25 de noviembre de 2006

Controle las actualizaciones de los protocolos de enrutamiento

La administración del uso del ancho de banda de nuestros enlaces es un punto sensible en la tarea diaria del Administrador de la red.

En este punto es importante considerar el tráfico que generan los protocolos de enrutamiento que se implementan. Muchas veces carece de sentido el envío de actualizaciones de enrutamiento a través de interfaces a las que no hay conectados dispositivos que dialoguen utilizando ese mismo protocolo. En otras ocaciones, razones de seguridad hacen aconsejable no publicar el estado de nuestras redes a través de determinadas interfaces.

Filtrar el envío de actualizaciones de enrutamiento brinda 2 ventajas: optimiza el uso del ancho de banda de nuestros enlaces, a la vez que reduce el uso de la CPU de nuestros dispositivos.

Hay dos modos básicos de filtrar el envío de actualizaciones de enrutamiento: el pasivado de interfaces y el uso de listas de distribución. En este artículo he de centrarme en el pasivado de interfaces utilizando el comando passive-interface.

El comando passive-interface
Cuando se desea configurar apropiadamente un protocolo de enrutamiento, este es un comando que es necesario conocer.

Es un comando de configuración del protocolo de enrutamiento y se utiliza para indicar al protocolo que se está configurando que NO envíe actualizaciones de enrutamiento a través de una interfaz determinada.

  • Este comando está disponible para ser utilizado con todos los protocolos de enrutamiento excepto BGP.
  • En RIP, IGRP y EIGRP, indica simplemente que no se envían actualizaciones, pero la interfaz seguirá copiando las que reciba de sus colindantes.
  • En OSPF la interfaz pasivada no recibirá ni enviará actualizaciones de enrutamiento.
  • Y OSPF y EIGRP, suprime el envío de paquetes hello, por lo que se impide el establecimiento de relaciones de vecindad con los colindantes. Por este motivo, en estos protocolo la sugerencia es implementar listas de distribución.

Primera forma de implementación
La primera forma de implementar el pasivado de interfaces es indicar qué interfaces deben pasar al estado pasivo, o no han de enviar actualizaciones.

Un ejemplo de configuración:

Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#network 172.16.0.0
Router(config-router)#network 172.17.0.0
Router(config-router)#network 172.18.0.0
Router(config-router)#passive-interface fastethernet 0/0

De este modo, luego de activar el protocolo en todas las redes directamente conectado indicamos que no se publiquen actualizaciones de enrutamiento a través de la interfas FastEthernet 0/0, a la que, por ejemplo, está conectada nuestra red LAN.

Segunda forma de implementación
Otra forma de pasivar interfaces es pasivar todas las interfaces que están comprometidas en el proceso de enrutamiento y luego habilitar el envío solamente a través de las interfaces elegidas.

Volviendo a nuestro ejemplo:

Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#network 172.16.0.0
Router(config-router)#network 172.17.0.0
Router(config-router)#network 172.18.0.0
Router(config-router)#passive-interface default
Router(config-router)#no passive-interface serial 0/1

En este caso se está bloqueando el envío de actualizaciones de enrutamiento a través de todas las interfaces del dispositivo, excepto la interfaz serial 0/1.

¿Tenés alguna información adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

18 comentarios:

  1. hola muy buena la explicacion me aclaro muchas cosas y gracias!! pero hay algo q no entiendo cuando dicen actualizaciones de ruteos a que se refiere? a q no se van enviar paquetes por esa interface? por ejemplo si hago un tracert a una ip 10.0.x.x desde una pc y tiene q pasar por la eth0 del router q tiene pasive-interface eth0 el tracert no pasa? bueno desde ya muchas gracias!!

    ResponderEliminar
  2. Passive-interface se aplica al filtrado de paquetes de actualización generados por los protocolos de enrutamiento, NO al filtrado de tráfico.
    El comando permite limitar el tráfico de información de enrutamiento (rutas, estado de enlaces, hello) entre dispositivos que utilizan un mismo protocolo de enrutamiento, a través de una interfaz o interfaces en particular.
    Si se ejecuta en tracert, los paquetes ICMP son tratados como tráfico de datos, y seguirán la ruta propuesta en la tabla de enrutamiento más allá de que esté filtrado el tráfico de enrutamiento en una interfaz o no.

    ResponderEliminar
  3. muhcas gracias!! por tu respuesta me sirvio mucho de verdad

    ResponderEliminar
  4. Muchas gracias por publicar estos datos son muy buenos aunque habemos aun algunos que nos complicamos mucho jaja...

    Mi pregunta es la siguiente: Si activo el comando passive-interface en una fa0/0 en donde esta mi LAN el router podra enviar actualizaciones o informacion de que esa LAN existe a los demas routers??

    Muchas gracias...

    ResponderEliminar
  5. Si. Por supuesto.
    El comando network x.x.x.x hace que la red se publique, y que se envíen y reciban actualizaciones a través de esa interfaz.
    Luego, el passive-interface suprime tanto el envío como la recepción de actualizaciones, pero no afecta la publicación de la red.

    ResponderEliminar
  6. excelente ahora lo entiendo muchas gracias...

    ResponderEliminar
  7. exelente la explicacion y los comentarios

    ResponderEliminar
  8. excelente explicación,
    A mi solo me falta acalarar la diferencia entre pasivar un interface loopback en ISIS y en OSPF. ¿Que diferencia hay entre ambos protocolos?
    Mil gracias
    Un saludo
    Ana

    ResponderEliminar
  9. No termino de entender a qué te refería.
    Si pasivar significa aplicar un passive interfaz, esto no tiene sentido en una interfaz de loopback porque es una interfaz lógica y por ella no se envía ni se reciben actualizaciones de enrutamiento.
    Respecto de IS-IS y OSPF la pregunta es muy amplia. Ambos son protocolos de enrutamiento por estado de enlace, pero OSPF es un protocolo IP e IS-IS no, es un protocolo de la ISO.

    ResponderEliminar
  10. Quien puede ayudarme a controlar esas actualizaciones de OSPF mediante listas de acceso (ACL) sin que se pierda el enrutamiento entre los dos Routers. Agradezco su ayuda de antemano

    ResponderEliminar
  11. Si lo que quieres es controlar actualizaciones de rutas específicas, sin perder la vecindad que se establece entre 2 routers OSPF, una solución pueden ser ACLs, pero otra más eficiente puede ser utilizar route maps. Todo depende de lo que quieras hacer.

    ResponderEliminar
  12. Estimado Oscar,

    Podrias aclararme la relacion de passive-interface y el no cdp neighbor?
    que tendria que hacer yo para conectar un router a una red y hacer que este no sea visto por dicha red? es decir conectarlo de forma invisible, pero la idea es que si pueda enrutar trafico.
    se puede hacer esto? mi idea es que no se distribuya la nueva informacion de la nueva red que quiero conectar, solo que aparezca como una IP mas dentro de ese segmento ya conocido.


    espero se entienda. saludos
    JOse Luis.

    ResponderEliminar
    Respuestas
    1. José Luis.
      CDP neighbor es un protocolo de descubrimiento de vecinos, opera en capa 2 y no tiene efecto directo en ninguna función operativa esencial de la red, como es el enrutamiento IP.
      Passive-interfaz es una función asociada a la operación de los protocolos de enrutamiento que evita que se envíen y procesen actualizaciones de enrutamiento a través de determinadas interfaces. Esto está directamente vinculado al enrutamiento IP.
      Lo que querés hacer es posible, la solución dependerá de la implementación real, la topología, la arquitectura de enrutamiento que se esté utilizando, etc. Es un caso que debe analizarse específicamente para diseñar la solución adecuada.

      Eliminar
  13. gracias por el conocimiento so y de Guatemala y estaba leyendo el bloc y esta muy buena por ahora no tengo duda mis instructores saben entonces cuando tenga alguna se los are saber y espero que me ayuden

    ResponderEliminar
  14. Saludos y gracias estoy tratando de entender, solo tengo una duda, también se puede configurar la passive-interface en la configuración de cada una de las interfaces? ya que veo que aquí lo haces desde la configuración de ospf. Gracias

    ResponderEliminar
    Respuestas
    1. Estimado.
      Al "pasivar" una interfaz se modifica el comportamiento por defecto de un protocolo de enrutamiento, de ahí que sea un feature que se define dentro de la configuración del protocolo. No es una propiedad de la interfaz.

      Eliminar
  15. Hola Oscar, Creo que entendi pero quiero despejar todas las dudas y si me puedes ayudar major.
    Cuando configuro las rutas dentro de OSPF debo configurar todas las rutas directamente conectadas para que participen dentro de el proceso de OSPF incluyendo las interfaces de LAN y como no es necesario que la LAN reciba no envie paquetes de hello (por ejemplo) para que no tenga trafico de mas la pongo como passive.
    Gracias. Genial el Blog

    ResponderEliminar
    Respuestas
    1. Es correcto. Es una interpretación posible.
      Al definir las "networks", definís qué redes vas a publicar, y a su vez a través de qué interfaces vas a aprender y publicar información de enrutamiento. Con passive interface suprimís esa publicación.

      Eliminar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.