Introducción

Metas

• Aprenda los comandos basicos de IOS necesario para habilitar SSH y NTP en su enrutador Cisco

Notas

• Los comandos precedidos por el signo de pesos "$", deben ser ejecutados como un usuario general - y no como superusuario (root).
• Los comandos precedidos por el signo de número "#", deben ser ejecutados por el superusuario (root).
• Los comandos precedidos por lineas de comando más específicas (e.g. "rtrX>" or "mysql>") deben ser ejecutados en equipos remotos, dentro de otras aplicaciones.
• Si la línea de comandos termina con una barra invertida "", quiere decir que el comando continua en la próxima línea y todas líneas deben ser tratadas como un comando de sola línea.
• Referencias a "N", representan su número de grupo.

Ejercicios - Parte I: Configuración de SSH

Trabajando en grupos

Para este ejercicio estarán trabajando en grupos de trabajo. Cada grupo debe asignar a una persona para que ejecute los comandos. Puede haber hasta cuatro (4) personas por grupo. Por ejemplo, los miembros del Grupo Uno (1) serán los participantes utilizando las máquinas pc1-pc4, Grupo Dos (2) tiene a los participantes que utilizan pc4-pc8, Grupo Tres (3) será formado por los participantes que utilizarán pc9-pc12, etc.

Si no está seguro de a que grupo usted pertenece, por favor referirse a la sección "Diagrama de Topologia" que está en la página wiki del taller (http://noc.ws.nsrc.org/) y seleccionando cualquiera de los dos diagramas en esa sección.

Conectandose al enrutador

Conectese a una de sus PCs e instale "Telnet":

$ sudo apt-get install telnet

Obviamente, este paso no es necesario si su PC ya tiene instalada la aplicación de Telnet.

Ahora conectese a su enrutador:

$ telnet 10.10.N.254

username: cisco
password: cisco

Para visualizar información sobre su enrutador:

rtrN>enable             
Password:                                 (password por defecto es "cisco")
rtrN#show run                          (utlize la barra espaciadora para continuar)
rtrN#show int FastEthernet0/0 (para ver el estado de la interfaz FastEthernet0/0)
rtrN#show ?                              (presenta todas las opciones para el comando)
rtrN#exit                                  (desconectarse del enrutador)
rtrN>                                       (apreta "ctrl-]" para salir de telnet)

Configure su enrutador para solo utilizar SSH

Los pasos en este ejercicio servirán para:

• Crear una clave de SSH para su enrutador
• Crear una contraseña de acceso encriptada para el usuario "cisco"
• Crear y encriptar la contraseña del nivel privilegiado (cisco)
• Deshabilitar el acceso via telnet (sin encription) para su enrutador
• Habilitar el acceso via SSH (version 2) para el enrutador

Deberá trabajar en grupos de hasta cuatro (4) personas. Comuniquese con los miembros de su grupo y asigne a una persona para entrar los comandos en el enrutador. Para comenzar, deberá conectarse a una de las PCs virtuales que son utilizadoas por su grupo. Desde esa PC, deberá conectarse a su enrutador utlizando el comando "telnet":

$ telnet rtrN.ws.nsrc.org   (o "telnet 10.10.N.254")

username: cisco
password: cisco

Y, ahora:

rtrN> enable                        (en)
password: cisco
rtrN# configure terminal            (conf t)
rtrN(config)# aaa new-model
rtrN(config)# ip domain-name ws.nsrc.org
rtrN(config)# crypto key generate rsa

How many bits in the modulus [512]: 2048

Deberá esperar mientras la clave es generada. Despues de terminar, usted podrá definir nuevas contraseñas y estás serán encriptadas. Para comenzar, vamos a remover temporalmente el usuario "cisco" y recrearlo de nuevo:

rtrN(config)# no username cisco
rtrN(config)# username cisco secret 0 <CONTRASEÑA>

Usa la CONTRASEÑA dada por su instructor.

Ahora la nueva contraseña para el usuario "cisco" está encriptada. El próximo paso es el encriptar la contraseña del nivel privilegiado:

rtrN(config)# enable secret 0 <CONTRASEÑA>

Ahora vamos a configurar el enrutador para que solo acepte conexiones de SSH para las cinco (5) terminales que hemos definido (vty0-vty4):

rtrN(config)# line vty 0 4
rtrN(config-line)# transport input ssh
rtrN(config-line)# exit

El comando "exit" anterior nos saca del nivel de configuración de linea y nos pone en el modo de configuración general. Ahora vamos a decirle al enrutador que registre eventos relacionados con SSH y que solo acepte conexiones vía SSH versión 2:

rtrN(config)# ip ssh logging events
rtrN(config)# ip ssh version 2

Ahora que hemos terminado, podemos salir del modo de configuración:

rtrN(config)# exit

Como siempre, queremos guardar la configuración en la memoria permanente del enrutador:

rtrN# write memory              (wr mem)

Y eso es todo.

Si todo está funcionando correctamente, ya no podrán conectarse a los enrutadores utilizando el comando "telnet". De ahora en adelante, deberán utilizar conexiones vía SSH con el usuario "cisco" y la contraseña . La contraseña del nivel privilegiado tambien será "cisco". Naturalmente, en una configuración real ustedes deberán utilizar contraseñas muchas más seguras.

OJO! OJO! OJO!

Siempre es recomendable que cuando estamos haciendo cambios a la configuración de acceso de un enrutador, mantengamos la sessión original abierta hasta que hayamos confirmado que la nueva configuración funciona como debe ser. Ahora debemos verificar que nuestra configuración funciona.

Usando otro terminal en su computador o el computador de otro miembro de su equipo intenta de concetarse usando telnet:

$ telnet rtrN.ws.nsrc.org

Que pasó? ... Debieron haber visto algo parecido a:

Trying 10.10.N.254...
telnet: Unable to connect to remote host: Connection refused

Ahora vamos a tratar de conectarnos utilizando una sesión con SSH:

$ ssh cisco@rtrN.ws.nsrc.org

Debemos ver algo parecido a:

The authenticity of host 'rtr2.ws.nsrc.org (10.10.2.254)' can't be  
established. RSA key fingerprint is 93:4c:eb:ad:5c:4a:a6:3e:8b:9e:
4f:e4:e2:eb:e4:7f. Are you sure you want to continue connecting 
(yes/no)? 

Escriba "yes" y presione para continuar ...

Ahora deberá ver en mensaje de entrar la contraseña. Escriba la contraseña que usaste por el usuario "cisco" y presione :

Password: <CONTRASEÑA>

Si todo funciona como debe ser, usted entrará a la línea de comandos del enrutador:

rtrN>

Si todo funcionó, podemos desconectar las sesión inicial que teníamos vía "telnet" (debemos mantener abierta la sesión que usa SSH):

rtrN# exit

Para ejecutar comandos privilegiados en la sesión que tenemos vía SSH, debemos habilitar el nivel de acceso privilegiado:

rtrN> enable
Password: <CONTRASEÑA>
rtrN#

Ahora vamos a revisar la configuración actual del enrutador:

rtrN# show running                  (sh run)

Presione la barra espaciadora para continuar. Observe que algunas de las entradas que usted había configurado antes estén en la configuración:

    enable secret 4 KQns6LHmkpAtOlbO45ntmaecJXLJUBr9MGfoT9YZuoY
    .
    .
    .
    username cisco secret 4 KQns6LHmkpAtOlbO45ntmaecJXLJUBr9MGfoT9YZuoY
    .
    .
    .
    line vty 0 4
    exec-timeout 0 0
    transport input ssh

Podrá observar que las contraseñas para el nivel privilegiado y para el usuario "cisco" han sido encriptadas y son las mismas (revisa los hashes). Eso es lo que queremos por el clase. En la vida real, tal vez, usaría un clave de "enable" diferente.

Para terminar este ejercicio, solo necesitamos desconectarnos del enrutador:

rtrN# exit

Notas

1. Si luego de hacer los cambios de contraseñas y de limitar el acceso a solo vía SSH usted no puede conectarse a su enrutador, comuniquelo a uno de los instructores para que puedan restaurar a su estado inicial la configuración del enrutador.
2. Por favor, asegurese de que solo una persona por grupo esté ejecuntando los comandos para este ejercicio, y que lo esté haciendo en el enrutador adecuado para su grupo. Si varias personas intentan modificar la configuración al mismo tiempo o si usted no está conectado al enrutador que debe, es muy posible que terminemos con problemas de configuración.
3. Durante el resto de la semana estaremos configurando varios servicios en el enrutador de su grupo, tales como, SNMP, Netflow y otros. De ahora en adelante usted puede utilizar SSH directamente desde su laptop o estación de trabajo.

Ejercicios - Parte 2: Configuración de NTP

Configurar NTP y Zona Horaria

Tal vez pueden eligir otra persona en su grupo para hacer los siguientes pasos. Primero conectarse a su enrutador:

$ ssh cisco@rtrN.ws.nsrc.org

Y, ahora habilitamos el protocolo de internet para sincronizar los relojes o el Network Time Protocol. Haz los siguientes pasos:

rtrN> enable                            (en)
Password:
rtrN# configure terminal          (conf t)
rtrN(config)# ntp server 104.131.53.252
rtrN(config)# ntp server 129.6.15.28
rtrN(config)# no clock timezone
rtrN(config)# exit
rtrN# write memory                 (wr mem)

Has apuntado su enrutador a los servidores de NTP 104.131.53.252 (pool.ntp.org) y 129.6.15.28 (time-a.nist.gov) y has especificado que quiere usar la hora de UTC (igual a la hora de GMT) por esta enrutador.

Para verificar todo puede ver el estatus de NTP, las asociaciones de servidores y la hora actual en su enrutador:

rtrN# show ntp status             (sh ntp stat)

Verás algo así:

Clock is synchronized, stratum 3, reference is 104.131.53.252 nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**24 reference time is D9ED5DA0.A556ADCA (06:24:32.645 UTC Wed Nov 11 2015) clock offset is -6.3273 msec, root delay is 87.16 msec root dispersion is 66.43 msec, peer dispersion is 1.93 msec loopfilter state is 'CTRL' (Normal Controlled Loop), drift is -0.000000034 s/s system poll interval is 128, last update was 247 sec ago.

rtrN# show ntp associations   (sh ntp assoc)

 address         ref clock       st   when   poll reach  delay  offset   disp
 +~129.6.15.28     .ACTS.           1     80    128    17 71.979 -11.622  2.311
 *~104.131.53.252  209.51.161.238   2     47    128    37 79.993  -6.327  3.637
  * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

Y, finalmente la hora en su enrutador:

rtrN# show clock (sh clo)

Algo así:

06:30:37.461 UTC Wed Nov 11 2015

Ahora puedes salir de su enrutador:

rtrN# exit