Cisco IOS

Cisco IOS

En este capítulo, realizaremos el primer acercamiento al router y su sistema operativo: el IOS.

Además explicaremos la forma de conectarnos a un router, detallando en especial como hacerlo por consola y Fastethernet, cuestión muy útil para el upload y download de un IOS.

Por último, realizaremos las configuraciones administrativas básicas, como cambiar el nombre al equipo, configurar una interface, activar la misma, etc.

Cisco IOS

Interwork Operative

System – IOS –

Cisco IOS

Cisco IOS

El Cisco IOS (Cisco Interwork Operative System) es el sistema operativo que corre sobre todos los switches y router de Cisco Systems. Es lo que sería el Windows o Linux para una PC.

Este IOS, posee la denominada Command Line Interface (CLI), que nos permite configurar los equipos por medio de línea de texto.

Para aquellos que no están tan familiarizados con la CLI; o bien con la configuración de equipos Cisco, el proveedor también ofrece el Security Device Managment (SDM). Por medio de este podemos realizar vía HTTPs, la configuración de todas las funcionalidades de un router, tales como access-list, protocolos de ruteo, políticas de seguridad, etc.

Cisco IOSCisco IOS

El IOS de Cisco, es la herramienta que permite a los routers y switches realizar todas las funciones. Es el corazón del equipo. El primer IOS, data de 1986, y fue desarrollado por William Yenger.

Las principales tareas del sistema operativo son:

• Entender y transportar todos los protocolos, y proveer a los mismos de las funciones requeridas, ya sea de hardware o de software.

• Conmutar grandes cantidades de tráfico entre equipos.

• Agregar seguridad y control de acceso al terminal, de manera tal que no sea accedido desde cualquier lugar.

• Proveer escalabilidad y facilitar el uso de la red al administrador.

• Proveer de una interface simple al configurador, de manera tal de no perder tiempo en el start up del equipo.

Cisco IOSVersiones

A continuación mencionaremos como se conforma la nomenclatura propia de los IOS de Cisco.

12.4 (7 a)

12.4 (9) T 1

12.2(25)SEB 4

P.e.: c3725-entbase-mz.124-6T.bin. Cisco 3725; entbase = IOS; m = Memoria; Z = Compress ;

Release Actual

Release Individual

Sub Release Individual

Release

Release Individual

Sub Release Individual

Release ActualRelease Individual

Sub Release IndividualNuevo Feature en la Release

Cisco IOS

IPBase

IP Services

Advance IPServices

EnterpriseServices

Advance Enterprise Services

IPBase

IPVoice

SP ServicesEnterprise

BaseAdvance Security

Advance IPServices

EnterpriseServices

Advance Enterprise Services

Cisco IOSComo conectarse localmente a un router

Hay varias maneras de conectarse localmente a un router: por puerto de consola, por un puerto fastethernet, o bien por el puerto auxiliar del equipo.

Por el puerto de consola del equipo, precisamos un cable rollover con conector RJ-48 de 8 pines. La nueva línea de routers ISR (Integrated Service Routers) de Cisco, posee como usuario y contraseña default, para el puerto de consola “cisco” “cisco”. Para eso solo debemos configurar un Hyper Terminal desde el puerto de la PC, con 9600bps de velocidad.

También podemos conectarnos por el puerto auxiliar del router. Este localmente no es tan utilizado, pero a diferencia del anterior, se emplea mucho para la configuración remota de un router por medio de un modem.

Otra manera de conectarse al router es por medio de un cable UTP cruzado. Este método se emplea cuando se desea enviar gran cantidad de información al router, como por ejemplo cuando queremos subirle un IOS por medio de un Servidor de TFTP.

Cisco IOSIniciando el router

A pesar de que lo veremos con más detalle adelante, cuando encendemos un router, este realiza el Power On Self Test (POST), por el cual el router testea que no haya errores de hardware en el equipo. Una vez realizada esta tarea, el mismo busca en la memoria Flash del equipo el IOS Cisco, de manera de cargarlo y comenzar de manera eficiente.

