Archivos de Configuracion = startup-config Configuration Files *= running-config At startup, startup-configuration Is copled from NVRAM to RAM and executed ze running: configuration. v running- configuration ==> RAM Comandos Basicos Cisco IOS - Modos de Operaci6n 10S Primary Modes User EXEC Modo Global Configuration Modo Limited examination of router. ‘Simple configuration commands. Remote access. Switch (contig) # switeh> Router (config) # Router>, Privileged EXEC Node ‘Other Configuration Modes Detaled examination of router, ‘Complex and mutipetine Debugging and testing. Fle ‘configurations. ‘manipulation. Remote access. switch switch (config-mode) # Routert Router (config-mode) #Comandos Basicos Modos Primarios = MODO USUARIO = Primer modo que aparece al entrar en el CLI " Ciertos comandos basicos de mi jonitoreo = No cambia la configuracién del dispositivo = Modo de solo vista = Identificado por el prompt > Comandos Basicos Modos Primarios = MODO EXEC PRIVILEGIADO, User EXEC Mode Limited examination of router. Remote access. switch> Router> + Permite todos los comandos de monitoreo + Permite la ejecucién de comands de configuracién y administracién + Identificado por el prompt # + Otros modos existentes solo pued len ser alcanzados desde este modo + Comando enable permite pasar de modo usuario a modo privilegiado User EXEC Mode Limited examination of outer Remote access switche “Te Prvleged EXEC mae. ‘ini Sore ah ons commands an wel a erecton of rotator anger ‘The User EXEC mode aiows only ‘lied numberof base Imontoring commands andi Ren ‘alered"9 ae ew-on)y meds Privileged EXEC Mode Desa maniac er Daag actesing re manulton, Ror switch footerComandos Basicos Modo de Configuracion Global y Submodos Priviloged EXEC Mode Privileged EXEC Mode Detailed examination of rouler, Debugging and testing File manipulaton. Remote access. switch Router Global Configuration Modo Global configuration commands. ‘Switch (contig) Router (contig) Other Configuration Modes SSpectic service or interface configurations. ‘Switch (config-mode) # outer (config-node) # 108 Prompt stuctre Routersping 192.168.10.5 Routertshor running-contig Routar (config) #Intertace FastEthernet 0/3 Routor(config-it) ip adress 192.168.10.1 235.255.253.0 Tho prampt changes to dorotth eurrrt CL ode SeiterDping 152.168.10.9 Seitenbshoe sunniagrcentig ‘Bitch (config) PIntartace FastEthemat 0/1 Switch (contigrit} IDescription connection to WEST LAIComandos Basicos Modo de Configuracion Global y Submodos Privileged EXEC Modo Privileged EXEC Moda Detaled examination ef roe, Debugging ad testing "Fie manipulation, Remote access Seiten ostart i Global Configuration Mode Global configuration commands. ‘Switch (contig) outer (config) ae ‘Other Configuration Modes ‘Spectiesenice o stertace configurations, ‘eitch (contig noe) # Router (eanéig-ncde) Comandos Basicos Es alcanzado desde EXEC privilegiado Permite realizar cambios que afectan la operacién del dispositivo Comando configure terminal permite pasar a modo configuracién global Prompt: (config)# end o ctrl Z para regresar a exec privilegiado Desde este modo se puede alcanzar otros modos de configuracion = Modo Interface (Fa0/0,S0/0/0) * Modo de Linea (consola, aux, vty) ‘exit : regresar al modo de configuracién, global desde de un modo de configuracién especifico Navegando entre modos de operacion Router cond is now available. Press RETURN to get started. User Access Verification Password: Router> Router>enable Password: Router# Router#disable Router> User-Mode Prompt Router>exit Router User-Mode Prompt Privileged-ModeComandos Basicos Estructura de los Comandos