cisco – RSNET.PL

Spanning Tree Protocol – podstawy

admin — Wed, 15 Aug 2018 22:13:46 +0000

Protokół drzewa rozpinającego (STP) został przedstawiony jako mechanizm przeciwdziałania pętlą w warstwie drugiej modelu ISO/OSI. STP używa mechanizmu, który polega na wyłączaniu redundantnych linków w celu uniknięcia pętli w sieci LAN. Gdyby nie STP pakiety rozgłoszeniowe (Broadcast) krążyły by w sieci w nieskończoność.

Załóżmy, że mamy poniższą topologię sieci przedstawioną na rysunku poniżej.

PC-1 chcę się skomunikować z PC-2, załóżmy że na PC-1 wydamy komendę ping 192.168.0.2. Host PC-1 nie zna adresu MAC hosta PC-2, więc musi wysłać zapytanie ARP na adres rozgłoszeniowy. Ramka z tym zapytaniem trafia najpierw do switcha SW3, który przesyła ją do wszystkich swoich interfejsów (Gi0/0, Gi0/1), z wyjątkiem interfejsu z którego ta ramka przyszła (Gi0/2). Następnie ramka dociera do SW1 oraz do SW2. Oba te switche również przesyłają tą ramkę w taki sam sposób jak zrobił to SW3, czyli SW1 przesyła ramkę przez Gi0/1 w kierunku SW2, oraz przez Gi0/2 do PC-2, natomiast SW2 przesyła ramkę przez Gi0/0 w kierunku SW1. Host PC-2 otrzymał zapytanie ARP i może na nie odpowiedzieć, jednak ramka z zapytaniem dalej krąży pomiędzy SW1, SW2 i SW3 i będzie tak krążyć w nieskończoność. Jedynym sposobem na przerwanie tej pętli jest wyłączenie jednego z interfejsów pomiędzy switchami, w taki sposób żeby istniała tylko jedna ścieżka pomiędzy PC-1 a PC-2 i do tego właśnie celu służy protokół drzewa rozpinającego (Spanning Tree Protocol).

Domyślnie przełączniki Cisco mają uruchomiony protokół STP, natomiast dla celów zobrazowania co się stanie jak w sieci LAN powstanie pętla i ramki będą krążyć w nieskończoność wyłączymy STP na switchach w topologii przedstawionej powyżej. Sprawdźmy co się stanie z przełącznikami jak wyłaczymy STP i wykonamy ping z PC-1 na PC-2.

Do wyłączenia STP służy komenda:

SW(config)# no spanning-tree vlan 1

Wykonajmy ją na wszystkich trzech switchach:

SW1(config)# no spanning-tree vlan 1
SW2(config)# no spanning-tree vlan 1
SW3(config)# no spanning-tree vlan 1

Teraz wykonajmy ping z PC-1 i PC-2 i obserwujmy co się stanie. Switche SW1 i SW2 przestały odpowiadać na komendy, utylizacja procesora jest na bardzo wysokim poziomie, dlatego nie odpowiada konsola, dodatkowo jak uruchomimy wiresharka na jednym z interfejsów pomiędzy switchami to zobaczymy, że cały czas krążą w sieci pakiety broadcast:

Dodatkowo ping pomiędzy PC-1 a PC-2 nie działa, dostajemy timeout i jest to spowodowane pętlą w sieci. Wyłączmy teraz jeden z interfejsów switcha SW3 (Gi0/1) i zobaczmy jak będzie wyglądała sytuacja. Od razu po wyłączeniu interfejsu Gi0/1 możemy zaobserwować, że konsole na switchach zaczęły odpowiadać, oraz ping z PC-1 na PC-2 działa.

VPCS> ping 192.168.0.2
84 bytes from 192.168.0.2 icmp_seq=1 ttl=64 time=9.095 ms
84 bytes from 192.168.0.2 icmp_seq=2 ttl=64 time=15.457 ms
84 bytes from 192.168.0.2 icmp_seq=3 ttl=64 time=27.437 ms
84 bytes from 192.168.0.2 icmp_seq=4 ttl=64 time=12.474 ms
84 bytes from 192.168.0.2 icmp_seq=5 ttl=64 time=11.474 ms

Jak działa STP ?

Włączmy teraz spowrotem na switchach spanning-tree protocol oraz interfejs który wyłączyliśmy. W celu weryfikacji czy STP jest uruchomione możemy posłużyć się następującą komendą:

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           Cost 4
           Port 1 (GigabitEthernet0/0)
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0dc1.2f00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Root FWD 4    128.1    P2p
Gi0/1     Altn BLK 4    128.2    P2p

SW2#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           Cost 4
           Port 2 (GigabitEthernet0/1)
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0d8e.9c00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Root FWD 4    128.2    P2p
Gi0/2     Desg FWD 4    128.3    P2p

SW3#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           This bridge is the root
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0d3f.0c00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Desg FWD 4    128.2    P2p
Gi0/2     Desg FWD 4    128.3    P2p

Protokół STP działa w oparciu o ramki BPDU (bridge protocol data unit). Switche wymieniają się tymi ramkami i na ich podstawie ustalają które nadmiarowe połączenia zablokować. Ramka BPDU wygląda następująco:

Najpierw na podstawie ramek BPDU wybierany jest korzeń drzewa (root bridge). Korzeń drzewa zostaje wybrany na podstawie Bridge Identifier, które składa się następujących pól:

Bridge Priority – priorytet przełacznika

Bridge System ID Extension – vlan dla którego działa STP

Bridge System ID – MAC adres przełącznika

Root Bridge zostaje switch który posiada najmniejszy priorytet, w przypadku gdy priorytety są takie same to korzeniem zostaje przełącznik o najniższym adresie MAC. W naszym przykładzie Root Bridge został wybrany switch SW3, ponieważ posiada najniższy MAC adres (priorytety na wszystkich switchach są takie same)

SW1 Bridge ID 
Priority 32769 (priority 32768 sys-id-ext 1) 
Address 00ca.0dc1.2f00

SW2 Bridge ID 
Priority 32769 (priority 32768 sys-id-ext 1)
Address 00ca.0d8e.9c00

SW3 Bridge ID
Priority 32769 (priority 32768 sys-id-ext 1)
Address 00ca.0d3f.0c00

Zweryfikujmy to wydając komendę show spanning-tree na SW3:

SW3#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
        Address 00ca.0d3f.0c00
        This bridge is the root
        Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
          Address 00ca.0d3f.0c00
          Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
          Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Desg FWD 4    128.2    P2p
Gi0/2     Desg FWD 4    128.3    P2p

Następny krok po wybraniu root bridge to ustawienie portów przełączników w odpowiedniej roli. Role portów w STP są trzy: Designated, Root, Alternate. Porty Designated i Root przesyłają ruch, natomiast porty Alternate są zablokowane tak aby nie powstała pętla. Porty Root są to porty które prowadzą do Root Bridge’a, natomiast porty Designated to porty które prowadzą do innych przełączników. Wszystkie porty root bridge są portami Designated:

Następnie pozostałe przełączniki wybierają porty Root i Designated, które wybierane są zgodnie z poniższym algorytmem:

1. Najniższy root bridge ID

2. Najniższy koszt ścieżki do root bridge

3. Najniższy bridge ID

4. Najniższy port ID (nadawcy).

Port ID składa się z priorytetu i numeru interfejsu. W wyniku polecenia show spanning-tree jest to pole Prio.Nbr.

Pierwszy punkt możemy ominąć, ponieważ ma on zastosowanie tylko dla portów Root Bridge’a. Kolejny punkt to najniższy koszt ścieżki do root bridge. Domyślnie koszty portów wyglądają następująco:

Pasmo	Koszt
10 Mbps	100
100 Mbps	19
1-Gigabit Ethernet	4
10-Gigabit Ethernet	2

W naszej topologii mamy interfejsy Gigabitowe więc koszty poszczególnych linków wynoszą 4:

Dla SW1 koszt ścieżki do Root Bridge przez Gi0/0 wynosi 4, natomiast przez Gi0/1 wynosi 4+4 czyli 8. W związku z tym Gi0/0 zostanie Root Port.

Dla SW2 koszt ścieżki do Root Bridge przez Gi0/0 wynosi 4 +4 czyli 8, natomiast przez Gi0/1 wynosi 4. W związku z tym Gi0/1 zostanie Root Port.

Ostatni krok to wybór portu Designated i portu Alternate. W obu przypadkach zarówno port Gi0/1 na SW1 oraz Gi0/0 na SW2 mają ten sam koszt ścieżki do Root Bridge, dlatego musimy wziąć następny punkt algorytmu wyboru, czyli punkt 3. Najniższy bridge ID. Dla przypomnienia Bridge ID SW1 = 32769 + 00ca.0dc1.2f00, a Bridge ID SW2 = 32769 + 00ca.0d8e.9c00. Priorytet w obu przypadkach jest taki sam, czyli niższy Bridge ID jest ustalany a podstawie niższego adresu MAC, w tym przypadku SW2 ma niższy Bridge ID, czyli port Gi0/0 na SW2 zostanie portem Designated, a port Gi0/1 na switchu SW1 zostanie zablokowany, czyli będzie pełnił rolę Alternate.

