510 likes | 792 Views
Introduction routeur Cisco. Création 2000-2001 : Christian Hascoët (CCR). Plan. Les principales commandes pour la configuration d'un routeur cisco : Commandes d'interfaces Filtrage Commandes globales Commandes de routages (voir cours correspondant) Commandes de lignes (console, vty)
E N D
Introduction routeur Cisco • Création • 2000-2001 : Christian Hascoët (CCR) ARS 00/01
Plan • Les principales commandes pour la configuration d'un routeur cisco : • Commandes d'interfaces • Filtrage • Commandes globales • Commandes de routages (voir cours correspondant) • Commandes de lignes (console, vty) • Commandes d'exécution : visualisation, debug ... ARS 00/01
Configuration : synoptique • Commandes globales : • Services, DNS, NTP, IOS, Log, statistiques, personnalisation ... • Interface Type N° • Configuration de l'interface • Routage : protocole, routes statiques … • Filtrage : sécurité, routage, accès au routeur • Commande de ligne : console, vty 0 à 4 • Ligne X : Configuration de la ligne X ARS 00/01
Configuration : vue d'ensemble show running-config ou show startup-config • Commande globales • service, personnalisation, ntp, IOS, boot • interface Type N°1 • configuration interface Type N°1 • interface Type N°2 • configuration interface Type N°2 …... • router Type R • configuration protocole de routage (router) Type R • ≈ /etc/hosts, routes statiques • Gestion des logs, snmp • Filtrage : access-lists • Commande de lignes : line con 0, line aux 0, line vty 0 4 ARS 00/01
Initialisation Boot du routeur …. --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[ ]'. Would you like to enter the initial configuration dialog? [yes]: First, would you like to see the current interface summary? [yes]: n Configuring global parameters: Enter host name [Router]: … Would you like to terminate autoinstall? [yes]: yes ARS 00/01
Configuration par console • Liaison série 9600 par défaut (RJ45,DB25) • Prompt par défaut Router> • Passage en super-utilisateur : enable • Pas de mot de passe par défaut • Prompt par défaut Router# • Obligatoire pour la configuration et pour la visualisation de la configuration • Accès au mode configuration • Configure terminal : Router(config)# ARS 00/01
Configuration par console • Mise en place du mot de passe "enable" • Commande globale • enable-password toto • + service password-encryption ==> • enable-password 7 01324DA64BEA091222 • A remplacer par • enable secret 5 1$k1p6$i4wqEzO90/L22Ejd2r0DT1 ARS 00/01
Configuration des interfaces • C'est la base de la configuration du routeur : • Passage à la configuration d'une interface : • interface type N° • Exemple : interface ethernet 0 (Router(config-if)#) • On peut y spécifier principalement l'adressage, mais aussi le filtrage, le type d'encapsulation, la gestion des files d'attente … • Rq : pour remonter dans l'arborescence • exit pour remonter d'1 niveau, • retour au mode commande : end ou ctrl Z ARS 00/01
Visualisation : Configuration ethernet interface Ethernet0 description Nom Réseau, Administrateur, e-mail, téléphone ip address A.B.C.D Masque (secondary) ip broadcast-address A.B.C.X (Défaut : 255.255.255.255) ip access-group 100 in ip access-group 110 out no ip redirects no ip proxy-arp ip accounting ip accounting access-violations ARS 00/01
Visualisation : Configuration série interface Serial0 description LS 64K vers XXXX bandwidth 64 ip unnumbered Type N° no ip route-cache no fair-queue down-when-looped ARS 00/01
Visualisation : Configuration tunnel Réseau IP2 avec sous-réseau(x) IP1 • Le tunnel permet d' "oublier" la topologie existante interface tunnel X description Tunnel GRE vers cisco distant ip unnumbered Type N° bandwidth 256 tunnel source "une adresse IP du routeur *" tunnel destination "routeur distant" tunnel mode** gre ip (par défaut cisco <-> cisco) * en général, la plus proche du routeur distant ** mode principaux disponibles : aurp, cayman, dvmrp, ipip ... Réseau IP1 tunnel Internet ARS 00/01
Filtrage : access-list : Principe • Une access-list est une liste séquentielle de règles de permission et d'interdiction portant sur les protocoles réseaux (ip, tcp …) • Chaque paquet est examiné et fonction de sa source, de sa destination, de son type, des ports, il est soit retransmis,soit éliminé par le routeur • Séquentielle => • Permettre avant d'interdire :-) • Mettre le + en tête de liste possible les paquets les + fréquemment trouvés • Une access-list est terminée implicitement par une interdiction totale • Exception : une access-list vide laisse tout passer • Tout ce qui n'est pas explicitement permis est interdit • Elle peut être utilisé pour le filtrage des paquets • En transit par le routeur (filtrage au niveau des interfaces) • D'informations de routage (venant vers ou partant du routeur) • Pour accéder au routeur ... ARS 00/01
Filtrage : access-list : Liste Router(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list ... <600-699> Appletalk access list <700-799> 48-bit MAC address access list <800-899> IPX standard access list <900-999> IPX extended access list <1000-1099> IPX SAP access list <1100-1199> Extended 48-bit MAC address access list <1200-1299> IPX summary address access list ARS 00/01
Filtrage : access-list : Aide • Listes exhaustives des ports tcp, udp, icmp … • ftp://ftp.isi.edu/in-notes/iana/assignments/ports-numbers • Liste réduite dans /etc/services : ... ftp-data 20/tcp # File Transfer Protocol (Data) ftp 21/tcp # File Transfer Protocol (Control) telnet 23/tcp # Virtual Terminal Protocol smtp 25/tcp # Simple Mail Transfer Protocol whois 43/tcp nicname # Who Is domain 53/tcp nameserver # Domain Name Service domain 53/udp nameserver # tftp 69/udp # Trivial File Transfer Protocol finger 79/tcp # Finger http 80/tcp www # World Wide Web HTTP ... ARS 00/01
Access-list ip simple • 1 ≤ N° ≤ 99 (source seulement) Router(config)#access-list 1 permit | deny ? A.B.C.D (Address to match) W.X.Y.Z (Wildcard bits) any Any source host host A single host address • Exemple : access-list 1 permit 172.16.1.2 0.0.0.1 (2 et 3) access-list 1 permit 172.16.250.0 0.0.0.255 (0 à 255) access-list 1 permit 192.168.5.16 0.0.0.15 (16 à 31) access-list 1 deny any (ajouter de manière implicite) ARS 00/01
Access-list IP étendue • 100 ≤ N° ≤ 199 • source et destination (+ port source et/ou destination) Router(config)#access-list 100 permit ? ip Any Internet Protocol tcp Transmission Control Protocol udp User Datagram Protocol icmp Internet Control Message Protocol <0-255> An IP protocol number eigrp, ospf, igrp ... Protocole de routage gre, ipinip Tunnel Cisco ou IP dans IP igmp Internet Gateway Message Protocol … (variable selon les versions d'IOS) ARS 00/01
Access-list IP étendue : IP Router(config)#access-list 100 permit ip any any ? log Log matches against this entry precedence Match packets with given precedence value tos Match packets with given TOS value <cr> ARS 00/01
Access-list IP étendue : TCP Router(config)#access-list 100 permit tcp any any ? eq Match only packets on a given port number neq Match only packets not on a given port number lt Match only packets with a lower port number gt Match only packets with a greater port number range Match only packets in the range of port numbers established Match established connections precedence Match packets with given precedence value tos Match packets with given TOS value log Log matches against this entry <cr> ARS 00/01
Access-list IP étendue: UDP Router(config)#access-list 100 permit udp any any ? eq Match only packets on a given port number neq Match only packets not on a given port number gt Match only packets with a greater port number lt Match only packets with a lower port number range Match only packets in the range of port numbers precedence Match packets with given precedence value tos Match packets with given TOS value log Log matches against this entry <cr> ARS 00/01
Access-list IP étendue : ICMP Liste longue : ftp://ftp.isi.edu/in-notes/iana/assignments/ports-numbers Les principales : <0-255> ICMP message type echo, echo-reply Echo (ping), Echo reply host-redirect,host-unknown Host redirect, unknown host-unreachable Host unreachable mask-reply mask-request Mask replies, requests source-quench contrôle de flux time-exceeded All time exceededs traceroute Traceroute ... ARS 00/01
Routeur OUT IN Filtrage : Application • Pour une interface : interface Type N° ip access-group N°access-list in | out • Pour un protocole de routage router Type (OSPF in seulement) distribute-list N°access-list in | out • Pour l'accès au routeur line vty 0 access-class N°access-list in | out ARS 00/01
Filtrage : Exemples access-list 100 permit tcp any any established access-list 100 deny ip 172.25.0.0 0.0.255.255 any log (spoofing) access-list 100 denyip any 0.0.0.255 255.255.255.0 log (broadcast) access-list 100 denyip any 0.0.0.0 255.255.255.0 log (broadcast) access-list 100 deny tcp any any range 161 162 log (snmp) access-list 100 permit ip any host 172.25.1.215 (DMZ) access-list 100 permit tcp any host 172.25.240.4 eq smtp (Mail) access-list 100 deny tcp any any range 0 37 log … access-list 100 permit ip any any ARS 00/01
Filtrage : visualisation show access-list 100 Extended IP access list 100 deny ip 10.0.0.0 0.255.255.255 any log (973 matches) deny ip 172.16.0.0 0.15.255.255 any log (2695 matches) deny ip 192.168.0.0 0.0.255.255 any log (952 matches) permit ip any any (234454800 matches) sh access-list 1 Standard IP access list 1 deny 0.0.0.0 deny 10.0.0.0, wildcard bits 0.255.255.255 deny 172.16.0.0, wildcard bits 0.15.255.255 deny 192.168.0.0, wildcard bits 0.0.255.255 permit any ARS 00/01
Commandes de lignes : 3 types • con 0 et aux 0 (console) • speed (défaut :9600), txspeed, rxspeed • vty (0 à 4) pour connexion distantes • exec-timeout minutes secondes • login (demande d'un mot de passe, recommandé) • password "mot de passe" (obligatoire à distance) • history size 30 • transport [input | output] telnet, rlogin, lat, none, all ... • access-class 1-99 in | out • ip netmask-format [bitcount | decimal | hexa ] ARS 00/01
Commandes de lignes : Exemples line vty 0 4 access-class 98 in exec-timeout 0 0 login password XXXX history size 30 transport input telnet transport output telnet line con 0 exec-timeout 0 0 login password XXXX history size 30 transport input none transport output telnet line aux 0 Idem con 0 ARS 00/01
Commandes globales : service • Tout ce qui n'est pas commande d'interface, de ligne, de filtrage ou de routage • Débute (dans le sens) de la lecture d'une configuration de cisco par les services : • service config : chargement automatique de config par le réseau • service finger (par défaut) • service password-encryption (recommandé, mais décryptable) • service prompt config (par défaut) • service timestamps [debug | log] uptime | datetimelocaltime • service telnet-zero-idle (par défaut) …. ARS 00/01
Commandes globales : nom & boot • hostname Nom_Routeur (Attribué un nom au routeur) • boot host tftp | rcp Nom_Routeur @IPServeur • boot network tftp | rcp Nom_Routeur @IPServeur • boot system flashslot0:gs7-j-mz.111-22.CA.bin • boot system flash gs7-j-mz.111-20.bin • boot system tftp | rcp Nom_Fichier @IPServeur ARS 00/01
Gestion de l'IOS • copy flash tftp : sauvegarde IOS sur serveur tftp • copy tftp flash : chargement IOS par serveur tftp • Flash : bootflash, slot0 ou slot1 (PCMCIA) • format • delete : effacer un fichier de la flash • squeeze "flash:" : supprimer un fichier effacé • dir [device:] : lister les fichiers d'une flash • pwd, cd • erase device: | startup-config ARS 00/01
Visualisation : IOS & boot • show version (ou show hard) Cisco Internetwork Operating System Software IOS (tm) 7200 Software (C7200-P-M), Version 12.0(8)S, EARLY DEPLOYMENT ROM: System Bootstrap, Version 12.0(19990210:195103) [12.0XE 105], BOOTFLASH: 7200 Software (C7200-BOOT-M), Version 12.0(9)S, r-jusren uptime is 2 d, 22 h, 41 m (restarted 19:53:17 MET Wed Mar 15 2000 Last reset from power-on. System image file is "slot0:c7200-p-mz.120-8.S.bin" cisco 7206VXR (NPE300) processor with 253952K/40960K bytes of memory. R7000 CPU at 262Mhz, Implementation 39, Rev 1.0, 256KB L2, 2048KB L3 Cache 3 FastEthernet/IEEE 802.3 interface(s), 1 ATM network interface(s) 125K bytes of non-volatile configuration memory. 16384K bytes of Flash PCMCIA card at slot 0 (Sector size 128K). 4096K bytes of Flash internal SIMM (Sector size 256K). Configuration register is 0x102 ARS 00/01
Visualisation : IOS & boot • show flash [all] -#- ED --type-- --crc--- - seek-- nlen -length- ----- date/time------ name 1 .. image DCB00EEC 9B73E4 23 10056548 Mar 13 2000 09:33 c7200-js-mz_120-7T.bin 2 .. image E81D3610 EFD240 22 5529052 Mar 15 2000 19:21 c7200-p-mz.120-8S.bin 798144 bytes available (15585856 bytes used) • show bootflash: -#- ED --type-- --crc--- -seek-- nlen -length- -----date/time------ name 1 .. image E87BFDE9 3121C8 25 2957640 Mar 13 2000 10:35 c7200-boot-mz_120-9S.bin 450104 bytes available (2957768 bytes used) ARS 00/01
Gestion fichiers : Configuration tftp • Extrait de inetd.conf ... # Before uncommenting the "tftp" entry below, please make sure # that you have a "tftp" user in /etc/passwd. If you don't # have one, please consult the tftpd(1M) manual entry for # information about setting up this service. tftp dgram udp wait root /usr/lbin/tftpd tftpd ... • grep tftp /etc/passwd tftp:*:107:102:,,,:/reseau/config:/usr/bin/false ARS 00/01
Serveur NTP R ntp broadcast client ntp broadcast Commandes globales : heure • Réglage de l'heure : • clock timezone MET 1 • clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 3:00 • Synchronisation avec serveur ntp • Direct : ntp peer @IPserveurNTP • Par broadcast • Interface Type N° • ntp broadcast client • Envoie de l'heure par broadcast • Interface Type N° • ntp broadcast • ntp access-group [query-only | serve-only | serve | peer ] N°access-list ARS 00/01
Visualisation : heure • show clock • show ntp status Clock is synchronized, stratum 2, reference is 134.157.254.135 nominal freq is 250.0000 Hz, actual freq is 249.9978 Hz, precision is 2**19 reference time is BC7E39B7.1F66A438 (18:21:59.122 MET Sat Mar 18 2000) clock offset is 0.80 msec, root delay is 2.76 msec root dispersion is 6.30 msec, peer dispersion is 1.31 msec • show ntp associations address ref clock st when poll reach delay offset disp *~134.157.254.135 .TDF . 1 29 64 377 2.8 0.80 1.2 + 134.157.254.132 192.93.2.20 2 26 64 377 3.0 0.99 0.0 * master (synced), # master (unsynced), + selected, - candidate, ~ configured ARS 00/01
Commandes globales IP • ip source-route : (défaut) accepte paquet avec source routing • ip subnet-zero : permet l'utilisation du 1ier réseau • ip host toto @IP-toto (≈ /etc/hosts) • ip name-server @IP-DNS-1 @IP-DNS-2 ... • ip domain-name : pourcomplémenter les noms (1) • ip domain-list : pourcomplémenter les noms (2) • ip accounting-threshold Seuil : Nombre d'entrée dans la table • ip accounting-list @IP Masque : limiter les accountings • Applications des accountings : • ip accounting (commande d'interface) • ip accounting access-violations ARS 00/01
Visualisation accounting • Cisco # show ip accounting [access-violations] Source Destination Packets Bytes ACL 172.16.0.109 134.157.81.155 7 10500 100 172.16.0.112 134.157.81.141 7 10500 100 192.168.15.1 134.157.95.8 10 400 100 192.168.16.2 134.157.95.10 10 400 100 … • Effacement avec : • clear ip accounting ARS 00/01
Commandes de log • Router(config)#logging ? A.B.C.D IP address of the logging host facility Facility parameter for syslog messages buffered Set buffered logging parameters • réglages des niveaux par récepteur : console Set console logging level monitor Set terminal line (monitor) logging level trap Set syslog server logging level source-interface Specify interface for source address in logging transactions ARS 00/01
Commandes de log : Niveaux • Router (config)#logging trap ? alerts Immediate action needed critical Critical conditions debugging Debugging messages emergencies System is unusable errors Error conditions informational Informational messages notifications Normal but significant conditions warnings Warning conditions ARS 00/01
Commandes de log : syslogd • Router(config)#logging facility local X (7 par défaut) # syslogd configuration file. mail.debug /var/adm/syslog/mail.log daemon.info;mail.none /var/adm/syslog/syslog.log ... # Accès gatorbox local1.warning /reseau/syslog/gatorbox.log # Accès Fore local2.notice /reseau/syslog/fore.log # Accès Log Routeur de sortie local3.debug /reseau/syslog/jusren.log # Accès des CISCO (Commutateurs et routeurs) local7.debug /reseau/syslog/cisco.log ARS 00/01
Commandes de routage • Exemple avec RIP : router rip version 2 network 172.16.0.0 passive-interface ethernet 1 distribute-list 1 in ethernet 1 distribute-list 2 in ethernet 0 ARS 00/01
Routage avec redistribution (1) • Redistribution mutuelle : router ospf 1 redistribute rip metric 2 subnets network 172.16.0.0 0.0.255.255 area 1 router rip redistribute ospf 1 metric 2 network 172.16.0.0 ARS 00/01
Routage avec redistribution (2) access-list 2 deny any • Routage principal en eigrp • Routage local en rip • Écoute seule • Redistribution des routes RIP dans EIGRP => pas de redistribution de l'eigrp dans le RIP • Les machines faisant des annonces RIP doivent posséder une route par défaut pour communiquer avec le monde extérieur router eigrp 1307 redistribute rip passive-interface Vlan68 network 134.157.0.0 network 132.227.0.0 default-metric 100000 100 255 1 1500 distribute-list 2 in Vlan68 …. router rip passive-interface Vlan68 network 134.157.0.0 network 132.227.0.0 distribute-list 2 in Vlan68 …. ARS 00/01
Routage / Filtrage • Une autre manière efficace pour faire du filtrage : ip route @IP_réseau Masque_réseau Destination ip route 10.0.0.0 255.0.0.0 Null0 ip route 172.16.0.0 255.240.0.0 Null0 ip route 192.168.0.0 255.255.0.0 Null0 ARS 00/01
Internet Transparent Proxy RO RD Site Routage par la source route-map Transparent-Proxy match ip address N°access-list set ip next-hop @IP_ Transparent-Proxy ! Attachement direct access-list X deny ip host @IP-cache_www1 any access-list X deny ip host @IP-cache_www2 any ! Les autres machines access-list X permit tcp 192.168.1.0 0.0.0.255 any eq www ARS 00/01
Routage par la source : Exemple 2 (1) Internet Site1 Réseau A Site2 Réseau A & B Tunnel ARS 00/01
Routage par la source : Exemple 2 (2) • Site 1 (Réseau IP A seul) interface Tunnel N° description Tunnel GRE vers cisco distant ip unnumbered Type N° bandwidth 256 tunnel source @IP_cisco1 tunnel destination @IP_cisco2_distant ARS 00/01
Routage par la source : Exemple 2 (3) • Site 2 (Réseau B et une partie de A) interface Tunnel X description Tunnel GRE vers cisco distant ip unnumbered Ethernet3 tunnel source @IP_cisco2 tunnel destination @IP_cisco1_distant route-map SITE1 match ip address N set interface Tunnel X set ip next-hop @IP_ cisco1 access-list N permit Partie_Réseau_A_sur_Site2 ip route Reste_Réseau_A @IP_Routeur_Défaut ARS 00/01
Éxecutable • Avec possibilité de spécifier l'adresse source pour tests • ping • traceroute • telnet, rlogin, rsh • systat (≈ who) • reload • exit, quit ARS 00/01
Management • Par station de management : snmp-server community public RO 99 access-list 99 permit @IP • show processes cpu CPU utilization for 5 seconds: 9%; 1 minute: 10%; 5 minutes: 11% • show processes memory Total: 7143292, Used: 2895044, Free: 4248248 ARS 00/01
Mode debug • Par la console (monitor) • Par telnet (terminal monitor (visualisation du debug)) • debug ? (La liste est très longue) • Exemple : debug ip rip RIP: received update from 134.157.254.249 on Ethernet0 134.157.24.0 in 1 hops RIP: sending update to 134.157.254.255 via Ethernet0 (134.157.254.205) subnet 134.157.133.128, metric 1 subnet 134.157.133.0, metric 1 undebug all (u all) All possible debugging has been turned off ARS 00/01