02

¿Cómo Implementar Port Security?

Port Security se basa en crear una política de Seguridad de capa 2, es decir, tendremos en cuenta la dirección MAC de los dispositivos, para evitar conexiones no deseadas a los equipos o puertos en cuestión ejecutando una acción en el momento que esta violación de seguridad ocurra.

La activación de Port Security se debe realizar a nivel de interfaz y, para ello, deberemos deshabilitar el modo “dynamic auto” que viene configurado por defecto en todos los puertos de un switch y configurar estos puertos como “access” o “trunk” dependiendo de las necesidades de nuestra red.

Vamos a realizar un ejemplo sencillo para que se pueda ver su funcionamiento. Veamos un escenario donde tengamos un switch y un PC directamente conectados.

port-security 1

Configuraremos port-security en la interfaz fa0/1 del switch que es donde está conectado el PC y permitiremos única y exclusivamente la dirección MAC de ese PC.

Por lo tanto, entraremos a la interfaz donde queremos habilitar port-security y configuraremos dicha interfaz como “access”.

Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access

Una vez tengamos esto configurado, deberemos habilitar port-security y empezar a configurar sus características ya que, por defecto, viene deshabilitado. En este caso, como hemos dicho, configuraremos que solo permita el acceso de una única dirección MAC.

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1

Ahora, llega el momento de configurar el tipo de acción que querremos que ocurra cuando nuestro switch detecte una violación de seguridad. Veamos los diferentes modos que tenemos:

Switch(config-if)#switchport port-security violation ?

protect Security violation protect mode

restrict Security violation restrict mode

shutdown Security violation shutdown mode

Como veis, utilizando el “?” para que nos muestre las diferentes opciones que podemos elegir, el switch nos muestra:

  • Protect: sólo se permite tráfico de las MAC permitidas en la configuración descartando el tráfico del resto, no se notifica sobre la intrusión.
  • Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se permite únicamente a las MAC especificadas, del resto se descarta.
  • Shutdown: el puerto se deshabilita.

En este ejemplo vamos a configurar la opción “shutdown“, para que, en el momento que detecte una violación de seguridad, el puerto quede deshabilitado completamente. Por lo tanto, vamos a configurarlo como “shutdown” y vamos a indicarle al switch que dirección MAC queremos permitir.

Switch(config-if)#switchport port-security violation shutdown

Switch(config-if)#switchport port-security mac-address 0090.21B4.6498

La detección de la dirección MAC permitida, se puede configurar de varios modos. En este caso hemos utilizado la manual ya que solo tenemos un dispositivo conectado y no lleva mucho trabajo configurar esa sola dirección. Los modos de detección de dirección MAC son:

  • Dynamic: configuramos el número de MACs que podrán accede al mismo tiempo sin indicar las MACs específicamente.
  • Static: configuramos específicamente la o las MACs que queremos que puedan acceder.
  • Combination: una mezcla de dynamic y static donde configuraremos el número de MACs que podrán acceder pero indicaremos alguna o todas las MACs que queremos que puedan acceder específicamente.
  • Sticky learning: aprende la dirección MAC cuando te conectas y la configurara en el dispositivo como si la hubiéramos puesto de modo static.

Llegados a este punto, ya tenemos configurado nuestro port-security básico para permitir la conexión de ese dispositivo en cuestión. Ahora, que pasaría si colocáramos un switch nuevo entre el PC0 y el switch y conectáramos un nuevo PC a el primer switch para tener conexión en ese nuevo PC?

Opción a) permitiría la conexión del nuevo PC hacia ese primer switch.

Opción b) deshabilitaría el puerto fa0/1 donde hemos configurado port-security.

¡Correcto! Todos aquellos que hayáis pensado en la opción b) estáis en lo cierto, ya que, en ese momento, tendremos 3 direcciones MACs conectadas al switch y de estas, solo estamos permitiendo la del PC0 original. El escenario nos quedaría de la siguiente manera:

port-security 2

Como vemos, tenemos la conexión entre switches deshabilitada, con lo que, hemos perdido conexión a nuestra red. Si queremos monitorear el comportamiento que ha tenido el switch al detectar esta violación de seguridad, podemos utilizar los siguientes comandos y obtendremos los siguientes outputs:

Switch#show port-security interface fastEthernet 0/1

Port Security: Enabled

Port Status: Secure-shutdown

Violation Mode: Shutdown

Aging Time: 0 mins

Aging Type: Absolute

SecureStatic Address Aging: Disabled

Maximum MAC Addresses: 1

Total MAC Addresses: 1

Configured MAC Addresses: 1

Sticky MAC Addresses: 0

Last Source Address:Vlan: 0002.16D6.9403:1

Security Violation Count: 1

Como veis tenemos un contador que especifica el número de veces que se ha producido una violación de la política de seguridad, indicando también la última MAC de origen conectada al puerto.

Si quisiéramos permitir la conectividad total en ese nuevo escenario, deberíamos permitir las direcciones MAC del switch3 y del PC1 y aumentar el máximo de conexiones permitidas hasta 3 como mínimo.

02

Etherchannel Parte 1: (Configuración Básica)

Uno de los mayores problemas que tenemos a la hora de ofrecer rendimiento cuando tenemos muchísimos equipos de acceso son los cuellos de botella que se pueden crear hacia los equipos de distribución. Aunque los switchs están diseñados para soportar una sobresuscripción notable, incluso muchos disponen de algunos pocos puertos de mayor velocidad, no estaría de más poder tener mayor ancho de banda y de paso nos aseguramos un poco de redundancia a nivel de enlaces.

Pero aquí tenemos un problema, como en toda red L2, Spanning tree debe de estar funcionando para evitar sustos, y al detectar más de un cable hacia el mismo equipo, detecta un bucle y te los bloquea todos excepto uno, dejando nuestra intención de tener más ancho de banda para la subida en nada, pero bueno, al menos sabemos que si se cae el enlace activo, STP nos desbloqueará uno, por lo que al menos hemos ganado en redundancia.

etherchannel 1

Pero esto no nos consuela, ¿cómo vamos a conseguir ese mayor ancho de banda si STP se dedicará a bloquearnos todos los intentos? Fácil, vamos a engañarle

Vamos con un poco de historia, a principios de los 90 surgió una tecnología que se llamaba “Etherchannel” que nos permitía hacer enlaces de agregación, es decir, juntar varios enlaces como si fuese uno con la suma de todas las velocidades y mostrarse como tal, en vez de como varios puertos. Esto hacia ver a STP que en vez de tener dos cables de 100 físicos, tiene uno lógico de 200, y al solo ver uno, no tenía motivos para bloquearlo, ¡a no ser que existiese un bucle por otro lado claro! Además, como este enlace se mostraba como uno de mayor velocidad, su coste para los protocolos era siempre más bajo, así que tenía menor coste.

Años más tarde, esta tecnología fue comprada por Cisco, quien se patentó un protocolo de negociación llamado PAGP (Port Aggregation Protocol) y a principios de siglo se estandarizó como 802.3ad y un protocolo de negociación similar, llamado LACP.

De esta forma conseguimos nuestro objetivo, tenemos más ancho de banda, tenemos redundancia (el Port-channel, que es el nombre del nuevo puerto lógico, seguirá arriba siempre que tenga al menos un link físico arriba, por lo que si cae uno, STP no se entera) y además me dará balanceo de carga, porque el propio protocolo se encarga de repartir los paquetes por los diferentes enlaces físicos.

etherchannel 2

Pero para ello tenemos que cumplir ciertas normas. Para poder usar esta tecnología tendremos que cumplir con los siguientes requisitos.

  • Los miembros del PortChannel tienen que tener la misma velocidad, tipo y config
  • Todos los miembros del Portchannel tienen que conectar contra el mismo equipo (o al menos que parezca)
  • Ambos extremos deben de tener una configuración idéntica (protocolo de negociación, config de puertos, etc)
  • Un puerto físico no puede ser miembro de varios PortChannels
  • Máximo grupos de 16 puertos (aunque solo habrá 8 activos)

Lo mejor es configurarlo cuando aún no hay nada puesto en los equipos físicos, y luego configuramos la interfaz PortChannel como si fuese un puerto más, su config se reflejará en los puertos físicos que lo componen, pero id con cuidado! Si configuráis algo en un puerto físico de forma individual, esto puede no reflejarse en el PortChannel, creando inconsistencias.

La configuración es sencilla, basta con entrar a las interfaces que formaran el nuevo PortChannel y poner el comando channel-group # mode modo, donde # será el identificador del nuevo Portchannel y el modo puede ser activo, pasivo, auto, desirable u on. ¿Pero qué significa cada modo? Si elegimos activo o pasivo, estamos usando LACP, si elegimos auto o desirable, usamos PAGP y si le decimos simplemente “on”, no usamos negociación, vamos directos. Como todo cable, este tendrá dos extremos, por lo que tanto configuraremos Etherchannel en los dos extremos respetando la siguiente tabla, donde “Yes” indica que combinaciones aceptarían levantar un PortChannel.

etherchannel 3

Como vemos en esta configuración, cogemos el puerto Ethernet1/1 y 1/2 y lo ponemos en “active” (LACP), tendríamos que poner la misma línea en Switch2, ya sea como “active” o como “passive”. Recordad que no podemos mezclar protocolos y el “on” solo funciona con “on”
etherchannel 4

Como podemos ver nos crea una interfaz llamada Port-Channel 1, la cual configuramos como una interfaz más.

etherchannel 5

Para verificar el estado de los portchannels, puedo utilizar el comando show etherchannel summary

Aquí vemos que tengo un solo portchannel con el identificador del grupo 1, este se encuentra “SU”, la S es que es de L2, si el equipo soportase podría hacerlos también de L3 y saldría una R, y la U quiere decir “In Use”, es decir, que funciona. Podemos ver que en protocolo aparece LACP, porque hemos configurado con el modo “active” y en Ports aparecen los puertos miembros, que se encuentran en “P”, que quiere decir que están en el Port-channel correctamente.
etherchannel 6

Y listo, con esto STP ya no nos bloqueará los puertos redundantes y además tendremos mejor métrica. En el próximo articulo profundizaremos un poco en como reparte el tráfico y algunas variantes de este protocolo.

 

04

LABORATORIOS REMOTOS DE CISCO

MIRA Telecomunicaciones ofrece sus servicios de Laboratorio remoto a otros Cisco Learning Partner a nivel mundial, nuestra maqueta a diario es usada por clientes de Asia, Oceanía, América, África y Europa. Proporcionamos un soporte 24/7 añadiendo valor a nuestros laboratorios. Los instructores pueden recrear escenarios de la vida real como OTV, Nexus 1kv, DCNM, VN-Link, VCD’s Multipath. Con el objetivo que los instructores se familiaricen con nuestro laboratorio, proporcionamos acceso previo de fin de semana con soporte técnico, lo que le permite conocer nuestra infraestructura de laboratorio, familiarizarse con el mismo y a través de nuestro soporte interactivo y dinámico resolver dudas sobre el desarrollo y comportamiento de los equipos.

Nuestra maqueta de Data Center es la primera a nivel peninsular que contiene la infraestructura, Storage, Computing con la versión actualizada para impartir la versión 5.0 de los cursos de UCS y Nexus. Que permite recrear cualquier escenario real requerido por nuestros clientes.

La maqueta permite llevar a cabo todas las formaciones de Nexus como: DCUFI, DCNX5K, DCNX7K, DCNX1K, DCUFD, DCUFT, DCICN, DCINX9K, DCICT, como también las formaciones de UCS: DCUCI, DCUCD, DCUCT, DCUCTS, DCUCS.

El servicio de Alquiler de Laboratorio de Data Center, ofrece contar con un instructor de forma personalizada para el desarrollo de las prácticas, este servicio se hace extensible en las pruebas de concepto, desayunos tecnológicos por medio del cual, tanto Partner como cliente final pueden contar con nuestra maqueta recreando así escenarios reales lo que les facilitaría la toma de decisiones frente a las nuevas soluciones para reforzar así sus inversiones tecnológicas.

Durante el año 2014 el laboratorio de Nexus, DCUFI, del CCNP de Data Center, fue el laboratorio más rentado por los Cisco Learning Partner de Asia, Oceanía, América, Europa y se constituye esta tecnología como el laboratorio estrella seguido por la tecnología de UCS, ambos integran los laboratorios que más se rentan por Cisco Learning Partner.

renta de laboratorios mery

porcentaje alquiler del laboratorios

01

Formación Live On Line e Híbridos de Cisco por MIRA Telecomunicaciones

Formación Live On Line e Híbridos de Cisco por MIRA Telecomunicaciones

Hoy quiero dedicar este post a la formación oficial de Cisco Live On Line, es decir la formación de forma remota, por sistema webex, no presencial, que cada día tiene más adeptos entre los ingenieros del mundo IT. Explicaré las pros y los contras que tiene frente a un curso presencial  y precisaré con números cual es el ahorro en costes que supone dicha formación.

En primer lugar, ¿sabíais que más del 25% de nuestros alumnos de MIRA Telecomunicaciones ya eligen este método y cada vez impartimos cursos híbridos (presencial y remoto al mismo tiempo)?

MIRA Telecomunicaciones imparte formación presencial habitualmente en Barcelona y Madrid así como en cualquier otro punto de España cuando se trata de grupos cerrados.

Durante el año 2014 aumento el porcentaje de alumnos que realizaron sus cursos Live On Line alrededor de un 25%, ya que las empresas con diferentes sucursales a nivel nacional prefieren aprovechar la misma convocatoria sin desplazar gente y sólo asisten de forma presencial aquellos que viven en la ciudad en la que se celebra el curso (Madrid o Barcelona).

¿Sabíais que el ahorro en costes supone más de un 60% del valor del curso?

Vamos a poner un ejemplo práctico: Un alumno quiere realizar un curso avanzado de Cisco que sólo se imparte en Madrid o Barcelona. Si te encuentras en una cuidad o pueblo a más de 150 kms de dichas ciudades, el coste medio de transporte, ya sea avión, coche o tren, es superior a 250€ ida y vuelta, de media. Si el curso es de 5 días, y tiene un horario de comienzo el lunes a las 9:00 significa que ya debes venir el día anterior (domingo). Los costes de hotel pueden salirte por 70€/noche. Es decir, unos 350€ por curso. Si añadimos transporte público, dietas,… fácilmente podemos hablar de unos costes superiores a los 750€.

¿En qué consiste el método Live On Line y qué necesitas?

Pues muy sencillo, solo necesitas un ordenador con micrófono/audio y una salida normalita a internet (10MB son más que suficientes). La conexión se realiza mediante el sistema Webex donde puedes hablar con el profesor, chatear, ver absolutamente los mismos contenidos que puedas ver si estas presencialmente,  realizar las mismas prácticas,…

Pros y contras de la formación Live On Line

Está claro que los pros están directamente relacionados con el ahorro de costes, la comodidad de poder recibir el curso oficial desde tu casa y el no perderte un domingo tarde con tu familia y amigos.

¿Y cuáles son los contras? Pues sólo hay uno y se trata del contacto humano con el profesor y el resto de alumnos. ¿Cómo suplimos esta carencia? Nuestros profesores hace años que imparten los cursos con este formato y saben en todo momento como hacer participar al alumno, como hacerle sentir parte de ese curso aunque esté en modo on line.

Realiza un curso oficial desde cualquier lugar del mundo y ahorra más de un 60% del precio del curso.

Actualidad: Desde el 1 hasta el 12 de junio estamos realizando el Contact Center Enterprise de forma híbrida para gente de Madrid y Barcelona, de forma simultánea.

Otras convocatorias disponibles:

CCNA VIDEO PART II: la semana del 22 de junio: Madrid y formato online

CCNA SEGURIDAD: la semana del 29 de junio: Madrid y formato online

CCNA FAST TRACK: la semana del 06 de julio: Barcelona y formato online

DCUFI: la semana del 13 de julio: Barcelona y formato online

DCUCI: la semana del 20 de julio: Barcelona y formato online

ROUTE: la semana del 20 de julio: Barcelona y formato online

zeusWebex1

06

Programa De Actualización Express Collaboration Specialization (ECS)

ECS

Cisco está anunciando una actualización emocionante para el Cisco® Express Collaboration Especialization (ECS). La cual permite a los partner ofrecer soluciones de colaboración de Cisco dirigido para el Cisco Business Edition 6000, Video y WebEx a un segmento de mercado de rápido crecimiento, ayudando a incrementar su rentabilidad. Los requisitos ECS se han actualizado, racionalizando y simplificado para mejorar la accesibilidad de los partners se centraron en el mercado medio.

Descarga el anuncio del programa completo para el partner de Canal en siguiente link   ECS-update-2015-06-02

 

 

02

Nuevas Versiones De BGP y MPLS Cursos Muy Pronto!

Ayude a sus clientes a construir BGP y MPLS habilidades para un rendimiento óptimo de la red.

Los cursos “Configuración de BGP en routers Cisco(BGP) y “La implementación de Cisco MPLS(MPLS) estarán disponibles hasta febrero de 2016.

Las nuevas versiones de estos cursos, que incluyen actualizados modelos de contenido y de laboratorio, técnicos estarán disponibles a finales de julio de 2015.

 

BGP_NH_2