Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Práctica # 1 Configuraciones Iniciales y Recuperación de Contraseña PDF
Práctica # 1 Configuraciones Iniciales y Recuperación de Contraseña PDF
PRÁCTICA # 1
“CONFIGURACIONES INICIALES Y RECUPERACIÓN DE CONTRASEÑA”
OBJETIVOS:
Realizar la conexión de un router o switch mediante el puerto de consola.
Configuraciones básicas de router y switch.
Establecer el direccionamiento IP en los equipos de la red.
Recuperar contraseñas en un router CISCO.
MARCO TEÓRICO:
SWITCH
Un switch de Cisco puede implementarse sin ninguna configuración, y de todas maneras conmutará
los datos entre los dispositivos conectados. Al conectar dos PC a un switch, esas PC tienen
conectividad mutua en forma inmediata.
Si bien un switch de Cisco funcionará de inmediato, la mejor práctica recomendada es configurar los
parámetros iniciales. Existen varias formas de acceder al entorno de la CLI y configurar el dispositivo.
Los métodos más comunes son los siguientes:
Shell seguro (SSH): es un método para establecer de forma remota una conexión segura a
través de una interfaz virtual, en una red. A diferencia de la conexión de consola, las sesiones
de SSH requieren servicios de red activos en el dispositivo, que incluye una interfaz activa
configurada con una dirección.
Telnet: es un método no seguro para establecer de forma remota una sesión de CLI a través
de una interfaz virtual, en una red. A diferencia de SSH, Telnet no proporciona una conexión
cifrada segura. La autenticación de usuario, las contraseñas y los comandos se envían por la
red en texto no cifrado.
PuTTY
Tera Term
SecureCRT
OS X Terminal
Estos programas le permiten aumentar la productividad mediante ajustes del tamaño de la ventana,
modificaciones de los tamaños de fuente y cambios en los esquemas de colores.
Como característica de seguridad, el software IOS de Cisco divide el acceso de administración en los
siguientes dos modos de comando:
Modo de ejecución de usuario: este tiene capacidades limitadas pero resulta útil en el caso de
algunas operaciones básicas. Permite solo una cantidad limitada de comandos de monitoreo
básicos, pero no permite la ejecución de ningún comando que podría cambiar la configuración
del dispositivo. El modo EXEC del usuario se puede reconocer por la petición de entrada de la
CLI que termina con el símbolo >.
Para configurar el dispositivo, el usuario debe ingresa al modo de configuración global, que
normalmente se denomina “modo de config. global”.
Desde el modo de configuración global, se realizan cambios en la configuración de la CLI que afectan
la operación del dispositivo en su totalidad. El modo de configuración global se identifica por una
petición de entrada que finaliza con (config)# luego del nombre del dispositivo,
como Switch(config)#.
Modo de configuración de línea: se utiliza para configurar la consola, SSH, Telnet o el acceso
auxiliar.
Cuando se usa la CLI, el modo se identifica mediante la petición de entrada de línea de comandos
que es exclusiva de ese modo. De manera predeterminada, cada petición de entrada empieza con
el nombre del dispositivo. Después del nombre, el resto de la petición de entrada indica el modo.
Por ejemplo, la petición de entrada predeterminada para el modo de configuración de línea
es Switch(config-line)# y la petición de entrada predeterminada para el modo de configuración de
interfaz es Swith(config-if)#.
Se utilizan varios comandos para pasar dentro o fuera de los comandos de petición de entrada. Para
pasar del modo EXEC del usuario al modo EXEC privilegiado, ingrese el comando enable. Utilice el
comando disabledel modo EXEC privilegiado para regresar al modo EXEC del usuario.
Para pasar dentro y fuera del modo de configuración global, utilice el comando configure
terminal del modo EXEC privilegiado. Para regresar al modo EXEC privilegiado, introduzca el
comando exit en el modo de configuración global.
Existen diversos tipos de modos de subconfiguración. Por ejemplo, para introducir un modo de
subconfiguración, debe utilizar el comando line seguido del número y tipo de línea de
administración al que desea acceder. Para salir de un modo de subconfiguración y volver al modo
de configuración global, utilice el comando exit. Observe los cambios en el comando de petición de
entrada.
