Nemako - Systèmes et Réseaux

Détail sur les hashs de mot de passe IOS

2008-07-10T10:50:00+02:00

Cet article est complètement inspiré du billet de Jeremy Stretch : A bit more detail on IOS password hashes. Merci à lui.

Les mots de passe "type 7" utilisé dans les vieux IOS sont facilement réversibles. Ainsi l’utilisation de type 5 est préférable car il génère un hash MD5 non réversible. Cependant, l’utilisation du MD5 n’est pas son seul avantage.

L’utilisation d’un mot de passé stocké avec à l’aide de MD5 se fait en utilisant simplement la commande secret à la place de password.

Router(config)# username foo secret MyP4ssw0rd
Router(config)# do sh run | include username         
username foo secret 5 $1$jR5i$.HDBuKq.wIDOn2EYpCPYc0

Dans l’exemple précédent, ce qui suit le 5 est calculé par le routeur et stocké dans la running config. Ceci est plus qu’un simple hash md5, en effet la méthode reprend ce qui est fréquemment utilisé dans les environnements UNIX, à savoir l’utilisation d’un salt. Le résultat est composé de 3 éléments séparés par le signe dollar ($) :

1 – indique un hash utilisant un salt
jR5i – salt de 24-bit généré aléatoirement
.HDBuKq.wIDOn2EYpCPYc0 – le hash MD5

Le hash et le salt sont des valeurs binaires utilisant le format d’encodage Base64. Quand l’utilisateur foo souhaite s’authentifier, le mot de passe envoyé en clair par l’utilisateur est concaténé avec le salt de 24-bit stocké dans le fichier de configuration. Un hash MD5 est alors calculé avec la chaine entière salt+password; si le hash calculé correspond au 3è élément stocké dans la configuration, le mot de passé fourni est alors considéré comme valide.

L’utilisation de ce salt a 2 gros bénéfices. Tout d’abord, 2 utilisateurs ayant choisi le même mot de passe auront virtuellement 2 hashs différent. Considérons la création de l’utilisateur bar avec le même mot de passé que l’utilisateur foo créé précédemment, voici le résultat:

Router(config)# user bar secret MyP4ssw0rd
Router(config)# do sh run | include username       
username foo secret 5 $1$jR5i$.HDBuKq.wIDOn2EYpCPYc0
username bar secret 5 $1$P9XX$y9d6Aw.t81.CoKvXITCpZ/

Les 2 utilisateurs vont pouvoir s’authentifier avec le même mot de passe : cependant lors de la création des utilisateurs, les 2 salts générés aléatoirement ont permis de supprimer toute similitude entre les hash stocké dans le fichier de config.

Le second avantage, et non le moindre, est que ce salt permet de se prémunir des attaques de type Rainbow Table. En cryptologie, une table arc-en-ciel (aussi appelée Rainbow Table) est une structure de données qui permet de retrouver un mot de passe à partir de son empreinte. Ce sont de grosse tables contenant des hash (MD5 et autres) précalculées. Cela permet de retrouver très rapidement le mot de passe qui a donné un hash précis.

Pour information, les systèmes UNIX-like utilisent la même technique pour stocker les comptes locaux (le salt étant simplement un peu plus long). L’outil OpenSSL permet de simuler l’opération réalisé par l’IOS Cisco. Voici un exemple pour l’utilisateur foo, nous pouvons retrouver le même hash avec OpenSSL :

fred@Sandbox$ openssl passwd -1 -salt jR5i MyP4ssw0rd
$1$jR5i$.HDBuKq.wIDOn2EYpCPYc0

Liens

Jeremy Stretch : A bit more detail on IOS password hashes

Excellentes Fiches Mémoire proposées par Jeremy Stretch

2008-06-06T21:34:00+02:00

Voila quelque chose que j'aurais adoré faire mais je n'ai hélas pas pris le temps. En tout cas, Jeremy Stretch nous propose d'excellentes fiches mémoire sur différents sujets

http://packetlife.net/cheatsheets/

Sauvegarde automatique de configurations

2008-05-30T15:55:00+02:00

Introduction

Vous connaissez peut être déjà des outils tel que Rancid qui permettent de sauvegarder des confiruations de vos équipements. Pour Cisco il y a encore plus simple si vous disposez d'IOS récent.

La commande archive disponible sur les dernières versions d’IOS permet en effet de sauvegarder la configuration des équipements à intervalle régulier ou au moment du write memory (sauvegarde de la configuration du running en nvram).

RTR01#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
RTR01(config)#archive
RTR01(config-archive)# ?
Archive configuration commands:
  default       Set a command to its defaults
  exit          Exit from archive configuration mode
  log           Logging commands
  maximum       maximum number of backup copies
  no            Negate a command or set its defaults
  path          path for backups
  rollback      Rollback parameters
  time-period   Period of time in minutes to automatically archive the running-config
  write-memory  Enable automatic backup generation during write memory

Sauvegarde des configurations

Configuration

La configuration suivante permet de sauvegarder la configuration du routeur à chaque fois que l’utilisateur exécute la commande write-memory. La sauvegarde se réalise sur le serveur ssh 192.168.1.1 avec les informations données dans la commande (login, mot de passe, path et nom du fichier). Attention à bien mettre les 2 / quand vous spécifier le répertoire de destination.

Les fichiers se nommeront RTR01-x où x s’incrémente à chaque sauvegarde.

RTR01#sh run | beg archive
archive
 path scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01
 write-memory

Dans l’exemple suivant, le fichier de sauvegarde est RTR01-21.

RTR01#wr
Building configuration...
[OK]
Writing /home/cisco/RTR01-21 ! Sink: C0644 11785 RTR01-21

RTR01#

Vérification

Il est ensuite possible de voir les sauvegardes :

RTR01#sh archive
The next archive file will be named scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-22
 Archive #  Name
  0       scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-15
  1       scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-16
  2       scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-17
  3       scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-18
  4       scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-19
  5       scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-20
  6       scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-21 <- Most Recent
  7       scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-7
  8       scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-8
  9       scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-9
  10      scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-10
  11      scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-11
  12      scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-12
  13      scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-13
  14      scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-14

Différence de Configuration

Il est possible de voir les différences de configuration soit directement sur l’équipement soit sur le serveur Linux.

Cisco

L’avantage du diff sur l’équipement Cisco est le rappel du contexte. Nous voyons par exemple que les commandes log config et logging enable font parties de la configuration globale archive.

 RTR01# show archive config differences scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-19 scp://cisco:MotdePAsse@192.168.1.1//home/cisco/RTR01-20
 Sending file modes: C0644 11756 RTR01-19
 Sending file modes: C0644 11814 RTR01-20
 Sending file modes: C0644 11756 RTR01-19
!! Sending file modes: C0644 11814 RTR01-20
!!
Contextual Config Diffs:
archive
 +log config
  +logging enable
+ip access-list extended titi

Linux

Sous Linux nous n’avons qu’une comparaison de fichier texte.

[root@svrLinux cisco]# diff RTR01-19 RTR01-20
3,4c3,4
< ! Last configuration change at 13:26:48 CEST Fri May 30 2008 by fred
< ! NVRAM config last updated at 13:26:50 CEST Fri May 30 2008 by fred
---
> ! Last configuration change at 13:32:14 CEST Fri May 30 2008 by fred
> ! NVRAM config last updated at 13:32:41 CEST Fri May 30 2008 by fred
102a103,104
>  log config
>   logging enable
292a295
> ip access-list extended titi

Rollback

Si la dernière configuration amène des problèmes il est possible de rapidement reprendre une version qui fonctionnait correctement.

RTR01#configure replace scp://cisco:mdp@192.168.1.1//home/cisco/RTR01-08

Il est possible de remplacer la configuration actuelle par la startup

R1#configure replace nvram:startup-config

Suivi des modifications

La commande archive permet aussi de loguer toutes les modifications effectuées sur l'équipement.

Configuration

La configuration suivante permet d’enregistrer toutes les commandes passées par un utilisateur.

RTR01#sh run | beg archive
archive
 log config
  logging enable

Par défaut, les 100 dernières valeurs sont enregistrées.

RTR01(config-archive-log-cfg)#logging size ?
  <1-1000>  Queue length (default 100)

Il est aussi possible d’envoyer un message syslog à chaque modification.

RTR01#sh run | beg arch
archive
 log config
  logging enable
  notify syslog

Vérification

Voici un exemple. Nous voyons clairement la dernière commande passée et par quel utilisateur.

Création d’une ACL

RTR01#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
RTR01(config)#ip access-list extended titi

Vérification

RTR01#show archive log config all
 idx   sess           user@line      Logged command
    1     1       fred@vty0     |  logging enable
    2     1       fred@vty0     |  ip access-list extended titi

Liens

Paessler SNMP Tester

2008-05-07T17:17:00+02:00

Paessler SNMP Tester est un requêteur SNMP fonctionnant sous Windows et qui ne nécessite aucune installation. C'est un outil qui fait peu de chose mais qui le fait bien. Il peut s'avérer très utile pour tester un équipement ou pour récupérer une valeur précise dans une MIB.

L'utilisation est très simple, voici les quelques éléments à définir : 1. adresse IP du host 2. version SNMP 3. communauté ou login/mdp si en SNMPv3 4. OID

Exécuter en appuyant sur Run Test. Le résultat s'affiche dans la fenêtre de droite.

