OSPF

Como configurar OSPF en nuestro router y autenticación vía md5.

VLSM DE LA RED EN LA SIGUIENTE IMAGEN

Nos basaremos en la siguiente topología para la explicación;

Primero usaremos los comandos ´network´ en cada router para conseguir conectividad en la red, debemos de usar 1 comando network por cada una de las redes o subredes a las que estemos conectados;

ROUTER0:

Router(config)#router ospf 1

Router(config-router)#network 10.0.1.128 0.0.0.127 area 0

Router(config-router)#network 10.0.1.0 0.0.0.127 area 0

Una vez añadidas de esta forma todos los comandos ‘network’ procederemos a configurar la autenticación vía md5 . Para ello asignaremos una contraseña para el envío y recepción de los mensajes y después habilitaremos dicha autenticación;

md5 debe autenticarse a nivel de interfaz, puesto que en el ROUTER0 solo 1 de las interfaces necesitaría autenticación md5 solo configuraremos la autenticación en dicha interfaz (en caso de necesitar la autenticacion en ambas interfaces usariamos el comando ‘Router(config)#interface range gigabitEthernet 0/0-1’ de esta forma configuramos ambas interfaces a la vez):

Router(config)#interface gigabitEthernet 0/1

Router(config-if)#ip ospf message-digest-key 1 md5 1asir

Una vez asignada la contraseña para md5 toca autenticar el envío de mensajes;

Router(config)#router ospf 1

Router(config-router)#area 0 authentication message-digest

Ahora que ya tenemos OSPF configurado, nos falta decidir que routers seran DR, BDR y DRothers, para ello configuraremos a nivel de interfaz la prioridad de cada uno de los routers, cuanto mas alta sea la prioridad (0-255) mayor sera la posibilidad de ser DR, el BDR será la segunda prioridad mas alta, el resto serán BDR.

EJ; (Prioridad en el DR) Router(config-if)#ip ospf priority 255

Repetir en cada uno de los routers y habríamos finalizado la configuración OSPF en nuestra red.

Enlace permanente a este artículo: https://asir.maristak.com/?p=5094

CPT

Introduzción a la red del colegio Pccitos:

Para la zona de internet que exponemos en la siguiente imagen, hemos utilizado para la conectividad rutas estáticas en el router4 y RIP en el resto siendo router2 quien distribuye las RE a través de RIP.

VLSM ZONA INTERTET

Para la conectividad de la LAN hemos configurado OSPF con autenticación md5 y NAT en la salida a internet. Los alumnos podrán conectarse en la VLAN 10 a través de las interfaces FE de los switches desde la 0/6 hasta la 0/20, los alumnos mas aventajados dispondrán de la VLAN 20 desde la 0/21 hasta la 0/23 guardando así la 0/24 para ordenadores del profesorado.

Podremos administrar los switches por SSH con las IPs correspondientes a los rangos de las vlans de administración (gigachad(vlan99) y mariposa99) que encontraremos en los VLSM.

VLSM RED GENERAL+VLANS(GRANDE)
VLSM DE VLANS

Enlaces interesantes para comprender mejor este documento técnico:

https://asir.maristak.com/?p=5104&preview=true

https://asir.maristak.com/?p=5097&preview=true

https://asir.maristak.com/?p=5094&preview=true

Enlace permanente a este artículo: https://asir.maristak.com/?p=5108

CPT RETO3 – Grupo 4

Diseño y VLSM:

5000FT Overview

Ejemplo de 1 subred de las 6 totales y su diseño y configuración:

Cada red está dividida en 5 capas:

ORZSN (En amarillo): Capa de salida a internet / otras redes (implementado hasta V0.9). Al ser la capa exterior tendrá una carga de trabajo superior a las demás capas. Prioridad OSPF de 0.

MRZSN (En azul): Capa que actúa como intermediario entre los routers de salida y la IRZSN. En caso de colapso completo de IRZSN esta capa sería la responsable de hacer de DR para los routers de salida. Prioridad OSPF de 50.

IRZSN (En verde): Capa de enrutamiento interna entre los MLSW y la capa MRZSN, actuando como punto intermedio entre OSPF Area 0 (ORZSN / MRZSN) y OSPF Area 1(EDZ / IRZSN). Prioridad OSPF de 100 para que esta capa actúe como backbone comunicando ambas áreas.

SWZ (En rojo): Capa de interconexión entre los Switches L2 asignados a cada EDZ y los MLSW, utilizando enlaces redundantes con prioridades establecidas con PVST+, pudiendo controlar la dirección del tráfico de red.

