Introduccin al CLI en Routers y Switches CISCO

IntroduccinalCLI
enRoutersySwitchesCISCO
(Versin2.3)
Puedesdescargarlaltimaversindeestedocumentode:
http://blog.unlugarenelmundo.es/?page_id=127

JosMaraMoralesVzquez
josemaria@moralesvazquez.com

Jos Mara Morales Vzquez

Pgina 1

Introduccin al CLI en Routers y Switches CISCO

CONTENIDO
1. INTRODUCCIN...............................................................................................3
Modos de operacin.........................................................................................3
Otros trucos tiles en el CLI.............................................................................4
2. CONTRASEA DE ACCESO AL MODO PRIVILEGIADO Y OTROS COMANDOS.....4
El comando show.............................................................................................4
Historial de comandos.....................................................................................4
Contrasea de acceso al modo privilegiado....................................................4
El comando no.................................................................................................5
El comando do.................................................................................................5
Otros comandos bsicos..................................................................................5
3. INTERFACES Y LNEAS. CONFIGURACIN BSICA DE UN ROUTER...................6
Identificacin de interfaces y lneas.................................................................6
Configuracin de interfaces ethernet..............................................................6
Configuracin de rutas estticas.....................................................................7
4. ACCESO REMOTO............................................................................................7
Acceso por telnet.............................................................................................8
Acceso por ssh.................................................................................................8
5. CONFIGURACIN DE UN SERVIDOR DHCP.......................................................9
6. INTRODUCCIN A LOS PROTOCOLOS DE ENCAMINAMIENTO DINMICO.......10
7. RIP, ROUTING INFORMATION PROTOCOL.......................................................11
8. EIGRP, ENHACED INTERIOR GATEWAY ROUTING PROTOCOL.........................12
9. OSPF, OPEN SHORTEST PATH FIRST...............................................................14
10. SWITCHES....................................................................................................15
Asignacin de una IP al switch para acceder de forma remota.....................16
11. REDES VIRTUALES (VLANs)..........................................................................16
Enrutamiento entre VLANs.............................................................................18
12. OTROS COMANDOS.....................................................................................19
13. INTRODUCCIN A LA SEGURIDAD EN LOS SWITCHES CISCO.......................19
Desconexin de puertos no usados o sospechosos.......................................19
DHCP Snooping..............................................................................................20
Control de las MAC conectadas a los puertos del Switch...............................21
Storm Control.................................................................................................23

Jos Mara Morales Vzquez

Pgina 2

Introduccin al CLI en Routers y Switches CISCO

1.INTRODUCCIN

Los routers CISCO son como pequeos ordenadores. Tienen un procesador, se

pueden ampliar con nuevos interfaces, su software se actualiza como un
verdaderosistemaoperativo,etc.Unadesuscaractersticasmsimportantesson
suscuatrodiferentestiposdememoria:
ROMEslamemoriaquevienedeserieycontieneelcdigoindispensable
paraqueelrouterarranque.Nopuedemodificarse.
Flash EslamemoriadondesecargaelsoftwareIOSdeCISCOqueesel
quenosvaapermitirconfiguraryoperarelrouter.EsactualizableyCISCO
proporciona nuevas versiones peridicamente corrigiendo errores y
proporcionandonuevasfuncionalidades.
NVRAMEsunapequeamemoriadondeseguardalaconfiguracindel
router que queremos que se cargue inicialmente cada vez que este
arranca.
RAM Eslamemoriadetrabajodelrouterdondesecarganlastablasde
rutado, las configuraciones que hemos aplicado pero que no hemos
salvado,etc.Eslanicamemoriavolatil,esdecir,quesepierdecuandose
reiniciaelrouter.
Laprimeravezquevamosaconfigurarunrouternostenemosqueconectarcon
uncableseriealaentradadeconsolaynossaltarunscriptdeconfiguracin
inicialquepodemossaltarnos(pulsandoCtrl+cencualquiermomentoodiciendo
quenoalaprimerapregunta).PacketTracernossimulaesteprocesocuando
entramos en la pestaa CLI de un router o cuando lo conectamos a un PC
medianteunterminalseriealpuertodeconsola.
Los routers de CISCO suelen llevar tambin un pequeo servidor web al que
podemos conectarnos a travs de un navegador para configurarlos. CISCO
tambin proporciona aplicaciones Java para hacer esto, pero la opcin ms
popularymsbuscadaentrelosprofesionalesesquesepanconfigurarunrouter
CISCOatravsdelCLI(CommandLineInterface).

Modosdeoperacin
LosroutersCISCOtienentresmodosdeoperacinensulneadecomando:
modonormaldeusuario,elinicialconunpromptas>
privilegiadoodeadministracin,conprompt#
deconfiguracin,conlapalabraconfigantesdelprompt#
Parapasardemodonormalaprivilegiadoseusaelcomandoenable
Parapasardeprivilegiadoaconfiguracinseusaelcomando configure
terminal
Para volver atrs un nivel se usa el comando exit. Ctrl+Z tambin nos
devuelve almodo privilegiado desdeelmodo de configuracin. disable
tambinnosdevuelvealmodonormaldesdeelmodoprivilegiado.

Jos Mara Morales Vzquez

Pgina 3

Introduccin al CLI en Routers y Switches CISCO

OtrostrucostilesenelCLI
Paraautocompletarcomandosseusaeltabulador
Parapedirayudadecomandosdisponiblesuopcionesdelosmismosseusa
elsigno?
No hace falta escribir los comandos completos. Basta con las letras
suficientesparaquenohayaconfusinconotrasalternativas.Esvlidoena
porenable,configtermporconfigureterminal,etc.
Ctrl+Shift+6interrumpelaejecucindeuncomandoquenorespondeyque
sehaquedadopillado.

2. CONTRASEA DE ACCESO AL MODO PRIVILEGIADO Y OTROS

COMANDOS
Elcomandoshow

Elcomandoshowesbsicoparaobtenerinformacinacercadelrouter.Iremos
viendootrasutilidadespero,porejemplo,tenemostambinlassiguientes:
showversionmuestralaversindeIOSqueestamosusando,lainformacin
decopyrightdeCISCOqueapareceenelarranqueyunresumendelas
caractersticaseinterfacesdenuestrorouter.
showrunningconfiglistalaconfiguracindelrouterqueestactualmente
en ejecucin (en RAM y no en NVRAM!). Es muy til para guardar en
papellaconfiguracindereferenciadecadaunodenuestrosrouters.

