Administració de l'encaminador

Els arxius del sistema operatiu IOS i els de configuració d’inici són els elements fonamentals per al bon funcionament del vostre encaminador, un cop s’han realitzat les fases de POST i d’arrencada (bootstrap) es fa la càrrega de l’IOS. El sistema operatiu pot residir en la memòria Flash, en un servidor TFTP o en la ROM, per determinar on resideix i el tipus d’inici es fa servir el registre de configuració.

En la figura s’observa la seqüència de càrrega de l’IOS i dels arxius de configuració i les diferents ubicacions on poden residir.

Un cop s’ha carregat l’IOS es fa la càrrega de l’arxiu de configuració, i a continuació s’han de fer les còpies de seguretat en un servidor de transferència de fitxers trivial o TFTP per tenir les primeres còpies dels fitxers d’inici i del sistema operatiu IOS.

Els fitxers del sistema operatiu tenen una estructura de noms molt significativa, simplement veient el nom podeu interpretar per a quina plataforma s’executa el sistema operatiu, quines característiques té i quin és el format de les dades, des d’on s’executa i si està comprimit. El nom està format per aquestes tres parts separades per guions, per exemple C2500-IS-L. La taula us mostra les característiques dels noms de l’arxiu IOS.

El primer camp, plataforma, fa referència al model d’encaminador (C2500 o C1700 en aquest cas). La resta de camps (característiques i format) estan determinats per una composició de sigles. Cadascuna de les diferents sigles té un significat determinat; les que trobeu a continuació a la taula són les més comunes.

Podeu veure la versió i el nom de l’arxiu IOS mitjançant l’ordre show version. A continuació us mostrem un exemple d’ús d’aquesta ordre.

Router#show version
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 04:52 by pt_team

ROM: System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)

System returned to ROM by power-on
System image file is "flash:c1841-advipservicesk9-mz.124-15.T1.bin"

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.
Processor board ID FTX0947Z18E
M860 processor: part number 0, mask 49
2 FastEthernet/IEEE 802.3 interface(s)
191K bytes of NVRAM.
63488K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102

Podeu observar, a més:

• El programa d’arrencada (bootstrap) s’executa des de la memòria ROM, la línia concreta que ho diu és ROM: System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
• La càrrega del sistema s’ha executat des de la memòria Flash. Ho veieu a la línia System image file is “flash:c1841-advipservicesk9-mz.124-15.T1.bin”
• Quin encaminador és i quina versió. Ho diu la línia Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.
• També es pot veure el valor del camp configuration register, que, en aquest cas, té el valor 0x2102. Aquest valor us indica el tipus d’inici de l’encaminador mitjançant aquest codi hexadecimal. La línia és Configuration register is 0x2102.

A vegades ens pot interessar modificar el procés d’inici de l’encaminador. Per fer-ho hi ha dos mètodes: un és modificar el registre de configuració i l’altre, usar les ordres boot system. El registre de configuració es pot modificar des del mode privilegiat o amb el monitor de ROM.

El monitor de ROM o ROMMON és una versió mínima del sistema operatiu amb un conjunt de funcions limitades, està ubicat en la memòria ROM i no es pot modificar o actualitzar, per fer-ho caldria incorporar un altre ROM diferent a la placa base de l’encaminador. Aquest mode de treball us permet, bàsicament, fer les funcions següents:

• Restaurar la contrasenya.
• Modificar el registre de configuració.
• Gestionar la seqüència d’inici de l’encaminador.
• Restaurar còpies de seguretat de l’IOS amb TFTP.
• Restaurar còpies de seguretat de l’IOS amb Xmodem.

El ROMMON s’executa automàticament quan l’encaminador no troba cap configuració correcta en la memòria Flash. També podeu interrompre el procés d’arrencada de l’encaminador per accedir al ROMMON amb la combinació de tecles ctrl+pause.

Identifiqueu que us trobeu en el monitor de ROM pel símbol de sistema:

ROMMON 1>

Si som en el monitor de ROM i volem tornar a reiniciar el sistema disposem de l’ordre reset.

ROMMON 2> reset

Per saber quines opcions de configuració es poden utilitzar en el ROMMON es pot fer mitjançant l’ordre ?, són les següents:

System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.

Self decompressing the image :
###########
monitor: command "boot" aborted due to user interrupt

rommon 1 > ?
boot                boot up an external process
confreg             configuration register utility
dir                 list files in file system
help                monitor builtin command help
reset               system reset
set                 display the monitor variables
tftpdnld            tftp image download
unset               unset a monitor variable
rommon 2>reset

Des del ROMMON es pot modificar el registre de configuració amb l’ordre confreg valor. El registre és un valor que s’emmagatzema en la NVRAM, té una grandària de 16 bits i es representa en format hexadecimal. La funció confreg principal del registre és indicar l’ordre de càrrega de l’IOS, aquesta ordre depèn del valor que tingueu emmagatzemat, per modificar la seqüència només cal variar els darrers quatre bits del registre de configuració. El valor per defecte sempre és 0x2102. La taula us mostra els valors més comuns que pot tenir el registre de configuració i què volen indicar.

Des del mode de configuració global, amb l’ordre config-register 0x210X podeu modificar la configuració d’inici. A continuació amb l’ordre reload reinicieu l’encaminador per tal que es carregui l’encaminador tal com heu indicat.

El codi següent mostra com podeu modificar la configuració perquè s’iniciï amb el monitor de ROM. S’executa l’ordre config-register 0x2100, a continuació guardeu la configuració i recarregueu l’encaminador mitjançant l’ordre reload.

barcelona>enable
Password: 
barcelona#config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
barcelona(config)#config-register 0x2100
barcelona(config)#exit
barcelona#reload
Proceed with reload? [confirm]
System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
cisco 2620 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory

rommon 1 > confreg 0x2102
rommon 2 > reset
System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
cisco 2620 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory

Self decompressing the image :
########################################################################## [OK]
----

         --- System Configuration Dialog ---

Continue with configuration dialog? [yes/no]: n


Press RETURN to get started!
barcelona>

En iniciar l’encaminador es carrega el monitor de ROM, s’identifica perquè apareix el símbol de sistema ROMMON>, per tornar a la configuració anterior utilitzeu l’ordre confreg 0x2102 i recarregueu el sistema amb l’ordre reset.

Una altre funció molt important del registre de configuració juntament amb el monitor de ROM és la recuperació de contrasenyes, a continuació vegeu com es fa el procés de recuperació:

1. Una vegada observeu que no teniu la contrasenya del mode privilegiat, executeu l’ordre show version per poder recuperar el valor del registre. L’obteniu en la darrera línia que mostra l’ordre, concretament Configuration register is 0x2102. A continuació us presentem l’execució del codi:

Router>enable
Password:
Password:
Password:
% Bad secrets
Router>show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Wed 27-Apr-04 19:01 by miwang
Image text-base: 0x8000808C, data-base: 0x80A1FECC

ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
ROM: C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5)

System returned to ROM by reload
System image file is "flash:c2600-i-mz.122-28.bin"

cisco 2620 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory
.
Processor board ID JAD05190MTZ (4292891495)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
1 FastEthernet/IEEE 802.3 interface(s)
32K bytes of non-volatile configuration memory.
63488K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102
Router>

2. Seguidament reinicieu l’encaminador, i amb la combinació de tecles control+pause accediu al ROMMON.

Router>reset
Self decompressing the image :
############
monitor: command "boot" aborted due to user interrupt
rommon 1 > confreg 0x2142

3. A continuació amb l’ordre confreg 0x2142 s’inicia l’encaminador sense carregar l’arxiu de configuració.

Self decompressing the image :
############
monitor: command "boot" aborted due to user interrupt
rommon 1 > confreg 0x2142
rommon 2 > reset

4. Com que no hi és, us apareix l’assistent de configuració del sistema, el podeu cancel·lar i tornar a fer una configuració. Llavors podeu consultar una còpia del fitxer startup-config per veure la contrasenya sense xifrar i canviar-la per posar-ne una de nova que coneixeu vosaltres.

System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.
cisco 2620 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory

Self decompressing the image :
########################################################################## [OK]
-----
         --- System Configuration Dialog ---

Continue with configuration dialog? [yes/no]: n


Press RETURN to get started!

Router>
Router>enable
Router#copy startup-config running-config
Destination filename [running-config]? 

