Professional Documents
Culture Documents
COLOMBIA
Version 1.1
DIRECCIN DE INGENIERA
CONTROL DE CAMBIOS
Tabla de contenido
CONTROL DE CAMBIOS .............................................................................................................................................. 2
1 INTRODUCCION .................................................................................................................................................... 4
1 INTRODUCCION
Este manual se suministra para los equipos marca TELDAT, especficamente la lnea H1+ y es el
equipo homologado por TELMEX para el producto SOLUCIONES TRANSACCIONALES cuyo
requerimiento principal es la interfaz celular para conectarse a las redes mviles 3G.
Aunque el equipo soporta todas las funcionalidades y protocolos que se usan en los dems
servicios TELMEX (INTERNET, canales IP DATA INTRANET, etc), el presente documento
ilustrar la forma de configurar el router para soportar la configuracin bsica estndar del producto
SOLUCIONES TRANSACCIONALES.
En el equipo adquirido por Telmex, el puerto Giga que viene por defecto para ser usado como
WAN no ser utilizado ya que este requiere una licencia especial para su activacin que no ha sido
comprada, por lo anterior la habilitacin del puerto WAN se har usando encapsulacin 802.1q
sobre los puertos Fastethernet del mdulo switch (VLANs).
En cuanto a la instalacin de la SIMCARD para la conectividad 3G, el equipo posee dos tipos de
ranura o slot, una externa y otra interna. La externa es la que aparece en el diagrama anterior como
ranura 4. La ranura interna se encuentra abriendo el equipo e instalando la SIMCARD en el
compartimento que se encuentra cerca a la antena izquierda de 3G(numeral 2). El anterior
procedimiento es necesario cuando el servicio TELMEX a instalar requiere doble SIMCARD.
El equipo al llegar de bodega (TELMEX) debe venir con el cable de consola o adaptador
DB9-RJ4, con 4 antenas (2 para WiFi que no se usarn y 2 para 3G que son las antenas en forma de
paleta). Adicional a lo anterior el equipo viene con un adaptador de voltaje, un cable UTP y un CD
con toda la documentacin acerca de comandos y configuracin del equipo.
Para dejar el CPE con la configuracin de fbrica simplemente tomamos un clip y con el equipo
encendi presionamos el botn de Reset como se muestra en la grafica, dejamos presionado el
Botn por unos 6 segundos y el equipo reinicia a los parmetros de fabrica
Si se est por consola en esta se puede ver lo siguiente al presionar el Botn RST. Lo que aparece
a continuacin es tambin lo mismo que aparece cuando el equipo se inicia por primera vez:
DHCP running
*** Press CTRL+T to stop DHCP and break into CFE menu ***
*** Press CTRL+T to stop auto run (1 seconds) ***
Auto run second count down: 0
Booting from latest image (0xb8160000) ...
Code Address: 0x80010000, Entry Address: 0x80320000
Booting version 10.08.24
Decompression OK!
Entry at 0x80320000
Closing network.
Disabling Switch ports.
Flushing Receive Buffers...
0 buffers found.
Closing DMA Channels.
Starting program at 0x80320000
Teldat (c)2001-2011
Router model H1+ WL USB IPSec SNA VoIP T+ 26 48 CPU MIPS32 S/N: 728/10146
1 LAN, 1 WLAN
CIT software version: 10.08.12.01.09 Jul 11 2011 14:38:00
*
Press any key to get started
La version mnima recomendada por el fabricante con la que debe llegar el equipo es la 10.08.24
Si no se tiene acceso por consola se puede acceder por puerto Ethernet luego de un reset por
defecto con el botn externo se debe configurar un PC con una IP del segmento 192.168.1.0/24
que no sea la 192.168.1.1 o la 192.168.1.100 y se realiza un telnet a alguna de las dos conectando
el PC a alguno de los puerto LAN 1 a LAN4
REDEBAN *process 4
REDEBAN Config>
Salvamos cambios
REDEBAN Config>end
REDEBAN *
Y por ultimo reiniciamos el equipo el cual arrancara con la configuracin por defecto
REDEBAN *restart
log-command-errors
no configuration
set hostname CLIENTE
add device ppp 1
add device tnip 1
add device eth-subinterface ethernet0/0 2 Vlan 2 se asigna hacia la LAN del cliente.
set data-link at cellular0/0
set data-link at cellular0/1
set data-link at cellular1/0
set data-link at cellular1/1
user gestion hash-password FDB49F1336B5F1BF51A0D9E394621D01
;
global-profiles dial
; -- Dial Profiles Configuration --
Confidencial Pag. 10 04/02/2014
CONFIGURACION ROUTER TELDAT H1+
profile H1 default
profile H1 dialout
profile H1 3gpp-accessibility-control traffic 100 all
profile H1 3gpp-apn telmex.corp.comcel.com.co APN asociado a la SIMCARD.
profile H1 3gpp-restart-on-disc
profile H1 3gpp-restart-on-cnxs-fails 6 30s
;
exit
;
global-profiles ppp
; -- PPP Profiles Configuration --
lcp-options cellular1/1 default
lcp-options cellular1/1 acfc
lcp-options cellular1/1 pfc
lcp-options cellular1/1 accm 0
;
exit
;
network cellular1/0
; -- Interface AT. Configuration --
coverage-timer 10
;
network mode automatic
network domain cs+ps
exit
;
;
network ppp1
; -- Generic PPP User Configuration --
ip address unnumbered
;
;
ppp
; -- PPP Configuration --
authentication sent-user web ciphered-pwd 0x19A02514F479EDB1
ipcp local address assigned
no ipcp peer-route
lcp echo-req off
exit
;
base-interface
; -- Base Interface Configuration --
base-interface cellular1/1 link
base-interface cellular1/1 profile H1 Asociacin de la interfaz celular con el perfil de
Confidencial Pag. 11 04/02/2014
CONFIGURACION ROUTER TELDAT H1+
configuracion 3G(APN)
;
exit
;
exit
;
;
network tnip1
; -- IP Tunnel Net Configuration --
ip address 10.8.1.158 255.255.255.252 PEER Dir IP TUNEL 3G
;
;
ip mtu 1410
;
enable
mode gre ip
source ppp1 IP que toma la SIMCARD del Operador mvil.
destination 172.25.0.1 IP de la loopback en el router de interconexin (Asociada al APN)
keepalive 10s 1
exit
;
network ethernet0/0.2
; -- Ethernet Subinterface Configuration --
description LAN_CLIENTE
;
ip address 10.240.10.81 255.255.255.248
ip address 10.200.61.73 255.255.255.248 secondary
;
;
encapsulation dot1q 2
;
;
exit
;
;
protocol ip
; -- Internet protocol user configuration --
route 172.25.0.1 255.255.255.255 ppp1 Asegura la alcanzabilidad del tunel remoto.
route 0.0.0.0 0.0.0.0 tnip1 distance 200
;
;
exit
;
;
Confidencial Pag. 12 04/02/2014
CONFIGURACION ROUTER TELDAT H1+
feature vlan
; -- VLAN configuration --
enable
;
vlan 2 ethernet0/0 port internal
vlan 2 ethernet0/0 port 2
vlan 2 ethernet0/0 port 3
vlan 2 ethernet0/0 port 4
;
tag-default ethernet0/0 port 1 xxx Se deja puerto 0/0 para WAN asociado a la VLAN xxx
tag-default ethernet0/0 port 2 2 Asociacion de la VLAN de LAN(2) con los puertos fisicos.
tag-default ethernet0/0 port 3 2
tag-default ethernet0/0 port 4 2
;
tag-insertion ethernet0/0 port internal
;
tag-removal ethernet0/0 port 2 Puertos LAN que quedan como acceso.
tag-removal ethernet0/0 port 3
tag-removal ethernet0/0 port 4
;
exit
;
;
;
dump-command-errors
end
CLIENTE Config>
Comandos de verificacin
4.1.2 Escenario de conexin fibra como enlace ppal wan y enlace backup por 3G
log-command-errors
no configuration
set hostname CLIENTE
add device ppp 1
add device tnip 1
add device eth-subinterface ethernet0/0 2 Vlan 2 se asigna hacia la LAN del cliente.