Historialdecomandos
Comocasitodoslosinterfacesenlneadecomandos,elCLIdeCISCOguardaun
historial de las ltimas rdenes que hemos ejecutado desde la cnsola y que
podemosvisualizarconlasiguienteordenquesepuedeejecutardesdeelmodo
normaloprivilegiado:
showhistory
Por defecto se guardan los ltimos 10 comandos ejecutados. Si queremos
incrementaresenmerolohacemosdesdeelmodoprivilegiadoconlasiguiente
orden:
terminalhistorysize50
Siquisiramosdesactivarelhistorialdecomandosejecutamoslosiguiente:
terminalhistorysize0

Contraseadeaccesoalmodoprivilegiado
Como hemos visto, al sacar el router de la caja este no est protegido con
contrasea. Existen diferentes formas de proteger el acceso al router pero la
primeraquedebemos deusaresladeasegurarnos quenadieentraalmodo
privilegiado sin una contrasea cifrada. Para ello, desde el modo de
configuracintenemosqueejecutarelcomandoenablesecretyacontinuacin
lacontraseaquedeseamos.
Jos Mara Morales Vzquez

Pgina 4

Introduccin al CLI en Routers y Switches CISCO

Existeotraopcinmedianteelcomando enablepassword,peroenestecasola
contraseaselistarenclaroalhacer showrunningconfig.Podemoscifraresta
contraseamedianteelcomandoservicepasswordencryption,peroanasse
tratadeunaproteccinmuydebilquepuede saltarsemediante herramientas
comunescomolaquehayenestaweb:
http://www.ibeast.com/content/tools/CiscoPassword/
Veremosmsadelanteotrasformasdeprotegerelaccesoanuestrorouter:con
usuarioycontrasea,etc.

Elcomandono
Elcomandonoantespuestoaotrocomandosirve,enlasocasionesenlasque
estosepuedehacer,paraeliminar,desactivar,volveratrsodeshacerelefecto
dedichocomando.Porejemplo,paraeliminarlacontraseadeaccesoalmodo
priviliegiado usamos no enable secret o para borrar el nombre que le hemos
puestoanuestrorouterpodemosusarelcomandonohostname.

Elcomandodo

Si queremos ejecutar un comando del modo privilegiado desde el modo

configuracin(algotpicosinecesitamosejecutaralgncomandoshowmientras
estamosconfigurandoalgo)ynoqueremosestarcambiandocontinuamentede
modo, podemos hacerlo anteponiendo el comando do. Por ejemplo,
escribiendo do sh ip route desde el modo de configuracin nos ejecutara el
comandocomosiestuveramosenelmodoprivilegiado.Elnicoinconveniente
deejecutarcomandoscon do esquenotendremosdisponiblesnilasfuncioens
deautocompletarnilaayudaconlatecla?

Otroscomandosbsicos
hostname<nombre>desdeelmododeconfiguracin,nospermitecambiar
elnombredistintivodelrouter.
banner motd # Tambin desde el modo de configuracin, nos permite
personalizar el mensaje de bienvenida que recibimos al conectarnos al
router. Podemos escribir lo que queramos usando varias lneas, etc. El
mensajefinalizacuandovolvamosaescribir # alprincipiodeunalneay
pulsemoslateclaINTRO.Silodeseamospodemosusarotrocaractercomo
finalizadorcambindoloenelcomando.
reload Desde el modo privilegiado reinicia el router. Los cambios no
salvadossepierden.
writememoryoslowritedesdeelmodoprivilegiadosalvalaconfiguracin
actualmenteenejecucincomoconfiguracinpordefecto.
copyrunningconfigstartupconfigIdemalanterior.
writeerase Limpiatodalaconfiguracindelrouterylodejacomorecin
salidodelacaja.
writestartupconfigIdemalanterior.

Jos Mara Morales Vzquez

Pgina 5

Introduccin al CLI en Routers y Switches CISCO

3.INTERFACESYLNEAS.CONFIGURACINBSICADEUNROUTER
Identificacindeinterfacesylneas

LosroutersCISCOtienendostiposdeconexiones:interfacesylneas.Lasinterfaces
sonaquellasconexionesqueusamosparaconectarlosentresoaotrosequipos
paraquedesempeenlasfuncionesderutadopropiamentedichas.Laslneas,
porotrolado,sonconexionesqueusamossloparaconfigurarlosomanipularlos.
Lasinterfacespuedenserserie,ethernet,fastethernet,gigaethernet,atm,etc.
Laslneaspuedenserconsole,auxovty.
Lasinterfacesseidentificanporunasecuenciadenumerosseparadosporbarras
deltipo0/0/0dondeelprimerorepresentalabaha,elsegundoelslotyeltercero
elpuerto.Sislohubieradosseranslotypuertoysiapareceunosloesquese
identificaconelpuertosinms(aunqueestoslosueleocurrirenlaslneasynoen
losinterfaces). Seaadeadems,alprincipiodelasecuencia,unaletraque
indica el tipo de interface (e por ethernet, f por fast ethernet, g por gigabit
ethernet,sporserial,etc.).Porejemploe0/1/0of0/0,s0/0/0og7/0.
Podemos listarlos interfaces que tiene nuestra mquinacontodos sus detalles
medianteelcomandoshowinterfacesdesdeelmodoprivilegiado.
Siqueremosinformacinslodeundeterminadointerfaceloconcretamosenel
comando.Porejemploshowinterfacef0/1
ParaaadirunadireccinIPsecundariaauninterface(enPacketTracernoest
implementadoestoynofunciona)usamoslasiguientesintaxis:
ipaddress192.168.10.1255.255.255.0secondary

Configuracindeinterfacesethernet
Laconfiguracindeuninterfaceserealizaentrespasos,siempredesdeelmodo
deconfiguracin: seleccionarlainterfaceaconfigurar, asignarleuna ipyuna
mscara a ese interface y, finalmente, activarla. Para las interfaces serie
necesitaramos, adems, activar una seal de reloj en uno (y slo uno) de los
extremosdelacomunicacin,peroestonovamosaverloporelmomento.
Supongamosquequeremosconfigurarelinterfazfastethernetidentificadocomo
0/1conlaIP192.168.0.1delasubred192.168.0.0/25.Lasecuenciadecomandosa
aplicar(desdeelmododeconfiguracin)seralasiguiente:

interfacef0/0paraseleccionarlaconfiguracindelinterface
ipaddress192.168.0.1255.255.255.128paraasignarleIPymscara
noshutdownparaactivarlo
exitparasalirdelmododeconfiguracindeinterfaceyvolveralmodode
configuracinnormal.

Jos Mara Morales Vzquez

Pgina 6

Introduccin al CLI en Routers y Switches CISCO

Observaqueenrealidadnoexisteningncomandoparaactivaruninterface.
Slo existe el comando shutdown que lo desactiva. Al usarlo junto con el
comandonoconseguimoselefectocontrario.
Observa tambin que una vez seleccionado el interface a configurar con el
comandointerfacef0/1elpromptvuelveacambiarypone(configif)#enlugar
del(config)#habitualparaquedistingasqueestsconfigurandouninterfacede
red.
Elcomando showipinterfacebrief nosmuestraunlistadoresumendetodoslos
interfacesdenuestrorouteryelestadoenelqueseencuentran.

Configuracinderutasestticas

Las rutas estticas se introducen en el router a travs de los tres mismos

parmetrosqueusbamosenlasventanasdeasistenciadelpackettracer.Un
ejemplodelcomandoausar(desdeelmododeconfiguracin)paraintroducir
unarutaestticaeselsiguiente:
iproute192.168.3.0255.255.255.0192.168.0.2
Donde 192.168.3.0 es la direccin de la red a la que queremos llegar,
255.255.255.0 sumscaray 192.168.0.2 elsiguientesalto,esdecir,ladireccinIP
de otro router, conocido por el que estamos configurando, donde hay que
entregarlosmensajesparaencaminarloshacalaredalaquequeremosllegar.
Sinecesitamosrutasalternativas,podemosaadiralfinalotroparmetroconuna
mtricaquesimbolizeladistanciaopreferenciaderuta.Cuantomenorseael
nmero,mayorpreferenciasedaraesaruta.Pordefectosinoponemosnada
seconfiguracomo1:
iproute192.168.3.0255.255.255.0192.168.0.52
Elcomandoshowiproutenosmuestratodaslasredesquenuestrorouterconoce,
distinguiendosiestconectadodirectamenteaellas,sitienealgunarutaesttica
configurada o cualquier otra condicin. Si slo queremos ver las redes
directamenteconectadasanuestrorouterusaremoselcomando showiproute
connected

4.ACCESOREMOTO

HastaahorahemostrabajadoenmodoCLIconnuestrosroutersCISCO,peroen
ningnmomentonoshemosplanteadocomorealizamoseseacceso.
Cmo accedemos a la pantalla del CLI de un dispositivo CISCO realmente?
Tenemos varias formas de hacerlo. Una de ellas, la que deberamos de usar
inicialmente cuando sacamos el dispositivo de su caja, es conectarnos
Jos Mara Morales Vzquez

Pgina 7

Introduccin al CLI en Routers y Switches CISCO

directamenteconunPCmedianteunemuladordeterminalyatravsdelpuerto
de consola que traen todos ellos. Pero una vez instalado, configurado y
emplazado en un armario de comunicaciones junto con otras decenas de
dispositivosy,alomejor,enotraplantauotroedificiodiferentealdenuestrolugar
detrabajoestaformayanoresultacmoda.Afortunadamentepodemosrealizar
unaccesoremotomediantetelnetosshparalocualtenemosquerealizaruna
configuracinprevia.
NOTA: Algunos dispositivos CISCO disponen, adems, de una direccin IP
configuradapordefectoquenospermiten,nadamsenchufados,contectarnos
aellosatravsdeunnavegadorwebyrealizarunaprimeraconfiguracinde
formagrficamedianteunainterfazweb.

Accesoportelnet
Laconfiguracindelaccesomediantetelneteslamssimple,perohemosde
recordar que el acceso por telnet se hace siempre en claro y cualquierea
podra escuchar a travs de la red cualquier comando o contrasea que
escribamos.Desdeelmododeconfiguracin,ejecutamoslosiguiente:
linevty04vamosaconfigurarhastacincoaccesossimultaneos(desdeel0
al4)remotos.Elpromptcambiaa(configline)#
passwordsmrdefinimoslacontraseadeentradaportelnetcomosmr
loginhabilitamoselacceso
Conestonosdejaconectarnosportelnetperononosvaadejarentraralmodo
privilegiado o al de configuracin porque no est protegido con contrasea.
Para que se nos permita usar el modo privilegiado en una conexin remota
tenemosqueprotegerlomediantecontraseacomoyasabemoshacer:
enablesecretarboleda
NOTA: El procedimiento es el mismo para poder acceder a un router o a un
switch.

Accesoporssh

Elaccesoporssheselmscomnyltamenterecomendado.Todoeltrfico
entre nuestro terminal y el dispositivo de CISCO se realiza cifrado y es
indescifrable.Todoslosroutersadmitenaccesoporsshperoslolosswitchsde
gamaaltalosoportan.Recuerda,adems,quetantounoscomootrosdebende
tenerconfiguradaunadireccinIPparaquepodamosaccederaellosporssh.
Loscomandosnecesariosdesdeelmododeconfiguracinson:
hostnamemirouter
ipdomainnamearboleda.netEsobligatoriodefinirunnombreyunnombre
dedominioparaeldispositivo.Lohacemosconelcomandoanterior(que
yaconocemos)yconeste.
cryptokeygeneratersaparaconfigurarlafortalezadelaclavedecifrado
queusaremos.Senospedirunnmeroquepuedeser512,1024o2048.A
Jos Mara Morales Vzquez

Pgina 8

Introduccin al CLI en Routers y Switches CISCO

msalto,mayorfortalezaperotambinmayorconsumodeCPU.1024esel
valorrecomendado.
linevty01 Vamosaconfigurarhastadosaccesossimultaneosporssh.El
promptcambiaa(configline)#
transportinputsshParahabilitarelaccesoporssh
loginlocalParahabilitarelaccesomedianteusuarioycontraseaenlugar
desloconcontraseacomohastaahora.
username josemaria privilege 15 password arboleda donde creamos al
usuariojosemariaconcontraseaarboledayniveldeprivilegios15
Los niveles de privilegios van entre 0 y 15 y definen los comandos que tendr
permiso para ejecutar el usuario. Un nivel 1 corresponde con el modo normal
(prompt>)yunnivel15coneldemximosprivilegios(prompt#).
Y ya est. Ahora podemos acceder por ssh desde cualquier equipo a este
dispositivo.
showipsshoshowsshnosmuestraninformacinacercadelservicio
showprivilegenosdiceelniveldeprivilegioconelqueestamostrabajando.
NOTA:Elprocedimientoeselmismoparapoderaccederaunrouteroaunswitch
salvoqueannosabemoscomoconfigurarunaIPenunswitch.Esoloveremos
msadelante.

