19 de diciembre de 2008

Nueva oportunidad de participar en el sorteo

Como habíamos comprometido, aquí va un nuevo set de preguntas para sortear las libros entre quienes respondan acertadamente todas las preguntas.

Recordemos: ¿qué se sortea?

Un paquete de 3 libros compuesto por:

  • Un ejemplar de Introducción a la Conmutación Ethernet y el Enrutamiento IP.
  • Un ejemplar de Principios Básicos de Networking versión 3.1.
  • Un ejemplar de Apunte Rápido CCNA versión 4.0.

Es un único paquete, no divisible, que se enviará por Correo al beneficiario del sorteo. El envío será a cargo del ganador.

¿Qué hay que hacer para participar?

Para participar del sorteo es necesario:

  • Responder correctamente las 5 preguntas que encontrarás más abajo en este mismo post.
  • Enviar tus respuestas por correo electrónico antes del viernes 30 de enero de 2009.
  • Sólo participarán del sorteo las respuestas enviadas por correo electrónico, con las siguientes características:
    * Asunto: SORTEO LIBROS (todo en mayúsculas).
    * Mail to: libros.networking@gmail.com
    * Deben contener las 5 respuestas correctas en un mismo correo electrónico.
    * Indicar además: Nombre completo, dirección postal, dirección de correo electrónico para contactarlo.
  • No se tendrán en cuenta las respuestas parciales, dirigidas a otra dirección de correo electrónico o con un asunto diferente del indicado

El sorteo se realizará el lunes 2 de febrero de 2009 entre todos aquellos participantes que hayan respondido correctamente las 5 preguntas referidas a temas de tecnología Cisco. Y se comunicará a través del blog junto con la respuesta correcta de las preguntas.

Vea el primer sorteo.

¿Cuál es el nuevo set de preguntas?

Aquí van 5 nuevas preguntas para responder:

.1. ¿Cuáles de las siguientes afirmaciones son ciertas según lo mostrado a continuación? (Elija 2)

Router#debug ip rip
RIP protocol debugging is on
Router#
1d05h: RIP: sending v1 update to 255.255.255.255 via FastEthe0/0 (172.16.1.1)
1d05h: RIP: build update entries
1d05h: network 10.0.0.0 metric 1
1d05h: network 192.168.1.0 metric 2
1d05h: RIP: sending v1 update to 255.255.255.255 via Serial0/0(10.0.8.1)
1d05h: network 172.16.0.0 metric 1
Router#
1d05h: RIP: received v1 update from 10.0.15.2 on Serial0/0
1d05h: 192.168.1.0 in 1 hops
1d05h: 192.168.168.0 in 16 hops(inaccessible)

A. Hay al menos dos Routers que participan en el proceso RIP
B. Un ping a 192.168.168.2 tendrá éxito
C. Un ping a 10.0.15.2 tendrá éxito
D. El RouterA tiene tres interfaces que participan en el proceso RIP

.2. ¿Con que dirección se envían los paquetes hello de OSPF en redes punto a punto?

A. 223.0.0.5
B. 223.0.0.1
C. 224.0.0.10
D. 224.0.0.5
E. 224.0.0.9
F. 255.255.255.255

.3. En referencia a la configuración mostrada a continuación, la cual contiene el resultado de ejecutar el comando "show running-config", ¿Que debería hacer el Administrador de la red para permitir que los Hosts conectados a la interfaz Fa0/0 obtengan una dirección IP?

Router1#show running-config
Current configuration
!
version 12.3
hostname Router1
!
ip subnet-zero
ip name-server 192.168.0.1
ip dhcp excluded-address 10.0.12.1
!
ip dhcp pool DHCP
network 10.0.12.0 255.255.255.0
default-router 10.0.12.1
dns-server 192.15.0.150
!
interface FastEthernet0/0
no ip directed-broadcast
ip nat inside
!
interface Serial0/0
description Enlace WAN
ip address 192.15.0.201 255.255.255.252
ip nat outside
!
ip nat inside source list 12 interface serial 0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 192.15.0.202
!
access-list 12 permit 10.0.12.0 0.0.0.255
!

A. Configurar la dirección IP de la interfaz Fa0/0 como 10.0.12.1
B. Añadir la línea "access-list 12 permit any any" a la configuración de la lista de acceso
C. Aplicar el access-group 12 a la interfaz Fa0/0
D. Añadir una descripción a la configuración de la interfaz Fa0/0

.4. En relación a la configuración mostrada en la imagen, ¿Que significa "MTU 1500 bytes"?

Router1#show interfaces ethernet0/1
Ethernet0/1 is up, line protocol is up
Hardware is QUICC Ethernet, address is 00c0.34c1.641f (bia 001a.518b.e71c)
MTU 1500 bytes, BW 10000Kbits, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
...

A. El tamaño mínimo de trama que puede pasar por la interfaz es de 1500 bytes
B. El tamaño mínimo de segmento que puede pasar por la interfaz es de 1500 bytes
C. El tamaño máximo de paquete que puede pasar por la interfaz es de 1500 bytes
D. El tamaño mínimo de paquete que puede pasar por la interfaz es de 1500 bytes
E. El número máximo de bytes por segundo que pueden pasar por la interfaz es de 1500
F. El tamaño máximo de segmento que puede pasar por la interfaz es de 1500 bytes

.5. Basándonos en el resultado mostrado tras ejecutar el comando "show frame-relay map", ¿Cual es el significado de dynamic?

Router1#show frame-relay map
Serial0(up): ip 172.16.3.1 dlci 100 (0x52, 0x1c45),dynamic
broadcast, status defined, active

A. Que se podrá modificar dinámicamente el DLCI 100 para adaptarse a los cambios en la nube Frame Relay
B. Que el Router ha asignado el DLCI 100 dinámicamente
C. Que la interface S0 ha obtenido su dirección IP de un servidor DHCP
D. Que el mapeo entre el DLCI 100 y la IP 172.16.3.1 del extremo remoto han sido aprendidas por ARP inverso
E. Que en el interface S0 hay tráfico

Estas preguntas son parte de la
Guía de Preparación para el Examen de Certificación CCNA 640-802
de próxima aparición.

La respuesta a cada una de las preguntas planteadas, con su desarrollo, la publicaremos en este mismo blog, junto con el resultado del sorteo.

Espero que ahora si encuentren las respuestas correctas y que alguno de ustedes tenga la suerte de llevarse el paquete de libros.
Una vez más, muchas gracias a todos por participar.

Los resultados del Primer Sorteo.

7 de diciembre de 2008

Novedades en las certificaciones CCIE

Cisco acaba de anunciar formalmente un conjunto de novedades respecto de las certificaciones de nivel CCIE de su track de certificación.

1. Introducción del Cisco 360 Learning Program para CCIE Routing and Switching

El Cisco 360 Learning Program for CCIE Routing and Switching diseñado para acompañar el proceso de preparación de los candidatos a la certificación CCIE Routing and Switching.

El Programa comienza con un pre-assessment de 4 horas de duración que define la aceptación o no del candidato dentro del Programa. La idea básica es permitir a las empresas que postulan técnicos para la certificación CCIE seleccionar a los técnicos mejor cualificados para el proceso.

Una vez que el candidato califica para el Programa Cisco 360 comienza un proceso de talleres prácticos, evaluaciones y mentoring que le permiten adquirir los conocimientos necesarios y hacer un seguimiento de la evolución a través de un sistema en línea denominado Learning Management System.

Este nuevo Programa estará disponible exclusivamente a través de Learning Partners cuidadosamente seleccionados y entrenados por Cisco para participar de este Programa que no tiene precedentes hasta la fecha.

Para información adicional en Cisco Learning Network, seleccione aquí.

2. Introducción de una nueva certificación: CCIE Wireless Certification

Finalmente Cisco ha anunciado formalmente la introducción de su nueva certificación nivel CCIE para redes wireless que se encontraba en versión beta hasta el momento. Esta nueva certificación, junto con el ya anunciado CCNA wireless, abre un nueva trayecto de certificaciones en el path de certificaciones de Cisco.

De esta manera, formalmente se cuenta en este momento con 7 certificaciones CCIE:

De acuerdo a lo anunciado por Cisco, la versión definitiva del examen escrito estará disponible a través de los testing centers de Pearson VUE a partir del próximo 17 de febrero de 2009 y el lab examn está anunciado para el mes de abril de 2009.

3. Mejoras en el Lab Exam de CCIE Voice

Simultáneamente se ha anunciado una actualización del exam lab de CCIE Voice: CCIE Voice Exam Lab v3.0. En esta nueva versión se integran habilidades críticas en la tarea profesional actual e incluye las competencias necesarias para desarrollar servicios en redes integradas y la mitigación de problemas de performance.

Otros artículos relacionados:

¿Querés hacer algún comentario sobre el tema?
Bienvenido!!!! agregalo a continuación.
Muchas gracias.
Oscar Gerometta

29 de noviembre de 2008

Los resultados del sorteo


De acuerdo a lo propuesto en las pautas para el sorteo de los libros, corresponde ahora que indique las respuestas y los resultados del mismo.

Resultados del cuestionario propuesto:

Primero los resultados. Las respuestas correctas se marcan en negrita, y a continuación la explicación correspondiente.

.1. Como Administrador de la red usted debe seleccionar los dispositivos apropiados para su implementación. ¿Cuál de las siguientes opciones describe correctamente el rol de los dispositivos en una red WAN? (seleccione 3).

  • Un CSU/DSU termina una última milla digital.
  • Un router es comunmente considerado un dispositivo DCE.
  • Un módem termina una última milla analógica.
  • Un router es comunmente considerado un dispositivo DTE.
  • Un módem termina una última milla digital.
  • Un CSU/DSU termina una última milla analógica.
  • Un módem termina un enlace T1.

La última milla o bucle local del Service Provider termina en las instalaciones del cliente del cliente en un dispositivo genéricamente denominado CPE (Customer Premises Equipment). Cuando el bucle local es una línea digital, el CPE debe ser una CSU/DSU (Channel Service Unit/Data Service Unit). Si en cambio se trata de una última milla analógica, el CPE es entonces un módem.
Respecto de las líneas seriales, estas líneas requieren que uno de los extremos establezca una temporización, que en los routers Cisco se indica a través del comando de interfaz clock rate. En las líneas seriales, uno de los extremos establece la temporización (DCE - Data Communications Equipment), generalmente el conectado al dispositivo del Proveedor del Servicio. El otro extremo, recibe temporización (DTE - Data Terminal Equipment). Los routers, como dispositivos de acceso a la red WAN operan por defecto como dispositivos DTE.

.2. Los switches de core de la red utilizan troncales 802.1Q para conectarse entre sí. ¿De qué manera los troncales 802.1Q identifican el tráfico de múltiples VLANs?

