Mis Libros de Networking: CCNP Enterprise

Mostrando las entradas con la etiqueta CCNP Enterprise. Mostrar todas las entradas

27 de enero de 2024

Claves de autenticación seguras o claves fuertes

La seguridad se ha convertido en un punto de referencia obligatorio en la actualidad, y la seguridad en el acceso de los usuarios un tema de suma importancia.

No solo las redes inalámbricas debieran requerir autenticación de usuarios, sino todo acceso a la red (incluyendo las terminales de escritorio con conexión cableada y los teléfonos) y toda aplicación. La seguridad de los datos personales o de la información personal (IP en algunos documentos) es un tema que incluso puede tener implicaciones legales.

Con lo que la autenticación del usuario es un tema de singular importancia hoy.

Mecanismos de autenticación

Al momento de acreditar la identidad en un acceso a la red o a un recurso, hay 3 mecanismos posibles a utilizar:

Usar algo que se conoce
Es el mecanismo quizás más habitualmente utilizado.
Es por ejemplo el uso de una clave o un PIN para acreditar identidad.
Presentar algo que se tiene
Se trata de un elemento físico o lógico que identifica.
Es el caso de los tokens USB o un certificado digital que sirven para acreditar identidad.
Suele implementarse en sistemas que requieren un mayor nivel de seguridad.
Utilizar algo que quien desea ingresar es
El ejemplo más habitual es el uso de biometría: reconocimiento facial, de huella digital, etc.

Al momento de buscar sistemas más seguros o robustos se suele utilizar la autenticación de factor múltiple (MFA) o de factor dual. En ese caso la verificación de identidad se realiza utilizando al menos 2 elementos de diferente tipo.

Por ejemplo, hay autenticación de factor dual cuando se utiliza la verificación de una clave de acceso o PIN (algo que se sabe o conoce) y huella digital (algo que se es). No es autenticación de múltiple factor cuando se requiere usuario y clave, usuario y PIN, clave y PIN o semejantes.

Creo que el mecanismo más habitualmente utilizado para la acreditación de identidad tanto en los sistemas de acceso a recursos como en aplicaciones es la clave. Incluso los sistemas que requieren autenticación de factor múltiple suelen requerir una clave o PIN como elemento conocido.

Las claves se han convertido en un elemento recurrente en la cultura del siglo XXI. Tenemos una clave para acceder a nuestro teléfono, pero también una para el acceso al sistema bancario; una clave para nuestro correo electrónico personal y también una para el acceso a recursos en nuestra área de trabajo. Las claves están presentes en todas circunstancia y situaciones, tanto personales como laborales.

Esto hace que se constituyan en un elemento fundamental para asegurar el acceso a datos reservados y/o personales, y por lo tanto un elemento central en todo intento de violar la privacidad o confidencialidad de esos datos.

Seguramente todos nosotros hemos escuchado una serie de recomendaciones respecto de estas claves:

Las claves son de uso personal y no deben ser compartidas con nadie.
Deben utilizarse diferentes claves para diferentes sistemas.
Las claves no deben documentarse de cualquier forma, si se lo hace, hacerlo de modo igualmente seguro.
Las claves deben ser utilizadas de modo seguro, de modo tal de evitar que alguien acceda a ellas al momento de ingresarlas en un sistema.
Debe ser ingresadas exclusivamente en sistemas seguros.
En caso de duda, no debe ingresarse la clave.
Se deben utilizar "claves seguras"

¿Qué es una clave segura?

Para comprender el concepto de clave segura debemos conocer antes los mecanismos de ataque que se suelen utilizar para violar la privacidad o confidencialidad de los datos.

Hay en este punto múltiples mecanismos desplegados por posibles atacantes como son la ingeniería social o la captura de claves, mecanismos que pueden ser contrarrestados a partir de reglas de comportamiento seguras como las que mencioné antes (no compartir las claves, etc.). Pero cuando estos mecanismos de ataque se agotan hay uno que es siempre posible y que es conocido como "ataque de fuerza bruta".

Un ataque de fuerza bruta es un método de prueba y error utilizado para obtener contraseñas, claves de cifrado u otra información de acceso a sistemas. El atacante prueba todas las combinaciones posibles de caracteres hasta encontrar la correcta.

Por ejemplo, si tenemos una caja fuerte con una combinación de 4 dígitos, el atacante de fuerza bruta probaría todas las combinaciones posibles desde 0000 a 9999, una por una, hasta encontrar la que abre la caja fuerte. Con 4 dígitos hay 10.000 combinaciones posibles a probar.

¿Qué es una clave segura o fuerte, entonces?

Una clave segura es una cadena de caracteres lo suficientemente larga y compleja para que un ataque de fuerza bruta se vuelva difícil o ineficaz.

Características de una clave segura

Hay que considerar en este punto algunos principios básicos:

Los caracteres de la contraseña deben ser lo más aleatorios posible.
Es necesario evitar correlaciones lógicas entre caracteres como pueden ser palabras del diccionario (el ataque de diccionario suele ser la primera etapa de un ataque de fuerza bruta) o patrones lógicos o físicos de caracteres. Por ejemplo, elegir caracteres por su posición en el teclado como puede ser "QWErty123".
Evitar caracteres en combinaciones frecuentes.
Por ejemplo, en los idiomas occidentales es poco frecuente una secuencia de consonantes y cuando son 3 consonantes consecutivas se incluye generalmente una "h", una "l" o una "r". Hay letras que son utilizadas más frecuentemente según el idioma, como la "e" en el inglés o la "a" en el castellano.
En un ataque de fuerza bruta se tiene estos puntos en cuenta para iniciar por allí la búsqueda.
Cuidado con los generadores de claves.
Muchos generadores de claves (servicios en línea o aplicaciones) son cazabobos desarrollados para capturar credenciales.
Otros son legítimos y ofrecen generar claves "al azar". Pero esta generación se hace utilizado variables pseudorandom, es decir, no son realmente al azar sino que simulan serlo. La consecuencia de esto es que las claves que se generan presentan patrones comunes o incluso se repiten. Esto también facilita la tarea de los atacantes.
Utilice la mayor variedad de caracteres posibles.
Cuando se utilizan contraseñas de una determinada cantidad de caracteres, si esos caracteres son simplemente letras, la cantidad de contraseñas diferentes posibles es 26 elevado a la N, donde N es la cantidad de caracteres de la contraseña.

Si la contraseña es de 8 caracteres la cantidad de variantes es 26 a la 8 = 208.827.064.576 claves posibles.
Si la contraseña es de 10 caracteres la cantidad de variantes es 26 a la 10 = 141.167.095.653.376 claves posibles.
Consecuencia: cuando mayor es la cantidad de caracteres, más difícil será el ataque de fuerza bruta.

El otro elemento sobre el que se puede trabajar, es sobre cada uno de los diferentes caracteres. Si son simplemente letras hay 26 caracteres posibles en cada posición, pero si se utilizan letras mayúsculas y minúsculas combinadas hay 56 caracteres posibles, y si se suman caracteres especiales (-_%$#!) pueden ser 60, 62 o más.

Así, en nuestro ejemplo, una contraseña de 10 caracteres la cantidad de variantes será 62 a la 10 = 839.299.365.868.340.224 claves posibles.

Y si llevamos la longitud a 12 caracteres, la cantidad de claves posibles será 62 a la 12 = 3.226.266.762.397.899.816.960

De ahí que en la actualidad la sugerencia para tener una clave segura es:

Longitud mínima, 12 caracteres
Que no incluya palabras, nombres o fechas, sea al derecho o al revés
Que incluya letras (mayúsculas y minúsculas), números y caracteres especiales
Seleccionados aleatoriamente

¿Cuál es el problema?

El problema está en los sistemas de autenticación que utilizamos en los mecanismos de control de acceso y en la autenticación de aplicaciones y otros sistemas.

Aún el día de hoy:

Encontramos sistemas de autenticación que no admiten claves de más de 8 caracteres (incluso, a veces, menos).
Muchos sistemas no discriminan mayúsculas y minúsculas, o no admiten números.
Muchos sistemas no admiten caracteres especiales, y cuando se admiten no siempre son los mismos.

Esto hace que muchas veces sea complicado definir políticas de claves clara y consistente ya que no todos los sistemas admiten las mismas características.

Sin embargo, al día de hoy hay muchos sistemas de autenticación en el mercado que permiten definir (aún cuando se deja al usuario elegir la clave) parámetros tales como una longitud mínima admitida para la clave, qué caracteres son admitidos (incluidos qué caracteres especiales se incluyen), se pueden excluir cadenas de caracteres permitidas (por ejemplo no permito incluir la palabra "cisco" al derecho o al revés), definir períodos de renovación obligatorios y obligar a no repetir las claves.

Es decir, hay en el mercado mecanismos eficientes que permiten proteger los accesos. Solo es necesario tener esto presente al momento de definir las políticas de claves para las aplicaciones propietarias o los sistemas que se van a contratar para la autenticación de los usuarios.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

16 de enero de 2024

Nueva interfaz gráfica de ACP en FMC versión 7.x (video)

Esta es una demostración realizada sobre una maqueta que implementa Cisco Secure Firewall versión 7.2.0, que implementa FMC y FTD de la interfaz gráfica (GUI) incorporada para configurar políticas de control de acceso

Durante la demo se revisan las diferentes opciones y posibilidades que ofrece esta nueva interfaz de uso opcional.

Este Laboratorio no es parte de ningún curso, pero supone conocimientos que podés obtener en el curso "Cisco Secure Firewall versión 7.2" de Educática.

Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

13 de enero de 2024

Configuración de VPNs IPsec site-to-site estáticas con IKEv2

Las VPNs IPsec son un recurso de conectividad cada vez más frecuente. La implementación de servicios de nuble (cloud) de diferente tipo no ha hecho más que aumentar su implementación en las redes corporativas.

Hay dos tipos principales de VPNs IPsec: site-to-site y acceso remoto.

Cisco introduce la posibilidad de implementar este recurso en diferentes dispositivos, básicamente en routers y firewalls (también pueden utilizarse otros dispositivos). Tanto Cisco IOS, como IOS-XE y ASA soportan su configuración. Pero aún dentro de estos sistemas operativos hay diferentes modos de configuración; el primero y quizás más conocido es la configuración utilizando crypto maps estáticos. Sin embargo, hoy Cisco sugiere, para configuraciones sobre IOS, IOS-XE o ASA la configuración utilizando SVTI (interfaces virtuales de túnel estáticas) con IKEv2.

Sobre este tipo de configuración voy a centrarme en este post.

Procedimiento de configuración

Configurar la negociación IKE entre los puntos terminales de la VPN.
Opcionalmente configurar el transform set y el perfil de IPsec
Configurar la interfaz de túnel virtual (VTI).
Configurar el enrutamiento necesario para publicar las redes que se desea sean accesibles a través de la interfaz de túnel.

Un esquema completo y ordenado de los pasos de configuración necesarios es el siguiente:

Configuración de IKEv2

Definición de "IKEv2 proposal"

Cifrado (AES-CBC/AES-GCM/SEAL)
Integridad (SHA-2)
Intercambio de claves (DH14/DH16/DH19/DH20/DH24)

Configuración de la política IKEv2
Configuración del perfil IKEv2

Identidad remota
Identidad local
Autenticación remota (PSK/RSA/ECDSA)
Autenticación local
Llavero local

Un ejemplo:

crypto ikev2 proposal PROPUESTA1

encryption aes-cbc-128

integrity sha256
group 19
!
crypto ikev2 policy POLITICA
proposal PROPUESTA1
!
crypto ikev2 keyring LLAVERO
peer ROUTER_PEER
address 198.51.100.123
pre-shared-key local 7c2FKFgNNy
pre-shared-key remote cpi9w43gYB
!
crypto ikev2 profile PERFIL
match identity remote address 198.51.100.123 255.255.255.255
identity local address 192.0.2.123
authentication remote pre-share
authentication local pre-share
keyring local LLAVERO

Configuración de IPsec

Definición del transform set

Encapsulación (ESP/AH)
Cifrado (AES/SEAL)
Integridad (SHA-2)
Modo (Transporte/Túnel)

Definición del perfil IPsec

Transform set
Perfil IKEv2

Continuemos con el ejemplo:

crypto ipsec transform-set VPN1 esp-aes esp-sha256-hmac mode tunnel
!
crypto ipsec profile PERFILIPsec
set transform-set VPN1
set ikev2-profile PERFIL

Cisco IOS incluye tanto para la configuración de IKEv2 como de IPsec perfiles por defecto llamados "Smart Defaults" que pueden ser invocados en la configuración sin necesidad de definir cada uno de los parámetros mencionados antes.

Por otro lado, los parámetros mencionados pueden variar de acuerdo a las definiciones operativas que se hagan para la VPN concreta. Por ejemplo, la autenticación de IKEv2 puede realizarse utilizando RSA en lugar de una clave pre-compartida (PSK) como en el ejemplo.

Lo que presento aquí es solamente un ejemplo que puede servir de referencia.

Finalmente, hay que configurar la interfaz túnel

Configuración de la interfaz de túnel virtual (VTI)

Direccionamiento IP
Interfaz física que que inicia el túnel
Encapsulación que utiliza el túnel
IP destino del túnel
Perfil IPsec que se aplica al túnel

Para completar el ejemplo:

interface Tunnel0

ip address 192.168.1.1 255.255.255.0
tunnel source GigabitEthernet0/1
tunnel mode ipsec ipv4
tunnel destination 198.51.100.123
tunnel protection ipsec profile PERFILIPsec

Espero que este ejemplo sirva como introducción para aquellos que están intentando comprender la configuración de VPNs IPsec point-to-point y para que profundicen en un tema realmente complejo y con múltiples opciones diferentes.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

5 de enero de 2024

Configuración de Syslog en FMC (video)

Esta es una demostración realizada sobre una maqueta que implementa Cisco Secure Firewall versión 7.2.0, que implementa FMC y FTD.

Durante la demo revisaremos como asociar un servidor Splunk utilizando protocolo Syslog al FMC y a continuación al FTD.

Este Laboratorio no es parte de ningún curso, pero supone conocimientos que podés obtener en el curso "Cisco Secure Firewall versión 7.2" de Educática.

Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

18 de noviembre de 2023

EtherChannel: Distribución de la carga de tráfico

Cuando configuramos un EtherChannel o Link Aggregation se constituye una interfaz de canal lógica en la que termina un enlace lógico en el que se asocian varios enlaces físicos para transportar paquetes a través de la infraestructura. Esos paquetes se distribuirán entre los enlaces físicos en función de lo que establece el mecanismo de distribución de la carga de tráfico intrínseco al link aggregation e independiente de otras implementaciones.

La distribución de la carga se realiza entre los enlaces físicos activos que forman parte del mismo canal lógico. Según la plataforma de hardware en la que estemos trabajando se pueden implementar uno o más métodos de distribución de carga. Estos métodos incluyen el balanceo de tráfico en función de la MAC de origen o de destino, o la dirección IP de origen o de destino, a través de los enlaces físicos. Algunos métodos pueden incluir también los puertos de capa de transporte de origen y destino.

El objetivo de equilibrar la carga no es solo utilizar todos los enlaces disponibles sino también garantizar que los paquetes con la misma información de encabezados (y que por lo tanto pertenecen a la misma sesión o flujo) se reenvíen a través del mismo enlace físico para evitar una posible entrega de paquetes desordenada.

El equilibrio de carga se realiza a nivel del hardware y está habilitado de forma predeterminada.

Los canales virtuales incorporan esta función de distribución del tráfico basada en los encabezados de los paquetes. Para esta tarea se genera un hash que brinda un patrón binario a partir de información específica de alguno de los encabezados de cada paquete. Todos los paquetes que tengan igual hash serán enviados a través del mismo enlace físico; por este motivo la distribución de carga no es exactamente igual entre todos los enlaces físicos.

La combinación posible de campos utilizados para generar el hash que define el enlace que se utiliza para hacer el envío varía de acuerdo a la plataforma. En switches Cisco, las opciones posibles son:

La selección del modo de balanceo de carga es una opción de configuración global, por lo tanto, afecta a todos los canales virtuales configurados en un mismo dispositivo. No es posible utilizar diferentes métodos para diferentes canales.

En caso de duda se pueden verificar las opciones disponibles en un dispositivo utilizando el siguiente comando:

Switch#configure terminal

Switch(config)#port-channel load-balance ?

El algoritmo de hash (una operación XOR) da un producto que brinda un patrón binario de unos y ceros. Se utiliza ese patrón binario para definir a través de qué enlace se envía la trama. Con este propósito el sistema también identifica cada uno de los puertos físicos del canal con un patrón binario.

Por ejemplo, si consideramos un canal virtual integrado por 4 enlaces físicos, cada enlace será identificado consecutivamente con uno de los siguientes patrones: 00, 01, 10 y 11.

Un canal virtual compuesto por 2 enlaces físicos, utiliza 1 bit para identificar a cada uno de esos enlaces; un canal virtual de 4 enlaces, utiliza 2 bits para identificar a cada uno; y un canal virtual de 8 enlaces utiliza 3 bits para identificar a cada uno.

De allí que la sugerencia de diseño es que los enlaces link aggregation estén conformados para 2, 4 u 8 enlaces físicos (siempre potencias de 2).

Este mecanismo de distribución de la carga asegura que todas las tramas y/o paquetes de las comunicaciones entre 2 dispositivos sean reenviados utilizando el mismo enlace físico mientras esté disponible.
Si se opta por distribuir la carga en función de direcciones IP, cuando el canal virtual recibe tráfico no IP lo distribuirá en función de las direcciones MAC.
Cuando la cantidad de enlaces físicos no es una potencia de 2 la distribución de carga no se hará de modo uniforme ya que deberá utilizar algunos enlaces físicos más que otros.
No es posible controlar qué comunicación se envía a través de qué puerto.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

26 de septiembre de 2023

Se actualizó el Glosario de Siglas y Términos (v1.8)

Mientras trabajo en nuevos manuales y cursos, reviso textos, analizo información, me encuentro con múltiples siglas que siguen poblando de modo creciente nuestro ambiente de trabajo. En función de esto permanentemente actualizo el Glosario de Siglas y Términos de Networking que publiqué inicialmente en el año 2015 y del que esta es su octava revisión.
Este glosario ha estado desde su publicación inicial y sigue estando disponible de manera completamente libre en la Biblioteca Virtual de EduBooks en Scribd.

Publicado inicialmente como una evolución de los glosarios incluidos en las Guías de Preparación de los exámenes de certificación con la intención de generar un recurso de trabajo para todos los manuales que publico. Esta es, ahora, la octava actualización.

Una nota importante. El glosario está disponible para ser descargado, pero sugiero consultarlo en línea para tener la seguridad de estar revisando la última actualización disponible.

Como siempre, espero que esta actualización del Glosario sea de ayuda para muchos y utilidad para todos, utilicen o no los manuales que publico.

Si te es útil podés colaborar "comprando un café": https://www.buymeacoffee.com/ogerometta

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

22 de abril de 2023

Novedades en las certificaciones CCNP Enterprise y CCNP Security

Días atrás Cisco publicó una actualización de su roadmap de certificaciones que tiene varias novedades de relevancia.

CCNP Enterprise

Se publicó un nuevo temario o blueprint del examen de certificación ENCOR 350-401 que está identificado como versión 1.1.

El examen de certificación basado en el nuevo temario estará disponible a partir del 20 de septiembre de 2023.

Respecto de los exámenes de especialización o "concentration":

Hay una nueva especialización con su correspondiente examen de certificación: ENCC 300-440 cuyo temario se identifica como versión 1.0.
Los temarios de los exámenes ya existentes han sido todos revisados y actualizados a la versión 1.1. Los exámenes basados en estos nuevos temarios estarán disponibles a partir del 20 de septiembre 2023.

De esta forma, CCNP Enterprise queda compuesto de la siguiente forma:

Exam Core:

ENCOR 350-401 v1.1

Exams Concentration:

ENARSI 300-410 v1.1
ENSDWI 300-415 v1.2
ENSLD 300-420 v1.1
ENWLSD 300-425 v1.1
ENWLSI 300-430 v1.1
ENAUTO 300-435 v1.1
ENCC 300-440 v1.0

Los nuevos exámenes estarán disponibles a partir del 20 de septiembre 2023. Los demás aspectos de la certificación no han tenido modificaciones.

Tanto el release notes correspondiente como los nuevos temarios están disponibles en el sitio oficial del roadmap de certificaciones de Cisco.

CCNP Security

Se actualizaron también los temarios de los exámenes de CCNP Security (tanto el examen Core como los de especializaciones) a la versión 1.1. Los exámenes que se basan en los nuevos temarios estarán disponibles a partir del próximo 20 de julio de 2023.

Al mismo tiempo, se agregó una nueva especialización: "Diseño e implementación de acceso seguro para usuarios y terminales a la nube". Esta certificación se obtiene aprobando el examen SCAZT 300-740 versión 1.0 que estará disponible a partir del próximo 20 de noviembre de 2023.

En consecuencia, la certificación CCNP Security, queda compuesta de la siguiente manera:

Exam Core:

SCOR 350-701 v1.1

Exams Concentration:

SNCF 300-710 v1.1
SISE 300-715 v1.1
SESA 300-720 v1.1
SWSA 300-725 v1.1
SVPN 300-730 v1.1
SAUTO 300-735 v1.1
SCAZT 300-740 v1.0

Como ya dije, los nuevos exámenes estarán disponibles a partir del 20 de julio 2023 salvo el nuevo examen SCAZT que estará disponible a partir del 20 de noviembre 2023.

Como en otros casos, el release notes de estos cambios igual que los temarios actualizados de cada examen están disponibles en el sitio oficial del roadmap de certificaciones de Cisco.

¿Qué pasa con los cursos oficiales correspondientes?

A diferencia de los temarios de los exámenes, los cursos oficiales y sus materiales de estudio son actualizados regularmente. Más allá de estas actualizaciones regulares dos cursos oficiales tienen ya nuevas versiones completamente revisadas:

Cisco SD-WAN Operation and Deployment (SDWFND)
Tiene ahora su versión 2.0 que incluye actualización de los laboratorios a nuevas versiones de software, remoción de las referencias a vEdge y una focalización en IOS XE tanto en el desarrollo teórico como en los laboratorios.
Implementing and Configuring Cisco Identity Services Engine (SISE)
Ha sido actualizado a la versión 4.0.
En esta versión se han actualizado los laboratorios a ISE versión 3.1 al mismo tiempo que se ha reacomodado el desarrollo del temario del curso dándole mayor granularidad y agregando un capítulo dedicado a Cisco TrustSec con su laboratorio.

Varios cursos oficiales han sido retirados y se encuentran ya EOL

SDWFND v1.0
Retirado el 28 de marzo 2023 y reemplazado con SDWFND v2.0
SISE v3.0
reemplazado con SISE v4.0
VII v1.0
Será retirado el 23 de agosto 2023, sin reemplazo
DCCVIM v1.0
Será retirado el 1 de abril de 2024 sin reemplazo

Enlaces de interés:

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

4 de abril de 2023

Precisiones en torno al roadmap de las certificaciones de Cisco

Durante el mes de diciembre pasado publiqué la hoja de ruta (roadmap) publicada por Cisco para sus exámenes de certificación de nivel asociado, profesional y experto.

https://librosnetworking.blogspot.com/2022/12/un-roadmap-para-las-certificaciones-de.html

Como comenté en esa oportunidad, "esta hoja de ruta prevé una revisión cíclica de cada examen de certificación lo que no supone necesariamente una actualización cíclica de los exámenes". En palabras del responsable del área de certificaciones se trata de transparentar el mecanismo de revisión de los exámenes y dar certezas respecto de los posibles anuncios.

En el roadmap se precisan las fechas de posibles anuncios de actualización de los exámenes de cada nivel de las diferentes tecnologías que cubren los exámenes.

Ahora tenemos nuevas precisiones a partir de las presentaciones ya realizadas en Cisco Live.

¿Qué es lo que ha cambiado en el sistema de certificaciones?

Este esfuerzo por transparentar y dar previsibilidad a las necesarias actualizaciones del sistema ha introducido claras novedades:

Ya no se prevén cambios en el código que identifica cada examen. Por ejemplo, no se prevé que cambie el código 200-301 que corresponde al examen CCNA.
Lo que cambia o evoluciona es la versión del blueprint o temario del examen de certificación (por ejemplo, la versión actual del blueprint de CCNA es 1.0).
Se diferencian 2 niveles de revisión:

Revisiones menores, son aquellas que impactan en menos del 20% del temario.
Revisiones mayores, son las que implican un cambio de más del 20% del temario.

Las actualizaciones del software considerado en el blueprint se realizarán cada vez que sea necesario, y eso no implica un cambio de versión del temario, solo una revisión menor.
El equipamiento considerado en el blueprint no cambiará en las revisiones menores. Si es necesario, los cambios de equipamiento o topologías se harán en las revisiones mayores.
Los anuncios de las revisiones menores se realizarán con una anticipación a la disponibilidad de los exámenes revisados, adecuada:

Exámenes de certificación de nivel asociado y profesional: 3 meses.
Exámenes de certificación de nivel experto: 6 meses.

Cuando se trate de revisiones mayores el anuncio se realizará con una anticipación de 6 meses, en todos los casos.

Sintetizando la diferencia entre revisiones mayores y menores podemos confeccionar esta tabla:

¿A qué documentos debo estar atento para estar conocer los cambios?

Para conocer los cambios lo que debés conocer es bastante claro.

En primer lugar, debés revisar el roadmap que te indica con claridad en qué fechas pueden realizarse anuncios. Este roadmap está publicado por Cisco en su sitio web:

https://learningnetwork.cisco.com/s/cisco-certification-roadmaps

En el mismo sitio vas a encontrar los anuncios ya realizados con las fechas previstas para los cambios en los exámenes y 2 documentos relevantes: los "release notes", y los "exam topics" de cada examen.

El release notes presenta las modificaciones que se han realizado en el temario del examen. De esta manera, si ya estás estudiando y tenés materiales de estudio podés, fácilmente, identificar qué vas a necesitar agregar a lo que ya tenés.

