miércoles, 30 de diciembre de 2015

Ponte una meta este año nuevo: Certificar CCNA

Año nuevo es siempre un buen momento para evaluar el camino recorrido, los logros obtenidos y fijar nuevas metas para el año 2016.

Ponte una meta este año nuevo: Certificar CCNA el 2016!

Sigue estos pasos para lograr el éxito:

1 - Consigue la Guía de Preparación CCNA y estudia este material.

2 - Sigue los consejos de los expertos

3 - Rinde el examen y certifica!

4 - Comienza a cosechar los beneficios profesionales que la certificación te dará.

Que tengas felices fiestas y un gran 2016!

lunes, 28 de diciembre de 2015

Wireless: Cisco Aironet 1850 en instituciones educativas

Por Byron Magrane

La Escuela Chartwell en Seaside, California, y la Universidad de Ciencia y Tecnología de Namibia  podrían estar en lados opuestos del mundo, pero ambas escuelas saben que el AP Aironet 1850 Series Access Points de Cisco es el mejor producto para desplegar una red inalámbrica.

Un punto de acceso 802.11ac Wave 2 basado en el Aironet 1850 es la más solución mas innovadora en el mercado hoy en día. Ambas escuelas tienen la misma meta: cada una quería asegurarse de que sus redes inalámbricas estaban listos para soportar la demanda de dispositivos 802.11ac Wave 2 que se necesitarán conexión en los próximos años.

El personal de la escuela Chartwell necesitaba actualizar su red Wi-Fi para apoyar mejor a sus estudiantes que tienen un sistema de aprendizaje en diferentes lenguajes. La escuela Chartwell cambió su plataforma a Cisco y no sólo instaló los puntos de acces Cisco Aironet 1850, sino también instaló el Cisco Mobility Express para brindar apoyo a su entorno de aprendizaje modernizada.

Cisco Mobility Express maneja fácilmente el incremento del ancho de banda y soporta Wireless multitarea tanto en la escuela y en los hogares  de los estudiantes. La red de la escuela está ahora mejor equipada para manejar herramientas de aprendizaje de alto ancho de banda, conectividad multidispositivo y nuevos métodos de enseñanza basada en la nube.

Antes de la instalación de los puntos de acceso Aironet 1850 , los estudiantes de la Universidad de Ciencia y Tecnología de Namibia tenían dificultades para acceder a la red inalámbrica. La Universidad tomó en serio sus preocupaciones y se le ocurrió una solución que aumentó la cobertura y mayor ancho de banda, sin pasarse del presupuesto que tenía disponible.

Después de desplegar puntos de acceso Cisco Aironet 1850, la universidad tiene ahora una  red Wi-Fi robusta que cubre todo el campus. 

Para más información, sigue en Twitter @Cisco_Mobility

Tomado de: http://blogs.cisco.com/wireless/aironet-1850-series-aps-help-education-world

Traducido por José R. Torrico Gumucio - Instructor Cisco Networking Academy

lunes, 21 de diciembre de 2015

Configurando DHCP Snooping

El DHCP Snooping es una característica de seguridad que provee seguridad filtrando los mensajes DHCP "no confiables" y construyendo y manteniendo una tabla de asociaciones DHCP Snooping.

Un mensaje "no confiable" es un mensaje que es recibido desde fuera de la red o del Firewall y que puede ser parte de un ataque contra tu red.

La tabla de asociaciones DHCP Snooping contiene las direcciones MAC, direcciones IP, tiempo de arrendamiento, Tipo de asociación, número de VLAN e Interface que corresponde a las interfaces locales "no confiables" de un Switch, no contiene información de los hosts conectados a una interface "confiable".



En términos de seguridad una interface "no confiable" es una interface que está configurada para recibir mensajes desde fuera de la red local o actúa como un Firewall. Una interface "confiable" es una interface configurada para recibir solamente mensajes desde dentro de la red.

El DHCP Snooping actúa como un firewall entre los hosts "no confiables" y los servidores DHCP. 

También nos permite contar con una forma de diferenciar entre interfaces "no confiables" conectadas a usuarios finales e interfaces "confiables" conectadas a los servidores DHCP o a otro Switch.

Es posible configurar DHCP Snooping por Switch y por VLANs. Cuando se habilita el DHCP Snooping en un switch, una interface actúa como un bridge de capa 2 interceptando y salvaguardando los mensajes DHCP que se dirigen a una VLAN de capa 2. Cuando se habilita DHCP Snooping en una VLAN, el Switch actúa como un puente de capa 2 dentro del dominio de la VLAN.

El DHCP Snooping es necesario para prevenir los ataques de tipo "man-in-the-middle" en nuestras redes.  

Las redes modernas tienen el potencial para que un atacante intente instalar un DHCP Server falso y responder a los mensajes DHCPDISCOVER antes de que lo haga una servidor DHCP legítimo. El DHCP Snooping permite a los Switches en la red "confiar" en el puerto (la interface) al que está conectado el servidor DHCP legítimo (podría ser un puerto troncal) y "desconfiar" de los demás puertos.



También se mantiene una lista de asociaciones de direcciones DHCP que se logra inspeccionando el tráfico que fluye entre los clientes y el servidor DHCP, el cual provee certeza de quienes son los verdaderos hosts. La información de asociación recolectada por el DHCP Snooping es usada por otras características de seguridad como IPSG y DAI.



Los clientes se conectan a puertos "no confiables" (untrusted), todos los puertos son "no confiables" por defecto cuando se habilita el DHCP Snooping. Cuando la PC del cliente envía un mensaje DHCPDISCOVER y el DHCP Snooping está habilitado, el Switch solamente va a enviar el mensaje de broadcast DHCP a los puertos "confiables" (trusted).

En el ejemplo de la topología el Switch de distribución está actuando como DHCP Server. Un puerto "confiable" es el único puerto que tiene permitido enviar mensajes de repuesta DHCP como el DHCPOFFER.

Configurando DHCP Snooping en el Switch

Cuando se configura DHCP Snooping en el Switch, se está configurando el Switch para diferenciar entre interfaces "no confiables" e interfaces "confiables". Es necesario habilitar globalmente el DHCP Snooping antes de poder usarlo en una VLAN. Es necesario habilitar el DHCP Snooping independientemente de otras características de DHCP.
Una vez que está habilitado el DHCP Snooping, todos los comandos de configuración de opciones DHCP relay quedan deshabilitados, esto incluye a los siguientes comandos:

•ip dhcp relay information check
•ip dhcp relay information policy
•ip dhcp relay information trusted
•ip dhcp relay information trust-all

Para configurar DHCP Snooping puede usar estos comandos:



Comando

Propósito


Switch(config)# ip dhcp snooping 

Habilita DHCP snooping globalmente. Puede usar la palabra clave no para deshabilitar el DHCP snooping.


Switch(config)# ip dhcp snooping vlan number 
[number] | vlan {vlan range}]

Habilita DHCP snooping en una VLAN o en un rango VLAN


Switch(config-if)# ip dhcp snooping trust

Configura la interface como "confiable".

Puede usar la palabra clave no para configurar una interface para recibir mensajes como cliente "no cofiable".


Switch(config-if)# ip dhcp snooping limit rate 
rate

Configura el numero de paquetes DHCP por segundo (pps) que una interface puede permitir.1


Switch(config)# end 

Sale del modo de configuración.


Switch# show ip dhcp snooping 

Verifica la configuración de DHCP Snooping.


-----------------------
Post basado en el artículo: http://www.networksbaseline.in/search/label/DHCP Con aportes del editor del Blog y de las páginas:

http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-series-switches/prod_white_paper0900aecd802ca5d6.html

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configuration/guide/conf/dhcp.html#wp1073418

Traducido por José R. Torrico - Instructor Cisco Networking Academy

jueves, 10 de diciembre de 2015

Ciudades inteligentes: 3.300 MM de dispositivos conectados el 2018

 

Ciudades inteligentes utilizarán 3.300 millones de dispositivos conectados en 2018  

Las ciudades inteligentes utilizarán más de 1.600 millones de dispositivos conectados en 2016, un incremento del 39 por ciento en relación a 2015, de acuerdo con Gartner. 

La consultora estima que este año el total de dispositivos conectados en las ciudades alcanzará 1.197 millones al cierre de diciembre, de los cuales 377 millones corresponderán a edificios comerciales conectados, 260 millones a servicios públicos y 276 millones a transporte.

Hacia 2018, Gartner estima que habrá unos 3.332 millones de dispositivos conectados, de los cuales 1.064 millones corresponderán a edificios comerciales inteligentes, 1.073 millones a casas conectadas, 517 millones a transporte y 463 millones a servicios públicos.

“Los edificios comerciales conectados serán el segmento que más uso le dará al Internet de las Cosas (IoT) hasta 2017, cuando serán superados por las casas conectadas”, afirmó Bettina Tratz-Ryan, vicepresidente de Investigación de Gartner.

La ejecutiva afirma que en los edificios comerciales IoT permitirá reducir el costo de energía, administración de los espacios y mantenimiento de edificios cerca de un 30 por ciento. Por eso, se espera que estos sistemas despeguen a partir del año que viene.

En 2016 el uso de cámaras de seguridad, así como dispositivos LEDs indoor impulsarán el crecimiento de IoT, representando cerca del 24 por ciento del total de mercado para ciudades inteligentes. Sin embargo, a partir del 2018 serán las casas conectadas las que comiencen a cobrar protagonismo en el mercado.

En el segmento de casas conectadas, las aplicaciones que más estarán haciendo crecer el mercado de IoT son los televisores inteligentes, set-top-box inteligentes y otras herramientas como termostatos, sistemas de seguridad y dispositivos de cocina. El año que viene, los hogares conectados representarán cerca del 21 por ciento del total del uso de IoT en las ciudades inteligentes.

Tomado de: Telesemana.com

miércoles, 2 de diciembre de 2015

Aprovecha vacaciones y feriados, prepárate para certificar CCNA



Fin de año es un momento en el que muchas personas deciden tomar una vacación y muchas empresas suspenden sus actividades. También se pueden aprovechar muy bien algunos días de feriado por navidad y año nuevo. Es una oportunidad inmejorable para poder prepararse para un examen de certificación Cisco CCNA comenzando el 2016, ahora es un buen momento para programar tu tiempo de estudio y aquí te dejo algunos consejos:

1 - Proponte lograrlo, pon una meta

El primer paso es tomar una decisión y sostenerla en el tiempo. Si tu quieres certificar CCNA el primer paso es comprometerte, contigo mismo, a dedicar tiempo y esfuerzo a hacerlo. El compromiso con uno mismo es fundamental para lograr la meta, será el motor de tu motivación a estudiar. Tendrás que sacrificar varios fines de semana, feriados y algunas actividades de recreación. Sin embargo ten en mente que este es un proceso temporal y que una vez rendido el examen tendrás 3 años para poder disfrutar de los beneficios de ser un profesional certificado.

2 - Consigue un material adecuado

El material favorito en Latinoamérica es la Guía de preparación para la certificación CCNA del reconocido autor Argentino Oscar Gerometa, publicado por la editorial especializada Edubooks (http://www.edubooks.com.ar/). Este texto tiene el contenido teórico, los resúmenes, preguntas de entrenamiento y laboratorios necesarios para lograr una buena comprensión de los temas comprendidos en el examen de certificación. La guía ha sido desarrollada completamente en idioma español y está disponible en formato impreso (en algunos países) y en formato digital.

Los libros de CiscoPress son frecuentemente recomendados por personas que han certificado, sin embargo debes tener en cuenta que estos está disponibles únicamente en idioma inglés. 

Una herramienta siempre útil al final de proceso de preparación (digamos la última semana), es usar un simulador de examen CCNA. Simuladores hay varios en Internet y tienen un costo variable, desde unas decenas de dólares hasta mas de 100 dólares. Sin embargo he notado, últimamente, que empresas que antes ofrecían simuladores de exámenes de Cisco (Como Testking o Pass4sure) ahora ya no los tienen disponibles, habrá que buscar un poco.

3 - Aplica tu plan, trata de no modificarlo

Cuando ya tengas el material y tu tiempo planificado, métete de cabeza en tus estudios. El estudio debe ser continuo y sistemático. Trata de no hacer pausas durante el periodo de estudio. Es inevitable tener algún contratiempo durante el periodo de estudio o tener la necesidad de atender algún asunto familiar o de trabajo, sin embargo tu debes poner el esfuerzo necesario para recuperar las horas de estudio tan pronto como te sea posible, aún si esto signifique dormir un poco menos. Recuerda siempre que esta es una etapa corta, un proceso temporal.

Yo logré prepararme y rendir exitosamente exámenes de certificación mientras trabajaba, dictaba clases y dedicaba algo de tiempo al deporte y esparcimiento con la familia al mismo tiempo. Es posible, lo lograrás cuando ya te toque re-certificar o dar una examen de certificación mas avanzado a CCNA, el primero siempre cuesta un poco más porque es la primera experiencia rindiendo un examen, sin embargo siempre debes creer que lo lograrás.

4 - Contrata tu examen y ríndelo

No es bueno estudiar mucho tiempo y después que hayas leído completamente las guías de preparación y entrenado con un simulador de examen, entonces debes ya programar tu fecha y hora de examen. 

Cuando ya tengas la fecha de examen es tiempo de repasar los puntos importantes y de continuar entrenando con el simulador, especialmente aquellos temas donde tu sabes que necesitas reforzar. 

La noche previa al examen (o unos días antes) cierra tu periodo de preparación, esto es algo como un evento personal, felicitate a ti mismo por haber tomado esta decisión y haberte preparado, siéntete confiado en aprobar el examen y duerme bien. El día del examen toma todas las previsiones necesarias para llegar temprano al Testing Center y rendir el examen tranquilo.

Mientras rindas el examen olvídate de todo. Enfócate en cada pregunta del examen. Respira calmadamente y toma buena cantidad de aire en cada inspiración. No permitas que ningún pensamiento te distraiga, después del examen tendrás la oportunidad de atender todo lo que hubieras dejado pendiente por causa de tus estudios.

Te deseo todo el éxito del mundo!

Por José R. Torrico Gumucio
Instructor Cisco Networking Academy desde el 2006
Certificaciones CCNA / IINS / CCNP Switch 
Diciembre 2015 - Bolivia 

domingo, 29 de noviembre de 2015

Ciudades inteligentes: Cisco lanza Adelaida Smart City Studio

Sensores en la calle para alumbrado público y parqueo - Foto ilustrativa - Fuente: Internet

Cisco inaugura Adelaida Smart City Studio

El proyecto de Cisco tiene como objetivo posicionar a Adelaida como uno de las Smart Cities más avanzadas del mundo.

Para ello la empresa ha realizado. el lanzamiento de de Adelaida Smart City Studio que coloca a Australia entre los países líderes en el desarrollo de ciudades inteligentes.

Según Cisco, este lanzamiento marca un importante paso en un proyecto que comenzó hace 18 meses, cuando Adelaide en el programa Cisco Smart+Connected Communities patrocinado por el Ayuntamiento de Adelaida y el Gobierno de Australia del Sur.

La primera fase del proyecto incluye el despliegue de un conjunto de servicios de smarts cities que mejorarán la eficiencia de los activos de la ciudad, incluyendo el alumbrado público y el estacionamiento en la calle.

Actualmente Cisco está probando Wi-Fi público a través de socios locales, iiNet, así como la iluminación inteligente y aparcamiento con el socio de ecosistema global, Sensity.

La IoT en acción

El vicepresidente regional de Cisco, Ken Boal, dijo que la medida es un lanzamiento clave tanto para la ciudad de Adelaide cómo para la empresa y afirmó que el Smart City Studio conectará a la ciudad y sus empresas, los emprendedores y los ciudadanos a una amplia gama de oportunidades de la IoT.

El estudio estará conectado directamente al Cisco’s Internet of Everything innovation (IoE) alrededor del mundo, así como a otros centros de innovación locales en todo el país.

Esto permitirá a los innovadores de tecnología trabajar con otros centros de innovación locales y globales, así como desarrollar aplicaciones de la IoT y servicios que ayudarán a los ciudadanos en su vida cotidiana, así como de la ciudad para reducir sus gastos y manejar con eficiencia las operaciones, incluyendo la reducción de su impacto ambiental.

“Hay discusiones en curso con una serie de ciudades y consejos a través de A / NZ para entender mejor sus necesidades específicas, para que podamos desarrollar e implementar soluciones que permiten la prestación de nuevos servicios centrados en los ciudadanos y reducir los gastos e impulsar la eficiencia en las operaciones”, aseguró.

Comunidades conectadas

Por su parte, el vicepresidente senior de Smart+Connected Communities de Cisco, Anil Menon, indicó que el Adelaida Smart City Studio es un espacio que se dedicará a la innovación, en particular en lo que respecta a las aplicaciones y servicios innovadores que se pueden construir alrededor de la Internet de las Cosas (IoT).

Agregó que permitirá a los innovadores desarrollar, probar y comercializar la nueva generación de aplicaciones y servicios de la IoT.

“Como Ciudad Faro de Cisco, Adelaida es un banco de pruebas para la implementación de soluciones avanzadas de la IoE y de la IoT para la gestión de la infraestructura de la ciudad, además de ser una de las pocas listas para desarrollar nuevos servicios y soluciones urbanas piloto en beneficio de la experiencia del cliente y el ciudadano”, explicó Menon.

Destacó que el equipo de Smart + Connected Communities de Cisco considera Adelaida es un fantástico ejemplo de lo que las ciudades pueden aspirar a lograr.

Tomado de: http://www.cioal.com/2015/11/27/cisco-lanza-de-adelaida-smart-city-estudio/

jueves, 26 de noviembre de 2015

Internet a través de la luz: Li-Fi muestra su 'músculo' en la vida real


La tecnología Li-Fi de conexión inalámbrica, que podría revolucionar el uso de Internet, se ha sometido a sus primeras pruebas y ya ha demostrado que puede proporcionar velocidades que superan en 100 veces a que tenemos hoy en día.


El Li-Fi consiste en una conexión de luz visible ultraparalela que puede multiplicar los colores de la luz para generar una conexión de gran amplitud a larga distancia. Esta manera de difundir información podría complementar y, en algunos casos, sustituir a tradicional Wi-Fi, que se basa en ondas de radio.

En el laboratorio, este sistema inalámbrico alcanza velocidades de transmisión de hasta 224 gigabytes por segundo (GB/s) y, aunque en la vida real no es tan alta, sigue siendo 100 veces superior a la tasa promedia de transmisión de datos a través de Wi-Fi, que ronda 1 GB/s, según publica el diario 'The Daily Mail'.

El Li-Fi fue inventado en 2011 por un grupo de científicos de la Universidad de Edimburgo (Reino Unido) encabezado por Harald Haas, cuando demostraron que este sistema es capaz de transmitir más datos que una torre celular gracias a la luz parpadeante de un solo led (diodo emisor de luz).

La primera red de Li-Fi en el mundo real la instaló Velmenni, una empresa de Estonia. Actualmente, esta tecnología innovadora se está poniendo en práctica en algunas oficinas y en varios entornos industriales de Tallin, la capital del país.

Es poco probable que este sistema, que funciona de manera similar al código Morse, reemplace al Wi-Fi a corto plazo, pero en un futuro próximo podría permitir la creación de redes más rápidas y seguras.

Fuente: Russia Today

lunes, 16 de noviembre de 2015

IPv6: Implementando Dual Stack

Implementación de IPv6: Dual Stack

Por Oscar Gerometta

Quizás, la estrategia preferida para la transición hacia las arquitecturas IPv6 es dual-stack: cada nodo opera simultáneamente con IPv4 e IPv6. 

Esto permite una transición progresiva uno a uno manteniendo la operación de la red y permitiendo administrar las transiciones.

Es particularmente útil sobre todo porque algunas aplicaciones requieren ser modificadas para operar sobre IPv6 y de esta manera al mantener ambos stacks operativos las aplicaciones viejas o que aún están pendientes de ser actualizadas pueden seguir operando sin dificultades, mientras que las aplicaciones nuevas o actualizadas comienzan a operar preferentemente sobre IPv6.

Hay disponible una API (Application Programming Interface) que soporta requerimientos DNS para IPv4 e IPv6 y permite responder a diferentes situaciones:

  • Una aplicación que no soporta IPv6 o está forzada a utilizar IPv4, hace una solicitud DNS de un registro tipo A para IPv4.
    En consecuencia la aplicación enviará su solicitud de servicio utilizando IPv4 como protocolo de transporte. El servidor DNS responderá enviando exclusivamente la dirección IPv4 correspondiente al nombre que se consulta.
  • Una aplicación que soporta solamente IPv6 o prefiere utilizar IPv6 operará sobre IPv6.
    La aplicación envía una solicitud exclusivamente de un registro AAAA con lo que obtendrá una dirección IPv6.
    En consecuencia la aplicación establecerá la conexión con el servidor utilizando IPv6 como protocolo de transporte en capa de red.
    Esto también se aplica cuando el dispositivo solamente tiene una dirección IPv6 configurada.
  • Una aplicación que puede operar indistintamente con IPv4 o IPv6. Para cada nombre que debe resolver se envía una solicitud DNS que requiere los registros de ambos versiones de direcciones (IPv4 e IPv6).
    El servidor DNS responde enviando todas las direcciones IP disponibles (v4 y/o v6) que están asociadas a ese nombre.
    Ya con la información de ambos protocolos, es la aplicación la que elije utilizar una u otra. El comportamiento propuesto por defecto (RFC 3484) es utilizar la dirección IPv6, y por lo tanto operar con paquetes IPv6. Este comportamiento debiera ser posible de modificar a nivel del nodo.
Cisco IOS soporta la operación en modo dual-stack tan pronto como ambos protocolos están configurados en una interfaz. 

A partir de ese punto puede reenviar ambos tipos de tráfico.
 
Eso puede realizarse tanto cuando se asignan direcciones estáticas o por un proceso de configuración dinámica o de autoconfiguración.

Enlaces relacionados
Tomado de: http://librosnetworking.blogspot.com/2015/11/implementacion-de-ipv6-dual-stack.html

viernes, 6 de noviembre de 2015

ATT Bolivia promueve implementación IPv6

ATT PROMUEVE EL DESPLIEGE DE IMPLEMENTACION DEL IPv6 EN BOLIVIA

Este lunes 26 (Octubre/2015), las instalaciones de la Autoridad de Regulación y Fiscalización de Telecomunicaciones y Transportes – ATT,  fueron el escenario propicio para el Estudio Taller sobre “Despliegue de Implementación del IPv6 en Bolivia”, que contó con la participación internacional del personal del Registro de Direcciones de Internet para Latinoamérica y el Caribe – LACNIC,el Banco de Desarrollo de América  Latina - CAF y los representantes de los proveedores de acceso a internet: AXS, COMTECO, COTAS, TELECEL, COTEL, NUEVATEL y ENTEL, en coordinación con el Ente Regulador.
 
En este marco, se analizó la problemática que se genera cuando un equipo o dispositivo está conectada a Internet y necesita tener asignada una dirección IP (Protocolo de Internet) Versión 4 ó 6; las primeras de estas direcciones asignadas por LACNIC han ido agotándose debido al acelerado desarrollo del Internet en la región. De continuar por este camino, no existirán direcciones disponibles para asignar a los proveedores de este servicio.

 
Por ello, la transición a IPv6 es la única solución calificada como permanente ante esta situación para conectar billones de nuevos dispositivos, nuevos usuarios y tecnologías y sin la necesidad del uso de traducción de direcciones.
 
Las investigaciones internacionales determinaron que Bolivia ocupa el tercer lugar en nuestra región y el número veinte a nivel mundial, en cuanto avances en IPv6.

 
En el taller se analizaron indicadores relevantes generados en nuestro país, como la calidad de administradores de direcciones IP, así como el proceso paulatino de la implementación del protocolo IPv6.


 
Las experiencias exitosas de nuestro país y otros países servirán como ejemplo para la comunidad LACNIC, lo que permitirá lograr un diagnóstico más acertado sobre el estado de situación de los países de la región e identificar los principales problemas de la transición al IPv6.
 
La ATT, en el afán de impulsar nuestra soberanía tecnológica enmarcada en los pilares de la Agenda 2025 del gobierno del Presidente Evo Morales, continuará trabajando en este tipo de innovaciones.

Fuente: ATT Bolivia
 

domingo, 1 de noviembre de 2015

La Paz: Guías disponibles en la FIPAZ

Ya estamos en la FIPAZ 2015, puedes encontrar la famosa Guía de Preparación  CCNA R&S 200-120 de Oscar Gerometta

La FIPAZ estará hasta el 8 de Noviembre de 2015, encuentra tu guía en el Pabellón Amarillo, 2do Piso, Stand #162 - Precio de feria: 370 Bolivianos.

No dejes pasar esta oportunidad y certifica CCNA antes de fin de año!


miércoles, 28 de octubre de 2015

Conociendo Dynamic Multipoint VPN (DMVPN)


Por Jeremy Stretch

Operación de DMVPN


Una Dynamic Multipoint VPN (Red privada virtual multipunto dinámica) es una iteración evolucionada de los túneles "Hub and Spoke" (Note que DMVPN por si misma no es un protocolo, mas bien un concepto de diseño).

En una topología genérica "Hub and Spoke" se implementan túneles estáticos (usando típicamente GRE o IPSEC) entre un router "hub" ubicado en el centro y sus "Spokes" o satélites, los cuales generalmente conectan oficinas sucursales a la sede central. 

Cada nuevo "Spoke" requiere que se haga una configuración adicional en el router "Hub" y el tráfico entre los "Spokes" debe ser desviado a través del "HUB" para que salga de un túnel y luego ingrese en otro. Mientras que esta podría ser una solución aceptable a pequeña escala, se vuelve difícil de manejar cuando los "Spokes" van multiplicándose y creciendo en número.

DMVPN ofrece una solución elegante a este problema: Túneles GRE multipunto.

Recordemos que un túnel GRE encapsula paquetes IP con un encabezado GRE y un nuevo encabezado IP para poder transportar el paquete a través de una red no confiable.

Los túneles GRE punto a punto tienen exactamente dos extremos y cada túnel en el router requiere una interface virtual separada con su propia configuración independiente. 

Contrariamente, un túnel multipunto GRE permite que existan mas de dos extremos y es tratado como una red de acceso múltiple sin broadcast (NBMA).

Usemos esta topología de ejemplo:



Formación de túneles GRE multipunto:



Mientras que una configuración típica de "Hub and Spoke" requeriría tres túneles separados expandiéndose desde el router R1 hacia cada uno de los router "Spoke", el GRE multipunto permite que los cuatro routers puedan comunicarse usando una sola única interface túnel en la misma subred IP (192.168.0.0/24). Esta configuración NBMA es habilitada por el Next Hop Resolution Protocol el cual permite que los túneles multipunto sean construidos dinámicamente.

Next Hop Resolution Protocol (NHRP)


NHRP (definido en el RFC 2332) es el "catalizador" que facilita el establecimiento del túnel dinámico, al proveer una resolución de direcciones "túnel a interface física". Los clientes NHRP (los router "Spoke") realizan una solicitud al "next hop server" (NHS) (el router HUB) para obtener la dirección física de otro router "Spoke".



Es interesante notar que, en nuestro escenario, la designación como el NHS es el único atributo que distingue al router R1 como el router "Hub".

Configuración DMVPN


Comencemos por examinar la configuración del router R1:


interface FastEthernet0/0
 ip address 172.16.15.2 255.255.255.252
!
interface Tunnel0
 ip address 192.168.0.1 255.255.255.0
 ip nhrp map multicast dynamic
 ip nhrp network-id 1
 tunnel source 172.16.15.2
 tunnel mode gre multipoint

La primera cosa que seguramente notaremos es que el túnel no tiene un destino especificado explícitamente. Esto es porque los túneles multipunto son construidos dinámicamente desde los "Spokes" DMVPN hacia el router "Hub"; el router "Hub" no necesita tener preconfigurada las direcciones de los "Spokes".

También note que el modo de túnel ha sido designado como "GRE multipoint".

El comando ip nhrp network-id 1 identifica de manera única la red DMVPN, los túneles no se formarán entre routers con un ID diferente de red.

El comando ip nhrp map multicast dynamic habilita el reenvío de tráfico multicast a través del túnel a los "Spoke" dinámicos (lo cual es requerido por la mayoría de los protocolos de enrutamiento dinámico). 

La configuración de los router "Spoke" es muy similar a la del router "Hub". A continuación se presenta aquí la configuración tomada del router R2:

interface FastEthernet0/0
 ip address 172.16.25.2 255.255.255.252
!
interface Tunnel0
 ip address 192.168.0.2 255.255.255.0
 ip nhrp map 192.168.0.1 172.16.15.2
 ip nhrp map multicast 172.16.15.2
 ip nhrp network-id 1
 ip nhrp nhs 192.168.0.1
 tunnel source 172.16.25.2
 tunnel mode gre multipoint 

Ahora vemos dos nuevos comandos en comparación con los usados en el router "Hub". El comando ip nhrp nhs 192.168.0.1 designa a router R1 como el NHS (que es la única funcionalidad única del router "Hub"), y ip nhrp map 192.168.0.1 172.16.15.2 que mapea estáticamente la dirección NHS hacia la dirección física del router R1.


El comando ip nhrp multicast también difiere ligeramente de como está aplicado en el router "Hub" en que el tráfico de multicast está solamente permitido desde los "Spokes" hacia el "Hub", no desde un "Spoke" a otro "Spoke".


Después de completar la configuración de túnel en cada router, podemos verificar que las sesiones DMVPN se han establecido entre el router "Hub" y cada "Spoke":

R1# show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
    N - NATed, L - Local, X - No Socket
    # Ent --> Number of NHRP entries with same NBMA peer

Tunnel0, Type:Hub, NHRP Peers:3, 
 # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1     172.16.25.2     192.168.0.2    UP 00:57:47 D    
 1     172.16.35.2     192.168.0.3    UP 00:45:56 D    
 1     172.16.45.2     192.168.0.4    UP 00:45:46 D 

Tunelización Dinámica


Mientras que DMVPN sin duda provee una configuración ordenada, lo que resulta brillante  es su habilidad para establecer dinámicamente túneles "Spoke" a "Spoke". 

En una configuración típica de una topología "Hub and Spoke", un paquete destinado desde R2 a R4 necesitaría ser enrutado a través del router R1, salir del túnel R2 y ser re-encapsulado para ingresar en el túnel R4.

Claramente un mejor camino se encuentra a través de R5 y DMVPN nos permite tomar esta ventaja.

Vea en esta captura de paquetes el tráfico desde R2 a R4. El tráfinco inicialmente sigue el camino a través de R1 como se describió previamente, mientras un túnel dinámico se esta construyendo desde R2 a R4 usando NHRP. Luego que el nuevo túnel se ha establecido, el tráfico fluye a través de él, obviando completamente el router R1. Podemos ver que un nuevo túnel se ha establecido luego que se ha detectado tráfico destinado para R4:


R2# show dmvpn
...

Tunnel0, Type:Spoke, NHRP Peers:1, 
 # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1     172.16.15.2     192.168.0.1    UP 01:08:02 S

R2# ping 192.168.0.4

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/37/56 ms

R2# show dmvpn
...

Tunnel0, Type:Spoke, NHRP Peers:2, 
 # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1     172.16.15.2     192.168.0.1    UP 01:08:27 S    
 1     172.16.45.2     192.168.0.4    UP 00:00:03 D 

Note que el túnel a R4 ha sedo marcado como dinámico, en contraste con el túnel estático hacia el Hub/NHS.

Añadiendo cifrado

Hasta este punto los túneles han sido configurados como texto plano por simplificar el ejemplo, pero en el mundo real probablemente quisiéramos incluir protección IPsec a los túneles que atraviesan rutas no confiables.

Afortunadamente, la solución es tan simple como aplicar una política de protección IPsec a la interface túnel en cada router. Aquí se presenta un perfil IPsec usando una llave ISAKMP pre-compartida para demostración:

crypto isakmp policy 10
 authentication pre-share
crypto isakmp key P4ssw0rd address 172.16.0.0 255.255.0.0
!
crypto ipsec transform-set MyTransformSet esp-aes esp-sha-hmac
!
crypto ipsec profile MyProfile
 set transform-set MyTransformSet
!
interface Tunnel0
 tunnel protection ipsec profile MyProfile

Después de reiniciar las interfaces de túnel, podemos ver que las sesiones DMVPN ha sido reconstruidas mostrando esta vez encriptación. 


R1# show dmvpn
...

Tunnel0, Type:Hub, NHRP Peers:3, 
 # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1     172.16.25.2     192.168.0.2    UP 00:02:28 D    
 1     172.16.35.2     192.168.0.3    UP 00:02:26 D    
 1     172.16.45.2     192.168.0.4    UP 00:02:25 D

R1# show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
172.16.15.2     172.16.35.2     QM_IDLE           1002    0 ACTIVE
172.16.15.2     172.16.25.2     QM_IDLE           1001    0 ACTIVE
172.16.15.2     172.16.45.2     QM_IDLE           1003    0 ACTIVE


 ----------------------------------------------------------
Post Original: http://packetlife.net/blog/2008/jul/23/dynamic-multipoint-vpn-dmvpn/

Traducción por: José R. Torrico Gumucio - Instructor Cisco Networking Academy

sábado, 24 de octubre de 2015

Ultimos días de Feria!

Aprovecha los últimos días de la feria y los precios de Feria!

Desde el próximo Lunes 26 estamos subiendo el costo de las guías para poder utilizar un mejor servicio de Courier en los despachos de las guías a las diferentes ciudades de Bolivia.

Guía de Preparación para la Certificación CCNA R&S 200-120 (Nuevo) - Oscar Gerometta - 340 Bolivianos (Precio de feria) - Mas info sobre esta publicación aquí: http://librosnetworking.blogspot.com/2015/01/guia-de-preparacion-ccna-r-200-120-v51.html

* Configuración de dispositivos ASA (Nuevo) - Oscar Gerometta - AGOTADO



CCNP R&S Certification Guide (2da mano, penultima versión) - Cisco Press - 450 Bolivianos los 3 libros

CCNP R&S Foundation Learning Guide (2da mano, penultima versión) - Cisco Press - 450 Bolivianos los 3 libros


* CCNA Routing and Switching 200-120 Official Cert Guide Library (Nuevo, Versión ACTUAL, Tapa dura) - AGOTADO


Cisco ASA: All-in-one Next-Generation Firewall, IPS, and VPN Services, 3rd Edition  (2da mano, tapa blanda) - 550 Bolivianos - Mas info sobre esta publicación aquí: http://www.ciscopress.com/store/cisco-asa-all-in-one-next-generation-firewall-ips-and-9781587143076

VoIP Performance Management and Optimization ("Como nuevo", tapa blanda) - 600 Bolivianos - Mas info sobre esta publicación aquí: http://www.ciscopress.com/store/voip-performance-management-and-optimization-9780133433609

End-to-End QoS Network Design: Quality of Service for Rich-Media & Cloud Networks, 2nd Edition ("Como nuevo", tapa dura) -  700 Bolivianos - Mas info sobre esta publicación aquí: http://www.ciscopress.com/store/end-to-end-qos-network-design-quality-of-service-for-9781587143694

Data Center Virtualization Fundamentals: Understanding Techniques and Designs for Highly Efficient Data Centers with Cisco Nexus, UCS, MDS, and Beyond ("Como nuevo", tapa blanda) - 550 Bolivianos  - http://www.ciscopress.com/store/data-center-virtualization-fundamentals-understanding-9781587143243



Mas información sobre la FIL Cochabamba aqui

Consultas: libros.networking.bolivia@gmail.com

sábado, 17 de octubre de 2015

Precios de feria: Ya estamos en la Feria Internacional del Libro de Cochabamba


Ya estamos listos en la Feria Internacional del Libro de Cochabamba! - La feria está abierta hasta el Domingo 25 de Octubre.

Consulta los horarios de la Feria y los buses GRATIS aquí: http://ccnabolivia.blogspot.com/2015/10/feria-del-libro-cochabamba-buses-gratis.html

Tenemos oferta de libros de Cisco nuevos y de 2da mano:


Estamos en el Stand 99 y 100 de la feria, prácticamente al lado de la puerta de ingreso.


Los precios de los libros EN LA FERIA te los dejamos a continuación:


Guía de Preparación para la Certificación CCNA R&S 200-120 (Nuevo) - Oscar Gerometta - 340 Bolivianos (Precio de feria) - Mas info sobre esta publicación aquí: http://librosnetworking.blogspot.com/2015/01/guia-de-preparacion-ccna-r-200-120-v51.html

Configuración de dispositivos ASA (Nuevo) - Oscar Gerometta - 80 Bolivianos - Mas info sobre esta publicación aquí: http://librosnetworking.blogspot.com/2012/07/configuracion-de-dispositivos-cisco-asa.html


CCNP R&S Certification Guide (2da mano, penultima versión) - Cisco Press - 450 Bolivianos los 3 libros

CCNP R&S Foundation Learning Guide (2da mano, penultima versión) - Cisco Press - 450 Bolivianos los 3 libros


CCNA Routing and Switching 200-120 Official Cert Guide Library (Nuevo, Versión ACTUAL, Tapa dura) - Cisco Press - 800 Bolivianos los dos libros - Mas info sobre esta publicación aquí: http://www.ciscopress.com/store/ccna-routing-and-switching-200-120-official-cert-guide-9781587143878


Cisco ASA: All-in-one Next-Generation Firewall, IPS, and VPN Services, 3rd Edition  (2da mano, tapa blanda) - 550 Bolivianos - Mas info sobre esta publicación aquí: http://www.ciscopress.com/store/cisco-asa-all-in-one-next-generation-firewall-ips-and-9781587143076

VoIP Performance Management and Optimization ("Como nuevo", tapa blanda) - 600 Bolivianos - Mas info sobre esta publicación aquí: http://www.ciscopress.com/store/voip-performance-management-and-optimization-9780133433609

End-to-End QoS Network Design: Quality of Service for Rich-Media & Cloud Networks, 2nd Edition ("Como nuevo", tapa dura) -  700 Bolivianos - Mas info sobre esta publicación aquí: http://www.ciscopress.com/store/end-to-end-qos-network-design-quality-of-service-for-9781587143694

Data Center Virtualization Fundamentals: Understanding Techniques and Designs for Highly Efficient Data Centers with Cisco Nexus, UCS, MDS, and Beyond ("Como nuevo", tapa blanda) - 550 Bolivianos  - http://www.ciscopress.com/store/data-center-virtualization-fundamentals-understanding-9781587143243

Consultas: libros.networking.bolivia@gmail.com

miércoles, 14 de octubre de 2015

Feria del Libro Cochabamba - Buses gratis para ir a la feria

La organización de la Feria Internacional de Libro de Cochabamba ha dispuesto el servicio de buses gratuitos que partirán de 4 puntos de la ciudad, aquí los horarios

Plaza Colón



Plaza Corazonistas



Parque Kanata



Jardín Botánico


Costo de las entradas y horarios:

 

 Fuente: Facebook de la FIL 2015 Cochabamba

lunes, 12 de octubre de 2015

Subnetting en IPv6


Por Oscar Gerometta

Diseño de subredes en IPv6

Cuando abordamos el diseño de redes IPv6 inevitablemente surge el tema del "cálculo de subredes IPv6". 

Durante un tiempo me he resistido a hablar de este tema. Esta resistencia de mi parte tiene un motivo claro: Cuando mencionamos el término "subred" automáticamente todos los que hemos trabajado redes IPv4 pensamos en los mecanismos habituales de cálculo de la máscara de subred en función de cantidad de nodos y cantidad de subredes necesarias e intentamos trasladar esos conceptos al marco del nuevo protocolo. Esto no es aplicable a IPv6. En IPv6 no existe la máscara de subred.

IPv6 es un protocolo diferente de IPv4, una evolución ciertamente, pero una evolución importante que incorpora una multitud de conceptos nuevos que apuntan a resolver las dificultades que ha presentado IPv4 en los últimos 30 años:

  • IPv6 incorpora un espacio de direccionamiento más amplio.
    Esto a veces hace pensar en un espacio de direccionamiento inagotable, y si bien no estoy de acuerdo con esa afirmación, no podemos negar que la cantidad de direcciones posibles es claramente muy grande.
  • IPv6 incorpora múltiples tipos de direcciones de unicast que no están presentes en IPv4: link local, unique local y globales.
  • En el diseño mismo de las direcciones globales IPv6 se considera una estructura jerárquica tripartita: red global | red local | nodo.
  • La nomenclatura estándar adoptada para las direcciones utiliza 32 dígitos hexadecimales (cada dígito represente 4 bits) separados en 8 campos de 4 dígitos cada uno.
  • IPv6 incorpora nuevos mecanismos de asignación de configuración y de ID de nodo. Asignación stateless de configuración y autoconfiguración de la porción de nodo.

Un tema importante: los diferentes tipos de direcciones de unicast

En IPv6 hay 3 tipos básicos de direcciones unicast: link local, unique local y globales.

De estos 3 tipos, las que se suelen tomar como referencia son las direcciones globales. 

Estas direcciones tienen una estructura jerárquica de 3 niveles como ya dije, sin que el RFC indique que cada uno de esos niveles tenga asignada una longitud obligatoria. El único límite son los 128 bits.

Sin embargo, en la implementación concreta del direccionamiento global se recomienda observar algunas prácticas:
  • Al llamado identificador de red global se recomienda asignar un total de 48 a 56bits.
    Sobre esta base, los organismos regionales de asignación de direcciones suelen asignar prefijos de hasta /32 bits a los ISPs (en algunos casos incluso prefijos más cortos) con la recomendación de que se utilicen prefijos /48 o /56 para los clientes corporativos. De esta manera se aseguran que toda la red de un ISP pueda ser sintetizada (sumarizada) en un único prefijo /32 o menor.
  • Por otra parte, se sugiere que el identificador de red local sea un /64, de modo tal que en una red corporativa se pueden utilizar 8 o 16 bits para identificar la red local, permitiendo dividir de esta manera la red corporativa en 256 o 65536 redes internas que se publican como una sola red /56 o /48 hacia el ISP.
  • Finalmente se sugiere que los últimos 64 bits se reserven para el identificador de nodo.



De esta forma, sin necesidad de definir una márcara de subred, la estructura misma de la dirección IP y los mecanismos de asignación de direcciones globales dejan entre 8 y 16 bits para la división interna de la red en subredes o redes locales.


¿Por qué dejar 64 bits para el identificador de nodo?


Para quienes estamos acostumbrados a trabajar en la escasez propia de IPv4, utilizar 64 bits para identificar el nodo puede parecer un exceso. Pero debemos recordar que IPv6 no está diseñado a partir de la escasez sino de la funcionalidad y la practicidad.

Entre las funciones nuevas que introduce IPv6 están las direcciones de link local y el proceso de autoconfiguración stateless. En ambos casos se recurre a la generación automática de un identificador de nodo único dentro del segmento sin necesidad de intervención del Administrador al que denominamos autoconfiguración del ID de nodo.

Hay 2 mecanismos definidos con este propósito:
  • EUI-64, que opera a partir de la dirección MAC de la interfaz.
  • ID Privado, que se genera a partir de una variable pseudo random.
En ambos casos el ID de nodo que se genera automáticamente es un ID de 64 bits de longitud. Por este motivo la recomendación es dejar 64 bits para el ID de nodo siempre.  

Si no lo hiciéramos no se podrían utilizar los procedimientos de autoconfiguración y sería necesario recurrir a la configuración estática de las interfaces o a la implementación obligatoria de DHCPv6.

¿Cómo habría que diseñar las subredes entonces?


Si tenemos en cuenta lo dicho hasta aquí, tomemos un ejemplo para hacer el diseño del direccionamiento de redes locales (subredes).

Supongamos el el ISP ALFA ha recibido del organismo regional correspondiente el prefijo

2001:abcd::/32

La empresa BETA solicita a nuestro ISP un espacio de direccionamiento global, como consecuencia de lo cual se le asigna el prefijo

2001:abcd:a1::/48

Sobre la base de este prefijo, el Administrador de la red necesita definir 8 redes locales o subredes, las que podría hacer de la siguiente manera:

2001:abcd:a1:0::/64   Gestión de la red
2001:abcd:a1:1::/64   Telefonía
2001:abcd:a1:2::/64   Red inalámbrica interna
2001:abcd:a1:3::/64   Red inalámbrica de visitantes
2001:abcd:a1:4::/64   Ventas
2001:abcd:a1:5::/64   Administración
2001:abcd:a1:6::/64   Gerencia
2001:abcd:a1:7::/64   Operaciones

De esta manera:
  • Contamos con una red diferente para cada una de las áreas de la empresa.
  • Tenemos la posibilidad de crecer con nuevas redes en la medida en que se requiera, sin que esto signifique una dificultad o requiera rediseño.
  • La Empresa publica una única ruta global hacia el ISP (2001:abcd:a1::/48).
  • El ISP publica una única ruta global hacia Internet (2001:abcd::/32).
  • Internamente se puede implementar autoconfiguración en aquellos dispositivos que no requieran configuración estática o que no soporten o que por política no sea necesario que reciban configuración por DHCPv6.
  • El cuarto campo de la dirección IP identifica claramente la red local a la que pertenece cada IP.
  • No son necesarios cálculos de máscaras de subred de ningún tipo.
Enlaces relacionados
Tomado de: http://librosnetworking.blogspot.com/2015/10/diseno-de-subredes-en-ipv6.html