Rapide configuration de PBR

Posted by – April 17, 2014

Dans le post precedent je presentais une configuration.

Dans ce post je precisais qu’on modifiait la metric dans la redistribution de BGP vers OSPF sur R2 et R3 pour faire en sorte de passer par R2 pour joindre le subnet 30.0.0.0/8 et de passer par R3 pour joindre 40.0.0.0/8

Je replace le schema

base-l3

 

More

BGP et redistribution

Posted by – April 13, 2014

Ici on va mettre en place une topologie basee sur 3 reseaux interconnectes.

Un premier reseau fera de l’ospf, le second de l’eigrp et le dernier du RIP.

 

L’idee sera de jouer sur de la redistribution bgp / ospf principalement.

Chaque routeur aura une loopback de type 150.0.x.x avec x le numero du routeur.

A la fin de l’article sont presents le fichier .net pour gns3 et la configuration finale

More

Copie en SCP depuis et vers un Cisco

Posted by – November 16, 2013

Recuperer des fichiers, IOS, conf, crashdump ou autre depuis un equipement Cisco peut se faire de plusieurs manieres: tftp, ftp, http… ma prefere etant SCP.

Dans un article precedent, j’expliquais comment configurer SSH.

Ici, je me suis butte a une erreur embetante mais assez simple a resoudre.

More

Botnet & 100% CPU

Posted by – November 15, 2013

Il y a quelques jours, je recois un appel d’un client. Plus d’internet, plus de partage reseaux, plus de telephone vers l’externe : La panique!

Hop, je lance putty, j’arrive a me connecter a l’equipement. Premier check que je fais, le CPU et on dirait que j’ai bien fait

 

Il semblerait que le probleme soit la depuis un petit bout de temps. Mais pas de bol, je perds ma session ssh au bout de quelques minutes. A peine eu le temps de regarder ce qui pouvait causer ce probleme:

En affichant la liste des processus, je vois:

Le point interessant ici a voir est la valeur a gauche du slash. Cette valeur indique le % d’utilisation du CPU cause par les interrupts. Il existe plusieurs raisons pour lesquelles un routeur peut etre surcharge par des interrupts.

CEF etant active, pas d’interface ATM, je pars du principe qu’il n’y a pas de bug dans l’IOS et je ne vois aucune erreur d’alignements, il reste donc un choix possible: le routeur est surcharge de trafic.

Le seul probleme dans ce cas, c’est que je perds la main assez souvent du coup il me faut un autre moyen pour recuperer les infos. Avec de l’EEM, je vais pouvoir recuperer un tas d’infos

Le script suivant va me permettre de monitorer l’utilisation CPU toutes les 0.5 sec et lorsque la valeur atteint 70% on declenche les actions qui suivent:

Un event syslog, et la recuperation d’infos qui vont directement dans un fichier sur la flash.

Pour info, l’EEM est actif a partir du moment ou l’event est cree, pas besoin de commandes supplementaires.

Une fois que j’ai recupere le fichier, je peux l’analyser et je m’apercois plusieurs choses. La premiere chose est que l’event a ete declenche de nombreuses fois, ensuite j’ai pu voir les infos suivante sur une des interfaces et les memes valeurs mais en output sur une autre interface.

Du coup, je me decide de concentrer mes recherches sur l’interface qui recoit le trafic, pour aller jusque la source. Cette interface se trouve etre une interface de mon reseau local. Il y a donc un flood provenant de l’interieur.

Apres 2/3 analyses rapides, il existe 3 machines sur ce sous-reseau, qui sont des serveurs. En utilisant de l’EPC, Embedded Packet Capture, je peux effectuer une capture de packet directement sur mon interface et analyser le trafic qui est forward. En mettant en place un buffer lineaire d’une taille suffisante et en filtrant la source je vais pouvoir capturer un echantillon. J’utilise donc encore de l’EEM pour activer la capture car lors d’un burst CPU je perds la main

 

On recupere le fichier par scp, premierement on active la fonctionnalite sur le routeur:

Et avec un client scp classique j’ouvre le fichier et la je vois des choses interessantes:

La premiere choses est qu’il y a un nombre impressionant de requetes/sec provenant d’un seul serveur.

cap1

 

La deuxieme chose est que ce sont exactement les meme paquets. De l’UDP sur le port 6733 avec un payload de 1 octet.
cap2

 

Apres avoir vu cela, je me dis qu’il serait sage de deconnecter cette machine du reseau et de lui faire passer un scan anti-viral avant de la rebrancher.

Le temps que cette operation se fasse, une ACL classique permet de proteger le control-plane contre une sur-utilisation du CPU.

La chose comique dans cette histoire est que la cible de cette attaque est:

De quoi les mettre a l’epreuve!

 

 

 

OSPF – Calcul de la meilleure route.

Posted by – October 10, 2013

OSPF utilise d’abord sa table de topologie, qu’il remplit via la réception des messages LSA des autres routeurs (nous verrons cela dans un autre post).
Une fois qu’il a obtenu une vision globale, et que sa table de topologie est complète, il peut calculer les meilleures routes et les placer dans la table de routage.
Pour ce faire il passe l’algorithme de Dijkstra sur la table de topologie. Chaque routeur au sein d’un AS OSPF fait ce calcul.

Prenons ce schéma pour exemple

OSPF-base

More

BGP – Influencer le routage via Weight (poids) et MED (metric)

Posted by – September 11, 2013

En se basant sur la config ci-dessous, on va tacher d’influencer le routage sur R6 pour joindre les réseau du circuit noir présents sur R7.

Voila la conf:

 

More

VRF Lite

Posted by – September 10, 2013

Il existe plusieurs manière de faire des VRFs, la plus complexe étant celle qu’on couple au MPLS, très utilisée par les opérateurs.

Ici on va simplement parler des VRF Lite, super simples à mettre en place. D’abord sur une topologie simple de 2 routeurs connectés via une interface. Puis j’ajouterai un 3 ème routeur pour permettre la communication inter VRF via un routage OSPF.

J’utilise GNS3 pour toutes mes topologies.

On va créer 3 liaisons, via des sous interfaces

1 dans le vlan natif 1

1 dans un vlan 10

1 dans un vlan 20

 

On affectera ensuite au vlan 10 et 20 une VRF.

vrf-lite

 

More

VPN Anyconnect mini Debug avec Syslog.

Posted by – March 31, 2011

J’avais un probleme de VPN anyconnect, ca passait – a priori – en WebVPN (via l’url de mon portail) mais pas du tout en anyconnect. Login Fail un truc comme ca.

Il a fallu faire un peu de debug. Ca me gonflait de faire de la CLI avec des conditions etc, j’ai actuellement sur mon ASA plus de 550 connexions VPN, ca aurait craché un max et meme en limitant a du webvpn ou du svc (annyconnect) j’ai un max de lignes.

Je voulais donc pouvoir l’envoyer sur mon syslog pour checker les logs tranquillement plus tard.

More

Accessing CLI from Mac OS X using minicom

Posted by – May 25, 2010

It’s been a long time I’ve made this video. Don’t know why I did not post it.

Since a friend told me he was using putty from a (windows)VM with his Mac to get access to a CLI, I gave his this video and by the way I’m posting it.