1 ccnp. red de la universidat de valència: algunas particularidades. jose miguel femenia herrero...
TRANSCRIPT
1
CCNP. Red de la Universidat de València: algunas particularidades.
Jose Miguel Femenia HerreroServei d’Informàtica
2
Agenda Descripción de la red de la
Universitat de València. Routing IP en la Universitat de
València. Local Area Mobility Tuneles ADSL NTP y gestión de logs
3
Red Universitat de València
Tres campus (Burjassot, Blasco Ibáñez y Naranjos) y unos 14 centros mas pequeños. Conexiones centradas en Burjassot y Naranjos.
Protocolos enrutados: TCP/IP y Appletalk. Dentro de algunas VLANs funcionan otros protocolos (DECNET).
Los tres campus se unen por líneas ATM sobre SONET/SDH de 155 Mb/s; uso de LAN Emulation
Centros pequeños conectados por: Líneas de 2 Mb/s o 512 Kb/s centradas en Naranjos (por distancia) Accesos RDSI básicos (2B+D) centrados en Burjassot con tarifa
plana (Novacom Multiplan) Conexiones ADSL+Túneles.
Mas de 11.000 hosts conectados, 13000 direcciones IP. Nodo regional (POP, Point Of Presence) de RedIRIS en la comunidad
valenciana.
4
Red Universitat de València
CampusBurjassot
CampusBlasco Ibáñez
IVEF(Cheste)
ADEITPza. Ayto.
ADEITPatriarca
CIDE(Albal)
Esc. Empresar.(Onteniente)
DepartamentoFisioterapia
EscuelaFisioterapia
Serv. Normaliz.Lingüística
Serv. Extens.Universitaria
CampusNaranjos
Edif. HistóricoC/Nave
Col. MayorRector Peset
INTRAS(Inst. Tráfico)
JardínBotánico
Servicio Form.Permanente
EscuelaMagisterio
ADSL/Tuneles
p. a p. 155 Mb/sp. a p. 2 Mb/sp. a p. 512 Kb/s
LAN inalámbrica802.11 (11 Mb/s)
RDSI
5
Red Universitat de València
ADSL-RDSI
Burjassot Naranjos
BlascoIbáñez
RedIRIS RedIRIS Madrid
6
Red Universitat de València Cableado estructurado en prácticamente toda la
universidad Entre edificios: fibra óptica multimodo y monomodo Cableado vertical: fibra óptica multimodo y cable UTP-5/5E Cableado horizontal: cable UTP-5/5E
Redes Ethernet conmutadas en todos los centros. Entre edificios: Gigabit Ethernet f.d. o Fast Ethernet f.d. Entre armarios de un mismo edificio: GE o FE Puerto de usuario:
100BASE-T dedicado (conmutadores 10/100 Mb) 10BASE-T dedicado (conmutadores 10 Mb) 10BASE-T compartido (hubs)
Múltiples VLANs (Virtual LANs) por campus.
7
Red Universitat de València
8
Red Universitat de València
LS1010
LS1010
LS1010
C5513
RSM
4700
2500
72022500
C5000
C5000
C5000
C5000
C5505
4912
4912 4912 4912
3524
3524 3524
3524
1924
1924
1924
1924
3524
3524
1924
7202
2948
2503
3524 ATM 622 MbpsATM 155 MbpsGigabit 1000 MbpsFastEthernet 100 Mbps
Serie 2 MbpsRDSI 2x64 Kbps
1924
Burjassot
Blasco Ibáñez
Naranjos
9
Red Universitat de València Protocolo de routing EIGRP (AS 65432) Routers en alta disponibilidad mediante HSRP (Hot Standby
Routing Protocol), protocolo propietario de cisco DNS primario y secundario Servidores Web proxy/cache regionales. Uso obligado para los
usuarios de la Universidad de Valencia Correo electrónico (profesores y alumnos) Servidores web; hosting de páginas personales Noticias (NetNews) NTP (Network Time Protocol) Asignación de direcciones IP mediante BOOTP Gestión de la red mediante SNMP Acceso remoto por RTC/RDSI Servicio experimental de VPN para acceso remoto desde ISPs
10
Red Universitat de València Abarca los tres campus principales Uso de LAN Emulation para transporte de tráfico LAN
independiente de protocolo. Posibilidad de extender VLANs entre varios campus
Uso de IP over ATM en algunos servidores Alta fiabilidad:
Red mallada (anillo entre los tres campus) Routing ATM por PNNI Soporte de SVCs
Telefonía sobre ATM (emulación de circuitos E1) Red de alta disponibilidad (operativa 99,99% del
tiempo) en la parte troncal (parte ATM y enlaces IP entre campus).
11
Niveles de redundancia Redundancia L1:
Doble alimentación eléctrica Dobles lineas troncales de fibra: mallado. Dobles funciones en los dispositivos, cuando ello
es posible: servidores LANE, ARPserver. Redundancia L2:
Spanning Tree Ethernet Routing ATM: SVC + PNNI
Redundancia L3: EIGRP HSRP - VRRP (Virtual RouterRedundancy Protocol)
12
Red Universitat de València
ATM1/
0.5
147.
156.
208.
1
gordius taronro
cisco blasro
ATM0/0.5147.156.200.73
ATM1/0.1147.156.200.74
ATM1/0.3147.156.200.81
ATM1/0.3147.156.200.82
ATM1/0.1147.156.200.66
147.156.200.72255.255.255.252
Vlan filologia147.156.164.0255.255.252.0
147.156.200.68255.255.255.252
147.156.200.84255.255.255.252
147.156.200.64255.255.255.252
147.156.200.76255.255.255.252
ATM1/0.4147.156.200.69ATM0.21
147.156.200.70
ATM0/0.2147.156.200.65
ATM0.20
147.156.200.78
ATM1/0.4
147.156.200.77
ATM0.19147.156.200.86
ATM0/0.4147.156.200.85
Vlan oriental147.156.208.0255.255.248.0Vlan institutos-i
147.156.160.0255.255.252.0
Vlan5147.156.160.1
ATM1/0.5147.156.164.1
Vlan campus147.156.0.0255.255.128.0
Vlan2
147.
156.
1.35
ATM0.1
147.156.1.174
Vlan aulastarongers147.156.128.0255.255.252.0
ATM1/0.6
147.156.128.1
Vlan quifis147.156.132.0255.255.255.0
Vlan12
147.156.132.1
Vlan decanatos147.156.141.0255.255.255.0
Vla
n81
47.15
6.141.1
147.156.200.80255.255.255.252
Vlan iata193.145.246.0255.255.255.0 Vlan4
193.145.246.2
Vlan caches192.187.17.128255.255.255.240
Vlan
1519
2.18
7.17
.129
Vlan central147.156.192.0255.255.252.0
AT
M1/0.7
147
.156.19
2.1
Vlan bibtaron147.156.188.0255.255.252.0
ATM
1/0.8
147.156.188.1
Vlan blasur147.156.168.0255.255.248.0
ATM1/0.6147.156.168.1
Vlan blanor147.156.148.80 255.255.255.240147.156.184.1 255.255.252.0147.156.176.1 255.255.248.0193.146.183.80 255.255.255.192
AT
M1/0.7
147.15
6.148.81
147.15
6.184.1
147.15
6.176.1
193.14
6.183.188
Vlan10
147.156.188.21
3
Vlan13
147.156.192.11
Vlan14
147.156.208.61
Vlan6147.156.128.21
9
Vlan9
147.156.148.87
147.156.184.39
147.156.176.95
Vlan11147.156.164.83
Vlan7147.156.168.44
ATM1/0.9
147.156.1.149
ATM1/0.8147.156.1.155
Vlan odontologia147.156.138.0255.255.255.0
ATM1/0.9
147.156.138.1
Vlan16147.156.138.17
Vlan bibcien147.156.139.0255.255.255.0
Vlan17
147.156.139.1
Vlan deportes147.156.145.0255.255.255.0
ATM1/0.10
147.156.145.1
Vlan18
147.156.145.24
sendaro
Senda147.156.196.0 255.255.254.0Sestud147.156.149.128 255.255.255.128
FA0/0147.156.196.2147.156.149.129
147.156.200.100255.255.255.252
AT
M2/
0.2
147.
156.
200.
94
AT
M0/
0.3
147.
156.
200.
93
147.156.200.92255.255.255.252
ATM2/
0.4
147.
156.
200.
102
ATM0.23147.156.200.101
ATM2/0.3147.156.1.188
147.156.200.104255.255.255.252ATM2/0.5
147.156.200.106
ATM1/
0.11
147.
156.
200.
105
13
Red Universitat de València: conexiones exteriores
eb-valencia(Juniper M40)
sw-valencia1
ATM OC3atm0/0/0
ciatm
gordius
ATM OC3atm0
atm3/0/3
ATM OC3atm0/0/2atm0/1/3
taronatm
ATM OC3atm4/1/0atm1/1/0
ATM OC3atm0/0/0
sw.upv.es
atlas.upv.es
ATM E3atm0/3/1
uv1 225
uv1 255
uv-upv0 99
uv-upv0 99
atm?/?:130.206.211.181/30atm0/0.6:130.206.211.182/30
192.168.1.1/24192.168.1.2/24
atm
0/0/
3
GIGACOM(backup)
SDH MADRIDSTM-1
Version 11-4-2002
uv-upv0 99
14
FF FA FC
gordiusESI 0050.0F50.5C00
FF FE FD EB
ciscoESI 0060.3E99.7E39
ciatm
FA
FE
EB
FCFDFB
FAFEFB
EB
FC FD FB
blasatm
taronroESI 0050.2A52.6008
blasroESI 0050.2A52.5C08
FB
taronatm
antartidaESI 0030.B652.4808
ciatm2
Conexiones SVC ATM
15
Routing IP en la UV. Basado en EIGRP
118 subredes, 12 mascaras distintas. Convergencia muy rápida. Todos los routers son Cisco AS 65432 Retoque de la metrica para admitir las rutas LAM Control del número de vecinos (passive-
interface). Control de la instalación de rutas mediante
¨delay¨ en los interfaces. Futura redistribución en IS-IS para la conexión
con RedIRIS.
16
EIGRP: selección de rutas. Problema: El HSRP obliga a
disponer de dos caminos para alcanzar una misma red.
17
EIGRP: selección de rutas
Ante una misma métrica: balance de carga entre R3 y R2
Puede ser más conveniente usar e0/1 de R3 y no cargar R4 salvo fallo de R3
18
EIGRP: selección de rutas
Soluciónes:- Cambiar la distancia administrativa:
Puede provocar bucles y no se propaga a otros routers.- Cambiar el delay en e0/1 de R4:
Solución recomendada. Se propaga en el routing.El único inconveniente es que no afecta
localmente al tráfico en R4: las conexiones directas siempre tienen menor distancia administrativa
19
Local Area Mobility (LAM) Problema:
Permitir a un host con una dirección estática IP asignada en una subred moverse a otra subred sin perder conectividad y sin necesidad de reconfigurar el TCP/IP
Limitado al entorno de la red corporativa.
No recurrir a tunelización ni a cambios de direcciones IP dinámicas por DHCP
20
LAM
21
LAM Solución propietaria de Cisco. Particularmente útil para permitir la
movilidad de máquinas dentro de una red de empresa o campus.
Necesita de un protocolo de routing: Soportados: EIGRP, OSPF, IS-IS, RIPv2
Implementa algunos mecanismos de seguridad.
22
LAM. Funcionamiento. El interface del router configurado para LAM
escucha en su subred buscando tráfico que se origina en máquinas directamente conectadas que no pertenecen a su subred local IP.
Cuando ve un tráfico originado localmente que proviene de un host cuya dirección IP y máscara no casan con las de su interfaz local, el router instala una entrada ARP para este host móvil, y a su vez, instala en el protocolo de routing una ruta de host hacia ese interface.
23
LAM. Funcionamiento Si esta configurado, el proceso de routing
distribuye esta ruta hosts, de forma que el resto de dominio de routing la aprenda.
La ruta de host siempre tienen mayor prioridad que el resto: siempre se prefiere la ruta más específica a la más general.
Los hosts en la misma subred envian el tráfico al host móvil mediante el mecanismo de “proxy ARP”.
24
LAM. Funcionamiento El mismo mecanismo de proxy-ARP
permite al host móvil encontrar su “default gateway”
Es necesario que el host móvil genere tráfico IP para activar el mecanismo LAM.
Las entradas ARP móviles así como las rutas host caducan con unos parámetros de tiempo ajustable.
Sólo se soporta en interfaces Ethernet, Token Ring, FDDI (y VLAN de RSM)
25
LAM. Funcionamiento.
26
LAM. Configuración.
interface Ethernet0 description conexion a la ethernet local ip address 147.156.157.1 255.255.255.0 ip helper-address 147.156.1.38 ip mobile arp timers 5 10 access-group 98!router eigrp 65432 redistribute connected redistribute static redistribute mobile passive-interface Ethernet0 passive-interface Serial1 network 147.156.0.0 default-metric 80 70 60 70 100 eigrp log-neighbor-changes!access-list 98 permit 147.156.135.0 0.0.0.255
27
LAM. Rutas.
D EX 147.156.135.158/32 [90/32020480] via 147.156.200.142, 02:59:32, Vlan2D EX 147.156.135.169/32 [90/32020480] via 147.156.200.142, 10:03:01, Vlan2C 147.156.135.0/24 is directly connected, Vlan20D EX 147.156.135.6/32 [90/32027136] via 147.156.200.86, 02:53:15, ATM0/0.4M 147.156.135.26/32 [180/1] via 147.156.135.26, 01:11:13, Vlan27D EX 147.156.135.16/32 [90/32020480] via 147.156.200.142, 01:44:34, Vlan2M 147.156.135.58/32 [180/1] via 147.156.135.58, 07:16:10, Vlan33M 147.156.135.62/32 [180/1] via 147.156.135.62, 09:26:58, Vlan5D EX 147.156.135.55/32 [90/32020480] via 147.156.200.142, 08:33:36, Vlan2M 147.156.135.74/32 [180/1] via 147.156.135.74, 00:03:35, Vlan5M 147.156.135.79/32 [180/1] via 147.156.135.79, 03:53:36, Vlan5D EX 147.156.135.84/32 [90/32020480] via 147.156.200.142, 08:26:12, Vlan2M 147.156.135.86/32 [180/1] via 147.156.135.86, 08:41:54, Vlan5D EX 147.156.135.104/32 [90/32020480] via 147.156.200.142, 02:23:43, Vlan2
28
LAM. Inconvenientes.
147.156.135.22
A 147.156.0.0/16 por AA 152.48.0.0/16 por D
A 147.156.135.22/32 por D
A
D
CB
Internet
A 147.156.0.0/16 por AA 152.48.0.0/16 por D
Red 147.156.0.0/16
Red 152.48.0.0/16
Ping 147.156.135.22
A 147.156.135.22/32 por E0
A 147.156.135.22/32 por B
•Ofrece transparencia y portabilidad, pero no movilidad. No mantiene sesiones•No requiere cambios de software en los hosts, solo en los routers•Requiere propagar rutas host por toda la red•Convergencia lenta•Difícil realizar agregación de rutas•Problemas de escalabilidad
X
Y
29
LAM. Evolución
Mobile IP RFC 2002, 2003, 2004, 2005, 2006
30
Túneles sobre líneas ADSL Los centros remotos disponen de
redes locales de escaso número de hosts.
