Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ques
es
un
Enlace
Troncal
Un enlace troncal es un enlace punto a punto, entre dos dispositivos de red, que transporta ms de una VLAN.
Un enlace troncal de VLAN le permite extender las VLAN a travs de toda una red. Cisco admite IEEE
802.1Q para la coordinacin de enlaces troncales en interfaces Fast Ethernet y Gigabit Ethernet
Un enlace troncal de VLAN no pertenece a una VLAN especfica, sino que es un conducto para las VLAN
entre
switches
y
routers.
Hay que recordar que los switches son dispositivos de capa 2. Slo utilizan la informacin del encabezado de
trama de Ethernet para enviar paquetes. El encabezado de trama no contiene la informacin que indique a qu
VLAN pertenece la trama. Posteriormente, cuando las tramas de Ethernet se ubican en un enlace troncal,
necesitan informacin adicional sobre las VLAN a las que pertenecen. Esto se logra por medio de la
utilizacin del encabezado de encapsulacin 802.1Q. Este encabezado agrega una etiqueta a la trama de
Ethernet
original
y
especifica
la
VLAN
a
la
que
pertenece
la
trama
Ejemplo
Configuracion
de
vlan
S1#configure terminal
S1(config )#interface fa0/1
S1(config-if) #switchport mode trunk establece el enlace como enlace troncal
S1(config-if) #switchport trunk nativa van 99 usa la vlan 99 como nativa o otra diferente que
elijamos como nativa
S1(config-if) #switchport trunk allowed Vlan 10, 20 permite el trabajo solo de las vlan
especificadas
S1(config-if) #exit
recuperar
Paso
1.
la
Concte
contrasea
el
PC
de
al
un
router,
siga
estos
pasos:
puerto
de
consola
del
Router
Paso 2. Si perdi la contrasea enable, todava tendr acceso al modo EXEC de usuario.
Escriba el comando show version cuando aparezca la indicacin y guarde los parmetros de
registro
de
configuracin.
R1>#show
<show
El
R1>
registro
command
de
output
configuracin
es
version
omitted>
0x2102
obtener acceso al router (debido a que perdi la contrasea TACACS o de conexin), puede
suponer con seguridad que su registro de configuracin est definido en 0x2102.
Paso 3. Use el interruptor de alimentacin para apagar el router y, a continuacin, vuelva a
encenderlo
Paso 4. Presione Pausa en el teclado del terminal dentro de los 60 segundos desde el
encendido
para
colocar
el
router
dentro
de
ROMmon.
Paso 5. Escriba confreg 0x2142 en la ventana rommon 1>. Esto hace que el router ignore la
configuracin de inicio donde se almacena la contrasea enable olvidada.
Paso 6. Escriba reset en la ventana rommon 2>. El router se reinicia, pero ignora la
configuracin
guardada.
Paso 7. Escriba no despus de cada pregunta de configuracin, o presione Ctrl-C para
saltear
el
procedimiento
de
configuracin
inicial.
Paso 8. Escriba enable cuando aparezca el indicador Router>. Esto lo coloca en el modo
enable y debe poder ver el indicador Router#.
De forma predeterminada, el software IOS de Cisco deja contraseas en texto sin cifrar
cuando se introducen en un router. Esto no es seguro, ya que cualquiera que pase por detrs
suyo mientras observa la configuracin de un router podra espiar por encima de su hombro
y ver la contrasea.
Si se usa el comando enable password o el comando username username password
password estas contraseas se mostraran al observar la configuracin en ejecucin.
