1 | Elementos de Configuración de Enrutadores Cisco |
---|
2 | =============================== |
---|
3 | |
---|
4 | Notas: |
---|
5 | ------ |
---|
6 | * Los comandos precedidos por el signo de pesos "$", deben ser |
---|
7 | ejecutados como un usuario general - y no como superusuario (root). |
---|
8 | * Los comandos precedidos por el signo de número "#", deben ser |
---|
9 | ejecutados por el superusuario (root). |
---|
10 | * Los comandos precedidos por lineas de comando más especÃficas |
---|
11 | (e.g. "rtrX>" or "mysql>") deben ser ejecutados en equipos remotos, |
---|
12 | dentro de otras aplicaciones. |
---|
13 | * Si la lÃnea de comandos termina con una barra invertida "\", quiere |
---|
14 | decir que el comando continua en la próxima lÃnea y todas lÃneas |
---|
15 | deben ser tratadas como un comando de sola lÃnea. |
---|
16 | * Referencias a "N", representan su número de grupo. |
---|
17 | |
---|
18 | Ejercicios - Parte I |
---|
19 | ================ |
---|
20 | |
---|
21 | 0. Trabajando en grupos |
---|
22 | ------------------------ |
---|
23 | |
---|
24 | Para este ejercicio estarán trabajando en grupos de trabajo. Cada |
---|
25 | grupo debe asignar a una persona para que ejecute los comandos. Puede |
---|
26 | haber hasta cuatro (4) personas por grupo. Por ejemplo, los miembros |
---|
27 | del Grupo Uno (1) serán los participantes utilizando las máquinas pc1-pc4, |
---|
28 | Grupo Dos (2) tiene a los participantes que utilizan pc4-pc8, Grupo Tres |
---|
29 | (3) será formado por los participantes que utilizarán pc9-pc12, etc. |
---|
30 | |
---|
31 | Si no está seguro de a que grupo usted pertenece, por favor referirse |
---|
32 | a la sección "Diagrama de Topologia" que está en la página wiki |
---|
33 | del taller (http://noc.ws.nsrc.org/) y seleccionando cualquiera |
---|
34 | de los dos diagramas en esa sección. |
---|
35 | |
---|
36 | 1. Conectandose al enrutador |
---|
37 | ----------------------------- |
---|
38 | |
---|
39 | Conectese a una de sus PCs e instale "Telnet": |
---|
40 | |
---|
41 | $ sudo apt-get install telnet |
---|
42 | |
---|
43 | Obviamente, este paso no es necesario si su PC ya tiene instalada la |
---|
44 | aplicación de Telnet. |
---|
45 | |
---|
46 | Desde la PC, deberá conectarse al enrutador para su grupo. Si no está seguro |
---|
47 | de cual es el enrutador para su grupo, recuerde que puede consultar el |
---|
48 | diagrama de la red. Seleccione el enlace "Diagrama de TopologÃa" en la |
---|
49 | página del NOC: |
---|
50 | |
---|
51 | http://noc.ws.nsrc.org/ |
---|
52 | |
---|
53 | Ahora conectese a su enrutador: |
---|
54 | |
---|
55 | $ telnet 10.10.N.254 |
---|
56 | |
---|
57 | username: cisco |
---|
58 | password: cisco |
---|
59 | |
---|
60 | Para visualizar información sobre su enrutador: |
---|
61 | |
---|
62 | routerN>enable |
---|
63 | Password: (password por defecto es "cisco") |
---|
64 | RouterN#show run (utlize la barra espaciadora para continuar) |
---|
65 | RouterN#show int FastEthernet0/0 (para ver el estado de la interfaz FastEthernet0/0) |
---|
66 | RouterN#show ? (presenta todas las opciones para el comando) |
---|
67 | RouterN#exit (desconectarse del enrutador) |
---|
68 | |
---|
69 | |
---|
70 | 2. Configure su enrutador para solo utilizar SSH |
---|
71 | ------------------------------------------------ |
---|
72 | |
---|
73 | Los pasos en este ejercicio servirán para: |
---|
74 | |
---|
75 | * Crear una clave de SSH para su enrutador |
---|
76 | * Crear una contraseña de acceso encriptada para el usuario "cisco" |
---|
77 | * Crear y encriptar la contraseña del nivel privilegiado (cisco) |
---|
78 | * Deshabilitar el acceso via telnet (sin encription) para su enrutador |
---|
79 | * Habilitar el acceso via SSH (version 2) para el enrutador |
---|
80 | |
---|
81 | Deberá trabajar en grupos de hasta cuatro (4) personas. Comuniquese |
---|
82 | con los miembros de su grupo y asigne a una persona para entrar los |
---|
83 | comandos en el enrutador. Para comenzar, deberá conectarse a una de |
---|
84 | las PCs virtuales que son utilizadoas por su grupo. Desde esa PC, deberá |
---|
85 | conectarse a su enrutador utlizando el comando "telnet": |
---|
86 | |
---|
87 | $ telnet rtrN.ws.nsrc.org (or "telnet 10.10.N.254") |
---|
88 | |
---|
89 | username: cisco |
---|
90 | password: cisco |
---|
91 | |
---|
92 | rtrN> enable (en) |
---|
93 | password: cisco |
---|
94 | rtrN# configure terminal (conf t) |
---|
95 | rtrN(config)# aaa new-model |
---|
96 | rtrN(config)# ip domain-name ws.nsrc.org |
---|
97 | rtrN(config)# crypto key generate rsa |
---|
98 | |
---|
99 | How many bits in the modulus [512]: 2048 |
---|
100 | |
---|
101 | Deberá esperar mientras la clave es generada. Despues de terminar, usted podrá |
---|
102 | definir nuevas contraseñas y estás serán encriptadas. Para comenzar, |
---|
103 | vamos a remover temporalmente el usuario "cisco" y recrearlo de nuevo: |
---|
104 | |
---|
105 | rtrN(config)# no username cisco |
---|
106 | rtrN(config)# username cisco secret 0 <CONTRASEÃA> |
---|
107 | |
---|
108 | Ahora la nueva contraseña para el usuario "cisco" está encriptada. El |
---|
109 | próximo paso es el encriptar la contraseña del nivel privilegiado: |
---|
110 | |
---|
111 | rtrN(config)# enable secret 0 <CONTRASEÃA> |
---|
112 | |
---|
113 | Ahora vamos a configurar el enrutador para que solo acepte conexiones |
---|
114 | de SSH para las cinco (5) terminales que hemos definido (vty0-vty4): |
---|
115 | |
---|
116 | rtrN(config)# line vty 0 4 |
---|
117 | rtrN(config-line)# transport input ssh |
---|
118 | rtrN(config-line)# exit |
---|
119 | |
---|
120 | El comando "exit" anterior nos saca del nivel de configuración de linea |
---|
121 | y nos pone en el modo de configuración general. Ahora vamos a decirle |
---|
122 | al enrutador que registre eventos relacionados con SSH y que solo |
---|
123 | acepte conexiones vÃa SSH versión 2: |
---|
124 | |
---|
125 | rtrN(config)# ip ssh logging events |
---|
126 | rtrN(config)# ip ssh version 2 |
---|
127 | |
---|
128 | Ahora que hemos terminado, podemos salir del modo de configuración: |
---|
129 | |
---|
130 | rtrN(config)# exit |
---|
131 | |
---|
132 | Como siempre, queremos guardar la configuración en la memoria |
---|
133 | permanente del enrutador: |
---|
134 | |
---|
135 | rtrN# write memory (wr mem) |
---|
136 | |
---|
137 | Y eso es todo. |
---|
138 | |
---|
139 | Si todo está funcionando correctamente, ya no podrán |
---|
140 | conectarse a los enrutadores utilizando el comando "telnet". De ahora |
---|
141 | en adelante, deberán utilizar conexiones vÃa SSH con el usuario |
---|
142 | "cisco" y la contraseña <CONTRASEÃA>. La contraseña del nivel |
---|
143 | privilegiado tambien será "cisco". Naturalmente, en una configuración |
---|
144 | real ustedes deberán utilizar contraseñas mucho más seguras. |
---|
145 | |
---|
146 | Siempre es recomendable que cuando estamos haciendo cambios a la |
---|
147 | configuración de acceso de un enrutador, mantengamos la sessión |
---|
148 | original abierta hasta que hayamos confirmado que la nueva |
---|
149 | configuración funciona como debe ser. Ahora debemos vericar que |
---|
150 | nuestra configuración funciona como debe ser. |
---|
151 | |
---|
152 | Primero, vamos a tratar de conectarnos usando "telnet": |
---|
153 | |
---|
154 | $ telnet rtrN.ws.nsrc.org |
---|
155 | |
---|
156 | Que pasó? ... Debieron haber visto algo parecido a: |
---|
157 | |
---|
158 | Trying 10.10.N.254... |
---|
159 | telnet: Unable to connect to remote host: Connection refused |
---|
160 | |
---|
161 | Ahora vamos a tratar de conectarnos utilizando una sesión con SSH: |
---|
162 | |
---|
163 | $ ssh cisco@rtrN.ws.nsrc.org |
---|
164 | |
---|
165 | Debemos ver algo parecido a: |
---|
166 | |
---|
167 | The authenticity of host 'rtr2.ws.nsrc.org (10.10.2.254)' can't be |
---|
168 | established. RSA key fingerprint is 93:4c:eb:ad:5c:4a:a6:3e:8b:9e: |
---|
169 | 4f:e4:e2:eb:e4:7f. Are you sure you want to continue connecting |
---|
170 | (yes/no)? |
---|
171 | |
---|
172 | Escriba "yes" y presione <ENTER> para continuar ... |
---|
173 | |
---|
174 | Ahora deberá ver en mensaje de entrar la contraseña. Escriba la |
---|
175 | contraseña "cisco" y presione <ENTER>: |
---|
176 | |
---|
177 | Password: <CONTRASEÃA> |
---|
178 | |
---|
179 | Si todo funciona como debe ser, usted entrará a la lÃnea de comandos |
---|
180 | del enrutador: |
---|
181 | |
---|
182 | rtrN> |
---|
183 | |
---|
184 | Si todo funcionó, podemos desconectar las sesión inicial que tenÃamos |
---|
185 | vÃa "telnet" (debemos mantener abierta la sesión que usa SSH): |
---|
186 | |
---|
187 | rtrN# exit |
---|
188 | |
---|
189 | Para ejecutar comandos privilegiados en la sesión que tenemos vÃa SSH, |
---|
190 | debemos habilitar el nivel de acceso privilegiado: |
---|
191 | |
---|
192 | rtrN> enable |
---|
193 | Password: <CONTRASEÃA> |
---|
194 | rtrN# |
---|
195 | |
---|
196 | Ahora vamos a revisar la configuración actual del enrutador: |
---|
197 | |
---|
198 | rtrN# show running (sh run) |
---|
199 | |
---|
200 | Presione la barra espaciadora para continuar. Observe que algunas de las |
---|
201 | entradas que usted habÃa configurado antes estén en la configuración: |
---|
202 | |
---|
203 | enable secret 5 $1$p4/E$PnPk6VaF8QoZMhJx56oXs. |
---|
204 | . |
---|
205 | . |
---|
206 | . |
---|
207 | username cisco secret 5 $1$uNg1$M1yscHhYs..upaPP4p8gX1 |
---|
208 | . |
---|
209 | . |
---|
210 | . |
---|
211 | line vty 0 4 |
---|
212 | exec-timeout 0 0 |
---|
213 | transport input ssh |
---|
214 | |
---|
215 | Podrá observar que las contraseñas para el nivel privilegiado y para el |
---|
216 | usuario "cisco" han sido encriptadas. Eso es lo que queremos. |
---|
217 | |
---|
218 | Para terminar este ejercicio, solo necesitamos desconectarnos del |
---|
219 | enrutador: |
---|
220 | |
---|
221 | rtrN# exit |
---|
222 | |
---|
223 | Mas Notas: |
---|
224 | --------- |
---|
225 | |
---|
226 | * Si luego de hacer los cambios de contraseñas y de limitar el |
---|
227 | acceso a solo vÃa SSH usted no puede conectarse a su enrutador, |
---|
228 | comuniquelo a uno de los instructores para que puedan |
---|
229 | restaurar a su estado inicial la configuración del enrutador. |
---|
230 | * Por favor, asegurese de que solo una persona por grupo esté |
---|
231 | ejecuntando los comandos para este ejercicio, y que lo esté |
---|
232 | haciendo en el enrutador adecuado para su grupo. Si varias |
---|
233 | personas intentan modificar la configuración al mismo tiempo o si |
---|
234 | usted no está conectado al enrutador que debe, es muy posible que |
---|
235 | terminemos con problemas de configuración. |
---|
236 | * Durante el resto de la semana estaremos configurando varios |
---|
237 | servicios en el enrutador de su grupo, tales como, SNMP, Netflow y |
---|
238 | otros. De ahora en adelante usted puede utilizar SSH directamente |
---|
239 | desde su laptop o estación de trabajo. |
---|