Tag Archive for Networking

Servicios de enrutamiento en Windows Server 2016

Hola, durante la serie de publicaciones sobre los servicios de implementación de Windows Server 2016 hemos configurado un entorno en nuestro Hyper-V con un controlador de dominio con el servicio de implementación y DHCP, a este se conectan nuestros clientes para obtener direccionamiento y a su vez hace de puerta de enlace para estos. Todo esto nos permite tener una red local donde hacer nuestras pruebas, pero los equipos clientes de nuestro laboratorio no tienen salida a internet, asi que vamos a darles salida a internet haciendo uso de otro rol de Windows Server, los servicios de enrutamiento y acceso remoto.

Read more

Configurar NIC Teaming en Windows Server.

      Hace ya unas semanas durante la serie de post sobre segmentación de redes, mencione la posibilidad de asociar interfaces físicas generando una sola interfaz lógica, nueva funcionalidad introducida en Windows Server 2012 de manera nativa.

      La configuración es bastante sencilla, voy a usar Microsoft Windows Server technical preview. La configuración en Windows Server 2012 es exactamente idéntica.

      La configuración esta accesible desde el Server Manager en el apartado de Servidor local, en este, justo encima de la información correspondiente a las tarjetas de red, encontramos la opción NIC Teaming desahabilitada.

clip_image002

Read more

Recopilación: Segmentación de redes

      Durante unas semanas hemos visto poco a poco como segmentar nuestra infraestructura de red, ahora, vamos a ver un resumen donde os dejare los enlaces al resto de artículos necesarios para poder llevar a cabo todo el proceso completo.

     Recordemos que la finalidad de la segmentación de una infraestructura de red son muchas:

  • Reducción de dominios de broadcast.
  • Control de accesos.
  • Localización de servicios en segmentos específicos de la red.
  • Aplicación de políticas de red con NPS y NAP.

Read more

Segmentación de redes: Configuración de dispositivos de red III de III.

Dispositivos de capa 3.

     Después de ver la configuración de los dispositivos de capa 2 y la de los clientes, ya solo nos queda ver las configuraciones necesarias en nuestro dispositivo de capa 3, para ello podemos hacer uso de un router o un switch con funcionalidad de capa 3, generalmente la mejor solución es hacer uso de un switch capa 3, ya que si hacemos uso de un router o del servicio RRAS de Windows necesitaremos una interfaz dedicada para cada segmento de red o contar con la posibilidad de generar sub-interfaces lógicas dentro de la física del router, además del cuello de botella que podría generarse.

clip_image001

Requisitos previos. Read more

Segmentación de redes: Configuración de dispositivos de red II de III

Dispositivos de capa 2.

     Ya vimos la semana pasada como configurar nuestros clientes para trabajar con Vlan´s, y como estos quedaban automáticamente configurados sin necesidad de mucho esfuerzo. Ahora es el momento de configurar nuestros switchs para poder trabajar correctamente.

clip_image001

     Si retomamos la imagen de arriba, ahora nos centramos en las configuraciones correspondientes a la capa 2. Como podéis observar podemos diferenciar dos tipos de enlaces:

  • Los correspondientes a los clientes.
  • Los correspondientes a los dispositivos de capa 3.

     La diferencia de estos dos tipos de enlaces es muy simple, si establecemos una comunicación desde el primer cliente de la izquierda hacia el ultimo cliente, el camino que seguirá contara de 4 saltos:

  • Cliente origen – Switch capa 2.
  • Switch capa 2 – swtich capa 3.
  • Switch capa 3 – switch capa 2.
  • Switch capa 2 – cliente destino.

     Siguiendo los saltos, mirando la imagen y teniendo en cuenta que los clientes conectados al primer switch de la derecha esta cada uno en un Vlan diferente, diferenciamos 3 enlaces:

  • Dos para clientes, de los cuales cada enlace tendrá pertenencia a la Vlan correspondiente.
  • Uno para comunicación con el switch de capa 3, este enlace debe ser capaz de retransmitir tramas sea cual sea el vlan ID que contenga.

     Antes de poder asignar la pertenencia a vlan de una interfaz deberemos realizar unos pasos previos.

Generación de Vlan´s.