5.CONFIGURACINDEUNSERVIDORDHCP

Los router CISCO, al igual que casi todos los routers, pueden configurarse de
forma que adems realicen las funciones de servidor dhcp. La forma de
configurarlosesmuysimpleytienecuatropasos:crearunpooldedirecciones,
asociarlo a una determinada red (indicando la direccin de la misma y su
mscara), indicar la direccin del router por defecto que entregaran a sus
clientes y, por ltimo, excluir las direcciones que usaremos para asignaciones
manuales.Loscomandosconcretosausar,desdeelmododeconfiguracin,son
lossiguientes:
ipdhcppoollaarboledacreaunpooldedireccionesparaadministrarpor
dhcpyleasignaelnombredistintivolaarboleda
network 192.168.0.0 255.255.255.128 le asigna al pool anterior la red
delimitadaporladireccindered192.168.0.0conmscara255.255.255.128
defaultrouter192.168.0.1asignaladireccin192.168.0.1comoladelrouter
pordefectoqueentregaralosclientesjuntoconlaipcorrespondiente,
exit parasalirdelmododeconfiguracindeldhcpyvolveralmodode
configuracinnormal.
Elrouterpuedetenermsdeuninterfacederedytambinmsdeunpoolde
direcciones dhcp. El asocia los pools con los interfaces a travs de los cuales

Jos Mara Morales Vzquez

Pgina 9

Introduccin al CLI en Routers y Switches CISCO

entregarlasdireccionesporqueladireccindelinterfacedebedecorresponder
conladelaredasociadaalpooly,comoyasabemos,cadainterfacedelrouter
debedeperteneceraunareddiferente.
Observatambinque,aligualqueocurraconlaconfiguracindelosinterfaces,
elprompttambincambiaaqupordhcpconfigparaadvertirnosdelmodoenel
quenosencontramos.
Paraexcluirunrangodedireccionesusamoselsiguientecomando:
ip dhcp excludedaddress 192.168.0.1 192.168.0.20 para exlcuir las
direccionesentrela192.168.0.1yla192.168.0.20.Elrestodelasdirecciones
delared(enestecasodesdela192.168.0.21hastala192.168.126)seran
usadasporelserviciodhcp
Podemosinspeccionarlatabladeasignacindedireccionesdelserviciodhcp
medianteelsiguientecomando:
shipdhcpbinding
Elserviciosedetienesimplementeusandoelcomandonosobrelaprimeraorden:
noipdhcppoollaarboleda
Existen muchas ms opciones a la hora de configurar el servidor dhcp de un
router CISCO: el tiempo de vida de las direcciones entregadas, asignar
direcciones fijas por MAC a ciertos equipos, asignar las direcciones de los
servidoresDNSalosclientes,etc.(aunquealgunasdeestasopcionesnovienen
animplementadasenpackettracer).Paraquienquierainformacinexhaustiva
sobreestotienelasiguientegua(eningls)elaboradaporCISCO:
http://www.cisco.com/en/US/docs/ios/12_2/ip/configuration/guide/1cfdhcp.html

6. INTRODUCCIN A LOS PROTOCOLOS DE ENCAMINAMIENTO

DINMICO

Losrouterspuedenutilizardostiposdemodosdefuncionamientoalahorade
realizarsutrabajodeencaminamiento:usartablasdeencaminamientoesttico
(loquehemosvistohastaahora)ousarprotocolosdeencaminamientodinmico.
Enredessencillasenlasquesloexisteunnicocaminoparacomunicarentre
dospuntoslosprotocolosdeencaminamientodinmiconotienenrazndeser.
Enlasredescomplejasenlasquepodemostenerdiferentesrutasentredospuntos
y,adems,latopologapuedecambiaroexisteelriesgodequeciertostramosse
colapsen en determinadas circunstancias, los protocolos de encaminamiento
dinmicoofrecenunmejorresultado.
Jos Mara Morales Vzquez

Pgina 10

Introduccin al CLI en Routers y Switches CISCO

Seusandosestrategiasenlosprotocolosdinmicos:lasdenominadasdevector
distancia y las de estado de enlace. A grandes rasgos, la primera trata el
problema como las indicaciones de carretera. Para llegar a un destino slo
tenemosqueseguirloscartelesperonotenemosunainformacintotaldelaruta:
sloelnmerodekms.quenosseparadenuestrodestino.Sitenemosdosrutas
alternativas veremos los kms. que faltan segn cojamos una u otra, pero no
tendremos casininguna otrainformacin.Los protocolos deestado de enlace
seran comparables a viajar con un GPS y un mapa de carreteras: tenemos
informacincompletadetodalarutahastanuestro destinoypodemostomar
decisionesnosloporelnmerodekms.
Lostresprotocolosdeencaminamientodinmicomsutilizadosenlaactualidad
son RIP, EIGRP y OSPF. Todos ellos pueden usarse en routers CISCO. Los dos
primerossondevectordistanciayeltercerodeestadodeenlace.

7.RIP,ROUTINGINFORMATIONPROTOCOL

RoutingInformationProtocol.Protocolodeencaminamientodinmicoestndar
muysimple.Esunprotocolodelosdenominadosde vectordistancia yesmuy
utilizadoenredespequeasomedianas.
LaconfiguracindeRIPesmuysencilla:elrouterslonecesitainformacindelas
redesconectadasdirectamenteal.Elrestolodescubrirporlainformacinque
leenvenlosdemsrouters.RIPeligesiemprelarutaconmnimonmerodesaltos,
perosiestasecaeyexisteotradisponibleserecuperaylasustituye(aunquelo
hace de forma bastante lenta comparada con otros protocolos). Existen dos
versionesdeRIP.Lasegunda,queeslaqueveremos,esdeconfiguracinsin
clase(classless),ynospermitirelusodesubnettingysupernettingennuestras
redessintener,adems,queindicarlasmscarasdelasmismas.
Enlosprotocolosdevectordistancialosroutersnotienenunatablacompletade
lared,sinoslodelosdestinosadyacentes(deformamuyparecidaalasrutas
estticas).RIPestrestringidoaredesconmsde15saltosentredosdestinos.De
formapredeterminadaactualizalainformacindesustablascomunicandocon
losdemsroutersdelaredcada30segundos.Estoesasinclusocuandonohay
cambiosenlaredenvariosdas.
LosroutersconRIPensuversin1secomunicanentreellosusandobroadcastyla
direccin especial 255.255.255.255. En la versin 2, ms recomendable, usan
multicastyladireccinIP 224.0.0.9 (recuerda:unadireccinclaseDqueestn
reservadasparausosespecialescomoeste).
Los comandos bsicos para configurar un roter CISCO con la versin 2 del
protocoloRIPson:

Jos Mara Morales Vzquez

Pgina 11

Introduccin al CLI en Routers y Switches CISCO

routerripdesdeelmododeconfiguracinactivaelmododeconfiguracin
delprotocoloRIP.Elpromptcambiaa(configrouter).
version2 habilitaelusodelaversin2delprotocolo,queesconlaque
trabajaremos.
Acontinuacintenemosqueiragregandounaaunatodaslasredesquetienen
conexindirectaconelrouter.Lohacemosaadiendoslolasdireccionesdered
(sinmscara)atravsdelsiguientecomando:
network192.168.20.0
Enredesconsubnettingysupernettingcomplejastenemosquedecirlealrouter
que no queremos que agrupe las rutas de forma automtica con el siguiente
comando:
noautosummary
Elautosummaryderutasahorramuchamemoriaalosroutersperopuededar
lugaraerroresenalgunastopologascomplejas.
Tendremosqueejecutaruncomandocomoelanteriorporcadaredconectada
alrouter.
Porltimo,paracomprobarelcorrectofuncionamientodelprotocolopodemos
activarelmododebugdeformaqueveremosenlaconsolatodoslosmensajes
generados.Lohacemosconelsiguientecomando:
debugiprip
Paradesactivarestemodoyvolveralaoperativanormal:
undebugall
Seguramentenopodrsescribirlodeunavezporqueteversinterrumpidoporlos
mensajesdelprotocolo.Noechescuentadeello,escrbelocomosinopasara
nadaypulsaintroalfinal.
Msinformacinyopcionesextendidassobreesteprotocolo:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdrip.html

8.EIGRP,ENHACEDINTERIORGATEWAYROUTINGPROTOCOL

EnhancedInteriorGatewayRoutingProtocol.Setratadeunprotocolopropietario
deCISCO.Avecesseloconsideraunprotocolohbridoqueusavectordistancia
yestadodeenlace,peroenrealidadesunprotocolodevectordistanciaqueusa
Jos Mara Morales Vzquez

Pgina 12

Introduccin al CLI en Routers y Switches CISCO

algunasdelascaractersticasdelosprotocolosdeestadodeenlacey,alahora
detransmitirinformacinalosroutersvecinos,notieneencuentasloelnmero
desaltosparallegaradestinosinoquetambinconsideraotrosparmetros.
EIGRPusa5mtricasparaestablecerlasrutasptimas:elanchodebanda,el
retrasodelared,laconfiabilidad,lacargadelaredyelmtuounidadmximade
transferencia,aunque tieneunmodo pordefectoqueslo tomaelancho de
bandayelretraso. Sitodoslosenlacestienenelmismoanchodebandayel
mismoretraso,eselnmerodesaltosloquedeterminaelcamino.Enestecasose
comportaigualqueRIPalahoradeescogerelcamino(minimizandoelnmero
desaltos)perorecomponelarutamuchomsrpidosisecaealgnenlace.En
una rutaconvarios saltos setomacomo anchodebandaeldelsalto quelo
tengamenorycomoretrasolasumadetodoslosdelaruta.
Losparmetrospuedenserdiferentesenunoyotroextremodeunsaltoporquese
supone la existencia de lneas asimtricas (como el ADSL) con caractersticas
diferentesencadaextremo.Elanchodebandayretrasoqueseconfiguraenel
interfazcorrespondeconlosparmetrosdesalidadelalnea.Losdelaentradase
configuranenelotroextremo.
EIGRP no enva actualizaciones peridicas y slo lo hace cuando ha habido
algncambioenlared.Paraellousaladireccinmulticast224.0.0.10.
LoscomandosbsicosparaconfigurarunroterCISCOconEIGRPson(desdeel
mododeconfiguracin):
router eigrp 1 para activar el protocolo eigrp. El prompt pasa a modo
(configrouter).Elnmero1queapareceenelcomandodefineelllamado
sistema autnomo y debe de ser el mismo en todos los routers que
queremosqueintercambieninformacinentresiconesteprotocolo.Puede
variarentre1y65535.
network 192.168.1.0 para definir las redes conectadas directamente al
router.EIGRPnoestanbuenocomoRIPdetectandolasmscarascuando
aplicamos subnetting o supernetting, as que en estos casos hay que
especificarlamscara,perolohacemosusandoloquesellamawildcard
maskomscaradecomodinesqueeselresultadodeinvertirlosvalores
de la mscara comn. Es decir, una mscara 255.255.255.128 quedara
como0.0.0.127:
network192.168.10.1280.0.0.127
Adems,enredesconsubnettingysupernettingcomplejastambintenemosque
decirlealrouterquenoqueremosqueagrupelasrutasdeformaautomticacon
elsiguientecomando:
noautosummary
Jos Mara Morales Vzquez

Pgina 13

Introduccin al CLI en Routers y Switches CISCO

Para caracterizar las lneas con determinados anchos de banda y retrasos,

tenemos que entrar en el modo de configuracin de cada una de ellas. Por
ejemplo,siqueremoscaracterizarlainterfazf0/0vamosalmododeconfiguracin
yejecutamoslosiguiente:
interfacef0/0
bandwidth 64000 para configurar el ancho de banda de la lnea
correspondientealinterfacef0/0enbps(en64Kbpsenelejemplo)
delay 1000 para configurar el retraso de la lnea con una cantidad en
dcimasdemicrosegundo(en10000microsegundosenelejemplo).
Paraquetomenefectoloscambiosenestosparmetroshayquebajarlalnea
(shutdown)yvolveralevantarlaluego(noshutdown).
Existenotrostresparmetrosms: load, realiability y mtu,peroenelmodopor
defectonosetienenencuenta.Adems,podemosasignarmsimportanciaa
unos u otros parmetros, pero cuanto ms complejo hagamos el clculo ms
sufrirconestoslaCPUdelrouter.
Puestoquelaslneaspuedenserasimtricasytenervaloresdiferentesdeentrada
y de salida (como ocurre con el ADSL) los valores que configuramos en un
interfacecorrespondenalosdesalidadelalnea.Losdeentradaseconfiguraran
enelotroextremo.
Diversos comandos para obtener informacin sobre la configuracin y
funcionamientodeEIGRP:

shipeigrpinterfaces
shipeigrpneighbors
shipeigrptopology
shipeigrptraffic

Msinformacin:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdeigrp.html

9.OSPF,OPENSHORTESTPATHFIRST
OpenShortestPathFirst.Esunprotocoloestndarddelosdenominadosdeestado
deenlace quenosgarantizaelusodelcaminomscortoentredospuntos.Se
trata,posiblemente,delprotocolomsusadoenredesgrandesycomplejas. A
grandesrasgos,cadarouterconstruyeunatopologadelaredqueconoceyla
comparteconsusvecinosdeformaqueentretodoscompletanunplanototalde
laredenlaquetrabajanydeformaquecadaunocalculasusrutasdeforma

