Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CLI en Routers y Switches Cisco 1 1 PDF
CLI en Routers y Switches Cisco 1 1 PDF
IntroduccinalCLI
enRoutersySwitchesCISCO
(Versin2.2)
Puedesdescargarlaltimaversindeestedocumentode:
http://blog.unlugarenelmundo.es/?page_id=127
JosMaraMoralesVzquez
josemaria@morales-vazquez.com
CONTENIDO
1.INTRODUCCIN...............................................................................................................3
Modosdeoperacin......................................................................................................3
OtrostrucostilesenelCLI............................................................................................4
2.CONTRASEADEACCESOALMODOPRIVILEGIADOYOTROSCOMANDOS.........4
Elcomandoshow............................................................................................................4
Historialdecomandos....................................................................................................4
Contraseadeaccesoalmodoprivilegiado.............................................................4
Elcomandono................................................................................................................5
Elcomandodo................................................................................................................5
Otroscomandosbsicos................................................................................................5
3.INTERFACESYLNEAS.CONFIGURACINBSICADEUNROUTER..............................6
Identificacindeinterfacesylneas.............................................................................6
Configuracindeinterfacesethernet..........................................................................6
Configuracinderutasestticas..................................................................................7
4.ACCESOREMOTO............................................................................................................7
Accesoportelnet............................................................................................................8
Accesoporssh.................................................................................................................8
5.CONFIGURACINDEUNSERVIDORDHCP...................................................................9
6.SWITCHES.........................................................................................................................10
AsignacindeunaIPalswitchparaaccederdeformaremota..........................10
7.REDESVIRTUALES(VLANs).............................................................................................11
EnrutamientoentreVLANs...........................................................................................12
8.OTROSCOMANDOS......................................................................................................13
9.INTRODUCCINALOSPROTOCOLOSDEENCAMINAMIENTODINMICO............13
10.RIP,ROUTINGINFORMATIONPROTOCOL.................................................................14
11.EIGRP,ENHACEDINTERIORGATEWAYROUTINGPROTOCOL.................................15
12.OSPF,OPENSHORTESTPATHFIRST..............................................................................17
13.INTRODUCCINALASEGURIDADENLOSSWITCHESCISCO.................................18
Desconexindepuertosnousadososospechosos.................................................18
DHCPSnooping.............................................................................................................19
ControldelasMACconectadasalospuertosdelSwitch......................................20
StormControl.................................................................................................................22
1.INTRODUCCIN
Los routers CISCO son como pequeos ordenadores. Tienen un procesador, se
pueden ampliar con nuevos interfaces, su software se actualiza como un
verdaderosistemaoperativo,etc.Unadesuscaractersticasmsimportantesson
suscuatrodiferentestiposdememoria:
ROMEslamemoriaquevienedeserieycontieneelcdigoindispensable
paraqueelrouterarranque.Nopuedemodificarse.
Flash EslamemoriadondesecargaelsoftwareIOSdeCISCOqueesel
quenosvaapermitirconfiguraryoperarelrouter.EsactualizableyCISCO
proporciona nuevas versiones peridicamente corrigiendo errores y
proporcionandonuevasfuncionalidades.
NVRAMEsunapequeamemoriadondeseguardalaconfiguracindel
router que queremos que se cargue inicialmente cada vez que este
arranca.
RAM Eslamemoriadetrabajodelrouterdondesecarganlastablasde
rutado, las configuraciones que hemos aplicado pero que no hemos
salvado,etc.Eslanicamemoriavolatil,esdecir,quesepierdecuandose
reiniciaelrouter.
Laprimeravezquevamosaconfigurarunrouternostenemosqueconectarcon
uncableseriealaentradadeconsolaynossaltarunscriptdeconfiguracin
inicialquepodemossaltarnos(pulsandoCtrl+cencualquiermomentoodiciendo
quenoalaprimerapregunta).PacketTracernossimulaesteprocesocuando
entramos en la pestaa CLI de un router o cuando lo conectamos a un PC
medianteunterminalseriealpuertodeconsola.
Los routers de CISCO suelen llevar tambin un pequeo servidor web al que
podemos conectarnos a travs de un navegador para configurarlos. CISCO
tambin proporciona aplicaciones Java para hacer esto, pero la opcin ms
popularymsbuscadaentrelosprofesionalesesquesepanconfigurarunrouter
CISCOatravsdelCLI(CommandLineInterface).
Modosdeoperacin
LosroutersCISCOtienentresmodosdeoperacinensulneadecomando:
modonormaldeusuario,elinicialconunpromptas>
privilegiadoodeadministracin,conprompt#
deconfiguracin,conlapalabraconfigantesdelprompt#
Parapasardemodonormalaprivilegiadoseusaelcomandoenable
Parapasardeprivilegiadoaconfiguracinseusaelcomando configure
terminal
Para volver atrs un nivel se usa el comando exit. Ctrl+Z tambin nos
devuelve almodo privilegiado desdeelmodo de configuracin. disable
tambinnosdevuelvealmodonormaldesdeelmodoprivilegiado.
OtrostrucostilesenelCLI
Paraautocompletarcomandosseusaeltabulador
Parapedirayudadecomandosdisponiblesuopcionesdelosmismosseusa
elsigno?
No hace falta escribir los comandos completos. Basta con las letras
suficientesparaquenohayaconfusinconotrasalternativas.Esvlidoena
porenable,configtermporconfigureterminal,etc.
Ctrl+Shift+6interrumpelaejecucindeuncomandoquenorespondeyque
sehaquedadopillado.
2. CONTRASEA DE ACCESO AL MODO PRIVILEGIADO Y OTROS
COMANDOS
Elcomandoshow
Elcomandoshowesbsicoparaobtenerinformacinacercadelrouter.Iremos
viendootrasutilidadespero,porejemplo,tenemostambinlassiguientes:
showversionmuestralaversindeIOSqueestamosusando,lainformacin
decopyrightdeCISCOqueapareceenelarranqueyunresumendelas
caractersticaseinterfacesdenuestrorouter.
showrunningconfiglistalaconfiguracindelrouterqueestactualmente
en ejecucin (en RAM y no en NVRAM!). Es muy til para guardar en
papellaconfiguracindereferenciadecadaunodenuestrosrouters.
Historialdecomandos
Comocasitodoslosinterfacesenlneadecomandos,elCLIdeCISCOguardaun
historial de las ltimas rdenes que hemos ejecutado desde la cnsola y que
podemosvisualizarconlasiguienteordenquesepuedeejecutardesdeelmodo
normaloprivilegiado:
showhistory
Por defecto se guardan los ltimos 10 comandos ejecutados. Si queremos
incrementaresenmerolohacemosdesdeelmodoprivilegiadoconlasiguiente
orden:
terminalhistorysize50
Siquisiramosdesactivarelhistorialdecomandosejecutamoslosiguiente:
terminalhistorysize0
Contraseadeaccesoalmodoprivilegiado
Como hemos visto, al sacar el router de la caja este no est protegido con
contrasea. Existen diferentes formas de proteger el acceso al router pero la
primeraquedebemos deusaresladeasegurarnos quenadieentraalmodo
privilegiado sin una contrasea cifrada. Para ello, desde el modo de
configuracintenemosqueejecutarelcomandoenablesecretyacontinuacin
lacontraseaquedeseamos.
Existeotraopcinmedianteelcomando enablepassword,peroenestecasola
contraseaselistarenclaroalhacer showrunningconfig.Podemoscifraresta
contraseamedianteelcomandoservicepasswordencryption,peroanasse
tratadeunaproteccinmuydebilquepuede saltarsemediante herramientas
comunescomolaquehayenestaweb:
http://www.ibeast.com/content/tools/CiscoPassword/
Veremosmsadelanteotrasformasdeprotegerelaccesoanuestrorouter:con
usuarioycontrasea,etc.
Elcomandono
Elcomandonoantespuestoaotrocomandosirve,enlasocasionesenlasque
estosepuedehacer,paraeliminar,desactivar,volveratrsodeshacerelefecto
dedichocomando.Porejemplo,paraeliminarlacontraseadeaccesoalmodo
priviliegiado usamos no enable secret o para borrar el nombre que le hemos
puestoanuestrorouterpodemosusarelcomandonohostname.
Elcomandodo
Si queremos ejecutar un comando del modo privilegiado desde el modo
configuracin(algotpicosinecesitamosejecutaralgncomandoshowmientras
estamosconfigurandoalgo)ynoqueremosestarcambiandocontinuamentede
modo, podemos hacerlo anteponiendo el comando do. Por ejemplo,
escribiendo do sh ip route desde el modo de configuracin nos ejecutara el
comandocomosiestuveramosenelmodoprivilegiado.Elnicoinconveniente
deejecutarcomandoscon do esquenotendremosdisponiblesnilasfuncioens
deautocompletarnilaayudaconlatecla?
Otroscomandosbsicos
hostname<nombre>desdeelmododeconfiguracin,nospermitecambiar
elnombredistintivodelrouter.
banner motd # Tambin desde el modo de configuracin, nos permite
personalizar el mensaje de bienvenida que recibimos al conectarnos al
router. Podemos escribir lo que queramos usando varias lneas, etc. El
mensajefinalizacuandovolvamosaescribir # alprincipiodeunalneay
pulsemoslateclaINTRO.Silodeseamospodemosusarotrocaractercomo
finalizadorcambindoloenelcomando.
reload Desde el modo privilegiado reinicia el router. Los cambios no
salvadossepierden.
writememoryoslowritedesdeelmodoprivilegiadosalvalaconfiguracin
actualmenteenejecucincomoconfiguracinpordefecto.
copyrunningconfigstartupconfigIdemalanterior.
writeerase Limpiatodalaconfiguracindelrouterylodejacomorecin
salidodelacaja.
writestartupconfigIdemalanterior.
3.INTERFACESYLNEAS.CONFIGURACINBSICADEUNROUTER
Identificacindeinterfacesylneas
LosroutersCISCOtienendostiposdeconexiones:interfacesylneas.Lasinterfaces
sonaquellasconexionesqueusamosparaconectarlosentresoaotrosequipos
paraquedesempeenlasfuncionesderutadopropiamentedichas.Laslneas,
porotrolado,sonconexionesqueusamossloparaconfigurarlosomanipularlos.
