Configuración de DHCP en equipos Cisco

Hola amigos, el día de hoy explicaré la operación básica de un DHCP, como se configura un router como DHCP y el funcionamiento de DHCP relay.

Vamos a iniciar mostrando el siguiente diagrama en donde se ilustra  el intercambio de mensajes entre un cliente y un dhcp server.

dhcp

Paso 1. El cliente inicia enviando un mensaje DHCPDISCOVER como un broadcast con la intención de encontrar algún servidor que este escuchando, dentro del mensaje va incluida la mac de cliente.

Paso 2. El servidor responde la solicitud con un DHCPOFFER, dentro del mensaje se contienen algunos parámetros como dirección ip, mascara y default gateway. El servidor incluye su dirección ip para que se pueda identificar quien realiza el offer, como el cliente aun no tiene una dirección ip, el servidor también realiza un broadcast para que el cliente pueda recibir el mensaje.

Paso 3. El cliente envía un DHCPREQUEST, en este confirma que esta de acuerdo con los parámetros que le entrego el servidor, como el cliente aun no tiene una ip formalmente asignada el request también se envía como broadcast.

Paso 4. El servidor envía un DHCPACK, en el mensaje ya van los parámetros de red que usará el cliente, el ack también es enviado como broadcast.

Como podemos ver, los mensajes que se intercambian durante la negociación entre el cliente y el servidor son broadcast, basado en lo anterior y utilizando la topología de nuestro diagrama, para que esto pueda funcionar el cliente y el servidor dhcp deben estar en el mismo dominio de broadcast, estas implementaciones no son lo mas recomendables ya que si fuera así cada LAN tendría un servidor dhcp y esto no es funcional, mas adelante veremos como podemos solucionar esta situación.

Configuración de Router como Servidor DHCP

A continuación mostraremos como configurar un router cisco como servidor DHCP, la topología que usaremos en nuestro ejemplo es la siguiente.

rdhcp

Objetivo: Configurar un pool llamada mydhcp, se utilizada la red 10.100.100.0/24, las direcciones serán renovadas cada 30 minutos, utilizaremos como dirección de gateway y dns la ip 10.100.100.254.

Iniciamos creando el pool.

R3(config)#ip dhcp pool mydhcp
R3(dhcp-config)#lease 0 0 30
R3(dhcp-config)#network 10.100.100.0 255.255.255.0
R3(dhcp-config)#default-router 10.100.100.254
R3(dhcp-config)#dns-server 10.100.100.254

Con la configuración anterior ya tenemos creado el pool, note que la dirección 10.100.100.254 debe ser asignada a una interface del router R3, dado esto, vamos a indicarle al DHCP que no asigne esa dirección a los clientes, en el ejemplo se esta indicando que se reserva el rango de direcciones de la .1 a la .8 y de la .252 a la .254.

R3(config)#ip dhcp excluded-address 10.100.100.252 10.100.100.254
R3(config)#ip dhcp excluded-address 10.100.100.1 10.100.100.8

Como punto final hay que configurar la interface del router que servira como gateway para la PC.

R3#conf t
R3(config)#in fa0/0
R3(config-if)#ip add 10.100.100.254 255.255.255.0
R3(config-if)#descr gateway
R3(config-if)#no shut

Con los pasos anteriores tenemos configurado nuestro dhcp local, bastara entrar al cliente y verificar que nuestro servidor DHCP no está asignando direcciones (ojo, la captura mostrada es de una PC simulada).

pc-dhcpPara verificar que nuestro pool reparte direcciones, en el router ejecutamos el comando «show ip dhcp pool» y confirmamos que ha sido entregada una dirección ip.

R3#sh ip dhcp pool

Pool mydhcp :
Utilization mark (high/low) : 100 / 0
Subnet size (first/next) : 0 / 0
Total addresses : 254
Leased addresses : 1
Pending event : none
1 subnet is currently in the pool :
Current index IP address range Leased addresses
10.100.100.10 10.100.100.1 – 10.100.100.254 1

 

Router como DHCP RELAY

Anteriormente habíamos comentado que el intercambio de mensajes entre un cliente y un servidor dhcp son broadcast, también habíamos dicho que bajo este supuesto un servidor dhcp entrega ips siempre y cuando el cliente y servidor estuvieran en la misma red, ahora ¿Que pasa cuando el servidor dhcp esta fuera de nuestra red local? básicamente el servidor no seria capaz de entregarle una ip al cliente, para solventar esta limitante podemos configurar un equipo como DHCP Relay utilizando el comando ip helper-address, de este modo el equipo intercepta los mensajes broadcast del cliente y los reenvía al servidor como mensajes unicast.