Jos Mara Morales Vzquez

Pgina 14

Introduccin al CLI en Routers y Switches CISCO

independientealosdems.
Ensumodocompletosetratadeunprotocolocomplejoquepermitedividirlared
en diferentes reas y tratarlas de forma diferente. Nosotros veremos aqu el
protocoloOSPFdereanica.
SeleconsideracomoelsucesordeRIP.Paralacomunicacinusalasdirecciones
multicast224.0.0.5y224.0.0.6.AligualqueocurryaconEIGRP,sloenvannuevas
comunicacionescuandodetectancambiosenlatopologadelared.
Los principales problemas de OSPF (y de todos los protocolos de estado de
enlaceengeneral)sonlossiguientes:
Necesitamosroutersmspotentes,conmsmemoriaparaalmacenarlos
mapas de red y ms CPU para hacer clculos con un algoritmo ms
complejo.
Lainformacinquesetransmiteesmayor,porlotantoexistemsriesgode
quesaturenlaredconsus mensajesenelmomentoinicialdelarranque
(cuando empiezan a cambiar informacin entre ellos para construir los
mapas de red) o en redes inestables en las que tenemos muchos y
frecuentescambios.
La configuracn bsica de un router con OSPF se realiza con los siguientes
comandos:
routerospf1parahabilitarelprotocoloOSPFenelrouter
network 192.168.1.0 0.0.0.255 area 0 para dar de alta la red dada, con
mscara en formato de comodines y especificando que dicha red
pertenecealrea0.
La mayora de los comandos disponibles para controlar el estado de ospf no
estnimplementadosenpackettracer.Elmstildelosquedisponemoseseste:
shipospfneighbor
Msinformacin:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdospf.html

10.SWITCHES

Los switches de CISCO usan el mismo sistema de configuracin en lnea de

comandoquelosroutersy,portanto,muchasdelas rdenesquehemosvisto
hastaahora nossirventambinparalosswitches.Laformadeentrarenmodo
privilegiado o de configuracin, la ayuda, los comandos para salvar la
configuracin,etc.
Jos Mara Morales Vzquez

Pgina 15

Introduccin al CLI en Routers y Switches CISCO

AsignacindeunaIPalswitchparaaccederdeformaremota
Elprimerpasopararealizarunaccesoremotoesqueeldispositivocuentecon
unadireccinIPconfigurada.Enlosroutersyasabemoshacerlo.Paralosswitches
elprocedimientodeconfiguracindeunaIPesligeramentediferente.Desdeel
mododeconfiguracinejecutamoslosiguiente:
intvlan1entramosaconfigurarlavlan1.UnswitchdeCISCOpuedetener
hasta 1005 VLANs diferentes, pero la nmero 1 es especial para
administracin (porque la ip que asignemos ser escuchada por
cualquieradesuspuertos)yentrela1002yla1005estnreservadas.Ms
adelante veremos en detalle que son las VLAN y para que otras cosas
sirven.Elpromptcambiaalmodo(configvlan)#
ip address 192.168.1.2 255.255.255.0 le asignamos la ip y mscara
especificada
noshparaactivarelinterface
Si queremos acceder a l desde una red diferente a la que se encuentra
instaladotenemos,adems,quedefinirleunrouterpordefecto:
ipdefaultgateway192.168.1.1

11.REDESVIRTUALES(VLANs)

LasRedesVirtualesconstituyenunatcnicatilparadividirunaredendiferentes
subredes separadas entre si sin necesidad de usar routers y permitiendo una
separacinfuncionaldelosequiposendiferentesgruposdetrabajosinimportar
laubicacindondeseencuentranconectados.Nosetratadeunatecnologa
propietariadeCISCOypuedeimplementarseigualmenteconswitchesdeotros
fabricantes.
Comohemosdichoantes,losswitchesCISCOpermitenhasta1005VLANsdelas
cualesla1esespecialylasexistentesentrela1002yla1005estnreservadas.
PodemosverinformacindelasVLAN'sactivasennuestroswitchconelcomando
siguiente:
showvlanbrief
Crear una VLAN es tan fcil como ejecutar lo siguiente (desde el modo de
configuracin):
vlan 2 para crear una vlan con el identificador 2. El prompt cambia a
(configvlan)#
nameestudiantesparaasignarleelnombreestudiantes(estoesopcionaly
noindispensableparaquefuncione.Sinoseasignanombreseponeuno
deformaautomatica)
intvlan2activalavlanylaponecomoactiva.
Paraasignarunpuertodelswitch,poeejemploelf0/10,aunadeterminadaVLAN,
la2enesteejemplo:
Jos Mara Morales Vzquez

Pgina 16

Introduccin al CLI en Routers y Switches CISCO

intf0/10
switchportmodeaccess
switchportaccessvlan2
ParadesasociarunpuertodelaVLANusamoselcomandono:
intf0/10
noswitchportaccessvlan
UnaVLANseeliminacompletamentecontodossuspuertosasociadostambin
conelcomandono:
novlan2
Sinoqueremoseliminarlasinodesactivarlatemporalmente:
intvlan2
shutdown
ParavertodalainformacinasociadaaunaVLAN,porejemplola10:
showvlanid10
Cadapuertodeunswitchadmiteestarasociadoauna nicaVLAN.Entonces
comoenlazamosdirerentesswitchesparaquecomuniquenentresiytransmitan
lainformacindetodaslasVLANdenuestrared?Pueslohacemosdefiniendolos
enlacesentreswitchescomotroncales.Unenlacetroncaltransmitireltrficode
todaslasVLANsdisponibles.Asuvez,tenemosqueasociarleunidentificadoralos
enlacestroncalesque,enelejemplosiguiente,esel99:
vlan99
nametroncal
intvlan99paracrearyactivarlavlan99queserlaqueusemosparalos
enlacestroncales.Sitenemosvariosenlacestroncales,estoslohayque
hacerlounavezporcadaswitch.
intf0/5
switchportmodetrunk
switchporttrunknativevlan99
Paramostrarlainformacindetodoslosenlacestroncalesdeunswitch:
showinterfacestrunk
Paracomprobarlaconfiguracindeunenlacedefinidocomotroncal:
showinterfacesf0/5switchport
Losenlacestroncalesseeliminantambinusandoelcomandono.

Jos Mara Morales Vzquez

Pgina 17

Introduccin al CLI en Routers y Switches CISCO

EnrutamientoentreVLANs
LacomunicacinentrelasdiferentesVLANssepuedehacerdevariasformas.Una
de ellas consiste en usar switches de capa 3 que incluyen funciones de
enrutamientobsicas(unswitchpuedeperfectamentepermitirlaconfiguracin
devlanssinnecesidaddequeincorporefuncionesdecapa3).Lasegundaforma
consisteenusarunroutercomnconectadoaunodelosswitchesquerealicelas
funcionesdeenrutado.
Paraconfigurarunrouterdecapa3deformaquerealicefuncionesderutadose
procedecomosigue:
La configuracin de vlans es exactamente igual que como hemos visto
hastaahorasalvoqueenlosswitchesdecapa3alconfiguraruninterface
como troncal debemos usar un comando adicional. Imagina que vas a
configurarcomotroncalelinterfacef0/10.Lavlantroncalyaestdefinida
comolavlan25.Tienesqueprocedercomosigue:
intf0/10
switchporttrunkencapsulationdot1q
switchportmodetrunk
switchporttrunknativevlan25
Asignamosunaipqueactuaracomolaipdelrouterpordefectoacada
vlan. Sitenemosvariosswitchesconectadosmediantetroncalesestepaso
slotienesquehacerloenunodeellos.Imaginaquetenemosdosvlans(la
10yla20).Lavlan10usalared192.168.10.0/24yqueremosquelaipdel
router por defecto sea la 192.168.10.1. Para la vlan 20 asignamos la red
192.168.20.0/24ylaip192.168.20.1comorouterpordefecto.
intvlan10
ipadd192.168.10.1255.255.255.0
intvlan20
ipadd192.168.20.1255.255.255.0
Activamos las caractersticas de rutado en el switch en el que hemos
configuradolasipenlasvlans:
iprouting
Podemoshacerpruebasdequeelrutadofucnionacorrectamenteusando
elcomandoping(similaracomolousamosencualquierPC)opidiendoal
switchquenosenseesutabladerutasdeigualformaacomoloharamos
enunrouter:
showiproute

Jos Mara Morales Vzquez

Pgina 18

Introduccin al CLI en Routers y Switches CISCO

Enelsiguienteenlace,eningls,teexplicanalgomsacercadelasfuncionesde
rutadoenvlansconswitchesdecapa3:
http://www.cisco.com/en/US/tech/tk389/tk815/technologies_configuration_exam
ple09186a008019e74e.shtml

12.OTROSCOMANDOS

Pordefecto,yalrevesdeloqueocurreconlosrouters,todoslosinterfacesdeun
switchvienenactivos.Siqueremosdeshabilitarunodeellos(porejemploporque
vemos una actividad de trfico sospechoso) ejecutamos lo siguiente desde el
mododeconfiguracin:
intf0/12
shparadeshabilitarlo
ElcomandoquenospermiteverlasdireccionesMACasociadasacadapuerto
delswitcheseste:
show macaddresstable para visualizar la tabla de direcciones MAC
asociadasacadapuertodelswitch.

13.INTRODUCCINALASEGURIDADENLOSSWITCHESCISCO

Losswitchessonelementoscentralesdelaconfiguracindenuestrasredes.Todo
el trfico pasa por ellos y todos los equipos deben, de una forma directa o
indirecta, estar conectados a un switch para tener acceso a nuestra red.
Introducirmecanismosdeseguridadenlosmismoses,portanto,unabuenaforma
decontrolardeformapreventivaalgunosproblemasimportantesdeseguridad.
Enestedocumentoveremosalgunasdeestasmedidasysuimplementacinen
switchesCISCO.

Desconexindepuertosnousadososospechosos
Los puertos no usados de nuestros switcheso sospechosos detener problemas
deberandesconectarsedelared.Pordefectotodoslospuertosdelosswitches
aparecen conectados pero su desconexin es bien sencilla. En las siguientes
lneasdesconectamoselpuertof0/4
ena
configterm
intf0/4
shutdown
Tambinesposibleseleccionarunrangocompletodepuertosparaaplicaruna
mismaconfiguracinsobretodosellos.Lossiguientescomandosdesactivantodos
lospuertosentreelf0/5yelf0/10
ena

Jos Mara Morales Vzquez

Pgina 19

Introduccin al CLI en Routers y Switches CISCO

configterm
intrangef0/510
shutdown

DHCPSnooping

ELDHCPSnoopingcomprendeunconjuntodetcnicasencaminadasahacer
msseguroelfuncionamientodelprotocoloDHCP.Yavimosensumomentoque
setratabadeunprotocolomuycmodoenredesgrandesperoconevidentes
problemasdeseguridad.
CISCOimplementaalgunastcnicasencaminadasaestefin.Laprimeradeellas
nospermiteprohibireltrficodeunservidorDHCPdesdetodoslospuertosdel
switchsalvodelosquenosotrosautoricemos.Paradecir,porejemplo,quenuestro
servidorDHCPestenelpuertof0/2,ejecutaramoslosiguiente:
ena
configterm
ipdhcpsnooping
intf0/2
ipdhcpsnoopingtrust
Pararetirarlaautorizacindelinterfazusaramoselcomandono:
intf0/2
noipdhcpsnoopingtrust
SinuestroswitchdetectaraunservidorDHCPconectadoacualquierotropuerto
lodesconectaradeformaautomtica.
Elsegundomecanismodeseguridadnospermitelimitarelnmerodepeticiones
aunservidorDHCPqueserealizadesdedeterminadospuertos.Estonosayudaa
mitigar que alguien trate de saturar un servidor DHCP cambiando de MAC y
enviadopeticionesalservidor.Enelsiguienteejemploselimitana5paquetespor
segundolaspeticionesquepuedenrealizarsedesdelospuertos10al24:
ena
configterm
ipdhcpsnooping
intrangef0/1024
ipdhcpsnoopinglimitrate5
El siguiente comando mostrar informacin sobre la configuracin de DHCP
snoopingennuestroswitch(puertoshabilitados,velocidadesmximaspermitidas,
etc.):
showipdhcpsnooping

Jos Mara Morales Vzquez

Pgina 20

Introduccin al CLI en Routers y Switches CISCO

ControldelasMACconectadasalospuertosdelSwitch
Todos sabemos que la principal diferencia del switch frente al hub es que el
primeromemorizalospuertosalosqueestnconectadoslosdistintosequipos
de forma que la comunicacin entre un equipo y otro slo se enva por los
segmentosderedadecuados.Estomejoralacalidaddelascomunicacionesen
nuestraredlocal(tenemosunmayoranchodebandadisponible)ymejorala
seguridad en la red (alguien con un sniffer lo tiene ms difcil para leer la
informacinquenovadestinadaal.)
Losswitchesrealizanestafuncindeformasimplealmacenandoensumemoria
unastablasconlasdireccionesMACdelosequiposylospuertosalosqueestn
conectados los mismos. Estas tablas deben de tener capacidad para guardar
msdeunaMACporpuerto(podemostenerunswitchde96puertosconectado
encascadaalpuertodeotroswitch)y,lgicamente,tienenuntamaofinito.
SiunswitchrecibeunmensajeparaunequipocuyaMACnotieneregistradoen
sustablasenvaelmensajeatodossuspuertoscomosifueseunhub.Cuandoel
equiporesponderegistraelpuertodesdeelquelohahechoy,apartirdeese
momento,yaleenviarsiemprelosmensajesdirectamente.
Perocmosecomportaunswitchsiestastablassellenandeltodoytieneque
enviarleunmensajeaunequipocuyaMACnoestincluidaenellasyportanto
no sabe en que puerto est conectado? Difundiendo el mensaje a travs de
todossuspuertoscomosisetratasedeunhub.Elprobelmaocurrecuandoeste
equipo contesta. Puesto que el switch no tiene espacio no incluir el puerto
desde el que lo hace y seguir siempre enviandole los mensajes como si se
tratasedeunhub.
UnataquedesaturacinoinundacindedireccionesMAC(MACfloodingoARP
flooding)estencaminadoaesto:inundarunswitchconpeticionesdediferentes
direcciones MAC ficticias para que el switch sature sus tablas y comience a
comportarse como un hub con mensajes legtimos de forma que podamos
capturarlosmedianteelusodeunsniffer.CISCOincluyefuncionalidadesquenos
permiten limitar el nmero de MAC diferentes que pueden conectarse en los
puertos de sus switches de forma que nos permiten solucionar este problema.
Adems,tambinevitalosataquesdesaturacinaunservidorDHCP.
Si queremos limitar el puerto de un switch de forma que por este slo pueda
conectarseunequipoconunaMACconocidaejecutaramoslosiguiente:
ena
configterm
intf0/5
switchportmodetrunk
switchportportsecurity
switchportportsecuritymacaddress0016.E650.45E2
De esta forma, el nico equipo legtimo reconocido para estar conectado al
puertof0/seraelquetienelaMACindicada.Fjatequelaformadeescribirla

Jos Mara Morales Vzquez

Pgina 21

Introduccin al CLI en Routers y Switches CISCO

MAC es ligeramente diferente a como estamos acostumbrados. En lugar de
ponerlacomo00:16:E6:50:45:E2lohacemos0016.E650.45E2
SielswitchdetectaraunequipoconunaMACdiferenteconectadaaesepuerto
desconectaraelpuertodeformaautomtica.
Si queremos que en lugar de desactivar el puerto simplemente no permita el
trficodeequiposconunaMACdiferenteejecutaramostambinlosiguiente:
switchportportsecurityviolationrestrict
Ysiqueremosvolveralmodoanterior:
switchportportsecurityviolationshutdown
EnalgunasocasionesnopodemoslimitaraunanicaMAClasreconociblesen
determinados puertos, pero queremos poner un mximo permitido. Tampoco
queremosonosesposibleescribiramanolasdiferentesdireccionesMACque
vamos a permitir. En este caso podemos limitar el nmero de MAC y decirle
ademsalswitchqueaprendacualessernestasdeformaautomtica.Estolo
hacemosconlossiguientescomandos:
ena
configterm
int0/1
switchportmodeaccess
switchportportsecurity
switchportportsecuritymaximum30
switchportportsecuritymacaddresssticky
Elpuertof0/1denuestroswitchadmitir,comomximo,30direccionesdiferentes
queeliraprendiendodeformaautomtica(las30primerasquedetecte).A
partir de ah, si existe un intento de comunicacin por parte de alguna otra
direccin, desactivar el puerto. El modo de respuesta lo podemos modificar
tambinconelcomandovistoantes(switchportportsecurityviolationrestrict).
Por ltimo, los comandos que nos permiten ver la configuracin que hemos
realizadodeestasmedidassonlossiguientes:
showportsecurity
showportsecurityintf0/5
Si, adems, queremos ver las direcciones MAC autorizadas para cada puerto
ejecutaramosesto:
showportsecurityaddress
UnavariantedeesteataquesedenominaARPspoofingoenvenenamientode
ARP. En este caso no hace falta llenar la tabla ARP del switch sino que se lo
engaahacindolepensarqueunequipoestenunpuertodiferente.Elswitch
mandalosmensajesaestepuertoyelequipoquerealizaelengaolosleey

Jos Mara Morales Vzquez

Pgina 22

Introduccin al CLI en Routers y Switches CISCO

luegolosremitealamquinaautnticaparaqueestanosospeche.Siestomismo
sehacesimultaneamentecondosequiposseespiatodaslasconversaciones
entre ambos constituyendo lo que se conoce como ataque de hombre en el
medio(oManintheMiddle).Existenmuchasherramientasparahacerestode
forma automtica pero tal vez la ms popular y fcil de usar sea ettercap,
disponibletantoparaplataformasLinuxcomoWindows.

StormControl
Aveces,ygeneralmenteporaverashardwareosoftware,algunastarjetasdered
creanunacantidaddetrficotangrandequesaturan alswitchal queestn
conectadas, deteriorando las comunicaciones y llegando incluso al punto de
hacercaertotaloparcialmentelared.LosswitchesCISCOtienenlaposibilidad
decontrolarestomedianteunsubconjuntodecomandos.
ena
configterm
intf0/1
stormcontrolbroadcastlevel20
Enelejemplo anteriorhabilitamoselstormcontrolparaelpuerto 1denuestro
switchdeformqueeltrficobroadcastdelmismonosupereel20%delanchode
bandanominaldelmismo.
Podemos controlar de igual forma el trfico unicast y el multicast con, por
ejemplo,lasiguientesintrucciones:
stormcontrolmulticastlevel50
stormcontrolunicastlevel90
Nodebemosdeolvidarcuandoconfiguramosestosparmetrosquelostrestipos
detrficosonnecesariosyque,enparticular,elmulticastseusaportodoslos
protocolos de rutado dinmico (entre otros) y el unicast constituira el trfico
comndeunequipo.
Siquisieramosbloqueartotalmenteeltrficobroadcastdeunequipopodramos
ponerlosiguiente:
stormcontrolbroadcastlevel0
El trfico multicast y el unicast puede bloquearsetambin, adems de con el
comandoanterior,conelsiguiente:
switchportblockunicast
switchportblockmulticast
Y si por defecto quisiramos deshabilitar el puerto cuando se pase del nivel
indicadoenelcomando:
stormcontrolactionshutdown

Jos Mara Morales Vzquez

Pgina 23