Lasinterfacespuedenserserie,ethernet,fastethernet,gigaethernet,atm,etc.
Laslneaspuedenserconsole,auxovty.
Lasinterfacesseidentificanporunasecuenciadenumerosseparadosporbarras
deltipo0/0/0dondeelprimerorepresentalabaha,elsegundoelslotyeltercero
elpuerto.Sislohubieradosseranslotypuertoysiapareceunosloesquese
identificaconelpuertosinms(aunqueestoslosueleocurrirenlaslneasynoen
losinterfaces). Seaadeadems,alprincipiodelasecuencia,unaletraque
indica el tipo de interface (e por ethernet, f por fast ethernet, g por gigabit
ethernet,sporserial,etc.).Porejemploe0/1/0of0/0,s0/0/0og7/0.
Siqueremosinformacinslodeundeterminadointerfaceloconcretamosenel
comando.Porejemploshowinterfacef0/1
ParaaadirunadireccinIPsecundariaauninterface(enPacketTracernoest
implementadoestoynofunciona)usamoslasiguientesintaxis:
ipaddress192.168.10.1255.255.255.0secondary
Configuracindeinterfacesethernet
Laconfiguracindeuninterfaceserealizaentrespasos,siempredesdeelmodo
deconfiguracin: seleccionarlainterfaceaconfigurar, asignarleuna ipyuna
mscara a ese interface y, finalmente, activarla. Para las interfaces serie
necesitaramos, adems, activar una seal de reloj en uno (y slo uno) de los
extremosdelacomunicacin,peroestonovamosaverloporelmomento.
Supongamosquequeremosconfigurarelinterfazfastethernetidentificadocomo
0/1conlaIP192.168.0.1delasubred192.168.0.0/25.Lasecuenciadecomandosa
aplicar(desdeelmododeconfiguracin)seralasiguiente:
interfacef0/0paraseleccionarlaconfiguracindelinterface
ipaddress192.168.0.1255.255.255.128paraasignarleIPymscara
noshutdownparaactivarlo
exitparasalirdelmododeconfiguracindeinterfaceyvolveralmodode
configuracinnormal.
Observaqueenrealidadnoexisteningncomandoparaactivaruninterface.
Slo existe el comando shutdown que lo desactiva. Al usarlo junto con el
comandonoconseguimoselefectocontrario.
iproute192.168.3.0255.255.255.0192.168.0.2
Sinecesitamosrutasalternativas,podemosaadiralfinalotroparmetroconuna
mtricaquesimbolizeladistanciaopreferenciaderuta.Cuantomenorseael
nmero,mayorpreferenciasedaraesaruta.Pordefectosinoponemosnada
seconfiguracomo1:
iproute192.168.3.0255.255.255.0192.168.0.52
Elcomandoshowiproutenosmuestratodaslasredesquenuestrorouterconoce,
distinguiendosiestconectadodirectamenteaellas,sitienealgunarutaesttica
configurada o cualquier otra condicin. Si slo queremos ver las redes
directamenteconectadasanuestrorouterusaremoselcomando showiproute
connected
4.ACCESOREMOTO
HastaahorahemostrabajadoenmodoCLIconnuestrosroutersCISCO,peroen
ningnmomentonoshemosplanteadocomorealizamoseseacceso.
Cmo accedemos a la pantalla del CLI de un dispositivo CISCO realmente?
Tenemos varias formas de hacerlo. Una de ellas, la que deberamos de usar
inicialmente cuando sacamos el dispositivo de su caja, es conectarnos
directamenteconunPCmedianteunemuladordeterminalyatravsdelpuerto
de consola que traen todos ellos. Pero una vez instalado, configurado y
valorrecomendado.
linevty01 Vamosaconfigurarhastadosaccesossimultaneosporssh.El
promptcambiaa(configline)#
transportinputsshParahabilitarelaccesoporssh
loginlocalParahabilitarelaccesomedianteusuarioycontraseaenlugar
desloconcontraseacomohastaahora.
username josemaria privilege 15 password arboleda donde creamos al
usuariojosemariaconcontraseaarboledayniveldeprivilegios15
Los niveles de privilegios van entre 0 y 15 y definen los comandos que tendr
permiso para ejecutar el usuario. Un nivel 1 corresponde con el modo normal
(prompt>)yunnivel15coneldemximosprivilegios(prompt#).
Y ya est. Ahora podemos acceder por ssh desde cualquier equipo a este
dispositivo.
showipsshoshowsshnosmuestraninformacinacercadelservicio
showprivilegenosdiceelniveldeprivilegioconelqueestamostrabajando.
NOTA:Elprocedimientoeselmismoparapoderaccederaunrouteroaunswitch
salvoqueannosabemoscomoconfigurarunaIPenunswitch.Esoloveremos
msadelante.
