cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
6220
Visitas
55
ÚTIL
29
Respuestas

Ask Me Anything- Configuración, verificación y troubleshooting de protocolos de enrutamiento dinámico

Cisco Moderador
Community Manager
Community Manager

ama-elvin-oct2019_900x150.png

ATE-Participa

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

Aclare todas sus dudas acerca de las mejores prácticas y tips para configurar, verificar y solucionar problemas comunes en los distintos protocolos de enrutamiento dinámico. La sesión abarca distintos protocolos desde RIP, OSPF, IS-IS y EIGRP, hasta BGP entre otros.
Los protocolos de enrutamiento son uno de los ejes fundamentales de interconexión de red. Su función principal es proveer mecanismos para generar, procesar y distribuir información topológica y de prefijos de red. Actualmente son al base del modelo “underlay” el cual ha tomado auge en los diseños y soluciones de redes modernas como DNA y SDN.

Haga sus preguntas del 9 al 25 de Octubre del 2019.

Detalles del Especialista
Elvin Arias Soto.pngElvin Arias es un Network Development Engineer del área de Ingeniería y Arquitectura en Amazon. Tiene experiencia en distintas tecnologías como OSPF, BGP, IS-IS, EIGRP, Cisco IOS XR, DMVPN, MPLS y Multicast entre otros. Elvin cuenta con diversas certificaciones como, CCNA Service Provider, CCNA Security, CCNP SP, CCIE R&S y CCIE SP (# 57406). Además, la comunidad de Cisco Learning Network le ha seleccionado como un Cisco Designated VIP por más de 5 años consecutivos (desde el 2013).

Visite nuestra categoría de Routing & Switching para más información del tema.

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar unospecial-programs.png a las respuestas a sus preguntas.

29 RESPUESTAS 29

Edgar_Soto
Level 1
Level 1

Buenas, mi duda está en como iniciar un análisis de red, que pasos debo seguir para conseguir información útil que me permita aplicar políticas de red que mejoren el rendimiento de la red, por ejemplo, como se evita que personas usen VPN proxy para saltarse el firewall y puedan navegar por páginas que no están permitidas(reglas de la organización).

Gracias

Hola Edgarsoto,

Gracias por tu pregunta.

Para realizar el análisis, aquí te comento varias recomendaciones. Entre ellas, iniciar con realizar un levantamiento sobre los equipos y políticas aplicadas, a nivel de seguridad, es bueno utilizar un "framework" de referencia para utilizar pasos ya estandarizados. ITIL, COBIT, ISO27001, se pueden utilizar como referencia.

Luego de esto, para mitigar ataques, puedes utilizar agentes instalados en los dispositivos finales, estos monitorizan la actividad de los equipos y pueden evitar y/o reducir este tipo de evasión. Cisco como parte de su portafolio tiene multiples soluciones, como referencia, https://www.cisco.com/c/en_uk/products/security/security-reports.html?ccid=cc000739&oid=anrsc005679&dtid=odicdc001152#~more-reports.

También, y MUY importante tener en cuenta son los Cisco Validated Design, estos los considero clave para diseñar una infraestructura de seguridad resiliente. A continuación el enlace:

https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html

Luego de hacer las verificaciones correspondientes de los enlaces, favor de dejarnos saber si tienes pregunta adicional.

Elvin

Gracias por responder, otra prengunta, cualés son las causas por la cual ustedes hacen un análisis de red tanto interno como externo(Internet) y cuáles son los efectos de ese análisis, todo esto en un ambiente real o de producción, ya que, no puedo darmen una idea de que tan grande sea un proceso como ese o los problemas más comunes que muchos ingenieros de IT tienen...

Es una pregunta muy abierta. Puede ser que quieras optimizar la infrastructura de enrutamiento, y por ello necesites tener en cuenta multiples elementos. La red como entidad total incluye (entre muchos más) dispositivos finales, dispositivos intermediarios, servicios, etc. Por lo que dar una respuesta definitiva es complejo.