Basic IOS Command Structure Router>ping 192.168.10.5 + tt_4__, Keyword or PROMPT ‘COMMAND ‘SPACE et TVA Tuas ee Router>show 1p protocois Prompt commands are followed by a space and then the keyword or arguments Comandos Basicos Verificacién de Sintaxis Gwitchibelock eet Gwitente ‘ftocoaglets commnnd, Asbiguous comand: ‘a! Switchfelock set 19:50:00 ||| (————____J ¥ Incomplete comand. Tho 10S returns a help message | toindicato that there wero nok “The 10S returns a help message lencugh characters entered forthe indicating that required keywercs command interpreter recognize or arguments were left off the end ‘the command, of the command, Switch#elock set 19:50:00 25 6 & Invalid input detected at '*' marker. ‘The IOS returns a"** to indicate where the ‘command interpreter can not decipher the command,Configuracién: basica . . . Configuracion de parametros basicos = Asignar un nombre al dispositivo: para distinguirlo de otros routers. ‘Coniguing Device Names Name network devices to Identity them for ~ ‘ontiguration purposes, Rowterfoonfigure erating? ovear (contig) #noatnane Atlanta ‘elantaua contig = | DASAMSA © Configuracién basica Configuracién de parametros basicos = Proteger el acceso a modo Usuario: para proteger el acceso a EXEC de usuario y el acceso por Telnet. = Proteger el acceso EXEC privilegiado * enable secret : password encriptada Ri (config) Venable secret clase Ri (conia) ¥Configuracién basica Configuracion de parametros basicos « Cifrar contrasefias Configuring Password Encryption Enter the command t encryptthe plan text passwords. service password- Switch (config) service pesmword-encrypticn Exitglobal configuration mode and view the running configuration encryption Sesech (contig) # exis, = Evita que las aesvent snow ruansng-contig contrasefias sean : mostradas en texto Jcoutput oniteed> plano en los archivos : de configuracién Line vey 04 pasrword 7 O209SA0F024¢FaS42sE45250A1019,Configuracién basica Configuracién de parametros basicos * Configurar un mensaje: para proporcionar notificaciones legales de acceso no autorizado. Limiting Device Access Login Banner in etd # This 19 a sacure syaton, Authorized Acase OMI # ‘This configuration results inthis message ‘ofthe day bannerConfiguracién basica Configuracion de parametros basicos = Guardar la configuraci6n actual: para reemplazar el startup config con el running config (Checking Configuration Files outerd snag running-contiguration | ste te compete p20a auto Antectace serte10/0 bo ip aaaeessConfiguracién basica de un switch Preparacion para la administracion basica de un switch Comandos de 105 de un switch Cisco Ingress al modo de S1F configure tersinal configuracion giobal ingresa al modo de Sitcontig? interface vian 99 ‘configuecion de intertaz para isu. ‘Confgutala diaccn'P dele | Si(contig-it)# Sp address 172.17.99.13 intertaz da administracon, | 255.255.0.0 Habit ia teraz de “Si (eontig-iz)# no shutdown adnnistan “Vuelve al medo EXEC ‘Bi feontig-izy# ead privlegiado, ‘Guarcal coniguacin ey | 51¥ copy Funning-contig startup-contig ‘jean en la Coniguracion 0 inicio, Tngrose al nego 06 SEF configure terminal configura global ‘Confira el gateway “Sileontig) ip default-gatevay | predelermingdo del Suiteh, | 172.27.99.2 Wiel alods EXEC [St config) oa eign Camas coigunciny | SEV aopy eanalngmeontlg atartaproontig | coins Sotauee [om rere | oaConfiguracién bi de un switch Preparacion para la administracion basica de un switch Sif how ip interface brief Interface 1Praddress vian39 172.17,59.11, resultado omritido> OK? Method Status Protocol YES manual up downVEE Configuracién de puertos de un switch Configuracion de puertos de switch en la capa fisica Configurar duplex y velocidad Fort ‘Modo ful-dup Modo ful-duplex 100 Mbis 100 Mbis Ingrese al modo de configuracion global. | $1# configure terminal Ingrese el modo de configuracién de | Si (config) # interface interfaz. Fastethernet 0/1 Gonfigura el modo diplex de la interfaz. Congr ia veloc de a interaz ‘oslealmado EXEC pvotodo. | st leontlg-ie)¥ end ‘Guarda la canfguracion en ejecucién en | S1# copy running-config la configuracién de inicio startup-config Configuracién de puertos de un switch Configuracién de puertos de switch en la capa fisica Configurar duplex y velocidad Fore Fon For o ‘Modo fullduplex Mado ful-duplox 100 bys 100 ibis [S18 configure terminal Enter configuration commands, one per line, End with CMTL/Z. 91 (config) # interface Fastethernet0/2 [31 (config-if)# duplex full [SL (config-if)# speed 100 Finalice el modo de configuracién y guarde la configuracién en la NVRAM. S1(config-if)# end su SSYS-5-CONFIG_I: Configured from console by console S1f copy running-cenfig startup-config ‘Configuré correctamonte los pardmetros de diplex y velocidad del puerto del switch,Configuracién de puertos de un switch Caracteristica automatica de MDIX Verificacién de auto-MDIX Ingrese al modo de configuracién global. | S1¥ configure terminal Ingrese el modo de configuracién de Sl (config) # interface interfaz. fastethernet 0/1 Configura la interfaz para autonegociarla | S1(config-if)# duplex auto comunicacién diplex con el dispositive conectado. Configura la interfaz para autonegociar la | S1(config-if)# speed auto velocidad con el dispositivo conectado. Fabia auto MOI en la interfaz. Vuelve al modo EXEC privilegiado. S1(config-if)# end nfiguracién en ejecucién en la | S1¥ copy running-config de ini startup-config Configuracién de puertos de un switch Caracteristica automatica de MDIX Verificacién de auto-MDIX |s2t configure terminal lenter configuration commands, one per line. End with CNTL/Z. |s2 (config) # interface fastethernet0/2 ls2 (config-i£) #duplex auto ls2 (config-if) Fspeed auto ls2 (config-if) fmdix auto ‘modo de configuracién y guarde la configuracién en la NVRAM. ls2 (config-if) fend lsat lssvs-5-CONEIG_I: Configured from console by console ls2#copy running-config startup-config ‘onfiguré correctamente la caracteristica automatica de MDIX.Configuracién de puertos de un switch Caracteristica automatica de MDIX FO! FOM Sif show controllers ethernet-controller fa 0/1 phy | include |Auto-MDIX Auto-MDIX : On [AdminState=1 Flags=0x00056248] sit Configuracién de puertos de un switch Verificaci6n de la configuracién de puertos de un switch Comandos de verificacién Muestra el estado y la S14 show interfaces |id-interfaz] configuracién de fa interfaz. Muestra la configuracon de | Si? show startup-config inicio actual. Muestra la configuradon de —~«| Si} show running-config funcionamiento actual. Muestra informacion sobre el_| S1# show flash sistoma de archivos flash. Muestra el estado del hardware | S1# show version y el software del sistema, Muestra el historial de Si¥ show history comandos introducidos, Muestra informacion deIP de | 51# show ip [id-interfaq una interfaz. Muestra la tabla de direcoiones | S14 show mac-address-table MAC. ° S14 show mac address-tableAcceso remoto seguro Configuracién de SSH 172.17.99.11__172.17.99.21 S1 # configure terminal S1(config)# ip domain-name cisco.com S1(config)# crypto key generate rsa The name for the keys will be: Sl.cisco.com How many bits in the modulus [512]: 1024 Sl (config) # username admin password ccna S1(config)# line vty 0 15 S1(config-line)¥ transport input ssh $1 (config-line)# login local S1 (config) # endAcceso remoto seguro Verificaci6n de SSH 172.17.99.11 S14 show ip ssh SSH Enabled - version 2.0 Authentication timeout: 90 secs; Authentication retries: 2 Minimum expected Diffie Hellman key size : 1024 bits 10S Keys in SECSH format (ssh-rsa, base64 encoded) : ssh-rea ARAAB3NzaC1yc2EARAADAQABARARGQCALKSV2201RESoZt2£2scJHbA3AMDMS /85g/srcrm, L4£+qomuxt26mmny 694+6270/ }TAULTUNIGh TSGUOVTuRNGVHONtLGSUd4GALLbGIERa P3fyrkmvirpo 2020 £6 tnKgKKvdz1 ez22xA£2u/7Iq2INEFXyCGHOBBOUIGLIO—= 314 show ssh Connection Version Mode Encryption snac state Usorname 0 2.0 IN aes256-che hmac-ehal Session started ricky 0 2.0 QUT aes2$é-chc hmac-ehal Session started ricky No SSiivi server connections running. suSeguridad de puertos de switch Seguridad de puertos sin utilizar = La accién de deshabilitar puertos sin utilizar es una pauta de seguridad simple pero eficaz. Inhabilte fos puertos sin util shutdown. ‘SIF show run Building configuration... paieal version 19.0 hostname $1 interface FastEthernet0/4 shutdown, interface FastEthernet0/5 shutdown, ! 172.17.99.21 interface FastBthernet0/6 description web server interface FastBthernet0/7 o shutdown,Seguridad de puertos de switch Deteccio6n de DHCP « La deteccién de DHCP permite determinar cuales son los puertos de switch que pueden responder a solicitudes de DHCP. === ‘Alacante de DHCP + La deteccién de DHCP permite que ls puortos ‘malicioso se configuren como confables ono confables: Los puertos confables pueden enviar solicitudes y acuses de recibo da DHCP. Los puerts no confables puedan reenviar solamente solicitudes de DHCP. La deteccién de DHCP permite quo el switch ‘tee una tabla de asignaciin de DHCP que ‘signe una direccién MAC, una direccién IP, tna VLAN y una ID de puerto de cinta For“ Giiente DHCP 52 contig) tp dep anmoping S2{ccatig)# 4p dhep snooping vlan 10,20 52(config)# tntarface fastatharnat. 0/1 S2{ccatig-it)# 4p ebep snooping trust 5i(config-if) interface fastatharnat 0/2 52{conkig-if-zange)# 4p chp snooping Linit rate 8] | Servidor DHCP 52(contig-if-rangel4 Puerto confab Seguridad de puertos de switch Seguridad de puertos: funcionamiento * Direcciones MAC seguras estaticas: son direcciones MAC que se configuran manualmente en un puerto mediante el comando switchport port-security mac-address direccién-mac del modo de configuracién de interfaz. Las direcciones MAC configuradas de esta forma se almacenan en la tabla de direcciones y se agregan a la configuracién en ejecucién del switch. = Direcciones MAC seguras dinamicas: son direcciones MAC detectadas dinamicamente y se almacenan solamente en la tabla de direcciones. Las direcciones MAC configuradas de esta manera se eliminan cuando el switch se reinicia. * Direcciones MAC seguras persistentes: son direcciones MAC que pueden detectarse de forma dindmica o configurarse de forma manual, y que después se almacenan en la tabla de direcciones y se agregan a la configuracién en ejecucién.Seguridad de puertos de switch Seguridad de puertos: modos de violacién de seguridad Doc aan Incrementa | Desactiva Nees ney ol el puerto de syslog Pier) | Restrict | LShutdown |No_ | No No Si Para cambiar el modo de violacién en un puerto de switch, use el comando del modo de configuracion de interfaz switchport port- security violation {protect | restrict | shutdown}.Seguridad de puertos de switch Seguridad de puertos: configuracion = Configuracion de la seguridad de puertos dinamicos MAC: 0025.8306.4001 2 MAC: 0025.8306.4b02 01 isco Especifica la interfaz que se | S1(config)# interface fastethernet debe configurar para la o/i8 seguridad de puertos. Establece la interfaz en modo | $1(config-it)¥ switchport mode de acceso. access Establezcala seguridadde | Sl (config-it)# switchport port- puerto en la interfaz. security Seguridad de puertos de switch Seguridad de puertos: configuracién = Configuracion de la seguridad de puertos persistentes MAC: (0025.8306.4001 2 MAG: 0025.8306.402 Especiica a iterfaz quese | Sl(contig)# interface fastethernet debe configurar para la 0739 ‘segurad da pers. Establezca a seguridad de puerto en fa intertaz. Establece la cantdad maxima | S1(contig-it)¥ switchport port- de direcciones seguras security maxizun 50 permitidas en el puert, Habiita el aprendizaje por | Si(contig-if)¥ switchport port- persistenca, security mc-address sticky‘Seguridad de puertos de switch Puertos en estado de inhabilitacion por errores = El comando show interface también indica si hay un puerto de switch en estado de inhabilitaci6n por errores. S1# show interface fa0/18 status Port Name Status Vian Duplex Speed Type Fa0/18 err-disabled 1 auto auto._—«10/100BaseTx S1# show port-security interface fastethernet 0/18 Port Security : Enabled Port Status : Secure-shutdown Violation Mode 2 Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses ea Total MAC Addresses 20 Configured MAC Addresses =: 0 Sticky MAC Addresses 20 Last Source Address:Vlan —: 000c.292b.4c75:1 Security Violation Count: 1 Seguridad de puertos de switch Puertos en estado de inhabilitacion por errores * Se debe emitir un comando de interfaz shutdown/no shutdown para volver a habilitar el puerto. Sl(config )#interface FastEthernet 0/18 S1(config-if)# shutdown Sep 20 06:57:28.532: %LINK-5-CHANGED Interface FastEthernet0/18, changed state to administratively down S1(config-if)# no shutdown Sep 20 06:57:48.186: %LINK-3-UPDOWN: Interface FastEthernet0/18, changed state to up Sep 20 06:57:49.193: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/18, changed state to upConceptos de arbol de expansién Funcionamiento de STP Spanning Tree Protocol (STP) [responses ssid enion + Varias versiones: + ap.tm on acinrovigdoptony ST. scrideade VO +Traditional Spanning Tree (802.14) ‘Rapid Spanning Tree o RSTP (802.1) ‘+ Muliple Spanning Tree o MSTP (802.15) Cara de STP an tea PVT : ae 1 RREIS GG ogra ror tale mana nso dtl deere > IE IEE E Conceptos de arbol de expansion Funcionamiento de STP * Después de determinar el puente raiz, el STA calcula la ruta mas corta hacia dicho puente. * Algoritmo de arbol de expansion: costo de la ruta raiz + Elcosto de la ruta raiz interna se determina mediante la suma de los costos individuales de los puertos que atraviesan la ruta desde el switch hasta el puente raiz. + Los costos del puerto predeterminado se definen mediante la velocidad a la que funciona el puerto. + Utilice el comando de configuracién de interfaz spanning-tree cost value en ambos extremos de un enlace para aplicar un costo personalizado. + Utilice el comando show spanning-tree para comprobar el costo del puerto y la ruta raiz interna al puente raiz.Distribution‘ es la raiz para la vlan 1 y 10 Root VLANs 1,10, Distributionl (config) # spanning-tree vlan 1, 10 root primary Configuracion de arbol de expansion Configuraci6n Predeterminada Estado habiaco Modo da arbol de expansion PvST+ (PVSTs rapido y MSTP estan deshebiitados) Prioridad de switch Prioridad de puerto de rool de expaneion | 128 (configurable por inter‘az) ‘Costo de puerto de rbol de expansion 000 Move: 4 (configurable por inter‘az) 100 Mbis: 19 10 Mbis: 100 Prioridad de puerto de VLAN de érbol de 128 expansion (configurable por VLAN) ‘Costo de puarts da VLAN de arbol da 7000 Move: 4 expansion 100 Mbis: 19 (configurable por VLAN) 40 Mbis: 100 ‘Temporizadores de arbol de expansion “Tiempo de saludo: 2 segundos ‘Tiempo de retraso de reenvio: 15 segundos ‘Tiempo maximo de vencimiento: 20 segundos Conteo de espera de transmision: 8 BPDUConfiguracién de arbol de expansién Configuraci6n de PVST+ = Configuracién predeterminada de un switch Catalyst 2960 + El modo de arbol de expansién predeterminado es PVST+. = Configuracion y verificacién de la ID de puente + Método 1: + Utilice el comando de configuracién global spanning-tree vian vian-id root primary. + Método 2: + Utilice el comando de configuracién global spanning-tree vlan vian-id priority value. + Utilice el comando show spanning-tree para comprobar la prioridad de puente de un switch. Método 1 Configurando el root bridge Método 1 Switch(config)ft switch(contig)#t spanning-tree vian 1 root primary —_*P#nningtree vlan 1 root secondary . P * Configura al switch para ser la Este commando forza al switch raiz secundaria en caso que el ser el root. root bridge falle. = El comando Spanning-tree root . “ric primary modifies la proridad del Altera la prioridad a 28672. switch a 24576. * Si el root bridge falla, el switch se convierte en el nuevo root bridge. Si la raiz actual tiene prioridad de puente que es mas de 24,576, entonces la actual se cambia a 4.096 menos que el puente raiz actual.Configurando la prioridad Método 2 $3(config)#spanning-tree vian 1 priority 4096 Para establecer la prioridad. Para especificar el puente raiz, la BID del ‘switch elegido se configura con el valor de Prioridad mas bajo. Para configurar la prioridad del puente, se utiliza el comando de prioridad del puente. El rango de prioridad abarca de 0 a 61440, ero 108 valores se incrementan en 4096. I valor predeterminado es 32768. Configuracién de arbol de expansién $3(config)#no spanning-tree vian 1 priority Para restablecer la prioridad al valor predeterminado Configuraci6n de PVST+ [stcncen ie cpamingtreebpsieard nai (529 show rumsing-config inter Building configuration. wrt current configuration + 90 bytes 1 interface FastEthornet0/21 ‘spanning-tree portfast spanning-tree bpduguard enable PortFast y proteccién BPDU Enlace troncal 3 2 2 4 472174021 172171022 172.17.10.23Configuracién de arbol de expansién Configuraci6n de PVST+ = Balanceo de carga de PVST+ + El objetivo es configurar dos o mas puentes raiz para distintos grupos de VLAN y hacer uso de enlaces redundantes. ‘S5(config)# opanaing-tree vian 20 root primary “Si(config)# opanaing-tree vian 10 root primary $5{c0Nf1904 spanning-tros vian 20 root secondary | | $1(contig | spanning-trea vian 20 root secondary Saeoneia) Sifsoneia) =m] Configuracién de drbol de expansién Problemas de configuracién de STP * Andlisis de la topologia STP 1. Utilice show cdp neighbors para SS descubrir la topologia. i 2. Utilice el conocimiento de STP para SS determinar el switch raiz. 3. Utilice show spanning-tree vlan <> para comprobar qué switch es raiz y, el estado del puerto (reenvio o bloqueo). = Comparacion entre la topologia esperada y la topologia real + La solucién de problemas consiste en comparar el estado real con el estado previsto de la red y detectar las diferencias.Configuracién de arbol de expansién Problemas de configuracién de STP = Descripcién general del estado de STP + Si se utiliza el comando show spanning-tree sin especificar ninguna opcién adicional, se obtiene una breve descripcién general del estado de STP para todas las VLAN definidas en el switch. + Utilice el comando show spanning-tree vian vian_id para obtener informacién acerca de STP de una VLAN especifica.