Management/Administratio n M. Sc. Juan Carlos Olivares Rojas
juancarlosolivares@hotmail.com jcolivar@itmorelia.edu.mx http://antares.itmorelia.edu.mx/~jcolivar/
Disclaimer
Some material in this presentation has been obtained from various sources, each of which has intellectual property, so in this presentation will only have some rights reserved. These slides are free, so you can add, modify, and delete slides (including this one) and slide content to suit your needs. They obviously represent a lot of work on my part. In return for use, I only ask the following: if you use these slides (e.g., in a class) in substantially unaltered form, that you mention their source.
• Concepts • Basic Commands • Switches • Routers
Outline
IOS
• Internetworking Operating System es el sistema operativo que utilizan los equipos cisco que son administrables. • Se guarda en memoria Flash ROM para que sea actualizable. • Al encender un dispositivo con IOS, el firmware de la ROM realiza un POST(PowerOn-Self-Test) hacia todo el hardware conectado al dispositivo.
IOS
• Después se copia el programa de arranque (boostrap) de la memoria ROM a la RAM y lo ejecuta. • El bootstrap carga a la memoria RAM la imagen del IOS y este último obtiene el control del hardware. • Si se tiene un archivo de configuración en la NVRAM (startup-config) y la carga directamente a la memoria RAM (runnig-
IOS
• La imagen del IOS generalmente se encuentra comprimida por lo que al arrancar es necesario descomprimirla. • Si todo ha salido correctamente se muestra el nombre del dispositivo (de manera predeterminada: switch, router) y se muestra un prompt del sistema: > • En caso de falla se entra en un modo de recuperación de fallas.
IOS
• La forma de acceder al IOS del dispositivo puede ser de diversas formas siendo la más típica y segura el acceso a través del cable de consola (DB9 – RJ45). Para este tipo de conexiones seriales se necesita de un software de terminal, típicamente HyperTerminal o minicom. • Las otras formas de acceso son a través de línea auxiliar (modem), via terminal remota (telnet/ssh) y en algunos vía Web.
Acceso al IOS
• Al acceder vía consola es necesario tener un puerto serial típicamente COM de 9 0 25 pines donde irá el cable de consola (DB-9 a RJ45). Se deberá tener un software de comunicaciónde Terminal como HyperTerminal. • Salvo que se indique lo contrario la opciones de configuración son: 9600 baudios, 8 bits de datos, sin paridad, un bit de parada y sin control de flujo.
Modos de configuración
• Existen 5 modos de configuración:
1. Modo usuario EXEC 2. Modo usuario privilegiado EXEC PRIV 3. Modo de configuracion global 4. Modos de configuración específicos 5. Modo de Recuperacion (rommon, etc.)
Arranque
• Si no se detecta una configuración de arranque el sistema carga la configuración predeterminada o bien si detecta que se encuentra configurado un cable de consola puede mostrar a los usuarios una asistente de configuración. • La configuración actual que puede surgir del modificar parámetros de configuración, se llama running config y si no se graba se pierden los datos al apagar el equipo.
Arranque
• Al iniciar el sistema se entra en modo EXEC en dicha opción se muestra sólo opción de configuración muy básicas generalmente para mostrar parámetros de configuración o pequeñas utilerías de red. • Al iniciar el sistema se muestra el nombre del equipo generalmente switch o router (si es que no se ha cambiado) y el prompt $ para indicar que se es un usuario no privilegiado.
Modos de Arranque
• Al introducir al comando enable.se cambia al modo EXEC PRIVilegiado. En ocasiones se pedirá contraseña si es que la tiene. • Para estabelecer una contraseña se deberá ejecutar el comando enable password seguido de la contraseña. La contraseña generada se guarda en texto plano. Si se desea cifrarla se deberá ejecutar el comando enable secret seguido de la contraseña.
Modo de arranque
• Al cambiar a modo privilegiado el prompt se modifica a #. En este comando se pueden realizar acciones más específicas sobre el dispositivo pero no se puede hacer modificaciones. • Con el comando hostname en modo privilegiado se puede cambiar el nombre del equipo.
