sábado, 2 de agosto de 2014

DMVPN 2

Siguiendo con la confiiguración de DMVPN, ahora agregamos la encripción de IPSec, que puede ser en modo túnel o transporte, en este caso utilizamos transporte porque sólo es tráfico encriptado que viaja entre dos dispositivos que se conectan directamente, quizás si hubiera una red entre ambos extremos del túnel valdría la pena encriptar en modo túnel:
Transporte encripta/autentica sólo el payload del datagrama y podemos leer origen y destino
Túnel encripta todo el datagrama, por lo que los routers en el camino no pueden interpretar el origen y destino, por ejemplo en casos donde el origen y destino no son parte del esquema de ruteo de la red.
Mas información al respecto aquí.

Los pasos para esta configuración son:

DMVP

DMVPN es una tecnología que se basa la generación de túneles de GRE desde varios puntos remotos (spokes) hacia un nodo central (hub), la comunicación a través de esos túneles es en una red Non-Broadcast Multiaccess, lo que se debe tener en cuenta al implementar protocolos de ruteo.
Un documento que pueden consultar es DMVPN Design and Implementation.
Por ser este tipo de red, necesitamos ejecutar un proceso de ruteo para las interfaces físicas y uno para las interfaces lógicas; esto permite que el router conozca la ruta a la dirección lógica de otro túnel a través de la interfaz física,aunque no es obligatorio para levantar los túneles, sino para pasar tráfico a través de ellos.
Para nuestro ejemplo tenemos routers con puertos Ethernet con las direcciones: 1.0.0.0/24
e interfaces lógicas en 2.0.0.0/24
Al estar todos a un switch capa dos, no requieren el ruteo de las interfaces físicas en este caso, pero podrían estar en una red más compleja y funcionaría más o menos igual.

Los pasos principales de configuración son:
  • Asegurarnos de que las interfaces físicas de los routers se pueden comunicar unas con otros, a través de pings
  • crear el túnel (interfaces lógicas)
  • asignar direcciones de manera que todas estén en la misma red
  • bloquear el redireccionamiento de pings
  • asignar un valor de MTU al túnel (considerando que una parte del paquete lo ocupa NHRP)
  • activar NHRP que nos permite levantar los túneles dinámicos (next hop resolution protocol)
  • el network-id
  • el mapeo de las direcciones
  • el mapeo de multicast (dinámico en hub y estático en spokes)
  • indicar la dirección del next-hop-server (ip nhrp nhs A.B.C.D)
  • asignar el origen del tráfico en el túnel con la interfaz física
  • configurar el tipo de túnel
  • configurar en cada túnel los comandos específicos del protocolo de ruteo que utilicemos.

Ejemplo de configuración básica:

viernes, 1 de agosto de 2014

El camino al CCIE de Routing and Switching

Han pasado años de no escribirle a este blog y muchas cosas han cambiado, desde la versión de CCNA que alguna vez tomé como reto y que hoy es totalmente nueva, pero en esencia exige los mismos conocimientos;y sobre todo, yo he cambiado, el tamaño de los retos ha cambiado.

Logré completar 3 CCNP, seguridad, routing and switching, CCDP de diseño, y quisiera seguir con Data Center, pero decidí dejarlo de lado porque descubrí que en el fondo evito enfrentar el CCIE haciendo otras cosas menos difíciles, así que, volveré a escribir aquí como parte de la metodología de estudio y preparación para la siguiente meta.

ITIL foundations v3
CCIE R&S written
CCNP Routing & Switching
CCNA R&S
CCDP
CCDA
CCNP Security
CCNA Security
CCNA Data Center
Cisco Cybersecurity Specialist
Cisco IOS Security Specialist
Cisco IPS Specialist
Cisco VPN Security Specialist
Cisco Firewall Security Specialist
Cisco ASA Specialist

Esta es la lista de temas que se deben dominar para el examen práctico de Cisco Certified Internetwork Expert version 5.0.

lunes, 24 de junio de 2013

VLANs privadas

Puertos protegidos y no protegidos.
Los puertos protegidos sólo se pueden comunicar con puertos no protegidos, son útiles para switches de acceso, y es una configuración local al switch, no se extiende más allá del dispositivo.

Configuring Private VLANs

Características:
  • Una VLAN primaria se divide en VLANs secundarias
  • estas VLAN son aisladas en community VLANs
  • el host puede comunicarse sólo con puertos promiscuos
  • los hosts en community VLANs pueden comunicarse en la misma comunidad
  • PVLAN no son soportadas en los Catalyst 2960
Puertos:
  • Aislados, pueden comunicarse sólo con puertos promiscuos
  • Promiscuos, se comunican con todos los otros puertos
  • Comunidad, se comunican con los puertos de la comunidad y promiscuos.
Configuracion de PVLAN aisladas:

verificando operaciones generales de VLAN

show interface switchport
show running-config int f0/8
show vlan
show interfaces trunk

problemas comunes de las troncales.
Las troncales pueden ser estáticas o autonegociadas con DTP
para el trunking autonegociado, los switches deben estar en el mismo dominio de VTP
algunas combinaciones de trunk serán exitosas, algunas no:

  • auto - auto (no será trunk)
  • deseable - acceso (no será trunk)
  • trunk no negotiate - auto (no será trunk)

Troubleshooting:
Crear las VLAN
¿se agregaron a todos los switches?
debe ser limitada manualmente? (pruned)
Agregar nuevos usuarios a los puertos
está el puerto en la VLAN correcta?
está el puerto activo?
está activo como switchport?
verificar la conectividad
están todos los links en trunk?
está la VLAN permitida en todos los trunks?
está STP bloqueando un link?

 Problemas con 802.1q native VLAN
los frames son transportados en un link de trunk que no tiene tagging
la VLAN nativa debe hacer match en los dos dispositivos que están en link
el tráfico se mezcla si no coinciden los nombres de LVAN nativa.
la VLAN nativa de default es la VLAN 1
configurar las VLAN no utilizadas...