18 de julio de 2018

Comandos: show ipv6 rip

Para el enrutamiento IPv6 tenemos disponible una versión específica del protocolo RIP denominada RIPng, que en términos generales es semejante a RIP versión 2 pero transporta rutas IPv6 en paquetes IPv6. 
Para el monitoreo del enrutamiento de IPv6 y de RIPng hay entonces comandos específicos.

Para esto, show ipv6 rip fue introducido en IOS 12.2(2)T y en IOS XE release 2.1. Desde ese momento se ha mantenido con algunas variaciones permitiendo ahora requerir la información específica de una VRF.

El siguiente es un ejemplo de este comando en un dispositivo que implementa RIPng y en el cual se han definido 2 procesos de RIPng llamados "one" y "two" respectivamente:

Router#show ipv6 rip
RIP process "one", port 521, multicast-group FF02::9, pid 55
     Administrative distance is 25. Maximum paths is 4
     Updates every 30 seconds, expire after 180
     Holddown lasts 0 seconds, garbage collect after 120
     Split horizon is on; poison reverse is off
     Default routes are not generated
     Periodic updates 8883, trigger updates 2
  Interfaces:
    Ethernet2
  Redistribution:
RIP process "two", port 521, multicast-group FF02::9, pid 61
     Administrative distance is 120. Maximum paths is 4
     Updates every 30 seconds, expire after 180
     Holddown lasts 0 seconds, garbage collect after 120
     Split horizon is on; poison reverse is off
     Default routes are not generated
     Periodic updates 8883, trigger updates 0
  Interfaces:
    None
  Redistribution:


Lectura del comando
Revisemos ahora el resultado de la ejecución del comando:

Router#show ipv6 rip
RIP process "one", port 521, multicast-group FF02::9, pid 55
  • "RIP process"
    Indica entre comillas el nombre o etiqueta asignada al proceso.
  • "port"
    Puerto UDP que utiliza este proceso.
  • "multicas-group"
    Dirección IPv6 multicast que utiliza este proceso.
  • "pid"
    Process IDentification asignado al proceso.
     Administrative distance is 25. Maximum paths is 4
  • "Administrative distance"
    Distancia administrativa que se asigna a la información obtenida a partir de este proceso.
    El valor por defecto es 120.
  • "Maximum paths"
    Cantidad de rutas de igual métrica que se propondrán para ser incluidas en la tabla de enrutamiento.
    El valor por defecto es 4.
     Updates every 30 seconds, expire after 180
  • "Update"
    Valor en segundos del temporizador de espera para el envío de actualización del protocolo a los dispositivos vecinos.
  • "expire"
    Valor en segundos del temporizador de espera para declarar una ruta como inaccesible.
     Holddown lasts 0 seconds, garbage collect after 120
  • "Holddown"
    Temporizador en segundos que se aplicará para la aceptación de una mejor ruta una vez recibido un mensaje de red inaccesible.
     Split horizon is on; poison reverse is off
  • "Split horizon"
    Indica que la regla de horizonte dividido se encuentra activa en este proceso.
  • "Poison reverse"
    Indica que, en este caso) la regla de ruta envenada ha sido desactivada en este proceso. Por ese motivo el temporizador de holddown está en cero.
     Default routes are not generated
  • "Default routes"
    Indica si se está generando o no una ruta por defecto en este proceso de RIPng. En este caso no se la está generando.
     Periodic updates 8883, trigger updates 2
  • "Periodic updates"
    Indica el número de paquetes de actualizaciones de RIPng que han sido enviados según el temporizador de actualizaciones.
  • "trigger updates"
    Indica el número de paquetes de actualización que han sido disparados por eventos.
  Interfaces:
    Ethernet2
  • Indica las interfaces del dispositivo que participan del proceso de RIPng.
  Redistribution:
  • Indica si se está realizando redistribución de rutas obtenidas a través de otro mecanismo (rutas estáticas, otros protocolos).

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


15 de julio de 2018

Los timers de RIP

Un elemento que a veces nos da trabajo comprender es el del funcionamiento y relación de los timers que utilizan los protocolos de enrutamiento para determinar si la información de enrutamiento que tienen en su base de datos sigue o no siendo válida.
En este sentido RIP no escapa a las consideraciones generales, por eso he de revisar el comando timers basic que es el que maneja estos valores.

Este comando ha sido introducido en IOS 10.0 y no ha tenido modificaciones relevantes.

Un ejemplo de este comando en un dispositivo que implementa RIP:

Router#timers basic 5 15 15 30

Estos valores pueden verificarse utilizando el comando show ip protocols.
Los valores pueden ser modificados localmente en cada router del dominio de enrutamiento que implementa RIP, sin embargo, dado que se trata de un proceso que se realiza de modo distribuido en cada dispositivo, los valores deben ser los mismo en todos los routers y dispositivos del dominio a fin de asegurar un comportamiento adecuado del protocolo.
El valor de estos timers no tiene impacto en la posibilidad o no de intercambio de información entre dispositivos vecinos. Su significado es exclusivamente local.

Cisco sugiere:
  • Tener presente que en caso de reducir los tiempos de actualización, esto puede producir congestión en enlaces de baja capacidad y, llegado el caso, si la cantidad de rutas comunicadas es alta, impactar en la capacidad de procesamiento de los dispositivos.
  • Se sugiere que la proporción o relación entre los diferentes temporizadores se preserve en caso de modificar alguno de ellos.
Lectura del comando
Revisemos ahora el resultado de la ejecución del comando:

Router#timers basic 5 15 15 30
  • Todos los timers se definen en un único comando y es necesario especificar cada uno de ellos para no recibir un mensaje de comando incompleto.
  • La primera cifra corresponde al temporizador de actualizaciones (update) expresado en segundos.
    Es el temporizador que regula el intervalo del tiempo regular entre envíos de actualizaciones del protocolo. Es un parámetro básico de la operación del protocolo.
    Valor por defecto: 30 segundos.
  • La segunda cifra corresponde al temporizador de ruta inválida (invalid) expresado en segundos.
    Intervalo de tiempo transcurrido desde la recepción de la última actualización de una ruta, después del cuál una ruta es declarada inválida. Se sugiere que este intervalo sea al menos tres veces el temporizador de update.
    Luego de este lapso de tiempo la red es marcada como inaccesible y a partir de ese momento se anuncia como inalcanzable (16 saltos) y se continúa incluyendo en las actualizaciones que envía el dispositivo hasta que se cumpla el tiempo de remoción (flush).
    Valor por defecto: 180 segundos.
  • La tercera cifra es la del temporizados de retención de la ruta (holddown) expresado en segundos.
    Período de tiempo luego de recibida la notificación de una red como inalcanzable (invalid) durante el cual la información de enrutamiento anunciando una mejor ruta es suprimida.
    Este temporizador se activa en el momento en que el dispositivo recibe una notificación de red inalcanzable de uno de sus vecinos. La ruta es marcada como inaccesible y publicada como tal a los otros vecinos hasta tanto se reciba una nueva actualización de la ruta invalidada o hasta que el temporizador expire. Cuando este temporizador expira se aceptan actualizaciones de otro origen y la ruta deja de ser considerada inaccesible.
    Debe ser al menos tres veces el tiempo de update.
    Valor por defecto: 180 segundos.
  • La cuarta cifra es el temporizador de remoción (flush) de la ruta expresado en segundos.
    Define el período de tiempo que debe transcurrir antes de que una ruta sea removida completamente de la tabla de enrutamiento.
    El intervalo inicia en el momento en que se recibe la última actualización de una ruta como accesible. Su duración debe ser mayor que los valores de los temporizadores invalid y holddown.
    Valor por defecto: 240 segundos.

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


13 de julio de 2018

comando: show ip protocols (rip)

Continuando con la revisión de los comandos show vinculados a la configuración y operación del protocolo de enrutamiento RIP, revisaré ahora el comando show ip protocols.

Propiamente considerado se trata de un comando que es  independiente del protocolo de enrutamiento (o protocolos) implementados. Pero dado que algunos elementos varían de acuerdo al protocolo de enrutamiento implementado, he preferido revisar la información brindada en cada caso.

Este comando ha sido introducido en IOS 10.0 y tuvo algunas modificaciones de consideración en IOS 12,2(15)T y IOS 15.1(2)S.
Es de utilidad para verificar la operación de los protocolos de enrutamiento ya que permite verificar el origen de la información de enrutamiento y la generación de rutas por defecto.

Un ejemplo de este comando en un dispositivo que implementa RIP:

Router#show ip protocols
Routing Protocol is "rip"
 Outgoing update filter list for all interfaces is not set
 Incoming update filter list for all interfaces is not set
 Sending updates every 30 seconds, next due in 20 seconds
 Invalid after 180 seconds, hold down 180, flushed after 240
 Sending Default route on Passive interfaces
 Redistributing: rip
 Automatic network summarization is not in effect
 Default version control: send version 2, receive version 2
  Interface    Send Recv  Key-chain
  Ethernet0    2     2
  Loopback0    2     2
 Routing for Networks:
  192.168.1.0
  192.169.1.0
 Passive Interface(s):
  Ethernet1
 Routing Information Sources:
  Gateway     Distance   Last Update
  192.168.1.2     120   00:00:06

 Distance: (default is 120)

Lectura del comando
Revisemos ahora el resultado de la ejecución del comando:

Router#show ip protocols
Routing Protocol is "rip"
  • Indica que se encuentra activo un proceso del protocolo de enrutamiento RIP.
 Outgoing update filter list for all interfaces is not set
  • Indica si se ha aplicado un filtro de rutas para las actualizaciones de enrutamiento salientes.
 Incoming update filter list for all interfaces is not set
  • Indica si se ha aplicado un filtro de rutas para las actualizaciones de enrutamiento entrantes.
 Sending updates every 30 seconds, next due in 20 seconds
  • "Sending updates" indica (en segundos) que se espera una actualización cada período de tiempo determinado.  En este caso, se espera una actualización cada 30 segundos.
  • "next due" indica en cuántos segundos se espera la próxima actualización. En este ejemplo es en 20 segundos. En consecuencia la última actualización se recibió hace 10 segundos.
 Invalid after 180 seconds, hold down 180, flushed after 240
  • "Invalid after" indica el temporizador para declara la invalidez de una ruta.
    Esto significa que si no se recibe una actualización, en este caso, en un período de 180 segundos, se marcará esta ruta en las actualizaciones como no utilizable (ruta envenenada).
  • "hold down" muestra el valor del temporizador de espera.
  • "flushed after" especifica el tiempo en segundos que se espera para que una ruta sea retirada definitivamente de las tablas.
    Es decir que, en este caso, si no se recibe una actualización en 240 segundos se removerá la información de enrutamiento de las tablas.
 Sending Default route on Passive interfaces
  • Indica que las actualizaciones de enrutamiento que se envíen a través de las interfaces que están en modo pasivo sólo informarán una ruta por defecto.
 Redistributing: rip
  • Muestra las fuentes de información de enrutamiento que están siendo redistribuidas por este proceso de RIP. En este caso sólo se redistribuyen rutas RIP, no se redistribuyen rutas de ninguna otra fuente.
 Automatic network summarization is not in effect
  • Está desactivada la sumarización automática.
 Default version control: send version 2, receive version 2
  • Indica la versión de RIP que se procesa tanto para las actualizaciones entrantes como salientes. En este caso se procesa solamente RIP versión 2.
  Interface    Send Recv  Key-chain
  Ethernet0    2     2
  Loopback0    2     2
  • Permite verificar cuál es la versión del protocolo que se procesa tanto para actualizaciones entrantes como salientes, en cada interfaz que participa del proceso del protocolo.
    No se muestran las interfaces que no participan del proceso de RIP.
 Routing for Networks:
  192.168.1.0
  192.168.2.0
  192.169.1.0
  • Muestra las redes que se han incluido en el proceso de RIP y que por lo tanto están siendo publicadas a través de este protocolo.
    Cuando se utiliza el comando
    network en la configuración, corresponde a los comandos network utilizados.
 Passive Interface(s):
  Ethernet1
  • Indica qué interfaz o interfaces participan del proceso del protocolo pero han sido declaradas en modo pasivo.
 Routing Information Sources:
  Gateway     Distance   Last Update
  192.168.1.2     120   00:00:06
  • Muestra la lista de fuentes de información de enrutamiento que está utilizando IOS para construir la tabla de enrutamiento.
  • Para cada origen de información de enrutamiento se indica: dirección IP, distancia administrativa y tiempo transcurrido desde la recepción de la última actualización desde esa fuente.

 Distance: (default is 120)
  • Distancia administrativa asignada a las rutas aprendidas a través del proceso de este protocolo. En este caso se está utilizando la distancia administrativa por defecto de RIP: 120.


Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


8 de julio de 2018

La próxima generación (sexta) WiFi: 802.11ax

Muchas veces he hablado de redes inalámbricas y siempre revisamos los protocolos en uso. No hace mucho tiempo comenzamos a hablar de redes 802.11ac y seguramente muchos de los lectores todavía no han tenido oportunidad de implementar o utilizar alguna.
Pues bien, les tengo una noticia.
Ya está en borrador y se espera que sea aprobado el año próximo un nuevo estándar para redes WLAN: IEEE 802.11ax. Este estándar ya tiene su segundo borrador (Draft 2) aprobado en septiembre de 2017,y recientemente se ha aprobado (mayo de 2018) el tercer borrador (Draft 3) con lo que se espera la ratificación definitiva del estándar hacia fines del año 2019. Paralelamente se considera que hacia mediados de 2019 se contará con la certificación de interoperabilidad correspondiente de la Alianza WiFi.

El nuevo estándar es una evolución de 802.11ac que promete prestaciones mejoradas que impactarán en la operación de este tipo de redes en entornos que se vuelven cada día más complicados debido a la proliferación de access points y dispositivos inalámbricos de los últimos años, tanto en entornos corporativos como hogareños.

Las tecnologías que implementa
  • 802.11ax 0pera en las frecuencias de 2,4 y 5 GHz. (ambas) implementando canales de 20, 40, 80 y hasta 160 Mhz. como 802.11ac.
    En los últimos años se ha tendido a dejar de operar en la banda de 2,4 GHz. debido a que también es utilizada por otras tecnologías (monitores para bebés, teléfonos inalámbricos, bluetooth, etc.) y eso genera interferencia. Sin embargo, muchas de estas implementaciones están siendo desplazadas hacia otras frecuencias y el abandono de la banda es muy lento, con lo que la IEEE consideró oportuno introducir mejoras para aprovechar nuevamente la banda de 2,4 GHz. ya que tiene mayor capacidad de penetración espacial que la de 5 GHz.
    Con esto se espera aprovechar mejor los equipos de radio dual (lo más habitual en implementaciones enterprise) y la frecuencia de 2,4 GHz. en el despliegue de redes de malla inalámbrica.
  • Implementa codificación 1024 QAM lo que incrementa en hasta un 25% la capacidad máxima disponible en 802.11ac.
  • Si bien 802.11ac ya había introducido el uso de MU-MIMO para la operación de los APs (en el downlink), esto ahora se extiende a la operación de los clientes (uplink). De esta manera se permite a la terminal recibir de múltiples transmisores.
    En este punto, la cantidad máxima de cadenas de transmisión simultáneas se mantiene en 8 cadenas: 8x8:8 MU-MIMO.
  • Incorpora OFDMA.
    OFDM es un mecanismo de modulación de la onda que divide el canal en subcanales a través de los cuales se transmiten múltiples subportadoras, cada una independientemente. Este mecanismo permite un mejor aprovechamiento de la señal de radiofrecuencia aislando posibles interferencias y permitiendo que el sistema de transmisión sea más eficiente.
    OFDMA ahora no sólo divide el canal en subportadoras sino también que también fragmenta cada subportadora en unidades de utilización en función del tiempo. En función de esto el AP asigna unidades de recurso para la recepción o transmisión de cada terminal. Esto mejora significativamente la eficiencia del sistema en escenarios con mucha densidad de terminales conectadas.
    OFDMA proporciona un incremento del data rate de hasta el 10%.
  • Se introduce el concepto de "color" que permite discriminar ente redes que operan en el mismo canal de manera que el dispositivo terminal identifique claramente su red entre las transmisiones de redes vecinas en el mismo canal.
    Cada AP que publica un SSID se identifica con un "color" diferente con el que se asocia cada terminal que se conecta a ese SSID.
  • Paralelamente se implementa el ajuste dinámico de la potencia de transmisión y la detección de umbrales de sensibilidad para incrementar la reutilización de señales.
    De esta manera, señales con el mismo color utilizan un umbral de RSSI más bajo, mientras que señales con diferente color utilizan un umbral de RSSI más alto.
  • La incorporación de TWT reduce el consumo de energía y los tiempos de contención para el acceso al medio.
  • También se prevé que que los dispositivos salgan del modo de ahorro de energía en períodos diferentes a los de transmisión de los beacons. De esta manera el AP puede agrupar terminales asociadas en diferentes períodos TWT optimizando los mecanismos de acceso al medio y mejorando el uso de baterías.
  • El intervalo de guarda que, inicialmente es de 800 nanosegundos y que en 802.11ac puede reducirse a 400 nanosegundos, ahora puede reducirse a 320 o 160 nanosegundos.
  • Los mecanismos de seguridad disponibles, como ocurre ya en 802.11ac, serán WPA2 y WPA3.



Las ventajas que conlleva

  • Reduce el efecto de las interferencias.
  • Mejora la performance en ambas frecuencias: 2,4 y 5 GHz. por la implementación de OFDMA ya que reduce la necesidad de retransmitir y las demoras en la transmisión de las conversaciones. Puede significar multiplicar hasta por 4 el throughput.
  • Hace posible un mejor aprovechamiento de la banda de 2,4 GHz. lo que permite conexiones a mayor distancia dada la mayor penetración de la señal de esta frecuencia.
  • Permitirá proporcionar data rates de hasta 9,6 Gbps.
  • Es el recurso adecuado en contexto de alta densidad para video streaming HD y 4K o la transferenciade archivos de varios gigabytes de tamaño.
  • En ambientes densamente poblados por redes inalámbricas, el concepto de color facilita la identificación de la señal a la que se encuentra asociado un cliente.
  • Se mejora la operación de dispositivos terminales.
  • Se mejora la duración de baterías con la implementación de períodos de ahorro variables.
  • Se mantiene compatibilidad con todos los estándares previamente aprobados y publicados.
¿Quiénes están anunciando productos con esta tecnología?
  • Quantenna está proporcionando chipsets que soportan múltiples cadenas de transmisión en ambas ambas de frecuencia (8 cadenas en 5 GHz. y 4 en 2,4 GHz.).
  • Los mismo está haciendo Qualcom.
  • Broadcom también ha anunciado sus productos de sexta generación.
  • Marvel ha realizado anuncios semejantes.
  • Intel se encuentra trabajando en un chipset para smartphones y dispositivos móviles.
  • D-Link ha anunciado su router AX6000 con tecnología 802.11ax.
  • Asus ha presentado el router RT-AX88U que utiliza chipset de Broadcom 4x4 MIMO; esto significa hasta 1,148 Mbps en 2,4 GHz y hasta 4,804 Mbps en 5 GHz.
  • Huawey ha anunciado su AP7060DN 8x8 MIMO basado en un chipset Qualcomm.
  • Aerohive Network anunció los APs AP630, AP650 y AP650X basados en chipset Broadcom.
Como ocurrió inicialmente con 802.11ac, en un primer momento estarán disponibles en el mercado dispositivos 802.11ax de primera oleada que soportarán hasta 8 cadenas espaciales de transmisión lo que les permitirá entregar hasta 4,800 Mbps de data rate.




Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


30 de junio de 2018

Ahora... WPA3

Cuando se publicó inicialmente el protocolo IEEE 802.11 para la implementación de redes inalámbricas se incluyó un método de aseguramiento de estas redes llamado WEP.
Sin embargo este mecanismo previsto inicialmente fue rápidamente roto generando de esta manera la necesidad de nuevos mecanismos de seguridad que permitan el desarrollo de sistemas inalámbricos con un marco de seguridad aceptable para los requerimientos de la industria.

En este contexto la Alianza WiFi (que no es un organismo de estandarización sino una organización orientada a la promoción de tecnologías 802.11) presentó en el año 2003 su propuesta, WPA.
De esta manera dio inicio a una familia de soluciones de seguridad para redes 802.11 que ahora presenta su tercera revisión: WPA3.

WPA considera 2 soluciones básicas que se han conservado a través de todas sus versiones:
  • WPA Personal
    Tambien conocido como WPA-PSK.
    Diseñado para pequeños despliegues (hogar y pequeñas oficinas) ya que al no requerir la presencia de un servidor de autenticación su implementación es más simple.
    Es considerado más débil como método de seguridad y consiguientemente inadecuado para despliegues de tipo corporativo o industrial.
  • WPA Enterprise
    En algunos casos denominado WPA 802.1X ya que implementa como método de autenticación de usuarios en el acceso IEEE 802.1X con la implementación de servidores RADIUS. Esto hace la implementación un poco más compleja pero asegura métodos más robustos de protección para la red inalámbrica.
La historia de WPA
Una vez violada la propuesta de seguridad inicial de IEEE 802.11 diversos fabricantes desarrollaron alternativas propietarias que buscaban dar una respuesta a los requerimientos de las redes corporativas. Sin embargo las soluciones propietarias no cubrían los requerimientos de interoperabilidad o compatibilidad que son indispensables para el despliegue de estas redes.
De allí que la Alianza WiFi asumiera el desafío de elaborar mecanismos de seguridad más robustos que dieran respuesta a la demanda de la industria.
No solo se trató de generar una propuesta de seguridad sino también de asegurar y certificar la compatibilidad de la implementación de diferentes fabricantes, superando así la limitación de las propuestas propietarias presentadas hasta ese momento.
  • 2003 - WPA
    La Alianza WiFi presenta WPA.
    Desde su nacimiento con 2 modalidades básicas: Personal y Enterprise.
    Basado en los borradores de IEEE 802.11i que estaba en desarrollo en ese momento, incorporó nuevos mecanismos de autenticación, mejoró el cifrado incorporando TKIP e incorporó herramientas de control de integridad de la información. Su implementación se pudo hacer con una actualización de software sobre el hardware ya existente.
  • 2004 - WPA2
    Una vez publicado IEEE 802.11i en el mes de junio de ese año la Alianza WiFi presentó WPA2, que algunos consideran como la versión certificada o comercial del estándar.
    Implementa las tecnologías especificadas en el estándar 802.11i con lo que hace que el cifrado de datos utilice AES.
    Desde el año 2006 WPA2 ha sido obligatorio para todos los dispositivos que cubren los requerimientos de certificación de la Alianza WiFi.
  • 2018 - WPA3
    Ya en enero de este año la Alianza WiFi anunció el lanzamiento de una nueva versión de su propuesta de seguridad, con importantes mejoras tanto en su solución personal como enterprise.
WPA3
Está desarrollado sobre la base de 2 ideas rectoras: brindar un mecanismo de seguridad más robusto que sostenga el crecimiento de las redes inalámbricas; facilitar para el usuario la implementación de políticas de seguridad robusta para asegurar su utilización.
  • WPA3 Personal
    Se mejora particularmente la protección en la clave de autenticación.
    Para esto implementa SAE en reemplazo de PSK. Este algoritmo es más resistente a ataques de diccionario lo que hace más difícil los intentos de "adivinar" la clave de autenticación del sistema.
    Esto permite que los usuarios domiciliarios puedan seleccionar claves que sean más simples de recordar con una protección más robusta y sin complicaciones adicionales.
  • WPA3 Enterprise
    Incorpora algoritmos de seguridad más robustos para alinearse con los estándares de seguridad requeridos por la industria.
    Manteniendo los mecanismos ya conocidos de autenticación y cifrado de WPA2 se incorporan nuevos algoritmos para robustecer la protección:
    GCMP-256 como protocolo de autenticación.
    HMAC-SHA384 para la derivación y confirmación de llaves.
    Intercambio ECDH y ECDSA de 384 bits para el establecimiento de llaves y la autenticación.
    BIP-GMAC-256 para una protección robusta de las tramas de gestión de la red 802.11.
¿Cuáles son las novedades entonces?
  • Se mejora la autenticación de la implementación WPA-Personal con la introducción de SAE.
  • Se fortalecen los procedimientos de intercambio de autenticación en WPA-Enterprise.
  • Se fortalece el cifrado de datos con una serie de mecanismos de última generación que dan un marco de cifrado equivalente a 192 bits.
  • Se introduce como obligatoria la protección de las tramas de gestión de las redes 802.11 (PMF) que hasta el momento no estaba contemplada en los esquemas WPA.
Respecto de su implementación:
  • WPA2 continúa siendo obligatorio para todos los dispositivos certificados por la Alianza WiFi.
  • Los nuevos dispositivos que busquen certificación de la Alianza WiFi a partir de diciembre de 2018 deberán soportar también WPA3 obligatoriamente.
  • Se asegura la compatibilidad de WPA3 con WPA2 con un modo de transición, por lo que los dispositivos certificados WPA3 podrán trabajar con dispositivos WPA2.
  • La implementación de WPA3 no exige por sí misma nuevo hardware, por lo que se puede incorporar con una actualización de software.
    Sin embargo, dado que se utilizan algoritmos de cifrado avanzados, los requerimientos de procesamiento son mayores por lo que diferentes fabricantes desplegarán diferentes estrategias. Es posible que en algunos casos WPA3 sólo sea soportado en dispositivos nuevos.
  • La implementación de PMF es obligatoria en los nuevos dispositivos que se certifiquen.
Tengamos presente que para poder implementar WPA3 es necesario que tanto la infraestructura inalámbrica (access points, controladores) como los clientes inalámbricos de nuestras laptops, smartphones, tablets o cámaras soporten la nueva implementación. Por este motivo también es muy importante la introducción del modo de transición para asegurar que los terminales que sólo soportan WPA2 puedan operar en entornos que implementan WPA3.


Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


26 de junio de 2018

Comandos: show ip rip neighbors

Completando la revisión de comandos específicos de monitoreo de la operación del protocolo RIP, vamos ahora a revisar el comando show ip rip neighbors. 

Este comando ha sido introducido en IOS 15.1(2)S  y en IOS XE 3.3. Hasta el momento no ha sufrido modificaciones relevantes

Consideremos en primer lugar un ejemplo tomando como base el resultado de la ejecución en un router Cisco IOS para luego revisarlo con mayor detalle.

Router# show ip rip neighbors
BFD sessions created for the RIP neighbors
 Neighbor      Interface      SessionHandle
 10.10.10.2    Ethernet0/0    1
 10.10.20.2    Ethernet1/0    2

El comando permite verificar los dispositivos vecinos con los que se estableció una sesión bidireccional (Bidirectional Forwarding Detection) e intercambia información de RIP

Lectura del comando
Revisemos ahora el resultado de la ejecución del comando:

Router# show ip rip neighbors
BFD sessions created for the RIP neighbors
 Neighbor      Interface      SessionHandle
 10.10.10.2    Ethernet0/0    1
 10.10.20.2    Ethernet1/0    2    
  • Neighbor.
    Router vecino con el que se ha levantado una sesión BFD de RIP.
  • Interface.
    Interface del dispositivo vecino que envía la información de RIP.
  • SessionHandle.
    Identificador único de la sesión que permite hacer el seguimiento del vecino. Este identificador es generado por el sistema BFD.

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


24 de junio de 2018

comandos: show ip rip database

Los protocolos de enrutamiento son una pieza clave en la operación de los dispositivos capa 3. En este punto Cisco IOS soporta múltiples protocolos de enrutamiento y proporciona múltiples herramientas de monitoreo de su operación.
La primera y más básica herramienta de monitoreo es la tabla de enrutamiento, y en ese punto ya hemos revisado el comando show ip route. Es por esto que ahora comienzo a revisar los comandos de monitoreo específicos de cada protocolo. 

Elijo comenzar por RIP y en particular por show ip rip database. 

Este comando ha sido introducido en IOS 12.0 y a partir de ese punto se ha introducido progresivamente en diferentes releases. Muestra el contenido de la base de datos de información de enrutamiento recogida a través de RIP.

Consideremos en primer lugar un ejemplo tomando como base el resultado de la ejecución en un router Cisco IOS para luego revisarlo con mayor detalle.

Router# show ip rip database
  10.0.0.0/8       auto-summary
  10.11.0.0/16     int-summary
  10.11.10.0/24    directly connected, Ethernet3
  10.11.11.0/24    directly connected, Ethernet4
  10.11.12.0/24    directly connected, Ethernet5

Lectura del comando
Revisemos ahora el resultado de la ejecución del comando:

Router# show ip rip database
  10.0.0.0/8       auto-summary
  10.11.0.0/16     int-summary
  10.11.10.0/24    directly connected, Ethernet3
  10.11.11.0/24    directly connected, Ethernet4
  10.11.12.0/24    directly connected, Ethernet5   
  • 10.0.0.0/8 auto-summary
    Muestra una entrada sumarizada que se genera automáticamente a partir de la operación del proceso de sumarización automática de rutas, cuando se encuentra activo, al límite de la clase.
  • 10.11.0.0/16 int-summary
    Entrada sumarizada generada manualmente con el comando
    ip summary-address ip.
  • 10.11.11.0/24 directly connected, Ethernet3
    Entrada generada a partir de la red directamente conectada a una interfaz que se encuentra incluida en el proceso de RIP y completamente operativa.

El comando tiene una variante que permite requerir la información aprendida de un prefijo IP específico. Para esto al comando básico se agrega la dirección IP y máscara de subred correspondiente.

Router# show ip rip database 172.19.86.0 255.255.255.0

 172.19.86.0/24
     [1] via 172.19.67.38, 00:00:25, Serial0
     [2] via 172.19.70.36, 00:00:14, Serial1 
  • La red de destino 172.19.86.0/24 está siendo descubierta a través de la operación de RIP.
  • Para ese destino se están aprendiendo 2 caminos posibles.
  • El primero se aprende a partir de 172.19.67.38 a través de la interfaz Serial 0. Esta información ha sido actualizada hace 25 segundos.
  • La ruta alternativa se aprende a partir de 172.19.70.36 a través de la interfaz Serial 1 y ha sido actualizada por última vez hace 14 segundos.

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.