Cisco IOS

De Kyngopedia
Saltar a: navegación, buscar

Nota: Todo el texto que esté entre claudators ([ ]) son parámetros a escoger por el administrador del sistemas.
Nota: Este artículo está en constante edición y crecimiento.
AVISO: Esta documentación está comprobada con un switch Cisco Catalyst 2950 y un router Cisco 1941 Series. Puede que no funcione con otros modelos.

Esenciales

Aplicar configuración de forma permanente

enable
copy running-config startup-config

Hostname y contraseña

enable
conf term
hostname [nombre]
enable secret [clave]

Configurar IP al dispositivo

enable
conf term
interface vlan [numero] # en caso de un switch
interface [interfaz] # en caso de un router
ip address [ip] [mascara]
no shutdown

Configurar acceso vía Telnet

enable
conf term
username [usuario] secret [clave]
enable secret [usuario]
line vty [minimo] [maximo]
password [clave]
logging synchronous
login local

Configurar acceso FTP

enable
conf term
ip ftp username [user]
ip ftp password [pass]
end

Revertir / Eliminar una acción hecha

no [comando realizado a deshacer]
# ejemplos
no ip dhcp pool nombre_pool # elimina una pool dhcp
no spanning-tree vlan 1 # elimina el spanning tree en una vlan

Port Security

En este enlace está disponible la explicación.

Configurar el Port Security

enable
conf term
interface [interfaz]
switchport mode access
switchport port-security
switchport port-security maximum [numero maximo de direcciones mac]
switchport port-security violation [shutdown | restrict | protect]
switchport port-security mac-address [sticky | 1234.5678.90ab]
end

Configurar varias interfaces a la vez

enable
conf term
interface range fastEthernet 0/[primera interfaz]-[ultima interfaz]
# ahora aquí ejecuta lo que creas conveniente 

Ver estado del Port Security

enable
show port-security interface [interfaz]

Ver la tabla ARP de una interfaz en Port Security

enable
show port-security interface [interfaz] address

Limpiar la tabla ARP en Port Security

enable
clear port-security all interface [interfaz]

Rehabilitar interfaz tras un "Secure Shutdown"

enable
conf term
interface [interfaz]
shutdown
no shutdown

Bonding / EtherChannel

Estos comandos deben ejecutarse en dos dispositivos de red para realizar el bonding o crear el EtherChannel. Más información aquí.

enable
conf term
interface port-channel 1
exit
interface [interfaz1]
channel-group 1 mode desirable
exit
interface [interfaz2]
channel-group 1 mode desirable
exit

Spanning Tree Protocol

Este protocolo permite eliminar posibles bucles entre switches. Se requiere que haya, al menos, un switch primario (o root bridge), que se determina realizando un cálculo:

BID = BP + BMA
* BID = Bridge Identifier, cuanto menor sea, más posible es que sea el root bridge)
* BP = Bridge Priority (número entre 0 y 32768)
* BMA = Bridge MAC Address

Algunos comandos para controlar y administrar el STP son los siguientes:

sw(config)# spanning-tree vlan 1 
# Activa el protocolo STP en el switch. El cálculo del puente raíz y puertos raíz y designado ocurre automáticamente.

sw(config)# spanning-tree vlan 1 root primary 
# Garantiza que este switch será el puente raíz.

sw(config)# spanning-tree vlan 1 root secondary 
# Garantiza que este switch será el puente raíz alternativo.

sw(config)# no spanning-tree vlan 1 
# Descativa el protocolo STP en el switch.

sw(config)# spanning-tree vlan 1 priority 0 
# Asigna un BP (Bridge Priority) de 0, maximizando así las posibilidades de ser elegido como puente raíz

sw(config)# spanning-tree vlan 1 priority 4096 
# Asigna un BP (Bridge Priority) de 4096.

sw# show spanning-tree 
# Muestra la configuración actual de STP.

DHCP

Podemos configurar un router para que dé IPs por DHCP. Es muy sencillo, sólo tenemos que poner unos pocos comandos. Obviamente, tiene que tener configurada una IP dentro de la red de IPs que dé.

Router(config)# ip dhcp pool [nombre_pool]
Router(dhcp-config)# network [ip_red] [mascara]
Router(dhcp-config)# default-router [ip_router]
Router(dhcp-config)# dns-server [ip_dns]
Router(dhcp-config)# exit

Podemos excluir una IP o serie de IPs de la pool de DHCP, se hace de la siguiente forma:

Router(config)# ip dhcp excluded-address [ip_inici] [ip_final]

NAT

Router#(config)interface [interfaz_interior]
Router#(config-if) ip nat inside
Router#(config)interface [interfaz_exterior]
Router#(config-if) ip nat outside

Router#(config) ip nat pool [nombre_nat] [primera_ip_rango] [ultima_ip_rango]  netmask [mascara]
Router#(config) ip nat inside source list 7 pool [nombre_nat]
Router#(config) access-list 7 permit [identificador_red] [mascara_invertida*]
  • mascara_invertida: La máscara debe ponerse con ceros donde haya unos y viceversa. Si es una máscara de 8 bits (255.0.0.0) sería 0.255.255.255.

VLAN

Creación de una VLAN

enable
conf term
vlan [numero_vlan]
name [nombre]
exit

Asignar una VLAN a una interfaz (modo access)

enable
conf term
interface [interfaz]
switchport access vlan [numero_vlan]
exit

Asignar una VLAN a una interfaz (modo trunk)

enable
conf term
interface [interfaz]
switchport mode trunk
switchport trunk allowed vlan remove 1 # hay que eliminar la 1, 1002, 1003, 1004 y 1005 por defecto
switchport trunk allowed vlan add [numero_vlan]
exit

Crear una subinterficie con su VLAN respectiva (routers)

enable
conf term
interface [interfaz].[subinterficie] # por ejemplo fastEthernet 0/0.2
encapsulation dot1q [numero_vlan]
ip address [ip] [mascara]

ACLs

Explicación

Las Access Lists o ACLs son listados que indican si una conexión está permitida o no según su origen, destino, protocolo o puerto. Hay dos factores vitales que determinan cómo funciona una ACL:

  • Tráfico en pre-enrutamiento: El paquete acaba de entrar al router y no se ha tomado ningua decisión sobre el paquete
  • Tráfico en post-enrutamiento: El paquete va a salir y ya se ha tomado una decisión de enrutamiento sobre el paquete

Aun así, las ACL no afectan al tráfico generado por el mismo router que lo emite.

Hay que decir que, si hay una ACL en el router y el paquete que viene no se ve afectado por ésta será rechazado. Automáticamente se inicia una política de denegación, a menos que se indique lo contrario.

Hay dos tipos de ACL a comprender:

  • ACL estándar: Numeradas del 1 al 99.
  • ACL extendida: Numeradas del 100 al 199

Sintaxis de una ACL estándar

En el modo configuración escribimos:

access-list [numero] [permit|deny] [ip_origen] [wildmask]

Luego, en la interfaz donde queramos asignar la ACL, escribimos:

ip access-group [numero] [in|out]

Sintaxis de una ACL extendida

En el modo configuración escribimos:

access-list [numero] [permit|deny] [protocolo*] [origen] [wildcard-o] [destino] [wildcard-d] [operador*] [puerto(s)*] [established*]
  • protocolo: Hay que especificar el protocolo, por ejemplo TCP, UDP, ICMP... (protocolos de bajo nivel, no de aplicación)
  • operador: Un operador que determina un puerto o conjunto de puertos.
    • eq - Igual a
    • neq - No es igual a
    • gt - Más grande que
    • lt - Más pequeño que
    • range - Rango de puertos (separados por un espacio)
  • puerto(s): Puedes especificar un puerto o puertos, o poner un nombre, dependiendo del servicio:
    • www - puerto 80
    • ftp - puertos 20 y 21
    • telnet - puerto 23

Luego, en la interfaz donde queramos asignar la ACL, escribimos:

ip access-group [numero] [in|out]

Comentar una ACL

access-list [numero] remark [texto]

El texto no debe ser más largo de 100 caracteres.

Eliminar una ACL

no access-list [numero]

Mostrar todas las ACL en el sistema

show access-list

OSPF

Sección en edición

Open Shortest Path First (OSPF) es un protocolo de enrutamiento dinámico, que permite crear tablas de enrutamiento a partir de áreas.

Definir el área en el router

enable
conf term
router ospf [proceso*]
router-id [identificador*]
network [ip_red] [wildcard] area [num_area*]
end
  • proceso: un router puede estar en varios procesos OSPF a la vez
  • identificador: debe ser una dirección IP que no esté ni en el área ni en las colindantes.
  • num_area: indica el número de área del router dentro de ese proceso OSPF