expongo cómo ponerlo a funcionar en un windows 7 sin tener un enrutador real. Disfrútenlo.
¿Qué es SDM?Definición oficial: «Cisco Router and Security Device Manager (SDM) es una herramienta basada en web para administración de enrutadores que puede mejorar la productividad de los administradores de redes, simplificar la instalación de enrutadores y ayudar a diagnosticar y resolver problemas en redes complejas y VPNs.» (Interpretación de la página oficial). El programa viene incluido con la compra de enrutadores de la serie de servicios integrados (ISR) y soporta una gran variedad de plataformas. Aunque conocer este interesante software hace parte de varias certificaciones, Cisco está actualmente migrando a una nueva versión llamada Cisco Configuration Professional que parece ser la evolución del primero, pero todavía es indispensable conocer SDM para las certificaciones actuales. La principal ventaja de usar SDM (o equivalente) es que la interfaz es unificada, el programa analiza la configuración, se conecta como un usuario con privilegios y muestra las posibilidades del dispositivo según las características de hardware y software del mismo, permitiendo múltiples configuraciones mediante asistentes paso a paso. Además muestra todo un conjunto de posibilidades de monitorización en tiempo (casi) real del estado del enrutador y de los servicios que ejecuta. SDM es una solución parcial para redes medianas y pequeñas, existen soluciones más robustas para administrar redes grandes. Para usarlo hay que descargarlo, aceptar los términos de uso (supone que ud. es propietario de una plataforma Cisco) e instalarlo una vez se haya preparado por lo menos un enrutador para configurar/monitorizar mediante la herramienta.
¿Cómo probar el SDM si no tengo un enrutador?El actual currículo de CCNA Exploration, incluye pantallazos sobre ésta herramienta y la certificación exige conocimiento de las tareas básicas mediante la misma, en otras palabras, es casi indispensable tener alguna manera de probar qué permite hacer si uno está en curso de prepararse para el examen de certificación. Por otro lado, es poco común que los instructores se tomen el tiempo de instalarlo en las máquinas de laboratorio ya que toca configurar de manera especial por lo menos un enrutador e instalar SDM en el PC de administración. El problema es que los enrutadores de laboratorio usualmente se desconfiguran y el proceso se debe repetir regularmente. Por otro lado, sería muy fácil si se cuenta con enrutadores de la serie ISR que lo traen preinstalado. Entonces, ¿cómo estudiarlo en casa, sin tener un enrutador real?, pues la solución es emular enrutadores y para eso tenemos GNS3, del cual ya he escrito un par de entradas. A continuación voy a describir un proceso de instalación y configuración de SDM en un PC con Windows 7 Starter que permite operar SDM sin necesidad de tener un enrutador real. Como nota al margen, tenga en cuenta que aunque tanto GNS3 como el mismo SDM son aplicaciones un poco «pesadas», mi computador es tal vez del de más bajo perfil en el que se pudiera probar (Dell Mini 1012, con Atom, 1G de Ram y Windows 7 Starter) y ejecutar todo en él me pareció una prueba interesante de desempeño del PC y de los requerimientos de las aplicaciones. Aún así, no es recomendable ejecutar topologías complejas (más de 3 enrutadores) en un PC con éstas prestaciones. Para los fanáticos de Linux, GNS3 corre bien en Ubuntu pero también es igual de exigente y también requiere ejecución como root.
Instalando GNS3GNS3 es un emulador de plataformas de redes de varios fabricantes, se creó como emulador de enrutadores Cisco 7200 pero a partir de ahí ha crecido tanto el soporte como la comunidad de usuarios. Actualmente se tiene soporte para emulación de varias plataformas de enrutadores Cisco (1700, 2600, 2691, 3600, 3700, 7200), firewalls (PIX y ASA), switches (ethernet, ATM, Frame Relay), IDSs, PCs y hasta enrutadores Juniper. La gran ventaja de GNS3 sobre otras aplicaciones es que es un emulador, es decir, ejecuta una máquina virtual en la que se carga un IOS real, por medio de ésta es posible usar cualquier comando que soporte un enrutador real. No voy a describir detalladamente cómo instalar GNS3, pero hay que tener en cuenta que cuando se arranca el programa y cuando se inician enrutadores emulados el firewall de Windows solicita aprobación y hay que permitirlo para que las topologías funcionen. La instalación de GNS3 es realmente simple:
- Descargar el instalador
- Ejecutarlo/Instalarlo (preferiblemente en la raíz del disco duro)
- Configurar Dynamips (verificar ejecución)
- Agregar imágenes de IOS Cisco
NOTA: Durante los últimos días no he podido acceder al sitio oficial de GNS3, así que toca descargarlo de otro sitio. Prefiero no sugerir otro por riesgo a equivocarme o distribuir un posible troyano, así que descarguenlo por su cuenta o esperen a que el sitio oficial vuelva a esta al aire.
Es importante recordar que GNS3 es una interfaz visual para el programa que realmente hace las cosas Dynamips, que es un servidor de emulación. Por otro lado, GNS3 es un programa de libre redistribución pero las imágenes de Cisco no, por lo que sólo quienes hayan comprado legalmente un enrutador Cisco o tengan acceso a enrutadores de laboratorio podrían ejecutarlo legalmente.
Durante la instalación hay que tener cuidado con dos cosas: la ruta a las carpetas de trabajo y binarios no deben tener caracteres especiales (tildes, eñes, incluso espacios), así que yo recomiendo instalarlo en la raíz de un disco duro. Adicionalmente hay que probar la ejecución del Dynamips mediante el botón que hay disponible para hacerlo, allí pueden fallar cosas y tener que corregir la ruta o aprobar la aplicación en el Firewall de Windows. Finalmente, cuando se crea un enrutador en la topología y se enciende, el firewall vuelve a solicitar autorización y hay que aceptarla.
Configurando una topología que soporte SDM
Suponiendo que el GNS3 quedó instalado correctamente, ahora vamos a describir cómo crear y configurar una topología básica que me permita usar SDM en su propio PC. Antes de comenzar es importante que sepan que para que el enrutador emulado se comunique con el PC en Windows 7 (y Linux) es necesario ejecutar el programa con permisos de administrador.
En lo poco que he probado GNS3, el IOS que mejor me ha funcionado ha sido c2691-adventerprisek9_sna-mz.124-13b.bin para enrutadores 2691, éste IOS es uno de los más completos ya que soporta servicios avanzados empresariales con cifrado. Para que las instrucciones que doy a continuación funcionen hay que ejecutar el programa con permisos de administración y asignar a la plataforma 2691 éste IOS.
Primero voy a enumerar los pasos para la configuración necesaria y luego dejo una presentación de imágenes en las que se pueden ver los pasos descritos. Primero hay que iniciar GNS3 como administrador, luego añadir un enrutador 2691 arrastrandolo de la barra de dispositivos al espacio de trabajo (el que me funcionó bien a mí), luego una nube haciendo lo mismo que con el enrutador, a la nube hay que agregarle una interfaz (doble clic en la nube, luego en el nombre de la misma. Cuando el programa se ejecuta con permisos de administración, al darle clic al nombre de la nube, aparece un script que busca y obtiene los identificadores de las interfaces de red que tiene el PC, las cuales se pueden usar como interfaces de la nube, allí se selecciona cualquiera y se añade. Luego se conectan el enrutador y la nube mediante un enlace fastethernet, se inicia el enrutador y se abre una consola. En algún momento de todo este proceso es probable que el Firewall de windows solicite autorización.
