilegiado. Las subredes que están directamente conectadas vienen

marcadas por una C, las obtenidas a través de RIP vienen marcadas por una R, las obtenidas

a través de IGRP vienen marcadas por una I, etc (la leyenda se muestra en pantalla junto con

el resultado del comando show). Así, el comando show ip route frece a siguiente

información:

Lista de todas las rutas y máscaras de red que hay actualmente en la tabla de enrutamiento.

La dirección IP del siguiente nodo y la interfaz de salida para dichas rutas.

Si la ruta se conoce dinámicamente, también se refleja el tiempo (en segundos) que la ruta

ha estado en la tabla o el tiempo transcurrido desde la última actualización, dependiendo

del protocolo de enrutamiento.



La distancia administrativa y la métrica del protocolo de enrutamiento. La distancia

administrativa es el número a la izquierda de la barra que aparece entre corchetes, y la

métrica es el número a la derecha de la misma barra.

La distancia administrativa es un valor numérico que representa la fiabilidad del origen de la

actualización del enrutamiento. La métrica es un número que se utiliza para clasificar las

rutas por preferencia cuando existe más de una ruta al mismo destino.

Cada uno de los diferentes protocolos de enrutamiento dinámico posee un algoritmo

distinto para calcular la métrica.

El comando show ip route también tiene parámetros opcionales que se pueden utilizar para

solicitar solamente determinados tipos de rutas, como son:

Show ip route connected. Muestra las rutas a interfaces directamente conectadas.

Show ip route static. Muestra las rutas configuradas manualmente.

Show ip route 131.108.3.0. Muestra la información la ruta especificada.

Otra herramienta que le ofrece un vistazo rápido del estado de la tabla de enrutamiento es

el comando ejecutable show ip masks. Si se da una dirección de red como parámetro, este

comando genera una lista de las máscaras que se han aplicado a dicha dirección, así como el

número de rutas que tiene cada una de ellas. Un ejemplo sería show ip masks 131.108.0.0.

Puede utilizar el comando ejecutable clear ip route para eliminar un ruta específica de la

tabla de enrutamiento (clear ip route 131.108.3.0 255.255.255.128), o todo el contenido de

la tabla de enrutamiento (clear ip route *), teniendo en cuenta que la actualización de la

información contenida en la tabla requiere un tiempo que oscila unos segundos y varios

minutos.

Cuando se habilita una ruta, el dispositivo de seguridad de forma predetermina hace una

consulta a la tabla de enrutamiento de interfaz de origen. Si esta ruta no se encuentra



dentro de esta tabla, entonces hace una consulta con la tabla de enrutamiento basada en

los destinos.

Para evitar todas estas consultas podemos configurar una ruta predeterminada con nuestra

Interfaz NULL como una interfaz de salida.

Utilice una métrica más alta que el resto de las rutas para asegurar que

esta ruta sólo se utilice si no existe ninguna otra ruta basada en la interfaz que coincida con

la ruta.

2. Impedir que el tráfico de túnel se envíe a interfaces que no son de túneles.

¿Cómo se configuran los túneles?

CONFIGURACIÓN DE TUNNELES GRE:

Configurar el túnnel GRE es en principio una tarea relativamente sencilla, basta con definir

las direcciones de inicio y destino en ambos equipos y crear la interface del tunnel. Para

realizar el ejemplo utilizare enrutadores cisco serie 2800, aunque es posible realizar un

tunnel con una variedad de equipos.

Router1#configure terminal

Router1(config)#interface Tunnel10

Router1(config-if)#ip address 192.168.2.6 255.255.255.252

Router1(config-if)#tunnel source 154.54.6.5

Router1(config-if)#tunnel destination 206.167.13.198

Router1(config-if)#end

Router1#

En el enrutador 2, debe de crearse otra interfaz de tunnel, al igual que el enrutador 1, y

asociar las direcciones de origen y destino.

Router2#configure terminal





Router2(config-if)#ip address 192.168.2.5 255.255.255.252

Router2(config-if)#tunnel source 206.167.13.198

Router2(config-if)#tunnel destination 154.54.6.5


Router2#

Al finalizar estas configuraciones, la topología resultante será como la que se muestra en la

siguiente gráfica, con una interface Tunnel10 en el router1, conectada con un cable directo

a la interface Tunnel30 en el enrutador 2.

CONFIGURACIÓN DE TUNNELES GRE:

El siguiente paso ahora, será permitir el enrutamiento desde la red 172.16.2.0/24 a la red

172.16.3.0/24. En la práctica esto resulta simple y no golpea el desempeño de la red, por lo

cual la creación de túneles, permite resolver muchos problemas de conectividad entre sitios

remotos sin mucha complejidad. Lo único que deberá de tenerse en cuenta a la hora de

crear los túneles es no cometer errores con las direcciones de inicio y de destino del mismo.

