cada FEC. Uno de los dos protocolos es utilizado para esta comunicacin: el Protocolo de distribucin
de etiquetas (Label Distribution Protocol) o una versin mejorada del protocolo de reserva de recursos
(Resource Reservation Protocol). Un protocolo de enrutamiento interior, tal como OSPF o EIGRP
tambin se utiliza dentro de la red MPLS para intercambiar informacin de enrutamiento.
Una caracterstica nica de MPLS es su capacidad para llevar a cabo el apilamiento de etiquetas, en el
que varias etiquetas pueden ser transportadas en un paquete. La etiqueta de la parte superior, que es la
ltima, siempre se procesa primero. El apilamiento de etiquetas habilita mltiples LSP's a ser
agregados, de este modo creando tneles a travs de mltiples niveles de una red MPLS.
Una etiqueta de MPLS es un campo de 32 bits situado entre el encabezado de la capa de enlace de
datos de un paquete y su cabecera IP. La figura 2-27 ilustra el flujo de dos paquetes a travs de una red
MPLS.
Figure 2-27. Labels Are Used to Assign a Path for a Packet Flow Through an MPLS Network.
En la figura 2-27 , cada uno de los nodos MPLS ha comunicado previamente las etiquetas que utiliza
para cada una de las clases FEC definidas a sus nodos vecinos. El Paquete A y paquete y B representan
diferentes flujos. Por ejemplo, el Paquete A podra ser de una sesin FTP, mientras que los paquetes B
es de una conversacin de voz. Sin MPLS, estos paquetes podran tomar la misma ruta a travs de la
red.
En la figura 2-27, el Router V es el LSR de borde de entrada para los paquetes A y B , el punto en el
que los paquetes entran en la red. El Router V examina cada paquete y determina la FEC apropiada. El
Paquete A se le asigna la etiqueta 17 y se enva al Router X. El Paquete B se le asigna la etiqueta 18 y
se enva al Router W. Como cada LSR recibe un paquete etiquetado, quita la etiqueta, localiza la
etiqueta en su tabla, se aplica la etiqueta saliente adecuada y reenva el paquete al siguiente LSR en el
LSP. Cuando los paquetes llegan al router Z (el LSR de borde de salida o el punto en el que los
paquetes salen de la red de MPLS), Router Z elimina la etiqueta y reenva los paquetes de manera
apropiada, basado en su tabla de enrutamiento IP .
Es importante tener en cuenta que los paquetes enviados entre los mismos puntos finales pueden
pertenecer a diferentes clases FEC de MPLS y por lo tanto pueden fluir a travs de diferentes rutas en
la red .
VPN MPLS de Capa 2 ofrece un servicio de capa 2 a travs del backbone, donde los routers R1 y R2
estn conectados entre s en la misma IP de subred. La Figure 2-28 representa la conectividad a travs
del backbone como un switch de capa 2.
VPN MPLS de Capa 3 ofrece un servicio de capa 3 a travs del backbone, donde los routers R1 y R2
estn conectados a los routers de borde ISP. En cada lado, se utiliza una subred IP diferente. La Figura
2-28 representa la conectividad a travs del backbone como un router.
Las siguientes secciones describen VPN MPLS de Capa 3 y Capa 2.
VPN MPLS de Capa 3
Como se muestra en la figura 2-29, en la terminologa de VPN MPLS, la red es dividida en la parte
controlada por el cliente (la red-C) y la parte controlada por el proveedor (la red-P). Porciones
contiguas de red-C se denominan sitios y estn vinculadas a la red-P a travs de routers de borde del
cliente (routers CE, Customer Edge). Los routers CE se conectan a los routers PE, que sirven como los
dispositivos de borde de la red del proveedor. Los dispositivos de ncleo de la red del proveedor (los
routers-P) proporcionan el transporte a travs del backbone del proveedor y no transportan rutas de los
clientes. El proveedor de servicio conecta a mltiples clientes sobre una red troncal (backbone) MPLS
comn utilizando VPNs MPLS.
Figure 2-29. Layer 3 MPLS VPN.
reenvo (VRF, Virtual Routing and Forwarding) en el router PE - que corresponde al router PE
dedicado en un modelo tradicional de igual a igual. El enrutamiento a travs del backbone del
proveedor se lleva a cabo por un proceso de enrutamiento separado que utiliza una tabla global de
enrutamiento IP. Este proceso de enrutamiento se corresponde con los P-routers dentro del modelo
tradicional peer-to-peer.
El backbone VPN de MPLS en la figura 2-29 es un backbone capa 3. Los routers CE tratan a los
routers PE de la misma forma que tratan a otros routers de clientes en la ruta entre sitios. Los Routers
PE mantienen tablas de enrutamiento separadas para cada cliente.
La arquitectura VPN de MPLS ofrece ISPs con una arquitectura VPN peer-to-peer que combina las
mejores caractersticas de una VPN de capa superior (overlay VPN) con las mejores caractersticas de
una VPN punto a punto (peer-to-peer VPN) , incluyendo las siguientes:
Routers PE participan en el enrutamiento del cliente, proporcionando enrutamiento ptimo entre los
sitios de los clientes.
Routers PE llevan un conjunto separado de rutas para cada cliente, aislando cada cliente de otros
clientes.
Perspectivas de clientes de las VPNs MPLS de Capa 3
Como se ilustra en la figura 2-30, el backbone VPN de MPLS se parece a una red troncal corporativa
estndar para los routers CE. Los routers CE corren programas de enrutamiento IP estndar e
intercambian actualizaciones de enrutamiento con los routers PE, que parecen como routers normales
en la red del cliente. Por lo tanto, el cliente y el SP deben estar de acuerdo sobre los parmetros de
EIGRP.
Figure 2-30. Customer Perspective of Layer 3 MPLS VPNs.
La topologa interna del backbone MPLS es transparente para el cliente. Los routers-P internos estn
ocultos a la vista del cliente y los routers CE no son conscientes de la VPN MPLS.
En una VPN MPLS de Layer 3, se deben cumplir los siguientes requisitos:
Los routers de los clientes (routers CE) no deberan estar conscientes de la VPN MPLS. Deberan
ejecutar el software estndar de enrutamiento IP.
Los routers de ncleo del proveedor (routers-P del core) no deben llevar rutas del cliente (VPN), para
hacer la solucin VPN MPLS escalable.
Los routers PE deben soportar los servicios VPN de MPLS y los servicios IP tradicionales.
En la Figura 2-32, los routers R1 y R2 estn intercambiando tramas Ethernet. El router PE1 toma la
trama Ethernet recibida desde el router R1 conectado directamente, la encapsula en un paquete MPLS y
la enva a travs del backbone al router PE2 . El router PE2 desencapsula el paquete MPLS y reproduce
la trama Ethernet sobre su enlace Ethernet al router R2. Este proceso es un tipo de AToM llamado
EoMPLS. (EoMPLS tambin se conoce como un tipo de servicio de Metro Ethernet).
AToM y EoMPLS no incluyen ningn aprendizaje ni filtrado de direcciones MAC. Por lo tanto, los
routers PE1 y PE2 no filtran ningunas tramas basadas en direcciones MAC. AToM y EoMPLS tampoco
utilizan el protocolo Spanning Tree (STP). Las BPDU's son propagadas de forma transparente y no
tratadas, por lo que la deteccin de bucles LAN deben ser realizadas por otros dispositivos o evitadas
por diseo. Un proveedor de servicios puede usar switches LAN en conjunto con AToM y EoMPLS
para proporcionar estas caractersticas.
En el ejemplo de la Figura 2-33, los routers R1 y R2 se comunican con EIGRP sobre EoMPLS. La
configuracin para ambos routers se muestra en el Ejemplo 2-41
Figure 2-33. EIGRP over EoMPLS.
Cuando se implementa EIGRP sobre EoMPLS, no hay cambios en la configuracin de EIGRP desde la
perspectiva del cliente. EIGRP necesita ser habilitado con el nmero de sistema autnomo correcto (el
mismo en ambos routers R1 y R2). Los comandos network deben incluir todas las interfaces que
ejecutarn EIGRP, incluyendo el enlace hacia los routers PE (routers PE1 y PE2) sobre la que los
routers R1 y R2 formarn su relacin de vecino. Desde la perspectiva de EIGRP, el backbone MPLS y
routers PE1 y PE2 no son visibles. Una relacin de vecino es establecida directamente entre los routers
R1 y R2 sobre el backbone MPLS, y se visualiza con el comando show ip eigrp neighbors. La salida de
este comando se muestra en el ejemplo 2-42.
