Verificación de enlaces troncales en switches Catalyst @ CISCO

La operación y mantenimiento de enlaces troncales en switches Cisco Catalyst, respecto de su operación específica como troncal, requiere también de herramientas a nivel del sistema operativo que permiten verificar y monitorear la operación de los enlaces troncales que operamos.
En este sentido Cisco IOS y Cisco IOS XE proporcionan una serie de comando show que aplican a este propósito:

• show interfaces status
• show interfaces trunk
• show interfaces switchport

show interfaces status
Se trata de un comando poco utilizado en el monitoreo de enlaces troncales que proporciona una rápida visibilidad de cuáles son los puertos que se encuentran operando en modo troncal.
No da mayor información sobre la operación.

Switch> show interfaces status

 Port   Name     Status     Vlan      Duplex Speed Type
 Fa0/1           disabled   routed      auto  auto 10/100BaseTX
 Fa0/2           disabled   routed      auto  auto 10/100BaseTX
 Fa0/3           disabled   routed      auto  auto 10/100BaseTX
 Fa0/4           disabled   routed      auto  auto 10/100BaseTX
 Fa0/5           disabled   routed      auto  auto 10/100BaseTX
 Fa0/6           connected  10        a-full a-100 10/100BaseTX
 Fa0/7           connected  10        a-full a-100 10/100BaseTX
 Fa0/8           connected  200       a-half a-100 10/100BaseTX
 Fa0/9           connected  trunk     a-full a-100 10/100BaseTX
 Fa0/10          disabled   routed      auto  auto 10/100BaseTX
 Fa0/11          disabled   routed      auto  auto 10/100BaseTX
 Fa0/12          disabled   routed      auto  auto 10/100BaseTX
 [se omiten líneas]

show interfaces trunk
Este comando permite verificar múltiples elementos de la operación de los enlaces troncales:

• Modo en que el puerto se establece como troncal.
  El puerto puede establecerse como troncal a través de una negociación de DTP o por configuración manual.
  En este caso se indica modo "on", esto es configuración manual en modo troncal.
• Protocolo de etiquetado de VLANs utilizado.
  En el ejemplo de abajo es 802.1Q
• Estado operativo del puerto.
  En el ejemplo el estado es "trunking".
• VLAN nativa definida en el puerto.
  En nuestro ejemplo, la VLAN 99.
• VLANs permitidas en ese puerto troncal.
  En el ejemplo son las VLANs 10 y 99.
• VLANs permitidas y activas en ese troncal. Puede ocurrir que en un enlace troncal una VLAN esté permitida pero no se encuentre creada en el switch, con lo que estará permitida pero no activa. Es el caso habitual de puertos con configuración por defecto que tienen todas las VLANs posibles permitidas, pero activas solamente las que están creadas en el switch.
  En el ejemplo son las VLANs 10 y 99.
• VLANs que en este enlace troncal están en modo forwarding (el troncal es parte de la topología activa de STP) y por lo tanto están permitiendo el tráfico de esa VLAN.
  En este ejemplo ambas VLANs utilizan este enlace troncal para el reenvío de tráfico. No hay VLANs bloqueadas.

Switch# show interfaces trunk
Port        Mode    Encapsulation    Status    Native vlan
Gi0/1       on      802.1q           trunking  99

Port        Vlans allowed on trunk
Gi0/1       10,99

Port        Vlans allowed and active in management domain
Gi0/1       10,99

Port        Vlans in spanning tree forwarding state and not pruned

Gi0/1       10,99

Si se indica un puerto específico muestra solamente la información correspondiente a ese puerto. Si no se indica un puerto, muestra todos los puertos troncales del dispositivo.
En el caso del ejemplo el switch tiene un solo puerto troncal.

show interfaces switchport
El comando nos permite verificar el estado operativo del puerto en cuanto a su operación en capa 2.

• Modo administrativo: Muestra la configuración realizada en el puerto.
  En este caso se ha configurado como troncal estáticamente utilizando el comando switchport mode trunk.
• Modo operativo: Muestra el modo en que el puerto está operando. Cuando se utiliza DTP muestra el resultado de la negociación del protocolo.
  En este caso el modo en que está operando es troncal.
• Encapsulación administrativa: Refiere a la configuración de encapsulación del puerto.
  En el ejemplo, está configurado para operar utilizando IEEE 802.1Q que es el protocolo por defecto y el único disponible en este caso.
• Encapsulación operativa: Es la encapsulación que de hecho se está utilizando en el enlace.
  En este caso es 802.1Q.
• Negociación: Indica si está operativa la negociación de DTP en el puerto.
  En el ejemplo muestra que la negociación está activa.
• VLAN en modo acceso: Es la VLAN en la cual se colocará el puerto en caso de estar operando en modo acceso si no se indica otra cosa.
• VLAN nativa en modo troncal: Es la VLAN que se asume como VLAN nativa en caso de que el puerto esté operando en modo troncal, si no se indica otra cosa.
• Voice VLAN: Indica si se ha definido una VLAN de voz en ese puerto, y en caso de que se haya definida cuál es el ID de VLAN.
  En el caso del ejemplo no hay VLAN de voz definida.
• A continuación se presenta la información correspondiente a la definición de private VLANs.

Switch# show interfaces GigabitEthernet1/0/1 switchport
 Name: Gig0/1
 Switchport: Enabled
 Administrative Mode: trunk
 Operational Mode: trunk
 Administrative Trunking Encapsulation: dot1q
 Operational Trunking Encapsulation: dot1q
 Negotiation of Trunking: On
 Access Mode VLAN: 1 (default)
 Trunking Native Mode VLAN: 1 (default)
 Voice VLAN: none
 Administrative private-vlan host-association: none
 Administrative private-vlan mapping: none
 Administrative private-vlan trunk native VLAN: none
 Administrative private-vlan trunk encapsulation: dot1q
 Administrative private-vlan trunk normal VLANs: none
 Administrative private-vlan trunk private VLANs: none
 Operational private-vlan: none
 Trunking VLANs Enabled: ALL
 Pruning VLANs Enabled: 2-1001
 Capture Mode Disabled
 Capture VLANs Allowed: ALL

 Protected: false
 Appliance trust: none

Mensaje CDP
Cuando hay diferencia en la definición de la VLAN nativa entre los 2 puertos que componen un enlace troncal, no hay un mensaje de error directo del puerto; sin embargo en los switches Catalyst que tienen activo CDP, la diferencia de configuración entre ambos extremos del troncal genera un mensaje de evento CDP que indica esa falta de coincidencia.

*Mar 1 06:45:26.232: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet0/1 (2), with S2 GigabitEthernet0/1 (99).

El mensaje indica que:

• El puerto GigabitEthernet0/1 de este switch utiliza la VLAN 2 como VLAN nativa.
• El puerto GigabitEthernet0/1 del switch vecino (S2) utiliza la VLAN 99 como VLAN nativa.

Esta diferencia de configuración genera el mensaje "NATIVE VLAN MISMATCH"

Configuración de enlaces troncales en switches Catalyst @ CISCO

Respecto de la implementación de VLANs y enlaces troncales, los switches Cisco Catalyst presentan varias definiciones por defecto que debemos tener presentes:

• Por defecto está creada la VLAN 1, y todos los puertos del switch están asignados a esa VLAN 1.
• La VLAN 1 es la VLAN de gestión (management) por defecto, y la VLAN nativa por defecto en los enlaces troncales.
• En la mayoría de los switches en la actualidad no es necesario definir un protocolo de etiquetado de tramas ya que se asume por defecto IEEE 802.1Q. Sin embargo, si el dispositivo soportara ISL, no hay encapsulación por defecto y se debe especificar.
• Cuando se define un enlace como troncal, por defecto, en ese enlace están permitidas todas las VLANs que se encuentran creadas en el switch.
• Todos los puertos del switch implementan por defecto DTP para definir dinámicamente si operan en modo acceso o modo troncal.

Configuración básica del troncal
En primer lugar debemos tener presente que un troncal es un enlace que conecta 2 puertos de 2 switches diferentes, que son independientes entre sí. Por lo tanto es esencial que la configuración de ambos puertos sea compatible ya que se configuran de modo independiente.

Switch(config)#interface fastethernet 0/1
Switch(config-if)#shutdown

• En los manuales de procedimiento se aconseja desactivar la interfaz antes de iniciar propiamente la configuración del puerto para evitar que los procesos de autonegociación estén negociando permanentemente mientras cambiamos la configuración.

Switch(config-if)#switchport trunk encapsulation dot1q

• El comando define el protocolo de etiquetado de etiquetas que utilizará al operar en modo troncal.
• No todas las plataformas permiten variar la encapsulación por defecto que se utiliza en los enlaces troncales. En aquellos dispositivos que solamente soportan IEEE 802.1Q este comando no está disponible.

Switch(config-if)#switchport mode trunk

• Coloca el puerto en modo troncal.
• Utilizará el protocolo de etiquetado de trama especificado con el comando anterior. Si el comando no está disponible, utilizará por defecto IEEE 802.1Q
• Todas las VLANs creadas en el switch están permitidas en el enlace.
• Al utilizar 802.1Q hay siempre una VLAN nativa, y en este caso la VLAN nativa por defecto es la VLAN 1.

Switch(config-if)#no shutdown

• Terminada la configuración es necesario activar nuevamente el puerto.

Buenas prácticas sugeridas
En este caso se trata de prácticas de configuración sugeridas, no obligatorias, que apuntan a mejorar la seguridad o performance de la red.

.1. Desactivar DTP

DTP es el protocolo que negocia, en los swtiches Catalyst, el modo de operación del puerto (troncal o acceso). Esto permite que, por ejemplo, un enlace entre 2 switches negocie automáticamente como troncal sin necesidad de intervención del Administrador.
DTP está activo por defecto en todos los puertos de los switches Catalyst.
Dado que este protocolo permite que un enlace podría negociar sin intervención alguna como troncal, y que ese troncal permitiría por defecto el tráfico de todas las VLANs existentes, DTP es un potencial riesgo de seguridad. De alli que se recomienda desactivarlo.

Switch(config-if)#switchport nonegotiate

• El comando suprime toda negociación de DTP en el puerto.
• Este comando es necesario aún cuando el puerto sea colocado manualmente en modo acceso o troncal, ya que el protocolo sigue activo.
• Esto hace necesario que el otro extremo del enlace también sea configurado manualmente como troncal.

.2. Cambiar la VLAN nativa

Todo enlace troncal 802,1Q tiene una VLAN nativa o untagged.
En los switches Catalyst la VLAN nativa en los puertos troncales 802.1Q es por defecto la VLAN 1.
Dado que la VLAN nativa puede ser aprovechada por un potencial atacante para "saltar" la división de VLANs en la red, se sugiere cambiar la VLAN nativa a otra VLAN en la que no se coloquen puertos de acceso, preferentemente una VLAN que esté en desuso.

Switch(config-if)#switchport trunk native vlan 999

• Tenga presente que la VLAN nativa debe coincidir en ambos extremos del enlace.
• Una disparidad en la definición de la VLAN nativa en ambos extremos no genera mensajes de error.
  En el caso de switches Catalyst CDP generará un mensaje de evento CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on... que puede visualizarse en el puerto consola o en el registro de eventos.

.3. Restricción de las VLANs transportadas en el enlace troncal

Al activar un enlace troncal, por defecto se permite el transporte de todas las VLANs existentes a través de ese enlace troncal.
En algunos casos el diseño de la red requiere restringir las VLANs que se transportan en algunos troncales. Cuando no es así se sugiere, como buena práctica, que se limite las VLANs permitidas a solamente las necesarias.
Esto se hace permitiendo solamente las VLANs deseadas con lo que automáticamente quedan excluidas todas las VLANs que no son explíticamente permitidas.

Switch(config-if)#switchport trunk allowed vlan 2-10,20,30

• De este modo se restringe el troncal exclusivamente a las VLANs que se declaran en el comando. En este caso es el rango de VLANs que va desde la 2 hasta la 10, y además las VLANs 20 y 30.
• Todas las demás VLANs están excluidas de este enlace troncal.

Switch(config-if)#switchport trunk allowed vlan remove 5

• Este comando remueve de las VLANs permitidas en el enlace, exclusivamente aquellas que se especifican en el comando. En este caso remueve la VLAN 5 del grupo de VLANs permitidas.
• Si se aplica en un troncal que está operando con valores por defecto, el resultado será que siguen estando permitidas todas las VLANs salvo aquellas que se indiquen específicamente.

Switch(config-if)#switchport trunk allowed vlan add 40

• Este comando agrega a las VLANs permitidas en el troncal aquella que se indica específicamente en el comando.
• ATENCIÓN. Si se intenta agregar una VLAN sin el keyword "add" el resultado será que se sobrescribirán las VLANs permitidas y quedarán como permitidas solamente aquellas que se están especificando en el comando.

Procedimiento de configuración de troncales

.1. Ingrese al modo de configuración de la interfaz.
.2. Desactive la interfaz.
.3. Selecciona la encapsulación a utilizar (si corresponde).
.4. Coloque la interfaz en modo troncal.
.5. Desactive DTP
.6. Modifique la VLAN nativa.
.7. Restrinja las VLANs permitidas en el enlace troncal.
.8. Reactive la interfaz.

WPA3 @ WIRELESS

Ahora... WPA3

Cuando se publicó inicialmente el protocolo IEEE 802.11 para la implementación de redes inalámbricas se incluyó un método de aseguramiento de estas redes llamado WEP. Sin embargo este mecanismo previsto inicialmente fue rápidamente roto generando de esta manera la necesidad de nuevos mecanismos de seguridad que permitan el desarrollo de sistemas inalámbricos con un marco de seguridad aceptable para los requerimientos de la industria.

En este contexto la Alianza WiFi (que no es un organismo de estandarización sino una organización orientada a la promoción de tecnologías 802.11) presentó en el año 2003 su propuesta, WPA. De esta manera dio inicio a una familia de soluciones de seguridad para redes 802.11 que ahora presenta su tercera revisión: WPA3.

WPA considera 2 soluciones básicas que se han conservado a través de todas sus versiones:

• WPA Personal
  Tambien conocido como WPA-PSK.
  Diseñado para pequeños despliegues (hogar y pequeñas oficinas) ya que al no requerir la presencia de un servidor de autenticación su implementación es más simple.
  Es considerado más débil como método de seguridad y consiguientemente inadecuado para despliegues de tipo corporativo o industrial.
• WPA Enterprise
  En algunos casos denominado WPA 802.1X ya que implementa como método de autenticación de usuarios en el acceso IEEE 802.1X con la implementación de servidores RADIUS. Esto hace la implementación un poco más compleja pero asegura métodos más robustos de protección para la red inalámbrica.

La historia de WPA

Una vez violada la propuesta de seguridad inicial de IEEE 802.11 diversos fabricantes desarrollaron alternativas propietarias que buscaban dar una respuesta a los requerimientos de las redes corporativas. Sin embargo las soluciones propietarias no cubrían los requerimientos de interoperabilidad o compatibilidad que son indispensables para el despliegue de estas redes.

De allí que la Alianza WiFi asumiera el desafío de elaborar mecanismos de seguridad más robustos que dieran respuesta a la demanda de la industria.

No solo se trató de generar una propuesta de seguridad sino también de asegurar y certificar la compatibilidad de la implementación de diferentes fabricantes, superando así la limitación de las propuestas propietarias presentadas hasta ese momento.

• 2003 - WPA
  La Alianza WiFi presenta WPA.
  Desde su nacimiento con 2 modalidades básicas: Personal y Enterprise.
  Basado en los borradores de IEEE 802.11i que estaba en desarrollo en ese momento, incorporó nuevos mecanismos de autenticación, mejoró el cifrado incorporando TKIP e incorporó herramientas de control de integridad de la información. Su implementación se pudo hacer con una actualización de software sobre el hardware ya existente.
• 2004 - WPA2
  Una vez publicado IEEE 802.11i en el mes de junio de ese año la Alianza WiFi presentó WPA2, que algunos consideran como la versión certificada o comercial del estándar.
  Implementa las tecnologías especificadas en el estándar 802.11i con lo que hace que el cifrado de datos utilice AES.
  Desde el año 2006 WPA2 ha sido obligatorio para todos los dispositivos que cubren los requerimientos de certificación de la Alianza WiFi.
• 2018 - WPA3
  Ya en enero de este año la Alianza WiFi anunció el lanzamiento de una nueva versión de su propuesta de seguridad, con importantes mejoras tanto en su solución personal como enterprise.

WPA3

Está desarrollado sobre la base de 2 ideas rectoras: brindar un mecanismo de seguridad más robusto que sostenga el crecimiento de las redes inalámbricas; facilitar para el usuario la implementación de políticas de seguridad robusta para asegurar su utilización.

• WPA3 Personal
  Se mejora particularmente la protección en la clave de autenticación.
  Para esto implementa SAE en reemplazo de PSK. Este algoritmo es más resistente a ataques de diccionario lo que hace más difícil los intentos de "adivinar" la clave de autenticación del sistema.
  Esto permite que los usuarios domiciliarios puedan seleccionar claves que sean más simples de recordar con una protección más robusta y sin complicaciones adicionales.
• WPA3 Enterprise
  Incorpora algoritmos de seguridad más robustos para alinearse con los estándares de seguridad requeridos por la industria.
  Manteniendo los mecanismos ya conocidos de autenticación y cifrado de WPA2 se incorporan nuevos algoritmos para robustecer la protección:
  GCMP-256 como protocolo de autenticación.
  HMAC-SHA384 para la derivación y confirmación de llaves.
  Intercambio ECDH y ECDSA de 384 bits para el establecimiento de llaves y la autenticación.
  BIP-GMAC-256 para una protección robusta de las tramas de gestión de la red 802.11.

¿Cuáles son las novedades entonces?

• Se mejora la autenticación de la implementación WPA-Personal con la introducción de SAE.
• Se fortalecen los procedimientos de intercambio de autenticación en WPA-Enterprise.
• Se fortalece el cifrado de datos con una serie de mecanismos de última generación que dan un marco de cifrado equivalente a 192 bits.
• Se introduce como obligatoria la protección de las tramas de gestión de las redes 802.11 (PMF) que hasta el momento no estaba contemplada en los esquemas WPA.

Respecto de su implementación:

• WPA2 continúa siendo obligatorio para todos los dispositivos certificados por la Alianza WiFi.
• Los nuevos dispositivos que busquen certificación de la Alianza WiFi a partir de diciembre de 2018 deberán soportar también WPA3 obligatoriamente.
• Se asegura la compatibilidad de WPA3 con WPA2 con un modo de transición, por lo que los dispositivos certificados WPA3 podrán trabajar con dispositivos WPA2.
• La implementación de WPA3 no exige por sí misma nuevo hardware, por lo que se puede incorporar con una actualización de software.
  Sin embargo, dado que se utilizan algoritmos de cifrado avanzados, los requerimientos de procesamiento son mayores por lo que diferentes fabricantes desplegarán diferentes estrategias. Es posible que en algunos casos WPA3 sólo sea soportado en dispositivos nuevos.
• La implementación de PMF es obligatoria en los nuevos dispositivos que se certifiquen.

Tengamos presente que para poder implementar WPA3 es necesario que tanto la infraestructura inalámbrica (access points, controladores) como los clientes inalámbricos de nuestras laptops, smartphones, tablets o cámaras soporten la nueva implementación. Por este motivo también es muy importante la introducción del modo de transición para asegurar que los terminales que sólo soportan WPA2 puedan operar en entornos que implementan WPA3.

comandos: show ip rip database @ CISCO

comandos: show ip rip database

Los protocolos de enrutamiento son una pieza clave en la operación de los dispositivos capa 3. En este punto Cisco IOS soporta múltiples protocolos de enrutamiento y proporciona múltiples herramientas de monitoreo de su operación.
La primera y más básica herramienta de monitoreo es la tabla de enrutamiento, y en ese punto ya hemos revisado el comando show ip route. Es por esto que ahora comienzo a revisar los comandos de monitoreo específicos de cada protocolo. 

Elijo comenzar por RIP y en particular por show ip rip database. 

Este comando ha sido introducido en IOS 12.0 y a partir de ese punto se ha introducido progresivamente en diferentes releases. Muestra el contenido de la base de datos de información de enrutamiento recogida a través de RIP.

Consideremos en primer lugar un ejemplo tomando como base el resultado de la ejecución en un router Cisco IOS para luego revisarlo con mayor detalle.

Router# show ip rip database
  10.0.0.0/8       auto-summary
  10.11.0.0/16     int-summary
  10.11.10.0/24    directly connected, Ethernet3
  10.11.11.0/24    directly connected, Ethernet4
  10.11.12.0/24    directly connected, Ethernet5

Lectura del comando
Revisemos ahora el resultado de la ejecución del comando:

Router# show ip rip database
  10.0.0.0/8       auto-summary
  10.11.0.0/16     int-summary
  10.11.10.0/24    directly connected, Ethernet3
  10.11.11.0/24    directly connected, Ethernet4
  10.11.12.0/24    directly connected, Ethernet5   

• 10.0.0.0/8 auto-summary
  Muestra una entrada sumarizada que se genera automáticamente a partir de la operación del proceso de sumarización automática de rutas, cuando se encuentra activo, al límite de la clase.
• 10.11.0.0/16 int-summary
  Entrada sumarizada generada manualmente con el comando ip summary-address ip.
• 10.11.11.0/24 directly connected, Ethernet3
  Entrada generada a partir de la red directamente conectada a una interfaz que se encuentra incluida en el proceso de RIP y completamente operativa.

El comando tiene una variante que permite requerir la información aprendida de un prefijo IP específico. Para esto al comando básico se agrega la dirección IP y máscara de subred correspondiente.

Router# show ip rip database 172.19.86.0 255.255.255.0

 172.19.86.0/24

     [1] via 172.19.67.38, 00:00:25, Serial0

     [2] via 172.19.70.36, 00:00:14, Serial1 

• La red de destino 172.19.86.0/24 está siendo descubierta a través de la operación de RIP.
• Para ese destino se están aprendiendo 2 caminos posibles.
• El primero se aprende a partir de 172.19.67.38 a través de la interfaz Serial 0. Esta información ha sido actualizada hace 25 segundos.
• La ruta alternativa se aprende a partir de 172.19.70.36 a través de la interfaz Serial 1 y ha sido actualizada por última vez hace 14 segundos.

Comandos: show ip interface brief @ CISCO

Comandos: show ip interface brief

Un comando de diagnóstico que no siempre apreciamos lo suficiente es show ip interface brief. 
Es por esto que me parece importante dedicar un post específicamente a este comando ya que brinda una información clave, de modo sintético y esencial al momento de diagnosticas problemas de conectividad.

El comando ha sido introducido en IOS 9.3.0 y desde entonces no ha sufrido modificaciones. La keyword "brief" es un opcional que genera una tabla sintética con la información más relevante de la operación de cada interfaz del dispositivo, orientada primariamente a la usabilidad de cada interfaz.

Está disponible en modo EXEC privilegiado.

Propongo como siempre en primer lugar un ejemplo del resultado de este comando para luego revisarlo con mayor detalle.

Router#show ip interface brief

Interface             IP-Address      OK?   Method Status   Protocol
GigabitEthernet0/1    unassigned      YES   unset  up       up
GigabitEthernet0/2    192.168.190.235 YES   DCHP   up       up
GigabitEthernet0/3    unassigned      YES   unset  up       up
GigabitEthernet0/4    192.168.191.2   YES   NVRAM  up       up
TenGigabitEthernet2/1 unassigned      YES   unset  up       up
TenGigabitEthernet2/2 unassigned      YES   unset  up       up
TenGigabitEthernet2/3 unassigned      YES   unset  up       up
TenGigabitEthernet2/4 unassigned      YES   unset  down     down

Lectura del comando

Router#show ip interface brief

Interface             IP-Address      OK?   Method Status   Protocol
GigabitEthernet0/1    unassigned      YES   unset  up       up

• Interface: tipo de interfaz siguiendo la nomenclatura estándar de IOS para las interfaces de los dispositivos.
• IP-Address: Dirección IP asignada a la interfaz (no incluye longitud del prefijo IP).
  Solo muestra direccionamiento IPv4.
  Si no hay IPv4 asignada a la interfaz aparece como "unassigned".
• OK?: Verifica que el direccionamiento IPv4 asignada es actualmente válido. "YES" indica la validez de la asignación. "NO" indica un direccionamiento IPv4 no válido.
• Method: Indica el procedimiento utilizado para la asignación del direccionamiento referido antes.
  
  Tiene múltiples valores posibles. Los más usuales son:
  TFTP - La configuración se ha obtenido de un servidor TFTP.
  manual - Se ha configurado manualmente a través de la CLI.
  NVRAM - Configuración leída de un archivo en la NVRAM.
  DHCP - Configuración obtenido a través de DHCP.
  unassigned - No tiene dirección IPv4 asignada.
  unset - No configurado.
• Status: Indica el estado de la interfaz.
  
  up - Interfaz habilitada administrativamente.
  down - interfad habilitada administrativamente pero no operativa a nivel físico.
  administratively down - Interfaz no habilitada adminsitrativamente.
• Protocol: Indica si se encuentra operacional el protocolo en la interfaz.

GigabitEthernet0/2    192.168.190.235 YES   unset  up       up
GigabitEthernet0/3    unassigned      YES   unset  up       up
GigabitEthernet0/4    192.168.191.2   YES   unset  up       up
TenGigabitEthernet2/1 unassigned      YES   unset  up       up
TenGigabitEthernet2/2 unassigned      YES   unset  up       up
TenGigabitEthernet2/3 unassigned      YES   unset  up       up
TenGigabitEthernet2/4 unassigned      YES   unset  down     down

Un laboratorio para CCNA 200-125 en Packet Tracer @ CISCO

¿Qué routers utilizar?
En Packet Tracer la maqueta puede desarrollarse utilizando routers Cisco 2911.

Para poder cubrir los requerimientos de estos 4 routers los routers Cisco 2911 en Packet Tracer cuentan con 3 interfaces GigabitEthernet (0/0, 0/1 y 0/2) y la posibilidad de incorporar en el chasis un módulo HWIC-2T para incorporar 2 interfaces seriales.

De esta forma, utilizando routers Cisco 2911 con un módulo HWIC-2T se pueden cubrir todos los requerimientos de la maqueta ya que desde la perspectiva del software Packet Tracer simula un IOS 15.1 (4)M4 que está alineado con el requerimiento del examen de certificación.

¿Cómo montamos el servidor de autenticación?
Para montar el servidor de autenticación utilizamos el servidor genérico incluido en las opciones de equipos terminales de Packet Tracer,

Una vez instalado el servidor, para contar con un servicio RADIUS o TACACS+ es necesario abrir la configuración del dispositivo, y seleccionar la solapa "Services".
En esta solapa el menú de la izquierda nos permite seleccionar los servicios que se desea activar. Es posible utilizar este servidor para montar servicios TFTP, FTP, NTP, SYSLOG en la red. En este caso lo que nos interesa es el servicio AAA.
Una vez seleccionado el menú de AAA es necesario "encender" el servicio seleccionando la opción "On", y luego el protocolo a utilizar: RADIUS o TACACS+.

El resto de la configuración ya es tema del desarrollo del laboratorio.

Espero que estas notas sean de utilidad para quienes se inician en el uso de Packet Tracer y desean aprovecharlo para su preparación para el examen.

Aprende a compartir Wi-Fi desde Windows @ REDES

Sin conexión a internet, la práctica totalidad de dispositivos que tenemos en casa carece de utilidad. No sólo me refiero al PC, smartphone o tablet. Incluso los televisores inteligentes y las consolas de videojuegos requieren de internet para actualizarse, instalar y ejecutar aplicaciones.De ahí que prácticamente cualquier gadget que tengamos disponga de acceso WiFi. Otra cosa es que tengamos un router o punto WiFi cerca para conectarnos a internet.

Otro detalle es que si logramos acceder a la red, el propio dispositivo sirve para compartir WiFi con el resto. Así nos aseguramos de qué dispositivos están accediendo y evitamos tener que compartir la clave de nuestro router.

A continuación repasamos los pasos a seguir para compartir WiFi desde un PC con Windows. Convertiremos nuestro portátil o sobremesa en un punto de acceso o Hotspot temporal.

En Windows 10

Si utilizas Windows 10, convertir tu computadora en un punto de acceso a internettemporal es relativamente simple, en especial con las últimas actualizaciones.

Para ello tendremos que ir a Inicio > Configuración > Redes e Internet y pulsar en Zona con cobertura inalámbrica móvil.

En Compartir mi conexión a internet seleccionamos la conexión desde la que accedemos a la red con nuestro PC con Windows. Luego activamos la opción Compartir mi conexión a Internet con otros dispositivos.

A partir de ese momento, para conectarnos a ese punto WiFi deberemos hacer como siempre: ir a las opciones WiFi, buscar el nombre de esa red, seleccionarla y escribir la contraseña.

En Windows 7, 8 y 8.1

Si bien las versiones anteriores de Windows 10 también tienen la opción de compartir WiFi, el proceso es más complicado y nos obliga a conectarnos desde nuestro PC al router vía Ethernet.

De ahí que si queremos compartir WiFi estando conectados a internet con la misma tecnología, la manera más cómoda es a través de aplicaciones de terceros.

La primera recomendación es Virtual Router, una aplicación para Windows 7 y 8 gratuita y de código abierto. Su objetivo es precisamente el que buscamos: convertir nuestro ordenador en un punto de acceso inalámbrico a internet para que acceda nuestro teléfono, tablet, impresora…

Abrimos Virtual Router, asignamos un nombre de red (SSID), una contraseña e iniciamos la conexión. A partir de ahí, desde la configuración WiFi de nuestros dispositivos veremos el nombre de la red para acceder a ella.

Si todo va bien, desde Virtual Router veremos los dispositivos conectados en el apartado Peers Connected.

Una segunda recomendación es MyPublicWiFi, que nos servirá tanto para Windows 7 y 8 como para Windows 10.

Su funcionamiento es idéntico a Virtual Router: Elegimos la opción Automatic Hotspot configuration, asignamos un nombre de red y contraseña, activamos (si no lo está) la opción Enable Internet Sharing y, finalmente, pulsamos en Set up and Start Hotspot.

Desde la pestaña Clients veremos los dispositivos conectados a nuestro punto de acceso WiFi. Opcionalmente, y para evitar que abusen de nuestra conexión a internet, desde Management podemos bloquear el uso de P2P, que consume mucho ancho de banda.

Y no hay dos sin tres. Baidu WiFi Hotspot también nos lo pone fácil para compartir WiFi desde un portátil con Windows.

Su funcionamiento es muy simple. Indicamos un nombre de red y contraseña y lo ponemos en marcha. En todo momento podemos parar la conexión o reiniciarla.

DNSstuff @ TOOLS

DNSstuff

DNSstuff offers DNS tools, Network tools, Email tools, DNS reporting and IP information gathering. Explore monitoring products and free DNS tools at DNSstuff.

RBLmon @ SOFTWARE

RBLmon es un servicio de monitoreo de reputación de correo electrónico en línea completamente automatizado, que le permite monitorear sus direcciones IP contra las listas negras en tiempo real más populares y comúnmente utilizadas (RBL).

La aplicación RBLmon enviará una notificación inmediata por correo electrónico tan pronto como se encuentre cualquiera de sus direcciones IP en la lista de RBL supervisados.

Es un servicio que todo administrador de infraestructura debe considerar, dado que siempre estamos expuestos a ser agregados en listas negras producto de cambios de configuraciones o por que alguien en nuestra empresa puede violar sin notarlo las reglas anti spam.

Por el momento el servicio es gratuito y disponible en http://www.rblmon.com/

Espero que la disfruten

pingdom tools @ SOFTWARE

Pingdom

Simule ademas el tráfico desde otro país, permitiendo estar seguro que tiene acceso desde fuera.

Pingdom ofrece un monitoreo de rendimiento y tiempo de actividad económico y confiable para sus sitios web. Utilizamos más de 70 ubicaciones de votación globales para probar y verificar los sitios de nuestros clientes las 24 horas del día, los 7 días de la semana, durante todo el año. Con Pingdom puede controlar el tiempo de actividad, el rendimiento y las interacciones de su sitio web para una mejor experiencia del usuario final. Tus clientes te lo agradecerán.

Retina Network Security Scanner @ SOFTWARE

Retina Network Security Scanner

Desea identificar las vulnerabilidades de su infraestructura, entonces le recomendamos Retina Security Scanner. Por las siguientes opciones:

• Facilidad de uso.
• Escelentes Reportes.
• Amplia gama de identificacion de exposiciones.
• Plataforma centralizada para automatizacion de identificaciones programadas.
• Actualizaciones efectivas.
• Se integra con otras plataformas como WSUS.

Con más de 10.000 implementaciones desde 1998, BeyondTrust Retina Network Security Scanner es la solución de evaluación de vulnerabilidades más sofisticada del mercado. Disponible como una aplicación independiente o como parte de Retina CS Enterprise Vulnerability Management , Retina Security Scanner le permite identificar de manera eficiente las exposiciones de TI y priorizar la corrección en toda la empresa.

• Monitorear y mejorar continuamente la postura de seguridad de la empresa.
• Identificar los activos de TI y los datos confidenciales en entornos dispares.
• Encuentre exposiciones de seguridad en activos de red, web, bases de datos, virtuales y de IoT.
• Priorizar la corrección basada en el riesgo real de los activos críticos.
• Implemente y escale fácilmente desde entornos pequeños a grandes.
• Obtenga un rendimiento óptimo mediante escaneos no intrusivos.
• Obtenga actualizaciones rápidas y frecuentes del equipo de investigación de BeyondTrust.