1 de mayo de 2016

ip helper-address

Muchos estamos habituados a implementar servicios DHCP proxy, y en dispositivos Cisco IOS eso significa utilizar el comando ip helper-address. Sin embargo, este comando ofrece mucho más que sencillamente un servicio de proxy para servicios DHCP.

¿Qué es un DHCP proxy?
En redes extensas o con múltiples subredes en la que se debe atender solicitudes de  clientes DHCP es habitual que el servidor DHCP se encuentre centralizado.
Sin embargo esto implica una dificultad ya que las solicitudes DHCP se realizan en formato de broadcast (en redes IPv4), y como todos sabemos, los paquetes de broadcast no son reenviados por los dispositivos de capa 3. Esto significa que una solicitud DHCP no va más allá del segmento de red en el cual se encuentra el cliente que la genera, ¿cómo podría entonces alcanzar un servidor que se encuentra en una red o segmento de red diferente?
Para esto se utiliza un DHCP proxy. El proxy recibirá la solicitud en formato de broadcast y la convertirá en un paquete unicast cuya dirección destino será la del servidor. De esta manera la solicitud se convierte en completamente ruteable y podrá alcanzar el servidor con la única condición de que exista ruta que permita llegar a esa dirección de destino.

ip helper-addreess
En redes Cisco IOS esto se puede implementar utilizando el comando ip helper-address en cliente que requiere una configuración IP utilizando DHCP. Sin embargo este comando no solamente reenvía solicitudes DHCP.
Varios servicios críticos para el funcionamiento de la red utilizan broadcast como DHCP: TACACS, DNS, TFTP, NetBios, etc.; y es común que en redes complejas y extensas estos la interfaz que opera como default-gateway del segmento de red en el que se encuentra el servidores se encuentren en un área de red específica, en otro segmento de red. Esto implica que es necesario enrutar solicitudes de todos estos servicios, que en su definición original se propagan por broadcast.
Esta es la situación a la que responde el comando helper-address; permite que los routers actúen como proxies al reenviar solicitudes de estos servicios que corren sobre UDP.
El router recibe las solicitudes UDP en formato de broadcast y las reenvía como paquetes unicast a una dirección IP específica. También puede reenviarlas a una red o subred en particular.
El comando ip helper-address reenvía por defecto 8 servicios UDP: Time, TACACS, DNS, DHCP server, DHCP client, TFTP, NetBios name service y NetBios datagram service.

Router#configure terminal
Router(config)#interface GigabitEthernet 0/0
Router(config-if)#ip helper-address 172.18.1.3
    Reenvía el tráfico de servicios UDP que se recibe a través de la interfaz GigabitEthernet a la dirección 172.18.1.3 . Este comando se puede repetir si es necesario direccionar hacia más de un servidor.
Router(config-if)#ip helper-address 172.18.1.255
    Reenvía el tráfico de servicios UDP que se recibe a través de la interfaz Fastethernet a la subred 172.18.1.0/24. Esta es la forma de aplicación cuando los diferentes servicios no están en una única dirección IP sino en varias de un mismo segmento de red, como ocurre en una granja de servidores.
Router(config-if)#interface GigabitEthernet 0/1
Router(config-if)#ip directed-broadcast

    Cuando se direccionan los servicios UDP a una granja de servidores, es preciso indicar a la interfaz del router que da acceso a la graja de servidores que los servicios que recibe redirigidos a una dirección de broadcast (p.e. 172.18.1.255), debe encapsularlos como broadcast de capa 2 para que entonces puedan ver la petición todos los nodos de la subred.
Router(config-if)#exit
Router(config)#ip forward-protocol udp 517 

    Agrega a la lista de 8 servicios que se reenvían por defecto, el tráfico de UDP que está dirigido al puerto 517.
Router(config)#no ip forward-protocol udp 49 

    Retira de la lista de servicios que se reenvían, el tráfico de TACACS (puerto 49).

Esta configuración puede verificarse utilizando el comando show ip interfaces


Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


20 de abril de 2016

Unidades de medición de datos

En los tiempos de Big Data y el crecimiento de los sistemas de almacenamiento, es bueno recordar algunos elementos básicos de las unidades de medición que se utilizan en la industria y su notación.

¿Bits o Bytes?
En primer lugar debemos tener presenta la diferencia entre bits o bytes.
Bits es la unidad de medición utilizada en los sistemas de transporte de datos. Es la unidad utilizada, por ejemplo, para expresar la capacidad de una conexión a Internet. Un bit refiere a un solo dígito binario y su símbolo es una "b" minúscula:

1 bit = 0

Byte es la unidad de medición utilizada en los sistemas de almacenamiento de datos digitales. Es la unidad que utilizamos para dimensionar memorias, discos rígidos y archivos. Un byte es un conjunto de 8 bits y su símbolo es una "B" mayúscula.

1 Byte = 01010101

1 Byte = 8 bits


En el mundo de los bits
La capacidad creciente de las redes de transporte digitales ha dado lugar a la aparición de nuevas unidades para expresar de modo más simple volúmenes muy grandes de información:

1 Kb (Kilobit)     = 1.000 bits
1 Mb (Megabit)  = 1.000 Kb = 1.000.000 bits
1 Gb (Gigabit)   = 1.000 Mb = 1.000.000.000 bits
1 Tb (Terabit)    = 1.000 Gb = 1.000.000.000.000 bits
1 Pb (Petabit)    = 1.000 Tb = 1.000.000.000.000.000 bits
1 Eb (Exabit)     = 1.000 Pb = 1.000.000.000.000.000.000 bits
1 Zb (Zettabit)   = 1.000 Eb = 1.000.000.000.000.000.000.000 bits
1 Yb (Yottabit)   = 1.000 Zb = 1.000.000.000.000.000.000.000.000 bits

Estas son medidas de capacidad, no de velocidad. Pero solemos convertirlas en medidas de "velocidad" cuando referimos la cantidad de datos que pueden ser transmitidos en la unidad de tiempo.
Por ejemplo 10 Gbps (Gigabits por segundo) o 10 Gb/s.
Sin embargo debemos tener presente que esta unidad propiamente indica la cantidad de bits binarios que pueden ser transmitidos en un segundo, no la velocidad a la que esos datos son transmitidos.

El universo de los bytes
La capacidad de almacenamiento y el tamaño de los archivos también es creciente, y en este sentido también se han introducido nuevas expresiones para simplificar las referencias. Sin embargo, en este caso no se escala de 1000 en 1000, sino de 1024 en 1024.

1 KB (Kilobyte)    = 1.024 Bytes
1 MB (Megabyte) = 1.024 KB  = 1.048.576 Bytes
1 GB (Gigabyte)   = 1.024 MB = 1.073.741.824 Bytes
1 TB (Terabyte)    = 1.024 GB = 1.099.511.627.776 Bytes
1 PB (Petabyte)    = 1.024 TB = 1.125.899.906.842.624 Bytes
1 EB (Exabyte)     = 1.024 PB = 1.152.924.504.606.846.976 Bytes
1 ZB (Zettabyte)   = 1.024 EB = 1.180.591.620.717.411.303.424 Bytes
1 YB (Yottabyte)   = 1.024 ZB = 1.208.925.819.614.629.174.706.176 Bytes

Los sistemas operativos de escritorio, al expresar la velocidad a la cual se descarga, copia o mueve un archivo, hacen referencia al volumen del archivo mismo y por lo tanto lo expresan en Bps, no en bps.

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


19 de abril de 2016

Las interfaces del wireless LAN controller

Cuando intentamos comprender cómo opera un WLC (Wireless LAN Controller), uno de los puntos complejos a resolver es la relación entre WLANs, VLANs, Interfaces y Puertos. Una serie de elementos que aparecen en la configuración del controlador y cuya relación no siempre nos queda del todo clara.
Por eso me pareció interesante dedicar algo de atención al tema de las interfaces del controlador, un elemento central de su operación y que no siempre conocemos con precisión.

En primer lugar debemos considerar que en los controladores AireOS de Cisco Systems hay 2 tipos diferentes de interfaces: interfaces estáticas e interfaces dinámicas.

Interfaces estáticas
Se trata de interfaces de red lógicas que permiten recibir y enviar diferente tipo de tráfico (según su función) desde y hacia la red cableada. Estas interfaces pueden o no estar directamente vinculadas a un puerto físico del controlador y se encuentran definidas en la misma estructura lógica del dispositivo. No son definibles por el Administrador.
Las interfaces estáticas del controlador AireOS son las siguientes:
  • Interfaz de Management
    Es la utilizada por defecto para la gestión in-band del controlador.
    Es el origen y destino del tráfico del controlador hacia y desde diferentes servicios de la red tales como RADIUS y otros.
    También es la interfaz utilizada para la comunicación entre controladores que conforman un mismo grupo de movilidad o de RF.
    Es la interfaz que utiliza el controlador para la comunicación hacia y desde los access points y la que opera como origen y destino de los túneles CAPWAP que genera con cada access point asociado.
    Generalmente se le asigna una dirección IP de una subred dedicada a la operación del controlador y access points. Por defecto está asociada a la VLAN 0 que es la VLAN nativa en el caso del controlador.
  • Interfaz Virtual
    Interfaz para uso interno de la operación del controlador que interviene en procesos específicos. Se utiliza específicamente como dirección de DHCP relay para el servicio DHCP; también es la dirección del portal web de autenticación cuando se activa autenticación web con el portal interno del controlador; y es la dirección utilizada para la gestión de movilidad (roaming) de un cliente entre múltiples controladores.
    Se sugiere asignarle una dirección IP no ruteable, en muchos casos se utiliza para ella la IP 1.1.1.1. Por defecto está asociada a la VLAN 0 (nativa) del controlador.
  • Interfaz de Servicio
    Es la interfaz lógica asociada al puerto de servicio que se utiliza para la gestión out-of-band del controlador.
    Esta interfaz no soporta tráfico IEEE 802.1Q.
    Se sugiere que se utilice una subred diferente de la utilizada en la interfaz de management. Habitualmente se utiliza una dirección IP de la subred de gestión.
    Esta interfaz no soporta la configuración de default-gateway, por lo que si se desea hacer gestión remota del dispositivo es necesario asociar a la interfaz una ruta default estática hacia el gateway.


Interfaces dinámicas

Las interfaces dinámicas reciben también, en algunos casos, el nombre de interfaces VLAN. Son las interfaces definidas por el Administrador.
Son las interfaces en las que se mapean las redes inalámbricas (WLAN) a las diferentes redes en la infraestructura cableada (VLAN).
Su definición responde a ciertas reglas:
  • Múltiples WLANs pueden ser mapeadas a una única interfaz dinámica, y en consecuencia a una misma VLAN.
  • Múltiples interfaces dinámicas pueden ser asociadas a un mismo puerto físico (es el puerto a través del cual ingresará y saldrá el tráfico perteneciente a esa interfaz).
  • Cada interfaz dinámica puede ser asociada a un único puerto físico.
Estas interfaces dinámicas pueden actuar también como relay DHCP para los clientes inalámbricos asociados a los respectivos SSIDs.

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


9 de abril de 2016

¿Qué es Meraki?

En diciembre del año 2012 Cisco adquirió una empresa declarando que su propósito era proveer una solución de redes escalable y fácil de implementar. Sobre la compra inicial Cisco incorporó recursos de investigación y desarrollo con el propósito de lograr un producto de nube de próxima generación.
Desde ese entonces Meraki es parte del portafolios de productos de Cisco, aunque una parte casi desconocida. Muchos creen que se trata de una propuesta de red inalámbrica alternativa a la red Aironet tradicional, pero en realidad es mucho más.

¿Qué es Meraki?
Meraki es una oferta de NaaS (Network as a Service) innovadora que desplaza el plano de gestión de los dispositivos de la red a un servicio de nube brindado desde los data centers de Meraki. Hardware y tráfico de datos en instalaciones de la empresa, gestión desde la nube.



¿Cuál es la oferta de Meraki?
Meraki cubre los requerimientos de una infraestructura de red completa a partir de 3 diferentes tipos e dispositivos:
  • Access Points
    Quizás el dispositivo más conocido. Se trata de una línea completa de dispositivos indoor y outdoor que permiten un despliegue rápido de una red inalámbrica de nivel enterprise.
  • Switches
    Switches tipo enterprise capa 2 y 3, de entre 8 y 48 puertos, para el despliegue de la red de acceso cableado con capacidad PoE.
  • Apliance de seguridad
    Dispositivo de acceso WAN que reúne en un único equipo las prestaciones de un router, un firewall statefull de próxima generación, terminador de VPNs IPsec, IPS de próxima generación, etc. Un gateway de la LAN hacia la WAN o hacia Internet con capacidad de inspección de aplicaciones e implementación de políticas de seguridad avanzadas.
A estos productos de hardware se suma el Systems Manager, que es una especie de cliente instalable en dispositivos terminales (Mac OSX, Microsoft, iOS o Android) que permite tener gestión y monitoreo remoto desde la nube de los terminales de la empresa. Incluye prestaciones como la de acceso de escritorio remoto, posibilidad de instalación remota de aplicaciones y borrado remoto de información almacenada en el dispositivo. Un gestor de terminales corporativas.

Estos dispositivos de hardware instalados en las facilidades de la empresa y las terminales que operan con Systems Manager, son administrados desde un sistema de gestión que opera en la nube de Meraki y que se accede con cualquier navegador web, desde cualquier ubicación.
Para dar soporte a este despliegue el servicio implementa:
  • 5 data centers distribuidos en diferentes regiones que operan en redundancia en caliente asegurando una disponibilidad mínima del 99,99% anual.
  • Los datos de cada cliente se encuentran replicados, en tiempo real, en al menos 3 de estos 5 data centers.
  • Acceso seguro con doble verificación incluyendo llaves RSA.
  • Toda la información del cliente (configuraciones, claves, etc., NO datos de los usuarios) se almacena encriptada.
Algunas características de la red Meraki
  • Solamente el tráfico de gestión de los dispositivos va a la nube de Meraki. El tráfico de datos de los usuarios se resuelve localmente y en ningún momento pasa por la nube.
  • Si se interrumpe el acceso a la red de Meraki por algún motivo, el tráfico local sigue sin complicaciones quedando limitada solamente la posibilidad de realizar cambios de configuración o monitorear la red.
  • En el caso de interrupciones en la conexión con la red, la información de estadísticas de tráfico y otras similares se almacena localmente hasta que se retome la conexión y se pueda descargar a la nube.
  • El hardware Meraki sólo puede ser operado desde la nube Meraki.
  • La nube Meraki solo opera hardware Meraki.
  • La asociación del hardware a la interfaz web del cliente se hace utilizando el número de serie del dispositivo.
  • Es posible el despliegue mixto de tecnologías, por ejemplo, switches Catalyst con access points Meraki. En este caso la nube Meraki solamente gestiona los access points.
  • Las prestaciones del sistema son de nivel enterprise avanzado. Incluye por ejemplo servicios de localización en tiempo real, reporting, filtrado y monitoreo a nivel de usuarios o aplicaciones, etc.
Para ampliar:

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


26 de marzo de 2016

IPv6: Asignación de bloques de direcciones

El siguiente es el video en el canal de YouTube que corresponde al Power Point que publicara en http://librosnetworking.blogspot.com.ar/2016/02/ipv6-asignacion-de-bloques-de.html

Corresponde al webinar que tuvo lugar el 18 de febrero pasado (no es la grabación del webinar, sino que es una nueva presentación). En aquella ocasión definí como objetivo para este seminario revisar los criterios para la asignación de direccionamiento IPv6 en redes corporativas.



Sobre el tema hay varios posts adicionales que pueden enriquecer tu comprensión:


Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


24 de marzo de 2016

Cisco anunció la actualización de la certificación CCNP Wireless

Cisco ha anunciado una nueva revisión de la certificación Cisco Certified Network Professional Wireless que ahora cuenta con 4 nuevos cursos oficiales y exámenes.
De esta manera, los técnicos wireless de nivel profesional contarán ahora con una certificación que acredita conocimientos en las últimas tecnologías y estándares disponibles en el mercado y en sintonía con el proceso de digitalización creciente y la extensión de IoE.

Los cambios realizados en los contenidos de la certificación pueden revisarse en el documento CCNP Wireless Exam Revisions.

Los nuevos exámenes
Cuatro nuevos exámenes reemplazan los vigentes hasta el momento:
  • 300-360 WIDESIGN
  • 300-365 WIDEPLOY
  • 300-375 WISECURE
  • 300-370 WITSHOOT
Los exámenes actuales estarán disponibles hasta el 21 de septiembre de 2016, por lo que quienes están preparando en este momento alguno de estos exámenes tienen hasta esa fecha para aprobarlo.
Por otra parte, quienes ya tienen alguno de los exámenes aprobados y necesitan completar la secuencia de 4 para obtener la certificación cuentan con una herramienta de migración que pueden consultar en línea para revisar cómo se complementan los exámenes. En términos generales la correspondencia de los exámenes en retirada y los nuevos es la siguiente:
  • 300-360 WIDESIGN
    Reemplaza a 640-732 CUWSS
  • 300-365 WIDEPLOY
    Reemplaza a 640-742 IUWVN
  • 300-375 WISECURE
    Reemplaza a 640-737 WISECURE
  • 300-370 WITSHOOT
    Reemplaza a 640-747 IUWMS
Hasta el 21 de septiembre próximo es posible elegir rendir unos u otros indistintamente. Cualquiera de los exámenes que se retiran y que haya sido aprobado a esa fecha da los créditos correspondientes al nuevo examen, en orden a obtener la certificación.

Nuevos entrenamientos
Las nuevas certificaciones están acompañadas de nuevos entrenamientos oficiales que estarán disponibles a través de los Cisco Learning Partners en fecha que aún no ha sido anunciada:
  • Designing Cisco Wireless Enterprise Networks (WIDESIGN) 1.0
    Un entrenamiento de 40 hs. previsto para ser dictado en 5 días.
    Ofrece nuevas perspectivas para el diseño de redes inalámbricas, incluyendo el proceso que va desde las primeras conversaciones con el cliente hasta la entrega de los reportes luego de la implementación, incluyendo el site-survey.
  • Deploying Cisco Wireless Enterprise Networks (WIDEPLOY) 1.0
    También previsto como un entrenamiento de 40 hs. en 5 días.
    Orientado al despliegue de redes inalámbricas basadas en controlador y arquitecturas unificadas en switches. Aplica el nuevo Cisco AireOS 8.0 Prime Infrastructure release 2.2 y el MSE (Mobility Services Engine) release 8.0
  • Troubleshooting Cisco Wireless Enterprise Networks (WITSHOOT) 1.0
    Es un entrenamiento de 24 hs. de duración previsto para ser dictado en 3 días.
    Presenta herramientas y metodologías necesarias para identificar y resolver problemas de conectividad o performance de los clientes, y eventos vinculados a radiofrecuencia.
  • Securing Cisco Wireless Enterprise Networks (WISECURE) 1.0
    Otro entrenamiento de 40 hs. de duración, dictado en 5 días.
    Ofrece orientación para la implementación de seguridad en arquitecturas WiFi considerando Cisco AireOS 8.0, Prime Infrastructure release 2.2 e ISE versión 1.3
Enlaces de utilidad


19 de febrero de 2016

Protocolo de Internet versión 6, v3.1

Para continuar la serie de publicaciones que estoy realizando referidas a IPv6, sus características, posibilidades e implementación, publico ahora un manual íntegramente dedicado al análisis y estudio pormenorizado de el nuevo protocolo de Internet.
Este manual va mucho más allá de su predecesor (Protocolo IPv6 Básico versión 2.0) y si bien no supone conocimientos previos del protocolo, para un aprovechamiento pleno de su desarrollo es conveniente contar con conocimientos de seguridad, IPsec VPN, QoS, PBR, etc.
No está orientado a ningún examen de certificación ya que no hay certificaciones explícitas desarrolladas para integrar los últimos desarrollos en esta área. En su desarrollo he integrado ejercicios de laboratorio que permitan elaborar las habilidades básicas de configuración tanto del protocolo, como de los protocolos de enrutamiento asociados, como de los features de seguridad que le son propios. En la dimensión práctica se integra la configuración básica de clientes IPv6 en sistemas operativos Microsoft y Linux, así como en Cisco IOS 15.4(2)S e IOS XE 03.12.00.S; la topología diseñada para los laboratorios puede ser montada con dispositivos virtuales tanto como físicos.
Para quienes estudian por sí mismo (auto-estudio), este manual les sirve como referencia de para el estudio y la consulta. Para quienes participan de entrenamientos que incluyen IPv6, el manual les permitirá contar no solo con bibliografía de consulta, sino también completar, profundizar y ejercitar aquellos conocimientos incluidos en entrenamientos como ICND o ROUTE. Es la base para un curso integral sobre el protocolo, su diseño e implementación.

Fecha de publicación: 19 de febrero de 2016
Autor: Oscar A. Gerometta
CCSI / CCNA R&S / CCDA / CCNAwir / CCNA sec. / CCBF.



Contenidos:
  • Introducción a IPv6
  • Operación de IPv6
    Laboratorios.
  • Servicios IPv6
    Laboratorios.
  • Protocolos de enrutamiento IPv6
    Laboratorios.
  • Mecanismos de transición IPv6
    Laboratorios.
  • Seguridad en IPv6
    Laboratorios.
  • Modelos de implementación de IPv6
Cantidad de páginas: 239

Algunas notas sobre esta versión:
  • Cubre los principales aspectos vinculados al diseño e implementación del protocolo en redes corporativas.
  • En el capítulo de servicios se incluye DNS, DHCPv6 y DHCPv6 Prefix Delegation.
  • En el capítulo de protocolos de enrutamiento se consideran RIPng, OSPFv3, EIGRP, MPLS, PBR, route maps, prefix lists, etc.
  • En los mecanismos de transición se consideran los diferentes mecanismos existentes (incluido NAT 64) con especial énfasis en las implementaciones dual stack.
  • En el capítulo de seguridad, el laboratorio se ocupa de la implementación de IPsec.
Para la compra:
  • Protocolo de Internet versión 6 está disponible en formato ebook para su compra en línea ingresando aquí.
  • Para consulta de precios u formas de pago diferentes diríjase directamente a Ediciones EduBooks por correo electrónico escribiendo a libros.networking@gmail.com
Como siempre, cualquier sugerencia que puedas hacer, será muy bienvenida.

Características de los ebooks
  • El ebook es completamente imprimible utilizando la combinación de teclas Ctrl+Z.
  • El formato ebook empleado sólo funciona sobre sistemas operativos Microsoft (Windows).
  • Sólo se admite PayPal como forma de pago (consulte con la Editorial por otras formas de pago).
  • Dispone de 5 días a partir del momento de la compra para descargar el ebook.
  • Para poder ver la obra completa debe ingresar la clave de activación que recibirá por correo electrónico.
  • Una vez realizada la compra recibirá un correo electrónico con indicaciones detalladas para que pueda realizar la activación.
  • La clave de activación le permite activar su ebook en 1 terminal, y sólo puede ser leído desde esa terminal.
  • Ud. puede solicitar la activación de una segunda copia en un dispositivo auxiliar (p.e. su notebook), solicitándolo por correo electrónico a libros.networking@gmail.com.
  • En la terminal deberá tener instalada la aplicación Adobe Reader X versión 10.1.4.
Enlaces relacionados

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.