Example 2-42. Output on Router R1 and R2 in Figure 2-33
enrutamiento no puede ser llamado costo (como es el caso de EIGRP). El balanceo de carga
incrementa la utilizacin de los segmentos de la red, lo que aumenta el ancho de banda efectivo.
Por defecto, el IOS de Cisco balancea entre un mximo de cuatro rutas de igual costo para IP. Con el
comando de configuracin de router maximum-paths <maximum-path>, se puede requerir hasta 16
buenas rutas iguales a ser mantenidas en la tabla de enrutamiento. Establecer el parmetro maximumpath a 1 para deshabilitar el equilibrio de carga. Cuando un paquete es un proceso de conmutacin, el
equilibrio de carga a travs de rutas de igual costo se produce en funcin de cada paquete. Cuando los
paquetes se conmutan rpido, el balanceo de carga sobre rutas de igual costo es en funcin de cada
destino.
Nota: El balanceo de carga se realiza slo en el trfico que pasa a travs del router, no el trfico
generado por el router.
La figura 2-35 ilustra un ejemplo de red con las mtricas de muestra indicados (las mtricas son ms
pequeas que los valores reales de ms fcil clculo en el ejemplo). El ejemplo 2-43 muestra la
configuracin de EIGRP en el router R1. La Tabla 2-7 muestra el contenido de la tabla de topologa del
router R1 para la ruta 172.16.2.0/24.
La figura 2-35 ilustra un ejemplo de red con las mtricas de muestra indicadas (las mtricas son ms
pequeas que los valores reales para ms fcil clculo en el ejemplo). El ejemplo 2-43 muestra la
configuracin de EIGRP en el router R1. La Tabla 2-7 muestra el contenido de la tabla de topologa del
router R1 para la ruta 172.16.2.0/24.
Figure 2-35. EIGRP Equal-Cost Load Balancing.
El Router R1 est configurado para soportar hasta tres rutas de igual costo. El Router R1 mantendr las
rutas a travs de R2, R3 y R4 en su tabla de enrutamiento, ya que los tres caminos tienen la misma
mtrica de 40 (igual costo), como se muestra en la columna de la FD en la Tabla 2-7. El camino a
travs del router R5 no se utiliza debido a que la mtrica es mayor que 40 (que es 60). Incluso si esta
mtrica fuea la misma de los otros, slo tres de las cuatro rutas seran utilizadas por el comando de
maximum-path 3.
BALANCEO DE CARGA CON COSTO DESIGUAL EN EIGRP
EIGRP tambin puede equilibrar el trfico a travs de mltiples rutas que tengan diferentes mtricas esto se llama balanceo de carga de costos desiguales.
El grado en que EIGRP realiza el balanceo de carga es controlado por el comando de configuracin del
router variance <multiplier>. El multiplier es un valor de varianza, entre 1 y 128, que se utiliza
para equilibrar la carga. El valor predeterminado es 1, lo que significa balanceo de carga de igual costo.
El multiplicador define el rango de valores de la mtrica que son aceptados para el equilibrio de carga.
El establecimiento de un valor de varianza mayor que 1 le permite a EIGRP instalar varias rutas libres
de bucles con costo desigual en la tabla de enrutamiento. EIGRP siempre instalar sucesores (las
mejores rutas) en la tabla de enrutamiento. La varianza permite sucesores factibles que tambin sean
instalados en la tabla de enrutamiento.
Solamente los caminos que son factibles se pueden utilizar para el equilibrio de carga, y la tabla de
enrutamiento slo incluye caminos factibles. Las dos condiciones de factibilidad son las siguientes:
La ruta debe estar libre de bucle. Como se seal anteriormente, esto significa que la mejor
mtrica (AD) aprendida desde el siguiente router debe ser menor que la mejor mtrica local (la
actual FD). En otras palabras, el siguiente router en el camino debe estar ms cerca del destino
que el router actual.
La mtrica de la ruta completa (la FD de la ruta alternativa) debe ser menor que la varianza
multiplicada por la mejor mtrica local (el actual FD). En otras palabras, la mtrica para toda la
ruta alternativa debe estar dentro de la varianza.
Si estas dos condiciones se cumplen, la ruta se llama factible y se puede aadir a la tabla de
enrutamiento.
El valor predeterminado de la varianza EIGRP es 1, lo que indica balanceo de carga de igual costo. En
este caso, slo las rutas con la misma mtrica del sucesor se instalan en la tabla de enrutamiento local.
El comando variance no limita el nmero mximo de rutas. En su lugar, ste define el rango de
valores de la mtrica que son aceptados para el balanceo de carga por el proceso EIGRP. Si la varianza
se establece en 2, cualquier ruta aprendida por EIGRP con una mtrica inferior a dos veces la mtrica
del sucesor ser instalada en la tabla de enrutamiento local. Por ejemplo, si el comando variance le
permite a EIGRP instalar nueve caminos y el comando maximum-path establece el valor mximo a 3
caminos, slo los primeros tres caminos de los nueve disponibles estarn en la tabla de enrutamiento IP.
Nota: EIGRP en s no comparte carga entre varias rutas. Slo instala las rutas en la tabla de
enrutamiento local. La tabla de enrutamiento local permite al hardware de conmutacin del router o
software compartir la carga entre los mltiples caminos.
Para controlar cmo el trfico es distribuido entre las rutas cuando mltiples rutas existan para la
misma red de destino y ellas tengan diferentes mtricas, se usa el comando de configuracin de ruta
traffic-share [balanced | min across-interfaces]. Con la palabra clave balanced (comportamiento
por defecto), el router distribuye el trfico proporcionalmente a las relaciones de las mtricas asociadas
con las diferentes rutas. Con la opcin min across-interfaces, el router utiliza slo las rutas que
tienen costos mnimos (En otras palabras, todas las rutas que sean factibles y dentro de la varianza se
mantienen en la tabla de enrutamiento, pero slo las que tienen el mnimo costo se utilizan). Esta
ltima opcin permite rutas factibles de respaldo para estar siempre en la tabla de enrutamiento, pero
que slo sean utilizadas si la ruta principal se vuelve indisponible de manera que ya no est en la tabla
de enrutamiento. La figura 2-36 ilustra la misma red como en la figura 2-35, pero con las mtricas
modificadas. El ejemplo 2-44 muestra el comando aadido al router R1, estableciendo la varianza a 2.
La Tabla 2-8 muestra la nueva tabla de topologa en el router R1 para la ruta 172.16.2.0/24.
Figure 2-36. EIGRP Unequal-Cost Load Balancing.
El Router R1 utiliza Router R3 como el sucesor porque su FD es la ms baja (20). Con el comando
variance 2 aplicado al router R1, el camino a travs del router R2 cumple los criterios para el
balanceo de carga. En este caso, la FD a travs del router R2 (30) es menor que el doble de la FD a
travs del router sucesor R3 (2 * 20 = 40).
El Router R4 no es considerado para el balanceo de carga porque la FD a travs del router R4 (45) es
mayor que el doble de la FD para el Router sucesor R3 (2 * 20 = 40). En este ejemplo, sin embargo, el
router R4 nunca sera un FS, no importa cul es la varianza, debido a que su AD de 25 es mayor que la
FD del router R1 de 20. Por lo tanto, para evitar un potencial bucle de enrutamiento, el router R4 no se
considera ms cerca al destino que el router R1 y no puede ser un FS.
El Router R5 no se considera para balanceo de carga con esta varianza debido a que la FD a travs del
router R5 (50) es ms del doble de la FD para el sucesor a travs del router R3 (2 * 20 = 40). En este
ejemplo, sin embargo, el router R5 sera un FS porque la AD del router R5 de 10 es menor que la FD
del router R3 de 20.
La carga en la figura 2-36 es balanceada proporcional al ancho de banda. La FD de la ruta a travs de
router R2 es 30 y la FD de la ruta a travs de router R3 es 20. La relacin de trfico entre los dos
El IOS de Cisco asume que las subinterfaces Frame Relay punto a punto estn operando a la velocidad
por defecto de la interfaz. En muchas implementaciones, sin embargo, slo velocidades fraccionadas
(tales como un T1 fraccional) estn disponibles. Por lo tanto, cuando se configuran estas subinterfaces,
se establece el ancho de banda para que coincida con el CIR contratado.
