Para ingresar a SSH lo deben realizer desde un terminal conectado a la red mediante la sintaxis ssh L ip
address, luego usar usuario y contrasea
Spanning Tree
Switch > enable
Switch # configure terminal
*Switch (config) # spanning-tree ID VLAN priority valor (1)
** Switch (config) # spanning-tree ID VLAN priority valor (2)
Switch (config) # interface fast x/x
Switch (config-if) # spanning-tree port-face
Seguridad de Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
Switch
> enable
# configure terminal
(config) # interface fast x/x
(config-if) # switchport port-security
(config-if) # switchport port-security
(config-if) # switchport port-security
(config-if) # switchport port-security
(config-if) # switchport port-security
violation shutdown
violation protect
violation sticky (dinamica)
mac-address (estatica)
Router(config-if)#ppp authentication [chap pap | pap chap]: habilita las dos formas de authenticacin con prioridad de la que se coloca primero.
Seguridad
Router(config)#auto secure:
Configurar SSH:
Router(config)#ip domain-name <nombre de dominio>: definir un dominio para el router
Seguridad en OSPF:
Plana (Simple): definir la autenticacin plana de OSPF (sin encriptar).
Router(config-if)#ip ospf authetication: habilita la autenticacin plana en la interfaz.
Router(config-if)#ip ospf authetication-key <contrasea>: define la contrasea que se va a utilizar para autenticar.
Router(config-router)#area <id area> authentication: define que todos los routers en el rea deben autenticar (autenticacin plana).
MD5: definir la autenticacin MD5 de OSPF (enva un valor md5 para autenticar y no la contrasea).
Router(config-if)#ip ospf authetication message-digest: habilita la autenticacin md5.
Router(config-if)#ip ospf message-digest-key <key> md5 <contrasea>: define el key y la contrasea para generar el md5.
Router(config-router)#area <id area> authentication message-digest: define que todos los routers en el rea deben autenticar mediante md5.
TCP/UDP
Router(config)#access-list <#> [deny | permit | remark] <protocolo> [A.B.C.D | host | any] <wilcard> [A.B.C.D | host | any] <wilcard> [lt | eq | gt |
range] <# puerto o rango> <log> <established>: para ACL extendidas numeradas utilizando TCP o UDP como protocolo, permite definir el puerto de destino
y la opcin established.
ACL nombradas:
Router(config)#ip access-list [standard | extended] <Nombre_ACL>: para crear una ACL nombrada sea estndar o extendida.
Router(config-sta-nacl)#<# secuencia> [deny | permit | remark] [A.B.C.D | host | any] <wilcard> <log>: para crear una regla dentro de una ACL nombrada
estandar.
Router(config-ext-nacl)#<# secuencia> [deny | permit | remark] <protocolo> [A.B.C.D | host | any] <wilcard> [A.B.C.D | host | any] <wilcard> <log>:
para crear una regla dentro de una ACL nombrada extendida.
TCP/UDP
Router(config-ext-nacl )#<# secuencia> [deny | permit | remark] <protocolo> [A.B.C.D | host | any] <wilcard> [A.B.C.D | host | any] <wilcard> [lt | eq |
gt | range] <# puerto o rango> <log> <established>: utilizando TCP o UDP dentro de una ACL nombrada extendida.
ACL Complejas:
ACL dinmicas:
Router(config)#username <usuario> password <contrasea>: crear un usuario en el router.
Router(config)#:access-list <Nmero_ACL> permit tcp any host <IP_Router> eq <22/23>: permitir al acceso telnet o ssh al router.
Router(config)#access-list <Nmero_ACL> dynamic <nombre> timeout <tiempo> (regla ACL): crear las reglas que se aplicaran de forma dinamica si el
usuario se autentica en el router.
Router(config)#interface <interfaz>
Router(config-if)#ip access-group <ACL> <in/out>: asignar la ACL a una interfaz.
Router(config)#line vty 0 4
Router(config-line)#login local
Router(config-line)#autocammand access-enable host timeout <tiempo>: configurar la consola para permitir la autenticacin del usuario y sacarlo de
forma inmediata.
ACL Reflexivas:
Router(config)#ip access-list extended <NOMBRE_ACL_OUT>: crear la ACL para el trafico que sale de la red y va a ser evaluado (puede ser con una ACL
nombrada o numerada).
Router(config-ext-nacl)#permit <protocolo> <origen> <destino> reflect <nombre_reflec>: definir la regla para el trafico que va a ser evaluado y asociar la
condicin reflexiva a dicho trafico, puede utilizarce cualquier nombre.
Router(config)#ip access-list extended <NOMBRE_ACL_IN>: crear la ACL del trafico que va a ser filtrado.
Router(config-ext-nacl)#evaluate <nombre_reflect>: evaluar la condicin de reflexividad definida en la ACL de salida.
Router(config)#access-list <Numero_ACL> <protocolo> <origen> <destino> time-range <NOMBRE_RANGO_TIEMPO>: asignar el rango de tiempo a la
ACL, pueden ser ACL's numeradas o nombradas.
Verificacin
Router#show access-list: muestra el contenido de todas las listas de acceso.
Router#show access-list [ID_ACL | Nombre_ACL]: muestra el contenido de una ACL especifica.
DHCP
Router(config)#ip dhcp pool <Nombre_Pool>: crea un pool para la asignacin de configuracin dinamica.
Router(config-dhcp)# network <red> <mascara>: define la red asociada al POOL.
Router(config-dhcp)#default-router <gateway>: define el gateway asociado al POOL.
Router(config-dhcp)#dns-server <IP>: define el servidor de DNS asociado al POOL.
Router(config)#ip dhcp excluded-addres <IP o rango IPs>: para excluir direcciones que no se van a asignar dentro de la red del POOL de DHCP.
NAT
Router(config)#ip nat pool <Nombre_Pool> <IP_Inicial> <IP_Final> netmask <mascara>: permite crear el pool de ips que se asignaran a los host
Router(config)#access-list <#> permit <red> <wilcard>: para seleccionar el trafico que va a ser nateado.
Router(config)#ip nat inside source list <# ACL> pool <Nombre_Pool> overload: para asociar el pool de direcciones con el trafico correspondiente, la
opcin overload indica que se va a realizar PAT (NAT sobrecargado).
Router(config)#ip nat inside source static <IP_PRIVADA(LOCAL)> <IP_PUBLICA(GLOBAL)>: para definir un nat estatico, la ip privada y la ip publica a la
cual se va a traducir.
IPv6
Router(config)#ipv6 unicast-routing: habilitar el enrutamiento para el protocolo Ipv6.
Router(config-if)#ipv6 address <Direccin_IPv6>/<prefijo>: asignar una direccin IPv6 a la interfaz del router.
Router(config-if)#ipv6 address <Direccin_IPv6 de Red>/<prefijo> eui-64: asignar una direccin IPv6 a la interfaz del router utilizando el EUI-64 (la
direccin MAC de la interfaz del router).
Router(config)#ipv6 router rip <NOMBRE_RIP>: configurar el protocolo RIP para IPv6 (RIPng).
Router(config-if)#ipv6 rip <NOMBRE_RIP> enable: activar la interfaz para que hable RIPng y publicar la red asociada a esta interfaz dentro de RIPng, similar
al comando network de RIP v2.