 

Ahora bien, tomemos como ejemplo OSPF, si en tu red existe este procolo y requirieras optimizar y asegurar tu infraestructura, deberás tomar en cuenta:

 

.Seguridad del ambiente de enrutamiento (autenticación)
.Tamaño de la base de datos (LSDB)
.Tiempo de ejecución de SPF
.Agrupación de LSA previo a correr SPF
.Tiempo de detección de fallas de vecinos

 

Como ves, hacer un análisis conlleva una cantidad de elementos considerable, dependiendo de los protocolos que existan en la red en cuestión. Existen diversas herramientas para esto, pero lo importante es que se tenga conocimiento de lo que se está analizando.

 

Saludos,

 

Elvin

Hilda Arteaga
Cisco Employee
Cisco Employee

Hola @Elvin Arias 

Gracias por tu duda y apoyo con este evento, te comparto una duda de @Jonathan Maldonado de EIGRP que se ha comentado en la comunidad. Para que nos brindes tu opinión y se agregue como referencia en esta sesión. 

 

duda.png

Hola Jonathan Maldonado,

 

El comando passive-interface default tiene como función deshabilitar el procesamiento de mensajes (Hello, Update, Query, Reply, ACK) recibidos por todas las interfaces que estén habilitados con el proceso de enrutamiento. Esta función es clave cuando se requiere que EIGRP (o algún otro protocolo de enrutamiento, ya que passive-interface tiene similar función en casi todos los IGPs) no procese ningún mensaje de su plano de control (control plane) y y por consiguiente no forme adyacencias con otros vecinos.

 

Cabe resaltar que este comando no evita que el protocolo publique las rutas a vecinos si este tiene adyacencias formadas. Para visualizar un uso común de este comando, usemos el escenario donde existe un router que tiene 100 subinterfaces conectadas a una LAN, siendo las redes de estas interfaces publicadas,

 

R1--EIGRP (Adj)---R2 ---- (Gig1.[1-100]) ---- SWITCH ---- (VLANS).

 

Basados en esta topología, si hacemos passive-interface default, EIGRP suprimirá el procesamiento de los mensajes recibidos en las interfaces Gig1.1 - Gig1.100, por lo tanto un atacante conectado en una de las VLANs no podrá formar adyacencias con R2 y así lanzar un ataque de control-plane a EIGRP en esta red. La adyacencia de R1 y R2 estará sujeta a que el enlace que los conecta  pueda procesar mensajes de EIGRP (adicionando no passive-interface <INT> en la interfaz que conecta R2 con R1). 

 

Como nota final, si lo que necesitas es evitar publicar rutas en EIGRP, mientras tienes adyacencias formadas con vecinos, puedes utilizar una especie de "pseudo passive-interface" de la siguiente manera:

 

R1--EIGRP (Adj)---R2 ---- (Gig1.[1-100]) ---- SWITCH ---- (VLANS).

 

R1

 

router eigrp 100

 network <LINK TO R2>

 

 

R2

 

access-list 1 deny

!

router eigrp 100

 network <LINK TO R1>

 passive-interface default

 no passive-interface <LINK TO R1>

 distribute-list 1 out

!

end

 

/

 

Con estos comandos, podrás tener el mismo efecto que al inicio, pero con la adición de poder filtrar las rutas hacia R2 mediante el uso de un distribute-list, esto es llamado pseudo passive-interface.

 

Saludos,

 

Elvin

hola

No entiendo el funcionamiento de este comando en OSPF "area 0 authentication message-digest", en lo que he leido es para seguridad MD5, pero veo que en ocasiones se aplica sobre la interfaz y aveces sobre OSPF, cual es diferencia o como funciona. Gracias.

Hola Jonathan Maldonado,

En OSPF(v2), este comando (area <AREA ID> authentication message-digest) habilita la autenticación tipo 2 (MD5) para una área en particular.

Una vez este comando esté habilitado, debes de agregar los key/passwords a las interfaces que corresponden al área, la secuencia es la siguiente:

1. Habilitar autenticación de OSPF en el área

router ospf 1
area <AREA ID> authentication message-digest

2. Indicar el key/password en la interfaz

interface gig1.100
ip ospf message-digest-key 1 md5 cisco

/

Elvin

  1. estoy realizando la configuracion del switch cisco IE-3010 24 puertos, cuando ingreso al express setup me aparece login y password al ingresar cisco cisco respectivamente no puedo ingresar segun su manual posterior a eso intente con admin admin pero no funciona necesito que me ayuden para poder ingresar a la configuracion del switch.

Hola rodrigo.fuenzalida.rojas,

 

Hast intentado verificar el manual de password recovery?

