ENRUTAMIENTO IP

CONOCIMIENTOS PREVIOS

REPASO DE IP
Un enrutador o router es aquel capaz de leer las IP de los paquetes y localizar la manera de que un paquete llegue a su destino. Lgicamente estamos trabajando a nivel 3 del modelo OSI (red), pues los routers, desmontan el paquete que les llegue hasta poder obtener su IP de destino. Adems los routers con capaces de elegir una ruta u otra en funcin de distintos parmetros que le harn elegir la mejor entrega (best effort). Para ello consulta su TABLA DE RUTAS, que no es ms que un espacio de almacenamiento en el que tiene asociadas unas rutas de red a una interfaz concreta. Si no posee esa ruta, usara ICMP para indicarle al emisor la imposibilidad de llegar al destino y destruye el paquete.

EXAMINANDO TABLA DE RUTAS

DESTINO DE RED
Redes o direcciones a las que el enrutador puede encaminar paquetes.

MSCARA DE RED PUERTA DE ACCESO

Direccin accesible directamente al router, por donde enviar los paquetes en busca de su destino. Direccin IP de la tarjeta de red por la que enviar un paquete para alcanzar un destino determinado.

INTERFAZ METRICA
Valor que se asocia a una ruta para elegirla antes que otra en funcin de parmetros como el nmero de routers a atravesar para llegar al destino, saturacin de la red, etc. A MENOR MTRICA MAYOR PRIORIDAD.

 DIRECCIONES ESPECIALES
127.0.0.0 bucle invertido para comprobar la pila TCP/IP 0.0.0.0 identifica la puerta de enlace, es decir, aquellos paquetes cuya direccin no consigue encaminar con las rutas disponibles en la tabla sern enviados a la puerta de enlace. 224.0.0.0 direccin de multidifusin 255.255.255.255 direccin de difusin.

Las tablas de rutas no son exclusivas de los routers, cada estacin tiene su propia tabla de rutas que puede visualizarse a travs del comando route print

 OPERACIONES CON LA TABLA DE RUTAS

Cuando una mquina va a mandar un paquete, mira su tabla de rutas para averiguar si conoce ese destino de red.
Recordamos que para averiguar el destino de red, multiplicaba en binario la IP de destino por su propia mscara.

Si conoce el destino encamina el paquete hacia la interfaz asociada. Si no lo conoce, encamina el paquete hacia la NIC asociada a la red 0.0.0.0. (puerta de enlace predeterminada), si esta no est configurada, devolver un mensaje de error.

LAS TABLAS DE RUTAS SE GUARDAN EN RAM, al arrancar el equipo se examinan las redes y se establecen las entradas de la tabla de rutas. Si yo aado entradas manualmente, estas no perduran en el reinicio de la mquina, si bien, como ya veremos, puedo hacer que una ruta sea persistente. REPASO DE CLCULO REALIZADO POR UN EQUIPO ANTE UNA DIRECCIN DADA
Direccin de destino 10.12.159.3 Direccin de origen: 62.158.1.56 Mscara de origen: 255.248.0.0 El producto de IP destino por mscara = 10.8.0.0 Se comprueba si existe una entrada en la tabla de rutas para esa direccin de red.

ENRUTAMIENTO ESTTICO
Es cuando el administrador edita la tabla de rutas directamente para aadir acceso a nuevas redes, nuevas puertas de enlace, etc.

200.200.3.5
0.0.0.0 200.200.3.0 10.0.0.0 200.200.3.6 200.200.3.5 200.200.3.6 200.200.3.5 200.200.3.5 200.200.3.5

200.200.3.6
10.0.0.0 200.200.3.0

10.0.0.1
10.0.0.1 200.200.3.6

10.0.0.5
0.0.0.0 10.0.0.0 200.200.3.0 10.0.0.1 10.0.0.5 10.0.0.1 10.0.0.5 10.0.0.5 10.0.0.5

10.0.0.1 200.200.3.6

PRCTICA-1
Escribe las tabla de rutas que habra que aadir en cada uno de estos equipos

