Configuracion Elementos Cisco

[Escriba aquí]
GESTIÓN DE ELEMENTOS
CISCO
Jose Manuel Rodríguez Reyes

Gestión de elementos Cisco
Índice
Índice ............................................................................................................................................. 1
1 Estructura de los comandos .................................................................................................. 4
2 Configuración general switches y routers ............................................................................. 4
2.1 Reiniciar un switch ........................................................................................................ 4
2.2 Borrar la configuración de un switch ............................................................................ 4
2.3 Cambiar el nombre........................................................................................................ 5
2.4 Configurar contraseña de acceso .................................................................................. 5
2.4.1 Contraseña de acceso a la consola........................................................................ 5
2.4.2 Contraseña de acceso EXEC con privilegios .......................................................... 5
2.4.3 Contraseña de acceso remoto .............................................................................. 5
2.4.4 Para encriptar las contraseñas .............................................................................. 6
2.5 Configurar un banner .................................................................................................... 6
2.6 Copiar la configuración a la NVRAM del switch ............................................................ 6
2.7 Configurar ssh................................................................................................................ 6
2.7.1 Vamos a permitir únicamente la versión 2 de ssh que es más segura ................. 6
2.8 Configurar la hora.......................................................................................................... 7
2.8.1 Configuración manual ........................................................................................... 7
2.8.2 Configuración del servidor NTP ............................................................................. 7
3 Configuración específica de un switch .................................................................................. 7
3.1 Configurar una IP de administración del switch ........................................................... 7
3.2 Configuración de las tablas de MAC.............................................................................. 7
3.2.1 Visualizar la configuración de los interfaces ......................................................... 7
3.2.2 Visualizar las tablas MAC ....................................................................................... 7
3.2.3 Configurar una MAC estática de forma permanente ligada a una interfaz .......... 7
3.3 Activar y desactivar interfaces ...................................................................................... 8
3.3.1 Activar una interfaz ............................................................................................... 8
3.3.2 Desactivar una interfaz.......................................................................................... 8
3.4 Configurar una interfaz (velocidad y modo) ................................................................. 8
3.5 Configurar VLAN en un Switch ...................................................................................... 8
3.5.1 Definición de la VLAN ............................................................................................ 9
3.5.2 Asignación de puertos a una VLAN ....................................................................... 9
3.5.3 Configuración de los puertos troncales ................................................................ 9
3.5.4 Eliminar una VLAN de un puerto troncal............................................................... 9
3.5.5 Comprobación de la configuración de una VLAN.................................................. 9
3.6 Agregación de enlaces en un switch ........................................................................... 10
Página 1 de 20
4 Seguridad adicional en los switches .................................................................................... 10

4.1 Guardar las contraseñas encriptadas .......................................................................... 10
4.2 Encriptar las contraseñas con un nivel superior a MD5 .............................................. 10
4.2.1 Contraseña de acceso EXEC con privilegios ........................................................ 10
4.2.2 Contraseña para un usuario remoto ................................................................... 11
4.3 Configurar una longitud mínima de la contraseña...................................................... 11
4.4 Bloqueo por contraseña errónea ................................................................................ 11
4.4.1 Excepciones al bloqueo por intentos de login fallidos ........................................ 11
4.5 Fijar el tiempo de inactividad ...................................................................................... 12
4.6 Forzar al uso de ssh como protocolo de acceso remoto............................................. 12
4.7 Bloqueo de MAC.......................................................................................................... 12
4.7.1 Comprobar la seguridad del puerto y sus MACs ................................................. 12
4.7.2 Establecer un número máximo de MACs ............................................................ 13
4.7.3 Tiempo de vida de las MAC (borrado por inactividad)........................................ 13
4.7.4 Violación de la seguridad .................................................................................... 13
4.8 Autenticación AAA ...................................................................................................... 14
5 Configuración específica de un router ................................................................................ 14
5.1 Configuración de una interfaz ..................................................................................... 14
5.2 Configuración de VLAN en un router .......................................................................... 15
5.3 Configuración de tablas de enrutamiento estáticas en un router .............................. 15
5.4 Configuración del protocolo RIP ................................................................................. 15
5.5 Configuración del protocolo OSPF .............................................................................. 15
5.6 Uso de ACLs ................................................................................................................. 15
5.6.1 ACL estándar........................................................................................................ 16
5.6.2 ACL extendida...................................................................................................... 16
5.7 Configuración del NAT (PAT o NAPT) .......................................................................... 17
5.7.1 Definición de la ACL estándar.............................................................................. 17
5.7.2 Asociar la ACL a la interfaz de salida ................................................................... 17
5.7.3 Marcar la interfaz interna como “inside” ............................................................ 17
5.7.4 Marcar la interfaz externa como “outside” ........................................................ 17
5.7.5 Abrir puertos para servidores internos ............................................................... 17
5.7.6 Visualizar la configuración del NAT ..................................................................... 17
5.8 Configuración de un servidor DHCP en un router ....................................................... 17
5.8.1 Verificación de la configuración DHCP ................................................................ 18
6 Configuración de un switch con IPv6 .................................................................................. 18
6.1 Configurar una IPv6 de administración del switch...................................................... 18
Página 2 de 20
6.2 Visualizar la configuración de los interfaces ............................................................... 19

7 Configuración de un router con IPv6 .................................................................................. 19
7.1 Asignación de una IP de unidifusión global................................................................. 19
7.2 Asignación de una IP de enlace local (local-link)......................................................... 19
7.3 ACLs en IPv6 ................................................................................................................ 19
8 Bibliografía .......................................................................................................................... 20
Página 3 de 20
1 Estructura de los comandos

Los routers y switches de Cisco utilizan un sistema operativo llamado IOS (Internetwork
Operating System). Este sistema operativo admite una serie de comandos por consola que nos
permitirán administrar el elemento de red en cuestión. Todas las instrucciones del S.O. IOS
tienen la misma estructura según se observa en la Ilustración 1.
Ilustración 1: Estructura básica de comandos de IOS
Recuerde que no todos los comandos aquí mostrados están disponibles en todos los elementos
de Cisco. De manera especial, los relacionados con la seguridad podrían requerir la activación
de un módulo especial (a veces disponibles en el simulador Packet Tracer1, a veces disponibles
únicamente en elementos reales de Cisco mediante el pago de una licencia adicional).
2 Configuración general switches y routers

Lo primero es acceder como administrador. Esto nos permitirá realizar cambios como modificar
un nombre, asignar contraseñas, etc.
Switch> enable
2.1 Reiniciar un switch

Switch> enable
Switch# reload
2.2 Borrar la configuración de un switch

En un switch podemos borrar 2 configuraciones que tengamos, las de la VLAN y la NVRAM
utilizando para ello los siguientes comandos:
1
Packet Tracer es un simulador de redes propiedad de Cisco que se distribuye de manera gratuita previa
suscripción en la página web: https://www.netacad.com/courses/packet-tracer
Página 4 de 20
Switch# delete vlan.dat

Switch# erase startup-config
2.3 Cambiar el nombre

Lo primero que hemos de hacer es irnos a la pantalla de configuración del terminal. Esto hace
que nos cambie el promt y nos aparezca la palabra (config).
Switch# configure terminal
A continuación, cambiamos el nombre

Switch(config)# hostname NuevoNombre
Switch(config)# end
2.4 Configurar contraseña de acceso

Debemos distinguir 3 tipos de contraseñas de acceso
1. El acceso normal a la consola

2. El acceso al modo EXEC con privilegios
3. El acceso por terminal remoto
Cada una de estas contraseñas se define y activa por separado y finalmente se encriptan TODAS
a la vez.
2.4.1 Contraseña de acceso a la consola

Switch(config)# line console 0
Switch(config-line)# password MiContrasena
Switch(config-line)# login
Switch(config-line)# exit
Switch(config)# end
2.4.2 Contraseña de acceso EXEC con privilegios

Switch(config)# enable password ContrasenaAdmin
En el caso de que deseemos gruardar la contraseña encriptada utilizaremos el modificador

“secret” para el comando en lugar de “password”.
Switch(config)# enable secret ContrasenaAdmin
Switch(config)# end
2.4.3 Contraseña de acceso remoto

Switch(config)# line vty 0 15
Switch(config-line)# password ContrasenaRemota
Switch(config-line)# login
Página 5 de 20
Switch(config)# end
2.4.4 Para encriptar las contraseñas

Switch(config)# service password-encryption
Switch(config)# end
2.5 Configurar un banner

El banner es el mensaje de bienvenida que se da cuando un usuario accede en modo consola al
switch. Normalmente contiene algún tipo de aviso legal sobre el acceso.
Switch(config)# banner motd “Prohibido el uso no autorizado”
Switch(config)# end
2.6 Copiar la configuración a la NVRAM del switch

Switch# copy running-config startup-config
2.7 Configurar ssh

Para configurar el ssh, lo primero que tenemos que hacer es establecer establecer un nombre
de switch (ver apartado 2.3) y un dominio y después, establecer una clave criptográfica
Switch(config)# ip domain-name Mi_dominio.com
Switch(config)# crypto key generate rsa
Además, debemos crear un usuario y reconfigurar las líneas VTY para que sólo admitan acceso
por ssh.
Switch(config)# username MiUsuario secret contrasena
Switch(config-line)# login local
Switch(config-line)# transport input ssh
Opcional: eliminar la contraseña VTY

Switch(config-line)# no password
2.7.1 Vamos a permitir únicamente la versión 2 de ssh que es más segura

Recuerde que para poder configurar correctamente la versión 2 de SSH, es preciso que la clave
rsa que generó tenga una longitud mínima de 768 bits. Cisco recomienda en todo caso utilizar
una longitud de clave mínima de 2048 bits.
Switch(config)# ip ssh version 2
Switch(config)# end
Página 6 de 20
2.8 Configurar la hora

Podemos configurar la hora de un switch manualmente o tomando un servidor NTP externo.
Dado que es conveniente que la red esté sincronizada, este último método es el más usual.
2.8.1 Configuración manual

Switch# clock set 16:01:00 sept 25 2020
2.8.2 Configuración del servidor NTP

Switch(config)# ntp server 209.165.200.225
Switch(config)# end
3 Configuración específica de un switch

3.1 Configurar una IP de administración del switch
Un switch no necesita una dirección IP para funcionar puesto que es un elemento de red de nivel
2 (enlace). Sin embargo, se le puede asignar una dirección IP con propósitos administrativos. En
este caso debemos distinguir entre si queremos que la IP esté accesible además desde el exterior
(asignándole una puerta de enlace predeterminada) o no. En todo caso, la IP de gestión del
switch siempre deberá encontrarse dentro de la misma VLAN en la que se alojan el resto de los
elementos de la red.
Switch(config)# interface vlan 1
Switch(config-if)# ip address 192.168.0.250 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit
Si queremos, además que nuestro switch pueda ser administrado desde fuera de nuesta subred,
tenemos que indicarle cuál es el router por defecto.
Switch(config)# ip default-gateway 192.168.0.1
Switch(config)# end
3.2 Configuración de las tablas de MAC

3.2.1 Visualizar la configuración de los interfaces
Switch# show ip interface brief
3.2.2 Visualizar las tablas MAC

Switch# show mac-address-table
3.2.3 Configurar una MAC estática de forma permanente ligada a una interfaz
Switch# mac address-table static 000D.BD0C.96AB vlan 1 interface Fa0/1
Como podemos ver, además de indicar la dirección MAC (en formato xxxx.xxxx.xxxx) y el puerto,
debemos indicar la VLAN a la que pertenece.
Página 7 de 20
3.3 Activar y desactivar interfaces

3.3.1 Activar una interfaz
Switch(config)# interface FastEthernet0/1
Switch(config)# end
3.3.2 Desactivar una interfaz

Switch(config-if)# shutdown
Switch(config)# end
3.4 Configurar una interfaz (velocidad y modo)

Switch(config-if)# speed 100
Switch(config-if)# duplex full
Switch(config)# end
3.5 Configurar VLAN en un Switch

Cuando configuramos VLANs en un switch lo que hacemos es dividir un switch físico en dos o
varios switches lógicos. Lo que conseguimos con esto es separar los dominios de difusión (por
eso decimos que tenemos varios switches lógicos) y, por lo tanto, para que los elementos
conectados a una VLAN puedan comunicarse con los elementos conectados a otra VLAN sería
necesario llegar hasta el nivel 3 y pasar por el router.
De manera general vamos a tener 2 tipos de puertos:
 Puertos de acceso (access mode): a los que conectaremos nuestros elementos finales.
 Puertos troncales (modo trunk): son aquellos por los que viajarán hacia el router (o cualquier
otro elemento) información correspondiente a más de una VLAN. Por este motivo, estos
puertos en lugar de utilizar la trama 802.3 utilizan la trama 802.1q
En cuanto a su configuración daremos los siguientes pasos:
1. Definición de la VLAN (y asignación de nombre).

2. Asignación de puertos a una VLAN determinada.
3. Configuración de los puertos troncales.
Página 8 de 20
3.5.1 Definición de la VLAN

Las VLAN tienen un número que va desde el 1 al 1000 (se pueden definir otro tipo de VLAN pero
no las estudiamos en este curso)
Switch(config)# vlan 10
Switch(config-vlan)# name red_interna
Switch(config-vlan)# exit
Switch(config)#
3.5.2 Asignación de puertos a una VLAN

Podemos realizar la asignación a un puerto individual (“interface”) o a un rango (“interface

range”).
Switch(config)# interface range f0/1-6
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# exit
Switch(config)#
3.5.3 Configuración de los puertos troncales

Los puertos troncales se configuran de un modo distinto
Switch#configure terminal
Switch(config)# interface g0/1
Switch(config-if)# switchport mode trunk
Añado la red (a veces se añaden las ya definidas de manera automática, teniendo que añadir de
manera manual únicamente las que se definan después de haber creado el trunk).
Switch(config-if)# switchport trunk allowed vlan add 10
Switch(config)#
3.5.4 Eliminar una VLAN de un puerto troncal

Switch#configure terminal
Switch(config)# interface g0/1
Switch(config-if)# switchport trunk allowed vlan remove 10
3.5.5 Comprobación de la configuración de una VLAN

Con los pasos anteriores ya tendríamos configurada la VLAN en un switch. Si quisiéramos
configurarlas en el router tendríamos que seguir los pasos que se muestran en la sección 5.2.
Podemos comprobar que la configuración de una VLAN ha ido bien recurriendo a los siguientes
comandos:
Página 9 de 20
Switch# show vlan brief

Switch# show interfaces switchport
Switch# show interfaces trunk
3.6 Agregación de enlaces en un switch

Para conseguir agregar enlaces (aumentar ancho de banda), no basta con tender los cables
desde distintos puertos del switch hacia el mismo elemento destino. Si únicamente hiciésemos
esto, de manera efectiva únicamente tendríamos un enlace de la capacidad indicada (el
protocolo spanning-tree desactivaría los enlaces adicionales para evitar bucles). Para poder
hacer la agregación de enlaces debemos proceder como sigue:
Switch(config)# interface range f0/1-4
Switch(config-if-range)# channel-group 1 mode on
Switch(config-if-range)# exit
4 Seguridad adicional en los switches

NOTA: La mayoría de estos comandos y de esta implementación de la seguridad se puede
implementar también en los routers.
Podemos implementar seguridad adicional en nuestro elemento de red definiendo:
 Que las contraseñas se guarden encriptadas (por defecto se guardan en claro y cualquier
administrador las puede leer).
 Longitud mínima de la contraseña.
 Bloqueo de usuario cuando se han realizado una serie de intentos de acceso fallidos.
 Tiempo máximo de sesión sin actividad (evitar que la sesión se quede abierta).
 Forzar el uso del protocolo ssh para acceso remoto.
 Bloqueo de MAC.
4.1 Guardar las contraseñas encriptadas

Switch(config)# service password-encryption
Switch(config)# end
4.2 Encriptar las contraseñas con un nivel superior a MD5

Las contraseñas se guardan, por defecto, en claro. Si les decimos que se encripten tal y como
aparece la la sección 2.4.4, el switch las encriptará utilizando un algoritmo de hash MD5.
Lamentablemente el MD5 ya no se considera seguro por lo que se recomienda utilizar otros
métodos más robustos como se muestra a continuación.
4.2.1 Contraseña de acceso EXEC con privilegios

Switch(config)# enable algorithm-type scrypt secret ContrasenaAdm
Utiliza el algoritmo de encriptación “scrypt”

Switch(config)# end
Página 10 de 20
4.2.2 Contraseña para un usuario remoto

Switch(config)# username MI-USUARIO algorithm-type scrypt secret MiContrasena
Switch(config)# end
4.3 Configurar una longitud mínima de la contraseña

Switch(config)# security passwords min-length 8
Switch(config)# end
4.4 Bloqueo por contraseña errónea

La siguiente sentencia bloquea durante 2 minutos (120 segundos) el acceso si se producen 3
intentos fallidos de conexión en un periodo de 3 minutos. Esto puede suponer un compromiso
entre evitar los ataques de denegación de servicio al sistema de gestión y por otro lado evitar
una entrada por fuerza bruta.
Switch(config)# login block-for 120 attempts 3 within 60
Switch(config)# end
Y para la línea de consola específica (las tomamos todas, de 0 a 15 en el ejemplo)

Switch(config-line)# password ContrasenaRemota
Switch(config-line)# login local
Con esta última configuración únicamente se pueden autenticar los usuarios locales (que deben
haber sido definidos previamente tal y como se muestra en la sección 2.7).
4.4.1 Excepciones al bloqueo por intentos de login fallidos

Cuando el número de intentos de login fallidos es grande, puedo bloquear el switch para que no
admita conexiones. Sin embargo, esta funcionalidad de seguridad en cuanto a confidencialidad,
podría ser utilizada por algún agente malicioso para realizarnos un ataque de denegación de
servicio en lo que a la gestión de nuestro switch se refiere. Por ello, puedo hacer una excepción
para las direcciones IP de las máquinas administrativas. Lo que hago es definir unas ACLs e
indicarle al switch que siga permitiendo el acceso para esas máquinas. Veamos un ejemplo:
Switch(config)# login block-for 15 attempts 5 within 60
Switch(config)# ip access-list standard PERMIT-ADMIN
Switch(config-std-nacl)# remark Permit only Administrative hosts
Switch(config-std-nacl)# permit 192.168.10.10
Switch(config-std-nacl)# permit 192.168.11.10
Página 11 de 20
Switch(config-std-nacl)# exit
Switch(config)# login quiet-mode access-class PERMIT-ADMIN
Switch(config)# login delay 10
Switch(config)# login on-success log
Switch(config)# login on-failure log
Switch(config)# end
Además, como se ve en las últimas instrucciones, fuerzo a que haya un retardo a la hora de hacer
el login y a que todos los intentos de logueo, ya sean exitosos o no, queden registrados (log).
4.5 Fijar el tiempo de inactividad

En el ejemplo de abajo, fijamos el tiempo de inactividad en 5 minutos y 30 segundos.
Switch(config-line)# exec-timeout 5 30
Switch(config)# end
4.6 Forzar al uso de ssh como protocolo de acceso remoto

Podemos forzar la utilización de SSH como protocolo de acceso remoto. Previamente hemos
debido definir el dominio tal y como se indica en la sección 2.7.
Switch(config-line)# transport input ssh
Switch(config)# end
4.7 Bloqueo de MAC

Switch(config)# interface Fa0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address 000D.BD0C.96AB
Switch(config)# end
4.7.1 Comprobar la seguridad del puerto y sus MACs

Switch# show port-security interface Fa0/1
Switch# show port-security address
Página 12 de 20
4.7.2 Establecer un número máximo de MACs

Sin llegar a especificar una MAC, puedo impedir que a un puerto se conecten más de n MACs.
En el ejemplo de abajo, lo limito a 3, manteniendo una MAC fija y dejando que las otras dos las
añada a la configuración en ejecución conforme las detecte.
Switch(config)# interface Fa0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Establecemos el número máximo de MACs a 3.

Switch(config-if)# switchport port-security maximum 3
Vamos a especificar una MAC de forma específica y las otras, las rellenaremos de las que estén
conectadas (“sticky”).
Switch(config-if)# switchport port-security mac-address 000D.BD0C.96AB
Switch(config-if)# switchport port-security mac-address sticky

Switch(config)# end
4.7.3 Tiempo de vida de las MAC (borrado por inactividad)

Puedo establecer que las MAC se borren tras un tiempo de inactividad (“inactivity”) o tras un
tiempo determinado sin imponer condiciones (“absolute”). En el ejemplo muestro que tras 10
minutos de inactividad la MAC se borre.
Switch(config)# interface fa0/1
Switch(config-if)# switchport port-security aging time 10
Switch(config-if)# switchport port-security aging type inactivity
Switch(config)# end
4.7.4 Violación de la seguridad

Puedo decir al puerto que, ante una violación de seguridad se comporte de distintos modos:
 shutdown: el puerto directamente se baja y hay que subirlo administrativamente.

 restrict: el puerto rechaza las tramas de las direcciones desconocidas hasta que borre el
número suficiente de IPs autorizadas o se aumente el número de las mismas.
 protect: similar al anterior, pero no deja registro de log.
En el ejemplo siguiente (tomado del de la sección 4.7.3), activamos la seguridad a modo

“restrict”. En este caso, el acceso queda restringido hasta que tras 10 minutos de inactividad el
switch pueda añadir la nueva MAC.
Página 13 de 20
Switch(config)# interface fa0/1

Switch(config-if)# switchport port-security aging time 10
Switch(config-if)# switchport port-security aging type inactivity
Switch(config-if)# switchport port-security violation restrict
Switch(config)# end
4.8 Autenticación AAA

Es como la autenticación de los usuarios con usuario y contraseña con la diferencia de que
establece una serie de alternativas.
Switch(config)# aaa authentication login {default | list-name} method1…[ method4 ]
donde “default” indica que el método que viene a continuación será el método por defecto y
“list-name” indica que los métodos que vienen a continuación. En cuanto a los métodos se
pueden usar:
 enable: usa la contraseña de “enable” para autenticar

 local: usa la base de datos local para autenticar.
 none: no usa autenticación.
Veamos un ejemplo completo a continuación:

Switch(config)# username MI-USUARIO algorithm-type scrypt secret MiPassword
Switch(config)# aaa new-model

Switch(config)# aaa authentication login default local-case
enable
Switch(config)# aaa authentication login SSH-LOGIN local-case
Switch(config)# end
5 Configuración específica de un router

5.1 Configuración de una interfaz
Las interfaces de los routers se encuentran inactivas por defecto, por lo que se suele aprovechar
el momento en que se les asigna una dirección IP para activarlas.
Router# configure terminal
Router(config)# interface g0/0
Router(config-if)# ip address 192.168.0.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# exit
Página 14 de 20
5.2 Configuración de VLAN en un router

Para permitir que desde un router se gestionen las VLAN, hemos de definir una serie de
interfaces virtuales y configurar el protocolo IEEE 802.1q del siguiente modo:
Router(config)# interface g0/0.1
Router(config-subif)# encapsulation dot1q 10
Router(config-subif)# ip address 192.168.1.1 255.255.255.0
Router(config-subif)# exit
Router(config)# interface g0/0.2
Router(config-subif)# encapsulation dot1q 11
Router(config-subif)# ip address 192.168.2.1 255.255.255.0
Router(config-subif)# exit
5.3 Configuración de tablas de enrutamiento estáticas en un router

La forma de configurarlo es utilizando la siguiente sintaxis: ip route <dirección de red que
queremos enrutar> <máscara de la red que queremos enrutar> <ip del siguente salto> <distancia
métrica (opcional)>
Router(config)# ip route 192.168.0.0 255.255.0.0 10.0.0.2 100
5.4 Configuración del protocolo RIP

Recordemos que el protocolo RIP es un protocolo basado en vector distancia.
Router(config)# router rip
Router(config-router)# version 2
Hemos utilizado la versión 2 ya que deseamos poder utilizar redes sin clase.
Router(config-router)# network 192.168.1.0
Router(config-router)# exit
5.5 Configuración del protocolo OSPF

Recordemos que el protocolo OSPF es un protocolo basado en el estado del enlace. Un aspecto
importante que conviene tener en cuenta es que la definición de este protocolo no utiliza la
máscara de red sino la máscara comodín (wildcard mask) que es complementaria a la primera.
Router(config)# router ospf 1
Router(config-router)# network 10.0.1.0 0.0.0.255 area 0
Router(config-router)# network 192.168.3.0 0.0.0.255 area 0
Router(config-router)# end
5.6 Uso de ACLs

Tenemos 2 tipos de ACLs
Página 15 de 20
 Estándar: relativo a reglas entrantes. Tomamos en consideración únicamente la IP origen

del paquete.
 Extendidas: Podemos considerar, además de la IP origen del paquete, la IP y puerto destino
e incluso el protocolo.
Para proceder a configurar una ACL seguimos los siguientes pasos:
 Definir la ACL
 Asignar la ACL a una interfaz, como entrante (in) al interfaz o como saliente (out) de la
interfaz.
5.6.1 ACL estándar

En una ACL estándar únicamente podemos considerar el origen de los paquetes. Actuamos
exclusivamente a nivel 3.
Router(config)# ip access-list standard Denegar_acceso
Router(config-std-nacl)# remark deny all accesses excepting
192.168.2.12
Router(config-std-nacl)# permit 192.168.2.12 0.0.0.255
Nótese que en las ACLs usamos la máscara comodín (wildcard mask) en lugar de la máscara de
subred.
Router(config-std-nacl)# deny any
Router(config-std-nacl)# exit
A continuación la asignamos a una interfaz.

Router(config-if)# ip access-group Denegar_acceso in
5.6.2 ACL extendida

En una ACL extendida podemos configurar no sólo el origen, sino también el destino. Además
podremos establecer los protocolos de nivel superior que queremos usar (TCP, UDP, IP...) y los
puertos. Son por lo tanto unas ACL más ricas y potentes.
Router(config)# ip access-list extended permitir_trafico_vuelta
Router(config-std-nacl)# remark permite trafico vuelta de
conexines TCP establecidas
Router(config-std-nacl)# permit tcp any 192.168.1.0 0.0.0.255
established
Router(config-std-nacl)# deny ip any any
Por último, la asignamos a una interfaz

Router(config-if)# ip access-group permitir_trafico_vuelta in
Página 16 de 20
5.7 Configuración del NAT (PAT o NAPT)

Para configurar un NAT en un router seguiremos los siguientes pasos:
1. Configuraremos una ACL estándar que permita todo el tráfico (para poder salir).
2. Asociamos la ACL a la interfaz de salida, advirtiendo que se trata de un NAT (se trata de una
asignación distinta a la de “access-group”
3. Marcar la interfaz interna como “inside”
4. Marcar la interfaz externa como “outside”
5. Abrir puertos para servidores internos.
5.7.1 Definición de la ACL estándar

Router(config)# ip access-list standard NAT_de_salida
Router(config-std-nacl)# remark permitir la salida del NAPT
Router(config-std-nacl)# permit 192.168.1.0 0.0.0.255
5.7.2 Asociar la ACL a la interfaz de salida

Router(config)# ip nat inside source list NAT_de_salida interface
g0/1 overload
Nótese que g0/1 es la interfaz de salida, mientras que “overload” hablita NAPT
5.7.3 Marcar la interfaz interna como “inside”

Router(config-if)# ip nat inside
5.7.4 Marcar la interfaz externa como “outside”

Router(config-if)# ip nat outside
5.7.5 Abrir puertos para servidores internos

Utilizamos la siguiente sentencia “ip nat inside source static” <protocolo> <ip interna> <puerto
interno> <ip externa> <puerto externo>
Router(config)# ip nat inside source static tcp 192.168.1.50 80
212.166.1.1 80
5.7.6 Visualizar la configuración del NAT

Router# show ip nat translations
Router# show ip nat statistics
5.8 Configuración de un servidor DHCP en un router

Un servidor DHCP permite la configuración centralizada de distintos parámetros de red como
pueden ser las direcciones IP y puerta de enlace predeterminada. Adicionalmente se pueden
definir otros parámetros importantes como el nombre de dominio o el DNS. Para configurar un
servidor DHCP en un router, ejecutaremos la siguiente secuencia de comandos:
Página 17 de 20
Router(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10
Este comando excluye ciertas direcciones IP del pool. Normalmente se reservan las más bajas
para elementos específicos que se configuran de manera estática como puede ser la .1 que se
suele asignar al router.
A continuación definimos el pool al que asignamos la red, router por defecto, servidor DNS y
nombre de dominio
Router(config)# ip dhcp pool mis_direcciones_ip
Router(dhcp-config)# network 192.168.1.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.1.1
Router(dhcp-config)# dns-server 8.8.8.8
Router(dhcp-config)# domain-name tiernoparla.es
Router(dhcp-config)# exit
Activamos el servico DHCP asociándolo a la vlan1

Router(config)#service dhcp vlan1
5.8.1 Verificación de la configuración DHCP

Router#show ip dhcp binding
Router#show ip dhcp pool
6 Configuración de un switch con IPv6

Lo primero que tenemos que hacer es permitir el uso de IPv6, ya que en los switches no está
activado por defecto. Podemos comprobarlo utilizando:
Switch# show sdm prefer
Si no tenemos activada la opción “dual-ipv4-and-ipv6 default”, podemos hacerlo utilizando el

siguiente comando:
Switch(config)# sdm prefer dual-ipv4-and-ipv6 default
En esta ocasión, para que el cambio tenga efecto, es preciso reiniciar el switch. Recordemos que,
si no se desea perder la configuración realizada, es preciso grabar la configuración antes de
reiniciar (ver sección 2.6).
6.1 Configurar una IPv6 de administración del switch

Procederemos de manera muy similar a como lo hacíamos en IPv4, aunque tendremos algunas
diferencias significativas
Switch(config)# interface vlan 1
Switch(config-if)# ipv6 address 2001:db8:acad:1::2/64
Página 18 de 20
Si queremos, además que nuestro switch pueda ser administrado desde fuera de nuesta subred,
tenemos que indicarle cuál es el router por defecto.
Switch(config)# ipv6 route ::/0 2001:db8:acad:1::1
Switch(config)# end
6.2 Visualizar la configuración de los interfaces

Switch# show ipv6 interface brief
7 Configuración de un router con IPv6

Lo primero que tenemos que hacer es permitir el enrutamiento de IPv6, ya que en los routers
no está activado por defecto. Podemos hacerlo utilizando:
Router(config)# ipv6 unicast-routing
7.1 Asignación de una IP de unidifusión global

Router# configure terminal
Router(config-if)# ipv6 address 2001:db8:aaaa::1:1/64
Router(config-if)# end
7.2 Asignación de una IP de enlace local (local-link)

Cualquier router configurará automáticamente una dirección de enlace local una vez que hemos
definido la dirección de unidifusión global. Sin embargo, dado que normalmente utilizaremos la
dirección de enlace local como la de router por defecto, conviene que definamos la nuestra para
que sea fácil de recordar. Nótese que como esta dirección es visible únicamente en esa subred,
todos nuestros routers podrían tener la misma dirección (FE80::1) para enlace local.
Router(config-if)# ipv6 address fe80::1 link-local
Router(config-if)# end
7.3 ACLs en IPv6

Al contrario que en IPv4, en IPv6 no tenemos 2 tipos de ACLs sino solamente 1 (podríamos decir
que se asemejan más a las ACLs extendidas).
Router(config)# ipv6 access-list permitir_trafico_vuelta
Router(config-ipv6-acl)# remark permite trafico vuelta de
conexines TCP establecidas
Nótese que en la definición ya no utilizamos la máscara comodín (wildcard mask) sino el prefijo.
El resto de la definición es idéntica.
Router(config-ipv6-acl)# permit tcp any 2001:db8:acad:1::FFFF/64
established
Página 19 de 20
Router(config-ipv6-acl)# deny ip any any

Router(config-ipv6-acl)# exit
Por último, la asignamos a una interfaz

Router(config-if)# ipv6 traffic-filter permitir_trafico_vuelta in
Nótese la diferencia con respecto a IPv4, pues aquí sustituimos “access-group” por “traffic-
filter”.
8 Bibliografía
[1] Comandos de elementos Cisco. https://community.cisco.com/t5/networking-
documents/ccna-command-summary/ta-p/4041776
Página 20 de 20

Configuracion Elementos Cisco

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Configuracion Elementos Cisco

Cargado por

Copyright:

Formatos disponibles

[Escriba aquí]

Jose Manuel Rodríguez Reyes

4 Seguridad adicional en los switches .................................................................................... 10

6.2 Visualizar la configuración de los interfaces ............................................................... 19

1 Estructura de los comandos

Ilustración 1: Estructura básica de comandos de IOS

2 Configuración general switches y routers

2.1 Reiniciar un switch

2.2 Borrar la configuración de un switch

Switch# delete vlan.dat

2.3 Cambiar el nombre

A continuación, cambiamos el nombre

2.4 Configurar contraseña de acceso

1. El acceso normal a la consola

2.4.1 Contraseña de acceso a la consola

2.4.2 Contraseña de acceso EXEC con privilegios

En el caso de que deseemos gruardar la contraseña encriptada utilizaremos el modificador

2.4.3 Contraseña de acceso remoto

2.4.4 Para encriptar las contraseñas

2.5 Configurar un banner

2.6 Copiar la configuración a la NVRAM del switch

2.7 Configurar ssh

Opcional: eliminar la contraseña VTY

2.7.1 Vamos a permitir únicamente la versión 2 de ssh que es más segura

2.8 Configurar la hora

2.8.1 Configuración manual

2.8.2 Configuración del servidor NTP

3 Configuración específica de un switch

3.2 Configuración de las tablas de MAC

3.2.2 Visualizar las tablas MAC

3.3 Activar y desactivar interfaces

3.3.2 Desactivar una interfaz

3.4 Configurar una interfaz (velocidad y modo)

3.5 Configurar VLAN en un Switch

De manera general vamos a tener 2 tipos de puertos:

En cuanto a su configuración daremos los siguientes pasos:

1. Definición de la VLAN (y asignación de nombre).

3.5.1 Definición de la VLAN

3.5.2 Asignación de puertos a una VLAN

Podemos realizar la asignación a un puerto individual (“interface”) o a un rango (“interface

3.5.3 Configuración de los puertos troncales

3.5.4 Eliminar una VLAN de un puerto troncal

3.5.5 Comprobación de la configuración de una VLAN

Switch# show vlan brief

3.6 Agregación de enlaces en un switch

4 Seguridad adicional en los switches

Podemos implementar seguridad adicional en nuestro elemento de red definiendo:

4.1 Guardar las contraseñas encriptadas

4.2 Encriptar las contraseñas con un nivel superior a MD5

4.2.1 Contraseña de acceso EXEC con privilegios

Utiliza el algoritmo de encriptación “scrypt”

4.2.2 Contraseña para un usuario remoto

4.3 Configurar una longitud mínima de la contraseña

4.4 Bloqueo por contraseña errónea

Y para la línea de consola específica (las tomamos todas, de 0 a 15 en el ejemplo)

4.4.1 Excepciones al bloqueo por intentos de login fallidos

4.5 Fijar el tiempo de inactividad

4.6 Forzar al uso de ssh como protocolo de acceso remoto

4.7 Bloqueo de MAC

4.7.1 Comprobar la seguridad del puerto y sus MACs

4.7.2 Establecer un número máximo de MACs

Establecemos el número máximo de MACs a 3.

Switch(config-if)# switchport port-security mac-address sticky