Libro cisco ios

CONFIGURACIÓN DE UN ROUTER CISCO
Ingresar al modo de configuración
global
configure terminal
Ejemplo:
Router>enable
Router#configure terminal
Router(config)#
Especificar el nombre del dispositivo
Cisco
hostname nombre
Ejemplo:
Router(config)#hostname Router 1
Especificar una contraseña encriptada
para evitar el ingreso no autorizado al
modo EXEC privilegiado
enable secret contraseña
Ejemplo:
Router(config)#enable secret cisco
Especificar una contraseña para evitar
el acceso no autorizado a la consola
password contraseña
login
Ejemplo:
Router(config)#line console 0
Router(config-line)#password class
Router(config-line)#login
Especificar una contraseña para evitar
el acceso no autorizado por Telnet
password contraseña
login
Ejemplo:
Router(config)# line vty 0 4
Router(config-line)# password class
Router(config-line)#login
Router(config)#
Configurar el banner MOTD banner motd
Ejemplo:
Router(config)#banner motd #Prohibido…#
Router(config)#
Configurar interfaz de Router.
La interfaz está APAGADA de manera
predeterminada
Ejemplo 1:Interfaz Ethernet
Ejemplo 2: Interfaz Serie DCE
Ejemplo 1:
Router(config)#interface Fa0/0
Router(config-if)#description descripción
Router(config-if)#ip address address mask
Router(config-if)#no shutdown
Router(config-if)#
Ejemplo 2:
Router(config)#interface serial 0/0/0
Router(config-if)#description descripción
Router(config-if)#ip address address mask
Router(config-if)#clock rate 1200 o (2400, 9600, 19200,
38400, 56000, 64000, 72000, 125000, 148000, 500000,
800000, 1000000, 1300000, 2000000, 4000000)
Router(config-if)#no shutdown
Configurar una interfaz de
loopback
Router(config)#interface loopback número
Router(config-if)#ip address dirección-ip máscara-subred
Ejemplo:
Router(config)#interface loopback 0
Router(config-if)#ip address 10.1.1.1 255.255.255.255
Guardar la configuración en la NVRAM Router# copy running-config startup-config
Mostrar la configuración en ejecución
(la configuración actual almacenada en
la RAM)
Router#show running-config
Mostrar el archivo de configuración de
inicio almacenado en la NVRAM
Router#show startup-config

Mostrar la tabla de enrutamiento que
el IOS está usando
Router#show ip route
Mostar información detallada sobre una
determinada ruta
Ejemplo: para ver info de la ruta
172.16.3.0
Router#show ip route 172.16.3.0
Mostar los parámetros y estadísticas
de la configuración de las interfaces
Router#show interfaces
Mostrar el estado de la interfaz
FastEthernet 0/0
Router#show interfaces fastethernet 0/0
Mostrar el estado de la interfaz
serie 0/0/0
Router#show interfaces serial 0/0/0
Mostrar info abreviada de la
configuración de las interfaces
Router#show ip interface brief
Mostar toda la info pertinente acerca
del funcionamiento de los protocolos
de enrutamiento en el router
Router#show ip protocols
Mostar todas las rutas RIP aprendidas,
se hayan instalado o no en la tabla de
enrutamiento
Router#show ip rip database
Determinar qué parte del cable
(DCE o DTE) está conectada a la
interfaz serie.
Router#show controllers serial 0/0/0
Mostrar parámetros de los paquetes
para el descubrimiento de dispositivos
Cisco directamente conetados
(vecinos)
Router#show cdp
Mostrar info sobre el CDP para todas
las interfaces del router
Router#show cdp interfaces
Mostrar info sobre el CDP para una
interfaz concreta
Router#show cdp interface interfaz (fa0/0, s0/0/0)
Mostrar los vecinos CDP Router#show cdp neighbors
Mostrar info detallada de los vecinos
CDP (p. Ej. Dirección IP)
Router# show cdp neighbors detail
o
Router#show cdp entry *
Mostrar info detallada de un vecino
CDP en concreto
Router#show cdp entry ID (R2, S3,…)
Deshabilitar el CDP del router Router(config)#no cdp run
Habilitar el CDP del Router Router(config)#cdp run
Deshabilitar el CDP de una interfaz Router(config-if)#no cdp enable
Habilitar el CDP de una interfaz Router(config-if)#cdp enable
Mantener los mensajes no solicitados
del IOS, separados de los comandos
Router(config)#line console 0
Router(config-line)#logging synchronous
Mostar información continua en tiempo
real
Router#debug *
Activar la visualización de los cambios
que el router efectúa en la tabla de
enrutamiento
Router#debug ip routing
Desactivar la visualización de los
cambios que el router efectúa en la
tabla de enrutamiento
Router#undebug ip routing
o
Router#undebug all

Eliminar una red directamente conectada
viendo cómo el router actualiza la tabla de
enrutamiento
Ejemplo 1: Desactivación de la
interface
+
Ejemplo 2: Borrado de la configuración
Ejemplo 1:
Router#debug ip routing
Router#conf t
Router(config)# int fa0/0
Router(config-if)#shutdown
Ejemplo 2:
Router(config-if)#no ip address
Router(config-if)#end
Router#undebug all
Establecer una ruta estática Router(config)#ip route network address subnet mask {ip-
address/exit-interface}
Siendo:
network address: dirección de la red remota que será agregada
a la tabla de enrutamiento.
subnet-mask: máscara de subred de la red remota que será
agregada a la tabla de enrutamiento. Puede ser modificada
para resumir un grupo de redes.
ip-address: dirección IP del router de siguiente salto.
exit-interface: interfaz de salida para enviar paquetes a la red
de destino.
Ejemplo 1: establecer una ruta estática
con dirección de siguiente salto.
Router(config)#ip route 192.168.2.0 255.255.255.0
172.16.2.2
con una interfaz de salida punto a punto
serie.
serial 0/0/0
predeterminada (router interno)
serial 0/0/0
Modificar una ruta estática
Pasos:
1.- Eliminarla de la tabla
2.- Reintroducirla
3.- Comprobarla configuración de ruta
estática
4.Comprobar la tabla de enrutamiento
5. Comprobar la conectividad extremo
a extremo
Router(config)#no ip route network address subnet mask {ip-
Router(config)#ip route network address subnet mask {ip-
Ejemplo:
Router(config)# no ip route 192.168.2.0 255.255.255.0
172.16.2.2
Router(config)#ip route 192.168.2.0 255.255.255.0 serial
0/0/0
Router(config)#show running config
Router(config)#show ip route
Router(config)#end
Router# ping 192.168.2.0
Establecer una ruta estática con
interfaz de salida Ethernet.
fa0/1 172.16.2.2
Habilitar un protocolo de enrutamiento Router(config)#router protocolo
Router(config-router)#
Ejemplo 1: ver los protocolos disponibles Router(config)#router ?
Ejemplo 2: habilitar RIP Router(config)#router rip
Deshabilitar un protocolo de
enrutamiento
Router(config-router)#no router protocolo

