Articles

Affichage des articles du 2009

OSPF & NBMA Networks Part 2: broadcast

Image
NBMA Networks are Frame-Relay, ATM & X.25 networks.
Multiple devices are attached but are non-broadcast.




The network type is set to 'broadcast'.
The DLCI is treaten as a broadcast link, a DR/BDR election occurs.
OSPF packets are multicast.

On R3:
!
interface Serial1/0.3456 multipoint
ip address 100.3.0.3 255.255.255.0
ip ospf network broadcast
ip ospf priority 10
frame-relay map ip 100.3.0.4 304 broadcast
frame-relay map ip 100.3.0.5 305 broadcast
frame-relay map ip 100.3.0.6 306 broadcast
!
router ospf 1
router-id 100.0.3.1
log-adjacency-changes
redistribute connected subnets
network 100.3.0.0 0.0.0.255 area 0
!

On R4:
!
interface Serial1/0.3456 multipoint
ip address 100.3.0.4 255.255.255.0
ip ospf network broadcast
ip ospf priority 0
frame-relay map ip 100.3.0.5 403
frame-relay map ip 100.3.0.6 403
frame-relay map ip 100.3.0.3 403 broadcast
!
router ospf 1
router-id 100.0.4.1
log-adjacency-changes
redistribute connected subnets
network 100.3.0.0 0.0.0.255 area 0
!

R3#show ip ospf neighbo…

OSPF & NBMA Networks Part 1: point-to-multipoint

Image
OSPF Network Type: point-to-multipoint
NBMA Networks are Frame-Relay, ATM & X.25 networks.
Multiple devices are attached but are non-broadcast.





Question
Configure OSPF on R3, R4, R5 and R6 such as no DR election occurs.




Set the network type to 'point-to-multipoint'.
The DLCI is treaten as point-to-point link, so no DR/BDR election occurs.
OSPF packets are still multicast.


On R3:
!
interface Serial1/0.3456 multipoint
 ip address 100.3.0.3 255.255.255.0
 ip ospf network point-to-multipoint
 frame-relay interface-dlci 304 
 frame-relay interface-dlci 305
 frame-relay interface-dlci 306
!
router ospf 1
 router-id 100.1.3.1
 log-adjacency-changes
 network 100.3.0.3 0.0.0.0 area 0
!


On R4:
!
interface Serial1/0.3456 multipoint
 ip address 100.3.0.4 255.255.255.0
 ip ospf network point-to-multipoint
 frame-relay interface-dlci 403
!
router ospf 1
 router-id 100.1.3.1
 log-adjacency-changes
 network 100.3.0.4 0.0.0.0 area 0
!
and so on for R5 and R6.


No DR/BDR election occurs:
R3#show ip ospf neighbor


Neighbor ID …

Basic IPsec Virtual Tunnel Interface - VTI

Image
Le but est de monter un tunnel IPSec entre deux routeurs en utilisant des VTI.
La clé partagée est: 1234.




hostname R1
!
crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 2
crypto isakmp key 1234 address 10.2.2.1
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set TS-1 esp-aes 256
!
crypto ipsec profile VTI
 set transform-set TS-1
!
interface Tunnel0
 description *** Vers Tunnel 1 premium ***
 ip unnumbered Loopback0
 ip mtu 1380
 ip tcp adjust-mss 1340
 tunnel source Loopback0
 tunnel destination 10.2.2.1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile VTI
!
interface Loopback0
 ip address 10.1.1.1 255.255.255.255
!
interface Loopback10
 ip address 1.1.1.1 255.255.255.255
!
interface FastEthernet0
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto
!
router eigrp 10
 redistribute connected
 network 10.1.1.1 0.0.0.0
 no auto-summary
!
ip route 10.2.2.1 255.255.255.255 192.168.1.2
!

La configuration est identique sur R2.

R1#show crypto ipsec sa


interface: Tunnel0
Crypto map ta…

Traffic Engineering and logging

mpls traffic-eng logging lsp To log certain traffic engineering label switched path (LSP) events, use the mpls traffic-eng logging lsp command in global configuration mode.
path-errors = Logs RSVP path errors for traffic engineering LSPs.reservation-errors = Logs RSVP reservation errors for traffic engineering LSPs.preemption = Logs events related to the preemption of traffic engineering LSPs.
setups = Logs events related to the establishment of traffic engineering LSPs.
teardowns = Logs events related to the removal of traffic engineering LSPs.

IPv6 - 6PE

Image
1. Introduction

Le lab suivant présente rapidement le fonctionnement de 6PE.
En prérequis, un coeur de réseau IPv4MPLS constitue le backbone de l'opérateur.
Sur les équipements P (P1 dans le schéma ci-dessous), IPv6 n'est pas activé (ipv6 unicast-routing).
2. Configuration du coeur MPLS IPv4
6PE1:

!
hostname 6PE1
!
interface Loopback0
ip address 10.0.0.2 255.255.255.255
no clns route-cache
!
interface Serial1/1
description ## R2-R3 ##
ip address 192.168.23.2 255.255.255.0
ip router isis
mpls ip
serial restart-delay 0
!
router isis
net 49.0000.0000.0002.00
passive-interface Loopback0
!

6PE2:
!
hostname 6PE2
!
interface Loopback0
ip address 10.0.0.4 255.255.255.255
no clns route-cache
!
interface Serial1/3
description ## R4-R3 ##
ip address 192.168.34.4 255.255.255.0
ip router isis
mpls ip
serial restart-delay 0
!
router isis
net 49.0000.0000.0004.00
passive-interface Loopback0
!

P1:
!
hostname P1
!
interface Loopback0
ip address 10.0.0.3 255.255.255.255
no clns route-cache
!
interface Serial1/…

Unicast Reverse Path Forwarding (uRPF)

Unicast Reverse Path Forwarding (uRPF)

uRPF est une feature permettant d'éviter l'IP Spoofing.
Lorsque urpf est activé sur une interface, le routeur examine chaque paquet reçu en entrée.
Il vérifie ensuite que les paquets arrivent bien par l'interface représentant la 'best return path' vers la source.
Pour cela, urpf effectue un reverse lookup dans la table CEF.

- Si le paquet arrive par la bonne interface, il est forwarded.
- Si le paquet arrive par une interface autre que l'interface inscrite dans la FIB, le paquet est détruit.

Il est possible de créer des exceptions via une acl.

Strict Mode uRPF
Configuration d'uRPF 'strict'
Router(config)# ip cef
Router(config-if)# interface type
Router(config-if)# ip verify unicast source ip verify unicast source reachable-via list

'list' correspond à une acl.
Si cette acl permet une plage d'ip, cette plage à le 'droit' d'être spoofée, le paquet est donc forwardé.
Si cette acl deny une plage d'i…

Remotely-Triggered Black Hole - RTBH

Image
RTBH est une technique permettant d'éviter qu'une attaque DDoS surcharge la capacité du réseau opérateur.

La technique consiste à envoyer l'ensemble du trafic à destination d'un routeur client vers un black hole.

R2 et R4 constituent le cœur de réseau de l'opérateur.

R5 est le client.
R3 est le routeur permettant l'injection de routes.
R1 représente internet.

Les routeurs R2, R3 et R4 sont dans le même IGP.
Une session iBGP existe entre R2 et R3 et entre R2 et R4. R2 est RR.

R1 et R2 possèdent une session eBGP permettant l'échange des préfixes 150.1.1.1 et 150.5.1.1.

Un DDoS est effectué vers R5, 150.5.1.1.

Les étapes pour effectuer le RTBH sont:
1\ Création d'une route vers Null0 pour un préfixe 'bidon', en général, le TEST-NET (RFC3330), 192.0.2.0/24.
Cette route est présente sur l'ensemble des routeurs de Cœur.
ip route 192.0.2.0 255.255.255.0 Null0 name RTBH

2\ Sur le routeur injectant la route, R3, il faut installer une route statique vers le préfixe…

Multicast - Génération de trafic

Pour simuler une source de trafic multicast:

SW1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#rtr 1
SW1(config-rtr)#type udpEcho dest-ipaddr 224.1.1.1 dest-port 12345 source-ipaddr 10.1.37.7 control disable
SW1(config-rtr-udp)#frequency 5
SW1(config-rtr-udp)#timeout 0
SW1(config-rtr-udp)#exit
SW1(config)#rtr schedule 1 start now
SW1(config)#end
SW1#

Traffic Engineering Tunnel Options

Image
Options TE:
Envoyer le traffic dans un tunnel:
1\ PBR (RAS)
2\ Static Routing (RAS)
3\ Autoroute

Autoroute:
tunnel mpls traffic-eng autoroute announce
Le tail end est accessible via le tunnel.
Tous les équipements derrière le tail-end sont également joignable via ce tunnel.
Le cost vers le tail end est le même que le 'best path' vers l'igp.
Le cost vers les équipements derrière le tail end correspond au cost jusqu'au le tail-end plus le cost 'normal' vers l'igp.
R0:
show ip route
O 10.3.3.1 [110/31] via 10.3.3.1, 00:17:28, Tunnel0
O 10.2.2.1 [110/21] via 10.3.3.1, 00:17:28, Tunnel0



Modifier les métriques:Sur l'interface tunnel:
Par défaut, le cost vers le tail-end est égal au cost IGP.
tunnel mpls traffic-eng autoroute metric 5
Ici, on modifie ce comportement : la metrique vers le tail-end est de 5.
Les addresses derrière le tail-end ont un cost de 5+la valeur IGP.

tunnel mpls traffic-eng autoroute metric relative -5
Sur le head-end, la route vers le tunnel tail…

Basic Traffic-Engineering configuration

Configuration Basique d'un tunnel
!En global:
mpls traffic-eng tunnels
!
!Sur les interfaces:
interface S1/0
mpls traffic-eng tunnels
mpls ip
ip rsvp bandwidth 10000
!
!Configuration de IGP:
!OSPF, utilise les ''opaque LSA'', type 10:
router ospf 1
mpls traffic-eng area 0
mpls traffic-eng router-id loopback0
!
!ISIS, utilise les TLV22, TLV134 et TLV135:
router isis
net 49.0001.0000.000a.00
metric-style wide
mpls traffic-eng router-id loopback0
mpls traffic-eng level-1
! ou
router isis
net 49.0001.0000.000a.00
metric-style wide
mpls traffic-eng router-id loopback0
mpls traffic-eng level-2
is-type level-2-only
!attention, un routeur L1/L2 se base sur la topologie L1 pour joindre un autre routeur L1/L2 car ils sont dans la même ''aire" et que se serait illogique de passer par un routeur L2.
! Un routeur L1/L2 ne peut donc faire de TE avec un autre routeur L1/L2 sans ''mpls traffic-eng level-1"
!
!Configuration (minimale) du tunnel:
interface Tu…