Modo de arranque
• Para acceder al modo global de configuración se utiliza el comando configure terminal. • En muchas ocasiones se puede abreviar comandos, así el comando anterior se puede expresar como config term. • Dependiendo del tipo de dispositivos se pueden tener elementos diferentes.
Modo EXEC
• Al entrar a este modo se pueden visualizar algunas opciones. • Por ejemplo, si se es u switch y se da el comando abreviado sh mac (show mac-address-table) nos mostrará la tabla de conmutación del dispositivo. • El comando show interfaces muestra todas las interfaces de red, mientras que show ip route mostraría la tabla de encaminamiento de un
Modos de acceso
• El comando ? Permite conocer la sintaxis sobre un comando en particular o bien sobre los comandos que se pueden ejecutar en el contexto dado. • Con las flechas de arriba y abajo se pueden visualizar los últimos comandos introducidos. • El comando show history permite mostrar la lista de los últimos comandos.
Configuraciones
• Para configurar una dirección estática en un switch se aplica: • (config)#mac-address-table static dirMAC interface FastEthernet idEther vlan vlannombre • El comando no sirve para quitar el efecto de una configuración. • El comando do permite ejecutar un comando EXEC en el modo EXEC-PRIV
CDP
• Se recomienda habilitar el Cisco Discovery Protocol para un manejo más eficiente de los dispositivos de red de cisco. • Se sabe si está habilitado si en el contexto de EXEC se ejecuta show CDP. • Para habilitarlo en modo de configuración global, se introduce cdp run.
Seguridad
• La contraseña de enable (password o secret) sólo permite validar la entrada al modo EXEC Privilegiado. • Se recomienda bloquear todos los accesos al dispositivos entre los más conocidos: consola, auxiliar, vty (terminal virtual) entre otros. • El comando servirce password-encryption permite cifrar las contraseñas que estuievesen en texto plano.
Seguridad
• Para configurar el acceso vía consola: • (config)#line console 0 • (config-line)#password contraseña • (config-line)#login • • • •
Para configurar el acceso remoto: (config)#line vty 0 4 (config-line)#password contraseña (config-line)#login
Seguridad
• Para la configuración del puerto auxiliar: • (config)#line aux 0 • (config-line)#password contraseña • (config-line)#login • En algunas ocasiones se puede habilitar el acceso via Web: • (config)#ip http server • (config)#ip http por
Seguridad
• Se recomienda crear usuarios particularizados: • (config)#username jcolivares password unid • Al crear un usuario se deberá validar en la interface adecuada: • (config)#line vty 0 4 • (config-line)#login local • ….
Administración
• Una de las primeras cosas que se sugiere se realice es cambiar el motd (Message Of The Day) para que muestre el logo de la empresa esto se hace: • (config)#banner bienvenida#
motd
#Mensaje
de
• Se recomienda personalizar el nombre de los dispositivos cercanos: • (config)#ip host Mexico 192.168.1.2 192.168.2.2
Administración
• De esta forma, al hacer un ping Mexico desde el dispositivo automáticamente hace la resolución de nombres. O incluso utilizando sólo el puro nombre. • El comando #show sessions permite visualizar las sesiones activas al dispositivo.
Sistema de Archivos • El sistema de archivos depende del tipo de dispositivo. • bootflash: memoria donde se guarda la imagen de arranque del dispositivo • flash: memoria configuraciones
donde
se
guardan
las
• nvram: memoria donde se guardan las tablas
Sistema de Archivos • system: lugar donde se guardan archivos de sistema • tftp: utilizado para la copia de archivos remotos. Utilizado para respaldar información. • Los comandos básicos de manipulación de archivos son: show (con algún tipo de sistema de archivo como flash), copy, delete (usuario), erase (sistema) y reload para recargar
Sistema de Archivos
• Ejemplos:
• show flash • delete flash:vlan.dat • erase startup-config • Existen algunos tipos de archivos especializados: startup-config (para indicar la configuración de arranque) y runningconfig (para la configuración actual)
Sistema de Archivos
• Para que los cambios realizados se guarden en el equipo se debe ejcutar el comando: • #copy running-config startup-config • Si se desea hacer una copia de respaldo en un servidor remoto: • #copy running-config tftp
Interfaces
• Los dispositivos de red funcionan en base a configuraciones de sus interfaces. Dependiendo del tipo de interfaz es su configuración. • A continuación se muestra un ejemplo tipo de una interfaz ethernet: • (config)#interface FastEthernet0/1 • (config-if)#duplex full
Interfaces
• (config-if)#speed 100
• (config-if)#description Contabilidad • (config-if)#ip address 192.168.1.1 255.255.255.0 • Para que los cambios surtan efecto se tiene que aplicar: • (config-if)no shutdown
Recuperación de Contraseñas
• La recuperación de contraseñas es muy dependiente del tipo de dispositivo. En general se siguen los siguientes pasos: • Presionar un botón o combinación de teclas por un tiempo determinado. • Borrar todas las configuraciones • Entrar al sistema y reestablecer contraseña • Recuperación de configuración a través de un respaldo.
