Quienes trabajamos con routers y switches Cisco estamos familiarizados con las llamadas "líneas" de acceso al dispositivo ("line" en inglés). Su conocimiento y configuración es un aspecto fundamental de la tarea del Adminstrador de dispositivos Cisco.
¿Qué líneas tiene mi dispositivo?
Las líneas del dispositivo son de dos tipos:
- puertos seriales.
- conexiones de red virtuales.
Para verificar cuáles son las líneas de acceso disponibles en su dispositivo puede utilizar el comando show line.
Router#show line
.Tty Typ...Tx/Rx .A Modem.Roty AccO AccI Uses Noise Overruns Int
*.0..CTY.......... - ..- ... - .. - .. - .. 0 ....0 .. 0/0 .. -
..1..AUX 9600/9600 - ..- ....- ...- .. - .. 0 ....0 .. 0/0 .. -
..2..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..3..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..4..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..5..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..6..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
De acuerdo a lo que se muestra en esta presentación, el dispositivo cuenta con un puerto consola (CTY) actualmente en uso (lo marca el asterisco), un puerto auxiliar (AUX) y 5 puertos virtuales (VTY).
El puerto CTY
Es el que conocemos habitualmente como puerto consola. Es el que nos permite realizar la configuración del dispositivo aún cuando no exista archivo de configuración y no haya ninguna información previa.
Se trata de un puerto serie que requiere la utilización de una terminal con puerto serie conectada al puerto consola mediante un cable consola (rollover) con un adaptador DB9 o RJ45.
Este acceso debe ser adecuadamente asegurado utilizando una clave, que puede ser clave única o clave de acceso de un usuario local. Recuerde que esta clave se guarda en el archivo de configuración en texto plano, por lo que si se desea encriptar esta clave debe utilizarse el servicio de encriptación de claves de Cisco IOS.
Un ejemplo de configuración de este puerto:
Router(config)#username usuario password clave
Router(config)#line console 0
Router(config-line)#login local
Router(config-line)#loggin synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#_
El puerto auxiliar
No todos los dispositivos están equipados con un puerto auxiliar, identificado como AUX. Este puerto puede actuar como un puerto de respaldo al puerto consola.
Originalmente esta línea ha sido integrada con el objetivo de posibilitar la conexión de un módem telefónico a través del cual es posible conectarse al dispositivo utilizando una conexión dial-up. Es un puerto serial que debe ser segurizado como tal:
Router(config)#line aux 0
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#_
Los puertos VTY
Se trata de un conjunto de puertos virtuales utilizados para la conexión vía telnet, SSH, http o https al dispositivo para realizar administración in band.
La mayoría de los dispositivos tienen al menos 5 puertos virtuales identificados como vty 0 a 4. Sin embargo, en la medida en que resulte necesario, se pueden general más puertos virtuales hasta completar un total de 21 líneas vty.
Un ejemplo de configuración:
Router(config)#line vty 0 4
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#transport input ssh
Router(config-line)#exit
Router(config)#line vty 5 20
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#transport input ssh
Router(config-line)#_
Conclusión
Una mala configuración de las líneas de acceso es un riesgo de seguridad importante. Estas líneas siempre deben ser configuradas adecuadamente, de acuerdo a las políticas de acceso definidas.
Por otro lado, cuando alguna de estas líneas de acceso es utilizada es posible simplemente bloquearla habilitando el requerimiento de clave pero negando la clave en esa línea. Un ejemplo, para bloquear el acceso por puerto auxiliar:
Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line aux 0
Router(config-line)#login
Router(config-line)#no password
Router(config-line)#^Z
Router#_
También, el acceso a las líneas de terminal virtual puede ser asegurado utilizando listas de acceso estándar, limitando de esta forma las direcciones IP que podrán acceder por telnet o ssh al dispositivo:
Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 1 permit 205.7.5.0 0.0.0.7
Router(config)#line vty 0 4
Router(config-line)#access-class 1 in
Router(config-line)#^Z
Router#_
La configuración completa de todas las líneas de acceso puede verificarse al final del archivo de configuración:
Router#show running-config
Building configuration...
Current configuration : 1056 bytes
!
version 12.4
!