Para mostrar el funcionamiento de Relay utilizaremos la siguiente topología en donde el DHCP RELAY es nuestro router frontera y el DHCP esta en otro sitio diferente al nuestro, en la simulación se utiliza EIGRP en la WAN.

remote-dhcpComo se muestra en la figura, el router DHCP esta en el sitio remoto, las PCs están en nuestro red local y cada una pertenece a una vlan, el segmento de vlan 10 esta dentro del pool «plantabaja» y el segmento de la vlan 20 en «plantaalta», la intención del ejercicio es mostrar el funcionamiento de Dhcp Relay.

Es importante que entre los equipos router DHCP-RELAY y el router DHCP haya conectividad, para ello vamos a probar que alcanzamos la ip del enlace WAN del equipo DHCP.

R3#ping 10.30.30.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.30.30.1, timeout is 2 seconds:
!!!!!

Ahora vamos a configurar los pools para que asignen direcciones ips a los clientes, la configuración la realizamos en el router DHCP, en nuestro ejemplo las direcciones se renuevan cada 30 minutos, se esta indicando que las últimas direcciones validas no se asignen a los clientes ya que estas serán usadas como default gateway para las PCs.
DHCP(config)#ip dhcp pool plantabaja
DHCP(dhcp-config)#lease 0 0 30
DHCP(dhcp-config)#network 192.168.1.0 255.255.255.128
DHCP(dhcp-config)#default-router 192.168.1.126
DHCP(dhcp-config)#ip dhcp pool plantaalta
DHCP(dhcp-config)#lease 0 0 30
DHCP(dhcp-config)#network 192.168.1.128 255.255.255.128
DHCP(dhcp-config)#default-router 192.168.1.254

DHCP(config)#ip dhcp excluded-address 192.168.1.126
DHCP(config)#ip dhcp excluded-address 192.168.1.254

Ahora vamos a revisar que las interfaces en Router-Relay estén arriba, también se muestra la  configuración del trunk y de las subinterfaces, el comando que le da la funcionalidad de Relay al router es el ip helper-address.

R3#sh int des
Interface Status Protocol Description
Fa0/0 up up trunk a sw1
Fa0/0.10 up up LAN planta baja
Fa0/0.20 up up LAN planta alta
R3#sh run int fa0/0

interface FastEthernet0/0
ip address 192.168.2.200 255.255.255.0
speed 100
full-duplex
end

R3#sh run int fa0/0.10

interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.1.126 255.255.255.128
ip helper-address 10.30.30.1
end

R3#sh run int fa0/0.20

interface FastEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.1.254 255.255.255.128
ip helper-address 10.30.30.1
end

Con la configuración mostrada ya tenemos nuestro DHCP configurado y el router frontera comportándose como Relay, ahora las PCs deben obtener direccionamiento de los pools configurados, revisamos en las PCs y comprobamos que nuestra topología esta funcionando ya que si se están asignando direcciones IP a las PCs.

clienetsBueno, eso es todo por hoy y espero les sea de utilidad, saludos !!!!

 

 

Administración de IOS en equipos Cisco

Hola amigos, el día de hoy explicaremos el procedimiento para realizar la actualización del IOS de un equipo mediante un tftp externo, también se mostrara como configurar un equipo Cisco que se encuentre dentro de la red para que se comporte como Tftp Server.

Muchas veces nos vemos en la necesidad de realizar el upgrade/downgrade de la versión de IOS de un equipo, en este ejemplo, para realizar la administración utilizaremos un equipo Windows con tftpd32/tftpd64 configurado para que podamos respaldar y copiar nuestra imagen.

Como primer paso necesitamos tener instalado tftp32 o tftpd64 instalado en nuestra pc, este paso no es nada extraordinario ya que solo hay que bajar el software e instalarlo.

Una vez instalado solo configuraremos el directorio en donde se almacenaran nuestras imágenes de sistema, en mi caso utilice la ruta Z.\tftp.

config-tftp-client

Vamos a comenzar y la topología que vamos a utilizar es la siguiente:

topo-tftp

 

Objetivo: Realizar el respaldo del sistema operativo que esta alojado en la flash del switch y guardarlo en la PC, en este primer paso el SW actuara como tftp-client y la PC como Server, posterior a ello realizaremos la operación inversa y los roles se invertirán, copiaremos el sistema desde el tftp hacia la flash del equipo.

