24 de diciembre de 2016



Listas de Control de Acceso (cont.)

Aplicación de la ACL a la interfaz
Un uso primario de las ACLs es su implementación como filtros de tráfico en la red. En las interfaces las listas de acceso pueden implementarse para filtrar tanto tráfico entrante como saliente:
  • ACLs salientes
    El tráfico ingresa al dispositivo, es reenviado hacia la interfaz de salida y antes de ser copiado al medio se procesa a través de la lista de acceso para definir si es tráfico permitido o no.
    Si el paquete coincide con una sentencia de permiso, entonces es copiada al medio; si coincide con una sentencia de denegación es descartado.
  • ACLs entrantes
    El tráfico que ingresa al dispositivo es procesado a través de la lista de acceso en la interfaz de entrada antes de ser reenviado hacia la interfaz de salida.
    Son consideradas como más eficientes dado que evitan la carga de procesamiento que significa el enrutamiento de paquetes que luego pueden ser descartados. Solo son procesados los paquetes que están permitidos por la ACL.
La máscara de wildcard
Las máscaras de wildcard son secuencias de 32 bits divididas en 4 octetos de 8 bits cada uno (el mismo formato que una dirección IP o máscara de subred) utilizadas para generar filtros de direcciones IP. Se utilizan en combinación con una dirección IP.
En las máscaras de wildcard los unos y ceros de la máscara indican cómo se deben tratar los bits de la dirección IP correspondiente. El dígito en 0 (cero) indica una posición que debe ser comprobada, mientras que el dígito 1 (uno) indica una posición que carece de importancia.
NOTA:
Las máscaras de wildcard no  tienen ninguna relación funcional con las máscaras de subred, son dos entidades absolutamente independientes entre sí.

Listas de acceso IPv6
En IOS para IPv6 utilizamos listas de acceso extendidas. Su estructura, configuración y principios básicos son semejantes a las listas de acceso nombradas extendidas IPv4.
En el caso de las listas de acceso IPv6 las reglas implícitas que se agregan al final son más complejas ya que se incluyen permisos de algunos procesos ICMP:

permit icmp any any nd-na
permit icmp any any nd-ns
deny ipv6 any any



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


21 de diciembre de 2016

Apunte Rápido CCNA R&S versión 6.1

Ya muchas veces me referí al anuncio de Cisco en el mes de mayo referido a la actualización del examen CCNA R&S 200-125. Quienes necesitan mayor información sobre el examen en sí mismo pueden revisar los enlaces a los diferentes posts que incluí al final de este artículo.

Inicialmente publiqué varias herramientas orientadas a cubrir los requerimientos de esta actualización:

Toca ahora abordar manuales completos referidos al examen 200-125, y este es el primero de la serie. Lo seguirá inmediatamente la Guía de Laboratorios CCNA R&S y más tarde CCNA R&S en 30 días para finalmente lanzar la Guía de Preparación para el Examen de Certificación CCNA R&S versión 6.1. Como siempre digo, no tengo fechas definidas para cada publicación, pero seguramente pasaran varios meses antes de que pueda estar disponible la Guía.

Este es un "Apunte Rápido", es decir un manual que sigue la modalidad de presentar de modo sintético la totalidad del temario del examen de certificación 200-125.
Si eres un alumno de Academia o de Learning Partner, es posible que este manual te sea suficiente y al momento de estudiar utilices los materiales oficiales que recibiste durante tu cursada para aclarar dudas o buscar referencias necesarias.
Para quienes estudian por sí mismos (auto-estudio), este manual sirve como referencia de base y deberán complementarlo con investigación personal.
No incluye las herramientas pedagógicas propias de mi Guía de Preparación para el Examen, como son los mapas conceptuales, los resúmenes, notas, cuestionarios, etc.. Sin embargo, en algunas semanas completaré el Apunte Rápido publicando la Guía de Laboratorios CCNA R&S versión 6.1 que incluirá una completa serie de ejercicios de práctica adecuados para fijar los conocimientos y adquirir las habilidades prácticas que requiere el examen de certificación.

Fecha de publicación: 21 de diciembre de 2016

Autor: Oscar A. Gerometta
CCSI / CCNA R&S / CCDA / CCNAwir / CCNA sec. / CCBF.
Creador –en el año 2000- del primer curso de apoyo para alumnos de Cisco Networking Academy program que se preparan a rendir su examen de certificación CCNA, logrando entre sus alumnos un nivel de aprobación superior al 95%.

Texto:

Se trata de una síntesis de los contenidos de estudio comprendidos en el nuevo examen de certificación CCNA R&S 200-125.
Está alineado al examen CCNA 200-125.


Para revisar una versión demo de este manual ingrese aquí

Contenidos:

  • 1. El Examen de certificación CCNA 200-125.
  • 2. Los contenidos del examen de certificación.
  • 2.1. Principios de operación de redes TCP/IP.
  • 2.2. Direccionamiento IP (IPv4/IPv6).
  • 2.3. Operación de dispositivos Cisco IOS.
  • 2.4. Conmutación LAN.
  • 2.5. Enrutamiento IP.
  • 2.6. Servicios IP.
  • 2.7. Tecnologías WAN.
  • El índice detallado puede consultarse en la versión demo en línea.
Cantidad de páginas: 335.

