Modo
Exec Usuario:
Este
modo solo permite ver información limitada de la configuracióndel router y no
permite modificación alguna de ésta.
Modo
Exec Privilegiado:
Este
modo permite ver en detalle la configuración del routerpara
hacer diagnósticos y pruebas. También permite trabajar con los archivos de
configuracióndel router (Flash - NVRAM).
Modo
de Configuración Global:
Este
modo permite la configuración básica de router y permiteel acceso a submodos de
configuración específicos.
NOMBRAR AL ROUTER
router>
enable
router#
configure terminal
router(config)#
hostnameRouterA(nombra al router como)
RouterA(config)#
CONFIGURAR CONTRASEÑAS "ENABLE SECRET" Y "ENABLE
PASSWORD"
RouterA>
enable
RouterA#
configure
terminal
RouterA(config)#
enable
secretcontraseña* (configura contraseña Enable Secret)
RouterA(config)#
enablepasswordcontraseña(configura
contraseña EnablePassword)
RouterA(config)#
*
Es
recomendable configurar
Enable
Secret
ya
que genera una clave global cifrada en elrouter.
CONFIGURAR CONTRASEÑA DE CONSOLA
RouterA>
enable
RouterA#
config
terminal
RouterA(config)#
line
con 0 (ingresa a la Consola)
RouterA(config-line)#
passwordcontraseña(configura contraseña)
RouterA(config-line)#
login
(habilita la contraseña)
RouterA(config-line)#
exit
RouterA(config)#
CONFIGURAR CONTRASEÑA VTY (TELNET)
RouterA>
enable
RouterA#
config
terminal
RouterA(config)#
line
vty0 4(crea las 5 líneas VTY, pero podría ser
una sola. Ej: line vty 0)
RouterA(config-line)#
passwordcontraseña(contraseña para las 5 líneas en
este caso)
RouterA(config-line)#
login
(habilita la contraseña)
RouterA(config-line)#
exit
RouterA(config)#
CONFIGURAR INTERFACES ETHERNET ó FAST ETHERNET
RouterA>
enable
RouterA#
config
terminal
RouterA(config)#
interfacefastethernet 0/0* (ingresa al Submodo de
Configuración de Interfaz)
RouterA(config-if)#
ip
address192.168.0.1
255.255.255.0(configura
la IP en la interfaz)
RouterA(config-if)#
no
shutdown (levanta la interfaz)
RouterA(config-if)#
descriptionlan(asigna un nombre a la interfaz)
RouterA(config-if)#
exit
RouterA(config)#
*
Tener
en cuenta que la interfaz puede ser Ethernet o Fast Ethernet y que el
número de interfazpuede ser 0, 1, 0/0, 0/1, etc. Esto varía según el
router.
CONFIGURAR INTERFACES SERIAL COMO DTE
RouterA>
enable
RouterA#
config
terminal
RouterA(config)#
interfaceserial 0/0* (ingresa al Submodo de Configuración
de Interfaz)
RouterA(config-if)#
ipaddress10.0.0.1 255.0.0.0(configura la IP en la interfaz)
RouterA(config-if)#
no shutdown (levanta la
interfaz)
RouterA(config-if)#
descriptionred(asigna un nombre a la interfaz)
RouterA(config-if)#
exit
RouterA(config)#
*
Tener
en cuenta que el número de interfaz puede ser 0, 1, 0/0, 0/1, etc. Esto
varía segúnel router.
CONFIGURAR INTERFACES SERIAL COMO DCE
RouterB>
enable
RouterB#
config
terminal
RouterB(config)#
interfaceserial 0/1* (ingresa al Submodo de Configuración
de Interfaz)
RouterB(config-if)#
ipaddress10.0.0.2 255.0.0.0(configura la IP en la interfaz)
RouterB(config-if)#
clockrate56000(configura la sincronización entre los
enlaces)
RouterB(config-if)#
no shutdown (levanta la
interfaz)
RouterB(config-if)#
descriptionred(asigna un nombre a la interfaz)
RouterB(config-if)#
exit
RouterB(config)#
MODO EXEC PRIVILEGIADO
|
|
Comando
|
Descripción
|
clear cdp counters
|
Restaura los contadores de tráfico CDP a cero
|
clear cdp table
|
Elimina la tabla CDP de información de los vecinos
|
clear counters
|
Despeja los contadores de las interfaces
|
configure memory
|
Carga información de configuración de la NVRAM
|
configure terminal
|
Configura la terminal manualmente desde la terminal de consola
|
copy flash tftp
|
Copia la imagen del sistema desde la memoria Flash a un servidor TFTP
|
copy running-config startup-config
|
Guarda la configuración activa en la NVRAM
|
copy running-config tftp
|
Almacena la configuración activa en un servidor TFTP
|
copy tftp flash
|
Descarga una nueva imagen desde un servidor TFTP en la memoria Flash
|
copy tftp runnig-config
|
Carga la información de configuración desde un servidor TFTP
|
debug cdp adjacency
|
Muestra información recibida de vecinos CDP
|
debug cdp events
|
Muestra información sobre eventos CDP
|
debug cdp ip
|
Muestra información CDP específica de IP
|
debug cdp packets
|
Muestra información relacionada a los paquetes CDP
|
debug ip igrp events
|
Muestra todos los eventos IGRP que se están enviando y recibiendo en
el router.
