sábado, 16 de enero de 2016

Recursos para estudiar.

Este sólo es un comentario al aire, muchos utilizan GNS3 para practicar, y se pueden utilizar muchos tipos de dispositivos, algunos son gratuitos, otros son restringidos, pero entre los gratuitos está un router Cisco 1000v, y que pueden utilizar para algunas pruebas.

Además hay otras opciones que están limitadas a empleados de Cisco,como IOU o IOL.

Pero si no son empleados, hay alternativas para utilizar IOL de manera legal, pueden pagar una licencia de VIRL anual de $79 USD con propósitos académicos que les permite similar una red, de una manera más completa que usar GNS3.

Explicado esto, si alguien que no es empleado de Cisco, pero tiene acceso al TAC de Cisco, y hace un laboratorio en GNS3, NO LLAMEN AL TAC para pedir ayuda.

  • La primera razón es que el TAC provee soporte breack & fix, es decir, funciona, deja de funcionar y el TAC lo arregla.
  • La segunda es que el software utilizado para correr en GNS3 no es legal, y se pueden meter en un problema.
  • Y la tercera es que el TAC no ayuda con 'laboratorios' o estudios, no dan clases, no enseñan, no son instructores.
Para eso existen los forus de ayuda, la documentación de los fabricantes, como las guías de configuración de Cisco y la bibliografía disponible.

Incluso, si no quieren comprar un libro de $80USD o más, hay opciones, como Safari Books,  que les da acceso a la gran mayoría de libros de Cisco Press por una memebresía anual.

viernes, 25 de diciembre de 2015

Licencias en Cisco IOS

Hay una pregunta muy frecuente que es hecha por usuarios tanto principiantes como expertos, ¿por qué mi router/switch no acepta el comando?

El IOS de Cisco comenzó en las versiones 8, saltó a la 12 y siguió su evolución hasta las presentes 15 y comienzan a salir algunas versiones 16. En esas primeras etapas, el almacenamiento y la memoria de ejecución eran limitadas por un tema principalmente económico, al abaratarse el almacenamiento y la memoria RAM, fue posible incluir mas características en una versión.

Con las versiones 12 se tenían licencias de diferentes niveles, cada una contenía un conjunto de diferentes tecnologías que el usuario podía utilizar, y que por tanto permitía que el dispositivo aceptara o no ciertos comandos que podían no estar incluídos en la versión.
Los diferentes niveles eran algo así:
  • IP Base
    • IP Voice
      • Advanced Security
      • SP Services
      • Enterprise Base
        • Advanced IP Services
        • Advanced Enterprise
          • Advanced Enterprise Services

Con las versiones 15, Cisco migró a un IOS versión Universal, lo que significa que el IOS contiene todos los comandos y tecnologías disponibles para esa plataforma en particular, pero que son activados o desactivados de acuerdo a la licencia instalada en el equipo.

Un ejemplo muy frecuente son los Switches Catalyst 4500 que utilizan software IOS XE, (lo que les permite ser equipos multiprocesador y ejecutar las funciones del equipo en procesos separados, lo cual les da una mayor estabilidad ante posibles fallas o errores). El IOS XE usualmente viene con licencias IP BASE, y por tanto al ejecutar EIGRP sólo se érmite el modo stub, lo que limita la funcionalidad del ruteo al comunicar sólo rutas locales, conectadas o sumarizadas en el router, y muy frecuentemente los usuarios creen que es un problema del equipo porque no reenvía información que recibió de otros vecinos.

Este pequeño inconveniente se resuelve adquiriendo e instalando la licencia de IP Services, o se puede hacer una solución parcial al utilizar un leak-map de EIGRP para permitir ciertas rutas.

Hay mucha información en Cisco sobre las licencias, como instalarlas, como utilizar versiones de prueba y como adquirirlas.

Pero a veces también es necesario saber, este router o switch ¿hacen lo que yo necesito? por ejemplo, ¿pueden correr FlexVPN?, ¿soportan túneles de GRE?. Para esto se puede utilizar el Feature Navigator, seleccionamos la plataforma, versión y licenciamiento que tenemos y nos dirá que tecnologías incluye; o al revés, seleccionamos la tecnología y nos dirá en que dispositivos se soporta, con que versiones y en que licenciamiento.

Un ejemplo de esto es el soporte de GRE, casi todos los usuarios dan por sentado que un dispositivo que tiene un comando tunnel es porque soporta túneles de GRE, pero en los switches 3750 no es una tecnología soportada, viene en el software, pero activarla podría causar problemas en el dispositivo.

Así que, utilicen también esta información para referencia cuando planeen una red, o cuando un problema de capacidad en los equipos se presente, no siempre es un tema de error en el hardware o software, también podría ser un tema de licencias o capacidades en los routers o switches.

martes, 17 de marzo de 2015

Servicios IP (network services)

De la lista de temas a evaluar en el examen de CCIE, tenemos los servicios IP (5.3 Network services), en este artículo veremos algunos, son temas muy extensos que sólo menciono brevemente porque es importante conocerlos, pero que no son tan importantes como para explorarlos a fondo; pero son configuraciones que se deben dominar, ya que son temas comunes en cualquier red, comenzaermos con una configuración básica de DHCP en el router Green2, configurando el ip helper address en el Green1 para poder asignarle una IP al router dhcp_client. Usaré la topología anterior, simulando un ISP que nos provee de conexión mediante MPLS entre el PE1 y el PE2, estando esta parte de la red "oculta" a nuestros routers de la VRF Green.
Los servicios son: DHCP, NTP, SNMP, Syslog, WCCP, Netflow, Cisco IOS Embedded Event Manager, Remote Monitoring, FTP, TFTP y SCP en un router, acceso http, https, telnet y ssh, y por último IP SLA.

DHCP

Primero en dhcp_client desactivamos el ruteo (para simular un host), habilitamos un puerto con la configuración de cliente de dhcp, configuramos el router con el ip helper, es decir, le indicamos la dirección IP que tiene el servicio de DHCP, en este caso es la loopback 100 del router Green2, y en este último configuramos el servicio de DHCP, indicando la red,  el default gateway que se debe asignar a los clientes, así como el dominio y el servidor de DNS; es importante también configurar las direcciones IP que no queremos que sean asignadas con este servicio:
documento en cisco.com

DHCP_client#

no  ip routing
!
interface Ethernet0/1
 ip address dhcp
 no ip route-cache

martes, 10 de marzo de 2015

Configuración de MPLS parte 4, ruteo entre ISP (PE) y cliente (CE)

Ya que hicimos las VRF para cada cliente y sus correspondientes etiquetas, así como la comunicación entre los diferentes PE, haremos la comunicación de las rutas entre el cliente y el ISP, y la correspondiente redistribución hacia mBGP a fin de propagar las rutas entre los sitios del cliente.

Ambos clientes tienen las mismas redes a fin de demostrar que las VRF hacen posible el escenario entre clientes; por lo que utilizaremos loopback interfaces diferentes en cada router y las asignaremos  a diferentes protocolos de ruteo, probando así que existe la separación.


Desde del lado del cliente no hay nada especial:

blue1#sh runn | beg router
router eigrp 10
 network 10.11.0.0 0.0.0.7
 network 11.0.0.1 0.0.0.0
!
router ospf 10
 network 10.11.0.0 0.0.0.7 area 0
 network 11.0.0.2 0.0.0.0 area 1
!
router rip
 version 2
 passive-interface default
 no passive-interface Ethernet0/0
 no passive-interface Loopback103
 network 10.0.0.0
 network 11.0.0.0
 no auto-summary

lunes, 9 de marzo de 2015

Configuración de MPLS parte 3, las VRF

Comenzaremos con una breve explicación de qué es una VRF, y como las identificamos.
Una VRF (virtual routing and forwarding) es una instancia virtual y separada de la instancia global de ruteo en el dispositivo; es decir, es casi como tener un segundo router corriendo sus propios procesos de ruteo, independientes de cualquier otro presente en el dispositivo.

El uso más común y que simularemos en el ejemplo, es el que los proveedores de servicio utilizan para conectar a sus clientes con MPLS, configurando redes privadas virtuales que separan el tráfico de los clientes en instancias separadas de los demás clientes por medio de las etiquetas de ruteo. los routers que tenemos dentro del ISP les llamaremos P (provider), a los del borde de la red del ISP les llamaremos PE (provider edge) a los del cliente CE (customer edge)

Esta separación se logra con la configuración de la VRF primero, declarando su nombre, y después utilizando etiquetas para poder separar esa información de los demás procesos. Dichas etiquetas son muy parecidas a las que utilizamos en LDP para MPLS, pero en este ejemplo utilizaremos el formato "extendido". Dichas etiquetas son utilizadas en el encabezado de las rutas, por lo que cualquier vecino de mBGP que reciba dichas rutas etiquetadas podrá instalarlas en sus propias VRF conforme a lo que se le indica en la configuración.

Entre otros beneficios, tener una VRF nos permite la duplicación de direcciones IP entre diferentes clientes, es decir, podríamos tener a dos clientes diferentes utilizando las redes 10.0.0.0/16 sin problemas, ya que las rutas se procesas basadas en las etiquetas.

Basados en estas etiquetas indicaremos cuál es la que identifica localmente a nuestra VRF y compartiremos dicha información con nuestro vecino de mBGP , comunicando así que por ejemplo, la VRF X está dentificada por el Route Distinguisher Y:Z, y que necesitamos que exporte esa información hacia mBGP y que desde ahí importe las etiquetas que necesitamos para comunicar dos sitios de un mismo cliente. También agregaremos una familia de direcciones a BGP que comunique el ruteo entre ambos PE para la VRF de cada cliente.

Cuando activamos una nueva instancia o VRF, el router puede ejecutar sus propios procesos de BGP, OSPF, RIP, ISIS, etc. y los utilizaremos para intercambiar rutas entre el cliente y el ISP, logrando que el cliente nos entregue la información de sus redes y nosotros la llevemos a los demás sitios del mismo cliente, estableciendo así una red privada con comunicación basada en MPLS. También indicaremos en cada interface a que VRF queremos que pertenezca.

IMPORTANTE: cuando asignas una interface a una VRF, se borra la configuración de la interface y deberemos volver a indicar la IP y demás características deseadas en dicho puerto.



Los routers P (2, 3 y 4) no requieren configuración adicional.

Ejemplo de los routers PE con dos clientes, las compañías blue y green que tienen un sitio cada una conectados ambos al PE 1, y dos sitios conectados al PE2: