Configurations Cisco

Configuration de base
On prsente ici la configuration de base d'un Cisco IOS.
#configure terminal
! nom du systme
hostname xxx
! configuration dune interface
interface xxx
ip address 157.159.x.x 255.255.255.0
no shutdown
!
! adresse du serveur DNS
ip name-server 157.159.x.x
! route statique (par dfaut)
ip route 0.0.0.0 0.0.0.0 157.159.x.x
!
enable secret xxx
username yyy secret xxx

Configuration dun accs SSH
Pour configurer un accs SSH sur un systme IOS, il faut gnrer une cl de cryptage et
configurer l'accs SSH. Aprs avoir tap la commande "crypto key generate rsa", on initialise
la taille du module de cl 2048.
! Gnration dune cl de cryptage RSA (de module 2048)
! qui dfinit une cl publique et un certificat auto-sign
crypto key generate rsa

!!
! Configure SSH access
!!
aaa new-model
aaa authentication login default local-case
ip domain-name int-evry.fr
line vty 0 4
transport input ssh

Configuration statique MPLS
Le code qui suit prsente une configuration de base MPLS o les labels sont distribus
manuellement. On a deux noeuds avec pour adresse rseau 192.168.1.1 et 192.168.1.2 et
respectivement pour adresse loopback 1.1.1.1 et 2.2.2.2. On donne ici la configuration du
noeud 2.2.2.2.
# conf t
! Cisco Express Forwarding
ip cef
!
! definition des intervalles pour les labels
mpls label range 200 299 static 300 399
!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
interface Ethernet3/2
ip address 192.168.1.2 255.255.255.0
full-duplex
mpls ip
!
ip route 1.1.1.1 255.255.255.255 192.168.1.1
!
mpls static binding ipv4 1.1.1.1 255.255.255.255 output 192.168.1.1 300
mpls static binding ipv4 2.2.2.2 255.255.255.255 301

Le "Cisco Express Forwarding" est une technologie avance de commutation de niveau 3.
Elle optimise les performances CPU et rseau et donne la capacit au systme voluer dans
un grand rseau. Tous les paquets destination du noeud 1.1.1.1 sont envoys l'adresse
192.168.1.1 avec le label 300. Les paquets destination de la loopback 2.2.2.2 doivent avoir
un label 301 qui est retir.
Acces#sh mpls label range
Downstream Generic label region: Min/Max label: 200/299
Range for static labels: Min/Max Number: 300/399
Acces#sh mpls static binding ipv4
1.1.1.1/32: Incoming label: none;
Outgoing labels:
192.168.1.1 300
2.2.2.2/32: Incoming label: 301
Outgoing labels: None
Acces#sh mpls forwarding-table
Local
tag
Outgoing
tag or VC
Prefix or
Tunnel ID
Bytes tag
switched
Outgoing
interface
Next Hop
200 300 1.1.1.1/32 0 Et3/2 192.168.1.1

Pour une distribution dynamique des labels, il suffit de rajouter la ligne suivante: "mpls label
protocol ldp". La distribution des labels sera effectue partir des informations de routage.

Agrgation de liens
Le test a t effectu sur deux switchs (T0 et T1) Cisco Catalyst 3550. Les configurations des
switchs sont donnes ci-dessous.
T0#show run
vlan 215
interface GigabitEthernet0/1
switchport mode dynamic desirable
!
interface GigabitEthernet0/2
switchport mode dynamic desirable
!
interface GigabitEthernet0/3
switchport access vlan 215
switchport mode access
exit

T1#show run
interface GigabitEthernet0/4
description T0
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface GigabitEthernet0/5
description T0
switchport trunk encapsulation dot1q
switchport mode trunk

On configure les switchs de telle sorte que les liaisons GigabitEthernet soient regroupes
virtuellement en un canal de 2 Gb/s. On utilise le protocole LACP ("Link Aggregation
Control Protocol") qui fait partie du standard 802.3ad (pour ngocier le partage des liens
physiques pour couler le trafic). Pour imposer l'utilisation de LACP, on utilise la commande
"channel-group 1 mode active".
T0#conf t
interface GigabitEthernet0/1
channel-group 1 mode active
exit
interface GigabitEthernet0/2
channel-group 1 mode active
exit

T1#conf t
interface GigabitEthernet0/4
channel-group 1 mode active
!
interface GigabitEthernet0/5
channel-group 1 mode active

On peut vrifier le bon fonctionnement du canal sur T1 avec les commandes suivantes.
T1#sh interfaces port-channel 1
Port-channel1 is up, line protocol is up (connected)
Hardware is EtherChannel, address is 0009.4493.9804 (bia 0009.4493.9804)
MTU 1500 bytes, BW 2000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Full-duplex, 1000Mb/s, media type is 10/100/1000BaseTX
input flow-control is off, output flow-control is off
Members in this channel: Gi0/4 Gi0/5
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 4000 bits/sec, 6 packets/sec
52 packets input, 8258 bytes, 0 no buffer
Received 30 broadcasts (0 multicast)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 28 multicast, 0 pause input
0 input packets with dribble condition detected
604 packets output, 46149 bytes, 0 underruns
0 output errors, 0 collisions, 3 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out

T1#show etherchannel summary
Flags: D - down
I - stand-alone
H - Hot-standby (LACP only)
R - Layer3
U - in use
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
P - in port-channel
s - suspended
S - Layer2
f - failed to allocate aggregator
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
1 Po1(SU) LACP Gi0/4(P) Gi0/5(P)

Configuration NAT
On prsente ici la configuration du NAT ("Network Address Translation") sur un Cisco IOS.
Les commandes "ip nat" permettent de grer le NAT. La commande "terminal length 0"
permet de spcifier une longueur de terminal infinie. Il n'y a plus de pause lors d'une sortie
terminale de plus d'une page (24 lignes et 80 colonnes, par dfaut).
L'interface FastEthernet2/0 est l'interface ct Internet, configure avec une adresse publique.
Ici l'adresse publique est obtenue par DHCP. Les interfaces FastEthernet1/0 et
FastEthernet1/1 sont les interfaces internes, configures avec des adresses prives (RFC1918).
NATgateway#terminal length 0
NATgateway#sh run
hostname NATgateway
!
ip name-server 157.159.x.x
!
interface FastEthernet1/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet1/1
ip address 192.168.2.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet2/0
ip address dhcp
ip nat outside
duplex auto
speed auto
!
ip nat inside source list 2 interface FastEthernet2/0 overload
!
access-list 2 permit 192.168.1.0 0.0.0.31
access-list 2 permit 192.168.2.0 0.0.0.31
!
end

Configuration d'un client PPPoE vers Orange
Je donne ici la configuration d'un routeur Cisco 3725 sur lequel un client PPPoE et un serveur
NAT doit tre installs. Le projet ncessite d'avoir un accs vers Internet et de pouvoir
accder un serveur SIP Asterisk depuis l'extrieur. Pour cela, on a besoin d'une adresse IP
fixe publique et d'une passerelle NAT (avec SIP Application Layer Gateway implment). Le
Cisco 3725 possde le systme "Advanced IP Services version 12.4(7)" (c3725-
advipservicesk9-mz.124-7) qui possde un SIP ALG.
L'accs Internet est effectu par un lien ADSL Orange Pro. Un modem est connect la
ligne et configur en mode bridge (ADSL/ATM - Ethernet). Le routeur 3725 est brancdh
derrire le mode bridge. La configuration qui suit donne un exemple de configuration du
client PPPoE et du serveur NAT.

SIP#show running-config
!
!
ip name-server 208.67.**.**
vpdn enable !!
!
!
!
bba-group pppoe global !!
virtual-template 1
!
!
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.240
ip nat inside
!
interface FastEthernet0/1
no ip address
pppoe enable group global !!
pppoe-client dial-pool-number 1
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin !!
ppp chap hostname fti/***
ppp chap password 0 ***
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 10.0.0.2 5060 82.127.**.** 5060 extendable
ip nat inside source static udp 10.0.0.2 5060 82.127.**.** 5060 extendable
!
access-list 1 permit 10.0.0.0 0.0.0.15
dialer-list 1 protocol ip permit
!
!
end

Un profil PPPoE est dfini pour configurer les paramtres PPPoE. Les paramtres PPPoE sont
configurs au sein dun groupe "Virtual Private Dialup Networks" (VPDN). Les VPDN
utilisent le protocole "Layer 2 Forwarding" (RFC2341). Ce protocole permet le passage de
trames au travers un tunnel virtuel. Il est alors possible dtendre la connexion rseau dun
utilisateur distant depuis un rseau fournisseur vers un rseau priv.
Le profil PPPoE peut tre dfini dans un groupe d'accs distant (Broadband Access ou BBA)
dans lequel on peut spcifier le nombre de sessions autorises, le nom du routeur daccs
Le mot-cl "global" spcifie la cration d'un profil par dfaut pour tous les ports d'accs (ici
FastEthernet) qui ne sont pas assigns un profil particulier. Il apparat que la configuration
"bba-group pppoe xx" soit inutile pour un client PPPoE (ainsi que le paramtrage "pppoe
enable group xx" sur l'interface) et qu'elle est ncessaire sur une configuration serveur.
"virtual-template" permet de cloner automatiquement des interfaces virtuelles (configuration
IP, authentification PPP) pour chaque type de sessions PPP (PPPoE ou PPPoA). Dans le cas
d'un serveur PPPoE, une interface virtual-template1 peut-tre cre avec une addresse IP, un
accs client DHCP ("peer default ip address pool xx") et les paramtres d'authentification
"ppp authentication chap callin". Il apparat que ce dernier paramtre soit inutile dans une
configuration client. Ct serveur, un username est cr avec le password CHAP.
Les sessions PPPoE sont permises sur linterface FastEthernet0/1 qui est assigne sur le
groupe BBA global ("pppoe enable group global"). La commande "pppoe enable" aurait
suffit. Un client PPPoE est initi sur lensemble dinterface numro 1.
Linterface dialer1 est ensuite dfinie. On configure le MTU (Maximum Transmission Unit)
1492 puisque Ethernet a une taille utile de 1500 octets, len-tte PPPoE fait 6 octets et
lidentifiant PPP est de 2 octets. Cette interface fait partie des interfaces communes numro 1.
Cette interface correspond linterface NAT extrieure et ladresse IP est ngocie par
DHCP. Le moyen dauthentification PPP doit tre spcifi ce niveau.
Linterface FastEthernet0/0 correspond lintrieur du NAT et possde une adresse IP fixe
(ici 10.0.0.1). Sur cette interface, on peut poser le MSS (Maximum Segment Size) gal 1452
(20 octets IP et 20 octets TCP) : "ip tcp mss-adjust 1452".
La route par dfaut est initialise sur linterface Dialer. Les adresses internes NAT peuvent
surcharges ladresse obtenue sur linterface Dialer1. La translation du serveur SIP doit tre
spcifie de manire statique. Sur le dialer-group 1, le protocole IP est permis.

Configuration IPv6
L'exemple ci-dessous montre une configuration IPv6.
ipv6 unicast-routing ipv6 cef ! interface FastEthernet0/0 ipv6 address 2001:660:3203:110::/64
eui-64 ipv6 enable exit interface FastEthernet0/1.300 ipv6 address 2001:660:3203:2241::1/64
ipv6 enable ipv6 nd prefix 2001:660:3203:2241::/64 2592000 604800 exit ipv6 route 2000::/3
2001:660:3203:110::1

ACL rflectives
Les ACL rflectives permettent de filtrer des paquets sur des informations provenant des
couches hautes. Elles sont notamment utilises pour autoriser un trafic spcifique dont
lorigine est le rseau interne mais interdire le mme trafic initi de lextrieur. Elles
constituent une protection contre lusurpation et certaines attaques de dni de service.
Tous les paquets IP sont autoriss sortir et une nouvelle ACL "mirror" est cre
temporairement. Les paquets entrants sont valus suivant cette liste daccs.
BR# ip access-list extended DMZ_out remark packets to DMZ permit ip any any reflect
mirror exit ip access-list extended DMZ_in remark packets from DMZ evaluate mirror deny
ip any any log exit ! interface FastEthernet0/0 ip access-group DMZ_in in ip access-group
DMZ_out out exit

Serveur SNMP
access-list 1 permit 157.159.226.x snmp-server community test RO 1 snmp-server enable
traps snmp authentication linkdown linkup coldstart snmp-server enable traps tty snmp-server
host 157.159.226.x version 2c test
La configuration du client SNMP sous Linux est donne.
[root@WRITER gillet]# yum install net-snmp
Installed: net-snmp.i386 1:5.4.1-8.fc8
Dependency Updated: net-snmp-libs.i386 1:5.4.1-8.fc8
[root@WRITER snmp]# yum install net-snmp-utils
Installed: net-snmp-utils.i386 1:5.4.1-8.fc8

[root@WRITER snmp]# snmpget -v1 -c test 157.159.225.3 system.sysDescr.0
SNMPv2-MIB::sysDescr.0 = STRING: Cisco IOS Software, C3550 Software (C3550-
IPSERVICESK9-M), Version 12.2(25)SEE1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Mon 22-May-06 08:08 by yenanh
[root@WRITER snmp]# snmpget -v1 -c test 157.159.225.3 system.sysUpTime.0
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (331045786) 38 days, 7:34:17.86
[gillet@WRITER ~]$ snmpwalk -v2c -c test 157.159.225.3 system
SNMPv2-MIB::sysDescr.0 = STRING: Cisco IOS Software, C3550 Software (C3550-
IPSERVICESK9-M), Version 12.2(25)SEE1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Mon 22-May-06 08:08 by yenanh
SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.368
DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (898789944) 104 days, 0:38:19.44
SNMPv2-MIB::sysContact.0 = STRING:
SNMPv2-MIB::sysName.0 = STRING: TEST.int-evry.fr
SNMPv2-MIB::sysLocation.0 = STRING:
SNMPv2-MIB::sysServices.0 = INTEGER: 6
SNMPv2-MIB::sysORLastChange.0 = Timeticks: (0) 0:00:00.00

Multicast
La configuration qui suit donne un exemple de rseau multicast avec 3 routeur PIM dont R2
est le "Rendez-vous Point".

hostname R1 ! ip multicast-routing ! interface Ethernet0/1 ip address 192.168.10.2
255.255.255.0 ip pim sparse-mode ip igmp version 2 ! interface Ethernet0/2 ip address
192.168.20.1 255.255.255.0 ip pim sparse-mode ! interface Ethernet0/3 ip address
192.168.40.2 255.255.255.0 ip pim sparse-mode ! router rip version 2 network 192.168.10.0
network 192.168.20.0 network 192.168.40.0 ! ip pim rp-address 192.168.40.1 override

hostname R2 ! ip multicast-routing ! interface Ethernet0/1 ip address 192.168.50.2
255.255.255.0 ip pim sparse-mode ! interface Ethernet0/2 ip address 192.168.40.1
255.255.255.0 ip pim sparse-mode ! interface Ethernet0/3 ip address 192.168.60.2
255.255.255.0 ip pim sparse-mode ! router rip version 2 network 192.168.40.0 network
192.168.50.0 network 192.168.60.0 ! ip pim rp-address 192.168.40.1 override

hostname R3 ! ip multicast-routing ! interface Ethernet3/1 ip address 192.168.30.2
255.255.255.0 ip pim sparse-mode ip igmp version 2 ! interface Ethernet3/2 ip address
192.168.20.2 255.255.255.0 ip pim sparse-mode ! interface Ethernet3/3 ip address
192.168.60.1 255.255.255.0 ip pim sparse-mode ! router rip version 2 network 192.168.20.0
network 192.168.30.0 network 192.168.60.0 ! ip pim rp-address 192.168.40.1 override
On peut configurer un client multicast avec un Cisco, mme si le client est un PC dans cette
plate-forme.
hostname client ! interface FastEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip igmp
join-group 239.0.10.1 ip igmp version 2 ! ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 client#
debug ip igmp *Feb 25 11:17:20.199: IGMP(0): Received v2 Query on FastEthernet0/0 from
192.168.10.2 *Feb 25 11:17:20.199: IGMP(0): Set report delay time to 1.8 seconds for
239.0.10.1 on FastEthernet0/0 *Feb 25 11:17:22.003: IGMP(0): Send v2 Report for
239.0.10.1 on FastEthernet0/0

