En este post vamos a ver como configurar una VPN IPSEC de acceso remoto en un firewall Fortigate, con este tipo de VPN usando el protocolo IPSec nos podemos conectar desde cualquier equipo con conexión a Internet hacia nuestra red interna, dónde todo el tráfico irá encriptado.

• Lo primero que vamos a realizar será, crear los usuarios locales que accederán a través de la VPN:

• Para una correcta administración, los usuarios que nos hemos creado anteriormente los vamos a anidar en un grupo:

• Una vez creados los usuarios y grupos, vamos a crearnos el túnel IPSec, para ello, accedemos a VPN > Túneles Ipsec > Crear nuevo > IPsec Tunnel:

• Sobre Configuración de VPN, le indicamos un nombre y seleccionamos Acceso remoto, Siguiente:

• Sobre Autenticación, le indicamos la interface de entrada, el método de autenticación por llave compartida y el grupo de usuario, este grupo lo eliminaremos de la configuración de las fases más tarde, ya que las políticas de acceso irán configuradas con grupos y no sería necesario, Siguiente:

• Sobre Política y Enrutamiento, vamos a configurar esta política, que más tarde vamos a eliminar, ya que iremos aplicando políticas más granulares y restrictivas, habilitamos el Split Tunnel, esto hará que los usuarios que se conecten a la VPN, tengan la salida a Internet por su propia conexión y no por la nuestra, Siguiente:

• Sobre Opciones de cliente, le indicamos que guarde la contraseña, y habilitamos el Keep Alive, Crear:

• Aquí nos indica todo lo que hemos configurado, damos a Mostrar la lista de túnel:

• Vemos el túnel IPsec que nos ha creado, damos a Editar:

• Convertimos a túnel personalizado:

• Para la parte de Red, configuramos estos parámetros:

• Para la parte de Autenticación, configuramos lo siguiente:

• Para la propuesta de la fase 1, configuramos estos parámetros:

• Para XAUTH, aquí es donde quitamos el grupo que configuramos al crear el túnel, y para el Grupo de Usuarios, le indicamos que los herede de las políticas:

• Para los Selectores de fase 2, configuramos estos parámetros, damos a OK:

• Aquí tenemos ya el túnel IPsec configurado de modo personalizado:

• Antes de seguir, vamos a explicar, estos dos objetos que se han creado al crear la VPN IPsec.
• Uno de ellos es, ipsecra_range, este objeto es para asignar las direcciones IPs de los equipos que se conecten a nuestra VPN PIsec de acceso remoto:

• El otro es, ipsecra_split, este objeto es un grupo de direcciones que actúa como una «lista blanca» de destinos, su función principal es decirle al cliente VPN (FortiClient) qué tráfico debe enviar obligatoriamente a través del túnel y cuál debe ignorar para que salga por su conexión local a Internet.
• Cuando habilitamos el Split Tunneling (Túnel Dividido), el comportamiento es el siguiente:
• Si el destino está en el objeto ipsecra_split, el FortiClient enruta ese tráfico por la VPN.
• Si el destino NO está ahí, el FortiClient lo envía por la puerta de enlace predeterminada del usuario (su internet doméstico).

• También podemos ver, que en la interface de red que le indicamos al túnel VPN IPsec, nos ha creado esta interface virtual:

• Para terminar de configurar la VPN IPsec de acceso remoto, debemos de crear las reglas o políticas para que los equipos que se conecten a través de la VPN, tengan acceso a las redes internas configuradas en nuestro firewall, voy a mostrar sólo una de ellas ya que para las demás sería exactamente igual, editamos la regla que se nos creó al crear el túnel IPsec:

• Con esto ya tendríamos configurada y operativa nuestra VPN IPsec de acceso remoto, ahora desde cualquier equipo con conexión a internet, le instalaremos el Forticlient y configuraremos los parámetros de la VPN IPsec para conectarnos desde cualquier lugar del mundo a las redes internas de nuestra infraestructura, dónde todo el tráfico irá encriptado mediante IPsec:

• Como podemos ver ya estamos conectados y nos está sirviendo una dirección IP del rango que habíamos configurado:

• Aquí vemos el túnel levantado:

• Desde el Monitor IPsec de nuestro Fortigate podemos ver los usuarios conectados a través de la VPN:

• Desde la opción VPN > VPN Location Map podemos ver desde que parte del mundo se están conectando los usuarios que hemos creado y configurado para nuestra VPN IPsec de acceso remoto:

Saludos y espero que os resulte de ayuda

La entrada Configuración Fortigate – VPN IPSEC de Acceso Remoto se publicó primero en RAGASYS SISTEMAS.

En este post veremos cómo configurar VLANs en las redes de Proxmox VE 9.0

• Para empezar y ponernos en contexto, vamos a configurar las VLANs del mismo modo que lo hacemos en una infraestructura con VMware vSphere, es decir, en un virtual switch, configuramos un port group del tipo VMkernel para la interface de management asignándole una dirección IP y una etiqueta o ID de VLAN, y en ese mismo virtual switch vamos configurando nuevos port group del tipo máquina virtual para cada VLAN asignándole su etiqueta o ID de VLAN que corresponda, lo mismo haremos en Proxmox, eso sí, con sus particularidades, pero la idea sería la misma:

• Estas serían las VLANs que tenemos configuradas en nuestra infraestructura, concretamente en un router Mikrotik, VLAN_GESTION ID 99, VLAN_INGENIERIA ID 10, VLAN_CONTABILIDAD ID 20, VLAN_VENTAS ID 30:

• En nuestro servidor proxmox, tenemos configurado un bond o NIC Teaming con dos interfaces de red con la siguiente configuración:

auto bond0

iface bond0 inet manual

bond-slaves ens192 ens224

bond-miimon 100

bond-mode balance-rr

auto vmbr0

iface vmbr0 inet static

address 192.168.99.100/24

gateway 192.168.99.1

bridge-ports bond0

bridge-stp off

bridge-fd 0

• Ahora para configurar las VLANs, este sería el plateamiento:
• El nodo de Proxmox (management) con su IP en la VLAN 99.
• Las VMs/Contenedores LXCs que salgan por el mismo puerto trunk, cada uno en su propia VLAN (10, 20, 30).
• Esta sería la configuración:

auto bond0

iface bond0 inet manual

bond-slaves ens192 ens224

bond-miimon 100

bond-mode balance-rr

auto vmbr0

iface vmbr0 inet manual

bridge-ports bond0

bridge-stp off

bridge-fd 0

auto vmbr0.99

iface vmbr0.99 inet static

address 192.168.99.100/24

gateway 192.168.99.1

• Si accedemos a la interface gráfica, así nos quedaría:

• Con esto, ya tendríamos configurado el acceso a nuestro Proxmox desde la VLAN de GESTION, para la configuración de las VMs/Contenedores LXCs elegiremos el bridge vmbr0, en el campo VLAN Tag, colocaremos el número de VLAN (10, 20, 30), así Proxmox insertará el tag VLAN cuando el tráfico salga por vmbr0 → bond0 hacia el switch trunk:

• Este sería el resumen de todo lo que hemos configurado:
• El nodo Proxmox usa la VLAN 99 → vmbr0.99
• Una VM1 con IP en VLAN 10 → asignamos vmbr0 como interfaz y VLAN Tag = 10
• Una VM2 con IP en VLAN 20 → asignamos vmbr0 como interfaz y VLAN Tag = 20
• Una VM3 con IP en VLAN 30 → asignamos vmbr0 como interfaz y VLAN Tag = 30
• El switch físico, debe tener el puerto donde está Proxmox en modo trunk/tagged con VLANs 10, 20, 30 y 99 permitidas.
• La VLAN 99 es la que usará el propio Proxmox para management
• Proxmox se gestiona en la VLAN 99
• Las VMs/Contenedores LXCs pueden usar cualquier VLAN disponible en el trunk, solo con asignar el tag correspondiente en la GUI

Saludos y espero que os resulte de ayuda

La entrada Configuración de VLANs en redes Proxmox VE 9.0 se publicó primero en RAGASYS SISTEMAS.

En este post vamos a ver como configurar las interfaces virtuales para administración en un cluster HA con dispositivos Fortigate, en un post anterior vimos como configurar interfaces dedicadas de management utilizando un puerto físico del dispositivo, en muchas ocasiones, podemos encontrarnos con dispositivos Fortigates con pocas interfaces físicas, y si queremos un puerto dedicado para administración, entonces lo mejor es configurar estas interfaces virtuales, utilizando un puerto físico que ya tenemos en uso.

• Lo primero que tenemos que hacer es acceder a System > HA > Fortigate Primario > Editar y verificar que Management Interface Reservation está deshabilitado en nuestro cluster:

• Para configurar las interfaces virtuales debemos de acceder por consola:

• Ejecutamos el comando system config interface y editamos el puerto 10 con edit port10:

• Le hacemos un get y cómo podemos ver tenemos la opción de configurar el management-ip, esta IP virtual no se va a sincronizar entre los dispositivos del cluster:

• Ahora con el comando set management-ip 192.168.14.225 255.255.255.0 le vamos a asignar al dispositivo con el rol primario del cluster, una dirección IP virtual que utilizaremos para la gestión y administración del dispositivo:

• Si le hacemos un get podemos ver que ya tiene la IP virtual configurada:

• Con end salimos y guardamos los cambios:

• Ahora ya podemos acceder a través de la IP de management virtual sobre el Fortigate01:

• Ahora vamos a configurar la interface de management virtual del Fortigate que tiene el rol de secundario, para ello nos abrimos una consola CLI y ejecutamos el comando execute ha manage 0 admin para acceder al dispositivo con el rol de secundario:

• Ejecutamos el comando system config interface y editamos el puerto 10 con edit port10:

• Le hacemos un get y cómo podemos ver tenemos la opción de configurar el management-ip, esta IP virtual no se va a sincronizar entre los dispositivos del cluster:

• Ahora con el comando set management-ip 192.168.14.226 255.255.255.0 le vamos a asignar al dispositivo con el rol secundario del cluster, una dirección IP virtual que utilizaremos para la gestión y administración del dispositivo:

• Si le hacemos un get podemos ver que ya tiene la IP virtual configurada:

• Con end salimos y guardamos los cambios:

• Ahora ya podemos acceder a través de la IP de management virtual sobre el Fortigate02:

Saludos y espero que os sea de ayuda

La entrada Fortigate – HA – Interfaces Virtuales Para Management se publicó primero en RAGASYS SISTEMAS.

En este post vamos a ver como configurar dos Firewall Fortigate en HA (Alta Disponibilidad) en modo Activo-Activo:

• Vamos a utilizar dos Interfaces de cada dispositivo para HA para vincularlos y sincronizarlos.
• En HA uno de los Fortigate estará como primario y éste sincronizará su información con el otro Fortigate que será el secundario.
• El link para el HA entre los Fortigate, que en este caso usaremos dos (HA1 y HA2) se llama Heartbeat y se utiliza para la sincronización y detección entre los equipos.
• Tenemos dos modos de configurar HA: Activo-Pasivo y Activo-Activo.

En este segundo post vamos a ver el modo Activo-Activo, en este modo todos los dispositivos procesan tráfico, pero seguimos teniendo un dispositivo que actúa como primario y otro como secundario, el dispositivo primario se encarga de distribuir todas las sesiones en el cluster, pero si el primario cae, entonces el secundario pasaría a tener el rol de primario.

Vamos a ver que necesitamos para crear y configurar un cluster HA en Firewall FortiGates:

• Dos Fortigates del mismo modelo
• Misma versión de FortiOS en ambos equipos
• Mismas licencias
• Un link entre los equipos que componen el cluster HA, en este caso vamos a utilizar dos
• Las mismas interfaces deben de estar conectadas al mismo dominio de broadcast, es decir, los puertos usados deben de ser los mismos en ambos dispositivos y conectados en el mismo segmento de red.

• Para empezar con la configuración de nuestro cluster HA Activo-Activo, vamos a realizar las configuraciones básicas sobre uno de nuestros Fortigate, que actuará como primario, el otro Fortigate lo dejamos con las configuraciones de fábrica, en este link podemos ver la configuración inicial y puesta en marcha.
• Aquí vemos como tenemos configurado el hostname y las interfaces de red del primer Fortigate (LAN y WAN):

• Del segundo Fortigate, está tal y como viene de fábrica:

• Lo primero que vamos a realizar es configurar sobre el Fortigate01 el nombre de las interfaces de red que van a participar en el cluster HA, se llaman interfaces de Heartbeat y se utilizan para la sincronización y detección entre los equipos, utilizaremos los puertos 4 y 5:

• Ahora sobre System > HA > seleccionamos el modo que nos interese, en este caso Active-Active:

• Sobre High Availability le indicamos el modo y la prioridad, sobre Cluster Settings le damos un nombre al cluster, le asignamos un password, habilitamos Session pickup para que automáticamente se pasen las sesiones de un Fortigate a otro y así los clientes no tengan que volver a reconectarse, el Monitor interfaces lo vamos a habilitar más adelante y explicaremos de que se trata y sobre Heartbeat Interfaces vamos a configurar las interfaces que van a participar en el cluster HA, sobre Heartbeat Interface Priority vamos a configurar las prioridades de las interfaces de Heartbeat, que en este caso el port4 va a tener prioridad sobre el port5:

• Ahora podemos ver que en System > HA nos muestra los puertos 4 y 5 con un corazón indicando que son los puertos de Heartbeat para el cluster:

• Sobre el Fortigate01 ya tenemos las configuraciones de HA realizadas, ahora debemos de configurar el Fortigate02, y como el nombre del host no se sincroniza, es lo primero que tenemos que configurar, en System > Settings:

• Ahora sobre System > HA realizamos las mismas configuraciones que hemos hecho sobre el Fortigate01, excepto que en la prioridad del dispositivo la vamos a bajar a 100, clic sobre OK:

• Como podemos ver, perdemos conexión con nuestro Fortigate02, ya que la dirección IP que tenía, ha desaparecido al unirlo al cluster, ahora estos dos dispositivos es como si fuesen uno solo y los dos van a tener las mismas configuraciones:

• Sobre el Fortigate01 accedemos a System > HA y podemos ver que ya tenemos el segundo dispositivo unido al cluster, aunque todavía está sincronizando, esto nos lo muestra muy claro el checksum, que como podemos observar, son números diferentes, ya que al no estar sincronizados todavía cada dispositivo tiene una configuración:

• Pasados unos minutos, ya podemos ver que los dos dispositivos están sincronizados, el checksum es el mismo, como también podemos ver, el Fortigate01 está actuando como primario y el Fortigate02 como secundario:

• Para ver de un solo vistazo el estado de nuestro Cluster HA, vamos a habilitar el siguiente panel, nos vamos a Dashboard y añadir:

• Añadimos el Widget HA Status:

• Como podemos ver, de un solo vistazo podemos ver el estado del cluster HA:

• Ahora vamos a realizar una prueba, apagando el Fortigate01, para ver si el Fortigate02 coge el control como primario, y como podemos ver, todo funciona correctamente sin pérdida de servicio y el que estaba antes como secundario pasa a ser primario:

• Si volvemos a iniciar el Fortigate01, podemos ver que ahora tiene el rol de secundario, ya que el Uptime del Fortigate02 es mayor que el del Fortigate01:

• Si queremos que el Fortigate01 vuelva a coger el rol de primario, debemos de ejecutar este comando diagnose sys ha reset-uptime, lo que hace este comando es resetear el Uptime del dispositivo, en este caso del Fortigate02:

• Como podemos ver, el Fortigate01 vuelve a tener el rol de primario:

• Ahora, vamos a configurar el Monitor interfaces en el cluster HA, esto significa, que la interface que vamos a monitorizar, si pierde conexión con el Firewall primario, automáticamente éste Firewall pasará a ser el secundario, tomando el otro Firewall el control, por lo tanto, vamos a configurar como Monitor interface, nuestra LAN:

• Para terminar, vamos a ver como configurar las interfaces de management de cada Fortigate, ya que siempre que accedemos lo estamos haciendo sobre el dispositivo que tiene el rol de primario, estas interfaces de management nos van a permitir acceder a cada dispositivo por separado, para ello, accedemos a System > HA seleccionamos el Fortigate con el rol de primario y Edit:

• Habilitamos Management Interface Reservation, le indicamos el puerto, el gateway y la subred, al habilitar esta opción le estamos indicando al cluster que vamso a usar el puerto 9 de cada Fortigate para management y por lo tanto las configuraciones en este puerto no se van a sincronizar entre los dispositivos pertenecientes al cluster:

• Una vez habilitado el puerto de management en el cluster (puerto9), vamos a configurar este puerto sobre el Fortigate con el rol de primario, para ello, accedemos a Network > Interfaces > port9 > Edit:

• Le indicamos un Alias, le asignamos el direccionamiento IP correspondiente, habilitamos los accesos y OK:

• Como podemos ver ya tenemos configurado el puerto de management sobre el Fortigate primario:

• Ahora ya podemos acceder a través de la IP de management sobre el Fortigate01:

• Ahora vamos a configurar la interface de management del Fortigate que tiene el rol de secundario, para ello desde la consola web nos abrimos una consola CLI:

• Ejecutamos el comando execute ha manage ? y cómo podemos ver nos indica que el dispositivo 0 es el secundario:

• Por lo tanto, para acceder al Fortigate secundario debemos de ejecutar el comando execute ha manage 0 admin el admin es el usuario que tenemos dado de alta en nuestro Fortigate secundario con permisos administrativos, y cómo podemos ver ya estamos dentro del Fortigate secundario (FORTIGATE02):

• Ahora ya le podemos asignar el direccionamiento IP al puerto que configuramos para management (puerto9), con el comando config system interface accedemos al modo de configuración de interface, con edit port9 accedemos a la configuración del puerto 9, con set ip 192.168.99.221 255.255.255.0 le asignamos el direccionamiento IP, con set allowaccess ping https http ssh fgfm le habilitamos los accesos y con end salimos de las configuraciones:

• Con el comando show system interface podemos ver las configuraciones realizadas:

• Ahora ya podemos acceder a través de la IP de management sobre el Fortigate02, y cómo podemos ver ya tenemos el puerto de management configurado (puerto9):

Saludos y espero que os resulte de ayuda

La entrada Fortigate HA ACTIVO – ACTIVO se publicó primero en RAGASYS SISTEMAS.

En este post vamos a ver como configurar dos Firewall Fortigate en HA (Alta Disponibilidad) en modo Activo-Pasivo:

• Vamos a utilizar dos Interfaces de cada dispositivo para HA para vincularlos y sincronizarlos.
• En HA uno de los Fortigate estará como primario y éste sincronizará su información con el otro Fortigate que será el secundario.
• El link para el HA entre los Fortigate, que en este caso usaremos dos (HA1 y HA2) se llama Heartbeat y se utiliza para la sincronización y detección entre los equipos.
• Tenemos dos modos de configurar HA: Activo-Pasivo y Activo-Activo.

En este primer post vamos a ver el modo Activo-Pasivo, en este modo solo el dispositivo primario procesa el tráfico, el otro dispositivo está en modo de espera y sólo entrará a funcionar en caso de caída del primario, toda la configuración realizada en el dispositivo primario se sincronizará con el dispositivo secundario.

Vamos a ver que necesitamos para crear y configurar un cluster HA en Firewall FortiGates:

• Dos Fortigates del mismo modelo
• Misma versión de FortiOS en ambos equipos
• Mismas licencias
• Un link entre los equipos que componen el cluster HA, en este caso vamos a utilizar dos
• Las mismas interfaces deben de estar conectadas al mismo dominio de broadcast, es decir, los puertos usados deben de ser los mismos en ambos dispositivos y conectados en el mismo segmento de red.