Habilitar el enrutamiento RIP para una
red (cuáles son las redes directamente
conectadas que debe publicar)
network dirección de red CON CLASE
Ejemplo:
Router(config)#router rip
Router(config-router)#network 192.168.1.0
Router(config-router)#network 192.168.2.0
Mostrar las actualizaciones de
enrutamiento RIP.
Es importante una vez verificada la
configuración, desactivar el comando
debug
Router# degub ip rip
…
…
Router#undebug all
Evitar la txón de actualizaciones de
enrutamiento a través de una interfaz
del router (pero manteniendo la
posibilidad de que la red conectada a
esa interfaz pueda ser notificada a
otros routers
Router(config-router)#passive-interface tipo-interfaz
número-interfaz
Simular una ruta estática mediante
INTERFAZ NULA
Router(config)#ip route red máscara null0
Redistribuir rutas estáticas (Tomar las
rutas de un origen de enrutamiento y
enviarlas a otro origen)
Router(config-router)#redistribute static
Activar el protocolo RIPv2 Router(config)#router rip
Router(config-router)#version 2
Volver a RIPv1 Router(config)#router rip
Router(config-router)#version 1
o
Router(config)#router rip
Router(config-router)#no version
Forzar la compatibilidad entre
diferentes versiones de RIP
Router(config)#ip rip send
o
Router(config)#ip rip receive
Desactivar el resumen de ruta
automático (en RIPv2, EIGRP)
Router(config-router)#no auto-summary
Propagar una ruta por defecto a todos
los routers dentro de un área OSPF
Router(config-router)# default-information originate
Establecer el comportamiento de
enrutamiento CON CLASE en el
proceso de búsqueda en la tabla de
enrutamiento
Router(config)#no ip classless
Restablecer el comportamiento de
enrutamiento SIN CLASE en el proceso
de búsqueda en la tabla de
enrutamiento
Router(config)#ip classsless
Habilitar EIGRP
Sistema autónomo: Nº del 1 al 65535
que en realidad es el ID del proceso
(todos los routers dentro de este
dominio de enrutamiento EIGRP deben
tener el mismo)
Router(config)#router eigrp sistema autónomo
Habilitar EIGRP para una red Router(config)#router eigrp 1
Router(config-router)#network dirección de red
CON CLASE

Habilitar EIGRP para subredes
específicas
Máscara wildcard:
255.255.255.255 – máscara de subred
Router(config-router)#network dirección-red
máscara wildcard
Mostar la tabla de vecinos EIGRP Router#show ip eigrp neighbors
Cambiar los valores predeterminados
de K (K1=K3=1; K2=K4=K5=0)
Router(config)#router eigrp 1
Router(config-router)#metric weight tos K1 K2 K3 K4
K5
Modificar la métrica del ancho de
banda de una interfaz (EIGRP, OSPF)
Router(config-if)#bandwidth kilobits
Restablecer la métrica del ancho de
banda de una interfaz
Router(config-if)#no bandwidth
Mostrar la base de datos de topología
EIGRP: sucesor, FD, FSs
con sus RDs
Router#show ip eigrp topology
Mostrar la base de datos de topología
EIGRP: sucesor, FD, FSs
con sus RDs, para una red específica
Router#show ip eigrp topology red
Ejemplo: Router#show ip eigrp topology 192.168.1.0
Mostrar todas las rutas a una red
incluyendo los sucesores, los FSs
y aquellas rutas que no son FSs
Router#show ip eigrp topology all-links
Establecer el resumen manual EIGRP
en una interfaz
R1(config-if)#ip summary-address eigrp nº-sa
dirección-red máscara-subred
Ejemplo: Resumen de ruta de
192.168.1.0/24, 192.168.2.0/24 y
192.168.3.0/24 en serial 0/0/0
R1(config)#int s0
R1(config-if)#ip summary-address eigrp 1 192.168.0.0
255.255.252.0
Configurar el porcentaje de ancho de
banda que EIGRP puede usar en una
interfaz
Router(config-if)#ip bandwidth-percent eigrp nº-sa
porcentaje
Ejemplo: el 50% del BW de serial 0/0/0 Router(config)#int s0
Router(config-if)#ip bandwidth-percent eigrp 1 50
Configurar un intervalo “hello”
diferente al predeterminado
SI SE CAMBIA EL INTERVALO
HELLO, HAY QUE CAMBIAR
TAMBIÉN EL INTERVALO DE
ESPERA A UN VALOR IGUAL
O MAYOR
Router(config-if)#ip hello-interval eigrp
nº-sa segundos
Siendo nº-sa: número de sist. autónomo (ID de proceso)
Segundos: entre 1 y 65535
Configurar un intervalo de espera
diferente al predeterminado
Router(config-if)#ip hold-interval eigrp
nº-sa segundos
Restablecer el intervalo “hello”
al predeterminado
Router(config-if)#no ip hello-interval eigrp
nº-sa segundos
Restablecer el intervalo de espera
al predeterminado
Router(config-if)#no ip hold-interval eigrp
nº-sa segundos
Habilitar OSPF Router(config)#router ospf id-proceso
Ejemplo:
Router(config)#router ospf 1
Router(config-router)#

