Cisco IOS’s shell is a popular interface for devices in the networking world. But also in the network world, there are a lot of Linux/Open Source fans. The Quagga open source project tries to bring together IOS and Linux, by providing an IOS-like interface for configuring Linux’s interfaces, routing table and firewall, along side its own implementations of RIP, OSPF and BGP daemons.

The Quagga Software Routing Suite comes as a set of daemos. The main one is the zerbra daemon (Zebra is the old name of the project). This core daemon does the interaction with the Linux kernel and, also, with other daemons like ripd (RIP daemon), ospfd (OSPF daemon), bgpd (BGP daoemon). Quagga is modular, so you can implement new protocols if needed via a standard API.

To configure Quagga, you first need to start the daemons (at least the core one), in the /etc/quagga/daemons file. Each daemon has its own configuration file (ex. /etc/quagga/zebra.conf, /etc/quagga/ripd.conf etc.). Accessing the IOS-like shell is done via the vtysh command. Once in this shell, most commands available in Cisco’s IOS are available.

Router / # cd
Router ~ # vtysh

Hello, this is Quagga (version 0.99.18).
Copyright 1996-2005 Kunihiro Ishiguro, et al.

Router# conf t
Router(config)# hostname  LinuxRouter
LinuxRouter(config)# exit
LinuxRouter# show ?
bgp             BGP information
clns            clns network information
daemons         Show list of running daemons
debugging       State of each debugging option

[...]

Keep in mind that some things are not 100% identical to a Cisco router (ex. the interface names). Here’s an example of how to configure an interface.

LinuxRouter# conf t
LinuxRouter(config)# interface  eth0
LinuxRouter(config-if)# ip address  141.85.42.1 ?
A.B.C.D/M  IP address (e.g. 10.0.0.1/8)
LinuxRouter(config-if)# ip address  141.85.42.1/24
LinuxRouter(config-if)# link-detect

Monitor output (show commands) are similar aside some Linux specific details (ex. Kernel routes are available in Linux, but not in IOS).

Router# sh ip route
Codes: K – kernel route, C – connected, S – static, R – RIP, O – OSPF,
I – ISIS, B – BGP, > – selected route, * – FIB route

K * 0.0.0.0/0 via 192.0.2.1, venet0 inactive
O 10.10.12.0/24 [110/10] is directly connected, eth0, 00:03:41
C>* 10.10.12.0/24 is directly connected, eth0
O 10.10.14.0/24 [110/10] is directly connected, eth1, 00:03:36
C>* 10.10.14.0/24 is directly connected, eth1
O>* 10.10.23.0/24 [110/20] via 10.10.12.2, eth0, 00:02:46
O>* 10.10.24.0/24 [110/20] via 10.10.12.2, eth0, 00:02:14
*via 10.10.14.4, eth1, 00:02:14
O>* 10.10.25.0/24 [110/20] via 10.10.12.2, eth0, 00:02:41
O>* 10.10.35.0/24 [110/30] via 10.10.12.2, eth0, 00:01:21
* via 10.10.14.4, eth1, 00:01:21
O>* 10.10.45.0/24 [110/20] via 10.10.14.4, eth1, 00:02:08
C>* 127.0.0.0/8 is directly connected, lo
C>* 127.0.0.1/32 is directly connected, venet0
C>* 172.10.10.0/32 is directly connected, venet0
K>* 192.0.2.1/32 is directly connected, venet0

Configuring a routing protocol instance is also similar:

LinuxRouter# conf t
LinuxRouter(config)# router ospf
LinuxRouter(config-router)# network  192.168.123.0/0 area 0

As you can see, coming from an IOS background, this tool is very easy to use on your Linux box. It is far from perfect since it doesn’t have the years in production like IOS or iproute2, but it is cool to test out.

Unlike Linux’s iptables, Cisco’s filtering via Access Control Lists sometimes has hidden behavior.

Let us test how ACL filtering works using the following topology. We assume that we have Layer 3 connectivity via static routes. We will apply ACLs on the outbound direction of F1/0 on R2 (we want it to be somewhere in the path from R1 to R3)

With no ACLs applied anywhere, all traffic will flow.

R1#ping 3.3.3.3 source 1.1.1.1
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent

Let’s start with the basics and make a classic standard access list that denies R1′s loopback.

R2(config)#access-list 42 deny host 1.1.1.1
R2(config)#int f1/0
R2(config-if)#ip access-group 42 out

The loopback on R1 is blocked…

R1#ping 3.3.3.3 source 1.1.1.1
U.U.U
Success rate is 0 percent (0/5)

… but so is any other traffic that goes out of R2′s F1/0.