     Para poder asignar una interfaz a una vlan, primero debemos contar con las vlan necesarias para ello, deberemos crearlas en nuestro swtich. Este paso es muy sencillo, tan solo deberemos acceder a nuestros dispositivos y generar las vlan que necesitemos. Normalmente podemos hacerlos desde línea de comandos o desde la interfaz gráfica del dispositivo, generando así en cada dispositivo las vlan necesarias.

     En redes amplias puede llegar a ser muy tedioso ir uno a uno por cada switch generando las vlan correspondientes, así que es más que recomendable, a la hora de comprar este tipo de dispositivos, tener en cuenta que este cuenta con algún protocolo de transmisión, como por ejemplo VTP, protocolo propietario de cisco que se encarga de pasar la base de datos de vlan entre dispositivos de red. También es posible “jugar” con los archivos de configuración de los para este propósito, podemos maquetar un switch con todas la vlan necesarias para nuestra infraestructura, exportar la configuración e irla cargando en el resto de switchs, pero tenéis que tener en cuenta todos los parámetros que se pasan con la configuración o editar, si es posible dicho archivo.

     Una vez hemos generado las vlan necesarias en los dispositivos pasaremos al siguiente paso.

Configuración de puertos de acceso.

     Los puertos de acceso, como su nombre indica, son los encargados de dar acceso a nuestros clientes a la red. Deberemos tener en cuenta unas cuantas cosas:

  • Un cliente solo puede pertenecer a una vlan, ya que los puertos configurados para acceso etiquetaran las tramas con el vlan Id que corresponda.
  • Debemos tener en cuenta ciertos dispositivos como servidores o cabinas de datos, si estos solo va a dar servicio a una vlan, podremos configurar los puertos que comuniquen con este como puertos de acceso, en el caso contrario, es decir, que el acceso a estos sea compartido entre las diferentes vlan no podrán ser configurados como puertos de acceso. Particularmente, a mí me gusta tomar una “solución mixta” por diferentes motivos, dicha solución es tener los servidores aislados en una o varias vlan específicas para este tipo de dispositivos, teniendo los dispositivos dedicados a dar servicios en estas, aislándolos un poquito y pudiendo controlar mediante acls entre las diferentes vlan el acceso a los mismos.

     Una vez tenemos estos dos puntos claros, tenemos dos métodos para asignar la pertenencia a vlan en las interfaces del swtich:

  • Asignación de vlan por interface, un método más “cerrado” y menos dinámico, consiste en ir asignando una a una las interfaces del switch a la vlan correspondiente. La realización puede variar dependiente del dispositivo, en cisco por ejemplo deberemos hacer uso del comando swtichport mode Access y la id de la vlan correspondiente desde la configuración del puerto. En dispositivos Netgear deberemos marcar como Untaged los puertos correspondientes. Aunque el método varié la finalidad es la misma, marcar una interfaz con pertenencia a una vlan para que esta etiquete las tramas que pasan con el vlan Id correspondiente. Con este método las tramas de cualquier dispositivo conectado a una interfaz será marcado con el vlan id.
  • Asignación de vlan por MAC, método más dinámico pero más costoso de implementar, consiste en genera en cada swtich una base de datos interna con la MAC de cada dispositivo y la vlan a la que debe pertenecer, de manera que cuando conectemos un dispositivo a uno de nuestros dispositivos este cogerá la MAC, buscara en la base de datos interna y en el caso de encontrar una coincidencia asignara el puerto a la vlan que corresponda, etiquetando las tramas como corresponda.

     El tipo de método de asignación ya depende de vosotros. Pero si os puedo orientar un poquito, para recopilar las MAC podéis hacer uso por ejemplo del servidor dhcp, ya que podréis ver el nombre, la IP concedida y la MAC del equipo en todo momento. Pasemos al último paso en los dispositivos de capa 2.

Configuración de enlaces troncales (802.1q).

     Con los puertos de acceso configurados para que etiqueten las tramas con los vlan Id que corresponda, solo nos queda asegurarnos de que las comunicaciones pueden ser reenviadas entre los dispositivos de red de nuestra infraestructura. Para ello, como podéis observar en la imagen, es necesario que una serie de interfaces sean capaces de reenviar el trafico sea cual sea el vlan id que contengan las tramas.