10.0.25.3

10.0.25.1

15.0.0.1

15.0.0.2

20.0.30.1

20.0.30.5

 PARA AADIR RUTAS ESTTICAS

Usamos el comando Route con los modificadores necesarios. Recordamos que las rutas se generan a iniciarse la mquina y si queremos hacerlas persistentes, es decir, queremos que no desaparezcan al apagar la mquina debemos escribir el modificador p

PRCTICA-2
En grupos de 3 (1 enrutador y 2 clientes), generar las rutas necesarias para que la mquina-1 llegue a la mquina 2 y viceversa. Tendris que usar 2 direcciones IP asignadas a la misma tarjeta, ya que no disponemos de 2 interfaz. Comprobar la tabla de rutas y que podis llegar de una mquina a otra. RECORDAD: Planificar y Documentar.

MQUINA-1

ROUTER

MQUINA-2

PRCTICA-3
Toda la clase va configurar sus 2 direcciones IP para poder comunicarse a travs de ellas con las mquinas vecinas. OBJETIVO: que cada mquina est en 2 redes distintas y todas puedan comunicar con todas. Uso de tracert para localizar problemas FUNCIONA? Si la respuesta es que NO razonar por qu y lo que necesitaramos para que pudiera funcionar
a3s01 a3s02 a3s03

10.0.0.1 20.0.0.2
MQUINA-1 1 X 10= 10 10.0.0.1 +10=20 20.0.0.2

20.0.0.1
MQUINA-2 2 X 10= 20 20.0.0.1 +10=30 30.0.0.2

30.0.0.2

30.0.0.1
MQUINA-3 3 X 10= 30 30.0.0.1 +10=40 40.0.0.2

40.0.0.2

DATO IMPORTANTE
Un Windows 2000 Server, tiene la capacidad de enrutar, para lo que necesita 2 tarjetas. Si no habilitamos el servicio de enrutamiento y queremos mantener las rutas de manera esttica, debemos habilitar el reenvo IP para que pasen los paquetes de una tarjeta a otra (VER AYUDA). En la prctica anterior los reenvos funcionaban porque realmente slo tenamos una tarjeta FSICA.

INSTALANDO SERVICIOS DE ENRUTAMIENTO Y ACCESO REMOTO

CONFIGURANDO SERVIDOR
En Windows 2000 Server, el componente ENRUTAMIENTO Y ACCESO REMOTO se instala con el sistema operativo. Para acceder a la consola usamos la ruta PROGRAMAS>HERRAMIENTAS ADMINISTRATIVAS->ENRUTAMIENTO Y ACCESO REMOTO

 Enrutamiento de Windows 2000 ofrece:

Protocolos de enrutamiento dinmico (OSPF, RIP v1 y v2) Conexiones bajo demanda Filtrado de paquetes Traslacin de direcciones (NAT) Acceso remoto (RAS) Enrutado de diversos protocolos Etc.

En la consola de enrutamiento y acceso remoto, podemos seleccionar el equipo a administrar. En un dominio Windows 2000 se necesita pertenecer al grupo Servidor RAS y IAS para poder administrarlo.

ENRUTAMIENTO DINAMICO

INTRODUCCIN
Un protocolo de enrutamiento dinmico cumple con las siguientes funciones.
Es capaz de elegir dinmicamente la mejor ruta para un paquete IP. Actualiza sus tablas de rutas de manera automtica, comunicando con otros routers con los que se pasa informacin. Ahorra una gran cantidad de trabajo de administracin, pues cada modificacin de rutas es actualizada automticamente y comunicada al resto de los routers

PROTOCOLOS DE VECTOR DISTANCIA

Usan el algoritmo de Bellman-Ford Permiten a los routers comunicar el contenido de sus tablas con sus vecinos. Asocian una mtrica a las rutas para establecer cual es la mejor. No tienen conocimiento del estado de la red ni de su topologa. Cuando reciben una tabla de rutas de un enrutador vecino:
Aade las entradas que no tiene y les incrementa la mtrica Si la ruta la conoce y su mtrica es superior o igual a la que el ya tiene, la desecha. Si la ruta la conoce pero la mtrica es menor, la aade, sustituyendo a su antigua ruta.