Switch(config-line)#
Para pasar de cualquier modo de subconfiguración del modo de configuración global al modo que
se encuentra un nivel más arriba en la jerarquía de modos, introduzca el comando exit.
Switch(config-line)# exit
Switch(config)#
Switch(config-line)# end
Switch#
Puede trasladarse directamente desde un modo de subconfiguración a otro. Observe cómo después
del nombre del dispositivo de red, el comando de petición de entrada cambia de (config-line)# a
(config-if)#.
Switch(config-if)#
Una vez que se ha identificado la convención de denominación, el próximo paso es aplicar los
nombres a los dispositivos usando la CLI.
Desde el modo de configuración global, introduzca el comando hostname seguido del nombre del
switch y presione la tecla Intro. Observe el cambio en el comando de petición de entrada.
Siempre asegúrese de que la documentación esté actualizada cada vez que se agrega o modifica un
dispositivo. Identifique los dispositivos en la documentación por su ubicación, propósito y dirección.
Cisco IOS puede configurarse para utilizar contraseñas en modo jerárquico y permitir diferentes
privilegios de acceso al dispositivo de red.
Configuración de contraseñas
La contraseña más importante para configurar es la de acceso al modo EXEC privilegiado. Para
proteger el acceso a EXEC privilegiado, utilice el comando de configuración global enable
secret password.
Para proteger el acceso a EXEC de usuario, el puerto de consola debe estar configurado. Ingrese al
modo de configuración de consola de línea con el comando de configuración global line console 0.
El cero se utiliza para representar la primera (y en la mayoría de los casos la única) interfaz de
consola. Luego, configure la contraseña de modo EXEC de usuario con el
comando password password. Finalmente, habilite el acceso EXEC de usuario con el comando login.
El acceso a la consola ahora requerirá una contraseña antes de poder acceder al modo EXEC del
usuario.
Las líneas VTY habilitan el acceso remoto al dispositivo. Para proteger las líneas VTY que se utilizan
para SSH y Telnet, ingrese al modo de línea VTY con el comando de configuración global line vty 0
15, como se muestra en la figura 3. Muchos switches de Cisco admiten hasta 16 líneas VTY que se
numeran del 0 al 15. Luego, especifique la contraseña de VTY con el comando password password.
Por último, habilite el acceso a VTY con el comando login.
Para cifrar las contraseñas, utilice el comando de configuración global service password-encryption.
El comando aplica un cifrado débil a todas las contraseñas no cifradas. Este cifrado solo se aplica a
las contraseñas del archivo de configuración; no a las contraseñas mientras se envían a través de los
medios. El propósito de este comando es evitar que individuos no autorizados vean las contraseñas
en el archivo de configuración.
Mensajes de aviso
Para crear un mensaje de aviso del día en un dispositivo de red, utilice el comando de configuración
global banner motd #el mensaje del día #. El símbolo “#” en la sintaxis del comando se denomina
carácter delimitador. Se ingresa antes y después del mensaje. El carácter delimitador puede ser
cualquier carácter siempre que no aparezca en el mensaje. Por este motivo, a menudo se usan
símbolos como "#". Una vez que se ha ejecutado el comando, aparecerá el aviso en todos los
intentos posteriores de acceso al dispositivo hasta que el aviso se elimine.
Ya que cualquier persona que intenta iniciar sesión puede ver los avisos, se debe redactar el mensaje
cuidadosamente. El contenido o las palabras exactas de un aviso dependen de las leyes locales y de
las políticas de la empresa. Debe aclarar que solo el personal autorizado tiene permitido el acceso
al dispositivo. Es inapropiada toda redacción que implique que “se acepta” o “se invita” al usuario a
iniciar sesión. Asimismo, el aviso puede incluir cierres programados del sistema y demás información
que afecte a todos los usuarios de la red.
Se puede utilizar el comando show running-config en el modo EXEC privilegiado para ver un archivo
de configuración en ejecución. Para ver el archivo de configuración de inicio, ejecute el
comando show startup-config en el modo EXEC privilegiado.