%SYS-5-CONFIG_I: Configured from console by console

407 bytes copied in 0.416 secs (978 bytes/sec)

5. A partir d’aquí ja podeu donar els nous valors de les contrasenyes des del mode privilegiat i l’ordre enable.

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#enable secret clau

6. Ja podeu també fixar una nova contrasenya per l’accés per consola mitjançant l’ordre password des del mode consola.

Router(config)#line console 0
Router(config-line)#password usuari
Router(config-line)#login
Router(config-line)#exit
Router(config)#exit

7. Ara configureu que a l’iniciar l’encaminador carregueu el regitre actual, mitjançant l’ordre config-register 0×2102 i feu una còpia de la configuració actual com a configuració d’inici de l’encaminador. Tan sols us queda reiniciar l’encaminador.

Router(config)#config-register 0x2102
Router(config)#exit
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Router#reload

L’ordre boot-system us permeten indicar si l’encaminador executa l’IOS des de la memòria Flash o si s’inicia amb ROMMON, si es poden executar des del mode privilegiat o des del monitor de ROM, aquestes ordres no estan configurades per defecte i l’encaminador s’inicia sempre buscant l’IOS en la Flash, després en un servidor TFTP i finalment en la ROM.

Si voleu canviar la seqüència d’inici heu d’utilitzar l’ordre boot system ubicacio_d_inici nom_imatge, a continuació podeu veure dos exemples d’ús d’aquesta ordre:

Router(config)#boot system flash c2500-is-l

Aquest exemple indica al sistema que l’inici de l’encaminador es fa des de la memòria Flash i carrega una imatge de l’IOS anomenada c2500-is-l.

Router(config)#boot system rom

Aquest exemple indica al sistema que l’inici de l’encaminador es fa des de la memòria ROM amb ROMMON.

El servei de TFTP ens permet disposar de còpies de seguretat per tal de recuperar una imatge de l’IOS o d’un arxiu de configuració.

Un cop l’encaminador s’ha iniciat i heu realitzat les configuracions necessàries, heu de ser capaços de poder fer còpies de seguretat, per això necessiteu un equip de la xarxa que tingui instal·lat el servei de TFTP. Utilitzem, per exemple, el programa Winagents TFTP Service for Windows com a servidor TFTP. La figura us mostra el procés d’instal·lació del servidor i en quina carpeta resideix.

Quan s’ha fet el procés d’instal·lació cal observar la configuració del servidor TFTP, que mostra per defecte el port 69 per obtenir les connexions del client, els temps de resposta i el directori on s’emmagatzemen les imatges.

En la figura podeu observar les propietats de configuració del servidor TFTP, que mostra el port que utilitza el servei i també el directori on s’emmagatzemen les imatges.

També es pot instal·lar el servidor TFTP per a sistemes operatius lliures. Per exemple, en el cas de l’Ubuntu, podem trobar el paquet tftpd-hpa. Aquest paquet s’instal·la mitjançant el codi següent:

#apt-get install tftpd-hpa

Un cop instal·lat només mancaria configurar-lo, per fer-ho heu d’editar el fitxer /etc/default/tftpd-hpa i podeu donar els valors als paràmetres de configuració. Els més importants són:

• tftp_directory, que correspon al directori en què posarem o rebrem els fitxers a intercanviar amb l’encaminador.
• run_daemon, que pot tenir els valors “yes” o “no”. Indiquem si s’ha d’executar com a procés dimoni i, per tant, sempre en execució.

# cat /etc/default/tftpd-hpa

TFTP_USERNAME="tftp"
TFTP_DIRECTORY="/var/lib/tftpboot"
TFTP_ADDRESS="0.0.0.0:69"
TFTP_OPTIONS="–secure"
RUN_DAEMON="yes"

Un cop canviada la configuració heu de reiniciar el servei TFTP perquè els valors canviats prenguin vigència. Ho feu excutant l’ordre /etc/init.d/tftpd-hpa start.

Per accedir des de l’encaminador al servidor TFTP només us cal conèixer-ne l’adreça IP i fer la còpia de seguretat de l’IOS o de l’arxiu de configuració (segons les necessitats). Per fer aquestes còpies heu de fer el següent:

Utilitzeu l’ordre show flash per obtenir el nom del fitxer que conté l’IOS, a continuació amb l’ordre copy flash tftp indiqueu al sistema que voleu fer una còpia de seguretat al servidor TFTP, us demana quina és l’adreça del servidor i quin és el nom de la imatge de l’IOS d’origen i de destinació. Vegeu a continuació la seqüència d’ordres que us permet realitzar-ho:

barcelona#sh flash

System flash directory:
File  Length   Name/status
  3   33591768 c1841-advipservicesk9-mz.124-15.T1.bin
  2   28282    sigdef-category.xml
  1   227537   sigdef-default.xml
[33847587 bytes used, 30168797 available, 64016384 total]
63488K bytes of processor board System flash (Read/Write)


barcelona#copy flash tftp
Source filename []? c1841-advipservicesk9-mz.124-15.T1.bin
Address or name of remote host []? 192.168.0.99
Destination filename [c1841-advipservicesk9-mz.124-15.T1.bin]? c1841-advipservicesk9-mz.124-15.T1.bin-copia

Writing c1841-advipservicesk9-mz.124-15.T1.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[OK - 33591768 bytes]

33591768 bytes copied in 2.047 secs (16410000 bytes/sec)
barcelona#

Amb l’ordre sh flash obteniu el nom del fitxer c1841-advipservicesk9-mz.124-15.T1.bin, que usareu després quan us connecteu per TFTP (en aquest cas el servidor té l’adreça IP 192.168.0.99). També podeu simular aquest escenari en el simulador Packet Tracer usant un encaminador(figura), i connectar-lo a un servidor (és un dels dispositius finals anomenat Server-PT).

Primer heu de fer una còpia de la configuració activa del fitxer running-config al fitxer d’inici startup-config, i a continuació utilitzeu l’ordre copy startup-config tftp per fer la còpia de seguretat en el servidor TFTP. Aquesta ordre us demanarà l’adreça del servidor i el nom de l’arxiu de configuració d’origen i de destinació. Podeu fer-ho sobre el simulador amb la topologia de xarxa que es mostra a la figura. Vegeu a continuació la seqüència d’ordres que ho implementa:

barcelona>enable
barcelona#copy running-config startup-config
Destination filename [startup-config]? 
Building configuration...
[OK]
barcelona#copy startup-config tftp
Address or name of remote host []? 192.168.0.99
Destination filename [barcelona-confg]? 

Writing startup-config...!!
[OK - 466 bytes]

466 bytes copied in 0.01 secs (46000 bytes/sec)

Quan heu fet les còpies de seguretat dels arxius de configuració i de l’arxiu de l’IOS, les teniu disponibles en el servidor de TFTP i les podeu recuperar en qualsevol moment que sigui necessari.

Per carregar una imatge de l’IOS teniu tres maneres de recuperar-la i restaurar-la. Es pot fer des del mode privilegiat amb l’IOS actiu, mitjançant un servidor TFTP o amb una còpia local amb Xmodem. Les diferentes maneres de restaurar-la són les següents:

1. Actualització des d’un IOS actiu
2. Restauració amb ROMMON via TFTP
3. Restauració amb ROMMON via Xmodem

Utilitzeu aquesta opció de restauració de l’IOS quan únicament voleu actualitzar l’IOS existent. Cal que tingueu una imatge de l’IOS nou al servidor TFTP i que utilitzeu l’ordre copy tftp flash, us demana l’adreça IP del servidor TFTP i el nom de la imatge, un cop copiada heu de reiniciar l’encaminador. Vegeu a continuació un exemple de la seqüència d’ordres que ens duria a terme l’actualització del IOS:

barcelona>enable
barcelona#copy tftp flash
Address or name of remote host []? 192.168.0.99
Source filename []? c2600-i-mz.121-14.bin
Destination filename []? c2600-i-mz.121-14.bin 
Accessing tftp://192.168.0.99/c2600-i-mz.121-14.bin...

     Erase flash: before copying? [confirm] y 

     Erasing the flash filesystem will remove all files! Continue? [confirm] y 

     Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee

Erase of flash: complete
Loading c2600-i-mz.121-14.bin from 192.168.0.199 : !!!!!
!!!
[OK - 3802992/7605248 bytes]

Verifying checksum... OK (0x1ABC)
3802992 bytes copied in 58.236 secs (65568 bytes/sec)

Aquesta opció s’utilitza quan no disposeu de cap imatge activa en la memòria Flash, i llavors l’encaminador no ha iniciat cap sistema. Per accedir a ROMMON cal prémer la combinació de tecles ctrl+pause.

Una vegada s’ha accedit al ROMMON s’han de configurar cinc paràmetres per poder connectar l’encaminador a un servidor TFTP. Amb l’ordre set es poden veure totes les variables que té el monitor de ROM. Les que s’han de modificar són les que es presenten en la taula.

Heu de tenir en compte a l’hora de generar les variables que s’han d’escriure en la consola amb majúscules. En recarregar l’encaminador o si s’apaga, les variables perden el valor amb què s’han configurat.

A continuació veieu la seqüència d’ordres que mostra com s’han introduït les variables, a continuació s’executa l’ordre set, que us permetrà veure si els valors s’han configurat correctament, a més de mostrar-vos altres variables del monitor de ROM (o ROMMON). Veieu que el resultat d’executar també de l’ordre tftpdnld, la recepció de les dades de la imatge es representa amb el símbol !, quan finalitza, us indica que s’ha rebut la imatge i on s’ubica.

Self decompressing the image :
#########
monitor: command "boot" aborted due to user interrupt
rommon 1 > IP_ADDRESS=192.168.0.1
rommon 3 > IP_SUBNET_MASK=255.255.255.0
rommon 4 > DEFAULT_GATEWAY=192.168.0.1
rommon 5 > TFTP_SERVER=192.168.0.99
rommon 6 > TFTP_FILE=c1841-advipservicesk9-mz.124-15.T1.bin
rommon 7 > set
DEFAULT_GATEWAY=192.168.0.1
IP_ADDRESS=192.168.0.1
IP_SUBNET_MASK=255.255.255.0
PS1=rommon ! > 
TFTP_FILE=c1841-advipservicesk9-mz.124-15.T1.bin
TFTP_SERVER=192.168.0.99
rommon 8 > tftpdnld

          IP_ADDRESS: 192.168.0.1
      IP_SUBNET_MASK: 255.255.255.0
     DEFAULT_GATEWAY: 192.168.0.1
         TFTP_SERVER: 192.168.0.99
           TFTP_FILE: c1841-advipservicesk9-mz.124-15.T1.bin
Invoke this command for disaster recovery only.
WARNING: all existing data in all partitions on flash will be lost!

Do you wish to continue? y/n:  [n]:  y
Receiving c1841-advipservicesk9-mz.124-15.T1.bin from 192.168.0.99 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

File reception completed.
Copying file c1841-advipservicesk9-mz.124-15.T1.bin to flash.

Quan s’ha confirmat que les variables són correctes a continuació només cal executar l’ordre tftpdnld, aquesta ordre esborra la memòria Flash i utilitza el valor de les variables per restaurar la imatge.

Per recarregar l’encaminador i sortir de ROMMON un cop ha finalitzat la còpia de l’IOS només s’ha d’executar l’ordre reset i, l’encaminador s’inicia normalment i només cal restaurar els arxius de configuració.

Aquesta opció s’utilitza quan no disposeu de cap imatge activa en la memòria Flash, per accedir a ROMMON cal prémer la combinació de tecles ctrl+pause (recordeu ctrl+c si esteu treballant en el simulador Packet Tracer).

Si no disposeu d’un servidor TFTP o no teniu accés a Internet, aquest mètode us permet recuperar l’IOS mitjançant la transferència de la imatge des d’un directori del PC que actua com a terminal.

Una vegada heu accedit al ROMMON executeu l’ordre xmodem -c nom_fitxer_imatge, l’opció -c us indica que s’ha de fer una comprovació de redundància cíclica en la descàrrega de l’IOS.

En la figura i figura observeu com és executada l’ordre xmodem -c aaa1372.bin-copia. En aquest cas per poder observar com carregar l’arxiu des del disc local, ho veieu en unes captures de pantalla del programa Hyperterminal, usat per connectar-vos via Telnet a l’encaminador.

En executar l’ordre xmodem, la consola us indica que l’encaminador està preparat per rebre l’arxiu de configuració. Llavors cal fer l’enviament de l’arxiu des del PC terminal, per fer-ho accediu al menú de transferir del Hyperterminal, en l’opció Enviar podeu especificar el nom de l’arxiu. S’ha de seleccionar com a protocol Xmodem.

Quan no es carrega correctament l’arxiu de configuració o no disposeu d’aquest arxiu, i en teniu una còpia en el servidor TFTP, podeu recuperar una configuració anterior mitjançant l’ordre copy tftp startup-config, heu d’indicar quina és l’adreça IP del servidor TFTP, aquesta ordre es pot utilitzar des del mode privilegiat o des del ROMMON.

Per tal de trobar-vos en la situació de no tenir arxiu de configuració l’esborrareu i treballareu sobre una topologia de xarxa amb un encaminador i un servidor de TFTP, vegeu-ho a la figura. En la següent seqüència d’ordres podeu observar com s’esborra el fitxer de configuració d’inici amb l’ordre erase startup-config, a continuació feu una recarrega de l’encaminador.

barcelona>enable
barcelona#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
barcelona#reload
Proceed with reload? [confirm]
System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)

A continuació hi ha la seqüència d’ordres que mostra que una vegada s’ha esborrat el fitxer de configuració i heu recarregat l’encaminador, us apareix el quadre de diàleg de configuració del sistema, no configureu absolutament res ja que restaureu l’arxiu mitjançant TFTP. I tot seguit mostra la configuració d’una interfície amb una adreça IP de la mateixa xarxa del servidor TFTP, a continuació s’utilitza l’ordre copy tftp startup-config. Observeu que la càrrega de l’arxiu es fa correctament i us mostra la grandària de l’arxiu descarregat.

System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.

-----

         --- System Configuration Dialog ---

Continue with configuration dialog? [yes/no]: n


Press RETURN to get started!

Router>enable
Router#config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 192.168.0.1 255.255.255.0
Router(config-if)#no shutdown

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Router(config-if)#exit
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console

Router#copy tftp startup-config
Address or name of remote host []? 192.168.0.99
Source filename []? barcelona-confg
Destination filename [startup-config]? 

Accessing tftp://192.168.0.99/barcelona-confg....
Loading barcelona-confg from 192.168.0.99: !
[OK - 466 bytes]

466 bytes copied in 3.008 secs (154 bytes/sec)
Router#

L’encaminament IP és una de les funcions fonamentals que els dispositius encaminadors han de fer. Consisteix fonamentalment a determinar quina és la ruta que ha de seguir un paquet de dades d’un host d’origen fins a un host de destinació basant-se en factors com poden ser els següents:

• Nombre de salts de l’origen a la destinació
• Amplada de banda de la línia
• Nombre d’usuaris connectats
• Prioritats

Aquests factors o paràmetres són la base per seleccionar quina és la millor mètrica per arribar a una xarxa determinada. La mètrica normalment és un valor numèric que es genera de diferents maneres depenent dels protocols d’encaminament dinàmic que s’utilitzen. Basant-se en aquest paràmetre s’actualitza la taula d’encaminament.

L’encaminament es pot fer de dues maneres, amb rutes estàtiques o dinàmiques.

Les rutes estàtiques són aquelles que l’administrador introdueix en els encaminadors manualment, això comporta que s’hagi de tenir un profund coneixement de la xarxa que s’esta configurant, a més és un sistema que no varia amb el temps i no s’actualitzen les taules d’encaminament d’una manera automàtica quan hi ha modificacions en la xarxa.

Es pot definir una ruta estàtica quan es vol que els clients accedeixin a una xarxa que no està directament connectada a l’encaminador, també permet definir una ruta concreta, de totes les possibles, a una destinació.