5.CONFIGURACINDEUNSERVIDORDHCP
Los router CISCO, al igual que casi todos los routers, pueden configurarse de
forma que adems realicen las funciones de servidor dhcp. La forma de
configurarlosesmuysimpleytienecuatropasos:crearunpooldedirecciones,
asociarlo a una determinada red (indicando la direccin de la misma y su
mscara), indicar la direccin del router por defecto que entregaran a sus
clientes y, por ltimo, excluir las direcciones que usaremos para asignaciones
manuales.Loscomandosconcretosausar,desdeelmododeconfiguracin,son
lossiguientes:
ipdhcppoollaarboledacreaunpooldedireccionesparaadministrarpor
dhcpyleasignaelnombredistintivolaarboleda
network 192.168.0.0 255.255.255.128 le asigna al pool anterior la red
delimitadaporladireccindered192.168.0.0conmscara255.255.255.128
defaultrouter192.168.0.1asignaladireccin192.168.0.1comoladelrouter
pordefectoqueentregaralosclientesjuntoconlaipcorrespondiente,
exit parasalirdelmododeconfiguracindeldhcpyvolveralmodode
configuracinnormal.
Elrouterpuedetenermsdeuninterfacederedytambinmsdeunpoolde
direcciones dhcp. El asocia los pools con los interfaces a travs de los cuales
entregarlasdireccionesporqueladireccindelinterfacedebedecorresponder
conladelaredasociadaalpooly,comoyasabemos,cadainterfacedelrouter
debedeperteneceraunareddiferente.
Observatambinque,aligualqueocurraconlaconfiguracindelosinterfaces,
elprompttambincambiaaqupordhcpconfigparaadvertirnosdelmodoenel
quenosencontramos.
Paraexcluirunrangodedireccionesusamoselsiguientecomando:
Podemosinspeccionarlatabladeasignacindedireccionesdelserviciodhcp
medianteelsiguientecomando:
shipdhcpbinding
Elserviciosedetienesimplementeusandoelcomandonosobrelaprimeraorden:
noipdhcppoollaarboleda
http://www.cisco.com/en/US/docs/ios/12_2/ip/configuration/guide/1cfdhcp.html
6.SWITCHES
Los switches de CISCO usan el mismo sistema de configuracin en lnea de
comandoquelosroutersy,portanto,muchasdelas rdenesquehemosvisto
hastaahora nossirventambinparalosswitches.Laformadeentrarenmodo
privilegiado o de configuracin, la ayuda, los comandos para salvar la
configuracin,etc.
AsignacindeunaIPalswitchparaaccederdeformaremota
Elprimerpasopararealizarunaccesoremotoesqueeldispositivocuentecon
unadireccinIPconfigurada.Enlosroutersyasabemoshacerlo.Paralosswitches
elprocedimientodeconfiguracindeunaIPesligeramentediferente.Desdeel
mododeconfiguracinejecutamoslosiguiente:
intvlan1entramosaconfigurarlavlan1.UnswitchdeCISCOpuedetener
7.REDESVIRTUALES(VLANs)
LasRedesVirtualesconstituyenunatcnicatilparadividirunaredendiferentes
subredes separadas entre si sin necesidad de usar routers y permitiendo una
separacinfuncionaldelosequiposendiferentesgruposdetrabajosinimportar
laubicacindondeseencuentranconectados.Nosetratadeunatecnologa
propietariadeCISCOypuedeimplementarseigualmenteconswitchesdeotros
fabricantes.
Comohemosdichoantes,losswitchesCISCOpermitenhasta1005VLANsdelas
cualesla1esespecialylasexistentesentrela1002yla1005estnreservadas.
PodemosverinformacindelasVLAN'sactivasennuestroswitchconelcomando
siguiente:
showvlanbrief
Crear una VLAN es tan fcil como ejecutar lo siguiente (desde el modo de
configuracin):
vlan 2 para crear una vlan con el identificador 2. El prompt cambia a
(configvlan)#
nameestudiantesparaasignarleelnombreestudiantes(estoesopcionaly
noindispensableparaquefuncione.Sinoseasignanombreseponeuno
deformaautomatica)
intvlan2
noshentraenlaconfiguracindelavlan2ylaactiva
Paraasignarunpuertodelswitch,poeejemploelf0/10,aunadeterminadaVLAN,
la2enesteejemplo:
intf0/10
switchportmodeaccess
switchportaccessvlan2
ParadesasociarunpuertodelaVLANusamoselcomandono:
intf0/10
noswitchportaccessvlan
UnaVLANseeliminacompletamentecontodossuspuertosasociadostambin
conelcomandono:
novlan2
Cadapuertodeunswitchadmiteestarasociadoauna nicaVLAN.Entonces
comoenlazamosdirerentesswitchesparaquecomuniquenentresiytransmitan
lainformacindetodaslasVLANdenuestrared?Pueslohacemosdefiniendolos
enlacesentreswitchescomotroncales.Unenlacetroncaltransmitireltrficode
todaslasVLANsdisponibles.Asuvez,tenemosqueasociarleunidentificadoralos
enlacestroncalesque,enelejemplosiguiente,esel99:
vlan99
nametroncal
intvlan99paracrearyactivarlavlan99queserlaqueusemosparalos
enlacestroncales.Sitenemosvariosenlacestroncales,estoslohayque
hacerlounavezporcadaswitch.
nosh
intf0/5
switchportmodetrunk
switchporttrunknativevlan99
Paramostrarlainformacindetodoslosenlacestroncalesdeunswitch:
showinterfacestrunk
Paracomprobarlaconfiguracindeunenlacedefinidocomotroncal:
showinterfacesf0/5switchport
Losenlacestroncalesseeliminantambinusandoelcomandono.
