SR04 - Introduction à Cisco IOS - utc.frfillotch/sr04/ios.pdf · Introduction Interface en ligne de commande (CLI) Con guration Routage Access-Lists,Translation d’adresses (NAT)

IntroductionInterface en ligne de commande (CLI)

ConfigurationRoutage

Access-Lists,Translation d’adresses (NAT)Switching, Trunks 802.1Q, VLAN

RecapitulatifSupervision, bonnes pratiques

SR04 - Introduction a Cisco IOS

Christophe Fillot

24 Octobre 2011

1/51 Christophe Fillot SR04 - Introduction a Cisco IOS





Plan de l’expose

1 Introduction

2 Interface en ligne de commande (CLI)

3 Configuration

4 Routage

5 Access-Lists,Translation d’adresses (NAT)

6 Switching, Trunks 802.1Q, VLAN

7 Recapitulatif

8 Supervision, bonnes pratiques






Plan

1 Introduction


3 Configuration

4 Routage



7 Recapitulatif







Introduction

Cette presentation est une introduction au systeme IOS des routeursCisco

Elle est essentiellement destinee aux groupes devant realiser unprojet avec les routeurs mis a disposition dans l’UV.

Bien qu’elle soit orientee sur un constructeur particulier, les principesgeneraux restent les memes pour d’autres constructeurs.

Les concepts reseaux de base sont supposes connus (adressageIP,routage)






Autres constructeurs

Juniper

Extreme

Force10

Allied Telesyn

...






Architecture generale d’un routeur

CPU, memoire, ...

Flash : stocke le systeme (un seul fichier pour un systeme IOS“classique”)

NVRAM : stocke la configuration de demarrage

Port console : interface serie RS232 pour la configuration initiale

Interfaces reseau (Ethernet, serie, ...), eventuellement sous forme delinecards pour les modeles distribues (haut de gamme)

Les routeurs haut de gamme traitent les paquets en hardware avecdes FPGA ou des ASIC






Versions d’IOS

Numerotation compliquee... Ex : 15.0(1), 12.2(33)SXI4a

Differents Feature Sets (IP Base, Enterprises Services, etc)

Differentes evolutions : IOS-XE (base sur Linux), IOS-XR (base surQNX)

Autres OS chez Cisco : ASA (Firewalls), NX-OS (Switches“Datacenter”)






A l’UTC

Dans les baies de distribution : Catalyst 2950, 2960, 3560

Dans les baies serveurs : Catalyst 3750 (en cluster)

Switch-routeur central : Catalyst 6500

Firewall : carte FWSM (integree dans le Catalyst 6500)

Concentrateurs VPN : VPN3030 (ancien), ASA5520 (nouveau)






Baies centrales UTC






Sur le Reseau Regional

RRTP : Reseau Regional de Telecommunications de Picardie

Gere au niveau technique par l’UTC

Equipements “Service Provider” : Cisco 7600, 7200, ASR-1000

Routeurs de site : Cisco 87x, 18xx, ...






Baie RRTP de l’UTC






Realisation de maquettes

Peu d’outils disponibles pour emuler des routeurs...

Cisco Packet Tracer

Cisco IOU, interne a Cisco...

Dynamips (necessite des images IOS, sous license)

Quagga (logiciel libre, tres similaire a IOS)








Cisco Packet Tracer











Cisco Packet Tracer











Cisco Packet Tracer











Cisco Packet Tracer









IOS “classique”

Un seul fichier (image IOS) contient le systeme complet.

L’image est charge par le ROMMON au demarrage, a partir de laFlash ou eventuellement du reseau

Conception ancienne : les processes se partagent le meme espacememoire, multitache cooperatif

Evolution progressive vers IOS-XE/XR suivant les plateformes






Plan

1 Introduction


3 Configuration

4 Routage



7 Recapitulatif







CLI - Command Line Interface

L’interaction avec le routeur s’effectue via la ligne de commande (atravers le port console, ou le reseau via telnet/ssh)

Les commandes peuvent etre abregees (sous reserve qu’il n’y ait pasd’ambiguıte)

Le “ ?” permet d’obtenir une aide contextuelle (description et formatdes parametres attendus) : ne pas hesiter a l’utiliser !

Historique (rappel des commandes) et edition de la ligne decommande (Touches flechees, Ctrl-A : retour debut de ligne, Ctrl-E :fin de ligne, ...)

Plusieurs modes possibles (mode privilegie,configuration,etc) suivantle contexte, indiques par un prompt specifique.

Ce qui suit un “ !” est vu comme commentaire (ignore et perdu)


































































CLI - Les modes

Non-privilegie : mode par defaut (prompt Router>), ne permet pasde visualiser ou modifier la configuration. Pour passer en modeprivilegie : enable

Privilegie : permet de tout faire (prompt Router#)

Configuration : les commandes entrees dans ce mode modifient laconfiguration du routeur (prompt Router(config)#). Pour y entrera partir du mode Privilegie : configure terminal

De nombreux “sous-modes” existent, par ex. configurationd’interface (prompt Router(config-if)#)






Nommage des interfaces

Nommage selon la forme : <interface-type><slot>/<port>

Sur certains routeurs a configuration “fixe”, il n’y a pas de notion deslot.

Exemples : FastEthernet0, Serial1/0

Sous-interfaces : interface-type slot/port.subif-id

(exemple : FastEthernet2/1.100)






Types possibles d’interfaces (les plus courants)

Ethernet : Ethernet 10 Mb/s

FastEthernet : Ethernet 10/100 Mb/s

GigabitEthernet : Ethernet 10/100/1000 Mb/s

TenGigabitEthernet : Ethernet 10 Gb/s

Serial : liaisons Serie

Vlan : interface virtuelle “Vlan”

Loopback : interface virtuelle toujours active

Dot11Radio : Wifi (bornes et routeurs avec wifi integre)






Plan

1 Introduction


3 Configuration

4 Routage



7 Recapitulatif







Gestion de configuration

Configuration active : running-config (stockee en RAM)

Configuration de demarrage : startup-config (stockee dans laNVRAM)

Visualisation avec : show running-config etshow startup-config

Les modifications de configuration doivent etre sauvegardees sinonelles sont perdues au reboot.

Sauvegarde avec : copy running-config startup-config

(copy run start ou wr pour etre efficace).

Effacement de la startup-config avec write erase (puis redemarrer)







































































Configuration minimale

Definition nom du routeur et mots de passe

Router>enable

Router#configure terminal

Router(config)#hostname sr04

sr04(config)#enable secret cisco123

sr04(config)#line vty 0 4

sr04(config-line)#password cisco

sr04(config-line)#end

sr04#copy run start

line vty : terminaux virtuels (telnet/ssh)






Configuration minimale d’une interface

Attention, par defaut une interface est desactivee ! (shutdown)

Activation d’une interface

interface FastEthernet0

no shutdown

description Description de l’interface

!

Verifier que l’interface est “UP” avec sh interface <interface>

La description est facultative mais vivement recommandee.






Configuration d’une adresse IP sur une interface

Exemple : configurer l’adresse 192.168.1.254/24 sur Fa0


ip address 192.168.1.254 255.255.255.0

!

Verification

Router#show ip interface brief

Interface IP-Address OK? Method Status Protocol

FastEthernet0 192.168.1.254 YES manual up up






Plan

1 Introduction


3 Configuration

4 Routage



7 Recapitulatif







Routage

Un routeur maintient une table de routage (RIB), alimentee par lesdifferents protocoles de routage utilises.

Les routes les plus specifiques (longest prefix match) sont utiliseesen priorite (ex : 192.168.1.0/24 vs 192.168.0.0/16)

Chaque protocole de routage dispose d’une Distance Administrative(DA), utilisee pour departager des routes identiques provenant dedifferents protocoles (DA la plus faible).

Si 2 routes identiques avec la meme DA, la route avec la metrique laplus basse est selectionnee (la metrique est calculee par le protocolede routage).






Distance Administrative

Source Distance AdministrativeRoute connectee 0Route statique 1BGP (Externe) 20

OSPF 110IS-IS 115RIP 120

BGP (Interne) 200

Les routes connectees (ie adresses configurees sur les interfaces)sont toujours les plus prioritaires.

Il est possible de changer la valeur de DA fixee par defaut.






Table de routage

Affichage avec show ip route (ou show ip route <protocol>)

Exemple

R 10.112.129.0/24 [120/1] via 10.253.64.158, 00:00:22, ATM2/0.417

Type de route (R = RIP, O = OSPF, ...)

Subnet (au format CIDR)

DA (ici : 120, typique d’une route apprise par RIP)

Metrique (ici : 1 hop)

Next-Hop

Derniere mise a jour (pour RIP, echange toutes les 30 secondes)

Interface






Notions de subnet mask et wildcard mask

Ces notions sont importantes pour l’utilisation des ACL (AccessControl Lists) et des protocoles de routage.

Le terme “subnet mask” designe le masque classique au sens CIDR(ex : 255.255.255.0 pour /24)

Un “wildcard mask” est l’inverse (au sens “NON logique”) du“subnet mask” (pour le subnet mask 255.255.255.0, le wildcardmask est donc 0.0.0.255)






Routage statique

Exemple : route statique pour 192.168.2.0/24, via 192.168.1.1

ip route 192.168.2.0 255.255.255.0 192.168.1.1

Le next-hop peut ne pas etre une adresse directement attachee aurouteur (resolution recursive)

Par defaut, DA = 1, Metrique = 0






Configuration RIPv2 simple

Activation de RIP sur toutes les interfaces en 10.0.0.0/8

router rip

version 2

network 10.0.0.0

!

Protocole a vecteur de distance (distance vector)

Echange des routes toutes les 30 secondes (peu efficace !)

Afficher la database : show ip rip database






Configuration OSPF simple

Activation de OSPF

router ospf 100network 10.0.0.0 0.0.0.255 area 0

!

Protocole a etat de liens (link-state)

Definir un Router-ID ! (avec une interface Loopback)

100 = numero de process (arbitraire)

network <network> <wildcard mask> area <area> : active OSPF sur les interfacescorrespondant a network+mask, dans l’aire area

Afficher les voisins : show ip ospf neighbor

Afficher la database : show ip ospf database






Plan

1 Introduction


3 Configuration

4 Routage



7 Recapitulatif







Access-lists (1)

Les ACL sont essentiellement utilisees pour filtrer du trafic.

Une ACL comprend une liste d’ACE (Access-List Elements) evaluessequentiellement.

Une ACE definit un certain nombre de criteres a verifier, et uneaction (permit ou deny).

L’evaluation est stoppee des que les criteres d’une ACE sont verifies.

Le comportement par defaut est deny.

Exemple

access-list 100 deny ip host 192.168.0.1 anyaccess-list 100 permit tcp 192.168.0.0 0.0.255.255 any eq 80access-list 100 deny ip any any






Access-lists (2)

Une ACL doit etre appliquee en entree ou en sortie d’une interface :

Exemple


ip access-group 100 in

!

Les ACL filtrent paquet par paquet (pas de “tracking” de connexion)

Il existe differents types d’ACL (standards, etendues, nommees)

Les ACL peuvent aussi etre utilisees pour filtrer des annonces auniveau des protocoles de routage.






NAT

Definir les interfaces d’entree et de sortie (inside et outside)

Definir le trafic qui doit etre “NATe”

Exemple

interface Vlan1description Reseau interneip address 192.168.1.1 255.255.255.0ip nat inside

!interface FastEthernet0description Vers Internetip address 100.1.1.1 255.255.255.0ip nat outside

!ip route 0.0.0.0 0.0.0.0 100.1.1.2!access-list 100 permit ip 192.168.1.0 0.0.0.255 anyip nat inside source list 100 interface FastEthernet0 overload!






Plan

1 Introduction


3 Configuration

4 Routage



7 Recapitulatif







Configuration d’un VLAN

Exemple : creer le VLAN “TEST” avec l’ID 100

vlan 100

name TEST

state active

!

Sur un switch-routeur, une interface VlanXXX est creee

Elle s’utilise comme une interface “classique”








vlan 100

name TEST

state active

!










vlan 100

name TEST

state active

!








Configuration d’un port de switch

Exemple : configurer le port Fa3 dans le VLAN 100


switchport mode access

switchport access vlan 100

!

Exemple : configurer le port Fa3 en trunk (802.1q)


switchport trunk encapsulation dot1q

switchport mode trunk

!






Plan

1 Introduction


3 Configuration

4 Routage



7 Recapitulatif







Recapitulatif des commandes les plus utilisees

enable : passer en mode privilegie

config terminal : passer en mode configuration

show version : afficher la version du systeme

show running-config : afficher la configuration active complete

copy run start ou wr : sauvegarder la configuration

show interface <interface> : informations sur une interface

show ip route : afficher la table de routage

show log : afficher les logs du routeur

reload : redemarrer le routeur

ping, traceroute






Plan

1 Introduction


3 Configuration

4 Routage



7 Recapitulatif







Coordonner les horloges

Primordial pour correler des evenements sur differents equipements

A mettre en place systematiquement sur les serveurs, lesequipements reseau,...

Protocole : NTP (Network Time Protocol)

A l’UTC : ntp.utc.fr (195.83.155.32), synchronise sur le serveur detemps regional (satellites GPS)




































NTP : Configuration IOS

ntp server <adresse_ip>

Attention, par defaut, heure GMT !

Configurer le timezone et la gestion heure d’hiver/d’ete

clock timezone MET 1

clock summer-time MET recurring last Sun Mar 2:00 \

last Sun Oct 3:00












last Sun Oct 3:00












last Sun Oct 3:00






Gestion des logs (syslog)

Conserver les logs sur un serveur syslog centralise

En cas de redemarrage d’un equipement, les logs ne sont pas perdus

En cas d’attaque, les logs peuvent etre effaces localement, il estdonc judicieux de les collecter sur une autre machine

























Les messages se rapportent a une facility

(mail,auth,kern,local0-7...) et ont un niveau/priorite (Emergency,Alert, Critical, Error, Warning, Notice, Info et Debug)

On utilise generalement local0-7 pour les equipements reseau

Les messages peuvent etre envoyes sur un serveur distant (port514/udp par defaut)







Configuration IOS

service timestamps debug datetime msec localtimeservice timestamps log datetime msec localtime

logging trap debugginglogging facility local3logging 192.168.1.1






SNMP

SNMP : Simple Network Management Protocol

Protocole de supervision le plus utilise

Manager : systeme de supervision (NMS), Agent : lance surl’equipement a superviser

Requetes d’un manager sur un agent : Get, Set, GetNext, GetBulk

Notifications (agent vers manager) : “traps”

Notion de “community” (mot de passe)






SNMP












SNMP












SNMP












SNMP












SNMP

Les donnees sont stockees sous forme hierarchique dans la MIB(Management Information Base)

Un objet est adresse par un OID (Object Identifier)

La definition des objets se fait en ASN.1

MIB les plus couramment utilisees : IF-MIB, IP-MIB, ...

Les constructeurs implementent souvent des MIBs proprietaires






SNMP











SNMP











SNMP











SNMP











Outils SNMP

Package “net-snmp” (disponible sous Unix/Linux, Windows)...

Commandes : snmpget, snmpset, snmpwalk, etc.

Outils graphiques : Cacti, MRTG






Outils SNMP









Outils SNMP









SNMP : configuration sur un routeur

Configuration IOS

access-list 20 permit 192.168.1.1snmp-server community toto RO 20

! Evite d’avoir un renumeratotation des interfaces a chaque rebootsnmp-server ifindex persist






Questions

Presentation disponible surhttp://www.utc.fr/~fillotch/sr04/ios.pdf

Merci de votre attention !

Questions ?


http://www.utc.fr/~fillotch/sr04/ios.pdf





Questions

Presentation disponible surhttp://www.utc.fr/~fillotch/sr04/ios.pdf

Merci de votre attention !

Questions ?


http://www.utc.fr/~fillotch/sr04/ios.pdf

Documents

SR04 - Introduction à Cisco IOS - utc.frfillotch/sr04/ios.pdf · Introduction Interface en ligne de commande (CLI) Con guration Routage Access-Lists,Translation d’adresses (NAT)