Configuración básica de dispositivos de red

Aplicación a nombres de dispositivos

Los dispositivos necesitan nombres. Se creia una importante confusión durante la configuracion y el mantenimiento de red. Cuando se accede a un dispositivo remoto con Telnet o SSh, es importante tener la confirmación de que se a hecho una conexión al dispositivos. Si todos los dispositivos quedaran con sus nombres predeterminados, no se podría identificar que el dispositivo correcto este conectado. Al elegir y documentar nombres atinada mente, resulta mas fácil recordar, analizar e identificar dispositivos de red. Para nombrar los dispositivos de manera uniforme y provechosa, es necesario el establecimiento de una convención de denominación que se extienda por toda la empresa o al menos, por la división. Siempre conviene crear la convención de denominación al mismo tiempo que el esquema de direccionamiento para permitir la continuidad dentro de la organización. Según ciertas pautas de convenciones de denominación, los nombres deberían: 

• Comenzar con una letra
• No debe incluir ningún espacio
• Finalizar con una letra o digito
• Solo deben incluirse caracteres que sean letras, digitos y guiones
• Tener 63 caracteres o menos. Como parte de la configuración del dispositivo, debe configurarse un nombre de host unico para cada dispositivo.

Limitación del acceso a dispositivos

La limitación física del acceso a los dispositivos de red con armarios o bastidores con llave resulta una buena práctica; sin embargo, las contraseñas son la principal defensa contra el acceso no autorizado a los dispositivos de red. Cada dispositivo debe tener contraseñas configuradas a nivel local para limitar el acceso. En un curso futuro, analizaremos cómo reforzar la seguridad al exigir una ID de usuario junto con una contraseña.

Contraseña de consola

limita el acceso de los dispositivos mediante la conexión de consola.El puerto de consola de dispositivos de red debe estar asegurado, como mínimo, mediante el pedido de una contraseña segura al usuario.

Contraseña de enable

limita el acceso al modo EXEC privilegiado. Puede usarse cualquiera de estos comandos para establecer la autenticación antes de acceder al modo EXEC privilegiado (enable).

Contraseña de enable secret 

imita el acceso de los dispositivos que utilizan Telnet Siempre conviene utilizar contraseñas de autenticación diferentes para cada uno de estos niveles de acceso. Si bien no es práctico iniciar sesión con varias contraseñas diferentes, es una precaución necesaria para proteger adecuadamente la infraestructura de la red ante accesos no autorizados. Las líneas vty permiten el acceso a un router a través de Telnet.

Visualización de contraseñas de encriptación

Existe otro comando de utilidad que impide que las contraseñas aparezcan como texto sin cifrar cuando se visualizan los archivos de configuración. Ese comando es el service password-encryption. Este comando provee la encriptación de la contraseña cuando esta se configura.

Mensajes de aviso

Aunque el pedido de contraseñas es un modo de impedir el acceso a la red de personas no autorizadas, resulta vital proveer un método para informar que sólo el personal autorizado debe intentar obtener acceso al dispositivo. Para hacerlo, agregue un aviso a la salida del dispositivo. Los avisos pueden ser una parte importante en los procesos legales en el caso de una demanda por el ingreso no autorizado a un dispositivo.

Administración de archivos de configuración

Establecimiento de la configuración modificada como la nueva configuración

Ya que la configuración en ejecución se almacena en la RAM, se encuentra temporalmente activa mientras se ejecuta (se encuentra encendido) el dispositivo Cisco. Si se corta la energía al router o si se reinicia el router, se perderán todos los cambios de configuración a menos que se hayan guardado. G

uardar la configuración en ejecución en el archivo de configuración de inicio en la NVRAM se mantienen los cambios como la nueva configuración de inicio. Antes de asignar los cambios, use los correspondientes comandos show para verificar la operación del dispositivo.

Volver a la configuración original del dispositivo

Si los cambios realizados en la configuración en ejecución no tienen el efecto deseado, puede ser necesario volver a la configuración previa del dispositivo. Suponiendo que no se ha sobreescrito la configuración de inicio con los cambios, se puede reemplazar la configuración en ejecución por la configuración de inicio. La mejor manera de hacerlo es reiniciando el dispositivo con el comando reload ante la petición de entrada del modo EXEC privilegiado.

Copia de las configuraciones sin conexión

Los archivos de configuración deben guardarse como archivos de respaldo ante cualquier problema que surja. Los archivos de configuración se pueden almacenar en un servidor Trivial File Transfer Protocol (TFTP), un CD, una barra de memoria USB o un disquete almacenado en un lugar seguro. Un archivo de configuración también tendría que incluirse en la documentación de red.

Configuración de respaldo en el servidor TFTP

Una opción es guardar la configuración en ejecución o la configuración de inicio en un servidor TFTP. Use los comandos copy running-config tftp o copy startup-config tftp y siga estos pasos: Ingrese el comando copy running-config tftp. Ingrese la dirección IP del host donde se guardará el archivo de configuración. Ingrese el nombre que se asignará al archivo de configuración. Responda yes para confirmar cada opción.

Eliminación de todas las configuraciones

Si se guardan cambios no deseados en la configuración de inicio, posiblemente sea necesario eliminar todas las configuraciones. Esto requiere borrar la configuración de inicio y reiniciar el dispositivo. La configuración de inicio se elimina con el uso del comando erase startup-config. Para borrar el archivo de configuración de inicio utilice erase NVRAM:startup-config o erase startup-config en la petición de entrada del modo EXEC privilegiado: Router#erase startup-config Una vez que se ejecuta el comando, el router solicitará la confirmación: Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] Confirm es la respuesta predeterminada.

Copia de seguridad de las configuraciones con captura de texto (Hyperterminal)

Se pueden guardar/archivar los archivos de configuración en un documento de texto. Esta secuencia de pasos asegura la disponibilidad de una copia de trabajo de los archivos de configuración para su modificación o reutilización en otra oportunidad. Cuando se use HyperTerminal, siga estos pasos: 

1.  En el menú Transfer, haga clic en Capture Text.
2. Elija la ubicación. 
3.  Haga clic en Start para comenzar la captura del texto. Una vez que la captura ha comenzado, ejecute el comando show running-config o show startup-config ante la petición de entrada de EXEC privilegiado. 
4. El texto que aparece en la ventana de la terminal se colocará en el archivo elegido. 
5. Visualice el resultado para verificar que no esté dañado.

Configuraciones de respaldo con captura de texto (TeraTeam)

Los archivos de configuración pueden guardarse o archivarse en un documento de texto a través de TeraTerm. Los pasos son: 1. En el menú File, haga clic en Log. 2. Elija la ubicación. TeraTerm comenzará a capturar texto. 3.Una vez que la captura ha comenzado, ejecute el comando show running-config o show startup-config ante la petición de entrada de EXEC privilegiado. 4. El texto que aparece en la ventana de la terminal se colocará en el archivo elegido.

Restauración de las configuraciones de texto

Se puede copiar un archivo de configuración desde el almacenamiento a un dispositivo. Cuando se copia en la terminal, el IOS ejecuta cada línea del texto de configuración como un comando. Esto significa que el archivo necesitará edición para asegurar que las contraseñas encriptadas estén en forma de texto y que se eliminen los mensajes de IOS y el texto de no comando, como "--More--". A su vez, en la CLI, el dispositivo debe establecerse en el modo de configuración global para recibir los comandos del archivo de texto que se copia.

Configuración  de interfaces

Configuración de interfaz Ethernet del router

Se puede configurar una interfaz Cethernet desde la consola o a traves de una linea de terminal virtual. A cada interfaz Ethernet activa se le debe asignar una dirección de IP y la correspondiente mascara de subred, si se quiere que la interfaz enrute paquetes de IP.

1. Ingrese al modo de configuración global
2. Ingrese al modo de configuración de interfaz
3. Especifique la dirección de la interfaz y la mascara de subred
4. Active la Interfaz. El estado predeterminado de las interfaces es APAGADO, es decir están apagadas o inactivas. Para encender o activar una interfaz, se ejecuta el command

Habilitación de la interfaz Ethernet

Por defecto, las interfaces se encuentran deshabilitadas. Para habilitar una interfaz,
ingrese el comando no shutdown en el modo de configuración de interfaz. Si es necesario desactivar una interfaz por cuestiones de mantenimiento o para resolver problemas, use el comando shutdown.

Configuración de interfaces seriales del router

Las interfaces serial necesitan una señal de sincronización que controle la comunicación. En la mayoría de los entornos, un dispositivo DCE proporciona dicha señal. Por defecto, los routers CISCO son dispositivos DTE, pero se pueden configurar como dispositivos DCE. Por tanto, en la configuración de interfaces serial, además de asignar una dirección IP y la correspondiente máscara de red o subred, hay que especificar los parámetros que permiten la sincronización de los dispositivos. 