EnrutamientoentreVLANs
LacomunicacinentrelasdiferentesVLANssepuedehacerdevariasformas.Una
de ellas consiste en usar switches de capa 3 que incluyen funciones de
enrutamientobsicas.Lasegundaformaconsisteenusarunroutercomncon
diferentesinterfacesdemaneraquecadaunodeellosseconfiguracomorouter
pordefectodeunadelasVLANsyseconfiguranadecuadamentelospuertosdel
switchdondeseconectanestosinterfaces.Puestoquenoesnecesarioningn
comandodistintoalosqueyasabemosparaesto,loveremosenlosejercicios.
Enelsiguienteenlace,eningls,teexplicanalgomsdeestoycomoserealiza:
http://www.cisco.com/en/US/tech/tk389/tk815/technologies_configuration_exam
ple09186a008019e74e.shtml
8.OTROSCOMANDOS
Pordefecto,yalrevesdeloqueocurreconlosrouters,todoslosinterfacesdeun
switchvienenactivos.Siqueremosdeshabilitarunodeellos(porejemploporque
vemos una actividad de trfico sospechoso) ejecutamos lo siguiente desde el
mododeconfiguracin:
intf0/12
shparadeshabilitarlo
ElcomandoquenospermiteverlasdireccionesMACasociadasacadapuerto
delswitcheseste:
show macaddresstable para visualizar la tabla de direcciones MAC
asociadasacadapuertodelswitch.
9. INTRODUCCIN A LOS PROTOCOLOS DE ENCAMINAMIENTO
DINMICO
Losrouterspuedenutilizardostiposdemodosdefuncionamientoalahorade
realizarsutrabajodeencaminamiento:usartablasdeencaminamientoesttico
(loquehemosvistohastaahora)ousarprotocolosdeencaminamientodinmico.
Enredessencillasenlasquesloexisteunnicocaminoparacomunicarentre
dospuntoslosprotocolosdeencaminamientodinmiconotienenrazndeser.
Enlasredescomplejasenlasquepodemostenerdiferentesrutasentredospuntos
y,adems,latopologapuedecambiaroexisteelriesgodequeciertostramosse
colapsen en determinadas circunstancias, los protocolos de encaminamiento
dinmicoofrecenunmejorresultado.
Seusandosestrategiasenlosprotocolosdinmicos:lasdenominadasdevector
distancia y las de estado de enlace. A grandes rasgos, la primera trata el
problema como las indicaciones de carretera. Para llegar a un destino slo
tenemosqueseguirloscartelesperonotenemosunainformacintotaldelaruta:
sloelnmerodekms.quenosseparadenuestrodestino.Sitenemosdosrutas
alternativas veremos los kms. que faltan segn cojamos una u otra, pero no
tendremos casininguna otrainformacin.Los protocolos deestado de enlace
seran comparables a viajar con un GPS y un mapa de carreteras: tenemos
informacincompletadetodalarutahastanuestro destinoypodemostomar
decisionesnosloporelnmerodekms.
Lostresprotocolosdeencaminamientodinmicomsutilizadosenlaactualidad
son RIP, EIGRP y OSPF. Todos ellos pueden usarse en routers CISCO. Los dos
primerossondevectordistanciayeltercerodeestadodeenlace.
10.RIP,ROUTINGINFORMATIONPROTOCOL
RoutingInformationProtocol.Protocolodeencaminamientodinmicoestndar
muysimple.Esunprotocolodelosdenominadosde vectordistancia yesmuy
utilizadoenredespequeasomedianas.
LaconfiguracindeRIPesmuysencilla:elrouterslonecesitainformacindelas
redesconectadasdirectamenteal.Elrestolodescubrirporlainformacinque
leenvenlosdemsrouters.RIPeligesiemprelarutaconmnimonmerodesaltos,
perosiestasecaeyexisteotradisponibleserecuperaylasustituye(aunquelo
hace de forma bastante lenta comparada con otros protocolos). Existen dos
versionesdeRIP.Lasegunda,queeslaqueveremos,esdeconfiguracinsin
clase(classless),ynospermitirelusodesubnettingysupernettingennuestras
redessintener,adems,queindicarlasmscarasdelasmismas.
Enlosprotocolosdevectordistancialosroutersnotienenunatablacompletade
lared,sinoslodelosdestinosadyacentes(deformamuyparecidaalasrutas
estticas).RIPestrestringidoaredesconmsde15saltosentredosdestinos.De
formapredeterminadaactualizalainformacindesustablascomunicandocon
losdemsroutersdelaredcada30segundos.Estoesasinclusocuandonohay
cambiosenlaredenvariosdas.
LosroutersconRIPensuversin1secomunicanentreellosusandobroadcastyla
direccin especial 255.255.255.255. En la versin 2, ms recomendable, usan
multicastyladireccinIP 224.0.0.9 (recuerda:unadireccinclaseDqueestn
reservadasparausosespecialescomoeste).
Los comandos bsicos para configurar un roter CISCO con la versin 2 del
protocoloRIPson:
routerripdesdeelmododeconfiguracinactivaelmododeconfiguracin
delprotocoloRIP.Elpromptcambiaa(configrouter).
version2 habilitaelusodelaversin2delprotocolo,queesconlaque
trabajaremos.
Acontinuacintenemosqueiragregandounaaunatodaslasredesquetienen
conexindirectaconelrouter.Lohacemosaadiendoslolasdireccionesdered
(sinmscara)atravsdelsiguientecomando:
network192.168.20.0
Enredesconsubnettingysupernettingcomplejastenemosquedecirlealrouter
que no queremos que agrupe las rutas de forma automtica con el siguiente
comando:
noautosummary
Elautosummaryderutasahorramuchamemoriaalosroutersperopuededar
lugaraerroresenalgunastopologascomplejas.
Tendremosqueejecutaruncomandocomoelanteriorporcadaredconectada
alrouter.
Porltimo,paracomprobarelcorrectofuncionamientodelprotocolopodemos
activarelmododebugdeformaqueveremosenlaconsolatodoslosmensajes
generados.Lohacemosconelsiguientecomando:
debugiprip
Paradesactivarestemodoyvolveralaoperativanormal:
undebugall
Seguramentenopodrsescribirlodeunavezporqueteversinterrumpidoporlos
mensajesdelprotocolo.Noechescuentadeello,escrbelocomosinopasara
nadaypulsaintroalfinal.
Msinformacinyopcionesextendidassobreesteprotocolo:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdrip.html
11.EIGRP,ENHACEDINTERIORGATEWAYROUTINGPROTOCOL
EnhancedInteriorGatewayRoutingProtocol.Setratadeunprotocolopropietario
deCISCO.Avecesseloconsideraunprotocolohbridoqueusavectordistancia
yestadodeenlace,peroenrealidadesunprotocolodevectordistanciaqueusa
algunasdelascaractersticasdelosprotocolosdeestadodeenlacey,alahora
detransmitirinformacinalosroutersvecinos,notieneencuentasloelnmero
desaltosparallegaradestinosinoquetambinconsideraotrosparmetros.
EIGRPusa5mtricasparaestablecerlasrutasptimas:elanchodebanda,el
retrasodelared,laconfiabilidad,lacargadelaredyelmtuounidadmximade
transferencia,aunque tieneunmodo pordefectoqueslo tomaelancho de
bandayelretraso. Sitodoslosenlacestienenelmismoanchodebandayel
mismoretraso,eselnmerodesaltosloquedeterminaelcamino.Enestecasose
comportaigualqueRIPalahoradeescogerelcamino(minimizandoelnmero
desaltos)perorecomponelarutamuchomsrpidosisecaealgnenlace.En
una rutaconvarios saltos setomacomo anchodebandaeldelsalto quelo
tengamenorycomoretrasolasumadetodoslosdelaruta.
Losparmetrospuedenserdiferentesenunoyotroextremodeunsaltoporquese
supone la existencia de lneas asimtricas (como el ADSL) con caractersticas
diferentesencadaextremo.Elanchodebandayretrasoqueseconfiguraenel
interfazcorrespondeconlosparmetrosdesalidadelalnea.Losdelaentradase
configuranenelotroextremo.
LoscomandosbsicosparaconfigurarunroterCISCOconEIGRPson(desdeel
mododeconfiguracin):
Adems,enredesconsubnettingysupernettingcomplejastambintenemosque
decirlealrouterquenoqueremosqueagrupelasrutasdeformaautomticacon
elsiguientecomando:
noautosummary
interfacef0/0
bandwidth 64000 para configurar el ancho de banda de la lnea
correspondientealinterfacef0/0enbps(en64Kbpsenelejemplo)
delay 1000 para configurar el retraso de la lnea con una cantidad en
dcimasdemicrosegundo(en10000microsegundosenelejemplo).
Paraquetomenefectoloscambiosenestosparmetroshayquebajarlalnea
(shutdown)yvolveralevantarlaluego(noshutdown).
Puestoquelaslneaspuedenserasimtricasytenervaloresdiferentesdeentrada
y de salida (como ocurre con el ADSL) los valores que configuramos en un
interfacecorrespondenalosdesalidadelalnea.Losdeentradaseconfiguraran
enelotroextremo.
shipeigrpinterfaces
shipeigrpneighbors
shipeigrptopology
shipeigrptraffic
Msinformacin:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdeigrp.html
12.OSPF,OPENSHORTESTPATHFIRST
OpenShortestPathFirst.Esunprotocoloestndarddelosdenominadosdeestado
deenlace quenosgarantizaelusodelcaminomscortoentredospuntos.Se
trata,posiblemente,delprotocolomsusadoenredesgrandesycomplejas. A
grandesrasgos,cadarouterconstruyeunatopologadelaredqueconoceyla
comparteconsusvecinosdeformaqueentretodoscompletanunplanototalde
laredenlaquetrabajanydeformaquecadaunocalculasusrutasdeforma
independientealosdems.
Ensumodocompletosetratadeunprotocolocomplejoquepermitedividirlared
en diferentes reas y tratarlas de forma diferente. Nosotros veremos aqu el
protocoloOSPFdereanica.
SeleconsideracomoelsucesordeRIP.Paralacomunicacinusalasdirecciones
multicast224.0.0.5y224.0.0.6.AligualqueocurryaconEIGRP,sloenvannuevas
comunicacionescuandodetectancambiosenlatopologadelared.
