sábado, 11 de agosto de 2012

VPN IPSEC SITE-TO-SITE

Como se monta una VPN y cual es su funcionalidad,  para este caso con CISCO la VPN se utiliza para lograr conectividad de extremo a extremo para asegurar la confiabilidad de los datos trasmitidos por cada una de las partes. Para lograr subir la VPN se deben tener en cuenta los siguientes pasos:

1. Definir la fase 1 de IKE (ISAKMP Policy)
2. Definir la fase 2 de IKE (Transform Set
3. Crear una ACL para seleccionar el tráfico que se irá por la VPN
4. Crear un Crypto Map para asociar los pasos 1, 2 y 3 a una interface de salida.

Un primer paso adicional es validar que los extremos donde vamos a crear la VPN tengan conectividad, para una red de internet es fácil ya que tenemos la ruta por defecto pero en otras situaciones hace falta configurar las rutas respectivas.

Para poder montar un laboratorio y probar este tipo de configuraciones hace falta tener los equipos ya que herramientas como packet tracer no tiene la funcionalidad ( por lo menos el que yo tengo no me funciona),  sin embargo con GNS3 y una IOS que soporte seguridad se puede montar.

La topologia del laboratorio se muestra en la figura siguiente:

La idea es tener conectividad desde el host 192.168.100.1 hasta el host 172.16.11.1 y viceversa.


Los parámetros a tener en cuenta son varios y los conceptos igualmente, si no estamos relacionados con estos podemos visitar el siguiente link. http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080094203.shtml

Dentro de la configuración de enrutamiento solo  hay rutas para que el R7 y R10 tengan conectividad desde la 10.1.1.1 a la 10.1.1.10.


La configuración de los router esta en las figuras siguientes:





Se observan la configuraciones y en la siguiente gráfica se realizan pruebas de conectividad donde se evidencia que el trafico de los host únicamente es posible a través de la VPN,  solo es posible trafico desde las redes que estén en las listas de acceso.






blog CCIE en español

hola, me encontré este blog muy bueno en español.
http://ccie-en-espanol.blogspot.com

viernes, 11 de mayo de 2012

Configuracion SNMP, V3, 3 tipos Autenticacion en router Juniper

bueno para la configuracion del servicio SNMP en V· fue mas dificil de la que parecia pero encontre un link en la pagina de Juniper donde explica casi todo.

Para la refrencia del link:

http://kb.juniper.net/InfoCenter/index?page=content&id=KB22048&cat=security_products&actp=LIST

Donde encontramos la siguiente informacion:

set snmp v3 usm local-engine user noauth authentication-none
set snmp v3 usm local-engine user authnopriv authentication-md5 authentication-password testtest
set snmp v3 usm local-engine user authnopriv privacy-none
set snmp v3 usm local-engine user authpriv authentication-md5 authentication-password testtest
set snmp v3 usm local-engine user authpriv privacy-des privacy-password testtest
set snmp v3 vacm security-to-group security-model usm security-name v3test group v3test
set snmp v3 vacm security-to-group security-model usm security-name noauth group v3test
set snmp v3 vacm security-to-group security-model usm security-name authnopriv group v3test
set snmp v3 vacm security-to-group security-model usm security-name authpriv group v3test
set snmp v3 vacm access group v3test default-context-prefix security-model any security-level none read-view v3testview
set snmp v3 vacm access group v3test default-context-prefix security-model any security-level none write-view v3testview
set snmp v3 vacm access group v3test default-context-prefix security-model any security-level none notify-view v3testview
set snmp v3 vacm access group v3test default-context-prefix security-model any security-level authentication read-view v3testview
set snmp v3 vacm access group v3test default-context-prefix security-model any security-level authentication write-view v3testview
set snmp v3 vacm access group v3test default-context-prefix security-model any security-level authentication notify-view v3testview
set snmp v3 vacm access group v3test default-context-prefix security-model any security-level privacy read-view v3testview
set snmp v3 vacm access group v3test default-context-prefix security-model any security-level privacy write-view v3testview
set snmp v3 vacm access group v3test default-context-prefix security-model any security-level privacy notify-view v3testview
set snmp v3 snmp-community v3test security-name v3test
set snmp view v3testview oid system include
set snmp view v3testview oid .1 include

despues de realizar pruebas de conectividad no podia lograr ver las informacion en el servidor sin embaro hace falta habilitar el servicio sobre la interface que vamos a monitorear, en mi caso la realice asi:


set security zones security-zone trust interfaces vlan.0 host-inbound-traffic system-services snmp


miércoles, 9 de mayo de 2012

Tips Configuracion

WEn algunas ocasiones se requiere dejar los equipos bajo la configuracion por defecto por fines administrativos y o para reconfigurar el equipo desde cero,  e comando para realizar esto es:



load factory-default


depues de ejecutar y esto y para poder guardar los cambios realizados se require de manera obligatoria configurar la cntraseña del usuario root de la siguinete manera:


set system root-authentication plain-text
enter
nueva contraseña

Tambien en ocaciones requerimos dejar una configuracion que esta funcionando correctamente como respaldo y rescatarla al realizar un reinicio por medio de los pulsadores que tiene el equipo en la pare frontal.

request system configuration rescue save


lunes, 7 de mayo de 2012

Configuracion SNMP, V3, sin Autenticacion en router Cisco

Estando en la terminal de configuración se ejecutan 3 comando básicos para habilitar la lectura por parte del servidor.
1.       snmp-server view LECTURA internet included
a.       Comando para habilitar el Servicio.
b.      Configuración para poder ver el árbol de los MIB.
c.       Nombre de la instancia de lectura (el administrador lo asigana).
d.      Parte del Arbol que se desea leer, puede ser system

2.       snmp-server group lector v3 noauth read LECTURA
a.       Comando para habilitar el Servicio.
b.      Grupo donde se asocian las características de autenticación y lectura y escritura.
c.       Nombre del grupo.
d.      Versión SNMP
e.      Tipo de autenticación
f.        Accion de lectura y/o escritura
g.       Asociacion con un grupo view

3.       snmp-server user test lector v3
a.       Comando para habilitar el Servicio.
b.      Usuario para autenticarse con el servidor
c.       Grupo con el que se asocia el usuario
d.      Versión SNMP



yo utilizo la herramineta de monitoreo SNMPc, la configuracion en la herramienta es la siguiente:




martes, 1 de mayo de 2012

Publicar ruta default en OSPF y BGP (Cisco)

La ruta por defecto envía el trafico que esta destinado a un destino que no conocemos hacia una interface del router que en su mayoría de casos esta conectado al proveedor de servicios y/o al CORE  de la red de datos. posiblemente en redes empresariales esta ruta se entrega a un proxy o an firewall por razones de seguridad y control,  sin ambargo en redes donde tenemos varias configuración y topologias donde llegamos a un destino por varios extremos se requiere que una o varias rutas estén activas por un extremo y en otro momento por otro, en las redes es de vital importancia tener la ruta por defecto que se configura en los router CISCO de la siguiente manera - ip route 0.0.0.0 0.0.0.0 fe 0/0(opcional, lo mejor y mas recomendable es publicar la red hacia una IP)- por lo general.

En los protocolos dinámicos hay varias maneras de redistribuir una ruta sin embargo la ruta por defecto tiene una variante a veces no utilizamos,  dejo la forma en que se realiza en OSPF y BGP.

Para ospf se efectúa sobre el proceso que este corriendo:

 default-information originate


Para BGP se efectúa sobre el proceso que este corriendo:

 network 0.0.0.0

 Para EIGRP podemos visitar el blog de  Oscar Gerometta  donde se pueden encontrar las cosas explicadas de una manera mas educativa.
http://www.librosnetworking.blogspot.com/2012/04/publicar-una-ruta-por-defecto-con-eigrp.html

miércoles, 15 de febrero de 2012

COMMANDO: show ip nat translations




Algunos comandos nos brindan información que puede ser muy útil si sabemos que datos son importantes, hoy estoy repasando  “show ip nat translations”.
Los campos que tiene esta salida son:


-       -Pro
o    Protocolo a puerto que se esta utilizando
-       inside global
o    Direcciones que se van a utilizar para presenter la red local al exterior.
-       Inside local
o    Direcciones locales que pertenecen a los host que se estan nateando
-       Outside local
o    Direccion IP de un host exterior
-       Outside global
o    Direccion IP de un host exterior
-       create
o    tiempo que lleva active el NAT
-       use
o    Tiempo que tiene en uso el NAT
-       flags
o    Indica si se han presentado caidas o reinicios del NAT
o    También indica el tipo de NAT
-       http://www.cisco.com/en/US/i/templates/blank.gif        -              extended—Extended translation   
-       http://www.cisco.com/en/US/i/templates/blank.gif-                      static—Static translation
-       http://www.cisco.com/en/US/i/templates/blank.gif-                      destination—Rotary translation
-       http://www.cisco.com/en/US/i/templates/blank.gif-                      outside—Outside translation
-       http://www.cisco.com/en/US/i/templates/blank.gif-                      timing out—Translation will no longer be used, due to a TCP finish (FIN) or reset (RST) flag.

lunes, 30 de enero de 2012

jueves, 12 de enero de 2012

Actualizar Junos OS

En este link nos muestran varios procedimientos para actualizar el JunoOS.
http://kb.juniper.net/InfoCenter/index?page=content&id=KB16652

En Junos los equipos tinen dos imagenes del JunosOS y los ideal seria que las dos esten en la misma version para evitar problemas.


la forma de visualizar las imagenes que tenemos es:

root> show system snapshot media internal
Information for snapshot on internal (/dev/da0s1a) (primary)
Creation date: Jan 1 00:08:21 2000
JUNOS version on snapshot:
junos : 10.2R3.10-domesticInformation for snapshot on internal (/dev/da0s2a) (backup)
Creation date: Jan 1 00:11:44 2000
JUNOS version on snapshot:
junos : 10.2R3.10-domestic


Lo ideal es que se tenga la misma version para el primario como para el resplado,  para esto ejecutar:

>request system snapshot slice alternate

Cargar el JunosOS sobre un SRX desde loader

en caso de tenr problemas cargando el junosOS el router se va a loader, es como un root.
en este caso se realiza este procedimiento http://www.juniper.net/techpubs/software/junos-security/junos-security10.2/junos-security-admin-guide/topic-installing-software-boot-loader-usb.html, tener en cuenta lo el formateo de la USB.

para formater al usb descarge el siguiente programa desde el link http://h20000.www2.hp.com/bizsupport/TechSupport/SoftwareDescription.jsp?lang=en&cc=us&swItem=MTX-UNITY-I23839&jumpid=reg_R1002_USEN

y para formater la USB solo es siguiente. siguiente.finalizar jajajajaja.

martes, 10 de enero de 2012

Notas Spanning Tree Protocol (STP)



- Designación de estados y roles de los puertos

o Todos los puertos en un Bridge Root asumen el rol de puerto designado y el estado de forwarding.
o Los puertos de ROOT en los Switches son puestos en el estado de forwarding, se aclara que el root bridge no se asignan puertos root.
o La designación de puertos en los bridges designados será en forwarding.
o Los demás puertos son puestos en el estado de bloking.



domingo, 8 de enero de 2012

Notas OSPF

Tipos de LSA.
Tipo 1; LSA de Router describre las interfaces y los vecinos de cada router a todos los router en las misma Area.
Tipo 2; LSA de red, describre segmentos de red. estos LSA son enviados desde el Router Desigando a los demas router de la misma area.
Tipo3; Resumen de la Topologia, describren redes aprendidos Tipo 1 y Tipo2 y son enviados por el router de borde de area (ABR) a diferentes areas directamente conectadas a el.
Tipo 4; Igual que los de tipo 4 pero pasando por areas stub. (ASBR).
Tipo 5; LSA externos que publican redes aprendidas de otros protocolos de enrutamiento y son enviados por el Router de Borde de Area Stub,
Tipo 7; enviados desde NSSA