Ejemplo:
R1(config)#
R1(config)#
username
R1(config)#
username
do
show
Student
Student
run
password
password
include
0
cisco123
username
cisco123
service
do
Student
show
run
password
|
7
password-encryption
include
username
03075218050061
username
do
show
Student
secret
Student
secret
cisco
run
|
include
username
5
$1$z245$lVSTJzuYgdQDJiacwP2Tv/
El software IOS de Cisco Versin 12.3(1) y posteriores permite que los administradores
definan la longitud mnima en caracteres de todas las contraseas de los routers utilizando
el comando de configuracin global security passwords min-length, como se observa en
la figura. Este comando proporciona acceso con mayor seguridad al router, al permitirle
que especifique una longitud mnima para las contraseas,
Ejemplo
Configurar las contraseas del Router
en
los
puertos
VTY
De manera predeterminada, todas las lneas de VTY estn configuradas para aceptar
cualquier tipo de conexin remota. Por razones de seguridad, las lneas de VTY se deben
configurar para aceptar conexiones slo con los protocolos realmente necesarios. Esto se
hace mediante el comando transport input. Por ejemplo, un VTY que debe recibir slo
sesiones de Telnet estara configurado con transport input telnet, y un VTY que permite las
sesiones de Telnet y de SSH estara configurado con transport input telnet ssh
Ejemplo
Otra tctica til es configurar los tiempos de espera de los VTY mediante el comando exectimeout. Esto impide que una sesin inactiva consuma el VTY en forma indefinida. A
pesar de que su eficacia contra los ataques deliberados es relativamente limitada,
proporciona algo de proteccin contra las sesiones que se dejan accidentalmente inactivas.
Del mismo modo, la activacin de los mensajes de actividad de TCP en las conexiones
entrantes mediante el comando service tcp-keepalives-in puede ayudar a resguardarse de
los ataques maliciosos y de las sesiones hurfanas provocadas por colapsos del sistema
remoto.
Ejemplo
Configuracin
de
la
seguridad
de
SSH
los
de
de
parmetros
de
configuracin
Tiempos
Reintentos
Los
Paso
host
dominio
asimtricas
local
opcionales
se
encuentran:
de
siguientes
1:
pasos
Defina
configuran
los
espera
el
parmetros
SSH
en
de
un
los
router.
routers
Configure el nombre de host del router con el comando hostname hostname del modo de
configuracin.
Paso
4:
Configure
la
autenticacin
local
el
vty
Debe definir un usuario local y asignar una comunicacin de SSH a las lneas de vty, como
se observa en la figura.
Paso
5:
Configure
tiempos
de
espera
de
SSH
(opcional)
Los tiempos de espera brindan seguridad adicional a la conexin, pues finalizan las
conexiones prolongadas e inactivas. Use el comando ip ssh time-out seconds
authentication-retries integer para activar los tiempos de espera y los reintentos de
autenticacin. Configure el tiempo de espera del SSH en 15 segundos y la cantidad de
reintentos en 2:
Para conectarse a un router configurado con un SSH, debe utilizar una aplicacin de SSH
cliente como PuTTY o TeraTerm. Debe asegurarse de elegir la opcin SSH y de que
utilice el puerto TCP 22.
Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otras
caractersticas de seguridad. Es el modo predeterminado.
Modo no interactivo: ejecuta automticamente el comando auto secure con la
configuracin predeterminada recomendada de Cisco. Este modo se activa con la opcin
del comando no-interact.
Los datos que debemos de ingresar en el Comando auto secure son los siguientes
Detalles de la interfaz
Ttulos
Contraseas
SSH
Caractersticas del firewall del IOS
copy
running-config
startup-config
copy
running-config
tftp:
copy
tftp:
running-config
Paso
2.
Inicie
el
router
defina
las
variables
de
ROMmon.
Dado que el router no tiene una imagen del IOS de Cisco vlida, el router arranca
automticamente en el modo ROMmon. Hay muy pocos comandos disponibles en el modo
ROMmon. Puede verlos al escribir ? en el indicador de comando rommon>.
Debe escribir todas las variables que se enumeran en la figura
Ahora, el router R1 debe estar configurado con los valores adecuados para conectarse al
servidor TFTP.
Paso
3.
Introduzca
el
comando
tftpdnld
en
el
indicador
de
ROMmon.
El comando muestra las variables de entorno necesarias y advierte que se borran todos los
datos existentes en la memoria flash. Escriba y para seguir y presione Intro. El router
intenta conectarse al servidor TFTP para comenzar la descarga.
Paso 4. Explore la ubicacin de la imagen del IOS de Cisco que desea transferir y elija el
protocolo Xmodem. Haga clic en Send. Aparece un cuadro de dilogo en donde se muestra
el estado de la descarga. El host y el router comienzan a transferir la informacin despus
de varios segundos.