Hacer AAA con server R1(config)#aaa new-model // Habilita la caracteristica de contactarse con un AAA server R1(config)#tacacs-server host // El server se debe configurar para que utilice tacacs R1(config)#tacacs-server key //Password para autenticarse con el AAA server R1(config)#aaa authentication login default local enable // Si el usuario no es encontrado localmente entonces usara el enable secret para logearse R1(config)#aaa authentication login group tacacs local enable // esta lista dice que primero busque el username y pass en un servidor tacacs, si este no responde los busque localmente y si no los ecuentra tampoco entonces utilice el enable secret R1(config)#aaa authorization commands 1 group tacacs+ local // Autorizacion de comandos con nivel de privilegios 1 lo buscaran en un server aaa y si no ya en la DB local R1(config)#aaa authorization commands 15 group tacacs+ local //Autorizacion de comando con nivel de privilegios 15 lo buscaran en un server aaa y si no ya en la DB local R1(config)#aaa accounting commands 1 start-stop group tacacs+ // guarda el record en el aaa server de los comando aplicados con privilegio 1 R1(config)#aaa accounting commands 15 start-stop group tacacs+ //guarda el record en el aaa server de los comando aplicados con privilegio 15 R1(config)#username < user> privilege 15 secret //Creacion administrador local con privilegios 15 R1(config)# line vty 0 4 // Aplicacion de las listas a telnet R1(config-line)#login authentication R1(config-line)#authorization commands 1 R1(config-line)#authorization commands 15 R1(config-line)#acconunting commands 1 R1(config-line)#accounting commands 15 ********************************************************************************************************************************************* Hacer AAA de forma local R1(config)aaa new-model R1(config)#aaa authentication login local enable none R1(config)Line vty 0 4 R1(config-line)#login authentication R1(config)username Omar secret ************************************************************************************************ Hacer AAA con login R1(config)#aaa authentication login < listname> R1(config)#aaa authorization exec // Autorizacion del exec shell R1(config)#aaa authorization commands 15 // Autorizacion nivel 15 R1(config)#line vty 04 R1(config-line)#login authentication R1(config-line)#authorization exe R1(config-line)#authorization commans ************************************************************************************************************************************************************ Configurando RBAC R1(config)#privilege exec level 8 configure terminal // Se configura el nivel 8 de privilegios en el configure terminal R1(config)#enable secret level 8 0 //el cero es por que no se hace hashing R1(config)#username privilege 8 secret R1(config)#line vty 0 4 R1(config-line)#login local // Requiere el username y pass del AAA introdocir el las credenciales del nivel 8 ******************************************************************************************************************************************************************** Parser views R1(config)#enable secret R1(config)#aaa new-model //activa el AAA R1(config)#parser view R1(config-view)#secret Comandos incluidos en la vista R1(config-view)#commands exec include ping R1(config-view)#commands exec include all show R1(config-view)#commands exec include configure R1(config-view)#commands configure access-list //agrega la habilidad de crear acces list R1(config)#username view // Asocia una lista de vista a un usuario *********************************************************************************************************************************************************************** Configuracion conexion por SSH router(config)#hostname r1 r1(config)#ip domain-name cisco.com //Para configurar el rsa primero debemos poner nombre y dominio al router r1(config)#crypto key generate rsa //Genera el par de llaves How many bits int the module 1024 r1(config)#username secret r1(config)linet vty 0 4 r1(config-line)# login local //Configuracion de como se logera localmente ******************************************************************************************************************************************************************** Configura https en caso de contar con ccp r1(config)#ip http secure-server r1(config)#ip http authentication local // utiliza el usuario guardado localmente ********************************************************************************************************************************************************************* Configurando time stmaps syslog R1(config)#service timestamps log datetime // Esta instruccion hara un log del dia y hora de algun evento (ejm shutdown de una interfaz) R1(config)loggin R1(config)#loggin trap notifications // Hara logs de severidad 7 (default) R1(config)# loggin buffered 4096 // La memori de los logs de 4GB ************************************************************************************************************************************************************************* Configuracion SNMP r1(config)#access-list 99 permit r1(config)#snmp-server community ro 99 //La comunidad solo puede leer (ro) la ACL r1(config)#snmp-server group v3 noauth //El grupo no se autenticara r1(config)#snmp-server trap-source FastEthernet0/1 //Esta interfaz sera utilizada por SNMP r1(config)#snmp-server host version 3 noauth CCNA-user // Especifica el host snmp que tendra acceso ******************************************************************************************************************************************************************** Actualizacion ios cisco r1#copy tftp flash address or name host Source filename Destination filename erase flash yes r1(config)#boot system flash r1#reload *********************************************************************************************** Router(config)#security passwords min-length ? //Asignacion minimo numero de caracteres en un password <0-16> Minimum length of all user/enable passwords ******************************************************************************************** R1#sh process // muestra la utilizacion del cpu R1#sh flash // muestra los espacio libres y utilizados de la mem flash R1(config)#cdp run //Habilita cdp R1#sh session // muestra las conexiones por telnet ************************************************** Muestra las ip´s de las interfaces R1#sh ip int brief *********************************************** Configurar un ip a una interfaz de un router R1#config t R1(config)#int G0/0 R1(config-if)#ip address 192.168.10.1 255.255.255.0 //ip primaria de la interfaz R1(config-if)#no shutdown R1(config-if)#ip address 192.168.10.1 255.255.255.0 secondary// IP secundaria para una interfaz ****************************************************** Ver config interfaces R1#Sh running-config Cambiar ancho de banda a interfaces R1(config-if)#bandwith ******************************************************* Ver version del software R1#sh version ******************************************************* Ver las rutas R1#sh ip route R1#sh ip route Ver por donde sale el host ******************************************* ver vlan R1#Sh vlan ********************************************** Configurar ruta estatica R1(config)#ip route 255.255.255.0 s1/1 //Todos los paquetes de esa red seran enviados por s1/1, la ip es la red del otro router R1(config)#ip route 255.255.255.0 192.168.10.1 //Todos los paquete de esa red seran enviados R1(config)#ip default-network a la ip 192.168.10.1 que pertenece a R2 ********************************************************************* Configurar RoaS R1(config)#int fa0/0.10 /habilita la interfaz virtual R1(config-if)#encapsulation dot1q R1(config-if)#ip add R1(config-if)#no shutdown R1(config-if)#encapsulation isl //config de tageo con isl **************************************************************** Configuracion OSPF en un sola area router ospf 1 *********************************************************** Mostrar protocolos de ruteo R3# show ip protocols *********************************************************************** Dice que redes seran consideradas como vecinos en es este caso solo se tomará el primer octeto (10), ya que los 255 dicen que octeto de la ip deben ser ignorados, area es la id del area al que enviara los LSA R3(config)#router spf <1> // El id es el numero de proceso, un router puede tener varios procesos OSPF R3(config-ospf)# network 10.0.0.0 0.255.255.255 area 0 R3(config-ospf)#router-id <1.1.1.1> R3(config)#interface loopback 0 R3(config-if)#ip add R3#clear ip ospf process //limpiar un proceso ospf Router(config-if)#ip add 2.2.2.2 255.255.255.0 Router(config-if)#ip ospf priority <> // Configurar la prioridad de una interfaz para el DR si es mayor a los demas sera el Designated Router DR <0-255> Priority R1(config-if)#ip ospf hello-interval //configura el tiempo que se deben mandar los hola en