CCIE Security - WB1 - Lab 1a - Config ASA

Hola,

Hable con el jefecito sobre el tema de timing para el CCIE. Segun mis calculos, deberia invertir aproximadamente 450+ horas para recorrer ambos workbooks end-to-end. Esto basicamente se traduce en un poco mas de 2 meses de dedicacion exclusiva al tema. La sugerencia fue re-agendar, lo cual es super razonable. Mi nueva agenda se traduce en dos horas de estudio diarias, mas 4 horas los fines de semana hasta fines de Diciembre, mas Enero con dedicacion exclusiva y un target de prueba de principio de Febrero del 2011, para luego irme de vacaciones.

En fin, hoy ya tuve mi primera sesion de labs de tecnologia, y parti con el tema "Configure Secure Networks using Cisco ASA Firewalls". Acabo de terminar las dos horas del dia de hoy, voy en schedule, dado que estoy en la mitad del ejercicio exactamente.

Que aprendi/recorde hoy:

• Que cuando el PC se freezea mal... bueno, se pierde toda la config de los routers :)
• Que el estudio para el CCIE pasado definitivamente sirve, pero esta medio oxidado y necesita speed-up
• Que la info de autenticacion EIGRP va en las interfaces!
• Que RIP e EIGRP hacen uso de key-chain, no asi OSPF.
• Que la generacion de default route en EIGRP se hace con summary-address bajo la interfaz, no en el proceso
• Que si ASA no tiene una ruta default, y esta originandola hacia otros peers via OSPF, necesita el comando default-information originate always bajo el proceso
• Que jugando con las metricas, sla monitor y track puedes tener una ruta de respaldo que se active solo cuando un host X deja de responder el ping (nice), config a continuacion:
• route outside 0.0.0.0 0.0.0.0 192.1.24.2 1 track 1
  route outside 0.0.0.0 0.0.0.0 192.1.24.4 5
  sla monitor 1
  type echo protocol ipIcmpEcho 192.1.24.2 interface outside
  timeout 1000
  frequency 3
  track 1 rtr 1 reachability
  sla monitor schedule 1 life forever start-time now
  
• Que me demoro 10 minutos en configurar failover en ASA (sin hacer trampa) .. necesito mejorar el tiempo.

Saludotes!

Camino al CCIE security lab (intento #2) - post 1

Desocupado lector,


Retomando el camino al CCIE security lab quiero usar este blog para ir plasmando mis avances. Espero en un par de meses (fines de Junio, para ser mas exacto) recordar con alegria este primer post. Despues de ya un buen tiempo de estar postergandolo, he hecho las siguientes gestiones:

• Compra de workbook, detailed solution guide y audio on demand de un prestigioso vendor, autorizado por mi estimadisimo jefecito
• Compra de mueble de escritorio y habilitacion de cuarto de estudio en casa
• Habilitacion y setup inicial de respetable PC (AMD Phenom, 4 cores, 4GB RAM, 500 GB HDD)
• Research sobre estado del arte en herramientas de emulacion para armado de lab. Basicamente se trata de GNS3, qemu y vmware.
• Instalacion, puesta en marcha y fine tuning de lab
• Estudio parcelado en varios dias de las 12 horas de Audio on Demand - by the way, esta buenisimo!
• Notas sobre issues con lab actual vs CCIE security blueprint 3.0 (IOS-object group solo disponible en ISR no en 2691 emulado, IPS virtual sensor 6.1-no en 6.0 emulado, ASA 8.2 features como CSD, SSL VPN, otras no disponibles en PIX 8.02 emulado, switching features no disponibles en modulo emulado NM-16ESW-DHCP snooping, DAI, ISG, PVLAN, vlan mapping.
• Notas sobre temas con los que estoy lejos de sentirme comodo para el CCIE (al menos hoy): FPM, PVLAN, GETVPN, SSL VPN, CSD, ZBF, IOS transparent FW, RFC 3330, CoPP, CAR, QoS Dual Rate CBP, ASA threat prevention, DAI device tracking), IP options, IP fragments, network attacks referenciados (memorizados), DAI vs ISG.
• Busqueda de sountrack apropiado para el estudio - tiempo - 1 hora
• Configuracion cargada del ejercicio #1 del tecnology workbook del primer vendor (tiempo de setup = 45 mins).

Veamos como me va con la resolucion manana del ejercicio #1. Deberia tomarme menos de 4 horas. Tema es "Configure Cisco ASA Firewalls".


Hasta la proxima...