Especificar la interfaz o rango de
interfaces que se habilitarán para
OSPF
Router(config-router)#network dirección-red máscara
wildcard area id-área
Ejemplo topología pág 556:
R1(config)#router ospf 1
R1(config-router)#network 172.16.1.16 0.0.0.0.15
area 0
R1(config-router)#network 192.168.10.0 0.0.0.3 area 0
R1(config-router)#network 192.168.10.4 0.0.0.3 area 0
Comprobar el ID y otros parámetros
del router OSPF
Router#show ip ospf
o
Router#show ip ospf interface
o
Router#show ip protocols
Modificar el ID de un Router Router(config)#router ospf id-proceso
Router(config-router)#router id dirección ip
+
Recarga del router
Mostrar las relaciones de
vecindad OSPF
Router#show ip ospf neighbor
Modificar la métrica del ancho de
banda de una interfaz (EIGRP, OSPF)
Router(config-if)#bandwidth kilobits
Especificar directamente el coste
de una interfaz
Router(config)#interface interfaz
Router(config-if)#ip ospf cost coste=10^8/BW real
Cambiar la prioridad de una interfaz
OSPF para decidir qué routers se
convierten en DR y BDR
Router(config-if)#ip ospf priority {0-255}
Ejemplo:
Router(config)#int fa0
Router(config-if)#ip ospf priority 200
+
Reiniciar las interfaces con shutdown + no shutdown
Modificar el Ancho de Banda de
referencia OSPF
Router(config-router)#auto-cost referente-bandwidth
mbps
Ejemplo para 10GigE:
Router(config-router)#auto-cost referente-bandwidth
10000
Modificar el intervalo Hello en
una interfaz
Router(config-if)#ip ospf hello-interval segundos
Modificar el intervalo de caducidad
OSPF en una interfaz
Router(config-if)#ip ospf dead-interval segundos
Desactivar la búsqueda DNS Router(config)#no ip domain-lookup
Configurar la encapsulación HDLC
(es la predeterminada)
R(config)#int s0/0/0
R(config-if)#encapsulation hdlc
Resolución de problemas en las
interfaces serie
R#show interfaces serial
R#show interface serial id-interfaz
R#show controllers
PPP
Configurar la encapsulación PPP
(primero se ha de configurar el router
con un protocolo de enrutamiento IP)
R(config-if)#encapsulation ppp
Configurar la compresión software
punto a punto
R(config-if)#compress [predictor / stac]
Activación de LQM (monitorización de
la calidad del enlace). Si el porcentaje
de calidad no se mantiene, el enlace
se cierra
R(config-if)#ppp quality porcentaje
porcentaje: nº del 1 al 100

Desactivación de LQM R(config-if)#no ppp quality
Habilitar el multienlace PPP R(config-if)#encapsulation ppp
R(config-if)#ppp multilink
Deshabilitar el multienlace PPP R(config-if)#no ppp multilink
Comandos para la verificación PPP R#show interfaces serial
R#show interfaces
R#debug ppp
R#undebug all
Resolución de problemas relacionados
con la encapsulación PPP
R#debug ppp {packet / negotiation / error /
authentication / compression / cbcp}
Configurar la autenticación PPP R(config-if)#ppp authentication {chap / chap pap /
pap chap / pap}
Desactivar la autenticación R(config-if)#no ppp authentication
Ejemplo práctico de configuración
de autenticación
R1(config)#username R2 password cisco123
R1(config)#interface s0/0/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication {pap / chap}
R2(config)#username R1 password cisco123
R2(config)#interface s0/0/0
R2(config-if)#encapsulation ppp
R1(config-if)#ppp authentication {pap / chap}
FRAME RELAY
Activar la encapsulación Frame Relay R(config)# int serial 0/0/0
R(config-if)#ip address dirección-red máscara-subred
R(config-if)#encapsulation frame-relay
Mostrar los parámetros de
configuraciónde Frame Relay en el Router
R#show frame-relay map
Configuración de una asignación
estática.
Ejemplo:Asignación de dirección
estática en la interfaz S0/0/0 de R1 con
encapsulación Cisco en el DLCI 102
(figura 3.17, pág 163 CCNA4)
R(config)#frame-relay map protocolo dirección-de-
destino dlci broadcast {ietf/cisco}
R1(config)#int s0
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#encapsulation frame-relay
R1(config-if)#no frame-relay inverse-arp
R1(config-if)#frame-relay map ip 10.1.1.2 102
broadcast cisco
R1(config-if)#no shutdown
Establecer el tipo de LMI R(config-if)#frame-relay lmi-type {cisco/ansi/q933a}
Modificar el intervalo de Keepalive R(config-if)#keepalive intervalo
Creación de una subinterfaz Frame
Relay
1.Eliminar cualquier dirección de red de
la interfaz física
2. Configurar la encapsulación frame
relay
3.Crear la subinterfaz lógica
nº.nº-subinterfaz (recomendable que nº-
subinterfaz=DLCI)
4. Asignar dirección IP a la subinterfaz
5. Configurar el DLCI local en la
subinterfaz
R(config-if)#no ip address
R(config-if)#encapsulation frame-relay
R(config-if)#no shutdown
R(config-if)#exit
R(config)#int s0/0/0.102 point to point
R(config-subif)#ip address 10.1.1.1 255.255.255.252
R(config-subif)#bandwidth 64 (opcional)
R(config-subif)#frame-relay interface-dlci 102