R1#ping 3.3.3.3 source F0/0
U.U.U
Success rate is 0 percent (0/5)

The first rule of Cisco’s ACLs is that there is an implicit deny (ip) all (all) rule at the end of every ACL. But this is not visible anywhere. You have to know it.

R2#sh access-lists
Standard IP access list 42
10 deny 1.1.1.1 (8 matches)
Extended IP access list BLOCK_HTTP

But if that ACL is empty? What if you apply an access list that does not contain any rules (was not declared)?

R2(config)#int f1/0
R2(config-if)#ip access-group 28 out
R2(config-if)#do sh access-lists
Standard IP access list 42
10 deny 1.1.1.1 (8 matches)
Extended IP access list BLOCK_HTTP

R1#ping 3.3.3.3 source 1.1.1.1

Type escape sequence to abort.
!!!!!
Success rate is 100 percent

Traffic passes. The inexistent ACL applied on an interface is ignored. But this is because you can’t have an empty classical (numbered) ACL. What if you do the same thing with a named ACL?

R2(config)#ip access-list standard EMPTY_ACL
R2(config-std-nacl)#exit
R2(config)#do sh ip access-list
Standard IP access list 42
10 deny 1.1.1.1 (8 matches)
Standard IP access list EMPTY_ACL
Extended IP access list BLOCK_HTTP
R2(config)#int f1/0
R2(config-if)#ip access-group EMPTY_ACL out

R1#ping 3.3.3.3 source 1.1.1.1

Type escape sequence to abort.
!!!!!
Success rate is 100 percent

Traffic is still not filtered. So, the rule is that a empty (inexistant or deleted) ACL is ignored by the interface filter.

One more ACL applied on R2 with a deny all rule (no traffic should pass out of F1/0).

R2(config)#ip access-list standard DENY_ALL_ACL
R2(config-std-nacl)#deny any
R2(config-std-nacl)#do sh ip access
Standard IP access list 42
10 deny 1.1.1.1 (8 matches)
Standard IP access list DENY_ALL_ACL
10 deny any (8 matches)
Standard IP access list EMPTY_ACL
10 deny any (8 matches)
Extended IP access list BLOCK_HTTP
R2(config-std-nacl)#int f1/0
R2(config-if)#ip access-group DENY_ALL_ACL out

Ping form R1 is filtered.

R1#ping 3.3.3.3 source 1.1.1.1
Packet sent with a source address of 1.1.1.1
U.U.U
Success rate is 0 percent (0/5)

Since no traffic should go out the interface, a ping from R2 to R3 should also fail, yet it doesn’t.

R2#ping 3.3.3.3
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/20/44 ms

As a final rule, traffic generated by a router is never filtered by an ACL applied any interface of that router.

Soluţiile VoIP se conectrează în jurul a Cisco Call Manager care este un Call Agent. Este un software ce face administrarea reţelei de VoIP. Acest software vine în două variante: Cisco Call Manager (sau după noua denumire dată de Cisco Unified Communications Manager… este acelaşi lucru) ce este un software ce rulează pe un server x386 peste MS Windows sau Call Manager Express (CME sau Cisco Unified Communications Manager Express) ce este un pachet ce rulează pe un router Cisco peste IOS. Ambele oferă aceleaşi facilităţi de bază. Imaginile de IOS ce vin cu CME au, de obicei, ‘voice’ în nume.

CME este compatibil cu o suită întreagă de protocoale VoIP printre care SIP, H323 şi SCCP. SSCP ( sau Skinny) este protocolul proprietar Cisco şi este suportat de majoritatea echipamentelor Cisco de Voce.

Clienţii pentru Call Manager sunt de obicei Telefoane IP ( ex 7960, 7906G )sau Cisco IP Communicator care este un program pentru Windows ce simulează un telefon (mai este cunoscut şi ca Softphone).

Call Manager Express oferă un wizard pentru configurarea telfoniei IP prin comanda “telephony-service setup”.

Iată o configurare simplă ( liniile notate cu * sunt explicaţii)

Router>enable

Router#configure terminal

Router(config)#interface f0/0

Router(config-if)#ip address 10.0.0.254 255.0.0.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#telephony-service setup

Do you want to setup DHCP service for your IP Phones? [yes/no]: yes

*Activează un pool DHCP pentru telefoane

IP network for telephony-service DHCP Pool:10.0.0.0

Subnet mask for DHCP network :255.0.0.0

TFTP Server IP address (Option 150) : 150

* Prin Opţiunea 150 de la DHCP (netransmisă implicit), telefonul IP va ştii adresa serveului TFTP

TFTP Server IP address (Option 150) :10.0.0.254

Default Router for DHCP Pool :10.0.0.254

Do you want to start telephony-service setup? [yes/no]: yes

Enter the IP source address for Cisco IOS Telephony Services :10.0.0.254

Enter the Skinny Port for Cisco IOS Telephony Services : [2000]:

How many IP phones do you want to configure : [0]: 2

*Numărul de telefoane ce se vor conecta la CME

Do you want dual-line extensions assigned to phones? [yes/no]: yes

What Language do you want on IP phones : 0

Which Call Progress tone set do you want on IP phones : 0

What is the first extension number you want to configure : 100

*Numărul de telefon primit pe prima linie a primului telefon ce se înregistrează la CME

Do you have Direct-Inward-Dial service for all your phones? [yes/no]: no

Do you want to forward calls to a voice message service? [yes/no]: no

Do you wish to change any of the above information? [yes/no]: no

Acest setup va crea in running-config setările necesare pentru VoIP.

Se observă că adresa 10.0.0.254 a fost completată de 3 ori (ca Default Gateway, TFTP server şi IOS Telephony Services). Nu este obigatoriu ca aceste adrese să coincidă, pentru că nu este obligatoriu ca routerul respectiv să indeplinească toate rourile acestea. Default Gateway este routerul setat pe telefonul IP pentru a ieşi din reţeaua locală (serverul SCCP sau TFTP poate să fie în alt broadcast domain). Serverul TFTP oferă telefonului setările sale sub forma unui fişier XML (în acest fişier se va afla adresa/protul serverului SCCP). IOS Telephony Services este serverul cu CME ce are pornit serverul SCCP şi care va procesa semnalele de telefonie.

[1] http://alex.clubcisco.ro?p=104

Deşi toate imaginile au la bază acelaşi cod (aceeaşi interfaţă, acelaşi mod de organizare), nu toate imaginile vin cu aceleaşi facilităţi instalate.  Exemplu: nu toate imaginile au integrate protocolul MPLS sau nu toate oferă servicii de VoIP sau de firewall. Şi aceste facilităţi nu depinde de versiunea IOS-ului (major release). Diferenţele dintre versiunile de IOS se reflectă în interfaţă mai mult, nu în serviciile oferite. Exemplu: Versiunea 12.4(23) poate veni în variante pentru Enterprise sau pentru Service Provider sau alte variante (sistemul de operare de bază rămâne comun pentru toate variantele, dar serviciile sunt diferite).

Modul în care ne putem da seama ce facilităţi oferă o imagine e prin numele fişierului .bin. Dar nu întotdeauna acesta este inteligibil. Cisco pune la dispoziţie pe site-ul lor Cisco Feature Navigator [1]. Cu acest tool puteţi găsi imaginea ce oferă serviciile dorite pentru o anumită platformă sau să listaţi feature-ulile oferite de o imagine de IOS. Lista de servicii este destul de mare, astfel încât variantele de imagini sunt foarte multe. De asemenea puteţi afla şi mărimea unei imagini şi flash-ul necesar pentru ca ea să încapă.

[1] http://tools.cisco.com/ITDIT/CFN/

Am decis sa fac un mini-lab in GNS3 (btw, ati putea sa va uitat peste Introul la GNS3) in care sa implementez basic IPv6 cu RIP ca protocol de rutare. O topologie cu 4 routere, legate astfel:

Primul lucru pe care il vom face e sa aplicam adresele. Ce mi-a placut mie la IPv6 e faptul ca merge mai usor configurarea pentru ca e mai putin de scris (cel putin daca folosesc adrese simple, pentru laburi). Desi adresa v6 este mult mai lunga, exista o metoda de a prescurta o adresa prin neglijarea zerourilor (ex. 0001:0000:0000:0000:0000:0000:0000:0002 se poate scrie doar 1::2). Pe langa prescurtarea adresei se prescurteaza si subnetul (deci vom folosi notatia cu / ex. /64).

Vom folosi patru retele /96 de exemplu (asta inseamna ca fiecare retea va avea disponibile atatea adrese IP pentru hosturi cat tot spatiul de adresare IPv4…cool huh? merge impotriva a tot ce am invatat despre conservarea IPurilor ). Si vom avea retele 1::0, 2::0, 3::0 si 4::0 /96.  Configuarea va arata cam asa:

R1>en

R1#configure terminal

R1(config)#interface f0/0

R1(config-if)#ipv6 address 1::1/96

R1(config-if)#no shutdown

R1(config)#end

Practic singura diferenta este faptul ca in loc de “ip address” avem “ipv6 addess”. Atentie, o interfata poate avea ambele adrese IP, si v4 si v6.

