9 pasos para configurar un router Cisco

Descargas

98740.zip

Resumen ejecutivo:

Trabajar con un router Cisco y el Sistema Operativo de Internetworking (IOS) de Cisco es una gran manera de experimentar con conceptos y equipos de red y podría ser bueno para el desarrollo de tu carrera. Aprende los pasos básicos de la configuración de un router Cisco para proporcionar acceso a Internet a una pequeña red.

Trabajar con un router Cisco y el Sistema Operativo de Internetworking de Cisco (IOS) es una gran manera de experimentar con los conceptos y equipos de red y podría ser bueno para el desarrollo de tu carrera. Puedes obtener experiencia práctica con el IOS configurando un router Cisco en el borde de Internet en tu laboratorio de pruebas en el trabajo o en la oficina de tu casa. Un router Cisco le permite una mayor flexibilidad (con controles más granulares que el hardware Linksys o NETGEAR comúnmente utilizado en las oficinas domésticas) si más tarde desea ampliar su configuración para incluir, por ejemplo, un firewall Microsoft ISA Server en el extremo posterior.

Vamos a ir a través de los pasos básicos de la configuración de un router Cisco para proporcionar acceso a Internet a una pequeña red. Asumiré que tienes algunos conocimientos básicos de IOS, incluyendo cómo iniciar sesión y cómo guardar y borrar configuraciones. También asumiré que tienes una sólida comprensión de las redes, incluyendo lo que es la traducción de direcciones de red (NAT). No cubriré temas como la configuración del acceso Secure Shell (SSH) y el endurecimiento de las listas de acceso. Puedes ampliar esas áreas cuando te sientas cómodo y quieras experimentar más.

Lo que necesitarás

Necesitas un router Cisco con al menos dos interfaces Ethernet. Un 806, 836, 851 u 871 es ideal para una configuración doméstica o de pequeña oficina; de hecho, para eso están orientados esos modelos. Puedes comprar un 851 por unos pocos cientos de dólares en varias tiendas online. Sin embargo, un 2610 funciona igual de bien, y es posible que tenga uno en la papelera de equipos de su oficina al que pueda pedirle que se lo preste.

Su router debe tener IOS 12.2 o posterior. Este artículo se basa en un Cisco 851W con IOS 12.4, incluyendo el conjunto de características del cortafuegos IOS.

También necesita un cable de consola Cisco (a veces llamado cable rollover). Un extremo tiene una toma modular de ocho posiciones y ocho conductores para conectarse al router; el otro extremo tiene un conector serie DB-9. En los últimos años, los cables de consola que Cisco ha enviado con sus equipos han sido de color azul claro.

Necesita un ordenador con un puerto serie DB-9. En mi experiencia, los convertidores de USB a serie funcionan bien para esta aplicación. También necesita un ordenador con un programa de emulación de terminal. HyperTerminal de Hilgraeve está disponible con Windows XP, pero fue eliminado de Windows Vista. Los usuarios de Vista pueden descargar Hyper- Terminal Private Edition 6.3 en www.hilgraeve.com/htpe/download.html. Los usuarios de Mac OS X pueden buscar en Google ZTerm, y los de Linux, minicom.

Conecte el router al PC, e inicie un programa de emulación de terminal

Conecte su router al PC con el cable de consola, y dispare su programa de emulación de terminal. La configuración del puerto es 9600,8,N,1. Si nunca antes ha accedido a un dispositivo directamente a través de una conexión serie asíncrona, es posible que desee pedir ayuda a un veterano de Cisco.

Comience con el comando enable para entrar en el modo EXEC privilegiado. A continuación, escriba el comando erase startup-config para obtener una configuración en blanco. A continuación, reinicie el router con el comando reload. Asegúrese de decir que no a un aviso del IOS que le pregunte si desea entrar en el diálogo de configuración inicial.

Estos pasos pueden parecer confusos si sólo ha trabajado con dispositivos Cisco que están en funcionamiento en producción. En ese caso, probablemente esté más acostumbrado a utilizar Telnet, o preferiblemente SSH, para configurar el equipo. Eso no es una opción cuando quieres empezar con una configuración en blanco, lo que impedirá cualquier acceso Telnet o SSH al equipo por el momento.

