Respuestas de foro creadas
-
Entradas
-
Hola Alvaro, saludos.
Entiendo que un CoPP permitira limitar el tráfico que va al Panel de Control de un dispositivo, y asi reducirle carga de trabajo o evitar ataques maliciosos.
He visto varios ejemplos de aplicación de CoPP con un Class-map y ACL para limitar ICMP; sin embargo no termino de entender la logica de limitar ICMP cada 8000 bits.
Ejemplo, al aplicar un CoPP que limita ICMP a 8000 bips, consigo el siguiente patron al hacer ping al router:
R2#ping 192.168.1.1 source gigabitEthernet 0/0 repeat 60
Type escape sequence to abort.
Sending 60, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.2
!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!.!!!!!!!!!!!!!!.!!!!!!!!!!!!!
Success rate is 95 percent (57/60), round-trip min/avg/max = 4/13/32 msFalla un ping cada 15 intentos aproximadamente. Si hago una captura en Wireshark, por cada ping tengo un request y un reply, con un valor de frame de 912 bit cada uno.
Si tomo en cuenta solo los request (in), son 8 request, multiplicado por 912 bits = 7296 bits, el cual es un aproximado del limite configurado de 8000. ¿¿Es correcto??Sin embargo, el ping continua operando hasta llegar nuevamente a sumar 15 ping, para botar un ping y continuar.
Dudas:
1) ¿Que sentido tiene esta aplicación de CoPP para ICMP, si el ping continua operando con una perdida periodica?
2) ¿Que valores definir de CIR? entiendo que se debe hacer un EPC (Embedded Packet Capture) para evaluar el trafico cotidiano en el dispositivo y luego definir los limites.
a. ¿Para telnet, ssh has visto alguna aplicación real y el motivo?
b. Al limitar el trafico en protocolos IGP, ¿no estaria afectando la funcionalidad del protocolo?.
c. ¿Que aplicación tiene limitar los bit de ICMP en un router?Gracias Alvaro!
Hola Alvaro, buen día.
Hay forma de colocar todos los videos del curso si progreso. es decir Reiniciar de nuevo el progreso a 0?
Hola Álvaro.
Los métodos de autenticación solo se podrán usar a nivel de dispositivos locales; es decir, cuando decidimos que unos de nuestros equipos es el master?
O podemos usar un STRATUM libre como el POLL.NTP.ORG, y luego que sincronizamos con el, decidir que otro dispositivo a nivel local sea el master para un grupo determinado de equipos?
Resumo: En este video, explicas la autenticación entre dos equipos de la red local… pero si quisiera tener una referencia de hora mas eficiente como la de un STRATUM 0, como podría aplicar la autenticación.
Quedo atento. Gracias.
Hola Alvaro.
1. El uso del tipo de red «Ponto a Punto» en ospf puede ser implementado en casos como dmvpn, o un tunneles punto a multipunto?
En que otros casos puede ser aplicado a demás de un enlace troncal de fo punto a punto entre dos dispositivos router?Saludos!
Hola Alvaro, saludos.
La pregunta 5. ¿Cuáles son los comandos que permiten evitar que recibamos solamente la red lógica 192.168.10.0/24?
Informa que la opción correcta es la 1), sin embargo tengo las siguientes dudas:
access-list 1 permit 192.168.10.0 0.0.0.255 —— ok
route-map filtro deny 10 ————————–ok
match ip address 1——————————-ok
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx—————— Debería estar una segunda secuencia con un «permit», por que de lo contrario estariamos negando todo, y solo queremos evitar la 192.168.10.0/24
router eigrp 1————————————-ok
distribute-list route-map filtro in—————-okLa respuesta correcta debería ser la opción 3, no? la cual si tiene una sentencia permit.
Saludos
consulta, el administrador del dispositivo rt o sw, puede generar un broadcast para llenar la tabla arp con la información de todos los vecinos?
Hola, Saludos!
1. Al bajar el delay del enlace, logramos incluir una segunda opción en la tabla de topología para alcanzar la red 192.168.10.0/24. Sin embargo (min 19:54), la tabla de topología dice que tiene «1 successors», no debería decir 2 successors?
2. Que significa la palabra «serno 219»
3. En el minuto 7:54, muestras la tabla de topología de R2:
P 192.168.10.0/24, 1 successors, FD is 28416
via 10.10.20.2 (30720/28160), FastEthernet1/0No entiendo por que en la primera linea menciona un FD de 28416, y en la segunda linea muestra métrica calculada con el valor de 30720;
¿Estos dos valores no deberían ser el mismo?Alvaro! Saludos.
Algunas inquietudes:
1. He visto la configuración del route distinguisher en el momento de implementar vrf. En que circunstancias se debe usar?. no lo usas en el ejemplo.
2. Entiendo que el nombre de la vrf tiene importancia local? o deben ser estrictamente iguales en ambos extremos de la red.
3. En ciertas circunstancias he visto que configuran una vrf en un extremo y en el otro extremo usan la vrf default, luego levantan adyacencias con el protocolo eigrp. Es decir, en R1 configuran la vrf visitas, luego con GRE over IPSEC llegan al otro extremo, R2, y usan la vrf default (no hay vrf), y levantan adyacencias eigrp a través del tunnel.
1. ¿Entonces No necesariamente se debe configurar vrf en ambos extremos, siempre y cuando el direccionamiento no coincidan con otra red?
2. ¿Sera una buena practica?
GraciasHola Alvaro,
Has tenido la necesidad de usar SPAN, ¿algún motivo especifico? ¿Qué tipo de tráfico maligno se puede analizar?
Pregunto, por que, de tener un trafico no deseado que proviene de alguna IP, podría rastrear y bloquear el puerto, o aplicar un portsecurity.
¿En que otra situación podría usar el SPAN?
gracias.
Hola Alvaro.
¿Cómo podría verificar cuanto es la memoria ram máxima que puedo colocar en el logging buffered, sin afectar la operatividad del dispositivo?
¿Esta memoria ram es específicamente para el buffer syslog, o es la memoria general del dispositivo?Saludos, gracias.
Saludos!
En cuanto al modulo de Internet Edge, los ISP entregan un servicio de Internet Nacional e Internet Internacional (Con diferencias en bw en algunos casos). ¿Qué diferencia hay, entre esos tipos de internet a nivel de equipos, configuración y servicios en el modulo de Internet Edge? Podrías explicarme por que esa división del internet que ofrecen los proveedores.
