26 de septiembre de 2006

Mobile IP

El concepto de mobilidad IP involucra elementos tanto de software como de hardware; provee acceso a los recursos de red a un usuario que se desplaza de una red a la otra sin interrumpir el servicio. Es lo que se denomina una conexión ubícua.


Un ejemplo de este tipo de servicio lo brindan las redes de telefonía celular, las que en teoría nos permiten iniciar una llamada en una ciudad mientras nos desplazamos en cualquier medio de transporte, y mantener la conversión a lo largo de todo el recorrido, independientemente de fronteras geográficas. Mientras dura la llamada la conexión se "mueve" de una celda a otra mientras los protocolos de red se ocupan de mantener la conexión.

Mobile IP utiliza el mismo concepto, pero aplicado a dispositivos IP en redes LAN. Un caso típico es el uso de dispositivos inalámbricos móbiles en redes de campus o semejantes. Por ejemplo, un conjunto de empleados que utilizan PDAs con conexión wireless para hacer relevamiento de información, desplazándose por un campus universitario compuesto de varios edificios, cada uno de ellos con su propia red LAN utilizando su propio direccionamiento IP.

Tradicionalmente, en estos casos, cuando nos desplazamos de una red a otra es necesario cambiar la dirección IP. Esto ciertamente puede realizarse utilizando DHCP. Pero el cambio de dirección IP implica en cada caso una interrupción del servicio de red mientras se negocia una nueva dirección, y luego la aplicación deberá reconectar. Mobile IP permite que este proceso se realice sin ningún tipo de interrupción.

¿Qué es Mobile IP?
Mobile IP es un estándar de la IETF desarrollado en los RFC 2002, 2003, 2004, 2005 y 2006.

Por tratarse de un estándar de la industria, en teoría es interoperable entre dispositivos mobile IP sin importar el fabricante, con la única condición de que soporten el estándar.

Por su parte, Cisco Mobile IP es una suite de software que puede operar sobre diferentes dispositivos, y que incluye tanto Mobile IP sobre Cisco IOS para correr en los routers Cisco y el Cisco Mobile Client para Windows. Un feature propietario de Cisco que es importante conocer para esta tecnología es Cisco IOS Local Area Mobility (LAM); esta tecnología permite a un dispositivo moverse desde una subred IP local a otra subred IP local manteniendo la misma dirección IP.

¿Cómo saber si un dispositivo soporta Mobile IP?
Para determinar si un dispositivo brinda soporte para Mobile IP diríjase al modo de configuración global e ingrese ip mobile ?:

Router(config)#ip mobile ?
% Unrecognized command

Indica que este dispositivo no está en condiciones de brindar el servicio.

Router(config)#ip mobile ?
foreign-agent . . . Foreign Agent services
home-agent . . . . .Home Agent services
host . . . . . . . .Grouping of one or more mobile hosts
secure . . . . . . .Security association
tunnel . . . . . . .Mobile IP tunnel settings
virtual-network . . IP address of virtual network containing mobile hosts
Router(config)#ip mobile

Este dispositivo si permite brindar servicios de mobile IP. Este es el comando que permite configurar la mayor parte de los ítems necesarios para habilitar este tipo de servicio.

Para encontrar información referida a la configuración del servicio de Mobile IP en dispositivos Cisco, verifique la guía correspondiente.

Página de Cisco referida a Mobile IP
Cisco Mobile Client for Windows
Guía de Configuración Mobile IP en dispositivos Cisco

¿Tenés alguna información adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

25 de septiembre de 2006

Apunte Rápido CCNA

Quizás hayas utilizado o conocido alguna de las múltiples versiones del Fast Note CCNA.
Creo que en su momento fue un aporte importante para quienes preparaban el examen de certificación y necesitaban material en español.

Si querés la última versión actualizada de aquel Fast Note. O si estás preparando tu examen de certificación y estás buscando un complemento de estudio que te ayude en el repaso y consulta de información puntual. Lo que estás buscando es el nuevo Apunte Rápido CCNA.

    !!!Es el complemento ideal de la Guía de Preparación
    para rendir con éxito el examen de certificación!!!

    Oscar, acabo de llegar de Networkers donde rendí CCNA ( Se me había vencido ).
    Te quería agradecer porque en realidad no tenía mucho tiempo de prepararlo y lo hice este fin desemana con tu Apunte Rápido, que me sirvió para refrescar conocimientos y pasar el exámen.

    Marcelo - Argentina

    Ya está disponible la versión 4.0 del Apunte Rápido.
    Orientado al examen CCNA 640-802
    Revisá el post de presentación aquí.

Fecha de publicación: 27 de septiembre de 2006

Autor: Oscar A. Gerometta
CCAI/CCNA - Regional Instructor CCNA/CCNP - SuperInstructor SC - IT Essentials.
Primer CCAI/CCNA de la Región.
Miembro del Instructional Review Board de Cisco Networking Academy.
Es creador –en el año 2000- del primer curso de apoyo para alumnos de Cisco Networking Academy program que se preparan a rendir su examen de certificación CCNA, logrando entre sus alumnos un nivel de aprobación superior al 90%.

Texto:
Se trata de una síntesis de los contenidos de estudio comprendidos en el examen de certificación CCNA.

Está concebida como un complemento de la Guía de Preparación para el Examen de Certificación CCNA, como una ayuda para el proceso de estudio de quienes se encuentran estudiando para presentar su examen de certificación.
Está orientado al examen CCNA 640-801.


Contenidos:

  • El Examen de certificación CCNA.
  • Los contenidos del examen de certificación.
    • Principios de networking
    • Protocolo IP
    • Implementación de subredes
    • El sistema operativo Cisco IOS
    • Enrutamiento IP
    • Administración de redes Cisco IOS
    • Conmutación LAN
    • VLANs y trunking
    • Listas de control de acceso
    • Conectividad WAN
    • Guía de Comandos

Cantidad de páginas: 128

Bajá los indices completos y la introducción del Apunte Rápido.

Para la adquisición:

  • En formato e-book, a través de Editorial Libronauta y pago por Pay-Pal, utilizando este enlace.
  • En formato impreso, podés solicitarlo a libros.networking@gmail.com. Cada ejemplar impreso tiene un costo de AR$ 35 más gastos de envío para el territorio de la República Argentina.
    Para el exterior: u$s 12 más gastos de envío.
  • Si estás en el área de la ciudad de Buenos Aires y deseás comprar personalmente tu ejemplar impreso, podés dirigirte a: Av. Belgrano 1720, 2° piso, Buenos Aires (a metros de Av. Belgrano y Av. Entre Ríos), de lunes a viernes en el horario de 9 a 18 hs.

Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.
Saludos.

Oscar A. Gerometta

Información sobre el examen de certificación
Consejos útiles para preparar el examen
Guía de Preparación para el Examen de Certificación CCNA

23 de septiembre de 2006

Los libros en formato e-book

Editorial Libronauta ha habilitado la posibilidad de compra de los libros publicados en formato e-book directamente de editorial por parte de particulares. Esto abre la posibilidad de adquisición de cualquiera de estos libros desde cualquier punto, sin costos de envío y operando directamente a través de Intenet con la editorial.

Para acceder a estos e-books sencillamente seleccione el enlace correspondiente en el listado que copio a continuación. Allí encontrará una reseña bibliográfica del título seleccionado y un botón para la compra directa a través de PayPal.

La utilización de estos e-books requiere la instalación en la terminal de un lector e-pages DRM de distribución gratuita, que puede descargar en la misma página de Editorial Libronauta.

Para consultas específicas sobre el formato e-book y el lector de e-pages, por favor, dirigirse directamente a Editorial Libronauta: soporte@libronauta.com

Si estás en el área de la ciudad de Buenos Aires y deseás comprar personalmente tu ejemplar impreso, podés dirigirte a: Av. Belgrano 1720, 2° piso, Buenos Aires (a metros de Av. Belgrano y Av. Entre Ríos), de lunes a viernes en el horario de 9 a 18 hs.

Esperamos que esta novedad contribuya a facilitar el acceso a los títulos.

Oscar A. Gerometta

16 de septiembre de 2006

¿Es posible bloquear el acceso a un web site utilizando ACL en Cisco IOS?

La respuesta es simple y directa: SI.

Es posible bloquear el acceso a una dirección URL desde un dispositivo Cisco IOS utilizando ACL. El tema es cómo. No es una tarea difícil en la medida en que se comprenda cómo operan las listas de acceso. Este es un procedimiento posible:

1. Configure un servidor DNS
Supondremos que se nos ha encomendado bloquear el acceso a la URL
www.google.com (sería un poco raro, pero valga simplemente como ejemplo).

No conocemos la dirección IP, y tampoco lo necesitamos; Cisco IOS tiene la posibilidad de trabajar a partir del nombre. Para esto es preciso que se haya configurado al menos un servidor DNS para ser utilizado por el IOS para la resolución de nombres; esto se realiza utilizando el comando ip name-server:

Router(config)#ip name-server ?
A.B.C.D Domain server IP address (maximum of 6)
Router(config)#ip name-server 192.115.192.29

Observe que se pueden configurar varios servidores de nombre en la misma línea de comando)

A partir de este punto, el router utilizará el servidor de nombres que configuramos, para resolver todo texto que no se corresponda a un comando, en nuestro caso, por ejemplo:

Router# ping www.google.com
Translating "
www.google.com"...domain server (192.115.192.29) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 64.255.179.104, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Router#

En este caso el nombre www.google.com ha sido resuelto a la dirección IP 64.255.179.104 utilizando el servidor DNS 192.115.192.29

2. Cree una lista de acceso
Ahora lo único que necesitamos es crear una lista de acceso que defina exactamente qué es lo que se desea bloquear y permitir luego todo el demás tráfico. En nuestro ejemplo:

Router(config)# access-list 101 deny tcp any host www.google.com eq www
Translating "www.google.com"...domain server (192.115.192.29) [OK]
Router(config)# access-list 101 permit ip any any

Esta lista de acceso deniega todo el tráfico web hacia el dominio especificado, cualquiera sea la dirección de origen. Después de esta denegación permitimos todo otro tráfico IP a través de esa interfaz para evitar el problema que genera el deny implícito que está al final de toda ACL.

Adicionalmente, si se deseara tener un registro de las direcciones IP que intentan acceder al sitio web bloqueado, la sentencia de la ACL debe ser:

Router(config)# access-list 101 deny tcp any host www.google.com eq www log

El subcomando log da lugar a la creación de un registro de todos los paquetes que sean denegados por esta sentencia.

3. Esto tiene sus límites
Este uso del servidor DNS parece resolver la necesidad de conocer la dirección IP del web server destino para bloquearlo en Cisco IOS.

Esto es verdad solo parcialmente. Si se revisa el archivo de configuración luego de ingresar nuestra sentencia ACL, lo que se ve es esto:

Router# sh run inc access-list 101
access-list 101 deny tcp any host 64.255.179.104 eq www

Es decir, al ingresar el comando el servicio dns reemplazó automáticamente la URL por la primer IP que corresponde a ese nombre, e ingresó la sentencia ya con la IP destino en la configuración. Esto tiene varias complicaciones: si la URL tiene varias direcciones IP como referentes, nuestra ACL solo filtrará la primera, las demás deberán ser ingresadas manualmente:

C:\>nslookup www.google.com
Server: ns1.labcentro.com.ar
Address: 192.115.192.29

Non-authoritative answer:
Name: www.l.google.com
Addresses: 64.255.179.104, 64.255.179.99
Aliases: www.google.com

En nuestro ejemplo, debiéramos agregar una sentencia que filtre el tráfico a la IP 64.255.179.99.

Adicionalmente también hay que tener en cuenta que si la dirección IP del servidor que estamos filtrando cambio por cualquier motivo, nuestra sentencia permanecerá direccionada a la misma IP por la que deberá ser manualmente actualizada.

4. Aplique la ACL a la interfaz
Echas estas salvedades, la ACL debe ser aplicada a la interfaz correspondiente.

En nuestro ejemplo asumiremos que estamos filtrando el tráfico que desde nuestra LAN busca salir hacia Internet. Siendo así, podemos aplicar, por ejemplo, la ACL para que filtre el tráfico saliente del router a través de la interfaz serial:

Router(config)# int serial 0/0
Router(config-if)# ip access-group 101 out

¿Tenés alguna información adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

La Pregunta de la Semana (III)

La idea de esta sección es proponer cada semana una pregunta sobre diferentes temas relacionados al examen de certificación CCNA 640-801.
Recorreremos los distintos temas que abarca el examen de certificación, y la idea es que cada uno aporte sus comentarios o información sobre el tema planteado. A la semana siguiente (el día lunes), cuando propongamos una nueva cuestión, publicaremos la respuesta de la pregunta planteada.
Esperamos la participación de todos para enriquecer el debate y que todos ganemos en conocimiento.
Saludos....



Para ver más preguntas vaya al
Índice de cuestionarios

1. La empresa acaba de instalar un nuevo router de acceso en el que usted ha aplicado la lista de acceso que se muestra más abajo, en la interfaz Ethernet 0, sobre el tráfico que ingresa a través de esa interfaz. La interfaz está conectada a la red LAN 192.168.166.18/29.

access-list 123 deny tcp 192.168.166.18 0.0.0.7 any eq 20 any
access-list 123 deny tcp 192.168.166.18 0.0.0.7 any eq 21 any

¿Cómo afectará esta lista de acceso el tráfico?

    A. Se permitirá todo el tráfico saliente por la E0 con excepción del tráfico ftp.
    B. El tráfico ftp de 192.168.166.19 a cualquier nodo será denegado.

    C. El tráfico ftp de 192.168.166.22 a cualquier nodo será denegado.

    D. Todo el tráfico saliente a través de la interfaz E0 será denegado.
    E. Todo el tráfico ftp a la red 192.168.166.18/29 desde cualquier nodo será denegado.
D - Por defecto toda lista de acceso contiene al final un deny all implícito. Dado que la lista de se ha aplicado a la interfaz sólo contienen sentencias de denegación de tráfico, afectará a todo el tráfico que salga a través de la interfaz E0.

-------

2. Acaba de instalarse un dispositivo nuevo en la red de la empresa, y se ha aplicado la siguiente lista de acceso para que filtra el tráfico entrante a través de la interfaz HSSI.

access-list 101 permit tcp any 10.18.10.0 0.0.0.255 eq 80

¿Cuál es el efecto de la palabra any en esa sentencia?

    A. Verifica cualquiera de los bits en la dirección de origen.
    B. Permite cualquier máscara de wildcard para la dirección.
    C. Acepta cualquier dirección de origen.
    D. Verifica cualquier bit en la dirección de destino.
    E. Equivale a un permit 255.255.255.255 0.0.0.0
    F. Acepta cualquier dirección de destino.
C - De las opciones que se presentan como posibles, solamente la C es correcta ya que en la ubicación correspondiente a la definición de la dirección de origen se encuentra la palabra any que equivale a 0.0.0.0 255.255.255.255, lo que permite cualquier dirección IP.

-------

3. ¿Cuál de los siguientes comandos le permite verificar la ubicación y dirección de una lista de control de acceso IP sobre la interfaz de un router?

    A. show interface list
    B. show ip route
    C. show ip interface
    D. show ip interface brief
    E. show interfaces

C - Los comandos Cisco IOS que permiten monitorear listas de acceso son 3: show running-config, show access-list y show ip interface.
De los mencionados, show ip interface es el único que permite verificar simultáneamente la ubicación de la lista de acceso y el modo en que ha sido asociada a una interfaz (filtrando tráfico entrante o saliente).

-------

4. Se muestra a continuación una porción relevante de la configuración del Router_1:

Router_1#show running-config

!
username Central password 0 cisco
!
interface BRI0/0
ip address 192.168.0.1 255.255.255.0
encapsulation ppp
dialer idle-timeout 180
dialer map ip 192.168.0.2 name Remote 5552000
dialer-group 1
isdn switch-type basic-ni
no fair-queue
ppp authentication chap
!
ip route 192.168.20.0 255.255.255.0 192.168.0.2
!
router rip
network 192.168.0.0
!
access-list 128 permit ip any any
access-list 129 deny 192.168.0.0 0.0.0.255 host 192.168.20.5 eq www
dialer-list 1 protocol ip list 128
!

Con el objetivo de preservar el ancho de bando, se ha configurado una ACL para evitar que el acceso a un servidor remoto cuya dirección IP es 192.168.20.5
Luego de modificar la configuración de acuerdo a lo que se muestra arriba, se constata de que aún es posible acceder al servidor remoto que se ha querido restringir.
Tomando entonces como referencia la información brindada, ¿cuál sospecha que es posiblemente la causa de que todavía haya tráfico hacia el servidor web que se desea evitar?

    A. El broadcast de RIP está generando "tráfico interesante".
    B. La lista de acceso no ha sido configurada correctamente.
    C. La lista de acceso 129 no ha sido aplicada a la interfaz BRI0/0.
    D. El dialer-group no ha sido aplicado a la interfaz BRI0/0.
    E. La autenticación chap está bloqueando todo el tráfico.

C - Al revisar la configuración se observa que se ha creado una lista de acceso (129) que permite filtrar el tráfico deseado, pero esa lista de acceso no ha sido aplicada a la interfaz para que comience a operar.

-------

5. Como parte de su tarea de semi-Senior del área de networking, debe revisar la tarea que le encomendó ejecutar a uno de los técnicos bajo su responsabilidad. Debe verificar la ubicación y dirección en que está aplicada una lista de control de acceso. ¿Cuál es el comando Cisco IOS que deberá utilizar?

    A. show access-list
    B. show ip access-list
    C. show ip interface
    D. show interfaces
    E.
    show interface list

C - Los comandos Cisco IOS que permiten monitorear listas de acceso son básicamente 3: show running-config, show access-list y show ip interface.
De los mencionados, solamente show ip interface permite verificar simultáneamente la ubicación de la lista de acceso y el modo en que ha sido asociada a una interfaz (filtrando tráfico entrante o saliente). El otro comando que permite esto es show running-config, pero no es una opción entre las respuestas posibles

-------

6. Con el objeto de brindar acceso a Internet a la red LAN de la oficina, se ha definido la implementación de NAT en el router de salida. Para responder a esta necesidad se han ingresado los siguientes comando:

Borde(config)#ip nat pool publico 166.79.248.33 166.79.248.34 netmask 255.255.255.248
Borde(config)#access-list 1 permit 192.168.9.0 0.0.0.240
Borde(config)#ip nat inside source list 1 pool publico overload
Borde(config)#interface f0/0
Borde(config-if)#ip nat inside
Borde(config-if)#interface s0/0
Borde(config-if)#ip nat ouside

Teniendo en cuenta que para el direcionamiento de la LAN se utiliza la subred 192.168.9.224/28
¿Cuál de los siguientes puede ser el motivo por el cual los usuarios reportan que no pueden acceder a Internet
?

    A. El pool de direcciones públicas definido no tiene suficientes direcciones IP.
    B. La lista de acceso que define las direcciones a ser traducidas no filtra las direcciones de la LAN.
    C. Las interfaces inside y ouside de NAT están mala definidas.
    D. No se ha definido el conjunto de direcciones privadas a traducir.

B - Para establecer cuáles son las direcciones privadas a traducir para su envío a la interfaz serial se utiliza una lista de acceso. En este caso, la lista de acceso 1. Ahora bien, en esta lista de acceso está mal definida la subred a traducir. Según la lista de acceso, la subred a traducir es la 192.168.9.0 mientras que la subred real de la LAN es la 192.168.9.224. Adicionalmente, la máscara de wildcard de la lista de acceso está mal, es 0.0.0.240, cuando debería ser 0.0.0.15

-------

7. ¿Qué comando del modo EXEC usuario le permitirá determinar cuál es el router -dentro de una ruta hacia una red inalcanzable- es el que deberá examinar más de cerca para determinar la causa de la falla?

    A. Router_A>telnet
    B. Router_A>ping
    C. Router_A>traceroute
    D. Router_A>show ip route
    E. Router_A>show interfaces
    F-
    Router_A>show cdp neighbors

C - Traceroute es el comando que utiliza paquetes ICMP para detectar cada salto en la ruta hacia una red destino, por lo tanto, permite detectar en qué punto se interrumpe esa ruta.

-------

8. Respecto del comando ping extendido, ¿Cuál de las siguientes afirmaciones es verdadera?

    A. El comando ping extendido es soportado a partir del modo EXEC usuario.
    B. El comando ping extendido está disponible en el modo EXEC privilegiado.
    C. Con el comando ping extendido se puede especificar el puerto TCP y UDP de destino.
    D. Con el comando ping extendido se puede especificar un valor de timeout.
    E. Con el comando ping extendido se puede especificar el tamaño del paquete.

B, D y E - El comando ping extendido está disponible solamente en el modo priviletiado. En modo usuario está disponible el ping estándar. Entre las opciones que permite modificar se encuntra el timeout y el tamaño de los paquetes.

-------


9. Luego de ejecutar el comando show host, ¿cuál de las siguientes porciones de información se puede visualizar?

    A. La dirección Ip de la estación de trabajo que puede acceder al router a través de una lista de acceso.
    B. Un mapeo nombre a dirección permanente, creado utilizando el comando ip host.
    C. Entradas DNS permanentes y temporales.
    D. El nombre de los routers generado utilizando el comando hostname.
    E. El período de tiempo que un usuario ha estado logueado en el router.

B - El comando show hosts permite visualizar la configucación del servicio de traducción de nombres de Cisco IOS: servidor DNS configurado, estado de activación del servicio de traducción de nombres, y el listado de nombres de nodos y direcciones configurados manualmente.

-------

10. Uno de los routers de su red accede a través de su interfaz serial 0/0 a 3 redes diferentes: 172.16.10.0, 172.16.20.0 y 172.16.30.0. Sin embargo, los usuarios reportan que no pueden acceder a la red 172.16.20.0.
Para diagnosticar el problema usted ha ingresado en la CLI del router los comandos debug ip rip y show ip route, con el siguiente resultado:

Router#debug ip rip
ld00h: RIP:received vl update from 172.16.100.2 on serial0/0
ld00h: 172.16.10.0 in l hops
ld00h: 172.16.20.0 in l hops
ld00h: 172.16.30.0 in l hops
Router#show ip route

Gateway of last resort is not set
172.16.0.0/24 is subnetes, 8 subnets
C 172.16.150.0 is directly connected, FastEthernet0/0
C 172.16.220.0 is directly connected, Loopback2
C 172.16.210.0 is directly connected, Loopbackl
C 172.16.200.0 is directly connected, Loopback0
R 172.16.30.0 [120/1] via 172.16.100.2, 00:00:07, serial0/0
S 172.16.20.0 [l/0] via 172.16.150.15
R 172.16.10.0 [120/1] via 172.16.100.2, 00:00:07, serial 0/0
C 172.16.100.0 is directly connected, Serial0/0

A partir de esta información, ¿Cuál podría ser la causa del problema?

    A. La red 172.16.20.0 no se encuentra en la tabla de enrutamiento del router.
    B. No hay una ruta por defecto en el router.
    C. La ruta estática a la red 172.16.20.0 es incorrecta.
    D. El router no está recibiendo actualizaciones de la red 172.16.20.0.
    E. Ninguna de las opciones es correcta.

C - Si se observa el debug, se advierte que nuestro dispositivo está conectado a la red 172.16.20.0 a través de su interfaz serial 0/0. Si embargo, al revisar la tabla de enrutamiento se observa que está direccionada utilizando una ruta estática a través de la red 172.16.150.0, la que está conectada a la interfaz FastEthernet 0/0.

Más cuestionarios sobre el examen de certificación,
tips, simulaciones y abundante material de estudio,
los encontrarás en mi libro:
"
Guía de preparación para el examen de certificación CCNA"

Ejercicios de subredes (III)


La idea de esta sección es proponer cada semana una pregunta o ejercicio referido a subredes, VLSM, CIDR.
La idea es que cada uno aporte sus comentarios o solución respecto de la pregunta o problema planteado. A la semana siguiente (el día lunes), cuando propongamos una nueva cuestión, publicaremos la respuesta de la pregunta planteada.
Esperamos la participación de todos para enriquecer el debate y que todos ganemos en conocimiento.
Saludos....


Ir A la información sobre la GuíaPara ver más ejercicios, vaya al

5. Su Service Provider le ha asignado todo el espacio correspondiente a una dirección clase B.
A partir de esto, usted necesita crear al menos 300 subredes que puedan tener lugar al menos para 50 nodos. ¿Cuáles de las máscaras de subred que están abajo son capaces de satisfacer sus necesidades? (Seleccione 2)

    A. 255.255.255.0
    B. 255.255.255.128
    C. 255.255.252.0
    D. 255.255.255.224
    E. 255.255.255.192
    F. 255.255.248.0

Incorporá tu solución en forma de comentario,
o a través del
grupo de correo del weblog.
La respuesta correcta, la semana próxima.
Oscar Gerometta (1-45)

-------

1. Utilizando una máscara de subred 255.255.255.224, ¿Cuáles de las direcciones IP que se enlistan más abajo puede ser asignadas a nodos en cada subred? (elija 3)

    A. 16.23.118.63
    B. 87.45.16.159
    C. 92.11.178.93
    D. 134.178.18.56
    E. 192.168.16.87
    F. 217.168.166.192
C, D y E - Al resolver este tipo de preguntas, ante todo se debe tener en cuenta que se pregunta por direcciones de nodo válidas, por lo que solamente debe revisarse la porción del nodo, la que es independiente de la red y clase a la que pertenece cada dirección IP.
Con una máscara de 27 bits, quedan 5 bits para el ID de nodo, lo que indica que cada subred tendrá un total de 32 direcciones ip, y que las direcciones reservadas de subred serán múltiplos de 32.
En consecuencia, las opciones A y B corresponden a direcciones de broadcast, y la F es una dirección reservada de subred.

-------

2. Su service provider le ha asignado la siguiente dirección IP y máscara de subred:
Dirección IP: 193.14.127.0
Máscara de subred: 255.255.255.240
¿Cuál de las direcciones IP siguientes pueden ser configuradas a los nodos de esta subred? (elija 3)

    A. 193.14.127.2
    B. 193.14.127.195
    C. 193.14.127. 13
    D. 193.14.127. 11
    E. 193.14.127. 21
    F. 193.14.127.124

A, C y D - Utilizando una máscara de 28 bits (255.255.255.240), si la dirección reservada de subred es 193.14.127.0, las direcciones de nodos útiles son desde la 193.14.127.1 a la 193.14.127.14.

-------

3. Si implementa una dirección IP del rango de las redes clase B, ¿Cuál de las máscaras de subred que se muestran abajo le permitirá dispones de 100 subredes con 500 dirección IP útiles por subred?

    A. 255.255.0.0
    B. 255.255.224.0
    C. 255.255.254.0
    D. 255.255.255.0
    E. 255.255.255.224

C - Para implementar 100 subredes, es necesario utilizar 7 bits para ID de subred, esto permite crear 128 subredes, 126 de ellas utilizables.
Al tratarse de una red clase B, quedan de este modo 9 bits para ID de nodo, lo que deja un total de 512 direcciones IP por subred, 510 de ellas utilizables.
Todo esto se obtiene con una márcara de subred 255.255.254.0

-------

4. La red 213.115.77.0 ha sido dividida utilizando una máscara de subred de 28 bits. ¿Cuántas subredes utilizables y cuántas direcciones de nodo por subred son creadas como resultado de esto?

    A. 2 subredes con 62 nodos .
    B. 6 subredes con 30 nodos.
    C. 16 subredes con 16 nodos.
    D. 62 subredes con 2 nodos.
    E. 14 subredes con 14 nodos.
    F. 8 subredes con 32 nodos.
    G. 4 subredes con 64 nodos.


E - Una máscara de subred de 28 bits en notación decimal es 255.255.255.240. Esto indica que en una red clase C se están utilizando 4 bits para ID de subred y 4 bits para ID de nodo.
De modo que se pueden generar 16 subredes, 14 de ellas útiles, y cada subred con un total de 16 direcciones IP, 14 de ellas utilizables en la asignación a nodos.

Más cuestionarios referidos a subredes y VLSM,
tips, y abundante material de estudio,
lo encontrarás en mi libro:
Guía de Preparación para el examen de certificación CCNA
.
Oscar Gerometta

10 de septiembre de 2006

Vulnerabilidad en Cisco IOS por protocolo GRE

From: Oxygen3 24h-365d <oxygen@pandasoftware.com>
Date: 08-sep-2006 11:48
Subject: Oxygen3 24h-365d [Vulnerabilidad en Cisco IOS por protocolo GRE - 8/09/06]
To:
OXYGEN3ES@oxygen3.pandasoftware.com

"La voz humana es el más bello instrumento,
pero es el más difícil de tocar"
Richard Strauss (1864-1949), compositor alemán
(El 9 de septiembre de 1949 murió Richard Strauss)

Vulnerabilidad en Cisco IOS por protocolo GRE -
Oxygen3 24h-365d, por Panda Software (http://www.pandasoftware.es)
Madrid, 8 de septiembre de 2006 - Cisco ha publicado un aviso de seguridad en respuesta a una vulnerabilidad detectada en su implementación del protocolo Generic Routing Encapsularion (GRE). Se encuentran afectados los productos con Cisco IOS versión 12.0, 12.1 y 12.2 y configurados con GRE IP.
La vulnerabilidad podría ser explotada para burlar las listas de control de acceso (ACL) mediante el envío de una serie de paquetes GRE especialmente diseñados. Los detalles sobre la vulnerabilidad pueden ser consultados en el aviso original de Phenoelit, en la dirección http://www.phenoelit.de/stuff/CiscoGRE.txt
Por su parte Cisco ha emitido un aviso donde propone diversas medidas de mitigación en los productos afectados, como son la activación de Cisco Express Forwarding (CEF), establecer mecanismos anti-spoofing, o cifrar el túnel GRE con IPSec.
Se recomienda a los administradores de dispositivos Cisco la lectura del aviso original para acceder a los detalles, disponible en la dirección http://www.cisco.com/warp/public/707/cisco-sr-20060906-gre.shtml

6 de septiembre de 2006

El comando show diag

Como siempre digo, Cisco IOS incluye una serie de comandos muy importantes, como son los comandos show, la mayoría de los cuales pasan desapercibidos para la mayoría de los administradores.

Un ejemplo de esto es el comando show diag.

Un comando muy poco conocido, que funciona desde el modo EXEC privilegiado de Cisco IOS, y que proporciona información de diagnóstico importante referente al hardware del router, sus controladores e interfaces.

Lo básico sobre este comando:
Como ya adelanté, este comando funciona en el modo privilegiado. Aquí tenemos un ejemplo del resultado de su ejecución en router Cisco 2620 corriendo un Cisco IOS 12.1:

Router_2600#show diag
Slot 0:
C2620 1FE Mainboard Port adapter, 3 ports
Port adapter is analyzed
Port adapter insertion time unknown
EEPROM contents at hardware discovery:
Hardware Revision : 6.0
PCB Serial Number : JAD05250S1X (702283926)
Part Number : 73-2843-09
RMA History : 00
RMA Number : 0-0-0-0
Board Revision : A0
Deviation Number : 0-34198
EEPROM format version 4
EEPROM contents (hex):
0x00: 04 FF 40 00 94 41 06 00 C1 17 4A 41 44 30 35 32
0x10: 35 30 53 31 58 20 28 37 30 32 32 38 33 39 32 36
0x20: 29 82 49 0B 1B 09 04 00 81 00 00 00 00 42 41 30
0x30: 80 00 00 85 96 FF FF FF FF FF FF FF FF FF FF FF
0x40: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
0x50: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
0x60: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
0x70: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

WIC Slot 0:
Serial 2T (12in1) WAN daughter card
Hardware revision 1.0 Board revision D0
Serial number 25314411 Part number 800-03181-01
Test history 0x0 RMA number 00-00-00
Connector type PCI
EEPROM format version 1
EEPROM contents (hex):
0x20: 01 12 01 00 01 82 44 6B 50 0C 6D 01 00 00 00 00
0x30: 68 00 00 00 01 08 06 00 FF FF FF FF FF FF FF FF

Lo primero que se observa al recorrer el resultado de la ejecución del comando, es que la cantidad de información que se recibe depende del número de módulos en el dispositivo. En el caso anterior, el router tenía únicamente ocupado su slot 0. En este otro ejemplo, se trata de un router 2811 al que se le ha colocado un módulo en el slot 1 y un adaptador en el slot 0:

Router_2800#show diag
Slot 0:
C2811 Motherboard with 2FE and integrated VPN Port adapter, 2 ports
Port adapter is analyzed
Port adapter insertion time unknown
EEPROM contents at hardware discovery:
PCB Serial Number : FOC10114WFM
Hardware Revision : 1.0
Top Assy. Part Number : 800-26920-01
Board Revision : A0
Deviation Number : 0
Fab Version : 03
RMA Test History : 00
RMA Number : 0-0-0-0
RMA History : 00
Processor type : 87
Hardware date code : 20060322
Chassis Serial Number : FTX1234A1L3
Chassis MAC Address : 0017.5ad3.9ad8
MAC Address block size : 24
CLEI Code : CNMJ7P0BRB
Product (FRU) Number : CISCO2811
Part Number : 73-10258-03
Version Identifier : V02
EEPROM format version 4
EEPROM contents (hex):
0x00: 04 FF C1 8B 46 4F 43 31 30 31 31 34 57 46 4D 40
0x10: 03 E7 41 01 00 C0 46 03 20 00 69 28 01 42 41 30
0x20: 88 00 00 00 00 02 03 03 00 81 00 00 00 00 04 00
0x30: 09 87 83 01 32 18 A2 C2 8B 46 54 58 31 30 31 34
0x40: 41 31 4C 33 C3 06 00 17 5A D3 9A D8 43 00 18 C6
0x50: 8A 43 4E 4D 4A 37 50 30 42 52 42 CB 8F 43 49 53
0x60: 43 4F 32 38 31 31 20 20 20 20 20 20 82 49 28 12
0x70: 03 89 56 30 32 20 D9 02 40 C1 FF FF FF FF FF FF

WIC Slot 0:
FT1 PMC4351
Hardware Revision : 1.2
PCB Serial Number : FOC10174GQB
Part Number : 73-8346-05
Board Revision : A0
RMA Test History : 00
RMA Number : 0-0-0-0
RMA History : 00
Deviation Number : 0-0
Product (FRU) Number : WIC-1DSU-T1-V2
Top Assy. Part Number : 800-22193-03
CLEI Code : IPUIAPRRAA
EEPROM format version 4
EEPROM contents (hex):
0x00: 04 FF 40 00 52 41 01 02 C1 8B 46 4F 43 31 30 31
0x10: 37 34 47 51 42 82 49 20 9A 05 42 41 30 03 00 81
0x20: 00 00 00 00 04 00 80 00 00 00 00 CB 94 57 49 43
0x30: 2D 31 44 53 55 2D 54 31 2D 56 32 20 20 20 20 20
0x40: 20 C0 46 03 20 00 56 B1 03 C6 8A 49 50 55 49 41
0x50: 50 52 52 41 41 FF FF FF FF FF FF FF FF FF FF FF
0x60: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
0x70: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

Slot 1:
Async Port adapter, 32 ports
Port adapter is analyzed
Port adapter insertion time unknown
EEPROM contents at hardware discovery:
Hardware revision 0.1 Board revision E0
Serial number 22017244 Part number 800-02245-06
FRU Part Number: NM-32A=
Test history 0x0 RMA number 00-00-00
EEPROM format version 1
EEPROM contents (hex):
0x00: 01 63 00 01 01 4F F4 DC 50 08 C5 06 00 00 00 00
0x10: 70 00 00 00 00 08 31 00 FF FF FF FF FF FF FF FF

Entre la información que nos permite revisar respecto del dispositivos y sus adaptadores o módulos, está la siguiente:

  • Versión de hardware
  • Revisión de placa
  • Número de RMA e historial
  • Número serial del chasis
  • Número de parte Cisco (el número de parte actual del dispositivo)
  • Puertos incluídos en la motherboard del dispositivo.
  • Versión de hardware, números de serie y de parte de las tarjetas WIC del dispositivo.
  • Números de parte, información de puerto y números de serie para los módulos de red (NM - Network Module) insertados en el dispositivo.

Esta información puede ser de suma utilidad en diversas situaciones. Por ejemplo, cuando se requiere un dispositivo que esté operando una versión de hardware específica, o es preciso inventariar el número de serie de los dispositivos o el número de parte de los módulos, etc.

Opciones disponibles
Como ocurre con otros comandos, show diag presenta una serie de opciones que facilitan encontrar una porción de información específica sin necesidad de tener que revisar salidas extensas.

  • Es posible especificar un slot en particular para obtener la información correspondiente:
    Router#show diag 1
    Permite obtener exclusivamente un diagnóstico del slot especificado.
  • Se puede utilizar el símbolo de barra vertical para especificar un punto específico dentro del resultado del comando (se puede incluir, excluir o buscar la información a partir de un determinado punto).
    Router#sh diag include RMA
    RMA History : 00
    RMA Number : 0-0-0-0
    Test history 0x0 RMA number 00-00-00

    O si se trata de revisar los números de serie:
    Router#sh diag include Serial
    PCB Serial Number : JAD05250S1X (702283926)
    Serial 2T (12in1) WAN daughter card
    Serial number 25314411 Part number 800-03181-01

Para tener información detallada sobre el comando

¿Tenés alguna información adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta