Cada vez que me toca configurar un dispositivo Cisco me preocupo de ejecutar una serie de comandos básicos que aseguran una mejor experiencia en la configuración, así como también ofrecen algunas características de seguridad. Los routers y switches basados en IOS/IOS-XE vienen con una configuración inicial bastante molesta (a mi juicio) y tenemos que hacer algunos ajustes antes de comenzar a configurar la topología de red. El siguiente es el template que utilizo siempre y que tal vez le pueda servir a alguien. Por supuesto, si alguien tiene alguna sugerencia, que me indique y la agrego. En este ejemplo he puesto las variables en mayúsculas, así que simplemente pueden hacer copy/paste, reemplazando el texto en mayúsculas por su propia configuración.
!Definir un nombre y dominio para el router (router1.netlayer.cl)
hostname ROUTER1
ip domain-name NETLAYER.CL
!
! Evitar el uso de enable password.
enable secret PASSWORD1
!
! Aseguramos los passwords en la configuración
service password-encryption
!
! Configuración de hora y fecha. En este ejemplo 19:30:00 del 27 de febrero de 2021
! En mi caso la zona es CLT (Chilean Time) que corresponde a GMT -3.
clock set 19:30:00 02 27 2021
!
! Aunque es más recomendable usar un servidor NTP
ntp server 192.168.77.88
clock timezone CLT -3 0
!
! Sin este comando, los logs de la consola aparecen con la hora en GMT.
service timestamps log datetime msec show-timezone
!
! Evitar la recuperación de contraseñas locales
no service password-recovery
!
! El usuario tendrá privilegios de configuración
username USERNAME privilege 15 secret PASSWORD2
!
! Crear las claves criptográficas para SSH. Si no funciona el comando
! modulus, simplemente escribir crypto key generate rsa e ingresar 2048
! Se habilita SSH versión 2 con un timeout de 60 segundos y 2 autenticaciones erróneas
crypto key generate rsa modulus 2048
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 2
!
! No me gusta tener el servicio HTTP ni HTTPS habilitado
no ip http server
no ip http secure-server
!
! Cuando se conecten via consola, que solicite contraseña
line console 0
login local
logging synchronous
!
! lo mismo via SSH
line vty 0 15
login local
transport input ssh
logging synchronous
!
! Algunas medidas de seguridad en el acceso SSH. Esto bloqueará intentos de ataques por
! fuerza bruta
login block-for 60 attempts 5 within 60
login on-failure log
login on-success log
!
! aumentamos a 16KB el buffer de log (cuando se ejecuta "show logging")
logging buffered 16384
!
! No permitimos el servicio BOOTP
no ip bootp server
!
! No permitimos cargar la config por red (ej. via TFTP)
no service config
! Un par de comandos que nunca están demás.
service tcp-keepalives-in
service tcp-keepalives-out
!
! Salimos y guardamos
end
write memory
