quarta-feira, 30 de setembro de 2015

Rotas flutuantes no Mikrotik

Bom pessoal, acredito que a maioria dos analistas de redes já trabalharam ou irão trabalhar com Mikrotik pelo menos por um tempo, então resolvi postar  como criar rotas flutuantes na caixinha.

 - Primeiramente vamos entender um pouco do conceito de rotas flutuantes que nada mais é que a utilização de um mecanismo de verificação (Cisco-IPsla,Huwaei-NQA, MKT-Netwatch etc) em cima de rotas estáticas para verificar o seu alcance (reachability) e o seu estado, para isso esse verificador utiliza diversos métodos de validação da rota (ICMP, threshold, timeout, jitter etc) e interligado a essa validação é criada também uma ação (Cisco-track, scripts etc) que caso a rota estática esteja ativa toma-se uma ação (geralmente se mantém essa rota como principal) e quando esta inativa toma-se outra ação (mudança de AD, ou prioridade para a rota backup).

No Mikrotik como falei acima, ele utiliza o Netwatch para verificar o estado da rota e scripts para realizar as trocas.

OBS.para se conectar no MKT eu utilizo o Winbox, mas ele também pode ser acessado via http.

1º Acesse o menu da barra lateral IP/Routes e verifique se as rotas que você irá utilizar estão corretas, veja o exemplo:


2º Agora abra o menu da barra lateral Tools/Netwatch, observe que não há nada configurado ainda, clique na cruz vermelha (imagem abaixo) que irá abrir uma tela para que você coloque os parâmetros da verificação que são:
- Host = IP que será pingado;
- Interval = intervalo entre os pings (o padrão é de 1 minuto, porém é melhor colocar um valor menor, coloquei 10 segs);
- Timeout = o tempo em que o MKT irá esperar a resposta do ping (em milesegundos) para validar se o link está ok ou não;
- Aba UP e Down = essa aba é importante pois o script que será criado a seguir irá utilizar esses parametros para tomar a decisão se o link está UP ou Down (obs. esse campo é case sensitive cuidado);




3º Após configurar as verificações nos seus links, acesse a aba System/Scripts no menu lateral e lá você criará a ação a ser tomada caso o link esteja UP ou Down, primeiro vamos criar uma verificação em um link UP:
- Clique na cruz azul para adicionar um novo script, de um nome a ele;
- Verifique as permissões de policy que o script terá;
- Agora adicione o Source: que na verdade é onde colocamos as ações a serem tomadas caso o link esteja UP:


explicando o exemplo que coloquei de script:

1º verificação (3 primeiras linhas) ele valida se a rota default 0.0.0.0/0 com saída para o gateway X.X.163.2 está na sua tabela de roteamento (/ip route find) e que fique habilitada (disable=no);
2º verificação (linhas 4, 5 e 6) verificação igual a de cima porém para uma rota especifica (X.X.0.0/24)
3º verificação (últimas 3 linhas) igual a primeira verificação, porém ao invés de deixar a rota habilitada, ele seta a distancia administrativa para 1 (distance=1)

obs. as últimas linhas não são necessárias, coloquei como exemplo de como utilizar os scripts;

4º Agora repita o processo de criação do script UP para o script Down porém ao invés de colocar o parâmetro "disable=no" coloque "disable=yes', pois caso o link caia, o MKT rodará o script e irá desabilitar a rota ao invés de mante-la:


5º Abra novamente o Netwatch e clique na flecha de enable para verificar se os scripts estão funcionando:


6º Teste a queda dos links e verifique se o Netwatch fica em estado de Down, se o script foi executado e se as rotas são desabilitadas conforme a imagem:



Segue um link com diversos tipos de scripts e a explicação de como criar scripts mais complexos:


Abraços pessoal

sexta-feira, 25 de setembro de 2015

Congresso de T.I. terceira edição


Bom pessoal, de 05 a 09 de outubro acontece a terceira edição do congresso de T.I., um evento com diversas palestras de diversas áreas voltadas para o público de T.I.

O congresso é realizado online e totalmente gratuito,vale a pena conferir, segue alguns dos palestrantes:



Para se cadastrar e para mais informações acesse:

http://congressodeti.com.br/

Abraços

quinta-feira, 17 de setembro de 2015

Novas provas do CCDA e CCDP


Bom pessoal, a Cisco acaba de alterar a sua track de design para as certificações CCDA Design e CCDP Arch.

