28 de diciembre de 2011

Redireccionamiento de comandos show

Respecto del trabajo habitual utilizando comandos show de Cisco IOS, debemos considerar que no solo es posible filtrar el resultado de la ejecución de los comandos, sino que también es posible "exportar" o almacenar el resultado de cada uno de ellos en diferentes sistemas de almacenamiento.
Para esto podemos utilizar el comando redirect y otros asociados.
El comando redirect
show running-config | redirect flash:show-run-dic2011.txt
Cuando se utiliza el comando redirect, el resultado del comando show declarado no se muestra en pantalla sino que es redirigido hacia un archivo de texto que puede ser almacenado en un servidor TFTP, FTP o en la misma memoria flash del equipo.
El comando tee
show running-config | tee flash:show-run-dic2011.txt
Este comando es similar al redirect, con la única diferencia que al mismo tiempo que se almacena el resultado del comando show en un archivo txt, es mostrado en la pantalla de la consola o sesión telnet o ssh desde la cual se ejecutó.
El comando append
show running-config | append flash:comandos-show-dic2011.txt
El comando append nos permite agregar nuevos comandos show a un archivo de alamacenamiento ya existente. 
Es decir. Utilizando redirect o tee generamos un archivo por cada comando show que se ejecuta. Al utilizar append podemos agregar el resultado de nuevos comandos show a un archivo txt ya existente, lo que nos permite tener toda la información en un único archivo. Este comando no se puede utilizar en servidores TFTP.


Nótese que en todos los casos la estructura del comando requiere la utilización del símbolo "pipe" (Alt+124).
show [comando] | [redirect | tee | append] destino






Cualquier comentario o consulta que consideres importante respecto a este tema,
procuraré responderlo rápidamente.
Por favor, incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta

24 de diciembre de 2011

Filtrado de comandos show

Los comandos show ocupan un lugar muy importante en las tareas de monitoreo y diagnóstico de fallos sobre Cisco IOS. Hay una gran variedad de comandos, algunos de ellos con variantes que nos permiten especificar la información que deseamos obtener.
Sin embargo, muchas veces la cantidad de información es sobreabundante y dificulta la búsqueda de lo que estamos buscando específicamente. Esto ocurre, por ejemplo, cuando buscamos una sección o línea específica del archivo de configuración.
Para solucionar esto es posible utilizar una forma genérica de filtrar el resultado de los comandos show que nos permite definir específicamente qué es lo que estamos buscando.


Estructura general
Para incorporar un criterio de filtrado del comando show, a continuación del comando se agrega el carácter "pipe" (alt + 124)  seguido por una de las siguientes keywords: include, exclude o begin, y a continuación una expresión regular que define el criterio de filtrado:


show [comando] | [include|exclude|begin] [expresión regular]


La expresión regular del final expresa una cadena de caracteres que se deben buscar en una línea dentro del resultado del comando show.


Ejemplos


show running-config | include interface
Este comando muestra en pantalla todas las líneas del archivo de configuración activa que incluyen el término "interface".


show ip interfaces brief | exclude unassigned
Muestra el resultado del comando show ip interfaces brief excluyendo aquellas líneas que incluyen el término "unassigned".


show running-config | begin interface Vlan1
Muestra el archivo de configuración parcialmente, a partir de la línea que incluye "interface Vlan1"


Obviamente, el uso de estos filtros requiere un conocimiento detallado de los comandos show sobre los que se quiere operar y los términos precisos, ya que requiere una coincidencia exacta entre el criterio especificado y la sintaxis del resultado de cada comando show.
Una variante de estos filtros que aplica específicamente al archivo de configuración es la siguiente:


show running-config | section router ospf 1
De esta manera se puede revisar una sección específica del archivo de configuración (la que corresponde al protocolo de ruteo, una interfaz, etc.) y excluye el resto. Tiene un efecto más restrictivo que el uso de la variante begin sobre el archivo de configuración.
También se puede aplicar a la revisión de listas de acceso para separar las listas de acceso estándar o extendidas.
Cualquier comentario o consulta que consideres importante respecto a este tema,
procuraré responderlo rápidamente.
Por favor, incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta

1 de diciembre de 2011

Beneficios de IPv6

Mucho se habla de IPv6 en el último tiempo. Para muchos hay un beneficio claro en la implementación del nuevo protocolo: un espacio de direccionamiento mayor que permite terminar con el problema de la falta de direcciones IPv4 para continuar expandiendo Internet.
Pero IPv6 no introduce como única novedad direcciones de 128 bits de longitud. Es el producto de la experiencia en la implementación global de IPv4, con lo que da respuesta a muchos otras limitaciones que en el transcurso del tiempo IPv4 debió ir superando (o no) con implementaciones y reformas anexos.
Considerando en su totalidad la novedad del protocolo IPv6, los beneficios que aporta en su implementación son:
  • Un espacio de direccionamiento más amplio.
    Al definir identificadores (direcciones) de 128 bits de longitud, se genera un total de más de 340 sextillones de direcciones (340.000.000.000.000.000.000.000.000.000.000.000.000) lo que supera largamente los cerca de 4.300 millones de direcciones que permite el protocolo IPv4.
  • Direcciones globalmente únicas.
    Al contar con mayor espacio de direccionamiento ya no es necesario utilizar NAT para la conexión a través de Internet, con lo que es posible establecer sesiones IP end-to-end.
  • Múltiples niveles de direccionamiento en la jerarquía.
    En la estructura de la dirección se prevén múltiples niveles, lo que facilita enormemente la sumarización de rutas. En principio, los primeros 32 bits identifican el ISP, los primeros 48 a 56 bits identifican la empresa, los primeros 64 bits identifican la red.
  • Sumarización de rutas.
    La longitud de las direcciones y su esquema jerárquico permiten una sumarización de rutas más simple, lo que redunda en la eficiencia y escalabilidad del enrutamiento.
  • Múltiples direcciones.
    Es posible asignar múltiples prefijos simultáneamente a una misma red, simplificando una vez más el manejo de las tablas de enrutamiento.
  • Autoconfiguración Stateless.
    Permite la conexión a la red de dispositivos IP en modo "plug and play" sin necesidad de ninguna configuración previa o la presencia de un servidor DHCP.
  • Autoconfiguración Stateful.
    Permite una configuración IP más completa, a la vez que la entrega de información de configuración adicional como servidores NTP o SIP, etc.
  • Renumeración.
    Se simplifican los procedimientos de reasignación de direcciones IP, cuando es necesario renumerar una red. Por supuesto que dispositivos que utilizan dirección IP estáticas requieren la operación manual.
  • Uso del multicast.
    En IPv6 no hay broadcast, hay multicast, incluyendo una dirección reservada para definir "all-nodes".
  • Simplificidad del encabezado.
    Se ha removido buena parte de los campos originales del encabezado IPv4, lo que reduce el procesamiento de los paquetes y mejora la performance.
  • Eliminación del cambo checksum.
    Esto reduce la necesidad de recálculo del campo en los routers, al mismo tiempo que se mejora la performance.
  • Inclusión de una etiqueta de flujo.
    El nuevo encabezado IPv6 incluye un identificador de flujo que permite aplicar políticas por flujo sin necesidad de que los dispositivos intermediarios accedan a la capa de transporte para lograr este objetivo.
  • Utilización de Extension Headers.
    Para le manejo de información opcional en los encabezados, IPv6 utiliza extensiones del encabezado. Esto mejora la performance y permite un reenvío más rápido de los paquetes.
  • Estrategias de transición.
    No se requiere que todos los nodos migren de modo simultáneo a IPv6. Para esto se han diseñado mecanismos de transición que permiten una integración sin interrupciones entre nodos IPv4 y nodos IPv6.
Seguramente este post generará en cada uno de ustedes numerosas preguntas. Por este motivo, seguiré en adelante trabajando sobre varios de los aspectos de IPv6.

Cualquier comentario o consulta que consideres importante respecto a este tema,
procuraré responderlo rápidamente.
Por favor, incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta

19 de noviembre de 2011

IPv6 - Algo de historia

Varias veces antes he tocado el tema de IPv6. En esta oportunidad quiero revisar algunos puntos que hacen a la historia de la introducción de este protocolo.
Para comenzar, es importante revisar la historia de su predecesor: IPv4
Una breve historia de IPv4
IPv4 es el protocolo de direccionamiento actualmente implementado en la mayor parte de América Latina, y merece que tengamos presentes algunos hitos de su desarrollo:
  • En 1969 el Departamento de Defensa de los Estados Unidos comisiona a DARPA el desarrollo del concepto de "red" que acababa de ser introducido en 1962 por Licklider del MIT.
  • En 1973 Kahn y Cerf introducen y propician el concepto de "Internet".
  • En 1974 Kahn y Cerf publican sus trabajos sobre TCP. Formalmente en ese momento era TCP versión 3 e incluía en una única propuesta lo que hoy conocemos como TCP e IP; ambos serían separados al año siguiente como fruto de la evolución del concepto.
  • 1981 se publica el RFC 791 que contiene las especificaciones originales de IPv4.
  • 1990 se hacen las primeras predicciones sobre el posible agotamiento de las direcciones clase B.
  • Con la publicación del lenguaje HTML y el protocolo HTTP en 1991 se pone el punto inicial para el desarrollo de la Workd Wide Web, que hoy suele asimilarse a Internet.
  • En 1993 se publica el RFC 1519 que da las pautas para la implementación de CIDR.
  • En 1994 se publica el RFC 1631 que introduce el protocolo NAT.
  • En 1996 se acuerda el RFC 1918 que especifica los espacios de direccionamiento IP "privados".
  • 2001 se ha asignado el 50% del espacio de direccionamiento IPv4 posible.
  • 2005 se alcanza la asignación del 75% del espacio de direccionamiento IPv4 posible.
  • 2009 comienzan las dificultades serias para el mantenimiento del crecimiento de Internet en los llamados países desarrollados.
El protocolo IPv4 está en crisis. Ya no puede sostener el ritmo de crecimiento de Internet. Para poder sostener esta expansión es necesario un nuevo protocolo de direccionamiento y este es IPv6.
¿De dónde sale este nuevo protocolo?
La historia de los orígenes de IPv6
A partir de la detección temprana de las limitaciones de IPv4, y el requerimiento de nuevas funcionalidades impuesto por el desarrollo de Internet y el avance de aplicaciones y dispositivos que no fueron originalmente considerados, se acordó el desarrollo de un nuevo protocolo de direccionamiento.
Este nuevo protocolo no sólo debía dar la posibilidad de un mayor número de dispositivos conectados a la red global, sino que también se requería que solucionara falencias detectadas en su predecesor y que diera lugar a los requerimientos de varias áreas de la industria que ahora estaban comprometidas en su utilización.
  • En 1993 se publica el RFC 1550 con el propósito de reunir requerimientos y propuestas para el nuevo direccionamiento, por el momento denominado IPng (IP next generation).
  • En 1995 se adopta la propuesta del proyecto SIPP (Simple Internet Protocol Plus) que propone el mayor espacio de direccionamiento (RFC 1752).
  • En 1995 se publican las especificaciones del ahora llamado IPv6 en el RFC 1883.
  • En 1996 se inician las pruebas de IP6 sobre Internet en el llamado 6bone. Cisco en este momento da soporte a IPv6 en un número limitado de plataformas de hardware.
  • En 1997 se hacen los primeros avances en lo que hace a un formato de direcciones basado en la asignación a los ISPs.
  • En 1999 se comienza la asignación de prefijos IPv6 a los ISPs, al mismo tiempo que se forma el IPv6 Forum.
  • En 2000/2001 los principales fabricantes incluyen IPv6 en sus principales líneas de productos.
  • En 2001 Cisco hace disponible IPv6 de modo genérico en Cisco IOS release 12.2(1)T.
  • En 2006 se concluye el período de pruebas sobre 6bone.
Publicaciones anteriores sobre el tema:
Enlaces de referencia:

Cualquier comentario o consulta que consideres importante respecto a este tema,
procuraré responderlo rápidamente.
Por favor, incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta

31 de octubre de 2011

Pregunta de la semana (IV)

El propósito de estos posts es proponer periódicamente una pregunta sobre diferentes temas relacionados al examen de certificación CCNA 640-802.
Recorreremos los distintos temas que abarca el examen de certificación, y la idea es que cada uno aporte sus comentarios o información sobre el tema planteado.
A la semana siguiente (en lo posible el día lunes), cuando propongamos una nueva cuestión publicaremos la respuesta de la pregunta planteada antes.
Esperamos la participación de todos para enriquecer el debate y que todos ganemos en conocimiento.
Saludos....
Para ver más preguntas vaya al
Índice de cuestionarios


.1. Al ejecutar el comando show ip route en la consola del RouterA se obtiene la siguiente información:
O IA 172.16.1.0 [110/50] via 10.1.1.1, 0:02:15, FastEthernet0/0
¿Cuál de las siguientes afirmaciones es verdadera?

    A. 172.16.1.0 está en la misma área OSPF que el RouterA. El costo es de 50 y es accesible a través del vecino 10.1.1.1 que está conectado a la interfaz Fa0/0 del RouterA.
    B. 172.16.1.0 está en un área OSPF diferente que el RouterA. El costo es de 50 y es accesible a través del vecino 10.1.1.1 que está conectado a la interfaz Fa0/0 del RouterA.
    C. 172.16.1.0 está en la misma área OSPF que el RouterA. El costo es de 110 y es accesible a través del vecino 10.1.1.1 al que está conectado utilizando la interfaz Fa0/0 del router vecino.
    D. 172.16.1.0 está en un área OSPF diferente del Router A. El costo es de 110 y es accesible a través del vecino 10.1.1.1 al que está conectado utilizando la interfaz Fa0/0 del router vecino.
    E. 172.16.1.0 está en un área OSPF diferente del Router A. El costo es de 110 y es accesible a través del vecino 10.1.1.1 que está conectado a la interfaz Fa0/0 del RouterA.
Respuesta correcta: B
La red 172.16.1.0 está en un área diferente que el RouterA, por lo que está identificada como O IA (aprendida por OSPF inter-área). 110 indica la distancia administrativa y 50 el costo de la ruta, que es la métrica utilizada por OSPF.


.2. Verdadero o Falso:
Cuando se configura una ruta estática con el comando ip route, es obligatorio indicar la dirección IP del próximo salto en el comando.


Falso
En la definición de una ruta estática se puede utilizar tanto la dirección IP del próximo salto como la interfaz de salida.


.3. Un dispositivo A está enviando datos a un dispositivo B.
¿En qué orden el dispositivo A encapsula los datos utilizando las varias Protocol Data Unit (PDU)?

    A. Datos en Segmentos, en Paquetes, en Tramas, en Bits.
    B. Datos en Paquetes, en Segmentos, en Tramas, en Bits.
    C. Datos en Bits, en Tramas, en Paquetes, en Segmentos.
    D. Datos en Tramas, en Paquetes, en Segmentos, en Bits.
Respuesta correcta: A
Durante una comunicación, los dispositivos encapsulan PDUs desde las capas superiores del modelo OSI. Los datos son incorporados en Segmentos, los cuales se encapsulan en Paquetes, los cuáles a su vez se encapsulan en Tramas que finalmente son enviadas como Bits.


.4. ¿Cuál de los siguientes elementos o parámetros de configuración incluidos en los paquetes hello de OSPF que se intercambian entre 2 dispositivos, NO es necesario que coincida para que se pueda establecer una relación de vecinos (neighbors) entre ambos?
    A. Intevalo de Hello.
    B. ID de área.
    C. Router ID.
    D. Stub area Flag.
Respuesta correcta: C
El Router ID es un identificador único para cada dispositivo OSPF que opera dentro de la red.


.5. ¿Cuál de las siguientes condiciones debe satisfacer un router EIGRP para poder constituirse en un EIGRP feasible succesor?
    A. La feasible distance del router debe ser menor que la advertised distance del successor actual.
    B. La advertised distance del router debe ser igual a la feasible distance del successor actual.
    C. La administrative distance del router debe ser menor que la feasible distance del successor actual.
    D. Oa feasible distance del router debe ser menor que la administrative distance del actual successor.
    E. La advertised distance del router debe ser menor que la feasible distance del actual successor.
Respuesta correcta: E
La advertised distance de la ruta es la métrica publicada por el router vecino para esa ruta. Esta métrica debe ser menor que la feasible distance del successor seleccionado por el algoritmo DUAL, que es la mejor métrica que se ha encontrado para la ruta en análisis. Este criterio utilizado por el algoritmo es el que permite garantizar la elección de rutas libres de bucles.


.6. ¿Cuál de los siguientes es el identificador de un circuito virtual y tiene significado local entre el dispositivo terminal y el switch Frame Relay?
    A. DLCI
    B. LMI
    C. MAC
    D. FEC
    E. BED
Respuesta correcta: A
El DLCI (Data Link Connection Identifier) es un identificador de significado puramente local entre el router y el switch FR al cual está conectado. Este ID identifica una conexión lógica virtual. El distipositivo (router) en el otro extremo del circuito virtual (PVC) puede utilizar un identificador diferente.



.7. Ud. es el adminsitrador de la red de la empresa ACME. Acaba de configurar el direccionamiento para el router perimetral de la red. Para esta tarea se ha utilizado la red 172.16.0.0 255.255.0.0 utilizando 4 bits para identificar las subredes y se ha habilitado el uso de la subred cero.
¿Cuántas subredes han sido creadas y cuántos nodos por subred se pueden ubicar?

    A. 14 subredes y 4094 hosts por subred.
    B. 4 subredes y 256 hosts por subred.
    C. 16 subredes y 4096 hosts por subred.
    D. 16 subredes y 4094 hosts por subred.
    E. 14 subredes y 4096 hosts por subred.
Respuesta correcta: D
La pregunta está referida a cuándas subredes se crean. En este punto, si se toman 4 bits para subredes, 2 a la 4° (4 bits) = 16. 

Ahora bien, en una red clase B (172.16.x.x es clase B), hay 16 bits para identificar el host (o nodo). 4 Se utilizan para identificar subredes, en consecuencia, quedan 16-4=12 bits para identificar hosts. 2 a la 12 = 4096. Pero la pregunta está referida a candidad de nodos, no de direcciones IP, por esto hay que descontar 2 (una IP para broadcast y otra IP para identificar subredes). De ahí que quedes 4094 hosts.


.8. ¿A qué clase pertenece la dirección IP 223.255.255.15?
    A. Clase A
    B. Clase B
    C. Clase C
    D. Clase D
    E. Clase E
Respuesta correcta: C
El primer octeto de una dirección IPv4 es el que determina su clase. Las direcciones clase A tienen un primer octeto con un valor entre 1 y 127, las dirección clase B entre 128 y 191, y las clase C entre 192 y 223.


.9. ¿Qué username debe ser configurado en un router que utiliza autenticación PPP CHAP?
    A. Uno que coincida con el hostname del router local.
    B. Uno que coincida con el hostname del router remoto.
    C. Uno que coincida con ambos hostname (el del router local y el del remoto).
    D. No hay restricción para el uso de usernames.
Respuesta correcta: B
Cuando se utiliza autenticación PPP, se debe configurar un username que coincida con el hostname del dispositivo remoto. 


.10. ¿Cómo se puede sintetizar una secuencia de 0 (ceros) consecutivos en una dirección IPv6?
    A. Con el  símbolo ":::".
    B. Eliminando los primeros ceros de la serie.
    C. Reemplazando 4 ceros consecutivos con un único cero.
    D. Con el símbolo "::".
Respuesta correcta: D
Las direcciones IPv6 pueder ser sintetizadas reemplazando un conjunto de dígitos hexadecimales en cero consecutivos por el símbolo "::", solo una vez en toda la dirección. Este símbolo puede incluirse una única vez en la dirección ya que la misma es expandida a la nomenclaruta completa determinando cuantos bits son los que faltan y reemplazándolos con tantos ceros como sea necesario para completar los 128 bits de la dirección.


Tu respuesta, por favor, incorporala en forma de comentario.

Más cuestionarios sobre el examen de certificación,
tips, simulaciones y abundante material de estudio,
los encontrarás en mi libro:

30 de octubre de 2011

Analógico a Digital

Detrás de toda implementación de voz o video sobre IP hay un concepto inicial que es el de la conversión de analógico a digital.
La realidad es analógica
En principio es preciso tener claro que nuestra realidad sensorial es de tipo analógica.
Cuando señalamos que una "señal" (en nuestro caso un sonido o un color) es una realidad analógica, estamos refiriéndonos a una variable que puede tomar infinitos valores posibles. Si esto lo pasamos a términos matemáticos deberíamos decir que la realidad analógica se puede representar a través de variables continuas.
Para continuar nuestro ejemplo, el tono o el volumen de la voz humana pueden tener una cantidad infinita de variaciones posibles. Del mismo modo, entre el blanco y el negro hay infinitos colores diferentes posibles.
De esta manera, si representamos p.e. la voz humana sobre dos ejes x/y, tendremos una representación de este tipo:


La versión digital de la realidad
En la segunda mitad del siglo pasado, de la mano de la introducción de los sistemas electrónicos de cálculo se introdujo el concepto de digital.
Decimos que una señal es "digital" cuando asume valores discretos (no continuos) que pueden ser representados utilizando notación binaria (1s y 0s). Como la señal que representamos puede tener mayor o menor variabilidad, podemos querer representarla con mayor o menor precisión. Para tener mayor precisión requerimos de mayor cantidad de valores discretos. Como los valores discretos se representan en notación binaria, la cantidad de valores discretos ha de ser siempre una potencia de dos: 2, 4, 8, 16, 64, 128, 256...
De esta manera, la representación digital de la señal análogo de arriba, podría ser la siguiente:
Desde otra perspectiva, una señal analógica posee valores posibles para cada instante del tiempo transcurrido por infinitesimal que sea. Una señal digital, en cambio, sólo posee valores definidos para ciertos instantes en el tiempo; cada uno de esos instantes está separado por un intervalo regular de tiempo. Una señal digital no posee toda la información de la realidad, sino sólo "muetras" tomadas cada intervalos regulares de tiempo.


La conversión de analógico a digital
Para poder transmitir voz o video sobre redes de datos, es preciso antes convertir la señal analógica original en una señal digital. El proceso de conversión de una señal analógica a digital recibe el nombre de "digitalización".
Este proceso de digitalización puede sintetizarse en 4 pasos:

  • Muestreo.
    Procedimiento por el cual se realiza una captura periódica del valor de la señal analógica.
  • Cuantificación.
    Procedimiento para asignar un valor numérico a cada una de las muestras capturadas.
  • Codificación.
    En la codificación se representa el resultado del procedimiento de cuantificación en formato binario. Por ejemplo, si utilizamos 8 dígitos binarios (8 bits) para representar un punto, este punto puede tomar  256 diferentes valores posibles.
  • Opcionalmente, se puede aplicar compresión.
    Su propósito es reducir el número de bits que se deben transmitir para representar la señal analógica original.



Por ejemplo, un método común de conversión de voz a una señal digital (sin aplicar compresión) se basa en tomar 8000 muestras por segundo, representando cada una de esas muestras con 8 dígitos binarios (8 bits = 1 Byte). Esto genera un flujo de 64000 bits por segundo, o lo que es lo mismo, 64 Kbps. Esta es la base del canal digital de voz que recibe la denominación de DS0.


Los procesos de digitalización son complejos y requieren un estudio pormenorizado. Mi intención en este breve artículo es dar una muy rápida y simple aproximación al tema y brindar un panorama general de los elementos involucramos.

Cualquier comentario o consulta que consideres importante respecto a este tema,
 incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta

26 de septiembre de 2011

Y los ganadores son...

Como estaba anunciado, el sábado 24 se procedió al sorteo de las 2 órdenes de compra por valor de u$s 50 entre quienes participaron del sorteo que realizamos con Editorial Edubooks en atención a que el jueves pasado el blog alcanzara su primer millón de visitas.
Resultaron favorecidos:

  • Hernán Cao
    de Lanús, Argentina.
  • Edgar Rojas Benavides
    de Cajamarca, Perú.
¡Felicitaciones a ambos!
Sólo deben ponerse en contacto con Edubooks para acordar la entrega de los ejemplares de su elección.

24 de septiembre de 2011

CCNA desde Cero (7)

Otro tema que siempre se plantea al momento de rendir el examen de certificación es, ¿qué examen rendir?
Desde hace ya varios años Cisco ofrece dos posibles caminos para obtener la certificación CCNA.

  • Rendir un sólo examen de certificación.
    El que en la actualidad suele denominarse CCNA Composite 640-802.
  • Rendir dos exámenes de certificación.
    Los exámenes denominados ICND1 (640-822) e ICND2 (640-816).
Ante todo una aclaración. La certificación CCNA es siempre la misma, no importa cuál sea el camino elegido para obtenerla. La certificación no cambia ni por versiones del exámen, ni por exámenes rendidos, ni por cantidad de veces que se haya intentado el examen. Siempre se es igualmente un Cisco Certified Network Associate.
Ahora bien, respecto de rendir uno o dos exámenes, mi opinión personal es rendir un único examen, el 640-802. ¿Por qué?

  • Si se opta rendir 2 exámenes, el primero de ellos, el 640-822 acredita para la certificación CCENT. Pero esta certificación (al menos por el momento) no reviste mayor importancia en el contexto latinoamericano, con lo que no agrega nada a nuestro currículum.
  • En consecuencia, la única ventaja que encuentro en dividir el examen es que el primer examen tiene un desarrollo más corto, con un temario más acotado, y por lo tanto sirve como primer encuentro con los sistemas de certificación y hace más fácil rendir después el examen 640-816 que es más extenso y complejo.
  • Pero para rendir el examen 640-816 no se pueden dejar de lado los temas que fue necesario preparar para el primer examen. Es decir, que rendir el segundo examen es prácticamente como rendir el Composite en una única vez, con la única diferencia de que ya se tiene un poco de experiencia en la interfaz y la mecánica de los exámenes.
  • Es decir, duplicar los exámenes supone un tiempo de preparación más extenso, mayor dedicación y mayores costos. Como contra prestación, es muy poco lo que se obtiene. No creo que valga la pena.
Sin embargo, no es para no considerarlo ni desaconsejable. Por el contrario, quienes han elegido el camino de capacitación de las Academias quizás encuentren más reposado rendir primero el examen 640-822 al completar los 2 primeros módulos, y finalmente el 640-816 al completar los módulos 3 y 4. Es una opción totalmente válida.
Posts anteriores de la serie:



Cualquier comentario o consulta que consideres importante respecto a este tema,
procuraré responderlo rápidamente.
Por favor, incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta
Si estás en Google+
enviame un correo electrónico a ogerometta@gmail.com
para incorporarte el Círculo que comparte información sobre Tecnología.

22 de septiembre de 2011

Y llegamos al millón!!

Amigos.
Con alegría y satisfacción les comunico que hoy, jueves 22 de septiembre, a las 10.15 AM el blog recibió su visitante 1.000.000.
Muchas gracias por el acompañamiento de estos 6 años.
Muchas gracias porque han hecho propio este hito, que si bien no es más que un número, marca la voluntad de seguir creciendo como comunidad generadora de conocimientos.
Muchas gracias por la participación.
Y que esto nos aliente a todos, a mi como autor y a ustedes como miembros de esta comunidad, a seguir colaborando y generando conocimiento.
Como ya publiqué en el grupo de Facebook y en el Círculo de Google+, con el envío de esta captura de pantalla hemos dado por cerrada la admisión para el sorteo.
El próximo sábado 24 realizaremos el sorteo, durante el fin de semana nos comunicaremos con los ganadores, y el próximo lunes publicaremos en el blog el nombre de los afortunados.
Una vez más, gracias a todos.
Oscar Gerometta

13 de septiembre de 2011

La visita del millón

Amigos.

El blog de http://librosnetworking.blogspot.com se encuentra próximo a completar su primer millón de visitas.
Si bien no es más que un número, después de 6 años de actividad esto marca un hito, y todo hito es una excelente excusa para una celebración.
Es por eso que con Edubooks hemos decidido sortear 2 órdenes de compra de u$s 50 (cincuenta dólares) cada una para la compra de cualquiera de los libros que se ofrecen a través del blog. Las condiciones para participar del sorteo son:
  • Participan del sorteo todos aquellos que visiten el blog entre el día de la fecha (13 de septiembre) y el momento en que el contador de visitas del blog registre el visitante 1.000.000 inclusive.
  • El participante debe ser parte del grupo de Libros.Networking en Facebook (http://www.facebook.com/group.php?gid=57409609201) o parte del Círculo IT que mantengo en Google+ para compartir información sobre tecnología. Cualquiera de las dos.
    Si todavía no sos parte de alguno de estos grupos, podés incorporarte ahora.
  • Haber visitado el blog antes de que se alcance el primer millón de visitantes.
    Para acreditar esta condición deben enviar una captura de pantalla incluyendo el contador que está al pie de la página a sorteo.networking@gmail.com
  • Sólo participaran del sorteo quienes cumplan las 2 condiciones antes mencionadas.
  • Los resultados del sorteo se comunicarán por correo electrónico a cada uno de los ganadores y publicado al día siguiente en el blog (http://librosnetworking.blogspot.com)
  • La orden de compra es válida exclusivamente para la compra de cualquiera de los títulos que se anuncian en la columna de la derecha del blog, en la sección titulada "Títulos Publicados". No es canjeable por dinero.
  • Los gastos de envío de los libros elegidos serán absorbidos por Edubooks hasta completar el monto de 50 u$s de la orden de compra. La diferencia que surja del valor de los ejemplares más los gastos de envío deberá ser asumida por el beneficiario.
Muchas gracias a todos los que han acompañado este esfuerzo durante los últimos 6 años.

10 de septiembre de 2011

CCNA desde Cero (6)

Ya tenemos un mentor, ya tenemos una Guía de Preparación y nuestro laboratorio. Elaboramos una agenda de trabajo, definimos objetivos... La pregunta que viene a continuación es ¿Qué bibliografía adicional me recomendás para preparar el examen?
En primer lugar permítanme, una vez más, reacomodar los objetivos. Lo dije en el post anterior: aquí el objetivo es preparar un examen de certificación, no aprender networking. No es que no tenga nada que ver; pero son objetivos diferentes.
Cuando estoy preparando el examen de certificación no es el mejor momento para descubrir nuevos temas o tecnologías y ponerme a investigar.
Si estamos estudiando para rendir el examen de certificación tenemos una agenda de trabajo, un objetivo a cubrir, y tenemos que evitar desviarnos de ese objetivo. Por eso éste no es el mejor momento para dejar que nuestra curiosidad nos guíe y derivar por temas que no están estrictamente incluidos en el examen. No está mal querer profundizar e investigar, solo que no es éste el momento para hacerlo. 
Por eso la primera recomendación: tengan siempre un cuaderno de notas a manos y registren todos los puntos que quieren profundizar. Son notas para retomar una vez que hayamos aprobado el examen y entonces sí investigar y profundizar.
Pero aún así siempre hay puntos o temas que no terminan de quedarnos claros y necesitamos buscar una exposición, visión alternativa o información adicional para que nos ayude a terminal de comprenderlos. Para esto mi sugerencia de siempre es la página web de Cisco.
El sitio web de Cisco contiene una inmensa biblioteca, no sólo de documentación referida a comandos y configuración de dispositivos, sino también abundante documentación de referencia respecto de estándares, modelos, diseño, etc. De aquí también la dificultad que suele plantear: encontrar lo que uno está buscando puede ser un gran desafío.
Por eso, y con el propósito de ayudar al realizar búsquedas en el sitio de Cisco, un par de consejos prácticos.

  • El primero es muy simple, cuando tienen que buscar información sobre un área temática específica y claramente definida un recurso puede ser utilizar los atajos que tiene definidos internamente el sitio. El más común de ellos es el que adopta una URL con el formato: http://www.cisco.com/go/xxxx donde xxxx es el keyword que identifica nuestro objetivo.
    Por ejemplo, si necesitamos información adicional respecto del protocolo de enrutamiento EIGRP podemos utilizar este atajo: http://www.cisco.com/go/eigrp
  • Pero no hay atajos para todo. Consecuencia: un modo rápido de realizar búsquedas es Google. Cuando queremos encontrar información dentro del sitio de Cisco utilizando Google, hay 2 fórmulas para hacer la búsqueda.
    La primera, ingresar siempre como primera palabra de búsqueda "cisco". Así, por ejemplo, si queremos buscar información específica sobre comandos de configuración de EIGRP, podemos hacer una búsqueda en Google ingresando como criterio: "cisco ios command configuration eigrp". Normalmente las primeras respuestas que recibiremos a nuestra búsqueda correponderán a páginas del sitio de Cisco.
    Este modo de búsqueda nos muestra en el resultado tanto páginas del sitio de Cisco como de otras webs que tratan el tema. Si queremos en la respuesta solamente páginas de Cisco, entonces nuestro criterio de búsqueda debiera definirse así: "site:cisco.com ios command configuration eigrp". De este modo obtenemos todas las páginas del sitio de Cisco que contienen información respecto de comandos de configuración de EIGRP.
  • Al momento de hacer búsquedas, tengamos presente que el criterio que definamos es determinante para el resultado que obtenemos. Y en este punto un par de aclaraciones.
    Si lo que buscamos es información respecto de configuración, comandos, etc. tengamos en cuenta que Cisco presenta documentos específicos para este tipo de información, que son las Command Guides y las Configuration Guides. Así, nuestro criterio de búsqueda más ajustado podría ser: "site:cisco.com configuration guide eigrp".
    Si en cambio lo que buscamos es documentación referida al protocolo en sí mismo, su modo de operación, características, etc., entonces nuestro mejor criterio de búsqueda sería "site:cisco.com technology eigrp".

Espero que estos sencillos tips les resulten de utilidad.

Cualquier comentario o consulta que consideres importante respecto a este tema,
procuraré responderlo rápidamente.
Por favor, incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta
Si estás en Google+
enviame un correo electrónico a ogerometta@gmail.com
para incorporarte el Círculo que comparte información sobre Tecnología.

3 de septiembre de 2011

CCNA desde Cero (5)

Bien, si ya tenemos claro cómo vamos a introducirnos en el "mundo" Cisco y prepararnos para el examen, es ahora el momento de seleccionar los elementos o herramientas que voy a utilizar para preparar el examen de certificación.
Es la pregunta más recurrente: ¿Qué necesito para prepararme bien para el examen?
Ante todo permítanme una aclaración. No es lo mismo aprender networking que preparar un examen de certificación.
Pero, ¿no es lo mismo? No, no es lo mismo.
Si el objetivo es aprender networking (como en cualquier otro hábito del saber) lo más aconsejable es buscar un buen ámbito de capacitación, que asegure acceso a información de calidad y disponibilidad de los mejores laboratorios para el desarrollo de las destrezas prácticas asociadas al conocimiento. Debemos buscar un Instructor con experiencia y conocimientos tan amplios como sea posible, y lo que importa por sobre todo son sus dotes didácticas. No debemos cerrarnos a una única bibliografía sino que debemos buscar acceder a información de calidad, bien fundada y documentada que nos permita investigar y profundizar en cada tema.
Aprender es una actitud ante la realidad. Siempre estamos aprendiendo y la frontera del conocimiento es más lejana cuanto más nos introducimos en los temas. ¿Cuando terminaremos de aprender? Nunca.
Preparar un examen de certificación, en cambio, es un proceso con un objetivo acotado, de corto plazo y claramente delimitado: obtener la certificación.
Su duración está acotada en el tiempo: termina con el examen. Y acotada en los objetivos: importan los conocimientos y habilidades requeridas por el examen. Los objetivos no son establecidos por nuestra inquietud personal, curiosidad y deseo de saber, sino por los objetivos que están predefinidos para el examen.
Si se trata de rendir el examen de certificación, entonces, ¿Qué es lo que necesitamos?
  • Ante todo y como discutimos en una nota anterior, un tutor. Una persona con conocimientos en el área de networking y por sobre que haya rendido el examen de certificación y pueda transferirnos su experiencia.
  • Una buena guía de preparación para el examen de certificación. Como se desprende de la distinción que hice antes, no todo manual CCNA es una guía de preparación para el examen.
    Una guía de preparación para el examen de certificación debe reunir determinadas condiciones: cubrir todos y solamente los temas del examen de certificación, estar didácticamente diseñada para facilitarnos la preparación, contar con herramientas didácticas que nos ayuden en el proceso.
    Por supuesto que mi sugerencia en este punto es mi "Guía de Preparación para el Examen de Certificación CCNA versión 4.1". En ella encontrarán una descripción detallada del examen y su metodología, el desarrollo de la totalidad del temario, mapas conceptuales, resúmenes, cuestionarios y ejercicios prácticos.
  • Un laboratorio para afianzar las habilidades prácticas que requiere el examen.
    En este punto por supuesto que contar con un pequeño laboratorio compuesto por 2 routers (al día de hoy pueden ser Cisco 1800 o superiores) y un switch LAN (un Catalyst 2960) es lo ideal, pero no siempre posible. Podemos reemplazar el laboratorio por un buen simulador, y en este caso mi recomendación es Packet Tracer.
Cualquier comentario o consulta que consideres importante respecto a este tema,
procuraré responderlo rápidamente.
Por favor, incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta
Si estás en Google+
enviame un correo electrónico a ogerometta@gmail.com
para incorporarte el Círculo que comparte información sobre Tecnología.

22 de agosto de 2011

La familia de firewalls Cisco ASA 5500

Dentro de la familia de productos ofrecida por Cisco en la actualidad el appliance para seguridad (firewall) es el popularmente conocido como ASA (Adaptive Security Appliances). La familia de productos es realmente amplia, por lo que me pareció conveniente hacer una rápida síntesis de los modelos actualmente disponibles. Por supuesto que la información detallada se puede encontrar en el sitio de Cisco, utilizando los enlaces que recojo al final del post.


Cisco ASA 5505
  • Entorno sugerido: Pequeñas oficinas o sucursales, trabajadores remotos.
  • Throughput máximo: 150 Mbps
  • Cantidad máxima de conexiones por segundo: 4.000
  • Paquetes (de 64 bytes) por segundo: 85.000
  • Cantidad máxima de peers para VPNs IPSec: 10
  • Cantidad máxima de sesiones de clientes SSL: 25
Cisco ASA 5510
  • Entorno sugerido: Borde de acceso a Internet
  • Throughput máximo: 300 Mbps.
  • Cantidad máxima de conexiones por segundo: 9.000
  • Paquetes (de 64 bytes) por segundo: 190.000
  • Cantidad máxima de peers para VPNs IPSec: 250
  • Cantidad máxima de sesiones de clientes SSL: 250
Cisco ASA 5520
  • Entorno sugerido: Borde de acceso a Internet
  • Throughput máximo: 450 Mbps.
  • Cantidad máxima de conexiones por segundo: 12.000
  • Paquetes (de 64 bytes) por segundo: 230.000
  • Cantidad máxima de peers para VPNs IPSec: 750
  • Cantidad máxima de sesiones de clientes SSL: 750
Cisco ASA 5540
  • Entorno sugerido: Borde de acceso a Internet
  • Throughput máximo: 650 Mbps.
  • Cantidad máxima de conexiones por segundo: 25.000
  • Paquetes (de 64 bytes) por segundo: 500.000
  • Cantidad máxima de peers para VPNs IPSec: 5.000
  • Cantidad máxima de sesiones de clientes SSL: 2.500
Cisco ASA 5550
  • Entorno sugerido: Borde de acceso a Internet, red de campus
  • Throughput máximo: 1,2 Gbps.
  • Cantidad máxima de conexiones por segundo: 36.000
  • Paquetes (de 64 bytes) por segundo: 600.000
  • Cantidad máxima de peers para VPNs IPSec: 5.000
  • Cantidad máxima de sesiones de clientes SSL: 5.000
Cisco ASA 5580-20
  • Entorno sugerido: Data center, campus
  • Throughput máximo: 10 Gbps.
  • Cantidad máxima de conexiones por segundo: 90.000
  • Paquetes (de 64 bytes) por segundo: 2.500.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
  • End-of-Sale anunciado: 31 de julio de 2012
Cisco ASA 5580-40
  • Entorno sugerido: Data center, campus
  • Throughput máximo: 20 Gbps.
  • Cantidad máxima de conexiones por segundo: 150.000
  • Paquetes (de 64 bytes) por segundo: 4.000.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
  • End-of-Sale anunciado: 31 de julio de 2012
Cisco ASA 5585-X con SSP-10
  • Entorno sugerido: Borde de acceso a Internet, campus.
  • Throughput máximo: 4 Gbps.
  • Cantidad máxima de conexiones por segundo: 50.000
  • Paquetes (de 64 bytes) por segundo: 1.500.000
  • Cantidad máxima de peers para VPNs IPSec: 5.000
  • Cantidad máxima de sesiones de clientes SSL: 5.000
Cisco ASA 5585-X con SSP-20
  • Entorno sugerido: Data center, campus
  • Throughput máximo: 10 Gbps.
  • Cantidad máxima de conexiones por segundo: 125.000
  • Paquetes (de 64 bytes) por segundo: 3.000.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
Cisco ASA 5585-X con SSP-40
  • Entorno sugerido: Data Center, campus
  • Throughput máximo: 20 Gbps.
  • Cantidad máxima de conexiones por segundo: 200.000
  • Paquetes (de 64 bytes) por segundo: 5.000.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
Cisco ASA 5585-X con SSP-60
  • Entorno sugerido: Data center, campus
  • Throughput máximo: 40 Gbps.
  • Cantidad máxima de conexiones por segundo: 350.000
  • Paquetes (de 64 bytes) por segundo: 9.000.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
Enlaces sugeridos
Cualquier comentario o consulta que consideres importante respecto a este tema,
 incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta
Si estás en Google+
enviame un correo electrónico a ogerometta@gmail.com
para incorporarte el Círculo que comparte información sobre Tecnología.

21 de agosto de 2011

Tecnologías de Firewall

Los que trabajamos en el ámbito de las redes de datos hemos escuchado mencionar el término "firewall".
Sin dudas que el firewall (o cortafuegos) es un elemento estrechamente vinculado a la implementación de seguridad en redes de datos. Pero también suena ambiguo. Hay quienes refieren por firewall a un software instalado en sus terminales, otros que lo aplican exclusivamente a dispositivos de red u otros que lo refieren a un conjunto de reglas.


¿Qué es entonces un firewall?
Bueno, en principio es todo lo que dije arriba y algo más. Es un concepto más amplio que esas versiones restrictivas.
Un firewall es un sistema (conjunto de elementos) que fuerza la aplicación de políticas de acceso entre diferentes áreas (dominios de seguridad) de una red de datos.
En cuanto sistema puede estar compuesto por uno o varios dispositivos o funcionalidades aplicadas en diferentes equipos.


Tecnologías de firewalling
En la actualidad podemos utilizar diferentes tecnologías de firewalling:
.1. Filtrado de paquetes stateless
  • Se realiza a partir de un conjunto de reglas estáticas que permiten o bloquean el acceso de tráfico en función de información contenida en los encabezados de los paquetes.
  • Ideal para trabajar con aplicaciones TCP que operan con asignación estática de puertos o filtrado en función de información contenida en los encabezados de capa 3.
  • Es transparente para el usuario final y opera con alta performance.
  • No soporta sesiones que utilizan asignación dinámica de puertos.
  • Requiere conocimientos y experiencia por parte del operador que diseña y configura.
  • No es útil para detener ataques de reconocimiento.
.2. Filtrado de paquetes stateful
  • Permite un control confiable del acceso en base a la información contenida en los encabezados de capa 3 y 4 de los paquetes.
  • Puede hacer seguimiento de sesiones que utilizan asignación dinámica de puertos.
  • Es simple de configurar.
  • Es transparente para el usuario final y opera con alta performance.
  • No inspecciona contenidos de capa de aplicación.
  • No puede seguir sesiones con asignación dinámica de puertos cuando el tráfico es encriptado.
.3. Filtrado de paquetes stateful con inspección y control de aplicaciones
  • Permite un control confiable de acceso en base a la información contenida en los encabezados de capa 3 y 4 de los paquetes.
  • Hace inspección de los comandos de aplicaciones para segurar su consistencia.
  • Es simple de configurar.
  • En transparente para el usuario final, pero afecta la performance.
  • La capacidad de inspección está afectada par la capacidad de bufferización de paquetes.
.4. Network Intrusioin Prevention Systems
  • Permiten detectar diferentes tipos de ataques a múltiples niveles en función de la inspección del tráfico a partir de una base de datos de "firmas".
  • Útil para la detección de ataques conocidos, gusanos, spyware, trojanos, bots, etc.
  • Es transparente para el susuario final, aunque afecta la performance.
  • Requiere permanente actualización de la base de datos de firmas.
  • Requeire de un período inicial de ajuste para evitar errores en la detección.
.5. Network Behavior Analysis
  • Realiza análisis automáticamente del comportamiento del tráfico de la red, detectando anomalías estadísticas.
  • Se puede utilizar tanto para analizar el tráfico en línea, o fuera de línea.
  • Tiene la capacidad de detectar ataques aún no conocidos.
  • Es problemático su funcionamiento en entornos de red caóticos, dado que se basa en el análisis estadístico de anomalías.
  • Requiere una puesta a punto y un ajuste periódico muy preciso.
.6. Gateways de capa de aplicación (proxies)
  • Permiten un control confiable y estable en capa de aplicación.
  • Pueden realizar normalización automática de los protocolos.
  • Tienen la habilidad de realizar análisis en profundidas del contenido.
  • No están disponibles para todas las aplicaciones de la red. Lo más habitual es para tráfico web y de correo electrónico.
  • No se puede utilizar en aplicaciones de tiempo real.
  • No es transparente para el usuario final.
Cualquier comentario o consulta que consideres importante respecto a este tema,
 incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta
Si estás en Google+
enviame un correo electrónico a ogerometta@gmail.com
para incorporarte el Círculo que comparte información sobre Tecnología.