Históricamente conectadas mediante RDSI básicos: 2x64kbp
Los RDSI funcionaban de hecho como líneas punto a punto: Retrollamada para aprovechar las
ofertas de la compañía telefónica.
31
Túneles ADSL. Historia Situación historica:
Los centros remotos tienen un subred, normalmente de hasta 254 hosts.
Disponian de un router Cisco 2503 con interfaces Ethernet para la conexión local y RDSI como conexión WAN
Activaban el segundo canal bajo demanda de carga. Las RDSI básicas se agregaban llamando a una línea
RDSI primaria (30B +D) conectada a un router Cisco 4700.
Se usaba PPP con CHAP y comprobación del número llamante para identificación.
32
Túneles ADSL. Historia
33
Túneles ADSL Este año se sustituyen las líneas RDSI por
líneas ADSL con anchos de banda máximos de 2 Mbps/300 Kbps Solución más barata y con mayores
prestaciones, aunque no aseguradas. Se usan routers Cisco 827-4v para la
conexión ADSL en el centro remoto: 1 ethernet para la conexión a la LAN 1 interface ADSL para la conexión a la WAN
(Internet, en este caso) 4 interfaces de voz analógicos, para uso de VoIP
34
ADSL.
Switchtelefónico
Redtelefónicaanalógica
Internet
DSLAM(ATU-C)
Splitter
Teléfonosanalógicos
ModemADSL
(ATU-R)
Bucle deAbonado
(5,5 Km máx.)
Ordenador
AltasFrecuencias
BajasFrecuencias
Central Telefónica Domicilio del abonado
Splitter
DSLAM: DSL Access MultiplexorATU-C: ADSL Transmission Unit - CentralATU-R: ADSL Transmission Unit - Remote
35
ADSL. Central telefónica
Red ATM
Internet
Redtelefónica
DS
LA
M ConmutadorATM
Conmutadortelefónico
Central telefónica
ISP
OficinaPrincipal dela EmpresaHogar
PequeñaOficina
Splitter
36
ADSL El proveedor de acceso ADSL suele ser
el proveedor de acceso a Internet (ISP) Cada conexión ADSL lleva asociada una
dirección IP pública. Dos tipos de conexiones locales:
Monopuesto: un solo ordenador con la dirección IP global.
Multipuesto: una LAN local con direcciones privadas y conexión a Internet mediante NAT con la dirección IP pública.
37
ADSL “monopuesto”
Internet
RouterADSL
(ATU-R)
Direccionamiento privado
ADSLADSL
213.213.13.13
147.156.1.1
38
ADSL “multipuesto”
Internet
RouterADSL
(ATU-R)213.213.13.13
ADSLADSL
192.168.1.12 147.156.1.1
LAN
NAT
192.168.1.15
39
ADSL. Problema del acceso a la LAN remota
147.156.138.22
A 147.156.0.0/16 por A
A
E
CBInternet
A 147.156.0.0/16 por A
Red 147.156.0.0/16
Red 147.156.138.0/24
X
Y
D
213.213.13.13
Ping 147.156.138.22
NAT
ADSL
Los router de Internet sólo conocen la ruta a 147.156.0.0/16 y no tenemos control de routing sobre ellos.
Nos obligamos a usar NAT para la salida de la LAN remota.
40
ADSL. Solución túnel
147.156.138.22
A 147.156.0.0/16 por A
A
E
CBInternet
A 147.156.0.0/16 por A
Red 147.156.0.0/16
Red 147.156.138.0/24
X
Y
D
213.213.13.13
Ping 147.156.138.22
ADSL
Se crea un túnel IPIP entre A y la dirección pública de E. No usamos NAT. El túnel simula una conexión punto a punto.