Configuración de una interfaz de switch.
Al encender un SWITCH (nuevo) por primera vez, no encontraremos en el, ninguna configuración, por lo tanto nos toca a nosotros configurar este equipo según los requerimientos de nuestra red. En este artículo trataremos de hacer una configuración básica, configurando los siguientes parámetros.

• Nombre
• Contraseña de enable password y enable secret.
• Contraseña de acceso al puerto de consola
• Contraseña de puerto Auxiliar
• Contraseña para acceder al equipo en remoto TELNET
• Encriptaremos  todas las contraseñas
• Banner
• Configurar una IP de gestion al SWITCH
• Configurar la dirección IP de su Gateway

Ejecución de comandos del Sistema Operativo Internetwork (IOS)

Al igual que una computadora personal, un Router o Swich necesitan de un sistema operativo para poder funcionar. El sistema Operativo Internetwork (IOS), de CISCO es el software del sistema operativo de los dispositivos CISCO. Se utilizo en la mayoría de estos independientemente del tamaño o tipo de dispositivo, se usa en Router,Swich LAN, pequeños Access Point inalámbricos, grandes Routers con decenas de interfaces y muchos otros dispositivos.

   Funciones de IOS

El CISCO IOS provee los dispositivos los siguientes servicios de red

• Funciones básicas de enrutamiento y conmutación
• Acceso confiable y seguro a recursos en red
• Escalabilidad de la red

Un dispositivo de Red CISCO contiene 2 archivos de configuración

• El archivo de configuración en ejecución durante la operación actual del dispositivo
• El archivo de configuración de Inicio utilizado como la configuración de respaldo, se carga al iniciar el dispositivo

El IOS os ofrece varios modos de operación para la administración del dispositivo

• Modo Usuario(>)
• Modo Usuario privilegiado EXEC(#)
• Modo de configuración global (config)
• Modo de Linea (config-line)
• Modo de Interfaz (config-if)
• Modo de Router (config-router)

Al iniciar por primera ocasión un Router o Swich tendremos a nuestra disposición el modo usuario, para acceder al modo EXEC introducimos el mando "enable" y para salir "disable"

• Router > enable
• Router # disable

Métodos de acceso
Existen varias formas de acceder al entorno CLI. Los métodos mas comunes son:

• Consola
• Tel net o SSH
• Puerto Auxiliar

Consola
Se puede tener acceso a la CLI a través de una sesión de consola, también denominado linea CTY. La consola usa una conexión seriales de baja velocidad ara conectar directamente en equipo a una terminal del puerto de consola en el Router o Swich.
El puerto de consola es un puerto de administración que provee acceso al Router fuera de Banda. Es posible acceder al puerto de consola aunque no se haya configurado servicios de networking en el dispositivo. El puerto de consola se suele utilizar para tener acceso a un dispositivo cuando no se haya utilizado, iniciado o fallado los servicios network.

Telnet y SSH
Un método que sirve para acceder en forma remota a la sesión CLI es hacer Telnet al Router. A diferencia de la conexión de la consola las sesión del Telnet requieren servicios de Networking activos en le dispositivo. El dispositivo de red debe tener configurada por lo menos una interfaz activa con una dirección de capa 3.
Los dispositivos CISCO (IOS) incluye un proceso de servidor Telnet que se activa cuando se inicia el dispositivo. El Secure Shell Protocol (SSH) es un método que ofrece mas seguridad en el acceso al dispositivo remoto. Es el protocolo que provee la lectura para una conexión remota similar a Telnet, salvo que utiliza servicios de red mas seguros.

Puerto Auxiliar
Otra manera de establecer una sesión CLI en forma remota es a través de una conexión de marcado telefónico mediante un módem conectado al puerto auxiliar del Router. De manera similar a la conexión de la consola, este método no requiere ningún servicio de networking para configurarlo o activarlo en el dispositivo.
El puerto auxiliar puede usarse en forma local como el puerto de consola, con una conexión directa a un equipo que ejecute un programa de emulación de terminal. Es preferible el puerto de consola antes que el puerto auxiliar para la resolución de problemas ya que muestra de manera determinada la puesta en marcha del Router, la depuración y los mensajes de error.

Tipos de archivos de confiuración
Un dispositivo de red CISCO contiene 2 archivos de configuración:

• Archivo de configuración en ejecución
• Archivo de configuración de inicio

También puede almacenarse un archivo de configuración en formato remota en un servidor a modo respaldo.



Archivo de configuración en ejecución
Esta configuración se utiliza para operar el dispositivo de red. La configuración de la ejecucion se modifica cuando el administrador de red realiza la configuración de dispositivo, los cambios en la configuración de ejecucion afectuara la operacion del dispositivo CISCO en forma inmediata luego de realizar los cambios necesarios el administrador tiene la opcion de guardar tales cambios el archivo Stand-Up config de manera de que se utilice la proxima vez que se reinicie el dispositivo.
El archivp de la configuracion en ejecucion se pierde al a´pagar el dispositivo.



Archivo de configuración de inicio

Se usa durante el inicio de sistema para configurar el dispositivo. El NVRAM es no volátil, el archivo permanece intacto cuando el dispositivo CISCO se apaga, los archivos stand-up config se cargan en la RA, cada vez que se inicia o se vuelve a cargar el Router. Una vez que se ha cargado el archivo se considera la configuración en ejecución o runnie-config.

Modos de Operación de IOS

Modos de Interfaz de Usuario

La interfaz de linea de comando CLI de CISCO usa una estructura jerárquica, esta estructura requiere el ingreso a distintos modos para realizar tarea particulares.

El IOS suministra de servicio de intérpretes de comandos, denominado a comando ejecutado EXEC, luego un comando en EXEC lo valida y ejecuta.

Como caracteristicas de seguridad el Software CISCO (IOS) divide las sesiones EXEC en dos niveles de acceso: Modo EXEC usuario y Modo EXEC privilegiado.

Modo EXEC usuario

Disconect conexión	Desconecta una sesión telnet establecida desde el Router
Enable	Ingresa al modo EXEC privilegiado
Logout	Sale del modo EXEC
Ping{dirección IP/nombre}	Envía una petición de eco para diagnosticar la conectividad básica de red
Resume conexion	Resume una sesión Telnet interrumpida con la secuencia Crtl+Shift+6 y x
Show cdp	Muestra el intervalo entre publicaciones CDP, el tiempo de validez y versión de la publicación.
Show cdp entry {*|nombre_dispositivo} [protocol/versión]	Muestra información acerca de un dispositivo vecino registrado en una tabla CDP
Show cdp interfaces [Tipo de número]	Muestra información acerca de las interfaces en las que las CDP está habilitado
Show cdp neigbors [Tipo de número][detail]	Muestra los resultados del proceso de descubrimiento de CDP
Show clock	Muestra la hora y fecha del Router
Show history	Muestra el historial de comandos ingresados
Show hosts	Muestra una lista en cache de los nombres de host y direcciones
Show IP interface brief	Muestra un breve resumen de la información y el estado de una dirección.
Show IP rip database	Muestra el contenido de las bases de datos privada RIP
Show IP rip Router [dirección/protocol]	Muestra el contenido de la table de enrutamiento IP. El parámetro de dirección permite acotar la información que se desea visualizar exclusivamente o la dirección ingresada. El parámetro de protocolo permite indicar la fuente de aprendizaje de las rutas que se desean visualizar, como por ejemplo :rip ,igrp, static y connected
Show sesions	Muestra las conexiones Telnet establecidos en el Router
Show version	Muestra información sobre el CISCO (IOS) y la plataforma
Telnet {dirección_IP el nombre}	Permite conectarse remotamente a un host
Terminal editing	Reactiva las funciones de edición avanzado
Terminal history size Número_lineas	Establece el tamaño del buffer del historial de comandos
Terminal ne editing	Deshabilita las funciones de edición avanzada
Traceroute dirección IP	Muestra la ruta tomada por los paquetes hacia destino

EXEC privilegiado
Da acceso a todas los comandos del Router, esto permite que los usuarios autorizados puedan autorizar a él.
Se puede configurar de este modo

• Una contraseña
• Una ID de usuario

Los comandos de configuración y administración requieren que el administrador de red se encuentre en nivel es privilegiado

Modo de configuración global
Este modo permite la configuración básica del router y permite el acceso a submodos específicos.

Peticiones de entrada de Comando

Terminal

Es un dispositivo de comunicación por el cual se tenía acceso a previa configuración a la línea de comandos de un ordenador o equipo. antiguamente conocidos como terminales de daro, este tipo de aparatos ya está en desuso y el término pasó a ser sinónimo de "Interfaz de línea de comandos o consola".

Interprete de comandos

Es una aplicación que se ejecuta siempre que el usuario se conecta al sistema, su función principal es hacer la interacción usuario_sistema.

Siempre el usuario introduzca el  texto en su emulador de terminal con el cual inició sesión, el intérprete será los que recoja, y comprobará si se trata de un comando valido o no.