--- title: Lab de enrutamiento estático author: Taller de diseño de redes universitarias --- Laboratorio de Enrutamiento Estático ==================================== Introducción ------------ El objetivo de este laboratorio es agregar las funciones de capa 3 a nuestra nueva red de capa 2. El switch central tiene funcionalidad básica de capa 3 y está enrutando entre las diferentes redes VLAN configuradas en él. Sin embargo, ahora queremos darle al campus conectividad al enrutador del borde y más allá hacia la red NREN nacional y hacia la Internet La clase continará con sus 6 grupos, con cada grupo teniendo asignado un campus para configurar. Ahora enfocaremos nuestra atención en configurar el enrutador del borde y el enrutador central (al cual nos hemos referido hasta ahora como switch).   Panorama del Laboratorio ------------------------ El siguiente diagrama muestra la distribución de los dispositivos y todos los enlaces para cada campus.  Nuestro campus consiste de dos enrutadores, bdr1-campusX and core1-campusX, así como 6 switches. Ya hemos configurado los switches de acceso y de distribución, y hemos completado la configuración de capa 2 del enrutador central. No habrá necesidad de tocar la configuración de capa 2 de ahora en adelante.   Acceso al laboratorio --------------------- Los instructores del taller ya le habrán indicado cómo funciona el ambiente del laboratorio. Este se realizará ya sea con la plataforma virtual, o con switches reales provistos en el salón. Refiérase al documento **correcto** más abajo para información acerca del acceso a los equipos que se le han asignado: **VIRTUAL ENVIRONMENT:** [Virtual Environment Lab Access Instructions](lab-access.md.html) **PHYSICAL HARDWARE:** [Physical Hardware Lab Access Instructions](lab-access-alt.md)   Configuración inicial del enrutador del borde -------------------------------------------- ### Nombre de nodo Su enrutador debe tener la siguiente configuración: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Router> enable Router# config terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# hostname bdr1-campusX bdr1-campusX(config)# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   ### Desactivar DNS Los equipos Cisco siempre intentarán buscar en DNS la dirección de cualquier nombre especificado en la línea de comandos. Procederemos a desactivar esta función para acelerar los traceroutes: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ bdr1-campusX (config)# no ip domain lookup ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   ### Configure la consola y otros puertos ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ bdr1-campusX (config)# line con 0 bdr1-campusX (config-line)# transport preferred none bdr1-campusX (config-line)# line vty 0 4 bdr1-campusX (config-line)# transport preferred none ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   ### Nombres de usuario y passwords Todos los enrutadores deben tener el usuario **cndlab** y el password **lab-PW**. El password de acceso privilegiado (enable) debe ser **lab-EN**. Haga el favor de no cambiar el nombre de usuario o password, ni de dejar el password sin configurar (de lo contrario los puertos vty no se podrán usar). Es esencial que todos los participantes tengan acceso a todos los enrutadores. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ bdr1-campusX (config)# username cndlab secret lab-PW bdr1-campusX (config)# enable secret lab-EN bdr1-campusX (config)# service password-encryption ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ El comando de `service password-encryption` le indica al equipo que cifre todos los passwords guardados en la configuración (aparte del password de "enable", el cual ya está cifrado). **Nota A:** Siempre hay la tentación de simplemente tener un usuario llamado **cisco** con el password **cisco** como una solución fácil al problema de las credenciales. Bajo ninguna circunstancia los operadores de redes deberían usar credenciales que se puedan adivinar fácilmente como éstas. **IMPORTANTE: No se puede enfatizar lo suficiente la nota anterior. Es muy común que los hackers accedan a las redes simplemente porque sus operadores han utilizado claves que son fáciles de adivinar.** **Nota B**: En las versiones de IOS anteriores a 12.3, el par de comandos username/secret no estaba disponible y los usuarios debían utilizar el par de comandos username/password. Estas usan el modo de cifrado tipo-7, el cual no es seguro para nada. Por el contrario, el comando "secret" utiliza los hashes tipo MD5 que son más seguros.   ### Activar acceso a otros sistemas Para poder acceder a su enrutador usando Telnet en otros módulos de este taller, debe configurar el password para todas las terminales virtuales. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ bdr1-campusX (config)# aaa new-model bdr1-campusX (config)# aaa authentication login default local bdr1-campusX (config)# aaa authentication enable default enable ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Esta serie de comandos le indica al enrutador que busque localmente el usuario estándar (el usuario y password que configuramos antes), y que busque localmente el password secreto para el modo privilegiado (enable). Por defecto, el login se activará en todas las VTYs para que otros equipos puedan acceder.   ### Configure la bitácora (logs) Una parte vital de cualquier sistema que participe en la Internet es el reporte de mensajes de bitácora (logs). El enrutador por defecto mostrará los mensajes en la consola. Sin embargo, esto no es deseable en los enrutadores en producción, ya que la consola tiene una conexión de 9600 bps, y puede poner mucha carga en un procesador que ya está ocupado manejando el tráfico de la red. De todas formas, existe la posibilidad de enviar los logs a un búfer de memoria en el enrutador. Esto no interrumpe al CPU, y además permite al usuario revisar la historia de los eventos que han ocurrido en el enrutador. En un módulo futuro el labortorio configurará el enrutador para que envíe los mensajes a un servidor Syslog. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ bdr1-campusX (config)# no logging console bdr1-campusX (config)# logging buffered 8192 debug ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ lo cual desactiva los mensajes de consola y en su lugar envía todos los mensajes a un búfer de 8192 octetos reservado en el router. Para ver el contenido de este búfer, use el comando "show log".   ### Guarde la configuración Salga del modo "enable" escribiendo "end" o Ctrl-Z, y escriba "write memory" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ bdr1-campusX(config)# end bdr1-campusX# write memory Building configuration... [OK] bdr1-campusX# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Recuerde guardar la configuración frecuentemente! Salga del enrutador escribiendo *exit* y vuelva a acceder a éste. Observe cómo ha cambiado la secuencia de acceso.   Configure el resto de interfaces en los enrutadores ------------------------------------------------- ### Configure la interfaz en el enrutador central Configuraremos la interfaz en el enrutador central que conecta con el enrutador del borde. Dado que el enrutador central es realmente un switch ethernet con capacidad de enrutamiento, todas las interfaces son de tipo "switched". Ahora tendremos que indicarle al switch que la interfaz que conecta al enrutador del borde no es un puerto de switch. Asegúrese de cambiar la **X** más abajo con el valor correcto para su campus: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface FastEthernet1/0 description CAMPUS CORE to BORDER no switchport ip address 100.68.X.2 255.255.255.240 ipv6 address 2001:db8:X:0::2/64 no ip redirects no ip proxy-arp ipv6 nd prefix default no-advertise ipv6 nd ra suppress all no shutdown ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ###   ### Configure la interfaz de gestión Nuestro servidor de gestión, pc1-campusX.ws.nsrc.org, está conectado a la interfaz FastEthernet1/15 en el enrutador central. Configuraremos el enrutador, core1-campusX, de manera que podamos comenzar a usarlo para monitorizar nuestra red. De nuevo, como este es un switch ethernet, debemos configurar la interfaz de manera que no sea un puerto tipo switch: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface FastEthernet1/15 description Network Management and Monitoring no switchport ip address 100.68.X.129 255.255.255.240 ipv6 address 2001:db8:X:1::1/64 no ip redirects no ip proxy-arp no shutdown ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ En esta fase usted debería poder entrar via SSH al pc1-campusX.ws.nsrc.org como usuario "sysadm" y hacer ping al enrutador de borde en esta dirección. El password para este usuario se lo darán los instructores. Si esto funciona, trate de usar Telnet para conectarse al enrutador. Estamos haciendo esto sólo para verificar la conectividad.   Configuración de las interfaces del enrutador del borde ------------------------------------------------------ ### Configure la interfaz de la REI Nacional (NRNEN) El plan de direccionamiento completo del laboratorio se puede encontrar en el documento [IP Address Plan](ip_address_plan.md). Consulte el plan para determinar las direcciones de los enlaces punto a punto entre el el enrutador del borde y el enrutador de la REI. Recuerde cambiar la **X** y la **Y** más abajo por el valor correcto: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface FastEthernet0/0 description Link to NREN ip address 100.68.0.Y 255.255.255.252 ipv6 address 2001:db8:0:X::1/127 no ip redirects no ip proxy-arp ipv6 nd prefix default no-advertise ipv6 nd ra suppress all no shutdown ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pruebe a hacer Ping al extremo de la REI   ### Configure la interfaz del enrutador central ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface FastEthernet0/1 description CAMPUS CORE ip address 100.68.X.1 255.255.255.240 ipv6 address 2001:db8:X:0::1/64 no ip redirects no ip proxy-arp ipv6 nd prefix default no-advertise ipv6 nd ra suppress all no shutdown ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Verifique con un ping al enrutador central.   