Mantenimiento de imgenes IOS

Ing. Alex Aliaga Alacoma

IOS CISCO
Peridicamente, el router requiere que se carguen actualizaciones en el sistema operativo o en el archivo de configuracin. Estas actualizaciones son necesarias para reparar vulnerabilidades de seguridad conocidas, admitir nuevas caractersticas que permiten implementar polticas de seguridad ms avanzadas o mejorar el rendimiento.

Nota: No siempre resulta conveniente actualizar a la ltima versin del software IOS de Cisco. Muchas veces esa versin no es estable.
Hay pautas determinadas que debe seguir al modificar el software IOS de Cisco en un router. Las modificaciones se clasifican en actualizaciones o cambios de versin. Una actualizacin reemplaza una versin con otra sin actualizar el conjunto de caractersticas. El software podra ser actualizado para reparar un defecto o para reemplazar una versin que ya no es compatible. Las actualizaciones son gratis. Un cambio de versin reemplaza una versin con otra que tiene un conjunto de caractersticas actualizado. El software podra ser reemplazado por una nueva versin para agregar nuevas caractersticas o tecnologas, o para reemplazar una versin que ya no sea compatible. Los cambios de versin no son gratuitos. Cisco.com ofrece pautas para ayudar a determinar qu mtodo se aplica. Cisco recomienda seguir un proceso de migracin de cuatro fases para simplificar las operaciones y la administracin de la red. Cuando sigue un proceso que se puede repetir, tambin puede beneficiarse de los menores costos de las operaciones, la administracin y la capacitacin. Las cuatro fases son: Planificar: establecer metas, identificar recursos, definir el perfil del hardware y el software de la red y crear un cronograma preliminar para migrar a nuevas versiones. Disear: elegir nuevas versiones del IOS de Cisco y crear una estrategia para migrar a las versiones. Implementar: programar y ejecutar la migracin. Operar: controlar el progreso de la migracin y realizar copias de seguridad de las imgenes que se estn ejecutando en su red.

IOS CISCO

Sistemas de archivos y dispositivos del IOS de Cisco

La disponibilidad de la red puede estar en riesgo si se compromete el sistema operativo o la configuracin de un router. Los agresores que obtienen acceso a los dispositivos de infraestructura pueden modificar o eliminar archivos de configuracin. Tambin pueden cargar imgenes del IOS no compatibles o eliminar la imagen del IOS. Las modificaciones se invocan automticamente o se invocan una vez que se reinicia el dispositivo. Para mitigar estos problemas, debe poder guardar, hacer una copia de seguridad y restaurar la configuracin y las imgenes del IOS. Para ello, debe aprender a realizar algunas operaciones de administracin de archivos en el software IOS de Cisco. Los dispositivos del IOS de Cisco cuentan con una caracterstica denominada Sistema de archivos integrados (IFS) del IOS de Cisco. Este sistema le permite crear, navegar y manipular directorios en un dispositivo Cisco. Los directorios disponibles dependen de la plataforma. Por ejemplo, la figura muestra el resultado del comando show file systems que enumera todos los sistemas de archivos disponibles en un router Cisco 1841. Este comando proporciona informacin til, como la cantidad de memoria disponible y libre, el tipo de sistema de archivos y sus permisos. Los permisos incluyen slo lectura (ro), slo escritura (wo) y lectura y escritura (rw). Si bien hay varios sistemas de archivos enumerados, a nosotros nos interesan los sistemas de archivos tftp, flash y nvram. Los dems sistemas de archivos enumerados exceden el alcance de este curso. Los sistemas de archivos de la red incluyen el uso de FTP, FTP trivial (TFTP) o Protocolo de copia remota (RCP). Este curso se centra en el TFTP. Tenga en cuenta que el sistema de archivos flash tambin est precedido por un asterisco que indica que se trata del actual sistema de archivos predeterminado. Recuerde que el IOS de arranque est ubicado en flash; por lo tanto, el smbolo numeral (#) agregado al listado de flash indica que se trata de un disco de arranque.

Prefijos de URL para los dispositivos Cisco

Cuando el administrador de una red desea mover los archivos dentro de un equipo, el sistema operativo ofrece una estructura visible de archivos para especificar orgenes y destinos. Los administradores no necesitan tener claves visuales cuando trabajan en la CLI de un router. El comando show file systems del tema anterior muestra los diversos sistemas de archivos disponibles en la plataforma del Cisco 1841. Las ubicaciones de los archivos se especifican en el IFS de Cisco que utiliza la convencin URL. Las URL utilizadas por las plataformas IOS de Cisco tienen una apariencia similar al formato que usted conoce de la Web. Por ejemplo, el TFTP de muestra de la figura es: tftp://192.168.20.254/configs/backup-configs. La expresin "tftp": se denomina prefijo. Todo lo que aparece despus de la doble barra oblicua (//) define la ubicacin. 192.168.20.254 es la ubicacin del servidor TFTP. "configs" es el directorio maestro. "backup-configs" es el nombre del archivo. El prefijo URL especifica el sistema de archivos. Desplcese sobre los diversos botones de la figura para ver los prefijos comunes y la sintaxis asociada a cada uno.

Prefijos de URL para los dispositivos Cisco

Comandos para administrar los archivos de configuracin

Una buena prctica para mantener la disponibilidad del sistema es asegurarse de tener siempre copias de seguridad de los archivos de configuracin de inicio y de los archivos de imagen del IOS. El comando copy del software IOS de Cisco se utiliza para mover los archivos de configuracin de un componente o dispositivo a otro, como RAM, NVRAM o un servidor TFTP. La figura resalta la sintaxis del comando.

A continuacin, se proporcionan ejemplos del uso comn del comando copy. Los ejemplos enumeran dos mtodos que se pueden utilizar para realizar las mismas tareas. El primer ejemplo es una sintaxis sencilla, y el segundo proporciona un ejemplo ms explcito.

Copiar la configuracin en ejecucin de la RAM a la configuracin de inicio de NVRAM: R2# copy running-config startup-config copy system:running-config nvram:startup-config Copiar la configuracin en ejecucin de la RAM a una ubicacin remota: R2# copy running-config tftp: R2# copy system:running-config tftp: Copiar una configuracin desde un origen remoto a la configuracin en ejecucin: R2# copy tftp: running-config R2# copy tftp: system:running-config Copiar una configuracin de un origen remoto a la configuracin de inicio: R2# copy tftp: startup-config R2# copy tftp: nvram:startup-config

Comandos para administrar los archivos de configuracin

Normas de denominacin de archivos del IOS de Cisco

El archivo de la imagen IOS de Cisco se basa en una norma de denominacin especial. El nombre del archivo de imagen del IOS de Cisco contiene varias partes, cada una con un significado especfico. Es importante que comprenda esta norma de denominacin al actualizar y seleccionar un IOS.

Por ejemplo, el nombre de archivo de la figura se explica de la siguiente manera:

La primera parte, c1841, identifica la plataforma en la que se ejecuta la imagen. En este ejemplo, la plataforma es una Cisco 1841. La segunda parte, ipbase, especifica el conjunto de caractersticas. En este caso, "ipbase" hace referencia a la imagen bsica de internetworking de IP. Otros posibles conjuntos de caractersticas son: i: designa el conjunto de caractersticas IP j : designa el conjunto de caractersticas empresariales (todos los protocolos)s: designa un conjunto de caractersticas PLUS (ms colas, manipulacin o traducciones) 56i: designa la encriptacin DES de IPsec de 56 bits 3: designa el firewall/IDS k2: designa la encriptacin 3DES de IPsec (168 bits) La tercera parte, mz, indica el lugar en que se ejecuta la imagen y si el archivo est comprimido. En este ejemplo, "mz" indica que el archivo se ejecuta desde la RAM y est comprimido. La cuarta parte, 12.3-14.T7, es el nmero de versin. La parte final, bin, es la extensin del archivo. La extensin .bin indica que se trata de un archivo binario ejecutable.

Normas de denominacin de archivos del IOS de Cisco

Uso de los servidores TFTP para administrar imgenes del IOS

Por lo general, las internetworks de produccin abarcan reas extensas y contienen varios routers. Una tarea importante del administrador consiste en actualizar continuamente la versin de las imgenes del IOS de Cisco IOS cada vez que se descubren explotaciones y vulnerabilidades. Asegurarse de que todas sus plataformas estn ejecutando la misma versin del software IOS de Cisco, cada vez que sea posible, tambin es una prctica atinada. Por ltimo, en todas las redes, siempre es prudente conservar una copia de seguridad de la imagen del software IOS de Cisco para el caso de que la imagen del sistema que se encuentra en el router se dae o se borre por accidente. Los routers de amplia distribucin necesitan un sitio para ubicar el origen o la copia de seguridad de las imgenes de software. El uso de un servidor TFTP de red permite que se carguen y descarguen imgenes y configuraciones a travs de la red. El servidor TFTP de red puede ser otro router, una estacin de trabajo o un sistema de hosts. Con el crecimiento de las redes, el almacenamiento de las imgenes y los archivos de configuracin del software IOS de Cisco, en el servidor TFTP central, permite controlar la cantidad y el nivel de revisin de las imgenes y los archivos de configuracin del software IOS de Cisco que se deben conservar.

