31 de diciembre de 2007

Las "líneas" de los routers Cisco

Quienes trabajamos con routers y switches Cisco estamos familiarizados con las llamadas "líneas" de acceso al dispositivo ("line" en inglés). Su conocimiento y configuración es un aspecto fundamental de la tarea del Adminstrador de dispositivos Cisco.

¿Qué líneas tiene mi dispositivo?

Las líneas del dispositivo son de dos tipos:

  • puertos seriales.
  • conexiones de red virtuales.

Para verificar cuáles son las líneas de acceso disponibles en su dispositivo puede utilizar el comando show line.

Router#show line
.Tty Typ...Tx/Rx .A Modem.Roty AccO AccI Uses Noise Overruns Int
*.0..CTY.......... - ..- ... - .. - .. - .. 0 ....0 .. 0/0 .. -
..1..AUX 9600/9600 - ..- ....- ...- .. - .. 0 ....0 .. 0/0 .. -
..2..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..3..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..4..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..5..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -
..6..VTY ..........- ..- ....- .. - .. - .. 0 ....0 .. 0/0 .. -

De acuerdo a lo que se muestra en esta presentación, el dispositivo cuenta con un puerto consola (CTY) actualmente en uso (lo marca el asterisco), un puerto auxiliar (AUX) y 5 puertos virtuales (VTY).

El puerto CTY

Es el que conocemos habitualmente como puerto consola. Es el que nos permite realizar la configuración del dispositivo aún cuando no exista archivo de configuración y no haya ninguna información previa.
Se trata de un puerto serie que requiere la utilización de una terminal con puerto serie conectada al puerto consola mediante un cable consola (rollover) con un adaptador DB9 o RJ45.
Este acceso debe ser adecuadamente asegurado utilizando una clave, que puede ser clave única o clave de acceso de un usuario local. Recuerde que esta clave se guarda en el archivo de configuración en texto plano, por lo que si se desea encriptar esta clave debe utilizarse el servicio de encriptación de claves de Cisco IOS.

Un ejemplo de configuración de este puerto:

Router(config)#username usuario password clave
Router(config)#line console 0
Router(config-line)#login local
Router(config-line)#loggin synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#_

El puerto auxiliar

No todos los dispositivos están equipados con un puerto auxiliar, identificado como AUX. Este puerto puede actuar como un puerto de respaldo al puerto consola.

Originalmente esta línea ha sido integrada con el objetivo de posibilitar la conexión de un módem telefónico a través del cual es posible conectarse al dispositivo utilizando una conexión dial-up. Es un puerto serial que debe ser segurizado como tal:

Router(config)#line aux 0
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#_

Los puertos VTY

Se trata de un conjunto de puertos virtuales utilizados para la conexión vía telnet, SSH, http o https al dispositivo para realizar administración in band.
La mayoría de los dispositivos tienen al menos 5 puertos virtuales identificados como vty 0 a 4. Sin embargo, en la medida en que resulte necesario, se pueden general más puertos virtuales hasta completar un total de 21 líneas vty.

Un ejemplo de configuración:

Router(config)#line vty 0 4
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#transport input ssh
Router(config-line)#exit

Router(config)#line vty 5 20
Router(config-line)#password clave
Router(config-line)#login
Router(config-line)#logging synchronous
Router(config-line)#exec-timeout 5 0
Router(config-line)#transport input ssh
Router(config-line)#_

Conclusión

Una mala configuración de las líneas de acceso es un riesgo de seguridad importante. Estas líneas siempre deben ser configuradas adecuadamente, de acuerdo a las políticas de acceso definidas.

Por otro lado, cuando alguna de estas líneas de acceso es utilizada es posible simplemente bloquearla habilitando el requerimiento de clave pero negando la clave en esa línea. Un ejemplo, para bloquear el acceso por puerto auxiliar:

Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line aux 0
Router(config-line)#login
Router(config-line)#no password
Router(config-line)#^Z
Router#_

También, el acceso a las líneas de terminal virtual puede ser asegurado utilizando listas de acceso estándar, limitando de esta forma las direcciones IP que podrán acceder por telnet o ssh al dispositivo:

Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 1 permit 205.7.5.0 0.0.0.7
Router(config)#line vty 0 4
Router(config-line)#access-class 1 in
Router(config-line)#^Z
Router#_

La configuración completa de todas las líneas de acceso puede verificarse al final del archivo de configuración:

Router#show running-config
Building configuration...

Current configuration : 1056 bytes
!
version 12.4
!
[se omite parcialmente información]
!
line con 0
.exec-timeout 5 0
.logging synchronous
.login local
.stopbits 1
line aux 0
.exec-timeout 5 0
.password clave
.logging synchronous
.login
.stopbits 1
line vty 0 4
.exec-timeout 5 0
.password clave
.logging synchronous
.login
line vty 5 20
.exec-timeout 5 0
.password clave
.logging synchronous
.login
!
!
end

Ir A la información sobre la Guía

¿Tenés algún tip para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta

22 comentarios:

  1. conocia de lo de las consolas... y hay un par de comandos que no sabia que existian... estoy comenzando en esto... valiosa informacion, saludos desde panama

    ResponderBorrar
  2. Gracias por su aporte, no sabía en realidad lo del puerto auxiliar, solo el de consola, y además algunas configuraciones de timeout. Me fueron de mucha ayuda. Gracias

    ResponderBorrar
  3. Hola,
    si no tengo un puerto serial (en mi portátil, por ejemplo), ¿cómo me puedo conectarme a un router cisco en local, para configurarlo?

    Gracias
    saludos

    ResponderBorrar
  4. Hay disponible en el mercado un adaptador de puerto USB a serial DB9. En términos generales funcionan muy bien y son una excelente opción para una situación como la que planteás.

    ResponderBorrar
  5. MUY BUENOS APORTES, ESTOY COMENZANDO EN ESTO Y ME HA SERVIDO DE MUCHO GRACIAS.

    ResponderBorrar
  6. muy buen aporte !!! gracias !! d.ls.b

    ResponderBorrar
  7. gran aporte amigo... y en castellano : )

    ResponderBorrar
  8. excelente aporte, lo que si seria bueno que nos pudieras explicar a como poder reversar lo que se ha hecho, ejemplo como
    podemos reversar el ejemplo que pusiste en la conclusión?

    como deshabilitar la "enable password"

    muchas gracias..

    ResponderBorrar
    Respuestas
    1. la verdad es que no se si veras este comentario, pero tan solo basta con poner
      no enable password
      no enable secret
      y listo! habras anulado esos comandos :)

      Borrar
    2. Suponiendo que te refieres a cómo acceder cuándo ya hay una clave configurada y no la conocer, esto está descripto como "password recovery" en la página de Cisco: http://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-software-releases-121-mainline/6130-index.html

      Borrar
  9. como recien estoy comenzando gracias por los temas aportazoooooo y mas encima en español que mas puedo pedir....

    ResponderBorrar
  10. Muchas gracias por la info

    ResponderBorrar
  11. Excelente aporte.
    Tengo un Switch HP 5120-24G EI Numero de parte JE066A que quisiera accesar a el por Telnet y http y https.Muy bien explicado lo que es un CTY, AUX y VTY.
    Ahora ando buscando como poder configurarlo para que se pueda accesar.

    ResponderBorrar
    Respuestas
    1. Felipe
      La respuesta que necesitas debieras buscarla en la documentación de HP, o en su servicio de soporte técnico.

      Borrar
    2. Gracias Oscar, saludos desde Tuxtla Gutierrez, Chiapas Mexico.

      Borrar
  12. Muchas gracias por tomarse el tiempo de compartir esta informacion
    me fue muy util
    saludos

    ResponderBorrar
  13. Son muy buenos los aportes que brindas, me interesa saber si tienes informacion para el CCNP y El ASE Networking de HP

    Gracias por eseo valiosos aportes

    ResponderBorrar
    Respuestas
    1. Estimado.
      Puedes encontrar información sobre CCNP a lo largo de todo el blog. Generalmente está identificada con la etiqueta CCNP, pero los temas técnicos están según el área y no la certificación.
      Respecto de publicaciones, estoy trabajando en varias, puedes ver lo que ya está disponible en este post: http://librosnetworking.blogspot.com.ar/2015/03/biblioteca-ccnp.html

      Borrar
  14. es posible montar varias contrasñeas sobres las lineas vty?
    es decir de 0 1 password1 y de 2 3 pasword2.??
    gracias

    ResponderBorrar
    Respuestas
    1. Si, es posible definir una contraseña diferente para cada VTY.
      Pero tiene un inconveniente. Al momento de hacer Telnet o SSH no puedes controlar cuál es la VTY que responderá, y por lo tanto no puedes saber cuál será la clave requerida. Por ese motivo se asigna una sola clave para todas las líneas.

      Borrar
  15. Sr. Oscar Gerometta:
    Muchísimas gracias por esta valiosa información en cuanto a redes se trata. Yo soy un estudiante de redes y telecomunicaciones, en el cual, para bastantes dudas, he accedido a esta información un gran numero de veces. Esta información me ha sido de mucha ayuda, ya que explica cosas y detalles que no se explican a cabalidad en los manuales Cisco o del todo entendible. Así que nuevamente, ¡muy agradecido por su ayuda!, Adios.

    ResponderBorrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.