Olá Pessoal,

Segurança é um aspecto crítico na rede. Este tópico tem como objetivo mostrar a configuração básica e funcional do protocolo 802.1x, que existe para não permitir que qualquer usuário que veja um ponto de rede possa estar dentro dela.

Abaixo, segue um pequeno resumo deste protocolo. Mais detalhes podem ser encontrados neste link.

O que é o 802.1x? Um protocolo para autenticação port-based, utilizado entre um host e um servidor de autenticação (Radius), sendo que o switch atua como proxy.

Como funciona? A porta do switch começa no estado não-autorizado. Quando um usuário fica online, é requisitada a autenticação 802.1x (necessita de um software ou semelhante por parte do usuário). O switch passa a autenticação para o servidor radius. Se não for possível a autenticação, a porta fica no estado não-autorizado e não permite tráfego do usuário. Mesmo estando neste estado a porta permite trafegar: EAPOL (EAP-over-LAN), CDP e STP.

Como não possuo equipamentos reais para testar, e o Dynamips possui limitações, fiz uma tabela com cada um dos comandos necessários para esta configuração, bem como a explicação do efeito de cada um.

Um grande abraço,

Maurício.

Olá Pessoal,

Este post é dedicado a todos que, como eu, estão estudando para a prova BCMSN e tem um grande problema em mãos. Como praticar para esta prova (sem gastar com equipamentos)?

Encontrei uma solução que mesmo não sendo o estudando (nós) que digitamos os comandos, os resultados produzidos por eles são bem explicados.

Começarei desde o início… Antes de começar a estudar para o CCNP, baixei todo material que encontrei para todas as provas. Agora, ao revisar este material, encontrei o livro:

CCNP BCMSN - Portable Command Guide, por Scott Empson

Este livro apresenta um passo-a-passo comentado de todas configurações realizadas para os mais diversos cenários. É uma solução que não elimina a necessidade de praticar e fazer o troubleshooting, mas aproxima aluno do ambiente prático. Através deste livro, descobri que o Dynamips suporta o VTP (VLAN Trunking Protocol) através do modo deprecated Vlan Database.

Na minha opinião, a única carência neste livro é a falta do resultado dos comandos show e debug. Mas, aliando o Dynamips com este guia, o seu nível prático de estudo para a certificação será melhorado consideravelmente.

Abaixo, apresento uma topologia contida no livro na qual sua configuração é detalhada por completo.

Este livro eu encontrei pela primeira vez no HD do blog do Marco Filippetti, mas disponibilizei no HD do Blog como um mirror, na pasta Livros.

Um grande abraço pessoal,

Maurício.

Olá Pessoal,

Dando continuidade a meus estudos sobre protocolos que permitam a alta disponibilidade, fiz um laboratório com o protocolo HSRP (Hot standby Router Protocol). Além de todos os aspectos comentados sobre este protocolo no post sobre Resumo de Protocolos de Alta Disponibilidade, este laboratório contempla ainda: interface tracking, preempting, mudança nos timers.

A configuração do HSRP é bastante simples, mas são necessários alguns comandos a mais para executar a contento. Abaixo, seguem os passos utilizados para a configuração do gateway principal, o R0 no diagrama.

1. standby 1 ip 192.168.1.1 - Este comando define o endereço IP de standby, o endereço virtual.
2. standby 1 priority 200 - Como este roteador será o gateway principal, a prioridade é elevada (default é 100).
3. standby 1 timers 1 4 - Queremos que a convergência seja mais rápida quando ocorrer uma falha, por isso reduzimos os hello e dead timers (default é 3 / 10).
4. standby 1 track FastEthernet0/0 60 - Com este comando, ativamos o interface tracking. Se a interface FastEthernet 0/0 for para o estado down, a prioridade deste roteador é reduzida em 60, fazendo com que o roteador R1, configurado com prioridade 150 e preempting, assuma o papel de gateway.
5. standby 1 preempt delay minimum 10 reload 30 - Este último comando é bastante interessante. Se a interface FastEthernet 0/0 for para down ou o roteador ser desligado, quando algum dos dois voltar, a priorirdade será 200 e o roteador como está configurado com o preempting ele assumirá o papel de ativo, tornando-se o gateway. Mas, foram passados parametros para que quando ele tiver a prioridade mais alta (em seu retorno) ele espere um mínimo de 10 segundos para assumir como gateway, e 30 segundos se ele tiver sido reiniciado. Desta maneira, informações de protocolos de roteamento podem ser reaprendidas antes mesmo dele assumir o papel de gateway na rede.

A topologia utilizada para o laboratório é a seguinte (ressalto que o PC1 foi utilizado um roteador configurado com no ip routing).

Na figura abaixo, é possível verificar o momento em que ocorre a mudança de gateway. Foi dado o comando shutdown na interface F0/0 de R0, o tracking entrou em funcionamento reduzindo a prioridade para 140, R1 como está configurado para preempt, verificou que sua prioridade é maior, então assumiu o papel do gateway. Com os timers alterados, foram perdidos apenas 3 pacotes icmps nesta mudança.

Os roteadores utilizam a IOS c3620-os-mz.123-15, disponível no HD do blog. A configuração final está salva na NVRAM, se você quiser configurar do zero, os arquivos txt contêm a configuração básica, como IP e senhas. Segue o link para download do laboratório.

Laboratório HSRP - Alta disponibilidade com tracking de interfaces e modificação de timers

Desejo a todos um ótimo final de semana.

Um grande abraço,

Maurício Bento Ghem.

Olá pessoal,

Conforme progredi em meus estudos, decidi testar alguns comandos no Dynamips para ver o que ele suporta de fato, ao utilizar o módulo NM-16ESW que permite ao roteador exercer funções de switch.

Este módulo é utilizado, pois o Dynamips não suporta IOSs de Switches, apenas de roteadores. Então, o workaround que se faz é conectar um módulo que permite funções de switching :D.

Enquanto escrevo este post, estou finalizando a leitura da segunda etapa do livro oficial Cisco Press, descrito na minha metodologia de estudos. Neste momento, tomei a liberdade de começar a testar diversos comandos, mesmo os que eu ainda não vi, para ver até onde é possível praticar e aprender com o Dynamips para a BCMSN.

Percebi que os comandos suportados são os mesmos que o módulo descrito anteriormente suporta. Os conceitos que pude verificar numa análise superficial são: spanning-tree (faltam PVST, PVST+ e outros), bpduguard, voice VLANs, errdisable (para alguns atributos) e etherchannel. Ressalto que não estudei por completo a parte de L3-switching e muito mais.

Por fim, gostaria de deixar a tabela disponibilizada no link abaixo que apresenta as features suportadas por este módulo.

http://www.cisco.com/en/US/prod/collateral/routers/ps259/product_data_sheet09186a00801aca3e.html

Um grande abraço,

Maurício.

Olá Pessoal,

Durante esta tarde, formulei minha metodologia de estudos que utilizarei para me preparar para a prova BCMSN (Building Converged Cisco Multilayer Switched Networks), 642-812. Esta será a segunda prova necessária para a obtenção da certificação CCNP, sendo que a primeira que fiz foi a BSCI. As próximas provas que farei serão, respectivamente, ISCW e ONT.

Materiais utilizados:

• 642-812 BCMSN 4th Edition, por David Hucaby. CiscoPress
• CBT Nuggets da BCMSN
• GNS3/Dynamips

Segue abaixo a metodologia.

1. Estruturar por áreas de conhecimento o conteúdo da prova. Uma separação boa é a utilizada no livro do David Hucaby.
2. Olhar o vídeo do CBT Nuggets referente a área a ser aprendida.
3. Ler de maneira superficial o capítulo para verificar os temas assistidos no vídeo.
4. Repetir os passos 2 e 3 até completar todo o conteúdo.
5. Tentar praticar alguns conceitos relevantes no Dynamips.
6. Ler todo o livro de maneira detalhada.
7. Fazer laboratórios dos temas importantes.
8. Realizar simulados para obter feedback do conhecimento.
9. Baseado no feedback praticar ou estudar mais. Materiais externos devem ser priorizados por credibilidade.
10. Repetir passo 9, e esporadicamente o 8 até obter a segurança no estudo.

Dica Extra 1: Após a leitura detalhada do livro, e início da prática, toda dúvida que surgir deverá ser sanada.

Dica Extra 2: Para a BSCI eu fiz um TXT que continha todas minhas dúvidas, elas respondidas e outras informações que eu sentia que precisavam ser fixadas. Façam isso! É uma ótima maneira de fixar alguma coisa, visto que a quantidade de conteúdo é imensa.

Seguindo esta metodologia pretendo otimizar meu tempo e aprendizado. Este método é baseado nas experiências anteriores que tive com as outras provas.

Um grande abraço pessoal e sucesso a todos.

Maurício Bento Ghem.

Olá pessoal,

No post anterior eu informei que havia passado na BSCI e me prontifiquei a detalhar um pouco mais da jornada que eu tive até a obtenção desta certificação.

Primeiro, meu resultado na BSCI foi:

Nota: 911 / 1000

Corte: 790

Questões: 61

Tempo: 2 horas.

ScoreCard:

• Implement EIGRP operations: 88%
• Implement multiarea OSPF operations: 80%
• Describe Integrated IS-IS: 85%
• Implement Cisco IOS routing features: 100%
• Implement BGP for enterprise ISP connectivity: 90%
• Implement multicast forwarding: 100%
• Implement IPv6: 62%

Confirmo o que muitos dizem, a BSCI é difícil! Garanto a todos que se a minha preparação não fosse tão boa, não passaria na prova. Diferentemente da CCNA, a BSCI tem muito mais questões que faz você pensar. Na minha prova caiu todo o conteúdo estudado. Não lembro de nada que não caiu.

Os laboratórios que caíram em minha prova foram os seguintes:

• Troubleshooting de uma configuração de Virtual-Link em OSPFv3;
• Redistribution bidirecional de IS-IS e EIGRP;
• Outro que não me recordo…

As questões foram das mais diversas, por isso ressalto a todos:

Estudem e Aprendam, pois se não fizerem isto (e tentar a sorte por braindumps) poderão não ser ótimos profissionais e não passarão na certificação, pois esta prova, especialmente,  é Hardcore!

Cada segundo da minha jornada de estudos valeu a pena, pois tudo me agregou conhecimento. Agora, falarei um pouco de como foi minha preparação.

Para a BSCI, não tinha feito nenhum plano de estudos - coisa que farei para a BCMSN para otimizar o tempo - mas  meu estudo foi de 24/03/2009 (um dia depois da aprovação do CCNA) até 30/05/2009 (2 dias antes de ser aprovado na BSCI) e seguiu da seguinte maneira:

1. Assisti a todos os vídeos do CBT Nuggets, por Jeremy Cioara (disponível no HD do Blog).
2. Fiz um overview do livro oficial da CiscoPress, por Brent Stewart (disponível no HD do Blog).
3. Comecei a tentar praticar alguns laboratórios, mas vi que faltava alguma coisa.
4. Li detalhadamente todo o livro do Brent Stewart, ao longo da leitura fui praticando laboratórios para cada um dos capítulos que passava.
5. Após a conclusão do livro, iniciei minha longa jornada em laboratórios. Fiz laboratórios de tudo que caía na BSCI, muitas vezes misturando 2 ou 3 áreas de conhecimento para observar a convergência dos protocolos em  conjunto.
6. Comecei a resolver questões de simulados para identificar meus pontos fracos.
7. Identificado estes pontos fracos, reli o capítulo do livro, pratiquei com laboratórios deste tema e quando estava bastante seguro quanto ao conteúdo fiz um simuladão de toda esta área de conhecimento.
8. Fiquei alternando entre os passos 6,7,8 até 1 semana antes do dia da prova.
9. Nesta última semana relaxei, pois estava com a sensação que poderia ter feito uma semana antes. Mas, revisei o que não estava 100% seguro (Multicast) e 2 dias antes da prova encontrei um texto chamado BSCI QuickSheat que foi bastante interessante para ver todo o conteúdo da prova como um overview geral.
10. Um dia antes da prova, relaxei e não vi nada do conteúdo nem de anotações.

Dicas Extras: Sempre mantenha um TXT de anotações! Quando você tiver uma dúvida coloque-a neste TXT. Quando você tiver uma informação que é nova para você anote-a no TXT. Desta maneira, você terá um arquivo compilado de informações e poderá acompanhar todo seu progresso, e se na evolução de seu estudo você tiver uma dúvida que diz respeito ao que você já estudou, você terá anotado no TXT.

Pessoal, por hora é isto. Espero poder ter contribuído bastante, e agora rumo a BCMSN. Nesta semana elaborarei um plano de estudos e estarei publicando no blog para você acompanharem.

Um forte abraço e sucesso a todos nós.

Maurício Bento Ghem

Olá pessoal,

É com muito prazer que gostaria de comunicar que hoje (01/jun/2009) às 09:00 Passei na BSCI (642-901), uma das quatro provas que compõem o CCNP.

Como estou sem computador no meu curso, posteriormente farei um comentário mais extendido falando o que caiu, o que estudei e considerações gerais sobre a prova.

Próximo passo, BCMSN (Building Converged Cisco Multilayer Switched Networks), 642-812.

Um grande abraço e sucesso a todos nós,

Maurício Bento Ghem.

Rumo ao CCNP!

Olá Pessoal,

Estudando Multicast para a BSCI me deparei com algumas questões que pedem por determinados endereços multicast associados com suas aplicações. Segue abaixo uma tabela sucinta dos endereços relevantes que eu tomei conhecimento ao longo de meus estudos, aliado com alguns requisitados nas questões de estudo.

Referência:

- IANA, IPv4 Multicast Addresses <http://www.iana.org/assignments/multicast-addresses/>. Acesso em 23/maio/2009.

Um grande abraço e sucesso a todos.

Maurício Bento Ghem

Olá Pessoal,

Quem acompanha os comentários no blog do Marco Filippetti deve ter notado que eu falei ter marcado a prova BSCI. Agora, estou tornando oficial:

Prova marcada para 1/junho/2009, 09:00.

Estou aprimorando meus conhecimentos até esta data para me sentir mais seguro para sua realização. Quando eu passar terei estudado 2 meses e 1 semana. Se seguir esta média até o final do ano será possível atingir minha meta de obter o CCNP até dezembro.

Muitos falam que a BSCI é a prova mais difícil, e eu ainda não sei hehehhe. Mas, o conteúdo é um pouco complicado no início, mas depois que você ‘pega a manha’, pratica e estuda os laboratórios você entende perfeitamente tudo o que estava escrito nos livros. Também, é possível que por roteamento ser minha área preferida no mundo de redes eu aprendi com prazer.

Se as próximas 3 provas tiverem conteúdos interessante como o da BSCI será um prazer estudar e APRENDER, para no fim obter o CCNP e comprovar o conhecimento sedimentado.

Desejem-me calma e serenidade para este dia, pois a sorte – acredito eu – é necessária apenas para quem não está preparado em sua totalidade.

Um abração,

Maurício Bento Ghem.

Olá Pessoal,

Fiz este resumo sobre pontos mais importantes do IPv6 para ser didático, compreensível e objetivo. O nível de abrangência deste resumo ficaria num ponto intermediário entre as certificações CCNA e BSCI. Segue abaixo.

IPv6

- Foi adicionado diversas funcionalidades se comparado com o IPv4, tais como: 128 bits para endereçamento (IPv4 apenas 32), segurança (através de extension headers), técnicas para transição de IPv4 para IPv6, QOS embebbed (direto no  header), autoconfiguration (permite um host obter um endereço IP sem ter que rodar um DHCP na rede) e mobilidade IP.

- O endereço IPv6 possui 128 bits e é dividido em 8 ’sextetos’, cada um com 16 bits.

- O Header (incluindo IPs de origem e destino) possui 320 bits, sem as extensões - apresentado abaixo.

- IPv6 não possui o campo checksum (e nem o realiza) por considerar que o controle de erros das camadas inferiores é confiável.

- IPv6 não usa broadcast, e sim multicast. Um broadcast poderia ser simulado enviando um multicast para o endereço All-nodes, escopo Link-local (FF02::1).

- Endereço de Loopback - ::1/128 (IPv4 = 127.0.0.1). Endereço default-route - ::0/0 (IPv4 = 0.0.0.0/0).

- EUI-64: formato derivado do MAC-address utilizado para se atribuir endereços Link-Local. É pego o MAC address (48 bits), inserido o número hexadecimal FFFE no meio dele e modificado os primeiros 2 bits (de 00 para 20), portanto o MAC 00eb.1234.3322 no formato EUI-64 ficaria: 02eb:12ff:fe34:3322. Enfim, agregando o prefixo para endereços Link-local teríamos: FE80::02eb:12ff:fe34:3322.

- Tipos de endereços IPv6:

• Global Unicast: Identifica um host único na Internet. Serão atribuidos prefixos para cada organização (48 bits ou menos), como visto na figura. A IANA definiu o prefixo para estes prefixos como 2000::/3.
• Link-Local: Cada interface recebe um destes endereços. É utilizado para os dispositivos na mesma rede se comunicarem sem ter de utilizar o endereço Global Unicast. Utilizam o Prefixo FE80::/10 + o formato EUI-64.
• Site-local. Endereço único dentro do escopo da organização, não roteável na Internet. Prefixo: FEC0::/10.

- Multicast: Identificado pelo prefixo FF00::/8. Os próximos 4 bits são flags, e os outros 4 próximos definem o escopo do Multicast (apresentados abaixo). Ao lado, é apresentado um esquema da abrangência dos escopos.

• 1 = Interface-local.
• 2 = Link-local.
• 5 = Site-local.
• 8 = Organization-local.
• E = Global.

- Anycast: Um endereço Global Unicast atribuido a mais de um dispositivo, definido-o como anycast. Tem como função rotear para o dispositivo anycast mais próximo. Veja abaixo.

- Hosts Ipv6 devem responder pelo menos nos seguintes endereços:

• Global Unicast e Anycast (2000::/3)
• Link-local (FE80::/10, por autoconfiguration
• Loopback (::1/128)
• All-nodes Multicast (FF01::1 e FF02::1)
• Outro grupo multicast atribuido.

- Roteadores, além de responder neste endereços devem ainda responder em:

• Endereço Anycast da subrede (endereço da subrede com o Interface ID - endereço do host - setado em 0)
• All-routers Multicast (FF01::2, FF02::2, FF05::2)
• Grupos de multicast definidos por protocolos de roteamento (se aplicável). EIGRP for IPv6: FF02::10, OSPFv3: FF02::5 (todos Routers) e FF02::6 (apenas DR e BDR).

- As principais formas de transição do IPv4 para IPv6 pode ser feita através do Dual Stack (rodar ambos IPv4 e IPv6 até não ter mais necessidade de IPv4) e Tunelamento (encapsular o pacote IPv6 dentro de um pacote IPv4 - figura). Para o tunelamento é previsto o prefixo 2002::/16.

Referências

- CCNP BSCI Official Exam Certification Guide 4th edition, por Brent Stewart. CiscoPress

- CCNA 4.1 Guia Completo de Estudo, por Marco Filippetti. Visual Books

- CertProject, imagem do header IPv6.

- Cisco IOS IPv6 Multicast Introduction - MT BOM.

- RFC 3513 Internet Protocol Version 6 (IPv6) Addressing.

Gostaria de dedicar apoio especial a todos que estarão se certificando ao longo do mês de junho.

Um grande abraço,

Maurício Bento Ghem.