Cuando se configuran las interfaces multipunto (especialmente para Frame Relay, pero tambin para
ATM y RDSI PRI), recuerde que el ancho de banda es compartido por igual por todos los vecinos. Es
decir, EIGRP utiliza el comando bandwidth en la interfaz fsica dividida por el nmero de vecinos
Frame Relay conectados en esa interfaz fsica para obtener el ancho de banda atribuida a cada vecino.
La configuracin de EIGRP debera reflejar el porcentaje correcto del ancho de banda real disponible
en la lnea.
Cada instalacin tiene una topologa nica, y con eso vienen configuraciones nicas. Valores de CIR
divergentes a menudo requieren una configuracin hbrida que combina las caractersticas de los
circuitos punto a punto con circuitos multipunto. Cuando se configuran las interfaces multipunto,
configurar el ancho de banda para representar el mnimo CIR mide el nmero de circuitos. Este
enfoque podra totalmente no usar los circuitos de mayor velocidad, pero se asegura de que los
circuitos con el CIR ms bajo no sean saturados. Si la topologa tiene un pequeo nmero de circuitos
de muy baja velocidad, estas interfaces son definidas tpicamente como de punto a punto de manera
que su ancho de banda se puede ajustar para que coincida con la CIR aprovisionada.
En la figura 2-38, un circuito ha sido dotado de un CIR 56 kbps, y los otros tres circuitos tienen un
mayor CIR de 256 kbps. La interfaz en el Router C ha sido configurado para un ancho de banda igual
al CIR ms bajo multiplicado por el nmero de circuitos que est apoyado (56 * 4 = 224), como se
muestra en el Ejemplo 2-47. Esta configuracin protege contra abrumar al circuito de velocidad ms
lenta en la topologa.
Example 2-47. Adjusting the bandwidth Command on an Interface on Router C in Figure 2-38
RouterC(config)#interface serial 0
RouterC(config-if)#encapsulation frame-relay
RouterC(config-if)#bandwidth 224
Example 2-48. Adjusting the Bandwidth for a Frame Relay Subinterface on Router C in Figure 2-39
RouterC(config)#interface serial 0.1 multipoint
RouterC(config-subif)#bandwidth 768
RouterC(config-subif)#exit
RouterC(config)#interface serial 0.2 point-to-point
RouterC(config-subif)#bandwidth 56
El ejemplo 2-48 muestra el circuito de baja velocidad configurado como punto a punto. Los circuitos
restantes son designados como multipunto y sus respectivos CIRs se suman para establecer el ancho de
banda de la interfaz (256 + 256 + 256 = 768). En la interfaz multipunto, el ancho de banda se comparte
por igual entre todos los circuitos. Por lo tanto, el ancho de banda se dividir en tres, con 256 kbps
asignados a cada circuito.
La figura 2-40 ilustra una topologa comn hub-and-spoke con 10 VCs a los sitios remotos (Slo 4 de
los 10 sitios remotos se muestran en la figura). El ejemplo 2-49 muestra la configuracin utilizada en
los Routers C y G de Figura 2-40.
Example 2-49. EIGRP WAN Configuration: Point-to-Point Links on Routers C and G in Figure 2-40
RouterC(config)#interface serial 0.1 point-to-point
RouterC(config-subif)#bandwidth 25
RouterC(config-subif)#ip bandwidth-percent eigrp 63 128
<output omitted>
RouterC(config)#interface serial 0.10 point-to-point
RouterC(config-subif)#bandwidth 25
RouterC(config-subif)#ip bandwidth-percent eigrp 63 128
RouterG(config)#interface serial 0
RouterG(config-if)#bandwidth 25
RouterG(config-if)#ip bandwidth-percent eigrp 63 128
Los circuitos son aprovisionados como enlaces de 64 kbps, pero hay insuficiente ancho de banda en el
Router C (el hub) para apoyar la asignacin. Por ejemplo, si el hub intenta comunicarse con todos los
sitios remotos al mismo tiempo, el ancho de banda que se requiere excede la velocidad del enlace
disponible de 256 kbps para el hub - 10 veces el CIR de 64 kbps es igual a 640 kbps. En una topologa
punto a punto, todos los VCs son tratados por igual y por lo tanto configurados exactamente una
dcima parte de la velocidad de enlace disponible (25 kbps) (Como alternativa, la interfaz Serial 0
principal podra ser configurada con el comando bandwidth 256).
Como se ha mencionado, por defecto EIGRP utiliza un 50% del ancho de banda configurado de un
circuito. La configuracin EIGRP debera reflejar el porcentaje correcto del ancho de banda real
disponible en la lnea. Por lo tanto, en un intento para asegurar que los paquetes EIGRP son entregados
a travs de la red Frame Relay en la Figure 2-40, cada subinterfaz tiene el porcentaje de asignacin de
EIGRP elevado a 128% del ancho de banda especificado. Este ajuste hace que los paquetes EIGRP
reciban aproximadamente 32 kbps de los aprovisionados 64 kbps en cada circuito (porque 128% de 25
kbps es 32 kbps). Esta configuracin extra restaura la relacin 50-50 que fue alterada cuando el ancho
de banda se establece en un valor artificialmente bajo. Si el nmero de VCs cambia, estos clculos y
configuraciones deben ser hecho de nuevo.
Nota: suprimiendo ACKs de EIGRP tambin ahorra ancho de banda. Un ACK no se enva si un paquete
de datos de unidifusin est listo para la transmisin. El campo ACK en cualquier paquete de
unidifusin fiable (paquete RTP) es suficiente para reconocer paquete del vecino, por lo que el paquete
ACK se suprime para ahorrar ancho de banda. Esta es una caracterstica importante para los enlaces
punto a punto y redes NBMA, porque en tales medios, todos los paquetes de datos se envan como
unicast y, por lo tanto, pueden llevar a un acuse de recibo a s mismos (esto tambin se conoce como un
ACK de lengeta). En ese caso, no hay necesidad de un paquete ACK.
CONFIGURANDO Y VERIFICANDO AUTENTICACION EIGRP
Se puede prevenir que el router reciba actualizaciones de rutas fraudulentas; configurando la
autenticacin del router vecino. Se puede configurar la autenticacin del vecino EIGRP (tambin
llamado autenticacin del router vecino o autenticacin de rutas) de modo que los routers puedan
participar en el enrutamiento basado en contraseas predefinidas.
En esta seccin se describe primero la autenticacin del router en general, seguido de una discusin
sobre cmo configurar y solucionar problemas de autenticacin de mensajes digest 5 (MD5) en EIGRP.
Autenticacin del Router
Se puede configurar la autenticacin del router vecino de tal manera que los routers slo participen en
el enrutamiento basado en contraseas predefinidas.
De forma predeterminada, no se utiliza la autenticacin para los paquetes de protocolo de enrutamiento.
Sin autenticacin de vecino, las actualizaciones de enrutamiento no autorizadas o deliberadamente
malintencionadas podran comprometer la seguridad del trfico de la red. Por ejemplo, un router no
autorizado conectado a la red (por alguien con intenciones maliciosas o inocentes) podra enviar una
actualizacin de enrutamiento ficticio para convencer a su router de enviar trfico a un destino
incorrecto.
Cuando la autenticacin del router vecino ha sido configurada, el router autentifica el origen de cada
paquete de protocolo de enrutamiento que recibe. Esto se logra mediante el intercambio de una clave de
autenticacin (tambin llamada contrasea) que es conocida tanto por el router transmisor como por el
receptor.
Autenticacin Simple Versus Autenticacin MD5
Los routers usan dos tipos de autenticacin:
Ambas formas de autenticacin trabajan de la misma manera, con la excepcin de que MD5 enva un
mensaje digest en lugar de la clave de autenticacin en s. El mesagge digest se crea utilizando la
clave (y un id de clave con algunos protocolos) y un mensaje, pero la clave en s no se enva, evitando
que se lea mientras est siendo transmitida. La autenticacin de contrasea simple enva la clave de
autenticacin en s sobre el cable.
Nota: La autenticacin de contrasea simple, no se recomienda para su uso como parte de su estrategia
de seguridad, ya que es vulnerable a los ataques pasivos. Cualquier persona con un analizador de enlace
podra ver fcilmente la contrasea en el cable. El principal uso de la autenticacin de contrasea
simple es evitar cambios accidentales en la infraestructura de enrutamiento. El uso de la autenticacin
MD5, sin embargo, es una prctica de seguridad recomendada.