Zweryfikujmy stan portów korzystając z komendy show spanning-tree.

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           Cost 4
           Port 1 (GigabitEthernet0/0)
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0dc1.2f00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Root FWD 4    128.1    P2p
Gi0/1     Altn BLK 4    128.2    P2p

SW2#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           Cost 4
           Port 2 (GigabitEthernet0/1)
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0d8e.9c00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Root FWD 4    128.2    P2p

SW3#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           This bridge is the root
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0d3f.0c00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Desg FWD 4    128.2    P2p

Każdy z portów w STP może być w jednym z poniższych stanów:

Disabled – port jest wyłączony administracyjnie (shutdown) i nie bierze udziału w procesie STP

Blocking – jest to początkowy stan portu, który trwa przez 20 sekund, po tym czasie port przechodzi do stanu Listening. Jeśli port nie jest portem Designated ani Root, czyli jest portem Alternate to również będzie w stanie blocking i w nim pozostanie dopóki nie zostanie zmieniona topologia sieci. Port w stanie blocking nie uczestniczy w procesie przesyłania ramek.

Listening – tylko designated i root port może przejść w stan nasłuchiwania. W tym stanie switch próbuje dowiedzieć się jak wygląda topologia. Port w stanie listening przesyła tylko ramki BPDU, ramki z danymi nie są przesyłane, po 15 sekundach w stanie listening port przechodzi w stan learning.

Learning – w tym stanie port uczy się adresów MAC poprzez analizowanie adresów źródłowych ramek ethernetowych otrzymanych na porcie. Port uczy się adresów przez 15 sekund, a następnie przechodzi w stan przesyłania ramek (Forwarding)

Forwarding – jest to finalny stan portu, w którym następuje przesyłanie ramek z danymi.

STP przydatne komendy:

Zmiana Root Bridge

Zmianę root bridge’a możemy wykonać na dwa sposoby. Automatycznie i ręcznie.

SW1(config)#spanning-tree vlan 1 root primary

Powyższa komenda zmieni priorytet przełącznika (bridge priority) na wartość niższą niż priorytet obecnego root bridge’a.

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID     Priority 24577
            Address  00ca.0dc1.2f00
            This bridge is the root
            Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID   Priority 24577 (priority 24576 sys-id-ext 1)
            Address  00ca.0dc1.2f00
            Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
            Aging Time 15 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Desg FWD 4    128.2    P2p

Ręczną zmianę priorytetu możem wykonać następująca komendą:

SW1(config)#spanning-tree vlan 1 priority 4096

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID       Priority  4097
              Address   00ca.0dc1.2f00
              This bridge is the root
              Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID     Priority  4097 (priority 4096 sys-id-ext 1)
              Address   00ca.0dc1.2f00
              Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
              Aging Time 300 sec

Interface Role Sts  Cost  Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD  4     128.1    P2p
Gi0/1     Desg FWD  4     128.2    P2p

Zmiana kosztu intefejsu:

SW1(config-if)#spanning-tree cost 100

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID       Priority  4097
              Address   00ca.0dc1.2f00
              This bridge is the root
              Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID    Priority   4097 (priority 4096 sys-id-ext 1)
             Address    00ca.0dc1.2f00
             Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
             Aging Time 300 sec

Interface Role Sts  Cost  Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD   100  128.1    P2p
Gi0/1     Desg FWD   4    128.2    P2p

URPF – Unicast Reverse Path Forwarding

admin — Sun, 29 Jul 2018 10:59:47 +0000

Unicast Reverse Path Forwarding (uRPF) – jest to technika stosowana w routerach Cisco (oraz u innych producentów), która umożliwia sprawdzenie czy źródło pakietu IP jest osiągalne przez tablice routingu. Zapobiega to fałszowaniu adresów IP (IP spoofing). uRFP może działać w dwóch trybach: „ścisłym” i „luźnym”

– strict mode

– loose mode

STRICT MODE

W trybie ścisłym router sprawdza czy źródłowy adres ip pakietu otrzymanego na danym interfejsie, jest osiągalny przez router na postawie tablicy CEF FIB przez interfejs z którego przyszedł pakiet, jeśli nie to pakiet jest odrzucany.

LOOSE MODE

W trybie luźnym w przeciwieństwie do trybu ścisłego router sprawdza czy źródłowy adres ip pakietu otrzymanego na danym interfejsie jest osiągalny przez router na podstawie tablicy CEF FIB przez jakikolwiek z jego interfejsów.

PRZYKŁAD:

W celu zademonstrowania działania mechanizmu uRPF w routerach CISCO posłużę się następując topologią zbudowaną w GNS3

Konfiguracja wygląda następująco:

interface FastEthernet0/0
  ip address 192.168.12.1 255.255.255.0
  ip verify unicast source reachable-via rx
  duplex full
!
interface FastEthernet1/0
  ip address 192.168.13.1 255.255.255.0
  duplex full
!
router ospf 1
  network 192.168.0.0 0.0.255.255 area 0

interface Loopback0
  ip address 3.3.3.3 255.255.255.255
!
interface FastEthernet0/0
  ip address 192.168.12.2 255.255.255.0
  duplex full
!
interface FastEthernet1/0
  ip address 192.168.23.2 255.255.255.0
  duplex full
!
router ospf 1
  network 192.168.0.0 0.0.255.255 area 0

interface Loopback0
  ip address 3.3.3.3 255.255.255.255
!
interface FastEthernet0/0
  ip address 192.168.13.3 255.255.255.0
  duplex full
!
interface FastEthernet1/0
  ip address 192.168.23.3 255.255.255.0
  duplex full
!
router ospf 1
  network 3.3.3.3 0.0.0.0 area 0
  network 192.168.0.0 0.0.255.255 area 0

Sprawdźmy teraz jak wygląda tablica routingu na routerze R1.

R1# show ip route

      3.0.0.0/32 is subnetted, 1 subnets
O        3.3.3.3 [110/2] via 192.168.13.3, 00:06:01, FastEthernet1/0
      192.168.12.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.12.0/24 is directly connected, FastEthernet0/0
L        192.168.12.1/32 is directly connected, FastEthernet0/0
      192.168.13.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.13.0/24 is directly connected, FastEthernet1/0
L        192.168.13.1/32 is directly connected, FastEthernet1/0
O     192.168.23.0/24 [110/2] via 192.168.13.3, 00:14:33, FastEthernet1/0
                      [110/2] via 192.168.12.2, 00:14:33, FastEthernet0/0

Jak widać na powyższym wyniku prefix 3.3.3.3 jest osiągalny przez interfejs FastEthernet1/0, czyli interfejsu podłączonego do routera R3. Teraz ustawmy uRPF w trybie strict na interfejsach routera R1.

interface FastEthernet0/0
  ip verify unicast source reachable-via rx
!
interface FastEthernet1/0
  ip verify unicast source reachable-via rx

Przetestujmy działanie tego mechanizmu. Z routera R3 spingujmy router R1 i zobaczmy co się stanie.

R3#ping 192.168.13.1 source 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.13.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 36/46/56 ms

Jak widać wszystko przebiegło bez zarzutów, ponieważ pakiet przyszedł przez interfejs FastEthernet1/0, czyli zgodnie z tablicą CEF FIB:

R1#show ip cef 3.3.3.3
3.3.3.3/32
nexthop 192.168.13.3 FastEthernet1/0

Sprawdzić działanie uRPF możemy wykonując polecenie:

R1#show ip int fa0/0 | in verif
IP verify source reachable-via RX
0 verification drops
0 suppressed verification drops
0 verification drop-rate

Jak widać mechanizm nie odrzucił pakietów, ponieważ założenia trybu ścisłego zostały spełnione.

Teraz spróbujmy wysłać pakiet z adresem źródłowym 3.3.3.3 przez interfejs FastEthernet0/0. Najprościej jest to zrobić z routera R2, w tym celu dodajmy interfejs Loopback0 z adresem 3.3.3.3/32 i wykonajmy polecenie ping:

R2(config)#int Loopback 0
R2(config-if)#ip address 3.3.3.3 255.255.255.255
R2(config-if)#do ping 192.168.12.1 source 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
.....
Success rate is 0 percent (0/5)

Nie otrzymaliśmy odpowiedzi, sprawdźmy więc czy rzeczywiście mechanizm zadziałał:

R1#show ip int fa0/0 | in verif
IP verify source reachable-via RX
5 verification drops
0 suppressed verification drops
0 verification drop-rate

Teraz sprawdźmy jak działa tryb luźy (loose mode). Zmieńmy konfiguracje intefejsów na R1:

interface FastEthernet0/0
  ip verify unicast source reachable-via any
!
interface FastEthernet1/0
  ip verify unicast source reachable-via any

i spróbujmy wykonać jeszcze raz polecenie ping na routerze R2:

R2#ping 192.168.12.1 source 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
.....
Success rate is 0 percent (0/5)

Hmm, nie otrzymaliśmy odpowiedzi, czyli wynik jest taki sam jak w przypadku trybu strict, sprawdźmy to dla pewności:

R1#show ip int fa0/0 | in verif
IP verify source reachable-via ANY
5 verification drops
5 suppressed verification drops
0 verification drop-rate

Wynik powyższej komendy jest jednak inny niż w przypadku trybu strict. Sugeruje to, że pakiety nie zostały odrzucone i powinniśmy dostać odpowiedzi, dlaczego więc się tak nie stało ?

Odpowiedź jest bardzo prosta (IP spoofing), ponieważ na R2 sfałszowaliśmy adres źródłowy (3.3.3.3), router R1 odesłał odpowiedzi do tego adresu, zgodnie ze swoją tablicą routingu, czyli do R3. Wykonajmy jeszcze raz to samo polecenie ping, ale włączmy tym razem debugowanie pakietów icmp na routerze R3:

R3#debug ip icmp
R3#
*Jul 29 10:38:02.111: ICMP: echo reply rcvd, src 192.168.12.1, dst 3.3.3.3, topology BASE, dscp 0 topoid 0
R3#
*Jul 29 10:38:04.131: ICMP: echo reply rcvd, src 192.168.12.1, dst 3.3.3.3, topology BASE, dscp 0 topoid 0
R3#
*Jul 29 10:38:06.079: ICMP: echo reply rcvd, src 192.168.12.1, dst 3.3.3.3, topology BASE, dscp 0 topoid 0
R3#
*Jul 29 10:38:07.967: ICMP: echo reply rcvd, src 192.168.12.1, dst 3.3.3.3, topology BASE, dscp 0 topoid 0

Czyli wszystko działa tak jak należy

PODSUMOWANIE

uRFP jest jednym z mechanizmów ochrony przed fałszowaniem źródłowego adresu IP i powinno być wykorzystywane jeśli tylko jest taka możlwość. Dodatkowe komendy przydatne przy diagnozowani problemów z uRPF to:

R1#show ip traffic
IP statistics:
  Rcvd:  298 total, 296 local destination
         0 format errors, 0 checksum errors, 0 bad hop count
         0 unknown protocol, 0 not a gateway
         0 security failures, 0 bad options, 0 with options
  Opts:  0 end, 0 nop, 0 basic security, 0 loose source route
         0 timestamp, 0 extended security, 0 record route
         0 stream ID, 0 strict source route, 0 alert, 0 cipso, 0 ump
         0 other
  Frags: 0 reassembled, 0 timeouts, 0 couldn't reassemble
         0 fragmented, 0 fragments, 0 couldn't fragment
  Bcast: 0 received, 0 sent
  Mcast: 255 received, 285 sent
  Sent:  332 generated, 0 forwarded
  Drop:  0 encapsulation failed, 0 unresolved, 0 no adjacency
         0 no route, 7 unicast RPF, 0 forced drop, 0 unsupported-addr
         0 options denied, 0 source IP address zero

R1#show cef interface f0/0
FastEthernet0/0 is up (if_number 2)
  Corresponding hwidb fast_if_number 2
  Corresponding hwidb firstsw->if_number 2
  Internet address is 192.168.12.1/24
  ICMP redirects are always sent
  Per packet load-sharing is disabled
  IP unicast RPF check is enabled
  Input features: uRPF
  IP policy routing is disabled
  BGP based policy accounting on input is disabled
  BGP based policy accounting on output is disabled
  Hardware idb is FastEthernet0/0
  Fast switching type 1, interface type 18
  IP CEF switching enabled
  IP CEF switching turbo vector
  IP CEF turbo switching turbo vector
  IP prefix lookup IPv4 mtrie 8-8-8-8 optimized
  Input fast flags 0x4000, Output fast flags 0x0
  ifindex 2(2)
  Slot  Slot unit 0 VC -1
  IP MTU 1500

R1#show cef interface f1/0
FastEthernet1/0 is up (if_number 3)
  Corresponding hwidb fast_if_number 3
  Corresponding hwidb firstsw->if_number 3
  Internet address is 192.168.13.1/24
  ICMP redirects are always sent
  Per packet load-sharing is disabled
  IP unicast RPF check is enabled
  Input features: uRPF
  IP policy routing is disabled
  BGP based policy accounting on input is disabled
  BGP based policy accounting on output is disabled
  Hardware idb is FastEthernet1/0
  Fast switching type 1, interface type 18
  IP CEF switching enabled
  IP CEF switching turbo vector
  IP CEF turbo switching turbo vector
  IP prefix lookup IPv4 mtrie 8-8-8-8 optimized
  Input fast flags 0x4000, Output fast flags 0x0
  ifindex 3(3)
  Slot  Slot unit 0 VC -1
  IP MTU 1500

DMVPN faza 1 + IPSEC – konfiguracja

admin — Tue, 02 Jan 2018 19:36:21 +0000

We wpisie https://kubsoo.github.io/rsnet-website/dmvpn-faza-1-konfiguracja/ pokazałem jak skonfigurować DMVPN w fazie 1 z dynamicznymi mapowaniami NHRP. W tym wpisie pokażę jak do tak przygotowanej konfiguracji dodać konfigurację IPSEC, tak żeby łączność pomiędzy urządzeniami była zabezpieczona przy wykorzystaniu IPSEC.

Przypomnijmy jeszcze raz topologię oraz konfigurację DMVPN w fazie 1 z dynamicznymi mapowaniami NHRP.

Topologia

Konfiguracja DMVPN

hostname HUB
!
interface Tunnel0
 ip address 172.22.10.1 255.255.255.0
 ip nhrp network-id 123
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
!
interface FastEthernet0/0
 ip address 192.168.10.1 255.255.255.0
!

hostname SPOKE1
!
interface Tunnel0
 ip address 172.22.10.2 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.2 255.255.255.0
!

hostname SPOKE2
!
interface Tunnel0
 ip address 172.22.10.3 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.3 255.255.255.0
!

hostname SPOKE3
!
interface Tunnel0
 ip address 172.22.10.4 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.4 255.255.255.0
!

KONFIGURACJA IPSEC

Przed przystąpieniem do konfigurowania IPSEC sprawdźmy jak wygląda ruch w DMVPN widziany na interfejsie fa0/0 routera R1. Posłużymy się do tego wiresharkiem:

Po uruchomieniu wiresharka spingujmy router R3 (SPOKE-2) z routera R2 (SPOKE-1). W tym celu wydajmy polecene ping 172.22.10.3 na routerze R2 (SPOKE-1).

SPOKE1#ping 172.22.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.10.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/40/60 ms

Sprawdźmy jak wygląda ten ruch w wiresharku:

Widzimy, że ruch nie jest szyfrowany i możemy go podsłuchać. Spróbujmy go teraz zabezpieczyć przy pomocy IPSECa.

Konfiguracja IPSEC na każdym routerze wygląda tak samo:

R1 (HUB), R2 (SPOKE1), R3 (SPOKE2), R4 (SPOKE3)

crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key cisco123 address 0.0.0.0
!
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
 mode transport
!
crypto ipsec profile IPSEC_PROFILE
 set transform-set TSET
!
int tunnel 0
 tunnel protection ipsec profile IPSEC_PROFILE

Po skonfigurowaniu IPSEC sprawdźmy czy zestawił się on poprawnie (isakmp sa i ipsec sa). Wystarczy, że dokonamy sprawdzenia na routerze R1 (HUB), ponieważ routery R2, R3, R4 zestawiają tunele tylko z nim.

