Introduction routeur Cisco

Présentation au sujet: "Introduction routeur Cisco"— Transcription de la présentation:

1 Introduction routeur Cisco
Création : Christian Hascoët (CCR) ARS 00/01

2 Plan Les principales commandes pour la configuration d'un routeur cisco : Commandes d'interfaces Filtrage Commandes globales Commandes de routages (voir cours correspondant) Commandes de lignes (console, vty) Commandes d'exécution : visualisation, debug ... ARS 00/01

3 Configuration : synoptique
Commandes globales : Services, DNS, NTP, IOS, Log, statistiques, personnalisation ... Interface Type N° Configuration de l'interface Routage : protocole, routes statiques … Filtrage : sécurité, routage, accès au routeur Commande de ligne : console, vty 0 à 4 Ligne X : Configuration de la ligne X ARS 00/01

4 Configuration : vue d'ensemble
show running-config ou show startup-config Commande globales service, personnalisation, ntp, IOS, boot interface Type N°1 configuration interface Type N°1 interface Type N°2 configuration interface Type N° …... router Type R configuration protocole de routage (router) Type R ≈ /etc/hosts, routes statiques Gestion des logs, snmp Filtrage : access-lists Commande de lignes : line con 0, line aux 0, line vty 0 4 ARS 00/01

5 --- System Configuration Dialog ---
Initialisation Boot du routeur …. --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[ ]'. Would you like to enter the initial configuration dialog? [yes]: First, would you like to see the current interface summary? [yes]: n Configuring global parameters: Enter host name [Router]: … Would you like to terminate autoinstall? [yes]: yes ARS 00/01

6 Configuration par console
Liaison série 9600 par défaut (RJ45,DB25) Prompt par défaut Router> Passage en super-utilisateur : enable Pas de mot de passe par défaut Prompt par défaut Router# Obligatoire pour la configuration et pour la visualisation de la configuration Accès au mode configuration Configure terminal : Router(config)# ARS 00/01

7 Configuration par console
Mise en place du mot de passe "enable" Commande globale enable-password toto + service password-encryption ==> enable-password DA64BEA091222 A remplacer par enable secret 5 1$k1p6$i4wqEzO90/L22Ejd2r0DT1 ARS 00/01

8 Configuration des interfaces
C'est la base de la configuration du routeur : Passage à la configuration d'une interface : interface type N° Exemple : interface ethernet 0 (Router(config-if)#) On peut y spécifier principalement l'adressage, mais aussi le filtrage, le type d'encapsulation, la gestion des files d'attente … Rq : pour remonter dans l'arborescence exit pour remonter d'1 niveau, retour au mode commande : end ou ctrl Z ARS 00/01

9 Visualisation : Configuration ethernet
interface Ethernet0 description Nom Réseau, Administrateur, , téléphone ip address A.B.C.D Masque (secondary) ip broadcast-address A.B.C.X (Défaut : ) ip access-group 100 in ip access-group 110 out no ip redirects no ip proxy-arp ip accounting ip accounting access-violations ARS 00/01

10 Visualisation : Configuration série
interface Serial0 description LS 64K vers XXXX bandwidth 64 ip unnumbered Type N° no ip route-cache no fair-queue down-when-looped ARS 00/01

11 Visualisation : Configuration tunnel
Le tunnel permet d' "oublier" la topologie existante interface tunnel X description Tunnel GRE vers cisco distant ip unnumbered Type N° bandwidth 256 tunnel source "une adresse IP du routeur *" tunnel destination "routeur distant" tunnel mode** gre ip (par défaut cisco <-> cisco) * en général, la plus proche du routeur distant ** mode principaux disponibles : aurp, cayman, dvmrp, ipip ... Réseau IP2 avec sous-réseau(x) IP1 Réseau IP1 tunnel Internet ARS 00/01

12 Filtrage : access-list : Principe
Une access-list est une liste séquentielle de règles de permission et d'interdiction portant sur les protocoles réseaux (ip, tcp …) Chaque paquet est examiné et fonction de sa source, de sa destination, de son type, des ports, il est soit retransmis,soit éliminé par le routeur Séquentielle => Permettre avant d'interdire :-) Mettre le + en tête de liste possible les paquets les + fréquemment trouvés Une access-list est terminée implicitement par une interdiction totale Exception : une access-list vide laisse tout passer Tout ce qui n'est pas explicitement permis est interdit Elle peut être utilisé pour le filtrage des paquets En transit par le routeur (filtrage au niveau des interfaces) D'informations de routage (venant vers ou partant du routeur) Pour accéder au routeur ... ARS 00/01

13 Filtrage : access-list : Liste
Router(config)#access-list ? <1-99> IP standard access list < > IP extended access list ... < > Appletalk access list < > bit MAC address access list < > IPX standard access list < > IPX extended access list < > IPX SAP access list < > Extended 48-bit MAC address access list < > IPX summary address access list ARS 00/01

14 Filtrage : access-list : Aide
Listes exhaustives des ports tcp, udp, icmp … ftp://ftp.isi.edu/in-notes/iana/assignments/ports-numbers Liste réduite dans /etc/services : ... ftp-data 20/tcp # File Transfer Protocol (Data) ftp /tcp # File Transfer Protocol (Control) telnet /tcp # Virtual Terminal Protocol smtp /tcp # Simple Mail Transfer Protocol whois /tcp nicname # Who Is domain 53/tcp nameserver # Domain Name Service domain 53/udp nameserver # tftp /udp # Trivial File Transfer Protocol finger /tcp # Finger http /tcp www # World Wide Web HTTP ARS 00/01

15 Access-list ip simple 1 ≤ N° ≤ 99 (source seulement)
Router(config)#access-list 1 permit | deny ? A.B.C.D (Address to match) W.X.Y.Z (Wildcard bits) any Any source host host A single host address Exemple : access-list 1 permit (2 et 3) access-list 1 permit (0 à 255) access-list 1 permit (16 à 31) access-list 1 deny any (ajouter de manière implicite) ARS 00/01

16 Access-list IP étendue
source et destination (+ port source et/ou destination) Router(config)#access-list 100 permit ? ip Any Internet Protocol tcp Transmission Control Protocol udp User Datagram Protocol icmp Internet Control Message Protocol <0-255> An IP protocol number eigrp, ospf, igrp ... Protocole de routage gre, ipinip Tunnel Cisco ou IP dans IP igmp Internet Gateway Message Protocol … (variable selon les versions d'IOS) ARS 00/01

17 Access-list IP étendue : IP
Router(config)#access-list 100 permit ip any any ? log Log matches against this entry precedence Match packets with given precedence value tos Match packets with given TOS value <cr> ARS 00/01

18 Access-list IP étendue : TCP
Router(config)#access-list 100 permit tcp any any ? eq Match only packets on a given port number neq Match only packets not on a given port number lt Match only packets with a lower port number gt Match only packets with a greater port number range Match only packets in the range of port numbers established Match established connections precedence Match packets with given precedence value tos Match packets with given TOS value log Log matches against this entry <cr> ARS 00/01

19 Access-list IP étendue: UDP
Router(config)#access-list 100 permit udp any any ? eq Match only packets on a given port number neq Match only packets not on a given port number gt Match only packets with a greater port number lt Match only packets with a lower port number range Match only packets in the range of port numbers precedence Match packets with given precedence value tos Match packets with given TOS value log Log matches against this entry <cr> ARS 00/01

20 Access-list IP étendue : ICMP
Liste longue : ftp://ftp.isi.edu/in-notes/iana/assignments/ports-numbers Les principales : <0-255> ICMP message type echo, echo-reply Echo (ping), Echo reply host-redirect, host-unknown Host redirect, unknown host-unreachable Host unreachable mask-reply mask-request Mask replies, requests source-quench contrôle de flux time-exceeded All time exceededs traceroute Traceroute ... ARS 00/01

21 Filtrage : Application
Pour une interface : interface Type N° ip access-group N°access-list in | out Pour un protocole de routage router Type (OSPF in seulement) distribute-list N°access-list in | out Pour l'accès au routeur line vty 0 access-class N°access-list in | out Routeur OUT IN ARS 00/01

22 Filtrage : Exemples access-list 100 permit tcp any any established
access-list 100 deny ip any log (spoofing) access-list 100 deny ip any log (broadcast) access-list 100 deny ip any log (broadcast) access-list 100 deny tcp any any range log (snmp) access-list 100 permit ip any host (DMZ) access-list 100 permit tcp any host eq smtp (Mail) access-list 100 deny tcp any any range 0 37 log … access-list 100 permit ip any any ARS 00/01

23 Filtrage : visualisation
show access-list 100 Extended IP access list 100 deny ip any log (973 matches) deny ip any log (2695 matches) deny ip any log (952 matches) permit ip any any ( matches) sh access-list 1 Standard IP access list 1 deny deny , wildcard bits deny , wildcard bits deny , wildcard bits permit any ARS 00/01

24 Commandes de lignes : 3 types
con 0 et aux 0 (console) speed (défaut :9600), txspeed, rxspeed vty (0 à 4) pour connexion distantes exec-timeout minutes secondes login (demande d'un mot de passe, recommandé) password "mot de passe" (obligatoire à distance) history size 30 transport [input | output] telnet, rlogin, lat, none, all ... access-class 1-99 in | out ip netmask-format [bitcount | decimal | hexa ] ARS 00/01

25 Commandes de lignes : Exemples
line con 0 exec-timeout 0 0 login password XXXX history size 30 transport input none transport output telnet line aux 0 Idem con 0 line vty 0 4 access-class 98 in exec-timeout 0 0 login password XXXX history size 30 transport input telnet transport output telnet ARS 00/01

26 Commandes globales : service
Tout ce qui n'est pas commande d'interface, de ligne, de filtrage ou de routage Débute (dans le sens) de la lecture d'une configuration de cisco par les services : service config : chargement automatique de config par le réseau service finger (par défaut) service password-encryption (recommandé, mais décryptable) service prompt config (par défaut) service timestamps [debug | log] uptime | datetime localtime service telnet-zero-idle (par défaut) …. ARS 00/01

27 Commandes globales : nom & boot
hostname Nom_Routeur (Attribué un nom au routeur) boot host tftp | rcp boot network tftp | rcp boot system flash slot0:gs7-j-mz CA.bin boot system flash gs7-j-mz bin boot system tftp | rcp ARS 00/01

28 Gestion de l'IOS copy flash tftp : sauvegarde IOS sur serveur tftp
copy tftp flash : chargement IOS par serveur tftp Flash : bootflash, slot0 ou slot1 (PCMCIA) format delete : effacer un fichier de la flash squeeze "flash:" : supprimer un fichier effacé dir [device:] : lister les fichiers d'une flash pwd, cd erase device: | startup-config ARS 00/01

29 Visualisation : IOS & boot
show version (ou show hard) Cisco Internetwork Operating System Software IOS (tm) 7200 Software (C7200-P-M), Version 12.0(8)S, EARLY DEPLOYMENT ROM: System Bootstrap, Version 12.0( :195103) [12.0XE 105], BOOTFLASH: 7200 Software (C7200-BOOT-M), Version 12.0(9)S, r-jusren uptime is 2 d, 22 h, 41 m (restarted 19:53:17 MET Wed Mar Last reset from power-on. System image file is "slot0:c7200-p-mz S.bin" cisco 7206VXR (NPE300) processor with K/40960K bytes of memory. R7000 CPU at 262Mhz, Implementation 39, Rev 1.0, 256KB L2, 2048KB L3 Cache 3 FastEthernet/IEEE interface(s), 1 ATM network interface(s) 125K bytes of non-volatile configuration memory. 16384K bytes of Flash PCMCIA card at slot 0 (Sector size 128K). 4096K bytes of Flash internal SIMM (Sector size 256K). Configuration register is 0x102 ARS 00/01

30 Visualisation : IOS & boot
show flash [all] -#- ED --type-- --crc seek-- nlen -length date/time name image DCB00EEC 9B73E Mar :33 c7200-js-mz_120-7T.bin image E81D EFD Mar :21 c7200-p-mz.120-8S.bin bytes available ( bytes used) show bootflash: -#- ED --type-- --crc--- -seek-- nlen -length date/time name image E87BFDE C Mar :35 c7200-boot-mz_120-9S.bin bytes available ( bytes used) ARS 00/01

31 Gestion fichiers : Configuration tftp
Extrait de inetd.conf ... # Before uncommenting the "tftp" entry below, please make sure # that you have a "tftp" user in /etc/passwd. If you don't # have one, please consult the tftpd(1M) manual entry for # information about setting up this service. tftp dgram udp wait root /usr/lbin/tftpd tftpd grep tftp /etc/passwd tftp:*:107:102:,,,:/reseau/config:/usr/bin/false ARS 00/01

32 Commandes globales : heure
Réglage de l'heure : clock timezone MET 1 clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 3:00 Synchronisation avec serveur ntp Direct : ntp Par broadcast Interface Type N° ntp broadcast client Envoie de l'heure par broadcast ntp broadcast ntp access-group [query-only | serve-only | serve | peer ] N°access-list Serveur NTP R ntp broadcast client ntp broadcast Query-only : only ntp control query Serve-only : allows only time request Serve : allows time requests and ntp control queries, mais pas de synchro Peer idem precedent avec synchro posssible ARS 00/01

33 Visualisation : heure show clock show ntp status show ntp associations
Clock is synchronized, stratum 2, reference is nominal freq is Hz, actual freq is Hz, precision is 2**19 reference time is BC7E39B7.1F66A438 (18:21: MET Sat Mar ) clock offset is 0.80 msec, root delay is 2.76 msec root dispersion is 6.30 msec, peer dispersion is 1.31 msec show ntp associations address ref clock st when poll reach delay offset disp *~ TDF * master (synced), # master (unsynced), + selected, - candidate, ~ configured Query-only : only ntp control query Serve-only : allows only time request Serve : allows time requests and ntp control queries, mais pas de synchro Peer idem precedent avec synchro posssible ARS 00/01

34 Commandes globales IP ip source-route : (défaut) accepte paquet avec source routing ip subnet-zero : permet l'utilisation du 1ier réseau ip host (≈ /etc/hosts) ... ip domain-name : pour complémenter les noms (1) ip domain-list : pour complémenter les noms (2) ip accounting-threshold Seuil : Nombre d'entrée dans la table ip accounting-list @IP Masque : limiter les accountings Applications des accountings : ip accounting (commande d'interface) ip accounting access-violations ARS 00/01

35 Visualisation accounting
Cisco # show ip accounting [access-violations] Source Destination Packets Bytes ACL … Effacement avec : clear ip accounting ARS 00/01

36 Commandes de log Router(config)#logging ?
A.B.C.D IP address of the logging host facility Facility parameter for syslog messages buffered Set buffered logging parameters réglages des niveaux par récepteur : console Set console logging level monitor Set terminal line (monitor) logging level trap Set syslog server logging level source-interface Specify interface for source address in logging transactions ARS 00/01

37 Commandes de log : Niveaux
Router (config)#logging trap ? alerts Immediate action needed critical Critical conditions debugging Debugging messages emergencies System is unusable errors Error conditions informational Informational messages notifications Normal but significant conditions warnings Warning conditions ARS 00/01

38 Commandes de log : syslogd
Router(config)#logging facility local X (7 par défaut) # syslogd configuration file. mail.debug /var/adm/syslog/mail.log daemon.info;mail.none /var/adm/syslog/syslog.log ... # Accès gatorbox local1.warning /reseau/syslog/gatorbox.log # Accès Fore local2.notice /reseau/syslog/fore.log # Accès Log Routeur de sortie local3.debug /reseau/syslog/jusren.log # Accès des CISCO (Commutateurs et routeurs) local7.debug /reseau/syslog/cisco.log ARS 00/01

39 Commandes de routage Exemple avec RIP : router rip version 2
network passive-interface ethernet 1 distribute-list 1 in ethernet 1 distribute-list 2 in ethernet 0 ARS 00/01

40 Routage avec redistribution (1)
Redistribution mutuelle : router ospf 1 redistribute rip metric 2 subnets network area 1 router rip redistribute ospf 1 metric 2 network ARS 00/01

41 Routage avec redistribution (2)
router eigrp 1307 redistribute rip passive-interface Vlan68 network network default-metric distribute-list 2 in Vlan68 …. router rip access-list 2 deny any Routage principal en eigrp Routage local en rip Écoute seule Redistribution des routes RIP dans EIGRP => pas de redistribution de l'eigrp dans le RIP Les machines faisant des annonces RIP doivent posséder une route par défaut pour communiquer avec le monde extérieur ARS 00/01

42 Routage / Filtrage Une autre manière efficace pour faire du filtrage :
ip Masque_réseau Destination ip route Null0 ip route Null0 ip route Null0 ARS 00/01

43 Routage par la source route-map Transparent-Proxy
RD Internet Site RO route-map Transparent-Proxy match ip address N°access-list set ip Transparent-Proxy ! Attachement direct access-list X deny ip any access-list X deny ip any ! Les autres machines access-list X permit tcp any eq www ARS 00/01

44 Routage par la source : Exemple 2 (1)
Internet Site1 Réseau A Site2 Réseau A & B Tunnel ARS 00/01

45 Routage par la source : Exemple 2 (2)
Site 1 (Réseau IP A seul) interface Tunnel N° description Tunnel GRE vers cisco distant ip unnumbered Type N° bandwidth 256 tunnel tunnel ARS 00/01

46 Routage par la source : Exemple 2 (3)
Site 2 (Réseau B et une partie de A) interface Tunnel X description Tunnel GRE vers cisco distant ip unnumbered Ethernet3 tunnel tunnel route-map SITE1 match ip address N set interface Tunnel X set ip cisco1 access-list N permit Partie_Réseau_A_sur_Site2 ip route ARS 00/01

47 Éxecutable Avec possibilité de spécifier l'adresse source pour tests
ping traceroute telnet, rlogin, rsh systat (≈ who) reload exit, quit ARS 00/01

48 Management Par station de management : show processes cpu
snmp-server community public RO 99 access-list 99 show processes cpu CPU utilization for 5 seconds: 9%; 1 minute: 10%; 5 minutes: 11% show processes memory Total: , Used: , Free: ARS 00/01

49 Mode debug Par la console (monitor)
Par telnet (terminal monitor (visualisation du debug)) debug ? (La liste est très longue) Exemple : debug ip rip RIP: received update from on Ethernet0 in 1 hops RIP: sending update to via Ethernet0 ( ) subnet , metric 1 subnet , metric 1 undebug all (u all) All possible debugging has been turned off ARS 00/01