Verificación de Frame Relay R#show interface serial nº-interfaz/nº-subinterfaz
R#show frame-relay lmi
R#show frame-relay pvc dlci
R#show frame-relay map
R#debug frame-relay lmi
Restablecer los contadores de
estadísticas (hay que esperar de 5 a 10
min antes de ejecutar un comando
show)
R#clear counters
Eliminar las asignaciones Frame
Relay creadas dinámicamente
mediante ARP inverso
R#clear frame-relay inarp
HERRAMIENTAS DE
SEGURIDAD
Proteger la visualización de
contraseñas con encriptación sencilla
de tipo 7
R(config)#service password-encryption
Proteger los nombres de usuario de la
base de datos
Si el nombre de usuario ya se ha
configurado mediante
username nombre password
primero debe eliminarse con:
R(config)#username nombre secret contraseña
R(config)#no username nombre password
Establecer una longitud mínima para
lascontraseñas
R(config)#security passwords min-length nº
Protección de las líneas TTYs y puerto
AUX si no se utilizan: impedir el inicio
de sesión
R(config-line)#no password
R(config-line)#login
Especificar los protocolos permitidos
en las líneas vty {telnet/ssh/ambos}
R(config)#line vty 0 4
R(config-line)#no transport input
R(config-line)#transport input {telnet/ssh/telnet ssh}
Configurar los tiempos de espera VTY
para evitar que una sesión inactiva
consuma la VTY indefinidamente
R(config-line)#exec-timeout tiempo en minutos
Activar los Keepalives TCP R(config)#service tcp-keepalives-in
Configuración de la seguridad SSH
Paso1. Configurar nombre de host Router(config)#hostname R1
Paso2. Configurar el nombre de
dominio
R1(config)#ip domain-name nombre
Paso3. Generar la clave asimétrica
RSA
R1(config)#crypto key generate rsa
Paso4. Configurar la autenticación local
y la vty
R1(config)#username nombre secret contraseña
R1(config)#line vty 0 4
R1(config-line)#no transport input
R1(config-line)#transport input ssh
R1(config-line)#login local
R1(config-line)#exit
Paso5. Establecer los tiempos de
espera (opcional)
R1(config)#ip ssh time-out segundos
R1(config)#ip ssh authentification-retries nº-reintentos
Activar la depuración y los mensajes
de registro para que sean marcados
con la hora
R(config)#service timestamps
Desactivación de servidores TCP
pequeños
R(config)#no service tcp-small-servers

Desactivación de servidores UDP
pequeños
R(config)#no service udp-small-servers
Desactivación del servidor BOOTP R(config)#no ip boot server
Desactivación de Finger (Servicio de
búsqueda de usuario UNIX. Permite el
listado remoto de usuarios)
R(config)#no service finger
R(config)#no ip finger
Desactivación del servidor HTTP R(config)#no ip http server
Desactivación del servidor SNMP R(config)#no snmp-server
Desactivación del CDP R(config)#no cdp run
Desactivación de la configuración
remota
R(config)#no service config
Desactivación del enrutamiento de
origen
R(config)#no ip source-route
Desactivación del enrutamiento sin
clase
R(config)#no ip classless
Desactivación de una interfaz R(config-if)#shudown
Desactivación del enrutamiento ad-hoc R(config-if)#no ip proxy-arp
Establecer esplícitamente las direcciones
del servidor DNS
R(config)#ip name-server direcciones
Desactivar la resolución de nombres
DNS R(config)#no ip domain-lookup
Configuración de RIPv2 con
autenticación del protocolo de
enrutamiento
Paso1. Deshabilitar el envío de
publicaciones de enrutamiento en todas
las interfaces excepto en las que
comuniquen con otros routers
R(config)#router rip
R(config-router)#version 2
R(config-router)#network network
R(config-router)#network network
R(config-router)#passive-interface default
R(config-router)#no passive-interface s0/0/0
Paso2. Crear una cadena de clave.
Especificar cuántas claves va a tener.
Especificar la cadena de clave.
R(config)#key chain RIP-KEY
R(config-keychain)#key 1
R(config-keychain)#key-string cisco
Paso3. Configurar la interfaz para
soportar la autenticación MD5
R(config-if)#ip rip authentication mode md5
Paso4. Procesar la cadena RIP KEY y la
actualización para producir una firma
única
R(config-if)#ip rip authentication key-chain RIP-KEY
Configuración de EIGRP con
enrutamiento
Paso1. Deshabilitar el envío de
publicaciones de enrutamiento en todas
las interfaces excepto en las que
comuniquen con otros routers
R(config)#router eigrp 1(-->nº de sist. Autónomo)
R(config-router)#network networksubnet-mask
R(config-router)#network networksubnet-mask
R(config-router)#passive-interface default
R(config-router)#no passive-interface s0/0/0
Paso2. Crear una cadena de clave.
Especificar cuántas claves va a tener.
Especificar la cadena de clave.
R(config)#key chain EIGRP-KEY
R(config-keychain)#key 1
R(config-keychain)#key-string cisco
Paso3. Configurar la interfaz para
soportar la autenticación MD5
R(config-if)#ip authentication mode eigrp 1 md5
Paso4. Procesar la cadena RIP KEY y la
actualización para producir una firma
única
R(config-if)#ip authentication key-chain eigrp 1
EIGRP-KEY

Ejemplo de configuración de OSPF con
enrutamiento
R(config)#router ospf 10
R(config-router)#network 192.168.10.0 0.0.0.255 area 0
R(config-router)#network 10.1.1.0 0.0.0.255 area 0
R(config-router)#exit
R(config-if)#ip ospf message-digest-key 1 md5 cisco
R(config-if)#ip ospf authentication message-digest
R(config-if)#exit
R(config)#router ospf 10
R(config-router)#area 0 authentication message-digest
R(config-router)#exit
Iniciar proceso automático de protección
de un router Cisco
R#auto secure
Configurar Router Cisco para instalar y
soportar Cisco SDM sin
interrumpir el tráfico de red
Paso1. Habilitar los servidores HTTP y
HTTPS en el router
R(config)#ip http server
R(config)#ip http secure-server
R(config)#ip http authentication local
Paso2. Crear una cuenta de usuario
definida con el nivel de privilegio 15
R(config)#username nombre privilege 15 secret
contraseña
Paso3. Configurar SSH y Telnet para
el inicio de sesión local y el nivel de
privilegio 15
R(config-line)#privilege level 15
R(config-line)#login local
R(config-line)#transport input telnet ssh
R(config-line)#exit
ACLs
Crear una ACL R(config)#access-list nº-lista {deny/permit/remark}
origen wildcard-origen
Siendo: nº-lista=nº entre 1 y 99 o entre 1300 y 1999
deny: denegar acceso si las condiciones coinciden
permit: permitir acceso si las condiciones coinciden
remark: permite añadir un comentario
origen: red o host desde el que se envía el paquete
Ejemplos:
R(config)#access-list 10 permit 192.168.10.0
R(config)#access-list 10 remark Permitir hosts de la
LAN 192.168.10.0
Eliminar una ACL R(config)#no access-list nº-lista
Mostrar las ACLs configuradas R#show access-list
Asociar una ACL a una interfaz R(config)#interface nº-interface
R(config-if)#ip access-group {nº/nombre-ACL} {in/out}
Eliminar una ACL de una interfaz R(config-if)#no ip access-group {nº/nombre-ACL} {in/out}
R(config-if)#exit
Controlar el acceso a las líneas vty
mediante una ACL
R(config-line)#access-class nº-ACL {in/out}
Ejemplo:
R1(config)#access-list 21 permit 192.168.10.0 0.0.0.255
R1(config)#access-list 21 permit 192.168.11.0 0.0.0.255
R1(config)#access-list 21 deny any
R1(config)#line vty 0 4
R1(config-line)#login
R1(config-line)#password secret
R1(config-line)#access-class 21 in