 

Tal vez el equipo tenga una contraseña preconfigurada. Puedes hacer referencia a este manual, https://www.cisco.com/c/en/us/td/docs/switches/lan/cisco_ie3010/software/release/12-2_53_ez/configuration/guide/ie3010scg/swtrbl.html#wp1021182.

 

Elvin

Jeqy-37
Level 1
Level 1

Buenas tardes amigo de antemano mis disculpas no tengo preguntas respecto al tema en discusión, te escribo para solicitar tu ayuda en una situación que tengo, es la siguiente:

 

Tengo dos enlaces de Internet conectados a mi Asa 5540, una metro-ethernet de 10Mb y otra de 20Mb y quiero sacar a Internet un segmento en específico de mi red macro por el enlace de 10Mb. Toda mi red macro (192.168.0.0/16) sale a Internet por el enlace de 20Mb, quiero que la sub red 192.168.1.0/24 salga a Internet por el enlace de 10Mb.

He realizado varias configuraciones en el Asa (access rule, nat, rutas, etc) pero erróneas porque no me funciona lo que quiero hacer, puedes ayudarme u orientarme por favor?

Nota: no tengo un router en mi topología, los enlaces están directamente conectados a mi Asa

Hola @Jeqy-37 

Gracias por extender tu duda, esta sesión se enfoca a protocolos de enrutamiento dinámico.

Sin embargo, hemos colocado la duda en la categoría de “Seguridad” de la comunidad para que expertos en el área puedan asistirte: https://community.cisco.com/t5/discusiones-seguridad/bd-p/5626-discusiones-seguridad

dulfranc1
Level 1
Level 1

Gracias por el tiempo para este evento, comparto un par de dudas
¿Cómo calcula EIGRP la distancia cuando se redistribuye una ruta BGP?
¿Qué atributos de BGP podrían afectar una ruta seccionada en EIGRP cuando una ruta BGP es redistribuida en EGRIP?

**¿Cómo calcula EIGRP la distancia cuando se redistribuye una ruta BGP?

-La métrica desde cualquier origen de enrutamiento (excluyendo EIGRP e IGRP) hacia EIGRP es infinita, por lo que EIGRP no tiene manera de interpretar y configurar la métrica de una ruta redistribuida de otros protocolos.

Para esto, se necesita una métrica base (seed metric) que se configura en:

.Route-map:

route-map EIGRP_SEED permit 10
set metric 100000 1 255 1 1500
!

.Punto de redistribución:

router eigrp 1
redistribute bgp 1 metric 100000 1 255 1 1500
!

.Global en el protocolo:

router eigrp 1
default-metric 100000 1 255 1 1500
!

(En modo nombrado, la configuración se ingresa dentro de "topology base").

Ten en cuenta que el panorama de redistribución en EIGRP cambia un poco en entornos MPLS (L3VPN) ;).

¿Qué atributos de BGP podrían afectar una ruta seccionada en EIGRP cuando una ruta BGP es redistribuida en EGRIP?

En su estado puro, ningún atributo afecta la redistribución de BGP a EIGRP, a menos de que haya una política mediante un route-map que indique que la ruta no se redistribuya. Como la redistribución sucede desde la tabla de enrutamiento (RIB), la ruta deberá estar instalada en la RIB y exista un seed metric en EIGRP, la ruta se inyecta en la base de datos de EIGRP.

Nota que en EIGRP nombrado, existe un caso en el cual una ruta, debido a que tiene un seed metric muy alto, no podría ser instalada en la tabla de enrutamiento, esto es debido a una discrepancia que existe en los valores que soporta EIGRP nombrado en su métrica (64-bits) vs. la RIB (32-bits).

El problema se manifiesta de la siguiente manera:

R1 y R2 están directamente conectados, EIGRP está habilitado. R1 redistribuye una ruta conectada (puede ser de BGP también, el problema sería exactamente el mismo).