Mot de Passe par défaut

2008-05-05T14:55:00+02:00

En matière de sécurité, il est évident qu'une des première chose à faire lorsque nous installons une nouvelle application ou un nouvel équipement est de changer les mots de passes configurés par défaut; que ce soit d'ailleurs le mot de passe admin ou un quelconque mot de passe invité. Malheureusement, ces fondamentaux ne sont pas toujours respectés.

Voici une petite liste de quelques sites qui répertorient ces mots de passes par défaut:

RouterPasswords.com : liste orientée routeurs
Vulenarivilte.com
DefaultPassword.com

Artica - une interface web pour configurer simplement Postfix/Squid

2008-04-30T17:43:00+02:00

David TOUZEAU a annoncé fin mars 2008 un nouveau projet sous Linux. Ce projet "Artica Postfix" permet d’offrir l’ensemble des fonctionnalités Postfix, procmail, fetchmail, DnsMasq, LDAP, SQUID, dansguardian sans connaissances techniques et à travers un simple outil d’administration web via son navigateur.

Artica For Postfix/squid est un produit gratuit; il offre la possibilité à tout débutant de pouvoir installer l’ensemble de ces composants sans connaissances particulières. Après avoir installé l’ensemble des composants, Artica For Postfix/SQUID offre une interface web conviviale permettant la gestion de boîtes aux lettres/comptes utilisateurs et l’ensemble des nombreuses règles et paramètres que Postfix/SQUID propose. L’interface d’administration de type PHP/Ajax est disponible en OpenSource.

Son principe diffère des autres consoles d'administrations déjà disponibles. Webmin offre une interface globale mais n'accompagne pas l'administrateur dans ses démarches de paramétrages et n'offre pas de "fil conducteur" en fonction de thèmes (Mail, web, boîtes aux lettres)

Je n'ai pas testé mais il semble intéressant de voir comment le projet va évoluer.

Port-security

2008-04-18T14:44:00+02:00

Cet article présente la fonction port-security que l'on peut appliquer à une interface sur un switch Cisco pour restreindre le nombre d'adresse mac utilisable sur ce port.

Configuration
Vérification
Adresse Dynamic ou Configured
Exemple de Violation
Recovery
Sticky
Changer son adresse Mac

Configuration

Activation

Le port-security s'applique sur les interfaces access

SW1(config)#int fa 0/3
SW1(config-if)#switchport port-security

Nombre d'adresse maximum

on peut spécifier un nombre maximum d'adresse: 1 (par défaut) à 132.

SW1(config-if)#switchport port-security maximum 2

Violation

la commande violation permet de spécifier le comportement à avoir en cas de détection de violation:
- protect : les trames venant des adresses non autorisées sont droppées et il n'y a aucun message de log signalant la violation.
- restrict : les trames venant des adresses non autorisées sont droppées, un message de log est créé et une trap SNMP est envoyée.
- shutdown : si une trame venant d'une adresse non autorisée est détécté, le port est mis en err-disabled, un message de log est créé et une trap SNMP est envoyée. Une intervention manuelle est nécessaire ou errdisable revovery doit être configuré pour automatiquement faire remonter le port après un certain laps de temps.

SW1(config-if)#switchport port-security violation shutdown

Adresse Mac

On peut spécifier des adresses mac statiquement. A noter que si aucune adresse n'est spécifiée, elle sera apprise automatiquement.

SW1(config-if)#switchport port-security mac-address 0050.5611.06b1

Il n'est pas possible de mettre n'importe quoi

SW1(config-if)#switchport port-security mac-address 0500.4333.5431
Invalid secure mac-address 0500.4333.5431.

On peut spécifier autant d'adresse que le nombre maximum spécifié. Attention les adresses apprises dynamiquement compte pour une adresse.

SW1(config-if)#switchport port-security mac-address 0050.1111.3332
Total secure mac-addresses on interface FastEthernet0/3 has reached maximum limit.

Vérification

Dans l'exemple suivant, nous voyons que pour le port Fa0/3, 2 adresses sont autorisées et une seule a été configurée. En cas de violation, le port est mis en shutdown.

SW1#sh port-security
Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
               (Count)       (Count)          (Count)

      Fa0/3              2            1                  0         Shutdown

Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 1024

Voir les adresses affectées une interface

Dans l'example ci-dessous, la première adresse est configurée statiquement et la seconde a été apprise dynamiquement.

SW1#sh port-security address
          Secure Mac Address Table

Vlan    Mac Address       Type                Ports   Remaining Age
                                                         (mins)

  11    0050.5564.2111    SecureConfigured    Fa0/3        -
  11    0050.5611.06b1    SecureDynamic       Fa0/3        -

Total Addresses in System (excluding one mac per port)     : 1
Max Addresses limit in System (excluding one mac per port) : 1024

Voir l'état d'un port

SW1#sh port-security interface fa 0/3
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address        : 0000.0000.0000
Security Violation Count   : 0

Adresse Dynamic ou Configured

Si l'adresse n'a pas été configuré statiquement sur un port, elle peut avoir été apprise dynamiquement

SW1#sh port-security address
          Secure Mac Address Table

Vlan    Mac Address       Type                Ports   Remaining Age
                                                         (mins)

  11    0050.5611.06b1    SecureDynamic       Fa0/3        -

Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 1024

Si l'on souhaite ajouter l'adresse dynamiquement dans la configuration de l'interface, un message d'erreur nous indique que l'adresse est déja connue.

SW1(config)#int fa 0/3
SW1(config-if)#switchport port-security mac-address 0050.5611.06b1
Found duplicate mac-address 0050.5611.06b1.

Il faut alors supprimer cette adresse (bien que n'apparaissant pas dans la configuration), et la re-assigner. Si vous n'avez pas le temps entre ces 2 lignes, mettez le port en shut et faites la modification calmement.

SW1(config-if)#no switchport port-security mac-address 0050.5611.06b1
SW1(config-if)#switchport port-security mac-address 0050.5611.06b1

L'adresse est maintenant bien connue comme static.

SW1#sh port-security address
          Secure Mac Address Table

Vlan    Mac Address       Type                Ports   Remaining Age
                                                         (mins)

  11    0050.5611.06b1    SecureConfigured    Fa0/3        -

Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 1024

Exemple de Violation

En fonctionnement normal

SW1#sh port-security
Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                (Count)       (Count)          (Count)

      Fa0/3              1            1                  0         Shutdown

Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 1024

Log lors de la violation

*Mar  2 19:00:58: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/3, putting Fa0/3 in err-disable state
*Mar  2 19:00:58: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0010.f6b3.d000 on port FastEthernet0/3.
*Mar  2 19:00:59: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down
*Mar  2 19:01:00: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to down

Le port est bloqué

SW1#sh port-security
Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                (Count)       (Count)          (Count)

      Fa0/3              1            1                  1         Shutdown

Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 1024

L'état du port est passé en err-disabled.

SW1#sh int fa 0/3 status

Port      Name               Status       Vlan       Duplex  Speed Type
Fa0/3     PC win XP          err-disabled 11           full    100 10/100BaseTX

SW1#sh port-security interface fa 0/3
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2
Total MAC Addresses        : 2
Configured MAC Addresses   : 2
Sticky MAC Addresses       : 0
Last Source Address        : 0010.f6b3.d000
Security Violation Count   : 1

Recovery

Il est possible de faire remonter le port automatiquement après un certain delais. Dans l'exemple suivant, si un port est en err-disabled à cause d'une

violation port-security, il est remonté au bout de 30 secondes.

errdisable recovery cause psecure-violation
errdisable recovery interval 30

Mar 2 19:26:24: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Fa0/3
Mar 2 19:26:29: %LINK-3-UPDOWN: Interface FastEthernet0/3, changed state to up
Mar 2 19:26:30: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up

Sticky

En mode sticky, le switch va apprendre automatiquement l'adresse de l'utilisateur et la conserve (une ligne apparait automatiquement dans la configuration de l'interface). Ainsi, une fois que l'adresse est connue, on ne peut plus la changer. En mode dynamique, on peut limiter le nombre d'adresse mais si un utilisateur disparaît, un nouveau peut prendre la place.

Configurer sticky

SW1(config-if)#switchport port-security mac-address sticky

Vérifier

SW1#sh run int fa 0/3
Building configuration...

Current configuration : 236 bytes
!
interface FastEthernet0/3
 description PC win XP
 switchport access vlan 11
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 shutdown
 speed 100
 duplex full
 spanning-tree portfast
end

Vérification

SW1#show  port-security address
          Secure Mac Address Table

Vlan    Mac Address       Type                Ports   Remaining Age
                                                         (mins)

  11    0010.f6b3.d000    SecureSticky        Fa0/3        -

Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 1024

On voit qu'une ligne est automatiquement ajoutée dans la configuration

SW1#sh run int fa 0/3
Building configuration...

Current configuration : 286 bytes
!
interface FastEthernet0/3
 description PC win XP
 switchport access vlan 11
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 switchport port-security mac-address sticky 0010.f6b3.d000
 speed 100
 duplex full
 spanning-tree portfast
end

Changer son adresse Mac

ifconfig eth0 hw ether 0050.1234.4567

HSRP

2008-04-17T15:43:00+02:00

Cet article présente comment configurer le HSRP sur un équipement Cisco:

Adresse MAC
Messages
Configuration de la VIP
Vérification
Configurer la Priorité
Configurer le Preempt
Timers
Debug
HSRP Tracking

Adresse MAC

L'adresse virtuelle utilisée par le HSRP possède une adresse MAC bien particulière. Voici un exemple:

00 00.0c 07.ac 01

0000.0c : Code vendeur
07.ac : partie propre au HSRP
01 : Groupe HSRP

Messages

Les messages de keepalive sont envoyés en UDP vers l'adresse multicast routeur 224.0.0.2 sur le port 1985.

