CONFIGURACION DE VLAN

Agregar Vlan al Switch

Tipos de VLAN
De acuerdo con la terminologa comn de las VLAN se clasifican en:
VLAN de Datos.- es la que est configurada slo para enviar trfico de datos generado por el usuario, a una
VLAN de datos tambin se le denomina VLAN de usuario.
VLAN Predeterminada.- Es la VLAN a la cual todos los puertos del Switch se asignan cuando el dispositivo
inicia, en el caso de los switches cisco por defecto es la VLAN1, otra manera de referirse a la VLAN
predeterminada es aquella que el administrador haya definido como la VLAN a la que se asignan todos los
puertos cuando no estan en uso.
VLAN Nativa.- una VLAN nativa est asiganada a un puerto troncal 802.1Q, un puerto de enlace troncal
802.1Q admite el trfico que llega de una VLAN y tambin el que no llega de las VLANs, la VLAN nativa
sirve como un identificador comn en extremos opuestos de un elace troncal, es aconsejable no utilizar la
VLAN1 como la VLAN Nativa cuando se configuran enlaces troncales
VLAN de administracin.- Es cualquier vlan que el administrador configura para acceder a la
administracin de un switch, la VLAN1 sirve por defecto como la VLAN de administracin si es que no se
define otra VLAN para que funcione como la VLAN de Administracin (a esta Vlan es a la que le
colocamos Direccin IP

Ques

es

un

Enlace

Troncal

Un enlace troncal es un enlace punto a punto, entre dos dispositivos de red, que transporta ms de una VLAN.
Un enlace troncal de VLAN le permite extender las VLAN a travs de toda una red. Cisco admite IEEE
802.1Q para la coordinacin de enlaces troncales en interfaces Fast Ethernet y Gigabit Ethernet
Un enlace troncal de VLAN no pertenece a una VLAN especfica, sino que es un conducto para las VLAN
entre
switches
y
routers.
Hay que recordar que los switches son dispositivos de capa 2. Slo utilizan la informacin del encabezado de
trama de Ethernet para enviar paquetes. El encabezado de trama no contiene la informacin que indique a qu
VLAN pertenece la trama. Posteriormente, cuando las tramas de Ethernet se ubican en un enlace troncal,
necesitan informacin adicional sobre las VLAN a las que pertenecen. Esto se logra por medio de la
utilizacin del encabezado de encapsulacin 802.1Q. Este encabezado agrega una etiqueta a la trama de
Ethernet
original
y
especifica
la
VLAN
a
la
que
pertenece
la
trama
Ejemplo

Configuracion

de

vlan

Agregar una Vlan

S1#configure terminal
S1(config)#vlan [numero de vlan a agregar]
S1(config-if)#name [nombre de vlan]

Agregar puertos a las vlan

S1#configure terminal
S1(config)#interface fa0/18
S1(config)#interface range fa0/1-24 configurar varias interfaces a la ves
S1(config-if)#switchport mode access
S1(config-if)#switchport acces vlan [numero de vlan] asigna una vlan al puerto determinado
S1(config-if)#switchport port-security habilita la seguridad en el puerto
S1(config-if)#switchport port-security maximun [numero] establece el numero maximo de
direcciones seguras segun el numero especificado
S1(config-if) #switchport port-securty mac-address sticky activa el aprendizaje de la mac
address
S1(config-if) #switchport port-securty violation shutdown ante una violacion apaga el Puerto
S1(config-if) #duplex full cambia la velocidad del puerto y habilita el envio y recepcin de
datos simulaneamente
S1(config-if)#speed 100
S1(config-if) #exit

Agregar enlace troncal

S1#configure terminal
S1(config )#interface fa0/1
S1(config-if) #switchport mode trunk establece el enlace como enlace troncal
S1(config-if) #switchport trunk nativa van 99 usa la vlan 99 como nativa o otra diferente que
elijamos como nativa
S1(config-if) #switchport trunk allowed Vlan 10, 20 permite el trabajo solo de las vlan
especificadas
S1(config-if) #exit

RECUPERACION DE CONTRASEAS ROUTER CISCO

Procedimiento para recuper las contraseas del router

Para

recuperar

Paso

1.