Per poder veure la taula d’encaminament d’un encaminador tenim l’ordre show ip route, aquesta ordre mostra les xarxes que estan directament connectades a l’encaminador mitjançant les seves interfícies, les podem identificar per la lletra C. També mostra com s’han generat la resta de rutes. A continuació veieu un exemple de l’ús d’aquesta ordre.

barcelona>enable
barcelona#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
barcelona(config)#interface FastEthernet 0/0
barcelona(config-if)#ip address 192.168.0.1 255.255.255.0
barcelona(config-if)#no shutdown
barcelona(config-if)#exit
barcelona(config)#exit
barcelona#
%SYS-5-CONFIG_I: Configured from console by console

barcelona#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.0.0/24 is directly connected, FastEthernet0/0
barcelona#

Les rutes estàtiques s’introdueixen en el sistema amb l’ordre ip route des del mode de configuració global, l’estructura de l’ordre és:

ip route identificador_de_xarxa màscara porta_d'enllaç distància_administrativa

Aquesta ordre necessita els diferents paràmetres que es detallen a continuació:

• Identificador de xarxa. Identifica una xarxa que no tenim directament connectada a l’encaminador.
• Màscara. S’ha d’especificar la màscara de la xarxa de destinació.
• Porta d’enllaç o interfície local. Aquest paràmetre pot tenir dos valors diferents, pot ser l’adreça de la interfície de l’encaminador següent que dóna accés a la xarxa o la interfície local de l’encaminador per on surt el paquet de dades. En general és millor indicar l’adreça de la interfície del següent encaminador.
• Distància administrativa. Aquest és un valor opcional, es pot representar amb un nombre comprès entre 0 i 255. En cas de tenir més d’una ruta per accedir a la mateixa xarxa els paquets de dades utilitzen la que té una distància administrativa més baixa. Aquest valor indica la fiabilitat de la ruta, no vol indicar el mateix que la mètrica, recordeu que la mètrica permet únicament generar la ruta en la taula.

Si volem esborrar una ruta estàtica hem d’utilitzar la mateixa ordre però amb la paraula clau no al davant, la sintaxi de la sentència és la següent:

no ip route Identificador_de_xarxa Màscara Porta_d'enllaç

En la figura observeu un disseny de xarxa amb dos encaminadors, anem a afegir les rutes estàtiques i visualitzar quin és el contingut de la taula d’encaminament.

Les adreces IP que s’utilitzen en la figura és mostren en la taula.

Quan configurem les interfícies amb una adreça IP en els encaminadors es generen automàticament les taules d’encaminament, aquests ja coneixen les xarxes que tenen directament connectades, però no les xarxes remotes. S’han d’afegir manualment com s’especifica en la taula i taula.

Hem introduït les rutes configurant com a porta d’enllaç l’adreça de l’encaminador següent, que és la forma més apropiada de fer-ho. Es podria haver fet també indicant el nom de la interfície local per on enviem les dades, la taula i taula mostren com podem afegir les mateixes rutes però d’aquesta altra manera.

Quan s’han afegit les rutes, observem la taula d’encaminament i podem identificar les rutes directament connectades amb la lletra C i les estàtiques perquè tenen la lletra clau S (de static, en anglès). Per comprovar que les rutes funcionen correctament només cal fer un ping des de qualsevol dels encaminadors cap a una de les xarxes remotes. Si volem veure per quins encaminadors passa un paquet hem d’utilitzar l’ordre traceroute.

Mad# ping 11.0.0.1
%SYS-5-CONFIG_I: Configured from console by console

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 11.0.0.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 7/8/10 ms
Mad# traceroute 11.0.0.1
Type escape sequence to abort.
Tracing the route to 11.0.0.1

  1   192.168.0.2        4 msec    4 msec    5 msec    

Quan l’accés a múltiples xarxes es fa per una mateixa porta d’enllaç es pot:

• Introduir una ruta estàtica per a cada xarxa.
• Configurar una ruta per defecte per a tota la resta de destinacions amb un camí comú. Quan s’examina la taula d’encaminament si la xarxa de destinació té una ruta estàtica pròpia s’utilitza la ruta estàtica. Sinó, farà servir la ruta per defecte.

Per configurar una ruta per defecte s’utilitza l’ordre ip route amb l’identificador de xarxa amb el valor 0.0.0.0 i la màscara amb el valor 0.0.0.0, aquests valors indiquen qualsevol destinació amb qualsevol màscara.

En la taula podem observar que en l’encaminador Mad, en lloc de crear una ruta estàtica per a cada xarxa, afegeix una única ruta per defecte per a qualsevol trànsit. L’accés a les xarxes 10.0.0.0 i 11.0.0.0 es fa amb aquesta ruta i qualsevol paquet de dades s’envia a l’encaminador 192.168.1.2.

Les rutes dinàmiques es generen automàticament en els encaminadors quan s’activen els protocols d’encaminament per a les diferents xarxes, a diferència de les rutes estàtiques les taules d’encaminament es configuren automàticament davant de qualsevol canvi en la xarxa, això ens permet una major escalabilitat i fiabilitat per a la gestió i resolució de rutes.

S’ha de tenir en compte que es poden presentar problemes de redundància de rutes i es poden generar bucles d’encaminament.

Els protocols d’encaminament es poden classificar en:

• protocols de vector distància i,
• protocols estat de l’enllaç.

És important tenir en compte les característiques principals d’aquests protocols, la seva classificació i com s’han de configurar en l’encaminador.

La mètrica per determinar quina és la millor ruta per on enviar un paquet de dades és el nombre de salts que ha de fer un paquet des de l’origen fins a la destinació. Els protocols més comuns del tipus vector-distància són els següents:

• RIP (Routing Information Protocol, protocol d’encaminament d’Internet): Igual que les granotes salten per desplaçar-se fins a una destinació concreta, el protocol RIP utilitza el nombre de salts com a mètrica per generar les taules d’encaminament i permetre als paquets de dades arribar a la xarxa de destinació. Aquest protocol s’ha de configurar en tots els encaminadors que voleu que intercanviïn informació.
• IGRP (Interior Gateway Routing Protocol, protocol d’encaminament de passarel·la interior): L’IGRP és un protocol d’encaminament de vector distància. Utilitza com a mètrica paràmetres de l’estat de la línia i el nombre de salts per generar les taules d’encaminament. Aquest protocol s’ha de configurar en tots els encaminadors que volem que intercanviïn informació, a més s’han d’especificar les xarxes per les quals el protocol treballarà i un número de sistema autònom.

Els protocols més comuns de l’estat de l’enllaç són:

• EIGRP (Enhanced Interior Gateway Routing Protocol, protocol d’encaminament de passarel·la interior millorat). Es considera un protocol híbrid. El protocol EIGRP és una millora del protocol IGRP; també és propietat de Cisco. Utilitza tres taules d’informació per generar les rutes:
  1. Veïnat. Conté els encaminadors que utilitzen el protocol EIGRP i estan directament connectats al vostre dispositiu, són aquells que transfereixen la seva taula d’encaminament.
  2. Topològica. Mostra les rutes i el seu estat, la mètrica i la distància als encaminadors veïns per a cadascuna de les rutes. Conté informació de tota la topologia de la xarxa.
  3. Encaminament. A partir de la taula topològica es genera la taula de rutes.
• OSPF. Protocol “primer el camí més curt”. El protocol OSPF és un protocol obert. Amb aquest protocol cada encaminador té un mapa complet de la xarxa i genera la taula d’encaminament basant-se en aquest mapa, escollint les rutes amb una mètrica més petita.

En accedir a una xarxa, habitualment, els ordinadors s’acaben connectant, directament o mitjançant commutadors, a un encaminador. Aquest serà la porta d’enllaç cap a xarxes externes. Per poder treballar amb la xarxa, l’ordinador s’ha de configurar amb el protocol TCP/IP, concretament l’adreça IP (que l’identifica en la xarxa), la màscara de xarxa, l’adreça IP de la porta d’enllaç i/o l’adreça IP del servidor de noms (DNS). Aquests paràmetres es poden assignar de manera fixa, però s’ha de conèixer la xarxa o els ha de proporcionar l’administrador de xarxa. Això si és un ordinador fix, però en el cas dels portàtils cada cop que es canvia de xarxa s’ha de canviar la configuració. Aquesta assignació de configuració de manera estàtica comporta una sèrie de desavantatges: requereix els coneixements previs de la xarxa que s’usa, canviar-la per cada xarxa que s’usa, adreces IP sense usar realment i el perill d’usar una adreça duplicada. Per millorar-ho sorgeix una altra forma de configuració que consisteix a fer-ho de manera dinàmica.

Els encaminadors, alguns models d’aquests, també poden funcionar com a servidors DHCP i acaben fent dues funcions en la xarxa (encaminen i assignen la configuració TCP/IP).

