Introduccin al CLI en Routers y Switches CISCO

IntroduccinalCLI
enRoutersySwitchesCISCO
(Versin2.0)
Puedesdescargarlaltimaversindeestedocumentode:
http://blog.unlugarenelmundo.es/?page_id=127

JosMaraMoralesVzquez
josemaria@morales-vazquez.com

Jos Mara Morales Vzquez

Pgina 1

Introduccin al CLI en Routers y Switches CISCO

CONTENIDO
1.INTRODUCCIN................................................................................................................3
Modosdeoperacin......................................................................................................3
OtrostrucostilesenelCLI.............................................................................................4
2.CONTRASEADEACCESOALMODOPRIVILEGIADOYOTROSCOMANDOS.........4
Elcomandoshow............................................................................................................4
Historialdecomandos...................................................................................................4
Contraseadeaccesoalmodoprivilegiado.............................................................5
Elcomandono................................................................................................................5
Elcomandodo................................................................................................................5
Otroscomandosbsicos................................................................................................5
3.INTERFACESYLNEAS.CONFIGURACINBSICADEUNROUTER..............................6
Identificacindeinterfacesylneas.............................................................................6
Configuracindeinterfacesethernet..........................................................................6
Configuracinderutasestticas..................................................................................7
4.ACCESOREMOTO............................................................................................................7
Accesoportelnet............................................................................................................8
Accesoporssh.................................................................................................................8
5.CONFIGURACINDEUNSERVIDORDHCP...................................................................9
6.SWITCHES.........................................................................................................................10
AsignacindeunaIPalswitchparaaccederdeformaremota...........................11
7.REDESVIRTUALES(VLANs)..............................................................................................11
EnrutamientoentreVLANs............................................................................................12
8.OTROSCOMANDOS......................................................................................................13
9.INTRODUCCINALOSPROTOCOLOSDEENCAMINAMIENTODINMICO.............13
10.RIP,ROUTINGINFORMATIONPROTOCOL...................................................................14
11.EIGRP,ENHACEDINTERIORGATEWAYROUTINGPROTOCOL...................................15
12.OSPF,OPENSHORTESTPATHFIRST...............................................................................17
13.INTRODUCCINALASEGURIDADENLOSSWITCHESCISCO..................................18
Desconexindepuertosnousadososospechosos.................................................18
DHCPSnooping.............................................................................................................19
ControldelasMACconectadasalospuertosdelSwitch......................................20
StormControl.................................................................................................................22

Jos Mara Morales Vzquez

Pgina 2

Introduccin al CLI en Routers y Switches CISCO

1.INTRODUCCIN
Los routers CISCO son como pequeos ordenadores. Tienen un procesador, se
pueden ampliar con nuevos interfaces, su software se actualiza como un
verdaderosistemaoperativo,etc.Unadesuscaractersticasmsimportantesson
suscuatrodiferentestiposdememoria:
ROMEslamemoriaquevienedeserieycontieneelcdigoindispensable
paraqueelrouterarranque.Nopuedemodificarse.
Flash EslamemoriadondesecargaelsoftwareIOSdeCISCOqueesel
quenosvaapermitirconfiguraryoperarelrouter.EsactualizableyCISCO
proporciona nuevas versiones peridicamente corrigiendo errores y
proporcionandonuevasfuncionalidades.
NVRAMEsunapequeamemoriadondeseguardalaconfiguracindel
router que queremos que se cargue inicialmente cada vez que este
arranca.
RAM Eslamemoriadetrabajodelrouterdondesecarganlastablasde
rutado, las configuraciones que hemos aplicado pero que no hemos
salvado,etc.Eslanicamemoriavolatil,esdecir,quesepierdecuandose
reiniciaelrouter.
Laprimeravezquevamosaconfigurarunrouternostenemosqueconectarcon
uncableseriealaentradadeconsolaynossaltarunscriptdeconfiguracin
inicialquepodemossaltarnos(pulsandoCtrl+cencualquiermomentoodiciendo
queno a laprimerapregunta).PacketTracer nos simula este proceso cuando
entramos en la pestaa CLI de un router o cuando lo conectamos a un PC
medianteunterminalseriealpuertodeconsola.
Los routers de CISCO suelen llevar tambin un pequeo servidor web al que
podemos conectarnos a travs de un navegador para configurarlos. CISCO
tambin proporciona aplicaciones Java para hacer esto, pero la opcin ms
popularymsbuscadaentrelosprofesionalesesquesepanconfigurarunrouter
CISCOatravsdelCLI(CommandLineInterface).

Modosdeoperacin
LosroutersCISCOtienentresmodosdeoperacinensulneadecomando:
modonormaldeusuario,elinicialconunpromptas>
privilegiadoodeadministracin,conprompt#
deconfiguracin,conlapalabraconfigantesdelprompt#
Parapasardemodonormalaprivilegiadoseusaelcomandoenable
Parapasardeprivilegiadoaconfiguracinseusaelcomando configure
terminal
Para volver atrs un nivel se usa el comando exit. Ctrl+Z tambin nos
Jos Mara Morales Vzquez

Pgina 3

Introduccin al CLI en Routers y Switches CISCO

devuelve al modo privilegiado desde el modo de configuracin. disable
tambinnosdevuelvealmodonormaldesdeelmodoprivilegiado.

OtrostrucostilesenelCLI
Paraautocompletarcomandosseusaeltabulador
Parapedirayudadecomandosdisponiblesuopcionesdelosmismosseusa
elsigno?
No hace falta escribir los comandos completos. Basta con las letras
suficientesparaquenohayaconfusinconotrasalternativas.Esvlidoena
porenable,configtermporconfigureterminal,etc.
Ctrl+Shift+6 interrumpe la ejecucin de un comando que no responde y
quesehaquedadopillado.

2. CONTRASEA DE ACCESO AL MODO PRIVILEGIADO Y OTROS

COMANDOS
Elcomandoshow
Elcomandoshowesbsicoparaobtenerinformacinacercadelrouter.Iremos
viendootrasutilidadespero,porejemplo,tenemostambinlassiguientes:
showversionmuestralaversindeIOSqueestamosusando,lainformacin
decopyrightdeCISCOqueapareceenelarranqueyunresumendelas
caractersticaseinterfacesdenuestrorouter.
showrunningconfig listalaconfiguracindelrouterqueestactualmente
en ejecucin (en RAM y no en NVRAM!). Es muy til para guardar en
papellaconfiguracindereferenciadecadaunodenuestrosrouters.

