por humberto garcia 2 meses atrás
1080
Mais informações
Virtualbox
Pfsense
Instalacion en virtualbox
Recomendaciones
QA
OpenVPN
OPENVPN
necesitamos tener acceso a nuestra pfsense desde cualquier ubicacion.
por lo general la IP asignada por nuestro ISP es dinamica y cambia cada 24 horas
para ello necesitamos que sea siempre estatica por ello utilizamos un servicio DNS dinamico:
NO IP
pfsense - dynamic dns
pfsense - openVPN
apuntes
https://my.noip.com/dynamic-dns
dnns: estaticayremotapla.ddns.net
lhgc2014@yahoo.com
unaqp...
intall openvpn (system - package manager)
open-wizard (vpn/openvpn)
crear usuarios para open VPN
exportar usuario
prende-apaga-reinicia services desde aqui
status/services
system-logs
para ver los logs del sistema
/status/system-logs
user-manager
Aqui se crea usuarios para acceder al pfsense
reboot-halt
Desde aqui se reinicia o apaga el PFsense
Diagnostics/reeboot
BU-RESTORE
rules
Install
1- Mysql Galera cluster (opcional puede ser solo mysql omariadb)
docker-compose
Docker compose
Por organizacion creas una carpeta docker
mkdir docker (en esta carpeta clonas el git)
GIT - clonar
git clone https://github.com/zabbix/zabbix-docker.git
Cambiar de nombre al docker-compose (opcional)
cp docker-compose_v3_ubuntu_mysql_latest.yaml docker-compose.yml
Configurar ENVIROMENTS
Mysql
listado de archivos ocultos
root@luis:/docker/zabbix-docker/env_vars# ls -al
cambiar password (opcional)
cd /docker/zabbix-docker/env_vars# vim .MYSQL_PASSWORD
Cambiar ROOT password (opcional)
cd /docker/zabbix-docker/env_vars# vim .MYSQL_ROOT_PASSWORD
Cambiar nombre de usuario (opcional)
/docker/zabbix-docker/env_vars# vim .MYSQL_USER
Data base
Data base
free software
portScan
spiceworks
ipconfig
ipconfig /all
ipconfig /release
ipconfig /renew
ping
ping 10.101.10.1
ping server (bota ip del server
ping exchange
ping /? descripcion de lo que puedes hacer con ping
ping 10.1.1.1 -n 200 (200 veces)
ping 10.1.1.1 -i 200 (ttl tiempo )
tracert www.ejemplo (hops)
ICMP
port scanning
smbs (service message block shares)
snmp
Pasos
1 configurar snmp en el server con alguna herramienta de monitoreo
monitoring tools
2 en cada dispositivo a monitorear habilitar snmp y cambiar el comunity string por seguridad
disable ping en el router asi nadie de afuera podra mapear tu red
show controllers: muestra info del hardhard de la iterface
DHCP DORA discovery offert request akc
RESUMEN VoIP
1 se utiliza un router on stick para comunicar intervlans
2 el sw
3 el ROUTER
4 configuracion de telefonos (ROUTER)
LAB VoIP
auto-assign/source ip/max-ephone-dn/elefony.service
RESUMEN QoS
1 manejar colas de paquetes mediante marcado o clasifi
Tipos de marcado
cos (class of service)
dscp (diferentiated service code point) + usado solo un bit
nbar (networ base application recognigtion)
acl
2 shaping
no perder paquetes debido a que estan dentro del rate limit establecido (LLQ -prority)
3 policing
(aplicada por ISP solo 10 megas aus cleintes) se pierden paquetes si se exede en trafico limitado por in rate ejemplo bandwith
Hay 2 metodos :
CBWFQ (Class Based Weighted Fair Queuing) gives bandwidth
LLQ (Low Latency Queuing) is CBWFQ with a priority queue
PROCEDEMIENTO MQC Modular Quality CLI of Sericev
1 crear una clase y asociarlo a un protocolo
2 crear un policy de marcado y asignarlo a una clase
3 linkearlo a una interface
requerimientos minimos de llamdas y video
latencia < 0 = a 150 ms (demara del origen a destino)
jitter < 0 = a 30ms (demora entre paquetes)
los < 0 = 1 %
nota
-QoS consiste en administrar la congestion de paquetes
-controlar la cola paquetes mas popular
-beneficiar a unos significa perjudicara otros
-cuando la memoria del router o sw rebasa se pierden paquetes
Notas exam
QoS profile WLAN
Platinum/voice
gold /video
Silver/defaul (best effort)
bronze (back ground)
LAB-QoS
QoS - router
clases
config)# class-map voice (voice cualquier nombre)
config-cmap) match protocol rtp
exit
config)# class-map http
config-cmap)match protocol http
exir
config)# class-map icmp
config-cmap)match protocol icmp
policies
config)#policy-map mark (mark cualquier nombre)
config-pmap)#class voice
config-pmap-c)#set ip dscp ef
config-pmap-c)#priority 100 (kilobit por secon)
config)#policy-map mark
config-pmap)#class http
config-pmap-c)set ip dscp af31
config-pmap-c)#bandwith 50 (minimo kilobits per second)
config-p-map)#class icmp
config-pmap-c)set ip dscp af11
config-pmap-c)#bandwith 25
binding polcies of QoS a una iterface
r1)# int serial 0/1/0
if)service-policy output mark
utlies
sh run
sh policy map
sh policy-map interface g0/1/0
service-poilici-class-map
LAB -GRE
GRE tunel
crear interface tunel (en ambos routers)
config)# int tunnel 0
if)# ip address 10.1.3.1 255.255.255.0 (generalmente es mask30)
enlasarla Int de origen y salida
config)# tunnel source g0/0/1 (int con salid internet)
config)# tunnel destination 8.8.11.2 (ip del router de destino)
agregarlas al routing table mediante eigrp
config)#router eigrp 100
config)#network 10.0.0.0
config)#no auto summary
utiles
traceroute
sh ip eigrp neighbor
sh ip route
tracert route
eigrp/destination/source/tunnelIP
wireless
tipos
APs son layer 2
802.11 ( por IEEE)
alcance MAX hast 91 metros
WiFi Direct permite conectarse ad hoc y APs
SSID Service Set Identifier
IBSS (independent basic service set)
BSSID (Basic Service Set Identifier)
BSA Basic Service Area
ZTP Zero Touch Provisioning (Aps identifican WLC)
wireless y half duplex
cableado es full duplex
wifi services 2.4 GHz (22 MHz) and 5 GHz (20 MHz)
proteccion
WPA3 - aes ccmp y agains KRACK attack (2018)
WPA Personal - persona
WPA Enterprise uses a AAA server.
EXTRA PREGUNTAS
WAP modes client services
-local
flexconnect
-mesh or briedge
WAP modes network management
-monitor : como sensor de monitoreo
-rogue detector: detecta redes no autorizadas
-SE- connect
-Sniffer
-AES - 256
CPU - ACLs
configurar WLC
wifi-lab
Wireless que aprediste
crear vlans para cada Wlan
>vlan 10
>name management
>vlan 22
>name guest
>vlan 23
>name corporate
SW L3 asignar ips a cada vlan para ser usado como GW
config>int vlan 10
if> ip address 192.168.10.1 255.255.255.0
asignarles IPs a los AP mediante DHCP
>ip dhcp exclude address 192.168.10.1 192.168.10.100
>ip dhcp pool management
>network 192.168.10.0 255.255.255.0
>default-router 192.168.10.1
>option 43 ip 192.168.10.11 (ip del wlc)
conexion del sw con WLC
>SW mode trunk
>sw trunk allowed vlan 10,22,23
>spanning tree portfast trunk
conexion del sw con APs
>int range g1/0/3-4
>sw mode access
>sw access vlan 10 (es la red de management)
>spanning-tree portfast
Configuracion del WlC
acceder al WLC
mediante IP en el navegador https://192.168.10.11
autenticacion con server RADIUS AAA
security / AAA / new
Asignar IPs a los APs mediate DHCP por WLC
controller/ Internal DHCP / DHCP scope /new
Logical interfaces
controller / interfaces / new
DHCP information
Wireless LANs - conexion con AAA
wlans/ Wlans / create new one
Wireless LANs - conexion Pre share key
finalmente save configuration
Conecta Automous systems,
se tiene que indicar las redes del rouetr vecino por el cual se conectan incluyendo el loopback NO aplica WC
El estado debe ser stablished que indica adyacencia
Si hay mas de una conexion entre routers de igual forma se les debe indicar cada uno
BGP es a distance vector protocol
BGP administrative distance 20
BGP TCP puerto 179
B es comose muestra en routing table
estados
Idle begin forming a connection with a BGP neighbor via TCP.
Connect: TCP three-way handshake is in progress.
Active: TCP handshake is complete moving to opensent state.
OpenSent: checked for errors and the correct AS number
OpenConfirm: messages are received from a remote BGP
Established – Completed BGP Neighbor adjacency
lab-BGP
netLooback-net/neighbord/remote-as /router bgp#
Resumen
cuantas maneras hay de habilitar OSPF
trabajando con cdm network
sumarizacion
asignar Loopbacks a los routers
Interfaces passivas
costo
reference cost
medidas
bit (b) = unidad basica 0 ó 1
byte (B) = 8 bits
bit (1)=> kilobit(1000b) => megabit(1000Kb) = gigabit(1000Mb)
nota
bytes para indicar espacio de almacenamiento
bits para indicar la velocidad en que viajan los datos
MB = megabyte (espacio)
Mb = megabit (velocidad)
bits incrementAN DE MIL EN MIL
Bytes increenyan de 1024 en 1024
que es:
Principio: dos routers vecinos deben pertenecer a la misma area en una de sus interfaces
ABR: una de sus INT debe estar conectada al Backboen area 0 y las otras interfaces a otras areas
Normal area routers: estan dentro de una misma area
Backbone routers: routers ubicados en el area 0 o backbone lo abr tambien se les puede considerar backbone routers
internal o regular routers son aquellos que no estan onectados al area 0 o backbone y todos deben pertenecer a la misma area
BackBone area: area donde donde las demas areas deben conectarse para tener conectividad una con otras
ASBR (autonomous system boundary router): router que tiene por lo menos en una de sus interfaces un protocolo diferente al OSPF ejemplo eigrp y que es injectado en un red con ospf se le conoce por REDISTRIBUIR y aparecen como external Routes
local route /32
ruta conectada directamenet /24
ETXRA PREGUTAS
Tipos de ospf networks
-point to point (entre dos routers)
-broadcast (por defecto las interfaces soportan broadast en su otro extremo swtch)
-no broadcast (no broadcast multi access o point to multipoint)
lab-OSPF
1 configurar protocolo ospf
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
2 Otra manera de setear una interface passive
passive-interface default
no passive-interface f0/0
no passive-interface f0/1
3 Inyeccion de rutas
router ospf 1
default-information originate
4 sumarizar areas en ospf
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
network 10.1.0.0 0.0.0.255 area 1
area 0 range 10.0.0.0 255.255.0.0
area 1 range 10.1.0.0 255.255.0.0
5 formula para obtener el costo
cost = referenceCost / interfaceCost
6 setear el reference cost (100)
router ospf 1
auto-cost reference-bandwith 100000
7 setear costo de las interfaces
int f0/0
ip ospf cost 2000
int f0/1
ip ospf cost 2000
8 setear DR designated router
interface f0/0
ip ospf priority 100
NOTAS TRAINING 2
utiles
sh run | section ospf
sh ip protocols
sh ip ospf int brief - ves info de las interfaces
sh ip ospf neighbor - ves el vecino adyacente
sh ip ospf database
clear ip ospf process _ reinicia el proceso ospf
********training 2*******
habilitar OSPF con la IP exacta (mas segura -real life)
network 10.1.1.1 0.0.0.0 area 0
network 1.1.1.1 0.0.0.0 area 0 (loopback)
habilitar OSPF con network
network 10.1.1.0 0.0.0.255 area 0
habilitar OSPF con el cmd Interface
> int g0/1
> ip ospf 1 area 0
habilitar ospf en todas las interfaces
>router ospf 1
>network 0.0.0.0 255.255.255.255 area 0
trouble shooting
router vecinos interfaces deben estar en la misma area (sh ip ospf int)
diferentes router ID cada router deben ser unicos
networks correctamente indicadas
agarrar cambios clear ip ospf proccess
enrutamientamiento IPv6
>ipv6 unicats - routing
OSPF
config>ipv6 router ospf 1
router>router-id 1.1.1.1 (si no hay ninguna ipv4 seteada)
int>ipv6 ospf 1 area 0
1 configurar protocolo ospf
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
2 Otra manera de setear una interface passive
passive-interface default
no passive-interface f0/0
no passive-interface f0/1
3 Inyeccion de rutas
router ospf 1
default-information originate
4 sumarizar areas en ospf
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
network 10.1.0.0 0.0.0.255 area 1
area 0 range 10.0.0.0 255.255.0.0
area 1 range 10.1.0.0 255.255.0.0
5 formula para obtener el costo
cost = referenceCost / interfaceCost
6 setear el reference cost (100)
router ospf 1
auto-cost reference-bandwith 100000
7 setear costo de las interfaces
int f0/0
ip ospf cost 2000
int f0/1
ip ospf cost 2000
8 setear DR designated router
interface f0/0
ip ospf priority 100
NOTAS TRAINING 2
utiles
sh run | section ospf
sh ip protocols
sh ip ospf int brief - ves info de las interfaces
sh ip ospf neighbor - ves el vecino adyacente
sh ip ospf database
clear ip ospf process _ reinicia el proceso ospf
********training 2*******
habilitar OSPF con la IP exacta (mas segura -real life)
network 10.1.1.1 0.0.0.0 area 0
network 1.1.1.1 0.0.0.0 area 0 (loopback)
habilitar OSPF con network
network 10.1.1.0 0.0.0.255 area 0
habilitar OSPF con el cmd Interface
> int g0/1
> ip ospf 1 area 0
habilitar ospf en todas las interfaces
>router ospf 1
>network 0.0.0.0 255.255.255.255 area 0
trouble shooting
router vecinos interfaces deben estar en la misma area (sh ip ospf int)
diferentes router ID cada router deben ser unicos
networks correctamente indicadas
agarrar cambios clear ip ospf proccess
1 configurar protocolo ospf
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
2 Otra manera de setear una interface passive
passive-interface default
no passive-interface f0/0
no passive-interface f0/1
3 Inyeccion de rutas
router ospf 1
default-information originate
4 sumarizar areas en ospf
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
network 10.1.0.0 0.0.0.255 area 1
area 0 range 10.0.0.0 255.255.0.0
area 1 range 10.1.0.0 255.255.0.0
5 formula para obtener el costo
cost = referenceCost / interfaceCost
6 setear el reference cost (100)
router ospf 1
auto-cost reference-bandwith 100000
7 setear costo de las interfaces
int f0/0
ip ospf cost 2000
int f0/1
ip ospf cost 2000
8 setear DR designated router
interface f0/0
ip ospf priority 100
NOTAS TRAINING 2
utiles
sh run | section ospf
sh ip protocols
sh ip ospf int brief - ves info de las interfaces
sh ip ospf neighbor - ves el vecino adyacente
sh ip ospf database
clear ip ospf process _ reinicia el proceso ospf
********training 2*******
habilitar OSPF con la IP exacta (mas segura -real life)
network 10.1.1.1 0.0.0.0 area 0
network 1.1.1.1 0.0.0.0 area 0 (loopback)
habilitar OSPF con network
network 10.1.1.0 0.0.0.255 area 0
habilitar OSPF con el cmd Interface
> int g0/1
> ip ospf 1 area 0
habilitar ospf en todas las interfaces
>router ospf 1
>network 0.0.0.0 255.255.255.255 area 0
trouble shooting
router vecinos interfaces deben estar en la misma area (sh ip ospf int)
diferentes router ID cada router deben ser unicos
networks correctamente indicadas
agarrar cambios clear ip ospf proccess
resumen IPV6
global unicast 2001:db8 (ipv4 - publica)
ipv6 address 2001:db8:0:0::1/64
rango 2000::/3
link local FE80::1 (se genera automaticamente)
ipv6 address fe80::1 link local
rango FE80::/10 – FEB0::/10
unique local address FC00::1 (ipv4 - privada)
asignar IPv6 address
Manualmente
eui-64 (asignar ipv6 de manera automatica end host)
para end host
2001:db8:0:1::/64 eui-64
slaac - defecto (staless address autoconfiguration)
genera una IPv6 a partir del GW bajo el standar de EUI64
::/0
neigboard discovery es la version de ARP en IPV6
manda solicitation y advertisement messages
enrutamienta
>ipv6 unicats - routing
OSPF
config>ipv6 router ospf 1
router>router-id 1.1.1.1 (si no hay ninguna ipv4 seteada)
int>ipv6 ospf 1 area 0
lab-IPv6
RESUMEN VLAN
-sw core (en pares)
-sw distribution (scalability)
-sw access (coneccion directa con end host)
router on stick
LAB-VLANS
1 crear una VLAN
SW1(config)#vlan 10
SW1(config-vlan)#name Eng
2 a crear una vlan nativa (cambiar la valn 1 x defecto)
SW1(config-vlan)#vlan 199
SW1(config-vlan)#name native
3 a utilizar esa vlan nativa
SW1(config)#interface gig0/1
SW1(config-if)#switch trunk native vlan 199
4 crear un trunk port con tag
int g0/1
switch trunk encap dot1q
switch mode trunk
5 crear un acces port
SW3(config)#int f0/3
SW3(config-if)#switch mode access
6 asignar puertos por rangos a una VLAN
SW1(config)#int range f0/1 - 2
SW1(config-if-range)#switch mode access
SW1(config-if-range)#switch access vlan 10
******VTP***********
7 crear un SW como servidor para
SW1(config)#vtp domain Flackbox
SW1(config)#vtp mode server
8 crear un sw como cliente
SW3(config)#vtp mode client
SW3(config)#vtp domain Flackbox
9 crear un sw como transparent (neutro)
SW2(config)#vtp mode transparent
********DTP (no recomendable)********
switchport mode dynamic auto
switchport mode dynamic desirable
switchport nonegatiate
*****UTILIES********
10 ver lans en un SW
sw3# sh vlan brief
11 ver detalles de un puerto en especifico
sh int g0/1 switchport
**************inter vlans*******************
OPT 1 INTERFACES SEPARADAS
1 setear default getways
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 10.10.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)#interface FastEthernet 0/1
R1(config-if)#ip address 10.10.20.1 255.255.255.0
R1(config-if)#no shutdown
2 asignarles una VLAN a esa int
SW2(config)#interface FastEthernet 0/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 10
OPT 2 ROUTER ON STICK
1 configurar SUB INTERFACES
R1(config)#interface FastEthernet 0/0
R1(config-if)#no ip address
R1(config-if)#no shutdown
R1(config-if)#interface FastEthernet 0/0.10
R1(config-subif)#encapsulation dot1q 10
R1(config-subif)#ip address 10.10.10.1 255.255.255.0
2 asignar un trunk port etiquetado
SW2(config)#interface FastEthernet 0/1
SW2(config-if)#switch trunk encap dot1q
SW2(config-if)#switchport mode trunk
OPT 3 LAYER 3 SW
1 habilitar ruteo por ips en el L3 - sw
SW2(config)#ip routing
2 configurar las vlans en el router
SW2(config)#interface vlan 10
SW2(config-if)#ip address 10.10.10.1 255.255.255.0
3 a configurar un puerto en L3 sw para conexion internet
SW1(config)#interface FastEthernet 0/1
SW1(config-if)#no switchport
SW1(config-if)#ip address 10.10.10.1 255.255.255.0
SW1(config)#ip route 0.0.0.0 0.0.0.0 10.10.100.2
dot1q/dtp/vtp
REDUNDANCY STP
-root bridge libre de loops
-seleccionar un sw prioritario para una vlan
versiones
-genericas
-cisco
EXTRA preguntas
mac address reconocida como virtual address
0000.5E00.010a
LAB STP
bpdu/portfast/spanning tree
RESUMEN network redundacy
-Consiste en utilizar rutas activas y en standby
-protolos FHRP (first hot redundancy protocol)
-coniste en indicar que router sera el principal con el cmd standby
crear un gateway virtual a la cual se conectaran los endhost
LAB-NR
preemp/priority/standby 1/FHRP
OTROS DISPOSITIVOS.
NIC
HUBS
WAP
WIRELESS RANGER EXTENDED
MODEN
SOHO
MEDIA CONVERTERS
Operaciones
a. There is a protocol mismatch up/down
B. There is a duplex mismatch up/up
C. The interface is shut down admin down / down
D. The interface is error-disabled down/down
E. There is a speed mismatch down/down
down / down
administrative down / down
down / down err disabled
up / down
up / up
wiireless
Wireless que aprediste
crear vlans para cada Wlan
>vlan 10
>name management
>vlan 22
>name guest
>vlan 23
>name corporate
SW L3 asignar ips a cada vlan para ser usado como GW
config>int vlan 10
if> ip address 192.168.10.1 255.255.255.0
asignarles IPs a los AP mediante DHCP
>ip dhcp exclude address 192.168.10.1 192.168.10.100
>ip dhcp pool management
>network 192.168.10.0 255.255.255.0
>default-router 192.168.10.1
>option 43 ip 192.168.10.11 (ip del wlc)
conexion del sw con WLC
>SW mode trunk
>sw trunk allowed vlan 10,22,23
>spanning tree portfast trunk
conexion del sw con APs
>int range g1/0/3-4
>sw mode access
>sw access vlan 10 (es la red de management)
>spanning-tree portfast
Configuracion del WlC
acceder al WLC
mediante IP en el navegador https://192.168.10.11
autenticacion con server RADIUS AAA
security / AAA / new
Asignar IPs a los APs mediate DHCP por WLC
controller/ Internal DHCP / DHCP scope /new
Logical interfaces
controller / interfaces / new
DHCP information
Wireless LANs - conexion con AAA
wlans/ Wlans / create new one
Wireless LANs - conexion Pre share key
finalmente save configuration
resumen wireless
wireless
tipos
APs son layer 2
802.11 ( por IEEE)
alcance MAX hast 91 metros
WiFi Direct permite conectarse ad hoc y APs
SSID Service Set Identifier
IBSS (independent basic service set)
BSSID (Basic Service Set Identifier)
BSA Basic Service Area
ZTP Zero Touch Provisioning (Aps identifican WLC)
wireless y half duplex
cableado es full duplex
wifi services 2.4 GHz (22 MHz) and 5 GHz (20 MHz)
proteccion
WPA3 - aes ccmp y agains KRACK attack (2018)
WPA Personal - persona
WPA Enterprise uses a AAA server.
notas
802.11r
802.11w
LAG (link agregation)
LAG is a partial implementation of the 802.3ad port aggregation standard. It bundles all the ports of the controller into a single 802.3ad port channel. The controller manages redundancy and load balancing of all the APs across the ports.
WLC - wireless lan controller
Tipos de puertos que tiene wlc
split - mac
split - mac
Split MAC – AP Operations
Split MAC – WLC Operations
CAPWAP (Control And Provisioning of Wireless Access Points)
Lightweight AP
Lightweight AP (con WLC)
Switch(config)# vlan 21
Switch(config-vlan)# name Corporate
Switch(config)# vlan 22
Switch(config-vlan)# name Guest
Switch(config)# vlan 10
Switch(config-vlan)# name WLC-Management
Switch(config)# vlan 11
Switch(config-vlan)# name AP-Management
Switch(config)# interface GigabitEthernet1/0/2
Switch(config-if)# switchport trunk encap dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,11,21,22
Nota
option 43 ip 192.168.10.11 es la IP del WLC
Automous APs
configuracion Automous APs
Switch(config)# vlan 21
Switch(config-vlan)# name Corporate
Switch(config)# vlan 22
Switch(config-vlan)# name Guest
Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport trunk encap dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 21,22
Nota
la interface se conecta directamente al AP
se conecta como trunk
para diferenciar las lvan creadas para guest o manager
SPAN
SPAN - switched port analyzer
s1(config)#monitor session 1 source interface f0/1 both
s1(config)#monitor session 1 destination interface f0/2
utiles
sh monitor
nota
a mandar un copia a otro host en la red
s1(config)#monitor session 1 source interface f0/1 both
s1(config)#monitor session 1 destination interface f0/2
a mandar una copia a otra vlan en el sw
s1(config)#monitor session 2 source interface f0/1 , fastEthernet 0/3
s1(config)#monitor session 2 destination interface f0/1
ver sessiones
sh monitor
SEGURIDAD
ZERO DAY EXPLOIT
Port security
Desabilitar puertos que no estan en uso
SW1(config)#interface range f0/3 - 24
SW1(config-if-range)#shutdown
Habiltar la seguridad por defecto de los puertos
SW1(config)#int f0/2
SW1(config-if)#switch mode access
SW1(config-if)#switchport port-security
setear un maximo de 2 host por puertos
SW1(config)#int f0/1
SW1(config-if)#switch mode access
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security maximum 2
setear acceso a una MAC especifica
SW1(config)#int f0/1
SW1(config-if)#switch mode access
SW1(config-if)#switchport port-security
SW1(config-if)#switchport port-security mac-address
0000.1111.1111
Configuracion dhcp snooping
SW1(config)#ip dhcp snooping
SW1(config)#ip dhcp snooping vlan 10
SW1(config)#int f0/1
SW1(config-if)#ip dhcp snooping trust
configurara DAI dinamoc arp inspection solo cuando dhcp esta hablitado
SW1(config)#int f0/1
SW1(config-if)#ip arp inspection trust!
SW1(config)#ip arp inspection vlan 10
UTILES
SW1#sh port-security address
SW1#sh mac address-table
SW1#show port-security int f0/1
********training 2***********
-cuando se cierra una interface por seguridad, el administrador para aperturarlo debe primero shut y luego no shut para prenderlo nuevamente
por defecto habilitar port-security solo limita el numero de host conectados en el sw si un hos con maca funciona bien y luego reload el sw quiza otra pc con diferente mac toma su puesto y si intentas acceder de la pc1 se cerrara la connexion
ver detalles de seguridad de un interface
sh port-security int g1/0/1
guardar mac-address en running config del sw la primera en conectarse)
sw port security mac-address sticky
cambiar tipo de proteccion (protect, restrict, shutdown)
sw port-security violation restrict
ver dhcp snooping
sh ip dhcp snooping
configuracion arp DAI
SW1(config)#int f0/1
SW1(config-if)#ip arp inspection trust
SW1(config)#ip arp inspection vlan 10
configurar 802.1x
config SW con host finales autentoicacion dot1x
sw> dot1x system-auth-control
sw>int f0/1
sw>sw mode access
sw if>authentication port-control auto
sw if>dot1x pae authenticator
config sw con server AAA
sw>aaa new model
sw>aaa authentication dot1x default group radius
sw>radius-server host 10.1.1.2 key 12345678
RESUMEN SEGURIDAD
RESUMEN SEGURIDAD
Se aplica solo en el access layer
MAC (media access control)
maximo de host conectados en un puerto
indicar mac espcifica
swp security
por defeto solo habilita un host por puerto
shut el puerto si viola una restriccion
las restricciones son
dhcp snooping
habilitar un puerto donde se aceptaran los DHCP de un host
arp spoofing (man in middle )
primero tener habilitado el dhcp snooping
ejecutar DAI (dynamic arp inspeccion)
access layer SW
Port security
Port Security
configuracion
SW1(config)#int f0/2
SW1(config-if)#switchport port-security
configuracion Violation actions
SW1(config)#int f0/2
SW1(config-if)# switchport port-security violation protect
SW1(config-if)# switchport port-security violation restrict
auto recovery configuracion
SW1(config)# errdisable recovery cause psecure-violation
SW1(config)# errdisable recovery interval 600
utiles
SW1#show port-security interface f0/2
Tipos acciones
swp security
por defeto solo habilita un host por puerto
shut el puerto si viola una restriccion
las restricciones son
shutdown
protect ( no cierrra a todos solo al infractor)
restrict
Aging time
absolute las MAC addres se borraran del puerto dspues del tiempo especificado en el aging tie
inactivity las mac adress se borraran solo si estan inactivas por el tiempo espcificado
Especificar MAC
indicar mac espcifica
Maximum MAC
Maximum MAC Addresses
configuracion
SW1(config)# interface f0/2
SW1(config-if)# switchport port-security maximum 2
configuracion manual para una especifica MAC
SW1(config)# interface f0/10
SW1(config-if)# switchport port-security
SW1(config-if)#switchport port-security mac-address
1111.2222.3333
SW1(config-if)# switchport port-security maximum 1
configuracion sticky
SW1(config)# interface f0/2
SW1(config-if)# switchport port-security
SW1(config-if)# switchport port-security mac-address sticky
nota:
sticky es para configura una mac a un puerto pero si hay mil MACs se utiloiza sticky
utiles
SW1#show port-security int f0/2
SW1#show port-security
SW1#show port-security address
802.1X
802.1X Identity Based Networking
ARP Spoofing
Man in the Middle ARP Spoofing
solucion
Dynamic ARP Inspection DAI
configuracion
SW1(config)#int f0/1
SW1(config-if)#ip arp inspection trust!
SW1(config)#ip arp inspection vlan 10
DHCP Snooping
DHCP Snooping
Configuracion
SW1(config)#ip dhcp snooping
SW1(config)#ip dhcp snooping vlan 10
SW1(config)#int f0/1
SW1(config-if)#ip dhcp snooping trust
EtherChanel
EtherChanel
Ambos SW deben tener los mismos parametros de configuracion para que funcione el etherChannel
Propositos de utilizar direcciones fisicas del etehrchannel
que aprendiste?
etherChannel
convertir upLinks a etherChannel con LACP
Acc3(config)#interface range f0/23 - 24
Acc3(config-if-range)#channel-group 1 mode active
Acc3(config-if-range)#exit
Acc3(config)#interface port-channel 1
Acc3(config-if)#description Link to CD1
Acc3(config-if)#switchport mode trunk
Acc3(config-if)#switchport trunk native vlan 199
CD1(config)#interface range f0/23 - 24
CD1(config-if-range)#channel-group 1 mode active
CD1(config-if-range)#exit
CD1(config)#interface port-channel 1
CD1(config-if)#description Link to Acc3
CD1(config-if)#switchport mode trunk
CD1(config-if)#switchport trunk native vlan 199
convertir upLinks a etherChannel con PAgP
Acc4(config)#interface range f0/23 - 24
Acc4(config-if-range)#channel-group 1 mode desirable
Acc4(config-if-range)#exit
Acc4(config)#interface port-channel 1
Acc4(config-if)#description Link to CD2
Acc4(config-if)#switchport mode trunk
Acc4(config-if)#switchport trunk native vlan 199
CD2(config)#interface range f0/23 - 24
CD2(config-if-range)#channel-group 1 mode desirable
CD2(config-if-range)#exit
CD2(config)#interface port-channel 1
CD2(config-if)#description Link to Acc4
CD2(config-if)#switchport mode trunk
CD2(config-if)#switchport trunk native vlan 199
configurar a static etherChannel
CD1(config)#interface range g0/1 - 2
CD1(config-if-range)#channel-group 3 mode on
CD1(config-if-range)#exit
CD1(config)#interface port-channel 3
CD1(config-if)#description Link to CD2
CD1(config-if)#switchport mode trunk
CD1(config-if)#switchport trunk native vlan 199
CD2(config)#interface range g0/1 - 2
CD2(config-if-range)#channel-group 3 mode on
CD2(config-if-range)#exit
CD2(config)#interface port-channel 3
CD2(config-if)#description Link to CD1
CD2(config-if)#switchport mode trunk
CD2(config-if)#switchport trunk native vlan 199
Layer 3 EtherChannel Configuration
Switch1(config)#interface range GigabitEthernet 1/0/1 - 2
Switch1(config-if-range)#no switchport
Switch1(config-if-range)#channel-group 1 mode active
Switch1(config-if-range)#exit
Switch1(config)#interface port-channel 1
Switch1(config-if)#ip address 192.168.0.1 255.255.255.252
Switch1(config-if)#no shutdown
Switch2(config)#interface range GigabitEthernet 1/0/1 - 2
Switch2(config-if-range)#no switchport
Switch2(config-if-range)#channel-group 1 mode active
Switch2(config-if-range)#exit
Switch2(config)#interface port-channel 1
Switch2(config-if)#ip address 192.168.0.2 255.255.255.252
Switch2(config-if)#no shutdow
configurar un protocolo de ruteo a los L3 SW
Switch1(config)#ip routing
Switch1(config)#router ospf 1
Switch1(config-router)#network 192.168.0.0 0.0.0.255 area 0
Utils
acc3# sh etherchannel summary
Switch2(config-if-range)#no channel-group 1 - elimina los puerto del grupo
Switch1(config) no interface port-channel X - Eliminar un port channel
L3 etherchannel
Layer 3 Etherchannel
configuracion
Switch1(config)#interface range GigabitEthernet 1/0/1 - 2
Switch1(config-if-range)#no switchport
Switch1(config-if-range)#channel-group 1 mode | active | auto | desirable | on | passive
Switch1(config)#interface port-channel 1
Switch1(config-if)#ip address 192.168.0.1 255.255.255.252
Switch1(config-if)#no shutdown
protocolos etherChannel-
Static Etherchannel
configuracion
SW1(config)#interface range f0/23 - 24
SW1(config-if-range)#channel-group 1 mode on
SW1(config)#interface port-channel 1
SW1(config-if)#switchport mode trunk
PAgP
PAgP Port Aggregation Protocol
configuracion
SW1(config)#interface range f0/23 - 24
SW1(config-if-range)#channel-group 1 mode desirable
SW1(config)#interface port-channel 1
SW1(config-if)#switchport mode trunk
Configure matching settings on the switch on the other side of the links
LACP
LACP Link Aggregation Control Protocol
configuracion
SW1(config)#interface range f0/23 - 24
SW1(config-if-range)#channel-group 1 mode active
This creates interface port-channel 1
SW1(config)#interface port-channel 1
SW1(config-if)#switchport mode trunk
Configure the interface settings on the port channel
network redundancy
SPANING TREE PROTOCOLS
STP - SPANING TREE PROTOCOLS
spanning tree ports
RSPT
BPDU - Bridge Protocol Data Units
BRIDGE ID
The Root Bridge
STP
*******trouble shooting************
1 saber que router es el principal o hot
R1#show standby
2 ver en los SW cual es root
SW#sh spanning-tree vlan 10
**************configuracion**************
3 setear un SW como primario o root
CD1(config)#spanning-tree vlan 10 root primary
4 setear un SW como secundario
CD2(config)#spanning-tree vlan 10 root secondary
5 habilitar un puerto a portfast (desabilita stp) y habilitar BPDU guard
Acc3(config)#int f0/1
Acc3(config-if)#spanning-tree portfast
Acc3(config-if)#spanning-tree bpduguard enable
6 habiltar un guard para un root SW
SW2(config)#interface fa0/2
SW2(config-if)#spanning-tree guard root
7 Training 2
cuando un puerto en el SW es portfast carga inmediato y los end host se conectan inmediatamente, cuando no son portfast toma un tiempo en cargar la conexion.
CMD - utiles
CMD - utiles
show spanning-tree vlan 1 : muestar detalles del spt
R1#show interface g0/1
Acc3#show mac address-table
versiones
Cisco versiones
Cisco versiones
1- Per VLAN Spanning Tree Plus (PVST+)
2- Rapid Per VLAN Spanning Tree Plus (RPVST+)
open standars
open standars
1- 802.1D Spanning Tree Protocol (STP)
2- 802.1w Rapid Spanning Tree Protocol (RSTP)
3- 802.1s Multiple Spanning Tree Protocol (MSTP)
spanning root guard
spanning root guard
CMD
SW2(config)#interface fa0/2
SW2(config-if)#spanning-tree guard root
spaning tree BPD guard
spaning tree BPD guard
cmd
SW1(config)# interface f0/10
SW1(config-if)# spanning-tree portfast
SW1(config-if)# spanning-tree bpduguard enable (1x1)
SW1(config)# spanning-tree portfast bpduguard default (all)
Spanning tree Portfast
Spanning tree Portfast
CMD
SW1(config)# interface f0/10
SW1(config-if)# spanning-tree portfast (1x1)
SW1(config)# spanning-tree portfast default (all ports)
Spanning tree cost
Spanning Tree Cost
Load Balancing
VLAN
VLAN
cuando se quiere formar un trunk con otro switch de otra marca que nosea cisco
ISL = entre cisco switches
802.1q = entre sw cisco y de otra marca
Nota
A black hole is a vlan that is unused where you put unused ports in or hosts that you dont want to be on the network.
1 crear una VLAN
SW1(config)#vlan 10
SW1(config-vlan)#name Eng
2 a crear una vlan nativa (cambiar la valn 1 x defecto)
SW1(config-vlan)#vlan 199
SW1(config-vlan)#name native
3 a utilizar esa vlan nativa
SW1(config)#interface gig0/1
SW1(config-if)#switch trunk native vlan 199
4 crear un trunk port con tag
int g0/1
switch trunk encap dot1q
switch mode trunk
5 crear un acces port
SW3(config)#int f0/3
SW3(config-if)#switch mode access
6 asignar puertos por rangos a una VLAN
SW1(config)#int range f0/1 - 2
SW1(config-if-range)#switch mode access
SW1(config-if-range)#switch access vlan 10
******VTP***********
7 crear un SW como servidor para
SW1(config)#vtp domain Flackbox
SW1(config)#vtp mode server
8 crear un sw como cliente
SW3(config)#vtp mode client
SW3(config)#vtp domain Flackbox
9 crear un sw como transparent (neutro)
SW2(config)#vtp mode transparent
********DTP (no recomendable)********
switchport mode dynamic auto
switchport mode dynamic desirable
switchport nonegatiate
*****UTILIES********
10 ver lans en un SW
sw3# sh vlan brief
11 ver detalles de un puerto en especifico
sh int g0/1 switchport
CMD
vlan 10
name Eng
interface f0/1
switchport mode access
switchport access vlan 10
interface range f0/3 - 5
switchport mode access
switchport access vlan 10
sh vlan brief => resumen de los puertos de la vlan
sh int f 0/1 switchport => detalles de un puerto del vlan
ping 10.10.10.255 => manda mensajes broadcast
nota
10 puede ser cualquier numero asignada a una Vlan
name Eng: es opcional pero recomendable darle un nombre
interface range f0/3 - 5 : se puede asignar un rango de puertos a la vez en vez de individualmente 0/3-0/4-0/5
trunk port (en el switch)
int f0/24
description trunk to SW2
switchport trunk encapsulation dot1q
switchport mode trunk
nota
switchport trunk encapsulation dot1q: este cmd es aceptado en switches modernos y antiguos los antiguos tenian otro protocolo.
los switches modernos tienen por defecto dot1q asi que si pones esta cmd quiza bote algun error
trunk port VOICE VLAN configuration
int F 0/10
description IP Phone
switchport mode access
switchport access vlan 10
switchport voice vlan 20
nota
switchport mode access => es un trunk port pero para Phone se le pone access es una caso especial para que no tenga acceso a la pc
NATIVE VLAN
vlan 199
name native
int g0/1
description Trunk to SW2
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 199
sh int g0/1 switchport
LIMITANDO VLAN
int g0/1
switchport trunk allowed vlan 10,30
VTP
VTP - vlan trunking protocol
VTP MODES
cmd
vtp domain nombre
vtp mode server
vtp mode client
vtp mode trasparent
DTP
DTP DYNAMIC TRUNK PROTOCOL
switchport mode dynamic auto: sera trunk si el sw vecino esta seteado como trunk o desirable no sera trunk si los 2 estan en auto
switchport mode dynamic desirable: sera trunk si el sw vecino esta seteado como trunk ,auto o desirable
switchport nonegotiate: desabilita el DTP
cmds
config t
int g0/1
switchport mode dynamic desirable
sh int g0/1
Nota:
Trunk port - DOT1Q
Vlan trunk port
native vlan
Native vlan
Default VLAN: This can refer to one of two types. Typically, the default VLAN refers to the one that all of the ports on a device belong to when it is switched on. On most switches, this default is VLAN 1 and should be changed for security reasons. Some network managers may use the term “default VLAN” to refer to a VLAN to which all ports are assigned when they’re not being used.
Native VLAN: The native VLAN is the one into which untagged traffic will be put when it’s received on a trunk port. This makes it possible for your VLAN to support legacy devices or devices that don’t tag their traffic like some wireless access points and simply network attached devices.
Access port
Vlan Access port
Cisco ASA (adaptive security apliances)
tiene 2 modos
routed mode
transpartent mode
Terminologia
network-device-managemement (logs)
NETWORK DEVICE MANAGER SNPM - Syslog
Syslogs (Donde se ven los logs)
4 habilitacion logs en consolo para mostrar logs
R1(config)#logging console 7
4 habilitar Logs en VTY para mostrar logs
R1(config)#logging monitor 5
4 habilitar logs en Buffer RAM
R1(config)#logging buffered debugging
2 setear un syslog externo
R1(config)#logging 10.0.0.100
************** SNMP *********
1 setear snmp como lectura y comunidad string
R1(config)#snmp-server contact gdp@hotmail.com (op)
R1(config)#snmp-server location baranco lab (opt)
R1(config)#snmp-server community Flackbox1 ro
R1(config)#snmp-server community Flackbox2 rw
R1(config)#snmp-server host 10.0.0.100 flackbox1
R1(config)#snmp-server enable traps config
nota
contact y location es opcional
R1(config)#snmp-server enable traps config es una opcion entre muchas
************** SNMP 3 *********
R1(config)#snmp-server group nombre-group v3 priv
R1(config)#snmp-server user fb-user v3 auth sha P@$$w0rd priv aes 128 PRIPASSWORD
NOTA
auth sha P@$$w0rd => parte de autenticacion
priv aes 128 PRIPASSWORD => parte de encriptacion
utiles
R1#show logging
R1(config-line)#logging synchronous (para mejora visual)
********training 2*********
setear log externo
habilitar servicio de tiempo para logs
r1> service timestamps log datetime msec
muestra configuracion snmp
sh run
snmp
sirve para leer y manipular configuracion de routers mediante una interface por una pc MBI
NTP
NTP
para configurar NTP a un servidor se debe
stratun (0 - 15)
0 = reloj atomico fuente original del tiempo (antena gps - satelite)
1 = recibe el tiempo de la fuente original o stratto 0
2 = servidores que sincronizan el tiempo con el 1 y asi sucecivamente
MASTER
NTP Master is used to indicate the NTP Server (Authoritative NTP) and its type of stratum, the stratum 1 is used for public NTP Servers, so if you set up one router as NTP Server it could be stratum 2. The NTP Clients will be NTP Stratum 3.
SERVER
NTP server is configured on the client NTP Routers to indicate the IP Address of NTP Server in order to obtain all the time information.
PEER
NTP Peer is configured in order to sync the time settings with other router. You can specify multiple peer associations.
gets its ntp off an actual peer device like another router on the network
When you use the command ntp master and do not specify the
stratum: the default stratum is 8.
Syslog vs SNMP
Syslog vs SNMP
SNMP
Simple Network Management Protocol (SNMP)
versiones SNMP
SNMPv1
SNMPv2c
SNMPv3
configuracion SNMPv2c
R1(config)#snmp-server contact neil@flackbox.com
R1(config)#snmp-server location Flackbox Lab
(Optional, identifies the Agent to the Manager)
R1(config)#snmp-server community Flackbox1 ro
R1(config)#snmp-server community Flackbox2 rw
R1(config)#snmp-server host 10.0.0.100 Flackbox1
R1(config)#snmp-server enable traps config
(When a configuration change is made a trap will be sent to the NMS
system at 10.0.0.100 using the ro Community string)
configuracion SNMPv3
R1(config)# snmp-server user Flackbox-user Flackbox-group v3 auth sha AUTHPASSWORD priv aes 128 PRIVPASSWORD
NOTA
los comunity string son como passwords y todos los dispositivos tienen por defecto "public"
Notas
NOTA
monitoring tools
Syslog
Syslog
seq no:time stamp: %facility-severity-MNEMONIC:description
seq no = sequence number opcional
time stamp: tiempo
%facility = done ocurrio
severity= 0 el mas critico (0,1,2,3) - 7 solo infomacion
MNEMONIC = estado
description = mensaje
Oct 3 00:44:12.627: %LINK-5-CHANGED: Interface
FastEthernet0/0, changed state to administratively down
donde muestran:
Console line
VTY Terminal lines
The logging buffer
External Syslog servers
******configuraciones
R1(config)#no logging console (disables logging to the
console line)
R1(config)#logging monitor 6 (events with severity level
informational and higher will be logged to the VTY lines)
R1(config)#logging buffered debugging (events with
severity level 7 and higher will be logged to the buffer)
*****lconfiguracion ogging to external server
R1(config)#logging 10.0.0.100
R1(config)#logging trap debugging
*** debug habilitacion VTY configuracion
R1#terminal monitor
*****Utiles
R1(config)#line con 0
R1(config-line)#logging synchronous
R1(config-line)#interface f3/0
R1(config-if)#no shutdown
R1(config-if)#do show ip interf
R1# u all = termina debug
nota
logging synchronous = para mostrar msg y saltar al ultimo cmd
Extras preguntas
2 Critical Critical conditions
3 Error Error conditions
4 Warning May indicate that an error will occur if action is not taken.
5 Notice Events that are unusual, but not error conditions.
cisco device management (memoria -almacenamiento)
1- CMD para configuracion inicial (nuevo)
router>setup
2- setear el gateway por defecto
router>ip default-gateway 192.168.9.1
3- habilitar contraseñas modo "en"
(config)enable password
(config)enable secret
(config)enable password-terminal
4 resetar a valores de fabrica
R2# write erase
5- recuperar contraseña
Router(config)#config-register 0x2120 - ROMMOM
R1(config)#end
R1#copy run start
R1#reload
***********rommon********
rommon 1 > confreg 0x2142 - boot sin start-config
reset -- restera
******************************
en -- acceder como enable
!!!!---importante----!!!!!!!!!!!
Router#copy start run-- copiar start-config en run config
******************************
Router(config)#no enable secret- eliminacontraseña
config-register 0x2102 -- arranque o booteado normal
Router(config)#end
!!!*******importante****!!!!!!!!
copy run start -- copiar run-config en start-config
************Back up configuraciones*********
6 Back up running-config en flash memory
R1#copy run flash
7 Back up start-configuration en TFTP
R1#copy start tftp
8 recuperar configuracion
R2# wr erase => borra configuracion
R2# sh flash
R2#copy flash start
9 recuperar IOS - imagen desde un tftp
rommon1> IP_ADDRESS=10.10.10.1
rommon2> IP_SUBNET_MASK=255.255.255.0
rommon3> DEFAULT_GATEWAY=10.10.10.1
rommon4> TFTP_SERVER=10.10.10.10
rommon5> TFTP_FILE=c2900-universalk9-mz.SPA.bin
rommon6> TFTP_DESTINATION=flash:
rommon7> TFTP_TIMEOUT=120
rommon8> tftpdnld
rommon9> reset
nota:
IP_ADDRESS=10.10.10.1 => ip dada a la int g0/0
DEFAULT_GATEWAY=10.10.10.1 => misma ip asignada
TFTP_FILE=c2900-universalk9-mz.SPA.bin => name img
tftpdnld => ejecuta la transferencia
reset => reinicia con la imagen descargada
*******training 2*********
sh version muestra el config register actual del dispositivo
Password recovery en packet tracert router
password recovery modo romom sw
Back up
Back up imagen IOS en TFTP
copy flash tftp => respondes las preguntas
Back up configuration TFTP
copy running-config tftp => preguntas (poner nombre)
Back up configuration UAB
Recuperar info
R2# wr erase => borra configuracion
R2# sh flash
R2#copy flash start
utiles
sh flash => muestra la imagen a copiar .bin
Password recovery
Password recovery for ROUTER o SW
procedimiento
1 interrumpir la secuencia de prendido y netrar en rommon mode (config-register 0x2120)
Ctrl-Break
2 ejecutar el cmd que indique que prenda o boote ignorando startup-config que es donde se guarda el password, secret y acceso remoto
confreg 0x2142
3 reset para arrancar
reset
4 seras capaz de ejecutar cmd en estado enable (en) o administrador xq prendera sin utilizar la start-config
en
5 COPIA LA CONFIGURACION IMPORTANTE la cual tambien guardara las contraseñas olvidadas pero ya estas en "EN" mode
copy run start
6 crea una nueva contraseña
(config) new enable secret
7 bootear normalmente
config-register 0x2102
8 vuelve a guardar los cambios con la nueva contraseña
copy run start
bootear
Boot
cisco device memory
cisco device memory
En estos lugares esta la memoria
ROM – Read Only Memory
Flash – newer devices use removable CompactFlash
NVRAM – Non-Volatile RAM
RAM – Random Access Memory
An external USB device can also be used
factory reset
Factory reset
tanto para ROUTERS Y SW
write erase
cisco-device-security (autenticacion)
Cisco device - para routers y SW
Username Level Security
R1(config)#username admin1 secret Flackbox1
R1(config)#username admin2 privilege 15 secret Flackbox2
R1(config)#line console 0
R1(config-line)#login local
R1(config)#line vty 0 15
R1(config-line)#login local
asignando CMDs a los privilegios
R1(config)#privilege exec level 5 show running-config
seguridad
1 habilitar password y secret modo "EN"
R1(config)#enable password Flackbox2
R1(config)#enable secret Flackbox1
2 encriptar contraseñas
R1(config)#service password-encryption
3 setear tiempo en consola y virtual
R1(config)#line console 0
R1(config-line)#exec-timeout 15
R1(config)#line vty 0 15
R1(config-line)#exec-timeout 15
4 Colocar banners de advertencia para login
R1(config)#banner login "
Enter TEXT message. End with the character '"'.
Authorised users only"
5 crear usuario y contraseñas
R1(config)#username luis secret 123
R1(config)#username paul secret 123
6 habilitar acceso consola o vty x PWD
R1(config)#line console 0 (line vty 0 15)
R1(config)#login
R1(config)#password xxx
7 habilitar acceso consola o vty x USER y PWD
R1(config)#line console 0 (line vty 0 15)
R1(config)#login local
8 Habiltar SSH con bits 768 para llave
R1(config)#ip domain-name flackbox.com
R1(config)#crypto key generate rsa
9 Habilita solo comunicacion SSH con version 2
R1(config)#line vty 0 15
R1(config-line)#transport input ssh
R1(config-line)#exit
R1(config)#ip ssh version 2
10 Sincronizar HORA con servidor ntp
R1(config)#clock timezone PST -8
R1(config)#ntp server 10.0.1.100
11 Habilitar access list
R1(config)#access-list 1 permit host 10.0.0.10
R1(config)#line vty 0 15
R1(config-line)#login
R1(config-line)#password Flackbox3
R1(config-line)#access-class 1 in
negativos
R1(config-line)#no login
R1(config-line)#no login local
R1(config-line)#no username luis
R1(config-line)#no secret
utiles
sh run ver contraseñas
R1#show clock ver hora
R1#show ntp status ver estatus del ntp
C:\> telnet 10.0.0.1 conexion telnet
C:\> ssh –l admin 10.0.0.1 conexion SSH
*********training 2******
autenticarse con AAA server LOGIN
(config) aaa new model
(config)>username luis password luis1 (local)
config) aaa authentication login default groups tacacs+ local
CONFIG) aaa authentication enable default groups tacas+ local
config) tacacs-server host 10.1.1.1 key cisco
nota
utiles
sh run | include aaa
sh line
Buenas practicas
1 - Login and Exec Banners
R1(config)#banner login “ (hit enter here)
Enter TEXT message. End with the character '"'.
Authorized users only“
R1(config)#banner exec "
Enter TEXT message. End with the character '"'.
Please log out immediately if you are not an authorized
administrator"
2 - Disable Unused Services
R1(config)#no ip http server
R1(config)#no cdp run
3 - Time Synchronisation
R1(config)#clock timezone PST -8
R1(config)#ntp server 10.0.1.100 (configures router to be NTP client)
R1(config)#ntp master (configures router to be NTP server)
utiles
R1#show clock
R1#show ntp status
Nota los servidores no actualizan el tiempo al instante toma entre 5 min hacerlo
AAA
AAA - AAA Authentication, Authorization and Accounting.
Config - nueva
New RADIUS Configuration
R1(config)#radius-server host 10.10.10.10
Warning: This CLI will be deprecated soon. Please move to radius server <name> CLI.
R1(config)#aaa new-model
R1(config)#radius server Server1
R1(config-radius-server)# address ipv4 10.10.10.10
R1(config-radius-server)# key Flackbox1
R1(config)#radius server Server2
R1(config-radius-server)# address ipv4 10.10.10.11
R1(config-radius-server)# key Flackbox2
R1(config-radius-server)#aaa group server radius FB-RG
R1(config-sg-radius)# server name Server1
R1(config-sg-radius)# server name Server2
R1(config-sg-radius)#aaa authentication login default group FB-RG local
New TACACS+ Configuration
R1(config)#tacacs-server host 10.10.10.10
Warning: This CLI will be deprecated soon. Please move to tacacs server <name> CLI.
R1(config)#username BackupAdmin secret Flackbox1
R1(config)#aaa new-model
R1(config)#tacacs server Server1
R1(config-server-tacacs)# address ipv4 10.10.10.10
R1(config-server-tacacs)# key Flackbox1
R1(config)#tacacs server Server2
R1(config-server-tacacs)# address ipv4 10.10.10.11
R1(config-server-tacacs)# key Flackbox2
R1(config-radius-server)#aaa group server tacacs+ FB-TG
R1(config-sg-tacacs+)# server name Server1
R1(config-sg-tacacs+)# server name Server2
R1(config-sg-tacacs+)#aaa authentication login default group FB-TG local
configuracion antigua
Old RADIUS Configuration
R1(config)#username BackupAdmin secret Flackbox1 (configure a local user in case connectivity to the AAA server
is lost)
R1(config)#aaa new-model
R1(config)#radius-server host 10.10.10.10 key Flackbox1
R1(config)#radius-server host 10.10.10.11 key Flackbox2
R1(config)#aaa group server radius FB-RG (optional)
R1(config-sg-radius)#server 10.10.10.10
R1(config-sg-radius)#server 10.10.10.11
R1(config)#aaa authentication login default group radius local
(Use all RADIUS servers) OR:
R1(config)#aaa authentication login default group FB-RG local
(Use servers in specified group)
Old TACACS+ Configuration
R1(config)#username BackupAdmin secret Flackbox1
R1(config)#aaa new-model
R1(config)#tacacs-server host 10.10.10.10 key Flackbox1
R1(config)#tacacs-server host 10.10.10.11 key Flackbox2
R1(config)#aaa group server tacacs+ FB-TG
R1(config-sg-tacacs+)#server 10.10.10.10
R1(config-sg-tacacs+)#server 10.10.10.11
R1(config)#aaa authentication login default group FB-TG local
PWD - enable mode
Basic Privileged Exec Security
configuracion
R1(config)#enable password Flackbox3 (deprecated no encript)
R1(config)#enable secret Flackbox3 (encripta PWD)
***extra**********
R1(config)#service password-encryption
IOS -(conectamos)
PWD - VTY
PWD VTY
PWD para conectarse remotamente
config
R1(config)#line vty 0 15
R1(config-line)#password Flackbox2
R1(config-line)#login
*****Exec Timeout
R1(config)#line con 0
R1(config-line)#exec-timeout 15
R1(config)#line vty 0 15
R1(config-line)#exec-timeout 5 30 (se cierra en 5 min y 30 seg)
*** access list
R1(config)#access-list 1 permit host 10.0.0.10
R1(config)#line vty 0 15
R1(config-line)#login
R1(config-line)#password Flackbox3
R1(config-line)#access-class 1 in
Setear usuarios y contraseñas para login local
R1(config)#username admin1 secret Flackbox1
R1(config)#username admin2 secret Flackbox2
R1(config)#line vty 0 15
R1(config-line)#password Flackbox2
R1(config-line)#login local
telnet
Como se utiliza
C:\> telnet 10.0.0.1 conexion telnet
SSH
como se utiliza
C:\> ssh –l admin 10.0.0.1 conexion SSH
configuracion crear llaves
R1(config)#ip domain-name flackbox.com (crea un dominio)
R1(config)#crypto key generate rsa
The name for the keys will be: R1.flackbox.com
Choose the size of the key modulus in the range of 360 to 2048
for your General Purpose Keys. Choosing a key modulus greater
than 512 may take a few minutes.
How many bits in the modulus [512]: 768 (minimo para SSH)
% Generating 768 bit RSA keys, keys will be non-
exportable...[OK]
Configuracion remota
R1(config)#username Flackbox secret Flackbox1
R1(config)#line vty 0 15
R1(config-line)#transport input ssh (telnet not added)
R1(config-line)#login local (use local usernames)
R1(config-line)#exit
R1(config)#ip ssh version 2 (limit SSH to v2)
PWD -consola
PWD para conectarse por cable de consola
setear configuracion
R1(config)#line console 0
R1(config-line)#password Flackbox1
R1(config-line)#login
*****Exec Timeout
R1(config)#line con 0
R1(config-line)#exec-timeout 15
Setear usuarios y contraseñas para login local
R1(config)#username admin1 secret Flackbox1
R1(config)#username admin2 secret Flackbox2
R1(config)#line console 0
R1(config-line)#password Flackbox1
R1(config-line)#login local
Cisco Router and Switch Basics (Interfaces)
1 setting conexion remota
Switch(config)# interface vlan 1
Switch(config-if)# ip address 192.168.0.10 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit
Switch(config)# ip default-gateway 192.168.0.1
2 Darle nombre al host
Switch(config)# hostname
3 Darle una descripcion a una interface
SW1(config)# interface FastEthernet 0/1
SW1(config-if)# description Link to R1
4 setear velocidad y comunicacion
SW1(config)# interface FastEthernet 0/1
SW1(config-if)# duplex full
SW1(config-if)# speed 100
5 ver dispositivos conectados utilizando cdp lldp
Switch(config-if)# no cdp enable
***Flush cdp******
R1(config)#no cdp run
R1(config)#cdp run
Switch# show cdp
Switch# show cdp neighbors
Switch# show cdp neighbors detail
Switch(config)# lldp run
Switch(config)# no lldp run
Switch(config-if)# no lldp transmit
Switch(config-if)# no lldp receive
Switch# show lldp
Switch# show lldp neighbors
Switch# show lldp neighbors detail
6 copiar version descargada a un TFTP
copy tftp flash
7 para arrancar por defecto desde un SO en particular
boot system flash: nombre de la imagen
copy run start
8 recovery password
mantener apretado el boton de encendido y enchufar
inicializa flash
SW> flash_init
ignorar el file que utiliza para botear cambiando el nombre del archivo config.text a cualquier otro
SW> dir flash:/
SW> rename flash:/config.text flash:/config.old
inicia secion sin considerar el config.text
reinicar el device
sw> boot
volver renombrar e larchivo config.old a config.text
SW> rename flash:/config.old flash:/config.text
SW> copy flash: config.text running-config
***********************************
https://www.youtube.com/watch?v=VyEm0wesDXA
CDP - LLDP
CDP
cdp timer
cdp hold time
Switch(config)# cdp run
Switch(config)# no cdp run
Switch(config-if)# no cdp enable
Switch# show cdp
Switch# show cdp neighbors
Switch# show cdp neighbors detail
Nota:
Switch(config-if)# no cdp enable - desabilita un puerto en imite con otra red externa
LLDP - link layer discovery protocol
Switch(config)# lldp run
Switch(config)# no lldp run
Switch(config-if)# no lldp transmit
Switch(config-if)# no lldp receive
Switch# show lldp
Switch# show lldp neighbors
Switch# show lldp neighbors detail
interface speed ans duplex
Interface Speed and Duplex
SW1(config)# interface FastEthernet 0/1
SW1(config-if)# duplex full
SW1(config-if)# speed 100
utiles
SW1#show running-config
SW1#show ip interface brief
SW1#show version
CRC (Cyclic Redundancy Check)
FCS (Frame Check Sequence)
RUNTS
LATE COLLISON
Beneficios de network automatizacion
controller based networks
management plane: los devices estan configurados y monitoriados en management plane,
SDN - software defined networking
SDN - software defined networking
tradicional networks
IBN - intent base networking
This transforms a traditional manual network into a controller led network that translates the business needs into policies that can be automated and applied consistently across the network.
SD-access (SDA)
SD - access
SDN architecture
aplicationn layer - northbound (app)
Policy, billing, security APIs
^
control layer - (CONTROLLER)
cisco controlador
v
infrastructure - southbound(routers)
openflow, netconf, restconf,telnet, ssh snmp
DNA - center
Three basic components of a telecommunications architecture.
data plane
control plane
management plane
*distributed data plane and a distributed control, tanto el data y control plane estan en cada dispositivo sw o rt
Tradicionalmente
On premise
colocation facilities
Deployments
Cloud Deployments
Public cloud
Private cloud
community cloud
hybrid cloud
Virtualizacion
Tipos
Type 1 Hypervisor (bare metal)
Type 2 Hypervisor
Servicios
Cloud Service Models
IaaS - Infrastructure as a Service
Data
Applications
Operating System <= customer get access
PaaS - Platform as a Service
Data
Applications
SaaS -Software as a Service
the provider is managing everything, from the facility, all the way up to the data.
Data
Applications <= customer access
Operating System
Hypervisor
Compute
Storage
Network
Facility
QoS
requerimeintos para un videos y llamadas
Como mitigar la congestion
QoS - router
clases
config)# class-map voice (voice cualquier nombre)
config-cmap) match protocol rtp
exit
config)# class-map http
config-cmap)match protocol http
exir
config)# class-map icmp
config-cmap)match protocol icmp
policies
config)#policy-map mark (mark cualquier nombre)
config-pmap)#class voice
config-pmap-c)#set ip dscp ef
config-pmap-c)#priority 100 (kilobit por secon)
config)#policy-map mark
config-pmap)#class http
config-pmap-c)set ip dscp af31
config-pmap-c)#bandwith 50 (minimo kilobits per second)
config-p-map)#class icmp
config-pmap-c)set ip dscp af11
config-pmap-c)#bandwith 25
binding polcies of QoS a una iterface
r1)# int serial 0/1/0
if)service-policy output mark
utlies
sh run
sh policy map
sh policy-map interface g0/1/0
Resumen
RESUMEN QoS
1 manejar colas de paquetes mediante marcado o clasifi
Tipos de marcado
cos (class of service)
dscp (diferentiated service code point) + usado solo un bit
nbar (networ base application recognigtion)
acl
2 shaping
no perder paquetes debido a que estan dentro del rate limit establecido (LLQ -prority)
3 policing
(aplicada por ISP solo 10 megas aus cleintes) se pierden paquetes si se exede en trafico limitado por in rate ejemplo bandwith
Hay 2 metodos :
CBWFQ (Class Based Weighted Fair Queuing) gives bandwidth
LLQ (Low Latency Queuing) is CBWFQ with a priority queue
PROCEDEMIENTO MQC Modular Quality CLI of Sericev
1 crear una clase y asociarlo a un protocolo
2 crear un policy de marcado y asignarlo a una clase
3 linkearlo a una interface
requerimientos minimos de llamdas y video
latencia < 0 = a 150 ms (demara del origen a destino)
jitter < 0 = a 30ms (demora entre paquetes)
los < 0 = 1 %
nota
-QoS consiste en administrar la congestion de paquetes
-controlar la cola paquetes mas popular
-beneficiar a unos significa perjudicara otros
-cuando la memoria del router o sw rebasa se pierden paquetes
Notas exam
QoS profile WLAN
Platinum/voice
gold /video
Silver/defaul (best effort)
bronze (back ground)
RSVP realiza la reserva de recursos de forma unidireccional. Esto quiere decir que, si el intercambio de información es bidireccional, se necesitará realizar una reserva de recursos para cada sentido. El hecho que la reserva se haga unidireccionalmente hace posible que se pueda utilizar este protocolo para las retransmisiones, por ejemplo, de radio o televisión.
Shaping and Policing
Shaping and Policing
Policing
shaping
Congestion Management
Congestion Management
MQC Modular QoS CLI
configuracion (no entra en el examen)
class-map VOICE-PAYLOAD
• Apply to the WAN interfaces match ip dscp cs3
match ip dscp ef
class-map CALL-SIGNALING
!
policy-map WAN-EDGE
class VOICE-PAYLOAD
priority percent 33 (es el valor maximo permitido )
class CALL-SIGNALING
bandwidth percent 5
class class-default
fair-queue
!
interface Serial0/0/0
bandwidth 768
service-policy out WAN-EDGE
Classification and Marking
DSCP
Classification and Marking
como se reconocen los paquetes o como se los marcan
COS (Class of Service)
DSCP (Differentiated Service Code Point)
ACLs (Access Control List)
NBAR (Network Based Application Recognition)
Nota
los sw deben canfiar en los paquetes marcados que provienen del IP phone y no modificarlos pero no debe confiar de la PC coenctada detras del IPphone todos esos datos deben ser tratados como Best effor CoS 0 o DSCP 0
ROUTERS:
Tiene 2 principales funciones
Que es un Routing table
Operaciones
VoIP
RESUMEN VoIP
1 se utiliza un router on stick para comunicar intervlans
2 el sw
3 el ROUTER
4 configuracion de telefonos (ROUTER)
VoIP
1 - SWITCHER *****************************+++++
VLANS
>#vlan 100
>#name data
>#vlan 101
>#name voice
>#int vlan 1
inf># ip address 10.1.1.253 255.255.255.0
inf>#no shut
conf># ip default-gateway 10.1.1.254
HABLITAR CDP ON SW (phones needs to know the red)
config >#cdp run
2 - ROUTER inter vlan *****************************
config># int f0/0
inf>#no shut
inf>int f0/0.1
inf># ip address 10.1.1.254 255.255.255.0
inf>#encapsulation dot.q 1 native
config># int f0/0
inf>#no shut
inf>int f0/0.100
inf># ip address 10.1.100.254 255.255.255.0
inf>#encapsulation dot.q 100
DHCP -PCs
>#ip dhcp pool gdp
>#network 10.1.100.0 255.255.255.0
>#default router 10.1.100.254
>#dns-server 10.1.100.254
DHCP -PHONES
>#ip dhcp pool phones
>#network 10.1.100.0 255.255.255.0
>#default router 10.1.100.254
>#option 150 iṕ 10.1.101.254 (router)
3 - CONEXION CON EL ROUTER*********************
>int g1/0/1 (inf hacia el router on stick)
>#sw encapsulation dot1q
>#sw mode trunk
4 - CONEXION CON LOS END HOST
>#int range int g1/0/1 -4
inf>sw mode access
inf>sw access vlan 100
inf>sw voice vlan 101
5 - CONFIGURACION TELEFONOS********************
R1config>#telephony-service
R1(config-telephony)>max-ephones 3
R1(config-telephony)>max dn 3
R1(config-telephony)>ip source address 10.1.101.254 port 2000
R1(config-telephony)>auto assign 1 to 3
exit
R1config>ephone-dn 1
R1config-ephone-dn)#number 1000
R1config>ephone-dn 2
R1config-ephone-dn)#number 1001
R1config>ephone-dn 3
R1config-ephone-dn)#number 1002
R1(config)#ephone1
R1(config-ephone)#type 7960
R1(config)#button 1:1
R1(config)#ephone2
R1(config-ephone)#type 7960
R1(config)#button 1:2
R1(config)#ephone3
R1(config-ephone)#type 7960
R1(config)#button 1:3
utiles
sh run
sh power inline
sh ephone
PPP
PPP (protocolo peer to peer) PPP CHAP
protocolos a utilizar
PPP
1 asignar una IP e indicarle que sera PPP en ambos routers conectados
int> ip address 10.1.11.1 255.255.255.0 (Real world 30)
int> encapsulation PPP
Autenticacion
if> ppp authentication chap
config>username C2 password cisco
Nota C2 es el user del otro router donde se conecta el remoto
GRE tunnel
GRE tunel
crear interface tunel (en ambos routers)
config)# int tunnel 0
if)# ip address 10.1.3.1 255.255.255.0 (generalmente es mask30)
enlasarla Int de origen y salida
config)# tunnel source g0/0/1 (int con salid internet)
config)# tunnel destination 8.8.11.2 (ip del router de destino)
agregarlas al routing table mediante eigrp
config)#router eigrp 100
config)#network 10.0.0.0
config)#no auto summary
utiles
traceroute
sh ip eigrp neighbor
sh ip route
tracert route
RESUMEN GRE
GRE tunnel (generic routing encpasulation)
pasos
ROUTES
Dynimic routes
Dynimic routing
AS=> autonomos system
IGP => interior gateway protocol
EGP => Exterior gateway protocol
Metric
AD - ADMINISTRATIVE DISTANCE
ROUTE SOURCE AD
connected interface ------ 0
static route ------------------ 1
external BGP -------------- 20
EIGRP ----------------------- 90
OSPF ---------------------- 110
is-is -------------------------115
RIP ------------------------- 120
Internal BGP.....---------200
FLOATING STATIC ROUTES
OSPF
static routes
ECMP - EQUAL COST MULTI PATH
Hybrid
Link state
LINK STATE
is -is
is - is - intermediate system - intermediate system
OSPF
OSPF - open shortest path first
COST CALCULATION
FORMULA ALGORITMO PARA EL COSTO
COST = REFERENCE BANDWITH / INTERFACE BANDWITH
Nota
cmd para manipular la referencia de banda
router ospf 1
auto-cost reference-bandwith 100000
cmd para manipular el costo de los links
int f2/0
ip ospf cost 2000
int f3/0
ip ospf cost 2000
que aprendiste - 7
1 configurar protocolo ospf
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
2 Otra manera de setear una interface passive
passive-interface default
no passive-interface f0/0
no passive-interface f0/1
3 Inyeccion de rutas
router ospf 1
default-information originate
4 sumarizar areas en ospf
router ospf 1
network 10.0.0.0 0.0.0.255 area 0
network 10.1.0.0 0.0.0.255 area 1
area 0 range 10.0.0.0 255.255.0.0
area 1 range 10.1.0.0 255.255.0.0
5 formula para obtener el costo
cost = referenceCost / interfaceCost
6 setear el reference cost (100)
router ospf 1
auto-cost reference-bandwith 100000
7 setear costo de las interfaces
int f0/0
ip ospf cost 2000
int f0/1
ip ospf cost 2000
8 setear DR designated router
interface f0/0
ip ospf priority 100
NOTAS TRAINING 2
utiles
sh run | section ospf
sh ip protocols
sh ip ospf int brief - ves info de las interfaces
sh ip ospf neighbor - ves el vecino adyacente
sh ip ospf database
clear ip ospf process _ reinicia el proceso ospf
********training 2*******
habilitar OSPF con la IP exacta (mas segura -real life)
network 10.1.1.1 0.0.0.0 area 0
network 1.1.1.1 0.0.0.0 area 0 (loopback)
habilitar OSPF con network
network 10.1.1.0 0.0.0.255 area 0
habilitar OSPF con el cmd Interface
> int g0/1
> ip ospf 1 area 0
habilitar ospf en todas las interfaces
>router ospf 1
>network 0.0.0.0 255.255.255.255 area 0
trouble shooting
router vecinos interfaces deben estar en la misma area (sh ip ospf int)
diferentes router ID cada router deben ser unicos
networks correctamente indicadas
agarrar cambios clear ip ospf proccess
resumen
Resumen
cuantas maneras hay de habilitar OSPF
trabajando con cdm network
asignar Loopbacks a los routers
Interfaces passivas
costo
reference cost
sumarizacion
medidas
bit (b) = unidad basica 0 ó 1
byte (B) = 8 bits
bit (1)=> kilobit(1000b) => megabit(1000Kb) = gigabit(1000Mb)
nota
bytes para indicar espacio de almacenamiento
bits para indicar la velocidad en que viajan los datos
MB = megabyte (espacio)
Mb = megabit (velocidad)
bits incrementAN DE MIL EN MIL
Bytes increenyan de 1024 en 1024
que es:
Principio: dos routers vecinos deben pertenecer a la misma area en una de sus interfaces
ABR: una de sus INT debe estar conectada al Backboen area 0 y las otras interfaces a otras areas
Normal area routers: estan dentro de una misma area
Backbone routers: routers ubicados en el area 0 o backbone lo abr tambien se les puede considerar backbone routers
internal o regular routers son aquellos que no estan onectados al area 0 o backbone y todos deben pertenecer a la misma area
BackBone area: area donde donde las demas areas deben conectarse para tener conectividad una con otras
ASBR (autonomous system boundary router): router que tiene por lo menos en una de sus interfaces un protocolo diferente al OSPF ejemplo eigrp y que es injectado en un red con ospf se le conoce por REDISTRIBUIR y aparecen como external Routes
multi access segments
Multi access segments - Designated routers
configuracion
interface f0/0
ip ospf priority 100
ip ospf priority 0 => nunca sera router asignado
cuando estan conectados a un switch y comparten el mismo segmento de red se debe asignar un router principal y un backup en caso falle.
si hay 4 routers conectados a un switch
DR
DR - designated route
OSPF must be configured between routers R1 and R2. Which OSPF configuration must be applied to router R1 to avoid a DR'BDR election?
Point to point no necesita dr or bdr
BDR
BDR - BACKUP DESIGNATED ROUTER
Velocidad
bandwith
BANDWITH
clock rate cmd
CLOCK RATE
speed cmd
SPEED
tipos de router OSPF
ASBR
ASBR - AUTONOMOUS SYSTEM BOUNDARY ROUTERS
normal area routers
Normal area routers
ABRs
ABRs- area Border routers
-
config
R2 router que enlaza 2 areas 0 y 1
router ospf 1
R2# network 10.1.0.0 0.0.255.255 area 0
R2# network 10.0.0.0 0.0.0.255.255.arae1
R2# area 0 range 10.1.0.0 255.255.0.0
R2# area 1 range 10.0.0.0 255.255.0.0
Nota
sumarizacion de las areas
R2# area 0 range 10.1.0.0 255.255.0.0
R2# area 1 range 10.0.0.0 255.255.0.0
packet types
LSAck
LSAck - LINK STATE ACKNOLEDGE
LSU
LSU - LINK STATE UPDATE
LSA
LSA - LINK STATE ADVERTISE
LSR
LSR - LINK STATE REQUEST
DBD
DBD - DATA BASE DESCRIPTION
hello
HELLO PACKET
DEFAULT ROUTE INJECTION
ip route 0.0.0.0 0.0.0.0 203.0113.2
router ospf 1
deafult-information originate
nota
ip route 0.0.0.0 0.0.0.0 203.0113.2
passive interface
router ospf 1
network 10.0.0.0 0.0.255.255 area 0
passive-interface loopback 0
passive-interface f2/0
router-id 2.2.2.2
------------------o-------------------------
router ospf 1
network 10.0.0.0 0.0.255.255 area 0
passive-interface deafault
no passive-interface f2/0
no passive-interface f0/0
no passive-interface f1/0
router-id 2.2.2.2
solo que queda es la que se utilizaria como passive
OSPF ROUTER ID
OSPF ROUTER ID
CONFIGURACION
router ospf 1
network 10.0.0.0 0.0.255.255 area 0
*passive-interface loopback 0
*passive-interface f2/0
*router-id 2.2.2.2
Nota
1 =>
network =>
0.0.255.255 =>
inidicar el wild card es obligatorio a diferencia EIFRP
que lo puede deducir implicitamente
area =>
*passive-interface loopback 0
*passive-interface f2/0
*router-id 2.2.2.2 =>
Path vector
BGP
resumen BGP
resumen BGP
Conecta Automous systems,
se tiene que indicar las redes del rouetr vecino por el cual se conectan incluyendo el loopback NO aplica WC
El estado debe ser stablished que indica adyacencia
Si hay mas de una conexion entre routers de igual forma se les debe indicar cada uno
BGP es a distance vector protocol
BGP administrative distance 20
BGP TCP puerto 179
B es comose muestra en routing table
estados
Idle begin forming a connection with a BGP neighbor via TCP.
Connect: TCP three-way handshake is in progress.
Active: TCP handshake is complete moving to opensent state.
OpenSent: checked for errors and the correct AS number
OpenConfirm: messages are received from a remote BGP
Established – Completed BGP Neighbor adjacency
BGP (border gateway protocol)
# router bgp 65001
# neighbord 8.8.8.2 remote-as 65002
# network 1.1.1.1 mask 255.255.255.255 (red loppback no WC)
# network 8.8.8.0 mask 255.255.255.0 (red NO wc)
Utiles
sh protocols
sh ip bgp
sh ip bgp neighbord (tiene que decir stablished)
Distance vector
Distance vector
RIP- EIGRP
1 habilitar RIP
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#network 10.0.0.0
2 setear puertos passives
R4(config)#router rip
R4(config-router)#passive-interface f1/1
3 setear rutas por defecto
R4(config)#ip route 0.0.0.0 0.0.0.0 203.0.113.2
4 inyectar rutas
R4(config)#router rip
R4(config-router)#default-information originate
5 habilita EIGRP
R1(config)#router eigrp 100
R1(config-router)#network 10.0.0.0
NOTAS TRAINING 2
1 redistribuir el default route
(config-router) redistribute static metric 10000 1000 255 1 1500
valores comunes de redistribucion
bandwith = 10000
delay = 1000
relaybulity = 255
load = 1
mtu = 1500
***************utiles***************
RIP
show ip protocols - muestra el protocolo usado
show run | section rip - muestra un area especifica
show ip rip database - rutas aprendidas de sus vecinos
no router rip - desbilita el protocolo rip
debug ip rip - info en tiempo real
undebug all - detiene todos los procesos del debug
EIGRP
show run | section eigrp
show ip eigrp int - muestra la interfaces que utiliza el eigrp
show ip eigrp neighbors - muestra los routers cerca
******training 2********
EIGRP
EIGRP - enhance interior gateway routing protocol
***********EIGRP****************+
router eigrp 100
network 10.0.0.0 0.0.0.255
nota
RIP
RIP - routing information protocol
RIP v1 -legacy
on the subnet must process the packets.
RIPv2
default route injection
DEAFAULT ROUTE INJECTION
ip route 0.0.0.0 0.0.0.0 203.0.113.2
router rip
default-information originate
Nota
configuracion
***********RIPv2***************
router rip
version 2
network 10.0.0.0
no auto-summary
nota
Static routes
STATIC ROUTING
Configuracion de rutas
**********setear IPs*********
interface - f0/0
ip address 10.0.01 255.255.255.0
no shut
*********rutas*******
config
ip route 10.0.10.0 255.255.255.0 10.0.0.2
******ruta sumarizada*******
ip route 10.1.0.0 255.255.0.0 10.0.02
***********Nota****************
1 setear las IPs en cada FastEthernet f0/0
2 configurar la ruta con la IP fastethernet
sumarizar rutas
Que aprendiste -6
1 asignar una IP a una interface
R1(config)#int f0/0
R1(config-if)#ip address
R1(config-if)#no shut
2 crear un loopback
config t
int loopback0
ip address 198.12.1.2 255.255.255.255
3 convertir interfaces a passivos
passive-inteface loopback0
passive-interface f0/0
4 enrutamiento manual
ip route 10.3.4.0 255.255.255.0 10.2.3.1
5 enrutamoiento sumarizado
ip route 10.3.0.0 255.255.0.0 10.2.3.1
6 crear una ruta por defecto
ip route 0.0.0.0 0.0.0.0 203.24.3.2
overlaping
Overlaping - Longest prefix match
Load balancing
Load balancing
default route
deafault route
configurar
ip route 0.0.0.0 0.0.0.0 203.0.123.2
203.0.123.2 es el nexto hop del otro router
Nota
LOOPBACK
LOOPBACK
CONFIGURACION LOOPBACK
*****loopback***********
config t
interface loopback 0
ip address 192.168.0.1 255.255.255.255
*********network***********
R1(config)#router eigrp 100
network 192.168.1.0 0.0.0.0
*********passive buena practica************
passive-interface loop0
passive-interface f2/0
**************Nota***********+
config t
interface loopback 0 - crea el interface loopback 0
ip address 192.168.0.1 255.255.255.255 - le da una ip al loopback subnet 36
they are in the 192.168.0.0/24 range which has not been included in the routing
protocol.
para que se conecten agregarlos a la ruta
R1(config)#router eigrp 100
R1(config-router)#network 192.168.0.0 0.0.0.255
0.0.0.255 => es lo opuesto a la mascara 24 que es lo que tiene la ip 192.168.0.0
router eigrp 100 - configura la ip LB dentro de eigrt
network 192.168.1.0 0.0.0.0 wild card opuesto a 255.255.255.255
PASSIVE INTERFACE
CONFIGURACION PASSIVE INTERFACE
router rip
version 2
no auto-summary
passive-interface loop0 - setea loopback como passivo
passive-interface f2/0 - setea el puerto fisico f2/0 como pasivo
IPv6
IPv6
sintaxis
2001:0DB8:0000:0001:0000:0000:0000:0001 => entera
2001:DB8:0:1:0:0:0:1 => se quita "0" delanteros, un "0"
2001:DB8:0:1::1 :: no se colocan ceros solo una vez xIP
IPv6
Asignar una IPv6 a una interface (global unicast)
R1(config)#int f0/1
R1(config-if)#ipv6 address 2001:db8::1/64
R1(config-if)#no shutdown
Asignar una IPv6 a un end host mediante EUI-64
PC1(config)#int f0/0
PC1(config-if)#ipv6 address 2001:db8::/64 eui-64
PC1(config-if)#no shut
Setear manualmente un link local address
R1(config)#int f0/0
R1(config-if)#ipv6 address fe80::1 link-local
Setear ruta por defecto al GW de un host
PC1(config)#ipv6 route ::/0 2001:db8::1
Setear ruta estatica
R2(config)#ipv6 unicast-routing
R2(config)#ipv6 route 2001:db8::/64 2001:db8:0:1::1
UTILES
R1#show ipv6 interface brief
R2#show ipv6 neighbors
R1#sh ipv6 protocols
R2#sh ipv6 route
R2#ping fe80::3
R1#show run | include ipv6 route
PC1#ping 2001:db8::1
resumen IPV6
resumen IPV6
global unicast 2001:db8 (ipv4 - publica)
ipv6 address 2001:db8:0:0::1/64
rango 2000::/3
link local FE80::1 (se genera automaticamente)
ipv6 address fe80::1 link local
rango FE80::/10 – FEB0::/10
unique local address FC00::1 (ipv4 - privada)
eui-64 (asignar ipv6 de manera automatica)
para end host
2001:db8:0:1::/64 eui-64
slaac - defecto
::/0
neigboard discovery es la version de ARP en IPV6
manda solicitation y advertisement messages
enrutamienta
>ipv6 unicats - routing
OSPF
config>ipv6 router ospf 1
router>router-id 1.1.1.1 (si no hay ninguna ipv4 seteada)
int>ipv6 ospf 1 area 0
Routing
IPv6 Routing
configuracion
ipv6 route 2001:DB8:0:2::/64 2001:DB8:0:1::1
summarizacion
ipv6 route 2001:DB8:0::/48 2001:DB8:0::2
ipv6 route 2001:DB8:1:1::/64 2001:DB8:1::2
ipv6 route ::/0 2001:DB8:3::2
utiles
R1#show ipv6 route
rutear estaticament un loopbaback consiste en buscar el nexthop que es una interface en el mismo router no es igual que una ruta normal estatica que busca otro una segunda interface en el rouetr
IPv6 OSPF
IPV6 - OSPF
1 Habilitar ruteo para ipv6
>ipv6 unicast-routing
habilitar OSPF v3 con IPv6
Types
anycast
Anycast
-asignar una misma IPv6 a una grupo de hosts con l aidea de que este sea conusltado por un clinet si esta mas cerca
-especificar en la interface que es de tipo anycast
Unique Local Addresses - FC00::/7
Unique Local Addresses - FC00::/7
Global Unicast - 2001:db8:0:1
Global Unicast
Rangos
Organizaciones range 2000::/3
companies range range 2001:10:10::/48
individual hosts /64
configuracion
asignando una IPvs a una interface
R1(config)#ipv6 unicast-routing
R1(config-if)#int f0/0
R1(config-if)#ipv6 add 2001:db8:0:1::1/64
R1(config-if)#int f2/0
R1(config-if)#ipv6 add 2001:db8:0:0::1/64
multiples IPv6 para una misma interface
R1(config)#int f0/0
R1(config-if)#ipv6 address FE80::1 link-local
R1(config-if)#ipv6 add 2001:db8:0:0::1/64
R1(config-if)#ipv6 add 2001:db8:0:1::1/64
utiles
sh ipv6 interface brief
SLAAC
Stateless Address AutoConfiguration (SLAAC)
configuraciones
IPv6 route to ::/0 == 0.0.0.0 0.0.0.0 in IPv4
:: => Unknown address
Neighbor Discovery == ARP
Utiles
R2#show ipv6 neighbors
EUI-64 Address
EUI-64 Addresses
configuracion
R1(config)#int f0/0
R1(config-if)#ipv6 address 2001:db8:0:1::/64 eui-64
R1(config)#int f2/0
R1(config-if)#ipv6 address 2001:db8:0::/64 eui-64
nota
/64 es la parte del host
2001:db8:0 => parte de la red
cuando se configura una ipv6 con eui 64 se invierte el 7mo bit
mac address 0088.8888.8888
=> se invierte el 7mo bit que esta en los 2 primeros 0
0 = 0000 + 0 = 0000 (7mo bit se cambia a 1 si es 1 a 0)
0010 4321
se incrusta FFFE en medio del bloque de la mac (8888)
=> 88FF.FE88
link local: fe80::288:88ff:fe88:8888
global unicast: 2001:db8:6783:a:288:88ff:fe88:8888
Link Local Addresses - FE80::/10
Link Local Addresses - (FE80::/10)
configuracion
R1(config)#ipv6 unicast-routing
R1(config)#int f0/0
R1(config-if)#ipv6 add 2001:db8:0:1::1/64
R1#sh ipv6 interface brief
FastEthernet0/0 [up/up]
FE80::C801:2FFF:FE24:0 => generada automaticamente
2001:DB8:0:1::1
configuracion manual de link local
R1(config)#int f0/0
R1(config-if)#ipv6 address fe80::1 link-local
R1(config-if)#int f2/0
R1(config-if)#ipv6 address fe80::1 link-local
IPv4
IPv4
configuracion
R1(config)#int f0/0
R1(config-if)#ip address 172.16.0.1 255.255.255.0 secondary
R1#sh run int f0/0
interface FastEthernet0/0
ip address 172.16.0.1 255.255.255.0 secondary
ip address 192.168.10.1 255.255.255.0
subnetting
SUBNETING
A => 1 - 126 || 10.0.0.0 => 10.255.255.255
B => 128 - 191 || 172.16.0.0 => 172.31.255.255
c => 192 - 223 || 192.168.0.0 => 192.168.255.255
*** (127 loopback - localhost)
clase C
Subneting clase C
redes broadcast
192.168.1.0 1 - 14 192.168.1.15
192.168.1.16 192.168.1.31
192.168.1.32 192.168.1.63
192.168.1.64 192.168.1.79
255.255.255.240 => /28
clase B
clase B
172.16.0.0 / 18
172.16.0.0 0.1 - 63.254 172.16.63.255
172.16.64.0 64.1 - 127.254 172.16.127.255
172.16.128.0 128.1 - 191.254 172.16.191.255
172.16.192.0 92.1 - 255.254 172.16.255.255
172.16.64.0 - 1 = 172.16.63.255
las redes siempre empiezan en 0
255.255.192.0
clase A
NAT
NAT
Inside local = private source IP
Inside global = public source IP (after the NAT has taken place)
Outside global = public destination IP
Inside global = private destination IP
NAT
Configurar NAT STATIC
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config)#int f0/1
R1(config-if)#ip nat inside
R1(config)#ip nat inside source static 10.0.1.10
203.0.113.3
****training 2***********************************
Configure static NAT so that the outside PC can access the internal HTTP, FTP and TFTP servers.
HTTP = 8.8.8.200 (NAT only the required port). DNS = myhttp.com
FTP = 8.8.8.201 (full static NAT). DNS = myftp.com
R1(config)#ip nat inside source static tcp 10.0.1.10 80 8.8.8.200 80
R1(config)#ip nat inside source static 10.0.1.10 8.8.8.201
************************************************************
Configurar NAT DINAMICO
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config)#ip nat pool Flackbox 203.0.113.4 203.0.113.12
netmask 255.255.255.240
R1(config)#access-list 1 permit 10.0.2.0 0.0.0.255
R1(config)#ip nat inside source list 1 pool Flackbox
Configurar PAT DINAMICO
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config)#ip nat pool Flackbox 203.0.113.4 203.0.113.12
netmask 255.255.255.240
R1(config)#access-list 1 permit 10.0.2.0 0.0.0.255
R1(config)#ip nat inside source list 1 pool Flackbox overload
Configurar PAT SINGLE
R1(config)#int f0/0
R1(config-if)#ip address dhcp
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config)#int f1/0
R1(config-if)#ip nat inside
R1(config)#access-list 1 permit 10.0.2.0 0.0.0.255
R1(config)#ip nat inside source list 1 interface f0/0 overload
UTILES
R1#Sh ip nat translation
R1#debug ip nat
R1#clear ip nat translation *
Definiciones
NAT Definitions
Inside local address
Inside global address (source IP)
Outside local address
Outside global address
ruta del nateo
inside local (private IP)
V
inside global (ip nateada)
v
outside global (IP nateada del exterior)
v
outside global (IP local exterior)
types
PAT
PAT - Port Address Translation
Single - PAT
Single - PAT
configuracion
R1(config)#int f0/0
R1(config-if)#ip address dhcp
R1(config-if)#ip nat outside
R1(config)#int f1/0
R1(config-if)#ip nat inside
R1(config)#access-list 1 permit 10.0.2.0 0.0.0.255
R1(config)#ip nat inside source list 1 interface f0/0 overload
Utiles
R1#sh ip translation
R1#debug ip nat
Dynamic -PAT
Dynamic -PAT
configuracion
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config)#int f2/0
R1(config-if)#ip nat inside
Configure the pool of global addresses.
R1(config)#ip nat pool Flackbox 203.0.113.4 203.0.113.6 netmask 255.255.255.240
Create an access list which references the internal IP addresses we want to translate.
R1(config)#access-list 1 permit 10.0.2.0 0.0.0.255
Associate the access list with the NAT pool to complete the configuration.
R1(config)#ip nat inside source list 1 pool Flackbox overload
Nota
la configuracion es la misma de del dynamic Nat se coloca overload para PAT
Dynamic
Dynamic NAT
configuracion
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config)#int f2/0
R1(config-if)#ip nat inside
Configure the pool of global addresses.
R1(config)#ip nat pool Flackbox 203.0.113.4 203.0.113.14 netmask 255.255.255.240
Create an access list which references the internal IP addresses we want to translate.
R1(config)#access-list 1 permit 10.0.2.0 0.0.0.255
Associate the access list with the NAT pool to complete the configuration.
R1(config)#ip nat inside source list 1 pool Flackbox
utiles
R1#sh ip nat translation
R1#clear ip nat
R1#show ip nat statistics
Static
Static NAT
configuracion
R1(config)#int f0/0
R1(config-if)#ip nat outside
R1(config)#int f1/0
R1(config-if)#ip nat inside
R1(config)#ip nat inside source static 10.0.1.10 203.0.113.3
utiles
R1#sh ip nat translation
DNS
1 - CONFIGURAR UN ROUTER QUE APUNTE A UN DNS
R1(config)#ip domain-lookup
R1(config)#ip name-server 10.10.10.10
(R1#ping R2)
2- Verify the ARP cache
R1#show arp
ver desde un PC
nslookup
nslookup 8.8.8.8
nslookup domain.com
DHCP
DYNAMIC HOST CONTROL PROTOCOL
que aprendiste - 4
Cisco DHCP Client
1 configurar una interface del router hacia el internet para obtener una ip mediante DHCP
R1(config)#interface f0/0
R1(config-if)#ip address dhcp
R1(config-if)#no shutdown
Cisco DHCP server
2 habilitar DHCP en el router para dar IPs a los dispositivos y excluir rango de IPs para uso de IPs estaticas
R1(config)#ip dhcp excluded-address 10.10.10.1 10.10.10.10
R1(config)#ip dhcp pool Flackbox
R1(dhcp-config)#default-router 10.10.10.1
R1(dhcp-config)#dns-server 10.10.20.10
R1(dhcp-config)#network 10.10.10.0 255.255.255.0
3 Eliminar rango de IPs mediante DHCP en el router
R1(config)#no ip dhcp excluded-address 10.10.10.1 10.10.10.10
R1(config)#no ip dhcp pool Flackbox
***********External DHCP Server************
4 configurar el puerto del router que da hacia los dispositivos PCs que necesitan las IPs
R1(config)#interface f0/1
R1(config-if)#ip helper-address 10.10.20.10
utiles
R1#show dhcp lease - ver info del dhcp server
R1#show ip dhcp binding - ver IPs y Macs
R1#sh ip int brief - ver detalle interfaces
c:/ipconfig /all - detalles de las IP de una PC
c:/ ping dnsserver - conexion al dns server x hostname
c./ ipconfig /release - limpia las IPs de un pc
c:/ ipconfig /renew - obtiene nuevas IPs
SERVER DHCP EXTERNO
configuracion del router para un DHCP externo
configuracion
R1(config)#interface f0/1
R1(config-if)#ip helper-address 10.10.20.10
Utiles
linux
ifconfig - antiguo se necesita instalar sudo install net-tools
ip address show - nuevo
ip route show - nuevo
Nota
interface f0/1 => es la interface que conecta al server externo
R1(config-if)#ip helper-address 10.10.20.10 => es la IP del DHCP y dns externo
CISCO - SERVER - DHCP
CISCO - DHCP SERVER
configuracion CISCO como servidor DHCP
R1(config)#ip dhcp excluded-address 10.10.10.1 10.10.10.10
R1(config)#ip dhcp pool 10.10.10.0_Clients
R1(dhcp-config)#network 10.10.10.0 255.255.255.0
R1(dhcp-config)#default-router 10.10.10.1
R1(dhcp-config)#dns-server 10.10.20.10
utilies
R1#show ip dhcp pool
1R1#sh ip dhcp binding - muestra las IPs de las MaACs
R1#show dhcp lease
1#show int brief
Nota
R1(config)#ip dhcp excluded-address 10.10.10.1 10.10.10.10
R1(config)#ip dhcp pool 10.10.10.0_Clients
CISCO - CLIENT - DHCP
CISCO - Router - DHCP client
configuracion
R1(config)#interface f0/0
R1(config-if)#ip address dhcp
R1(config-if)#no shutdown
utilies
R1#show dhcp lease
1#show int brief
ACL
ACL - Access Control Lists
sintaxis
access-list 100 deny tcp 10.10.30.0 0.0.0.255 gt 49151 10.10.20.1 0.0.0.0 eq 23
access-list => cmd
100 => standar 0 extended
deny => regla de accion (deny,permit,,remark)
tcp => protocolo (udp,icmp,ip,ospf,etc)
10.10.30.0=> source (any, host, A-B-C-D)
0.0.0.255 => Wildcards (0.0.0.0 defecto para un hosts)
gt 49151=> source port number OPCIONAL (eq,etc)
10.10.20.1 0.0.0.255 => Destination Address
eq 23 => Final Options (log,range, etc)
R1(config)#access-list 100 deny tcp host 10.10.10.10 10.10.20.0 0.0.0.255 eq www log
util
R2#sh access-lists 100
trainnig 2
Elimina una regla en particular
editar una regla en particular
accl se aplica a interfaces fisicos O virtuales
cuando se aplica a int fisicas es el norma accl standar y number
cuando se aplica a virtuales se les llama access maps
detalles
10 permit tcp host 10.1.2.101 host 10.1.1.100 eq www
20 permit tcp host 10.1.2.102 host 10.1.1.101 eq 443
30 deny ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 (+ especifico)
40 permit ip 10.1.2.0 0.0.0.255 any (general)
access-list 102 permit tcp any any eq www access-list 102 permit tcp any any eq telnet access-list 102 permit tcp any any eq smtp access-list 102 permit tcp any any eq pop3 access-list 102 permit tcp any any eq 21 access-list 102 permit tcp any any eq 20
ACLs
Setear ACL - Number standar
R1(config)#access-list 1 deny 10.0.2.0 0.0.0.255
R1(config)#access-list 1 permit 10.0.1.0 0.0.0.255
Asiganarle ACLs NUMBER STANDAR a una interface
R1(config)#interface f0/0
R1(config-if)#ip access-group 1 out
Setear ACLs - Number extended
R1(config)#access-list 100 permit tcp host 10.0.1.10 host
10.0.0.2 eq telnet (permite acceso a un host)
R1(config)#access-list 100 deny tcp 10.0.1.0 0.0.0.255 host
10.0.0.2 eq telnet (niega acceso a todo lo demas)
R1(config)#access-list 100 permit ip any any (permite demas procesos)
Asiganarle ACLs EXTENDED a una interface
R1(config)#interface f1/0
R1(config-if)#ip access-group 100 in
Setear ACL - Named - Extended
R1(config)#ip access-list extended F1/0_in
R1(config-ext-nacl)#permit tcp host 10.0.1.10 host 10.0.0.2
eq telnet
R1(config-ext-nacl)#deny tcp 10.0.1.0 0.0.0.255 host
10.0.0.2 eq telnet
R1(config-ext-nacl)#permit icmp host 10.0.1.11 host
10.0.0.2 echo
R1(config-ext-nacl)#deny icmp 10.0.1.0 0.0.0.255 host
10.0.0.2 echo
R1(config-ext-nacl)#permit ip any any (permite todos los demas procesos)
Asiganarle ACLs NAMED - EXTENDED a una interface
R1(config)#int f1/0
R1(config-if)#ip access-group F1/0_in in
UTILES
R1(config)#sh access list
R1(config)#sh access list 100
R1(config)#sh ip int f0/1
accl-resumen
ACCL -RESUMEN
number standar (1 - 99)
solo importa el source o origen
access-lis 1 permit host || red (WC)
number extended y named (100 -199) + alias
Importa el origen y el destino
access-list 100 accion protocolo source + destino + aplicaion
accion => permit, deny , remark
protocolo + capa de transport => TCP || UDP (capa transporte)
protocol + comunes => IP, ICMP, ANY
protocolos + extraños => ahp, eigrp,esp,gt,lt
source => host (+ puerto opcional) || red+ WC
ejemplos especificacion de numero de host mediante WC - fucion
permit tcp host 10.1.2.101 10.1.1.100 0.0.0.1 eq www
Named ACLs
Named ACLs
ACL Improvement: Named ACLs
R1(config)#ip access-list extended Flackbox-Demo
R1(config-std-nacl)#permit tcp host 10.0.1.10 host 10.0.0.2 eq telnet
R1(config-std-nacl)#deny tcp 10.0.1.0 0.0.0.255 host 10.0.0.2 eq telnet
(*) mejor asi bloquea cualquier otra su net
R1(config-std-nacl)#deny tcp any host 10.0.0.2 eq telnet
(*) para desabilitar la opcion deny deny por defecto
R1(config-std-nacl)# permit ip any any
asignando ACLs a una interface
R1(config)#int f0/0
R1(config-if)# ip access-group Flackbox-Demo
utiles
sh access list
sh int f0/0
Number Extended ACL
Extended
configuracion extended
Primero host permitidos
R1(config)# access-list 100 permit tcp 10.10.10.0
0.0.0.255 gt 49151 10.10.50.10 0.0.0.0 eq telnet
segundo host negados o general
R1(config)# access-list 100 deny tcp 10.10.10.10 0.0.0.0
gt 49151 10.10.50.10 0.0.0.0 eq 23
tercero especificar que todo lo demas funcione
R1(config)# access-list 100 permit ip any any
Cuarto Aplicar los ACLs a una interface el cual sera el mas proximo al requerimeinto o source
R1(config)# int f0/0
R1(config)# ip access-group 100 in
Nota
IMPORTANTE primero especificar los host permitidos y luego NEGAR a toda la red, sino se bloquean todos los host incluido el que quieres permitir
SOLO UN acl (reglas )por interface
in / out = hace referencia entrada salida de la comunicacion
eq = hace referencia al Nro de puerto o servicio ejemplo telnet
Number Standard ACLs
NUmber Standard
<1-99> IP standar access list
cisco aumento o expandio mas
<1300-1999> IP standard access list
standar
R1(config)# access-list 1 deny 10.10.10.10 0.0.0.0
R1(config)# access-list 1 permit 10.10.10.0 0.0.0.255
R1(config)# access-list 1 permit ip any any
R1(config)#int f0/0
R1(config-if)#ip access-group 1 out
nota
0.0.0.0 niega acceso a un host por defecto se puede obviar
0.0.0.255 permite una red obligatorio wild car
network redundacy
network redundacy
Configuracion
Static route to SP1:
ip route 0.0.0.0 0.0.0.0 203.0.113.1
Backup default static route via R2 if link to SP1 goes down:
ip route 0.0.0.0 0.0.0.0 10.10.20.2 5
Backup route to inside via R2 if link to CD1 goes down:
ip route 10.10.10.0 255.255.255.0 10.10.20.2
FHRP
FHRP - first hop redundacy protocol
1 crear un gateway virtual en los routers
R1(config)#interface g0/1
R1(config-if)#ip address 10.10.10.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#standby 1 ip 10.10.10.1
2 darle prioridad a una router
standby 1 priority 110
3 habilitar pre emption
standby 1 preempt
4 a setear la misma verion de hsrp
standby 1 version 2
Training 2
5 - cuando hay diferentes VLANS el standby no trabaja con interfaces fisicas, sino se trabaja con las interfaces de vlans y cada una tiene su propia standby.
utiles
sh standby => detalles de gateway virtual
loop - prevention
Loop prevention at layer 3
Loop prevention at layer 2
FHRP cisco
GLBP
GLBP - gateway load balancing protocol
HSRP
HSRP - hot standby router protocol (para el examen)
configuracion:
R1(config)#interface g0/1
R1(config-if)#ip address 10.10.10.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#standby 1 ip 10.10.10.1
R2(config)#interface g0/1
R2(config-if)#ip address 10.10.10.3 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#standby 1 ip 10.10.10.1
utilies
R1#show standby
PRIORITY PRE - EMPTION
configuracion
R1(config)#interface g0/1
R1(config-if)#ip address 10.10.10.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#standby 1 ip 10.10.10.1
R1(config-if)#standby 1 priority 110
R1(config-if)#standby 1 preempt
R2(config)#interface g0/1
R2(config-if)#ip address 10.10.10.3 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#standby 1 ip 10.10.10.1
R2(config-if)#standby 1 priority 90
HSRP Version
R1(config)#interface g0/1
R1(config-if)#ip address 10.10.10.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#standby 1 ip 10.10.10.1
R1(config-if)#standby version 2
R2(config)#interface g0/1
R2(config-if)#ip address 10.10.10.3 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#standby 1 ip 10.10.10.1
R2(config-if)#standby version 2
FHRP standars
VRRP
VRRP - VIRTUAL ROUTER REDUNDANCY PROTOCOL
combinacio HSRP - STP
Combinacion de HSRP - STP
R1(config)#interface g0/1.10
R1(config)#encap dot1q vlan 10
R1(config-if)#ip address 10.10.10.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#standby 1 ip 10.10.10.1
R1(config-if)#standby 1 priority 110
R1(config-if)#standby 1 preempt
R1(config)#interface g0/1.20
R1(config)#encap dot1q vlan 20
R1(config-if)#ip address 10.10.20.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#standby 1 ip 10.10.20.1
R1(config-if)#standby 1 priority 90
R2(config)#interface g0/1.10
R1(config)#encap dot1q vlan 10
R2(config-if)#ip address 10.10.10.3 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#standby 1 ip 10.10.10.1
R2(config-if)#standby 1 priority 90
R2(config)#interface g0/1.20
R1(config)#encap dot1q vlan 20
R2(config-if)#ip address 10.10.20.3 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#standby 1 ip 10.10.20.1
R2(config-if)#standby 1 priority 110
R2(config-if)#standby 1 preempt
inter VLAN routing
QUE APRENDISTE
OPT 1 INTERFACES SEPARADAS
1 setear default getways
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 10.10.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)#interface FastEthernet 0/1
R1(config-if)#ip address 10.10.20.1 255.255.255.0
R1(config-if)#no shutdown
2 asignarles una VLAN a esa int
SW2(config)#interface FastEthernet 0/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 10
OPT 2 ROUTER ON STICK
1 configurar SUB INTERFACES
R1(config)#interface FastEthernet 0/0
R1(config-if)#no ip address
R1(config-if)#no shutdown
R1(config-if)#interface FastEthernet 0/0.10
R1(config-subif)#encapsulation dot1q 10
R1(config-subif)#ip address 10.10.10.1 255.255.255.0
2 asignar un trunk port etiquetado
SW2(config)#interface FastEthernet 0/1
SW2(config-if)#switch trunk encap dot1q
SW2(config-if)#switchport mode trunk
OPT 3 LAYER 3 SW
1 habilitar ruteo por ips en el L3 - sw
SW2(config)#ip routing
2 configurar las vlans en el router
SW2(config)#interface vlan 10
SW2(config-if)#ip address 10.10.10.1 255.255.255.0
3 a configurar un puerto en L3 sw para conexion internet
SW1(config)#interface FastEthernet 0/1
SW1(config-if)#no switchport
SW1(config-if)#ip address 10.10.10.1 255.255.255.0
SW1(config)#ip route 0.0.0.0 0.0.0.0 10.10.100.2
OPT-3 Layer 3 switch
OPT-3 Layer 3 switch
CMD
SW
SW1(config)#ip routing
SW1(config)#interface vlan 10
SW1(config-if)#ip address 10.10.10.1 255.255.255.0
SW1(config)#interface vlan 20
SW1(config-if)#ip address 10.10.20.1 255.255.255.0
SW1(config)#interface FastEthernet 0/1
SW1(config-if)#no switchport
SW1(config-if)#ip address 10.10.100.1 255.255.255.0
SW1(config)#ip route 0.0.0.0 0.0.0.0 10.10.100.2
Router
R1(config)#interface FastEthernet 0/1
R1(config-interface)#ip address 10.10.100.2 255.255.255.0
R1(config)#interface FastEthernet 0/2
R1(config-interface)#ip address 203.0.113.1 255.255.255.0
R1(config)#ip route 0.0.0.0 0.0.0.0 203.0.113.2
R1(config)#ip route 10.10.0.0 255.255.0.0 10.10.100.1
OPT-2 router on a stick
OPT-2 router on a stick (ojo * mas preguntada en ele examen)
CMD
ROUTER
R1(config)#interface FastEthernet 0/1
R1(config-interface)#no ip address
R1(config-interface)#no shutdown
R1(config)#interface FastEthernet 0/1.10
R1(config-interface)#encapsulation dot1q 10
R1(config-interface)#ip address 10.10.10.1 255.255.255.0
R1(config)#interface FastEthernet 0/1.20
R1(config-interface)#encapsulation dot1q 20
R1(config-interface)#ip address 10.10.20.1 255.255.255.0
R1(config)#ip route 0.0.0.0 0.0.0.0 203.0.113.2
SW
SW1(config)#interface FastEthernet 0/1
SW1(config-if)#switchport mode trunk
OPT-1 router with separate interfaces
OPT-1 router with separate interfaces
CMD
ROUTER
R1(config)#interface FastEthernet 0/1
R1(config-interface)#ip address 10.10.10.1 255.255.255.0
R1(config)#interface FastEthernet 0/2
R1(config-interface)#ip address 10.10.20.1 255.255.255.0
R1(config)#ip route 0.0.0.0 0.0.0.0 203.0.113.2
SW
SW1(config)#interface FastEthernet 0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 10
SW1(config)#interface FastEthernet 0/2
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 20
Es la manera de como la data se transmite por la red
ejemplo los sgtes protocolos
802.3 ethernet csma/CD (cableado)
802.11 wireless CSMA/CA (wireless)
cableadas - tipos
wireless networks
wireless
Baja frecuencia = vibra lento (am, 10 MHzs)
Alta frecuencia = vibra rapido (micro hondas, 802.11, 2,4Hhz)
cableado
Ethernet
fibra optica
SMF -single mode fiber
MMF -multi mode fiber
coaxial cable
Tecnologia anticuada que es utilizada bastante en la conexion de modems.
cable trensado de cobre
Colores
Por que son cruzados
TCP/IP
Layer 4 application => application, presentacion, session
Layer 3 transporte => transporte(4 - osi)
Layer 2 internet => network (3 osi)
Layer 1 network => fisica, data link
capas del host
capas de red
please - do-not-throw-sassage-pizza-away
MEDIA LAYERS
LAYER 1 PHYSICA (BITS)
LAYER 2 DATA LINK (FRAMES)
DATA LINK O enlace de datos
protocolos de encapsulamiento en la capa DATA LINK
CRC cycle redundancy check
FCR
ARP
ARP - address resolution protocol
LAYER 3 NETWORK (PACKETS)
LAYER 3 NETWORK
LA MASCARE DE RED
ICMP
IP
IP -internet protocol
dinamicas
IP dinamicas
staticas
IPs staticas
HOST LAYERS
LAYER 4 TRANSPORT (SEGMENTS)
LAYER 4 - TRANSPORT
UDP
UDP (user datagram protocol)
TCP
TCP - transmision control protocol
LAYER 5 - SESSION (DATA)
LAYER 5 SESSION
LAYER 6 - PRESENTATION (DATA)
LAYER 7 - APPLICATION - (DATA)
LAYER 7 APPLICATION
management protocols
SMB - 445 - TCP
SMB - server message block
LDAPS - 636 - TCP
LDAPS
LDAP - 389 - TCP
LDAP - light directory access protocol
SNMP - 161 - UDP
SNMP - simple network management protocol
DHCP 67 - 68 - UDP
DHCP - dynamic host configuration protocol
NTP - 123 - TCP
NTP network time protocol
DNS - 53 - TCP/UDP
DNS - domain name system
web protocols
HTTPS - 443 - TCP
HTTTP - 80 - TCP
Email protocols
IMAP - 143 -TCP
IMAP - internet message access protocol
POP3 - 110 - TCP
POP3 - post office protocol
SMTP - 25 -TCP
SMTP - simple mail transfer ptotocol
remote protocols
SSH - 22 -TCP
SSH - secure shell
TELNET - 23 - TCP
telnet
RDP - 3389 -TCP
RDP - remote desk protocol
File transfer protocols
SFTP - 22 - TCP
SFTP
TFTP - 69 - UDP
TFTP - trivial file transfer protocol
FTP - 21 - TCP
FTP - file transfer protocol
BROADCAST DOMAIN
COLLISION DOMAIN
LATE COLLISION
Porque crear una network?
Spine-leaf design
east to wesr la manera moderna de diseñar redes
Campus Lan Desing
capas
collapse distribution and core
collapse distribution and core
core
CORE Layer
Network Redundancy – Layer 3 Configuration
configuracion
Static route to SP1:
ip route 0.0.0.0 0.0.0.0 203.0.113.1
Backup default static route via R2 if link to SP1 goes down:
ip route 0.0.0.0 0.0.0.0 10.10.20.2 5
Backup route to inside via R2 if link to CD1 goes down:
ip route 10.10.10.0 255.255.255.0 10.10.20.2
distribution
Distribution
Network Redundancy
access
ACCESS LAYER
Network Redundancy – Access Layer
tipos
WMAN
WMAN (Wireless Metropolitan Area Network)
WPAN
WPAN (Wireless Personal Area Network)
WLAN - wireless local area network
WLANS
WLC
WLC Wireless LAN Controllers
Split MAC
Split MAC
split mac - operaciones de APs
split mac - operaciones WLC
CAPWAP
CAPWAP (Control And Provisioning of Wireless Access Points)
terminologia
terminologia
DS (Distribution System)
BSSID (Basic Service Set Identifier)
BSA (Basic Service Area)
SSID (Service Set Identifier)
Roaming
protocolos
IEEE 802.11
IEEE 802.11 (Institute of Electrical and Electronics Engineers)
RFID
IR
NFC
Bluetooth
ANT+
Z-wave
tipos de antenas
unidireccional
omnidireccional
WAP
WAP
MU - MIMO
MU - MIMO multiple users
MIMO
MIMO - multiple inputs multiple outputs
Tipos de servicio
WiFi Direct Predefined Services
WiFi Direct Predefined Services
ESS
ESS - extended service set
BSS
BSS - basic service set
Ad Hoc networks
Ad Hoc networks
Objetivo
Objetivo
deben ser diseñadas para
Password Attacks
Password Attacks
Spoofing, Man In The Middle and Reflection Attacks
Spoofing, Man In The Middle and Reflection Attacks
DDoS Distributed Denial of Service
DDoS Distributed Denial of Service
Reconnaissance and Social Engineering
Reconnaissance and Social Engineering
Malware
Malware
Client - site VPN
Client - site VPN
Site-to-Site VPNs
Site-to-Site VPNs
SSL, TLS and HTTPS
HTTPS
como funciona
Criptografia
Asymmetric Encryption
Asymmetric Encryption
Symmetric Encryption
Symmetric Encryption
firewalls
Packet fiters
Ataques comunes
Reconnaissance : colectar info de la victima
Social Engineering: manipular pretender ser alguien mas para colocar info personal
Phishing: pretendiendo ser una empresa reputable get individuals to reveal personal
Data Exfiltration: sacar info de una ORG sin autorizacion
DoS Denial of Service: hacer caer es sitema puede ser bloqueado cuando el ataque viene de una solo pc
DDoS Distributed Denial of Service: cuando el hacker utiliza diferentes pc que infecto como fuerza de ataque DoS dificil bloquear todoas las IPs de ataque
Spoofing: fakes their identity,IP,MAC, etc
Man In The Middle Attacks: attackers se mete entre host legitimos y puede leer y modificar data
Password Attacks:Guessing,Brute Force,Dictionary attacks
Packet Sniffers: WireShark read the sent and received packets
The Security Threat Landscape
Threat: amenaza potencial
Vulnerability: debiidad del sistema
Exploit: es el uso de esa vulnerabilidad para dañar
Risk: es una probablilidad de ataque exitoso
Mitigation: tecnicas para reducir los daños
Malware
es un sofware malicioso como:
Viruses: Requires human action to spread de una PC a otra
Worms: virus que se propagan en un sitema por si mismos
Trojan horses: parecen buenos pero instalan programas
Ransomware: encrypta data y pagas por una llave para ver
tipos de hackers
Script Kiddies: low skilled attackers que compran sofwares de hackers
Targeted Attacks: Skilled attackers que apuntan a objetivos especificos
Relaciones entre tablas one to many
comandos docker
puertos en contenedores
Si deseas aprender a trabajar con Docker, lo ideal es que comiences por los siguientes temas:
1 Conceptos básicos de Docker: Esto incluye conocer qué es Docker, cómo funciona y cómo se relacionan los diferentes componentes (imágenes, contenedores, registros, Dockerfiles, etc.).
2 Instalación y configuración de Docker: Debes saber cómo instalar y configurar Docker en tu sistema operativo local o en un servidor remoto.
3 Creación de imágenes de Docker: Debes aprender cómo crear tus propias imágenes de Docker utilizando Dockerfiles y cómo construir y publicar imágenes en un registro.
4 Gestión de contenedores: Debes conocer cómo iniciar, detener, eliminar y monitorear contenedores de Docker, así como cómo configurar la comunicación entre contenedores y con el exterior.
5 Orquestación de contenedores: Debes saber cómo utilizar herramientas como Docker Compose y Kubernetes para orquestar y gestionar múltiples contenedores de Docker en un entorno de producción.
6 Integración con otras herramientas: Debes aprender cómo integrar Docker con otras herramientas populares, como Jenkins, Git, Ansible y Elasticsearch.
7 Seguridad y monitoreo: Debes conocer las mejores prácticas para garantizar la seguridad de los contenedores y cómo monitorear su rendimiento y estado.
all-labs
****lab - document root
1- que es?
2- como se busca informacion como ubicacion?
3- como cambias ubicacion del document root
*** lab - Dockerfile
1- que es?
2- que es el contexto?
3- que es el .dockerignore?
4- para que sirve el .dockerignore
5- como se utiliza
*** lab - Imagenes
1- descarga una imagen oficial
2- descraga una imagen oficial con tag
3- lista todas las imagenes
4- crea una imagen con dockerfile
5- crea una imagen de un dockerfileNombreDistinto
6- ver historial de como se creo una imagen
7- que es una dangling images
8- listado de imagenes dangling
9- eliminar imagenes dangling
***lab-volumen
1- que es y para que sirven los volumenes
2- cuantos tipos de volumenes hay
3- donde se guardan los volumenes si no se especifican la ruta
4- que pasa si ejecutas docker rmi -fv
5- crud volumenes
6- asignar un vol a un contenedor
*** lab - redes
1- cuantos tipos de redes hay
2- cual es la red, inteface y gateway por defecto de un contenedor
3- crud network
4- cmd para crearsubnet, ip manual y gateway
5- conectar o desconectar un contenedor a una red distinta
*** lab - recursos
1- lista recursos que utiliza un contenedor
2- limita memoria a 500mb de un contenedor
3- limita cpu de un contenedor a 2 nucleos
4- limita el cpu al 10%
5- ver tamaño del uso del disco
6- asignar tamaño del disco al contenedor
7- que pasa si no limitas los recursos de los contenedores
*** lab - utils
1- copia archivos del host al contenedor
2- copia archivos del contenedor al host
3- copia el contenido total de un archivo al contenedor
4- convertir un contenedor a una imagen
5- sobre escribir el CMD de un contenedort
6- auto destruir contenedores
7- ver logs de los contenedores
8- lista todos los contenedores
9- lista el ultimo contenedor creado
10- ve detalles del un contenedor
11- elimina todas las imagenes dangling
12- acceder a un contenedor
13- acceder a un contenedor como root
respuestas-all
document root
1- es un sistema de archivos que se crea al instalar docker
2- docker info | grep -i root
3- a) asignarle un ubicacion en el host
=> opt/docker
b) mover el documento hacia su nueva ubicacion
=> mv var/lib/docker opt/docker
c) modificar la configuracion en el docker.service
=> vim /lib/systemd/system/docker
=> ExecStart=/usr/bin/dockerd -H fd:// --data-root /opt/docker
d) aplicar los cambios
=> systemct daemon-reload
Dockerfile
1- es un documento que sirve para crear o persolizar images
2- es el directorio donde se encuentra el Dockerfile
3- es un archivo oculto ubicado en el mismo contexto del Dockerfile
4- para que al momento de crear la imagen no se consideren archivos o carpetas en el contexto
5- touch .dockerignore => vim .dockerignore => nombreCarpetas del contexro a ignorar
***Repuesta-Imagenes
1- docker pull mongo
2- docker pull myslq:5.7
3- docker images
4- docker build -t ni .
5- docker build -t ni -f dockerfileNombreDistinto
6- docker history -H ni
7- son imagenes huerfanas que no se utilizan
8- docker images -f dangling=true
9- docker images -f dangling=true -q | xargs docker rmi
***respuestas volumenes
1- son carpetas fuera del contenedor que sirevn para persistir la data
2- anonimos- nombrados - dangling
3- en la carpeta volumen de document root
4- se eliminas las imagenes y los volumenes anonimos
5- docker volume [create rm ls] nv
6- docker run -d --name nc -v nv:ruta/dentroContenedor ni
respuestas - redes
1- bridge - host - none
2- red=bridge int=docker0 gateway=docker0
3- docker network [create rm ls inspect ] nr
4- docker run -d --network -d bridge nr --subnet 172.16.0.0 --ip 172.16.0.50 --gateway 172.16.0.1 ni
5- docker network connect nr nc [disconnect]
*** respuestas recursos
1- docker stats nc
2- docker run -d -m "500mb" --name nc ni
3- docker run -d --cpuset-cpus 0-1 --name nc ni
4- docker run -d --cpus="0.1" ni
5- docker ps -s
6- docker run -d --storage-opt size=10G ni
7- utiliza el total de los recursos del host
*** respuestas utils
1- docker cp archivo/host nc:/ruta/contenedor
2- docker cp nc:archivo/contenedor ruta/host
3- docker cp archivo/. nc:/ruta/contenedor
4- docker commit nc ni (el cmd del primer plano puede perderse)
5- docker run -d --name nc ni CMDnuevo
6- docker run -rm --name nc ni
7- docker logs -f nc
8- docker ps -a
9- docker ps -l
10- docker inspect nc
11- docker images -f dangling=true -q | xargs docker rmi
12- docker exec -ti nc /bin/bash
13- docker exec -ti -u root nc /bin/bash
desinstalacion de docker
sudo docker stop $(sudo docker ps -a -q)
sudo docker rm $(sudo docker ps -a -q)
sudo apt-get remove docker docker-engine docker.io containerd runc
*********************Centos*********************************
sudo yum remove docker docker-client docker-client-latest docker-common docker-latest docker-latest-logrotate docker-logrotate docker-engine
************************************************************
sudo rm -rf /var/lib/docker
sudo groupdel docker
Docker-compose
Docker-compose
Estructura
version: "3"
services:
volumes:
networks:
*************************************************
version: '3.8'
services:
servicio1:
build:
context: ./ruta_contexto
dockerfile: Dockerfile
container_name: nombre_contenedor1
image: nombre_imagen1:tag
ports:
- puerto_host1:puerto_contenedor1
volumes:
- volumen_host1:volumen_contenedor1
networks:
- red1
env_file:
- archivo_variables1.env
environment:
- VARIABLE1=valor1
- VARIABLE2=valor2
restart: always
depends_on:
- servicio2
deploy:
resources:
limits:
cpus: '0.5'
memory: 512M
reservations:
cpus: '0.2'
memory: 256M
servicio2:
container_name: nombre_contenedor2
image: nombre_imagen2:tag
ports:
- puerto_host2:puerto_contenedor2
volumes:
- volumen_host2:volumen_contenedor2
networks:
- red1
env_file:
- archivo_variables2.env
environment:
- VARIABLE3=valor3
- VARIABLE4=valor4
restart: unless-stopped
deploy:
resources:
limits:
cpus: '1.0'
memory: 1G
reservations:
cpus: '0.5'
memory: 512M
volumes:
volumen_host1:
driver: nombre_driver1
volumen_host2:
driver: nombre_driver2
networks:
red1:
driver: bridge
**************************+
Nota
volumen_host2:
driver: local, nfs,s3,azure_file,gcs
deploy:
resources:
restart: always
compose-cmd
Docker compose cmd
Docker-compose up -d
docker-compose -f doc.yaml up -d
Docker-compose start
Docker-compose restart
Docker-compose build
Docker-compose logs -f
Docker-compose top
Docker-compose down
Docker-compose stop
Nota
dc build primero recrea las imagenes requeridas en en yml
contenedores
CONTENEDOR (es la instancia de una imagen)
docker ps -a
docker inspect nc
docker logs -f nc
docker run -d --name nc NI
docker rename nameNew oldName
docker run -dti -e "entorno=12345" --name nc ni
docker run -d -p 8080:8080 ni
docker [start restart stop] nc
docker exec -ti nc /bin/bash
docker exec -ti -u root nc /bin/bash
docker rm -fv nc
docker rm -fv $(docker ps -aq) => borra todo
docker ps -q | xargs docker rm -fv => borra todo
Notas
d = detach corre en segundo plano
cualquier cosa que se modifique en el contenendor es temporal si lo eliminas se pedera toda la info
servicios
MYSQL
docker run -d --name mysql -p 3306:3306 -e "MYSQL_ROOT_PASSWORD=server" mysql:5.7
mysql -u root -h IPcontenedor -pserver
mysql -u root -pserver -h 127.0.0.1--port 3333
Nota
ip del contenedor = docker inspect
-p 3333:3306 puerto del host hacia el contenedor
-e "MYSQL_ROOT_PASSWORD=server" password root
-e "MYSQL_DATABASE=ndb" = crea esa base de datos
-e "MYSQL_USER=nu"
-e "MYSQL_PASSWORD=pu"
utils
Utils
copiar archivos
docker cp ruta/origen nc:/ruta/destino (del host al contenedor)
docker cp nc:/ruta/origen ruta/destino (del contenedor al host)
docker cp release/. nc:ruta (/. copia todo el contenido de release )
convertir un contenedor a una imagen (*)
docker commit ncExistente niResultante
sobre escribir el cmd de un contenedor (**)
docker run -d -p 80:8080 centos python -m SimpleHTTPServer 8080
Autodestruir contenedores (***)
docker run --rm -ti centos
Nota
(*)al crear una imagen con el commit si puede perder el CMD para que corra se coloca el cmd al final docker run -d ni bin/bash
(*)cuando se realiza un commit lo que este en volumenes no se guradara en la imagen resultante pero si todo lo que este fuera de la carpeta de volumen
(**) despues que se indica cual es la imagen que se utilizara para crear el contenedor se especifica el cmd
(***) el contenedor se eliminara despues de salir de el
lab - utils
*** lab - utils
1- copia archivos del host al contenedor
2- copia archivos del contenedor al host
3- copia el contenido total de un archivo al contenedor
4- convertir un contenedor a una imagen
5- sobre escribir el CMD de un contenedort
6- auto destruir contenedores
7- ver logs de los contenedores
8- lista todos los contenedores
9- lista el ultimo contenedor creado
10- ve detalles del un contenedor
11- elimina todas las imagenes dangling
12- acceder a un contenedor
13- acceder a un contenedor como root
respuestas-utils
*** respuestas utils
1- docker cp archivo/host nc:/ruta/contenedor
2- docker cp nc:archivo/contenedor ruta/host
3- docker cp archivo/. nc:/ruta/contenedor
4- docker commit nc ni (el cmd del primer plano puede perderse)
5- docker run -d --name nc ni CMDnuevo
6- docker run -rm --name nc ni
7- docker logs -f nc
8- docker ps -a
9- docker ps -l
10- docker inspect nc
11- docker images -f dangling=true -q | xargs docker rmi
12- docker exec -ti nc /bin/bash
13- docker exec -ti -u root nc /bin/bash
recursos
Recursos
docker stats nc
Memoria
docker run --help | grep memory
docker run -d -m "500mb" --name nc ni (limita ram a 500mb)
cpu
docker run --help | grep cpu
docker run -d --cpuset-cpus 0-1 --name nc ni
docker run -it --cpus=".1" ubuntu /bin/bash (limitar al 10%)
disco
docker ps -s => tamaño del disco
docker images => tamaño de las imagenes
docker run --storage-opt size=10G nombre_de_la_imagen
Nota
lab - recursos
*** lab - recursos
1- lista recursos que utiliza un contenedor
2- limita memoria a 500mb de un contenedor
3- limita cpu de un contenedor a 2 nucleos
4- limita el cpu al 10%
5- ver tamaño del uso del disco
6- asignar tamaño del disco al contenedor
7- que pasa si no limitas los recursos de los contenedores
respuesta-recursos
*** respuestas recursos
1- docker stats nc
2- docker run -d -m "500mb" --name nc ni
3- docker run -d --cpuset-cpus 0-1 --name nc ni
4- docker run -d --cpus="0.1" ni
5- docker ps -s
6- docker run -d --storage-opt size=10G ni
7- utiliza el total de los recursos del host
Redes
Bridge es la red por defecto
docker0 interface por defecto (ip add | grep docker)
gateway = docker0
CMDs
docker network ls
docker network create nr
docker network create -d bridge --subnet 172.16.23.0/24 --gateway 172.16.0.1 nr (red con subnet y gateway)
docker network inspect nr
docker run -d --network nr ni (el contenedor pertenece a esa red)
docker run -d --network nr --ip 172.17.0.50 ni (asigna ip)
docker network connect nr nc (conecta el cont a otra red)
docker network disconnect nr nc (desconecta el cont de nr)
docker network rm nr (elimina contenedor)
lab-redes
*** lab - redes
1- cuantos tipos de redes hay
2- cual es la red, inteface y gateway por defecto de un contenedor
3- crud network
4- cmd para crearsubnet, ip manual y gateway
5- conectar o desconectar un contenedor a una red distinta
respuesta redes
*** respuestas - redes
1- bridge - host - none
2- red=bridge int=docker0 gateway=docker0
3- docker network [create rm ls inspect ] nr
4- docker run -d --network -d bridge nr --subnet 172.16.0.0 --ip 172.16.0.50 --gateway 172.16.0.1 ni
5- docker network connect nr nc [disconnect]
none
none
crea un contenedor sin red
docker run -d --network none --name nc ni
host
Host
al contenedor se le asigna la misma IP y red del host
docker run -d --network host --name nc ni
bridge
bridge
Bridge es la red por defecto
Volumenes
1 puedes indicar la ruta de una carpeta especifica en el host que servira de backup al crear un contenedor opt/mysql
2 si no especificas una ruta, docker le asignara por defecto la carpeta de volumenes del document root
lab-vol
***lab-volumen
1- que es y para que sirven los volumenes
2- cuantos tipos de volumenes hay
3- donde se guardan los volumenes si no se especifican la ruta
4- que pasa si ejecutas docker rmi -fv
5- crud volumenes
6- asignar un vol a un contenedor
respuestas-vol
respuestas volumenes
1- son carpetas fuera del contenedor que sirven para persistir la data si se elimina un contenedor tambien se elimina la data
2- anonimos- nombrados - dangling
3- en la carpeta volumen de document root
4- se eliminas las imagenes y los volumenes anonimos
5- docker volume [create rm ls] nv
6- docker run -d --name nc -v nv:ruta/dentroContenedor ni
vol. dangling
Volume dangling
Vol. nombrados
Volumenes nombrados
docker volume create nV
docker run -d –name nc -p 80:80 -v nV:/var/lib/mysql mysql
******
ls -l /var/lib/docker
nV
CMDS
docker volume ls
docker volume ls -f dangling=true
docker volume create nV
docker volume rm nV
Vol. anonimos
Volumenes anonimos
docker run -d –name nc -p 80:80 -v /var/lib/mysql mysql
Document root
Document root
docker info | grep -i root
/var/lib/docker
Cambiar de ubicacion el document root
ubicacion por defecto del document root
/var/lib/docker
ubicacion del archivo de configuracion de docker
vim /lib/systemd/system/docker.service
indicar nueva ruta
ExecStart=/usr/bin/dockerd -H fd:// --data-root /opt/docker
systemct daemon-reload
mv /var/lib/docker /opt/docker
systemctl daemond-reload
Nota
son un conjunto de carpetas que docker crea para gestionar su funcionamiento ejemplo volumenes, contenedores, imagenes etc
lab-dr
****document root
1- que es?
2- como se busca informacion como ubicacion?
3- como cambias ubicacion del document root
respuesta
Respuesta document root
1- es un sistema de archivos que se crea al instalar docker
2- docker info | grep -i root
3- a) asignarle un ubicacion en el host
=> opt/docker
b) mover el documento hacia su nueva ubicacion
=> mv var/lib/docker opt/docker
c) modificar la configuracion en el docker.service
=> vim /lib/systemd/system/docker
=> ExecStart=/usr/bin/dockerd -H fd:// --data-root /opt/docker
d) aplicar los cambios
=> systemct daemon-reload
Imagenes
IMAGENES
Imagenes oficiales - https://hub.docker.com/
docker pull mongo (tag por defecto latest)
docker pull mongo:3.1.2 (tag especificada
docker images (listado)
docker rmi ni
Imagenes personalizadas
docker build -t (tag) ni .
docker build -t ni -f ndf (nombre dockerfile)
docker history -H ni:tag (detalla de como se creo la imagen)
Dangling imagenes
docker images -f dangling=true
docker images -f dangling=true -q | xargs dorcker rmi
lab-imagenes
lab-imagenes
***Imagenes
1- descarga una imagen oficial
2- descarga una imagen oficial con tag
3- lista todas las imagenes
4- crea una imagen con dockerfile
5- crea una imagen de un dockerfileNombreDistinto
6- ver historial de como se creo una imagen
7- que es una dangling images
8- listado de imagenes dangling
9- eliminar imagenes dangling
10- copiar una imagen con otro nombre
respuestas-lab-imagenes
Imagenes
1- docker pull mongo
2- docker pull myslq:5.7
3- docker images
4- docker build -t ni .
5- docker build -t ni -f dockerfileNombreDistinto
6- docker history -H ni
7- son imagenes huerfanas que no se utilizan
8- docker images -f dangling=true
9- docker images -f dangling=true -q | xargs docker rmi
10- docker tag ni otroNi
Dockerfile
Dockerfile (imagen personalizada)
FROM <imagen>[:<etiqueta>]
LABEL <clave>=<valor> <clave>=<valor> ...
MAINTAINER <nombre> <correo electrónico>
RUN <comando>
COPY <origen>... <destino>
ADD <origen>... <destino>
ENV <nombre>=<valor>
WORKDIR <directorio>
EXPOSE => indica un puerto abierto para comunicacion entre contenedores
USER => indica que el usuario que ejecutara los cmds inferiores o siguientes
ENTRYPOINT <comando>
ARG <nombre>[=<valor>]
ONBUILD <instrucción>
STOPSIGNAL <señal>
VOLUME <ruta>
HEALTHCHECK [opciones] CMD <comando>
CMD <comando>
Notas
.dockerignore
Contexto
EXPOSE
lab-dockerfile
***Dockerfile
1- que es?
2- que es el contexto?
3- que es el .dockerignore?
4- para que sirve el .dockerignore
5- como se utiliza
respuestas-lab-dockerfile
Dockerfile
1- es un documento que sirve para crear o persolizar images
2- es el directorio donde se encuentra el Dockerfile
3- es un archivo oculto ubicado en el mismo contexto del Dockerfile
4- para que al momento de crear la imagen no se consideren archivos o carpetas en el contexto
5- touch .dockerignore => vim .dockerignore => nombreCarpetas del contexro a ignorar
Buenas practicas
1 un contenedor por servicio no apache y mysql en uno solo
2 utilizar backslash para indicar una sola linea
ENV dir www/html/test.txt
RUN \
echo "1" > > $dir && \
echo "2" >> $dir &&
3 pocas capas, entendemos por capas a una instruccion
4 utilizar multi stage para reducir el peso de las imagenes
ejemplo
FROM centos as test
RUN fallocate -l 10M /opt/file
FROM alpine
copy --from=test /opt/file /opt/miFile
Express
A (ei - ea - a - )
wait hate (a+i || a+cons+e ) => ei
dark saw (a+L,r,u,w) => a
cat, hat (a+cons) => a sonriendo
about, banana (no acentuada) =>
[mysqld]
datadir=/var/lib/mysql
socket=/var/run/mysqld/mysqld.sock
# Configuración de memoria
key_buffer_size = 256M
max_allowed_packet = 64M
innodb_buffer_pool_size = 512M
# Configuración de seguridad
bind-address = 127.0.0.1 => solo escuche conexiones desde la interfaz de red local (localhost).
skip-networking
# Configuración de registros (logs)
log_error = /var/log/mysql/error.log
slow_query_log = 1
slow_query_log_file = /var/log/mysql/slow-query.log
# Configuración de caracteres y collation
character-set-server = utf8mb4
collation-server = utf8mb4_general_ci
[mysql]
default-character-set = utf8mb4
[client]
default-character-set = utf8mb4
Back up database - unaTabla
mysqldump -u nombre_usuario -p nombre_base_de_datos > backup.sql
mysqldump -u nombre_usuario -p nombre_base_de_datos nombre_tabla > respaldo_tabla.sql
Restaura base de datos
mysql -u nombre_usuario -p -e "CREATE DATABASE nombre_base_de_datos;"
mysql -u nombre_usuario -p nombre_base_de_datos < ruta_del_archivo.sql
MYSQL - QUERIES
**** CREATE
INSERT INTO empleados (nombre, edad, cargo) VALUES ('Juan', 30, 'Gerente');
**** READ
SELECT * FROM usuarios;
SELECT * FROM productos LIMIT 10;
SELECT * FROM clientes WHERE nombre LIKE 'J%';
SELECT * FROM productos WHERE categoria = 'Electrónica' AND precio < 500;
SELECT * FROM productos WHERE categoria IN ('Electrónica', 'Muebles', 'Ropa');
SELECT nombre, precio FROM productos ORDER BY precio DESC;
SELECT COUNT(*) AS total_empleados FROM empleados;
SELECT categoria, COUNT(*) AS cantidad_productos FROM productos GROUP BY categoria;
SELECT SUM(ventas) AS total_ventas FROM ventas;
SELECT empleados.nombre, departamentos.nombre AS departamento
FROM empleados
JOIN departamentos ON empleados.departamento_id = departamentos.id;
**** UPDATE
UPDATE productos SET stock = stock - 1 WHERE id_producto = 101;
**** DELETE
DELETE FROM clientes WHERE edad > 60;
*** ver columnas
DESC nombre_de_la_tabla;
*** ver tamaño de una database (bytes)
USE nombre_base_de_datos;
SHOW TABLE STATUS;
SELECT SUM(data_length + index_length) AS tamaño_total FROM information_schema.TABLES WHERE table_schema = 'nombre_base_de_datos';
Linux
Un administrador de sistemas Linux debe tener conocimientos en áreas como:
Es importante tener una comprensión profunda de los comandos y herramientas de línea de comandos de Linux, así como también tener habilidades de solución de problemas y resolución de problemas.
Hay varias certificaciones que pueden ayudarlo a demostrar sus habilidades como administrador de sistemas Linux, como la CompTIA Linux+, Red Hat Certified System Administrator (RHCSA) y la Linux Professional Institute Certification (LPIC).
*** boot process
1- que significa BIOS, que es y su principal funcion
2- que hace y cuales son los princiáles boot loaders
3- que es el initrd
4- en que carpeta se encuentran los archivos de booteo
5- cuantos run levels existen
*** Lab instalacion de programas
1- que implica la arquitectura de 32 bits
2- que implica la arquitectura de 64 bits
3- que es un repositorio
4- como funciona un repositorio tradicional
5- repositorios snap
6- cual es el archivo y la ubicacion de los repos debian
7- actualiza repo - upgrade programas - de manera mas inteligente acualiza SO
8- lista -busca debian repos
9- crud gestores de paquetes de debian
10- cual es el archivo y ubicacion de suse repos
11- crud gestor de paquetes suse
respuesta all linux
*** respuestas boot process
1- basic input output, el un SO independiente que contiene dispositivos booteables, buscar y ejecutar el boot loader
2- inicia el SO, lilo y grub
3- initial ram disk que contiene los drivers necesario para para cargar el SO permanentemente
4- /boot
5- 7 init 0 => apagado init 6 => reinicio
*** respuestas instalacion de programas
1- procesa hasta 32bits a la vez,
2- procesa hasta 64bits a la vez, puede correr programas de 32 bits instalando sus librerias
3- es un servidor web que comparte, actualiza y lleva un control de versiones de los programas
4- al instalar un paquete no descarga todos las librerias xq comparte las que ya estan en el sistema
5- descarga todas las librerias necesarias del paquete no necesita internet se puede copiar a un usb
6- source.list /etc/apt/source.list
7- apt update - apt upgrade - apt dist-upgrade - apt do-release-upgrade
8- sudo apt-cache policy - sudo apt search nr
9- dpkg -i /apt install /apt-get/snap || apt remove np
10- yum.repos.d /etc/yum.repos.d
11- rpm -i /yum install/yum update/ yum remove
LOGS
Ubicacion /var/log
LOGS - prioridades ( .primeras vocales)
0 emergency (.emerg)
1 alert ( .alert)
2 critical ( .crit)
3 error (.error)
4 warning ( .warn)
5 notice ( .notice)
6 informational (.info)
7 debug ( .debug)
logger -p local0.inf0 "informacion"
NOTA
local.error => se muestran en los logs desde la prioridad 3 hasta abajo ,5,6,7
pero local.error No se mostrara en los de prioridades hacia arriba 0,1,2
LEER
cat /var/log/syslog
cat /var/log/syslog | head | tail -20
tail -f /var/log/syslog
journalctl -xe
journalctl -u NetworkManager
last reboot
Nota
syslog
syslog.1 (se lleno syslog)
Logrotate
configuracion
#touch local0.rotate || cat apport > local0.rotate
#vim local0.rotate
/var/log/local0.info {
su root root (por si hay problemas de permisos)
weekly (cada semana se ejecutara esta configuracion)
rotate 2 ( se crearan 2 copias local0.1 local0.2)
missingok
notifempty
create
}
Para realizar una prueba de los cambios ejecutar
logrotate -fv /etc/logrotate.conf
rsyslog
es un
servicio que sirve para personalizar los LOGs
State del servicio
systemctl status rsyslog - ver si el servicio esta corriendo
crear log personalizados
cd /etc/rsyslog.conf
escribir un log
Notas
Enviroment
son configuraciones de variables en pares de "KEY : VALUE"
Llamar a una variable se usa $
shell o local enviroment
varible environment
Variables
PS1 => promt (luis@mylaptop)
PATH
Startup files
ALIAS (crear alias para cmd existentes)
type cmd => indica tipo bin o alies
alias miListado = 'ls -ahl'
solo funciona en mi sesion si quieres que sea permanente modificas ~ .bashrc ( alias du='du -h')
se puede crear un file llamado .bash_aliases y se colocan los alias personalizados para mayor organizacion
printenv => lista variables y valor
printenv | grep "USER"
echo $USER => luis
nombre=julieta solo crea una variable en l ashell
export nombre=julieta (crea una variable en enviroment)
source ~ .bashrc => ejecuta el para que tome los cambios
which cmd => donde esta ubicado el cmd
Nota: click derecho preferencias del terminal o personalizarlo con una herramienta web https://ezprompt.net/
Bash script
Nombre file = primerScript
#!/bin/bash => asi se debe iniciar un script bash
echo ejemplo >> primerBash.log
***Ejecuta script
bash ~/primerScript
Agregando un PATH y ejecutar el cmd creado por nosotros sin necesidad de ejecutar el cmd bash
1 crear un directorio por convencion llamado bin en el home del user y agregar el nuevo script
2 indicarle o crearle el PATH de nuestro script home/luis/bin
3 darle permisos de execution
chmod 777 primerScript ||
chmod +x primerScript
Indica que tipo script esta corriendo bash || python || perl
estos por defecto estan instalados en ubuntu
shebang! => es la primera linea del script
#!/bin/bash
#!/usr/bin/python3
#!/usr/bin/perl
PATH
.profile
.bashrc
Que aprendiste - ENVIRONMENT
1 mkdir home/bin - crear carpeta bin en el home del usuario
2 touch home/bin/miscript - crea un txt => #!/bin/bash
3 PATH=$HOME/bin:$PATH - agregar lineas en algunos de esos archivos
4 chmod +x miScript
Miselania
lsusb => muestra dispositivos conectados
lspci => dispositivos conectados a las ranuras de la placa
Nota
bus: es el cable o lineas que transmiten informacion
usb: univesal serial bus
pci: componenre periferico interconectado
Caracteres especiales
Caracteres especiales
( )
(?)
([ ]) ([^12] )
$(( ))
(" ")
(' ')
($) ó (` `)
ShortCuts
sudo !!
*** shortcuts*****
ctl + l => clear (ele)
ctl + a => inicio del query
ctl + e => fin del query
ctrl + t => intercambia la ultima letra x anterior
ctrl + k => borra query hacia adelante
ctrl + u => borra query hacia atraz
ctrl + w => borra una palabra hacia atraz
ctrl + y => recupera query borrado
alt + f => avanza una palabra
alt + b => retrocede una palabra
alt + t => intercambia una palabra x anterior
alt + d => borra solo una palabra hacia adelante
******history -Ver queries cmd
history | less
ctl + r => busca query por palabra
Ubicaciones archivos importantes
sudoers => cat etc/sudoers
history =>vim home/.bash_history
syntaxix de un cron
cron
agenda un tiempo para ejecutar un programa
syntax
a b c d e cmd
a (minutos 0-59)
b (hours 0 -23)
c (day 1 - 31)
d (month 1 - 12)
e (day of week 0 -6 lunes, martes)
(*) any value or all
5,6 list of values 5 y 6
1-4 rango de valores del 1 al 4
*/5 step value ejemplo cada 5 minutos
nota:
crontab -e
Utils
www.crontab guru
tar
Tar
tar -cvzf backup.tar.gz (comprime)
tar -xvzf backup.tar.gz (extrae)
TLS/SSL
TLS/SSL (Transport layer security layer / secure socket layer)
Nota
Que debo saber
Si deseas estudiar TLS/SSL, te recomiendo enfocarte en los siguientes temas:
En resumen, para estudiar TLS/SSL, debes enfocarte en la criptografía de clave pública, certificados SSL/TLS, protocolos y cifrado, handshake de TLS/SSL, y seguridad y vulnerabilidades. Aprender estos temas te ayudará a entender cómo funciona TLS/SSL y cómo mantener la seguridad de la comunicación en línea.
configurar aplicacion
Configurar Servidor
Configuracion de servidores con tls/ssl
/ssl.conf
<VirtualHost *:443>
ServerName localhost
DocumentRoot /var/www/html
SSLEngine on
SSLCertificateFile /docker.crt
SSLCertificateKeyFile /docker.key
</VirtualHost>
ejemplo de configuracion en un apache en docker
Dockerfile
FROM
COPY ssl.conf /ect/httpd/conf.d/default.conf
COPY docker.key /docker.key
COPY docker.crt /docker.crt
CMD apachectl -DFOREGROUND
Obtener certificado SSL/SSL
Certificados TLS/SSl
openssl req -x509 -newkey rsa:4096 -keyout private.key -out cert.pem -days 365
openssl req -x509 -nodes -days 3665 -newkey rsa:2048 -keyout docker.key -out docker.crt
NOTA
req": Indica que se va a crear una solicitud de certificado.
"-x509": Indica que se desea generar un certificado autofirmado en lugar de una solicitud de certificado que se enviará a una autoridad de certificación (CA).
"-nodes": Indica que no se debe cifrar la clave privada. Esto es útil para evitar tener que introducir una contraseña cada vez que se utiliza el certificado.
"-days 3665": Indica la cantidad de días que el certificado será válido. En este caso, 3665 días equivalen a 10 años.
"-newkey rsa:2048": Indica que se desea generar una nueva clave privada RSA de 2048 bits junto con el certificado.
"-keyout docker.key": Indica el nombre del archivo donde se guardará la clave privada generada.
"-out docker.crt": Indica el nombre del archivo donde se guardará el certificado autofirmado generado.
.cert => archivo binario especifico para certificados
.pem => archivo generico que tambien acepta certificados
Encriptar y desincriptar archivos
openssl enc -aes256 -in archivo_original.txt -out archivo_cifrado.enc
openssl enc -d -aes256 -in archivo_cifrado.enc -out archivo_descifrado.txt
USB-booteable
Bootear un usb
lsblk
sudo umount /dev/sdb1
sudo dd if=ruta_de_la_imagen.iso of=/dev/sdX bs=4M status=progress
SSH
SSH
SSH se utiliza principalmente para proporcionar acceso remoto a un sistema y realizar tareas de administración de sistemas.
debes saber
Autenticación: El comando ssh utiliza autenticación basada en claves públicas y privadas para permitir que los usuarios se autentiquen en los servidores remotos. Debes aprender cómo generar y administrar claves SSH, cómo agregar tus claves públicas al servidor remoto y cómo configurar la autenticación para garantizar la seguridad de la conexión.
Redirección de puertos: El comando ssh te permite establecer una redirección de puertos para enviar el tráfico de un puerto en tu ordenador local a otro puerto en un servidor remoto. Es importante aprender cómo configurar la redirección de puertos y cómo utilizarla para acceder a servicios remotos, como MySQL o MongoDB.
Proxying: El comando ssh también te permite establecer un túnel proxy para enrutar el tráfico de Internet a través de una conexión SSH segura. Debes aprender cómo configurar el túnel proxy y cómo utilizarlo para navegar de forma segura en Internet.
Comandos remotos: El comando ssh te permite ejecutar comandos en un servidor remoto sin tener que iniciar sesión directamente en el servidor. Es importante aprender cómo utilizar esta funcionalidad para automatizar tareas y administrar servidores de forma remota.
Configuración: El archivo de configuración ssh_config te permite personalizar la configuración predeterminada del comando ssh. Debes aprender cómo editar este archivo para modificar la configuración del comando ssh y hacer que se ajuste a tus necesidades.
Comandos básicos: Además de los conceptos avanzados mencionados anteriormente, debes aprender los comandos básicos del comando ssh, como cómo conectarte a un servidor remoto, cómo iniciar una sesión de shell remota y cómo copiar archivos de forma segura de un servidor remoto.
Copia de archivos
Copia de archivos
scp -r volumenes luis@192.168.0.12:~ (push)
scp luis@192.168.0.12:~/apuntes /home/luis/ (pull)
redireccionamiento
Redireccionamiento
ssh -L 1106:localhost:3306 user@192.168.9.9
Nota
Autenticacion
autenticacion
ssh-keygen
ssh-copy-id usuario@servidor-remoto (crea automaticamente el folder y file en el remoto)
ssh luis@192.168.0.8
ssh luis@192.168.9.9 ls -l
exit - logout - ctrl +d cerrar session
Nota
la llave privada se queda en el servidor local
la llave publica se copia en el servidor remoto y se renombra como ~/.ssh/authorized_keys
FILES - DIR
touch
mkdir
Delete
rm archivo
rm -d emptyDir
rm -r fullDir
Update
mv
mv - cambiarNombre (file Dir)
cp (no borra solo copia si no existe el destino lo crea)
que aprendiste file
###########file########
###create
pwd
touch
mkdir
###read
cat
cat txt | tr a A | tr a-z A-Z | tr -d S
cat compras.txt &> mercado.txt
cat compras.txt > mercado.txt 2> errores.log
tac
less
head -20 file.txt
tail -20 file.txt
tail -f syslog
---------------------
ls -lah file.txt
ls- lc
ls -lm
ls -lu
ls --sort=size || time
ls -lh /usr/bin | sort -k5h | tail -5 > txt
ls -lh /usr/bin > lista.tx
-------------------
locate -iel dir || file
updatedb
------------------
find -type -f -d
find -empty -type f || d
find -iname "*.html
find -name "*.html"
find -name "*.css" -exec rm '{}' ';'
find -name "*.css" -ok rm '{}' ';'
find -name "*.txt" -exec cp '{}' '{}_copias' ';'
find -size +10M
find -user ftpuser
find -mmin -20
find -mtime -3
find -name "*.html" "*.css"
find -name "*.html" -or "*.css"
find -name "*.html" ! "*.css"
grep -i
grep -w
grep -r
grep -l
grep -A1 -B1
ps -aux | grep "nombreProceso" -i
###update
mv
cp file1 file2
###delete
rm
rm -d emptyDir
rm -ri fullDir
######permisos######
sudo -l
su - otrouser
chmod g+wx file.txt | dir
chmod u-x file.txt
chmod a=r file.txt
chmod 760 file.txt
chown otroUser file.txt
chown :Grupo file.txt
chown :user :Grupo file.txt
############env#########
printenv
echo rm -d emptyDir $USER
which cmd
type cmd
bash
bash ~/primerScript
miVariable=valorVariable
export nombre=julieta
alias miListado = 'ls -ahl'
source ~ .bashrc
###repositorios########
---debian
add-apt-repository nr || /etc/apt/source.list
dpkg -i np.deb
apt install np || apt-get install np
snap install np
apt policy
apt-cache policy
apt list
apt search np
apt-cache search np
snap list
snap find np
apt update || apt-get update
apt upgrade || apt-get upgrade
apt dist-upgrade
do-release upgrade
apt-get update
apt-get upgrade
snap refresh nombrePrograma
nano etc/apt/source.list
add-apt-repository -r nr
dpkg -r nombrePaquete
dpkg -r -P np
apt-get remove
apt-get remove -purge (-P)
sudo snap remove nombrePrograma
sudo snap disable opera
--centos
yum install epel-release
rpm -ivh http://rpms.famillecollet.com/enterprise/remi-leaserem-7.rp
nano /etc/yum.repo.d/nuevo.repo
rpm -i np.rpm
rpm -ivh descargaDirectaWeb.rpm
yum install np
yum repolist
yum list installed
yum list
yum list | grep np
yum check- update
yum update
nano/etc/yum.repo.d/eliminasArchivo.repo
enabled=0
yum clean all
yum makecache
rpm -e nombrePaquete
yum remove nombrePaquete
yum autoremove np
#####usefull#############################################
tar -cvzf comprimir.tar.gz file.txt
tar -xvzf extraer.tar.gz
crontab -e
####hardware##############################################3
hostnamectl
lsb_release -a
free -h (RAM)
lsof -i -P -n | grep LISTEN (PUERTOS)
lshw -C disk-memory-cpu
###disco
df -f (DISCO)
du -h => disk use
df -h | grep "/dev/sd"
cat /etc/fstab
fsck -N /sda1 => (repara disco)
cfdisk /dev/sdb (nombre del disco detectado)
mkfs -t ext4 /dev/sb1
mount -a (vim /etc/fstab => /de/sb1 /data ext4 defaults 0 2)
chown -R luis.luis data
####shortcut############################################
xdg-open
ctl + a => inicio del query
ctl + e => fin del query
ctrl + w => borra una palabra hacia atraz
ctrl + y => recupera query borrado
ctl + r => busca query por palabra
###caracteres#############################################
*
?
[] rangos
$(()) operadores matematicos
" " string respeta $*
' ' strin literalmente
$ llama funcion
{} mkdir -p dias/dia{1-31}
Permision
Permision
USERs
users => muestra los usuarios en el sistema
Leer todo junto incluido los guines guiones
drwxr-xr-x 2 luis luis 20480 mar 7 17:46 Descargas
U G O
rwxr-xr-x
User => dueño del file
Grupo => users con ciertos permiso para un file
Others => ni dueño ni en el grupo
r => read permision
W => write actualizar permiso en dir la x debe estar activa
x => ejecutar cmd cd,
Grupos
groups => muestra los grupos
groups nUser
addgroup
chmod
chmod
UGOA (+ | - |=) (U=User G=Group O=Otrher A=all)
chmod g+wx file.txt | dir
chmod u-x file.txt
chmod a=r file.txt (todos solo read)
Octagonal
r = 4 w=2 x=1 0=no permisos
chmod 760 file.txt (u=7 g=6 o=0)
chown
chown
sudo chown otroUser file.txt
sudo chown :Grupo file.txt
sudo chown :user :Grupo file.txt
sudos
sudos (cat etc/sudoers)
sudo -l => muestra que puede hacer user
su otrouser (se queda en el home de otro usuario)
su - otroUser => home User
crud
delete
Delete
rm archivo
rm -d emptyDir
rm -r fullDir
update
Update
mv
mv - cambiarNombre (file Dir)
cp (no borra solo copia si no existe el destino lo crea)
read
READ
pwd
cat
tac
rev
less
head
tail
sort
ls
xdg-open (abre o ejecuta)
find
locate (+ rapido)
find (+lento + power)
-exec
xargs
timestamps
Operadores logicos (-and -or -not(!))
grep
grep
Busca contenido dentro de files por matching words
Acepta regular expresion
REGEX
. => grep "arequi.." cada punto es un caracter
^ => grep "^a" empieza al inicio de una linea con a
$ => grep ")$" termina en ) al final de una linea
[ ] => grep "can[sc ]ion" busca cancion o cansion
Pipe
Pipe
ls /usr/bin -l | less
cat txt | tr a A | tr a-z A-Z | tr -d S
ls -lh /usr/bin | sort -k5h | tail -5 > txt
tee Pipe |tee archivo |
du -ha /usr/bin |sort -h | tee size.txt | tail -5 | head -3
Redireccionar
Redireccionar
standar output (1>)
error output (2>)
standar input (0<)
**********************************************
> (sobre escribe un archivo - cuidado)
ls -lh /usr/bin > lista.tx
>> (anexa informacion no borra info)
echo palabras >> ejomplo.txt
< (Input)
cat < ejemplo.txt
2> (error output)
caT 2> error.txt
ls noExisteFile 2>> error.txt
(imprime compras en mercado si hay un error en errores)
cat compras.txt > mercado.txt 2> errores.log
cat compras.txt > mercado.txt 2>> errores.log
(si hay un error se imprime en ele mismo compras)
cat compras.txt &> mercado.txt
cat compras.txt &> mercado.txt
cat compras.txt > mercado.txt 2>&1
Navegar
NAVEGAR
Jerarquia de directorios
/
/ bin (binarios programas ejecutables)
/ etc (archivos de configuracion)
/var (logs)
/root (dir super usuario)
/home (dir del usuario registrado)
/usr (
/media (usb, cdroom)
rutas absolutas
rutas relativas
*************************************
cd
( . )=> dir actual ,
( .. )=> directorio padre
create
CREATE
touch
mkdir
useradd -m nu
passwd nu
userdel -r nu
sudo usermod -aG nombre_del_grupo nombre_del_usuario
cat /etc/group
groupadd ng
gpasswd -a nu ng (agrega usario al grupo)
groups nu
groupdel ng
groupmod ng -n nombreNuevoGrupo
ESTRUCTURA - SINTAXIS
CMD -option parametros/argumentos
opciones (con dash - , -- )
ncal -u || ncal --universal
opciones combinadas ncal -h3j
paramentro - argumento (sin dash - , dato obligatorio)
ncal july 1969
HERRAMIENTAS
man = man cp
help = help cd
type = type cp
which = which ncal
NAVEGACION
tecla F => forward una pagina
tecla B => backward una pagina
/-s => dentro de man busca -s
"q" => salr man
cmd - sistema
sistema: hostnamectl
sistema: lsb_release -a
ram : free -h
Disco : df -h
puertos: sudo lsof -i -P -n | grep LISTEN
CPU
grep "model name" /proc/cpuinfo | wc -l
QA
QA - DISK
1 fdisk /dev/sdb [g] => particionamos el disco con gpt
2 [p-n-t-w] => creamos las particiones
3 mkfs ext4 /dev/sdb1 || sdb2 => formateamos las cada particion
4 mount /dev/sdb1 /mnt/luis => montamos las particiones
5 vim /etc/fstab => persistencia /etc/fstab
CMD UTILES
fdisk
mkfs -t ext4
mount sdb1 /puntoMontage
umount
mount -a
lsblk
lsblk -f
blkid
Volumenes
Volumenes
storage devices (SD) => discos duros
physical volumens (PV) => cada sd el SO lo reconoce como un PV
Volume group (VG) => confunto de PV
Logical Volumens (LV) => los volúmenes lógicos son una técnica de administración de almacenamiento que permite combinar varios discos físicos en un conjunto lógico y crear particiones lógicas dentro de él
Para crear un volumen logico se necisita un volumenGroup
para crear un VolumenGroup se necesita un fisicalVolumen
Para crear un fisicalVolumen se necesita un storaDevice
Para agregar espacio a un volumen logico necesitas primero agregas espacio de un volumen group y para agregas espacio a un volumen group necesitas agregarle un volumen fisico y para ello necesitas una particion fisica o stotage divice
Una vez creado el volumen logico se lo trata igual que una particion se le formatea con un fs o file sistem y se lo monta en un carpeta.Es importante darle un fs al LV si deseas aumentar espacio disponible del VG
mkfs -t ext4 dir/vg/lv
mount dir/vg/lv /PuntoMontaje
lsblk -p
lvmdiskscan => muestra los sd disponibles para ser volumenes
pvcreate sdb1 => crea un volumen fisico a partir de un SD
pvremove nPV
pvs => lista volumenes
pvmove /sdOri /sdDest
pvdisplay
vgcreate nombreGrupoVolumen sdb1
vgextend nVG nPV
vgreduce nVG dir/nPV
vgremove nVG
vgs => lista grupos de volumenes
lvcreate -L 30G -n nVolumenLogico nVG
lvcreate -l 100%FREE -n nvl nvg (usa todo el spacio disponible)
lvcreate -m 1 -L 5G -n mirrorVol dir/GV (cre un BU )
lvextend -L +5G -r /dir/lv (Extiende espacio a un logical vol y FS)
lvextend -L +5G /dir/lv (sin -r solo cambie el LV y no el file system)
lvextend -r -l +100%FREE nGV/nLV
lvreduce -r -L 5G vg_app/lv_app
lvremove dir/LV
lvs => lista volumenes logicos
lvs -a => todos
lvdisplay
resize2fs dir/LV (Para que aplique la extencion en el File system)
LV
Logical volumen (LV)
lvcreate -L 30G -n nVL nVG
lvcreate -l 100%FREE -n nLV nVG
lvcreate -m 1 -L 5G -n mirrorVol dir/VG
lvextend -L +5G -r /VG/LV
lvextend -r -l +100%FREE nGV/nLV
lvextend -L +5G /VG/LV => resize2fs VG/LV
lvreduce -r -L 5G nVG/nLV
lvremove nGV/nLV
lvs
lvs -a
lvdisplay
VG
Volumen group (VG)
vgcreate nVG dir/nPV
vgextend nVG dir/nPV
vgreduce nVG dir/nPV
vgremove nVG
vgs
PV
Phisical Volumens (PV)
lsblk -p
pvcreate sdb1
pvremove nPV
pvmove /sdOri /sdDest
pvs => lista volumenes
pvdisplay
mount
mount
fstab configuaracion
device
mount point
fileSystem Type
mount Option
dump => 0 (ignora) 1(crea un Backup)
fsck order => 0 (skip) 1(check first) 2(check next)
Nota
CMDs - mount
lsblk -f labels
blkid => ver UID de discos
mount /dev/sdb1 /media/luis
umount /dev/sdb1
mountt -a ejecuta lo del archivo etc/fstab
FileSystem - formatear [ mkfs -t ext4 ]
FileSystem
CMD - filesystme
mkfs -t ext4 /dev/sd?
particiones [ lsblk - fdisk ]
Se particiona el disco por seguridad si se daña una de ellas la otra informacion se salva
Table de particiones
GPT es la actual (hasta 128 primarias)
MBR (solo 4 primarias)
Primarias
extendidas
logicas
Particion SWAP ()
Nota
CMD - particiones
fdisk -l
lsblk => listado de discos
lsblk -f => listado y donde esta montado
blkid => ver el UID del disco
fdisk /dev/sd? [m - g - p - n - d - t - w ]
1G=>2p=>3n(+5G)=>w || d|| q || t
Network
Configurat IPs mediante Archivos de configuracion
vim /etc/netplan/01-network-manager-all.yaml (actual)
vim /etc/network/interfaces
configurar IPS mediante CMD
ip address add 10.12.13.4/255.255.255.0 dev eth0
ifconfig eth0 10.23.25.8 netmask 255.255.255.0
configurar mediante gui
abrir y cerrar interfaces
ifconfig eth0 up || ifup eth0 ||ifdown eth0
ip link set eth0 up || ifup eth0 ||ifdown eth0
White list
vim /etc/host.allow (lista blanca)
Niega esa IP
ALL:192.23.12.4:DENY
ALL:ALL:ALL
------------------------------
Acepta esas IPs
ALL:192.98.23.3:ALLOW
ALL:194.122.34.5:ALLOW
ALL:ALL:DENY
CMD utiles
ifconfig
ping ip 0 dns [-c 12]
traceroute -n dns
tracepath -n dns || ip
netstat -ntlp [u]
netstat -i
netstat -r (routing table)
tcpdump
telnet (para ver puertos abiertos)
who => ver usuarios conectados y desde que ip
pkill -9 pts/0 saca al usuario conectado
troubleshoot
ping ip 0 dns
traceroute -n dns
tracepath -n dns || ip
netstat
netstat -ntlp
netstat -nulp
netstat -i
netstat -r
ss | tail -11 = muestra sockets
tcpdump
DHCP
dhcp - cliente
vim /etc/network/interfaces
static - IPs
vim /etc/network/interfaces
mediante CMD
ip address add 10.12.13.4/255.255.255.0 dev eth0
ip link set eth0 up || ifup eth0 ||ifdown eth0
ifconfig eth0 10.23.25.8 netmask 255.255.255.0
ifconfig eth0 up || ifup eth0 ||ifdown eth0
nmtui
Process
Background process
Foreground process
Servicios
CMDs
kill -9 pid
PS
ps -ef
ps aux
pgrep
ps -p PID
pstree
top
htop
bg
fg
kill
jobs
Lista procesos especificando campos y por memoria
ps -eo pid,ppid,cmd,%mem,%cpu --sort=-%mem
ps -eo user,tty,start,etime,pid,ppid,cmd,%mem,%cpu --sort=-%mem | head -11
Kill -9 || systemctl stop
FTP-server
Instalacion
sudo apt install vsftpd
1 instalar
2 crear certificados para conexiones ssl/tls
2 setear archivo de configuracion (hacer copia del original)
3 configurar lista de usuarios (agregar usuarios)
4 prender o reiniciar el servicio (systemctl restart vsftpd)
vsftpd.conf
listen=NO
listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
allow_writeable_chroot=YES
local_umask=022
anon_upload_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
ftpd_banner=Welcome to blah FTP service.
chroot_list_enable=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/cert/vsftpd.pem
rsa_private_key_file=/etc/cert/vsftpd.pem
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=NO
ssl_sslv2=YES
ssl_sslv3=YES
require_ssl_reuse=YES
ssl_ciphers=HIGH
pasv_max_port=10000
pasv_min_port=9000
filezilla
Filezila
1 instalar
2 ajustar configuraciones
Firewalls (linux)
Herramientas y versiones de firewalls
iptables (las mas antigua)
nft (mejora de iptables)
firewalld (la actual)
cmd
sudo iptables --version
sudo nft --version
sudo systemctl status firewalld
firewalld
Firewalld
sintaxix
sudo firewall-cmd +
--permanet , --zone=, --new-zone +
--add-service=, remove-service= +
--add-port= , --remove-port=
--add-rich-rule= , remove-rich-rule=
--reload , --permanent, --list-all
cmds
Crear una zona personalizada
firewall-cmd --permanent -new-zone=zonaNueva
Habilitar o elimina el servicio SSH o ftp
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --remove-service=ftp
firewall-cmd --permanent --zone=zonaNueva --add-service=https
Para que aplique los cambios
sudo firewall-cmd --reload
Ejemplo de abrir un puerto para mysql
sudo firewall-cmd --zone=public --add-port=3306/tcp
mysql
bind-addres = 0.0.0.0
systemctl restsrt mysl
iptables
iptables
Sintaxis
iptables -t <table> <chain> <rule> -j <target>
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
table (filter, nat, mangle )
chain (INPUT, OUTPUT,FORWARD, PREROUTING)
rule ( IP, pots, protocolos, estados, interfaces, etc)
-j <target> (ACCEPT, DROP, REJECT,REDIRECT)
ejemplo del mysql acceso remoto
iptables -A input -p TCP --dport 3306 -j ACCEPT
Puertos
puertos fisicos = usb, impresora,
puertos virtuales = conectados mediante un programa
socket = IP:puerto
firewall-cmd --set-default-zone=trusted
habilitar puertos
firewall-cmd --zone="zona" --add-port=numeroPuerto/"tcp/udp" --permanent
firewall-cmd --zone=dmz --add-port=40000/tcp --pemanent
desabilitar
firewall-cmd --zone=dmz --remove-port=40000/tcp --pemanent
Habilitat o desabilitar servicios
firewall-cmd --zone=public --add-service=ssh
firewall-cmd --zone=public --remove-service=ssh
listado de zonas
firewall-cmd --permanent --list-all-zone
listado de puertos
sudo ss -ntlpu
netstat -tuna
less /etc/service (todos )
nmap 192.168.10.2
nmap -v -sT 192.168.0.8
recomendable cambiar el numero de pto sobre todo ssh
estados de los puertos
listen, cerrado o filtrado, no en uso
systemctl
systemctl list-units --type=service
systemctl list-units --type=service --state=disabled
systemctl list-units --state=inactive | grep cup*
systemctl list-unit-files --state=disabled (ver servicios habilitados )
systemctl list-units --type=service (lista ss)
systemctl [status - stop - start - restart ] ns.service
systemctl [enable - disable] (inicia del arranque so)
systemctl daemon-reload
nota
sudo journalctl -u nombre-del-servicio
systemctl daemon-reload
Aruitectura de 32 y 64 bits
cpu procesa 32 bits a la vez
cpu procesa 64 bits a la vez
sistemas de 64 bits pueden correr programas de 32 bits intalando las librerias necesarias
pero sistemas de 32 no puedes correr programas de 64
Librerias necesarias para correr programas de 32 bits en uno de 64
sudo apt-get install libc6:i386 libncurses5:i386 libstdc++6:i386
*** Lab instalacion de programas
1- que implica la arquitectura de 32 bits
2- que implica la arquitectura de 64 bits
3- que es un repositorio
4- como funciona un repositorio tradicional
5- repositorios snap
6- cual es el archivo y la ubicacion de los repos debian
7- actualiza repo - upgrade programas - de manera mas inteligente acualiza SO
8- lista -busca debian repos
9- crud gestores de paquetes de debian
10- cual es el archivo y ubicacion de suse repos
11- crud gestor de paquetes suse
respuesta instalacion de programas
*** respuestas instalacion de programas
1- procesa hasta 32bits a la vez,
2- procesa hasta 64bits a la vez, puede correr programas de 32 bits instalando sus librerias
3- es un servidor web que comparte, actualiza y lleva un control de versiones de los programas
4- al instalar un paquete no descarga todos las librerias xq comparte las que ya estan en el sistema
5- descarga todas las librerias necesarias del paquete no necesita internet se puede copiar a un usb
6- source.list /etc/apt/source.list
7- apt update - apt upgrade - apt dist-upgrade - apt do-release-upgrade
8- sudo apt-cache policy - sudo apt search nr
9- dpkg -i /apt install /apt-get/snap || apt remove np
10- yum.repos.d /etc/yum.repos.d
11- rpm -i /yum install/yum update/ yum remove
Que aprendiste
CRUD DEBIAN REPO PAQUETES
*******C*********+
add-apt-repository nr
/etc/apt/source.list
dpkg -i np.deb
apt-get install np
apt install np
snap install np
********R*********
apt policy
apt-cache policy
apt list || apt list --installesd || apt search np || apt-cache search np
snap list || snap find np
*********U*******p***
apt update || apt-get update
apt upgrade || apt-get upgrade
apt dist-upgrade
do-release upgrade
apt-get update
apt-get upgrade
snap refresh nombrePrograma
************D***********
nano etc/apt/source.list
add-apt-repository -r nr
dpkg -r nombrePaquete
dpkg -r -P np
apt-get remove
apt-get remove -purge (-P)
sudo snap remove nombrePrograma
sudo snap disable opera
CRUD CENTOS REPO- PAQUETES
*****+C*************
yum install epel-release
rpm -ivh http://rpms.famillecollet.com/enterprise/remi-leaserem-7.rp
nano /etc/yum.repo.d/nuevo.repo
rpm -i np.rpm
rpm -ivh descargaDirectaWeb.rpm
yum install np
********R***********
yum repolist
yum list installed
yum list
yum list | grep np
**********U***********
yum check- update
yum update
*********D**********
nanp/etc/yum.repo.d/eliminasArchivo.repo
enabled=0
yum clean all
yum makecache
rpm -e nombrePaquete
yum remove nombrePaquete
yum autoremove np
Repositorios
tradicionales
snaps
Notas
antes de eliminar un repositorio es mejor eliminar primero los paquetes instalados desde alli
para mayor rapidez de actualizaciones y descargas se deben configurar los repositorios mas cercanos a tu zona geografica
Repos centos
Repos centos
Los repositorios mas utilizados en centos son EPEL y Remi (contiene versiones actualizadas de php y myssql)
Formato de un repositorio
[mariadb]
name = MariaDB
baseurl = http://yum.mariadb.org/10.4/centos73-amd64/
gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB
gpgcheck=1
Ubicacion
/etc/yum.repos.d
Gestor de paquetes
Gestor de paquetes Centos
Agregar paquetes
rpm -i nombrePaquete.rpm
rpm -ivh https://example.com/fedora/32/packagename.rpm
yum install nombre_paquete
Listar - buscar Paquetes
rpm -qa | grep -i nombrePaquete
yum list
yum list | grep [package_name]
Actualiza Paquetes
yum check- update
yum update
Eliminar paquetes
rpm -e nombrePaquete
yum remove nombrePaquetee
yum autoremove np
Gestor de repositorios Centos
Añadir repositorios
yum install epel-release
rpm -ivh http://rpms.famillecollet.com/enterprise/remi-leaserem-7.rp
/etc/yum.repos.d
[nginx-stable] name=nginx stable repo baseurl=http://nginx.org/packages/CentOS/$releasever/$basearch/ gpgcheck=1 enabled=1 gpgkey=https://nginx.org/keys/nginx_signing.key
Lista busca repositarios
yum repolist
yum list installed
Actualiza repositorio
Elimina repositorio
yum -y install yum-utils
yum-config-manager --disable remi
yum update —disablerepo=epel
[mariadb]
name = MariaDB
enabled=0
yum clean all
yum makecache
Repos Debian
REPOSITORIOS DEBIAN
Estructura de un repositorio
deb [arch=amd64] http://dl.google.com/linux/chrome/deb/ stable main
Ubicacion
TIPOS - UBUNTU
1 Main
2 Universe
3 Multiverse
4 Restricted
5 Partner
6 Repositorios de Ubuntu de terceros
TIPOS - debian
main
country
nonfree
gestor paquetes
Gestor de paqutes Debian
Agregando Paquetes
dpkg -i paquete.deb
apt-get install nombrePaquete
apt install
snap install nombrePaquete
sudo snap enable opera
Listar buscar paquetes
grep " install " /var/log/dpkg.log
grep " install " /var/log/apt/history.log
apt list --installed
apt search nombrePrograma
apt-cache search nombrePrograma-
snap list
snap find nombrePrograma
Actualizar paquetes
apt update
apt upgrade
apt dist-upgrade
apt-get update
apt-get upgrade
snap refresh nombrePrograma
Eliminando paquetes
dpkg -r nombrePaquete
dpkg -r -P
apt-get remove
apt-get remove -purge (-P)
sudo snap remove nombrePrograma
sudo snap disable opera
Gestor de repos
Añadir repositorio
sudo add-apt-repository universe multiverse
sudo nano /etc/apt/sources.list
wget -q -O - https://dl.google.compub | sudo apt-key add -
sudo sh -c 'echo "deb [arch=amd64] http://dl.google.com/linux/chrome/deb/ stable main" >> /etc/apt/sources.list.d/google.list'
Listar buscar repositorios
sudo grep -rhE ^deb /etc/apt/sources.list*
sudo apt-cache policy
sudo apt search nombreRepo
sudo apt search
Actualizar Repositorios
sudo apt update
sudo apt upgrade
sudo apt dist-upgrade
sudo do-release-upgrade
Elimina repositorios
nano /etc/source.list
sudo add-apt-repository -r ppa:repo/repo
sudo apt-key del (8 ultimos caracteres de la llave)
Boot proccess
BIOS (basic input outpur)
Boot loader
initrd (initial ram disk)
/boot
Run levels (7)
init 0 => apaga el sistema
init 1 => monoUsuario (mantenomiento del sist)
init 2 => multiusuario (sin red)
init 3 => multiusuario (con red)
init 4 => modo personalizado
init 5 => con GUI
init 6 => reinicio
vim /etc/inittab
id:3:initdefault (se configura como inicia el sistema)
CMD
who -r (ver run level)
*** boot process
1- que significa BIOS, que es y su principal funcion
2- que hace y cuales son los princiáles boot loaders
3- que es el initrd
4- en que carpeta se encuentran los archivos de booteo
5- cuantos run levels existen
respuesta - BP
*** respuestas boot process
1- basic input output, el un SO independiente que contiene dispositivos booteables, buscar y ejecutar el boot loader
2- inicia el SO, lilo y grub
3- initial ram disk que contiene los drivers necesario para para cargar el SO permanentemente
4- /boot
5- 7 init 0 => apagado init 6 => reinicio
prevencion
prevencion
malware
asegurar work station
w + local security (password settings)
lock screens
logical security
MDM (mobile devoce management)
porsecurity en switches
antivirus
firewalls
setear hardPassword
DLP (data los pevention)
User accounts deben tener los mínimos permisos para hacer su trabajo
active directory
Active directory
NETWORKING
COMPARTIR CARPETAS
w +r => \\nombrePc/CarpetaSelectclickDere-MapAndDrive
net use z: \\nombreHost\carpetaCompartida
COMPARTIR PRINTER
DOBLE CLICK SOBRE IMPRESORA
CONEXION REMOTA
firewalls
Firewalls
conisste en bloquear puertos
no desabilitar
se agregan excepciones para ciertas aplicaciones
ruta: control panel/firewall
NIC
NIC
QoS
Remote
Remoto
host remoto
desde central
printers
printers
host con printer
host a conectarse
compatir carpetas
compatir carpetas
convencion unc \\
w +r | \\nombrePc
click
map and drive
por CMD
net use z: \\nombreHost\carpetaCompartida
Nota: por ser un comando se puede crear un script y solo ejecutarlo para compartir las carpetas
Workgroups - Domain
Workgroups - Domain
Work group
Dominio
setear un pc dentro de un dominio
Atajos
windows + panel => control panel
windows + apps => apps instaladas (para desinstalar)
windows + command => abre terminal
Monitoreo
windows + resource monitor => pantalla monitoreo
windows + performance monitor => pantalla de monitoreo
Registry
window + R | registry => abre rgustry
servicios
windows + R | services.msc || computer management
macrosoft management console
windows + r | mmc
encontrar aplicacion de programadores
windows + component services
config
w + r msconfig (seleccionar OS)
overviwe hardware (ram, procesador etc)
w + r | msinfo32
event viewer - Logs
windows + event viewer
impresora
w + printers
remoto
w + r | mstsc
local security
w + local security (password settings)
CMD
cd\ => regresa la root
cd.. => atraz
dir => ls
md => mkdir
cd newDir => cambia de dir
dir => cat lee archivo
cls => clear
dir /? => info del cmd
e: | f: => cambias driver al a,e
shutdown => apaga hay opciones como /r /f reincia y fuerza cerrado de app
discos
sfc trabaja con los discos
sfc /? more info
sfc /scannow (scanea y repara)
copia archivos
copy test.txt z:
copy test.txt z:\newFolder
excopy doc z: \e => copia todo lo dentro de doc del disco e en z
excopy e: z: \e
imagenes de windowa
dims
Booteo (arrancar estos cmd desde advance restart)
bootrec => arregla SO
bootrec /fixmbr || /fixboot las mas usadas para arreglos de booteo
taskmanager
tasklist => lista proesos corriendo
taskkill => emilina un proceso
taskkill /im nombreProceso || ID proceso
disco
chkdsk /?
chkdsk e: /f => revisa el disco e y lo arregla (toma mucho tiempo)
user
net user andy => info del usuario andy
net user mary P@$$w0rd /add => crea usuario maty y su pwd
net user mary /delete
network
ipconfig
ipconfig /all
ipconfig /release
ipconfig /renew
ipconfig /displaydns => muestra dns
ipconfig /flushdns => limpia los dns
ping IP | DNS
ping /?
ping -t IP=> no para
ping -n 4 IP ping 4 veces
ping -4 IP | dns solo ping a ipv4
ping -6 IP | dns solo ping a ipv6
tracert
arp
arp -s -a
netstat
nslookup
******************+linux************++++
cd .. => salto atraz
cd - => salto donde estuviste antes
vi shift zz => cierra y guarda documento
rmdit => file bacios
rm -r => file llenos
NETWORK
ifconfig
ifconfig -a => todos las ips
ifconfig lo down | up => cierra o abre esa interface
ifconfig lo 192.168.10.12 => asigna IP
ifconfig lo netmask 255.255.255.0 => asigna mascara
discos
dd => cmd para copiar discos
dd if=/dev/sdb of=/dev/sdc => copia sdb en sdc
Buscar
grep palabra test.txt => busca palabra en el archivo test
ls | grep test => busca test en el listado (combinado)
listar
ps => procesos
ps-a => todos los procesos
kill idProceso => elimna el proceso de la lsita
usuarios
chown luis:luis test.txt
chmod 777 test.txt (1:execute 2:write 3:read)
Utilities
UTILES
Accesos
w+r => control
w+r => taskmgr
w+r => msconfig
W + setting/update/recuperacion/inicio avanzado
w + event viewer
w +r => mmc
w +r => contral-pannel/restore
w + R | services.msc
CONTROL PANEL
DRIVERS (volver a una version anterior )
TASK MANAGER
SERVICES impresora atascada
MMC (microsoft management console)
PROHIBIR ACCESO AL CONTRO PANEL
--------------------------------------------------------------------------
CONFIG
ADVANCED STARTUP
EVENT VIEWER
SYSTEM RESTORE
MEMORY
-----------------------------------------------------
PROGRAMACION
encontrar aplicaciones de programadores
w + component services
Base de datos coneccion
w + ODBC - (open database conectivity)
sql server - nombre de servidor
task scheduler
task scheduler
sirve para agendar tareas
w + task scheduler
memory
windows memory diagnostico
sirve para revisar si hay problemas con la memoria
w + memory diagnostic
System restore
System restore
es volver a un punto donde funcionaba bien
control panel
recovery
configure system restore
configure /turn on system proteccion
create /dar nombre sin fecha(lo pone por defecto)
para restaurar
open system restore
MMC
MMC - microsoft management console
consiste en agregar snap o herramientas utiles en un solo lugar para la adminsitracion del sistema ejemplo device manager, disk manager, event vieer sevices, etc y ponerlos en por ejemplo en el desktop
w +r | mmc
event viewer
event viewer
Logs del sistema como problemas de apps o ver quien se logeo etc
windows + event viewer
Advanced startUp
advanced startUp
opciones avanzadas de arranque
w + setting
update & security
recovery /advance startUp
otra manera de acceder es
mantener el boton shift apretado
reiniciar
importante
safe mode significa que inicia el sistema con las configuraciones básicas sin apps
config
System Config
General
BOOT
services
startUp
tools
computer management
computer management
Da acceso a varias heramientas
Nota se pueden crear usuario en control panel
servicios
servicios
casos practicos
registry
registry
monitoreo
Monitoreo
task manager
Task manager
control panel
control panel
File explore options (general - view - serach)
system
fierwall
power opciom
credential manager
programs and features
devices and printer
sound
device manager
trouble shooter
bitlocker encription
sync center
Hard drive partiition
DISCOS DUROS
acceder a administracion de discos
montar volumenes
crear un particiones
crear un mirror para Backup
Optimizar y defragmentar unidades
Utilizar CMD diskpart
cmd => diskpart (accedes al editor de discos)
Subtopic
Que
es HARD DRIVE
convert - consola
convert e: /fs: ntfs => de fat32 a ntfs
convert - GUI
covetir ntfs a fat 32 => se pirde toda la data
cambiar letra particion
diskpart
DISKPART> /? - opciones
DISKPART> list - opciones con list
DISKPART> disk - lista discos
DISKPART> select disk 1
DISKPART> clean - limpia disco
DISKPART> create - opciones de create
DISKPART> create partition primary - crea particion
DISKPART> format fs=ntfs - lo formatea en ntfs
DISKPART> assign => le asigna una letra (E,F,etc)
File System
FILE SYSTEM
WINDOWS
FAT32 (desfasado)
ExFAT (mas usado)
NTFS
Macs
LINUX
Optica disc file system
volumenes
Volumnes
striped
striped
spanned
spanned
mirror
Mirror
particiones
MBR
MBR - master boot record
particion Primaria => almacena y corre SO
particion logica o extendida => solo para almacenamiento
GPT
GPT (GUID partition table)
Que aprendiste
1 Tener imagenes de sistemas operativos
2 hacer la instalación por red en diferentes host
3 hacer una imagen con todos los programas requeridos
4 ver propiedades de hardware como ram,cpu,storage grafic direct
general w+r => msinfo32.exe
discos w+r => diskmgmt.msc
RAM DDR3 => pestillo mas a la izquierda (doble data rate)
RAM DDR4 => mas eficiente pestillo mas centrado
utiles
acceso terminal
w + r => cmd
w +r => cmd + (ctrl + shift + enter)
alt + tabulador => selecciona ventana
alt + f4 => cierra ventanas
apagar / reiniciar
w+r => cmd shutdown /r - /s ( restart - shut)
soluciones comunes
Soluciones comunes
soluciones seguridad
procedimientos contra malware
32 - 64 Bits
SO 32 - 64 Bits
SO abiertos
requerimientos minimos hardware w 7 - 8 y 10
32 bit
64 bits
diferencias windows home y PRO
HOME
PRO - enterprice
Upgrade - clean install
Upgrade - clean install
upgrade
clean install
la instalacion puede ser hecha
despues de la instalacion
herramientas
imagenes con sofares instalados