Per fer-ho el primer pas és crear un magatzem d’adreces i posteriorment configurar els paràmetres del servei DHCP. Per crear el magatzem és fa servir l’ordre ip dhcp pool nom_magatzem des del mode de configuració global. En executar aquesta ordre s’entra en el mode de configuració de DHCP , Router(dhcp-config)#, que permet executar tota una sèrie d’ordres que configuren els paràmetres del servei. En la taula podeu veure quins són els paràmetres a configurar en el servidor i quines són les ordres per fer-ho:

Pot ser que hi hagi adreces que no es poden oferir, ja que hi ha dispositius que han de tenir una IP fixa (per exemple una impressora, un servidor de tftp, etc). Per fer-ho hi ha l’ordre ip dhcp excluded -address direccio_inicial [direccio_final], que s’executa des del mode de configuració global. Per exemple, es poden oferir adreces de la xarxa 192.168.15.0 però les vint primeres estan reservades per a impresores, servidors d’FTP i servidors web entre altres; per no fer servir aquestes adreces s’ha d’executar l’ordre següent:

Router(config)#ip dhcp excluded-address 192.168.15.1 192.168.15.20

Un cop s’ha configurat l’encaminador com a servidor DHCP, s’han de configurar els ordinadors de la xarxa. Aquests han d’estar configurats per rebre els paràmetres TCP/IP de manera automàtica. Per exemple, en els sistemes basats en UNIX es fa amb l’ordre ifconfig eth0 auto per a la interfície Ethernet 0.

Ara tan sols resta comprovar que tot funciona correctament en els ordinadors i en el servidor. En els ordinadors s’ha de comprovar la configuració mitjançant les ordres ifconfig (en el cas dels sistemes basats en UNIX) o ipconfig (en el cas de Windows). En el servidor hi ha una sèrie d’ordres, en el mode privilegiat, que en permeten comprovar el bon funcionament. A continuació vegeu aquestes ordres en la taula.

A continuació vegeu un exemple de la configuració d’un dispositiu com a servidor DHCP, concretament el de la xarxa de la figura.

En què la xarxa té les característiques següents:

• En el futur s’afegiran cent ordinadors a la xarxa, que tindran adreça fixa del rang 192.168.20.154 a 192.168.20.254.
• El servidor FTP té l’adreça IP 192.168.20.1.
• L’adreça IP de la interfície FastEthernet 0/0 és 192.168.20.1.

Els valors que el servidor DHCP assigna dinàmicament són:

• Una adreça IP de la xarxa 192.168.20.00/24.
• La màscara de xarxa.
• La porta d’enllaç correspon a la interfície que té l’adreça 192.168.20.1 de l’encaminador.
• L’adreça IP del servidor DNS és la 8.8.8.8.

En l’encaminador executaríem les ordres següents per configurar-lo correctament:

Router>enable
Router#config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 192.168.20.1 255.255.255.0
Router(config-if)#description Interficie connectar xarxa
Router(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Router(config-if)#exit
Router(config)#hostname servidor_dhcp
dhcpserver(config)#ip dhcp pool ips_a_servir
dhcpserver(dhcp-config)#network 192.168.20.0 255.255.255.0
dhcpserver(dhcp-config)#default-router 192.168.20.1
dhcpserver(dhcp-config)#dns-server 8.8.8.8
dhcpserver(dhcp-config)#exit
dhcpserver(config)#ip dhcp  excluded-address 192.168.20.1
dhcpserver(config)#ip dhcp  excluded-address 192.168.20.11
dhcpserver(config)#ip dhcp  excluded-address 192.168.20.154 192.168.20.254 

Un cop feta la configuració tan sols restaria posar la configuració de xarxa (TCP/IP) dels ordinadors a automàtica, excepte la del servidor, lògicament, i fer les comprovacions.

Les comprovacions que cal fer en els ordinadors es farien amb l’ordre ipconfig. Vegeu-ne el resultat:

PC>ipconfig

IP Address......................: 192.168.20.2
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.20.1
DNS Server......................: 8.8.8.8

Efectivament l’adreça està en el rang servit pel servidor DHCP, les adreces IP de la porta d’enllaç i del servidor DNS corresponen a la configuració del servidor del DHCP. També podeu fer la comprovació des del servidor DHCP mitjançant l’ordre show ip dhcp binding, que s’executa des del mode privilegiat. Vegeu l’execució de l’ordre:

dhcpserver#show ip dhcp binding
IP address       Client-ID/              Lease expiration        Type
                 Hardware address
192.168.20.2     0090.0CE5.5511           --                     Automatic
192.168.20.3     0000.0C15.6C72           --                     Automatic

Les llistes de control d’accés ens permeten filtrar el trànsit que travessa un encaminador; es pot decidir quin protocol o número de port té accés a una xarxa determinada, i quin no. Per exemple, es pot limitar l’accés al protocol HTTP, i llavors no es podria navegar per Internet, o es podria bloquejar l’accés a HTTP només per a una xarxa de les connectades al nostre encaminador, la xarxa connectada a un port determinat; també garantim que el trànsit sigui el més adient per optimitzar l’ús de la xarxa.

Una ACL (Access Control List, llista de control d’accés) és una seqüència d’instruccions que permeten definir i filtrar el trànsit que arriba o surt d’un encaminador, permeten o deneguen l’accés a xarxes, aplicacions, protocols i ports.

Les raons per incorporar les ACL al sistema són les següents:

• Millorar el rendiment de la xarxa.
• Limitar l’accés a determinades àrees de la xarxa.
• Permetre o denegar l’ús de certes aplicacions als usuaris.
• Controlar el flux de dades.

Quan es genera una ACL aquesta s’ha d’assignar a una interfície, també pot estar vinculada a més d’una; a més s’ha d’indicar si l’ACL s’aplica al trànsit que entra o surt de l’encaminador. Es recomana assignar l’ACL a la interfície més propera del trànsit que es vol restringir, això permet millorar el rendiment dels encaminadors ja que no s’han de processar i encaminar les sol·licituds que es descarten.

L’execució de les ACL és seqüencial, s’executen en ordre de dalt a baix de la llista de sentències. En el moment en què l’encaminador detecta una coincidència d’una instrucció de l’ACL amb el paquet de dades, la resta d’instruccions no s’executen i llavors es permet o es denega el trànsit. Si no hi ha cap coincidència hi ha una darrera instrucció implícita que denega tot el trànsit que no ha trobat cap condició.

Si es vol modificar una ACL tant per incloure com per suprimir una instrucció s’ha d’eliminar l’ACL i tornar-la a generar, per tant, és important tenir les instruccions en un editor de textos per tal de copiar-les en l’emulador de terminal.

En la figura podeu observar com s’executen les sentències en l’ordre que s’han introduït en l’encaminador i què succeeix si es permeten o es deneguen.

Per poder treballar correctament amb les ACL s’han de conèixer una sèrie de conceptes bàsics, com poden ser els modes de configuració, a quins protocols es poden aplicar i tota una sèrie de paraules clau.

Per incloure les ACL en l’encaminador, ho fem des del mode de configuració global mitjançant l’ordre access-list seguida d’una sèrie d’opcions que s’introdueixen en l’ordre següent:

• Número ACL. Aquest número indica quin protocol s’examina amb l’ACL i pot tenir diversos valors. Es mostren en la taula.
• Permit / deny. Especifica l’acció que s’ha de dur a terme si es compleix la condició, permet el pas i el denega.
• Condicions. Especifica xarxes d’origen, destinació o nombre de ports.

Per esborrar una ACL o modificar-la s’ha d’executar l’ordre no. En la taula trobeu diferents exemples amb l’estructura dels camps que utilitzen les ordres access-list i no access-list.

Quan tenim generada l’ACL heu d’associar-la a una interfície, això ho fem accedint a la interfície i executant l’ordre ip access-groupidentificador_ACL in/out, cal observar que s’ha d’especificar si s’afegeix d’entrada (in) o de sortida (out).

Quan indiquem que l’ACL treballa d’entrada (in) això vol dir que es filtra el trànsit que arriba a una interfície, per exemple, els paquets que arriben de la xarxa interna a la interfície interna d’un encaminador. Quan és de sortida (out) vol dir que s’aplica al trànsit que surt de l’encaminador per una interfície concreta, per exemple els paquets que surten de la interfície interna d’un encaminador cap a la xarxa interna.