A 147.156.138.0/16 por E
Túnel
41
ADSL. Solución túnel
147.156.138.22
A 147.156.0.0/16 por A
A
E
CBInternet
Red 147.156.0.0/16
Red 147.156.138.0/24
Y
D
213.213.13.13
Ping 147.156.138.22
ADSL
Camino tunelizado
A 147.156.138.0/16 por E
Túnel147.156.1.71
Camino real
42
ADSL. Solución túnel
147.156.138.22
A 147.156.0.0/16 por A
A
E
CBInternet
A 147.156.0.0/16 por A
Red 147.156.0.0/16
Red 147.156.138.0/24
X
Y
D
213.213.13.13
Ping 147.156.138.22
ADSL
Camino tunelizado
A 147.156.138.0/16 por E
Túnel
Camino real
43
Túneles ADSL Ventajas:
No usa NAT Permite un control de acceso en el router principal de
acceso a la red corporativa. Permite el uso de encriptación VPN El direccionamiento es el propio de la red corporativa.
Inconvenientes: El tráfico pasa en dos sentidos por algunos enlaces. No se dispone de control sobre la calidad del enlacen en
Internet: problemático en casos como el uso de VoIP El ancho de banda no esta asegurado:
Factor ADSL Factor Internet
44
ADSL: túneles
gordius
147.156.200.149
Tunnel1 147.156.200.148/255.255.255.252 Joan Rogla147.156.159.0/255.255.255.192
80.24.166.172963692769
Tunnel2 147.156.200.152/255.255.255.252 Ontinyent147.156.154.0/255.255.255.0
213.96.92.252962387188
Tunnel3 147.156.200.156/255.255.255.252 Cheste/FCAFE147.156.156.0/255.255.255.0
213.96.70.106962511411
147.156.200.153
147.156.200.157
Tunnel4 147.156.200.160/255.255.255.252 GCivil22/Fisioterapia147.156.144.0/255.255.255.0
213.96.70.120963610809
147.156.200.161
Tunnel5 147.156.200.164/255.255.255.252 GCivil23/Fisioterapia147.156.137.0/255.255.255.0
147.156.200.165
213.96.77.113963934208
147.156.148.113
147.156.148.113
147.156.148.113
147.156.148.113
147.156.148.113
45
NTP Network Time Protocol
Permite la sincronización de los relojes de los ordenadores y dispositivos de comunicaciones en una red TCP/IP
Dinámico, estable y redundante. Permite precisiones del orden de 1 milisegundo. RFC 958, 1305 Obtiene el reloj de referencia de distintos dispositivos:
GPS Relojes patrón atómicos radio (WWV, DCF)
Se distribuye por servidores jerárquicos organizados por “stratums”
Es muy eficiiente: 1 paquete por minuto permite sincronizar dos equipos con 1 milisegundo de diferencia máximo.
46
NTP. Asociaciaciones Modos
Server Client Peer Broadcast/Multicast
Seguridad Mecanismos para evitar la sincronización a
dispositivos con tiempo que no sea muy preciso.
Clave de autentificación y listas de acceso.
47
NTP. Ejemplo
48
NTP. Configuración.
clock timezone SST 8!access-list 5 permit 192.36.143.150access-list 5 permit 169.223.50.14access-list 5 deny any!ntp authentication-key 1234 md5 104D000A0618 7ntp authenticatentp trusted-key 1234ntp source Loopback0ntp access-group peer 5ntp update-calendarntp server 192.36.143.150ntp peer 169.223.50.14!
El NTP es indispensable para mantener todos logs sincronizados
49
Logging Logging
Es necesario mantener un histórico de logs de los distintos routers
Los logs deben almacenarse un una o dos maquinas mediante syslog.
Los logs deben estar sincronizados. El timestamp debe ser legible. Es necesario que lleven un origen claro, que
permita discernir de que dispositivo provienen.
50
Logging. Configuración.
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
!
logging source-interface loopback0
logging facility local0
logging 147.156.1.12
!
51
Bibliografía
http://www.cisco.com/warp/public/cc/pd/iosw/ioft/lam/tech/lamso_wp.htm
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat5000/rel_5_5/sw_cfg/ntp.htm
52
Gracias por su atención¿Preguntas?