las int <1-65535> Seconds R1(config-if)#ip ospf cost // dar el costo de la interfaz <1-65535> Cost R1(config-router)#auto-cost reference-bandwidth // Da el costo referenciado por el ancho de banda <1-4294967> The reference bandwidth in terms of Mbits per second Ejemplo :Sumarizacion de ip´s en ospf R1(config)# router ospf 1 R1(config-router)#area 1 range ************************************************************************* R#sh ip ospf // Muestrar ID router R1#sh ip ospf neighbors // Muestra los vecinos OSPF R#sh ip ospf database // Muestra el LSDB R1#sh ip ospf int // Muestra el costo de la interfaz, asi como el hello y el dead si no es igual en los routers no convergen ************************************************************************ Para que una interfaz no mande holas por una interfaz R1(Config)#router ospf 1 R1(Config-ospf)#passive-interface gigabitethernet0/0.11 R1(Config-ospf)#passive-interface gigabitethernet0/0.12 *********************************************************************** Muestra las interfaces R#sh int brief R#sh int **************************************************************************** Reenvia el broadcast de dhcp a otra red en este caso la ip es del server DHCP R1(config)#int fa0/0 // si es una RoaS la interfaz es fa0/0.10 R1(config-if)#ip helper-address 172.16.2.11 **************************************************************+++ Configurar DHCP R1(config)#ip dhcp excluded-address R1(config)#ip dhcp pool R1(config-dhcp)#network R1(config-dhcp)#dns-server
R1(config-dhcp)#default-router lease R(config)#sh run // ver los pool de dhcp, tambien muestra las ACL´s asociadas a los puertos **************************************************************** Ver configuracion de DHCP Da la MAC de las ip´s show ip dhcp binding show ip dhcp pool show ip dhcp server statistics show ip dhcp conflict **************************************************************** Ver sesiones en ssh SH sesion Desde donde esta la iniciada la sesion where Resumen de la conexion resume 1 ********************************************************** Acces list standard R1#sh ip int muestra si la interfaz tiene ligada una ACL al igual que R1#sh run R1(config)#access-list 1 permit/deny //permitir o denegar paquetes de una ip en especifico R1(config)#access-list 1 permit/deny permitir o denegar paquetes de una rede o subredes R1(config)#access-list 1 permit/deny any //Permite o deniega los paquetes de todas las subredes R1(config)# int s/0/0/0 R1(config-if)#ip access-group 1 in // agrega la lista 1 a es puerto R1#sh ip access-lists // muestra las acl´s Ejemplo:Denegar el acceso de la vlan 10 a la vlan 20 de cualquier paquete df(config)#ip access-list standard VLAN10 df(config-std-nacl)#deny 192.168.10.0 0.0.0.255 df(config-std-nacl)#permit any df(config-std-nacl)#ex df(config)#int g0/0.20 df(config-subif)#ip access-group VLAN10 df(config-subif)#ip access-group VLAN10 out ********************************************************** ACL Extended R(config)#access-list 1 deny tcp any any //bloquea cualquier paquete ip con tcp R(config)#access-list 1 deny udp any any //bloquea cualquier paquete ip con udp R(config)#access-list 1 deny host R(config)#access-list 1 deny //bloque todos los paquetes de paquetes desde una ip a otra R(config)#access-list 1 deny udp any // bloquea todos los paquetes udp desde la ip source a cualquier destino R(config)#access-list 1 permit tcp < red ip destination> eq son permitidos los paquetes por el puerto 21 del source al destino R(config)#access-list 1 permit tcp eq < red ip destination> R(config)#access-list 1 deny tcp any gt 1023 host 10.1.1.1 eq 23 // denegar cualquier paquete fuente con puerto mas grande que 1023 al host 10.1.1.1 en el puerto 23 R(config)#access-list 1 deny tcp any neq 1023 host 10.1.1.1 eq 23 // Denegar cualquier paquete que el puerto no se igual al 23 R(config)#access-list 1 deny tcp any it 1023 host 10.1.1.1 eq 23 //denegar cualquier paquete fuente con puerto menor que 1023 al host 10.1.1.1 en el puerto 23 R1(config-std-nacl)# do show ip access-list 24 // desplegar lista de acceso R1(config-std-nacl)# 5 deny 10.1.1.1 // insertar nueva linea en acl R1#sh ip access-list R1#sh access-list *************************************************************************************** Configurar NTP R1(config)# ntp server 172.16.2.2 version 4 R1# show ntp status // ver status R1# show ntp associations ***************************************************************** Configuracion de