Historialdecomandos
Comocasitodoslosinterfacesenlneadecomandos,elCLIdeCISCOguardaun
historial de las ltimas rdenes que hemos ejecutado desde la cnsola y que
podemosvisualizarconlasiguienteordenquesepuedeejecutardesdeelmodo
normaloprivilegiado:
showhistory
Por defecto se guardan los ltimos 10 comandos ejecutados. Si queremos
incrementaresenmerolohacemosdesdeelmodoprivilegiadoconlasiguiente
orden:
terminalhistorysize50
Siquisiramosdesactivarelhistorialdecomandosejecutamoslosiguiente:
terminalhistorysize0

Jos Mara Morales Vzquez

Pgina 4

Introduccin al CLI en Routers y Switches CISCO

Contraseadeaccesoalmodoprivilegiado
Como hemos visto, al sacar el router de la caja este no est protegido con
contrasea. Existen diferentes formas de proteger el acceso al router pero la
primeraquedebemos de usaresladeasegurarnos quenadieentraal modo
privilegiado sin una contrasea cifrada. Para ello, desde el modo de
configuracintenemosqueejecutarelcomandoenablesecretyacontinuacin
lacontraseaquedeseamos.
Existeotraopcinmedianteelcomando enablepassword,peroenestecasola
contraseaselistarenclaroalhacer showrunningconfig.Podemoscifraresta
contraseamedianteelcomandoservicepasswordencryption,peroanasse
trata de una proteccin muy debil que puede saltarse mediante herramientas
comunescomolaquehayenestaweb:
http://www.ibeast.com/content/tools/CiscoPassword/
Veremosmsadelanteotrasformasdeprotegerelaccesoanuestrorouter:con
usuarioycontrasea,etc.

Elcomandono
Elcomandonoantespuestoaotrocomandosirve,enlasocasionesenlasque
estosepuedehacer,paraeliminar,desactivar,volveratrsodeshacerelefecto
dedichocomando.Porejemplo,paraeliminarlacontraseadeaccesoalmodo
priviliegiado usamos no enable secret o para borrar el nombre que le hemos
puestoanuestrorouterpodemosusarelcomandonohostname.

Elcomandodo
Si queremos ejecutar un comando del modo privilegiado desde el modo
configuracin(algotpicosinecesitamosejecutaralgncomandoshowmientras
estamosconfigurandoalgo)ynoqueremosestarcambiandocontinuamentede
modo, podemos hacerlo anteponiendo el comando do. Por ejemplo,
escribiendo do sh ip route desde el modo de configuracin nos ejecutara el
comandocomosiestuveramosenelmodoprivilegiado.Elnicoinconveniente
deejecutarcomandoscon do esquenotendremosdisponiblesnilasfuncioens
deautocompletarnilaayudaconlatecla?

Otroscomandosbsicos
hostname<nombre>desdeelmododeconfiguracin,nospermitecambiar
elnombredistintivodelrouter.
banner motd # Tambin desde el modo de configuracin, nos permite
personalizar el mensaje de bienvenida que recibimos al conectarnos al
router. Podemos escribir lo que queramos usando varias lneas, etc. El
mensajefinalizacuandovolvamosaescribir # alprincipiodeunalneay
Jos Mara Morales Vzquez

Pgina 5

Introduccin al CLI en Routers y Switches CISCO

pulsemoslateclaINTRO.Silodeseamospodemosusarotrocaractercomo
finalizadorcambindoloenelcomando.
reload Desde el modo privilegiado reinicia el router. Los cambios no
salvadossepierden.
writememoryoslowritedesdeelmodoprivilegiadosalvalaconfiguracin
actualmenteenejecucincomoconfiguracinpordefecto.
copyrunningconfigstartupconfigIdemalanterior.
writeerase Limpiatodalaconfiguracindelrouterylodejacomorecin
salidodelacaja.
writestartupconfigIdemalanterior.

3.INTERFACESYLNEAS.CONFIGURACINBSICADEUNROUTER
Identificacindeinterfacesylneas
LosroutersCISCOtienendostiposdeconexiones:interfacesylneas.Lasinterfaces
sonaquellasconexionesqueusamosparaconectarlosentresoaotrosequipos
paraquedesempeenlasfuncionesderutadopropiamentedichas.Laslneas,
porotrolado,sonconexionesqueusamossloparaconfigurarlosomanipularlos.
Lasinterfacespuedenserserie,ethernet,fastethernet,gigaethernet,atm,etc.Las
lneaspuedenserconsole,auxovty.
Lasinterfacesseidentificanporunasecuenciadenumerosseparadosporbarras
deltipo0/0/0dondeelprimerorepresentalabaha,elsegundoelslotyeltercero
elpuerto.Sislohubieradosseranslotypuertoysiapareceunosloesquese
identificaconelpuertosinms(aunqueestoslosueleocurrirenlaslneasyno
enlosinterfaces).Seaadeadems,alprincipiodelasecuencia,unaletraque
indica el tipo de interface (e por ethernet, f por fast ethernet, g por gigabit
ethernet,sporserial,etc.).Porejemploe0/1/0of0/0,s0/0/0og7/0.
Podemos listar los interfaces que tiene nuestra mquina con todos sus detalles
medianteelcomandoshowinterfacesdesdeelmodoprivilegiado.
Siqueremosinformacinslodeundeterminadointerfaceloconcretamosenel
comando.Porejemploshowinterfacef0/1

Configuracindeinterfacesethernet
Laconfiguracindeuninterfaceserealizaentrespasos,siempredesdeelmodo
de configuracin: seleccionar la interface a configurar, asignarle una ip y una
mscara a ese interface y, finalmente, activarla. Para las interfaces serie
necesitaramos, adems, activar una seal de reloj en uno (y slo uno) de los
extremosdelacomunicacin,peroestonovamosaverloporelmomento.
Supongamosquequeremosconfigurarelinterfazfastethernetidentificadocomo

Jos Mara Morales Vzquez

Pgina 6

Introduccin al CLI en Routers y Switches CISCO

0/1conlaIP192.168.0.1delasubred192.168.0.0/25.Lasecuenciadecomandosa
aplicar(desdeelmododeconfiguracin)seralasiguiente:
interfacef0/0paraseleccionarlaconfiguracindelinterface
ipaddress192.168.0.1255.255.255.128paraasignarleIPymscara
noshutdownparaactivarlo
exitparasalirdelmododeconfiguracindeinterfaceyvolveralmodode
configuracinnormal.
Observaqueenrealidadnoexisteningncomandoparaactivaruninterface.
Slo existe el comando shutdown que lo desactiva. Al usarlo junto con el
comandonoconseguimoselefectocontrario.

