29 de abril de 2006

Diagnóstico básico de fallos de adyacencia OSPF

Una vez iniciado el proceso de OSPF, las relaciones de adyacencias entre dispositivos son fundamentales para el intercambio y mantenimiento de la información. La ausencia de una adyacencia implica la ausencia de intercambio de información de LSAs entre los dispositivos.
El establecimiento y estado de adyacencias es registrado en la tabla de adyacencias de OSPF, lo que se puede verificar con el comando

    Router#show ip ospf neighbor
Si el dispositivo adyacente no está registrado en la tabla, es preciso verificar los posibles errores que provocan esta situación:
  • Verifique el estado de la interfaz a través de la cual debiera establecerse la adyacencia:

    Router#show interface [interfaz]
  • Si la interfaz se encuentra operativa a nivel de capa 1 y 2, verifique entonces la conectividad a nivel de capa 3:

    Router#ping [IP del dispositivo vecino]

    Si el dispositivo vecino responde, verifique si responde la dirección multicast de los paquetes hello:

    Router#ping 224.0.0.5

    Si no hay adyacencia, es muy probable que no obtenga respuesta de esta solicitud. Si la obtiene, vuelva a verificar la tabla de adyacencias.
  • Verifique si hay alguna lista de acceso filtrando el tráfico de paquetes OSPF

    Router#show access-lists

    El tráfico de paquetes hello puede haber sido filtrado por una lista de acceso que deniegue específicamente este tráfico. Si hay una lista de acceso de este tipo, esa es la causa de la falta de adyacencia.
  • Verifique si OSPF se encuentra activo:

    Router#show ip ospf
  • Si OSPF encuentra activo, es posible que se haya configuradao alguna interfaz de modo que se reciben pero no envían paquetes hello (utilizando el comando passive interface). Para verificar esto visualice el archivo de configuración activa:

    Router#show running-config
  • Si la interfaz no ha sido pasivada, verifique entonces que se den las condiciones necesarias para que pueda haber intercambio de paquetes hello:
    .1. Las interfaces colindantes deben utilizar la misma máscara de subred, verifíquelo usando

    Router#show interface [interfaz]

    .2. Ambas interfaces deben encontrarse en la misma área OSPF:

    Router#show ip ospf interface [interfaz]
    Router#show ip ospf


    .3. Ambas interfaces deben utilizar el mismo intervalo de tiempo para el intercambio de hello y tiempo muerto:

    Router#show ip ospf interface [interfaz]


Oscar Gerometta

26 de abril de 2006

Vulnerabilidad en Cisco Subscriber Edge Services Manager

From: Oxygen3 24h-365d <oxygen@pandasoftware.com>
Date: Apr 26, 2006 11:52 AM
Subject: Oxygen3 24h-365d [Vulnerabilidad en Cisco Subscriber Edge Services Manager - 26/04/06]
To:
OXYGEN3ES@oxygen3.pandasoftware.com

"La esperanza hace que agite el naufrago sus brazos en medio
de las aguas, aún cuando no vea tierra por ningún lado".
Ovidio (43 AC-17); poeta latino.
(El 26 de abril de 1731 muere el escritor Daniel Defoe)

- Vulnerabilidad en Cisco Subscriber Edge Services Manager - Oxygen3 24h-365d,
por Panda Software (http://www.pandasoftware.es)

MADRID, 26 de abril de 2006 - Cisco ha anunciado una vulnerabilidad en Cisco Subscriber Edge Services Manager (SESM) al procesar mensajes DNS, que puede provocar que un usuario remoto provoque condiciones de denegación de servicios.
La vulnerabilidad reside en el tratamiento de paquetes DNS que contengan información no válida en su sección comprimida. Un usuario remoto podría explotar esta vulnerabilidad y provocar la caída del sistema mediante el envío de un paquete DNS con tales características.
Se ven afectados los siguientes dispositivos: Cisco IP Phones 7902/7905/7912; Cisco ATA (Analog Telephone Adaptor) 186/188; Cisco Unity Express; dispositivos Cisco ACNS (Application and Content Networking System) que incluye Cisco 500 Series Content Engines, Cisco 7300 Series Content Engines, Cisco Content Routers 4400 series, Cisco Content Distribution Manager 4600 series, Cisco Content Engine Module para Cisco 2600, 2800, 3600, 3700, y 3800 Integrated Service Routers y Cisco SESM (Cisco Subscriber Edge Services Manager).

Cisco ha publicado una versión actualizada Cisco Subscriber Edge Services Manager 3.3(2), la matriz de actualizaciones y los diferentes métodos de actuación, en:
http://www.cisco.com/warp/public/707/cisco-sn-20050524-dns.shtml

22 de abril de 2006

HSRP - Redundancia en la salida a Internet

La redundancia en la salida a Internet, o a cualquier otro tipo de conexión WAN, es hoy una característica áltamente deseable en función de brindar a nuestras redes un esquema eficiente de soporte ante eventuales fallos en el proveedor de servicios.
En este sentido, agregar un segundo router con un nuevo enlace de salida (en lo posible con un proveedor de servicio diferente), es un esquema de redundancia que responde a este requerimiento.
El problema es que de este modo, nuestra red LAN tiene 2 gateways (puertas de salida) hacia Internet. Si nuestros routers son Cisco, esto tiene una solución simple y fácil de implementar: HSRP.


¿Qué es HSRP?
Se trata de un protocolo propietario de cisco para administrar este tipo de redundancia. Las alternativas son VRRP (Virtual Router Redundancy Protocol), un protocolo estándar con el mismo objeto y GLBP (Gateway Load Balancing Protocol), otra solución propietaria de Cisco.

Un ejemplo
Para una mejor comprensión de la operación y configuración de HSRP, tomemos como punto de partida este ejemplo:

En esta red, las terminales tiene configurado como gateway la dirección IP 172.16.1.3. Sin embargo, esta dirección no pertenece a ningún dispositivo real de nuestro ejemplo; se trata de una dirección IP virtual que es referida al router que se asumo como primario por HSRP.

¿Cómo trabaja HSRP?
Al implementar HSRP, los routers redundantes pueden tener 2 estados: primario (Router 1) y standby (Router 2).
Si el router primario no envía paquetes hello al router standby por un determinado período de tiempo, el router standby asume que el primario está fuera de servicio por algún motivo y pasa a estar activo.
De este modo, el router que estaba standby asume la responsabilidad de la IP virtual y comienza a responder a la dirección MAC virtual a la que está puntada la IP virtual.
Para hacer esto posible, el router primario y el standby intercambian paquetes HSRP hello que le permiten a cada uno conocer el estado del otro.
Estos paquetes hello utilizan la dirección multicast 224.0.0.2 y el puerto UDP 1985.
HSRP se encuentra disponible desde Cisco IOS 10.0, pero se han incorporado nuevas funcionalidades en las versiones 11 y 12.


¿Cómo se determina cuál será el router activo?
Para esto se puede configurar una prioridad o determinar cuál será el dispositivo activo. La prioridad por defecto es 100 y el router de mayor prioridad es el que se preferirá como activo.
Hay que tener presente que HSRP no se limita a 2 routers, sino que se puede generar grupos de router que trabajen en conjunto de modo de tener múltiples dispositivos en situación standby.

¿Cómo se configura HSRP?
Para esto se utiliza el comando standby.
Considerando nuestra red de ejemplo, los pasos a completar son los siguientes:

Para el Router 1:

  • Configure la dirección IP de la interfaz Ethernet.
  • Configure la dirección IP virtual.
  • Indique que desea que Router 1 sea el router primario siempre que esté disponible.
Para el Router 2:
  • Configure la dirección IP de la interfaz Ethernet.
  • Configure la dirección IP virtual.
  • Configure la prioridad HSRP con un valor menor a 100.
Traducido en comandos:
Router 1
interface Ethernet0/0
ip address 172.16.1.1 255.255.255.0
standby ip 172.16.1.3
standby preempt

Router1# show standby
Ethernet0/0 - Group 0
State is Active
2 state changes, last state change 00:00:29
Virtual IP address is 172.16.1.3
Active virtual MAC address is 0000.0c07.ac00
Local virtual MAC address is 0000.0c07.ac00 (default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.692 secs
Preemption enabled
Active router is local
Standby router is 172.16.1.2, priority 99 (expires in 8.097 sec)
Priority 100 (default 100)
IP redundancy name is "hsrp-Et0/0-0" (default)

Router 2
interface Ethernet0/0
ip address 172.16.1.2 255.255.255.0
standby ip 172.16.1.3
standby priority 99

Router2# show standby
Ethernet0/0 - Group 0
Local state is Standby, priority 99
Hellotime 3 sec, holdtime 10 sec
Next hello sent in 1.014
Virtual IP address is 172.16.1.3 configured
Active router is 172.16.1.1, priority 100 expires in 7.159
Standby router is local
4 state changes, last state change 00:02:02

El comando show standby nos permite verificar el estado de HSRP en cada dispositivo. Indica además la dirección IP y MAC virtuales, qué dispositivo está activo y cuál standby, y brinda información estadística.

En las terminales se configura la dirección IP virtual como default gateway, no la dirección real de la interfaz de los dispositivos. De este modo, si uno de los dispositivos sale de servicio el otro toma su lugar automáticamente y de modo transparente para los nodos. El tiempo requerido para este cambio es menor a los 10 segundos.

Para mayor información sobre este protocolo, características y configuración, consulte la
documentación oficial de Cisco en línea.

Oscar Gerometta

20 de abril de 2006

Chau Cisco 2600

Nota publicada en IT Sitio el 19 de abril de 2006

Cisco deja de vender tres líneas de routers

Además de su línea de routers 2600, cuyo abandono anunciara hace unos días, la compañía decidió retirar también las familias Cisco 1700 y 3700. En su lugar, recomienda a los partners y clientes considerar las líneas equivalentes de routers de servicios integrados (ISRs). La compañía dejará de vender estos productos en marzo de 2007, pero mantendrá el soporte hasta 2012.

En total son tres las plataformas de routers multiservicios que Cisco está retirando del mercado. Se trata de la serie 1700, popular entre pequeñas sucursales y PyMEs; la familia 3700, empleada en las casas matrices de grandes empresas; y los 2600, el buque insignia para las redes empresariales con más de 2 millones de unidades vendidas.

La compañía dejará de vender estos productos el 27 de marzo de 2007, mientras que el soporte de estas plataformas se abandonará de forma paulatina, si bien está garantizado hasta el 25 de marzo de 2012. La recomendación de la compañía para sus usuarios es actualizarse a sus ISR 1700, 2800 y 3800.

2600: el buque insignia
Anunciada el EoS y EoL (Fin de Ventas y Fin de Vida) de los equipos 2600, Cisco recomienda a sus clientes la actualización a las series 3800, o Integrated Services Router (ISR) 2800, que incorporan prestaciones de seguridad y de aceleración de VoIP, junto con caracteríscas WAN estándar, como conectividad T-1/E-1 y T-3/E-3.

Hasta la fecha, se han provistos más de dos millones de equipos 2600, un volumen que podría ser pronto superado por la línea ISR. En efecto, se han vendido, desde su introducción en 2004, más de 500.000 routers de estas líneas, generando a la compañía más de mil millones de dólares en ingresos. Tales cifras convierten a los ISRs en los productos con el mayor ritmo de penetración en el mercado de la historia de Cisco.

Los ISR suponen, en la actualidad, una de las ofertas más poderosas del fabricante, en un momento en que, pese a contar con una cuota del 70% del mercado de routing WAN, tiene que enfrentarse a una creciente presión competitiva.
En los últimos meses, Cisco ha visto aumentar la presencia en el mercado de firmas como Juniper, con sus SSG (que integran los firewalls de Netscreen); Nortel, que el año pasado adquirió Tasman Networks; y Alcatel, que recientemente lanzó los routers OmniAccess.

8 de abril de 2006

La Pregunta de la Semana


La idea de esta sección es proponer cada semana una pregunta sobre diferentes temas relacionados al examen de certificación CCNA 640-801.
Recorreremos los distintos temas que abarca el examen de certificación, y la idea es que cada uno aporte sus comentarios o información sobre el tema planteado. A la semana siguiente (el día lunes), cuando propongamos una nueva cuestión, publicaremos la respuesta de la pregunta planteada.
Esperamos la participación de todos para enriquecer el debate y que todos ganemos en conocimiento.
Saludos....



1. Usted está intentado establecer una conexión a un router Cisco. Desea establecer una conexión telnet al router utilizando TCP/IP pero no puede lograr una sesión ¿cuál de las siguientes opciones le permite conectar directamente una PC a un router?

    1 - Conecte el puerto COM de la PC al puerto consola del router utilizando un cable derecho.
    2 - Conecte el puerto COM de la PC al puerto consola del router utilizando un cable cruzado.
    3 - Conecte el puerto COM de la PC al puerto Ethernet del router utilizando un cable cruzado.
    4 - Conecte el puerto Ethernet de la PC al puerto Ethernet del router utilizando un cable cruzado.
    5 - Conecte el puerto Ethernet de la PC al puerto Ethernet del router utilizando un cable consola.
    6 - Conecte el puerto Ethernet de la PC al puerto Ethernet del router utilizando un cable derecho.

Rta. a la Preg.: 4 – En la premisa se indica que se desea establecer una conexión telnet, es decir, a través de una terminal virtual. Para esto debo acceder a través de un puerto LAN o WAN del dispositivo. Para conectar directamente una PC a un router a través de un puerto Ethernet debemos utilizar un cable cruzado con conectores RJ-45 entre el puerto Ethernet del router y la placa de red de la PC.
Para este propósito no podemos utilizar el puerto COM de la PC, o el puerto consola del router. Estos puertos se utilizarían para establecer una conexión de consola.

-------

2. Su ISP le ha asignado el siguiente block de direcciones CIDR: 115.64.4.0/22. ¿Cuál de las direcciones IP que se muestran a continuación puede ser utilizada para nodos? (elija 3)

    1 - 115.64.8.32
    2 - 115.64.7.64
    3 - 115.64.6.255
    4 - 115.64.3.255
    5 - 115.64.5.128
    6 - 115.64.12.128

Rta. a la Preg.: 2, 3 y 5 – Utilizando esa máscara de subred, la dirección reservada de subred es 115.64.4.0 como está dicho, la dirección reservada de broadcast es 115.64.7.255, y en consecuencia el rango de nodos válidos es de 115.64.4.1 al 115.64.7.254

-------

3. ¿Cuál de las siguientes opciones es proporcionada por el comando show cdp entry *? (Elija todas las que se apliquen).

    1 - Dirección IP del router colindante
    2 - Información del protocolo
    3 - Plataforma
    4 - Capacidad
    5 - Tiempo
    6 - ID del Puerto
    7 - Tiempo de espera
    8 - La misma información que show version
    9 - El ID del dispositivo colindante
    10 - La interfaz local
    11 - La velocidad del enlace

Rta. a la Preg.: 1, 2, 3, 4, 6, 7, 9, 10 – El comando show cdp entry * se utiliza para reunir información detallada acerca de dispositivos colindantes.
Si bien permite verificar la versión de sistema operativo que está corriendo el dispositivo vecino, esto es sólo una parte de la información que da show version. No muestra la totalidad de la información que da ese comando.

-------

4. ¿Cuál de las siguientes opciones es verdadera respecto al comando isdn switch-type?

    1 - Puede configurarse sólo en modo de configuración global.
    2 - Puede configurarse sólo desde la configuración de la interfaz.
    3 - Puede configurarse tanto en el modo global o como en configuración de la interfaz.
    4 - Puede utilizarse sólo cuando se tiene un TA.

Rta. a la Preg.: 3 - Se puede configurar el tipo de switch globalmente y determinar de esta manera el tipo de switch para todas las interfaces BRI, o bien puede configurarse a nivel de interfaz si cada interfaz BRI está conectada a un tipo diferente de switch.

-------

5. ¿Cuáles de las siguientes afirmaciones son verdaderas respecto de los canales ISDN? (Elija 3)

    1. Cada canal B puede transmitir hasta 64 Kbps.
    2. Los canales B de ISDN transportan voz y datos.
    3. El canal D de ISDN tranmite información de control.
    4. La tasa de transmisión del canal D varía dependiendo del servicio que se utiliza.
    5. Se pueden utilizar HDLC o PPP para encapsular la información del canal D.

Rta. a la Preg.: 1, 2 y 3 - ISDN implementa 2 tipos de canales diferentes. Los canales B de 64 Kbps cada uno se utilizan para el transporte de datos, voz y video. Los canales D son utilizados para el transporte de información de señalización del sistema; su ancho de banda puede ser de 16 o 64 Kbps según el servicio.

-------

6. ¿Cuáles de los siguientes protocolos WAN es utilizado para senalización out band? (Elija 3)

    1. NCP
    2. HDLC
    3. LAPB
    4. LAPD
    5. LAPF
    6. LCP

Rta. a la Preg: 4 - LAPD es el protocolo de encapsulación en capa de enlace de datos utilizado por ISDN para enviar información de señalización a través del canal D. Esto es señalización out band, es decir, fuera del ancho de banda utilizado para el transporte de datos.

NCP, LCP son protocolos de negociación del enlace implementados por PPP. Pero su circulación es dentro del mismo canal utilizado por la transmisión de datos, por lo tanto es señalización in band. Lo mismo ocurre con HDLC, LAPB, y LAPF, que si bien pueden transportar información necesaria para el funcionamiento de un enlace o circuito, este transporte lo realizan utilizando el mismo canal (y a veces incluso la misma trama) que se utiliza para el envío de datos, y por lo tanto es una operación in band.

-------

7. ¿Cuál de las tecnologías que se indican a continuación no incluye una definición de implementación de capa física para enlaces WAN?

    1. DSL
    2. ISDN
    3. Frame Relay
    4. Gigabit Ethernet

Rta. a la preg.: 3 Frame Relay no considera una definición de capa física. De hecho se originó como una propuesta para el aprovechamiento más eficiente de los enlaces conmutados de ISDN. De hecho, hoy, Frame Relay opera sobre múltiples tecnologías de transporte sobre capa física.

Por el contrario, DSL, ISDN y GbEth son tecnologías que incluyen implementaciones específicas a nivel de capa física. GbEth es considerado por algunos ya una tecnología WAN ya que principalmente (aunque no de modo exclusivo) opera sobre enlaces de fibra óptica de alta velocidad.

-------

8. En enlace ISDN puede ser encapsulado utilizando tanto PPP como HDLC. ¿Cuál es la ventaja de utilizar PPP? (seleccione 2 respuestas)



    1. PPP es más fácil de configurar y mantener que HDLC.
    2. PPP puede ser implementado de modo consistente en redes que implementan equipamiento de diferentes fabricantes.
    3. PPP es más rápido y más eficiente que HDLC sobre los enlaces de circuito conmutado de ISDN.
    4. La autenticación PPP permite prevenir llamadas no autorizadas utilizando un enlace ISDN establecido.
    5. PPP puede ser enrutado a través de servicios públicos mientras que HDLC no es enrutable en redes de circuito conmutado.
    6. PPP brinda soporte a comunicaciones asincrónicas.

Rta.: 2 y 6 - PPP es un protocolo estándar, por lo que es posible implementarlo sobre dispositivos de diferentes fabricantes. En contraposición, si bien hay un HDLC estándar, sus implementaciones son propietarias, por lo que no puede ser empleado entre dispositivos de diferente vendor.

Por otra parte, mientras HDLC es un protocolo diseñado exclusivamente para trabajar sobre enlaces seriales sincrónicos, PPP puede operar tanto sobre enlaces sincrónicos como asincrónicos.

En cuanto a facilidad de configuración y velocidad de operación, ambos protocolos tienen semejantes prestaciones. Tenga en cuenta que la autenticación de PPP (sea PAP o CHAP) sobre ISDN opera una vez que se realizó la llamada y se estableció el circuito; por lo tanto no permite prevenir llamadas no autorizadas.

-------

10. Un grupo de nodos está físicamente conectado a un mismo switch. Las terminales son utilizadas por empleados de la empresa que pertenecen a diferentes departamentos, por lo que no necesitan intercambiar información de manera regular entre ellos. ¿Qué tecnología puede permitirle al Administrador de la red reducir el tráfico de broadcast innecesario entre nodos?



    1. Microsegmentación.
    2. Conmutación transparente.
    3. Conmutación de circuitos.
    4. Implementación de port security.
    5. Conmutación en modo almacenamiento y envío.
    6. Redes de área local virtuales (VLANs).
    7. Conmutación en modo libre de fragmentos.

Rta: 6 - Al implementar VLANs sobre un switch, se dividen dominios de broadcast. Esto permite disminuir el tamaño de los dominios de broadcast, al mismo tiempo que se aumenta la cantidad de estos dominios.

Más cuestionarios sobre el examen de certificación,
tips, simulaciones y abundante material de estudio,
los encontrarás en mi nuevo libro:
"Guía de preparación para el examen de certificación CCNA"

3 de abril de 2006

Guía de Preparación para el Examen de Certificación CCNA


Guía de Preparación para el Examen de Certificación CCNA es un texto de preparación para el examen de certificación CCNA 640-801 .



    !!!Es la primera guía de estudio para el examen de certificación CCNA integralmente desarrollada en castellano!!!
Me preparé con su libro, y certifiqué el examen CCNA.
Quería agradecerle por la calidad y profesionalismo, el libro es excelente y fue fundamental para poder prepararme en tiempo y forma. El examen fue complejo pero no me encontré con ninguna sorpresa... estaba bien preparado!!

Gonzalo - Argentina
La verdad es que nunca habia entendido tan a la perfección el tema de subredes (gracias a su libro) y eso que yo estoy intentanto recertificarme.Tolo - España

Ir A la información sobre la Guía
Autor: Oscar A. GeromettaCCAI/CCNA - Regional Instructor CCNA/CCNP - SuperInstructor SC - IT Essentials.
Primer CCAI/CCNA de la Región.
Miembro del Instructional Review Board de Cisco Networking Academy.
Es creador –en el año 2000- del primer curso de apoyo para alumnos de Cisco Networking Academy program que se preparan a rendir su examen de certificación CCNA, logrando entre sus alumnos un nivel de aprobación superior al 90%.

Texto:
Se trata de una guía de preparación para el examen de certificación que incluye amplia información sobre el examen, su metodología, alcances, requerimientos y recursos disponibles para la preparación. Desarrolla todos los contenidos exigidos por los objetivos del examen, incluyendo una colección de herramientas tales como mapas conceptuales, notas de apoyo, síntesis, cuestionarios, ejercicios de simulación y un anexo de comandos utilizados.

Incluye más de 400 preguntas de preparación para el examen de certificación con sus respuestas y ejercicios de simulación de diferente tipo.

No es sólo un manual de estudio, es una guía diseñada y pensada de modo didáctico para orientar todo el proceso de preparación del candidato a rendir su certificación CCNA.Está específicamente orientado al examen CCNA 640-801.

Ir A la información sobre la Guía
Contenidos:
  • Descripción de la metodología y contenidos del examen de certificación.
  • La preparación para el examen.
  • Los contenidos del examen de certificación.
    • Principios de networking
    • Protocolo IP
    • Implementación de subredes
    • El sistema operativo Cisco IOS
    • Enrutamiento IP
    • Administración de redes Cisco IOS
    • Conmutación LAN
    • VLANs y trunking
    • Listas de control de acceso
    • Conectividad WAN
    • Guía de Comandos
    • Ejercicios de Simulación
    • Cuestionarios
Baje los índices completo y la introducción de la Guía de Preparación.
Fe de Erratas

Para la adquisición:
  • Para reservar tu ejemplar del texto impreso: solicitalo por correo electrónico a libros.networking@gmail.com y lo recibirás en Argentina por Correo Argentino contrareembolso; en el exterior por Correo Argentino y hacen el pago por Western Union.
  • Si estás en el área de la ciudad de Buenos Aires y deseás comprar personalmente tu ejemplar impreso, podés dirigirte a: Av. Belgrano 1720, 2° piso, Buenos Aires (a metros de Av. Belgrano y Av. Entre Ríos), de lunes a viernes en el horario de 9 a 18 hs.
  • Para adquirir la Guía de Preparación para el Examen de Certificación CCNA en formato e-book directamente de Editorial Libronauta, ingrese aquí.
Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.Saludos.
Oscar Gerometta