Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CHIMBORAZO
MATERIA:
CONMUTACION Y RUTEO II
TEMA:
CONFIGURACIÓN BGP, FRAME RELAY E IPSEC
NOMBRE:
María Eugenia Serrano (514)
Mario Paguay (658)
SEMESTRE:
Octubre 2016 – Marzo 2017
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
OBJETIVOS
1.1 GENERAL
2.2 ESPECÍFÍCOS
Crear un proceso de enrutamiento dinámico, con el uso del protocolo IGP, para
generar la convergencia de los sistemas autónomos.
Configurar rutas de datos permanentes virtuales entre las agencias y la matriz, a
través de implementación de frame relay.
Brindar seguridad a los datos a transmitir como voz y video a través de tunnelling
IPsec y GRE.
Establecer procesos de enrutamiento de puerta de enlace de borde (BGP), para
generar la publicación de las rutas y lograr una comunicación entre sistemas
autónomos.
MARCO TEÓRICO
FRAME RELAY
Frame Relay proporciona mayor ancho de banda, fiabilidad y resistencia que las líneas
privadas o arrendadas. El uso de un ejemplo de una red de grandes empresas ayuda a
ilustrar los beneficios del uso de una WAN Frame Relay. En el ejemplo mostrado en la
figura, SPAN Engineering Company tiene cinco campus en Norteamérica. Al igual que la
mayoría de las organizaciones, los requisitos de ancho de banda de SPAN son variados.
[1]
1
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
Frame Relay toma los paquetes de datos de un protocolo de capa de red, como IPv4 o
IPv6, los encapsula como la porción de datos de una trama Frame Relay y luego pasa el
marco a la capa física para su entrega en el cable. Para entender cómo funciona esto,
es útil entender cómo se relaciona con los niveles inferiores del modelo OSI. [1]
Frame Relay encapsula los datos para el transporte y los mueve hacia abajo a la capa
física para la entrega, como se muestra en la Figura.
En primer lugar, Frame Relay acepta un paquete de un protocolo de capa de red, como
IPv4. A continuación, lo envuelve con un campo de dirección que contiene el DLCI y una
suma de comprobación. Los campos de indicador se añaden para indicar el comienzo y
el final del marco. Los campos de indicador marcan el inicio y el final del marco y son
siempre los mismos. Las banderas se representan ya sea como el número hexadecimal 7E
o como el número binario 01111110. Después de que el paquete se encapsula, Frame
Relay pasa el marco a la capa física para el transporte. [1]
DLCI - El DLCI de 10 bits es uno de los campos más importantes en el encabezado Frame
Relay. Este valor representa la conexión virtual entre el dispositivo DTE y el conmutador.
Cada conexión virtual que está multiplexada en el canal físico está representada por un
DLCI único. Los valores DLCI sólo tienen significado local, lo que significa que son únicos
en el canal físico en el que residen. Por lo tanto, los dispositivos en extremos opuestos de
una conexión pueden utilizar diferentes valores DLCI para referirse a la misma conexión
virtual. [1]
2
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
C / R - El bit que sigue al byte DLCI más significativo en el campo Dirección. El bit C / R no
está definido actualmente.
Dirección extendida (EA) - Si el valor del campo EA es 1, se determina que el byte actual
es el último octeto DLCI. Aunque las implementaciones de Frame Relay actuales utilizan
un DLCI de dos octetos, esta capacidad permite DLCIs más largos en el futuro. El octavo
bit de cada byte del campo Address indica el EA. [1]
La capa física es típicamente EIA / TIA-232, 449 o 530, V.35 o X.21. La trama Frame Relay
es un subconjunto del tipo de trama HDLC; Por lo tanto, está delimitado con campos de
bandera. El indicador de 1 byte utiliza el patrón de bits 01111110. El FCS determina si se
produjeron errores en el campo de dirección de Capa 2 durante la transmisión. El FCS se
calcula antes de la transmisión por el nodo emisor, y el resultado se inserta en el campo
FCS. En el extremo distante, se calcula un segundo valor FCS y se compara con el FCS en
el cuadro. Si los resultados son los mismos, se procesa la trama. Si hay una diferencia, el
marco se descarta. Frame Relay no notifica a la fuente cuando un marco se descarta. El
control de errores se deja a las capas superiores del modelo OSI. [1]
IPSEC
Los protocolos de IPsec actúan en la capa de red, la capa 3 del modelo OSI.Otros
protocolos de seguridad para Internet de uso extendido, como SSL, TLS y SSH operan de la
capa de transporte (capas OSI 4 a 7) hacia arriba. Esto hace que IPsec sea más flexible,
ya que puede ser utilizado para proteger protocolos de la capa 4, incluyendo TCP y UDP,
los protocolos de capa de transporte más usados. IPsec tiene una ventaja sobre SSL y
otros métodos que operan en capas superiores. Para que una aplicación pueda usar
IPsec no hay que hacer ningún cambio, mientras que para usar SSL y otros protocolos de
niveles superiores, las aplicaciones tienen que modificar su código. [2]
3
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
seguridad. La decisión final de los algoritmos de cifrado y autenticación (de una lista
definida) le corresponde al administrador de IPsec. [2]
Modos de funcionamiento
Modo transporte
En modo transporte, sólo la carga útil (los datos que se transfieren) del paquete IP es
cifrada y/o autenticada. El enrutamiento permanece intacto, ya que no se modifica ni se
cifra la cabecera IP; sin embargo, cuando se utiliza la cabecera de autenticación (AH),
las direcciones IP no pueden ser traducidas, ya que eso invalidaría el hash. Las capas de
transporte y aplicación están siempre aseguradas por un hash, de forma que no pueden
ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP
y UDP). El modo transporte se utiliza para comunicaciones ordenador a ordenador. [2]
Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definida por RFCs
que describen el mecanismo de NAT-T
El propósito de este modo es establecer una comunicación segura punto a punto, entre
dos hosts y sobre un canal inseguro.
Modo tunel
En el modo túnel, todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o
autenticado. Debe ser entonces encapsulado en un nuevo paquete IP para que
funcione el enrutamiento. El modo túnel se utiliza para comunicaciones red a red (túneles
seguros entre routers, p.e. para VPNs) o comunicaciones ordenador a red u ordenador a
ordenador sobre Internet. El propósito de este modo es establecer una comunicación
segura entre dos redes remotas sobre un canal inseguro. [2]
4
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
* next hdr Identifica cuál es el siguiente protocolo, es decir, cual es el protocolo que
será autentificado, cuál es el payload.
AH en Modo Transporte
5
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
Este proceso “de arrastre” se necesita para que el paquete original IP sea reconstituido
cuando llegue a su destino; cuando las cabeceras IPsec han sido validadas en el
receptor, se despojan las cabeceras IPsec y la carga a transmitir (TCP, UDP, etc) es
guardada nuevamente en la cabecera IP.
GRE
Características
Aunque IPsec proporciona un método seguro para el túnel de datos a través de una red
IP, tiene limitaciones. IPsec no admite la difusión IP o la multidifusión IP, lo que impide el
uso de protocolos que dependen de estas características, como los protocolos de
enrutamiento. IPsec también no admite el uso de tráfico multiprotocolo.
Generic Route Encapsulation (GRE) es un protocolo que puede utilizarse para "transportar"
otros protocolos de pasajeros, como la difusión IP o la multidifusión IP, así como los
protocolos no IP.
6
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
Con la solución p2p GRE over IPsec, todo el tráfico entre sitios se encapsula en un
paquete p2p GRE antes del proceso de encriptación, simplificando la lista de control de
acceso utilizada en las sentencias de mapas criptográficos. Los enunciados de mapa
criptográfico sólo necesitan una línea que permita GRE (Protocolo IP 47).
Elementos:
- Router Cisco c7200
DESARROLLO
7
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
2. Aplicamos OSPF como protocolo de enrutamiento con número de proceso 10, con
número de área 0 para el AS 1500.
8
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
5. Configuramos las DLCI en la nube Frame Relay de manera que cada una sea
diferente tanto en origen como destino.
9
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
10
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
11. Determinamos la clave de autenticación que en este caso es “cisco” y hacia el peer
al cual va dirigido, en este caso será la dirección 150.10.10.2 hacia R5 y 150.10.10.10
hacia R9 perteneciente a la sub interfaz de frame relay dirigida a R5, además se
configuramos lo que será la transformación de encriptaciones mediante crypto ipsec
transform-set <nombre> esp-3des esp-md5-hmac, con esto logramos que tenga
compatibilidad con otros métodos de encriptación.