Precaucin: Al igual que con todas las claves, contraseas y otros secretos de seguridad, es imperativo
que te guarden de cerca las claves utilizadas en la autenticacin del vecino. Los beneficios de la
seguridad de esta caracterstica dependen en mantener todas las claves de autenticacin en confidencial.
Adems, al realizar las tareas de administracin del router a travs de Simple Network Management
Protocol (SNMP), no ignorar el riesgo asociado con el envo de claves a travs de SNMP no cifrada.
Con la autenticacin de contrasea simple, a (clave) contrasea es configurado en un router; cada
router vecino participante debe configurarse con la misma clave. Cuando se enva un paquete, la
contrasea se incluye en texto plano.
La Autenticacin MD5, descrito en el RFC 1321, El Message-Digest Algorithm MD5, es una
autenticacin criptogrfica. Una clave (contrasena) y un ID clave son configurados en cada router. El
router utiliza un algoritmo basado en el paquete de protocolo de enrutamiento, la clave y el ID clave
para generar un mensaje diggest (tambin llamado hash) que se anexa al paquete. A diferencia de la
autenticacin simple, la clave no se intercambia sobre el cable-el diggest menssage se enva en lugar de
la clave, lo que garantiza que nadie pueda espiar la lnea y aprender las claves durante la transmisin.
MD5 proporciona autenticacin pero no confidencialidad. Los contenidos de los paquetes del protocolo
de enrutamiento no son encriptados.
Autenticacin MD5 para EIGRP
De forma predeterminada, ninguna autenticacin es utilizada para paquetes EIGRP. Puede configurar
EIGRP para utilizar la autenticacin MD5.
Cuando la autenticacin del vecino EIGRP ha sido configurada en un router, el router autentifica el
origen de cada paquete de protocolo de enrutamiento que recibe.
Para la autenticacin MD5 de EIGRP, debe configurar una clave de autenticacin y un ID clave tanto
en el router que enva como en el router receptor. Cada router EIGRP toma el ID de la clave y la clave
y genera el menssage digest que se adjunta a cada paquete de protocolo de enrutamiento y se enva al
vecino. El router receptor calcula el hash MD5 de la informacin EIGRP recibido. Si el hash coincide
con el valor recibido, se acepta el paquete. Si no hay ninguna coincidencia, el paquete se descarta en
silencio.
Cada clave tiene su propio ID de la clave, que se almacena localmente. La combinacin del ID de la
clave y la interfaz asociada con el mensaje identifica de forma nica el algoritmo de autenticacin y la
clave de autenticacin MD5 en uso.
Se puede aumentar la seguridad de la autenticacin MD5 EIGRP haciendo cambios frecuentes de clave.
Se puede definir y activar varias claves basadas en el tiempo, tal como se define en la configuracin. La
transicin entre las claves se implementa de tal manera que permite una operacin sin interrupciones de
los intercambios EIGRP. Los cambios de clave deben estar bien planificados y soportados por la
sincronizacin de tiempo entre los routers. El rollover a una nueva clave slo funciona si el tiempo en
los routers adyacentes se sincroniza.
Nota: Los routers EIGRP necesitan saber el tiempo para ser capaz de rotar a travs de claves en
sincronizacin con los otros routers que participan, para asegurar que todos los routers estn utilizando
la misma clave en el mismo momento. Varios mecanismos se pueden utilizar para la sincronizacin de
tiempo; Network Time Protocol (NTP) es el ms comn.
EIGRP permite mltiples claves a ser administradas usando cadenas de claves (key chains). Cada
definicin de clave dentro de la cadena de clave puede incluir un intervalo de tiempo para el que se
activar esa clave (conocido como su vida til). Luego, durante el tiempo de vida de una clave
determinada, los paquetes de actualizacin de enrutamiento se envan con esta clave activada. Slo un
paquete de autenticacin es enviado, independientemente de cuntas claves vlidas existan. Al enviar,
el software analiza los nmeros de clave, en orden de menor a mayor, y utiliza la primera clave vlida
que encuentra. Los paquetes entrantes se comprueban utilizando todas las claves vlidas.
Al configurar la autenticacin EIGRP, debe especificar el ID de la clave (nmero), la clave (password),
y, opcionalmente, el tiempo de vida de la clave.
La primera (el ID de la clave), la clave vlida (de por vida) se utiliza al enviar paquetes. En otras
palabras, cuando se enva paquetes EIGRP, se utiliza la clave vlida con el nmero de clave ms bajo
en la cadena. Cuando se reciben los paquetes, todas las claves actualmente vlidas se comprueban hasta
que se encuentra una coincidencia.
Las claves no se pueden usar durante perodos de tiempo para los que no estn activos. Por lo tanto, se
recomienda que para una cadena de claves dada, los tiempos de activacin de la clave se superpongan
para evitar cualquier periodo de tiempo durante el cual ninguna clave est activada. Si ocurre que
durante un periodo de tiempo no se activa ninguna clave, no se puede producir la autenticacin de
vecinos, y por lo tanto las actualizaciones de enrutamiento fallarn.
PLANIFICANDO AUTENTICACION EIGRP
Antes de configurar la autenticacin en EIGRP, el administrador de la red debe examinar la
configuracin de EIGRP existente y definir los requisitos de autenticacin. Los requisitos de
autenticacin en EIGRP incluyen el tipo de autenticacin (ninguno o MD5), el nmero de claves que se
utilizan, as como los parmetros opcionales de tiempo de vida.
Entonces los parmetros deben estar definidos con suficientes detalles por el operador de red para
configurar la autenticacin EIGRP. Estos parmetros incluyen lo siguiente:
El nmero de sistema autnomo EIGRP
El modo de autenticacin (MD5)
La definicin de una o ms claves para autenticar paquetes EIGRP, de acuerdo con el plan de
seguridad de la red.
Tiempo de vida de las claves, si se definen varias claves.
A un alto nivel, la configuracin de la autenticacin MD5 en EIGRP requiere los siguientes pasos:
especifica que esta clave solo era vlida para usar con los
paquetes de envo hasta el 31 de enero del 2009. No es vlido para utilizar en paquetes de envo ms
all de esa fecha.
La clave 2 es establecida en secondkey con el comando key-string secondkey. Esta clave es
aceptable para usar en paquetes recibidos por R1 desde el 25 de enero en adelante como se especifica
en el comando accept-lifetime 04:00:00 Jan 25 2009 infinite. Esta clave puede ser tambin usada
cuando se envan paquetes desde el 25 de enero del 2009 en adelante como es especificado en el
comando send-lifetime 04:00:00 Jan 25 2009 infinite.
El comando ip authentication key-chain eigrp 100 R1chain configurado en la interface serial 0/0/1
especifica que la cadena de clave eigrp R1chain ser usada en esta interfaz.
Recuerda que el router usa la primera, por el nmero de clave, clave vlida para enviar los paquetes.
Como resultado de esta configuracin, Router R1 usar la clave 1 para envo, desde el 1 al 31 de enero
del 2009 y usar la clave 2 para envo tal que desde las 4:00 AM del 31 de enero (???????). El Router
R1 aceptar la clave 1 para paquetes recibidos desde el 1 de Enero del 2009 y tambin aceptar la clave
2 para paquetes recibidos desde el 25 de Enero del 2009. Todos los dems paquetes MD5 sern
descartados. El ejemplo 2-51 muestra la configuracin del Router R2
Example 2-51. Configuration of Router R2 in Figure 2-41
La autenticacin MD5 es configurada en la interface serial 0/0/1 con el comando ip authentication mode
eigrp 100 md5.
El comando key chain R2chain entra al modo de configuuracin para la cadena de clave R2chain.
Dos claves estn definidas. La clave 1 es establecida a firstkey con el comando key-string firstkey.
Esta clave es aceptable para usar en paquetes por R2 desde el 1 de enero del 2009 en adelante, tal como
se especifica con el comando accept-lifetime 04:00:00 Jan 1 2009 infinite. Esta clave tambin pude ser
usada cuando se envan paquetes desde el 1 de enero del 2009 en adelante, tal como se especifica con el
comando send-lifetime 04:00:00 Jan 1 2009 infinite.