• Para empezar con la configuración de nuestro cluster HA Activo-Pasivo, vamos a realizar las configuraciones básicas sobre uno de nuestros Fortigate, que actuará como primario, el otro Fortigate lo dejamos con las configuraciones de fábrica, en este link podemos ver la configuración inicial y puesta en marcha.
• Aquí vemos como tenemos configurado el hostname y las interfaces de red del primer Fortigate (LAN y WAN):

• Del segundo Fortigate, está tal y como viene de fábrica:

• Lo primero que vamos a realizar es configurar sobre el Fortigate01 el nombre de las interfaces de red que van a participar en el cluster HA, se llaman interfaces de Heartbeat y se utilizan para la sincronización y detección entre los equipos, utilizaremos los puertos 4 y 5:

• Ahora sobre System > HA > seleccionamos el modo que nos interese, en este caso Active-Passive:

• Sobre High Availability le indicamos el modo y la prioridad, sobre Cluster Settings le damos un nombre al cluster, le asignamos un password, habilitamos Session pickup para que automáticamente se pasen las sesiones de un Fortigate a otro y así los clientes no tengan que volver a reconectarse, el Monitor interfaces lo vamos a habilitar más adelante y explicaremos de que se trata y sobre Heartbeat Interfaces vamos a configurar las interfaces que van a participar en el cluster HA, sobre Heartbeat Interface Priority vamos a configurar las prioridades de las interfaces de Heartbeat, que en este caso el port4 va a tener prioridad sobre el port5:

• Ahora podemos ver que en System > HA nos muestra los puertos 4 y 5 con un corazón indicando que son los puertos de Heartbeat para el cluster:

• Sobre el Fortigate01 ya tenemos las configuraciones de HA realizadas, ahora debemos de configurar el Fortigate02, y como el nombre del host no se sincroniza, es lo primero que tenemos que configurar, en System > Settings:

• Ahora sobre System > HA realizamos las mismas configuraciones que hemos hecho sobre el Fortigate01, excepto que en la prioridad del dispositivo la vamos a bajar a 100, clic sobre OK:

• Como podemos ver perdemos conexión con nuestro Fortigate02, ya que la dirección IP que tenía, ha desaparecido al unirlo al cluster, ahora estos dos dispositivos es como si fuesen uno solo y los dos van a tener las mismas configuraciones:

• Sobre el Fortigate01 accedemos a System > HA y podemos ver que ya tenemos el segundo dispositivo unido al cluster, aunque todavía está sincronizando, esto nos lo muestra muy claro el checksum, que como podemos observar son números diferentes, ya que al no estar sincronizados todavía cada dispositivo tiene una configuración:

• Pasados unos minutos, ya podemos ver que los dos dispositivos están sincronizados, el checksum es el mismo, como también podemos ver, el Fortigate01 está actuando como primario y el Fortigate02 como secundario:

• Para ver de un solo vistazo el estado de nuestro Cluster HA, vamos a habilitar el siguiente panel, nos vamos a Dashboard y añadir:

• Añadimos el Widget HA Status:

• Como podemos ver, de un solo vistazo podemos ver el estado del cluster HA:

• Ahora vamos a realizar una prueba, apagando el Fortigate01, para ver si el Fortigate02 coge el control como primario, y como podemos ver, todo funciona correctamente sin pérdida de servicio y el que estaba antes como secundario pasa a ser primario:

• Si volvemos a iniciar el Fortigate01, podemos ver que ahora tiene el rol de secundario, ya que el Uptime del Fortigate02 es mayor que el del Fortigate01:

• Si queremos que el Fortigate01 vuelva a coger el rol de primario, debemos de ejecutar este comando diagnose sys ha reset-uptime, lo que hace este comando es resetear el Uptime del dispositivo, en este caso del Fortigate02:

• Como podemos ver, el Fortigate01 vuelve a tener el rol de primario:

• Para terminar, vamos a configurar el Monitor interfaces en el cluster HA, esto significa, que la interface que vamos a monitorizar, si pierde conexión con el Firewall primario, automáticamente éste Firewall pasará a ser el secundario, tomando el otro Firewall el control, por lo tanto, vamos a configurar como Monitor interface, nuestra LAN:

Saludos y espero que os sea de ayuda

La entrada Fortigate HA ACTIVO – PASIVO se publicó primero en RAGASYS SISTEMAS.

En este post vamos a ver como limitar el ancho de banda en nuestras conexiones, tanto de subida como de bajada, utilizando Traffic Shaping.

• Lo primero que debemos realizar es habilitar el Traffic Shapping, para ello nos vamos a Sistema > Visibilidad de Característica > Características adicionales > Modelado de tráfico > Aplicar:

• Ahora vamos a crear los Formadores de tráfico, aquí vamos a definir el ancho de banda que utilizaremos en las políticas para limitar las conexiones, por defecto, vienen creadas 5 políticas:

• La política de high-priority utiliza un ancho de banda de 1Gbps y le da máxima prioridad, la de medium-priority también utiliza 1Gbps pero le da prioridad media y la de low-priority también utiliza 1Gbps pero le da prioridad baja:

• Nosotros nos vamos a crear distintos formadores de tráfico con los distintos anchos de banda que nos interese para nuestra infraestructura, voy a mostrar solo uno, ya que se configura siempre igual, nos vamos a Políticas y Objetos > Formadores de Tráfico > Crear Nuevo:

• Nos creamos un formador de tráfico de 20Mbps:

• Aquí vemos todos los que nos hemos creado:

• Una vez creados los formadores de tráfico vamos a ir configurando las políticas de modelado de tráfico, pare ello, accedemos a Políticas y Objetos > Política de Modelado de tráfico > Crear nuevo:

• La primera política que vamos a crear será una política de salida a Internet a máxima velocidad para todas las conexiones, Shared shaper se refiere a la velocidad de Subida y Reverse shaper se refiere a la velocidad de Descarga:

• Ahora vamos a limitar la velocidad de subida y descarga para uno de nuestros equipos de la red LAN hacia Internet, con 10Mbps de subida y 20Mbps de descarga:

• Esta nueva regla creada, la tenemos que mover por encima que la creada anteriormente, ya que se van ejecutando de arriba hacia abajo, y la primera regla que hemos creado es para la máxima velocidad:

• Ahora si nos vamos a Internet desde este equipo y realizamos un test de velocidad de ancho de banda, podemos ver que las configuraciones se están aplicando correctamente:

• Ahora en lugar de limitar la conexión a Internet para un solo equipo, también lo podemos hacer para una red completa:

• Ponemos la política en el orden de secuencia que nos interese:

• Si volvemos a repetir el test de velocidad de ancho de banda sobre cualquiera de los equipos que se encuentren dentro de esta red podemos ver que la política se está aplicando correctamente:

• Y ya para terminar vamos a limitar las subidas y las descargas a dos de nuestros servidores que se encuentran en la DMZ, uno es un servidor FTP y el otro un servidor de NEXTCLOUD con OnlyOffice.
• Para el FTP nos creamos esta política de modelado de tráfico, dónde hemos limitado las subidas y las descargas a 20Mbps:

• Para el NEXTCLOUD nos creamos esta política de modelado de tráfico, dónde hemos limitado las subidas y las descargas a 50Mbps:

• Ponemos las políticas en el orden de secuencia que nos interese:

• Aquí tenemos opciones bastante interesantes, ya que podemos limitar por servicios, por aplicaciones, por categorías de URL:

Saludos y espero que os sea de ayuda

La entrada Configuración Fortigate – Limitar ancho de banda con Traffic Shaping se publicó primero en RAGASYS SISTEMAS.

En este post vamos a ver como configurar las políticas de enrutamiento en un firewall Fortigate 50E.

• Antes de comenzar vamos a aclarar que sólo tenemos configurada una salida hacia Internet a través de la WAN1, dónde tenemos configurada una ruta estática como salida por defecto:

• Toda mi infraestructura de red la tengo diseñada con una SuperRed 192.168.0.0/16, y a partir de esta red voy haciendo subnetting.
• Las primeras políticas de enrutamiento que vamos a crear van a ser para evitar la salida por Internet cuando la red sea de rango privado (192.168.0.0/16, 172.16.0.0/12 y 10.0.0.0/8), es decir, que no enrute hacia internet las redes de rango privado y corte la conexión, para ello nos vamos a Red > Políticas de enrutamiento > Crear Nuevo:

• En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 10.0.0.0/8:

• En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 172.16.0.0/12:

• En esta política evitamos el tráfico hacia Internet desde la red 192.168.0.0/16 hacia el rango 192.168.0.0/16:

• Con estas tres políticas evitamos que se enrute hacia Internet desde la red origen 192.168.0.0/16 hasta las tres redes de clase privada A, B y C.
• Ahora haremos lo mismo, pero tomando como origen la red privada de clase B 172.16.0.0/12 y como destino las tres redes de clase privada A, B y C, aquí no tengo configurada ninguna interface de red, pero la pongo por si algún día configuro alguna de las interfaces del firewall en este direccionamiento:

• Y también haremos lo mismo, pero tomando como origen la red privada de clase A 10.0.0.0/8 y como destino las tres redes de clase privada A, B y C, aquí no tengo configurada ninguna interface de red, pero la pongo por si algún día configuro alguna de las interfaces del firewall en este direccionamiento:

• Ahora vamos a generar otras políticas de enrutamiento para indicarle a cada una de las redes que tenemos configurada en nuestro firewall, cuál va a ser su salida hacia Internet, en mi caso, sólo tenemos una salida hacia Internet por la WAN1 que está conectada a un router FTTH con dirección IP 192.168.1.1, por lo tanto, todas las redes van a salir por el mismo sitio, pero si en un futuro tenemos otra salida hacia Internet por la WAN2 o incluso por la WAN1 pero a otro router distinto (por ejemplo con la IP 192.168.1.2), el tener configuradas estas políticas nos va a venir bien para que cada red salga a Internet por dónde nos interese, voy a mostrar sólo la política de enrutamiento para una de nuestras redes (DMZ) ya que para las demás será exactamente igual, para ello nos vamos a Red > Políticas de enrutamiento > Crear Nuevo:

• Para las demás redes hacemos lo mismo, quedando por tanto de la siguiente manera:

Saludos y espero que os sea de ayuda

La entrada Configuración Fortigate – Políticas de enrutamiento se publicó primero en RAGASYS SISTEMAS.

En este post vamos a ver como configurar nuestra VPN SSL de acceso remoto para que los usuarios del Active Directory se conecten a nuestras redes internas, en este link de este mismo blog podéis ver como se configura una VPN SSL de acceso remoto.

• Lo primero que vamos a realizar será crearnos el siguiente grupo en nuestro Active Directory, en este grupo vamos a ir añadiendo los usuarios que posteriormente se van a conectar a la VPN:

• Ahora vamos a acceder a nuestro Fortigate, y vamos a configurar el LDAP para que se pueda conectar al árbol de directorios del Active Directory, para ello nos vamos a Usuario y Dispositivo > LDAP > Crear nuevo:

• Realizamos las siguientes configuraciones, le indicamos un Nombre, la IP o nombre del servidor, en este caso le indicamos el nombre del dominio, puerto por el que se va a conectar al árbol de directorio LDAP, en este caso 389 que es el puerto de Active Directory para LDAP, le indicamos el Id Common name y el distinguised name, necesitamos un usuario del dominio para conectarnos al árbol LDAP, por lo que le indicamos el usuario y password, como podemos ver al probar la conexión esta todo correcto:

• Este es el usuario que nos hemos creado para realizar la conexión del Fortigate al LDAP del Active Dirtectory:

• Ahora en el Fortigate vamos a crear el grupo de acceso a la VPN, para ello accedemos a las opciones de Usuario y Dispositivo > Grupos de Usuario > Crear nuevo:

• Le indicamos un Nombre y Tipo, y agregamos un Grupo Remoto que será el grupo que hemos creado en el Active Directory:

• Seleccionamos el Servidor Remoto que configuramos anteriormente y añadimos el grupo del Active Directory Gvpn:

• Como podemos ver ya está correctamente agregado:

• Ahora, este grupo remoto que acabamos de crear tenemos que mapearlo al portal de la VPN-SSL, para ello, nos vamos a VPN > Configuración de SSL-VPN > Autenticación/mapeo del portal y lo agregamos como full-access:

• Para terminar, debemos de crear y configurar las reglas o políticas, para que los usuarios se conecten a las redes internas a través de la VPN configurada en el firewall, para ello, nos vamos a Políticas y Objetos > Política IPv4 > Crear nuevo:

• Creamos la regla o política para una de nuestras redes internas:

• Ahora desde un equipo remoto con el Forticlient instalado y conexión a Internet, vamos a verificar que el usuario testvpn se puede conectar a nuestra red interna:

• Desde el Monitor SSL-VPN de nuestro Fortigate podemos ver los usuarios conectados a través de la VPN:

• Desde la opción VPN > VPN Location Map podemos ver desde que parte del mundo se están conectando los usuarios que hemos creado y configurado para nuetra VPNSSL de acceso remoto:

Saludos y espero que os resulte de ayuda

La entrada Configuración Fortigate – VPN SSL Acceso Remoto con Usuarios del Active Directory se publicó primero en RAGASYS SISTEMAS.

En este post vamos a ver como configurar una VPN SSL de acceso remoto en un firewall Fortigate, concretamente con el modelo FG 50E, con este tipo de VPN usando SSL nos podemos conectar desde cualquier equipo con conexión a Internet hacia nuestra red interna, dónde todo el tráfico irá encriptado mediante SSL.

• Lo primero que vamos a realizar será crearnos un objeto – dirección que incluirá todo el rango de direcciones IP que usaremos para los equipos que se conecten a través de esta VPN, para ello lo crearemos desde Políticas y Objetos > Dirección > Crear nuevo > Dirección:

• Ahora nos vamos a crear los usuarios locales que accederán a través de la VPN:

• Para una correcta administración los usuarios que nos hemos creado anteriormente los vamos a anidar en un grupo:

• Una vez creados los usuarios y grupos, vamos a configurar los portales SSL-VPN, por defecto, vienen creados estos tres, nosotros vamos a editar el portal full-access:

• Nos quedaría configurado de la siguiente manera:

• Ahora configuramos la VPN-SSL, con los siguientes parámetros:

• Para terminar de configurar la VPNSSL de acceso remoto, debemos de crear las reglas o políticas para que los equipos que se conecten a través de la VPN, tengan acceso a las redes internas configuradas en nuestro firewall, voy a mostrar sólo una de ellas ya que para las demás sería exactamente igual:

• Como podemos ver aquí las tenemos todas creadas:

• Como nuestra conexión a Internet se encuentra a través de un router FTTH haciendo las funciones de NAT, debemos mapear el puerto que hemos utilizado para la VPNSSL (10443) hacia nuestro Fortigate:

• Con esto ya tendríamos configurada y operativa nuestra VPNSSL de acceso remoto, ahora desde cualquier equipo con conexión a internet, le instalaremos el Forticlient y configuraremos los parámetros de la VPNSSL para conectarnos desde cualquier lugar del mundo a las redes internas de nuestra infraestructura, dónde todo el tráfico irá encriptado mediante SSL:

• Como podemos ver ya estamos conectados y nos está sirviendo una dirección IP del rango que habíamos configurado:

• Desde el Monitor SSL-VPN de nuestro Fortigate podemos ver los usuarios conectados a través de la VPN:

• Desde la opción VPN > VPN Location Map podemos ver desde que parte del mundo se están conectando los usuarios que hemos creado y configurado para nuetra VPNSSL de acceso remoto:

Saludos y espero que os resulte de ayuda

La entrada Configuración Fortigate – VPN SSL Acceso Remoto se publicó primero en RAGASYS SISTEMAS.

En este post vamos a ver como configurar las opciones de Políticas y Objetos en un firewall Fortigate, concretamente con el modelo FG 50E.

• Una vez que hemos iniciado sesión en nuestro Fortigate 50E, nos vamos a la opción de Políticas y Objetos y lo primero que haremos será configurarnos los objetos de Dirección que más tarde los usaremos en nuestras políticas, podemos creárnoslos de dos tipos, Dirección y Grupo de Dirección, según nos interese:

• Para empezar a configurar nuestra infraestructura, nos vamos a crear dos objetos de Dirección por cada red implementada en nuestro firewall, un objeto va a definir al propio firewall que será el Gateway de la red a la que pertenece y el otro objeto va a definir la red completa.
• Empezaremos por la DMZ, objeto – dirección para definir a la red completa, DMZ-NET:

• DMZ, objeto – dirección para definir al Gateway DMZ-210_dmz-gw:

• GESTION, objeto – dirección para definir a la red completa, GESTION-NET:

• GESTION, objeto – dirección para definir al Gateway GESTION-210_gestion-gw:

• HYPERVLAB, objeto – dirección para definir a la red completa, HYPERVLAB-NET:

• HYPERVLAB, objeto – dirección para definir al Gateway HYPERVLAB-210_hypervlab-gw:

• LANRGS, objeto – dirección para definir a la red completa, LANRGS-NET:

• LANRGS, objeto – dirección para definir al Gateway LANRGS-210_lanrgs-gw:

• LANRGS, objeto – dirección para definir a uno de los equipos de la red LANRGS LANRGS-14_xenon:

• LANRGS, objeto – dirección para definir a uno de los equipos de la red LANRGS LANRGS-15_krypton:

• VMWARELAB, objeto – dirección para definir a la red completa, VMWARELAB-NET:

• VMWARELAB, objeto – dirección para definir al Gateway VMWARELAB-210_vmwarelab-gw:

• ISCSIA, objeto – dirección para definir a la red completa, ISCSIA-NET:

• ISCSIA, objeto – dirección para definir al Gateway ISCSIA-72.1_iscsia-gw:

• ISCSIB, objeto – dirección para definir a la red completa, ISCSIB-NET:

• ISCSIB, objeto – dirección para definir al Gateway ISCSIB-73.1_iscsib-gw:

• WAN1, objeto – dirección para definir a la red completa, WAN1-NET:

• WAN1, objeto – dirección para definir al Gateway WAN1-210_wan1-gw:

• Ahora nos vamos a crear un Grupo de dirección, dónde vamos a incluir dos equipos de la red LANRGS:

• Nos creamos otro Grupo de dirección, dónde vamos a incluir los Controladores de dominio, en este caso, sólo tenemos uno, pero ya lo dejamos creado por si en un futuro vamos añadiendo más:

• Con estos objetos de Dirección nos podemos ir creando todos los que nos vayan interesando, para después usarlos en nuestras políticas.
• Los que nos hemos creado quedarían de la siguiente manera, los he ordenado por colores según la red a la que pertenecen:

• Ahora vamos a ver la parte de Políticas y Objetos > Servicios, dónde vienen predefinidos la mayoría de los servicios que utilizaremos en nuestras políticas, en estos servicios se define el protocolo y puerto que utiliza el servicio que queremos configurar, los he ordenado por colores según la Categoría:

• Para crearnos un nuevo Servicio o un Grupo de servicios simplemente clicamos sobre Crear nuevo y elegimos la opción que nos interese:

• Por ejemplo, para el servicio de WSUS que utilizará nuestro servidor central de actualizaciones de Windows no crearemos este Servicio:

• Y otro ejemplo para mostrar sería el utilizado para los controladores de dominio, dónde nos crearemos un Grupo de servicios con los siguientes miembros:

• Bueno, una vez que tenemos definidos los objetos Dirección, Grupo de dirección, Servicios y Grupos de servicios, podemos empezar a definir las políticas o reglas de nuestro firewall, por defecto, viene definida una regla implícita dónde se niega todo el tráfico, nosotros empezaremos a configurar reglas por encima de ésta aceptando o denegando todo lo que nos vaya interesando y según lo requiera nuestra infraestructura de red:

• Para empezar vamos a crear las reglas para dar conexión a Internet a todas nuestras redes, sólo voy a mostrar una, para la red LANRGS, ya que para todas las demás será exactamente igual:

• Como podemos ver está política la hemos creado para las demás redes:

• Ahora vamos a ver otra política para el acceso de los equipos del dpto. de TI a las distintas redes del firewall, sólo voy a mostrar una, para la red GESTION, ya que para todas las demás será exactamente igual:

• Como podemos ver está política la hemos creado para las demás redes:

• Ahora vamos a ver una política para que todos los equipos de la red de GESTION se puedan comunicar con nuestros controladores de dominio:

• Así nos quedaría:

• Por último vamos a habilitar la Política DoS, para detectar y bloquear ataques de Denegación de Servicios (DoS), para ello, lo haremos desde Sistema > Visibilidad de Característica > Política DoS:

• Una vez habilitada la política DoS, nos vamos a Políticas y Objetos > Política DoS IPv4 > Crear nuevo:

• Configuramos los umbrales para detectar y bloquear ataques de DoS en la interface que tiene la salida a Internet (WAN1), para todas las direcciones de origen y destino y para cualquier servicio:

Saludos y espero que os sea de ayuda

La entrada Configuración Fortigate – Políticas y Objetos se publicó primero en RAGASYS SISTEMAS.

En este post vamos a ver como configurar las opciones de red en un firewall Fortigate, concretamente con el modelo FG 50E.

• Una vez que hemos iniciado sesión en nuestro Fortigate 50E, nos vamos a la opción de Red y lo primero que haremos será crear nueva interfaz:

• En esta primera interfaz, le damos un nombre y vamos a crear una interfaz del tipo Link Agreggation Group que utiliza el protocolo 802.3ad, dónde vamos a incluir las interfaces lan1 y lan2, con este tipo de interfaz vamos a conseguir el doble de ancho de banda en el enlace, anidadas dentro de esta interfaz vamos a configurar las VLAN de nuestro sistema y más adelante veremos como se configuraran los Trunk en los puertos del switch dónde van conectadas estas dos interfaces del firewall:

• Como podemos ver en el dibujo del firewall, estamos utilizando las interfaces lan1 y lan2:

• Ahora nos vamos a crear las VLANs que irán asociadas a esta interfaz LAG:

• La primera VLAN será la de GESTION, dónde le indicamos el nombre, tipo VLAN, la interfaz a la que pertenece en este caso la que hemos creado anteriormente LAG, el ID de VLAN 99, la dirección IP y el acceso administrativo:

• Para las demás VLAN realizamos las mismas configuraciones.
• VLAN DMZ:

• VLAN HYPERVLAB:

• VLAN LANRGS:

• VLAN VMWARELAB:

• Así quedarían configuradas las interfaces de red del grupo LAG 802.3ad:

• Ahora en la interfaz lan4 vamos a crear dos VLANs para más adelante configurar el almacenamiento iSCSI en nuestra cabina de almacenamiento QNAP:

• Así quedaría configurada la interfaz lan4, con dos VLAN para iSCSI:

• Y ahora vamos a configurar la interfaz wan1 para la salida a Internet, esta interfaz va conectada a un router FTTH de Movistar:

• Así quedaría configurada la interfaz wan1 para la salida a internet:

• Ahora configuramos los DNS de nuestra infraestructura, que será un controlador de dominio Windows (192.168.14.1) y uno de los DNS de Google:

• Por último vamos a configurar la ruta estática por defecto para la salida a internet de nuestro Fortigate:

• En otros post veremos algunas configuraciones más avanzadas de Políticas de enrutamiento y configuraremos el protocolo de enrutamiento OSPF entre nuestro Fortigate 50E y un Mikrotik 1100 AHx2 para que se intercambien las rutas de forma dinámica.

Saludos y espero que os resulte de ayuda

La entrada Configuración Fortigate – Red se publicó primero en RAGASYS SISTEMAS.

En este post vamos a ver como configurar las opciones de sistema en un firewall Fortigate, concretamente con el modelo FG 50E.

• Una vez que hemos iniciado sesión en nuestro Fortigate 50E, nos vamos a la opción de Sistema y lo primero que haremos será configurarnos los perfiles de acceso, en estos perfiles se definen los distintos tipos de permisos que tendrán los usuarios para configurar las opciones del firewall, por defecto vienen creados dos tipos de perfiles, prof_admin y super_admin, nosotros nos crearemos el perfil Administradores Ragasys con los siguientes permisos:

• Nos podemos crear distintos perfiles según los niveles de acceso.
• Ahora nos vamos a crear los usuarios locales que tendrán acceso al firewall y a los cuáles les asignaremos el perfil que nos interese, para ello accedemos a Sistema > Administradores > Crear nuevo > Administrador:

• Como podemos ver ya lo tenemos creado:

• En la opción de Sistema > Firmware, le podemos cargar las actualizaciones de firmware que nos hayamos descargado de la web de soporte de Fortinet y tener así actualizado nuestro dispositivo:

• El fichero tipo firmware tiene este aspecto:

• En la opción de Sistema > Configuración podemos configurar, un nombre para el host, fecha y hora, los puertos que vamos a utilizar para la administración del firewall, las políticas de contraseñas, el idioma, los temas, etc:

• La opción Sistema > HA es para montar un cluster de alta disponibilidad entre dos dispositivos Fortigate, para darle así mayor disponibilidad a nuestra infraestructura de red en caso de caída de uno de los firewall, en mi caso, como no dispongo de otro dispositivo, lo monto en modo Autónomo (a ver si los de Fortinet se enrollan y me mandan un nuevo dispositivo para poder probar todas estas opciones, no estaría nada mal):

• En la opción Sistema > Avanzado podemos configurar el servicio de correo electrónico, para enviar los avisos de nuestro Fortigate a una cuenta de correo electrónico de soporte:

• En la opción Sistema > Visibilidad de Característica podemos habilitar los roles y características de nuestro Fortigate:

Saludos y espero que os resulte de ayuda

La entrada Configuración Fortigate – Sistema se publicó primero en RAGASYS SISTEMAS.

En este segundo bloque sobre enrutamiento seguiremos con el enrutamiento estático, para ello aquí os dejo los siguientes diseños.

• Actividad 1: Enrutamiento estático II
• Topología actividad 1:

• Actividad 2: Enrutamiento estático III
• Topología actividad 2:

• Actividad 3: Enrutamiento estático – Ruta por defecto
• Topología actividad 3:

Para poder ver el diseño lógico y físico de la red necesitaréis el software packet tracer.

• Link de descarga actividad 1: Enrutamiento estático II
• Link de descarga actividad 2: Enrutamiento estático III
• Link de descarga actividad 3: Enrutamiento estático – Ruta por defecto

Saludos y espero que os sea de ayuda

La entrada Enrutamiento en Routers Cisco – Enrutamiento estático II se publicó primero en RAGASYS SISTEMAS.

En las próximas entradas de networking vamos a ver los protocolos de enrutamiento en los routers Cisco, ya hemos visto algo referente a este tema en algunos post anteriores, pero quiero subir algunos ejemplos de diseños de redes con Packet Tracer, ya que para los estudiantes de CCNA les puede venir muy bien para prácticar.

En este primer bloque sobre enrutamiento veremos las reglas básicas, las conexiones directas y enrutamiento estático, para ello aquí os dejo los siguientes diseños.

• Actividad 1: Reglas de enrutamiento básico
• Topología actividad 1:

• Actividad 2: Conexiones directas
• Topología actividad 2:

• Actividad 3: Enrutamiento estático I
• Topología actividad 3:

Para poder ver el diseño lógico y físico de la red necesitaréis el software packet tracer.

• Link de descarga actividad 1: Reglas de enrutamiento básico
• Link de descarga actividad 2: Conexiones directas
• Link de descarga actividad 3: Enrutamiento estático I

Saludos y espero que os sea de ayuda

La entrada Enrutamiento en Routers Cisco – Reglas básicas y enrutamiento estático I se publicó primero en RAGASYS SISTEMAS.

En esta entrada vamos a ver la técnica NAT y los distintos tipos de NAT, que consiste en traducir direcciones IP, es decir, consiste en manipular los paquetes IPs y cambiar las direcciones IPs existentes por otras IPs, seguiremos con tres ejemplos de redes diseñadas con el software Cisco Packet Tracer, les vendrán muy bien a los estudiantes del CCNA para prácticar.

• Actividad 1: PAT dinámica
• Topología actividad 1:

• Actividad 2: PAT dinámica – abrir puertos
• Topología actividad 2:

• Actividad 3: Caso práctico NAT
• Topología actividad 3:

Para poder ver el diseño lógico y físico de la red necesitaréis el software packet tracer.

• Link de descarga actividad 1: PAT dinámica
• Link de descarga actividad 2: PAT dinámica – abrir puertos
• Link de descarga actividad 3: Caso práctico NAT

Actividades propuestas por el profesor Manuel Castaño Guillén.

Saludos y espero que os sea de ayuda

La entrada NAT en Routers Cisco II se publicó primero en RAGASYS SISTEMAS.

En esta entrada vamos a ver la técnica NAT y los distintos tipos de NAT, que consiste en traducir direcciones IP, es decir, consiste en manipular los paquetes IPs y cambiar las direcciones IPs existentes por otras IPs, empezaremos con tres ejemplos de redes diseñadas con el software Cisco Packet Tracer, les vendrán muy bien a los estudiantes del CCNA para prácticar.

• Actividad 1: NAT dinámica
• Topología actividad 1:

• Actividad 2: NAT estática
• Topología actividad 2:

• Actividad 3: PAT típica router ADSL
• Topología actividad 3:

Para poder ver el diseño lógico y físico de la red necesitaréis el software packet tracer.

• Link de descarga actividad 1: NAT dinámica
• Link de descarga actividad 2: NAT estática
• Link de descarga actividad 3: PAT típica router ADSL

Actividades propuestas por el profesor Manuel Castaño Guillén.

Saludos y espero que os sea de ayuda

La entrada NAT en Routers Cisco I se publicó primero en RAGASYS SISTEMAS.

En esta entrada vamos a ver como trabajar con switches de la compañía Cisco con 5 ejemplos de redes diseñadas con el software Cisco Packet Tracer, les vendrán muy bien a los estudiantes del CCNA para prácticar.

• Actividad 1: VLAN Datos y VoIP
• Topología actividad 1:

• Actividad 2: Supuesto práctico sobre VLANs I
• Topología actividad 2:

• Actividad 3: Supuesto práctico sobre VLANs II
• Topología actividad 3:

• Actividad 4: VoIP
• Topología actividad 4:

• Actividad 5: Vlan Trunking Protocol – VTP
• Topología actividad 5:

Para poder ver el diseño lógico y físico de la red necesitaréis el software packet tracer.

• Link de descarga actividad 1: VLAN Datos y VoIP
• Link de descarga actividad 2: Supuesto práctico sobre VLANs I
• Link de descarga actividad 3: Supuesto práctico sobre VLANs II
• Link de descarga actividad 4: VoIP
• Link de descarga actividad 5: Vlan Trunking Protocol – VTP

Actividades propuestas por el profesor Manuel Castaño Guillén.

Saludos y espero que os sea de ayuda

La entrada Switches y Conmutación Cisco II se publicó primero en RAGASYS SISTEMAS.

En esta entrada vamos a ver como trabajar con switches de la compañía Cisco con 6 ejemplos de redes diseñadas con el software Cisco Packet Tracer, les vendrán muy bien a los estudiantes del CCNA para prácticar.

• Actividad 1: Agregación de enlaces
• Topología actividad 1:

• Actividad 2: DHCP con VLANs
• Topología actividad 2:

• Actividad 3: Switch capa 3 y access point con router multifunción
• Topología actividad 3:

• Actividad 4: Spanning Tree Protocol – STP
• Topología actividad 4:

• Actividad 5: Switch capa 3 como router
• Topología actividad 5:

• Actividad 6: Supuesto práctico sobre VLANs
• Topología actividad 6:

Para poder ver el diseño lógico y físico de la red necesitaréis el software packet tracer.

• Link de descarga actividad 1: Agregación de enlaces
• Link de descarga actividad 2: DHCP con VLANs
• Link de descarga actividad 3: Switch capa 3 y access point con router multifunción
• Link de descarga actividad 4: Spanning Tree Protocol – STP
• Link de descarga actividad 5: Switch capa 3 como router
• Link de descarga actividad 6: Supuesto práctico sobre VLANs

Actividades propuestas por el profesor Manuel Castaño Guillén.

Saludos y espero que os sea de ayuda

La entrada Switches y Conmutación Cisco I se publicó primero en RAGASYS SISTEMAS.

En esta entrada vamos a ver los servicios IP con cinco ejemplos de redes diseñadas con el software Cisco Packet Tracer, les vendrán muy bien a los estudiantes del CCNA para prácticar.

• Actividad 1: AAA (Authentication, Authorization and Accounting)
• Topología actividad 1:

• Actividad 2: CORREO
• Topología actividad 2:

• Actividad 3: DHCP
• Topología actividad 3:

• Actividad 4: DNS
• Topología actividad 4:

• Actividad 5: FTP
• Topología actividad 5:

Para poder ver el diseño lógico y físico de la red necesitaréis el software packet tracer.

• Link de descarga actividad 1: AAA
• Link de descarga actividad 2: CORREO
• Link de descarga actividad 3: DHCP
• Link de descarga actividad 4: DNS
• Link de descarga actividad 5: FTP

Actividades propuestas por el profesor Manuel Castaño Guillén.

Saludos y espero que os sea de ayuda

La entrada Servicios IP se publicó primero en RAGASYS SISTEMAS.

En esta entrada vamos a ver un poco de ACLs (Listas de control de acceso), en este caso ACLs extendidas, voy a subir tres actividades con este tipo de listas de control de acceso, les vendrán muy bien a los estudiantes del CCNA para prácticar.

Las ACL extendidas filtran los paquetes IP en función de varios atributos, como por ejemplo, tipo de protocolo, direcciones IP de origen, direcciones IP de destino, puertos TCP o UDP de origen, puertos TCP o UDP de destino e información opcional de tipo de protocolo para un control más exhasutivo.

• Actividad 9: Bloquear el acceso a Internet desde los servidores
• Topología actividad 9:

• Actividad 10: Bloquear el acceso cuando se inicia desde el exterior a la red 20.0.0.0/8
• Topología actividad 10:

• Actividad 11: Permitir el tráfico en las redes 20.0.0.0/8 y 40.0.0.0/8 cuando es originado en 30.0.0.0/8
• Topología actividad 11:

Para poder ver el diseño lógico y físico de la red necesitaréis el software packet tracer.

• Link de descarga actividad 1: ACL Extendida 9
• Link de descarga actividad 2: ACL Extendida 10
• Link de descarga actividad 3: ACL Extendida 11

Actividades propuestas por el profesor Manuel Castaño Guillén.

Saludos y espero que os sea de ayuda

La entrada Access Lists extendidas Cisco IV se publicó primero en RAGASYS SISTEMAS.