| 1 | Elementos de Configuración de Enrutadores Cisco |
|---|
| 2 | =============================== |
|---|
| 3 | |
|---|
| 4 | Notas: |
|---|
| 5 | ------ |
|---|
| 6 | * Los comandos precedidos por el signo de pesos "$", deben ser |
|---|
| 7 | ejecutados como un usuario general - y no como superusuario (root). |
|---|
| 8 | * Los comandos precedidos por el signo de número "#", deben ser |
|---|
| 9 | ejecutados por el superusuario (root). |
|---|
| 10 | * Los comandos precedidos por lineas de comando más especÃficas |
|---|
| 11 | (e.g. "rtrX>" or "mysql>") deben ser ejecutados en equipos remotos, |
|---|
| 12 | dentro de otras aplicaciones. |
|---|
| 13 | * Si la lÃnea de comandos termina con una barra invertida "\", quiere |
|---|
| 14 | decir que el comando continua en la próxima lÃnea y todas lÃneas |
|---|
| 15 | deben ser tratadas como un comando de sola lÃnea. |
|---|
| 16 | * Referencias a "N", representan su número de grupo. |
|---|
| 17 | |
|---|
| 18 | Ejercicios - Parte I |
|---|
| 19 | ================ |
|---|
| 20 | |
|---|
| 21 | 0. Trabajando en grupos |
|---|
| 22 | ------------------------ |
|---|
| 23 | |
|---|
| 24 | Para este ejercicio estarán trabajando en grupos de trabajo. Cada |
|---|
| 25 | grupo debe asignar a una persona para que ejecute los comandos. Puede |
|---|
| 26 | haber hasta cuatro (4) personas por grupo. Por ejemplo, los miembros |
|---|
| 27 | del Grupo Uno (1) serán los participantes utilizando las máquinas pc1-pc4, |
|---|
| 28 | Grupo Dos (2) tiene a los participantes que utilizan pc4-pc8, Grupo Tres |
|---|
| 29 | (3) será formado por los participantes que utilizarán pc9-pc12, etc. |
|---|
| 30 | |
|---|
| 31 | Si no está seguro de a que grupo usted pertenece, por favor referirse |
|---|
| 32 | a la sección "Diagrama de Topologia" que está en la página wiki |
|---|
| 33 | del taller (http://noc.ws.nsrc.org/) y seleccionando cualquiera |
|---|
| 34 | de los dos diagramas en esa sección. |
|---|
| 35 | |
|---|
| 36 | 1. Conectandose al enrutador |
|---|
| 37 | ----------------------------- |
|---|
| 38 | |
|---|
| 39 | Conectese a una de sus PCs e instale "Telnet": |
|---|
| 40 | |
|---|
| 41 | $ sudo apt-get install telnet |
|---|
| 42 | |
|---|
| 43 | Obviamente, este paso no es necesario si su PC ya tiene instalada la |
|---|
| 44 | aplicación de Telnet. |
|---|
| 45 | |
|---|
| 46 | Desde la PC, deberá conectarse al enrutador para su grupo. Si no está seguro |
|---|
| 47 | de cual es el enrutador para su grupo, recuerde que puede consultar el |
|---|
| 48 | diagrama de la red. Seleccione el enlace "Diagrama de TopologÃa" en la |
|---|
| 49 | página del NOC: |
|---|
| 50 | |
|---|
| 51 | http://noc.ws.nsrc.org/ |
|---|
| 52 | |
|---|
| 53 | Ahora conectese a su enrutador: |
|---|
| 54 | |
|---|
| 55 | $ telnet 10.10.N.254 |
|---|
| 56 | |
|---|
| 57 | username: cisco |
|---|
| 58 | password: cisco |
|---|
| 59 | |
|---|
| 60 | Para visualizar información sobre su enrutador: |
|---|
| 61 | |
|---|
| 62 | routerN>enable |
|---|
| 63 | Password: (password por defecto es "cisco") |
|---|
| 64 | RouterN#show run (utlize la barra espaciadora para continuar) |
|---|
| 65 | RouterN#show int FastEthernet0/0 (para ver el estado de la interfaz FastEthernet0/0) |
|---|
| 66 | RouterN#show ? (presenta todas las opciones para el comando) |
|---|
| 67 | RouterN#exit (desconectarse del enrutador) |
|---|
| 68 | |
|---|
| 69 | |
|---|
| 70 | 2. Configure su enrutador para solo utilizar SSH |
|---|
| 71 | ------------------------------------------------ |
|---|
| 72 | |
|---|
| 73 | Los pasos en este ejercicio servirán para: |
|---|
| 74 | |
|---|
| 75 | * Crear una clave de SSH para su enrutador |
|---|
| 76 | * Crear una contraseña de acceso encriptada para el usuario "cisco" |
|---|
| 77 | * Crear y encriptar la contraseña del nivel privilegiado (cisco) |
|---|
| 78 | * Deshabilitar el acceso via telnet (sin encription) para su enrutador |
|---|
| 79 | * Habilitar el acceso via SSH (version 2) para el enrutador |
|---|
| 80 | |
|---|
| 81 | Deberá trabajar en grupos de hasta cuatro (4) personas. Comuniquese |
|---|
| 82 | con los miembros de su grupo y asigne a una persona para entrar los |
|---|
| 83 | comandos en el enrutador. Para comenzar, deberá conectarse a una de |
|---|
| 84 | las PCs virtuales que son utilizadoas por su grupo. Desde esa PC, deberá |
|---|
| 85 | conectarse a su enrutador utlizando el comando "telnet": |
|---|
| 86 | |
|---|
| 87 | $ telnet rtrN.ws.nsrc.org (or "telnet 10.10.N.254") |
|---|
| 88 | |
|---|
| 89 | username: cisco |
|---|
| 90 | password: cisco |
|---|
| 91 | |
|---|
| 92 | rtrN> enable (en) |
|---|
| 93 | password: cisco |
|---|
| 94 | rtrN# configure terminal (conf t) |
|---|
| 95 | rtrN(config)# aaa new-model |
|---|
| 96 | rtrN(config)# ip domain-name ws.nsrc.org |
|---|
| 97 | rtrN(config)# crypto key generate rsa |
|---|
| 98 | |
|---|
| 99 | How many bits in the modulus [512]: 2048 |
|---|
| 100 | |
|---|
| 101 | Deberá esperar mientras la clave es generada. Despues de terminar, usted podrá |
|---|
| 102 | definir nuevas contraseñas y estás serán encriptadas. Para comenzar, |
|---|
| 103 | vamos a remover temporalmente el usuario "cisco" y recrearlo de nuevo: |
|---|
| 104 | |
|---|
| 105 | rtrN(config)# no username cisco |
|---|
| 106 | rtrN(config)# username cisco secret 0 <CONTRASEÃA> |
|---|
| 107 | |
|---|
| 108 | Ahora la nueva contraseña para el usuario "cisco" está encriptada. El |
|---|
| 109 | próximo paso es el encriptar la contraseña del nivel privilegiado: |
|---|
| 110 | |
|---|
| 111 | rtrN(config)# enable secret 0 <CONTRASEÃA> |
|---|
| 112 | |
|---|
| 113 | Ahora vamos a configurar el enrutador para que solo acepte conexiones |
|---|
| 114 | de SSH para las cinco (5) terminales que hemos definido (vty0-vty4): |
|---|
| 115 | |
|---|
| 116 | rtrN(config)# line vty 0 4 |
|---|
| 117 | rtrN(config-line)# transport input ssh |
|---|
| 118 | rtrN(config-line)# exit |
|---|
| 119 | |
|---|
| 120 | El comando "exit" anterior nos saca del nivel de configuración de linea |
|---|
| 121 | y nos pone en el modo de configuración general. Ahora vamos a decirle |
|---|
| 122 | al enrutador que registre eventos relacionados con SSH y que solo |
|---|
| 123 | acepte conexiones vÃa SSH versión 2: |
|---|
| 124 | |
|---|
| 125 | rtrN(config)# ip ssh logging events |
|---|
| 126 | rtrN(config)# ip ssh version 2 |
|---|
| 127 | |
|---|
| 128 | Ahora que hemos terminado, podemos salir del modo de configuración: |
|---|
| 129 | |
|---|
| 130 | rtrN(config)# exit |
|---|
| 131 | |
|---|
| 132 | Como siempre, queremos guardar la configuración en la memoria |
|---|
| 133 | permanente del enrutador: |
|---|
| 134 | |
|---|
| 135 | rtrN# write memory (wr mem) |
|---|
| 136 | |
|---|
| 137 | Y eso es todo. |
|---|
| 138 | |
|---|
| 139 | Si todo está funcionando correctamente, ya no podrán |
|---|
| 140 | conectarse a los enrutadores utilizando el comando "telnet". De ahora |
|---|
| 141 | en adelante, deberán utilizar conexiones vÃa SSH con el usuario |
|---|
| 142 | "cisco" y la contraseña <CONTRASEÃA>. La contraseña del nivel |
|---|
| 143 | privilegiado tambien será "cisco". Naturalmente, en una configuración |
|---|
| 144 | real ustedes deberán utilizar contraseñas mucho más seguras. |
|---|
| 145 | |
|---|
| 146 | Siempre es recomendable que cuando estamos haciendo cambios a la |
|---|
| 147 | configuración de acceso de un enrutador, mantengamos la sessión |
|---|
| 148 | original abierta hasta que hayamos confirmado que la nueva |
|---|
| 149 | configuración funciona como debe ser. Ahora debemos vericar que |
|---|
| 150 | nuestra configuración funciona como debe ser. |
|---|
| 151 | |
|---|
| 152 | Primero, vamos a tratar de conectarnos usando "telnet": |
|---|
| 153 | |
|---|
| 154 | $ telnet rtrN.ws.nsrc.org |
|---|
| 155 | |
|---|
| 156 | Que pasó? ... Debieron haber visto algo parecido a: |
|---|
| 157 | |
|---|
| 158 | Trying 10.10.N.254... |
|---|
| 159 | telnet: Unable to connect to remote host: Connection refused |
|---|
| 160 | |
|---|
| 161 | Ahora vamos a tratar de conectarnos utilizando una sesión con SSH: |
|---|
| 162 | |
|---|
| 163 | $ ssh cisco@rtrN.ws.nsrc.org |
|---|
| 164 | |
|---|
| 165 | Debemos ver algo parecido a: |
|---|
| 166 | |
|---|
| 167 | The authenticity of host 'rtr2.ws.nsrc.org (10.10.2.254)' can't be |
|---|
| 168 | established. RSA key fingerprint is 93:4c:eb:ad:5c:4a:a6:3e:8b:9e: |
|---|
| 169 | 4f:e4:e2:eb:e4:7f. Are you sure you want to continue connecting |
|---|
| 170 | (yes/no)? |
|---|
| 171 | |
|---|
| 172 | Escriba "yes" y presione <ENTER> para continuar ... |
|---|
| 173 | |
|---|
| 174 | Ahora deberá ver en mensaje de entrar la contraseña. Escriba la |
|---|
| 175 | contraseña "cisco" y presione <ENTER>: |
|---|
| 176 | |
|---|
| 177 | Password: <CONTRASEÃA> |
|---|
| 178 | |
|---|
| 179 | Si todo funciona como debe ser, usted entrará a la lÃnea de comandos |
|---|
| 180 | del enrutador: |
|---|
| 181 | |
|---|
| 182 | rtrN> |
|---|
| 183 | |
|---|
| 184 | Si todo funcionó, podemos desconectar las sesión inicial que tenÃamos |
|---|
| 185 | vÃa "telnet" (debemos mantener abierta la sesión que usa SSH): |
|---|
| 186 | |
|---|
| 187 | rtrN# exit |
|---|
| 188 | |
|---|
| 189 | Para ejecutar comandos privilegiados en la sesión que tenemos vÃa SSH, |
|---|
| 190 | debemos habilitar el nivel de acceso privilegiado: |
|---|
| 191 | |
|---|
| 192 | rtrN> enable |
|---|
| 193 | Password: <CONTRASEÃA> |
|---|
| 194 | rtrN# |
|---|
| 195 | |
|---|
| 196 | Ahora vamos a revisar la configuración actual del enrutador: |
|---|
| 197 | |
|---|
| 198 | rtrN# show running (sh run) |
|---|
| 199 | |
|---|
| 200 | Presione la barra espaciadora para continuar. Observe que algunas de las |
|---|
| 201 | entradas que usted habÃa configurado antes estén en la configuración: |
|---|
| 202 | |
|---|
| 203 | enable secret 5 $1$p4/E$PnPk6VaF8QoZMhJx56oXs. |
|---|
| 204 | . |
|---|
| 205 | . |
|---|
| 206 | . |
|---|
| 207 | username cisco secret 5 $1$uNg1$M1yscHhYs..upaPP4p8gX1 |
|---|
| 208 | . |
|---|
| 209 | . |
|---|
| 210 | . |
|---|
| 211 | line vty 0 4 |
|---|
| 212 | exec-timeout 0 0 |
|---|
| 213 | transport input ssh |
|---|
| 214 | |
|---|
| 215 | Podrá observar que las contraseñas para el nivel privilegiado y para el |
|---|
| 216 | usuario "cisco" han sido encriptadas. Eso es lo que queremos. |
|---|
| 217 | |
|---|
| 218 | Para terminar este ejercicio, solo necesitamos desconectarnos del |
|---|
| 219 | enrutador: |
|---|
| 220 | |
|---|
| 221 | rtrN# exit |
|---|
| 222 | |
|---|
| 223 | Mas Notas: |
|---|
| 224 | --------- |
|---|
| 225 | |
|---|
| 226 | * Si luego de hacer los cambios de contraseñas y de limitar el |
|---|
| 227 | acceso a solo vÃa SSH usted no puede conectarse a su enrutador, |
|---|
| 228 | comuniquelo a uno de los instructores para que puedan |
|---|
| 229 | restaurar a su estado inicial la configuración del enrutador. |
|---|
| 230 | * Por favor, asegurese de que solo una persona por grupo esté |
|---|
| 231 | ejecuntando los comandos para este ejercicio, y que lo esté |
|---|
| 232 | haciendo en el enrutador adecuado para su grupo. Si varias |
|---|
| 233 | personas intentan modificar la configuración al mismo tiempo o si |
|---|
| 234 | usted no está conectado al enrutador que debe, es muy posible que |
|---|
| 235 | terminemos con problemas de configuración. |
|---|
| 236 | * Durante el resto de la semana estaremos configurando varios |
|---|
| 237 | servicios en el enrutador de su grupo, tales como, SNMP, Netflow y |
|---|
| 238 | otros. De ahora en adelante usted puede utilizar SSH directamente |
|---|
| 239 | desde su laptop o estación de trabajo. |
|---|