EL COMANDO ACCESS-CLASS

Puede mejorar la seguridad de las líneas administrativas mediante la restricción del acceso a VTY. La restricción del acceso a VTY es una técnica que permite definir las direcciones IP a las que se les permite acceder remotamente al proceso de EXEC del router. Puede controlar qué direcciones IP pueden acceder remotamente as router mediante la configuración de una ACL y una instrucción access-class en las líneas VTY. Utilice esta técnica con SSH para mejorar aún más la seguridad de acceso administrativo.

El comando access-class configurado en el modo de configuración de línea restringe las conexiones de entrada y salida entre una VTY determinada (en un dispositivo de Cisco) y las direcciones en una lista de acceso.

La sintaxis del comando access-class es la siguiente:

Router (config)# access-class número-de-acl { in [ vrf-also ] | out }

El parámetro in limita las conexiones de entrada entre las direcciones en la lista de acceso y el dispositivo de Cisco, mientras que el parámetro out limita las conexiones de salida entre un dispositivo de Cisco en particular y las direcciones en la lista de acceso.

En la figura 1, se muestra un ejemplo en el que se permite que un rango de direcciones acceda a las líneas VTY de 0 a 4. La ACL de la ilustración se configuró para permitir que la red 192.168.10.0 acceda a las líneas VTY de 0 a 4, pero para denegar las demás redes.

Para configurar listas de acceso en los VTY, se debe tener en cuenta lo siguiente:

• Se pueden aplicar listas de acceso numeradas y nombradas a los VTY.
• Se deben establecer restricciones idénticas en todos los VTY, porque un usuario puede intentar conectarse a cualquiera de ellos.

Nota: Las listas de acceso se aplican a los paquetes que se transportan a través de un router, no están diseñadas para bloquear los paquetes que se originan en el router. De manera predeterminada, las ACL de salida no evita las conexiones de acceso remoto que se inician desde el router.

En la figura uno se muestra un router con un segmento de red local en cada una de las dos interfaces Ethernet Gigabit. Cada segmento consiste en un switch y una computadora. El router tiene los puertos de V.T.Y cero a cuatro configurados para el acceso. La figura muestra los comandos necesarios para crear una A.C.L para restrinja las conexiones de V.T.Y. La figura comienza en el modo de configuración global y luego se mueve a las líneas de v.t.y con el comando line v.t.y. cero espacio cuatro. El siguiente comando configura el router para utilizar una base de datos local para acceder con el comando login local. La siguiente línea fija el tipo de conexión a permitir. El comando es transport input s.s.h. Luego se aplica una A.C.L en las líneas con el comando access guión class 21 in. La ilustración va desde el modo de configuración de línea al modo de configuración global con el comando exit. El A.C.L se crea con el comando access guión list 21 permit 192 punto 168 punto 10 punto cero cero punto cero punto cero punto 255, y el comando access guión list 21 deny any. La figura dos es un elemento de medios interactivos que permite que el estudiante configure las líneas de v.t.y para aceptar s.s.h en un router.

CONFIGURACIÓN DE PARÁMETROS BÁSICOS DEL ROUTER

Los routers y switches Cisco tienen muchas similitudes. Admiten sistemas operativos modales y estructuras de comandos similares, así como muchos de los mismos comandos. Además, los pasos de configuración inicial son similares para ambos dispositivos.

Por ejemplo, las siguientes tareas de configuración se deben realizar en todo momento:

Asignar un nombre al dispositivo: (Figura 1) para distinguirlo de otros routers.

Asegurar acceso de administración: (Figura 2) asegura EXEC privilegiado, EXEC de usuario y acceso remoto.

Configurar un aviso: (Figura 3) para proporcionar notificaciones legales de acceso no autorizado.

Guarde siempre los cambios en un router como se muestra en la Figura 4 y verifique la configuración básica y las operaciones del router.

GUARDAR Y MODIFICAR LA CONFIGURACIÓN EN EJECUCIÓN DE UN SISTEMA OPERATIVO DE RED

Existen dos archivos de sistema que almacenan la configuración de dispositivos.

startup-config: el archivo almacenado en la memoria no volátil de acceso aleatorio (NVRAM) que contiene todos los comandos que utilizará el dispositivo durante el inicio o reinicio. La memoria NVRAM no pierde su contenido cuando el dispositivo se desconecta.

running-config: el archivo almacenado en la memoria de acceso aleatorio (RAM) que refleja la configuración actual. La modificación de una configuración en ejecución afecta el funcionamiento de un dispositivo Cisco de inmediato. La memoria RAM es volátil. Pierde todo el contenido cuando el dispositivo se apaga o se reinicia.

Como se muestra en la figura, se puede utilizar el comando show running-config en el modo EXEC privilegiado para ver un archivo de configuración en ejecución. Para ver el archivo de configuración de inicio, ejecute el comando show startup-config en el modo EXEC privilegiado.

Si se corta la energía al dispositivo o si este se reinicia, se perderán todos los cambios de configuración a menos que se hayan guardado. Para guardar los cambios realizados en la configuración en ejecución en el archivo de configuración de inicio utilice el comando copy running-config startup-config en el modo EXEC privilegiado.

Si los cambios realizados en la configuración en ejecución no tienen el efecto deseado y el archivo running-config aún no se ha guardado, puede hacer lo siguiente:

Restaurar el dispositivo a su configuración anterior si se eliminan los comandos modificados de forma individual.

Copiar el archivo de configuración de inicio en la configuración en ejecución con el comando copy startup-config running-config en el modo EXEC privilegiado.

Volver a cargar el dispositivo con el comando reload en el modo EXEC privilegiado.

La desventaja de utilizar el comando reload para eliminar una configuración en ejecución sin guardar es el breve tiempo que el dispositivo estará sin conexión, lo que provoca tiempo de inactividad de la red.

Cuando se inicia una recarga, el IOS detectará que la configuración en ejecución tiene cambios que no se guardaron en la configuración de inicio. Aparecerá una petición de entrada para preguntar si se desean guardar los cambios. Para descartar los cambios, ingrese n o no.

Como alternativa, si se guardan cambios no deseados en la configuración de inicio, posiblemente sea necesario eliminar todas las configuraciones. Esto requiere borrar la configuración de inicio y reiniciar el dispositivo. La configuración de inicio se elimina con el uso del comando erase startup-config en el modo EXEC privilegiado. Una vez que se emite el comando, el switch le solicita confirmación. Presione Intro para aceptar.

Después de eliminar la configuración de inicio de la NVRAM, recargue el dispositivo para eliminar el archivo de configuración actual en ejecución de la memoria RAM. En la recarga, un switch cargará la configuración de inicio predeterminada que se envió originalmente con el dispositivo.

MODOS DE EJECUCIÓN DE ADMINISTRACIÓN CISCO

Modos del comando primario

Como característica de seguridad, el software IOS de Cisco divide el acceso de administración en los siguientes dos modos de comando:

Modo de ejecución de usuario: este tiene capacidades limitadas pero resulta útil en el caso de algunas operaciones básicas. Permite solo una cantidad limitada de comandos de monitoreo básicos, pero no permite la ejecución de ningún comando que podría cambiar la configuración del dispositivo. El modo EXEC del usuario se puede reconocer por la petición de entrada de la CLI que termina con el símbolo >.

Modo de ejecución privilegiado: para ejecutar comandos de configuración, un administrador de redes debe acceder al modo de ejecución privilegiado. Solo se puede ingresar al modo de configuración global y a los modos de configuración más altos por medio del modo EXEC privilegiado. El modo EXEC privilegiado se puede reconocer por la petición de entrada que termina con el símbolo #.

Para configurar el dispositivo, el usuario debe ingresa al modo de configuración global, que normalmente se denomina “modo de config. global”.

Desde el modo de configuración global, se realizan cambios en la configuración de la CLI que afectan la operación del dispositivo en su totalidad. El modo de configuración global se identifica por una petición de entrada que finaliza con (config)# luego del nombre del dispositivo, como Switch(config)#.

Antes de acceder a otros modos de configuración específicos, se accede al modo de configuración global. En el modo de configuración global, el usuario puede ingresar a diferentes modos de subconfiguración. Cada uno de estos modos permite la configuración de una parte o función específica del dispositivo IOS. Los dos tipos de modos de subconfiguración incluyen lo siguiente:

• Modo de configuración de línea: se utiliza para configurar la consola, SSH, Telnet o el acceso auxiliar.
• Modo de configuración de interfaz: se utiliza para configurar un puerto de switch o una interfaz de red de router.

Cuando se usa la CLI, el modo se identifica mediante la petición de entrada de línea de comandos que es exclusiva de ese modo. De manera predeterminada, cada petición de entrada empieza con el nombre del dispositivo. Después del nombre, el resto de la petición de entrada indica el modo. Por ejemplo, la petición de entrada predeterminada para el modo de configuración de línea es Switch(config-line)# y la petición de entrada predeterminada para el modo de configuración de interfaz es Swith(config-if)#.

Se utilizan varios comandos para pasar dentro o fuera de los comandos de petición de entrada. Para pasar del modo EXEC del usuario al modo EXEC privilegiado, ingrese el comando enable. Utilice el comando disable del modo EXEC privilegiado para regresar al modo EXEC del usuario.

Nota: El modo EXEC privilegiado se suele llamar modo enable.

Para pasar dentro y fuera del modo de configuración global, utilice el comando configure terminal del modo EXEC privilegiado. Para regresar al modo EXEC privilegiado, introduzca el comando exit en el modo de configuración global.

Existen diversos tipos de modos de subconfiguración. Por ejemplo, para introducir un modo de subconfiguración, debe utilizar el comando line seguido del número y tipo de línea de administración al que desea acceder. Para salir de un modo de subconfiguración y volver al modo de configuración global, utilice el comando exit. Observe los cambios en el comando de petición de entrada.

Switch(config)# line console 0

Switch(config-line)#

Para pasar de cualquier modo de subconfiguración del modo de configuración global al modo que se encuentra un nivel más arriba en la jerarquía de modos, introduzca el comando exit.

Switch(config-line)# exit

Switch(config)#

Para pasar de cualquier modo de subconfiguración al modo EXEC privilegiado, introduzca el comando end o presione la combinación de teclas Ctrl+Z.

Switch(config-line)# end

Switch#

Puede trasladarse directamente desde un modo de subconfiguración a otro. Observe cómo después del nombre del dispositivo de red, el comando de petición de entrada cambia de (config-line)# a (config-if)#.

Switch(config-line)# interface FastEthernet 0/1

Switch(config-if)#