     Para ello es necesario que activemos el protocolo de enlaces troncales 802.1q en estas interfaces. La activación al igual que con la asignación de los puertos de acceso depende del proveedor del dispositivo. Por ejemplo en cisco deberemos usar el comando switchport mode trunk, mientras que en Netgear deberemos marcar como tagged para todas las vlan necesarias este tipo de puertos. Con esto permitiremos que el puerto deje pasar las tramas sea cual sea el vlan Id que contenga.

     Llegados a este punto ya solo nos queda la configuración de nuestro dispositivo de capa 3, que como podéis recordar será el encargado de re-direccionar, gracias a las funciones de routing, las tramas entre las diferentes vlan´s.

     Como siempre espero os sea útil la información, para cualquier duda, consulta etcétera podéis contactar conmigo. No olvidéis compartir el contenido si os parece interesante y apuntaros al RSS para recibir las ultimas actualizaciones. Nos vemos pronto.

Segmentación de redes: Configuración de dispositivos de red I de III

Fundamentos.

    Hasta la fecha, hemos visto como configurar un relay dhcp y la configuración de  nuestro dhcp para asignar direccionamiento a los distintos dispositivos dentro de nuestra red. Para completar nuestra configuración por completo, nos falta la configuración de los dispositivos de red, esta parte la vamos a abarcar entre los siguientes 3 artículos.

    Para poder comunicarnos entre nuestras vlan, deberemos tener un dispositivo que sea capaz de re-direccionar el tráfico entre los diferentes segmentos de nuestra red. Lo más lógico es hacer uso de un switch con funcionalidad de capa 3. Este será el core de nuestra red, siendo capaz de intercomunicar nuestras vlan. Para el resto haremos uso de switch´s con funcionalidad de capa 2.

clip_image002

Asignación de interfaces.

   Si seguimos el esquema de arriba, las interfaces de los switch de capa 2 correspondientes a los clientes, deberán estar configuradas en modo acceso para la vlan correspondiente, asignando así la pertenencia del equipo a la vlan. Mientas que las que comunican con nuestro dispositivo capa 3, deben estar en modo troncal, habilitando así el protocolo 802.1q. Mas adelante veremos el porqué de estas configuraciones.

    Por último tendremos nuestro dispositivo de capa 3, este será el encargado, como he dicho en varias ocasiones, de re-direccionar el tráfico entre las diferentes vlan. Para poder llevar a cabo este cometido será el que haga de Gateway para las diferentes vlan, por lo tanto este además de tener configuradas las diferentes vlan, también tendrá que ser capaz de enrutarlas, para lo cual tendremos que configurar la parte correspondiente al routing asignado un rango y una ip a cada una de ellas en el dispositivo, siendo la ip que asignemos la que hará de puerta de enlace para la vlan correspondiente. También deberemos configurar en este una ruta por defecto para que sea capaz de reenviar fuera de nuestra red local el tráfico pertinente.

Configuración de los clientes.

    Vamos a ir viendo las configuraciones para cada una de las partes del esquema, empezaremos por los clientes, en el siguiente post veremos la configuración de dispositivos de red de capa 2 y en el ultimo la de los dispositivos de capa 3.

    En realidad, la configuración de los clientes ya la tenemos realizada, ya que cuando conectemos un dispositivo a la red seguirá el siguiente proceso:

  • Lanzará el broadcast para realizar el dhcp Discovery, este llegara a la interfaz del swich de capa 2 correspondiente.
  • El switch etiquetara el tráfico del dispositivo con el VlanID correspondiente a la interfaz y propagara este broadcast por las interfaces pertenecientes a la VLAN que corresponda hasta que este llegue al dispositivo de capa3.
  • Nuestro dispositivo de capa 3 reenviara el tráfico, gracias a nuestro dhcp relay al servidor dhcp.
  • El servidor dhcp responderá a la petición, asignando finalmente un direccionamiento valido para la vlan correspondiente, permitiendo la comunicación del cliente con el resto de dispositivos.

