# Cisco IOS CLI

En este cuaderno se presentan los principales comandos del IOS CLI (Command Line Interface) de los equipos de Cisco.

Realizado por:

Ferney O. Amaya Fernández <BR>
ferney.amaya@gmail.com


#1.Conexión a consola

Para conectarnos desde una terminal de Linux a la consola del equipo empleamos la aplicación putty con el siguiente comando:

>```putty /dev/ttyUSB0 -serial -sercfg 9600,8,n,1,N```

#2.Modo usuario, privilegiado y global

Para pasar del modo usuario (>) al modo privilegiado (#):
> ```>enable```

Para pasar del modo privilegiado (#) al modo global (config):

> ```	#configure terminal```


#3.Observar, guardar y eliminar la configuración

##Running-config y startup-config
Los dispositivos de red almacenan la configuración en dos memorias:
- running-config: configuración activa o en ejecucion que se almacena en RAM.
- startup-config: configuración almacenada en la memoria no volátil NVRAM. Esta configuración se carga al iniciar el dispositivo de red.

##Visualizar la configuración
Para visualizar la configuración activa:
> ```#show running-config```<BR>

Para observar la configuración almacenada en la NVRAM:
>```#show startup-config```<BR>

##Guardar la configuración
Para guardar la configuración en la NVRAM:
>```#copy running-config startup-config```<BR>

##Eliminar la configuración
Inicialmente se elimina la configuración de la NVRAM en el dispositivo:
>```#erase startup-config```<BR>

Para eliminar la base de datos VLAN en el Switch:
>```#delete vlan.dat```<BR>

Luego de cualquiera de los dos comandos anteriores debe reiniciarse el dispositivo:
>```#reload```<BR>

Cuando pregunte si desea entrar al diálogo de configuración, escriba N y presione Intro.

#4.Asignar nombre de host (hostname)

Asignar nombre a host: Por ejemplo, asignar el nombre Redes:
>```(config)#hostname Redes```

#5.Asignar clave del modo privilegiado

Asignar clave de modo privilegiado: Asignar la clave “class”:
>```(config)#enable secret class```

#6.Asignar una IP a una interface

Por ejemplo, asignar la IP 10.10.10.1/8 a la interface FastEthernet 0/0:
>```(config)#interface FastEthernet 0/0```<BR>
>```(config-if)#ip address 10.10.10.1 255.0.0.0```<BR>
>```(config-if)#no shutdown```<BR>
>```(config-if)#exit```<BR>

Para observar el detalle de las interfaces:
>```#show interfaces```<BR>

Para observar resumen de configuración de las interfaces:
>```#show ip interfaces brief```<BR>

#7.Configurar enrutamiento

###Ruta estática
Hay dos formas de configurarla. Por ejemplo, se tiene la red de destino es la 15.15.0.0/16 y se alcanza a través de la interface de salida serial 0/0/0 con IP 10.0.0.1.

La alternativa 1 es:
>```(config)#ip route 15.15.0.0 255.255.0.0 10.0.0.1```<BR>

La alternativa 2 es:
>```(config)#ip route 15.15.0.0 255.255.0.0 serial 0/0/0```<BR>

###Protocolo RIP versión 2

Por ejemplo, se quiere advertir de las redes 10.0.0.0/8 y 20.20.0.0/16 a las que están conectadas al enrutador:

>```(config)#router rip```<BR>
>```(config-router)#version 2```<BR>
>```(config-router)#network 10.0.0.0```<BR>
>```(config-router)#network 20.20.0.0```<BR>

Para no enviar actualizaciones RIP por una interface, por ejemplo la fastEthernet 0/0
>```(config-router)#passive-interface fastEthernet 0/0```<BR>

Para iniciar y detener los mensajes de depuración RIP:
>```#debug ip rip events```<BR>
>```#undebug all```<BR>

###Protocolo OSPF

Por ejemplo, se quiere advertir de las redes 10.0.0.0/8 y 20.20.0.0/16, pertenecientes al área 2 (número entre 0 y 4294967295), para el Process ID 1 (número entre 1 y 65535). En OSPF se emplea el wildcard (máscara invertida) en vez de la máscara.

>```(config)#router ospf 1```<BR>
>```(config-router)#network 0.255.255.255 area 1```<BR>
>```(config-router)#network 20.20.0.0 0.0.255.255 area 1```<BR>

Para iniciar y detener los mensajes de depuración RIP:
>```#debug ip ospf events```<BR>
>```#undebug all```<BR>

### Verificar el enrutamiento

Puede observarse la tabla de enrutamiento:
>```#show ip route```<BR>

Puede observarse la tabla de enrutamiento de un protocolo particular:
>```#show ip route rip```<BR>
>```#show ip route ospf```<BR>

Puede observarse el enrutamiento en una interface particular:
>```#show ip ospf interface seial 0/0/0```<BR>

#8.Configurar VLANs

##Crear una VLAN en el switch
El rango normal es de 1 a 1005, estando reservadas las VLAN: 1, 1002 - 1005.Por ejemplo, para crear la VLAN 10 y asignarle al nombre Admin:

>```(config)# vlan 10```<BR>
>```(config-vlan)#name Admin```<BR>
>```(config-vlan)#exit```<BR>

##Configurar los puertos de acceso en el switch
Por ejemplo, asignar los puertos 2 a 15 a la VLAN 10:

>```(config)#interface range fa0/2-15```<BR>
>```(config-if-range)#switchport mode access```<BR>
>```(config-if-range)#switchport access vlan 10```<BR>
>```(config-if-range)#exit```

##Configurar un puerto troncal en el switch
Por ejemplo, configurar el puerto 24 como troncal, VLAN nativa la 400 y permitir las VLANs 10,20,30:

>```(config)#interface fa 0/24```<BR>
>```(config-if)#switchport mode trunk```<BR>
>```(config-if)#switchport trunk native vlan 400```<BR>
>```(config-if)#switchport trunk allowed vlan 10,20,30```<BR>
>```(config-if)#exit```

##Configurar VLANs en una interface del Router (Router on a stick)
Por ejemplo, si a la interface FastEthernet 0/0 le asignamos la VLAN 10 con la IP 200.10.0.1/16. Inicialmente en la interface del enrutador:
>```(config)#interface fa 0/0```<BR>
>```(config-if)#no ip address```<BR>
>```(config-if)#no shutdown```<BR>
>```(config-if)#exit```<BR>

Luego se configuran las sub-interfaces:
>```(config)#interface fa 0/0.10```<BR>
>```(config-subif)#encapsulation dot1q 10```<BR>
>```(config-subif)#ip address 200.10.0.1 255.255.0.0```<BR>
>```(config-subif)#exit```<BR>

##Verificar VLANs en el Switch
Para verificar las VLANs y asignaciones de puertos:
>```#show vlan```<BR>

Para verificar las troncales:
>```#show interface trunk```<BR>

#9.Servidor DHCP

##Establecer el rango de IPs excluido
El rango de IPs excluido son las IPs que el servidor no entregará. Por ejemplo, si el rango excluido es desde la 200.10.10.1 hasta la 200.10.10.5:

>```(config)#ip dhcp excluded 200.10.10.1 200.10.10.5```<BR>

##Configurar el pool de direcciones IP
Por ejemplo, si la red para entregar IPs es la 200.10.10.0/ 24 y la puerta de enlace e 200.10.10.1 y al pool lo llamamos Admon:
>```(config)#ip dhcp pool Admon```<BR>
>```(dhcp-config)#network 200.10.10.0 255.255.255.0```<BR>
>```(dhcp-config)#default-router 200.10.10.1```<BR>

Si adicionalmente se quiere configurar el servidor DNS, por ejemplo, si tiene la IP 200.10.10.5:
>```(dhcp-config)#dns-server 200.10.10.5```<BR>

##Verificar

Información DHCP
>```#show ip dhcp pool```<BR>

Información direcciones arrendadas
>```#show ip dhcp binding```<BR>


#10.IP-Helper, DHCP
Esta opción se usa cuando el servidor DHCP se encuentra en una red diferente a donde se encuentran los dispositivos que solicitarán direcciones IP. En este caso, el enrutador recibe las solicitudes por la interface de los dispositivos solicitantes y las envía al servidor DHCP. Por ejemplo, si los solicitantes están conectados a la interface fa 0/0 y la IP del servidor DHCP, que se encuentra en otra red es la 30.30.30.5, la configuración se realiza dentro de la interface del enrutador:
>```(config)#interface fa 0/0```<BR>
>```(config-if)#ip helper-address 30.30.30.5```<BR>

#11.Servidor NAT

Si por ejemplo, para una red se tiene:
- Red del pool NAT: 200.20.20.0/24
- Red local: 10.0.0.0/8
- IP NAT estático: IP local 10.10.10.100, IP global 200.20.20.2
- IP inicial del pool NAT: 200.20.20.3
- IP final del pool NAT: 200.20.20.8

##NAT Estático
Para definir el NAT estático:
>```(config)#ip nat inside source static 10.10.10.100 200.20.20.2```<BR>

##NAT Dinámico
Si el nombre del pool es NAT. Para realizar la configuración:
>```(config)#ip nat pool NAT 200.20.20.3 200.20.20.8 netmask 255.255.255.0```<BR>
>```(config)#access-list 1 permit 10.0.0.0 255.0.0.0```<BR>
>```(config)#ip nat inside source list 1 pool NAT```<BR>

##PAT
Si el nombre del pool es PAT. Para realizar la configuración:

>```(config)#ip nat pool PAT 200.20.20.3 200.20.20.8 netmask 255.255.255.0```<BR>
>```(config)#access-list 1 permit 10.0.0.0 255.0.0.0```<BR>
>```(config)#ip nat inside source list 1 pool PAT overload```<BR>

##Definición de interfaces
Este paso debe realizarse para todas las variantes de NAT: estático, dinámico o por sobrecarga y consiste en indicarle al enrutador, cuáles son las interfaces donde están conectadas las redes interna y externa.

Por ejemplo, si la red interna está conectada a la interface fastEthernet 0/0 y la externa a la serial 0/0, la configuración es

>```(config)#interface fastEthernet 0/0```<BR>
>```(config-if)#ip nat inside```<BR>
>```(config-if)#exit```<BR>
>```(config)#interface serial 0/0```<BR>
>```(config-if)#ip nat outside```<BR>
>```(config-if)#exit```<BR>

##Verificar NAT
Puede verificarse la configuración con los siguientes comandos:
>```#show ip nat translations```<BR>
>```#show ip nat statistics```<BR>

##Asignar IP a interface Loopback
Asignar una IP de la red global a una interface loopback, en este caso se asignará la primera IP de la red pública:
>```(config)#interface loopback 0``` <BR>
>```(config-if)#ip address 200.20.20.1 255.255.255.0``` <BR>

##RIP con NAT
RIP debe anunciar todas las redes conectadas al enrutador. Sin embargo, en el caso de NAT, debe anunciar la red pública no las redes privadas:
>```(config)#router rip```<BR>
>```(config-router)#network 200.20.20.0```<BR>

#12.Telnet
Aunque no se recomienda el acceso a través de Telnet, se explica como hacerlo. Se recomienda acceder empleando SSH en vez de Telnet.

Si el password es Cisco123!:
>```(config)#line vty 0 15``` <BR>
>```(config-line)#password Cisco123!``` <BR>
>```(config-line)#login``` <BR>
>```(config-line)#exit``` <BR>

#13.SSH

Si se realiza en un switche, previamente debe asignarse la IP de gestión.

Debe previamente asignarse nombre de host (hostname) y clave para ingresar al modo privilegiado.

##Asignar nombre de dominio y crear usuario
Por ejemplo, si el dominio es redes.edu.co, el usuario es Cisco y el pasword Cisco123!:
>```(config)#ip domain-name redes.edu.co``` <BR>
>```(config)#username Cisco secret Cisco123!``` <BR>

##Generar llaves RSA y definir versión de SSH
Debe selecconarse un número de bits de 1024 o 2048
>```(config)#crypto key generate rsa``` <BR>
>```(config)#ip ssh version 2``` <BR>

##Configuración de línea vty para habilitar SSH:
>```(config)#line vty 0 15``` <BR>
>```(config-line)# transport input ssh``` <BR>
>```(config-line)#login local``` <BR>

#14.ACLs

##ACLs estándar
Permiten bloquear el tráfico proveniente de una fuente. Emplea los números del 0 al 99 pueden usarse:

Definir la ACL:
>```(config)#access-list number {permit|deny} {source [wildcard]}```<BR>

Aplicar la ACL a la interface:
>```(config-if)#ip access-goup acl-number {in|out}```<BR>

Ejemplo:
>```(config)#access-list 2 deny 172.16.1.1```<BR>
>```(config)#access-list 2 permit 172.16.1.0 0.0.0.255```<BR>
>```(config)#interface fa 0/0```<BR>
>```(config-if)#ip access-group 2 in```<BR>

##ACLs extendida
Permiten especificar más parámetros. Emplea los números del 100 al 199. Puede emplearse:
- Operaciones lógicas: equal (eq), not equal (neq), greater than (gt), and less than (lt).
- Protocolos: ip, tcp, udp, icmp.

Definir la ACL:
>```(config)#access-list number {permit|deny} protocol source wildcard destination wildcard {condicion}```<BR>

Aplicar la ACL a la interface:
>```(config-if)#ip access-group acl-number {in|out}```<BR>

Ejemplo:
>```(config)#access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet```<BR>
>```(config-if)#ip access-group 114 in```<BR>

###Verificar ACLs
Emplear los comandos:

>```#show access-lists```<BR>
>```#show ip interface```<BR>