EDZ (En naranja): Donde se encuentran los dispositivos finales, conectados a un Switch L2 que reside en SWZ, de donde los dispositivos finales en la EDZ contactan con los MLSW para enrutamiento InterVLAN y servidor DHCP.

ORZSN, Parte 1:

(VPS1-EXR es una ilustración de “””salida a internet”””)

Routers de salida a internet NAT (En verde): Como se ha mencionado anteriormente, en la capa ORZSN ocurre la salida a internet, a través de esta serie de 4 routers. 

(Ejemplo de configuración en N1R4-NAT):

ORZSN, Parte 2:

Switches de intercomunicación entre las 2 secciones de ORZSN (en amarillo):

Switches L2 colocados con el simple propósito de actuar como intermediario entre la parte superior e inferior de ORZSN. Las conexiones al switch están realizadas siguiendo el mismo patrón que en SWZ (véase más abajo).

Routers MRZSN (en azul): Intermediario entre Capa MRZSN y routers de salida a internet, compartiendo con la capa MRZSN las rutas que aprenden los routers de salida a internet de las otras redes. (Mostrando output de interfaces y redes compartidas por OSPF en ORZSN)

MRZSN, Parte 1:

Routers MRZSN (En azul): Intermediario entre Capa MRZSN y routers de salida a internet, compartiendo con la capa MRZSN las rutas que aprenden los routers de salida a internet de las otras redes. (Mostrando output de interfaces y redes compartidas por OSPF en MRZSN)

MRZSN, Parte 2:

Switches de intercomunicación entre las 2 secciones de MRZSN (en amarillo):

Al igual que en ORZSN, Switches L2 colocados con el simple propósito de actuar como intermediario entre la parte superior e inferior de MRZSN. Las conexiones al switch están realizadas siguiendo el mismo patrón que en SWZ (véase más abajo).

Routers IRZSN (En rojo): Routers que actúan como intermediarios entre las 2 áreas principales de OSPF (0 = ORSZN / MRZSN | 1 = IRZSN / SWZ / EDZ) compartiendo rutas tanto de las EDZ de cada MLSW como de las rutas exteriores a la red desde MRZSN.

Prioridad OSPF de 50, eligiendo aleatoriamente un DR en esta capa.

(Mostrando output de interfaces y redes compartidas por OSPF en MRZSN)

IRZSN, Parte 1:

Routers IRZSN (En rojo): Routers que actúan como intermediarios entre las 2 áreas principales de OSPF (0 = ORSZN / MRZSN | 1 = IRZSN / SWZ / EDZ) compartiendo rutas tanto de las EDZ de cada MLSW como de las rutas exteriores a la red desde MRZSN.

Prioridad OSPF de 50, eligiendo aleatoriamente un DR en esta capa.

(Mostrando output de interfaces y redes compartidas por OSPF en IRZSN)

IRZSN, Parte 2:

Switches de intercomunicación entre las 2 secciones de MRZSN (En amarillo):

Al igual que en ORZSN y MRZSN, Switches L2 colocados con el simple propósito de actuar como intermediario entre la parte superior e inferior de IRZSN. Las conexiones al switch están realizadas siguiendo el mismo patrón que en SWZ (véase más abajo).

Switches Multicapa (En naranja): Switches Multicapa encargados en esta capa de enrutar los dispositivos de EDZ a donde sea necesario habiendo obtenido las rutas OSPF necesarias desde los routers de IRZSN. (Mostrando output de interfaces y redes compartidas en IRZSN y EDZ)

[OSPF desactivado en interfaces virtuales creadas por cada VLAN en MLSW]

SWZ y EDZ, parte 1:

Switches MLSW (En naranja): Switches Multicapa que actúan de:

> Servidor VTP
> Enrutador InterVLAN
> Servidor DHCP

> PVST Root Bridges

(Outputs de MLSW1, salvo en PVST mostrando todos)

Servidor VTP: 

Servidor DHCP :

VLANs creadas:

 Prioridades PVST

MLSW1:

MLSW2:

MLSW3:

MLSW4:

SWZ y EDZ, parte 2:

¿Por qué esos números en PVST? ¿En primer lugar, de qué estás hablando?

Vease imagen del medio

En nuestro SWZ, tenemos 4 MLSW conectados a 4 Switches conectados cada uno, y queremos tener solo 1 activo en cada Switch, y al mismo tiempo permitir que en caso de que falle el enlace principal, automáticamente salte al siguiente Switch que le digamos, permitiéndonos redundancia real en nuestra red. Aquí es donde entra STP (por la puerta) y las prioridades. Normalmente, STP evita bucles de red desactivando enlaces redundantes que no estén en uso, pero… , y si influenciamos cuales desactiva??