Outil Netflow
Sur une machine Cisco:
interface FastEthernet0/0.2 description To_PE2 ip flow ingress ! interface FastEthernet0/0.3
description To_PE3 ip flow ingress ! interface FastEthernet0/1.300 description To_DMZ ip
flow ingress ! interface FastEthernet0/1.315 description To_B103 ip flow ingress ! ip flow-
export source Loopback0 ip flow-export version 5 ip flow-export destination 157.159.x.x
2055

Le poste 157.159.x.x coute sur le port 2055. Ci-dessous, sa configuration:
[root@WRITER ~]# yum install flow-tools [root@WRITER netflow]# flow-capture -w
./netflow -E16M 0/1.1.1.1/2055 [root@WRITER netflow]# vi /etc/sysconfig/iptables -A RH-
Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 2055 -j ACCEPT
[root@WRITER netflow]# service iptables restart [root@WRITER 2009-06]# flow-cat -p
./netflow/2009/2009-06/2009-06-30/tmp-v05.2009-06-30.114849+0200 | flow-stat -f0 -P -p -
S3 # --- ---- ---- Report Information --- --- --- # # Fields: Percent Total # Symbols: Disabled #
Sorting: Descending Field 3 # Name: Overall Summary # # Args: flow-stat -f0 -P -p -S3 # # #
mode: streaming # capture start: Tue, 30 Jun 2009 11:48:49 +0200 # capture end: Thu, 01 Jan
1970 01:00:00 +0100 # capture period: 3048611967 seconds # compress: off # byte order:
little # stream version: 3 # export version: 5 # lost flows: 0 # corrupt packets: 29 # sequencer
resets: 0 # capture flows: 0 # flow-cat: Warning, partial inflated record before EOF Total
Flows : 11119 Total Octets : 7325435 Total Packets : 60193 Total Time (1/1000 secs)
(flows): 179370920 Duration of data (realtime) : 578 Duration of data (1/1000 secs) :
1903292 Average flow time (1/1000 secs) : 16131.9284 Average packet size (octets) :
121.6991 Average flow size (octets) : 658.8214 Average packets per flow : 5.4135 Average
flows / second (flow) : 5.8429 Average flows / second (real) : 19.2370 Average Kbits / second
(flow) : 30.7953 Average Kbits / second (real) : 101.3901 IP packet size distribution: 1-32 64
96 128 160 192 224 256 288 320 352 384 416 448 480 .003 .569 .161 .085 .034 .030 .018
.016 .023 .014 .011 .014 .005 .002 .001 512 544 576 1024 1536 2048 2560 3072 3584 4096
4608 .003 .002 .003 .006 .001 .000 .000 .000 .000 .000 .000 Packets per flow distribution: 1 2
4 8 12 16 20 24 28 32 36 40 44 48 52 .359 .144 .185 .192 .049 .022 .015 .008 .005 .003 .002
.002 .002 .002 .001 60 100 200 300 400 500 600 700 800 900 >900 .002 .004 .002 .000 .000
.000 .000 .000 .000 .000 .000 Octets per flow distribution: 32 64 128 256 512 1280 2048
2816 3584 4352 5120 5888 6656 7424 8192 .000 .200 .220 .150 .227 .095 .039 .035 .011 .008
.003 .002 .001 .001 .001 8960 9728 10496 11264 12032 12800 13568 14336 15104 15872
>15872 .001 .001 .001 .000 .000 .000 .000 .000 .000 .000 .003 Flow time distribution: 10 50
100 200 500 1000 2000 3000 4000 5000 6000 7000 8000 9000 10000 .448 .035 .020 .066
.017 .008 .009 .007 .005 .009 .009 .004 .004 .005 .007 12000 14000 16000 18000 20000
22000 24000 26000 28000 30000 >30000 .013 .016 .154 .005 .004 .007 .003 .003 .002 .002
.137 [root@WRITER 2009-06]# flow-cat -p ./netflow/2009/2009-06/2009-06-30/ft-v05.2009-
06-30.114849+0200 | flow-stat -f10 -P -p -S3 # src IPaddr dst IPaddr flows octets packets #
157.159.*.71 157.159.*.185 1.724 5.547 2.426 138.96.*.199 157.159.*.73 0.222 5.413 0.696
138.96.*.199 157.159.*.74 0.222 4.514 0.616

On obtient les rsultats suivants (source PERCEVALE):