Luokat: Kaikki - security - database - installation - networks

jonka humberto garcia 2 kuukautta sitten

1081

ESTUDIO

The text delves into various technical aspects of managing and securing computer networks and systems. It discusses the use of different protocols for network mapping and information gathering, including ICMP and SNMP, which help in monitoring host activities and managing network security.

ESTUDIO

Area Redes trabaja con:

Area de programacion trabaja con:

ESTUDIO

IT

virtualbox

Virtualbox

Pfsense

Pfsense

Instalacion en virtualbox


Recomendaciones

QA

usefull-TOOLs

OpenVPN

OPENVPN


necesitamos tener acceso a nuestra pfsense desde cualquier ubicacion.

por lo general la IP asignada por nuestro ISP es dinamica y cambia cada 24 horas

para ello necesitamos que sea siempre estatica por ello utilizamos un servicio DNS dinamico:

NO IP

pfsense - dynamic dns

pfsense - openVPN

apuntes

https://my.noip.com/dynamic-dns

dnns: estaticayremotapla.ddns.net

lhgc2014@yahoo.com

unaqp...



intall openvpn (system - package manager)

open-wizard (vpn/openvpn)


crear usuarios para open VPN

exportar usuario









status (trouble-shooting)

prende-apaga-reinicia services desde aqui


status/services

system-logs

para ver los logs del sistema


/status/system-logs

status

user-manager

Aqui se crea usuarios para acceder al pfsense

Diagnostics

reboot-halt

Desde aqui se reinicia o apaga el PFsense


Diagnostics/reeboot

BU-RESTORE

firewall

rules

services

mapear redes

ZABBIX
Installl

Install


1- Mysql Galera cluster (opcional puede ser solo mysql omariadb)



docker-compose

Docker compose


Por organizacion creas una carpeta docker

mkdir docker (en esta carpeta clonas el git)


GIT - clonar

git clone https://github.com/zabbix/zabbix-docker.git


Cambiar de nombre al docker-compose (opcional)

cp docker-compose_v3_ubuntu_mysql_latest.yaml docker-compose.yml


Configurar ENVIROMENTS

Mysql

listado de archivos ocultos

root@luis:/docker/zabbix-docker/env_vars# ls -al

cambiar password (opcional)

cd /docker/zabbix-docker/env_vars# vim .MYSQL_PASSWORD 

Cambiar ROOT password (opcional)

cd /docker/zabbix-docker/env_vars# vim .MYSQL_ROOT_PASSWORD 

Cambiar nombre de usuario (opcional)

/docker/zabbix-docker/env_vars# vim .MYSQL_USER







Data base

Data base


  1. desabilitar el Selinux and firewall



network mapping software

free software

portScan


spiceworks


DOS tools

ipconfig

ipconfig /all


ipconfig /release

ipconfig /renew


ping

ping 10.101.10.1

ping server (bota ip del server

ping exchange

ping /? descripcion de lo que puedes hacer con ping

ping 10.1.1.1 -n 200 (200 veces)

ping 10.1.1.1 -i 200 (ttl tiempo )


tracert www.ejemplo (hops)


ICMP

port scanning

smbs (service message block shares)

snmp

Pasos

Pasos


1 configurar snmp en el server con alguna herramienta de monitoreo


monitoring tools


2 en cada dispositivo a monitorear habilitar snmp y cambiar el comunity string por seguridad

security

disable ping en el router asi nadie de afuera podra mapear tu red



CCNA

RESUMENES GENERALES
notas

show controllers: muestra info del hardhard de la iterface

DHCP DORA discovery offert request akc

RESUMEN VoIP

RESUMEN VoIP


1 se utiliza un router on stick para comunicar intervlans

2 el sw


3 el ROUTER


4 configuracion de telefonos (ROUTER)





LAB VoIP

auto-assign/source ip/max-ephone-dn/elefony.service

RESUMEN QoS

RESUMEN QoS


1 manejar colas de paquetes mediante marcado o clasifi

Tipos de marcado

cos (class of service)

dscp (diferentiated service code point) + usado solo un bit

nbar (networ base application recognigtion)

acl


2 shaping

no perder paquetes debido a que estan dentro del rate limit establecido (LLQ -prority)


3 policing

(aplicada por ISP solo 10 megas aus cleintes) se pierden paquetes si se exede en trafico limitado por in rate ejemplo bandwith


Hay 2 metodos :

CBWFQ (Class Based Weighted Fair Queuing) gives bandwidth

LLQ (Low Latency Queuing) is CBWFQ with a priority queue



PROCEDEMIENTO MQC Modular Quality CLI of Sericev

1 crear una clase y asociarlo a un protocolo

2 crear un policy de marcado y asignarlo a una clase

3 linkearlo a una interface


requerimientos minimos de llamdas y video

latencia < 0 = a 150 ms (demara del origen a destino)

jitter < 0 = a 30ms (demora entre paquetes)

los < 0 = 1 %


nota

-QoS consiste en administrar la congestion de paquetes

-controlar la cola paquetes mas popular

-beneficiar a unos significa perjudicara otros

-cuando la memoria del router o sw rebasa se pierden paquetes


Notas exam

QoS profile WLAN

Platinum/voice

gold /video

Silver/defaul (best effort)

bronze (back ground)







LAB-QoS

QoS - router


clases

config)# class-map voice (voice cualquier nombre)

config-cmap) match protocol rtp

exit

config)# class-map http

config-cmap)match protocol http

exir

config)# class-map icmp

config-cmap)match protocol icmp


policies

config)#policy-map mark (mark cualquier nombre)

config-pmap)#class voice

config-pmap-c)#set ip dscp ef

config-pmap-c)#priority 100 (kilobit por secon)


config)#policy-map mark

config-pmap)#class http

config-pmap-c)set ip dscp af31

config-pmap-c)#bandwith 50 (minimo kilobits per second)


config-p-map)#class icmp

config-pmap-c)set ip dscp af11

config-pmap-c)#bandwith 25


binding polcies of QoS a una iterface


r1)# int serial 0/1/0

if)service-policy output mark


utlies

sh run

sh policy map

sh policy-map interface g0/1/0



service-poilici-class-map

LAB -GRE

GRE tunel


crear interface tunel (en ambos routers)

config)# int tunnel 0

if)# ip address 10.1.3.1 255.255.255.0 (generalmente es mask30)


enlasarla Int de origen y salida

config)# tunnel source g0/0/1 (int con salid internet)

config)# tunnel destination 8.8.11.2 (ip del router de destino)


agregarlas al routing table mediante eigrp

config)#router eigrp 100

config)#network 10.0.0.0

config)#no auto summary



utiles

traceroute

sh ip eigrp neighbor

sh ip route

tracert route



eigrp/destination/source/tunnelIP

RESUMEN WIFI

wireless

tipos


APs son layer 2

802.11 ( por IEEE)

alcance MAX hast 91 metros

WiFi Direct permite conectarse ad hoc y APs

SSID Service Set Identifier

IBSS (independent basic service set)

BSSID (Basic Service Set Identifier)

BSA Basic Service Area


ZTP Zero Touch Provisioning (Aps identifican WLC)

wireless y half duplex

cableado es full duplex

wifi services 2.4 GHz (22 MHz) and 5 GHz (20 MHz)


proteccion

WPA3 - aes ccmp y agains KRACK attack (2018)

WPA Personal - persona

WPA Enterprise uses a AAA server.


EXTRA PREGUNTAS


WAP modes client services

-local

flexconnect

-mesh or briedge


WAP modes network management

-monitor : como sensor de monitoreo

-rogue detector: detecta redes no autorizadas

-SE- connect

-Sniffer


-AES - 256


CPU - ACLs


configurar WLC






wifi-lab

Wireless que aprediste


crear vlans para cada Wlan

>vlan 10

>name management

>vlan 22

>name guest

>vlan 23

>name corporate


SW L3 asignar ips a cada vlan para ser usado como GW

config>int vlan 10

if> ip address 192.168.10.1 255.255.255.0

asignarles IPs a los AP mediante DHCP

>ip dhcp exclude address 192.168.10.1 192.168.10.100

>ip dhcp pool management

>network 192.168.10.0 255.255.255.0

>default-router 192.168.10.1

>option 43 ip 192.168.10.11 (ip del wlc)


conexion del sw con WLC

>SW mode trunk

>sw trunk allowed vlan 10,22,23

>spanning tree portfast trunk


conexion del sw con APs

>int range g1/0/3-4

>sw mode access

>sw access vlan 10 (es la red de management)

>spanning-tree portfast


Configuracion del WlC


acceder al WLC

mediante IP en el navegador https://192.168.10.11


autenticacion con server RADIUS AAA

security / AAA / new


Asignar IPs a los APs mediate DHCP por WLC


controller/ Internal DHCP / DHCP scope /new


Logical interfaces

controller / interfaces / new



DHCP information



Wireless LANs - conexion con AAA

wlans/ Wlans / create new one


Wireless LANs - conexion Pre share key


finalmente save configuration


RSESUMEN BGP

Conecta Automous systems,

se tiene que indicar las redes del rouetr vecino por el cual se conectan incluyendo el loopback NO aplica WC

El estado debe ser stablished que indica adyacencia

Si hay mas de una conexion entre routers de igual forma se les debe indicar cada uno


BGP es a distance vector protocol

BGP administrative distance 20

BGP TCP puerto 179

B es comose muestra en routing table


estados

Idle begin forming a connection with a BGP neighbor via TCP.

Connect: TCP three-way handshake is in progress.

Active: TCP handshake is complete moving to opensent state.

OpenSent: checked for errors and the correct AS number

OpenConfirm: messages are received from a remote BGP

Established – Completed BGP Neighbor adjacency

lab-BGP

netLooback-net/neighbord/remote-as /router bgp#

RESUMEN OSPF

Resumen


cuantas maneras hay de habilitar OSPF


trabajando con cdm network


sumarizacion


asignar Loopbacks a los routers


Interfaces passivas


costo


reference cost


medidas


bit (b) = unidad basica 0 ó 1

byte (B) = 8 bits


bit (1)=> kilobit(1000b) => megabit(1000Kb) = gigabit(1000Mb)


nota

bytes para indicar espacio de almacenamiento

bits para indicar la velocidad en que viajan los datos

MB = megabyte (espacio)

Mb = megabit (velocidad)

bits incrementAN DE MIL EN MIL

Bytes increenyan de 1024 en 1024



que es:

Principio: dos routers vecinos deben pertenecer a la misma area en una de sus interfaces

ABR: una de sus INT debe estar conectada al Backboen area 0 y las otras interfaces a otras areas

Normal area routers: estan dentro de una misma area

Backbone routers: routers ubicados en el area 0 o backbone lo abr tambien se les puede considerar backbone routers

internal o regular routers son aquellos que no estan onectados al area 0 o backbone y todos deben pertenecer a la misma area

BackBone area: area donde donde las demas areas deben conectarse para tener conectividad una con otras

ASBR (autonomous system boundary router): router que tiene por lo menos en una de sus interfaces un protocolo diferente al OSPF ejemplo eigrp y que es injectado en un red con ospf se le conoce por REDISTRIBUIR y aparecen como external Routes


local route /32

ruta conectada directamenet /24


ETXRA PREGUTAS

Tipos de ospf networks

-point to point (entre dos routers)

-broadcast (por defecto las interfaces soportan broadast en su otro extremo swtch)

-no broadcast (no broadcast multi access o point to multipoint)











lab-OSPF

1 configurar protocolo ospf

router ospf 1

network 10.0.0.0 0.0.0.255 area 0


2 Otra manera de setear una interface passive

passive-interface default

no passive-interface f0/0

no passive-interface f0/1


3 Inyeccion de rutas

router ospf 1

default-information originate


4 sumarizar areas en ospf

router ospf 1

network 10.0.0.0 0.0.0.255 area 0

network 10.1.0.0 0.0.0.255 area 1

area 0 range 10.0.0.0 255.255.0.0

area 1 range 10.1.0.0 255.255.0.0


5 formula para obtener el costo

cost = referenceCost / interfaceCost


6 setear el reference cost (100)

router ospf 1

auto-cost reference-bandwith 100000


7 setear costo de las interfaces

int f0/0

ip ospf cost 2000

int f0/1

ip ospf cost 2000


8 setear DR designated router


interface f0/0

ip ospf priority 100


NOTAS TRAINING 2





utiles


sh run | section ospf

sh ip protocols

sh ip ospf int brief - ves info de las interfaces

sh ip ospf neighbor - ves el vecino adyacente

sh ip ospf database

clear ip ospf process _ reinicia el proceso ospf


********training 2*******

habilitar OSPF con la IP exacta (mas segura -real life)

network 10.1.1.1 0.0.0.0 area 0

network 1.1.1.1 0.0.0.0 area 0 (loopback)


habilitar OSPF con network

network 10.1.1.0 0.0.0.255 area 0


habilitar OSPF con el cmd Interface

> int g0/1

> ip ospf 1 area 0


habilitar ospf en todas las interfaces

>router ospf 1

>network 0.0.0.0 255.255.255.255 area 0


trouble shooting

router vecinos interfaces deben estar en la misma area (sh ip ospf int)

diferentes router ID cada router deben ser unicos

networks correctamente indicadas


agarrar cambios clear ip ospf proccess



enrutamientamiento IPv6

>ipv6 unicats - routing

OSPF

config>ipv6 router ospf 1

router>router-id 1.1.1.1 (si no hay ninguna ipv4 seteada)

int>ipv6 ospf 1 area 0





















































































































1 configurar protocolo ospf

router ospf 1

network 10.0.0.0 0.0.0.255 area 0


2 Otra manera de setear una interface passive

passive-interface default

no passive-interface f0/0

no passive-interface f0/1


3 Inyeccion de rutas

router ospf 1

default-information originate


4 sumarizar areas en ospf

router ospf 1

network 10.0.0.0 0.0.0.255 area 0

network 10.1.0.0 0.0.0.255 area 1

area 0 range 10.0.0.0 255.255.0.0

area 1 range 10.1.0.0 255.255.0.0


5 formula para obtener el costo

cost = referenceCost / interfaceCost


6 setear el reference cost (100)

router ospf 1

auto-cost reference-bandwith 100000


7 setear costo de las interfaces

int f0/0

ip ospf cost 2000

int f0/1

ip ospf cost 2000


8 setear DR designated router


interface f0/0

ip ospf priority 100


NOTAS TRAINING 2





utiles


sh run | section ospf

sh ip protocols

sh ip ospf int brief - ves info de las interfaces

sh ip ospf neighbor - ves el vecino adyacente

sh ip ospf database

clear ip ospf process _ reinicia el proceso ospf


********training 2*******

habilitar OSPF con la IP exacta (mas segura -real life)

network 10.1.1.1 0.0.0.0 area 0

network 1.1.1.1 0.0.0.0 area 0 (loopback)


habilitar OSPF con network

network 10.1.1.0 0.0.0.255 area 0


habilitar OSPF con el cmd Interface

> int g0/1

> ip ospf 1 area 0


habilitar ospf en todas las interfaces

>router ospf 1

>network 0.0.0.0 255.255.255.255 area 0


trouble shooting

router vecinos interfaces deben estar en la misma area (sh ip ospf int)

diferentes router ID cada router deben ser unicos

networks correctamente indicadas


agarrar cambios clear ip ospf proccess




















































































1 configurar protocolo ospf


router ospf 1


network 10.0.0.0 0.0.0.255 area 0




2 Otra manera de setear una interface passive


passive-interface default 


no passive-interface f0/0


no passive-interface f0/1




3 Inyeccion de rutas


router ospf 1


default-information originate




4 sumarizar areas en ospf


router ospf 1


network 10.0.0.0 0.0.0.255 area 0


network 10.1.0.0 0.0.0.255 area 1


area 0 range 10.0.0.0 255.255.0.0 


area 1 range 10.1.0.0 255.255.0.0 




5 formula para obtener el costo


cost = referenceCost / interfaceCost




6 setear el reference cost (100)


router ospf 1


auto-cost reference-bandwith 100000




7 setear costo de las interfaces


int f0/0


ip ospf cost 2000


int f0/1


ip ospf cost 2000




8 setear DR designated router




interface f0/0


ip ospf priority 100




NOTAS TRAINING 2










utiles




sh run | section ospf


sh ip protocols


sh ip ospf int brief - ves info de las interfaces 


sh ip ospf neighbor - ves el vecino adyacente


sh ip ospf database


clear ip ospf process _ reinicia el proceso ospf 




********training 2*******


habilitar OSPF con la IP exacta (mas segura -real life)


network 10.1.1.1 0.0.0.0 area 0 


network 1.1.1.1 0.0.0.0 area 0 (loopback)




habilitar OSPF con network


network 10.1.1.0 0.0.0.255 area 0




habilitar OSPF con el cmd Interface


> int g0/1


> ip ospf 1 area 0




habilitar ospf en todas las interfaces 


>router ospf 1


>network 0.0.0.0 255.255.255.255 area 0




trouble shooting


router vecinos interfaces deben estar en la misma area (sh ip ospf int)


diferentes router ID cada router deben ser unicos


networks correctamente indicadas




agarrar cambios clear ip ospf proccess











































































































































































































































































RESUMEN IPv6

resumen IPV6


global unicast 2001:db8 (ipv4 - publica)

ipv6 address 2001:db8:0:0::1/64

rango 2000::/3

link local FE80::1 (se genera automaticamente)

ipv6 address fe80::1 link local

rango FE80::/10 – FEB0::/10

unique local address FC00::1 (ipv4 - privada)

asignar IPv6 address

Manualmente

eui-64 (asignar ipv6 de manera automatica end host)

para end host

2001:db8:0:1::/64 eui-64


slaac - defecto (staless address autoconfiguration)

genera una IPv6 a partir del GW bajo el standar de EUI64

::/0


neigboard discovery es la version de ARP en IPV6

manda solicitation y advertisement messages


enrutamienta

>ipv6 unicats - routing

OSPF

config>ipv6 router ospf 1

router>router-id 1.1.1.1 (si no hay ninguna ipv4 seteada)

int>ipv6 ospf 1 area 0



lab-IPv6

RESUMEN VLAN

RESUMEN VLAN

-sw core (en pares)

-sw distribution (scalability)

-sw access (coneccion directa con end host)


router on stick

LAB-VLANS

1 crear una VLAN

SW1(config)#vlan 10

SW1(config-vlan)#name Eng


2 a crear una vlan nativa (cambiar la valn 1 x defecto)

SW1(config-vlan)#vlan 199

SW1(config-vlan)#name native


3 a utilizar esa vlan nativa

SW1(config)#interface gig0/1

SW1(config-if)#switch trunk native vlan 199


4 crear un trunk port con tag

int g0/1

switch trunk encap dot1q

switch mode trunk


5 crear un acces port

SW3(config)#int f0/3

SW3(config-if)#switch mode access


6 asignar puertos por rangos a una VLAN

SW1(config)#int range f0/1 - 2

SW1(config-if-range)#switch mode access

SW1(config-if-range)#switch access vlan 10


******VTP***********

7 crear un SW como servidor para

SW1(config)#vtp domain Flackbox

SW1(config)#vtp mode server


8 crear un sw como cliente

SW3(config)#vtp mode client

SW3(config)#vtp domain Flackbox


9 crear un sw como transparent (neutro)

SW2(config)#vtp mode transparent



********DTP (no recomendable)********

switchport mode dynamic auto

switchport mode dynamic desirable

switchport nonegatiate


*****UTILIES********


10 ver lans en un SW

sw3# sh vlan brief


11 ver detalles de un puerto en especifico

sh int g0/1 switchport


**************inter vlans*******************

OPT 1 INTERFACES SEPARADAS 

1 setear default getways

R1(config)#interface FastEthernet 0/0

R1(config-if)#ip address 10.10.10.1 255.255.255.0

R1(config-if)#no shutdown


R1(config)#interface FastEthernet 0/1

R1(config-if)#ip address 10.10.20.1 255.255.255.0

R1(config-if)#no shutdown


2 asignarles una VLAN a esa int

SW2(config)#interface FastEthernet 0/1

SW2(config-if)#switchport mode access

SW2(config-if)#switchport access vlan 10


OPT 2 ROUTER ON STICK


1 configurar SUB INTERFACES

R1(config)#interface FastEthernet 0/0

R1(config-if)#no ip address

R1(config-if)#no shutdown

R1(config-if)#interface FastEthernet 0/0.10

R1(config-subif)#encapsulation dot1q 10

R1(config-subif)#ip address 10.10.10.1 255.255.255.0


2 asignar un trunk port etiquetado

SW2(config)#interface FastEthernet 0/1

SW2(config-if)#switch trunk encap dot1q

SW2(config-if)#switchport mode trunk



OPT 3 LAYER 3 SW


1 habilitar ruteo por ips en el L3 - sw

SW2(config)#ip routing


2 configurar las vlans en el router

SW2(config)#interface vlan 10

SW2(config-if)#ip address 10.10.10.1 255.255.255.0


3 a configurar un puerto en L3 sw para conexion internet


SW1(config)#interface FastEthernet 0/1

SW1(config-if)#no switchport

SW1(config-if)#ip address 10.10.10.1 255.255.255.0

SW1(config)#ip route 0.0.0.0 0.0.0.0 10.10.100.2





















dot1q/dtp/vtp

RESUMEN STP -REDUNANCY

REDUNDANCY STP


-root bridge libre de loops

-seleccionar un sw prioritario para una vlan


versiones

-genericas

-cisco


EXTRA preguntas

mac address reconocida como virtual address

0000.5E00.010a


LAB STP

bpdu/portfast/spanning tree

RESUMEN net redundacy

RESUMEN network redundacy


-Consiste en utilizar rutas activas y en standby

-protolos FHRP (first hot redundancy protocol)


-coniste en indicar que router sera el principal con el cmd standby

crear un gateway virtual a la cual se conectaran los endhost





LAB-NR

preemp/priority/standby 1/FHRP

DISPOSITIVOS

OTROS DISPOSITIVOS.

NIC

HUBS

WAP

WIRELESS RANGER EXTENDED

MODEN

SOHO

MEDIA CONVERTERS


SWITCHES

Operaciones




a. There is a protocol mismatch up/down

B. There is a duplex mismatch up/up

C. The interface is shut down admin down / down

D. The interface is error-disabled down/down

E. There is a speed mismatch down/down



down / down


administrative down / down

down / down err disabled


up / down

up / up











wiireless

Wireless que aprediste


crear vlans para cada Wlan

>vlan 10

>name management

>vlan 22

>name guest

>vlan 23

>name corporate


SW L3 asignar ips a cada vlan para ser usado como GW

config>int vlan 10

if> ip address 192.168.10.1 255.255.255.0

asignarles IPs a los AP mediante DHCP

>ip dhcp exclude address 192.168.10.1 192.168.10.100

>ip dhcp pool management

>network 192.168.10.0 255.255.255.0

>default-router 192.168.10.1

>option 43 ip 192.168.10.11 (ip del wlc)


conexion del sw con WLC

>SW mode trunk

>sw trunk allowed vlan 10,22,23

>spanning tree portfast trunk


conexion del sw con APs

>int range g1/0/3-4

>sw mode access

>sw access vlan 10 (es la red de management)

>spanning-tree portfast


Configuracion del WlC


acceder al WLC

mediante IP en el navegador https://192.168.10.11


autenticacion con server RADIUS AAA

security / AAA / new


Asignar IPs a los APs mediate DHCP por WLC

controller/ Internal DHCP / DHCP scope /new


Logical interfaces

controller / interfaces / new



DHCP information



Wireless LANs - conexion con AAA

wlans/ Wlans / create new one


Wireless LANs - conexion Pre share key


finalmente save configuration






























resumen wireless

wireless

tipos


APs son layer 2

802.11 ( por IEEE)

alcance MAX hast 91 metros

WiFi Direct permite conectarse ad hoc y APs

SSID Service Set Identifier

IBSS (independent basic service set)

BSSID (Basic Service Set Identifier)

BSA Basic Service Area


ZTP Zero Touch Provisioning (Aps identifican WLC)

wireless y half duplex

cableado es full duplex

wifi services 2.4 GHz (22 MHz) and 5 GHz (20 MHz)


proteccion

WPA3 - aes ccmp y agains KRACK attack (2018)

WPA Personal - persona

WPA Enterprise uses a AAA server.


notas

802.11r


802.11w


LAG (link agregation)

LAG is a partial implementation of the 802.3ad port aggregation standard. It bundles all the ports of the controller into a single 802.3ad port channel. The controller manages redundancy and load balancing of all the APs across the ports.



  1. What are two characteristics of an SSID


  1. It can be hidden or broadcast in a WLAN
  2. It is at most 32 characters long.



WLC - wireless lan controller



Tipos de puertos que tiene wlc

split - mac

split - mac


Split MAC – AP Operations


Split MAC – WLC Operations


CAPWAP (Control And Provisioning of Wireless Access Points)


Lightweight AP

Lightweight AP (con WLC)


Switch(config)# vlan 21

Switch(config-vlan)# name Corporate

Switch(config)# vlan 22

Switch(config-vlan)# name Guest


Switch(config)# vlan 10

Switch(config-vlan)# name WLC-Management

Switch(config)# vlan 11

Switch(config-vlan)# name AP-Management


Switch(config)# interface GigabitEthernet1/0/2

Switch(config-if)# switchport trunk encap dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# switchport trunk allowed vlan 10,11,21,22



Nota

option 43 ip 192.168.10.11 es la IP del WLC





Automous APs

configuracion Automous APs


Switch(config)# vlan 21

Switch(config-vlan)# name Corporate

Switch(config)# vlan 22

Switch(config-vlan)# name Guest

Switch(config)# interface GigabitEthernet1/0/1

Switch(config-if)# switchport trunk encap dot1q

Switch(config-if)# switchport mode trunk

Switch(config-if)# switchport trunk allowed vlan 21,22


Nota

la interface se conecta directamente al AP

se conecta como trunk


para diferenciar las lvan creadas para guest o manager

SPAN

SPAN - switched port analyzer



s1(config)#monitor session 1 source interface f0/1 both

s1(config)#monitor session 1 destination interface f0/2



utiles

sh monitor


nota


a mandar un copia a otro host en la red

s1(config)#monitor session 1 source interface f0/1 both

s1(config)#monitor session 1 destination interface f0/2


a mandar una copia a otra vlan en el sw

s1(config)#monitor session 2 source interface f0/1 , fastEthernet 0/3

s1(config)#monitor session 2 destination interface f0/1



ver sessiones

sh monitor

SEGURIDAD

ZERO DAY EXPLOIT

Port security


Desabilitar puertos que no estan en uso

SW1(config)#interface range f0/3 - 24

SW1(config-if-range)#shutdown


Habiltar la seguridad por defecto de los puertos

SW1(config)#int f0/2

SW1(config-if)#switch mode access

SW1(config-if)#switchport port-security


setear un maximo de 2 host por puertos

SW1(config)#int f0/1

SW1(config-if)#switch mode access

SW1(config-if)#switchport port-security

SW1(config-if)#switchport port-security maximum 2


setear acceso a una MAC especifica

SW1(config)#int f0/1

SW1(config-if)#switch mode access

SW1(config-if)#switchport port-security

SW1(config-if)#switchport port-security mac-address

0000.1111.1111


Configuracion dhcp snooping

SW1(config)#ip dhcp snooping

SW1(config)#ip dhcp snooping vlan 10

SW1(config)#int f0/1

SW1(config-if)#ip dhcp snooping trust


configurara DAI dinamoc arp inspection solo cuando dhcp esta hablitado

SW1(config)#int f0/1

SW1(config-if)#ip arp inspection trust!

SW1(config)#ip arp inspection vlan 10


UTILES

SW1#sh port-security address

SW1#sh mac address-table

SW1#show port-security int f0/1



********training 2***********

-cuando se cierra una interface por seguridad, el administrador para aperturarlo debe primero shut y luego no shut para prenderlo nuevamente


por defecto habilitar port-security solo limita el numero de host conectados en el sw si un hos con maca funciona bien y luego reload el sw quiza otra pc con diferente mac toma su puesto y si intentas acceder de la pc1 se cerrara la connexion


ver detalles de seguridad de un interface

sh port-security int g1/0/1


guardar mac-address en running config del sw la primera en conectarse)

sw port security mac-address sticky


cambiar tipo de proteccion (protect, restrict, shutdown)

sw port-security violation restrict


ver dhcp snooping

sh ip dhcp snooping


configuracion arp DAI

SW1(config)#int f0/1

SW1(config-if)#ip arp inspection trust

SW1(config)#ip arp inspection vlan 10



configurar 802.1x


config SW con host finales autentoicacion dot1x

sw> dot1x system-auth-control

sw>int f0/1

sw>sw mode access

sw if>authentication port-control auto

sw if>dot1x pae authenticator



config sw con server AAA

sw>aaa new model

sw>aaa authentication dot1x default group radius

sw>radius-server host 10.1.1.2 key 12345678
























RESUMEN SEGURIDAD

RESUMEN SEGURIDAD


Se aplica solo en el access layer


MAC (media access control)

maximo de host conectados en un puerto

indicar mac espcifica


swp security

por defeto solo habilita un host por puerto

shut el puerto si viola una restriccion

las restricciones son


dhcp snooping

habilitar un puerto donde se aceptaran los DHCP de un host


arp spoofing (man in middle )

primero tener habilitado el dhcp snooping

ejecutar DAI (dynamic arp inspeccion)





access layer SW

Port security

Port Security




configuracion

SW1(config)#int f0/2

SW1(config-if)#switchport port-security


configuracion Violation actions


SW1(config)#int f0/2

SW1(config-if)# switchport port-security violation protect

SW1(config-if)# switchport port-security violation restrict


auto recovery configuracion

SW1(config)# errdisable recovery cause psecure-violation

SW1(config)# errdisable recovery interval 600

utiles

SW1#show port-security interface f0/2







Tipos acciones

swp security

por defeto solo habilita un host por puerto

shut el puerto si viola una restriccion

las restricciones son


shutdown



protect ( no cierrra a todos solo al infractor)



restrict


Aging time

absolute las MAC addres se borraran del puerto dspues del tiempo especificado en el aging tie


inactivity las mac adress se borraran solo si estan inactivas por el tiempo espcificado



Especificar MAC

indicar mac espcifica


Maximum MAC

Maximum MAC Addresses




configuracion

SW1(config)# interface f0/2

SW1(config-if)# switchport port-security maximum 2


configuracion manual para una especifica MAC

SW1(config)# interface f0/10

SW1(config-if)# switchport port-security

SW1(config-if)#switchport port-security mac-address

1111.2222.3333

SW1(config-if)# switchport port-security maximum 1



configuracion sticky

SW1(config)# interface f0/2

SW1(config-if)# switchport port-security

SW1(config-if)# switchport port-security mac-address sticky


nota:

sticky es para configura una mac a un puerto pero si hay mil MACs se utiloiza sticky


utiles

SW1#show port-security int f0/2

SW1#show port-security

SW1#show port-security address











802.1X

802.1X Identity Based Networking


ARP Spoofing

Man in the Middle ARP Spoofing



solucion

Dynamic ARP Inspection DAI




configuracion


SW1(config)#int f0/1

SW1(config-if)#ip arp inspection trust!

SW1(config)#ip arp inspection vlan 10


DHCP Snooping

DHCP Snooping




Configuracion

SW1(config)#ip dhcp snooping

SW1(config)#ip dhcp snooping vlan 10

SW1(config)#int f0/1

SW1(config-if)#ip dhcp snooping trust

EtherChanel

EtherChanel



Ambos SW deben tener los mismos parametros de configuracion para que funcione el etherChannel



Propositos de utilizar direcciones fisicas del etehrchannel





que aprendiste?

etherChannel


convertir upLinks a etherChannel con LACP

Acc3(config)#interface range f0/23 - 24

Acc3(config-if-range)#channel-group 1 mode active

Acc3(config-if-range)#exit

Acc3(config)#interface port-channel 1

Acc3(config-if)#description Link to CD1

Acc3(config-if)#switchport mode trunk

Acc3(config-if)#switchport trunk native vlan 199


CD1(config)#interface range f0/23 - 24

CD1(config-if-range)#channel-group 1 mode active

CD1(config-if-range)#exit

CD1(config)#interface port-channel 1

CD1(config-if)#description Link to Acc3

CD1(config-if)#switchport mode trunk

CD1(config-if)#switchport trunk native vlan 199


convertir upLinks a etherChannel con PAgP

Acc4(config)#interface range f0/23 - 24

Acc4(config-if-range)#channel-group 1 mode desirable

Acc4(config-if-range)#exit

Acc4(config)#interface port-channel 1

Acc4(config-if)#description Link to CD2

Acc4(config-if)#switchport mode trunk

Acc4(config-if)#switchport trunk native vlan 199


CD2(config)#interface range f0/23 - 24

CD2(config-if-range)#channel-group 1 mode desirable

CD2(config-if-range)#exit

CD2(config)#interface port-channel 1

CD2(config-if)#description Link to Acc4

CD2(config-if)#switchport mode trunk

CD2(config-if)#switchport trunk native vlan 199


configurar a static etherChannel

CD1(config)#interface range g0/1 - 2

CD1(config-if-range)#channel-group 3 mode on

CD1(config-if-range)#exit

CD1(config)#interface port-channel 3

CD1(config-if)#description Link to CD2

CD1(config-if)#switchport mode trunk

CD1(config-if)#switchport trunk native vlan 199


CD2(config)#interface range g0/1 - 2

CD2(config-if-range)#channel-group 3 mode on

CD2(config-if-range)#exit

CD2(config)#interface port-channel 3

CD2(config-if)#description Link to CD1

CD2(config-if)#switchport mode trunk

CD2(config-if)#switchport trunk native vlan 199


Layer 3 EtherChannel Configuration


Switch1(config)#interface range GigabitEthernet 1/0/1 - 2

Switch1(config-if-range)#no switchport

Switch1(config-if-range)#channel-group 1 mode active

Switch1(config-if-range)#exit

Switch1(config)#interface port-channel 1

Switch1(config-if)#ip address 192.168.0.1 255.255.255.252

Switch1(config-if)#no shutdown


Switch2(config)#interface range GigabitEthernet 1/0/1 - 2

Switch2(config-if-range)#no switchport

Switch2(config-if-range)#channel-group 1 mode active

Switch2(config-if-range)#exit

Switch2(config)#interface port-channel 1

Switch2(config-if)#ip address 192.168.0.2 255.255.255.252

Switch2(config-if)#no shutdow


configurar un protocolo de ruteo a los L3 SW

Switch1(config)#ip routing

Switch1(config)#router ospf 1

Switch1(config-router)#network 192.168.0.0 0.0.0.255 area 0




Utils

acc3# sh etherchannel summary

Switch2(config-if-range)#no channel-group 1 - elimina los puerto del grupo

Switch1(config) no interface port-channel X - Eliminar un port channel



L3 etherchannel

Layer 3 Etherchannel



configuracion

Switch1(config)#interface range GigabitEthernet 1/0/1 - 2

Switch1(config-if-range)#no switchport

Switch1(config-if-range)#channel-group 1 mode | active | auto | desirable | on | passive

Switch1(config)#interface port-channel 1

Switch1(config-if)#ip address 192.168.0.1 255.255.255.252

Switch1(config-if)#no shutdown

protocolos etherChannel- 

Static Etherchannel



configuracion

SW1(config)#interface range f0/23 - 24

SW1(config-if-range)#channel-group 1 mode on

SW1(config)#interface port-channel 1

SW1(config-if)#switchport mode trunk

PAgP

PAgP Port Aggregation Protocol



configuracion

SW1(config)#interface range f0/23 - 24

SW1(config-if-range)#channel-group 1 mode desirable

SW1(config)#interface port-channel 1

SW1(config-if)#switchport mode trunk


Configure matching settings on the switch on the other side of the links

LACP

LACP Link Aggregation Control Protocol



configuracion

SW1(config)#interface range f0/23 - 24

SW1(config-if-range)#channel-group 1 mode active

This creates interface port-channel 1


SW1(config)#interface port-channel 1

SW1(config-if)#switchport mode trunk

Configure the interface settings on the port channel

network redundancy

SPANING TREE PROTOCOLS

STP - SPANING TREE PROTOCOLS




spanning tree ports


  1. Blocking state: cuando se conecta por 1ra ve online
  2. listening (por 15 segundos n este estado decide si pasa info o not )
  3. learning (x 15 segunos guarda info y para de mandar sus bpdus y solo recibe de un rootbriedge)
  4. Forwarding state: STP detecta que no hay loop cambia al estado de forwarding puede tomar hasta 50 segundos
  5. disabled: por el adminsitrador


RSPT

  1. disabled
  2. discarding (lo mismo que blockink)
  3. learnning
  4. forwarding


BPDU - Bridge Protocol Data Units




BRIDGE ID


The Root Bridge














STP


*******trouble shooting************


1 saber que router es el principal o hot

R1#show standby


2 ver en los SW cual es root

SW#sh spanning-tree vlan 10


**************configuracion**************


3 setear un SW como primario o root

CD1(config)#spanning-tree vlan 10 root primary


4 setear un SW como secundario

CD2(config)#spanning-tree vlan 10 root secondary


5 habilitar un puerto a portfast (desabilita stp) y habilitar BPDU guard


Acc3(config)#int f0/1

Acc3(config-if)#spanning-tree portfast

Acc3(config-if)#spanning-tree bpduguard enable


6 habiltar un guard para un root SW

SW2(config)#interface fa0/2

SW2(config-if)#spanning-tree guard root


7 Training 2

cuando un puerto en el SW es portfast carga inmediato y los end host se conectan inmediatamente, cuando no son portfast toma un tiempo en cargar la conexion.

CMD - utiles

CMD - utiles


show spanning-tree vlan 1 : muestar detalles del spt

R1#show interface g0/1

Acc3#show mac address-table

versiones

Cisco versiones

Cisco versiones


1- Per VLAN Spanning Tree Plus (PVST+)


2- Rapid Per VLAN Spanning Tree Plus (RPVST+)

open standars

open standars

1- 802.1D Spanning Tree Protocol (STP)


2- 802.1w Rapid Spanning Tree Protocol (RSTP)


3- 802.1s Multiple Spanning Tree Protocol (MSTP)

spanning root guard

spanning root guard



CMD


SW2(config)#interface fa0/2

SW2(config-if)#spanning-tree guard root

spaning tree BPD guard

spaning tree BPD guard



cmd


SW1(config)# interface f0/10

SW1(config-if)# spanning-tree portfast

SW1(config-if)# spanning-tree bpduguard enable (1x1)


SW1(config)# spanning-tree portfast bpduguard default (all)

Spanning tree Portfast

Spanning tree Portfast



CMD

SW1(config)# interface f0/10

SW1(config-if)# spanning-tree portfast (1x1)


SW1(config)# spanning-tree portfast default (all ports)


Spanning tree cost

Spanning Tree Cost







Load Balancing

VLAN

VLAN



cuando se quiere formar un trunk con otro switch de otra marca que nosea cisco

ISL = entre cisco switches

802.1q = entre sw cisco y de otra marca



Nota

A black hole is a vlan that is unused where you put unused ports in or hosts that you dont want to be on the network.




1 crear una VLAN

SW1(config)#vlan 10

SW1(config-vlan)#name Eng


2 a crear una vlan nativa (cambiar la valn 1 x defecto)

SW1(config-vlan)#vlan 199

SW1(config-vlan)#name native


3 a utilizar esa vlan nativa

SW1(config)#interface gig0/1

SW1(config-if)#switch trunk native vlan 199


4 crear un trunk port con tag

int g0/1

switch trunk encap dot1q

switch mode trunk


5 crear un acces port

SW3(config)#int f0/3

SW3(config-if)#switch mode access


6 asignar puertos por rangos a una VLAN

SW1(config)#int range f0/1 - 2

SW1(config-if-range)#switch mode access

SW1(config-if-range)#switch access vlan 10


******VTP***********

7 crear un SW como servidor para

SW1(config)#vtp domain Flackbox

SW1(config)#vtp mode server


8 crear un sw como cliente

SW3(config)#vtp mode client

SW3(config)#vtp domain Flackbox


9 crear un sw como transparent (neutro)

SW2(config)#vtp mode transparent



********DTP (no recomendable)********

switchport mode dynamic auto

switchport mode dynamic desirable

switchport nonegatiate


*****UTILIES********


10 ver lans en un SW

sw3# sh vlan brief


11 ver detalles de un puerto en especifico

sh int g0/1 switchport











CMD


vlan 10

name Eng

interface f0/1

switchport mode access

switchport access vlan 10


interface range f0/3 - 5

switchport mode access

switchport access vlan 10



sh vlan brief => resumen de los puertos de la vlan

sh int f 0/1 switchport => detalles de un puerto del vlan


ping 10.10.10.255 => manda mensajes broadcast


nota

10 puede ser cualquier numero asignada a una Vlan

name Eng: es opcional pero recomendable darle un nombre

interface range f0/3 - 5 : se puede asignar un rango de puertos a la vez en vez de individualmente 0/3-0/4-0/5



trunk port (en el switch)


int f0/24

description trunk to SW2

switchport trunk encapsulation dot1q

switchport mode trunk


nota

switchport trunk encapsulation dot1q: este cmd es aceptado en switches modernos y antiguos los antiguos tenian otro protocolo.

los switches modernos tienen por defecto dot1q asi que si pones esta cmd quiza bote algun error



trunk port VOICE VLAN configuration

int F 0/10

description IP Phone

switchport mode access

switchport access vlan 10

switchport voice vlan 20




nota

switchport mode access => es un trunk port pero para Phone se le pone access es una caso especial para que no tenga acceso a la pc



NATIVE VLAN


vlan 199

name native

int g0/1

description Trunk to SW2

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk native vlan 199


sh int g0/1 switchport



LIMITANDO VLAN

int g0/1

switchport trunk allowed vlan 10,30




















































VTP

VTP - vlan trunking protocol


VTP MODES


  1. VTP SERVER: puede ejecutar CRUDs con las vlans esta sincronizadas, su vlan database con otro servidor with a higher revision number
  2. VTP CLIENT: no crud de vlans sincronizara su database con otro server con higher number
  3. VTP TRANSPARENT: es independiente no esta en un dominio de VTP asi dentro de si mismo se puede CRUD a sus vlans


cmd


vtp domain nombre

vtp mode server

vtp mode client

vtp mode trasparent




DTP

DTP DYNAMIC TRUNK PROTOCOL


switchport mode dynamic auto: sera trunk si el sw vecino esta seteado como trunk o desirable no sera trunk si los 2 estan en auto


switchport mode dynamic desirable: sera trunk si el sw vecino esta seteado como trunk ,auto o desirable


switchport nonegotiate: desabilita el DTP


cmds


config t

int g0/1

switchport mode dynamic desirable


sh int g0/1


Nota:


Trunk port - DOT1Q

Vlan trunk port



native vlan

Native vlan


Default VLAN: This can refer to one of two types. Typically, the default VLAN refers to the one that all of the ports on a device belong to when it is switched on. On most switches, this default is VLAN 1 and should be changed for security reasons. Some network managers may use the term “default VLAN” to refer to a VLAN to which all ports are assigned when they’re not being used.

 

Native VLAN: The native VLAN is the one into which untagged traffic will be put when it’s received on a trunk port. This makes it possible for your VLAN to support legacy devices or devices that don’t tag their traffic like some wireless access points and simply network attached devices.

Access port

Vlan Access port



Firewalls

Cisco ASA (adaptive security apliances)


tiene 2 modos


routed mode



transpartent mode


Terminologia

MIXTO

network-device-managemement (logs)

NETWORK DEVICE MANAGER SNPM - Syslog


Syslogs (Donde se ven los logs)


4 habilitacion logs en consolo para mostrar logs

R1(config)#logging console 7

4 habilitar Logs en VTY para mostrar logs

R1(config)#logging monitor 5

4 habilitar logs en Buffer RAM

R1(config)#logging buffered debugging

2 setear un syslog externo

R1(config)#logging 10.0.0.100


************** SNMP *********

1 setear snmp como lectura y comunidad string

R1(config)#snmp-server contact gdp@hotmail.com (op)

R1(config)#snmp-server location baranco lab (opt)

R1(config)#snmp-server community Flackbox1 ro

R1(config)#snmp-server community Flackbox2 rw

R1(config)#snmp-server host 10.0.0.100 flackbox1

R1(config)#snmp-server enable traps config

nota

contact y location es opcional

R1(config)#snmp-server enable traps config es una opcion entre muchas


************** SNMP 3 *********

R1(config)#snmp-server group nombre-group v3 priv

R1(config)#snmp-server user fb-user v3 auth sha P@$$w0rd priv aes 128 PRIPASSWORD


NOTA

auth sha P@$$w0rd   => parte de autenticacion

priv aes 128 PRIPASSWORD => parte de encriptacion



utiles

R1#show logging

R1(config-line)#logging synchronous (para mejora visual)


********training 2*********

setear log externo


habilitar servicio de tiempo para logs

r1> service timestamps log datetime msec


muestra configuracion snmp

sh run



snmp

sirve para leer y manipular configuracion de routers mediante una interface por una pc MBI




















NTP

NTP


para configurar NTP a un servidor se debe


stratun (0 - 15)


0 = reloj atomico fuente original del tiempo (antena gps - satelite)

1 = recibe el tiempo de la fuente original o stratto 0

2 = servidores que sincronizan el tiempo con el 1 y asi sucecivamente



MASTER

NTP Master is used to indicate the NTP Server (Authoritative NTP) and its type of stratum, the stratum 1 is used for public NTP Servers, so if you set up one router as NTP Server it could be stratum 2. The NTP Clients will be NTP Stratum 3.


SERVER

NTP server is configured on the client NTP Routers to indicate the IP Address of NTP Server in order to obtain all the time information.


PEER

NTP Peer is configured in order to sync the time settings with other router. You can specify multiple peer associations. 

gets its ntp off an actual peer device like another router on the network


When you use the command ntp master and do not specify the

stratum: the default stratum is 8.

Syslog vs SNMP

Syslog vs SNMP


SNMP

Simple Network Management Protocol (SNMP)



versiones SNMP


SNMPv1

SNMPv2c

SNMPv3



configuracion SNMPv2c

R1(config)#snmp-server contact neil@flackbox.com

R1(config)#snmp-server location Flackbox Lab

(Optional, identifies the Agent to the Manager)

R1(config)#snmp-server community Flackbox1 ro

R1(config)#snmp-server community Flackbox2 rw

R1(config)#snmp-server host 10.0.0.100 Flackbox1

R1(config)#snmp-server enable traps config

(When a configuration change is made a trap will be sent to the NMS

system at 10.0.0.100 using the ro Community string)



configuracion SNMPv3


R1(config)# snmp-server user Flackbox-user Flackbox-group v3 auth sha AUTHPASSWORD priv aes 128 PRIVPASSWORD


NOTA

los comunity string son como passwords y todos los dispositivos tienen por defecto "public"
















Notas

NOTA



monitoring tools


Syslog

Syslog


seq no:time stamp: %facility-severity-MNEMONIC:description


seq no = sequence number opcional

time stamp: tiempo

%facility = done ocurrio

severity= 0 el mas critico (0,1,2,3) - 7 solo infomacion

MNEMONIC = estado

description = mensaje


Oct 3 00:44:12.627: %LINK-5-CHANGED: Interface

FastEthernet0/0, changed state to administratively down


donde muestran:

Console line


VTY Terminal lines


The logging buffer


External Syslog servers


******configuraciones

R1(config)#no logging console (disables logging to the

console line)


R1(config)#logging monitor 6 (events with severity level

informational and higher will be logged to the VTY lines)


R1(config)#logging buffered debugging (events with

severity level 7 and higher will be logged to the buffer)


*****lconfiguracion ogging to external server

R1(config)#logging 10.0.0.100

R1(config)#logging trap debugging


*** debug habilitacion VTY configuracion

R1#terminal monitor


*****Utiles


R1(config)#line con 0

R1(config-line)#logging synchronous

R1(config-line)#interface f3/0

R1(config-if)#no shutdown

R1(config-if)#do show ip interf


R1# u all = termina debug


nota

logging synchronous = para mostrar msg y saltar al ultimo cmd


Extras preguntas


2 Critical Critical conditions

3 Error Error conditions

4 Warning May indicate that an error will occur if action is not taken.

5 Notice Events that are unusual, but not error conditions.






cisco device management (memoria -almacenamiento)

1- CMD para configuracion inicial (nuevo)

router>setup


2- setear el gateway por defecto 

router>ip default-gateway 192.168.9.1


3- habilitar contraseñas modo "en"

(config)enable password

(config)enable secret

(config)enable password-terminal


4 resetar a valores de fabrica

R2# write erase


5- recuperar contraseña

Router(config)#config-register 0x2120 - ROMMOM

R1(config)#end

R1#copy run start

R1#reload

***********rommon********

rommon 1 > confreg 0x2142 - boot sin start-config

reset -- restera

******************************

en -- acceder como enable

!!!!---importante----!!!!!!!!!!!

Router#copy start run-- copiar start-config en run config

******************************

Router(config)#no enable secret- eliminacontraseña

config-register 0x2102 -- arranque o booteado normal

Router(config)#end

!!!*******importante****!!!!!!!!

copy run start -- copiar run-config en start-config


************Back up configuraciones*********

6 Back up running-config en flash memory

R1#copy run flash

7 Back up start-configuration en TFTP

R1#copy start tftp


8 recuperar configuracion

R2# wr erase => borra configuracion

R2# sh flash

R2#copy flash start


9 recuperar IOS - imagen desde un tftp

rommon1> IP_ADDRESS=10.10.10.1

rommon2> IP_SUBNET_MASK=255.255.255.0

rommon3> DEFAULT_GATEWAY=10.10.10.1

rommon4> TFTP_SERVER=10.10.10.10

rommon5> TFTP_FILE=c2900-universalk9-mz.SPA.bin

rommon6> TFTP_DESTINATION=flash:

rommon7> TFTP_TIMEOUT=120

rommon8> tftpdnld

rommon9> reset


nota:

IP_ADDRESS=10.10.10.1 => ip dada a la int g0/0

DEFAULT_GATEWAY=10.10.10.1 => misma ip asignada

TFTP_FILE=c2900-universalk9-mz.SPA.bin => name img

tftpdnld => ejecuta la transferencia

reset => reinicia con la imagen descargada



*******training 2*********

sh version muestra el config register actual del dispositivo


Password recovery en packet tracert router


password recovery modo romom sw











Back up

Back up imagen IOS en TFTP


copy flash tftp => respondes las preguntas



Back up configuration TFTP


copy running-config tftp => preguntas (poner nombre)



Back up configuration UAB




Recuperar info


R2# wr erase => borra configuracion

R2# sh flash

R2#copy flash start


utiles

sh flash => muestra la imagen a copiar .bin






Password recovery

Password recovery for ROUTER o SW


procedimiento


1 interrumpir la secuencia de prendido y netrar en rommon mode (config-register 0x2120)


Ctrl-Break


2 ejecutar el cmd que indique que prenda o boote ignorando startup-config que es donde se guarda el password, secret y acceso remoto


confreg 0x2142


3 reset para arrancar

reset


4 seras capaz de ejecutar cmd en estado enable (en) o administrador xq prendera sin utilizar la start-config


en


5 COPIA LA CONFIGURACION IMPORTANTE la cual tambien guardara las contraseñas olvidadas pero ya estas en "EN" mode

copy run start


6 crea una nueva contraseña

(config) new enable secret


7 bootear normalmente

config-register 0x2102


8 vuelve a guardar los cambios con la nueva contraseña


copy run start













bootear

Boot



cisco device memory

cisco device memory

En estos lugares esta la memoria

ROM – Read Only Memory


Flash – newer devices use removable CompactFlash


NVRAM – Non-Volatile RAM



RAM – Random Access Memory


An external USB device can also be used



factory reset

Factory reset

tanto para ROUTERS Y SW


write erase


cisco-device-security (autenticacion)

Cisco device - para routers y SW



Username Level Security

R1(config)#username admin1 secret Flackbox1

R1(config)#username admin2 privilege 15 secret Flackbox2


R1(config)#line console 0

R1(config-line)#login local

R1(config)#line vty 0 15

R1(config-line)#login local



asignando CMDs a los privilegios


R1(config)#privilege exec level 5 show running-config









seguridad


1 habilitar password y secret modo "EN"

R1(config)#enable password Flackbox2

R1(config)#enable secret Flackbox1


2 encriptar contraseñas

R1(config)#service password-encryption


3 setear tiempo en consola y virtual

R1(config)#line console 0

R1(config-line)#exec-timeout 15


R1(config)#line vty 0 15

R1(config-line)#exec-timeout 15


4 Colocar banners de advertencia para login

R1(config)#banner login "

Enter TEXT message. End with the character '"'.

Authorised users only"


5 crear usuario y contraseñas

R1(config)#username luis secret 123

R1(config)#username paul secret 123


6 habilitar acceso consola o vty x PWD

R1(config)#line console 0 (line vty 0 15)

R1(config)#login

R1(config)#password xxx


7 habilitar acceso consola o vty  x USER y PWD

R1(config)#line console 0 (line vty 0 15)

R1(config)#login local


8 Habiltar SSH con bits 768 para llave

R1(config)#ip domain-name flackbox.com

R1(config)#crypto key generate rsa


9 Habilita solo comunicacion SSH con version 2

R1(config)#line vty 0 15

R1(config-line)#transport input ssh

R1(config-line)#exit

R1(config)#ip ssh version 2


10 Sincronizar HORA con servidor ntp

R1(config)#clock timezone PST -8

R1(config)#ntp server 10.0.1.100


11 Habilitar access list

R1(config)#access-list 1 permit host 10.0.0.10

R1(config)#line vty 0 15

R1(config-line)#login

R1(config-line)#password Flackbox3

R1(config-line)#access-class 1 in


negativos

R1(config-line)#no login

R1(config-line)#no login local

R1(config-line)#no username luis

R1(config-line)#no secret


utiles

sh run ver contraseñas

R1#show clock ver hora

R1#show ntp status ver estatus del ntp

C:\> telnet 10.0.0.1 conexion telnet

C:\> ssh –l admin 10.0.0.1 conexion SSH



*********training 2******

autenticarse con AAA server LOGIN


(config) aaa new model

(config)>username luis password luis1 (local)

config) aaa authentication login default groups tacacs+ local

CONFIG) aaa authentication enable default groups tacas+ local

config) tacacs-server host 10.1.1.1 key cisco


nota


utiles

sh run | include aaa

sh line
































Buenas practicas


1 - Login and Exec Banners


R1(config)#banner login “ (hit enter here)

Enter TEXT message. End with the character '"'.

Authorized users only“

R1(config)#banner exec "

Enter TEXT message. End with the character '"'.

Please log out immediately if you are not an authorized

administrator"


2 - Disable Unused Services


R1(config)#no ip http server

R1(config)#no cdp run


3 - Time Synchronisation


R1(config)#clock timezone PST -8

R1(config)#ntp server 10.0.1.100 (configures router to be NTP client)

R1(config)#ntp master (configures router to be NTP server)


utiles

R1#show clock

R1#show ntp status


Nota los servidores no actualizan el tiempo al instante toma entre 5 min hacerlo






AAA

AAA - AAA Authentication, Authorization and Accounting.






Config - nueva

New RADIUS Configuration


R1(config)#radius-server host 10.10.10.10

Warning: This CLI will be deprecated soon. Please move to radius server <name> CLI.

R1(config)#aaa new-model

R1(config)#radius server Server1

R1(config-radius-server)# address ipv4 10.10.10.10

R1(config-radius-server)# key Flackbox1

R1(config)#radius server Server2

R1(config-radius-server)# address ipv4 10.10.10.11

R1(config-radius-server)# key Flackbox2

R1(config-radius-server)#aaa group server radius FB-RG

R1(config-sg-radius)# server name Server1

R1(config-sg-radius)# server name Server2

R1(config-sg-radius)#aaa authentication login default group FB-RG local


New TACACS+ Configuration


R1(config)#tacacs-server host 10.10.10.10

Warning: This CLI will be deprecated soon. Please move to tacacs server <name> CLI.

R1(config)#username BackupAdmin secret Flackbox1

R1(config)#aaa new-model

R1(config)#tacacs server Server1

R1(config-server-tacacs)# address ipv4 10.10.10.10

R1(config-server-tacacs)# key Flackbox1

R1(config)#tacacs server Server2

R1(config-server-tacacs)# address ipv4 10.10.10.11

R1(config-server-tacacs)# key Flackbox2

R1(config-radius-server)#aaa group server tacacs+ FB-TG

R1(config-sg-tacacs+)# server name Server1

R1(config-sg-tacacs+)# server name Server2

R1(config-sg-tacacs+)#aaa authentication login default group FB-TG local

configuracion antigua

Old RADIUS Configuration


R1(config)#username BackupAdmin secret Flackbox1 (configure a local user in case connectivity to the AAA server

is lost)

R1(config)#aaa new-model

R1(config)#radius-server host 10.10.10.10 key Flackbox1

R1(config)#radius-server host 10.10.10.11 key Flackbox2

R1(config)#aaa group server radius FB-RG (optional)

R1(config-sg-radius)#server 10.10.10.10

R1(config-sg-radius)#server 10.10.10.11

R1(config)#aaa authentication login default group radius local

(Use all RADIUS servers) OR:

R1(config)#aaa authentication login default group FB-RG local

(Use servers in specified group)


Old TACACS+ Configuration


R1(config)#username BackupAdmin secret Flackbox1

R1(config)#aaa new-model

R1(config)#tacacs-server host 10.10.10.10 key Flackbox1

R1(config)#tacacs-server host 10.10.10.11 key Flackbox2

R1(config)#aaa group server tacacs+ FB-TG

R1(config-sg-tacacs+)#server 10.10.10.10

R1(config-sg-tacacs+)#server 10.10.10.11

R1(config)#aaa authentication login default group FB-TG local

PWD - enable mode

Basic Privileged Exec Security



configuracion

R1(config)#enable password Flackbox3 (deprecated no encript)

R1(config)#enable secret Flackbox3 (encripta PWD)


***extra**********


R1(config)#service password-encryption





IOS -(conectamos)

PWD - VTY

PWD VTY


PWD para conectarse remotamente


config

R1(config)#line vty 0 15

R1(config-line)#password Flackbox2

R1(config-line)#login



*****Exec Timeout

R1(config)#line con 0

R1(config-line)#exec-timeout 15


R1(config)#line vty 0 15

R1(config-line)#exec-timeout 5 30 (se cierra en 5 min y 30 seg)


*** access list

R1(config)#access-list 1 permit host 10.0.0.10

R1(config)#line vty 0 15

R1(config-line)#login

R1(config-line)#password Flackbox3

R1(config-line)#access-class 1 in


Setear usuarios y contraseñas para login local

R1(config)#username admin1 secret Flackbox1

R1(config)#username admin2 secret Flackbox2


R1(config)#line vty 0 15

R1(config-line)#password Flackbox2

R1(config-line)#login local





telnet

Como se utiliza

C:\> telnet 10.0.0.1 conexion telnet

SSH


como se utiliza

C:\> ssh –l admin 10.0.0.1 conexion SSH



configuracion crear llaves


R1(config)#ip domain-name flackbox.com (crea un dominio)

R1(config)#crypto key generate rsa


The name for the keys will be: R1.flackbox.com

Choose the size of the key modulus in the range of 360 to 2048

for your General Purpose Keys. Choosing a key modulus greater

than 512 may take a few minutes.

How many bits in the modulus [512]: 768 (minimo para SSH)

% Generating 768 bit RSA keys, keys will be non-

exportable...[OK]


Configuracion remota

R1(config)#username Flackbox secret Flackbox1

R1(config)#line vty 0 15

R1(config-line)#transport input ssh (telnet not added)

R1(config-line)#login local (use local usernames)

R1(config-line)#exit

R1(config)#ip ssh version 2 (limit SSH to v2)



PWD -consola

PWD para conectarse por cable de consola


setear configuracion

R1(config)#line console 0

R1(config-line)#password Flackbox1

R1(config-line)#login


*****Exec Timeout

R1(config)#line con 0

R1(config-line)#exec-timeout 15


Setear usuarios y contraseñas para login local

R1(config)#username admin1 secret Flackbox1

R1(config)#username admin2 secret Flackbox2


R1(config)#line console 0

R1(config-line)#password Flackbox1

R1(config-line)#login local




Cisco Router and Switch Basics (Interfaces)

1 setting conexion remota

Switch(config)# interface vlan 1

Switch(config-if)# ip address 192.168.0.10 255.255.255.0

Switch(config-if)# no shutdown

Switch(config-if)# exit

Switch(config)# ip default-gateway 192.168.0.1


2 Darle nombre al host

Switch(config)# hostname 


3 Darle una descripcion a una interface

SW1(config)# interface FastEthernet 0/1

SW1(config-if)# description Link to R1


4 setear velocidad y comunicacion

SW1(config)# interface FastEthernet 0/1

SW1(config-if)# duplex full

SW1(config-if)# speed 100


5 ver dispositivos conectados utilizando cdp lldp


Switch(config-if)# no cdp enable


***Flush cdp******

R1(config)#no cdp run

R1(config)#cdp run


Switch# show cdp

Switch# show cdp neighbors

Switch# show cdp neighbors detail


Switch(config)# lldp run

Switch(config)# no lldp run

Switch(config-if)# no lldp transmit

Switch(config-if)# no lldp receive


Switch# show lldp

Switch# show lldp neighbors

Switch# show lldp neighbors detail


6 copiar version descargada a un TFTP

copy tftp flash


7 para arrancar por defecto desde un SO en particular

boot system flash: nombre de la imagen

copy run start


8 recovery password


mantener apretado el boton de encendido y enchufar


inicializa flash

SW> flash_init


ignorar el file que utiliza para botear cambiando el nombre del archivo config.text a cualquier otro


SW> dir flash:/

SW> rename flash:/config.text flash:/config.old


inicia secion sin considerar el config.text

reinicar el device

sw> boot


volver renombrar e larchivo config.old a config.text

SW> rename flash:/config.old flash:/config.text

SW> copy flash: config.text running-config


***********************************

https://www.youtube.com/watch?v=VyEm0wesDXA




















CDP - LLDP

CDP



cdp timer

cdp hold time


Switch(config)# cdp run

Switch(config)# no cdp run

Switch(config-if)# no cdp enable


Switch# show cdp

Switch# show cdp neighbors

Switch# show cdp neighbors detail



Nota:

Switch(config-if)# no cdp enable - desabilita un puerto en imite con otra red externa



LLDP - link layer discovery protocol


Switch(config)# lldp run

Switch(config)# no lldp run

Switch(config-if)# no lldp transmit

Switch(config-if)# no lldp receive


Switch# show lldp

Switch# show lldp neighbors

Switch# show lldp neighbors detail





interface speed ans duplex

Interface Speed and Duplex



SW1(config)# interface FastEthernet 0/1

SW1(config-if)# duplex full

SW1(config-if)# speed 100


utiles

SW1#show running-config

SW1#show ip interface brief

SW1#show version


CRC (Cyclic Redundancy Check)

FCS  (Frame Check Sequence)


RUNTS


LATE COLLISON





Automatizacion y programacion

Beneficios de network automatizacion




controller based networks


management plane: los devices estan configurados y monitoriados en management plane,



SDN - software defined networking

SDN - software defined networking


tradicional networks


IBN - intent base networking



This transforms a traditional manual network into a controller led network that translates the business needs into policies that can be automated and applied consistently across the network.

SD-access (SDA)

SD - access


SDN architecture

aplicationn layer - northbound (app)

Policy, billing, security APIs


^

control layer - (CONTROLLER)

cisco controlador

v


infrastructure - southbound(routers)

openflow, netconf, restconf,telnet, ssh snmp



DNA - center


Three basic components of a telecommunications architecture. 


data plane



control plane


management plane




*distributed data plane and a distributed control, tanto el data y control plane estan en cada dispositivo sw o rt











Cloud computing

Tradicionalmente


On premise


colocation facilities

Deployments

Cloud Deployments


Public cloud


Private cloud


community cloud


hybrid cloud

Virtualizacion

Tipos

Type 1 Hypervisor (bare metal)


Type 2 Hypervisor


Servicios

Cloud Service Models


IaaS - Infrastructure as a Service

Data

Applications

Operating System <= customer get access


PaaS - Platform as a Service

Data

Applications


SaaS -Software as a Service

the provider is managing everything, from the facility, all the way up to the data.

Data

Applications <= customer access

Operating System

Hypervisor

Compute

Storage

Network

Facility





QoS

QoS


requerimeintos para un videos y llamadas


Como mitigar la congestion














QoS - router


clases

config)# class-map voice (voice cualquier nombre)

config-cmap) match protocol rtp

exit

config)# class-map http

config-cmap)match protocol http

exir

config)# class-map icmp

config-cmap)match protocol icmp


policies

config)#policy-map mark (mark cualquier nombre)

config-pmap)#class voice

config-pmap-c)#set ip dscp ef

config-pmap-c)#priority 100 (kilobit por secon)


config)#policy-map mark

config-pmap)#class http

config-pmap-c)set ip dscp af31

config-pmap-c)#bandwith 50 (minimo kilobits per second)


config-p-map)#class icmp

config-pmap-c)set ip dscp af11

config-pmap-c)#bandwith 25


binding polcies of QoS a una iterface


r1)# int serial 0/1/0

if)service-policy output mark


utlies

sh run

sh policy map

sh policy-map interface g0/1/0




Resumen

RESUMEN QoS


1 manejar colas de paquetes mediante marcado o clasifi

Tipos de marcado

cos (class of service)

dscp (diferentiated service code point) + usado solo un bit

nbar (networ base application recognigtion)

acl


2 shaping

no perder paquetes debido a que estan dentro del rate limit establecido (LLQ -prority)


3 policing

(aplicada por ISP solo 10 megas aus cleintes) se pierden paquetes si se exede en trafico limitado por in rate ejemplo bandwith


Hay 2 metodos :

CBWFQ (Class Based Weighted Fair Queuing) gives bandwidth

LLQ (Low Latency Queuing) is CBWFQ with a priority queue



PROCEDEMIENTO MQC Modular Quality CLI of Sericev

1 crear una clase y asociarlo a un protocolo

2 crear un policy de marcado y asignarlo a una clase

3 linkearlo a una interface


requerimientos minimos de llamdas y video

latencia < 0 = a 150 ms (demara del origen a destino)

jitter < 0 = a 30ms (demora entre paquetes)

los < 0 = 1 %


nota

-QoS consiste en administrar la congestion de paquetes

-controlar la cola paquetes mas popular

-beneficiar a unos significa perjudicara otros

-cuando la memoria del router o sw rebasa se pierden paquetes


Notas exam

QoS profile WLAN

Platinum/voice

gold /video

Silver/defaul (best effort)

bronze (back ground)


RSVP realiza la reserva de recursos de forma unidireccional. Esto quiere decir que, si el intercambio de información es bidireccional, se necesitará realizar una reserva de recursos para cada sentido. El hecho que la reserva se haga unidireccionalmente hace posible que se pueda utilizar este protocolo para las retransmisiones, por ejemplo, de radio o televisión.


Shaping and Policing

Shaping and Policing


Policing


shaping




Congestion Management

Congestion Management



MQC Modular QoS CLI



configuracion (no entra en el examen)


class-map VOICE-PAYLOAD

• Apply to the WAN interfaces match ip dscp cs3

match ip dscp ef

class-map CALL-SIGNALING

!

policy-map WAN-EDGE

class VOICE-PAYLOAD

priority percent 33 (es el valor maximo permitido )

class CALL-SIGNALING

bandwidth percent 5

class class-default

fair-queue

!

interface Serial0/0/0

bandwidth 768

service-policy out WAN-EDGE




Classification and Marking

DSCP

Classification and Marking


como se reconocen los paquetes o como se los marcan


COS (Class of Service)

DSCP (Differentiated Service Code Point)

ACLs (Access Control List)

NBAR (Network Based Application Recognition)



Nota

los sw deben canfiar en los paquetes marcados que provienen del IP phone y no modificarlos pero no debe confiar de la PC coenctada detras del IPphone todos esos datos deben ser tratados como Best effor CoS 0 o DSCP 0




ROUTER

ROUTERS:

Tiene 2 principales funciones

  1. Determinar la mejor ruta disponible
  2. reenviar trafico por esas rutas.


Que es un Routing table


Operaciones










VoIP

RESUMEN VoIP


1 se utiliza un router on stick para comunicar intervlans

2 el sw


3 el ROUTER


4 configuracion de telefonos (ROUTER)


VoIP


1 - SWITCHER *****************************+++++

VLANS

>#vlan 100

>#name data

>#vlan 101

>#name voice

>#int vlan 1

inf># ip address 10.1.1.253 255.255.255.0

inf>#no shut

conf># ip default-gateway 10.1.1.254


HABLITAR CDP ON SW (phones needs to know the red)

config >#cdp run


2 - ROUTER inter vlan *****************************

config># int f0/0

inf>#no shut

inf>int f0/0.1

inf># ip address 10.1.1.254 255.255.255.0

inf>#encapsulation dot.q 1 native

config># int f0/0

inf>#no shut

inf>int f0/0.100

inf># ip address 10.1.100.254 255.255.255.0

inf>#encapsulation dot.q 100

DHCP -PCs

>#ip dhcp pool gdp

>#network 10.1.100.0 255.255.255.0

>#default router 10.1.100.254

>#dns-server 10.1.100.254

DHCP -PHONES

>#ip dhcp pool phones

>#network 10.1.100.0 255.255.255.0

>#default router 10.1.100.254

>#option 150 iṕ 10.1.101.254 (router)


3 - CONEXION CON EL ROUTER*********************

>int g1/0/1 (inf hacia el router on stick)

>#sw encapsulation dot1q

>#sw mode trunk


4 - CONEXION CON LOS END HOST

>#int range int g1/0/1 -4

inf>sw mode access

inf>sw access vlan 100

inf>sw voice vlan 101




5 - CONFIGURACION TELEFONOS********************

R1config>#telephony-service

R1(config-telephony)>max-ephones 3

R1(config-telephony)>max dn 3

R1(config-telephony)>ip source address 10.1.101.254 port 2000

R1(config-telephony)>auto assign 1 to 3

exit

R1config>ephone-dn 1

R1config-ephone-dn)#number 1000

R1config>ephone-dn 2

R1config-ephone-dn)#number 1001

R1config>ephone-dn 3

R1config-ephone-dn)#number 1002


R1(config)#ephone1

R1(config-ephone)#type 7960

R1(config)#button 1:1


R1(config)#ephone2

R1(config-ephone)#type 7960

R1(config)#button 1:2


R1(config)#ephone3

R1(config-ephone)#type 7960

R1(config)#button 1:3


utiles

sh run

sh power inline

sh ephone


PPP

PPP (protocolo peer to peer) PPP CHAP


protocolos a utilizar



PPP

1 asignar una IP e indicarle que sera PPP en ambos routers conectados

int> ip address 10.1.11.1 255.255.255.0 (Real world 30)

int> encapsulation PPP


Autenticacion

if> ppp authentication chap

config>username C2 password cisco


Nota C2 es el user del otro router donde se conecta el remoto





GRE tunnel

GRE tunel


crear interface tunel (en ambos routers)

config)# int tunnel 0

if)# ip address 10.1.3.1 255.255.255.0 (generalmente es mask30)


enlasarla Int de origen y salida

config)# tunnel source g0/0/1 (int con salid internet)

config)# tunnel destination 8.8.11.2 (ip del router de destino)


agregarlas al routing table mediante eigrp

config)#router eigrp 100

config)#network 10.0.0.0

config)#no auto summary



utiles

traceroute

sh ip eigrp neighbor

sh ip route

tracert route



RESUMEN GRE

GRE tunnel (generic routing encpasulation)




pasos


ROUTES

Dynimic routes

Dynimic routing



AS=> autonomos system

IGP => interior gateway protocol

EGP => Exterior gateway protocol

Metric


AD - ADMINISTRATIVE DISTANCE

ROUTE SOURCE AD

connected interface ------ 0

static route ------------------ 1

external BGP -------------- 20

EIGRP ----------------------- 90

OSPF ---------------------- 110

is-is -------------------------115

RIP ------------------------- 120

Internal BGP.....---------200



FLOATING STATIC ROUTES

OSPF


static routes


ECMP - EQUAL COST MULTI PATH

















Hybrid

Link state

LINK STATE


is -is

is - is - intermediate system - intermediate system



OSPF

OSPF - open shortest path first



COST CALCULATION


FORMULA ALGORITMO PARA EL COSTO


COST = REFERENCE BANDWITH / INTERFACE BANDWITH



Nota



cmd para manipular la referencia de banda


router ospf 1

auto-cost reference-bandwith 100000


cmd para manipular el costo de los links

int f2/0

ip ospf cost 2000

int f3/0

ip ospf cost 2000





















que aprendiste - 7

1 configurar protocolo ospf

router ospf 1

network 10.0.0.0 0.0.0.255 area 0


2 Otra manera de setear una interface passive

passive-interface default

no passive-interface f0/0

no passive-interface f0/1


3 Inyeccion de rutas

router ospf 1

default-information originate


4 sumarizar areas en ospf

router ospf 1

network 10.0.0.0 0.0.0.255 area 0

network 10.1.0.0 0.0.0.255 area 1

area 0 range 10.0.0.0 255.255.0.0

area 1 range 10.1.0.0 255.255.0.0


5 formula para obtener el costo

cost = referenceCost / interfaceCost


6 setear el reference cost (100)

router ospf 1

auto-cost reference-bandwith 100000


7 setear costo de las interfaces

int f0/0

ip ospf cost 2000

int f0/1

ip ospf cost 2000


8 setear DR designated router


interface f0/0

ip ospf priority 100


NOTAS TRAINING 2





utiles


sh run | section ospf

sh ip protocols

sh ip ospf int brief - ves info de las interfaces

sh ip ospf neighbor - ves el vecino adyacente

sh ip ospf database

clear ip ospf process _ reinicia el proceso ospf


********training 2*******

habilitar OSPF con la IP exacta (mas segura -real life)

network 10.1.1.1 0.0.0.0 area 0

network 1.1.1.1 0.0.0.0 area 0 (loopback)


habilitar OSPF con network

network 10.1.1.0 0.0.0.255 area 0


habilitar OSPF con el cmd Interface

> int g0/1

> ip ospf 1 area 0


habilitar ospf en todas las interfaces

>router ospf 1

>network 0.0.0.0 255.255.255.255 area 0


trouble shooting

router vecinos interfaces deben estar en la misma area (sh ip ospf int)

diferentes router ID cada router deben ser unicos

networks correctamente indicadas


agarrar cambios clear ip ospf proccess






















































































































resumen

Resumen


cuantas maneras hay de habilitar OSPF


trabajando con cdm network


asignar Loopbacks a los routers


Interfaces passivas


costo


reference cost


sumarizacion



medidas


bit (b) = unidad basica 0 ó 1

byte (B) = 8 bits


bit (1)=> kilobit(1000b) => megabit(1000Kb) = gigabit(1000Mb)


nota

bytes para indicar espacio de almacenamiento

bits para indicar la velocidad en que viajan los datos

MB = megabyte (espacio)

Mb = megabit (velocidad)

bits incrementAN DE MIL EN MIL

Bytes increenyan de 1024 en 1024





que es:

Principio: dos routers vecinos deben pertenecer a la misma area en una de sus interfaces

ABR: una de sus INT debe estar conectada al Backboen area 0 y las otras interfaces a otras areas

Normal area routers: estan dentro de una misma area

Backbone routers: routers ubicados en el area 0 o backbone lo abr tambien se les puede considerar backbone routers

internal o regular routers son aquellos que no estan onectados al area 0 o backbone y todos deben pertenecer a la misma area

BackBone area: area donde donde las demas areas deben conectarse para tener conectividad una con otras

ASBR (autonomous system boundary router): router que tiene por lo menos en una de sus interfaces un protocolo diferente al OSPF ejemplo eigrp y que es injectado en un red con ospf se le conoce por REDISTRIBUIR y aparecen como external Routes







multi access segments


Multi access segments - Designated routers


configuracion


interface f0/0

ip ospf priority 100


ip ospf priority 0 => nunca sera router asignado


cuando estan conectados a un switch y comparten el mismo segmento de red se debe asignar un router principal y un backup en caso falle.




si hay 4 routers conectados a un switch


DR

DR - designated route



OSPF must be configured between routers R1 and R2. Which OSPF configuration must be applied to router R1 to avoid a DR'BDR election?


Point to point no necesita dr or bdr



BDR

BDR - BACKUP DESIGNATED ROUTER


Velocidad

bandwith

BANDWITH


clock rate cmd

CLOCK RATE


speed cmd

SPEED

tipos de router OSPF

ASBR

ASBR - AUTONOMOUS SYSTEM BOUNDARY ROUTERS


normal area routers

Normal area routers






ABRs

ABRs- area Border routers

-



config

R2 router que enlaza 2 areas 0 y 1

router ospf 1

R2# network 10.1.0.0 0.0.255.255 area 0

R2# network 10.0.0.0 0.0.0.255.255.arae1

R2# area 0 range 10.1.0.0 255.255.0.0

R2# area 1 range 10.0.0.0 255.255.0.0


Nota


sumarizacion de las areas

R2# area 0 range 10.1.0.0 255.255.0.0

R2# area 1 range 10.0.0.0 255.255.0.0

packet types

LSAck

LSAck - LINK STATE ACKNOLEDGE

LSU

LSU - LINK STATE UPDATE


LSA

LSA - LINK STATE ADVERTISE

LSR

LSR - LINK STATE REQUEST

DBD

DBD - DATA BASE DESCRIPTION


hello

HELLO PACKET


DEFAULT ROUTE INJECTION


ip route 0.0.0.0 0.0.0.0 203.0113.2

router ospf 1

deafult-information originate


nota

ip route 0.0.0.0 0.0.0.0 203.0113.2

passive interface


router ospf 1

network 10.0.0.0 0.0.255.255 area 0

passive-interface loopback 0

passive-interface f2/0

router-id 2.2.2.2


------------------o-------------------------


router ospf 1

network 10.0.0.0 0.0.255.255 area 0

passive-interface deafault

no passive-interface f2/0

no passive-interface f0/0

no passive-interface f1/0

router-id 2.2.2.2


solo que queda es la que se utilizaria como passive


OSPF ROUTER ID

OSPF ROUTER ID

CONFIGURACION


router ospf 1

network 10.0.0.0 0.0.255.255 area 0

*passive-interface loopback 0

*passive-interface f2/0

*router-id 2.2.2.2


Nota

1 =>


network =>


0.0.255.255 =>

inidicar el wild card es obligatorio a diferencia EIFRP

que lo puede deducir implicitamente


area =>

  1. AREA DE TRANSITO(backbone misma area): por lo genral area 0 no esta conectado a usuarios finales
  2. AREA REGULAR (no backbond): conectado a usuarios finales PCs pero tiene que transitar por routers en area 0






*passive-interface loopback 0

*passive-interface f2/0

*router-id 2.2.2.2 =>






Path vector

BGP

resumen BGP

resumen BGP


Conecta Automous systems,

se tiene que indicar las redes del rouetr vecino por el cual se conectan incluyendo el loopback NO aplica WC

El estado debe ser stablished que indica adyacencia

Si hay mas de una conexion entre routers de igual forma se les debe indicar cada uno


BGP es a distance vector protocol

BGP administrative distance 20

BGP TCP puerto 179

B es comose muestra en routing table


estados

Idle begin forming a connection with a BGP neighbor via TCP.

Connect: TCP three-way handshake is in progress.

Active: TCP handshake is complete moving to opensent state.

OpenSent: checked for errors and the correct AS number

OpenConfirm: messages are received from a remote BGP

Established – Completed BGP Neighbor adjacency

BGP (border gateway protocol)


# router bgp 65001

# neighbord 8.8.8.2 remote-as 65002

# network 1.1.1.1 mask 255.255.255.255 (red loppback no WC)

# network 8.8.8.0 mask 255.255.255.0 (red NO wc)



Utiles

sh protocols

sh ip bgp

sh ip bgp neighbord (tiene que decir stablished)




Distance vector

Distance vector





RIP- EIGRP


1 habilitar RIP

R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#no auto-summary

R1(config-router)#network 10.0.0.0



2 setear puertos passives

R4(config)#router rip

R4(config-router)#passive-interface f1/1



3 setear rutas por defecto

R4(config)#ip route 0.0.0.0 0.0.0.0 203.0.113.2



4 inyectar rutas

R4(config)#router rip

R4(config-router)#default-information originate


5 habilita EIGRP

R1(config)#router eigrp 100

R1(config-router)#network 10.0.0.0


NOTAS TRAINING 2



1 redistribuir el default route

(config-router) redistribute static metric 10000 1000 255 1 1500


valores comunes de redistribucion

bandwith = 10000

delay = 1000

relaybulity = 255

load = 1

mtu = 1500

***************utiles***************

RIP

show ip protocols - muestra el protocolo usado

show run | section rip - muestra un area especifica

show ip rip database - rutas aprendidas de sus vecinos

no router rip - desbilita el protocolo rip

debug ip rip - info en tiempo real

undebug all - detiene todos los procesos del debug


EIGRP

show run | section eigrp

show ip eigrp int - muestra la interfaces que utiliza el eigrp

show ip eigrp neighbors - muestra los routers cerca


******training 2********
































EIGRP

EIGRP - enhance interior gateway routing protocol


***********EIGRP****************+

router eigrp 100

network 10.0.0.0 0.0.0.255


nota


RIP

RIP - routing information protocol




RIP v1 -legacy

on the subnet must process the packets.

RIPv2



default route injection

DEAFAULT ROUTE INJECTION


ip route 0.0.0.0 0.0.0.0 203.0.113.2



router rip

default-information originate


Nota

configuracion

***********RIPv2***************

router rip

version 2

network 10.0.0.0

no auto-summary


nota

Static routes

STATIC ROUTING



Configuracion de rutas


**********setear IPs*********

interface - f0/0 

ip address 10.0.01 255.255.255.0

no shut 


*********rutas*******

config

ip route 10.0.10.0 255.255.255.0 10.0.0.2


******ruta sumarizada*******

ip route 10.1.0.0 255.255.0.0 10.0.02



***********Nota****************


1 setear las IPs en cada FastEthernet f0/0


2 configurar la ruta con la IP fastethernet




sumarizar rutas













Que aprendiste -6

1 asignar una IP a una interface

R1(config)#int f0/0

R1(config-if)#ip address

R1(config-if)#no shut


2 crear un loopback

config t

int loopback0

ip address 198.12.1.2 255.255.255.255


3 convertir interfaces a passivos

passive-inteface loopback0

passive-interface f0/0


4 enrutamiento manual

ip route 10.3.4.0 255.255.255.0 10.2.3.1


5 enrutamoiento sumarizado

ip route 10.3.0.0 255.255.0.0 10.2.3.1


6 crear una ruta por defecto

ip route 0.0.0.0 0.0.0.0 203.24.3.2



overlaping

Overlaping - Longest prefix match


Load balancing

Load balancing



default route

deafault route


configurar


ip route 0.0.0.0 0.0.0.0 203.0.123.2


203.0.123.2 es el nexto hop del otro router


Nota

LOOPBACK

LOOPBACK


CONFIGURACION LOOPBACK


*****loopback***********

config t

interface loopback 0

ip address 192.168.0.1 255.255.255.255


*********network***********

R1(config)#router eigrp 100

network 192.168.1.0 0.0.0.0


*********passive buena practica************

passive-interface loop0

passive-interface f2/0


**************Nota***********+

config t

interface loopback 0 - crea el interface loopback 0

ip address 192.168.0.1 255.255.255.255 - le da una ip al loopback subnet 36


they are in the 192.168.0.0/24 range which has not been included in the routing

protocol.


para que se conecten agregarlos a la ruta


R1(config)#router eigrp 100

R1(config-router)#network 192.168.0.0 0.0.0.255

0.0.0.255 => es lo opuesto a la mascara 24 que es lo que tiene la ip 192.168.0.0


router eigrp 100 - configura la ip LB dentro de eigrt

network 192.168.1.0 0.0.0.0 wild card opuesto a 255.255.255.255


PASSIVE INTERFACE



CONFIGURACION PASSIVE INTERFACE


router rip

version 2

no auto-summary

passive-interface loop0 - setea loopback como passivo

passive-interface f2/0 - setea el puerto fisico f2/0 como pasivo








IPv6

IPv6





sintaxis


2001:0DB8:0000:0001:0000:0000:0000:0001 => entera


2001:DB8:0:1:0:0:0:1 => se quita "0" delanteros, un "0"


2001:DB8:0:1::1 :: no se colocan ceros solo una vez xIP

IPv6


Asignar una IPv6 a una interface (global unicast)

R1(config)#int f0/1

R1(config-if)#ipv6 address 2001:db8::1/64

R1(config-if)#no shutdown


Asignar una IPv6 a un end host mediante EUI-64

PC1(config)#int f0/0

PC1(config-if)#ipv6 address 2001:db8::/64 eui-64

PC1(config-if)#no shut


Setear manualmente un link local address

R1(config)#int f0/0

R1(config-if)#ipv6 address fe80::1 link-local


Setear ruta por defecto al GW de un host

PC1(config)#ipv6 route ::/0 2001:db8::1


Setear ruta estatica

R2(config)#ipv6 unicast-routing

R2(config)#ipv6 route 2001:db8::/64 2001:db8:0:1::1


UTILES

R1#show ipv6 interface brief

R2#show ipv6 neighbors

R1#sh ipv6 protocols

R2#sh ipv6 route

R2#ping fe80::3

R1#show run | include ipv6 route

PC1#ping 2001:db8::1








resumen IPV6

resumen IPV6


global unicast 2001:db8 (ipv4 - publica)

ipv6 address 2001:db8:0:0::1/64

rango 2000::/3

link local FE80::1 (se genera automaticamente)

ipv6 address fe80::1 link local

rango FE80::/10 – FEB0::/10

unique local address FC00::1 (ipv4 - privada)


eui-64 (asignar ipv6 de manera automatica)

para end host

2001:db8:0:1::/64 eui-64


slaac - defecto

::/0


neigboard discovery es la version de ARP en IPV6

manda solicitation y advertisement messages

enrutamienta

>ipv6 unicats - routing

OSPF

config>ipv6 router ospf 1

router>router-id 1.1.1.1 (si no hay ninguna ipv4 seteada)

int>ipv6 ospf 1 area 0




Routing

IPv6 Routing





configuracion

ipv6 route 2001:DB8:0:2::/64 2001:DB8:0:1::1


summarizacion

ipv6 route 2001:DB8:0::/48 2001:DB8:0::2

ipv6 route 2001:DB8:1:1::/64 2001:DB8:1::2

ipv6 route ::/0 2001:DB8:3::2


utiles

R1#show ipv6 route


rutear estaticament un loopbaback consiste en buscar el nexthop que es una interface en el mismo router no es igual que una ruta normal estatica que busca otro una segunda interface en el rouetr

IPv6 OSPF

IPV6 - OSPF


1 Habilitar ruteo para ipv6

>ipv6 unicast-routing


habilitar OSPF v3 con IPv6

Types

anycast

Anycast

-asignar una misma IPv6 a una grupo de hosts con l aidea de que este sea conusltado por un clinet si esta mas cerca


-especificar en la interface que es de tipo anycast



Unique Local Addresses - FC00::/7

Unique Local Addresses - FC00::/7


Global Unicast - 2001:db8:0:1

Global Unicast



Rangos


Organizaciones range 2000::/3

companies range range 2001:10:10::/48

individual hosts /64



configuracion


asignando una IPvs a una interface

R1(config)#ipv6 unicast-routing

R1(config-if)#int f0/0

R1(config-if)#ipv6 add 2001:db8:0:1::1/64

R1(config-if)#int f2/0

R1(config-if)#ipv6 add 2001:db8:0:0::1/64


multiples IPv6 para una misma interface

R1(config)#int f0/0

R1(config-if)#ipv6 address FE80::1 link-local

R1(config-if)#ipv6 add 2001:db8:0:0::1/64

R1(config-if)#ipv6 add 2001:db8:0:1::1/64



utiles


sh ipv6 interface brief

SLAAC

Stateless Address AutoConfiguration (SLAAC)



configuraciones

IPv6 route to ::/0 == 0.0.0.0 0.0.0.0 in IPv4

:: => Unknown address

Neighbor Discovery == ARP


Utiles

R2#show ipv6 neighbors

EUI-64 Address

EUI-64 Addresses




configuracion

R1(config)#int f0/0

R1(config-if)#ipv6 address 2001:db8:0:1::/64 eui-64

R1(config)#int f2/0

R1(config-if)#ipv6 address 2001:db8:0::/64 eui-64


nota

/64 es la parte del host

 2001:db8:0 => parte de la red


cuando se configura una ipv6 con eui 64 se invierte el 7mo bit

mac address 0088.8888.8888

=> se invierte el 7mo bit que esta en los 2 primeros 0

0 = 0000 + 0 = 0000 (7mo bit se cambia a 1 si es 1 a 0)

0010 4321

se incrusta FFFE en medio del bloque de la mac (8888)

=> 88FF.FE88


link local: fe80::288:88ff:fe88:8888

global unicast: 2001:db8:6783:a:288:88ff:fe88:8888



Link Local Addresses - FE80::/10

Link Local Addresses - (FE80::/10)



configuracion


R1(config)#ipv6 unicast-routing

R1(config)#int f0/0

R1(config-if)#ipv6 add 2001:db8:0:1::1/64


R1#sh ipv6 interface brief

FastEthernet0/0 [up/up]

FE80::C801:2FFF:FE24:0 => generada automaticamente

2001:DB8:0:1::1


configuracion manual de link local

R1(config)#int f0/0

R1(config-if)#ipv6 address fe80::1 link-local

R1(config-if)#int f2/0

R1(config-if)#ipv6 address fe80::1 link-local

IPv4

IPv4



configuracion


R1(config)#int f0/0

R1(config-if)#ip address 172.16.0.1 255.255.255.0 secondary


R1#sh run int f0/0

interface FastEthernet0/0

ip address 172.16.0.1 255.255.255.0 secondary

ip address 192.168.10.1 255.255.255.0

subnetting

SUBNETING


A => 1 - 126 || 10.0.0.0 => 10.255.255.255

B => 128 - 191 || 172.16.0.0 => 172.31.255.255


c => 192 - 223 || 192.168.0.0 => 192.168.255.255


*** (127 loopback - localhost)



clase C

Subneting clase C



redes broadcast

192.168.1.0 1 - 14 192.168.1.15

192.168.1.16 192.168.1.31

192.168.1.32 192.168.1.63

192.168.1.64 192.168.1.79



255.255.255.240 => /28



clase B

clase B


172.16.0.0 / 18




172.16.0.0 0.1 - 63.254 172.16.63.255

172.16.64.0 64.1 - 127.254 172.16.127.255

172.16.128.0 128.1 - 191.254 172.16.191.255

172.16.192.0 92.1 - 255.254 172.16.255.255




172.16.64.0 - 1 = 172.16.63.255

las redes siempre empiezan en 0


255.255.192.0

clase A

NAT

NAT


Inside local = private source IP

Inside global = public source IP (after the NAT has taken place)

Outside global = public destination IP

Inside global = private destination IP

NAT


Configurar NAT STATIC

R1(config)#int f0/0

R1(config-if)#ip nat outside

R1(config)#int f0/1

R1(config-if)#ip nat inside

R1(config)#ip nat inside source static 10.0.1.10

203.0.113.3


****training 2***********************************

Configure static NAT so that the outside PC can access the internal HTTP, FTP and TFTP servers.

HTTP = 8.8.8.200 (NAT only the required port). DNS = myhttp.com

FTP = 8.8.8.201 (full static NAT). DNS = myftp.com


R1(config)#ip nat inside source static tcp 10.0.1.10 80 8.8.8.200 80


R1(config)#ip nat inside source static 10.0.1.10 8.8.8.201

************************************************************



Configurar NAT DINAMICO

R1(config)#int f0/0

R1(config-if)#ip nat outside

R1(config)#ip nat pool Flackbox 203.0.113.4 203.0.113.12

netmask 255.255.255.240

R1(config)#access-list 1 permit 10.0.2.0 0.0.0.255

R1(config)#ip nat inside source list 1 pool Flackbox


Configurar PAT DINAMICO

R1(config)#int f0/0

R1(config-if)#ip nat outside

R1(config)#ip nat pool Flackbox 203.0.113.4 203.0.113.12

netmask 255.255.255.240

R1(config)#access-list 1 permit 10.0.2.0 0.0.0.255

R1(config)#ip nat inside source list 1 pool Flackbox overload


Configurar PAT SINGLE

R1(config)#int f0/0

R1(config-if)#ip address dhcp

R1(config)#int f0/0

R1(config-if)#ip nat outside

R1(config)#int f1/0

R1(config-if)#ip nat inside

R1(config)#access-list 1 permit 10.0.2.0 0.0.0.255

R1(config)#ip nat inside source list 1 interface f0/0 overload


UTILES

R1#Sh ip nat translation

R1#debug ip nat

R1#clear ip nat translation *








Definiciones

NAT Definitions


Inside local address


Inside global address (source IP)


Outside local address


Outside global address


ruta del nateo


inside local (private IP)

V

inside global (ip nateada)

v

outside global (IP nateada del exterior)

v

outside global (IP local exterior)




types

PAT

PAT - Port Address Translation





Single - PAT

Single - PAT



configuracion


R1(config)#int f0/0

R1(config-if)#ip address dhcp

R1(config-if)#ip nat outside

R1(config)#int f1/0

R1(config-if)#ip nat inside

R1(config)#access-list 1 permit 10.0.2.0 0.0.0.255

R1(config)#ip nat inside source list 1 interface f0/0 overload



Utiles

R1#sh ip translation

R1#debug ip nat

Dynamic -PAT

Dynamic -PAT



configuracion

R1(config)#int f0/0

R1(config-if)#ip nat outside

R1(config)#int f2/0

R1(config-if)#ip nat inside

Configure the pool of global addresses.

R1(config)#ip nat pool Flackbox 203.0.113.4 203.0.113.6 netmask 255.255.255.240


Create an access list which references the internal IP addresses we want to translate.

R1(config)#access-list 1 permit 10.0.2.0 0.0.0.255


Associate the access list with the NAT pool to complete the configuration.

R1(config)#ip nat inside source list 1 pool Flackbox overload


Nota

la configuracion es la misma de del dynamic Nat se coloca overload para PAT

Dynamic

Dynamic NAT




configuracion


R1(config)#int f0/0

R1(config-if)#ip nat outside

R1(config)#int f2/0

R1(config-if)#ip nat inside


Configure the pool of global addresses.

R1(config)#ip nat pool Flackbox 203.0.113.4 203.0.113.14 netmask 255.255.255.240


Create an access list which references the internal IP addresses we want to translate.

R1(config)#access-list 1 permit 10.0.2.0 0.0.0.255


Associate the access list with the NAT pool to complete the configuration.

R1(config)#ip nat inside source list 1 pool Flackbox


utiles


R1#sh ip nat translation

R1#clear ip nat

R1#show ip nat statistics






Static

Static NAT




configuracion


R1(config)#int f0/0

R1(config-if)#ip nat outside

R1(config)#int f1/0

R1(config-if)#ip nat inside

R1(config)#ip nat inside source static 10.0.1.10 203.0.113.3



utiles


R1#sh ip nat translation

DNS

1 - CONFIGURAR UN ROUTER QUE APUNTE A UN DNS


R1(config)#ip domain-lookup

R1(config)#ip name-server 10.10.10.10

(R1#ping R2)


2- Verify the ARP cache

R1#show arp


ver desde un PC


nslookup

nslookup 8.8.8.8

nslookup domain.com

DHCP

DYNAMIC HOST CONTROL PROTOCOL


que aprendiste - 4

Cisco DHCP Client


1 configurar una interface del router hacia el internet para obtener una ip mediante DHCP


R1(config)#interface f0/0

R1(config-if)#ip address dhcp

R1(config-if)#no shutdown


Cisco DHCP server


2 habilitar DHCP en el router para dar IPs a los dispositivos y excluir rango de IPs para uso de IPs estaticas


R1(config)#ip dhcp excluded-address 10.10.10.1 10.10.10.10

R1(config)#ip dhcp pool Flackbox

R1(dhcp-config)#default-router 10.10.10.1

R1(dhcp-config)#dns-server 10.10.20.10

R1(dhcp-config)#network 10.10.10.0 255.255.255.0


3 Eliminar rango de IPs mediante DHCP en el router


R1(config)#no ip dhcp excluded-address 10.10.10.1 10.10.10.10

R1(config)#no ip dhcp pool Flackbox


***********External DHCP Server************


4 configurar el puerto del router que da hacia los dispositivos PCs que necesitan las IPs


R1(config)#interface f0/1

R1(config-if)#ip helper-address 10.10.20.10




utiles

R1#show dhcp lease - ver info del dhcp server

R1#show ip dhcp binding - ver IPs y Macs


R1#sh ip int brief - ver detalle interfaces

c:/ipconfig /all - detalles de las IP de una PC

c:/ ping dnsserver - conexion al dns server x hostname

c./ ipconfig /release - limpia las IPs de un pc

c:/ ipconfig /renew - obtiene nuevas IPs


















SERVER DHCP EXTERNO

configuracion del router para un DHCP externo



configuracion


R1(config)#interface f0/1

R1(config-if)#ip helper-address 10.10.20.10


Utiles

linux

ifconfig - antiguo se necesita instalar sudo install net-tools

ip address show - nuevo

ip route show - nuevo



Nota

interface f0/1 => es la interface que conecta al server externo

R1(config-if)#ip helper-address 10.10.20.10 => es la IP del DHCP y dns externo

CISCO - SERVER - DHCP

CISCO - DHCP SERVER


configuracion CISCO como servidor DHCP


R1(config)#ip dhcp excluded-address 10.10.10.1 10.10.10.10

R1(config)#ip dhcp pool 10.10.10.0_Clients

R1(dhcp-config)#network 10.10.10.0 255.255.255.0

R1(dhcp-config)#default-router 10.10.10.1

R1(dhcp-config)#dns-server 10.10.20.10



utilies


R1#show ip dhcp pool

1R1#sh ip dhcp binding - muestra las IPs de las MaACs

R1#show dhcp lease

1#show int brief


Nota

R1(config)#ip dhcp excluded-address 10.10.10.1 10.10.10.10

R1(config)#ip dhcp pool 10.10.10.0_Clients





CISCO - CLIENT - DHCP

CISCO - Router - DHCP client



configuracion


R1(config)#interface f0/0

R1(config-if)#ip address dhcp

R1(config-if)#no shutdown


utilies


R1#show dhcp lease

1#show int brief

ACL

ACL - Access Control Lists



sintaxis

access-list 100 deny tcp 10.10.30.0 0.0.0.255 gt 49151 10.10.20.1 0.0.0.0 eq 23


access-list => cmd

100 => standar 0 extended

deny => regla de accion (deny,permit,,remark)

tcp => protocolo (udp,icmp,ip,ospf,etc)

10.10.30.0=> source (any, host, A-B-C-D)

0.0.0.255 => Wildcards (0.0.0.0 defecto para un hosts)

gt 49151=> source port number OPCIONAL (eq,etc)

10.10.20.1 0.0.0.255 => Destination Address

eq 23 => Final Options (log,range, etc)


R1(config)#access-list 100 deny tcp host 10.10.10.10 10.10.20.0 0.0.0.255 eq www log


util

R2#sh access-lists 100


trainnig 2



Elimina una regla en particular


editar una regla en particular


accl se aplica a interfaces fisicos O virtuales

cuando se aplica a int fisicas es el norma accl standar y number

cuando se aplica a virtuales se les llama access maps


detalles

10 permit tcp host 10.1.2.101 host 10.1.1.100 eq www

20 permit tcp host 10.1.2.102 host 10.1.1.101 eq 443

30 deny ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 (+ especifico)

40 permit ip 10.1.2.0 0.0.0.255 any (general)



access-list 102 permit tcp any any eq www
access-list 102 permit tcp any any eq telnet
access-list 102 permit tcp any any eq smtp
access-list 102 permit tcp any any eq pop3
access-list 102 permit tcp any any eq 21
access-list 102 permit tcp any any eq 20















ACLs

Setear ACL - Number standar

R1(config)#access-list 1 deny 10.0.2.0 0.0.0.255

R1(config)#access-list 1 permit 10.0.1.0 0.0.0.255


Asiganarle ACLs NUMBER STANDAR a una interface

R1(config)#interface f0/0

R1(config-if)#ip access-group 1 out


Setear ACLs - Number extended

R1(config)#access-list 100 permit tcp host 10.0.1.10 host

10.0.0.2 eq telnet (permite acceso a un host)

R1(config)#access-list 100 deny tcp 10.0.1.0 0.0.0.255 host

10.0.0.2 eq telnet (niega acceso a todo lo demas)

R1(config)#access-list 100 permit ip any any (permite demas procesos)


Asiganarle ACLs EXTENDED a una interface

R1(config)#interface f1/0

R1(config-if)#ip access-group 100 in


Setear ACL - Named - Extended

R1(config)#ip access-list extended F1/0_in

R1(config-ext-nacl)#permit tcp host 10.0.1.10 host 10.0.0.2

eq telnet

R1(config-ext-nacl)#deny tcp 10.0.1.0 0.0.0.255 host

10.0.0.2 eq telnet

R1(config-ext-nacl)#permit icmp host 10.0.1.11 host

10.0.0.2 echo

R1(config-ext-nacl)#deny icmp 10.0.1.0 0.0.0.255 host

10.0.0.2 echo

R1(config-ext-nacl)#permit ip any any (permite todos los demas procesos)


Asiganarle ACLs NAMED - EXTENDED a una interface

R1(config)#int f1/0

R1(config-if)#ip access-group F1/0_in in


UTILES

R1(config)#sh access list

R1(config)#sh access list 100

R1(config)#sh ip int f0/1













accl-resumen

ACCL -RESUMEN



number standar (1 - 99)

solo importa el source o origen

access-lis 1 permit host || red (WC)


number extended y named (100 -199) + alias

Importa el origen y el destino

access-list 100 accion protocolo source + destino + aplicaion


accion => permit, deny , remark


protocolo + capa de transport => TCP || UDP (capa transporte)

protocol + comunes => IP, ICMP, ANY

protocolos + extraños => ahp, eigrp,esp,gt,lt


source => host (+ puerto opcional) || red+ WC


ejemplos especificacion de numero de host mediante WC - fucion

permit tcp host 10.1.2.101 10.1.1.100 0.0.0.1 eq www
















Named ACLs

Named ACLs



ACL Improvement: Named ACLs


R1(config)#ip access-list extended Flackbox-Demo


R1(config-std-nacl)#permit tcp host 10.0.1.10 host 10.0.0.2 eq telnet

R1(config-std-nacl)#deny tcp 10.0.1.0 0.0.0.255 host 10.0.0.2 eq telnet


(*) mejor asi bloquea cualquier otra su net

R1(config-std-nacl)#deny tcp any host 10.0.0.2 eq telnet 


(*) para desabilitar la opcion deny deny por defecto

R1(config-std-nacl)# permit ip any any



asignando ACLs a una interface

R1(config)#int f0/0

R1(config-if)# ip access-group Flackbox-Demo



utiles

sh access list

sh int f0/0




Number Extended ACL

Extended



configuracion extended

Primero host permitidos

R1(config)# access-list 100 permit tcp 10.10.10.0

0.0.0.255 gt 49151 10.10.50.10 0.0.0.0 eq telnet


segundo host negados o general

R1(config)# access-list 100 deny tcp 10.10.10.10 0.0.0.0

gt 49151 10.10.50.10 0.0.0.0 eq 23


tercero especificar que todo lo demas funcione

R1(config)# access-list 100 permit ip any any


Cuarto Aplicar los ACLs a una interface el cual sera el mas proximo al requerimeinto o source


R1(config)# int f0/0

R1(config)# ip access-group 100 in


Nota

IMPORTANTE primero especificar los host permitidos y luego NEGAR a toda la red, sino se bloquean todos los host incluido el que quieres permitir


SOLO UN acl (reglas )por interface


in / out = hace referencia entrada salida de la comunicacion


eq = hace referencia al Nro de puerto o servicio ejemplo telnet


Number Standard ACLs

NUmber Standard


<1-99> IP standar access list


cisco aumento o expandio mas

<1300-1999> IP standard access list



standar

R1(config)# access-list 1 deny 10.10.10.10 0.0.0.0

R1(config)# access-list 1 permit 10.10.10.0 0.0.0.255

R1(config)# access-list 1 permit ip any any

R1(config)#int f0/0

R1(config-if)#ip access-group 1 out

nota

0.0.0.0 niega acceso a un host por defecto se puede obviar

0.0.0.255 permite una red obligatorio wild car









network redundacy

network redundacy



Configuracion

Static route to SP1:

ip route 0.0.0.0 0.0.0.0 203.0.113.1

Backup default static route via R2 if link to SP1 goes down:

ip route 0.0.0.0 0.0.0.0 10.10.20.2 5

Backup route to inside via R2 if link to CD1 goes down:

ip route 10.10.10.0 255.255.255.0 10.10.20.2


FHRP

FHRP - first hop redundacy protocol




1 crear un gateway virtual en los routers


R1(config)#interface g0/1

R1(config-if)#ip address 10.10.10.2 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#standby 1 ip 10.10.10.1


2 darle prioridad a una router

standby 1 priority 110


3 habilitar pre emption

standby 1 preempt


4 a setear la misma verion de hsrp

standby 1 version 2


Training 2


5 - cuando hay diferentes VLANS el standby no trabaja con interfaces fisicas, sino se trabaja con las interfaces de vlans y cada una tiene su propia standby.


utiles


sh standby => detalles de gateway virtual

loop - prevention

Loop prevention at layer 3



Loop prevention at layer 2

FHRP cisco

GLBP

GLBP - gateway load balancing protocol



HSRP

HSRP - hot standby router protocol (para el examen)




configuracion:


R1(config)#interface g0/1

R1(config-if)#ip address 10.10.10.2 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#standby 1 ip 10.10.10.1



R2(config)#interface g0/1

R2(config-if)#ip address 10.10.10.3 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#standby 1 ip 10.10.10.1


utilies

R1#show standby



PRIORITY PRE - EMPTION


configuracion

R1(config)#interface g0/1

R1(config-if)#ip address 10.10.10.2 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#standby 1 ip 10.10.10.1

R1(config-if)#standby 1 priority 110

R1(config-if)#standby 1 preempt


R2(config)#interface g0/1

R2(config-if)#ip address 10.10.10.3 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#standby 1 ip 10.10.10.1

R2(config-if)#standby 1 priority 90



HSRP Version



R1(config)#interface g0/1

R1(config-if)#ip address 10.10.10.2 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#standby 1 ip 10.10.10.1

R1(config-if)#standby version 2



R2(config)#interface g0/1

R2(config-if)#ip address 10.10.10.3 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#standby 1 ip 10.10.10.1

R2(config-if)#standby version 2









FHRP standars

VRRP

VRRP - VIRTUAL ROUTER REDUNDANCY PROTOCOL




combinacio HSRP - STP

Combinacion de HSRP - STP



R1(config)#interface g0/1.10

R1(config)#encap dot1q vlan 10

R1(config-if)#ip address 10.10.10.2 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#standby 1 ip 10.10.10.1

R1(config-if)#standby 1 priority 110

R1(config-if)#standby 1 preempt


R1(config)#interface g0/1.20

R1(config)#encap dot1q vlan 20

R1(config-if)#ip address 10.10.20.2 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#standby 1 ip 10.10.20.1

R1(config-if)#standby 1 priority 90


R2(config)#interface g0/1.10

R1(config)#encap dot1q vlan 10

R2(config-if)#ip address 10.10.10.3 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#standby 1 ip 10.10.10.1

R2(config-if)#standby 1 priority 90


R2(config)#interface g0/1.20

R1(config)#encap dot1q vlan 20

R2(config-if)#ip address 10.10.20.3 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#standby 1 ip 10.10.20.1

R2(config-if)#standby 1 priority 110

R2(config-if)#standby 1 preempt






inter VLAN routing

QUE APRENDISTE

OPT 1 INTERFACES SEPARADAS 

1 setear default getways

R1(config)#interface FastEthernet 0/0

R1(config-if)#ip address 10.10.10.1 255.255.255.0

R1(config-if)#no shutdown


R1(config)#interface FastEthernet 0/1

R1(config-if)#ip address 10.10.20.1 255.255.255.0

R1(config-if)#no shutdown


2 asignarles una VLAN a esa int

SW2(config)#interface FastEthernet 0/1

SW2(config-if)#switchport mode access

SW2(config-if)#switchport access vlan 10


OPT 2 ROUTER ON STICK


1 configurar SUB INTERFACES

R1(config)#interface FastEthernet 0/0

R1(config-if)#no ip address

R1(config-if)#no shutdown

R1(config-if)#interface FastEthernet 0/0.10

R1(config-subif)#encapsulation dot1q 10

R1(config-subif)#ip address 10.10.10.1 255.255.255.0


2 asignar un trunk port etiquetado

SW2(config)#interface FastEthernet 0/1

SW2(config-if)#switch trunk encap dot1q

SW2(config-if)#switchport mode trunk



OPT 3 LAYER 3 SW


1 habilitar ruteo por ips en el L3 - sw

SW2(config)#ip routing


2 configurar las vlans en el router

SW2(config)#interface vlan 10

SW2(config-if)#ip address 10.10.10.1 255.255.255.0


3 a configurar un puerto en L3 sw para conexion internet


SW1(config)#interface FastEthernet 0/1

SW1(config-if)#no switchport

SW1(config-if)#ip address 10.10.10.1 255.255.255.0

SW1(config)#ip route 0.0.0.0 0.0.0.0 10.10.100.2












OPT-3 Layer 3 switch

OPT-3 Layer 3 switch



CMD


SW

SW1(config)#ip routing

SW1(config)#interface vlan 10

SW1(config-if)#ip address 10.10.10.1 255.255.255.0

SW1(config)#interface vlan 20

SW1(config-if)#ip address 10.10.20.1 255.255.255.0


SW1(config)#interface FastEthernet 0/1

SW1(config-if)#no switchport

SW1(config-if)#ip address 10.10.100.1 255.255.255.0

SW1(config)#ip route 0.0.0.0 0.0.0.0 10.10.100.2


Router

R1(config)#interface FastEthernet 0/1

R1(config-interface)#ip address 10.10.100.2 255.255.255.0

R1(config)#interface FastEthernet 0/2

R1(config-interface)#ip address 203.0.113.1 255.255.255.0

R1(config)#ip route 0.0.0.0 0.0.0.0 203.0.113.2

R1(config)#ip route 10.10.0.0 255.255.0.0 10.10.100.1

OPT-2 router on a stick

OPT-2 router on a stick (ojo * mas preguntada en ele examen)


CMD


ROUTER

R1(config)#interface FastEthernet 0/1

R1(config-interface)#no ip address

R1(config-interface)#no shutdown

R1(config)#interface FastEthernet 0/1.10

R1(config-interface)#encapsulation dot1q 10

R1(config-interface)#ip address 10.10.10.1 255.255.255.0

R1(config)#interface FastEthernet 0/1.20

R1(config-interface)#encapsulation dot1q 20

R1(config-interface)#ip address 10.10.20.1 255.255.255.0

R1(config)#ip route 0.0.0.0 0.0.0.0 203.0.113.2


SW

SW1(config)#interface FastEthernet 0/1

SW1(config-if)#switchport mode trunk



OPT-1 router with separate interfaces

OPT-1 router with separate interfaces



CMD


ROUTER

R1(config)#interface FastEthernet 0/1

R1(config-interface)#ip address 10.10.10.1 255.255.255.0

R1(config)#interface FastEthernet 0/2

R1(config-interface)#ip address 10.10.20.1 255.255.255.0

R1(config)#ip route 0.0.0.0 0.0.0.0 203.0.113.2


SW

SW1(config)#interface FastEthernet 0/1

SW1(config-if)#switchport mode access

SW1(config-if)#switchport access vlan 10

SW1(config)#interface FastEthernet 0/2

SW1(config-if)#switchport mode access

SW1(config-if)#switchport access vlan 20


TOPOLOGIAS
LOGICAS

Es la manera de como la data se transmite por la red

ejemplo los sgtes protocolos

802.3 ethernet csma/CD (cableado)

802.11 wireless CSMA/CA (wireless)

FISICAS

cableadas - tipos


wireless networks



wireless

Baja frecuencia = vibra lento (am, 10 MHzs)

Alta frecuencia = vibra rapido (micro hondas, 802.11, 2,4Hhz)

cableado

Ethernet


fibra optica


SMF -single mode fiber

MMF -multi mode fiber

coaxial cable

Tecnologia anticuada que es utilizada bastante en la conexion de modems.


cable trensado de cobre

Colores


Por que son cruzados


TCP/IP MODEL

TCP/IP



Layer 4 application => application, presentacion, session

Layer 3 transporte => transporte(4 - osi)

Layer 2 internet => network (3 osi)

Layer 1 network => fisica, data link

LAYER 1 NETWORK
LAYER 2 INTERNET
LAYER 3 TRANSPORT
LAYER 4 APPLICATION
OSI MODEL

capas del host


capas de red

please - do-not-throw-sassage-pizza-away

MEDIA LAYERS

MEDIA LAYERS


LAYER 1 PHYSICA (BITS)

LAYER 2 DATA LINK (FRAMES)

DATA LINK O enlace de datos



protocolos de encapsulamiento en la capa DATA LINK




CRC cycle redundancy check

FCR







ARP

ARP - address resolution protocol


LAYER 3 NETWORK (PACKETS)

LAYER 3 NETWORK



LA MASCARE DE RED


ICMP

IP

IP -internet protocol


dinamicas

IP dinamicas


staticas

IPs staticas


HOST LAYERS

HOST LAYERS


LAYER 4 TRANSPORT (SEGMENTS)

LAYER 4 - TRANSPORT



UDP

UDP (user datagram protocol)


TCP

TCP - transmision control protocol



LAYER 5 - SESSION (DATA)

LAYER 5 SESSION


LAYER 6 - PRESENTATION (DATA)

LAYER 7 - APPLICATION - (DATA)

LAYER 7 APPLICATION


management protocols

SMB - 445 - TCP

SMB - server message block


LDAPS - 636 - TCP

LDAPS


LDAP - 389 - TCP

LDAP - light directory access protocol


SNMP - 161 - UDP

SNMP - simple network management protocol


DHCP 67 - 68 - UDP

DHCP - dynamic host configuration protocol


NTP - 123 - TCP

NTP network time protocol


DNS - 53 - TCP/UDP

DNS - domain name system


web protocols

HTTPS - 443 - TCP

HTTTP - 80 - TCP

Email protocols

IMAP - 143 -TCP

IMAP - internet message access protocol


POP3 - 110 - TCP

POP3 - post office protocol


SMTP - 25 -TCP

SMTP - simple mail transfer ptotocol


remote protocols

SSH - 22 -TCP

SSH - secure shell


TELNET - 23 - TCP

telnet


RDP - 3389 -TCP

RDP - remote desk protocol


File transfer protocols

SFTP - 22 - TCP

SFTP

TFTP - 69 - UDP

TFTP - trivial file transfer protocol


FTP - 21 - TCP

FTP - file transfer protocol


LATE -BROADCAST - COLLISION DOMAIN

BROADCAST DOMAIN




COLLISION DOMAIN


LATE COLLISION

TIPOS DE NETWORKS

Porque crear una network?

WAN - wide area network
MAN - metropolitan area network
CAN - campus area network

Spine-leaf design


east to wesr la manera moderna de diseñar redes

Campus Lan Desing


capas

collapse distribution and core

collapse distribution and core


core

CORE Layer



Network Redundancy – Layer 3 Configuration


configuracion


Static route to SP1:

ip route 0.0.0.0 0.0.0.0 203.0.113.1

Backup default static route via R2 if link to SP1 goes down:

ip route 0.0.0.0 0.0.0.0 10.10.20.2 5

Backup route to inside via R2 if link to CD1 goes down:

ip route 10.10.10.0 255.255.255.0 10.10.20.2

distribution

Distribution



Network Redundancy


access

ACCESS LAYER



Network Redundancy – Access Layer


wireless network

tipos

WMAN

WMAN (Wireless Metropolitan Area Network)

WPAN

WPAN (Wireless Personal Area Network)

WLAN - wireless local area network

WLANS


WLC

WLC Wireless LAN Controllers

Split MAC

Split MAC

split mac - operaciones de APs

split mac - operaciones WLC


CAPWAP

CAPWAP (Control And Provisioning of Wireless Access Points)


terminologia

terminologia

DS (Distribution System)


BSSID (Basic Service Set Identifier)


BSA (Basic Service Area)


SSID (Service Set Identifier)


Roaming


protocolos

IEEE 802.11

IEEE 802.11 (Institute of Electrical and Electronics Engineers)


RFID

IR

NFC

Bluetooth

ANT+

Z-wave

tipos de antenas

unidireccional

omnidireccional

WAP

WAP

MU - MIMO

MU - MIMO multiple users

MIMO

MIMO - multiple inputs multiple outputs


Tipos de servicio

WiFi Direct Predefined Services

WiFi Direct Predefined Services


ESS

ESS - extended service set


BSS

BSS - basic service set


Ad Hoc networks

Ad Hoc networks


LAN - local area network

Objetivo

Objetivo


deben ser diseñadas para


  1. scalability
  2. performance
  3. security
PAN - personal area network
network architecture
CLIENT - SERVER
PEER TO PEER


Teoria
Defensas

Password Attacks

Password Attacks





Spoofing, Man In The Middle and Reflection Attacks

Spoofing, Man In The Middle and Reflection Attacks


DDoS Distributed Denial of Service

DDoS Distributed Denial of Service


Reconnaissance and Social Engineering

Reconnaissance and Social Engineering



Malware

Malware


VPN

Client - site VPN

Client - site VPN


Site-to-Site VPNs

Site-to-Site VPNs


SSL, TLS and HTTPS

SSL, TLS and HTTPS



HTTPS


como funciona


  1. amazon.com genera una llave publica y privada
  2. le manda un certificado request con a llave publica a una autoridad certificadora AC
  3. la autoridad constata que eres amazon realmente quien manda
  4. de ser correcto te regresa tu certificado firmado por ellos
  5. cuando abres amazon.com este le manda al browser su certificado publico firmado por AC y el browser en tu PC valida esa firma de AC (puede ser visto en security del browser)
  6. Luego tu PC le manda a mazon un mensaje ramdom para que desemcripte con su llave privada para autenticar que es el verdadero amazon.com y te devuelve el mensaje que se desemcripta en tu PC se autentica
  7. tu PC generara un shared key y se la mandara con la llave publica de amazon.com este lo desencriptara con la su privada y tendra tambien una shared key ahora ambos tiene una misma shared key apartir de ahora info como tarjetas de credito se encriptaran utilizando encriptao asimetrico


Criptografia

Criptografia


Asymmetric Encryption

Asymmetric Encryption




Symmetric Encryption

Symmetric Encryption


firewalls



Packet fiters



Ataques comunes

Ataques comunes


Reconnaissance : colectar info de la victima

Social Engineering: manipular pretender ser alguien mas para colocar info personal

Phishing: pretendiendo ser una empresa reputable get individuals to reveal personal

Data Exfiltration: sacar info de una ORG sin autorizacion

DoS Denial of Service: hacer caer es sitema puede ser bloqueado cuando el ataque viene de una solo pc

DDoS Distributed Denial of Service: cuando el hacker utiliza diferentes pc que infecto como fuerza de ataque DoS dificil bloquear todoas las IPs de ataque

Spoofing: fakes their identity,IP,MAC, etc

Man In The Middle Attacks: attackers se mete entre host legitimos y puede leer y modificar data

Password Attacks:Guessing,Brute Force,Dictionary attacks

Packet Sniffers: WireShark read the sent and received packets

conceptos

The Security Threat Landscape


Threat: amenaza potencial

Vulnerability: debiidad del sistema

Exploit: es el uso de esa vulnerabilidad para dañar

Risk: es una probablilidad de ataque exitoso

Mitigation: tecnicas para reducir los daños


Malware

es un sofware malicioso como:

Viruses: Requires human action to spread de una PC a otra

Worms: virus que se propagan en un sitema por si mismos

Trojan horses: parecen buenos pero instalan programas

Ransomware: encrypta data y pagas por una llave para ver


tipos de hackers

Script Kiddies: low skilled attackers que compran sofwares de hackers


Targeted Attacks: Skilled attackers que apuntan a objetivos especificos

DEVOPS

Relaciones entre tablas one to many

comandos docker

puertos en contenedores

DOCKER
Que debes saber

Si deseas aprender a trabajar con Docker, lo ideal es que comiences por los siguientes temas:


1 Conceptos básicos de Docker: Esto incluye conocer qué es Docker, cómo funciona y cómo se relacionan los diferentes componentes (imágenes, contenedores, registros, Dockerfiles, etc.).


2 Instalación y configuración de Docker: Debes saber cómo instalar y configurar Docker en tu sistema operativo local o en un servidor remoto.


3 Creación de imágenes de Docker: Debes aprender cómo crear tus propias imágenes de Docker utilizando Dockerfiles y cómo construir y publicar imágenes en un registro.


4 Gestión de contenedores: Debes conocer cómo iniciar, detener, eliminar y monitorear contenedores de Docker, así como cómo configurar la comunicación entre contenedores y con el exterior.


5 Orquestación de contenedores: Debes saber cómo utilizar herramientas como Docker Compose y Kubernetes para orquestar y gestionar múltiples contenedores de Docker en un entorno de producción.


6 Integración con otras herramientas: Debes aprender cómo integrar Docker con otras herramientas populares, como Jenkins, Git, Ansible y Elasticsearch.


7 Seguridad y monitoreo: Debes conocer las mejores prácticas para garantizar la seguridad de los contenedores y cómo monitorear su rendimiento y estado.


all-labs

****lab - document root

1- que es?

2- como se busca informacion como ubicacion?

3- como cambias ubicacion del document root


*** lab - Dockerfile

1- que es?

2- que es el contexto?

3- que es el .dockerignore?

4- para que sirve el .dockerignore

5- como se utiliza


*** lab - Imagenes

1- descarga una imagen oficial 

2- descraga una imagen oficial con tag

3- lista todas las imagenes

4- crea una imagen con dockerfile

5- crea una imagen de un dockerfileNombreDistinto

6- ver historial de como se creo una imagen

7- que es una dangling images

8- listado de imagenes dangling 

9- eliminar imagenes dangling


***lab-volumen

1- que es y para que sirven los volumenes

2- cuantos tipos de volumenes hay 

3- donde se guardan los volumenes si no se especifican la ruta

4- que pasa si ejecutas docker rmi -fv

5- crud volumenes

6- asignar un vol a un contenedor


*** lab - redes

1- cuantos tipos de redes hay 

2- cual es la red, inteface y gateway por defecto de un contenedor

3- crud network 

4- cmd para crearsubnet, ip manual y gateway

5- conectar o desconectar un contenedor a una red distinta


*** lab - recursos

1- lista recursos que utiliza un contenedor

2- limita memoria a 500mb de un contenedor

3- limita cpu de un contenedor a 2 nucleos

4- limita el cpu al 10%

5- ver tamaño del uso del disco

6- asignar tamaño del disco al contenedor

7- que pasa si no limitas los recursos de los contenedores



*** lab - utils 

1- copia archivos del host al contenedor

2- copia archivos del contenedor al host

3- copia el contenido total de un archivo al contenedor

4- convertir un contenedor a una imagen

5- sobre escribir el CMD de un contenedort

6- auto destruir contenedores

7- ver logs de los contenedores

8- lista todos los contenedores

9- lista el ultimo contenedor creado

10- ve detalles del un contenedor

11- elimina todas las imagenes dangling

12- acceder a un contenedor 

13- acceder a un contenedor como root








respuestas-all

document root

1- es un sistema de archivos que se crea al instalar docker

2- docker info | grep -i root

3- a) asignarle un ubicacion en el host 

   => opt/docker

  b) mover el documento hacia su nueva ubicacion 

   => mv var/lib/docker opt/docker

  c) modificar la configuracion en el docker.service 

   => vim /lib/systemd/system/docker

   => ExecStart=/usr/bin/dockerd -H fd:// --data-root /opt/docker

  d) aplicar los cambios

   => systemct daemon-reload

 

  Dockerfile

1- es un documento que sirve para crear o persolizar images

2- es el directorio donde se encuentra el Dockerfile

3- es un archivo oculto ubicado en el mismo contexto del Dockerfile 

4- para que al momento de crear la imagen no se consideren archivos o carpetas en el contexto

5- touch .dockerignore => vim .dockerignore => nombreCarpetas del contexro a ignorar 


***Repuesta-Imagenes

1- docker pull mongo

2- docker pull myslq:5.7

3- docker images

4- docker build -t ni .

5- docker build -t ni -f dockerfileNombreDistinto

6- docker history -H ni

7- son imagenes huerfanas que no se utilizan

8- docker images -f dangling=true

9- docker images -f dangling=true -q | xargs docker rmi  


***respuestas volumenes

1- son carpetas fuera del contenedor que sirevn para persistir la data

2- anonimos- nombrados - dangling

3- en la carpeta volumen de document root

4- se eliminas las imagenes y los volumenes anonimos

5- docker volume [create rm ls] nv

6- docker run -d --name nc -v nv:ruta/dentroContenedor ni


respuestas - redes

1- bridge - host - none

2- red=bridge int=docker0 gateway=docker0

3- docker network [create rm ls inspect ] nr 

4- docker run -d --network -d bridge nr --subnet 172.16.0.0 --ip 172.16.0.50 --gateway 172.16.0.1 ni

5- docker network connect nr nc [disconnect]


*** respuestas recursos 

1- docker stats nc

2- docker run -d -m "500mb" --name nc ni

3- docker run -d --cpuset-cpus 0-1 --name nc ni

4- docker run -d --cpus="0.1" ni

5- docker ps -s

6- docker run -d --storage-opt size=10G ni

7- utiliza el total de los recursos del host


*** respuestas utils

1- docker cp archivo/host nc:/ruta/contenedor

2- docker cp nc:archivo/contenedor ruta/host

3- docker cp archivo/. nc:/ruta/contenedor

4- docker commit nc ni (el cmd del primer plano puede perderse)

5- docker run -d --name nc ni CMDnuevo

6- docker run -rm --name nc ni

7- docker logs -f nc

8- docker ps -a

9- docker ps -l

10- docker inspect nc

11- docker images -f dangling=true -q | xargs docker rmi 

12- docker exec -ti nc /bin/bash

13- docker exec -ti -u root nc /bin/bash








Instalacion

desinstalacion de docker


sudo docker stop $(sudo docker ps -a -q)

sudo docker rm $(sudo docker ps -a -q)

sudo apt-get remove docker docker-engine docker.io containerd runc

*********************Centos*********************************

sudo yum remove docker docker-client docker-client-latest docker-common docker-latest docker-latest-logrotate docker-logrotate docker-engine

************************************************************

sudo rm -rf /var/lib/docker

sudo groupdel docker









Componentes Docker

Docker-compose

Docker-compose


Estructura


version: "3"

services:

volumes:

networks:


*************************************************


version: '3.8'

services:

 servicio1:

  build:

   context: ./ruta_contexto

   dockerfile: Dockerfile

  container_name: nombre_contenedor1

  image: nombre_imagen1:tag

  ports:

   - puerto_host1:puerto_contenedor1

  volumes:

   - volumen_host1:volumen_contenedor1

  networks:

   - red1

  env_file:

   - archivo_variables1.env

  environment:

   - VARIABLE1=valor1

   - VARIABLE2=valor2

  restart: always

  depends_on:

   - servicio2

  deploy:

   resources:

    limits:

     cpus: '0.5'

     memory: 512M

    reservations:

     cpus: '0.2'

     memory: 256M

 servicio2:

  container_name: nombre_contenedor2

  image: nombre_imagen2:tag

  ports:

   - puerto_host2:puerto_contenedor2

  volumes:

   - volumen_host2:volumen_contenedor2

  networks:

   - red1

  env_file:

   - archivo_variables2.env

  environment:

   - VARIABLE3=valor3

   - VARIABLE4=valor4

  restart: unless-stopped

  deploy:

   resources:

    limits:

     cpus: '1.0'

     memory: 1G

    reservations:

     cpus: '0.5'

     memory: 512M


volumes:

 volumen_host1:

  driver: nombre_driver1

 volumen_host2:

  driver: nombre_driver2


networks:

 red1:

  driver: bridge


**************************+

Nota

volumen_host2:

 driver: local, nfs,s3,azure_file,gcs


deploy:

  resources:


restart: always





















compose-cmd

Docker compose cmd


Docker-compose up -d

docker-compose -f doc.yaml up -d 

Docker-compose start

Docker-compose restart

Docker-compose build


Docker-compose logs -f

Docker-compose top


Docker-compose down

Docker-compose stop



Nota

dc build primero recrea las imagenes requeridas en en yml

contenedores

CONTENEDOR (es la instancia de una imagen)


docker ps -a

docker inspect nc

docker logs -f nc


docker run -d --name nc NI

docker rename nameNew oldName

docker run -dti -e "entorno=12345" --name nc ni


docker run -d -p 8080:8080 ni

docker [start restart stop] nc

docker exec -ti nc /bin/bash

docker exec -ti -u root nc /bin/bash


docker rm -fv nc

docker rm -fv $(docker ps -aq) => borra todo

docker ps -q | xargs docker rm -fv => borra todo



Notas

d = detach corre en segundo plano

cualquier cosa que se modifique en el contenendor es temporal si lo eliminas se pedera toda la info

servicios


MYSQL

docker run -d --name mysql -p 3306:3306 -e "MYSQL_ROOT_PASSWORD=server" mysql:5.7


mysql -u root -h IPcontenedor -pserver

mysql -u root -pserver -h 127.0.0.1--port 3333


Nota

ip del contenedor = docker inspect

-p 3333:3306 puerto del host hacia el contenedor

-e "MYSQL_ROOT_PASSWORD=server" password root

-e "MYSQL_DATABASE=ndb" = crea esa base de datos

-e "MYSQL_USER=nu"

-e "MYSQL_PASSWORD=pu"



utils

Utils


copiar archivos

docker cp ruta/origen nc:/ruta/destino (del host al contenedor)

docker cp nc:/ruta/origen ruta/destino (del contenedor al host)

docker cp release/. nc:ruta (/. copia todo el contenido de release )


convertir un contenedor a una imagen (*)

docker commit ncExistente niResultante


sobre escribir el cmd de un contenedor (**)

docker run -d -p 80:8080 centos python -m SimpleHTTPServer 8080


Autodestruir contenedores (***)

docker run --rm -ti centos


Nota

(*)al crear una imagen con el commit si puede perder el CMD para que corra se coloca el cmd al final docker run -d ni bin/bash


(*)cuando se realiza un commit lo que este en volumenes no se guradara en la imagen resultante pero si todo lo que este fuera de la carpeta de volumen


(**) despues que se indica cual es la imagen que se utilizara para crear el contenedor se especifica el cmd


(***) el contenedor se eliminara despues de salir de el




lab - utils

*** lab - utils 

1- copia archivos del host al contenedor

2- copia archivos del contenedor al host

3- copia el contenido total de un archivo al contenedor

4- convertir un contenedor a una imagen

5- sobre escribir el CMD de un contenedort

6- auto destruir contenedores

7- ver logs de los contenedores

8- lista todos los contenedores

9- lista el ultimo contenedor creado

10- ve detalles del un contenedor

11- elimina todas las imagenes dangling

12- acceder a un contenedor 

13- acceder a un contenedor como root

respuestas-utils

*** respuestas utils

1- docker cp archivo/host nc:/ruta/contenedor

2- docker cp nc:archivo/contenedor ruta/host

3- docker cp archivo/. nc:/ruta/contenedor

4- docker commit nc ni (el cmd del primer plano puede perderse)

5- docker run -d --name nc ni CMDnuevo

6- docker run -rm --name nc ni

7- docker logs -f nc

8- docker ps -a

9- docker ps -l

10- docker inspect nc

11- docker images -f dangling=true -q | xargs docker rmi 

12- docker exec -ti nc /bin/bash

13- docker exec -ti -u root nc /bin/bash

recursos

Recursos


docker stats nc


Memoria

docker run --help | grep memory

docker run -d -m "500mb" --name nc ni (limita ram a 500mb)


cpu

docker run --help | grep cpu

docker run -d --cpuset-cpus 0-1 --name nc ni

docker run -it --cpus=".1" ubuntu /bin/bash (limitar al 10%)


disco

docker ps -s => tamaño del disco

docker images => tamaño de las imagenes

docker run --storage-opt size=10G nombre_de_la_imagen


Nota

lab - recursos

*** lab - recursos

1- lista recursos que utiliza un contenedor

2- limita memoria a 500mb de un contenedor

3- limita cpu de un contenedor a 2 nucleos

4- limita el cpu al 10%

5- ver tamaño del uso del disco

6- asignar tamaño del disco al contenedor

7- que pasa si no limitas los recursos de los contenedores

respuesta-recursos

*** respuestas recursos 

1- docker stats nc

2- docker run -d -m "500mb" --name nc ni

3- docker run -d --cpuset-cpus 0-1 --name nc ni

4- docker run -d --cpus="0.1" ni

5- docker ps -s

6- docker run -d --storage-opt size=10G ni

7- utiliza el total de los recursos del host

Redes


Bridge es la red por defecto

docker0 interface por defecto (ip add | grep docker)

gateway = docker0



CMDs


docker network ls

docker network create nr

docker network create -d bridge --subnet 172.16.23.0/24 --gateway 172.16.0.1 nr (red con subnet y gateway)

docker network inspect nr

docker run -d --network nr ni (el contenedor pertenece a esa red)

docker run -d --network nr --ip 172.17.0.50 ni (asigna ip)

docker network connect nr nc (conecta el cont a otra red)

docker network disconnect nr nc (desconecta el cont de nr)

docker network rm nr (elimina contenedor)



lab-redes

*** lab - redes

1- cuantos tipos de redes hay 

2- cual es la red, inteface y gateway por defecto de un contenedor

3- crud network 

4- cmd para crearsubnet, ip manual y gateway

5- conectar o desconectar un contenedor a una red distinta

respuesta redes

*** respuestas - redes

1- bridge - host - none

2- red=bridge int=docker0 gateway=docker0

3- docker network [create rm ls inspect ] nr 

4- docker run -d --network -d bridge nr --subnet 172.16.0.0 --ip 172.16.0.50 --gateway 172.16.0.1 ni

5- docker network connect nr nc [disconnect]

none

none


crea un contenedor sin red


docker run -d --network none --name nc ni

host

Host


al contenedor se le asigna la misma IP y red del host


docker run -d --network host --name nc ni

bridge

bridge


Bridge es la red por defecto

Volumenes


1 puedes indicar la ruta de una carpeta especifica en el host que servira de backup al crear un contenedor opt/mysql


2 si no especificas una ruta, docker le asignara por defecto la carpeta de volumenes del document root


lab-vol

***lab-volumen

1- que es y para que sirven los volumenes

2- cuantos tipos de volumenes hay 

3- donde se guardan los volumenes si no se especifican la ruta

4- que pasa si ejecutas docker rmi -fv

5- crud volumenes

6- asignar un vol a un contenedor

respuestas-vol

respuestas volumenes

1- son carpetas fuera del contenedor que sirven para persistir la data si se elimina un contenedor tambien se elimina la data

2- anonimos- nombrados - dangling

3- en la carpeta volumen de document root

4- se eliminas las imagenes y los volumenes anonimos

5- docker volume [create rm ls] nv

6- docker run -d --name nc -v nv:ruta/dentroContenedor ni

vol. dangling

Volume dangling


Vol. nombrados

Volumenes nombrados



docker volume create nV

docker run -d –name nc -p 80:80 -v nV:/var/lib/mysql mysql


******

ls -l /var/lib/docker

nV


CMDS

docker volume ls

docker volume ls -f dangling=true

docker volume create nV

docker volume rm nV

Vol. anonimos

Volumenes anonimos



 docker run -d –name nc -p 80:80 -v /var/lib/mysql mysql

Document root

Document root


docker info | grep -i root

/var/lib/docker


Cambiar de ubicacion el document root


ubicacion por defecto del document root

/var/lib/docker


ubicacion del archivo de configuracion de docker

vim /lib/systemd/system/docker.service

indicar nueva ruta

ExecStart=/usr/bin/dockerd -H fd:// --data-root /opt/docker

systemct daemon-reload


mv /var/lib/docker  /opt/docker

systemctl daemond-reload


Nota

son un conjunto de carpetas que docker crea para gestionar su funcionamiento ejemplo volumenes, contenedores, imagenes etc


lab-dr

****document root

1- que es?

2- como se busca informacion como ubicacion?

3- como cambias ubicacion del document root 


respuesta

Respuesta document root


1- es un sistema de archivos que se crea al instalar docker

2- docker info | grep -i root

3- a) asignarle un ubicacion en el host 

   => opt/docker

  b) mover el documento hacia su nueva ubicacion 

   => mv var/lib/docker opt/docker

  c) modificar la configuracion en el docker.service 

   => vim /lib/systemd/system/docker

   => ExecStart=/usr/bin/dockerd -H fd:// --data-root /opt/docker

  d) aplicar los cambios

   => systemct daemon-reload

Imagenes

IMAGENES


Imagenes oficiales - https://hub.docker.com/

docker pull mongo (tag por defecto latest)

docker pull mongo:3.1.2 (tag especificada

docker images (listado)

docker rmi ni


Imagenes personalizadas

docker build -t (tag) ni .

docker build -t ni -f ndf (nombre dockerfile)

docker history -H ni:tag (detalla de como se creo la imagen)


Dangling imagenes


docker images -f dangling=true

docker images -f dangling=true -q | xargs dorcker rmi

lab-imagenes

lab-imagenes


***Imagenes

1- descarga una imagen oficial 

2- descarga una imagen oficial con tag

3- lista todas las imagenes

4- crea una imagen con dockerfile

5- crea una imagen de un dockerfileNombreDistinto

6- ver historial de como se creo una imagen

7- que es una dangling images

8- listado de imagenes dangling 

9- eliminar imagenes dangling 

10- copiar una imagen con otro nombre

respuestas-lab-imagenes

Imagenes

1- docker pull mongo

2- docker pull myslq:5.7

3- docker images

4- docker build -t ni .

5- docker build -t ni -f dockerfileNombreDistinto

6- docker history -H ni

7- son imagenes huerfanas que no se utilizan

8- docker images -f dangling=true

9- docker images -f dangling=true -q | xargs docker rmi  

10- docker tag ni otroNi


Dockerfile

Dockerfile (imagen personalizada)


FROM <imagen>[:<etiqueta>]

LABEL <clave>=<valor> <clave>=<valor> ...

MAINTAINER <nombre> <correo electrónico>

RUN <comando>

COPY <origen>... <destino>

ADD <origen>... <destino>

ENV <nombre>=<valor>

WORKDIR <directorio>

EXPOSE => indica un puerto abierto para comunicacion entre contenedores

USER => indica que el usuario que ejecutara los cmds inferiores o siguientes

ENTRYPOINT <comando>

ARG <nombre>[=<valor>]

ONBUILD <instrucción>

STOPSIGNAL <señal>

VOLUME <ruta>

HEALTHCHECK [opciones] CMD <comando>

CMD <comando>



Notas

.dockerignore

Contexto

EXPOSE

lab-dockerfile

***Dockerfile

1- que es?

2- que es el contexto?

3- que es el .dockerignore?

4- para que sirve el .dockerignore

5- como se utiliza


respuestas-lab-dockerfile

Dockerfile

1- es un documento que sirve para crear o persolizar images

2- es el directorio donde se encuentra el Dockerfile

3- es un archivo oculto ubicado en el mismo contexto del Dockerfile 

4- para que al momento de crear la imagen no se consideren archivos o carpetas en el contexto

5- touch .dockerignore => vim .dockerignore => nombreCarpetas del contexro a ignorar 

Buenas practicas

1 un contenedor por servicio no apache y mysql en uno solo


2 utilizar backslash para indicar una sola linea

ENV dir www/html/test.txt

RUN \

echo "1" > > $dir && \

echo "2" >> $dir &&


3 pocas capas, entendemos por capas a una instruccion



4 utilizar multi stage para reducir el peso de las imagenes

ejemplo

FROM centos as test

RUN fallocate -l 10M /opt/file


FROM alpine

copy --from=test /opt/file /opt/miFile


NODE

Express

English

A (ei - ea - a - )

wait hate (a+i || a+cons+e ) => ei

dark saw (a+L,r,u,w) => a

cat, hat (a+cons) => a sonriendo

about, banana (no acentuada) =>



DataBases

MYSQL

[mysqld]

datadir=/var/lib/mysql

socket=/var/run/mysqld/mysqld.sock


# Configuración de memoria

key_buffer_size = 256M

max_allowed_packet = 64M

innodb_buffer_pool_size = 512M


# Configuración de seguridad

bind-address = 127.0.0.1 => solo escuche conexiones desde la interfaz de red local (localhost).

skip-networking


# Configuración de registros (logs)

log_error = /var/log/mysql/error.log

slow_query_log = 1

slow_query_log_file = /var/log/mysql/slow-query.log


# Configuración de caracteres y collation

character-set-server = utf8mb4

collation-server = utf8mb4_general_ci


[mysql]

default-character-set = utf8mb4


[client]

default-character-set = utf8mb4


queries advance


Back up database - unaTabla

mysqldump -u nombre_usuario -p nombre_base_de_datos > backup.sql

mysqldump -u nombre_usuario -p nombre_base_de_datos nombre_tabla > respaldo_tabla.sql



Restaura base de datos

mysql -u nombre_usuario -p -e "CREATE DATABASE nombre_base_de_datos;"

mysql -u nombre_usuario -p nombre_base_de_datos < ruta_del_archivo.sql



querys-basicos

MYSQL - QUERIES


**** CREATE

INSERT INTO empleados (nombre, edad, cargo) VALUES ('Juan', 30, 'Gerente');


**** READ

SELECT * FROM usuarios;

SELECT * FROM productos LIMIT 10;

SELECT * FROM clientes WHERE nombre LIKE 'J%';

SELECT * FROM productos WHERE categoria = 'Electrónica' AND precio < 500;

SELECT * FROM productos WHERE categoria IN ('Electrónica', 'Muebles', 'Ropa');


SELECT nombre, precio FROM productos ORDER BY precio DESC;

SELECT COUNT(*) AS total_empleados FROM empleados;

SELECT categoria, COUNT(*) AS cantidad_productos FROM productos GROUP BY categoria;

SELECT SUM(ventas) AS total_ventas FROM ventas;


SELECT empleados.nombre, departamentos.nombre AS departamento 

FROM empleados

JOIN departamentos ON empleados.departamento_id = departamentos.id;


**** UPDATE

UPDATE productos SET stock = stock - 1 WHERE id_producto = 101;


**** DELETE

DELETE FROM clientes WHERE edad > 60;


queries - schema


*** ver columnas

DESC nombre_de_la_tabla;


*** ver tamaño de una database (bytes)

USE nombre_base_de_datos;

SHOW TABLE STATUS;


SELECT SUM(data_length + index_length) AS tamaño_total FROM information_schema.TABLES WHERE table_schema = 'nombre_base_de_datos';


LINUX

Linux

que debes saber

Un administrador de sistemas Linux debe tener conocimientos en áreas como:

  1. Instalación y configuración de servidores y aplicaciones Linux.
  2. Administración de usuarios y permisos.
  3. Configuración de redes y protocolos de comunicación.
  4. Administración de almacenamiento y gestión de discos.
  5. Gestión de paquetes y actualizaciones de software.
  6. Automatización de tareas a través de scripting y programación en Bash y Python.
  7. Configuración de seguridad y gestión de permisos.
  8. Conocimientos en troubleshooting y resolución de problemas.
  9. Monitoreo y registro de actividad del sistema.
  10. Conocimientos en virtualización y contenedores.

Es importante tener una comprensión profunda de los comandos y herramientas de línea de comandos de Linux, así como también tener habilidades de solución de problemas y resolución de problemas.

Hay varias certificaciones que pueden ayudarlo a demostrar sus habilidades como administrador de sistemas Linux, como la CompTIA Linux+, Red Hat Certified System Administrator (RHCSA) y la Linux Professional Institute Certification (LPIC).

lab-all-linux

*** boot process

1- que significa BIOS, que es y su principal funcion

2- que hace y cuales son los princiáles boot loaders

3- que es el initrd

4- en que carpeta se encuentran los archivos de booteo

5- cuantos run levels existen 


*** Lab instalacion de programas

1- que implica la arquitectura de 32 bits

2- que implica la arquitectura de 64 bits

3- que es un repositorio

4- como funciona un repositorio tradicional

5- repositorios snap

6- cual es el archivo y la ubicacion de los repos debian

7- actualiza repo - upgrade programas - de manera mas inteligente acualiza SO

8- lista -busca debian repos  

9- crud gestores de paquetes de debian

10- cual es el archivo y ubicacion de suse repos

11- crud gestor de paquetes suse

respuesta all linux

*** respuestas boot process 

1- basic input output, el un SO independiente que contiene dispositivos booteables, buscar y ejecutar el boot loader

2- inicia el SO, lilo y grub

3- initial ram disk que contiene los drivers necesario para para cargar el SO permanentemente

4- /boot

5- 7 init 0 => apagado init 6 => reinicio


*** respuestas instalacion de programas

1- procesa hasta 32bits a la vez, 

2- procesa hasta 64bits a la vez, puede correr programas de 32 bits instalando sus librerias

3- es un servidor web que comparte, actualiza y lleva un control de versiones de los programas 

4- al instalar un paquete no descarga todos las librerias xq comparte las que ya estan en el sistema

5- descarga todas las librerias necesarias del paquete no necesita internet se puede copiar a un usb

6- source.list /etc/apt/source.list

7- apt update - apt upgrade - apt dist-upgrade - apt do-release-upgrade

8- sudo apt-cache policy - sudo apt search nr

9- dpkg -i /apt install /apt-get/snap || apt remove np

10- yum.repos.d /etc/yum.repos.d

11- rpm -i /yum install/yum update/ yum remove 

LOGS - /var/log/

LOGS

Ubicacion /var/log


LOGS - prioridades ( .primeras vocales)

0 emergency (.emerg)

1 alert ( .alert)

2 critical ( .crit)

3 error (.error)

4 warning ( .warn)

5 notice ( .notice)

6 informational (.info)

7 debug ( .debug)


logger -p local0.inf0 "informacion"


NOTA

local.error => se muestran en los logs desde la prioridad 3 hasta abajo ,5,6,7

pero local.error No se mostrara en los de prioridades hacia arriba 0,1,2


LEER

cat /var/log/syslog

cat /var/log/syslog | head | tail -20

tail -f /var/log/syslog


journalctl -xe

journalctl -u NetworkManager



last reboot


Nota

syslog

syslog.1 (se lleno syslog)











que aprendiste
logrotate - /etc/logrotate.d/

Logrotate



configuracion


#touch local0.rotate || cat apport > local0.rotate

#vim local0.rotate

/var/log/local0.info {

su root root (por si hay problemas de permisos)

weekly (cada semana se ejecutara esta configuracion)

rotate 2 ( se crearan 2 copias local0.1 local0.2)

missingok

notifempty

create

}


Para realizar una prueba de los cambios ejecutar


logrotate -fv /etc/logrotate.conf


rsyslog - /etc/rsyslog.config

rsyslog

es un

servicio que sirve para personalizar los LOGs


State del servicio

systemctl status rsyslog - ver si el servicio esta corriendo


crear log personalizados

cd /etc/rsyslog.conf


escribir un log



CMD

Notas

Enviroment

Enviroment

son configuraciones de variables en pares de "KEY : VALUE"

Llamar a una variable se usa $

shell o local enviroment

varible environment

Variables

PS1 => promt (luis@mylaptop)

PATH


Startup files


ALIAS (crear alias para cmd existentes)

type cmd => indica tipo bin o alies

alias miListado = 'ls -ahl'

solo funciona en mi sesion si quieres que sea permanente modificas ~ .bashrc ( alias du='du -h')

se puede crear un file llamado .bash_aliases y se colocan los alias personalizados para mayor organizacion


printenv => lista variables y valor

printenv | grep "USER"

echo $USER => luis

nombre=julieta solo crea una variable en l ashell

export nombre=julieta (crea una variable en enviroment)

source ~ .bashrc => ejecuta el para que tome los cambios

which cmd => donde esta ubicado el cmd


Nota: click derecho preferencias del terminal o personalizarlo con una herramienta web https://ezprompt.net/


Bash script

Nombre file = primerScript

#!/bin/bash => asi se debe iniciar un script bash

echo ejemplo >> primerBash.log

***Ejecuta script

bash ~/primerScript


Agregando un PATH y ejecutar el cmd creado por nosotros sin necesidad de ejecutar el cmd bash

1 crear un directorio por convencion llamado bin en el home del user y agregar el nuevo script

2 indicarle o crearle el PATH de nuestro script home/luis/bin

3 darle permisos de execution

chmod 777 primerScript ||

chmod +x primerScript


Indica que tipo script esta corriendo bash || python || perl

estos por defecto estan instalados en ubuntu

shebang! => es la primera linea del script

#!/bin/bash

#!/usr/bin/python3

#!/usr/bin/perl


PATH

.profile

.bashrc










Que aprendiste - ENVIRONMENT


1 mkdir home/bin - crear carpeta bin en el home del usuario

2 touch home/bin/miscript - crea un txt => #!/bin/bash

3 PATH=$HOME/bin:$PATH - agregar lineas en algunos de esos archivos

4 chmod +x miScript

usefull-tools


Miselania


lsusb => muestra dispositivos conectados

lspci => dispositivos conectados a las ranuras de la placa



Nota

bus: es el cable o lineas que transmiten informacion

usb: univesal serial bus

pci: componenre periferico interconectado









Caracteres especiales

Caracteres especiales


( )


(?)

([ ]) ([^12] )

$(( ))

(" ")

(' ')

($) ó (` `)












ShortCuts

sudo !!


*** shortcuts*****

ctl + l => clear (ele)

ctl + a => inicio del query

ctl + e => fin del query

ctrl + t => intercambia la ultima letra x anterior

ctrl + k => borra query hacia adelante

ctrl + u => borra query hacia atraz

ctrl + w => borra una palabra hacia atraz

ctrl + y => recupera query borrado


alt + f => avanza una palabra

alt + b => retrocede una palabra

alt + t => intercambia una palabra x anterior

alt + d => borra solo una palabra hacia adelante


******history -Ver queries cmd

history | less

ctl + r => busca query por palabra


Ubicaciones archivos importantes

sudoers => cat etc/sudoers

history =>vim home/.bash_history






syntaxix de un cron

cron

agenda un tiempo para ejecutar un programa

syntax

a b c d e cmd

a (minutos 0-59)

b (hours 0 -23)

c (day 1 - 31)

d (month 1 - 12)

e (day of week 0 -6 lunes, martes)


(*) any value or all

5,6 list of values 5 y 6

1-4 rango de valores del 1 al 4

*/5 step value ejemplo cada 5 minutos

nota:


crontab -e


Utils

www.crontab guru

tar

Tar


tar -cvzf backup.tar.gz (comprime)

tar -xvzf backup.tar.gz (extrae)



TLS/SSL

TLS/SSL (Transport layer security layer / secure socket layer)



Nota

Que debo saber

Si deseas estudiar TLS/SSL, te recomiendo enfocarte en los siguientes temas:

  1. Criptografía de clave pública: Aprende cómo funciona la criptografía de clave pública, incluyendo los conceptos de clave pública y clave privada, y cómo se utilizan para proteger los datos en tránsito. Familiarízate con los algoritmos criptográficos como RSA, Diffie-Hellman y ECC, que se utilizan en TLS/SSL.
  2. Certificados SSL/TLS: Aprende cómo funcionan los certificados digitales en TLS/SSL, cómo se emiten y cómo se utilizan para autenticar los sitios web y asegurar la comunicación entre el cliente y el servidor. Aprende cómo instalar y gestionar certificados SSL/TLS en diferentes plataformas y sistemas operativos.
  3. Protocolos y cifrado: Aprende los diferentes protocolos y algoritmos de cifrado que se utilizan en TLS/SSL, incluyendo TLS 1.0 a 1.3, SSL, AES, DES, RC4, RSA, Diffie-Hellman y ECC. Aprende cómo elegir y configurar el cifrado adecuado para diferentes situaciones y cómo evitar vulnerabilidades comunes, como ataques de relleno de oráculos.
  4. Handshake de TLS/SSL: Aprende cómo funciona el proceso de handshake de TLS/SSL, que se utiliza para establecer una conexión segura entre el cliente y el servidor. Familiarízate con los diferentes pasos del handshake, como el intercambio de certificados, la negociación de algoritmos de cifrado y la autenticación del cliente y del servidor.
  5. Seguridad y vulnerabilidades: Aprende sobre las vulnerabilidades que pueden afectar la seguridad de TLS/SSL, como el protocolo SSLv3, los ataques man-in-the-middle, los certificados fraudulentos, la falta de actualización y la mala configuración. Aprende cómo configurar y mantener TLS/SSL para minimizar el riesgo de ataques y mantener la seguridad de la comunicación.

En resumen, para estudiar TLS/SSL, debes enfocarte en la criptografía de clave pública, certificados SSL/TLS, protocolos y cifrado, handshake de TLS/SSL, y seguridad y vulnerabilidades. Aprender estos temas te ayudará a entender cómo funciona TLS/SSL y cómo mantener la seguridad de la comunicación en línea.

configurar aplicacion

Configurar Servidor

Configuracion de servidores con tls/ssl


/ssl.conf

<VirtualHost *:443>

ServerName localhost

DocumentRoot /var/www/html

SSLEngine on

SSLCertificateFile /docker.crt

SSLCertificateKeyFile /docker.key

</VirtualHost>


ejemplo de configuracion en un apache en docker


Dockerfile

FROM

COPY ssl.conf /ect/httpd/conf.d/default.conf

COPY docker.key /docker.key

COPY docker.crt /docker.crt

CMD apachectl -DFOREGROUND



Obtener certificado SSL/SSL

Certificados TLS/SSl


openssl req -x509 -newkey rsa:4096 -keyout private.key -out cert.pem -days 365


openssl req -x509 -nodes -days 3665 -newkey rsa:2048 -keyout docker.key -out docker.crt


NOTA


req": Indica que se va a crear una solicitud de certificado.

"-x509": Indica que se desea generar un certificado autofirmado en lugar de una solicitud de certificado que se enviará a una autoridad de certificación (CA).

"-nodes": Indica que no se debe cifrar la clave privada. Esto es útil para evitar tener que introducir una contraseña cada vez que se utiliza el certificado.

"-days 3665": Indica la cantidad de días que el certificado será válido. En este caso, 3665 días equivalen a 10 años.

"-newkey rsa:2048": Indica que se desea generar una nueva clave privada RSA de 2048 bits junto con el certificado.

"-keyout docker.key": Indica el nombre del archivo donde se guardará la clave privada generada.

"-out docker.crt": Indica el nombre del archivo donde se guardará el certificado autofirmado generado.


.cert => archivo binario especifico para certificados

.pem => archivo generico que tambien acepta certificados


Encriptar y desincriptar archivos


openssl enc -aes256 -in archivo_original.txt -out archivo_cifrado.enc

openssl enc -d -aes256 -in archivo_cifrado.enc -out archivo_descifrado.txt


USB-booteable

Bootear un usb


lsblk

sudo umount /dev/sdb1

sudo dd if=ruta_de_la_imagen.iso of=/dev/sdX bs=4M status=progress

SSH

SSH


SSH se utiliza principalmente para proporcionar acceso remoto a un sistema y realizar tareas de administración de sistemas.




debes saber

Autenticación: El comando ssh utiliza autenticación basada en claves públicas y privadas para permitir que los usuarios se autentiquen en los servidores remotos. Debes aprender cómo generar y administrar claves SSH, cómo agregar tus claves públicas al servidor remoto y cómo configurar la autenticación para garantizar la seguridad de la conexión.


Redirección de puertos: El comando ssh te permite establecer una redirección de puertos para enviar el tráfico de un puerto en tu ordenador local a otro puerto en un servidor remoto. Es importante aprender cómo configurar la redirección de puertos y cómo utilizarla para acceder a servicios remotos, como MySQL o MongoDB.


Proxying: El comando ssh también te permite establecer un túnel proxy para enrutar el tráfico de Internet a través de una conexión SSH segura. Debes aprender cómo configurar el túnel proxy y cómo utilizarlo para navegar de forma segura en Internet.


Comandos remotos: El comando ssh te permite ejecutar comandos en un servidor remoto sin tener que iniciar sesión directamente en el servidor. Es importante aprender cómo utilizar esta funcionalidad para automatizar tareas y administrar servidores de forma remota.


Configuración: El archivo de configuración ssh_config te permite personalizar la configuración predeterminada del comando ssh. Debes aprender cómo editar este archivo para modificar la configuración del comando ssh y hacer que se ajuste a tus necesidades.


Comandos básicos: Además de los conceptos avanzados mencionados anteriormente, debes aprender los comandos básicos del comando ssh, como cómo conectarte a un servidor remoto, cómo iniciar una sesión de shell remota y cómo copiar archivos de forma segura de un servidor remoto.

Copia de archivos

Copia de archivos


scp -r volumenes luis@192.168.0.12:~ (push)

scp luis@192.168.0.12:~/apuntes /home/luis/ (pull)

redireccionamiento

Redireccionamiento


ssh -L 1106:localhost:3306 user@192.168.9.9


Nota

Autenticacion

autenticacion


ssh-keygen

ssh-copy-id usuario@servidor-remoto (crea automaticamente el folder y file en el remoto)


ssh luis@192.168.0.8

ssh luis@192.168.9.9 ls -l


exit - logout - ctrl +d cerrar session


Nota

la llave privada se queda en el servidor local

la llave publica se copia en el servidor remoto y se renombra como ~/.ssh/authorized_keys

file - dir

FILES - DIR


touch


mkdir


Delete

rm archivo

rm -d emptyDir

rm -r fullDir

Update

mv

mv - cambiarNombre (file Dir)

cp (no borra solo copia si no existe el destino lo crea)








que aprendiste file

###########file########

###create

pwd

touch

mkdir

###read

cat

cat txt | tr a A | tr a-z A-Z | tr -d S

cat compras.txt &> mercado.txt 

cat compras.txt > mercado.txt 2> errores.log

tac

less

head -20 file.txt

tail -20 file.txt 

tail -f syslog

--------------------- 

ls -lah file.txt

ls- lc

ls -lm

ls -lu

ls --sort=size || time

ls -lh /usr/bin | sort -k5h | tail -5 > txt


ls -lh /usr/bin > lista.tx 


-------------------

locate -iel dir || file

updatedb

------------------

find -type -f -d

find -empty -type f || d

find -iname "*.html

find -name "*.html"

find -name "*.css" -exec rm '{}' ';'

find -name "*.css" -ok rm '{}' ';' 

find -name "*.txt" -exec cp '{}' '{}_copias' ';'

find -size +10M

find -user ftpuser

find -mmin -20

find -mtime -3 

find -name "*.html" "*.css"

find -name "*.html" -or "*.css"

find -name "*.html" ! "*.css"


grep -i

grep -w

grep -r

grep -l

grep -A1 -B1

ps -aux | grep "nombreProceso" -i

###update

mv

cp file1 file2


###delete

rm

rm -d emptyDir

rm -ri fullDir


######permisos######

sudo -l

su - otrouser


chmod g+wx file.txt | dir

chmod u-x file.txt

chmod a=r file.txt 

chmod 760 file.txt


chown otroUser file.txt 

chown :Grupo file.txt

chown :user :Grupo file.txt

############env#########

printenv

echo rm -d emptyDir $USER

which cmd 

type cmd

bash

bash ~/primerScript

miVariable=valorVariable

export nombre=julieta

alias miListado = 'ls -ahl'

source ~ .bashrc

###repositorios########

---debian

add-apt-repository nr || /etc/apt/source.list

dpkg -i np.deb

apt install np || apt-get install np  

snap install np  


apt policy

apt-cache policy

apt list

apt search np

apt-cache search np

snap list

snap find np


apt update || apt-get update 

apt upgrade || apt-get upgrade

apt dist-upgrade 

do-release upgrade

apt-get update

apt-get upgrade

snap refresh nombrePrograma


nano etc/apt/source.list

add-apt-repository -r nr

dpkg -r nombrePaquete

dpkg -r -P np

apt-get remove

apt-get remove -purge (-P)

sudo snap remove nombrePrograma

sudo snap disable opera

--centos

yum install epel-release

rpm -ivh http://rpms.famillecollet.com/enterprise/remi-leaserem-7.rp

nano /etc/yum.repo.d/nuevo.repo 

rpm -i np.rpm

rpm -ivh descargaDirectaWeb.rpm

yum install np


yum repolist

yum list installed

yum list

yum list | grep np


yum check- update

yum update


nano/etc/yum.repo.d/eliminasArchivo.repo

enabled=0

yum clean all

yum makecache

rpm -e nombrePaquete

yum remove nombrePaquete

yum autoremove np


#####usefull#############################################

tar -cvzf comprimir.tar.gz file.txt

tar -xvzf extraer.tar.gz


crontab -e


####hardware##############################################3

hostnamectl

lsb_release -a

free -h (RAM)

lsof -i -P -n | grep LISTEN (PUERTOS)

lshw -C disk-memory-cpu

###disco

df -f  (DISCO) 

du -h => disk use 

df -h | grep "/dev/sd"

cat /etc/fstab




fsck -N /sda1 => (repara disco)


cfdisk /dev/sdb (nombre del disco detectado)

mkfs -t ext4 /dev/sb1

mount -a (vim /etc/fstab => /de/sb1 /data ext4 defaults 0 2)

chown -R luis.luis data



####shortcut############################################

xdg-open

ctl + a => inicio del query

ctl + e => fin del query

ctrl + w => borra una palabra hacia atraz

ctrl + y => recupera query borrado

ctl + r => busca query por palabra


###caracteres#############################################

*

?

[]  rangos

$(()) operadores matematicos

" "  string respeta $*

' '  strin literalmente

$   llama funcion

{}  mkdir -p dias/dia{1-31}


Permision

Permision


USERs

users => muestra los usuarios en el sistema

Leer todo junto incluido los guines guiones

drwxr-xr-x 2 luis luis   20480 mar 7 17:46 Descargas

U G O

rwxr-xr-x


User => dueño del file

Grupo => users con ciertos permiso para un file

Others => ni dueño ni en el grupo


r => read permision

W => write actualizar permiso en dir la x debe estar activa

x => ejecutar cmd cd,


Grupos

groups => muestra los grupos

groups nUser


addgroup







chmod

chmod


UGOA (+ | - |=) (U=User G=Group O=Otrher A=all)

chmod g+wx file.txt | dir

chmod u-x file.txt

chmod a=r file.txt (todos solo read)


Octagonal

r = 4 w=2 x=1 0=no permisos

chmod 760 file.txt (u=7 g=6 o=0)







chown

chown


sudo chown otroUser file.txt

sudo chown :Grupo file.txt

sudo chown :user :Grupo file.txt


sudos

sudos (cat etc/sudoers)


sudo -l => muestra que puede hacer user


su otrouser (se queda en el home de otro usuario)

su - otroUser => home User


crud

delete

Delete


rm archivo

rm -d emptyDir

rm -r fullDir


update

Update



mv

mv - cambiarNombre (file Dir)

cp (no borra solo copia si no existe el destino lo crea)


read

READ


pwd

cat

tac

rev

less

head

tail

sort

ls

xdg-open (abre o ejecuta)



find

locate (+ rapido)

find (+lento + power)

-exec

xargs

timestamps

Operadores logicos (-and -or -not(!))















grep

grep

Busca contenido dentro de files por matching words

Acepta regular expresion


REGEX

. => grep "arequi.." cada punto es un caracter

^ => grep "^a" empieza al inicio de una linea con a

$ => grep ")$" termina en ) al final de una linea

[ ] => grep "can[sc ]ion" busca cancion o cansion


Pipe

Pipe


ls /usr/bin -l | less

cat txt | tr a A | tr a-z A-Z | tr -d S

ls -lh /usr/bin | sort -k5h | tail -5 > txt


tee Pipe |tee archivo |

du -ha /usr/bin |sort -h | tee size.txt | tail -5 | head -3

Redireccionar

Redireccionar

standar output (1>)

error output (2>)

standar input (0<)

**********************************************

> (sobre escribe un archivo - cuidado)

ls -lh /usr/bin > lista.tx


>> (anexa informacion no borra info)

echo palabras >> ejomplo.txt


< (Input)

cat < ejemplo.txt


2> (error output)

caT 2> error.txt

ls noExisteFile 2>> error.txt


(imprime compras en mercado si hay un error en errores)

cat compras.txt > mercado.txt 2> errores.log

cat compras.txt > mercado.txt 2>> errores.log

(si hay un error se imprime en ele mismo compras)

cat compras.txt &> mercado.txt

cat compras.txt &> mercado.txt 

cat compras.txt > mercado.txt 2>&1



Navegar

NAVEGAR

Jerarquia de directorios

/

/ bin (binarios programas ejecutables)

/ etc (archivos de configuracion)

/var (logs)

/root (dir super usuario)

/home (dir del usuario registrado)

/usr (

/media (usb, cdroom)


rutas absolutas


rutas relativas

*************************************

cd


( . )=> dir actual ,

( .. )=> directorio padre




create

CREATE


touch


mkdir







users

useradd -m nu

passwd nu

userdel -r nu

sudo usermod -aG nombre_del_grupo nombre_del_usuario


cat /etc/group

groupadd ng

gpasswd -a nu ng (agrega usario al grupo)

groups nu

groupdel ng

groupmod ng -n nombreNuevoGrupo


estructura

ESTRUCTURA - SINTAXIS


CMD -option parametros/argumentos

opciones (con dash - , -- )

ncal -u || ncal --universal

opciones combinadas ncal -h3j


paramentro - argumento (sin dash - , dato obligatorio)

ncal july 1969


HERRAMIENTAS

man = man cp


help = help cd


type = type cp


which = which ncal



NAVEGACION

tecla F => forward una pagina

tecla B => backward una pagina

/-s => dentro de man busca -s

"q" => salr man





cmd - sistema

sistema: hostnamectl

sistema: lsb_release -a

ram : free -h

Disco : df -h

puertos: sudo lsof -i -P -n | grep LISTEN



CPU

grep "model name" /proc/cpuinfo | wc -l

Hardware
hardDisk

QA

QA - DISK


1 fdisk /dev/sdb [g]  => particionamos el disco con gpt

2 [p-n-t-w]      => creamos las particiones 

3 mkfs ext4 /dev/sdb1 || sdb2 => formateamos las cada particion

4 mount /dev/sdb1 /mnt/luis => montamos las particiones 

5 vim /etc/fstab => persistencia /etc/fstab



CMD UTILES

fdisk

mkfs -t ext4

mount sdb1 /puntoMontage

umount

mount -a

lsblk

lsblk -f

blkid


Volumenes

Volumenes


storage devices (SD) => discos duros

physical volumens (PV) => cada sd el SO lo reconoce como un PV

Volume group (VG) => confunto de PV

Logical Volumens (LV) => los volúmenes lógicos son una técnica de administración de almacenamiento que permite combinar varios discos físicos en un conjunto lógico y crear particiones lógicas dentro de él


Para crear un volumen logico se necisita un volumenGroup

para crear un VolumenGroup se necesita un fisicalVolumen

Para crear un fisicalVolumen se necesita un storaDevice


Para agregar espacio a un volumen logico necesitas primero agregas espacio de un volumen group y para agregas espacio a un volumen group necesitas agregarle un volumen fisico y para ello necesitas una particion fisica o stotage divice


Una vez creado el volumen logico se lo trata igual que una particion se le formatea con un fs o file sistem y se lo monta en un carpeta.Es importante darle un fs al LV si deseas aumentar espacio disponible del VG


mkfs -t ext4 dir/vg/lv

mount dir/vg/lv /PuntoMontaje


lsblk -p

lvmdiskscan => muestra los sd disponibles para ser volumenes

pvcreate sdb1 => crea un volumen fisico a partir de un SD

pvremove nPV

pvs => lista volumenes

pvmove /sdOri /sdDest

pvdisplay


vgcreate nombreGrupoVolumen sdb1

vgextend nVG nPV

vgreduce nVG dir/nPV

vgremove nVG

vgs => lista grupos de volumenes


lvcreate -L 30G -n nVolumenLogico nVG

lvcreate -l 100%FREE -n nvl nvg (usa todo el spacio disponible)

lvcreate -m 1 -L 5G -n mirrorVol dir/GV (cre un BU )


lvextend -L +5G -r /dir/lv (Extiende espacio a un logical vol y FS)

lvextend -L +5G  /dir/lv (sin -r solo cambie el LV y no el file system)

lvextend -r -l +100%FREE nGV/nLV


lvreduce -r -L 5G vg_app/lv_app

lvremove dir/LV


lvs => lista volumenes logicos

lvs -a => todos

lvdisplay


resize2fs dir/LV (Para que aplique la extencion en el File system)












LV

Logical volumen (LV)


lvcreate -L 30G -n nVL nVG

lvcreate -l 100%FREE -n nLV nVG

lvcreate -m 1 -L 5G -n mirrorVol dir/VG


lvextend -L +5G -r /VG/LV

lvextend -r -l +100%FREE nGV/nLV

lvextend -L +5G /VG/LV => resize2fs VG/LV

 

lvreduce -r -L 5G nVG/nLV

lvremove nGV/nLV


lvs

lvs -a

lvdisplay

VG

Volumen group (VG)


vgcreate nVG dir/nPV


vgextend nVG dir/nPV

vgreduce nVG dir/nPV


vgremove nVG


vgs

PV

Phisical Volumens (PV)


lsblk -p

pvcreate sdb1


pvremove nPV

pvmove /sdOri /sdDest


pvs => lista volumenes

pvdisplay

mount

mount



fstab configuaracion

device

mount point

fileSystem Type

mount Option

dump => 0 (ignora) 1(crea un Backup)

fsck order => 0 (skip) 1(check first) 2(check next)


Nota


CMDs - mount

lsblk -f labels

blkid => ver UID de discos

mount /dev/sdb1 /media/luis

umount /dev/sdb1

mountt -a ejecuta lo del archivo etc/fstab



FileSystem - formatear [ mkfs -t ext4 ]

FileSystem



CMD - filesystme

mkfs -t ext4 /dev/sd?

particiones [ lsblk - fdisk ]

Se particiona el disco por seguridad si se daña una de ellas la otra informacion se salva


Table de particiones

GPT es la actual (hasta 128 primarias)

MBR (solo 4 primarias)


Primarias


extendidas

logicas


Particion SWAP ()



Nota

CMD - particiones

fdisk -l

lsblk => listado de discos

lsblk -f => listado y donde esta montado

blkid => ver el UID del disco


fdisk /dev/sd? [m - g - p - n - d - t - w ]

1G=>2p=>3n(+5G)=>w || d|| q || t







redes

Network


Configurat IPs mediante Archivos de configuracion

vim /etc/netplan/01-network-manager-all.yaml (actual)


vim /etc/network/interfaces


configurar IPS mediante CMD

ip address add 10.12.13.4/255.255.255.0 dev eth0

ifconfig eth0 10.23.25.8 netmask 255.255.255.0


configurar mediante gui


abrir y cerrar interfaces

ifconfig eth0 up || ifup eth0 ||ifdown eth0

ip link set eth0 up || ifup eth0 ||ifdown eth0


White list

vim /etc/host.allow (lista blanca)

Niega esa IP

ALL:192.23.12.4:DENY

ALL:ALL:ALL

------------------------------

Acepta esas IPs

ALL:192.98.23.3:ALLOW

ALL:194.122.34.5:ALLOW

ALL:ALL:DENY


CMD utiles

ifconfig

ping ip 0 dns [-c 12]

traceroute -n dns

tracepath -n dns || ip

netstat -ntlp [u]

netstat -i

netstat -r (routing table)

tcpdump

telnet (para ver puertos abiertos)

who => ver usuarios conectados y desde que ip

pkill -9 pts/0 saca al usuario conectado








troubleshoot

troubleshoot


ping ip 0 dns

traceroute -n dns

tracepath -n dns || ip

netstat

netstat -ntlp

netstat -nulp

netstat -i

netstat -r

ss | tail -11 = muestra sockets

tcpdump




DHCP - static

DHCP


dhcp - cliente

vim /etc/network/interfaces


static - IPs

vim /etc/network/interfaces


mediante CMD

ip address add 10.12.13.4/255.255.255.0 dev eth0

ip link set eth0 up || ifup eth0 ||ifdown eth0


ifconfig eth0 10.23.25.8 netmask 255.255.255.0

ifconfig eth0 up || ifup eth0 ||ifdown eth0


nmtui


Process


Background process

Foreground process


Servicios


CMDs

kill -9 pid

PS

ps -ef

ps aux

pgrep

ps -p PID

pstree

top

htop

bg

fg

kill

jobs

Lista procesos especificando campos y por memoria

ps -eo pid,ppid,cmd,%mem,%cpu --sort=-%mem

ps -eo user,tty,start,etime,pid,ppid,cmd,%mem,%cpu --sort=-%mem | head -11


Kill -9 || systemctl stop







servers

FTP-server

Instalacion

sudo apt install vsftpd


1 instalar

2 crear certificados para conexiones ssl/tls

2 setear archivo de configuracion (hacer copia del original)

3 configurar lista de usuarios (agregar usuarios)

4 prender o reiniciar el servicio (systemctl restart vsftpd)






vsftpd.conf

listen=NO

listen_ipv6=YES

anonymous_enable=NO

local_enable=YES

write_enable=YES

allow_writeable_chroot=YES

local_umask=022

anon_upload_enable=YES

dirmessage_enable=YES

use_localtime=YES

xferlog_enable=YES

connect_from_port_20=YES

ftpd_banner=Welcome to blah FTP service.

chroot_list_enable=YES

secure_chroot_dir=/var/run/vsftpd/empty

pam_service_name=vsftpd

rsa_cert_file=/etc/cert/vsftpd.pem

rsa_private_key_file=/etc/cert/vsftpd.pem

ssl_enable=YES

allow_anon_ssl=NO

force_local_data_ssl=YES

force_local_logins_ssl=YES

ssl_tlsv1=NO

ssl_sslv2=YES

ssl_sslv3=YES

require_ssl_reuse=YES

ssl_ciphers=HIGH

pasv_max_port=10000

pasv_min_port=9000

filezilla

Filezila

1 instalar

2 ajustar configuraciones

Firewalls (linux)


Herramientas y versiones de firewalls

iptables (las mas antigua)

nft (mejora de iptables)

firewalld (la actual)



cmd

sudo iptables --version

sudo nft --version

sudo systemctl status firewalld


firewalld

Firewalld



sintaxix

sudo firewall-cmd +

--permanet , --zone=, --new-zone +

--add-service=, remove-service= +

--add-port= , --remove-port=

--add-rich-rule= , remove-rich-rule=

--reload , --permanent, --list-all


cmds

Crear una zona personalizada

firewall-cmd --permanent -new-zone=zonaNueva

Habilitar o elimina el servicio SSH o ftp

sudo firewall-cmd --permanent --add-service=ssh

sudo firewall-cmd --permanent --remove-service=ftp

firewall-cmd --permanent --zone=zonaNueva --add-service=https


Para que aplique los cambios

sudo firewall-cmd --reload


Ejemplo de abrir un puerto para mysql


sudo firewall-cmd --zone=public --add-port=3306/tcp

mysql

bind-addres = 0.0.0.0

systemctl restsrt mysl







iptables

iptables


Sintaxis

iptables -t <table> <chain> <rule> -j <target>

iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT



table (filter, nat, mangle )

chain (INPUT, OUTPUT,FORWARD, PREROUTING)

rule ( IP, pots, protocolos, estados, interfaces, etc)

-j <target> (ACCEPT, DROP, REJECT,REDIRECT)


ejemplo del mysql acceso remoto


iptables -A input -p TCP --dport 3306 -j ACCEPT



puertos

Puertos

puertos fisicos = usb, impresora,

puertos virtuales = conectados mediante un programa

socket = IP:puerto

firewall-cmd --set-default-zone=trusted


habilitar puertos

firewall-cmd --zone="zona" --add-port=numeroPuerto/"tcp/udp" --permanent

firewall-cmd --zone=dmz --add-port=40000/tcp --pemanent


desabilitar

firewall-cmd --zone=dmz --remove-port=40000/tcp --pemanent


Habilitat o desabilitar servicios

firewall-cmd --zone=public --add-service=ssh

firewall-cmd --zone=public --remove-service=ssh



listado de zonas

firewall-cmd --permanent --list-all-zone


listado de puertos

sudo ss -ntlpu

netstat -tuna

less /etc/service (todos )

nmap 192.168.10.2

nmap -v -sT 192.168.0.8



recomendable cambiar el numero de pto sobre todo ssh


estados de los puertos

listen, cerrado o filtrado, no en uso














systemctl

systemctl

systemctl list-units --type=service

systemctl list-units --type=service --state=disabled

systemctl list-units --state=inactive | grep cup*

systemctl list-unit-files --state=disabled (ver servicios habilitados )

systemctl list-units --type=service (lista ss)

systemctl [status - stop - start - restart ] ns.service

systemctl [enable - disable] (inicia del arranque so)

systemctl daemon-reload


nota

sudo journalctl -u nombre-del-servicio

systemctl daemon-reload




Instalacion de programas

Aruitectura de 32 y 64 bits


cpu procesa 32 bits a la vez

cpu procesa 64 bits a la vez


sistemas de 64 bits pueden correr programas de 32 bits intalando las librerias necesarias

pero sistemas de 32 no puedes correr programas de 64


Librerias necesarias para correr programas de 32 bits en uno de 64


sudo apt-get install libc6:i386 libncurses5:i386 libstdc++6:i386


lab-instalacion de programas

*** Lab instalacion de programas

1- que implica la arquitectura de 32 bits

2- que implica la arquitectura de 64 bits

3- que es un repositorio

4- como funciona un repositorio tradicional

5- repositorios snap

6- cual es el archivo y la ubicacion de los repos debian

7- actualiza repo - upgrade programas - de manera mas inteligente acualiza SO

8- lista -busca debian repos  

9- crud gestores de paquetes de debian

10- cual es el archivo y ubicacion de suse repos

11- crud gestor de paquetes suse

respuesta instalacion de programas

*** respuestas instalacion de programas

1- procesa hasta 32bits a la vez, 

2- procesa hasta 64bits a la vez, puede correr programas de 32 bits instalando sus librerias

3- es un servidor web que comparte, actualiza y lleva un control de versiones de los programas 

4- al instalar un paquete no descarga todos las librerias xq comparte las que ya estan en el sistema

5- descarga todas las librerias necesarias del paquete no necesita internet se puede copiar a un usb

6- source.list /etc/apt/source.list

7- apt update - apt upgrade - apt dist-upgrade - apt do-release-upgrade

8- sudo apt-cache policy - sudo apt search nr

9- dpkg -i /apt install /apt-get/snap || apt remove np

10- yum.repos.d /etc/yum.repos.d

11- rpm -i /yum install/yum update/ yum remove 

Que aprendiste


CRUD DEBIAN REPO PAQUETES

*******C*********+

add-apt-repository nr

/etc/apt/source.list


dpkg -i np.deb

apt-get install np

apt install np

snap install np

********R*********

apt policy

apt-cache policy


apt list || apt list --installesd || apt search np || apt-cache search np

snap list || snap find np


*********U*******p***

apt update || apt-get update

apt upgrade || apt-get upgrade

apt dist-upgrade

do-release upgrade


apt-get update

apt-get upgrade

snap refresh nombrePrograma

************D***********

nano etc/apt/source.list

add-apt-repository -r nr


dpkg -r nombrePaquete

dpkg -r -P np

apt-get remove

apt-get remove -purge (-P)

sudo snap remove nombrePrograma

sudo snap disable opera


CRUD CENTOS REPO- PAQUETES

*****+C*************

yum install epel-release

rpm -ivh http://rpms.famillecollet.com/enterprise/remi-leaserem-7.rp

nano /etc/yum.repo.d/nuevo.repo


rpm -i np.rpm

rpm -ivh descargaDirectaWeb.rpm

yum install np


********R***********

yum repolist

yum list installed


yum list

yum list | grep np


**********U***********

yum check- update

yum update


*********D**********

nanp/etc/yum.repo.d/eliminasArchivo.repo

enabled=0

yum clean all

yum makecache


rpm -e nombrePaquete

yum remove nombrePaquete

yum autoremove np



Repositorios

Repositorios


tradicionales


snaps



Notas

antes de eliminar un repositorio es mejor eliminar primero los paquetes instalados desde alli


para mayor rapidez de actualizaciones y descargas se deben configurar los repositorios mas cercanos a tu zona geografica

Repos centos

Repos centos


Los repositorios mas utilizados en centos son EPEL y Remi (contiene versiones actualizadas de php y myssql)


Formato de un repositorio

[mariadb]

name = MariaDB

baseurl = http://yum.mariadb.org/10.4/centos73-amd64/

gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB

gpgcheck=1


Ubicacion

/etc/yum.repos.d



Gestor de paquetes

Gestor de paquetes Centos

Agregar paquetes

rpm -i nombrePaquete.rpm

rpm -ivh https://example.com/fedora/32/packagename.rpm

yum install nombre_paquete


Listar - buscar Paquetes

rpm -qa | grep -i nombrePaquete

yum list

yum list | grep [package_name]


Actualiza Paquetes

yum check- update

yum update


Eliminar paquetes

rpm -e nombrePaquete

yum remove nombrePaquetee

yum autoremove np



Gestor de repositorios Centos


Añadir repositorios

yum install epel-release

rpm -ivh http://rpms.famillecollet.com/enterprise/remi-leaserem-7.rp

/etc/yum.repos.d

[nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/CentOS/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key



Lista busca repositarios

yum repolist

yum list installed


Actualiza repositorio



Elimina repositorio

yum -y install yum-utils

yum-config-manager --disable remi

yum update —disablerepo=epel

[mariadb]

name = MariaDB

enabled=0

yum clean all

yum makecache





Repos Debian

REPOSITORIOS DEBIAN


Estructura de un repositorio

deb [arch=amd64] http://dl.google.com/linux/chrome/deb/ stable main


Ubicacion


TIPOS - UBUNTU

1 Main

2 Universe

3 Multiverse


4 Restricted

5 Partner


6 Repositorios de Ubuntu de terceros


TIPOS - debian

main

country

nonfree






gestor paquetes

Gestor de paqutes Debian


Agregando Paquetes

dpkg -i paquete.deb

apt-get install nombrePaquete

apt install

snap install nombrePaquete

sudo snap enable opera


Listar buscar paquetes

grep " install " /var/log/dpkg.log

grep " install " /var/log/apt/history.log

apt list --installed

apt search nombrePrograma

apt-cache search nombrePrograma-

snap list

snap find nombrePrograma


Actualizar paquetes

apt update

apt upgrade

apt dist-upgrade

apt-get update

apt-get upgrade

snap refresh nombrePrograma


Eliminando paquetes

dpkg -r nombrePaquete

dpkg -r -P

apt-get remove

apt-get remove -purge (-P)


sudo snap remove nombrePrograma

sudo snap disable opera









Gestor de repos

Añadir repositorio

sudo add-apt-repository universe multiverse

sudo nano /etc/apt/sources.list

wget -q -O - https://dl.google.compub | sudo apt-key add -

sudo sh -c 'echo "deb [arch=amd64] http://dl.google.com/linux/chrome/deb/ stable main" >> /etc/apt/sources.list.d/google.list'


Listar buscar repositorios

sudo grep -rhE ^deb /etc/apt/sources.list*

sudo apt-cache policy

sudo apt search nombreRepo

sudo apt search


Actualizar Repositorios

sudo apt update

sudo apt upgrade

sudo apt dist-upgrade

sudo do-release-upgrade


Elimina repositorios

nano /etc/source.list

sudo add-apt-repository -r ppa:repo/repo

sudo apt-key del (8 ultimos caracteres de la llave)



Boot process

Boot proccess


BIOS (basic input outpur)


Boot loader


initrd (initial ram disk)


/boot


Run levels (7)

init 0 => apaga el sistema

init 1 => monoUsuario (mantenomiento del sist)

init 2 => multiusuario (sin red)

init 3 => multiusuario (con red)

init 4 => modo personalizado

init 5 => con GUI

init 6 => reinicio


vim /etc/inittab

id:3:initdefault (se configura como inicia el sistema)


CMD

who -r (ver run level)





lab-BP

*** boot process

1- que significa BIOS, que es y su principal funcion

2- que hace y cuales son los princiáles boot loaders

3- que es el initrd

4- en que carpeta se encuentran los archivos de booteo

5- cuantos run levels existen 

respuesta - BP

*** respuestas boot process 

1- basic input output, el un SO independiente que contiene dispositivos booteables, buscar y ejecutar el boot loader

2- inicia el SO, lilo y grub

3- initial ram disk que contiene los drivers necesario para para cargar el SO permanentemente

4- /boot

5- 7 init 0 => apagado init 6 => reinicio

ComTIA A+

windows
seguridad

prevencion

prevencion


malware


asegurar work station

w + local security (password settings)


lock screens


logical security

MDM (mobile devoce management)


porsecurity en switches

antivirus

firewalls


setear hardPassword


DLP (data los pevention)


User accounts deben tener los mínimos permisos para hacer su trabajo

active directory

Active directory

Networking

NETWORKING


COMPARTIR CARPETAS

w +r => \\nombrePc/CarpetaSelectclickDere-MapAndDrive

net use z: \\nombreHost\carpetaCompartida


COMPARTIR PRINTER

DOBLE CLICK SOBRE IMPRESORA



CONEXION REMOTA





firewalls

Firewalls


conisste en bloquear puertos

no desabilitar

se agregan excepciones para ciertas aplicaciones

ruta: control panel/firewall

NIC

NIC



QoS

Remote

Remoto


host remoto


desde central

printers

printers


host con printer


host a conectarse

compatir carpetas

compatir carpetas



convencion unc \\

w +r | \\nombrePc

click


map and drive


por CMD


net use z: \\nombreHost\carpetaCompartida


Nota: por ser un comando se puede crear un script y solo ejecutarlo para compartir las carpetas

Workgroups - Domain

Workgroups - Domain


Work group


Dominio


setear un pc dentro de un dominio

atajos

Atajos


windows + panel => control panel

windows + apps => apps instaladas (para desinstalar)

windows + command => abre terminal


Monitoreo

windows + resource monitor => pantalla monitoreo

windows + performance monitor => pantalla de monitoreo


Registry

window + R | registry => abre rgustry


servicios

windows + R | services.msc || computer management


macrosoft management console

windows + r | mmc


encontrar aplicacion de programadores

windows + component services


config

w + r msconfig (seleccionar OS)


overviwe hardware (ram, procesador etc)

w + r | msinfo32


event viewer - Logs

windows + event viewer


impresora

w + printers


remoto

w + r | mstsc


local security


w + local security (password settings)



























cmd

CMD


cd\ => regresa la root

cd.. => atraz

dir => ls

md => mkdir

cd newDir => cambia de dir

dir => cat lee archivo

cls => clear

dir /? => info del cmd

e: | f: => cambias driver al a,e

shutdown => apaga hay opciones como /r /f reincia y fuerza cerrado de app


discos

sfc trabaja con los discos

sfc /? more info

sfc /scannow (scanea y repara)


copia archivos

copy test.txt z:

copy test.txt z:\newFolder

excopy doc z: \e => copia todo lo dentro de doc del disco e en z

excopy e: z: \e


imagenes de windowa

dims


Booteo (arrancar estos cmd desde advance restart)


bootrec => arregla SO

bootrec /fixmbr || /fixboot las mas usadas para arreglos de booteo


taskmanager

tasklist => lista proesos corriendo

taskkill => emilina un proceso

taskkill /im nombreProceso || ID proceso



disco

chkdsk /?

chkdsk e: /f => revisa el disco e y lo arregla (toma mucho tiempo)


user

net user andy => info del usuario andy

net user mary P@$$w0rd /add => crea usuario maty y su pwd

net user mary /delete


network

ipconfig

ipconfig /all

ipconfig /release

ipconfig /renew

ipconfig /displaydns => muestra dns

ipconfig /flushdns => limpia los dns

ping IP | DNS

ping /?

ping -t IP=> no para

ping -n 4 IP ping 4 veces

ping -4 IP | dns solo ping a ipv4

ping -6 IP | dns solo ping a ipv6

tracert

arp

arp -s -a

netstat

nslookup



******************+linux************++++


cd .. => salto atraz

cd - => salto donde estuviste antes

vi shift zz => cierra y guarda documento

rmdit => file bacios

rm -r => file llenos


NETWORK

ifconfig

ifconfig -a => todos las ips

ifconfig lo down | up => cierra o abre esa interface

ifconfig lo 192.168.10.12 => asigna IP

ifconfig lo netmask 255.255.255.0 => asigna mascara


discos

dd => cmd para copiar discos

dd if=/dev/sdb of=/dev/sdc => copia sdb en sdc


Buscar

grep palabra test.txt => busca palabra en el archivo test

ls | grep test => busca test en el listado (combinado)



listar

ps => procesos

ps-a => todos los procesos

kill idProceso => elimna el proceso de la lsita


usuarios

chown luis:luis test.txt

chmod 777 test.txt (1:execute 2:write 3:read)



















utilities

Utilities



UTILES


Accesos

w+r => control

w+r => taskmgr

w+r => msconfig

W + setting/update/recuperacion/inicio avanzado

w + event viewer

w +r => mmc

w +r => contral-pannel/restore

w + R | services.msc


CONTROL PANEL


DRIVERS (volver a una version anterior )


TASK MANAGER


SERVICES impresora atascada


MMC (microsoft management console)


PROHIBIR ACCESO AL CONTRO PANEL

--------------------------------------------------------------------------


CONFIG


ADVANCED STARTUP


EVENT VIEWER


SYSTEM RESTORE


MEMORY


-----------------------------------------------------

PROGRAMACION


encontrar aplicaciones de programadores

w + component services


Base de datos coneccion

w + ODBC - (open database conectivity)

sql server - nombre de servidor
















task scheduler

task scheduler


sirve para agendar tareas


w + task scheduler



memory

windows memory diagnostico


sirve para revisar si hay problemas con la memoria


w + memory diagnostic

System restore

System restore


es volver a un punto donde funcionaba bien


control panel

recovery

configure system restore

configure /turn on system proteccion

create /dar nombre sin fecha(lo pone por defecto)



para restaurar

open system restore


MMC

MMC - microsoft management console


consiste en agregar snap o herramientas utiles en un solo lugar para la adminsitracion del sistema ejemplo device manager, disk manager, event vieer sevices, etc y ponerlos en por ejemplo en el desktop


w +r | mmc


event viewer

event viewer


Logs del sistema como problemas de apps o ver quien se logeo etc



windows + event viewer

Advanced startUp

advanced startUp

opciones avanzadas de arranque


w + setting

update & security

recovery /advance startUp



otra manera de acceder es

mantener el boton shift apretado

reiniciar


importante

safe mode significa que inicia el sistema con las configuraciones básicas sin apps


config

System Config


General

BOOT

services

startUp

tools



computer management

computer management

Da acceso a varias heramientas





Nota se pueden crear usuario en control panel

servicios

servicios



casos practicos

registry

registry




monitoreo

Monitoreo


task manager

Task manager


control panel

control panel


File explore options (general - view - serach)


system


fierwall


power opciom


credential manager


programs and features


devices and printer


sound


device manager


trouble shooter


bitlocker encription


sync center

Hard drive

Hard drive partiition




DISCOS DUROS


acceder a administracion de discos


montar volumenes


crear un particiones


crear un mirror para Backup


Optimizar y defragmentar unidades


Utilizar CMD diskpart

cmd => diskpart (accedes al editor de discos)


Subtopic

Que

es HARD DRIVE



convert - consola

convert e: /fs: ntfs => de fat32 a ntfs

convert - GUI

covetir ntfs a fat 32 => se pirde toda la data

cambiar letra particion


diskpart

DISKPART> /? - opciones

DISKPART> list - opciones con list

DISKPART> disk - lista discos

DISKPART> select disk 1

DISKPART> clean - limpia disco

DISKPART> create - opciones de create

DISKPART> create partition primary - crea particion

DISKPART> format fs=ntfs - lo formatea en ntfs

DISKPART> assign => le asigna una letra (E,F,etc)





File System

FILE SYSTEM


WINDOWS

FAT32 (desfasado)

ExFAT (mas usado)

NTFS


Macs

LINUX


Optica disc file system


volumenes

Volumnes


striped

striped


spanned

spanned


mirror

Mirror



particiones

MBR

MBR - master boot record



particion Primaria => almacena y corre SO

particion logica o extendida => solo para almacenamiento

GPT

GPT (GUID partition table)



OS

Que aprendiste

1 Tener imagenes de sistemas operativos

2 hacer la instalación por red en diferentes host

3 hacer una imagen con todos los programas requeridos


4 ver propiedades de hardware como ram,cpu,storage grafic direct


general w+r => msinfo32.exe

discos w+r => diskmgmt.msc

RAM DDR3 => pestillo mas a la izquierda (doble data rate)

RAM DDR4 => mas eficiente pestillo mas centrado


utiles

acceso terminal

w + r => cmd

w +r => cmd + (ctrl + shift + enter)

alt + tabulador => selecciona ventana

alt + f4 => cierra ventanas


apagar / reiniciar

w+r => cmd shutdown /r - /s ( restart - shut)




soluciones comunes

Soluciones comunes



soluciones seguridad


procedimientos contra malware


















32 - 64 Bits

SO 32 - 64 Bits


SO abiertos


requerimientos minimos hardware w 7 - 8 y 10

32 bit


64 bits


diferencias windows home y PRO

HOME


PRO - enterprice














Upgrade - clean install

Upgrade - clean install


upgrade


clean install


la instalacion puede ser hecha


despues de la instalacion


herramientas

imagenes con sofares instalados