Configure las rutas estáticas ----------------------------- En este monento debería poder hacer ping a cada uno de los dispositivos del campus desde los equipos adyacentes (o sea, vecinos inmediatos). Si usted intenta hacer ping al enrutador del borde desde uno de los switches o desde el servidor de gestión, tendrá menos éxito. Debemos poner configuración adicional en los enrutadores para poder reenviar los paquetes correctamente. Veamos la información de enrutamiento en el enrutador central: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ core1-campus1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 100.0.0.0/8 is variably subnetted, 3 subnets, 2 masks C 100.68.1.0/28 is directly connected, FastEthernet1/0 C 100.68.1.128/28 is directly connected, FastEthernet1/15 172.21.0.0/24 is subnetted, 6 subnets C 172.21.21.0 is directly connected, Vlan21 C 172.21.20.0 is directly connected, Vlan20 C 172.21.22.0 is directly connected, Vlan22 C 172.21.11.0 is directly connected, Vlan11 C 172.21.10.0 is directly connected, Vlan10 C 172.21.12.0 is directly connected, Vlan12 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ y en el enrutador del borde: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ bdr1-campus1#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set 100.0.0.0/8 is variably subnetted, 5 subnets, 3 masks C 100.68.0.0/30 is directly connected, FastEthernet0/0 L 100.68.0.2/32 is directly connected, FastEthernet0/0 C 100.68.1.0/28 is directly connected, FastEthernet0/1 L 100.68.1.1/32 is directly connected, FastEthernet0/1 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Cada uno de los enrutadores sabe acerca de las redes **local** (locales) y las redes directamente conectadas **connected**, pero no sabe nada de otras rutas. Y qué hay de IPv6? Qué rutas puede ver para los destinos IPv6? Hay alguna similitud con lo que se ve para IPv4?   ### Active IPv6 en ambos enrutadores Los enrutadores Cisco con IOS tienen el IPv6 apagado por defecto. Así que a pesar de poder alcanzar a nuestros vecinos directos, no podemos alcanzar ninguna otra red, y tampoco podemos activar los protocolos de enrutamiento para IPv6. Ahora debemos activar enrutamiento IPv6, y para ello usaremos los comandos siguientes: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ipv6 unicast-routing ipv6 cef ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   ### Rutas estáticas en el enrutador central El enrutador central necesita una ruta por defecto para poder pasar el tráfico de la red del campus hacia la Internet a través de la REI nacional. Agregaremos esta ruta para enviar el tráfico a través del enrutador del borde: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ip route 0.0.0.0 0.0.0.0 100.68.X.1 ipv6 route ::/0 2001:db8:X:0::1 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   ### Rutas estáticas en el enrutador del borde El enrutador del borde necesita una ruta para poder enviar tráfico desde la red del campus hacia la Internet via la REI nacional. Agregaremos esta ruta que apunta al enrutador de la REI: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ip route 0.0.0.0 0.0.0.0 100.68.0.Y ipv6 route ::/0 2001:db8:0:X::0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Escoja el valor correcto para la **X** y para la **Y** usando la misma tabla que usamos para configurar las interfaces. Usted también ha agregado un número de subredes en su enrutador de borde y en los switches de edificio para la red de gestión y para las VLANs 10, 11, 12, 20, 21 y 22. Su enrutador de borde necesita poder enviar paquetes a estas subredes. A continuación agregamos las rutas estáticas para las VLANs del edificio 1 apuntando al enrutador central: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ip route 172.2X.10.0 255.255.255.0 100.68.X.2 ip route 172.2X.11.0 255.255.255.0 100.68.X.2 ip route 172.2X.12.0 255.255.255.0 100.68.X.2 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Haga lo mismo para el edificio 2: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ip route 172.2X.20.0 255.255.255.0 100.68.X.2 ip route 172.2X.21.0 255.255.255.0 100.68.X.2 ip route 172.2X.22.0 255.255.255.0 100.68.X.2 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Ahora IPv6 para el edificio 1: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ipv6 route 2001:DB8:X:10::/64 2001:DB8:X:0::2 ipv6 route 2001:DB8:X:11::/64 2001:DB8:X:0::2 ipv6 route 2001:DB8:X:12::/64 2001:DB8:X:0::2 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ y el edificio 2: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ipv6 route 2001:DB8:X:20::/64 2001:DB8:X:0::2 ipv6 route 2001:DB8:X:21::/64 2001:DB8:X:0::2 ipv6 route 2001:DB8:X:22::/64 2001:DB8:X:0::2 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   ### Configure la ruta por defecto en el switch de distribución y los de acceso Los switches también necesitan una ruta por defecto para que su propia VLAN de gestión pueda enviar tráfico hacia el resto de la red. Sin esto, el tráfico de gestión solamente podría alcanzar otros equipos en la misma VLAN. En cada switch agregamos la siguiente ruta apuntando al enrutador central: Para el edificio 1: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ip route 0.0.0.0 0.0.0.0 172.2X.10.1 ipv6 route ::/0 2001:db8:X:10::1 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ y para el edificio 2: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ip route 0.0.0.0 0.0.0.0 172.2X.20.1 ipv6 route ::/0 2001:db8:X:20::1 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   Probar el enrutamiento ------------------------- Los dos enrutadores de la REI nacional están conectados a la misma red del taller que sus laptops, 10.10.0.0/24. Tienen las direcciones 10.10.0.235 y 10.10.0.236. Usted debería poder hacer Ping a estas direcciones desde su enrutador central. También debería poder alcanzarlas haciendo Ping desde su laptop. Ahora intente hacer ping a 8.8.8.8 desde su enrutador central. Funciona? *Punto de revisión: muéstrele al instructor que su red funciona*