Comandos necesarios para configurar el enrutamiento estático:

Router1(config)#ip route 172.16.3.0 255.255.255.0 tunnel 10 192.168.2.5


Router2(config)#ip route 172.16.2.0 255.255.255.0 tunnel 30 192.168.2.6


SELECCIÓN DEL TIPO DE TUNNEL A EMPLEAR:

Cuando se crea un tunnel, normalmente no se especifica el protocolo a utilizar, por lo que

los equipos por defecto, seleccionan el protocolo GRE. Sin embargo es posible definir el

protocolo, mediante un comando sencillo, como puede verse a continuación:


Router1(config-if)#tunnel mode ipip



El modo ipip, es el tipo de tunnel que permite encapsular paquetes IP dentro de otro

paquete IP, muy útil para permitir la comunicación entre redes IPv6 por medio de redes

IPv4. El proceso para seleccionar el protocolo es sencillo y deberá de ser configurado en

ambos lados del tunnel, al igual que se definió el protocolo ipip, también puede

seleccionarse cualquiera de los siguientes opciones: aurp, cayman, dvmrp, eon, gre ip, gre ip

multipoint,

ipip, iptalk.

Para impedir que el tráfico que debe estar encriptado se envíe a una

interfaz que no sea de túnel, defina una ruta estática al mismo destino que el tráfico del

túnel con la interfaz Null como interfaz de salida. Asigne a esta ruta una métrica más alta

que la de la ruta de la interfaz de túnel de modo que la ruta solamente se active si la ruta de

la interfaz de túnel no está disponible. Si la interfaz de túnel se queda inactiva, la ruta con la

interfaz Null se activa y el tráfico para el destino del túnel se descarta.

3. Evitar bucles creados por las rutas resumidas:

¿Qué es una ruta resumen?

El objetivo de las rutas resumen es dirigir los paquetes hacia otros routers de la Intranet

que tengan una información de enrutamiento más completa, liberando al router local de

disponer de una complicada tabla de enrutamiento. Las rutas resumen se pueden

configurar utilizando los comandos ip default-network o ip route, especificando una ruta a

una red menos específica.

Por ejemplo, un router conectado a la red 131.108.0.0, no necesita conocer las rutas a

todas las subredes, ya que le vale con tener una ruta resumen a la red 131.108.0.0. Esto lo

podríamos configurar mediante el comando ip route 131.108.0.0 255.255.0.0

131.108.20.0. Debemos suponer que el router local, ya conoce la ruta para llegar a la red

131.108.20.0.

Para entender mejor como evitar los bucles, pondré un ejemplo práctico:

En este ejemplo establecerá una interfaz NULL para la ruta resumida creada hacia la red

2.1.1.0/24 del ejemplo anterior. Dentro de la red 2.1.1.0/24 se encuentran los hosts

2.1.1.2, 2.1.1.3 y 2.1.1.4. Cualquier paquete dirigido a 2.1.1.10 caerá en el rango de la ruta



resumida. El dispositivo de seguridad acepta estos paquetes pero no tiene a dónde

reenviarlos, salvo de vuelta al origen, lo que inicia un bucle de red.

Para evitar este comportamiento, establecerá una interfaz NULL para esta ruta.

Establecer una preferencia y métrica elevadas es importante al establecer una interfaz

NULL.

WebUI

Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic

en OK:



Interface: Null


Preference: 255

Metric: 65535

CLI

set vrouter trust-vr route 2.1.1.0/24 interface null preference 255 metric 65535

RUTAS PERMANENTEMENTE ACTIVAS:

Hay ciertas situaciones en las que posiblemente desee que una ruta mantenga su estado

activo en una tabla de enrutamiento incluso si la interfaz física asociada a la ruta se queda

inactiva o no tiene una dirección IP asignada. Por ejemplo, un servidor XAuth puede asignar

una dirección IP a una interfaz en un dispositivo de seguridad siempre que se necesite

enviar tráfico al servidor. La ruta hacia el servidor de XAuth debe mantenerse activa incluso

cuando no haya dirección IP asignada en la interfaz de modo que el tráfico que está

destinado al servidor XAuth no se descarte.

También es útil mantener activas las rutas a través de las interfaces en las que se configura

el seguimiento de IP. El seguimiento de IP permite que el dispositivo de seguridad

reencamine el tráfico saliente a través de una interfaz diferente si las direcciones IP de

destino no se pueden alcanzar a través de la interfaz original.



Aunque el dispositivo de seguridad puede reencaminar el tráfico a otra interfaz, necesita ser

capaz de enviar peticiones del comando ping en la interfaz original para determinar si los

destinos llegan a ser otra vez accesibles



V. Conclusiones:

Debido a que las rutas estáticas deben configurarse manualmente, cualquier cambio en la topología

de la red requiere que el administrador agregue o elimine las rutas estáticas afectadas por dichos

cambios.

En una red de gran tamaño, el mantenimiento manual de las tablas de enrutamiento puede

requerir de una enorme cantidad de tiempo de administración.

El enrutamiento estático no tiene la capacidad de adaptarse al crecimiento del enrutamiento

dinámico.

Hasta en redes de gran tamaño, a menudo se configuran rutas estáticas, cuyo objetivo es satisfacer

requerimientos específicos, junto con un protocolo de enrutamiento dinámico. A veces las rutas

estáticas se usan como rutas de respaldo.



VI. Anexos:



VII. Bibliografías:



Redes de computadoras – Andrew S. Tanenbaum Cuarta edición


Monografía sobre Enrutamiento estático - Redes de computadoras

Documents

Transcript of Monografía sobre Enrutamiento estático - Redes de computadoras