Redes WAN
• En la actualidad las redes de área extensa ya no se manejan en grande distancias como en antaño. • El concepto de una red WAN radica en el hecho de enlazar una o más redes autónomas. • Las redes WAN generalmente recaen en las redes de enrutadores y de provedores de servicios de telecomunicaciones.
Algoritmos de Ruteo
• El encaminamiento de paquetes sólo se encarga de determinar la ruta a la cual debe dirigirse un paquete. El envío o reenvío del mismo es otro proceso que recibe el nombre de forwarding. • La forma más básica de ruteo es cuando se tienen dos segmentos de red que se unen a un ruteador. La configuración es automática.
Ruteo Estático
• Cuando se tienen topologías de redes WAN más elaboradas la forma aparentemente más sencilla de realizar el encaminamiento es a través de definir los enlaces previamente de forma manual. • El único inconveniente de esta técnica, radica cuando se ha caído un enlace ya que no existe otra forma de acceder a las otras redes.
Ruteo Estático
• Para poder agregar rutas estáticas se utiliza el comando: • (config)#ip route red máscara siguientesalto • En general se deberán definir para cada interfaz del ruteador la red a la cual puede llegar.
Ruteo Estático
• Tipicamente los ruteadores se concectan a través de puertos seriales. Generamente en un extremo se coloca un cable DCE y en el otro extremo un cable DTE. • Las interfaces seriales permiten liberar puertos Ethernet o de otra tecnología para el manejo de redes pequeñas. • Es importante que dentro de las redes WAN se maneje el mismo tipo de direcciones de RED.
Actividad
• Modificar la red anterior para que cada red local tenga su propio ruteador, manejar las direcciones de ruteo de forma estática. • ¿Qué consideraciones deben de tomarse sobre las interfaces del ruteador? • Los comandos: #show ip protocols y #show ip route; nos permiten ver los protocolos de ruteo así como la tabla de ruteo existente.
Actividad
• Definir ahora una topología de tres redes cada una con su ruteador donde la red A se comunica con B y B se comunica con C. ¿Qué sucede si se pierde el enlace entre A y B? ¿A se puede comunicar con C? ¿B se puede comunicar con C? • Ahora implemente un esquema donde además A se enlaza directamente a C, ¿qué ruta se utiliza para comunicar A con C?, ¿si se pierde el enlace A con B, se puede comunicar con C?
VLAN
• Las Virtual LAN son una mejor forma de segmentar redes locales. Basan su funcionamiento en agrupar varios puertos de red para que estén sobre el mismo segmento de red mejorando el desempeño de la red. • Para crear una VLAN se siguen los siguientes pasos: • Para entral al modo de configuración: #vlan database
VLAN
• (vlan)#vlan id name nombre • (vlan)#exit • Para visualizar el catálogo asignadas: #show vlan brief
de
VLAN
• Una vez configurada una VLANse le puede asignar una dirección de red para que pueda ser administrada de forma remota:
VLAN
• (config)#interface vlan 2 • (config-if)#ip address 255.255.255.0 • (config-if)#no shutdown
192.168.1.100
• Ahora es necesario asignar a cada puerto del switch su VLAN (por default todos los puertos pertenecen a la VLAN1): • (config)#interface FastEthernet0/5
VLAN
• (config-if)#switchport access vlan 2 • (config-if)#no shutdown • como esto puede ser tedioso para un número grande de puertos se puede simplificar utilizando rangos de interfaces: • (config)#interface FastEthernet 0/1 -4 • (config-if)#switchport mode access • (config-if)#switchport access vlan 2
VLAN
• El modo access solo permite el acceso individual a los puertos de un switch. El modo trunk permite comunicar varios puertos en diferentes switches compartiendo la misma unidad administrativa: • (config)#interface fastethernet0/1 • (config-if)#switchport mode trunk • (config-if)#end
VLAN
• un enlace trunk pertenece a todas las vlans. Se necesita de alguna forma para limitarlos: • (config)#interface fastethernet0/1 • (config-if)#switchport trunk allowed vlan remove 2 • Para visualizar las interfaces con enlace VTP se ejecuta: #show interfaces trunk
VLAN
• Para la configuración de VTP en el switch se pueden ejecutar los comandos: • (config)#vtp mode server • (config)#vtp domain pruebas • #show vtp status • La multiasignación permite que un puerto pertenezca a dos o más VLANs.