A continuació podeu observar un exemple d’aquestes ordres:

BCN(config)# access-list 1 deny 11.0.0.0
BCN(config)# interface fastethernet 0/0 
BCN(config-if)#ip access-group 1 in

En l’exemple anterior podeu observar que hem creat una access-list amb el nom 1 que denega tot el trànsit de la xarxa 11.0.0.0, a continuació l’assignem a la interfície fastethernet 0/0 d’entrada per indicar que només cal filtrar el trànsit que prové d’aquesta xarxa.

La màscara de wilcard és un valor de 32 bits que s’agrupen en blocs de 8 bits. Té una funció inversa a les màscares de xarxa, les wildcard es comparen amb els bits de les adreces IP per tal de filtrar-les en les ACL.

Els bits de la màscara especifiquen segons el seu valor si s’ha de comprovar un bit de l’adreça IP o no, a continuació podeu observar què significa cada bit de la màscara.

• Bit wildcard a 0: indica que el bit s’ha d’estudiar.
• Bit wildcard a 1: indica que el bit de l’adreça IP es pot ignorar.

En la taula podeu observar diferents exemples d’ús de les màscares de wilcard, cada valor especifica quins bits s’han de verificar o ignorar de l’adreça IP.

Si generem una ACL i especifiquem que es filtra el trànsit per la xarxa 172.17.0.0/16 amb màscara wildcard 0.0.127.255, indiquem al sistema que s’ha de filtrar tot el trànsit dels ordinadors que es troben entre 172.17.0.0 i 172.17.127.255.

Fixeu-vos que en binari la màscara wildcard és 00000000.00000000.01111111.11111111 per tant per escollir quines adreces IP se’ls aplica la ACL filtra pels primers 17 bits. Fixeu-vos que l’adreça de xarxa en binari és 10101100.00001001.00000000.00000000 i si apliquem la màscara ens quedem amb 101011000000100100 per tant la regla ACL només s’aplicarà a aquelles adreces IP que els primers 17 bits corresongui al valor anterior. Per això la darrera adreça que s’aplicarà la ACL és 172.17.127.255 doncs en binari és 10101100.00001001.01111111.11111111, els primers 17 bits els té igual que el valor i, en canvi, la següent adreça 172.17.128.0 ja no hi ha aquesta coincidència en els primers 17 valors, doncs en binari és 10101100.00001001.10000000.00000000.

Si generem una ACL per filtrar únicament el trànsit d’un host hem d’especificar la IP del host i la màscara wilcard té un valor 0.0.0.0. L’ordre a executar és access-list 1 permit 172.17.11.11 0.0.0.0.

Els paràmetres any i host de les ACL substitueixen les IP i les màscares de wildcard que fan referència a conjunts de hosts o xarxes.

• Any: substitueix la IP 0.0.0.0 i la màscara 255.255.255.255.
• Host: substitueix la wildcard 0.0.0.0 per un equip, s’utilitza quan feu referència a un sol host.

La taula mostra un exemple de creació ACL sense l’ús de host i any i com la podem modificar utilitzant-los, de qualsevol manera ambdues sentències són correctes.

Les ACL es poden dividir en tres tipus, depenent del trànsit que filtren o la manera com generen les sentències:

• les llistes estàndard,
• les llistes esteses i
• les llistes nomenades.

Per comprovar el funcionament de les diferents llistes de control d’accés i posar exemples, utilitzem el disseny de xarxa de la figura.

Les ACL estàndard són les que només poden filtrar els paquets per adreça d’origen o per xarxa d’origen, això vol dir que quan els paquets arriben a una interfície d’un encaminador que té configurada una ACL estàndard es fa una comparació de l’adreça del paquet entrant amb cada sentència de l’ACL fins que troba coincidència o finalitza (si finalitza i no ha trobat cap coincidència, descarta el paquet).

Els paquets que es filtren són els del protocol IP, si és un altre tipus de trànsit directament s’encamina a la interfície que calgui.

Aquest tipus d’ACL es limiten a filtrar per adreces IP, en el moment en què necessitem restringir un tipus de trànsit concret, com per exemple les sol·licituds web pel port 80, no ens permeten fer-ho. Per això cal crear ACL esteses. L’estructura d’una ACL estàndard és la següent:

Access-list nº_llista permit/deny xarxa/host wildcard

Com indica el gràfic de la figura, quan un paquet arriba a l’encaminador, aquest aplica l’ACL estàndard, i revisa si es tracta d’un paquet IP, si el paquet no és IP l’encamina, però si és IP es comencen a comparar les sentències una per una amb el paquet de dades. Quan es troba la primera coincidència de la llista de sentències, es mira si a la sentència es diu que es vol permetre o denegar el paquet. Si es permet, el paquet s’encamina, si no es descarta.

A continuació es presenten diferents exemples de llistes de control estàndard per filtrar el trànsit basant-vos en el disseny de la figura.

1. Denegació del trànsit de la xarxa 11.0.0.0: Denegar el trànsit de la xarxa 11.0.0.0 cap a qualsevol destinació.

BCN>enable
BCN# Configure terminal
BCN(config)# access-list 1 deny 11.0.0.0
BCN(config)# interface fastethernet 0/0 
BCN(config-if)#ip access-group 1 in
BCN(config-if)#exit
BCN(config)#exit
BCN# show access-list

2. Denegació del trànsit de la màquina 11.0.0.2: Denegar el trànsit de l’equip 11.0.0.2 cap a qualsevol destinació, totes les màquines restants tenen accés a altres xarxes. A continuació, assignem ACL a la interfície més propera al trànsit que volem denegar d’entrada.

BCN>enable
BCN# Configure terminal
BCN(config)# access-list 1 deny host 11.0.0.2
BCN(config)# access-list 1 permit any
BCN(config)# interface fastethernet 0/0 
BCN(config-if)#ip access-group 1 in
BCN(config-if)#exit
BCN(config)#exit
BCN# show access-list

Recordeu que si no es troba cap coincidència hi ha una darrera instrucció implícita que denega tot el trànsit que no ha trobat cap condició, per això afegiu la línia access-list 1 permit any, si no es denegaria tot el trànsit.

1. Permetre només el trànsit de la xarxa 11.0.0.0: Permetre només el trànsit de la xarxa 11.0.0.0 per a les màquines que tinguin el darrer octet parell per a qualsevol destinació.

BCN>enable
BCN# Configure terminal
BCN(config)# access-list 1 permit 11.0.0.0 0.255.255.254
BCN(config)# interface fastethernet 0/0 
BCN(config-if)#ip access-group 1 in
BCN(config-if)#exit

Les llistes esteses són les que ens permeten filtrar el trànsit basant-nos en paràmetres com poden ser la xarxa d’origen i/o destinació, l’equip d’origen i/o destinació, el protocol o l’aplicació.

L’estructura de la sentència és molt semblant a les ACL estàndard, també s’han d’assignar a una interfície. Podem introduir tantes sentències com vulguem en una ACL, però per la quantitat de paràmetres i la seva complexitat no és recomanable tenir-ne moltes. La sintaxi de les ordres té l’estructura següent:

Access-list nº_llista permit/deny protocol origen 
wildcard_origen destí wildcard_destí operador port

Cadascuna de les variables de la sintaxi s’expliquen en la taula.

Els diferents operadors que es poden utilitzar són els que es mostren en la taula. Aquests us permeten comparar els ports de les sol·licituds amb les restriccions que s’imposen en la llista de control d’accés, per exemple podríeu restringir tots els ports superiors al 1024.

A continuació presenteu diferents exemples de llistes de control esteses per filtrar el trànsit basant-vos en el disseny de la figura.

1. Denegació del trànsit del web: Denegar el trànsit web de la xarxa 11.0.0.0 cap a la xarxa 192.168.1.0, la resta de trànsit s’ha de permetre.

BCN(config)# access-list 100 deny tcp 11.0.0.0 0.255.255.255 192.168.1.0 0.0.0.255 eq 80
BCN(config)# access-list 100 permit tcp any any
BCN(config)# interface fastethernet 0/0 
BCN(config-if)#ip access-group 100 in
BCN(config-if)#exit
BCN(config)#exit
BCN# show access-list

2. Permetre només trànsit ICMP: Permetre’l de la màquina 11.0.0.2 cap a la màquina 172.17.0.2, la resta de trànsit s’ha de denegar.

