You are on page 1of 23

Introduccin al CLI en Routers y Switches CISCO

IntroduccinalCLI enRoutersySwitchesCISCO
(Versin2.0) Puedesdescargarlaltimaversindeestedocumentode: http://blog.unlugarenelmundo.es/?page_id=127

JosMaraMoralesVzquez josemaria@morales-vazquez.com

Jos Mara Morales Vzquez

Pgina 1

Introduccin al CLI en Routers y Switches CISCO

CONTENIDO
1.INTRODUCCIN................................................................................................................3 Modosdeoperacin......................................................................................................3 OtrostrucostilesenelCLI.............................................................................................4 2.CONTRASEADEACCESOALMODOPRIVILEGIADOYOTROSCOMANDOS.........4 Elcomandoshow............................................................................................................4 Historialdecomandos...................................................................................................4 Contraseadeaccesoalmodoprivilegiado.............................................................5 Elcomandono................................................................................................................5 Elcomandodo................................................................................................................5 Otroscomandosbsicos................................................................................................5 3.INTERFACESYLNEAS.CONFIGURACINBSICADEUNROUTER..............................6 Identificacindeinterfacesylneas.............................................................................6 Configuracindeinterfacesethernet..........................................................................6 Configuracinderutasestticas..................................................................................7 4.ACCESOREMOTO............................................................................................................7 Accesoportelnet............................................................................................................8 Accesoporssh.................................................................................................................8 5.CONFIGURACINDEUNSERVIDORDHCP...................................................................9 6.SWITCHES.........................................................................................................................10 AsignacindeunaIPalswitchparaaccederdeformaremota...........................11 7.REDESVIRTUALES(VLANs)..............................................................................................11 EnrutamientoentreVLANs............................................................................................12 8.OTROSCOMANDOS......................................................................................................13 9.INTRODUCCINALOSPROTOCOLOSDEENCAMINAMIENTODINMICO.............13 10.RIP,ROUTINGINFORMATIONPROTOCOL...................................................................14 11.EIGRP,ENHACEDINTERIORGATEWAYROUTINGPROTOCOL...................................15 12.OSPF,OPENSHORTESTPATHFIRST...............................................................................17 13.INTRODUCCINALASEGURIDADENLOSSWITCHESCISCO..................................18 Desconexindepuertosnousadososospechosos.................................................18 DHCPSnooping.............................................................................................................19 ControldelasMACconectadasalospuertosdelSwitch......................................20 StormControl.................................................................................................................22

Jos Mara Morales Vzquez

Pgina 2

Introduccin al CLI en Routers y Switches CISCO

1.INTRODUCCIN
Los routers CISCO son como pequeos ordenadores. Tienen un procesador, se pueden ampliar con nuevos interfaces, su software se actualiza como un verdaderosistemaoperativo,etc.Unadesuscaractersticasmsimportantesson suscuatrodiferentestiposdememoria: ROMEslamemoriaquevienedeserieycontieneelcdigoindispensable paraqueelrouterarranque.Nopuedemodificarse. Flash EslamemoriadondesecargaelsoftwareIOSdeCISCOqueesel quenosvaapermitirconfiguraryoperarelrouter.EsactualizableyCISCO proporciona nuevas versiones peridicamente corrigiendo errores y proporcionandonuevasfuncionalidades. NVRAMEsunapequeamemoriadondeseguardalaconfiguracindel router que queremos que se cargue inicialmente cada vez que este arranca. RAM Eslamemoriadetrabajodelrouterdondesecarganlastablasde rutado, las configuraciones que hemos aplicado pero que no hemos salvado,etc.Eslanicamemoriavolatil,esdecir,quesepierdecuandose reiniciaelrouter. Laprimeravezquevamosaconfigurarunrouternostenemosqueconectarcon uncableseriealaentradadeconsolaynossaltarunscriptdeconfiguracin inicialquepodemossaltarnos(pulsandoCtrl+cencualquiermomentoodiciendo queno a laprimerapregunta).PacketTracer nos simula este proceso cuando entramos en la pestaa CLI de un router o cuando lo conectamos a un PC medianteunterminalseriealpuertodeconsola. Los routers de CISCO suelen llevar tambin un pequeo servidor web al que podemos conectarnos a travs de un navegador para configurarlos. CISCO tambin proporciona aplicaciones Java para hacer esto, pero la opcin ms popularymsbuscadaentrelosprofesionalesesquesepanconfigurarunrouter CISCOatravsdelCLI(CommandLineInterface).

Modosdeoperacin
LosroutersCISCOtienentresmodosdeoperacinensulneadecomando: modonormaldeusuario,elinicialconunpromptas> privilegiadoodeadministracin,conprompt# deconfiguracin,conlapalabraconfigantesdelprompt# Parapasardemodonormalaprivilegiadoseusaelcomandoenable Parapasardeprivilegiadoaconfiguracinseusaelcomando configure terminal Para volver atrs un nivel se usa el comando exit. Ctrl+Z tambin nos
Jos Mara Morales Vzquez Pgina 3

Introduccin al CLI en Routers y Switches CISCO devuelve al modo privilegiado desde el modo de configuracin. disable tambinnosdevuelvealmodonormaldesdeelmodoprivilegiado.

OtrostrucostilesenelCLI
Paraautocompletarcomandosseusaeltabulador Parapedirayudadecomandosdisponiblesuopcionesdelosmismosseusa elsigno? No hace falta escribir los comandos completos. Basta con las letras suficientesparaquenohayaconfusinconotrasalternativas.Esvlidoena porenable,configtermporconfigureterminal,etc. Ctrl+Shift+6 interrumpe la ejecucin de un comando que no responde y quesehaquedadopillado.

2. CONTRASEA DE ACCESO AL MODO PRIVILEGIADO Y OTROS COMANDOS


Elcomandoshow
Elcomandoshowesbsicoparaobtenerinformacinacercadelrouter.Iremos viendootrasutilidadespero,porejemplo,tenemostambinlassiguientes: showversionmuestralaversindeIOSqueestamosusando,lainformacin decopyrightdeCISCOqueapareceenelarranqueyunresumendelas caractersticaseinterfacesdenuestrorouter. showrunningconfig listalaconfiguracindelrouterqueestactualmente en ejecucin (en RAM y no en NVRAM!). Es muy til para guardar en papellaconfiguracindereferenciadecadaunodenuestrosrouters.

Historialdecomandos
Comocasitodoslosinterfacesenlneadecomandos,elCLIdeCISCOguardaun historial de las ltimas rdenes que hemos ejecutado desde la cnsola y que podemosvisualizarconlasiguienteordenquesepuedeejecutardesdeelmodo normaloprivilegiado: showhistory Por defecto se guardan los ltimos 10 comandos ejecutados. Si queremos incrementaresenmerolohacemosdesdeelmodoprivilegiadoconlasiguiente orden: terminalhistorysize50 Siquisiramosdesactivarelhistorialdecomandosejecutamoslosiguiente: terminalhistorysize0

Jos Mara Morales Vzquez

Pgina 4

Introduccin al CLI en Routers y Switches CISCO

Contraseadeaccesoalmodoprivilegiado
Como hemos visto, al sacar el router de la caja este no est protegido con contrasea. Existen diferentes formas de proteger el acceso al router pero la primeraquedebemos de usaresladeasegurarnos quenadieentraal modo privilegiado sin una contrasea cifrada. Para ello, desde el modo de configuracintenemosqueejecutarelcomandoenablesecretyacontinuacin lacontraseaquedeseamos. Existeotraopcinmedianteelcomando enablepassword,peroenestecasola contraseaselistarenclaroalhacer showrunningconfig.Podemoscifraresta contraseamedianteelcomandoservicepasswordencryption,peroanasse trata de una proteccin muy debil que puede saltarse mediante herramientas comunescomolaquehayenestaweb: http://www.ibeast.com/content/tools/CiscoPassword/ Veremosmsadelanteotrasformasdeprotegerelaccesoanuestrorouter:con usuarioycontrasea,etc.

Elcomandono
Elcomandonoantespuestoaotrocomandosirve,enlasocasionesenlasque estosepuedehacer,paraeliminar,desactivar,volveratrsodeshacerelefecto dedichocomando.Porejemplo,paraeliminarlacontraseadeaccesoalmodo priviliegiado usamos no enable secret o para borrar el nombre que le hemos puestoanuestrorouterpodemosusarelcomandonohostname.

Elcomandodo
Si queremos ejecutar un comando del modo privilegiado desde el modo configuracin(algotpicosinecesitamosejecutaralgncomandoshowmientras estamosconfigurandoalgo)ynoqueremosestarcambiandocontinuamentede modo, podemos hacerlo anteponiendo el comando do. Por ejemplo, escribiendo do sh ip route desde el modo de configuracin nos ejecutara el comandocomosiestuveramosenelmodoprivilegiado.Elnicoinconveniente deejecutarcomandoscon do esquenotendremosdisponiblesnilasfuncioens deautocompletarnilaayudaconlatecla?

Otroscomandosbsicos
hostname<nombre>desdeelmododeconfiguracin,nospermitecambiar elnombredistintivodelrouter. banner motd # Tambin desde el modo de configuracin, nos permite personalizar el mensaje de bienvenida que recibimos al conectarnos al router. Podemos escribir lo que queramos usando varias lneas, etc. El mensajefinalizacuandovolvamosaescribir # alprincipiodeunalneay
Jos Mara Morales Vzquez Pgina 5

Introduccin al CLI en Routers y Switches CISCO pulsemoslateclaINTRO.Silodeseamospodemosusarotrocaractercomo finalizadorcambindoloenelcomando. reload Desde el modo privilegiado reinicia el router. Los cambios no salvadossepierden. writememoryoslowritedesdeelmodoprivilegiadosalvalaconfiguracin actualmenteenejecucincomoconfiguracinpordefecto. copyrunningconfigstartupconfigIdemalanterior. writeerase Limpiatodalaconfiguracindelrouterylodejacomorecin salidodelacaja. writestartupconfigIdemalanterior.

3.INTERFACESYLNEAS.CONFIGURACINBSICADEUNROUTER
Identificacindeinterfacesylneas
LosroutersCISCOtienendostiposdeconexiones:interfacesylneas.Lasinterfaces sonaquellasconexionesqueusamosparaconectarlosentresoaotrosequipos paraquedesempeenlasfuncionesderutadopropiamentedichas.Laslneas, porotrolado,sonconexionesqueusamossloparaconfigurarlosomanipularlos. Lasinterfacespuedenserserie,ethernet,fastethernet,gigaethernet,atm,etc.Las lneaspuedenserconsole,auxovty. Lasinterfacesseidentificanporunasecuenciadenumerosseparadosporbarras deltipo0/0/0dondeelprimerorepresentalabaha,elsegundoelslotyeltercero elpuerto.Sislohubieradosseranslotypuertoysiapareceunosloesquese identificaconelpuertosinms(aunqueestoslosueleocurrirenlaslneasyno enlosinterfaces).Seaadeadems,alprincipiodelasecuencia,unaletraque indica el tipo de interface (e por ethernet, f por fast ethernet, g por gigabit ethernet,sporserial,etc.).Porejemploe0/1/0of0/0,s0/0/0og7/0. Podemos listar los interfaces que tiene nuestra mquina con todos sus detalles medianteelcomandoshowinterfacesdesdeelmodoprivilegiado. Siqueremosinformacinslodeundeterminadointerfaceloconcretamosenel comando.Porejemploshowinterfacef0/1

Configuracindeinterfacesethernet
Laconfiguracindeuninterfaceserealizaentrespasos,siempredesdeelmodo de configuracin: seleccionar la interface a configurar, asignarle una ip y una mscara a ese interface y, finalmente, activarla. Para las interfaces serie necesitaramos, adems, activar una seal de reloj en uno (y slo uno) de los extremosdelacomunicacin,peroestonovamosaverloporelmomento. Supongamosquequeremosconfigurarelinterfazfastethernetidentificadocomo

Jos Mara Morales Vzquez

Pgina 6

Introduccin al CLI en Routers y Switches CISCO 0/1conlaIP192.168.0.1delasubred192.168.0.0/25.Lasecuenciadecomandosa aplicar(desdeelmododeconfiguracin)seralasiguiente: interfacef0/0paraseleccionarlaconfiguracindelinterface ipaddress192.168.0.1255.255.255.128paraasignarleIPymscara noshutdownparaactivarlo exitparasalirdelmododeconfiguracindeinterfaceyvolveralmodode configuracinnormal. Observaqueenrealidadnoexisteningncomandoparaactivaruninterface. Slo existe el comando shutdown que lo desactiva. Al usarlo junto con el comandonoconseguimoselefectocontrario. Observa tambin que una vez seleccionado el interface a configurar con el comando interfacef0/1elpromptvuelveacambiarypone(configif)#enlugar del(config)#habitualparaquedistingasqueestsconfigurandouninterfacede red. Elcomando showipinterfacebrief nosmuestraunlistadoresumendetodoslos interfacesdenuestrorouteryelestadoenelqueseencuentran.

Configuracinderutasestticas
Lasrutasestticasseintroducenenelrouteratravsdelostresmismosparmetros queusbamosenlasventanasdeasistenciadelpackettracer.Unejemplodel comando a usar (desde el modo de configuracin) para introducir una ruta estticaeselsiguiente: iproute192.168.3.0255.255.255.0192.168.0.2 Donde192.168.3.0esladireccindelaredalaquequeremosllegar,255.255.255.0 sumscaray192.168.0.2elsiguientesalto,esdecir,ladireccinIPdeotrorouter, conocido por el que estamos configurando, donde hay que entregar los mensajesparaencaminarloshacalaredalaquequeremosllegar. Elcomandoshowiproutenosmuestratodaslasredesquenuestrorouterconoce, distinguiendosiestconectadodirectamenteaellas,sitienealgunarutaesttica configurada o cualquier otra condicin. Si slo queremos ver las redes directamenteconectadasanuestrorouterusaremoselcomando showiproute connected

4.ACCESOREMOTO
HastaahorahemostrabajadoenmodoCLIconnuestrosroutersCISCO,peroen ningnmomentonoshemosplanteadocomorealizamoseseacceso. Cmo accedemos a la pantalla del CLI de un dispositivo CISCO realmente?

Jos Mara Morales Vzquez

Pgina 7

Introduccin al CLI en Routers y Switches CISCO Tenemos varias formas de hacerlo. Una de ellas, la que deberamos de usar inicialmente cuando sacamos el dispositivo de su caja, es conectarnos directamenteconunPCmedianteunemuladordeterminalyatravsdelpuerto de consola que traen todos ellos. Pero una vez instalado, configurado y emplazado en un armario de comunicaciones junto con otras decenas de dispositivosy,alomejor,enotraplantauotroedificiodiferentealdenuestrolugar detrabajoestaformayanoresultacmoda.Afortunadamentepodemosrealizar unaccesoremotomediantetelnetosshparalocualtenemosquerealizaruna configuracinprevia. NOTA: Algunos dispositivos CISCO disponen, adems, de una direccin IP configuradapordefectoquenospermiten,nadamsenchufados,contectarnos aellosatravsdeunnavegadorwebyrealizarunaprimeraconfiguracinde formagrficamedianteunainterfazweb.

Accesoportelnet
Laconfiguracindelaccesomediantetelneteslamssimple,perohemosde recordar que el acceso por telnet se hace siempre en claro y cualquierea podra escuchar a travs de la red cualquier comando o contrasea que escribamos.Desdeelmododeconfiguracin,ejecutamoslosiguiente: linevty04vamosaconfigurarhastacincoaccesossimultaneos(desdeel0 al4)remotos.Elpromptcambiaa(configline)# passwordsmrdefinimoslacontraseadeentradaportelnetcomosmr loginhabilitamoselacceso Conestonosdejaconectarnosportelnetperononosvaadejarentraralmodo privilegiadooaldeconfiguracinporquenoestprotegidoconcontrasea.Para quesenospermitausarelmodoprivilegiadoenunaconexinremotatenemos queprotegerlomediantecontraseacomoyasabemoshacer: enablesecretarboleda NOTA:Elprocedimientoeselmismoparapoderaccederaunrouteroaunswitch.

Accesoporssh
Elaccesoporssheselmscomnyltamenterecomendado.Todoeltrfico entrenuestroterminalyeldispositivodeCISCOserealizacifradoyesindescifrable. Todoslosroutersadmitenaccesoporsshperoslolosswitchsdegamaaltalo soportan. Recuerda, adems, que tanto unos como otros deben de tener configurada una direccin IP para que podamos acceder a ellos por ssh. Los comandosnecesariosdesdeelmododeconfiguracinson: hostnamemirouter ipdomainnamearboleda.netEsobligatoriodefinirunnombreyunnombre dedominioparaeldispositivo.Lohacemosconelcomandoanterior(que
Jos Mara Morales Vzquez Pgina 8

Introduccin al CLI en Routers y Switches CISCO yaconocemos)yconeste. cryptokeygeneratersaparaconfigurarlafortalezadelaclavedecifrado queusaremos.Senospedirunnmeroquepuedeser512,1024o2048.A msalto,mayorfortalezaperotambinmayorconsumodeCPU.1024esel valorrecomendado. linevty01 Vamosaconfigurarhastadosaccesossimultaneosporssh.El promptcambiaa(configline)# transportinputsshParahabilitarelaccesoporssh loginlocalParahabilitarelaccesomedianteusuarioycontraseaenlugar desloconcontraseacomohastaahora. username josemaria privilege 15 password arboleda donde creamos al usuariojosemariaconcontraseaarboledayniveldeprivilegios15 Los niveles de privilegios van entre 0 y 15 y definen los comandos que tendr permiso para ejecutar el usuario. Un nivel 1 corresponde con el modo normal (prompt>)yunnivel15coneldemximosprivilegios(prompt#). Y ya est. Ahora podemos acceder por ssh desde cualquier equipo a este dispositivo. showipsshoshowsshnosmuestraninformacinacercadelservicio showprivilegenosdiceelniveldeprivilegioconelqueestamostrabajando. NOTA:Elprocedimientoeselmismoparapoderaccederaunrouteroaunswitch salvoqueannosabemoscomoconfigurarunaIPenunswitch.Esoloveremos msadelante.

5.CONFIGURACINDEUNSERVIDORDHCP
LosrouterCISCO,aligualquecasitodoslosrouters,puedenconfigurarsedeforma queademsrealicenlasfuncionesdeservidordhcp.Laformadeconfigurarloses muysimpleytienecuatropasos:crearunpooldedirecciones,asociarloauna determinadared(indicandoladireccindelamismaysumscara),indicarla direccindelrouterpordefectoqueentregaranasusclientesy,porltimo,excluir las direcciones que usaremos para asignaciones manuales. Los comandos concretosausar,desdeelmododeconfiguracin,sonlossiguientes: ipdhcppoollaarboleda creaunpooldedireccionesparaadministrarpor dhcpyleasignaelnombredistintivolaarboleda network 192.168.0.0 255.255.255.128 le asigna al pool anterior la red delimitadaporladireccindered192.168.0.0conmscara255.255.255.128 defaultrouter192.168.0.1 asignaladireccin 192.168.0.1 comoladelrouter pordefectoqueentregaralosclientesjuntoconlaipcorrespondiente, exit parasalirdelmododeconfiguracindeldhcpyvolveralmodode configuracinnormal.
Jos Mara Morales Vzquez Pgina 9

Introduccin al CLI en Routers y Switches CISCO

Elrouterpuedetenermsdeuninterfacederedytambinmsdeunpoolde direcciones dhcp. El asocia los pools con los interfaces a travs de los cuales entregarlasdireccionesporqueladireccindelinterfacedebedecorresponder conladelaredasociadaalpooly,comoyasabemos,cadainterfacedelrouter debedeperteneceraunareddiferente. Observatambinque,aligualqueocurraconlaconfiguracindelosinterfaces, elprompttambincambiaaqupordhcpconfigparaadvertirnosdelmodoenel quenosencontramos. Paraexcluirunrangodedireccionesusamoselsiguientecomando: ip dhcp excludedaddress 192.168.0.1 192.168.0.20 para exlcuir las direccionesentrela192.168.0.1yla192.168.0.20.Elrestodelasdirecciones de la red (en este caso desde la 192.168.0.21 hasta la 192.168.126) seran usadasporelserviciodhcp Podemosinspeccionarlatabladeasignacindedireccionesdelserviciodhcp medianteelsiguientecomando: shipdhcpbinding Elserviciosedetienesimplementeusandoelcomandonosobrelaprimeraorden: noipdhcppoollaarboleda Existenmuchasmsopcionesalahoradeconfigurarelservidordhcpdeunrouter CISCO:eltiempodevidadelasdireccionesentregadas,asignardireccionesfijas por MAC a ciertos equipos, asignar las direcciones de los servidores DNS a los clientes,etc.(aunquealgunasdeestasopcionesnovienenanimplementadas enpackettracer).Paraquienquierainformacinexhaustivasobreestotienela siguientegua(eningls)elaboradaporCISCO: http://www.cisco.com/en/US/docs/ios/12_2/ip/configuration/guide/1cfdhcp.html

6.SWITCHES
Los switches de CISCO usan el mismo sistema de configuracin en lnea de comandoquelosroutersy,portanto,muchasdelas rdenesquehemosvisto hastaahora nossirventambinparalosswitches.Laformadeentrarenmodo privilegiado o de configuracin, la ayuda, los comandos para salvar la configuracin,etc.

Jos Mara Morales Vzquez

Pgina 10

Introduccin al CLI en Routers y Switches CISCO

AsignacindeunaIPalswitchparaaccederdeformaremota
Elprimerpasopararealizarunaccesoremotoesqueeldispositivocuentecon unadireccinIPconfigurada.Enlosroutersyasabemoshacerlo.Paralosswitches elprocedimientodeconfiguracindeunaIPesligeramentediferente.Desdeel mododeconfiguracinejecutamoslosiguiente: intvlan1entramosaconfigurarlavlan1.UnswitchdeCISCOpuedetener hasta 1005 VLANs diferentes, pero la nmero 1 es especial para administracin (porque la ip que asignemos ser escuchada por cualquieradesuspuertos)yentrela1002yla1005estnreservadas.Ms adelante veremos en detalle que son las VLAN y para que otras cosas sirven.Elpromptcambiaalmodo(configvlan)# ip address 192.168.1.2 255.255.255.0 le asignamos la ip y mscara especificada noshparaactivarelinterface Si queremos acceder a l desde una red diferente a la que se encuentra instaladotenemos,adems,quedefinirleunrouterpordefecto: ipdefaultgateway192.168.1.1

7.REDESVIRTUALES(VLANs)
LasRedesVirtualesconstituyenunatcnicatilparadividirunaredendiferentes subredes separadas entre si sin necesidad de usar routers y permitiendo una separacinfuncionaldelosequiposendiferentesgruposdetrabajosinimportarla ubicacin donde se encuentran conectados. No se trata de una tecnologa propietariadeCISCOypuedeimplementarseigualmenteconswitchesdeotros fabricantes. Comohemosdichoantes,losswitchesCISCOpermitenhasta1005VLANsdelas cualesla1esespecialylasexistentesentrela1002yla1005estnreservadas. PodemosverinformacindelasVLAN'sactivasennuestroswitchconelcomando siguiente: showvlanbrief Crear una VLAN es tan fcil como ejecutar lo siguiente (desde el modo de configuracin): vlan 2 para crear una vlan con el identificador 2. El prompt cambia a (configvlan)# nameestudiantesparaasignarleelnombreestudiantes(estoesopcionaly noindispensableparaquefuncione.Sinoseasignanombreseponeuno deformaautomatica) intvlan2

Jos Mara Morales Vzquez

Pgina 11

Introduccin al CLI en Routers y Switches CISCO noshentraenlaconfiguracindelavlan2ylaactiva Paraasignarunpuertodelswitch,poeejemploelf0/10,aunadeterminadaVLAN, la2enesteejemplo: intf0/10 switchportmodeaccess switchportaccessvlan2 ParadesasociarunpuertodelaVLANusamoselcomandono: intf0/10 noswitchportaccessvlan UnaVLANseeliminacompletamentecontodossuspuertosasociadostambin conelcomandono: novlan2 Cadapuertodeunswitchadmiteestarasociadoauna nicaVLAN.Entonces comoenlazamosdirerentesswitchesparaquecomuniquenentresiytransmitan lainformacindetodaslasVLANdenuestrared?Pueslohacemosdefiniendolos enlacesentreswitchescomotroncales.Unenlacetroncaltransmitireltrficode todaslasVLANsdisponibles.Asuvez,tenemosqueasociarleunidentificadoralos enlacestroncalesque,enelejemplosiguiente,esel99: vlan99 nametroncal intvlan99paracrearyactivarlavlan99queserlaqueusemosparalos enlacestroncales.Sitenemosvariosenlaces troncales,estoslo hayque hacerlounavezporcadaswitch. nosh intf0/5 switchportmodetrunk switchporttrunknativevlan99 Paramostrarlainformacindetodoslosenlacestroncalesdeunswitch: showinterfacestrunk Paracomprobarlaconfiguracindeunenlacedefinidocomotroncal: showinterfacesf0/5switchport Losenlacestroncalesseeliminantambinusandoelcomandono.

EnrutamientoentreVLANs
LacomunicacinentrelasdiferentesVLANssepuedehacerdevariasformas.Una
Jos Mara Morales Vzquez Pgina 12

Introduccin al CLI en Routers y Switches CISCO de ellas consiste en usar switches de capa 3 que incluyen funciones de enrutamientobsicas.Lasegundaformaconsisteenusarunroutercomncon diferentesinterfacesdemaneraquecadaunodeellosseconfiguracomorouter pordefectodeunadelasVLANsyseconfiguranadecuadamentelospuertosdel switchdondeseconectanestosinterfaces.Puestoquenoesnecesarioningn comandodistintoalosqueyasabemosparaesto,loveremosenlosejercicios.

8.OTROSCOMANDOS
Pordefecto,yalrevesdeloqueocurreconlosrouters,todoslosinterfacesdeun switchvienenactivos.Siqueremosdeshabilitarunodeellos(porejemploporque vemos una actividad de trfico sospechoso) ejecutamos lo siguiente desde el mododeconfiguracin: intf0/12 shparadeshabilitarlo ElcomandoquenospermiteverlasdireccionesMACasociadasacadapuerto delswitcheseste: show macaddresstable para visualizar la tabla de direcciones MAC asociadasacadapuertodelswitch.

9. INTRODUCCIN A LOS PROTOCOLOS DE ENCAMINAMIENTO DINMICO


Losrouterspuedenutilizardostiposdemodosdefuncionamientoalahorade realizarsutrabajodeencaminamiento:usartablasdeencaminamientoesttico (loquehemosvistohastaahora)ousarprotocolosdeencaminamientodinmico. Enredessencillasenlasquesloexisteunnicocaminoparacomunicarentre dospuntoslosprotocolosdeencaminamientodinmiconotienenrazndeser.En lasredescomplejasenlasquepodemostenerdiferentesrutasentredospuntosy, adems,latopologapuedecambiaroexisteelriesgodequeciertostramosse colapsen en determinadas circunstancias, los protocolos de encaminamiento dinmicoofrecenunmejorresultado. Seusandosestrategiasenlosprotocolosdinmicos:lasdenominadasdevector distancia y las de estado de enlace. A grandes rasgos, la primera trata el problema como las indicaciones de carretera. Para llegar a un destino slo tenemosqueseguirloscartelesperonotenemosunainformacintotaldelaruta: sloelnmerodekms.quenosseparadenuestrodestino.Sitenemosdosrutas alternativas veremos los kms. que faltan segn cojamos una u otra, pero no tendremos casi ninguna otra informacin. Los protocolos de estado de enlace seran comparables a viajar con un GPS y un mapa de carreteras: tenemos informacin completade toda laruta hasta nuestro destino y podemos tomar

Jos Mara Morales Vzquez

Pgina 13

Introduccin al CLI en Routers y Switches CISCO decisionesnosloporelnmerodekms. Lostresprotocolosdeencaminamientodinmicomsutilizadosenlaactualidad sonRIP,EIGRPyOSPF.TodosellospuedenusarseenroutersCISCO.Losdosprimeros sondevectordistanciayeltercerodeestadodeenlace.

10.RIP,ROUTINGINFORMATIONPROTOCOL
Routing Information Protocol. Protocolo deencaminamiento dinmico estndar muysimple.Esunprotocolo delosdenominados de vectordistancia yesmuy utilizadoenredespequeasomedianas. LaconfiguracindeRIPesmuysencilla:elrouterslonecesitainformacindelas redesconectadasdirectamenteal.Elrestolodescubrirporlainformacinque leenvenlosdemsrouters.RIPeligesiemprelarutaconmnimonmerodesaltos, perosiestasecaeyexisteotradisponibleserecuperaylasustituye(aunquelo hace de forma bastante lenta comparada con otros protocolos). Existen dos versionesdeRIP.Lasegunda,queeslaqueveremos,esdeconfiguracinsin clase(classless),ynospermitirelusodesubnettingysupernettingennuestras redessintener,adems,queindicarlasmscarasdelasmismas. Enlosprotocolosdevectordistancialosroutersnotienenunatablacompletade lared,sinoslodelosdestinosadyacentes(deformamuyparecidaalasrutas estticas).RIPestrestringidoaredesconmsde15saltosentredosdestinos.De formapredeterminadaactualizalainformacindesustablascomunicandocon losdemsroutersdelaredcada30segundos.Estoesasinclusocuandonohay cambiosenlaredenvariosdas. LosroutersconRIPensuversin1secomunicanentreellosusandobroadcastyla direccin especial 255.255.255.255. En la versin 2, ms recomendable, usan multicastyladireccinIP 224.0.0.9 (recuerda:unadireccinclaseDqueestn reservadasparausosespecialescomoeste). Los comandos bsicos para configurar un roter CISCO con la versin 2 del protocoloRIPson: routerripdesdeelmododeconfiguracinactivaelmododeconfiguracin delprotocoloRIP.Elpromptcambiaa(configrouter). version2 habilitaelusodelaversin2delprotocolo,queesconlaque trabajaremos. Acontinuacintenemosqueiragregandounaaunatodaslasredesquetienen conexindirectaconelrouter.Lohacemosaadiendoslolasdireccionesdered (sinmscara)atravsdelsiguientecomando:

Jos Mara Morales Vzquez

Pgina 14

Introduccin al CLI en Routers y Switches CISCO network192.168.20.0 Enredesconsubnettingysupernettingcomplejastenemosquedecirlealrouter que no queremos que agrupe las rutas de forma automtica con el siguiente comando: noautosummary Elautosummaryderutasahorramuchamemoriaalosroutersperopuededar lugaraerroresenalgunastopologascomplejas. Tendremosqueejecutaruncomandocomoelanteriorporcadaredconectada alrouter. Porltimo,paracomprobarelcorrectofuncionamientodelprotocolopodemos activarelmododebugdeformaqueveremosenlaconsolatodoslosmensajes generados.Lohacemosconelsiguientecomando: debugiprip Paradesactivarestemodoyvolveralaoperativanormal: undebugall Seguramentenopodrsescribirlodeunavezporqueteversinterrumpidoporlos mensajesdelprotocolo.Noechescuentadeello,escrbelocomosinopasara nadaypulsaintroalfinal. Msinformacinyopcionesextendidassobreesteprotocolo:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdrip.html

11.EIGRP,ENHACEDINTERIORGATEWAYROUTINGPROTOCOL
EnhancedInteriorGatewayRoutingProtocol.Setratadeunprotocolopropietario deCISCO.Avecesseloconsideraunprotocolohbridoqueusavectordistanciay estadodeenlace,peroenrealidadesunprotocolodevectordistanciaqueusa algunasdelascaractersticasdelosprotocolosdeestadodeenlacey,alahora detransmitirinformacinalosroutersvecinos,notieneencuentasloelnmero desaltosparallegaradestinosinoquetambinconsideraotrosparmetros. EIGRPusa5mtricasparaestablecerlasrutas ptimas:elanchodebanda,el retrasodelared,laconfiabilidad,lacargadelaredyelmtuounidadmximade transferencia,aunquetieneun modo pordefectoqueslo tomael ancho de

Jos Mara Morales Vzquez

Pgina 15

Introduccin al CLI en Routers y Switches CISCO bandayelretraso. Sitodoslosenlacestienenelmismoanchodebandayel mismoretraso,eselnmerodesaltosloquedeterminaelcamino.Enestecasose comportaigualqueRIPalahoradeescogerelcamino(minimizandoelnmero desaltos)perorecomponelarutamuchomsrpidosisecaealgnenlace.En una ruta convarios saltos se tomacomo ancho debanda eldel salto quelo tengamenorycomoretrasolasumadetodoslosdelaruta. Losparmetrospuedenserdiferentesenunoyotroextremodeunsaltoporquese supone la existencia de lneas asimtricas (como el ADSL) con caractersticas diferentesencadaextremo.Elanchodebandayretrasoqueseconfiguraenel interfazcorrespondeconlosparmetrosdesalidadelalnea.Losdelaentradase configuranenelotroextremo. EIGRP no enva actualizaciones peridicas y slo lo hace cuando ha habido algncambioenlared.Paraellousaladireccinmulticast224.0.0.10. LoscomandosbsicosparaconfigurarunroterCISCOconEIGRPson(desdeel mododeconfiguracin): router eigrp 1 para activar el protocolo eigrp. El prompt pasa a modo (configrouter).Elnmero1queapareceenelcomandodefineelllamado sistema autnomo y debe de ser el mismo en todos los routers que queremosqueintercambieninformacinentresiconesteprotocolo.Puede variarentre1y65535. network192.168.1.0paradefinirlasredesconectadasdirectamentealrouter. EIGRP no es tan bueno como RIP detectando las mscaras cuando aplicamos subnetting o supernetting, as que en estos casos hay que especificarlamscara,perolohacemosusandoloquesellamawildcard maskomscaradecomodinesqueeselresultadodeinvertirlosvaloresde lamscaracomn.Esdecir,unamscara255.255.255.128quedaracomo 0.0.0.127: network192.168.10.1280.0.0.127 Adems,enredesconsubnettingysupernettingcomplejastambintenemosque decirlealrouterquenoqueremosqueagrupelasrutasdeformaautomticacon elsiguientecomando: noautosummary Para caracterizar las lneas con determinados anchos de banda y retrasos, tenemos que entrar en el modo de configuracin de cada una de ellas. Por ejemplo,siqueremoscaracterizarlainterfazf0/0vamosalmododeconfiguracin yejecutamoslosiguiente: interfacef0/0
Jos Mara Morales Vzquez Pgina 16

Introduccin al CLI en Routers y Switches CISCO bandwidth 64000 para configurar el ancho de banda de la lnea correspondientealinterfacef0/0enbps(en64Kbpsenelejemplo) delay100000 paraconfigurarelretrasodelalneaconunacantidaden dcimasdemicrosegundo(en10000microsegundosenelejemplo). Para quetomenefectoloscambiosenestosparmetroshayquebajarlalnea (shutdown)yvolveralevantarlaluego(noshutdown). Existenotrostres parmetrosms: load, realiability y mtu,pero enelmodopor defectonosetienenencuenta.Adems,podemosasignarmsimportanciaa unos u otros parmetros, pero cuanto ms complejo hagamos el clculo ms sufrirconestoslaCPUdelrouter. Puestoquelaslneaspuedenserasimtricasytenervaloresdiferentesdeentrada y de salida (como ocurre con el ADSL) los valores que configuramos en un interfacecorrespondenalosdesalidadelalnea.Losdeentradaseconfiguraran enelotroextremo. Diversos comandos para obtener informacin sobre la configuracin y funcionamientodeEIGRP: shipeigrpinterfaces shipeigrpneighbors shipeigrptopology shipeigrptraffic

Msinformacin:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdeigrp.html

12.OSPF,OPENSHORTESTPATHFIRST
OpenShortestPathFirst.Esunprotocoloestndarddelosdenominadosdeestado deenlace quenosgarantizaelusodelcaminomscortoentredospuntos.Se trata,posiblemente,delprotocolomsusadoenredesgrandesycomplejas. A grandesrasgos,cadarouterconstruyeunatopologadelaredqueconoceyla comparteconsusvecinosdeformaqueentretodoscompletanunplanototalde laredenlaquetrabajanydeformaquecadaunocalculasusrutasdeforma independientealosdems. Ensumodocompletosetratadeunprotocolocomplejoquepermitedividirlared en diferentes reas y tratarlas de forma diferente. Nosotros veremos aqu el protocoloOSPFdereanica. SeleconsideracomoelsucesordeRIP.Paralacomunicacinusalasdirecciones

Jos Mara Morales Vzquez

Pgina 17

Introduccin al CLI en Routers y Switches CISCO multicast224.0.0.5y224.0.0.6.AligualqueocurryaconEIGRP,sloenvannuevas comunicacionescuandodetectancambiosenlatopologadelared. LosprincipalesproblemasdeOSPF(ydetodoslosprotocolosdeestadodeenlace engeneral)sonlossiguientes: Necesitamosroutersmspotentes,conmsmemoriaparaalmacenarlos mapas de red y ms CPU para hacer clculos con un algoritmo ms complejo. Lainformacinquesetransmiteesmayor,porlotantoexistemsriesgode quesaturenlaredconsus mensajes en elmomentoinicialdelarranque (cuando empiezan a cambiar informacin entre ellos para construir los mapas de red) o en redes inestables en las que tenemos muchos y frecuentescambios. La configuracn bsica de un router con OSPF se realiza con los siguientes comandos: routerospf1parahabilitarelprotocoloOSPFenelrouter network 192.168.1.0 0.0.0.255 area 0 para dar de alta la red dada, con mscara en formato de comodines y especificando que dicha red pertenecealrea0. Lamayoradeloscomandosdisponiblesparacontrolarelestadodeospfnoestn implementadosenpackettracer.Elmstildelosquedisponemoseseste: shipospfneighbors Msinformacin:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdospf.html

13.INTRODUCCINALASEGURIDADENLOSSWITCHESCISCO
Losswitchessonelementoscentralesdelaconfiguracindenuestrasredes.Todo el trfico pasa por ellos y todos los equipos deben, de una forma directa o indirecta, estar conectados a un switch para tener acceso a nuestra red. Introducirmecanismosdeseguridadenlosmismoses,portanto,unabuenaforma decontrolardeformapreventivaalgunosproblemasimportantesdeseguridad. Enestedocumentoveremosalgunasdeestasmedidasysuimplementacinen switchesCISCO.

Desconexindepuertosnousadososospechosos
Los puertos no usados de nuestros switches osospechosos detener problemas deberandesconectarsedelared.Pordefectotodoslospuertosdelosswitches
Jos Mara Morales Vzquez Pgina 18

Introduccin al CLI en Routers y Switches CISCO aparecen conectados pero su desconexin es bien sencilla. En las siguientes lneasdesconectamoselpuertof0/4 ena configterm intf0/4 shutdown Tambinesposibleseleccionarunrangocompletodepuertosparaaplicaruna mismaconfiguracinsobretodosellos.Lossiguientescomandosdesactivantodos lospuertosentreelf0/5yelf0/10 ena configterm intrangef0/510 shutdown

DHCPSnooping
ELDHCPSnoopingcomprendeunconjuntodetcnicasencaminadasahacer msseguroelfuncionamientodelprotocoloDHCP.Yavimosensumomentoque setratabadeunprotocolomuycmodoenredesgrandesperoconevidentes problemasdeseguridad. CISCOimplementaalgunastcnicasencaminadasaestefin.Laprimeradeellas nospermiteprohibireltrficodeunservidorDHCPdesdetodoslospuertosdel switchsalvodelosquenosotrosautoricemos.Paradecir,porejemplo,quenuestro servidorDHCPestenelpuertof0/2,ejecutaramoslosiguiente: ena configterm ipdhcpsnooping intf0/2 ipdhcpsnoopingtrust Pararetirarlaautorizacindelinterfazusaramoselcomandono: intf0/2 noipdhcpsnoopingtrust SinuestroswitchdetectaraunservidorDHCPconectadoacualquierotropuertolo desconectaradeformaautomtica. Elsegundomecanismodeseguridadnospermitelimitarelnmerodepeticionesa unservidorDHCPqueserealizadesdedeterminadospuertos.Estonosayudaa mitigar que alguien trate de saturar un servidor DHCP cambiando de MAC y enviadopeticionesalservidor.Enelsiguienteejemploselimitana5paquetespor

Jos Mara Morales Vzquez

Pgina 19

Introduccin al CLI en Routers y Switches CISCO segundolaspeticionesquepuedenrealizarsedesdelospuertos10al24: ena configterm ipdhcpsnooping intrangef0/1024 ipdhcpsnoopinglimitrate5 El siguiente comando mostrar informacin sobre la configuracin de DHCP snoopingennuestroswitch(puertoshabilitados,velocidadesmximaspermitidas, etc.): showipdhcpsnooping

ControldelasMACconectadasalospuertosdelSwitch
Todos sabemos que la principal diferencia del switch frente al hub es que el primeromemorizalospuertosalosqueestnconectadoslosdistintosequipos de forma que la comunicacin entre un equipo y otro slo se enva por los segmentosderedadecuados.Estomejoralacalidaddelascomunicacionesen nuestraredlocal(tenemos un mayor ancho debandadisponible) y mejora la seguridad en la red (alguien con un sniffer lo tiene ms difcil para leer la informacinquenovadestinadaal.) Losswitchesrealizanestafuncindeformasimplealmacenandoensumemoria unastablasconlasdireccionesMACdelosequiposylospuertosalosqueestn conectados los mismos. Estas tablas deben de tener capacidad para guardar msdeunaMACporpuerto(podemostenerunswitchde96puertosconectado encascadaalpuertodeotroswitch)y,lgicamente,tienenuntamaofinito. SiunswitchrecibeunmensajeparaunequipocuyaMACnotieneregistradoen sustablasenvaelmensajeatodossuspuertoscomosifueseunhub.Cuandoel equiporesponderegistraelpuertodesdeelquelohahechoy,apartirdeese momento,yaleenviarsiemprelosmensajesdirectamente. Perocmosecomportaunswitchsiestastablassellenandeltodoytieneque enviarleunmensajeaunequipocuyaMACnoestincluidaenellasyportanto no sabe en que puerto est conectado? Difundiendo el mensaje a travs de todossuspuertoscomosisetratasedeunhub.Elprobelmaocurrecuandoeste equipocontesta.Puestoqueelswitchnotieneespacionoincluirelpuertodesde elquelohaceyseguirsiempreenviandolelosmensajescomosisetratasedeun hub. UnataquedesaturacinoinundacindedireccionesMAC(MACfloodingoARP flooding)estencaminadoaesto:inundarunswitchconpeticionesdediferentes direcciones MAC ficticias para que el switch sature sus tablas y comience a comportarse como un hub con mensajes legtimos de forma que podamos capturarlosmedianteelusodeunsniffer.CISCOincluyefuncionalidadesquenos
Jos Mara Morales Vzquez Pgina 20

Introduccin al CLI en Routers y Switches CISCO permiten limitar el nmero de MAC diferentes que pueden conectarse en los puertos de sus switches de forma que nos permiten solucionar este problema. Adems,tambinevitalosataquesdesaturacinaunservidorDHCP. Si queremos limitar el puerto de un switch de forma que por este slo pueda conectarseunequipoconunaMACconocidaejecutaramoslosiguiente: ena configterm intf0/5 switchportmodetrunk switchportportsecurity switchportportsecuritymacaddress0016.E650.45E2 De esta forma, el nico equipo legtimo reconocido para estar conectado al puertof0/seraelquetienelaMACindicada.Fjatequelaformadeescribirla MAC es ligeramente diferente a como estamos acostumbrados. En lugar de ponerlacomo00:16:E6:50:45:E2lohacemos0016.E650.45E2 SielswitchdetectaraunequipoconunaMACdiferenteconectadaaesepuerto desconectaraelpuertodeformaautomtica. Si queremos que en lugar de desactivar el puerto simplemente no permita el trficodeequiposconunaMACdiferenteejecutaramostambinlosiguiente: switchportportsecurityviolationrestrict Ysiqueremosvolveralmodoanterior: switchportportsecurityviolationshutdown Enalgunasocasionesnopodemoslimitarauna nicaMAClasreconociblesen determinados puertos, pero queremos poner un mximo permitido. Tampoco queremosonosesposibleescribiramanolasdiferentesdireccionesMACque vamos a permitir. En este caso podemos limitar el nmero de MAC y decirle ademsalswitchqueaprendacualessernestasdeformaautomtica.Estolo hacemosconlossiguientescomandos: ena configterm int0/1 switchportmodeaccess switchportportsecurity switchportportsecuritymaximum30 switchportportsecuritymacaddresssticky Elpuertof0/1denuestroswitchadmitir,comomximo,30direccionesdiferentes queelir aprendiendo deformaautomtica(las 30 primeras quedetecte). A partir de ah, si existe un intento de comunicacin por parte de alguna otra direccin, desactivar el puerto. El modo de respuesta lo podemos modificar tambinconelcomandovistoantes(switchportportsecurityviolationrestrict).
Jos Mara Morales Vzquez Pgina 21

Introduccin al CLI en Routers y Switches CISCO

Por ltimo, los comandos que nos permiten ver la configuracin que hemos realizadodeestasmedidassonlossiguientes: showportsecurity showportsecurityintf0/5 Si, adems, queremos ver las direcciones MAC autorizadas para cada puerto ejecutaramosesto: showportsecurityaddress UnavariantedeesteataquesedenominaARPspoofingoenvenenamientode ARP. En este caso no hace falta llenar la tabla ARP del switch sino que se lo engaahacindolepensarqueunequipoestenunpuertodiferente.Elswitch mandalosmensajesaestepuertoyelequipoquerealizaelengaolosleey luegolosremitealamquinaautnticaparaqueestanosospeche.Siestomismo sehacesimultaneamentecondosequiposseespiatodaslasconversaciones entre ambos constituyendo lo que se conoce como ataque de hombre en el medio(oManintheMiddle).Existenmuchasherramientasparahacerestode forma automtica pero tal vez la ms popular y fcil de usar sea ettercap, disponibletantoparaplataformasLinuxcomoWindows.

StormControl
Aveces,ygeneralmenteporaverashardwareosoftware,algunastarjetasdered creanuna cantidad detrfico tangrandequesaturan alswitchal queestn conectadas, deteriorando las comunicaciones y llegando incluso al punto de hacercaertotaloparcialmentelared.LosswitchesCISCOtienenlaposibilidad decontrolarestomedianteunsubconjuntodecomandos. ena configterm intf0/1 stormcontrolbroadcastlevel20 En elejemplo anteriorhabilitamos elstorm control para elpuerto 1 denuestro switchdeformqueeltrficobroadcastdelmismonosupereel20%delanchode bandanominaldelmismo. Podemos controlar de igual forma el trfico unicast y el multicast con, por ejemplo,lasiguientesintrucciones: stormcontrolmulticastlevel50 stormcontrolunicastlevel90 Nodebemosdeolvidarcuandoconfiguramosestosparmetrosquelostrestipos detrficosonnecesariosyque,enparticular,elmulticastseusaportodoslos protocolos de rutado dinmico (entre otros) y el unicast constituira el trfico

Jos Mara Morales Vzquez

Pgina 22

Introduccin al CLI en Routers y Switches CISCO comndeunequipo. Siquisieramosbloqueartotalmenteeltrficobroadcastdeunequipopodramos ponerlosiguiente: stormcontrolbroadcastlevel0 El trfico multicast y el unicast puede bloquearsetambin, adems de con el comandoanterior,conelsiguiente: switchportblockunicast switchportblockmulticast Y si por defecto quisiramos deshabilitar el puerto cuando se pase del nivel indicadoenelcomando: stormcontrolactionshutdown

Jos Mara Morales Vzquez

Pgina 23