domingo, 7 de agosto de 2016

Educación a distancia y educación técnica: La combinación ideal para los profesionales de la era digital

Desde sus inicios la educación a distancia se ha presentado como una alternativa viable para todo aquel individuo con ansias de conocimiento. Esta ha evolucionado con el tiempo, variando el método de intercambio de información entre el profesor y el alumno, desde cartas, audios y vídeos, hasta lo que hoy conocemos como los medios telemáticos, es decir, por medio de redes de telecomunicaciones de banda ancha y herramientas computacionales por medio de las cuales es posible acceder a archivos multimedia.

Por esto último, la educación a distancia se ha convertido en una modalidad de estudios que poco a poco ha ganado terreno frente a su contraparte presencial, principalmente por sus bondades con respecto a la facilidad de estudiar sin necesidad de movilizarse grandes distancias para llegar a un salón de clases. Un ejemplo de esto último son las cifras de la Universidad de Educación a Distancia, UNED, la cual en el año 2002 contaba con una matrícula de 100.000 estudiantes, mientras que hoy día cuenta con 260.079 estudiantes. Esto es ejemplo del éxito que ha obtenido esta modalidad de estudios dentro de un marco de conocimientos teóricos.

Sin embargo, los profesionales de hoy día no siempre están a la búsqueda de nuevos conocimientos teóricos sobre un área específica, sino de conocimientos técnicos especializados que lo ayuden a desenvolverse mejor en el ámbito laboral.

Este texto tiene la finalidad de plasmar ideas correspondientes al enfoque utilizado por diversas compañías globales, para difundir el conocimiento a sus estudiantes y certificarlos como administradores/usuarios de diversas tecnologías o temáticas específicas.

El proceso de aprendizaje, consiste en la comprensión de un tema de estudio, de tal forma que este nuevo conocimiento pueda ser expresado de manera verbal o escrita. Esto último, puede ser logrado bajo una metodología de transferencia de conocimientos entre el profesor y el alumno.

Este proceso se ve afectado en gran medida en la metodología de enseñanza de la educación a distancia, la cual cambia el enfoque vertical por uno horizontal, donde los estudiantes se vuelven los protagonistas del estudio al ser estos los que discuten, analizan, debaten y comparten información y conocimientos orientados por un profesor que guía el camino para obtener los nuevos conocimientos.



La modalidad de estudios a distancia es preferida en su mayoría, por una población de individuos adultos, trabajadores con bases de conocimientos anteriores. Es decir, profesionales que buscan satisfacer inquietudes, estar mejor informados, mejorar en el ámbito laboral, obtener títulos, entre otros.

Esta motivación no siempre se inclina hacia temas teóricos, como estudios de maestría o especializaciones, sino también a certificaciones que otorgan el reconocimiento de las habilidades del estudiante de un tema en específico por una determinada institución.

Las certificaciones se enfocan en un tema específico, enriqueciendo el conocimiento impartido por medio de talleres o simulaciones; a diferencia de una titulación la cual se enfoca en lo académico y consiste en una educación más equilibrada para ampliar la base de conocimiento del estudiante.

La educación a distancia, se convierte en una herramienta clave para los profesionales enfocados en obtener las mencionadas certificaciones, ya que en su gran mayoría se obtienen por medio de estudios a distancia, siendo el estudiante el principal responsable del ritmo a seguir para conseguir los nuevos conocimientos.

Los métodos de estudios varían en función del tema a estudiar, el material didáctico varía según la entidad certificadora. Como ejemplo de esto, podemos comparar los métodos de enseñanza utilizados por la asociación de ingenieros de telecomunicaciones cableadas (SCTE) por sus ciclas en inglés, y Cisco Systems.

Ambas entidades se encuentran dentro del marco de las telecomunicaciones, diferenciándose entre ellas en que la primera se enfoca en tecnologías de televisión por cable mientras que la última se enfoca en tecnologías de redes de datos.

La metodología utilizada para la distribución del conocimiento es muy similar entre ellas, sin embargo encuentran sutiles diferencias en su modelo de aprendizaje. Cabe destacar, que pese a que ambas manejan un esquema de enseñanza presencial, nos enfocaremos en el método de enseñanza a distancia utilizado.

La SCTE, se enfoca en impartir el conocimiento por medio de cursos virtuales y publicaciones bibliográficas propias, o de terceros que manejen la temática desde un punto de vista técnico. Por su parte Cisco Systems ofrece una amplia gama de biografía propia, la cual es reforzada por material multimedia como paquetes de simuladores, entre otros.

Se puede hacer énfasis en la sutil diferencia del enfoque de enseñanza en el que hacen referencia estas dos entidades, la SCTE se apoya más en un en una experiencia de aula virtual mientras que Cisco Systems se enfoca en un esquema de libertad absoluta para el estudiante.

Se basa en esta diferencia para discriminar los modelos de aprendizaje utilizados, podemos hacer referencia al modelo de Egan para la SCTE, que aún considerando la importancia del material, asigna mayor trascendencia a la comunicación bidireccional. Por su parte, se puede concluir que Cisco Systems se basa en el modelo de Skinner, ya que se enfatiza en el diseño y elaboración del material de enseñanza estructurándolo como una serie de programas informativos.

Por lo anterior, se infiere inferir que el método de educación a distancia es una clave para aquellos profesionales que buscan conocimientos técnicos ya que abre las puertas a métodos de enseñanza de diversas índoles como los mencionados.

Del texto se concluye que la educación a distancia es un método revolucionario de enseñanza a masas de estudiantes sedientos de conocimientos teóricos y técnicos, ya que con la ayuda de las nuevas tecnologías, permite el acceso a la información de forma sencilla y rápida.

Se hace referencia al éxito de este sistema de enseñanza, pese a la diferencia en el método de aprendizaje implementado por las entidades que imparten los conocimientos.

Asimismo, se puede pensar que en un futuro la educación deje de ser la excepción y se convierta en la regla, creando sistemas de aprendizaje híbridos, combinando las bondades de las metodologías presenciales y a distancia, buscando la optimización del aprendizaje del alumnado.

Se redactó este ensayo hace un par de años para una clase de postgrado, y parece pertinente compartir este texto con todos aquellos profesionales o estudiantes interesados en iniciar un estudio a distancia, ya sea un postgrado o certificación de alguna marca. ¡Éxitos!

Referencias:

  • Universidad Autónoma Metropolitana. (1995). Una introducción a las tecnologías de educación a distancia. Xochimilco.
  • Kaplún, G. (2001). El currículum oculto de las nuevas tecnologías.
  • García Aretio, L. (2001). Educación a distancia. De la teoría a la práctica. Barcelona: Ariel Educación. Cáp. II.
  • García Aretio, L. (2001). Educación a distancia. De la teoría a la práctica. Barcelona: Ariel Educación. Cáp. VI.
  • Pereira, L.M. (SF). Estudio comparado de la educación superior a distancia en iberoamérica.
  • http://www.cisco.com/web/learning/training-index.html (2015)
  • http://www.scte.org/resources/resources.aspx (2015)
  • http://www.ehowenespanol.com/diferencia-certificado-titulo-universitario-info_361227/ (2015)
  • http://portal.uned.es/portal/page?_pageid=93,510355&_dad=portal&_schema=PORTAL (2015)

domingo, 24 de julio de 2016

Conexión VPN IPsec entre ASAs con direccionamiento IP dinamico y estatico

Una Red Privada Virtual (VPN) es una tecnología de redes que cumple con la finalidad de permitir acceso a una red LAN (Local Área Network) desde Internet de forma segura. Las organizaciones utilizan esta tecnología para permitir el acceso remoto de tus trabajadores a la red interna de la organización desde cualquier parte del mundo, a esto último se le conoce como teletrabajo. Existen varios tipos de tecnologías VPN, sin embargo haremos referencia a las IPsec VPN.

La tecnología VPN ofrece la siguiente protección para el tráfico:
  • Confidencialidad: Utiliza el encriptamiento de trafico para asegurar que nadie tenga acceso al contenido de la información transmitida.
  • Integridad: Se asegura de que la información no sea modificada durante su tránsito.
  • Autenticación: Gracias a un intercambio de contraseñas, previamente conocidas por ambos miembros de la conversación, la tecnología se asegura de que los participantes de la conversación sean quienes dicen ser.
Para prestar los servicios anteriormente mencionados, IPsec utiliza una serie de protocolos, uno de ellos es el Internet Key Exchange (IKE), el cual tiene la función de realizar el encriptamiento entre los miembros autenticados de la conversación usando llaves de encriptamiento y establecer el túnel IPsec. Otro protocolo que utiliza IPsec es el Authentication Header (AH) Protocol o el Encapsulating Security Payload (ESP) Protocol, ambos AH y ESP ofrecen servicios de autenticación e integridad, los cuales se aseguran de que los miembros de la conversación IPsec sean quienes dicen ser y de que los datos no sean modificados durante su transmisión. 

El túnel IPsec VPN se establece en dos fases, estas son:
  • Fase 1: Durante esta fase los miembros de la conversación intercambian parámetros para establecer la sesión de comunicación segura. Este grupo de parámetros es llamada Asociación de Seguridad (SA)
  • Fase 2: Ocurre dentro de la protección de un túnel IKE de fase 1, y establece el tunel IKE de fase 2 o también llamado túnel IPsec. 

IMAGEN 1: CONEXIÓN VPN IPsec


Los pasos para el establecimiento de una VPN IPsec son los siguientes:
  1. El PC-1 envía trafico destinado a la PC-2, el ASA-1 analiza el tráfico e inicia el proceso de creación del túnel.
  2. Ambos ASAs negocian una Asociación de Seguridad (SA) utilizada para formar un túnel IKE de fase 1, también conocido como ISAKMP.
  3. Dentro de la protección del túnel IKE de fase 1, se negocia y activa un túnel IPsec IKE de fase 2, también conocido como túnel IPsec.
  4. Después de que el túnel IPSec haya sido establecido, el trafico analizado fluye a través de este.
  5. Tras pasar un determinado tiempo sin recibir tráfico a cursar por el túnel establecido, el túnel se desvanece.

Este laboratorio fue desarrollado con dispositivos ASA 5505, la topología utilizada fue la siguiente:

IMAGEN 2: TOPOLOGÍA USADA PARA EL LABORATORIO VPN


Configuraciones:


- ASA-1 -
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 11.11.11.2 255.255.255.0
!
!
interface Ethernet0/0
 switchport access vlan 2
!
!
interface Ethernet0/7
!
!
access-list 100 extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
!
global (outside) 1 interface
nat (inside) 0 access-list 100
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 11.11.11.1 1
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map cisco 1 set transform-set myset
crypto map dyn-map 20 ipsec-isakmp dynamic cisco
crypto map dyn-map interface outside
!
crypto isakmp enable outside
crypto isakmp policy 20
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 3600
!
end


- ASA-2 -
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address dhcp
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/7
!
access-list 101 extended permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
!
global (outside) 1 interface
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 10.10.10.1 1
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto map newmap 10 match address 101
crypto map newmap 10 set peer 11.11.11.2
crypto map newmap 10 set transform-set myset
crypto map newmap interface outside
!
crypto isakmp enable outside
crypto isakmp key **** address 11.11.11.2 netmask 255.255.255.255
crypto isakmp policy 10
 authentication pre-share
 encryption des
 hash md5
 group 2
 lifetime 3600
!
end

Es importante destacar que las configuraciones realizadas en el ASA-2 (IP dinámica) corresponde a la configuración regular de un Firewall para una VPN IPsec Site-to-Site. El cambio en las configuraciones ocurre en el Firewall principal (ASA-1) el cual utiliza un cryptomap dinámico, esto influye en el sentido en el que se genera el túnel; utilizando esta configuración, el túnel solo podrá ser creado cuando se origine tráfico desde el host remoto (ASA-2) hasta el host principal (ASA-1), y una vez establecido el túnel IPsec, se permitirá el trafico bidireccional de la información.

Espero que esta información te sirva de ayuda para solventar problemas en conexiones VPN con direccionamiento IP dinámico.

¡Éxitos!

Referencias: 
  • CCNA Security Official Exam Certification Gruide, cisco press, 2008
  • http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/63876-pix-dyntostat-ipsec-nat.html
  • http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118652-configure-asa-00.html

domingo, 17 de julio de 2016

Usando ARP Poisoning para capturar trafico en la red

El ARP Poisoning consiste en envenenar las tablas MAC de un host de la red con el objetivo de engañarlo y capturar trafico generado por este. Es importante destacar que, generalmente, este tipo de metodologías de trabajo son adoptadas por "Crackers" o "Black hat hackers" para robar información en la red. Sin embargo, en este blog hacemos énfasis en que esta información sea utilizada para brindar seguridad a las organizaciones y realizar labores de auditoria de trafico de red.

Para este laboratorio de prueba de ARP Poisoning, contamos con los programas:

  • Cain&Abel
  • Wireshark
  • VMware

Asimismo, la topologia de trabajo para este laboratorio es la siguiente:

IMAGEN 1: Topologia de red utilizada


En este laboratorio hacemos uso de VMware para virtualizar las PCs con Windows XP y 7. El objetivo principal es poder utilizar la PC Windows 7 para envenenar las tablar ARP de las PCs con Windows 10 y XP, de tal forma que podamos capturar el trafico de red que intercambian por medio del programa Wireshark.

A continuación se presentan la información de red de las PCs:

IMAGEN 2: Ipconfig/all en PC Windows 10


IMAGEN 3: Ipconfig/all en PC Windows XP


IMAGEN 4: Ipconfig/all en PC Windows 7


Como se puede apreciar en las imágenes 2, 3 y 4, todas las PCs están dentro del mismo segmento de red 192.168.115.0/24.

A continuación se presentan las tablas ARP de la PC de Windws 10, antes de iniciar el proceso de envenenamiento, la cual sera la victima en este laboratorio:


IMAGEN 5: Arp -a en PC Windows 10 antes del envenenamiento


Seguidamente nos dirigimos a la PC Windows 7 e inicializamos nuestro programa Cain&Abel. La configuración del programa para realizar este ataque es bastante sencilla, se debe iniciar el Sniffer del programa para luego proceder a la selección de hosts a atacar, para realizar esto se deben seguir los siguientes pasos:

  1. Hacemos click en el botón que tiene forma de una interfaz de red y seleccionar la interfaz donde realizaremos el ataque.
  2. Click ok para activar el sniffer
  3. Ubicados en la pestaña Sniffer, hacemos click en el botón (+) para generar una tabla con los hosts encontrados
  4. Hacemos click en la pestaña ARP, la cual está ubicada en el fondo de la pantalla
  5. En esta nueva ventana, hacemos click en el botón (+) para que aparezca una ventana de selección de hosts.
  6. Del lado izquierdo, veremos los hosts de la red, hacemos click en el host que quieras espiar (PC Windows 10 - 192.168.115.100). Una vez realizado esto, en la lista del lado derecho, aparecerá la lista de hosts de la red sin el host que seleccionamos.
  7. En la lista de lado derecho, seleccionamos la IP de host de destino (PC Windows XP - 192.168.115.50) y presionamos OK.
  8. Para finalizar el proceso, debemos hacer click en el botón de símbolo nuclear en la barra de herramientas. Esto activará la función de ARP Poisoning del programa.

Es importante destacar que este tipo de acciones corresponden a un ataque de "Hombre en el Medio" o MITM "Man In The Middle" por lo que este tipo de practicas se recomiendan para casos relacionados con seguridad de la información o auditoria de sistemas, y no se apoya el uso de estos conocimientos para fines antiéticos.


IMAGEN 6: Cain&Abel en proceso de envenenamiento ARP


Una vez realizado el proceso anterior, la PC Windows 7, recibirá todo el trafico que curse entre las PCs con Windows XP y Windows 10, gracias al envenenamiento ARP. Por lo que se procede a utilizar el programa Wireshark para capturar el trafico de la red. En la siguiente imagen podemos apreciar un extracto de la captura de trafico ICMP (Ping).


IMAGEN 7: Captura de trafico ICMP entre PCs Windows XP y 10 en PC atacante


Finalmente, se presenta la tabla ARP en la PC Windows 10 envenenada, observe que ahora las direcciones IP 192.168.115.50 (PC con Windows XP) y 192.168.115.130 (PC con Windows 7) ahora poseen la misma dirección MAC (00-0c-29-f1-4f-71).


IMAGEN 8: Arp -a en PC Windows 10 después del envenenamiento

Espero que esta información pueda serte útil

¡Éxitos!

Referencia: Practical Packet Analysis: Using wireshark to solve real-world network problems - Chris Sanders, 2007.

miércoles, 13 de julio de 2016

¿Que es una EDT?

En la actualidad la gerencia de proyectos es considerada como una de las áreas de conocimientos imprescindibles para la próxima década.

Es por esto que es imprescindible que todos los lideres dentro de las organizaciones conozcan las bases de los conceptos de esta carrera. Uno de ellos es la Estructura de Desglose del Trabajo o "EDT" la cual invierte tiempo para generar control y eficacia en el trabajo por venir.

A continuación una breve explicación de este importante proceso de la gestión de proyectos:

Según el PMBOK (Project Management Book of Knowledge) en su 4ta edición, "es un proceso que consiste en subdividir los entregables y el trabajo de un proyecto en componentes mas pequeños y mas fáciles de dirigir".

Es decir, una vez que hayamos definido cual es el objetivo del proyecto, debemos desglosarlos en paquetes de trabajos mas pequeños, esto con el objetivo de controlar mejor el trabajo y reducir el nivel de incertidumbre.



IMAGEN 1: Entradas, herramientas y salidas del proceso de elaboración de la EDT


La imagen 1 presenta la descripción del proceso de una EDT; es importante destacar que las entradas del proceso, corresponden al alcance del proyecto, la documentación de los requerimientos del proyecto y los activos de la organización. Al analizar estos componentes y desglosarlos, se obtiene obtener: 1) La EDT, 2) El diccionario de la EDT, 3) La linea base del alcance y 4) Actualizaciones en la documentación del proyecto.

Es importante destacar que cuando se indica desglosar el trabajo, se hace referencia a los productos o entregables del proyecto, los cuales son resultado del esfuerzo realizado, y no son el esfuerzo en si mismo. Es decir, la EDT no esta compuesta por las actividades del proyecto per se, sino por los entregables generados por dichas actividades.

A continuación un ejemplo de una EDT

IMAGEN 2: Ejemplo de una EDT


Se observa en el ejemplo anterior como el proyecto puede ser dividido en fases, entregables, o incluso subproyectos; donde posteriormente este nivel se subdivide en los entregables generados en dichas fases, el proceso puede continuar hasta finalmente llegar al nivel de "los paquetes de trabajo" los cuales se refieren al entregable de la actividad.

A continuación otro ejemplo de una EDT, considerando la creación de un software:

IMAGEN 3: Ejemplo de una EDT por fases


Es importante destacar que toda EDT debe estar acompañada por un diccionario, la cual explica el alcance de cada fase, entregable y paquete de trabajo ubicado en la EDT (ver imagen 2 y 3).

Para concluir, este tema es apasionante y extenso, existe mucha literatura al respecto pero el PMBOK es un buen punto de comienzo para todos aquellos interesados en la gerencia de proyectos. Adicionalmente, para el momento de escritura, la certificación de PMP es una de las certificaciones (no técnicas) mejor pagadas del mundo, esto resalta la importancia de dominar los conceptos y estrategias de la carrera de gerencia de proyectos.

Espero que esta breve introducción te sea de ayuda en tu día a día

¡Éxitos!

Referencia: PMBOK 4ta edición, 2008.

sábado, 9 de abril de 2016

Solventando Problemas de envío de Correos al utilizar dispositivos ASA

El protocolo SMTP (Simple mail Transfer Protocol), definido en el RFC 821 y cuya extensión se define en el RFC 1869, transfiere mensajes de correo entre sistemas y proporciona notificaciones concernientes al correo entrante.


Para que el protocolo pueda cumplir su tarea, diversos comandos deben intercambiarse entre los miembros de la conversación, estos comandos pueden ser:

  • DATA (Comienza con la composición del mensaje)
  • EXPN (Devuelve los nombres contenidos en la lista de correo especificada)
  • HELO (Devuelve la identidad del servidor de correo)
  • HELP (Devuelve la información sobre el comando especificado)
  • MAIL FROM (Inicia una sesión de correo desde el host especificado)
  • NOOP (No se realiza ninguna acción, salvo el envío de una confirmación por parte del servidor)
  • QUIT (Termina la sesión de Correo)
  • RCPT TO (Designa quien recibe el correo)
  • RSET (Reinicia la conexión de correo)
  • SAML FROM (Envía correo al terminal de usuario y buzón de correo especificado)
  • SEND FROM (Envía correo a un terminal de usuario)
  • SOML FROM (Envía correo a un terminal de usuario o buzón de correo)
  • TURN (Conmuta los papeles de receptor y transmisor)
  • VRFY (Verifica la identidad de un usuario) 


Algunos de los síntomas del problema en cuestion, pueden ser:
  • No puedes enviar correos electronicos con archivos adjuntos
  • no puedes establecer sesión telnet con el servidor Exchange en el puerto 25
  • Cuando envias un comando EHLO al servidor Exchange, recibes una respuesta "Comando irreconocible" o una respuesta "OK"
  • No puedes enviar o recivir correos de dominios especificos
  • Problemas de autenticacion con el protocolo POP3
  • Problemas con correos electronicos duplicados siendo enviados
  • Recibes mensajes SMTP entrantes duplicados
  • Clientes Outlook o Outlook Express reportan el error 0x800CCC79 cuando intentan enviar un correo electronico


El problema se presenta debido a que, en sus primeras versiones, la opción de Mailguard en un ASA o PIX, solo permite siete comandos de los utilizados por SMTP, bloqueando el resto, estos son:

  1. HELO
  2. MAIL
  3. RCPT
  4. DATA
  5. RSET
  6. NOOP
  7. QUIT

Otros comandos no son enviados al servidor de correo, sin embargo responden con un mensaje de "OK", esto con el objetivo de no permitirle conocer a un atacante que estos comandos estaban bloqueados.


FIGURA 1: ARQUITECTURA DE RED



En versiones siguientes del IOS (5.1 en adelante), el comando fixup protocol smtp cambia los caracteres en la bandera SMTP por asteriscos. 

Para solventar el problema, ingresa el siguiente comando en el modo de configuración global de tu ASA o PIX no fixup protocol smtp 25. Esto evitara el filtrado de comandos y permitirá el flujo de trafico SMTP.

Espero que esta información los pueda ayudar en sus labores. ¡Éxitos!

Referencias:

[1] https://support.microsoft.com/en-us/kb/320027
[2] Guia Completa de protocolos de telecomunicaciones, McGraw-Hill)
[3] https://tools.ietf.org/html/rfc821
[4] https://tools.ietf.org/html/rfc1869

viernes, 25 de marzo de 2016

Configurando PPPoE en Router Cisco

El protocolo PPPoE (Point-to-Point Protocol over Ethernet) es un protocolo de red utilizado principalmente en enlaces de banda anca con proveedores de servicios. PPPoE fue creado con el objetivo de proveer control de acceso y funcionalidades de cobro de una forma similar a los servicios Dial-Up utilizando PPP. Es importante destacar que, en muchas tecnologías de acceso, una de las soluciones mas eficientes, en relación a su costo, es la tecnológica Ethernet.

PPPoE  cuenta con 2 etapas o fases, siendo estas la etapa "Discovery" o descubrimiento y "Session" o Sesión.

Al momento de realizar una conexión, utilizando el protocolo PPPoE, primero se pasa por la fase de Discovery, la cual identifica la dirección MAC del socio( Proveedor de servicio) y establece la sesión PPPoE. Durante este proceso, el cliente (Router) descubre el concentrador de acceso (Proveedor de servicio). Una vez que la fase Discovery se completa, tanto el cliente como el concentrador cuentan con la información necesaria para establecer la conexión punto a punto sobre ethernet. Una vez que la sesión PPP sea establecida, tanto el cliente como el concentrador deben asignar recursos para una interfaz PPP virtual.

En esta oportunidad vamos a utilizar el simulador GNS3 para configurar un router con el cual estableceremos una conexión PPPoE contra un proveedor de Servicios de Internet.


FIGURA 1: Topologia de Red

Inicialmente entramos al modo de usuario privilegiado en el Router utilizando el comando "Enable" y posteriormente al modo de Configuración Global, por medio del comando "Configure Terminal". Seguidamente, entramos al modo de configuración de interfaz, en este caso la interfaz e0/0, la cual esta conectada directamente al Proveedor de servicios de Internet, para realizar esto utilizaremos el comando "Interface e0/0"



FIGURA 2: Config termnal & Interface e0/0

A continuación, configuraremos la interfaz para utilizar el protocolo PPPoE, para realizar esto utilizaremos el comando "no ip address" con el cual removeremos la dirección IP dela interfaz, luego haremos uso del comando "pppoe enable group global" con el cual habilitaremos una sesión PPPoE en esta interfaz; como ultimo paso, utilizaremos el comando "pppoe-client dial-pool-number (1-255)" esto le indicará al router que configure un cliente y especifique un perfil de funcionalidad de enrutamiento de marcado bajo demanda (dial-on-demand Routing), este perfil puede ser configurado con un numero entre 1 y 255. Finalmente, aplicamos el comando "no shutdown" para habilitar la interfaz. el proceso se describe en la siguiente imagen.



FIGURA 3: Habilitando la Interfaz

Tras volver al modo de configuración global, utilizaremos el comando "Interface dialer (0-255)" el cual define un grupo de marcado rotatorio y adicionalmente entra en el modo de configuración de interfaz, en este caso es la interfaz Dialer 1. Una vez que estemos en el modo de configuración de la interfaz Dialer 1, utilizaremos el comando "dialer pool (1-255)" el cual especifica el grupo de marcado que la interfaz utiliza para conectar a una subred de destino especifica.

Seguidamente utilizaremos el comando "encapsulation ppp" con el cual especificamos al protocolo ppp como el tipo de encapsulacion a utilizar; a continuación, se utiliza el comando "mtu 1492" configura el tamaño de los MTU al valor indicado.

Este ultimo comando, "mtu 1492", es importante debido a que, se agregan 8 Bytes debido a la cabecera PPPoE. De tal forma que, considerando este tamaño extra, es requerido indicarle al router que utilice el tamaño 1492. Si este comando no es ingresado, tendrás diversos problemas durante la navegación de Internet, algunas paginas abrirán mientras que otras no.

En el mismo orden de ideas, este ultimo problema mencionado requiere de una configuración adicional para poder evitarse por completo, es requerido ingresar el comando "ip tcp adjust-mss 1452" en la interfaz LAN utilizada; esto debido a que PPP utiliza mas bits en la cabecera.

Finalmente, es importante indicar el usuario y contraseña que nos indica el proveedor de servicios, para esto debemos utilizar el método de autenticacion indicado por el proveedor; en este caso utilizaremos CHAP. El comando para indicar el nombre de usuario, utilizando CHAP, es el siguiente "ppp chap hostname X"; y el comando para indicar la contraseña es el siguiente "ppp chap password (0-7) xxxx" con esto indicamos que el tipo de encriptamiento utilizado para la contraseña, siendo 0 texto plano.



FIGURA 4: Creando la interfaz Dialer 1

Adicionalmente, podemos configurar los siguientes comandos (todos en el modo de configuracion de interfaz Dialer 1):

  • ppp ipcp dns request accept
  • ppp ipcp route default
  • Ip address negotiated
Con estos comandos le indicamos al router que negocie el servidor DNS, la ruta estática a utilizar y la dirección IP a utilizar en la interfaz.Esto ultimo es importante si estamos en un ambiente donde no tenemos IPs publicas asignadas, y estas ultimas cambian regularmente.

Un extracto del comando "Show running-config" de nuestro router nos indica la configuración realizada en los pasos anteriores



FIGURA 5: Extracto del comando Show Running-Config

Espero que esta pequeña guía pueda ayudarlos durante sus labores. ¡Éxitos!


Referencias:

  1. http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/bbdsl/configuration/xe-3s/bba-xe-3s-book/bba-pppoe-client-xe.html
  2. https://tools.ietf.org/html/rfc2516
  3. http://www.dslreports.com/faq/8222
  4. CCNA 3 and 4 Companion Guide Third Edition