Uso de los servidores TFTP para administrar imgenes del IOS

Antes de modificar una imagen del software IOS de Cisco en el router, debe llevar a cabo las siguientes tareas:

Determinar la memoria necesaria para la actualizacin y, si fuera necesario, instalar ms memoria. Configurar y probar la capacidad de transferencia de archivos entre el host del administrador y el router. Programar el tiempo de inactividad necesario, normalmente, fuera del horario laboral, para que el router lleve a cabo la actualizacin.

Cuando est listo para completar la actualizacin, siga estos pasos: Cierre todas las interfaces del router que no sean necesarias para realizar la actualizacin. Realice una copia de seguridad del sistema operativo actual y del archivo de configuracin actual en un servidor TFTP. Cargue la actualizacin para el sistema operativo o el archivo de configuracin. Realice una prueba para confirmar que la actualizacin funciona correctamente. Si el resultado de las pruebas es satisfactorio, puede volver a activar las interfaces que desactiv. Si el resultado de las pruebas no es satisfactorio, salga de la actualizacin, determine dnde estuvo el error y comience nuevamente.

Uso de los servidores TFTP para administrar imgenes del IOS

Para los operadores de red, constituye un gran desafo minimizar el tiempo de inactividad que se genera despus de que un router ha sido comprometido, y el software operativo y los datos de configuracin se han borrado del almacenamiento persistente. El operador debe recuperar una copia archivada (si es que existe) de la configuracin y restaurar una imagen de trabajo al router. A continuacin, se debe llevar a cabo la recuperacin de cada router afectado, lo que contribuye al tiempo de inactividad total de la red. Tenga en cuenta que la caracterstica de configuracin flexible del software IOS de Cisco permite a un router proteger y mantener una copia de trabajo de la imagen y de la configuracin del sistema operativo en ejecucin, de manera que esos archivos puedan tolerar intentos maliciosos de borrar los contenidos del almacenamiento persistente (NVRAM y flash).

Realizacin de una copia de seguridad de la imagen del software IOS

Entre las tareas bsicas de administracin, se incluyen guardar copias de seguridad de sus archivos de configuracin y descargar e instalar archivos de configuracin actualizados cuando se indique. Un archivo de imagen de copia de seguridad de software se crea copiando el archivo de imagen de un router a un servidor TFTP de red. Para copiar una imagen del software IOS de Cisco de la memoria flash al servidor TFTP de red, debe seguir los pasos que se sugieren a continuacin. Haga clic en los botones Topologa y Config de la figura, a medida que completa cada paso. Paso 1. Haga ping en el servidor TFTP para asegurarse de que tiene acceso a l. Paso 2. Verifique que el servidor TFTP tenga suficiente espacio en disco para contener la imagen del software IOS de Cisco. Use el comando show flash: del router para determinar el tamao del archivo de imagen del software IOS de Cisco.

Realizacin de una copia de seguridad de la imagen del software IOS

El comando show flash: es una herramienta importante para recopilar informacin acerca de la memoria del router y del archivo de imagen. Puede determinar los siguientes elementos:

Cantidad total de memoria flash en el router Cantidad de memoria flash disponible Nombre de todos los archivos almacenados en la memoria flash

Una vez completados los pasos 1 y 2, realice una copia de seguridad de la imagen del software. Paso 3. Copie el archivo de imagen del sistema actual del router en el servidor TFTP de red mediante el comando copy flash: tftp: en el modo EXEC privilegiado. El comando requiere que escriba la direccin IP del host remoto y el nombre de los archivos de imagen del sistema de origen y destino. Durante el proceso de copia, los signos de exclamacin (!) indican el progreso. Cada signo de exclamacin significa que un segmento del UDP se ha transferido con xito.

Actualizacin de las imgenes del software IOS

Actualizar un sistema a una versin de software ms nueva requiere descargar un archivo de imagen del sistema diferente en el router. Use el comando copy tftp: flash: para descargar la nueva imagen desde el servidor TFTP de red. El comando le solicita que escriba la direccin IP del host remoto y el nombre del archivo de imagen del sistema de origen y destino. Escriba el nombre de archivo de la imagen de la actualizacin correspondiente, tal como aparece en el servidor.

Una vez confirmadas estas entradas, aparece el indicador Erase flash: . Borrar la memoria flash deja espacio para la nueva imagen. Borre la memoria flash si sta no es suficiente para ms de una imagen del IOS de Cisco. Si no hay memoria flash libre disponible, se debe llevar a cabo la rutina de borrado para poder copiar nuevos archivos. El sistema le informa acerca de estas condiciones y le solicita una respuesta.
Cada signo de exclamacin (!) significa que un segmento del UDP se ha transferido con xito. Nota: Asegrese de que la imagen del IOS de Cisco cargada sea adecuada para la plataforma del router. Si se carga una imagen incorrecta del IOS de Cisco, el router podra no arrancar, lo que requerira intervencin del monitor de la ROM (ROMmon).

Actualizacin de las imgenes del software IOS

Recuperacin de Contraseas
Lo primero que debe saber acerca de la recuperacin de contraseas es que, por razones de seguridad , necesita acceso fsico al router. Conecte su PC al router a travs de un cable de consola.

Las contraseas enable y enable secret protegen el acceso a los modos EXEC privilegiado y de configuracin. La contrasea enable se puede recuperar, pero la contrasea enable secret de enable est encriptada y debe reemplazarse con una nueva contrasea.
El registro de configuracin es un concepto que conocer ms detalladamente a medida que avance en sus estudios. El registro de configuracin es similar a la configuracin del BIOS de su PC, que controla el proceso de arranque. Entre otras cosas, el BIOS le indica a la PC desde qu disco duro debe arrancar. En un router, un registro de configuracin, representado por un valor hexadecimal nico, le indica al router qu pasos especficos debe seguir cuando se enciende. Los registros de configuracin tienen muchos usos y, probablemente, la recuperacin de contraseas es el ms frecuente.

Procedimiento de recuperacin de contrasea del router

Paso 1. Conctelo al puerto de consola. Paso 2. Si perdi la contrasea enable, todava tendr acceso al modo EXEC de usuario. Escriba el comando show version cuando aparezca la indicacin y guarde los parmetros de registro de configuracin. R1>show version <show command output omitted> El registro de configuracin es 0x2102 R1> Generalmente, el registro de configuracin se define en 0x2102 0x102. Si ya no puede obtener acceso al router (debido a que perdi la contrasea TACACS o de conexin), puede suponer con seguridad que su registro de configuracin est definido en 0x2102. Paso 3. Use el interruptor de alimentacin para apagar el router y, a continuacin, vuelva a encender el router. Paso 4. Presione Pausa en el teclado del terminal dentro de los 60 segundos desde el encendido para colocar el router dentro de ROMmon. Paso 5. Escriba confreg 0x2142 en la ventana rommon 1>. Esto hace que el router ignore la configuracin de inicio donde se almacena la contrasea enable olvidada.

Procedimiento de recuperacin de contrasea del router

Paso 6. Escriba reset en la ventana rommon 2>. El router se reinicia, pero ignora la configuracin guardada. Paso 7. Escriba no despus de cada pregunta de configuracin, o presione Ctrl-C para saltear el procedimiento de configuracin inicial. Paso 8. Escriba enable cuando aparezca el indicador Router>. Esto lo coloca en el modo enable y debe poder ver el indicador Router#. Paso 9. Escriba copy startup-config running-config para copiar la NVRAM en la memoria. Tenga cuidado. No escriba copy running-config startup-config porque borra su configuracin de inicio. Paso 10. Escriba show running-config. En esta configuracin, el comando shutdown aparece debajo de todas las interfaces, porque todas estn actualmente cerradas. Lo que es ms importante, ahora puede ver las contraseas (contrasea enable, enable secret, vty, contraseas de consola) ya sea en formato encriptado o no encriptado. Puede volver a usar las contraseas sin encriptar. Debe cambiar las contraseas encriptadas por una nueva contrasea. Paso 11.Escriba configure terminal. Aparece la ventana hostname(config)#.

Procedimiento de recuperacin de contrasea del router

Paso 12. Escriba enable secret password para modificar la contrasea enable secret. Por ejemplo: R1(config)# enable secret cisco Paso 13. Emita el comando no shutdown en cada interfaz que desee utilizar. Puede emitir un comando show ip interface brief para confirmar que la configuracin de su interfaz sea correcta. Cada interfaz que desee utilizar debe mostrar activado activado. Paso 14. Escriba config-register configuration_register_setting. configuration_register_setting es el valor que registr en el Paso 2 0x2102 . Por ejemplo: R1(config)#config-register 0x2102 Paso 15. Presione Ctrl-Z o escriba end para abandonar el modo de configuracin. Aparece la ventana hostname#. Paso 16. Escriba copy running-config startup-config para realizar los cambios. Ha finalizado la recuperacin de contraseas. Al introducir el comando show version confirma que el router utilizar los parmetros del registro de configuracin establecidos la prxima vez que se reinicie.

Procedimiento de recuperacin de contrasea del router