Introduction routeur Cisco

Cration
2000-2001 : Christian Hascot (CCR)

ARS 00/01

Plan
Les principales commandes pour la configuration d'un routeur cisco :
Commandes d'interfaces Filtrage Commandes globales Commandes de routages (voir cours correspondant) Commandes de lignes (console, vty)

Commandes d'excution : visualisation, debug ...

ARS 00/01 2

Configuration : synoptique
Commandes globales :
Services, DNS, NTP, IOS, Log, statistiques, personnalisation ...

Interface Type N
Configuration de l'interface

Routage : protocole, routes statiques Filtrage : scurit, routage, accs au routeur Commande de ligne : console, vty 0 4
Ligne X : Configuration de la ligne X

ARS 00/01

Configuration : vue d'ensemble

show running-config ou show startup-config
Commande globales service, personnalisation, ntp, IOS, boot interface Type N1 configuration interface Type N1 interface Type N2 configuration interface Type N2 router Type R configuration protocole de routage (router) Type R /etc/hosts, routes statiques Gestion des logs, snmp Filtrage : access-lists Commande de lignes : line con 0, line aux 0, line vty 0 4
ARS 00/01 4

...

Initialisation
Boot du routeur .
--- System Configuration Dialog --At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[ ]'. Would you like to enter the initial configuration dialog? [yes]: First, would you like to see the current interface summary? [yes]: n Configuring global parameters: Enter host name [Router]: Would you like to terminate autoinstall? [yes]: yes
ARS 00/01 5

Configuration par console

Liaison srie 9600 par dfaut (RJ45,DB25) Prompt par dfaut Router> Passage en super-utilisateur : enable
Pas de mot de passe par dfaut Prompt par dfaut Router# Obligatoire pour la configuration et pour la visualisation de la configuration

Accs au mode configuration

Configure terminal : Router(config)#
ARS 00/01 6

Configuration par console

Mise en place du mot de passe "enable"
Commande globale enable-password toto + service password-encryption ==> enable-password 7 01324DA64BEA091222 A remplacer par enable secret 5 1$k1p6$i4wqEzO90/L22Ejd2r0DT1

ARS 00/01

Configuration des interfaces

C'est la base de la configuration du routeur :
Passage la configuration d'une interface :
interface type N Exemple : interface ethernet 0 (Router(config-if)#)

On peut y spcifier principalement l'adressage, mais aussi le filtrage, le type d'encapsulation, la gestion des files d'attente

Rq : pour remonter dans l'arborescence

exit pour remonter d'1 niveau, retour au mode commande : end ou ctrl Z
ARS 00/01 8

Visualisation : Configuration ethernet

interface Ethernet0 description Nom Rseau, Administrateur, e-mail, tlphone ip address A.B.C.D Masque ( secondary ) ip broadcast-address A.B.C.X (Dfaut : 255.255.255.255) ip access-group 100 in ip access-group 110 out no ip redirects no ip proxy-arp ip accounting ip accounting access-violations
ARS 00/01 9

Visualisation : Configuration srie

interface Serial0 description LS 64K vers XXXX bandwidth 64 ip unnumbered Type N no ip route-cache no fair-queue down-when-looped

ARS 00/01

10

Visualisation : Configuration tunnel

Le tunnel permet d' "oublier" la topologie existante

interface tunnel X description Tunnel GRE vers cisco distant ip unnumbered Type N bandwidth 256
Rseau IP1

Rseau IP2
avec sous-rseau(x) IP1

tunnel Internet

tunnel source "une adresse IP du routeur *" tunnel destination "routeur distant"

tunnel mode** gre ip (par dfaut cisco <-> cisco)

* en gnral, la plus proche du routeur distant ** mode principaux disponibles : aurp, cayman, dvmrp, ipip ...
ARS 00/01 11

Filtrage : access-list : Principe

Une access-list est une liste squentielle de rgles de permission et d'interdiction portant sur les protocoles rseaux (ip, tcp )
Chaque paquet est examin et fonction de sa source, de sa destination, de son type, des ports, il est soit retransmis ,soit limin par le routeur Squentielle =>
Permettre avant d'interdire :-) Mettre le + en tte de liste possible les paquets les + frquemment trouvs