VLAN
• Sólo se puede realizar en equipos avanzados como las series 2900XL y 3500XL • • • •
(config)#interface fastethernet0/1 (config-if)#switchport mode multi (config-if)#switchport multi vlan 1,2,3 (config-if)#end
Actividad
• Realizar dos VLAN dentro de una LAN donde se tienen 7 equipos: tres para la VLAN de contabilidad y 4 para la de administración (una de ellas un servidor Web). • ¿Las máquinas de contabilidad pueden ver el servidor Web de administración? • Si se les coloca direcciones en la misma subred ¿se pueden ver?
Actividad
• Tanto el servidor como una máquina de administración se encuentran en otro cuarto por lo que necesitan conectarse a otro switch, realiza las modificaciones pertinentes para que se siga manteniendo la VLAN de administración de forma adecuada • Sino se tuviera switches con VLAN ¿cómo se realizaría la segmentación de la red?
Actividad
• ¿Qué cambios se tienen que realizar para que se puedan comunicar las máquinas de la VLAN de contabilidad con las de administración?
Ruteo Dinámico
• En este tipo de encaminamiento las rutas se aprenden en colaboración con otros nodos. Por lo tanto son automáticas y se adaptan a nuevas topologías. Su única desventaja radica en que consumen muchos recursos del enrutador. • El ruteo dinámico basa su funcionamiento a través de métricas como: ancho de banda, retardo, carga, confiabilidad, número de saltos (distancia), reloj, costo (valor asignado por el administrador).
Ruteo DinĂĄmico
• Existen muchos algoritmos de ruteo, cuando los enrutadores manejan el mismo protocolo las rutas pueden actualizarse de mejor forma. • Cuando son protocolos diferentes, deben de tener compatibilidad al igual que el manejar diferentes fabricantes de dispositivos. En algunas ocasiones, el manejo de un algoritmo u otro es irrelevante. Para redes grandes no lo es.
Ruteo Dinámico
• Un Sistema Autónomo (AS) es una red o conjunto de redes bajo una misma administración. El ID de un AS es manejado por IANA (entre 1-65535) • Existen dos clasificaciones de protocolo de ruteo dinámico: IGP y EGP • Los protocolos de IGP (Internal Gateway Protocol) enrutan datos dentro de un sistema autónomo: RIP, IGRP, EIGRP, OSPF e IS-IS.
Ruteo Dinámico
• Los protocolos de enrutamiento de pasarela exterior (EGP) enrutan datos entre diferentes sistemas autónomos y son: BGP. • El primer protocolo de ruteo y quizás el más sencillo de todos es RIP (Routing Information Protocol), dichos protocolo se basa en el funcionamiento de vector-distancia y maneja hasta 15 saltos.
RIP
• La versión más reciente es la 2. RIP no permite ciclos. • Las tablas se actualizan en intervalos de tiempo determinando evaluando las mejores rutas en base a la distancia. • La configuración es muy sencilla: sólo se listan las redes directamente conectadas al enrutador.
RIP
• En general, los algoritmos de ruteo toman como referencia la clase de la dirección. Para manejar ruteo sin clase deberá configurarse la opción ip classless para que haga una comprobación bit por bit de la dirección e ip subnet-zero para no distribuir la máscara de red. • El manejo de ruteo sin clase hace más fácil la transmisión de paquetes en la red a través de mecanismos de segmentación como NAT, PAT, CIDR entre otros.
RIP
• Router(config)#router rip • Router(config-router)#version 2 • Router(config-router)#network dirección • Depuración de RIPv2: • Router#debug ip rip • Router#no debug ip rip • Las rutas se siguen viendo con el comando show ip route, nótese que se coloca una R
• • • • • • •
Visualización de Rutas
show ip route connected show ip route address show ip route static show ip route rip show ip route igrp show ip protocols show ip rip database
• • • •
RIP
Para el manejo de comunicación segura: Router(config)#key chain Llavero Router(config-keychain)#key 1 Router(config-keychain-key)#key-string clave • Router(config-keychain-key)#interface fastethernet 0/0 • Router(config-if)#ip rip authentication keychain llavero • Router(config-if)#ip rip authentication mode md5
Actividad
• Manejar la misma topologĂa del ejemplo anterior de ruteo estĂĄtico utilizando dos redes, luego tres, luego con redundancia de enlaces, contestando las mismas preguntas.
DHCP
• Los equipos activos como ruteadores y switches permiten la configuración de direcciones dinámicas directamente desde el dispositivo, aunque generalmente están deshabilitados. • ip dhcp pool • ip dhcp excluded-address default-router servidor-netbios • ip dhcp excluded-address no service DHCP
IGRP
• Es una propuesta de Cisco desarrollada a inicios de 1990 para sustituir a RIP. Sinceramente no ha tenido mucho éxito a pesar de que es simple y tiene más mejoras que RIP. • Se determinan 5 métricas para el cálculo de las rutas: ancho de banda, confiabilidad, retardo, carga y MTU (unidad máxima de transferencia).
IGRP
• De manera predeterminada usa el ancho de banda y el retardo. • La distancia administrativa es un valor numérico que el administrador coloca para indicar la confiabilidad de una ruta. Entre más pequeño sea, mejor la ruta. • Todos los protocolos tienen distancia administrativa, por ejemplo RIP es 120 e IGRP es 100.
IGRP
• Router(config)#router igrp 101 • Router(config-router)#network 192.168.1.0 • Router(config-router)#network 192.168.2.0 • Como se puede notar la configuración es igual de sencilla que RIP.
EIGRP
• Router#show ip eigrp topology dirIP • router(config)#router eigrp id-sistemaautonomo • router(config-router)#network id-red • router(config-if)#bandwith kbps • router(config-router)#eigrp log-neighborchanges • router(config-router)#no auto-sumary
EIGRP
โ ข router(config-if)#ip summary-address eigrp num-sistema-autonomo dirIP mรกscara distadministrativa
OSPF
• Open Shortest Path First, es uno de los mejores protocolos de ruteo. Es un protocolo abierto que mantiene una base de datos con las topologías de la red. • Siempre encuentra la ruta más corta. Generalmente maneja la inundación para conocer a sus vecinos. Se envían paquete tipo “hello”.
OSPF
• Su arquitectura consiste en determinar un ruteador designado (DR) y un ruteador designado de respaldo (BDR) que son la base para la actualización de tablas de ruteo. • Es un protocolo de enlace de estado. Por lo que está atento a las métricas del enlace. Se manejan muchos tipos de paquetes para lograr la actualización de las tablas.
OSPF
• Como la actualización puede ser muy pesada, generalmente este algoritmo divide su funcionamiento en áreas. Las áreas no deben de exceder de más de 50 ruteadores. • Los ruteadores se pueden clasificar en: • Internos: cuando todas sus interfaces están en la misma área. • Backbone router: tiene al menos una interfaz en el área 0.
OSPF
• ABR (Area Border Router): conectadas a distintas áreas.
interfaces
• ASBR (Auntonomous System Boundary Router): tienen al menos una interfaz conectada a la red externa. • Comandos Básicos OSPF • Router(config)#router ospf process-id • Router(config-router)#network dirreccion
OSPF
• Establecimiento de prioridad • Router(config-if)#ip ospf priority num(0255) • Router#show ip ospf interface serial1 • • • •
Métrica de costo Router(config)#interface serial 0/0 Router(config-if)#bandwidth 56 Router(config-if)#ip ospf cost num(1-65535)
OSPF
• Autenticación OSPF • Router(config-if)#ip ospf authenticationkey password • Router(config-router)#area area-number authentication • Temporizadores de Hello • Router(config-if)#ip ospf segundos • Router(config-if)#ip ospf segundos
hello-interval dead-interval
OSPF
• Router(config)#router ospf id-proceso • Router(config-router)#network mascara-comodin area id-area
dirIP
• Router(config-router)#area id-area range direccion mascara • Router(config-router)#summary-address direccion mascara • show ip ospf border-routers
OSPF
• show ip ospf process-id • show ip ospf database
• Router(config-router)#area id-area viruallink router-id • Router(config)#router ospf 1 • Router(config-router)#network 0.0.0.255 area 0 • Router(config-router)#network
192.168.1.0 192.168.64.0
IS-IS
• Intermediate System to Intermerdiate System se ha vuelto un protocolo de ruteo bastanate utilizado ya que lo manejan entre sí muchos ISP. • Está estandarzado bajo la norma ISO 10589. Soporta enrutamiento jerárquico, sin clase, inundación y convergencia rápida, alta escabilidad, etiquetamiento de paquetes, así como Ingeniería de tráfico.
IS-IS
โ ข Los protocolos OSI definen una arquitectura de ruteo con 4 elementos: host, รกrea, backbone y un dominio.
BGP
• Router(config)#router bgp 100 • Router(config-router)#no synchronization • Router(config-router)#neigbor 192.168.16 remote-as 300 • Router(config-router)#network 201.0.0.0
ACL
• Otra de las características de los switches son las ACLs (listas de control de acceso) que restringen el acceso a direcciones IP y puertos. • Existen dos tipos de ACL: estándar y extendidas, donde las estándar sólo permiten filtrar por direcciones origen • Para el manejo de ACLs y algunos otros comandos se utiliza el concepto de comodin "wildcard”.
ACL
• Los comodines son una máscara especial donde un 0 representa que un bit se evalúa y un 1 que no se evalúa. • Como se puede notar están en el orden inverso de las máscaras de red. Así por ejemplo, si se tiene la mascara de subred:255.255.240.0 el comodín quedaría 0.0.15.255. La forma más fácil es restar 255.
ACL
• Existen dos máscaras comodines: 0.0.0.0 y 255.255.255.25 5 esta se puede sustituir por any • (config)#access-list 2 0.0.0.0 255.255.255.255 • es equivalente a: • (config)#access-list 2 permit any • Las listas de control de acceso dependen del protocolo en nuestro caso IP.
ACL
• Los rangos son para las ACL estándar:1-99 y de 1300-1999 y las extendidas de 100-199 y de 20002699 • Otra abreviación de máscaras en nuestro caso host que sirve para cuando se desea exactamente una dirección IP • (config)#access-list 2 deny 171.69.198.102 0.0.0.0 • es equivalente a:
ACL
• (config)#access-list 2 deny host 171.69.198.102 • (config)#access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet • (config)#access-list 102 permit tcp any any • Es muy útil comentar las listas de control de acceso esto se hace a través de remark.
ACL
• (config)#access-list 2 remark Negar el trafico a la máquina de pp • (config)#access-list 2 deny host 171.69.198.102 • (config)#access-list 2 remark permitter el acceso a los demás nodos • (config)#access-list 2 permit any • Hasta este momento, se han definido las listas de acceso pero no se han activiado.
ACL
• Para poder activarlas se deberá indicar el puerto donde aplican: • (config)#interface fastethernet0/1 • (config-if)#ip access-group 2 in • El parametro in indica la entrada de tráfico de la interfaz, el parámtero out la salida. • Se soportan hasta 100 ACE (entradas de las
Actividad
โ ข Realizar el control de una red para que una mรกquina pueda salir hacia todos los servicios. Una mรกquina no pueda salir a nada. Dos mรกquinas puedan salir a Web pero no a lo demรกs y otra mรกquina tenga acceso a todo menos a conexiones de Telnet y SSH.
多Preguntas?