add device eth-subinterface ethernet0/0 3520 Vlan hacia la WAN Red metro Telmex.
set data-link at cellular0/0
set data-link at cellular0/1
set data-link at cellular1/0
set data-link at cellular1/1
user gestion hash-password FDB49F1336B5F1BF51A0D9E394621D01
;
global-profiles dial
; -- Dial Profiles Configuration --
profile H1 default
profile H1 dialout
profile H1 3gpp-accessibility-control traffic 100 all
Confidencial Pag. 15 04/02/2014
CONFIGURACION ROUTER TELDAT H1+
exit
;
;
network tnip1
; -- IP Tunnel Net Configuration --
ip address 10.8.1.158 255.255.255.252
;
;
;
;
ip mtu 1410
;
enable
mode gre ip
source ppp1 IP que toma la SIMCARD del Operador mvil.
destination 172.25.0.1 IP de la loopback en el router de interconexin (Asociada al APN)
keepalive 10s 1
exit
;
network ethernet0/0.2
; -- Ethernet Subinterface Configuration --
description LAN_CLIENTE
;
ip address 10.240.10.81 255.255.255.248
ip address 10.200.61.73 255.255.255.248 secondary
;
;
encapsulation dot1q 2
;
;
exit
;
network ethernet0/0.3520
; -- Ethernet Subinterface Configuration --
description WAN_TELMEX
;
ip address 10.161.139.166 255.255.255.252
;
encapsulation dot1q 3520
;
exit
;
protocol ip
; -- Internet protocol user configuration --
Confidencial Pag. 17 04/02/2014
CONFIGURACION ROUTER TELDAT H1+
router-id 10.161.139.166
;
route 172.25.0.1 255.255.255.255 ppp1
route 0.0.0.0 0.0.0.0 tnip1 distance 200
;
;
exit
;
;
;
protocol bgp Establecimiento BGP por el enlace PPal de fibra WAN TELMEX -
; -- Border Gateway Protocol user configuration --
enable
;
as 65535
export as 14080 prot direct 10.240.10.80 mask 255.255.255.248
export as 14080 prot direct 10.200.61.72 mask 255.255.255.248
;
group type external peer-as 14080
; -- BGP group configuration --
peer 10.161.139.165
peer 10.161.139.165 hold-time 15s
exit
;
import as 14080 all
;
exit
;
feature vlan
; -- VLAN configuration --
enable
;
vlan 2 ethernet0/0 port internal
vlan 2 ethernet0/0 port 2
vlan 2 ethernet0/0 port 3
vlan 2 ethernet0/0 port 4
vlan 3520 ethernet0/0 port internal
vlan 3520 ethernet0/0 port 1
;
tag-default ethernet0/0 port 1 3520
tag-default ethernet0/0 port 2 2
tag-default ethernet0/0 port 3 2
tag-default ethernet0/0 port 4 2
;
Confidencial Pag. 18 04/02/2014
CONFIGURACION ROUTER TELDAT H1+
CLIENTE BGP+routes
CLIENTE BGP+
Verificacin en PE
Realizamos pruebas de PING y Traza desde el Teldat hacia la IP 190.144.226.6 lo hacemos desde
P 3 en protocol ip
CLIENTE IP+
CLIENTE IP+
1 1 ms 2 ms 1 ms 10.161.139.165
2 2 ms 2 ms 2 ms 10.161.31.174
3 1 ms 1 ms 1 ms 190.144.226.6
Trace complete.