Une access-list est termine implicitement par une interdiction totale

Exception : une access-list vide laisse tout passer

Tout ce qui n'est pas explicitement permis est interdit Elle peut tre utilis pour le filtrage des paquets
En transit par le routeur (filtrage au niveau des interfaces) D'informations de routage (venant vers ou partant du routeur) Pour accder au routeur ...
ARS 00/01 12

Filtrage : access-list : Liste

Router(config)#access-list ? <1-99> <100-199> ... <600-699> <700-799> <800-899> <900-999> Appletalk access list 48-bit MAC address access list IPX standard access list IPX extended access list IP standard access list IP extended access list

<1000-1099> IPX SAP access list <1100-1199> Extended 48-bit MAC address access list <1200-1299> IPX summary address access list
ARS 00/01 13

Filtrage : access-list : Aide

Listes exhaustives des ports tcp, udp, icmp
ftp://ftp.isi.edu/in-notes/iana/assignments/ports-numbers

Liste rduite dans /etc/services : ...

ftp-data 20/tcp ftp telnet smtp whois 21/tcp 23/tcp 25/tcp 43/tcp nicname nameserver nameserver # File Transfer Protocol (Data) # File Transfer Protocol (Control) # Virtual Terminal Protocol # Simple Mail Transfer Protocol # Who Is # Domain Name Service # # Trivial File Transfer Protocol # Finger
00/01 Wide Web HTTP # ARS World 14

domain 53/tcp domain 53/udp tftp finger http ... 69/udp 79/tcp

80/tcp www

Access-list ip simple
1 N 99 (source seulement)
Router(config)# access-list 1 permit | deny ? A.B.C.D (Address to match) W.X.Y.Z (Wildcard bits)

any host
Exemple :

Any source host A single host address (2 et 3)

access-list 1 permit 172.16.1.2 0.0.0.1

access-list 1 permit 172.16.250.0 0.0.0.255 (0 255) access-list 1 permit 192.168.5.16 0.0.0.15 (16 31) access-list 1 deny any (ajouter de manire implicite)
ARS 00/01 15

Access-list IP tendue
100 N 199
source et destination (+ port source et/ou destination)
Router(config)# access-list 100 permit ? ip tcp udp icmp <0-255> gre, ipinip igmp Any Internet Protocol Transmission Control Protocol User Datagram Protocol Internet Control Message Protocol An IP protocol number Tunnel Cisco ou IP dans IP Internet Gateway Message Protocol

eigrp, ospf, igrp ... Protocole de routage

(variable selon les versions d'IOS)

ARS 00/01 16

Access-list IP tendue : IP
Router(config)# access-list 100 permit ip any any ?

log
t os <cr>

Log matches against this entry Match packets with given TOS value

precedence Match packets with given precedence value

ARS 00/01

17

Access-list IP tendue : TCP

Router(config)# access-list 100 permit tcp any any ?

eq neq lt gt range

Match only packets on a given port number Match only packets not on a given port number Match only packets with a lower port number Match only packets with a greater port number Match only packets in the range of port numbers

established Match established connections precedence Match packets with given precedence value tos log
<cr>
ARS 00/01 18

Match packets with given TOS value Log matches against this entry

Access-list IP tendue: UDP

Router(config)# access-list 100 permit udp any any ?

eq neq gt lt range tos log

<cr>

Match only packets on a given port number Match only packets not on a given port number Match only packets with a greater port number Match only packets with a lower port number Match only packets in the range of port numbers Match packets with given TOS value Log matches against this entry

precedence Match packets with given precedence value

ARS 00/01

19

Access-list IP tendue : ICMP

Liste longue : ftp://ftp.isi.edu/in-notes/iana/assignments/ports-numbers Les principales : <0-255> ICMP message type Echo (ping), Echo reply Host redirect, unknown Host unreachable Mask replies, requests contrle de flux All time exceededs Traceroute
ARS 00/01 20

echo , echo-reply host-redirect, host-unknown host-unreachable mask-reply mask-request source-quench time-exceeded traceroute
...

Filtrage : Application
Pour une interface :
interface Type N
OUT IN
Routeur

ip access-group Naccess-list in | out

Pour un protocole de routage

router Type (OSPF in seulement)
distribute-list Naccess-list in | out

Pour l'accs au routeur

line vty 0
access-class Naccess-list in | out
ARS 00/01 21

Filtrage : Exemples
access-list 100 permit tcp any any established access-list 100 deny ip 172.25.0.0 0.0.255.255 any log access-list 100 deny ip any 0.0.0.0 255.255.255.0 log access-list 100 deny tcp any any range 161 162 log access-list 100 permit ip any host 172.25.1.215 access-list 100 deny
(spoofing) (broadcast) (snmp) (DMZ)

access-list 100 deny ip any 0.0.0.255 255.255.255.0 log (broadcast)

access-list 100 permit tcp any host 172.25.240.4 eq smtp (Mail) tcp any any range 0 37 log

access-list 100 permit ip any any

ARS 00/01 22

Filtrage : visualisation
show access-list 100 Extended IP access list 100 deny ip 10.0.0.0 0.255.255.255 any log (973 matches) deny ip 172.16.0.0 0.15.255.255 any log (2695 matches) deny ip 192.168.0.0 0.0.255.255 any log (952 matches) permit ip any any (234454800 matches) sh access-list 1 Standard IP access list 1 deny 0.0.0.0 deny 10.0.0.0, wildcard bits 0.255.255.255 deny 172.16.0.0, wildcard bits 0.15.255.255 deny 192.168.0.0, wildcard bits 0.0.255.255 permit any
ARS 00/01 23

Commandes de lignes : 3 types

con 0 et aux 0 (console)
speed (dfaut :9600), txspeed, rxspeed

vty (0 4) pour connexion distantes

exec-timeout minutes secondes login (demande d'un mot de passe, recommand) password "mot de passe" (obligatoire distance) history size 30 transport [input | output] telnet, rlogin, lat, none, all ... access-class 1-99 in | out ip netmask-format [bitcount | decimal | hexa ]
ARS 00/01 24

Commandes de lignes : Exemples

line con 0 exec-timeout 0 0 login password XXXX history size 30 transport input none transport output telnet line aux 0
Idem con 0
ARS 00/01 25

line vty 0 4 access-class 98 in exec-timeout 0 0 login password XXXX history size 30 transport input telnet transport output telnet

Commandes globales : service

Tout ce qui n'est pas commande d'interface, de ligne, de filtrage ou de routage Dbute (dans le sens) de la lecture d'une configuration de cisco par les services :
service config : chargement automatique de config par le rseau service finger (par dfaut) service password-encryption (recommand, mais dcryptable) service prompt config (par dfaut) service timestamps [ debug | log ] uptime | datetime localtime service telnet-zero-idle (par dfaut) .
ARS 00/01 26

Commandes globales : nom & boot

hostname Nom_Routeur (Attribu un nom au routeur) boot host tftp | rcp Nom_Routeur @IPServeur boot network tftp | rcp Nom_Routeur @IPServeur boot system flash slot0: gs7-j-mz.111-22.CA.bin boot system flash gs7-j-mz.111-20.bin boot system tftp | rcp Nom_Fichier @IPServeur

ARS 00/01

27

Gestion de l'IOS
copy flash tftp : sauvegarde IOS sur serveur tftp copy tftp flash : chargement IOS par serveur tftp Flash : bootflash, slot0 ou slot1 (PCMCIA) format delete : effacer un fichier de la flash squeeze "flash:" : supprimer un fichier effac dir [device:] : lister les fichiers d'une flash pwd , cd erase device: | startup-config
ARS 00/01 28

Visualisation : IOS & boot

show version (ou show hard)
Cisco Internetwork Operating System Software IOS (tm) 7200 Software (C7200-P-M), Version 12.0(8)S, EARLY DEPLOYMENT ROM: System Bootstrap, Version 12.0(19990210:195103) [12.0XE 105], BOOTFLASH: 7200 Software (C7200-BOOT-M), Version 12.0(9)S, r-jusren uptime is 2 d, 22 h, 41 m (restarted 19:53:17 MET Wed Mar 15 2000 Last reset from power-on. System image file is "slot0:c7200-p-mz.120-8.S.bin" cisco 7206VXR (NPE300) processor with 253952K/40960K bytes of memory. R7000 CPU at 262Mhz, Implementation 39, Rev 1.0, 256KB L2, 2048KB L3 Cache 3 FastEthernet/IEEE 802.3 interface(s), 1 ATM network interface(s) 125K bytes of non-volatile configuration memory. 16384K bytes of Flash PCMCIA card at slot 0 (Sector size 128K). 4096K bytes of Flash internal SIMM (Sector size 256K). Configuration register is 0x102
ARS 00/01 29

Visualisation : IOS & boot

show flash [all]
-#- ED --type-- --crc--- 1 .. image 2 .. image E81D3610 seek-- nlen -length- ----EFD240 22 5529052 date/time------ name DCB00EEC 9B73E4 23 10056548 Mar 13 2000 09:33 c7200-js-mz_120-7T.bin Mar 15 2000 19:21 c7200-p-mz.120-8S.bin

798144 bytes available (15585856 bytes used)

show bootflash:
-#- ED --type-- --crc--- -seek-- nlen -length- -----date/time------ name 1 .. image E87BFDE9 3121C8 25 2957640 Mar 13 2000 10:35 c7200-boot-mz_120-9S.bin

450104 bytes available (2957768 bytes used)

ARS 00/01

30

Gestion fichiers : Configuration tftp

Extrait de inetd.conf ...
# Before uncommenting the "tftp" entry below, please make sure # that you have a "tftp" user in /etc/passwd. If you don't # have one, please consult the tftpd(1M) manual entry for # information about setting up this service. tftp ... dgram udp wait root /usr/lbin/tftpd tftpd

grep tftp /etc/passwd

tftp:*:107:102:,,,: /reseau/config :/usr/bin/false
ARS 00/01 31

Commandes globales : heure

Rglage de l'heure :
clock timezone MET 1 clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 3:00

Synchronisation avec serveur ntp

Direct : ntp peer @IPserveurNTP Par broadcast Interface Type N
ntp broadcast client

Serveur NTP

ntp broadcast client

ntp broadcast

Envoie de l'heure par broadcast

Interface Type N
ntp broadcast

ntp access-group [ query-only | serve-only | serve | peer ] N access-list

ARS 00/01 32

Visualisation : heure
show clock show ntp status
Clock is synchronized, stratum 2, reference is 134.157.254.135 nominal freq is 250.0000 Hz, actual freq is 249.9978 Hz, precision is 2**19 reference time is BC7E39B7.1F66A438 (18:21:59.122 MET Sat Mar 18 2000) clock offset is 0.80 msec, root delay is 2.76 msec root dispersion is 6.30 msec, peer dispersion is 1.31 msec

show ntp associations

address ref clock st when poll reach delay offset 1 2 29 26 64 377 64 377 2.8 3.0 0.80 0.99 disp 1.2 0.0 *~134.157.254.135 .TDF . + 134.157.254.132 192.93.2.20

* master (synced), # master (unsynced), + selected, - candidate, ~ configured

ARS 00/01 33

Commandes globales IP
ip source-route : (dfaut) accepte paquet avec source routing ip subnet-zero : permet l'utilisation du 1ier rseau ip host toto @IP-toto ( /etc/hosts) ip name-server @IP-DNS-1 @IP-DNS-2 ... i p domain-name : pour complmenter les noms (1) ip domain-list : pour complmenter les noms (2) ip accounting-threshold Seuil : Nombre d'entre dans la table ip accounting-list @IP Masque : limiter les accountings Applications des accountings :
ip accounting (commande d'interface) ip accounting access-violations
ARS 00/01 34

Visualisation accounting
Cisco # show ip accounting [access-violations]
Source Destination Packets 7 7 10 10 Bytes ACL 10500 100 10500 100 400 400 100 100 172.16.0.109 134.157.81.155 172.16.0.112 134.157.81.141 192.168.15.1 134.157.95.8 192.168.16.2 134.157.95.10

Effacement avec :
clear ip accounting
ARS 00/01 35

Commandes de log
Router(config)#logging ?
A.B.C.D IP address of the logging host Facility parameter for syslog messages Set buffered logging parameters Set console logging level Set terminal line (monitor) logging level Set syslog server logging level Specify interface for source address in logging transactions
ARS 00/01 36

facility buffered console monitor trap

rglages des niveaux par rcepteur :

source-interface

Commandes de log : Niveaux

Router (config)# logging trap ?

alerts critical debugging emergencies errors informational notifications warnings

Immediate action needed Critical conditions Debugging messages System is unusable Error conditions Informational messages Normal but significant conditions Warning conditions
ARS 00/01 37