Es el documento que reseña los cambios. Como ejemplo, este es el reselase notes de ENCOR v1.1.

El exam topics o blueprint es el temario detallado de cada uno de los exámenes. Cada examen tiene su blueprint.

Es el documento que necesitás utilizar como guía y referencia para tu prepación para el examen. Es el temario oficial de tu examen. En el inicio del mismo en contrarás el número de revisión al que corresponde ese temario.
Como ejemplo, este es el blueprint o temario del examen CCNA v1.0.

Estos blueprints también podés accederlos desde la página de presentación oficial de cada certificación.

¿Hay cambios en CCNA?

Volvamos al inicio.

Lo que tenés que tener presente es el roadmap del examen de certificación CCNA. En este caso, el roadmap de CCNA es el siguiente:

El temario se somete a revisión entre Febrero y Abril de cada año.
Si hay cambios, se anuncian entre Mayo y Julio del mismo año.
El nuevo temario (si corresponde) se publica entre Agosto y Octubre.

Esto significa que, por el momento no hay anuncios oficiales, y no hay una fecha cierta para esos anuncios, si los hubiera se darán entre los meses de Mayo y Julio próximos.

¿Cambió el sistema de certificaciones?

No.
El anuncio no se refirió a un cambio en el sistema de certificaciones de Cisco. Solo introduce un mecanismo de revisión anual que da transparencia y previsibilidad al sistema.

Enlaces de interés:

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

6 de febrero de 2023

Named EIGRP

EIGRP (Enhanced Interior Gateway Routing Protocol) es un protocolo de enrutamiento vector distancia avanzado desarrollado por Cisco y abierto vía RFC hace algunos años.

Named EIGRP es un mecanismo de configuración mediante el cual se puede dar nombre a diferentes procesos de enrutamiento EIGRP en un solo dispositivo, lo que permite una mayor organización y control en la red. Adicionalmente, permite ejecutar todo el procedimiento de configuración en un único espacio utilizando comandos unificados para los diferentes protocolos enrutados (EIGRP es un protocolo de enrutamiento multiprotocolo).

Toda la configuración de EIGRP se hace en un único espacio.
Se unifica la configuración de EIGRP para IPv4 e IPv6.
Mantiene compatibilidad con la configuración tradicional.
Named EIGRP está disponible a partir de IOS 15.0(1)M.

La configuración se puede organizar de modo jerárquico creando un address-family para cada tipo de ruta. Por ejemplo: un address-family para rutas de unicast IPv4 y otro diferente para rutas de unicast IPv6.

No cambia en nada el modo en el que opera el protocolo. Solo es un mecanismo de configuración diferente.

Ventajas de Named EIGRP:

Mejor organización
Con Named EIGRP, se puede dar nombre a diferentes procesos de enrutamiento EIGRP en un solo dispositivo, lo que permite una mayor organización y control en la red.
Flexibilidad
Named EIGRP permite crear diferentes procesos de enrutamiento para diferentes redes o áreas. Esto significa que se pueden aplicar diferentes políticas de enrutamiento y configuraciones de red para diferentes redes o áreas.
Facilidad de administración
Named EIGRP permite mejor visibilidad y control sobre los procesos de enrutamiento en la red. Esto hace que sea más fácil identificar y solucionar problemas.

¿Cómo se ve una configuración utilizando named EIGRP?

Router#show running-config | section router eigrp

router eigrp CCNP
!
address-family ipv4 unicast autonomous-system 100
!
topology base
exit-af-topology
eigrp router-id 1.1.1.1
network 10.1.112.0 0.0.0.255
network 172.30.0.0
exit-address-family
!
address-family ipv6 unicast autonomous-system 100
!
af-interface default
passive-interface
exit-af-interface
!
af-interface GigabitEthernet0/0
no passive-interface
exit-af-interface
!
topology base
exit-af-topology
eigrp router-id 1.1.1.1
exit-address-family
!

Como se puede observar, la configuración íntegra vinculada al protocolo puede revisarse en una sola sección del archivo de configuración y está organizada de modo claramente jerárquico lo que simplifica el análisis y los procesos de diagnóstico de fallos.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

11 de enero de 2023

EIGRP wide metric

La fórmula clásica de la métrica EIGRP no escala adecuadamente para interfaces de alto ancho de banda o canales Link Aggregation, lo que genera un comportamiento del enrutamiento EIGRP subóptimo o inconsistente.

Cuando el ancho de banda del enlace supera 10 Gbps el algoritmo clásico no está en condiciones de tratar adecuadamente enlaces de diferente capacidad reduciéndolos todos en la fórmula a 1 (utiliza números enteros, no facciones decimales). Además es necesario considerar que el menor delay que se puede configurar en una interfaz es de 10 microsegundo lo cual hace que desde la perspectiva del retardo las interfaces de alto ancho de banda aparezcan todas como equivalentes. Esto puede provocar una distribución de carga no adecuada.

Para dar lugar entonces a acomodar interfaces de ancho de banda superior a 1 Gbps y hasta 4,2 Tbps., Cisco incorporó un factor de escala amplia (EIGRP Wide Scale - 65536) que se aplica a algunas porciones del algoritmo de cálculo de la métrica para dar lugar a considerar enlaces más rápidos. Adicionalmente se ha modificado la fórmula de cálculo de la métrica para soportar la posibilidad de métricas de 64 bits de longitud, no ya de 32.

NOTA

Estas métricas de 64 bits solo operan en EIGRP named mode. Las configuraciones EIGRP en modo clásico siguen utilizando métricas de 32 bits.

Un breve repaso

La métrica original de EIGRP es una métrica compuesta que integra 4 parámetros utilizando un algoritmo de cálculo: ancho de banda, delay, confiabilidad y carga. Cada uno de esos elementos está impactado por diferentes modificadores (K) que permiten controlar el impacto que cada uno tiene en el cálculo de la métrica.

La fórmula de cálculo original es:

Ahora bien, dado que por defecto los modificadores K2, K4 y K5 se encuentran en cero, varios miembros de esta fórmula quedan anulados dando lugar, por defecto, a una fórmula simplificada:

Esta fórmula da como resultado una métrica de 32 bits que luego encontramos en la tabla topológica de EIGRP y en la tabla de enrutamiento.

La métrica ampliada

Las principales características de esta métrica ampliada son:

En el cálculo de la métrica que originalmente incorpora el delay como decenas de microsegundos, ahora considera el cómputo del tiempo que tarda el paquete en viajar a través de los enlaces medido en picosegundos.
1 segundo = 1.000 milisegundos
1 segundo = 1.000.000 microsegundos
1 segundo = 1.000.000.000 nanosegundos
1 segundo = 1.000.000.000.000 picosegundos
Se incluye la función EIGRP-Wide Metric que incorpora la constante K6 con un valor por defecto 0.
Esta nueva variable permitirá, a futuro, incorporar atributos adicionales como podría ser jitter, en el cálculo de la métrica.
Para dar lugar a esta nueva métrica se modifica la fórmula de cálculo de la métrica compuesta original.

La forma actualizada del algoritmo de cálculo de la métrica es la siguiente:

En este esquema:

El ancho de banda es el ancho de banda mínimo de la ruta calculado tomando como referencia:
BW = (10(7) x 65536) / BW
Aquí 65536 es la constante de escala ampliada, y el ancho de banda se sigue expresando en Kbps.
Esto permite identificar los enlaces de más alta velocidad.
El delay es la latencia total expresada en picosegundos, calculada de la siguiente forma para enlaces por debajo de 1 Gbps:
Delay = (delay x 65536) / 10(6)
El delay total, para enlaces por encima de 1 Gbps, es calculado de la siguiente manera:
Delay = (delay x 65536/10(6)) / BW

La nueva métrica calculada, de 64 bits de longitud, no tiene suficiente espacio para ser incluida en la tabla de enrutamiento que está preparada para alojar métricas de 32 bits de longitud. Para resolver este problema se incorporó el comando metric rib-scale que toma los valores de métrica de 64 bits de EIGRP y los divide por un factor específico; su valor por defecto es 128. Este valor por defecto es suficiente para reducir las métricas a un tamaño adecuado para las tablas de enrutamiento actuales.

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

El Autor

Oscar Gerometta es Instructor desde 1999 y ha certificado como CCAI, CCSI y CCBF.
Ha capacitado a miles de técnicos y preparado para obtener sus certificaciones a cientos de ellos incluyendo CCNA R&S, CCNP R&S, CCDA, CCNAsec, CCNAwi, CCNPsec, CCNPwi. Es consultor, redactor y docente en diferentes áreas vinculadas a las TICs. Sus publicaciones incluyen la primer Guía de Preparación para el Examen de Certificación CCNA en español.

Se autoriza la reproducción de los materiales de este blog citando la fuente e incluyendo un enlace al mismo.

http://about.me/ogerometta