[Apuntes] Planificación y administración de redes: Configuración de encaminadores
Configuración y administración de encaminadores.
Hay comandos básicos de routers aquí .
Asistente de configuración básica
El comando setup inicia un asistentes de configuración básica del router (nombre del dispositivo, contraseñas, configuración de un adaptador de red):
Router(config)# setup
Para borrar esa configuración:
Router(config)# erase startup-config
Cambiar nombre
Router(config)# hostname Nombre
Establecer contraseñas
Para acceso de administrador al router (asignar contraseña al comando enable):
Router(config)# enable secret LoQueSea
Router(config)# no enable secret
Para acceso vía Telnet:
Router(config)# line vty 0 4
Router(config-line)# password LoQueSeaOtroOtro
Router(config-line)# login
Para acceso vía puerto console:
Router(config)# line console 0
Router(config-line)# password LoQueSeaOtroOtro
Router(config-line)# login
Cifrar las contraseñas
Router(config)# service password-encryption
Guardar configuración en la NVRAM
Router# copy running-config startup-config
Lo mismo:
Router# do w
Ver configuración
Router# show running-config
Router# show startup-config
Copiar configuración vía FTP
Router# copy startup-config tftp
Router# copy running-config tftp
Router# copy tftp startup-config
Router# copy tftp running-config
(Pedirá IP del servidor FTP -se crea en un servidor genérico, en Config > Services-, usr y pw)
Enrutado estático
Añadir una ruta estática a la tabla del router:
Router(config)# ip route ipDeDestino mask ipAdaptadorCercanoOtroRouter
Router(config)# ipv6 route ipDeDestino mask ipAdaptadorCercanoOtroRouter
Ejemplos
En el router 172.16.1.1:
Router(config)# ip route 192.168.2.0 255.255.255.0 172.16.1.2
En el router 172.16.1.2:
Router(config)# ip route 192.168.1.0 255.255.255.0 172.16.1.1
Para especificar la ruta por defecto:
Router(config)# ip route 0.0.0.0 0.0.0.0 195.34.12.8
(esto hace que 195.34.12.8 sea la puerta de enlace del router)
Mostrar tabla de rutas:
Router(config)# show ip route
ACL
Tras realizar la planificación previa, crear cada ACL en modo configuración global (config) del router e identificarla por un número en el rango correspondiente, posteriormente asignarla(s) al adaptador adecuado:
Crear ACL estándar:
Router(config)# access-list número(1-99) {deny|permit} ipOrigen wildcardOrigen
Y asignarla al adaptador más cercano a donde se aplicará el filtro:
Router(config)# int Fa0/1
Router(config-if)# ip access-group número {in|out}
(in para tráfico entrante en el router, out para tráfico saliente del router)
Crear ACL extendida:
Router(config)# access-list número(100-199) {deny|permit} protocolo ipOrigen wildcardOrigen ipDestino wildcardDestino
Y asignarla al adaptador más cercano a donde se aplicará el filtro:
Router(config)# int Fa0/1
Router(config-if)# ip access-group número {in|out}
(in para tráfico entrante en el router, out para tráfico saliente del router)
Ejemplos
Descartar todos los paquetes cuya dirección de origen es 10.0.0.1:
Router(config)# access-list 1 deny 10.0.0.1 0.0.0.0
(‘10.0.0.1 0.0.0.0’ es lo mismo que ‘host 10.0.0.1’)
Permitir los mensajes cuya dirección de origen se encuentra en la subred 192.168.32.0/20:
Router(config)# access-list 2 permit 192.168.32.0 0.0.15.255
Prohibir los mensajes cuya dirección de origen se encuentra en la subred 172.16.4.0/24:
Router(config)# access-list 3 deny 172.16.4.0 0.0.0.255
Permitir a equipos de 192.168.1.0/24 enviar paquetes SSH (puerto tcp 22):
Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 22
Denegar todo el tráfico tcp desde 10.0.0.0/8 a puertos bien conocidos (<1024) de la red 172.16.5.0/16:
Router(config)# access-list 101 deny tcp 10.0.0.0 0.255.255.255 172.16.5.0 0.0.255.255 lt 1024
Permitir que únicamente los equipos de la red 195.45.2.0/24 se puedan conectar por Telnet para configurar el router:
Router(config)# access-list 4 permit 195.45.2.0 0.0.0.255
Router(config)# access-list 4 deny any
Router(config)# line vty 0 4
Router(config-line)# ip access-class 4 in
Denegar ping (tráfico ICMP):
Router(config)# access-list 102 deny icmp any any
Denegar paquetes con origen en la red 192.168.1.0/24 y luego permitir cualquier origen. Asociar la ACL a la entrada por la interfaz serie 2/0 del router:
Router(config)# access-list 5 deny 192.168.1.0 0.0.0.255
Router(config)# access-list 5 permit any
Router(config)# interface Se2/0
Router(config-if)# ip access-group 5 in
Denegar al host 175.253.10.1 (“PC1”) el acceso al puerto 80 de cualquier red de destino. Posteriormente, se permite todo el tráfico IP. Asociar la ACL a la interfaz serie 0/1 como entrante:
Router(config)# access-list 103 deny tcp PC1 175.253.10.1 any eq 80
Router(config)# access-list 103 permit ip any any
Router(config)# interface Se0/1
Router(config-if)# ip access-group 103 in
Enrutado de dos VLAN con router
Añadir un nuevo router normal y conectar (con el cable negro contínuo) las dos bocas FastEthernet del router con las dos bocas FastEthernet del switch normal.
En el router, para la red 192.168.10.0/24:
Router(config)# interface Fa0/0
Router(config-if)# ip address 192.168.10.254 255.255.255.0
Router(config-if)# no shutdown
Y para la red 192.168.20.0/24:
Router(config)# interface Fa1/0
Router(config-if)# ip address 192.168.20.254 255.255.255.0
Router(config-if)# no shutdown
Enrutado de dos VLAN con switch de capa 3
En el switch de capa 3 llamado 3560-24PS (Multilayer) creo la VLAN 10 para la red 192.168.10.0/24:
Switch(config)# interface vlan10
Switch(config-if)# ip address 192.168.10.254 255.255.255.0
Creo la VLAN 20 para la red 192.168.20.0/24:
Switch(config)# interface vlan20
Switch(config-if)# ip address 192.168.20.254 255.255.255.0
Y, muy importante:
Switch(config)# ip routing
Enrutado de dos VLAN con dos interfaces virtuales (router on a stick)
Se supone que creamos dos interfaces virtuales porque en el router sólo queda una boca libre. Así que, antes, en el switch normal, pongo la boca FastEthernet que conectaré al router (2/1) en modo trunk:
Switch(config)# interface Fa2/1
Switch(config-if)# switchport mode trunk
Añado el router normal y conecto (con cable negro contínuo) su supuesta única boca FastEthernet (0/0) con la boca FastEthernet en modo trunk del switch (2/1).
En el router, para la red 192.168.10.0/24:
Router(config)# interface Fa0/0.10
Router(config-subif)# encapsulation dot1q 10
Router(config-subif)# ip address 192.168.10.254 255.255.255.0
Y para la red 192.168.20.0/24:
Router(config)# interface Fa0/0.20
Router(config-subif)# encapsulation dot1q 20
Router(config-if)# ip address 192.168.20.254 255.255.255.0
Y arranco el interface físico (el 0/0, no el 0/0.10 ni 0/0.20):
Router(config)# interface Fa0/0
Router(config-if)# no shutdown