[se omite parcialmente información]
!
line con 0
.exec-timeout 5 0
.logging synchronous
.login local
.stopbits 1
line aux 0
.exec-timeout 5 0
.password clave
.logging synchronous
.login
.stopbits 1
line vty 0 4
.exec-timeout 5 0
.password clave
.logging synchronous
.login
line vty 5 20
.exec-timeout 5 0
.password clave
.logging synchronous
.login
!
!
end
¿Tenés algún tip para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta
conocia de lo de las consolas... y hay un par de comandos que no sabia que existian... estoy comenzando en esto... valiosa informacion, saludos desde panama
ResponderBorrarGracias por su aporte, no sabía en realidad lo del puerto auxiliar, solo el de consola, y además algunas configuraciones de timeout. Me fueron de mucha ayuda. Gracias
ResponderBorrarHola,
ResponderBorrarsi no tengo un puerto serial (en mi portátil, por ejemplo), ¿cómo me puedo conectarme a un router cisco en local, para configurarlo?
Gracias
saludos
Hay disponible en el mercado un adaptador de puerto USB a serial DB9. En términos generales funcionan muy bien y son una excelente opción para una situación como la que planteás.
ResponderBorrarMUY BUENOS APORTES, ESTOY COMENZANDO EN ESTO Y ME HA SERVIDO DE MUCHO GRACIAS.
ResponderBorrarmuy buen aporte !!! gracias !! d.ls.b
ResponderBorrargran aporte amigo... y en castellano : )
ResponderBorrarexcelente aporte, lo que si seria bueno que nos pudieras explicar a como poder reversar lo que se ha hecho, ejemplo como
ResponderBorrarpodemos reversar el ejemplo que pusiste en la conclusión?
como deshabilitar la "enable password"
muchas gracias..
la verdad es que no se si veras este comentario, pero tan solo basta con poner
Borrarno enable password
no enable secret
y listo! habras anulado esos comandos :)
Suponiendo que te refieres a cómo acceder cuándo ya hay una clave configurada y no la conocer, esto está descripto como "password recovery" en la página de Cisco: http://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-software-releases-121-mainline/6130-index.html
Borrarcomo recien estoy comenzando gracias por los temas aportazoooooo y mas encima en español que mas puedo pedir....
ResponderBorrarMuchas gracias por la info
ResponderBorrarExcelente aporte.
ResponderBorrarTengo un Switch HP 5120-24G EI Numero de parte JE066A que quisiera accesar a el por Telnet y http y https.Muy bien explicado lo que es un CTY, AUX y VTY.
Ahora ando buscando como poder configurarlo para que se pueda accesar.
Felipe
BorrarLa respuesta que necesitas debieras buscarla en la documentación de HP, o en su servicio de soporte técnico.
Gracias Oscar, saludos desde Tuxtla Gutierrez, Chiapas Mexico.
BorrarMuchas gracias por tomarse el tiempo de compartir esta informacion
ResponderBorrarme fue muy util
saludos
Son muy buenos los aportes que brindas, me interesa saber si tienes informacion para el CCNP y El ASE Networking de HP
ResponderBorrarGracias por eseo valiosos aportes
Estimado.
BorrarPuedes encontrar información sobre CCNP a lo largo de todo el blog. Generalmente está identificada con la etiqueta CCNP, pero los temas técnicos están según el área y no la certificación.
Respecto de publicaciones, estoy trabajando en varias, puedes ver lo que ya está disponible en este post: http://librosnetworking.blogspot.com.ar/2015/03/biblioteca-ccnp.html
Muy bueno!
ResponderBorrares posible montar varias contrasñeas sobres las lineas vty?
ResponderBorrares decir de 0 1 password1 y de 2 3 pasword2.??
gracias
Si, es posible definir una contraseña diferente para cada VTY.
BorrarPero tiene un inconveniente. Al momento de hacer Telnet o SSH no puedes controlar cuál es la VTY que responderá, y por lo tanto no puedes saber cuál será la clave requerida. Por ese motivo se asigna una sola clave para todas las líneas.
Sr. Oscar Gerometta:
ResponderBorrarMuchísimas gracias por esta valiosa información en cuanto a redes se trata. Yo soy un estudiante de redes y telecomunicaciones, en el cual, para bastantes dudas, he accedido a esta información un gran numero de veces. Esta información me ha sido de mucha ayuda, ya que explica cosas y detalles que no se explican a cabalidad en los manuales Cisco o del todo entendible. Así que nuevamente, ¡muy agradecido por su ayuda!, Adios.