R1 (HUB)

HUB#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
192.168.10.4 192.168.10.1 QM_IDLE 1005 ACTIVE
192.168.10.1 192.168.10.4 QM_IDLE 1004 ACTIVE
192.168.10.1 192.168.10.3 QM_IDLE 1003 ACTIVE
192.168.10.1 192.168.10.2 QM_IDLE 1001 ACTIVE
192.168.10.2 192.168.10.1 QM_IDLE 1002 ACTIVE
192.168.10.3 192.168.10.1 QM_IDLE 1006 ACTIVE

HUB#show crypto ipsec sa

interface: Tunnel0
 Crypto map tag: Tunnel0-head-0, local addr 192.168.10.1

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.3/255.255.255.255/47/0)
 current_peer 192.168.10.3 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.3
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0x4D074ABE(1292323518)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0xA8B99213(2830733843)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 7, flow_id: 7, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4329808/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x81E2FE13(2179137043)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 9, flow_id: 9, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4282574/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x7BDEB7FE(2078193662)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 17, flow_id: 17, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4298093/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0x2B6C154D(728503629)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 8, flow_id: 8, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4329808/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x1A5D7249(442331721)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 10, flow_id: 10, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4282574/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x4D074ABE(1292323518)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 18, flow_id: 18, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4298093/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.2/255.255.255.255/47/0)
 current_peer 192.168.10.2 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.2
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0x72B18574(1924236660)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0x532102AC(1394672300)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 1, flow_id: 1, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4349860/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xA0B95616(2696500758)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 3, flow_id: 3, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4203743/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x3D891B1C(1032395548)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 5, flow_id: 5, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4371005/3208)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0x8888EE44(2290675268)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 2, flow_id: 2, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4349860/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x85FE093(140501139)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 4, flow_id: 4, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4203743/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x72B18574(1924236660)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 6, flow_id: 6, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4371005/3208)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.4/255.255.255.255/47/0)
 current_peer 192.168.10.4 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 1, #pkts encrypt: 1, #pkts digest: 1
 #pkts decaps: 2, #pkts decrypt: 2, #pkts verify: 2
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.4
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0xD87AECE3(3631934691)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0xFCF21C61(4243725409)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 11, flow_id: 11, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4192015/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x8DACF8C3(2376923331)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 13, flow_id: 13, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4370183/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xF7D288AB(4157769899)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 15, flow_id: 15, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4608000/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0xE7B4AE5B(3887378011)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 12, flow_id: 12, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4192015/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x3D9E28E5(1033775333)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 14, flow_id: 14, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4370183/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xD87AECE3(3631934691)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 16, flow_id: 16, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4608000/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

Jak widać z wyników powyższych komend wszystkie tunele zestawiły się poprawnie.

WERYFIKACJA

Sprawdźmy teraz co widać w wiresharku przy pingowaniu routera R3 (SPOKE-2) z routera R2 (SPOKE-1).

SPOKE1#ping 172.22.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.10.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/40/60 ms

PODSUMOWANIE

Jak widać zgodnie z teorią IPSEC w wiresharku przy pingowaniu widzimy adresy 192.168.10.X (ponieważ skonfigurowaliśmy IPSEC w trybie transportowym), ponadto nie widzimy jaki ruch jest przesyłany. Widzimy tylko pakiety ESP które składają się z ESP SPI oraz numeru sekwencyjnego. DMVPN w połączeniu z IPSEC jest bardzo dobrą kombinacją do budowania skalowanych sieci VPN między oddziałami firmy, ponieważ przy dodawaniu nowego oddziału (SPOKE) dzięki zastosowaniu DMVPN nie musimy nic konfigurować na naszym HUBie i taki nowy oddział po skonfigurowaniu będzie miał łączność pomiędzy innymi oddziałami a IPSEC pozwoli dodatkowo zabezpieczyć transmisję.

DMVPN faza 1 – konfiguracja

admin — Mon, 18 Dec 2017 18:17:16 +0000

Dynamic Multipoint VPN (DMVPN) faza 1, czyli tunele hub-and-spoke z dynamicznymi mapowaniami NHRP

Topologia

Konfiguracja

hostname HUB
!
interface Tunnel0
 ip address 172.22.10.1 255.255.255.0
 ip nhrp network-id 123
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
!
interface FastEthernet0/0
 ip address 192.168.10.1 255.255.255.0
!

hostname SPOKE1
!
interface Tunnel0
 ip address 172.22.10.2 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.2 255.255.255.0
!

hostname SPOKE2
!
interface Tunnel0
 ip address 172.22.10.3 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.3 255.255.255.0
!

hostname SPOKE3
!
interface Tunnel0
 ip address 172.22.10.4 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.4 255.255.255.0
!

Przydatne komendy

show dmvpn
show ip nhrp

HUB (R1)

HUB#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Hub, NHRP Peers:3,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.2 172.22.10.2 UP 01:36:59 D
 1 192.168.10.3 172.22.10.3 UP 01:36:59 D
 1 192.168.10.4 172.22.10.4 UP 01:36:59 D

HUB#show ip nhrp
172.22.10.2/32 via 172.22.10.2
 Tunnel0 created 01:37:43, expire 01:42:15
 Type: dynamic, Flags: unique registered used
 NBMA address: 192.168.10.2
172.22.10.3/32 via 172.22.10.3
 Tunnel0 created 01:37:44, expire 01:42:15
 Type: dynamic, Flags: unique registered used
 NBMA address: 192.168.10.3
172.22.10.4/32 via 172.22.10.4
 Tunnel0 created 01:37:44, expire 01:42:15
 Type: dynamic, Flags: unique registered used
 NBMA address: 192.168.10.4

SPOKE1 (R2)

SPOKE1#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.1 172.22.10.1 UP 01:39:36 S

SPOKE1#show ip nhrp
172.22.10.1/32 via 172.22.10.1
 Tunnel0 created 01:40:09, never expire
 Type: static, Flags:
 NBMA address: 192.168.10.1

SPOKE2 (R3)

SPOKE2#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.1 172.22.10.1 UP 01:40:38 S

SPOKE2#show ip nhrp
172.22.10.1/32 via 172.22.10.1
 Tunnel0 created 01:41:17, never expire
 Type: static, Flags:
 NBMA address: 192.168.10.1

SPOKE3 (R4)

SPOKE3#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.1 172.22.10.1 UP 01:41:40 S

SPOKE3#show ip nhrp
172.22.10.1/32 via 172.22.10.1
 Tunnel0 created 01:42:22, never expire
 Type: static, Flags:
 NBMA address: 192.168.10.1

WERYFIKACJA

traceroute SPOKE1 -> SPOKE2

SPOKE1#traceroute 172.22.10.3
Type escape sequence to abort.
Tracing the route to 172.22.10.3
VRF info: (vrf in name/id, vrf out name/id)
 1 172.22.10.1 20 msec 8 msec 12 msec
 2 172.22.10.3 32 msec 20 msec 24 msec

traceroute SPOKE1 -> SPOKE3

SPOKE1#traceroute 172.22.10.4
Type escape sequence to abort.
Tracing the route to 172.22.10.4
VRF info: (vrf in name/id, vrf out name/id)
 1 172.22.10.1 16 msec 8 msec 8 msec
 2 172.22.10.4 20 msec 20 msec 24 msec

traceroute SPOKE2 -> SPOKE3

SPOKE2#traceroute 172.22.10.4
Type escape sequence to abort.
Tracing the route to 172.22.10.4
VRF info: (vrf in name/id, vrf out name/id)
 1 172.22.10.1 20 msec 20 msec 12 msec
 2 172.22.10.4 20 msec 20 msec 32 msec

Jak widać ruch między oddziałami typu SPOKE (172.22.10.2,172.22.10.3,172.22.10.4) odbywa się przez HUB (172.22.10.1). Wyjaśnienie działania DMVPN oraz więcej informacji na temat pozostałych faz DMVPN w następnych wpisach.

IPSec S2S VPN Palo Alto – Cisco

admin — Thu, 14 Dec 2017 20:08:07 +0000

W poniższym wpisie pokażę konfigurację tunelu IPSEC VPN pomiędzy firewallem Palo Alto a routerem CISCO. Konfigurację wykonam w labie GNS3, w którym wykorzystam następujące obrazy:

CISCO CSR1000v3.17 – obraz routera CISCO
PA-VM7.1.1.0-1 – obraz firewalla Palo Alto w wersji 7.1.1.0-1
gns3-webterm – kontener dockera do zarządzania firewallem

LAB

Topologia laba GNS3 wygląda nastepująco:

Adresacja

Cisco

Gi1 – 150.1.1.1/30

Tunnel1 – 10.0.0.1/24

Palo Alto

ethernet1/1 – 150.1.1.2/30

tunnel.1 – 10.0.0.2/24

Konfiguracja CISCO

INTERFACES

Router(config)#interface Gi1
Router(config-if)#ip address 150.1.1.1 255.255.255.252
Router(config)#interface Tunnel1
Router(config-if)#ip address 10.0.0.1 255.255.255.0
Router(config-if)#tunnel source 150.1.1.1
Router(config-if)#tunnel destination 150.1.1.2

ISAKMP POLICY

Router(config)#crypto isakmp policy 10
Router(config-isakmp)#hash sha256
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#group 14
Router(config-isakmp)#lifetime 86400
Router(config-isakmp)#encryption aes 256

KLUCZ SZYFRUJĄCY

Router(config)#crypto isakmp key 0 palo_to_cisco! address 150.1.1.2

IP TRANSFORM SET

Router(config)#crypto ipsec transform-set TSET esp-sha512-hmac esp-aes 256

IPSEC PROFILE

Router(config)#crypto ipsec profile IPSEC-PROFILE
Router(ipsec-profile)#set transform-set TSET
Router(ipsec-profile)#set pfs group14
Router(ipsec-profile)#set security-association lifetime seconds 3600

IPSEC TUNNEL

Router(config-if)#tunnel mode ipsec ipv4
Router(config-if)#tunnel protection ipsec profile IPSEC-PROFILE

Cała konfiguracja CISCO

crypto isakmp policy 10
 hash sha256
 authentication pre-share
 group 14
 lifetime 86400
 encryption aes 256
!
crypto isakmp key 0 palo_to_cisco! address 150.1.1.2
!
crypto ipsec transform-set TSET esp-sha512-hmac esp-aes 256
!
crypto ipsec profile IPSEC-PROFILE
 set transform-set TSET
 set pfs group14
 set security-association lifetime seconds 3600
!
interface Gi1
 ip address 150.1.1.1 255.255.255.252
!
interface Tunnel1
 ip address 10.0.0.1 255.255.255.0 
 tunnel source 150.1.1.1
 tunnel destination 150.1.1.2
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC-PROFILE
!

Konfiguracja PALO ALTO

INTERFACE MANAGEMENT PROFILE

Network -> Network Profiles -> Interface Mgmt

INTERFACES

Network -> Interfaces -> ethernet1/1

Network -> Interfaces -> tunnel.1

IKE CRYPTO PROFILE

Network -> Network Profiles -> IKE Crypto

IKE GATEWAY

Network -> Network Profiles -> IKE Gateways

IPSEC CRYPTO

Network -> Network Profiles -> IPSec Crypto

IPSEC TUNNEL

Network -> IPSec Tunnels

COMMIT

Teraz wystarczy zrobić commit.

WERYFIKACJA

Sprawdźmy czy tunel się zestawił. Spróbujmy na routerze CISCO spingować adres tunelu na Palo Alto:

Router#ping 10.0.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/8/29 ms

Udało się, teraz sprawdźmy teraz jak wyglądają wyniki następujących komend:

show crypto isakmp sa (faza 1 – IKE SA)
show crypto ipsec sa -(faza 2 – IPSEC SA)

Router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
150.1.1.2 150.1.1.1 QM_IDLE 1001 ACTIVE

Router#show crypto ipsec sa
interface: Tunnel1
 Crypto map tag: Tunnel1-head-0, local addr 150.1.1.1

protected vrf: (none)
 local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
 remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
 current_peer 150.1.1.2 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 150.1.1.1, remote crypto endpt.: 150.1.1.2
 plaintext mtu 1422, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet1
 current outbound spi: 0xA402847E(2751628414)
 PFS (Y/N): Y, DH group: group14

inbound esp sas:
 spi: 0x1AB4F9C2(448068034)
 transform: esp-256-aes esp-sha512-hmac ,
 in use settings ={Tunnel, }
 conn id: 2003, flow_id: CSR:3, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0
 sa timing: remaining key lifetime (k/sec): (4607999/3143)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0xA402847E(2751628414)
 transform: esp-256-aes esp-sha512-hmac ,
 in use settings ={Tunnel, }
 conn id: 2004, flow_id: CSR:4, sibling_flags FFFFFFFF80004048, crypto map: Tunnel1-head-0
 sa timing: remaining key lifetime (k/sec): (4607999/3143)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

Jak widać od strony CISCO wszystko działa, sprawdźmy teraz jak wygląda tunel IPSEC od strony firewalla Palo Alto.

Najpierw spingujmy adres tunelu na CISCO:

admin@PA-VM> ping source 10.0.0.2 host 10.0.0.1
PING 10.0.0.1 (10.0.0.1) from 10.0.0.2 : 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=255 time=1.91 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=255 time=1.81 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=255 time=2.16 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=255 time=2.50 ms

Teraz sprawdźmy status intefejsu. Robimy to w interfejsie webowym w zakładce Network -> IPSec Tunnels

Jeśli w polach Status widnieją zielone kropki to znaczy, że tunel zestawił się poprawnie.

PODSUMOWANIE

Tunel IPSEC między urządzeniami CISCO i PALO ALTO jest bardzo łatwy w konfiguracji i mam nadzieję, że po przeczytaniu powyższego wpisu nie powinien sprawić nikomu kłopotu.

BGP – konfiguracja CISCO

admin — Wed, 06 Dec 2017 21:02:51 +0000

We wpisie BGP – podstawy opisałem zasadę działania protokołu BGP. Teraz zobaczmy to na przykładzie prostej topologii i skonfigurujmy BGP na routerach CISCO.

TOPOLOGIA

KONFIGURACJA

Wstępna konfiguracja adresów IP:

hostname R1
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0/0
 ip address 192.168.12.1 255.255.255.0
 duplex full
!
interface FastEthernet1/0
 ip address 192.168.13.1 255.255.255.0
 duplex full
!

hostname R2
!
interface FastEthernet0/0
 ip address 192.168.12.2 255.255.255.0
 duplex full
!
interface FastEthernet1/0
 ip address 192.168.23.2 255.255.255.0
 duplex full
!

hostname R3
!
interface FastEthernet0/0
 ip address 192.168.23.3 255.255.255.0
 duplex full
!
interface FastEthernet1/0
 ip address 192.168.13.3 255.255.255.0
 duplex full
!

Teraz przystąpmy do konfiguracji BGP. W tym celu na routerze wydajemy w trybie konfiguracji komendę: router bgp ASN, gdzie ASN to numer AS.

 R1(config)#router bgp 65200

A następnie w konfiguracji bgp wpisujemy adresy sąsiadów i numery AS w których się znajdują: neighbor IP_sąsiada remote-as ASN_sąsiada.

R1(config-router)#neighbor 192.168.12.2 remote-as 65100

Konfiguracja sąsiadów BGP na każdym routerze wygląda następująco:

R1(config)#router bgp 65200
R1(config-router)#neighbor 192.168.12.2 remote-as 65100
R1(config-router)#neighbor 192.168.13.3 remote-as 65200

R2(config)#router bgp 65100
R2(config-router)#neighbor 192.168.12.1 remote-as 65200
R2(config-router)#neighbor 192.168.23.3 remote-as 65200

R3(config)#router bgp 65200
R3(config-router)#neighbor 192.168.13.1 remote-as 65200
R3(config-router)#neighbor 192.168.23.2 remote-as 65100

Po wydaniu powyższych komend powinny nam się utworzyć relacje sąsiedztwa BGP pomiędzy routerami. Sprawdźmy to komendą: show ip bgp summary

R1#show ip bgp sum
BGP router identifier 192.168.13.1, local AS number 65200
BGP table version is 1, main routing table version 1

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
192.168.12.2 4 65100 2 2 1 0 0 00:00:26 0
192.168.13.3 4 65200 3 3 1 0 0 00:00:59 0

R2#show ip bgp summary
BGP router identifier 192.168.23.2, local AS number 65100
BGP table version is 1, main routing table version 1

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
192.168.12.1 4 65200 2 2 1 0 0 00:00:30 0
192.168.23.3 4 65200 2 2 1 0 0 00:00:10 0

R3#show ip bgp summary
BGP router identifier 192.168.23.3, local AS number 65200
BGP table version is 1, main routing table version 1

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
192.168.13.1 4 65200 4 4 1 0 0 00:01:57 0
192.168.23.2 4 65100 4 4 1 0 0 00:01:03 0

Jak widać relacje sąsiedzta się nawiązały, jednak żadnymi trasami się nie wymieniły (State/PrxRcd). Rozgłośmy więc na R1 trasę do interfejsu loopback:

R1(config)#int loopback 0
R1(config-if)#ip address 1.1.1.1 255.255.255.255

R1(config)#router bgp 65200
R1(config-router)#network 1.1.1.1 mask 255.255.255.255

Po kilkunastu sekundach powinniśmy na routerach R2 i R3 zobaczyć trasy do sieci 1.1.1.1. Możemy to sprawdzić komendą: show ip bgp

R1#show ip bgp
BGP table version is 2, local router ID is 192.168.13.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
  r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
  x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

    Network    Next Hop  Metric LocPrf Weight Path
 *> 1.1.1.1/32 0.0.0.0 0               32768  i

R2#show ip bgp
BGP table version is 2, local router ID is 192.168.23.2
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
  r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
  x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
* 1.1.1.1/32 192.168.23.3 0 65200 i
*> 192.168.12.1 0 0 65200 i

R3#show ip bgp
BGP table version is 2, local router ID is 192.168.23.3
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
  r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
  x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

Network Next Hop Metric LocPrf Weight Path
*>i 1.1.1.1/32 192.168.13.1 0 100 0 i

Jak widać na wynikach powyższych komend, trasa do sieci 1.1.1.1 została poprawnie rozgłoszona. Możemy również odczytać atrybuty z jakie posiada ta trasa na każdym routerze.

Na R1 trasa do sieci 1.1.1.1/32 ma następujące atrybuty:

    Network    Next Hop   Metric LocPrf Weight Path
 *> 1.1.1.1/32 0.0.0.0         0         32768 i

Next Hop = 0.0.0.0 – ponieważ trasa jest bezpośrednio połączona z routerem R1 (interfejs Loopback0)

AS Path = i – czyli trasa jest w tym samym AS co router (internal)

Metric (MED) – 0 – domyślna metryka

Weight = 32768 (bo jest to trasa lokalna)

Atrybuty dla tej samej sieci na R2 wyglądają następująco:

    Network     Next Hop      Metric LocPrf Weight  Path
 *  1.1.1.1/32  192.168.23.3                     0  65200 i
 *>             192.168.12.1       0             0  65200 i

Jak widać są dwie trasy do sieci 1.1.1.1, jedna z nich jest trasą preferowaną wybraną na podstawie porównywania atrybutów w odpowiedniej kolejności. Sprawdźmy więc która trasa będzie trasą preferowaną. Dla przypomnienia kolejności porównywania atrybutów znajduje się pod tym linkiem.

Wyświetlić więcej atrybutów możemy poleceniem show ip bgp ip_sieci:

R2#show ip bgp 1.1.1.1
BGP routing table entry for 1.1.1.1/32, version 2
Paths: (2 available, best #2, table default)
 Advertised to update-groups:
 1
 Refresh Epoch 1
 65200
 192.168.23.3 from 192.168.23.3 (192.168.23.3)
 Origin IGP, localpref 100, valid, external
 rx pathid: 0, tx pathid: 0
 Refresh Epoch 1
 65200
 192.168.12.1 from 192.168.12.1 (192.168.13.1)
 Origin IGP, metric 0, localpref 100, valid, external, best
 rx pathid: 0, tx pathid: 0x0

Sprawdźmy teraz po kolei wybór najlepszej trasy:

1. Weight – dla obu tras jest taka sama wartość 0.

2. Local Preference – nie ma wartości

3. Self-originated – wiemy, że trasy są rozgłaszane przez sąsiadów więc nie są self-originated

4. AS Path – obie trasy mają taki sam atrybut. 65200 i

5. Origin – IGP

6. Metric (MED) – dla obu tras jest taka sama wartość 0

7. External – obie trasy są eBGP

8. IGP Cost – jest taki sam bo są to trasy statyczne

9. EBGP Peering – preferowana jest starsza ścieżka, w naszym przypadku starszą ścieżką jest ścieżka przez R1, ponieważ ta relacja sąsiedztwa została nawiązana wcześniej.

Pokrywa się to z wynikiem komendy show ip bgp na R2:

    Network     Next Hop      Metric LocPrf Weight  Path
 *  1.1.1.1/32  192.168.23.3                     0  65200 i
 *>             192.168.12.1       0             0  65200 i

Najlepsza trasa jest zaznaczona znakiem > i jak widać kieruje na next-hop R1.

PODSUMOWANIE

Podstawowa konfiguracja BGP na routerach CISCO jest dosyć prosta, w następnych wpisać postaram się pokazać bardziej zaawansowanej konfiguracji BGP, oraz metody sterowania ruchem w BGP.1

CISCO IPSEC VPN – konfiguracja

admin — Sat, 02 Dec 2017 13:20:57 +0000

Jak skonfigurować tunel IPSEC VPN pomiędzy dwoma routerami CISCO?

Tunel IPSEC VPN pomiędzy dwoma routerami CISCO konfigurujemy w następujących krokach:

Globalne uruchomienie usługi
Konfiguracja ISAKMP Policy
Konfiguracja kluczy szyfrujących
Konfiguracja IP transform set
Stworzenie ACL wskazującej na ruch, który chcemy szyfrować
Stworzenie crypto-mapy i wskazanie IP transform set
Podpięcie crypto-mapy do interfejsu podpiętego do internetu.

PRZYKŁAD

Tunel IPSEC VPN zestawimy pomiędzy routerami R1 i R3 z poniższej topologii:

Konfiguracja podstawowa:

hostname R1
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
ip nat inside
!
interface FastEthernet0/0
ip address 192.168.12.1 255.255.255.0
ip nat outside
!
ip nat inside source list 100 interface FastEthernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 192.168.12.2
!
access-list 100 deny ip host 1.1.1.1 host 3.3.3.3
access-list 100 permit ip host 1.1.1.1 any

hostname R3
!
interface Loopback0
ip address 3.3.3.3 255.255.255.255
ip nat inside
!
interface FastEthernet0/0
ip address 192.168.23.3 255.255.255.0
ip nat outside
!
ip nat inside source list 100 interface FastEthernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 192.168.23.2
!
access-list 100 deny ip host 3.3.3.3 host 1.1.1.1
access-list 100 permit ip host 3.3.3.3 any

KONFIGURACJA IPSEC VPN

1. Globalne uruchomienie usługi

R1(config)#crypto isakmp enable

R3(config)#crypto isakmp enable

2. Konfiguracja ISAKMP Policy

R1(config)#crypto isakmp 
R1(config)#policy 10
R1(config)#encr 3des
R1(config)#hash md5
R1(config)#authentication 
R1(config)#pre-share
R1(config)#group 15

R3(config)#crypto isakmp 
R3(config)#policy 10
R3(config)#encr 3des
R3(config)#hash md5
R3(config)#authentication 
R3(config)#pre-share
R3(config)#group 15

Na obu routerach ISAKMP policy musi być taka sama w celu zestwienia fazy 1 ISAKMP.

3. Konfiguracja kluczy szyfrujących

R1(config)#crypto isakmp key cisco123 address 192.168.23.3

R3(config)#crypto isakmp key cisco123 address 192.168.12.1

W kluczach szyfrujących podajemy adres IP peer’a, z którym chcemy nawiązać tunel IPSEC VPN.

4. Konfiguracja IP transform set

R1(config)#crypto ipsec transform-set TSET esp-aes esp-sha-hmac
R1(cfg-crypto-trans)#mode tunnel

R3(config)#crypto ipsec transform-set TSET esp-aes esp-sha-hmac
R3(cfg-crypto-trans)#mode tunnel

5. Stworzenie ACL wskazującej na ruch, który chcemy szyfrować

R1(config)#access-list 101 permit ip host 3.3.3.3 host 1.1.1.1

R3(config)#access-list 101 permit ip host 3.3.3.3 host 1.1.1.1

6. Stworzenie crypto-mapy i wskazanie IP transform set

R1(config)#crypto map CMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
 and a valid access list have been configured.
R1(config-crypto-map)#set peer 192.168.23.3
R1(config-crypto-map)#set transform-set TSET
R1(config-crypto-map)#match address 101

R3(config)#crypto map CMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
 and a valid access list have been configured.
R3(config-crypto-map)#set peer 192.168.12.1
R3(config-crypto-map)#set transform-set TSET
R3(config-crypto-map)#match address 101

7. Podpięcie crypto-mapy do interfejsu podpiętego do internetu.

R1(config)#int fastEthernet 0/0
R1(config-if)#crypto map CMAP

R3(config)#int fastEthernet 0/0
R3(config-if)#crypto map CMAP

PODSUMOWANIE

Cała konfiguracja wygląda następująco:

R1#show run
!
hostname R1
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 15
crypto isakmp key cisco123 address 192.168.23.3
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
 mode tunnel
!
crypto map CMAP 10 ipsec-isakmp
 set peer 192.168.23.3
 set transform-set TSET
 match address 101
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
 ip nat inside
!
interface FastEthernet0/0
 ip address 192.168.12.1 255.255.255.0
 ip nat outside
 duplex full
 crypto map CMAP
!
ip nat inside source list 100 interface FastEthernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 192.168.12.2
!
access-list 100 deny ip host 1.1.1.1 host 3.3.3.3
access-list 100 permit ip host 1.1.1.1 any
access-list 101 permit ip host 1.1.1.1 host 3.3.3.3
!

R3#show run
!
hostname R3
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 15
crypto isakmp key cisco123 address 192.168.12.1
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
 mode tunnel
!
crypto map CMAP 10 ipsec-isakmp
 set peer 192.168.12.1
 set transform-set TSET
 match address 101
!
interface Loopback0
 ip address 3.3.3.3 255.255.255.255
 ip nat inside
!
interface FastEthernet0/0
 ip address 192.168.23.3 255.255.255.0
 ip nat outside
 duplex full
 crypto map CMAP
!
ip nat inside source list 100 interface FastEthernet0/0 overload
!
ip route 0.0.0.0 0.0.0.0 192.168.23.2
!
access-list 100 deny ip host 3.3.3.3 host 1.1.1.1
access-list 100 permit ip host 3.3.3.3 any
access-list 101 permit ip host 3.3.3.3 host 1.1.1.1
!

