Productos:

Samrt rate : teconologia para 10 g con un solo puerto eth

Meridian : locaclizacion indoor

Clear pass : servidr aaa (autenticacin autorizacin y accountinng )

Tres aplicaciones corren en clear pass core GUEST (portal cautivo) , onguard ( ), onboard se puede
hacer MYOD (CONTROLAR dispositivos personales)

AIRWAVE (SISTRMA DE GESTION ) herramienta para monitoreo de epericneias de usuraio

inahalmbrico TIENE DOS MODULOS RAPIDS (rouge AP deteccin de aps extaos a la red y q no los
administro) , VISUALRF (mapeo de

Tnel de RAP : ipsec

ARUBA CENTRAL : iap ( acces point satand allone )instant ap

HT : HIGH TROUGPUT

IPA S

E PUEDE CONVERTIR EN CAP :

MODELOS DE CONTROLADORA PARA CERTIFICACION

Gre : 76 TCP:16 UDP :17 ESP:50 ( NUMEROS DE PROTOCOLO) gre 47 tcp 6

PROTOCOLO PAPI , CORRE EN UDP8211 (UN CONTROL DE TRAFICO )

Acces point bott procees

1. Bott config file : se puede conf una ip una marcara un dns

2. hay cinco mtodos para deterinar la dir ip de la controladrora

A. Boot conf file

B. Dhcp option 43 + opt 60 = ArubaAP
C. ADP(Aruba Discovery protocol) Broadcast Layer 2/3 CAPA 2 FF:FF:FF:FF:FF:FF CAPA 3
255.255.255.255
D. ADP MULTICAST 239.0.82.11
E. Resolucin de dominio a = Aruba-master Domain SERVER DNS
3. SEABRE EL tc 2021 para recibir la imgen de la controladora atr vez de FTP a travez del porotoclo
PAPI

3.1 Paso se haceu n tnel de CP SEC para de PAPI NO SE VAYA EN TEXTO PLANO

4 SE CREA UN TINE DE GRE ENTRE EL AP Y LA CONTROLADORA

Roles de las controladoras :

Cnotroladora local

LMS:LOCAL MOBLITI SW

CUANDO UN ACCES POINT SIEMR CONTACTE A LA CONTROLADORA VA A ENTREGAR SU

NOMBRE QUE POR DEFECTO ES LA mac y el grupo DEFAULT

LAB 1

PUBTO 9#ArubaOS (MODEL: Aruba7010-US),

Punto 16 System Serial# : CG0012954 (Date:02/29/16)

CPU Card Serial# : AG09008145 (Date:02/26/16)

Punto 25 ControllerB) #ArubaOS (MODEL: Aruba7010-US), Version 6.4.3.4

PUNTO 32 v

ControllerB) #show inventory | include Serial

System Serial# : CG0012791 (Date:02/27/16)

CPU Card Serial# : AG09012497 (Date:02/27/16)

Punto 13 ntp server 10.1.21.100

clock timezone
service dhcp
vlan 17
interface vlan 17
interface vlan 17 ip address 10.1.17.2 255.255.255.0
interface vlan 17 no ip nat inside
vlan 18
interface vlan 18
interface vlan 18 ip address 192.168.18.1 255.255.255.0
ip dhcp pool VLAN_18 network 192.168.18.0 255.255.255.0
interface vlan 18 ip nat inside
ip dhcp pool VLAN_18 dns-server 10.1.21.100
ip dhcp pool VLAN_18 default-router 192.168.18.1
vlan-name "MGT"
vlan "MGT" "11"
vlan-name "Employee"
vlan "Employee" "17"
vlan-name "Guest_WLAN"
vlan "Guest_WLAN" "18"
uplink disable
controller-ip-webui vlan 11
no spanning-tree
interface gigabitethernet 0/0/1 switchport trunk native vlan 11
interface gigabitethernet 0/0/1 switchport mode trunk
interface gigabitethernet 0/0/1 switchport trunk allowed vlan 11,17

