23 de junio de 2006

El orden de operaciones en entornos Cisco IOS

Comprender adecuadamente el orden en que se ejecutan diferentes operaciones sobre el flujo de tramas que atraviesa un dispositivo Cisco IOS es de vital importancia para implementar políticas de control del tráfico.
La información de este artículo es aplicable a entornos que
implementan NAT y/o QoS. Para su acabada comprensión
se requieren al menos conocimientos de ACL, routing, NAT y QoS.
El orden de operaciones es el que indica al dispositivo cómo debe procesar el tráfico de acuerdo a la configuración activa. De modo que este orden se vuelve crítico cuando se han configuraco opciones tales como NAT, QoS o encripción de datos.
La operación de Cisco IOS utiliza 2 tablas de orden de operaciones: el orden de operaciones de NAT y el orden de operaciones de QoS.
Orden de operaciones NAT
Cuando un dispositivo implementa esta tabla de orden de operaciones, el dispositivo toma el paquete entrante y ejecuta cada uno de los procesos descriptos en la table en orden descendente, del primero al último.
Si el paquete ingresa a través de la interfaz configurada como inside, utiliza la lista denominada inside-to-outside; si ingresa a través de la interfaz configurada como outside, utiliza entonces la lista outside-to-inside.
Lista inside-to-outside
  • Si implementa IPSec, verifica la lista de acceso de ingreso.
  • Desencripción (para CET o IPSec).
  • Verifica lista de acceso de tráfico entrante.
  • Verifica límites de tasa de ingreso.
  • Estadísticas de ingreso.
  • Policy routing.
  • Routing.
  • Redireccionamiento a web cache.
  • Traducción a dirección global (NAT).
  • Crypto (verifica mapeo y marca para encripción).
  • Verifica lista de accesso de tráfico saliente.
  • Verifica CBAC (context-based access control).
  • Encripción.

Lista outside-to-inside

  • Si implementa IPSec, verifica la lista de acceso de ingreso.
  • Desencripción (para CET o IPSec).
  • Verifica lista de acceso de tráfico entrante.
  • Verifica límites de tasa de ingreso.
  • Estadísticas de ingreso.
  • Traducción a dirección local (NAT)
  • Policy routing.
  • Routing.
  • Redireccionamiento a web cache.
  • Crypto (verifica mapeo y marca para encripción)
  • Verifica lista de accesso de tráfico saliente.
  • Verifica CBAC (context-based access control).
  • Encripción.
¿Cómo influye este orden de operaciones?
Supongamos que un paquete atraviesa el dispositivo desde la interfaz NAT ouside a la interfaz NAT inside, y se desea entrablecer una lista de acceso (ACL) que bloquee el tráfico proveniente de ciertas direcciones IP. ¿Cuál es la dirección IP que debe filtrarse? ¿La IP pública de origen o la IP privada a la que será traducida esa IP pública?
Al verificar el orden de operaciones correspondiente al tráfico outside-to-inside, se constata que la traducción de la IP pública a la IP privada (NAT) se realiza después de verificar las ACL para tráfico entrante. En consecuencia, para bloquear este tráfico se debe utilizar la dirección IP pública ya que realizará esta operación antes de la traducción.
Analicemos otra posibilidad. Se requiere la creación de una ruta estática para direccionar tráfico que es somentido al proceso de NAT. Una vez más, ¿qué debemos considerar, la red de destino pública o la privada?
En este caso se debe utilizar la dirección de destino privada, porque el tráfico será traducido antes de ser procesado para su ruteo.
Orden de operaciones QoS
Esta lista es de suma importancia en aquellos casos en los que se implementa QoS.
En este caso, el orden de operaciones para tráfico entrante al dispositivo es:
  • QoS Policy Propagation a través de BGP
  • Clasificación común de ingreso.
  • Lista de acceso de tráfico entrante.
  • Marcación de tráfico entrante (CAR).
  • Política de ingreso (CAR).
  • IPSec.
  • Cisco Express Forwarding o Fast Switching.

El orden de operaciones para el tráfico saliente desde el dispositivo es:

  • CEF o Fast Switching.
  • Clasificación común de salida.
  • Lista de acceso de tráfico saliente.
  • Marcación de tráfico saliente.
  • Política de salida (CAR).
  • Queueing (CBWFQ y LLQ) y WRED

Estas tablas permite comprender cómo se es el flujo de tráfico a través de los dispositivos y cómo se controla ese tráfico.

Es particularmente importante el orden de operaciones de NAT, ya que si no se lo considera adecuadamente es muy difícil superar algunas dificultades que surgen al configurar de como concurrente NAT y ACLs.

Oscar Antonio Gerometta
Todo comentario o aprte que desee hacer,
por favor, incorporalo en forma de comentario
a este artículo. Muchas gracias.

22 de junio de 2006

PandaLabs advierte sobre Sixem.A

From: Oxygen3 24h-365d <oxygen@pandasoftware.com>
Date: 21-jun-2006 7:42
Subject: Oxygen3 24h-365d [PandaLabs advierte sobre Sixem.A - 21/06/06]
To:
OXYGEN3ES@oxygen3.pandasoftware.com

"Una clara señal del verano es que la silla
se levanta cuando tú lo haces"
Walter Winchell (1897-1972), columnista estadounidense.
(Hoy se produce el solsticio de verano a las 12:26 UTC)

PandaLabs advierte sobre Sixem.A -

Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)
Madrid, 21 de junio de 2006 -

PandaLabs, laboratorio de Panda Software, advierte sobre la aparición de Sixem.A, un gusano de correo electrónico que utiliza la ingeniería social para engañar a los usuarios, ya que llega con asuntos relacionados con el Mundial de Fútbol, como "Encuentro de la Copa del Mundo al desnudo". En el contenido del correo se ofrece la posibilidad de presenciar un supuesto "mundial nudista".

Sixem.A también utiliza otros reclamos, como el ir a una dirección web para que el usuario pueda ver imágenes de aficionados en actitudes violentas.Tras estos reclamos se adjunta un fichero ejecutable que aparenta ser una imagen, pero con doble extensión. De esta forma, la verdadera naturaleza del fichero queda oculta para usuarios que tengan activada la opción "ocultar extensiones de fichero para tipos de fichero conocidos". Una vez es ejecutado, el gusano se conecta a una página web para intentar descargar el troyano, Downloader.JGP.

Además, este nuevo gusano recopila direcciones de correo electrónico del usuario que luego utiliza para enviar copias de sí mismo y así aumentar su distribución. Además, Sixem.A finaliza una serie de procesos relacionados con software antivirus para impedir su detección y neutralización, lo que reduce la seguridad del equipo infectado y lo hace más vulnerable a otros ataques.

Para ayudar al mayor número de usuarios a analizar y/o desinfectar puntualmente sus equipos, Panda Software ofrece gratuitamente -en http://www.pandasoftware.es/home/default.asp - la solución antimalware online Panda ActiveScan, que ahora también detecta spyware. Además, los webmasters pueden ofrecer este mismo servicio a los visitantes de sus páginas web mediante la inclusión de un código HTML que pueden obtener gratuitamente en http://www.pandasoftware.es/partners/webmasters/

20 de junio de 2006

Cross-site scripting en Cisco Secure ACS para UNIX

From: Oxygen3 24h-365d <oxygen@pandasoftware.com>
Date: 20-jun-2006 10:27
Subject: Oxygen3 24h-365d [Cross-site scripting en Cisco Secure ACS para UNIX - 20/06/06]
To:
OXYGEN3ES@oxygen3.pandasoftware.com

"Todo cuanto sé con mayor certeza sobre la moral y las
obligaciones de los hombres, se lo debo al fútbol".
Albert Camus, (1913-1960), escritor y filósofo francés
(El 20 de junio de 1963 se establece el "teléfono rojo" entre URSS y EEUU)

- Cross-site scripting en Cisco Secure ACS para UNIX -

Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)
Madrid, 20 de junio de 2006 - Cisco ha confirmado la existencia de una vulnerabilidad en Cisco Secure Access Control Server para UNIX, por la que un usuario remoto podrá crear ataques de cross-site scripting.

El problema reside en que el script 'LogonProxy.cgi' no filtra adecuadamente el código html introducido por el usuario en peticiones HTTP GET y HTTP POST antes de mostrar la entrada. Un usuario remoto podrá provocar la ejecución de código script arbitrario en el navegador del usuario atacado. El código se generará desde el sitio con el software Cisco Secure ACS para UNIX y se ejecutará en el contexto de seguridad de dicho sitio. Como resultado, el código tendrá acceso a las cookies del usuario atacado asociadas con el dispositivo (incluidas las cookies de autenticación), a datos de accesos recientemente introducidos por el usuario al dispositivo a través de formularios web, o podrá realizar acciones sobre el dispositivo actuando como el propio usuario atacado.

Sólo se ve afectada la versión Cisco Secure ACS for UNIX, otras versiones de Cisco Secure Access Control Server no se ven afectadas.
Cisco ha publicado una actualización disponible en: http://www.cisco.com/pcgi-bin/tablebuild.pl/cspatchunix-3des

El aviso de seguridad de Cisco está disponible en: http://www.cisco.com/warp/public/707/cisco-sr-20060615-acs.shtml

17 de junio de 2006

Los nuevos Cisco IOS packages

Si usted no ha comprado un dispositivo Cisco nuevo en los últimos tiempos, o si no ha realizado una actualización de sistema operativo, puede que aún no sepa que Cisco ha implementado una nueva formulación de las presentaciones de Cisco IOS (lo que denominábamos "feature sets") junto con una nueva convención de nombres. Esto ha sido a partir de Cisco IOS versión 12.3.
Este cambio ha permitido reducir los posibles feature sets de una versión de Cisco IOS para un hardware determinado, que eran en algunos casos más de 40, a solamente 8 combinaciones que ahora se denominan "packages".
Es importante conocer esta presentación de Cisco IOS con detalle, para poder tomar una decisión adecuada al momento de seleccionar la próxima versión de sistema operativo a instalar en los dispositivos.


Legacy Naming
Para las versiones de IOS anteriores a la 12.3, Cisco utiliza una combinación de letras y números para identificar cada versión del sistema operativo. Es un sistema árido y de difícil memorización, que permite muchísimas combinaciones. En algunos casos había hasta 44 feature sets diferentes para una misma plataforma.
Esta convención de nombres recibe en la actualidad la denominación de "legacy naming", y es importante que hagamos una revisión de ella ya que la encontraremos en la mayoría de nuestros dispositivos todavía en operación.
Analicemos un ejemplo: en un router Cisco 2611 que corre un Cisco IOS 12.2, podemos encontrar una imagen de IOS cuyo nombre estándar es:


  • c2600-ik9o3s3-mz.122-15.T9.bin
Esto significa:
  • c2600 nos indica que es para la serie de routers 2600.
  • i en ik9o3s3 indica que es el feature set IP routing.
  • k9 indica que contiene la versión IOS del protocolo de encripción 3DES.
  • o3 indica que es la versión IOS que incluye firewall/IDS.
  • s3 indica que es la versión IOS para los routers serie 2600/3600 denominada "Basic limited routing/limited memory".
  • mz significa que esta versión de IOS corre desde la RAM y se encuentra comprimida.
  • 122-15.T9 indica que es un IOS versión 12.2 release 15, y que es una imagen tipo T versión 9.

Nota: Si no conoce el nombre de la imagen del sistema operativo
que está corriendo el dispositivo, utilice el comando show version.
Para ver la imagen almacenada en la memoria flash
puede utilizar los comandos show flash o dir flash:

Es decir, una denominación compleja y difícil de interpretar, que requiere un alto nivel de conocimiento sobre la nomenclatura para poder comprender el contenido. Es por esto que se requiere un documento específico, denominado "Guide to Cisco IOS Release Naming" para poder interpretar correctamente este complejo conjunto de letras y números.

Nuevo IOS Packaging
Cisco ha adoptado a partir del Cisco IOS 12.3 un nuevo método de ordenamiento y nomenclatura para las imágenes del IOS denominado "IOS Packaging". El objetivo principal es reducir la cantidad y variedad de versiones de IOS disponibles para cada dispositivo a solamente 8.

Esos 8 "packages" son:

  • IP Base
  • IP Voice
  • Enterprise Base
  • Advanced Security
  • SP Services
  • Advances IP Services
  • Enterprise Services
  • Advanced Enterprise Services

Cada uno de estos packages reúne un conjunto de características. Por ejemplo, el package Advanced Security contiene el Cisco IOS Firewall, IPSEC, 3DES, VPN y SSH. Este sería el package que reemplaza la versión que revisamos más arriba: c2600-ik9o3s3-mz. En este caso, la denominación de la imagen es mucho más clara:

  • c2600-advsecurityk9-mz

Para conocer los detalles respecto de esta nomenclatura,
consulte al respecto el
Boletín de Producto 2160

El nivel más básico de imagen de Cisco IOS es la denominadaIP Base. Esta imagen contiene los features de ruteo IP estándar de mayor uso. El nuevo sistema relaciona los diferentes package, de modo tal que los más complejos incluyen todas las funciones de los más simples. Esta figura muestra como Cisco explicita la relación existente entre los diferentes packages disponibles:

Información adicional sobre esta nueva presentación, puede encontrarla en:

Oscar A. Gerometta
Todo comentario o aporte que desees hacer,
por favor, incorporalo en forma de comentario
a este artículo.Muchas gracias.

12 de junio de 2006

Cross-Site Scripting en Cisco WebVPN

From: Oxygen3 24h-365d <oxygen@pandasoftware.com>
Date: 12-jun-2006 7:41
Subject: Oxygen3 24h-365d [Cross-Site Scripting en Cisco WebVPN - 12/06/06]
To:
OXYGEN3ES@oxygen3.pandasoftware.com
"El problema con los árbitros es que conocen las reglas,
pero no conocen el juego"
Bill Shankly (1913-1981), manager de fútbol
(El 12 de junio de 1942, Anne Frank recibe un diario por su cumpleaños)
Cross-Site Scripting en Cisco WebVPN
- Oxygen3 24h-365d, por Panda Software (
http://www.pandasoftware.es)
Según la empresa Security Tracker, se ha encontrado una vulnerabilidad en Cisco WebVPN por la que un atacante remoto podrá realizar ataques de cross-site scripting. El script 'dnserror.html' de WebVPN no filtra adecuadamente el código html introducido por el usuario en el parámetro 'domain' antes de mostrar la entrada. Por ello, un atacante remoto podrá crear una URL especialmente modificada de forma que cuando la visite el usuario atacado provocará la ejecución de código script arbitrario en el navegador del usuario. El código se originará desde el dispositivo WebVPN y se ejecutará en el contexto de seguridad de dicho dispositivo.
Como resultado, el código tendrá acceso a las cookies del usuario atacado asociadas con el dispositivo (incluidas las cookies de autenticación), a datos de accesos recientemente introducidos por el usuario al dispositivo a través de formularios web, o podrá realizar acciones sobre el dispositivo actuando como el propio usuario atacado.
El aviso puede ser consultado en http://securitytracker.com/alerts/2006/Jun/1016252.html.

La Pregunta de la Semana (II)

La idea de esta sección es proponer cada semana una pregunta sobre diferentes temas relacionados al examen de certificación CCNA 640-801.
Recorreremos los distintos temas que abarca el examen de certificación, y la idea es que cada uno aporte sus comentarios o información sobre el tema planteado. A la semana siguiente (el día lunes), cuando propongamos una nueva cuestión, publicaremos la respuesta de la pregunta planteada.
Esperamos la participación de todos para enriquecer el debate y que todos ganemos en conocimiento.
Saludos....



1. Se ha instalado un nuevo switch en la red de su empresa. El switch ha de ser configurado de modo tal que la información de VLANs sea automáticamente distribuida a todos los otros switches Cisco Catalyst que se encuentran en la red. ¿Cuáles de las condiciones que se enuncian abajo deben cumplirse para que esto ocurra? (Elija las que apliquen)

    A. El switch que va a compartir la información de VLANs debe estar en modo VTP server.
    B. Los switches deben estar en el mismo dominio VTP.
    C. El switch que va a compartir la información de VLANs debe estar configurado como bridge root.
    D. Los switches deben estar configurados para utilizar el mismo VTP ID.
    E. Los switches deben estar configurados para utilizar la misma versión STP.
    F. Los switches deben estar configuración para utilizar el mismo tipo de ID tagging.

A, B - Una condición básica es que todos los switches que comparten información VTP deben formar del mismo domino VTP. Este dominio se identifica utilizando un nombre de dominio. No es un VTP ID.

Por otra parte, hay 3 modos VTP: servidor, cliente y transparente. El único modo de que un dispositivo comparte su propia base de datos con los demás switches VTP del mismo dominio, es que se encuentre en modo servidor.

------

2. ¿Cuál de las siguientes afirmaciones es verdadera respecto del comando ip classless?

    A. El comando ip classless está habilitado por defecto en las versiones recientes de IOS.
    B. El comando ip classless solamente puede ser habilitado cuando se está utilizando enrutamiento estático en lugar de protocolos de enrutamiento.
    C. El comando ip classless puede ser habilitado por el administrador de la red siempre que se utilice RIPv1 o IGRP.
    D. El comando ip classless puede ser habilitado por el administrador de red siempre que se utilice OSPF, RIPv2 o EIGRP.
A - El Cisco IOS 12.0 y siguientes, ip classless es un feature que está activo por defecto. Este comando determina el modo en que se realiza la selección de la ruta para una dirección IP de destino concreta. No está relacionado con el uso de rutas estáticas o protocolos de enrutamiento específicos.
-------
3. ¿Cuál de los que se mencionan a continuación es un motivo válido para que un Administrador cambie el valor de prioridad spanning-tree en un switch?

    A. Para optimizar la ruta que las tramas toman desde el origen hacia el destino.
    B. Para incrementar la prioridad de un puerto designado, el cual entonces se convertiría en puerto raíz.
    C. Para incrementar el ID del bridge (BID), de modo que el switch sea asumido como bridge raíz.
    D. Para permitir que las VLANs sean enviadas desde un switch hacia los demás a través de un único enlace.
    E. Para forzar a un switch como servidor STP.

A - Al modificar la prioridad spanning-tree el Administrador puede definir cuál de los dispositivos será el bridge raíz, y de este modo optimizar las rutas posibles entre origen y destino de acuerdo al diseño de la red.
-------
4. ¿Cuál es el parámetro que se utiliza de modo primario para determinar cuál de los puertos será el puerto raíz en cada switch no raíz de una topología que implementa spanning-tree?

    A. El costo de la ruta.
    B. La menor dirección MAC del puerto.
    C. El número de revisión VTP.
    D. El mayor valor de prioridad de puerto.
    E. El valor de prioridad de puerto y la dirección MAC.

A - El puerto raíz es le puerto conectado directamente al bridge raíz, o la ruta más corta al bridge raíz. Si más de un enlace o puerto se encuentran conectados el bridge raíz, entonces el costo de los puertos (que es función del ancho de banda) es utilizado para elegir el puerto raíz. El puerto de menor costo será el puerto raíz.
-------
5. ¿Cuáles de las siguientes son tipos o técnicas de control de flujo?

    A. Buffering
    B. Envío rápido
    C. Ventana deslizante
    D. Detección de colisiones
    E. Prevención de congestión
    F. Balanceo de carga
    G. Confirmación de recepción

A, y C - De las aquí mencionadas, solamente la creación de espacios de memoria para el almacenamiento temporal de tramas (buffering) y la técnica de ventana deslizante implementada por TCP son técnicas para el control del flujo de tramas sobre la red.

Envío rápido es una modalidad de conmutación; la detección de colisiones es una técnica utilizada en protocolos que operan en redes de contención como Ethernet; el balanceo de carga es un modo de optimización de las rutas disponibles; y la confirmación de recepción es una técnica para tener confiabilidad en la comunicación de datos.

-------
6. ¿Cuáles de los siguientes son modos de trunking posibles para un puerto de switch? (Elija 3)

    A. Transparent
    B. Auto
    C. On
    D. Desirable
    E. Client
    F. Forwarding

B, C y D -

-------
7. Un router Cisco ha sido configurado con el siguiente comando:
ip nat pool nat-test 192.168.6.10 192.168.6.20 netmask 255.255.255.0
¿Este es un ejemplo de qué tipo de configuración de NAT?


    A. NAT estático
    B. NAT dinámico
    C. NAT dinámico con overload
    D. Port Address Translation
    E. Ninguno de los mencionados

B - La línea de configuración que se presenta define un pool de direcciones IP para implementar NAT dinámico. El distintivo de una configuración de NAT estático es el término static. Si se tratara de PAT debiera aparecer el término overload al final de la línea, y en este caso no está presente.

-------

8. ¿Cuáles de los parámetros que se mencionan a continuación deben ser declarados cuando se activa rutero utilizando EIGRP?

    A. La dirección de broadcast y el número de sistema autónomo.
    B. La dirección de red y el número de sistema autónomo.
    C. routing EIGRP, la dirección de red y passive interface
    D. routing EIGRP, el número de sistema autónomo y la dirección de red.

D - Para activar el enrutamiento EIGRP en un router se debe: elegir el protocolo de enrutamiento especificando al mismo tiempo el número de sistema autónomo; a continuación deben decararse las redes a través de las cuales el dispositivo debe aprender y publicar rutas con sus vecinos.
Un ejemplo:
Router(config)#router eigrp 100
Router(config-router)#network 172.16.0.0 0.0.255.255

Nota: el uso de máscara de wildcard para declarar la red varía de acuerdo a la versión de Cisco IOS.

-------

9. ¿Cuáles de las tecnologías que se mencionan a continuación pueden ser utilizadas en los protocolos de enrutamiento por vector distancia para prevenir la formación de bucles de enrutamiento? (Elija 2)

    A. Protocolo de árbol de expansión.
    B. Árbol de primero la ruta más corta.
    C. Avisos de estado de enlaces.

    D. Temporizadores de espera.
    E. Horizonte dividido.
    F. VRRP.

D y E - Con la regla de horizonte dividido los protocolos de vector distancia impiden que sobre una interfaz se publique la misma información que se aprendió a través de ella. De este modo se prevé que un dispositivo aprenda información inexacta sobre las redes de destino.
Los temporizadores de espera hacen que, después de recibir información respecto de una red o dispositivo que ha fallado, el router se mantenga en espera antes de confiar en la información de enrutamiento recibida de otras fuentes respecto de esa mismo red o router.

-------

10. ¿Cuáles de los comandos que se enuncian a continuación deben ser utilizados para asignar la red 192.168.10.0/24 al área OSPF 0? (Elija 2)

    A. Router(config-router)#network 192.168.10.0 0.0.0.255 0
    B. Router(config-router)#network 192.168.10.0 0.0.0.255 area 0
    C. Router(config-router)#network 192.168.10.0 255.255.255.0 area 0

    D. Router(config-router)#network 192.168.10.0 255.255.255.0 0
    E. Router(config)#router ospf 0
    F. Router(config)#router ospf 1


B y F - En primer lugar se debe activar el proceso de enrutamiento OSPF. Este proceso se activa con el comando router ospf [process id], donde el process id es un identificador de valor local, que puede tomar un valor a partir de 1. Cero no es un valor de process id válido en Cisco IOS.
La red sobre la que operará el protocolo se declara espedificando la dirección de red, la máscara de wildcard (no la máscara de subred) y el número de área en la que está incluída esa red. La sintaxis correcta es la que se presenta en la opción B.

Más cuestionarios sobre el examen de certificación,
tips, simulaciones y abundante material de estudio,
los encontrarás en mi libro:
"Guía de preparación para el examen de certificación CCNA"

3 de junio de 2006

Procedimiento para actualizar sistema operativo de los routers Cisco

La actualización de los sistemas operativos de los dispositivos de infraestructura de networking, especialmente los routers, es un punto tan importante en la lista de tareas regulares del Administrador de la Red como la actualización del sistema operativo de servidores y terminales.
Hay 3 razones principales para priorizar esta tarea:
  • Como ocurre con cualquier dispositivo o aplicación de una red contemporánea, los routers y switches también son propensos a la aparición de "agujeros" de seguridad.
    Dado que estos dispositivos son críticos para la infraestructura de transmisión de la red, es esencial solucionar estos problemas tan rápidamente como sean detectados.
    Al respecto, Cisco Systems y varias empresas especializadas en temas de seguridad mantienen un sistema permanente de reportes sobre la aparición de este tipo de problemas y las soluciones recomendadas en cada caso.
  • Cisco IOS es un sistema de "desarrollo abierto", es decir que permanentemente se le incorporan nuevas funcionalidades. Actualizar la versión de IOS es un modo de incorporar nuevas funciones o tecnologías que pueden solucionar desafíos operativos o facilitar tareas.
    Al respecto, Cisco tiene un plan de trabajo que considera la actualización permanente de su sistema operativo. Es de suma importancia mantenerse informado sobre las novedades que incorpora cada versión. Esta información es pública y puede ser accedida en el
    sitio web de Cisco.
  • También el "estar actualizado" es un objetivo válido en este punto y de ninguna forma secundario. Esto adquiere particular importancia cuando nuestra red implementa herramientas específicas ya que nuevas versiones de sistema operativo incorporan nuevos recursos para estas herramientas (p.e. SNMP).

¿Cómo realizar la actualización de Cisco IOS?

Primero - Realice un inventario
Para cada dispositivo de su red usted debería poseer al menos esta información:

  • Tipo y modelo de dispositivo.
  • Cantidad de memoria RAM.
  • Cantidad de memoria Flash.
  • Versión de sistema operativo instalada.

Esta información es crítica al momento de tomar o no la decisión de realizar la actualización y puede ser accedida ejecutando el comando show version en cada dispositivo.

Esto debiera formar parte de la documentación regular de la red que usted posee.

Segundo - Seleccione la imagen de Cisco IOS apropiada
El paso siguiente es entonces la elección de la imagen apropiada para sus dispositivos. Tenga presente que para obtener nuevas imágenes de sistema operativo necesitará tener un acceso válido (CCO) al sitio web de Cisco Systems. En términos generales este acceso está ligado a la existencia de un contrato de mantenimiento para los dispositivos involucrados. El usuario CCO gratuito que ofrece Cisco Systems en su sitio no tiene lo atributos necesarios.

Usted necesita acceder para esta tarea al Cisco's Software Download Center utilizando un usuario CCO válido.

En esta área encontrará varias herramientas que lo ayudarán en esta tarea:

  • IOS Upgrade Planner
    Esta herramienta le permite, a través de un navegador de Internet, revisar con facilidad las versiones de IOS disponibles, las plataformas y las caracterísiticas de cada imagen del sistema operativo.
    El procedimiento habitual es seleccionar una plataforma, en función de esto elegir un release de Cisco IOS, y luego elegir el feature set (conjunto de funcionalidades) que se requiere.
  • Cisco Feature Navigator
    Es una herramienta en línea que permite seleccionar la imagen de IOS más adecuada a partir de diferentes criterios tales como: funcionalidades requeridas, plataforma, código de producto, etc.
    Una función muy interesante de esta herramienta es la posibilidad de realizar comparaciones entre diferentes imágenes de Cisco IOS.
  • Cisco IOS Software Selector
    Se trata de otra herramienta en línea que permite seleccionar la imagen de IOS adecuada a nuestros requerimientos e informa la cantidad de memoria necesaria para correr cada imagen en particular.
  • Package Planner
    Herramienta en línea que permite seleccionar una imagen de IOS a partir de las funcionalidades requeridas.

Al momento de elegir la imagen de Cisco IOS que utilizará en su actualización, además de los requerimientos de memoria Flash y RAM necesarios para correr cada imagen, también es importante considerar la estabilidad de cada release de Cisco IOS.
Para calificar este aspecto, Cisco utiliza un conjunto de siglas que debe tener presentes:

  • GD - General Deployment
    Estas son las versiones de mayor estabilidad, y las que es aconsejable utilizar en redes de producción de tipo empresario.
  • ED - Early Deployment
    Es el equivalente de una versión beta. Es totalmente operativa pero suceptible de contener algún bug. En este sentido es aconsejable no utilizar este tipo de releases en redes de producción, aunque puede ser un recurso necesario en redes de proveedores de servicios cuando se requiere la implementación adelantada de alguna tecnología novedosa.
  • LD - Limited Deployment
  • DF - Defered Deployment

Recuerde, en redes de producción, la recomendación de Cisco Systems es siempre utilizar un GD para asegurar la estabilidad de su infraestructura.

Si desea conocer con mayor profundidad lo referente a la tecnología y desarrollo de Cisco IOS, le sugiero visitar el sector Cisco IOS Technologies del sitio oficial de Cisco Systems, en donde encontrará abundante información, o el capítulo correspondiente de Principios Básicos de Networking.

Bien, una vez que haya definida la versión e imagen de sistema operativo con la cual desea actualizar sus dispositivos, verifique los requerimientos de esa imagen de IOS en particular y compárelos con su inventario para asegurarse de que sus dispositivos estén en condiciones de correr esa imagen.

Tenga en cuenta que con el paso del tiempo el tamaño de las imágenes de Cisco IOS ha ido creciendo, con lo que aumentan los requerimientos de memoria para poder correrlas; por este motivo es posible que en algún momento sea necesario considerar una actualización de RAM y Flash en sus dispositivos.

Tercero - Descargue su imagen de IOS
Una vez seleccionada la imagen adecuada para sus dispositivos y que verificó los requerimientos de memoria, debe proceder a descargar la imagen de IOS.

Para esto es necesario primero aceptar el contrato de licencia de Cisco Systems, seleccionando la opción "I Agree" que aparece en el contrato en línea. Al aceptar el contrato de licencia el sistema lo derivará directamente a la página de descarga.

Antes de iniciar la descarga el sistema le preguntará dónde desea guardar esta imagen del Cisco IOS. Es conveniente en este momento tener definido cómo se hará luego la carga (p.e. por ftp), a fin de ya guardar la imagen en el directorio adecuado.

Cuarto - Planifique adecuadamente su actualización
Es crítico verificar la actualización antes de trasladarla a la red en producción ya que un error en este punto puede afectar la operación completa de la red. Para hacer esto:

  • En lo posible verifique la versión de Cisco IOS que ha obtenido en un dispositivo que no se encuentre en producción.
  • Planifique el proceso de actualización en todos los dispositivos de la red. Conociendo los requerimientos de la imagen del IOS verifique si es necesario actualizar hardware en algún dispositivo. Tenga en cuenta que la actualización de hardware pueden incrementar significativamente el tiempo requerido por el proceso de actualización e implica que ese dispositivo estará fuera de servicio por un tiempo más prolongado.
  • Realice la actualización de un dispositivo por vez y programe esta actividad en los horarios de menor uso de la red. Incluso realice la copia de la imagen del IOS en cada dispositivo en los horarios de menor actividad; tenga en cuenta que es una operación que se realiza generalmente in band.

Quinto - Realice la actualización
Ahora puede ya proceder a la actualización.

El modo más efectivo es realizar la copia de la imagen del Cisco IOS a cada dispositivo utilizando un servidor tftp (vea la información respecto de servidores ftp y tftp aquí):

  • Verifique usando ping la conectividad de red entre el servidor tftp y el dispositivo.
  • Utilizando el comando copy tftp flash copie la imagen del IOS a la memoria Fash de cada dispositivo. La línea de comando le requerirá la dirección IP del servidor y el nombre del archivo; a continuación le preguntará si desea borrar la imagen de IOS existente. El sistema le mostrará en la consola la evolución del proceso.
  • Si se encuentra reaizando la operación en el horario programado para interferir lo menos posible con la operación de la empresa, reinicie el dispositivo utilizando el comando reload inmediatamente para verificar que todo vuelva a funcionar correctamente.
    Si es necesario reiniciar el dispositivo más tarde puede utilizar el comando reload at hh:mm o reload in hh:mm
  • Luego de reiniciado el equipo verifique que todo funciona correctamente: verifique las interfaces, verifique la comunicación con nodos críticos y verifique el archivo de configuración.

Oscar Gerometta
Todo comentario o aporte que desees hacer,
por favor, incorporalo en forma de comentario a este artículo.
Muchas gracias.

Esta sí es una oficina!

Esta es la versión Microsoft (desarrollada por el Center for Information Work (CIW)) de la "oficina del futuro... ¡Quiero trabajar en una de estas!