IP : Routing IP

Información sobre el enrutamiento basado en políticas

20 Mayo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (10 Agosto 2005) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Configuraciones
     Diagrama de la red
     Configuración de firewall
Discusiones relacionadas de la comunidad de soporte de Cisco
Información relacionada

Introducción

El ruteo basado en políticas proporciona una herramienta para el reenvío y ruteo de paquetes de datos en base a las políticas definidas por los administradores de red. En efecto, se trata de una manera para que la política invalide las decisiones del protocolo de ruteo. El ruteo basado en políticas incluye un mecanismo para aplicar de forma selectiva las políticas basadas en la lista de acceso, el tamaño del paquete u otros criterios. Las acciones realizadas pueden abarcar el ruteo de paquetes en rutas definidas por el usuario, la configuración de la precedencia, los bits del tipo de servicio, etc.

En este documento, se utiliza un firewall para traducir las direcciones privadas 10.0.0.0/8 en direcciones de Internet enrutables que pertenezcan a la subred 172.16.255.0/24. Véase el diagrama siguiente para obtener una explicación visual.

Consulte ruteo basado en políticas para obtener más información.

Requisitos previos

Requisitos

No hay requisitos específicos para este documento.

Componentes utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software o de hardware.

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • Versión 12.3(3) del software Cisco IOS®

  • Routers de la serie 2500 de Cisco

La información que se presenta en este documento se creó a partir de dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si está trabajando en una red activa, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Convenciones

Si desea obtener más información sobre las convenciones del documento, consulte las Convenciones de consejos técnicos de Cisco.

Configuraciones

En este ejemplo, con un ruteo normal, todos los paquetes de la red 10.0.0.0/8 hacia Internet tomarán el trayecto por la interfaz ethernet 0/0 del router WAN de Cisco (a través de la subred 172.16.187.0/24), ya que es el mejor trayecto con una métrica menor. Con el ruteo basado en políticas pretendemos que estos paquetes tomen el trayecto hacia Internet a través del firewall; el comportamiento de ruteo normal debe anularse configurando la política de ruteo. El firewall traduce todos los paquetes de la red 10.0.0.0/8 que se dirigen a Internet, lo cual no es necesario para que funcione el ruteo basado en políticas.

Diagrama de la red

36.gif

Configuración de firewall

Se incluye la siguiente configuración de firewall para ofrecer una imagen completa. Sin embargo, no forma parte del tema del ruteo basado en políticas que se explica en este documento. El firewall de este ejemplo podría reemplazarse fácilmente por un PIX u otro dispositivo de firewall.

!

ip nat pool net-10 172.16.255.1 172.16.255.254 prefix-length 24

ip nat inside source list 1 pool net-10

!

interface Ethernet0

 ip address 172.16.20.2 255.255.255.0

 ip nat outside

!

interface Ethernet1

 ip address 172.16.39.2 255.255.255.0

 ip nat inside

!

router eigrp 1

 redistribute static

 network 172.16.0.0

 default-metric 10000 100 255 1 1500

!

ip route 172.16.255.0 255.255.255.0 Null0

access-list 1 permit 10.0.0.0 0.255.255.255

!

end

Consulte Direccionamiento IP y comandos de servicios para obtener más información sobre los comandos relacionados con ip nat

En este ejemplo, el router WAN de Cisco ejecuta el ruteo basado en políticas para asegurar que los paquetes IP que se originan a partir de la red 10.0.0.0/8 se envían a través del firewall. La siguiente configuración contiene una sentencia de lista de acceso que envía los paquetes que se originan a partir de la red 10.0.0.0/8 al firewall.

Configuración de Cisco_WAN_Router

!

interface Ethernet0/0

 ip address 172.16.187.3 255.255.255.0

 no ip directed-broadcast

!

interface Ethernet0/1

 ip address 172.16.39.3 255.255.255.0

 no ip directed-broadcast

!

interface Ethernet3/0

 ip address 172.16.79.3 255.255.255.0

 no ip directed-broadcast

 ip policy route-map net-10

!

router eigrp 1

 network 172.16.0.0

!



access-list 111 permit ip 10.0.0.0 0.255.255.255 any

!

route-map net-10 permit 10

 match ip address 111

 set interface Ethernet0/1

!

route-map net-10 permit 20

!

end

Consulte la documentación de los route-map comandos para obtener más información sobre los comandos relacionados con route-map.