la

Concte

contrasea
el

PC

de
al

un

router,

siga

estos

pasos:

puerto

de

consola

del

Router

Paso 2. Si perdi la contrasea enable, todava tendr acceso al modo EXEC de usuario.
Escriba el comando show version cuando aparezca la indicacin y guarde los parmetros de
registro
de
configuracin.
R1>#show
<show
El
R1>

registro

command
de

output
configuracin

es

version
omitted>
0x2102

Generalmente, el registro de configuracin se define en 0x2102 0x102. Si ya no puede

obtener acceso al router (debido a que perdi la contrasea TACACS o de conexin), puede
suponer con seguridad que su registro de configuracin est definido en 0x2102.
Paso 3. Use el interruptor de alimentacin para apagar el router y, a continuacin, vuelva a
encenderlo
Paso 4. Presione Pausa en el teclado del terminal dentro de los 60 segundos desde el
encendido
para
colocar
el
router
dentro
de
ROMmon.
Paso 5. Escriba confreg 0x2142 en la ventana rommon 1>. Esto hace que el router ignore la
configuracin de inicio donde se almacena la contrasea enable olvidada.
Paso 6. Escriba reset en la ventana rommon 2>. El router se reinicia, pero ignora la
configuracin
guardada.
Paso 7. Escriba no despus de cada pregunta de configuracin, o presione Ctrl-C para
saltear
el
procedimiento
de
configuracin
inicial.
Paso 8. Escriba enable cuando aparezca el indicador Router>. Esto lo coloca en el modo
enable y debe poder ver el indicador Router#.

Paso 9. Escriba copy startup-config running-config para copiar la NVRAM en la memoria.

Tenga cuidado. No escriba copy running-config startup-config porque borra su
configuracin de inicio.
Paso 10. Escriba show running-config. En esta configuracin, el comando shutdown
aparece debajo de todas las interfaces, porque todas estn actualmente cerradas. Lo que es
ms importante, ahora puede ver las contraseas (contrasea enable, enable secret, vty,
contraseas de consola) ya sea en formato encriptado o no encriptado. Puede volver a usar
las contraseas sin encriptar. Debe cambiar las contraseas encriptadas por una nueva
contrasea.

Paso 11.Escriba configure terminal. Aparece la ventana

hostname(config)#.
Paso 12. Escriba enable secret password para modificar la contrasea enable secret. Por
ejemplo:
R1(config)# enable secret cisco
Paso 13. Emita el comando no shutdown en cada interfaz que desee utilizar. Puede emitir
un comando show ip interface brief para confirmar que la configuracin de su interfaz sea
correcta. Cada interfaz que desee utilizar debe mostrar activado activado.
Paso
14.
Escriba
config-register
configuration_register_setting.
configuration_register_setting es el valor que registr en el Paso 2 0x2102 . Por ejemplo:
R1(config)#config-register 0x2102
Paso 15. Presione Ctrl-Z o escriba end para abandonar el modo de configuracin. Aparece
la ventana hostname#.

SEGURIDAD EN LOS ROUTERS

Administracion de la Seguridad en los Routers Cisco

La seguridad bsica de los routers consiste en la configuracin de contraseas. Una
contrasea slida es el elemento ms fundamental para controlar el acceso seguro a un
router. Por este motivo, siempre se deben configurar contraseas slidas.

De forma predeterminada, el software IOS de Cisco deja contraseas en texto sin cifrar
cuando se introducen en un router. Esto no es seguro, ya que cualquiera que pase por detrs
suyo mientras observa la configuracin de un router podra espiar por encima de su hombro
y ver la contrasea.
Si se usa el comando enable password o el comando username username password
password estas contraseas se mostraran al observar la configuracin en ejecucin.
Ejemplo:
R1(config)#
R1(config)#
username
R1(config)#

username
do
show
Student

Student
run
password

password
include
0

cisco123
username
cisco123

El 0 que aparece en la configuracin en ejecucin indica que la contrasea no est oculta.

Por este motivo, todas las contraseas deben estar encriptadas en un archivo de
configuracin. El IOS de Cisco ofrece dos esquemas de proteccin de contraseas:

Encriptacin simple, que se denomina esquema de tipo 7. Utiliza el algoritmo de

encriptacin definido por Cisco y oculta la contrasea mediante el uso de un algoritmo de
encriptacin simple.
Encriptacin compleja, que se denomina esquema de tipo 5. Utiliza un hash MD5 ms
seguro.
La encriptacin del tipo 7 puede ser utilizada por los comandos enable password, username
y line password, incluidos vty, line console y aux port. No ofrece una gran proteccin, ya
que slo oculta la contrasea utilizando un algoritmo de encriptacin simple.
Para encriptar contraseas mediante la encriptacin de tipo 7, use el comando de
configuracin global service password-encryption. Mediante este comando las
contraseas
que
aparecen
en
la
pantalla
no
son
legibles.
Ejemplo:
R1(config)#
R1(config)#
username
R1(config)#

service
do
Student

show

run
password

|
7

password-encryption
include
username
03075218050061

El 7 que aparece en la configuracin en ejecucin indica que la contrasea est oculta.

Un router siempre utiliza la contrasea secreta antes que la contrasea de enable. Por este
motivo, el comando enable password nunca se debe configurar, ya que puede revelar la
contrasea
de
un
sistema.
Los nombres de usuario de la base de datos local tambin deben estar configurados
mediante el comando de configuracin global username username secret password. Por
ejemplo:
R1(config)#
R1(config)#
username
R1(config)#

username
do
show
Student
secret

Student
secret
cisco
run
|
include
username
5
$1$z245$lVSTJzuYgdQDJiacwP2Tv/

El software IOS de Cisco Versin 12.3(1) y posteriores permite que los administradores
definan la longitud mnima en caracteres de todas las contraseas de los routers utilizando
el comando de configuracin global security passwords min-length, como se observa en
la figura. Este comando proporciona acceso con mayor seguridad al router, al permitirle
que especifique una longitud mnima para las contraseas,
Ejemplo
Configurar las contraseas del Router

Encriptar las contraseas

cumplimiento de longitud de contrasea minima

Restingiendo el acceso adminitrativo a un Router

Para proteger el acceso administrativo a los routers y switches, primero debe proteger las
lneas administrativas (VTY, AUX), y despus configurar el dispositivo de red para que
encripte el trfico en un tnel SSH. ya que Telnet enva todo el trfico de la red en forma de
texto sin cifrar
El acceso remoto no slo se aplica a la lnea de VTY del router, tambin se aplica a las
lneas de TTY y al puerto auxiliar (AUX). Las lneas de TTY proporcionan acceso
asncrono a un router a travs de un mdem. Si bien son menos comunes que lo que fueron
en otro momento, todava existen en algunas instalaciones. Proteger estos puertos es aun
ms importante que proteger los puertos del terminal local.
Controles

en

los

puertos

VTY

De manera predeterminada, todas las lneas de VTY estn configuradas para aceptar
cualquier tipo de conexin remota. Por razones de seguridad, las lneas de VTY se deben
configurar para aceptar conexiones slo con los protocolos realmente necesarios. Esto se
hace mediante el comando transport input. Por ejemplo, un VTY que debe recibir slo

sesiones de Telnet estara configurado con transport input telnet, y un VTY que permite las
sesiones de Telnet y de SSH estara configurado con transport input telnet ssh
Ejemplo

Otra tctica til es configurar los tiempos de espera de los VTY mediante el comando exectimeout. Esto impide que una sesin inactiva consuma el VTY en forma indefinida. A
pesar de que su eficacia contra los ataques deliberados es relativamente limitada,
proporciona algo de proteccin contra las sesiones que se dejan accidentalmente inactivas.
Del mismo modo, la activacin de los mensajes de actividad de TCP en las conexiones
entrantes mediante el comando service tcp-keepalives-in puede ayudar a resguardarse de
los ataques maliciosos y de las sesiones hurfanas provocadas por colapsos del sistema
remoto.
Ejemplo

Implementacin de SSH para proteger el acceso administrativo remoto

Tradicionalmente, al acceso administrativo remoto de los routers se configuraba mediante
Telnet en el puerto TCP 23. Sin embargo, Telnet se desarroll en un tiempo en el que la
seguridad no era un problema. Por este motivo, todo el trfico de Telnet se enva en forma
de
texto
sin
cifrar.
SSH reemplaz a Telnet como la mejor prctica para proporcionar administracin remota
de los routers con conexiones que admiten una slida privacidad e integridad de las
sesiones. SSH utiliza el puerto TCP 22. Brinda una funcionalidad similar a la de una
conexin Telnet saliente, con la excepcin de que la conexin se encuentra encriptada.

Mediante la autenticacin y la encriptacin, SSH hace posibles las comunicaciones seguras

a travs de una red insegura
Los routers Cisco pueden actuar como cliente y servidor SSH. De manera predeterminada,
ambas funciones se encuentran activadas en el router cuando se activa SSH. Como cliente,
un router puede realizar un SSH a otro router. Como servidor, un router puede aceptar
conexiones SSH cliente.

Configuracin

de

la

seguridad

de

SSH

Para permitir SSH en el router, se deben configurar los siguientes parmetros:

Nombre
Nombre
Claves
Autenticacin
Entre

los

de
de

parmetros

de

configuracin

Tiempos
Reintentos
Los
Paso

host
dominio
asimtricas
local
opcionales

se

encuentran:

de

siguientes
1:

pasos
Defina

configuran
los

espera

el

parmetros

SSH

en
de

un
los

router.
routers

Configure el nombre de host del router con el comando hostname hostname del modo de
configuracin.

Paso 2: Defina el nombre de dominio

Se debe crear un nombre de dominio para activar el SSH. En este ejemplo, escriba el
comando ip domain-name cisco.com del modo de configuracin global.

Paso 3: Genere claves asimtricas

Debe crear una clave que el router pueda utilizar para encriptar su trfico de administracin
de SSH con el comando crypto key generate rsa del modo de configuracin. El router
responde con un mensaje que muestra la norma de denominacin de las claves. Elija el
tamao del mdulo de la clave que debe estar entre 360 y 2048 para sus Claves de
propsito general. Elegir un mdulo de clave mayor a 512 puede llevar algunos minutos.
Como mejor prctica, Cisco recomienda utilizar una longitud de mdulo mnima de 1024.
Debe saber que la creacin y el uso de un mdulo ms largo llevan ms tiempo, pero ofrece
mayor seguridad.

Paso

4:

Configure

la

autenticacin

local

el

vty

Debe definir un usuario local y asignar una comunicacin de SSH a las lneas de vty, como
se observa en la figura.

Paso

5:

Configure

tiempos

de

espera

de

SSH

(opcional)

Los tiempos de espera brindan seguridad adicional a la conexin, pues finalizan las
conexiones prolongadas e inactivas. Use el comando ip ssh time-out seconds
authentication-retries integer para activar los tiempos de espera y los reintentos de
autenticacin. Configure el tiempo de espera del SSH en 15 segundos y la cantidad de
reintentos en 2:

Para conectarse a un router configurado con un SSH, debe utilizar una aplicacin de SSH
cliente como PuTTY o TeraTerm. Debe asegurarse de elegir la opcin SSH y de que
utilice el puerto TCP 22.

AutoSecure en un router Cisco

AutoSecure de Cisco utiliza un nico comando para desactivar procesos y servicios no
esenciales del sistema y elimina amenazas de seguridad potenciales. Puede configurar
AutoSecure en el modo EXEC privilegiado mediante el comando auto secure en uno de
estos
dos
modos:

Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otras
caractersticas de seguridad. Es el modo predeterminado.
Modo no interactivo: ejecuta automticamente el comando auto secure con la
configuracin predeterminada recomendada de Cisco. Este modo se activa con la opcin
del comando no-interact.
Los datos que debemos de ingresar en el Comando auto secure son los siguientes

Detalles de la interfaz
Ttulos
Contraseas
SSH
Caractersticas del firewall del IOS

Administracion de las imagenes IOS de CISCO

Una buena prctica para mantener la disponibilidad del sistema es asegurarse de tener
siempre copias de seguridad de los archivos de configuracin de inicio y de los archivos de
imagen del IOS
Ejemplo
Copiar la configuracin en ejecucin de la RAM a la configuracin de inicio de
NVRAM:
R1#

copy

running-config

startup-config

Copiar la configuracin en ejecucin de la RAM a una ubicacin remota:

R1#

copy

running-config

tftp:

Copiar una configuracin desde un origen remoto a la configuracin en ejecucin:

R1#

copy

tftp:

running-config

Copiar una configuracin de un origen remoto a la configuracin de inicio:

R2# copy tftp: startup-config
Guardar una imagen ios de cisco
Para salvar una imagen del sistema actual del router en un servidor TFTP de red se utiliza
el comando copy flash: tftp: en el modo EXEC privilegiado. El comando requiere que
escriba la direccin IP del host remoto y el nombre de los archivos de imagen del sistema
de
origen
y
destino.
Durante el proceso de copia, los signos de exclamacin (!) indican el progreso. Cada signo
de exclamacin significa que un segmento del UDP se ha transferido con xito.

Actualizacin de las imgenes del software IOS

Para actualizar un sistema a una versin de software ms nueva requiere descargar un
archivo de imagen del sistema diferente en el router. para eso utilizamos el comando copy
tftp: flash: para descargar la nueva imagen desde el servidor TFTP de red.
El comando nos solicita que escribamos la direccin IP del host remoto y el nombre del
archivo de imagen del sistema de origen y destino. Escriba el nombre de archivo de la
imagen de la actualizacin correspondiente, tal como aparece en el servidor.
Una vez confirmadas estas entradas, aparece el indicador Erase flash: . Borrar la memoria
flash deja espacio para la nueva imagen. Borre la memoria flash si sta no es suficiente para
ms de una imagen del IOS de Cisco.

Restaurando una imagen de IOS en un Router desde TFTP

Un router no funciona sin un software IOS de Cisco. Si se elimina o se daa el IOS, un
administrador debe copiar una imagen en el router para que funcione nuevamente.
Una forma de lograrlo sera utilizar la imagen del IOS de Cisco que se guard
anteriormente en el servidor TFTP
Cuando un IOS de un router se elimina accidentalmente de la memoria flash, el router sigue
funcionando porque IOS se est ejecutando en la memoria RAM. Sin embargo, es esencial
que el router no se reinicie en este momento, ya que no podra encontrar un IOS vlido en
flash.
Paso 1. Conecte los dispositivos.
Conecte la PC del administrador del sistema al puerto de consola del router afectado.
Conecte el servidor TFTP al primer puerto Ethernet del router. En la figura, R1 es un router
Cisco 1841; por lo tanto, el puerto es Fa0/0. Active el servidor TFTP y configrelo con la
direccin IP esttica 192.168.1.1/24.

Paso

2.

Inicie

el

router

defina

las

variables

de

ROMmon.

Dado que el router no tiene una imagen del IOS de Cisco vlida, el router arranca
automticamente en el modo ROMmon. Hay muy pocos comandos disponibles en el modo
ROMmon. Puede verlos al escribir ? en el indicador de comando rommon>.
Debe escribir todas las variables que se enumeran en la figura

Ahora, el router R1 debe estar configurado con los valores adecuados para conectarse al
servidor TFTP.

Paso

3.

Introduzca

el

comando

tftpdnld

en

el

indicador

de

ROMmon.

El comando muestra las variables de entorno necesarias y advierte que se borran todos los
datos existentes en la memoria flash. Escriba y para seguir y presione Intro. El router
intenta conectarse al servidor TFTP para comenzar la descarga.

Restaurando una imagen de IOS en un Router desde XMODEM

Uso de xmodem para restaurar una imagen del IOSUsar el comando tftpdnld es una
forma muy rpida de copiar el archivo de imagen. Otro mtodo para restaurar una imagen
del IOS de Cisco en un router es utilizar Xmodem. Sin embargo, la transferencia del
archivo se logra mediante el cable de la consola y, por lo tanto, es muy lenta en
comparacin con el comando tftpdnld.
Si se pierde la imagen del IOS de Cisco, el router cambia al modo ROMmon cuando
arranca. ROMmon es compatible con Xmodem. Con esa capacidad, el router puede
comunicarse con una aplicacin de emulacin de terminal, como HyperTerminal, en la PC
del administrador del sistema. Un administrador del sistema que tiene una copia de la
imagen del IOS de Cisco en una PC puede restaurarla al router estableciendo una conexin
de consola entre la PC y el router, y ejecutando Xmodem desde HyperTerminal.
Paso 1. Conecte los dispositivos
Conecte la PC del administrador del sistema al puerto de consola del router afectado. Abra
una sesin de emulacin de terminal entre el router R1 y la PC del administrador del
sistema.

Paso 2. Inicie el router y emita el comando xmodem en el indicador de ROMmon.

La sintaxis del comando es xmodem [-cyr] [nombre de archivo]. La opcin cyr vara segn
la configuracin. Por ejemplo, -c especifica CRC-16, y especifica el protocolo Ymodem y r
copia la imagen a la memoria RAM. Filename es el nombre del archivo que se debe
transferir.
Acepte todas las solicitudes cuando se le indique, como se muestra en la figura

Paso 3. La figura muestra el proceso para enviar un archivo mediante HyperTerminal. En

este caso, seleccione Transfer > Send File.

Paso 4. Explore la ubicacin de la imagen del IOS de Cisco que desea transferir y elija el
protocolo Xmodem. Haga clic en Send. Aparece un cuadro de dilogo en donde se muestra
el estado de la descarga. El host y el router comienzan a transferir la informacin despus
de varios segundos.