Guía de comandos IOS CISCO. 1. Entrar en el modo privilegiado. R1> enable R1# R1(config)#clock set 22:22:00 24 jan 2010 7. Operaciones con la configuración. Guardar la configuración actual. R1#copy running-config startup-config Deshacer los cambios hasta la última configuración guardada. R1# reload Borrar la config guardada den la nvram del equipo R1#erase startup-config R1# reload 8. Ver configuración del dispositivo. Ver la configuración actual del dispositivo. R1#show running-config Ver la configuración de interfaces. R1#show ip interface brief Ver la tabla de ruteo. R1#show ip route Ver los protocolos de ruteo activos y sus parámetros. R1#show ip protocols 9. Modo configuración. Para entrar en el modo configuración. R1#configure terminal R1(config)# Configurar reloj del switch R1(config)#clock set 22:22:00 24 jan 2010 Parar los mensajes de consola. R1(config)#no logging console Para evitar que los mensajes de consola interrumpan instrucciones o respuestas a instrucciones. R1(config)#line console 0 R1(config)#logging synchronous Ctrl +activador de mayus + 6 para cuando se queda pensando en modo consola evita que los mensajes inesperados que aparecen en pantalla, nos desplacen los comandos que estamos escribiendo en el contraseñas Switch> enable Switch# configure terminal Contraseña del modo privilegiado. R1(config)#enable password sin encriptar “o tambien” R1(config)#enable secret Esta contraseña va a ser común a los dos tipos de acceso que estamos trabajando (consola y telnet) ya que se trata de asegurar la entrada dentro de uno de los modos de configuración una vez ya conectados al dispositivo. Acceso a línea 1 de la consola Podemos asegurar mediante contraseña la entrada en el modo consola normal, con lo que no permitimos el acceso al dispositivo sin tener esta contraseña, aunque estemos directamente conectados al mismo. Esto lo conseguimos mediante los comandos: Switch# configure terminal R1(config)# line console 0 R1(config-line)# login R1(config-line)# password R1(config-line)# login Y por ultimo esta la contraseña para telnet vista mas abajo
Telnet. Lo primero es ir a un pc desktop y command prompt y ahora Para telnet tenemos lo siguiente primero se le ha de poner dirección ip al pc que vamos a usar y una puerta de enlace (en la misma red) se ha de colocar el switch para que se pueda hacer telnet desde el pc al switch y este paso se hace asi desde consola del switch(o desde el pc con cable de consola al switch) R1#configure terminal R1(config)# int vlan 1 ( o el numero que le pongamos a la red de gestión) R1(config-if)# ip address(la misma red que la ip del pc y con mascara) R1(config-if)# no shutdown Despues regreso hasta R1(config)#esto se hace haciendo exit y ahora si hago esto R1(config)# line vty 0 4 (se configuran los 5 de forma simultánea o se puede configurar uno a uno) R1(config-line)#password R1(config-line)#login recuerden que aca hay que hacer exit para regresar a R1(config)# con esto ya activamos una contraseña y nos falta la otra la secreta se hace asi R1(config)#enable secret Debemos ahora guardar la configuración con R1#copy running-config startup-config Ahora nos vamos al pc y en modo consola hacemos un ping al switch y vemos que funciona después del ping entramos al telnet en el prompot del equipo hacemos telnet y colocamos la ip del switch entonces nos pide la clave ( que seria la ***del punto anterior) y apenas la colocamos ya estamos en la consola del switch por que ahí en el prompt esta el nombre del switch y ahi nos pide la clave encriptada para poder acceder al switch colocamos esa contraseña y si queremos ver la configuración hacemos este comando show int vlan 1 no se pude desactivar la contraseña del modo privilegiado del switch por que no se puede acceder al telnet las otras si se pueden desactivar y seguir accediendo a telnet