La clave 2 es establecida a secondkey con el comando key-string secondkey. Esta clave es
aceptable para usar en paquetes recibidos por R2 desde el 25 de enero del 2009 en adelante como se
especifica con el comando accept-lifetime 04:00:00 Jan 25 2009 infinite. Esta clave tambin puede
ser usada cuando se envan paquetes desde el 25 de Enero del 2009 en adelante, como es especificado
en el comando send-lifetime 04:00:00 Jan 25 2009 infinite.
Como resultado de esta configuracin, el router R2 utilizar la clave 1 para enviar, desde 1 de enero del
2009, ya que es la primera clave vlida en la cadena de clave (por supuesto, si la clave 1 es borrada en
un futuro, la clave 2 ser usada para enviar). El Router R2 aceptar la clave 1 para paquetes recibidos
desde el 1 de Enero del 2009 y tambin aceptar la clave 2 para paquetes recibidos desde el 25 de enero
del 2009. Los dems paquetes MD5 sern descartados.
El comando ip authentication key-chain eigrp 100 R2chain configurado en la interface serial S0/0/1
especifica que la cadena de clave R2chain ser usada en esta interfaz.
VERIFICANDO AUTENTICACION MD5 PARA EIGRP
El ejemplo 2-52 proporciona la salida de los comandos show ip eigrp neighbors y show ip route en
el router R1 representado en la red de la Figura 2-41. La tabla de vecinos indica que los dos routers
han formado con xito una adyacencia EIGRP. La tabla de enrutamiento confirma que la red 172.17.0.0
se ha aprendido a travs de EIGRP travs de la conexin en serie. El ejemplo 2-52 tambin muestra los
resultados de un ping a la direccin de la interfaz Fast Ethernet R2 para ilustrar que el enlace funciona.
Example 2-52. Output on Router R1 in Figure 2-41
Se puede usar el comando de verificacin show key chain [name-of-chain] para ver la cadena de
clave, el string de la clave y el tiempo de vida de las claves bajo la cadena de la clave. El ejemplo 2-53
muestra las claves en el Router R1. Este comando es til para verificar que las cadenas sean las mismas
en ambos vecinos y que el tiempo de vida sea configurado apropiadamente.
Example 2-53. show key chain Command Output on Router R1 in Figure 2-41
La cadena de clave R1chain y ambas claves, clave 1 (con cadena de autenticacin firstkey) y clave
2 (con cadena de autenticacin secondkey) son mostradas. Bajo cada clave el tiempo de vida de la
clave es tambin mostrada. Observando la misma salida desde el router vecino R2, la configuracin
puede ser verificada.
El comando show ip eigrp interface detail puede tambin ser usado para mostrar informacin
detallada sobre las interfaces EIGRP para un proceso EIGRP especfico, incluyendo el modo de
autenticacin y la cadena de clave configurada en la interfaz.
Del mismo modo, la salida del comando debug eigrp packets en R2 mostrado en el ejemplo 2-55
ilustra que R2 est recibiendo paquetes EIGRP con autenticacin MD5, con una identificacin de clave
igual a 2, a partir de R1 (El Router R1 est utilizando la clave 2 porque esta salida fue tomada en abril,
despus de que clave 1 expir para el envo en router R1).
Example 2-55. debug eigrp packets Command Output on Router R2 in Figure 2-41
La salida del comando debug eigrp packets en R2 mostrado en el ejemplo 2-57, ilustra que R2 est
recibiendo paquetes EIGRP con autenticacin MD5, con una identificacin de clave igual a 2, a partir
de R1, pero hay una desajuste de autenticacin. Los paquetes EIGRP desde R1 son ignorados, y la
relacin de vecino se declara estar abajo. El resultado del comando show ip eigrp neighbors confirma
que R2 no tiene ningn vecinos EIGRP.
Example 2-57. Output on Router R2 in Figure 2-41
Los dos routers siguen tratando de restablecer su relacin de vecino. Debido a las diferentes claves que
se utilizan por cada router en este escenario, R1 autenticar mensajes hello enviados por R2 mediante
la clave 1. Cuando R1 enva un mensaje "hello" de vuelta a R2 con la clave 2, existe un desajuste de
autenticacin. Desde la perspectiva de R1, la relacin parece ser por un tiempo, pero luego el tiempo
termina, como es ilustrado por los mensajes recibidos en R1 mostrado en el ejemplo 2-58. La salida del
comando show ip eigrp neighbors en R1 tambin ilustra que R1 tiene a R2 en su tabla de vecinos por
un corto tiempo.
Example 2-58. Output on Router R1 in Figure 2-41
En esta seccin abord la autenticacin en EIGRP. La siguiente seccin proporciona informacin sobre
otras caractersticas que se pueden implementar en EIGRP para optimizar su funcionamiento.
OPTIMIZANDO IMPLEMENTACIONES EIGRP
EIGRP es un protocolo de enrutamiento escalable que asegura que a medida que una red se hace ms
grande, funcione de manera eficiente y se ajuste rpidamente a los cambios. Esta seccin describe las
tcnicas especficas prcticas de EIGRP para implementar una red empresarial eficaz y escalable.
Escalabilidad EIGRP en grandes redes
La operacin de una gran red EIGRP plana no es normalmente escalable. Algunos problemas a
considerar incluyen lo siguiente:
Tablas de enrutamiento grandes que necesitan ser procesadas.
La demanda de gran cantidad de memoria producto de una tabla de topologa grande, un gran nmero
de rutas en una tabla de enrutamiento y en algunos entornos (por ejemplo, en los routers de
concentracin de sitio central), un gran nmero de vecinos en la tabla de vecinos.
Las demandas de gran ancho de banda producto del intercambio de un gran nmero de
actualizaciones de enrutamiento y el envo de muchas consultas y respuestas dentro de un dominio
EIGRP grande (que posiblemente incluye enlaces con poco ancho de banda y enlaces con un nmero
significativo de errores de transmisin).
Lo siguiente son algunos de muchas variables que afectan la escalabilidad de la red:
La cantidad de informacin intercambiada entre los vecinos: Si se intercambian ms informacin
que la necesaria para que el enrutamiento funcione correctamente entre vecinos EIGRP, ocaciona un
trabajo innecesario durante el inicio del enrutamiento y los cambios en la topologa.
El nmero de routers: Cuando se produce un cambio en la topologa, la cantidad de recursos
consumidos por EIGRP est directamente relacionada con el nmero de routers que deben estar
involucrados en el cambio.
La profundidad de la topologa (topology's depth): la profundidad de la topologa puede afectar el
tiempo de convergencia. La profundidad se refiere al nmero de saltos que la informacin debe viajar
para alcanzar todos los routers. Por ejemplo, una red multinacional sin resumen de ruta tiene una gran
profundidad y por lo tanto aumenta el tiempo de convergencia.
Un diseo de la red de tres niveles (como se describe en el Captulo 1) es muy recomendable para todos
los entornos de enrutamiento IP. La recomendacin es que no debe haber ms de siete saltos entre dos
dispositivos de enrutamiento en una interred empresarial debido a que el retardo de propagacin y el
proceso de consulta a travs de mltiples saltos cuando se producen cambios pueden reducir la
velocidad de la convergencia de la red cuando las rutas son perdidas.
El nmero de caminos alternativos a travs de la red: Una red debe proporcionar rutas alternativas
para evitar puntos nicos de falla. Sin embargo, demasiados caminos alternativos pueden crear
propagacin de consulta y de limitar la cantidad de carga EIGRP innecesaria en los enlaces, incluyendo
el resumen, la redistribucin y el uso de la funcin de enrutamiento stub de EIGRP.
Figure 2-42. EIGRP Query Process.
Nota: Las funciones de resumen de EIGRP y enrutamiento stub se exploran ms adelante en este
captulo. Los detalles de cmo se redistribuyen las rutas estn cubiertas en el Captulo 4.
Las secciones siguientes describen cmo EIGRP puede atascarse en el estado activo de una ruta, y la
forma de evitar que esto suceda.
CONEXIONES STUCK-IN-ACTIVE EN EIGRP
Debido al enfoque de multicast fiable utilizado por EIGRP en la bsqueda de una alternativa a una ruta
perdida, es imperativo que una respuesta (reply) sea recibida para cada consulta generada en la red. En
otras palabras, cuando una ruta pasa a activa y se inician las consultas, la nica forma en que esta ruta
puede salir del estado activo y pasar al estado pasivo es mediante recibiendo una respuesta (reply) para
cada consulta generada.