Configuration de la VIP

Sur nos 2 switchs, il faut configurer le même groupe avec la même VIP. Nous prenons ici par simplicité un numéro de groupe identique au numéro de VLAN.

SW1(config)# interface Vlan11
SW1(config-if)# standby 11 ip 10.1.11.254

SW2(config)# interface Vlan11
SW2(config-if)# standby 11 ip 10.1.11.254

Vérification

Dans l'exemple ci-dessous, SW1 est actif devant SW2 car il a été configuré avant SW2 et que la commande preempt que nous verrons ensuite n'a pas encore été mise en place.

SW1#sh standby brief
                     P indicates configured to preempt.
                     |
Interface   Grp Prio P State    Active          Standby         Virtual IP
Vl11        11  100    Active   local           10.1.11.2       10.1.11.254

configurer la Priorité

Pour forcer un routeur à être actif devant l'autre, nous pouvons configurer une priorité. Cette priorité à 100 par défaut, peut être incrémentée pour devenir plus forte. La plus haute priorité gagne. En cas d'égalité, c'est le switch avec l'adresse la plus haute qui gagne.

Dans l'exemple suivant, nous passons le SW2 avec une priorité supérieur pour être certain qu'il soit actif devant SW1.

SW2(config)# interface vlan 11
SW2(config-if)# standby 11 ip 10.1.11.254
SW2(config-if)# standby 11 priority 150

Configurer le Preempt

En ayant suivi l'exemple précédent, nous souhaitions que SW2 soit actif et SW1 standby, hors voici l'état.

Le switch SW1 avec une priorité de 100 est actif.

SW1#sh standby brief
                     P indicates configured to preempt.
                     |
Interface   Grp Prio P State    Active          Standby         Virtual IP
Vl11        11  100    Active   local           10.1.11.2       10.1.11.254

Le switch SW2 avec une priorité 150 supérieur à SW1 est standby.

SW2#sh standby brief
                     P indicates configured to preempt.
                     |
Interface   Grp Prio P State    Active          Standby         Virtual IP
Vl11        11  150    Standby  10.1.11.1       local           10.1.11.254

Ceci s'explique par le fait que sans la commande preempt, l'état hsrp ne bouge pas tant qu'il n'y a pas de problème. Dans notre exemple, SW1 reste actif malgrés sa priorité inférieur.

En ajoutant la commande preempt, les switchs vont pouvoir renégocier leur état et SW1 va devenir standby.

SW1(config)# interface vlan 11
SW1(config-if)# standby 11 preempt

SW1#sh standby brief
                     P indicates configured to preempt.
                     |
Interface   Grp Prio P State    Active          Standby         Virtual IP
Vl11        11  100  P Standby  10.1.11.2       local           10.1.11.254

Timers

Les valeurs par défaut des timers sont:

hello interval : 3 secondes
hold interval : 10 secondes. Temps sans réception de hello après quoi le switch va considérer son voisin comme down.

Il est possible de personnaliser ces valeurs

SW1(config)# interface vlan 11
SW1(config-if)# standby 11 timers 5 15

5 (première valeur) : correspond au hello time. Le minimum est de 15 msec.
15 (seconde valeur) : correspond au hold time. Le hold time doit être au moins 3 fois supérieur au hello time. Le minimum est de 50 msec.

Debug

En cas de problème:

debug standby

HSRP Tracking

Il est possible de surveiller le statut d'une interface et de faire descendre la priorité hsrp si celle-ci tombe. Par défaut la valeur à décrementer est de 10 mais il est possible de la personnaliser. Il est obligatoire d'utiliser le preempt avec le track.

SW1(config)# interface vlan 11
SW1(config-if)# standby 11 track gi 1/0/9 30

VTP - VLAN Trunking Protocol

2008-04-16T17:13:00+02:00

Cet article présente le protocole propriétaire Cisco VTP qui permet de gérer de façon centralisé les VLANs de tout un réseau. Un ou plusieurs serveurs VTP sont défini. L'administrateur réseau intervient sur un de ces serveurs pour ajouter, modifier ou supprimer des VLANs. Ce serveur transmet ces modifications automatiquement à tous ses clients.

Définir le domaine vtp
Définir le mode
Activer vtp version 2
Activer le vtp pruning
Définir un mot de passe

VTP ou VLAN Trunking Protocol est un protocole utilisé pour configurer et administrer les VLANs sur les périphériques Cisco.

VTP est utilisé entre 2 switchs si le lien les reliant est un trunk. VTP passe sur le native vlan.

Définir le domaine vtp

SW1(config)#vtp domain BCMSN
Changing VTP domain name from EE to BCMSN

Définir le mode

Server

En mode serveur, il est possible de créer, modifier ou supprimer des vlans et des les transmettre au domaine.

Client

En mode client, le switch reçoit les mises à jour, les prend en compte et les transmet à ses voisins. Il ne peut pas faire de modification.

SW1(config)#vtp mode client
Setting device to VTP CLIENT mode.
SW1(config)#vlan 33
VTP VLAN configuration not allowed when device is in CLIENT mode.

Transparent

En mode transparent, le switch reçoit les mises à jour et les transmet à ses voisins sans les prendre en compte. Il peut créer, modifier ou supprimer ses propres vlans mais ne les transmet pas.

Activer vtp version 2

Par défaut, même si le switch supporte vtp en version 2, il utilise la version 1. Cette commande peut être passée sur le server vtp, la modification sera propagée sur tous les autre équipements du domaine.

SW1#sh vtp status
VTP Version                     : 2
Configuration Revision          : 14
Maximum VLANs supported locally : 250
Number of existing VLANs        : 11
VTP Operating Mode              : Client
VTP Domain Name                 : BCMSN
VTP Pruning Mode                : Disabled
VTP V2 Mode                     : Disabled
VTP Traps Generation            : Disabled
MD5 digest                      : 0x1B 0x96 0x23 0x08 0x53 0xA8 0x0F 0x76
Configuration last modified by 10.1.1.1 at 3-4-93 23:46:04

Activer vtp v2

SW1(config)#vtp version 2

Vérification

SW1#sh vtp status
VTP Version                     : 2
Configuration Revision          : 1
Maximum VLANs supported locally : 250
Number of existing VLANs        : 11
VTP Operating Mode              : Server
VTP Domain Name                 : BCMSN
VTP Pruning Mode                : Disabled
VTP V2 Mode                     : Enabled
VTP Traps Generation            : Disabled
MD5 digest                      : 0xF8 0xF1 0x09 0xD9 0x79 0x6B 0xB0 0x06
Configuration last modified by 10.1.1.3 at 4-15-08 13:02:29

Activer le vtp pruning

Le vtp pruning permet de faire des économies de bande passante. En effet, avec cette option, un switch ne va transférer à un autre switch quel le trafic d'un vlan qui l'intéresse. Ainsi, si un switch d'accès ne dispose que de clients dans les vlans 12 et 13 il ne recevra que du trafic pour ces vlans. Cette commande doit être passée sur le server vtp, la modification sera propagée sur tous les autre équipements du domaine.

SW1(config)#vtp pruning
Pruning switched on

Vérification

SW1#sh vtp status
VTP Version                     : 2
Configuration Revision          : 2
Maximum VLANs supported locally : 250
Number of existing VLANs        : 11
VTP Operating Mode              : Server
VTP Domain Name                 : BCMSN
VTP Pruning Mode                : Enabled
VTP V2 Mode                     : Enabled
VTP Traps Generation            : Disabled
MD5 digest                      : 0x83 0x83 0x8E 0x71 0xA1 0x17 0x45 0x9C
Configuration last modified by 10.1.1.3 at 4-15-08 13:04:26

Définir un mot de passe

A noter que pour un pirate puisse intervenir dans VTP, il doit se positionner sur un trunk. Un client sur une interface access ne pourra rien faire.

Le mot de passe doit être défini sur tous les switchs du domaine VTP.

SW1(config)#vtp password CISCO
Setting device VLAN database password to CISCO

Supprimer le mot de passe

SW1(config)#no vtp password
Clearing device VLAN database password.

Mise en garde sur le numéro de révision

Si un client possède un numéro de révision supérieur à celui de ses voisins, il va alors transmettre ses informations à tout le monde. Ceci est très dangereux. Il faut donc faire très attention lorsque nous insérons un nouveau switch dans un réseau à remettre son numéro de révision à 0. Le passage du mode client-server-client permet de le faire.

Liens

VTP sur wikipedia

STP - Spanning Tree Protocol

2008-04-15T23:45:00+02:00

cet article est une prise de note de quelques remarques et commandes concernant le STP:

BPDUs
- Configuration BPDUs
- Topology Change Notifications (TCNs)
Process of choosing a Root Port
STP port state
Timers
Change the priority of a switch
Change the priority of a port
Advanced STP Features

BPDUs

BPDUs are transmitted every two seconds to the wellknown multicast MAC address 01-80-c2-00-00-00. We've actually got two different BPDU types:

Topology Change Notification (TCN) - a switch sends a TCN when there is a change in the network topology.
Configuration

Configuration BPDUs

Configuration BPDUs are used for the actual STP calculations. Once a root bridge is elected, only that root bridge will originate Configuration BPDUs; the non-root bridges will forward copies of that BPDU.
BPDUs also carry out the election to decide which switch will be the Root Bridge. The Root Bridge is the "boss" of the switching network - this is the switch that decides what the STP values and timers will be. Each switch will have a Bridge ID Priority value, more commonly referred to as a BID.
This BID is a combination of a default priority value and the switch's MAC address, with the priority value listed first. For example, if a Cisco switch has the default priority value of 32,768 and a MAC address of 11-22-33-44-55-66, the BID would be 32768:11-22-33-44-55-66. Therefore, if the switch priority is left at the default on all switches, the MAC address is the deciding factor in the root bridge election.

Topology Change Notifications (TCNs)

Configuration BPDUs are originated only by the root bridge, but a TCN BPDU will be generated by any switch in the network when one of two things happen:

A port goes into Forwarding mode
A port goes from Forwarding or Learning mode into Blocking mode

While the TCN BPDU is important, it doesn't give the other switches a lot of detail. The TCN doesn't say exactly what happened, just that something happened.

Portfastenabled ports cannot result in TCN generation, which makes perfect sense. The most common usage of Portfast is when a single PC is connected directly to the switch port, and since such a port going into Forwarding mode doesn't impact STP operation, there's no need to alert the entire network about it.

Process of choosing a Root Port

Here's the process of choosing a Root Port.

Choose the port with the lowest Root Path Cost to the root bridge. If there is a tie, go next.
Choose the port receiving the BPDU with the lowest Sender BID. If there is a tie, go next.
Choose the lowest sender Port ID. That is the tiebreaker.

How Root Path Costs Are Determined

The root bridge will transmit a BPDU with the Root Path Cost set to zero. When a neighboring switch receives this BDPU, that switch adds the cost of the port the BPDU was received on to the incoming Root Path Cost. Root Path Cost increments as BPDUs are received, not sent. That new root path cost value will be reflected in the BDPU that switch then sends out.

The default STP Path Costs are determined by the speed of the port. These path costs have changed from their original values, so you'll be shown both here.

Link Speed	Cost (Revised IEEE Spec)	Cost (Previous IEEE Spec)
10 Gbps	2	1
1 Gbps	4	1
100 Mbps	19	10
10 Mbps	100	100

STP port state

Disabled : it isn't generally thought of as an STP port state. Cisco does officially consider this to be an STP state. A disabled port is one that is administratively shut down. A disabled port obviously isn't forwarding frames, but it's not even officially taking place in STP. We will not see it into the STP table of a VLAN.
Blocking : once the port is opened, the port will go into blocking state. As the name implies, the port can't do much in this state - no frame forwarding, no frame receiving, and therefore no learning of MAC addresses. About the only thing this port can do is accept BPDUs from neighboring switches.
Listening : a port will then go from blocking mode into listening mode. Listening for BPDUs - and this port can now send BPDUs as well. The port still can't forward or receive data frames, and the MAC address table is not yet being updated.
Learning : When the port goes into learning mode, it's not yet forwarding frames, but the port is learning MAC addresses by adding them to the switch's MAC address table.
Forwarding : Finally, a port enters forwarding mode. This allows a port to forward and receive data frames, send and receive BPDUs, and place MAC addresses in its MAC table.

To see the STP mode of a given interface, use the show spanning-tree interface command.

SW1# show spanning-tree interface fa 0/6

Vlan               Role Sts Cost      Prio.Nbr Type

VLAN0001           Altn BLK 19        128.12   P2p
VLAN0020           Altn BLK 19        128.12   P2p
VLAN0100           Root FWD 4         128.12   P2p

Timers

That change must be configured on the root bridge! The root bridge will inform the nonroot switches of the change via BPDUs.

Hello Time defines how often the Root Bridge will originate Configuration BPDUs. By default, this is set to 2 seconds.
Forward Delay is the length of both the listening and learning STP stages, with a default value of 15 seconds.
Maximum Age, referred to by the switch as MaxAge, is the amount of time a switch will retain the superior BPDU's contents before discarding it. The default is 20 seconds.

SW1(config)# spanning-tree vlan 100 ?
forward-time  Set the forward delay for the spanning tree
hello-time    Set the hello interval for the spanning tree
max-age       Set the max age interval for the spanning tree

In the following example, some exchanges have been made on the root bridge but not on the switch. The switch will use the timers of the root bridge.

SW1#sh spanning-tree vlan 1

VLAN0001
  Spanning tree enabled protocol rstp
  Root ID    Priority    24577
             Address     0016.4791.0b80
             Cost        19
             Port        10 (FastEthernet0/10)
             Hello Time   5 sec  Max Age 30 sec  Forward Delay 20 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     000b.5f71.3a00
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time 300

Interface        Role Sts Cost      Prio.Nbr Type

Fa0/9            Altn BLK 19        128.9    P2p Peer(STP)
Fa0/10           Root FWD 19        128.10   P2p Peer(STP)

Change the priority of a switch

It is possible to specify to a switch to become root primary or secondary with a single command:

SW3(config)#spanning-tree vlan 20 root primary
SW1(config)#spanning-tree vlan 20 root secondary

You will not see that command in your configuration, it is replaced by the priority command. So that command permits to a switch to become primary for now but not for ever. For example, we set SW1 primary root with that command, then we set the priority of SW2 lower than the priority set automaticaly to SW1, SW1 will not stay root bridge, SW2 will become.

Ever wondered how the STP process decides what priority should be set when the spanning-tree vlan root command is used? After all, we're not configuring an exact priority with that command. Here's how the STP process handles this:

If the current root bridge's priority is greater than 24,576, the switch sets its priority to 24576 in order to become the root. You saw that in the previous example.
If the current root bridge's priority is less than 24,576, the switch subtracts 4096 from the root bridge's priority in order to become the root.

So the best way to fix the root bridge is to configure manually the priority:

SW1(config)#spanning vlan 20 priority 4096

Change the priority of a port

Lors de l'élection du designated port, il peut être utile de configurer manuellement la priorité d'un port.

SW1(config)# int fa 0/12
SW1(config-if)# spanning-tree vlan 15-20 port-priority 16

Vérification

SW1# show spanning vlan 15
...
Interface           Role Sts Cost         Prio.Nbr Type

Fa0/11              Desg FWD 19           128.11 P2p
Fa0/12              Desg FWD 19            16.12 P2p

Advanced STP Features

Portfast

Suitable only for switch ports connected directly to a single host, Portfast allows a port running STP to go directly from blocking to forwarding mode.

SW1(config)#int fa 0/3
SW1(config-if)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
 host. Connecting hubs, concentrators, switches, bridges, etc... to this
 interface  when portfast is enabled, can cause temporary bridging loops.
 Use with CAUTION

%Portfast has been configured on FastEthernet0/3 but will only
 have effect when the interface is in a non-trunking mode.

PVRST

Voici la différence des états STP et RSTP:

STP : disabled > blocking > listening > learning > forwarding
RSTP : discarding > learning > forwarding

Activer PVRST

SW1(config)#spanning-tree mode rapid-pvst

Vérification

Il est possible de regarder si la commande est bien passée:

SW1#sh spanning-tree summary
Switch is in rapid-pvst mode

Dans l'exemple suivant, on voit qu'on utilise le rstp mais les voisins en Fa0/9 et Fa0/10 utilise encore STP - message P2p Peer (STP). Sur le port Fa0/3, nous avons un PC configuré un spanning-tree porfast, nous avons donc un message Edge P2p.

SW1#sh spanning-tree vlan 1

VLAN0001
  Spanning tree enabled protocol rstp
...

Interface        Role Sts Cost      Prio.Nbr Type

Fa0/3            Desg FWD 19        128.3    Edge P2p
Fa0/9            Root FWD 19        128.9    P2p Peer(STP)
Fa0/10           Altn BLK 19        128.10   P2p Peer(STP)
Fa0/11           Altn BLK 19        128.11   P2p
Fa0/12           Altn BLK 19        128.12   P2p

Configurer MSTP

Instance, Domaine et Revision

Le domaine et le numéro de révision doit être identique sur tous les switchs du domaine.

SW1(config)# spanning-tree mst configuration
SW1(config-mst)# name building1
SW1(config-mst)# revision 1
SW1(config-mst)# instance 1 vlan 1, 11, 14
SW1(config-mst)# instance 2 vlan 12-13

Configurer les priorités par instance

SW1(config)# spanning-tree mst 1 priority 4096
SW1(config)# spanning-tree mst 2 priority 8192

Activer MSTP

SW1(config)# spanning-tree mode mst

Vérifier

Vérifier le mode de fonctionnement

SW1#sh spanning-tree summary
Switch is in mst mode
...

Vérifier les instances MST

La commande suivante permet de savoir quel vlan est dans quelle instance MST.

SW1#sh spanning-tree mst configuration
Name      [building1]
Revision  1
Instance  Vlans mapped

0         2-10,15-4094
1         1,11,14
2         12-13

Détails

La commande show spanning-tree ne fait plus voir une configuration pas vlan mais par instance MST. Nous voyons dans l'exemple suivant que les switchs connectés sur les interfaces Gi1/0/9 et Gi1/0/10 n'utilisent pas MSTP mais encore STP - message P2p Bound(STP).

SW1#sh spanning-tree

MST00
  Spanning tree enabled protocol mstp
  Root ID    Priority    8192
             Address     0016.478c.6d80
             Cost        0
             Port        5 (GigabitEthernet1/0/5)
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32768  (priority 32768 sys-id-ext 0)
             Address     0016.4791.0b80
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

Interface        Role Sts Cost      Prio.Nbr Type

Gi1/0/1          Desg FWD 200000    128.1    P2p
Gi1/0/9          Desg FWD 20000     128.9    P2p Bound(STP)
Gi1/0/10         Desg FWD 20000     128.10   P2p Bound(STP)

Controles

Adresse MAC sur root bridge

La commande show spanning-tree indique qui est root bridge d'un vlan, on retrouve l'adresse mac de ce root.

SW1#sh spanning-tree vlan 1

VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    4097
             Address     0016.4791.0b80
             Cost        19
             Port        9 (FastEthernet0/9)
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

On retrouve l'adresse MAC du root bridge avec un show version sur celui-ci

SW2#sh version
Cisco IOS Software, C3750 Software (C3750-IPSERVICES-M), Version 12.2(25)SEB4, RELEASE SOFTWARE (fc1)
...
Base ethernet MAC Address       : 00:16:47:91:0B:80
...

Voir les ports bloqués

SW1#show spanning-tree blockedports

Name                 Blocked Interfaces List

VLAN0001             Fa0/10, Fa0/11, Fa0/12
VLAN0011             Fa0/10, Fa0/11, Fa0/12
VLAN0013             Fa0/9, Fa0/10, Fa0/12

Number of blocked ports (segments) in the system : 9

Voir le mode de spanning-tree utilisé et les options activés

La meilleur commande pour cela est sh spanning-tree summary. Dans l'exemple suivant nous voyons que nous utilisons pvst et que nous avons activé uplinkfast.

SW1#sh spanning-tree summary
Switch is in pvst mode
Root bridge for: none
EtherChannel misconfig guard is enabled
Extended system ID           is enabled
Portfast Default             is disabled
PortFast BPDU Guard Default  is disabled
Portfast BPDU Filter Default is disabled
Loopguard Default            is disabled
UplinkFast                      is enabled
BackboneFast                 is disabled
Pathcost method used         is short

Name                   Blocking Listening Learning Forwarding STP Active

VLAN0001                     3         0        0          2          5
VLAN0011                     3         0        0          1          4
VLAN0013                     3         0        0          1          4
 
3 vlans                      9         0        0          4         13

Station update rate set to 150 packets/sec.

UplinkFast statistics

Number of transitions via uplinkFast (all VLANs)            : 4
Number of proxy multicast addresses transmitted (all VLANs) : 40

Il est aussi possible de voir le mode avec la commande suivante plus habituelle:

SW1#sh spanning-tree vlan 1

VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    4097
             Address     0016.4791.0b80
             Cost        19
             Port        9 (FastEthernet0/9)
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
 ...

STP Security

Plus d'info sur le site de Cisco

BPDU Guard

Cette commande est utilisé sur les ports configurés en portfast sur lesquelles aucun switch ne doit venir se connecter. Si un BPDU est reçu sur ce port, le port est automatiquement mise en shutdown (err-disabled).

SW1(config-if)# spanning-tree bpduguard enable

BPDU filtering

Le fonctionnement est différent si cette commande est configurée de façon globale ou sur une interface

Configuration Globale

SW1(config)# spanning-tree portfast bpdufilter default

Dans ce cas, BPDU filtering est activé sur tous les ports configurés en portfast. Si un message BPDU arrive sur le port, le port perd son statut portfast et fonctionne alors comme un port normal (envoie/réception de BPDU).

Configuration par Port

SW1(config-if)# spanning-tree bpdufilter enable

Dans ce cas, le port va ignorer tous les messages BPDU qui vont arriver sur lui et les dropper et n'envoie aucun message BPDU non plus.

BPDU Root Guard

Cette option permet d'éviter à n'importe quelle switch de devenir root bridge. Si un switch descend sa priorité, il peut devenir root bridge alors que nous le souhaitons pas. Ainsi, cette option utilisé sur les ports des switchs de distribution permet de bloquer les BPDU de switch souhaitant devenir root bridge, le port passe en root-inconsistent et plus aucun trafic ne peut passer.

UDLD

Loop Guard

Conclustion

STP

En cas de problème sur un lien, nous avons un temps de coupure d'environ 30 secondes.

STP + uplinkfast

En cas de problème sur un lien, nous avons un temps de coupure très faible.

RSTP

En cas de problème sur un lien, nous avons un temps de coupure très faible. Attention, si un port portfast est en half duplex, il y aura une coupure d'environ 6 secondes car le switch ne sait si c'est un lien P2P ou shared.

MSTP

En cas de problème sur un lien, nous avons un temps de coupure très faible.

Liens

Configuring Optional Spanning-Tree Features : PortFast, BPDU Guard, BPDU Filtering, Root Guard... sur cisco.com
Cisco's STP Toolkit

Configurer un Trunk

2008-04-14T14:03:00+02:00

Cet article présente comment configurer un trunk sur des switchs Cisco

Choisir l'encapsulation
Choisir un mode static ou dynamic
Configurer le native vlan
Configurer un filtrage de VLAN
Vérifier la configuration du trunk
Remarque

Choisir l'encapsulation

Il existe 2 types de trunk ISL et 802.1Q.

ISL	802.1Q
Cisco Proprietary	Nonproprietary
Encapsulated	Tagged
Protocol independent (ne dépend pas du niveau 2)	Protocol dependent
Encapsulates the old frame in a new frame (26 bytes en entête et 4 bytes de crc soit 30 bytes d'overhead, la trame peut être vu comme giant)	Adds a field to the frame header (insertion de 4 bytes parès l'adresse mac de destination)

Si le switch supporte 802.1q et ISL, il faut lui spécifier quelle encapsulation utiliser.

Les nouveaux switchs ne supportant que 802.1q, la commande n'existe plus.

SW(config-if)# swtichport trunk encapsulation dot1q

Choisir un mode static ou dynamic

Cisco recommande de forcer les ports en trunk, non négocié.

 SW(config-if)# switchport mode trunk

Désactiver la négociation DTP

SW(config-if)# switchport nonegotiate

Vérifier l'état DTP d'un port

SW#show dtp interface fastEthernet 0/9
DTP information for FastEthernet0/9:
  TOS/TAS/TNS:                              TRUNK/NONEGOTIATE/TRUNK
  TOT/TAT/TNT:                              802.1Q/802.1Q/802.1Q
...

Switchport Mode Interactions

Il est possible d'avoir un trunk dynamique.

SW(config-if)#switchport mode ?
  access   Set trunking mode to ACCESS unconditionally
  dynamic  Set trunking mode to dynamically negotiate access or trunk mode
  trunk    Set trunking mode to TRUNK unconditionally

SW(config-if)#switchport mode dynamic ?
  auto       Set trunking mode dynamic negotiation parameter to AUTO
  desirable  Set trunking mode dynamic negotiation parameter to DESIRABLE

	Dynamic Auto	Dynamic Desirable	Trunk	Access
Dynamic Auto	Access	Trunk	Trunk	Access
Dynamic Desirable	Trunk	Trunk	Trunk	Access
Trunk	Trunk	Trunk	Trunk	Not recommended
Access	Access	Access	Not recommended	Access

Configurer le native vlan

SW(config-if)# switchport trunk native vlan 55

Configurer un filtrage de VLAN

SW(config-if)# switchport trunk allowed vlan 11,13

Attention à la commande allowed vlan. Il faut mettre tous les vlans sur la même ligne ou spécifier add/remove pour modifier la liste existante.

Exemple, on souhaite autoriser le vlan 13 et 14 à passer dans notre trunk avec les commandes suivantes:

SW(config-if)# switchport trunk allowed vlan 13
SW(config-if)# switchport trunk allowed vlan 14

La seconde commande supprime l'information de la première et nous n'avons plus que le vlan 14 autorisé. Pour avoir 13 et 14, il faut utiliser la commande add.

SW(config-if)# switchport trunk allowed vlan 13
SW(config-if)# switchport trunk allowed vlan add 14

Vérifier la configuration du trunk

SW#sh run int fa 0/9
Building configuration...

Current configuration : 176 bytes
!
interface FastEthernet0/9
 description 1ASW1 0/9 - 1DSW1 0/1
 switchport trunk allowed vlan 11,13
 switchport mode trunk
 switchport nonegotiate
 speed 100
 duplex full
end

SW#sh interfaces fa 0/9 trunk

Port        Mode         Encapsulation  Status        Native vlan
Fa0/9         on            802.1q           trunking        1

Port        Vlans allowed on trunk
Fa0/9       1,11,13,1002-1005

Port        Vlans allowed and active in management domain
Fa0/9         1,11,13

Port        Vlans in spanning tree forwarding state and not pruned
Fa0/9       none

Remarque

Si un switch possède un trunk ISL et un trunk 802.1Q, il est possible de mapper les vlans du trunk avec les vlans du trunk 802.1Q. Un maximum de 8 correspondances est possible.

SPAN : sniffer son réseau pour mieux le comprendre

2008-04-06T18:25:00+02:00

Le SPAN permet à un switch de rediriger le trafic d'un port source vers un port de destination ceci afin d'analyser ce flux.

Il existe plusieurs versions du SPAN, la différence venant de l'emplacement du port source.

Le SPAN se configure à l'aide de la commande monitor session et une suite de paramètres définissant la source et la destination. Le nombre de session simultanée peut différer selon la platforme du switch. Les switchs C3550 et C2950 ne supporte que 2 sessions simultanées, alors que les switchs plus puissant peuvent supporter jusqu'à 64 sessions.

Remarques sur la Source

Un port source peut être utilisé dans plusieurs sessions SPAN simultanément.
Un port source peut faire partie d'un Etherchannel.
Un port source ne peut pas être défini comme port de destination.
Un port source peut être de n'importe quel type - Ethernet, FastEthernet, etc.

Remarque sur la Destination

Un port de destination peut être de n'importe quel type.
Un port de destination ne peut être utilisé que dans une seule session SPAN.
Un port de destination ne peut être un port source.
Un port de destination ne peut faire partie d'un Etherchannel.
Un port de destination ne participe pas dans STP, CDP, VTP, PaGP, LACP, ou DTP.

Local SPAN

Le local SPAN est utilisé quand le port source et le port de destination sont sur le même switch. Si la source est un vlan et non un port physique, nous parlons de VSPAN (VLAN-Based SPAN).

Configuration

Spécifier le port source:

SW(config)# monitor session 1 source interface fa 0/1

Il est possible de spécifier un range de ports en source:

SW(config)# monitor session 1 source interface fa 0/1 - 5

Spécifier le port de destination

SW(config)# monitor session 1 destination interface fa 0/10

RSPAN - Remote SPAN

Dans ce cas le port source et le port destination ne sont pas sur le même switch. Il faut alors créer un nouveau VLAN pour transporter ce trafic "mirroir".

Voici quelques points à avoir en tête avant de configurer un RSPAN:

S'il y a des switchs intérmédiaires entre les 2 switchs source et destination, ils doivent être RSPAN-capable.
VTP traite le VLAN configuré pour le RSPAN comme tout autre VLAN. Ce VLAN sera propagé dans le domain VTP s'il est créé sur le serveur VTP. Sinon, il faut créer ce VLAN sur tous les switchs utilisés pour transporter ce flux. VTP Pruning will also prune the RSPAN VLAN under the same circumstances that it would prune a "normal" VLAN.
Les adresses MAC ne sont pas enregistrées sur un VLAN RSPAN.
La source et la destination doivent être définis sur le switch disposant du port source mais aussi sur le port disposant du port de destination, cependant ces commandes ne seront pas identiques.

Configuration

Créer un VLAN pour le RSPAN

SW1(config)# vlan 99
SW1(config-vlan)# remote-splan

Configuration du switch source

Définir le port source

SW1(config)# monitor session 2 source interface fast 0/4

Définir la destination

SW1(config)# monitor session 2 destination remote vlan 99

Configuration du switch destination

Définir la source

SW2(config)# monitor session 2 source remote vlan 99

Définir le port destination

SW2(config)# monitor session 2 source interface fast 0/10

Verification

SW2# show monitor
Session 2
-
Type              : Remote Destination Session
Source RSPAN VLAN : 99
Destination Ports : Fa0/10
    Encapsulation : Native
          Ingress : Disabled

Liens

Catalyst Switched Port Analyzer (SPAN) Configuration Example sur cisco.com

Wget en https avec un Proxy

2008-01-22T12:28:00+01:00

wget est un gestionnaire de téléchargement libre en ligne de commande. Celui-ci est très utilse quand nous sommes en ssh sur un serveur linux par exemple, ou lorsque nous souhaitons mettre en place un téléchargement de fichier de façon automatique.

J'ai été confronté au cas suivant: télécharger un fichier sur un site web en https et authentifié par login et mot de passe. Le problème a été de bien configuré le proxy pour supporter le https.

Voici les quelques opérations à mener.

Tout d'abord récupérer une version de wget supportant ssl.

La dernière version en date 1.10.2 pour windows est disponible sur le site suivant : http://users.ugent.be/~bpuype/wget/.
Sous debian stable, le package actuelle propose aussi la version 1.10.2

deb:~# apt-get install wget
deb:~# wget --version
GNU Wget 1.10.2

Configuration les options du proxy dans le fichier wgetrc

Sous Windows, le fichier doit se nommer .wgetrc et doit se trouver dans le même répertoire que l'exécutable.
Sous Linux, le fichier se trouve dans /etc/wgetrc

Voici les paramètres intéressants pour notre cas

https_proxy = http://monproxy:3128
use_proxy = on

A bien noter le s (c'est ce qui m'a posé problème). Si vous utilisez la ligne suivante, cela ne prend pas en charge le https mais que le http.

http_proxy = http://monproxy:3128

La ligne de commande

Place maintenant à la commande en elle-même. A noter deux paramètres, le premier permettant d'ignorer les erreurs du certificat et après l'url nous trouvons les éléments d'authentification web.

wget --no-check-certificate https://monserveur/mon_fichier.csv --http-user=monUser --http-passwd=monPassword

GNS3 : Graphical Network Simulator

2007-11-26T16:35:00+01:00

GNS3 est un simulateur d'équipements Cisco. Cet outil permet donc de charger de véritable IOS Cisco et de les utiliser en simulation complète sur un simple ordinateur. Pour caricutariser, GNS3 permet d'avoir un routeur Cisco virtuel sur son ordinateur. A noter simplement que GNS3 ne fournit pas d'IOS, il faut se les procurer à l'aide d'un compte Cisco CCO par exemple. Ou grâce à Google.

Cet outil est parfait pour se préparer aux certifications Cisco CCNA, CCNP, CCIP ou CCIE.

Pour ma part je l'utilise essentiellement pour tester des fonctionnalités d'IOS. Je l'ai par exemple beaucoup utilisé pour faire des tests autour de OSPF (redistribution, filtrage, authentification, ...).

Afin de permettre des simulations complètes, GNS3 est fortement lié avec:

Dynamips, un émulateur d'image IOS qui permet de lancer des images binaires IOS provenant de Cisco Systems.
Dynagen, une interface en mode text pour Dynamips.

GNS3 est un logiciel libre qui fonctionne sur de multiples plateformes, incluant Windows, Linux, et MacOS X.

Plateformes supportées

Il y a 4 platerformes supportées actuellement:

C2600 (2610, 2611, 2620, 2621, 2610XM, 2611XM, 2620XM, 2621XM, 2650XM, 2651XM, 2691)
C3600 (3620, 3640, 3660)
C3700 (3725, 3745)
C7200

GNS3 n'émule pas encore de switch Catalyst, mais il semblerait qu'avec l'aide de Cisco, rien ne soit impossible.

Configurer le client terminal

Editer > Préférences > Dynampis > Commande pour le terminal: pour putty:

start D:\TOOLS\PuTTY\putty.exe -telnet %h %p

Démo video

La vidéo suivante présente les éléments suivants:

Importer un nouvel IOS.
Séléctionner l'IOS à utiliser sur un équipement.
Lancer une simulation.
Démarrer l'équipement et se connecter en console.
On observe que par défaut, un équipement occupe énormément de ressource CPU. Il est possible de l'optimiser en configurant donc le idlepc à l'aide de la commande:

idlepc get Rx

On revient en mode conception et on vérifie que le idlepc est correctement renseigné.

Edit : Il y a eu pas mal de modification dans les dernières versions. Cette petite présentation n'est donc plus vraiment d'actualité.

Afficher un fichier sans les lignes de commentaires

2007-10-18T17:10:00+02:00

Voilà trois façons de procéder.

Grep
Sed
Perl

Grep

La 1ère à l'aide de "egrep" (ou "grep -E"):

egrep -v '^(#|$)'  /etc/samba/smb.conf
grep -E -v '^(#|$)'  /etc/samba/smb.conf

Là l'exemple se contente de ne pas afficher toutes lignes commençant par un dièse (#) ou par le caractère de contrôle de fin de ligne dollar ($). S'il s'avérait que le délimiteur de commentaires soit placé non pas en début de ligne mais en retrait (espace ou tabulation), ou que le fichier mêle d'autres caractères délimiteurs comme le point virgule (;), rien ne vous empêche d'embellir votre expression rationnelle comme suit :

grep -E -v '^(#|;|$|*#)' /etc/samba/smb.conf

Sed

La seconde à l'aide de "sed" :

sed -e '/^*#/d' -e '/^$/d' /etc/samba/smb.conf

On élimine en premier les lignes commençants par un espace ou un signe dièse, puis on élimine toutes les lignes vides. Bien entendu comme dans l'exemple précédent vous pouvez étoffer votre commande en incluant d'autres motifs, comme le point virgule, ce qui donnerait :

sed -e '/^*#/d' -e '/^*;/d' -e '/^$/d' /etc/samba/smb.conf

Perl

La troisième à l'aide de "perl" :

En fait il s'agit toujours des regex, c'est l'utilitaire qui change. Qu'il s'agisse de grep, egrep, sed, python, perl, etc. c'est toujours la regex qui fait l'affaire. Il nous reste seulement à étudier l'implémentation des regex et le moteur utilisé par les utilitaires. A savoir par exemple qu'un moteur DFA - Deterministic Finite Automation - est plus rapide qu'un moteur NFA - Nondeterministic Finite Automation - . En revanche le moteur NFA nous permet de mieux peaufiner et diriger la regex pour obtenir le résultat voulu, donc un environement de créativité qu'on ne trouve pas avec un moteur DFA.

perl -ne 'print unless /^\s*[;\$#]|^$/' /etc/samba/smb.conf

Liens

source de cette asctuce

Configuring Router - Based DHCP Services

2007-09-03T00:00:00+02:00

This article presents how to configure a dhcp server on a Cisco router.

Configuring IOS-Based DHCP options
Importing and Re-using DHCP Options
The biggest command of all : ip helper-address

Configuring IOS-Based DHCP options

Exclude one or a range of address

R1(config)# ip dhcp excluded-address 10.0.1.1
R1(config)# ip dhcp excluded-address 10.0.1.1 10.0.1.5

Create a pool with a name

R1(config)# ip dhcp pool Admin_Subnet

we are now under the dhcp config mode

Define the network

R1(dhcp-config)# network 10.0.1.1 /24

Configure option

default gateway

R1(dhcp-config)# default-router 10.0.1.1

domain name

 R1(dhcp-config)# domain-name nemako.net

Multiple DNS servers

R1(dhcp-config)# dns-server 10.0.1.3 10.0.1.4

Netbios servers

R1(dhcp-config)# netbios-name-server 10.0.1.3

Define a proprietary option

R1(dhcp-config)# option 150 ?
 ascii
 hex
 instance
 ip

Show the binding table

R1# show ip dhcp binding

Save the binding table on a server (tftp for example)

R1(config)# ip dhcp database tftp://10.1.0.50/dhcp-bindings.txt

Configure a router as a DHCP client

R2(config)# int e0/0
R2(config-if) ip address dhcp

Importing and Re-using DHCP Options

It is possible to redistribute options that you have learned as a dhcp client in your dhcp server configuration

R1(dhcp-config)# ip dhcp pool Admin_Subnet
R1(dhcp-config)# import all

The biggest command of all : ip helper-address

This command permits to forward broadcast to any server we want.

R1(config)# int s0
R1(config-if)# ip helper-address 10.3.0.1

By default it forward the following UDP port:

37 : time
49 : tacacs
53 : dns
67 : dhcp server
68 : dhcp client
69 : tftp
137 : netbios name service
138 : netbios datagram service

It is possible to define what port number to send over:

R1(config)# ip forward-protocol udp 24

Or to specify what default port number not to send:

R1(config)# no ip forward-protocol udp 37

It is possible to configure multiplce helper-address but a unicast packet will be send for every servers, so both servers will respond.

Modifier une ACL

2007-09-02T17:35:00+02:00

Cet article présente 2 méthodes pour modifier une access-list sur un routeur Cisco sans perturber le traffic:

une modification en live sur le routeur : on ajoute une règle entre les règles existantes.
une modification de 0 : on supprime l'ACL et on en applique une nouvelle modifiée.

Modification en live

Voici un exemple:

R1#sh ip access-lists
Extended IP access list 101
    1 permit ip host 10.1.1.1 host 11.1.1.1
    2 permit ip host 12.1.1.1 host 13.1.1.1
    3 deny tcp host 14.1.1.1 host 15.1.1.1 eq www
    4 permit ip host 14.1.1.1 host 15.1.1.1
    5 deny tcp host 16.1.1.1 host 17.1.1.1 eq www
    6 permit ip host 16.1.1.1 host 17.1.1.1

Si je veux insérer une règle entre la ligne 1 et 2, il faut re-sequencer la liste:

R1(config)# ip access-list resequence 101 10 10

Le premier 10 correspond au nombre de départ, le second à l'incrément.

Voici donc le résultat obtenu:

R1#sh ip access-lists
Extended IP access list 101
    10 permit ip host 10.1.1.1 host 11.1.1.1
    20 permit ip host 12.1.1.1 host 13.1.1.1
    30 deny tcp host 14.1.1.1 host 15.1.1.1 eq www
    40 permit ip host 14.1.1.1 host 15.1.1.1
    50 deny tcp host 16.1.1.1 host 17.1.1.1 eq www
    60 permit ip host 16.1.1.1 host 17.1.1.1

Il est maintenant possible d'insérer ma ligne.

R1(config)# ip access-list extended 101
R1(config-ext-nacl)# 11 access-list 101 deny tcp host 12.1.1.1 host 13.1.1.1 eq www

Le résultat est alors:

R1# sh ip access-lists
Extended IP access list 101
    10 permit ip host 10.1.1.1 host 11.1.1.1
    11 deny tcp host 12.1.1.1 host 13.1.1.1 eq www
    20 permit ip host 12.1.1.1 host 13.1.1.1
    30 deny tcp host 14.1.1.1 host 15.1.1.1 eq www
    40 permit ip host 14.1.1.1 host 15.1.1.1
    50 deny tcp host 16.1.1.1 host 17.1.1.1 eq www
    60 permit ip host 16.1.1.1 host 17.1.1.1

Recréer l'ACL de 0

L'autre solution est de gérer des fichiers de configuration pour chaque ACL et de tout ré-appliquer à chaque modification. Pour ne pas bloquer les utilisateurs, il faut donc penser à retirer l'ACL de l'interface, de modifier l'ACL puis de la ré-appliquer. Voici par exemple un exemple de fichier:

!
line vty 0 4
 no access-class NETMGT-IN in
!
exit
!
no ip access-list extended NETMGT-IN
ip access-list extended MGT-IN
 remark -- VLAN Administrateur
 permit tcp 192.168.14.0 0.0.0.31 gt 1023 host 0.0.0.0 eq 22
 permit tcp 192.168.44.0 0.0.0.15 gt 1023 host 0.0.0.0 eq 22
 remark -- Acces VPN
 permit tcp 192.168.160 0.0.0.63 gt 1023 host 0.0.0.0 eq 22
 remark -- Deny ALL
 deny ip any any log
!
exit
!
line vty 0 4
 access-class MGT-IN in
!
exit
!

Liens

Modifying an ACL sur Cisco CCNP and CCIE Study Notes

IPv6

2007-08-31T22:32:00+02:00

Cet article présente rapidemment IPv6:

Rationale for IPv6
IPv6 Addressing Format
IPv6 headers and Address Types
Types of Communication
Types of Addresses
Assigning IPv6 addresses
IPv6 routing protocols
Base configuration of OSPFv3
IPv4 to IPv6 migration strategies

Understanding Basic Concepts and Addressing

Rationale for IPv6

There is an IP address shortage

USA is still sitting pretty
Asia and Africa received single class C for entire country

Current IP address poorly allocated

Agencies needing class C asked for class B
Estimates on IPv4 exhaustion largely debated (2009 - 2041)

New Network Devices on the rise

NAT (our current solution) is now seen as a hinderence to innovation

Potential Future features:IPSec everywhere, Mobility, Simpler Header

These features are cool but not business motivator.

IPv6 Addressing Format

Address size moved from 32bit (IPv4) to 128bits (IPv6)
To make addresses more manageale, divided into 8 groups of 4 hex characters each

2001:0050:0000:0000:0000:0AB4:1E2B:98AA

Rule1 : eliminate groups of consecutive zeros

2001:0050::0AB4:1E2B:98AA

Rule2 : drop leading zeros

2001:50::AB4:1E2B:98AA

IPv6 headers and Address Types

Types of Communication

Unicast: one-to-one
Multicast : one-to-many
Anycast : one-to-closest

Types of Addresses

Link-local scope address : Layer 2 domain
Unique/site-local scope address : organization - equivalent to private IPv4 address
Global scope address : internet

Link Local Addresses

Assigned automatically as an IPv6 host comes online
Similar to the 169.254.x.x addresses of IPv4
Always begin with FE80 (first 10 bits : 1111 1110 10) followed by 54 bits of zeros
Last 64 bits is the 48 bit mac address with FFFE squeeze in the middle.

MAC ADDRESS : 0019.D122.DCF3

becomes

            0019.D1FF.FE22.DCF3

Unique-local (RFC4193) / Site-local (RFC3512) Addresses

Unique Local is the new name of Site Local address
The purpose of this address has been argued extensively
Used within enterprise networks to identify the boundary of their networks
Uses the following format:
- begin with FC00::/7 = 1111 110(L)
- bit 8 is :
  - 1 = Locally Assigned
  - 0 = Future Use
- 40 bits : Global ID
- 16 bits : Subnet ID
- 64 bits : Interface ID
Currently, the site addresses begin with FD00::/8.

Global Addresses

Have their high-level 3 bits set to 001 (2000::/3)
Global routing prefix is 48 bits or less
Subnet ID is comprised of whatever bits are left over after global routing prefix
The primary addresses expected to comprise the IPv6 Internet are from the 2001::/16 subnet.

Multicast Addressing

Unlike IPv4, Multicasting is huge in IPv6
First 8 bits are always FF
Flag currently has 4 bits defined (ORPT)
Scope Defines how fare the multicast goes
- 1 - interface
- 2 - link
- 3 - subnet
- 4 - admin
- 5 - site
- 8 - organization
- E - global

Some Well Know (permenant) Multicast Addresses
- FF02::1 - All nodes (on link)
- FF02::2 - All routers (on link)
- FF02::9 - All RIP routers (on link)
- FF02::1:FFxx:xxxx - an IPv6 "ARP" message (on link)
- FF05::101 - All NTP servers (within site)

Configuring, Routing, and Interoperating

Assigning IPv6 addresses

R1(config)# int s0/0.4
R1(config-subif)# ipv6 address 2001:210:10:1::1/64
R1(config-subif)# ipv6 enable

Check the configuration

R1# show ipv6 int brief
Serial0/0.4                                 [up/up]
    FE80::203:E3FF:FE86:CC18
    2001:210:10:1::1

Serial interface does not have mac address, so it stole it from an Ethernet interface.

Test connectivity

R1# ping ipv6 2001:210:10:1::2

Check the routing table

R1# show ipv6 route

IPv6 routing protocols

In addition to static routing, nearly every routing protocol has been updated to support IPv6

RIPng
OSPFv3
EIGRP for IPv6
IS-IS for IPv6
MP-BGP4

OSPFv3... What's new ?

1. Smaller header (16 vs 24 bytes) - no authentication. Aunthentication is done thanks to IPSec.
2.No network statement
3. All neighbor communication through Link-local address (this communication now seperate)
4. Multiple OSPF "instances" per link... In odd network designs, one link could belong to multiple area
5.New multicast addresses : FF02::5 - FF02::6
6.No authentication

Base configuration of OSPFv3

Start OSPFv3. There is no more network command on the router config mode.

R3(config)# ipv6 unicast-routing
R3(config)# ipv6 router ospf 10
R3(config-rtr)# router-id 3.3.3.3

Configure OSPv3 per interface

R3(config)# int fa0
R3(config-if)# ipv6 ospf 10 area 0

Verification

R3# show ipv6 ospf
R3# show ipv6 ospf neighbor
R3# show ipv6 ospf interface
R3# show ipv6 route
...
O   1FE0:1111::/32 [110/65]
     via FE80::201:42FF:FE2C:4DEE, Serial0

IPv4 to IPv6 migration strategies

Technology exists to provide a smooth, non-pressured transition

Dual-Stack routers
Tunneling (6to4 and 4to6)
NAT Protocol Translation (NAT-PT)

Transfert de gros fichiers par tftp

2007-08-30T20:18:00+02:00

J'ai toujours utilisé SolarWinds TFTP Server comme serveur TFTP. Celui-ci répondait jusque là à toute mes demandes: sauvegarde de conf, transfert IOS... Malheureusement celui-ci ne supporte pas le transfert de fichier supérieur à 32Mo. Voici l'erreur obtenu.

La solution est Tftpd32. Ce serveur, recommandé par Cisco permet de transférer de gros fichier. Dans mon cas un IOS de plus de 70Mo.

Liens

Tftpd32

Multicast

2007-08-28T22:40:00+02:00

Cet article présente le multicast:

The importance of multicast
The facts about multicast
Multicast MAC Address
Multicast IP Address
Internet Group Management Protocol (IGMP)
Multicast Routing Protocol
Enabling a Cisco router for Multicast

Concepts and Configuration

The importance of multicast

Multicast addresses a need to send one data stream to many receivers

Unicast : one to one
Broadcast : one to all
Multicast : one to many

In IPv6, there is no longer a broadcast message

The facts about multicast

All multicast communication uses UDP, so reliability must be handled by the end host.
Addressing in multicast uses the class D range (244.0.00 - 239.255.255.255)
The sending host does not know the identity of the receiving hosts; it knows just a group IP addresses.
Group membership is dynamic. Workstations using multicast applications "subscribe" to the server's multicast address. Hosts join a group, notify their upstream router, and the router begins forwarding data to them.
Hosts can belong to more than one group.
Hosts in a group can be located in many different places.

Multicast MAC Address

Multicast MAC addresses all start with the first 25 bits 01005E. The last 23 bits are the left-most bits from the IP address. Example shows how a MAC address of 0100.5E40.0305 maps to a multicast IP address of 227.64.3.5.

Multicast IP Address

The entire 224.0.0.0/24 range is reserved by IANA

For a complete list : Internet Multicast Addresses on www.iana.org

Some addresses are reserved:

224.0.0.1 : All multicast hosts on this subnet
224.0.0.2 : All multicast routers on this subnet

The rest of the 224.0.0.0/24 is reserved for link-locl protocols. Some well-known multicast addresses:

224.0.0.5 : OSPF, All routers
224.0.0.6 : OSPF, Designated Routers
224.0.0.9 : RIPv2 routers
224.0.0.10 : EIGRP routers

Other Key Multicast Addresses

Global Range : 224.0.1.0 - 238.255.255.255
- called globally-scoped addresses
- "Supposed" to work on the internet
- Originally designed for the multicast Backbone (MBONE) : dead or unused
- Designed to be assigned dynamically
Static multicast addresses : 233.0.0.0/8
- This is called GLOP, which is a combination of global and scope.
- used by an organization.
- The second and third octets of the address are the organization’s Autonomous System number.
Private Range : 239.0.0.0 - 239.255.255.255
- Designed for private use (within an organization)
- Can be assigned statically

Internet Group Management Protocol (IGMP)

When a host wishes to join a multicast group, it sends an Internet Group Management Protocol (IGMP) message to the router. The router periodically checks for group members on each segment.

3 major versions of IGMP; IGMPv2 most popular

IGMPv1: a host leave silently a group, the router doesn’t know they are gone until it queries and no one responds. Queryies are sent to the all-hosts address of 224.0.0.1.
IGMPv2 introduces a leave message in addition to the Join and Query message of IGMPv1. Queries are sent to specific multicast group address, not the all-hosts address.
IGMPv3: the client can specified which source it wants. There is 2 modes: include and exclude (specify servers it will not use) mode.

Multicast in a Layer 2 and 3 world Cisco Group Management Protocol (CGMP)

Switches flood multicasts by default. Cisco Group Management Protocol (CGMP) lets a router tell a switch which hosts belong to which multicast group, so the switch can add that information to its port-to-MAC address mapping. Then when a multicast comes in, the switch forwards it only to ports that have hosts belonging to that group. CGMP is Cisco proprietary. The switch become multicast.

IGMP Snooping

IGMP snooping is another way for the switch to find out which ports have multicast hosts. When it is enabled, the switch opens all multicast packets, looking for IGMP join or leave messages. When it finds one, it records that information and uses it for forwarding multicasts. Because every multicast packet has to be opened, this can cause a performance hit on the switch. The switch listen all query and join message. The switch must be L3.

Multicast Routing Protocol

Multicast relies on the unicast routing protocol.

Multicast Distribution Tree

Multicasts use two different ways to distribute data between a server and hosts:

source tree : easy to setup, but inefficient for lots of clients in different places.

A source-based tree is the simplest kind. Its root is the server, and it forms branches throughout the network to all the members of the multicast group. A source tree is identified by (S,G) where S is the IP address of the server and G is the group multicast address. It creates optimal paths between the server and the hosts, but takes more router resources. Every router along the path must maintain path information for every server.

shared tree : RDV (rendez-vous) point. Do not find the best route for all hosts.

A shared tree selects a common root called a rendezvous point (RP). The server sends traffic to the RP, which forwards it to hosts belonging to the group. The tree is identified by (*,G) where * means any source and G is the group multicast address. Shared trees use less router resources, but can result in suboptimal paths.

RPF : Reverse Path Forwarding

Multicast routers identify upstream ports (pointing to the server or RP) and downstream ports (pointing to other receivers) for each multicast group. The upstream port is found using Reverse Path Forwarding (RPF). RPF involves looking at the routing table to see which interface the router uses to send unicast traffic to that server or RP. That interface is the upstream port, or RPF port, for the multicast group. The RFP check is done every five seconds. It is used in this way:

If a multicast packet arrives on the RPF port, the router forwards the packet out to the interfaces listed in the outgoing interface list of a multicast routing table.
If the packet does not arrive on the RPF port, the packet is discarded to prevent loops.

PIM : Protocol Independent Multicast

PIM is a protocol used between routers to keep track of where to forward traffic for each multicast group. It can use information gathered from any routing protocol. PIM can run in dense mode or sparse mode.

PIM Dense Mode : uses source-based trees. Turn it on and it starts working.

PIM assumes that every router needs to receive multicasts. Any router that doesn’t want to receive it must send a prune message upstream to the server. PIM dense mode is most appropriate when:

Multicast servers and receivers are near each other.
There are just a few servers and many receivers.
You have a high volume of multicast traffic.
The multicast stream is fairly constant.

PIM Sparse Mode : uses shared distribution trees.

It does not assume that any routers want to receive the multicast, but instead waits to hear an explicit message from them, joining the group. Then it adds branches to the tree to reach the hosts behind those routers. PIM sparse mode use RPs to connect hosts and servers. After the connection is made, PIM switches over to a source tree. Sparse mode is used when:

Pockets of users are widely dispersed around the network.
Multicast traffic is intermittent.

PIM Sparse-Dense Mode

An interface can be configured in sparse-dense mode. Then, if the router knows of an RP for its group, it uses sparse mode. Otherwise, it uses dense mode. In addition, it makes the interface capable of receiving multicasts from both sparse and dense-mode groups.

Enabling a Cisco router for Multicast

Activate Multicast Routing

R1(config)# ip multicast-routing

Activate PIM on interface

R1(config)# int gi 0/1
R1(config-if)# ip pim {sparse-mode | dense-mode | sparse-dense-mode}

Configure Rendez-Vous point for sparse mode

R1(config)# ip pim rp-address ip-address

Configure Auto-RP

RPs advertise themselves to a router designated as an RP mapping agent. The mapping agent then decides on one RP per group and sends that information to the other routers.

Automatically detect a RDV point

R1(config)# ip pim send-rp-discovery scope ttl

Announce itself as a RDV point

R1(config)# ip pim send-rp-announce type number scope ttl

Verify Multicast Routing

show ip mroute

This shows the contents of the multicast routing table. For each group, it lists the mode, the RPF neighbor, the group identifier, and the outgoing interfaces.

show ip pim interface

Lists each interface doing multicasting, its PIM mode, and number of neighbors.