Elementos de Configuración de Enrutadores Cisco
Introducción
- Metas
- Notas
Ejercicios - Parte I
Resolución de Problemas
- "no matching key exchange method found"
- "no matching cipher found"
Notas
Ejercicios - Parte 2: Configuración de NTP
- Configurar NTP y Zona Horaria

Elementos de Configuración de Enrutadores Cisco

Introducción

Metas

Aprender los comandos basicos de IOS necesarios para habilitar SSH y NTP en su enrutador Cisco

Notas

Los comandos precedidos por el signo de pesos "$", deben ser ejecutados como un usuario general.
Los comandos precedidos por el signo de número "#", deben ser ejecutados por el superusuario (root).
Los comandos precedidos por lineas de comando más específicas (Ej. "rtrX>" or "mysql>") deben ser ejecutados en equipos remotos, o dentro de otras aplicaciones.
Si la línea de comandos termina con una barra invertida "\", quiere decir que el comando continua en la próxima línea y todas líneas deben ser tratadas como un comando de una sola línea.
Referencias a "N", representan su número de grupo.

Ejercicios - Parte I

Trabajando en grupos

Cada grupo tiene 4 dispositivos de red:

core1.campusY.ws.nsrc.org
bdr1.campusY.ws.nsrc.org
dist1-b1.campusY.ws.nsrc.org
dist1-b2.campusY.ws.nsrc.org

Cada uno de estos dispositivos tiene el usuario nmmlab configurado con una contraseña de inicio de sesión y contraseña de modo privilegiado. Inicialmente solo telnet está habilitado en estos dispositivos y ssh aún no está configurado.

Trabajando en grupo, debe actualizar los cuatro dispositivos para que cuando finalice esta práctica de laboratorio, pueda iniciar una sesión como nmmlab solo con ssh y con la contraseña que se proporcionará en el taller.

Conectandose al enrutador o al switch

Primero, inicie una sesión en su máquina virtual (hostX.campusY.ws.nsrc.org).

Luego, conéctese al dispositivo de red en el que estará trabajando:

$ telnet <dispositivo>.campusY.ws.nsrc.org

username: nmmlab
password: <DADO EN EL TALLER>

Para visualizar información sobre su enrutador:

<dispositivo>.campusY> enable
Password:                                           (password dado en el taller)
<dispositivo>.campusY# show run                     (utilize la barra espaciadora para continuar)
<dispositivo>.campusY# show int GigabitEthernet0/0  (o especifíque otra interfaz que esté arriba)
<dispositivo>.campusY# show ?                       (presenta todas las opciones para el comando)

Nota: Presione "q" para salir de la pantalla de opciones antes de llegar al final, o presione la <BARRA ESPACIADORA> para moverse una página a la vez hasta el final.

Configure su enrutador para solo utilizar SSH

Los pasos en este ejercicio servirán para:

Crear una clave de SSH para su enrutador
Crear una contraseña de acceso encriptada para el usuario nmmlab
Crear y encriptar la contraseña para el nivel privilegiado
Deshabilitar el acceso via telnet (sin encripción) hacia su enrutador
Habilitar el acceso via SSH (version 2) hacia el enrutador

Debería estar conectado a su enrutador o switch y en modo privilegiado. Su sesión deberá lucir algo como:

<dispositivo>.campusY#

Y, ahora haga lo siguiente:

<dispositivo>.campusY# configure terminal                        (conf t)
<dispositivo>.campusY(config)# aaa new-model
<dispositivo>.campusY(config)# ip domain-name ws.nsrc.org
<dispositivo>.campusY(config)# crypto key generate rsa

        How many bits in the modulus [512]: 2048

Deberá esperar mientras la clave es generada. Despues de terminar, usted podrá definir nuevas contraseñas y estás serán encriptadas. Para empezar, vamos a remover temporalmente el usuario "nmmlab" y recrearlo:

IMPORTANTE! IMPORTANTE! IMPORTANTE!

POR FAVOR NO UTILICE NINGUN OTRA CONTRASEÑA QUE NO SEA LA CONTRASEÑA DE LA CLASE Y EL USUARIO "nmmlab"

Si utiliza otro nombre de usuario o contraseña, interrumpirá los ejercicios para los otros participantes en el taller durante la semana. ¡Gracias!

<dispositivo>.campusY(config)# no username nmmlab
<dispositivo>.campusY(config)# username nmmlab secret 0 <CONTRASEÑA DEL TALLER>

(Primera clave usado para hacer un login en su enrutador).

La contraseña (<CONTRASEÑA DEL TALLER>) del usuario nmmlab está encriptada. Ahora encriptemos la contraseña para acceder al modo privilegiado también:

<dispositivo>.campusY(config)# enable secret 0 <CONTRASEÑA DE MODO PRIVILEGIADO>

(Clave usado despues que tipeas enable en la linea de comando del enrutador.)

Ahora vamos a configurar el enrutador para que solo acepte conexiones de SSH para las cinco (5) terminales que hemos definido (vty0-vty4):

<dispositivo>.campusY(config)# line vty 0 4
<dispositivo>.campusY(config-line)# transport input ssh
<dispositivo>.campusY(config-line)# exit

El comando "exit", al final del bloque, nos saca del nivel de configuración de linea y nos pone en el modo de configuración general. Ahora vamos a decirle al enrutador que registre eventos relacionados con SSH y que solo acepte conexiones vía SSH versión 2:

<dispositivo>.campusY(config)# ip ssh logging events
<dispositivo>.campusY(config)# ip ssh version 2

Ahora que hemos terminado, podemos salir del modo de configuración:

<dispositivo>.campusY(config)# exit

Y grabe estos cambios en la memoria permanente de los enrutadores:

<dispositivo>.campusY# write memory                             (wr mem)

Ok, eso es todo. Ya no puede usar telnet para conectarte a tu enrutador. Debe conectarse usando SSH con el usuario nmmlab y la contraseña <CONTRASEÑA DEL TALLER>. La contraseña de modo provilegiado es, <CONTRASEÑA DE MODO PRIVILEGIADO>

Naturalmente, en una situación real se usarían contraseñas mucho más seguras.

Antes de salir de su sesión de Telnet, asegúrese de probar la conectividad via ssh desde otra PC en su grupo (o abra otra ventana de terminal). Haga esto para validar que no haya cometido un error y así evitar bloquear su enrutador.

Primero, intente la conexión nuevamente con telnet desde su máquina virtual:

$ telnet <dispositivo>.campusY.ws.nsrc.org

Que pasó? ... Debió haber visto algo parecido a:

Trying 172.26.10.2...  (por ejemplo)
telnet: Unable to connect to remote host: Connection refused

Ahora vamos a tratar de conectarnos utilizando una sesión de SSH:

$ ssh nmmlab@<dispositivo>.campusY.ws.nsrc.org

Deberá ver algo parecido a:

The authenticity of host ' bdr1.campus6.ws.nsrc.org (100.68.6.1)' can't be
established. RSA key fingerprint is 93:4c:eb:ad:5c:4a:a6:3e:8b:9e:
4f:e4:e2:eb:e4:7f. Are you sure you want to continue connecting
(yes/no)?

Escriba "yes" y presione <ENTER> para continuar ...

Ahora verá lo siguiente:

Password: <CONTRASEÑA DEL TALLER>

Tipea la clave del curso y terminas en una linea de comando asi:

<dispositivo>.campusY>

(Si recibe un error al intentar conectarse, consulte la sección Resolución de Problemas a continuación)

Escriba "enable" para entrar al mode de comandos privilegiados:

<dispositivo>.campusY> enable
Password: <CONTRASEÑA DE MODO PRIVILEGIADO>
<dispositivo>.campusY#

Ahora veamos la configuración actual del enrutador:

<dispositivo>.campusY# show running                                     (sh run)

Presione la barra espaciadora para continuar. Observe que algunas de las entradas que usted había configurado antes estén en la configuración:

enable secret 5 $1$wGtR$bKZqFAPXYjmV6OrLCC3hP.
.
.
.
username nmmlab secret 5 $1$DQAd$qB0su4clCXPaSE7miLVcB0
.
.                       (muchas líneas más abajo)
.
line vty 0 4
 exec-timeout 0 0
 transport preferred none
 transport input ssh

Podrá observar que las contraseñas para el nivel privilegiado y para el usuario "nmmlab" han sido encriptadas. Esto es lo que queremos ver.

Ahora debe desconectarse del enrutador para completar este ejercicio:

<dispositivo>.campusY# exit

Y, si todavía tiene su sesión de Telnet anterior en otra ventana, asegúrese de salir de ella también.

Resolución de Problemas

"no matching key exchange method found"

Si intentó iniciar sesión y recibió un mensaje como este:

Unable to negotiate with 172.26.10.2 port 22: no matching key exchange method found.
Their offer: diffie-hellman-group1-sha1

La versión del software en su dispositivo de red está utilizando sistemas de cifrado muy antiguos y vulnerables. Para resolver esto, hay un par de opciones que puede considerar:

Puede anular el rechazo de ssh para conectarse al algoritmo de intercambio de claves de cifrado antiguos y vulnerables ejecutando el comando ssh de la siguiente manera:

$ ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 nmmlab@<dispositivo>.campusY.ws.nsrc.org

... pero eso no es recomendable a largo plazo. Lo mejor es actualizar la configuración del cliente ssh de su máquina virtual para permitir este intercambio de claves antiguas. Lo haremos actualizando el archivo de configuración del cliente de ssh para todo el sistema en su máquina. Siga los siguientes pasos:

$ sudo editor /etc/ssh/ssh_config

Al final del archivo, agregue la siguiente línea:

KexAlgorithms +diffie-hellman-group1-sha1

Grabe el archivo y cierre el editor. Ahora intente conectarse nuevamente a su dispositivo de red:

$ ssh nmmlab@<DISPOSITIVO>.campusY.ws.nsrc.org

Y deberá poder iniciar su sesión de ssh.

"no matching cipher found"

Con nuevas versiones del cliente ssh en Ubuntu, es posible que obtenga otro error:

"Unable to negotiate with 172.26.10.2 port 22: no matching cipher found. Their offer: aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc"

Igual que el error anterior, esto se debe a que la versión del software en su dispositivo de red está utilizando sistemas de cifrado que no están habilitados por defecto en nuevas versiones de OpenSSH.

Puede agregar -oCiphers=+aes256-cbc al comando ssh, pero es más eficiente editar el archivo de configuración del cliente ssh, de la siguiente manera:

$ sudo editor /etc/ssh/ssh_config

Al final del archivo, agregue la siguiente línea:

Ciphers +aes256-cbc

Graba el archivo y cierre el editor. Ahora intente conectarse nuevamente a su dispositivo de red:

$ ssh nmmlab@<DISPOSITIVO>.campusY.ws.nsrc.org

Notas

Si luego de hacer los cambios de contraseñas y de limitar el acceso a solo vía SSH, usted no puede conectarse a su enrutador, comuniquelo a uno de los instructores para
que puedan restaurar su dispositivo al estado de configuración inicial.
Por favor, asegurese de que solo una persona por grupo esté ejecuntando los comandos para este ejercicio, y que lo esté haciendo en el enrutador adecuado para su grupo. Si varias personas intentan modificar la configuración al mismo tiempo o si usted no está conectado al enrutador que debe, es muy posible que terminemos con problemas de configuración.
Durante el resto de la semana estaremos configurando varios servicios en el enrutador de su grupo, tales como: SNMP, Netflow y otros. De ahora en adelante usted puede utilizar SSH directamente desde su laptop o estación de trabajo.

Ejercicios - Parte 2: Configuración de NTP

Configurar NTP y Zona Horaria

Tal vez pueden eligir otra persona en su grupo para hacer los siguientes pasos.

Lo primero conectarse a su enrutador:

$ ssh nmmlab@<dispositivo>.campusY.ws.nsrc.org

Ahora habilitaremos el protocolo de tiempo de red (NTP) para sincronizar el tiempo de su enrutador con el tiempo de su PC, para que todos los dispositivos en nuestra red local tengan el mismo tiempo. Para hacer esto, siga estos pasos:

<dispositivo>.campusY> enable                                   (en)
Password:
<dispositivo>.campusY# configure terminal                       (conf t)
<dispositivo>.campusY(config)# ip name-server 192.168.122.1
<dispositivo>.campusY(config)# ip domain-lookup
<dispositivo>.campusY(config)# ntp server pool.ntp.org

En este punto, deberá poder ver algo como:

bdr1.campus6(config)#ntp server pool.ntp.org
Translating "pool.ntp.org"...domain server (100.68.100.254)

Translating "pool.ntp.org"...domain server (100.68.100.254)

Espere unos minutos para que el comando termine y luego puede continuar.

<dispositivo>.campusY(config)# no clock timezone
<dispositivo>.campusY(config)# exit
<dispositivo>.campusY# write memory                             (wr mem)

Si vea:

Warning: Attempting to overwrite an NVRAM configuration previously written
by a different version of the system image.
Overwrite the previous NVRAM configuration?[confirm]

Apreta <ENTER> para continuar.

Este comando utiliza los servidores de tiempo NTP administrados por ntp.org y debería terminar seleccionando máquinas que están geográficamente cerca de usted. Esto también indica que desea utilizar la hora UTC (igual que la hora GMT) en este enrutador.

Para verificar el estado de NTP, las asociaciones del servidor NTP y la hora reportada en su enrutador, ejecute:

<dispositivo>.campusY# show ntp status                          (sh ntp stat)

Después de un rato, verá algo así como (puede ver "unsynchronized" hasta 10 o 15 minutos, asi no se preocupa si no termina de sincronizar antes que terminamos este laboratorio):

 dist1-b1.campus6#show ntp status
 Clock is synchronized, stratum 2, reference is 129.6.15.28
 nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18
 reference time is DC50A690.1078EC4D (22:30:40.064 UTC Thu Feb 16 2017)
 clock offset is 28.1831 msec, root delay is 212.07 msec
 root dispersion is 199.16 msec, peer dispersion is 170.97 msec

... y para ver las asociaciones del servidor NTP:

<dispositivo>.campusY# show ntp associations                    (sh ntp assoc)

      address         ref clock     st  when  poll reach  delay  offset    disp
+~104.131.53.252   209.51.161.238    2    48    64  377   140.0  -32.41    28.2
*~129.6.15.28      .ACTS.            1   109    64  324   212.1   28.18   142.5
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

Y, finalmente la hora en su enrutador:

rtrN# show clock                                                (sh clo)

Debería ver algo así:

  22:32:42.996 UTC Thu Feb 16 2017

Ahora puede salir de su enrutador:

 <dispositivo>.campusY# exit

Asegúrese de que su compañeros de grupo terminen de trabajar en los otros dispositivos de su grupo.

Si alguien tiene problemas para conectarse a un dispositivo, consulte la sección Resolución de Problemas, más arriba.