28 de junio de 2015



¿Qué es una SVI?

Cuando ingresamos en el mundo de los switches capa 3 uno de los primeros conceptos que se incorporan es el de SVI (Switch Virtual Interface).

¿Qué es una SVI?
Se trata de una interfaz virtual, no vinculada a ningún puerto físico del dispositivo, que opera como una interfaz completa (incluyendo capa 3) de salida de una VLAN.
Típicamente una SVI es el default gateway de las terminales que forman parte del dominio de broadcast definido por una VLAN. Proporciona posibilidades de procesamiento en capa 3 a los paquetes que tienen origen o destino en puertos que son parte de la VLAN, en consecuencia es posible configurar la mayoría de los features vinculados a capa 3 de los puertos de los routers (dirección IP, ACLs, etc.) en estas interfaces.

¿Para qué utilizaría una SVI?
Estas interfaces virtuales tienen múltiples aplicaciones, entre las principales podemos mencionar:
  • Proporcionar en los switches capa 3 un interfaz que pueda operar como gateway de la VLAN, permitiendo de este modo enrutar tráfico hacia y desde las VLANs sin necesidad de un router.
  • Permitir el bridging de VLANs en el caso de protocolos no ruteables.
  • Posibilitar la conectividad de capa 3 en los switches (como en los switches LAN, donde se utiliza una SVI para definir la IP de gestión).
  • Soportar la configuración de protocolos de enrutamiento.

SVIs en Cisco IOS
  • Los switches Catalyst (tanto capa 2 como capa 3) presentan una interfaz SVI creada por defecto que es la interfaz VLAN1. Dado que la VLAN 1 es por defecto la VLAN de gestión en switches Catalyst, esta es la interfaz en la que se ingresa la configuración IP necesaria para el acceso por Telnet, SSH, HTTP y HTTPS.
  • El comando interface vlan [ID] permite crear una SVI asociada a la VLAN cuyo ID se aplica, e ingresar al modo de configuración de esa interfaz.
  • Se realiza un mapeo uno a uno entre VLANs y SVIs ,por lo tanto cada SVI puede estar asociada a una única VLAN, y cada VLAN puede asociarse a una única SVI.
Para que una SVI (la interfaz) se muestre como up/up es necesario que:
  • La VLAN exista y esté activa en la base de datos de VLANs del switch.
  • Que la interfaz VLAN no se encuentre administratively down (por defecto en IOS están en este estado).
  • Exista al menos un puerto (de acceso o troncal) activo y en estado de STP forwarding sobre esa VLAN
Configuración de una SVI
  • Identifique a qué VLAN desea dotar de un gateway.
  • Si no existe la VLAN en el dispositivo, créela (puede utilizar el comando show vlan brief para verificar esto).
  • Cree la SVI con el comando interface vlan [ID].
  • Habilite administrativamente la interfaz.
  • Asigne la configuración IP necesaria a la interfaz.
  • Asegúrese que el enrutamiento IP se encuentre habilitado en el dispositivo.
  • Si es necesario, configure el protocolo de enrutamiento deseado.
Una vez creadas las SVIs pueden monitorearse con los comandos de monitoreo de interfaces regulares, como por ejemplo show ip interfaces brief.

Switch#configure terminal
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#interface vlan 10
Switch(config-if)#no shutdown
Switch(config-if)#ip address 172.16.1.1 255.255.255.0
Switch(config-if)#exit
Switch(config)#ip routing

Enlace de referencia:


5 de junio de 2015

Enrutamiento IP en entornos con VRFs

Cuando implementamos VRFs podemos diferencias, en principio, 2 redes que están operando e interactuando entre sí:
  • La red de servicios que es la que opera brindando conectividad entre extremos distantes. Este es el rol esencial de la red del Proveedor de Servicios clásico.
  • La red cliente que es la red dispersa que necesita interconectar puntos remotos a través de la red de servicios. Si bien en la gráfica de más abajo representé una única red cliente para mayor claridad, sobre una red de servicio pueden conectarse múltiples redes cliente diferentes sin que ocurran superposiciones de ningún tipo.
Cada una de estas redes tienen su propio dominio de enrutamiento, completamente independiente. Para que todo esto funcione hay que considerar 3 dominios de enrutamiento diferentes:
  • El dominio de enrutamiento de la red cliente que utiliza un protocolo de enrutamiento para gestionar las rutas de la red cliente. Típicamente es un IGP (RIPv2, EIGRP, OSPF), pero también es posible que utilice BGP.
  • El dominio de enrutamiento de la red de servicios que utiliza un protocolo de enrutamiento interior para gestionar las rutas de la red de servicios. Típicamente encontramos en este caso OSPF, EIGRP o IS-IS.
  • El dominio de enrutamiento BGP de la red de servicios que utiliza un address-family vpnv4  para transportar las rutas de la red cliente a través de la red de servicios.
Para que BGP pueda transportar las rutas de la red cliente es necesario que se redistribuyan las rutas de la red cliente dentro de un address-family asociado a la VRF de la red cliente, del mismo modo que las rutas del address-family luego deben ser redistribuidas dentro de la VRF.
De esta forma, el transporte de rutas de la red cliente sobre la red de servicios puede ser representado de la siguiente manera:
Consecuencias de esto:
  • Las rutas de la red cliente solamente se encuentran en la tabla de enrutamiento de las VRFs y los CEs. Nunca se incorporan a la tabla de enrutamiento de la red de servicios (PEs y Ps).
  • Las rutas de la red de servicios nunca se mezclan con las rutas de las VRFs.
  • Cuando hay múltiples VRFs en un mismo PE, las rutas de cada VRF se mantienen independientemente unas de otras.
  • En el router P nunca se encuentran rutas de las redes cliente.

29 de mayo de 2015

Elementos básicos de VRF

Una tecnología sobre la que no se habla habitualmente es la implementación de VRFs (Virtual Routing and Forwarding). Se la suele vincular a la implementación de VPNs MPLS, donde es un recurso necesario, pero también es un recurso útil cuando debemos intercambiar rutas de múltiples redes diferentes sobre una misma infraestructura de enrutamiento, manteniendo las rutas de cada red totalmente independientes.
Por ese motivo me pareció adecuado dedicar un post al menos a los rudimentos de las VRFs.

Como se desprende de lo que dije antes, podemos utilizar VRFs para mantener múltiples instancias de enrutamiento de modo simultáneo en un único router. En este caso, cada instancia de enrutamiento es totalmente independiente, con su propia tabla de enrutamiento, sin interacción con el enrutamiento de otra instancias, lo que permite incluso que haya superposición de redes IP en una misma infraestructura sin que haya conflictos de direccionamiento.

Una VRF está definida por un conjunto de elementos específicos:
  • Un Nombre que la identifica localmente en el dispositivo y permite ingresar al modo de configuración de esa VRF específica.
  • Un Route Distinguisher que identifica dentro de una red las VRFs que componen la misma red virtual y que intercambian información de enrutamiento entre sí.
  • Un Exported Route Target que identifica a qué otra VRF dentro de la misma red se envía información de enrutamiento de esa VRF.
  • Un Imported Route Target que idendifica de qué otra VRF dentro de la misma red se aprende información de enrutamiento para esa VRF.
  • Un conjunto de interfaces asociadas a la VRF.
Elementos de configuración básica

Router(config)#ip vrf Prueba1
Router(config-vrf)#rd 1:10
Router(config-vrf)#route-target export 1:10
Router(config-vrf)#route-target import 1:10
Router(config-vrf)#exit
Router(config)#interface GigabitEthernet2
Router(config-if)#ip vrf forwarding Prueba1

Hay que tener presente que al incorporar o retirar una interfaz de una VRF se remueve automáticamente la configuración IP existente en la interfaz y se deberá configurar nuevamente según corresponda.

La tabla de enrutamiento
Al crear VRFs se habilitan diferentes instancias de enrutamiento en un mismo dispositivo, separadas lógicamente. Cada instancia de enrutamiento es completamente independiente y se mantiene una tabla de enrutamiento para cada instancia.
De esta manera, en un router que implementa VRFs se encuentran varias tablas de enrutamiento:
  • La tabla de enrutamiento global o de la infraestructura, en la que se mantienen las rutas propias de la infraestructura física.
    Se consulta utilizando el comando:
    Router#show ip route
  • Una tabla de enrutamiento independiente por cada VRF, en la que se encuentran exclusivamente las rutas de la red virtual a la que pertenece esa VRF.
    Su estructura es resultado del intercambio de información de enrutamiento con otras VRFs de la misma red virtual definido utilizando los comandos route-target.
    Se consulta utilizando el comando:
    Router#show ip route vrf Prueba1
El enrutamiento de cada VRF es completamente independiente, del mismo modo que el direccionamiento IP asociado a las interfaces y al enrutamiento. Por lo tanto cada VRF puede tener sus propias rutas estáticas o instancia de un protocolo de enrutamiento. La metodología de configuración del protocolo de enrutamiento en cada VRF cambia ligeramente según el protocolo del que se trate.
Adicionalmente, a nivel de la infraestructura se utiliza una instancia de MP-BGP para transportar la información de enrutamiento entre VRFs de diferentes routers que deben intercambiar información de enrutamiento.


Recursos:

27 de mayo de 2015

Cisco presenta 2 nuevos tracks de certificación

Cisco Systems acaba de presentar dos nuevos tracks de certificación:
  • Cloud.
    Con las certificaciones CCNA Cloud y CCNP Cloud.
  • Industrial.
    Por ahora con solamente la certificación CCNA Industrial.
CCNA Cloud
Se trata de una certificación orientada a ingenieros y administradores de de sistemas cloud, así como ingenieros de redes que desean desarrollar y validar conocimientos y habilidades requeridas por estas nuevas tecnologías de certificación. Es la certificación de acceso al mundo de las soluciones cloud propuestas por Cisco.
  • Pre-requisitos: No tiene
  • Exámenes requeridos:
         210-451 CLDFND - Understanding Cisco Cloud Fundamentals
         210-455 CLDADM - Introducing Cisco Cloud Administration
                                         Este examen estará disponible a partir del mes de julio.
  • Validez: 3 años (ver aparte los criterios de re-certificación).
CCNP Cloud
En este nivel de certificación se consideran tanto redes públicas, privadas e híbridas como soluciones intercloud. Es una certificación basada en entrenamientos sobre laboratorios orientados a ingenieros, diseñadores, administradores y arquitectos de data centers.
  • Pre-requisitos: CCNA Cloud o una certificación CCIE.
  • Exámenes requeridos:
         300-504 CLDINF - Implementing and Troubleshooting the Cisco
                                       Cloud Infrastructure.
         300-505 CLDDES - Designing the Cisco Cloud.
         300-506 CLDAUT - Automating the Cisco Enterprise Cloud.
         300-507 CLDDACI - Building the Cisco Cloud with Application
                                          Centric Infrastructure.
         Estos exámenes estarán disponibles a partir del mes de agosto.
  • Validez: 3 años (ver aparte los criterios de re-certificación).
CCNA Industrial
Orientado a profesionales de las áreas de operaciones, control y redes IT que trabajan en plantas industriales y requieren conocimientos y habilidades necesarios para implementar y gestionar las redes de estas plantas en las cuales se da la convergencia de IT con redes industriales. Se centra en los estándares más comunes utilizados en la industria, incorporando las mejores prácticas de conectividad en esas redes.
  • Pre-requisitos:
          CCENT
          o Cisco Industrial Networking Specialist.
  • Examen requerido:
          200-601 IMINS2 - Managing Industrial Networking for Manufacturing
                                        with Cisco Technologies
  • Validez: 3 años (ver aparte los criterios de re-certificación).
De esta manera, Cisco ofrece ahora 9 rutas de certificación, con la incorporación de Cloud e Industrial, mientras se retira Video y Voice.
Por el momento no hay anuncio de una posible certificación CCNP Industrial y nuevos CCIEs.

Para verificar pre-requisitos y requisitos de recertificación, puede revisar la presentación en nuestro repositorio de SlideShare:

Enlaces de referencia:

25 de mayo de 2015

Diagnóstico de interfaces en Cisco IOS

Hace ya algún tiempo que me solicitaron un esquema de diagnóstico del estado de las interfaces en dispositivos Cisco IOS.
Si bien el proceso de diagnóstico de una situación o dispositivo no es fruto exclusivamente de un procedimiento pre-definido sino que depende en mucho de la experiencia y conocimientos de quien lo realiza, creo que es posible revisar el conjunto de herramientas que ofrece Cisco IOS para el diagnóstico de interfaces de routers de un modo relativamente ordenado.

Lo que elaboro a continuación es un esquema personal, que pretende ordenar un proceso de diagnóstico genérico del estado de interfaces de un router Cisco que utiliza Cisco IOS 15.4 y al que se está accediendo remotamente. En cada comando he agregado el enlace para revisar el comando en la command guide para que quienes quieran profundizar en él puedan hacerlo en la fuente misma.

show ip interface brief
A mi modo de ver, el primer comando de diagnóstico a ejecutar cuando se está accediendo remotamente a un equipo es show ip interface brief.
Este comando nos permite requerir al sistema operativo una tabla sintética que nos permite visualizar de modo rápido y sencilo el estado de cada una de las interfaces que tiene configuración IP:



En un dispositivo operativo:
  • La columna IP-Address nos muestra la dirección IP configurada en cada interfaz.
  • La columna OK? debe indicarnos YES. La leyenda NO indica que se ha asignado a la interfaz una dirección IP inválida.
  • La columna Method indica el método a través del cual se ha obtenido la configuración IP de la interfaz: NVRAM refiere al archivo de configuración almacenado en la NVRAM, manual indica que ha sido cambiada la dirección IP utilizando configuración por CLI, DHCP refiere que la interfaz está configurada como cliente DHCP y ha obtenido dirección por ese método.
  • La columna Status muestra el estado de las interfaces (up | down | administratively down). Para estar operativa la interfaz debiera aparecer como up.
  • La columna Protocol indica que la interfaz se encuentra operativa a todo nivel.
En condiciones de operación, el comando debiera mostrarnos up/up todas las interfaces en uso, y como administratively down las interfaces que no se encuentran en uso.
Enlace de referencia: aquí.

Si una interfaz aparece como down/down, es posible que tenga inconvenientes a nivel de capa física. Es por esto que para diagnosticar adecuadamente necesitamos revisar capa física.

show controllers
Este comando nos permite revisar la información referente a hardware y software de la interfaz, y consecuentemente el estado físico de la misma.
La información que brinda este comando es variable de acuerdo al tipo de interfaz de la que se trate (Ethernet, FastEthernet, GigabitEthernet, Serial, etc.)
Es un comando con abundante información que generalmente es requerido en solicitudes de soporte a Cisco TAC. Sin embargo, nos brinda información útil también a nosotros, p.e., en interfaces seriales permite verificar si hay cable conectado y si el mismo es DCE o DTE, el clockrate que utiliza, el estado de la interfaz, etc.
Enlace de referencia: aquí.

show interfaces
En interfaces que se encuentran operativas permite visualizar el estado y estadísticas de operación de las interfaces.
Este comando permite verificar: estado de la interfaz, tipo de hardware que utiliza, dirección MAC, dirección IP y máscara de subred, parámetros de operación (MTU, BW, etc.), protocolo de encapsulación, y estadísticas de tráfico tanto entrante como saliente. El resultado específico y los parámetros que se muestran dependen de la configuración y tipo de interfaz.



Este comando lo utilizamos específicamente para, además de verificar el estado de la interfaz, verificar la actividad de la misma utilizando los contadores de paquetes y bytes que nos permiten corroborar la actividad que hay sobre la misma y la tasa y tipo de errores.

Enlace de referencia: aquí.

show interfaces accounting
Este no es más que un subcomando del comando anterior.
Si lo que necesitamos es verificar actividad de tráfico entrante y saliente a través de las interfaces, este es un comando que muestra de modo sintético la actividad de tráfico entrante y saliente a través de cada interfaz del dispositivo.




Las interfaces que no se encuentran operativas muestran la leyenda is disabled.

show ip interfaces
Este comando nos permite verificar, además del estado y dirección IP de la interfaz, la configuración y operación de la misma: proxy ARP, ICMP, presencia o no de ACLs asociadas, implementación de políticas, o de CEF, etc.



Enlace de referencia: aquí.

Sintetizando:

  • Revisar el estado de las interfaces utilizando show ip interface brief.
  • Si alguna interfaz está down / down, verificar la operación a nivel de capa física utilizando show controllers.
  • Si una interfaz está up / down, verificar la operación la operación a nivel de capa de enlace y capa de red utilizando show interfaces.
  • Si las interfaces se encuentran up / up, verificar el flujo de tráfico y la tasa de errores utilizando show interfaces o show interfaces accounting.
  • Ante dificultades en la operación de la interfaz, verificar el modo de operación y la configuración utilizando show ip interface.
En términos generales, verifique el estado de las interfaces utilizando show ip interface brief según lo que indiquen las columnas status y protocol:
  • administratively down / down - la interfaz no ha sido habilitada administrativamente. Requiere no shutdown para ser operativa.
  • down / down - posible problema a nivel de la capa física. Inicie verificando la interfaz utilizando show controllers.
  • up / down - Posible problema a nivel de capa de enlace de datos o de red puede comenzar utilizando show interfaces.
  • up / up - La interfaz se encuentra operativa, verifique la existencia de tráfico a través de la interfaz utilizando show interfaces o show interfaces accounting.
  • Si la interfaz está operativa y persisten los problemas de comunicación, verifique la operación de la interfaz utilizando show ip interface.



17 de mayo de 2015

La tabla de enrutamiento en Cisco IOS (2)

Continuando la publicación anterior sobre la tabla de enrutamiento en Cisco IOS, en este video reviso la estructura de la tabla de enrutamiento tal como se visualiza utilizando el comando show ip route.
Para este video he utilizado una topología completamente virtualizada compuesta por 5 routers Cisco CSR1000V que utiliza Cisco IOS-XE 03.12.00.S que corresponde a un IOS 15.4(2)S.