lunes, 13 de febrero de 2017

10 tendencias que transformarán las redes en 2017


2016 fue un año de grandes innovaciones para las redes empresariales. Puede sonar a cliché, pero la tecnología en redes ha dado pasos agigantados hacia la transformación digital y Cisco se mantiene como un jugador relevante con diversos lanzamientos e innovaciones reconocidas en la industria.

Gracias a la cercanía de expertos con clientes en diversos roles dentro de sus organizaciones (CIOs, CTOs, ingenieros y líderes de proyecto) así como con partners y proveedores de servicio, se cuenta con una clara perspectiva de las metas y retos que se presentan para este año. 

Esto en combinación con el conocimiento de los profesionales de Cisco nos permite tener una vista de las principales fuerzas que moldarán la evolución de las redes empresariales durante 2017:

1 – WAN Rediseñado: Muchas organizaciones están migrando sus aplicaciones a la nube y eso implica cambios significativos para su arquitectura de red de área amplia (WAN). Las tradicionales “zonas desmilitarizadas” en sus propios centros de datos aumentarán o en algunos casos serán reemplazadas por puntos de presencia alojados en instalaciones de terceros. Esto significa que ya no habrá necesidad de redes de retorno para tráfico destinado de la nube hacia el centro de datos y luego al Internet.

2 – NFV llega a las empresas: La virtualización es el tema de moda y con justas razones. Descubriremos que la Virtualización de Funciones de Red (NFV) se traslada de estar solamente en los proveedores de servicios para gestarse dentro de las empresas, comenzando en las sucursales. El NFV permitirá que las organizaciones con redes en múltiples sucursales realicen provisionamiento, encadenen o escalen servicios de red de una manera más sencilla.

Haz click aquí para descargar la infografía.

3 – IoT hasta en la oficina: El Internet de las Cosas (IoT) se convertirá en un elemento vital como tecnología operativa para las organizaciones. Ahora los COOs comenzarán a evaluar cómo el IoT puede traer valor al lugar de trabajo (tu oficina). Ya sea a través de iluminación inteligente, servicios de geo-localización en sitio o sistemas interconectados de aire acondicionado. Veremos que las empresas aprovecharán los innumerables usos que tiene IoT originando una mayor consolidación de servicios, gracias a los mejores mecanismos de seguridad existente como la segmentación y el perfilamiento.

4 – SDN van más allá del Centro de Datos: Se empiezan a ver los beneficios reales de las redes definidas por software (SDN) tanto para los centros de datos como para las WAN. Se espera que estas mejoras se trasladen a los entornos de red alámbricos e inalámbricos para Campus. La visión de la programabilidad y automatización de punta a punta a través de todos los dominios de red comience a convertirse en una realidad durante este año.

5 – La seguridad en redes evoluciona y se mueve hacia la nube:  Nuevas oportunidades surgen gracias a los sistemas de auto aprendizaje (o machine learning). Durante el año veremos modelos de seguridad en redes con capacidades enriquecidas para la resolución de problemas. Al ofrecer estas capacidades desde la nube y aprovechar las experiencias agregadas de un conjunto más amplio de redes, veremos procesos de diagnóstico y remediación mejores y más rápidos.

6 – Los servicios basados en localización pasan del nicho al uso masivo: Los entornos de red inalámbrica para sectores como retail, salud, entretenimiento y turismo se beneficiarán de la tecnología de analítica basada en ubicación. Las mejoras en los equipos de WiFi junto con tecnologías como los Beacon Points de Cisco permitirán el uso de servicios de navegación y optimización de espacios.

7 – Voz sobre WiFi escalable: Con los servicios de Voz sobre WiFi (VoWi-Fi) teniendo soporte para más dispositivos tanto por fabricantes como por proveedores de red, veremos una importante mejora en la experiencia de usuario y el costo de roaming implícito para alcanzar una mayor utilización a lo largo del año, haciendo la transferencia de llamadas de red móvil a WiFi cada vez más sencilla y transparente.

8 – De “Administrador” a “Programador” de Red: A la vez que la programabilidad de redes y las SDNs son cada vez más predominantes se requiere de un nuevo conjunto de habilidades para sacarles provecho. Los administradores de red que puedan combinar un profundo conocimiento técnico en redes junto con capacidades en programación tendrán la oportunidad de mejorar sustancialmente las operaciones de red. Se espera que este año sea el punto de inflexión en el número de administradores de red que aprenden de programación a través de iniciativas como Cisco Learning Network.

9 – La programación se traslada del dispositivo al controlador: Mientras que la programabilidad de nivel dispositivo es la base para una red automatizada sostenible, se espera que mucho del enfoque durante este año sea hacia la programabilidad basada en el controlador. Así es cómo se logra la verdadera simplificación, escalabilidad y sofisticación de una red. La mayoría de las recientes innovaciones en programabilidad están sucediendo a nivel del controlador con un impacto en los servicios a través de la red más que a nivel de dispositivos individuales.

10- Despega el acceso inalámbrico de baja potencia: El acceso inalámbrico de baja potencia (LPWA) comienza a repuntar gracias al surgimiento de todas las posibles aplicaciones del IoT. Es una solución de gran escala y bajo costo ideal para sensores geográficamente dispersos y con un bajo volumen de datos donde se requiere un mayor periodo de vida de batería o un bajo consumo energético.

Por Jeff Reeds y Leobardo Mendez

Tomado de Blog Cisco Latinoamérica - http://gblogs.cisco.com/la/10-tendencias-que-transformaran-las-redes-en-2017/

domingo, 29 de enero de 2017

Aprende todo sobre IPv6 con este manual



Un manual íntegramente dedicado al análisis y estudio pormenorizado de el nuevo protocolo de Internet.

Este manual va mucho más allá de su predecesor (Protocolo IPv6 Básico versión 2.0) y si bien no supone conocimientos previos del protocolo, para un aprovechamiento pleno de su desarrollo es conveniente contar con conocimientos de seguridad, IPsec VPN, QoS, PBR, etc.

No está orientado a ningún examen de certificación ya que no hay certificaciones explícitas desarrolladas para integrar los últimos desarrollos en esta área. 

En su desarrollo he integrado ejercicios de laboratorio que permitan elaborar las habilidades básicas de configuración tanto del protocolo, como de los protocolos de enrutamiento asociados, como de los features de seguridad que le son propios.

 En la dimensión práctica se integra la configuración básica de clientes IPv6 en sistemas operativos Microsoft y Linux, así como en Cisco IOS 15.4(2)S e IOS XE 03.12.00.S; la topología diseñada para los laboratorios puede ser montada con dispositivos virtuales tanto como físicos.

Para quienes estudian por sí mismo (auto-estudio), este manual les sirve como referencia de para el estudio y la consulta. 

Para quienes participan de entrenamientos que incluyen IPv6, el manual les permitirá contar no solo con bibliografía de consulta, sino también completar, profundizar y ejercitar aquellos conocimientos incluidos en entrenamientos como ICND o ROUTE. Es la base para un curso integral sobre el protocolo, su diseño e implementación.

Fecha de publicación: 19 de febrero de 2016
Autor: Oscar A. Gerometta
CCSI / CCNA R&S / CCDA / CCNAwir / CCNA sec. / CCBF.




Contenidos:
  • Introducción a IPv6
  • Operación de IPv6
    Laboratorios.
  • Servicios IPv6
    Laboratorios.
  • Protocolos de enrutamiento IPv6
    Laboratorios.
  • Mecanismos de transición IPv6
    Laboratorios.
  • Seguridad en IPv6
    Laboratorios.
  • Modelos de implementación de IPv6
Cantidad de páginas: 239

Algunas notas sobre esta versión:
  • Cubre los principales aspectos vinculados al diseño e implementación del protocolo en redes corporativas.
  • En el capítulo de servicios se incluye DNS, DHCPv6 y DHCPv6 Prefix Delegation.
  • En el capítulo de protocolos de enrutamiento se consideran RIPng, OSPFv3, EIGRP, MPLS, PBR, route maps, prefix lists, etc.
  • En los mecanismos de transición se consideran los diferentes mecanismos existentes (incluido NAT 64) con especial énfasis en las implementaciones dual stack.
  • En el capítulo de seguridad, el laboratorio se ocupa de la implementación de IPsec.
Para compras en Bolivia: libros.networking.bolivia@gmail.com

Costo: 200 Bolivianos (incluye despacho por courier)

martes, 24 de enero de 2017

El cable Cat 8 es plano y alcanza 40 Gbps



El primer cable Ethernet Cat.8 ya es real y alcanza 40 Gbps


El cableado Ethernet ha estado un tiempo a la sombra del WiFi en términos de velocidad que éste podía alcanzar, ya que el máximo teórico del WiFi 802.11ac alcanza los 6,5 Gbps en algunos routers.

Por suerte, el pasado mes de septiembre se anunció que el nuevo estándar iba a permitir velocidades de 2,5 Gbps en cables Cat.5e y 5 Gbps en los Cat.6, lejos de lo que permite el Ethernet Cat.8

Ethernet Cat.8 a 40 Gbps


El estándar Ethernet Cat.8 lleva ya unos cuantos años establecido, pero ningún fabricante se había aventurado a utilizarlo en ningún cable, sobre todo porque no hay tarjetas de red compatibles con este estándar, pero si dispositivos capaces de escribir archivos a la velocidad que permite este cable, teniendo 7 y 7A una velocidad máxima de 10 Gbps (1,25 GB/s).



Hasta hace dos años no había unidades de almacenamiento capaces de alcanzar esas velocidades, pero en la actualidad los SSD NVMe más rápidos, como los Samsung 960 Pro logra velocidades de escritura de 2,1 GB/s y de lectura de 3,5 Gbps.

Para ello, tenemos el estándar Ethernet Cat.8, cuatro veces más rápido que los anteriormente mencionados.

El Cat.8 alcanza los 40 Gbps (5 GB/s), y Wireworld Cable Technology ha sido la primera empresa en lanzar un cable de este tipo (llamado Starlight), anunciado en el pasado CES 2017 y compatible con las categorías 6, 6A, 7 y 8.

Esta velocidad nos hace ver que estos cables están pensados, de momento, para la transmisión de archivos en redes de alta capacidad. Actualmente las conexiones a Internet más rápidas para usuarios no superan los 10 Gbps, mientras que en España este año es probable que veamos cómo algún gran operador se aventura a lanzar conexiones de 1 Gbps, alcanzando el límite de los puertos Gigabit de la mayoría de ordenadores en nuestro país.

Sobrepasando los límites de los cables Cat.7

Las limitaciones de los cables actuales tienen que ver con cómo están construidos. Es por ello que la velocidad de 10 Gbps no se ha podido aumentar, y en los próximos años está claro que se harán necesarios cables de este tipo para hacer frente al aumento de la velocidad de las conexiones a Internet.

Los cables Cat.7 permiten demasiado crosstalk (interferencias) entre los cuatro canales de señal. Para reducir esto, los cables convencionales utilizan los cuatros pares trenzados entre sí que todos hemos visto si hemos montado manualmente alguna vez un cable Ethernet. Al enroscar los conectores se provocan errores de timing entre ellos.



El cable desarrollado por Wireworld utiliza una tecnología llamada Tite-Shield, que aisla los cuatro canales con una celda de tres capas por cada par de conductores, frente a las dos capas de los cables convencionales.

De esta manera, no se hace necesario enroscar los conductores sobre sí mismos y se eliminan los problemas de timing al quedar dispuestos de manera plana. Esto permite también que la separación entre los cuatro pares de cable, y por ende se aumenta la velocidad de transmisión que los cables convencionales. El precio del cable Starlight Ethernet Cat.8 es de 210 dólares por un metro.

Fuente: ADSLZONE - https://www.adslzone.net/2017/01/12/primer-cable-ethernet-cat-8-ya-real-alcanza-40-gbps/ - Con algunas mejoras del editor del BLOG

jueves, 29 de diciembre de 2016

Instalación de licencias en Cisco IOS 15.x


En Cisco IOS se distingue 2 tipos de licencias:

  • Licencias permanentes.
    Una vez instaladas son definitivas y no tienen vencimiento.
  • Licencias temporales.
    Pueden ser licencias demo o licencias compradas. En este caso su vigencia tiene un plazo de vencimiento.
Instalación de licencias permanentes

Router#license install fash:uck9-2900-SPE150_K9-FHH11253557.xml
  • Instala el archivo de licencias permanentes que ha sido descargado previamente a la memoria flash.
  • En este caso se instala una licencia permanente de comunicaciones unificadas en un router Cisco 2900.
Router#reload
  • Reinicia el dispositivo para hacer efectiva la instalación de la licencia permanente. Si la licencia de evaluación ya se encontraba activa antes, no es necesario el reinicio del dispositivo.
  • Las licencias permanentes son perpetuas y por lo tanto no les aplica el concepto de un período de validez.
  • Luego de reiniciado el dispositivo se sugiere verificar la instalación.
Router#show versión

License UDI:
------------------------------------
Device#  PID           SN           
------------------------------------
*0       CISCO2901/K9  FCG3467G5DX  
Technology Package License Information for Module:’c2900’
-------------------------------------------------------------
Technology   Technology-package      Technology-package
             Current     Type        Next reboot
-------------------------------------------------------------
ipbase       ipbasek9    Permanent   ipbasek9
security     None        None        None
uc           uck9        Permanent   uck9
data         None        None        None


Instalación de licencias de evaluación

Con la introducción de IOS 15.0(1)M las licencias de evaluación han sido reemplazadas con licencias RTU de evaluación. Para activar estas licencias se debe utilizar el siguiente procedimiento:

Router#license boot module c2900 technology-package uck9
  • Activa la licencia de comunicaciones unificadas de evaluación en el router Cisco 2900. Al ejecutar el comando se mostrará el contrato de acuerdo de uso que debe ser aceptado para que la licencia temporal se active.
  • Una vez instalada la licencia de evaluación o temporal, es necesario reiniciar el dispositivo.
  • Las licencias de evaluación tienen un período de duración de 60 días.
Router#show license
Index 1 Feature: ipbasek9
        Period left: Life time
        License Type: Permanent
        License State: Active, In Use
        License Count: Non-Counted
        License Priority: Medium
Index 2 Feature: securityk9
        Period left: Not Activated
        License Used: 0 minute 0 second
        License Type: EvalRightToUse
        License State: Not in Use, EULA not accepted
        License Count: Non-Counted
        License Priority: None
Index 1 Feature: uck9
        Period left: 8 weeks 3 days
        Period Used: 9 minutes 30 seconds
        License Type: EvalRightToUse
        License State: Active, In Use
        License Count: Non-Counted
        License Priority: Low


Tomado de: http://librosnetworking.blogspot.com/2016/11/instalacion-de-licencias-en-ios-15x.html

martes, 6 de diciembre de 2016

Cómo Configurar VPN IPSec Site-to-Site en Cisco Router



En el artículo de hoy vamos a explicar cómo configurar una VPN (Virtual Private Network) Site To Site en Cisco IOS.

Primeramente, ¿qué es un VPN


Una VPN es una conexión virtual entre dos dispositivos que permite el envío de información de manera segura a través de un medio inseguro como lo es Internet

Con una VPN podemos desarrollar toda una infraestructura de red WAN (Wide Area Network) de forma más rápida y económica en comparación con la contratación del servicio de línea de fijas Frame Relay, ATM u otro tipo de tecnologías.

Nuestra configuración de VPN Site to Site es realizada utilizando el protocolo IPSec (Internet Protocol Security).  


IPSec es un protocolo de capa 3 del modelo OSI que permite desarrollar VPNs brindando las siguientes ventajas:
  • Confidentiality
  • Data integrity
  • Authentication
 
Confidentiality (confidencialidad) significa que la información enviada a través del VPN no podrá ser leída por un usuario o dispositivo tercero que no participe en la comunicación. En otras palabras, la información enviada por la VPN no podrá se accedida por ninguna entidad no autorizada. La confidencialidad se logra en la práctica a través de la implementación de técnicas de cifrado de datos. Para los no entendidos en la materia, el cifrado de información logra convertir un texto original en un formato no entendible (texto cifrado) para todo aquel que no conozca: (1) el algoritmo de cifrado y (2) la llave secreta. En IPSec podemos implementar cifrado de datos utilizando algoritmos simétricos tales como 3DES y AES.

Data integrity (Integridad de la información) significa que la información enviada entre dos dispositivos en una VPN debe de llegar tal cual fue enviada por el dispositivo emisor. En otras palabras, IPSec garantiza que la información, mientras esté en tránsito, no será modificada nivalterada. La integridad de la información en la práctica se logra a través de la implementación de técnicas de Hashing. Un Hash es una función matemática que no tiene inversa, por lo tanto, va partir del resultado no es posible —matemáticamente hablando — conseguir la información original. En IPSec podemos implementar Hashing utilizando algoritmos tales como MD5, SHA-1 y SHA-2.

Authentication (Autenticación) consiste en establecer mecanismos de seguridad para validar la identidad de los dispositivos envueltos en la transmisión de información a través de una VPN. En IPSec tenemos la opción utilizar diferentes mecanismos de autenticación como son: (1) Pre-share Key y (2) Digital Signature.

En la práctica, la implementación de IPSec como protocolo de VPN no es muy user-friendly. Requiere a priori un entendimiento muy detallado por parte del ingeniero de la intríngulis técnica de este protocolo que, de por sí, es complejo.

Una VPN IPSec requiere del establecimiento de dos túneles. El primero llamado IKE Phase 1 (Internet Key Exchange Fase 1) que es utilizado para que los routers se comuniquen directamente entre ellos. Este túnel no es utilizado para el envío de paquetes IP de los usuarios, sino más bien, para el intercambio información de control. Para que el túnel IKE Phase 1 pueda establecerse con éxito, ambos routers deben de estar de acuerdo en las siguientes variables:
  • Hash algorithm
  • Encryption algorithm
  • Diffie-Hellman DH group
  • Authentication method
  • Lifetime
 Después que ambos routers agotan con éxito la primera fase del IPSecIKE Phase 1 —, sí y solo sí se establece la segunda fase — IKE Phase 2 — donde se establece el túnel por donde viaja la información de los usuarios de manera encriptada.



Entonces teniendo como trasfondo la información anterior, vamos a explicar cómo podemos configurar una VPN Site to Site entre dos routers Cisco utilizando IPSec

 Para hacer el proceso de configuración un poco más fácil de entender, vamos a dividir el proceso de configuración en dos etapas: (1) ISAKMP 1; (2) ISAKMP 2 tanto para R1 como para R2. A los túneles IKE también se les llama ISAKMP.



Vamos a comenzar con la configuración de R1.

IKE ISAKMP Phase 1


Paso 1: configuración de ISAKMP Policy.


R1(config)#crypto isakmp policy 1
R1(config-isakmp)#encr 3des
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#group 2
R1(config-isakmp)#lifetime 86400

Paso 2: definir la contraseña a utilizar entre los R1 y R2 como pre-share key.


R1(config)#crypto isakmp key cisco address 1.1.1.2

Paso 3: configuración de ACL


R1(config)# ip Access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

IKE ISAKMP Phase 2

Paso 4: configurando IPSec Transform


R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

Paso 5: configuración de CRYPTO MAP


R1(config)# crypto map CMAP 10 ipsec-isakmp
R1(config-crypto-map)#set peer 1.1.1.2
R1(config-crypto-map)#set transform-set TS
R1(config-crypto-map)#match address VPN-TRAFFIC

Paso 6: aplicando Crypto MAP a una interface pública


R1(config)# interface Fastethernet 0/1
R1(config-if)#crypto map CMAP

El mismo procedimiento de configuración que aplicamos a R1 lo hacemos en R2 con ciertas modificaciones en cuanto a las direcciones IP.

Vamos a comenzar con la configuración de R2.

IKE ISAKMP Phase 1


Paso 1: configuración de ISAKMP Policy.


R2(config)#crypto isakmp policy 1
R2(config-isakmp)#encr 3des
R2(config-isakmp)#hash md5
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#group 2
R2(config-isakmp)#lifetime 86400

Paso 2: definir la contraseña a utilizer entre los R1 y R2 como pre-share key.


R2(config)#crypto isakmp key cisco address 1.1.1.1

Paso 3: configuración de ACL


R2(config)# ip Access-list extended VPN-TRAFFIC
R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

IKE ISAKMP Phase 2


Paso 4: configurando IPSec Transform

R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

Paso 5: configuración de CRYPTO MAP

R2(config)# crypto map CMAP 10 ipsec-isakmp
R2(config-crypto-map)#set peer 1.1.1.1
R2(config-crypto-map)#set transform-set TS
R2(config-crypto-map)#match address VPN-TRAFFIC

Paso 6: aplicando Crypto MAP a una interface pública


R2(config)# interface Fastethernet 0/1
R2(config-if)#crypto map CMAP

Al aplicar esta configuración en R1 y R2 una VPN IPSec debe de funcionar perfectamente. Para comprobar que los paquetes IP provenientes de ambas redes LAN se envían a través del VPN debemos de ejecutar los siguientes comandos.

R1#ping 20.20.20.1 source FastEthernet 0/0
R1#show crypto session

Ahora en R2:

R2#ping 10.10.10.1 source FastEthernet 0/0
R2#show crypto session



Tomado de: http://blog.capacityacademy.com/2014/09/12/ccna-security-como-configurar-vpn-ipsec-site-to-site-en-cisco-router/

domingo, 6 de noviembre de 2016

Disponible en Bolivia: BRIDGE CCNA 200-125


El Bridge es un complemento para los materiales de estudio del examen 200-120 con los que ya cuentas. También permite nivelarse a quienes estudiaron CCNA con la versión 5.0X de la curricula y se prepararon para el examen con esta versión de la curricula. (Para el examen CCNA 200-120)

En este texto se desarrollan los temas teóricos que se introdujeron y se completan con laboratorios prácticos para una mejor comprensión.

Fecha de publicación: 18 de julio de 2016
 

Autor: Oscar A. Gerometta
CCSI / CCNA R&S / CCDA / CCNAwir / CCNA sec. / CBVP / CCBF.
Creador –en el año 2000- del primer curso de apoyo para alumnos de Cisco Networking 
Academy program que se preparan a rendir su examen de certificación CCNA, logrando entre sus alumnos un nivel de aprobación superior al 95%.

Texto:
Se trata de un manual complementario que permite a quienes cuentan con materiales de estudio para el examen CCNA 200-120 completarlos tanto con teoría como con práctica.
Está alineado al examen CCNA 200-125. 



Para ver una demo de este manual, ingrese aquí.
(le permite revisar el índice completo)

Contenidos:
  • 1. El examen de certificación CCNA
  • 2. Los contenidos del examen de certificación.
  • 2.1. Principios de operación de redes.
  • 2.2. Conmutación LAN.
  • 2.3. Enrutamiento IP.
  • 2.4. Servicios IP.
  • 2.5. Tecnologías WAN.
  • Anexo: Laboratorio de prácticas
Cantidad de páginas: 133 (Incluyendo anexos e indice)


Algunas notas sobre esta versión:


  • Cubre la totalidad de las novedades del temario del examen CCNA 200-125.
  • Incluye laboratorios prácticos en donde el temario lo requiere.
  • La maqueta de laboratorio propuesta está diseñada para cubrir la totalidad del temario del examen de certificación.

Laboratorios que incluye:

  • Configuración y verificación de RIPv2.
  • Configuración y monitoreo de NTP.
  • Configuración de autenticación externa utilizando RADIUS y TACACS+.
  • Configuración de SNMP.
  • Configuración y verificación de MLPPP.
  • Configuración y verificación de un cliente PPPoE.
  • Configuración y verificación de un túnel GRE.
  • Configuración y verificación de eBGP.
Costo en Bolivia: 130 Bolivianos (Incluye el despacho por courier)

Mas información: libros.networking.bolivia@gmail.com

jueves, 13 de octubre de 2016

Laboratorio completo para estudiar CCNA


Por Oscar Gerometta

Un laboratorio para CCNA 200-125

Quienes se inician en el camino de las certificaciones, y particularmente las certificaciones de Cisco, siempre hay un desafío e interrogante, ¿cómo hacer para practicar lo que se estudia y adquirir las habilidades prácticas necesarias?
 
En función de esto y con oportunidad de estar trabajando los manuales para el examen de certificación CCNA R&S renovado este año diseñé esta maqueta de trabajo.

Objetivos
Al momento de elaborar la maqueta consideré los siguientes objetivos:

  • Lograr una única maqueta que permita cubrir la totalidad del temario del examen CCNA 200-125.
  • Tener la estructura necesaria para avanzar progresivamente en la configuración de modo de poder realizar configuraciones de complejidad creciente.
  • Poder adaptar la topología a diferentes requerimientos simplemente activando o desactivando puertos.
  • Elaborar una maqueta que se pueda armar en condiciones ideales utilizando dispositivos reales, pero que también pueda ser reproducida utilizando Packet Tracer o GNS3.

Composición

Lo esencial en la implementación de una maqueta para cubrir el temario de CCNA 200-125 no es el modelo de router o switch sino las versiones de sistema operativo y las interfaces con que se cuenta.
 
En este sentido, las versiones de sistemas operativos o aplicaciones necesarias para el desarrollo de la maqueta son las siguientes (en la lista refiero a los dispositivos según nombre indicado en el gráfico de la topología):

  • ASW1
    Switch capa 2 de al menos 8 puertos Fast o GigabitEthernet
    Cisco IOS 15.0 LAN Base o superior
  • ASW2
    Switch capa 2 de al menos 8 puertos Fast o GigabitEthernet
    Cisco IOS 15.0 LAN Base o superior
  • GTW1
    Router con al menos 3 interfaces Fast o GigabitEthernet
    Cisco IOS 15.2 IP Base o superior
  • GTW2
    Router con al menos 2 interfaces Fast o GigabitEthernet y 2 interfaces seriales.
    Cisco IOS 15.2 IP Base o superior
  • CE
    Router con al menos 2 interfaces Fast o GigabitEthernet y 2 interfaces seriales.
    Cisco IOS 15.2 IP Base o superior
  • PE
    Router con al menos 2 interfaces Fast o GigabitEthernet
    Cisco IOS 15.2 IP Base o superior
Respecto de las terminales incluidas en la maqueta:
  • PC10
    Terminal Windows 7 o superior
  • PC20
    Terminal Windows 7 o superior
  • ISE
    Servidor Cisco ISE versión 2.x
Topología de la maqueta
La siguiente es la topología que propongo:
 
 
 
Esquema de direccionamiento.
Hay múltiples esquemas de direccionamiento posibles para este tipo de maquetas. Considerando el temario objetivo, mi propuesta es la siguiente:
  • PC10
    Gi   172.16.50.10/24
           2001:DB8:0:1::10/64
  • PC20
    Gi   172.16.51.20/24
           2001:DB8:0:2::20/64
  • ISE
    Gi   192.168.1.10/24
           2001:DB8:B:1::/64 Auto
  • ASW1
    VLAN1 172.16.50.101/24
  • ASW2
    VLAN1 172.16.51.102/24
  • GTW1
    G0/0     172.16.1.5/30
                2001:DB8:1:2::5/64
    G0/1     172.16.50.1/24
                2001:DB8:0:1::1/64
    G0/2     172.16.1.1/30
                2001:DB8:1:1::1/64
  • GTW2 
    G0/1    172.16.51.2/24
                2001:DB8:1:3::2/64
    G0/2    172.16.1.2/30
                2001:DB8:1:1::2/64
    S0/0    172.16.1.9/30
    S0/1    172.16.1.13/30
                2001:DB8:1:3::13/64
  • CE
    G0/0    172.16.1.6/30
                2001:DB8:1:2::6/64
    S0/0    172.16.1.10/30
    S0/1    172.16.1.14/30
                2001:DB8:1:3::14/64
    G0/1     200.1.1.10/24
                2001:DB8:A:1::10/64
  • PE
    G0/0    192.168.1.1/24
                2001:DB8:B:1::1/64
    G0/1    200.1.1.1/24
                2001:DB8:A:1::1/64

Temario cubierto

Con una maqueta como esta es posible realizar prácticas de las siguientes tecnologías:
  • Comandos básicos de IOS.
  • Gestión de archivos de configuración e imágenes de IOS.
  • CDP / LLDP.
  • IPv4 / IPv6.
  • IPv2.
  • OSPF.
  • EIGRP.
  • eBGP.
  • Link Aggregation (EtherChannel).
  • VLANs.
  • InterVLAN routing.
  • PVSTP+.
  • Port Security.
  • PPPoE.
  • PPP Multilink.
  • NAT.
  • Autenticación de acceso utilizando RADIUS y/o TACACS+.
Es decir, la totalidad del temario de CCNA 200-125. Por supuesto que también es posible ejercitar otras tecnologías fuera del temario, tales como seguridad en redes capa 2 (BPDU guard, etc.), OSPFv3, RIPng, etc.
 
 

jueves, 29 de septiembre de 2016

Ethernet: 5 veces más rápido sobre los mismos cables

Ethernet aumentará 5 veces su velocidad, conservando los cables actuales


Diario TI 28/09/16 7:45:31

La organización de estandarización IEEE ha aprobado dos nuevas especificaciones para Ethernet, denominadas IEEE P802.3bz 2.5GBASE-T y 5GBASE-T.

Actualmente, prácticamente todas las computadoras personales y equipos de red incorporan soporte para la tecnología Gigabit Ethernet (1000BASE-T), lanzada hace 20 años, que ya comienza a ser insuficiente para grandes grupos de usuarios, especialmente en empresas.

Cabe señalar que ya existen varios estándares de Ethernet que ofrecen soporte para velocidades mucho más altas, en cables de fibra y cobre (par trenzado). Sin embargo, al utilizar hilos de cobre se requiere de otro tipo de cables, distintos a los utilizados corrientemente para 1000BASE-T, siendo el alcance además inferior.

En 2014, un grupo de empresas entre las que figuraban Aquantia, Cisco, NXP y Xilinx, se unieron para formar la agrupación NBASE-T Alliance, cuyo objetivo sería elaborar especificaciones más rápidas para los tipos de cables de mayor adopción general; Categoría 5e y Categoría 6. En un comunicado, la alianza comenta que a escala global se han instalado 70 mil millones de metros de este tipo de cables, conectados a 1,3 mil millones de puertos.

Con las 2 nuevas especificaciones para Ethernet, 2.5BASE-T y 5BASE-T Ethernet, será posible utilizar los dos cables Cat.5e- y Cat.6, con un potencial de velocidad de hasta 6 Gbps en tramos de hasta 100 metros. La especificación NBASE-T incluye una función “downshift” que hace posible para el administrador de la red seleccionar la velocidad más óptima que el sistema de cables puede soportar de una manera confiable.

Aunque no será necesario cambiar cables para cambiar de Gigabit Ethernet a 2.5BASE-T o 5BASE-T Ethernet, es necesario que los endpoints cuenten con el soporte correspondiente. En el mercado ya hay disponibilidad de una serie de componentes y productos de prueba con soporte para las nuevas tecnologías, aunque prácticamente ninguno está destinado para consumidores.

Sin embargo, ahora que la tecnología ha sido estandarizada, con el apoyo de más de 40 empresas, es cuestión de tiempo antes que aumente el surtido de productos. “El próximo reto es procurar la propagación de la tecnología.

Hemos hecho este trabajo para crear una tecnología utilizable, por lo que nuestra labor no concluirá hasta que ésta sea implementada en el mundo real”, escribe Peter Jones, presidente de NBASE-T Alliance en el blog de la entidad.

Al respecto, NBASE-T Alliance cita un pronóstico de la consultora Dell’Oro Group, según la cual para 2017 se habrán instalado más de 3 millones de puertos NBASE-T a escala global.

Tomado de: http://diarioti.com/ethernet-aumentara-5-veces-su-velocidad-conservando-los-cables-actuales/100666

viernes, 16 de septiembre de 2016

SDN - Software Defined Network

Del Temario CCNA R&S 200-125

Por Oscar Gerometta

Hace ya tiempo hice referencia a los diferentes planos que componen un dispositivo de red: control, gestión y datos. El plano de control define cómo se debe realizar el reenvío de tráfico mientras que el plano de datos se ocupa de ejecutar ese reenvío.

Este es un concepto básico para poder comprender a qué nos referimos cuando hablamos de SDN.

En el modelo tradicional la red es concebida como un conjunto de dispositivos independientes en el que cada unidad toma las decisiones de reenvío de tráfico de acuerdo a la información interna que posee. 

Hablamos de la red como una unidad, pero en la realidad no es más que un conjunto de dispositivos individuales trabajando de modo coordinado

En el modelo tradicional el plano de control de cada dispositivo individualmente interactúa con el plano de datos de ese dispositivo para indicarle cómo debe reenviar los datos.



SDN cambia completamente ese paradigma ya que la propuesta es ahora operar la red como una unidad, como un todo. 

En este modelo el plano de control de desacopla del plano de datos y opera de modo centralizado en un dispositivo (controlador) que tiene la visión íntegra de la red; el controlador es el que interactúa con los dispositivos individuales para indicarles cómo realizar el reenvío de tráfico. Controlador y conmutadores (los dispositivos que se ocupan del reenvío de tráfico) se comunican entre sí utilizando un protocolo estándar.





La comunicación entre controlador y conmutadores es bidireccional: el controlador envía instrucciones a los dispositivos al mismo tiempo que recoge información generada por ellos. Este esquema también recibe la denominación de "plano de control centralizado" (centralized control plane).
 
Esa operación requiere una interfaz a través de la cual el controlador se comunica con los dispositivos, esta interfaz recibe la denominación genérica de API (Application Programming Interface) y en este caso en que comunica el controlador con los dispositivos es una southbound API o SBI (SouthBound Interface).

 
Cisco Systems tiene su propio desarrollo SDN que recibe el nombre de Cisco ACI (Application Centric Infrastructure). ACI es el nombre comercial de la propuesta de arquitectura SDN de Cisco.

 
Esta arquitectura se basa en la implementación de APIC (Application Policy Infrastructure Controller) que es el controlador SDN de Cisco. APIC implementa una API denominada OpFlex para la comunicación con los dispositivos de la red. Por ser OpFlex un estándar abierto APIC opera tanto con dispositivos Cisco como de terceras partes.

 
También es posible desarrollar aplicaciones que interactúen con el controlador para posibilitar y facilitar las tareas de configuración, monitoreo, etc. Para esto el controlador cuenta con interfaces API específicas que reciben el nombre de northbound APIs o NBIs (NorthBound Interfaces).

 
Si bien no hay un estándar definido para la comunicación entre el controlador y las aplicaciones, típicamente se utilizan REST APIs (REpresentational State Transfer API). La forma más común recibe la denominación RESTful API que implementa mensajes GET y PUT de HTTP. Los mensajes GET permiten obtener información del controlador mientras los mensajes PUT permiten enviar instrucciones la controlador.

 
Los 2 formatos más frecuentes para estas APIs es JSON (JavaScript Object Notation) Y XML (eXtensible Markup Language). 


Tomado de: http://librosnetworking.blogspot.com/2016/09/sdn-software-defined-network.html 

lunes, 12 de septiembre de 2016

Nueva versión de Wireshark

Wireshark Foundation ha publicado la versión 2.0.6 que incluye la corrección de seis vulnerabilidades que podrían provocar condiciones de denegación de servicio. También se anuncia la publicación de la nueva versión 2.2.0

Publicadas nuevas versiones de Wireshark


Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

En esta ocasión la fundación Wireshark ha publicado seis boletines de seguridad en total (del wnpa-sec-2016-50 al wnpa-sec-2016-55) que afectan a la rama 2.0. También se ha publicado la nueva versión 2.2.0 que pasa a considerarse como versión estable con significativas novedades y soporte de nuevos protocolos. Hay que recordar que Wireshark 1.12 alcanzó su final de vida el 31 de julio, por lo que ya no recibe actualizaciones. Se recomienda a los usuarios de esta rama actualizar a Wireshark 2.2.0.

Como es habitual, las vulnerabilidades corregidas residen en denegaciones de servicio por fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. La lista de los disectores y protocolos afectados incluyen QNX6 QNET, H.225, Catapult DCT2000, UMTS FP y IPMI Trace. También se ha solucionado diferentes problemas no relacionados directamente con vulnerabilidades de seguridad y actualizado el soporte de diferentes protocolos.

Las vulnerabilidades mencionadas se han solucionado en la versión 2.0.6. La versión actualizada junto con la nueva versión 2.2.0 están disponibles para descarga desde la página oficial del proyecto.

Más información:
Wireshark 2.0.6 is now available

Wireshark 2.2.0 Release Notes

wnpa-sec-2016-50
QNX6 QNET dissector crash. (Bug 11850)

wnpa-sec-2016-51
H.225 dissector crash. (Bug 12700)

wnpa-sec-2016-52
Catapult DCT2000 dissector crash. (Bug 12750)

wnpa-sec-2016-53
UMTS FP dissector crash. (Bug 12751)

wnpa-sec-2016-54
Catapult DCT2000 dissector crash. (Bug 12752)

wnpa-sec-2016-55
IPMI trace dissector crash. (Bug 12782)
https://www.wireshark.org/security/wnpa-sec-2016-55.html

Antonio Ropero
Twitter: @aropero


Tomado de: http://unaaldia.hispasec.com/2016/09/publicadas-nuevas-versiones-de-wireshark.html