Cisco Secure ACS 를 사용하여 인증 하는 사용자나 그룹에 대해 특정 명령어에 권한을 주거나 뺄 수 있는 설정을 할 수 있네요.

acs_shell_auth.pdf

ACS Shell Command Authorization Sets on IOS and ASA/PIX Configuration

IOS를 사용하는 장비에는 아래와 같은 설정이 꼭 들어 있어야 해요.
aaa new-model
aaa authorization config-commands
aaa authorization commands 0 default  group tacacs+ local
aaa authorization commands 1 default  group tacacs+ local
aaa authorization commands 15 default group tacacs+ local


PDF 문서를 보면 영문 문서지만 그림을 보며 쉽게 세팅 할 수 있어요.

Using the PIX Firewall DHCP Client

아래와 같은 구성일때 Pix Outside 쪽 interface가 Dhcp로 동작 하기 때문에 pix interface 에 직접 ip를 설정 할 수가 없어요.
그래서 cisco.com site를 뒤적 거리다 찾아낸 PIX Firewall을 DHCP Client로 사용하기 예요.

Outside 쪽에 dhcp 를 연결 하고 pix 방화벽을 두고 Inside 쪽에서는 방화벽으로 보호된 internet을 사용한다 뭐 이런 개념이죠.

 

설정은 생각보다 너무 간단했어요. >ㅁ<

Configuring the DHCP Client
To enable the DHCP client feature on a given PIX Firewall interface and set the default route via the DHCP server, enter the following command:

아래와 같이 config mode에서 outside쪽에 dhcp 명령어를 넣어 주면 된답니다.

setroute 옵션은 default route 가 없을때 default route를 생성해 준답니다.

Outside interface 쪽에 케이블을 연결 할때와 분리할때 debug dhcp packet 결과를 한 번 캡쳐해 봤어요.

pixclnt.pdf

Direct 를 나타내는 MDI(Medium Dependent Interface) 와 Cross를 나타내는 MDIX(MDI Cross) 가 있습니다.
보통 3Com switch나 hub 에서는 MDI/MDIX, MDI/X 로 표시 되어 있는데 예를 들면 switch <-> switch 사이의 연결 일때 cross cable로 연결을 해야 하는데 Direct cable 밖에 없다면 이 기능을 이용 하면 됩니다.

Cisco 의 switch 에도 mdix 라는 기능이 있는데 interface 에서 mdix auto 로 지정해 놓으면 switch 는 연결된 cable type 을 확인하고 적절히 처리하게 되어 cross 나 direct cable 에 상관없이 사용 할 수 있습니다.

Switch(config-if)#mdix ?
  auto  Enable automatic MDI crossover detection on this interface

You can use the mdix auto interface configuration command in the CLI(Command Line Interface) to enable the automatic medium-dependent interface crossover (auto-MDIX) feature. When the auto-MDIX feature is enabled, the switch detects the required cable type for copper Ethernet connections and configures the interfaces accordingly. Therefore, you can use either a crossover or a straight-through cable for connections to a copper 10/100, 10/100/1000, or 1000BASE-T SFP module port on the switch, regardless of the type of device on the other end of the connection.

The auto-MDIX feature is enabled by default on switches running Cisco IOS Release 12.2(18)SE or later. For releases between Cisco IOS Release 12.1(14)EA1 and 12.2(18)SE, the auto-MDIX feature is disabled by default. For configuration information for this feature, see the switch software configuration guide or the switch command reference.

새로 들어온 Network Device 의 IOS Upgrade를 하던 중 이미지도 정상적으로 Upload 되고 boot system 도 정상적으로 지정이 되었는데 Reload 를 하면 이전 이미지로 booting 이 되는 난감한 상황 속에서 원인을 찾았네요. 정상적으로 사용되는 config-register 의 값은 0x2102 인데 0x2 로 지정되어 있더군요.

config-register 값은 보통 show version 시 마지막 줄에서 확인 할 수 있어요.

ex )

R1>sh ver
Cisco Internetwork Operating System Software
IOS (tm) 2600 Software (C2691-IS-M), Version 12.3(22), RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by cisco Systems, Inc.
Compiled Wed 24-Jan-07 17:17 by ccai
Image text-base: 0x60008AF4, data-base: 0x61C6A000

ROM: ROMMON Emulation Microcode
ROM: 2600 Software (C2691-IS-M), Version 12.3(22), RELEASE SOFTWARE (fc2)

R1 uptime is 1 minute
System returned to ROM by unknown reload cause - suspect boot_data[BOOT_COUNT] 0x0, BOOT_COUNT 0, BOOTDATA 19
System image file is "tftp://255.255.255.255/unknown"

cisco 2691 (R7000) processor (revision 0.1) with 120832K/10240K bytes of memory.
Processor board ID XXXXXXXXXXX
R7000 CPU at 80MHz, Implementation 39, Rev 2.1, 256KB L2, 512KB L3 Cache
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
2 FastEthernet/IEEE 802.3 interface(s)
4 Serial network interface(s)
DRAM configuration is 64 bits wide with parity enabled.
55K bytes of non-volatile configuration memory.
65536K bytes of ATA System CompactFlash (Read/Write)

Configuration register is 0x2102

Configuration register 값에 대한 정리.

Software Configuration Register.pdf

pix ios 7.x 에서 6.x 로 downgrade 하는 방법이 따로 있어요.
일반적인 ios upload 명령어로 7.x 버전 ios 가 올라가 있는 상태에서 6.x ios를upload 하면 정상 동작 하지 않습니다.
제경우 moniter mode로 빠졌었던 것 같네요.

Downgrade from PIX 7.x to 6.x -

pixfirewall(config-if)# downgrade tftp://192.168.0.2/pix635.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm]
Buffering image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Buffering startup config

All items have been buffered successfully.
If the flash reformat is interrupted or fails, data in flash will be lost
and the system might drop to monitor mode.
Do you wish to continue? [confirm]
Acquiring exclusive access to flash
Installing the correct file system for the image and saving the buffered data
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Flash downgrade succeeded

Rebooting....

ios image 가 잘 못 올라가 pix 부팅시 아래와 같은 메세지가 나오면

No bootable image in flash. Please download
an image from a network server in the monitor mode

Failed to find an image to boot

moniter mode 에서 ios 를 tftp 를 이용해 새로 upload 해 주면 됩니다.
이미지가 올라가다 멈춰도 몇 번 하다 보면 정상적으로 올라 갑니다.

monitor> interface 0
0: i8255X @ PCI(bus:0 dev:14 irq:10)
1: i8255X @ PCI(bus:0 dev:13 irq:11)

Using 0: i82557 @ PCI(bus:0 dev:14 irq:10), MAC: 0011.2063.5565
monitor> addr 192.168.0.1
address 192.168.0.1
monitor> server 192.168.0.2
server 192.168.0.2
monitor> file pix711.bin
file pix711.bin
monitor> tftp
tftp pix711.bin@192.168.0.2.............................................................
.................................................................................................
..................................................................................................
...................................................................................................
..................................................................................................
..................................................................................................
........................................................

참고 page :
http://www.cisco.com/en/US/partner/products/hw/vpndevc/ps2030/products_tech_note09186a00804708d8.shtml#t4

cspix-adsm-swupgrade.pdf

거의 석달만에 PDF 파일이지만 자격증을 받았습니다.

어제 오전에 cisco 측에서 메일이 왔네요.

Cisco site 에 로긴 해서 pdf 파일을 다운 받을 수 있게 되어 있더군요.

자격증중 일부 캡쳐!

Understanding EIGRP Features and Advantages

■ DUAL
-DUAL is one of the main features of EIGRP. It diffuses the routing computation over multiple routers. A more detailed discussion of DUAL is provided in the section “Components of EIGRP.”
■ Loop-free networks
-The DUAL algorithm is used to ensure a loop-free network. The calculation of an FS means that the backup route is downstream from the router. The FS is chosen only because it has a lower metric to
the destination route than that reported by the router. This prevents any routes that lead back to the router from being chosen, thus eliminating loops.
■ Incremental updates
-EIGRP sends nonperiodic, partially bounded updates. That is, they are sent whenever there is a change to be reported and not at regular intervals. When a network change is made, the updates
include only those changes that are needed to update the affected routers.
■ Multicast addressing for updates
-EIGRP uses an RTP that guarantees delivery. This is essential when the routing updates are not sent periodically; otherwise, if the receiving router is not expecting an update, it cannot realize that an
update was missed, indicating a network problem. Updates are therefore sent using a reliable multicast. The address is the reserved class D address, 224.0.0.10. When the neighbor receives a
multicast, it acknowledges receipt of the packet with an unreliable unicast.
■ Advanced distance vector protocol
-EIGRP has solved many of the problems inherent in distance vector protocols, which prevent them from effectively supporting large networks. The features of distance vector technology that prohibit
network growth include the use of broadcasts and hop count, neither of which is used by EIGRP.
Other characteristics that advance EIGRP beyond an ordinary distance vector protocol come from its status as a classless routing protocol. Without the use of areas, EIGRP allows summarization
anywhere in the network. Summarization reduces the need for network resources. Because the classless protocols send the subnet mask with the update, this also means that classless protocols
support discontiguous networks and, of course, variable-length subnet mask (VLSM).
■ Loop-Free Routing Tables
The criteria for selecting the primary and backup routes in the topology table and the routing table ensure that the routes offered are loop-free. The primary route that is placed in the routing table is
chosen for the lowest metric, which means it cannot be looped. The backup route (feasible successor) is dependent on the downstream router (next hop advertising the alternative route)
advertising a lower cost for the route than the one stored in the routing table. This ensures that the backup route does not loop back through the router.
■ Support for different topologies
-EIGRP, as a new protocol, has been able to anticipate recent topologies, such as NBMA clouds.
There is no complex configuration required for these topologies, though additional configuration is available for tuning the update operation of EIGRP.
■ Rapid convergence
-The use of the DUAL algorithm stores not only the best path to the destination, but also the close contenders. If a network fails, the router can immediately switch to the alternate route. If there are
no alternative routes, then the router will query neighbors to see whether they have a path to the destination.
■ Reduced bandwidth use
-Using multicast and unicast addressing to send and acknowledge updates restricts the potential use of both bandwidth and the other system’s CPU to the essential requirements. EIGRP also uses only
incremental updates, as opposed to periodic updates.
■ Protocol independence at Layer 3
-EIGRP functions as the routing protocol for IP, AppleTalk, and IPX. A different routing table is maintained for each Layer 3 protocol. EIGRP will automatically redistribute IPX RIP, AppleTalk
RTMP, and IP IGRP within the same autonomous system.
■ Compatibility with IGRP
-Because it grew out of IGRP, EIGRP is backward-compatible with IGRP. This allows for seamless transitions to EIGRP and support for older, smaller networks that have neither the need nor the
capability to upgrade. EIGRP automatically redistributes IP routes learned into the IGRP process as long as the autonomous system number used to configure the processes is the same.
■ Easy configuration
-Because EIGRP was designed for the hardware on which it runs, the protocol not only is tuned for efficiency, but also is simple and straightforward to configure. Another benefit is that EIGRP has
fewer design constraints than OSPF; for example, EIGRP supports point-to-point, in addition to NBMA point-to-point and multipoint. EIGRP requires no additional configuration other than tuning
the bandwidth utilization, if desired.
■ Use of a composite metric
-EIGRP uses the same metric as IGRP (bandwidth and delay as the default), though EIGRP has expanded the metric to 32-bit, allowing for greater scaling and granularity. An intelligent metric will
select the shortest path.
■ Unequal-cost load balancing
-Unequal-cost load balancing allows all links to a destination to be used to carry data without saturating the slower links.

EIGRP 용어
■ Neighbor table - 각각의 EIGRP 라우터에는 네이버 테이블이 있으며 인접 라우터의 목록이 저장되어 있다.
link state 라우팅 프로토콜에서 사용되는 인접 관계 데이터베이스와 네이버 테이블을 비교할 수 있으며, 네이버 테이블은 인접 데이터베이스와 동일한 용도로 사용된다.
지원되는 각 네트워크 프로토콜의 네이버 테이블을 유지한다.
■ Topology table - 설정되어 있는 각 네트워크 프로토콜에 대한 topology table을 관리한다.
■ Routing table - 수신지로 가는 최상의 경로를 토폴로지 테이블에서 선택하며 이경로를 라우팅 테이블에 저장한다.
■ Successor - 수신지에 도착하기 이ㅜ해 사용되는 주 경로를 제공하는 네이버.
■ FS(Feasible Successor) - FS는 수신지에서 아래쪽으로 있는 네이버다. 최소 코스트 경로는 아니므로 데이터 전달에 사용되지는 않는다.
수신지에 대한 백업 경로를 제공하는 네이버. FS 경로는 Success와 동시에 선택되지만 토폴로지 테이블에서 관리된다. 1개의 수신지에 대해 여러 개의 FS가 있을 수 있고 여러개의 FS를 토폴로지 테이블에서 관리 할 수 있다.

EIGRP Router에서 IP topology와 routing table을 모으는 순수
1. 각 router는 EIGRP neighbor table에 명시된 대로 IP routing table의 복사본을 인접한 모든 EIGRP neighbor로 전달.
2. 각 router는 인접한 neighbor의 routing table을 EIGRP topology table(database)에 저장한다.
3. 각 router는 EIGRP topology database를 조사하여 모든 수신지 네트워크에 대한 최상의 경로와 다른 적합한 경로를 파악한다.
4. Topology table에서 각 수신지에 대한 최상의 경로(successor 경로)가 선택되고, 이것이 라우팅 테이블에 저장 된다.

EIGRP Packet
■ hello - neighbor를 발견 할 때는 hello packet이 사용된다. multicast로 전송되며 확인 응답 번호 0을 보낸다.
EIGRP multicast address는 224.0.0.10 이다. 동일한 AS에 속한 router로부터 hello packet을 수신할 때 router는 neighbor 관계를 수립한다.
T1이나 이보다 느린 다중점 interpace에서 60초마다 hello packet 전송,LAN과 Serial interpace에서는 5초마다 전송.
■ update - convergence를 위하여 특적 router에서 사용한 경로가 무엇인지 알리기 위해 update packet이 전송된다.(영향을 받는 router에게만)
EIGRP startup이 진행되는 동안 topology table을 동기화 하기 위해 update packet은 neighbor에게 unicast로서 전송된다.
■ query - 경로 계산을 수행하고 FS를 발견하지 못할 경우 router는 질의 packet을 neighbor로 보내서 수신지에 대한 FS가 있는지를 물어본다. 질의는 항상 multicast.
■ reply - reply packet는 query packet에 반응하여 전송된다. reply는 처음 query를 보낸 곳에 대해서는 unicast.
■ acknowledge - update,query,reply의 확인 응답에 ACK가 사용된다. ACK는 unicast로서 전송되는 hello packet다. 여기에는 0이 아닌 확인 응답 번호가 포함된다.

hello interval 변경 - ip eigrp hello-interval as-number seconds
hold time 변경 - ip eigrp hold-time as-number seconds

hello interval 과 hold time 값이 일치 하지 않더라도 두 대의 router는 EIGRP neighbor가 될 수 있다.

show ip eigrp neighbors 명령어로 IP neighbor 테이블을 볼 수 있다.
show ip eigrp topology all-links 명령어로 이웃하고 있는 모든 router가 광고한 모든 수신지가 포함된 topology table을 볼 수 있다.
show ip eigrp topology 명렁어는 ip 경로에 대한 success와 FS만을 표시한다.

Route selection
EIGRP는 Success경로의 FS 경로를 선택하고 이를 Topology table에 삽입한다.
수신지별로 최대 6개까지 가능하다. 이후에 success 경로는 routing table로 옮겨진다.

EIGRP Metric 계산
EIGRP의 Metric 계산에는 5개의 변수를 사용 할 수 있지만 기본적으로 2개(bandwidth,delay)의 변수만을 사용한다.

■ bandwidth - 송신지와 수신지 사이에서 가장 작은 대역폭
■ delay - 경로에 따라 누적되는 interpace의 지연

■ reliability - 송신지와 수신지 사이의 가장 나쁜 신뢰성, keepalive를 기반
■ loading - 송신지와 수신지 사이의 link에서 가장 나쁜 load,packet speed와 interpace의 설정된 bandwidth를 기반으로 한다.
■ MTU(Maximum Transmission Unit) - 경로에서 가장 작은 MTU.