Basados en nuestra topología debemos de tener en cuenta que para tener conectividad entre la PC y el SW se tiene que configurar una interfaz vlan en el switch y asignarle una ip del segmento de red local, después de esto crear una vlan y asociar un puerto como access a la vlan creada, como último paso seria asignarle a la PC una ip del mismo segmento del que tiene la interfaz vlan, una vez hecho esto vamos a iniciar con nuestro ejemplo.

1.- Debemos garantizar que entre el SW y la PC haya conectividad.

ping-pc-sw

 

ping-sw-pc

2.- Realizaremos la copia del sistema operativo del equipo Cisco hacia nuestro tftp externo, para ello ejecutamos lo siguiente:

cp-flash-tftp

Con los comandos anteriores vemos que ya realizamos el respaldo de nuestro sistema.

rec-flash-tftp

3.- En este punto ya tenemos respaldado el ios del switch, ahora vamos a eliminar el ios de la flash del equipo para simular que lo estamos actualizando.

delete-img-flash

4.- Aquí el SW corre con la imagen que cargo al arrancar, si se apagara el equipo ya no arrancaría, nos mandaría a ROMMON y habría que realizar el procedimiento de recuperación (no se mostrara el día de hoy), continuando con el ejercicio, ahora vamos a copiar el ios desde la PC hacia la flash del equipo Cisco.

copy-tftp-flash

 

Finalmente con esto tenemos cargado de nuevo el ios en nuestro equipo.

 

 

Poner un equipo Cisco como Tftp Server

Muchas veces cuando estamos administrando una red de gran tamaño tenemos la necesidad de actualizar o copiar un IOS hacia un equipo y quizá poner tu máquina como tftp no sea lo mas recomendable ya que puedes tener enlaces de baja velocidad y el proceso de copiado sea muy tardado, no tengas permisos o una infinidad de variables las cuales no hacen que esta opción sea la mejor, en el caso de los equipos Cisco podemos configurarlos como servidores tftp, de esta manera solo tendríamos que buscar un equipo que tenga la versión de IOS que necesitamos y configurarlo como servidor para que podamos realizar la copia.

La configuración de un equipo como servidor tftp es muy sencilla, solo tenemos que poner la flash + el nombre del ios como tftp, a continuación se muestra la configuración.

conf-tftp-server-swCon esta configuración tenemos nuestro equipo como servidor tftp y solo bastaría realizar la copia desde el dispositivo cliente (Paso 4).

 

Espero les sirva 😛

 

Configuración de Puerto SPAN

Cuando utilizamos equipos Cisco tenemos un feature que nos da la capacidad de copiar todo el trafico entrante y saliente de un puerto o vlan hacia otro puerto de destino, esto nos da la oportunidad de poder analizar el trafico de cierto(s) equipo(s), lo mas común es conectar una laptop o pc con Wireshark en el puerto de destino (SPAN), aunque para un análisis mas a fondo en donde quizá se requiera capturar por mas de un día y en donde las capturas se inicien o paren de manera remota se utiliza un equipo dedicado (analizador de protocolos).

A continuación se muestra el ejemplo para configurar el SPAN.

span1

Topologia SPAN básico

Tenemos la topologia en donde C1 tiene instalado Wireshark y estara capturando todo el trafico que genera C2, la configuracion necesaria para crear el puerto SPAN o mirror es la siguiente:

SW1(config)#int fa0/0
SW1(config-if)#description Puerto SPAN
SW1(config-if)#speed 100
SW1(config-if)#duplex full
SW1(config-if)#switchport mode access

SW1(config)#int fa0/1
SW1(config-if)#description Conexion a C2
SW1(config-if)#speed 100
SW1(config-if)#duplex full
SW1(config-if)#switchport mode access

SW1(config)#monitor session 1 source interface fastEthernet 0/1
SW1(config)#monitor session 1 destination interface fastEthernet 0/0

Para verificar lo configurado tenemos

SW1#sh int fa0/0
FastEthernet0/0 is up, line protocol is down (monitoring)
Hardware is Fast Ethernet, address is c200.0cfc.f101 (bia c200.0cfc.f101)
Description: Puerto SPAN
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,

SW1#sh monitor session 1
Session 1
———
Source Ports:
RX Only: None
TX Only: None
Both: Fa0/1
Source VLANs:
RX Only: None
TX Only: None
Both: None
Destination Ports: Fa0/0
Filter VLANs: None

La diferencia entre conectar una PC vs Analizador de protocolos radica en que el analizador requiere de una ip de gestión para que remotamente estemos iniciando y deteniendo las capturas, utilizaríamos la configuración anterior y solo faltaría asignar un puerto del switch y configurarlo como acceso en la vlan de gestión.

Con la configuración mostrada anteriormente tenemos nuestro puerto SPAN configurado 🙂