Configuración base para un dispositivo
Hola amigos, en este post les mostrare una configuración básica para los dispositivos cisco que compren o les toque instalar, es la configuración mínima para tener administración de los equipos.
Esta lista muestra lo que vamos a configurar:
- Hostname
- Banner motd (Message of the day)
- Puerto de consola - Password
- Activar el logging-synchrounous
- Servicios de administración VTY (virtual terminal / Telnet / SSH) - Password
- IP en interfaz/Activar interfaz
- Desactivar Domain-lookup
- Cifrar passwords (Cifrado cisco)
- Enable Password
- Guardar configuración
Antes de comenzar es importante omitir el wizard de configuración, usar el comando enable para entrar al modo privilegiado y el comando configure terminal para poder configurar el equipo:
HOSTNAME
Para ponerle un nombre a nuestro equipo es tan fácil como poner en modo configuración:
#hostname "nombre"
Como vemos al momento de poner el comando se aplica automáticamente, en este caso nuestro router cambio al nombre de R1.
BANNER MOTD
El banner de mensaje del día es importante ya que podemos dejar mensajes a otro administradores o advertir la entrada al equipo solo a personal autorizado. Para configurar el banner usamos el comando:
#banner motd "*"
*NOTA: en este comando utilizamos al inicio y final del mensaje un carácter especial, este nos ayudará a definir el tamaño del mensaje.
Al momento de entrar en el equipo nos mostrara el mensaje:
PUERTO DE CONSOLA - PASSWORD
Para configurar un password a nuestra conexión de consola usamos el siguiente comando:
#line console 0
(config-line)#password "password"
(config-line)#login
Como vemos en el comando la primera linea nos indica que configuraremos el puerto consola.
La segunda linea es donde asignamos el password para la conexión vía consola.
La tercera linea activa el login, es decir activamos en el dispositivo el uso de contraseña, este comando es importante ya que si lo omitimos nunca nos pedirá un password.
En esta imagen se ve una conexión de una PC a un router mediante el cable de consola.
Al conectarnos usamos el password que previamente configuramos.
ACTIVAR LOGGING SYNCHRONOUS
Este pequeño comando nos ayudara a que los mensajes de log de la consola, no nos molesten cuando estamos poniendo comandos, lo que hará será que cuando se envie a la terminal un nuevo mensaje de log, al momento de teclear un comando, este se muestre en la siguiente linea, evitando que se mezcle con los mensajes de los logs:
#logging synchronous
SERVICIOS DE ADMINISTRACION VTY (TELNET/SSH)
Para poder ponerle una contraseña a los servicios de administración como el telnet o ssh, hay que definir cuantas terminales virtuales tendran acceso al dispositivo, por manejar un estandar se dejan 5 terminales virtuales, usamos el siguiente comando par aasignarles una contraseña:
#line vty 0 4
(config-line)#password "password"
(config-line)#login local
*NOTA: se puede dejar un password diferente en cada terminal virtual, esto es poco practico ya que un administrador al conectarse no sabe en que virtual terminal esta asignado.
En la primera linea configuramos las terminales virtuales que activaremos, en este caso es de la terminal 0 a la 4.
En la segunda linea asignamos el password que tendrán las terminales virtuales.
En la tercera linea activamos el login para estas terminales.
IP EN INTERFACE/ACTIVAR INTERFACE
Para poderle asignar una IP a un puerto de nuestro dispositivo usamos el siguiente comando:
#interface "interface"
(config-if)#ip address "ip" "mascara de red"
(config-if)#no shutdown
En la primera linea vamos a poner la interface que vamos a modificar.
En la segunda linea asignamos la IP que tendrá esa interface.
En la tercera linea aplicamos el comando no shutdown, este comando se utiliza para activar administrativamente la interfaz.
En caso de que sea una switch y queramos ponerle a una interface vlan una IP, el procedimiento es el mismo, solo que la interface será la vlan a configurar.
DESACTIVAR DOMAIN-LOOKUP
Al momento de trabajar en la consola, si por equivocación ponemos mal un comando o ponemos algún nombre el equipo va a tratar de hacer una conexión telnet a un equipo con el nombre de comando que pusimos mal o el nombre que pusimos, para evitar eso, usamos el siguiente comando y no tratará de resolver el dominio.
#no ip domain-lookup
Sin domain-lookup
Con domain-lookup
CIFRAR PASSWORDS
Como podemos observar los passwords en los dispositivos se muestran en texto plano, esto ocasiona que si alguna persona no autorizada tiene acceso a estas configuraciones puede entrar a nuestros dispositivos usando el password que muestra la configuración:
Para evitar esto usamos el siguiente comando que nos ayuda a cifrar de manera debil el password, menciono debil ya que el algoritmo que usan los equipos cisco ya se encuentra crackeado.
Comando:
#service password-encryption
Sin cifrado:
Con cifrado:
ENABLE PASSWORD
Una vez que tengamos el password de consola tendremos que asignar otro password para habilitar el acceso al modo privilegiado, este password se puede poner de dos maneras, usando el cifrado que tiene cisco o habilitando el hashing md5 para no tenerlo en texto plano.
Comando para cifrado de cisco:
#enable password "password"
Comando para aplicar un hashing md5
#enable secret "password"
*NOTA: si activamos ambas medidas de seguridad el enable secret tendra precedencia sobre el enable password, haciendo que la contraseña que tiene cifrado de cisco no sea aceptada.
GUARDAR CONFIGURACIÓN
Para guardar la configuración que hicimos, usamos el siguiente comando:
#copy running-config startup-config
#write
**NOTA ADICIONAL:
Como tip, si necesitamos buscar una configuración en la configuración activa o en la de inicio podemos concatenar comandos, utilizando el siguiente comando podemos ver solo una fragmento de la configuración que esta relacionada a lo que estamos buscando:
#show running-config | section line vty
Espero que este post haya sido de utilidad, si tienen algún comentario pueden dejarlo en la caja de abajo.
No hay comentarios.:
Publicar un comentario