Tunel IPSEC VPN zestawi się tylko wtedy kiedy router zobaczy na ruch który pasuje do ACL 101 w crypto-mapie. Spróbujmy więc wydać komendę ping ip 3.3.3.3 source 1.1.1.1 na routerze R1:

R1#ping ip 3.3.3.3 source 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 28/32/44 ms

Łączność jest, czyli tunel się zestawił. Sprawdźmy to wydając nastepujące komendy:

show crypto isakmp sa
show crypto ipsec sa

R1#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
192.168.23.3 192.168.12.1 QM_IDLE 1001 ACTIVE

R1#show crypto ipsec sa
interface: FastEthernet0/0
    Crypto map tag: CMAP, local addr 192.168.12.1
   
protected vrf: (none)
   local  ident (addr/mask/prot/port): (1.1.1.1/255.255.255.255/0/0)
   remote ident (addr/mask/prot/port): (3.3.3.3/255.255.255.255/0/0)
   current_peer 192.168.23.3 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 3
    #pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 3
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 192.168.12.1, remote crypto endpt.: 192.168.23.3
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
     current outbound spi: 0x34978E4A(882347594)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x6DB519C5(1840585157)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: 1, sibling_flags 80004040, crypto map: CMAP
        sa timing: remaining key lifetime (k/sec): (4253546/3593)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x34978E4A(882347594)
        transform: esp-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: 2, sibling_flags 80004040, crypto map: CMAP
        sa timing: remaining key lifetime (k/sec): (4253546/3593)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE)

     outbound ah sas:

     outbound pcp sas:

Zobaczmy teraz co widać na interfejsie FastEthernet 0/0 routera R3 w trakcie pingu:

Jak widać na powyższych zrzutach ekranu z programu Wireshark widzimy tylko pakiety protokołu ESP, które zawierają tylko ESP SPI i ESP Sequence. Czyli ruch jest zaszyfrowany zgodnie z założeniami i z konfiguracją.

Skrypt python do zmiany serwerów ntp na CISCO

admin — Sun, 15 Oct 2017 20:38:08 +0000

W poniższym wpisie pokażę prosty skrypt w Pythonie wykorzystujący bibliotekę netmiko oraz textfsm. Skrypt będzie łączył sie po ssh ze switchami CISCO i zmieniać adresy serwerów ntp na nowe.

Wyobraźmy sobie sytuację że mamy 20 switchy ze skonfigurowanymi następującymi adresami serwerów ntp:

SWITCH-1#show run | in ntp
ntp server 192.168.55.100
ntp server 192.168.60.100

Dostaliśmy informację, że niedługo nastąpi zmiana adresów IP serwerów ntp na nowe następujące adresy:

10.0.10.1, 10.0.10.2, 10.0.10.3

i musimy na wszystkich switchach zamienić adresy serwerów ntp. Możemy to zrobić ręcznie, logując się na każdy switch i wydając komendy:

no ntp server …

ntp server..

albo wykorzystać skrypt, który zrobi to za nas.

ZACZYNAMY

Skrypt realizujący to zadanie będzie działał następująco:

Logowanie do urządzenia
Wykonanie komendy show run | in ntp i zapisanie wyników
Usunięcie starych serwerów ntp z wyników z punktu 2.
Ustawienie nowych serwerów ntp

Skrypt będzie wykorzystywał pliki z komendami, dzięki czemu będziemy mogli go w łatwy sposób przerabiać do innych potrzeb (nie tylko do zmian serwerów ntp). Wystarczy wyedytować pliki commands.txt i commands2.txt oraz zmienić plik textfsm, który parsuje wyniki polecenia z pliku commands2.txt. Zapraszam do przeczytania moich wpisów o Netmiko i TextFSM, które napewno rozjaśnią poniższy skrypt.

SKRYPT

config_cisco.py

#!/usr/bin/python

from netmiko import ConnectHandler
import sys, textfsm

def check_cmd(ip, username, password,commands):
 # nawiązanie połączenia do urządzenia
 ssh_connection = ConnectHandler(
 device_type='cisco_ios',
 ip=ip,
 username=username,
 password=password,
 )
 result = ""
 for i in commands:
    result += ssh_connection.send_command(i)+"\n"
 # zamknięcie połączenia
 ssh_connection.disconnect()

 return result

def set_cmd(ip, username, password,commands):
 # nawiązanie połączenia do urządzenia
 ssh_connection = ConnectHandler(
 device_type='cisco_ios',
 ip=ip,
 username=username,
 password=password,
 )
 result = ssh_connection.send_config_set(commands)
 # zamknięcie połączenia
 ssh_connection.disconnect()

 return result

if __name__ == "__main__":
 if len(sys.argv) != 4:
   print("\nSkrypt do zmiany adresów serwerów ntp na urzadzeniach cisco:")
   print("\tconfig_cisco.py ,   \n\n")
   print("\tprzykładowe użycie: config_cisco.py 192.168.10.10,192.168.10.11 admin cisco123 \n\n")
   sys.exit(0)

 devices = sys.argv[1]
 username = sys.argv[2]
 password = sys.argv[3]
 set_file = "commands.txt"
 get_file = "commands2.txt"

 f = open(set_file,'r')
 commands = f.read().splitlines()
 f.close

 f = open(get_file,'r')
 commands2 = f.read().splitlines()
 f.close

 device = devices.split(',')
 re_table = textfsm.TextFSM(open("config_devices.textfsm"))

 for i in switch:
   print "wykonywanie komend z pliku (%s) dla urządzenia %s" %(get_file,i)

 #sprawdzanie czy sa juz jakies ntp servery
 #sprawdzenie odbywa sie przy pomocy komend z pliku get_file
 check_out = check_cmd(i,username,password,commands2)
 fsm_results = re_table.ParseText(check_out)

 commands3=[]
 #sprawdzanie czy juz jest jakis ntp server, jesli jest to go usuwamy
 for j in fsm_results:
   commands3.append('no '+' '.join(j))
   set_out = set_cmd(i,username,password,commands3)

 print "wykonywanie komend z pliku (%s) dla switcha %s" % (set_file,i)
 #ustawienie nowych serwerow ntp, czyli komend z pliku set_file
 set_out = set_cmd(i,username,password,commands)

 #koniec
 print "koniec"

Plik config_devices.textfsm

Value ntp (\S+)
Value server (\S+)
Value ip (.+)

Start
 ^${ntp}\s+${server}\s+${ip} -> Record

Pliki z komendami:

commands.txt

ntp server 10.0.10.1
ntp server 10.0.10.2
ntp server 10.0.10.3

commands2.txt

show run | in ntp server

Skrypt uruchamiamy następującym poleceniem:

config_devices.py 192.168.10.10,192.168.10.11,192.168.10.12,192.168.10.13,192.168.10.14,192.168.10.15,192.168.10.16,192.168.10.17,192.168.10.18,192.168.10.19,192.168.10.20,192.168.10.21,192.168.10.22,192.168.10.23,192.168.10.24,192.168.10.25,192.168.10.26,192.168.10.27,192.168.10.28,192.168.10.29 admin cisco123

Oczywiście skrypt można napisać w inny sposób, nie korzystając z textfsm i plików z komendami, ale chciałem pokazać textfsm, bo uważam że jest to nieodzowna biblioteka przy pracy z urządzeniami Cisco i napewno będę publikował więcej skryptów z jej wykorzystaniem.

CISCO ISE 2.x monitoring REST API

admin — Tue, 10 Oct 2017 19:58:55 +0000

Cisco ISE (Identity Services Engine) pozwala na bezpieczny dostęp urządzeń i użytkowników do sieci przewodowych, bezprzewodowych i do VPN. Więcej informacji na temat możliwości i zastosowań ISE można znaleźć na stronie Cisco.com. Ja skupię się na bardzo przydatnej funkcjonalności dostępnej w ISE a mianowicie REST API.

Po podniesieniu wersji ISE z 2.2 do 2.3 napotkałem następujący problem. Po wejściu do interfejsu webowego do głównego menu nie wyświetla się lista aktywnych Endpointów. Mimo iż stacje końcowe są uwierzytelnione do sieci przez ISE.

Problem można rozwiązać kontaktując się z supportem CISCO, albo skorzystać z dostępnego REST API.

Do sprawdzenia ilości sesji posłużymy się Monitoring REST API. W tym celu musimy najpierw stworzyć użytkownika w jednej z poniższych grup:

Super Admin
System Admin
MnT Admin

Załóżmy że stworzymy sobie użytkownika mnt_admin w grupie MnT Admin, o haśle Cisco123!

TEST API

Teraz możemy przetestować Monitoring REST API wpisując w przeglądarce:

https:///API/mnt/Session/ActiveList

Pojawi się ekran do logowania. W polu username wpisujemy stworzonego przez nas wcześniej usera: mnt_admin, w polu password hasło: Cisco123!. Po poprawnym uwierzytelnieniu powinniśmy zobaczyć plik xml o postaci:



  
    00:22:3C:0D:BA:26
    00:22:3C:0D:BA:26
    192.168.10.22
    0000001F
    0A120A02000000D40135DECF
    ISE01
    172.16.22.12
    
  
  
    00:F1:4C:47:B2:27
    00:F1:4C:47:B2:27
    192.168.10.22
    00000011
    0A120A020000003B004E8945
    ISE01
    172.16.22.16
    
  

…

  
    00:14:38:28:A9:12
    00:14:38:28:A9:12
    192.168.10.22
    000023B1
    0A0C0AED000019DF4879AACD
    ISE01
    172.16.22.32
    
  
  
    corp.local/jan.kowalski
    EC:F4:BA:17:AB:0D
    192.168.10.22
    00002BDD
    0A0B02E200000DA7DF251399
    ISE01
    172.16.24.12

Wynikiem jest plik XML z kilkoma wartościami dla każdej aktywnej sesji: user_name (nazwa użytkownika), calling_station_id (adres MAC stacji końcowej), nas_ip_address (adres IP urządzenia sieciowego (NAD), do którego podięty jest użytkownik), acct_session_id, audit_session_id, server (instancja ISE do której należy dana sesja) i framed_ip_address (adres IP stacji końcowej)

Druga linijka wyniku zawiera informację o liczbie sesji:

Napiszmy teraz skrypt, który oprócz wyświetlenia listy sesji wyświetli też metodę uwierzytelnienia MAB, albo 802.1X.

Skrypt w Pythonie

Do stworzenia skryptu posłużymy się biblioteką requests, textfsm oraz lxml. Biblioteka requests umożliwi nam połączenie się z API.

Skrypt wygląda następująco:

#!/usr/bin/python
import requests, textfsm
from lxml import etree

user='mnt_admin'
password='Cisco123!'

r = requests.get('https:///admin/API/mnt/Session/ActiveList',auth=(user, password))
utf8_parser = etree.XMLParser(encoding='utf-8')
node = etree.fromstring(r.text.encode('utf-8'), parser=utf8_parser)
xmlstr = etree.tostring(node, xml_declaration=True, encoding="UTF-8", pretty_print=True)

re_table = textfsm.TextFSM(open("ise_sessions.textfsm"))
fsm_results = re_table.ParseText(xmlstr)


total=mab=0
for i in fsm_results:
   total=total+1
   if i[0] == i[1]:
        mab=mab+1

dot1x=total-mab

print "---------------------------------"
print "Sessions per Method"
print "Active Sessions: "+str(total)
print "802.1X Session Count: "+str(dot1x)
print "MAB Session Count: "+str(mab)
print "---------------------------------"

Plik z szablonem textfsm wygląda następująco:

Value user_name (\S+)
Value calling_station (\S+)
Value nas_ip_address (\S+)

Start
  ^\s*\s* -> Session

Session
  ^\s*${user_name}<\/user_name>
  ^\s*${calling_station}<\/calling_station_id>
  ^\s*${nas_ip_address}<\/nas_ip_address> -> Record

Wynik działania skryptu:

root@vm01:~# ./ise_api.py

---------------------------------
Sessions per Method
Active Sessions: 226
802.1X Session Count: 85
MAB Session Count: 141
---------------------------------

Wyjaśnienie:

Skrypt wyciąga i zapisuje do tablicy fsm_results następujące informacje dla każdej sesji (username, adres MAC, adres IP). Następnie jest zliczana liczba pozycji w tabeli (total) a w przypadku gdy username = adres MAC, a następuje to w sytuacji gdy uwierzytelniono się do sieci używając MAB (MAC Authentication Bypass). Reszta wyników to uwierzytelnienia przy pomocy 802.1x.

Jak widać liczba aktywnych sesji to 226, a nie tak jak pokazywało WEB GUI 0.

Czym jest: IP unnumbered ?

admin — Sun, 08 Oct 2017 22:48:59 +0000

Każdy interfejs routera potrzebuje unikalnego adresu IP, na podstawie którego podejmowane są decyzje o przesłaniu pakietu. W przypadku interfejsów typu point-to-point (np. serial, tunnel) możemy skorzystać z funkcji ip unnumbered i nie konfigurować bezpośrednio adresu IP na takim interfejsie, a pożyczyć adres IP z innego interfejsu, dzięki czemu zaoszczędzimy adresy, które użylibyśmy do adresacji takich interfejsów. Przed wprowadzaniem VLSM (Variable Lenght Subnet Mask) najmniejszą możliwą maską używaną przy protokołach routingu typu classfull (RIPv1, IGRP) była maska /24, czyli na połączenia point-to-point z dwoma na które potrzebowalibyśmy 2 adresów traciliśmy całą podsieć 254 adresów.

Rozwiązaniem tego problemu było wprowadzenie funkcji ip unnumbered w urządzeniach sieciowych CISCO. Funkcja ta skonfigurowana na interfejsie typu point-to-point umożliwia pożyczenie adresu IP z innego interfejsu (zazwyczaj korzysta się z interfejsu loopback, ze względu na to iż jest on cały czas podniesiony up/up). Dzięki temu nie trzeba konfigurować interfejsu osobnym adresem IP.

PRZYKŁAD

Pokażę teraz przykład użycia funkcji ip unnumbered na interfejsie serial. W poniższym przykładzie mamy dwa routery R1 i R2 połączone ze sobą interfejsem serial. Pomiędzy routerami skonfigurowany jest protokół routingu RIPv1. Na każdym z routerów skonfigurowany został interfejs loopback0 zgodnie z poniższym obrazkiem:

Konfiguracja R1:

interface Loopback0
 ip address 192.168.10.1 255.255.255.0
!
interface Loopback10
 ip address 192.168.100.1 255.255.255.0
!
interface Serial2/0
 ip unnumbered Loopback0
 serial restart-delay 0
!
router rip
 version 1
 network 192.168.10.0
 network 192.168.100.0

Konfiguracja R2:

interface Loopback0
 ip address 192.168.20.1 255.255.255.0
!
interface Loopback10
 ip address 192.168.200.1 255.255.255.0
!
interface Serial2/0
 ip unnumbered Loopback0
 serial restart-delay 0
!
router rip
 version 1
 network 192.168.20.0
 network 192.168.200.0

Z powyższej konfiguracji widać, że na obu routerach interfejsy Serial2/0 zostały zaadresowane poleceniem ip unnumbered Looback0. Sprawdźmy teraz jak wygląda polecenie show ip int brief na obu routerach:

R1#show ip int brief
Interface IP-Address OK? Method Status Protocol
Serial2/0 192.168.10.1 YES TFTP up up
Loopback0 192.168.10.1 YES NVRAM up up
Loopback10 192.168.100.1 YES NVRAM up up

R2#show ip int brief
Interface IP-Address OK? Method Status Protocol
Serial2/0 192.168.20.1 YES TFTP up up
Loopback0 192.168.20.1 YES NVRAM up up
Loopback10 192.168.200.1 YES NVRAM up up

Jak widać oba interfejsy Serial2/0 posiadają taki sam adres IP jak interfejsy Loopback0. Sprawdźmy teraz tablicę routingu obu routerów poleceniem: show ip route

R1#show ip route
...
192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.10.0/24 is directly connected, Loopback0
L 192.168.10.1/32 is directly connected, Loopback0
R 192.168.20.0/24 [120/1] via 192.168.20.1, 00:00:02, Serial2/0
 192.168.100.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.100.0/24 is directly connected, Loopback10
L 192.168.100.1/32 is directly connected, Loopback10
R 192.168.200.0/24 [120/1] via 192.168.20.1, 00:00:02, Serial2/0

R2#show ip route
...
R 192.168.10.0/24 [120/1] via 192.168.10.1, 00:00:29, Serial2/0
 192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.20.0/24 is directly connected, Loopback0
L 192.168.20.1/32 is directly connected, Loopback0
R 192.168.100.0/24 [120/1] via 192.168.10.1, 00:00:29, Serial2/0
 192.168.200.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.200.0/24 is directly connected, Loopback100
L 192.168.200.1/32 is directly connected, Loopback100

Jak widać protokół RIP działa i wskazuje, że adresy 192.168.100.0 i 192.168.200.0 są osiągalne przez interfejsy Serial2/0. Sprawdźmy teraz czy łączność pomiędzy tymi podsieciami istnieje. W tym celu wydajmy na routerze R1 polecenie: ping ip 192.168.200.1 source Loopback10, a na R2 polecenie: ping ip 192.168.100.1 source Loopback10. Czyli będziemy pingować adresy IP intefejsów Loopback10.

R1#ping 192.168.200.1 source loopback10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.100.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/17/24 ms

R2#ping 192.168.100.1 source Loopback10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.200.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/16/20 ms

Jak widać wszystko działa poprawnie.

PODSUMOWANIE

Funkcja ip unnumbered pozwala zaoszczędzić adresy IPv4 na intefejsach point-to-point
Komenda ip unnumbered może być użyta tylko na interfejsach typu point-to-point
Interfejs z którego „pożyczany” jest adres IP musi być podniesiony (status up/up)