LAB2,3

PUNTO 2

(ControllerA) #SHow IP INTerface BRIef

Interface IP Address / IP Netmask Admin Protocol

vlan 11 10.1.11.100 / 255.255.255.0 up up

vlan 1 172.16.0.254 / 255.255.255.0 up down

vlan 17 10.1.17.2 / 255.255.255.0 up up

vlan 18 192.168.18.1 / 255.255.255.0 up down

loopback unassigned / unassigned up up

mgmt unassigned / unassigned up down

PUNTO VLANS

(ControllerA) #

(ControllerA) #SHow VLAN

VLAN CONFIGURATION

------------------

VLAN Description Ports AAA Profile

---- ----------- ----- -----------

1 Default Pc0-7 N/A

11 VLAN0011 GE0/0/0-0/17 N/A

17 VLAN0017 GE0/0/1 N/A

18 VLAN0018 N/A

SH PORT StTUS

0/0/1 GE Enabled Up Enabled Yes Disabled Trunk 1 Gbps Full

SH TRUNK

Trunk Port Table

-----------------

Port Vlans Allowed Vlans Active Native Vlan

---- ------------- ------------ -----------

GE0/0/1 11,17 11,17 11

(ControllerA) #

SH IP ROUTE

S* 0.0.0.0/0 [1/0] via 10.1.11.1*

C 10.1.11.0/24 is directly connected, VLAN11

C 10.1.17.0/24 is directly connected, VLAN17

Ping

(ControllerA) #

(ControllerA) #ping 10.1.11.1

Press 'q' to abort.

Sending 5, 92-byte ICMP Echos to 10.1.11.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 0.194/0.2438/0.372 ms

ControllerA) #ping 10.1.21.100

Press 'q' to abort.

Sending 5, 92-byte ICMP Echos to 10.1.21.100, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 0.172/0.266/0.408 ms

(ControllerA) #

Sh inventory System Serial# : CG0012954 (Date:02/29/16)

(ControllerA) #show image version

----------------------------------

Partition : 0:0 (/dev/usb/flash1) **Default boot**

Software Version : ArubaOS 6.4.3.4 (Digitally Signed - Production Build)

Build number : 51619

Label : 51619

Built on : Thu Sep 10 20:14:07 PDT 2015

----------------------------------

Partition : 0:1 (/dev/usb/flash2)

Software Version : ArubaOS 6.4.3.4 (Digitally Signed - Production Build)

Build number : 51619

Label : 51619

Built on : Thu Sep 10 20:14:07 PDT 2015

(ControllerA) #

ArubaOS (MODEL: Aruba7010-US), Version 6.4.3.4

Reboot Cause: User reboot (Intent:cause:register 78:86:50:60)

MODULO 4

APROVISIONAMIRNTO DE AP

WLAN
VAP
GENERAL(tnel forwarding encrypted bridge )
AAA
SSID
FORMULA EIRP ( 33 BD PARA WIFI LO MAXIMO O DOS watts)

Ike : cp sec versin 1

Configurar ap manualmente }: tnel forwarding encrypted

HTWLAN ( 802.11N) SI NO ESTA EN HTWLAN EST EN g,a,b

Tecnologa link agregation (LAG) HABILITAR ( LACP EN EL SW )

LACP : CREA UN HASH : BASADO EN MACCS EN IPS DE DESTINO Y EN PURTOS

SEGUNDA DIRECCION IP PARA BALANCEO DE CARGAS SE LLAMA : GRE-STRIPINGRADIO DE CERO

VA AS ER EL DE 5GHZ Y EL DE UNO VA A SER DE 2.4

BSSID: PARECE UNA MAC , SE ESCRIBE COMO MAC , TIRNE FORMATO DE MAC

BEACON : 100 MILISEGUNDOS

MODULO 5

Autenticacion , cifrado e integridad : se utiliza Hashing

WEP , SALIO EN 1997 para cifrar el trafico

AES : ADVANCE ENCRIPTION STANDARD

FOUR WAY HANDSSHAKIING

PHY O MANAGATMENT MESSAGE

1. BEACON Y SE MANDA CADA 100 MILISEGUNDOS (10 CADA SEGUNDO) ANCHO DE BANDA
Q SE UTILIZA INCLUYE EL COUNTRY CODE LO PROPAGA EL BEACON , Y SE PUEDE
CONFIGUAR Q OCULTE EL SSID
 2. PROBE REQUEST , : HAY INFORMACION Q SE CONOCE Q ES EL SSID Y LA Q SE DESCONOCE
ES EL bssid
3. Probe Reply: se conoce el BSSID
4. Authentication request o conect , : se colicita la conexin
5. Authentication Reply satisfactorio
6. Association Request SSID : SE envan mensajes
7. Association Reply

Autebtiacion capa2MAC,WEP ( norequiere dir ip para sus credenciales) y capa 3(REQUIERE DIR IP
PARA ENTREGAR SUS CREDENCIALES)

ROL INICIAL : PERMISOS Q TIENE EL CLIENTE ANTES DE ENTREGAR SUS CREDENCIALES pre

ROL POR DEFECTO : post

MAC AUTHETICATION PROFILE

802.1x :

EAP (ESTENSIBLE AUTENTICATIO PTOCOL )

802.1x :

EAP (ESTENSIBLE AUTENTICATIO PTOCOL )

802.1x :

EAP (ESTENSIBLE AUTENTICATIO PTOCOL )

PROTECTED EAP : USUARIO Y PASSWORD

PROCESO 802.1X

SUPLICANTE AUTENTICADOR SERVIDOR DE AUTENTICACION

EAPoL _____________________________ RADIUS

EAPOL START--------------------------------------------------->

Identuty requets <-----------------------------------------------

Response Identity ------------------------------------------- bogus radius acces request

Server group : se alojan las credenciales de acceso .

Advance authentication

Aaa tasconnect (EAP- Offload)

Aaa fast conect : se ve el nombre de usuario , y creo reglas para enviar dinmicamente esas cosas
el servidor

Usaurio / dominio

Dominio usuario

Host pc name dominio

Machine authentication : se hace cuando ingresas a la maquina y luego si autentica

BYOD : MAQUINA PERSONAL

Modulo 7

Firewall plices

Firewall estateful , : reglas por rol e identidad , y en ambas direcciones

Lista de control de acceso :

a. estndar con origen

b. Extended match con origen y destino

0. Rol inicial
1. User derive
2. Server derive
3. Default role 0 y 1 son pre 2 y 3 es

Reject en el firewall de la controladora va a ser un mensaje de ICMP

ATHERTYPE HACE AMTCH CON EL PROTOCLO DE CAPA 2

EXTENDET MATCH OCN ORGEN DESTINO

OS FINGERPRINTING : COMO ES EL SO Q ESTA UTILZIANDO UN USARIO EN PARTICULAR

PRIMER METODO = UAND UN USRUARIO SOLCITA UNA DIR DHCP ENVIA UN DHCP REQUEST ,
EXISTE UNA OPCION (77USERCLASSOPTION),

SEGUNDO PUNTO= A TRAVES DE HTTP

USER AGENT STRING : HACE UN MENSAJE PARA SABER Q TIPO DDE BROUSER SE ESTA UTILIZANDO
Y SE ADJUDICA EL S.O

LOS DOS METODOS SE PEUDE EXPORTAR POR UN POROTOCLO Q SE LLAMA IF-MAP, HACIA
CLEARPASS.

WEB UI

METODOS DE BLACKLISTING = COMO PUEDO HACER UNA LISTA NEGRA

SE HACE MANUALMENTE UNA POLITICA DE FIREWALL- POR FALLAS DE AUTENTICACION IDS

ATTACK

MSIWTCH ES UN ALIAS DE LA CONTROLADORA

MONITOREO DE CLIENTES Q ESTAN EN LA LISTA NEGRA

GLOBAL FIREWALL POLICY : PLITICA GLOBAL DE TODO EL SISTEMA,

PUERTO DE WIRE SAHRK EN UDP:

ENABLE DEPP PACKET INSPECTIO ;: NO VIENE POR DEFAULT

LYNC (SKY FOR BUSSINES) Y ARUBA :

SIP ( SESSION INCIAL PROTOCOL) : TRES FUNCIONES , INCIAR MANTENER Y FINALIZAR UNA
LLAMADA

PROTOCOLO PARA MANTENER LOS DATOS ENTRE DOS CLIENTES : RTP

SE TIENE UNA API : SE LLAMA NETWORK ENLIGHTENMENT

PHB ( CONFIGURACION DE QOS)

APIPA : 169.254.0.0 / 255.255.0.0

FIRE WALL HITS PARA TROUBLE SHOOTING

SESSION : GRE- TCP IP SEC VDP

FIREWALL BEST PRACTICE : POLITICAS JUSTAS , CREEN POLITICAS PARA PORTOCLOS CO,UNES .
POLITICAS DEBEN TENER UN PERMITIDO

MODULO 8

ROLES

DENTR DE UN ROL HAY POLITICAS Y DENTRO DE CADA POLITICA SE ASOSIACN REGLAS , EL

METODO DE ASOCIASION SE LLAMA DERIVACION

0. Rol inicial
1. User derive
2. Server derive
3. Default role 0 y 1 son pre 2 y 3 es post

TODOS LOS CLIENTES Q VE ALA CONTROLADORA , SIENMPRE SIEMPRE VANA SER ASIGNADOS A
UN ROL , ANTES Y DEPSUES Q ENTREGUEN LAS CREDNECIALES ,

ROLES DE DIFERENTES POLITICAS .

LOS ROLES SE MANDAN A LLAMAR COMO OBJETOS DENTRO DEL PERFIL AAA

DEROVACION DE ROLES :

APENAS SE ASOCIA LA CONEXIN CON EL AP SE DEBE ACTVIAR EL ROL INICIAL

USER DIREVE Y ROLL INICIAL SON PRE

SE CONFIGURAN E N EL SEVIDOR DE AUTENTIACION EL VSA Y AVP

VSA : VENDOR SPECIFIC ATTRIBUTE ROL ID

AVP :ATTRIBUTE VALUE PAIR , SON ATRIBUTOS ESTANDAR POR EJEMPLO VLAN ID, FILTER ID

ASIGANCION DE ROLES , SI HAY UN MATCH OCN UNA REGLA DE USUARIO ME MEUVO A UN ROL Y
LUEGO SI VOY A LPROCESO DE AUTENTICACION ,

Accountinng: SIGINIFICA Q LA OCNTROLADORA VAA REPORTAR ACELAR PASS EL CONSUMO DE

PAQUETEDES DE ENRRADA YD EE SALIDA SI SE ECEDE EL LIMITE SE CAMBIA AL coa (CHANGE OF
AUTHORIZATION .
Bandwidth contracts

App RF

Modulo 10 Captive Portal

Invitados

PAPI UDP 8211

MODULO 9

ESPECTRUM ANALISIS ADAPTIVE RADIO MANAGMENT

ARM ME AYUDA

RRM(RADIO RESEARCH MANGMETNT

DAMPENING FACTOR :

INDICES DE INTERFERNECIA Y DDE COBERTURA

Lugares de alta demanda de wifi : Pico Cell

Cuando la seal wifi pasa por mi cuerpo se atenua -3dBm

REVISAR CWNP

REMOTE AP RAP

L2TPEXTENDED AUTENTICATIOS /IPSEC(PROTEGE EL TRAFICO DEL USUARIO

TUNEL IPSEC : SE ABREN LOS PUERTO UDP 500 QUE ES IKE ---- Y PUERTO 4500 QUE ES NAT,T

MTU : TAMAO MAXIMO DE LA TRAMA Q ES DE 1500Bytes

SI UTILIZO RAP , SE DEBE BAJAR EL MAXIMO DEL MTU DE 1500 A 1200.

EAP : PROTOCOLO PARA ATENTICAR EN EL SERVIDOR

PEAP : ESTABLECE UN TUNEL DE TLS , EL SERVIDOR ENVIA UN CERTIFICADO DIGITAL

PMK: UNA LLAVE

MODO DE FORWrding :

Tnel de IPsec se genera enre el RAP Y la controladora

El trafico de papi es el primer traficoentre la controladora y el rap

Modo bridge el forwrading lo hace el AP y lo saca hacia internet y nada de trafico lo enva a la
controladora,

PMK : cifra todo el trafico entre el usuario y el RAP , el dueo de la PMK es la controladora . pero
PAPI ayuda a compartir la PMK desde la controladora hasta el RAP,

Trafico de EAP : PARA LAS CREDENCIALES , SOLO SE DEBEN COLOCAR LOS HEADERS ,

LA IP SE LA ENTREGA EL RAP Y ES LOCAL CUANDO SE ESTA EN MODO BRIDGE.

PAPI SE METE EN UN TUNEL DE GRE

Para aplicar SPLIT TUNEL y separar el trafico de forwardeo o controladora se debe hacer una
poltica :

RYAN LINDFIELD

L2TP: ES PARA AUTEBTICAR AL RAP ANTE LA CONTROLADORA

DIRECCION IP INNER ,: ES LA Q LE ENTREGA LA CONTROLADORA AL RAP UNA VEZ EL ENTREUE SUS

CREDENCIALES

DESCARGAR EL CLIENTE DE VIA PARA APRENDER MEJOR LA CONEXIN DE RAP HACIA INTERNET Y
HACIA LA CONTROLADORA,

TUNEL IPSEC : SE ABREN LOS PUERTO UDP 500 QUE ES IKE ---- Y PUERTO 4500 QUE ES NAT,T

NAT,T :

Fase uno de IPSEC un solo tunel bireccional

NAT TRAVERSAL : PASAR EL TRAFICO A TRAVEZ DE UN EQUIPO Q HACE NATEO

FASE DOS SE ESTABLECEN DOS TUNELES UNIDIRECCIONALES

MODULO WIRED ACCES CONTROL.

REDUNDANCIA DE MASTER :

EL MASTER SE ENCARGA DE UNA CONF GLOBAL

VRRP : PROTOCOLO PARA TENER DOS

EL STAND BY ENVIA MENSAJES DE KEEPALIVE CADA 2 SEGUNDOS Y CUANDO SE PEIRDEN 3

KEEPALIVE OSEA EN 6 SEGUNDOS EL SANTD BY SE CONVIERTE EN MASTER .

EL MASTER Y EL SATND BY HACE ALGO Q ES VIP(UNA IP VIRTUAL).

PREEMPTION : SWICHEO AUTOMATICO Q REGRESA DEL STANDBY AL MASTER

TUNEL DE IP SEC SE CREA PARA PASAR LA INFORMACION DE CONFIGURACION DESDE EL MASTER

AL SATND BY AUTOMATICAMENTE CADA 10 MINUTOS .

LA MASTER ACTIVA DEBE TNER LA PRIORIDAD MAS ALTA,

MASTER LOCAL