La desventaja de utilizar el comando reload para eliminar una configuración en ejecución sin
guardar es el breve tiempo que el dispositivo estará sin conexión, lo que provoca tiempo de
inactividad de la red.
Cuando se inicia una recarga, el IOS detectará que la configuración en ejecución tiene cambios que
no se guardaron en la configuración de inicio. Aparecerá una petición de entrada para preguntar si
se desean guardar los cambios. Para descartar los cambios, ingrese n o no.
ROUTER
Los routers y switches Cisco tienen muchas similitudes. Admiten un sistema operativo similar,
estructuras de comandos similares y muchos de los mismos comandos. Asimismo, ambos
dispositivos usan los mismos pasos de configuración inicial cuando se implementan en una red.
Para que se pueda llegar a los routers, se deben configurar las interfaces de router en banda. Existen
muchos tipos diferentes de interfaces para los routers Cisco. En este ejemplo, el router Cisco de la
serie 1941 tiene las siguientes características:
Una tarjeta de interfaz serial WAN (WIC) que consta de dos interfaces: serial 0/0/0 (S0/0/0)
y serial 0/0/1 (S0/0/1)
Si bien no es necesario, es aconsejable configurar una descripción en cada interfaz para ayudar a
registrar la información de la red. El texto de la descripción tiene un límite de 240 caracteres. En las
redes de producción, una descripción puede ser útil para la solución de problemas, dado que
proporciona información con respecto al tipo de red a la que está conectada la interfaz y con
respecto a otros routers que pueda haber en esa red. Si la interfaz se conecta a un ISP o a un
Al usar el comando no shutdown, se activa la interfaz y es similar a darle energía. La interfaz también
debe estar conectada a otro dispositivo (un hub, un switch u otro router) para que la capa física se
active.
Existen varios comandos que se pueden utilizar para verificar la configuración de interfaz. El más útil
de ellos es show ip interface brief. El resultado generado muestra todas las interfaces, su dirección
IPv4 y el estado actual. Las interfaces configuradas y conectadas deben mostrar un estado "up" y el
protocolo "up". Cualquier otra cosa indica que existe un problema con la configuración o con los
cables.
Puede verificar la conectividad de la interfaz con el comando ping. Los routers Cisco envían cinco
pings consecutivos y miden los tiempos de ida y vuelta mínimo, máximo y promedio. Los signos de
exclamación verifican la conectividad.
show ip route: Muestra el contenido de la tabla de routing IPv4 que se almacena en la RAM.
show ip interface: Muestra las estadísticas IPv4 de todas las interfaces de un router.
HOST
Para que un terminal se comunique a través de la red, se debe configurar con la información de
dirección IP correcta, incluida la dirección de gateway predeterminado. El gateway predeterminado
se usa solamente cuando el host desea enviar un paquete a un dispositivo de otra red. En general,
la dirección de gateway predeterminado es la dirección de la interfaz de router conectada a la red
local del host. La dirección IP del dispositivo host y la dirección de interfaz de router deben estar en
la misma red.
Gateway predeterminado: identifica el gateway local (es decir, la dirección IPv4 de interfaz de
router local) para llegar a redes remotas.
En las redes, algunos dispositivos necesitan una dirección IP fija. Por ejemplo, las impresoras, los
servidores y los dispositivos de red necesitan una dirección IP que no cambie. Por este motivo,
generalmente, se asigna a estos dispositivos una dirección IP estática.
Un host también se puede configurar con una dirección IPv4 estática como la que se muestra en la
ilustración. En redes pequeñas, es aceptable asignar direcciones IP estáticas a los hosts. Sin
embargo, en una red grande, introducir una dirección estática en cada host llevaría mucho tiempo.
Es importante mantener una lista precisa de las direcciones IP estáticas asignadas a cada dispositivo.
En la mayoría de las redes de datos, la mayor parte de los hosts incluyen PC, tabletas PC, teléfono
inteligentes, impresoras y teléfonos IP. También suele ocurrir que la población de usuarios y los
dispositivos cambian con frecuencia. No sería práctico comenzar a asignar direcciones IPv4 de
manera estática a cada dispositivo. Por lo tanto, a estos dispositivos se les asignan direcciones IPv4
de manera dinámica con el protocolo DHCP.
En general, el protocolo DHCP es el método preferido para asignar direcciones IPv4 a los hosts en
redes grandes. Un beneficio adicional de DHCP es que la dirección no se asigna permanentemente
a un host, sino que solo se "presta" por un período. Si el host se apaga o se desconecta de la red, la
dirección regresa al pool para volver a utilizarse. Esta característica es muy útil para los usuarios
móviles que entran a una red y salen de ella.
PRUEBAS DE CONECTIVIDAD
El comando ping se usa para probar la conectividad entre dos hosts, pero no proporciona
información sobre los detalles de los dispositivos entre los hosts. Traceroute (tracert) es una utilidad
que genera una lista de saltos que se alcanzaron correctamente a lo largo de la ruta. Esta lista puede
proporcionar información importante sobre la verificación y la solución de problemas. Si los datos
llegan al destino, el rastreo indica la interfaz de cada router que aparece en la ruta entre los hosts.
Si los datos fallan en algún salto a lo largo del camino, la dirección del último router que respondió
al rastreo puede indicar dónde se encuentra el problema o las restricciones de seguridad.
El uso de traceroute proporciona el tiempo de ida y vuelta para cada salto a lo largo de la ruta e
indica si un salto no responde. El tiempo de ida y vuelta es el tiempo que le lleva a un paquete llegar
al módulo remoto de E/S y el tiempo que la respuesta del host demora en regresar. Se utiliza un
asterisco (*) para indicar un paquete perdido o sin respuesta.
Esta información se puede utilizar para ubicar un router problemático en la ruta. Si en la pantalla se
muestran tiempos de respuesta elevados o pérdidas de datos de un salto en particular, esto
constituye un indicio de que los recursos del router o sus conexiones pueden estar sobrecargados.
También se puede utilizar el comando ping para probar la capacidad de un host local para
comunicarse en una interconexión de redes.
Si este ping se realiza correctamente, se puede verificar el funcionamiento de una amplia porción
de la interconexión de redes. Un ping correcto en una interconexión de redes confirma la
comunicación en la red local, el funcionamiento del router que sirve como gateway y el
funcionamiento de todos los routers que podrían estar en la ruta entre la red local y la red del
módulo remoto de E/S.
De manera adicional, se puede verificar la funcionalidad del módulo remoto de E/S. Si el módulo
remoto de E/S no podía comunicarse fuera de la red local, no hubiera respondido.
Nota: muchos administradores de redes limitan o prohíben la entrada de mensajes ICMP a la red de
la empresa; por lo tanto, la falta de una respuesta de ping puede ser por razones de seguridad.
El comando ping es una manera eficaz de probar la conectividad. El comando ping utiliza el
protocolo de mensajes de control de Internet (ICMP) y verifica la conectividad de la capa 3. El
comando ping no siempre identifica la naturaleza de un problema, pero puede contribuir a
identificar su origen, un primer paso importante en la resolución de problemas de una falla de red.
Un ping emitido desde el IOS tiene como resultado una de varias indicaciones para cada solicitud de
eco ICMP que se envió. Los indicadores más comunes son:
. : indica que se agotó el tiempo mientras se esperaba un mensaje de respuesta de eco ICMP.
El "." (punto) puede señalar que se produjo un problema de conectividad en alguna parte de la ruta.
También puede indicar que un router de la ruta no contaba con una ruta hacia el destino y no envió
un mensaje de ICMP de destino inalcanzable. También puede señalar que el ping fue bloqueado por
la seguridad del dispositivo. Cuando se envía un ping en una LAN Ethernet, es habitual que se agote
el tiempo de espera del primer pedido de eco si se requiere el proceso ARP.
La "U" indica que un router a lo largo de la ruta respondió con un mensaje ICMP inalcanzable. O
bien el router no contaba con una ruta hacia la dirección de destino o se bloqueó la solicitud de
ping.
ACTIVIDADES A DESARROLLAR:
Se requiere armar la siguiente red:
INSTRUCCIONES:
1. Cablear la red acorde a la topología mostrada, para lo cual debe utilizar los cables
apropiados.
2. Conectar una PC al router CISCO mediante un cable de consola, esto le permitirá acceder a
la interfaz de línea de comandos (CLI).
3. Validar el puerto COM de conexión del router. Dirigirse al Panel de Control>>Administrador de
dispositivos>>Puertos COM y LPT.
4. En la PC ejecutar el programa PuTTY, para acceder al terminal de router y colocar el puerto
COM indicado.
5. Visualizar la configuración del router show running-config, en caso de contener
información configurada proceder a borrarla ejecutando los comandos:
erase start-up-config
reload
6. Asigne un nombre al Router R1
7. Deshabilitar la búsqueda DNS para evitar que el router traduzca los comando
incorrectamente introducidos.
8. Asigne la siguiente contraseña: redes, para el modo EXEC privilegiado.
enable password redes.
enable secret redes.
Service password-encryption
9. Asigne la siguiente contraseña: telecom, para la consola y líneas VTY.
10. Cree un aviso que advierta a todo el que acceda al dispositivo que el acceso no autorizado
está prohibido
11. Configure y active las dos interfaces en el router.
12. Configure una descripción de interfaz para cada interfaz.
13. Guarde la configuración en ejecución en el archivo de configuración de inicio.
14. Configure la dirección IP, la máscara de subred y los parámetros del gateway
predeterminado en la PC1 y PC2.
PRUEBAS A REALIZAR:
1. Realice una captura de la configuración realizada en el router: show running-config
2. Ejecute el comando show version del router y del switch.
3. Ejecute el comando show ip interface brief en el router y switch.
4. Ejecute el comando show ip route.
5. Ejecute el comando show interface F0/1.
6. Realice un ping desde la PC1 a PC2.
7. Realice un traceroute desde la PC2 hacia la PC1.
PREGUNTAS A CONTESTAR:
1. ¿Cuál es el nombre de la imagen de IOS que el router está ejecutando?
2. ¿Cuánta memoria NVRAM tiene el router?
3. ¿Cuánta memoria de acceso no volátil (NVRAM) tiene el switch?
4. ¿Cuál fue el último reinicio del SW?
5. ¿Cuántas interfaces FastEthernet tiene el switch?
6. ¿Cuántas entradas de ruta están codificadas con un código C en la tabla en enrutamiento?
7. ¿Cuál es el estado de la interfaz F0/1?
8. ¿Cuál es la dirección de control de acceso a los medios MAC de la interfaz F0/1?
9. Si la interfaz F0/1 se mostrara administrativamente inactiva, ¿qué comando de
configuración de interfaz usaría para activar la interfaz?
10. ¿Qué ocurriría si hubiera configurado incorrectamente la interfaz F0/1 en el router con
una dirección IP 192.168.1.2?
11. Investigue que significa el parámetro TTL en la respuesta de ping.
3. Mientras el IOS se carga en la RAM (Que es cuando aparecen los hash ####... en pantalla) se
debe iniciar la secuencia de detención (Break). Esta secuencia depende del tipo de terminal que se
esté utilizando. Para PuTTY, la secuencia por defecto es [CTRL] + [PAUSE]
4. Si todo ha salido bien, cuando termine la carga del IOS se accederá al Monitor de ROM (ROM
Monitor) y debería aparecer el prompt “rommon>”
establece cuando el valor de configuración de registro es 0x2102. Al cambiar este valor a 0x2142 le
estamos diciendo al dispositivo que iniciaremos el proceso de recuperación.
7. Mientras el sistema arranca ignorará el startup-config, por lo tanto el router se iniciará como si
no existiese configuración alguna. Debe responder NO a cualquier pregunta de autoconfiguración.
10. En este punto se puede cargar la configuración previa ejecutando el comando copy startup-
config running-config. Tenga cuidado que NO es running-config startup-config, ya que en este caso
queremos cargar la configuración DESDE el startup-config hacia la RAM (running-config)
11. Cambie o elimine cualquier contraseña de la configuración. Revise con show running-config. Si
desea borrar la contraseña de la consola, ejecute: Router(Config)# line console 0 Router(Config-
line) no password Router(Config-line) end
12. Vuelva a establecer el registro de configuración en modo normal. Recuerde que hasta este
punto estamos con 0x2142. Router(config)# config-register 0x2102