  • Marcan la trama de datos con la información de VLAN y recalculan el valor de CRC.
  • Encapsulan la trama de datos con un nuevo encabezado y un nuevo campo FCS.
  • Modifican el port index de la trama de datos para identificar las VLANs.
  • Agregan un nuevo encabezado que incorpora el VLAN ID a la trama de datos.
  • Ninguna de las anteriores.
Para la identificación de tráfico correspondiente a diferentes VLANs sobre enlaces troncales, los dispositivos Cisco permiten configurar 2 encapsulaciones diferentes: ISL e IEEE 802.1Q.
802.1Q es propiamente un protocolo de marcación de tramas (tagging) que agrega un campo de 16 bits (marca o tag) a continuación del campo MAC destino del encabezado Ethernet. Consecuentemente se debe recalcular el CRC y agregar el valor obtenido en la cola de la trama.
ISL en cambio reencapsula la trama Ethernet original agregando un nuevo encabezado y una nueva cola de trama.
Para consultar este tema sugiero revisar el siguiente enlace: http://www.cisco.com/en/US/tech/tk389/tk689/technologies_tech_note09186a0080094665.shtml

.3. El switch ha sido configurado con DTP utilizando la opción "desirable". ¿Cuál de las siguientes afirmaciones describe el modo "desirable" de Dynamic Trunking Protocol?

  • La interfaz se coloca permanentemente en modo troncal pero no generará tramas DTP.
  • La interfaz activamente intenta convertir el enlace en un enlace troncal.
  • La interfaz se coloca permanentemente en modo troncal y negocia para convertir el enlace en un enlace troncal.
  • La interfaz pasará a modo pasivo y quedará en espera para convertir el enlace en un enlace troncal.
  • Ninguna de las anteriores.
El protocolo DTP permite configurar los puertos del switch de modo que dinámicamente reconozcan el otro extremo del enlace y determinen si deben operar en modo troncal o como puertos de acceso. DTP está activo por defecto en los puertos de los switches Catalyst.
Para definir dinámicamente el modo de los puertos Cisco IOS permite configurar los puertos como dynamic auto o dynamic desirable. La primera es la opción por defecto e implica que el puerto aguardará pasivamente la indicación del otro extremo del enlace para pasar a modo troncal. Sólo pasa a modo troncal si el otro extremo está en modo troncal o en modo desirable.
En modo desirable en cambio, el puerto activamente intenta convertir el enlace en un enlace troncal. De este modo, si en el otro extremo encuentra un puerto en modo troncal, o en modo dynamic auto o en modo dynamic desirable (en todos los casos), pasará a operar en modo troncal.
Para verificar se puede consultar en el siguiente enlace: http://www.ciscopress.com/articles/article.asp?p=29803&seqNum=3

.4. ¿Cuál de las siguientes afirmaciones es verdadera respecto de los valores por defecto de un switch Catalyst que es configurado para VTP pruning? (Elija 2)

  • Las VLANs 1-1000 son elegibles para pruning.
  • Las VLANs 2-1000 son elegibles para pruning.
  • Las VLANs 1-1023 son elegibles para pruning.
  • Las VLANs 2-1023 son elegibles para pruning.
  • Las VLNAs 1-4095 son elegibles para pruning.
  • La VLAN 1 es elegible para pruning.
  • La VLAN 1 no es elegible para pruning.
El prunning de VTP tiene algunas limitaciones que deben ser tenidas en cuenta.
Sólo son elegibles para aplicar pruning de VTP las VLANs 2 a 1000. La VLAN 1 (VLAN por defecto en la que se encuentran todos los puertos del switch) no es elegible para pruning.
Para profundizar este tema sugiero revisar: http://www.cisco.com/univercd/cc/td/doc/product/lan/cat5000/rel_4_2/config/vlans.htm#xtocid79807

.5. ¿Qué tipo de entrada en una tabla EIGRP es una ruta sucesora?

  • Una ruta de respaldo, almacenada en la tabla de enrutamiento.
  • Una ruta primaria, almacenada en la tabla de enrutamiento.
  • Una ruta de respaldo, almacenada en la tabla topológica.
  • Una ruta primaria, almacenada en la tabla topológica.

La lectura de la tabla topológica de EIGRP suele generar confusiones a partir de la denominación que reciben las rutas. Un ejemplo:
P 172.16.90.0 255.255.255.0, 2 successors, FD is 0
via 172.16.80.28 (46251776/46226176), Ethernet0
via 172.16.81.28 (46251776/46226176), Ethernet1
via 172.16.80.31 (46277376/46251776), Serial0
La ruta sucesora (successor) es la mejor ruta obtenida por EIGRP, que será propuesta a la tabla de enrutamiento para su consideración como ruta activa.
En nuestro caso hay 2 rutas sucesoras, a través de las interfaces E0 y E1. La ruta de backup es la ruta a través de la interfaz S0.
Para profundizar este tema sugiero consultar en este enlace: http://www.ciscosystems.com/en/US/tech/tk365/technologies_tech_note09186a0080093f07.shtml#topology_table

Resultados del sorteo

Hasta la fecha de cierre anunciada, viernes 28 de noviembre, la distribuidora recibió 538 respuestas. Inexplicablemente para mí, ninguno de los participantes pudo responder acertadamente las 5 preguntas formuladas.
Por este motivo no se realizó el sorteo, ya que nadie cubrió el requisito inicial de 5 respuestas correctas.

Pero como el objetivo no es quedarme con los libros sino distribuirlos, hemos decidido rehacer el "juego" otra vez. En el transcurso de la próxima semana publicaré un nuevo cuestionario para que vuelvan a participar, y no sólo juguemos, sino que también aprovechemos a seguir aprendiendo.

Mi agradecimiento a todos los que participaron, y espero que en la próxima ronda tengamos un ganador. Saludos a todos.

Cualquier comentario o sugerencia que quieras hacer,
los comentarios están habilitados con ese propósito.
Oscar Gerometta.