Para la compra: 

Apunte Rápido CCNA R&S versión 6.1 en formato e-book ya se encuentra disponible, y se puede comprar en línea ingresando al sitio de Ediciones EduBooks.

Para revisar las características de los ebooks de EduBooks ingresar aquí.


Para reservar ejemplares impresos, comunicarse directamente con la Editorial escribiendo a libros.networking@gmail.com.


Para alternativas de pago u otras consultas diríjase directamente a Ediciones EduBooks por correo electrónico escribiendo  alibros.networking@gmail.com


Por consultas referidas a ejemplares impresos en Bolivia: libros.networking.bolivia@gmail.com


Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.
Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


18 de diciembre de 2016

Tipos de listas de acceso IP (ACL)


Temario CCNA R&S
Hay 2 tipos de listas de acceso IP:

  • Listas de acceso estándar.
    Permiten filtrar únicamente verificando la dirección IP de origen. 
  • Listas de acceso extendidas.
    Verifican múltiples elementos del encabezado tales como: direcciones IP de origen y destino, protocolo de capa 3 o 4 y puerto de capa 4. Permiten un control más flexible.
Paralelamente, hay 2 métodos diferentes para identificar las listas de acceso sean estándar o extendidas:
  • Listas de acceso IP numeradas.
    Se identifican con un ID numérico.
    En este caso, el ID numérico identifica simultáneamente el tipo de lista de acceso de que se trata:
    * ACL IPv4 estándar numeradas 1 a 99 y 1300 a 1999
    * ACL IPv4 extendidas numeradas 100 a 199 y 2000 a 2699
  • Listas de acceso IP nombradas.
    Se identifican con una cadena de caracteres alfanuméricos. 
El ID de las listas de acceso numeradas
En el caso de las listas de acceso numeradas, es el ID el que indica el tipo de ACL de que se trata:

Router(config)#access-list ?
1-99 IP standard
100-199 IP extended
700-799 48 bit MAC address standard
1100-1199   48 bit MAC address extendida
1300 - 1999 IP estándar (a partir de IOS 12.0.1)
2000 – 2699      IP extendida (a partir de IOS 12.0.1)

Listas de acceso IPv6
En IOS, para IPv6 hay un único tipo de listas de acceso: nombradas y extendidas. Su estructura, configuración y principios básicos son semejantes a las listas de acceso nombradas extendidas IPv4.
En el caso de las listas de acceso IPv6 las reglas implícitas que se agregan al final son más complejas ya que se incluyen permisos de algunos procesos ICMP:

  permit icmp any any nd-na
  permit icmp any any nd-ns
  deny ipv6 any any


Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
 el 
Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

12 de diciembre de 2016

Listas de Control de Acceso - Introducción

Temario CCNAA R&S

Las listas de control de acceso (ACL – Access Control List) son una herramienta que permiten identificar tráfico en función de la información contenida en los diferentes encabezados de una trama. A partir de esta identificación es entonces posible aplicar reglas para tomar acciones sobre ese tráfico.

Formalmente una ACL es una lista de sentencias o enunciados que permiten o deniegan determinado tipo de tráfico.

Se suelen utilizar ACLs para:
  • Limitar el tráfico de la red por seguridad o para mejorar su performance.
  • Implementar controles para el flujo de tráfico.
  • Implementar políticas de seguridad de nivel básico.
  • Especificar que determinado tipo de tráfico (aplicación o protocolo) sea reenviado o bloqueado en una interfaz de un dispositivo.
  • Definir el rango de direcciones IP privadas que deben ser traducidas o nopor un servicio de NAT.
  • Definir flujos de tráfico a los que se han de aplicar políticas de calidad de servicio (QoS) o seguridad.
En IOS las ACLs están sometidas a un conjunto de reglas básicas de operación:
  • Cada lista de acceso es identificada localmente por un ID único (numérico o alfanumérico).  
  • La lista de acceso está compuesta por una serie de sentencias ordenadas secuencialmente de modo que permiten o deniegan un tipo de tráfico específico.
  • Cada paquete que ingresa o sale a través de una interfaz que tiene asociada una lista de acceso es comparado con cada sentencia de la ACL secuencialmente, en orden, comenzando por la primera y hasta lograr una coincidencia.
  • La comparación se sigue realizando hasta tanto se encuentre una coincidencia. Una vez que el paquete cumple la condición de una sentencia (la primera coincidencia), se ejecuta la acción indicada en esa sentencia y no se sigue comparando.
  • Hay un deny ip any any (denegación de todo tráfico) implícito al final de cada lista de acceso, que no es visible. 
  • Los filtros que se aplican sobre el tráfico saliente NO afectan el tráfico originado en el mismo router. 
  • Para el filtrado de tráfico, sólo se puede aplicar una única ACL en cada interfaz, por sentido del tráfico (entrante / saliente), por protocolo (IPv4, IPv6, etc.).


Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
 el 
Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.