З.П.И. » Cisco

ip sla, ipsec и event manager

shad — Fri, 18 Jun 2010 21:38:30 +0000

Заметку делаю для себя, чтоб не забыть.
Итак, столкнулся с тем, что track отбивает маршрут, но сессия ipsec висит. Соответственно, пока её не прибить, трафик не ходит по новому маршруту с новым тунелем.
Проблему решил с помощью event manager. Настраивалось все на 2811.

track timer interface 5 track timer ip route 5 ! track 1 ip sla 10 reachability !

канала для сети 192.168.125.0/24 два, оба через ipsec, основной канал по радиолинку через 10.11.12.13, и второй через инет по дефолтному маршруту.

ip route 192.168.125.0 255.255.255.0 10.11.12.13 track 1 ip route 0.0.0.0 0.0.0.0 10.9.8.7

когда линк по радио-каналу есть, работает основной маршрут для этой сети, в отсутствие линка, работает маршрут через инет.

ip sla 10 icmp-echo 10.11.12.13 source-interface FastEthernet0/1 timeout 2000 threshold 2 frequency 10 ip sla schedule 10 life forever start-time now

теперь собственно нужно отбить сессию ipsec, что проделывается следующим образом

event manager applet app-sla-10 description #crypto down if radio channel unav# event track 1 state down action 1.0 cli command "enable" action 1.1 cli command "clear crypto session remote 10.11.12.13" event manager applet app-sla-11 description #crypto down if radio channel av# event track 1 state up action 1.0 cli command "enable" action 1.1 cli command "clear crypto session remote 10.9.8.6"

Вот таким образом всё работает. При пропадании линка через радио-модем, маршрут через него пропадает и ipsec сессия прибивается, соответственно, поднимается новя сессия ipsec по каналу через инет и работает основной маршрут. При появлении радио-линка все возвращается на круги своя.

Удачи в настройках.
© shadow_alone

CDP на Linux

shad — Mon, 08 Mar 2010 14:31:25 +0000

Всем известно про замечательный протокол CDP (Cisco Discovery Protocol) для Cisco. Оказывается что и для Linux тоже есть возможность использовать его прелести. Есть проект LLDP, который нам в этом и поможет.

Для тех, кто в танке: на cisco можно посмотреть соседей с включенным CDP коммандой sh cdp nei. Комманда выведет оборудование которое подключено, на каком порту и т.д., более подробно sh cdp ent Device_ID, уже по конкретному девайсу.

Так вот, мы сейчас попробуем включить это и в Linux, в данном, конкретном случае, настраивать будем на CentOS 5.4, на Debian-подобных дистрах почти тож самое, за исключением процесса сборки и расположения файлов.

Для начала скачаем src.rpm, установим его:

# rpm -Uhv lldpd-0.4.0-1.fc10.src.rpm

появится файл спецификаций /usr/src/redhat/SPECS/lldpd.spec, кому нужно, может его править по своему усмотрению, если надо.

Далее нам собственно надо собрать сам пакет:

# rpmbuild -bb /usr/src/redhat/SPECS/lldpd.spec

устанавливаем вновь собранный пакет:

# rpm -Uhv /usr/src/redhat/RPMS/i386/lldpd-0.4.0-1.i386.rpm

настраиваем опции запуска демона, открываем файл:

# vim /etc/sysconfig/lldpd

и правим

OPTIONS=”-v -c”

-v – включаем поддержку vlan если они у Вас есть на машине с Linux

-c – включаем протокол CDP

более подробную информацию можно посмотреть по man lldpd

запускаем демон:

# /etc/init.d/lldpd start

после запуска, в файле /var/log/messages мы увидим приблизительно такие строки:

lldpd[30206]: lldpd_decode: switching to CDPv2 on port eth1
lldpd[30206]: lldpd_decode: switching to CDPv2 on port eth0

всё в порядке, демон стартанул.

Чтоб все работало, на оборудовании с другой стороны, на порту, должен быть включен CDP, то есть не должно стоять no cdp enable на интерфейсе.

Собственно, осталось только проверить как все работает и получить информацию.

# lldpctl

получаем:
-------------------------------------------------------------------------------
    LLDP neighbors
-------------------------------------------------------------------------------
Interface: eth0
 ChassisID: sw-b-48 (local)
 SysName:   sw-b-48
 SysDescr:
   cisco WS-C2960-48TT-L running on
   Cisco IOS Software, C2960 Software (C2960-LANBASE-M)
   Copyright (c) 1986-2007 by Cisco Systems, Inc.
   Compiled Thu 19-Jul-07 20:06 by nachen
 MgmtIP:    172.16.25.48
 Caps:      Bridge(E)
 PortID:    FastEthernet0/4 (ifName)
 PortDescr: FastEthernet0/4
-------------------------------------------------------------------------------

видим , что на другой стороне у нас свитч C2960, версию IOS, порт свитча, к которуму подключена машина с Linux.

Для остроты ощущений, посмотрим вывод на cisco, у нас там появилось:

my.linux.machine
Fas 0/4 92 R Linux eth0

то есть, опять таки , видим, что у нас на порту fa0/4 подключена машина с Linux, сетевое имя машины, и её сетевушка eth0.

Добавлю: можно собрать пакет из сорсов tar.gz и самому, но в моем случае это не true-way, все должно быть упорядочено. В Debian-подобных дистрах, файл настройки демона расположен в /etc/default/

стоит отметить еще утилиту cdpr, но с её помощью можно только получать информацию по CDP, а не обмениваться ей, для RH-дистров она есть в репозитарии rpmforge.

Вот и все. Удачи в настройках.

Конфигурация cisco-рутера в качестве pptp-клиента

shad — Fri, 05 Jun 2009 06:06:19 +0000

И так, все просто, даж очень, главное знать что есть такая скрытая команда service internal , по “?” не отображается.

Собственно, выкладываю куски конфигов:

vpdn enable
!
vpdn-group 1
request-dialin
protocol pptp
rotary-group 0
initiate-to ip адрес_куда_коннектимся
!

interface Dialer0
mtu 1450
ip address negotiated
ip pim dense-mode
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer in-band
dialer idle-timeout 0
dialer string 123
dialer vpdn
dialer-group 1
no keepalive
no cdp enable
ppp pfc local request
ppp pfc remote apply
ppp encrypt mppe auto
ppp chap hostname логин
ppp chap password пароль

Вот, в принципе, и всё.

если надо, то делаем маршрут по умолчанию через это соединение:

ip route 0.0.0.0 0.0.0.0 Dialer0

Удачной всем настройки!

VPN-сервер

shad — Sat, 28 Mar 2009 09:42:25 +0000

В догонку к предыдущему посту про VPN-сервер на Linux, приведу пример на cisco. Приведу только куски конфигов необходимых для функционирования VPN

добавляем

aaa authentication ppp default local

vpdn enable
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1

username test1 privilege 0 password 123456

interface Loopback0
ip address 10.5.5.1 255.255.255.0
ip nat inside

access-list 25 permit 10.5.5.0 0.0.0.255

ip nat inside source list 25 interface Ethernet0/0 overload – интерфейс который смотрит в локалку для доступа во внутреннюю сеть, или который смотрит в инет, для доступа в инет. На этом же интерфейсе – ip nat outside.

ip local pool pptppool 10.5.5.2 10.5.5.10

interface Virtual-Template1
ip unnumbered Loopback0
ip nat inside
peer default ip address pool pptppool
no keepalive
ppp encrypt mppe auto
ppp authentication ms-chap-v2

вот, в принципе и все. виндовые клиенты подключаються по дефолту на ура.

Bridge на cisco рутере

shad — Sat, 28 Feb 2009 22:08:56 +0000

Понадобилось настроить Bridge на портах cisco-рутера? Все просто… недавно столкнулся… и сразу решил… и , чтобы не забыть, пишу сюда. Итак:

bridge irb

!
bridge 1 protocol ieee
bridge 1 route ip
далее обозначаем интерфейсы которые будут в бридже (в данном случае bridge-group 1) :

!
interface Ethernet0/1
no ip address
full-duplex
no cdp enable
bridge-group 1
!
interface Ethernet0/2
no ip address
full-duplex
no cdp enable
bridge-group 1
!
Далее создаем новый интерфейс BVI и даем ему IP-адрес:

interface BVI1
ip address 192.168.1.3 255.255.255.0

Все работает… ну, то есть, мы можем воткнуть в эти 2 порта все что нам надо и между портами будет мост, интерфейс BVI же служит для задания адреса самого рутера в бридже.

Проброс порта/адреса в локалку на cisco.

shad — Wed, 24 Dec 2008 10:01:04 +0000

Записываю чтоб не забыть.

Итак, проброс порта:

ip nat inside source static tcp $local_address 22 $external_address 22 extendable

к примеру, пробрасываем tcp порт 22 с адреса 78.108.241.87 на внутренний адрес 192.168.0.17:

ip nat inside source static tcp 192.168.0.17 22 78.108.241.87 22 extendable

Проброс всего адреса совсем просто:

ip nat inside source static 192.168.0.17 78.108.241.87 extendable

LAN-2-LAN ipsec vpn gre

shad — Sun, 30 Nov 2008 13:07:19 +0000

Заметка будет практического характера. Рассчитано на тех, кто уже знаком с общей теорией работы ipsec и примерами построения туннелей. Итак, построение статического туннеля. Все пакеты подлежащие шифрованию будут инкапсулироваться в gre туннель и потом в ipsec .

1. Тунель

Адресация сети выглядит следующим образом.

Внутренняя сеть А: 192.168.1.0/24
Внутренняя сеть Б: 192.168.2.0/24

Внешний интерфейс А: 10.10.11.2/24
Внешний интерфейс Б: 10.10.10.2/24

Необходимо установить туннель между внешними интерфейсами маршрутизаторов, в данном случае 10.10.11.2 и 10.10.10.2.

Минимальные параметры настройки:

каждый туннель “привязывается” к конкретному физическому интерфейсу, в данном случае это FastEthernet 1/0.
поскольку это layer 3 соединения, необходима ip адресация. Для уменьшения путаницы с “лишними” адресами будем использовать адреса физических интерфейсов.
раз есть у туннеля начало, значит еть где-то и конец (Указание второго пира, также обязательный параметр).

Здесь приведена конфигурация только одной стороны туннеля, другая сторона конфигурируется идентично за исключением адреса пира.

! пример конфигурации gre туннеля
RouterA(config)# interface Tunnel10
RouterA(config-if)# tunnel source FastEthernet1/0
RouterA(config-if)# tunnel destination 10.10.10.2
RouterA(config-if)# ip unnumbered FastEthernet1/0

Туннель поднят, но по нему еще ничего не ходит. Сделаем рутинг для сетей 192.168.1.0/24 и 192.168.2.0/24, соответственно в сторону туннеля.

!рутинг в туннель
RouterA(config)# ip route 192.168.2.0 255.255.255.0 Tunnel10

Для рутера Б, нужно завернуть сеть 192.168.1.0/24. Внутренние сети находящиеся за рутерами стали видить друг друга.

!простейшая проверка – ping
RouterA#ping
Protocol [ip]:
Target IP address: 192.168.2.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/61/104 ms

Пинг проходит успешно. Можно посмотреть, что внутри туннеля, для этого используется PIX с настроенным capture.

!sniff
pix# show cap anyin
10 packets captured
1: 16:01:56.004577 10.10.11.2 > 10.10.10.2: ip-proto-47, length 104
2: 16:01:56.024870 10.10.10.2 > 10.10.11.2: ip-proto-47, length 104
(skip)
9: 16:01:56.232715 10.10.11.2 > 10.10.10.2: ip-proto-47, length 104
10: 16:01:56.249163 10.10.10.2 > 10.10.11.2: ip-proto-47, length 104
10 packets shown

Туннель работает нормально. Протокол 47 стека IP есть gre.

2. Шифрование

Нужно изменить crypto acl определяющий какой трафик подлежит шифрованию. Сниффер нам показал только gre пакеты между двумя пирами, шифровать будем их.

!crypto acl, они должны быть зеркальны с обоих сторон
RouterA(config)# access-list 150 permit gre host 10.10.11.2 host 10.10.10.2

isakmp, crypto map и прочее настраиваются совершенно идентично. Приведем кусок конфигурации рутера А.

!пример конфигурации
!
crypto isakmp policy 200
encr aes 256
authentication pre-share
group 2
lifetime 7200
crypto isakmp key sUpeRkEy address 10.10.10.2
!
crypto ipsec transform-set ts-aes-sha esp-aes 256 esp-sha-hmac
!
crypto map cr_outside 10 ipsec-isakmp
set peer 10.10.10.2
set transform-set ts-aes-sha
match address 110
!
interface Tunnel10
ip unnumbered FastEthernet1/0
tunnel source FastEthernet1/0
tunnel destination 10.10.10.2
!
interface FastEthernet1/0
ip address 10.10.11.2 255.255.255.0
crypto map cr_outside
!
ip route 192.168.2.0 255.255.255.0 Tunnel10
!
access-list 110 permit gre host 10.10.11.2 host 10.10.10.2
!

!Тестирование с помощью ping.
pix# show capture anyin
17 packets captured
1: 15:33:57.516788 10.10.11.2.500 > 10.10.10.2.500: udp 144
2: 15:33:57.741477 10.10.10.2.500 > 10.10.11.2.500: udp 104
3: 15:33:57.911284 10.10.11.2.500 > 10.10.10.2.500: udp 304
4: 15:33:58.126153 10.10.10.2.500 > 10.10.11.2.500: udp 304
5: 15:33:58.186025 10.10.11.2.500 > 10.10.10.2.500: udp 108
6: 15:33:58.206059 10.10.10.2.500 > 10.10.11.2.500: udp 76
7: 15:33:58.219852 10.10.11.2.500 > 10.10.10.2.500: udp 172
8: 15:33:58.259401 10.10.10.2.500 > 10.10.11.2.500: udp 172
9: 15:33:58.268388 10.10.11.2.500 > 10.10.10.2.500: udp 60
10: 15:33:59.395807 10.10.11.2 > 10.10.10.2: ip-proto-50, length 164
11: 15:33:59.444541 10.10.10.2 > 10.10.11.2: ip-proto-50, length 164
(skip)
17: 15:33:59.556703 10.10.10.2 > 10.10.11.2: ip-proto-50, length 164
17 packets shown

Конфигурация работает, трафик шифруется.
Первые 9 пакетов – обмен udp пакетами по 500 порту, isakmp при установлении sa. Дальше обмен пакетами протокола 50 стека IP, ipsec.