Podríamos hacerlo simplemente teniendo en cuenta los puertos, pero gracias a PVST+ podemos decidir sobre qué VLANs queremos que se aplique la prioridad, y mira tu por donde, tenemos 16 VLANS!!! para llevar a cabo esto. Por norma general, las prioridades STP se establecen en incrementos de 4096, cuanto menor sea la prioridad mayor probabilidad de que sea Root Bridge nuestro Switch, y en las 4 imágenes alrededor de la imagen central queda ilustrado como se ha decidido configurar PVST en cada MLSW teniendo en cuenta los anteriores números.

En el caso ilustrado Root Bridge es el Switch L3 con prioridad 0

ルートブリッジ: Root Bridge

ブリッジ: Bridge

プライオリティ : Priority 

RP: Root Port

Camino más cercano a nuestro Root Bridge.

DP: Designated Port

Caminos permitidos hacia nuestro Root Bridge elegidos según el coste de ruta

NDP: Non-Designated Port 

Caminos bloqueados y deshabilitados por STP.

SWZ y EDZ, parte 3:

Volviendo a nuestro anterior diagrama de SWZ y EDZ, teniendo en cuenta que hemos influenciado el tráfico de red, podemos crear servidores DHCP principales para cada VLAN, Y DE FALLBACK INCLUSO gracias a la presencia de  solo 1 MLSW conectado al mismo tiempo a cada Switch L2, evitando así tener múltiples servidores DHCP repartiendo direcciones IP a las mismas VLANs. Como podrás comprobar a simple vista, el orden de las default-gateways es el mismo que el de las prioridades PVST, efectivamente creando servidores DHCP de fallback autónomos controlando nosotros cuando se activan:

DHCP MLSW1: 

DHCP MLSW 2:

DHCP MLSW3: 

DHCP MLSW4:

             

SWZ y EDZ, parte 4:

Para configurar nuestros MLSW como routers con capacidad InterVLAN, necesitamos configurar una subinterfaz lógica por cada VLAN. Trabajo algo arduo considerando que hay 16VLANs y 4 MLSWs, lo que nos deja con 64 subinterfaces lógicas a configurar:

MLSW1 :

MLSW2 :

MLSW3:

MLSW4:

SWZ y EDZ, parte 5:

Switches conectados a dispositivos finales en EDZ (En “”rojo””):

Switches L2 en modo VTP cliente que obtienen las VLANs desde los Switches MLSW y las aplican en modo acceso para cada puerto utilizado por los dispositivos finales.

En el CPT se utiliza 1 Puerto para cada VLAN en cada Switch (4 por cada Switch), poniendolo en modo access para la VLAN correspondiente en su nombre:

Switch_VLAN_10-40:                                              Switch_VLAN_50-80:                                         

Switch_VLAN_90-120:                                           Switch_VLAN_130-160:                                   

OSPF y profundidades, parte 1:

Por defecto todos los routers tienen las siguientes opciones OSPF habilitadas:

MLSW y ORZSN (En azul) tienen asignada prioridad 0:

IRZSN (En verde) tiene asignada prioridad 100 para ser la zona backbone en todo momento:

MRZSN (En amarillo) tiene asignada prioridad 50 para convertirse en backbone en caso de que IRZSN colapse y SWZ y EDZ queden aislados:

OSPF y profundidades, parte 2:

Además de prioridades, también se han configurado costos de ruta en OSPF, al mismo estilo que en los MLSW con PVST+ (de hecho llegando a usar el mismo patrón):

[En todos los routers es exactamente igual la distribución de coste, pongo ejemplo de ORZSN como ilustración] [Puedes ver el patrón  de IPs asignadas que cumple con el mismo que el de PVST+ y DHCP]

SSH en MLSW:

Creamos un par de claves RSA además de crear un usuario “admin” con contraseña,  forzando el uso de SSHv2 e inicio de sesión con una cuenta local en todas las líneas VTY:

Internet

Para recrear una conexión a internet hemos puesto un servidor tras 3 routers:

> EXR: “Exit Router”, el router de salida a internet.
> RZR: “Routing Zone Router”, router extra añadido solo por donar dinero a cisco.
> SZR: “Server Zone Router”, router conectado al servidor.

La parte de internet es extremadamente simple. un par de ip route 0.0.0.0 0.0.0.0 $IP de Destino y ya funciona toda la zona de internet.

Router EXR:

Router RZR:

Router SZR:

Enlace permanente a este artículo: https://asir.maristak.com/?p=5566