7 de noviembre de 2008

Primer sorteo de libros


La distribuidora de los libros ha tenido la gentileza de disponer de algunos ejemplares de libros para distribuir entre los visitantes del blog. De esta forma he organizado el primer sorteo de libros para los visitantes de Mis Libros de Networking.

¿Qué se sortea?

Un paquete de 3 libros compuesto por:
  • Un ejemplar de Introducción a la Conmutación Ethernet y el Enrutamiento IP.
  • Un ejemplar de Principios Básicos de Networking versión 3.1.
  • Un ejemplar de Apunte Rápido CCNA versión 4.0.

Digamos... el paquete para los que están preparando CCNA.
Es un único paquete, no divisible, que se enviará por Correo al beneficiario del sorteo. El envío será a cargo del ganador.

¿Cómo se participa del sorteo?

El sorteo se realizará el lunes 1 de diciembre de 2008 entre todos aquellos participantes que hayan respondido correctamente 5 preguntas referidas a temas de tecnología Cisco. Y se comunicará a través del blog junto con la respuesta correcta de las preguntas.

Para participar del sorteo es necesario:

  • Responder correctamente las 5 preguntas que encontrarás más abajo en este mismo post.
  • Enviar tus respuestas por correo electrónico antes del viernes 28 de noviembre:
  • Sólo participarán del sorteo las respuestas enviadas por correo electrónico, con las siguientes características:
    * Asunto: SORTEO LIBROS (todo en mayúsculas).
    * Mail to: libros.networking@gmail.com
    * Deben contener las 5 respuestas correctas en un mismo correo electrónico.
    * Indicar además: Nombre completo, dirección postal, dirección de correo electrónico para contactarlo.
  • No se tendrán en cuenta las respuestas parciales, dirigidas a otra dirección de correo electrónico o con un asunto diferente del indicado.

¿Qué es lo que hay que responder?

Bien, aquí van las 5 preguntas que deben responder:

.1. Como Administrador de la red usted debe seleccionar los dispositivos apropiados para su implementación. ¿Cuál de las siguientes opciones describe correctamente el rol de los dispositivos en una red WAN? (seleccione 3).

  • Un CSU/DSU termina una última milla digital.
  • Un router es comunmente considerado un dispositivo DCE.
  • Un módem termina una última milla analógica.
  • Un router es comunmente considerado un dispositivo DTE.
  • Un módem termina una última milla digital.
  • Un CSU/DSU termina una última milla analógica.
  • Un módem termina un enlace T1.

.2. Los switches de core de la red utilizan troncales 802.1Q para conectarse entre sí. ¿De qué manera los troncales 802.1Q identifican el tráfico de múltiples VLANs?

  • Marcan la trama de datos con la información de VLAN y recalculan el valor de CRC.
  • Encapsulan la trama de datos con un nuevo encabezado y un nuevo campo FCS.
  • Modifican el port index de la trama de datos para identificar las VLANs.
  • Agregan un nuevo encabezado que incorpora el VLAN ID a la trama de datos.
  • Ninguna de las anteriores.

.3. El switch ha sido configurado con DTP utilizando la opción "desirable". ¿Cuál de las siguientes afirmaciones describe el modo "desirable" de Dynamic Trunking Protocol?

  • La interfaz se coloca permanentemente en modo troncal pero no generará tramas DTP.
  • La interfaz activamente intenta convertir el enlace en un enlace troncal.
  • La interfaz se coloca permanentemente en modo troncal y negocia para convertir el enlace en un enlace troncal.
  • La interfaz pasará a modo pasivo y quedará en espera para convertir el enlace en un enlace troncal.
  • Ninguna de las anteriores.

.4. ¿Cuál de las siguientes afirmaciones es verdadera respecto de los valores por defecto de un switch Catalyst que es configurado para VTP pruning? (Elija 2)

  • Las VLANs 1-1000 son elegibles para pruning.
  • Las VLANs 2-1000 son elegibles para pruning.
  • Las VLANs 1-1023 son elegibles para pruning.
  • Las VLANs 2-1023 son elegibles para pruning.
  • Las VLNAs 1-4095 son elegibles para pruning.
  • La VLAN 1 es elegible para pruning.
  • La VLAN 1 no es elegible para pruning.

.5. ¿Qué tipo de entrada en una tabla EIGRP es una ruta sucesora?

  • Una ruta de respaldo, almacenada en la tabla de enrutamiento.
  • Una ruta primaria, almacenada en la tabla de enrutamiento.
  • Una ruta de respaldo, almacenada en la tabla topológica.
  • Una ruta primaria, almacenada en la tabla topológica.
La respuesta a cada una de las preguntas planteadas, con su desarrollo, la publicaremos en este mismo blog, junto con el resultado del sorteo.
Bueno, espero que encuentren las respuestas y después alguién tendrá la suerte de llevarse el paquete de libros.
Saludos a todos y muchas gracias por participar.

11 de octubre de 2008

Tecnologías a considerar en los próximos años

El ámbito del networking y de la tarea propia del Administrador de Redes es una realidad que cambia de modo permanente. Permanentemente se incorporan nuevas tecnologías, los servicios que operan sobre la red evolucionan, y con ello los requerimientos de capacitación que debemos tener en cuenta.
Cuando hablamos de networking, de gente de networking, hablamos de técnicos cuya capacitación no puede darse por terminada nunca. Siempre aparece un nuevo feature, siempre un nuevo requerimiento, por lo tanto siempre es preciso incorporar nuevos conocimientos y habilidades.

Nadie duda hoy que un Administrador de redes debe manejar adecuadamente al menos direccionamiento IP, subneteo, enrutamiento IP, switching capa 2, STP, VLANS. Pero en nuestro trabajo debemos siempre mirar lo que va a pasar en los próximos 4 o 5 años. Y este futuro inmediato comienza a demandar que planifiquemos nuestra capacitación personal y corporativa en función de la incorporación de nuevas tecnologías, muchas de las cuales están ya presentes.
¿Cuáles son entonces las tecnologías que todo permite suponer que estarán cada vez más presentes en los próximos años?

Voz sobre IP
Casi nadie duda hoy que el transporte de voz sobre redes IP es una realidad que llegó para quedarse por bastante tiempo.
No sólo las empresas comienzan a implementar de modo creciente sistemas corporativos de telefonía IP. Las telefónicas utilizan redes IP para el transporte de nuestras comunicaciones telefónicas, y ya es una realidad masiva la presencia de empresas que se dedican explíticamente a ofrecer servicios de comunicaciones de larga distancia basadas en tecnología IP.
Las estadísticas muestran que las ventas de equipamiento de voz sobre IP puros crece en cada semestre, y progresivamentes están reemplazando los sistemas de telefonía tradicional.
La voz ya corre sobre la infraestructura de redes IP. Esto significa que se espera que el Administrador de la red tenga las competencias necesarias para implementar y administrar redes con soporte de VoIP.
Consecuentemente, cada día mása se requiere que el Administrador de la red conozca los principios de la digitalización y transporte de voz, y tenga la capacidad de instalar y administrar la infraestructura necesaria. Un curso de VoIP debe estar en la perspectiva de todo Administrador actual.

QoS
Pero adquirir los conocimientos referentes a VoIP no es suficiente.
Nuestra infraestructura de red actual es una red convergente. Nuestra red IP transporta flujos de datos que tienen diferentes requerimientos (tráfico transaccional, aplicaciones sobre UDP, tráfico de Internet, tráfico de voz e incluso cada vez más tráfico de video), y por lo tanto ya no puede considerar de la misma forma a los diferentes flujos de tráfico.
Por lo tanto, los conocimientos referidos a la implementación de calidad de servicio en redes IP son una herramienta necesaria en la valija de herramientas de cualquier Administrador de redes.
Otro ítem a incorporar entonces en nuestra agenda de capacitación: calidad de serivicio.

Comunicaciones unificadas
La introducción del transporte de voz sobre IP posibilitó el desarrollo de las tecnologías de telefonía IP y su evolución actual: las comunicaciones unificadas.
La implementación unificada, no sólo sobre una única red, sino sobre un único sistema de comunicaciones, de todas las herramientas comunicacionales en uso: correo electrónico, fax, mensajería de voz y video, comunicaciones de voz y video, mensajería instantánea. La base del concepto es acceder a todas las formas de comunicación disponibles a partir de una única interfaz que puede accederse desde diversas plataformas (PC, smart phone, PDA, ip phones, etc.).
La implementación de comunicaciones unificadas exige el desarrollo de infraestructuras de red claramente orientadas a servicios, con calidad de servicio y altos índices de integración.
El Administrador de estas redes, no sólo debe conocer de enrutamiento, switching, QoS y seguridad. También debe conocer y poder integrar en la red el desempeño de las diferentes aplicaciones y lenguajes de desarrollo actualmente en uso.

Wireless IEEE 802.11
Las tecnologíasa wireless o Wi-Fi son nuevas, muy nuevas. Pero ya están presentes en redes de todas dimensiones: desde el service provider hasta las redes hogareñas. Y aparentemente han llegado para quedarse.
Son una solución flexible, escalable, y segura (a pesar de que muchos tadavía piensen en Wi-Fi como sinónimo de brecha de seguridad). Pero una solución que requiere mucho conocimiento y expertisse de parte del administrador.
Como en el caso de las implementaciones de telefonía IP, cuando escuchamos decir que una red wireless es de poca calidad o insegura, lo más probable es que nos encontremos con una red mal diseñada, deficientemente implementada, o lo que es peor, mal administrada.
En la actualidad disponemos de la tecnología necesaria para implementar y administrar la red wireless con mayor control y precisión que el que acostumbramos tener sobre la red cableada. El problema es que no hay personal con las habilidades necesarias para su implementación y administración.
El futuro parece proponer redes wireless más rápidas, más seguras y con más servicios. Es imprescindible entonces que en nuestro perfil de Administrador de redes incorporemos los conocimientos referidos a redes 802.11, y para esto, es necesaria una capacitación seria y en profundidad.

Mobilidad
Wireless no es sinónimo de mobilidad. Sin embargo, la introducción de la conectividad inalámbrica lleva de modo casi inmediato a la implementación de servicios que tienen disponibilidad en el mismo lugar en el que se encuentra el usuario. El servicio va hacia el usuario, no más un usuario que deba desplazarse para acceder a un servicio.
La introducción de teléfonos celulares, blackberries, PDAs y micro-laptops hacen a los servicios ubicuos, con una capacidada de desplazamiento que crece cada día.
La implementación de estos servicios a nivel de la infraestructura requieren de parte del Administrador de la red una cantidad amplia de conocimientos que incluyen el manejo de IP Mobility y en un futuro próximo mobilidad sobre IPv6.

IPv6
Y ya que estamos hablando de mobilidad, no podemos descuidar el tema IPv6.
Los sistemas operativos de escritorio que estamos implementando tienen ya soporte para IPv6; la infraestructura de las redes corporativas y de Internet está siendo actualizada para dar soporte al nuevo protocolo; ya están disponibles servicios DNS y web versión 6 sobre Internet.
La actualización de IP no es una hipótesis de futuro, es una realidad de mediano plazo que veremos avanzar mes a mes. Y de su mano, el requerimiento de la actualización de nuestros servicios: direccionamiento IPv6, enrutamiento IPv6, tunelizado de transición IPv6 sobre IPv4, modificación de nuestras implementaciones IPSec para adecuarlas al nuevo protocolo, incremento de la implementación de recursos móviles, etc.
Consecuentemente, hay un trabajo arduo de capacitación que debemos hacer hoy. Si queremos seguir trabajando como Administradores de redes, en los próximos años se hará imprescindible que tengamos conocimiento de este nuevo protocolo.

Seguridad
La implementación de seguridad es un feature necesario en redes de todas dimensiones, aún las hogareñas.
Consecuentemente, aún hoy, un Administrador de redes no puede prescindir de manejar los conceptos básicos de seguridad en la infraestructura de la red.
Sin embargo, la tendencia hace pensar que estos requerimientos se incrementarán en los próximos años de la mano de nuevos desafíos y nuevos mecanismos de seguridad. La introducción de comunicaciones unificadas, el acceso inalámbrico y la adopción de IPv6 requerirán de renovadas habilidades en el ámbito de la seguridad.
No me estoy refiriendo a los especialista en el área (sin dudas que ellos tienen un desafío adicional), sino del Administrador de la red. IPSec, IEEE 802.1x, son protocolos casi estándar para la operación de cualquier red LAN corporativa en la actualidad.
Consecuentemente, sin buscar necesariamente un camino de especialización, la adquisición de conocimientos de seguridad son un ítem a tener presente en la carpeta de capacitación del Administrador.

Virtualización
Hay toda una corriente creciente de virtualización de servicios para el usuario final. Pero también hay un incremento de la implementación de recursos virtuales en la infraestructura de la red.
Ingresamos con las VLANs que hoy son un recurso casi estándar de toda red conmutada (incluso algunos routers hogareños incluyen esta prestación). Pero a esto se han ido sumando múltiples recursos virtuales: múltiples SSID en la red wireless que dan lugar a VWLANs, la implementación de PVCs que ha evolucionado hacia las actuales redes MPLS y las VPN-MPLS, con la implementación de VRF. Y ciertamente la VPN-IPSec, que virtualizan enlaces punto a punto sobre redes públicas.
La virtualización está avanzando en nuestra infraestructura, y el Adminsitrador debe ya no sólo manejar el concepto, sino adecuar sus modelos conceptuales para comprender y administrar estas múltiples redes virtuales que operan simultáneamente sobre una única infraestructura.

* Caminos de capacitación disponibles
Todo esto nos lleva a un planteo importante.
¿Cómo debe ser entonces nuestra capacitación?
CCNA es el modelo de capacitación actual para cualquier Adminsitrador de infraestructura de red en la actualidad, y esta certificación ha sido recientemente actualizada para dar cabida a muchos de estos temas (ver aquí).
Sin dudas CCNA es la puerta de entrada y el camino imprescindible para tener una formación sistemática y abarcativa en el área.
Sin embargo, estos temas están tíbiamente insinuados en el temario actual, y si queremos prepararnos para los años por venir, luego de obtener nuestra certificación CCNA deberíamos proponernos capacitación en función de futuro. A mi modo de ver, las capacitaciones a tener en cuenta hoy serían:
  • Los nuevos CCNA Concentrations son un complemento necesario para los años por venir: CCNA Security da herramientas fundamentales para el área de seguridad, CCNA Voice permitirá pensar con mayor claridad las redes de comunicaciones unificadas, CCNA Wireless da las herramientas básicas necesarias para trabajar aen redes Wi-Fi.
  • En redes corporativas, en las que cada día convergen nuevos servicios, es necesario que el Administrador adquiera habilidades de de Qos. Para esto, ONT del trayecto CCNP es una buena introducción.
  • No contamos aún con una capacitación explítica en IPv6 de nivel inicial. Sin embargo, el módulo correspondiente de BSCI (tambien del track de CCNP) es una buena introducción que todos debiéramos hacer.




¿Tenés algún comentario que quieras aportar en este tema....?
Bienvenido! Tu comentario no sólo es conveniente, es necesario.
Muchas gracias.
Oscar Gerometta.

4 de octubre de 2008

Seguridad en el acceso a dispositivos Cisco

Cisco IOS brinda múltiples formas de asegurar el acceso a las posibilidades de administración de los dispostivos (básicamente routes, switches y AP). Reseño a continuación las principales formas , y los tips de configuración más frecuentes.

Niveles de acceso
La interfaz de línea de comando de Cisco IOS utiliza una lógica de niveles jerárquicos: modo EXEC usuario y modo EXEC privilegiado. Esta división de modos permite establecer 2 niveles básicos de permisos de acceso: acceso de nivel usuario y acceso de nivel privilegiado.
El acceso a modo privilegiado puede ser bloqueado utilizando una clave denominada "clave de modo enable" que puede ser encriptada o no:

Router(config)#enable password
[clave]
Router(config)#enable secret [clave]


Ambas claves son requeridas para acceder al modo privilegiado. Sin embargo, la enable password se guarda en formato de texto plano en el archivo de configuración, mientras la enable secret se guarda encriptada utilizando MD5.
Por su parte, el acceso a modo usuario se asegura utilizando claves de acceso en las diferentes "líneas": consola, auxiliar o terminal virtual.
En estas líneas de acceso hay diferentes formas de configurar claves de acceso.

Clave simple de acceso al modo usuario
En cada uno de las líneas de acceso (consola, auxiliar, terminal virtual), se puede asegurar el acceso utilizando una clave simple.

Router(config)#line vty 0 4
Router(config-line)#password [clave]
Router(config-line)#login

El primer comando define una clave, y el comando login indica al dispositivo que debe mostrar el prompt requiriendo el ingreso de la clave cuando se intenta el acceso por terminal virutal (telnet).
La clave se guarda en el archivo de configuración en formato de texto plano.

Acceso utilizando usuario y clave
El acceso puede asegurarse también utilizando usuario y clave:

Router(config)#username [user] secret 0 [clave]
Router(config)#line vty 0 4
Router(config-line)#login local

Genera un usuario y una clave que se guarda encriptada utilizando MD5 en el archivo de configuración. Ese usuario y clave se aplican a la línea de acceso utilizando el comando login local.

Asignación de niveles de privilegio por usuario
Cisco IOS permite configurar 16 niveles de usuario diferente (0 a 15).
  • Usuario nivel 0 - Sólo accede a modo usuario.
  • Usuario nivel 1 a 14 - Se pueden asignar diferentes comandos para cada nivel.
  • Usuario nivel 15 - Acceso a modo privilegiado completo.
La configuración de diferentes niveles de acceso es particularmente útil en entornos en los que diferentes técnicos tienen asignadas diferentes tareas.
Para configurar un usuario con permiso de utilización de un conjunto limitado de comandos de nivel privilegiado, siga este procedimiento:

Router(config)#privilege exec level [nivel] [comando]

Router(config)#username [user] privilege [nivel] secret 0 [clave]
Router(config)#line vty 0 4
Router(config-line)#login local

También es posible generar niveles de privilegios diferentes y asociarlos directamente a una clave de acceso simple a modo privilegiado:


Router(config)#privilege exec level [nivel] [comando]

Router(config)#enable secret level [nivel] [clave]

Asignación de accesos basados en roles
Cisco IOS también permite definir plantillas o roles con conjuntos de comandos, cada uno asegurado con su clave de acceso.
Este feature de configuración requiere la habilitación previa de AAA (Authentication, Authorization, Accounting).

Router#enable view
Router#configure terminal
Router(config)#aaa new-model
Router(config)#parser view [nombre]
Router(config-view)#secret 0 [clave]
Router(config-view)#command exec include [comando]
Router(config-view)#command configure include [comando]

Una vez configurado el perfil deseado, el acceso a modo privilegiado es utilizando el siguiente procedimiento:
Router#enable view [nombre]
Password: [clave]
Router(config)#_

Al solicitar la ayuda contextual de IOS (?), el usuario solo visualizará los comandos habilitados para el perfil que utilizó para el login.

Comandos relacionados


  • Para encriptar las claves que se guardan en texto plano en el archivo de configuración:
    Router(config)#service password-encryption
  • Para establecer una longitud mínima en las claves:
    Router(config)#security password min-length [long]
  • Para establecer un límite de tiempo de inactividad al final de la cual se cerrará la seción:
    Router(config-line)#exec-timeout [min] [seg]
Prácticas sugeridas

  • Utilice claves robustas de al menos 10 caracteres alfanuméticos.
  • Es aconsejable incluir mayúsculas / minúsculas y símbolos.
  • Las claves no deben ser palabras de diccionario.
  • Para asegurar el acceso a modo privilegiado utilice siempre la enable secret.
  • Active el servicio de encriptación de claves para asegurarse que no queden claves en texto plano visibles en el archivo de configuración.
  • Cambie las claves periódicamente.
  • Incluya un mensaje de acceso (banner) advirtiendo que se monitoreará y perseguirá el acceso no autorizado.
Bibliografía recomendada:



¿Tenés algún tip para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.

27 de septiembre de 2008

IPv6 - Introducción


Entre las competencias que se considera necesario adquiera un Administrador de redes en los próximos años, un lugar relevante lo ocupa IPv6.
La versión 6 del conocidio protocolo IP (la que utilizamos masivamente en la actualidad es la versión 4) no es nueva, sin embargo su implementación ha sido repetidamente postergada, aprovechando modificaciones y mejoras que se introdujeron progresivamente a su predecesor.
IPv6 surgió en su forma actual con la publicación de la RFC 2460 en el año 1996. Inicialmente se introdujo como una respuesta al agotamiento del espacio de direccionamiento que ofrece IPv4 para Internet, pero en la actualidad es una verdadera evolución de la versión anterior.
Para que tengamos una idea aproximada de las dimensiones del espacio de direccionamiento que ofrece este protocolo:
  • IPv4 utiliza direcciones de 32 bits de longitud, lo que ofrece un total de 4.294.967.296 direcciones IP diferentes. Si tenemos en cuenta que hay una buena cantidad de direcciones reservadas que no pueden utilizarse en Internet, y que la actual población mundial se estima en alrededor de 6.700 millones de personas, fácilmente advertimos lo ajustado de la situación.
  • IPv6 define direcciones de 128 bits de longitud, esto significa un total de 340.282.366.920.938.463.463.374.607.431.768.211.456 direcciones IPv6 diferentes. Si lo ponemos en términos de población mundial, con 39.614.081.257.132.168.796.771.975.168 direcciones IPv6 por cada habitante actual del planeta. Digamos que es un espacio de direccionamiento... ¿generoso?
Pero IPv6 no es solamente espacio de direccionamiento adicional. Son también mejoras notables:
  • Se prevén diferentes formas para que el host obtenga una dirección IP: configuración estática, configuración dinámica utilizando DHCPv6, y autoconfiguración dinámica. El procedimiento de configuración dinámica simplifica enormemente la implementación de direccionamiento dinámico en redes pequeñas, eliminando el requerimiento de un servidor DHCP.
  • Las direcciones IPv6 tienen una estructura jerárquica de 3 niveles: red / subred / nodo. Esto simplifica la administración interna del direccionamiento, eliminando la necesidad de la máscara de subred.
  • Adicionalmente, la definición de la porción de red de la dirección tiene una estructura jerárquica interna (distingue una porción que identifica al ISP y otra que identifica a la red), facilitando sensiblemente los procedimiento de agregación o sumarización de rutas y facilitando la reducción de los requerimientos de recursos para mantener el enrutamiento.
  • IPv6 considera en su misma estructura las funcionalidades que actualmente se agregan a IPv4 con la implementación de IPSec. De esta forma, IPv6 tiene incorporados features que permiten brindar seguridad sobre el protocolo IP end to end.
  • De la misma forma, permite la implementación de movilidad para dispositivos IP, un feature que actualmente se agrega a IPv4 y que se conoce como IP Mobility.
  • En IPv6 no hay broadcast. Se utilizan 3 tipos de direcciones: unicast, multicast y anycast. No más broadcast en la red.
  • Los nodos IPv6 pueden recibir múltiples direcciones IP, lo que hace posible asignar a un mismo puerto una dirección global y otra local (o en términos de IPv4, una IP privada y una IP pública); de esta forma, ya no es necesaria la implementación de NAT para habilitar la navegación de Internet.
Buena parte de los requisitos necesarios para la implementación del nuevo protocolo ya han sido cubiertos:
  • Desde el año 2001 Cisco IOS incluye soporte para IPv6.
  • Desde su lanzamiento en el año 2002, Windows XP incluyó IPv6.
  • Mac OS X 10.3 Panther incluye IPv6 desde el año 2003.
  • Windows Vista opera por defecto con IPv6.
  • En julio de 2003 ICANN anunció que están disponibles en los DNS root servers los registros IPv6 AAA para Japón, Corea y Francia. Desde julio de 2004, su disponibilidad es completa.
  • En la actualidad, la estructura de DNS de Internet está en condiciones de dar soporte a 2 nodos que se comuniquen utilizando exclusivamente el nuevo protocolo.
  • Muchas empresas ya han puesto en línea sitios web basados en IPv6, entre ellos Google y Cisco.
IPv6 está listo para su implementación, de hecho, Japón, China, Corea del Norte, Estados Unidos y buena parte de Europa ya operan sobre esta estructura. Es quizás tiempo de que comencemos a profundizar nuestros conocimientos sobre este protocolo.

Algunos recursos:




Una pregunta para responder:



¿Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta.

4 de septiembre de 2008

STP en switches Cisco Catalyst

Un protocolo ineludible en la implementación de redes conmutadas es STP (Spanning Tree Protocol). Es un protocolo estándar (IEEE 802.1d), desarrollado inicialmente para administrar enlaces redundantes en redes conmutadas utilizando bridges.
El protocolo inicial presenta 2 limitaciones importantes:
  • La administración de redundancia se hace definiendo una topología activa y bloqueando los enlaces redundantes. La primer consecuencia de este proceso es la imposibilidad de aprovechar completamente el ancho de banda instalado realizando balanceo de tráfico, como ocurre con las rutas redundantes en el enrutamiento IP.
  • Por otra parte, en el caso de un fallo, un puerto STP demora 50 segundos en pasar del estado de blocking al de forwarding. Estos tiempos de convergencia son muy altos para las redes actuales.
Estas características o limitaciones del protocolo han sido sucesivamente mejoradas en sucesivas revisiones; algunas de ellas estándar, otras, propietarias de Cisco

Port Fast
  • Feature propietario de Cisco.
  • Permite acelerar los tiempos de habilitación de un puerto al momento de conectar una terminal a una boca de un switch.
  • Sólo se habilita en puertos de acceso.
  • Si la interfaz recibe una BPDU de STP, pasa inmediatamente al estado de blocking, y a operar en el modo normal de STP.
  • Switch(config)#interface fastEthernet 0/1
    Switch(config-if)#spanning-tree portfast
  • Switch(config)#spanning-tree portfast default
PVSTP
  • Per VLAN Spanning Tree Protocol
  • Implementación propietaria de Cisco.
  • Genera una instancia de STP para cada VLAN.
  • Utiliza enlaces troncales ISL.
  • Permite distribuir el tráfico de las diferentes VLANs generando diferentes topologías activas.
  • Switch(config)#spanning-tree mode pvst
PVSTP+
  • Per VLAN Spanning Tree Protocol Plus.
  • Implementación propietaria de Cisco.
  • Semejante a PVSTP, pero para operar sobre enlaces troncales 802.1Q.
RSTP (IEEE 802.1w)
  • Implementación estándar.
  • Mejora notablemente los tiempos de convergencia del protocolo.
  • Incluye una funcionalidad semejante a port fast, denominada port edge.
  • Mantiene compatibilidad con STP.
RPVSTP+
  • Implementación de RSTP propietaria de Cisco.
  • Genera una instancia de RSTP para cada VLAN creada.
  • Utiliza enlaces troncales IEEE 802.1Q.
  • Switch(config)#spanning-tree mode rapid-pvst
MSTP (IEEE 802.1s)
  • Implementación estándar de RSTP.
  • Genera hasta 16 instancias de RSTP.
  • Se deben asociar las VLANs a las instancias creadas.
  • Utiliza enlaces troncales IEEE 802.1Q.
  • Es menos exigente en procesamiento y reduce el número de actualizaciones que se envían.
Los switches Catalyst 2960 implementan por defecto PVSTP+ y permiten configurar port fast, RPVSTP+ y MSTP.

Enlaces de referencia:

¿Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta.