Vision hacia el Futuro

Es tu oportunidad de conocer las nuevas plataformas de Cisco.

Acepta el Reto

El mundo de las redes cada vez requiere profesionales como tu, estas a tiempo aprovecha

Coorporacion Cisco System

Cisco te brinda la oportunidad de conocer mas de sus productos.

internet en el Mundo

Internet esta cada vez mas cerca de ti.

Nuevas Topologias de Red

Acepta el reto a las nuevos requerimientos del mercado.

lunes, 9 de febrero de 2015

lunes, febrero 09, 2015     No comments " Facebook

PROTOCOLO SPANNING TREE AVANZADO













Es un protocolo de capa 2 que nos permite mitigar loops a nivel de capa de enlace los diversos estados de puertos que toma son:
Root Port: El el único puerto de cada switch el cual tiene el mejor camino hacia el Root Bridge por lo que es idéntico a 802.1D. (por definición el Root Bridge no tiene puerto Root).
Designated Port: El puerto de switch en un segmento de red que tiene el mejor coste (root path cost) hacía el Root.
Alternate Port: Es un puerto que tiene un camino alternativo hacía el Root diferente del Root Port, por lo que es menos deseable (por ejemplo dos uplinks de un switch de acceso uno será el Root y el otro el Alternate).
Backup Port: Es un puerto que provee de redundancia (pero menos deseable) a un segmento donde ya hay otro enlace. (un switch puede o no tener un camino de backup).

RSTP define los estados de los puertos de acuerdo a lo que el puerto hace con las tramas entrantes. 
Los estados son:
Discarding: Las tramas entrantes son tiradas (dropped), por lo que no se aprenden MACs (en 802.1D sería una combinación de los estados Disabled, Blocking y Listening. 
Listening: No se necesita porque RSTP puede negociar rápidamente un cambio de estado sin escuchar primero las BPDUs).

Learning: Se tiran (dropped) las tramas entrantes , pero se aprenden MACs.
Forwarding: Se envían las tramas entrantes de acuerdo con la MACs aprendidas (y que se aprenden).

MANEJO DE BPDUs EN  RSTP
Ya que RSTP distingue sus BPDUs de los BPDUs de 802.1D pueden coexistir ambos. Cada puerto intenta funcionar de acuerdo al BPDU que recibe, por ejemplo cuando se recibe en un puerto una BPDU 802.1D empieza a funcionar de acuerdo a las reglas de 802.1D.

Tipos de puerto que existen:
Edge Port: Es un puerto en el extremo de la red donde se conecta solo un servidor. Es lo mismo que en STP un puerto PortFast que se mantiene el nombre para que sea familiar. Por definición este tipo de puerto no puede formar un bucle por lo que puede pasar directamente a Forwarding. Recordar que si se recibe una BPDU en un puerto Edge este puerto pierde su estado de Edge.
Root Port: Es el puerto que tiene mejor coste hacia el raiz y solo puede haber un puerto Root en cada switch (aunque puede haber caminos alternativos en otros puertos hacia el raiz, Alternate).
Point-to-Point Port: Cualquier puerto que se conecta a otro switch y se convierte en Designated Port. El estado del puerto lo decide un acuerdo rápido ente ambos switches en vez de que un temporizador expire.



Para participar en la convergencia RSTP un switch debe decidir el estado de cada uno de sus puertos. Los puertos que no son Edge empiezan en estado Discarding. Después de que los switches (cada uno con su vecino) intercambian BPDUs se puede identificar el Root Bridge. Si un puerto recibe una BPDU superior de un vecino ese puerto se convierte en Root Port.

RSTP detecta un cambio de topología solo cuando un puerto que no es Edge (nonedge) pasa su estado a Forwarding. Esto puede parecer extraño ya que un fallo de topología no se usa como desencadenante.

CONFIGURACION DE  RSTP

Para configurar un puerto como Edge usamos:
Switch(config-if)# spanning-tree portfast
Para forzar un puerto que actue como point-to-point usamos:
Switch(config-if)# spanning-tree link-type point-to-point


Rapid Per-VLAN spaning Tree Protocol
Para pasar a modo Rapid PVST+ (o RPVST+) usamos:
Switch(config)# spanning-tree mode rapid-pvst
Para designar y configurar un switch como root bridge primario usamos:
Switch(config)# spanning-tree vlan vlan-id root primary
Para designar y configurar un switch como root bridge secundario usamos:
Switch(config)# spanning-tree vlan vlan-id root secondary
Para verificar la configuración de un switch usamos:
Switch(config)# show spanning-tree vlan vlan-id

Multiple Spanning-Tree Protocol
Regiones MST
MST (IEEE 802.1s) es diferente de 802.1d y PVST+ aunque puede interoperar con ellos. Cada switch configurado con MST debe saber como están sus vecinos y para ellos todos los switches con MST se configuran en regiones, donde en cada región todos los switches con MST tiene los mismos parámetros.

MST define los siguientes atributos:
  • Nombre de la configuración MST (32 caracteres). Region name.
  • Número de revisión de la configuración MST (de 0 a 65535). Se debe configurar manualmente en todos los switches el mismo número.
  • Tabla con la relación entre instancia MST y la(s) vlan(s) (4096 entradas). Indica que instancia que vlans contiene o que vlan está en que instancia.
Si dos o más switches tiene los mismos atributos están en la misma región.

IST Instances
Dentro de una única región MST corre una instancia Internal Spanning Tree (IST) para que no haya bucle entre los enlaces CST se une con la frontera de la región y todo los switches dentro de la región. Debemos pensar en IST como un gran switch que se conecta a otro que usa CST.

Instancias MST
La idea detrás de MST es agrupar multiples VLANs a un número pequeño de instancias de STP. Dentro de una región las instancias MST coexisten con IST. Cisco soporta un máximo de 16 instancias MST (MSTI) que van desde el 1 al 15 siendo la 0 utilizada por IST. Por defecto todas la VLANs pertenecen a la instancia MST00.

Configuración MST
Para definir y configurar una región MST debemos seguir estos 7 pasos en cada uno de los switches que participen:
Activar MST en el switch:
Switch(config)# spanning-tree mode mst
Entrar en el modo de configuración de MST:
Switch(config)# spanning-tree mst configuration
Switch(config)# show current
El comando "show current" nos muestra como está actualmente la configuración.
Asignar un nombre de configuración a la región (hasta 32 caracteres):
Switch(config-mst)# name Nombre
Asignar un número de revisión de configuración (0 to 65,535):
Switch(config-mst)# revision version

Este número nos sirve a modo de seguimiento y cada vez que se haga un cambio en la configuración se debe incrementar en 1 manualmente y como la configuración dentro de una región debe coincidir en TODOS los switches debemos replicar este incremento en todos los switches de la misma región.

Mapear VLANs a una instancia MST:
Switch(config-mst)# instance instance-id vlan vlan-list

El parámetro instance-id (0 to 15) lleva información de la topología de las VLANs listadas, que podemos incluirlas con rangos (usando el guión) o separadas por comas. Resaltar que por defecto TODAS las VLANs van por la instancia 0, el IST.Mostrar los cambios que hemos realizado, es importante para verificar la configuración:
Switch(config-mst)# show pending
Salir del modo de configuración de MST que inmediatamente aplica los cambios y los hace activos:
Switch(config-mst)# exit
O podemos cancelar los cambios con este comando:
Switch(config-mst)# abort

Una vez activado y configurado MST, PVST+ se paran y el switch cambia a RSTP. Un switch NO puede operar a la vez MST y PVST+.

Seguir Leyendo

domingo, 8 de febrero de 2015

domingo, febrero 08, 2015     No comments " Facebook

GETVPN: GROUP ENCRYPTED TRANSPORT VIRTUAL PRIVATE
NETWORK



  •  Nueva generación de VPNs para WAN que no utiliza los tradicionales túneles punto a punto.
  • Se basa en un modelo de seguridad de miembros confiables. 
  • Los miembros de un grupo de GETVPN pueden comunicarse entre sí utilizando una política común, por lo que no es necesario la negociación de IPSec entre los GMs.
  • Escalable (conexión cualquier-a-cualquier)
  • Preserva la dirección IP de origen y destino en el encabezado del paquete.
  • Provee seguridad a conexiones WAN privadas.
  • Cifra tráfico sobre redes de MPLS.

 CONCEPTOS BASICO
GDOI. (Group Domain of Interpretation). Protocolo de ISAKMP utilizado para la administración de llaves. Se utiliza en la comunicación entre el KS y los GMs a través del puerto UDP 848.

Key Server. Controla y establece las Asociaciones de Seguridad (SAs.) Mantenimiento de las políticas y llaves del grupo. 

Group Member. Se registra con el Key Server para obtener las IPSEC SAs (Asociaciones de Seguridad) que son necesarias para cifrar el tráfico. 

KEK (Key Encryption Key). Cifra el mensaje de rekey entre el Key Server y los Group Members.
Tiempo de vida KEK. Al menos 3 veces el tiempo TEK. 

crypto gdoi group GDOI-GROUP1
server local
rekey lifetime seconds 86400 

TEK (Traffic Encryption Key). IPSEC SA utilizadas para la comunicación de los Group Members. 
• Tiempo de vida TEK. Valor recomendo: 2 horas: 
crypto IPSec profile profile1
set security-association lifetime seconds 7200

GETVPN utiliza los siguientes pasos: 

1. Registro del GM al Key Server
2. Autenticación del KS y envió de las políticas de cifrado (SAs) (KEK)
3. Envió de tráfico cifrado entre los GMs. (TEK)
4. Envió de Rekey (KEK)
CONFIGURACION DE KEY SERVER

Instalar llave RSA para el rekey. Ejemplo:
crypto key generate rsa modulus 1024 label REKEYRSA
Verificar el estado de la llave
show crypto key mypubkey rsa
Si se tendrá KS en modo cooperativo se debe hacer “exportable”.
crypto key generate rsa modulus 1024 label REKEYRSA exportable

REKEY (DISTRIBUCIÓN DE LAS LLAVES)
  • Sirve para el envío de políticas. 
  • El KS monitorea el tiempo de vida (lifetime) del SA, manda un rekey antes de que expire.
  • Las llaves se pueden distribuir de manera unicast o multicast. 
  • Multicast. Utilizado en una implementación grande. Es escalable pero requiere una infraestructura que soporte ruteo multicast. 
  • Unicast. El GM requiere confirmar de recibido al KS. 
REKEY (DISTRIBUICIÓN DEL LAS LLAVES)

Los siguientes cambios generarán un rekey por parte del Key Server.
  • Modificar la ACL del crypto 
  • Modificar el IPSec transform set. 
  • Cambiar el tipo de rekey (unicast a multicast viceversa). 
  • Cambiar la dirección multicast del rekey. 
  • Cambiar la llave RSA para el rekey. 
  • Modificar la configuración del perfil del crypto 
  • Habilitar o deshabilitar detección de anti-replay 
IMPLEMENTACIÓN DE GETVPN

Instalar los KS en sitios separados geográficamente.
  • Se puede utilizar rekey en unicast en implementaciones de hasta 2000 GMs. 
  • Usar certificados en lugar de llave pre-shared para mayor escalabilidad y seguridad.
  • Cuando existen más de 1000 GMs y políticas largas, los mensajes de rekey pueden ser muy grandes. En ocasiones se recomienda incrementar el tamaño del buffer en el KS (buffers huge size 64000) 
  • La red debe ser alcanzable entre los Key Servers y Group Members. 
  • El router CE (Customer Edge) debe tener el hardware de cifrado apropiado para manejar la cantidad de tráfico esperado. 
  • Si existe un firewall en el medio, verificar que no estén bloqueados los siguientes puertos: 
  • GDOI (UDP 848). 
  • ESP (IP 50). 
  • NTP y la Autoridad Certificadora (CA) deben ser alcanzables. 
  • Se puede balancear el registro entre los Key Server cambiando el órden en la Configuración del GMs. 
Se recomienda tener la configuración lo más reducida posible. 
  • Colocar entradas de permit y al final tener el deny any any implícito. 
  • No utilizar puertos para definir el ACL. 
  • Configurar entradas de deny y tener un permit any any. Existe un límite de 100, sin embargo, se ha visto problemas de rendimiento en configuraciones menores. 
  • Utilizar una configuración simétrica y sumarizar redes para evitar consumo de la memoria. 
  • Ejemplo: permit ip 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 
Con todo lo aprendido en el enunciado, ahora nos queda configurar la topología propuesta en un inicio.

 INICIAMOS CONFIGURANDO EL ROUTER KS.
crypto isakmp policy 100
 encr aes 256
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TS esp-aes 256 esp-sha-hmac
!
crypto ipsec profile PVPN
 set transform-set TS
!
crypto gdoi group VPN
 identity number 1000
 server local
  rekey algorithm aes 256
  rekey lifetime seconds 3600
  rekey retransmit 10 number 2
  rekey authentication mypubkey rsa KEYGET
  rekey transport unicast
  sa ipsec 10
   profile PVPN
   match address ipv4 FILTRAR_LAN
   replay counter window-size 64
  address ipv4 20.0.0.1
!
crypto map MY_GETVPN 10 gdoi
 set group VPN
!
interface FastEthernet0/0
 ip address 20.0.0.1 255.255.255.252
 duplex auto
 speed auto
 crypto map MY_GETVPN
!
router eigrp 10
 network 0.0.0.0
 no auto-summary
!
ip access-list extended FILTRAR_LAN

 permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255

CONFIGURACION DE ROUTER GM_01
crypto isakmp policy 100
 encr aes 256
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key cisco address 20.0.0.1
!
crypto ipsec transform-set TS esp-aes 256 esp-sha-hmac
!
crypto ipsec profile PVPN
 set transform-set TS
!
crypto gdoi group VPN
 identity number 1000
 server address ipv4 20.0.0.1
!       
crypto map MY_GETVPN 10 gdoi
 set group VPN
interface FastEthernet0/0
 ip address 10.0.0.1 255.255.255.252
 duplex auto
 speed auto
 crypto map MY_GETVPN
interface FastEthernet0/1
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto
router eigrp 10
 network 0.0.0.0

 no auto-summary

 CONFIGURACION DE ROUTER GM_02
crypto isakmp policy 100
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp key cisco address 20.0.0.1
!
crypto ipsec transform-set TS esp-aes 256 esp-sha-hmac
!
crypto ipsec profile PVPN
 set transform-set TS
!
crypto gdoi group VPN
 identity number 1000
 server address ipv4 20.0.0.1
!       
crypto map MY_GETVPN 10 gdoi
 set group VPN
!
interface FastEthernet0/0
 ip address 30.0.0.1 255.255.255.252
 duplex auto
 speed auto
 crypto map MY_GETVPN
!
interface FastEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 duplex auto
 speed auto
!
router eigrp 10
 network 0.0.0.0

 no auto-summary

 CONFIGURACION DE ROUTER CORE
interface FastEthernet0/0
 ip address 10.0.0.2 255.255.255.252
 duplex auto
 speed auto
interface FastEthernet0/1
 ip address 20.0.0.2 255.255.255.252
 duplex auto
 speed auto
interface FastEthernet1/0
 ip address 30.0.0.2 255.255.255.252
 duplex auto
 speed auto
!
router eigrp 10
 network 0.0.0.0

 no auto-summary

 Después de configurar los equipos ahora solo nos queda validar y probar el servicio:

 Verificamos que el tunel ISAKMP se encuentre dado de alta y que se encuentre en el estado GDOI_IDLE de igual menera verificaremos los GM.
KS#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
20.0.0.1        10.0.0.1        GDOI_IDLE         1061    0 ACTIVE
20.0.0.1        30.0.0.1        GDOI_IDLE         1062    0 ACTIVE
IPv6 Crypto ISAKMP SA



KS#
GM_01#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
20.0.0.1        10.0.0.1        GDOI_IDLE         1039    0 ACTIVE
10.0.0.1        20.0.0.1        GDOI_REKEY        1040    0 ACTIVE

IPv6 Crypto ISAKMP SA


GM_01#
GM_02#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
20.0.0.1        30.0.0.1        GDOI_IDLE         1038    0 ACTIVE
30.0.0.1        20.0.0.1        GDOI_REKEY        1039    0 ACTIVE

IPv6 Crypto ISAKMP SA


GM_02#
Hasta ahora todo va bien, solo nos queda verificar que el protocolo GDOI se encuentre funcionando, verificamos en los tres equipos.
KS#show crypto gdoi
GROUP INFORMATION

    Group Name               : VPN (Unicast)
    Group Identity           : 1000
    Group Members            : 2
    IPSec SA Direction       : Both
    Active Group Server      : Local
    Group Rekey Lifetime     : 3600 secs
    Group Rekey
        Remaining Lifetime   : 2150 secs
    Rekey Retransmit Period  : 10 secs
    Rekey Retransmit Attempts: 2
    Group Retransmit
        Remaining Lifetime   : 0 secs

      IPSec SA Number        : 10
      IPSec SA Rekey Lifetime: 3600 secs
      Profile Name           : PVPN
      Replay method          : Count Based
      Replay Window Size     : 64
      SA Rekey
         Remaining Lifetime  : 2151 secs
      ACL Configured         : access-list FILTRAR_LAN

    Group Server list        : Local
                               


KS#

 Seguimos verificando en los GM.
GM_01#show crypto gdoi
GROUP INFORMATION

    Group Name               : VPN
    Group Identity           : 1000
    Rekeys received          : 0
    IPSec SA Direction       : Both
    Active Group Server      : 20.0.0.1
    Group Server list        : 20.0.0.1
                              
    GM Reregisters in        : 2035 secs
    Rekey Received           : never


    Rekeys received         
         Cumulative          : 0
         After registration  : 0
    Rekey Acks sent          : 0

 ACL Downloaded From KS 20.0.0.1:
   access-list  permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255

KEK POLICY:
    Rekey Transport Type     : Unicast
    Lifetime (secs)          : 3599
    Encrypt Algorithm        : AES
    Key Size                 : 256    
    Sig Hash Algorithm       : HMAC_AUTH_SHA
    Sig Key Length (bits)    : 1024   

TEK POLICY:
  FastEthernet0/0:
    IPsec SA:
        sa direction:inbound
        spi: 0xD9893482(3649647746)
        transform: esp-256-aes esp-sha-hmac
        sa timing:remaining key lifetime (sec): (2096)
        Anti-Replay : Disabled

    IPsec SA:
        sa direction:outbound
        spi: 0xD9893482(3649647746)
        transform: esp-256-aes esp-sha-hmac
        sa timing:remaining key lifetime (sec): (2096)
        Anti-Replay : Disabled



GM_01#

GM_02#show crypto gdoi
GROUP INFORMATION

    Group Name               : VPN
    Group Identity           : 1000
    Rekeys received          : 0
    IPSec SA Direction       : Both
    Active Group Server      : 20.0.0.1
    Group Server list        : 20.0.0.1
                              
    GM Reregisters in        : 1996 secs
    Rekey Received           : never


    Rekeys received         
         Cumulative          : 0
         After registration  : 0
    Rekey Acks sent          : 0

 ACL Downloaded From KS 20.0.0.1:
   access-list  permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255

KEK POLICY:
    Rekey Transport Type     : Unicast
    Lifetime (secs)          : 3570
    Encrypt Algorithm        : AES
    Key Size                 : 256    
    Sig Hash Algorithm       : HMAC_AUTH_SHA
    Sig Key Length (bits)    : 1024   

TEK POLICY:
  FastEthernet0/0:
    IPsec SA:
        sa direction:inbound
        spi: 0xD9893482(3649647746)
        transform: esp-256-aes esp-sha-hmac
        sa timing:remaining key lifetime (sec): (2056)
        Anti-Replay : Disabled

    IPsec SA:
        sa direction:outbound
        spi: 0xD9893482(3649647746)
        transform: esp-256-aes esp-sha-hmac
        sa timing:remaining key lifetime (sec): (2055)
        Anti-Replay : Disabled



GM_02

 Como podemos observar que el protocolo GDOI esta funcionando de acuerdo a lo esperando.

 Solo queda probar conexión de LAN a LAN y con esto estaríamos dando por finalizado el ejemplo.
GM_01#ping 192.168.2.1 source 192.168.1.1 repeat 100 size 1500

Type escape sequence to abort.
Sending 100, 1500-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 96/174/244 ms

GM_01#
GM_02#ping 192.168.1.1 source 192.168.2.1 repeat 100 size 1500

Type escape sequence to abort.
Sending 100, 1500-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.2.1
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 116/173/240 ms

GM_02#

 Como te puede dar cuenta que la conexion de LAN a LAN se encuentra funcionando sin problemas.

y si somos mas exigentes con los datos esperados verificaremos si los paquetes van encryptados  eso lo verificaremos en el protocolo IPSEC.

GM_02#SHow  CRYpto ipsec sa

interface: FastEthernet0/0
    Crypto map tag: MY_GETVPN, local addr 30.0.0.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.0.0/255.255.0.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.0.0/255.255.0.0/0/0)
   current_peer  port 848
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 400, #pkts encrypt: 400, #pkts digest: 400
    #pkts decaps: 400, #pkts decrypt: 400, #pkts verify: 400
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 30.0.0.1, remote crypto endpt.:
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0

     current outbound spi: 0xD9893482(3649647746)
Eso es todo, logramos con el objetivo, mil gracias si tienen alguna duda no duden en ponerse en contacto con migo lo cual estaré gustoso respondiendo sus inquietudes

Seguir Leyendo