Grupo 3: Confía


Introducción a OSPF y NAT


¿Qué es OSPF?


OSPF es un protocolo de estado de enlace que es capaz de detectar cambios en la topología dentro de un sistema autónomo permitiendo una red de rutas sin bucles, OSPF también se ocupa de problemas de escalabilidad que se produce cuando un numero de router se congestionan y producen inestabilidad en el sistema autónomo.


Se utiliza comúnmente en redes de gran tamaño y complejidad, ya que es capaz de manejar grandes cantidades de información de topología de red y determinar la mejor ruta de comunicación de manera eficiente. Además, OSPF puede dividir una red en áreas lógicas más pequeñas, lo que simplifica la administración de la red y reduce la carga de procesamiento en los dispositivos.

Características


  • Sin clase: por su diseño, es un protocolo sin clase, de modo que admite VLSM y CIDR.
  • Eficaz: los cambios de routing dirigen actualizaciones de routing (no hay actualizaciones periódicas). Usa el algoritmo SPF para elegir la mejor ruta.
  • Convergencia rápida: propaga rápidamente los cambios que se realizan a la red.
  • Escalable: funciona bien en tamaños de redes pequeños y grandes. Se pueden agrupar los routers en áreas para admitir un sistema jerárquico.
  • Seguro: admite la autenticación de síntesis del mensaje 5 (MD5). Cuando están habilitados, los routers OSPF solo aceptan actualizaciones de routing cifradas de peers con la misma contraseña compartida previamente.

El algoritmo SPF determina la conectividad de la red. El router construye esta topología lógica en forma de árbol, con él mismo como raíz, y cuyas ramas son todas las rutas posibles hacia cada subred de la red. Luego ordena dichas rutas, y coloca las ruta más cortas primero (SPF).


OSPF tiene una distancia administrativa predeterminada de 110, esta distancia administrativa es un valor numérico utilizado en enrutamiento de redes para determinar la confiabilidad o preferencia de una ruta particular.
La distancia administrativa se utiliza para elegir entre varias rutas posibles para un paquete de red, donde se prefiere la ruta con la distancia administrativa más baja.

¿Cómo funciona?


Es similar a RIP(fue su desarrollado como su reemplazo), en la parte interna de las redes, su forma de funcionar es bastante sencilla. Cada router conoce los routers cercanos y las direcciones que posee cada router de los cercanos. Además de esto cada router sabe a que distancia (medida en routers) está cada router. Así cuando tiene que enviar un paquete lo envía por la ruta por la que tenga que dar menos saltos.


En esencia un protocolo de enrutamiento lo que hace es:

  1. Aprende información de enrutamiento sobre las subredes IP de los routers vecinos.
  2. Anuncia información de enrutamiento sobre subredes IP a los routers vecinos.
  3. Si existe más de una ruta posible para llegar a una subred, elije la mejor ruta en base a una métrica.
  4. Si la tipología de la red cambia, por ejemplo si un enlace falla, reacciona anunciando que algunas rutas han fallado y elige la nueva mejor ruta. (Este proceso se denomina convergencia).

Componentes


OSPF crea y mantiene tres bases de datos:

  • Base de datos de adyacencia: crea la tabla de vecinos.
  • Base de datos de estado de enlace (LSDB): crea la tabla de topología.
  • Base de datos de reenvío: crea la tabla de routing.

Base de datos de adyacencia

Se refiere a la información que mantiene un router sobre sus vecinos OSPF directamente conectados. Esta información es fundamental para la construcción de la topología de la red y la elección de rutas de enrutamiento.

Se puede ver con el comando «show ip ospf neighbor».

La información que se almacena en la base de datos de adyacencia incluye:

  • Dirección IP del vecino OSPF
  • Máscara de subred del vecino OSPF
  • Identificador de enrutador del vecino OSPF
  • Costo de enlace entre el enrutador local y el vecino OSPF

Esta información se intercambia entre los routers mediante un proceso llamado «descubrimiento de vecinos». Durante este proceso, los routers intercambian mensajes «Hello» para descubrir a sus vecinos directamente conectados y establecer una conexión OSPF.


Una vez que se ha establecido una conexión OSPF entre dos routers, se convierten en vecinos OSPF adyacentes y comienzan a intercambiar información de estado de enlace (LSA) en la base de datos de estado de enlace. La información en la base de datos de adyacencia se utiliza para determinar el costo de los enlaces entre los routers, que es una de las métricas que se utilizan para calcular las mejores rutas de enrutamiento.


Se puede ver con el comando «show ip ospf database».

Base de datos de estado de enlace (LSDB)

OSPF organiza la información de la topología de red utilizando LSA y la base de datos de estado de enlace (LSDB). Los routers intercambian LSAs para mantener la base de datos de estado de enlace actualizada. Cada LSA es una estructura de datos con alguna información específica sobre la topología de red, el LSDB es simplemente la una base de datos con la colección de todos los LSA conocidos por un router.

LSDB

Base de datos de reenvío

Es fundamental para el correcto funcionamiento de OSPF, ya que es la que se utiliza para determinar las rutas más eficientes para el reenvío de paquetes de datos a través de la red. Cada router OSPF tiene su propia base de datos de reenvío, que se construye a partir de la información almacenada en la base de datos de estado de enlace (LSDB).

La información en la base de datos de reenvío se actualiza dinámicamente a medida que se producen cambios en la red. Cada vez que se produce un cambio en la topología de la red, como la caída de un enlace o la adición de un nuevo enlace, los routers intercambian LSAs y actualizan sus bases de datos de estado de enlace y de reenvío.

Se puede ver con el comando «show ip route».

El proceso de selección de ruta en OSPF se basa en el algoritmo de Dijkstra, que utiliza un enfoque de camino más corto primero para determinar la ruta más eficiente para el reenvío de paquetes. El algoritmo calcula el costo de cada ruta disponible en la base de datos de reenvío y selecciona la ruta con el costo más bajo.

Ejecución del algoritmo de Dijkstra

Configuración de OSPF

La configuración de OSPF (Open Shortest Path First) es un proceso que implica varios pasos.

La configuración de OSPF requiere que el proceso de enrutamiento OSPF esté activo en el router con las direcciones de red y la información de área especificadas. Las direcciones de red se configuran con una máscara wildcard y no con una máscara de subred. La máscara wildcard representa las direcciones de enlaces o de host que pueden estar presentes.

Para habilitar el enrutamiento OSPF, se utiliza el siguiente comando en modo de configuración global:

Router(config)# router ospf [proceso OSPF ID]

Donde id_proceso es un número que se utiliza para identificar el proceso de enrutamiento OSPF. Puede ser cualquier valor entre 1 y 65.535 elegido por el administrador, incluso distinto en cada router de la red; únicamente se utiliza para distinguir procesos OSPF en el caso de que existan varios arrancados simultáneamente en el mismo router. Aunque rara vez es necesario ejecutar más de un proceso OSPF en un router.

A continuación se debe especificar las redes por las que se enviarán los mensajes de actualización de rutas. Cada red se debe identificar con un área a la cual pertenece. Para ello se utiliza el comando network.


Router(config-router)# network [dirección de red de área] [máscara de subred] area [ID de área OSPF]

La dirección de red puede ser una red completa, una subred o la dirección de la interfaz. Cualquier interfaz que coincida con la dirección de red dada en un comando network se habilitará para enviar y recibir paquetes OSPF, además esa red estará incluida e las actualizaciones de OSPF.

El número id_area se refiere al área OSPF. Todos los routers que están dentro de la misma área tienen el mismo id_area. Cuando se configura el encaminamiento OSPF de área única, se aconseja utilizar un id_area igual a 0. Esta convención facilita la posterior configuración de la red con áreas OSPF múltiples en las que el área 0 se convierte en el área de backbone.

OSPF de área única es útil en redes más pequeñas con pocos routers.

Con OSPF multiárea, OSPF puede dividir un sistema autónomo (AS) grande en áreas más pequeñas, a fin de admitir el routing jerárquico. Con el routing jerárquico, se sigue produciendo el routing entre áreas, y muchas de las operaciones de routing que implican una gran exigencia para el procesador, como volver a calcular la base de datos, se guardan en un área.

  • Implementado mediante una jerarquía de área de dos capas, dado que todas la
    áreas se deben conectar al área backbone (área 0).
  • Los routers que interconectan áreas se denominan «routers fronterizos de área» (ABR).
  • Útil en implementaciones de redes más grandes para reducir la sobrecarga de procesamiento y memoria.

Existen cuatro tipos diferentes de routers de OSPF:

  • Router interno: es un router cuyas interfaces están todas en la misma área. Todos los routers internos de un área tienen LSDB idénticas.
  • Router de respaldo: es un router que se encuentra en el área de red troncal. Por lo general, el área de red troncal se configura como área 0.
  • ABR (Area Border Router): es un router que se encuentra en la frontera entre dos o más áreas OSPF. El ABR es responsable de interconectar las áreas OSPF, traduciendo la información de enrutamiento entre ellas. El ABR también tiene una base de datos de enrutamiento separada para cada área a la que está conectado.
  • ASBR (Router de borde del sistema autónomo): es un router que se encuentra en la frontera de un sistema autónomo OSPF. El ASBR es responsable de interconectar el sistema autónomo OSPF con otros sistemas autónomos y de traducir la información de enrutamiento entre ellos mediante un proceso que se llama «redistribución de rutas».

Un router confía en que la información de enrutamiento proviene de un router que debería estar enviando información. Un router también confía en que la información no haya sido alterada a lo largo de la ruta. Para garantizar esta confianza, los routers de un área específica pueden configurarse para autenticarse entre sí. Cada interfaz OSPF puede presentar una clave de autenticación para que la usen los routers que envían información de OSPF hacia otros routers del segmento. La clave de autenticación o contraseña es compartida entre los routers. Esta clave se utiliza para generar los datos de autenticación en el encabezado del paquete de OSPF. La contraseña puede contener hasta ocho caracteres.

router(config-if)#ip ospf message-digest-key X md5 <contraseña>

La autenticación de mensaje de resumen de mensaje (MD5) es una forma más segura de autenticar los paquetes OSPF que la autenticación basada en texto sin formato proporcionada por la autenticación con clave simple (authentication-key). MD5 utiliza un algoritmo de hash para generar un resumen de mensaje único para cada paquete OSPF. Este resumen se agrega al paquete OSPF como parte del campo de autenticación, y se utiliza para verificar la autenticidad del paquete en el extremo receptor.

Es importante tener en cuenta que todos los routers que participan en OSPF deben estar configurados con la misma contraseña de autenticación MD5 para que la autenticación funcione correctamente.

router(config-if)#ip ospf authentication-key <contraseña>

Este comando habilita la autenticación de mensajes OSPF con autenticación de mensaje de resumen de mensaje (message-digest).

Router designado y Backup

El Designated Router (DR) es el router que se elige dentro de un área OSPF para actuar como el punto focal de la comunicación entre los demás routers de la misma área. El DR se encarga de la distribución de las actualizaciones de estado de los enlaces de los demás routers en la misma área, lo que reduce el tráfico de red y disminuye la cantidad de cálculos de ruta que deben realizar los routers en la misma área. El DR es elegido mediante un proceso de elección, basado en la prioridad y la dirección IP más alta del router.

En cambio Backup Designated Router (BDR) es el router que actúa como respaldo del DR. Si el DR falla, el BDR asume el papel de DR y se encarga de las funciones del DR hasta que se elija un nuevo DR. El BDR también se elige mediante un proceso de elección, basado en la prioridad y la dirección IP más alta del router.

Para habilitar la elección del Designated Router (DR) y Backup Designated Router (BDR) en OSPF, es necesario utilizar el siguiente comando:

Router(config-router)# ospf priority [prioridad del router(0-255)]

En resumen, el DR y el BDR se utilizan en OSPF para mejorar la eficiencia de la red al reducir el tráfico y los cálculos de ruta. El DR actúa como el punto focal de la comunicación dentro de un área OSPF, mientras que el BDR actúa como respaldo en caso de que falle el DR.

Por otro lado tenemos al DRother que se configura con una prioridad de 0 para que nunca sea un router de respaldo y menos uno designado.

Tabla resumen con todos los comandos

ComandoEjemploDescripción del comando
configure terminalRouter# configure terminalEntra en el modo de configuración global.
interface range [FastEthernet or gigabitEthernet]
<0-9> interface number
Router(config)#interface range gigabitEthernet 0/0-1Selecciona un rango de interfaces de red y configurar parámetros en ellas de manera simultánea.
router ospf [ID DE PROCESO](1)Router(config)# router ospf 1Inicia el proceso de re dirección OSPF y entrará en el modo de configuración para el proceso de re dirección.
network
[Network number] [Wild card bits]
area <0-4294967295>
Router(config-router)# network 172.31.0.0 0.0.255.255 area 0Indica al router que anuncie la red 172.31.0.0 con una máscara de subred de 255.255.0.0 (es decir, cualquier dirección IP que comience con 172.31.x.x) a través del proceso OSPF en el área 0
ip ospf priority [0-255]Router(config-if-range)#ip ospf priority 255Se utiliza en la configuración de un rango de interfaces de red en un router Cisco para configurar la prioridad del router OSPF en una interfaz específica. En este caso establecemos un DR.
ip ospf message-digest-key [CLAVE-ID] md5 [CLAVE]Router(config-if-range)#ip ospf message-digest-key 1 md5 maristakSe utiliza en la configuración de un rango de interfaces de red en un router Cisco para configurar una clave de autenticación compartida (contraseña) para el protocolo OSPF utilizando el método de autenticación de mensaje de resumen de autenticación (MD5).
ip ospf authentication message-digestRouter(config-if)#ip ospf authentication message-digestSe utiliza en la configuración de una interfaz de red en un router Cisco para habilitar la autenticación del protocolo OSPF utilizando el método de autenticación de mensaje de resumen de autenticación (MD5).

¿Qué es NAT?

El sistema NAT (Network Address Translation) es una técnica utilizada en las redes de dispositivos electrónicos para permitir que muchos dispositivos en una red privada puedan conectarse a Internet utilizando una única dirección IP pública.

Imagina que tienes una red en tu casa o en tu oficina, en la que tienes varios dispositivos electrónicos conectados, como tu teléfono móvil, una tablet, una Smart TV y una impresora. Cada uno de estos dispositivos tiene una dirección electrónica única que los identifica en la red privada de tu hogar u oficina. Sin embargo, cuando estos dispositivos necesitan conectarse a Internet, necesitan una dirección electrónica pública única para comunicarse con otros dispositivos y servidores en Internet.

Es aquí donde entra en juego el NAT. Tu router actúa como un intermediario entre tus dispositivos y la red pública de Internet. Cuando uno de tus dispositivos quiere enviar una solicitud a un servidor en Internet, el router cambia su dirección IP privada a la dirección IP pública del router. De esta manera, el servidor de Internet responde al router, y el router reenvía la respuesta al dispositivo que hizo la solicitud.

NAT es importante porque permite que múltiples dispositivos en tu red Wi-Fi compartan una única dirección IP pública, lo que ayuda a conservar las direcciones IP públicas limitadas disponibles.

Ventajas

  • Mayor seguridad: NAT proporciona una capa adicional de seguridad al ocultar la dirección IP privada de los dispositivos de la red privada detrás de una dirección IP pública compartida. Esto hace que los dispositivos en la red privada no sean directamente accesibles desde Internet sin una configuración específica para ello, lo que ayuda a evitar ataques malintencionados.
  • Mayor eficiencia: NAT permite que varios dispositivos de una red privada compartan una única dirección IP pública. Esto ayuda a conservar las direcciones IP públicas limitadas disponibles y permite que los dispositivos se comuniquen con servidores y dispositivos en Internet sin requerir direcciones IP públicas únicas para cada dispositivo.
  • Facilidad de configuración: NAT es una técnica que se implementa a nivel del router, lo que significa que no es necesario configurar nada en los dispositivos de la red privada. Esto hace que sea fácil de configurar y administrar la red.
  • Reducción de costos: Como NAT permite que varios dispositivos compartan una única dirección IP pública, se pueden reducir los costos asociados con la compra de direcciones IP públicas adicionales.

Desventajas

  • Limitaciones en el uso de algunas aplicaciones: Al utilizar NAT, se puede experimentar cierta limitación en el uso de algunas aplicaciones que requieren una conexión directa y sin restricciones con dispositivos externos a la red privada. Esto se debe a que, para estas aplicaciones, NAT puede crear problemas de conectividad y, en algunos casos, puede incluso impedir su funcionamiento.
  • Mayor complejidad de configuración en algunos casos: Aunque NAT es generalmente fácil de configurar y administrar, en algunos casos, especialmente cuando se requiere una configuración de red más avanzada, puede resultar complicado. Por lo tanto, esto puede requerir un nivel de conocimiento técnico más avanzado para la correcta implementación y configuración.
  • Limitaciones en el número de conexiones simultáneas: A medida que aumenta el número de dispositivos en una red privada que comparten una única dirección IP pública a través de NAT, se puede experimentar una limitación en el número de conexiones simultáneas que se pueden establecer con servidores externos. Esto puede afectar negativamente el rendimiento de la red.
  • Dificultad para identificar el origen de las conexiones entrantes: Al utilizar NAT, puede resultar difícil para los servidores externos identificar el origen exacto de las conexiones entrantes. Esto puede hacer que sea más difícil para los administradores de red solucionar problemas o identificar posibles amenazas.