Crear una ACL con nombre
estándar
Paso1. Crear la ACL con nombre R(config)#ip access-list {standard/extended} nombre
Paso2. Aplicar las sentencias permit y
deny
R(config-std-nacl)#{permit/deny/remark} origen wildcard
Paso3. Activar la ACL IP en una
interfaz
R(config-if)#ip access-group nombre {in/out}
Ejemplo: R1(config)#ip access-list standard NO_ACCESS
R1(config-std-nacl)#deny host 192.168.11.10
R1(config-std-nacl)#permit 192.168.11.0 0.0.0.255
R1(config-std-nacl)#int fa0
R1(config-if)#ip access-group NO_ACCESS out
Creación de una ACL extendida
R(config)#access-list nº-lista {deny/permit/remark}
protocolo origen wildcard-origen [operator
operando ] [port nº-puerto o nombre ] destino
wildcard-destino [operator operando ] [port
nº-puerto o nombre ] [established]
Siendo: nº-lista=nº entre 100 y 199 o entre 2000 y 2699
protocolo=nombre o número de protocolo de internet (para que
sea cualquier protocolo de internet utilizar la palabra clave ip)
destino=red o host al que se ve a enviar el paqute
established=Sólo para el protocolo TCP. Indica una conexión
establecida
Ejemplo:
R(config)#access-list 103 permit tcp 192.168.10.0
0.0.0.255 any eq 80
R(config)#access-list 103 permit tcp 192.168.10.0
0.0.0.255 any eq 443
R(config)#access-list 104 permit tcp any 192.168.10.0
0.0.0.255 established
Creación de una ACL extendida
utilizando nombres
Paso1. Definir la ACL con nombre R(config)#ip access-list extended nombre
Paso2. Especificar las condiciones
Paso3. Verificar la ACL R#show access-list nombre
Paso4. Activar la ACL IP en una
interfaz
R(config)#interface nº-interface
R(config-if)#ip access-group nombre {in/out}
Paso5. Guardar R(config)#copy run start
Generación de números de puerto R(config)#access-list 101 permit tcp any eq ?
Configuración de un Router
Cisco
como Servidor DHCP
Paso1. Excluir las direcciones reservadas
antes de crear el conjunto DHCP
R(config)#ip dhcp excluded-address dirección-inferior
[dirección superior]
Paso2. Crear el conjunto DHCP (definir el
conjunto de direcciones que se van a
asignar)
R(config)#ip dhcp pool nombre-conjunto
R(dhcp-config)#
Paso3. Definir el rango de direcciones
disponibles
R(dhcp-config)#network nº-red [máscara/longitud-prefijo]

PAso4. Definir el gateway predeterminado
o router para los clientes
R(dhcp-config)#default-router dirección [dirección 2…
dirección8]
Ejemplo de configuración DHCP R(config)#ip dhcp excluded-address 192.168.10.1
192.168.10.9
R(config)#ip dhcp excluded-address 192.168.10.254
R(config)#ip dhcp pool LAN-POOL-1
R(dhcp-config)#network 192.168.10.0 255.255.255.0
R(dhcp-config)#default-router 192.168.10.1
R(dhcp-config)#domain-name span.com
R(dhcp-config)#end
Tareas DHCP opcionales
Definir un servidor DNS dns-server dirección [dirección2…dirección8]
Definir el nombre de dominio domain-name dominio
Definir la duración de la concesión lease {días [horas] [minutos] / infinite}
Definir el servidor NetBIOS WINS netbios-name-server dirección [dirección2…dirección8]
Desactivación del servicio DHCP R(config)#no service dhcp
Reactivación del servicio DHCP R(config)#service dhcp
Mostrar lista de las asociaciones IP-MAC
R#show ip dhcp binding
Verificar que el router está enviando o
recibiendo mensajes
R#show ip dhcp server stadistics
Mostrar info del conjunto DHCP R#show ip dhcp pool
Configurar una interfaz como cliente
DHCP
R(config)#int fa0
R(config-if)#ip address dhcp
R(config-if)#no shutdown
Configurar un router como agente de
retransmisión DHCP: configurar la interfaz
más cercana al cliente con:
R(config-if)#ip helper-address ip-del-servidor-dhcp
Mostrar los conflictos de direcciones
registrados por el servidor DHCP
R#show ip dhcp conflict
Verificar que el router está recibiendo la
solicitud DHCP del cliente
R#debug ip packet detail
Mostar info de los eventos del servidor R#debug ip dhcp server
NAT
Configuración de la NAT estática
Paso1. Establecer la conexión estática
entre una dirección local interior y una
dirección global interior
R(config)#ip nat inside source static ip-local -ip-global
Paso2. Especificar la interfaz interior R(config)#interface tipo nº
Paso3. Marcar la interfaz como conectada
al interior.
R(config-if)#ip nat inside
Paso4. Especificar la interfaz exterior R(config-if)#interface tipo nº
al exterior.
R(config-if)#ip nat outside
Eliminar la conversión de origen
estática R(config)#no ip nat inside source static
Configuración de la NAT dinámica
Paso1. Definir un conjunto de direcciones
globales que se asignarán según las
necesidades
R(config)#ip nat pool nombre incio-ip fin-ip {netmask
máscara-red/prefix-length long-prefijo}
Paso2. Definir una lista de acceso
estándar que permita esas direcciones
que se van a traducir
R(config)#access-list nº-lista permit origen [wildcard-
-origen]

