CCNA 3 Versión 7: Módulo 10 – Administración de redes

Última actualización: enero 30, 2022

10.0. Introducción

10.0.1. ¿Por qué debería tomar este módulo?

Bienvenido a Administración de redes

Imagina que estás al timón de una nave espacial. Hay muchos, muchos componentes que trabajan juntos para mover esta nave. Existen varios sistemas para administrar estos componentes. Para llegar a donde va usted necesita tener una comprensión completa de los componentes y los sistemas que los administran. Probablemente apreciarías cualquier herramienta que simplificara la gestión de tu nave espacial mientras tú también lo estás pilotando.

Al igual que una nave espacial compleja, las redes también necesitan ser gestionadas. Afortunadamente, hay muchas herramientas que están diseñadas para simplificar la administración de red. Este módulo le presenta varias herramientas y protocolos para ayudarle a administrar su red – _mientras sus usuarios la están usando. También incluye muchas actividades Packet Tracer y Hands On Labs para poner a prueba tus habilidades. Estas son las herramientas de los grandes administradores de red, por lo que definitivamente querrá comenzar!

10.0.2. ¿Qué aprenderé en este módulo?

Título del módulo: Administración de redes

Objetivos del módulo: Implementar protocolos para administrar la red.

Título del tema Objetivo del tema
Detección de dispositivos con CDP Utilizar CDP para asignar una topología de red.
Detectar dispositivos con LLDP Utilizar LLDP para documentar una topología de red.
NTP Implementar NTP entre un cliente NTP y un servidor NTP.
SNMP Explicar cómo funciona el SNMP.
Syslog Explicar el funcionamiento de syslog.
Mantenimiento de archivos del router y del switch Uso de comandos para realizar copias de respaldo de un archivo de configuración de IOS y restaurarlo.
Administración de imágenes de IOS Implementar protocolos para administrar la red.

10.1. Detección de dispositivos con CDP

10.1.1. CDP: Descripción general

¿Lo primero que quieres saber sobre tu red es lo que hay en ella? ¿Dónde están estos componentes? ¿Cómo están conectados? Básicamente, necesitas un mapa. En este tema se explica cómo puede utilizar el Protocolo de detección de Cisco (CDP) para crear un mapa de su red.

Cisco Discovery Protocol (CDP) es un protocolo de Capa 2 patentado de Cisco que se utiliza para recopilar información sobre los dispositivos Cisco que comparten el mismo enlace de datos. El CDP es independiente de los medios y del protocolo y se ejecuta en todos los dispositivos Cisco, como routers, switches y servidores de acceso.

El dispositivo envía mensajes CDP periódicos a los dispositivos conectados, tal como se muestra en la figura.

Estos mensajes comparten información sobre el tipo de dispositivo que se descubre, el nombre de los dispositivos, y la cantidad y el tipo de interfaces.

Debido a que la mayoría de los dispositivos de red se conectan a otros dispositivos, CDP puede ayudar a tomar decisiones de diseño, solucionar problemas, y realizar cambios en el equipo. CDP se puede utilizar como herramienta de análisis de redes para conocer información sobre los dispositivos vecinos. Esta información recopilada del CDP puede ayudar a crear una topología lógica de una red cuando falta documentación o detalles.

10.1.2. Configuración y verificación de CDP

Para los dispositivos Cisco, CDP está habilitado de manera predeterminada. Por motivos de seguridad, puede ser conveniente deshabilitar CDP en un dispositivo de red de manera global, o por interfaz. Con CDP, un atacante puede recolectar información valiosa sobre el diseño de la red, como direcciones IP, versiones de IOS, y tipos de dispositivos.

Para verificar el estado de CDP y mostrar información sobre CDP, ingrese el comando show cdp, tal como se indica en el ejemplo.

Router# show cdp
Global CDP information:
      Sending CDP packets every 60 seconds
      Sending a holdtime value of 180 seconds
      Sending CDPv2 advertisements is enabled

Para habilitar CDP globalmente para todas las interfaces compatibles en el dispositivo, ingrese cdp run en el modo de configuración global. CDP se puede deshabilitar para todas las interfaces en el dispositivo con el comandono cdp run en el modo de configuración global.

Router(config)# no cdp run
Router(config)# exit
Router# show cdp
CDP is not enabled
Router# configure terminal
Router(config)# cdp run

Para deshabilitar CDP en una interfaz específica, como la que entra en contacto con un ISP, ingrese no cdp enable en el modo de configuración de la interfaz. CDP aún se encuentra habilitado en el dispositivo; sin embargo, no se enviarán más mensajes por esa interfaz. Para habilitar nuevamente CDP en una interfaz específica, ingrese cdp enable ,como se muestra en el ejemplo.

Switch(config)# interface gigabitethernet 0/0/1
Switch(config-if)# cdp enable

Para verificar el estado de CDP y mostrar una lista de vecinos, use el comando show cdp neighbors en el modo EXEC privilegiado. El comando show cdp neighbors muestra información importante sobre los vecinos de CDP. Actualmente, este dispositivo no tiene vecinos porque no está físicamente conectado a ningún dispositivo, como lo indican los resultados del show cdp neighbors comando que se muestran en el ejemplo.

Router# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
                  D - Remote, C - CVTA, M - Two-port Mac Relay
 
Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
 
Total cdp entries displayed : 0

Utilice el comando show cdp interface para mostrar las interfaces que están habilitadas en CDP en el dispositivo. También se muestra el estado de cada interfaz. En la figura se muestra que CDP está habilitado en cinco interfaces del router, con solo una conexión activa a otro dispositivo.

Router# show cdp interface
GigabitEthernet0/0/0 is administratively down, line protocol is down
  Encapsulation ARPA
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
GigabitEthernet0/0/1 is up, line protocol is up
  Encapsulation ARPA
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
GigabitEthernet0/0/2 is down, line protocol is down
  Encapsulation ARPA
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
Serial0/1/0 is administratively down, line protocol is down
  Encapsulation HDLC
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
Serial0/1/1 is administratively down, line protocol is down
  Encapsulation HDLC
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
GigabitEthernet0 is down, line protocol is down
  Encapsulation ARPA
  Sending CDP packets every 60 seconds
  Holdtime is 180 seconds
 cdp enabled interfaces : 6
 interfaces up          : 1
 interfaces down        : 5

10.1.3. Detección de dispositivos mediante CDP

Considere la falta de documentación en la topología 1, mostrados en la figura. El administrador de redes solo sabe que el R1 está conectado a otro dispositivo.

Con CDP habilitado en la red, el comando show cdp neighbors se puede usar para determinar el diseño de la red, como se muestra en el ejemplo.

R1# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
                  D - Remote, C - CVTA, M - Two-port Mac Relay
 
Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
S1               Gig 0/0/1           179         S I      WS-C3560- Fas 0/5

No hay información disponible relacionada con el resto de la red. El comando show cdp neighbors proporciona información útil sobre cada dispositivo adyacente CDP, por ejemplo:

  • Identificadores de dispositivos – El nombre de host del dispositivo adyacente (S1).
  • Identificador de puerto – El nombre de los puertos local y remoto (G0/0/1 y F0/5, respectivamente).
  • Lista de funcionalidades – Indica si el dispositivo es un router o un switch (S para switch; I para IGMP está más allá del ámbito de este curso).
  • Plataforma – La plataforma de hardware del dispositivo (WS-C3560 para el switch Cisco 3560 ).

La salida muestra que hay otro dispositivo Cisco, S1, conectado a la interfaz G0/0/1 en R1. Además, S1 está conectado a través de su F0/5, como se muestra en la topología actualizada.

El administrador de red utiliza show cdp neighbors detail para descubrir la dirección IP de S1. Como se muestra en la salida, la dirección de S1 es 192.168.1.2.

R1# show cdp neighbors detail
-------------------------
Device ID: S1
Entry address(es):
  IP address: 192.168.1.2
Platform: cisco WS-C3560-24TS,  Capabilities: Switch IGMP
Interface: GigabitEthernet0/0/1,  Port ID (outgoing port): FastEthernet0/5
Holdtime : 136 sec
 
Version :
Cisco IOS Software, C3560 Software (C3560-LANBASEK9-M), Version 15.0(2)SE7, R
RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Thu 23-Oct-14 14:49 by prod_rel_team
 
advertisement version: 2
Protocol Hello:  OUI=0x00000C, Protocol ID=0x0112; payload len=27, 
value=00000000FFFFFFFF010221FF000000000000002291210380FF0000
VTP Management Domain: ''
Native VLAN: 1
Duplex: full
Management address(es):
  IP address: 192.168.1.2
 
Total cdp entries displayed : 1

Al tener acceso a S1 ya sea en forma remota por medio de SSH o físicamente a través del puerto de la consola, un administrador de redes puede determinar cuáles son los otros dispositivos conectados a S1, como se aprecia en el show cdp neighbors ejemplo.

S1# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
                  D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
S2               Fas 0/1           150              S I   WS-C2960- Fas 0/1
R1               Fas 0/5           179             R S I  ISR4331/K Gig 0/0/1

Otro switch, S2, es encontrado. S2 está utilizando F0/1 para conectarse a la interfaz F0/1 en S1, como se muestra en la figura.

Una vez más, el administrador de red puede utilizar show cdp neighbors detail para descubrir la dirección IP de S2 y, a continuación, acceder a ella de forma remota. Después de un inicio de sesión exitoso, el administrador de red utiliza el comando show cdp neighbors para descubrir si hay más dispositivos.

S2# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
                  D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
S1               Fas 0/1           141              S I   WS-C3560- Fas 0/1

El único dispositivo conectado al S2 es el S1. Por lo tanto, no hay más dispositivos a descubrir en la topología. El administrador de redes ahora puede actualizar la documentación para reflejar los dispositivos detectados.

10.1.4. Verificador de sintaxis: Configuración y verificación del CDP

Practique la configuración y verificación de CDP.

Muestre el estado de CDP en el R1.

R1#show cdp
% CDP is not enabled

Ingrese al modo de configuración global para configurar lo siguiente:

  • Active CDP globalmente en R1.
  • Disable CDP on interface S0/0/0. Use s0/0/0 como designación de interfaz.
  • Utilice el comando end para salir del modo de configuración global.
R1#configure terminal
R1(config)#cdp run
R1(config)#interface s0/0/0
R1(config-if)#no cdp enable
R1(config-if)#end
*Oct 2 15:43:46.288: %SYS-5-CONFIG_I: Configured from console by console

Muestre la lista de vecinos CDP en R1.

R1#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
                  D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
S1               Gig 0/0/1         179              S I   WS-C3560- Fas 0/5

Muestre más detalles de la lista de vecinos CDP en R1.

R1#show cdp neighbors detail
\-------------------------
Device ID: S1
Entry address(es):
Platform: cisco WS-C3560-24TS, Capabilities: Switch IGMP
Interface: GigabitEthernet0/0/1, Port ID (outgoing port): FastEthernet0/5
Holdtime : 174 sec

Version :
Cisco IOS Software, C3560 Software (C3560-IPSERVICESK9-M), Version 15.0(2)SE7, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2014 by Cisco Systems, Inc.
Compiled Thu 23-Oct-14 14:13 by prod_rel_team

advertisement version: 2
Protocol Hello: OUI=0x00000C, Protocol ID=0x0112; payload len=27, value=00000000FFFFFFFF010221FF000000000000FCFBFB957300FF0000
VTP Management Domain: ''
Native VLAN: 1
Duplex: full

Total cdp entries displayed : 1

You have successfully configured and verified CDP on the router.

10.1.5. Packet Tracer: Mapeo de redes con CDP

Un administrador de redes senior le solicita mapear la red de la sucursal remota y detectar el nombre de un switch recientemente instalado para el que todavía se debe configurar una dirección IPv4. Su tarea es crear un mapa de la red de la sucursal. Para mapear la red, utilizará SSH para el acceso remoto y el Cisco Discovery Protocol (CDP) para descubrir información acerca de dispositivos de la red vecina, como routers y switches.

10.2. Detección de dispositivos con LLDP

10.2.1. Información general sobre LLDP

El protocolo de descubrimiento de capa de enlace (LLDP) hace lo mismo que CDP, pero no es específico de los dispositivos Cisco. Como ventaja, todavía puede usarlo si tiene dispositivos Cisco. De una forma u otra, obtendrá su mapa de red.

LLDP es un protocolo que no depende del proveedor para detección de vecinos, similar a CDP. El LLDP funciona con los dispositivos de red, como routers, switches, y puntos de acceso inalámbrico LAN. Este protocolo anuncia su identidad y capacidades a otros dispositivos y recibe la información de un dispositivo de capa 2 conectado físicamente.

10.2.2. Configuración y verificación del LLDP

En algunos dispositivos, el LLDP podría estar activado de manera predeterminada. Para habilitar LLDP a nivel global en un dispositivo de red Cisco, ingrese el comando lldp run en el modo de configuración global. Para deshabilitar el LLDP, ingrese el comando no lldp run en el modo de configuración global.

Al igual que el CDP, el LLDP se puede configurar en interfaces específicas. Sin embargo, LLDP se debe configurar individualmente para transmitir y recibir paquetes LLDP, tal como se indica en la figura.

Para verificar que LLDP ya se haya habilitado en el dispositivo, ingrese el comando show lldp en el modo EXEC con privilegios.

Switch# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# lldp run
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# lldp transmit
Switch(config-if)# lldp receive
Switch(config-if)# end
Switch# show lldp
Global LLDP Information:
    Status: ACTIVE
    LLDP advertisements are sent every 30 seconds
    LLDP hold time advertised is 120 seconds
    LLDP interface reinitialisation delay is 2 seconds

10.2.3. Discover Devices by Using LLDP

Considere la falta de documentación en la topología, mostrada en la figura. El administrador de redes solo sabe que el S1 está conectado a dos dispositivos.

Con LLDP habilitado, los vecinos de dispositivo se pueden detectar mediante el comando show lldp neighbors , tal como se muestra en el ejemplo.

S1# show lldp neighbors
Capability codes:
    (R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
    (W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
Device ID           Local Intf     Hold-time  Capability      Port ID
R1                  Fa0/5          117        R               Gi0/0/1
S2                  Fa0/1          112        B               Fa0/1
Total entries displayed: 2

el administrador de redes descubre que S1 tiene un router y un switch como vecinos En este ejemplo, la letra B de bridge también puede significar switch.

A partir de los resultados de show lldp neighbors, se puede construir una topología de S1, como se muestra en la figura.

Cuando se necesitan más detalles sobre los vecinos, el comando show lldp neighbors detail puede proporcionar información, como la versión del IOS vecino, la dirección IP y la capacidad del dispositivo.

S1# show lldp neighbors detail
------------------------------------------------
Chassis id: 848a.8d44.49b0
Port id: Gi0/0/1
Port Description: GigabitEthernet0/0/1
System Name: R1
  
System Description:
Cisco IOS Software [Fuji], ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.9.4, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2019 by Cisco Systems, Inc.
Compiled Thu 22-Aug-19 18:09 by mcpre
  
Time remaining: 111 seconds
System Capabilities: B,R
Enabled Capabilities: R
Management Addresses - not advertised
Auto Negotiation - not supported
Physical media capabilities - not advertised
Media Attachment Unit type - not advertised
Vlan ID: - not advertised
  
------------------------------------------------
Chassis id: 0025.83e6.4b00
Port id: Fa0/1
Port Description: FastEthernet0/1
System Name: S2
  
System Description:
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE4, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Wed 26-Jun-13 02:49 by prod_rel_team
  
Time remaining: 107 seconds
System Capabilities: B
Enabled Capabilities: B
Management Addresses - not advertised
Auto Negotiation - supported, enabled
Physical media capabilities:
    100base-TX(FD)
    100base-TX(HD)
    10base-T(FD)
    10base-T(HD)
Media Attachment Unit type: 16
Vlan ID: 1
  
Total entries displayed: 2

10.2.4. Verificador de sintaxis: Configuración y verificación del LLDP

Practique la configuración y verificación de LLDP.

Complete los siguientes pasos para configurar LLDP en R1:

  • Ingrese al modo de configuración global y habilite LLDP globalmente.
  • Enter interface configuration mode for g0/0/0. Use g0/0/0 como designación de interfaz.
  • Deshabilite el envío de mensajes LLDP en la interfaz.
  • Deshabilite la recepción de mensajes LLDP en la interfaz. Introduzca el comando * Use the end para volver al modo de configuración global.
R1#configure terminal
R1(config)#lldp run
R1(config)#interface g0/0/0
R1(config-if)#no lldp transmit
R1(config-if)#no lldp receive
R1(config-if)#end
*Oct 2 16:19:16.167: %SYS-5-CONFIG_I: Configured from console by console

You are now logged into S1. Muestre la lista de vecinos LLDP.

S1#show lldp neighbors
capability codes:
    (R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
    (W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
Device ID           Local Intf     Hold-time  Capability      Port ID
R1                  Fa0/5          115        R               Gi0/0/1
Total entries displayed: 1

Muestre más detalles de la lista de vecinos con LLDP en el R1.

S1#show lldp neighbors detail
------------------------------------------------
Chassis id: 848a.8d44.49b0
Port id: Gi0/0/1
Port Description: GigabitEthernet0/0/1
System Name: R1

System Description:
Cisco IOS Software [Fuji], ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.9.4, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2019 by Cisco Systems, Inc.
Compiled Thu 22-Aug-19 18:09 by mcpre

Time remaining: 114 seconds
System Capabilities: B,R
Enabled Capabilities: R
Management Addresses - not advertised
Auto Negotiation - not supported
Physical media capabilities - not advertised
Media Attachment Unit type - not advertised
Vlan ID: - not advertised

Total entries displayed: 1

Configuró y comprobó correctamente el LLDP en el router.

10.2.6. Packet Tracer – Usar LLDP para mapear una red

En esta actividad de Packet Tracer, completará los siguientes objetivos:

  • Armar la red y configurar los ajustes básicos de los dispositivos
  • Detección de redes con CDP
  • Detección de redes con LLDP

10.3. NTP

10.3.1. Servicios de tiempo y calendario

Antes de entrar realmente en la administración de red, lo único que le ayudará a mantenerse en el camino es asegurarse de que todos sus componentes estén configurados con la misma hora y fecha.

El reloj del software en un router o un switch se inicia cuando se inicia el sistema. Es la fuente primaria de tiempo para el sistema. Es importante sincronizar la hora en todos los dispositivos de la red porque todos los aspectos de administración, seguridad, solución de problemas, y planificación de redes requieren una marca de hora precisa. Cuando no se sincroniza la hora entre los dispositivos, será imposible determinar el orden de los eventos y la causa de un evento.

Normalmente, la configuración de fecha y hora de un router o switch se puede establecer mediante uno de los dos métodos, usted puede configurar manualmente la fecha y la hora, como se muestra en el ejemplo, o configurar el Protocolo de tiempo de red (NTP).

R1# clock set 16:01:00 sept 25 2020 
*Sep 25 16:01:00.000: %SYS-6-CLOCKUPDATE: System clock has been updated from 13:09:49 UTC Fri Sep 25 2020 to 16:01:00 UTC Fri Sep 25 2020, configured from console by console.
Sep 25 16:01:00.001: %PKI-6-AUTHORITATIVE_CLOCK: The system clock has been set.
R1#

A medida que una red crece, se hace difícil garantizar que todos los dispositivos de la infraestructura operen con una hora sincronizada. Incluso en un entorno de red más pequeño, el método manual no es lo ideal. Si se reinicia el router, ¿Cómo obtendrá una fecha y hora precisas?

Una mejor solución es configurar el NTP en la red. Este protocolo permite que los routers de la red sincronicen sus ajustes de hora con un servidor NTP. Si un grupo de clientes NTP obtiene información de fecha y hora de un único origen, tendrá ajustes de hora más consistentes. Cuando se implementa NTP en la red, se puede configurar para sincronizar con un reloj maestro privado o se puede sincronizar con un servidor NTP disponible públicamente en Internet.

NTP utiliza el puerto 123 de UDP y se documenta en RFC 1305.

10.3.2. Funcionamiento de NTP

Las redes NTP utilizan un sistema jerárquico de fuentes horarias. Cada nivel en este sistema jerárquico se denomina estrato (stratum). El nivel de estrato se define como la cantidad de saltos desde la fuente autorizada. La hora sincronizada se distribuye en la red mediante el protocolo NTP. En la figura muestra una red NTP modelo.

Los servidores NTP están organizados en tres niveles, conocidos como estratos: El estrato 1 está conectado a relojes del estrato 0.

Estrato 0

Una red NTP obtiene la hora de fuentes horarias autorizadas. Estas fuentes autorizadas, conocidas como dispositivos de estrato 0, son dispositivos de cronometraje de alta precisión que son presuntamente precisos y con poco o ningún retraso asociado con los mismos. Los dispositivos del estrato 0 están representados por el reloj en la figura.

Estrato 1

Los dispositivos del estrato 1 están conectados directamente a las fuentes horarias autorizadas. Actúan como el estándar principal para el horario de la red.

Estrato y menores

Los servidores del estrato 2 están conectados a dispositivos del estrato 1 a través de conexiones de red. Los dispositivos de estrato 2, como los clientes NTP, sincronizan su tiempo utilizando los paquetes NTP de los servidores de estrato 1. Podrían también actuar como servidores para dispositivos del estrato 3.

Los números más bajos de estratos indican que el servidor está más cerca de la fuente horaria autorizada que los números de estrato más altos. Cuanto mayor sea el número de estrato, menor es el nivel del estrato. El recuento de saltos máximo es 15. El estrato 16, el nivel de estrato inferior, indica que un dispositivo no está sincronizado. Los servidores horarios en el mismo nivel de estrato pueden configurarse para actuar como una pareja con otros servidores horarios en el mismo nivel de estrato, esto para la verificación o la copia de respaldo.

10.3.3. Configuración y verificación del NTP

La figura muestra la topología utilizada para demostrar la configuración y verificación de NTP.

Antes de configurar NTP en la red, el comando show clock muestra la hora actual en el reloj. Con la opción detail , observe que la fuente de tiempo es la configurada por el usuario. Esto significa que la hora se configuró manualmente con el comando clock .

R1# show clock detail 
20:55:10.207 UTC Fri Nov 15 2019
Time source is user configuration

El comandontp server ip-address se emite en modo de configuración global para configurar 209.165.200.225 como el servidor NTP para R1. Para verificar que la fuente de tiempo esté establecida en NTP, use el comando show clock detail . Observe que ahora la fuente de tiempo es NTP.

R1(config)# ntp server 209.165.200.225 
R1(config)# end 
R1# show clock detail 
21:01:34.563 UTC Fri Nov 15 2019
Time source is NTP

En el siguiente ejemplo, los comandos show ntp associations y show ntp status se utilizan para verificar que R1 está sincronizado con el servidor NTP en 209.165.200.225. Observe que el R1 está sincronizado con un servidor NTP de estrato 1 en 209.165.200.225, que se sincroniza con un reloj GPS. El comando show ntp status muestra que R1 ahora es un dispositivo del estrato 2 que está sincronizado con el servidor NTP en 209.165.220.225.

Nota: El punto resaltado st significa estrato.

R1# show ntp associations   
  address         ref clock       st   when   poll reach  delay  offset   disp
*~209.165.200.225 .GPS.           1     61     64   377  0.481   7.480  4.261
 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured
 
R1# show ntp status 
Clock is synchronized, stratum 2, reference is 209.165.200.225
nominal freq is 250.0000 Hz, actual freq is 249.9995 Hz, precision is 2**19
ntp uptime is 589900 (1/100 of seconds), resolution is 4016
reference time is DA088DD3.C4E659D3 (13:21:23.769 PST Fri Nov 15 2019)
clock offset is 7.0883 msec, root delay is 99.77 msec
root dispersion is 13.43 msec, peer dispersion is 2.48 msec
loopfilter state is 'CTRL' (Normal Controlled Loop), drift is 0.000001803 s/s
system poll interval is 64, last update was 169 sec ago.

A continuación, el reloj de S1 se configura para sincronizarse con R1 con el comando ntp server y luego la configuración se verifica con el comando show ntp associations , como se muestra a continuación.

S1(config)# ntp server 192.168.1.1
S1(config)# end
S1# show ntp associations
  address         ref clock       st   when   poll reach  delay  offset   disp
*~192.168.1.1     209.165.200.225  2     12     64   377  1.066  13.616  3.840
 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

El resultado del comando show ntp associations verifica que el reloj en S1 ahora esté sincronizado con R1 en 192.168.1.1 a través de NTP. El R1 es un dispositivo de estrato 2 y un servidor NTP para el S1. Ahora el S1 es un dispositivo de estrato 3 que puede proporcionar el servicio NTP a otros dispositivos en la red, por ejemplo terminales.

S1# show ntp status
Clock is synchronized, stratum 3, reference is 192.168.1.1
nominal freq is 119.2092 Hz, actual freq is 119.2088 Hz, precision is 2**17
reference time is DA08904B.3269C655 (13:31:55.196 PST Tue Nov 15 2019)
clock offset is 18.7764 msec, root delay is 102.42 msec
root dispersion is 38.03 msec, peer dispersion is 3.74 msec
loopfilter state is 'CTRL' (Normal Controlled Loop), drift is 0.000003925 s/s
system poll interval is 128, last update was 178 sec ago.

10.3.4. Packet Tracer: configuración y verificación del NTP

NTP sincroniza la hora del día entre un conjunto distribuido de servidores de tiempo y clientes. Si bien existen varias aplicaciones que requieren una sincronización, esta práctica de laboratorio se centra en la necesidad de correlacionar eventos cuando aparezca en los registros del sistema y otros eventos con horarios específicos de varios dispositivos de red.

10.4. SNMP

10.4.1. Introducción a SNMP

Ahora que la red está asignada y todos los componentes usan el mismo reloj, es hora de ver cómo puede administrar la red mediante el Protocolo Simple de Administración de Redes (SNMP).

SNMP permite a los administradores administrar dispositivos finales, como servidores, estaciones de trabajo, routers, switches y dispositivos de seguridad. Permite que los administradores de redes monitoreen y administren el rendimiento de la red, detecten y resuelvan problemas de red y planifiquen el crecimiento de la red.

SNMP es un protocolo de capa de aplicación, que proporciona un formato para la comunicación entre administradores y agentes. El sistema SNMP consta de tres elementos:

  • Administrador de SNMP
  • Agentes SNMP (nodo administrado)
  • Base de información de administración (MIB)

Para configurar SNMP en un dispositivo de red, primero es necesario definir la relación entre el administrador y el agente.

El administrador de SNMP forma parte de un sistema de administración de red (NMS). El administrador de SNMP ejecuta software de administración SNMP. Como se muestra en la ilustración, el administrador de SNMP puede recopilar información de un agente SNMP mediante una acción “get” y puede cambiar la configuración en un agente mediante la acción “set”. Además, lo agentes de SNMP pueden reenviar información directamente a un administrador de red mediante «traps».

El agente de SNMP y MIB se alojan en los dispositivos del cliente de SNMP. Los dispositivos de red que se deben administrar, como los switches, los routers, los servidores, los firewalls y las estaciones de trabajo, cuentan con un módulo de software de agente SMNP. Las MIB almacenan datos sobre el dispositivo y estadísticas operativas y deben estar disponibles para los usuarios remotos autenticados. El agente de SNMP es responsable de brindar acceso a la MIB local.

SNMP define cómo se intercambia la información de administración entre las aplicaciones de administración de red y los agentes de administración. El administrador de SNMP sondea los agentes y consulta la MIB para los agentes de SNMP en el puerto UDP 161. Los agentes de SNMP envían todas las notificaciones de SNMP al administrador de SNMP en el puerto UDP 162.

10.4.2. Funcionamiento de SNMP

Los agentes SNMP que residen en los dispositivos administrados recopilan y almacenan información sobre los dispositivos y su funcionamiento. El agente almacena esta información localmente en la MIB. El administrador de SNMP luego usa el agente SNMP para tener acceso a la información dentro de la MIB.

Existen dos solicitudes principales de administrador de SNMP: get y set. NMS usa una solicitud get para solicitar datos al dispositivo. NMS usa una solicitud «set» para cambiar las variables de configuración en el dispositivo de agente. Una solicitud set también puede iniciar acciones dentro de un dispositivo. Por ejemplo, una solicitud set puede hacer que un router se reinicie, que envíe o que reciba un archivo de configuración. El administrador de SNMP utiliza las acciones de las solicitudes get y set para realizar las operaciones descritas en la tabla.

Operación Descripción
get-request Recupera un valor de una variable específica.
get-next-request Recupera un valor de una variable dentro de una tabla; el administrador de SNMP no necesita saber el nombre exacto de la variable. Se realiza una búsqueda secuencial para encontrar la variable necesaria dentro de una tabla.
get-bulk-request Recupera grandes bloques de datos, como varias filas en una tabla, que de otra manera requerirían la transmisión de muchos bloques pequeños de datos. (Solo funciona con SNMPv2 o más reciente).
get-response Responde a get-request, get-next-request, y set-request enviados por un NMS.
set-request Almacena un valor en una variable específica.

El agente SNMP responde a las solicitudes del administrador de SNMP de la siguiente manera:

  • Get an MIB variable – el agente de SNMP ejecuta esta función en respuesta a una PDU GetRequest del administrador de red. El agente obtiene el valor de la variable de MIB solicitada y responde al administrador de red con dicho valor.
  • Set an MIB variable – el agente SNMP realiza esta función en respuesta a una PDU SetRequest del administrador de red. El agente de SNMP cambia el valor de la variable de MIB al valor especificado por el administrador de red. La respuesta del agente SNMP a una solicitud set incluye la nueva configuración en el dispositivo.

En la figura, se muestra el uso de una solicitud get de SNMP para determinar si la interfaz G0/0/0 está up/up (activa/activa).

10.4.3. Traps del agente SNMP

NMS sondea periódicamente a los agentes SNMP que residen en los dispositivos administrados para solicitar datos a los dispositivos mediante la solicitud get. El NMS consulta datos en el dispositivo. Con este proceso, una aplicación de administración de red puede recopilar información para controlar cargas de tráfico y verificar las configuraciones de los dispositivos administrados. La información puede visualizarse por una GUI en NMS. Se pueden calcular promedios, mínimos o máximos. Los datos se pueden graficar o establecer umbrales para activar un proceso de notificación cuando se exceden los umbrales. Por ejemplo, NMS puede controlar el uso de CPU de un router Cisco. El administrador de SNMP toma una muestra del valor periódicamente y presenta esta información en un gráfico para que el administrador de redes la use para crear una línea de base, redactar un informe o ver información en tiempo real.

El sondeo periódico de SNMP tiene desventajas. En primer lugar, existe un retraso entre el momento en el que ocurre un evento y el momento en el que NMS lo advierte (mediante el sondeo). En segundo lugar, existe un nivel de equilibrio entre la frecuencia del sondeo y el uso del ancho de banda.

Para mitigar estas desventajas, es posible que los agentes SNMP generen y envíen traps para informarle al NMS sobre ciertos eventos de inmediato. Los traps son mensajes no solicitados que alertan al administrador de SNMP sobre una condición o un evento en la red. Algunos ejemplos de las condiciones de trap incluyen, la autenticación incorrecta de usuarios, los reinicios, el estado del enlace (activo o inactivo), el seguimiento de direcciones MAC, el cierre de una conexión TCP, la pérdida de conexión a un vecino u otros eventos importantes. Las notificaciones de trap reducen los recursos de red y de agente al eliminar la necesidad de algunas de las solicitudes de sondeo de SNMP.

En la figura, se muestra el uso de una trap de SNMP para alertar al administrador de red que la interfaz G0/0/0 ha fallado. El software de NMS puede enviar un mensaje de texto al administrador de red, mostrar una ventana emergente en el software de NMS o mostrar el ícono del router en color rojo en la GUI de NMS.

El intercambio de todos los mensajes de SNMP se muestra en la figura.

10.4.4. Versiones de SNMP

Hay varias versiones de SNMP:

  • SNMPv1 – el protocolo simple de administración de red, un estándar completo de Internet , se define en RFC 1157.
  • SNMPv2c \ – Este se define en RFC 1901 a 1908. Utiliza un marco administrativo basado en cadenas comunitarias.
  • SNMPv3 – este es un protocolo interoperable basado en estándares originalmente definido en los RFC 2273 a 2275. Proporciona acceso seguro a dispositivos mediante la autenticación y encriptación de paquetes a través de la red. Incluye estas características de seguridad: integridad del mensaje para asegurar que no se alteró un paquete en tránsito, autenticación para determinar que el mensaje proviene de un origen válido, y cifrado para evitar que un origen no autorizado lea el contenido de un mensaje.

Todas las versiones usan administradores de SNMP, agentes SNMP y MIB. El software IOS de Cisco admite las tres versiones mencionadas anteriormente. La versión 1 es una solución antigua y no se suele encontrar en las redes actuales; por lo tanto, este curso se centra en las versiones 2c y 3.

Tanto SNMPv1 como SNMPv2c utilizan una forma de seguridad basada en la comunidad. La comunidad de administradores que puede acceder a la MIB del agente se define mediante una cadena de comunidad.

A diferencia de SNMPv1, SNMPv2c incluye un mecanismo de recuperación masiva e informes de mensajes de error más detallados para las estaciones de administración. El mecanismo de recuperación masiva recupera tablas y grandes cantidades de información, lo que minimiza la cantidad de idas y vueltas requeridas. El manejo de errores mejorado de SNMPv2c incluye códigos de error ampliados que distinguen diferentes tipos de condiciones de error. Estas condiciones se informan mediante un único código de error en SNMPv1. Los códigos de devolución de error en SNMPv2c incluyen el tipo de error.

Nota: SNMPv1 ySNMPv2c ofrecen características de seguridad mínima. Específicamente, SNMPv1 y SNMPv2c no pueden autenticar el origen de un mensaje de administración ni proporcionar cifrado. SNMPv3 se encuentra descrito en las RFC 3410 a 3415. Agrega métodos para garantizar la transmisión segura de datos importantes entre los dispositivos administrados.

SNMPv3 proporciona modelos y niveles de seguridad. Un modelo de seguridad es una estrategia de autenticación configurada para un usuario y el grupo en el que el usuario reside. Un nivel de seguridad es el nivel de seguridad permitido dentro de un modelo de seguridad. La combinación del nivel de seguridad y el modelo de seguridad determina qué mecanismo de seguridad se utiliza al manejar un paquete SNMP. Los modelos de seguridad disponibles son SNMPv1, SNMPv2c y SNMPv3.

La tabla identifica las características de las distintas combinaciones de modelos y niveles de seguridad.