11
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
12. Creamos una interfaz Tunnel que será útil para la implementación de GRE. Asignamos
una dirección diferente a la de la interfaz física, en este caso será 10.10.12.1 y será
dirigida hacia la dirección 150.10.10.2 perteneciente a R5. A si mismo se crea otra
interfaz Tunnel3 la cual será 10.10.13.1 y será dirigida hacia la dirección 150.10.10.10
perteneciente a R9
13. Configuramos access-lists para determinar que tráfico de GRE pasara encriptado por
la interfaz Tunnel2 y la interfaz Tunnel3 que son las direcciones del AS 1500 hacia las
del AS 2500 en un caso y el AS 3000 en el otro.
14. Creamos el crypto map que se trata de especificar tanto el par al que está
conectado, la transformación y las redes de ambas access-lists. Un crypto map
servirá para el AS 2500 y el otro al AS 3000 con ID diferentes.
12
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
15. Aplicamos el crypto map a las interfaces tanto físicas y las interfaces tunnel, la de ID
20 en este caso se aplicará en la interfaz s1/0.2 y la interfaz Tunnel2, mientras que la
de ID 30 se aplicará en la interfaz s1/0.3 y la interfaz Tunnel3.
13
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
14
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
15
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
18. Establecemos las vecindades EBGP y redes conectadas a la nube frame relay para
que pueda existir conectividad a través de toda la topología, pero las que se
definirán serán las vecindades y redes que se asignaron a las interfaces Tunnel de
cada uno de los enrutadores.
19. Verificamos que se hayan aprehendido todas las rutas de BGP externas en los
diferentes AS.
16
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
17
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
Como se puede observar en las figuras 29, 30 y 31, cada enrutador ha establecido un
proceso de ISAKMP identificando a sus peers respectivos de interface físicas, los
cuales a su vez fueron encapsulados en GRE con interfaces Tunnel respectivamente
por lo que el establecimiento de VPN a través de una Nube Frame Relay con IPSEC
and GRE se ha realizado satisfactoriamente
CONCLUSIONES
Frame Relay nos permite realizar conexión punto a punto, a pesar de tener menos
interfaces físicas, todo esto gracias a la creación de diferentes interfaces virtuales
encapsuladas en una interfaz real.
Mediante el uso de IPSEC, podemos establecer rutas y transmitir información de
manera segura ya que requiere autenticación de extremo a extremo con una
clave determinada por diseñador de red y que va encriptado por diferentes
algoritmos según se desee
GRE se plantea como una solución a la hora de implementar IPSEC y cuando sea
necesaria la utilización de algoritmos de enrutamiento, en este ejercicio GRE
permitió que se puedan comunicar los diferentes sistemas autónomos mediante
BGP.
RECOMENDACIONES
Se recomienda establecer solamente IBGPs antes de configurar IPSEC y GRE, pues
es primordial primero establecer las seguridades respectivas de la VPN y
posteriormente que sean publicadas las vecindades EBGP.
Es importante definir todas las operaciones de ISAKMP tales como claves,
encriptaciones y transformaciones para después aplicarlas en un mapa de
encriptación necesario para su aplicación en las respectivas interfaces.
Es necesario comprobar que los túneles funciones correctamente antes de aplicar
las seguridades de IPSEC sobre la interfaz ya que puede presentarse confusión al
determinar errores en caso de existirlos.
18
Ingenieria Electronica, Telecomunicaciones y redes
I N F O R M E D E P R Á C T I C A
BIBLIOGRAFIA
[1] Black, U. D. (1998). TCP/IP and Related Protocols: IPv4, Frame Relay, and ATM.
McGraw-Hill School Education Group.
[2] Doraswamy, N., & Harkins, D. (2003). IPSec: the new security standard for the
Internet, intranets, and virtual private networks. Prentice Hall Professional.
[3] Worster, T., Rekhter, Y., & Rosen, E. (2005). Encapsulating MPLS in IP or Generic
Routing Encapsulation (GRE) (No. RFC 4023).
19