Necesitamosroutersmspotentes,conmsmemoriaparaalmacenarlos
mapas de red y ms CPU para hacer clculos con un algoritmo ms
complejo.
Lainformacinquesetransmiteesmayor,porlotantoexistemsriesgode
quesaturenlaredconsus mensajesenelmomentoinicialdelarranque
(cuando empiezan a cambiar informacin entre ellos para construir los
mapas de red) o en redes inestables en las que tenemos muchos y
frecuentescambios.
routerospf1parahabilitarelprotocoloOSPFenelrouter
network 192.168.1.0 0.0.0.255 area 0 para dar de alta la red dada, con
mscara en formato de comodines y especificando que dicha red
pertenecealrea0.
shipospfneighbors
Msinformacin:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdospf.html
13.INTRODUCCINALASEGURIDADENLOSSWITCHESCISCO
Losswitchessonelementoscentralesdelaconfiguracindenuestrasredes.Todo
el trfico pasa por ellos y todos los equipos deben, de una forma directa o
indirecta, estar conectados a un switch para tener acceso a nuestra red.
Introducirmecanismosdeseguridadenlosmismoses,portanto,unabuenaforma
decontrolardeformapreventivaalgunosproblemasimportantesdeseguridad.
Enestedocumentoveremosalgunasdeestasmedidasysuimplementacinen
switchesCISCO.
Desconexindepuertosnousadososospechosos
Los puertos no usados de nuestros switcheso sospechosos detener problemas
deberandesconectarsedelared.Pordefectotodoslospuertosdelosswitches
aparecen conectados pero su desconexin es bien sencilla. En las siguientes
lneasdesconectamoselpuertof0/4
ena
configterm
intf0/4
shutdown
Tambinesposibleseleccionarunrangocompletodepuertosparaaplicaruna
mismaconfiguracinsobretodosellos.Lossiguientescomandosdesactivantodos
lospuertosentreelf0/5yelf0/10
ena
configterm
intrangef0/510
shutdown
DHCPSnooping
ELDHCPSnoopingcomprendeunconjuntodetcnicasencaminadasahacer
msseguroelfuncionamientodelprotocoloDHCP.Yavimosensumomentoque
setratabadeunprotocolomuycmodoenredesgrandesperoconevidentes
problemasdeseguridad.
CISCOimplementaalgunastcnicasencaminadasaestefin.Laprimeradeellas
nospermiteprohibireltrficodeunservidorDHCPdesdetodoslospuertosdel
switchsalvodelosquenosotrosautoricemos.Paradecir,porejemplo,quenuestro
servidorDHCPestenelpuertof0/2,ejecutaramoslosiguiente:
ena
configterm
ipdhcpsnooping
intf0/2
ipdhcpsnoopingtrust
Pararetirarlaautorizacindelinterfazusaramoselcomandono:
intf0/2
noipdhcpsnoopingtrust
SinuestroswitchdetectaraunservidorDHCPconectadoacualquierotropuerto
lodesconectaradeformaautomtica.
Elsegundomecanismodeseguridadnospermitelimitarelnmerodepeticiones
aunservidorDHCPqueserealizadesdedeterminadospuertos.Estonosayudaa
mitigar que alguien trate de saturar un servidor DHCP cambiando de MAC y
enviadopeticionesalservidor.Enelsiguienteejemploselimitana5paquetespor
segundolaspeticionesquepuedenrealizarsedesdelospuertos10al24:
ena
configterm
ipdhcpsnooping
intrangef0/1024
ipdhcpsnoopinglimitrate5
showipdhcpsnooping
ControldelasMACconectadasalospuertosdelSwitch
Todos sabemos que la principal diferencia del switch frente al hub es que el
primeromemorizalospuertosalosqueestnconectadoslosdistintosequipos
de forma que la comunicacin entre un equipo y otro slo se enva por los
segmentosderedadecuados.Estomejoralacalidaddelascomunicacionesen
nuestraredlocal(tenemosunmayoranchodebandadisponible)ymejorala
seguridad en la red (alguien con un sniffer lo tiene ms difcil para leer la
informacinquenovadestinadaal.)
Losswitchesrealizanestafuncindeformasimplealmacenandoensumemoria
unastablasconlasdireccionesMACdelosequiposylospuertosalosqueestn
conectados los mismos. Estas tablas deben de tener capacidad para guardar
msdeunaMACporpuerto(podemostenerunswitchde96puertosconectado
encascadaalpuertodeotroswitch)y,lgicamente,tienenuntamaofinito.
SiunswitchrecibeunmensajeparaunequipocuyaMACnotieneregistradoen
sustablasenvaelmensajeatodossuspuertoscomosifueseunhub.Cuandoel
equiporesponderegistraelpuertodesdeelquelohahechoy,apartirdeese
momento,yaleenviarsiemprelosmensajesdirectamente.
Perocmosecomportaunswitchsiestastablassellenandeltodoytieneque
enviarleunmensajeaunequipocuyaMACnoestincluidaenellasyportanto
no sabe en que puerto est conectado? Difundiendo el mensaje a travs de
todossuspuertoscomosisetratasedeunhub.Elprobelmaocurrecuandoeste
equipo contesta. Puesto que el switch no tiene espacio no incluir el puerto
desde el que lo hace y seguir siempre enviandole los mensajes como si se
tratasedeunhub.
UnataquedesaturacinoinundacindedireccionesMAC(MACfloodingoARP
flooding)estencaminadoaesto:inundarunswitchconpeticionesdediferentes
direcciones MAC ficticias para que el switch sature sus tablas y comience a
comportarse como un hub con mensajes legtimos de forma que podamos
capturarlosmedianteelusodeunsniffer.CISCOincluyefuncionalidadesquenos
permiten limitar el nmero de MAC diferentes que pueden conectarse en los
puertos de sus switches de forma que nos permiten solucionar este problema.
Adems,tambinevitalosataquesdesaturacinaunservidorDHCP.
Si queremos limitar el puerto de un switch de forma que por este slo pueda
conectarseunequipoconunaMACconocidaejecutaramoslosiguiente:
ena
configterm
intf0/5
switchportmodetrunk
switchportportsecurity
switchportportsecuritymacaddress0016.E650.45E2
De esta forma, el nico equipo legtimo reconocido para estar conectado al
puertof0/seraelquetienelaMACindicada.Fjatequelaformadeescribirla
MAC es ligeramente diferente a como estamos acostumbrados. En lugar de
ponerlacomo00:16:E6:50:45:E2lohacemos0016.E650.45E2
SielswitchdetectaraunequipoconunaMACdiferenteconectadaaesepuerto
desconectaraelpuertodeformaautomtica.
Si queremos que en lugar de desactivar el puerto simplemente no permita el
trficodeequiposconunaMACdiferenteejecutaramostambinlosiguiente:
switchportportsecurityviolationrestrict
Ysiqueremosvolveralmodoanterior:
switchportportsecurityviolationshutdown
EnalgunasocasionesnopodemoslimitaraunanicaMAClasreconociblesen
determinados puertos, pero queremos poner un mximo permitido. Tampoco
queremosonosesposibleescribiramanolasdiferentesdireccionesMACque
vamos a permitir. En este caso podemos limitar el nmero de MAC y decirle
ademsalswitchqueaprendacualessernestasdeformaautomtica.Estolo
hacemosconlossiguientescomandos:
ena
configterm
int0/1
switchportmodeaccess
switchportportsecurity
switchportportsecuritymaximum30
switchportportsecuritymacaddresssticky
Elpuertof0/1denuestroswitchadmitir,comomximo,30direccionesdiferentes
queeliraprendiendodeformaautomtica(las30primerasquedetecte).A
partir de ah, si existe un intento de comunicacin por parte de alguna otra
direccin, desactivar el puerto. El modo de respuesta lo podemos modificar
tambinconelcomandovistoantes(switchportportsecurityviolationrestrict).
Por ltimo, los comandos que nos permiten ver la configuracin que hemos
realizadodeestasmedidassonlossiguientes:
showportsecurity
showportsecurityintf0/5
Si, adems, queremos ver las direcciones MAC autorizadas para cada puerto
ejecutaramosesto:
showportsecurityaddress
UnavariantedeesteataquesedenominaARPspoofingoenvenenamientode
ARP. En este caso no hace falta llenar la tabla ARP del switch sino que se lo
engaahacindolepensarqueunequipoestenunpuertodiferente.Elswitch
mandalosmensajesaestepuertoyelequipoquerealizaelengaolosleey
luegolosremitealamquinaautnticaparaqueestanosospeche.Siestomismo
sehacesimultaneamentecondosequiposseespiatodaslasconversaciones
entre ambos constituyendo lo que se conoce como ataque de hombre en el
medio(oManintheMiddle).Existenmuchasherramientasparahacerestode
forma automtica pero tal vez la ms popular y fcil de usar sea ettercap,
disponibletantoparaplataformasLinuxcomoWindows.
StormControl
Aveces,ygeneralmenteporaverashardwareosoftware,algunastarjetasdered
creanunacantidaddetrficotangrandequesaturan alswitchal queestn
conectadas, deteriorando las comunicaciones y llegando incluso al punto de
hacercaertotaloparcialmentelared.LosswitchesCISCOtienenlaposibilidad
decontrolarestomedianteunsubconjuntodecomandos.
ena
configterm
intf0/1
stormcontrolbroadcastlevel20
Enelejemplo anteriorhabilitamoselstormcontrolparaelpuerto 1denuestro
switchdeformqueeltrficobroadcastdelmismonosupereel20%delanchode
bandanominaldelmismo.
Podemos controlar de igual forma el trfico unicast y el multicast con, por
ejemplo,lasiguientesintrucciones:
stormcontrolmulticastlevel50
stormcontrolunicastlevel90
Nodebemosdeolvidarcuandoconfiguramosestosparmetrosquelostrestipos
detrficosonnecesariosyque,enparticular,elmulticastseusaportodoslos
protocolos de rutado dinmico (entre otros) y el unicast constituira el trfico
comndeunequipo.
Siquisieramosbloqueartotalmenteeltrficobroadcastdeunequipopodramos
ponerlosiguiente:
stormcontrolbroadcastlevel0
El trfico multicast y el unicast puede bloquearsetambin, adems de con el
comandoanterior,conelsiguiente:
switchportblockunicast
switchportblockmulticast