|
debug ip igrp transactions
|
Muestra las actualizaciones IGRP que se están enviando y recibiendo en
el router
|
debug ip rip
|
Muestra información sobre las actualizaciones de enrutamiento RIP
mientras el router las envía y recibe
|
debug ip rip [events]
|
Muestra las actualizaciones de enrutamiento RIP a medida que se las
envía y recibe
|
disable
|
Sale del modo EXEC Privilegiado hacia el modo EXEC Usuario
|
erase flash
|
Borra el contenido de la memoria Flash
|
erase startup-config
|
Borra el contenido de la NVRAM
|
no debug all
|
Desactiva todas las depuraciones activadas en el dispositivo
|
reload
|
Reinicia el router
|
Setup
|
Entra a la facilidad de Diálogo de configuración inicial
|
show access-lists [Nro_ACL|Nom-bre_ACL]
|
Muestra el contenido de todas las ACL en el router. Para ver una lista
específica, agregue el nombre o número de ACL como opción a este comando
|
show arp
|
Muestra la asignación de direcciones IP a MAC a Interfaz del router
|
show cdp traffic
|
Muestra los contadores CDP, incluyendo el número de paquetes enviados
y recibidos, y los errores de checksum
|
show controllers serial [número]
|
Muestra información importante como que tipo de cable se encuentra
conectado
|
show debugging
|
Muestra información acerca de los tipos de depuraciones que están
habilitados
|
show flash
|
Muestra la disposición y contenido de la memoria Flash
|
show interfaces [tipo número]
|
Muestra estadísticas para la/las interfaces indicadas
|
show ip interface [tipo número]
|
Muestra los parámetros de estado y globales asociados con una interfaz
|
show ip protocols [summary]
|
Muestra los parámetros y estado actual del proceso de protocolo de
enrutamiento activo
|
show memory
|
Muestra estadísticas acerca de la memoria del router, incluyendo
estadísticas de memoria disponible
|
show processes
|
Muestra información acerca de los procesos activos
|
show protocols
|
Muestra los protocolos de capa 3 configurados
|
show running-config
|
Muestra la configuración actual en la RAM
|
show sessions
|
Muestra las conexiones Telnet establecidas en el router
|
show stacks
|
Controla el uso de la pila de procesos y rutinas de interrupción y
muestra la causa del último rearranque del sistema
|
show startup-config
|
Muestra la configuración que se ha guardado, que es el contenido de la
NVRAM
|
terminal monitor
|
Si se utiliza una sesión por telnet para examinar el router, entonces,
permite redirigir el resultado y los mensajes del sistema hacia a terminal
remota
|
undebug all
|
Desactiva todas las depuraciones activadas en el dispositivo
|
Configuración global
La Configuración Global controla los ajustes operativos
de Joomla!. Los cambios realizados en esta pantalla actualizarán el archivo
configuration.php. Es necesario que este fichero sea ‘writable’ (escribible)
para que pueda editar la configuración.
En el área de trabajo de esta pantalla se muestra el
estado de escritura del archivo configuration.php. Pulsando la casilla de
selección con la etiqueta: “Proteger el archivo contra escritura una vez
guardado”, se cambiarán los permisos del archivo configuration.php a
‘unwritable’ (no escribible), una vez se hayan guardado los cambios. Cuando el
sitio esté configurado, se recomienda cambiar el archivo configuration.php a
‘unwritable’ por razones de seguridad.
2.1.1
EJECUCIÓN DE
COMANDOS DEL SISTEMA OPERATIVO DE INTERNETWORK (IOS)
¨ Funciones
del IOS: modos de funcionamiento
Los dispositivos
cisco IOS tienen tres entornos o modos de funcionamiento diferentes:
o Monitor
ROM
o ROM
de arranque
o Cisco
IOS
El proceso de inicio de un equipo
normalmente se carga en la RAM y se ejecuta en uno de estos entornos
operativos. Los administradores de sistema pueden utilizar la configuración del
registro de configuración para controlar cuál de estos modos está utilizando el
equipo para cargar.
El monitor ROM ejecuta el
proceso bootstrap y proporciona funcionalidad y diagnósticos de bajo
nivel. Este monitor se utiliza para recuperarse de fallos en el sistema y de
una pérdida de contraseña. No se puede acceder a el a través de cualquiera de
las interfaces de red, sino sólo a través de una sesión de puerto por consola.
Cuando el equipo se está ejecutando en el modo ROM de arranque, sólo está
disponible un subconjunto limitado del conjunto de funciones del cisco IOS. La
ROM de arranque permite escribir operaciones en la memoria flash y se utiliza
principalmente para modificar la imagen del cisco ios almacenada en dicha
memoria. La imagen ios puede modificarse en la ROM de arranque utilizando el
comando COPYTFTP flash que copia una imagen del ios almacenada en un
servidor tftp en la memoria flash del equipo.
El funcionamiento normal del equipo
requiere la imagen completa del ios desde la memoria flash. En algunos dispositivos,
el ios se ejecuta directamente desde la memoria flash. Sin embargo, la mayoría
de los equipos requieren que se cargue una copia de la imagen del ios en la RAM
y también que se ejecute desde la RAM. Algunas imágenes del ios están
almacenadas en la memoria flash en un formato comprimido y deben expandirse
cuando se copien en la RAM.
¨ Métodos
de acceso:
o Consola: se puede tener acceso a
la cli a través de una
sesión de consola, tambiéndenominada
línea cty. La consola
usa una conexión serial de baja velocidad
para conectar directamente un equipo o un terminal al puerto de consola en el router oswitch. El puerto de consola es un puerto de administración que provee acceso alrouter fuera
de banda. Es posible acceder al puerto de consola aunque no se hayan configurado servicios de networking en el dispositivo. El puerto de consola a se suele utilizar para tener acceso a un dispositivo cuando no se han
iniciado o han fallado los servicios de networking. Ejemplos del uso
de la consola son:
· La configuración de inicio del dispositivo de red.
· Procedimientos de recuperación de desastres y
resolución de problemas dondeno es posible el acceso
o Telnet
o ssh: un método que
sirve para acceder en forma remota a
la sesión cli eshacer telnet al router. A diferencia de la
conexión de consola, las sesiones de telnet requieren servicios de networking activos en el dispositivo.
El dispositivo de reddebe tener configurada por lo menos una
interfaz activa con una
dirección de capa3, como por ejemplo una dirección
ipv4. Los dispositivos
cisco ios incluyen unproceso de servidor telnet que
se activa cuando se inicia el dispositivo.
El iostambién contiene un cliente telnet. Un host con
un cliente
telnet puede acceder a
lassesiones vty que
se ejecutan en el dispositivo cisco. Por razones de seguridad, elIOS requiere que la sesión telnet use una
contraseña, como método mínimo deautenticación. Los
métodos para establecer
las conexiones y
contraseñas seanalizarán en una sección posterior. El secure shell protocol (ssh) es un método que ofrece más
seguridad en el acceso al dispositivo remoto. Este protocolo provee la
estructura para una
conexión remota similar a telnet, salvo que utiliza servicios dered más
seguros. El ssh proporciona autenticación de contraseña más
potente que telnet y
usa encriptación cuando
transporta DAT os de la sesión. La sesión ssh
encripta todas las comunicaciones entre
el cliente
y el dispositivo IOS. De esta manera se
mantienen en privado la id del usuario, la contraseña y los detalles de la sesión deadministración. Una mejor práctica es utilizar siempre ssh en lugar de telnet, siempre que sea posible. La mayoría de las versiones más recientes de ios contienen unservidor ssh. En algunos dispositivos, este servicio se activa en formapredeterminada. Otros dispositivos requieren la activación del servidor ssh. Los dispositivos ios también incluyen un cliente ssh que puede utilizarse para establecer sesiones ssh con otros dispositivos. De manera similar, puede utilizarseun equipo remoto con un cliente ssh para iniciar una sesión de cli segura. No seprovee el software de cliente ssh de manera predeterminada en los sistemasoperativos de todos los equipos. Es posible que deba adquirir, instalar y configurar elsoftware de cliente ssh en su equipo.
mantienen en privado la id del usuario, la contraseña y los detalles de la sesión deadministración. Una mejor práctica es utilizar siempre ssh en lugar de telnet, siempre que sea posible. La mayoría de las versiones más recientes de ios contienen unservidor ssh. En algunos dispositivos, este servicio se activa en formapredeterminada. Otros dispositivos requieren la activación del servidor ssh. Los dispositivos ios también incluyen un cliente ssh que puede utilizarse para establecer sesiones ssh con otros dispositivos. De manera similar, puede utilizarseun equipo remoto con un cliente ssh para iniciar una sesión de cli segura. No seprovee el software de cliente ssh de manera predeterminada en los sistemasoperativos de todos los equipos. Es posible que deba adquirir, instalar y configurar elsoftware de cliente ssh en su equipo.
o Puerto
auxiliar: el puerto auxiliar también puede usarse en forma local, como elpuerto de consola, con una
conexión directa a un equipo que ejecute un programa deemulación de terminal. El puerto de consola es necesario
para la configuración del
router, pero no todos los routers
tienen un puerto auxiliar. También se prefiere elpuerto de consola antes que
el puerto auxiliar para
la resolución de problemas, yaque muestra
de manera predeterminada la puesta en marcha del router,
la depuración y los mensajes de error. Generalmente, en la
única oportunidad que
elpuerto auxiliar se usa en forma local en lugar del
puerto de consola es cuando surgen problemas en el uso
del puerto de consola, como por ejemplo cuando no seconocen ciertos parámetros de consola.
¨ Tipos
de archivos de configuración: los dispositivos
de red dependen de dos tipos de software
para su funcionamiento: el sistema operativo y la configuración. Al igual que el sistema operativo en cualquier equipo, el sistema operativo facilita la operación básica de los componentes de hardware del
dispositivo. Los archivos de configuración contienen los comandos del software iosde cisco utilizados para personalizar la funcionalidad de un dispositivo cisco. Los
comandos son analizados (traducidos y
ejecutados) por el software
ios de cisco cuando inicia el sistema (desde el archivo startup-config) o
cuando se ingresan loscomandos en la
cli mientras está
en modo configuración. El administrador de redcrea una
configuración que define la funcionalidad deseada del dispositivo cisco.El tamaño del archivo de configuración
normalmente es de unos
cientos a unos miles de bytes.
o El
archivo de configuración en ejecución: la configuración en ejecución se modifica cuando el administrador de red realiza la
configuración del dispositivo.Los cambios en la configuración en ejecución afectarán la operación del
dispositivo cisco en forma inmediata.
Luego de realizar
los cambios necesarios, el administradortiene la
opción de guardar tales cambios en el archivo startup-config, de manera que
se utilicen
la próxima vez que
se reinicie el dispositivo. Como el archivo deconfiguración en ejecución se
encuentra en la RAM, se pierde si se apaga la
energía que alimenta al dispositivo o si se reinicia el dispositivo.
También se perderán loscambios realizados en el archivo running-config si no se guardan en el archivostartup-config antes de apagar el dispositivo.
o Archivo
de configuración de inicio:
¨ Métodos
de operación de ios:
o Exec
de usuario: ofrece solo una parte del juego completo de instrucciones, lso
cuales permiten hacer un diagnostico sencillo sobre el estado del sistema y su
configuracion.
o Exec
privilegiado: permite hacer un diagnóstico completo del estado del sistema, ver
la configuración actual, iniciar y detener el depurado y demás permite pasar al
modo de configuración (global configuration mode)
o Configuración
global:
¨ Peticiones
de entrada de comandos ios: cuando se usa la cli, el modo seidentifica mediante
la petición de entrada de línea de comandos que es exclusiva
deese modo. La petición de entrada
está compuesta por las palabras y los símbolos enla
línea a la izquierda del área de entrada. Se usa
la frase petición de entrada
porque el sistema le solicita que
ejecute una entrada. De manera predeterminada, cadapetición de entrada
empieza con el nombre del dispositivo. Después del nombre, el resto
de la petición de entrada
indica el modo. Por ejemplo: la petición de entrada
por defecto para el modo de configuración global en un
router sería: router(config)#como se utilizan comandos y
cambian los modos, la
petición de entrada cambia para
reflejar el contexto actual,
como se muestra en la
figura
¨ Uso
de la ayuda de la cli:
o Ayuda
sensible al contexto:
o Verificación
de sintaxis de comando:
o Teclas
de acceso rápido y métodos abreviados:
¨ Estructura
básica de comandos ios: si pulsa la tecla interrogación (?) En el
indicador del modo usuario o en el modo privilegiado, aparecerá en pantalla una
lista muy manejable de los comandos mas utilizados habitualmente. Cuando ha
iniciado la sesión verá el indicador -more- en la parte inferior de la salida
del equipo. La pantalla visualiza 22 líneas de una sola vez, por lo que a veces
aparece este indicador en la parte inferior de la pantalla. El indicador -more-
quiere decir que hay varias pantallas disponibles como salida, es decir, le
siguen mas salidas. Aquí, o en cualquier parte del software cisco ios, siempre
que aparezca el indicador -more-, podrá continuar visualizando la siguiente
pantalla disponible pulsando la barra espaciadora. Para ver solo la línea
siguiente presione la tecla intro. Pulse cualquier otra tecla para volver al
indicador de comandos del equipo.
o Comandos
de edición: la interfaz de usuario incluye un modo de edición mejorado, que
proporciona un conjunto de funciones de teclas de edición que permiten editar
una línea de comandos mientras se escribe. Use los atajos del teclado que se
indican en la tabla 2 para mover el cursor por la línea de comandos y efectuar
cambios o correcciones. Aunque el modo de edición mejorado se activa
automáticamente con la descarga real del software, se puede desactivar si se
han escrito scripts que no interactúan correctamente mientras está
activada la edición mejorada. Para desactivar el modo de edición mejorado,
escriba terminal no editing en el indicador del modo privilegiado. El
conjunto de comandos de edición proporciona una función de desplazamiento
horizontal para los comandos que siguen en la línea de la pantalla. Cuando el
cursor alcanza el margen derecho, la línea de comandos se desplaza 10 espacios
a la derecha. El signo del dólar ($) indica que la línea se
ha desplazado a la izquierda. Cada vez que el cursor alcanza el final
de la línea, ésta se desplaza otra vez 10 espacios a la izquierda. No se pueden
ver los primeros diez caracteres de una línea, pero puede desplazar el cursor y
verificar la sintaxis al principio del comando. Para desplazarse hacia atrás,
pulse ctrl+b o la tecla flecha izquierda repetidamente, hasta que se encuentre
al principio de la entrada de comando, o pulse ctrl+a para volver directamente
al comienzo de la línea.
¨ Modos
de configuración de ios: por motivos de seguridad, estos equipos
tienen dos niveles de acceso a los comandos.
o Modo
usuario: para tareas comunes como verificar el estado del equipo. En este
modo no se puede cambiar la configuración del equipo.
o Modo
privilegiado: tareas comunes que pueden cambiar la configuración del
equipo.
o Componentes: la
arquitectura interna del router/switch cisco soporta componentes que cumplen un
papel fundamental en el proceso de inicio, como se indica en la figura 2. Los
componentes internos son los siguientes:
· RAM/dram:
almacena las tablas de enrutamiento, el caché arp, el caché de conmutación
rápida, el búfering de paquetes (ram compartida) y las colas de espera de
paquetes. La ram también proporciona memoria temporal y/o de trabajo para el
archivo de configuración de un router mientras el router está encendido. El
contenido de la ram se pierde si se produce un corte de energía eléctrica o si
se reinicia el equipo
· Nvram:
la ram no volátil almacena la copia de respaldo del archivo de
configuración/archivo deconfiguración de inicio del router. El contenido de la
nvram se conserva durante un corte de energía o si se reinicia el equipo
· Flash:
rom borrable y reprogramable que retiene la imagen y el microcódigo del sistema
operativo. La memoria flash activa las actualizaciones del software sin
eliminar ni reemplazar los chips del procesador. El contenido de la flash se
conserva durante los cortes de energía o reinicio. La memoria flash puede
almacenar múltiples versiones del software ios
· Rom:
contiene diagnósticos de encendido, un programa bootstrap y software del
sistema operativo. Las actualizaciones del software en la rom requieren la
eliminación y el reemplazo de chips enchufables en la cpu
· Interfaces:
conexiones de red, en la motherboard o en módulos de interfaz separados, a
través de las cuales los paquetes entran y salen de un equipo
b) Configuración básica de
dispositivos de red.
11.2 Aplicación de una configuración
básica con Cisco IOS
11.2.1 Los dispositivos necesitan nombres
11.2.1 Los dispositivos necesitan nombres
El nombre de host se usa en las
peticiones de entrada de la CLI. Si el nombre de host no está explícitamente
configurado, el router usa el nombre de host predeterminado, asignado de
fábrica, "Router". El switch tiene el nombre de host predeterminado,
asignado de fábrica, "Switch". Imagine que una internetwork tiene
varios routers y todos recibieron el nombre predeterminado "Router".
Se crearía una importante confusión durante la configuración y el mantenimiento
de la red. Cuando se accede a un dispositivo remoto con Telnet o SSH, es
importante tener la confirmación de que se ha hecho una conexión al dispositivo
adecuado. Si todos los dispositivos quedaran con sus nombres predeterminados,
no se podría identificar que el dispositivo correcto esté conectado. Al elegir
y documentar nombres atinadamente, resulta más fácil recordar, analizar e
identificar dispositivos de red. Para nombrar los dispositivos de manera
uniforme y provechosa, es necesario el establecimiento de una convención de
denominación que se extienda por toda la empresa o, al menos, por la división.
Siempre conviene crear la convención de denominación al mismo tiempo que el
esquema de direccionamiento para permitir la continuidad dentro de la
organización. Según ciertas pautas de convenciones de denominación, los nombres
deberían: • Comenzar con una letra. • No debe incluirse ningún espacio. •
Finalizar con una letra o dígito. • Sólo deben incluirse caracteres que sean
letras, dígitos y guiones. • Tener 63 caracteres o menos. Los nombres de hosts
utilizados en el dispositivo IOS conservan su uso de mayúsculas y minúsculas.
Por lo tanto, es posible escribir un nombre con mayúsculas como se haría
normalmente. Esto contrasta con la mayoría de los esquemas de denominación de
Internet, donde los caracteres en mayúsculas y minúsculas reciben igual trato.
RFC 1178 provee algunas de las reglas que pueden usarse como referencia para la
denominación de dispositivos. Como parte de la configuración del dispositivo,
debe configurarse un nombre de host único para cada dispositivo. Nota: Sólo los
administradores usan los nombres de host de los dispositivos cuando usan la CLI
para configurar y monitorear los dispositivos. A menos que estén configurados
de esa manera, los dispositivos no usan estos nombres cuando se detectan entre
sí e interoperan.
Aplicación de nombres: ejemplo
Veamos un ejemplo de tres routers conectados en una red que abarca tres ciudades diferentes (Atlanta, Phoenix y Corpus) como se muestra en la figura. Para crear una convención de denominación para los routers, se debe tener en cuenta la ubicación y el propósito de los dispositivos. Pregúntese lo siguiente: ¿Serán estos routers parte de la sede de una organización? ¿Tiene cada router un propósito diferente? Por ejemplo, ¿es el router de Atlanta un punto de unión principal en la red o es una unión en una cadena?
Veamos un ejemplo de tres routers conectados en una red que abarca tres ciudades diferentes (Atlanta, Phoenix y Corpus) como se muestra en la figura. Para crear una convención de denominación para los routers, se debe tener en cuenta la ubicación y el propósito de los dispositivos. Pregúntese lo siguiente: ¿Serán estos routers parte de la sede de una organización? ¿Tiene cada router un propósito diferente? Por ejemplo, ¿es el router de Atlanta un punto de unión principal en la red o es una unión en una cadena?
En este ejemplo, cada router se
identificará como una sucursal de la sede para cada ciudad. Los nombres podrían
ser AtlantaHQ, PhoenixHQ y CorpusHQ. Si cada router hubiera sido una unión en
una cadena sucesiva, los nombres podrían haber sido AtlantaJunction1, PhoenixJunction2
y CorpusJunction3. En la documentación de la red, se incluirán estos nombres y
los motivos de su elección, a fin de asegurar la continuidad de nuestra
convención de denominación a medida que se agregan dispositivos. Una vez que se
ha identificado la convención de denominación, el próximo paso es aplicar los
nombres al router usando la CLI. Este ejemplo nos conducirá a través del
proceso de denominación del router de Atlanta.
Configuración del nombre de host de
IOS
Desde el modo EXEC privilegiado, acceda al modo de configuración global ingresando el comando configure terminal (configurar terminal): Router#configure terminal Después de que se ejecuta el comando, la petición de entrada cambiará a: Router(config)# En el modo global, ingrese el nombre de host: Router(config)#hostname AtlantaHQ Después de ejecutar ese comando, la petición de entrada cambiará a: AtlantaHQ(config)# Observe que el nombre de host aparece en la petición de entrada. Para salir del modo global, use el comando exit. Siempre asegúrese de que la documentación esté actualizada cada vez que se agrega o modifica un dispositivo.
Desde el modo EXEC privilegiado, acceda al modo de configuración global ingresando el comando configure terminal (configurar terminal): Router#configure terminal Después de que se ejecuta el comando, la petición de entrada cambiará a: Router(config)# En el modo global, ingrese el nombre de host: Router(config)#hostname AtlantaHQ Después de ejecutar ese comando, la petición de entrada cambiará a: AtlantaHQ(config)# Observe que el nombre de host aparece en la petición de entrada. Para salir del modo global, use el comando exit. Siempre asegúrese de que la documentación esté actualizada cada vez que se agrega o modifica un dispositivo.
Identifique los dispositivos en la
documentación por su ubicación, propósito y dirección. Nota: Para anular los
efectos de un comando, establezca el prefacio del comando con la palabra clave
no. Por ejemplo: para eliminar el nombre de un dispositivo, utilice:
AtlantaHQ(config)# no hostname Router(config)# Nótese que el comando no
hostname provoca que el router vuelva a usar el nombre de host por defecto,
"Router."