NAT Router(config)#ip nat inside source list/static // nat estatica Router(config)#ip nat outside source list/static // nat estatipica NAT# show ip nat translations // muestra la lista de ip´s en nat NAT# show ip nat statistics // muestra la interfaz nateada NAT(config)ip nat pool name first-address last-address netmask subnet-mask // hacer pool de ip´s para una nat NAT(config)#ip nat inside source list acl-number interface type/number overload // NAT overload R(config)#int fa0/0 R(config-if)ip nat inside //define que la interfaz es la que hacia la LAN R(config)#int se0/0/0 R(config-if)ip nat outside // define que la interfaz va hacia la WAN (IP Publica) Ejemplo R(config)int g0/0 R(config-if)ip nat inside // las IP´s que pasen por la interfaz son las privadas R(config)int s0/0/0 R(config-if)ip nat outside // Las IP´s que pasen por la interfaz son las publicas R(config)#ip access-list standard NAT // Se crea la access list con nombre NAT R(config-std-nacl)#permit any // Permite natear todas las subredes R(config)#ip nat inside source list NAT int se0/0/0 overload // La int serial Nateara las ips contenidas en la acces list poniendo su ip como fuente Ver configuraciones de NAT NAT# show ip nat translations NAT# show ip nat statistics *****************************************************************************************+ Configuracion eigrp Router(config)#router eigrp Router(config-router)#network 10.0.0.0 0.0.0.3 router(config-router)#eigrp log-neighbor-changes // habilita el registro de los cambios de adyacencia de los vecinos para monitorear la establidad router(config-if)#bandwith //opcional config ancho de banda de ref router(config-if)#delay // opcinal puedes poner un delay por defecto a las interfaces router(config-if)#ip authentication mode eigrp 1 md5 // configura la autenticacion router(config-if)#ip authentication key-chain eigrp 1 router(config-router)#maximum-paths <1-16> //Determina el maximo # de rutas que un protocolo de ruteo puede usar Revision configuracion Router#sh ip eigrp neighbors //Muestra vecinos eigrp Router#sh ip route eigrp // Muestra las rutas hechas por eigrp Router#sh ip eigrp int // Muestra las int utilizadas por eigrp Router#sh ip eigrp int brief// Muestra las int utilizadas por eigrp Router#sh ip eigrp topology // Muestra la topologia de rutas hechas por eigrp Router#sh ip eigrp topology all-links // muestra todos los links en la estructura Router#debug eigrp fsm // ver fallas que han habido Router#sh ip protocols // ver detalles sobre el protocolo de ruteo Summarizacion EIGRP Seville(config)#interface serial 0/0 Seville(config-if)#ip summary-address eigrp 1 10.3.0.0 255.255.0.0 R# sh ip eigrp topology // Muestra la topologia que hace el protocolo **************************************************************************** Cambiar de protocolo HDL a ppp R1(config-if)#encapsulation ppp R3(config)#username pass // Paso para activar la autenticacion R3(config-if)#ppp authentication <> //Escoger tipo de autenticacion chap Challenge Handshake Authentication Protocol pap Password Authentication Protocol Ejemplo Router(config)#username [USUARIO] password [CONTRASEÑA]// La autenticacion es unidireccional el nombre del user debe coincidir con el nombre del router con el cual se autenticara, el password debe ser el mismo en ambos router Router(config)#intface [INTERFAZ] Router(config-if)#encapsulation ppp Router(config-if)#ppp authentication chap R1#debug ppp authentication // Revisar fallas en la autenticacion R1(config)#interface s 0/0/1 // Desactivar keepalive (no recomendado) R1(config-if)#no keepalive ********************************************************************** Cambiar encapsulamiento a frame relay (full-mesh) Utilizando inverse arp R1(config-if)#encapsulation frame-relay // encapsular por frame relay R1(config-if)#encapsulation frame-relay ietf // Si un router no es cisco utilizar este encapsulamiento utilizar en half-me R1(config-if)#frame-relay lmi-type // El lmi de preferencia debe ser en ansi R1(config-if)#frame-relay map broadcast Mayberry#show frame-relay pvc // Muestrar estado de PVC y DLCI Mayberry#show frame-relay map //Muestra la relacion de DLCI e IPS osea IARP o si es point to point Sin inverse arp(mapeo estatico) R1(config -if)#no frame-relay inverse-arp R1(config -if)#frame-relay map ip Cambiar encapsulamiento a frame relay (halft-mesh) Atlanta(config)#interface serial0/0/0 Atlanta(config-if)#encapsulation frame-relay Atlanta(config-if)#interface serial 0/0/0.1 point-to-point Atlanta(config-subif)#ip address 140.1.1.1 255.255.255.0 Atlanta(config-subif)#frame-relay interface-dlci //se mapea el dlci con s0/0/0.1 en este ejemplo Atlanta(config-fr-dlci)#interface serial 0/0/0.2 point-to-point Atlanta(config-subif)#ip address 140.1.2.1 255.255.255.0 Atlanta(config-subif)#frame-relay interface-dlci 53 Atlanta(config-fr-dlci)#interface serial 0/0/0.3 point-to-point Atlanta(config-subif)#ip address 140.1.3.1 255.255.255.0 Atlanta(config-subif)#frame-relay interface-dlci 54 Atlanta(config-fr-dlci)#interface fastethernet 0/0 Atlanta(config-if)#ip address 140.1.11.1 255.255.255.0 Charlotte(config)#interface serial0/0/0 Charlotte(config-if)#encapsulation frame-relay Charlotte(config-if)#interface serial 0/0/0.1 point-to-point Charlotte(config-subif)#ip address 140.1.1.2 255.255.255.0 Charlotte(config-subif)#frame-relay interface-dlci 55 Charlotte(config-fr-dlci)#interface fastethernet 0/0 Charlotte(config-if)#ip address 140.1.12.2 255.255.255.0 Cambiar encapsulamiento a frame relay (hybrido o multi-point) Charlotte(config)#interface serial0/0/0 Charlotte(config-if)#encapsulation frame-relay Charlotte(config-if)#interface serial 0/0/0.1 multipoint Charlotte(config-if)#frame-relay interface-dlci 54 Charlotte(config-if)#frame-relay interface-dlci 56 R1#sh frame-relay lmi // Muestra el lmi R1(config-if)#frame-relay lmi-type *********************************************************************** Configurar un router para conectar con un modem dsl El dsl se conecta la modem con cable directo R1(config)#int fa0/0 // Interfaz de R1 conectada al modem R1(config-if)ip add dhcp // la ip es asignada por dhcp R1(config-if)#no cpd enable // bloquea los paquetes cdp a internet ******************************************************************** Configuracion HSRP Router R1(config)# int fa0/0 //interfaz fisica R1(config-if)#ip add R1(config-if)#standby ip //configuracion de ip virtual que deben tener todos los routers, será el DGW de los clientes R1(config-if)#standby prioriy <0-255> // entre mas la prioridad tenga, sera el router activo R1(config-if)#standby preempt // cuando cae un router le dice al sw que ya no es el primario R1(config-if)#standby track ********************************************************************************************************************** Configuracion de zonas R3(config)# class-map type inspect match-any // //Se cre la politica R3(config-pmap)# class type inspect //Se agrega la clase a la politica R3(config-pmap-c)# inspect //Accion que tomara con dicho trafico en este caso solo es inspeccionar R3(config-pmap-c)# exit R3(config-pmap)# exit R3(config)# zone security // Se crea la zona llamada inside R3(config-sec-zone)# exit R3(config)# zone security // Se crea la zona llamada outside R3(config-sec-zone)# exit R3(config-sec-zone)# zone-pair security in-to-out source destination //Se crea la relacion del para de zonas desde donde y hacia donde va el trafico R3(config-sec-zone-pair)# service-policy type inspect // Se agrega la politica al par de zonas R3(config-sec-zone-pair)# exit R3(config)# interface GigabitEthernet3/0 R3(config-if)# zone-member security //Se asigna la int G3/0 a la zona outside R3(config)# interface GigabitEthernet1/0 R3(config-if)# zone-member security //Se asigna la int G3/0 a la zona inside R3# show class-map type inspect //Verifica el mapeo R3# show policy-map type inspect zone-pair ccp-zp-in-out sessions //Da info mas detallada del mapeo load_helper flash_init password-recoveryr dir flash: rename? rename flash:config.text.old flash:config.text rename config.text config.text.old copy flash:config.text system:running-config 172.16.19.252,251,253 **************************************************************************************************************************************************** Redistribuir ruta RIP Router(config)#router rip .Redistribuir rutas de OSPF: Router(config-router)#redistribute ospf [ID] metric 2 (2) .Redistribuir rutas de EIGRP: Router(config-router)#redistribute eigrp [AS] metric 2 (2) EIGRP Router(config)#router EIGRP [AS] .Redistrubuir rutas de RIP: Router(config-router)#redistribute rip metric 10000 10 255 1 1500 .Redistribuir rutas de OSPF: Router(config-router)#redistribute ospf [ID] metric 10000 100 255 1 1500 (1) OSPF Router(config)#router OSPF [ID] .Redistrubuir rutas de EIGRP: Router(config-router)#redistribute eigrp [AS] subnets .Redistribuir rutas de RIP: Router(config-router)#redistribute rip subnets