As principais mudanças na prova do CCDA são mais foco na escalabilidade e resiliência da rede, além da adição de virtualização e o conceito de arquiteturas programáveis, já a Arch está adicionando escalabilidade e design em redes IS-IS, migrações para IPv6, QoS, SDN e virtualização de datacenters.
 
Blueprint CCDA:

Designing for Cisco Internetwork Solutions (200-310)

15% 1.0 Design Methodologies
1.1 Describe the Cisco Design lifecycle – PBM (plan, build, manage)
1.2 Describe the information required to characterize an existing network as part of the
planning for a design change
1.3 Describe the use cases and benefits of network characterization tools (SNMP, NBAR,
NetFlow)
1.4 Compare and contrast the top-down and bottom-up design approaches

20% 2.0 Design Objectives
2.1 Describe the importance and application of modularity in a network
2.2 Describe the importance and application of hierarchy in a network
2.3 Describe the importance and application of scalability in a network
2.4 Describe the importance and application of resiliency in a network
2.5 Describe the importance and application of concept of fault domains in a network

20% 3.0 Addressing and Routing Protocols in an Existing Network
3.1 Describe the concept of scalable addressing
3.1.a Hierarchy
3.1.b Summarization
3.1.c Efficiency
3.2 Design an effective IP addressing scheme
3.2.a Subnetting
3.2.b Summarization
3.2.c Scalability
3.2.d NAT
3.3 Identify routing protocol scalability considerations
3.3.a Number of peers
3.3.b Convergence requirements
3.3.c Summarization boundaries and techniques
3.3.d Number of routing entries
3.3.e Impact of routing table of performance
3.3.f Size of the flooding domain
3.3.g Topology
3.4 Design a routing protocol expansion
3.4.a IGP protocols (EIGRP, OSPF, ISIS)
3.4.b BGP (eBGP peering, iBGP peering

20% 4.0 Enterprise Network Design
4.1 Design a basic campus
4.1.a Layer 2/Layer 3 demarcation
4.1.b Spanning tree
4.1.c Ether channels
4.1.d First Hop Redundancy Protocols (FHRP)
4.1.e Chassis virtualization
4.2 Design a basic enterprise network
4.2.a Layer 3 protocols and redistribution
4.2.b WAN connectivity
4.2.b(i) Topologies (hub and spoke, spoke to spoke, point to point, full/partial
mesh)
4.2.b(ii) Connectivity methods (DMVPN, get VPN, MPLS Layer 3 VPN, Layer 2
VPN, static IPsec, GRE,VTI)
4.2.b(iii) Resiliency (SLAs, backup links, QoS)
4.2.c Connections to the data center
4.2.d Edge connectivity
4.2.d(i) Internet connectivity
4.2.d(ii) ACLs and firewall placements
4.2.d(iii) NAT placement
4.3 Design a basic branch network
4.3.a Redundancy
4.3.a(i) Connectivity
4.3.a(ii) Hardware
4.3.a(iii) Service provider
4.3.b Link capacity
4.3.b(i) Bandwidth
4.3.b(ii) Delay

25% 5.0 Considerations for Expanding an Existing Network
5.1 Describe design considerations for wireless network architectures
5.1.a Physical and virtual controllers
5.1.b Centralized and decentralized designs
5.2 Identify integration considerations and requirements for controller-based wireless
networks
5.2.a Traffic flows
5.2.b Bandwidth consumption
5.2.c AP and controller connectivity
5.2.d QoS
5.3 Describe security controls integration considerations
5.3.a Traffic filtering and inspection
5.3.b Firewall and IPS placement and functionality
5.4 Identify traffic flow implications as a result of security controls
5.4.a Client access methods
5.4.b Network access control
5.5 Identify high-level considerations for collaboration (voice, streaming video, interactive
video) applications
5.5.a QoS (shaping vs. policing, trust boundaries, jitter, delay, loss)
5.5.b Capacity
5.5.c Convergence time
5.5.d Service placement
5.6 Describe the concepts of virtualization within a network design
5.7 Identify network elements that can be virtualized
5.7.a Physical elements (chassis, VSS, VDC, contexts)
5.7.b Logical elements (routing elements, tunneling, VRFs, VLANs)
5.8 Describe the concepts of network programmability within a network design
5.8.a APIs
5.8.b Controllers
5.8.c Application Centric Infrastructure (ACI)
5.9 Describe data center components
5.9.a Server load balancing basics
5.9.b Blocking vs. non-blocking Layer 2
5.9.c Layer 2 extension