BCN(config)# access-list 100 permit icmp host 11.0.0.2 host 172.17.0.2 echo
BCN(config)# access-list 100 permit icmp host 11.0.0.2 host 172.17.0.2 echo-reply
BCN(config)# access-list 100 permit icmp host 172.17.0.2 host 11.0.0.2 echo
BCN(config)# access-list 100 permit icmp host 172.17.0.2 host 11.0.0.2 echo-reply
BCN(config)# interface fastethernet 0/0 
BCN(config-if)#ip access-group 100 in
BCN(config-if)#exit
BCN(config)#exit
BCN# show access-list

En aquest exemple cal destacar el significat d’echo i echo reply, la paraula clau echo indica que és un paquet de dades ICMP que serveix per determinar si un equip està actiu, echo reply identifica el paquet de resposta.

1. Denegació del trànsit telnet: Denegar només el trànsit Telnet de la màquina 11.0.0.2 cap a la xarxa 192.168.1.0, la resta de trànsit s’ha de permetre.

BCN(config)# access-list 100 deny tcp host 11.0.0.2 192.168.1.0 0.0.0.255 eq 23
BCN(config)# access-list 100 permit tcp any any
BCN(config)# interface fastethernet 0/0 
BCN(config-if)#ip access-group 100 in
BCN(config-if)#exit
BCN(config)#exit

Les llistes nomenades són una millora respecte de les ACL estàndard o esteses. Bàsicament aporten una sèrie de millores pel que fa a la gestió, són les següents:

• Identificació de l’ACL amb un nom comú únic en el sistema, no amb un nombre.
• Eliminació de límits de generació d’ACL, ja no utilitzeu nombres.
• Possibilitat de modificar les ACL sense haver d’eliminar-les, les noves sentències s’agreguen al final de la llista.

Per crear una ACL nomenada s’utilitza l’ordre ip access-list seguida d’una sèrie de paràmetres de configuració com es veuen a continuació

Router(config)#ip access-list extended/standard Nom_acl_comú

Amb el següent significat dels arguments:

• extended/standard: serveix per especificar el tipus d’ACL que generem (pe: extended)
• Nom_acl_comú: Nom identificatiu de la llista de control d’accés (pe: Denega_web)

A continuació s’accedeix a un mode de configuració d’ACL en què s’especifica cadascuna de les sentències que la conformen.

Router(config-ext-nacl)# permit/deny protocol origen destí operador port

Amb el següent significat dels arguments:

• permit/deny: especifica si a la regla a afegir a la llista, si s’escull l’opció permit és per permetre el trànsit i si s’escriu deny és per denegar el trànsit.
• origen: adreça IP de l’ordinador o de la xarxa a qui s’accepta (en el cas del permit) o no (en el cas del deny) processar el seu trànsit, els seus paquets.
• protocol: el protocol de xarxa per al que es restringirà (deny) o s’acceptarà el trànsit. Pot pendre per exemple els valors udp, tcp, icmp, http o ftp.
• destí: adreça IP de l’ordinador o xarxa final, pel que s’accepta (en el cas del permit) o no (en el cas del deny) processar el trànsit dirigit cap a ell.
• operador: operador lògic que s’associa amb el port (també passat com argument) per permetre o denegar el trànsit que usa un conjunt de ports. Pot pendre els valors lt (menor que), gt (més gran que), eq (igual), neq (no igual) o range (interval inclusiu dels valors que pot pendre el port).
• port: el port pel que es permet o denega el trànsit.

Quan s’ha generat l’ACL cal associar-la a una interfície com fèieu amb les estàndard (amb l’ordre ip access-group) i les esteses, però utilitzeu el nom en lloc del codi d’ACL.

BCN(config)# ip access-list extended denega-web
BCN(config-ext-nacl)# deny tcp 11.0.0.0 0.255.255.255 172.17.0.0 0.0.255.255 eq 80
BCN(config-ext-nacl)# permit any any
BCN(config-ext-nacl)# exit
BCN(config)# interface fastethernet 0/0 
BCN(config-if)#ip access-group denega-web in
BCN(config-if)#exit
BCN(config)#exit
BCN# show access-list

La configuració d’un encaminador pot resultar de vegades complicada a l’hora de detectar errors. Podem tenir fallades de dispositius físics, com són les interfícies, problemes d’encaminament o configuracions errònies. Per tot això hem de saber diagnosticar, reconfigurar i resoldre les incidències que puguin aparèixer.

El diagnòstic de fallades és el procés que permet que l’administrador de la xarxa tingui les eines necessàries per determinar quins són els problemes que tenim en una xarxa. És important que disposem d’un procés de diagnòstic i resolució de problemes estructurat i amb una seqüència determinada.

El procés de resolució de problemes el podem comparar amb una recepta de cuina, per tenir un plat que compleixi les expectatives dels vostres clients hem de seguir unes pautes, aquestes pautes poden variar de vegades però el resultat definitiu ha de ser l’esperat. La majoria de processos de resolució de problemes podrien seguir el disseny de la figura, és molt important destacar la necessitat de documentar la resolució de problemes i tenir una base de dades amb totes les incidències de la xarxa.

Les fallades de configuració en els encaminadors o les fallades en les interfícies són els problemes més comuns, per tal de determinar el tipus d’errada fareu proves de connectivitat i configuració seguint el model de configuració OSI, primer comprovarem les connexions físiques, a continuació les d’enllaç i així successivament, ascendint per la jerarquia de capes.

Les fallades més comunes en les xarxes es produeixen per una connexió deficient dels dispositius de xarxa amb els diferents medis de transmissió, les proves de capa física i d’enllaç determinen aquests problemes. Fem un seguit d’accions en els medis de transmissió i les configuracions de les interfícies.

Quan detectem una fallada de xarxa, el primer que cal fer és comprovar si les connexions són les adequades, les fallades de la capa física són les que es mostren en la taula.

A continuació cal determinar si l’errada es produeix en la capa d’enllaç atesa una configuració incorrecta de les interfícies, les més comunes són les que es mostren en la taula.

Per observar l’estat de les interfícies en un encaminador disposem de dues ordres que ens informen de l’estat de la línia, i dels protocols de transmissió actius:

Us mostra informació referent a l’estat de les interfícies, si no estan ben connectades us mostra que la connexió no és correcta. A continuació vegeu el resultat de l’ordre, concretament show interfaces serial 2/0:

Mad#show interfaces serial 2/0
Serial2/0 is up, line protocol is down (disabled)
  Hardware is HD64570
  Internet address is 172.17.1.1/16
  MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation HDLC, loopback not set, keepalive set (10 sec)
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0 (size/max/drops); Total output drops: 0
  Queueing strategy: weighted fair
  Output queue: 0/1000/64/0 (size/max total/threshold/drops)
     Conversations 0/0/256 (active/max active/max total)
     Reserved Conversations 0/0 (allocated/max allocated)
     Available Bandwidth 96 kilobits/sec
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     0 packets output, 0 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 output buffer failures, 0 output buffers swapped out
     0 carrier transitions
     DCD=up  DSR=up  DTR=up  RTS=up  CTS=up

Observant la sortida de l’ordre podem concloure:

• Serial2/0 is up, line protocol is up: la configuració en la interfície serial és correcta, el medi s’ha connectat i s’ha configurat el rellotge, si no, els paràmetres apareixerien com a serial 2/0 down, line protocol is down.
• Internet address 172.17.1.1/16: s’ha configurat l’adreça amb aquesta IP i us informa de la màscara, és de 16 bits.
• Encapsulation HDLC: l’encapsulació de dades de capa d’enllaç és correcta, es fa normalment amb el protocol HDLC, aquest protocol permet que les dades s’enviïn amb un format de trama determinat pel protocol, a més, proporciona correcció d’errors i fiabilitat en la transmissió.
• Estadístiques: mostra estadístiques del trànsit de la interfície, i de les cues.

Aquesta ordre ens mostra informació del tipus de cable, si s’ha configurat un rellotge en les interfícies serials i detalls tècnics del controlador de la interfície. A continuació vegem el resultat d’executar l’ordre show controllers serial 2/0.