Si el router no recibe una respuesta a todas las consultas pendientes dentro de los 3 minutos (el tiempo
predeterminado), la ruta va al estado SIA (Stuck-In-Active).
Nota: Se puede cambiar el lmite de tiempo del estado activo desde su valor predeterminado de 3
minutos; usando el comando de configuracin de router timers active-time [timelimit | disabled]. El
timelimit est en minutos.
Cuando una ruta pasa al estado SIA, el router reiniciar las relaciones de vecindad para los vecinos que
no pudieron responder. Esto provoca que el router vuelva a calcular todas las rutas conocidas a travs
de ese vecino y republique todas las rutas que conoce a ese vecino.
Las razones ms comunes para las rutas atascadas en activo (SIA) son las siguientes:
El router est demasiado ocupado para responder a la consulta: Por lo general resulta de un alto
uso de CPU o de problemas de memoria; el router no puede asignar memoria para procesar la consulta
o construir el paquete de respuesta.
El enlace entre los dos routers no es bueno: Este problema produce la prdida de paquetes entre los
routers. El router recibe un nmero adecuado de paquetes para mantener la relacin de vecino, pero no
recibe todas las consultas o respuestas.
Una falla provoca que el trfico en un enlace fluya en una sola direccin: Esto se llama un enlace
unidireccional.
NOTA: Usar el comando eigrp log-neighbor-changes para habilitar el logging de los cambios de
adyacencias vecinas, monitorea la estabilidad del sistema de enrutamiento y ayuda a detectar problemas
relacionados a SIA.
Un enfoque errneo para disminuir las posibilidades de una ruta de SIA es utilizar mltiples sistemas
autnomos EIGRP para delimitar el rango de la consulta. Muchas redes han implementado el uso de
varios sistemas autnomos EIGRP (para simular un tanto reas OSPF), con la redistribucin mutua
entre los diferentes sistemas autnomos. Aunque este enfoque cambia la forma en que la red se
comporta, no siempre logra los resultados previstos. Si una consulta alcanza el borde del sistema
autnomo (donde las rutas se redistribuyen en otro sistema autnomo), la consulta original es
contestada. Sin embargo, el router de borde inicia entonces una nueva consulta en el otro sistema
autnomo. Por lo tanto, el proceso de consulta no se ha detenido y la consulta contina en el otro
sistema autnomo, donde la ruta potencialmente puede ir en SIA .
Otra idea falsa sobre los lmites del sistema autnomo es que la implementacin de varios sistemas
autnomos protege un sistema autnomo de flaps de rutas en otro sistema autnomo. Si las rutas son
redistribuidas entre sistemas autnomos, las transiciones de ruta de un sistema autnomo se detectan en
los otros sistemas autnomos.
PREVINIENDO CONEXIONES SIA
SIA-Query y SIA-Reply son dos nuevas incorporaciones a la tripleta Tipo, Longitud, Valor (TLV) en el
encabezado del paquete EIGRP. Estos paquetes son generados automticamente con ninguna
configuracin requerida, desde el Software IOS de Cisco Release 12.1(5) y ms all, con la
caracterstica de mejora de proceso activo (Active Process Enhancement Feature). Esta caracterstica
habilita a un router EIGRP para monitorear el progreso de la bsqueda de una ruta del sucesor y
asegurarse de que el vecino siga siendo accesible. El resultado es una mayor fiabilidad de la red
mediante la reduccin de la terminacin involuntaria de adyacencia de vecinos .
El diagrama de la izquierda en la figura 2-43 ilustra lo que ocurrira antes de la introduccin de esta
funcin. El router A enva una consulta para la red 10.1.1.0/24 al Router B, cuando se pierde la
conexin a la red. El router B no tiene ninguna entrada para esta red, por lo que le consulta a Router C.
Si existen problemas entre el router B y C, el paquete de respuesta desde el Router C al Router B puede
ser retrasado o perdido. El Router A no tiene la visibilidad del progreso aguas abajo y asume que no
ninguna respuesta indica problemas con Router B. Una vez que expire el temporizador activo (active
timer) de 3 minutos del Router A, el relacin de vecindad con el Router B se reinicia, junto con todas
las rutas conocidas de Router B.
Por el contrario, con la caracterstica de mejora de proceso activo, como se ilustra en el diagrama de la
derecha en la figura 2-43, el Router A consulta aguas abajo a Router B (con un SIA-Query) en el punto
medio del temporizador activo (1,5 minutos por defecto) sobre el estado de la ruta. El Router B
responde (con un SIA-Reply) que l est buscando una ruta de reemplazo. Al recibir este paquete de
respuesta SIA-Reply, el Router A valida el estado del router B y no termina la relacin de vecino.
Mientras tanto, el router B enviar un mximo de tres SIA-Queries al Router C. Si se quedan sin
respuesta, el router B terminar la relacin de vecino con Router C. Router B luego actualizar al
Router A con un SIA-Reply indicando que la red 10.1.1.0/24 es inalcanzable. Los Routers A y B
eliminarn la ruta activa de sus tablas de topologa. La relacin de vecino entre los Routers A y B se
mantiene intacta.
Rango de Consulta (Query Range) EIGRP
Limitar el alcance de la propagacin de consulta a travs de la red (el rango de consulta), tambin
conocido como alcance de consulta, ayuda a reducir la incidencia de SIA. Mantener los paquetes de
consulta cerca de la fuente reduce la posibilidad de que un falla aislada en otra parte de la red vaya a
restringir el proceso de convergencia (query/reply). En esta seccin se presenta un ejemplo que
examina la forma de gestionar la gama de consultas.
Los routers remotos raramente necesitan saber todas las rutas anunciadas en toda la red. Por lo tanto, es
responsabilidad del administrador de la red ver cul informacin es necesaria para adecuadamente
enrutar el trfico de usuarios y considerar el uso de una ruta por defecto.
Por ejemplo, en la figura 2-44, el router B se da cuenta de la prdida de la red 10.1.8.0 y enva una
consulta a los Routers A, C, D y E. A su vez, estos routers envan consultas a sus vecinos, en busca de
una ruta hacia 10.1.8.0. Cuando se inicia el proceso de consulta, cada ruta recibe consultas duplicadas
debido a la topologa redundante. Por lo tanto, no slo son los routers remotos necesarios para
responder a las preguntas de las oficinas regionales, pero tambin continan la bsqueda reflejando las
consultas de vuelta hacia el router de la otra oficina regional. Esto complica significativamente el
proceso de convergencia en la red.
Figure 2-44. Effect of the EIGRP Update and Query Process.
En esta red de ejemplo con slo dos routers regionales y tres routers remotos, el problema no puede ser
muy significativo. En una red con cientos de oficinas remotas, el problema puede ser grave.
Examine el proceso de consulta para la subred de 10.1.8.0/24. Inicialmente, el router B anuncia
10.1.8.0/24 a todos los dems routers. El mejor camino para que el Router A llegue a 10.1.8.0/24 es a
travs del enlace Ethernet al router B. Los routers remotos (C, D y E) utilizan la conexin serie al
router B como su ruta preferida para llegar a 10.1.8.0/24 pero an aprenden sobre un camino
alternativo a travs de Router A. Para este ejemplo, supongamos que la mtrica de EIGRP para
Ethernet es de 1000, y la mtrica de un enlace serie es 100000. La Tabla 2-11 muestra el contenido de
la tabla de topologa EIGRP en los routers IP C, D y E para la red 10.1.8.0/24. La Tabla 2-12 muestra el
contenido de la tabla de topologa EIGRP en IP del Router A para la red 10.1.8.0/24.
Tenga en cuenta que los routers C, D, y E determinan que para la red 10.1.8.0/24, Router B es el
sucesor y el Router A es un FS (debido a que la AD es de 2000 a travs del router A, que es menor que
el FD a travs de Router B). Adems, tenga en cuenta que el Router A no tiene un FS, ya que todos los
caminos a travs de los routers remotos tienen un AD ms grande que el FD a travs del router B.
Cuando el Router B pierde el camino a la red 10.1.8.0/24, ste consulta a todos sus cuatro vecinos.
