AWS Certified Advanced Networking – Specialty

As you can inspect the AWS platform is growing so fast and the best way to dominate most of services on AWS is to prepare some official certification. Nevertheless, you need also to practising a lot of with the AWS console.

Screen Shot 2017-07-16 at 20.47.47

The next week I will begin the AWS Certified Advanced Networking Certification and I would like to know if somebody would be interested in share de videos of the course. I love the cloud guru website and there is available the course.

https://acloud.guru/learn/aws-certified-advanced-networking-specialty

Send me an email if you are interested:

networkingcontrol@gmail.com

Publicado en Uncategorized | Deja un comentario

VPC-AWS

A continuación introduciremos una de las secciones más importantes del examen AWS-CSAA que es VPC. Es de suma importacia controlar esta sección porque si no no podrás avanzar en el curso de la certificación de AWS Architect Associate.

Screen Shot 2017-05-19 at 20.56.26

Figura2. VPC

VPC (Virtual Private Cloud) nos permite interconectar a través de Internet el datacenter de nuestro cliente con os recursos alojados en el cloud de AWS.

Como podeis ver en la figura2 para crear un VPC deberemos de crear también los otros recursos de AWS. Siguiendo los pasos que os detallamos en cuestión de minutos podemos tener una VPC funcionando perfectamente:

  1. Create IGW

Primero se debe de crear el Internet Gateway que el que permite la conexión de AWS con Internet.

Screen Shot 2017-05-20 at 00.41.002. Create VPC

Screen Shot 2017-05-20 at 00.42.443. Create Subnet

Como podeis comprobar en la imagen debemos de asociar la subnet al VPC.

Screen Shot 2017-05-20 at 00.45.01.png4. Create Routing Table

Deberemos de añadir la ruta por defecto como veis en la imagen para tener salida a Internet. Fijaros que el status debe de ser “Active”

Screen Shot 2017-05-20 at 00.47.39

5. (Optional) Create NAT device

Ya por último si no asignamos ninguna EIP (Elastic IP) a los recursos que deban de tener salida a INET deberemos de usar el NAT device para permitir a los recursos de una subnet privada salir a Inet.

En este caso tenéis dos opciones usar Nat Gateway o Nat Instance, nosotros os aconsejamos NAT Gateway por seguridad.

Screen Shot 2017-05-20 at 00.51.29

Recordad que el uso de EIP tiene coste y se empieza a facturar nada más se asocia a alguna instancia. El resto de recursos no tiene coste.

Por último os resumimos las limitaciones que presenta una VPC con AWS.

Screen Shot 2017-05-20 at 00.23.14

 

Publicado en AWS | Etiquetado , , , , | Deja un comentario

AWS-Brief

Hoy después de un mes ausente preparando la certificación de AWS-Certified Solution Architect ya puedo decir que estoy certificado en AWS.

Screen Shot 2017-05-15 at 23.53.47

Figura1. AWS Scheme

Debido a la importancia que está tomando el cloud computing y sobretodo el cloud público de Amazon he pensado en preparar un sección exclusiva de AWS para que vayais familiarizándose con AWS. Una de las tareas que os recomiendo es cada mañana visitas el blog de AWS https://aws.amazon.com/blogs/aws/ dónde os sorprenderéis de como avanza… Cada día sale un servicio nuevo.

A continuación podeis comprobar como en 2016 ya empezaba a ser la certificación más valorada del mercado.

Screen Shot 2017-05-15 at 22.30.40

Para empezar la sección empezaremos por “Bastion Host” y NAT device.

Bastion Host: Dispositivo que permite centralizar los accesos a los recursos internos (generalmente instancias c2) haciendo una red más segura. Toma el rol de un Gateway RDP sin tener que guardar las credenciales de acceso en el bastion host. Éste dispositivo es esencial en cualquier plataforma para que las instancias no estén en la red pública.

NAT Device: Dispositivo que permite a las instancias de las redes privadas poder acceder a Internet. Hay que tener en cuenta que por defecto está habilitado Source Destination check; Deshabilitar para poder enviar y recibir tráfico cuando no sea el origen o destino el NAT device.

No dudéis en mandar vuestras dudas a networkingcontrol@gmail.com

Publicado en Uncategorized | Deja un comentario

CCIE Route Reflector

A continuación les detallamos el funcionamiento de la features de BGP conocida como Route Reflector.

Si recordais en el CCNP R&S ya se indicó que existe la regla de Split Horizon:

“When a BGP speaker receives an UPDATE message from an internal  peer, the receiving BGP speaker shall not re-distribute the routing  information contained in that UPDATE message to other internal peers. This is split horizon rule use within AS to prevent loops”

Pues para evitar no propagar las rutas a los vecinos iBGP aparece el route reflecto.

A continuación nos basaremos en el siguiente esquema de red:

En un inicio comprobaremos como R2 no recibe el prefijo 172.26-24-0/24 propagado por R5.

Ahora configuraremos el R3 como Route Reflecto:

Ahora ya aparece el prefijo 172.26.24.0/24

Nutshell:

  • Ignore the Split Horizon Rule.
  • Reduce the number of relationships between neighbors; instead of N *(N-1)/2 will be (N-1) adjacency.

 

Publicado en CCIE | Deja un comentario

CCIE-BGP advertise conditional

Hoy empezamos la semana con la “cool” feature que nos permite elegir a qué ISP anunciar nuestros prefijos. Puesto que en la mayoría de casos nos encontraremos con un deployement multi homed ésto nos permitirá que si un ISP tiene problemas (loop, problemas en backend…) dejaremos de anunciarle nuestros prefijos para anunciarlos por el otro ISP que es estable.

Topología:

En este caso siempre estamos anunciando los prefijos por el ISP-TELIANET porque el enlace es de 10Gbps; pero en caso de caída nos interesará propagar los prefijos por el ISP-INET_SOL.

Configuración:

Track del prefijo: 10.2.4.0/24
R1(config)#access-list 1 permit 10.2.4.0 0.0.0.255
R1(config)#route-map EXIST permit 10
R1(config-route-map)#match ip address 1
R1(config)#route-map EXIST permit 20
R1(config-route-map)#end

Router-map para decidir que prefijos anunciar

R1(config)#access-list 2 permit 10.10.10.0 0.0.0.255
R1(config)#access-list 3 permit 20.20.20.0 0.0.0.255
R1(config)#route-map ADVERTISE permit 10
R1(config-route-map)#match ip address 2-3
R1(config-route-map)#end

Creamos advertise-conditioned para ISP-TELIANET

R1#show running-config | s bgp
router bgp 65001
 synchronization
 bgp router-id 1.1.1.1
 bgp log-neighbor-changes
 redistribute connected
 redistribute static
 neighbor 10.1.2.2 remote-as 1299
 neighbor 10.1.2.2 advertise-map ADVERTISE exist-map EXIST
 neighbor 10.1.3.3 remote-as 10250
 no auto-summary

Verificación:

Comprobamos como R1 todavía ve el prefijo monitorizado 10.2.4.0/24 y por ello anuncia todos sus prefijos hacia el ISP con enlace 10Gbps.

Si ponemos en “shutdown” la interfaz

En la tabla de rutas BGP ya no aparecerá el prefijo con “track”

Por ello ahora hemos dejado de anunciar hacia el ISP- TELIANET.

No dudeis en enviarnos vuetsras dudas via mail: networkingcontrol@gmail.com

Publicado en CCIE | Deja un comentario

CCIE – BGP

Aprovechando mi preparación para el CCIE R&S voy a ir comentando las features más importantes relacionada con BGP.

1-Aggregate-address: similar al término summary pero a diferencia de ser usado con protocolos IGP se usa con BGP; por tanto para advertir rutas aggregate-address antes deberán de estar en la tabla de rutas de BGP. Para ello usaremos redistribution.

La sintaxis sería: aggregate-address address mask [as-set] [as-confed-set] [summary-only] [suppress-mapmap-name] [advertise-map map-name] [attribute-map map-name]

Screen Shot 2017-03-18 at 16.38.13.png

A continuación vamos a explicar mediante ejemplos el usao de cada uno de los atributos:

2-Origin: aporta info de como fue inyectada la ruta en BGP.

Posibles valores:

En el caso de rutas creadas con aggregate-address debemos de tener en cuenta:

  1. Si no usamos as-set la ruta agregada usará el valor de ORIGIN i
  2. Si usamos as-set y todos los prefijos que están siendo sumarizados usan ORIGIN i, entonces el valor de ORIGIN para la ruta aggregate será i
  3. Si usamos as-set y al menos un prefijo usa ORIGIN code ?; aggregate tendrá codigo ?

3-Route-reflector:permite enviar los updates IBGP a otros neighbors IBGP modificando la IBGP Split-Horizon rule.

¿Cómo puedo identificar el Route Reflector?

Si contiene cualquiera de estos comandos:

bgp cluster-id
neighbor route-reflector-client

Para saber a quién publica las rutas el Route-Reflector server:

Las únicas que no se advierten son hacia los Non-clients.

4-Route-dampening: usado para no propagar rutas hacia prefijos inestables.

Consiste en penalizar con “penalty value” por cada vez que flapee. En el caso de el valor de penalty ser superior al de supress limit; esta ruta será supressed.

Una vez la ruta se ha dejado de propagar, el valor de penalty debe ser reducido para ser inferior a reuse limit y así propagar el prefijo de nuevo. Half time es el encargado de reducir a la mitad el penalty value cada 15 minutos; de modo que si la ruta sigue estable cuando alcance un valor inferior a resuse limit aparecerá de nuevo la ruta en la tabla BGP.
Mientras que maximum suppress será el tiempo máximo que una ruta será eliminada.

5-Route-Backdoor: cuando la AD de eBGP es menor que la AD de un IGP protocol como OSPF o EIGRP.

En el siguiente ejemplo se observará:

Puesto que el AD por defecto de BGP es 20 y el de OSPF es 110; el R1 alcanzará el prefijo 99.0.0.0/8 con el AS Path: 101 102. Si queremos que se use el enlace OSPF deberíamos de modificar la AD de OSPF o en el caso de BGP usar el comando: network 99.0.0.0 backdoor. En caso de caer el enlace de OSPF seguirá alcanzando el prefijo por eBGP.

6-BGP Confederations: consiste en dividir un AS en sub-AS. De este modo varios routers que antes eran neighbor iBGP dentro de un AS ahora podrían pasar a ser eBGP por la separación con sub-AS.

7-BGP Route reflector: permite propagar prefijos aprendidos por iBGP a otros neighbors iBGP.

8-BGP Prepend-Regex Attribute:

Publicado en CCIE | Deja un comentario

Network Device Discovery tool

This week I have found out an awesome tool to discovery devices in a complex network.

This tool is known as NeDi and was created by the consultant Remo Rickli.

To proper work you only need to keep on the next steps:

  1. SNMP
    • SNMP on Devices RO mode
      •  snmp server-host nedisnmp ro
    • Modify file nedi.conf
      # NeDi 1.0.9 configuration file
      #============================================================================
      # Device Access
      #============================================================================
      # Set SNMP communities (preferred ones first).
      # If authentication protocol is set, it will be treated as v3
      #
      # name aprot apass pprot ppass
      ###########################################################################################
      # 10-9-2014 SNMP
      ###########################################################################################
      comm nedisnmp
  2.       Seedlist File
    • You don’t need to modify the file. By default is configured.

After previous settings you will can enjoy of features like vlans, broadcast traffic, topology…

Screen Shot 2017-02-24 at 20.01.00.png

 

Screen Shot 2017-02-24 at 20.10.37.png

For download software or inspect more about NeDi tool visit NeDi

At the end I would like to thank you to Remo Rickli for your support.

Publicado en Switching | Deja un comentario