Mad#show controllers serial 2/0
Interface Serial2/0
Hardware is PowerQUICC MPC860
DCE V.35, no clock
idb at 0x81081AC4, driver data structure at 0x81084AC0
SCC Registers:
General [GSMR]=0x2:0x00000000, Protocol-specific [PSMR]=0x8
Events [SCCE]=0x0000, Mask [SCCM]=0x0000, Status [SCCS]=0x00
Transmit on Demand [TODR]=0x0, Data Sync [DSR]=0x7E7E
Interrupt Registers:
Config [CICR]=0x00367F80, Pending [CIPR]=0x0000C000
Mask   [CIMR]=0x00200000, In-srv  [CISR]=0x00000000
Command register [CR]=0x580
Port A [PADIR]=0x1030, [PAPAR]=0xFFFF
       [PAODR]=0x0010, [PADAT]=0xCBFF
Port B [PBDIR]=0x09C0F, [PBPAR]=0x0800E
       [PBODR]=0x00000, [PBDAT]=0x3FFFD
Port C [PCDIR]=0x00C, [PCPAR]=0x200
       [PCSO]=0xC20,  [PCDAT]=0xDF2, [PCINT]=0x00F
Receive Ring
        rmd(68012830): status 9000 length 60C address 3B6DAC4
        rmd(68012838): status B000 length 60C address 3B6D444
Transmit Ring
        tmd(680128B0): status 0 length 0 address 0
        tmd(680128B8): status 0 length 0 address 0
        tmd(680128C0): status 0 length 0 address 0
        tmd(680128C8): status 0 length 0 address 0
        tmd(680128D0): status 0 length 0 address 0
        tmd(680128D8): status 0 length 0 address 0
        tmd(680128E0): status 0 length 0 address 0
        tmd(680128E8): status 0 length 0 address 0
        tmd(680128F0): status 0 length 0 address 0
        tmd(680128F8): status 0 length 0 address 0
        tmd(68012900): status 0 length 0 address 0
        tmd(68012908): status 0 length 0 address 0
        tmd(68012910): status 0 length 0 address 0
        tmd(68012918): status 0 length 0 address 0
        tmd(68012920): status 0 length 0 address 0
        tmd(68012928): status 2000 length 0 address 0

tx_limited=1(2)
 
SCC GENERAL PARAMETER RAM (at 0x68013C00)
Rx BD Base [RBASE]=0x2830, Fn Code [RFCR]=0x18
Tx BD Base [TBASE]=0x28B0, Fn Code [TFCR]=0x18
Max Rx Buff Len [MRBLR]=1548
Rx State [RSTATE]=0x0, BD Ptr [RBPTR]=0x2830
Tx State [TSTATE]=0x4000, BD Ptr [TBPTR]=0x28B0
 
SCC HDLC PARAMETER RAM (at 0x68013C38)
CRC Preset [C_PRES]=0xFFFF, Mask [C_MASK]=0xF0B8
Errors: CRC [CRCEC]=0, Aborts [ABTSC]=0, Discards [DISFC]=0
Nonmatch Addr Cntr [NMARC]=0
Retry Count [RETRC]=0
Max Frame Length [MFLR]=1608
Rx Int Threshold [RFTHR]=0, Frame Cnt [RFCNT]=0
User-defined Address 0000/0000/0000/0000
User-defined Address Mask 0x0000


buffer size 1524

PowerQUICC SCC specific errors:
0 input aborts on receiving flag sequence
0 throttles, 0 enables
0 overruns
0 transmitter underruns
0 transmitter CTS losts
0 aborted short frames

Us proporciona la informació següent:

• DCE V35: tipus de medi connectat.
• Clock rate 56000: s’ha configurat la sincronització de dades.
• Registres de configuració: registres amb informació tècnica del controlador, s’han de conèixer les especificacions del fabricant.

Les falles de la capa de xarxa es poden produir per diversos motius, els més comuns són configuracions incorrectes de TCP/IP o perquè els protocols d’encaminament no funcionen correctament, també pot passar que les llistes de control d’accés siguin incorrectes. La taula us mostra les principals fallades de la capa de xarxa, la seva descripció i la possible solució.

Els problemes de la capa de xarxa els podem classificar pel seu origen, depenent de diversos factors, com ara problemes de configuració TCP/IP, el tipus de protocol dinàmic o els filtres que s’utilitzen en l’encaminador.

Els problemes de configuració en les interfícies radica en la introducció errònia de les adreces IP i/o de la màscara de xarxa. cal recordar que aquest pot ser un error que es produeix tant en els encaminadors com en els clients de xarxa.

La taula us mostra quines accions s’han de fer en els dispositius de la xarxa per determinar problemes, els clients han de tenir configurada la porta d’enllaç per permetre que les peticions a una xarxa diferent a la seva es puguin encaminar.

A continuació vegem la configuració TCP/IP d’un equip client mitjançant l’ordre ipconfig /all.

C:\>ipconfig /all

Configuración IP de Windows

        Nombre del host . . . . . . . . . : professor
        Sufijo DNS principal  . . . . . . :
        Tipo de nodo . . . . . . . . . .  : desconocido
        Enrutamiento habilitado. . . . . .: No
        Proxy WINS habilitado. . . . .    : No

Adaptador Ethernet Conexión de área local          :

        Sufijo de conexión específica DNS :
        Descripción. . . . . . . . . . .  : Adaptador Ethernet PCI AMD PCNET Family
        Dirección física. . . . . . . . . : 08-00-27-40-E6-2A
        DHCP habilitado. . . . . . . . .  : No
        Autoconfiguración habilitada. . . : Sí
        Dirección IP. . . . . . . . . . . : 192.168.0.3
        Máscara de subred . . . . . . . . : 255.255.255.0
        Puerta de enlace predeterminada   : 192.168.0.1
        Servidor DHCP . . . . . . . . . . : 192.168.0.1
        Servidores DNS . . . . . . . . . .: 8.8.8.8
                                            8.8.4.4

Un problema de xarxa molt important és la gestió del trànsit, això s’aconsegueix amb les ACL. Els problemes més comuns en configurar les llistes de control d’accés són els següents:

1. Generació de l’ACL: A l’hora de generar-les no s’ha seguit un ordre lògic de creació. Hem de tenir en compte que quan una ACL s’executa sempre s’utilitza la primera sentència que troba una coincidència, la resta es descarta. S’han de generar les llistes dels casos més específics als més generals. Cal examinar cada sentència de l’ACL per comprovar si els objectius que es volien assolir s’estan complint, s’han d’examinar les xarxes d’origen i destinació, els protocols que es permeten o es deneguen, i els ports o les aplicacions que es volen filtrar.
2. Assignació de l’ACL: Quan s’han generat les ACL s’han d’assignar a una interfície i s’ha d’indicar si examina el trànsit d’entrada o el de sortida. Si no s’aplica correctament podem tenir problemes de rendiment o de seguretat en els encaminadors. Per visualitzar les ACL cal veure els arxius de configuració o directament mostrar informació de totes les ACL mitjançant les ordres següents:
   • show ip access-list: mostra totes les llistes d’accés IP.
   • show access-list: mostra totes les llistes d’accés.

A continuació podeu observar el resultat de l’execució de l’ordre show access-list, mostra una taula amb informació de les ACL configurades en l’encaminador, s’han executat ambdues ordres, la diferència principal radica quin tipus d’ACL volem analitzar, totes les de l’encaminador o les que utilitzen el protocol IP.

Router(config)#access-list 101 deny tcp 10.0.0.0 0.255.255.255 192.168.1.0 0.0.0.255 eq 80
Router(config)#access-list 101 permit tcp any any
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group 101 in
Router(config-if)#exit
Router(config)#exit
Router#show access-list
Extended IP access list 100
    permit icmp host 10.0.0.2 host 192.168.1.3
    permit icmp host 192.168.1.3 host 10.0.0.2
Extended IP access list 101
    deny tcp 10.0.0.0 0.255.255.255 192.168.1.0 0.0.0.255 eq www
    permit tcp any any
Router#show access-list 101
Extended IP access list 101
    deny tcp 10.0.0.0 0.255.255.255 192.168.1.0 0.0.0.255 eq www
    permit tcp any any
Router#show ip access-list
Extended IP access list 101
    deny tcp 10.0.0.0 0.255.255.255 192.168.1.0 0.0.0.255 eq www
    permit tcp any any
Extended IP access list 100
    permit icmp host 10.0.0.2 host 192.168.1.3
    permit icmp host 192.168.1.3 host 10.0.0.2