Introducción.
Rouster es un equipamiento usado para hacer la conmutación
de protocolos, para la comunicación entre diferentes redes de computadoras
proviniendo la comunicación entre computadores distantes entre sí.
Los Routers son dispositivos que operan en la capa 3 del
modelo osi. La principal característica de esos equipos es seleccionar la ruta
más apropiada para encaminar los paquetes recibidos.
Router CISCO
los routers CISCO están diseñados principalmente para
enrutar el tráfico de una red, y como segunda función, tienen incorporada una
tecnología de filtrado de paquetes. Esta segunda característica es utilizada
por muchas organizaciones como un firewall eficiente.
Un cortafuegos (firewall en inglés) es una parte de un sistema
o una red que está diseñada para bloquear el acceso no autorizado, permitiendo
al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos
configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los
diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Routers
El router es la estructura básica de las redes, que cuenta
con las siguientes capacidades:
• Puede soportar simultáneamente
diferentes protocolos (Ethernet, Token
Ring, RDSI, y otros), haciendo compatible todos los equipos en la capa de red.
• Conecta a la perfección LAN a
WAN.
• Filtra al exterior el tráfico
no deseado aislando áreas en las que los mensajes se pueden difundir a todos
los usuarios de una red.
• Actúan como puertas de
seguridad comprobando el tráfico mediante listas de permisos de acceso.
• Asegura fiabilidad, ofreciendo
múltiples trayectorias a través de las redes.
• Aprende automáticamente nuevas
trayectorias y selecciona las mejores.
En pocas palabras, los routers hacen posible la existencia
de redes. Los routers son computadoras dedicadas al procesamiento de la
interconexión de redes, que no incluyen
monitor, ni teclado, ni ratón, por lo que debe comunicarse con ellos de una de
las siguientes formas:
• Desde una terminal (PC o estación de trabajo funcionando
en modo terminal) conectada a él mediante un cable.
• Mediante un punto de la red. Dado que los routers son los
enlaces que mantienen unidas las redes, el diseño de medidas de seguridad
dentro de ellos es muy importante; la primera medida que se debe tomar en
cuenta es la asignación de contraseña para no permitir el acceso al público en
general y en especial a los hackers. La
tabla 4.1 lista los tipos de contraseñas del router y lo que hacen. En los
routers CISCO se utilizan las contraseñas para restringir el acceso a:
• El dispositivo.
• La parte EXEC privilegiada (modo habilitar) del entorno
del software IOS (Internetwork
Operating System).
• El uso de comandos específicos del IOS.
Estructura interna de
un router Cisco
Un Router se compone internamente de:
1.- RAM/DRAM: en esta memoria se
almacena la información dinámica de la configuración, esta se pierde si el
router se apaga.
2.- NVRAM: Esta es un tipo de RAM
no volátil, contiene una copia de respaldo de su configuración y esta se
mantiene aunque el equipo sea apagado evitando de esta manera
reconfigurarlo.
3.- ROM: Esta memoria contiene el
arranque e iniciación del router y un pequeño sistema de monitoreo que puede
ser usado para recuperarse de una catástrofe.
4.- FLASH: este es un tipo
especial de ROM programable que se puede editar, esta memoria contiene una
copia del Sistema Operativo para Redes de Cisco.
5.- INTERFACES: estos son
dispositivos a través de los cuales entran y salen paquetes del router.
6.- CONSOLE: es el principal
mecanismo de control del router a través del cual se puede acceder a su
configuración, bien sea para crearla o para editarla.
7.- AUXILIARY PORTS: es también
un mecanismo de control para el router.
Modos de trabajo
El router se puede operar generalmente en 2 modos de
trabajo:
1.- USER EXEC MODE: este es un
modo de consulta en el cual no se puede cambiar ni borrar la configuración,
cuando el router inicializa automáticamente entra a este modo, contiene
comandos no destructivos y rutinas para realizar pruebas, se reconoce que se
esta en ese modo cuando después del host name del dispositivo aparece el
símbolo “>”. Por ejemplo: Router>
2.- PRIVILEGED EXEC MODE: este
modo contiene los mismos comandos del USER EXEC MODE y además cuenta con otros
que permiten editar, borrar y agregar parámetros a la configuración del router.
Para entrar al modo privilegiado teclee “enable” y presione <ENTER> desde
el prompt del sistema. Se reconoce que se ha entrado a este modo cuando después del host name del dispositivo
aparece el símbolo “#”. Por ejemplo: Router#
A parte de estos 2 modos también existen otros 4 usados con frecuencia
como se describen a continuación:
1.- ROM MONITOR MODE: este se usa
si el sistema operativo no se ha encontrado en el FLASH o la secuencia de
arranque fue interrumpida durante la inicialización y el prompt se visualiza
así: > o así: rommon>
2.- SETUP MODE: se entra a este
modo cuando se va a realizar la configuración inicial.
3.- RXBOOT MODE: es un ayudante
de iniciación que se usa cuando no se puede encontrar una imagen del sistema
operativo Cisco en la FLASH. El prompt se visualiza así: Router<boot>
4.- GLOBAL CONFIGURATION MODE:
los comandos de la configuración global se aplican cuando se va a cambiar o
agregar algún parámetro al sistema. Para entrar a este modo se tiene que
teclear “configure” y presionar <ENTER> desde el prompt del modo
privilegiado, para salir de este modo use el comando exit, end o CTRL + Z. Se
reconoce que se esta en este modo cuando el prompt se visualiza así:
Router(config)# Existen otros modos de
configuración, mas de 17 que se irán desarrollando progresivamente.
Accediendo al
router
Cada vez que entres a un router por primera vez en una
sesión lo harás en el modo de usuario, para salir de este modo usa el comando
“logout” desde el prompt.
El interpretador de comandos EXEC espera un intervalo de
tiempo determinado para que hagas la entrada de un comando, si la entrada no es
detectada en ese lapso de tiempo el EXEC termina la conexión y tendrás que
volver a cargar el modo de nuevo. Por omisión este tiempo de espera es de 10
minutos, el comando para configurar esta espera es “exec-timeout 0” en donde
“0” representa los minutos de espera, si se especifica el intervalo a “0” el
router asumirá que no hay tiempo de espera para la entrada. El comando “no
exec-timeout” remueve la ultima definición que se realizó al tiempo de
espera.
Para entrar al modo privilegiado ya mencioné que se debe usar
el comando “enable” y generalmente está protegido por un password para evitar
accesos no autorizados. Para salir de este modo usa el comando “disable” o
“exit”.
Para salir completamente del router usa el comando
“logout” El sistema operativo de Cisco soporta
una variedad de características de seguridad para controlar el acceso al
router. Este acceso es controlado por:
1.- Un password cuando se este
Accediendo a una línea.
2.- Un password antes de entrar
al modo privilegiado.
3.- Un password encriptado.
Comandos
Una vez que estas en el USER MODE o en el PRIVILEGED MODE tu
puedes ver todos los comandos disponibles, solo tienes que teclear el signo de
interrogación (?) desde el prompt del sistema operativo.
El sistema operativo contiene una ayuda sensitiva para los
comandos, esto quiere decir que reconoce la entrada que hacemos a través del
teclado y la compara con su lista de comandos y al conseguir el equivalente lo
ejecuta.
Por ejemplo si se va a usar el comando “show” no es
necesario escribirlo totalmente, basta con escribir las primeras letras como
por ejemplo “sh”.
También contamos con la ayuda de los últimos comandos
ejecutados para no volverlos a teclear, igualmente posee chequeo de sintaxis de
todas las entradas que se hagan por el teclado indicándote los errores que se
consigan en la entrada.
La interfaz posee un modo avanzado de edición y nos da la
ventaja de corregir complejos comandos sin necesidad de volverlos a tipear.
Esta característica esta activa en el router por defecto, si quieres
desactivarla solo tienes que usar el comando “terminal no editing” desde el
prompt del sistema del modo de configuración global.
El modo de edición posee las siguientes combinaciones de
teclas para la mayor comodidad:
1.- Automático desplazamiento de
pantalla con líneas muy largas.
2.- Presione CTRL + A para ir al
principio de la línea de comando.
3.- Presione CTRL + E para ir al
final de la línea de comando.
4.- Presione ESC + B para ir al
inicio de la palabra anterior.
5.- Presione ESC + F para ir al
inicio de la próxima palabra.
6.- Presione CTRL + F para ir un
carácter adelante.
7.- Presione CTRL + B para ir un
carácter atrás.
Para realizar estas mismas acciones puede usar las teclas de
flecha de su teclado.
Como vimos anteriormente el sistema operativo Cisco nos
libera de tener que teclear los comandos completos pues ya los reconoce con
solo algunas letras, también posee una función de autocompletación que se
ejecuta presionando la tecla TAB. Por ejemplo si escribimos el comando sh his y
presionamos la tecla TAB se nos mostrará el comando completo: show history,
independientemente si lo autocompletamos o no, el comando se va a ejecutar si
lo confirmamos presionando la tecla ENTER, es decir que cualquiera de los 2
modos estaría bien.
La interfaz nos provee de un historial de los últimos
comandos ejecutados en el router entrados por el teclado, esta característica
se puede anular, activar o cambiar el tamaño de su memoria cuando se
desee.
El comando para mostrar la lista de últimas entradas es show
history y esta activo por defecto para guardar hasta los últimos 10 comandos
ejecutados, puede almacenar hasta las últimas 256 entradas.
Para cambiar el máximo de comandos a guardar use la
instrucción terminal history size.
Al igual que el modo de edición también cuenta con teclas de
rápido acceso:
1.- CTRL + P para moverse hacia
arriba en la lista de últimos comandos.
2.- CTRL + N para moverse hacia
abajo en la lista de últimos comandos.
3.- TAB para auto completar el comando.
También se pueden usar las teclas de flechas para realizar
los comandos 1 y 2.
Examinando el estado
del router
El sistema operativo Cisco tiene una serie de comandos que
determinan si su router está operando correctamente o donde ha ocurrido una
falla, algunos de estos comandos son:
1.- show versión: muestra la
configuración del hardware del sistema, la versión del software, nombres y
orígenes de los archivos de configuración y de la imagen de arranque.
(RAM)
2.- show processes: muestra la información acerca del proceso
activo. (RAM)
3.- show protocols: muestra los
protocolos configurados. Este comando muestra información de cualquier
protocolo configurado en la capa 3 de la red. (RAM)
4.- show mem: muestra
estadísticas acerca de la memoria del router. (RAM)
5.- show ip route: muestra las
entradas en la tabla de encaminamiento. (RAM)
6.- show flash: muestra
información acerca del controlador de la memoria Flash. (FLASH)
7.- show running-config: muestra
los parámetros de la configuración activa. Equivale al comando write term en
los sistemas operativos versión 10.2 o anteriores. (RAM)
8.- show startup-config: muestra
la configuración del archivo de respaldo. Equivale al comando show config en
los sistemas operativos versión 10.2 o anteriores. (NVRAM)
9.- show interfaces: muestra
estadísticas para todas las interfaces configuradas en el router.
(INTERFACES)
10.- show lines: muestra el
estatus de todas las líneas disponibles en el router.
11.- show users: muestra el
estatus de las líneas que están siendo usadas por otros usuarios incluyendo la
local.
12.- show clock: muestra la hora
y fecha configurada al router.
Cargando la
configuración al router .
Existen 2 maneras de cargar configuración, una se aplica a
las versiones de IOS Cisco anteriores a la 10.3 y otra se aplica a partir de
esta versión.
Para la versión 10.3 o posteriores se puede configurar un
router de 3 maneras a saber:
1.- configure terminal: use este
comando desde el prompt del modo privilegiado para entrar manualmente los
parámetros que desee.
2.- copy tftp running-config: use
este comando al igual que el anterior para cargar un archivo de configuración
desde un servidor de tftp a la RAM del router.
3.- copy tftp startup-config:
este comando carga un archivo de configuración desde un servidor tftp
directamente a la NVRAM del router.-
Cuando se cargan archivos de configuración a la RAM o VRAM, el router actúa como un compilador y va traduciendo
línea por línea el archivo y solo sobrescribe las líneas que ya existan en la
RAM. Para las versiones anteriores a la 10.3 del IOS Cisco el router se puede
configurar de 3 maneras a saber:
1.- configure terminal: funciona
igual que en el similar anterior.
2.- configure memory: ejecuta
comandos guardados en la NVRAM.
3.- configure network: copia un
archivo de configuración desde un servidor de la red hasta la RAM del router.
Este comando solo es soportado por servidores tftp.
4.- configure overwrite: carga un
archivo de configuración directamente a la NVRAM sin afectar la configuración
que está corriendo actualmente. Tenga cuidado de no exceder la capacidad de la
memoria del router.
Configuración
global
Desde el modo de configuración global se tiene acceso a
otros modos de configuración, como los siguientes:
1.- interface: soporta comandos
para configurar operaciones de una interface básica.
2.- subinterface: soporta
comandos para configurar múltiples interfaces virtuales en una sola interface
física.
3.- controller: soporta comandos
para configurar T1 canalizado.
4.- line: soporta comandos para
configurar la operación de una línea terminal.
5.- router: soporta comandos para
configurar un protocolo de encaminamiento por IP.
6.- ipx-router: soporta comandos
para configurar el protocolo de la capa de red en un ambiente Novell.
7.- route-map: soporta comandos
para configurar las tablas de encaminamiento, origen y destino de la
información.
Si entras el comando exit siempre regresas a un nivel
anterior y si usas CTRL + Z regresas al prompt del modo privilegiado.
Configurando la
identificación del router.
Una de las primeras tareas en la configuración del router es
colocarle un nombre. Nombrando su router ayuda a los administradores de la red
a tener identificado cada componente de la red, por lo que se sugiere colocarle
un nombre que se relacione con el área, cliente o algo afín. El nombre del
router es considerado como el host name
y es mostrado en el prompt de su sistema operativo. Mientras no se ha
configurado se mostrara el nombre “Router”. El nombre se debe asignar desde el
modo de configuración global (enable config terminal) y se usa para tal fin el
comando hostname.
También tu puedes configurar un mensaje que aparezca al
inicio de todas las conexiones terminales. Esto es muy útil para indicar
situaciones importantes, como advertencias o políticas de acceso a todos los
usuarios que acceden al router. Igual que el anterior desde el modo de
configuración global se usa para este fin el comando banner motd, seguido de un
delimitador, el texto que se quiere mostrar y finalmente otro delimitador.
También podemos identificar las interfaces del sistema y de
esta manera recordar información específica acerca de determinada interface.
Igual que los anteriores se configura desde el modo de configuración global
usando el comando description seguido del mensaje descriptivo, previamente se
debe acceder a la interface respectiva usando el comando interface seguido del
tipo, que puede ser: ethernet o serial entre otras, igualmente se debe indicar
el numero de la interface. Por ejemplo
si se quiere identificar la interface serial 1 se deben realizar los siguientes
pasos:
Router(config)#interface serial
1
Router(config-if)#description Red
LAN Ingeniería, Edificio Matriz
En algunos routers el numero del puerto que identifica una
interface puede variar dependiendo de la cantidad de slots o interfaces o tenga
instalada. Por ejemplo vamos a encontrar
interfaces seriales que se identifiquen como
simplemente 0, 1 o 2 y también podemos encontrarlas que se identifiquen
0/0, 0/1, 0/2 etc.
Para asignar una dirección IP a la interface, usa el comando
ip address seguido de la dirección y de la mascara respectiva.
Se pueden asignar anchos de banda a determinada interface
usando para este fin el comando bandwitch.
Las interfaces están provistas de un mecanismo de
advertencia, el cual consiste en enviar alarmas al administrador para indicar
algún problema o anomalía, como son datos enviados ocupan espacio, si se quiere
guardar este espacio para otra actividad podemos desactivar estas alarmas
usando el comando no keepalive o si por el contrario desea volverlo a activar
solo use keepalive, por defecto viene de forma activa.
También podemos usar el comando clock rate para ajustar
opcionalmente esa velocidad, esta especificada en bits por segundo: 1200, 2400,
4800, 9600, 19200, 38400, 56000, 64000, 72000, 125000, 148000, 500000, 800000,
1000000, 1300000, 2000000 o 4000000. Por defecto una línea serial viene
configurada para la velocidad de un T1. Si se cambio la interface desde un
dispositivo DCE a uno DTE use el comando
no clock rate para remover el cambio. Por defecto los equipos Cisco
vienen configurados como dispositivos DTE, pero pueden ser configurados para
operar como DCE.
Antes de comenzar a configurar o cambiar una interface
serial se debe saber si esta configurada como DCE o DTE. El comando show
controllers serial muestra la información especifica, si esta configurada como
DCE entonces mostrará también la velocidad del reloj actual. Por último
recuerde que para ver los cambios efectuados a la interface use el comando show
interfaces.
Configurando el
password .
Se puede controlar el acceso al router y de esta manera
proteger la configuración del mismo de personas no capacitadas o ajenas al
proceso. Se tienen a disposición varios tipos de password que se determinan
según sea el acceso.
Si se quiere restringir el acceso al router a través de la
consola (console) se debe usar la siguiente secuencia de comandos desde el modo
de configuración global:
Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password
<clave deseada>
El comando line console 0 nos permite acceder a la línea de
consola. El comando login nos permite habilitar el password y finalmente el
comando password nos permite asignarle la clave de acceso.
También se puede restringir el acceso a través de una línea
vty (Virtual Terminal) si se pretende entrar a la información del router por el
puerto auxiliar bien sea local o remotamente (Telnet). Para ejecutar esta acción use la siguiente
secuencia de comandos:
Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password
<clave deseada>
El comando line vty nos permite acceder a la línea que
seleccionemos. Para ver estas líneas use el comando show lines. Se puede
asignar un password diferente para cada línea. El comando login habilita el
password y finalmente el comando password nos permite asignarle determinada
clave a la línea.
Contamos con un password que nos controla el acceso al modo
privilegiado, este es muy importante de asignar ya que desde este modo podemos
cambiar cualquier configuración del sistema. Se asigna desde el modo de
configuración global y se usa el comando enable password <clave
deseada>.
Es importante saber que todos los passwords se pueden
visualizar desde el modo privilegiado si
se pide que se nos muestre la configuración de la RAM o NVRAM por lo que si hay
gente a nuestro alrededor la cual no deberían conocer esas claves de acceso o
simplemente el administrador general del sistema no quiere que nadie más los
conozca se puede usar el comando service password-encryption desde el modo de
configuración global o bien si quiere deshabilitar esa opción entonces use: no
service password-encryption.
También al momento de asignar cada password desde cada uno
de los comandos anteriores se tiene una serie de opciones dependiendo de la
versión del sistema operativo que nos permite ocultar o disimular el password
al momento de introducirlo.
Por último contamos con el acceso secreto y para ello usamos
el comando enable secret desde el modo de configuración global.
Recuerden que para deshabilitar cualquier línea de comando
que hayamos introducido bien sea porque esta mal o simplemente queremos
deshacer esa acción, el sistema operativo Cisco nos provee del comando no, que
precedido de cualquier instrucción la anula inmediatamente. Por ejemplo en el
caso anterior si usamos el comando enable secret y finalmente no lo deseamos,
solo basta con colocar desde el prompt no enable secret, esto es valido para
todos los comandos.
Es muy importante que sepan que todos los passwords que se
asignen son sensitivos, es decir debemos de colocarlos igual tomando en cuenta
los caracteres en mayúsculas y minúsculas.
Interpretando el
estatus de las interfaces.
Cada vez que solicitemos información sobre alguna interface
se nos mostraran detalles relacionados con su configuración y funcionamiento,
debemos saber que significa en cada caso, por ejemplo si ejecutamos la
siguiente línea de comando:
Router#show interface serial 1
Se nos puede mostrar una información como la siguiente:
Serial1 is
up, line protocol is up
Existen cuatro formas de interpretar esta información
dependiendo de cómo se presente:
1.-
OPERANDO SIN PROBLEMAS: Serial1 is up, line protocol is up
2.-
PROBLEMA CON LA CONEXION: Serial1 is up, line protocol is down
3.-
INTERFACE CON PROBLEMA: Serial1 is down, line protocol is down
4.-
DESACTIVADO: Serial1 is administratively down, line protocol is down
El primer parámetro de esta información se refiere a la capa
física (hardware) en este caso a la interface,
en particular a si esta o no recibiendo la señal del otro extremo. El
segundo parámetro se refiere a la capa de enlace de datos (protocolo), en
particular si se están recibiendo alarmas (keepalives) sobre su
funcionamiento.
Si tanto el hardware y el protocolo están bien (up) quiere
decir que esta funcionando adecuadamente.
Si el hardware esta bien (up) y el protocolo presenta falla
(down) esto puede ser debido a que no se está recibiendo las alarmas de la
interface (no keepalives), no hay trafico del reloj (no clock rate), problemas
en el conector o el otro extremo de la conexión se encuentra
administrativamente abajo (administratively down).
Si el hardware y el protocolo no están bien, puede ser
porque el cable de datos no estaba conectado al puerto correspondiente al
encender el router o existe algún otro problema con la interface.
Si la información mostrada para la interface dice
“administratively down” quiere decir que fue desactivada manualmente de la
configuración activa del router.
Recuerde usar el comando shutdown o no shutdown para
desactivar o activar una interface.
Verificando los
cambios hechos a la configuración
Para la versión 10.3 o superiores del Cisco IOS use el comando
show running-config para ver la configuración activa (RAM), si esta seguro de
los cambios hechos proceda a grabarla a la NVRAM usando el comando copy
running-config startup config. Si desea grabarla en la red use el comando copy
running-config tftp en donde la variable tftp representa el servidor destino.
Para remover la configuración grabada use el comando erase y reinicie el
sistema. En este caso la configuración del router volverá a sus valores de
fábrica.
Otra forma es usando el comando reload, una vez entrado este
comando el sistema preguntará si quieres grabar la actual configuración, si no
lo desea responda no de lo contrario se actualizara a la NVRAM.
Para las versiones anteriores a la 10.3 del Cisco IOS use el
comando show configuration para ver la configuración activa (RAM). Si está
seguro de los cambios efectuados proceda a grabarla a la NVRAM usando para tal
fin el comando write memory. Si desea grabar la configuración en la red use el
comando write network, este comando solo soporta servidores tftp. Para remover
la configuración de inicio use el comando write erase y vuelva a configurar.
Bibliografía.
Nenhum comentário:
Postar um comentário