Observa tambin que una vez seleccionado el interface a configurar con el

comando interfacef0/1elpromptvuelveacambiarypone(configif)#enlugar
del(config)#habitualparaquedistingasqueestsconfigurandouninterfacede
red.
Elcomando showipinterfacebrief nosmuestraunlistadoresumendetodoslos
interfacesdenuestrorouteryelestadoenelqueseencuentran.

Configuracinderutasestticas
Lasrutasestticasseintroducenenelrouteratravsdelostresmismosparmetros
queusbamosenlasventanasdeasistenciadelpackettracer.Unejemplodel
comando a usar (desde el modo de configuracin) para introducir una ruta
estticaeselsiguiente:
iproute192.168.3.0255.255.255.0192.168.0.2
Donde192.168.3.0esladireccindelaredalaquequeremosllegar,255.255.255.0
sumscaray192.168.0.2elsiguientesalto,esdecir,ladireccinIPdeotrorouter,
conocido por el que estamos configurando, donde hay que entregar los
mensajesparaencaminarloshacalaredalaquequeremosllegar.
Elcomandoshowiproutenosmuestratodaslasredesquenuestrorouterconoce,
distinguiendosiestconectadodirectamenteaellas,sitienealgunarutaesttica
configurada o cualquier otra condicin. Si slo queremos ver las redes
directamenteconectadasanuestrorouterusaremoselcomando showiproute
connected

4.ACCESOREMOTO
HastaahorahemostrabajadoenmodoCLIconnuestrosroutersCISCO,peroen
ningnmomentonoshemosplanteadocomorealizamoseseacceso.
Cmo accedemos a la pantalla del CLI de un dispositivo CISCO realmente?

Jos Mara Morales Vzquez

Pgina 7

Introduccin al CLI en Routers y Switches CISCO

Tenemos varias formas de hacerlo. Una de ellas, la que deberamos de usar
inicialmente cuando sacamos el dispositivo de su caja, es conectarnos
directamenteconunPCmedianteunemuladordeterminalyatravsdelpuerto
de consola que traen todos ellos. Pero una vez instalado, configurado y
emplazado en un armario de comunicaciones junto con otras decenas de
dispositivosy,alomejor,enotraplantauotroedificiodiferentealdenuestrolugar
detrabajoestaformayanoresultacmoda.Afortunadamentepodemosrealizar
unaccesoremotomediantetelnetosshparalocualtenemosquerealizaruna
configuracinprevia.
NOTA: Algunos dispositivos CISCO disponen, adems, de una direccin IP
configuradapordefectoquenospermiten,nadamsenchufados,contectarnos
aellosatravsdeunnavegadorwebyrealizarunaprimeraconfiguracinde
formagrficamedianteunainterfazweb.

Accesoportelnet
Laconfiguracindelaccesomediantetelneteslamssimple,perohemosde
recordar que el acceso por telnet se hace siempre en claro y cualquierea
podra escuchar a travs de la red cualquier comando o contrasea que
escribamos.Desdeelmododeconfiguracin,ejecutamoslosiguiente:
linevty04vamosaconfigurarhastacincoaccesossimultaneos(desdeel0
al4)remotos.Elpromptcambiaa(configline)#
passwordsmrdefinimoslacontraseadeentradaportelnetcomosmr
loginhabilitamoselacceso
Conestonosdejaconectarnosportelnetperononosvaadejarentraralmodo
privilegiadooaldeconfiguracinporquenoestprotegidoconcontrasea.Para
quesenospermitausarelmodoprivilegiadoenunaconexinremotatenemos
queprotegerlomediantecontraseacomoyasabemoshacer:
enablesecretarboleda
NOTA:Elprocedimientoeselmismoparapoderaccederaunrouteroaunswitch.

Accesoporssh
Elaccesoporssheselmscomnyltamenterecomendado.Todoeltrfico
entrenuestroterminalyeldispositivodeCISCOserealizacifradoyesindescifrable.
Todoslosroutersadmitenaccesoporsshperoslolosswitchsdegamaaltalo
soportan. Recuerda, adems, que tanto unos como otros deben de tener
configurada una direccin IP para que podamos acceder a ellos por ssh. Los
comandosnecesariosdesdeelmododeconfiguracinson:
hostnamemirouter
ipdomainnamearboleda.netEsobligatoriodefinirunnombreyunnombre
dedominioparaeldispositivo.Lohacemosconelcomandoanterior(que
Jos Mara Morales Vzquez

Pgina 8

Introduccin al CLI en Routers y Switches CISCO

yaconocemos)yconeste.
cryptokeygeneratersaparaconfigurarlafortalezadelaclavedecifrado
queusaremos.Senospedirunnmeroquepuedeser512,1024o2048.A
msalto,mayorfortalezaperotambinmayorconsumodeCPU.1024esel
valorrecomendado.
linevty01 Vamosaconfigurarhastadosaccesossimultaneosporssh.El
promptcambiaa(configline)#
transportinputsshParahabilitarelaccesoporssh
loginlocalParahabilitarelaccesomedianteusuarioycontraseaenlugar
desloconcontraseacomohastaahora.
username josemaria privilege 15 password arboleda donde creamos al
usuariojosemariaconcontraseaarboledayniveldeprivilegios15
Los niveles de privilegios van entre 0 y 15 y definen los comandos que tendr
permiso para ejecutar el usuario. Un nivel 1 corresponde con el modo normal
(prompt>)yunnivel15coneldemximosprivilegios(prompt#).
Y ya est. Ahora podemos acceder por ssh desde cualquier equipo a este
dispositivo.
showipsshoshowsshnosmuestraninformacinacercadelservicio
showprivilegenosdiceelniveldeprivilegioconelqueestamostrabajando.
NOTA:Elprocedimientoeselmismoparapoderaccederaunrouteroaunswitch
salvoqueannosabemoscomoconfigurarunaIPenunswitch.Esoloveremos
msadelante.

5.CONFIGURACINDEUNSERVIDORDHCP
LosrouterCISCO,aligualquecasitodoslosrouters,puedenconfigurarsedeforma
queademsrealicenlasfuncionesdeservidordhcp.Laformadeconfigurarloses
muysimpleytienecuatropasos:crearunpooldedirecciones,asociarloauna
determinadared(indicandoladireccindelamismaysumscara),indicarla
direccindelrouterpordefectoqueentregaranasusclientesy,porltimo,excluir
las direcciones que usaremos para asignaciones manuales. Los comandos
concretosausar,desdeelmododeconfiguracin,sonlossiguientes:
ipdhcppoollaarboleda creaunpooldedireccionesparaadministrarpor
dhcpyleasignaelnombredistintivolaarboleda
network 192.168.0.0 255.255.255.128 le asigna al pool anterior la red
delimitadaporladireccindered192.168.0.0conmscara255.255.255.128
defaultrouter192.168.0.1 asignaladireccin 192.168.0.1 comoladelrouter
pordefectoqueentregaralosclientesjuntoconlaipcorrespondiente,
exit parasalirdelmododeconfiguracindeldhcpyvolveralmodode
configuracinnormal.
Jos Mara Morales Vzquez

Pgina 9

Introduccin al CLI en Routers y Switches CISCO

Elrouterpuedetenermsdeuninterfacederedytambinmsdeunpoolde
direcciones dhcp. El asocia los pools con los interfaces a travs de los cuales
entregarlasdireccionesporqueladireccindelinterfacedebedecorresponder
conladelaredasociadaalpooly,comoyasabemos,cadainterfacedelrouter
debedeperteneceraunareddiferente.
Observatambinque,aligualqueocurraconlaconfiguracindelosinterfaces,
elprompttambincambiaaqupordhcpconfigparaadvertirnosdelmodoenel
quenosencontramos.
Paraexcluirunrangodedireccionesusamoselsiguientecomando:
ip dhcp excludedaddress 192.168.0.1 192.168.0.20 para exlcuir las
direccionesentrela192.168.0.1yla192.168.0.20.Elrestodelasdirecciones
de la red (en este caso desde la 192.168.0.21 hasta la 192.168.126) seran
usadasporelserviciodhcp
Podemosinspeccionarlatabladeasignacindedireccionesdelserviciodhcp
medianteelsiguientecomando:
shipdhcpbinding
Elserviciosedetienesimplementeusandoelcomandonosobrelaprimeraorden:
noipdhcppoollaarboleda
Existenmuchasmsopcionesalahoradeconfigurarelservidordhcpdeunrouter
CISCO:eltiempodevidadelasdireccionesentregadas,asignardireccionesfijas
por MAC a ciertos equipos, asignar las direcciones de los servidores DNS a los
clientes,etc.(aunquealgunasdeestasopcionesnovienenanimplementadas
enpackettracer).Paraquienquierainformacinexhaustivasobreestotienela
siguientegua(eningls)elaboradaporCISCO:
http://www.cisco.com/en/US/docs/ios/12_2/ip/configuration/guide/1cfdhcp.html

6.SWITCHES
Los switches de CISCO usan el mismo sistema de configuracin en lnea de
comandoquelosroutersy,portanto,muchasdelas rdenesquehemosvisto
hastaahora nossirventambinparalosswitches.Laformadeentrarenmodo
privilegiado o de configuracin, la ayuda, los comandos para salvar la
configuracin,etc.

Jos Mara Morales Vzquez

Pgina 10

Introduccin al CLI en Routers y Switches CISCO

AsignacindeunaIPalswitchparaaccederdeformaremota
Elprimerpasopararealizarunaccesoremotoesqueeldispositivocuentecon
unadireccinIPconfigurada.Enlosroutersyasabemoshacerlo.Paralosswitches
elprocedimientodeconfiguracindeunaIPesligeramentediferente.Desdeel
mododeconfiguracinejecutamoslosiguiente:
intvlan1entramosaconfigurarlavlan1.UnswitchdeCISCOpuedetener
hasta 1005 VLANs diferentes, pero la nmero 1 es especial para
administracin (porque la ip que asignemos ser escuchada por
cualquieradesuspuertos)yentrela1002yla1005estnreservadas.Ms
adelante veremos en detalle que son las VLAN y para que otras cosas
sirven.Elpromptcambiaalmodo(configvlan)#
ip address 192.168.1.2 255.255.255.0 le asignamos la ip y mscara
especificada
noshparaactivarelinterface
Si queremos acceder a l desde una red diferente a la que se encuentra
instaladotenemos,adems,quedefinirleunrouterpordefecto:
ipdefaultgateway192.168.1.1

7.REDESVIRTUALES(VLANs)
LasRedesVirtualesconstituyenunatcnicatilparadividirunaredendiferentes
subredes separadas entre si sin necesidad de usar routers y permitiendo una
separacinfuncionaldelosequiposendiferentesgruposdetrabajosinimportarla
ubicacin donde se encuentran conectados. No se trata de una tecnologa
propietariadeCISCOypuedeimplementarseigualmenteconswitchesdeotros
fabricantes.
Comohemosdichoantes,losswitchesCISCOpermitenhasta1005VLANsdelas
cualesla1esespecialylasexistentesentrela1002yla1005estnreservadas.
PodemosverinformacindelasVLAN'sactivasennuestroswitchconelcomando
siguiente:
showvlanbrief
Crear una VLAN es tan fcil como ejecutar lo siguiente (desde el modo de
configuracin):
vlan 2 para crear una vlan con el identificador 2. El prompt cambia a
(configvlan)#
nameestudiantesparaasignarleelnombreestudiantes(estoesopcionaly
noindispensableparaquefuncione.Sinoseasignanombreseponeuno
deformaautomatica)
intvlan2