Luego de lo mencionado, el router busca en la NVRAM, que es como una Memoria RAM, pero NO volatil, la ultima configuración almacenada (veremos luego en detalle que sucede sino hay una). El primer mensaje que veremos es el siguiente:

Cisco IOSIniciando el router

Self decompressing the image : ############################################################################################################################################ [OK]

Cisco Internetwork Operating System SoftwareIOS (tm) 7200 Software (C7200-IK9S-M), Version 12.3(17b), RELEASE SOFTWARE (fc2)Technical Support: http://www.cisco.com/techsupportCopyright (c) 1986-2006 by cisco Systems, Inc.Compiled Tue 07-Mar-06 06:02 by dchihImage text-base: 0x60008AF4, data-base: 0x61EC0000

cisco 7206VXR (NPE400) processor (revision A) with 245760K/16384K bytes of memory.Processor board ID 4294967295R7000 CPU at 150MHz, Implementation 39, Rev 2.1, 256KB L2, 512KB L3 Cache6 slot VXR midplane, Version 2.1

Last reset from power-onBridging software.X.25 software, Version 3.0.0.

1 FastEthernet/IEEE 802.3 interface(s)125K bytes of non-volatile configuration memory.65536K bytes of ATA PCMCIA card at slot 0 (Sector size 512 bytes).8192K bytes of Flash internal SIMM (Sector size 256K).

Cisco IOSCommand Line Interface

Como hemos mencionado, CLI, es la herramienta del IOS de Cisco que permite configurar en modo texto los equipos.

Hay varios tipos de modo de configuración del router.

Si estamos en “modo global” al tipear primero “enable” y luego “configure terminal” generaremos cambios sobre la “running-config”, que es la configuración que está corriendo en el router actualmente. Todo cambio que realicemos afectará a la totalidad del router, y no a un proceso o interfase en particular.

Router>Router>enaRouter#conf termEnter configuration commands, one per line. End with CNTL/Z.Router(config)#Router(config)#

Cisco IOSCommand Line Interface

Si lo que deseamos es modificar la start-up config, que es el archivo que está alojado en la NVRAM, y que es con el que bootea el equipo, debemos ingresar “configure mem”, o bien modificar la running-config y luego desde el “enable” del router, tipear “write”, o bien “copy run start”, que toma la acción de reemplazar un archivo por otro en la NVRAM.

También podemos entrar al router en “modo específico de configuración”,“modo específico de configuración”, donde los cambios afectan solo a una interface o proceso en particular.

Finalmente, el “modo Setup”“modo Setup” posee una guía interactiva para configurar lo más simple.

Cisco IOS

CLI Prompts

Los prompts son ayudas que el IOS de Cisco otorga a los administradores de manera tal de no tener que memorizar todos los comandos. TENGA EN CUENTA QUE PARA EL EXAMEN DE CCNA, EL PROMPT “?” NO ESTA PERMITIDO, por lo que se debe memorizar los principales comandos. Veamos el siguiente ejemplo, en donde empleamos el promp “?” que es la ayuda del IOS. También se lo conoce como Helper.

Router#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interf ? BVI Bridge-Group Virtual Interface CTunnel CTunnel interface Dialer Dialer interface FastEthernet FastEthernet IEEE 802.3 Loopback Loopback interface Multilink Multilink-group interface Null Null interface Tunnel Tunnel interface Vif PGM Multicast Host interface Virtual-Template Virtual Template interface

Aquí vemos el Helper, que nos sirve de ayuda memoria, por si no recordamos un comando. Que podamos visualizar una gran variedad de placas, no quiere decir que el equipo las posea.

Cisco IOSTérminos de Usuario

Como hemos mencionado tenemos varios tipos de usuarios, según en que nivel de la configuración estemos:

• Modo Usuario (exec):Modo Usuario (exec): solo funciones de monitoreo, y chequeo limitadas. Por ejemplo, no se permite aquí el “show running” o abreviado “sh run”.

Router>sh clock*12:38:27.151 UTC Sat Jun 21 2008

• Modo Privilegiado (priv exec):Modo Privilegiado (priv exec): provee acceso a otros comandos de mayor privilegio, entre ellos el más importante, que es el configure terminal. Para ello debemos ingresar el comando “enable”

Router>enableRouter#sh runBuilding configuration...

Current configuration : 481 bytes!version 12.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption

Cisco IOS

Configuraciones Administrativas

Cuando nos referimos a funciones administrativas, nos referimos a detalles de la configuración de los routers o switches que son útiles a nivel global.

Esto quiere decir, cambiarle al equipo los passwords, el hostname, las descripciones a las interfaces y hasta agregarle banners, para que muestre un mensaje cuando bootea el equipo.

• Hostname: es el nombre del equipo. La única utilización que posee por ahora, es la de poder identificar al equipo dentro de una, por medio de un nombre en particular. Más adelante veremos, que para la autenticación PPP, se emplea el hostname como un parámetro de verificación.

Router>enaRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname tlmx01rt06tlmx01rt06(config)#

Cisco IOSBanners

Un banner, es un aviso que se presenta a la persona que está ingresando al router.

Hay 4 tipos de banner: login banner, message of the day banner, exec process banner y incoming terminal line banner

• Banner MOTD: es el banner que indica un mensaje del día, es el más usado de los banners, y se hace explícito para cualquier persona que se conecte al router por telnet, consola o puerto auxiliar. Esto se configura desde la global con usuario privilegiado, ya que este cambio afecta a todo el router.

tlmx01rt06(config)#banner ? exec Set EXEC process creation banner incoming Set incoming terminal line banner login Set login banner motd Set Message of the Day banner prompt-timeout Set Message for login authentication timeout

tlmx01rt06(config)#banner motlmx01rt06(config)#banner motd ? LINE c banner-text c, where 'c' is a delimiting charactertlmx01rt06(config)#banner motd c banner de prueba c

Cisco IOSPasswords - Enable

El equipo poseerá varios passwords, por ejemplo para conexiones remotas vía Telnet, o bien localmente para los puertos de consola y auxiliar. Por otro lado poseemos los passwords de enable, que son los que nos permiten ingresar a modo privilegiado, para realizar cambios a nivel global en el router.

• Enable:Enable: desde la global seteamos el “enable passw” que permite asegurarnos que no cualquier persona podrá tipear comandos en modo privilegiado sobre el equipo.

Las dos opciones más empladas, son el “enable secret” y el “enable passw”. La función es la misma, pero la diferencia radica en que la primera es encriptada.

Desde la global:

tlmx01rt06(config)#ena pass ccnatlmx01rt06(config)#ena secret ccna1234tlmx01rt06(config)#do sh run building configuration... current configuration : 630 bytes version 12.3 hostname CENTRAL-TECH enable secret 5 $1$paSU$wjswLUY/1uadWfXdxQPso1 enable password ccna

Cisco IOSPasswords - Aux

Aquí setearemos un password para aquellos que se conecten vía el puerto auxiliar al router. Todos los equipos poseen un solo port AUX.

tlmx01rt06(config)#tlmx01rt06(config)#line aux 0tlmx01rt06(config-line)#login% Login disabled on line 1, until 'password' is settlmx01rt06(config-line)#pastlmx01rt06(config-line)#password labo ccnatlmx01rt06(config-line)#logintlmx01rt06(config)#do sh runBuilding configuration...

Current configuration : 630 bytes

line aux 0 password labo ccna login stopbits 1

Sino agregamos el comando login, por más que haya un password seteado, no lo solicitará al administrador.

Cisco IOSPasswords - Consola

Aquí setearemos un password para aquellos que se conecten vía el puerto consola al router.

tlmx01rt06(config)#line contlmx01rt06(config)#line console 0tlmx01rt06(config-line)#password labo ccnatlmx01rt06(config-line)#login

Hay una forma de setear además el tiempo que podemos dejar que el puerto de consola funcione, una vez que alguien se ha logueado. Esto lo hacemos por medio del comando exec-timeout.

tlmx01rt06(config-line)#exec-titlmx01rt06(config-line)#exec-timeout 0 0tlmx01rt06(config-line)#loggtlmx01rt06(config-line)#logging sytlmx01rt06(config-line)#logging synchronous

El primer número del exec, indica la cantidad de minutos, mientras que el segundo valor, la cantidad de segundos.

Cisco IOSPasswords - Telnet

Aquí setearemos un password para aquellos que se conecten vía telnet al router.

tlmx01rt06(config)#line vttlmx01rt06(config)#line vty 0 4tlmx01rt06(config-line)#pastlmx01rt06(config-line)#password labo ccnatlmx01rt06(config-line)#login

El valor 0 4, se debe a que por default la mayoría de los IOS de Cisco que no sean Enterprise, soportan hasta 5 líneas VTY. Poseer 5 líneas VTY (Virtual Terminal Interface) permite tener conectados vía telnet hasta 5 usuarios.

Si no hay una passw de VTY seteada, cualquier petición que intente acceder al equipo será rechazada.

Para que los usuarios puedan ingresar vía telnet al equipo, se debe configurar lo siguiente:

tlmx01rt06(config)#line vttlmx01rt06(config)#line vty 0 4tlmx01rt06(config-line)#no login

Ahora sí, de esta manera, las sesiones por telnet no serán rechazadas.

Cisco IOS

Passwords – Encriptando las claves

A pesar de que hayamos colocado claves a todas las líneas, si un intruso posee un “show start” del equipo, podrá ver todas las passw en claro, excepto la enable secret.

tlmx01rt06#sh runBuilding configuration...!version 12.3service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname tlmx01rt06

enable secret 5 $1$paSU$wjswLUY/1uadWfXdxQPso1enable password ccna

line con 0 exec-timeout 0 0 password labo ccna logging synchronous login stopbits 1

Cisco IOS

Passwords – Encriptando las claves

Para poder encriptar las claves y evitar que las mismas estén en texto limpio en los “sh start” y “sh run” del equipo, debemos realizar lo siguiente:

tlmx01rt06#conf ttlmx01rt06(config)#service password-encryption

Veamos ahora el “sh run”:

tlmx01rt06#sh runBuilding configuration...

service password-encryptionhostname tlmx01rt06enable secret 5 $1$paSU$wjswLUY/1uadWfXdxQPso1enable password 7 04580E081B334D42440D00141A

line con 0 exec-timeout 0 0 password 7 020A055904460C22424F logging synchronous login stopbits 1

Cisco IOSDescripciones

La descripción es un comando útil para hacer un diagnóstico superficial de una falla. Supongamos que tenemos una conexión back to back entre routers, que se encuentran en oficinas remotas, a las cuales no podemos acceder fisicamente.

Si vemos que una interface está caída en un equipo, y queremos verificar contra que equipo está conectado, será útil tener alguna descripción, para facilitar la tarea. Solo bastara con verificar si la otra interface conectada se encuentra “down” para encontrar el problema.

tlmx01rt06 #conf ttlmx01rt06(config)#int fa0/0tlmx01rt06(config-if)#destlmx01rt06(config-if)#description A LAN CLIENTE

interface FastEthernet0/0 description A LAN CLIENTE no ip address shutdown duplex half

Esta descripción la podemos realizar sobre cualquier interface.

Cisco IOS

Activando una Interface

Lo primero que debemos realizar en una interface, es activarla. Para eso se emplea el negativo de shutdown, o sea “no shut”. Para ver el estado de la interface empleamos el comando “sh int xx/xx”.

tlmx01rt06#conf ttlmx01rt06(config)#int fa0/0tlmx01rt06(config-if)#no shuttlmx01rt06(config-if)#do sh int f0/0FastEthernet0/0 is up, line protocol is down Hardware is DEC21140, address is ca00.1784.0000 (bia ca00.1784.0000) Description: A LAN CLIENTE MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Half-duplex, 100Mb/s, 100BaseTX/FX ARP type: ARPA, ARP Timeout 04:00:00Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo…Tengamos en cuenta lo siguiente: la primera línea que indica “up”, nos advierte que la interface no está “shuteada”; mientras que el segundo estado “protocol down” nos advierte que a nivel de protocolo no está señalizando, por lo tanto no habrá comunicación.

Cisco IOS

Configurando una IP

Para que haya comunicación a nivel IP, una interface de nivel 3 debe tener una IP asociada.

Con una IP configurada, el proceso IP se encuentra activado.

tlmx01rt06 #conf

*Jun 23 23:12:49.519: %SYS-5-CONFIG_I: Configured from console by console

tlmx01rt06 #conf tEnter configuration commands, one per line. End with CNTL/Z.

tlmx01rt06(config)#int fa0/0tlmx01rt06(config-if)#ip addtlmx01rt06 config-if)#ip address 192.168.0.1 255.255.255.0

Cisco IOS

Interfaces Seriales

Las interfaces de este tipo se emplean para vínculos WAN, en donde el protocolo de nivel 2 es uno típicamente de redes extensas, como lo pueden ser ATM, Frame Relay y X.25.

A pesar de soportar diversos tipos de velocidad, habitualmente se configuran hasta 2Mbps (excepto las ATM, que pueden emplearse en BW de hasta 155Mbps).

En Cisco, estas placas se denominan WIC (Wan Interface Card). Estas placas pueden ser de los siguientes tipos (mencionaremos solo algunos):

• WIC-1T: placa con una interface serial v.24/v.35• WIC-2T: placa con dos interfaces seriales v.24/v.35• VWIC-1MFT: placa con una interface E1 G.703• VWIC-2MFT: placa con dos interfaces E1s G.703.• WIC-1B-S/T: placa con una interface PRI ISDN.

Es útil mencionar que las interfaces WIC-1T y WIC-2T pueden emplearse tanto para datos IP, como para datos con enlaces X.25, en donde solo varia el cable a emplear.

En el primer caso se emplear cables V35-MT, y en el segundo cables RS-232. El ejemplo clásico hoy por hoy, son los cajeros ATM.

Cisco IOS

Interfaces Seriales

Antes de configurar una interface serial, debemos comprender, como en toda transmisión de datos serial, quien se desempeña como DTE y quien como DCE.

El proveedor de Servicios, mantiene un esquema de sincronismo muy complejo. Ya sea en redes PDH o SDH, este carrier solo desea que su red se sincronice por medio de equipos que estén en condiciones de mantener un clock de forma constante. Por tal motivo veamos el siguiente esquema.

Los routers Cisco, por default poseen las interfaces seriales como DTE. Esto implica que aceptan clock de la red del Proveedor, por ende poseen un sincronismo externo. El mismo proveedor se encarga de sincronizar con la velocidad contratada la interface V35 o E1 con el router CPE.

Esto lo podemos realizar en los equipos SDH, con clock rate de 1984k, o en los equipos PDH, con un clock rate variable, dependiendo de la cantidad de TS asignados.

Red PDH/SDHDCE

DTEDTE

Cisco IOSInterfaces Seriales

A pesar de lo mencionado, existe la posibilidad de que dos routers sean conectados de forma back to back, por medio de una interface serial.

Por lo mencionado uno de los dos deberá asumir, en esa comunicación síncrona, el rol de DCE (Data Communication Equipment).

Para configurar un clock rate, o sea la velocidad de modulación que tendrá la interface, debemos realizar lo siguiente:

tlmx01rt06#conf ttlmx01rt06(config)# interface Serial1/0tlmx01rt06(config-if)#clock rate ? With the excep of the following sta values not subject to rounding, 1200 2400 4800 9600 14400 19200 28800 38400 56000 64000 128000 2015232 <246-8064000> DCE clock rate (bits per second)tlmx01rt06(config-if)#clock rate 64000

DTEDCE

Cable V.35

DCE

Cable V.35

DTE

Cisco IOSGuardando las configuraciones

Para almacenar todos los cambios que hemos realizado en el router, y que los mismos figuren, la próxima vez que el router “bootee”, debemos grabar estos en alguna memoria que no sea volatil, o osea en la NVRAM, que es la utilizada para cargar la información más importante acerca de la configuración, ya que en ella se encuentra la “start up config”.

Si realizamos un “sh start up” veremos como output, la configuración que se encuentra alojada en la NVRAM, pero si tipeamos “sh running-config” veremos la configuración que se está actualmente utilizando.

Si generamos cambios en la configuración del router, y deseamos guardarlos debemos tipear lo siguiente:

tlmx01rt06#copy run startDestination filename [startup-config]?Building configuration...[OK]tlmx01rt06#wrBuilding configuration...[OK] Cualquiera de las dos acciones, tiene el mismo fin, aunque en la certificación de CCNA se prefiere la primera.

Cisco IOSComandos útiles

A continuación mencionaremos los comandos más importantes, para verificar alguna configuración sobre una interface. Es de importancia que recuerde, que nos muestra cada uno antes de rendir el examen CCNA:

• ““Show interface”:Show interface”: este comando nos muestra la dirección física, lógica, el estado de la interface y una gran cantidad de estadísticas, entre ellas la cantidad de colisiones o el porcentaje de paquetes perdidos. Por ejemplo, “sh int fa0/0”

• “Show ip interface”Show ip interface”: muestra información acerca de la capa 3 del modelo OSI. Por ejemplo, sh ip int br, muestra todas las ips configuradas en las interfaces del router.

• “Show protocols”Show protocols”: es un comando que nos muestra 3 líneas por interface, cada línea indica el status y la configuración de las capas 1, 2 y 3 del modelo OSI. Por ejemplo: sh protocols

• “Show Controllers”Show Controllers”: muestra información acerca de la capa física de cada interface. En ella podemos ver que protocolo emplea, ver si la interface es DTE o DCE, que cable tiene conectado, etc. Por ejemplo: sh controllers s1/0.