Las tablas de los routers se comunican por broadcast, los protocolos menos evolucionados, por multicast los ms modernos y por unicast los que permiten configurar vecinos predeterminados. Son protocolos de vector distancia:
RIPv1 RIPv2

PROTOCOLOS DEL ESTADO DE ENLACE

Usan el algoritmo SPF (Short Path First) No se intercambian tabla de enrutamiento, sino los datos que permiten construir dicha tabla. Para ello tienen un buen conocimiento de la topologa de la red en su conjunto. Este conocimiento lo obtienen a travs de paquetes LSP (Link State Packet) que se envan entre los routers que tienen estos protocolos instalados. Utilizan mtricas sofisticadas para saber la velocidad de la red, saturacin, etc. para poder encaminar el paquete por la ruta ms conveniente. Es un protocolo de este tipo OSPF.

RIP
Usa el nmero de saltos como mtrica Windows 2000 implementa tanto la versin 1 como la 2. Tiene un lmite de saltos de 15 (15 enrutadores). Sin embargo en la implementacin de Windows 2000 estos enrutadores se quedan en 14 pues Windows 2000 entiende el primer router se encuentra a 2 saltos.
A B C

A a D tiene 2 rutas, una con 1 salto y la otra con 3 saltos, se quedara con la de 1 salto

IMPLEMENTANDO RIP
Ver vdeo de instalacin Hay que configurar RIP para cada tarjeta. Ver vdeo de ejemplo.

FICHA GENERAL TARJETA RIP

El uso de multidifusin (slo con versin 2) es de gran valor, pues evita sobrecargar la red. La casilla Coste aadido para las rutas, nos permite alterar la mtrica para que se elija una ruta antes que otra. En el caso de la figura, a igualdad de saltos, me interesa que elija la ruta rpida. Para ello incremento la mtrica de la que quiero evitar. La casilla Etiquetas para las rutas anunciadas (solo para versin 2) T1 nos permite aadir palabras a las tramas enviadas por los routers para poder distinguir las rutas que han sido aprendidas por RIP de otras (por ejemplo OSPF) La casilla Activar autentificacin: establece una palabra clave sin la cual los routers no se comunicaran (es de bajo nivel pues se enva en texto plano)

56 Kbps A B

T1

D T1

FICHA SEGURIDAD TARJETA RIP

FICHA VECINOS TARJETA RIP

FICHA AVANZADAS TARJETA RIP

PRACTICA-4
Segn el escenario de la prctica-3 en el que todo el aula estba unida como ROUTERS: Unimos el ltimo router al primero Instalamos RIP en cada equipo Configuramos la tarjeta de red en cada equipo con los valores por defecto Comprobamos comunicacin con todas las redes, y resolvemos problemas con el comando tracert. Observamos la tabla de rutas que se genera. Podemos llegar a todas las redes? (por qu).

PRCTICA-5
En grupos de 3 aproximadamente, nos aislamos del resto de routers con las opciones de vecinos y observamos nuestra tabla de rutas de nuevo. Probamos las opciones de contrasea. Analizamos las tramas RIP con el monitor de red y comprobamos la teora entregada en las fotocopias. El objetivo es impedir que se comuniquen las tablas de rutas con todos los routers y slo con mis vecinos. Para comprobarlo intentamos comunicar con estos vecinos (repuesta positiva) e intentamos comunicar con el resto de redes (respuesta negativa). Despus deshabilitamos los vecinos (todo el aula a la vez), pero establecemos contraseas en grupos de 3. Misma comprobacin que antes.

DIFERENCIAS ENTRE RIPv1 Y RIPv2 y COEXISTENCIA CON OTROS PROTOCOLOS

RIPv2 aporta sobre RIPv1
RRIPv2 es capaz de anunciar rutas por multicast RIPv2 puede usar autenticacin por contrasea RIPv2 soporta VLSM (Variable Length Subnet Mask) permitiendo uso adecuado de las subredes.