Configuración

Una de las maneras de comenzar con la configuración es creando la lista de acceso estándar en un router de red. Esta lista de acceso se utiliza para permitir o denegar el tráfico basado en la dirección de origen de la red. El comando para hacer esto seria:

«Router(config)#access-list 1 permit 172.31.0.0 0.0.255.255»

En este caso, el comando permite todo el tráfico que proviene de la red 172.31.0.0/16 (es decir, todas las direcciones IP que comienzan con 172.31). La máscara de subred 0.0.255.255 significa que se permiten todas las direcciones dentro de la red 172.31.0.0/16.

Continuamos con la configuración que se utiliza en routers de red para habilitar la traducción de direcciones de red en una interfaz de red específica.

«Router(config)#ip nat inside source list 1 interface serial 0/2/0 overload»

El comando habilita NAT en la interfaz «serial 0/2/0» del router y especifica que la lista de acceso «1» se utilizará para seleccionar las direcciones IP internas que se traducirán. La opción «overload» indica que se debe realizar la traducción de direcciones con sobrecarga (PAT, por sus siglas en inglés), lo que significa que varias direcciones IP privadas se pueden traducir a una única dirección IP pública en la interfaz especificada.

Ahora solo queda determinar que tipo de trafico pasa por cada interfaz

Router(config-if)#ip nat inside

Este comando se utiliza en la configuración de una interfaz de red específica en un router para indicar que esa interfaz se utiliza para el tráfico interno de la red y que las direcciones IP de origen en ese tráfico se traducirán a direcciones IP públicas antes de salir a Internet.

Este comando indica que la interfaz de red en la que se está ejecutando el comando es una interfaz interna (dentro de la red) y, por lo tanto, se utilizará para aplicar la traducción de direcciones de red (NAT) a las direcciones IP internas. En otras palabras, cualquier tráfico que salga de esta interfaz será traducido a una dirección IP pública para permitir que el tráfico se enrute correctamente a través de Internet.

Este comando se utiliza en combinación con el comando «ip nat outside» para indicar qué interfaz se utiliza para el tráfico que sale de la red. En general, se debe configurar la interfaz del router que se conecta directamente a Internet como «ip nat outside» y cualquier otra interfaz de red que se utilice para el tráfico interno como «ip nat inside». De esta manera, el router puede aplicar la traducción de direcciones de red apropiadamente y permitir que el tráfico fluya correctamente dentro y fuera de la red.

Router-ISP al tener una salida a internet tenemos que asignarle una ruta estatica predeterminada

ip route 0.0.0.0 0.0.0.0 8.0.0.2

Se utiliza cuando se necesita enviar todo el tráfico de la red a una interfaz.

En esta configuración, «0.0.0.0» representa la dirección de red y la máscara de subred que cubren todo el espacio de direcciones IP (o sea, cualquier dirección IP), lo que indica que la ruta predeterminada se aplica a cualquier dirección de red de destino. Luego, «8.0.0.2» representa la dirección IP del gateway predeterminado al que se enviará todo el tráfico de la red.

Por lo tanto, este comando se utiliza para indicar al dispositivo de red que, si no se encuentra ninguna ruta más específica en la tabla de enrutamiento, se debe enviar todo el tráfico a través del gateway predeterminado 8.0.0.2. Esta configuración es útil en situaciones en las que el dispositivo necesita enviar todo el tráfico a un único punto de salida para que pueda ser enrutable correctamente y llegar a su destino final.

Para que todos los router conozcan esta ruta predeterminada y la guarden en sus tablas de enrutamiento tenemos que compartirlas a través del protocolo de enrutamiento utilizado en la red

En este ejemplo usamos OSPF en todos la LAN así que insertamos el siguiente comando en configuración de OSPF:

Router(config-router)#default-information originate 

Enlace permanente a este artículo: https://asir.maristak.com/?p=5770

2 pings

  1. […] OSPF y NAT ROAS y SSH […]

  2. […] OSPF y NAT ROAS & SSH […]

Deja una respuesta