CCDP Arch blueprint:

Designing Cisco Network Service Architectures (300-320)

22% 1.0 Advanced Addressing and Routing Solutions for Enterprise Networks
1.1 Create structured addressing designs to facilitate summarization
1.1.a Hierarchy
1.1.b Efficiency
1.1.c Scalability
1.1.d NAT
1.2 Create stable, secure, and scalable routing designs for IS-IS
1.3 Create stable, secure, and scalable routing designs for EIGRP
1.4 Create stable, secure, and scalable routing designs for OSPF
1.5 Create stable, secure, and scalable routing designs for BGP
1.5.a Transit prevention
1.5.b Basic route filtering
1.5.c Authentication
1.5.d Communities
1.5.e Basic traffic engineering (load distribution, creating path symmetry)
1.5.f Route reflectors
1.6 Determine IPv6 migration strategies
1.6.a Overlay (tunneling)
1.6.b Native (dual-stacking)
1.6.c Boundaries (IPv4/IPv6 translations)

20% 2.0 Advanced Enterprise Campus Networks
2.1 Design for high availability
2015 Cisco Systems, Inc. This document is Cisco Public. Page 2
2.1.a First Hop Redundancy Protocols
2.1.b Device virtualization
2.2 Design campus Layer 2 infrastructures
2.2.a STP scalability
2.2.b Fast convergence
2.2.c Loop-free technologies
2.3 Design multicampus Layer 3 infrastructures
2.3.a Convergence
2.3.b Load sharing
2.3.c Route summarization
2.3.d Route filtering
2.3.e VRFs
2.3.f Optimal topologies
2.4 Design a network to support network programmability
2.4.a Describe Application Centric Infrastructures (ACI)
2.4.b Select appropriate controller to meet requirements
2.4.c Identify and address key security issues with network programmability

17% 3.0 WANs for Enterprise Networks
3.1 Compare and contrast WAN connectivity options
3.1.a Dynamic Multipoint VPN (DMVPN)
3.1.b Layer 2 VPN
3.1.c MPLS Layer 3 VPN
3.1.d IPsec
3.1.e Generic Routing Encapsulation (GRE)
3.1.f Private lines
3.2 Design site-to-site VPNs
3.2.a DMVPN
3.2.b Layer 2 VPN
3.2.c MPLS Layer 3 VPN
3.2.d IPSec
3.2.e Group Encrypted Transport VPN (GETVPN)
3.3 Design for a resilient WAN strategy
3.3.a Single-homed
3.3.b Multi-homed
3.3.c Backup connectivity
3.3.d Failover
3.4 Design Extranet connectivity
3.4.a VPN
3.4.b Private lines
3.4.c Multitenant segmentation
3.5 Design Internet edge connectivity
3.5.a DMZ
3.5.b NAT
3.5.c Proxy functionality
3.5.d Resiliency
3.5.e Basic traffic engineering techniques (outbound/inbound load distribution,
active/failover, symmetric outbound traffic flows)

17% 4.0 Enterprise Data Center Integration
4.1 Describe a modular and scalable data center network
4.1.a Top-of-rack
4.1.b End-of-row
4.1.c Multitenant environments
4.1.d Multitier topologies
4.2 Describe network virtualization technologies for the data center
4.2.a VPC
4.2.b VSS
4.2.c VDCs
4.2.d VRFs
4.2.e Multichassis EtherChannel
4.2.f VXLAN
4.2.g TRILL / Fabric Path
4.3 Describe high availability in a data center network
4.3.a VPC
4.3.b VSS
4.3.c Multichassis EtherChannel
4.4 Design data center interconnectivity
4.4.a OTV
4.4.b Private Line
4.4.c L2 vs. L3
4.4.d VPLS
4.4.e A-VPLS
4.5 Design data center and network integration
4.5.a Traffic flow
4.5.b Bandwidth
4.5.c Security
4.5.d Resiliency

13% 5.0 Security Services
5.1 Design firewall and IPS solutions
5.1.a Modes of operation
5.1.b Clustering
5.1.c High availability techniques
5.1.d IPS functionality and placement
5.1.e Multiple contexts
5.2 Design network access control solutions
5.2.a 802.1x
5.2.b TrustSec
5.2.c EAP
5.2.d Authentication services
5.2.e RBAC
5.2.f Basic denial of service mitigation techniques
5.3 Design infrastructure protection
5.3.a Infra structure ACLs
5.3.b CoPP
5.3.c Layer 2 / Layer 3 security considerations

11% 6.0 Network Services
6.1 Select appropriate QoS strategies to meet customer requirements
6.1.a DiffServ
6.1.b IntServ
6.2 Design end-to-end QoS policies
6.2.a Classification and marking
6.2.b Shaping
6.2.c Policing
6.2.d Queuing
6.3 Describe network management techniques
6.3.a In-band vs. out-of-band
6.3.b Segmented management networks
6.3.c Prioritizing network management traffic
6.4 Describe multicast routing concepts
6.4.a Source trees, shared trees
6.4.b RPF
6.4.c Rendezvous points
6.5 Design multicast services
6.5.a SSM
6.5.b PIM bidirectional
6.5.c MSDP

Bom galera, é o SDN  entrando de vez até nas certificações.

Obs. As provas ficaram disponíveis desde o dia 15/09.

Abraços

terça-feira, 15 de setembro de 2015

Galáxias BGP


Galera, sem ter muito o que fazer, acabei encontrando o site do Job Snijder que criou uma galáxia 3D com todas os peers BGP (IPv4 e 6), achei muito bacana kkkk vale a pena tentar encontrar alguns conhecidos tipo o da Level3 encontrado na imagem.

http://as2914.net/#/

Quero ver você encontrar o seu AS ai kkkkk boa sorte

Abraços

quinta-feira, 10 de setembro de 2015

HP-Aruba assume a liderança no Gartner (Wireless)


Pois é galera, a fusão HP + Aruba já começa a render frutos para as duas empresas, a empresa está na liderança no quadrante mágico do Gartner passando a Cisco (liderou durante muito tempo) no report de 2015.

Para conseguir o report completo acesse:

http://page.arubanetworks.com/How-Tomorrow-Moves-Q1FY16_HTM-Landing-Page-for-Gartner-MQ2.html?source=homepage&_ga=1.221611736.116044717.1441887761

Essa virada de mesa vai obrigar as concorrentes a mudar/melhorar as soluções Wireless para conseguir acompanhar a HP/Aruba.

Abraços

terça-feira, 8 de setembro de 2015

CCNA Security prova nova

Bom pessoal, a Cisco anunciou o fim da atual prova do CCNA-Security 640-554 (30/11) e a nova prova que irá substitui-la 210-260 IINS, os tópicos parecem que foram fundidos e não houve tanta mudança assim, tirando alguma coisa de Wirelles e BYOD, tive a impressão que a parte de VPN e Firewall está sendo mais cobrada nesse novo exame, segue o blueprint da prova nova:

1.0 Security Concepts 12%
1.1  Common security principles
1.1.a Describe confidentiality, integrity, availability (CIA)
1.1.b Describe SIEM technology
1.1.c Identify common security terms
1.1.d Identify common network security zones
1.2 Common security threats
1.2.a Identify common network attacks
1.2.b Describe social engineering
1.2.c Identify malware
1.2.d Classify the vectors of data loss/exfiltration
1.3 Cryptography concepts
1.3.a Describe key exchange
1.3.b Describe hash algorithm
1.3.c Compare and contrast symmetric and asymmetric encryption
1.3.d Describe digital signatures, certificates, and PKI
1.4 Describe network topologies
1.4.a Campus area network (CAN)
1.4.b Cloud, wide area network (WAN)
1.4.c Data center
1.4.d Small office/home office (SOHO)
1.4.e Network security for a virtual environment

2.0 Secure Access 14%
2.1   Secure management
2.1.a Compare in-band and out-of band
2.1.b Configure secure network management
2.1.c Configure and verify secure access through SNMP v3 using an ACL
2.1.d Configure and verify security for NTP
2.1.e Use SCP for file transfer
2.2 AAA concepts
2.2.a Describe RADIUS and TACACS+ technologies
2.2.b Configure administrative access on a Cisco router using TACACS+
2.2.c Verify connectivity on a Cisco router to a TACACS+ server
2.2.d Explain the integration of Active Directory with AAA
2.2.e Describe authentication and authorization using ACS and ISE
2.3 802.1X authentication
2.3.a   Identify the functions 802.1X components
2.4 BYOD
2.4.a Describe the BYOD architecture framework
2.4.b Describe the function of mobile device management (MDM)

3.0 VPN 17%
3.1  VPN concepts
3.1.a Describe IPsec protocols and delivery modes (IKE, ESP, AH, tunnel mode, transport mode)
3.1.b Describe hairpinning, split tunneling, always-on, NAT traversal
3.2 Remote access VPN
3.2.a Implement basic clientless SSL VPN using ASDM
3.2.b Verify clientless connection
3.2.c Implement basic AnyConnect SSL VPN using ASDM
3.2.d Verify AnyConnect connection
3.2.e Identify endpoint posture assessment
3.3 Site-to-site VPN
3.3.a Implement an IPsec site-to-site VPN with pre-shared key authentication on Cisco routers and ASA firewalls
3.3.b Verify an IPsec site-to-site VPN

4.0 Secure Routing and Switching 18%
4.1 Security on Cisco routers
4.1.a Configure multiple privilege levels
4.1.b Configure Cisco IOS role-based CLI access
4.1.c Implement Cisco IOS resilient configuration
4.2 Securing routing protocols
4.2.a Implement routing update authentication on OSPF
4.3 Securing the control plane
4.3.a Explain the function of control plane policing
4.4 Common Layer 2 attacks
4.4.a Describe STP attacks
4.4.b Describe ARP spoofing
4.4.c Describe MAC spoofing
4.4.d Describe CAM table (MAC address table) overflows
4.4.e Describe CDP/LLDP reconnaissance
4.4.f Describe VLAN hopping
4.4.g Describe DHCP spoofing
4.5 Mitigation procedures
4.5.a Implement DHCP snooping
4.5.b Implement Dynamic ARP Inspection
4.5.c Implement port security
4.5.d Describe BPDU guard, root guard, loop guard
4.5.e Verify mitigation procedures
4.6 VLAN security
4.6.a Describe the security implications of a PVLAN
4.6.b Describe the security implications of a native VLAN

5.0 Cisco Firewall Technologies 18%
5.1  Describe operational strengths and weaknesses of the different firewall technologies
5.1.a Proxy firewalls
5.1.b Application firewall
5.1.c Personal firewall
5.2 Compare stateful vs. stateless firewalls
5.2.a Operations
5.2.b Function of the state table
5.3 Implement NAT on Cisco ASA 9.x
5.3.a Static
5.3.b Dynamic
5.3.c PAT
5.3.d Policy NAT
5.3 e Verify NAT operations
5.4 Implement zone-based firewall
5.4.a Zone to zone
5.4.b Self zone
5.5 Firewall features on the Cisco Adaptive Security Appliance (ASA) 9.x
5.5.a Configure ASA access management
5.5.b Configure security access policies
5.5.c Configure Cisco ASA interface security levels
5.5.d Configure default Cisco Modular Policy Framework (MPF)
5.5.e Describe modes of deployment (routed firewall, transparent firewall)
5.5.f Describe methods of implementing high availability
5.5.g Describe security contexts
5.5.h Describe firewall services

6.0 IPS 9%
6.1 Describe IPS deployment considerations
6.1.a Network-based IPS vs. host-based IPS
6.1.b Modes of deployment (inline, promiscuous - SPAN, tap)
6.1.c Placement (positioning of the IPS within the network)
6.1.d False positives, false negatives, true positives, true negatives
6.2 Describe IPS technologies
6.2.a Rules/signatures
6.2.b Detection/signature engines
6.2.c Trigger actions/responses (drop, reset, block, alert, monitor/log, shun)
6.2.d Blacklist (static and dynamic)

7.0 Content and Endpoint Security 12%
7.1  Describe mitigation technology for email-based threats
7.1.a SPAM filtering, anti-malware filtering, DLP, blacklisting, email encryption
7.2 Describe mitigation technology for web-based threats
7.2.a Local and cloud-based web proxies
7.2.b Blacklisting, URL filtering, malware scanning, URL categorization, web application filtering, TLS/SSL decryption
7.3  Describe mitigation technology for endpoint threats
7.3.a Anti-virus/anti-malware
7.3.b Personal firewall/HIPS
7.3.c Hardware/software encryption of local data

Link:

Abraços

sexta-feira, 4 de setembro de 2015

Próximos cursos NicBr

Galera, segue os próximos 2 cursos do NICbr, um em SP (ASN) e em Macapa  (IPv6):

Estão abertas as inscrições para a seguinte turma do Curso Presencial
de Boas Práticas para Sistemas Autônomos do NIC.br:

Local: São Paulo / SP
Data: 19 a 23 de Outubro
Carga horária: 36h
Horário: de segunda a quinta das 9h as 18h e sexta das 9h as 14h.
Inscrições: http://cursos.ceptro.br/evento/106
A inscrição deverá ser realizada até 4/10/2015.

Este curso é voltado para instituições que já são detentoras de ASN, com
foco nas pequenas e médias; empresas que estão prestes se tornar um AS;
e provedores que possuem SCM mas ainda não se tornaram Sistemas Autônomos.

Abordaremos tópicos que abrangem as seguintes áreas:

- como obter recursos de numeração do Registro.br
- como se tornar um AS
- boas práticas no roteamento BGP
- boas práticas no roteamento interno (OSPF)
- ferramentas de gerenciamento de redes
- uso de looking glasses e outras ferramentas de diagnóstico
- prática de laboratório com equipamentos Mikrotik, Cisco e Juniper
- todos os temas são tratados abordando IPv4 e IPv6


O valor do curso é subsidiado pelo Comitê Gestor da Internet no Brasil,
por meio do NIC.br, não tendo custos para os participantes, mas as vagas
são bastante limitadas.

É importante notar que:

- Serão aceitas no máximo duas inscrições por instituição.
- Desistências deverão ser avisadas com pelo menos 5 dias de
antecedência, sob pena da inscrição ser recusada em turmas futuras.
- Os inscritos devem ter experiencia em redes. Caso não tenham
conhecimento prévio sobre IPv6, recomenda-se estudar com antecedência o
e-learning disponível em http://ipv6.br/curso.
- Esse curso não é preparatório para obtenção de certificações de nenhum
fabricante.


Atenciosamente,


Estão abertas as inscrições para a seguinte turma do curso presencial
IPv6 Básico do NIC.br:

Local: Macapá / AP
Data: 13 de Outubro a 16 de Outubro
Carga horária: 32h
Horário: 9h –às 18h
Inscrições: http://cursos.ceptro.br/evento/105
A inscrição deverá ser realizada até 27/09/2015.


O valor do curso é subsidiado pelo Comitê Gestor da Internet no Brasil,
por meio do NIC.br, não tendo custos para os participantes, mas as vagas
são bastante limitadas.

É importante notar que:

- Será dada preferência a instituições que não participaram do curso
anteriormente.
- Serão aceitas no máximo duas inscrições por instituição.
- Desistências deverão ser avisadas com pelo menos 5 dias de
antecedência, sob pena da inscrição ser recusada em turmas futuras.
- Os inscritos devem ter experiência em redes e estudar com antecedência
o e-learning em http://ipv6.br/curso.
- Os inscritos devem ser pessoas chave em suas organizações, diretamente
envolvidos com a implantação do IPv6 e que sejam capazes de multiplicar
o conhecimento internamente.

Os endereços IPv4 *SE ESGOTARAM* em nossa região em junho de 2014, e
seus serviços poderão ficar inacessíveis caso não tenha IPv6. As
recomendações do Comitê Gestor da Internet no Brasil – CGI.br
<http://CGI.br> podem ser encontradas em
http://www.cgi.br/regulamentacao/resolucao2012-007.htm e
http://cgi.br/regulamentacao/resolucao2013-033.htm


Informações adicionais sobre o curso estão disponíveis em
http://ipv6.br/basico.

Abraços