10. Conectividad. Configuración de interfaces. R1(config)# interface serial0/0 (ó Ethernet ó fastethernet ó gigabyteethernet) R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#clock rate 56000 (sólo en los enlaces DCE de los puertos seriales) R1(config-if)#description Descripcion del interface Para asignar más direcciones al mismo interface. R1(config)#ip address 192.168.2.1 255.255.255.0 secondary Para configurar varios interfaces de forma simultánea (no seriales). R1(config)#interface range FastEthernet0/1-8 ó R1(config)#interface range FastEthernet0/1, FastEthernet0/3 R1(config-if-range)# no shutdown Cambiar la velocidad y modo de transmisión de un interface. SW1(config)# interface FastEthernet0/1 SW1(config-if)# speed 100 SW1(config-if)# duplex half Cambiar un puerto de modo de acceso (access o trunk). switch(config)# interface fastethernet 0/24 o el puerto que necesite configurar SW1(config-if)# switchport mode trunk Configurar vlan de gestion Sw(config)#interface Vlan99 sw(config-vlan)# name gestion ( hasta aqui la vlan de gestion ahora la ip del switch) sw(config-vlan)#exit Sw(config)#ip address 192.168.1.2 255.255.255.0
Sw(config-if)#ip no shutdown ( hasta aquí la ip del switch de gestión después si queremos asignamos puerta de enlace al switch) Sw(config)# ip default-gateway 192.168.1.1 Configuracion de VTP(vlan trunking protocol) esto es para configurar el switch como server switch#vlan database switch (vlan )#vtp v2-mode switch(vlan)#vtp domain password switch(vlan)#vtp {client | server | transparent Estos son los pasos para vtp y la clave es la de modo privilegiado es decir la que se hace con enable secret y por ultimo para ver la configuración se hace show vlan VTP es para cuando creo unas vlan las creo en el switch que configuro como server y de ahí ellas se propagan a los otros switch PARA VER COMO ESTA CONFIGURADO EL VTP
SW#show vtp status Otra forma pàra vlan de gestion y a la vez VTP para mas de un switch sw(config)# vlan 99 sw(config-vlan)# name gestion sw(config-vlan)#exit Sw(config)#interface Vlan99 Sw(config-if)# ip address 255.255.255.0 Sw(config-if)#no shutdown Sw1(config)# vlan 99 Sw1(config-vlan)# name gestion Sw1(config-vlan)#exit Sw1(config)#interface Vlan99 Sw1(config-if)# ip address 255.255.255.0 Sw1(config-if)#no shutdown Ahora para colocar el switch como server se puede tambien asi sw(config)#vtp mode server sw(config)#vtp version 2 sw(config)#vtp domain grupovlan aunque este no esta probado por mi Crear y asignar puertos a una VLAN. SW1(config)# vlan 2 SW1(config-vlan)# name VLANDOS SW1(config)# interface FastEthernet0/1 (o por rangos) SW1(config)# interface range FastEthernet0/1-8 SW1(config-if-range)# switchport access vlan 2 También se pude hacer en modo grafico y es en el switch donde dice database Eliminar VLAN. SW1(config)# no vlan 2 Mostrar información de la VLAN. SW1# show vlan (o tambien) SW1# show vlan brief( o para una especifica) SW1# show vlan id 2 Enrutamiento entre VLANs (configuramos un subinterface por cada VLAN). Router(config)#interface fastethernet 0/0 Router(config-if)#no shutdown R1(config-if)#interface FastEthernet0/0.2 R1(config-subif)#encapsulation dot1Q 2 R1(config-subif)# ip address 192.168.2.1 255.255.255.0(puerta de enlace de cada subinterface) R1(config-subif)# exit Cambiar velocidad de un puerto Switch(config)#interface gigabitEthernet1/1 Switch(config-if)#speed 10 solo se puede por 10 100 ‘o’1000 dependiendo de el puerto