Haga clic en cada botón para obtener más información sobre las características de las diferentes combinaciones de modelos y niveles de seguridad.

  • SNMPv1
  • SNMPv2c
  • SNMPv3 NoAuthNoPriv
  • SNMPv3 AuthNoPriv
  • SNMPv3 authPriv
SNMPv1
Nivel noAuthNoPriv
Autenticación Cadena de comunidad
Cifrado No
Resultado Usa una coincidencia de cadena de comunidad para la autenticación.
SNMPv2c
Nivel noAuthNoPriv
Autenticación Cadena de comunidad
Cifrado No
Resultado Usa una coincidencia de cadena de comunidad para la autenticación.
SNMPv3 noAuthNoPriv
Nivel noAuthNoPriv
Autenticación Usuario
Cifrado No
Resultado Usa una coincidencia de nombre de usuario para la autenticación (una mejora con respecto a SNMPv2c).
SNMPv3 AuthNoPriv
Nivel authNoPriv
Autenticación Message Digest 5 (MD5) or Secure Hash Algorithm (SHA)
Cifrado No
Resultado Proporciona autenticación basada en los algoritmos HMAC-MD5 o HMAC-SHA.
SNMPv3 authPriv
Nivel authPriv (requiere la imagen del software criptográfico)
Autenticación MD5 o SHA
Cifrado Data Encryption Standard (DES) or Advanced Encryption Standard (AES)
Resultado Proporciona autenticación basada en los algoritmos HMAC-MD5 o HMAC-SHA. Permite especificar el modelo de seguridad basado en usuarios (USM) con estos algoritmos de cifrado:
– Cifrado DES 56-bit además de autenticación basada en el estándar CBC-DES (DES-56)
– Cifrado 3DES de 168 bits
– Cifrado AES de 128 bits, 192 bits o 256 bits.

Un administrador de red debe configurar el agente SNMP para que use la versión de SNMP que admite la estación de administración. Debido a que un agente puede comunicarse con varios administradores de SNMP, es posible configurar el software para admitir comunicaciones mediante SNMPv1, SNMPv2c o SNMPv3.

10.4.6. Cadenas de comunidad

Para que SNMP funcione, NMS debe tener acceso a la MIB. Para asegurar que las solicitudes de acceso sean válidas, debe haber cierta forma de autenticación.

SNMPv1 y SNMPv2c usan cadenas de comunidad que controlan el acceso a la MIB. Las cadenas de comunidad son contraseñas de texto no cifrado. Las cadenas de la comunidad de SNMP autentican el acceso a los objetos MIB.

Existen dos tipos de cadenas de comunidad:

  • Sólo lectura (ro) – Este tipo proporciona acceso a las variables MIB, pero no permite cambiar estas variables, sólo lectura. Debido a que la seguridad es mínima en la versión 2c, muchas organizaciones usan SNMPv2c en modo de solo lectura.
  • Lectura y escritura (rw) – Este tipo proporciona acceso de lectura y escritura a todos los objetos en la MIB.

Para ver o establecer variables de MIB, el usuario debe especificar la cadena de comunidad correspondiente para el acceso de lectura o escritura.

Haga clic en Reproducir para ver una animación sobre el funcionamiento de SNMP con la cadena de comunidad.

Nota: Las contraseñas de texto no cifrado no se consideran un mecanismo de seguridad. Esto se debe a que las contraseñas de texto no cifrado son sumamente vulnerables a los ataques man-in-the-middle (intermediario), en los que se ven comprometidas a través de la captura de paquetes.

10.4.7. MIB Object ID

La MIB organiza variables de manera jerárquica. Las variables de MIB permiten que el software de administración controle el dispositivo de red. Formalmente, la MIB define cada variable como una ID de objeto (OID). Las OID identifican de forma exclusiva los objetos administrados en la jerarquía de la MIB. La MIB organiza las OID en una jerarquía, que se suele mostrar como un árbol, según estándares RFC,

El árbol de la MIB para un dispositivo determinado incluye algunas ramas con variables comunes a varios dispositivos de red y algunas ramas con variables específicas de ese dispositivo o proveedor.

Las RFC definen algunas variables públicas comunes. La mayoría de los dispositivos implementan estas variables de MIB. Además, los proveedores de equipos de redes, como Cisco, pueden definir sus propias ramas privadas del árbol para admitir las nuevas variables específicas de sus dispositivos.

La figura muestra partes de la estructura MIB definida por Cisco. Observe cómo se puede describir el OID en palabras o números para ayudar a localizar una variable particular en el árbol. Los OID de Cisco se numeran de la siguiente manera: .iso (1).org (3).dod (6).internet (1).private (4).enterprises (1).cisco (9). Por lo tanto, el OID es 1.3.6.1.4.1.9.

10.4.8. Escenario de sondeo SNMP

SNMP se puede utilizar para observar la utilización de la CPU durante un período de tiempo mediante dispositivos de sondeo. Las estadísticas de la CPU se pueden compilar en el NMS y graficar. Esto crea una línea de base para el administrador de red. Los valores de umbral se pueden establecer en relación con esta línea de base. Cuando el uso de la CPU supera este umbral, se envían notificaciones. Se muestran ejemplos de 5 minutos de uso de la CPU por parte de un router durante un período de unas semanas.

Los datos se recuperan mediante la utilidad snmpget, que se ejecuta en NMS. Con la utilidad snmpget, puede recuperar manualmente datos en tiempo real o hacer que el NMS ejecute un informe. Este informe le daría un período de tiempo en el que podría utilizar los datos para obtener el promedio. La utilidad snmpget requiere que se configure la versión de SNMP, la comunidad correcta, la dirección IP del dispositivo de red que se debe consultar y el número de OID. En la figura se demuestra el uso de la utilidad de snmpget, que permite la recuperación rápida de información de la MIB.

El comando de utilidad snmpget de muestra con varios parámetros, como:

  • -v2c – Esta es la versión de SNMP.
  • -c community – Esta es la contraseña, llamada cadena de comunidad.
  • 10.250.250.14 – Esta es la dirección IP del dispositivo monitorizado.
  • 1.3.6.1.4.1.9.2.1.58.0 – Este es el OID de la variable MIB.

En la última línea, se muestra la respuesta. El resultado muestra una versión abreviada de la variable de MIB. A continuación, indica el valor real en la ubicación de la MIB. En este caso, el porcentaje promedio de uso de CPU, en un intervalo de 5 minutos, es de 11 por ciento.

10.4.9. Navegador de objeto SNMP

La utilidad snmpget da una idea de la mecánica básica de cómo funciona SNMP. Sin embargo, trabajar con nombres de variables de MIB largos como 1.3.6.1.4.1.9.2.1.58.0 puede ser problemático para el usuario promedio. Comúnmente, el personal de operaciones de la red utiliza un producto de administración de red con una GUI fácil de usar, lo que hace que el nombre completo de la variable de datos MIB sea transparente para el usuario.

El navegador SNMP Cisco, en la dirección web http://www.cisco.com, permite que un administrador de redes consulte detalles sobre un OID en particular. La figura muestra un ejemplo del uso del navegador para investigar la información OID del whyReload objeto.

10.4.10. Actividad de laboratorio: Investigación de software de monitoreo de red

En esta práctica de laboratorio se cumplirán los siguientes objetivos:

  • Parte 1: Evaluar su comprensión acerca del monitoreo de red
  • Parte 2: Investigar herramientas de monitoreo de red
  • Parte 3: Seleccionar una herramienta de monitoreo de red

10.5. Syslog

10.5.1. Introducción a Syslog

Al igual que una luz Check Engine en el salpicadero del coche, los componentes de la red pueden indicarle si hay algún problema. El protocolo syslog fue diseñado para garantizar que puede recibir y comprender estos mensajes. Cuando ocurren ciertos eventos en una red, los dispositivos de red tienen mecanismos de confianza para notificar al administrador. Estos mensajes pueden ser importantes o no. Los administradores de red tienen una amplia variedad de opciones para almacenar, interpretar y visualizar estos mensajes. También se puede alertar sobre los mensajes que podrían tener el mayor impacto en la infraestructura de la red.

El método más común para acceder a los mensajes del sistema es utilizar un protocolo denominado Syslog.

El término “syslog” se utiliza para describir un estándar. También se utiliza para describir el protocolo desarrollado para ese estándar. El protocolo syslog se desarrolló para los sistemas UNIX en la década de los ochenta, pero la IETF lo registró por primera vez como RFC 3164 en 2001. Syslog usa el puerto UDP 514 para enviar mensajes de notificación de eventos a través de redes IP a recopiladores de mensajes de eventos, como se muestra en la ilustración.

Muchos dispositivos de red admiten syslog, incluidos routers, switches, servidores de aplicación, firewalls y otros dispositivos de red. El protocolo syslog permite que los dispositivos de red envíen los mensajes del sistema a servidores de syslog a través de la red.

Existen varios paquetes de software syslog para servidores Windows y UNIX. Muchos de ellos son freeware.

El servicio de registro de syslog proporciona tres funciones principales:

  • La capacidad de recopilar información de registro para el control y la solución de problemas
  • La capacidad de escoger el tipo de información de registro que se captura
  • La capacidad de especificar los destinos de los mensajes de syslog capturados

10.5.2. Funcionamiento de syslog

En los dispositivos de red Cisco, el protocolo syslog comienza enviando los mensajes del sistema debug a un proceso de registro local interno del dispositivo. La forma en que el proceso de registro administra estos mensajes y resultados se basa en las configuraciones del dispositivo. Por ejemplo, los mensajes de syslog se pueden enviar a través de la red a un servidor de syslog externo. Estos mensajes se pueden recuperar sin necesidad de acceder al dispositivo directamente. Los resultados y los mensajes de registro almacenados en el servidor externo se pueden incluir en varios informes para facilitar la lectura.

Por otra parte, los mensajes de syslog se pueden enviar a un búfer interno. Los mensajes enviados al búfer interno solo se pueden ver mediante la CLI del dispositivo.

Por último, el administrador de red puede especificar que solo se envíen a varios destinos, ciertos tipos de mensajes. Por ejemplo, se puede configurar el dispositivo para que reenvíe todos los mensajes del sistema a un servidor de syslog externo. Sin embargo, los mensajes del nivel de depuración se reenvían al búfer interno, y solo el administrador puede acceder a ellos desde la CLI.

Como se muestra en la ilustración, los destinos comunes para los mensajes de syslog incluyen lo siguiente:

  • Búfer de registro (RAM dentro de un router o switch)
  • Línea de consola
  • Línea de terminal
  • Servidor de syslog

Es posible controlar los mensajes del sistema de manera remota viendo los registros en un servidor de syslog o accediendo al dispositivo mediante Telnet, SSH o a través del puerto de consola.

10.5.3. Formato de mensaje de Syslog

Los dispositivos de Cisco generan mensajes de syslog como resultado de los eventos de red. Cada mensaje de syslog contiene un nivel de gravedad y un recurso.

Cuanto más bajos son los números de nivel, más criticas son las alarmas de syslog. El nivel de gravedad de los mensajes se puede establecer para controlar dónde se muestra cada tipo de mensaje (es decir, en la consola o los otros destinos). En la tabla se muestra la lista completa de los niveles de syslog.

Nombre de la gravedad Nivel de gravedad Explicación
Emergencia Nivel 0 El sistema no se puede usar.
Alerta Nivel 1 Se necesita una acción inmediata.
Crítico Nivel 2 Condición crítica.
Error Nivel 3 Condición de error.
Advertencia Nivel 4 Condición de advertencia.
Notificación Nivel 5 Condición normal pero importante.
Informativo Nivel 6 Mensaje informativo.
Depuración Nivel 7 Mensaje de depuración.

Cada nivel de syslog tiene su propio significado:

  • Advertencia Nivel 4- Emergencia Nivel 0: Estos mensajes son mensajes de error sobre problemas de software o hardware; indican que la funcionalidad del dispositivo está afectada. La gravedad del problema determina el nivel real de syslog que se aplica.
  • Notificación Nivel 5: El nivel de notificaciones es para eventos normales, pero significativos. Por ejemplo: los mensajes relacionados con el cambio de interfaces o el reinicio del sistema son mostrados en el nivel de notificaciones.
  • Informativo Nivel 6: Un mensaje informativo normal que no afecta la funcionalidad del dispositivo. Por ejemplo, cuando se enciende un dispositivo de Cisco, puede ver el siguiente mensaje informativo: %LICENSE-6-EULA_ACCEPT_ALL: The Right to Use End User License Agreement is accepted.
  • Depuración Nivel 7: Este nivel indica que los mensajes son generados como resultado a partir de la ejecución de diversos debug comandos debug.

10.5.4. Recursos Syslog

Además de especificar la gravedad, los mensajes de syslog también contienen información sobre el recurso. Los recursos de syslog son identificadores de servicios que identifican y categorizan los datos de estado del sistema para informar los mensajes de error y de eventos. Las opciones de recurso de registro disponibles son específicas del dispositivo de red. Por ejemplo, los switches Cisco de la serie 2960 que ejecutan el IOS de Cisco versión 15.0(2) y los routers Cisco 1941 que ejecutan el IOS de Cisco versión 15.2(4) admiten 24 opciones de recurso que se categorizan en 12 tipos de recurso.

Algunos mensajes comunes de recursos syslog que informan los routers con IOS de Cisco incluyen lo siguiente:

  • IP
  • Protocolo OSPF
  • Sistema operativo SYS
  • Seguridad IP (IPsec)
  • IP de interfaz (IF)

De manera predeterminada, el formato de los mensajes de syslog en el software IOS de Cisco es el siguiente:

%facility-severity-MNEMONIC: description

El ejemplo muestra un switch Cisco en el cual el estado del enlace de EtherChannel cambia a Activo:

%LINK-3-UPDOWN: Interface Port-channel1, changed state to up

Aquí el recurso es LINK, y el nivel de gravedad es 3.

Los mensajes más comunes son los de enlace activo y enlace inactivo, y los mensajes que produce un dispositivo cuando sale del modo de configuración. Si se configura el registro de ACL, el dispositivo genera mensajes de syslog cuando los paquetes coinciden con una condición de parámetros.

10.5.5. Configurar marca de tiempo de Syslog

De manera predeterminada, los mensajes de registro no tienen marca de tiempo. Por ejemplo: en la figura, la interfaz GigabitEthernet 0/0/0 interface está apagada. El mensaje que se registra en la consola no muestra cuándo se modificó el estado de la interfaz. Los mensajes de registro deben tener marcas de tiempo,de manera que cuando se envían a otro destino, como un servidor syslog, haya un registro del momento en el que se generó el mensaje.

R1# configure terminal
R1(config)# interface g0/0/0
R1(config-if)# shutdown
%LINK-5-CHANGED: Interface GigabitEthernet0/0/0, changed state to administratively down
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to down
R1(config-if)# exit
R1(config)# service timestamps log datetime
R1(config)# interface g0/0/0
R1(config-if)# no shutdown
*Mar  1 11:52:42: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to down
*Mar  1 11:52:45: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to up
*Mar  1 11:52:46: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, 
changed state to up
R1(config-if)#

Use el comando service timestamps log datetime para forzar que los eventos registrados muestren la fecha y la hora. Como puede verse en la figura, cuando se vuelve a activar la interfaz GigabitEthernet 0/0/0 de R1, los mensajes de registros contienen la fecha y hora.

Nota: Cuando se utiliza la palabra datetime , se debe configurar el reloj del dispositivo de red, ya sea manualmente o a través de NTP, tal como se analizó anteriormente.

10.6. Mantenimiento de archivos del router y del switch

10.6.1. Sistemas de archivos del router

Si piensa que no puede recordar cómo configuró todos los dispositivos de su red, no está solo. En una red grande, no sería posible configurar manualmente todos los dispositivos. Afortunadamente, hay muchas maneras de copiar o actualizar sus configuraciones y luego simplemente pegarlas. Para hacer esto, necesitará saber cómo ver y administrar sus sistemas de archivos.

El Sistema de archivos Cisco IOS (IFS) permite al administrador navegar a diferentes directorios y enumerar los archivos en un directorio. El administrador también puede crear subdirectorios en memoria flash o en un disco. Los directorios disponibles dependen del dispositivo.

El ejemplo muestra le resultado del comandoshow file systems , que enumera todos los sistemas de archivos disponibles en un router Cisco 4221.

Router# show file systems
File Systems:
       Size(b)       Free(b)      Type  Flags  Prefixes
             -             -    opaque     rw   system:
             -             -    opaque     rw   tmpsys:
*   7194652672    6294822912      disk     rw   bootflash: flash:#
     256589824     256573440      disk     rw   usb0:
    1804468224    1723789312      disk     ro   webui:
             -             -    opaque     rw   null:
             -             -    opaque     ro   tar:
             -             -   network     rw   tftp:
             -             -    opaque     wo   syslog:
      33554432      33539983     nvram     rw   nvram:
             -             -   network     rw   rcp:
             -             -   network     rw   ftp:
             -             -   network     rw   http:
             -             -   network     rw   scp:
             -             -   network     rw   sftp:
             -             -   network     rw   https:
             -             -    opaque     ro   cns:
Router#

Este comando proporciona información útil, como la cantidad de memoria total y memoria libre, el tipo de sistema de archivos y los permisos. Los permisos incluyen solo lectura (ro), solo escritura (wo) y lectura y escritura (rw). Los permisos se muestran en la columna Indicadores.

Si bien se enumeran varios sistemas de archivos, nos enfocaremos en los sistemas de archivos TFTP, flash y NVRAM.

Observe que el sistema de archivos flash también tiene un asterisco que le precede. Esto indica que el sistema de archivos predeterminado actual es flash. El IOS de arranque está ubicado en la memoria flash; por lo tanto, se agrega el símbolo de almohadilla (#) a la entrada de flash para indicar que es un disco de arranque.

El Sistema de archivos Flash

El ejemplo muestra el resultado del comando dir (directory).

Router# dir
Directory of bootflash:/
   11  drwx            16384   Aug 2 2019 04:15:13 +00:00  lost+found
370945  drwx             4096   Oct 3 2019 15:12:10 +00:00  .installer
338689  drwx             4096   Aug 2 2019 04:15:55 +00:00  .ssh
217729  drwx             4096   Aug 2 2019 04:17:59 +00:00  core
379009  drwx             4096  Sep 26 2019 15:54:10 +00:00  .prst_sync
80641  drwx             4096   Aug 2 2019 04:16:09 +00:00  .rollback_timer
161281  drwx             4096   Aug 2 2019 04:16:11 +00:00  gs_script
112897  drwx           102400   Oct 3 2019 15:23:07 +00:00  tracelogs
362881  drwx             4096  Aug 23 2019 17:19:54 +00:00  .dbpersist
298369  drwx             4096   Aug 2 2019 04:16:41 +00:00  virtual-instance
   12  -rw-               30   Oct 3 2019 15:14:11 +00:00  throughput_monitor_params
 8065  drwx             4096   Aug 2 2019 04:17:55 +00:00  onep
   13  -rw-               34   Oct 3 2019 15:19:30 +00:00  pnp-tech-time
249985  drwx             4096  Aug 20 2019 17:40:11 +00:00  Archives
   14  -rw-            65037   Oct 3 2019 15:19:42 +00:00  pnp-tech-discovery-summary
   17  -rw-          5032908  Sep 19 2019 14:16:23 +00:00  isr4200_4300_rommon_1612_1r_SPA.pkg
   18  -rw-        517153193  Sep 21 2019 04:24:04 +00:00  isr4200-universalk9_ias.16.09.04.SPA.bin
7194652672 bytes total (6294822912 bytes free)
Router#

Ya que la memoria flash es el sistema de archivos predeterminado, el comando dir enumera el contenido de flash. Varios archivos están ubicados en la memoria flash, pero el de mayor interés específicamente es el último de la lista. Se trata del nombre del archivo de imagen de Cisco IOS actual que se ejecuta en la memoria RAM.

El Sistema de archivos NVRAM

Para ver el contenido de la memoria NVRAM, se debe cambiar el sistema de archivos predeterminado actual con el comando cd (change directory) como se muestra en el ejemplo.

Router#
Router# cd nvram: 
Router# pwd
nvram:/
Router# dir
Directory of nvram:/
32769  -rw-             1024                      startup-config
32770  ----               61                      private-config
32771  -rw-             1024                      underlying-config
    1  ----                4                      private-KS1
    2  -rw-             2945                      cwmp_inventory
    5  ----              447                      persistent-data
    6  -rw-             1237                      ISR4221-2x1GE_0_0_0
    8  -rw-               17                      ecfm_ieee_mib
    9  -rw-                0                      ifIndex-table
   10  -rw-             1431                      NIM-2T_0_1_0
   12  -rw-              820                      IOS-Self-Sig#1.cer
   13  -rw-              820                      IOS-Self-Sig#2.cer
33554432 bytes total (33539983 bytes free)
Router#

El comando de directorio de trabajo actual es pwd. Este comando verifica que estamos viendo el directorio NVRAM. Finalmente, el comando dir enumera los contenidos de NVRAM. Si bien se enumeran varios archivos de configuración, el de mayor interés específicamente es el archivo de configuración de inicio.

10.6.2. Sistemas de archivos del switch

Con el sistema de archivos flash del switch Cisco 2960, se pueden copiar los archivos de configuración y archivar (subir y descargar) imágenes de software.

El comando para ver los sistemas de archivos en un switch Catalyst es el mismo que se utiliza en los routers Cisco: show file systems, como se muestra en e ejemplo.

Switch# show file systems
File Systems:
       Size(b)     Free(b)     Type  Flags  Prefixes
*    32514048    20887552     flash     rw    flash:#
          -           -      opaque     rw       vb:
          -           -      opaque     ro       bs:
          -           -      opaque     rw   system:
          -           -      opaque     rw   tmpsys:
        65536       48897     nvram     rw    nvram:
          -           -      opaque     ro   xmodem:
          -           -      opaque     ro   ymodem:
          -           -      opaque     rw     null:
          -           -      opaque     ro      tar:
          -           -     network     rw     tftp:
          -           -     network     rw      rcp:
          -           -     network     rw     http:
          -           -     network     rw      ftp:
          -           -     network     rw      scp:
          -           -     network     rw    https:
          -           -     opaque      ro      cns:
Switch#

10.6.3. Usar un archivo de texto para realizar una copia de seguridad de la configuración

Los archivos de configuración se pueden guardar en un archivo de texto utilizando Tera Term, como se muestra en la figura.

Paso 1. En el menú Archivo (File menu), haga clic en Log.
Paso 2. Elija la ubicación para guardar el archivo. Tera Term comenzará a capturar texto.
Paso 3. Una vez que comienza la captura, ejecute el comando show running-config o show startup-config en el modo EXEC privilegiado. El texto que aparece en la ventana del terminal se redirigirá al archivo elegido.
Paso 4. Cuando se complete la captura, seleccione Cerrar en Tera Term.
Paso 5. Observe el archivo para verificar que no esté dañado.

10.6.4. Usar un archivo de texto para restaurar una configuración

Se puede copiar la configuración desde un archivo y luego pegarla directamente en un dispositivo. El IOS ejecuta cada línea del texto de configuración como un comando. Esto significa que el archivo necesitará edición para asegurar que las contraseñas cifradas estén en forma de texto no cifrado, que se eliminen entradas no relacionadas a comandos como –More– y que se eliminen los mensajes de IOS. Además, es posible que desee agregar enable y configure terminal al principio del archivo o entrar en el modo de configuración global antes de pegar la configuración. Este proceso se analiza en la práctica de laboratorio.

En lugar de copiar y pegar, una configuración se puede restaurar a partir de un archivo de texto utilizando Tera Term, como se muestra en la figura.

Al usar Tera Term, los pasos son los siguientes:

Paso 1. En el menú File (Archivo), haga clic en Send Archivo.
Paso 2. Ubique el archivo que debe copiar en el dispositivo y haga clic en Open.
Paso 3. Tera Term pegará el archivo en el dispositivo.

El texto en el archivo se aplicará en forma de comandos en la CLI y pasará a ser la configuración en ejecución en el dispositivo.

10.6.5. Usar TFTP para realizar la copia de seguridad de una configuración y restaurarla

Usar TFTP para hacer una copia de seguridad de una configuración

Las copias de los archivos de configuración se deben almacenar como archivos de copia de respaldo en caso de que se produzca un problema. Los archivos de configuración se pueden almacenar en un servidor de protocolo trivial de transferencia de archivos (TFTP) o en una unidad USB. Un archivo de configuración también tendría que incluirse en la documentación de red.

Para guardar la configuración en ejecución o la configuración de inicio en un servidor TFTP, utilice el comando copy running-config tftp o copy startup-config tftp como se muestra en el ejemplo

R1# copy running-config tftp
Remote host []?192.168.10.254
Name of the configuration file to write[R1-config]? R1-Jan-2019
Write file R1-Jan-2019 to 192.168.10.254? [confirm]
Writing R1-Jan-2019 !!!!!! [OK]

Siga estos pasos para realizar una copia de respaldo de la configuración en un servidor TFTP:

Paso 1. Ingrese el comando copy running-config tftp .
Paso 2. Introduzca la dirección IP del host en el cual se almacenará el archivo de configuración.
Paso 3. Introduzca el nombre que se asignará al archivo de configuración.
Paso 4. Presione Entrar para confirmar cada elección.

Usar TFTP para restaurar una configuración

Para restaurar la configuración en ejecución o la configuración de inicio desde un servidor TFTP, utilice el comando copy tftp running-config o copy tftp startup-config . Siga estos pasos para restaurar la configuración en ejecución desde un servidor TFTP:

Paso 1. Ingrese el comando copy tftp running-config .
Paso 2. Introduzca la dirección IP del host en el que está almacenado el archivo de configuración.
Paso 3. Introduzca el nombre que se asignará al archivo de configuración.
Paso 4. Presione Enter para confirmar cada elección.

10.6.6. Puertos USB en un router Cisco

La característica de almacenamiento de bus serial universal (USB) habilita a determinados modelos de routers Cisco para que admitan unidades flash USB. La flash USB proporciona una capacidad de almacenamiento secundario optativa y un dispositivo de arranque adicional. Las imágenes, las configuraciones y demás archivos se pueden copiar en/desde la memoria flash USB con la misma confiabilidad con la que se almacenan y se recuperan archivos con una tarjeta Compact Flash. Además, los routers de servicios integrados modulares pueden arrancar con cualquier imagen del software Cisco IOS guardada en la memoria flash USB. Lo ideal, es que la memoria flash USB pueda contener varias copias de las configuraciones de Cisco IOS y varias configuraciones del router. Los puertos USB de un Cisco 4321 Router se muestran en la figura.

Utilice el comando dir para ver el contenido de la unidad flash USB como se muestra en el ejemplo.

Router# dir usbflash0: 
Directory of usbflash0:/ 
1 -rw- 30125020 Dec 22 2032 05:31:32 +00:00 c3825-entservicesk9-mz.123-14.T 
63158272 bytes total (33033216 bytes free)

10.6.7. Usar una USB para realizar copias de seguridad y restaurar una configuración

Al realizar copias de respaldo en un puerto USB, se recomienda ejecutar el comando show file systems para verificar que la unidad USB esté presente y confirmar el nombre, como se muestra en el ejemplo.

R1# show file systems
File Systems:
		Size(b)       Free(b)      Type  Flags  Prefixes
             -             -    opaque     rw   archive:
             -             -    opaque     rw   system:
             -             -    opaque     rw   tmpsys:
             -             -    opaque     rw   null:
             -             -   network     rw   tftp:
*    256487424     184819712      disk     rw   flash0: flash:#
             -             -      disk     rw   flash1:
        262136        249270     nvram     rw   nvram:
             -             -    opaque     wo   syslog:
             -             -    opaque     rw   xmodem:
             -             -    opaque     rw   ymodem:
             -             -   network     rw   rcp:
             -             -   network     rw   http:
             -             -   network     rw   ftp:
             -             -   network     rw   scp:
             -             -    opaque     ro   tar:
             -             -   network     rw   https:
             -             -    opaque     ro   cns:
    4050042880    3774152704  usbflash     rw   usbflash0:
R1#

Observe que la última línea de salida muestra el puerto USB y el nombre: «usbflash0:».

A continuación, utilice el comando copy run usbflash0:/ para copiar el archivo de configuración a la unidad flash USB. Asegúrese de utilizar el nombre de la unidad flash tal como se indica en el sistema de archivos. La barra es optativa, pero indica el directorio raíz de la unidad flash USB.

El IOS le solicitará el nombre de archivo. Si el archivo ya existe en la unidad flash USB, el router solicitará que se sobrescriba.

Al copiar a la unidad flash USB, sin ningún archivo preexistente mostrará llo siguiente.

R1# copy running-config usbflash0: 
Destination filename [running-config]? R1-Config
5024 bytes copied in 0.736 secs (6826 bytes/sec)

Al copiar a la unidad flash USB, cuando el mismo archivo de configuración que está presente en la unidad, se mostrará lo siguiente.

R1# copy running-config usbflash0: 
Destination filename [running-config]? R1-Config
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
5024 bytes copied in 1.796 secs (2797 bytes/sec)
R1#

Utilice el comando dir cpara ver el archivo en la unidad USB, y el comando more para ver el contenido.

R1# dir usbflash0:/ 
Directory of usbflash0:/
    1  drw-     0  Oct 15 2010 16:28:30 +00:00  Cisco
   16  -rw-  5024   Jan 7 2013 20:26:50 +00:00  R1-Config
4050042880 bytes total (3774144512 bytes free)
R1#
R1# more usbflash0:/R1-Config
!
! Last configuration change at 20:19:54 UTC Mon Jan 7 2013 by
admin version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
no ipv6 cef
R1#

Restaurar configuraciones con una unidad flash USB

Para volver a copiar el archivo, será necesario editar el archivo R1-Config de la unidad USB con un editor de texto. Suponiendo que el nombre del archivo es R1-Config, use el comando copy usbflash0:/R1-Config running-config para restaurar una configuración en ejecución.

10.6.8. Procedimientos para recuperación de contraseñas

Las contraseñas de los dispositivos se utilizan para evitar el acceso no autorizado. Las contraseñas encriptadas, como las contraseñas generadas mediante «enable secret», se deben reemplazar después de su recuperación. Dependiendo del dispositivo, el procedimiento detallado para la recuperación de contraseña varía. Sin embargo, los procedimientos para la recuperación de la contraseña de los dispositivos Cisco siguen el mismo principio:

Paso 1. Ingresar en el modo ROMMON.
Paso 2. Cambiar el registro de configuración.
Paso 3. Copiar el startup-config en la running-config.
Paso 4. Cambiar la contraseña.
Paso 5. Guardar el running-config como el nuevo startup-config.
Paso 6. Recargue el dispositivo.

Para la recuperación de contraseñas, se requiere el acceso a la consola del dispositivo a través de un terminal o el software emulador de terminal en una PC. Las configuraciones de terminal para acceder al dispositivo son:

  • 9600 baud rate
  • No parity
  • 8 data bits
  • 1 stop bit
  • No flow control

10.6.9. Ejemplo de Recuperación de contraseñas

Haga clic en cada paso para ver un ejemplo de cómo completar una recuperación de contraseña.

  • Paso 1. Ingresar en el modo ROMMON.
  • Paso 2. Cambiar el registro de configuración.
  • Paso 3. Copie el startup-config en la running-config.
  • Paso 4. Cambie la contraseña.
  • Paso 5. Guarde el running-config como el nuevo startup-config.
  • Paso 6. Recargue el dispositivo.
Paso 1. Ingresar en el modo ROMMON.

Con el acceso a la consola, el usuario puede acceder al modo ROMMON mediante una secuencia de interrupción (break) durante el proceso de arranque o eliminando la memoria flash externa cuando el dispositivo está apagado. Cuando se realiza correctamente, se muestra un prompt rommon 1 > , como se muestra en el ejemplo.

Nota: La secuencia de interrupción para PuTTY es Ctrl+Break. Puede encontrar una lista de secuencias de teclas de interrupción para otros emuladores de terminales y sistemas buscando en Internet.

Readonly ROMMON initialized

monitor: command "boot" aborted due to user interrupt
rommon 1 >
Paso 2. Cambiar el registro de configuración.

El software ROMMON admite algunos comandos básicos, como confreg. El comando confreg 0x2142 permite al usuario establecer el registro de configuración en 0x2142. Con el registro de configuración en 0x2142, el dispositivo ignorará el archivo de configuración de inicio durante el arranque. El archivo de configuración de inicio es donde se almacenan las contraseñas olvidadas. Después de configurar el registro de configuración en 0x2142, escriba reset en la petición de entrada para reiniciar el dispositivo. Introduzca la secuencia de interrupción mientras el dispositivo esté reiniciando y descomprimiendo el IOS. El ejemplo muestra la salida del terminal de un router 1941 en el modo ROMMON después de usar una secuencia de interrupción durante el proceso de arranque.

rommon 1 > confreg 0x2142
rommon 2 > reset
 
System Bootstrap, Version 15.0(1r)M9, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2010 by cisco Systems, Inc.
(output omitted)
Paso 3. Copiar el startup-config en la running-config.

Cuando el dispositivo haya terminado la recarga, copie la configuración de arranque a la configuración en ejecución mediante el uso del comando copy startup-config running-config como se muestra en el ejemplo. Observe que el prompt del router cambió a R1# porque el nombre de host está establecido en R1 en startup-config.

PRECAUCIÓN: No introduzca copy running-config startup-config. Este comando borra la configuración de inicio original.

Router# copy startup-config running-config
Destination filename [running-config]?

1450 bytes copied in 0.156 secs (9295 bytes/sec)
R1#
Paso 4. Cambiar la contraseña.

Dado que está en el modo EXEC privilegiado, ahora puede configurar todas las contraseñas necesarias., como se muestra en el ejemplo.

Note: The password cisco no es una contraseña segura y se usa aquí solo como ejemplo

R1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)# enable secret cisco
Paso 5. Guardar el running-config como el nuevo startup-config.

Una vez configuradas las nuevas contraseñas, vuelva a cambiar el registro de configuración a 0x2102 con el comando config-register 0x2102 en el modo de configuración global. Guardar el running-config como el nuevo startup-config, como se muestra en el ejemplo.

R1(config)# config-register 0x2102
R1(config)# end
R1# copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
R1#
Step6. Recargar el dispositivo.

Vuelva a cargar el dispositivo, como se muestra en el ejemplo. El dispositivo ahora utiliza las contraseñas para autenticación recién configuradas. Recuerde utilizar los comandos show para verificar que todas las configuraciones siguen vigentes. Por ejemplo, verifique que las interfaces adecuadas no estén apagadas después de recuperar la contraseña.

Para instrucciones detalladas del procedimiento de recuperación de contraseñas para un dispositivo, busque en el Internet.

R1# reload

10.6.10. Packet Tracer: Copias de Respaldo de Archivos de Configuración

Esta actividad está diseñada para mostrar cómo restaurar una configuración a partir de una copia de respaldo y, luego, realizar una nueva copia de respaldo. Debido a una falla del equipo, se colocó un router nuevo. Afortunadamente, los archivos de configuración de respaldo se guardaron en un servidor de protocolo TFTP (Trivial File Transfer Protocol, protocolo trivial de transferencia de archivos). Debe restaurar los archivos del servidor TFTP para que el router vuelva a estar en línea lo más rápido posible.

10.6.11. Lab – Use Tera Term para administrar los archivos de configuración del router

En esta práctica de laboratorio se cumplirán los siguientes objetivos:

  • Parte 1: Configurar los parámetros básicos de dispositivos
  • Parte 2: Utilizar software de emulación de terminal para crear un archivo de configuración de respaldo
  • Parte 3: Utilizar un archivo de configuración de respaldo para restaurar un router

10.6.12. Lab – Administración de archivos de configuración de dispositivos mediante TFTP, flash y USB

Oportunidad de Práctica de habilidades

Tendrá la oportunidad de practicar las siguientes habilidades:

  • Part 1: Arme la red y configurar los ajustes básicos de los dispositivos
  • Part 2: (Opcional) Descargar software de servidor TFTP [solamente en equipo de laboratorio]
  • Part 3: Usar el protocolo TFTP para hacer una copia de respaldo de la configuración en ejecución del switch y restaurarla
  • Part 4: Usar el protocolo TFTP para hacer una copia de respaldo de la configuración en ejecución del router y restaurarla
  • Part 5: Hacer copias de respaldo de las configuraciones y restaurarlas mediante la memoria flash del router
  • Part 6: (Opcional) Utilizar una unidad USB para hacer una copia de respaldo de la configuración en ejecución y restaurarla [solamente en equipo de laboratorio]

10.6.13. Lab – Investigación de procedimientos de recuperación de contraseña

Oportunidad de Práctica de habilidades

Usted tiene la oportunidad de practicar las siguientes habilidades:

  • Part 1: Investigar el registro de configuración
  • Part 2: Registrar el procedimiento de recuperación de contraseña para un router Cisco específico

Puede practicar estas habilidades utilizando el Packet Tracer o el equipo de laboratorio, si está disponible.

10.7. Administración de imágenes de IOS

10.7.1. Video – Administrar imágenes de Cisco IOS

Haga clic en Reproducir en la ilustración para ver una demostración de cómo administrar imágenes de Cisco IOS.

10.7.2. Servidores TFTP como ubicación de copia de seguridad

En el tema anterior, aprendió las formas de copiar y pegar una configuración. Este tema lleva esa idea un paso más allá con las imágenes del software IOS. A medida que una red crece, las imágenes y los archivos de configuración del software IOS de Cisco pueden almacenarse en un servidor TFTP central. Esto ayuda a controlar la cantidad de imágenes del IOS y las revisiones a dichas imágenes del IOS, así como los archivos de configuración que deben mantenerse.

Las internetworks de producción suelen abarcar áreas extensas y contienen varios routers. Para una red, es aconsejable mantener una copia de seguridad de la imagen del software IOS de Cisco en caso de que la imagen de sistema en el router se corrompa o se borre por accidente.

Los routers distribuidos ampliamente necesitan una ubicación de origen o de copia de seguridad para las imágenes del software IOS de Cisco. Utilizar un servidor TFTP de red permite cargar y descargar imágenes y configuraciones por la red. El servidor TFTP de la red puede ser otro router, una estación de trabajo o un sistema host.

10.7.3. Ejemplo Realizar una copia de seguridad de una imagen del IOS en un servidor TFTP

Para mantener la red operacional con el mínimo tiempo de inactividad posible, es necesario implementar procedimientos para realizar copias de seguridad de las imágenes del IOS de Cisco. Esto permite que el administrador de red copie rápidamente una imagen a un router en caso de que la imagen esté dañada o borrada.

En el ejemplo, el administrador de red desea realizar una copia de seguridad del archivo de imagen actual en el route (isr4200-universalk9_ias.16.09.04.SPA.bin) en el servidor TFTP en 172.16.1.100.

Haga clic en cada botón para ver los pasos necesarios para crear una copia de seguridad de la imagen del IOS de Cisco en un servidor TFTP.

  • Paso 1. Haga ping al servidor TFTP.
  • Paso 2. Verifique el tamaño de la imagen en flash.
  • Paso 3. Copie la imagen al servidor TFTP.
Paso 1.Haga ping al servidor TFTP.

Asegúrese de que haya acceso al servidor TFTP de red. Haga ping en el servidor TFTP para probar la conectividad, como se muestra en la figura.

R1# ping 172.16.1.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5),
round-trip min/avg/max = 56/56/56 ms
Paso 2. Verifique el tamaño de la imagen en flash.

Verifique que el servidor TFTP tenga suficiente espacio en disco para admitir la imagen del software IOS de Cisco. Use el comando show flash0: en el router para determinar el tamaño del archivo de imagen Cisco IOS. El archivo del ejemplo tiene 517153193 bytes.

R1# show flash0: 
-# - --length-- -----date/time------ path
8 517153193Apr 2 2019 21:29:58 +00:00 
                        ISR4200-UniversalK9_IAS.16.09.04.SPA.bin
(output omitted)
Paso 3. Copie la imagen al servidor TFTP.

Copie la imagen en el servidor TFTP mediante el comando copy source-url destination-url. Después de emitir el comando utilizando las URL de origen y destino especificadas, se le solicita al usuario el nombre del archivo de origen, la dirección IP del host remoto y el nombre del archivo de destino. Normalmente, presionará Enter para aceptar el nombre de archivo de origen como nombre de archivo de destino. A continuación, se inicia la transferencia.

R1# copy flash: tftp: 
Source filename []?ISR4200-UniversalK9_IAS.16.09.04.SPA.bin
Address or name of remote host []? 172.16.1.100
Destination filename [isr4200-universalk9_ias.16.09.04.SPA.bin]? 
Writing isr4200-universalk9_ias.16.09.04.SPA.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
(output omitted)
517153193 bytes copied in 863.468 secs (269058 bytes/sec)

10.7.4. Ejemplo de copia de una imagen de IOS en un dispositivo

Cisco lanza sistemáticamente nuevas versiones del software IOS de Cisco para resolver fallas y proporcionar nuevas características. En este ejemplo, se utiliza IPv6 para la transferencia, a fin de mostrar que TFTP también puede utilizarse a través de redes IPv6.

En la figura, se ilustra cómo copiar una imagen del software IOS de Cisco desde un servidor TFTP. Se copiará un nuevo archivo de imagen (isr4200-universalk9_ias.16.09.04.SPA.bin) del servidor TFTP en 2001:DB8:CAFE:100::99 al router.

Seleccione un archivo de imagen del IOS de Cisco que satisfaga los requisitos en términos de plataforma, características y software. Descargue el archivo de cisco.com y transfiéralo al servidor TFTP. Haga clic en cada botón para ver los pasos necesarios para actualizar la imagen del IOS en el router Cisco.

  • Paso 1. Haga ping al servidor TFTP.
  • Paso 2. Verifique la cantidad de flash libre.
  • Paso 3. Copie la nueva imagen del IOS al flash.
Paso 1.Haga ping al servidor TFTP.

Asegúrese de que haya acceso al servidor TFTP de red. Haga ping en el servidor TFTP para probar la conectividad, como se muestra en la figura.

R1# ping 2001:db8:cafe:100::99
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:DB8:CAFE:100::99,
timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), 
round-trip min/avg/max = 56/56/56 ms
Paso 2.Verifique la cantidad de flash libre.

Asegúrese de que haya suficiente espacio en la memoria flash en el router que se actualiza. Se puede verificar la cantidad de memoria flash disponible mediante el comando show flash: . Compare el espacio disponible en la memoria flash con el tamaño del nuevo archivo de imagen. El comando show flash: en el ejemplo, se utiliza para verificar el espacio disponible en la memoria flash. El espacio disponible en la memoria flash es de 6294806528 bytes.

R1# show flash: 
-# - --length-- -----date/time------ path
(output omitted)
6294806528 bytes available (537251840 bytes used) 
R1#
Paso 3. Copie lanueva imagen del IOS al flash.

Copie el archivo de imagen del IOS del servidor TFTP al router con el comando copy , que se muestra en el ejemplo. Después de emitir este comando con los URL de destino y de origen especificados, se solicitará al usuario que introduzca la dirección IP del host remoto, el nombre del archivo de origen y el nombre del archivo de destino. Normalmente, presionará Enter para aceptar el nombre de archivo de origen como nombre de archivo de destino. Se iniciará la transferencia del archivo.

R1# copy tftp: flash: 
Address or name of remote host []?2001:DB8:CAFE:100::99
Source filename []?ISR4200-UniversalK9_IAS.16.09.04.SPA.bin
Destination filename [isr4200-universalk9_ias.16.09.04.SPA.bin]? 
Accessing tftp://2001:DB8:CAFE:100::99/ isr4200-
UniversalK9_IAS.16.09.04.SPA.bin...
Loading isr4200-universalk9_ias.16.09.04.SPA.bin
from 2001:DB8:CAFE:100::99 (via
GigabitEthernet0/0/0): !!!!!!!!!!!!!!!!!!!!
 
[OK - 517153193 bytes]
517153193 bytes copied in 868.128 secs (265652 bytes/sec)

10.7.5. El comando boot system

Para actualizar a la imagen IOS copiada después de que esa imagen se guarde en la memoria flash del router, configure el router para cargar la nueva imagen mediante el comando boot system , como se muestra en el ejemplo. Guarde la configuración. Vuelva a cargar el router para que arranque con la nueva imagen.

R1# configure terminal
R1(config)# boot system flash0:isr4200-universalk9_ias.16.09.04.SPA.bin
R1(config)# exit
R1#
R1# copy running-config startup-config
R1#
R1# reload
Proceed with reload? [confirm] 

*Mar  1 12:46:23.808: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command.

Durante el arranque, el código bootstrap analiza el archivo de configuración de inicio en la NVRAM para detectar los comandos boot system que especifican el nombre y la ubicación de la imagen del software IOS de Cisco que se debe cargar. Several boot system commands can be entered in sequence to provide a fault-tolerant boot plan.

Si no hay comandos boot system en la configuración, de manera predeterminada, el router carga y ejecuta la primera imagen válida del IOS de Cisco en la memoria flash.

Una vez iniciado el router, utilice el comando show version para confirmar que se haya cargado la nueva imagen, como se muestra en el ejemplo.

R1# show version
Cisco IOS XE Software, Version 16.09.04
Cisco IOS Software [Fuji], ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9_IAS-M), Version 16.9.4, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2019 by Cisco Systems, Inc.
Compiled Thu 22-Aug-19 18:09 by mcpre
Cisco IOS-XE software, Copyright (c) 2005-2019 by cisco Systems, Inc.
All rights reserved.  Certain components of Cisco IOS-XE software are
licensed under the GNU General Public License ("GPL") Version 2.0.  The
software code licensed under GPL Version 2.0 is free software that comes
with ABSOLUTELY NO WARRANTY.  You can redistribute and/or modify such
GPL code under the terms of GPL Version 2.0.  For more details, see the
documentation or "License Notice" file accompanying the IOS-XE software,
or the applicable URL provided on the flyer accompanying the IOS-XE
software.
   
ROM: IOS-XE ROMMON
Router uptime is 2 hours, 19 minutes
Uptime for this control processor is 2 hours, 22 minutes
System returned to ROM by PowerOn
System image file is "flash:isr4200-universalk9_ias.16.09.04.SPA.bin"
(output omitted)

10.7.6. Packet Tracer – Use un servidor TFTP para actualizar una imagen del IOS de Cisco

Un servidor TFTP puede ayudar a administrar el almacenamiento de las imágenes del IOS y las revisiones de las imágenes de IOS. Para una red, es aconsejable mantener una copia de seguridad de la imagen del software IOS de Cisco en caso de que la imagen de sistema en el router se corrompa o se borre por accidente. Un servidor TFTP también puede utilizarse para guardar nuevas actualizaciones de IOS y luego implementarlas en la red que lo necesite. En esta actividad, usted deberá actualizar imágenes de IOS en los dispositivos Cisco mediante un servidor TFTP. También realizará una copia de respaldo de una imagen de IOS mediante el uso de un servidor TFTP.

10.8. Práctica del Módulo y Cuestionario

10.8.1. Packet Tracer – Configure CDP, LLDP y NTP

En esta actividad de Packet Tracer, completará los siguientes objetivos:

  • Armar la red y configurar los ajustes básicos de los dispositivos
  • Detección de redes con CDP
  • Detección de redes con LLDP
  • Configurar y verificar NTP

10.8.2. Lab – Configurar CDP, LLDP y NTP

En esta práctica de laboratorio se cumplirán los siguientes objetivos:

  • Armar la red y configurar los ajustes básicos de los dispositivos
  • Detección de redes con CDP
  • Detección de redes con LLDP
  • Configurar y verificar NTP

10.8.3. ¿Qué aprendí en este módulo?

Descubrir dispositivos con CDP

Cisco Discovery Protocol (CDP) es un protocolo de Capa 2 patentado de Cisco que se utiliza para recopilar información sobre los dispositivos Cisco que comparten el mismo enlace de datos. El dispositivo envía mensajes periódicos del CDP a los dispositivos conectados. CDP puede usarse como una herramienta de descubrimiento de red para determinar la información sobre los dispositivos vecinos. Esta información recopilada mediante CDP puede ayudar a crear una topología lógica de una red cuando falta documentación o detalles. Debido a que la mayoría de los dispositivos de red se conectan a otros dispositivos, CDP puede ayudar a tomar decisiones de diseño, solucionar problemas, y realizar cambios en el equipo. Para los dispositivos Cisco, CDP está habilitado de manera predeterminada. Para verificar el estado de CDP y mostrar información sobre CDP, ingrese el comando show cdp . Para habilitar CDP globalmente para todas las interfaces compatibles en el dispositivo, ingrese cdp run en el modo de configuración global. Para habilitar CDP en la interfaz específica, escriba el comando cdp enable . Para verificar el estado de CDP y mostrar una lista de vecinos, use el comando show cdp neighbors en el modo EXEC privilegiado. El comando show cdp neighbors proporciona la siguiente información sobre cada vecino CDP: identificadores de dispositivo, lista de direcciones, identificador de puerto, lista de funcionalidades y plataforma. Utilice el comando show cdp interface para mostrar las interfaces que están habilitadas en CDP en el dispositivo.

Descubrir dispositivos con LLDP

Los dispositivos Cisco también admiten el Protocolo de detección de capa de enlace (LLDP), que es un protocolo neutro de detección de componentes adyacentes similar a CDP. Este protocolo informa su identidad y capacidades a otros dispositivos y recibe información de un dispositivo físicamente conectado de capa 2. Para habilitar LLDP a nivel global en un dispositivo de red Cisco, ingrese el comando lldp run en el modo de configuración global. Para verificar que LLDP ya se haya habilitado en el dispositivo, ingrese el comando show lldp en el modo EXEC con privilegios. Con LLDP habilitado, los vecinos del dispositivo se pueden descubrir mediante el comando show lldp neighbors . Cuando se necesitan más detalles sobre los vecinos, el comando show lldp neighbors detail puede proporcionar información, como la versión del IOS vecino, la dirección IP y la capacidad del dispositivo.

NTP

El reloj de software de un router o un switch se inicia cuando arranca el sistema y es de donde el sistema extrae la hora. Cuando no se sincroniza la hora entre los dispositivos, será imposible determinar el orden de los eventos y la causa de un evento. Usted puede configurar manualmente la fecha y la hora, o puede configurar el NTP. Este protocolo permite que los routers de la red sincronicen su hora con un servidor NTP. Cuando se implementa NTP en la red, se lo puede configurar para sincronizarse con un reloj maestro privado o se puede sincronizar con un servidor NTP disponible públicamente en Internet. Las redes NTP utilizan un sistema jerárquico de fuentes de tiempo y cada nivel de este sistema se denomina estrato. La hora sincronizada se distribuye en la red mediante el protocolo NTP. Las fuentes de tiempo autorizadas, también conocidas como dispositivos de estrato 0, son dispositivos de cronometraje de alta precisión. Los dispositivos estrato 1 están directamente conectados a las fuentes de tiempo autorizadas. Los dispositivos de estrato 2, como los clientes NTP, sincronizan su tiempo utilizando los paquetes NTP de los servidores de Estrato 1. El comando ntp server ip-address se emite en modo de configuración global para configurar un dispositivo como servidor NTP. Para verificar que la fuente de tiempo esté establecida en NTP, use el comando show clock detail . Los comandos show ntp associations y show ntp status se utilizan para comprobar que un dispositivo está sincronizado con el servidor NTP.

SNMP

SNMP permite a los administradores administrar dispositivos finales, como servidores, estaciones de trabajo, routers, switches y dispositivos de seguridad. SNMP es un protocolo de capa de aplicación que proporciona un formato de mensaje para la comunicación entre administradores y agentes. El sistema SNMP consta de tres elementos: administrador SNMP, agentes SNMP y MIB. Para configurar SNMP en un dispositivo de red, primero es necesario definir la relación entre el administrador y el agente. El administrador SNMP forma parte de un NMS. El administrador SNMP puede recopilar información de un agente SNMP mediante la acción «get» y puede cambiar las configuraciones de un agente mediante la acción «set». Los agentes SNMP pueden reenviar información directamente a un administrador de red mediante el uso de «traps». El agente SNMP responde al gestor de SNMP GetRequest-PDU (para obtener una variable MIB) y SetRequest-PDU (para establecer una variable MIB). NMS sondea periódicamente a los agentes SNMP que residen en los dispositivos administrados para solicitar datos a los dispositivos mediante la solicitud get. Una aplicación de administración de red puede recopilar información para controlar cargas de tráfico y verificar las configuraciones de los dispositivos administrados.

SNMPv1, SNMPv2c y SNMPv3 son todas versiones de SNMP. SNMPv1 es una solución obsoleta. Tanto SNMPv1 como SNMPv2c utilizan una forma de seguridad basada en la comunidad. La comunidad de administradores que puede acceder a la MIB del agente se define mediante una cadena de comunidad. SNMPv2c incluye un mecanismo de recuperación masiva e informes de mensajes de error más detallados. SNMPv3 proporciona tanto modelos como niveles de seguridad. Las cadenas de comunidad SNMP son de sólo lectura (ro) y lectura-escritura (rw). Se utilizan para autenticar el acceso a objetos MIB. La MIB organiza variables de manera jerárquica. Las variables de MIB permiten que el software de administración controle el dispositivo de red. Las OID identifican de forma exclusiva los objetos administrados en la jerarquía de la MIB. La utilidad snmpget da una idea de cómo funciona SNMP. El navegador SNMP Cisco, en la dirección web http://www.cisco.com, permite que un administrador de redes consulte detalles sobre un OID en particular.

Syslog

El método más común para acceder a los mensajes del sistema es utilizar un protocolo denominado syslog. El protocolo syslog utiliza el puerto UDP 514 para permitir que los dispositivos de red envíen sus mensajes del sistema a través de la red a los servidores syslog. Los servicios de registro le permiten recopilar información de registro para el monitoreo y la solución de problemas, para seleccionar el tipo de información de registro que se captura y para especificar los destinos de los mensajes de Syslog capturados. Los destinos para los mensajes de syslog incluyen el búfer de registro (RAM dentro de un router o switch), la línea de consola, la línea de terminal y el servidor de syslog. Esta tabla muestra los niveles de syslog:

Nombre de la gravedad Nivel de gravedad Explicación
Emergencia Nivel 0 El sistema no se puede usar.
Alerta Nivel 1 Se necesita una acción inmediata.
Crítico Nivel 2 Condición crítica.
Error Nivel 3 Condición de error.
Advertencia Nivel 4 Condición de advertencia.
Notificación Nivel 5 Condición normal pero importante.
Informativo Nivel 6 Mensaje informativo.
Depuración Nivel 7 Mensaje de depuración.

Los recursos de Syslog identifican y clasifican los datos de estado del sistema para informes de mensajes de error y eventos. Entre los recursos comunes de mensajes syslog reportados en los routers IOS de Cisco se incluyen: IP, protocolo OSPF, sistema operativo SYS, IPSec e IF. El formato predeterminado de los mensajes syslog en el software Cisco IOS es: %facility-severity-mnemonic: description. Use el comando service timestamps log datetime para forzar que los eventos registrados muestren la fecha y la hora.

Mantenimiento de archivos de router y switch

Cisco IFS permite al administrador navegar a diferentes directorios y enumerar los archivos en un directorio, y crear subdirectorios en la memoria flash o en un disco. El comando show file systems command enumera todos los sistemas de archivos disponibles en un router Cisco. Utilice el comando directory dir para mostrar el directorio de bootflash. Utilice el comando change directory cd para ver el contenido de NVRAM. Utilice el comando presente directorio de trabajo pwd para que esté viendo el directorio actual. Utilice el comando show file systems para ver los sistemas de archivos en un switch Catalyst o en un router Cisco. Los archivos de configuración se pueden guardar en un archivo de texto utilizando Tera Term. Se puede copiar una configuración de un archivo y luego pegarla directamente en un dispositivo. Los archivos de configuración se pueden almacenar en un servidor TFTP o en una unidad USB. Para guardar la configuración en ejecución o la configuración de inicio en un servidor TFTP, utilice el comando copy running-config tftp o copy startup-config tftp . Utilice el comando dir para ver el contenido de la unidad de memoria flash USB. Utilice el comando copy run usbflash0:/ para copiar el archivo de configuración a la unidad flash USB. Utilice el comando dir para ver el archivo en la unidad USB. Utilice el comando more para ver el contenido de la unidad de memoria flash USB. Las contraseñas encriptadas, como las contraseñas generadas mediante «enable secret», se deben reemplazar después de su recuperación.

Administrar Image IOS

Las imágenes y los archivos de configuración del software Cisco IOS se pueden almacenar en un servidor TFTP central para controlar la cantidad de imágenes IOS y las revisiones de esas imágenes IOS, así como los archivos de configuración que deben mantenerse. Seleccione un archivo de imagen del IOS de Cisco que satisfaga los requisitos en términos de plataforma, características y software. Descargue el archivo de cisco.com y transfiéralo al servidor TFTP. Haga ping al servidor TFTP. Verifique la cantidad de flash libre. Se puede verificar la cantidad de memoria flash disponible mediante el comando show flash: . Si hay suficiente flash libre para contener la nueva imagen del IOS, copie la nueva imagen del IOS al flash. Para actualizar a la imagen IOS copiada después de que esa imagen se guarde en la memoria flash del router, configure el router para cargar la nueva imagen durante el arranque mediante el comando boot system . Guarde la configuración. Vuelva a cargar el router para que arranque con la nueva imagen. Una vez iniciado el router, utilice el comando show version ara confirmar que se haya cargado la nueva imagen.

 

 

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
0
¿Tienes otra pregunta? Por favor comentax