CLIENTE IP+
Confidencial Pag. 21 04/02/2014
CONFIGURACION ROUTER TELDAT H1+
log-command-errors
no configuration
set hostname CLIENTE_COD-SERVICIO
add device ppp 1 Se definen en el equipo las interfaces tneles que soportarn la conexin 3G.
add device ppp 2
add device tnip 1
add device tnip 2
add device tnip 3
add device loopback 2
add device loopback 7
set data-link at cellular0/0
set data-link at cellular0/1
set data-link at cellular1/0
set data-link at cellular1/1
feature access-lists
; -- Access Lists user configuration --
access-list 100
entry 1 default
entry 1 permit
entry 1 source address 4.4.4.0 255.255.254.0
entry 1 destination address 172.16.116.0 255.255.255.0
;
exit
;
exit
;
global-profiles dial
; -- Dial Profiles Configuration --
profile TIGO default
profile TIGO dialout
profile TIGO local-address 222222222
profile TIGO 3gpp-accessibility-control traffic 100 all
profile TIGO 3gpp-apn xxxxxxxxx APN para la conexin 3G de Backup (TIGO)
profile TIGO 3gpp-restart-on-disc
;
profile COMCEL default
profile COMCEL dialout
Confidencial Pag. 22 04/02/2014
CONFIGURACION ROUTER TELDAT H1+
;
sim external-socket-1 pin ciphered 0x41EDDF31006925E8
sim external-socket-1 local-address 111111111 Asocia la SIM externa al perfil de COMCEL.
sim internal-socket-2 pin ciphered 0xB3B6C6B3352F6A10
sim internal-socket-2 local-address 222222222 Asocia la SIM interna al perfil de TIGO(Backup).
sim supervision enable
sim return-criteria time after 10
sim return-criteria registration-lost over 1
sim registration-criteria lost over 1
sim return-criteria nsla-advisor 7
sim nsla-criteria nsla-advisor 5
;
network mode automatic
network domain cs+ps
exit
;
;
network ppp1 Interfaz lgica PPP para conexin PPAL por COMCEL
; -- Generic PPP User Configuration --
ip address unnumbered
;
ppp
; -- PPP Configuration --
ipcp local address assigned
no ipcp peer-route
lcp echo-req off
exit
;
base-interface
; -- Base Interface Configuration --
base-interface cellular1/1 link
base-interface cellular1/1 profile COMCEL
;
exit
;
exit
;
;
network ppp2 Interfaz lgica PPP para conexin alterna por TIGO
; -- Generic PPP User Configuration --
ip address unnumbered
;
ppp
; -- PPP Configuration --
Confidencial Pag. 24 04/02/2014
CONFIGURACION ROUTER TELDAT H1+
event
; -- ELS Config --
enable trace subsystem SPF ALL
exit
;
feature ssh
; -- SSH protocol configuration --
server
; -- SSH Server --
enable
exit
;
feature nsm
; -- Network Service Monitor configuration --
operation 1
; -- NSM Operation configuration --
type echo ipicmp 10.15.0.10
frequency 3
timeout 1500
exit
;
operation 2
; -- NSM Operation configuration --
type echo ipicmp 10.16.0.2
frequency 3
timeout 1500
exit
;
schedule 1 life forever
schedule 1 start-time now
schedule 2 life forever
schedule 2 start-time now
exit
;
feature nsla
; -- Feature Network Service Level Advisor --
enable
;
filter 5 nsm-op 1 rtt
filter 5 significant-samples 5
filter 5 activation threshold 2000
filter 5 activation sensibility 80
filter 5 activation stabilization-time 60
Confidencial Pag. 26 04/02/2014
CONFIGURACION ROUTER TELDAT H1+
;
exit
;
;
dump-command-errors
end
DEMO_2SIMCARD Config>
_____________
COMCEL
COMCEL_VENECIA#sh run int tun 18
Building configuration...
COMCEL_VENECIA#
ip route vrf AvalBogBPO 10.100.76.0 255.255.254.0 Tunnel18 name INTERWAN_SIMCARD_BPOP (TODAS
LAS OFICINAS)
COMCEL_VENECIA#
ip route 192.168.100.1 255.255.255.255 192.168.107.30 name APN ---> DEBERIA ESTAR APUNTADO A LA
VRF AVALBogBPO.EL TUNEL ACTUALMENTE ESTA CAIDO.
___________________________________________________
TIGO
log-command-errors
no configuration
set hostname "TELDAT H1"
add device ppp 1
add device ppp 2
add device tnip 1
add device tnip 2
add device tnip 3
add device loopback 100
add device loopback 10
add device bvi 0
set data-link at cellular0/0
set data-link at cellular0/1
set data-link at cellular1/0
set data-link at cellular1/1
feature access-lists
; -- Access Lists user configuration --
access-list 100
entry 1 default
entry 1 permit
entry 1 source address 10.153.2.82 255.255.255.255
entry 1 destination address 10.129.0.10 255.255.255.255
;
entry 2 default
entry 2 permit
entry 2 source address 10.153.2.82 255.255.255.255
entry 2 destination address 10.129.0.107 255.255.255.255
;
entry 3 default
entry 3 permit
entry 3 source address 10.153.2.82 255.255.255.255
Confidencial Pag. 30 04/02/2014
CONFIGURACION ROUTER TELDAT H1+
;
;
;
;
network cellular1/0
; -- Interface AT. Configuration --
coverage-timer 10
;
;
sim-select internal-socket-2
;
;
;
;
;
sim external-socket-1 pin ciphered 0xB3B6C6B3352F6A10
sim external-socket-1 local-address 222222222
sim internal-socket-2 pin ciphered 0x41EDDF31006925E8
sim internal-socket-2 local-address 111111111
sim supervision enable
sim return-criteria nsla-advisor 7
sim nsla-criteria nsla-advisor 5
;
network mode automatic
network domain cs+ps
exit
;
;
;
;
;
;
;
;
;
;
network ppp1
; -- Generic PPP User Configuration --
ip address unnumbered
;
;
;
;
;
ppp
; -- PPP Configuration --
ipcp local address assigned
no ipcp peer-route
lcp echo-req off
exit
;
base-interface
; -- Base Interface Configuration --
base-interface cellular1/1 link
base-interface cellular1/1 profile PPAL
;
exit
;
exit
;
;
network ppp2
; -- Generic PPP User Configuration --
ip address unnumbered
;
;
;
;
;
ppp
; -- PPP Configuration --
ipcp local address assigned
no ipcp peer-route
lcp echo-req off
exit
;
base-interface
; -- Base Interface Configuration --
base-interface cellular1/1 link
base-interface cellular1/1 profile BACKUP
;
exit
;
exit
;
;
network tnip1
; -- IP Tunnel Net Configuration --
ip address 10.1.0.6 255.255.255.252
;
;
;
;
;
enable
mode gre ip
source ppp1
destination 172.24.10.1
path-mtu-discovery
exit
;
;
network tnip2
; -- IP Tunnel Net Configuration --
ip address 10.6.0.14 255.255.255.252
;
;
;
;
;
enable
mode gre ip
source ppp2
destination 172.24.10.100
path-mtu-discovery
exit
;
;
network tnip3
; -- IP Tunnel Net Configuration --
ip address 10.136.16.22 255.255.255.252
;
;
;
;
;
enable
mode gre ip
source loopback10
destination 10.81.2.25
exit
;
;
network loopback100
; -- Loopback interface configuration --
ip address 172.28.15.254 255.255.255.255
;
;
;
;
;
exit
;
;
network loopback10
; -- Loopback interface configuration --
ip address 172.46.0.113 255.255.255.255
;
;
;
;
;
exit
;
;
network bvi0
; -- Bridge Virtual Interface configuration --
ip address 10.153.2.83 255.255.255.240
;
;
;
;
;
exit
;
event
; -- ELS Config --
enable trace subsystem SPF ALL
enable trace subsystem NSLA ALL
enable trace subsystem NSM ALL
disable trace subsystem AT ALL
disable trace subsystem PPP ALL
classless
;
ipsec
; -- IPSec user configuration --
enable
assign-access-list 100
;
template 1 default
template 1 isakmp aes128 md5
template 1 source-address 172.46.0.113
template 1 destination-address 10.136.1.27
template 1 ike group two
template 1 keepalive dpd
;
template 2 default
template 2 dynamic esp aes128 md5
template 2 source-address 172.46.0.113
