Fundamentos en IOS - Part 9 de 9 - Sintaxis de las interfaces

Sintaxis de las interfaces

Hola amigos, el tema de hoy esta centrado en las interfaces.

Lo primero es comprender el estatus de las interfaces, esto lo podemos ver con el comando:

>show ip interface brief

la primera columna (Interface) nos indica el numero y tipo de interfaces con las que cuenta el dispositivo.

La segunda columna (IP-Address) nos indica si esa interfaz cuenta con una IP y cual es o si no se encuentra una IP configurada en el dispositivo.

La tercera columna (OK?) nos muestra el estatus o la "salud" de la interfaz

La cuarta columna (Method) nos indica de que manera obtiene la IP esa interfaz.

La quinta columna (Status) es a nivel capa fisica y es la que podemos activar o desactivar con el comando shutdown.

La sexta columna (Protocol) es a nivel capa enlace de datos (L2) esta capa nos indica si esta o no recibiendo electricidad o datos por esa interfaz.

Identificar las interfaces

Sintaxis:

<type><blade>/<module>/<port>

Podemos entenderlo con el siguiente ejemplo:

Fastethernet 0/2/1

Fastethernet <- Tipo de interfaz, en este caso es una interfaz 10/100

Fastethernet 0 <- nos indica el número de modulo solo que este modulo es especial, ya que puede contener sub módulos en este caso cambia según el número de módulos que tengamos. También si tenemos un stacking de switches este número nos indica el número de orden del switch.

Fastethernet 0/2/ <- Nos indica que esta en el equipo físico pero se encuentra en un modulo, en este caso en el modulo 2 (Recordemos que se ven como 0,1,2,3).

Fastethernet 0/2/1 <- Este solo nos indica el número del puerto.

Espero este post les haya sido de ayuda, cualquier duda o comentario pueden dejarlo en la caja de abajo.

Fundamentos en IOS - Parte 8 de 9 - Habilitando SSH

Habilitando SSH

Hola amigos, en este post veremos como activar el servicio de ssh en nuestro equipo cisco, así también ver quienes están conectados por este protocolo.

Lo primero es conectarnos al equipo vía telnet o consola (recomendado).

En modo de configuración tenemos que configurar un nombre de dominio, esto es para generar la llave que se usara en el dispositivo, puedes usar un nombre de dominio real o ponerle uno inexistente, se recomienda usar uno real ya sea el de la empresa en donde se va a instalar.

Para agregar el nombre de dominio usamos el siguiente comando:

#ip domain-name lab.cisco.com

lo siguiente es generar la llave que estará usando el equipo, la hacemos con el siguiente comando:

#crypto key generate rsa

Al ponerlo nos preguntara de que tamaño en bits vamos a generar la llave, en este caso usaremos 1024 para el servicio de ssh

Ahora vamos a configurar que se use la versión 2 del ssh que es mas segura, por defecto se habilita la versión 1:



lo siguiente es configurar el servicio en la virtual terminal en donde lo queremos aplicar, para esto entramos en la configuración de line vty:

#line vty 0 4

(config-line)#transport input ssh

*NOTA: en este ejemplo ya se toma en cuanta que se tiene una contraseña de vty y activado el login.

Ya que tenemos configurado el servicio ssh a nivel terminal y dispositivo, lo siguiente es crear usuarios que van a hacer login en el dispositivo.

Lo primero en es la configuración de vty vamos a agregar el comando:

(config-line)#login local

Esto es para que se pueda hacer un login con los usuarios del dispositivo.

Ahora es momento de crear los usuarios desde el modo de configuración:

#username "username" secret "password"

Con esto ya tenemos creado un usuario de administración del dispositivo y configurado el equipo.

Para probar lo anterior, lo que haremos es hacer una conexión ssh al router usando el usuario y contraseña:

Como ver los usuarios conectados al dispositivo usando el protocolo ssh

Para poder ver que usuarios están conectados al dispositivo usamos el comando:

#show users

Si queremos eliminar la conexión de un usuario, es decir sacarlo de su sesión activa lo hacemos con el siguiente comando:

#clear line vty "#"

Este post fue algo rápido pero nos muestra como de una manera sencilla podemos activar el ssh en nuestros dispositivos para tener mayor seguridad. Espero este post haya sido de su agrado, recuerden dejar sus comentarios en la caja de abajo.

Fundamentos en IOS - Parte 7 de 9 - Configuración base para un dispositivo

Configuración base para un dispositivo

Hola amigos, en este post les mostrare una configuración básica para los dispositivos cisco que compren o les toque instalar, es la configuración mínima para tener administración de los equipos.

Esta lista muestra lo que vamos a configurar:

• Hostname
• Banner motd (Message of the day)
• Puerto de consola - Password
• Activar el logging-synchrounous
• Servicios de administración VTY (virtual terminal / Telnet / SSH) - Password
• IP en interfaz/Activar interfaz
• Desactivar Domain-lookup
• Cifrar passwords (Cifrado cisco)
• Enable Password
• Guardar configuración

Antes de comenzar es importante omitir el wizard de configuración, usar el comando enable para entrar al modo privilegiado y el comando configure terminal para poder configurar el equipo:

HOSTNAME

Para ponerle un nombre a nuestro equipo es tan fácil como poner en modo configuración:

#hostname "nombre"

Como vemos al momento de poner el comando se aplica automáticamente, en este caso nuestro router cambio al nombre de R1.

BANNER MOTD

El banner de mensaje del día es importante ya que podemos dejar mensajes a otro administradores o advertir la entrada al equipo solo a personal autorizado. Para configurar el banner usamos el comando:

#banner motd "*" 

*NOTA: en este comando utilizamos al inicio y final del mensaje un carácter especial, este nos ayudará a definir el tamaño del mensaje.

Al momento de entrar en el equipo nos mostrara el mensaje:

PUERTO DE CONSOLA - PASSWORD

Para configurar un password a nuestra conexión de consola usamos el siguiente comando:

#line console 0

(config-line)#password "password"

(config-line)#login

Como vemos en el comando la primera linea nos indica que configuraremos el puerto consola.

La segunda linea es donde asignamos el password para la conexión vía consola.

La tercera linea activa el login, es decir activamos en el dispositivo el uso de contraseña, este comando es importante ya que si lo omitimos nunca nos pedirá un password.

En esta imagen se ve una conexión de una PC a un router mediante el cable de consola.

Al conectarnos usamos el password que previamente configuramos.

ACTIVAR LOGGING SYNCHRONOUS

Este pequeño comando nos ayudara a que los mensajes de log de la consola, no nos molesten cuando estamos poniendo comandos, lo que hará será que cuando se envie a la terminal un nuevo mensaje de log, al momento de teclear un comando, este se muestre en la siguiente linea, evitando que se mezcle con los mensajes de los logs:

#logging synchronous

SERVICIOS DE ADMINISTRACION VTY (TELNET/SSH)

Para poder ponerle una contraseña a los servicios de administración como el telnet o ssh, hay que definir cuantas terminales virtuales tendran acceso al dispositivo, por manejar un estandar se dejan 5 terminales virtuales, usamos el siguiente comando par aasignarles una contraseña:

#line vty 0 4

(config-line)#password "password"

(config-line)#login local

*NOTA: se puede dejar un password diferente en cada terminal virtual, esto es poco practico ya que un administrador al conectarse no sabe en que virtual terminal esta asignado.

En la primera linea configuramos las terminales virtuales que activaremos, en este caso es de la terminal 0 a la 4.

En la segunda linea asignamos el password que tendrán las terminales virtuales.

En la tercera linea activamos el login para estas terminales.

IP EN INTERFACE/ACTIVAR INTERFACE

Para poderle asignar una IP a un puerto de nuestro dispositivo usamos el siguiente comando:

#interface "interface" 

(config-if)#ip address "ip" "mascara de red"

(config-if)#no shutdown

En la primera linea vamos a poner la interface que vamos a modificar.

En la segunda linea asignamos la IP que tendrá esa interface.

En la tercera linea aplicamos el comando no shutdown, este comando se utiliza para activar administrativamente la interfaz.

En caso de que sea una switch y queramos ponerle a una interface vlan una IP, el procedimiento es el mismo, solo que la interface será la vlan a configurar.

DESACTIVAR DOMAIN-LOOKUP

Al momento de trabajar en la consola, si por equivocación ponemos mal un comando o ponemos algún nombre el equipo va a tratar de hacer una conexión telnet a un equipo con el nombre de comando que pusimos mal o el nombre que pusimos, para evitar eso, usamos el siguiente comando y no tratará de resolver el dominio.

#no ip domain-lookup

Sin domain-lookup

Con domain-lookup

CIFRAR PASSWORDS

Como podemos observar los passwords en los dispositivos se muestran en texto plano, esto ocasiona que si alguna persona no autorizada tiene acceso a estas configuraciones puede entrar a nuestros dispositivos usando el password que muestra la configuración:

Para evitar esto usamos el siguiente comando que nos ayuda a cifrar de manera debil el password, menciono debil ya que el algoritmo que usan los equipos cisco ya se encuentra crackeado.

Comando:

#service password-encryption

Sin cifrado:

Con cifrado:

ENABLE PASSWORD

Una vez que tengamos el password de consola tendremos que asignar otro password para habilitar el acceso al modo privilegiado, este password se puede poner de dos maneras, usando el cifrado que tiene cisco o habilitando el hashing md5 para no tenerlo en texto plano.

Comando para cifrado de cisco:

#enable password "password"

Comando para aplicar un hashing md5

#enable secret "password"

*NOTA: si activamos ambas medidas de seguridad el enable secret tendra precedencia sobre el enable password, haciendo que la contraseña que tiene cifrado de cisco no sea aceptada.

GUARDAR CONFIGURACIÓN

Para guardar la configuración que hicimos, usamos el siguiente comando:

#copy running-config startup-config

#write

**NOTA ADICIONAL:

Como tip, si necesitamos buscar una configuración en la configuración activa o en la de inicio podemos concatenar comandos, utilizando el siguiente comando podemos ver solo una fragmento de la configuración que esta relacionada a lo que estamos buscando:

#show running-config | section line vty

Espero que este post haya sido de utilidad, si tienen algún comentario pueden dejarlo en la caja de abajo.