Identificar las interfaces del router

Echa un vistazo a la parte trasera de tu router e identifica qué puertos Ethernet vas a utilizar para qué. Uno se conectará a su dispositivo WAN, como un módem por cable; otro se conectará a su LAN. Si, como yo, utiliza un 851W, verá que los puertos están etiquetados: FastEthernet4 es la interfaz WAN y FastEthernet0 a FastEthernet3 son las interfaces LAN. El 851 incluye un conmutador de cuatro puertos incorporado, de ahí las cuatro interfaces LAN.

Si las interfaces de su router no están etiquetadas, puede escribir el comando

show ip interface brief

desde el modo EXEC privilegiado para encontrar los nombres.

Configurar direcciones IP

Ahora puede comenzar la configuración real. Deberías estar todavía en modo EXEC privilegiado (si no es así, introduce el comando enable), e inicia el modo de configuración de terminal introduciendo

configure terminal

Escribe el comando

no ip domain lookup

para evitar que IOS intente convertir cualquier error ortográfico que cometas en nombres de dominio. Puedes saltarte este paso si eres un perfecto mecanógrafo, supongo.

También podrías querer introducir el comando

no logging console

para evitar que IOS emita mensajes syslog a la consola mientras trabajas. Estos pueden interferir en gran medida con su escritura.

Ahora está listo para configurar una dirección IP para la interfaz LAN. En el caso del 851W en el que se basa este artículo, se hace esto en una interfaz virtual llamada BVI1 que se relaciona con las interfaces LAN físicas. En otros routers, podrías hacerlo en la interfaz física real. Escribe

interface 

para entrar en el modo de configuración de esa interfaz. Para el 851W, el comando era

interface BVI1

Ahora, asigna a la interfaz una dirección IP:

ip address 

Estoy usando 192.168.100.1 con una máscara de clase C, por lo que mi comando tenía este aspecto:

ip address 192.168.100.1 255.255.255.0

(El comando está en dos líneas para su publicación, pero asegúrate de introducirlo todo en una sola línea). También puede utilizar la notación Classless Inter-Domain Routing (CIDR) si lo prefiere, lo que se vería así:

ip address 192.168.100.1/24

También tendrá que configurar la interfaz WAN para utilizar DHCP para obtener su dirección IP. Para ello, escriba

interface FastEthernet4

seguido del comando

ip address dhcp

seguido del comando exit para salir del modo de configuración de la interfaz.

Configuración de listas de acceso

A continuación, deberá configurar dos listas de acceso, que se aplicarán en la dirección de entrada. Tenga en cuenta que en el resto de este artículo, utilizo los términos inbound y outbound con frecuencia. Como muestra la Figura 1, la entrada se refiere al tráfico que entra en la interfaz; la salida se refiere al tráfico que sale de la interfaz.

Figura 1: Tráfico entrante y saliente del router

La lista 1 muestra las dos listas de acceso: La primera se aplicará a la interfaz LAN (en mi caso, BVI1), y la segunda se aplicará a la interfaz WAN (en mi caso, FastEthernet4).

La lista de acceso 100 se aplicará a la interfaz LAN. La primera línea configura la lista de acceso y coloca el router en modo de configuración de lista de acceso. La siguiente línea permite que cualquier tráfico IP que coincida con la red (192.168.100.0/24) pase a la interfaz. Si la máscara de subred te parece extraña, no es un error tipográfico. IOS utiliza máscaras de subred inversas en sus listas de acceso. Puedes calcularlas manualmente con bastante facilidad restando cada octeto de tu máscara estándar de 255. Así que la máscara 255.255.252.0 se convierte en 0.0.3.255, 255.252.0.0 se convierte en 0.3.255.255, y así sucesivamente.

La tercera línea niega cualquier otro tráfico que entre en la interfaz LAN. Aunque todas las listas de acceso tienen una negación implícita al final, incluir una línea de negación explícita es una buena práctica para saber dónde termina la lista de acceso y para ayudar a la legibilidad de la configuración. La última línea saca al router del modo de configuración de la lista de acceso.

La lista de acceso 101 se aplicará a la interfaz WAN. La primera línea configura la lista de acceso y coloca el router en el modo de configuración de la lista de acceso. Yo uso un módem de cable, así que la siguiente línea permite que el tráfico DHCP (bootps y bootpc) entre en la interfaz WAN. Sin esta entrada, mi interfaz WAN nunca recibiría una dirección IP pública, y nunca me conectaría a Internet. Puedes utilizar la misma configuración en un laboratorio de pruebas siempre que tengas un servidor DHCP configurado y tu equipo de redes esté de acuerdo con lo que estás haciendo. Las líneas tercera y cuarta permiten la entrada en la interfaz WAN de cualquier tráfico TCP y UDP procedente de cualquier fuente y destinado a cualquier lugar.

Las líneas quinta, sexta y séptima permiten la entrada en la interfaz WAN de cualquier tráfico del Protocolo de Mensajes de Control de Internet (ICMP) procedente de cualquier fuente, que se dirija a cualquier destino y que sea un mensaje de eco-respuesta, de tiempo excedido o inalcanzable. Debes tener cuidado con los tipos de tráfico ICMP que permites en tu red porque el ICMP puede ser utilizado para varios exploits, especialmente para ataques de denegación de servicio (DoS). Sin embargo, necesita estas tres líneas para utilizar ping y traceroute para la resolución de problemas. Las dos últimas líneas son las mismas que en la lista de acceso de la LAN.

Configurar la inspección básica de TCP/UDP/ICMP

Mi versión de IOS incluye el conjunto de características del cortafuegos IOS. Si la tuya también lo hace, definitivamente querrás utilizarlo. Aunque el cortafuegos IOS no ofrece la inspección profunda de la capa de aplicación que, por ejemplo, ofrece un cortafuegos ISA Server, habilitarlo es una buena idea por dos razones. La primera es para asegurar que el tráfico que dice ser TCP, UDP o ICMP es realmente TCP, UDP o ICMP. La segunda es que al habilitar esta inspección también se habilita el Control de Acceso Basado en el Contexto. El CBAC permite al IOS crear entradas de listas de acceso dinámicas que permiten que el tráfico de retorno fluya a través del router. Aunque nuestras listas de acceso anteriores son muy genéricas (por ejemplo, todo el TCP está permitido), una vez que tu configuración esté funcionando, seguramente querrás endurecerlas, configurar servidores internos accesibles desde Internet, etc. Una vez hecho esto, CBAC permitirá que el tráfico de retorno pase por el router. Por ejemplo, si navegas a Amazon.com, CBAC colocará dinámicamente entradas en la lista de acceso entrante aplicada a tu interfaz externa (WAN) para permitir que el tráfico de retorno de Amazon.com entre en el router. Cuando la conexión se cierra, estas entradas se eliminan dinámicamente.

En primer lugar, configure un umbral de tiempo de espera TCP SYN para ayudar a mitigar los ataques DoS de inundación SYN:

ip tcp synwait-time 30

Este comando le dice al IOS que abandone cualquier sesión TCP que no se establezca en 30 segundos.

A continuación, configure una regla de inspección para ICMP, TCP y UDP:

ip inspect name InspectRule icmp ip inspect name InspectRule tcp ip inspect name InspectRule udp

(Puede sustituir InspectRule por el nombre que prefiera.)

Aplique las listas de acceso y las reglas de inspección

Ahora, aplique tanto las listas de acceso como las reglas de inspección a las interfaces adecuadas en la dirección de entrada. Para la interfaz WAN -en mi caso, FastEthernet4- primero entra en el modo de configuración de la interfaz:

interface FastEthernet4

A continuación, aplica la lista de acceso:

ip access-group 101 in

(Ten en cuenta que aquí se utiliza access-group, no access-list.) A continuación, aplique la regla de inspección:

ip inspect InspectRule in

Y finalmente, salga del modo de configuración de la interfaz:

exit

A continuación, para la interfaz LAN (BVI1, en este ejemplo), escriba:

interface BVI1 ip access-group 100 in ip inspect InspectRule in exit

Algunos de vosotros, los más avispados, os estaréis preguntando si podéis aplicar la regla de inspección IP en la dirección de salida, así como o en lugar de la dirección de entrada. La respuesta es sí, se puede.

Configuración de NAT

Ahora necesitas configurar NAT para traducir las direcciones entre la red interna 192.168.100.0/24 y la Internet pública. En primer lugar, configure una lista de acceso que se utilizará sólo para NAT:

ip access-list standard 10 permit 192.168.100.0 0.0.0.255 deny any exit

Como antes, la primera línea coloca el router en el modo de configuración de la lista de acceso. Ten en cuenta que la lista de acceso aquí es estándar y no extendida. Las listas de acceso estándar sólo permiten o deniegan el tráfico de direcciones IP o redes específicas. No permiten especificar el destino o el tipo de tráfico como hacen las listas de acceso extendidas. La segunda línea identifica el tráfico que quieres traducir. El código anterior permite que cualquier tráfico de la LAN interna sea traducido para Internet. La tercera línea impide que se traduzca cualquier otro tráfico, y la cuarta línea saca al router del modo de configuración de la lista de acceso.