Facem o verificare daca am configurat cum trebuie cu #show ipv6 interface brief.

Facusem o greseala si vroiam sa va atrag atentia Pe R1 am setat gresit adresa ip (v6) si apoi am setat-o si pe cea buna. Nu se suprascrie peste cea veche… pot fi mai multe adrese asociate unei interfete. Am corectat dupa. Daca incercati sa dati show ip int brief veti vedea ca nu este nimic acolo. Sunt stackuri diferite… saterile ipv4 cu cele ipv6 nu au nici o legatura.

Hai sa trecem la routare. Prima data trebuie sa activam forward-area de pachete ipv6 prin comanda data pe toate routerele

R1(config)#ipv6 unicast-routing

Next, pornim RIP-ul. RIPv6 seamana putin cu OSPF deoarece putem lansa mai multe instante, doar ca in loc sa fie identificate prin numar de proces, sunt identificate printr-un nume. Activarea RIP se face prin

R1(config)#ipv6 router rip nume

R1(config-rtr)#exit

Spre deosebire de RIPul vechi, nu vom mai specifica retelele pe care facem schimb de route, ci vom specifica interfetele.

R1(config-if )#ipv6 rip nume enable

Verificam daca au fost invatate rutele prin show ipv6 route

Informatile despre procesele RIP le aflat prin show ipv6 rip

In tabele din show ip route nu se va produce nici o modificare deoarece, dupa cum am zis, sunt stive diferite.

Un ping intre oricare adrese va demonsta ca avem o convergenta.

That’s all.

O alta varianta ar fi un emulator. Diferenta este ca in loc sa simuleze ce ar face codul IOS-ului (sistemul de operare al routerelor Cisco), el chiar ruleaza codul doar ca nu pe platforma routerului (Power PC) ci pe o platforma de PC (i386).  Un astfel de soft este Dynamips, care ruleaza IOS-ul pe un PC sub forma unui daemon (serviciu), accesibil prin telnet pe un port pe localhost. Pentru a crea o retea de astfel de routere avem nevoie de un al doilea program care sa le lege. Aici intervine Dynagen. Acesta controleaza instante de dynamips in functie de setarile fisierului .net unde se mentioneaza routerele si felul in care sunt conectate (prin interfete Ethernet/ Seriale, switch virtual sau nor de Frame Relay).

Dar interfata dynagen este foarte user unfriendly (command line care mai ales in Windows e..well..Windows). Aici intervine GNS3. Este o interfata grafica care ruleaza deasupra lui dynagen si dynamips si este la fel de usor de folosit ca Packet Tracer. Puteti downloada installerul de Windows complet cu toate pachetele necesare (inclusiv dynamips si WinPCAP- pachetul ce captureaza pachetele pe pe interfete) de aici.

Dupa instalare, la prima rulare a GNS3 trebuie specificata calea catre executabilul dynamips (ar trebui sa fie detectat automat) si, mai important, calea catre un IOS. Atentie! Dynamips este doar emulatorul, programul de baza PESTE care ar rula un IOS. Asta inseamna ca de sistemul de operare al routerului trebuie sa faceti rost voi (Cisco IOS este un sistem de operare proprietar si closed-source… trebuie sa aveti drep de folosire al lui). IOS-ul vine sub forma unui fisier .bin, cu o dimensiunea de 10-50MB in functie de capabilitatile versiunii respective. Trebuie sa asociati modele de routere din GNS3 cu anumite sisteme de operare.

Designul unei topologii este foarte usor. All drag’n'drop. Adaugati echipamente din meniul din stanga si le conectati cu cablurile respective.

(Don’t mind the quality of the images…all done in MSPaint )

Pasul urmator este sa porniti routerele…

Dupa pornire, puteti sa accesati routerele prin Telnel. Din acelasi meniu ca si Start aveti Console. Rezultatul:

Si asta ar fi GNS3 in 10 minute. Recunosc ca sistemul nu e chiar usor pentru un incepator, dar de multe ori merita.

Pros and Cons: Proul este ca e un emulator si nu un simulator, deci permite cea mai realistica simulare a unui router. Cons-urile sunt mai multe: in primul rand mananca o cantitate imensa de resurse (RAM si CPU). In al doilea rand, trebuie sa procurati IOS-ul (ceea ce nu e usor). Si de simulat, nu putem emula decat routere si PIX-uri (cu ceva munca am inteles ca se poate emula si un Switch Layer3).

Am zis ca o introducere in acest sistem este necesara deoarece as dori sa revin cu alte exemple de lucruri ce pot fi facute cu aceste tooluri.