Embed Size (px)
DESCRIPTION
Introduction routeur Cisco. Création 2000-2001 : Christian Hascoët (CCR). Plan. Les principales commandes pour la configuration d'un routeur cisco : Commandes d'interfaces Filtrage Commandes globales Commandes de routages (voir cours correspondant) Commandes de lignes (console, vty) - PowerPoint PPT Presentation
Citation preview
ARS 00/01 1
Introduction routeur Cisco
• Création– 2000-2001 : Christian Hascoët (CCR)
ARS 00/01 2
Plan
• Les principales commandes pour la configuration d'un routeur cisco :– Commandes d'interfaces – Filtrage– Commandes globales– Commandes de routages (voir cours correspondant)– Commandes de lignes (console, vty)
• Commandes d'exécution : visualisation, debug ...
ARS 00/01 3
Configuration : synoptique
• Commandes globales : – Services, DNS, NTP, IOS, Log, statistiques, personnalisation ...
• Interface Type N°– Configuration de l'interface
• Routage : protocole, routes statiques …
• Filtrage : sécurité, routage, accès au routeur
• Commande de ligne : console, vty 0 à 4– Ligne X : Configuration de la ligne X
ARS 00/01 4
Configuration : vue d'ensembleshow running-config ou show startup-config • Commande globales
– service, personnalisation, ntp, IOS, boot
• interface Type N°1
– configuration interface Type N°1
• interface Type N°2
– configuration interface Type N°2 …...
• router Type R
– configuration protocole de routage (router) Type R
• ≈ /etc/hosts, routes statiques
• Gestion des logs, snmp
• Filtrage : access-lists
• Commande de lignes : line con 0, line aux 0, line vty 0 4
ARS 00/01 5
InitialisationBoot du routeur ….
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[ ]'.
Would you like to enter the initial configuration dialog? [yes]:
First, would you like to see the current interface summary? [yes]: n
Configuring global parameters:
Enter host name [Router]: …
Would you like to terminate autoinstall? [yes]: yes
ARS 00/01 6
Configuration par console• Liaison série 9600 par défaut (RJ45,DB25)
• Prompt par défaut Router>
• Passage en super-utilisateur : enable– Pas de mot de passe par défaut– Prompt par défaut Router#– Obligatoire pour la configuration et pour la
visualisation de la configuration
• Accès au mode configuration – Configure terminal : Router(config)#
ARS 00/01 7
Configuration par console• Mise en place du mot de passe "enable"
– Commande globale– enable-password toto– + service password-encryption ==>– enable-password 7 01324DA64BEA091222– A remplacer par – enable secret 5 1$k1p6$i4wqEzO90/L22Ejd2r0DT1
ARS 00/01 8
Configuration des interfaces• C'est la base de la configuration du routeur :
– Passage à la configuration d'une interface :• interface type N°
• Exemple : interface ethernet 0 (Router(config-if)#)
– On peut y spécifier principalement l'adressage, mais aussi le filtrage, le type d'encapsulation, la gestion des files d'attente …
• Rq : pour remonter dans l'arborescence– exit pour remonter d'1 niveau, – retour au mode commande : end ou ctrl Z
ARS 00/01 9
Visualisation : Configuration ethernet
interface Ethernet0
description Nom Réseau, Administrateur, e-mail, téléphone
ip address A.B.C.D Masque (secondary)
ip broadcast-address A.B.C.X (Défaut : 255.255.255.255)
ip access-group 100 in
ip access-group 110 out
no ip redirects
no ip proxy-arp
ip accounting
ip accounting access-violations
ARS 00/01 10
Visualisation : Configuration série
interface Serial0
description LS 64K vers XXXX
bandwidth 64
ip unnumbered Type N°
no ip route-cache
no fair-queue
down-when-looped
ARS 00/01 11
Visualisation : Configuration tunnel• Le tunnel permet d' "oublier" la topologie existante
interface tunnel X
description Tunnel GRE vers cisco distant
ip unnumbered Type N°
bandwidth 256
tunnel source "une adresse IP du routeur *"
tunnel destination "routeur distant"
tunnel mode** gre ip (par défaut cisco <-> cisco)* en général, la plus proche du routeur distant
** mode principaux disponibles : aurp, cayman, dvmrp, ipip ...
Réseau IP1
Réseau IP2avec sous-réseau(x)
IP1
Internet
tunnel
ARS 00/01 12
Filtrage : access-list : Principe• Une access-list est une liste séquentielle de règles de permission et
d'interdiction portant sur les protocoles réseaux (ip, tcp …)– Chaque paquet est examiné et fonction de sa source, de sa destination, de son type, des
ports, il est soit retransmis,soit éliminé par le routeur
– Séquentielle => • Permettre avant d'interdire :-)• Mettre le + en tête de liste possible les paquets les + fréquemment trouvés
– Une access-list est terminée implicitement par une interdiction totale• Exception : une access-list vide laisse tout passer
– Tout ce qui n'est pas explicitement permis est interdit
– Elle peut être utilisé pour le filtrage des paquets• En transit par le routeur (filtrage au niveau des interfaces)• D'informations de routage (venant vers ou partant du routeur)• Pour accéder au routeur ...
ARS 00/01 13
Filtrage : access-list : ListeRouter(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
...
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
ARS 00/01 14
Filtrage : access-list : Aide• Listes exhaustives des ports tcp, udp, icmp …
– ftp://ftp.isi.edu/in-notes/iana/assignments/ports-numbers
• Liste réduite dans /etc/services :
...
ftp-data 20/tcp # File Transfer Protocol (Data)
ftp 21/tcp # File Transfer Protocol (Control)
telnet 23/tcp # Virtual Terminal Protocol
smtp 25/tcp # Simple Mail Transfer Protocol
whois 43/tcp nicname # Who Is
domain 53/tcp nameserver # Domain Name Service
domain 53/udp nameserver #
tftp 69/udp # Trivial File Transfer Protocol
finger 79/tcp # Finger
http 80/tcp www # World Wide Web HTTP...
ARS 00/01 15
Access-list ip simple
• 1 ≤ N° ≤ 99 (source seulement)Router(config)#access-list 1 permit | deny ?
A.B.C.D (Address to match) W.X.Y.Z (Wildcard bits)
any Any source host
host A single host address
• Exemple :
access-list 1 permit 172.16.1.2 0.0.0.1 (2 et 3)
access-list 1 permit 172.16.250.0 0.0.0.255 (0 à 255)
access-list 1 permit 192.168.5.16 0.0.0.15 (16 à 31)
access-list 1 deny any (ajouter de manière implicite)
ARS 00/01 16
Access-list IP étendue• 100 ≤ N° ≤ 199
– source et destination (+ port source et/ou destination)Router(config)#access-list 100 permit ?
ip Any Internet Protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
icmp Internet Control Message Protocol
<0-255> An IP protocol number
eigrp, ospf, igrp ... Protocole de routage
gre, ipinip Tunnel Cisco ou IP dans IP
igmp Internet Gateway Message Protocol
… (variable selon les versions d'IOS)
ARS 00/01 17
Access-list IP étendue : IP
Router(config)#access-list 100 permit ip any any ?
log Log matches against this entry
precedence Match packets with given precedence value
tos Match packets with given TOS value
<cr>
ARS 00/01 18
Access-list IP étendue : TCPRouter(config)#access-list 100 permit tcp any any ?
eq Match only packets on a given port number
neq Match only packets not on a given port number
lt Match only packets with a lower port number
gt Match only packets with a greater port number
range Match only packets in the range of port numbers
established Match established connections
precedence Match packets with given precedence value
tos Match packets with given TOS value
log Log matches against this entry
<cr>
ARS 00/01 19
Access-list IP étendue: UDPRouter(config)#access-list 100 permit udp any any ?
eq Match only packets on a given port number
neq Match only packets not on a given port number
gt Match only packets with a greater port number
lt Match only packets with a lower port number
range Match only packets in the range of port numbers
precedence Match packets with given precedence value
tos Match packets with given TOS value
log Log matches against this entry
<cr>
ARS 00/01 20
Access-list IP étendue : ICMPListe longue : ftp://ftp.isi.edu/in-notes/iana/assignments/ports-numbers
Les principales :
<0-255> ICMP message type
echo, echo-reply Echo (ping), Echo reply
host-redirect, host-unknown Host redirect, unknown
host-unreachable Host unreachable
mask-reply mask-request Mask replies, requests
source-quench contrôle de flux
time-exceeded All time exceededs
traceroute Traceroute
...
ARS 00/01 21
Filtrage : Application
• Pour une interface :interface Type N°
ip access-group N°access-list in | out
• Pour un protocole de routagerouter Type (OSPF in seulement)
distribute-list N°access-list in | out
• Pour l'accès au routeurline vty 0
access-class N°access-list in | out
RouteurOUT
IN
ARS 00/01 22
Filtrage : Exemples
access-list 100 permit tcp any any established
access-list 100 deny ip 172.25.0.0 0.0.255.255 any log (spoofing)
access-list 100 deny ip any 0.0.0.255 255.255.255.0 log (broadcast)
access-list 100 deny ip any 0.0.0.0 255.255.255.0 log (broadcast)
access-list 100 deny tcp any any range 161 162 log (snmp)
access-list 100 permit ip any host 172.25.1.215 (DMZ)
access-list 100 permit tcp any host 172.25.240.4 eq smtp (Mail)
access-list 100 deny tcp any any range 0 37 log
…
access-list 100 permit ip any any
ARS 00/01 23
Filtrage : visualisationshow access-list 100
Extended IP access list 100
deny ip 10.0.0.0 0.255.255.255 any log (973 matches)
deny ip 172.16.0.0 0.15.255.255 any log (2695 matches)
deny ip 192.168.0.0 0.0.255.255 any log (952 matches)
permit ip any any (234454800 matches)
sh access-list 1
Standard IP access list 1
deny 0.0.0.0
deny 10.0.0.0, wildcard bits 0.255.255.255
deny 172.16.0.0, wildcard bits 0.15.255.255
deny 192.168.0.0, wildcard bits 0.0.255.255
permit any
ARS 00/01 24
Commandes de lignes : 3 types– con 0 et aux 0 (console)
• speed (défaut :9600), txspeed, rxspeed
– vty (0 à 4) pour connexion distantes• exec-timeout minutes secondes
• login (demande d'un mot de passe, recommandé)
• password "mot de passe" (obligatoire à distance)
• history size 30
• transport [input | output] telnet, rlogin, lat, none, all ...
• access-class 1-99 in | out
• ip netmask-format [bitcount | decimal | hexa ]
ARS 00/01 25
Commandes de lignes : Exemplesline con 0
exec-timeout 0 0
login
password XXXX
history size 30
transport input none
transport output telnet
line aux 0
Idem con 0
line vty 0 4
access-class 98 in
exec-timeout 0 0
login
password XXXX
history size 30
transport input telnet
transport output telnet
ARS 00/01 26
Commandes globales : service
• Tout ce qui n'est pas commande d'interface, de ligne, de filtrage ou de routage
• Débute (dans le sens) de la lecture d'une configuration de cisco par les services :– service config : chargement automatique de config par le réseau
– service finger (par défaut)
– service password-encryption (recommandé, mais décryptable)
– service prompt config (par défaut)
– service timestamps [debug | log] uptime | datetime localtime
– service telnet-zero-idle (par défaut) ….
ARS 00/01 27
Commandes globales : nom & boot
• hostname Nom_Routeur (Attribué un nom au routeur)
• boot host tftp | rcp Nom_Routeur @IPServeur
• boot network tftp | rcp Nom_Routeur @IPServeur
• boot system flash slot0:gs7-j-mz.111-22.CA.bin
• boot system flash gs7-j-mz.111-20.bin
• boot system tftp | rcp Nom_Fichier @IPServeur
ARS 00/01 28
Gestion de l'IOS• copy flash tftp : sauvegarde IOS sur serveur tftp• copy tftp flash : chargement IOS par serveur tftp• Flash : bootflash, slot0 ou slot1 (PCMCIA)• format• delete : effacer un fichier de la flash• squeeze "flash:" : supprimer un fichier effacé • dir [device:] : lister les fichiers d'une flash• pwd, cd• erase device: | startup-config
ARS 00/01 29
Visualisation : IOS & boot• show version (ou show hard)Cisco Internetwork Operating System Software
IOS (tm) 7200 Software (C7200-P-M), Version 12.0(8)S, EARLY DEPLOYMENT
ROM: System Bootstrap, Version 12.0(19990210:195103) [12.0XE 105],
BOOTFLASH: 7200 Software (C7200-BOOT-M), Version 12.0(9)S,
r-jusren uptime is 2 d, 22 h, 41 m (restarted 19:53:17 MET Wed Mar 15 2000
Last reset from power-on. System image file is "slot0:c7200-p-mz.120-8.S.bin"
cisco 7206VXR (NPE300) processor with 253952K/40960K bytes of memory.
R7000 CPU at 262Mhz, Implementation 39, Rev 1.0, 256KB L2, 2048KB L3 Cache
3 FastEthernet/IEEE 802.3 interface(s), 1 ATM network interface(s)
125K bytes of non-volatile configuration memory.
16384K bytes of Flash PCMCIA card at slot 0 (Sector size 128K).
4096K bytes of Flash internal SIMM (Sector size 256K).
Configuration register is 0x102
ARS 00/01 30
Visualisation : IOS & boot• show flash [all]-#- ED --type-- --crc--- - seek-- nlen -length- ----- date/time------ name
1 .. image DCB00EEC 9B73E4 23 10056548 Mar 13 2000 09:33 c7200-js-mz_120-7T.bin
2 .. image E81D3610 EFD240 22 5529052 Mar 15 2000 19:21 c7200-p-mz.120-8S.bin
798144 bytes available (15585856 bytes used)
• show bootflash:-#- ED --type-- --crc--- -seek-- nlen -length- -----date/time------ name
1 .. image E87BFDE9 3121C8 25 2957640 Mar 13 2000 10:35 c7200-boot-mz_120-9S.bin
450104 bytes available (2957768 bytes used)
ARS 00/01 31
Gestion fichiers : Configuration tftp
• Extrait de inetd.conf...# Before uncommenting the "tftp" entry below, please make sure
# that you have a "tftp" user in /etc/passwd. If you don't
# have one, please consult the tftpd(1M) manual entry for
# information about setting up this service.
tftp dgram udp wait root /usr/lbin/tftpd tftpd...
• grep tftp /etc/passwdtftp:*:107:102:,,,:/reseau/config:/usr/bin/false
ARS 00/01 32
Commandes globales : heure• Réglage de l'heure :
– clock timezone MET 1
– clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 3:00
• Synchronisation avec serveur ntp– Direct : ntp peer @IPserveurNTP
– Par broadcast
• Interface Type N°– ntp broadcast client
• Envoie de l'heure par broadcast• Interface Type N°
– ntp broadcast
• ntp access-group [query-only | serve-only | serve | peer ] N°access-list
ServeurNTP
Rntp broadcast client
ntp broadcast
ARS 00/01 33
Visualisation : heure• show clock• show ntp statusClock is synchronized, stratum 2, reference is 134.157.254.135
nominal freq is 250.0000 Hz, actual freq is 249.9978 Hz, precision is 2**19
reference time is BC7E39B7.1F66A438 (18:21:59.122 MET Sat Mar 18 2000)
clock offset is 0.80 msec, root delay is 2.76 msec
root dispersion is 6.30 msec, peer dispersion is 1.31 msec
• show ntp associations address ref clock st when poll reach delay offset disp
*~134.157.254.135 .TDF . 1 29 64 377 2.8 0.80 1.2
+ 134.157.254.132 192.93.2.20 2 26 64 377 3.0 0.99 0.0
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
ARS 00/01 34
Commandes globales IP• ip source-route : (défaut) accepte paquet avec source routing• ip subnet-zero : permet l'utilisation du 1ier réseau• ip host toto @IP-toto (≈ /etc/hosts)• ip name-server @IP-DNS-1 @IP-DNS-2 ...• ip domain-name : pour complémenter les noms (1)• ip domain-list : pour complémenter les noms (2)• ip accounting-threshold Seuil : Nombre d'entrée dans la table• ip accounting-list @IP Masque : limiter les accountings• Applications des accountings :
– ip accounting (commande d'interface)– ip accounting access-violations
ARS 00/01 35
Visualisation accounting• Cisco # show ip accounting [access-violations]
Source Destination Packets Bytes ACL
172.16.0.109 134.157.81.155 7 10500 100
172.16.0.112 134.157.81.141 7 10500 100
192.168.15.1 134.157.95.8 10 400 100
192.168.16.2 134.157.95.10 10 400 100
…
• Effacement avec :– clear ip accounting
ARS 00/01 36
Commandes de log• Router(config)#logging ?A.B.C.D IP address of the logging host
facility Facility parameter for syslog messages
buffered Set buffered logging parameters
• réglages des niveaux par récepteur :
console Set console logging level
monitor Set terminal line (monitor) logging level
trap Set syslog server logging level
source-interface Specify interface for source address in logging transactions
ARS 00/01 37
Commandes de log : Niveaux• Router (config)#logging trap ?
alerts Immediate action needed
critical Critical conditions
debugging Debugging messages
emergencies System is unusable
errors Error conditions
informational Informational messages
notifications Normal but significant conditions
warnings Warning conditions
ARS 00/01 38
Commandes de log : syslogd• Router(config)#logging facility local X (7 par défaut)
# syslogd configuration file.
mail.debug /var/adm/syslog/mail.log
daemon.info;mail.none /var/adm/syslog/syslog.log...# Accès gatorbox
local1.warning /reseau/syslog/gatorbox.log
# Accès Fore
local2.notice /reseau/syslog/fore.log
# Accès Log Routeur de sortie
local3.debug /reseau/syslog/jusren.log
# Accès des CISCO (Commutateurs et routeurs)
local7.debug /reseau/syslog/cisco.log
ARS 00/01 39
Commandes de routage
• Exemple avec RIP :router rip
version 2
network 172.16.0.0
passive-interface ethernet 1
distribute-list 1 in ethernet 1
distribute-list 2 in ethernet 0
ARS 00/01 40
Routage avec redistribution (1)
• Redistribution mutuelle : router ospf 1
redistribute rip metric 2 subnets
network 172.16.0.0 0.0.255.255 area 1
router rip
redistribute ospf 1 metric 2
network 172.16.0.0
ARS 00/01 41
Routage avec redistribution (2)router eigrp 1307
redistribute rip
passive-interface Vlan68
network 134.157.0.0
network 132.227.0.0
default-metric 100000 100 255 1 1500
distribute-list 2 in Vlan68
….
router rip
passive-interface Vlan68
network 134.157.0.0
network 132.227.0.0
distribute-list 2 in Vlan68
….
access-list 2 deny any
• Routage principal en eigrp
• Routage local en rip– Écoute seule
– Redistribution des routes RIP dans EIGRP => pas de redistribution de l'eigrp dans le RIP
– Les machines faisant des annonces RIP doivent posséder une route par défaut pour communiquer avec le monde extérieur
ARS 00/01 42
Routage / Filtrage
• Une autre manière efficace pour faire du filtrage :
ip route @IP_réseau Masque_réseau Destination
ip route 10.0.0.0 255.0.0.0 Null0
ip route 172.16.0.0 255.240.0.0 Null0
ip route 192.168.0.0 255.255.0.0 Null0
ARS 00/01 43
Routage par la source
route-map Transparent-Proxy
match ip address N°access-list
set ip next-hop @IP_ Transparent-Proxy
! Attachement direct
access-list X deny ip host @IP-cache_www1 any
access-list X deny ip host @IP-cache_www2 any
! Les autres machines
access-list X permit tcp 192.168.1.0 0.0.0.255 any eq www
TransparentProxy
RD
Internet
Site
RO
ARS 00/01 44
Routage par la source : Exemple 2 (1)
Internet
Site1Réseau A
Site2Réseau A & B
Tunnel
ARS 00/01 45
Routage par la source : Exemple 2 (2)
• Site 1 (Réseau IP A seul)interface Tunnel N°
description Tunnel GRE vers cisco distant
ip unnumbered Type N°
bandwidth 256
tunnel source @IP_cisco1
tunnel destination @IP_cisco2_distant
ARS 00/01 46
Routage par la source : Exemple 2 (3)• Site 2 (Réseau B et une partie de A) interface Tunnel X
description Tunnel GRE vers cisco distant
ip unnumbered Ethernet3
tunnel source @IP_cisco2
tunnel destination @IP_cisco1_distant
route-map SITE1
match ip address N
set interface Tunnel X
set ip next-hop @IP_ cisco1
access-list N permit Partie_Réseau_A_sur_Site2
ip route Reste_Réseau_A @IP_Routeur_Défaut
ARS 00/01 47
Éxecutable
• Avec possibilité de spécifier l'adresse source pour tests– ping
– traceroute
• telnet, rlogin, rsh• systat (≈ who)• reload• exit, quit
ARS 00/01 48
Management
• Par station de management :snmp-server community public RO 99
access-list 99 permit @IP
• show processes cpu
CPU utilization for 5 seconds: 9%; 1 minute: 10%; 5 minutes: 11%
• show processes memoryTotal: 7143292, Used: 2895044, Free: 4248248
ARS 00/01 49
Mode debug• Par la console (monitor)
• Par telnet (terminal monitor (visualisation du debug))
• debug ? (La liste est très longue)
• Exemple : debug ip ripRIP: received update from 134.157.254.249 on Ethernet0
134.157.24.0 in 1 hops
RIP: sending update to 134.157.254.255 via Ethernet0 (134.157.254.205)
subnet 134.157.133.128, metric 1
subnet 134.157.133.0, metric 1
undebug all (u all)
All possible debugging has been turned off
