3 de enero de 2020

Relaciones entre políticas en Cisco Firepower - Gráfica

La base de la operación de Firepower (el NGPW de Cisco) son las políticas.
Hay diferentes tipos de políticas.

En primer lugar están las políticas de operación del sistema y de cada uno de los sensores o dispositivos.
No están vinculadas a los objetivos de seguridad propios del dispositivo sino más bien a la operación de los dispositivos y tareas accesorias a la esencia del firewall.
Estas políticas son básicamente tres:
  • Políticas del sistema (system policies)
  • Políticas de estado (system health)
  • Políticas de NAT



El firewall está destinado primariamente a implementar políticas de control de acceso, y estas son entonces el corazón de la operación de Firepower.
Asociadas a las políticas de control de acceso se aplican otras tres políticas:
  • Las políticas de descifrado de SSL.
  • Las políticas de prefiltrado o análisis de la red.
  • Las políticas de descubrimiento de la red.
La política de control de acceso que implementa el sensor está compuesta por una serie de reglas de control de acceso y a cada una de ellas, a su vez, pueden agregarse otras:
  • Las políticas de filtrado de archivos y antimalware.
  • Las políticas de detección de intrusiones.
Cada regla de control de acceso genera eventos específicos al evaluar cada comunicación que atraviesa el sensor.
A partir de esos eventos es posible a su vez generar nuevas acciones que han de ser definidas en otro tipo de políticas que son

  • Las políticas de correlación.




Para despejar dudas, compartir experiencia con otros, realizar consultas, las redes sociales nos dan una gran herramienta. Para eso están los diferentes grupos asociados a este blog.

Estás invitado a participar de nuestro grupo en Facebook:

https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,

podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:

https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.



23 de diciembre de 2019

Secuencia de aplicación de políticas en Cisco Firepower - Gráfica

Para la implementación de políticas de control de acceso en redes IP el dispositivo que actualmente se requiere es un firewall de última generación (NGFW).
Para este tipo de implementación el dispositivo a considerar en el caso de arquitecturas Cisco es Cisco Firepower en sus diferentes presentaciones.
En estos dispositivos la seguridad se materializa en la definición de políticas que, en el caso particular de Firepower, tienen su centro en las políticas de control de acceso.

Es por esto que consideré interesante expresar en un gráfico la secuencia ordenada en la cual se implementan las diferentes políticas sobre el tráfico de paquetes que atraviesan un dispositivo sensor (FTD - Firepower Threat Defense).
Las diferentes políticas consideradas en este gráfico son:


  • Security intelligence
    Información externa aportada al sistema a fin de establecer la posibilidad de bloquear o permitir tráfico conocido como malicioso o amigable (listas blancas y listas negras).
  • Política de SSL
    Permite definir qué acción tomar con el tráfico de túneles SSL (encriptado con ese protocolo).
  • Política de prefiltrado
    permite definir políticas de tráfico elaboradas sobre la información contenida en los encabezados del paquete hasta el encabezado de capa de transporte.

  • Política de control de acceso
    Compuesta por un conjunto de reglas que definen cómo se gestiona el tráfico que atraviesa la red.
  • Política de descubrimiento de red
    Son las que establecen los criterios para el descubrimiento pasivo e integración de información de hosts, aplicaciones y usuarios.
  • Política de archivos
    Conjunto de reglas para el control y filtrado de archivos, y protección anti-malware.
  • Política de intrusión
    Criterios para la detección y prevención de intrusiones en el tráfico permitido en la red.
Espero que este gráfico facilite la comprensión del modo de operar estos nuevos dispositivos.



Para despejar dudas, compartir experiencia con otros, realizar consultas, las redes sociales nos dan una gran herramienta. Para eso están los diferentes grupos asociados a este blog.

Estás invitado a participar de nuestro grupo en Facebook:

https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,

podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:

https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.



8 de diciembre de 2019

Mitigación de amenazas en el acceso (switch)

Los riesgos potenciales a los que están sometidas las redes de datos han experimentado en los últimos años una complejidad y sofisticación crecientes. La red está expuesta no sólo a amenazas externas (un atacante ajeno a la propia empresa u organización), sino también internas. 
Por esto la preocupación por la seguridad debe estar presente, no sólo en el borde de la red, sino también en el acceso desde el interior de la red a través tanto de la red cableada como inalámbrica.

Amenazas Internas
se trata en este caso de amenazas a la seguridad de la red originadas al interior de la organización, a partir de la red interna, no a través del borde de la red. Son las más serias.
La principal contramedida para responder a este tipo de amenazas son las políticas de seguridad.
Son particularmente importantes porque:

  • El usuario de la red tiene conocimientos más o menos detallados de la red y los recursos disponibles.
  • El usuario típicamente tiene algún nivel de acceso legítimio relacionado con la naturaleza de su tarea.
  • Los mecanismos de seguridad tradicionales suelen no ser suficientemente efectivos para limitar el potencial uso abusivo de un permiso de acceso legítimo.
  • Muchas veces la situación no tienen un origen malicioso sino la falta de observación de las políticas de seguridad corporativas por desconocimiento, impericia o pereza.

Amenazas Externas
Se trata de ataques de naturaleza más técnica que frecuentemente se inician con un menor conocimiento de la red interna de la organización.
A estas amenazas se responde principalmente implementando defensas técnicas.
La protección del acceso a los recursos de red tiene en este sentido un rol fundamental para proteger a los usuarios, a las aplicaciones y a la red misma de posibles y preservarlos tanto de errores humanos o ataques maliciosos.

Hay diferentes mecanismos de seguridad que se pueden implementar en el acceso para mitigar las principales amenazas:
  • DHCP Snooping
    Un punto a asegurar es la configuración IP de las terminales que utilizan el servidio DHCP.
    DHCP snooping en los switches previene la implementación de servidores DHCP intrusos o no autorizados dentro de la red.
  • DAI
    Dynamic ARP Inspection.
    Un mecanismo de ataque interno es la respuesta apócrifa de solicitudes ARP y el uso de paquetes gratuitous ARP.
    Para prevenir este tipo de ataques se puede activar DAI en los switches. De esta manera se previene la posibilidad de ataques basados en la operación del protocolo ARP.
  • Port Security
    El riesgo potencial de la implementación se switches capa 2 es el desbordamiento de las tablas de direcciones MAC que tienen una capacidad limitada.
    Para prevenir estos ataques se puede implementar en el acceso port security. Su propósito principal es restringir el número de MACs que se podrá asociar a cada puerto del switch.
  • Identity-Based Networking
    La implementación de permisos de acceso y utilización de los recursos de red sobre la base de la autenticación de usuarios es hoy una herramienta clave para la protección de los recursos de la red.
    IBN permite proteger recursos soportando la movilidad de los usuarios, independizando sus permisos de acceso del dispositivo a través del cual accede a la red.




Para despejar dudas, compartir experiencia con otros, realizar consultas, las redes sociales nos dan una gran herramienta. Para eso están los diferentes grupos asociados a este blog.

Estás invitado a participar de nuestro grupo en Facebook:

https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,

podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:

https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.



23 de noviembre de 2019

CCNA 200-301 - Actualización

Nos acercamos a la fecha de actualización del sistema de certificaciones de Cisco Systems propuesta para el 24 de febrero de 2020.
Se acaba de dar un nuevo paso, ya es posible agendar en VUE un turno para presentar el examen 200-301, a partir de la fecha indicada: 24 de febrero.

Repasemos brevemente los aspectos más relevantes de esta actualización.

  • Las diferentes certificaciones de nivel Asociado se han resuelto en una única certificación que ahora se denomina sencillamente CCNA y a la que se accede aprobando un único examen: CCNA 200-301.
  • Las certificaciones de nivel profesional también se han revisado en su totalidad y a partir de febrero habrá solamente 5 certificaciones profesionales.
  • Se introdujo un nuevo camino de certificación destinado a los temas de programabilidad y automatización (DevNet) que tiene también 3 niveles, completamente independientes.
  • Cada certificación técnica incluye ahora temas de automatización y programabilidad.
  • Se retiraron todos los pre-requisitos. Ahora se puede acceder directamente a cualquier certificación de cualquier nivel.
  • Se actualizó también todo el sistema de re-certificaciones cuyo período, ahora, es de 3 años en todos los casos.
Pongo a disposición a continuación una presentación en la que se repasan varios de estos aspectos y el temario completo del nuevo examen 200-301.


Para tener una visión completa del nuevo sistema y los cambios, sugiero revisar los siguientes recursos:





Para despejar dudas, compartir experiencia con otros, realizar consultas, las redes sociales nos dan una gran herramienta. Para eso están los diferentes grupos asociados a este blog.

Estás invitado a participar de nuestro grupo en Facebook:

https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,

podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:

https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.



16 de noviembre de 2019

Introducción a Cisco FirePower NGFW

Las amenazas a la seguridad de datos en empresas y organizaciones son una realidad en permanente evolución y crecimiento. Una realidad que es preciso atender adecuadamente y para ello se requieren herramientas adecuadas.
Los firewalls de última generación (NGFW) se han impuesto como una herramienta imprescindible para la implementación de políticas de seguridad en redes corporativas.

En el caso de Cisco Systems, Firepower es esa herramienta.
Considerada en algunas evaluaciones entre los mejores NGFW del mercado (por innovación y prestaciones), es una herramienta compleja que nos obliga a repensar lo que sabemos sobre la implementación de firewalls.
Es por eso que desarrollé hace ya más de un año un conjunto de entrenamientos y talleres orientados al diseño, implementación y gestión de estos dispositivos.
Pongo ahora a disposición este primer módulo que ofrece una introducción a Firepower en el que se introducen tanto los sensores (Firepower Threat Defense - FTD) como el sistema de gestión inteligente (Firepower Management Center - FMC).

Espero que sea de utilidad.









Para despejar dudas, compartir experiencia con otros, realizar consultas, las redes sociales nos dan una gran herramienta. Para eso están los diferentes grupos asociados a este blog.

Estás invitado a participar de nuestro grupo en Facebook:

https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,

podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:

https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.



2 de noviembre de 2019

Método sencillo para el cálculo de subredes

Entre las novedades que introduce el nuevo examen de certificación CCNA 200-301 (disponible a partir del 24 de febrero de 2020) hay una actualización en el mecanismo de cálculo de subredes.

Algo de historia
El diseño original del direccionamiento IPv4 (RFC 791) no consideraba subredes, sino que la estructura jerárquica de las direcciones de 2 niveles (red / host) estaba vinculada únicamente a la división de clases.
Más tarde (RFC 950 de 1985) se introdujo el concepto de subred y con él los mecanismos de cálculo de máscara de subred y cantidad de host.
Eran los tiempos del enrutamiento classful y RIPv1. Esto imponía ciertas limitaciones al diseño que luego con el tiempo fueron superadas. Pero a raíz de estas limitaciones no sólo era necesario mantener la misma máscara de subred en todas las subredes, sino que también, al implementar subredes se "perdían" la primera y última subred que ya no eran utilizables.
Eran las subredes cero y all-ones.
Esto hacía que la fórmula de cálculo tradicional de la cantidad de subredes disponibles fuera:
    2[bits de subred] – 2 = subredes utilizables
La norma era que siempre se perdían dos subredes completas.

La introducción del enrutamiento classless y los protocolos de enrutamiento classless (RIPv2, OSPF, etc.), entre otras novedades permitieron la utilización de las subredes cero y all-one, lo que está soportado por defecto en Cisco IOS desde la versión 12.0.
Sin embargo el aprovechamiento de esta posibilidad exigía que estuviera soportada en la totalidad de los dispositivos de enrutamiento del dominio de enrutamiento, lo que imponía una limitación.
Esto explica que a través de los años Cisco haya mantenido en su consideración respecto del cálculo de subredes que, en principio, se perdían dos subredes al implementar subredes salvo que explícitamente se indicara lo contrario.
Y así se llevó a los exámenes de certificación.
En el cálculo de subredes exigido por el examen de certificación siempre se pierden 2 subredes salvo que explícitamente se indique lo contrario.
Pero esto cambió.
En el nuevo CCNA (orientado al examen de certificación 200-301) el cálculo de subredes considera como utilizables las subredes cero y all-ones.
Por esto consideré conveniente reformular el método sencillo para el cálculo de subredes que presento desde hace varios años para adaptarlo a este nuevo requerimiento.

El método de cálculo reformulado
Antes de comenzar con la tarea usted debe tener 2 datos básicos:
  • Cuál es el número total de subredes que se requieren, incluyendo la consideración de un posible crecimiento de la red.
  • Cuál es el número de nodos que se requieren o prevén en cada subred, teniendo en cuenta también en este caso la posible expansión y crecimiento.
A partir de aquí, responda estas 6 preguntas básicas:
  1. ¿Cuántas subredes son necesarias?
  2. ¿Cuántos nodos se necesitan por subred?
  3. ¿Cuáles son los números reservados de subred?
  4. ¿Cuáles son las direcciones reservadas de broadcast?
  5. ¿Cuál es la primera dirección de nodo válida de cada subred?
  6. ¿Cuál es la última dirección de nodo válida de cada subred?
Con lo que se obtienen 6 respuestas.

Se entiende mucho mejor con un ejemplo:
Tomemos como referencia una red clase C, la red 192.168.1.0 y consideremos dividirla utilizando la máscara 255.255.255.224.


Como ya dije, se trata de una red clase C (el primer octeto es 192), que utiliza 24 bits para identificar la red (255.255.255.xxx), 3 bits para identificar la subred (xxx.xxx.xxx.224) y 5 bits (32 bits totales – 24 bits de la clase C – 3 bits de subredes = 5) para identificar los nodos.

-1-
¿Cuántas subredes son necesarias?
La cantidad de subredes utilizables se calcula tomando como base la cantidad de bits de la porción del nodo que se toman para generar subredes.
Si la máscara de subred es 224 en la porción de subred (cuarto octeto de nuestro ejemplo), esto indica que están tomando 3 bits para generar subredes (128+64+32=224). Aplicando la fórmula siguiente obtenemos la cantidad de subredes utilizables:

2[bits de subred] = subredes utilizables

2[bits de subred] – 2 =  subredes utilizables cuando no se aplica ip subnet-zero

Ejemplo:
23 = 8  =  8  subredes utilizables
23 – 2 =  8  –  2  =  6  subredes utiilizables sin ip subnet-zero

-2-
¿Cuántos nodos se necesitan por subred?
La cantidad de direcciones de nodo o direcciones IP útiles que proporciona cada subred surge de la aplicación se la siguiente fórmula, que toma como base la cantidad de bits que quedan para identificar los nodos:

2[bits de nodo] – 2 =  nodos útiles

Ejemplo:
25 – 2 =  32  –  2  =  30

-3-
¿Cuáles son los números reservados de subred?
La dirección reservada de la primera subred útil surge de restar a 256 el valor decimal de la porción de la máscara de subred en la que se define el límite entre subred y nodo:

256  –  [máscara]  =  [primera subred útil y rango de nodos]

Las direcciones de las subredes siguientes surgen de seguir sumando la misma cifra.

Ejemplo:
256  –  224  =  32

  192.168.1.0 subred 0 
192.168.1.32 subred 1
+ 32 192.168.1.64 subred 2
+ 32 192.168.1.96 subred 3
+ 32 192.168.1.128 subred 4
+ 32 …  …  …

-4-
¿Cuáles son las direcciones reservadas de broadcast?
Las direcciones reservadas de broadcast se obtienen restando 1 a la dirección reservada de subred de la subred siguiente:

Ejemplo:
 32  –  1  =  31    192.168.1.31 broadcast de la subred 0
 64  –  1  =  63    192.168.1.63 broadcast de la subred 1
 96  –  1  =  95    192.168.1.95 broadcast de la subred 2
128  – 1  =  127   192.168.1.127         broadcast de la subred 3
… … … 

-5-
¿Cuál es la primera dirección de nodo válida de cada subred?
La dirección IP del primer nodo útil de cada subred se obtiene sumando uno a la dirección reservada de subred:

Reservada de subred + 1 = primer nodo utilizable 

Ejemplo:
   0  +  1  =    1     192.168.1.1         primera IP útil de la subred 0
 32  +  1  =  33     192.168.1.33 primera IP útil de la subred 1
 64  +  1  =  65     192.168.1.65 primera IP útil de la subred 2
 96  +  1  =  97     192.168.1.97 primera IP útil de la subred 3
128 +  1  =  129   192.168.1.129      primera IP útil de la subred 4
… … …

-6-
¿Cuál es la última dirección de nodo válida de cada subred?
La dirección IP del último nodo útil de cada subred se obtiene restando 1 a la dirección reservada de broadcast:

 31  –  1  =  30    192.168.1.30 última IP útil de la subred 0
 63  –  1  =  62    192.168.1.62 última IP útil de la subred 1
 95  –  1  =  94    192.168.1.94       última IP útil de la subred 2
127 –  1  = 126   192.168.1.126      última IP útil de la subred 3
… … … 

Siguiendo este procedimiento paso a paso, podemos completar una tabla de subredes disponibles como la que sigue.

En nuestro ejemplo, con esa máscara de subred se obtienen 8 subredes, cada una de ellas con una capacidad máxima de 30 nodos (32 direcciones IP), de acuerdo al siguiente detalle:




Para despejar dudas, compartir experiencia con otros, realizar consultas, las redes sociales nos dan una gran herramienta. Para eso están los diferentes grupos asociados a este blog.

Estás invitado a participar de nuestro grupo en Facebook:

https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,

podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:

https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.



26 de octubre de 2019

Examen 350-401 ENCOR - Implementing Cisco Enterprise Network Core technologies

Cuando Cisco anunció el 10 de junio pasado la renovación de su sistema de certificaciones encontramos muchas novedades importante.
Se introducía un sistema de puntaje para la recertificación de cualquier certificación, se eliminaban los pre-requisitos para el nivel profesional, se cambiaba la estructura de las certificaciones de nivel profesional y se modificaban los exámenes escritos para acceder a CCIE y se modificaba la estructura de rutas de certificación.
Entre estos cambios una muy significativo y quizás el de mayor impacto, fue la consolidación de las certificaciones profesionales de routing & switching, wireless y diseño en una única certificación, el CCNP Enterprise.

Las principales características de esta certificación son:
  • Tiene 3 años de vigencia.
  • No tiene pre-requisitos. 
  • Ee obtiene con la aprobación de 2 exámenes.
  • El examen de core requerido es ENCOR 350-401
  • Hay 6 especializaciones disponibles.
    * Routing y servicios avanzados que requiere el examne ENARSI (300-410)
    * Soluciones SD-WAN con el examen ENSDWI (300-415)
    * Diseño de redes corporativas aprobando el examen ENSLD (300-420)
    * Diseño de redes wireless corporativas con el examen ENWLSD (300-425)
    * Implementación de redes wireless corporativas aprobando el examen ENWLSI (300-430)
    * Implementación de automatización para redes corporativas con el examen ENAUTO (300-435).
Los exámenes de especialización, en términos generales (salvo en el caso de ENAUTO), tienen precedentes en el sistema de certificaciones vigente a esta fecha.
La novedad central es el examen ENCOR.
¿En qué cosiste este examen?

El examen ENCOR 350-401
  • Requerido para obtener las certificaciones Certified Specialist Enterprise Core, CCNP Enterprise, CCIE Enterprise Infrastructure y CCIE Enterprise Wireless.
  • Duración: 120 minutos.
  • Idioma: Inglés.
  • Entrenamiento sugerido:
    Implementing Cisco Enterprise Network Core Technologies (ENCOR), próximamente disponible en los Cisco Learning Partner.
  • Regitro del examen: Pearson VUE.
  • Disponible a partir del 24 de febrero de 2020.
Temario del examen ENCOR 350-401
El temario está organizado en 6 unidades temáticas:

1. Architecture                 (15% del examen)
  • Explique los diferentes principios de diseño utilizados en una red corporativa.
    a. Diseño de redes corporativas tier 2, tier 3 y planeamento de la capacidad.
    b. Técnicas de alta disponibilidad como redundancia, FHRP y SSO.
  • Analice los principios de diseño de una implementación WLAN.
    a. Modelos de implementación wireless (centralizada, distribuida, sin controlador, basada en controlador, nube, sucursal remota).
    b. Servicios de localización en un diseño WLAN.
  • Diferencie entre implementaciones de infraestructura on-premises y de nube.
  • Explique los principios de operación de una solución Cisco SD-WAN.
    a. Elementos de los planos de control y datos SD-WAN,
    b. Soluciones WAN tradicional y SD-WAN.
  • Explique los principios de operación de una solución Cisco SD-Access,
    a. Elementos de los planos de control y datos SD-Access.
    b. Interoperabilidad del campus tradicional con SD-Access.
  • Describa conceptos de QoS en la red inalámbrica y cableada.
    a. Componentes QoS.
    b. Políticas QoS.
  • Diferencie los mecanismos de conmutación de hardware y software.
    a. Process y CEF.
    b. Tabla de direcciones MAC y TCAM.
    c. FIB vs. RIB.
2. Virtualization                (10% del examen)
  • Describa las tecnologías de virtualización de dispositivos.
    a. Hipervisores tipo 1 y 2.
    b. Máquina virtual.
    c. Virtual switching.
  • Configure y verifique tecnologías de virtualización de la ruta de datos.
    a. VRF.
    b. Tunelizado GRE e IPsec.
  • Describa conceptos de virtualización de red.
    a. LISP.
    b. VXLAN.
3. Infrastructure               (30% del examen)
  • Capa 2.
    a. Diagnostique protocolos de trunking 802.1q estáticos y dinámicos.
    b. Diagnostique EtherChannels estático y dinámico.
    c. Configure y verifique Spanning Tree Protocols (RSTP y MST).
  • Capa 3.
    a. Compare conceptos de enrutamiento de EIGRP y OSPF (vector distancia avanzado vs. estado de enlace, balanceo de carga, selección de rutas, operación de rutas, métricas).
    b. Configure y verifique entornos OSPF simples, incluyendo múltiples áreas normales, sumarización y filtrado (adyacencia de vecinos, redes tipo point-to-point y broadcast, interfaces pasivas).
    c. Configure y verifique eBGP entre vecinos directamente conectados (algoritmo de selección de la mejor ruta y relación entre vecinos).
  • Wireless.
    a. Describa conceptos de capa 1, tales como potencia RF, RSSI, SNR, ruido o interferencia, banda y canal, y capacidades de los dispositivos clientes inalámbricos.
    b. Describa modelos de AP y tipos de antenas.
    c. Describa los procesos de discovery y join de los APs (algoritmos de descubrimiento, procesos de selección del WLC).
    d. Describa los principios y casos de uso de roaming de capa 2 y capa 3.
    e. Diagnostica problemas de configuración inalámbrica y de conectividad de clientes inalámbricos.
  • Servicios IP.
    a. Describa NTP.
    b. Configure y verifique NAT/PAT.
    c. Configure protocolos FHRP como HSRP y VRRP.
    d. Describa protocolos de multicast como PIM e IGMP v2, v3.
4. Network Assurance     (10% del examen)
  • Diagnostique problemas de la red utilizando herramientas como debugs, debugs condicionales, trace route, ping, SNMP y Syslog.
  • Configure y verifique el monitoreo de dispositivos utilizando syslog para monitoreo remoto de eventos.
  • Configure y verifique NetFlow y Flexible NetFlow.
  • Configure y verifique SPAN/RSPAN/ERSPAN.
  • Configure y verifique IPSLA.
  • Describa el flujo de trabajo de Cisco DNA Center para aplicar configureciones de red, monitoreo y gestión.
  • Configure y verifique NETCONF y RESTCONF.
5. Security                       (20% del examen)
  • Configure y verifique el control de acceso a los dispositivos.
    a. Protección de líneas y claves.
    b. Autenticación y autorización utilizando AAA.
  • Configure y verifique características de seguridad de la infraestructura.
    a. ACLs.
    b. CoPP.
  • Describe la seguridad de REST API.
  • Configure y verifique features de seguridad wireless.
    a. EAP.
    b. WebAuth.
    c. PSK
  • Describa los componenetes del diseño de seguridad de la red.
    a. Threat defense.
    b. Seguridad de terminales.
    c. Wext-generation firewall.
    d. TrustSec, MacSec.
    e. Control de acceso a la red con 802.1X, MAB y WebAuth.
6. Automation                  (15% del examen
  • Interprete los componentes básicos y un scripts de Python.
  • Construya archivos con código JSON válido.
  • Describa los principios de alto nivel y los beneficios de un lenguaje de modelizada de datos como YANG.
  • Describa APIs para Cisco DNA Center y vManage.
  • Interprete los códigos de respuesta REST API y los resultados utilizando Cisco DNA Center y RESTCONF.
  • Contruya applets EEM para automatizar la configuración, diagnosticar o colectar datos. 
  • Compare herramientas de orquestación con agentes vs. sin agentes tales como Chef, Puppet, Ansible y SaltStack.

Creo que de la simple revisión del temario del examen de certificación se desprende fácilmente la conclusión de que este examen está muy lejos de ser una simple síntesis de los exámenes ROUTE y SWITCH de la certificación CCNP R&S que se está retirando.

Recursos en línea


Para despejar dudas, compartir experiencia con otros, realizar consultas, las redes sociales nos dan una gran herramienta. Para eso están los diferentes grupos asociados a este blog.

Estás invitado a participar de nuestro grupo en Facebook:

https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,

podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:

https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.