Configuración del router 1 de Cisco

!

version 12.3



!



interface Ethernet0



!-- Interfaz conectando con la red 10.0.0.0



ip address 10.1.1.1 255.0.0.0





!

interface Ethernet1



!-- Interfaz conectando con el Cisco_Wan_Router

ip address 172.16.79.4 255.255.255.0



!

router eigrp 1

network 10.0.0.0

network 172.16.0.0

no auto-summary

!



!---Resultado suprimido

Configuración del Internet_Router

!

version 12.3



!

interface Ethernet1



!-- Interfaz conectando con el Firewall



ip address 172.16.20.1 255.255.255.0





interface Serial0



!--- Interfaz conectando con Internet

ip address 192.1.1.2 255.255.255.0

clockrate 64000

no fair-queue

!

interface Ethernet0



!--- Interfaz conectando con el Cisco_Wan_Router

ip address 172.16.187.1 255.255.255.0

!



!

router eigrp 1

redistribute static



!--- Redistribución de la ruta estática predeterminada para que los demás routers lleguen a Internet

network 172.16.0.0

no auto-summary

!

ip classless

ip route 0.0.0.0 0.0.0.0 192.1.1.1



!-- Ruta estática predeterminada dirigida al router conectado a Internet



!---Resultado suprimido

Al probar este ejemplo, un ping originado en 10.1.1.1 del router 1 de Cisco, mediante el comando extended ping, se envío a un host de Internet. En este ejemplo, se utilizó 192.1.1.1 como dirección de destino. Para ver lo que ocurre en el router de Internet, se desconectó la conmutación rápida mientras se utilizaba el comando debug ip packet 101 detail.

advertenciasAdvertencias: El uso del comando debug ip packet detail en un router de producción puede suponer una alta utilización de la CPU, lo que puede provocar una degradación grave del desempeño o una interrupción de la red. Recomendamos que lea detenidamente la sección Uso del comando debug de la Comprensión de los comandos ping y traceroute antes de utilizar los comandos de depuración.

Nota: La sentencia access-list 101 permit icmp any any se utiliza para filtrar el resultado de debug ip packet . Sin esta lista de acceso, el comando debug ip packet puede generar tantos resultados en la consola que puede llegar a bloquear el router.

Results of ping from Cisco_1 to 192.1.1.1/internet taken from Internet_Router:

Packet never makes it to Internet_Router



Cisco_1# ping

Protocol [ip]:

Target IP address: 192.1.1.1

Repeat count [5]:

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: y

Source address or interface: 10.1.1.1

Type of service [0]:

Set DF bit in IP header? [no]:

Validate reply data? [no]:

Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.1.1.1, timeout is 2 seconds:

Packet sent with a source address of 10.1.1.1

.....

Success rate is 0 percent (0/5)

Como puede observar, el paquete no consiguió llegar al router de Internet. Los comandos de depuración siguientes, extraídos del router WAN de Cisco, muestran por qué ocurrió.

Debug commands run from Cisco_WAN_Router:

"debug ip policy"

*Mar  1 00:43:08.367: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match

*Mar  1 00:43:08.367: IP: route map net-10, item 10, permit

!--- El paquete con la dirección de origen que pertenece a la red 10.0.0.0/8

!--- coincide con la sentencia 10 del mapa de ruta "net-10".



*Mar  1 00:43:08.367: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100, policy routed

*Mar  1 00:43:08.367: Ethernet3/0 to Ethernet0/1 192.1.1.1

!---  los paquetes coincidentes previamente se reenvían fuera de la interfaz

!--- ethernet 0/1 por el comando set.

El paquete coincidió con la entrada de política 10 en el mapa de políticas net-10, tal como se esperaba. Así pues, ¿por qué razón el paquete no consiguió llegar al router de Internet?

"debug arp"

*Mar  1 00:06:09.619: IP ARP: creating incomplete entry for IP address: 192.1.1.1 interface Ethernet0/1

*Mar  1 00:06:09.619: IP ARP: sent req src 172.16.39.3 00b0.64cb.eab1,

                 dst 192.1.1.1 0000.0000.0000 Ethernet0/1

*Mar  1 00:06:09.635: IP ARP rep filtered src 192.1.1.1 0010.7b81.0b19, dst 172.16.39.3

                 00b0.64cb.eab1 wrong cable, interface Ethernet0/1



Cisco_Wan_Router# show arp

Protocol  Address          Age (min)  Hardware Addr   Type   Interface

Internet  172.16.39.3             -   00b0.64cb.eab1  ARPA   Ethernet0/1

Internet  172.16.39.2             3   0010.7b81.0b19  ARPA   Ethernet0/1

Internet  192.1.1.1               0   Incompleta      ARPA

El resultado de debug arp muestra lo siguiente. El router WAN de Cisco intenta llevar a cabo las instrucciones y colocar los paquetes directamente en la interfaz ethernet 0/1. Para ello, es necesario que el router envíe una solicitud de Protocolo de resolución de dirección (ARP) para la dirección de destino de 192.1.1.1. Entonces, el router se da cuenta de que no está en la interfaz y, por tanto, que la entrada ARP de esta dirección es "Incompleta", como muestra el comando show arp. A continuación, se genera un fallo de encapsulación, ya que el router no puede colocar el paquete en el cable sin una entrada ARP.

Si se especifica el firewall como salto siguiente, se puede evitar este problema y hacer que el mapa de ruta funcione de la manera prevista:

Config changed on Cisco_WAN_Router:

!

route-map net-10 permit 10

 match ip address 111

 set ip next-hop 172.16.39.2

!

Si se utiliza el mismo comando debug ip packet 101 detail en el router de Internet, podemos observar que el paquete toma el trayecto correcto. También podemos ver que el firewall ha traducido el paquete a 172.16.255.1 y que la máquina a la que se hace ping, 192.1.1.1, ha respondido:

Cisco_1# ping

Protocol [ip]:

Target IP address: 192.1.1.1

Repeat count [5]:

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: y

Source address or interface: 10.1.1.1

Type of service [0]:

Set DF bit in IP header? [no]:

Validate reply data? [no]:

Data pattern [0xABCD]:

Loose, Strict, Record, Timestamp, Verbose[none]:

Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.1.1.1, timeout is 2 seconds:

Packet sent with a source address of 10.1.1.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 68/70/76 ms



Results of ping from Cisco_1 to 192.1.1.1/internet taken from Internet_Router:

Internet_Router#

*Mar  1 00:06:11.619: IP: s=172.16.255.1 (Ethernet1), d=192.1.1.1 (Serial0), g=192.1.1.1, len 100, forward

*Mar  1 00:06:11.619:     ICMP type=8, code=0

!--- El firewall traduce a 172.16.255.1 los paquetes originados en 10.1.1.1

!--- antes de llegar al Internet_Router.



*Mar  1 00:06:11.619:

*Mar  1 00:06:11.619: IP: s=192.1.1.1 (Serial0), d=172.16.255.1 (Ethernet1), g=172.16.20.2, len 100, forward

*Mar  1 00:06:11.619:     ICMP type=0, code=0

!--- Los paquetes que vuelven de Internet llegan a la dirección

!--- de destino 172.16.255.1 antes de que llegue al firewall.

*Mar  1 00:06:11.619:

El comando debug ip policy del router WAN de Cisco muestra que el paquete se reenvío al firewall, 172.16.39.2:

Comandos de depuración ejecutados desde Cisco_WAN_Router

"debug ip policy"

*Mar  1 00:06:11.619: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match

*Mar  1 00:06:11.619: IP: route map net-10, item 20, permit

*Mar  1 00:06:11.619: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100, policy routed

*Mar  1 00:06:11.619: Ethernet3/0 to Ethernet0/1 172.16.39.2

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 10116