Jos Mara Morales Vzquez

Pgina 11

Introduccin al CLI en Routers y Switches CISCO

noshentraenlaconfiguracindelavlan2ylaactiva
Paraasignarunpuertodelswitch,poeejemploelf0/10,aunadeterminadaVLAN,
la2enesteejemplo:
intf0/10
switchportmodeaccess
switchportaccessvlan2
ParadesasociarunpuertodelaVLANusamoselcomandono:
intf0/10
noswitchportaccessvlan
UnaVLANseeliminacompletamentecontodossuspuertosasociadostambin
conelcomandono:
novlan2
Cadapuertodeunswitchadmiteestarasociadoauna nicaVLAN.Entonces
comoenlazamosdirerentesswitchesparaquecomuniquenentresiytransmitan
lainformacindetodaslasVLANdenuestrared?Pueslohacemosdefiniendolos
enlacesentreswitchescomotroncales.Unenlacetroncaltransmitireltrficode
todaslasVLANsdisponibles.Asuvez,tenemosqueasociarleunidentificadoralos
enlacestroncalesque,enelejemplosiguiente,esel99:
vlan99
nametroncal
intvlan99paracrearyactivarlavlan99queserlaqueusemosparalos
enlacestroncales.Sitenemosvariosenlaces troncales,estoslo hayque
hacerlounavezporcadaswitch.
nosh
intf0/5
switchportmodetrunk
switchporttrunknativevlan99
Paramostrarlainformacindetodoslosenlacestroncalesdeunswitch:
showinterfacestrunk
Paracomprobarlaconfiguracindeunenlacedefinidocomotroncal:
showinterfacesf0/5switchport
Losenlacestroncalesseeliminantambinusandoelcomandono.

EnrutamientoentreVLANs
LacomunicacinentrelasdiferentesVLANssepuedehacerdevariasformas.Una
Jos Mara Morales Vzquez

Pgina 12

Introduccin al CLI en Routers y Switches CISCO

de ellas consiste en usar switches de capa 3 que incluyen funciones de
enrutamientobsicas.Lasegundaformaconsisteenusarunroutercomncon
diferentesinterfacesdemaneraquecadaunodeellosseconfiguracomorouter
pordefectodeunadelasVLANsyseconfiguranadecuadamentelospuertosdel
switchdondeseconectanestosinterfaces.Puestoquenoesnecesarioningn
comandodistintoalosqueyasabemosparaesto,loveremosenlosejercicios.

8.OTROSCOMANDOS
Pordefecto,yalrevesdeloqueocurreconlosrouters,todoslosinterfacesdeun
switchvienenactivos.Siqueremosdeshabilitarunodeellos(porejemploporque
vemos una actividad de trfico sospechoso) ejecutamos lo siguiente desde el
mododeconfiguracin:
intf0/12
shparadeshabilitarlo
ElcomandoquenospermiteverlasdireccionesMACasociadasacadapuerto
delswitcheseste:
show macaddresstable para visualizar la tabla de direcciones MAC
asociadasacadapuertodelswitch.

9. INTRODUCCIN A LOS PROTOCOLOS DE ENCAMINAMIENTO

DINMICO
Losrouterspuedenutilizardostiposdemodosdefuncionamientoalahorade
realizarsutrabajodeencaminamiento:usartablasdeencaminamientoesttico
(loquehemosvistohastaahora)ousarprotocolosdeencaminamientodinmico.
Enredessencillasenlasquesloexisteunnicocaminoparacomunicarentre
dospuntoslosprotocolosdeencaminamientodinmiconotienenrazndeser.En
lasredescomplejasenlasquepodemostenerdiferentesrutasentredospuntosy,
adems,latopologapuedecambiaroexisteelriesgodequeciertostramosse
colapsen en determinadas circunstancias, los protocolos de encaminamiento
dinmicoofrecenunmejorresultado.
Seusandosestrategiasenlosprotocolosdinmicos:lasdenominadasdevector
distancia y las de estado de enlace. A grandes rasgos, la primera trata el
problema como las indicaciones de carretera. Para llegar a un destino slo
tenemosqueseguirloscartelesperonotenemosunainformacintotaldelaruta:
sloelnmerodekms.quenosseparadenuestrodestino.Sitenemosdosrutas
alternativas veremos los kms. que faltan segn cojamos una u otra, pero no
tendremos casi ninguna otra informacin. Los protocolos de estado de enlace
seran comparables a viajar con un GPS y un mapa de carreteras: tenemos
informacin completade toda laruta hasta nuestro destino y podemos tomar

Jos Mara Morales Vzquez

Pgina 13

Introduccin al CLI en Routers y Switches CISCO

decisionesnosloporelnmerodekms.
Lostresprotocolosdeencaminamientodinmicomsutilizadosenlaactualidad
sonRIP,EIGRPyOSPF.TodosellospuedenusarseenroutersCISCO.Losdosprimeros
sondevectordistanciayeltercerodeestadodeenlace.

10.RIP,ROUTINGINFORMATIONPROTOCOL
Routing Information Protocol. Protocolo deencaminamiento dinmico estndar
muysimple.Esunprotocolo delosdenominados de vectordistancia yesmuy
utilizadoenredespequeasomedianas.
LaconfiguracindeRIPesmuysencilla:elrouterslonecesitainformacindelas
redesconectadasdirectamenteal.Elrestolodescubrirporlainformacinque
leenvenlosdemsrouters.RIPeligesiemprelarutaconmnimonmerodesaltos,
perosiestasecaeyexisteotradisponibleserecuperaylasustituye(aunquelo
hace de forma bastante lenta comparada con otros protocolos). Existen dos
versionesdeRIP.Lasegunda,queeslaqueveremos,esdeconfiguracinsin
clase(classless),ynospermitirelusodesubnettingysupernettingennuestras
redessintener,adems,queindicarlasmscarasdelasmismas.
Enlosprotocolosdevectordistancialosroutersnotienenunatablacompletade
lared,sinoslodelosdestinosadyacentes(deformamuyparecidaalasrutas
estticas).RIPestrestringidoaredesconmsde15saltosentredosdestinos.De
formapredeterminadaactualizalainformacindesustablascomunicandocon
losdemsroutersdelaredcada30segundos.Estoesasinclusocuandonohay
cambiosenlaredenvariosdas.
LosroutersconRIPensuversin1secomunicanentreellosusandobroadcastyla
direccin especial 255.255.255.255. En la versin 2, ms recomendable, usan
multicastyladireccinIP 224.0.0.9 (recuerda:unadireccinclaseDqueestn
reservadasparausosespecialescomoeste).
Los comandos bsicos para configurar un roter CISCO con la versin 2 del
protocoloRIPson:
routerripdesdeelmododeconfiguracinactivaelmododeconfiguracin
delprotocoloRIP.Elpromptcambiaa(configrouter).
version2 habilitaelusodelaversin2delprotocolo,queesconlaque
trabajaremos.
Acontinuacintenemosqueiragregandounaaunatodaslasredesquetienen
conexindirectaconelrouter.Lohacemosaadiendoslolasdireccionesdered
(sinmscara)atravsdelsiguientecomando:

Jos Mara Morales Vzquez

Pgina 14

Introduccin al CLI en Routers y Switches CISCO

network192.168.20.0
Enredesconsubnettingysupernettingcomplejastenemosquedecirlealrouter
que no queremos que agrupe las rutas de forma automtica con el siguiente
comando:
noautosummary
Elautosummaryderutasahorramuchamemoriaalosroutersperopuededar
lugaraerroresenalgunastopologascomplejas.
Tendremosqueejecutaruncomandocomoelanteriorporcadaredconectada
alrouter.
Porltimo,paracomprobarelcorrectofuncionamientodelprotocolopodemos
activarelmododebugdeformaqueveremosenlaconsolatodoslosmensajes
generados.Lohacemosconelsiguientecomando:
debugiprip
Paradesactivarestemodoyvolveralaoperativanormal:
undebugall
Seguramentenopodrsescribirlodeunavezporqueteversinterrumpidoporlos
mensajesdelprotocolo.Noechescuentadeello,escrbelocomosinopasara
nadaypulsaintroalfinal.
Msinformacinyopcionesextendidassobreesteprotocolo:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdrip.html

11.EIGRP,ENHACEDINTERIORGATEWAYROUTINGPROTOCOL
EnhancedInteriorGatewayRoutingProtocol.Setratadeunprotocolopropietario
deCISCO.Avecesseloconsideraunprotocolohbridoqueusavectordistanciay
estadodeenlace,peroenrealidadesunprotocolodevectordistanciaqueusa
algunasdelascaractersticasdelosprotocolosdeestadodeenlacey,alahora
detransmitirinformacinalosroutersvecinos,notieneencuentasloelnmero
desaltosparallegaradestinosinoquetambinconsideraotrosparmetros.
EIGRPusa5mtricasparaestablecerlasrutas ptimas:elanchodebanda,el
retrasodelared,laconfiabilidad,lacargadelaredyelmtuounidadmximade
transferencia,aunquetieneun modo pordefectoqueslo tomael ancho de

Jos Mara Morales Vzquez

Pgina 15

Introduccin al CLI en Routers y Switches CISCO

bandayelretraso. Sitodoslosenlacestienenelmismoanchodebandayel
mismoretraso,eselnmerodesaltosloquedeterminaelcamino.Enestecasose
comportaigualqueRIPalahoradeescogerelcamino(minimizandoelnmero
desaltos)perorecomponelarutamuchomsrpidosisecaealgnenlace.En
una ruta convarios saltos se tomacomo ancho debanda eldel salto quelo
tengamenorycomoretrasolasumadetodoslosdelaruta.
Losparmetrospuedenserdiferentesenunoyotroextremodeunsaltoporquese
supone la existencia de lneas asimtricas (como el ADSL) con caractersticas
diferentesencadaextremo.Elanchodebandayretrasoqueseconfiguraenel
interfazcorrespondeconlosparmetrosdesalidadelalnea.Losdelaentradase
configuranenelotroextremo.
EIGRP no enva actualizaciones peridicas y slo lo hace cuando ha habido
algncambioenlared.Paraellousaladireccinmulticast224.0.0.10.
LoscomandosbsicosparaconfigurarunroterCISCOconEIGRPson(desdeel
mododeconfiguracin):
router eigrp 1 para activar el protocolo eigrp. El prompt pasa a modo
(configrouter).Elnmero1queapareceenelcomandodefineelllamado
sistema autnomo y debe de ser el mismo en todos los routers que
queremosqueintercambieninformacinentresiconesteprotocolo.Puede
variarentre1y65535.
network192.168.1.0paradefinirlasredesconectadasdirectamentealrouter.
EIGRP no es tan bueno como RIP detectando las mscaras cuando
aplicamos subnetting o supernetting, as que en estos casos hay que
especificarlamscara,perolohacemosusandoloquesellamawildcard
maskomscaradecomodinesqueeselresultadodeinvertirlosvaloresde
lamscaracomn.Esdecir,unamscara255.255.255.128quedaracomo
0.0.0.127:
network192.168.10.1280.0.0.127
Adems,enredesconsubnettingysupernettingcomplejastambintenemosque
decirlealrouterquenoqueremosqueagrupelasrutasdeformaautomticacon
elsiguientecomando:
noautosummary
Para caracterizar las lneas con determinados anchos de banda y retrasos,
tenemos que entrar en el modo de configuracin de cada una de ellas. Por
ejemplo,siqueremoscaracterizarlainterfazf0/0vamosalmododeconfiguracin
yejecutamoslosiguiente:
interfacef0/0
Jos Mara Morales Vzquez

Pgina 16

Introduccin al CLI en Routers y Switches CISCO

bandwidth 64000 para configurar el ancho de banda de la lnea
correspondientealinterfacef0/0enbps(en64Kbpsenelejemplo)
delay100000 paraconfigurarelretrasodelalneaconunacantidaden
dcimasdemicrosegundo(en10000microsegundosenelejemplo).
Para quetomenefectoloscambiosenestosparmetroshayquebajarlalnea
(shutdown)yvolveralevantarlaluego(noshutdown).
Existenotrostres parmetrosms: load, realiability y mtu,pero enelmodopor
defectonosetienenencuenta.Adems,podemosasignarmsimportanciaa
unos u otros parmetros, pero cuanto ms complejo hagamos el clculo ms
sufrirconestoslaCPUdelrouter.
Puestoquelaslneaspuedenserasimtricasytenervaloresdiferentesdeentrada
y de salida (como ocurre con el ADSL) los valores que configuramos en un
interfacecorrespondenalosdesalidadelalnea.Losdeentradaseconfiguraran
enelotroextremo.
Diversos comandos para obtener informacin sobre la configuracin y
funcionamientodeEIGRP:

shipeigrpinterfaces
shipeigrpneighbors
shipeigrptopology
shipeigrptraffic

Msinformacin:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdeigrp.html

12.OSPF,OPENSHORTESTPATHFIRST
OpenShortestPathFirst.Esunprotocoloestndarddelosdenominadosdeestado
deenlace quenosgarantizaelusodelcaminomscortoentredospuntos.Se
trata,posiblemente,delprotocolomsusadoenredesgrandesycomplejas. A
grandesrasgos,cadarouterconstruyeunatopologadelaredqueconoceyla
comparteconsusvecinosdeformaqueentretodoscompletanunplanototalde
laredenlaquetrabajanydeformaquecadaunocalculasusrutasdeforma
independientealosdems.
Ensumodocompletosetratadeunprotocolocomplejoquepermitedividirlared
en diferentes reas y tratarlas de forma diferente. Nosotros veremos aqu el
protocoloOSPFdereanica.
SeleconsideracomoelsucesordeRIP.Paralacomunicacinusalasdirecciones

Jos Mara Morales Vzquez

Pgina 17

Introduccin al CLI en Routers y Switches CISCO

multicast224.0.0.5y224.0.0.6.AligualqueocurryaconEIGRP,sloenvannuevas
comunicacionescuandodetectancambiosenlatopologadelared.
LosprincipalesproblemasdeOSPF(ydetodoslosprotocolosdeestadodeenlace
engeneral)sonlossiguientes:
Necesitamosroutersmspotentes,conmsmemoriaparaalmacenarlos
mapas de red y ms CPU para hacer clculos con un algoritmo ms
complejo.
Lainformacinquesetransmiteesmayor,porlotantoexistemsriesgode
quesaturenlaredconsus mensajes en elmomentoinicialdelarranque
(cuando empiezan a cambiar informacin entre ellos para construir los
mapas de red) o en redes inestables en las que tenemos muchos y
frecuentescambios.
La configuracn bsica de un router con OSPF se realiza con los siguientes
comandos:
routerospf1parahabilitarelprotocoloOSPFenelrouter
network 192.168.1.0 0.0.0.255 area 0 para dar de alta la red dada, con
mscara en formato de comodines y especificando que dicha red
pertenecealrea0.
Lamayoradeloscomandosdisponiblesparacontrolarelestadodeospfnoestn
implementadosenpackettracer.Elmstildelosquedisponemoseseste:
shipospfneighbors
Msinformacin:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdospf.html

13.INTRODUCCINALASEGURIDADENLOSSWITCHESCISCO
Losswitchessonelementoscentralesdelaconfiguracindenuestrasredes.Todo
el trfico pasa por ellos y todos los equipos deben, de una forma directa o
indirecta, estar conectados a un switch para tener acceso a nuestra red.
Introducirmecanismosdeseguridadenlosmismoses,portanto,unabuenaforma
decontrolardeformapreventivaalgunosproblemasimportantesdeseguridad.
Enestedocumentoveremosalgunasdeestasmedidasysuimplementacinen
switchesCISCO.

Desconexindepuertosnousadososospechosos
Los puertos no usados de nuestros switches osospechosos detener problemas
deberandesconectarsedelared.Pordefectotodoslospuertosdelosswitches
Jos Mara Morales Vzquez

Pgina 18

Introduccin al CLI en Routers y Switches CISCO

aparecen conectados pero su desconexin es bien sencilla. En las siguientes
lneasdesconectamoselpuertof0/4
ena
configterm
intf0/4
shutdown
Tambinesposibleseleccionarunrangocompletodepuertosparaaplicaruna
mismaconfiguracinsobretodosellos.Lossiguientescomandosdesactivantodos
lospuertosentreelf0/5yelf0/10
ena
configterm
intrangef0/510
shutdown

DHCPSnooping
ELDHCPSnoopingcomprendeunconjuntodetcnicasencaminadasahacer
msseguroelfuncionamientodelprotocoloDHCP.Yavimosensumomentoque
setratabadeunprotocolomuycmodoenredesgrandesperoconevidentes
problemasdeseguridad.
CISCOimplementaalgunastcnicasencaminadasaestefin.Laprimeradeellas
nospermiteprohibireltrficodeunservidorDHCPdesdetodoslospuertosdel
switchsalvodelosquenosotrosautoricemos.Paradecir,porejemplo,quenuestro
servidorDHCPestenelpuertof0/2,ejecutaramoslosiguiente:
ena
configterm
ipdhcpsnooping
intf0/2
ipdhcpsnoopingtrust
Pararetirarlaautorizacindelinterfazusaramoselcomandono:
intf0/2
noipdhcpsnoopingtrust
SinuestroswitchdetectaraunservidorDHCPconectadoacualquierotropuertolo
desconectaradeformaautomtica.
Elsegundomecanismodeseguridadnospermitelimitarelnmerodepeticionesa
unservidorDHCPqueserealizadesdedeterminadospuertos.Estonosayudaa
mitigar que alguien trate de saturar un servidor DHCP cambiando de MAC y
enviadopeticionesalservidor.Enelsiguienteejemploselimitana5paquetespor

Jos Mara Morales Vzquez

Pgina 19

Introduccin al CLI en Routers y Switches CISCO

segundolaspeticionesquepuedenrealizarsedesdelospuertos10al24:
ena
configterm
ipdhcpsnooping
intrangef0/1024
ipdhcpsnoopinglimitrate5
El siguiente comando mostrar informacin sobre la configuracin de DHCP
snoopingennuestroswitch(puertoshabilitados,velocidadesmximaspermitidas,
etc.):
showipdhcpsnooping

