Roberto Lobos Caamao

CONFIGURACION DE ROUTER
Router> Modo Usuario Router>? (para ver comandos disponibles, igual en cada modo) Router> enable Password: Router# Modo Privilegiado Router#clock set 19:20:00 05 august 2002 (para la hora y fecha) Router# configure terminal Router(config)# Modo configuracion global Router(config)# hostname ROUTER_X (dar un nombre al Router) Router_x(config)# enable password CISCO (dars seguridad con una clave) Para ingresar a modo privilegiado Configacion de la contrasea Contrasea de la terminal virtual (telnet) Router(config)# Router(config)# line vty 0 4 Router(config-line)# login Router(config-line)#password CISCOT Router(config-line)#exit Router(config)# Contrasea de la consola Router(config)# Router(config)# line vty 0 Router(config-line)# login Router(config-line)#password CISCOT Router(config-line)#exit Router(config)# Ejecutar cifrado de contrasea (para evitar que las contraseas se visualicen) Router(config)#service password encryption (Set password here) Router(config)#no service password encryption Router(config)#enable secret clave (utiliza un proceso de cifrado) ___________________________________________________________________________________________ Cuartel de conexin (para enviar un mensaje a todas las terminales al momento de conectarse) Router(config)#banner motd# Welcomw to router tokyo Acounting departament 3 rd floor# Descripcion de la interfaz Router(config)#descrption engineering lan , bldg. 18 Router#show version (conf. Hard.,version de soft., arch. Conf. Y arranque ) Router#show processes ( procesos activos) Router#show protocols ( prot. configurados) Router#show memory ( estadistica de la memoria del router) Router#show stacks ( monitorea uso de la pila de procesos) Router#show buffers (estadisticas buffers del router ) Router#show flash (inf. De la flash ) Router#show start-config (inf. Copia de respaldo archivo de configutacion ) Router#show running-config (inf. Archivo de configuracion activa ) Router#show interfaces (estadisticas de todas las interfaces del router ) Cisco Discovery Protocol (CDP) Router#show cdp neighbors (para visualizar actualizaciones del router local) Router#show cdp interfaces (para visualizar temporizadores cdp) Router#show cdp entry router-vecino (para ver todas las dir. De capa 3 del router vecino indicado) Router#show cdp neighbors detail (igual al anterior, para los routers vecinos) 1

Roberto Lobos Caamao

Comandos de Prueba telnet (para 7), ping (para 3), trace (para 3), show ip route (para 3, ver tablas de enrutamiento), show interfaces (para 2) Clear counters (para colocar los contadores en 0, referente al estado del router, tiene relacion con show interfaces, al borrar los contadores muestra una fecha mas reciente) Debug (visualiza en consola los eventos de la red, usar el comando terminal monitor para enviar el resultaso a la terminal de sesion telnet) Undebug all No debug all (ambos para para el comado debug) Secuencia de inicio del Router Rom Bootstrap (verificacion de Hardware) Flash Serv. TFTP Rom Nvram Servidor TFTP Consola Sistema Operativo de cisco (ubicar y cargar el sistema operativo)

Archivo de configuracion (Ubicar y cargar el archivo de configuracion introducir modo Setup conf. Inicial)

Ubicacin del software IOS Cisco La ubicacin por defecto del Ios depende de la plataforma de harware, pero por lo general busca los comando BOOT defenidis en la Nvram. Pero tambien tiene otras alternativas como: 1.Se pueden esetcificar los comandos Boot definidos en NVRAM 2. Si la NVRAM no tiene definido o no cuenta con comandos Boot, inicia el Ios desde la Flash 3. Si la flash esta vacia, utiliza la siguiente alternativa: Servidor TFTP Router(config)#boot system flash Ios_filename Router(config)#boot system tftp Ios_filename tftp_address Router(config)#boot system rom Valores de Registro de configuracion El orden en que el router busca la informacion Bootstrap , depende de la configuracion del campo de arranque del registro de configuracion. Para esto se utiliza el comando Config-register Router(config)#config-register 0x100 _ Router(config)#config-register 0x101 (modo monitor de rom, que es un entorno programador, en forma manual utilizando el comando b, en el indicador de rom monitor) (Monitor de rom automaticamente)

Router(config)#config-register 0x102 a 0xfff (para configurar el sistema para que utilice los comnados boot system de _ la Nvram) Router#show version (Para ver estos valores) Configuracion de la direccion Ip Mascara (para especificar el formato de las mascaras, que puene ser bits, decimakes _

Router(config-if)#ip address numero_ip Router(config-if)#ip netmask-format y hexadecimales)

El Comando Ip Host Router(config)#ip host nombre [numero de puerto tcp] Direccion [direccion]........ Asigna en forma estatica un nombre de host a direcciones ips Configuracion del servidor de nombres Router(config)#ip name-server server-address1 [server-address2].[server_address6] Especifica uno o mas host que suministran informacion acerca de nombres host Osea se pueden identificar 6 servidores dns

Roberto Lobos Caamao

Router(config)#ip domain-lookup Router(config)#no ip domain-lookup

Sistema de nombres DNS habilitado por defecto Desactiva el servicio de nombres

El comando show host Se utiliza para visualizar en la memoria cache de nombres y direciones Ip de host Perm : configurado manualmente en una tabla estatica de host Temp: Adquirido atraves del dns OK: entrada es actual Ex : entrada es antigua PING Carcter ! . U C I ? & Definicin recepcin exitosa de una respuesta de eco ha expirado el lmite de tiempo mientras se esperaba la respuesta del datagrama error destino inalcanzable el paquete ha experimentado congestin ping interrumpido (por ej., Control-Mays-6 X) tipo de paquete desconocido el paquete ha superado el TTL TRACE !H : El router recibi el paquete sonda, pero no lo ha enviado, generalmente debido a una lista de acceso. P : El protocolo es inalcanzable. N : La red es inalcanzable. U : El puerto es inalcanzable. * : Lmite de tiempo de espera superado.

Configuracion Ruta estatica Router(config)#ip route [network] [mask] address/interface [distance] Configuracion Ruta por defecto Router(config)#ip default-network [network number] Redistribute static para que todas las redes tengan conocimiento de esta ruta estatica Router(config)#router rip Router(config-router)#network 172.16.0.0 Router(config-router)#network 192.168.17.0 Router(config-confug)#ip default-network 192.168.17.0 Uso de los comandos Router y Network Router(config)#router protocolo [keyword] (options) define protocolo de enrutamiento (options es por ejemplo sistema autonome usado en Igrp Router(config)#network network-number define las redes directamente conectadas Router(config)#router rip Router(config-router)#network 1.0.0.0 Router(config-router)#network 2.0.0.0

Roberto Lobos Caamao Router#show ip protocol Router#show ip route para visualizar los valores de temporizadores de enrutamiento visualiza el contenido de las tablas de enrutamiento

Router(config)#router igrp autonomous-system autonomous-system identifica los procesos del router igrp que compartiran informacion de enrutamiento Router(config-router)# network Router(config)#Router igrp 109 Router(config-router)#Network 1.0.0.0 Router(config-router)#Network 2.0.0.0 Router#show ip interfaces Router#debug ip rip muestra el estado y los paramatros globales asociados con cada interfaces ip muestra las actualizaciones de enrutamiento rip a medida que se envian y reciben

Router#no debug ip rip no debug all Router(config-router)#

para para la depuracion

Archvos de configuracion del Router Router#configure memory (carga la informacion de configuracion desde la nvram) Router#copy tftp running-config Router#copy running-config start-config ( o write) ( copy write memory-config) Router#copy running-config tftp Router#erase start-config ( write erase) Router#copy flash tftp Router#copy tftp flash ________________________________________________________________________________________________ Modos de configuracion Router(config)#router protocolo (para configurar un protocolo de enrutamiento) ejemplo router rip Router(config-router)# Router(config)#Interface type port (para configurar una interfaz) ejemplo interface serial 0 Router(config-if)#shutdown (para desactivar la interfaz administrativamente) Router(config-if)#no shutdown (para activarla) Router(config-if)#clock rate 56000 (cuando es DCE, velocidad de temporizacion) Router(config-if)#bandwidth (para el ancho de banda) Router(config)#interface ethernet 2 Router(config-if)#media-type 10baset (para la Ethernet, por defecto es AUI) Router(config)#interface serial 0 Router(config-if)#int & 0.1 point-to-point Router(config-if)#int & 0.2 point-to-point

router_x# configure terminal router_x(config)# interface eternet 0 router_x(config-if)# ip addres (xxx.xxx.xxx.xxx) y 255.255.255.0 router_x(config-if)# no shutdown (subir interfece administrativa) router_x(config-if)#exit INTERFACE DCE (s 0) 4

Roberto Lobos Caamao Router#configure terminal Router(config)#interface serial 0 Router(config-if)#clock rate 56000 Router(config-if)#exit

ACTIVAR ENRUTAMIENTO Router_x#configure terminal Router_x(config)# router RIP Ip router not enable (PUEDE APARECER, NO SIEMPRE . PARA SOLUCIONAR DIJITAR EL SIGUIENTE COMANDO: ip routing Router_x(config)#ip routing Router_x(config)#router RIP Router_x(config-router) #network xxx.xxx.xxx.xxx (red directamente conectada, sin mascarta, solo la red) Router_x(config-router)#network xxx.xxx.xxx.xxx (red) Router_x(config-router)#network xxx.xxx.xxx.xxx. (red) Router_x(config-router#exit PARA CONFIGURAR BAJO WEB Router_x#configure terminal Router_x(config)#ip http server Router_x(config)#ip host router_x 100.100.1 10.1.1.1 2.2.2.2.2

GRABAR Router_x#copy runing-config starup-config Verificar estados de interfaces show interfaces show controlers

CONFIGURACION DEL ROUTER Inicio Indicador OK de lo contrario revisar conexiones fisicas

Registro en modo privilegiado Router>enable Router# de lo contrario recuperar contrasea Establecer contraseas (vty, console, etc) Router(config)#enable password Router(config-line )#

Password Login 5

Roberto Lobos Caamao Modem commands etc Configurar interfaces Router(config-if) int (ethernet, serial, bri,etc) Router(config-if)#

Ip address Ipx address Encapsulation Shutsown/ no shutdown Etc

Configuracion de protocolos de enrutamiento Router(config-router)# (rip, igrp, eigrp, ospf,..etc) Router(config-router)# Network Version Auto-sumary Etc.. Configurar DNS Router(config)#ip host Router(config)#ip http server Examinar configuracion Router#show runn Probar conectividad.etc Guardar configuracion Roter#copy run start Fin de lo contrarioir a inicio

para configurar bajo web

PROCEDIMIENTO DE RECUPERACION DE CONTRASEA Inicio Iniciar el router en frio Control pausa dentro de los 60 segundos (para winnt...1.abrir hiperterminal..sin valores por defecto 2. reiniciar el router 3. pulsar la barra espaciadora por 60 segundos. 4. salir de hiperteminal y entrar nuevamente con los valores por defecto Entrar en el siguiente prompt > Cambiar campo de boteo (0x2102, modo normal) >o/r 0x2142 (en router 25xx) >confreg 0x2142 (en router 16xx) Reiniciar >i Partir en modo de configuracion inicial would you.......[yes/no]: NO 6

Roberto Lobos Caamao Ingresar en modo privilegiado router>enable

(no preguntar por claves)

Respaldar la Nvram en Ram (ya que los cambios a realizar quedaran en ram y luego hay que hrabarla en nvram, por esto se guarda le nvran en ram para despues evitar borrarla al copiar la ram a nvram) router#copy star run Ingrasar al modo de conf. global router#configure terminal router(config)# Desabilitar las password y/o colocar niuevas claves router(config)#no enable secret router(config)#enable password clave Cambiar el registro de configuracion al modo normal router(config)#config-register 0x2102 Control Z Respaldar los cambios realizados router#copy run star Reiniciar el Router router#reload Fin

show spantree

Se puede determinar el estado, costo y prioridad de los puertos y las VLAN. (cap.2..4.2)

IGRP (cap.5.4.6) Router(config)# router igrp 46 timers basic 15 45 0 60 Router(config)#network 128.6.0.0 no metric holddown metric maximum-hop 50 Capitulo 6 Listas de acceso no access-list list-number Para definir una ACL Paso 1: Definir la Acl Router(config)#access-list access-list-number {permit | deny} {test-conditions} Paso 2: Aplicar las Acl en una interfaz utilizando el comando access-group Router(config-if)#{protocol} access-group access-list-number Ip : 1-99 Ip extendido : 100-199 Apple talk : 600-699 Ipx : 800-899 Ipx extendido : 900-999 Protocolo de publicacion de servicio ipx : 1000-1099 para eliminar una lista de acceso.

Roberto Lobos Caamao ANY WILDCARD Cualquier direccion IP 0.0.0.0 Mascara de Wildcard 255.255.255.255 (Ignorar todo) Por ejemplo, en lugar de usar esto: Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255 se puede usar esto: Router(config)# access-list 1 permit any HOST WILDCARD Una direccion de host ip, por ejemplo: 172.30.16.29 Mascara de Wildcard 0.0.0.0 (verificar todo) Por ejemplo, en lugar de usar esto: Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0 se puede usar esto: Router(config)# access-list 1 permit host 172.30.16.29 ACL ESTANDAR Access-list number : numero de una acl (1-99) Deny : deniega el acceso si las condiciones concuerdan Permit : permite el acceso si las condiciones concuerdan Source : numero de la red o host desde el que se envia un paquete Source-wildcar : (opcional) Los bits wildcard para aplicar al origen (hace que visualice un mensaje de conexin informativo hacerca del paquete que concuerdaen la consola, los mensajes se controlan con el comando logging console) Log : el mensaje incluye en N de acl

La sintaxis completa del comando es Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ] [log] Se usa la forma no de este comando para eliminar una ACL estndar. Esta es la sintaxis: Router(config)# no access-list access-list-number Algunos ejemplos concretos: Access-list 33 permit 172.16.0.0 0.0.255.255 log (permite todo el trfico desde 172.16.0.0) Access-list 44 deny 172.16.13.7 0.0.0.0 log (deniega todo el trfico desde el host 172.16.13.7) Access-list 55 deny 172.16.64.0 any log (deniega todo el trfico desde la red 172.16.64.0) El comando ip access-group agrupa una ACL existente a una interfaz. Recuerde que slo se permite una ACL por puerto por protocolo por direccin. El formato del comando es: Router(config-if)#ip access-group access-list-number {in | out} In | Out para ver si se aplica a los datos de entrada o salida Router(config-if)# ip access-group 33 in (se aplica access-list 33 a los paquetes entrantes a la interfaz que se configura) Router(config-if)#ip access-group 44 out (se aplica access-list 44 a los paquetes salientes desde la interfaz que se est configurando) El siguiente ejemplo de una ACL estndar permite el acceso para los hosts en las tres redes especificadas: access-list 1 permit 192.5.34.0 0.0.0.255 access-list 1 permit 128.88.0.0 0.0.255.255 8

Roberto Lobos Caamao access-list 1 permit 36.0.0.0 0.255.255.255 !(Nota: cualquier otro acceso est implcitamente denegado) Para especificar un gran nmero de direcciones individuales con mayor facilidad, se puede omitir el wildcard si se compone de slo ceros. De esta manera, los siguientes dos comandos de configuracin tienen el mismo efecto: access-list 2 permit 36.48.0.3 access-list 2 permit 36.48.0.3 0.0.0.0 Permitir el trfico desde la red origen 172.16.0.0 access-list 1 permit 172.16.0.0 0.0.255.255 (deny any est implcito - no visible en la lista) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 1 out interface ethernet 1 ip access-group 1 out Denegar un host especfico Cualquier paquete que no coincida con la primera lnea de la ACL coincidir con la segunda y se enviar. access-list 1 deny host 172.16.4.13 0.0.0.0 access-list 1 permit 0.0.0.0 255.255.255.255 (deny any implcito) (access-list 1 deny 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group Denegar una subred especfica El ejemplo muestra cmo una ACL est diseada para bloquear el trfico desde una subred especfica, 172.16.4.0, y para permitir que el resto del trfico sea enviado (access-list 1 deny) 172.16.4.0 0.0.0.255 access-list 1 permit any (deny any implcito) (access-list 1 deny any) interface ethernet 0 ip access-group 1 out ACL EXTENDIDAS La forma completa del comando access-list es: Router(config)# access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask operator operand] [established] Protocol : ip, tcp, udp, icmp, igrp, gre Origen y destino: direcciones de origen y destino Mascara de origen y destino: mascara de wildcard Operador: it, gt, eq, neq Establecido : permite que pase el trafico tcp si el paquete tiene una conexin establecida{por ejemplo tiene bits de ack establecidos} Numero de acl: In|out: para indicar si el paquete se aplica al paquete entrante o saliente El comando ip access-group enlaza una ACL extendida existente a una interfaz. Recuerde que slo se permite una ACL por interfaz, por protocolo por direccin. El formato del comando es: 9

Roberto Lobos Caamao Router(config-if)# ip access-group access-list-number {in | out} Ejemplos de Acl extendidas (cap 6.4.4) La figura muestra un ejemplo de una ACL extendida que bloquea el trfico de FTP. El comando de la interfaz E0 access-group 101 enlaza la ACL 101 a la interfaz saliente E0.

El ejemplo en la figura no permite que el trfico de Telnet (eq 23) desde 172.16.4.0 se enve desde la interfaz E0. Se permite todo el trfico desde cualquier otro origen a cualquier otro destino, segn lo indica la palabra clave any. La interfaz E0 est configurada con el comando access-group 101 out; es decir, ACL 101 se encuentra enlazada a la interfaz saliente E0. Denegar slo Telnet desde E0, y permitir todo el trfico restante access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 access-list 101 permit ip any any (deny any implcito) (access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255) interface ethernet 0 ip access-group 101 out ACL NOMBRADA Para nombrar la ACL, se utiliza el siguiente comando: Router(config)# ip access-list {standard | extended} name En el modo de configuracin de ACL, se especifica una o ms condiciones de permitir o denegar. Esto determina si el paquete debe pasar o debe descartarse: Router(config {std- | ext-}nacl)# deny {source [source-wildcard] | any} o Router(config {std- | ext-}nacl)# permit {source [source-wildcard] | any}. La configuracin que aparece en la figura crea una ACL estndar denominada Internetfilter y una ACL extendida denominada marketing_group.

10

Roberto Lobos Caamao

COMANDO DENY Se utiliza el comando de configuracin de ACL deny para establecer condiciones para una ACL nombrada. La sintaxis completa del comando es: deny {source [source-wildcard] | any} Se usa la forma no de este comando para eliminar una condicin de denegar, utilizando la siguiente sintaxis: no deny {source [source-wildcard] | any} El ejemplo que aparece en la figura establece una condicin de denegar para una ACL estndar denominada Internetfilter: Ip access-list standad Internetfilter Deny 192.5.34.0 0.0.0.255 Permit 128.88.0.0 0.0.255.255 Permit 36.0.0.0 0.255.255.255 !(nota: cualquier otro acceso esta denegado de forma explicita) COMANDO PERMIT Se utiliza el comando de configuracin de lista de acceso permit para establecer condiciones para una ACL nombrada estndar. La sintaxis completa del comando es: permit {source [source-wildcard] | any}[log] Se usa la forma no de este comando para eliminar una condicin de una ACL, utilizando la siguiente sintaxis: no permit {source [source-wildcard]| any} Se usa este comando en el modo de configuracin de lista de acceso, despus del comando ip access-list, para definir las condiciones bajo las cuales un paquete pasa por la ACL. El ejemplo siguiente es una ACL nombrada estndar denominada Internetfilter: ip access-list standard Internetfilter deny 192.5.34.0 0.0.0.255 permit 128.88.0.0 0.0.255.255 permit 36.0.0.0 0.255.255.255 !(Nota: cualquier otro acceso est implcitamente denegado) En este ejemplo, las sentencias de permitir y denegar no tienen nmero, y no se elimina la prueba especfica de la ACL nombrada: Router(config {std- | ext-}nacl)# {permit | deny} {ip ACL test conditions} {permit | deny} {ip ACL test conditions} no {permit | deny} {ip ACL text conditions} Este ejemplo activa la ACL nombrada IP en una interfaz: Router(config-if)# ip access-group {name | 1-199 {in | out}} En la figura se muestra un ejemplo de resultado de configuracin. 11

Roberto Lobos Caamao

Ip access-list extended come-on Permit tcp any 171.169.0.0 0.255.255.255 eq telnet Deny tcp any any Deny udp any 171.169.0.0 0.255.255.255 lt 1024 Deny ip any any Interface ethernet 0/5 Ip address 2.0.5.1 255.255.255.0 Ip access-group over_out out Ip access-group came_on in Ip access-lis standard over_and Permit 1.2.3.4 Deny any Ubicacion de las ACL
La regla es colocar las ACL extendidas lo ms cerca posible del origen del trfico denegado. Las ACL estndar no especifican direcciones destino, de manera que se debe colocar la ACL estndar lo ms cerca posible del destino Verificacin de las ACL El comando show ip interface muestra informacin de interfaz IP e indica si se ha establecido alguna ACL. El comando show access-lists muestra el contenido de todas las ACL. Cuando se introduce el nombre o nmero de una ACL como una opcin para este comando, aparece una lista especfica. fin capitulo 6

12