    Como podéis ver el proceso es bastante sencillo. En principio, cuando terminemos de configurar todo, dispondremos de una red segmentada en la que los dispositivos podrán comunicarse entre si. Si deseamos que esto no sea así, podemos hacer uso de diferentes métodos como puede ser la aplicación de ACL´s para las vlan. Este método es bastante sencillo de implementar, sin embargo mi intención es ir mas allá. Digamos que esta serie de post sobre segmentación de redes pretende ser el preludio para una serie de post en los que veremos como proteger nuestra infraestructura. Para conseguir este fin podemos hacer uso, entre otras cosas, de:

  • Servidores AAA como Radius para autenticación a nivel de red.
  • NPS y NAP con DHCP, para evitar que los equipos que no cumplan ciertos requisitos de salud y configuración puedan acceder a nuestra red interna.
  • ACL´s, antes mencionadas, para controlar como y con quien se comunican nuestros dispositivos.
  • Poder implementar un IDS para detectar accesos no autorizados.
  • Portmirroring, para monitorizar el trafico de nuestra red.

    Estas son algunas de las funcionalidades que se me ocurren podemos implementar y que espero poder ir publicando poco a poco si el tiempo y los recursos me dejan.

   Hasta el próximo post.

   No olvidéis compartir el contenido si os gusta y dejar algún comentario, pregunta, reseña, etcétera. Siempre intento contestar las preguntas, ayudar y echar una mano, ya que, a mi entender es la finalidad de cualquier blog, acercar el conocimiento a los demás y aprender de ellos. Siempre se puede aprender de las criticas y no todo siempre todo tienen que ser halagos.

Configurar DHCP por VLAN

     Ya hable un poquito de la segmentación de redes en el post anterior sobre cómo realizar un relay dhcp, ahora vamos a ver como configurar ese dhcp para que acepte las peticiones que le reenvía el relay desde cada segmento de red y sea capaz de asignar el direccionamiento correcto al segmento en el que se encuentra el cliente.

     En realidad, la configuración del dhcp es lo más sencillo de todo el proceso de segmentación de una red, solo necesitamos un servidor que contenga un ámbito para cada vlan, con las opciones correspondientes al segmento de red de esta, al final veremos cómo se realiza la asignación.

     La instalación del servidor dhcp es la siguiente:

     Agregamos el rol desde el asistente como siempre.

02      Una vez hecho esto, deberemos completar la configuración del servidor autorizándolo en el dominio. Para llevar a cabo esta tarea, necesitaremos que el usuario que lo autorice pertenezca al grupo de administradores del dominio. ¡Atención!, si el dhcp está unido a un dominio secundario, etcétera, es decir cualquier dominio que dependa de uno superior, deberéis tener también pertenencia al grupo de administradores de empresa.

 03

04

05

     Una vez tengamos nuestro dhcp autorizado, deberemos generar un ámbito para cada vlan. Para lo cual pulsaremos botón derecho sobre IPv4 y nuevo ámbito. Y seguiremos los pasos del asistente para generar cada uno de los ámbitos. Recordar que cada vlan tiene que corresponder con un segmento de red. Una vez tengamos todos los ámbitos generados, nuestro dhcp debería tener un aspecto similar al siguiente:

07

Y las propiedades de nuestros ámbitos un aspecto similar a este:

06

     Con esto hemos terminado la configuración del servicio dhcp al completo. No es necesario realizar ninguna configuración más en el servidor.

     Cuando nuestro equipo se conecte a la red y emita el broadcast para realizar el descubrimiento de un servidor dhcp, este llegara a nuestro relay, el cual lo re-direccionara hacia el servidor dhcp, este, asignara una dirección ip al dispositivo, coincidente con el ambito  coincidente con la dirección de broadcast de la vlan en el que se ha originado. Es decir:

  • Si nuestro dispositivo está ubicado en la VLAN 10, la cual corresponde al segmento de red 10.163.10.0/24 este buscara mediante la dirección de broadcast correspondiente al segmento un ámbito coincidente con este entre los disponibles y asignara una dirección de este al dispositivo.

     A estas alturas, ya tenemos un dhcp capaz de asignar direccionamiento en segmentos de red diferentes al suyo gracias a nuestro dhcp relay. Ya solo nos quedaría la configuración de nuestros dispositivos de red para trabajar con vlan´s. Así que en el próximo post veremos la configuración necesaria tanto en dispositivos de capa 2 como de capa 3 para un correcto funcionamiento de nuestras vlan´s.

DHCP Relay en Windows Server 2012 R2

    A la hora de montar la infraestructura de una empresa, debemos tener muy en cuenta, entre otras muchas cosas, la arquitectura de red. Para poder llegar a unos niveles de seguridad, fiabilidad y servicio aceptables uno de los pasos es la segmentación de la red. Para llevar a cabo la segmentación de esta, normalmente, hacemos uso de Vlan´s, DMZ, etcétera.