Paso3. Establecer la traducción de origen
dinámica, especificando la lista de acceso
del paso anterior
R(config)#ip nat inside source list nº-lista pool nombre
al interior.
al exterior
Configuración de la sobrecarga de NAT
con una sola dirección IP
estándar que permita esas direcciones
que se van a traducir
-origen]
Paso2. Establecer la traducción de origen
dinámica, especificando la lista de acceso
definida en el paso anterior
R(config)#ip nat inside source list nº-lista interface
interface overload
al interior
al exterior
Configuración de la sobrecarga de NAT
utilizando un conjunto de direcciones
Paso1. Especificar la dirección global,
como un conjunto, que se va a utilizar
para la sobrecarga
R(config)#ip nat pool nombre incio-ip fin-ip {netmask
máscara-red /prefix-length long-prefijo }
estándar que permita que esas
direcciones sean traducidas
-origen]
Paso3. Establecer la traducción de la
sobrecarga
R(config)#ip nat inside source list nº-lista pool nombre
overload
al interior.
R(config)#ip nat inside
Paso6.Especificar la interfaz exterior R(config)#interface tipo nº
al exterior
Mostar los detalles de las asignciones
NAT
R#show ip nat translations
Mostrar los detalles de las asignaciones
NAT mostrando info adicional sobre cada
traducción
R#show ip nat translations verbose
Mostar info acerca del nº total de
traducciones activas y más parámetros
R#show ip nat stadistics
Configurar los temporizadores NAT R(config)#ip nat translation timeout segundos-límite-
tiempo
Eliminar las entradas NAT dinámicas
antes de que expire el tiempo límite
R(config)#clear ip nat translation
Eliminar todas las traducciones de la tabla
R(config)#clear ip nat translation *
Verificar el funcionamiento de NAT R#debug ip nat

Generar una descripción de cada paquete
considerado para la traducción
R#debug ip nat detailed
IPv6
Habilitar IPv6 R(config)#ipv6 unicast-routing
Configurar una dirección IPv6 en una
interfaz
R(config-if)#ipv6 address dirección-ipv6/longitud-prefijo
Ejemplo:
R(config-if)#ipv6 address 2001:DB8:2222:7272::72/64
Configurar una dirección IPv6 en una
interfaz habilitando EUI-64
R(config-if)#ipv6 address dirección-ipv6/longitud-prefijo
eui-64
Ejemplo:
R(config-if)#ipv6 address 2001:DB8:2222:7272::72/64
eui-64
CONFIGURACIÓN DE UN SWITCH CISCO
Acceder a modo privilegiado S>enable
Salir a modo usuario S#disable
Pasar de modo privilegiado a modo
"configuración global"
S#configure terminal
S(config)#
Pasar de modo "configuración global"
a modo "configuración de interfaz"
S(config)#interface nombre de la interfaz
Ejemplo:
S(config)#int fa0
S(config-if)#
Mostrar el historial de comandos S#show history
Activar el historial de comandos (por
defecto ya está activado)
S>terminal history
o
S#terminal history
Configurar el tamaño del historial de
comandos
S#terminal history size nº entre 0 y 256
Reiniciar el tamaño del historial al valor
predeterminado de 10 líneas
S#terminal no history size
Desactivar el historial de comandos S#terminal no history
Configurar la interfaz de administración S#configure terminal
S(config)#interface vlan 99
S(config-if)#ip address dirección-ip máscara subred
S(config-if)#no shutdown
S(config-if)#exit
S(config)#interface nombre-interfaz
S(config-if)#switchport mode access
S(config-if)#switchport access vlan 99
S(config-if)#end
S#copy run start
Configurar el Gateway predeterminado S(config)#ip default-gateway dirección-ip
Comprobación del estado de los
puertos
S#show ip interface brief
Configurar el modo dúplex S(config-if)#duplex auto/full/half
Configurar la velocidad del puerto S(config-if)#speed 10/100/auto
siendo:
10: 10 Mbps operation
100: 100 Mbps operation
Habilitar la administración vía HTTP S(config)#ip http server
Definir el nº de puerto donde operará
la administración vía HTTP S(config)#ip http port puerto
Asignar una dirección MAC a una
interfaz de forma permanente
S(config)#mac-address-table static dirección-MAC
vlan nº-vlan interface fastethernet nº
Eliminar la asignación de una dirección
MAC estática a una interfaz
S(config)#no mac-address-table static dirección-MAC
vlan nº-vlan interface fastethernet nº

Mostrar info sobre la plataforma y el
IOS (29xx) o Firmware (19xx)
S>show version
Mostrar info sobre los tramas
descartadas, tramas diferidas, errores
de alineación, colisiones….
S>show controllers ethernet controllers
Mostrar si el switch pasó el POST S#show post
Mostrar el estado administrativo y
operacional de los puertos
S#show interfaces
Mostrar el estado administrativo y
operacional de un puerto
S#show interfaces tipo nº
Verificar el estado de un puerto (P.ej
si se ha reconfigurado de forma correcta
la VLAN nativa)
S#show interfaces id-interfaz switchport
Mostrar los contenidos de la
configuración de inicio
S#show startup-config
Mostrar la configuración operativa
actual
S#show running-config
Mostrar info acerca del sistema de
archivos flash
S#show flash:
Mostar la información IP
interface muestra el estado y la
configuración de la interfaz IP
http muestra la info HTTP sobre el
Device Manager en ejecución
arp muestra la tabla ARP IP
S#show ip interface/http/arp
Mostrar la tabla de reenvío MAC S#show mac-address-table
Eliminar las direcciones MAC que el
switch ha aprendido dinámicamente
S>clear mac-address-table
Modificar el startup config con la
configuración en ejecución
S#copy running-config startup-config
Almacenamiento de varias versiones
del startup-config
S#copy startup-config flash:nombre-archivo
Borrar una copia de seguridad del
starup-config en la flash
S#delete flash:nombre_archivo
Recuperación de una configuración S#copy flash:nombre_archivo startup-config
+
S#reload (sin salvar la configuración)
Hacer un resguardo del Cisco IOS en
un servidor TFTP
S#copy flash tftp
Descargar una nueva copia del Cisco
IOS a la memoria flash
S#copy tftp flash
Realizar una copia del startup-config
en un servidor TFTP
S#copy startup-config tftp
Descargar una nueva copia del
startup-config en la NVRAM
S#copy tftp startup-config
Limpiar los contenidos de la
configuración de inicio
S#erase nvram:
o
S#erase startup-config
Ingresar al modo de configuración de
línea
S(config)#line {console/vty} nº_línea
Protección del acceso a la consola
mediante contraseña
S(config)#line console 0
S(config-line)#password contraseña
S(config-line)#login
S(config-line)#end

Eliminar la contraseña y la necesidad
de escribirla del acceso a la consola
S(config)#line console 0
S(config-line)#no password
S(config-line)#no login
S(config-line)#end
Protección del acceso al terminal
virtual
S(config)#line vty 0 15
S(config-line)#password contraseña
S(config-line)#login
S(config-line)#end
de escribirla del acceso al terminal
virtual
S(config)#line vty 0 15
S(config-line)#no password
S(config-line)#no login
S(config-line)#end
Protección del acceso a EXEC
privilegiado mediante contraseña
S(config)#enable password contraseña
S(config)#end
Protección del accesi a EXEC
privilegiado mediate contraseña
ENCRIPTADA
S(config)#enable secret contraseña
S(config)#end
de escribirla para el acceso a EXEC
S(config)#no enable password
S(config)#end
o
S(config)#no enable secret
S(config)#end
Encriptar las contraseñas para que
no sean legibles en el startup-config
o en el ruuning-config
S#conf t
S(config)#service password-encryption
Deahabilitar la encriptación de
contraseñas
S#conf t
S(config)#no service password-encryption
Configurar un banner MOTD S(config)#banner motd "El mantenimiento del dispositivo
tendrá lugar el viernes"
Deshabilitar el banner MOTD S(config)#no banner motd
Configurar un banner de inicio de sesión S(config)# banner login "Sólo personal autorizado"
Deshabilitar el banner de inicio de sesión S(config)#no banner login
Reactivar el protocolo Telnet S(config)#line vty 0 15
S(config-line)#transport input telnet
o
S(config-line)#transport input all
Configurar la seguridad de puerto en
la interfaz F0/18 (no se especifica un
modo de violación, en este caso será el
predeterminado shutdown)
S#conf t
S(config)#int fa18
S(config-if)#switchport port-security
S(config-if)#end
Activar la seguridad de puerto sticky
en la interfaz F0/18 con un número de
máximo de direcciones Mac seguras de
50.(no se especifica un modo de
violación, en este caso será el
predeterminado shutdown )
S#conf t
S(config)#int fa18
S(config-if)#switchport port-security
S(config-if)#switchport port-security maximun 50
S(config-if)#switchport port-security mac-address sticky
S(config-if)#end
VLAN

Configuración de una VLAN estática S#conf t
S(config)#int fa18
S(config-if)#end
Configuración de una VLAN de voz
(VLAN 150)
(se debe configurar una VLAN de voz y
otra de datos (VLAN 20). Además, la red
entera debe configurarse para priorizar el
tráfico de voz)
S#conf t
S(config)#int fa18
S(config-if)#mls qos trust cos
S(config-if)#switchport voice vlan 150
S(config-if)#end
Configuración de un enlace troncal
en una VLAN nativa
S#conf t
S(config)#int fa1
S(config-if)#switchport trunk native vlan 99
S(config-if)#end
Mostrar los puertos troncales S#show interfaces trunk
Configurar el puerto como enlace
troncal permanente
S(config-if)#switchport mode trunk
Configurar el puerto para negociar
un enlace troncal (sólo se acabará en
enlace troncal si el modo de enlace
troncal del puerto remoto está en
on,desirable o auto .Si el puerto del switch
remoto está en nonegotiate el puerto del
switch local permanece como puerto sin
enlace troncal)
S(config-if)#switchport mode dinamic desirable
Configurar el puerto para negociar
un enlace troncal (sólo se acabará en
enlace troncal si el modo de enlace
troncal del puerto remoto está en on o en
desirable .Si los dos están en auto , los
puertos negocian para estar en el estado
de modo de acceso)
S(config-if)#switchport mode dinamic auto
Desactivar DTP para el enlace troncal S(config-if)#switchport nonegotiate
Determinar la configuración DTP S#show dtp interface
Adición de una LAN S#conf t
S(config)#vlan id-vlan
S(Config-vlan)#name nombre (opcional)
S(config-vlan)#end
Adición de varias VLAN
(100,102, 105,106,107,108 y 109)
S(config)#vlan 100 , 102 , 105 - 109
Configuración de interfaz de VLAN
estática
S(config)#interface id-interfaz
S(config-if)#switchport access vlan id-vlan
S(config-if)#end
Mostrar info de las VLANs
(nombre, estado y puertos)
S#show vlan brief
Mostrar info de la VLAN indicada por
su id (nº entre 1 y 4094)
S#show vlan id id-vlan
Mostrar info de la VLAN indicada por
su nombre (cadena ASCII de 1 a 32
caracteres)
S#show vlan name nombre-vlan
Mostrar un resumen de info de las
VLANs
S#show vlan summary

Mostrar info relevante acerca de una
o varias interfaces
S#show interfaces id-interfaz switchport
Mostrar si la VLAN está activa S#show interfaces vlan id-vlan
Reasignar un puerto a una VLAN
distinta=
Reasignarlo a la VLAN1 (1)
+
Asignarlo a la otra VLAN (2)
(Con el software Cisco IOS, sólo es
necesario el paso 2)
S#conf t
S(config)#interface interface-id
S(config-if)#no switchport access vlan
S(config-if)#end
+
S#conf t
S(config)#interface interface-id
S(config-if)#switchport acces vlan id-vlan
S(config-if)#end
Eliminación de una VLAN (NO OLVIDAR
REASIGNAR TODOS LOS PUERTOS
A UNA VLAN DISTINTA ANTES DE
ELIMINAR)
S#no vlan vlan-id
Reconfigurar una VLAN nativa en un
puerto troncal
S#interface id-interface
S#switchport trunk native vlan id-vlan
Configurar un enlace troncal en la
interfaz F0/11, especificando la VLAN99
como la VLAN nativa.
Este enlace soportará las VLANs 10, 20
y 30
S#conf t
S(config)#interface fa11
S(config-if)#switchport trunk native vlan 99
S(config-if)#switchport trunk allowed vlan add 10 , 20 , 30
S(config-if)#end
Restablecer las VLANs permitidas
y la VLAN nativa del enlace troncal
a su estado predeterminado
S(config-if)#no switchport trunk allowed vlan
S(config-if)#no switchport trunk native vlan
Eliminar el enlace troncal de un puerto
del switch
Mostrar el estado de VTP S#show vtp status
Configurar VTP:
1.Configurar el servidor
1.1 configurar los puertos troncales S#conf t
S(config)#interface id-interface
S(config-if)#end
1.2 Verificar que el switch está
configurado como servidor
S#show vtp status
1.3 Si no lo está, configurarlo como
servidor
S(config)#vtp mode server
1.4 Establecer el nombre de dominio S(config)#vtp domain nombre-dominio
1.5 Establecer una contraseña (opcional S(config)#vtp password contraseña
1.6 Establecer la versión S(config)#vtp version {1/2}
1.7 Añadir las VLANs
2. Configurar los clientes
2.1 Comprobar su estado actual S#show vtp status
2.2 Cambiarlo a modo cliente S#conf t
S(config)#vtp mode client
3.Conectar

3.1 Confirmar que el dominio y las
VLANs se han transferido desde el
servidor
S#show vtp status
o
S#show vtp counters
3.2 Configurar los puertos de acceso de
los clientes para que estén en las VLANs
apropiadas (p.ej: configurar el puerto
Fa0/11 para que esté en la VLAN 10
S#conf t
S(config)#vlan 10
S(config)#interface f11
STP
Mostrar los detalles de la configuración
del STP
S#show spanning-tree
y
S#show spanning-tree detail
del STP sólo para las interfaces activas
S#show spanning-tree active
Configurar el coste de puerto en una
interfaz
S(config-if)#spanning-tree cost valor(1-200.000.000)
Restaurar el coste de puerto en una
interfaz
S(config-if)#no spanning-tree cost
Asignar un switch como PUENTE RAÍZ
PRINCIPAL
S(config)#spanning-tree vlan id-vlan root primary
SECUNDARIO
S(config)#spanning-tree vlan id-vlan root secondary
mediante la configuración del valor de
prioridad de puente
S(config)#spanning-tree vlan id-vlan priority valor
valor: nº entre 0 y 65535 en incrementos de 4096
Configurar el valor de prioridad de
puerto
S(config-if)#spanning-tree port-priority valor
valor: nº entre 0 y 240 en incrementos de 16 (el valor
predeterminado es 128
Configurar un diámetro de red
determinado para STP (se ha de
introducir en el puente raíz)
diameter valor(entre 2 y 7 switches)
Habilitar PortFast en un puerto del
switch
S(config-if)#spanning-tree portfast
Deshabilitar PortFast en un puerto S(config-if)#no spanning-tree portfast
PVST+
Configurar un switch como puente
principal para una VLAN y como puente
secundario para otra distinta. P.ej: S3
como puente principal para VLAN 20 y
secundario para VLAN 10
S(config)#spanning-tree vlan id-vlan root secondary
Ejemplo:
S3(config)#spanning-tree vlan 20 root primary
S3(config)#spanning-tree vlan 10 root secondary
mediante la configuración del valor de
prioridad de puente
S(config)#spanning-tree vlan id-vlan priority valor
valor: nº entre 0 y 61440 en incrementos de 4096
del STP sólo para las interfaces activas
S#show spanning-tree active
RSTP
Configurar un puerto como "puerto
límite"
S(config-if)#spanning-tree portfast
PVST+ RÁPIDO
Configurar PVST rápido S(config)#spanning-tree mode rapid-pvst

Especificar que el tipo de enlace para
un puerto es punto a punto
S(config-if)#spanning-tree link-type point-to-point
Eliminar todos los protocolos de árbol
de extensión detectados
S#clear spanning-tree detected-protocols
INTER-VLAN
Creación de una subinterfaz.
P.ej: Crear una subinterfaz para la
VLAN 10 en el router R1 en la interfaz
FastEthernet 0/0
R1#conf t
R1(config)#interface f0/0.10
R1(config-subif)#encapsulation dot1q 10
R1(config-subif)#ip address 172.17.10.1 255.255.255.0
R1(config-subif)#int fa0/0
Configuración del enrutamiento
inter-VLAN mediante diferentes
interfaces físicas (figura 6.7 pág 383)
Switch:
S1#conf t
S1(config)#vlan 10
S1(config-vlan)#vlan30
S1(config-vlan)#int f0/4
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 10
S1(config-if)#int f0/11
S1(config-if)#end
S1#copy run start
Router:
R1#conf t
R1(config)#int f0/0
R1(config-if)# no shutdown
R1(config-if)#int f0/1
R1(config-if)# no shutdown
R1(config-if)#end
R1#copy run start

Configuración del enrutamiento
inter-VLAN mediante múltiples
conexiones (figura 6.8 pág 387)
Switch:
S1#conf t
S1(config)#vlan 10
S1(config-vlan)#vlan 30
S1(config-vlan)#exit
S1(config)#int f0/5
S1(config-if)#switchport mode trunk
S1(config-if)#end
S1#copy run start
Router
R1#conf t
R1(config)#int f0/0
R1(config-if)#int f0/0.10
R1(config-subif)#int f0/0.30
R1(config-subif)#end
R1#copy run start
R1#show ip route
R1#show run
Resolución de problemas en el
enrutamiento inter-VLAN
S#show interface id-interface switchport
S#show running-config
R#show interface

Libro cisco ios

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Libro cisco ios

Similar a Libro cisco ios (20)

Último

Último (20)

Libro cisco ios