520 likes | 778 Views
Jose Miguel Femenia Herrero Servei d’Informàtica jose.m.femenia@uv.es. CCNP. Red de la Universidat de Val ència: algunas particularidades. Agenda. Descripción de la red de la Universitat de València. Routing IP en la Universitat de València. Local Area Mobility Tuneles ADSL
E N D
Jose Miguel Femenia Herrero Servei d’Informàtica jose.m.femenia@uv.es CCNP. Red de la Universidat de València: algunas particularidades.
Agenda • Descripción de la red de la Universitat de València. • Routing IP en la Universitat de València. • Local Area Mobility • Tuneles ADSL • NTP y gestión de logs
Red Universitat de València • Tres campus (Burjassot, Blasco Ibáñez y Naranjos) y unos 14 centros mas pequeños. Conexiones centradas en Burjassot y Naranjos. • Protocolos enrutados: TCP/IP y Appletalk. Dentro de algunas VLANs funcionan otros protocolos (DECNET). • Los tres campus se unen por líneas ATM sobre SONET/SDH de 155 Mb/s; uso de LAN Emulation • Centros pequeños conectados por: • Líneas de 2 Mb/s o 512 Kb/s centradas en Naranjos (por distancia) • Accesos RDSI básicos (2B+D) centrados en Burjassot con tarifa plana (Novacom Multiplan) • Conexiones ADSL+Túneles. • Mas de 11.000 hosts conectados, 13000 direcciones IP. • Nodo regional (POP, Point Of Presence) de RedIRIS en la comunidad valenciana.
CIDE (Albal) Red Universitat de València RDSI Campus Burjassot Campus Naranjos Escuela Magisterio Campus Blasco Ibáñez ADSL/Tuneles Edif. Histórico C/Nave Jardín Botánico Escuela Fisioterapia Col. Mayor Rector Peset Serv. Normaliz. Lingüística Esc. Empresar. (Onteniente) Departamento Fisioterapia Servicio Form. Permanente ADEIT Pza. Ayto. INTRAS (Inst. Tráfico) Serv. Extens. Universitaria IVEF (Cheste) ADEIT Patriarca p. a p. 155 Mb/s p. a p. 2 Mb/s LAN inalámbrica 802.11 (11 Mb/s) p. a p. 512 Kb/s
Red Universitat de València RedIRIS RedIRIS Madrid Burjassot Naranjos ADSL-RDSI Blasco Ibáñez
Red Universitat de València • Cableado estructurado en prácticamente toda la universidad • Entre edificios: fibra óptica multimodo y monomodo • Cableado vertical: fibra óptica multimodo y cable UTP-5/5E • Cableado horizontal: cable UTP-5/5E • Redes Ethernet conmutadas en todos los centros. • Entre edificios: Gigabit Ethernet f.d. o Fast Ethernet f.d. • Entre armarios de un mismo edificio: GE o FE • Puerto de usuario: • 100BASE-T dedicado (conmutadores 10/100 Mb) • 10BASE-T dedicado (conmutadores 10 Mb) • 10BASE-T compartido (hubs) • Múltiples VLANs (Virtual LANs) por campus.
Red Universitat de València 2500 2503 2500 7202 4700 C5000 C5000 C5000 LS1010 LS1010 Naranjos 3524 C5513 1924 4912 3524 C5505 3524 RSM C5000 1924 LS1010 3524 4912 4912 4912 1924 7202 1924 RDSI 2x64 Kbps Blasco Ibáñez 2948 3524 3524 1924 Serie 2 Mbps ATM 622 Mbps 3524 ATM 155 Mbps Gigabit 1000 Mbps Burjassot 1924 FastEthernet 100 Mbps
Red Universitat de València • Protocolo de routing EIGRP (AS 65432) • Routers en alta disponibilidad mediante HSRP (Hot Standby Routing Protocol), protocolo propietario de cisco • DNS primario y secundario • Servidores Web proxy/cache regionales. Uso obligado para los usuarios de la Universidad de Valencia • Correo electrónico (profesores y alumnos) • Servidores web; hosting de páginas personales • Noticias (NetNews) • NTP (Network Time Protocol) • Asignación de direcciones IP mediante BOOTP • Gestión de la red mediante SNMP • Acceso remoto por RTC/RDSI • Servicio experimental de VPN para acceso remoto desde ISPs
Red Universitat de València • Abarca los tres campus principales • Uso de LAN Emulation para transporte de tráfico LAN independiente de protocolo. Posibilidad de extender VLANs entre varios campus • Uso de IP over ATM en algunos servidores • Alta fiabilidad: • Red mallada (anillo entre los tres campus) • Routing ATM por PNNI • Soporte de SVCs • Telefonía sobre ATM (emulación de circuitos E1) • Red de alta disponibilidad (operativa 99,99% del tiempo) en la parte troncal (parte ATM y enlaces IP entre campus).
Niveles de redundancia • Redundancia L1: • Doble alimentación eléctrica • Dobles lineas troncales de fibra: mallado. • Dobles funciones en los dispositivos, cuando ello es posible: servidores LANE, ARPserver. • Redundancia L2: • Spanning Tree Ethernet • Routing ATM: SVC + PNNI • Redundancia L3: • EIGRP • HSRP - VRRP (Virtual RouterRedundancy Protocol)
Vlan oriental 147.156.208.0 255.255.248.0 Vlan8 147.156.141.1 Vlan13 147.156.192.11 ATM1/0.5 147.156.208.1 ATM1/0.7 147.156.192.1 Vlan15 192.187.17.129 Vlan10 147.156.188.213 Vlan14 147.156.208.61 ATM1/0.8 147.156.188.1 Vlan12 147.156.132.1 Vlan5 147.156.160.1 Vlan6 147.156.128.219 ATM1/0.1 147.156.200.74 Vlan4 193.145.246.2 Vlan17 147.156.139.1 ATM0/0.5 147.156.200.73 ATM1/0.6 147.156.128.1 ATM1/0.9 147.156.1.149 gordius taronro 147.156.200.72 255.255.255.252 Vlan2 147.156.1.35 ATM1/0.4 147.156.200.77 ATM0/0.4 147.156.200.85 ATM1/0.3 147.156.200.81 ATM0/0.2 147.156.200.65 ATM1/0.11 147.156.200.105 ATM0/0.3 147.156.200.93 147.156.200.64 255.255.255.252 147.156.200.76 255.255.255.252 Vlan quifis 147.156.132.0 255.255.255.0 Vlan central 147.156.192.0 255.255.252.0 Vlan bibtaron 147.156.188.0 255.255.252.0 Vlan campus 147.156.0.0 255.255.128.0 Vlan caches 192.187.17.128 255.255.255.240 Vlan decanatos 147.156.141.0 255.255.255.0 Vlan odontologia 147.156.138.0 255.255.255.0 Vlan bibcien 147.156.139.0 255.255.255.0 Vlan aulastarongers 147.156.128.0 255.255.252.0 Vlan deportes 147.156.145.0 255.255.255.0 Vlan blasur 147.156.168.0 255.255.248.0 Vlan institutos-i 147.156.160.0 255.255.252.0 Vlan iata 193.145.246.0 255.255.255.0 Vlan18 147.156.145.24 147.156.200.84 255.255.255.252 147.156.200.80 255.255.255.252 Vlan16 147.156.138.17 Vlan7 147.156.168.44 ATM0.20 147.156.200.78 ATM1/0.1 147.156.200.66 ATM0.19 147.156.200.86 ATM1/0.3 147.156.200.82 ATM0.1 147.156.1.174 Vlan11 147.156.164.83 ATM1/0.9 147.156.138.1 ATM1/0.8 147.156.1.155 147.156.200.100 255.255.255.252 147.156.200.104 255.255.255.252 147.156.200.92 255.255.255.252 ATM1/0.6 147.156.168.1 147.156.200.68 255.255.255.252 ATM1/0.4 147.156.200.69 blasro cisco ATM0.21 147.156.200.70 ATM0.23 147.156.200.101 ATM1/0.10 147.156.145.1 ATM1/0.5 147.156.164.1 ATM2/0.2 147.156.200.94 Vlan9 147.156.148.87 147.156.184.39 147.156.176.95 ATM1/0.7 147.156.148.81 147.156.184.1 147.156.176.1 193.146.183.188 ATM2/0.4 147.156.200.102 ATM2/0.3 147.156.1.188 ATM2/0.5 147.156.200.106 Vlan filologia 147.156.164.0 255.255.252.0 Vlan blanor 147.156.148.80 255.255.255.240 147.156.184.1 255.255.252.0 147.156.176.1 255.255.248.0 193.146.183.80 255.255.255.192 FA0/0 147.156.196.2 147.156.149.129 Senda 147.156.196.0 255.255.254.0 Sestud 147.156.149.128 255.255.255.128 sendaro Red Universitat de València
Routing IP en la UV. • Basado en EIGRP • 118 subredes, 12 mascaras distintas. • Convergencia muy rápida. • Todos los routers son Cisco • AS 65432 • Retoque de la metrica para admitir las rutas LAM • Control del número de vecinos (passive-interface). • Control de la instalación de rutas mediante ¨delay¨ en los interfaces. • Futura redistribución en IS-IS para la conexión con RedIRIS.
