Usar un Enrutador Cisco como servidor tftp

En algunos casos es posible utilizar un enrutador para que realice las funciones de un servidor tftp, sin embargo es necesario tomar en cuenta que funciones realiza el equipo y solamente utilizar este tipo de herramientas o facilidades cuando sea estrictamente necesario.

Un caso donde se puede usar esta función es cuando se necesita realizar la actualización de varios enrutadores por medio de un enlace lento como wan o Internet, en una sucursal o sitio remoto

Figura 1. Uso de un enrutador como tftp server

En situaciones como esta es posible realizar la actualización de uno de los equipos remotos y luego configurarlo como servidor tftp, para actualizar el resto, de esta manera se estará optimizando el uso de los enlaces lentos de la red. Los comandos necesarios son los siguientes:

Router1#configure terminal                          
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#tftp-server flash:c2600-ik9o3s-mz.122-12a.bin
Router1(config)#end
Router1# 

Es importante conocer que este enrutador no es un servidor tftp 100% funcional, es decir solamente funciona para descargas de archivos, no es posible utilizarlo para subir archivos. Sin embargo es posible utilizar este servidor tftp para cargar archivos distintos al IOS, así como para descargar archivos que no sean de cisco. A demás es importante estar consciente que activar un nuevo servicio como tftp implica problemas de seguridad que podría ser aprovechados por algún atacante.

Algunos autores recomiendan no hacer uso de tftp en los enrutadores, principalmente en equipos que se encuentre conectados a redes publicas, sin embargo es posible utilizar una lista de control de acceso para evitar problemas que comprometan la seguridad de la red.

Lista de control de acceso utilizado para la figura anterior.

Router1#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#access-list 50 permit 172.25.1.0 0.0.0.255
Router1(config)#access-list 50 deny any
Router1(config)#tftp-server flash:c2600-ik9o3s-mz.122-12a.bin  50
Router1(config)#end
 Router1# 

Esta sencilla lista de control de acceso permite a todos los dispositivos que se encuentren e la red 172.25.1.0/24 acceder al servidor tftp. Como pueden ver es necesario indicar el numero de la lista de control de acceso al final del comando tftp-server. En caso de querer compartir mas de un archivo desde el servidor es necesario agregar mas lineas con el comando tftp-server

Como recomendación especial, se sugiere activar este servicio durante sea necesario, es decir que al finalizar con el proceso de actualización se recomienda inhabilitar el servicio.

Borrar la configuración de arranque del enrutador Cisco

Para algunas personas sonaría ridículo realizar este proceso sin embargo existen algunas circunstancias en las que tendrá que realizar este proceso y regresar el enrutador a su configuración de fabrica. Para todos aquellos que se encuentren en esta situación, les preparo este segmento.

Para realizar este proceso es necesario borrar el archivo de startup y luego reiniciar el enrutador.

Router1#erase nvram:
Erasing the nvram filesystem will remove all files! Continue? [confirm] 
[OK]
Erase of nvram: complete
Router1#reload
   
System configuration has been modified. Save? [yes/no]: no
Proceed with reload? [confirm]  

Se puede obtener el mismo resultado al ejecutar el siguiente comando: erase startup-config

Router1#erase startup-config 
Erasing the nvram filesystem will remove all files! Continue? [confirm] 
[OK]
Erase of nvram: complete
Router1#reload
Proceed with reload? [confirm]  

Al utilizar un enrutador para una nueva función, es recomendable borrar la configuración antigua y de esta manera es seguro que el enrutador tendrá una configuración mas limpia. Es necesario que se este totalmente seguro de lo que se esta realizando, antes de introducir el reload.

Una vez que el enrutador es reiniciado, entrara en el modo de dialogo de configuración, mucho de los usuarios experimentados evitan este método de configuración.

En el caso de que accidentalmente borres el archivo de startup-config, es posible restaurarlo mientras el enrutador no sea reiniciado.

Router1#show startup-config
startup-config is not present
Router1#copy running-config startup-config
Building configuration...
[OK]
Router1#show startup-config 
version 12.2
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Router1
 

Si el archivo de startup-config es borrado y el enrutador por error aun es reiniciado, no es problema, porque de seguro ya cuentas con una copia realizada en un servidor tftp.

Almacenar archivos de configuración de mayor tamaño que lo disponible en NVRAM en enrutador Cisco

En algunas ocasiones es posible que el archivo de configuración (running-config) crezca de tal manera que sea mas grande que el espacio disponible en nvram.

Es posible realizar la compresión del archivo de configuración del enrutador antes de grabarla a la nvram, y poder luego descomprimirla cuando esto sea requerido.

Router1#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#service compress-config 
Router1(config)#end
Router1# 

En la mayoría de los casos Cisco equipa los enrutadores con suficiente NVRAM, para almacenar archivos de tamaño promedio, sin embargo en algunos casos algunos equipos es posible que los archivos de configuración crecen tanto que no es posible almacenarlos de manera directa.

Esto podria ser un problema grave, devido a que en el momento en que el enrutador no sea capaz de guardar la configuración en la nvram, significa que el enrutador no puede mantener una copia de su configuración cuando este sea reiniciado. No es posible saber con exactitud cual parte de la configuración se perdería si este se reinicia.

Una solución alternativa, antes de salir a la venta a comprar mas memoria nvram, seria activar la opción de compresión en el enrutador con el comando service compress-config desde una terminal. Una vez realizado esto es necesario realizar la copia del archivo de configuración a la nvram.

Router1#copy running-config startup-config

Destination filename [startup-config]? 
Building configuration...
Compressed configuration from 9664 bytes to 4903 bytes[OK]
Router1# 

En este ejemplo es posible ver que la compresión ha reducido el archivo de configuración a un poco menos de la mitad del tamaño original. En este caso fue posible guardar el archivo, sin embargo existirán casos en los que la compresión aun no sera suficiente para realizar la copia del archivo, en este caso sera necesario verificar con cuanta memoria nvram esta equipado su enrutador, con el comando show version y analizar la opción de comprar mas memoria.

Router#sh version 
Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 06:21 by pt_rel_team

ROM: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1)
Copyright (c) 2000 by cisco Systems, Inc.

System returned to ROM by power-on
System image file is "c2800nm-advipservicesk9-mz.124-15.T1.bin"

cisco 2811 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory
Processor board ID JAD05190MTZ (4292891495)
M860 processor: part number 0, mask 49
2 FastEthernet/IEEE 802.3 interface(s)
239K bytes of NVRAM.
62720K bytes of processor board System flash (Read/Write)
Configuration register is 0x2102

Este enrutador esta equipado con una capacidad de 239Kbytes de NVRAM, es posible identificar la cantidad de nvram disponible por medio del comando show startup-config, como se muestra a configuración.

Router1#sh startup-config 
Using 463 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption

Copiar archivo runnig-config de un enrutador Cisco a un servidor tftp

Con regularidad es necesario realizar copias de respaldo de la configuración de un enrutador en un lugar seguro, para disminuir el impacto en caso de que ocurra algún fallo al software o hardware del enrutador, si esto sucede la configuración del equipo se perderá. Cualquier que ha realizado la configuración de un enrutador complejo, puede decir lo complicado que resulta recordar todo lo que estaba configurado anteriormente.

Resulta mas sencillo realizar una copia de respaldo y luego al cambiar el dispositivo dañado solamente tendrías que copiar nuevamente la configuración grabada. Esto permitirá que el tiempo de respuesta ante un fallo seria mucho menor y por ende resultara en un mejor desempeño del personal.

Cisco considera que el tiempo promedio entre fallas (MTBF Mean Time Before Failure) es de aproximadamente 15 años, sin embargo en una infraestructura de red lo suficientemente grande, indica que podrían esperarse fallas de por lo menos unos cuantos por ano, sin incluir las posibles fallas causadas por la manipulación humana.

Figura 1. Conexión básica entre enrutador y servidor TFTP

En esta imagen es posible identificar la conexión básica entre un enrutador y un servidor tftp, ambos están configurados en la misma red 172.16.1.0/24. Sin embargo es posible realizar este proceso incluso cuando el servidor no se encuentra en el mismo segmento de red.
 

Router1>en

Password: 

Router1#copy running-config tftp://172.16.1.1/router1-confg
Address or name of remote host [172.25.1.1]? 
Destination filename [router1-confg]? 
!!!
9640 bytes copied in 3.956 secs (2437 bytes/sec)
Router1# 

Como puede observarse es muy facil realizar la copia de un archivo desde un enrutador a un servidor tftp, sin embargo esto no lo unico que puede hacerse, con las siguientes linea de comando es posible visualizar desde un enrutador la configuración que se encuentra en un servidor tftp.

Router1#more tftp://172.16.1.1/router1-confg

!
! Last configuration change at 11:23:59 EST Sat Jan 11 2003 by juanperez
! NVRAM config last updated at 00:37:16 EST Sat Jan 11 2003 by juanperez
!
version 12.2
service tcp-keepalives-in
service timestamps debug datetime msec
service timestamps log datetime localtime
service password-encryption
!
hostname Router1
  

Novedades de Ciencias y Tecnología

Interesantes reportajes encontrados en Internet

Creación del .xxx por la ICANN para los alojar bajo
este dominio a los sitios pornograficos ... ver mas>>

Google anunció el lanzamiento de su nuevo Nexus S 4G
con Android 2.3, Gingerbread, para Sprint... ver mas>>

Firefox 4, ya esta listo: El navegador, que comenzó
sus betas en junio del año pasado, promete ser 6
veces más rápido que la versión 3.6 ... ver mas>>

Oracle Corp. anunció la habilitación del Database
Firewall el cual establece un perímetro defensivo
alrededor de bases de datos y de monitoreo... ver mas>>