ControldelasMACconectadasalospuertosdelSwitch
Todos sabemos que la principal diferencia del switch frente al hub es que el
primeromemorizalospuertosalosqueestnconectadoslosdistintosequipos
de forma que la comunicacin entre un equipo y otro slo se enva por los
segmentosderedadecuados.Estomejoralacalidaddelascomunicacionesen
nuestraredlocal(tenemos un mayor ancho debandadisponible) y mejora la
seguridad en la red (alguien con un sniffer lo tiene ms difcil para leer la
informacinquenovadestinadaal.)
Losswitchesrealizanestafuncindeformasimplealmacenandoensumemoria
unastablasconlasdireccionesMACdelosequiposylospuertosalosqueestn
conectados los mismos. Estas tablas deben de tener capacidad para guardar
msdeunaMACporpuerto(podemostenerunswitchde96puertosconectado
encascadaalpuertodeotroswitch)y,lgicamente,tienenuntamaofinito.
SiunswitchrecibeunmensajeparaunequipocuyaMACnotieneregistradoen
sustablasenvaelmensajeatodossuspuertoscomosifueseunhub.Cuandoel
equiporesponderegistraelpuertodesdeelquelohahechoy,apartirdeese
momento,yaleenviarsiemprelosmensajesdirectamente.
Perocmosecomportaunswitchsiestastablassellenandeltodoytieneque
enviarleunmensajeaunequipocuyaMACnoestincluidaenellasyportanto
no sabe en que puerto est conectado? Difundiendo el mensaje a travs de
todossuspuertoscomosisetratasedeunhub.Elprobelmaocurrecuandoeste
equipocontesta.Puestoqueelswitchnotieneespacionoincluirelpuertodesde
elquelohaceyseguirsiempreenviandolelosmensajescomosisetratasedeun
hub.
UnataquedesaturacinoinundacindedireccionesMAC(MACfloodingoARP
flooding)estencaminadoaesto:inundarunswitchconpeticionesdediferentes
direcciones MAC ficticias para que el switch sature sus tablas y comience a
comportarse como un hub con mensajes legtimos de forma que podamos
capturarlosmedianteelusodeunsniffer.CISCOincluyefuncionalidadesquenos
Jos Mara Morales Vzquez

Pgina 20

Introduccin al CLI en Routers y Switches CISCO

permiten limitar el nmero de MAC diferentes que pueden conectarse en los
puertos de sus switches de forma que nos permiten solucionar este problema.
Adems,tambinevitalosataquesdesaturacinaunservidorDHCP.
Si queremos limitar el puerto de un switch de forma que por este slo pueda
conectarseunequipoconunaMACconocidaejecutaramoslosiguiente:
ena
configterm
intf0/5
switchportmodetrunk
switchportportsecurity
switchportportsecuritymacaddress0016.E650.45E2
De esta forma, el nico equipo legtimo reconocido para estar conectado al
puertof0/seraelquetienelaMACindicada.Fjatequelaformadeescribirla
MAC es ligeramente diferente a como estamos acostumbrados. En lugar de
ponerlacomo00:16:E6:50:45:E2lohacemos0016.E650.45E2
SielswitchdetectaraunequipoconunaMACdiferenteconectadaaesepuerto
desconectaraelpuertodeformaautomtica.
Si queremos que en lugar de desactivar el puerto simplemente no permita el
trficodeequiposconunaMACdiferenteejecutaramostambinlosiguiente:
switchportportsecurityviolationrestrict
Ysiqueremosvolveralmodoanterior:
switchportportsecurityviolationshutdown
Enalgunasocasionesnopodemoslimitarauna nicaMAClasreconociblesen
determinados puertos, pero queremos poner un mximo permitido. Tampoco
queremosonosesposibleescribiramanolasdiferentesdireccionesMACque
vamos a permitir. En este caso podemos limitar el nmero de MAC y decirle
ademsalswitchqueaprendacualessernestasdeformaautomtica.Estolo
hacemosconlossiguientescomandos:
ena
configterm
int0/1
switchportmodeaccess
switchportportsecurity
switchportportsecuritymaximum30
switchportportsecuritymacaddresssticky
Elpuertof0/1denuestroswitchadmitir,comomximo,30direccionesdiferentes
queelir aprendiendo deformaautomtica(las 30 primeras quedetecte). A
partir de ah, si existe un intento de comunicacin por parte de alguna otra
direccin, desactivar el puerto. El modo de respuesta lo podemos modificar
tambinconelcomandovistoantes(switchportportsecurityviolationrestrict).
Jos Mara Morales Vzquez

Pgina 21

Introduccin al CLI en Routers y Switches CISCO

Por ltimo, los comandos que nos permiten ver la configuracin que hemos
realizadodeestasmedidassonlossiguientes:
showportsecurity
showportsecurityintf0/5
Si, adems, queremos ver las direcciones MAC autorizadas para cada puerto
ejecutaramosesto:
showportsecurityaddress
UnavariantedeesteataquesedenominaARPspoofingoenvenenamientode
ARP. En este caso no hace falta llenar la tabla ARP del switch sino que se lo
engaahacindolepensarqueunequipoestenunpuertodiferente.Elswitch
mandalosmensajesaestepuertoyelequipoquerealizaelengaolosleey
luegolosremitealamquinaautnticaparaqueestanosospeche.Siestomismo
sehacesimultaneamentecondosequiposseespiatodaslasconversaciones
entre ambos constituyendo lo que se conoce como ataque de hombre en el
medio(oManintheMiddle).Existenmuchasherramientasparahacerestode
forma automtica pero tal vez la ms popular y fcil de usar sea ettercap,
disponibletantoparaplataformasLinuxcomoWindows.

StormControl
Aveces,ygeneralmenteporaverashardwareosoftware,algunastarjetasdered
creanuna cantidad detrfico tangrandequesaturan alswitchal queestn
conectadas, deteriorando las comunicaciones y llegando incluso al punto de
hacercaertotaloparcialmentelared.LosswitchesCISCOtienenlaposibilidad
decontrolarestomedianteunsubconjuntodecomandos.
ena
configterm
intf0/1
stormcontrolbroadcastlevel20
En elejemplo anteriorhabilitamos elstorm control para elpuerto 1 denuestro
switchdeformqueeltrficobroadcastdelmismonosupereel20%delanchode
bandanominaldelmismo.
Podemos controlar de igual forma el trfico unicast y el multicast con, por
ejemplo,lasiguientesintrucciones:
stormcontrolmulticastlevel50
stormcontrolunicastlevel90
Nodebemosdeolvidarcuandoconfiguramosestosparmetrosquelostrestipos
detrficosonnecesariosyque,enparticular,elmulticastseusaportodoslos
protocolos de rutado dinmico (entre otros) y el unicast constituira el trfico

Jos Mara Morales Vzquez

Pgina 22

Introduccin al CLI en Routers y Switches CISCO

comndeunequipo.
Siquisieramosbloqueartotalmenteeltrficobroadcastdeunequipopodramos
ponerlosiguiente:
stormcontrolbroadcastlevel0
El trfico multicast y el unicast puede bloquearsetambin, adems de con el
comandoanterior,conelsiguiente:
switchportblockunicast
switchportblockmulticast
Y si por defecto quisiramos deshabilitar el puerto cuando se pase del nivel
indicadoenelcomando:
stormcontrolactionshutdown

Jos Mara Morales Vzquez

Pgina 23