Introduction routeur Cisco

1
Introduction routeur Cisco

• Création
• 2000-2001 Christian Hascoët (CCR)

2
Plan

• Les principales commandes pour la configuration
  d'un routeur cisco
• Commandes d'interfaces
• Filtrage
• Commandes globales
• Commandes de routages (voir cours correspondant)
• Commandes de lignes (console, vty)
• Commandes d'exécution visualisation, debug ...

3
Configuration synoptique

• Commandes globales
• Services, DNS, NTP, IOS, Log, statistiques,
  personnalisation ...
• Interface Type N
• Configuration de l'interface
• Routage protocole, routes statiques
• Filtrage sécurité, routage, accès au routeur
• Commande de ligne console, vty 0 à 4
• Ligne X Configuration de la ligne X

4
Configuration vue d'ensemble

• show running-config ou show startup-config
• Commande globales
• service, personnalisation, ntp, IOS, boot
• interface Type N1
• configuration interface Type N1
• interface Type N2
• configuration interface Type N2 ...
• router Type R
• configuration protocole de routage (router) Type
  R
• /etc/hosts, routes statiques
• Gestion des logs, snmp
• Filtrage access-lists
• Commande de lignes line con 0, line aux 0, line
  vty 0 4

5
Initialisation

• Boot du routeur .
• --- System Configuration Dialog ---
• At any point you may enter a question mark '?'
  for help.
• Use ctrl-c to abort configuration dialog at any
  prompt.
• Default settings are in square brackets ' '.
• Would you like to enter the initial configuration
  dialog? yes
• First, would you like to see the current
  interface summary? yes n
• Configuring global parameters
• Enter host name Router
• Would you like to terminate autoinstall? yes
  yes

6
Configuration par console

• Liaison série 9600 par défaut (RJ45,DB25)
• Prompt par défaut Routergt
• Passage en super-utilisateur enable
• Pas de mot de passe par défaut
• Prompt par défaut Router
• Obligatoire pour la configuration et pour la
  visualisation de la configuration
• Accès au mode configuration
• Configure terminal Router(config)

7
Configuration par console

• Mise en place du mot de passe "enable"
• Commande globale
• enable-password toto
• service password-encryption gt
• enable-password 7 01324DA64BEA091222
• A remplacer par
• enable secret 5 1k1p6i4wqEzO90/L22Ejd2r0DT1

8
Configuration des interfaces

• C'est la base de la configuration du routeur
• Passage à la configuration d'une interface
• interface type N
• Exemple interface ethernet 0 (Router(config-if)
  )
• On peut y spécifier principalement l'adressage,
  mais aussi le filtrage, le type d'encapsulation,
  la gestion des files d'attente
• Rq pour remonter dans l'arborescence
• exit pour remonter d'1 niveau,
• retour au mode commande end ou ctrl Z

9
Visualisation Configuration ethernet

• interface Ethernet0
• description Nom Réseau, Administrateur, e-mail,
  téléphone
• ip address A.B.C.D Masque (secondary)
• ip broadcast-address A.B.C.X (Défaut
  255.255.255.255)
• ip access-group 100 in
• ip access-group 110 out
• no ip redirects
• no ip proxy-arp
• ip accounting
• ip accounting access-violations

10
Visualisation Configuration série

• interface Serial0
• description LS 64K vers XXXX
• bandwidth 64
• ip unnumbered Type N
• no ip route-cache
• no fair-queue
• down-when-looped

11
Visualisation Configuration tunnel

• Le tunnel permet d' "oublier" la topologie
  existante
• interface tunnel X
• description Tunnel GRE vers cisco distant
• ip unnumbered Type N
• bandwidth 256
• tunnel source "une adresse IP du routeur "
• tunnel destination "routeur distant"
• tunnel mode gre ip (par défaut cisco lt-gt
  cisco)
• en général, la plus proche du routeur distant
  
• mode principaux disponibles aurp, cayman,
  dvmrp, ipip ...

Réseau IP2 avec sous-réseau(x) IP1
Réseau IP1
tunnel
Internet
12
Filtrage access-list Principe

• Une access-list est une liste séquentielle de
  règles de permission et d'interdiction portant
  sur les protocoles réseaux (ip, tcp )
• Chaque paquet est examiné et fonction de sa
  source, de sa destination, de son type, des
  ports, il est soit retransmis,soit éliminé par le
  routeur
• Séquentielle gt
• Permettre avant d'interdire -)
• Mettre le en tête de liste possible les paquets
  les fréquemment trouvés
• Une access-list est terminée implicitement par
  une interdiction totale
• Exception une access-list vide laisse tout
  passer
• Tout ce qui n'est pas explicitement permis est
  interdit
• Elle peut être utilisé pour le filtrage des
  paquets
• En transit par le routeur (filtrage au niveau des
  interfaces)
• D'informations de routage (venant vers ou partant
  du routeur)
• Pour accéder au routeur ...

13
Filtrage access-list Liste

• Router(config)access-list ?
• lt1-99gt IP standard access list
• lt100-199gt IP extended access list
• ...
• lt600-699gt Appletalk access list
• lt700-799gt 48-bit MAC address access list
• lt800-899gt IPX standard access list
• lt900-999gt IPX extended access list
• lt1000-1099gt IPX SAP access list
• lt1100-1199gt Extended 48-bit MAC address access
  list
• lt1200-1299gt IPX summary address access list

14
Filtrage access-list Aide

• Listes exhaustives des ports tcp, udp, icmp
• ftp//ftp.isi.edu/in-notes/iana/assignments/ports-
  numbers
• Liste réduite dans /etc/services
• ...
• ftp-data 20/tcp File
  Transfer Protocol (Data)
• ftp 21/tcp File
  Transfer Protocol (Control)
• telnet 23/tcp Virtual
  Terminal Protocol
• smtp 25/tcp Simple Mail
  Transfer Protocol
• whois 43/tcp nicname Who Is
• domain 53/tcp nameserver Domain Name
  Service
• domain 53/udp nameserver
• tftp 69/udp Trivial
  File Transfer Protocol
• finger 79/tcp Finger
• http 80/tcp www World Wide
  Web HTTP
• ...

15
Access-list ip simple

• 1 N 99 (source seulement)
• Router(config)access-list 1 permit deny ?
• A.B.C.D (Address to match) W.X.Y.Z (Wildcard
  bits)
• any Any source host
• host A single host address
• Exemple
• access-list 1 permit 172.16.1.2 0.0.0.1 (2 et 3)
• access-list 1 permit 172.16.250.0 0.0.0.255 (0 à
  255)
• access-list 1 permit 192.168.5.16 0.0.0.15 (16
  à 31)
• access-list 1 deny any (ajouter de manière
  implicite)

16
Access-list IP étendue

• 100 N 199
• source et destination ( port source et/ou
  destination)
• Router(config)access-list 100 permit ?
• ip Any Internet Protocol
• tcp Transmission Control Protocol
• udp User Datagram Protocol
• icmp Internet Control Message Protocol
• lt0-255gt An IP protocol number
• eigrp, ospf, igrp ... Protocole de routage
• gre, ipinip Tunnel Cisco ou IP dans IP
• igmp Internet Gateway Message Protocol
• (variable selon les versions d'IOS)

17
Access-list IP étendue IP

• Router(config)access-list 100 permit ip any any
  ?
• log Log matches against this entry
• precedence Match packets with given precedence
  value
• tos Match packets with given TOS value
• ltcrgt

18
Access-list IP étendue TCP

• Router(config)access-list 100 permit tcp any any
  ?
• eq Match only packets on a given port number
• neq Match only packets not on a given port
  number
• lt Match only packets with a lower port
  number
• gt Match only packets with a greater port
  number
• range Match only packets in the range of port
  numbers
• established Match established connections
• precedence Match packets with given precedence
  value
• tos Match packets with given TOS
  value
• log Log matches against this entry
• ltcrgt

19
Access-list IP étendue UDP

• Router(config)access-list 100 permit udp any any
  ?
• eq Match only packets on a given port number
• neq Match only packets not on a given port
  number
• gt Match only packets with a greater port
  number
• lt Match only packets with a lower port
  number
• range Match only packets in the range
  of port numbers
• precedence Match packets with given precedence
  value
• tos Match packets with given TOS value
• log Log matches against this entry
• ltcrgt

20
Access-list IP étendue ICMP

• Liste longue ftp//ftp.isi.edu/in-notes/iana/ass
  ignments/ports-numbers
• Les principales
• lt0-255gt ICMP message
  type
• echo, echo-reply Echo (ping), Echo reply
• host-redirect, host-unknown Host redirect,
  unknown
• host-unreachable Host unreachable
• mask-reply mask-request Mask replies,
  requests
• source-quench contrôle de flux
• time-exceeded All time
  exceededs
• traceroute Traceroute
• ...

21
Filtrage Application

• Pour une interface
• interface Type N
• ip access-group Naccess-list in out
• Pour un protocole de routage
• router Type (OSPF in seulement)
• distribute-list Naccess-list in out
• Pour l'accès au routeur
• line vty 0
• access-class Naccess-list in out

22
Filtrage Exemples

• access-list 100 permit tcp any any established
• access-list 100 deny ip 172.25.0.0 0.0.255.255
  any log (spoofing)
• access-list 100 deny ip any 0.0.0.255
  255.255.255.0 log (broadcast)
• access-list 100 deny ip any 0.0.0.0
  255.255.255.0 log (broadcast)
• access-list 100 deny tcp any any range 161 162
  log (snmp)
• access-list 100 permit ip any host
  172.25.1.215 (DMZ)
• access-list 100 permit tcp any host 172.25.240.4
  eq smtp (Mail)
• access-list 100 deny tcp any any range 0 37
  log
• access-list 100 permit ip any any

23
Filtrage visualisation

• show access-list 100
• Extended IP access list 100
• deny ip 10.0.0.0 0.255.255.255 any log (973
  matches)
• deny ip 172.16.0.0 0.15.255.255 any log
  (2695 matches)
• deny ip 192.168.0.0 0.0.255.255 any log
  (952 matches)
• permit ip any any (234454800 matches)
• sh access-list 1
• Standard IP access list 1
• deny 0.0.0.0
• deny 10.0.0.0, wildcard bits 0.255.255.255
• deny 172.16.0.0, wildcard bits 0.15.255.255
• deny 192.168.0.0, wildcard bits 0.0.255.255
• permit any

24
Commandes de lignes 3 types

• con 0 et aux 0 (console)
• speed (défaut 9600), txspeed, rxspeed
• vty (0 à 4) pour connexion distantes
• exec-timeout minutes secondes
• login (demande d'un mot de passe, recommandé)
• password "mot de passe" (obligatoire à distance)
• history size 30
• transport input output telnet, rlogin, lat,
  none, all ...
• access-class 1-99 in out
• ip netmask-format bitcount decimal hexa

25
Commandes de lignes Exemples

• line con 0
• exec-timeout 0 0
• login
• password XXXX
• history size 30
• transport input none
• transport output telnet
• line aux 0
• Idem con 0

line vty 0 4 access-class 98 in exec-timeout 0
0 login password XXXX history size 30
transport input telnet transport output telnet
26
Commandes globales service

• Tout ce qui n'est pas commande d'interface, de
  ligne, de filtrage ou de routage
• Débute (dans le sens) de la lecture d'une
  configuration de cisco par les services
• service config chargement automatique de config
  par le réseau
• service finger (par défaut)
• service password-encryption (recommandé, mais
  décryptable)
• service prompt config (par défaut)
• service timestamps debug log uptime
  datetime localtime
• service telnet-zero-idle (par défaut) .

27
Commandes globales nom boot

• hostname Nom_Routeur (Attribué un nom au routeur)
• boot host tftp rcp Nom_Routeur _at_IPServeur
• boot network tftp rcp Nom_Routeur _at_IPServeur
• boot system flash slot0gs7-j-mz.111-22.CA.bin
• boot system flash gs7-j-mz.111-20.bin
• boot system tftp rcp Nom_Fichier _at_IPServeur

28
Gestion de l'IOS

• copy flash tftp sauvegarde IOS sur serveur tftp
• copy tftp flash chargement IOS par serveur tftp
• Flash bootflash, slot0 ou slot1 (PCMCIA)
• format
• delete effacer un fichier de la flash
• squeeze "flash" supprimer un fichier effacé
• dir device lister les fichiers d'une flash
• pwd, cd
• erase device startup-config

29
Visualisation IOS boot

• show version (ou show hard)
• Cisco Internetwork Operating System Software
• IOS (tm) 7200 Software (C7200-P-M), Version
  12.0(8)S, EARLY DEPLOYMENT
• ROM System Bootstrap, Version 12.0(1999021019510
  3) 12.0XE 105,
• BOOTFLASH 7200 Software (C7200-BOOT-M), Version
  12.0(9)S,
• r-jusren uptime is 2 d, 22 h, 41 m (restarted
  195317 MET Wed Mar 15 2000
• Last reset from power-on. System image file is
  "slot0c7200-p-mz.120-8.S.bin"
• cisco 7206VXR (NPE300) processor with
  253952K/40960K bytes of memory.
• R7000 CPU at 262Mhz, Implementation 39, Rev 1.0,
  256KB L2, 2048KB L3 Cache
• 3 FastEthernet/IEEE 802.3 interface(s), 1 ATM
  network interface(s)
• 125K bytes of non-volatile configuration memory.
• 16384K bytes of Flash PCMCIA card at slot 0
  (Sector size 128K).
• 4096K bytes of Flash internal SIMM (Sector size
  256K).
• Configuration register is 0x102

30
Visualisation IOS boot

• show flash all
• -- ED --type-- --crc--- - seek-- nlen
  -length- ----- date/time------ name
• 1 .. image DCB00EEC 9B73E4 23 10056548
  Mar 13 2000 0933 c7200-js-mz_120-7T.bin
• 2 .. image E81D3610 EFD240 22 5529052
  Mar 15 2000 1921 c7200-p-mz.120-8S.bin
• 798144 bytes available (15585856 bytes used)
• show bootflash
• -- ED --type-- --crc--- -seek-- nlen -length-
  -----date/time------ name
• 1 .. image E87BFDE9 3121C8 25 2957640
  Mar 13 2000 1035 c7200-boot-mz_120-9S.bin
• 450104 bytes available (2957768 bytes used)

31
Gestion fichiers Configuration tftp

• Extrait de inetd.conf
• ...
• Before uncommenting the "tftp" entry below,
  please make sure
• that you have a "tftp" user in /etc/passwd. If
  you don't
• have one, please consult the tftpd(1M) manual
  entry for
• information about setting up this service.
• tftp dgram udp wait root
  /usr/lbin/tftpd tftpd
• ...
• grep tftp /etc/passwd
• tftp107102,,,/reseau/config/usr/bin/false

32
Commandes globales heure

• Réglage de l'heure
• clock timezone MET 1
• clock summer-time MET-DST recurring last Sun Mar
  200 last Sun Oct 300
• Synchronisation avec serveur ntp
• Direct ntp peer _at_IPserveurNTP
• Par broadcast
• Interface Type N
• ntp broadcast client
• Envoie de l'heure par broadcast
• Interface Type N
• ntp broadcast
• ntp access-group query-only serve-only serve
  peer Naccess-list

33
Visualisation heure

• show clock
• show ntp status
• Clock is synchronized, stratum 2, reference is
  134.157.254.135
• nominal freq is 250.0000 Hz, actual freq is
  249.9978 Hz, precision is 219
• reference time is BC7E39B7.1F66A438 (182159.122
  MET Sat Mar 18 2000)
• clock offset is 0.80 msec, root delay is 2.76
  msec
• root dispersion is 6.30 msec, peer dispersion is
  1.31 msec
• show ntp associations
• address ref clock st
  when poll reach delay offset disp
• 134.157.254.135 .TDF . 1 29
  64 377 2.8 0.80 1.2
• 134.157.254.132 192.93.2.20 2 26
  64 377 3.0 0.99 0.0
• master (synced), master (unsynced),
  selected, - candidate, configured

34
Commandes globales IP

• ip source-route (défaut) accepte paquet avec
  source routing
• ip subnet-zero permet l'utilisation du 1ier
  réseau
• ip host toto _at_IP-toto ( /etc/hosts)
• ip name-server _at_IP-DNS-1 _at_IP-DNS-2 ...
• ip domain-name pour complémenter les noms (1)
• ip domain-list pour complémenter les noms (2)
• ip accounting-threshold Seuil Nombre d'entrée
  dans la table
• ip accounting-list _at_IP Masque limiter les
  accountings
• Applications des accountings
• ip accounting (commande d'interface)
• ip accounting access-violations

35
Visualisation accounting

• Cisco show ip accounting access-violations
• Source Destination Packets
  Bytes ACL
• 172.16.0.109 134.157.81.155 7
  10500 100
• 172.16.0.112 134.157.81.141 7
  10500 100
• 192.168.15.1 134.157.95.8 10
  400 100
• 192.168.16.2 134.157.95.10 10
  400 100
• Effacement avec
• clear ip accounting

36
Commandes de log

• Router(config)logging ?
• A.B.C.D IP address of the logging host
• facility Facility parameter for syslog
  messages
• buffered Set buffered logging parameters
• réglages des niveaux par récepteur
• console Set console logging level
• monitor Set terminal line (monitor) logging level
• trap Set syslog server logging level
• source-interface Specify interface for source
  address in logging transactions

37
Commandes de log Niveaux

• Router (config)logging trap ?
• alerts Immediate action needed
• critical Critical conditions
• debugging Debugging messages
• emergencies System is unusable
• errors Error conditions
• informational Informational messages
• notifications Normal but significant
  conditions
• warnings Warning conditions

38
Commandes de log syslogd

• Router(config)logging facility local X (7 par
  défaut)
• syslogd configuration file.
• mail.debug /var/adm/syslog/mail.log
• daemon.infomail.none /var/adm/syslog/syslog.log
• ...
• Accès gatorbox
• local1.warning /reseau/syslog/gatorbox.log
• Accès Fore
• local2.notice /reseau/syslog/fore.log
• Accès Log Routeur de sortie
• local3.debug /reseau/syslog/jusren.log
• Accès des CISCO (Commutateurs et routeurs)
• local7.debug /reseau/syslog/cisco.log

39
Commandes de routage

• Exemple avec RIP
• router rip
• version 2
• network 172.16.0.0
• passive-interface ethernet 1
• distribute-list 1 in ethernet 1
• distribute-list 2 in ethernet 0

40
Routage avec redistribution (1)

• Redistribution mutuelle
• router ospf 1
• redistribute rip metric 2 subnets
• network 172.16.0.0 0.0.255.255 area 1
• router rip
• redistribute ospf 1 metric 2
• network 172.16.0.0

41
Routage avec redistribution (2)

• router eigrp 1307
• redistribute rip
• passive-interface Vlan68
• network 134.157.0.0
• network 132.227.0.0
• default-metric 100000 100 255 1 1500
• distribute-list 2 in Vlan68
• .
• router rip
• passive-interface Vlan68
• network 134.157.0.0
• network 132.227.0.0
• distribute-list 2 in Vlan68
• .

• access-list 2 deny any
• Routage principal en eigrp
• Routage local en rip
• Écoute seule
• Redistribution des routes RIP dans EIGRP gt pas
  de redistribution de l'eigrp dans le RIP
• Les machines faisant des annonces RIP doivent
  posséder une route par défaut pour communiquer
  avec le monde extérieur

42
Routage / Filtrage

• Une autre manière efficace pour faire du filtrage
  
• ip route _at_IP_réseau Masque_réseau Destination
• ip route 10.0.0.0 255.0.0.0 Null0
• ip route 172.16.0.0 255.240.0.0 Null0
• ip route 192.168.0.0 255.255.0.0 Null0

43
Routage par la source

• route-map Transparent-Proxy
• match ip address Naccess-list
• set ip next-hop _at_IP_ Transparent-Proxy
• ! Attachement direct
• access-list X deny ip host _at_IP-cache_www1 any
• access-list X deny ip host _at_IP-cache_www2 any
• ! Les autres machines
• access-list X permit tcp 192.168.1.0 0.0.0.255
  any eq www

44
Routage par la source Exemple 2 (1)
Internet
Site1 Réseau A
Site2 Réseau A B
Tunnel
45
Routage par la source Exemple 2 (2)

• Site 1 (Réseau IP A seul)
• interface Tunnel N
• description Tunnel GRE vers cisco distant
• ip unnumbered Type N
• bandwidth 256
• tunnel source _at_IP_cisco1
• tunnel destination _at_IP_cisco2_distant

46
Routage par la source Exemple 2 (3)

• Site 2 (Réseau B et une partie de A)
• interface Tunnel X
• description Tunnel GRE vers cisco distant
• ip unnumbered Ethernet3
• tunnel source _at_IP_cisco2
• tunnel destination _at_IP_cisco1_distant
• route-map SITE1
• match ip address N
• set interface Tunnel X
• set ip next-hop _at_IP_ cisco1
• access-list N permit Partie_Réseau_A_sur_Site2
• ip route Reste_Réseau_A _at_IP_Routeur_Défaut

47
Éxecutable

• Avec possibilité de spécifier l'adresse source
  pour tests
• ping
• traceroute
• telnet, rlogin, rsh
• systat ( who)
• reload
• exit, quit

48
Management

• Par station de management
• snmp-server community public RO 99
• access-list 99 permit _at_IP
• show processes cpu
• CPU utilization for 5 seconds 9 1 minute 10
  5 minutes 11
• show processes memory
• Total 7143292, Used 2895044, Free 4248248

49
Mode debug

• Par la console (monitor)
• Par telnet (terminal monitor (visualisation du
  debug))
• debug ? (La liste est très longue)
• Exemple debug ip rip
• RIP received update from 134.157.254.249 on
  Ethernet0
• 134.157.24.0 in 1 hops
• RIP sending update to 134.157.254.255 via
  Ethernet0 (134.157.254.205)
• subnet 134.157.133.128, metric 1
• subnet 134.157.133.0, metric 1
• undebug all (u all)
• All possible debugging has been turned off