R1#show ip route 11.11.11.11
Routing entry for 11.11.11.11/32 <<<
Known via "connected", distance 0, metric 0 (connected, via interface)
Redistributing via eigrp 100, bgp 1
Advertised by eigrp 100 metric 1 1 1 1 1
bgp 1 route-map X
Routing Descriptor Blocks:
* directly connected, via Loopback11
Route metric is 0, traffic share count is 1

2. R1 redistribuye la ruta conectada hacia EIGRP.

router eigrp X
!
address-family ipv4 unicast autonomous-system 100
!
topology base
redistribute connected metric 1 1 1 1 1 <<<
exit-af-topology
network 12.0.0.1 0.0.0.0
exit-address-family

3. La ruta es ingresada en la tabla topológica de R1 y R2:

R1#show ip eigrp topology 11.11.11.11/32
EIGRP-IPv4 VR(X) Topology Entry for AS(100)/ID(150.1.1.1) for 11.11.11.11/32
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 655360655360
Descriptor Blocks:
0.0.0.0, from Rconnected, Send flag is 0x0
Composite metric is (655360655360/0), route is External
Vector metric:
Minimum bandwidth is 1 Kbit
Total delay is 10000000 picoseconds
Reliability is 1/255
Load is 1/255
Minimum MTU is 1
Hop count is 0
Originating router is 150.1.1.1
External data:
AS number of route is 0
External protocol is Connected, external metric is 0
Administrator tag is 0 (0x00000000)

R2#show ip eigrp topology 11.11.11.11/32
EIGRP-IPv4 VR(X) Topology Entry for AS(100)/ID(150.1.2.2) for 11.11.11.11/32
State is Passive, Query origin flag is 1, 0 Successor(s), FD is Infinity, RIB is 4294967295
Descriptor Blocks:
12.0.0.1 (Ethernet0/1.12), from 12.0.0.1, Send flag is 0x0
Composite metric is (655426191360/655360655360), route is External
Vector metric:
Minimum bandwidth is 1 Kbit
Total delay is 1010000000 picoseconds
Reliability is 1/255
Load is 1/255
Minimum MTU is 1
Hop count is 1
Originating router is 150.1.1.1
External data:
AS number of route is 0
External protocol is Connected, external metric is 0
Administrator tag is 0 (0x00000000)

/

4. Cuando verificamos la tabla de enrutamiento de R2, no veremos la ruta.

R2#show ip route 11.11.11.11
% Network not in table

¿Por qué?

La razón de esto es debido a la FD, si observas, esta en "Infinity", aunque le hayamos puesto la seed metric en R1, R2 la ve como infinita, porque la seed metric es de valor muy bajo, y el valor de la métrica resultante es muy alto, excediendo 2^32 de la RIB, por lo que no se podrá instalar. Para arreglar este problema podríamos:

1. Configurar valores con mayor preferencia en la seed metric en R1.
2. Ajustar el metric rib-scale en R2.

Procedamos con el paso 2.

R2:

router eigrp X
!
address-family ipv4 unicast autonomous-system 100
!
metric rib-scale 255

.

R2#show ip eigrp topology 11.11.11.11/32
EIGRP-IPv4 VR(X) Topology Entry for AS(100)/ID(150.1.2.2) for 11.11.11.11/32
State is Passive, Query origin flag is 1, 1 Successor(s), FD is 655426191360, RIB is 2570298789
Descriptor Blocks:
12.0.0.1 (Ethernet0/1.12), from 12.0.0.1, Send flag is 0x0
Composite metric is (655426191360/655360655360), route is External
Vector metric:
Minimum bandwidth is 1 Kbit
Total delay is 1010000000 picoseconds
Reliability is 1/255
Load is 1/255
Minimum MTU is 1
Hop count is 1
Originating router is 150.1.1.1
External data:
AS number of route is 0
External protocol is Connected, external metric is 0
Administrator tag is 0 (0x00000000)

.

R2#show ip route 11.11.11.11
Routing entry for 11.11.11.11/32
Known via "eigrp 100", distance 170, metric 2570298789, type external
Redistributing via eigrp 100
Last update from 12.0.0.1 on Ethernet0/1.12, 00:03:58 ago
Routing Descriptor Blocks:
* 12.0.0.1, from 12.0.0.1, 00:03:58 ago, via Ethernet0/1.12
Route metric is 2570298789, traffic share count is 1
Total delay is 1010 microseconds, minimum bandwidth is 1 Kbit
Reliability 1/255, minimum MTU 1 bytes
Loading 1/255, Hops 1

/End.

Saludos,

Elvin

Le agradecemos ingeniero Arias, nos ha ayudado mucho y se nos ha adelantado en dudas