A continuación, se identifica al IOS qué interfaces participarán en el NAT:

interface BVI1 ip nat inside exit interface FastEthernet4 ip nat outside exit

Estas líneas indican al IOS que la interfaz LAN, BVI1, contendrá las direcciones que deben traducirse, mientras que la interfaz WAN, FastEthernet4, contiene las direcciones externas a las que se traducirán las internas.

Por último, se introduce la declaración NAT real (todo en una línea):

ip nat inside source list 10 interface FastEthernet4 overload

Este comando indica al IOS que traduzca cualquier dirección identificada en la lista de acceso 10 a la dirección asignada a FastEthernet4. La palabra clave overload permite compartir una dirección pública entre varias direcciones privadas internas.

Habilitar interfaces, y desactivar el STP

Ya está casi listo para probar su configuración. Primero, sin embargo, necesitas asegurarte de que cada interfaz no está en estado de apagado. Para hacerlo para FastEthernet4, escriba:

interface FastEthernet4 no shutdown exit

Desea hacer esto para cada interfaz física de su router.

En este punto, puede desconectar el cable de la consola y conectar el PC a un puerto LAN del router con un cable Ethernet. A continuación, puede acceder al router abriendo una conexión Telnet (preferiblemente asegurada con SSH) a la dirección IP de la LAN del router. No obstante, ten a mano el cable de la consola por si haces algún cambio de configuración que prohíba el acceso a Telnet. La mayoría de los sistemas operativos incluyen un cliente Telnet.

También es posible que desee desactivar el Protocolo de Árbol de Expansión (STP) en su(s) interfaz(es) LAN interna(s) si su router lo permite. Si planea configurar una red compleja de conmutadores en su red, entonces no desactive el STP; pero para una red pequeña, desactivar el STP permite que sus dispositivos LAN internos se conecten a su router hasta 30 segundos más rápido. Para cada interfaz LAN (en mi caso, FastEthernet0 a FastEthernet3), introduce

interface FastEthernet0 spanning-tree portfast exit

Prueba tu configuración

Ahora es un buen momento para guardar tu configuración. Escriba

copy running-config startup-config

para guardar su trabajo en la memoria no volátil y asegurarse de que su configuración se conserva a través de reinicios del router, cortes de energía, etc.

También debe introducir el comando

show running-config

para emitir una copia de la configuración que acaba de crear en su pantalla. Puedes copiar y pegar esta configuración en un editor de texto para consultarla posteriormente. También puedes editar la configuración en un editor de texto y pegarla en una sesión de terminal para realizar cambios en el router. Su configuración debería ser similar a la del Listado 2 en este punto. Tenga en cuenta que el listado 2 omite muchas líneas de configuración que se insertan o incluyen automáticamente por defecto. El listado 2 se centra en los comandos que ha introducido anteriormente.

Ahora puede conectar un cable Ethernet al puerto WAN del router e intentar conectarse a Internet. Tenga en cuenta que sus hosts internos de la LAN tendrán que utilizar direcciones IP estáticas si no tiene un servidor DHCP presente.

¿Qué sigue? Seguramente querrá configurar nombres de usuario y contraseñas para el acceso a su router, configurar el acceso Telnet y/o SSH (si no lo ha hecho ya), y limitar ese acceso a varias direcciones IP. También debería considerar la posibilidad de modificar sus listas de acceso para denegar rangos de IP privados y no enrutables (también conocidos como bogones) para que no puedan llegar a su red.

También puede hacer que su router sea un servidor DHCP, configurar el acceso a la VPN con el router como punto final, añadir declaraciones NAT y entradas de listas de acceso para acceder a un servidor web en su red interna desde Internet, o poner un firewall ISA Server entre su router y sus clientes de la LAN. Con el tiempo, he ido ajustando mi configuración hasta hacerla mucho más compleja que la presentada en este artículo. No tenga miedo de leer documentación adicional (le sugiero la serie Cisco Field Manual publicada por Cisco Press), haga preguntas a sus gurús residentes de Cisco y experimente.