Desactivar un puerto Switch#configure terminal Switch(config)#interface gigabitEthernet1/1 Switch(config-if)#shutdown Comprobar las direcciones MAC que ha aprendido cada uno de los switchs show mac-address-table. direcciones IP y MAC de los equipos con los que nos hemos comunicado mediante el comando arp –a. en el equipo modo consola 11. Rutas. Para rutas estáticas. R1(config)# ip route <[ip red destino > < ip interface siguiente salto > Ó por interface de salida R1(config)# ip route <[ip red destino > < interface de salida> Ruta por defecto. R1(config)# ip route 0.0.0.0 0.0.0.0 < ip siguiente_salto> (para salir a internet por ejemplo) Para ver la tabla de ruteo R1#show ip route 12. RIP.(enrutamiento dinamico) R1(config)# router rip R1(config-router)#version 2(opcional cuando las redes son classless sin clase) R1(config-router)#network 192.168.1.0 (para cada red conectada directamente al router) Para ver las rutas añadidas por el protocolo RIP podemos utilizar el comando R1# show ip route. Para propagar rutas estaticas en este protocol rip router1(config)#router rip router1(config-router)#default-information originate 13. EIGRP. Configurar. R1(config)# router eigrp 101( puede ser otro numero pero igual para todos los router del SA) R1(config-router)#network 192.168.1.0 (para cada red conectada directamente al router también podemos usar wildcard para classless) Balanceo asimétrico de tráfico. R1(config)# interface serial0/0 (cambiamos la métrica a mano) R1(config-if)#bandwidth 56 R1(config-router)# variance 10 (establecemos el intervalo de autorización) router1 Para propagar rutas estáticas en EIGRP R1(config)# router eigrp 101 (config-router)# redistribute static 14.OSPF. Configurar. R1(config)# router ospf 1(el numero puede ser cualquiera que yo elija y no tiene que ser igual para los demas router) R1(config-router)# network area ( En caso de que una red esté compuesta de una sola área, puede tener el número que sea, el área 0 solo se requiere cuando la red está compuesta por más de una área. ) ejemplo R1(config-router)#network 192.168.1.0 0.0.0.255 area 0 Para ver el estado de las tablas de ruteo: R1# show ip route Para propagar rutas estaticas por defecto en este protocolo ospf Router1 (config)# router ospf 2 router1(config-router)#default-information originate Autenticación sin md5 Router1(config)#router ospf 1 router1(config-router)#area 0 authentication R1(config-router)#interface S0/0/0 Router(config-if)#ip ospf authentication-key password
Autenticaciónc con md5 ( se hace en los dos extremos de la comunicación es decir en los dos routers) R1(config)# router ospf 1 R1(config-router)# area 0 authentication message-digest R1(config-router)# exit R1(config)# interface serial0/0/0 R1(config-if)# ip ospf message-digest-key 1 md5 Fijar el costo de un interface. R1(config)# interface serial0/0 R1(config-if)# ip ospf cost 1562 Para comprobarlo: R1# show ip ospf interface 15. Listas de acceso. Sintaxis de las listas estándar: • Router(config)# access-list permit • Router(config)# access-list deny • Router(config)# interface serial 0/0 • Router(config-if)# ip access-group [in|out] Definir estándar. R1(config)#access-list 12 deny 192.168.14.0 0.0.0.255 R1(config)#access-list 12 permit any R1(config-if)#ip access-group 12 in (o tambien) R1(config-if)#ip access-group 12 out Quitar la lista. R1(config)#no access-list 12 Sintaxis de las listas extendidas: access-list access-list-number {permit | deny} protocol source {source-mask} destination {destinationmask} ip access-group access-list-number {in | out Definir extendida. R1(config)#access-list 101 deny tcp 192.168.14.0 0.0.0.255 any eq 80 R1(config)#access-list 101 permit any any R1(config)#interface serial 0/0 R1(config)#ip access-group 101 in Channel bonding ( trunking ó ether channel) Switch(config)# interface FastEthernet0/24 Switch(config-if)# spanning-tree portfast trunk Switch(config-if)# channel-protocol lacp Switch(config-if)# channel-group 1 mode active Switch(config-if)# exit Esto hay que hacerlo con cada uno de los puertos implicados de cada router se puede hacer con ( interface range ) Channel boundingPara equipos marca cisco con estos dos comandos basta Switch(config)# interface FastEthernet0/24 Switch(config-if)# channel-group 1 mode on Port-security Switch>enable Switch#configure terminal Switch(config)#interface range fastEthernet 0/1 – 10 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport port-security Switch(config-if-range)#switchport port-security maximum 2(el dos corresponde al numero maximode direcciones mac que acepta el Puerto o puertos elegidos antes de desactivarse y esas direcciones mac y puede ser una o varias en este caso dos pueden copiarse manualmente con el comando) [switchport portsecurity mac-address (cuatro números hexadecimales)] o también se puede cambiar la mac address por stick para que el mismo switch aprenda las mac entonces cuando el switch aprende las mac después de la segunda no permite mas equipos y se desactiva
Switch(config-if-range)#switchport port-security violation shutdown
Switch(config-if-range)#switchport port-security mac-address sticky Para reactivar un Puerto que se ha desactivado por una violacion hacemos Switch#configure terminal Switch(config)#interface range fastEthernet 0/1 Switch(config-if)# shutdown Switch(config-if)#no shutdown (es decir apagamos el puerto y lo volvemos a encender) Para ver la configuración de port-security y las mac permitidas por los puertos Switch#show port-security Switch#show port-security interface fastethernet0/3 (o también para ver las mac permitidas lo que sigue) Switch# show port-security address Para desactivar un port-security se hace lo mismo hasta que se llegue a Switch(config-if)# switchport port-security y se coloca en vez de eso Switch(config-if)#no switchport port-security
De aqui para abajo puede haber cosas repetidas El siguiente es un pequeño resumen sobre comandos para configurar un switch cisco y algunos de router, espero que les sea útil como lo es para mi.
Switch Switch# dir flash: Switch#show flash Switch#show vlan Switch#vlan database Switch(vlan)#vlan vlan_number Switch(vlan)#exit Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan vlan_number Switch#vlan database Switch(vlan)#no vlan 300 Switch(config)#interface fastethernet 0/9 Switch(config-if)#switchport access vlan vlan_number Sw1#delete flash:vlan.dat Sw1#erase startup-config Sw1#reload Interface web Sw1(config)#ip http port 80 Ver la tabla MAC: Switch#show mac-address-table (? Mas opciones) Switch#clear mac-address-table Asignar una mac estatica
•Switch(config)#mac-address-table static interface FastEthernet vlan •Switch(config)#no mac-address-table static interface FastEthernet vlan Seguridad de Puerto Sw1(config)#interface fastETehernet 0/2 Sw1(config-if)#switchport port-security ?(sale las opciones) Limitar la cantidad de host por puerto 1900: Sw1(config)#interface fastETehernet 0/2 Sw1(config-if)#port secure mas-mac-count 1
2950: Sw1(config)#interface fastETehernet 0/2 Sw1(config-if)#switchport port-security maximum 1 Configuracion del Puerto que se desconecte cuando se produce una violacion de seguridad Sw(config-if)#switchport port-security violation shutdown
2900xl: Sw(config-if)#port security action shutdown
.1 Archivos de configuracion Sw# copy running-config startup-config 1900: Sw#copy nvram tftp://tftp server ip add/destination_filename
COnfiguracion de la velocidad Switch(config)#interface fastethernet 0/9 Switch(config-if)#duplex full Switch(config-if)#speed 100
Crear el trunk del switch Sw(config)#interface fastethernet 0/1 Sw(config-if)#swicthport mode trunk Sw(config-if)#end 2900: Sw(config)#interface fastethernet 0/1 Sw(config-if)#swicthport mode trunk Sw(config-if)#swicthport trunk encapsulation dot1q
Sw(config-if)#end 1900: Sw(config)#interface fastethernet 0/1 Sw(config-if)#swicthport mode trunk Sw(config-if)#swicthport trunk encapsulation dot1q Sw(config-if)#end Trunk en el router Router(config)#interface fastethernet 0/0 Router(config-if)#no shutdown Router(config-if)#interface fastEthernet 0/0.1 Router(config-subif)#encapsulation dot1q vlan-number Router(config-subif)#ip address…….
router1#copy running-config tftp
Quitar un Puerto de una VLAN Switch(config)#interface fasethernet 0/9 Switch(config-if)#no switchport access vlan 300 Eliminar una vlan Switch#vlan database Switch(vlan)#no vlan 300 Spanning tree show spanning-tree Configuracion de VTP switch#vlan database switch#vtp v2-mode switch(vlan)#vtp domain password switch#vtp {client | server | transparent}
Copiar el IOS a un server tftp Sw#copy flash tftp 2900: sw#copy flash:nombre_del_archivo tftp
Copiar IOS desde un Server tftp Sw#copy TFTP flash Sw# copy Start tftp 1900: sw#copy nvram tftp://numero-ip/name Sw#copy tftp startup-config
1900: sw#copy tftp://numero-ip/name nvram
Recuperar el acceso al switch 1. Apagar el switch, Vuelva a encenderlo mientras presiona el boton MODE en la parte delantera del switch. Deje de presionar el boton MODE una vez que se apague el led de STAT 2. introducir los siguientes comandos: flash_init load_helper dir flash: 3. rename flash:config.text flash:config.old 4. reiniciar el sistema original: 4.1 despues de entrar al switch hacer: rename flash:config.old flash:config.text 4.2 sw#copy flash:config.text system:running-config 4.3 Cambiar los password Actualizar el firmware Sw#show boot (muestra el archive de boteo) Cambiar el nombre del archivo de la ios,con el commando #rename flash:nombre flash:Nuevo_nombre Sw(config)#no ip http Server Sw# delete flash:html/* Extraer la nueva version del IOS Sw#archive tar /x tftp://192.168.1.3/nombre_del_archivo.tar flash: Sw(config)#ip http Server Sw(config)#boot system flash:nombre.bin
Spanning-Tree #show spanning-tree brief Cambiar prioridad: ios 12.0 sw(config)#spanning-tree priority 1 sw(config)#exit ios 12.1 sw(config)#spanning-tree vlan 1 priority 4096 sw(config)#exit Configurar VLAN Sw#vlan database Sw(vlan)#vlan 2 name Logistica Sw(vlan)#vlan 3 name Licitaciones Sw(vlan)#end 1900: Sw#config terminal Sw(config)#vlan 2 name VLAN2 Sw(config)#vlan 3 name VLAN3 Configurar puertos en las VLAN Sw#conf term
Sw(config)#interface fastethernet 0/2 Sw(config-if)#switchport mode access Sw(config-if)#switchport access vlan2 Sw(config-if)#end Elminar el Puerto de la vlan Sw(config-if)#no switchport access vlan2 Sw(config-if)#end
1900: Sw#conf term Sw(config)#interface fastethernet 0/2 Sw(config-if)#vlan static 2 Para eliminar un Puerto de la vlan Sw(config-if)#no vlan-membership 2 Sw#show vlan Sw#show vlan id 2 1900: Show vlan-membership Show vlan 2 Eliminar un vlan Sw#valn database Sw(vlan)#no vlan 3 Sw(vlan)# exit 1900: sw(confgi)# interface ethernet 0/7 sw(confgi)#no vlan 3
enlacen troncal ISL sw(Config.)#interafce fastethernet 0/1 sw(Config-if)#switchport mode trunk sw(Config-if)#switchport trunk encapsulation isl sw(Config-if)#end enlace troncal 802.1q 2950: por defecto dotiq sw(Config.)#interafce fastethernet 0/1 sw(Config-if)#switchport mode trunk 2900: sw(Config.)#interafce fastethernet 0/1 sw(Config-if)#switchport mode trunk sw(Config-if)#switchport trunk encapsulation dot1q Vtp , servidor y cliente Sw# Vlan database Sw(vlan)# vtp server Sw(vlan)# vtp domain group1 Sw(vlan)# exit
Sw# Vlan database Sw(vlan)# vtp client Sw(vlan)# vtp domain group1 Sw(vlan)# exit
Ruteo entre VLAN Poner el encapsulamiento en las subinterfaces del router (config-if)#interface fastethernet 0/0.1 (config-subif)#encapsulation dot1q 1 (1 es la vlan a la que esta)
Configuración de EtherChannel
EtherChannel maneja dos protocolos: Port Aggregation Control Protocol (PAgP, propietario de Cisco) [1]. Link Aggregation Conrol Protocol (LACP, IEEE 802.3ad) [2]. Los protocolos ya mencionados son incompatibles. Los modos de configuración son: on: en este modo, un EtherChannel útil existe si dos grupos de puertos en modo on están conectados entre sí. En este modo no existe tráfico de negociación. auto: modo PAgP que coloca un puerto en estado de negociación pasiva, sólo responde a los paquetes PAgP. desirable: modo PAgP que coloca un puerto es estado de negociación activa, es decir, el puerto inicia el envío de paquetes PAgP a otros puertos LAN. pasive: modo LACP que pone a un puerto en modo pasivo de negociación, sólo recibe paquetes LACP. active: modo LACP que coloca a un puerto en modo activo de negociación. Ejemplos: 1) Tenemos dos switches, SW1 y SW2, de la misma marca (Cisco), cuyas interfases Fast Ethernet 0/1 y 0/2 de cada switch serán configurados como EtherChannels en modo trunk, dentro de la VLAN 99 (para esto, los puertos 0/1 y 0/2 deben estar en la VLAN 99).
SW1#config t SW1(config)#int range fast 0/1 – 2 SW1(config-if)#no switchport mode access SW1(config-if)#switchport mode trunk SW1(config-if)#switchport trunk native vlan 99 SW1(config-if)#channel-group 2 mode active // El rango de número asignado a un grupo EtherChannel es de 1 – 64 SW1(config-if)#end SW2#config t SW2(config)#int range fast 0/1 – 2 SW2(config-if)#no switchport mode access
SW2(config-if)#switchport mode trunk SW2(config-if)#switchport trunk native vlan 99 SW2(config-if)#channel-group 2 mode pasive SW2(config-if)#end * Nota: En caso los puertos se encuentren en la VLAN nativa por defecto (VLAN 1), se pueden omitir las líneas de color negro. 2) Configuraremos un switch SW3 para crear un EtherChannel PAgP y asociarlo a la VLAN 5. Tomarenos cuatro interfases Gigabit Ethernet, 0/1 al 0/4. SW3#config t SW3(config)#interface range gigabitethernet 0/1 – 4 SW3(config-if)#switchport mode access SW3(config-if)#switchport access vlan 5 SW3(config-if)#channel-group 3 mode desirable SW3(config-if)#end 3) Ahora realizaremos una configuración de Capa 3 para el switch SW3 del ejemplo anterior, asignándole una dirección IP. SW3#config t SW3(config)#interface port-channel 3 SW3(config-if)#no switchport //Este comando funciona para switches multicapas, el cual es para entrar a configuración de Capa 3 SW3(config-if)#ip address 192.168.20.10 255.255.255.0 SW3(config-if)#end 4) Ahora, si ya tenemos un EtherChannel, conformado por Fast Ethernets, ya configurado en el switch SW4 y queremos agregar una interfase más a ese puerto, debemos configurarlo de la siguiente manera: SW4#config t SW4(config)#interface range fast 0/6 – 7 SW4(config-if)#no ip address SW4(config-if)#channel-group 4 mode desirable SW4(config-if)#end 5) Para configurar un switch con EtherChannel y agregarle balanceo de cargas, basta con seguir las siguientes líneas: SW5#config t SW5(config)#port –channel load-balance {dst-mac | src-mac} // balanceo por MAC address destino u origen, respectivamente. Por defecto src-mac SW5(config)#end * Comandos de control EtherChannel #show etherchannel X port-channel #show interface {fastethernet | gigabitethernet} X/X etherchannel #show etherchannel load-balance NAT comandos R1(config)# interface FastEthernet0/0 R1(config-if)# ip nat inside R1(config-if)# exit R1(config)# interface FastEthernet0/1 R1(config-if)# ip nat outside
R1(config-if)# exit R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255 R1(config)# ip nat inside source list 1 interface FastEthernet0/1 overload