Coexistencia con otros protocolos

Otros protocolos como OSPF pueden usarse simultneamente con RIP, el problema viene por los valores de mtrica aportados que no son comparables. As que Cmo decide ante una misma ruta cual camino elegir? Hay que configurarlo a travs de un coeficiente llamado DISTANCIA ADMINISTRATIVA, a menor coeficiente ms fiable ser el protocolo. Si queremos forzarlo a travs de la consola VER VDEO EXPLICATIVO.

OSPF
Open Short Path First (abrir el camino ms corto primero) Es un protocolo de estado de enlace Usa el algoritmo de Dijkista Sus caractersticas principales son:
Alta velocidad de convergencia (tiempo que tardan todos los routers en disponer de la misma tabla de rutas) Soporta VLSM (trabajo con redes subneteadas) Enva slo datos cuando es necesario y no a un tiempo establecido como RIP. No tiene problemas de bucle ni lmite de saltos Su implementacin requiere una alta comprensin de los parmetros que usa y una terminologa asociada

IMPLEMENTANDO OSPF
La instalacin de OSPF es idntica a la de RIP. Al igual que RIP hay que asociar el protocolo a cada tarjeta que queremos que lo implemente Las opciones de configuracin posibles, como son las zonas, seguridad, vecinos NBMA, requieren de la lectura previa de la terminologa OSPF (referida en las fotocopias)

FILTRADO DE PAQUETES IP

CONCEPTOS GENERALES
Los filtros se aplican sobre tarjetas y no sobre el router en general Los filtros permiten establecer qu trfico y de qu tipo se va a permitir, bien por direcciones IP o bien por protocolos y puertos. FILTROS DE ENTRADA:
El paquete llega a la tarjeta y es comparado (IP origen, IP destino, puertos) con el filtro, si no est permitido se manda un mensaje al emisor y NO PASA A SER EXAMINADA LA TABLA DE RUTAS.

FILTROS DE SALIDA:
Primero, como un paquete IP normal, se comprueba la tabla de rutas para decidir por qu interfaz va a salir. Una vez en la interfaz, se compara su IP origen, IP destino, puertos, etc. con el filtro y toma la decisin marcada en el filtro.

El Filtro de entrada consume menos recursos del router, si bien la decisin de establecer un filtro de entrada o salida depende del escenario de implementacin:
Si queremos que desde muchas redes no se pueda acceder a una mquina en otra red, lo lgico sera aplicar un filtro de salida sobre la interfaz a la que pertenece la mquina de destino. Si por el contrario queremos que desde una red no se pueda acceder a muchas estableceremos un filtro de entrada.

EQUIPO A PROTEGER DE ACCESOS

EL EQUIPO NO DEBE ACCEDER A NINGUNA DE LAS TRES REDES

FILTRO DE SALIDA

FILTRO DE ENTRADA

Antes de establecer un filtro hay que realizar la siguiente planificacin: - Sobre que tarjeta voy a realizar el filtro? - Es un filtro de entrada o de salida? - Afecta a mquinas en concreto o a redes enteras? - Qu tipo de trfico quiero filtrar (TCP, ICMP,) y que servicio (puerto 23, etc.)? - Qu accin deseo para el filtro?: - Procesar todos los paquetes a los que no se aplica el filtro (dejo pasar todo menos lo que cumple con el filtro) - Omitir todos los paquetes que no cumplen con el filtro (no dejo pasar nada que no cumpla con el criterio del filtro)

 Ejemplo de filtro:
Aplicar sobre la conexin de rea local (1) Filtro de entrada Sobre la red de destino 192.168.0.0 Para el protocolo ICMP Deje pasar el resto del trfico. VER VDEO IMPLEMENTACIN

Cuando el filtro lo quiero implementar sobre una mquina en concreto he de poner la mscara de red a 255.255.255.255

PRACTICA-6
En grupos de 3, establecemos filtros para:
Slo permitir telnet a la mquina del otro lado del router Permitir todo el trfico menos telnet Bloquear que se puede hacer un telnet o comprobar conectividad con las patas del router (algo habitual en internet)

MQUINA-1

ROUTER

MQUINA-2

ENRUTAMIENTO BAJO DEMANDA

INTRODUCCIN
La conexin bajo demanda se usa cuando:
Las redes son de pago tipo RDSI, RTC, y por su coste quiero que sean conexiones temporales.