     Todo esto conlleva que tengamos que hacer uso de dispositivos capaces de enrutar, para poder establecer comunicación entre nuestras subredes, garantizando asi el acceso de los clientes a los servicios.

     En el próximo post veremos cómo asignar direcciones desde un solo dhcp a todas las vlan´s, haciendo que este asigne una dirección correspondiente al rango de la vlan en la que se encuentre cada cliente.

     Pero para poder configurar esto, primero, debemos poder tener el servidor dhcp accesible desde cualquier segmento de nuestra infraestructura de red, para lo cual montaremos un relay para DHCP.

     Pongámonos en situación, cuando conectamos un dispositivo con dhcp habilitado a una red, este emite un broadcast para descubrir quien oferta el servicio dhcp y poder solicitar una dirección. El problema, nos lo encontramos cuando entre el cliente y el servidor tenemos dispositivos de capa 3, ya sea un simple router, un switch con funcionalidad de capa 3 o un servidor con el servicio RRAS levantado, ya que estos dispositivos al trabajar direccionando segmentos de red diferentes, también contienen e impiden la propagación de broadcast entre estos. Debido a esto el cliente nunca recibirá respuesta de un DHCP que se encuentre ubicado en otro segmento de red.

     Para dar solución a estos casos podemos hacer uso de una de las funciones que podemos encontrar dentro del rol de acceso remoto en Windows server 2012. Haciendo que nuestro dispositivo de capa 3, en este caso será un servidor con el servicio de enrutamiento y acceso remoto levantado sea capaz de retransmitir las peticiones que le llegan a la interfaz correspondiente al segmento 1 y reenviarlas al servidor DHCP.

clip_image002

     Para ello vamos a configurar nuestro DHCP Relay desde cero, para lo cual desde el administrador del servidor, accedemos a agregar roles y características e instalamos el rol de acceso remoto.

clip_image004

     En los servicios de rol elegimos enrutamiento, este también nos activara la instalación correspondiente a DirectAccess y VPN.

clip_image006

     Una vez instalado el rol, accedemos al panel de configuración de enrutamiento y acceso remoto y con botón derecho sobre el servidor procedemos a configurarlo mediante el asistente. Podeis seleccionar cualquiera de las opciones dependiendo de vuestros requerimientos, por ahora solo voy a explicar cómo configurar el relay, para lo cual usaremos configuración personalizada.

clip_image007

     Tras esto seleccionaremos la opción enrutamiento LAN, ya que lo que vamos a hacer es enrutar peticiones dentro de nuestra red local.

clip_image008

     Una vez tengamos ya configurado el servidor, desplegamos IPv4 y con botón derecho seleccionamos Nuevo protocolo de enrutamiento y dentro de este DHCP Relay Agent.

clip_image009

     El siguiente paso es decirle las dirección/es de los servidores dhcp a los que se desea mandar las solicitudes, dado que el agente cogerá la solicitud que le llega por el broadcast iniciado en el cliente y la retransmitirá al segmento correspondiente pero no como broadcast, si no como un tráfico unicast dirigido exclusivamente a los servidores que nosotros deseemos.

clip_image010

     Nos aparecerá en el desplegable correspondiente a IPv4 nuestro agente de retransmisión. Ya solo nos queda decirle en que interfaz recibirá las peticiones DHCP, para ello botón derecho sobre Agente de retransmisión DHCP y seleccionamos nueva interfaz. Aquí aparecerán todas las interfaces de las que disponga el servidor y, cuidado, debemos seleccionar cual escucha las peticiones y nunca por cual deseamos que se reenvíen, de eso se encarga el agente. Básicamente deberemos generar una interfaz nueva para el agente por segmento de red desde el que deseamos redireccionar peticiones.

clip_image011

     Con esto ya tendremos funcionando nuestro agente, reenviando las solicitudes a nuestro DHCP desde cualquier segmento.

     Podéis ver las estadísticas desde el propio agente, ordenadas por la interfaz desde la que se recibe la solicitud DHCP.

08

     Espero os sea de ayuda la información y en el próximo post veremos cómo asignar desde un solo DHCP direccionamiento a todas nuestras Vlan´s, haciendo uso de un DHCP Relay.