Cuando los sitios remotos reciben esta consulta, ellos automticamente instalan la ruta a travs del
router A en sus tablas de enrutamiento y responden al Router B con su supuesta buena trayectoria a
travs de Router A. Tambin eliminan el mal camino a travs de Router B de sus tablas de topologa.
El Router B ahora tiene las respuestas a tres de sus cuatro consultas, pero debe esperar hasta que el
Router A responda tambin.
Cuando el router A recibe la consulta del Router B para la red 10.1.8.0/24, el router A crea una consulta
y la enva a Routers C, D, y E, ya que el Router A no tiene un FS pero sabe que existe un camino a
travs de cada sitio remoto para llegar a 10.1.8.0/24.
Los Routers C, D, y E reciben la consulta desde el Router A. Ahora saben que su camino a travs de
Router A no es bueno, as que ellos revisan sus tablas de topologa de caminos alternativos. Sin
embargo, ninguno de estos routers actualmente tiene otro camino, debido a que el router B slo les ha
informado de que no tiene una ruta de acceso a esta red. Debido a que los routers remotos no tienen una
respuesta a la pregunta formulada por el Router A; los Routers C, D, y E crean una consulta y la envan
a todos los vecinos, salvo el vecino (interfaz) que estos routers recibieron la consulta original. En este
caso, los routers remotos enviar la consulta slo al Router B.
El Router B aprende de estas consultas que ninguno de los routers remotos tiene una ruta a la red
10.1.8.0/24, pero no se puede responder que no se sabe de un camino, porque el router B est
esperando por Router A para responder a una consulta. El Router A est a la espera, ya sea para que el
Router C, D o E responda a su consulta, y estos sitios remotos estn esperando el router B para
responder a sus consultas. Debido a que el Router B enva la primera consulta, su temporizador SIA
vence primero, y el Router B alcanza primero el estado de SIA para la red 10.1.8.0/24 (en 3 minutos de
forma predeterminada). Router B restablece su relacin de vecino con el Router A. En cuanto la
relacin de vecino se cae, el router B puede responder a Routers C, D, y E, inmediatamente, diciendo
que el router B no tiene una ruta a 10.1.8.0/24. Routers C, D y E pueden entonces responder a Router A
que no tienen un camino.
Despus de que la relacin de vecino EIGRP entre los Routers A y B se restablece (justo despus de
que la adyacencia se restablece), el Router B, que ya no tiene una ruta a 10.1.8.0/24, no pasa la red
10.1.8.0/24 a Router A. El Router A se entera de que los sitios remotos no tienen un camino hacia
10.1.8.0/24 y la nueva relacin con el router B no incluye una ruta a 10.1.8.0/24, por lo que el Router A
elimina la red 10.1.8.0 de su tabla de topologa EIGRP IP.
En la red de la figura 2-44, la redundancia es proporcionada con los enlaces dobles desde las oficinas
regionales a los sitios remotos. El arquitecto de la red no tiene la intencin de que el trfico vaya de una
oficina regional a una oficina remota y volver a una oficina regional, pero lamentablemente esta es la
situacin.
Si los sitios remotos no suponen actuar como sitios de trnsito entre los sitios regionales, los routers
regionales se pueden configurar para anunciar slo una ruta por defecto a los routers remotos, y los
routers remotos pueden ser configurados para anunciar slo sus redes stub conectadas directamente a
los routers regionales, para reducir la complejidad y la tabla de topologa EIGRP y el tamao de la tabla
de enrutamiento.
Las siguientes secciones describen otras soluciones para limitar el rango de consulta EIGRP.
Limitando el rango de consultas en EIGRP
El administrador de red debe determinar la informacin necesaria para enrutar apropiadamente el
trfico de usuarios al destino correcto. La cantidad de informacin necesaria por los routers remotos
para lograr el nivel deseado de seleccin de ruta debe ser equilibrado contra el ancho de banda utilizado
para propagar esta informacin. Para lograr la mxima estabilidad y escalabilidad, los routers remotos
pueden utilizar una ruta por defecto para llegar al nucleo (core). Si algunas redes especficas necesitan
el conocimiento de ms rutas para garantizar la seleccin de la ruta ptima, el administrador debe
determinar si los beneficios de propagar la informacin de enrutamiento adicional superan el ancho de
banda adicional que se requiere para lograr este objetivo.
En una red bien diseada, cada sitio remoto tiene enlaces WAN redundantes para separar a los sitios de
distribucin. Si ambos sitios de distribucin pasan una ruta por defecto a los sitios remotos, los sitios
remotos balancean la carga de todas las redes detrs de los routers del sitio de distribucin. Esto
maximiza la utilizacin del ancho de banda y permite que el router remoto utilice menos CPU y
memoria, lo que significa que un router remoto ms pequeo y menos costoso pueda ser utilizado en
ese sitio.
Si el sitio remoto puede ver todas las rutas, el router puede seleccionar un camino que es la mejor
manera de llegar a una determinada red. Sin embargo, en funcin del nmero de rutas en la
interconexin de redes y la cantidad de ancho de banda de la conexin del sitio remoto a los sitios de
distribucin, este enfoque puede significar que se necesitan enlaces de mayor ancho de banda o grandes
routers para manejar la sobrecarga adicional.
Despus de determinar los requisitos mnimos de enrutamiento, se puede hacer ms escalable EIGRP.
Dos de las mejores opciones son las siguientes:
El resumen de ruta es ms eficaz con una asignacin de direccin conocida. Tener un diseo de red
jerrquica de dos o de tres capas, con los routers que resume entre las capas contribuye en gran medida
al flujo de trfico y a la distribucin de ruta.
La figura 2-45 muestra la topologa de una red interna no escalable en cuyas direcciones (subredes) son
o aleatoriamente asignadas o asignadas por requerimientos histricos. En este ejemplo, varias subredes
de diferentes redes principales se encuentran en cada nube, requiriendo muchas rutas de subred a ser
inyectadas en el ncleo. Adems, debido a la asignacin aleatoria de direcciones, el trfico de consulta
puede no estar localizada en cualquier parte de la red, aumentando as el tiempo de convergencia. La
administracin y solucin de problemas tambin son ms complejos en este escenario.
Figure 2-45. Nonscalable Internetwork.
La figura 2-46 ilustra una red mejor diseada. Las direcciones de subred de las principales redes
individuales se localizan dentro de cada nube, permitiendo rutas de resumen que se inyecta en el
ncleo. Como un beneficio adicional, las rutas de resumen actan como una frontera para las consultas
generadas por un cambio de topologa.
Figure 2-46. Scalable Internetwork.
La figura 2-47 muestra una red de ejemplo para ilustrar cmo el resumen de EIGRP puede limitar el
rango de la consulta. El Router B enva una ruta resumen de 172.30.0.0/16 a Router A. Cuando la red
172.30.1.0/24 se cae, el router A recibe una consulta desde el Router B sobre esa red. Debido a que el
Router A ha recibido slo una ruta resumen, esa red especfica no est en su tabla de enrutamiento y as
que Router A responde a la consulta con un mensaje de "red 172.30.1.0/24 inalcanzable" y no se
extiende ms all de la consulta. Observe que la consulta se detiene en el router que recibe la ruta
resumen (Router A en este ejemplo), no en el router que enva la ruta resumen (Router B en este
ejemplo). Un router remoto extiende la consulta sobre una red slo si tiene una coincidencia exacta
para la red en su tabla de enrutamiento.
Figure 2-47. EIGRP Summarization Can Limit Query Range.
La Sumarizacin minimiza el tamao de la tabla de enrutamiento, lo que significa menos uso de CPU y
memoria para administrar y menos ancho de banda para transmitir la informacin. La sumarizacin
tambin reduce la posibilidad de que las redes se vuelvan SIA, ya que reduce el nmero de routers que
ven cada consulta, por lo que la probabilidad de una consulta encontrarse con uno de estos problemas
tambin se reduce.
La figura 2-48 ilustra cmo el resumen de ruta puede afectar a la red que se muestra anteriormente en
la Figura 2-44. El comando ip summary-address eigrp es configurado en las interfaces de salida de
los Routers A y B de manera que los Routers A y B anuncian la ruta de resumen 10.0.0.0/8 a la Routers
remotos C, D y E.
Figure 2-48. Limiting Updates and Queries Using Summarization.