template 2 destination-address 10.136.1.27
;
map-template 100 2
key preshared ip 10.136.1.27 ciphered
0x747D31056EF9C9CAC3D4F727AC6B31D8
advanced keep-alive packets 300
advanced keep-alive timeout 8
advanced dpd packets 8
advanced dpd interval 300
exit
;
exit
;
protocol arp
; -- ARP user configuration --
auto-refresh
exit
;
;
;
protocol ospf
; -- Open SPF-Based Routing Protocol configuration console --
enable ospf
;
area 0.0.0.0 default
;
as-boundary-routing default
as-boundary-routing import bgp-routes
;
interface 10.1.0.6 default
;
interface 172.46.0.113 default
;
exit
;
protocol snmp
; -- SNMP user configuration --
no default-config
;
community tmxc01ava1008RO subnet 10.161.103.70 255.255.255.255
;
host 192.168.125.245 trap version v1 tmxc01ava1008RO all
host 192.168.125.246 trap version v1 tmxc01ava1008RO all
;
trap sending-parameters time 3s
trap sending-parameters number 1
trap sending-parameters reachability-checking icmp
exit
;
feature mac-filtering
; -- MAC Filtering user configuration --
create list FILTRO
;
create filter input ethernet0/0
;
attach FILTRO 1
;
default exclude 1
enable all
update "FILTRO"
; -- MAC Filtering list configuration --
add source 00-00-00-00-00-00 00-00-00-00-00-00
exit
;
exit
;
feature nsm
; -- Network Service Monitor configuration --
operation 1
alarm 7 filter-id 7
;
advisor 5 alarm-id 5
;
advisor 7 alarm-id 7
;
exit
;
feature ssh
; -- SSH protocol configuration --
server
; -- SSH Server --
enable
exit
;
exit
;
;
;
dump-command-errors
end
TELDAT H1 Config>
p5
Config$
server
; -- SSH Server --
enable
exit
exit
Para deshabilitar el telnet, se debe poner un nmero mximo de sesiones permitidas= 0, lo que quiere
decir que por telnet no se va a abrir ningn socket TCP.
set telnet
; -- Telnet user configuration --
set max-telnets 0
exit
;
4.6.2 Habilitar listas de acceso para control de acceso a la gestin del equipo via WAN/LAN.
La idea es que en la lista de acceso solo se permita acceder al equipo via SSH desde la red
10.X.X.X.
p5
Config$
feature access-lists
; -- Access Lists user configuration --
access-list 100
;
; Entrada 1 denegando el telnet hacia la wan del equipo.
entry 1 default
entry 1 deny
entry 1 destination port-range 23 23
entry 1 protocol tcp
;
; Entrada 2 permitiendo el SSH
entry 2 default
entry 2 permit
entry 2 source address 10.0.0.0 255.0.0.0
entry 2 destination port-range 22 22
entry 2 protocol tcp
;
; Entrada 3 permitiendo otros trficos que deban ir por la wan
entry 3 default
entry 3 permit
entry 3 protocol tcp
entry 3 destination port-range 999 999
;
; Entrada 4 permitiendo otros trficos que deban ir por la wan
entry 4 default
entry 4 permit
;
; Entrada 5 permitiendo otros trficos que deban ir por la wan
entry 5 default
entry 5 permit
;
; Entrada 6 permitiendo otros trficos que deban ir por la wan
entry 6 default
entry 6 permit
;
; Entrada 7 permitiendo otros trficos que deban ir por la wan
entry 7 default
entry 7 permit
;
; Entrada 8 denegando el resto de trfico
entry 8 default
entry 8 deny
;
;
exit
;
;
exit
Luego se aplica sta lista de acceso en la interfaz WAN, en sentido IN , por ejemplo:
network ethernet0/0.1
Confidencial Pag. 44 04/02/2014
CONFIGURACION ROUTER TELDAT H1+
Para no dejar sesiones remotas al equipo, se puede activar el parmetro "innactivity-timer" con un temporizador
para cerrar sesiones sin actividad: (El valor numrico es en minutos):
P5
Config$ set inactivity-timer 5
2. TACACS.
7 POLITICAS DE CONFIGURACION.
8 CASOS TECNICOS
10 DOCUMENTOS DE REFERENCIA