Commandes de log : syslogd

Router(config)# logging facility local X (7 par dfaut) /var/adm/syslog/mail.log # syslogd configuration file. mail.debug daemon.info;mail.none /var/adm/syslog/syslog.log ... # Accs gatorbox local1.warning # Accs Fore local2.notice local3.debug local7.debug /reseau/syslog/fore.log /reseau/syslog/jusren.log /reseau/syslog/cisco.log
ARS 00/01 38

/reseau/syslog/gatorbox.log

# Accs Log Routeur de sortie # Accs des CISCO (Commutateurs et routeurs)

Commandes de routage
Exemple avec RIP :
router rip version 2 network 172.16.0.0 passive-interface ethernet 1 distribute-list 1 in ethernet 1 distribute-list 2 in ethernet 0

ARS 00/01

39

Routage avec redistribution (1)

Redistribution mutuelle :
router ospf 1 redistribute rip metric 2 subnets network 172.16.0.0 0.0.255.255 area 1
router rip

redistribute ospf 1 metric 2 network 172.16.0.0

ARS 00/01 40

Routage avec redistribution (2)

router eigrp 1307 redistribute rip passive-interface Vlan68 network 134.157.0.0 network 132.227.0.0 default-metric 100000 100 255 1 1500 distribute-list 2 in Vlan68 . router rip passive-interface Vlan68 network 134.157.0.0 network 132.227.0.0 distribute-list 2 in Vlan68 .
ARS 00/01 41

access-list 2 deny any

Routage principal en eigrp Routage local en rip

coute seule Redistribution des routes RIP dans EIGRP => pas de redistribution de l'eigrp dans le RIP Les machines faisant des annonces RIP doivent possder une route par dfaut pour communiquer avec le monde extrieur

Routage / Filtrage
Une autre manire efficace pour faire du filtrage :

ip route @IP_rseau Masque_rseau Destination ip route 10.0.0.0 255.0.0.0 Null0 ip route 172.16.0.0 255.240.0.0 Null0 ip route 192.168.0.0 255.255.0.0 Null0

ARS 00/01

42

Routage par la source

Internet

route-map Transparent-Proxy match ip address Naccess-list

! Attachement direct

Transparent Proxy

RO

set ip next-hop @IP_ Transparent-Proxy access-list X deny ip host @IP-cache_www1 any access-list X deny ip host @IP-cache_www2 any
! Les autres machines

RD

Site

access-list X permit tcp 192.168.1.0 0.0.0.255 any eq www

ARS 00/01 43

Routage par la source : Exemple 2 (1)

Internet

Site1 Rseau A

Tunnel

Site2 Rseau A&B

ARS 00/01

44

Routage par la source : Exemple 2 (2)

Site 1 (Rseau IP A seul)
interface Tunnel N description Tunnel GRE vers cisco distant ip unnumbered Type N bandwidth 256 tunnel source @IP_cisco1 tunnel destination @IP_cisco2_distant
ARS 00/01 45

Routage par la source : Exemple 2 (3)

Site 2 (Rseau B et une partie de A)
interface Tunnel X description Tunnel GRE vers cisco distant ip unnumbered Ethernet3 tunnel source @IP_cisco2 tunnel destination @IP_cisco1_distant route-map SITE1 match ip address N set interface Tunnel X set ip next-hop @IP_ cisco1 access-list N permit Partie_Rseau_A_sur_Site2 ip route Reste_Rseau_A @IP_Routeur_Dfaut
ARS 00/01 46

xecutable
Avec possibilit de spcifier l'adresse source pour tests
ping traceroute

telnet, rlogin, rsh systat ( reload exit, quit

ARS 00/01 47

who)

Management
Par station de management :
snmp-server community public RO 99 access-list 99 permit @IP

show processes cpu

CPU utilization for 5 seconds: 9%; 1 minute: 10%; 5 minutes: 11%

show processes memory

Total: 7143292, Used: 2895044, Free: 4248248
ARS 00/01 48

Mode debug
Par la console (monitor) Par telnet ( terminal monitor (visualisation du debug)) debug ? (La liste est trs longue) Exemple : debug ip rip
RIP: received update from 134.157.254.249 on Ethernet0 134.157.24.0 in 1 hops RIP: sending update to 134.157.254.255 via Ethernet0 (134.157.254.205) subnet 134.157.133.128, metric 1 subnet 134.157.133.0, metric 1 undebug all (u all) All possible debugging has been turned off
ARS 00/01 49