EIGRP: selección de rutas. • Problema: El HSRP obliga a disponer de dos caminos para alcanzar una misma red.
EIGRP: selección de rutas • Ante una misma métrica: balance de carga entre R3 y R2 • Puede ser más conveniente usar e0/1 de R3 y no cargar R4 salvo fallo de R3
EIGRP: selección de rutas Soluciónes: - Cambiar la distancia administrativa: Puede provocar bucles y no se propaga a otros routers. - Cambiar el delay en e0/1 de R4: Solución recomendada. Se propaga en el routing. El único inconveniente es que no afecta localmente al tráfico en R4: las conexiones directas siempre tienen menor distancia administrativa
Local Area Mobility (LAM) • Problema: • Permitir a un host con una dirección estática IP asignada en una subred moverse a otra subred sin perder conectividad y sin necesidad de reconfigurar el TCP/IP • Limitado al entorno de la red corporativa. • No recurrir a tunelización ni a cambios de direcciones IP dinámicas por DHCP
LAM • Solución propietaria de Cisco. • Particularmente útil para permitir la movilidad de máquinas dentro de una red de empresa o campus. • Necesita de un protocolo de routing: • Soportados: EIGRP, OSPF, IS-IS, RIPv2 • Implementa algunos mecanismos de seguridad.
LAM. Funcionamiento. • El interface del router configurado para LAM escucha en su subred buscando tráfico que se origina en máquinas directamente conectadas que no pertenecen a su subred local IP. • Cuando ve un tráfico originado localmente que proviene de un host cuya dirección IP y máscara no casan con las de su interfaz local, el router instala una entrada ARP para este host móvil, y a su vez, instala en el protocolo de routing una ruta de host hacia ese interface.
LAM. Funcionamiento • Si esta configurado, el proceso de routing distribuye esta ruta hosts, de forma que el resto de dominio de routing la aprenda. • La ruta de host siempre tienen mayor prioridad que el resto: siempre se prefiere la ruta más específica a la más general. • Los hosts en la misma subred envian el tráfico al host móvil mediante el mecanismo de “proxy ARP”.
LAM. Funcionamiento • El mismo mecanismo de proxy-ARP permite al host móvil encontrar su “default gateway” • Es necesario que el host móvil genere tráfico IP para activar el mecanismo LAM. • Las entradas ARP móviles así como las rutas host caducan con unos parámetros de tiempo ajustable. • Sólo se soporta en interfaces Ethernet, Token Ring, FDDI (y VLAN de RSM)
LAM. Configuración. interface Ethernet0 description conexion a la ethernet local ip address 147.156.157.1 255.255.255.0 ip helper-address 147.156.1.38 ip mobile arp timers 5 10 access-group 98 ! router eigrp 65432 redistribute connected redistribute static redistribute mobile passive-interface Ethernet0 passive-interface Serial1 network 147.156.0.0 default-metric 80 70 60 70 100 eigrp log-neighbor-changes ! access-list 98 permit 147.156.135.0 0.0.0.255
LAM. Rutas. D EX 147.156.135.158/32 [90/32020480] via 147.156.200.142, 02:59:32, Vlan2 D EX 147.156.135.169/32 [90/32020480] via 147.156.200.142, 10:03:01, Vlan2 C 147.156.135.0/24 is directly connected, Vlan20 D EX 147.156.135.6/32 [90/32027136] via 147.156.200.86, 02:53:15, ATM0/0.4 M 147.156.135.26/32 [180/1] via 147.156.135.26, 01:11:13, Vlan27 D EX 147.156.135.16/32 [90/32020480] via 147.156.200.142, 01:44:34, Vlan2 M 147.156.135.58/32 [180/1] via 147.156.135.58, 07:16:10, Vlan33 M 147.156.135.62/32 [180/1] via 147.156.135.62, 09:26:58, Vlan5 D EX 147.156.135.55/32 [90/32020480] via 147.156.200.142, 08:33:36, Vlan2 M 147.156.135.74/32 [180/1] via 147.156.135.74, 00:03:35, Vlan5 M 147.156.135.79/32 [180/1] via 147.156.135.79, 03:53:36, Vlan5 D EX 147.156.135.84/32 [90/32020480] via 147.156.200.142, 08:26:12, Vlan2 M 147.156.135.86/32 [180/1] via 147.156.135.86, 08:41:54, Vlan5 D EX 147.156.135.104/32 [90/32020480] via 147.156.200.142, 02:23:43, Vlan2
LAM. Inconvenientes. A 147.156.0.0/16 por A A 152.48.0.0/16 por D A 147.156.135.22/32 por D A 147.156.0.0/16 por A A 152.48.0.0/16 por D A 147.156.135.22/32 por B Red 147.156.0.0/16 X A B C Internet Ping 147.156.135.22 Y D A 147.156.135.22/32 por E0 147.156.135.22 Red 152.48.0.0/16 • Ofrece transparencia y portabilidad, pero no movilidad. No mantiene sesiones • No requiere cambios de software en los hosts, solo en los routers • Requiere propagar rutas host por toda la red • Convergencia lenta • Difícil realizar agregación de rutas • Problemas de escalabilidad
LAM. Evolución • Mobile IP • RFC 2002, 2003, 2004, 2005, 2006
Túneles sobre líneas ADSL • Los centros remotos disponen de redes locales de escaso número de hosts. • Históricamente conectadas mediante RDSI básicos: 2x64kbp • Los RDSI funcionaban de hecho como líneas punto a punto: • Retrollamada para aprovechar las ofertas de la compañía telefónica.
Túneles ADSL. Historia • Situación historica: • Los centros remotos tienen un subred, normalmente de hasta 254 hosts. • Disponian de un router Cisco 2503 con interfaces Ethernet para la conexión local y RDSI como conexión WAN • Activaban el segundo canal bajo demanda de carga. • Las RDSI básicas se agregaban llamando a una línea RDSI primaria (30B +D) conectada a un router Cisco 4700. • Se usaba PPP con CHAP y comprobación del número llamante para identificación.
Túneles ADSL • Este año se sustituyen las líneas RDSI por líneas ADSL con anchos de banda máximos de 2 Mbps/300 Kbps • Solución más barata y con mayores prestaciones, aunque no aseguradas. • Se usan routers Cisco 827-4v para la conexión ADSL en el centro remoto: • 1 ethernet para la conexión a la LAN • 1 interface ADSL para la conexión a la WAN (Internet, en este caso) • 4 interfaces de voz analógicos, para uso de VoIP
ADSL. Central Telefónica Domicilio del abonado Teléfonos analógicos Bajas Frecuencias Red telefónica analógica Switch telefónico Bucle de Abonado (5,5 Km máx.) Splitter Splitter Altas Frecuencias Internet DSLAM (ATU-C) Modem ADSL (ATU-R) Ordenador DSLAM: DSL Access Multiplexor ATU-C: ADSL Transmission Unit - Central ATU-R: ADSL Transmission Unit - Remote
ADSL. Central telefónica Splitter Central telefónica Oficina Principal de la Empresa Conmutador ATM Red ATM DSLAM Hogar Conmutador telefónico Internet ISP Pequeña Oficina Red telefónica
ADSL • El proveedor de acceso ADSL suele ser el proveedor de acceso a Internet (ISP) • Cada conexión ADSL lleva asociada una dirección IP pública. • Dos tipos de conexiones locales: • Monopuesto: un solo ordenador con la dirección IP global. • Multipuesto: una LAN local con direcciones privadas y conexión a Internet mediante NAT con la dirección IP pública.
