23 de mayo de 2009

Cisco Learning Network en español

Hace ya un tiempo, Cisco habilitó un servicio muy importante para técnicos certificados o no, al que dió el nombre de "The Cisco Learning Network", una comunidad en línea de técnicos Cisco, en la que podemos encontrar una variedad amplia e interesante de recursos: foros de discución, conferencias en línea, presentaciones, documentos, tests, y por sobre todo, toda la información actualizada respecto de las certificaciones Cisco y los recursos disponibles en línea.
Cisco Learning Network, sin embargo, presenta una limitación para algunos técnicos, especialmente del nivel Associate: está íntegramente en inglés. Hay mucho material, sumamente interesante e importante, pero todo en inglés.
Pues bien, días atrás The Cisco Learning Network ha puesto en línea y anunciado su página de Recursos Educativos en Español. Una iniciativa muy importante que abre un nuevo recurso para la comunidad de técnicos de habla hispana. Esto no sólo abre un canal de comunicación en nuestra lengua (lo cual me parece ciertamente muy importante), sino que también nos proporciona un recurso importante para mantenernos informados sobre los eventos que tienen lugar en países de la región o en nuestro idioma. Es ahora nuestra tarea, aportar para enriquecerlo.
Tu comentario es siempre un aporte importante.
Bienvenido.
Oscar Gerometta

16 de mayo de 2009

Configurando un switch multilayer

Hace unas semanas revisamos la configuración básica de un switch LAN capa 2, un Catalyst 2960. Dado que surgieron algunas consultas referidas a la configuración de switches multilayer o switches capa 3, vamos ahora a ver los aspectos básicos de la configuración de este tipo de dispositivos.
Para esto, una vez más, tomaremos como base una topología simple que nos servirá de ejemplo:
En nuestro ejemplo:
  • Se han configurado w VLANs (VLAN 2 y 3) en un switch capa 2 (Catalyst 2960).
  • Cada VLAN ha sido mapeada a una subred diferente: VLAN 2 a la 172.16.2.0/24, VLAN 3 a la 172.16.3.0/24.
  • Nuestro switch capa 2 se conecta al switch multicapa utilizando un enlace troncal IEEE 802.1Q a través del cual se transportan todas las VLANs.
  • El switch multilayer, a su vez, está conectado el router de borde utilizando un enlace capa 3 que corresponde a la subred 172.16.1.0/24.
Veamos ahora los aspectos específicamente referidos a capa 3 en el switch Catalyst 3560. He insertado en forma de comentario resaltado en rojo diferentes notas respecto de esta configuración:

version 12.2
!
! Activa el enrutamiento IP
ip routing
!
! Creación y configuración de VLAN
! Esto no aparece en el archivo de configuración
vlan 2
name VENTAS
vlan 3
name ADMIN
!
!
! Configuración del enlace troncal
interface FastEthernet0/2
description puerto troncal
switchport trunk encapsulation dot1q
switchport mode trunk
!
! Definición de la interfaz capa 3
interface FastEthernet0/24
description conexion Cat3560 -- Cisco28xx
no switchport
ip address 172.16.1.10 255.255.255.0
no shutdown
!
! Creación de una SVI para la VLAN 2
interface Vlan2
description Gateway de la VLAN 2
ip address 172.16.2.1 255.255.255.0
no shutdown
!
! Creación de una SVI para la VLAN 3
interface Vlan3
description Gateway de la VLAN 3
ip address 172.16.3.1 255.255.255.0
no shutdown
!
! Configuración del protocolo de enrutamiento
no ip classless
router rip

version 2
network 172.16.0.0
!
!
end

Algunas notas:
  • Los switches capa 3 no operan por defecto en capa de red, por lo que es necesario, en primer lugar, activar el enrutamiento IP. Si no lo hace, el switch Catalist no le permitirá configurar una IP en las interfaces físicas.
  • Los puertos del switch operan por defecto como puertos de capa 2, por lo tanto es necesario deshabilitarlos para el switching de capa 2 utilizando el comando "no switchport".
  • Para genera en el switch un puerto capa 3 que será el default gateway de una VLAN es preciso crear una interfaz virtual para cada VLAN (SVI), utilizando el comando "interface vlan".
Enlaces relacionados:
¿Tenés alguna información o comentario para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

2 de mayo de 2009

Recuperación de claves

Prácticamente todos los fabricantes de dispositivos de networking y sistemas incluyen en su diseño un backdoor que permita, en caso de necesidad, ingresar al dispositivo a pesar de no contar con las contraseñas de seguridad en el acceso que se puedan haber configurado.
En algunos casos este procedimiento consiste en un reinicio del equipo utilizando los valores de fábrica, o más conocido como "factory default". Esto implica una desventaja: a la vez que podemos recuperar administración del equipo, perdemos los valores de configuración con los que estaba operando.
Los dispostivos Cisco (routers, switches, firewalls), incluyen en su deseño un procedimiento de "recuperación de claves" o "password recovery". Este procedimiento a diferencia del factory default, permite ingresar a la configuración del equipo y cambiar las claves en conflicto, sin perder la configuración actual del equipo.

El procedimiento
Este procedimiento se asienta en el hecho de que los dispositivos Cisco IOS tienen una estructura de modos jerárquicos y almacenan las claves de seguridad en el archivo de configuración. Por lo tanto, si se evita que el dispositivo cargue el archivo de configuración al encenderse, entonces será posible ingresar manualmente y modificar las claves.
Genéricamente descripto, el procedimiento tiene una secuencia de pasos:
  • Se reinicia el equipo.
  • Se interrumpe la secuencia de inicio para ingresar a controlar manualmente la carga del sistema operativo y el archivo de configuración.
  • Se carga el sistema operativo.
  • No se carga el archivo de configuración, con lo que el dispositivo se inicia con una configuración en blanco.
  • Se ingresa el modo de configuración.
  • Se carga la configuración de respaldo.
  • Se modifica la clave.
  • Se guarda el archivo de configuración modificado.
Un ejemplo
Veamos cómo se implementa este procedimiento en un router Cisco de la serie 2800.
  • Encendemos el dispositivo.
  • Luego de cargado el bootstrap se corta la secuencia de inicio con una señal de interrumpción (Ctrl + Break en Hyperterminal), con lo que se ingresa en modo monitor de ROM.
  • Modificamos el registro de configuración del router para que cuando se reinicie no vaya a la NVRAM a leer el archivo de configuración:
    rommon 1 >_
    rommon 2 >confreg 0x2142
  • A continuación reiniciamos el equipo.
    rommon 3 >reset
  • El router se reinicia en modo setup ya que no lee ninguna configuración:

    --- System Configuration Dialog ---
  • No iniciamos en modo setup
    Would you like to enter the initial configuration dialog? [yes/no]:no


    Press RETURN to get started!

    Router>_
  • Ingresamos al modo privilegiado.
    Router>enable
  • Ya en modo privilegiado cargamos la configuración de respaldo guardada en la NVRAM.
    Router#copy nvram:startup-config system:running-config
  • Ingresamos al modo configuración.
    LAB_A#config terminal
  • Una vez en el modo de configuración procedemos a configurar las nuevas claves que vamos a utilizar.
    LAB_A(config)#enable secret [clave]
    LAB_A(config)#line vty 0 4
    LAB_A(config-line)#login
    LAB_A(config-line)#password [clave]
    LAB_A(config-line)#line console 0
    LAB_A(config-line)#login
    LAB_A(config-line)#password [clave]
    LAB_A(config-line)#exit
  • Debemos volver el registro de configuración al valor original para que el router se inicie normalmente la próxima vez.
    LAB_A(config)#config-register 0x2102
    LAB_A(config)#exit
  • Finalmente copiamos el archivo de configuración activo que tiene las nuevas claves, en la NVRAM.
    LAB_A#copy system:running-config nvram:startup-config
Este procedimiento nos permite configurar nuevas claves, conservando la configuración ya existente en el dispositivo.
Si no interesa conservar la configuración, entonces se puede proceder a hacer una configuración completamente nueva y guardarla en la NVRAM, salteando el paso en el que copiamos la startup config a la running-config.

El procedimiento es semejante en otros dispositivos Cisco, con las debidas adaptaciones respecto del modo en que se interrumpe el proceso de inicio y los comandos necesarios para alcanzar el objetivo.

Recursos adicionales:
Tenés alguna información o comentario para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta