Nuevo libro: Implementación y diagnóstico de sistemas Cisco Secure Firewall v2.0

 

Por Oscar Gerometta

Hace solo dos años presenté la primera versión de este manual que se llamó entonces "Implementación y diagnóstico de sistemas Cisco Firepower". 

En aquel momento “Firepower” era la denominación del firewall de última generación (NGFW) de Cisco, y me centré entonces en la versión 6.4 para el desarrollo de los textos y procedimientos. 

En estos dos años es mucho el avance que se ha dado en estas tecnologías de seguridad: Cisco liberó la versión 7 y modificó la denominación de estos dispositivos que se denominan ahora “Secure Firewall”.

Todos esos cambios y actualizaciones son los que me llevaron a realizar esta actualización de aquel manual. Esta nueva versión está centrada, ahora, en la implementación de Cisco Secure Firewall Management Center versión 7.1.

Como aquella primera versión, esta ha sido redactada como material didáctico de apoyo para quienes participan de los cursos que dicto sobre este mismo tema; pero considero que también puede ser de utilidad para quienes desean recorrer este camino por la vía del autoestudio y buscan un material redactado en castellano.

Obviamente, lo que hay en este manual es solamente una selección y síntesis de lo que es posible realizar con una herramienta de seguridad muy poderosa y versátil; mucho más de lo que pueden entrar en estas pocas páginas. De ningún modo puedo agotar en tan poco espacio lo que se desarrolla en un manual de configuración oficial de más de dos mil páginas. Para el desarrollo de este manual, como dije antes, he tomado como referencia los sistemas Secure Firewall versión 7.1, pero ciertamente gran parte del mismo es completamente aplicable a las versiones 6.5 y siguientes.

Con la expectativa de que el manual que ahora tiene en sus manos le resulte de real utilidad, lo dejo a su consideración.

Nota importante:
Si se encuentra trabajando con un sistema versión 6.2 a 6.5, sugiero acuda a la versión anterior del manual (que por esto sigue estando disponible) para obtener un texto que esté alineado con la herramienta que está administrando.

Contenidos:

1. Introducción

    Firewall y NGFW

    Plataformas

    Opciones de gestión

    Licenciamiento

2. Registro de dispositivos en FMC

    Introducción

    Configuración inicial del sensor (FTD)

    Configuración inicial del FMC

    Registro del FTD en el FMC

3. Configuración inicial

    Propiedades generales del sensor

    Implementación de cambios en la configuración

4. Modelos de redundancia

    Modelos de redundancia disponibles

    Implementación del par de alta disponibilidad

    Implementación del clúster

    Modelo de tráfico a través del clúster

5. Enrutamiento

    Enrutamiento estático

    Enruamiento dinámico

    Redistribución y filtrado de rutas

6. NAT

    Formas de NAT soportadas en FTD

    NAT manual y Auto NAT

    Configuración de políticas NAT

7. Políticas de control de acceso

    Objetos

    Zonas de seguridad

    Políticas de control de acceso

    Configuración de políticas de control de acceso

8. Políticas avanzadas

    Políticas de intrusión de tráfico

    Políticas de filtrado de archivos y malware

    Security Intelligence

    Filtrado de URLs

    Orden de ejecución de procesos y políticas

    Políticas de prefiltrado

9. Monitoreo y diagnóstico de problemas

    Registro de eventos del sistema

    Reportería

    Packet Tracer

    Packet Capture

    Visualización de eventos

    Herramientas de diagnóstico del FMC

10. Administración del sistema

    Generación de copias de respaldo

    Restauración de copias de respaldo

    Actualización de software

Páginas: 168

Fecha de publicación: 1 de julio de 2022

Autor: 

Oscar A. Gerometta

CCSI / CCNA / CCDA / CCNA wir / CCNA sec / CCNP sec / CCNP Enterpr / CCBF

Docente y consultor con una trayectoria de más de 20 años en el área de networking. Autor de los primeros manuales en castellano para la preparación del examen de certificación CCNA que ha mantenido a lo largo de estos años.

Texto:

Manual que recoge introducciones teóricas sobre el funcionamiento y la arquitectura del sistema, junto con procedimientos de configuración y diagnóstico de problemas.

Para la compra:
"Implementación y diagnóstico de sistemas Cisco Secure Firewall versión 2.0" está disponible en formato e-book e impreso en papel, y se puede adquirir en línea ingresando al sitio de Ediciones Edubooks.

Para revisar las características de los ebooks de EduBooks ingresar aquí.
Para revisar las características de los impresos adquiridos en línea ingresar aquí.

Para alternativas de pago u otras consultas diríjase directamente a Ediciones EduBooks por correo electrónico escribiendo  a libros.networking@gmail.com

Para facilitar la compra de ebooks desdeBolivia
contactar a: libros.networking.bolivia@gmail.com

Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.

Estás invitado a seguirnos en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

 

Post tomado de: http://librosnetworking.blogspot.com/2022/06/implementacion-y-diagnostico-de.html

¿Qué es Netflow?

 

Por Oscar Gerometta

En los últimos años ha ganado relevancia, de modo creciente, una herramienta muy particular: NetFlow.
 

Originalmente creada para monitorear comunicaciones individuales, hoy es una herramienta utilizada para el análisis tanto de prestaciones de calidad de servicio como de seguridad.
 

Es por esto que consideré conveniente preguntarnos, ¿qué es NetFlow?

NetFlow es una herramienta de monitoreo desarrollada por Cisco e introducida en las diferentes formulaciones de IOS a partir del año 1996 (Cisco IOS 11.x). 

 

Esta herramienta permite relevar información estadística referida al tráfico en la red cuando ingresa o sale a través de una interfaz.
 

Si bien inicialmente estaba incorporada en la imagen de IOS solamente de algunos dispositivos, progresivamente se ha incorporado a nuevas plataformas de modo que en la actualidad, en redes que utilizan IOS XE, está disponible prácticamente en toda la infraestructura de la red corporativa.
Responde a 2 premisas básicas:

• Es completamente transparente a las aplicaciones y dispositivos que operan en la red.
• No es necesario que sea soportada en todos los dispositivos de la infraestructura de la red.

Su implementación tiene múltiples aplicaciones posibles, las más frecuentes son:

• Registro estadístico de tráfico para realizar un análisis de línea base.
• Facturación de servicios de red a usuarios.
• Monitoreo y análisis del tráfico y aplicaciones que están corriendo en la red.
• Diseño general de seguridad de la red.
• Detección y prevención de ataques DoS o DDoS.
• Monitoreo de tráfico malicioso en la red.

Con este propósito NetFlow releva estadística de comunicaciones utilizando el concepto de flujo (flow).

 

¿Qué es un flujo? Un stream o cadena unidireccional de paquetes entre un sistema de origen y un sistema destino específicos que es identificada tomando como base de referencia 7 parámetros específicos:

• Dirección IP origen.
• Dirección ID destino.
• Puerto TCP o UDP de origen.
• Puerto TCP o UDP de destino.
• Tipo de protocolo (campo del encabezado IP).
• Tipo de servicio (campo del encabezado IP).
• Interfaz lógica de ingreso.

Esta misma definición de flujo se aplica a tráfico IPv4 e IPv6.

 

A esta información básica se puede agregar información complementaria a partir de NetFlow versión 9. Los registros NetFlow solo contienen información estadística, no contenido de los paquetes.

Estos datos se exportan como registros de NetFlow hacia un servidor que concentra esos datos y en donde se analizan.

 

El registro de una comunicación se genera cuando una comunicación TCP llega a su fin, o por un contador de inactividad de la comunicación, o se puede definir por configuración que periódicamente se genere el registro aún cuando la comunicación no ha terminado. 

 

 

Transporte de los registros

 

Los registros de NetFlow se transportan utilizando segmentos UDP que suelen estar dirigidos al puerto 2055 del collector, pero que también puede utilizar otros puertos. 

 

El dispositivo que genera los registros, en general, no retiene los datos correspondientes a los registros que se envían al collector. Esto no permite realizar un seguimiento del transporte de los registros con lo que, si se produjera la pérdida de algún segmento, no se puede recuperar la información.

 

Por este motivo algunas implementaciones de NetFlow utilizan SCTP para asegurar el envío de los registros. Particularmente cuando se trata de NetFlow versión 8 o 9.
 

El inconveniente de este tipo de implementaciones es que se requiere interacción entre cada exporter y cada collector definido; esto puede tener un impacto significativo en la performance de ambos componentes.

Arquitectura de NetFlow
 

 

 

La implementación de NetFlow supone una arquitectura específica:

• Exporter
  Uno o varios dispositivos que tienen Netflow habilitado.
• Collector
  Una consola que recolecta y concentra la información.
• Aplicación de análisis
  Aplicación que procesa los datos generados por el exporter y concentrados en el collector para obtener información significativa.
  Cisco StealthWatch es un ejemplo de este tipo de aplicaciones.

Versiones de NetFlow

 

Desde su lanzamiento NetFlow ha tenido diferentes versiones.

La versión implementada en los dispositivos Cisco actuales es NetFlow v9. Adicionalmente, la herramienta se abrió con múltiples RFCs de la IETF, lo que dio lugar a IPFIX: 

• RFC 3954 - NetFlow versión 9.
• RFC 5101 - Especificación del protocolo de IPFIX para el intercambio de información de flujo de tráfico.
• RFC 5102 - Modelo de información para IPFIX.
• RFC 5103 - Exportación bidireccional usando IPFIX.
• RFC 5153 - Directrices para la aplicación de IPFIX.
• RFC 5470 - Arquitectura de IPFIX.
• RFC 5471 - Pautas para las pruebas de IPFIX.
• RFC 5472 - Pertinencia de IPFIX.

NetFlow es una marca registrada de Cisco.

Pero muchos otros fabricantes han desarrollado herramientas semejantes que cumplen la misma tarea:

• Argus 
• Jflow o cflowd de Juniper Networks
• NetStream de 3Com/HP
• NetStream de Huawei Technologies
• Cflowd de Nokia
• Rflow de Ericsson
• AppFlow de Citrix
• sFlow implementado por varios fabricantes: Alcatel Lucent, Allied Telesis, Arista Networks, Brocade, Dell, D-Link, Enterasys, Extreme, F5, Fortinet, Hewlett-Packard, Hitachi, Huawei, IBM, Juniper, LG-Ericsson, ZTE, ZyXEL, etc.

Tomado de: http://librosnetworking.blogspot.com/2021/08/que-es-netflow.html

Disponible el Apunte Rápido CCNA 200-301 versión 7.1

El 24 de febrero de 2020 Cisco introdujo un cambio mayor en su sistema de certificaciones. Parte de ese cambio ha sido la actualización de su certificación CCNA, la que a partir de ese momento se obtiene presentando un único examen de certificación, el examen CCNA 200-301.

Inicialmente, para quienes están preparando su examen de certificación utilizando manuales generados para las certificaciones anteriores publique el manual Bridge a CCNA 200-301 versión 7.0 que desarrolla únicamente los temas que se han agregado a este examen respecto del temario de los exámenes precedentes.

Toca ahora poner a disposición de quienes están preparando su examen de certificación un nuevo manual desarrollado específicamente para el examen CCNA 200-301. Este es el nuevo Apunte Rápido CCNA 200-301 versión 7.1.

 

Este Apunte Rápido está concebido como un manual sencillo y directo que permite encontrar a quien está preparando su examen de certificación, en un único texto de estudio, la totalidad del temario teórico requerido para obtener su objetivo. Todo y solo aquello que debés estudiar está en este manual. No tiene requisitos previos.

Como en sus versiones anteriores, este manual presenta de modo sintético (quizás no tanto) la totalidad del temario del examen de certificación 200-301.

 

Si eres un alumno de Academia o de Learning Partner, es posible que este manual te sea suficiente y al momento de estudiar utilices los materiales oficiales que recibiste durante tu cursada para aclarar dudas o buscar referencias necesarias.
 

Para quienes estudian por sí mismos (auto-estudio), este manual desarrolla el temario íntegro del examen de certificación de modo claro, preciso y completo.

 
No incluye laboratorios o ejercicios prácticos para poner en acción los conceptos desarrollados.

Fecha de publicación: 10 de febrero de 2021
Autor: Oscar A. Gerometta
CCSI / CCNA / CCDA / CCNAwir / CCNA sec. / CCNP sec. / CCBF.
Creador –en el año 2000- del primer curso de apoyo para alumnos de Cisco Networking Academy program que se preparan a rendir su examen de certificación CCNA y una larga trayectoria como desarrollador de cursos y autor de materiales de estudio para diferentes exámenes de certificación.

Texto:
Se trata de un manual de estudio que incluye la totalidad del temario comprendido en el nuevo examen de certificación CCNA 200-301.
 

Está alineado al examen CCNA 200-301.

Para revisar una versión demo de este manual ingrese aquí

Contenidos:

• El Examen de certificación CCNA
• 1. Principios de operación de redes TCP/IP
• 2. Direccionamiento IP (IPv4/IPv6)
• 3. Operación de dispositivos Cisco IOS
• 4. Conmutación LAN
• 5. Fundamentos de redes inalámbricas
• 6. Enrutamiento IP
• 7. Servicios IP
• 8. Tecnologías WAN
• 9. Introducción a la seguridad

El índice detallado puede consultarse en la versión demo en línea

 

Cantidad de páginas: 714 (versión ebook)

Para la compra: 
Apunte Rápido CCNA versión 7.1 ya está disponible en formato e-book e impreso en papel y se puede comprar en línea ingresando al sitio de Ediciones EduBooks.

Para revisar las características de los ebooks de EduBooks ingresar aquí.
Para revisar las características de los impresos adquiridos en línea ingresar aquí.

Para alternativas de pago u otras consultas diríjase directamente a Ediciones EduBooks por correo electrónico escribiendo  a libros.networking@gmail.com

Para facilitar la compra de ebooks desdeBolivia
contactar a: libros.networking.bolivia@gmail.com

 

Tomado de: http://librosnetworking.blogspot.com/2021/02/apunte-rapido-ccna-200-301-version-71.html

Ya salió: Bridge a CCNA 200-301

 

Bridge a CCNA 200-301

El 24 de febrero de 2020 Cisco Systems activó un cambio mayor en su sistema de certificaciones. Ya he hablado bastante sobre este cambio, que fue una modificación mayor de todo el esquema, toca ahora anunciar la publicación del primer manual de mi autoría alineado con el nuevo sistema de certificaciones: el Bridge a CCNA 200-301.

Al momento del cambio muchos ya se encontraban preparando su certificación sea por auto estudio, en las Academias o en entrenamientos oficiales o no oficiales. 

 

Es por esto que inmediatamente surgió una serie de preguntas: ¿En qué cambia el examen? ¿Qué necesito estudiar para completar el temario del nuevo examen? ¿Me sirve para estudiar el manual que ya tengo, pero que corresponde al examen 200-125?

 

Para responder esas preguntas es que desarrollé este manual.

 

En este "Bridge" no encontrarás una guía de preparación completa de la totalidad del temario del examen CCNA 200-301. Lo que encontrarás es un complemento para los manuales de estudio del examen 200-125 con los que ya cuentas y que venías estudiando. 

En este manual se desarrollan solamente los temas teóricos que se introdujeron en el nuevo temario.

Este manual es el complemento perfecto para los manuales que ya publiqué antes:

• Apunte Rápido CCNA R&S, versión 6.1
• CCNA R&S en 30 días, versión 6.2
• Guía de Preparación para el Examen de Certificación CCNA R&S 200-125, versión 6.3

Para los que buscan manuales completos para el nuevo examen de certificación en castellano, ya tengo en desarrollo los mismos y el orden de publicación será el siguiente:

• En primer lugar publicaré el Apunte Rápido CCNA 200-301 versión 7.1
• Finalmente publicaré la Guía de Preparación para el Examen de Certificación CCNA 200-301 versión 7.2

Fecha de publicación: 11 de enero de 2021
Autor: Oscar A. Gerometta
CCSI / CCNA / CCDA / CCNA wir / CCNA sec. / CCNP sec. / CBVP / CCBF.
Creador –en el año 2000- del primer curso de apoyo para alumnos de Cisco Networking 
Academy program que se preparan a rendir su examen de certificación CCNA. Más de 20 años de trayectoria en el área de entrenamiento de técnicos en comunicaciones

Texto:
Se trata de un manual complementario  de los manuales ya existente para el examen de certificación CCNA 200-125 que permite a quienes cuentan con esos materiales de estudio prepararse para presentar el examen de certificación actualizado: CCNA 200-301.

Para ver una demo de este manual, ingrese aquí.
(le permite revisar el índice completo)

Contenidos:

• 1. El examen de certificación CCNA
• 2. Los contenidos del examen de certificación.
• 2.A. Fundamentos de redes inalámbricas
• 2.B. Introducción a QoS
• 2.C. Arquitecturas y virtualización
• 2.D. Automatizacion de redes
• 2.E. Introducción a la seguridad
• 2.F. Introducción a las tecnologías WAN

Cantidad de páginas: 248

Algunas notas sobre esta versión:

• Cubre la totalidad de las novedades del temario del examen CCNA 200-301.
• Es complementario de cualquier manual de estudio para el examen de certificación CCNA 200-125.
• Todo el temario de este manual estará incluido en futuros manuales dedicados al examen CCNA 200-301.

Para la compra: 
Bridge a CCNA 200-301 versión 7.0 tanto en formato e-book como impreso ya se encuentra disponible, y se puede comprar en línea ingresando aquí.

Para consultas de precios u otros manuales diríjase directamente a Ediciones EduBooks por correo electrónico escribiendo  a libros.networking@gmail.com

 

Para la compra en Bolivia en formato DIGITAL por favor escribir a libros.networking.bolivia@gmail.com

Los manuales impresos se distribuyen a través de Amazon.

Como siempre, cualquier sugerencia que puedas hacer, será muy bienvenida.

Características de los ebooks

• Se trata de archivos pdf cifrados.
• Cuando Ud. compra un ebook recibe un enlace de descarga de un archivo personalizado (extensión .drmz) y una clave de activación.
• La clave de activación permite la lectura del ebook en hasta 2 dispositivos diferentes.
• El ebook sólo podrá leerse en los dispositivos en los que haya sido activado (un máximo de 2).
• Para leer los archivos .drmz es necesario instalar antes el lector Javelin desarrollado por Drumlin Secutity.
• Hay versiones de Javelin disponibles para sistemas operativos Microsoft, Apple , iOS y Android.
• Se puede descargar Javelin de modo libre y gratuito desde este sitio.
• El sistema solo admite PayPal como forma de pago.
• Consulte con nosotros por otras formas de pago escribiendo a libros.networking@gmail.com
• Una vez realizada la compra recibirá un correo electrónico con indicaciones detalladas para que pueda realizar la descarga y activación, en la casilla de correo asociada a su cuenta de PayPal.
• Los ebooks son completamente imprimibles.
• Por favor, tenga presente que los permisos de impresión se encuentran limitados a una cantidad de páginas igual al doble de las páginas del ebook.

Enlaces de interés:

• Información oficial sobre el examen de certificación.
• Post: No cambió CCNA... ¡Cambió todo!.
• Post: El nuevo CCNA 200-301.
• Demo en línea del manual.
• Biblioteca CCNA
  

Tomado de: https://librosnetworking.blogspot.com/2021/01/bridge-ccna-200-301.html

Port Aggregation (EtherChannel)

 

Por Oscar Gerometta

La escalabilidad en la capacidad de las redes LAN es un elemento crítico para la evolución de las mismas. En un área dominada por Ethernet se escala básicamente de 10 en 10: 10 Mbps, 100 Mbps, 1 Gbps…

 
Escalar en la capacidad de los enlaces Ethernet requiere actualización de hardware y esto es un costo significativo. Este es el lugar para el desarrollo e implementación de recursos como Port Aggregation, también conocido como EtherChannel.

EtherChannel es la tecnología propietaria de Cisco derivada de un desarrollo inicial de Kalpana (empresa de switching adquirida por Cisco) para dar respuesta a esta necesidad de escalabilidad y puesta de operación en los años ‘90.

 
Con el paso del tiempo dio lugar a la publicación por parte de la IEEE del estándar 802.3ad denominado Link o Port Aggregation.

Ambos protocolos no son compatibles entre sí, uno es claramente estándar mientras el otro no, sin embargo, muchas veces los términos EtherChannel, Port Aggregation y Link Aggregation se utilizan como sinónimos lo que puede dar lugar a confusiones.

Características del port aggregation
Al configurar port aggregation es conveniente tener presentes algunos puntos:

• El canal port aggregation está conformado por cada uno de los enlaces físicos (entre 2 y 8) que lo integran y una interfaz virtual (interface port-channel).
• El port aggregation conforma una conexión uno a uno. Esto significa que conectan un dispositivo individual a otro dispositivo individual, no uno a varios.
• Una vez configurado un port aggregation cualquier configuración que se aplica a la interfaz port-channel afecta a la operación de todo el canal.
  Cualquier modificación de configuración que se realiza sobre un puerto físico afecta exclusivamente a ese puerto físico.
• Todas las interfaces físicas que se integran en el port-channel deben ser de iguales características físicas (medio físico, capacidad).
• Todas las interfaces físicas deben estar operando a la misma velocidad y en el mismo modo dúplex (por eso se sugiere no dejar estos aspectos librados a la autonegociación).
• Todas las interfaces físicas deben estar asignadas a la misma VLAN o estar configuradas como troncales con iguales características (VLAN nativa, VLANs permitidas, tec.).
• Las interfaces físicas que conforman un un canal pueden tener asignado diferente costo de STP.
• En los switches Catalyst ME, solamente los puertos NNI y ENI soportan negociación dinámica con LACP o PAgP.

Mecanismos de negociación
Hay 2 mecanismos básicos para la definición de un port-channel:

• Configuración estática.
• Negociación dinámica.
  Independientemente del protocolo elegido introduce carga de tráfico y demora en la inicialización de los puertos.
  - PAgP
    Es el protocolo propietario de Cisco.
  - LACP
    Es el protocolo estándar definido por la IEEE.

Link Aggregation Control Protocol

• Corresponde a la especificación IEEE 802.3ad.
• Permite agrupar varios puertos físicos en un único canal lógico.
• Permite la negociación automática del canal.
• Al ser estándar permite interoperabilidad entre fabricantes.
• Verifica la consistencia de configuración de los puertos y gestiona el agregado de enlaces los posibles fallos entre los 2 switches.
• Si se modifica la configuración de un puerto físico ese cambio se traslada automáticamente a los demás puertos físicos que forman el canal.
• Ambos dispositivos intercambian paquetes LACP sobre los puertos del canal.
• El switch con menos prioridad define cuáles son los puertos físicos que participan del canal.
• Los puertos son miembros activos del canal de acuerdo a su prioridad; menor valor de prioridad indica una prioridad más alta.
• Se pueden asociar hasta 16 enlaces físicos a un canal lógico, solamente 8 de esos enlaces serán activos de modo simultáneo.
• LACP permite 2 modos de operación:
  - Activo
    Se activa LACP incondicionalmente.
  - Pasivo
    Sólo se activa LACP si detecta otro dispositivo LACP.

Port Aggregation Protocol

• Proporciona servicios semejantes a los de LACP.
• Es un protocolo propietario de Cisco por lo que no permite interoperabilidad con otras marcas.
• Los paquetes se intercambian a través de los puertos que componen el canal.
• Se comparan las capacidades de los puertos y se establece el canal con aquellos puertos que tienen iguales características.
• Sólo se integran en el canal puertos con idéntica configuración de VLANs o troncales.
• Cuando se modifica uno de los puertos que componen el canal, se modifican automáticamente esos parámetros en todos los puertos del canal.
• No es compatible con LACP.
• PAgP presente 2 modos de operación:
  - Desirable
    Activa PAgP sin condiciones.
  - Auto
    Activa PAgP solamente si detecta en el otro extremo un dispositivo PAgP. 

 

 Tomado de: http://librosnetworking.blogspot.com/2019/05/port-aggregation-etherchannel.html

Filtrado BPDU (BPDU Filter)

 

 

Uso del Filtrado BPDU para desactivar STP en un puerto.

Normalmente, STP opera en todos los puertos de Switch en un esfuerzo por eliminar todos los Bridging Loops (bucles) antes de que puedan formarse. 

Las BPDUs se envían a todos los puertos del switch, incluso en los puertos donde Portfast ha sido habilitado. Las BPDUs también pueden ser recibidas y procesadas si algunas son enviadas por switches vecinos.

Siempre debería permitir a STP funcionar en un switch para prevenir loops. Sin embargo, en casos especiales, cuando necesite prevenir BPDUs que se envíen o procesen en uno o más puertos del switch, se puede usar el Filtrado BPDU para desactivar STP de forma efectiva en esos puertos.

Por defecto, el Filtrado BPDU está deshabilitado en todos los puertos del switch, se puede configurar el Filtrado BPDU como un valor global por defecto que afecta a todos los puertos del switch, el comando es el siguiente:

switch(config)# spanning-tree Portfast bpdufilter default

La palabra “default” indica que el Filtrado BPDU se activará automáticamente en todos los puertos que tienen habilitado Portfast. Si Portfast está deshabilitado en un puerto, entonces el filtrado BPDU no se activará.

También se puede habilitar o deshabilitar el Filtrado BPDU en puertos específicos del switch mediante el siguiente comando:

switch(config-if)# spanning-tree bpdufilter { enable | disable }

Tenga cuidado con habilitar el Filtrado BPDU, solo bajo circunstancias en las que usted esté seguro que un puerto del switch tendrá un solo host conectado y que un loop será imposible. 

Habilite el Filtrado BPDU solo si el dispositivo conectado no puede permitir que BPDU sea aceptado o enviado, de lo contrario, debe permitir que STP funcione en los puertos del switch como una precaución.

Nota: no confunda BPDU Filtering con BPDU Guard. BPDU Guard se usa para detectar BPDU entrante en el puerto donde las BPDUs no se esperan ver, entonces protege la estabilidad de STP previniendo que esas BPDUs sean procesadas.

 Tomado de: https://www.lesand.cl/foro/filtrado-bpdu

 

Variedades de Spanning Tree Protocol (STP)

Sabores de STP

Existen múltiples versiones de Spanning Tree Protocol:

• STP: Es la especificación original de STP, definida en 802.1D. STP es algunas veces llamado Spanning Tree común (Common Spanning Tree - CST) debido a que el protocolo asume una instancia de Spanning Tree para toda la red conmutada, independientemente de la cantidad de  VLANs.
• PVST+: Per-VLAN Spanning Tree Plus es una mejora realizada por Cisco  sobre el STP que proporciona una instancia de 802.1D spanning tree  para cada VLAN configurada en la red.
• RSTP: Rapid STP, ó IEEE 802.1w, es una evolución del STP que provee rápida convergencia en comparación con STP. De todas maneras, RSTP aún proporciona solamente una instancia de STP.
• Rapid PVST+: Es otra mejora de Cisco del RSTP que utiliza PVST+. El Rapid PVST+ proporciona una instancia separada de 802.1w para cada VLAN.
• Multiple Spanning Tree Protocol: MSTP es un estandar IEEE inspirada en la implementación del protocolo propietario de Cisco Multiple Instance STP (MISTP). El MSTP puede mapear multiples VLANs dentro de una instancia de  spanning tree. La implementación Cisco de MSTP se llama MST, la cual provee hasta 16 instancias de RSTP y combina muchas VLANs dentro de la misma topología física y lógica de una instancia de RSTP común. 

 

Tomado de: https://www.networkplayroom.com/2017/09/stp-flavors.html

Traducido al español por Ing. José Torrico Gumucio, Instructor Cisco CCNA/CCNA CyberOps/CCNAS/CCNP - Instructor trainer

IPv6: Y después del 4..... ¿Va el 6?

 

Para todos debe quedar más o menos claro que la evolución del Protocolo  de Comunicación de Internet (IP) y su creciente gama de dispositivos  interconectados lleva la tendencia de buscar un mayor número de  direcciones disponibles. 

 

Esta situación (entre otras) conlleva a la  migración desde la versión 4 de dicho protocolo hacia la versión 6. 

 

A lo  largo del último par de años he tenido la fortuna de dar entrenamientos  y pláticas sobre IP versión 6 a distintos grupos y una de las preguntas  más recurrentes es: ¿Qué pasó con la versión 5? 

 

Eso es lo que vamos a  platicar brevemente en esta entrada del Blog, más con el afán de aportar  un dato curioso e interesante que por la importancia que llegó a tener  dicho protocolo.

El 7 de septiembre de 1979, James Forgie del Instituto Tecnológico de  Massachussetts (MIT) publicó el documento IEN119 (Internet Experiment  Note 119) para la IETF describiendo la función y operación del Internet  Stream Protocol (ST). Forgie y su grupo de colaboradores buscaban crear  una extensión del protocolo IP cuya finalidad fuera la de entregar de  manera eficiente flujos de tráfico con una tasa de transmisión  garantizada y poco retraso (http://www.ietf.org/rfc/ien/ien119.txt).  

 

A grandes rasgos, este protocolo es muy parecido a la manera en la que  opera RSVP (Reservation Protocol) en donde las características de  calidad de servicio son mantenidas por cada equipo en la red.

Varios años después, en octubre de 1990, se revisitó este concepto a  través del "Experimental Internet Stream Protocol Version 2" ó ST-II en  el RFC1190 (http://www.ietf.org/rfc/rfc1190.txt).  

 

La intención de esta revisión era atacar áreas que no se habían  trabajado, facilitar su implementación y aumentar el número de  aplicaciones a soportar en este protocolo. 

 

El protocolo ST-II se manejó  siempre de manera experimental y hubo varios intentos de aplicarlo por  grupos de trabajo en IBM, NeXT, Apple y Sun (http://www.oreillynet.com/onlamp/blog/2003/06/what_ever_happened_to_ipv5.html) sin llegar nunca a un estándar.

En octubre de 1994, a través del RFC1700 (http://www.ietf.org/rfc/rfc1700.txt)  se le asignó el número de protocolo 5 (IPv5) para ser utilizado en el  encabezado de IP con el fin de apoyar en la detección del canal que  ST-II utilizaba para dar un trato preferencial al tráfico. 

 

Es decir, si  en el apartado de versión del paquete IP recibíamos un 5, este tráfico  tenía ciertas características de ancho de banda y retraso que debían ser  atendidas por ST-II.

Al final, esta extensión del protocolo IPv4 no pasó nunca de la etapa  experimental. 

 

Se requerían de muchos recursos (espacio en memoria y  ciclos de trabajo del CPU) para mantener los estados de operación de los  flujos de tráfico. 

 

Por si esto no fuera suficiente, no se tenía un  estándar o una solución para varios problemas en su implementación  (mantenimiento de estados, redundancia, soporte a reinicio de equipos,  etc.).

Have fun learning!!!

Rick.

Tomado de:  https://supportforums.cisco.com/community/spanish/core/blog/2013/02/15/ipv6-y-despu%C3%A9s-del-4-va-el-6

Cisco Unified Access Data Plane (UADP) ASIC 2.0

Por Oscar Gerometta

Al introducir los switches Catalyst 9000 hice referencia a que una de sus características distintivas me referí a la introducción en su hardware de los nuevos UADP ASIC 2.0 (UADP - Unified Access Data Plane).

Los switches Cat 9K se basan en estos nuevos circuitos ASIC (Application Specific Integrated Circuit) que agregan flexibilidad a la configuración de los mecanismos de reenvío de tráfico del plano de datos flexibilidad en la asignación de las tablas de información tanto SRAM (Static Random Access Memory) como TCAM (Ternary Content Addressable Memory). 

 

Estas innovaciones convierten a estos ASICs en una excepcional herramienta de hardware ajustable a los requisitos de implementación de cada red. Para esto Cisco ofrece un conjunto de plantillas ya probadas para su adaptación.

La característica destacable de estos circuitos en su versión 1.0 fue la convergencia completa del tráfico cableado e inalámbrico. Este fue el primer ASIC programable que constituyó la base de los switches Catalyst 3650 y 3850.

UADP 2.0

Se trata de la última generación de ASICs.

 

 

 

Entre sus características destacan:

• 7460 millones de transistores (la versión 1 utilizaba 1300 millones de transistores).
• Hasta cuadruplica el rendimiento de otro hardware de la industria.
• Soporta tablas SRAM y TCAM flexibles de 384000 contadores que se adaptan a diferentes implementaciones.
• Las tablas de búsqueda se intercambian entre diferentes núcleos.
• Microcontroladores integrados para gestionar cifrado, fragmentación y NetFlow.
• Soporta hasta 240 Gbps de tráfico agregado.
• Un búfer de paquetes de hasta 32 MB.
• Hasta 64000 x2 registros de NetFlow.

Su programabilidad permite incorporar nuevas tecnologías sin necesidad de implementar nuevo hardware y sin sacrificar performance.

 

Entre las mejoras que permiten está la implementación de SD-Access y programabilidad. Una muestra de su flexibilidad ha sido la incorporación de VXLAN sin necesidad de reemplazo de hardware con solamente una actualización del microcódigo. 

 

Estos circuitos (en algunos casos en su versión 1 o 1.1) están presentes en los switches Cisco Catalyst despachados desde 2013.

 

Tomado de: http://librosnetworking.blogspot.com/2020/06/cisco-uadp-asic-20.html

 

Implementación y diagnóstico de sistemas Cisco Firepower v1.1

Las primeras décadas de este siglo han estado marcadas por una creciente evolución y desarrollo de diferentes amenazas y ataques que acechan las redes de datos y los activos corporativos.

Esta evolución ha requerido una evolución semejante en las herramientas que desplegamos para proteger esos activos, particularmente los tradicionales firewalls e IPs.

Esto ha dado lugar a nuevos dispositivos, mucho más potentes con capacidades de inspección más allá de la capa de aplicación del modelo OSI (a nivel de aplicaciones) que incorporan capacidades de analítica de última generación, los llamados NGFW (firewalls de última generación).

Firepower es el potente NGFW desarrollado por Cisco. Una herramienta de última generación, extremadamente potente y compleja.

Para contar con los concimientos y habilidades necesarios para implementar esta herramienta desarrollé en primer lugar una serie de entrenamiento teórico-prácticos a los que ahora complementa este manual que pongo a disposición de todos los técnicos de habla hispana que necesitan actualizar sus conocimientos y profundizar en estos dispositivos.

Este manual busca dar una presentación sintética y sencilla de los sistemas Cisco Firepower administrados utilizando Firepower Management Center versión 6.4. 

De ninguna manera reemplaza el manual de configuración oficial. Sólo intenta ser un insumo simple y eficaz para quienes deben implementar, monitorear o diagnósticar estos sistemas de modo eficiente y rápido.

Fecha de publicación: 28 de mayo de 2020.

Autor: Oscar A. Gerometta
CCSI / CCNA / CCDA / CCNA wir / CCNA sec / CCCA / CCNP sec / CCBF.
Creador de diversos cursos y talleres orientados a la implementación de sistemas Cisco Firepower.

Texto: Manual.

Examen de referencia: No mapea a ningún examen de certificación

Una versión demo (parcial) de este manual puede accederse
en la biblioteca virtual de EduBooks.
Ingrese aquí

Contenidos:

• 1. Introducción 
Plataformas
Opciones de gestión
Licenciamiento
• 2. Registro de dispositivos en FMC
  Configuración inicial del sensor
  Configuración inicial del FMC
• 3. Configuración inicial
  Definición de propiedades generales del sensor
  Implementación de cambios en la configuración
• 4. Modelos de redundancia
  Modelos de redundancia disponibles
  Implementación del par de alta disponibilidad
  Implementación del clúster
  Modelo de tráfico a través del clúster
• 5. Enrutamiento 
Enrutamiento estático
Enrutamiento dinámico
Redistribución y filtrado de rutas
• 6. NAT 
Formas de NAT soportadas
NAT manual y Auto NAT
Configuración de políticas NAT
• 7. Políticas de control de acceso
  Objetos
  Zonas de seguridad
  Políticas de control de acceso
  Configuración de políticas de control de acceso
• 8. Políticas avanzadas
Políticas de intrusión de tráfico
Políticas de filtrado de archivos y malware
Security Intelligence
Filtrado de URLs
Orden de ejecución de procesos y políticas
Políticas de prefiltrado
• 9. Monitoreo y diagnóstico de problemas
  Registro de eventos del sistema
  Reportería
  Packet Tracer
  Packet Capture
  Visualización de eventos
  Herramientas de diagnóstico de FTD
  
• 10. Administración del sistema
  Generación de copias de respaldo
  Restauración de copias de respaldo
  Actualización de software

En su versión actual el manual no incluye la implementación de VPNs IPsec o SSL. En próximas versiones iré incorporando esos y otros temas.

Información para la compra:

• Implementación y diagnóstico de sistemas Cisco Firepower versión 1.1 puede adquirirse en línea a través del sitio web de Ediciones EduBooks.
• Para la compra del ebook ingresar aquí.
• Para la compra de la versión impresa a través de Amazon, ingresar aquí.
• Para revisar las características de los ebooks de EduBooks, ingresar aquí.
• Para revisar la versión demo de este manual, ingrese aquí.
• Soporte para la compra en Bolivia: libros.networking.bolivia@gmail.com

Como siempre, cualquier sugerencia que puedas hacer será muy bienvenida.



Para despejar dudas, compartir experiencia con otros, realizar consultas, las redes sociales nos dan una gran herramienta. Para eso están los diferentes grupos asociados a este blog.

Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Tomado de: http://librosnetworking.blogspot.com/2020/05/implementacion-y-diagnostico-de.html