ADSL “monopuesto” 147.156.1.1 ADSL ADSL Internet Direccionamiento privado 213.213.13.13 Router ADSL (ATU-R)
ADSL “multipuesto” 147.156.1.1 192.168.1.12 192.168.1.15 LAN ADSL ADSL NAT Internet Router ADSL (ATU-R) 213.213.13.13
ADSL. Problema del acceso a la LAN remota A 147.156.0.0/16 por A A 147.156.0.0/16 por A Red 147.156.0.0/16 X Internet A B C Ping 147.156.138.22 D NAT Y 213.213.13.13 E 147.156.138.22 ADSL Red 147.156.138.0/24 • Los router de Internet sólo conocen la ruta a 147.156.0.0/16 y no tenemos control de routing sobre ellos. • Nos obligamos a usar NAT para la salida de la LAN remota.
ADSL. Solución túnel A 147.156.138.0/16 por E A 147.156.0.0/16 por A A 147.156.0.0/16 por A Red 147.156.0.0/16 X Internet A B C Ping 147.156.138.22 D Túnel Y 213.213.13.13 E 147.156.138.22 ADSL Red 147.156.138.0/24 • Se crea un túnel IPIP entre A y la dirección pública de E. • No usamos NAT. • El túnel simula una conexión punto a punto.
ADSL. Solución túnel A 147.156.138.0/16 por E A 147.156.0.0/16 por A Red 147.156.0.0/16 Internet A B C D 147.156.1.71 Túnel Ping 147.156.138.22 Y 213.213.13.13 E 147.156.138.22 ADSL Red 147.156.138.0/24 • Camino tunelizado • Camino real
ADSL. Solución túnel A 147.156.138.0/16 por E A 147.156.0.0/16 por A A 147.156.0.0/16 por A Red 147.156.0.0/16 X Internet A B C Ping 147.156.138.22 D Túnel Y 213.213.13.13 E 147.156.138.22 ADSL Red 147.156.138.0/24 • Camino tunelizado • Camino real
Túneles ADSL • Ventajas: • No usa NAT • Permite un control de acceso en el router principal de acceso a la red corporativa. • Permite el uso de encriptación VPN • El direccionamiento es el propio de la red corporativa. • Inconvenientes: • El tráfico pasa en dos sentidos por algunos enlaces. • No se dispone de control sobre la calidad del enlacen en Internet: problemático en casos como el uso de VoIP • El ancho de banda no esta asegurado: • Factor ADSL • Factor Internet
NTP • Network Time Protocol • Permite la sincronización de los relojes de los ordenadores y dispositivos de comunicaciones en una red TCP/IP • Dinámico, estable y redundante. • Permite precisiones del orden de 1 milisegundo. • RFC 958, 1305 • Obtiene el reloj de referencia de distintos dispositivos: • GPS • Relojes patrón atómicos • radio (WWV, DCF) • Se distribuye por servidores jerárquicos organizados por “stratums” • Es muy eficiiente: 1 paquete por minuto permite sincronizar dos equipos con 1 milisegundo de diferencia máximo.
NTP. Asociaciaciones • Modos • Server • Client • Peer • Broadcast/Multicast • Seguridad • Mecanismos para evitar la sincronización a dispositivos con tiempo que no sea muy preciso. • Clave de autentificación y listas de acceso.
NTP. Configuración. clock timezone SST 8 ! access-list 5 permit 192.36.143.150 access-list 5 permit 169.223.50.14 access-list 5 deny any ! ntp authentication-key 1234 md5 104D000A0618 7 ntp authenticate ntp trusted-key 1234 ntp source Loopback0 ntp access-group peer 5 ntp update-calendar ntp server 192.36.143.150 ntp peer 169.223.50.14 ! • El NTP es indispensable para mantener todos logs sincronizados
Logging • Logging • Es necesario mantener un histórico de logs de los distintos routers • Los logs deben almacenarse un una o dos maquinas mediante syslog. • Los logs deben estar sincronizados. • El timestamp debe ser legible. • Es necesario que lleven un origen claro, que permita discernir de que dispositivo provienen.
Logging. Configuración. service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone ! logging source-interface loopback0 logging facility local0 logging 147.156.1.12 !