11.2.2 Limitar acceso a dispositivo:
Configuración, contraseñas y uso de mensajes
La limitación física del acceso a los dispositivos de red con armarios o bastidores con llave resulta una buena práctica; sin embargo, las contraseñas son la principal defensa contra el acceso no autorizado a los dispositivos de red. Cada dispositivo debe tener contraseñas configuradas a nivel local para limitar el acceso. En un curso futuro, analizaremos cómo reforzar la seguridad al exigir una ID de usuario junto con una contraseña. Por ahora, presentaremos precauciones de seguridad básicas mediante el uso de contraseñas únicamente. Como se comentó anteriormente, el IOS usa modos jerárquicos para colaborar con la seguridad del dispositivo. Como parte de este cumplimiento de seguridad, el IOS puede aceptar diversas contraseñas para permitir diferentes privilegios de acceso al dispositivo. Las contraseñas ingresadas son: • Contraseña de consola: limita el acceso de los dispositivos mediante la conexión de consola • Contraseña de enable: limita el acceso al modo EXEC privilegiado • Contraseña enable secret: encriptada, limita el acceso del modo EXEC privilegiado • Contraseña de VTY: limita el acceso de los dispositivos que utilizan Telnet Siempre conviene utilizar contraseñas de autenticación diferentes para cada uno de estos niveles de acceso. Si bien no es práctico iniciar sesión con varias contraseñas diferentes, es una precaución necesaria para proteger adecuadamente la infraestructura de la red ante accesos no autorizados. Además, utilice contraseñas seguras que no se descubran fácilmente. El uso de contraseñas simples o fáciles de adivinar continúa siendo un problema de seguridad en muchas facetas del mundo empresarial. Considere estos puntos clave cuando elija contraseñas: • Use contraseñas que tengan más de 8 caracteres. • Use en las contraseñas una combinación de secuencias de letras mayúsculas y minúsculas o numéricas. • Evite el uso de la misma contraseña para todos los dispositivos. • Evite el uso de palabras comunes como contraseña o administrador, porque se descubren fácilmente. Nota: En la mayoría de las prácticas de laboratorio, usaremos contraseñas simples como cisco o clase. Estas contraseñas se consideran simples y fáciles de adivinar, y deben evitarse en un entorno de producción. Sólo usamos estas contraseñas por comodidad en el entorno instructivo. Como se muestra en la figura, cuando se le solicita una contraseña, el dispositivo no repetirá la contraseña mientras se ingresa. En otras palabras, los caracteres de la contraseña no aparecerán cuando el usuario los ingrese. Esto se hace por cuestiones de seguridad; muchas contraseñas se obtienen por ojos espías. Contraseña de consola El puerto de consola de un dispositivo Cisco IOS tiene privilegios especiales. El puerto de consola de dispositivos de red debe estar asegurado, como mínimo, mediante el pedido de una contraseña segura al usuario. Así se reducen las posibilidades de que personal no autorizado conecte físicamente un cable al dispositivo y obtenga acceso a éste. Los siguientes comandos se usan en el modo de configuración global para establecer una contraseña para la línea de consola: Switch(config)#line console 0 Switch(config-line)#password password Switch(config-line)#login Desde el modo de configuración global, se usa el comando line console 0 para ingresar al modo de configuración de línea para la consola. El cero se utiliza para representar la primera (y, en la mayoría de los casos, la única) interfaz de consola para un router. El segundo comando, password password especifica una contraseña en una línea. El comando login configura al router para que pida la autenticación al iniciar sesión. Cuando el login está habilitado y se ha configurado una contraseña, habrá una petición de entrada de una contraseña. Una vez que se han ejecutado estos tres comandos, aparecerá una petición de entrada de contraseña cada vez que un usuario intente obtener acceso al puerto de consola.
La limitación física del acceso a los dispositivos de red con armarios o bastidores con llave resulta una buena práctica; sin embargo, las contraseñas son la principal defensa contra el acceso no autorizado a los dispositivos de red. Cada dispositivo debe tener contraseñas configuradas a nivel local para limitar el acceso. En un curso futuro, analizaremos cómo reforzar la seguridad al exigir una ID de usuario junto con una contraseña. Por ahora, presentaremos precauciones de seguridad básicas mediante el uso de contraseñas únicamente. Como se comentó anteriormente, el IOS usa modos jerárquicos para colaborar con la seguridad del dispositivo. Como parte de este cumplimiento de seguridad, el IOS puede aceptar diversas contraseñas para permitir diferentes privilegios de acceso al dispositivo. Las contraseñas ingresadas son: • Contraseña de consola: limita el acceso de los dispositivos mediante la conexión de consola • Contraseña de enable: limita el acceso al modo EXEC privilegiado • Contraseña enable secret: encriptada, limita el acceso del modo EXEC privilegiado • Contraseña de VTY: limita el acceso de los dispositivos que utilizan Telnet Siempre conviene utilizar contraseñas de autenticación diferentes para cada uno de estos niveles de acceso. Si bien no es práctico iniciar sesión con varias contraseñas diferentes, es una precaución necesaria para proteger adecuadamente la infraestructura de la red ante accesos no autorizados. Además, utilice contraseñas seguras que no se descubran fácilmente. El uso de contraseñas simples o fáciles de adivinar continúa siendo un problema de seguridad en muchas facetas del mundo empresarial. Considere estos puntos clave cuando elija contraseñas: • Use contraseñas que tengan más de 8 caracteres. • Use en las contraseñas una combinación de secuencias de letras mayúsculas y minúsculas o numéricas. • Evite el uso de la misma contraseña para todos los dispositivos. • Evite el uso de palabras comunes como contraseña o administrador, porque se descubren fácilmente. Nota: En la mayoría de las prácticas de laboratorio, usaremos contraseñas simples como cisco o clase. Estas contraseñas se consideran simples y fáciles de adivinar, y deben evitarse en un entorno de producción. Sólo usamos estas contraseñas por comodidad en el entorno instructivo. Como se muestra en la figura, cuando se le solicita una contraseña, el dispositivo no repetirá la contraseña mientras se ingresa. En otras palabras, los caracteres de la contraseña no aparecerán cuando el usuario los ingrese. Esto se hace por cuestiones de seguridad; muchas contraseñas se obtienen por ojos espías. Contraseña de consola El puerto de consola de un dispositivo Cisco IOS tiene privilegios especiales. El puerto de consola de dispositivos de red debe estar asegurado, como mínimo, mediante el pedido de una contraseña segura al usuario. Así se reducen las posibilidades de que personal no autorizado conecte físicamente un cable al dispositivo y obtenga acceso a éste. Los siguientes comandos se usan en el modo de configuración global para establecer una contraseña para la línea de consola: Switch(config)#line console 0 Switch(config-line)#password password Switch(config-line)#login Desde el modo de configuración global, se usa el comando line console 0 para ingresar al modo de configuración de línea para la consola. El cero se utiliza para representar la primera (y, en la mayoría de los casos, la única) interfaz de consola para un router. El segundo comando, password password especifica una contraseña en una línea. El comando login configura al router para que pida la autenticación al iniciar sesión. Cuando el login está habilitado y se ha configurado una contraseña, habrá una petición de entrada de una contraseña. Una vez que se han ejecutado estos tres comandos, aparecerá una petición de entrada de contraseña cada vez que un usuario intente obtener acceso al puerto de consola.
Contraseña de enable y Contraseña
enable secret
Para proporcionar una mayor seguridad, utilice el comando enable password o el comando enable secret. Puede usarse cualquiera de estos comandos para establecer la autenticación antes de acceder al modo EXEC privilegiado (enable). Si es posible, use siempre el comando enable secret, no el comando anterior enable password. El comando enable secret provee mayor seguridad porque la contraseña está encriptada. El comando enable password puede usarse sólo si enable secret no se ha configurado aún. El comando enable password se ejecutaría si el dispositivo usa una versión anterior del software IOS de Cisco que no reconoce el comando enable secret. Los siguientes comandos se utilizan para configurar las contraseñas: Router(config)#enable password contraseña Router(config)#enable secret contraseña Nota: Si no se configura una contraseña enable password o enable secret, IOS impide el acceso EXEC privilegiado desde una sesión Telnet. Si no se ha establecido una contraseña de enable, podría aparecer una sesión Telnet de esta forma: Switch>enable % No se ha establecido contraseña Switch>
Contraseña de VTY
Las líneas vty permiten el acceso a un router a través de Telnet. En
forma predeterminada, muchos dispositivos Cisco admiten cinco líneas VTY con
numeración del 0 al 4. Es necesario configurar una contraseña para todas las
líneas vty disponibles. Puede configurarse la misma contraseña para todas las
conexiones. Sin embargo, con frecuencia conviene configurar una única
contraseña para una línea a fin de proveer un recurso secundario para el
ingreso administrativo al dispositivo si las demás conexiones están en uso. Los
siguientes comandos se usan para configurar una contraseña en líneas vty:
Router(config)#line vty 0 4 Router(configline)#password contraseña
Router(config-line)#login Por defecto, el IOS incluye el comando login en las
líneas VTY. Esto impide el acceso Telnet al dispositivo sin la previa solicitud
de autenticación. Si por error, se configura el comando no login, que elimina
el requisito de autenticación,