Ahora pasemos a la configuración del enrutador emulado. Para que el SDM se conecte, el enrutador debe tener cierta configuración, en particular lo siguiente:
- Tener un usuario especial con privilegios administrativos
- Tener un nombre de dominio definido
- Soportar cifrado y tener una llave RSA
- Permitir http y http seguro
- Autenticar localmente todo (servicio web, consola, terminales remotas)
- Soportar ssh en las terminales remotas
todo lo anterior lo soporta el IOS recomendado y cualquiera con el sufijo Kx en el nombre de IOS, en nuestro caso K9. A continuación reseño la configuración necesaria en el enrutador:
username sdmuser privilege 15 password sdmuser ip domain name x.com crypto key generate rsa ip http server ip http authentication local ip http secure-server interface FastEthernet0/0 ip address 192.168.1.50 255.255.255.0 line con 0 login local line vty 0 4 login local transport input ssh
En ésta configuración la terminal saca varios avisos, el primero es cuando se usa el comando crypto, que muestra varios parámetros del certificado a generar, en particular, el dominio que se va a usar y el tamaño de la llave de cifrado (512 por defecto). Por otro lado, cuando se activa el servidor https (secure-server), también se genera un certificado. La dirección de la interfaz puede ser cualquiera que coincida con la red a la que está conectado el PC, en mi caso, mi PC es 192.168.1.5 y la interfaz del enrutador emulado es 192.168.1.50.
Para comprobar que todo está operativo, podríamos hacer una prueba de conectividad con el enrutador emulado mediante un ping desde el CLI del enrutador a la dirección real del PC. Si no funciona, hay que revisar si el Firewall ha bloqueado la aplicación o está solicitando aprobación.
Si todo ha funcionado bien hasta acá, tenemos que continuar con la instalación del SDM. La versión que yo tengo es una versión vieja y actualmente Cisco está migrando a una nueva herramienta que no tengo, sin embargo, ésta sirve para la versión actual de CCNA Exploration. Para descargarlo se debe tener un CCO o nombre de usuario de Cisco (se crea sin requerimientos especiales) y aceptar los términos de uso. Una vez descargado se instala de manera muy fácil.
Por otro lado, ejecutarlo es un poco más difícil: se abre una pequeña ventana que pide una IP (la de la interfaz del enrutador a monitorizar) con dos botones Launch y Close, también una casilla para indicar si se va a usar http o https, hay que intentar con ambos porque en unos PCs me ha funcionado el https y en otros no. Recuerde aprobar las peticiones que haga el Firewall para permitir la aplicación.
Luego de poner la IP del enrutador y dar clic en Launch, se abre un navegador, éste abre otra ventana en la cual se pide por primera vez la autenticación (nombre de usuario y contraseña), se debe usar el nombre de usuario configurado en el enrutador, sdmuser en nuestro caso. Luego de ésto se inicia un applet (Java) y el cual vuelve a pedir la autenticación. Durante este proceso, el sistema pide varias autorizaciones: ejecución de controles Activex, Java, Certificado Digital, todos se deben permitir a pesar de que no están firmados correctamente, la razón es porque el certificado lo genera el enrutador y él mismo es la autoridad, lo cual sería sospechoso en otro escenario.
Finalmente, se abre una pantalla que es el SDM, en ella vemos un resumen del estado del dispositivo y sus capacidades. Para el examen de certificación 640-802 (CCNA) se requiere estar familiarizado con las opciones que permiten hacer la configuración básica (tareas adicionales e interfaces y conexiones), DHCP, DNS, NAT y ACLs, así mismo cómo monitorizar los aspectos fundamentales del enrutador.
Para terminar, les dejo el album de capturas de pantalla que hice en Picasaweb que ilustran todos los pasos mencionados en los párrafos anteriores.
Problemas con GNS3:
hola
Encuentro muy interesante este aporte pero me gustaria ver si puedes poner un tutorial bien detallado de como instalar SDM en RedHat 6.1 gracias.
Perdon pero es que no uso windows 😛
Hola Daniel,
qué buena propuesta. Yo no soy un usuario de RH, pero sí podría mirar cómo instalarlo en un Linux. Sin embargo, dudo mucho que el programa lo permita fácilmente, a priori, la única solución sería usar un windows (o Wine) para instalar el SDM en el enrutador mismo.
El programa una vez instalado se respalda en el navegador y en java, por lo que en teoría debe funcionar sin problemas, pero el inconveniente es cómo instalarlo.
Gracias y hasta pronto.