security passwords min-length longitud -- en conf.

globla -- minino de caracteres necesarios

exec-timeout
-- Tiempo de session inactiva
Login
Router(config)# login block-for segundos attempts intentos within segundos
Router(config)# login quiet-mode access-class {acl-nombre | acl-nmero}
Router(config)# login delay segundos
Pgina | 57
Router(config)# login on-failure log [every login]
Router(config)# login on-success log [every login]
Banners
banner {exec | incoming | login | motd | slip-ppp} d message d
Los tokens son opcionales y pueden ser utilizados en la seccin del mensaje del comando
banner:
$(hostname) - Muestra el nombre de host del router.
$(domain) - Muestra el nombre de dominio del router.
$(line) - Muestra los nmeros de lnea vty o tty (asncrona).
$(line-desc) - Muestra la descripcin de la lnea.

Configuracion SSL
ip domain-name nombre-dominio
crypto key generate rsa general-keys mdulo modulus-size
show crypto key mypubkey rsa
zeroize rsa
-- sobre escribir claves existentes
username nombre secret contrasea.
login local
transport input ssh.
show ip SSH
ip ssh authentication-retries
ip ssh time-out segundos
ip ssh version 2
Grupo de usuarios

privilege line level 5

Acceso de baasado en roles

aaa new-model.
--- habilitar AAA
enable view
--- ingresa como root
parser view nombre-vista --- crear una vista
secret contrasea-cifrada. --- Asignar la contrasena
commands parser-mode {include | include-exclusive | exclude} [all] [interface nombre-interfaz |
comando]

Crear una Super Vista

parser view nombre-vista superview
secret contrasea-cifrada.
view nombre-vista
enable view nombre-vista --- Acceder a una supervista
configurar las funciones de configuracin resistente del IOS de Cisco:
secure boot-image
secure boot-config.

Recuperacion de Contrasena
Paso 1. Conectarse al puerto de consola.
Paso 2. Use el comando show version para ver y grabar el registro de configuracin.
El registro de configuracin es similar al BIOS de una computadora, en que controla el proceso
de arranque. El
registro de configuracin, representado por un solo valor hexadecimal, le dice al router qu
pasos especficos tomar
cuando se enciende. Los registros de configuracin tienen muchos usos, y la recuperacin de
contraseas
probablemente sea el ms popular. Para ver y grabar el registro de configuracin, use el
comando show version.
R1> show version
<Output omitted>
Configuration register is 0x2102
El registro de configuracin generalmente est puesto en 0x2102 o 0x102. Si ya no hay acceso
al router (por una
contrasea de ingreso o TACACS perdida) el administrador puede asumir con seguridad que el
registro de
configuracin estar en 0x2102.
Paso 3. Use el interruptor para apagar y prender el router.

Paso 4. Emita la secuencia de break dentro de los 60 segundos de que el router ha sido
apagado y prendido para
que el router inicie en modo ROMmon.
Paso 5. Escriba confreg 0x2142 en el prompt rommon 1>.
Esto cambia el registro de configuracin por defecto y causa que el router se saltee la
configuracin de inicio donde
la contrasea enable password est almacenada.
Paso 6. Escriba reset en el prompt rommon 2>. El router volver a iniciarse, pero ignorar la
configuracin
guardada.
Paso 7. Escriba no como respuesta a todas las preguntas del setup, o presione Ctrl-C para
saltearse el procedimiento
de setup inicial.
Paso 8. Escriba enable en el prompt Router>. Esto pone al router en modo enable y le permite
ver el prompt
Router#.
Paso 9. Escriba copy startup-config running-config para copiar la NVRAM a la memoria. Tenga
cuidado de no escribir
copy running-config startup-config porque entonces la configuracin inicial se borrar.
Paso 10. Escriba show running-config. En esta configuracin, el comando shutdown aparece
bajo todas las
interfaces porque todas las interfaces estn desactivadas. El administrador ahora puede ver las
contraseas
(contraseas enable password, enable secret, vty y consola), ya sea en formado cifrado o no
cifrado. Las
contraseas no cifradas pueden volver a ser usadas, pero las contraseas cifradas necesitan
que se cree una nueva
contrasea en su lugar.
Paso 11. Ingrese a la configuracin global e ingrese el comando enable secret para cambiar la
contrasea enable, secret. Por ejemplo
R1(config)# enable secret cisco
Paso 12. Emita el comando no shutdown en todas las interfaces que va a utilizar. Luego emita
el comando show ip
interface brief en el modo EXEC privilegiado para confirmar que la configuracin de las
interfaces es correcta. Todas
las interfaces que sern usadas deberan mostrar "up up."
Paso 13. Desde el modo de configuracin global, ingreseconfig-register
configuration_register_setting. Se
modificar el registro de configuracin para mostrar el valor del paso 2 o 0x2102. Por ejemplo:
R1(config)# config-register 0x2102
Paso 14. Salve los cambios de configuracin usando el comando copy running-config startupconfig.
Hay cinco pasos para restaurar un conjunto de arranque primario de un archivo seguro luego
de que el router ha

sido manipulado (si se ha borrado la NVRAM o se ha formateado el disco):

Paso 1. Reiniciar el router usando el comando reload.
Paso 2. Desde el modo ROMmon, ingrese el comando dir para listar los contenidos del
dispositivo que contiene el
archivo asegurado de conjunto de arranque. Desde la CLI, el nombre del dispositivo puede
hallarse en la salida del
comando show secure bootset.
Paso 3. Arranque el router con la imagen del conjunto de arranque asegurada usando el
comando boot con el
nombre de archivo encontrado en el Paso 2. Cuando el router comprometido arranca, cambie al
modo EXEC
privilegiado y restaure la configuracin.
Paso 4. Ingrese al modo de configuracin global usando el comando conf t.
Paso 5. Restaure la configuracin segura al nombre de archivo proporcionado usando el
comando secure bootconfig restore nombre-archivo.
*no service password-recovery

CONFIGURAR SYSLOG CON CCP

Para habilitar el registro de syslog en su router usando el CCP en un Router Cisco, siga
estos pasos.
Paso 1. Vaya a Configure > Router > Logging.
Paso 2. Desde el panel de registro, seleccione Edit.
Paso 3. En la ventana de registro, seleccione Enable Logging Level y vaya al nivel de
registro desde la caja de Logging
Level. Los mensajes sern registrados para el nivel seleccionado y los inferiores.
Paso 4. Haga clic en Add e ingrese una direccin IP de un host de registro en el campo IP
Address/Hostname.
Paso 5. Haga clic sobre OK para volver a la caja de dilogo del registro.
Paso 6. Haga clic en OK para aceptar los cambios y volver al panel de registro.

CONFIGURAR SYSLOG
Paso 1. Establezca el host de registro de destino usando el comando logging host.

Paso 2. (Opcional) Establezca el nivel de severidad del registro (trap) usando el comando
logging trap nivel.
Paso 3. Establezca la interfaz de origen usando el comando logging source-interface. Esto
especifica que los
paquetes syslog contienen la direccin IPv4 o IPv6 de una interfaz particular, sin importar cul
interfaz usa el
paquete para salir del router.
Paso 4. Habilite el registro usando el comando logging on. Puede habilitar o deshabilitar el
registro para estos
destinos individualmente usando los comandos logging buffered, logging monitor y logging de
configuracin global.
Sin embargo, si el comando logging on est deshabilitado, no se envan mensajes a estos
destinos. Solo la consola
recibe mensajes

CONFIGURACION DE SNMP CON CCP PAGINA 96

NTP

NTP usa el puerto UDP 123 y est documentado en RFC 1305.

Servidor
NTP Master []
Cliente
NTP Server [ip]
ntp authenticate
ntp authentication-key nmero-clave md5 valor-clave
ntp trusted-key nmero-clave
show ntp associations detail
Agregar un servidor NTP usando un CCP de Cisco toma siete pasos.
Paso 1. Vaya a Configure > Router > Time > NTP and SNTP. Aparecer el panel de NTP,
mostrando la informacin de
todos los servidores NTP configurados.
Paso 2. Para agregar un nuevo servidor NTP, haga clic sobre Add. Aparecer la ventana de
Add NTP Server Details.
Paso 3. Agregue un servidor NTP por nombre si el router est configurado para usar un
servidor DNS (Domain Name
System) o por direccin IP si no. Para agregar un servidor NTP por direccin IP, ingrese la
direccin IP en el campo
contiguo a la opcin NTP Server IP Address. Si la organizacin no tiene un servidor NTP, el
administrador puede
querer usar un servidor pblico, como uno de la lista de servidores disponible en
http://support.ntp.org/bin/view/Servers/WebHome.
Paso 4. (Opcional) Desde la lista desplegable NTP Source Interface, elija la interfaz que usa el
router para
comunicarse con el servidor NTP. El campo de NTP Source Interface es opcional, y si se lo deja
en blanco, los
mensajes NTP sern enviados desde la interfaz ms cercana al servidor NTP segn la tabla de
enrutamiento.
Paso 5. Seleccione Prefer si este servidor NTP ha sido designado como el servidor NTP
preferido. Los servidores NTP
preferidos son contactados antes que los no preferidos. Puede haber ms de un servidor NTP
preferido.
Paso 6. Si el servidor NTP usa autenticacin, seleccione Authentication Key e ingrese el
nmero de clave y su valor.
Paso 7. Haga clic sobre OK para terminar de agregar el servidor.