Permite usar filtros y la aplicacin de horarios de conexin para mayor seguridad y aprovechar tarificaciones especiales.

IMPLEMENTACIN
Necesidades:
Una tarjeta mdem RDSI o RTC Una conexin a internet para este router y as poder configurar una VPN.

PASOS A SEGUIR 1 CONFIGURAR SERVIDOR

Hay que indicarle al servidor que se configure tambin como enrutador de marcado a peticin. VER VDEO Al hacerlo nos aparecer en la consola un nuevo aparatado denominado puertos

2 AADIR UNA TARJETA, bien un mdem o establecer el uso de una VPN. VER VDEO (con mdem), ms adelante trabajaremos en la creacin de VPN.
Tenemos que crear una cuenta para que el otro router tenga acceso al mo (se crea en la SAM del equipo) Tenemos tambin que dar las credenciales de una cuenta vlida en el router remoto para que nos deje conectar.

CONFIGURACION
Podemos, como se dijo anteriormente, establecer unos horarios en los que se puedan efectuar las llamadas y unos filtros que determinen cuando activar la llamada (en funcin del tipo de trfico o la red a la que vayan dirigida) En el siguiente ejemplo se limita la conexin a los das laborables de la semana de 8 a 22 horas y se activa un filtro para que slo se conecta cuando se quiera llegar a la red 20.0.0.0 para realizar un TELNET. VER VDEO DE IMPLEMENTACIN

OPCIONES
En las opciones de la conexin, podemos establecer los parmetros tpicos de una conexin temporal

CONFIGURAR ENTRADA DE CONEXIONES

Cuando un equipo remoto quiere acceder a mi red necesita una direccin IP valida en mi red (adems de las credenciales vistas anteriormente). Estas direcciones pueden ser asignadas manualmente o a travs de un pequeo DHCP que incorpora la consola ENRUTAMIENTO Y ACCESO REMOTO. En el ejemplo de implementacin se van a otorgar un rango de direcciones vlidas en mi red que ser de la 192.168.0.75 a la 192.168.0.90 VER VDEO.

ACTIVAR MARCADO A PETICION

Tras todas las configuraciones anteriores tenemos que decidir que tipo de trfico va a disparar el marcado a peticin. En el ejemplo decidimos que cuando se necesite llegar a la red 20.0.0.0 se active la conexin. VER VDEO
Importante asegurarse de que est marcado el checkbox que dice usar este enrutador para iniciar las conexiones de marcado a peticin

PRACTICA-7
Al no disponer de un mdem para la realizacin del marcado a peticin, se propondr la prctica para una VPN. En grupos de 3, un cliente y 2 enrutadores El enrutador 1 generar una conexin de marcado a peticin cuando el cliente solicite una ruta que mantiene el enrutador 2 para poder resolver la peticin del cliente Esta prctica queda pendiente hasta que estudiemos las VPN en el prximo mdulo ACCESO REMOTO

MULTIDIFUSION
Los routers, por defecto, no dejan pasar multidifusiones ni broadcast. Para que enrutaran multidifusiones deberan disponer de un protocolo llamado DVMRP (distance vector multicasting routing protocol) Windows 2000 no incorpora ese protocolo, pero s IGMP, que le permite estar a la escucha de los puestos que en su red usan multicast, y s deja pasar los paquetes multicast que han sido solicitados por las mquinas de su segmento. Para ello hay que configurar en la pata del router por el que le llegan los paquetes multidifusin del exterior, como PROXY IGMP y la pata del router interna, de las mquinas que estn a la escucha de multidifusin en modo ENRUTADOR IGMP. VER VDEO EXPLICATIVO