La red 10.1.8.0/24 no es publicada a los routers remotos. Por lo tanto, los routers remotos (C, D, y E)
no extienden las consultas sobre la red 10.1.8.0/24 de nuevo a los otros routers regionales, la reduccin
del trfico de convergencia (preguntas y respuestas) causada por la topologa redundante. Cuando los
Routers A y B envan la consulta para 10.1.8.0/24 a Routers C, D, y E, estos routers responden
inmediatamente que el destino es inalcanzable. Las consultas para las redes perdidas 10.1.8.0/24 no son
propagadas ms all de los sitios remotos, evitando que los Routers A y B se convierta en SIA
esperando el proceso de consulta para recibir todas las respuestas.
En una topologa hub-and-spoke, teniendo una tabla de enrutamiento completa en los routers remotos
no sirve a ningn propsito funcional debido a que la ruta de acceso a la red corporativa e Internet es
siempre a travs del router hub. Adems, tener una tabla de enrutamiento completa en los routers spoke
aumenta la cantidad de memoria necesaria.
El trfico procedente de un router hub no debera utilizar un router remoto como un camino de trnsito.
Una conexin tpica desde un router hub a un router remoto tiene significativamente menos ancho de
banda que una conexin en el ncleo de la red. El intento de utilizar la conexin a un router remoto
como ruta de trnsito por lo general se traduce en congestin excesiva. La funcin de enrutamiento
Stub EIGRP puede evitar este problema restringiendo al router remoto de la publicidad de rutas del
router hub de nuevo a otros routers hub. Por ejemplo, en la figura 2-48, las rutas reconocidas por el
router remoto desde el Router hub A no son publicadas al hub del Router B. Debido a que el router
remoto no publica las rutas hub de nuevo a los routers hub, los routers hub no utilizan la routers
remotos como una ruta de trnsito. Usando la funcin de enrutamiento stub de EIGRP mejora la
estabilidad de la red, reduce la utilizacin de recursos y simplifica la configuracin del router stub.
La caracterstica Stub de EIGRP fu primero introducida en el IOS de Cisco Release 12.0(7)T.
Slo los routers remotos se configuran como stubs. La funcin de stub no impide que rutas sean
anunciadas al router remoto.
Un router stub indica en el paquete de saludo a todos los routers vecinos su estatus como un router stub.
Cualquier router que reciba un paquete informandole sobre el estado de stub de su vecino no consulta
el router stub para ninguna ruta. Por lo tanto, un router que tenga un par stub no consulta ese par.
As, es importante tener en cuenta que los routers stub no son consultados. En lugar de ello, los routers
hub conectados al router stub responden la consulta en nombre del router stub.
La funcin de enrutamiento stub EIGRP tambin simplifica la configuracin y mantenimiento de redes
de hub-and-spoke, mejora la estabilidad de la red y reduce el uso de recursos. Cuando el enrutamiento
stub es activado en configuraciones remotas dual-homed, no se tiene que configurar el filtrado en los
routers remotos para evitar que aparezcan como rutas de trnsito a los routers hub.
Precaucin: el enrutamiento stub de EIGRP se debe utilizar solamente en los routers stub. Un router
Stub es definido como un router conectado al ncleo de la red o capa hub, y a travs del cual el trfico
que viaja al nucleo no debera fluir. Un router stub debera tener slo los routers hub para los vecinos
EIGRP. Igonar esta restriccin causa comportamientos indeseables.
Al planificar la configuracin Stub de EIGRP, siga los siguientes pasos:
Examine la topologa y la configuracin existente de EIGRP.
Definir los requisitos, entre ellos que los routers se configuran como routers stub, y si la
redistribucin y sumarizacin ser desarrollada.
Disear la red.
Crear un plan de implementacin.
Configurar y verificar la configuracin.
Para configurar un router como un stub de EIGRP, use el comando de configuracin de router eigrp
Los parmetros opcionales en este comando pueden ser usados en cualquier combinacin, con la
excepcin de la palabra clave receive-only. Si cualquiera de las palabras claves (excepto receiveonly) es usado individualmente, las rutas conectadas y resumen no son enviadas automticamente.
En el ejemplo 2-59, el comando eigrp stub es usado para configurar al router como un stub que
publica rutas conectadas y de resumen.
Example 2-59. eigrp stub Command to Advertise Connected and Summary Routes
Router(config)#router eigrp 1
Router(config-router)#network 10.0.0.0
Router(config-router)#eigrp stub
En el Ejemplo 2-60, el comando eigrp stub receive-only se utiliza para configurar el router como un
stub por el cual rutas conectadas, resumen y estticas no se envan.
La funcin stub de EIGRP no habilita el resumen de ruta en el router hub. El administrador de red
debera configurar el resumen de rutas en los routers hub si se desea. Cisco recomienda altamente
utilizar tanto resumen de ruta EIGRP como caractersticas stub EIGRP para proporcionar la mejor
escalabilidad.
Si se requiere una red stub verdadera, el router hub se puede configurar para enviar una ruta por defecto
a los routers spoke. Este enfoque es el ms simple y se ahorra el mximo ancho de banda y memoria en
los routers spoke.
Nota: Aunque EIGRP es un protocolo de enrutamiento sin clase, tiene un comportamiento con clase
por defecto, como tener el resumen automtico de forma predeterminada. Al configurar el router hub
para enviar una ruta por defecto al router remoto, asegrese del comando ip classless en el router
remoto. Por defecto, el comando ip classless est habilitado en todas las imgenes de IOS de Cisco
que admiten la funcin de enrutamiento stub de EIGRP.
La figura 2-49 ilustra cmo el uso de la funcin de stub de EIGRP afecta a la red que se muestra
anteriormente en la Figura 2-44. Cada uno de los routers remotos se configura como un stub. Las
consultas para la red 10.1.8.0/24 no se envan a los routers C, D, o E, reduciendo as el ancho de banda
utilizado y la oportunidad de las rutas sean SIA (Stuck-In-Active).
Figure 2-49. Limiting Updates and Queries Using the EIGRP Stub Feature.
El uso de la funcin stub de EIGRP en los sitios remotos permite a los sitios hub (oficinas regionales)
inmediatamente responder consultas sin propagar las consultas a los sitios remotos, ahorrando ciclos de
CPU y ancho de banda, y disminuyendo tiempos de convergencia, incluso cuando los sitios remotos
son de dual-homed para dos o ms sitios hub.
La figura 2-50 ilustra otro ejemplo de la red; El ejemplo 2-61 se muestra parte de la configuracin del
Router B.
Usando este ejemplo de red y configuracin, considere cuales redes Router B publicar a Router A
cuando las opciones varias del comando eigrp stub sean tambin configuradas en Router B:
Con el comando eigrp stub connected Router B publicar slo 10.1.2.0/24 a Router A. Note
que aunque 10.1.3.0/24 es tambin una red conectada, no es publicada a Router A ya que no
est anunciada en un comando network y las rutas conectadas no son redistribuidas.
Con el comando eigrp stub summary, Router B publicar slo 10.1.2.0/23, la ruta resumen que
es configurada en el router, al router A.
Con el comando eigrp stub static, Router B publicar slo 10.1.4.0/24, la ruta esttica que es
configurada en el router, al router A (note que el comando redistribute static es configurado
en el Router B). Nota: Sin la opcin static, EIGRP no enviar las rutas estticas, incluidas las
rutas estticas internas que normalmente se redistribuyen automticamente.
Con Graceful Shutdown, se emite un mensaje de adis (goodbye message) cuando un proceso de
enrutamiento EIGRP es apagado, para informar a sus pares adyacentes acerca de dicho cambio en la
topologa inminente. Esta caracterstica permite el soporte a los pares EIGRP para sincronizar y volver
a calcular las relaciones de vecinos de manera ms eficiente de lo que ocurrira si los pares
descubrieran el cambio en la topologa despus de expirado el temporizador de espera.
El mensaje Goodbye es soportado en el software IOS de Cisco Release 12.3(2), 12.3(3)B y 12.3(2)T
y posteriores.
Curiosamente, los mensajes de despedida se envan en paquetes de saludo. EIGRP enva un mensaje de
despedida de interfaz con todos los valores K establecidos a 255 cuando se tumban todos los pares
Un router de Cisco que ejecuta una versin de software que no es compatible con el mensaje de
despedida se malinterpreta el mensaje como un valor K desajustado y por lo tanto muestra el siguiente
mensaje:
*Apr 26 13:48:41.811: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.1.1
(Ethernet0/0) is down: K-value mismatch