10.8.2 Lab – Configurar CDP, LLDP y NTP Respuestas

19/09/2021 CCNA 3 v7 Respuestas Leave a comment

Última actualización: septiembre 19, 2021

10.8.2 Lab – Configurar CDP, LLDP y NTP Respuestas (versión para el instructor)

10.8.2 Lab – Configure CDP, LLDP, and NTP Español

Nota para el instructor: Los elementos con color de fuente rojo o resaltados en gris indican texto que aparece solo en la copia del instructor.

Topología

10.8.2 Lab - Configurar CDP, LLDP y NTP Respuestas
10.8.2 Lab – Configurar CDP, LLDP y NTP Respuestas

Tabla de asignación de direcciones

Dispositivo Interfaz Dirección IP Máscara de subred Puerta de enlace predeterminada
R1 Loopback1 172.16.1.1 255.255.255.0 N/D
G0/0/1 10.22.0.1 255.255.255.0
S1 SVI VLAN 1 10.22.0.2 255.255.255.0 10.22.0.1
S2 SVI VLAN 1 10.22.0.3 255.255.255.0 10.22.0.1

Objetivos

  • Parte 1: Armar la red y configurar los ajustes básicos de los dispositivos
  • Parte 2: Detectar la red con el protocolo CDP
  • Parte 3: Detectar la red con el protocolo LLDP
  • Parte 4: Configure y verificar NTP

Aspectos básicos/situación

Cisco Discovery Protocol (CDP) es un protocolo exclusivo de Cisco para la detección de redes en la capa de enlace de datos. Puede compartir información como nombres de dispositivos y versiones de IOS con otros dispositivos Cisco conectados físicamente. El Protocolo de detección de capa de enlace (LLDP) es un protocolo neutral que utiliza la capa de enlace de datos para la detección de red. Se utiliza principalmente con los dispositivos de red en la red de área local (LAN). Los dispositivos de red anuncian información, como las identidades y funcionalidades a sus vecinos.

El protocolo de tiempo de red (NTP) sincroniza la hora del día entre un conjunto de servidores de hora y clientes distribuidos. NTP usa el protocolo de datagrama de datos (UDP) como protocolo de transporte. Por defecto, las comunicaciones NTP utilizan el Tiempo Universal Coordinado (UTC).

Un servidor NTP generalmente recibe su hora de una fuente horaria autorizada, como un reloj atómico conectado a un servidor horario. Luego distribuye este tiempo a través de la red. NTP es extremadamente eficiente; no es necesario más de un paquete por minuto para sincronizar dos máquinas con una diferencia inferior al milisegundo entre sí.

En esta práctica de laboratorio, debe documentar los puertos conectados a otros switches mediante los protocolos CDP y LLDP. Usted documentará sus conclusiones en un diagrama de topología de la red.

Nota: Los routers utilizados con los laboratorios prácticos de CCNA son Cisco 4221 con Cisco IOS XE versión 16.9.4 (universalk9 image). Los switches utilizados en los laboratorios son Cisco Catalyst 2960s con Cisco IOS Release 15.2 (2) (imagen lanbasek9). Se pueden utilizar otros routers, switches y otras versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos.

Nota: Asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte al instructor.

Nota para el instructor: Consulte el Manual de Laboratorio del Instructor para conocer los procedimientos para inicializar y recargar dispositivos.

Recursos necesarios

• 1 router (Cisco 4221 con imagen universal Cisco IOS XE versión 16.9.4 o comparable)
• 2 switches (Cisco 2960 con Cisco IOS versión 15.0(2), lanbasek9 image o comparable)
• 1 PC (Windows 7 u 8 con un programa de emulación de terminal, como Tera Term)
• Cables de consola para configurar los dispositivos con Cisco IOS mediante los puertos de consola
• Cables Ethernet, como se muestra en la topología

Instrucciones

Parte 1: Armar la red y configurar los ajustes básicos de los dispositivos

En la parte 1, establecerá la topología de la red y configurará los parámetros básicos del router y el switch.

Paso 1: Realizar el cableado de red tal como se muestra en la topología

Conecte los dispositivos como se muestra en la topología y realizar el cableado necesario.

Paso 2: Configure los parámetros básicos para el router.

a. Asigne un nombre de dispositivo al router.

router(config)# hostname R1

b. Inhabilite la búsqueda DNS para evitar que el router intente traducir los comandos mal introducidos como si fueran nombres de host.

R1(config)# no ip domain lookup

c. Asigne class como la contraseña cifrada del modo EXEC privilegiado.

R1(config)# enable secret class

d. Asigne cisco como la contraseña de la consola y habilite el inicio de sesión.

R1(config)# line console 0
R1(config-line)#password cisco
R1(config-line)# login

e. Asigne cisco como la contraseña de VTY y habilite el inicio de sesión.

R1(config)# line vty 0 4
R1(config-line)#password cisco
R1(config-line)# login

f. Encripte las contraseñas de texto sin formato.

R1(config)# service password-encryption

g. Cree un aviso que advierta a todo el que acceda al dispositivo que el acceso no autorizado está prohibido.

R1(config)# banner motd $ Authorized Users Only! $

h. Configure interfaces como se indica en la tabla anterior

R1(config-if)# interface g0/0/1
R1 (config-if) # Ip address 10.22.0.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# end

i. Guarde la configuración en ejecución en el archivo de configuración de inicio.

R1# copy running-config startup-config
Paso 3: Configure los parámetros básicos para cada switch

a. Asigne un nombre de dispositivo al switch.

switch(config)# hostname S1
switch(config)# hostname S2

b. Inhabilite la búsqueda DNS para evitar que el router intente traducir los comandos mal introducidos como si fueran nombres de host.

S1(config)# no ip domain-lookup
S2(config)# no ip domain-lookup

c. Asigne class como la contraseña cifrada del modo EXEC privilegiado.

S1(config)# enable secret class
S2(config)# enable secret class

d. Asigne cisco como la contraseña de la consola y habilite el inicio de sesión.

S1(config)# line console 0
S1(config-line)# password cisco
S1(config-line)# login

S2(config)# line console 0
S2 (config-line)# password cisco
S2 (config-line)# login

e. Asigne cisco como la contraseña de VTY y habilite el inicio de sesión.

S1(config)# line vty 0 15
S1(config-line)# password cisco
S1(config-line)# login

S2(config)# line vty 0 15
S2(config-line)# password cisco
S2(config-line)# login

f. Encripte las contraseñas de texto sin formato.

S1(config)# service password-encryption

S2(config)# service password-encryption

g. Cree un banner que avise a cualquier persona que acceda al dispositivo que vea el mensaje de banner «¡Sólo usuarios autorizados!».

S1(config)# banner motd $ Authorized Users Only! $

S2(config)# banner motd $ Authorized Users Only! $

h. Apague todas las interfaces no utilizadas.

S1(config)# interface range f0/2-4, f0/6-24, g0/1-2
S1(config-if-range)# shutdown
S1(config-if-range)# end

S2(config)# interface range f0/2-24, g0/1-2
S2(config-if-range)# shutdown
S2(config-if-range)# end

i. Guarde la configuración en ejecución en el archivo de configuración de inicio

S1# copy running-config startup-config
S2# copy running-config startup-config

Parte 2: Detecte la red con el protocolo CDP

Para los dispositivos Cisco, el CDP está habilitado de manera predeterminada. Utilizará CDP para detectar los puertos conectados actualmente.

a. En R1, use el comando show cdp apropiado para determinar cuántas interfaces están habilitadas CDP, y cuántas están activadas y cuántas están inactivas.

R1# show cdp interface | include interfaces
 cdp enabled interfaces : 5
 interfaces up : 4
 interfaces down : 1

¿Cuántas interfaces participan en el anuncio de CDP? ¿Qué interfaces están activas?
Las respuestas pueden variar. En el resultado anterior, cinco interfaces participan en CDP. Cuatro están arriba, uno está abajo.

b. En R1, utilice el comando show cdp apropiado para determinar la versión IOS utilizada en S1.

R1# show cdp entry S1
-------------------------
Device ID: S1
Entry address(es):
Platform: cisco WS-C2960+24LC-L, Capabilities: Switch IGMP
Interface: GigabitEthernet0/0/1, Port ID (outgoing port): FastEthernet0/5
Holdtime : 125 sec

Version :
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.2(4)E8, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2019 by Cisco Systems, Inc.
Compilado vie 15-mar-19 17:28 por prod_rel_team

advertisement version: 2
VTP Management Domain: ''
Native VLAN: 1
Duplex: full

¿Qué versión de IOS está usando S1?
Las respuestas pueden variar. S1 en este ejemplo está utilizando IOS versión 15.2 (4) E8

c. En S1, utilice el comando show cdp apropiado para determinar cuántos paquetes CDP se han emitido.

S1# show cdp traffic
CDP counters :
       Total packets output: 179, Input: 148
       Hdr syntax: 0, Chksum error: 0, Encaps failed: 0
       No memory: 0, Invalid packet: 0,
       CDP version 1 advertisements output: 0, Input: 0
       CDP version 2 advertisements output: 179, Input: 148

¿Cuántos paquetes tiene salida CDP desde que se restableció el último contador?
Las respuestas pueden variar. En este ejemplo, CDP tiene salida 179 paquetes

d. Configure el SVI para la VLAN 1 en S1 y S2 utilizando las direcciones IP especificadas en la Tabla de direccionamiento anterior. Configure la puerta de enlace predeterminada en cada switch según la tabla de direcciones.

S1(config)# interface vlan 1
S1 (config-if) # Ip address 10.22.0.2 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# exit
S1(config)# ip default-gateway 10.22.0.1

S2(config)# interface vlan 1
S2 (config-if) # Ip address 10.22.0.3 255.255.255.0
S2(config-if)# no shutdown
S2(config-if)# exit
S2(config)# ip default-gateway 10.22.0.1

e. En R1, ejecute el comando show cdp entry S1 .

¿Qué información adicional está disponible ahora?
La salida incluye la dirección IP de administración para VLAN 1 SVI en S1 que se acaba de configurar. 

R1# show cdp entry S1
-------------------------
Device ID: S1
Entry address(es):
  Ip address: 10.22.0.2
Platform: cisco WS-C2960+24LC-L, Capabilities: Switch IGMP
Interface: GigabitEthernet0/0/1, Port ID (outgoing port): FastEthernet0/5
Holdtime : 133 sec

Version :
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.2(4)E8, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2019 by Cisco Systems, Inc.
Compilado vie 15-mar-19 17:28 por prod_rel_team

advertisement version: 2
VTP Management Domain: ''
Native VLAN: 1
Duplex: full
Management address(es):
  Ip address: 10.22.0.2

f. Deshabilite CDP globalmente en todos los dispositivos.

R1(config)# no cdp run
S1(config)# no cdp run
S2(config)# no cdp run

Parte 3: Detecte la red con el protocolo LLDP

En dispositivos de Cisco, LLDP puede estar activado de manera predeterminada. Utilizará LLDP para detectar los puertos conectados actualmente.

a. Introduzca el comando lldp adecuado para habilitar LLDP en todos los dispositivos de la topología.

R1(config)# lldp run
S1(config)# lldp run
S2(config)# lldp run

b. En S1, ejecute el comando lldp apropiado para proporcionarle información detallada sobre S2.

S1# show lldp entry S2

Capability codes:
    (R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
    (W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
------------------------------------------------
Local Intf: Fa0/1
ID del chasis: c025.5cd7.ef00
Port id: Fa0/1
Port Description: FastEthernet0/1
System Name: S2

Descripción del sistema:
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.2(4)E8, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2019 by Cisco Systems, Inc.
Compilado vie 15-mar-19 17:28 por prod_rel_team

Time remaining: 109 seconds
System Capabilities: B
Enabled Capabilities: B
Management Addresses:
    IP: 10.22.0.3
Auto Negotiation - supported, enabled
Physical media capabilities:
    100base-TX(FD)
    100base-TX(HD)
    10base-T(FD)
    10base-T(HD)
Media Attachment Unit type: 16
Vlan ID: 1

Total entries displayed: 1

¿Cuál es el ID del chasis del switch S2?
Las respuestas pueden variar. En este ejemplo, el ID del chasis para S2 es c025.5cd7.ef00.

c. Consolas en todos los dispositivos y utilice los comandos LLDP necesarios para que pueda dibujar la topología de red física sólo de la salida del comando show.
Las respuestas variarán, pero el comando principal a usar es show lldp neighbor. La idea es que el estudiante visualice la topología de red solo a partir de las salidas LLDP.

Parte 4: Configure NTP

En la Parte 4, configurará R1 como el servidor NTP y S1 y S2 como clientes NTP de R1. La sincronización del tiempo es importante para las funciones de syslog y de depuración. Si no se sincroniza el tiempo, es difícil determinar qué evento de red causó el mensaje.

Paso 1: Muestra la hora actual

Emitir el comando show clock detail para mostrar la hora actual en R1. En la siguiente tabla, registre la información relacionada con la hora actual que se muestra.

Fecha Tiempo Zona horaria Time Source (Fuente horaria)
La respuesta varía. La respuesta varía. La respuesta variará, por lo general la zona horaria no está establecida. La respuesta variará, generalmente la fuente de tiempo no está establecida.
Paso 2: Establezca la hora

Use el comando apropiado para configurar la hora en R1. La hora introducida debe estar en UTC.

R1# clock set 19:45:00 19 September 2019
Paso 3: Configure el NTP master.

Configure R1 como NTP master con un nivel de estrato de 4.

R1(config)# ntp master 4
Paso 4: Configure el cliente NTP

a. Ejecute el comando apropiado en S1 y S2 para ver la hora configurada. Registre la hora actual que se muestra en la siguiente tabla.

Fecha Tiempo Zona horaria
La respuesta varía. La respuesta varía. La respuesta varía.

b. Configure S1 y S2 como clientes NTP. Utilice los comandos NTP apropiados para obtener tiempo de la interfaz G0/0/1 de R1, así como para actualizar periódicamente el calendario o el reloj de hardware en el switch.

S1 (config) # ntp server 10.22.0.1
S1(config)# ntp update-calendar

S2 (config) # ntp server 10.22.0.1
S2(config)# ntp update-calendar
Paso 5: Verifique la configuración NTP

a. Utilice el comando show apropiado para verificar que S1 y S2 estén sincronizados con R1.

Nota: Pueden pasar unos minutos antes de que los switches se sincronicen con R1.

S1# show ntp status | include Clock

El reloj está sincronizado, estrato 5, la referencia es 10.22.0.1

S2# show ntp associations

 address ref clock st when poll reach delay offset disp
*~10.22.0.1 127.127.1.1 4 4 64 3 3.194 4.629 63.914
 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

b. Ejecute el comando apropiado en S1 y S2 para ver la hora configurada y comparar la hora registrada anteriormente.

Pregunta de reflexión

Dentro de una red, ¿en qué las interfaces no debe utilizar los protocolos de detección? Explique.
Los protocolos de detección no deben utilizarse en las interfaces orientadas a redes externas porque dichos protocolos proporcionan perspectivas sobre la red interna. Esta información permite a los atacantes obtener información valiosa sobre la red interna y puede utilizarse para explotar la red.

Tabla de resumen de interfaces de router

Modelo de router Interfaz Ethernet 1 Interfaz Ethernet #2 Interfaz serial 1 Interfaz serial #2
1800 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
1900 Gigabit Ethernet 0/0 (G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
2801 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
2811 Fast Ethernet 0/0 (F0/0) Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
2900 Gigabit Ethernet 0/0 (G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
4221 Gigabit Ethernet 0/0/0 (G0/0/0) Gigabit Ethernet 0/0/1 (G0/0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
4300 Gigabit Ethernet 0/0/0 (G0/0/0) Gigabit Ethernet 0/0/1 (G0/0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)

Nota: Para conocer la configuración del router, observe las interfaces para identificar el tipo de router y cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de configuraciones para cada clase de router. En esta tabla se incluyen los identificadores para las posibles combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de interfaz, aunque puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un ejemplo de esto. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en un comando de Cisco IOS para representar la interfaz.

Configuración de dispositivo: Final

Router R1

R1# show run
Building configuration...


Current configuration : 1651 bytes
!
version 16.9
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
platform qfp utilization monitor load 80
no platform punt-keepalive disable-kernel-core
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
vrf definition Mgmt-intf
 !
 address-family ipv4
 exit-address-family
 !
 address-family ipv6
 exit-address-family
!
enable secret 5 $1$eLNA$ep.HFs8Pvv4rfDFXkbHHF/
!
no aaa new-model
!
no ip domain lookup
!
login on-success log
!
subscriber templating
!
multilink bundle-name authenticated
!
spanning-tree extend system-id
!
redundancy
 mode none
!
lldp run
no cdp run
!
interface GigabitEthernet0/0/0
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/1
 ip address 10.22.0.1 255.255.255.0
 negotiation auto
!
interface Serial0/1/0
 no ip address
!
interface Serial0/1/1
 no ip address
!
interface GigabitEthernet0
 vrf forwarding Mgmt-intf
 no ip address
 negotiation auto
!
ip forward-protocol nd
no ip http server
ip http secure-server
ip tftp source-interface GigabitEthernet0
!
control-plane
!
banner motd ^C Authorized Users Only! ^C
!
line con 0
 password 7 045802150C2E
 login
 transport input none
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
 password 7 045802150C2E
 login
!
ntp master 4
!
end

Switch S1

S1# show run
Building configuration...

Current configuration : 1832 bytes
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname S1
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$7eu1$pupMzRuJZXnwBeb2vcW2p0
!
no aaa new-model
system mtu routing 1500
!
no ip domain-lookup
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
lldp run
no cdp run
!
interface FastEthernet0/1
!
interface FastEthernet0/2
 shutdown
!
interface FastEthernet0/3
 shutdown
!
interface FastEthernet0/4
 shutdown
!
interface FastEthernet0/5
!
interface FastEthernet0/6
 shutdown
!
interface FastEthernet0/7
 shutdown
!
interface FastEthernet0/8
 shutdown
!
interface FastEthernet0/9
 shutdown
!
interface FastEthernet0/10
 shutdown
!
interface FastEthernet0/11
 shutdown
!
interface FastEthernet0/12
 shutdown
!
interface FastEthernet0/13
 shutdown
!
interface FastEthernet0/14
 shutdown
!
interface FastEthernet0/15
 shutdown
!
interface FastEthernet0/16
 shutdown
!
interface FastEthernet0/17
 shutdown
!
interface FastEthernet0/18
 shutdown
!
interface FastEthernet0/19
 shutdown
!
interface FastEthernet0/20
 shutdown
!
interface FastEthernet0/21
 shutdown
!
interface FastEthernet0/22
 shutdown
!
interface FastEthernet0/23
 shutdown
!
interface FastEthernet0/24
 shutdown
!
interface GigabitEthernet0/1
 shutdown
!
interface GigabitEthernet0/2
 shutdown
!
interface Vlan1
 ip address 10.22.0.2 255.255.255.0
!
ip default-gateway 10.22.0.1
ip http server
ip http secure-server
!
banner motd ^C Authorized Users Only! ^C
!
line con 0
 password 7 02050D480809
 login
line vty 0 4
 password 7 02050D480809
 login
line vty 5 15
 password 7 02050D480809
 login
!
ntp update-calendar
ntp server 10.22.0.1
end

Switch S2

S2# show run
Building configuration...

Current configuration : 1842 bytes
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname S2
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$Uajv$IGsyRs/8vTPBk6R9tmJ0Q0
!
no aaa new-model
system mtu routing 1500
!
no ip domain-lookup
!
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
lldp run
no cdp run
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
 shutdown
!
interface FastEthernet0/3
 shutdown
!
interface FastEthernet0/4
 shutdown
!
interface FastEthernet0/5
 shutdown
!
interface FastEthernet0/6
 shutdown
!
interface FastEthernet0/7
 shutdown
!
interface FastEthernet0/8
 shutdown
!
interface FastEthernet0/9
 shutdown
!
interface FastEthernet0/10
 shutdown
!
interface FastEthernet0/11
 shutdown
!
interface FastEthernet0/12
 shutdown
!
interface FastEthernet0/13
 shutdown
!
interface FastEthernet0/14
 shutdown
!
interface FastEthernet0/15
 shutdown
!
interface FastEthernet0/16
 shutdown
!
interface FastEthernet0/17
 shutdown
!
interface FastEthernet0/18
 shutdown
!
interface FastEthernet0/19
 shutdown
!
interface FastEthernet0/20
 shutdown
!
interface FastEthernet0/21
 shutdown
!
interface FastEthernet0/22
 shutdown
!
interface FastEthernet0/23
 shutdown
!
interface FastEthernet0/24
 shutdown
!
interface GigabitEthernet0/1
 shutdown
!
interface GigabitEthernet0/2
 shutdown
!
interface Vlan1
 ip address 10.22.0.3 255.255.255.0
!
ip default-gateway 10.22.0.1
ip http server
ip http secure-server
!
banner motd ^C Authorized Users Only! ^C
!
line con 0
 password 7 030752180500
 login
line vty 0 4
 password 7 030752180500
 login
line vty 5 15
 password 7 030752180500
 login
!
ntp update-calendar
ntp server 10.22.0.1
end

 

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax