Para este ejercicio estarán trabajando en grupos de trabajo. Cada grupo debe asignar a una persona para que ejecute los comandos. Puede haber hasta cuatro (4) personas por grupo. Por ejemplo, los miembros del Grupo Uno (1) serán los participantes utilizando las máquinas pc1-pc4, Grupo Dos (2) tiene a los participantes que utilizan pc4-pc8, Grupo Tres (3) será formado por los participantes que utilizarán pc9-pc12, etc.
Si no está seguro de a que grupo usted pertenece, por favor referirse a la sección "Diagrama de Topologia" que está en la página wiki del taller (http://noc.ws.nsrc.org/) y seleccionando cualquiera de los dos diagramas en esa sección.
Conectese a una de sus PCs e instale "Telnet":
$ sudo apt-get install telnet
Obviamente, este paso no es necesario si su PC ya tiene instalada la aplicación de Telnet.
Ahora conectese a su enrutador:
$ telnet 10.10.N.254
username: cisco
password: cisco
Para visualizar información sobre su enrutador:
rtrN>enable
Password: (password por defecto es "cisco")
rtrN#show run (utlize la barra espaciadora para continuar)
rtrN#show int FastEthernet0/0 (para ver el estado de la interfaz FastEthernet0/0)
rtrN#show ? (presenta todas las opciones para el comando)
rtrN#exit (desconectarse del enrutador)
rtrN> (apreta "ctrl-]" para salir de telnet)
Los pasos en este ejercicio servirán para:
Deberá trabajar en grupos de hasta cuatro (4) personas. Comuniquese con los miembros de su grupo y asigne a una persona para entrar los comandos en el enrutador. Para comenzar, deberá conectarse a una de las PCs virtuales que son utilizadoas por su grupo. Desde esa PC, deberá conectarse a su enrutador utlizando el comando "telnet":
$ telnet rtrN.ws.nsrc.org (o "telnet 10.10.N.254")
username: cisco
password: cisco
Y, ahora:
rtrN> enable (en)
password: cisco
rtrN# configure terminal (conf t)
rtrN(config)# aaa new-model
rtrN(config)# ip domain-name ws.nsrc.org
rtrN(config)# crypto key generate rsa
How many bits in the modulus [512]: 2048
Deberá esperar mientras la clave es generada. Despues de terminar, usted podrá definir nuevas contraseñas y estás serán encriptadas. Para comenzar, vamos a remover temporalmente el usuario "cisco" y recrearlo de nuevo:
rtrN(config)# no username cisco
rtrN(config)# username cisco secret 0 <CONTRASEÑA>
Usa la CONTRASEÑA dada por su instructor.
Ahora la nueva contraseña para el usuario "cisco" está encriptada. El próximo paso es el encriptar la contraseña del nivel privilegiado:
rtrN(config)# enable secret 0 <CONTRASEÑA>
Ahora vamos a configurar el enrutador para que solo acepte conexiones de SSH para las cinco (5) terminales que hemos definido (vty0-vty4):
rtrN(config)# line vty 0 4
rtrN(config-line)# transport input ssh
rtrN(config-line)# exit
El comando "exit" anterior nos saca del nivel de configuración de linea y nos pone en el modo de configuración general. Ahora vamos a decirle al enrutador que registre eventos relacionados con SSH y que solo acepte conexiones vía SSH versión 2:
rtrN(config)# ip ssh logging events
rtrN(config)# ip ssh version 2
Ahora que hemos terminado, podemos salir del modo de configuración:
rtrN(config)# exit
Como siempre, queremos guardar la configuración en la memoria permanente del enrutador:
rtrN# write memory (wr mem)
Y eso es todo.
Si todo está funcionando correctamente, ya no podrán conectarse a los enrutadores utilizando el comando "telnet". De ahora en adelante, deberán utilizar conexiones vía SSH con el usuario "cisco" y la contraseña
OJO! OJO! OJO!
Siempre es recomendable que cuando estamos haciendo cambios a la configuración de acceso de un enrutador, mantengamos la sessión original abierta hasta que hayamos confirmado que la nueva configuración funciona como debe ser. Ahora debemos verificar que nuestra configuración funciona.
Usando otro terminal en su computador o el computador de otro miembro de su equipo intenta de concetarse usando telnet:
$ telnet rtrN.ws.nsrc.org
Que pasó? ... Debieron haber visto algo parecido a:
Trying 10.10.N.254...
telnet: Unable to connect to remote host: Connection refused
Ahora vamos a tratar de conectarnos utilizando una sesión con SSH:
$ ssh cisco@rtrN.ws.nsrc.org
Debemos ver algo parecido a:
The authenticity of host 'rtr2.ws.nsrc.org (10.10.2.254)' can't be
established. RSA key fingerprint is 93:4c:eb:ad:5c:4a:a6:3e:8b:9e:
4f:e4:e2:eb:e4:7f. Are you sure you want to continue connecting
(yes/no)?
Escriba "yes" y presione
Ahora deberá ver en mensaje de entrar la contraseña. Escriba la contraseña que usaste por el usuario "cisco" y presione
Password: <CONTRASEÑA>
Si todo funciona como debe ser, usted entrará a la línea de comandos del enrutador:
rtrN>
Si todo funcionó, podemos desconectar las sesión inicial que teníamos vía "telnet" (debemos mantener abierta la sesión que usa SSH):
rtrN# exit
Para ejecutar comandos privilegiados en la sesión que tenemos vía SSH, debemos habilitar el nivel de acceso privilegiado:
rtrN> enable
Password: <CONTRASEÑA>
rtrN#
Ahora vamos a revisar la configuración actual del enrutador:
rtrN# show running (sh run)
Presione la barra espaciadora para continuar. Observe que algunas de las entradas que usted había configurado antes estén en la configuración:
enable secret 4 KQns6LHmkpAtOlbO45ntmaecJXLJUBr9MGfoT9YZuoY
.
.
.
username cisco secret 4 KQns6LHmkpAtOlbO45ntmaecJXLJUBr9MGfoT9YZuoY
.
.
.
line vty 0 4
exec-timeout 0 0
transport input ssh
Podrá observar que las contraseñas para el nivel privilegiado y para el usuario "cisco" han sido encriptadas y son las mismas (revisa los hashes). Eso es lo que queremos por el clase. En la vida real, tal vez, usaría un clave de "enable" diferente.
Para terminar este ejercicio, solo necesitamos desconectarnos del enrutador:
rtrN# exit
Tal vez pueden eligir otra persona en su grupo para hacer los siguientes pasos. Primero conectarse a su enrutador:
$ ssh cisco@rtrN.ws.nsrc.org
Y, ahora habilitamos el protocolo de internet para sincronizar los relojes o el Network Time Protocol. Haz los siguientes pasos:
rtrN> enable (en)
Password:
rtrN# configure terminal (conf t)
rtrN(config)# ntp server 104.131.53.252
rtrN(config)# ntp server 129.6.15.28
rtrN(config)# no clock timezone
rtrN(config)# exit
rtrN# write memory (wr mem)
Has apuntado su enrutador a los servidores de NTP 104.131.53.252 (pool.ntp.org) y 129.6.15.28 (time-a.nist.gov) y has especificado que quiere usar la hora de UTC (igual a la hora de GMT) por esta enrutador.
Para verificar todo puede ver el estatus de NTP, las asociaciones de servidores y la hora actual en su enrutador:
rtrN# show ntp status (sh ntp stat)
Verás algo así:
Clock is synchronized, stratum 3, reference is 104.131.53.252 nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**24 reference time is D9ED5DA0.A556ADCA (06:24:32.645 UTC Wed Nov 11 2015) clock offset is -6.3273 msec, root delay is 87.16 msec root dispersion is 66.43 msec, peer dispersion is 1.93 msec loopfilter state is 'CTRL' (Normal Controlled Loop), drift is -0.000000034 s/s system poll interval is 128, last update was 247 sec ago.
rtrN# show ntp associations (sh ntp assoc)
address ref clock st when poll reach delay offset disp
+~129.6.15.28 .ACTS. 1 80 128 17 71.979 -11.622 2.311
*~104.131.53.252 209.51.161.238 2 47 128 37 79.993 -6.327 3.637
* sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured
Y, finalmente la hora en su enrutador:
rtrN# show clock (sh clo)
Algo así:
06:30:37.461 UTC Wed Nov 11 2015
Ahora puedes salir de su enrutador:
rtrN# exit